组成员对组秘密的管理的制作方法

组成员对组秘密的管理的制作方法
【专利摘要】一种将新设备（221）添加到设备组（210）的方法，该设备组（210，220）包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的所有其他设备的设备密钥。该方法包括：建立新设备（221）与设备组（210）中的第一设备（211）之间的安全连接；由设备组（210）中的第一设备（211）将设备组密钥和设备组（210）中的所有其他设备（212，213，…，21N）的设备密钥发送至新设备（221）；由设备组（210）中的其他设备（212，213，…，21N）之一将设备组（210）中的第一设备（211）的设备密钥分配给新设备（221）；由设备组（210）中的设备（211，212，213，…，21N）之一生成新设备（221）的设备密钥并且分配给设备组（210）中的所有其他设备（211，212，213，…，21N）。该方法也被推广到k弹性方案。
【专利说明】组成员对组秘密的管理
【技术领域】
[0001]本发明涉及组秘密的管理，并且更具体地，涉及一种用于组成员管理组秘密的方法和系统。
[0002]本文的某些实施例针对设备组的密钥管理，包括在无需中心机构管理密钥和向组成员分配密钥的情况下发起组、扩展组成员关系和减少组成员关系。某些实施例进一步允许设备组的设备将安全消息发送至组成员之中的任何设备子组，使得非寻址的设备不能对该消息解密。
【背景技术】
[0003]已知的消息加密方案可以基于例如“零消息广播”(ZMB)或者“广播加密”;参见例如 Amos Fiat and Moni Naor, Broadcast Encryption, 1993 (此后称为 Fiat & Naor)。Fiat & Naor讨论了广播加密。通常，术语“广播加密”可以简单地表示广播的加密。然而，如Fiat & Naor所介绍的，该术语采用了特定的含义。Fiat & Naor的“广播加密”被开发用于使得广播者能够安全地将消息广播到预定义设备组的子集。该预定义组称为设备组。
[0004]Fiat & Naor的广播加密的最简单的变型中的中心思想是，设备组中的每个设备拥有除了其自身的设备密钥之外的该设备组中的所有其他设备的设备密钥。如图1中所示，表100列出了每个设备拥有的密钥。例如，设备I包括设备组密钥以及设备密钥2至设备密钥N。存在用于大型组的密钥管理过程，使得每个设备只需被颁发比组尺寸减I更少的密钥，并且可以根据这些密钥计算所需的所有密钥。
[0005]当消息的广播者想要安全地将消息发送至来自设备组的设备子集的地址时，广播者将寻址的设备的ID作为消息的明文部分，并且计算加密密钥，该加密密钥是非寻址的设备的所有设备密钥的函数。使用非寻址的设备的设备密钥，因为寻址的设备没有其自身的密钥。广播者对消息加密并且广播该消息。设备组中未被寻址的设备不能对该消息解密，因为它们需要它们没有的其自身的密钥。设备组之外的设备不能对该消息解密，因为它们没有非寻址的设备的密钥。只有设备组中的寻址的设备才能对该消息解密。当然，属于设备组的设备将必须知道根据设备密钥计算消息密钥的算法。通常，该算法不必对设备组之外的其他设备保密。
[0006]一个有关的概念是k弹性。在 “Broadcast Encryption, ” KrishnaramKenthapadi, November 11, 2003 中，作者如下定义了 A 弹性:
在由/7个用户的集合U组成的系统中，如果对于与用户集合S不相交的每个子集T,没有具有S的所有秘密的窃听者能够获得关于T的共同秘密的“知识”，那么广播方案对于用户集合S是弹性的。我们可以考虑安全性的信息理论的或者计算的定义。如果方案对于尺寸为々的任何集合S U是弹性的，那么它是々弹性的。
[0007]另一种定义A弹性的方式是，如果必须至少左+1个成员共谋(合作)以便获得所有组秘密，那么广播方案是々弹性的。这种通过组组合知识的攻击称为共谋攻击。
[0008]上面描述 的方案是I弹性的。这利用上面的定义可简单地看出，因为任何组成员都可以从任何其他组成员得知它缺失的秘密、它自身的密钥。
[0009]现有的左弹性广播加密方案的实例可以见诸Amos Fiat and Moni Naor,Broadcast Encryption, 1993 以及 Krishnaram Kenthapadi, Broadcast Encryption,November 11, 2003。
[0010]当向设备组添加成员时，通常向所有旧成员颁发新的组密钥，或者对旧的组密钥执行单向函数，并且向新成员颁发新的密钥。应当指出的是，单向函数是一种对于每个输入而言易于计算，但是对于其而言非常难以计算反函数的数学函数。通过这样做，新成员不能对发送至组的旧消息解密。这在实际的实现方式中可以是或者可以不是一个要求。
[0011]发送消息至设备组中的所有设备
如果设备组之外的广播者需要将消息广播至设备组中的所有设备，那么它具有上面描述的简单方案的问题，因为不存在非寻址的设备，因而广播者没有使用的密钥。这里的一种解决方案是使用所有设备都知道的专用设备组密钥。可以说，该设备组密钥是不存在且永远不会存在的设备的设备密钥。对于A弹性方案而言，存在类似的解决方案。
[0012]如果设备组的成员想要发送消息至设备组中的所有其他设备，那么它具有相同的问题。因此，除了设备组中的所有其他设备的设备密钥之外，每个设备也获得设备组密钥(参见图1)。因此，为了将消息发送至设备组的所有成员，广播者将使用设备组密钥。
[0013]上面描述的广播加密方案依赖于中心机构分配每个设备所需的密钥并且管理组的成员关系。

【发明内容】

[0014]有利的是，本文的某些实施例提供了一种这样的方案，其中不需要这样的中心机构，并且组设备本身可以管理设备组设立和管理，并且进一步管理每个设备所需的密钥。
[0015]另外，本文的某些实施例提供了一种这样的方案，其中设备组的任何成员可以安全地将消息发送至设备组的所有其他成员或者其任何子集，任何非寻址的成员或者任何局外者都不能对这些消息解密。
[0016]另一个有利的实施例提供了一种这样的方案，通过该方案，不是设备组的成员的设备可以通过仅仅与设备组的一些成员(例如对于A弹性广播加密方案而言，k+l个成员)通信而变成成员。
[0017]另外的有利的实施例提供了这样的方案，通过这些方案，设备组的其他成员可以剥夺某设备的设备组成员关系。
[0018]在一个实施例中，本发明涉及一种将新设备添加到设备组的方法，该设备组包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的其他设备的设备密钥，该方法包括:建立新设备与设备组中的第一设备之间的安全连接；由设备组中的第一设备经由该安全连接将设备组密钥和设备组中的其他设备的设备密钥发送至新设备；由设备组中的其他设备之一将设备组中的第一设备的设备密钥分配给新设备；由设备组中的设备之一生成新设备的设备密钥并且将新设备的设备密钥分配给除了新设备之外的设备组中的所有其他设备。
[0019]在另一个实施例中，本发明涉及一种从设备组中移除设备的方法，该设备组包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的其他设备的设备密钥，该方法包括:由设备组中留下的第一设备生成和分配用于设备组中留下的每一个其他设备的新设备密钥，使得每一个其他设备不接收它自身的新设备密钥；由设备组中留下的其他设备之一生成设备组中留下的第一设备的新设备密钥并且分配给设备组中留下的所有其他设备；以及由设备组中留下的设备之一生成新设备组密钥并且分配给设备组中留下的所有其他设备。
[0020]通常，本发明的各个不同的方面可以以本发明范围内的可能的任何方式进行组合和耦合。在说明书结尾处的权利要求书中具体地指出且清楚地要求保护被看作本发明的主题。本发明的前述和其他特征和优点根据以下结合附图进行的详细描述将是清楚明白的。
【专利附图】

【附图说明】
[0021]图1示出了具有设备组中的每个设备拥有的密钥的表格。
[0022]图2示出了在新设备加入旧设备组之后形成的新设备组的图示。
[0023]图3示出了当设备加入设备组时设备密钥管理的流程图。
[0024]图4示出了在设备离开其旧设备组之后形成的新设备组的图示。
[0025]图5示出了当设备离开设备组时设备密钥管理的流程图。
[0026]图6示出了当设备在A弹性方案下加入设备组时设备密钥管理的流程图。
[0027]图7示出了当设备在A弹性方案下离开设备组时设备密钥管理的流程图。
【具体实施方式】
[0028]以下对本发明一个实施例的描述针对I弹性方案。
[0029]1.当把设备添加到设备组时设备密钥和设备组密钥的建立
参照图2，旧设备组210包括成员设备:设备_1 211、设备_2 212、设备_3 213、……、设备_N 21N。当新设备设备_N+1 221加入设备组时，形成新设备组220。为了清楚起见，N个设备的原始组标记为旧设备组210，并且扩展的组标记为新设备组220。应当理解的是，设备组中的每个设备至少包括用于与其他设备通信的网络接口以及具有硬件和软件部件的处理单元，这些部件如下面所概述的用于执行对于消息的加密、解密以及处理。
[0030]如图2中所示，旧设备组210中存在多个设备设备_1 211、设备_2 212、设备_3
213、......、设备_N 21N。对于尺寸N>1的设备组的这种一般情况，如例如图1的表100中
所示的，2…N个设备中的每一个拥有其他N-1个设备的设备密钥和设备组密钥，但是不拥有其自身的设备密钥。
[0031]然而，与图2中所示的其中旧设备组210由超过I个设备组成的开始情况相比，当旧设备组210由仅仅I个设备组成时，出现特殊情况。
[0032]对于N=l，即旧设备组210由一个设备组成的特殊情况，由于设备必须不知道其自身的设备密钥并且由于没有其他设备维持该设备自身的设备密钥，因而在该特殊情况方案中没有设备密钥。在新设备设备_N+1 221加入该组之前，该单个设备优选地生成随机的设备组密钥。在生成随机的设备组密钥之后，用于将设备设备_N+1 221添加到组的过程类似于N>1的一般情况。因此，讨论参照图3继续。
[0033]图3针对N>1的一般情况和N=I的特殊情况二者示出了将新设备添加到设备组的过程流。尽管功能框以特定的顺序出现，但是并不要求以所示的特定顺序执行步骤。[0034]该实施例具有如图3中所示的2个选项，
-在330中生成新设备组密钥，以及
-在350中生成新设备密钥。
[0035]如果应用N=I的特殊情况，那么如上面所指出的生成新设备组密钥。在N>1的情况下，如果要求新设备(设备_N+1) 221必须不能对先前在旧设备组210的成员之间交换的消息解密，那么新设备(设备_N+1) 221不得知旧密钥，因此所有密钥都需要重新生成，并且必须使用这两个选项。
[0036]如果使用了这些选项中的至少一个，那么380中新设备(设备_N+1) 221的设备密钥的分配不要求设立额外的安全通道。
[0037]在310中，建立设备_1 211与新设备设备_N+1 221之间的安全连接。该安全连接可以是例如使用近场通信(NFC)、使用蓝牙的安全简单配对或者W1-Fi自组织或W1-Fi直接连接的W1-Fi保护设立的安全配对，或者任何其他适当的安全配对。在一个实施例中，新设|_N+1 221与来自旧设备组210的设备_1 211 “安全配对”，其中“安全配对”在这里表示连接的设备被认证为配对的，并且没有其他设备可以对配对的设备之间交换的消息解密。
[0038]在320中，如果N=l，即特殊情况，或者要求新设备(设备_N+1) 221必须不能对先前在旧设备组210的成员之间交换的消息解密，那么移动到330并且生成新设备组密钥。
[0039]如上面对于其中N=l，即旧设备组210由一个设备组成的特殊情况所提到的，该单个设备优选地生成随机的设备组密钥。
[0040]对于N>1，为了生成新设备组密钥，设备_1 211、设备_2 212、设备_3 213、……、设备_N 21N在旧设备组210的设备组密钥上使用单向函数以便创建新设备组220的设备组密钥。该特定单向函数必须已知`，而不必是个秘密。应当指出的是，不创建新设备组密钥将意味着新设备221随后可以对在步骤360中它的设备密钥通过其分配给设备_2 212、设备_3 213、……、设备_N 21N的消息解密，如果该消息利用旧设备组密钥加密的话。
[0041]在340处，如果N>1并且要求新设备(设备_N+1) 221必须不能对先前在旧设备组210的成员之间交换的消息解密，那么移动到350并且生成新设备密钥。换言之，对旧设备组210的设备重定密钥(re-key)。
[0042]在350处，设备_1 211、设备_2 212、设备_3 213、......、设备_N 2 IN执行它们拥
有的设备密钥的重定密钥动作。重定密钥动作可以使用步骤330中使用的相同单向函数，或者不同的方法。350处的过程是可选的，这取决于特定的实现方式，例如是否要求新设备(设备_N+1) 221不能对先前在旧设备组210的成员之间交换的消息解密。
[0043]在360中，将除了设备_1 211的设备密钥之外的密钥分配给新设备。设备_1 211通过安全通道将新设备组220的设备组密钥发送至新设备221。这对于N=I和N>1 二者均执行。
[0044]对于N>1，设备_1 211通过私有安全通道将设备_2 212、设备_3 213、......、设
|_N 21N的ID和(可能地重定密钥的)设备密钥发送至新设备221。这对于N=I是不需要的。不是所有这些ID和设备密钥都由设备_1 211通过私有安全通道发送。通过私有安全通道发送的一个或多个设备密钥的任意组合可以用来对剩余的设备密钥加密以便通过另一个通道而不是私有安全通道将它们安全地发送至新设备221。这在通过私有安全通道发送信息昂贵的情况下可能是有利的。私有安全通道可以例如具有低比特率，或者它需要的加密可能花费许多CPU时间。
[0045]在370中，将设备_1 211的设备密钥分配给新设备221。
[0046]新设备221仍然必须得知设备_1 211的设备密钥。然而，设备_1 211不能执行该步骤，因为它不知道其自身的设备密钥。
[0047]在N=I的情况下，新设备221简单地生成随机数，并且使用它作为设备_1 211的设备密钥而开始。
[0048]对于N>1，新设备221形成到任何其他设备(设备_2 212、设备_3 213、……、设备_N 21N)的安全连接，但是不使用它迄今得知的密钥，因为该新连接必须使得设备_1 211不能对消息解密以便获得其自身的密钥。该安全连接可以是与新设备221在310中用于其与设备_1 211的第一安全连接的类型相同的类型。
[0049]新设备221现在与其安全地通信的设备将设备_1 211的(可能地重定密钥的)设备密钥发送至新设备221。优选地，应当需要设备认证以便确保是新设备221在与任何其他设备形成安全连接而不是设备_1 211，以确保设备_1 211没有获得其自身的密钥。可以使用任何认证方法。
[0050]新设备221可以通过它与设备_1 211设立的安全通道接近任何所述设备(设备_2212、设备_3 213、……、设备_N 21N)以便索要设备_1 211的设备密钥。通过该通道，新
设备221可以与任何所述设备(设备_2 212、设备_3 213、......、设备_N 21N)设立安全通
道。然而，该方法需要附加的认证以便区分是新设备221在设立该新安全通道而不是设备_1 211。`
[0051]在380中，生成和分配新设备221的设备密钥。
[0052]旧设备组中的任何一个设备都可以执行该功能。不失一般性，假设设备_1 211执行该步骤，设备_1 211生成将成为新设备221的设备密钥的随机数。设备_1 211将关于新设备221的信息(例如ID、名称等等)与新设备的设备密钥一起发送至旧设备组210的所有成员(对于N=I是不需要的)。这意味着除了新设备221本身之外的新设备组220的所有设备都拥有新设备221的密钥。
[0053]为了传输该信息，设备_1 211优选地加密该信息以便新设备221不得知其自身的密钥。在一个实施例中，设备_1 211用于对该传输加密的密钥是旧设备组210的设备组密钥。在这种情况下，必须在320中生成新设备组密钥。如果在图3的330中对设备密钥重定密钥，那么旧设备组210的设备密钥也可以用于对该传输加密。在后一情况下，传输被发送至旧设备组210的至少两个子组，因为设备_1 211需要它没有的其自身的设备密钥以便在一个传输中将加密的消息发送至设备2…N。
[0054]如果不采取可选的动作320和330，因而设备组密钥和设备密钥中没有任何一个被重新生成，那么设备_1 211需要设立其他的安全方式以便将新设备(设备_N+1)221的设备密钥传送至旧设备组210中的其他设备。
[0055]应当指出的是，在如上面所描述的330和350中，重定密钥使用了单向函数。这具有不必分配新密钥的优点。然而，也可能的是，新密钥(设备组密钥和/或设备密钥)被随机地生成并且使用旧密钥在旧设备组210的设备上安全地分配。下面的520和530中使用了一种随机地生成新密钥并且在旧设备组210的设备上安全地分配它们的类似方式。
[0056]2.当从设备组中移除设备时设备密钥和设备组密钥的建立参照图4,不出了 N>1的N个设备(设备_1 411、设备_2 412、设备_3 413、......、设备
_N 41N)的设备组410，其中要将设备_N从旧设备组中移除。旧设备组410中留下的设备形成新设备组420。为什么要移除设备的实例包括设备损坏了、出售了或者放弃了等等。
[0057]图5示出了从设备组中移除设备的高层次过程流。尽管功能框以特定的顺序出现，但是并不要求以所示的特定顺序执行步骤。
[0058]留下的设备中的任何一个都可以用于发起该过程。不失一般性，假设使用设备_1
411。
[0059]在510中，生成和分配用于设备_2 412、设备_3 413、......、设备_N_1 41N-1的
新设备密钥。
[0060]为了生成和分配新设备密钥，设备_1 411随机地生成用于设备_2 412、设备_3413、……、设备_N-1 41N-1的新设备密钥。应当指出的是，新密钥必须不使用已知的单向函数生成，因为要移除的设备_N也可以以相同的方式生成这些新密钥。设备_1 411以这样的方式将新密钥发送至设备_2 412、设备_3 413、……、设备_N_1 41N-1，使得设备_2
412、设备_3413、……、设备_N-1 41N-1中的每一个不接收其自身的新设备密钥。这些新设备密钥在发送之前通过使用要移除的设备_N 41N的设备密钥加密，因为该设备并没有其自身的密钥。
[0061]在520中，生成和分配设备_1 411的新设备密钥。
[0062]为了生成和分配设备_1 411的新设备密钥，新设备组420中留下的其他设备中的任何一个(设备_2 412、设备 _3 413、……、设备_N_1 41N-1)随机地生成设备_1 411的新设备密钥。该设备使用设备_1 411和设备_N 41N的旧设备密钥将该新设备密钥发送至其他设备，使得设备_1 411并不了解其自身的设备密钥，并且移除的设备设|_N 41N也不了解设备_1 411的新设备密钥。
[0063]在530中，生成和分配新设备组密钥。
[0064]为了生成和分配新设备组密钥，任何一个留下的设备都可以用于执行该动作。不失一般性，假设设备_1 411执行该动作，设备_1 411随机地生成新设备组密钥，并且使用要移除的设备_N 41N的设备密钥将新设备组密钥发送至设备_2 412、设备_3 413、……、设备_N_1 41N-1。如上面已经指出的，设备_1 411并不生成新设备组密钥，因为要移除的设备也可以以相同的方式生成新设备组密钥。
[0065]一种可替换的方法是使用于所有未来通信的密钥基于至少要移除的设备的密钥。因此，用于未来通信的密钥将至少包括要移除的任何设备的密钥。可替换地，仅仅可以利用最后移除的设备。本领域技术人员可以认识到基于移除的设备生成密钥的若干变型。
[0066]在上面的实施例中，设备创建用于加密消息的密钥。然而，相同的方法可以用于生成用于认证消息的密钥。相同的方法也可以用于生成从中导出加密密钥和/或认证或其他密钥的所谓的密钥材料。
[0067]K 弹件
上面实施例中描述的方法也可以应用于A弹性方案。对于A弹性方案而言，添加成员涉及设立与左+1个设备的安全连接，以便接收关于组秘密的足够信息。在设立安全连接和通信中，原始设备组设备中的每一个确保它正在与新设备通信，而不是与已经是组的成员的设备通信，因为那样的话组的该成员将有权访问所有秘密。因此，在一个优选的实施例中，包括了设备认证。
[0068]当移除成员时，A个设备生成新组秘密并且使用适当的旧设备组密钥将此发送至N-^-1个其他设备。
[0069]图6示出了在A弹性方案下将设备添加到设备组的高层次过程流。在这样的方案下，设备组中的每个设备拥有密钥材料，它可以利用该密钥对给整个设备组或者给设备组的任何子集的消息加密，使得只有寻址的设备可以对这些消息解密。
[0070]在这种情况下，设备组中具有至多A-1个成员的子集利用新设备扩展为至多k个成员设备的扩展子集。
[0071]在610中，在新设备与设备组中的左+1个设备之间建立左+1个安全连接。
[0072]在620中，设备组中的每个设备利用单向函数对密钥材料重定密钥。
[0073]在630中，所述左+1个设备经由所述左+1个安全连接将重定密钥的材料发送至新设备。
[0074]在640中，组中的A个设备——对于设备组中具有至多A-1个成员并且不包括生成设备本身的利用新设备扩展的所有子集，因而对于至多A个成员设备的子集一生成每子集的新密钥材料以便加密消息，这些消息可以由设备组的该子集中的所有设备以及由新设备解密。这A个设备将每子集的密钥材料分配给设备组中不是设备组的扩展子集的部分的所有设备。
[0075]当在A弹性方案下从设备组中移除设备时，设备组中的剩余设备中的左+1个——对于设备组的具有至多A个成员并且不包括生成设备本身，也不包括要从设备组中移除的设备的所有子集一一生成每子集的新密钥材料以便加密可以由设备组的该子集中的所有设备解密的消息，并且将每子集的密钥材料分配给设备组中不是设备组的该子集的部分的所有设备。图7示出了移除设备的步骤710。
[0076]下面将针对左=2且第五设备被添加并且后来从4个设备的组中移除的特殊情况进一步阐明A弹性方案。2弹性方案意味着，任何单个非寻址的设备的信息以及任何两个非寻址的设备的组合信息就足以计算用来加密给寻址的设备的消息的密钥。
[0077]添加设各(左=2)
在开始情形中，存在4个设备Dl、D2、D3和D4。这些设备中的每一个具有用于I和2个设备的所有子集的密钥，该设备不是所述子集的成员。对于每个设备具有的密钥，参见表
【权利要求】
1.一种将新设备(221)添加到设备组(210)的方法，该设备组(210，220)包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的所有其他设备的设备密钥，该方法包括: 建立新设备(221)与设备组(210)中的第一设备(211)之间的安全连接； 由设备组(210)中的第一设备(211)将设备组密钥和设备组(210)中的所有其他设备(212,213,…，21N)的设备密钥发送至新设备(221)； 由设备组(210)中的其他设备(212，213，…，21N)之一将设备组(210)中的第一设备(211)的设备密钥分配给新设备(221);以及 由设备组(210)中的设备(211，212，213，…，21N)之一生成新设备(221)的设备密钥并且分配给设备组(210)中的所有其他设备(211，212，213，…，21N)。
2.依照权利要求1的方法，进一步包括由设备组中的所有设备生成新设备组密钥。
3.依照权利要求1的方法，进一步包括对于设备组中的每个设备，对每个设备拥有的所有设备密钥重定密钥。
4.依照权利要求2的方法，其中所述生成新设备组密钥通过对设备组密钥执行单向函数。
5.依照权利要求3的方法， 其中所述对每个设备拥有的所有设备密钥重定密钥通过对设备密钥执行单向函数。
6.一种从设备组(410)中移除设备(41N)的方法，该设备组(410，420)包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的所有其他设备的设备密钥，该方法包括: 由设备组(420)中留下的第一设备(411)生成和分配用于设备组(420)中留下的每一个其他设备(412，413，…，41N-1)的新设备密钥，使得每一个其他设备(412，413，…，41N-1)不接收它自身的新设备密钥； 由设备组(420)中留下的其他设备(412，413，…，41N-1)之一生成设备组(420)中留下的第一设备(411)的新设备密钥并且分配给设备组(420)中留下的所有其他设备(412，413，...，41N-1);以及 由设备组(420)中留下的设备(411，412，413，…，41N-1)之一生成新设备组密钥并且分配给设备组(420)中留下的所有其他设备(411，412，413，...，41N_1)。
7.依照权利要求6的方法，其中随机地生成设备组中留下的每个设备的新设备密钥。
8.依照权利要求6的方法，其中随机地生成新设备组密钥。
9.依照权利要求6的方法，其中设备组中留下的第一设备(411)的新设备密钥在利用设备组中留下的第一设备(411)的旧设备密钥以及从设备组中移除的设备(41N)的设备密钥加密之后进行分配。
10.依照权利要求6的方法，其中用于设备组中留下的每一个其他设备(412，413，…，41N-1)的新设备密钥中的每一个在利用从设备组中移除的设备(41N)的设备密钥并且利用所述旧设备密钥加密之后进行分配。
11.依照权利要求6的方法，其中新设备组密钥在利用从设备组中移除的设备(41N)的设备密钥加密之后进行分配。
12.—种管理设备组的成员关系的方法，该设备组包括多个设备，其中设备组中的每个设备拥有用于加密消息的设备组密钥和除了其自身的设备密钥之外的设备组中的所有其他设备的设备密钥，该方法包括: 在将新设备(221)添加到设备组(210)的情况下: 建立新设备(221)与设备组(210)中的第一设备(211)之间的安全连接； 由设备组(210)中的第一设备(211)将设备组密钥和设备组(210)中的所有其他设备(212,213,…，21N)的设备密钥发送至新设备(221)； 由设备组(210)中的其他设备(212，213，…，21N)之一将设备组(210)中的第一设备(211)的设备密钥分配给新设备(221);以及 由设备组(210)中的设备(211，212，213，…，21N)之一生成新设备(221)的设备密钥并且分配给设备组(210)中的所有其他设备(211，212，213，…，21N)； 在从设备组(410)中移除设备(41N)的情况下: 由设备组(420)中留下的第一设备(411)生成和分配用于设备组(420)中留下的每一个其他设备(412，413，…，41N-1)的新设备密钥，使得每一个其他设备(412，413，…，41N-1)不接收它自身的新设备密钥； 由设备组(420)中留下的其他设备(412，413，…，41N-1)之一生成设备组(420)中留下的第一设备(411)的新设备密钥并且分配给设备组(420)中留下的所有其他设备(412，413，...，41N-1);以及 由设备组(420)中留下的设备(411，412，413，…，41N-1)之一生成新设备组密钥并且分配给设备组(420)中留下的所有其他设备(411，412，413，...，41N_1)。
13. 依照权利要求12的方法，进一步包括: 在将新设备添加到设备组的情况下:由设备组中的所有设备通过对设备组密钥执行单向函数而生成新设备组密钥；以及 在从设备组中移除设备的情况下:随机地生成新设备组密钥。
14.依照权利要求12的方法，进一步包括: 在将新设备添加到设备组的情况下:对于设备组中的每个设备，对每个设备拥有的所有设备密钥重定密钥， 在从设备组中移除设备的情况下:随机地生成新设备密钥。
15.依照权利要求12的方法，其中: 在从设备组中移除设备的情况下:设备组中留下的第一设备(411)的新设备密钥在利用设备组中留下的第一设备(411)的(旧)设备密钥以及从设备组中移除的设备(41N)的设备密钥加密之后进行分配。
16.依照权利要求12的方法，其中: 在从设备组中移除设备的情况下:用于设备组中留下的每一个其他设备(412，413，…，41N-1)的新设备密钥中的每一个在利用从设备组中移除的设备(41N)的设备密钥并且利用所述旧设备密钥加密之后进行分配。
17.依照权利要求12的方法，其中: 在从设备组中移除设 备的情况下:新设备组密钥在利用从设备组中移除的设备(41N)的设备密钥加密之后进行分配。
18.—种管理设备组的成员关系的方法，该设备组包括/7 (/7>1)个设备，其中设备组中的每个设备拥有密钥材料，它可以利用该密钥材料加密给整个设备组或者给设备组的任何子集的消息，使得在A弹性方案U>1)下只有寻址的设备可以对这些消息解密，该方法包括: 在将新设备添加到设备组的情况下: 在新设备与设备组中的左+1个设备之间建立左+1个安全连接； 由设备组中的所述左+1个设备将密钥材料发送至新设备；以及 由设备组中的A个设备，对于设备组的具有至多A-1个成员并且不包括生成设备本身的利用所述新设备扩展的所有子集，对于至多k个成员设备的子集，生成每子集的新密钥材料以便加密可以由设备组的所述子集中的所有设备以及由新设备解密的消息，并且将所述每子集的密钥材料分配给设备组中不是设备组的所述扩展子集的部分的所有设备；并且 在从设备组中移除设备的情况下: 由设备组中留下的左+1个设备，对于设备组的具有至多k个成员并且不包括生成设备 本身也不包括要从设备组中移除的设备的所有子集，生成每子集的新密钥材料以便加密可以由设备组的所述子集中的所有设备解密的消息，并且将所述每子集的密钥材料分配给设备组中不是设备组的所述子集的部分的所有设备。
19.依照权利要求18的方法，进一步包括在将新设备添加到设备组的情况下:设备组中的每个设备利用单向函数对所述密钥材料重定密钥。
【文档编号】H04L9/08GK103797750SQ201280045756
【公开日】2014年5月14日 申请日期:2012年9月14日 优先权日:2011年9月20日
【发明者】J.A.C.伯恩森 申请人:皇家飞利浦有限公司