[发明专利]用于基于密钥块的鉴权的设备和方法

说明书

本发明涉及用于基于密钥块的鉴权的设备和方法。

近年来，广播加密(参阅A.Fiat和M.Naor的“Broadcast Encryption，Advances in Cryptology-CRYPTO’93”，Lecture Notes in ComputerScience 773，Springer，1994，pp.480-491；D.M.Wallner、E.J.Harder和R.C.Agee的“Management for Multicast：Issues and Architectures(对多点传送的管理：问题和体系结构)”，Internet RFC2627，June，1999；以及C.K.Wong、M.Guoda和S.Lam的“Secure GroupCommunication Using Key Graphs(使用密钥图形的安全组通信)”，SIGCOMM 1998.Wong等人)已被证明是一种解决在版权保护领域中的密钥分发和撤销问题的非常流行的方式。举例而言，诸如用于可记录媒体的版权保护和用于预记录媒体的版权保护(CPRM，CPPM，参阅http://www.4centity.org)那样的系统、用于Blu-ray盘可重写的内容保护系统(BD-RE CPS，Matsushita/Philips/Sony)、和视频内容保护系统(参阅http://www.licensing.philips.com/vcps，HP/Philips)使用密钥块来保证只有依从的(compliant)回放和记录设备才能够访问内容。

支持广播加密的总体思想在于，所有设备的全部集合被过多的(plethora)经明智选择的子集所覆盖。对于这些子集中的每一个子集，分配一个组密钥。组密钥被嵌入在属于相应子集的所有设备中。一个特定的设备是多个子集的成员，所以具有机载的(on board)多个组密钥。一个设备的机载的这组组密钥也被称为它的设备密钥。为了把对一条内容的访问限制于依从设备的这个集合，该内容被用根密钥K_root进行加密，而该K_root又被用几个不同的组密钥进行加密。组密钥被以这样的方式来选择，即相应的子集正好覆盖该依从设备的集合，但不多于它。包含用组密钥进行加密的K_root的结构被称为密钥块(key block)。

当发现一个或多个原来的依从设备被黑客攻击(hack)时，新的内容被用新的根密钥K’_root进行加密，并且使用新的密钥块把这个密钥传送到其余的依从设备。被使用于这个密钥块的组密钥现在对应于仅仅覆盖新依从设备集合的子集的新聚集。通过选择子集的新聚集，通过创建新的密钥块，实际上可以撤销(revoke)一组设备。

广播加密优于替换方案的优点在于，它将低传输要求(密钥块的尺寸约略地正比于非依从的/撤销的设备的数目，通常小于几千)与它的低复杂度相组合：仅仅需要对称密钥密码术来译码密钥块。而且，撤销和密钥分发被方便地合成(roll into)一体。

广播加密的相对较新的应用是它在鉴权中的使用。如在以上的例子中，设备仍旧具有嵌入的设备密钥组，其中每个设备具有不同的设备密钥组，依从设备能够用其来译码密钥块，但非依从设备不能。通过将密钥块的根密钥用作在询问应答协议中的共享的秘密，一个设备可以验证另一个设备-例如从机顶盒请求内容的记录器-(仍旧)是依从的。广播加密的这个用法的例子可以在诸如xCP(用于加入家庭网络的设备，参阅IBMresponse to DVB-CPT Call for Proposals for Content Protection & CopyManagement，DVB-CPT-716(用于内容保护与版权管理的建议的对于DVB-CPT调用的IBM应答，DVB-CPT-716)，Oct.2001http://www.almaden.ibm.com/software/ds/ContentAssurance/papers/xCP_DVB.pdf)和VCPS那样的系统中找到。

虽然在内容分发中的广播加密的优点转入鉴权，但不幸地，还有一个主要的缺点：密钥公布(key publishing)攻击。问题在于这种黑客攻击允许单个老练的黑客向许多临时(casual)黑客提供软件工具，以使得这些未经授权的临时黑客能够以这样一种方式对于依从设备进行鉴权，即：在这个工具中使用的密钥不能被撤销。这种黑客攻击的方法如下所述。

由于没有一种密钥块译码的实现是完美的，所以在整个群体中总是可以有一个设备，在其中相对老练的黑客可以检索到设备密钥。特别地，软件应用在这方面是易受攻击的。