CN1954538B - 用于安全广播的密钥管理消息 - Google Patents

Abstract

本发明包括建立顶级密钥以及还可选地建立检验标记。顶级密钥用作用于对广播媒体加密的MDP密钥。仅密钥消息中包含已加密顶级密钥的部分例如才利用签名或消息访问码(MAC)进行鉴权。可使用任何已知的组密钥分发协议，它基于密钥分级的创建。这类方法的实例是LKH和SD方法。传统上用作MDP密钥的组密钥分发协议输出密钥H或者其派生物用于对顶级MDP密钥加密。本发明还包括通过消除对于指定组或小组的用户不必要的消息成分来优化组密钥消息。优化可与上下文数据、如用户简档、网络状态或运营商策略相关地进行。

Description

用于安全广播的密钥管理消息

技术领域

一般来说，本发明涉及用于对安全广播进行解码和鉴权的媒体密钥的推导所用的密钥消息的分发，具体来说，涉及这类消息的鉴权和优化。

背景技术

对于无线应用以及标准数据通信，广播和多播实现向大组接收机有效地分发内容，如图1的示意说明。下面，术语“广播”将用来表示广播以及多播。近来的努力集中于通过无线网络的广播，以及密钥主题将尽可能有效地利用无线链路，例如以便减少媒体接入的时间。受关注的密钥的另一个主题是提供安全广播。因此，内容的加密是商业广播服务的重要启动器。从用户的观点来看，鉴权是重要主题。希望用户可检验内容和加密密钥源自预计方。

广播保护***通常与多个有区别的步骤配合操作。通常需要服务登记步骤，其中，用户输入与服务提供商的协定。在这个步骤中，为用户提供个人的唯一秘密密钥。在密钥分发步骤中，媒体密钥被分发给已登记用户，用于广播内容的解密。服务提供商在媒体传递保护步骤中对内容加密。需要重定密钥步骤来更新内容密钥，例如当新的用户登记、用户撤销登记或者当媒体密钥受损时。周期性重定密钥也可用来提高***的安全性。服务登记通常是用户与内容提供商之间点到点的，并且可采用任何安全和鉴权部件进行通信。密钥分发和媒体传递保护(MDP)将以一对多方式来执行。

密钥分发存在的主要问题是当新成员以可对大组缩放的方式加入或者离开组时更新MDP密钥。发送为各成员分别加密的已更新MDP密钥的简易方法不会很好地缩放。提出了称作组密钥分发协议的方案，以便改进可缩放性，例如LKH(逻辑密钥分级)、SD(子集差)以及LSD(分层子集差)。这些是分级组密钥分发协议的实例。

对于各分级组密钥分发协议，存在加密密钥的关联集合。可采用抽象分级树，以便说明这些密钥的布置以及密钥之间的关系。图2说明在底部具有一组成员M₁至M₈的分级树。在分级的顶部，存在特定分级协议的输出密钥K_m。成员的完整组的小组确定分级树的子树，它又确定包含一组可识别消息元素的组密钥管理消息。底级与顶级之间的树模型中的节点与对于组密钥管理消息的元素进行解密所需的加密密钥关联。每个用户在初始阶段接收用于导出这些密钥的子集、例如特定成员M_i和K_m之间的通路上的所有密钥的信息。分级组密钥分发协议提供线性初始键控性能和改进的对数重定密钥性能。这些方法由于非线性性能而是最可缩放以及有效的。

图2可便利地用来论述LKH方法。LKH方法是可缩放组密钥分发协议，它基于把树中的每个节点(i)与密钥K_i关联的方法，其中(i)是一个或若干维中的索引。根密钥K_m是与树的顶级关联的密钥，并且它被用作MDP密钥。例如在登记阶段为用户组中的每个成员提供各自的密钥，这些密钥与树的底部的叶K_(rst)关联。每个成员还接收从它的叶直到根的路径上的所有密钥。典型消息由三元组{i＞j，[K_i]_Kj}构成，其中i＞j表示节点i是节点j的先驱。如果j处于直到根的路径上，即K_i可通过使用与节点j关联的密钥K_j来检索，则成员可对消息部分进行解密。因此，K_i的集合包括根密钥K_m的分级加密，i＜m。当由于加入或离开成员而更新MDP密钥时，所需消息的数量很少，以及消息大小也很小。一个主要缺点在于，***是完全状态或者状态相关的，即算法利用先前的组密钥对新产生的组密钥进行加密。因此，对于该方案需要状态的相关性。在某种状态的组密钥丢失的情况中，无论如何都无法让参与方重新捕捉会话。

另一个缺点在于，用于批量重定密钥、即批量更新密钥的所提供方法特别是在成员关系的主要和暂时改变时不是很有效。

子集覆盖算法是组密钥分发协议的一般类，其特征在于，组成员与成员的子集关联，子集与特定密钥关联。图3中所示的子集差(SD)协议是这些协议的一个实例。参照图3，节点采用索引j来编号。图3的示例中，表示了节点2、3、5和12。子集Si，j的集合覆盖完整组，并且清楚地确定所有成员的集合。Si，j表示节点i之下但不是节点j之下的叶的集合。在图3中，说明了集合S2，5和S3，12。在更新MDP密钥时，成员的组完全由这些子集覆盖，以及已更新密钥根据子集密钥的每个进行加密。SD(子集差)方案是无状态组密钥分发协议。SD方案创建具有与可能成员同样多的叶的二进制树。每个可能的成员与特定叶关联，即，在特定时刻不是成员的用户也与叶关联。密钥服务器(KS)创建实体S_i，j的集合S。每个S_i，j也与密钥L_ij唯一关联，这可由集合S_i，j的每个成员来计算，而不是其它组成员。MDP密钥可通过采用L_ij对它进行加密来更新到特定集合S_i，j。应当注意，这必须对属于S的每个S_i，j进行。L_ij以分级方式被创建，在其中，与节点i关联的随机籽迭代地采用单向函数来扩展到节点j＞i。

LSD(分层子集差)方案是SD方案，但具有特殊层，使得每个可能的成员需要存储比原始方案中更少的密钥。在所有这些***中，向所有用户广播的组密钥管理消息相当大，并且需要经过鉴权。在单播中，共享秘密密钥消息鉴权码(MAC)用来提供鉴权。在广播中，组密钥(MDP)提供共享秘密密钥，但是，采用这个密钥执行消息鉴权仅检验发送方是否为组的成员，但不一定是预计源。简易方法无疑是对消息鉴权，如采用消息鉴权码或签名。对整个广播消息鉴权的简易方法无法只是容许组密钥管理消息的部分的位错误或丢包而没有鉴权失败。

简易方法还消耗资源，增加计算成本以及带宽消耗。

另一种方法是对每个已加密密钥鉴权。这也证明是消耗资源的(计算和带宽消耗)。实际上，SD中的已加密MDP密钥的数量最多是min(2r-1，n/2，n-r)，其中n为成员的总数，以及r为已撤销成员的数量。

参考文献[1]公开了基于用户组的子集覆盖的无状态分级方法。

密钥管理消息的大小往往在大组中变得极大。因此，已经进行各种尝试来使密钥管理消息的广播尽可能有效。

参考文献[2]公开了一种与用户将受损从而允许密钥管理***的增加效率的概率相关地布置用户的方法。

参考文献[3]公开了MDP密钥的鉴权。但是，这个解决方案的可缩放性不如根据本发明所得到的有利。此外，根据参考文献[3]的解决方案不允许有效的优化，因为用户需要得到整个密钥管理消息以便检验签名。

参考文献[4]公开了一种应用于LKH方法以便引入鉴权的方案。所公开的方案基于散列链产生树中的各密钥的原理。当组成员接收到新密钥时，在新密钥上计算散列以及把散列与旧密钥进行比较可检验它的正确性。虽然这种方法仅引起小开销，但在实际上的使用不是可行的，因为基于LKH的重定密钥及其鉴权此后可能仅被应用等于散列链长度的有限次数。此外，也不可能让密钥服务器在需要时自行生成密钥。

如上所述，组密钥管理消息在用户组增大时将变得极大。通过蜂窝网频繁地多播或广播这类消息通常是极消耗资源的。还存在一个问题：哪一方将提供传送消息所需的昂贵无线电链路资源的费用。参考文献[5，6]建议分布式实体***，每个实体管理完全组的小组。每个小组还与分开的组密钥关联。虽然这些***提供可缩放性，但它们变得复杂且昂贵。所述方法存在的另一个问题涉及对另一个实体的安全功能性的分发，由此必须信任其它这种实体安全地处理安全功能性，并且还能够处理用户的鉴权和授权。这使得这类***更易于受到损害。因此，这类***不管理由未存放密钥或其它保密信息的实体所进行的优化。

因此，需要一种用于广播和多播***中的组密钥分发的有效且可靠的方法，它克服了先有技术***的缺点。特别是，需要一种提供MDP密钥的鉴权同时允许消息优化的方法。优选地，优化将是可行的而无需要求了解所用密钥的任一个。

发明内容

本发明克服了先有技术配置的这些及其它缺陷。

本发明的一般目的是提供用于广播保护***中的组密钥分发的有效方法。

本发明的另一个目的是提供广播保护***中的鉴权而不损害健壮性和可缩放性。

又一个目的是显著减小组密钥管理消息的大小而不损害安全性。

本发明的另一个目的是使鉴权容许丢包和位错误。

又一个目的是减小与安全组密钥分发***中所需的加密计算相关的计算开销。

本发明的又一个目的是为每个成员或广播组的成员的子集提供仅包含用于计算MDP密钥的完整密钥消息的必要部分的组密钥管理消息。

如所附专利权利要求所定义的本发明满足这些及其它目的。

简言之，本发明包括建立用于媒体保护的顶级密钥，以及根据所使用的组密钥分发协议的输出密钥对顶级密钥加密。随后，鉴权签名至少应用于已加密顶级密钥。添加已加密顶级密钥和鉴权签名修改组密钥管理消息。已修改组密钥管理消息则向用户组的成员广播。

这开始仅对已加密顶级密钥的鉴权，从而避免消息大小的过度增加并确保高容错性。另外，与创建多个已加密媒体密钥的某些协议相反，新顶级密钥的引入可用来确保仅存在一个已加密媒体保护密钥。

作为设计选择的问题，已加密顶级密钥和鉴权签名可包含在已修改组密钥管理消息中的相同消息元素中或者不同消息元素中。

在想要或适当的时候，检验标记也可添加到组密钥管理消息，以使得能够检验已加密顶级密钥的正确性。

本发明一般例如可适用于诸如逻辑密钥分级协议(LKH)、子集差协议(SD)和分层子集差协议(LSD)之类的协议。

本发明的另一个方面涉及包含可识别消息元素的组密钥管理消息的优化。本发明的这个优化方面基于根据给定优化规则来修改组密钥管理消息M，以便滤除多个所述消息元素以及输出已修改组密钥管理消息M’。

例如，组密钥管理消息最初可能涉及一组接收方。在一个考虑给定小组的接收方的优选实现中，组密钥管理消息的修改或优化优选地包括小组用于确定组或媒体密钥所需的组密钥管理消息中的那些元素的识别。排除小组不需要的那些元素最终创建已修改组密钥管理消息。

本发明提供以下优点：

-容许丢包和位错误的组密钥管理消息鉴权。

-可与组密钥管理消息优化配合使用的鉴权方法。

-组成员可隐式鉴权组密钥管理消息的各部分。

-消息大小的显著减小而没有损害安全性。

-由于减小的消息大小而使终端上的计算负荷更少。

通过阅读以下对本发明的实施例的描述，将会理解本发明提供的其它优点。

附图说明

通过以下参照附图进行的说明，将会更好地理解本发明以及其它目的和优点，附图中：

图1是用于组密钥管理消息的分发的示范综述网络。

图2是逻辑树，表示用于对特定用户组的组密钥管理消息的适配的先有技术分级***。

图3是逻辑树，表示先有技术子集差方法。

图4说明根据本发明的新抽象层。

图5是根据本发明的一个优选基本实施例的流程图。

图6是根据本发明的另一个优选实施例的流程图。

图7是框图，说明根据本发明的一个实施例的组密钥管理消息的创建的示范配置。

图8是示范***设定的综述图解，其中可利用根据本发明的一个实施例的一个或多个优化服务器。

图9是简图，说明根据本发明的一个实施例的一个或多个优化服务器的操作。

图10是信号图，说明根据本发明的一个实施例的优化服务器与其它网络实体之间的示范信令。

图11说明根据本发明的优化服务器的网络中的示范位置。

图12是根据本发明的一个优选实施例的示范优化服务器的框图。

具体实施方式

在所有附图中，相同的参考标号将用于对应或相似的元件。

如图4中示意所示，本发明的第一方面涉及包含通常用作MDP密钥的顶级密钥的新抽象层的引入。新抽象层表示为分别处于示范基本协议LKH和SD之上。

图5是本发明的这个方面的一个优选基本实施例的示意流程图。在步骤S1，建立新的顶级密钥(例如用于媒体保护)，以及在步骤S2，优选地根据所使用的具体组密钥分发协议的输出密钥对顶级密钥进行加密。随后，在步骤S3，鉴权签名至少应用于已加密顶级密钥。在步骤S4，组密钥管理消息通过例如在已修改组密钥管理消息中的相同消息元素或者不同消息元素中添加已加密顶级密钥和鉴权签名来修改。在步骤S5，已修改组密钥管理消息则向用户组的成员广播。

当仅对已加密顶级密钥鉴权时，避免了消息大小的过度增加并确保高容错性。另外，与创建多个已加密媒体密钥的某些先有技术协议完全相反，新顶级密钥的引入还可用来确保仅存在一个已加密媒体保护密钥。

有益的是产生检验标记，它被添加到组密钥管理消息，以使得能够检验已加密顶级密钥的正确性，稍后会进行详细说明。

现在参照本发明的多个示范实施例更详细地描述本发明的第一方面。

本发明的第一示范实施例包括建立顶级密钥以及还可选地建立检验标记。顶级密钥用作用于对广播媒介加密的MDP密钥。仅密钥消息M中包含已加密顶级密钥的部分例如才利用签名或消息访问码(MAC)进行鉴权。然后使用任何已知的组密钥分发协议P，它基于密钥的分级的创建。这类方法的实例是LKH和SD方法。协议P具有在传统上用作MDP密钥的输出密钥H。但是，根据本发明，所述密钥H或者其派生物这时用于对顶级MDP密钥进行加密。

如果需要顶级密钥的正确性的检验，则使用检验标记。否则可省略检验标记。

接收组密钥管理消息的成员应当无需正确地接收整个消息，而只接收计算新密钥所需的部分。公开一种鉴权机制，它通过引入顶级密钥K_s以及取决于K_s并且可能取决于输出密钥H的特殊检验标记VT来采用隐式分级。因此，检验标记一般表示为VT(H，K_s)。顶级密钥K_s和检验标记VT示范地采用数字签名来鉴权。另外，优化方法与密钥分发方法共同应用，使得能够进一步减小密钥消息的大小而没有损害安全性。

用于广播或多播的所有组密钥分发协议的特征在于，整个组密钥管理消息被发送给所有组成员。准确的消息取决于所使用的协议P。下面假定协议P是以密钥H_Uij的逻辑分级为特征的分级协议，其中U_ij是索引标识符。作为示范，参照图2，i可能是与某个分级级关联的复合索引(0，1)，且j＝0或1。因此，U_ij＝(0，1；0)或(0，1；1)，与紧接所述某个级之下的分级级关联。复合索引标识符U_ij的精确含义取决于协议P。

为了更好地理解本发明，组密钥管理消息的一般化结构可定义如下：

$M=\{U_{\mathrm{ij}},E(H_{\mathrm{Uij}},{\hat{H}}_{\mathrm{Uij}})...U_{\mathrm{kl}},E(H_{\mathrm{Ukl}},{\hat{H}}_{\mathrm{Ukl}})\}$

在这个表达式中，H_Uij是用于加密函数E的加密密钥，以及取决于所使用的协议P的

是最终输出密钥H或者对应于分级协议中的级的下一个加密密钥的加密。在一些协议、如子集覆盖协议中，已加密密钥

与U_ij无关，因此，所有

均相同并等于H。其它协议、如LKH引入元素 $E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})$ 之间的相关性以便形成链接链。一般来说，为各用户提供实现H密钥的解密的多个加密密钥H_Uij。本领域众所周知，取决于具体协议P，确定要用于解密的密钥的方法有所不同。由索引U＝U_mm标识的消息的至少一个已加密部分包含协议输出密钥H＝H_Umm。

如前面结合图4所述，本发明引入新的抽象层以及用作MDP密钥的顶级密钥K_s。在图4中，新抽象层表示为分别处于示范基本协议LKH和SD之上。因此，在图4中，LKH的根密钥K_root是协议输出密钥H，以及在SD的情况中，H＝K_M。顶级密钥K_s被添加到消息集M中，并根据具体协议P的协议输出密钥H进行加密。因此，H加密K_s:E(H，K_s)。与创建多个已加密MDP密钥的某些协议相反，K_s的引入确保仅存在一个已加密MDP密钥。优选地仅直接对已加密密钥K_s鉴权，从而避免消息大小的过度增加并且同时确保高容错性。鉴权将表示为PF(H，K_s)，在其中，PF表示某个保护功能，例如包含采用私有密钥的签署服务器来制作的签名。函数PF的准确性质取决于所使用的协议P，在随后的示例实施例中将变得更为清楚。组成员可通过任何适当的通信、例如作为初始登记阶段的一部分来接收对应的公开密钥。在具有元素

的链接链的协议的情况中，K_s是M中的密钥链中的最后一个密钥，K_s的鉴权则确保整个密钥链的真实性。根据以上介绍的密钥消息的一般化结构，根据本发明的密钥消息如同以下所示：

$M=\{U_{\mathrm{ij}},E(H_{\mathrm{Uij}},{\hat{H}}_{\mathrm{Uij}})...U_{\mathrm{kl}},E(H_{\mathrm{Uij}},{\hat{H}}_{\mathrm{Uij}}),U,\mathrm{PF}(H,K_s)\}$

等式(1)

在不同部分之间的链式相关性的情况中，消息 $\{U_{\mathrm{ij}},E(H_{\mathrm{Uij}},{\hat{H}}_{\mathrm{Uij}})...U_{\mathrm{kl}},E(H_{\mathrm{Uij}},{\hat{H}}_{\mathrm{Ukl}}),U,\mathrm{PE}(H,K_s)\}$ 中的已加密K_s无法被检验为是正确的。任何部分 $\{U_{\mathrm{kl}},E(H_{\mathrm{ukl}},{\hat{H}}_{\mathrm{ukl}})\}$ 中的错误仍然允许密钥的导出，但是，这个密钥不与密钥K_s相关，并且它的正确性无法被检验。如前面所述，还可引入检验标记来检验已加密K_s的正确性。

在第一示范实现中，检验标记包含已加密密钥K_s的函数f。例如，函数PF具有形式PF＝{E(H，K_s+f(K_s))，Sign[E(H，K_s+f(K_s))]}。运算(+)通常表示两个操作数的串接。函数f是公开的，并且与成员终端共享，例如在上述初始登记阶段中。作为示范，函数f是它的自变量的校验和。

根据这个实施例的最终消息则如同以下所示：

$M=\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})...U_{\mathrm{kl}},E(H_{\mathrm{ukl}},{\hat{H}}_{\mathrm{ukl}}),U,E(H,K_s+f\left(K_s\right)),\mathrm{Sign}\left(E(H,K_s+f\left(K_s\right))\right)\}$

图6是流程图，说明产生消息M的过程。在S11，顶级密钥首先被创建或者从一组预先计算的密钥中选取。在S12，检验标记与所选顶级密钥串接。在S13，步骤S12的结果采用所选密钥分发协议的输出密钥来加密。在S14，鉴权签名至少被施加到步骤S13的结果。在步骤S15，步骤S13和S14的结果被加入组密钥管理消息。在步骤S16最后广播所产生的组密钥管理消息。

图7说明根据本发明的一个优选实施例的组密钥管理消息的创建的密钥服务器节点的示范配置。密钥服务器节点100基本上包括实现所选分级组密钥分发协议的单元10、顶级密钥引擎20、加密单元30、鉴权标记单元40、可选检验标记单元50、组密钥消息生成器/修改器60以及用户数据库70。顶级密钥引擎20产生顶级密钥，它优选地被转发给可选检验标记单元50用于产生和级联检验标记。来自单元50的输出被提供给加密单元30。单元30中使用的加密密钥是从单元10中实现的先有技术分级组密钥分发协议的使用所接收的输出密钥。来自加密单元30的输出被提供给组密钥消息生成器/修改器60，以及提供给单元40用于产生鉴权标记。单元40示范地产生密钥对，并且把私有密钥用于签署来自加密单元30的所接收输出。从单元40输出的鉴权标记还输入到组密钥消息生成器60。组密钥消息生成器60根据从分级组密钥分发协议所得到的原始消息，优选地通过采用来自数据库70的关于至少一组用户中的接收用户的组织的信息，来产生已修改组密钥消息。此后，组密钥消息被发送给至少一个用于广播消息的装置。

在第二示范实现中，检验标记基于计算消息访问码(MAC)。计算PF(H，K_s)的详细方法包括以下步骤。

1.采用单向函数、例如伪随机函数F、一个加密密钥K_E和一个鉴权密钥K_A从H＝H_Umn中创建协议P的输出密钥。

2.采用K_E对K_s加密，即A＝E(K_E，K_s)

3.通过对2的结果应用MAC来产生检验标记，即B＝MAC(K_A，A)

4.对于A和B施加签名，即Sign(A+B)

5.最终结果则将是PF(H，K_s)＝{E(K_E，K_s)，MAC(K_A，E(K_E，K_s))，Sign(E(K_E，K_s)+MAC(K_A，E(K_E，K_s)))}

运算(+)通常同样表示串接。在这里假定，例如在初始登记阶段中，函数F与用户共享，使用户能够从已解密协议输出密钥H导出密钥K_E和K_A。当组成员终端接收一般形式(等式1)的消息时，它收集发给它的信息，并采用所提供的密钥集H_Uij对其中的密钥进行解密。在这个过程中，当达到部分PF(H，K_s)时，MDP密钥K_s被解密，以及它的正确性和真实性通过校验消息的附加检验和鉴权部分来检验。

为了获得更透彻的理解，下面将描述给定示范实现的更详细步骤的实例。

同样考虑本发明的第一示范实现，详细步骤例如可定义如下：

1.成员终端识别M的子集 $M^{,}=\{U_{\mathrm{ij},}E\left(H_{\mathrm{Uij},}\widehat{H_{\mathrm{Uij}}}\right)...U_{\mathrm{kl},}E\left(H_{\mathrm{Ukl},}\widehat{H_{\mathrm{Ukl}}}\right),U,\mathrm{PF}(H,K_S)\},$ 其中仅包含针对该成员的元素，即M’中的每个 $\{u_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}$ 针对该成员。

2.根据一般分级方法，成员终端定位为之具有解密E以找到

的密钥H_Uij的集合M’中的一个成分 $\{H_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}.$

3.成分 $\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}$ 从集合M’中删除，以及步骤2重复进行，其中作为当前密钥H_Uij。

4.循环过程在M’仅包含{U，PF(H，K_S)}时结束。

5.这时，M’＝{U，PF(H，K_S)}，并且最后一个已解密密钥

在这里将为H。若PF(H，K_S)＝{E(H，K_S+f(K_S))，Sign[{E(H，K_S+f(K_S))]}，则成员终端可对K_S+f(K_S)解密，并采用函数f来检查检验标记f(K_S)。

6.如果步骤5成功执行，则成员终端随后检验签名Sign以便通过利用服务器公开密钥来对源进行鉴权。

注意，若步骤2中的每个解密正确进行，即加密链中的每个密钥被正确取回，则K_S+f(K_S)将被正确取回，以及检验标记将提供关于所有密钥已经正确取回的隐式确认。如果任何密钥仍未正确解密，则检验标记将失效。

本发明的第二示范实现中的相应详细步骤例如可定义如下：

1.以相同方式执行第一实施例的第一方面的步骤1-4，以获得成员终端对其具有解密密钥H的{U，PF(H，K_S)}。

2.密钥K_E和K_A采用函数F从H中得出。

3.通过采用导出密钥K_E对E(K_E，K_S)进行解密，媒体密钥K_S从消息元素PF(H，K_S)＝{E(K_E，K_S)，MAC(K_A，E(K_E，K_S))，Sign(E(K_E，K_S)+MAC(K_A，E(K_E，K_S)))}中得出。

4.正确性和真实性的校验采用密钥K_A和MAC来进行，以及签名Sign被检验以便通过采用服务器公开密钥来对源进行鉴权。

在本发明的另一方面，获得消息的进一步及一般适用的优化，而没有损害以上鉴权方案的健壮性。同样考虑以上给出的消息的一般形式：

$M=\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})...U_{\mathrm{kl},}E(H_{\mathrm{ukl}},{\hat{H}}_{\mathrm{ukl}}),...\}:$

或者更具体来说：

$M=\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})...U_{\mathrm{kl}},E(H_{\mathrm{ukl}},{\hat{H}}_{\mathrm{ukl}}),U,\mathrm{PE}(H,K_s)\}$

给定消息M和接收成员N的子集R_N，优化方法一般按照以下方式执行：

1.创建新的消息M’＝_。

2.对于每个 $\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}\∈M$ ，针对成员p_n∈R，把 $\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}$ 添加到M’，否则在p_n_R时丢弃(优化规则)。

3.用M’取代M。

实际上，这意味着，子集或小组R不需要的那些消息元素有效地从组密钥管理消息中滤除或排除。

该方法相对接收组N的子集R_N优化。该方法例如可在位于组成员与密钥服务器KS之间的通路上的任何位置的优化代理服务器Ops中实现。图11说明对于WCDMA移动通信***常见的网络节点RNC、SGSN或GGSN中的示范Ops服务器及其可能的位置。其它适当的网络节点可包括RBS节点、边界网关和个人代理单元。但是应当理解，本发明不限于无线应用，而是例如可适用于因特网服务应用。在一般方法的步骤2中，Ops服务器了解分级协议的结构，因而可确定消息元素是否针对接收组的成员。进行确定的准确过程取决于所使用的协议，下面进行进一步论述。但是要注意，可在无需Ops要求与协议中的保密密钥有关的任何信息或者其它保密信息的情况下应用该方法。步骤2中丢弃信息的判定可能只是对密钥管理消息的未加密部分、即U_ij进行。服务器Ops也可位于个人代理服务器中。消息M输入到Ops服务器并经过优化，从而在Ops输出上表现为减小的消息M’。

可能要注意，在应用这个方法之后，如果采用先前描述的鉴权方法，则成员P_n_R仍然能够检验真实性。这是因为以下事实：优化方法仅丢弃不是针对R的某个成员的消息，以及该成员仍然可取回K_S。但是应当注意，本发明的这个优化方面在具有或没有新顶级密钥的情况下均可适用。

根据本发明的优化方面的第一示范实施例，协议P是LKH协议。假定H是基于LKH的协议的根密钥。优化优选地如下进行：

1.取回组密钥管理消息 $M=\{U_{\mathrm{ij},}E\left(H_{\mathrm{Uij},}\widehat{H_{\mathrm{Uij}}}\right)...U_{\mathrm{Kl},}E\left(H_{\mathrm{Ukl},}\widehat{H_{\mathrm{Ukl}}}\right),U,\mathrm{PF}(H,K_S)\},$ 其中U_ij表示加密函数E中使用的加密密钥(H_ij)的标识符，

是已加密密钥。

2.创建新的M’＝_。

3.对于各 $\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}\∈M,$ 针对P_n∈R，即节点U_ij处于成员与根之间的通路上，把 $\{U_{\mathrm{ij}},E(H_{\mathrm{uij}},{\hat{H}}_{\mathrm{uij}})\}$ 添加到M’。

4.把{U，PF(H，K_s)}添加到M’

5.设置M＝M’。M这时将仅包含针对为其优化消息的成员的消息部分。

根据本发明的优化方面的第二示范实施例，协议P是子集覆盖协议，以及输出密钥由H＝K_M表示。优化优选地如下进行：

1.取回组密钥管理消息M＝{U_ij，E(H_Uij，K_M)...U_Kl，E(H_Ukl，K_M)，U，PF(H，K_s)}，其中U_xy定义可对相应的E(H_Uxy，K_M)进行解密的用户的特定子集。

2.创建新的M’＝_。

3.对于每个{U_ij，E(H_Uij，K_M)}∈M，针对p_n∈R(即其中p_n∈U_ij)，把{U_ij，E(H_Uij，K_M)}添加到M’。

4.把{U，PF(K_M，K_s)}添加到M’

5.设置M＝M’。M这时将仅包含针对为其优化消息的成员的消息部分。

同样参照图11，优化代理实现用于从不必要的部分滤除组密钥管理消息的优化方法。代理可位于***的不同部分，取决于网络拓扑和所需优化。它越靠近蜂窝接口或组成员，则可更好地减小消息。代理优选地与GGSN或其它用户了解网络节点、如代理、防火墙或家庭代理等相结合。执行过滤而没有破坏服务的安全性和可用性。一个以上过滤代理可存在于***的不同部分。代理的基本功能是通过消除冗余和不相干信息、即不需要用于小组计算MDP密钥的消息部分，减小组成员的各小组的组密钥管理消息的大小。

图9说明过滤过程的一个实例。在图9中，说明成员(UE)的两个小组。密钥服务器(KS)产生原始组密钥管理消息(M)，它被输入到删除消息成分m₁、m₂和m₃的第一过滤代理(OpS1)。例如，OpS1可能位于RNC节点，并且过滤不是处于RNC节点所控制的小区区域中的那些成员。已修改消息M₁此后被转发给代理服务器OpS2和OpS3。例如，这些可分别位于服务于无线电小区的无线电基站。因此，OpS2可滤除不是位于受控小区区域中的那些成员。作为示范，在图9中，消息成分m₄和消息块m_b1、m_b2被消除，从而产生已修改消息M₂，它被最终向小组的成员广播。

过滤也可采用不同于以上所述的其它标准。例如，OpS服务器可能知道处理广播内容的用户终端的能力。能力可能例如涉及终端用户装置的计算能力、终端用户装置上的特定解码器的可用性。其它因素可能涉及用户偏好、用户优先级以及用户位置。此外，OpS服务器可能了解无线电链路属性，例如可用带宽、差错率、延迟以及与无线电链路的质量相关的其它因素。因此，OpS服务器可从用户观点来自从广播中排除某些用户以避免不可接受的质量的接收，或者从网络观点来看从广播中排除某些用户以便节省带宽。作为这种排除的基础，OpS服务器编辑来自各种源的必要信息，例如通过RTCP(实时传输控制协议)或者例如全状态分组检查节点、媒体网关和防火墙等的其它网络监测节点所收集的媒体服务器统计信息。因此，一般来说，OpS服务器与若干网络实体进行交互，如图8所示。为了向用户发送受保护数据，媒体服务器(MS)提供与被广播的媒体的特性相关的信息。位置登记器(LR)提供用户位置数据。用户数据库(UDB)提供关于用户偏好和用户简档的信息。UDB还可登记用户与标识符U_ij之间的映射。但是，不是与每个这样的源直接交互，交互而是优选地通过从各个源收集信息的策略判定点(PDP)间接进行。根据所收集信息，判定OpS在给定时刻应当应用什么现行策略。策略判定点(PDP)提供与组密钥分发有关的动态和静态策略以及例如与业务整形和业务的临时阻塞相关的媒体数据。策略也可根据每个用户来设置。

图10说明根据本发明的示范信号图。密钥服务器(KS)在(1)传送由OpS服务器截收以进行处理的组密钥管理消息。如果组密钥管理消息属于OpS不知道的组密钥分发服务，则OpS在(2)联络密钥服务器(KS)以便检索与成员组有关的信息、包括其逻辑结构的组密钥分发协议的类型。如果组密钥分发服务是已知的，则消息(2)可省略。位置登记器(LR)在(3)采用请求进行联络以识别特定OpS正处理的用户。注意，如果请求表示可处理的所有用户，则它接收的用户列表可包括比组中的具体成员更多的用户。不在组中的任何用户被忽略。与位置登记器(LR)的联络定期进行，以便确保***中到处移动的用户以及新用户可被添加或者从具体OpS中删去。在(4)，OpS联络UDB以获取与组中的用户有关的信息和它们之间的映射以及组密钥管理消息中所使用的标识符U_ij。在(5)，从PDP中检索特殊策略。这些策略通常是不断更新的动态策略。动态策略取决于该情况，并且可随时间改变。例如，在时间x与y之间，假若用户数量为y，则无线电链路A不应当接收大于zKB的消息。静态策略“硬编码”于OpS中，例如表明仅接受来自节点Z的组密钥分发服务。在(6)，消息采用例如以上所述的用户了解优化方法进行优化。也可强制执行特殊策略。在(7)，向用户(UE)传送优化组密钥管理消息。在(8)，媒体服务器(MS)发送受保护媒体。OpS服务器可用作媒体业务的策略强制执行点，因而例如在(9)向用户(UE)转发媒体之前对业务整形或阻塞。其它网络实体可包含在按照图10的信令中，例如以便使子集R取决于网络配置参数。作为示范，子集R可限制到位于移动网络的某个位置区域中的成员。在这种情况中，参照图11，Ops服务器优选地位于RNC节点中。或者，子集R根据终端和/或无线信道能力来制作，以及子集R可限制到具有处理某种媒体格式的能力的成员终端或者限制到具有指定容量或质量的无线电接入的那些成员终端。

优选OpS服务器的一种示范结构如图12所示。输入消息缓冲器单元(IMBU)从密钥服务器(KS)接收密钥消息(M)。消息被转发给优化和策略强制执行单元(OPEU)。OPEU单元与通过网络信令接口(NWSI)从各种网络单元所接收的信息相关地执行优化。已修改消息(M’)存储在输出消息缓冲器单元(OMBU)中以便进一步向用户广播。控制单元(CLU)控制优化服务器中的进程。另一个信令接口(OPSS)处理不同优化服务器之间的信令。例如当用户从第一优化服务器所控制的一个小区移动到第二优化服务器所控制的另一个小区时，这可能是有用的。作为示范，参照图9，用户UE1可能从OpS2所控制的小区移动到OpS3所控制的小区。优化服务器OpS2则可相应地修改消息M₂，并发信号通知OpS3修改消息M₃。

本发明在所有方面一般可适用于无线、有线及其组合的广播和多播，例如不仅包括基于无线电的广播，而且包括因特网服务应用。

上述实施例只作为实例给出，并且应该理解，本发明不限于此。保留了本文所公开并要求其权益的根本的基本原理的其它修改、变更和改进均处于本发明的范围之内。

参考文献

国际专利申请WO-200260116(LOTSPIECH J B；NAOR D；NAOR S)。

“基于LKH的多播密钥分发方案的概率优化”，A.Selcuk等人，Internet draft 2000年1月，

http://www.securemulticast.org/draft-selcuk-probabilistic-lkh-00.txt。

“利用密钥图形的安全组通信”，C.K.Wong等人，

http://www.cs.utexas.edu/users/lam/Vita/ACM/WGL98.pdf。

“安全多播通信的可靠密钥鉴权方案”，R.Di Pietro等人，

http://cesare.dsi.uniromal.it/Sicurezza/doc/srds2003.pdf。

美国专利No.5748736。

“移动网络中的安全多播组通信的密钥管理”，T.Kostas等人，http://nevelex.com/downloads/discex.pdf。

Claims (20)

1.一种用于改进分级组密钥分发协议的方法，其中，向一组接收方广播包含可识别消息元素的组密钥管理消息，以便确定媒体解密密钥，其特征在于以下步骤：

-建立用于媒体保护的顶级密钥；

-根据组密钥分发协议的输出密钥对顶级密钥加密；

-把鉴权签名至少应用于已加密的顶级密钥；

-通过添加已加密的顶级密钥和鉴权签名来修改组密钥管理消息；以及

-向用户组的成员广播已修改的组密钥管理消息。

2.如权利要求1所述的方法，其特征在于，所述已加密的顶级密钥和所述鉴权签名包含在已修改的组密钥管理消息中的相同消息元素中。

3.如权利要求1所述的方法，其特征在于，所述已加密的顶级密钥和所述鉴权签名包含在已修改的组密钥管理消息中的不同消息元素中。

4.如权利要求1-3中的任一项所述的方法，其特征在于，还包括以下步骤：

-产生检验标记以允许顶级密钥的正确性的检验；以及

-把检验标记进一步添加到所述组密钥管理消息中。

5.如权利要求1-3中的任一项所述的方法，其特征在于，加密的步骤采用从组密钥分发协议的输出密钥中推导的加密密钥。

6.如权利要求5所述的方法，其特征在于，所述推导基于单向函数。

7.如权利要求4所述的方法，其特征在于，所述检验标记包含校验和，以及把检验标记添加到所述组密钥管理消息的所述步骤包括把校验和串接到已加密的顶级密钥。

8.如权利要求4所述的方法，其特征在于，所述检验标记包含根据已加密的顶级密钥而计算的MAC码，以及把检验标记添加到所述组密钥管理消息的所述步骤包括把所述MAC码串接到已加密的顶级密钥。

9.如权利要求8所述的方法，其特征在于，所述MAC码采用从组密钥分发协议的输出密钥推导的密钥来计算。

10.如权利要求1、2和3中的任一项所述的方法，其特征在于，所述协议是逻辑密钥分级协议(LKH)或子集差协议(SD)，以及子集差协议(SD)是分层子集差协议(LSD)。

11.如权利要求1所述的方法，其特征在于，在广播的步骤之前，执行消息的优化，还包括以下步骤：

-识别给定接收方的小组为确定媒体密钥所需要的所述组密钥管理消息中的那些元素；以及

-通过排除给定接收方的小组不需要的那些元素来创建已修改的组密钥管理消息。

12.如权利要求11所述的方法，其特征在于，广播在蜂窝无线电***中的指定区域内进行，以及涉及接收方的小组的识别的步骤在所述指定区域内进行。

13.如权利要求11或12所述的方法，其特征在于，所述组还限制于能够以预定的质量来接收所述媒体的接收方。

14.如权利要求13所述的方法，其特征在于，所述质量与至少一个传输链路质量相关。

15.一种用于改进分级组密钥分发协议的设备，其中，向多个组成员广播包含可识别消息元素的组密钥管理消息，其特征在于：

-用于建立用于媒体保护的顶级密钥的装置；

-用于根据组密钥分发协议的输出密钥对顶级密钥进行加密的装置；以及

-用于把鉴权签名至少应用于已加密的顶级密钥的装置；

-用于通过添加已加密的顶级密钥与鉴权签名来修改组密钥管理消息的装置；以及

-用于广播已修改的组密钥管理消息的装置。

16.如权利要求15所述的设备，其特征在于：

-用于产生检验标记以允许顶级密钥的正确性的检验的装置；以及

-用于把检验标记添加到组密钥管理消息的装置。

17.如权利要求15或16所述的设备，其特征在于，所述用于加密的装置根据从组密钥分发协议的输出密钥推导的加密密钥来操作。

18.如权利要求15所述的设备，其特征在于：

-用于识别给定所述组成员的小组为确定媒体密钥所需要的所述已修改的组密钥管理消息中的那些元素的装置；

-用于通过排除给定小组不需要的那些消息元素来创建优化组密钥管理消息的装置；

-用于广播优化组密钥管理消息的装置。

19.如权利要求15或16所述的设备，其特征在于，所述设备在密钥服务器中实现。

20.如权利要求15或16所述的设备，其特征在于，所述设备在网络节点中实现。

Images