BRPI0610402A2 - método, receptor e produto de programa para geração do grupo de chave - Google Patents

método, receptor e produto de programa para geração do grupo de chave Download PDF

Info

Publication number
BRPI0610402A2
BRPI0610402A2 BRPI0610402-9A BRPI0610402A BRPI0610402A2 BR PI0610402 A2 BRPI0610402 A2 BR PI0610402A2 BR PI0610402 A BRPI0610402 A BR PI0610402A BR PI0610402 A2 BRPI0610402 A2 BR PI0610402A2
Authority
BR
Brazil
Prior art keywords
group
key
pseudo random
function
receiver
Prior art date
Application number
BRPI0610402-9A
Other languages
English (en)
Inventor
Lauri Tarkkala
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=37215119&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BRPI0610402(A2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of BRPI0610402A2 publication Critical patent/BRPI0610402A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H60/00Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
    • H04H60/09Arrangements for device control with a direct linkage to broadcast information or to broadcast space-time; Arrangements for control of broadcast-related services
    • H04H60/14Arrangements for conditional access to broadcast information or to broadcast-related services
    • H04H60/23Arrangements for conditional access to broadcast information or to broadcast-related services using cryptography, e.g. encryption, authentication, key distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)
  • Input From Keyboards Or The Like (AREA)

Abstract

MéTODO, RECEPTOR E PRODUTO DE PROGRAMA PARA GERAçãO DO GRUPO DE CHAVE. Um sistema de geração de chave é descrito, o qual provê a geração do grupo de chaves privilegiado baseado na entrada do grupo privilegiado, O sistema que executa a geração de chave possui componentes chaves armazenados correspondendo a cada sub-grupo X possível do grupo unitário, onde os sub-grupos X têm k ou menos membros. O grupo de chave privilegiado é gerado para o grupo privilegiado ao passar os componentes chaves ordenados dos sub-grupos X que não contêm os membros do grupo privilegiado para a função pseudo randómica.

Description

"MÉTODO, RECEPTOR E PRODUTO DE PROGRAMA PARA GERAÇÃO DO GRUPO DE CHAVE".
CAMPO DA INVENÇÃO
A presente invenção se relaciona em geral ao campo da segurança e da criptografia. Esta invenção mais especificamente se relaciona à distribuição da chave nos sistemas de entrega de conteúdo.
DESCRIÇÃO DA TÉCNICA ANTERIOR
A. Fiat e M. Naor1 Broadcast Encryption, Advances in Cryptology - CRYPTO'93 Proceedings1 Lecture Notes in Computer Science, Vol. 773, 1994,páginas. 480-491.
NIST. FIPS-197: Advanced Encryption Standard.
http://csrc.nist.gov/publications/fips/fips 197/fips-197.pdf.
S. Frankel. AES-XCBC-MAC-96 Algorithm And Its Use With IPSec.
http://www.ietf.org/rfc/rfc3566.txt
NIST. FIPS-81 : DES Modes Of Operation.
http://www.itl.nist.gov/fipspubs/fip81.htm
H. Krawzyk. RFC 2104 - Keyed-Hashing for Message Authentication.
http://www.fags.org/rfcs/rfc2104.html
NIST. FIPS 180-1 : Secure Hash Standard.
RESUMO DA INVENÇÃO
Um aspecto da invenção descrita provê um método de geração de um grupo chave para um conjunto de receptores dos usuários autorizados.
O método provê um componente chave para cada subconjunto X possível de receptores autorizados com um número menor que k membros, onde k é uma constante predefinida. Uma função ordenadora injetora aloca os subconjuntos X em uma ordem determinada. Para o subconjunto de receptores autorizados, os subconjuntos X que não contêm os membros do subconjunto privilegiado são determinados. Os componentes da chave associados com cada subconjunto X são identificados. Uma função pseudo randômica que aceita como entradas as chaves componentes associadas com subconjuntos segregados do conjunto privilegiado com um tamanho menor que k, conforme definido pela função ordenadora injetora, e produz um grupo chave.
Um outro aspecto da invenção descrita provê um receptor com um ambiente a prova de violação que executa a geração de grupo chave. O ambiente a prova de violação armazena uma variedade de componentes chave e uma ID do dispositivo. Para cada dispositivo, há pelo menos um componente chave armazenado correspondendo a cada subconjunto X possível do qual o dispositivo não é um membro, onde os subconjuntos X identificam cada conjunto de receptores com um número de membros menor que k. No recebimento da definição de um grupo privilegiado, o hardware do receptor a prova de violação determina se o receptor é membro do grupo privilegiado. Se sim, a lógica do ambiente a prova de violação determina os subconjuntos X de tamanho menor que k que não contém os membros do grupo privilegiado, estes grupos são ordenados conforme determinado pela função ordenadora injetora. Os componentes chave associados com os grupos ordenados são usados como parâmetros por uma função pseudo randômica determinada pela função ordenadora. A resposta da função pseudo randômica é a chave do grupo privilegiado.
BREVE DESCRIÇÃO DAS FIGURAS
Figura 1 - é um exemplo do sistema de distribuição do conteúdo no contexto dos sistemas e métodos descritos.
Figura 2 - é um exemplo do sistema de derivação de chave do receptor.
Figura 3 - é um exemplo de uma função mix() baseada na AES- XCBC-MAC.
Figura 4 - é um exemplo de uma função mix() baseada no HMAC_SHA1.
Figura 5 - é um exemplo de uma função mix() com chave de comprimento variável baseado no HMAC_SHA1.
DESCRIÇÃO DETALHADA DA INVENÇÃO
Em um sistema de entrega de conteúdo, conforme mostrado na fig. 1, um provedor de conteúdo 10 transmite o conteúdo para um ou mais receptores 15 via um meio de transmissão. Um exemplo de tal sistema de entrega de conteúdo é a difusão de televisão via transmissão aérea, cabo, difusão de vídeo digital (DVB), satélite, redes de protocolo Internet ou qualquer outro sistema de entrega de multimídia incluindo Difusão Digital de Multimídia (DMB) e MediaFLO™ . Naturalmente, inúmeros outros tipos de conteúdo e de meios de transmissão adaptar-se-ão também a este modelo de entrega de conteúdo e se ajustaram ao contexto da invenção. Outros exemplos de tipos de conteúdo que poderiam ser distribuídos via este modelo incluem áudio, texto, vídeo games ou mídia interativa. Outros exemplos de meios de transmissão adequados incluem radiodifusão, celular, Bluetooth, IEEE802.11x, redes em malhas e WANs ou LAN com fio ou fibra ótica.
Provedores de conteúdo freqüentemente fornecem uma variedade de serviços aos seus usuários. Isto permite aos usuários formatar os serviços que recebem, de modo a atender às suas necessidades individuais. No contexto dos serviços de televisão, por exemplo, os usuários podem escolher entre canais premium, eventos pagar-para-ver (pay-per-view) e uma solicitação de programação especial. Para facilitar esta variedade, os provedores de conteúdo tipicamente criptografam alguns ou todos os seus conteúdos e somente permitem receptores autorizados a descriptografar os conteúdos correspondentes aos serviços que os usuários compraram.
Consistente com o sistema de criptografia, os provedores de conteúdo 10 empregarão hardware e software para criptografar pelo menos alguns dos conteúdos transmitidos e os receptores 15 terão hardware e software para descriptografar o conteúdo. O hardware dos receptores poderia ser incorporado em uma grande variedade de dispositivos, por exemplo, uma caixa seletora para televisão, um terminal móvel ou um computador de uso geral. Para manter a segurança do esquema criptografado, o hardware e/ou software do receptor incluirá um ambiente à prova de violação 16 que contém a informação e a lógica exigida para participar do sistema de criptografia. O ambiente à prova de violação 16 ajuda a garantir que os usuários tentem quebrar o sistema de criptografia não tendo acesso aos segredos do sistema. O ambiente à prova de violação 16 pode ser incorporado via quaisquer dos sistemas e métodos conhecidos na técnica.
O gerenciamento do sistema de criptografia/descriptografia, contudo, cria algumas dificuldades. Um problema particular é o gerenciamento e distribuição das chaves secretas e algoritmos usados para operar o sistema. Como o número de receptores no sistema ou o número de eventos discretos de criptografia se tornam grandes o gerenciamento das chaves se torna extremamente problemático.
Os sistemas e métodos descritos fornecem eficiente e segura geração e distribuição das chaves necessárias para criptografar e descriptografar o conteúdo. Os sistemas e métodos descritos permitem a ambos, provedor do conteúdo e ambiente à prova de violação dos receptores autorizados 16 para gerar chaves associativas a partir de um grupo de informação da secreta compartilhada e lógica. Além disso, o sistema descrito permite ao provedor de conteúdo e ao ambiente à prova de violação dos receptores 16 gerar combinações de grupos de chaves para um subgrupo de usuários autorizados. A definição de grupo autorizado permite que o provedor de conteúdo limite o número de eventos de criptografia e também limite a quantidade de informação transmitida, desse modo, reforçando a segurança do sistema.
Especificamente, os sistemas e métodos descritos fornecem a derivação do grupo de chaves em um ambiente de difusão, onde o grupo de chaves não revela a informação sobre os segredos armazenados no ambiente à prova de violação dos receptores 16. O ambiente à prova de violação 16 é necessário para implementar o esquema de derivação de chave e armazenar chaves componentes. As chaves componentes são chaves de segurança armazenadas no ambiente à prova de violação do receptor 16, que poderiam ter sido colocadas no receptor antes da distribuição do dispositivo para o usuário. Preferivelmente1 cada ambiente à prova de violação apenas armazena as chaves necessárias para gerar a chave grupo para os grupos autorizados do qual o receptor é um membro. O ambiente à prova de violação não necessita armazenar as chaves usadas para gerar grupos de chaves dos quais ele não é um membro.
Por exemplo, como mostrado na FIG. 2, um ambiente à prova de violação do receptor 16, inclui um esquema de derivação de chave 204 e armazenamento seguro 205, o qual armazena as chaves componentes 205a.
Para gerar um grupo particular de chaves 206, o ambiente à prova de violação 16 aceita como entrada uma definição de grupo 210 e, opcionalmente, salt 220, que é, por exemplo, uma constante global, específica para uma certa definição de grupo, hora do dia ou algum outro parâmetro independente das chaves componentes. Para garantir que a integridade do sistema de criptografia seja mantida, um ambiente à prova de violação do receptor 16 somente produzirá uma chave grupo se o usuário for um membro do grupo. Isto exige que a ID do dispositivo seja armazenada em um dispositivo de armazenamento seguro, de modo que o receptor possa reconhecer quando ele é um membro do grupo fornecido na definição de grupo 210. Vantajosamente, mesmo se algumas das chaves de grupo derivadas forem expostas aos usuários que tentam violar o sistema de criptografia, as secretas de longo prazo no ambiente à prova de violação 16 permanecem seguras. Além disso, o risco da exposição da chave grupo pode ser mitigado pela modificação freqüente dos parâmetros salt. Adicionalmente, um receptor que não é membro de um grupo autorizado não será capaz de violar a chave grupo utilizando o método descrito porque ele não disporá dos parâmetros necessários. A proteção dos sistemas, desse modo, não é baseada somente na determinação do ambiente à prova de violação quer este seja um membro do grupo autorizado.
Para o objetivo desta discussão, o grupo U é assumido para ser o grupo de todos os usuários. Naturalmente, na implementação de um sistema completo, o provedor de conteúdo pode operar múltiplos domínios independentes U. Assumiremos η = IUI para ser o tamanho do grupo. O provedor de conteúdo seleciona um valor de k que define a resistência do sistema, onde k<n. Esta resistência define a quantidade mínima do número de usuários que devem violar o ambiente à prova de violação e cooperar entre si para violar o esquema de criptografia. A seleção de k é uma decisão de projeto. Um valor grande para k conduz a um número maior de chaves, mas resulta em um sistema de criptografia que é mais difícil de violar. Por outro lado, um valor pequeno de k resulta em um sistema menos robusto, mas requer um número relativamente menor de chaves. Por exemplo, se k foi estabelecido para 2, o sistema seria seguro considerando que o ambiente à prova de violação permanecesse seguro, mas se dois usuários obtivessem as secretas no ambiente à prova de violação, eles poderiam juntar e invadir o sistema.
Uma primeira função ordenadora injetora f que transforma os membros do grupo U em membros do grupo Z , i.e., f : U Z, de tal modo que os membros de U estão ordenados em Z. Além disso, para dois membros a,b de U, a<b se e somente se f(a)<f(b). Uma outra função ordenadora injetora g(X) é definida para ordenar os subgrupos de U. Um exemplo de tal função é g(X) =]Γ2/(Η). Quaisquer outras funções que forneçam a ordenação injetora para os subgrupos U, contudo, podem ser usadas e seriam prontamente visualizadas na técnica. Uma chave é destinada para cada possível grupo X no grupo U para o qual IXI < k. Uma chave K_i é atribuída onde i-g(X). Em um projeto alternativo, toda a descrição relativa as chaves cria parte de uma chave onde o restante da chave é criado usando um outro procedimento.
Para cada dispositivo, o ambiente à prova de violação apenas armazena as chaves K_i que correspondem aos subgrupos de U com tamanho menor que k do qual ele não é um membro. Isto (juntamente com a derivação de chave abaixo descrita), implica que menos que k membros de U são incapazes de calcular a chave de grupo dos grupos dos quais não sejam membros.
O grupo de usuários autorizados é definido como Υ, o qual é subgrupo de U contendo os receptores autorizados. Y serve como a definição de grupo 210 enviada pelo provedor de conteúdo. Alternativamente, o grupo de usuários não incluídos em Y poderia servir como uma definição de grupo. Para um grupo autorizado Y, a chave do grupo 206 é gerada pelo emprego de uma função pseudo randômica que pode assumir um número arbitrário de entradas de comprimentos arbitrários, no contexto da descrição denominada de mix(). Para um dado grupo Y, os parâmetros para mix() são derivados de cada subgrupo X para o qual IXI < k que não inclui os membros de Y1 i.e., U - Y. Cada subgrupo é um membro de X e, então, tem uma chave associada K_i armazenada por cada receptor. As chaves K_i para cada X de U - Y são usadas como parâmetros para a função mix(). Além do mais, elas são usadas na ordem definida por g(X). Adicionalmente às chaves ordenadas K_i, o parâmetro salt, conforme discutido acima, pode ser opcionalmente enviado em conjunto com a definição de grupo e adicionado como parâmetro para mix().
Conforme mencionado, o parâmetro salt pode ser enviado como um parâmetro separado da definição de grupo. Este salt pode ser solicitado para que seja de um determinado formato (por exemplo, exatamente m bits em comprimento ou no máximo m bits no comprimento). Desse modo, se o salt não satisfizer os critérios estabelecidos, então a derivação da chave do grupo falha, então, necessita prover segurança adicional.
Três exemplos de implementação de função mix() são descritos a seguir, dois baseados na HMAC_SHA1 e um na AES_XCBC_MAC. Para as descrições apresentadas, o operador binário II é usado para descrever a concatenação. Naturalmente, inúmeras outras implementações e exemplos de funções mix() adequadas poderiam ser imediatamente visualizadas sem sair do conceito inventivo da invenção.
EXEMPLO FUNÇÃO MIX() BASEADA NA AES-XCBC-MAC
Esta seção descreve uma função mix() baseada na AES-XCBC- MAC como descrito por S. Frankel1 citado acima, Modo-Contador e modo de Realimentação Cifrado conforme descrito no NIST FIPS-81: DES Modos de Operação, citados acima. AES-CBC-MAC é usada pela criação de um código de autenticação da mensagem (MAC) empregando AES no modo CBC conforme descrito na NIST.FIPS-81.
A função pseudo randômica é definida considerando os parâmetros (k,x,j) baseados na AES-XCBC-MAC que fornece até j blocos AES como necessário. A entrada da função é uma chave AES, uma cadeia
de bits χ de blocos AES. Os blocos são denominados x_1, x_2.....
AES_k(x) é usada para denominar criptografia com AES sobre
um bloco χ de planilha de texto simples usando chave k.
AES_CBC_MAC_k(x) é usada para indicar processamento de uma MAC no modo-CBC usando AES com chave k sobre os blocos χ da planilha de texto. A entrada é assumida para ser de comprimento adequado (i.e. um múltiplo do tamanho do bloco AES).
A função pseudo randômica é processada como a seguir:
1. Seja k1 = AES_k (P1).
2. Seja k2 = AES k(P2).
3. C_1 = AES_k1 (AES_CBC_MAC_k1 (x) XOR k2 XOR 0x01)
4- Para cnt = 2 a j
C_cnt = AES_k1 (AES_CBC_MAC_k1 (χ Il CJcnt - 1}) XOR
k2X0R cnt)
A função pseudo randômica sempre cria até j AES blocos de dados. A função mix(salt, k_1.......k_m) é agora definida como :
1. T_1 = função pseudo randômica (k_1, SALT,,j) 2. Para cnt = 2 a m
a. T_cnt = função pseudo randômica (k_cnt,TJcnt -1}, j) As constantes P1 e P2 podem ser definidas à vontade, observando que P1! = P2. Pode-se por exemplo usar os valores P1 = 0x01010101010101010101010101010101 e P2 0x02020202020202020202020202020202.
Esta função mix() resulta em uma seqüência de bits T_m (onde m é o número de chaves na entrada) que é a chave para o grupo autorizado.
A FIG. 3 Ilustra a implementação de um exemplo de função mix baseada na AES-XCBC-MAC para o caso i=1 e cnt >1 e o salt tem o comprimento exato de um bloco AES. KJ 301 é aplicado aos blocos AES 302, 303 e 304. A constante P1 305, definida tal que P1!=P2, juntamente com a entrada da chave 301 são aplicadas ao bloco AES 302. A saída do bloco AES 302 juntamente com salt 309 são aplicados ao bloco AES 307. The XOR 311 de T_i, {j - 1} 310 e a saída do bloco AES 307 é aplicada ao bloco AES 308 juntamente com a saída do bloco AES 302. A chave 301 e a constante P2 306 são aplicadas ao bloco AES 303. A XOR 313 de j 312, como acima definido, e a saída do bloco AES 303 são aplicadas ao XOR 314 juntamente com a saída do bloco AES 308. A saída de XOR 314 e a chave 301 são aplicadas no bloco AES 304 para produzir TJj 315. O procedimento resulta no bloco TJ,j. Se somente uma chave é membro do grupo privilegiado e j=2, então este bloco seria o segundo bloco da chave do grupo de saída.
EXEMPLO FUNÇÃO MIX() BASEADA NO HMAC_SHA1
A função mix() baseada no HMAC_SHA1 é algo mais simples do que a implementação descrita acima. A função pseudo randômica considerando os parâmetros (k,x,j) que fornecem as saídas dos blocos j SHA 1, conforme descrito na NIST.FIPS 180-1: Secure Hash Standard, blocos de dados (160-bits) dada uma chave k e uma seqüência de bits x.
Denominaremos por HMAC_SHA1 (k,x) um HMACJ3HA1 processado usando uma chave k e uma seqüência de bits de entrada χ. A função pseudo randômica é como a seguir:
<formula>formula see original document page 11</formula>
A função pseudo randômica sempre cria até j blocos de dados SHA1 (160 bits). A função mix(salt, kjl,...,k_m) agora é definida como:
<formula>formula see original document page 11</formula>
2. Para cnt = 2 a m
<formula>formula see original document page 11</formula>
Este procedimento mix() resulta em uma seqüência de bits T_m (onde m é o número de chaves na entrada) isto é, a chave para o grupo privilegiado.
A FIG. 4 Ilustra a função mix() baseada no HMAC_SHA1. CJ1O é considerado como sendo uma seqüência vazia. O XOR 404 do Ipad 405 e a interação de KJ 403 é aplicada juntamente com Salt na concatenação com C_i, { j-1} concatenado com j 401 para garantir Secure Hash Algorithml (SHA1) 402. O XOR 407 do Opad 405 e a interação de K_i 403 está aplicado juntamente com a saída da SHA1 402 para SHA1 408 para criar C_i,j 409.
Este procedimento produz um bloco de saída SHA1. A iteração para cada valor de i ao longo de todos os blocos requeridos, de 1 até j, produz uma seqüência de blocos C_mj ( onde m é o número de chaves de entrada) que quando concatenada produz a chave do grupo.
EXEMPLO DE FUNÇÃO MIX() BASEADA NO HMAC_SHA1 COM CHAVE DE COMPRIMENTO VARIÁVEL
O uso de chaves de comprimentos variáveis com o HMAC_sha1 simplifica e acelera de forma significativa a função mix(). A função mix(salt, k_1.....k_n) então é processada como a seguir:
<formula>formula see original document page 11</formula> Nesta função todas as chaves são concatenadas juntas na ordem definida pela função ordenadora injetora. A realimentação cifrada e o modo contador são combinados e processados por HMAC_SHA1 sobre o salt.
A FIG.5 ilustra a função mix() baseada na chave de comprimento variável HMAC_SHA1. T_0 é considerada como sendo uma seqüência vazia. O XOR 504 do Ipad 505 e Κ_1 Il ... Il K_n 503 é aplicado juntamente com salt em concatenação com T_ (j -1} concatenado com T_ {j - 1}, concatenada com j 501 para garantir Secure Hash Algorithml (SHA1) 502. O XOR 507 do Opad 505 e a concatenação de Κ_1 Il ... Il K_n 503 é aplicada juntamente com a saída da SHA1 502 na SHA1 508 para criar TJ 509. Para a função descrita, no caso em que j>1 (se j=1 então o bloco anterior deveria ser omitido). Ipad e Opad são novamente constantes de comprimento igual à concatenação das chaves definidas em H. Krawzyk. RFC 2104 - Keyed- Hashing for Message Authentication.
Várias características e vantagens da presente invenção são aparentes a partir da especificação detalhada, e então, é pretendido que as reivindicações em anexo, cubram todas as características e vantagens da invenção, as quais se encaixam dentro do verdadeiro conceito inventivo e escopo da invenção.
Ademais, uma vez que inúmeras modificações e variações imediatamente poderão ocorrer àqueles familiarizados com a técnica, não é desejável que a presente invenção seja limitada às exatas instruções e operações aqui ilustradas e descritas. Assim sendo, todas as modificações e equivalentes adequadas que possam ser delas extraídas são pretendidas para estar dentro do escopo das reivindicações.

Claims (11)

1. Método de geração do grupo de chave CARACTERIZADO pelo fato de que compreende: - um grupo de receptores, que provê um componente de chave para cada sub-grupo X possível de receptores com menos do que k membros, onde k é uma constante pré-definida; - definir uma função de ordenação iterativa que ordena os sub-grupos X; - para um sub-grupo de receptores privilegiados, determinar quais sub-grupos X não contêm os membros do sub-grupo privilegiado e identificar os componentes chaves com cada sub-grupo X; - definir uma função pseudo randômica que carrega um número arbitrário dos componentes de chave como entradas e saídas do grupo de chave; e - usar os componentes de chave associados com os sub-grupos de X de tamanho menor do que k que não contêm os membros do sub-grupo privilegiado como entrada para a função pseudo randômica, onde os componentes chaves são aplicados à função pseudo randômica de forma a determinada pela função de ordenação iterativa e a saída da função pseudo randômica é um grupo de chave específico do receptor privilegiado.
2. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que também compreende uma função de ordenação iterativa adicional que designa os componentes chave para cada sub-grupo X.
3. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que é executado pelo receptor, e onde o receptor executa apenas o método se este for membro do sub-grupo privilegiado.
4. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a função pseudo randômica é baseada no AES-XCBC-MAC.
5. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a função pseudo randômica é baseada no HMAC_SHA1.
6. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a função pseudo randômica carrega o parâmetro adicional salt.
7. Receptor CARACTERIZADO pelo fato de que compreende: - um ambiente a prova de violação, compreendendo armazenagem e lógica; - uma pluralidade de componentes chaves e a ID do dispositivo armazenada em um ambiente a prova de violação, onde há ao menos um componente chave correspondendo a cada sub-grupo X possível do qual o receptor não é membro, onde os sub-grupos X descrevem cada grupo de receptores com menos do que k membros; - onde no recebimento de uma definição de grupo privilegiada, a lógica no ambiente a prova de violação determina os sub-grupos X que não contêm os membros do grupo privilegiado, cada grupo é ordenado como determinado por uma função de ordenação iterativa, os componentes chave associados com os grupos ordenados são usados como parâmetros para a função pseudo randômica e aplicados na ordem ditada pela função de ordenação; e - onde a saída da função pseudo randômica é um grupo de chave privilegiado.
8. Receptor de acordo com a reivindicação 7, CARACTERIZADO pelo fato de que a função pseudo randômica é baseada no AES-XCBC-MAC.
9. Receptor de acordo com a reivindicação 7, CARACTERIZADO pelo fato de que a função pseudo randômica é baseada no HMAC_SHA1.
10. Receptor de acordo com a reivindicação 7, CARACTERIZADO pelo fato de que a função pseudo randômica carrega o parâmetro adicional salt.
11. Produto de programa para a geração do grupo de chave CARACTERIZADO pelo fato de que compreende: - um dispositivo legível de computador; - um código de programa armazenado no meio legível de computador que define uma função de ordenação iterativa que ordena os sub-grupos X, onde os sub-grupos X são sub-grupos do grupo de todos os receptores possuindo menos do que um número de membros pré-determinado; - um código de programa armazenado no meio legível de computador que no recebimento da definição do grupo determina quais sub-grupos X não contêm quaisquer membros de dentro da definição do grupo e identifica um componente chave associado com cada sub-grupo X; - um código de programa armazenado no meio legível de computador compreendendo uma função pseudo randômica que carrega um número arbitrário de componentes chave como entradas e saídas do grupo de chave; e - um código de programa armazenado no meio legível de computador que usa os componentes chaves associados com os sub-grupos de X que não contêm os membros dentro da definição do grupo como entradas para a função pseudo randômica, onde os componentes chaves são aplicados à função pseudo randômica de forma determinada pela função de ordenação iterativa e a saída da função pseudo randômica é um grupo de chave específico do receptor privilegiado.
BRPI0610402-9A 2005-04-25 2006-04-24 método, receptor e produto de programa para geração do grupo de chave BRPI0610402A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US67495905P 2005-04-25 2005-04-25
US60/674959 2005-04-25
PCT/IB2006/000992 WO2006114684A2 (en) 2005-04-25 2006-04-24 Method and apparatus for group key generation

Publications (1)

Publication Number Publication Date
BRPI0610402A2 true BRPI0610402A2 (pt) 2012-01-10

Family

ID=37215119

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0610402-9A BRPI0610402A2 (pt) 2005-04-25 2006-04-24 método, receptor e produto de programa para geração do grupo de chave

Country Status (9)

Country Link
US (1) US8391478B2 (pt)
EP (1) EP1875655B1 (pt)
JP (1) JP2008538875A (pt)
KR (1) KR100971992B1 (pt)
CN (1) CN101164274B (pt)
BR (1) BRPI0610402A2 (pt)
MX (1) MX2007012748A (pt)
WO (1) WO2006114684A2 (pt)
ZA (1) ZA200710089B (pt)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8233623B2 (en) * 2006-05-08 2012-07-31 Qualcomm Incorporated Methods and systems for blackout provisioning in a distribution network
EP1998488A1 (de) * 2007-05-26 2008-12-03 DSI Informationstechnik GmbH Personalisierte AES Verschlüsselung
US20110099362A1 (en) * 2008-06-23 2011-04-28 Tomoyuki Haga Information processing device, encryption key management method, computer program and integrated circuit
JP5500923B2 (ja) * 2008-11-27 2014-05-21 キヤノン株式会社 情報処理装置
US8510552B2 (en) 2010-04-07 2013-08-13 Apple Inc. System and method for file-level data protection
US8788842B2 (en) * 2010-04-07 2014-07-22 Apple Inc. System and method for content protection based on a combination of a user PIN and a device specific identifier
CN102468955B (zh) * 2010-11-15 2014-10-08 中国移动通信集团公司 物联网中用户组的成员节点与网络侧通信的方法和设备
US8751804B1 (en) * 2011-06-30 2014-06-10 Decho Corporation Controlling access to data within encrypted copies of files using salt parameters
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9215076B1 (en) * 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
CN103281570B (zh) * 2013-04-25 2016-04-20 河海大学 免费接收者数量可控的广播加密方法
US10944557B2 (en) * 2018-04-25 2021-03-09 Nxp B.V. Secure activation of functionality in a data processing system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2391142A (en) * 1944-06-15 1945-12-18 Henry M Herbener Toolholder
US5381481A (en) * 1993-08-04 1995-01-10 Scientific-Atlanta, Inc. Method and apparatus for uniquely encrypting a plurality of services at a transmission site
IL106796A (en) * 1993-08-25 1997-11-20 Algorithmic Res Ltd Broadcast encryption
US5757923A (en) * 1995-09-22 1998-05-26 Ut Automotive Dearborn, Inc. Method of generating secret identification numbers
JPH118615A (ja) 1997-06-16 1999-01-12 Hitachi Ltd データ暗号化システム、情報処理装置、icカード、記録媒体およびデータの暗号方法
WO2000011871A1 (en) * 1998-08-23 2000-03-02 Open Entertainment, Inc. Transaction system for transporting media files from content provider sources to home entertainment devices
US6735313B1 (en) * 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
GB2391142B (en) 1999-07-15 2004-03-31 Nds Ltd Key management for content protection
US6898288B2 (en) * 2001-10-22 2005-05-24 Telesecura Corporation Method and system for secure key exchange
US7227951B2 (en) * 2001-11-06 2007-06-05 Ntt Docomo, Inc. Enhanced ANSI X9.17 pseudorandom number generators with forward security
JP3900483B2 (ja) * 2002-06-24 2007-04-04 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報配信システム、そのサーバ及び情報処理装置
CN1241350C (zh) 2002-09-23 2006-02-08 国际商业机器公司 有条件接收系统中的密钥分配方法及装置
KR20040068499A (ko) * 2003-01-24 2004-07-31 마쯔시다덴기산교 가부시키가이샤 공유키 교환방법과 통신기기
CN1444167A (zh) * 2003-04-23 2003-09-24 浙江大学 一种椭圆曲线上基于公钥证书的数字签名方法

Also Published As

Publication number Publication date
KR100971992B1 (ko) 2010-07-22
CN101164274B (zh) 2011-01-26
EP1875655B1 (en) 2017-08-16
US8391478B2 (en) 2013-03-05
US20070189540A1 (en) 2007-08-16
JP2008538875A (ja) 2008-11-06
KR20080004625A (ko) 2008-01-09
MX2007012748A (es) 2008-01-14
ZA200710089B (en) 2009-07-29
EP1875655A4 (en) 2013-12-18
CN101164274A (zh) 2008-04-16
WO2006114684A2 (en) 2006-11-02
EP1875655A2 (en) 2008-01-09
WO2006114684A3 (en) 2007-01-18

Similar Documents

Publication Publication Date Title
Sahai et al. Dynamic credentials and ciphertext delegation for attribute-based encryption
KR101052940B1 (ko) 분배망에서의 블랙아웃 규정을 위한 방법들 및 시스템들
CN115348006B (zh) 一种后量子安全的访问控制加解密方法、装置和系统
JP2020503564A (ja) 曖昧さの増加
Xu et al. Multi-authority proxy re-encryption based on CPABE for cloud storage systems
BRPI0610402A2 (pt) método, receptor e produto de programa para geração do grupo de chave
Deng et al. Tracing and revoking leaked credentials: accountability in leaking sensitive outsourced data
Câmara et al. Multicast delayed authentication for streaming synchrophasor data in the smart grid
Ning et al. Traceable and revocable CP-ABE with shorter ciphertexts
Sharipbay et al. Application of finite automata in cryptography
US20230083850A1 (en) Cryptographic systems and methods for development of pools of random numbers
Bacis et al. Mix&Slice for efficient access revocation on outsourced data
Saberi et al. Improving confidentiality of AES-CCMP in IEEE 802.11 i
US12160509B2 (en) Cryptographic systems and methods for maintenance of pools of random numbers
CN109495478A (zh) 一种基于区块链的分布式安全通信方法及系统
Nuta et al. Forward-secure public key encryption without key update from proof-of-stake blockchain
Graf et al. Versatile key management for secure cloud storage
Hłobaż et al. Enhancements of encryption method used in SDEx
US20250274278A1 (en) Cryptographic systems and methods for development of pools of randomnumbers
JP5051429B2 (ja) 暗号鍵管理方法、そのシステム及びそのプログラム
Chu et al. Secure mobile subscription of sensor-encrypted data
Jayarin et al. A Secured Key Distribution for Effective File Transfer Using HMAC-SHA Algorithm with Self-Healing Property
Nutal et al. Forward-Secure Public Key Encryption Without Key Update from Proof-of-Stake
Deepika et al. Secure multiowner data sharing in the cloud
Gough Applying Attribute-Based Encryption in Two-Way Radio Talk Groups: A Feasibility Study

Legal Events

Date Code Title Description
B25A Requested transfer of rights approved

Owner name: NOKIA TECHNOLOGIES OY (FI)

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 9/08 , H04H 60/23

Ipc: H04L 9/06 (1990.01), H04L 9/08 (1990.01), H04L 9/3

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B11D Dismissal acc. art. 38, par 2 of ipl - failure to pay fee after grant in time