本發明涉及用于基于密鑰塊的鑒權的設備和方法。

近年來，廣播加密(參閱A.Fiat和M.Naor的“Broadcast?Encryption，Advances?in?Cryptology-CRYPTO’93”，Lecture?Notes?in?ComputerScience?773，Springer，1994，pp.480-491；D.M.Wallner、E.J.Harder和R.C.Agee的“Management?for?Multicast：Issues?and?Architectures(對多點傳送的管理：問題和體系結構)”，Internet?RFC2627，June，1999；以及C.K.Wong、M.Guoda和S.Lam的“Secure?GroupCommunication?Using?Key?Graphs(使用密鑰圖形的安全組通信)”，SIGCOMM?1998.Wong等人)已被證明是一種解決在版權保護領域中的密鑰分發和撤銷問題的非常流行的方式。舉例而言，諸如用于可記錄媒體的版權保護和用于預記錄媒體的版權保護(CPRM，CPPM，參閱http://www.4centity.org)那樣的系統、用于Blu-ray盤可重寫的內容保護系統(BD-RE?CPS，Matsushita/Philips/Sony)、和視頻內容保護系統(參閱http://www.licensing.philips.com/vcps，HP/Philips)使用密鑰塊來保證只有依從的(compliant)回放和記錄設備才能夠訪問內容。

支持廣播加密的總體思想在于，所有設備的全部集合被過多的(plethora)經明智選擇的子集所覆蓋。對于這些子集中的每一個子集，分配一個組密鑰。組密鑰被嵌入在屬于相應子集的所有設備中。一個特定的設備是多個子集的成員，所以具有機載的(on?board)多個組密鑰。一個設備的機載的這組組密鑰也被稱為它的設備密鑰。為了把對一條內容的訪問限制于依從設備的這個集合，該內容被用根密鑰K_root進行加密，而該K_root又被用幾個不同的組密鑰進行加密。組密鑰被以這樣的方式來選擇，即相應的子集正好覆蓋該依從設備的集合，但不多于它。包含用組密鑰進行加密的K_root的結構被稱為密鑰塊(key?block)。

當發現一個或多個原來的依從設備被黑客攻擊(hack)時，新的內容被用新的根密鑰K’_root進行加密，并且使用新的密鑰塊把這個密鑰傳送到其余的依從設備。被使用于這個密鑰塊的組密鑰現在對應于僅僅覆蓋新依從設備集合的子集的新聚集。通過選擇子集的新聚集，通過創建新的密鑰塊，實際上可以撤銷(revoke)一組設備。

廣播加密優于替換方案的優點在于，它將低傳輸要求(密鑰塊的尺寸約略地正比于非依從的/撤銷的設備的數目，通常小于幾千)與它的低復雜度相組合：僅僅需要對稱密鑰密碼術來譯碼密鑰塊。而且，撤銷和密鑰分發被方便地合成(roll?into)一體。

廣播加密的相對較新的應用是它在鑒權中的使用。如在以上的例子中，設備仍舊具有嵌入的設備密鑰組，其中每個設備具有不同的設備密鑰組，依從設備能夠用其來譯碼密鑰塊，但非依從設備不能。通過將密鑰塊的根密鑰用作在詢問應答協議中的共享的秘密，一個設備可以驗證另一個設備-例如從機頂盒請求內容的記錄器-(仍舊)是依從的。廣播加密的這個用法的例子可以在諸如xCP(用于加入家庭網絡的設備，參閱IBMresponse?to?DVB-CPT?Call?for?Proposals?for?Content?Protection?&?CopyManagement，DVB-CPT-716(用于內容保護與版權管理的建議的對于DVB-CPT調用的IBM應答，DVB-CPT-716)，Oct.2001http://www.almaden.ibm.com/software/ds/ContentAssurance/papers/xCP_DVB.pdf)和VCPS那樣的系統中找到。

雖然在內容分發中的廣播加密的優點轉入鑒權，但不幸地，還有一個主要的缺點：密鑰公布(key?publishing)攻擊。問題在于這種黑客攻擊允許單個老練的黑客向許多臨時(casual)黑客提供軟件工具，以使得這些未經授權的臨時黑客能夠以這樣一種方式對于依從設備進行鑒權，即：在這個工具中使用的密鑰不能被撤銷。這種黑客攻擊的方法如下所述。

由于沒有一種密鑰塊譯碼的實現是完美的，所以在整個群體中總是可以有一個設備，在其中相對老練的黑客可以檢索到設備密鑰。特別地，軟件應用在這方面是易受攻擊的。