技術領域

本發明涉及組秘密的管理，并且更特別地，涉及用于組成員管理組秘密的方法和系統。

背景技術

特定實施例在這里針對一組設備的密鑰管理，其包括在不要求管理秘鑰并且將密鑰分發給組成員的中央管理局的情況下啟動組、擴展組成員關系以及減少組成員關系。特定實施例進一步允許該組設備的設備將安全消息發送到在組成員之中的設備的任何子組，其中非尋址設備不能夠解密所述消息。

消息加密方案是已知的并且可以是基于例如“零消息廣播”(ZMB)或“廣播加密”的；見，例如Amos?Fiat和Moni?Naor的Broadcast?Encryption,?1993（在下文中的Fiat與Naor)。Fiat與Naor討論了廣播加密。一般而言，術語“廣播加密”能夠簡單地意指廣播的加密。然而，如由Fiat與Naor所介紹的那樣，該術語具有特定含義。Fiat與Naor的“廣播加密”被開發用于使得廣播裝置能夠安全地將消息廣播到設備的預定義的組的子集。該預定義的組被稱作設備組(Device?Group)。

Fiat與Naor的廣播加密的最簡單變例中的中心思想是：設備組中的每個設備擁有除它自己的設備密鑰(Device?Key)之外的該設備組中的所有其它設備的設備密鑰。設備組還可以具有設備組密鑰(Device?Group?Key)。要注意的是存在針對大的組的密鑰管理過程，使得每個設備僅必須被發布比組大小減一少的密鑰，例如²log?(組大小)個密鑰并且能夠根據這些密鑰計算被要求的所有密鑰。

當消息的廣播裝置想要安全地將消息發送到來自設備組的設備的子集的地址時，廣播裝置將被尋址設備的ID置為消息的明文部分，并且計算加密密鑰，所述加密密鑰是非尋址設備的所有設備密鑰的函數。非尋址設備的設備密鑰被使用，因為被尋址設備不具有它們自己的密鑰。廣播裝置加密并且廣播消息。設備組中的未被尋址的設備不能夠解密消息，因為它們不具有它們自己的密鑰。在設備組外的設備不能夠解密消息，因為它們不具有非尋址設備的密鑰。僅設備組中的被尋址設備能夠解密消息。當然，屬于該設備組的設備必須知道根據設備密鑰來計算消息密鑰的算法。一般而言，所述算法不必對在設備組外的其它設備保密。

相關概念是k-彈性(resiliency)。在Krishnaram?Kenthapadi?2003年11月11日的“Broadcast?Encryption”中，定義k-彈性如下：

在由n個用戶的集合U構成的系統中，如果對于從用戶的集合S分離的每個子集T，具有S的所有秘密的偷聽者不能夠獲得關于為T所共有的秘密的“知識”，則廣播方案對于用戶的集合S而言是彈性的。我們能夠考慮安全的計算定義或信息論。如果它對于大小為k的任何集合?S???U而言是彈性的，則方案是k-彈性的。

定義k-彈性的另一方式是：如果至少k+1個成員必須共謀或者一起工作以便獲得所有組秘密，則廣播方案是k-彈性的。結合組的知識的這樣的攻擊被稱作共謀攻擊(collusion?attack)。

上面所描述的方案是1-彈性的。用上述定義看來是簡單的，因為任何組成員能夠從任何其它組成員學習到它缺失的秘密(它自己的密鑰)。

現有k-彈性廣播加密方案的例子可以在Amos?Fiat?and?Moni?Naor,?Broadcast?Encryption,?1993以及?Krishnaram?Kenthapadi,?Broadcast?Encryption,?2003年11月11日中被找到。

當將成員添加到設備組時，所有舊的成員通常被發布新的組密鑰或者對舊的組密鑰執行單向函數，并且新的成員被發布新的密鑰。要注意的是，單向函數是易于針對每個輸入來計算的數學函數，但對于所述每個輸入而言反函數非常難以計算。通過這樣做，新的成員不能夠解密發送到組的舊消息。這在實際的實施方案中可能是或者可能不是必要條件。

將消息發送到設備組中的所有設備