用于广播加密最优化和可扩展性的系统和方法

摘要

一种具有广播加密的内容分配方法，其包括：执行设置程序，包括：生成公共域参数，生成服务器保密数据集，以及生成一个或多个客户端专用密钥，每个内容接收客户端对应一个客户端专用密钥；执行加密程序，包括：使用服务器保密数据集、订阅者组和随机数生成密文，所述密文固定且与分配网络中的内容接收客户端的总数无关，使用服务器保密数据集和随机数生成明文，以及使用明文将原始内容加密成加密内容；将客户端专用密钥分配给内容接收客户端；将密文分配给内容接收客户端；通过分配网络广播加密内容；以及通过分配网络中的每个内容接收客户端对加密内容执行解密程序。

说明书

技术领域

本发明大体涉及网络，尤其是计算机网络或者诸如电视的广播网络。 具体而言，本发明涉及用于对网络中分配的特权内容加密的方案。

背景技术

在广播加密方案中，内容分配器加密特权内容，该特权内容用于在广 播信道上收听的某些子组用户或者分配网络中的某些子组客户端。任何用 户或者客户端可以使用他的专用密钥来解密所接收到的加密内容，但是只 有所选子组的用户或者客户端能够将加密内容解密成原始内容。内容分配 器能够控制并选择这个子组。广播加密具有多种应用，包括加密文件系统 中的访问控制、电视订阅服务和媒体内容保护。

传统的广播加密方案(例如那些使用公共密钥基础结构(PKI)或者 双线性对的广播加密方案)产生密码头，密码头随着用户人数或订阅者库 的大小或者分配网络中客户端的总数而成比例地增加。因为密码头与加密 内容会被一起发送给用户或者客户端，所以当总的用户人数特别大以及当 订阅者库增加时，它就会使得网络性能降低。

因此，需要一种新的广播加密方案，以使得密码头具有固定大小，而 不受总的用户人数以及订阅者库中变化的影响。

发明内容

本发明的目的在于提供一种利用大小固定密码头的广播加密方案进 行内容分配的方法和系统。

在本发明公开的差分群密钥广播加密(DGKBE)方案中，产生的密文 大小固定并且不受分配网络中的接收内容的客户总数的影响。

根据一个实施方式，DGKBE是一种包括设置、加密和解密程序的多 个程序的有序组合。设置和加密程序在内容分配器上执行，而加密程序在 内容接收客户端上执行。在电视广播网络中，内容接收客户端通常是接收 器机顶盒。

设置程序产生服务器保密数据集和客户端专用密钥。服务器保密数据 集至少包括取自椭圆曲线的有理点、属于有限域中元素的随机数、设置给 分配网络中的所有内容接收客户端的初始订阅者组、以及初始随机数。客 户端专用密钥也从有理点产生，并且被分配给分配网络中的内容接收客户 端。

加密程序利用服务器保密数据集、订阅者组和随机数来产生密文和明 文。明文用来将原始内容加密为加密内容。密文与加密内容一起被广播到 分配网络。

解密程序利用密文和客户端专用密钥来再生成明文以解密加密内容。 如果内容接收客户端属于订阅者组，其对应的专用密钥数据就会在加密程 序中被包括在密文的生成步骤中。因此，由订阅者内容接收客户端再生成 的明文会将加密内容正确解密成原始内容。

因为密文大小与使用的椭圆曲线上的有限数量的有理点成比例，所以 密文具有固定大小并与分配网络中的内容接收客户端的总数无关。

附图说明

下文中参照附图对本发明的实施方式进行详细描述，其中：

图1示出了一个结构图，该结构图示意性展示了示例性的内容分配系 统，该内容分配系统执行本发明所公开的差分群广播密钥加密(DGKBE) 的实施方式的程序。

具体实施方式

在下面的描述中，以优选实例的方式对利用差分群密钥广播加密 (DGKBE)的内容分配的系统和方法进行描述。对于所属领域技术人员而 言，显而易见，可以在不背离本发明的范围和精神的情况下进行包括增加 和/或替换的修改。为了避免模糊本发明，可以省略具体细节；但是，撰写 的公开内容能够让所属领域技术人员无需过多实验就能够实现本文的教 导。

差分群密钥广播加密(DGKNE)是一种包括设置、加密和解密程序 的多个程序的有序组合，在数学上，其可以如下表示：

元组(Setup，ServEnc，Dec)

参照图1，通常通过一个或多个计算机服务器在内容分配器100上执 行Setup 106和ServEnc 102程序。Setup程序106主要输出的是待由ServEnc 程序102处理的服务器保密数据集ServS和客户端专用密钥d₁，...，d_n 101。 来自Setup程序的每个客户端专用密钥d_i 108也通过分配网络或者广播信 道120分配给具有标识符i的每个内容接收客户端103。ServEnc程序102 处理服务器保密数据集ServS和客户端专用密钥d₁，...，d_n 101，并生成明文 ptxt 103和密文ctxt 107，明文ptxt 103将用来在内容加密阶段104加密原 始内容105，密文ctxt 107将被与加密内容一起通过分配网络或者广播信 道120分配给内容接收客户端103。Dec程序134由分配网络中的每个内 容接收客户端130执行。在电视广播网络中，内容接收客户端通常是接收 器机顶盒。当内容接收客户端i 130接收密文ctxt 107和加密内容时，Dec 程序134利用之前接收和存储的客户端专用密钥d_i 108和密文ctxt 107来 再生成明文ptxt 133，以在内容解密阶段132解密加密内容。结果是获得 等同于内容分配器100广播的原始内容105的内容131。

设置程序Setup接收输入的安全参数1^λs、有限域F_p(其中p是素数幂)、 椭圆曲线C、属于椭圆曲线C且order(g)＝r的有理点g(其中r是素数)、 随机数α和γ(α，γ∈F_p)，以产生包括一组公共域参数param的输出，该组 公共域参数param至少包括分配网络中的内容接收客户端的总数n。该程 序还输出服务器保密数据集ServS，其至少包括有理点g、随机数α和γ、初 始订阅者组S₀(其设置给分配网络中的所有内容接收客户端)和初始随机 数t₀。在数学上，服务器保密数据集可以如下表述：

ServS＝{g，α，γ，S₀，t₀}

该程序还输出客户端专用密钥d₁，...，d_n，分配网络中的每个内容接收客户端 对应一个客户端专用密钥。根据实施方式，每个客户端专用密钥包括三个 密钥串。客户端专用密钥如下计算：

d_i＝(d_1，i，d_2，i，d_3，i)；其中i表示分配网络中的每个内容接收客户端的标 识符或者i∈{1，...，n}

d_1，i＝g_i^γ

d_2，i＝g_i

d_3，i＝∏_j∈S0，j≠i g_n+1-j+i

加密程序ServEnc接收输入的那组公共域参数param、服务器保密数 据ServS、客户端专用密钥d₁，...，d_n、订阅者组S(其是分配网络中的所有 内容接收客户端的子组或者以及随机数t，以产生包括明 文ptxt和密文ctxt的输出。明文ptxt如下计算：

$\mathrm{ptxt}=\hat{e}{(g_n,g_1)}^t$

明文ptxt然后用来将原始内容加密成加密内容，以分配给内容接收客户端。 根据一个实施方式，密文包括三个密文串。密文ctxt如下计算：

ctxt＝(C₀，C₁，C₂)

C₀＝g^t

C₁＝(v∏_j∈S g_n+1-j)^t，其中v＝g^γ

C₂＝(∏_j∈S\S0 g_n+1-j)^t/γ(∏_j∈S0\S g_n+1-j)^-t/γ

因为C₀、C₁和C₂每个是一个椭圆点，密文ctxt的大小仅仅是三个点，所 以大小固定并且与分配网络中的内容接收客户端的总数n无关。

加密程序Dec接收输入的客户端专用密钥d_i(其对于内容接收客户端 i是唯一的)和密文ctxt来再生成用来将原始内容加密成加密内容的明文 ptxt。该明文ptxt如下计算：

$\mathrm{ptxt}=\hat{e}(d_{2,i},C_1)\hat{e}{(d_{1,i}{d}_{3,i},C_0)}^{-1}\hat{e}{(C_2,d_{1,i})}^{-1}$

如果内容接收客户端是订阅者，也就是说，如果i∈S₀∩S，那么在Dec 程序中再生成的ptxt就等同于在ServEnc程序中生成的ptxt。

当订阅者组由于增加或者取消了一个或多个订阅者而改变时，可以如 下这样根据当前的密文计算新的密文：

ctxt’＝(C₀’，C₁’，C₂’)，其中ctxt’是对应于当前的订阅者组S’和当前 的随机数t’的当前的密文

ctxt＝(C₀，C₁，C₂)，其中ctxt是对应于新的订阅者组S’和新的随机数 t’的新的密文

C₀＝(g^t’)^t/t’

  ＝(C₀’)^t/t’

C1＝((v∏_j∈S’g_n+1-j)(∏_j∈S\S’g_n+1-j))^t

  ＝(C₁’)t/t’(∏_j∈S\S’g_n+1-j)^t

C2＝[(∏_j∈S\S0 g_n+1-j)(∏_j∈S0\S g_n+1-j)^-1]^t/γ

  ＝[(∏_j∈S’\S0 g_n+1-j)(∏_j∈S0\S’g_n+1-j)^-1]^{(t’/γ)(t/t’)}

  ＝[(∏_{j∈(S\S’)\S0} g_n+1-j)(∏_{j∈(S’\S)\S0} g_n+1-j)-1]^{(t’/γ)(t/t’)}

  ＝(C₂’)^t/t’[(∏_{j∈(S\S’)\S0} g_n+1-j)(∏_{j∈(S’\S)\S0} g_n+1-j)-1]^t

如能够看到的，因为新的C₀、C₁和C₂每个一直是一个椭圆曲线点，所以 密文ctxt保持固定并且与分配网络中的内容接收客户端的总数n无关。

可以利用通用或者专用计算设备、计算机处理器、或者电子电路实现 本文公开的实施方式，所述电子电路包括但不限于数字信号处理器(DSP)、 专用集成电路(ASIC)、现场可编程门阵列(FPGA)和根据本发明的教导 配置或者编程的其他可编程逻辑设备。运行在通用或者专用计算设备、计 算机处理器或者可编程逻辑设备上的计算机指令或软件代码可以由软件 或电子领域技术人员根据本发明的教导容易地准备。

在一些实施方式中，本发明包括计算机存储媒介，该计算机存储媒介 在其中存储有计算机指令或软件代码，该计算机指令或软件代码可以用来 为计算机或微处理器编程以执行本发明的任何程序。存储媒介可以包括但 不限于软盘、光盘、蓝光盘、DVD、CD-ROM和磁光盘、ROM、RAM、 闪存或者适于存储指令、代码和/或数据的任何类型的媒介或设备。

出于展示和描述的目的，提供了本发明的前述描述。其并不旨在排除 或者将本发明限制在所公开的精密形式。对于所属领域技术人员而言，很 多修改和变型是显而易见的。

为了更好地解释本发明的原理及其实际应用，选择和描述了那些实施 方式，从而使得所属领域技术人员能够理解本发明的各个实施方式和适于 预想的实际应用的各种修改。本发明的范围由所附权利要求及其等效物限 定。