專利名稱:配置包含在域中的群組的密鑰的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
符合本發(fā)明的方法和設(shè)備涉及分發(fā)編碼密鑰��,更具體地說�,涉及一種配置包含在域中的群組的密鑰的方法和設(shè)備。
背景技術(shù):
傳統(tǒng)的編碼系統(tǒng)基于密鑰安全性��。因此�����,可有效并安全地管理密鑰的技術(shù)變得越來越重要����。
群組指的是為了相同目的而定義的用戶或裝置的集合。通常���,群組共享稱為“群組密鑰”的信息����,并使用所述群組密鑰來共享資源���。
然而�����,問題在于����,如果用戶是多于一個群組的成員����,則用戶不得不管理與每個群組相應(yīng)的所有密鑰。當(dāng)用戶數(shù)量是N時����,子集數(shù)量可以多達(dá)2N-1(最差的情況)。在這種情況下����,個人可能將不得不管理2N-1個密鑰。
圖1示出傳統(tǒng)的密鑰分發(fā)���。在傳統(tǒng)技術(shù)中��,每個群組采用不同密鑰��。如果存在4個用戶�����,則最多存在15個子群組�����。因此����,需要15個群組密鑰。通常��,如果存在N個用戶����,則需要2N-1個群組密鑰。用戶5包括在11�、12、13���、14����、15、16���、17和18這8個群組中。因此�,用戶5的裝置必須具有8個密鑰之多。
當(dāng)對資源進(jìn)行編碼或解碼時�����,傳統(tǒng)技術(shù)提供編碼部分和解碼部分���,從而只有群組成員可使用相應(yīng)的群組密鑰��。每個用戶必須具有8(23)個密鑰�����,這通過對資源r進(jìn)行編碼和解碼來描述�。如果對資源r進(jìn)行編碼�����,則當(dāng)期望僅在特定群組G中共享資源r時,選擇群組G的編碼群組密鑰(GK1)并對資源r進(jìn)行編碼����,即,Enc{r}_GK1���。如果對資源r進(jìn)行解碼����,則為了對Enc{r}_GK1進(jìn)行解碼���,使用解碼群組密鑰(GK2)通過解碼算法對資源r進(jìn)行解碼�。如果在傳統(tǒng)技術(shù)中使用公鑰��,則群組的編碼密鑰(GK1)和解碼密鑰(GK2)是不同的�����。如果在傳統(tǒng)技術(shù)中使用對稱密鑰��,則GK1和GK2是相同的����。
問題在于��,如果用戶是多于一個群組的成員��,則用戶不得不管理與每個群組相應(yīng)的所有密鑰����。當(dāng)用戶數(shù)量是N時��,子集數(shù)量可多達(dá)2N-1(最差的情況)���。在這種情況下,個人將不得不管理2N-1個密鑰���。如果新的用戶在密鑰被分發(fā)到域中的群組之后加入該域���,則存在必須重新分發(fā)所有密鑰的問題。
發(fā)明內(nèi)容
鑒于以上所述���,本發(fā)明的一方面在于通過減少密鑰數(shù)量來有效地管理密鑰����,所述密鑰數(shù)量在傳統(tǒng)技術(shù)中根據(jù)包含在域中的群組數(shù)量呈指數(shù)增加。
本發(fā)明的另一方面在于即使新的用戶在密鑰被分發(fā)之后加入群組����,也使用先前使用的密鑰。
通過對以下描述�、附圖和所附權(quán)利要求的研究,本發(fā)明的所述和其它方面和特點(diǎn)對于本領(lǐng)域技術(shù)人員而言將變得清楚����。
根據(jù)本發(fā)明的一方面,提供一種配置包含在域中的群組的密鑰的方法�,所述方法包括根據(jù)加入域的用戶數(shù)量(N)來產(chǎn)生公共密鑰和N個分發(fā)密鑰,將所述公共密鑰發(fā)送到用戶裝置�����,并將N個不同分發(fā)密鑰中的N-1個分發(fā)密鑰發(fā)送到用戶裝置�����,其中�����,由用戶裝置接收的N-1個分發(fā)密鑰的集合不同于由加入該域的用戶的其它用戶裝置接收的N-1個分發(fā)密鑰的集合����。
根據(jù)本發(fā)明的另一方面�,提供一種配置包含在域中的群組的密鑰的方法�����,所述方法包括當(dāng)加入域時���,從管理該域的服務(wù)器接收公共密鑰和N-1個分發(fā)密鑰��,接收關(guān)于包含在所述域中具有訪問權(quán)限的第一群組中的用戶的信息���,以及基于公共密鑰和N-1個分發(fā)密鑰中除與包含在第一群組中的其它用戶相應(yīng)的分發(fā)密鑰以外的分發(fā)密鑰來產(chǎn)生解碼密鑰�����,其中�,加入該域的用戶數(shù)量是N。
根據(jù)本發(fā)明的另一方面���,提供一種設(shè)備�����,包括密鑰產(chǎn)生單元�,根據(jù)加入域的用戶數(shù)量(N)來產(chǎn)生公共密鑰和N個分發(fā)密鑰;密鑰分發(fā)器�,將所述公共密鑰和N個分發(fā)密鑰中的N-1個分發(fā)密鑰發(fā)送到用戶裝置,隨后按以下方式來分發(fā)密鑰由用戶裝置接收的N-1個分發(fā)密鑰的集合不同于由加入該域的其它用戶裝置接收的N-1個分發(fā)密鑰的集合���;以及編碼器�,基于包含在域中的群組中的用戶的信息���,計算與包含公共密鑰和分發(fā)密鑰的解碼密鑰相應(yīng)的編碼密鑰�,以便使用所述編碼密鑰對資源進(jìn)行編碼�。
通過結(jié)合附圖對本發(fā)明示例性實(shí)施例的詳細(xì)描述,本發(fā)明的上述和其它特點(diǎn)和方面將會變得清楚��,其中圖1示出傳統(tǒng)技術(shù)的密鑰分發(fā)�����;圖2示出根據(jù)本發(fā)明示例性實(shí)施例設(shè)置群組之間的密鑰關(guān)系的情況�;圖3是示出符合本發(fā)明的部件的示圖;圖4示出分發(fā)到4個用戶的密鑰�����;圖5是示出產(chǎn)生包括圖4中第一用戶301和第二用戶304的群組的密鑰的處理的示圖;圖6是示出根據(jù)本發(fā)明示例性實(shí)施例僅可計算合法包括裝置的群組的群組密鑰的示圖����;圖7示出根據(jù)本發(fā)明示例性實(shí)施例的當(dāng)積極地添加用戶時,在不需要重構(gòu)所有群組密鑰的情況下保持群組安全性的處理����;圖8示出根據(jù)本發(fā)明示例性實(shí)施例的產(chǎn)生并分發(fā)密鑰,使用分發(fā)的密鑰對數(shù)據(jù)進(jìn)行編碼以及發(fā)送編碼的數(shù)據(jù)的處理��。
具體實(shí)施例方式
可通過參照以下對示例性實(shí)施例的詳細(xì)描述以及附圖����,更加容易地理解本發(fā)明的特點(diǎn)和各方面以及實(shí)現(xiàn)本發(fā)明的方法。然而�,可以按許多不同形式來實(shí)現(xiàn)本發(fā)明的各方面,不應(yīng)將本發(fā)明解釋為受限于這里闡述的示例性實(shí)施例�����。而是提供這些實(shí)施例�����,從而該公開將是徹底和完整的�,并將本發(fā)明的構(gòu)思完整地傳達(dá)給本領(lǐng)域的技術(shù)人員,本發(fā)明將僅由權(quán)利要求來限定��。
以下參照根據(jù)本發(fā)明示例性實(shí)施例的用戶接口�����、方法和計算機(jī)產(chǎn)品的流程圖來描述本發(fā)明����。應(yīng)理解,可通過計算機(jī)程序指令來實(shí)現(xiàn)流程圖的每個方框以及流程圖中方框的組合��。這些計算機(jī)程序指令可被提供給通用計算機(jī)�����、專用計算機(jī)����、或者其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生設(shè)備,從而經(jīng)計算機(jī)或者其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在一個流程圖方框或多個流程圖方框中指定的功能的手段�����。這些計算機(jī)程序指令也可被存儲在可指導(dǎo)計算機(jī)或者其它可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可用或計算機(jī)可讀存儲器中,以便存儲在計算機(jī)可用或計算機(jī)可讀存儲器中的指令生產(chǎn)包括執(zhí)行在一個流程圖方框或多個流程圖方框中指定的功能的指令手段的產(chǎn)品�。計算機(jī)程序指令也可被載入計算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備以使得一系列操作步驟在計算機(jī)或其它可編程設(shè)備上被執(zhí)行以產(chǎn)生計算機(jī)執(zhí)行的過程,從而在計算機(jī)或其它可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在一個流程圖方框或多個流程圖方框中指定的功能的步驟���。
流程圖的每個方框可代表模塊���、段和代碼部分,其包括一個或多個用于實(shí)現(xiàn)指定的邏輯功能的可執(zhí)行指令����。還應(yīng)注意到在某些可替換實(shí)現(xiàn)中,在方框中標(biāo)注的功能可不按順序發(fā)生�。例如,連續(xù)示出的兩個方框可實(shí)際上基本同時地被執(zhí)行�,或者方框有時可按相反的順序被執(zhí)行,這取決于涉及的功能���。
在本發(fā)明中���,如果配置域的群組形成具有相關(guān)關(guān)系的層,則可通過將相關(guān)關(guān)系給予群組密鑰來有效地管理密鑰����。此外��,通過使用密鑰之間的相關(guān)關(guān)系,用戶可按照需要積極地產(chǎn)生包含用戶的群組的密鑰�。
在本發(fā)明中,用戶并不受限于表示一個人�。如果幾個人具有相同的權(quán)限,則可將幾個人包含在單個用戶的概念中����。此外,一個人也可通過幾個用戶ID而具有不同權(quán)限��。
圖2示出根據(jù)本發(fā)明示例性實(shí)施例設(shè)置群組之間的密鑰關(guān)系的情況����。在圖2的傳統(tǒng)情況中,用戶A 51包含在群組110和群組115中��。然而����,僅包含傳統(tǒng)用戶A 51的群組115的密鑰61和包含A51和其它用戶的群組110的密鑰71之間沒有相關(guān)關(guān)系。因此�,將兩個群組的所有密鑰存儲在A51的裝置中。在根據(jù)本發(fā)明示例性實(shí)施例的情況下�,在僅包含用戶A 52的群組125的密鑰62和包含A 52和其它用戶的群組120的密鑰72之間設(shè)置相關(guān)關(guān)系。因此,將相關(guān)的密鑰存儲在用戶A 52的裝置中���。
圖3是示出本發(fā)明的部件的示圖���。
這里使用的術(shù)語“模塊”表示但不受限于執(zhí)行特定任務(wù)的軟件或硬件部件,諸如線程可編程門陣列(FPGA)或?qū)S眉呻娐?ASIC)���?����?蓪⒛K方便地配置為駐留在可尋址存儲介質(zhì)上并配置為在一個或多個處理器中執(zhí)行�����。因此����,作為示例����,模塊可包括諸如軟件部件、面向?qū)ο蟮能浖考?�、類部件和任?wù)部件的部件、進(jìn)程����、函數(shù)���、屬性�、程序���、子程序�����、程序代碼段����、驅(qū)動程序�、固件、微代碼�、電路、數(shù)據(jù)�����、數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)����、表、數(shù)組和變量���?�?蓪⒃诓考湍K中提供的功能組合為更少的部件和模塊����,或進(jìn)一步將其分成附加的部件和模塊�。
服務(wù)器200管理幾個用戶組成幾個群組的域,服務(wù)器200可包括家庭網(wǎng)絡(luò)的服務(wù)器或辦公室中的服務(wù)器�,或者,服務(wù)器200管理虛擬專用網(wǎng)絡(luò)或web服務(wù)器的邏輯功能�����。服務(wù)器提供受限用戶加入的系統(tǒng)的服務(wù)器功能�,其有差別地允許用戶使用資源,產(chǎn)生并分發(fā)將由所述域中的群組使用的密鑰�。
服務(wù)器200包括密鑰產(chǎn)生單元210、密鑰分發(fā)器220��、編碼器230和解碼器240。密鑰產(chǎn)生單元210根據(jù)群組之間的相關(guān)關(guān)系產(chǎn)生密鑰���。密鑰分發(fā)器220將產(chǎn)生的密鑰發(fā)送到每個群組或包含在每個群組中的每個用戶裝置����。編碼器230對資源進(jìn)行編碼��。解碼器240對資源進(jìn)行解碼�����。資源包括在群組中共享的數(shù)據(jù)��,諸如多媒體內(nèi)容和文檔�。服務(wù)器200可使用公鑰加密和對稱密鑰加密兩者�。
這里使用的符號如下。
U指的是包括所有用戶的全集��。如果存在N個用戶�,則所述集合包括全部N個用戶。S指的是U的子集�。如果存在N個用戶,則可存在2N-1個子集�����。
Enc{M}_K指的是使用密鑰K對M進(jìn)行編碼的函數(shù)。f(0��,1)’→(0�����,1)’執(zhí)行偽隨機(jī)化排列���。符號f·g()與f()·g()相同����。
(KSPU��,KSPR)是群組或子集S的一對密鑰���。KSPU是公鑰�,KSPI是私鑰�。
假設(shè)N個用戶具有ID 1到N。當(dāng)產(chǎn)生編碼和解碼密鑰時����,服務(wù)器200選擇f1()�����,f2()���,...,fN()����,即��,滿足將密鑰發(fā)送到N個用戶的fi(x)·fj(y)=fj(y)·fi(x)的N個偽函數(shù)����。作為分發(fā)密鑰,將所述函數(shù)分別發(fā)送到每個用戶�����。也就是說����,域中的用戶接收分發(fā)密鑰的一部分。服務(wù)器選擇所有用戶裝置所共有的公共密鑰KU作為全集U的公共密鑰����。
服務(wù)器200使用產(chǎn)生的函數(shù)和KU來產(chǎn)生和分發(fā)解碼密鑰�����。也就是說��,服務(wù)器將N個密鑰發(fā)送到每個用戶i����,并分發(fā)KU��,f1()���,f2()����,...��,fi-1()���,fi+1()�,...fN()。服務(wù)器將資源編碼成相應(yīng)群組S的編碼密鑰�����。在將資源編碼為非對稱密鑰的處理中�,需要公鑰和私鑰。
將具有公鑰和私鑰的配對標(biāo)記為{KSPU�,KSPR}。獲得每個值的處理同下�����。
KSPR=fei·...(KU)����。全部ei∈U-S����。KSPU相應(yīng)于KSPR。
當(dāng)r指的是將被編碼的資源時��,編碼方法是Enc{r}_KSPU��。
為了將編碼的資源r解碼為相應(yīng)群組S的解碼密鑰�,執(zhí)行以下處理。
S的用戶X如下計算KSPR。
KSPR=fei·...(KU)���。全部ei∈U-S����。
因?yàn)橛脩鬤具有KU和與ei∈U-S相應(yīng)的fei����,所以可獲得KSPR。服務(wù)器使用KSPR對Enc{r}_KSPU進(jìn)行解碼�����。
現(xiàn)在將描述在4個用戶301���、302���、303和304加入域的情況下,將上述處理應(yīng)用于工業(yè)標(biāo)準(zhǔn)公鑰算法����,即,RSA編碼系統(tǒng)���。
首先�����,獲得p和q(質(zhì)數(shù))�����。在以下的等式1中���,n是p·q�,并獲得函數(shù)f1()�����,f2()��,f3()和f4()��。
f1(x)=x·f_1%[n]f2(x)=x·f_2%[n]f3(x)=x·f_3%[n](1)f4(x)=x·f_4%[n]在等式1中�,f_1是唯一的隨機(jī)數(shù)�,并且不是(p-1)(q-1)的約數(shù)。
如果p=101并且q=113�,則n=11413。[n]=(p-1)(q-1)=11200。
11200=26527�����。
期望的函數(shù)(分發(fā)密鑰)如下�。
f1(x)=x·3%11200f2(x)=x·11%11200f3(x)=x·13%11200 (2)f4(x)=x·17%11200當(dāng)公共密鑰KU被隨機(jī)選擇時,KU通過[n]選擇不具有約數(shù)的數(shù)�,因此KU=3533。
第一用戶301接收KU���,f2(x)���,f3(x)和f4(x),但是不接收f1(x)����,用戶302、303和304如圖4所示接收密鑰��。也就是說�,分發(fā)用于僅包括一個用戶的群組的密鑰。
參照圖5來描述如何使用分發(fā)到每個用戶的密鑰來產(chǎn)生群組密鑰��。
圖5是示出產(chǎn)生包括圖4中的用戶301和304的群組的密鑰���,并對所述密鑰進(jìn)行編碼和解碼的處理的示圖��。
包括用戶301和304的群組可使用密鑰KU�,f2(x)和f3(x)來組成群組密鑰。用戶301和304的兩個密鑰集合的交集是包括用戶301和304的群組的密鑰���。
為了對群組密鑰進(jìn)行編碼�,計算編碼密鑰KSPR��。包括用戶301和304的編碼密鑰是K{1��,4}PR���。
K{1���,4}PR=f2·f3(Ku)=(11·13·3533)%11200=1219。與K{1�����,4}PR相應(yīng)的公鑰是K{1��,4}PU�,K{1,4}PU=1219-1%11200=3179�。可使用所述公鑰對內(nèi)容進(jìn)行編碼����。如果內(nèi)容的值是10,則通過等式3來定義使用K{1�,4}PU編碼的值。
Enc{10}_K{1���,4}PU=103179%11413(n=11413) (3)圖6是證實(shí)根據(jù)本發(fā)明示例性實(shí)施例僅可計算合法包括裝置的群組的群組密鑰的示圖�����。
如圖4所示����,用戶301至304具有公共密鑰KU和分發(fā)密鑰f1()�����,f2()�����,f3(),和f4()����,它們被分別分發(fā)到每個用戶,以便計算編碼和解碼密鑰���。用戶i具有除fi()以外的其它分發(fā)密鑰�。
當(dāng)由用戶311確定包括用戶311和314的群組的密鑰時��,從存儲在用戶311的裝置中的KU�,f2(),f3()和f4()中刪除f4()以便獲得包括用戶311和314的群組的密鑰���,其中�,f4()沒有包含在用戶314的裝置中�����,即��,沒有被發(fā)送到用戶314的裝置作為與用戶314的裝置相應(yīng)的分發(fā)密鑰��。類似地�,當(dāng)由用戶314確定包括用戶311和314的群組的密鑰時����,從存儲在用戶314的裝置中的KU�,f1()����,f2()和f3()中刪除f1()以便獲得包括用戶311和314的群組的密鑰,其中���,f1()沒有包含在用戶311的裝置中�����,即�����,沒有被發(fā)送到用戶311的裝置作為與用戶311的裝置相應(yīng)的分發(fā)密鑰��。
因?yàn)榉?wù)器在分配分發(fā)密鑰的第一處理中沒有將f2()發(fā)送到用戶312的裝置���,所以由于用戶312無法得知f2()的值,用戶312無法推測由用戶311和314組成的群組的密鑰�����。因?yàn)橛脩?13無法得知f3()的值,所以用戶313也無法計算出密鑰�。因此,由于用戶無法計算出沒有包括該用戶的群組的密鑰����,所以可提高域中的群組的安全性。當(dāng)實(shí)際用戶數(shù)量為N時����,分發(fā)密鑰數(shù)量為N+1。由于使用N+1個分發(fā)密鑰產(chǎn)生群組密鑰����,所以存儲在每個用戶裝置中的密鑰的最大數(shù)量為N。與傳統(tǒng)技術(shù)中���,因?yàn)閷⒁鎯Φ拿荑€數(shù)量按照2N-1呈指數(shù)增長���,所以裝置接收許多載荷的情況相比,當(dāng)執(zhí)行本發(fā)明的方法時�����,將要存儲的密鑰數(shù)量按照N呈線性增長。
圖7示出根據(jù)本發(fā)明示例性實(shí)施例的當(dāng)積極地添加用戶時��,在不需要重構(gòu)所有群組密鑰的情況下保持群組安全性的處理���。在圖7的710�����,將用戶321、322和323注冊為由服務(wù)器200操控的域的用戶���。服務(wù)器200將公共密鑰KU��,f1()���,f2()和f3()發(fā)送到每個用戶。用戶可使用分配的公共密鑰和分發(fā)密鑰來積極地產(chǎn)生或預(yù)先計算群組密鑰����,然后存儲所述群組密鑰。當(dāng)用戶324加入群組710時��,如圖7的720所示,服務(wù)器200計算f4()��,并將其發(fā)送到其它用戶321��、322和323���。服務(wù)器200還將KU��,f1()�,f2()和f3()發(fā)送到用戶324��。
通過上述處理�����,即使新的用戶加入域��,也不需要對組成的群組的密鑰進(jìn)行重構(gòu)��。根據(jù)群組產(chǎn)生或群組撤銷來積極地管理群組密鑰���,所以僅需要服務(wù)器保存關(guān)于哪些用戶包含在相應(yīng)群組中的信息�����,而不需要產(chǎn)生或注冊新的群組密鑰��。
圖8是示出根據(jù)本發(fā)明示例性實(shí)施例的產(chǎn)生并分發(fā)密鑰����,使用分發(fā)的密鑰對數(shù)據(jù)進(jìn)行編碼以及發(fā)送編碼的數(shù)據(jù)的處理的流程圖。
管理域的服務(wù)器根據(jù)包括在所述域中的用戶數(shù)量N來產(chǎn)生公共密鑰和N個不同分發(fā)密鑰(S810)���,服務(wù)器將公共密鑰發(fā)送到用戶裝置(S820)���。公共密鑰與KU相同��。服務(wù)器將除了與每個用戶相應(yīng)的密鑰以外的分發(fā)密鑰發(fā)送到用戶����。服務(wù)器將N個不同分發(fā)密鑰中的N-1個分發(fā)密鑰發(fā)送到相應(yīng)用戶裝置(S830)。在上述傳輸之后�,由相應(yīng)用戶裝置接收的N-1個分發(fā)密鑰的集合不同于由其它用戶裝置接收的N-1個分發(fā)密鑰的集合。
用戶密鑰的集合的交集定義群組密鑰���。
在發(fā)送密鑰之后��,存在服務(wù)器對內(nèi)容進(jìn)行編碼并發(fā)送編碼的內(nèi)容以及新的用戶加入該域這樣兩種情況���,確定情況的類型(S840)�。如果需要內(nèi)容編碼�,則服務(wù)器基于關(guān)于包含在域的群組中的用戶的信息計算與解碼密鑰相應(yīng)的編碼密鑰,所述解碼密鑰具有公共密鑰和一些分發(fā)密鑰(S842)����。所述一些分發(fā)密鑰指的是包括在接收的分發(fā)密鑰(S830)的集合的交集中的密鑰。如圖5所示�����,群組密鑰包括公共密鑰和分發(fā)密鑰�,群組密鑰是對發(fā)送到相應(yīng)群組的內(nèi)容進(jìn)行解碼的解碼密鑰。因此���,計算與解碼密鑰相應(yīng)的編碼密鑰��。在對稱密鑰方法中����,解碼密鑰可用作編碼密鑰�。在非對稱密鑰方法中,可根據(jù)諸如上述RSA方法的機(jī)制來獲得解碼密鑰和編碼密鑰���。服務(wù)器使用計算出的編碼密鑰對資源進(jìn)行編碼(S844)�����,并將編碼的資源發(fā)送到群組(S846)��。由于包含在群組的用戶裝置可計算群組密鑰或存儲計算出的群組密鑰���,所以服務(wù)器可使用所述裝置對接收的資源進(jìn)行解碼�����。
如果新的用戶加入域(S840)����,則可執(zhí)行圖7所示的處理��。
服務(wù)器接收通知第一用戶已加入域的信號(S852)����,并產(chǎn)生不同于N-1個分發(fā)密鑰的第一分發(fā)密鑰(S854)�。作為示例性實(shí)施例,服務(wù)器產(chǎn)生圖7中的f4�。服務(wù)器將第一分發(fā)密鑰發(fā)送到除去第一用戶以外的其它用戶(S856)�,并將除第一分發(fā)密鑰以外的公共密鑰和分發(fā)密鑰發(fā)送到第一用戶(S858)�����。
對于每個裝置可存在幾個用戶��,或者幾個人可使用一個用戶ID��。
當(dāng)用戶加入域時���,用戶裝置從域服務(wù)器接收公共密鑰和分發(fā)密鑰(S852和S858)�����。通過產(chǎn)生包括分發(fā)密鑰(除去與包括在用戶加入的群組中的其它用戶相應(yīng)的分發(fā)密鑰)的群組密鑰��,裝置可對發(fā)送到群組的資源進(jìn)行解碼��。
裝置可使用群組密鑰對內(nèi)容進(jìn)行編碼����,或通過計算與群組密鑰相應(yīng)的解碼密鑰對資源進(jìn)行編碼���。
如果群組通過圖8的處理根據(jù)相關(guān)關(guān)系而形成層�,則可通過將相關(guān)關(guān)系給予群組密鑰來有效地管理密鑰。此外����,用戶事先不需要用戶所在的每個群組的密鑰。在編碼和解碼中����,可積極地產(chǎn)生相應(yīng)的群組密鑰。
根據(jù)本發(fā)明���,可在域中減少由用戶管理的密鑰的數(shù)量��。
此外�,不需要在域中共享的預(yù)定義拓?fù)浣Y(jié)構(gòu)���;因此��,可積極地產(chǎn)生群組�����,并且可容易地添加用戶。
盡管參照本發(fā)明示例性實(shí)施例具體示出并描述了本發(fā)明���,但是本領(lǐng)域的技術(shù)人員應(yīng)理解在不脫離由權(quán)利要求限定的本發(fā)明的精神和范圍的情況下��,可進(jìn)行形式和細(xì)節(jié)上的各種改變��。
權(quán)利要求
1.一種配置包含在域中的群組的密鑰的方法��,所述方法包括基于加入域的N個用戶產(chǎn)生公共密鑰和N個分發(fā)密鑰�;將公共密鑰發(fā)送到多個用戶裝置;以及將N-1個分發(fā)密鑰的不同集合發(fā)送到所述多個用戶裝置中的每一個����,其中,由所述多個用戶裝置中的用戶裝置接收的N-1個分發(fā)密鑰的集合不同于由所述多個用戶裝置中的其它用戶裝置接收的N-1個分發(fā)密鑰的集合���。
2.如權(quán)利要求1所述的方法���,其中,由第一用戶和第二用戶配置的群組具有由第一用戶接收的N-1個分發(fā)密鑰的集合與由第二用戶接收的N-1個分發(fā)密鑰的集合的交集����,以及通過公共密鑰產(chǎn)生的編碼密鑰或解碼密鑰。
3.如權(quán)利要求1所述的方法���,其中���,用戶裝置的用戶具有通過接收的公共密鑰和N-1個分發(fā)密鑰的集合產(chǎn)生的解碼密鑰�。
4.如權(quán)利要求1所述的方法�����,其中���,在發(fā)送N-1個分發(fā)密鑰的不同集合之后�,所述方法還包括基于域群組中的用戶的信息���,計算與解碼密鑰相應(yīng)的編碼密鑰�,其中��,所述解碼密鑰包括公共密鑰和N個分發(fā)密鑰的子集��;使用編碼密鑰對資源進(jìn)行編碼��;以及將編碼的資源發(fā)送到域群組�。
5.如權(quán)利要求4所述的方法,其中�,如果使用對稱密鑰加密,則編碼密鑰與解碼密鑰相同���。
6.如權(quán)利要求1所述的方法�,還包括接收通知第一用戶已加入域的信號�;當(dāng)?shù)谝挥脩艏尤胗驎r,產(chǎn)生與N-1個分發(fā)密鑰不重疊的第一分發(fā)密鑰�����;將第一分發(fā)密鑰發(fā)送到所述域中的其它用戶���;以及將公共密鑰和N個分發(fā)密鑰的子集發(fā)送到第一用戶���,其中,N個分發(fā)密鑰的子集不包括第一分發(fā)密鑰�。
7.如權(quán)利要求1所述的方法,其中�,對于每個用戶裝置,用戶是單獨(dú)的個體�。
8.一種配置包含在域中的群組的密鑰的方法,其中����,N個用戶加入所述域,所述方法包括當(dāng)加入域時,從管理域的服務(wù)器接收公共密鑰和N-1個分發(fā)密鑰�;接收關(guān)于所述域中具有訪問權(quán)限的第一群組中的用戶的信息,以及基于公共密鑰和N-1個分發(fā)密鑰的子集產(chǎn)生解碼密鑰���,其中���,N-1個分發(fā)密鑰的所述子集不包括與包含在第一群組中的其它用戶相應(yīng)的分發(fā)密鑰。
9.如權(quán)利要求8所述的方法�,還包括當(dāng)?shù)谝挥脩艏尤胗驎r,從服務(wù)器接收分發(fā)密鑰的第一集合�����。
10.如權(quán)利要求8所述的方法�����,還包括產(chǎn)生與產(chǎn)生的解碼密鑰相應(yīng)的編碼密鑰����。
11.如權(quán)利要求10所述的方法,其中��,如果使用對稱密鑰加密�,則編碼密鑰與解碼密鑰相同����。
12.一種設(shè)備��,包括密鑰產(chǎn)生單元����,基于加入域的N個用戶來產(chǎn)生公共密鑰和N個分發(fā)密鑰���;密鑰分發(fā)器��,將所述公共密鑰和N個分發(fā)密鑰中的N-1個分發(fā)密鑰發(fā)送到用戶裝置��,隨后按以下方式來分發(fā)所述N個分發(fā)密鑰由用戶裝置接收的N-1個分發(fā)密鑰不同于由加入所述域的用戶的其它用戶裝置接收的N-1個分發(fā)密鑰的集合�����;以及編碼器��,基于所述域中的群組中的用戶的信息�,計算與包括公共密鑰和分發(fā)密鑰的解碼密鑰相應(yīng)的編碼密鑰�����,以使用所述編碼密鑰對資源進(jìn)行編碼。
13.如權(quán)利要求12所述的設(shè)備����,其中,由第一用戶和第二用戶定義的群組具有由第一用戶接收的N-1個分發(fā)密鑰的集合與由第二用戶接收的N-1個分發(fā)密鑰的集合的交集����,以及通過公共密鑰產(chǎn)生的編碼密鑰或解碼密鑰。
14.如權(quán)利要求12所述的設(shè)備���,其中�����,用戶具有基于接收的公共密鑰和N-1個分發(fā)密鑰產(chǎn)生的解碼密鑰����。
15.如權(quán)利要求14所述的設(shè)備��,其中�����,如果使用對稱密鑰加密��,則編碼密鑰與解碼密鑰相同。
16.如權(quán)利要求12所述的設(shè)備�,其中,如果接收到通知第一用戶已加入所述域的信號��,則當(dāng)?shù)谝挥脩艏尤胗驎r���,密鑰產(chǎn)生單元產(chǎn)生與N-1個分發(fā)密鑰不重疊的第一分發(fā)密鑰���;以及密鑰分發(fā)器將第一分發(fā)密鑰發(fā)送到其它用戶����,其中,所述其它用戶不是域中的第一用戶�����,并將公共密鑰和不包括第一分發(fā)密鑰的分發(fā)密鑰發(fā)送到第一用戶���。
17.如權(quán)利要求12所述的設(shè)備�,其中����,對于每個用戶裝置���,用戶是單獨(dú)的個體。
全文摘要
提供一種配置包含在域中的群組的密鑰的方法和設(shè)備����。所述方法包括根據(jù)加入域的用戶數(shù)量(N)來產(chǎn)生公共密鑰和N個分發(fā)密鑰,將所述公共密鑰發(fā)送到用戶裝置�����,并將N個不同分發(fā)密鑰中的N-1個分發(fā)密鑰發(fā)送到用戶裝置��,其中�,由用戶裝置接收的N-1個分發(fā)密鑰的集合不同于由加入該域的其它用戶裝置接收的N-1個分發(fā)密鑰的集合。
文檔編號H04L9/08GK101030850SQ20071007878
公開日2007年9月5日 申請日期2007年2月27日 優(yōu)先權(quán)日2006年2月28日
發(fā)明者金亨植 申請人:三星電子株式會社