[发明专利]组成员对组秘密的简化管理

说明书

本申请依照35 USC 119要求2011年12月1日提交且被给予序列号61/565,530的题为“Management of Group Secrets by Group Members”的美国临时专利申请以及2012年4月10日提交且被给予序列号61/622,120的题为“Management of Group Secrets by Group Members” 的美国临时专利申请的较早提交日的优先权和权益，所有这些文件的全部内容通过引用合并于此。

本申请进一步依照35 USC 371要求在专利合作条约的概要（aspercius）下于2012年9月14日提交的且被给予序列号PCT/IB2012/054797的题为“Management of Group Secrets by Group Members”的该专利申请(其要求2011年9月20日提交且被给予序列号61/536,761的题为“Management of Group Secrets by Group Members”的美国临时专利申请的较早申请日的权益)以及于2012年9月14日提交的且被给予序列号PCT/IB2012/054811的题为“Management of Group Secrets by Group Members”的该专利申请(其要求2011年9月27日提交且被给予序列号61/539,723的题为“Management of Group Secrets by Group Members”的美国临时专利申请和2012年1月17日提交且被给予序列号61/587,269的题为“Management of Group Secrets by Group Members”的美国临时专利申请的较早申请日的权益)的较早申请日的优先权和权益，所有这些文件的内容通过引用合并于此。

本发明涉及组秘密的管理，并且更具体地，涉及一种用于组成员管理组秘密的方法和系统。

本文的一些实施例针对设备组的密钥管理，包括在没有管理密钥和向组成员分配密钥的中心机构的情况下发起组、扩展组成员关系和减少组成员关系。某些实施例进一步允许设备组的设备将安全消息发送至组成员之中的任何设备子组，其中非寻址的设备不能对该消息解密。

消息加密方案是已知的并且可以基于例如“零消息广播”（ZMB）或者“广播加密”；参见例如Amos Fiat and Moni Naor, Broadcast Encryption, 1993 (此后称为Fiat & Naor)。Fiat & Naor讨论了广播加密。通常，术语“广播加密”可以简单地表示广播的加密。然而，如Fiat & Naor所介绍的，该术语采用了特定的含义。Fiat & Naor的“广播加密”被开发用于使得广播者能够安全地将消息广播到预定义设备组的子集。该预定义组称为设备组。

Fiat & Naor的广播加密的最简单的变型中的中心思想是，设备组中的每个设备拥有除了其自身的设备密钥之外的该设备组中的所有其他设备的设备密钥。如图1中所示，表100列出了每个设备拥有的密钥。例如，设备1包括设备组密钥以及设备密钥2-设备密钥N。应当指出的是，存在用于大型组的密钥管理过程，使得每个设备只需被颁发比组尺寸减1更少的密钥，例如²log（组尺寸）个密钥，并且可以根据这些密钥计算所需的所有密钥。

当消息的广播者想要安全地将消息发送至来自设备组的设备子集的地址时，广播者将寻址的设备的ID作为消息的明文部分，计算加密密钥，该加密密钥是非寻址的设备的所有设备密钥的函数。使用非寻址的设备的设备密钥，因为寻址的设备没有其自身的密钥。广播者对消息加密并且广播该消息。设备组中未被寻址的设备不能对该消息解密，因为它们需要其自身的它们没有的密钥。设备组之外的设备不能对该消息解密，因为它们没有非寻址的设备的密钥。只有设备组中的寻址的设备才能对该消息解密。当然，属于设备组的设备将必须知道根据设备密钥计算消息密钥的算法。通常，该算法不必对该设备组之外的其他设备保密。

一个有关的概念是k弹性。在“Broadcast Encryption,” Krishnaram Kenthapadi, 2003年11月11日中，作者如下定义了k弹性：