快速多播消息传送加密和认证制造技术

为了防止合法消息接收者(202‑206)伪造新消息并且为了加密用于特定的一组接收者(信道)的消息，将根密钥(300)加密并且与基本会话管理密钥(304)组合以提供组合根密钥，所述组合根密钥继而用至少一个接收者装置的公共密钥(310)加密(308)，以提供会话管理密钥(312)。“N”个预期接收者装置中的每一个的所述公共密钥加密所述组合根密钥，以提供“N”个会话管理密钥。所述会话管理密钥然后与所述组合根密钥组合(305)，以提供多播根密钥(318)，所述多播根密钥用发送装置(200)的私有密钥(316)加以签名。所述已签名多播根密钥与所述会话管理密钥组合，以提供加密的已签名多播根密钥(320)，所述加密的已签名多播根密钥用来在传输数字信息之前加密所述数字信息。

Fast multicast messaging encryption and authentication

In order to prevent the legitimate recipient of the message (202 206) and in order to forge new message encryption for a group of receivers specific (channel) news, the root key (300) encryption and session management and basic key (304) combined to provide a combination of key, at least one receiver device with the combination of root and key the public key encryption (310) (308), to provide the session key management (312). The public key of each of the 'N' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '- receiver means encrypts the combined root key to provide a' N 'session management key. The session management key is then combined with the combined root key (305) to provide a multicast root key (318), which is signed with a private key (316) of the transmitting device (a). The signed root key and the multicast session management key combination to provide encrypted signature multicast key (320), the encrypted signature multicast root key used to encrypt the digital information before transmission of digital information.

【技术实现步骤摘要】

本申请总体涉及快速多播消息传送加密和认证。
技术介绍
数字消息代理系统(例如，PivotalRabbitMQ、ApacheActiveMQ、ApacheKafka)允许消息从一个发送方或多个发送方到一个接收方或多个接收方有效分配。然而，消息分配系统对随消费者的不同而提供认证或授权做极少事情或不做事情。另外，其他安全机制通常忽略快速反伪造：希望合法接收者无法将新消息伪造给群组中的剩余部分。
技术实现思路
因此，本原理允许对消息的容易和快速加密和认证，以及对消息代理系统不可知并且可应用于多个技术类型的快速密钥分配机制。如以下进一步详述，发送方能够建立特定于一组接收者的广播信道。也就是说，发送方能够加密用于某些接收者的消息和/或对所述消息签名，通过任何消息代理系统将那条消息广播并分配至所有接收者，但仅预期接收者可解密所述消息。另外的接收者可容易地增添至信道，而不影响(密钥重置)现有接收者。因此，一方面，发送方装置包括计算机存储器，所述计算机存储器不是瞬时信号并且进而包括指令，所述指令可由处理器执行以存取根密钥，并且用根会话管理密钥(RSMK)加密根密钥，以提供加密根密钥。此外，用至少第一接收者装置的公共密钥加密RSMK，以提供第一装置会话管理密钥(DSMK)，所述第一装置会话管理密钥(DSMK)与加密根密钥级联以提供级联。所述指令可执行以对级联签名，以提供已签名根密钥blob并且将已签名根密钥blob分配至至少第一接收方以供在安全地交换数字信息中使用。在这方面的一些实现方式中，N个接收者装置旨在接收数字信息，并且N个DSMK是通过用相应的N个接收者装置的N个公共密钥中的每一相应的一个将RSMK加密一次来提供。N个DSMK与加密根密钥组合来提供级联。RSMK可源自于伪随机数。级联可还包括初始化向量(IV)。在示例性实施方案中，所述指令可执行以发送使用根密钥至少部分地加密的消息以提供加密消息。在这类实施方案中，所述指令可执行以使用多播(MC)会话密钥来加密消息，所述多播(MC)会话密钥源自于伪随机消息密钥偏移和根密钥并且不同于RSMK。在一个特定实现方式中，消息密钥偏移与根密钥进行异或运算以建立MC会话密钥。另外的非限制性实施方案包括指令，所述指令可执行以生成消息报头，所述消息报头包括至少消息密钥偏移和消息初始化向量(IV)。发送方装置的基于私有密钥的签名可与消息报头组合以提供已签名报头，并且加密消息与所述已签名报头级联。将具有已签名报头的加密消息发送给接收者装置。另一方面，接收者装置包括计算机存储器，所述计算机存储器不是瞬时信号并且进而包括指令，所述指令可由处理器执行以接收根密钥blob。所述指令可由处理器执行以解析根密钥blob的元素，以提取对于接收方装置唯一的加密会话管理密钥，并且使用接收者装置的私有密钥来解密加密会话管理密钥，以提供解密会话管理密钥。所述指令还可执行以使用解密会话管理密钥来解密根密钥blob中的加密多播根密钥，以提供解密多播根密钥。所述解密多播根密钥由接收方装置用来处理消息。在这方面的示例性实现方式中，所述指令可执行以存取从其接收根密钥blob的发送方装置的公共密钥，并且使用公共密钥来验证根密钥blob的签名。响应于签名是有效的，进行解析根密钥blob的元素，而如果没有发现签名是有效的，那么不执行解析元素。一旦接收方装置具有加密多播根密钥，在示例性实施方案中，所述指令可执行以接收具有报头的加密消息，并且以使用解密多播根密钥和报头中的消息密钥偏移来提取多播(MC)会话密钥。在此，MC会话密钥可不同于会话管理密钥。接收方装置可使用MC会话密钥来解密加密消息。在一些实施方案中，所述指令可执行以使用发送方装置的公共密钥来验证报头的签名。响应于报头的签名是有效的，提取MC会话密钥，而如果签名是无效的，那么接收方装置不试图提取MC会话密钥。另一方面，计算机化的方法包括用“N”个接收者装置的“N”个公共密钥中的每一个不对称地加密根会话管理密钥(RSMK)，以提供“N”个相应的装置会话管理密钥(DSMK)，其中每个DSMK是用单一公共密钥加密RSMK的产物。所述方法包括用RSMK对称地加密多播(MC)根密钥，以提供加密MC根密钥；和生成含有加密MC根密钥和N个DSMK的密钥blob，并且将所述密钥blob分配至接收者装置。随后，所述方法包括使用MC会话密钥将消息对称地加密，以提供加密消息。MC会话密钥源自于MC根密钥和伪随机元素并且不同于MC根密钥和RSMK两者。将具有消息报头的加密消息发送给接收者装置，所述消息报头包括在导出MC会话密钥中使用的伪随机元素。附图说明本申请的关于其结构和操作两者的细节可参考附图得到最好的理解，在附图中相同参考数字指代相同部分，并且在附图中：图1是根据本原理的包括实例的示例性系统的框图；图2是发送装置使用本加密原理来将消息发送至预期接收者装置1-N但不发送至接收者装置X的示意图；图3是示出发送方的用以本质上建立多播信道的多播密钥生成和分配的示意图；图4是示出接收方在建立多播信道中的角色的示意图；图5是示出通过在图3和图4中建立的多播信道的消息多播的示意图；以及图6是示出由预期接收者进行消息处理的示意图。具体实施方式本公开总体涉及计算机生态系统，所述计算机生态系统包括消费者电子设备(CE)装置网络例如但不限于分布式计算机游戏网络的各方面。本文的系统可包括服务器和客户端部件，所述服务器和客户端部件通过网络连接，使得数据可在客户端与服务器部件之间交换。客户端部件可包括一个或多个计算装置，所述一个或多个计算装置包括游戏控制台，所述一个或多个计算装置如SonyPlaystationTM、便携式电视机(例如，智能TV、互联网使能TV)、便携式计算机(如膝上型计算机和平板计算机)，以及其他移动装置，包括智能电话和以下所论述的另外的实例。这些客户端装置可以多种操作环境操作。例如，客户端计算机中的一些可使用例如Orbis或Linux操作系统、来自Microsoft的操作系统，或Unix操作系统，或由AppleComputer或Google生产的操作系统。这些操作环境可用来执行一个或多个浏览程序，如由Microsoft或Google或Mozilla制作的浏览器，或可访问由以下所论述的互联网服务器托管的网站的其他浏览器程序。此外，根据本原理的操作环境可用来执行一个或多个计算机游戏程序。服务器和/或网关可包括执行指令的一个或多个处理器，所述指令配置服务器来通过如互联网的网络接收和传输数据。或者，客户端和服务器可通过本地内联网或虚拟专用网络连接。服务器或控制器可由如(商标为)SonyPlaystation的游戏控制台、个人计算机等实例化。信息可通过网络在客户端与服务器之间交换。为此并且为安全起见，服务器和/或客户端可包括防火墙、负载均衡器、临时存储器和代理，以及用于可靠性和安全性的其他网络基础设施。一个或多个服务器可形成实现向网络成员提供如在线社交网站的安全社区的方法的设备。如本文所使用，指令指代用于在系统中处理信息的计算机实现的步骤。指令可在软件、固件或硬件中实现，并且包括由系统的部件进行的任何类型的已编程步骤。处理器可以是可借助于如地址线、数据线和控制线的各种线以及寄存器和移位本文档来自技高网...

【技术保护点】
一种发送方装置，其包括：至少一个计算机存储器，所述至少一个计算机存储器不是瞬时信号并且包括指令，所述指令可由至少一个处理器执行以进行以下操作：存取根密钥；用根会话管理密钥(RSMK)加密所述根密钥，以提供加密根密钥；用至少第一接收者装置的公共密钥加密所述RSMK，以提供第一装置会话管理密钥(DSMK)；将所述第一DSMK和所述加密根密钥级联以提供级联；对所述级联签名以提供已签名根密钥blob；并且将所述已签名根密钥blob分配至至少所述第一接收方以供在安全地交换数字信息中使用。

【技术特征摘要】
2015.10.14 US 14/882,6511.一种发送方装置，其包括：至少一个计算机存储器，所述至少一个计算机存储器不是瞬时信号并且包括指令，所述指令可由至少一个处理器执行以进行以下操作：存取根密钥；用根会话管理密钥(RSMK)加密所述根密钥，以提供加密根密钥；用至少第一接收者装置的公共密钥加密所述RSMK，以提供第一装置会话管理密钥(DSMK)；将所述第一DSMK和所述加密根密钥级联以提供级联；对所述级联签名以提供已签名根密钥blob；并且将所述已签名根密钥blob分配至至少所述第一接收方以供在安全地交换数字信息中使用。2.如权利要求1所述的发送方装置，其中N个接收者装置旨在接收所述数字信息，并且N个DSMK是通过用相应的所述N个接收者装置的N个公共密钥中的每一相应的一个将所述RSMK加密一次来提供，所述N个DSMK与所述加密根密钥组合来提供所述级联。3.如权利要求1所述的发送方装置，其包括所述至少一个处理器，所述至少一个处理器耦接至所述至少一个计算机存储器。4.如权利要求1所述的发送方装置，其中所述RSMK源自于伪随机数。5.如权利要求1所述的发送方装置，其中所述级联还包括初始化向量(IV)。6.如权利要求1所述的发送方装置，其中所述指令可执行以：发送使用所述根密钥至少部分地加密的消息以提供加密消息。7.如权利要求6所述的发送方装置，其中所述指令可执行以：使用多播(MC)会话密钥加密所述消息，所述MC会话密钥源自于伪随机消息密钥偏移和所述根密钥并且不同于所述RSMK。8.如权利要求7所述的发送方装置，其中所述消息密钥偏移与所述根密钥进行异或运算以建立所述MC会话密钥。9.如权利要求6所述的发送方装置，其中所述指令可执行以：生成消息报头，所述消息报头包括至少所述消息密钥偏移和消息初始化向量(IV)；将所述发送方装置的基于私有密钥的签名与所述消息报头组合以提供已签名报头；将所述加密消息与所述已签名报头级联；并且发送具有所述已签名报头的所述加密消息。10.一种接收方装置，其包括：至少一个计算机存储器，所述至少一个计算机存储器不是瞬时信号并且包括指令，所述指令可由至少一个处理器执行以进行以下操作：接收根密钥blob；解析所述根密钥blob的元素，以提取对于所述接收方装置唯一的加密会话管理密钥；使用所述接收方装置的私有密钥来解密所述加密会话管理密钥，以提供解密会话管理密钥；使用所述解密会话管理密钥来解密所述根密钥blob中的加密多播根密钥，以提供解密多播根密钥；和使用所述解密多播根密钥来处...

【专利技术属性】
技术研发人员：B科塔，
申请(专利权)人：索尼互动娱乐美国有限责任公司，
类型：发明
国别省市：美国;US