[发明专利]具有输入相关编码的白盒密码系统

说明书

技术领域

本发明涉及一种用于执行把输入消息映射到输出消息的带密钥密码操作(keyed cryptographic operation)的密码系统，该系统包括代表所述密钥的多个基本块的网络，至少一些基本块用于把输入数据映射到输出数据，所述多个基本块用于共同执行密码操作。

背景技术

互联网为用户提供了对数字内容的方便且无处不在的访问。由于互联网作为强大的分发通道的潜力，许多消费电子(CE)产品努力直接访问互联网或者与PC平台(通往互联网的主要入口)互操作。CE产品包括但不限于数字机顶盒、数字TV、游戏控制台、PC和日益增多的手持装置，诸如PDA、移动电话以及移动存储和渲染装置(例如，Apple的iPod)。使用互联网作为版权内容的分发介质对保护内容提供商的利益提出了很大的挑战。特别地，需要保证内容提供商的版权和商业模式。越来越多地使用载入了合适软件的处理器来操作CE平台。这种软件可包括用于数字内容(诸如，音频和/或视频)的渲染(回放)的功能的主要部分。回放软件的控制是用于加强内容所有者的利益的一种方式，包括可以使用内容的条款。在传统上许多CE平台(除了PC和PDA之外)习惯于封闭的情况下，当今越来越多的平台至少部分地是开放的。特别地，对于PC平台，可认为一些用户完全控制了提供对内容的访问的硬件和软件以及具有大量时间和资源来攻击和绕过任何内容保护机制。结果，内容提供商必须经过恶意网络把针对合法用户的内容传送给并非所有用户或装置能够被信任的群体。

典型地，数字权利管理系统使用基于使用一系列加密/解密步骤(称为回合)按照块处理数据流的块密码的加密技术。在每个回合中，执行回合专用函数。回合专用函数可基于在回合专用子密钥的控制下执行的相同的回合函数。对于许多加密系统，能够使用映射表或查找表指定回合函数。即使回合函数的规范明确地包括表的使用，但表频繁地用于函数的不同部分的实现从而实现加密/解密函数的软件中的高效执行。计算机代码访问表值或者把表值组合成函数的范围值。替代于分发可能为用户专用的密钥，分发用户专用算法而非用于加密或解密算法的密钥变得更为有趣。这些算法(常常为函数(映射))必须被混淆(隐藏)以防止重新设计或者阻止像密钥的元素的重新计算。在计算机上，带有一些计算机代码的表常代表这些函数。

内容提供商必须经恶意网络把针对合法用户的内容传送给并非所有用户或装置能够被信任的群体。特别地，对于PC平台，假定用户必须完全控制提供对内容的访问的硬件和软件并具有无限量的时间和资源以攻击并绕过任何内容保护机制。执行可使用内容的条款的软件代码必须不被篡改。用于分发给PC的保护内容的数字权利管理的一般方法是对数字内容加密，例如DES(数据加密标准)、AES(高级加密标准)，或使用WO9967918中公开的方法以及使用解密密钥。

依赖于加密数字权利管理的两个主要弱点在于执行可使用内容的条款的软件插件以及密钥分发和处理。

典型地，该插件执行要使用内容所基于的条款。意图去除这些条款的攻击者可能通过篡改软件插件中包括的程序代码来实现这一点。

关于密钥处理，为了回放，媒体播放器必须从许可数据库找回解密密钥。它随后必须把这个解密密钥存储在存储器中的某处位置以用于加密内容的解密。这为攻击者留下了攻击密钥的两种选择。第一，许可数据库访问函数的反向工程能够导致黑盒软件(即，攻击者不必理解软件功能的内部工作)，从而允许攻击者从所有许可数据库找回资产密钥。第二，通过内容解密期间对存储器的访问的观测，可以找回资产密钥。在这两种情况下，密钥都被视为泄露。在下面，提供关于通常如何可使软件防篡改的描述。

之所以称为防篡改软件是因为针对软件的目标导向的篡改很复杂。存在多种用于增加软件应用的防篡改性的技术。这些技术中的大多数基于通过在软件应用的控制和数据路径中都加入一定的随机性和复杂性而隐藏应用的嵌入知识。其后的思想是：仅通过代码检查来提取信息变得更加困难。因此更加难以找到例如处理应用的访问和许可控制的代码，因此也更加难以改变它。