專利名稱:改進(jìn)的保密驗(yàn)證信道的制作方法
數(shù)字媒體已成為用于各種類型數(shù)據(jù)信息的流行載體。例如,計(jì)算機(jī)軟件和音頻信息廣泛地在光學(xué)壓縮盤(CD)上可獲得,并且最近DVD在分布共享方面也已增加。CD和DVD對于數(shù)據(jù)、軟件、圖像和音頻的數(shù)字記錄使用公用標(biāo)準(zhǔn)。另外的媒體諸如可記錄盤、固態(tài)存儲器和類似物在軟件和數(shù)據(jù)分配市場方面正在獲得可觀的增加。
與模擬格式相比,數(shù)字格式的顯著優(yōu)越的質(zhì)量使得數(shù)字格式實(shí)際上更加具有未授權(quán)拷貝和盜版的傾向,此外,數(shù)字格式的拷貝更容易和更快速。數(shù)字?jǐn)?shù)據(jù)流的拷貝,無論是壓縮的、未壓縮的、加密的或未加密的數(shù)據(jù)流,一般不會(huì)導(dǎo)致數(shù)據(jù)質(zhì)量的任何可感覺到的損失。數(shù)字拷貝因而在多生成拷貝(multi-generation copying)方面基本上不受限制。另一方面,模擬數(shù)據(jù)隨著每次順序拷貝具有信噪比損失,所以模擬數(shù)據(jù)自然在多生成和大量拷貝方面受到限制。
數(shù)字格式的最近流行的出現(xiàn)也帶來了大量的拷貝保護(hù)和DRM系統(tǒng)與方法。這些系統(tǒng)和方法使用諸如加密、加水印和權(quán)利描述(例如,用于存取和拷貝數(shù)據(jù)的規(guī)則)的技術(shù)。
保護(hù)數(shù)字?jǐn)?shù)據(jù)形式的內(nèi)容的一種方式是保證只在以下情況下才將在設(shè)備之間傳送內(nèi)容·接收設(shè)備已被驗(yàn)證為依從(compliant)設(shè)備,和·內(nèi)容的用戶具有將那個(gè)內(nèi)容傳送(移動(dòng)和/或拷貝)到另一設(shè)備的權(quán)利。
如果允許內(nèi)容的傳送,則這一般將以加密方式來執(zhí)行,以確保不能從傳送信道諸如CD-ROM驅(qū)動(dòng)器與個(gè)人計(jì)算機(jī)(主機(jī))之間的總線中以有用的格式非法捕獲該內(nèi)容。
執(zhí)行設(shè)備驗(yàn)證和加密內(nèi)容傳送的技術(shù)是可獲得的,并被稱為保密驗(yàn)證信道(secure authenticated channel)(SAC)。在許多情況中,使用驗(yàn)證與密鑰交換(Authentication and Key Exchange)(AKE)協(xié)議來建立SAC,其中AKE協(xié)議基于公鑰密碼術(shù)。時(shí)常使用諸如國際標(biāo)準(zhǔn)ISO/IEC 11770-3和ISO/IEC 9796-2的標(biāo)準(zhǔn)以及諸如RSA的公鑰算法和類似于SHA-1的散列算法。
公鑰密碼術(shù)要求顯著的計(jì)算能力。對于諸如個(gè)人計(jì)算機(jī)的主機(jī),這通常不是問題。然而,對于類似于CD-ROM驅(qū)動(dòng)器、手持計(jì)算機(jī)或移動(dòng)電話的外圍設(shè)備,資源是非常需要的??偟膩碚f,設(shè)備需要專用硬件來以可接受速度執(zhí)行公鑰系統(tǒng)的私鑰運(yùn)算。另一方面,如果沒有專用硬件,可以執(zhí)行公鑰運(yùn)算。公鑰密碼系統(tǒng)的私鑰運(yùn)算通常是形式為gxmod N的計(jì)算,其中x、g和N通常是1024比特?cái)?shù)。另一方面,公鑰運(yùn)算具有相同的形式,但在這里x被限制為小值,一般是3或216+1。這使得公鑰運(yùn)算比私鑰運(yùn)算更快速執(zhí)行。
主機(jī)與設(shè)備之間的SAC僅僅是發(fā)行商用于將內(nèi)容傳遞給終端用戶的鏈的一部分。然而,系統(tǒng)安全分析必須考慮整個(gè)傳送鏈(deliverychain)。
圖1顯示了在這個(gè)文件中考慮的示例性傳送鏈。從左到右,該傳送鏈包括發(fā)行商101、(通常預(yù)壓)光盤102、光盤播放器103、主機(jī)104、光盤記錄器105和第二盤106。該傳送鏈考慮在某些環(huán)境下它也許被允許制作已發(fā)行盤的拷貝。相鄰參與者之間的通信信道(利用實(shí)線箭頭所指示)可以是單向或雙向。虛線箭頭指示在內(nèi)容被傳送之前,相鄰參與者如何彼此驗(yàn)證。發(fā)行商101和播放器102使用單向廣播加密。記錄器105也同樣。播放器103、主機(jī)104和記錄器105使用雙向SAC。
在整個(gè)傳送鏈中,內(nèi)容是以加密狀態(tài)被傳遞的??尚诺膮⑴c者與內(nèi)容一起接收解密密鑰。如果發(fā)行商或另一可信的參與者可以驗(yàn)證一個(gè)參與者,則該參與者是可信的。請注意,可信的參與者必須在它可以使用加密的內(nèi)容之前驗(yàn)證其在該鏈中的先趨(predecessor)。例如,在圖1中,播放器和主機(jī)以及主機(jī)和記錄器使用SAC來安全地傳遞內(nèi)容。為了建立SAC,它們相互驗(yàn)證。
一般,具有三種類型的不以通用秘密為基礎(chǔ)的驗(yàn)證協(xié)議1、詢問/應(yīng)答驗(yàn)證,諸如Sapphire SAC建立協(xié)議,該協(xié)議僅由雙向通信信道支持,2、Zero Knowledge Protocol(零知識協(xié)議),諸如Fiat-Shamir、Guillou-Quisquater以及Schnorr的那些協(xié)議,這些協(xié)議僅由雙向信道支持,和3、在單向和雙向信道上工作的廣播加密。
在廣播加密協(xié)議中,驗(yàn)證通常與內(nèi)容解密密鑰的傳遞緊密相鏈接。為此,每個(gè)參與者具有一組獨(dú)特的密碼密鑰。這里,把這些密鑰稱為秘密密鑰。各個(gè)秘密密鑰可以被包括在許多參與者的組中。發(fā)行商創(chuàng)建包含內(nèi)容解密密鑰的消息。利用秘密密鑰,以只有所有參與者的子集才能夠解密內(nèi)容密鑰的這樣一種方式,加密這個(gè)消息。能夠解密內(nèi)容密鑰的參與者被隱式驗(yàn)證。未在該子集中并因而不能解密該內(nèi)容密鑰的參與者被撤銷。
例如,對于從發(fā)行商到播放器的單向信道,可以利用基于密碼密鑰的分層樹的廣播加密技術(shù)。廣播消息被稱為EKB。包含在EKB中的解密密鑰被稱為根密鑰。至于更多的信息,請參見·D.M.Wallner,E.J.Harder,和R.C.Agee,“Key Managementfor MulticastIssues and Architectures(用于多播的密鑰管理發(fā)行和結(jié)構(gòu))”,Request For Comments 2627,1999年6月。
·C.K.Wong,M.Gouda和S.Lam,“Secure Group CommunicationsUsing Key Graphs(利用密鑰圖形的秘密組通信)”,ProceedingsSIG-COMM 1998,ACM Press,New York,pp.68-79。
現(xiàn)在,我們將討論這三種類型的驗(yàn)證及其優(yōu)點(diǎn)/缺點(diǎn)。
公鑰協(xié)議在這個(gè)文件中將依據(jù)以下記號·Px屬于X的公鑰·Sx屬于X的私鑰·C=E[K,M]密文C是利用密鑰K加密消息M的結(jié)果·M’=D[K,C]明文M’是利用密鑰K解密C的結(jié)果。
·CertA=Sign[SB,A]證書CertA是利用私鑰SB簽名消息A的結(jié)果。
基于詢問/應(yīng)答的公鑰協(xié)議在詢問/應(yīng)答公鑰協(xié)議中,用戶A(其可以是設(shè)備)希望向用戶B(也可能是設(shè)備)驗(yàn)證他/她自己。為此,終端A從LicensingAuthority(特許機(jī)構(gòu))(LA)接收以下內(nèi)容·公鑰-私鑰對{PA,SA}(當(dāng)然,LA還選擇定義在其中進(jìn)行計(jì)算的有限域的模(運(yùn)算)。為了簡潔,我們省略該參數(shù)的引用。公鑰PA實(shí)際上是元組{PA,N})
·證書CertA=Sign[SLA,A||PA],其中SLA是LA的私鑰。
所有用戶(A和B)接收特許機(jī)構(gòu)PLA的公鑰。
在圖2中概述了該協(xié)議。該協(xié)議通常如下工作1.A通過向B提供他的標(biāo)識符(在此,序號A)、他的公鑰PA和來自LA的證書來向B識別他自己。
2.B使用LA的公鑰PLA,依據(jù)證書來檢驗(yàn)A的公鑰和身份。如果需要的話,B檢查不撤銷A和PA即,它們出現(xiàn)在白名單上,或不出現(xiàn)在黑名單上。如果真實(shí)的話,B通過生成隨機(jī)數(shù)r并把它發(fā)送給A繼續(xù)。
3.A通過利用他的私鑰SA把r簽名(加密)成證書Certr并把結(jié)果返回給B來應(yīng)答。
4.利用A的公鑰PA,B檢驗(yàn)證書的內(nèi)容與他在步驟2中發(fā)送的數(shù)字r相同。如果正確的話,則A證明他具有屬于公鑰PA的秘密密鑰,即,他是A。
步驟1可以被推遲,直至步驟3,于是只需要2次傳送。為了實(shí)現(xiàn)相互驗(yàn)證,可以通過實(shí)體執(zhí)行相反的步驟來重復(fù)該協(xié)議。這些步驟也可以互換,例如,第一步驟1是,A向B提供他的標(biāo)識符;隨后,步驟1是,B向A提供他的標(biāo)識符;并且對于其它的步驟,也是類似的。
這個(gè)協(xié)議的變型是其中B發(fā)送利用A的公鑰加密的隨機(jī)數(shù)r的協(xié)議。A隨后通過解密接收的數(shù)字r并將它返回給B來演示他的秘密密鑰的知識。
在驗(yàn)證之后,需要建立公鑰,這可以利用各種方式來完成。例如,A選擇秘密隨機(jī)數(shù)s并利用PB加密它,而且把它傳送給B。B能夠利用SB來將它解密為s,并且雙方能夠把s用作公用密鑰。
顯然,該協(xié)議至少需要雙方的一次私鑰運(yùn)算,也許需要兩次或多次運(yùn)算,這取決于確切的總線-密鑰建立協(xié)議。
基于零知識(Guillou-Quisquater)的公鑰協(xié)議在基于Guillou-Quisquater(GQ)的公鑰協(xié)議中,用戶A希望向用戶B驗(yàn)證他/她自己。為此,終端A從特許機(jī)構(gòu)(LA)接收以下內(nèi)容·公鑰-私鑰對{JA,sA}(LA還選擇公開指數(shù)v和模N,這定義其中進(jìn)行計(jì)算的有限域。為了簡潔,我們省略對該參數(shù)的進(jìn)一步引用)·證書CertA=Sign[SLA,A||JA],其中SLA是LA的私鑰。
所有用戶(A和B)接收·特許機(jī)構(gòu)的公鑰PLA·v,公開指數(shù)和保密參數(shù)。v通常是216或220。
在圖3中概述了該協(xié)議,該協(xié)議工作如下1.A生成隨機(jī)數(shù)r,r<N,并計(jì)算T=rvmod N。A通過提供他的標(biāo)識符(在此為序號A)、他的公鑰JA和來自LA的證書以及T來向B標(biāo)識他自己。
2.B使用LA的公鑰PLA,依據(jù)證書來驗(yàn)證A的公鑰和身份。如果需要的話,B檢查A和JA不被撤銷即他們出現(xiàn)在白名單上,或不出現(xiàn)在黑名單上。如果是的話,B則通過從{1,...,v-1}生成隨機(jī)數(shù)d并把它發(fā)送給A來繼續(xù)。
3.A通過構(gòu)建D=r·(sA)dmod N并把結(jié)果返回給B來應(yīng)答。
4.利用A的公鑰JA,B驗(yàn)證(JA)d·(D)v=T mod N。如果正確的話,則A證明他知道sA的概率為1∶v,即,具有他是A的高可能性。
為了實(shí)現(xiàn)相互驗(yàn)證,可以通過實(shí)體執(zhí)行相反步驟來重復(fù)該協(xié)議。這些步驟還能夠互換,例如,第一步驟1是,A向B提供他的標(biāo)識符;然后步驟1是,B向A提供他的標(biāo)識符;并且對于其它步驟,也是類似的。該協(xié)議的變型是(Feige-)Fiat-Shamir和Schnorr零知識協(xié)議。
該協(xié)議比詢問/應(yīng)答密碼術(shù)便宜得多,因?yàn)榕c公鑰運(yùn)算相比,昂貴的求冪總是涉及相對小的冪(3至5個(gè)數(shù)字,而不是數(shù)百個(gè))。不同于私鑰運(yùn)算,沒有密鑰能夠根據(jù)這個(gè)協(xié)議進(jìn)行共享,所以A和B不共享秘密而結(jié)束。
在US專利5140634(attorney docket PHQ 087030)中更詳細(xì)地描述了Guillou-Quisquater協(xié)議。
基于廣播的協(xié)議在基于廣播的協(xié)議中,用戶A再次希望向另一個(gè)用戶B驗(yàn)證他/她自己。為此,LA向用戶A提供·一組設(shè)備密鑰{KAI,...KAn},這組密鑰對于A是獨(dú)特的并且,向用戶B提供·另一組設(shè)備密鑰{KBI,...KBn},這組密鑰對于用戶B是獨(dú)特的。
LA向兩個(gè)用戶分配所謂的密鑰塊,在各種借口(guise)下被稱作“MKB”(CPRM/CPPM)、“EKB”(Sapphire)、“RKB”(BD-RE CPS)、“KMB”(xCP)。從此以后,我們將它稱作EKB。EKB例如被分布在光媒體上或經(jīng)由因特網(wǎng)進(jìn)行分布。以這樣的方式進(jìn)行構(gòu)造,以致于未被撤銷的設(shè)備可以從這個(gè)密鑰塊中提取根密鑰,這對于所有這些設(shè)備都將是相同的。已撤銷的設(shè)備通過使用其(已撤銷)設(shè)備密鑰將只獲得無意義的(nonsense)(密鑰)。
為了說明協(xié)議,參考圖4。它如下工作1.A和B利用其相應(yīng)的設(shè)備密鑰計(jì)算在EKB中編碼的保密Kroot。如果它們未被撤銷,則它們都將獲得Kroot。B生成隨機(jī)數(shù)r,并將其發(fā)送給A。
2.A利用從EKB中提取的秘密加密接收的數(shù)字,并將結(jié)果s返回給B。
3.B解密s并檢驗(yàn)結(jié)果是r。
為了實(shí)現(xiàn)相互驗(yàn)證,可以利用實(shí)體執(zhí)行反向步驟來重復(fù)該協(xié)議。這些步驟還可以互換,例如,第一步驟1是A向B提供他的標(biāo)識符,然后步驟1是B給A提供他的標(biāo)識符,對于其它的步驟,也是類似的。
請注意,B不檢驗(yàn)用戶A是他所宣稱的(claim),而只是檢驗(yàn)A知道Kroot,即,A未被LA撤銷。
基于廣播加密的驗(yàn)證是非常便宜和快速的,因?yàn)樗鼉H僅需要成本有效的對稱密碼術(shù)。然而,在B是PC主機(jī)軟件的情況下,該協(xié)議對于隱匿攻擊是脆弱的。請注意,與前面的部分相反,為了檢查A的完整性,PC軟件也需要知道Kroot?,F(xiàn)在,軟件時(shí)常被非法修改,并且這意味著Kroot可以從軟件中進(jìn)行提取并被公布在web站點(diǎn)上,允許黑客成功地建立驗(yàn)證。這樣的軟件難以被撤銷,因?yàn)闆]有設(shè)備密鑰在攻擊時(shí)被公布。
在一些設(shè)備已被非法闖入并且其設(shè)備密鑰已被檢索之后,黑客可以開始制造它們自己(新的)EKB,因而再次將已撤銷設(shè)備變成為未撤銷設(shè)備。為了對抗此,EKB經(jīng)常利用LA的私鑰來簽名,因此可以立即檢測到竄改。
本發(fā)明的目的是介紹建立保密驗(yàn)證信道的方法,避免公鑰驗(yàn)證(高成本)、EKB(主機(jī)中Kroot的泄漏)和零知識(無共享秘密)的缺點(diǎn)。
根據(jù)本發(fā)明,第一設(shè)備(最好是外圍設(shè)備)利用公鑰協(xié)議來驗(yàn)證第二設(shè)備(最好是主計(jì)算機(jī))。然而,第二設(shè)備利用零知識協(xié)議諸如Guillou-Quisquater來驗(yàn)證第一設(shè)備。
圖5通過顯示主計(jì)算機(jī)H與外圍設(shè)備P之間驗(yàn)證的實(shí)例示意地顯示了本發(fā)明的最佳實(shí)施例。這個(gè)實(shí)施例的優(yōu)點(diǎn)是,主計(jì)算機(jī)不要求訪問一組秘密密鑰。相反,主計(jì)算機(jī)檢驗(yàn)使用Guillou-Quisquater零知識協(xié)議,外圍設(shè)備可以解碼EKB(Kroot的知識)。實(shí)際上,外圍設(shè)備證實(shí)Kroot的知識,因?yàn)樗梢越饷茉贓KB中存儲的利用Kroot加密的GQ私鑰。因此,外圍設(shè)備必須根據(jù)這個(gè)協(xié)議執(zhí)行的操作需要的計(jì)算能力大約等于Sapphire公鑰協(xié)議的公鑰操作。
根據(jù)這個(gè)實(shí)施例的協(xié)議由以下5個(gè)步驟組成1.在第一步驟中,外圍設(shè)備向主計(jì)算機(jī)發(fā)送隨機(jī)數(shù)s以及EKB(EKBdevice)。外圍設(shè)備從例如光盤中獲得EKBdevice,并宣稱它可以解碼這個(gè)EKB。
2.在第二步驟中,主計(jì)算機(jī)向外圍設(shè)備發(fā)送它的證書Certhost、s的簽名拷貝和(可選)EKB(EKBhost)。該證書包含a.o.主機(jī)的公鑰。主計(jì)算機(jī)使用其私鑰生成s的簽名拷貝。如果主計(jì)算機(jī)要求外圍設(shè)備能夠解碼比EKBdevice更新近發(fā)行的EKB,則主計(jì)算機(jī)可以包括EKBhost。一旦接收到,則外圍設(shè)備檢驗(yàn)主機(jī)的證書是否是可接受的。這意味著外圍設(shè)備檢驗(yàn)該證書已被可信機(jī)構(gòu)簽名。此外,外圍設(shè)備檢驗(yàn)該證書還未被撤銷(即,它未出現(xiàn)在證書撤銷列表中),或者可選擇地,檢驗(yàn)證書已被明確授權(quán)(即,它出現(xiàn)在證書授權(quán)列表中)。如果該證書是不可接受的,則外圍設(shè)備終止該協(xié)議。否則,主計(jì)算機(jī)已被驗(yàn)證。
3.在第三步驟中,外圍設(shè)備生成在范圍1...N-1內(nèi)的隨機(jī)數(shù)r,并向主計(jì)算機(jī)發(fā)送值T=rvmod n。這里,v是指數(shù),并且N是包含在EKBdevice或者EKBhost(這兩個(gè)中無論哪個(gè)都是最新發(fā)行的)中的公共Guillou-Quisquater“公鑰”的模數(shù)。
4.在第四步驟中,主計(jì)算機(jī)生成在范圍0...v-1中的隨機(jī)數(shù)d,并將它發(fā)送給驅(qū)動(dòng)器。
5.在第五步驟中,外圍設(shè)備檢驗(yàn)EKB的完整性,利用其設(shè)備密鑰來計(jì)算Kroot,并使用它能夠解密加密的s(也在EKB中)的Kroot來獲得明文s。隨后,它計(jì)算數(shù)字D=r·sdmod N,生成總線密鑰kbus,并把利用主機(jī)的公鑰加密的D||Kbus發(fā)送給主計(jì)算機(jī)。這里,s是包含在EKB中的Guillou-Quisquater“私鑰”。s利用根密鑰進(jìn)行加密,這暗示只有能夠解碼EKB的外圍設(shè)備才能夠訪問s。在接受總線密鑰之前,主計(jì)算機(jī)檢驗(yàn)Jd·Dvmod N=T。這里,J是包含在EKB中的Guillou-Quisquater“公鑰”的一部分。如果檢驗(yàn)失敗,則主計(jì)算機(jī)終止該協(xié)議。
該協(xié)議的特性是,主計(jì)算機(jī)被唯一地標(biāo)識,但外圍設(shè)備不是。也就是說,主計(jì)算機(jī)僅知道它正在與授權(quán)的外圍設(shè)備通信,但是它不知道它正在與哪個(gè)外圍設(shè)備通信。
可選地,通過應(yīng)用P.Tuyls和B.Murray的英國專利申請序列號0228760.5(attorney docket PHNL021343)的教導(dǎo),可以進(jìn)一步增加該協(xié)議的效率。
為了最好地支持所建議的協(xié)議,EKB格式必須進(jìn)行修改,或者必須定義附加的數(shù)據(jù)結(jié)構(gòu)。圖6顯示了第一選項(xiàng),EKB格式與零知識數(shù)據(jù)結(jié)構(gòu)相組合?;旧希阒R數(shù)據(jù)結(jié)構(gòu)包含EKB檢驗(yàn)數(shù)據(jù)字段,這建立至相關(guān)EKB的鏈路。請注意,這個(gè)字段替代EKB中的驗(yàn)證數(shù)據(jù)字段的功能。其它兩個(gè)字段包含Guillou-Quisquater“公鑰”和“私鑰”。“私鑰”利用EKB的根密鑰來加密。
圖7顯示了根據(jù)第二選項(xiàng)的增強(qiáng)型EKB的格式。這里,“公鑰”被附加到利用根密鑰加密的密鑰校驗(yàn)數(shù)據(jù)字段上?!八借€”被附加到利用TTP簽名的驗(yàn)證數(shù)據(jù)字段。
當(dāng)然,這些設(shè)備不一定是個(gè)人計(jì)算機(jī)和CD-ROM設(shè)備。驗(yàn)證另一設(shè)備和/或向那個(gè)其它設(shè)備驗(yàn)證它自己的任何設(shè)備都能夠得益于本發(fā)明。內(nèi)容可以在任何媒體上或者經(jīng)由任何傳送信道進(jìn)行分發(fā)。例如,可以在閃存媒體上或者通過USB電纜分發(fā)該內(nèi)容。
經(jīng)由SAC發(fā)送或接收內(nèi)容的設(shè)備可以執(zhí)行檢查,以查看是否允許發(fā)送或接收。例如,內(nèi)容可以具有指示不可以制作拷貝的水印。在此種情況下,即使SAC被成功建立,也應(yīng)當(dāng)阻止發(fā)射或接收。
這些設(shè)備可以是其中更充足的拷貝規(guī)則可以應(yīng)用的所謂的授權(quán)域的一部分。在授權(quán)域中,SAC通常也用于在該域的成員之間建立保密內(nèi)容傳送。例如,參見國際專利申請WO 03/047204(attorney docketPHNL 010880)和國際專利申請WO 03/098931(attorney docket PHNL020455)。
應(yīng)當(dāng)注意,上述實(shí)施例是說明而不是限制本發(fā)明,并且本領(lǐng)域熟練技術(shù)人員將能夠設(shè)計(jì)許多不背離所附權(quán)利要求范圍的替代實(shí)施例。最好,利用在相應(yīng)設(shè)備上運(yùn)行并被安排為執(zhí)行根據(jù)本發(fā)明的協(xié)議的軟件來實(shí)施本發(fā)明。為此,這些設(shè)備可以包括處理器和存儲器來存儲軟件。最好,使用保密硬件用于例如存儲密碼密鑰。智能卡可以被裝備這樣的處理器和存儲器。該智能卡隨后可以被插入設(shè)備中,以使該設(shè)備能夠使用本發(fā)明。當(dāng)然,還可以利用特定電路或者專用電路和軟件的組合來實(shí)施本發(fā)明。
在權(quán)利要求中,放置括號之間的任何參考符號不應(yīng)認(rèn)為限制該權(quán)利要求。單詞“包括”并不排除權(quán)利要求中所列出之外的元件或步驟的存在。元件之前的單詞“一或一個(gè)”并不排除多個(gè)這樣的元件的存在。本發(fā)明可以利用包括若干不同元件的硬件來實(shí)現(xiàn),并且能夠利用合適編程的計(jì)算機(jī)來實(shí)現(xiàn)。
在列舉若干裝置的系統(tǒng)權(quán)利要求中,可以利用同一個(gè)硬件項(xiàng)來實(shí)現(xiàn)這些裝置中的若干。在互不相同的從屬權(quán)利要求中敘述某些措施的唯一事實(shí)并不表示這些措施的組合不能有利地加以利用。
權(quán)利要求
1.一種在兩個(gè)設(shè)備即設(shè)備A與設(shè)備B之間建立保密驗(yàn)證信道的方法,其中設(shè)備A利用詢問/應(yīng)答公鑰密碼術(shù)向設(shè)備B驗(yàn)證,以及設(shè)備B利用零知識協(xié)議向設(shè)備A驗(yàn)證。
2.根據(jù)權(quán)利要求1所述的方法,其中零知識協(xié)議是Guillou-Quisquater零知識協(xié)議。
3.根據(jù)權(quán)利要求1所述的方法,其中零知識協(xié)議是Fiat-Shamir零知識協(xié)議。
4.根據(jù)權(quán)利要求1所述的方法,其中零知識協(xié)議是Schnorr零知識協(xié)議。
5.根據(jù)權(quán)利要求1所述的方法,其中設(shè)備B利用零知識協(xié)議和廣播加密系統(tǒng)的組合向設(shè)備A驗(yàn)證,其中在零知識協(xié)議中使用的秘密被加擾,以致于只能夠由那些能夠成功地處理廣播加密密鑰塊的設(shè)備獲得該秘密。
6.根據(jù)權(quán)利要求5所述的方法,其中在零知識協(xié)議中使用的秘密利用廣播加密系統(tǒng)密鑰塊的根密鑰Kroot進(jìn)行加密。
7.根據(jù)權(quán)利要求5所述的方法,其中存在具有根密鑰Kroot,1以允許驗(yàn)證的一個(gè)密鑰塊以及具有用于內(nèi)容加密的根密鑰Kroot,2的另一個(gè)密鑰塊。
8.根據(jù)權(quán)利要求1或5所述的方法,其中零知識對{J,s}對于每個(gè)密鑰塊是不同的。
9.根據(jù)權(quán)利要求1或5所述的方法,其中設(shè)備B生成bas密鑰,并把bas密鑰發(fā)送給設(shè)備A。
10.根據(jù)從屬于權(quán)利要求5的權(quán)利要求9所述的方法,其中如果設(shè)備A能夠檢驗(yàn)設(shè)備B能夠解擾該秘密,則設(shè)備A只接受bas密鑰。
11.一種系統(tǒng),包括第一設(shè)備A和第二設(shè)備B,其中設(shè)備A被安排為使用詢問/應(yīng)答公鑰密碼術(shù)向設(shè)備B驗(yàn)證,并且設(shè)備B被安排為使用零知識協(xié)議向設(shè)備A驗(yàn)證。
12.一種第一設(shè)備A,被安排為使用詢問/應(yīng)答公鑰密碼術(shù)向設(shè)備B驗(yàn)證它自己,并且被安排成使用零知識協(xié)議來驗(yàn)證第二設(shè)備B。
13.一種第二設(shè)備B,被安排為使用零知識協(xié)議向第一設(shè)備A驗(yàn)證它自己,并且被安排成使用詢問/應(yīng)答公鑰密碼術(shù)來驗(yàn)證第一設(shè)備A。
14.一種計(jì)算機(jī)程序產(chǎn)品,包括使可編程設(shè)備能夠作為權(quán)利要求12的第一設(shè)備和/或權(quán)利要求13的第二設(shè)備操作的代碼。
全文摘要
為了防止在接口上拷貝內(nèi)容,必須建立保密驗(yàn)證信道(SAC)。這要求設(shè)備之間的驗(yàn)證。本發(fā)明建議一種驗(yàn)證協(xié)議,其中第一設(shè)備(例如,PC)利用詢問/應(yīng)答協(xié)議向第二設(shè)備(例如,外圍設(shè)備)驗(yàn)證它自己,而第二設(shè)備利用零知識協(xié)議來驗(yàn)證它自己,其中優(yōu)選地零知識協(xié)議的秘密被加擾,并且被密碼地約束到密鑰塊上。
文檔編號H04L9/32GK1809984SQ200480016933
公開日2006年7月26日 申請日期2004年6月11日 優(yōu)先權(quán)日2003年6月17日
發(fā)明者J·C·塔斯特拉, A·A·M·斯塔林格 申請人:皇家飛利浦電子股份有限公司