[发明专利]安全认证信道

说明书

本申请是申请日为2004年10月29日的中国专利申请“安全认证信道”(申请号200480044294.2)的分案申请。

技术领域

本发明总体上涉及安全认证信道，具体涉及用于建立这种信道的会话密钥的计算，所述信道用于保护数字内容，例如数字电视系统中的内容。

背景技术

密码技术领域中公知的安全认证信道被建立用于允许两个相互认证的设备(通常称作对等体)秘密地交换信息。优选地，安全认证信道应当具有如下性质：

-对等体的相互认证；

-密钥确认，即建立了公共秘密且至少一个对等体能够检验该秘密确实是公共的；

-转发保密，即，即使在长期密钥(例如证书密钥)已被获知的情况下也不能计算旧的会话密钥。

这些性质可以在数学上正式地得以证明，而且已经证明的是：如果存在这样一种方法，即能够避开上述针对给定加密协议的性质之一，那么可以相对简单地破坏整个协议。

多年来，研究加密的团体已经提出了多种针对安全认证信道的协议。这些信道中仅有少数被证明能够满足上述性质。

那些为信道提供所需性质的协议都使用了大量不同的原语：至少一个非对称原语(例如非对称加密或数字签名)、哈希函数、消息认证码(MAC)以及例如对称加密的其它原语。这些协议的一个问题是：它们消耗了大量资源且难以在具有有限计算能力的设备中实现，例如像智能卡那样的便携式安全模块。另一个问题是：多个加密原语的使用使得难以证明协议是安全的。

本发明提供了一种安全访问信道协议，它具有所需的性质并且尤其适于在具有有限计算能力的设备中实现。

在描述中，由于加密是一种成熟的技术，假定基本概念是公知的。为了清楚和简明的原因，将不会对这些概念做出超过理解本发明所需的描述。

发明内容

在第一方面中，本发明涉及一种用于计算由第一和第二设备(11，21)共用的会话密钥的方法。第一设备具有：证书(C_a)，包括公共密钥(g^a)和与第一设备自身相对应的身份(ID_a)；以及和与第一设备自身相对应的身份(ID_a)、私有密钥(a)及公共密钥(g^a)有关的知识。第二设备具有相应的证书和知识。第一设备选择第一暂时私有密钥(x)，计算第一暂时公共密钥(g^x)，并且把第一设备的证书(C_a)和第一暂时公共密钥(g^x)发送到第二设备。在接收到第一设备的证书(C_a)以及第一暂时公共密钥(g^x)时，第二设备检验第一设备的证书(C_a)，选择第二暂时私有密钥(y)，计算第二暂时公共密钥(g^y)，根据第一暂时公共密钥(g^x)和第二暂时私有密钥(y)计算暂时共享密钥(K_eph)，根据第一设备的公共密钥(g^a)和第二设备自有的私有密钥(b)计算永久密钥(K_perm)，根据第二暂时公共密钥(g^y)、暂时共享密钥(K_eph)、永久密钥(K_perm)和与第二设备自身相对应的身份(ID_b)计算第一值(H(g^y，K_eph，K_perm，ID_b))，并且把第二设备的证书(C_b)、第二暂时公共密钥(g^y)和第一值(H(g^y，K_eph，K_perm，ID_b))发送到第一设备。在从第二设备接收到第二设备的证书(C_b)、第二暂时公共密钥(g^y)和第一值(H(g^y，K_eph，K_perm，ID_b))时，第一设备检验第二设备的证书(C_b)，根据第二暂时公共密钥(g^y)和第一暂时私有密钥(x)计算暂时共享密钥(K_eph)，根据第一设备的公共密钥(g^b)和第一设备自有的私有密钥(a)计算永久密钥(K_perm)，检验第一值(H(g^y，K_eph，K_perm，ID_b))，根据第一暂时公共密钥(g^x)、暂时共享密钥(K_eph)、永久密钥(K_perm)和与第一设备自身相对应的身份(ID_a)计算第二值H(g^x，K_eph，K_perm，ID_a)，并把第二值(H(g^x，K_eph，K_perm，ID_a))发送到第二设备。在接收到第二值(H(g^x，K_eph，K_perm，ID_a))时，第二设备检验第二值(H(g^x，K_eph，K_perm，ID_a))，并作为暂时共享密钥(K_eph)的函数来计算会话密钥(K_sess)。第一设备也作为暂时共享密钥(K_eph)的函数来计算会话密钥(K_sess)。