[发明专利]双向认证的方法、装置及系统

说明书

本发明提供了一种双向认证的方法、装置及系统，该双向认证方法中：终端向服务器发起认证请求；服务器产生随机数，根据随机数、认证密钥和上次认证的认证因子响应值计算本次认证的认证因子响应值，并将随机数和加密的认证密钥下发至终端；终端根据随机数、加密的认证密钥、终端根密钥和上次认证的认证因子响应值计算本次认证的认证因子响应值，并将其上传至服务器；服务器将终端发送的本次认证的认证因子响应值与自身计算出的本次认证的认证因子响应值进行比较，如果匹配，则通过认证。本发明有效防止了对终端的克隆，保障了终端的安全。此外，本发明还提高了终端的通用性，实现了终端市场的水平化。

技术领域

本发明涉及数字电视技术领域，尤其是涉及一种双向认证的方法、装置及系统。

背景技术

目前数字电视领域中，基于单、双向网络的业务及内容保护系统的终端（例如机顶盒）的安全芯片均采用《ETSI TS103162V1.1.1(2010-10)》标准。其生产安全芯片的通用做法如下：

1、有线运营商向当地的业务及内容方案提供商提出采购安全芯片需求，业务及内容方案商提供给运营商已经与方案商集成的安全芯片厂商列表；

2、有线运营商选择安全芯片厂商后，向安全芯片厂商提出定制与当地业务及内容方案提供商匹配的安全芯片；

3、业务及内容方案提供商在每个已集成的安全芯片厂商放置一个黑盒子，业务及内容方案提供商将运营商定制安全芯片的安全密钥（SCK）发送给黑盒子，其中，安全芯片的安全密钥（SCK）也称为终端根密钥。

4、黑盒子将安全密钥（SCK）写入安全芯片，安全芯片厂商生产安全芯片；

5、安全芯片厂商将生产的安全芯片发给业务及内容方案提供商同时返还安全芯片的安全密钥（SCK）；

6、业务及内容方案提供商将采购的安全芯片和安全密钥（SCK）提供给有线运营商。

由上述过程可知，现有技术中，每个终端的安全芯片在生产时都要预埋安全密钥（SCK），而安全密钥（SCK）需要业务及内容方案提供商来提供，并且每个业务及内容方案提供商的安全密钥（SCK）都不相同，这就导致了终端只能匹配自己的密钥提供商，也就是说，只有采用了密钥提供商方案的数字运营商才能使用这些终端，从而导致了终端的通用性差。

此外，按照《ETSI TS103162V1.1.1(2010-10)》标准，系统认证过程只需前端服务器产生随机数，终端将随机数作为nonce（认证因子）送入自身的安全芯片，终端的安全芯片产生nonce response（认证因子响应）返回前端服务器即完成认证。在这种认证过程中，只要克隆者获取前端服务器下发的随机数，破解nonce应答机制就可完成对终端的克隆，因此，现有终端的安全性不高，存在被截取克隆的风险。

发明内容

本发明的目的在于提供一种双向认证的方法、装置及系统，以提高终端的安全性。

为达到上述目的，本发明提供了一种终端认证方法，包括以下步骤：

向服务器发起认证请求；

接收所述服务器发送的随机数Random和加密的认证密钥EK3(K2)；

根据所述Random、所述EK3(K2)、终端根密钥SCK和上一次认证的认证因子响应L_Nonce Response值获取本次认证的认证因子响应Nonce Response值；

将所述Nonce Response值上传至所述服务器。

本发明的终端认证方法，所述根据所述Random、所述EK3(K2)、所述SCK和所述L_Nonce Response值获取所述Nonce Response值，具体包括：