CN101431415B

CN101431415B - 一种双向认证的方法

Info

Publication number: CN101431415B
Application number: CN2008102398291A
Authority: CN
Inventors: 辛宇; 马兆丰; 陈铭; 武嘉; 赖龙生; 国鹏飞; 孙宝寅; 秦虎
Original assignee: DIGITAL VIDEO NETWORKS (BEIJING) Co Ltd; Beijing University of Posts and Telecommunications
Current assignee: BEIJING HUIXIN BOSI TECHNOLOGY Co Ltd
Priority date: 2008-12-12
Filing date: 2008-12-12
Publication date: 2011-12-21
Anticipated expiration: 2028-12-12
Also published as: CN101431415A

Abstract

本发明公开了一种双向认证的方法，适用于交互式网络电视的数字版权管理领域，用户终端注册到认证服务器；用户终端与认证服务器之间进行密钥协商；用户终端与认证服务器之间进行双向认证；用户终端获取用于内容播放的许可证书。采用了本发明的技术方案，可以利用ECC加密效率高，密文长度短的优势，在IPTVDRM的服务器和客户端之间建立双向认证；在双向认证之前采用了密钥协商协议得到会话密钥，然后通过证书双向认证双方的身份，而且防止证书在传输过程被篡改攻击；采用证书的双向认证使得认证有效同时加解密效率比RSA双向认证效率高，并且让双方可以明文获取对方的信息确认对方同时不会泄漏明文信息。

Description

一种双向认证的方法

技术领域

本发明涉及交互式网络电视的数字版权管理技术领域，尤其涉及一种双向认证的方法。

背景技术

交互式网络电视即IPTV，是一种利用宽带有线电视网，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务的崭新技术。用户在家里可以通过三种方式享受IPTV服务：计算机；机顶盒+普通电视；移动电话。它能够很好地适应当今网络飞速发展的趋势，充分有效地利用网络资源。IPTV既不同于传统的模拟式有线电视，也不同于经典的数字电视。因为，传统的和经典的数字电视都具有频分制、定时、单向广播等特点，极大地限制了电视观众与电视服务提供商之间的互动，也限制了节目的个性化和即时化。尽管经典的数字电视相对于模拟电视有许多技术革新，但只是信号形式的改变，而没有触及媒体内容的传播方式。

而IPTV的特点是：用户可以得到高质量(接近DVD水平的)数字媒体服务；用户可以有极为广泛的自由度选择宽带IP网上各网站提供的视频节目；实现媒体提供者和媒体消费者的实质性互动。IPTV采用的播放平台将是新一代家庭数字媒体终端的典型代表，它能根据用户的选择配置多种多媒体服务功能，包括数字电视节目，可视IP电话，DVD/VCD播放，互联网游览，电子邮件，以及多种在线信息咨询、娱乐、教育及商务功能。

由于数字化信息的特点决定了必须有另一种独特的技术，来加强保护这些数字化的多媒体内容的版权，该技术就是数字权限管理技术(digital right management，DRM)。

DRM技术的工作原理是，首先建立数字节目授权中心。编码压缩后的数字节目内容，可以利用密钥(Key)进行加密保护(lock)，加密的数字节目头部存放着KeyID和节目授权中心的URL。用户在点播时，根据节目头部的KeyID和URL信息，就可以通过数字节目授权中心的验证授权后送出相关的密钥解密(unlock)，节目方可播放。

需要保护的节目被加密，即使被用户下载保存，没有得到数字节目授权中心的验证授权也无法播放，从而严密地保护了节目的版权。

IPTV DRM就是数字电视数字版权管理。数字媒体提供商将数字媒体内容进行对称加密，加密后的内容取一个MID号，密钥取一个KeyID号，MID|KeyID关联起来并把密钥安全保存。用户在网上向数字媒体提供商进行注册缴费获取观看权限，得到许可证书，然后在网上就可以在线观看数字媒体内容了。用户登录服务器，获取内容许可证书过程，都需要进行双向认证，防止假冒，截取等非法授权行为。然而目前攻击技术和搭线偷听等先进设备的存在及大量黑客假冒用户，那么用户和服务器之间的双向认证就显得非常必要和非常关键。

目前对网络安全的双向认证还比较少，方法基本都是采用非对称RSA公钥体制，而RSA的安全性取决于大素数，目前国际标准至少1024位模数，这反过来制约了效率，就是说RSA的加解密效率较低，并且RSA密码体制还是单向的，就是要么客户端用RSA验证服务器的身份，要么服务器根据RSA验证客户端的身份。如果要达到双向认证，则必须使用两个RSA密码系统，这显然在效率上更加低，其次采用RSA密码体制的双向认证无法避免服务器或者客户端的冒充，RSA密码体制对于密文的扩散很大，密文长度都要求2倍扩展。

发明内容

本发明的目的在于提出一种双向认证的方法，能够提供IPTV DRM的服务器和用户终端之间建立双向认证的效率。

为达此目的，本发明采用以下技术方案：

一种双向认证的方法，适用于交互式网络电视的数字版权管理领域，包括以下步骤：

A、用户终端注册到认证服务器；

B、所述用户终端与所述认证服务器之间进行密钥协商；

C、所述用户终端与所述认证服务器之间进行双向认证；

D、所述用户终端获取用于内容播放的许可证书。

步骤A进一步包括以下步骤：

A1、用户终端选择有限域Fq上的一条椭圆曲线E(Fq)，在椭圆曲线E(Fq)上选一基点P，P的阶数为n，用户终端生成随机数d_u作为用户终端的私钥和随机数Q_u作为用户终端的公钥，发送包括Q_u、P和E(Fq)的消息给认证服务器，其中n为一个不少于160比特的素数，d_u∈[1，n-1]，Q_u＝d_uP；

A2、认证服务器生成随机数d_s作为认证服务器的私钥和临时会话密钥RKey，获得认证服务器的公钥Q_s和共享密钥K_su，将临时会话密钥RKey用密钥K_su对称加密后为EKey，发送包括Q_s和EKey的消息给用户终端，其中Q_s＝d_sP，K_su＝d_sQ_u；

A3、用户终端收到Q_s和EKey后，获得共享密钥K_us，解密得到临时会话密钥RKey，生成注册信息m，将注册信息m用临时会话密钥RKey做密钥对称加密后发送给认证服务器，用户终端根据注册信息m生成用户证书并保存，其中K_us＝d_uQ_s；

A4、认证服务器解密得到注册信息m后保存，并根据注册信息m生成用户证书并保存，认证服务器发送注册成功信息给用户终端。

步骤B进一步包括以下步骤：

B1、用户终端生成随机数R_u，获得T_u，发送包括T_u的消息给认证服务器，其中R_u∈[1，n-1]，T_u＝(R_u+t)P；

B2、认证服务器收到T_u后，生成随机数R_s，获得T_s、T_u’、K_s和tK_s，认证服务器发送包括T_s和tK_s消息给用户终端，其中，T_s＝(R_s+t)P，T_u’＝T_u+(-t)P＝R_uP，K_s＝R_sT_u’＝R_uR_sP，tK_s＝tR_uR_sP；

B3、用户终端收到T_s和tK_s后，获得T_u0、K_u，并进一步分别乘以t获得tR_sP和tK_u，验证tK_s＝tK_u是否成立，如果验证成功，则发送包括tR_sP的消息给认证服务器，其中T_u0＝T_s+(-t)P＝R_sP，K_u＝R_uT_u0＝R_uR_sP；

B4、认证服务器验证tR_sP，通知用户终端验证成功时，tK_s＝tK_u，K＝K_s＝K_u，K作为用户终端和认证服务器之间的会话密钥种子；

B5、用户终端获得验证成功信息后，用户终端和认证服务器之间通过密钥生成函数F对密钥K_su进行构造生成用户终端和认证服务器之间的会话密钥K_us，其中K_us＝F(K.x，K.y)，K.x和K.y分别为椭圆曲线上点K的x和y坐标分量。

步骤C进一步包括以下步骤：

C1、用户终端生成随机数r₁，获得Q₁，发送包括Q₁的消息给认证服务器，其中Q₁＝r₁P；

C2、认证服务器收到Q₁后，生成随机数r₂，获得Q₂，并进一步获得Q_s1，生成包括证书消息C₁的消息，发送给用户终端，其中Q₂＝r₂P，Q_s1＝tQ₁+r_sQ₁，C₁＝E_Kus(Q₂||CertS||T₁||H(Q_s1，CertS||T₁))，r_s为认证服务器证书中的私钥；

C3、用户终端解密C₁后找到认证服务器证书中认证服务器的公钥Q_s，获得Q _s’1，其中Q_s’1＝tQ₁+r₁Q_s，，验证H(Q_s’1||CertS||T₁)＝H(Q_s1||CertS||T₁)是否成立，以判断时间戳T₁和证书的有效性，如果成功，则继续下一步，否则重新发起会话。

C4、用户终端获得Q_u2，其中Q_u2＝tQ₂+r_uQ₂，r_u为用户证书中的私钥，生成包括C₂的消息并发送到认证服务器，其中C₂＝E_Kus(CertU||T₂||H(Q_u2||CertU||T₂))；

C5、认证服务器收到消息C₂后解密得到用户证书中用户的公钥Q_u，获得Q_u’2，其中Q_u’2＝tQ₂+r₂Q_u，验证H(Q_u’2||CertU||T₂)＝H(Q_u2||CertU||T₂)是否成立，以判断时间戳T₂的有效性。

步骤D进一步包括以下步骤：

D1、用户申请许可证书时，通过许可证客户端获得用户终端唯一设备标识DID，同时提交用户名UID和已获得的数字内容标识MID，用户终端将DID、UID和MID加密发送给许可证服务器：

其中，

DID = Hash (E (C &CirclePlus; M &CirclePlus; H)),

C是用户终端CPU序列号，M是MAC地址，H是系统盘序列号；

D2、许可证服务器解密来自用户终端的消息解密后，通过检索许可证数据库认证媒体内容标识MID的合法性，如果IsValid[MID]＝TRUE，则表明用户提交的MID是合法的媒体标识；

D3、许可证服务器检索许可证数据库，获取用于保护对应于MID会话密钥K的私钥，解密获得内容加密密钥CEK，许可证管理中心根据用户提交的DID，生成用于加密内容密钥CEK对应的客户设备密钥DEK，其中DEK＝KeyGen(DID)，CEK’＝E_DEK(CEK)；

D4、许可证管理中心为用户终端生成并签名用于内容播放的许可证书License＝[UID，DID，MID，CEK’，Rights]，其中Rights＝{Times||TimeInterval||Transfer||Record||Render||Transport||Derivative||Configuration}；

D5、许可证管理中心将许可证书签名并加密发送给用户终端，E_Kus(License||Sig_Kus(License))，其中K_us是用户终端与许可证认证服务器实时协商获得的密钥。

n为160位、192位、256位或者512位素数。

采用了本发明的技术方案，可以利用ECC加密效率高，密文长度短的优势，采用ECC的双向认证方式在IPTVDRM的服务器和客户端之间建立双向认证；在双向认证之前采用了密钥协商协议得到会话密钥，然后通过证书双向认证双方的身份，而且防止证书在传输过程被篡改攻击；采用证书的双向认证使得认证有效同时加解密效率比RSA双向认证效率高，并且让双方可以明文获取对方的信息确认对方同时不会泄漏明文信息。

附图说明

图1是本发明具体实施方式中双向认证中用户注册信息的流程图；

图2是本发明具体实施方式中双向认证中用户密钥协商的流程图；

图3是本发明具体实施方式中双向认证中用户与服务器认证的流程图；

图4是本发明具体实施方式中双向认证中申请内容播放许可证的流程图。

具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。本发明具体实施方式中分为四个步骤：

A、用户终端注册到认证服务器；

B、用户终端与认证服务器之间进行密钥协商；

C、用户终端与认证服务器之间进行双向认证；

D、用户终端获取用于内容播放的许可证书。

步骤A中的密钥协商和步骤B中的密钥协商不能相互代换，因为前者目的是为了用户注册，安全性要求不高；而后者需要用户终端和认证服务器之间的共享秘密数，并且安全性要求高，协商后的密钥要用于相互间的身份认证和内容许可证书的加密。

用户终端必须先在网上进行信息注册，然后获取用户终端和认证服务器之间的共享秘密数，再在网上进行双向认证获取内容播放许可证书加密的密钥。用户终端首次登录服务器时必须经过步骤A，当用户非首次登录服务器时只需从步骤B开始交互信息。下面具体描述每个步骤分别包括的若干个子步骤。

图1是本发明具体实施方式中双向认证中用户注册信息的流程图。如图1所示，用户注册信息的流程包括以下步骤：

步骤101、IPTV DRM用户终端发起许可认证请求IPTVDRM_Hello消息，IPTV DRM认证服务器响应IPTVDRM_Reply消息后，双方建立连接。

步骤102、用户终端选择有限域Fq上的一条安全的椭圆曲线E(Fq)，保证该椭圆曲线的离散对数问题是难解的，在E(Fq)上选一基点P，P的阶数为n(n为160位、192位、256位或者512位素数)，IPTV DRM用户终端生成作为用户终端的私钥的随机数d_u∈[1，n-1]和作为用户终端的公钥的随机数Q_u＝d_uP，发送消息Q_u、P和E(Fq)给IPTV DRM认证服务器。

步骤103、认证服务器随机选择d_s作为认证服务器的私钥和临时会话密钥RKey，计算认证服务器的公钥Q_s＝d_sP，K_su＝d_sQ_u，将临时会话密钥RKey用密钥K_su对称加密后为EKey，发送Qs和EKey给用户终端。

步骤104、用户终端收到Q_s和EKey后，获得共享密钥K_us＝d_uQ_s，解密得到临时会话密钥RKey，生成注册信息m，将注册信息m用临时会话密钥RKey做密钥对称加密后发送给认证服务器，用户终端根据注册信息m生成用户证书并保存。

步骤105、认证服务器解密得到注册信息m后保存，根据注册信息m生成用户证书并保存，认证服务器发送注册成功信息给用户终端，注册协议结束。

图2是本发明具体实施方式中双向认证中用户密钥协商的流程图。如图2所示，用户密钥协商的流程包括以下步骤：

步骤201、用户终端生成随机数R_u∈[1，n-1]，计算T_u＝(R_u+t)P，发送消息T_u给认证服务器，其中t为时间；

步骤202、认证服务器收到消息T_u后，生成随机数R_s，计算

T_s＝(R_s+t)P；

[0063] T_u’＝T_u+(-t)P＝R_uP；

K_s＝R_sT_u’＝R_uR_sP和tK_s＝tR_uR_sP，

[0065] 认证服务器发送包括T_s和tK_s消息给用户终端。

步骤203、用户终端收到消息T_s和tK_s后，计算

[0067] T_u0＝T_s+(-t)P＝R_sP；

K_u＝R_uT_u0＝R_uR_sP，

[0069] 并进一步分别乘以t计算tK_u和tR_sP，验证tK_s＝tK_u是否成立，如果验证成功，则发送tR_sP给认证服务器。

步骤204、认证服务器验证tR_sP，通知用户终端验证成功时，tK_s＝tK_u，记

K＝K_s＝K_u

K作为用户终端和认证服务器之间的会话密钥种子。

步骤205、用户终端获得验证成功信息后，用户终端和认证服务器之间通过密钥生成函数F对密钥K_su进行构造生成用户终端和认证服务器之间的会话密钥K_us，其中K_us＝F(K.x，K.y)，K.x和K.y分别为椭圆曲线上点K的x和y坐标分量。

图3是本发明具体实施方式中双向认证中用户与服务器认证的流程图。如图3所示，用户与服务器认证的流程包括以下步骤：

步骤301、用户终端生成随机数r₁，获得Q₁＝r₁P，发送包括Q₁的消息给认证服务器。

步骤302、认证服务器收到消息Q₁后，生成随机数r₂，计算Q₂＝r₂P，并进一步计算Q_s1＝tQ₁+r_sQ₁(r_s为认证服务器证书中的私钥)，生成证书消息C₁发送给用户终端：

C₁＝E_Kus(Q₂||CertS||T₁||H(Q_s1，CertS||T₁))，其中CertS是服务器证书。

步骤303、用户终端解密C₁后找到认证服务器证书中认证服务器的公钥Q_s，计算Q_s’1＝tQ₁+r₁Q_s，验证时间戳T₁和证书的有效性，即验证下列等式是否成立：

H(Q_s’1||CertS||T₁)＝H(Q_s1||CertS||T₁)，

如果成功，则继续下一步，否则重新发起会话。

步骤304、用户终端计算Q_u2＝tQ₂+r_uQ₂(r_u为用户终端证书中的私钥)，生成消息C₂并发送到认证服务器：

C₂＝E_Kus(CertU||T₂||H(Q_u2||CertU||T₂))，其中，CertU是用户证书。

步骤305、认证服务器收到消息C₂后解密得到用户证书中用户的公钥Q_u，计算Q_u’2＝tQ₂+r₂Q_u，然后验证时间戳T₂的有效性，即验证下列等式是否成立：

H(Q_u’2||CertU||T₂)＝H(Q_u2||CertU||T₂)，

如果双方均验证成功，则完成相互认证。

图4是本发明具体实施方式中双向认证中申请内容播放许可证的流程图。如图4所示，申请内容播放许可证的流程包括以下步骤：

步骤401、用户申请许可证书时，通过许可证客户端获得用户终端唯一设备标识DID，同时提交用户名UID和已获得的媒体内容标识MID，用户终端将DID、UID和MID加密发送给许可证服务器：

U-＞LS：C＝E_Kus(UID，DID，MID)

其中，这里C是用户终端CPU序列号，M是MAC地址，H是系统盘序列号，这三者一起补零对齐后经安全散列函数Hash作用形成一个类似与GUID的具有唯一性的设备标识，该设备标识用于许可证服务器定位用户，实现一份许可证绑定于一个客户设备，防止许可证扩散。

步骤402、许可证服务器解密来自用户终端的消息解密后，通过检索许可证数据库认证媒体内容标识MID的合法性，如果IsValid[MID]＝TRUE，则表明用户提交的MID是合法的媒体标识。

步骤403、许可证服务器进一步检索许可证数据库，获取用于保护对应于MID会话密钥K的私钥，解密获得内容加密密钥CEK，许可证管理中心根据用户提交的DID，生成用于加密内容密钥CEK对应的客户设备密钥DEK：

DEK＝KeyGen(DID)，CEK’＝E_DEK(CEK)。

步骤404、许可证管理中心为用户终端生成并签名用于内容播放的许可证书：License＝[UID，DID，MID，CEK’，Rights]，其中，

Rights＝{Times||TimeInterval||Transfer||Record||Render||Transport||Derivative||Configuration}，其中，Times是使用次数限制；TimeInterval是使用时长限制；Transfer是转发限制；Record是本地录制限制；Render是拷贝限制；Transport是输出类型限制；Derivative是引申限制；Configurat ion是系统配置要求。

步骤405、许可证管理中心将许可证书签名并加密发送给用户终端：

E_Kus(License||Sig_Kus(License))

其中，K_us是用户终端与许可证认证服务器实时协商获得的密钥。

至此，许可证管理中心完成为用户终端发送与用户设备标识绑定的许可证书License，用户终端获得许可证书后可在License规定的Rights权限下消费内容。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种双向认证的方法，适用于交互式网络电视的数字版权管理领域，其特征在于，包括以下步骤：

A、用户终端注册到认证服务器；

B、所述用户终端与所述认证服务器之间进行密钥协商；

C、所述用户终端与所述认证服务器之间进行双向认证；

D、所述用户终端获取用于内容播放的许可证书，其中步骤A进一步包括以下步骤：

2.根据权利要求1所述的一种双向认证的方法，其特征在于，步骤B进一步包括以下步骤：

B1、用户终端生成随机数R_u，获得T_u，发送包括T_u的消息给认证服务器，其中R_u∈[1，n-1]，T_u＝(R_u+t)P，P是有限域Fq上的一条椭圆曲线E(Fq)的一基点；

B2、认证服务器收到T_u后，生成随机数R_s，获得T_s、T_u’、K_s和tK_s，认证服务器发送包括T_s和tK_s消息给用户终端，其中，t为时间，T_s＝(R_s+t)P，T_u’＝T_u+(-t)P＝R_uP，K_s＝R_sT_u’＝R_uR_sP，tK_s＝tR_uR_sP；

3.根据权利要求1所述的一种双向认证的方法，其特征在于，步骤C进一步包括以下步骤：

C1、用户终端生成随机数r₁，获得Q₁，发送包括Q₁的消息给认证服务器，其中Q₁＝r₁P，P是有限域Fq上的一条椭圆曲线E(Fq)的一基点；

C2、认证服务器收到Q₁后，生成随机数r₂，获得Q₂，并进一步获得Q_s1，生成证书消息C₁，发送给用户终端，其中Q₂＝r₂P，Q_s1＝tQ₁+r_sQ₁，C₁＝E_Kus(Q₂||CertS||T₁||H(Q_s1，CertS||T₁))，r_s为认证服务器证书中的私钥，CertS是服务器证书；

C3、用户终端解密C₁后找到认证服务器证书中认证服务器的公钥Q_s，获得Q_s’1，其中Q_s’1＝tQ₁+r₁Q_s，，验证H(Q_s’1||CertS||T₁)＝H(Q_s1||CertS||T₁)是否成立，以判断时间戳T₁和证书的有效性，如果成功，则继续下一步，否则重新发起会话。

C4、用户终端获得Q_u2，其中Q_u2＝tQ₂+r_uQ₂，r_u为用户证书中的私钥，生成包括C₂的消息并发送到认证服务器，其中C₂＝E_Kus(CertU||T₂||H(Q_u2||CertU||T₂))，，CertU是用户证书；

4.根据权利要求1所述的一种双向认证的方法，其特征在于，步骤D进一步包括以下步骤：

D1、用户申请许可证书时，通过许可证客户端获得用户终端唯一设备标识DID，同时提交用户名UID和已获得的媒体内容标识MID，用户终端将DID、UID和MID加密发送给许可证服务器：

其中，

，C是用户终端CPU序列号，M是MAC地址，H是系统盘序列号；

D4、许可证管理中心为用户终端生成并签名用于内容播放的许可证书License＝[UID，DID，MID，CEK’，Rights]，其中Rights＝{Times||TimeInterval||Transfer||Record||Render||Transport||Derivative||Configuration}，其中，Times是使用次数限制；TimeInterval是使用时长限制；Transfer是转发限制；Record是本地录制限制；Render是拷贝限制；Transport是输出类型限制；Derivative是引申限制；Configuration是系统配置要求；

5.根据权利要求1所述的一种双向认证的方法，其特征在于，n为160位、192位、256位或者512位素数。