CN112242995B - 一种数字内容保护系统中单向安全认证方法及系统 - Google Patents

一种数字内容保护系统中单向安全认证方法及系统 Download PDF

Info

Publication number
CN112242995B
CN112242995B CN202010949150.2A CN202010949150A CN112242995B CN 112242995 B CN112242995 B CN 112242995B CN 202010949150 A CN202010949150 A CN 202010949150A CN 112242995 B CN112242995 B CN 112242995B
Authority
CN
China
Prior art keywords
authentication
message
authentication message
algorithm
full
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010949150.2A
Other languages
English (en)
Other versions
CN112242995A (zh
Inventor
高明
杨浩然
石颖
赵海阔
葛建华
岳安军
张沉思
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen National Engineering Laboratory Of Digital Television Co ltd
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202010949150.2A priority Critical patent/CN112242995B/zh
Publication of CN112242995A publication Critical patent/CN112242995A/zh
Application granted granted Critical
Publication of CN112242995B publication Critical patent/CN112242995B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数字内容保护系统中单向安全认证方法及系统,其中,发起方的安全认证方法包括:根据算法要求标识进行算法参数配置,以生成第一完全认证消息,并向响应方发送所述第一完全认证消息;接收第二完全认证消息;对所述第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,以便于响应方对所述第三完全认证消息进行认证,从而完成单向安全认证。本发明为数字内容保护系统提供了功能更全面、适应性更强的实体间单向认证方案,且可以根据情况进行完全认证或快速认证,提高了效率;同时支持多种算法选择,并且在认证协议中实现了连接层级的控制,使得算法应用场景更加广泛和灵活。

Description

一种数字内容保护系统中单向安全认证方法及系统
技术领域
本发明属于信息安全技术领域,具体涉及一种数字内容保护系统中单向安全认证方法及系统。
背景技术
多媒体内容的数字化以及消费数字电子终端的普及化使得用户可以很方便的获得数字化的多媒体内容的拷贝并进行传播,这种情况使得高清的数字媒体内容在实体间传输时很容易发生被盗版的现象,对数字内容的版权拥有者的利益造成了很大的损害。为了防止数字内容在实体间传输时被非法拷贝、拦截和篡改,出现了HDCP(High-bandwidthDigital Content Protection System,高带宽数字内容保护系统)、DTCP(DigitalTransmission Content Protection,数字传输内容保护)和DICP(电子行业标准SJT11407.1-2009数字接口内容保护系统技术规范)等可以应用在数字接口,如HDMI、DVI和IEEE 1394-1995等或者可以接收解码播放数字内容的电子设备上的数字内容保护系统。在上述内容保护系统中,实体认证过程必不可少。一般认证过程包括认证与密钥协商(AKE)、位置检查以及会话密钥交换几部分。其中单向认证与密钥协商部分用于在发送实体没有证书的情况下对合法接收实体的进行身份确认并与之建立主密钥,完成后说明接收实体是合法的接收实体并与之共享新鲜的主密钥,主密钥用于后续的会话密钥和内容密钥传递。
目前,现有技术中主要采用HDCP标准和DTCP标准进行安全认证,其中,HDCP标准主要是基于RSA公钥密码体制通过公钥加密进行密钥传输完成单向身份认证并建立共享密钥,并通过协议发起方(发送端)存储使用协议响应方(接收端)私钥加密的主密钥和对应的接收端ID在后续与该接收端认证时使用已经存在的主密钥进行快速认证。DTCP标准中的完全认证方式主要是基于ECC公钥密码体制通过数字签名完成双向身份认证以及对临时EC-DH协商参数的来源以及完整性验证,通过EC-DH算法建立共享密钥。
然而,HDCP标准中在认证后需要依靠HDCP Reapter逐层上报下方相连的全部设备的ID以及层级来进行连接设备的吊销检查和层级限制,该上报流程需要在沿途的每一个接口之间传递ID列表、层级信息并进行完整性验证,当设备数量较多时,传递的列表将比较庞大,设备连接拓补频繁变化时,该过程将会频繁进行,带来一定的通信和计算负担,降低了效率。而DTCP标准中的完全认证方式不能依据过去建立过的主密钥进行快速认证,每次认证都需要执行非对称密钥协商以及签名、验签操作,会增长认证的耗时。
发明内容
为了解决现有技术中存在的上述问题,本发明提供了一种数字内容保护系统中单向安全认证方法及系统。本发明要解决的技术问题通过以下技术方案实现:
一种数字内容保护系统中发起方的安全认证方法,包括:
根据算法要求标识进行算法参数配置,以生成第一完全认证消息,并向响应方发送所述第一完全认证消息;
接收第二完全认证消息;其中,所述第二完全认证消息由响应方根据所述第一完全认证消息的认证结果生成;
对所述第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,以便于响应方对所述第三完全认证消息进行认证,从而完成单向安全认证;其中,所述第二主密钥由所述第二完全认证消息确定的算法计算得到,且其与所述第二完全认证消息中的第二身份标识相对应。
在本发明的一个实施例中,所述的数字内容保护系统中发起方的安全认证方法还包括:
接收第一快速认证消息;其中,所述第一快速认证消息由响应方根据所述第一完全认证消息的认证结果生成;
对所述第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,以方便响应方根据所述第二快速认证消息生成第二完全认证消息或者对所述第三快速认证消息进行认证,从而完成单向安全认证。
在本发明的一个实施例中,所述的数字内容保护系统中发起方的安全认证方法,还包括:
当认证发起方发出所述第一完全认证消息或者所述第二快速认证消息后,若在预设时间内未收到所述第二完全认证消息或者所述第一快速认证消息时,重复发送所述第一完全认证消息或所述第二快速认证消息;
若重复发送次数超过预设最大次数,则结束认证。
在本发明的一个实施例中,根据算法要求标识进行算法参数配置,以生成第一完全认证消息,包括:
当算法要求标识规定了算法,且协议发起方支持所述算法要求标识规定的算法时,按照该规定的算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;若不支持,则结束认证;
当算法要求标识未规定算法时,按照源端的若干第一预设算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;
其中,所述第一完全认证消息包括第一完全认证消息标识、算法标识、第一身份标识、第一参数列表以及第一随机数。
在本发明的一个实施例中,所述第一完全认证消息还包括层级限制参数,以便于在所述层级限制参数存在但不为0时,向响应方发送所述第一完全认证消息;其中,所述层级限制参数的值为允许的最大连接层数。
在本发明的一个实施例中,对所述第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,包括:
根据所述第二完全认证消息中的第二证书列表或所述算法要求标识选择后续协议采用的算法;
对所述第二完全认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法对所述第二完全认证消息中的第二签名进行验证;其中,层级限制参数由所述第一完全认证消息确定;
验证通过后根据确定的算法计算第二主密钥,并根据所述第二主密钥重新计算第二消息认证码;
将计算得到的第二消息认证码与接收到的所述第二完全认证消息中的第二消息认证码进行验证,并在验证通过后,保存所述第二主密钥;
根据确定的算法计算第一消息认证码,并生成第三完全认证消息;其中,所述第三完全认证消息包括第三完全认证消息标识以及第一消息认证码。
在本发明的一个实施例中,对所述第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,包括:
若判断发起方不存在与所述第一快速认证消息中的第二身份标识相对应的主密钥或者发起方存在与所述第一快速认证消息中的第二身份标识相对应的主密钥且快速认证次数达到预设上限时,生成第二快速认证消息;否则,
对所述第一快速认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法计算第二主密钥,并根据所述第二主密钥重新计算第三消息认证码;
将计算得到的第二消息认证码与接收到的所述第一快速认证消息中的第三消息认证码进行验证,并在验证通过后,保存所述第二主密钥;
根据确定的算法计算第四消息认证码,并生成第三快速认证消息。
本发明的另一个实施例还提供了一种数字内容保护系统中响应方的安全认证方法,包括:
接收第一完全认证消息并进行认证,当响应方不存在与第一身份标识相对应的主密钥时,计算第一主密钥,同时生成第二完全认证消息;
其中,所述第一主密钥与所述第一完全认证消息中的第一身份标识相对应;所述第二完全认证消息包括第二完全认证消息标识、第二证书列表、第二CA证书列表、第二参数列表、第二签名以及第二消息认证码;
接收第三完全认证消息并进行认证,以完成单向安全认证;其中,所述第三完全认证消息由发起方根据所述第二完全认证消息的认证结果生成。
在本发明的一个实施例中,所述的数字内容保护系统中响应方的安全认证方法还包括:
接收第一完全认证消息并进行认证,并当响应方存在与所述第一身份标识相对应的主密钥时,生成第一快速认证消息;
其中,所述第一快速认证消息包括第一快速认证消息标识、第二证书列表、第二CA证书列表、第二随机数以及第三消息认证码;
接收第二快速认证消息并生成第二完全认证消息,或者,
接收第三快速认证消息,并对其进行认证,以完成单向安全认证。
本发明的又一个实施例还提供了一种数字内容保护系统,包括发起装置和响应装置,所述发起装置可以实现上述实施例所述的数字内容保护系统中发起方的安全认证方法,所述响应装置可以实现上述实施例所述的数字内容保护系统中响应方的安全认证方法;其中,
所述发起装置包括内容源端,所述响应装置包括内容接收端或路由端。
本发明的有益效果:
1、本发明在数字内容保护系统中的发起方和响应方均通过存储认证产生的主密钥和主体名进行配对,实现了单向完全认证的同时,在后续认证中还可以根据过去存储的主密钥进行快速认证和主密钥更新,提高了认证效率;
2、本发明在参与方支持多套算法时,可以基于预设的算法要求标识和发起方发送的证书列表中的证书个数以及响应方返回的证书协商确定本次协议中使用的算法,以此达成对多套算法的支持;
3、本发明在认证消息中增加了可选的层级限制参数,当内容保护系统需要控制连接实体层级时,可以在认证协议中传递并验证该参数,并且根据收到的认证信息中的参数值确定是否发起认证,以在认证协议中完成系统的连接层级控制,不再需要一个额外的收集流程并减少了无效认证的出现,提高了效率,同时使得应用场景更加广泛灵活。
以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
图1是本发明实施例提供的一种数字内容保护系统中发起方的安全认证方法流程示意图;
图2是本发明实施例提供的一种数字内容保护系统中响应方的安全认证方法流程示意图;
图3是本发明实施例提供的单向完全认证基本流程示意图;
图4是本发明实施例提供的单向快速认证基本流程示意图。
具体实施方式
下面结合具体实施例对本发明做进一步详细的描述,但本发明的实施方式不限于此。
实施例一
请参见图1,图1是本发明实施例提供的一种数字内容保护系统中发起方的安全认证方法流程示意图,包括:
步骤1:根据算法要求标识进行算法参数配置,以生成第一完全认证消息,并向响应方发送第一完全认证消息。
在本实施例中,提供了一种数字内容保护系统的架构,其包括内容源端(Source)、路由端(Router)和内容接收端(Sink),其中,Source可直接与Sink建立连接传输受保护的数字内容,或者Source通过Router与Sink建立连接,通过Router向Sink转发受保护的数字内容。
本实施例是基于Source端不持有证书的情况下,完成Source与直接相连的Router或者Sink的单向认证并建立共享密钥,向其传递内容保护系统中的层级信息。因此,本实施例中,发协议发起方为内容源端(Source),响应方可以是路由端(Router)或内容接收端(Sink)。
为了更清楚、方便的描述本实施例的方法,下面通过表1列举出了本实施例所使用的部分符号及其含义。
表1
Figure BDA0002676337610000071
发起方A也即源端在检测到下级实体的连接信号后,如果需要的安全参数配置完成且源端没有证书,则会根据业务需要作为发起方发起单向认证协议。安全参数配置包括:
具体地,先检测是否有下级实体的连接信号,若检测到连接信号,说明可以发起认证,则进一步地进行参数配置。
当算法要求标识规定了算法,并进一步判断源端支持算法要求标识规定的算法时,按照该规定的算法计算第一参数列表,并设置算法标识,然后生成第一完全认证消息,否则,结束认证。当算法要求标识未规定算法时,按照源端的若干第一预设算法计算第一参数列表,并设置算法标识,然后生成第一完全认证消息。其中,所述第一完全认证消息包括第一完全认证消息标识、算法标识、第一身份标识、第一参数列表以及第一随机数。
在本实施例中,源端可以预设多种算法,也即第一预设算法,例如可以设置两种算法(算法1和算法2),也就是说源端支持采用算法1和算法2进行参数配置以及后续协议采用的算法。
本实施例可以将认证发起方记为A,将算法要求标识记为AlgID,算法标识记为Algflg。当源端规定了算法,也即设置了AlgID=01或10,其分别对应本次协议必须使用算法1或算法2,且源端正好支持这两种算法,则根据规定的算法计算参数列表xGlist=xG,相应的设置算法标识Algflg为01或者10。如果A不支持所规定的算法,则认证失败,结束认证。当源端与下级实体断开连接时,AlgID应该清除。
若源端没有强制使用算法时,AlgID=00,此时,源端需要与下游设备协商确定算法,协商方法见认证协议。例如,如果A预设了算法1和算法2两套算法,构造对应算法下的参数列表xGlist为xGlist=x1G1||x2G2。列表中靠前的参数采用优先支持的算法计算,并依据优先支持的算法设置Algflg为00或者11,其中Algflg为00表示优先支持算法1,Algflg为00表示优先支持算法2。如果发起方A只支持一种算法,设置AlgFlg为01或10分别表示采用算法1或采用算法2,并使用该算法生成随机数x,计算xGlist=xG。
然后,A端产生128位第一随机数RA,并生成第一完全认证消息MUniAuth1,记为:
MUniAuth1=UniAuth1||AlgFlg||ID_A||xGlist||RA||;
其中,UniAuth1表示第一完全认证消息标识,AlgFlg表示算法标识,也即发起方A规定的算法,ID_A表示发起方本地存储的自身身份标识,也即第一身份标识,不限制其获取途径,对于不同的发起方采用不同身份标识区分,同一发起方对不同的响应方使用同样的身份标识;xGlist表示第一参数列表,RA表示第一随机数。
进一步地,在需要层级限制时,源端还可以配置一个层级限制参数LD,其值为允许的最大连接层数,记为LD=LLD_MAX。则此时,需要将该参数一起生成第一完全认证消息MUniAuth1,也即MUniAuth1为:
MUniAuth1=UniAuth1||AlgFlg||ID_A||xGlist||RA||[LD]。
当源端不需要进行层级限制时,LD不存在。
在发起方生成第一完全认证消息MUniAuth1后,当层级限制参数存在但不为0,或者层级限制参数不存在时,向响应方发送第一完全认证消息。
进一步地,当认证发起方发出第一完全认证消息后,若在预设时间内未收到第二完全认证消息或者第一快速认证消息时,则重复发送第一完全认证消息;若重复发送次数超过预设最大次数,则结束认证。
具体地,认证发起方在发出第一完全认证消息后,会收到响应方基于该第一认证消息的验证结果发出的相应的反馈信息,如第二完全认证消息或第一快速认证消息。在发送完第一完全认证消息后,发起方会开启定时计数器,如果定时计数器超过TAUTH_MAX,且当本次协议中重发次数小于LLAUTH_MAX时,发起方重发消息MUniAuth1,如果重试次数超过LLAUTH_MAX,则本次单向认证协议失败,发起方A清除本次协议相关数据并放弃本次单向认证协议。其中,TAUTH_MAX表示等待接收下一条消息的最大时长,LLAUTH_MAX表示单条协议消息重发的最大次数。如果未超时情况下收到反馈消息,则继续后面的验证。
步骤2:接收第二完全认证消息;其中,第二完全认证消息由响应方根据第一完全认证消息的认证结果生成。
具体地,当发起方发出第一完全认证消息之后,会接收到来自响应方的反馈,该反馈信息是由响应方根据第一完全认证消息的认证结果生成。例如,其可以是第二完全认证消息MUniAuth2,以用于实现后续的完全认证过程。该第二完全认证消息MUniAuth2包括第二完全认证消息标识、第二证书列表、第二CA证书列表、第二参数列表、第二签名以及第二消息认证码,依次记为:
UniAuth2||CertB||CertB_Adm||yG||SB(M)||HMAC(K1,B(M)||ID_A||ID_B)。
步骤3:对第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,以便于响应方对第三完全认证消息进行认证,从而完成单向安全认证;其中,第二主密钥由第二完全认证消息确定的算法计算得到,且其与第二完全认证消息中的第二身份标识相对应。进一步地,第二身份标识即为响应方的身份标识ID_B,其可从响应方的第二证书列表CertB中获取。
在本实施例中,对第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,包括:
1)根据第二完全认证消息中的第二证书列表或算法要求标识选择后续协议采用的算法。
具体地,在接收到第二完全认证消息后,如果本地AlgID=00,则从第二证书列表CertB中提取算法字段的值,依据该字段确定本次协议采用的算法;否则,根据AlgID的值确定后续协议采用的算法。
2)对第二完全认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法对第二完全认证消息中的第二签名进行验证;其中,层级限制参数由所述第一完全认证消息确定。
具体地,先从第二完全认证消息的第二证书列表CertB中提取该证书,并进行系统完整性查询,如果该证书被吊销,则直接结束认证,并清除相关数据。若证书完整合格,则进一步读取本地根证书公钥,并对第二CA证书列表中的子CA证书CertB_Adm进行验证,通过后再利用子证书CertB_Adm中的公钥对证书CertB进行验证,全部通过验证之后才进行后续认证过程,否则,结束认证并清除相关数据。
3)验证通过后根据确定的算法计算第二主密钥,并根据第二主密钥重新计算第二消息认证码。
在步骤2)的证书验证通过后,先组合信息M=“XXXX”||yG||xG||[LD]||ID_A,LD字段是否存在则根据消息MUniAuth1确定。然后根据选定的算法对第二签名SB(M)进行验证,如果签名验证失败,则结束认证并清除相关数据。否则,进一步计算第二主密钥,并进行第二消息认证码的验证。
本实施例以椭圆曲线上的签名和验证作为签名方案,以HMAC(Hash-basedMessage Authentication Code,哈希消息认证码)消息认证码,ECDH(Elliptic CurveDiffie-Hellman椭圆曲线密钥交换体制)作为密钥协商方案,其中使用的椭圆曲线私钥均为256bit长度。
具体地,先根据点xyG计算第二主密钥Km,为:
Km=KDF(xyG,“MainKey”||yG||xG,256)
其中,xyG是A的随机数x与收到的点yG使用标量乘算法EM(*x,*yG)后输出的点。
然后,计算导出密钥K1
K1=KDF(Km,“HMACKey1”||yG0-255||xG0-255,256)。
再利用计算的导出密钥K1以及第二完全认证消息MUniAuth2中收到的第二签名,也即响应方的签名SB(M)计算第二消息认证码HMAC(K1,SB(M)||ID_A||ID_B)。
4)将计算得到的第二消息认证码与接收到的第二完全认证消息中的第二消息认证码进行验证,并在验证通过后,保存第二主密钥。
具体地,利用步骤3)计算得到的HMAC值和收到的第二完全认证消息MUniAuth2中的第二消息认证码的值对比验证,若HMAC值验证不通过,则结束验证,否则,继续进行后续认证流程。
5)根据确定的算法计算第一消息认证码,并生成第三完全认证消息;其中,第三完全认证消息包括第三完全认证消息标识以及第一消息认证码。
具体地,计算导出密钥K2,并利用K2为密钥,第一身份标识ID_A和第二身份标识ID_B作为消息,计算第一消息认证码HMAC(K2,ID_B||ID_A),其中,
K2=KDF(Km,“10”||xG256-511||yG256-511,256);
根据第一消息认证码HMAC(K2,ID_B||ID_A)生成第三完全认证消息,表示为:
MUniAuth3=UniAuth3||HMAC(K2,ID_B||ID_A)
其中,UniAuth3表示第三完全认证消息标识。
最后将第三完全认证消息MUniAuth3发送给响应方,并存储第二主密钥Km及其对应的第二身份标识ID_B,并令快速认证次数LFastAuth=0。
在本发明的另一个实施例中,当发起方发出第一完全认证消息之后,接收到来自响应方的反馈信息还可以是第一快速认证消息,该第一快速认证消息由响应方根据第一完全认证消息的认证结果生成。然后对该第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,以方便响应方根据第二快速认证消息生成第二完全认证消息或者对第三快速认证消息进行认证,从而完成单向安全认证。
具体地,第一快速认证消息包括:第一快速认证消息标识、第二证书列表、第二CA证书列表、第二随机数以及第三消息认证码,表示为:
MFastAuth1=FastAuth1||CertB||CertB_Adm||RB||HMAC(K1,RB||RA||[LD]||ID_A)
进一步地,对第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,包括:
a)若判断发起方不存在与第一快速认证消息中的第二身份标识相对应的主密钥或者发起方存在与所述第一快速认证消息中的第二身份标识相对应的主密钥且快速认证次数达到预设上限时,生成第二快速认证消息。
具体地,在接收到第一快速认证消息后,提取CertB中存储的第二身份标识ID_B,检查是否有与ID_B对应的Km’存储,如果没有对应的主密钥或者发起方存在与所述第一快速认证消息中的第二身份标识相对应的主密钥且已进行的快速认证次数LFastAuth达到预设的快速认证的次数上限LFASTAUTH_MAX,则生成第二快速认证消息,并发送至响应方,以使响应方生成第二完全认证消息,并进行完全认证流程。第二快速认证消息可以表示为:
MFastAuth2=FastAuth2||”FAILED”。
在本实施例中,认证发起方在发出第二快速认证消息MFastAuth2后,会收到响应方基于该第二快速认证消息发出的第二完全认证消息以将认证流程由快速认证转换成完全认证。在发送完第二快速认证消息后,发起方会开启定时计数器,如果定时计数器超过TAUTH_MAX,且当本次协议中重发次数小于LLAUTH_MAX时,发起方重发消息MFastAuth2,如果重试次数超过LLAUTH_MAX,本次单向认证协议失败,发起方A清除本次协议相关数据并放弃本次单向认证协议。其中,TAUTH_MAX表示等待接收下一条消息的最大时长,LLAUTH_MAX表示单条协议消息重发的最大次数。如果未超时情况下收到反馈消息,则继续后面的验证。
b)若存在对应的主密钥,且已进行的快速认证次数LFastAuth小于预设的快速认证的次数上限LFASTAUTH_MAX,则说明可以进行快速认证,并生成第三快速认证消息,包括:
b1)对第一快速认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法计算第二主密钥,并根据第二主密钥重新计算第三消息认证码。
具体地,先根据AlgID的值确定本次协议采用的算法,如果AlgID=00,使用CertB中算法字段对应的算法为本次协议中使用的算法,对CertB进行系统完整性查询,如果该证书被吊销,则结束认证。认证成功后读取本地根证书公钥,对子CA证书CertB_Adm进行验证,通过后利用证书CertB_Adm中的公钥对证书CertB进行验证。
全部通过验证后,计算第二主密钥,并根据第二主密钥重新计算第三消息认证码。具体为:
计算第二主密钥Km=KDF(Km’,“MainKey”||RA||RB,256),计算导出秘钥K1=KDF(Km,“HMACKey1”||RA0-63||RB0-63,256),以K1为密钥计算第三消息认证码HMAC(K1,RB||RA||[LD]||ID_A)。
b2)将计算得到的第三消息认证码与接收到的第一快速认证消息中的第三消息认证码进行验证,并在验证通过后,保存第二主密钥。
将计算得到的第三消息认证码与收到第一快速认证消息中的第三消息认证码做对比。其中,LD是否存在根据MUniAuth1确定。验证通过后,保存第二主密钥,并继续进行快速认证流程,否则,认证结束,并清除相关数据。
进一步地,在该过程中,如果第三消息认证码对比失败,则发起方需要清除之前存储的第二身份标识及其对应的主密钥以及快速认证次数等相关信息。
b3)根据确定的算法计算第四消息认证码,并生成第三快速认证消息。
具体地,根据第二主密钥计算第二导出秘钥K2,K2=KDF(Km,“HMACKey2”||RA64-127||RB64-127,256),以K2为密钥计算第四消息认证码HMAC(K2,RA||RB||ID_B),,并生成第三快速认证消息,其中,第三快速认证消息可以表示为:
MFastAuth3=FastAuth3||HMAC(K2,RA||RB||ID_B)。
最后,将第三快速认证消息MFastAuth3发送给响应方,并存储第二主密钥Km及其对应的第二身份标识ID_B,并令快速认证次数LFastAuth加1。
本实施例通过在数字内容保护系统中双方都存储认证产生的主密钥和主体名进行配对,在双方没有过去建立的主密钥时,基于PKI(公钥基础设施)验证证书链保证公钥的完整性,基于数字签名和验证进行身份认证和DH参数传递,基于DH(Diffie-Hellman)算法协商进行双方密钥协商,单向的身份认证需协议发起方和响应方相互验证对方的证书列表和签名,确认对方持有证书以及相应的私钥,实现单向安全完全认证。在双方都持有过去建立的主密钥时,通过相互确认双方持有主密钥进行快速认证同时交换随机数进行主密钥更新,建立新的共享主密钥,即可在后续认证中根据过去的存储主密钥进行快速认证和主密钥更新,实现了单向安全快速认证,提高了认证效率。
此外,本实施例在认证协议中传递内容保护系统中增加层级信息并验证完整性,下级实体是否发起认证与层级信息相关,达成层级控制,进一步提高了效率;同时,本实施例在认证协议中使用证书列表在双方支持多套身份认证算法时进行算法选择,实现支持多套算法的发起方与响应方相互认证和主密钥协商。
实施例二
请参见图2,图2是本发明实施例提供的一种数字内容保护系统中响应方的安全认证方法流程示意图,包括:
步骤一:接收第一完全认证消息并进行认证,当响应方不存在与第一身份标识相对应的主密钥时,计算第一主密钥,同时生成第二完全认证消息;
其中,第一主密钥与第一完全认证消息中的第一身份标识相对应;第二完全认证消息包括第二完全认证消息标识、第二证书列表、第二CA证书列表、第二参数列表、第二签名以及第二消息认证码。
具体地,响应方B收到发起方A发送的单向认证消息MUniAuth1后,首先需要进行算法确定。
首先,如果判断收到的第一完全认证消息中存在LD字段,则存储LD=LD-1,若不存在,则相应的清空本地的LD。然后响应方根据第一完全认证消息中的算法标识Algflg确定算法。若B支持对应的算法,则存储该算法,例如存储AlgID=01(算法1)或者AlgID=10(算法2),然后继续进行认证,否则认证失败,清除本地存储的AlgID数据,协议结束。
如果AlgFlg=00或11,说明未确定算法,若B本身持有多种算法,则选择其中一种算法作为本次认证采用的算法;存储AlgID=01(算法1)或者AlgID=10(算法2),并继续进行认证。若B只支持1种算法,则使用此算法作为本次认证所采用的算法。
然后判断响应方是否存在与第一身份标识ID_A相对应的主密钥。
具体地,如果不存在与ID_A相对应的的主密钥Km’,则计算第一主密钥,同时生成第二完全认证消息。具体如下:
根据选定的算法生成随机数y,并计算点yG,计算LD=LD+1,合成消息:M=“XXXX”||yG||xG||[LD]||ID_A。
计算第二签名SB(M),SB(M)代表响应方B利用私钥SKB和选定算法对消息M的签名,LD字段是否存在根据收到的消息MUniAuth1确定。其中,yG是B的随机数y与基点G使用标量乘算法EM(*y,*G)后输出的点。
计算点xyG,计算第一主密钥Km,为:
Km=KDF(xyG,“MainKey”||yG||xG,256)
计算导出密钥K1,为:
K1=KDF(Km,“HMACKey1”||yG0-255||xG0-255,256)
其中,xyG是B的随机数y与收到的点xG使用标量乘算法EM(*y,*xG)后输出的点。
然后以第二签名SB(M)||ID_A||ID_B为消息,利用导出密钥K1计算第二消息认证码:HMAC(K1,SB(M)||ID_B||ID_A),并生成第二完全认证消息。其中,第二完全认证消息MUniAuth2可以表示为:
UniAuth2||CertB||CertB_Adm||yG||SB(M)||HMAC(K1,SB||ID_A||ID_B)。
然后将第二完全认证消息发送给发起方A。
在发送完第二完全认证消息后,响应方会开启定时计数器,如果定时计数器超过TAUTH_MAX,且当本次协议中重发次数小于LLAUTH_MAX时,响应方重发消息MUniAuth2,如果重试次数超过LLAUTH_MAX,则本次单向认证协议失败,响应方B清除本次协议相关数据并放弃本次单向认证协议。其中,TAUTH_MAX表示等待接收下一条消息的最大时长,LLAUTH_MAX表示单条协议消息重发的最大次数。如果未超时情况下收到反馈消息,即第三完全认证消息,则继续后面的验证。
步骤二:接收第三完全认证消息并进行认证,以完成单向安全认证;其中,第三完全认证消息由发起方根据第二完全认证消息的认证结果生成。
具体地,响应方B接收到第三完全认证消息MUniAuth3后,计算导出密钥K2
K2=KDF(Km,“HMACKey2”||xG256-511||yG256-511,256);
利用密钥K2以及第一身份标识ID_A和第二身份标识ID_B计算第一消息认证码HMAC(K2,||ID_B||ID_A),利用该认证码与收到的第三完全认证消息MUniAuth3的第一消息认证码的值对比,对比通过后存储第一身份标识ID_A及对应的第一主密钥Km,以完成单向完全认证。
在本发明的另一个实施例中,接收第一完全认证消息并进行认证后,若当响应方存在与第一完全认证消息中的第一身份标识相对应的主密钥时,生成第一快速认证消息,以启动快速认证过程。
具体地,先根据之前确定的算法生成随机数计算第二随机数RB,计算第一主密钥:Km=KDF(Km’,“MainKey”||RA||RB,256);
计算导出秘钥:K1=KDF(Km,“HMACKey1”||RA0-63||RB0-63,256),并设置LD=LD+1,以K1为密钥计算第三消息认证码:
HMAC(K1,RB||RA||[LD]||ID_A)。
其中,LD是否存在根据第一完全认证消息MUniAuth1确定。
然后生成第一快速认证消息,记为:
MFastAuth1=FastAuth1||CertB||CertB_Adm||RB||HMAC(K1,RB||RA||[LD]||ID_A)
其依次包括第一快速认证消息标识、第二证书列表、第二CA证书列表、第二随机数以及第三消息认证码。
最后发送消息MFastAuth1给发起方A。
相应的,在发送完MFastAuth1后,响应方会开启定时计数器,如果定时计数器超过TAUTH_MAX,且当本次协议中重发次数小于LLAUTH_MAX时,响应方重发消息MFastAuth1,如果重试次数超过LLAUTH_MAX,则本次单向认证协议失败,响应方B清除本次协议相关数据并放弃本次单向认证协议。其中,TAUTH_MAX表示等待接收下一条消息的最大时长,LLAUTH_MAX表示单条协议消息重发的最大次数。如果未超时情况下收到反馈消息,即第二快速认证消息或者第三快速认证消息,则继续后面的验证。
若接收到第二快速认证消息,则生成第二完全认证消息并发送至发起方,以将快速认证转换到完全认证流程。
若接收到第三快速认证消息,则对其进行认证,以完成单向安全认证。
具体地,收到第三快速认证消息MFastAuth3之后,计算第一主密钥Km=KDF(Km’,“MainKey”||RA||RB,256),并计算导出秘钥K2=KDF(Km,“HMACKey2”||RB64-127||RA64-127,256),以K2为密钥计算第四消息认证码HMAC(K2,RA||RB||ID_B),并与收到MFastAuth3中的第四消息认证码做对比,对比通过后对比通过后存储第一身份标识ID_A及对应的第一主密钥Km,以完成单向完全认证。
实施例三
为了更清楚的说明本发明提供的单向认证方法,本实施例在上述实施例一和二的基础上,综合发起方和响应方对本发明提供的完全认证过程和快速认证过程分别进行说明。
请参见图3,图3是本发明实施例提供的单向完全认证基本流程示意图;其具体过程包括以下步骤:
S11:发起方A根据AlgID计算DH协商参数,根据LD确定是否发起认证,并向发送MUniAuth1。
S12:响应方B接收MUniAuth1,并进行以下操作:
S12-1:确定LD并根据AlgFlg确定算法,并存储LD、AlgID;
S12-2:查找对应Km不存在,计算第二签名SB(M),计算第一主密钥,计算第二消息认证码,生成并发送MUniAuth2。
S13:发起方A接收MUniAuth2,并进行以下操作:
S13-1:根据B的证书以及AlgID确定算法;
S13-2:检查证书完整性,验证证书合法性;
S13-3:验证第二签名,并计算第二主密钥,验证第二消息认证码,通过后存储第二主秘钥;
S13-4:计算第一消息认证码,生成并发送MBiAuth3。
S14:响应方B接收MBiAuth3,验证第一消息认证码,通过后存储步骤S12-3得到的第一主密钥。
至此,完成单向完全认证。其中,关于发送方A和响应方B进行完全认证的具体步骤参见上述实施例一和实施例二,在此不再赘述。
请参见图4,图4是本发明实施例提供的单向快速认证基本流程示意图,其具体过程包括以下步骤:
S21:发起方A根据AlgID计算DH协商参数,根据LD确定是否发起认证,并发送MUniAuth1。
S22:响应方B接收MUniAuth1,并进行以下操作:
S22-1:处理确定LD并根据AlgFlg确定算法,存储LD、AlgID;
S22-2:查找对应Km′存在,计算第一主密钥,计算第三消息认证码,生成并发送MFastAuth1。
S23:发起方A接收MFastAuth1,并进行以下操作:
S23-1:检查是否存在对应的Km’,不存在则生成并发送MFastAuth2;
S23-2:若存在对应的Km’,根据B的证书以及AlgID确定算法;检查证书完整性,验证证书合法性;
S23-3:计算第二主密钥,验证第三消息认证码,通过后存储第二主秘钥;
S23-4:计算第四消息认证码,生成并发送MFastAuth3。
S24:响应方B接收MFastAuth2或MFastAuth3。
若接收到MFastAuth2,则生成并发送MUniAuth2,跳转至全面认证的步骤S13。
若接收到MFastAuth3,则验证第四消息认证码,通过后存储步骤S22-2得到的第一主秘钥。
至此,完成单向快速认证。其中,关于发送方A和响应方B进行快速验证的具体步骤参见上述实施例一和实施例二,在此不再赘述。
实施例四
在上述实施例一到4的基础上,本实施例提供了一种数字内容保护系统,包括发起装置和响应装置,所述发起装置可以实现上述实施例一所述的数字内容保护系统中发起方的安全认证方法,所述响应装置可以实现上述实施例二所述的数字内容保护系统中响应方的安全认证方法;具体实现方法再次不再赘述。
其中,所述发起装置包括内容源端,所述响应装置包括内容接收端或者路由端。
本发明为数字内容保护系统提供了功能更全面、适应性更强的实体间单向认证方案,该方案可以根据情况进行完全认证或快速认证,提高了效率,并且支持多种算法选择并且在认证协议中实现连接层级的控制,应用场景更加广泛和灵活。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (9)

1.一种数字内容保护系统中发起方的安全认证方法,其特征在于,包括:
根据算法要求标识进行算法参数配置,当算法要求标识规定了算法,且协议发起方支持所述算法要求标识规定的算法时,按照该规定的算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;若不支持,则结束认证;
当算法要求标识未规定算法时,按照源端的若干第一预设算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;
其中,第一完全认证消息表示为:
MUniAuth1= UniAuth1||AlgFlg||ID_A||xGlist||RA|| ,或者
MUniAuth1= UniAuth1||AlgFlg||ID_A||xGlist||RA||[LD];
其中,UniAuth1表示第一完全认证消息标识,AlgFlg表示算法标识,也即发起方A规定的算法,ID_A 表示第一身份标识,xGlist表示第一参数列表,RA表示第一随机数,LD表示层级限制参数;
向响应方发送所述第一完全认证消息;
接收第二完全认证消息;其中,所述第二完全认证消息由响应方根据所述第一完全认证消息的认证结果生成;所述第二完全认证消息表示为:
MUniAuth2=UniAuth2||CertB||CertB_Adm||yG||SB(M)||HMAC(K1, B(M)||ID_A||ID_B)
其中,UniAuth2表示第二完全认证消息标识,CertB表示第二证书列表,CertB_Adm表示第二CA证书列表,yG表示第二参数列表,SB(M)表示第二签名,HMAC(K1, B(M)||ID_A||ID_B)表示第二消息认证码;
对所述第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,以便于响应方对所述第三完全认证消息进行认证,从而完成单向安全认证;其中,所述第二主密钥由所述第二完全认证消息确定的算法计算得到,且其与所述第二完全认证消息中的第二身份标识相对应;其中,所述第三完全认证消息表示为:
MUniAuth3= UniAuth3||HMAC(K2, ID_B||ID_A)
其中,UniAuth3表示第三完全认证消息标识。
2.根据权利要求1所述的数字内容保护系统中发起方的安全认证方法,其特征在于,还包括:
接收第一快速认证消息;其中,所述第一快速认证消息由响应方根据所述第一完全认证消息的认证结果生成;
对所述第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,以方便响应方根据所述第二快速认证消息生成第二完全认证消息或者对所述第三快速认证消息进行认证,从而完成单向安全认证。
3.根据权利要求2所述的数字内容保护系统中发起方的安全认证方法,其特征在于,还包括:
当认证发起方发出所述第一完全认证消息或者所述第二快速认证消息后,若在预设时间内未收到所述第二完全认证消息或者所述第一快速认证消息时,重复发送所述第一完全认证消息或所述第二快速认证消息;
若重复发送次数超过预设最大次数,则结束认证。
4.根据权利要求1所述的数字内容保护系统中发起方的安全认证方法,其特征在于,所述第一完全认证消息还包括层级限制参数,以便于在所述层级限制参数存在但不为0时,向响应方发送所述第一完全认证消息;其中,所述层级限制参数的值为允许的最大连接层数。
5.根据权利要求1所述的数字内容保护系统中发起方的安全认证方法,其特征在于,对所述第二完全认证消息进行认证,并在认证通过后保存第二主密钥,同时生成第三完全认证消息,包括:
根据所述第二完全认证消息中的第二证书列表或所述算法要求标识选择后续协议采用的算法;
对所述第二完全认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法对所述第二完全认证消息中的第二签名进行验证;其中,层级限制参数由所述第一完全认证消息确定;
验证通过后根据确定的算法计算第二主密钥,并根据所述第二主密钥重新计算第二消息认证码;
将计算得到的第二消息认证码与接收到的所述第二完全认证消息中的第二消息认证码进行验证,并在验证通过后,保存所述第二主密钥;
根据确定的算法计算第一消息认证码,并生成第三完全认证消息;其中,所述第三完全认证消息包括第三完全认证消息标识以及第一消息认证码。
6.根据权利要求2所述的数字内容保护系统中发起方的安全认证方法,其特征在于,对所述第一快速认证消息进行认证,并根据认证结果生成第二快速认证消息或者第三快速认证消息,包括:
若判断发起方不存在与所述第一快速认证消息中的第二身份标识相对应的主密钥或者发起方存在与所述第一快速认证消息中的第二身份标识相对应的主密钥且快速认证次数达到预设上限时,生成第二快速认证消息;否则,
对所述第一快速认证消息中的第二证书列表和第二CA证书列表进行验证,并根据选定算法计算第二主密钥,并根据所述第二主密钥重新计算第三消息认证码;
将计算得到的第三消息认证码与接收到的所述第一快速认证消息中的第三消息认证码进行验证,并在验证通过后,保存所述第二主密钥;
根据确定的算法计算第四消息认证码,并生成第三快速认证消息。
7.一种数字内容保护系统中响应方的安全认证方法,其特征在于,包括:
接收第一完全认证消息并进行认证,当响应方不存在与第一身份标识相对应的主密钥时,计算第一主密钥,同时生成第二完全认证消息;其中,所述第一完全认证消息是根据算法要求标识进行算法参数配置,从而生成的:
当算法要求标识规定了算法,且协议发起方支持所述算法要求标识规定的算法时,按照该规定的算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;
当算法要求标识未规定算法时,按照源端的若干第一预设算法计算第一参数列表,并生成第一随机数,以得到第一完全认证消息;
其中,第一完全认证消息表示为:
MUniAuth1= UniAuth1||AlgFlg||ID_A||xGlist||RA|| ,或者
MUniAuth1= UniAuth1||AlgFlg||ID_A||xGlist||RA||[LD];
其中,UniAuth1表示第一完全认证消息标识,AlgFlg表示算法标识,也即发起方A规定的算法,ID_A 表示第一身份标识,xGlist表示第一参数列表,RA表示第一随机数,LD表示层级限制参数;
其中,所述第一主密钥与所述第一身份标识相对应;
所述第二完全认证消息表示为:
MUniAuth2=UniAuth2||CertB||CertB_Adm||yG||SB(M)||HMAC(K1, B(M)||ID_A||ID_B);
其中,UniAuth2表示第二完全认证消息标识,CertB表示第二证书列表,CertB_Adm表示第二CA证书列表,yG表示第二参数列表,SB(M)表示第二签名,HMAC(K1, B(M)||ID_A||ID_B)表示第二消息认证码;
接收第三完全认证消息并进行认证,以完成单向安全认证;其中,所述第三完全认证消息由发起方根据所述第二完全认证消息的认证结果生成;
其中,所述第三完全认证消息表示为:
MUniAuth3= UniAuth3||HMAC(K2, ID_B||ID_A)
其中,UniAuth3表示第三完全认证消息标识。
8.根据权利要求7所述的数字内容保护系统中响应方的安全认证方法,其特征在于,还包括:
接收第一完全认证消息并进行认证,并当响应方存在与所述第一身份标识相对应的主密钥时,生成第一快速认证消息;
其中,所述第一快速认证消息包括第一快速认证消息标识、第二证书列表、第二CA证书列表、第二随机数以及第三消息认证码;
接收第二快速认证消息并生成第二完全认证消息,或者,
接收第三快速认证消息,并对其进行认证,以完成单向安全认证。
9.一种数字内容保护系统,其特征在于,包括发起装置和响应装置,所述发起装置可以实现如权利要求1-6任一项所述的数字内容保护系统中发起方的安全认证方法,所述响应装置可以实现如权利要求7-8任一项所述的数字内容保护系统中响应方的安全认证方法;其中,
所述发起装置包括内容源端,所述响应装置包括内容接收端或路由端。
CN202010949150.2A 2020-09-10 2020-09-10 一种数字内容保护系统中单向安全认证方法及系统 Active CN112242995B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010949150.2A CN112242995B (zh) 2020-09-10 2020-09-10 一种数字内容保护系统中单向安全认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010949150.2A CN112242995B (zh) 2020-09-10 2020-09-10 一种数字内容保护系统中单向安全认证方法及系统

Publications (2)

Publication Number Publication Date
CN112242995A CN112242995A (zh) 2021-01-19
CN112242995B true CN112242995B (zh) 2021-12-21

Family

ID=74170895

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010949150.2A Active CN112242995B (zh) 2020-09-10 2020-09-10 一种数字内容保护系统中单向安全认证方法及系统

Country Status (1)

Country Link
CN (1) CN112242995B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1642082A (zh) * 2004-01-16 2005-07-20 株式会社日立制作所 内容发送装置、内容接收装置和内容传送方法
CN101296081A (zh) * 2007-04-29 2008-10-29 华为技术有限公司 认证、认证后分配ip地址的方法、系统、接入实体和装置
CN101399661A (zh) * 2007-09-27 2009-04-01 华为技术有限公司 一种组密钥管理中的合法邻居认证方法和装置
CN102014266A (zh) * 2010-12-01 2011-04-13 华中科技大学 一种基于数字水印的高清视频加密传输方法及系统
CN104168267A (zh) * 2014-07-23 2014-11-26 中国科学院信息工程研究所 一种接入sip安防视频监控系统的身份认证方法
CN108513295A (zh) * 2018-04-12 2018-09-07 北京佰才邦技术有限公司 快速认证方法、服务器和用户设备
KR20200099873A (ko) * 2019-02-15 2020-08-25 (주)티엔젠 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
US20110013772A1 (en) * 2009-07-20 2011-01-20 Transwitch Corporation Method and Apparatus for Fast Switching Between Source Multimedia Devices

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1642082A (zh) * 2004-01-16 2005-07-20 株式会社日立制作所 内容发送装置、内容接收装置和内容传送方法
CN101296081A (zh) * 2007-04-29 2008-10-29 华为技术有限公司 认证、认证后分配ip地址的方法、系统、接入实体和装置
CN101399661A (zh) * 2007-09-27 2009-04-01 华为技术有限公司 一种组密钥管理中的合法邻居认证方法和装置
CN102014266A (zh) * 2010-12-01 2011-04-13 华中科技大学 一种基于数字水印的高清视频加密传输方法及系统
CN104168267A (zh) * 2014-07-23 2014-11-26 中国科学院信息工程研究所 一种接入sip安防视频监控系统的身份认证方法
CN108513295A (zh) * 2018-04-12 2018-09-07 北京佰才邦技术有限公司 快速认证方法、服务器和用户设备
KR20200099873A (ko) * 2019-02-15 2020-08-25 (주)티엔젠 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"Design and verification of High-Bandwidth Digital Content Protection transmitter authentication";Jing-Song Zhi;《2016 13th IEEE International Conference on Solid-State and Integrated Circuit Technology (ICSICT)》;20170803;全文 *
"数字接口内容保护系统技术规范 第1部分_系统结构";葛建华、高明 等;《中华人民共和国电子行业标准》;20100120;正文第6.2.2.2节 *
葛建华、高明 等."数字接口内容保护系统技术规范 第1部分_系统结构".《中华人民共和国电子行业标准》.2010, *

Also Published As

Publication number Publication date
CN112242995A (zh) 2021-01-19

Similar Documents

Publication Publication Date Title
CN111835752B (zh) 基于设备身份标识的轻量级认证方法及网关
CN106411521B (zh) 用于量子密钥分发过程的身份认证方法、装置及系统
WO2022213564A1 (zh) 一种物联网无线终端量子密钥分发与协商方法
CN105991285B (zh) 用于量子密钥分发过程的身份认证方法、装置及系统
JP3552648B2 (ja) アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
KR101019300B1 (ko) 애드 혹 무선 네트워크에서 인증 키 요소의 보안 처리를 위한 방법 및 시스템
CN109302412B (zh) 基于CPK的VoIP通信处理方法、终端、服务器及存储介质
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
WO2007073659A1 (fr) Methode d'acces des terminaux a base de protocole h.323 applique a un reseau de paquets
CN108040071B (zh) 一种VoIP音视频加密密钥动态切换方法
CN110690969B (zh) 一种多方协同完成双向ssl/tls认证的方法和系统
CN113630248A (zh) 一种会话密钥协商方法
JP4750274B2 (ja) 鍵共有攻撃防御方法
CN101527907B (zh) 无线局域网接入认证方法及无线局域网系统
JP4550759B2 (ja) 通信システム及び通信装置
CN114826659A (zh) 一种加密通讯方法及系统
CN112398644B (zh) 内容密钥共享方法、系统及存储介质
CN114760046A (zh) 一种身份鉴别方法和装置
CN112242995B (zh) 一种数字内容保护系统中单向安全认证方法及系统
CN112260987B (zh) 一种数字内容保护系统中双向安全认证方法及系统
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN112787990B (zh) 一种电力终端可信接入认证方法和系统
CN201479154U (zh) Bgp路由系统和设备
JP4910956B2 (ja) 通信制御システム、端末、及び、プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230412

Address after: 21a, Guoshi building, 1801 Shahe West Road, high tech community, Yuehai street, Nanshan District, Shenzhen, Guangdong 518063

Patentee after: SHENZHEN NATIONAL ENGINEERING LABORATORY OF DIGITAL TELEVISION Co.,Ltd.

Address before: No.2, Taibai South Road, Yanta District, Xi'an City, Shaanxi Province

Patentee before: XIDIAN University

TR01 Transfer of patent right