CN1400819A

CN1400819A - 传输机密数据的方法

Info

Publication number: CN1400819A
Application number: CN02127165A
Authority: CN
Inventors: 延·洛塞尔
Original assignee: SCM Microsystems GmbH
Current assignee: Identiv GmbH
Priority date: 2001-07-30
Filing date: 2002-07-30
Publication date: 2003-03-05
Anticipated expiration: 2022-07-30
Also published as: ATE314762T1; US20030026428A1; EP1282260A1; SG122761A1; CN1237803C; DE60208273T2; KR20030011672A; DE10137152A1; DE60208273D1; EP1282260B1

Abstract

本发明提供一种传输机密数据的方法。为了传输机密数据，两个设备(D1，D2)通过一个传输通道相连，通过使用一个共享的秘密会话密钥对称加密来保证通道的安全。设备(D1，D2)都享有同一个秘密会话密钥(K)，该秘密会话密钥(K)是由两个不同的设备分别产生的两个随机密钥(K1，K2)形成的。使用非对称加密在设备(D1，D2)之间交换这两个随机密钥。

Description

传输机密数据的方法

技术领域

本发明涉及一种在两个通信设备之间传输机密数据的方法，尤其涉及在付费电视环境中在一个芯片电路卡和一个条件接入模块(CAM)之间进行安全通信的方法。

技术背景

EP 0720326 A2公开了一种在两个相似的站之间建立一个安全的通信通道的方法。该通信过程采用了对称加密/解密，从而避免以前采用分布式主钥与修改器元素，比如时间戳、计数器等等，相连的系统所遇到的问题。在该对称过程中，保密的加密密钥对双方的通信设备都是已知的。这种方法只适用于成对通信设备工作的情况。

在WO 97/38530里公开了另一种方法，其中通过非对称加密在两个设备，比如一个CAM和一个芯片电路卡，之间实现安全通信。其中一个设备产生一个随机密钥，该随机密钥被一个公钥加密并发送给第二设备。第二设备用一个对应的私钥来解密被加密的密钥。两个设备都用该随机密钥来加密和解密设备之间交换的数据。这个方法依赖于仅在一个设备产生的一个随机数。

发明内容

本发明提供了一种在两个通信设备之间传输数据的安全方法。该方法依赖于一个公共秘密，该公共秘密是基于两个不同设备分别产生的两个数值，从而避免了可能的重现攻击。根据本发明，在两个通信设备之间传输数据的方法包括以下步骤：

步骤1：在第一通信设备处产生第一随机密钥。

步骤2：在第二通信设备处产生第二随机密钥。

步骤3：第二随机密钥被一个公钥加密并发送给第一通信设备。

步骤4：在第一通信设备处，被发送的第二随机密钥被一个对应的私钥解密。

步骤5：在第一通信设备处第一随机密钥被加密并被发送给第二通信设备。

步骤6：第二通信设备把发送来的第一随机密钥解密。

步骤7：每个通信设备都把随机密钥组合成一个秘密的会话密钥，并用它来加密和解密设备之间发送的数据。

步骤7以后，两个设备共享一个秘密的会话密钥，该会话密钥基于两个随机数，每一个随机数都是在不同的设备里独立于另一个而产生的，这样就排除了被成功地重现攻击的可能性。

通过在步骤5，步骤6使用一个特殊的加密密钥来加密第一随机密钥，可以得到本发明的进一步改进。即，在第二通信设备处，除了产生第二随机密钥之外，还产生一个随机数(一个“挑战”)，该随机数也同样地被公钥加密并传输给第一通信设备。第一通信设备用它的私钥解密该随机数，并在第一随机密钥发送给第二通信设备之前用这个解密后的随机数来加密第一随机公钥。

附图说明

下面参考附图来公开本发明的一个优选实施例。该唯一的附图1例示了优选实施例的基本步骤。

具体实施方式

根据图1，第一通信装置D1是一个智能卡(SC)，第二通信装置D2是一个付费数字电视环境(例如，数字视频广播DVB)中的条件接入模块(CAM)，虽然本发明不仅限于这样的运行环境中的应用。设备D1和D2将交换机密数据，例如授权管理消息(EMMs)、授权控制消息(ECMs)以及控制字(CWs)。为了防止机密数据被窃听，在设备D1和D2之间建立起一个安全的通信信道。

第一设备D1拥有一个保密私钥PrK和一个对应的公钥PuK。设备D1还具有一个随机数发生器G1。

第二设备D2知道公钥PuK，是明白无误的从设备D1收到的。设备D2还具有一个随机数发生器G2。

初始时，设备D1、D2不共享任何秘密。为了给两个设备提供一个共享的机密会话密钥并用之加密/解密设备之间交换的信息，提出了一个足够安全的、能避免信息外泄的，并且足够强大的、能够交换足够长度的密钥的协议。该协议针对从D1到D2和从D2到D1的传输使用非对称密码。

设备D1里的随机数发生器G1在内部产生第一个随机数K1。设备D2里的随机数发生器G2在内部产生第二个随机数K2。D2进一步产生一个随机数，一个“挑战”CHLG。随机数K1和K2都足够长以避免密码分析的不择手段攻击。

设备D2用公钥PuK加密K2和CHLG并把结果发送给设备D1。设备D1接收该结果并用它的私钥PrK解密之。现在设备D1就知道K2和CHLG。设备D1把K2和自己的随机数K1串联起来，并用CHLG加密串联后的数。这个加密过的结果被从D1发送到D2。

现在设备D2用CHLG作为提取K1、K2的解密密钥来将接收到的结果解密为K1和K2。D2检验自己的K2与收到的K2是否一致。如果接收到正确的K2，设备D1和D2现在就共享随机数K1和K2。

最后，设备D1和D2以相同的方式把随机密钥K1和K2组合在一起，以使两个设备拥有一个秘密的会话密钥K。会话密钥K用于对设备之间交换的机密数据进行对称加密和解密。

使用本发明的另一个例子是把一个条件接入模块(CAM)作为第一设备D1，一个机顶盒(STB)内部的解码器作为第二通信设备。这里，同样的，用两个不同设备分别产生的两个随机数产生一个会话密钥来加密/解密交换的机密数据。

Claims

1.一种在两个通信设备之间传输机密数据的方法，其中：

a)在第一通信设备(D1)处产生第一随机密钥(K1)；

b)在第二通信设备(D2)处产生第二随机密钥(K2)；

c)用一个公钥(PuK)加密第二随机密钥(K2)并将其从第二通信设备(D2)发送给第一通信设备(D1)；

d)在第一通信设备(D1)处用对应的私钥(PrK)解密发送来的第二随机密钥(K2)；

e)在第一通信设备(D1)处加密第一随机密钥(k1)，并将其发送给第二通信设备(D2)；

f)第一通信设备(D1)解密发送来的第一随机密钥(K1)，以及

g)两个通信设备(1，2)都把随机密钥(K1，K2)组合成一个秘密的会话密钥(K)，每个设备(D1，D2)都用该秘密的会话密钥(K)对机密数据进行对称加密和解密。

2.根据权利要求1所述的方法，其中：

h)在第二通信设备(D2)处，除了产生第二随机密钥(K2)，还产生一个随机数(CHLG)；

i)该随机数(CHLG)也同样地被公钥(PuK)加密并被传输给第一通信设备(D1)；

j)该随机数(CHLG)被第一通信设备(D1)用其私钥(PrK)解密，

k)第一随机密钥(K1)在被发送给第二通信设备(D2)之前先被随机数(CHLG)加密。

3.根据权利要求2所述的方法，其中：

l)第一通信设备(D1)加密第二随机密钥(K2)，并把它发送给第二通信设备(D2)，

m)第二通信设备(D2)解密发送来的第二随机密钥(K2)，并通过和原始的第二随机密钥(K2)进行比较来验证其完整性。

4.根据权利要求2所述的方法，其中：

n)第一通信设备(D1)用随机数(CHLG)解密第二随机密钥(K2)，并把它发送给第二通信设备(D2)，

o)第二通信设备(D2)用随机数(CHLG)解密被发送的第二随机密钥(K2)，并通过和原始的第二随机密钥(K2)进行比较来验证其完整性。

5.根据前面任何一个权利要求所述的方法，其中，形成的会话密钥(K)的长度和第一、第二随机密钥(K1，K2)中的每一个都相同。

6.根据前面任何一个权利要求所述的方法，其中，第一和第二随机密钥(K1，K2)的每一个都是由第一和第二通信设备(D1，D2)的各随机数发生器(G1，G2)产生的。

7.根据前面任何一个权利要求所述的方法，其中，第一通信设备(D1)是一个智能卡，第二通信设备(D2)是一个条件接入模块(CAM)。

8.根据权利要求1到6任一项所述的方法，其中，第一通信设备(D1)是一个条件接入模块(CAM)，第二通信设备(D2)是一个机顶盒(STB)中的解码器。