CN1422399A

CN1422399A - 用于安全地存储保密信息的系统和方法,在这种系统中使用的设备与服务器和有关数字内容分布的方法

Info

Publication number: CN1422399A
Application number: CN01807912A
Authority: CN
Inventors: 皮埃尔·菲舍尔; 埃里克·迪尔
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2000-04-11
Filing date: 2001-04-10
Publication date: 2003-06-04
Also published as: KR20030001409A; EP1272915B1; US20030084118A1; WO2001077790A1; EP1272915A1; MXPA02010056A; AU2001254802A1; DE60134842D1; JP2003530635A

Abstract

一种用于安全地存储保密信息的系统，包括一个包含保密信息的设备(10；1)、利用所述保密信息解密数字内容的装置和远程服务器(20)。该设备可以发送保密信息给服务器(20)，服务器具有存储保密信息的装置。所建议的处理方法具有下列步骤：初始化设备(10；1)和远程服务器(20)之间的远程通信；从设备(10；1)发送保密信息给服务器(20)；在服务器(20)上存储保密信息。还描述了一种用于分配数字内容的方法。

Description

用于安全地存储保密信息的系统和方法，在这种系统中使用的设备与服务器和有关数字内容分布的方法

技术领域

本发明涉及保密信息的安全存储，尤其是涉及为了安全地存储保密信息的系统和方法，以及涉及在所述系统中使用的装置和服务器。本发明还涉及关于数字内容分布的方法。

背景技术

随着数字电视的出现，以及复制保护措施，对于内容的使用将通过权利来保护。这些权利可以具有象权利的许多种形式，或者说专用的解密密钥。权利的概念可以扩展到任何保密信息。所有的这些数据类型都具有共同点，即，需要保存在安全的地方。

今天没有任何消费者的装置具有这种防止窜改的地方。这将受价格的限制。只有智能卡能提供足够的安全性。很遗憾智能卡存储器的容量有限，因此限制了它们的存储能力。此外，智能卡很可能被损坏或者丢失。所以今天，一旦用户遗失他的保密数据，他将不能简单地恢复它们。如果这些数据代表用户在数字内容拥有的权利(例如，有权去看电影或者听音乐)，如果用户失去这些他已经付费的权利，这可能会损害用户的利益。

发明内容

因此，本发明针对的问题是找到一种安全和可靠地存储由单个装置或网络中的装置使用的保密数据的方法。本发明要解决的另一个问题是如果装置或者网络已经失去了这些数据，找到一种恢复保密数据的方法。

本发明涉及安全地存储由装置使用的保密信息的系统，其中，所述保密信息保存在远程服务器中。装置可以是家用网络的一部分而且保密信息最好由所述装置使用以便访问数字内容。

所以，远程服务器的作用就像一个在安全的地方保存保密数字的存储单元。

本发明提供一种设备，它包含由装置使用的以便解密数字内容的保密信息，以及具有装置，为了在所述远程服务器存储所述信息，将所述保密信息发送给远程服务器，所述服务器远离所述装置。

本发明还提供一种用于安全地存储保密信息的系统，该系统包括包含所述保密信息的装置，包括一个意于使用所述保密信息解密数字内容的装置以及包括远离所述设备和所述装置的服务器，其中，所述设备包括发送所述保密信息给所述服务器的装置，和所述服务器包括用于存储所述保密信息的装置。

该设备可以是所述装置的一部分，或者可以属于与所述装置相同的家用网络。在这些情况下，在此之后，我们称这些设备为远程安全网关。换句话讲，这些设备可以属于产生所述保密信息的局域网络(即属于保密信息的提供者)。

根据本发明的另一个方面，用于安全地存储保密信息的服务器，该信息由远离所述服务器的装置使用以便解密数字内容，它具有通过远程通信接收所述保密信息的装置。

提供一种为安全地存储装置使用的以便解密数字内容的保密信息的方法；该方法包括下列步骤：

-初始化包含所述保密信息的设备与远离所述装置的服务器之间的远程通信；

-将所述保密消息从所述设备发送到所述服务器；

-将所述保密信息存储在所述服务器中。

本发明还涉及到一种由装置使用的数字内容分布的方法，其包括下列步骤：

-加密该数字内容以便产生加密的数字内容和保密信息，以便后面解密该加密的数字内容；

-将所述保密信息发送给远离所述装置的服务器，以便将所述保密信息存储在所述服务器中；

-为所述装置提供恢复来自所述服务器的所述保密信息和解密具有所述保密信息的加密数字内容的手段。

-

附图说明

图1图解说明根据本发明所述系统的一般结构。

图2图解说明在图1的系统中所使用装置的结构。

图3图解说明根据本发明的第一个实施例用于存储保密信息的处理方法。

图4图解说明恢复根据图3中处理方法存储的保密信息的处理方法。

图5图解说明本发明的第二个实施例。

图6图解说明了在本发明的第二个实施例中所用的存储保密信息的处理方法。

具体实施方式

在图1中，我们已经图解说明了根据本发明系统的第一个实施例。在这个实施例中，用户拥有一个机顶盒装置10(STB)，该装置具有返回信道，如一个PSTN(″公用交换电话网″)调制解调器或者电缆调制解调器。

我们假定所有要安全存储的信息可以传送到这个STB。例如，我们可以设想一个完整的家用网络可以从远程安全设备受益。在这种情况下，根据本发明，最好唯一的网络装置能够存储和恢复保密信息。这个唯一的专用STB作为一个设备使用，称作远程安全网关。显然，它可能是另一种类型的装置，例如一台计算机。

通过它的返回信道，每个远程安全网关与称作远程安全服务器的远程服务器20交互作用。远程服务器直接访问它自己的安全数据库21。安全数据库将可靠和安全地存储保密信息。

在优选实施例的系统中，安全数据库将至少在不同的地方被复制一次。这将可以避免由于自然或者认为恶意破坏而丢失数据。然而，为了简化本发明的描述，下面仅仅需要考虑发生在安全数据库的一种情况。

用户从保密提供者1接收保密信息，这里认为是已经产生的保密信息。例如，也可以是内容提供者提供了具有加密内容的保密信息，以便解密这个内容。

保密信息提供者1为远程安全网关10直接提供信息。用户可以从许多保密信息提供者接收信息。

系统的特点如下：

-用户必须唯一可识别。决不可能有人假冒。

-用户必须在他的用户系统中把存储的保密数字信息传送到安全的服务器20。必须做到没有信息从这个传送中泄漏。为此，远程安全网关10用于完成这个传送。

-用户必须能够在远程安全中恢复单个的、部分的、或者全部存储的信息。必须做到没有信息从这个传送中泄漏。为此，远程安全网关10也可以用于这种处理。

-必须在存储的信息格式上没有限制。

现在，我们将描述系统如何工作。

处理的第一阶段包括用户的注册。在使用远程安全之前，用户必须在远程安全服务器的控制器上登记。为此，他要提供一组个人的信息。这些数据的定义取决于操作者而且超出本发明的范围。作为回复，控制器将下一个阶段使用的一组保密的用户身份信息(SI_user)返回。标识符(ID_user)在这组信息之中是唯一的，其用于充分地确定一个给定的用户。

通信所用的信道可以与远程安全网关的返回信道不同。在任何情况下，保密的用户身份信息((SI_user)的传送都需要保密。这有几个可能的方法：邮寄智能卡、通过返回信道发送加密的信息、…最后一种情况，通过安全的单独信道传送解密的密钥，比如电话或邮件。

第二阶段处理包括安全地存储保密信息。这需要几个步骤。

第一步，远程安全网关用已知的验证方法验证远程安全服务器。如果验证失败，则该存储操作失败。

第二步，远程安全服务器验证远程安全网关。如果验证失败，则存储操作失败。

第三步，它们定义一个公共的对话密钥K_session。这意味着初始化远程安全服务器和远程安全网关之间的远程通信。

然后，第四步，远程安全服务器创建一个唯一的标识符，InfID_{user_i}是用于将被存储的信息i。对于每个用户存储的信息InfID_{user_i}是唯一的。它的选择完全由远程安全服务器控制。它可以是一个″随机″数，或者是用户专用的数，其遵循一条给定的规则f，以至于f(InfID_{user_i}，ID_user)＝true。

第五步，远程安全网关将要存储的信息i发送给远程安全服务器。在发送之前，信息i是利用对话密钥K_session加密的。在可选择的步骤中，在使用对话密钥之前，远程安全网关利用远程安全网关的密钥加密信息i。因此，利用这个任选步骤，远程安全服务器将无法访问简单的文本信息。

接下来，最后一步，远程安全服务器用对话密钥K_session解密接收的信息并将它存入保密数据库。

该信息传送可防止传输错误，或者信息窜改。即便如此，在最终存储之前，远程安全服务器会检查解密信息的完整性。

第三个阶段处理包括从远程安全服务器恢复保密信息。这个操作需要如下几个步骤。

第一步，远程安全服务器验证远程安全网关。如果验证失败，则恢复操作失败。

第二步，它们定义一个公共的对话密钥K_session。

然后，第三步，远程安全网关向远程安全服务器提供唯一的信息标识符以便恢复InfID_{user_i}。

第四步，远程安全服务器检查InfID_{user_i}的有效性。它检查相应的信息是否存在于数据库中，如果是这样，远程安全服务器在第五步传送回请求信息给请求的远程安全网关。在发给远程安全网关之前，该信息使用对话密钥K_session加密。

接下来，最后一步，远程安全网关利用对话密钥K_session解密收到的信息。

更可取的是，该信息传送可防止传输差错，或者信息窜改。为此，远程安全网关在使用它之前会检查解密信息的完整性。

根据本发明优选的一个方面，除注册阶段外，全部操作都应对用户透明。换言之，存储的保密信息恢复应该是自动的，并且不应该要求与用户任何交互作用。

图2图解说明了远程安全网关的可能结构。在这个图中，只描绘了对理解本发明必要的部件。

远程安全网关有一个中央处理器(CPU)100。假设CPU具有自己的用于存储程序的易失性存储器和非易失存储器。另外，远程安全网关有一个非易失的存储空间101称为标识符存储器。CPU 100能读写这个存储空间的内容。

远程安全网关还有一个安全处理器102。这个安全处理器有一个窜改检验装置，它至少拥有一个专用的CPU 110、一个用来存储程序和永久数据的非易失性存储器111(ROM-只读存储器)、一个易失性存储器112(RAM-随机访问存储器)、和一个专用的非易失存储器区域113，被称为保密高速存储器。在优选实施例中，该安全处理器102是一个智能卡。

CPU 100从不处理实际的保密信息。它只处理标识符InfID_{user_i}的信息。它通过他们相应的InfID_{user_i}列表维护保密信息列表。这个列表存储在标识符存储器中。这个空间不需要窜改检验。因此它并不昂贵。为了存储期望数量的信息标识符，标识符存储器的尺寸应选择足够大。

安全处理器的CPU 110处理实际的保密信息。它将它们存储在保密高速缓冲存储器113。很遗憾，由于价格问题限制了它的容量。因此它将使用高速缓存技术优化使用空间。它将存储最近使用和最常使用的保密信息。

如果远程安全网关需要的保密信息不在保密高速缓冲存储器13中，那么安全处理器的CPU 110向远程安全服务器请求。

在本发明的一个实施例中，远程安全网关是连接其它装置的数字家用网络的一部分。某些装置也可以处理保密信息。在这种情况下，他们可以再现图2的结构。然而，只有远程安全网关才能够与远程安全服务器通信。其它的装置通过安全通信与远程安全网关交换他们要存储或者要恢复的保密信息。

现在，我们将详细讨论第一个实施例。

用户的注册

在登记时，用户收到用户身份保密信息如下：

-唯一标识符IDuser。

-一对公共的(PUB_user)和私人的(PRI_user)密钥；远程安全服务器利用公共密钥加密系统(我们称为CS1)来加密。RSA(Rivest-Shamir-Adleman公共密钥加密系统)就是这样一个系统。

-公用密钥证明CERT_user是远程安全服务器利用它私人的签名密钥PRI_{safe_sign}登记的。远程安全服务器利用公共密钥加密系统(我们称为CS2)登记。RSA就是这样一个系统。CS2可以与CS1相同。

-远程安全服务器使用密码系统CS1的公共密钥PUB_{safe_enc}。

这些数据必须可靠地传送给用户。特别重要的是他的私人密钥PRI_user的保密。例如，他可以从通过邮件发送给他的智能卡中接收这些数据。

保密信息的存储

要存储的信息格式最好按照如下定义：

Info_To_Store＝{

Length_clear_text

Clear_Text

Length_secret

for I＝O to Length_secret-1

Secret_data[i]

Checksum

}

其中：

-InfID_{user_i}是用户存储信息的唯一标识符。这个标识符对于用户是唯一的而且是由安全服务器递送的；

-Clear_Text是一个描述存储保密信息的ASCII码(美国信息交换标准码)文本。它的内容由用户定义。可以设想保密信息提供者为了这个保密信息递送一个默认值；

-Length_clear_text定义Clear_Text字节的长度；

-Secret_data是要在远程安全存储的保密信息；

-Length_secret定义Secret_data的字节长度；

-Checksum是前面所有数据包的字节总和。

用于存储保密消息的方法在图3中图解说明并且在下面进行描述。

相互验证和密钥交换使用验证的DIFFIE HELLMAN密钥交换协议。该协议产生一个公共的密钥K_com。

公共的对话密钥Ksession是一组通过安全的散列算法(SHA-1)的112比特K_com散列信息的低位。

远程安全服务器为信息标志符InfID_{user_i}定义一个新的值。将它发送给远程安全网关。

远程安全网关利用它的保密数据和InfID_{user_i}建立Info_To_Store信息。它利用公共的对话密钥Ksession使用三重数据解密标准(DES)算法加密。将加密的信息传送给远程安全服务器，该远程安全服务器利用公共的密钥Ksession解密。

远程安全服务器检查Checksum的有效性。如果收到信息是有效的，远程安全服务器将它发送给安全数据库。如果该操作成功，远程安全服务器返回一个确认应答信息给远程安全网关，否则它返回一个非确认应答信息。

恢复保密信息。

用于恢复存储在远程安全服务器中保密信息的方法在图4中图解说明并且在下面进行描述。

远程安全网关发送数据的参考用于恢复InfID_{user_i}。

一旦收到信息信息标志符InfID_{user_i}，远程安全服务器就将它传送给安全数据库。

如果属于用户的信息存在安全数据库就检查，即，该信息是否具有正确的身分证明。如果是这情况，就返回请求信息Info_To_Retrieve给远程安全服务器。远程安全服务器利用具有对话密钥Ksession的三重数据加密标准(DES)加密收到的数据，并且发送这个加密的信息给远程安全网关。

远程安全网关利用对话密钥Ksession解密收到的信息。它检查Checksum的有效性，如果它是有效的，远程安全网关就利用恢复的保密信息Info_To_Retrieve。

下面我们将描述图5中图解说明的本发明第二个实施例。

在这个实施例中，保密提供者可以直接地向远程安全网关提供信息或者通过间接方法使用远程安全服务器。用户可以从许多保密信息提供者那接收信息。

系统的附加特性如下：

-第三方，通常所说的保密信息提供者，可以能代表用户将保密信息存储到远程安全服务器。必须做到没有信息从这个处理中泄漏。

-不可能假冒保密信息的提供者。

-一旦保密信息由提供者存储，该保密信息提供者就不可能访问它。

-保密信息提供者不能恢复存储在用户账号上的任何信息。

-只有授权的保密信息提供者才可以向用户的账号存储保密信息。

在这个实施例中，保密信息提供者的处理方法分两个阶段：

第一个阶段包括保密信息提供者的注册。作为远程安全网关，保密信息提供者需要在远程安全服务器上登记。他登记作为保密信息提供者。作为回复，它接收到一组作为保密信息提供者身份信息(SI_prov)的信息。

第二阶段包括代表用户存储保密信息。这个阶段需要几个步骤。

第一步，保密信息提供者，通过属于它自己的局部连网的装置，来验证远程安全服务器。如果验证失败，则存储操作失败。

第二步，远程安全服务器验证保密信息提供者。如果验证失败，则存储操作失败。

第三步，远程安全服务器和保密信息提供者的设备定义一个公共对话密钥K_session。

然后，第四步，保密信息提供者将代理用户的身份提供给用户：ID_user。

第五步骤，远程安全服务器为了要存储的信息创造一个唯一的标识符InfID_{user_i}。对于每个由用户通过ID_user识别存储的信息InfID_{user_i}是唯一的。这个选择完全地由远程安全服务器控制。遵循一条给定的规则，它可以是一个″随机″数，或者是一个用户专用的数字。

第六步，保密信息提供者发送要存储的信息给远程安全服务器。发送的信息是利用对话密钥K_session加密的。

最后一步，远程的安全的服务器利用对话密钥K_session解密接收到信息，并将其存储在安全数据库中。该传输可防止传输差错，或者可防止使用已知的技术窜改信息。为此，远程的安全服务器在最后的存储之前检查该解密信息的完整性。

一旦该操作成功地结束，那么保密信息提供者就发送信息标志符InfID_{user_i}到远程安全网关。保密信息提供者不保留任何它的副本。因此，这对于保密信息提供者再访问该保密信息，恢复它或者修改它是不可能的。

第二个实施例细节描述如下：

保密信息提供者的注册

在登记时，保密信息提供者接收到身份信息如下：

-唯一标识符ID_prov。

-一对公共的(PUB_prov)和私人的(PRI_prov)密钥；远程安全服务器利用公共密钥加密系统CS1来加密。

-公用密钥证明CERT_prov是远程安全服务器利用它私人的签名密钥PRI_{safe_sign_2}登记的；远程安全服务器利用公共密钥加密系统CS2登记。

-远程安全服务器的公共密钥PUB_{safe_enc}。

这些信息必须可靠地传送给用户。特别重要的是他的私人密钥PRI_user要保密。例如，他可以从通过邮件发送给他的智能卡中接收到这些数据。

存储代表用户的信息

这个操作，在图6中图解说明，类似于以前在图3中描述的处理方法。主要不同的是：

-在交换保密信息之前，保密信息提供者必须识别进行存储的用户。使用该用户的唯一标识符IDuser来识别。

-一旦保密信息提供者成功地存储了信息，就发送信息的参考给该用户，就是发送到它的远程安全网关。

本发明的系统也可以适用于新的分布模式。例如，内容提供者希望以一种控制方式分配内容。这个内容可以是任何数字内容如：视频文件、MP3文件、软件等等。为了这个目的，它分布利用密钥K_{enc_cont_i}加密的内容。为了读这个加密的内容，用户必须有权使用解密密钥K_{enc_cont_i}。如果我们使用对称的密码系统，解密密钥可以等于加密。用户与内容提供者联系并且购买访问本内容的权利。作为一个保密信息提供者，内容提供者以用户的远程安全方式存储解密密钥。作为回复该用户收到解密密钥的信息标志符。

本发明的系统另一个应用可能是一种自动唱片点唱机的小区域覆盖备份(footprint backup)。这种自动唱片点唱机是一种未来新类型的用户装置。它很可能会成功的。尽管如此，还是要介绍自动唱片点唱机的主要风险是：所有存储在自动唱片点唱机内容的丢失。目前设想使用硬盘作为存储单元。在软件领域内，众所周知，常规的硬盘备份是一种安全做法。但是在用户装置中期望同样的功能是不合理的。

本发明的系统将会提供一个基于远程安全的备份设备作为一项新的服务。对于每个合法递送的内容，内容提供者将提供称作数字购买证明的附加信息。数字购买证明是使用作为输入参数的拥有内容的唯一标识符和户标识符ID_user的单向密码函数结果。代替备份所有他的内容，用户以他的远程安全方式存储所有他的数字购买证据。如果他丢失一个内容，用户需要返回给内容提供者相应的数字证明。内容提供者检测数字证明是否与申请的内容和用户的身份一致。如果是，则内容提供者就发送回一个内容的副本给用户。

最后，本发明的优点如下：

-能够以一种安全和保密的方式处理大量的保密数据，而不需要申请内部的大干预-验证空间；

-一个简单的数字内容分布新模式可以适用于IP数据流，乃至预记录内容；

-一种小型的大容量数字内容数据库的备份。

Claims

1.一种包含由装置使用的保密信息以便解密数字内容的设备，其特征在于发送所述保密信息到远程服务器(20)，以便在所述远程服务器(20)中存储所述信息，所述服务器(20)远离所述装置。

2.根据权利要求1所述的设备，其特征在于所属设备是所述装置的一部分。

3.根据权利要求1所述的设备，其特征在于所述设备属于相同装置的家用网络。

4.根据权利要求1所述的设备，其特征在于所述设备属于产生所述保密信息的局域网络(1)。

5.一种安全地存储保密信息的系统，包括：

-包含所述保密信息的设备(10；1)；

-旨在利用所述保密信息解密数字内容的装置；

-远离所述设备和远离所述装置的服务器(20)，

其中，所述设备(10；1)包括发送所述保密信息给所述服务器(20)的装置，其中，所述服务器(20)包括存储所述保密信息的装置。

6.根据权利要求5所述的系统，其特征在于所述设备(10)是所述装置的一部分。

7.根据权利要求5所述的系统，其特征在于所述设备(10)和所述装置与普通的家用网络连接。

8.根据权利要求5所述的系统，其特征在于所述设备(1)属于产生所述保密信息的局域网络。

9.一种安全地存储由装置使用的保密信息以便解密数字内容的服务器(20)，所述装置远离所述服务器(20)，

其特征在于通过远距离通信接收所述保密信息。

10.一种安全地存储由装置使用的保密信息以便解密数字内容的处理方法，方法包括下列步骤：

-初始化包含所述保密信息的设备(10；1)和远离所述装置的服务器(20)之间的远程通信；

-将所述保密信息从所述设备(10；1)发送到所述服务器(20)；

-将所述保密信息存储在所述服务器(20)。

11.一种分配由装置使用的数字内容的方法，包括下列步骤：

-加密该数字内容，因此而产生加密的数字内容和保密信息，以便后面解密该加密的数字内容；

-将所述保密信息发送到远离所述装置的服务器(20)，用于将所述保密信息存储在服务器(20)中；

-提供为了所述装置恢复来自所述服务器(20)的所述保密信息的装置(10)，以便利用所述保密信息来解密加密的数字内容。