CN1981477A

CN1981477A - 用于提供数字证书功能的方法

Info

Publication number: CN1981477A
Application number: CNA2005800229876A
Authority: CN
Inventors: T·A·M·克弗纳尔; G·J·施里詹
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2004-07-08
Filing date: 2005-07-04
Publication date: 2007-06-13
Also published as: US20080098213A1; EP1766849A1; WO2006006124A1; JP2008506293A

Abstract

描述了一种用于提供证明功能的方法。所述方法包括：(a)在证明权威机构(20)，产生秘密P，应用所述秘密P来为代表第一设备(30，A)的数据串(m_A)签名，继而把所签名的串传送(50)到所述第一设备(30，A)；(b)把秘密信息从所述权威机构(20)传送(60)到所述第二设备(B，40)，所述秘密信息用于验证所述串(m_A)的可靠性，所述第二设备(40，B)可操作来使用所述秘密信息以产生第二密钥(k_AB2)；(c)在所述第一设备(30，A)使用与所述第二设备(40，B)有关的公共信息来产生第一密钥(k_AB1)，如果所述串是可信的那么易于产生所述第一密钥(k_AB1)；(d)应用所述第二密钥(k_AB2)以便保护数据从所述第二设备(40，B)传送到所述第一设备(30，A)；并且(e)在所述第一设备(30，A)，应用所述第一密钥(k_AB1)以便访问从所述第二设备(40，B)传送到所述第一设备(30，A)的保护数据。

Description

用于提供数字证书功能的方法

技术领域

本发明涉及用于提供数字证书功能的方法，例如涉及用于提供具有隐式验证的数字证书功能的方法。此外，本发明还涉及被安排来实现所述方法的设备和系统。此外，本发明涉及当实现所述方法时所产生的数字证书和相关联的数据。

背景技术

数字证书是密码实体，其在实现密码系统时是有用的。数字证书被定义为由证明权威机构(CA)对相应的串或消息m所发布的数字签名。通过发布这种证书，CA由此担保了串m的可靠性。其它设备能够通过检查签名来验证串m的可靠性。

通常，频繁地使用公钥技术来实现数字证书。在这种技术中，证明权威机构(CA)拥有公-私钥对，其中PCA、SCA分别标示公钥和私钥。此外，CA可操作来使用其私钥SCA来发布与串m有关的证书，其由Cert_CA(m)来标示。方便地，如果E(y，x)标示使用密钥y来加密项x，那么证书Cert_CA(m)可以采取如方程式1(Eq.1)所描述的形式：

Cert_CA(m)＝E(SCA，m) Eq.1

不过用于证书Cert_CA(m)的候选形式也是潜在可能的。为了降低证书Cert_CA(m)的数据大小，证书更有利地采取如方程式2(Eq.2)所描述的形式：

Cert_CA(m)＝E(SCA，h(m)) Eq.2

其中h标示用于把任意长度的输入映射到长度n的输出上以提供数据压缩的单向散列函数，即使得h(.)，{0，1}^*→{0，1}ⁿ。从而，任何设备于是通过酌情相对于m或h(m)检查使用CA的公钥PCA的解密证书Cert_CA(m)，能够显式地验证已知串m的可靠性。在这种验证过程中，不要求CA在验证期间保持在线。

通常，证书的共同使用将把设备的公钥绑定到其相应的身份，例如使用上述证书Cert_CA(m)来把设备的公钥Pdev关联到其身份。在这种情况下，串m优选包括设备的公钥Pdev以及其身份和用于限定绑定的附加信息，例如与所述设备经由某个安全认证信道接收私钥Sdev时有关的期满时间限制。

可以使用已知的对称密钥技术来获得用于允许验证串m可靠性的类似功能。对于这种对称技术来说，CA具有秘密密钥KCA，它根据情况依照方程式3或4(Eq.3或4)使用所述秘密密钥KCA来产生关联的证书Cert_CA(m)：

Cert_CA(m)＝E(KCA，m) Eq.3

或

Cert_CA(m)＝E(KCA，h(m)) Eq.4

其连同串m一起被公开。如果拥有串m的拷贝和证书Cert_CA(m)的设备希望验证所述串m的拷贝的可靠性，那么所述设备必须向CA提供所述证书Cert_CA(m)和串m。在接收证书Cert_CA(m)时，CA会使用CA的秘密密钥KCA来解密所接收的证书Cert_CA(m)，继而随后验证根据所接收证书Cert_CA(m)所导出的串m等于所接收的串m。在这种情况下，如上所述串m有利地包括密钥材料及其它属性。然而，对称密钥技术具有与其相关联的问题，即为了认证目的CA需要保持在线并且设备要求提供从所述设备到所述CA的认证信道，例如基于共享秘密的认证信道。

从而，基于上述公钥技术的证书允许实现更灵活的密码系统，它与要求在线CA的对称密钥技术相对比不要求对所述CA提供在线连接。然而，公钥技术的技术问题在于就实现该技术的硬件和这种硬件的功率消耗而言要昂贵的多。

用于产生共用秘密数据项(例如用于证明目的)的方法是已知的。例如，在所公开的国际PCT专利申请WO 2004/028075中描述了一种用于在第一用户设备和第二用户设备之间产生共用秘密数据项的方法。所述方法涉及每个用户设备对各自的互补数据项执行互相对称的操作。这些互补数据项分别基于至少部分保密的唯一量。对称操作的结果在用户设备中被用为上述秘密数据项。特别地是，所述方法基于定义属于GAP Diffie-Hellmann问题的互补数据，其在阿贝尔簇(Abelian Variety)中被定义。更特别地是，阿贝尔簇通过成为椭圆曲线而具有单一维数。

从而发明人认识到用于提供数字证明功能的已知方法具有各种问题，包括硬件成本、硬件操作功率消耗、需要认证信道以及要求CA在线可用的一个或多个。这些问题促使发明人设计本发明以试图至少部分解决这些问题。

发明内容

本发明的目的是提供一种用于提供数字证明功能的候选方法。

依照本发明的第一方面，提供了一种用于在包括证明权威机构(CA)和至少第一(A)和第二(B)设备的网络中提供数字证明功能的方法，其中所述第一(A)和第二(B)设备可连接来与所述权威机构(CA)通信，所述方法包括步骤：

(a)在所述权威机构(CA)，产生秘密P，应用所述秘密P来为代表第一设备(A)的数据串(m_A)签名，继而把所签名的串传送到所述第一设备(A)；

(b)把秘密信息从所述权威机构传送到所述第二设备(B)，所述秘密信息用于验证所述串(m_A)的可靠性，所述第二设备(B)可操作来使用所述秘密信息来产生用于验证所述串(m_A)可靠性的第二密钥(k_AB2)；

(c)在所述第一设备(A)使用与所述第二设备(B)有关的公共信息来产生第一密钥(k_AB1)，如果所述串(m_A)是可信的那么易于产生所述第一密钥(k_AB1)；

(d)应用所述第二密钥(k_AB2)以便保护从所述第二设备(B)传送到所述第一设备(A)的数据；并且

(e)在所述第一设备(A)，应用所述第一密钥(k_AB1)以便访问所保护的从所述第二设备(B)传送到所述第一设备(A)的数据。

由于验证或认证所保护的数据并不要求证明权威机构的在线可用性，所以该方法是有益的。

优选地是，在所述方法中，在验证期间不要求在线访问权威机构的情况下实现在步骤(e)访问所保护的数据。

优选地是，在所述方法中，秘密P是二变量的多项式。

优选地是，在所述方法中，第一密钥(k_AB1)是使用与第二设备相关的公共串所估算的多项式。

优选地是，在所述方法的步骤(a)中，所签名的串被秘密地从权威机构传送到第一设备(A)。更优选地是，通过使用加密技术来实现这种秘密通信。

优选地是，在所述方法中，在第一设备(A)验证所传送的受保护数据是显式的。作为选择，在所述方法中，在第一设备(A)验证所传送的受保护数据是隐式的。

优选地是，所述方法基于以下至少一个：Blom方案、基于身份的加密(IBE)。

依照本发明的第二方面，提供了一种通信系统，包括依照相互通信布置的证明权威机构(CA)和多个设备，所述系统可依照本发明第一方面的方法来操作。

依照本发明的第三方面，提供了一种在可依照本发明第一方面的方法来操作的通信网络中用于数据验证的数字证书。

依照本发明的第四方面，提供了一种易于通过应用依照本发明第一方面的方法来验证的加密数据。优选地是，所述数据包括音频和视频节目内容。

应当理解的是，在不脱离本发明范围的情况下，易于依照任何组合来组合本发明的特征。

附图说明

现在将仅以举例形式，参考下列图来描述本发明的实施例，其中：

图1是包括与两个设备通信的证明权威机构的通信网络的示意图，所述权威机构和设备可操作来使用依照本发明的数字证明互相通信。

图2是在图1所描绘的网络中证书分布的示意图；

图3是依照本发明的显式串证明的示意图；

图4是依照本发明的隐式串证明的示意图；和

图5是用于依照本发明实现数字证明功能的系统的示意图。

具体实施方式

发明人设想基于多项式来提供数字证明功能是可行的。这种方法与上述公钥技术相比实现起来潜在地更为廉价，并且与上述要求在线服务器的对称密钥技术相比还能够提供更灵活的益处。

概括地讲，本发明涉及一种用于提供如图1中所描述的数字证明功能的方法。在图1中，示出了总体上由10来表明的通信网络，包括证明权威机构(CA)20、第一设备(A)30和第二设备(B)40。权威机构20和设备30、40耦合使得它们能够互相通信。网络10可以被实现为通信系统，其中证明权威机构(CA)20是服务器或数据库，并且所述设备是经由所述网络10耦合到所述服务器或数据库的用户设备。

在该方法的第一步骤中，CA20选择或产生随机秘密P。然后CA20使用秘密P来为代表第一设备A30的公开串m_A签名，然后如图1中的箭头50所描绘的，CA20把所签名的串mA秘密地传送到第一设备A30。

在该方法的第二步骤中，第二设备B40从CA20获得某个秘密信息，所述秘密信息由箭头60标示，并且由此使所述第二设备B40能够产生密钥KAB以便隐式地或显式地验证串m_A的可靠性。

在该方法的第三步骤中，如果由设备B所使用的串m_A是可信的，那么第一设备A30通过使用第二设备B40上某个公开可用的信息70可操作来产生密钥K_AB。

在该方法的第四步骤中，第二设备B40使用其密钥K_AB来保护由箭头80所表示的从第二设备B40传送到第一设备A30的数据(INFO)。第一设备A30可操作来使用其密钥K_AB来访问所述数据(INFO)。

尽管图1概括地描绘了本发明的方法，然而现在将更详细地阐明其步骤。系统10利用多项式来提供数字证书功能，更具体地说是基于Blom密钥设置方案的推导，如在1983年的出版物“Non-public keydistribution”中所描述，Advances in Cryptology-Proceedingsof Crypto 82，第231-236页，在此通过引用加以结合以供参考。

在Blom方案中，网络具有N个用户，并且利用M位密钥来把网络中所发送的每个消息译成密码，所述密钥对于所涉及的每个源-目的地用户对来说是唯一的。所述方案可操作来构造密钥方案，所述密钥方案要求在每个用户存储尽可能少的位数。在该方案中，所要求的位数作为由S所标示的用户存储的大小。当网络中有N个用户使得每个用户由在0到N-1范围内的唯一用户号i来定义时，用户i的用户地址a_i可如方程式5(Eq.5)所描述的被表示为向量：

a _i＝(a_i0，a_i1，...，a_i(l-1)) Eq.5

其中l＝log_b(N)并且其中如方程式6(Eq.6)所描述的包括底数b中的用户号。

i = Σ_{m = 0}^{l - 1} a_{im} b^{m} - - - Eq . 6

还依照方程式7到9(Eq.7到9)定义了累积函数f：

f_m(x，y)＝f_m(y，x) Eq.7

其中

x，y∈{0，1，2，...，b-1} Eq.8

m∈{0，...，l-1} Eq.9

在Blom方案中，于是由方程式10(Eq.10)来描述用于在用户i和j之间通信的密钥k_ij：

k_{ij} = Σ_{m = 0}^{l - 1} f_{m} (a_{im}, a_{jm}) - - - Eq . 10

其中假定函数f_m(.，.)具有伽罗瓦域(Galois field)GF(2^M)的子集作为它们各自的数值范围并且除可换性之外不具有任何其它属性。在依照Blom方案计算密钥k_ij中，用户i始终使用f_m(a_im，.)并且从而只是必须存储用于每个函数的b值。

Blom方案在伽罗瓦域GF(q)中使用多项式p(x，y)，所述多项式p(x，y)属性为p(x，y)＝p(y，x)并且每个用户与伽罗瓦域GF(q)中的唯一元素i相关联，其中元素i可用来标识所述用户。还假定q的数量级为2^M，用于利用M位来表示伽罗瓦域GF(q)的元素。为了产生用于用户i和j的密钥，估算多项式p(i，j)。从而，具体用户i只需知道多项式p(i，y)使得每个用户只知道整个多项式的一部分，所述多项式由方程式11(Eq.11)定义：

p(x，y)＝(x⁰，x¹，…，x^n-1)A(y⁰，y¹，…，y^n-1)^T Eq.11

其中A是对称的n×n元素矩阵。

每个用户只需采用向量bⁱ的形式存储n个系数，所述b_i如方程式12(Eq.12)所描述：

b_i＝(i⁰，i¹，...，i^n-1)A Eq.12

于是密钥k_ij的计算首先涉及计算(j⁰，j¹，...，j^n-1)且继而执行此向量和向量b_i的标量乘法。

本发明使用基于多项式的证书功能，例如在Blom方案中所用。一般地说，如在图2中所描述，CA选择随机秘密P(y，x)且继而使用所述秘密来为公共的串mA签名以便产生用于设备A的签名。CA例如通过加密来向设备A秘密地发送此签名。同样已经从CA获得某个秘密信息的任何设备B可以显式地或隐式地验证m_A的可靠性，使得所述设备B使用公共的串m_A来产生密钥k_AB；如果串m_A是可信的，那么只有设备A通过使用关于所述设备B的某个公共信息也能够产生此密钥k_AB。从而，设备B能够使用密钥k_AB来保护它向设备A所发送的数据。

在图2中，实现了初始设置阶段，其中CA选择随机、秘密且对称的二变量多项式P(x，y)使得对于所有x和y来说P(x，y)＝P(y，x)。CA按照y＝m_A来估算多项式P(y，x)以便获得多项式P(m_A，x)，其中P(m_A，x)是关于m_A的签名。然后CA把此单变量的多项式P(m_A，x)发送到设备A。此外，在设置阶段中，CA向设备B秘密地发送多项式P(b，x)，其中b是关于设备B的某个公共串。串m_A和b都是公共串，其可以存储在公共数据库中或可以分别向设备A、B给出。

在上述设置阶段之后，如果设备B显式地想要验证其占有的串m_A版本的可靠性，例如在图3中所描述，那么所述设备B执行验证步骤。在验证步骤中，设备B选择随机数r。此后，设备B通过使x＝m_A来估算多项式P(b，x)以便获得密钥k_AB＝P(b，m_A)。接下来，设备B使用密钥k_AB来加密随机数r，即设备B确定E(k_AB，r)并且向设备A发送此加密。

一旦收到加密E(k_AB，r)，设备A就估算多项式P(m_A，x)，其中x＝b以便获得所导出密钥k’_AB＝P(m_A，b)。接下来，设备A向设备B发送数字r’＝D(k_AB’，E(k_AB，r))，其中D标示解密。然后只有验证时数字r＝r’，那么设备B才接受m_A的可靠性。在设置阶段之后的这种验证中，并不涉及CA，不过要求设备A在线可用。图3对应于依照本发明的显式认证。

如在图4中所描述，设备B只能够根据串m_A的内容来向设备A发送特许信息X。信息X例如是音频或视频内容；此外，串m_A优选包括关于是否向设备A授权播放所述内容的指示。从而，在本发明的实际使用中，设备A发送请求“Req(X)”以便请求把信息X发送给它。响应于接收到请求“Req(X)”，设备B首先获取串m_A。然后它使用串m_A来验证是否允许设备A访问信息X，即“Ver m_A wrt X”。如果设备B发现实际上允许设备A访问信息X，那么所述设备B计算密钥“k_AB＝P(b，m_A)”且继而继续使用所述密钥k_AB来加密所述信息，即“E(k_AB，X)”，并且向所述设备A发送所述加密。

一旦收到所述加密，那么设备A就计算密钥“k_AB’＝P(m_A，b)”且继而按照“X’＝D(k_AB’，E(k_AB，X)”来计算内容。在由设备B所使用的串m_A是可信的情况下，设备A会计算密钥的属性值，即密钥k_AB和k_AB’会是相应的，因此设备A能够访问信息X。相反地，在m_A被修改为串m_A’的情况中，设备B不能显式地验证m_A’的可靠性，而是会产生密钥k_AB’＝P(b，m_A’)并且用它来加密信息X；由于并入本发明的Blom方案的性质，设备A不能只知道m_A’和P(m_A，x)就计算密钥k_AB’，于是所述设备B隐式地验证了串m_A的可靠性。在这两种情况中，如果设备B是消息的发起者，例如B向发送到设备A的消息添加了消息认证代码，那么设备A能够验证可靠性。

尽管图3和相关联的描述对应于显式认证，然而图4对应于隐式认证。

如上所述的本发明在不要求在线访问CA 20来证明串m_A的可靠性这一方面表面上类似于公钥证书。由于在本发明中优选利用Blom方案，所以在两个设备A、B之间交互作用中所出现的修改串m_A会依照与正常公钥证书类似的方式导致失败的可靠性检验。然而，在本发明和公钥证书系统之间存在显著差异。

在图1到4所图示的方案中，设备B要求来自设备A的帮助以验证串m_A的可靠性，因此要求所述设备A是可在线访问的；这种在线访问与公钥证书形成对比，所述公钥证书按照CA公钥的资料来适应验证，即公共验证。

此外，图1到4的方案依靠设备A、B使证书P(m_A，x)、P(b，x)分别保持保密；然而，所述设备A与使用秘密和私有密钥的流行密码系统相对比不总是得益于使证书P(m_A，x)保持保密。在本发明中，设备A可以被认为是不暴露其私有信息的适应设备；此外，P(m_A，x)不只能够充当证书而且还能够作为设备A的私钥起作用，在这种情况下对于设备A来说公开证书P(m_A，x)是不利的。

在图1到4的方案中，公钥证书的安全性取决于某个计算困难的问题，例如离散对数问题或大质数因子分解。由上面所描述本发明提供的安全性取决于Blom方案的性质，所述方案提供了n个安全属性。从而，如果n是秘密P(y，x)的多项式的幂，那么要求潜在的攻击者使用n个以上多项式来形成P(m_A，x)并且能够产生证书P(m_A’，s)。在本发明的方案中，设备A、B只在有限域中使用多项式计算和对称的密钥加密，所述对称密钥加密与公钥操作相比在计算上没那么昂贵。

在图1到4中所图示的本发明可以基于除Blom方案之外的其它方案来实现。例如，如上所述的本发明可以被安排来使用基于身份的加密(IBE)作为Blom方案的候选方式。IBE被定义为公共密钥加密算法，其中公钥可以是任何串并且计算相应的私钥使得它与所述公钥相匹配。IBE清楚地不同于其它公开密钥算法，其中只有私钥可以被任意地选择或者公钥及其互补私钥都不可以被任意地选择。

在本发明中使用Blom方案的优点在于用来估算证书P(y，x)的值可以被任意地选择且由此允许任何信息被存储在此值中。此外，此值是公共的且由此基本上充当公钥。此外，Blom方案当在本发明中使用时比使用IBE在计算上更为简单。

应当理解，在不脱离由所附权利要求所定义的本发明范围的情况下，易于修改在上面所描述的本发明的实施例。

在图1到4所描绘的本发明中，设备A、B导出密钥P(m_A，b)＝P(b，m_A)；便利地是，此密钥被称作“主密钥”。常常希望根据此主密钥来导出随机密钥，使得为每个会话产生新的随机密钥。可以潜在地使用至少几百个标准协议来根据公用主密钥导出随机密钥，如A.Menezes、P.van Oorschot和S.van Stone于1996年在出版物“Handbook of Applied Cryptography”中所描述，CRC Press出版，在此通过引用加以结合以供参考。

从而在本发明的范围内，使用串m_A来存储应当可验证的信息。在许多实际情况中，实际上并不直接把例如节目内容之类的信息存储到串m_A中，这是因为这可能会不方便地使串很长。为了解决笨重串大小的这种问题，优选使用上述的单向散列函数，串包括如方程式13(Eq.13)所描述信息的较小编辑的版本，也称为“摘要(digest)”：

m＝h(m_D1) Eq.13

将要描述本发明的进一步实施例，如上所述的利用证明功能的实施例。

在图5中，示出了总体上由200表明的简单内容管理系统。系统200包括内容权利权威机构(CRA)210，所述内容权利权威机构210可操作来向所述系统200内包括的设备发布内容权利；这些内容权利允许设备播放例如某个内容片。方便地由R_Ci来标示用于播放给定内容C_i的权利。在实践中，方便地CRA 210被实现为“电子商店”，例如因特网网站。系统200进一步包括第一和第二内容管理器(CM1，CM2)220、230，优选分别被实现为包含或可以访问内容的信任服务器，所述内容优选为未加密的内容。CM₁、CM₂ 220、230例如被实现为对接到因特网的机顶盒或其它置信设备。此外，系统200还包括分别由300、310、320所标示的设备D1、D2、D3，这些设备可操作来再现内容，例如重放内容。设备300、310、320优选在实践中被实现为视频或音频再现设备，诸如视频显示器或音频设备。

现在将参考图5来描述系统200的操作。

在系统200中，设备D1 300例如通过付款来获得用于播放由C₁、C₂和C₃所标示的节目内容直到确定时间限制T₁的权利。类似地，设备D2例如还通过付款来获得用于播放内容C₁和C₂直到确定时间T₂的权利。此外，设备D3获得用于播放内容C₂直到时间T₃的权利。获取用于设备D1、D2、D3的这些权利使设备能够分别公开地接收相应的数据内容串m_D1，m_D2，m_D3，如由方程式14、15和16(Eq.14，15和16)所方便地描述并包括在图5中：

m_D1＝D1‖R_C1‖R_C2‖R_C3‖T₁ Eq.14

m_D2＝D2‖R_C1‖R_C2‖R_C3‖T₂ Eq.15

m_D3＝D3‖R_C2‖T₃ Eq.16

其中‖标示拼接。与公开接收串m_D1、m_D2、m_D3相关联，设备D1、D2、D3还分别秘密地接收相应的多项式P(h(m_D1)，x)、P(h(m_D2)，x)、P(h(m_D3)，x)，其中P(y，x)是如上所述的足够高次幂的随机对称多项式，由内容权利权威机构(CRA 210)来选择用于设备D1、D2、D 3的多项式。

CRA 210接受CM₁、CM₂是信任服务器并且它们分别秘密地接收多项式P(h(CM₁)，x)、P(h(CM₂)，x)，这两个服务器用于存储内容C₁、C₂、C₃。

在操作中，设备D1向CM₁发送请求以便请求内容C₃。此请求包括所请求内容的引用，即ID_C3，以及如在方程式14中所提供的串m_D1。当接受此请求时，CM₁ 220验证用于所请求内容C₃的权利R_C3是否包括在内容串m_D1中，并且还验证发送所述请求的时间是否早于时间T₁。如果发现与来自设备D1 300的请求相关联所做的所有检查都有效，那么CM₁ 220执行以下步骤：

(a)CM₁ 220计算串m_Di的较小编辑的版本，即串m＝h(m_D1)；

(b)CM₁ 220根据上面的(a)来估算多项式P(h(CM₁)，x)以便获得多项式解密密钥K，其中x＝m；

(c)CM₁ 220使用来自上面(b)的K来计算内容C₃的加密版本，即E(K，C₃)；

(d)CM₁ 220向设备D1 300发送内容C3的加密版本E(K，C₃)。

当在设备D1 300收到从CM₁ 220所发送的加密数据E(K，C₃)时，设备D1 300估算多项式P(h(m_D1)，x)来获得解密密钥K’，其中x＝h(CM₁)。接下来，设备D1处理所加密的数据E(K，C₃)以便依照方程式17(Eq.17)来导出数据内容C₃的解密版本C₃’：

C₃′＝D(K′，E(K，C₃)) Eq.17

假定设备D₂ 310从CM₂ 230请求内容C₃，所述设备D₂没有用于数据内容C₃的权利。当CM₂接收对内容C₃的请求并且串m_D2＝D₂‖R_C1‖R_C2‖T₂时，CM₂会注意到R_C3并非是m_D2的一部分，且由此它不向设备D₂ 310发送数据内容C₃。清楚地是，设备D₂ 310可以向CM₂发送修改的串m’_D2＝D₂‖R_C1‖R_C3‖T₂。CM₂会接受此修改的串，按照x＝h(m’_D2)来估算P(h(CM₂)，x)以便获得密钥K’并且向设备D₂发送E(K’，C₃)。然而，当设备D₂只能访问多项式P(h(m_D2)，x)时它不能计算密钥K’。因此，设备D₂ 310不可能解密所接收的内容。此外，设备D₂ 310基本上不可能修改其内容权利并且获得对内容C₃的访问。

清楚地是，在系统200中，每个设备D可以从每个CM请求内容并且所述CM能够显式地或隐式地验证内容权利。在系统200中，类似于在使用公钥安全性技术的其它相关系统中，CRA 210只在内容递送期间发布不要求在线的内容权利中起作用。设备D无法修改内容权利或期满时间，这是因为它们无法产生由CM用来加密或解密内容的密钥。

在所附权利要求中，在括号内所包括的数字及其它符号用来帮助理解权利要求而并不旨在依照任何方式限制权利要求的范围。

当解释说明书及其关联的权利要求时诸如“包括”、“包含”、“合并”、“含有”、“是”和“具有”之类的表达将被依照非排它性方式来解释，即被解释为还允许那些未被显式定义的其它项或组件存在。单数参考符号还将被解释为复数参考符号，反之亦然。

Claims

1.一种用于在包括证明权威机构(20)和至少第一和第二设备(30，40)的网络(10)中提供数字证明功能的方法，其中所述第一和第二设备(30，40)可连接来与所述权威机构(20)通信，所述方法包括步骤：

(a)在所述权威机构(20)，产生秘密P，应用所述秘密P来为代表第一设备(30，A)的数据串(m_A)签名，继而把所签名的串传送(50)到所述第一设备(30，A)；

(b)把秘密信息从所述权威机构(20)传送(60)到所述第二设备(B，40)，所述秘密信息用于验证所述串(m_A)的可靠性，所述第二设备(40，B)可操作来使用所述秘密信息以产生用于验证所述串(m_A)可靠性的第二密钥(k_AB2)；

(c)在所述第一设备(30，A)使用与所述第二设备(40，B)有关的公共信息来产生第一密钥(k_AB1)，如果所述串(m_A)是可信的那么易于产生所述第一密钥(k_AB1)；

(d)应用所述第二密钥(k_AB2)以便保护从所述第二设备(40，B)传送到所述第一设备(30，A)的数据；并且

(e)在所述第一设备(30，A)，应用所述第一密钥(k_AB1)以便访问所保护的从所述第二设备(40，B)传送到所述第一设备(30，A)的数据。

2.如权利要求1所述的方法，其中在验证期间不要求在线访问权威机构(20)的情况下实现在步骤(e)访问所保护的数据。

3.如权利要求1所述的方法，其中所述秘密P是二变量的多项式。

4.如权利要求1所述的方法，其中所述第一密钥(k_AB1)是使用与第二设备(40，B)相关的公共串所估算的多项式。

5.如权利要求1所述的方法，其中在步骤(a)，所签名的串被秘密地从所述权威机构(20)传送到所述第一设备(30，A)。

6.如权利要求5所述的方法，其中使用加密技术来秘密地传送所签名的串。

7.如权利要求1所述的方法，其中在所述第一设备(30，A)验证所传送的受保护数据是显式的。

8.如权利要求1所述的方法，其中在所述第一设备(30，A)验证所传送的受保护数据是隐式的。

9.如权利要求1所述的方法，所述方法基于以下至少一个：Blom方案、基于身份的加密(IBE)。

10.一种包括依照相互通信布置的证明权威机构(CA，20)和多个设备(30，40)的通信系统(10)，所述系统(10)可依照如权利要求1所述的方法来操作。

11.一种在可依照如权利要求1所述的方法来操作的通信网络(10)中用于数据验证的数字证书。

12.一种易于通过应用如权利要求1所述的方法来验证的加密数据。

13.如权利要求12所述的加密数据，所述数据包括音频和/或视频节目内容。