用于交换数据的设备和认证方法

专利名称：用于交换数据的设备和认证方法
技术领域：
本发明涉及第一设备，该设备用于与第二设备交换数据，并涉及认证远程设备的方法。
背景技术：
当在信源设备和信宿设备之间交换数据时，常常希望设备可以互相认证。这样，信源知道它在传送数据给可靠的信宿，信宿也知道它接收的数据的来源。如当信宿需下载新软件时这点很重要，但当根据数字权限管理(DRM)规则传播数据时也很重要。
众所周知，公钥密码系统可用来认证设备。该设备有唯一的公钥和唯一的密钥。一个独立的第三方发行一种所谓的证书，该证书包含该设备的标识符和该设备的公钥。另一设备可下载该证书并用该设备公钥加密口令，该口令只有该设备可解密。假如解密成功，则所述另一设备知道它正与证书鉴定的设备通讯。
可是，这种方法需要其它设备设法获得它希望认证的设备的证书。另外，该方法只有两种结果或者认证成功，或者不成功，在后一种情况下该设备不能以互相信赖的方式交换数据。当然设备可以有多个公钥，多个相关证书，但是这太复杂且难以管理。更重要的是，这需要认证机构合作以发行证书。
EP-A-0,592,808揭示了一种密钥分配机制，该机置在两种设备之间使用密钥分配渠道。上述两种设备共享一密钥-加密密钥，该密钥作为系统初始化的一部分被安装。会话密码在第一设备中在密钥-加密密钥之下加密，在第二设备中以同样的密钥解密(12栏33-34行)。可是，在两套设备之间没有对上述分配会话密码进行认证。上述机制也不是透明的，因为没有简单的方法从上述基于证书的方法切换到密钥分配机制，反之亦然。
US-B-5,949,883揭示了一种加密系统，该系统允许在高信(high-trust)与低信(low-trust)环境之间的透明且可变的保护。这是通过在两种环境中选择一种共同的加密算法，如数据加密标准(DES)，以及在低信环境中固定密码位的数目而实现的。这样，低信环境中的设备可为高信环境中的设备加密后者可解密的数据。因为固定了密码位的数目，加密数据也可由执法机构通过强行执行密码而访问。但是，高信环境中的设备不能确定它是正在与高信环境中的设备通讯，还是与低信环境中的设备通讯。
发明概述本发明的一个目的是根据前言提供第一设备，该设备可透明地可变地认证第二设备。
根据本发明，在第一设备中取得上述目标，该设备包含接收装置，用于从第二设备接收第二设备的公钥(UPK)的证书；和认证装置，如果可以获得认证机构的公钥，则用认证机构公钥(CAPK)对接收到的证书成功认证后，将第二设备认证为强保护设备，及用本地可获得的公钥(SPK)对接收到的证书成功认证后，将第二设备认证为弱保护设备。
第一或第二设备可以是信源，那么另一套是信宿。从第二设备接收到的证书可以由认证机构标记，也可以由第二设备中和获得的密钥标记。在后一种情况中，第一设备必须有相应的局部可获得的公钥。这种情况不太安全，因为当前没有独立的第三方可以保证证书的真实性和有效性。因此，这种情况下第二设备被认证为弱保护设备。上述的认证步骤最好由第一和第二设备共同执行。这样就实现了相互认证。
假如第一设备是信宿，并拥有可获得的认证机构的公钥，则它首先尝试用该公钥查验证书。如成功，它知道第二设备(信源)是强保护的。然后信宿应该能够对信源证明自己也为强保护设备，以便它们可以安全地交换数据。但是如用认证机构的公钥认证失败，第一设备可通过用局部可获得的公钥认证该证书而切换到弱模式。这样，该认证及其数据保护是可变的。
在一实施例中第一设备进一步包含将第一设备的公钥(UPK)证书传输至第二设备的传输装置，该证书或者由认证机构标记或者由局部可获得的密钥(SSK)标记。这样，如上面简述的那样，通过简单传送证书至第二设备，第一设备可启动相互认证程序。如该设备有由认证机构标记的证书，那么它多半想用此来认证自己为强保护设备。但是，假如它没有这样的证书，它必须自己生成一个并传送该证书。
假如第二设备被认证为强保护设备，那么传送的证书最好是认证机构标记的证书；如第二设备被认证为弱保护设备，那么证书最好是本地可获得的密钥(SSK)标记的证书。
也可能发生这样的情况，第一设备不是启动相互认证程序的设备。在这种情况下，它首先象上面描述的那样认证第二设备。接着它知道第二设备的保护级别并可传送回合适的证书。如第一设备是认证第二设备为强保护信源的信宿，而它本身没有认证机构标记的有效证书，那么它终止任务，因为弱保护信宿不可与强保护信源一起工作。
在另一实施例中，当第二设备被认证为弱保护设备而第一设备为强保护设备时，认证装置用来阻止与第二设备交换数据。这允许设备之间以透明的方式互相联系，而不用担心强保护信源设备意外地传输重要数据给弱保护信宿设备。事实上，一旦用认证机构的公钥不能成功对接收的证书认证，强保护信源即可判断信宿设备为弱保护设备。
在另一实施例中，第一设备进一步包含弱密钥发生器，用来计算会话密码和本地可获得的密钥(SSK)的结合的第一散列，并用该第一散列作为加密与第二设备交换的数据的密钥。
由于简单，这种数据密钥发生模式可用来显著减少桥接或‘哑’存储设备中的处理量。另外，在会话期间信源和信宿之间就密钥生成问题不需要通讯。
弱加密密码发生器优选地还用来随后计算第一散列和本地可获得的密钥的第二散列，并用第二散列代替第一散列。这样，信源和信宿可以定期更改密码，使得数据加密密码的泄密只是暂时的问题。因为本地可获得的密钥仍然(假定)是秘密的，所以先前的密码和密钥的结合的散列不可能被袭击者预测到。
在另一实施例中，第一设备进一步包含会话建立装置，用来生成包含会话密码和数字权限管理数据的容器，用对应于第一设备公钥(UPK)的密钥(SSK)来标记容器，用第二设备的公钥(UPK)来加密标记的容器并传输标记并加密的容器至第二设备。
每次信源想传送内容给信宿就能建立一次会话。会话可以是从信源下载一段乐曲到信宿，拷贝一整张CD，记录一场足球赛等等。
数字权限管理数据必须被相互认证设备双方检查，以验证内容的传输是允许的。安全传送容器中的数字权限描述允许那些可能不了解传送内容格式的桥接设备或“哑”存储设备正确掌握该传送内容，而不需要处理该传送内容。如应用需要，也可在容器内存储附加信息。
在另一实施例中第一设备进一步包含会话建立装置，该装置用以从第二设备接收标记并加密的容器，用对应于第一设备公钥(UPK)的密钥(SSK)对该容器解密，用第二设备的公钥(UPK)验证标记，并从容器中获得会话密码和数字权限管理数据。
本发明的另一目的是提供根据前言的一种方法，该方法可透明地且可变地认证第二设备。
根据本发明，该目的是依靠一种方法取得的，该方法包含从远程设备接收包含远程设备公钥(UPK)的证书；如果可以获得认证机构的公钥，则用认证机构公钥(CAPK)对接收到的证书成功认证后，将第二设备认证为强保护设备，及用本地可获得的公钥(SPK)对接收到的证书成功认证后，将第二设备认证为弱保护设备。
本发明进一步涉及一种计算机程序产品，该产品用来使处理器根据本发明执行上述方法。
附图简述参考图中所示和阐述的实施例，本发明的各种方面将会显而易见，其中

图1示意地表示一种装置的实施例，该装置包含信源和信宿设备；图2是表示信源设备中的认证方法的流程图；图3是表示信宿设备中的认证方法的流程图；图4是表示在信源设备中建立与信宿设备通讯会话的方法的流程图；图5是表示在信宿设备中建立与信源设备通讯会话的方法的流程图；图6是表示相互认证为弱保护的设备的密码生成方法的流程图；图7是表示相互认证为强保护的设备的密码生成方法的流程图；和图8示意地表示一种装置的实例，该装置包含信源设备，信宿设备和两个桥接设备。
在全部附图中，同样的参考数字表示相似的或对应的特征。在图中显示的一些特征通常是用软件实现的，并表现为软件实体，如软件模块或对象。
具体实施例方式
系统构造图1示意地表示了装置100，包含信源设备110，120和信宿设备130，140。在本文中，术语“信源设备”或“信源”表示一种设备，该设备拥有数据，需传输到其它设备，即“信宿设备”或“信宿”。信源通常以建立与信宿设备的通讯会话开始。
信源或信宿设备的实施例包括音频/视频接收器和播放器，机顶盒，通用计算机，移动电话，网络用具等等。当信源或信宿设备根据这里所述的发明操作时，它被称为“SCOP使能”。SCOP代表可变内容保护，这是该发明提供的。
传输的数据可以是任意的。在优选实施例中，该数据代表内容项目如音乐，视频，图片，文本和其它可能有价值的材料。应该以安全的形式传送这些数据，以防止非授权访问。例如，该数据可能具有关联的数字权限管理(DRM)规则，该规则限制重放和/或拷贝数据。这些数据只能在遵守DRM规则和执行规则中的限制的设备之间传送。
在本文中，在强保护设备和弱保护设备之间存在差别。考虑不是非常有价值的内容，因此在弱保护信源上播放。信宿必须执行强保护的说法是没有理由的，因为信源本身不执行强保护。可是，假如内容是非常有价值的，信源将被强保护，信宿也因此被强保护，以防止恶意用户通过破解弱保护信宿访问非常有价值的内容。
图1中，设备110和130是强保护设备，而设备120和140是弱保护设备。
所有设备110，120，130，140安全存储(不可能读/修改/代替)唯一密钥(USK)安全存储(不可能修改/代替)相应的唯一公钥(UPK)安全存储(不可能读/修改/代替)共享密钥(SSK)安全存储(不可能修改/代替)相匹配的共享公钥(SPK)强保护设备110，130还
安全存储(不可能修改/代替)由认证机构标记的包含唯一公钥UPK的证书(CUPK)安全存储(不可能修改/代替)认证机构的公钥(CAPK)支持密码担保的设备还将安全存储(不可能读/修改/代替)密钥(ESK)。为安全存储密码，设备110，120，130，140配备有各自的安全存储器111，121，131，141。注意，本文中的“读”表示由设备外部的实体读。当然设备本身需要读密码以便解密信息或生成标记。
安全存储器可由如智能卡提供。这种情况下，智能卡也可包含安全中央处理器(CPU)，该CPU可执行必要的加密，解密和标记生成及认证操作。那么，即使那些智能卡插入其中的设备也不能读密钥。
该设备包含各自的发送模块112，122，132，142和接收模块113，123，133，143用以对其它设备发送和接收信息。信源和信宿设备以某种方式相互连接。在图1中网络150连接设备110，120，130，140。该网络可以是局域网，电缆网，或广域网如英特网。设备之间的连接可以是有线或无线，如用IEEE1394，802.11，HIPERLAN或蓝牙连接。
相互认证在信源和信宿间交换数据前，需要执行相互认证。弱保护设备间可相互交换数据，就象强保护设备一样。弱保护信源也可传送数据给强保护信宿。可是，强保护信源不可以传送数据给弱保护信宿。
该认证方法使用公钥密码系统。最好用椭圆形曲线密码系统来标记和加密。当然也可用其它公钥系统如RSA或Diffe-Hellman。这些密码系统在本领域众所周知。
图2是表示信源设备中认证方法的流程图。因为强保护信宿可以和弱保护信源一起工作，信源将启动相互认证，所以信宿可确定使用何种强度。为执行认证，信源设备有自己的认证模块114，124。
在步骤200，信源设备启动认证方法。首先，在步骤210认证模块114，124判断唯一公钥UPK的证书CUPK是否可用。若可用，那么信源设备被强保护。所以认证模块114将会找到可用的证书CUPK，而认证模块124不会。然后，在240认证模块114激活传送模块112以传送证书CUPK至信宿设备。
在230，认证模块124生成它的唯一公钥UPK的证书并用共享的密钥SSK标记。然后在240它激活模块122以传送生成的证书至信宿设备。信源设备120也可拥有它的唯一公钥UPK的证书，用共享密钥SSK标记，可在安全存储器121中得到。这样，该证书只需生成一次。
然后在250，接收模块113，123等待信宿设备用信宿设备的公钥的证书来回应。信宿设备用这种证书回应的操作将参考图3在下面讨论。
接收到信源设备的公钥的证书后，接收模块113，123把它提供给认证模块114，124。然后在260认证模块114，124确定认证机构(CA)的公钥CAPK是否可用。该CA可以，但不必要，和发行证书CUPK的CA一样。认证模块114将会查找有效的公钥CAPK，而认证模块124不会。通常，公钥CAPK会是由该CA本身或另一CA发行的CA证书的一部分。
在270，认证模块114尝试使用公钥CAPK查验接收到的证书。然后在280确定查验是否成功。如成功，信宿在290被认证为强保护信宿。如不成功，那么在291信宿认证失败，因为不允许强保护信源和弱保护信宿通讯。
在275，认证模块124尝试使用共享公钥SPK查验接受到的证书。然后在285确定查验是否成功。如成功，信宿在295被认证为弱保护信宿。如不成功，那么在291信宿认证失败。
图3是表示在信宿中认证方法的流程图。因为强保护信宿可以和弱保护信源协同工作，信源会启动相互认证，所以信宿可确定使用何种强度。为执行认证，信宿设备有自己的认证模块134，144。
在步骤300，信宿设备启动认证方法。首先，在310接收模块133，143从信源设备接收信源设备公钥的证书。读者可以回忆，在图2的流程图中的步骤240中，该证书由信源设备发送。
接收到信源设备公钥的证书后，接收模块133，143把它提供给认证模块134，144，然后认证模块134，144在320确定认证机构(CA)的公钥CAPK是否可用。该CA可以，但不必要，和发行证书CUPK的CA一样。认证模块134将会查找有效的公钥CAPK，而认证模块144不会。
认证模块134在330接着尝试用公钥CAPK查验接收到的证书。然后它在340确定认证是否成功。如成功，信源被认证为强保护信源，认证模块接着执行步骤380。如不成功，认证模块134接着执行步骤350。
在步骤350，认证模块134，144尝试使用共享公钥SPK查验接受到的证书。然后它们在360确定查验是否成功。如成功，信源被认证为弱保护信源。如不成功，那么在375信源认证失败。
成功认证信源为弱保护信源后，认证模块134，144在370生成它们唯一公钥UPK的证书并用共享密钥SSK来标记。
在步骤380，认证模块134，144激活各自的传送模块132，142以传送生成的证书至信源设备。信宿设备130，140也可拥有在安全存储器131，141中可用的它们的唯一公钥UPK的证书，该证书用共享密钥SSK标记。这样，该证书只需生成一次。
为阐明在信源和信宿设备中执行的认证方法之间的相互影响，下面介绍强、弱保护信源和信宿的四种可能的组合以及在每一种中的工作过程。
强保护信源到强保护信宿强保护信源将传送它的由认证机构标记的证书(CUPK)。强保护信宿将接收该证书并用认证机构的公钥(CAPK)查验它。如标记不匹配，强保护信宿将会用它的共享公钥(SPK)查验该证书。如仍不匹配(看情况而定)，强保护信宿将放弃协议。
可是如在第一次查验过程中标记匹配，强保护信宿知道信源使用强保护，相应地将传送它的由认证机构标记的证书(CUPK)。强保护信源将接收该证书并用认证机构的公钥(CAPK)查验该证书。如标记不匹配，协议终止。如匹配，两种设备都被认证为强保护，并且两种设备都将拥有另一设备的唯一的公钥(UPK)。
弱保护信源到强保护信宿弱保护信源将先创造它的唯一公钥(UPK)的证书并用共享密钥(SSK)对其标记。该创造步骤可预先做好以节省资源。该证书将被送至强保护信宿。强保护信宿将接收该标记证书并用授权机构公钥(CAPK)查验该证书。如标记不匹配(视情况而定)，强保护信源将用它的共享公钥(SPK)查验该证书。如仍不匹配，强保护信宿将放弃协议。
可是如认为匹配，强保护信宿知道信源仅支持弱保护，它将相应地创造它的唯一公钥(UPK)证书(可预先做好以节省资源)并用共享密钥(SSK)标记该证书。该证书将被送至信源。当信源从信宿接收该证书，它将用它的共享公钥(SPK)查验该证书。如标记不匹配，信源放弃协议。如匹配，两设备将互相认证为弱保护，两设备都将拥有另一设备的唯一公钥(UPK)。
弱保护信源到弱保护信宿弱保护信源将先创造它的唯一公钥(UPK)的证书并用共享密钥(SSK)标记。该创造步骤可预先做好以节省资源。该证书将被送至弱保护信宿。弱保护信宿将接收该标记证书并将用它的共享公钥(SPK)查验该证书。如不匹配，弱保护信宿将放弃协议。
可是如认为匹配，弱保护信宿将相应地创造它的唯一公钥(UPK)证书并用共享密钥(SSK)标记该证书。该创造步骤可预先做好以节省资源。该证书将被送至信源。当信源从信宿接收该证书，它将用它的共享公钥(SPK)查验该证书。如标记不匹配，弱保护信源放弃协议。如匹配，两设备将互相认证为弱保护，两设备都将拥有另一设备的唯一公钥(UPK)。
强保护信源到弱保护信宿强保护信源将直接传送由认证机构标记的证书(CUPK)。弱保护信宿将接收该证书并用它的共享公钥(SPK)查验该证书。如不匹配(看情况而定)，强保护信宿将放弃协议。因而，认证总是失败。这样，强保护信源决不认证弱保护信宿，从信源到信宿没有数据传送。
会话建立一旦信源和信宿相互认证，就需要建立会话。通常，在信源和信宿第一次相互连接时必须进行认证，而信源每次想传送内容到信宿都必须建立会话。会话可以是从信源到信宿下载一段音乐，整张CD的拷贝，一场足球赛的记录，等等。
在每次会话的开始，一个容器将安全地从信源传送至信宿。该容器将包含由信源随机选择的会话密码SK，并且根据该应用是否是数字权限管理(DRM)系统，该容器还将包含与会话中传送内容有关的数字权限的描述。
该数字权限必须由相互认证设备双方检查以证实该内容的传输是允许的。如何完成这些操作将在下面详细说明。在容器中安全传送数字权限的描述允许那些可能不了解传送内容格式的桥接设备或“哑”设备正确掌握传送内容，而本身不需要处理该传送内容。如应用需要，也可在容器内存储附加信息。
图4是表示在信源设备中建立与信宿设备通讯会话的方法的流程图。会话建立由会话建立模块115，125管理。
该方法开始于步骤400。首先，在410，会话建立模块115，125查验在会话中交换的数据是否必须遵从DRM规则。如是，在411获得数据权限描述，并在412查验该数据事实上是否可传输到信宿。如该查验不成功，在413会话建立模块放弃会话。
在步骤420，选择一随机数SK，该随机数将作为这次具体会话的会话密码。在密码系统领域众所周知，选择一个不可预测的数作为会话密码是很重要的。理想地，该数SK最好是随机数，但这代价很高且难以实现，所以经常以伪随机方式生成该数SK。根据特别指定的图表，会话密码SK的长度取决于选择的保护强度方案。
接着，在430判断密码担保是否被用于该会话。在与本申请同一个申请人的国际专利申请PCT/EP/01/11722(代理机构编码PHNL000558)中描述了一种密码担保技术。
通过将较小的会话密码SK和较长的密钥ESK混合，并使用因此产生的密码RK作为会话密码，对于恶意的用户(该用户不知道ESK)较难突破保护方案，而对于授权人士或内容所有者(该用户知道ESK)则较容易。
可是需要忠告的是，这在保护方案中引进一种可能的安全威胁。这种想法是很天真的，即认为恶意用户从不够安全的授权者/内容所有者那偷取或通过腐化一个能访问密钥的参与者，最终也不能得到密钥ESK。假如使用密码担保，那么在440担保密码ESK和随机数SK混合，结果用作会话密码。
在步骤450，会话建立模块115，125生成一个容器。该容器将包含会话密码SK，并根据该应用是否是数字权限管理(DRM)系统，该容器还将包含与会话中传送内容有关的数字权限的描述。
接着，会话建立模块115，125在460使用它们各自的唯一密钥USK标记该容器，并在470用信宿的唯一公钥UPK加密标记后的容器，信宿接收和认证该公钥如前面参考图2所述。然后，在480已标记并加密的容器被传送至信宿。在490，该方法结束。
图5是表示在信宿设备中建立与信源设备通讯会话的方法的流程图。信宿设备130，140中的会话建立由会话建立模块135，145管理。在500，该方法开始。在510，会话建立模块135，145接收已标记并加密的容器。
接收标记和加密的容器后，在520，会话建立模块135，145首先使用它们自己的唯一密钥USK解密该容器。然后在530，它们用唯一的公钥USK查验标记，如前面参照图3所述接收并认证该公钥。
然后在540检查该容器以恢复会话密码SK和与会话中传送内容有关的数字权限的描述，如果该描述存在的话。
接着在550，会话建立模块135，145确定是否存在数字权限。如是，则在551会话建立模块从容器恢复该权限，并在552查验是否在会话中存在传送数据的权利。如不是，在553会话不被允许。
如找不到数字权限，或找到的权限包含了会话中传输数据的权限，那么在560恢复随机数SK并可将它用作会话密码。在570，该方法结束。
传输数据的加密从信源传输至信宿的数据可用强分组密码来加密，其来回次数和加密密码EK的长度取决于需要的保护方案的强度。在一次会话中加密密码EK的更新频率也取决于需要的保护方案的强度。设备110，120，130，140配备有各自的加密/解密模块117，127，137，147以加密数据。
在一种优选实施例中，加密/解密模块117，127，137，147使用小，快且无特权的Tiny加密算法(TEA)作为分组密码来加密和解密数据。该算法由David J.Wheeler和Roger M.Needham在Springer-Verlag 1994计算机科学讲稿1008卷363-366页“TEA，aTiny Encryption Algorithm”中阐述。也可查阅网址http//vader.brad.ac.uk/tea/tea.shtml。
加密数据交换前，必须生成加密密码。这里定义两种密码生成模式。强保护设备每次需要新的加密密码时都将相互交换信息。弱保护设备仅仅用一种很简单的方案从会话密码生成连续的加密密码，该会话密码在前阶段被安全交换。所有强保护设备也必须支持弱加密密码生成。这允许弱保护信源与强保护信宿一起使用。
弱加密密码生成图6是表示当信源与信宿设备之间相互认证为弱保护时使用的密码生成方法的流程图。弱保护设备120，140配备有各自的执行该方法的密码生成模块126，146。该方法开始于600。首先在610，会话密码与共享密钥SSK连成一串。
在620，该串作为到散列函数的输入。在本领域大家都知道很多密码系统的强散列函数。在一种实施例中，前面提到的Tiny加密算法被用来与大家熟悉的DaviesMayer散列函数结合使用。
散列函数的输出的长度是可变的(取决于将使用的保护方案的强度)。该输出在630被用作第一加密密码EK1。每次需要新的加密密码时，先前的加密密码EKn-1与共享密钥一起进行散列运算，而不是将会话密码SK和共享密钥SSK串联。在会话中信源和信宿之间不需要就生成加密密码问题进行通讯。
该种方式的加密密码生成可用来显著减少在桥接或“哑”存储设备中数据处理量。
强加密密码生成图7是表示当两种设备相互认证为强保护设备时使用的密码生成方法的流程图。强保护设备110，130配备有各自的执行该方法的密码生成模块116，136。该方法开始于700。
在710，信源中的密码生成模块116和信宿中的密码生成模块136都生成一个相同长度的随机数作为会话密码，各自称为Rsrc和Rsnk。
在720，该随机数与会话密码SK进行异或，并在730发送至另一方。在740，两个密码生成模块116，136接收对方的与会话密码SK异或的随机数。为获得对方实际的随机数，在750它们将它与会话密码SK再进行异或。这样双方都知道对方的随机数。
在信源中，随机数Rsnk在760与信宿的公钥UPK连成一串。相似地，在信宿中，随机数Rsrc在760与信源的公钥UPK连成一串。在770，该串被送到散列函数。
另外，在信宿，随机数Rsnk在765与信宿的公钥UPK连成一串。相似地，在信源，随机数Rsrc在765与信源的公钥UPK连成一串。在775，该串被送到散列函数。
散列函数的输出的长度是可变的，取决于将使用的保护方案的强度。然后在780，输出结果进行异或以形成加密密码EK。每次需要新的加密密码，就重复该过程。该密码生成方法强于参考图5描述的方法，但是它需要信源和信宿之间的通讯以交换异或的会话密码。
该密码生成方法部分基于生成一种组合密码的程序，该程序在蓝牙规范1.0A版14.2.2.4节155-156页中给出。
内容传输假如信源想通过一桥接设备，如用于USB接口的IEEE1394，安全传输内容至信宿，需要在信源和桥接设备(作为信宿)之间建立链接，并在桥接设备(现作为信源)与信宿之间建立第二链接。
这意味着在桥接设备中内容被解密及再加密。为避免这一点，倘若会话建立如下发生，则可使用上述加密密码生成方法。信源和桥接设备如上面参考图2和3描述的那样相互认证对方后，双方再如上面参考图4和5描述的那样建立会话。
桥接设备和信宿之间将建立会话(一旦它们相互认证)，其中会话密码SK不是由桥接设备随机选取的，而是从容器中恢复的，该容器是桥接设备从信源接收的。那样，信源和信宿将拥有同样的会话密码SK，桥接设备不需要解密和再加密通过它的内容。
‘哑’存储设备可看成桥接设备，其中内容在送到信宿前滞留一段时间。这样，从信源接收到的加密内容将和从信宿接收到的容器一起存储在存储设备中。为安全存储该容器，存储设备将用它的唯一公钥UPK加密该容器。重新传输内容时，通过用它的唯一密钥USK解密该容器，存储设备可打开该容器并恢复由信源选择的会话密码SK。然后它就建立与信宿的会活(在相互认证后)并使用恢复的会话密码代替选择一随机数。
注意，桥接设备和存储设备都不必理解恢复的内容的形式及翻译相关的数字权限。还要注意，倘若数字权限允许这种传输，那么在信源和信宿之间的桥接设备和‘哑’存储设备的最大数量是无穷的。
图8简化示出一设备的实施例。这一实施例中，SCOP使能的信源设备810，比如数字音频播放器，有线地连到SCOP使能的信宿设备820，比如数字接收机，安全传输的内容不可复制。在该情况下，从信源到信宿的传输是容许的，因为信宿设备820没有记录能力。
现在设想消费者想去除他的音频设备上的所有电缆。他通过购买两套SCOP使能的桥接设备830，831来实现该设想，该桥接设备可从如IEEE1394转换到蓝牙并转换回来。现在在他的设备中有三个链接信源810到桥接设备830，桥接设备830到桥接设备831及桥接设备831到信宿820。
对于不可复制内容的传输，信源810不能做出关于传输的正确判断，因为它不能判断目标信宿820是录制设备还是接收设备。因此，它将这个决定留给链上下一个相互认证的设备并以前面一段描述的方式安全传输内容。可是该有线至无线的桥接设备830也不能做出决定并将再次安全传送该内容至下个相互认证设备(不需解密和再加密该内容！)。
可是，无线至有线桥接设备831知道它连接的是录制设备还是接收设备并能从容器中找回有关该内容的数字权限的描述并检查它们。假如传输是允许的，它将传输加密内容至信宿820，也不需解密和再加密该内容。
因为桥接设备830，831不需要知道内容的形式以找回有关的数字权限或者甚至通过对它解密及加密来处理该内容，所以增加的保护费用将是很小的。为进一步扩展该应用，第三套SCOP使能的无线至有线桥接设备可与位于另一房间的另一SCOP使能的接收设备连接。该第三套无线至有线桥接设备将被有线至无线桥接设备相互认证并作为内容保护方案中的第一设备。
这样，信源810与一个有线输出无线连接以成倍增加有线输出接收设备，而不需要对每个SCOP链接进行连续解密/再加密，也不会危及DRM系统的安全。这里不能使用全透明桥接设备，因为在相互认证，会话建立，和加密过程中信源810不知道如何处理多个信宿，因为它只有一个输出。可是该SCOP使能的有线至无线桥接设备将专门设计成处理多个相互认证和会话建立，而不需要对每个SCOP链接解密/再加密。
数字权限管理本发明可用于DRM使能的设备如数字音频播放器和记录器。此时这些设备需要了解对于它们交换的数据用户拥有的数字权限。例如，如果一个数字音频播放器连接到一个数字音频接收器，那么内容将必须安全传过SCOP链一次。如果一个数字音频播放器连接到一个数字音频记录器，或内容已经播放过一次，那么内容不必传过SCOP链接。
在本发明的一种实施例中，两种数字权限是特殊的播放权限和记录权限。当然其它类型的权限也是可能的，本发明不限于该实例中定义的权限。
播放权限用户对他期望播放的内容具有以下一种权限限时播放内容仅可播放前x秒。
限次播放内容仅可在特定的播放设备上播放特定的次数，之后该内容在该播放设备变成不可播放。
限期播放内容仅可在某一时间段内播放，之后该内容期满。
无限播放内容可永远不限次数播放。
不播放内容不能播放(不再)。
通常，用户的数字播放权限不是永远一样的，而是从一种形式变化到另一种形式。例如，用户可免费接收限时播放或不播放权限并可购买无限播放或限次播放权限。在用户播放内容特定次数以后，限次播放权限可变为不播放权限。数字播放权限也可组合(如限次播放和限期播放)录制权限对于他想录制的内容，用户将拥有以下权限中的一种限次录制内容仅可录制特定次数，之后变为不可录制。
无限录制内容可不限次数录制。
不录制内容不可录制(不再)。
通常，如果数字录制权限允许，内容将和原始媒介上找到的数字播放权限一起录制到新的媒介上。可是定义新的数字录制权限也是有用的，其中录制媒介的数字播放权限和原始媒介的数字播放权限不同时该权限允许内容的录制。例如，当用户可能有某些内容的不播放权限时，允许他用限时播放权限进一步分配来制作内容拷贝可能是有用的。
因此，用户可拥有以下可选择的录制权限传播录制内容可不限次数录制，但是数字播放权限可由该录制权限指定而不是从原始媒介拷贝。
以上对信源和信宿设备加以区别。信宿可进一步分类为录制设备，接收设备和桥接设备。一旦两设备相互认证，信源将知道它连接的信宿的类型。可以有以下结合信源到录制设备，信源到接收设备，和信源到桥接设备。
信源到录制设备在会话建立期间，信源将检查用户拥有的对于会话期间将被传送的内容的数字录制权限。假如允许一般录制，信源将通过“会话建立”部分描述的双重加密容器传输用户的数字播放权限及数字录制权限到录制设备。如不允许一般录制，但是用户拥有对于内容的传播录制权限，信源将传输分配录制权限及由该传播录制权限指定的数字播放权限到录制设备。
录制设备(信宿)双重检查用户的数字录制权限并得出与信源相同的结论(允许录制)。一旦会话建立，内容将安全地通过SCOP链接传输并将进行会话的录制。接收到的数字播放权限和更新的(由信宿)数字录制权限将被录制到新的媒介上。
信源到接收设备在会话建立期间，信源将检查用户拥有的对于会话期间将被传送的内容的数字播放权限。假如允许播放，信源将通过双重加密容器传输用户的数字播放权限及不录制数字权限到录制设备。接收设备将双重检查用户的数字播放权限并得出相同的结论(允许播放)。一旦会话建立，信源将更新用户拥有的对于该内容的数字播放权限。之后，该内容将安全地通过SCOP链接传送并且接收设备将进行会话的播放。
信源到桥接设备因为信源不能确定与桥接设备连接的信宿的类型，它将和认证的桥接设备建立会话并将通过双重加密容器安全传送用户拥有的对于该内容的数字播放权限和数字录制权限。该桥接设备能确定它连接的信宿的类型，所以它能管理数字权限如果信宿是录制设备，它可应用(如信源一样)“信源到录制设备”描述的方法；如果信宿是接收设备，它可应用“信源到接收设备”描述的方法；如果信宿还是另一桥接设备，它可应用“信源到桥接设备”描述的方法。
密码废除仅对在认证中使用强保护的泄密了的设备推荐使用密码废除。在这种情况下，经授权的实体将生成包含废除设备的公钥UPK的废除证书并用认证机构的密钥标记。通过新近发行的媒介(CDs，DVDs等)，通过通讯路线(因特网，广播网等)或通过设备自身间的互相连接，上述废除证书可传播到该领域的设备。
当设备接收到这样的撤消证书，它将用认证机构的公钥CAPK查验该证书并安全存储该证书。在相互认证期间，该设备可通过检查存储的撤消证书，检查它从其它设备接收的公钥不是废除的。注意术语‘设备’用于广义。例如，因特网上的内容传播服务也可被废除，从而阻止恶意用户通过使用一组用于认证和加密的泄密了的密码来建立一种非法的内容传播服务。
另一实例是作为信宿的PC上泄密了的软件播放设备的废除，从而使该泄了密的播放设备通过因特网的进一步传播无效。另外，和上述方法一样，通过生成和传播包含一组泄密的设备的ID组，还可支持设备组的废除；从而使用一个废除证书废除所有这些设备。
弱保护设备不应支持撤消，因为撤消证书必须使用共享密钥标记，该密钥仅靠隐藏在设备里来保护不被恶意用户使用。如果知道密码，恶意用户可以制造假的弱保护设备的撤消证书并以类似病毒的方式把该证书传播到该领域的所有设备，从而致相当数量的合法设备不能操作。如果那样的话，当初使泄了密的弱保护方案允许某些用户制造非法拷贝的争论将面临更严重的问题，即，使诚实的用户的设备被假的撤消证书污染，并将不能操作的设备还给制造商。
注意，本发明不限于上述实施例。那些本领域的技术人员可设计很多可供选择的实施例，而不偏离附加的权利要求的范围。
在权利要求中，在括号里的任何参考符号不应解释为限制权利要求。词语“包含”不排斥其它元素或步骤的存在。词语“一”或“一个”不排斥多个元素的存在。
本发明可以通过包含几种独特元素的硬件，或以合适编程的计算机实现。在设备权利要求中，几种设备可被表现为一种同样硬件和软件元素的设备。
权利要求
1.用于和第二设备交换数据的第一设备，包含接收装置，用于从第二设备接收第二设备的公钥(UPK)的证书；和认证装置，如果认证机构的公钥是有效的，通过对接收到的含有认证机构公钥(CAPK)的证书的成功认证，该认证装置用来认证第二设备为强保护设备，及通过对接收到的含有本地可获得的公钥(SPK)的证书的成功认证，该认证装置用来认证第二设备为弱保护设备。
2.权利要求1中的第一设备，进一步包含传输装置，用来传输第一设备的公钥(UPK)的证书至第二设备，该证书可由认证机构标记或由本地可获得的密钥(SSK)标记。
3.权利要求2中的第一设备，其中，如果第二设备被认证为强保护设备，那么传输证书由认证机构标记，如果第二设备被认证为弱保护设备，那么传输证书由本地可获得的密钥(SSK)标记。
4.权利要求1中的第一设备，其中，上述认证装置用来在第二设备被认证为弱保护设备而第一设备为强保护设备的情况下，阻止与第二设备交换数据。
5.权利要求1中的第一设备，进一步包含弱加密密码发生器，用来计算会话密码和本地可获得的密钥(SSK)的结合的第一散列，并使用该第一散列作为加密密码来加密与第二设备交换的数据。
6.权利要求5中的第一设备，其中弱加密密码发生器进一步用于连续计算第一散列和本地可获得的密钥的结合的第二散列，并用该第二散列代替第一散列。
7.权利要求1中的第一设备，进一步包含会话建立装置，用于生成包含会话密码和数字权限管理数据的容器，用对应于第一设备公钥(UPK)的密钥(USK)标记该容器，用第二设备的公钥(UPK)加密标记的容器并传输标记和加密的容器至第二设备。
8.权利要求1中的第一设备，进一步包含会话建立装置，用于从第二设备接收标记和加密的容器，用对应于第一设备的公钥(UPK)的密钥(USK)解密该容器，用第二设备的公钥(UPK)查验上述标记，并从容器获得会话密码和数字管理权限数据。
9.一种认证远程设备的方法，包含从远程设备接收包含远程设备公钥(UPK)的证书；如果可以获得认证机构的公钥，则用认证机构公钥(CAPK)对接收到的证书成功认证后，将第二设备认证为强保护设备，及用本地可获得的公钥(SPK)对接收到的证书成功认证后，将第二设备认证为弱保护设备。
10.一种计算机程序产品，用来使处理器以执行权利要求9中的方法。
全文摘要
用于和第二设备(130)交换数据的第一设备(110)。该第一设备(110)从第二设备(130)接收包含第二设备的公钥(UPK)的证书。然后，如果认证机构的公钥是有效的，当对接收到的含有认证机构公钥(CAPK)的证书能成功认证时，第一设备(110)认证第二设备为强保护设备；当对接收到的含有本地可获得的公钥(SPK)的证书能成功认证时，可认证第二设备为弱保护设备。第二设备(130)进行同样工作以实现相互认证。相互认证以后，设备(110，130)可安全设立会话密码并交换数据。数据最好具有相关的DRM规则。
文档编号G06F21/44GK1518825SQ02812382
公开日2004年8月4日 申请日期2002年6月20日 优先权日2001年6月21日
发明者L·P·F·布西斯, L P F 布西斯 申请人:皇家菲利浦电子有限公司