用於提供數字證書功能的方法

2023-08-09 03:00:16 2

專利名稱：用於提供數字證書功能的方法
技術領域：
本發明涉及用於提供數字證書功能的方法，例如涉及用於提供具有隱式驗證的數字證書功能的方法。此外，本發明還涉及被安排來實現所述方法的設備和系統。此外，本發明涉及當實現所述方法時所產生的數字證書和相關聯的數據。
背景技術：
數字證書是密碼實體，其在實現密碼系統時是有用的。數字證書被定義為由證明權威機構(CA)對相應的串或消息m所發布的數字籤名。通過發布這種證書，CA由此擔保了串m的可靠性。其它設備能夠通過檢查籤名來驗證串m的可靠性。
通常，頻繁地使用公鑰技術來實現數字證書。在這種技術中，證明權威機構(CA)擁有公-私鑰對，其中PCA、SCA分別標示公鑰和私鑰。此外，CA可操作來使用其私鑰SCA來發布與串m有關的證書，其由CertCA(m)來標示。方便地，如果E(y，x)標示使用密鑰y來加密項x，那麼證書CertCA(m)可以採取如方程式1(Eq.1)所描述的形式CertCA(m)＝E(SCA，m) Eq.1不過用於證書CertCA(m)的候選形式也是潛在可能的。為了降低證書CertCA(m)的數據大小，證書更有利地採取如方程式2(Eq.2)所描述的形式CertCA(m)＝E(SCA，h(m)) Eq.2其中h標示用於把任意長度的輸入映射到長度n的輸出上以提供數據壓縮的單向散列函數，即使得h(.)，{0，1}*→{0，1}n。從而，任何設備於是通過酌情相對於m或h(m)檢查使用CA的公鑰PCA的解密證書CertCA(m)，能夠顯式地驗證已知串m的可靠性。在這種驗證過程中，不要求CA在驗證期間保持在線。
通常，證書的共同使用將把設備的公鑰綁定到其相應的身份，例如使用上述證書CertCA(m)來把設備的公鑰Pdev關聯到其身份。在這種情況下，串m優選包括設備的公鑰Pdev以及其身份和用於限定綁定的附加信息，例如與所述設備經由某個安全認證信道接收私鑰Sdev時有關的期滿時間限制。
可以使用已知的對稱密鑰技術來獲得用於允許驗證串m可靠性的類似功能。對於這種對稱技術來說，CA具有秘密密鑰KCA，它根據情況依照方程式3或4(Eq.3或4)使用所述秘密密鑰KCA來產生關聯的證書CertCA(m)CertCA(m)＝E(KCA，m) Eq.3或CertCA(m)＝E(KCA，h(m)) Eq.4其連同串m一起被公開。如果擁有串m的拷貝和證書CertCA(m)的設備希望驗證所述串m的拷貝的可靠性，那麼所述設備必須向CA提供所述證書CertCA(m)和串m。在接收證書CertCA(m)時，CA會使用CA的秘密密鑰KCA來解密所接收的證書CertCA(m)，繼而隨後驗證根據所接收證書CertCA(m)所導出的串m等於所接收的串m。在這種情況下，如上所述串m有利地包括密鑰材料及其它屬性。然而，對稱密鑰技術具有與其相關聯的問題，即為了認證目的CA需要保持在線並且設備要求提供從所述設備到所述CA的認證信道，例如基於共享秘密的認證信道。
從而，基於上述公鑰技術的證書允許實現更靈活的密碼系統，它與要求在線CA的對稱密鑰技術相對比不要求對所述CA提供在線連接。然而，公鑰技術的技術問題在於就實現該技術的硬體和這種硬體的功率消耗而言要昂貴的多。
用於產生共用秘密數據項(例如用於證明目的)的方法是已知的。例如，在所公開的國際PCT專利申請WO 2004/028075中描述了一種用於在第一用戶設備和第二用戶設備之間產生共用秘密數據項的方法。所述方法涉及每個用戶設備對各自的互補數據項執行互相對稱的操作。這些互補數據項分別基於至少部分保密的唯一量。對稱操作的結果在用戶設備中被用為上述秘密數據項。特別地是，所述方法基於定義屬於GAP Diffie-Hellmann問題的互補數據，其在阿貝爾簇(Abelian Variety)中被定義。更特別地是，阿貝爾簇通過成為橢圓曲線而具有單一維數。
從而發明人認識到用於提供數字證明功能的已知方法具有各種問題，包括硬體成本、硬體操作功率消耗、需要認證信道以及要求CA在線可用的一個或多個。這些問題促使發明人設計本發明以試圖至少部分解決這些問題。

發明內容
本發明的目的是提供一種用於提供數字證明功能的候選方法。
依照本發明的第一方面，提供了一種用於在包括證明權威機構(CA)和至少第一(A)和第二(B)設備的網絡中提供數字證明功能的方法，其中所述第一(A)和第二(B)設備可連接來與所述權威機構(CA)通信，所述方法包括步驟(a)在所述權威機構(CA)，產生秘密P，應用所述秘密P來為代表第一設備(A)的數據串(mA)籤名，繼而把所籤名的串傳送到所述第一設備(A)；(b)把秘密信息從所述權威機構傳送到所述第二設備(B)，所述秘密信息用於驗證所述串(mA)的可靠性，所述第二設備(B)可操作來使用所述秘密信息來產生用於驗證所述串(mA)可靠性的第二密鑰(kAB2)；(c)在所述第一設備(A)使用與所述第二設備(B)有關的公共信息來產生第一密鑰(kAB1)，如果所述串(mA)是可信的那麼易於產生所述第一密鑰(kAB1)；(d)應用所述第二密鑰(kAB2)以便保護從所述第二設備(B)傳送到所述第一設備(A)的數據；並且(e)在所述第一設備(A)，應用所述第一密鑰(kAB1)以便訪問所保護的從所述第二設備(B)傳送到所述第一設備(A)的數據。
由於驗證或認證所保護的數據並不要求證明權威機構的在線可用性，所以該方法是有益的。
優選地是，在所述方法中，在驗證期間不要求在線訪問權威機構的情況下實現在步驟(e)訪問所保護的數據。
優選地是，在所述方法中，秘密P是二變量的多項式。
優選地是，在所述方法中，第一密鑰(kAB1)是使用與第二設備相關的公共串所估算的多項式。
優選地是，在所述方法的步驟(a)中，所籤名的串被秘密地從權威機構傳送到第一設備(A)。更優選地是，通過使用加密技術來實現這種秘密通信。
優選地是，在所述方法中，在第一設備(A)驗證所傳送的受保護數據是顯式的。作為選擇，在所述方法中，在第一設備(A)驗證所傳送的受保護數據是隱式的。
優選地是，所述方法基於以下至少一個Blom方案、基於身份的加密(IBE)。
依照本發明的第二方面，提供了一種通信系統，包括依照相互通信布置的證明權威機構(CA)和多個設備，所述系統可依照本發明第一方面的方法來操作。
依照本發明的第三方面，提供了一種在可依照本發明第一方面的方法來操作的通信網絡中用於數據驗證的數字證書。
依照本發明的第四方面，提供了一種易於通過應用依照本發明第一方面的方法來驗證的加密數據。優選地是，所述數據包括音頻和視頻節目內容。
應當理解的是，在不脫離本發明範圍的情況下，易於依照任何組合來組合本發明的特徵。


現在將僅以舉例形式，參考下列圖來描述本發明的實施例，其中圖1是包括與兩個設備通信的證明權威機構的通信網絡的示意圖，所述權威機構和設備可操作來使用依照本發明的數字證明互相通信。
圖2是在圖1所描繪的網絡中證書分布的示意圖；圖3是依照本發明的顯式串證明的示意圖；圖4是依照本發明的隱式串證明的示意圖；和圖5是用於依照本發明實現數字證明功能的系統的示意圖。
具體實施例方式
發明人設想基於多項式來提供數字證明功能是可行的。這種方法與上述公鑰技術相比實現起來潛在地更為廉價，並且與上述要求在線伺服器的對稱密鑰技術相比還能夠提供更靈活的益處。
概括地講，本發明涉及一種用於提供如圖1中所描述的數字證明功能的方法。在圖1中，示出了總體上由10來表明的通信網絡，包括證明權威機構(CA)20、第一設備(A)30和第二設備(B)40。權威機構20和設備30、40耦合使得它們能夠互相通信。網絡10可以被實現為通信系統，其中證明權威機構(CA)20是伺服器或資料庫，並且所述設備是經由所述網絡10耦合到所述伺服器或資料庫的用戶設備。
在該方法的第一步驟中，CA20選擇或產生隨機秘密P。然後CA20使用秘密P來為代表第一設備A30的公開串mA籤名，然後如圖1中的箭頭50所描繪的，CA20把所籤名的串mA秘密地傳送到第一設備A30。
在該方法的第二步驟中，第二設備B40從CA20獲得某個秘密信息，所述秘密信息由箭頭60標示，並且由此使所述第二設備B40能夠產生密鑰KAB以便隱式地或顯式地驗證串mA的可靠性。
在該方法的第三步驟中，如果由設備B所使用的串mA是可信的，那麼第一設備A30通過使用第二設備B40上某個公開可用的信息70可操作來產生密鑰KAB。
在該方法的第四步驟中，第二設備B40使用其密鑰KAB來保護由箭頭80所表示的從第二設備B40傳送到第一設備A30的數據(INFO)。第一設備A30可操作來使用其密鑰KAB來訪問所述數據(INFO)。
儘管圖1概括地描繪了本發明的方法，然而現在將更詳細地闡明其步驟。系統10利用多項式來提供數字證書功能，更具體地說是基於Blom密鑰設置方案的推導，如在1983年的出版物「Non-public keydistribution」中所描述，Advances in Cryptology-Proceedingsof Crypto 82，第231-236頁，在此通過引用加以結合以供參考。
在Blom方案中，網絡具有N個用戶，並且利用M位密鑰來把網絡中所發送的每個消息譯成密碼，所述密鑰對於所涉及的每個源-目的地用戶對來說是唯一的。所述方案可操作來構造密鑰方案，所述密鑰方案要求在每個用戶存儲儘可能少的位數。在該方案中，所要求的位數作為由S所標示的用戶存儲的大小。當網絡中有N個用戶使得每個用戶由在0到N-1範圍內的唯一用戶號i來定義時，用戶i的用戶地址ai可如方程式5(Eq.5)所描述的被表示為向量ai＝(ai0，ai1，...，ai(l-1))Eq.5其中l＝logb(N)並且其中如方程式6(Eq.6)所描述的包括底數b中的用戶號。
i=m=0l-1aimbm---Eq.6]]>還依照方程式7到9(Eq.7到9)定義了累積函數ffm(x，y)＝fm(y，x) Eq.7其中x，y∈{0，1，2，...，b-1} Eq.8m∈{0，...，l-1}Eq.9在Blom方案中，於是由方程式10(Eq.10)來描述用於在用戶i和j之間通信的密鑰kijkij=m=0l-1fm(aim,ajm)---Eq.10]]>其中假定函數fm(.，.)具有伽羅瓦域(Galois field)GF(2M)的子集作為它們各自的數值範圍並且除可換性之外不具有任何其它屬性。在依照Blom方案計算密鑰kij中，用戶i始終使用fm(aim，.)並且從而只是必須存儲用於每個函數的b值。
Blom方案在伽羅瓦域GF(q)中使用多項式p(x，y)，所述多項式p(x，y)屬性為p(x，y)＝p(y，x)並且每個用戶與伽羅瓦域GF(q)中的唯一元素i相關聯，其中元素i可用來標識所述用戶。還假定q的數量級為2M，用於利用M位來表示伽羅瓦域GF(q)的元素。為了產生用於用戶i和j的密鑰，估算多項式p(i，j)。從而，具體用戶i只需知道多項式p(i，y)使得每個用戶只知道整個多項式的一部分，所述多項式由方程式11(Eq.11)定義p(x，y)＝(x0，x1，…，xn-1)A(y0，y1，…，yn-1)TEq.11其中A是對稱的n×n元素矩陣。
每個用戶只需採用向量bi的形式存儲n個係數，所述bi如方程式12(Eq.12)所描述
bi＝(i0，i1，...，in-1)AEq.12於是密鑰kij的計算首先涉及計算(j0，j1，...，jn-1)且繼而執行此向量和向量bi的標量乘法。
本發明使用基於多項式的證書功能，例如在Blom方案中所用。一般地說，如在圖2中所描述，CA選擇隨機秘密P(y，x)且繼而使用所述秘密來為公共的串mA籤名以便產生用於設備A的籤名。CA例如通過加密來向設備A秘密地發送此籤名。同樣已經從CA獲得某個秘密信息的任何設備B可以顯式地或隱式地驗證mA的可靠性，使得所述設備B使用公共的串mA來產生密鑰kAB；如果串mA是可信的，那麼只有設備A通過使用關於所述設備B的某個公共信息也能夠產生此密鑰kAB。從而，設備B能夠使用密鑰kAB來保護它向設備A所發送的數據。
在圖2中，實現了初始設置階段，其中CA選擇隨機、秘密且對稱的二變量多項式P(x，y)使得對於所有x和y來說P(x，y)＝P(y，x)。CA按照y＝mA來估算多項式P(y，x)以便獲得多項式P(mA，x)，其中P(mA，x)是關於mA的籤名。然後CA把此單變量的多項式P(mA，x)發送到設備A。此外，在設置階段中，CA向設備B秘密地發送多項式P(b，x)，其中b是關於設備B的某個公共串。串mA和b都是公共串，其可以存儲在公共資料庫中或可以分別向設備A、B給出。
在上述設置階段之後，如果設備B顯式地想要驗證其佔有的串mA版本的可靠性，例如在圖3中所描述，那麼所述設備B執行驗證步驟。在驗證步驟中，設備B選擇隨機數r。此後，設備B通過使x＝mA來估算多項式P(b，x)以便獲得密鑰kAB＝P(b，mA)。接下來，設備B使用密鑰kAB來加密隨機數r，即設備B確定E(kAB，r)並且向設備A發送此加密。
一旦收到加密E(kAB，r)，設備A就估算多項式P(mA，x)，其中x＝b以便獲得所導出密鑰k』AB＝P(mA，b)。接下來，設備A向設備B發送數字r』＝D(kAB』，E(kAB，r))，其中D標示解密。然後只有驗證時數字r＝r』，那麼設備B才接受mA的可靠性。在設置階段之後的這種驗證中，並不涉及CA，不過要求設備A在線可用。圖3對應於依照本發明的顯式認證。
如在圖4中所描述，設備B只能夠根據串mA的內容來向設備A發送特許信息X。信息X例如是音頻或視頻內容；此外，串mA優選包括關於是否向設備A授權播放所述內容的指示。從而，在本發明的實際使用中，設備A發送請求「Req(X)」以便請求把信息X發送給它。響應於接收到請求「Req(X)」，設備B首先獲取串mA。然後它使用串mA來驗證是否允許設備A訪問信息X，即「Ver mAwrt X」。如果設備B發現實際上允許設備A訪問信息X，那麼所述設備B計算密鑰「kAB＝P(b，mA)」且繼而繼續使用所述密鑰kAB來加密所述信息，即「E(kAB，X)」，並且向所述設備A發送所述加密。
一旦收到所述加密，那麼設備A就計算密鑰「kAB』＝P(mA，b)」且繼而按照「X』＝D(kAB』，E(kAB，X)」來計算內容。在由設備B所使用的串mA是可信的情況下，設備A會計算密鑰的屬性值，即密鑰kAB和kAB』會是相應的，因此設備A能夠訪問信息X。相反地，在mA被修改為串mA』的情況中，設備B不能顯式地驗證mA』的可靠性，而是會產生密鑰kAB』＝P(b，mA』)並且用它來加密信息X；由於併入本發明的Blom方案的性質，設備A不能只知道mA』和P(mA，x)就計算密鑰kAB』，於是所述設備B隱式地驗證了串mA的可靠性。在這兩種情況中，如果設備B是消息的發起者，例如B向發送到設備A的消息添加了消息認證代碼，那麼設備A能夠驗證可靠性。
儘管圖3和相關聯的描述對應於顯式認證，然而圖4對應於隱式認證。
如上所述的本發明在不要求在線訪問CA 20來證明串mA的可靠性這一方面表面上類似於公鑰證書。由於在本發明中優選利用Blom方案，所以在兩個設備A、B之間交互作用中所出現的修改串mA會依照與正常公鑰證書類似的方式導致失敗的可靠性檢驗。然而，在本發明和公鑰證書系統之間存在顯著差異。
在圖1到4所圖示的方案中，設備B要求來自設備A的幫助以驗證串mA的可靠性，因此要求所述設備A是可在線訪問的；這種在線訪問與公鑰證書形成對比，所述公鑰證書按照CA公鑰的資料來適應驗證，即公共驗證。
此外，圖1到4的方案依靠設備A、B使證書P(mA，x)、P(b，x)分別保持保密；然而，所述設備A與使用秘密和私有密鑰的流行密碼系統相對比不總是得益於使證書P(mA，x)保持保密。在本發明中，設備A可以被認為是不暴露其私有信息的適應設備；此外，P(mA，x)不只能夠充當證書而且還能夠作為設備A的私鑰起作用，在這種情況下對於設備A來說公開證書P(mA，x)是不利的。
在圖1到4的方案中，公鑰證書的安全性取決於某個計算困難的問題，例如離散對數問題或大質數因子分解。由上面所描述本發明提供的安全性取決於Blom方案的性質，所述方案提供了n個安全屬性。從而，如果n是秘密P(y，x)的多項式的冪，那麼要求潛在的攻擊者使用n個以上多項式來形成P(mA，x)並且能夠產生證書P(mA』，s)。在本發明的方案中，設備A、B只在有限域中使用多項式計算和對稱的密鑰加密，所述對稱密鑰加密與公鑰操作相比在計算上沒那麼昂貴。
在圖1到4中所圖示的本發明可以基於除Blom方案之外的其它方案來實現。例如，如上所述的本發明可以被安排來使用基於身份的加密(IBE)作為Blom方案的候選方式。IBE被定義為公共密鑰加密算法，其中公鑰可以是任何串並且計算相應的私鑰使得它與所述公鑰相匹配。IBE清楚地不同於其它公開密鑰算法，其中只有私鑰可以被任意地選擇或者公鑰及其互補私鑰都不可以被任意地選擇。
在本發明中使用Blom方案的優點在於用來估算證書P(y，x)的值可以被任意地選擇且由此允許任何信息被存儲在此值中。此外，此值是公共的且由此基本上充當公鑰。此外，Blom方案當在本發明中使用時比使用IBE在計算上更為簡單。
應當理解，在不脫離由所附權利要求所定義的本發明範圍的情況下，易於修改在上面所描述的本發明的實施例。
在圖1到4所描繪的本發明中，設備A、B導出密鑰P(mA，b)＝P(b，mA)；便利地是，此密鑰被稱作「主密鑰」。常常希望根據此主密鑰來導出隨機密鑰，使得為每個會話產生新的隨機密鑰。可以潛在地使用至少幾百個標準協議來根據公用主密鑰導出隨機密鑰，如A.Menezes、P.van Oorschot和S.van Stone於1996年在出版物「Handbook of Applied Cryptography」中所描述，CRC Press出版，在此通過引用加以結合以供參考。
從而在本發明的範圍內，使用串mA來存儲應當可驗證的信息。在許多實際情況中，實際上並不直接把例如節目內容之類的信息存儲到串mA中，這是因為這可能會不方便地使串很長。為了解決笨重串大小的這種問題，優選使用上述的單向散列函數，串包括如方程式13(Eq.13)所描述信息的較小編輯的版本，也稱為「摘要(digest)」m＝h(mD1) Eq.13將要描述本發明的進一步實施例，如上所述的利用證明功能的實施例。
在圖5中，示出了總體上由200表明的簡單內容管理系統。系統200包括內容權利權威機構(CRA)210，所述內容權利權威機構210可操作來向所述系統200內包括的設備發布內容權利；這些內容權利允許設備播放例如某個內容片。方便地由RCi來標示用於播放給定內容Ci的權利。在實踐中，方便地CRA 210被實現為「電子商店」，例如網際網路網站。系統200進一步包括第一和第二內容管理器(CM1，CM2)220、230，優選分別被實現為包含或可以訪問內容的信任伺服器，所述內容優選為未加密的內容。CM1、CM2220、230例如被實現為對接到網際網路的機頂盒或其它置信設備。此外，系統200還包括分別由300、310、320所標示的設備D1、D2、D3，這些設備可操作來再現內容，例如重放內容。設備300、310、320優選在實踐中被實現為視頻或音頻再現設備，諸如視頻顯示器或音頻設備。
現在將參考圖5來描述系統200的操作。
在系統200中，設備D1 300例如通過付款來獲得用於播放由C1、C2和C3所標示的節目內容直到確定時間限制T1的權利。類似地，設備D2例如還通過付款來獲得用於播放內容C1和C2直到確定時間T2的權利。此外，設備D3獲得用於播放內容C2直到時間T3的權利。獲取用於設備D1、D2、D3的這些權利使設備能夠分別公開地接收相應的數據內容串mD1，mD2，mD3，如由方程式14、15和16(Eq.14，15和16)所方便地描述並包括在圖5中mD1＝D1‖RC1‖RC2‖RC3‖T1Eq.14mD2＝D2‖RC1‖RC2‖RC3‖T2Eq.15mD3＝D3‖RC2‖T3Eq.16其中‖標示拼接。與公開接收串mD1、mD2、mD3相關聯，設備D1、D2、D3還分別秘密地接收相應的多項式P(h(mD1)，x)、P(h(mD2)，x)、P(h(mD3)，x)，其中P(y，x)是如上所述的足夠高次冪的隨機對稱多項式，由內容權利權威機構(CRA 210)來選擇用於設備D1、D2、D 3的多項式。
CRA 210接受CM1、CM2是信任伺服器並且它們分別秘密地接收多項式P(h(CM1)，x)、P(h(CM2)，x)，這兩個伺服器用於存儲內容C1、C2、C3。
在操作中，設備D1向CM1發送請求以便請求內容C3。此請求包括所請求內容的引用，即IDC3，以及如在方程式14中所提供的串mD1。當接受此請求時，CM1220驗證用於所請求內容C3的權利RC3是否包括在內容串mD1中，並且還驗證發送所述請求的時間是否早於時間T1。如果發現與來自設備D1 300的請求相關聯所做的所有檢查都有效，那麼CM1220執行以下步驟(a)CM1220計算串mDi的較小編輯的版本，即串m＝h(mD1)；(b)CM1220根據上面的(a)來估算多項式P(h(CM1)，x)以便獲得多項式解密密鑰K，其中x＝m；(c)CM1220使用來自上面(b)的K來計算內容C3的加密版本，即E(K，C3)；(d)CM1220向設備D1 300發送內容C3的加密版本E(K，C3)。
當在設備D1 300收到從CM1220所發送的加密數據E(K，C3)時，設備D1 300估算多項式P(h(mD1)，x)來獲得解密密鑰K』，其中x＝h(CM1)。接下來，設備D1處理所加密的數據E(K，C3)以便依照方程式17(Eq.17)來導出數據內容C3的解密版本C3』C3′＝D(K′，E(K，C3)) Eq.17假定設備D2310從CM2230請求內容C3，所述設備D2沒有用於數據內容C3的權利。當CM2接收對內容C3的請求並且串mD2＝D2‖RC1‖RC2‖T2時，CM2會注意到RC3並非是mD2的一部分，且由此它不向設備D2310發送數據內容C3。清楚地是，設備D2310可以向CM2發送修改的串m』D2＝D2‖RC1‖RC3‖T2。CM2會接受此修改的串，按照x＝h(m』D2)來估算P(h(CM2)，x)以便獲得密鑰K』並且向設備D2發送E(K』，C3)。然而，當設備D2隻能訪問多項式P(h(mD2)，x)時它不能計算密鑰K』。因此，設備D2310不可能解密所接收的內容。此外，設備D2310基本上不可能修改其內容權利並且獲得對內容C3的訪問。
清楚地是，在系統200中，每個設備D可以從每個CM請求內容並且所述CM能夠顯式地或隱式地驗證內容權利。在系統200中，類似於在使用公鑰安全性技術的其它相關系統中，CRA 210隻在內容遞送期間發布不要求在線的內容權利中起作用。設備D無法修改內容權利或期滿時間，這是因為它們無法產生由CM用來加密或解密內容的密鑰。
在所附權利要求中，在括號內所包括的數字及其它符號用來幫助理解權利要求而並不旨在依照任何方式限制權利要求的範圍。
當解釋說明書及其關聯的權利要求時諸如「包括」、「包含」、「合併」、「含有」、「是」和「具有」之類的表達將被依照非排它性方式來解釋，即被解釋為還允許那些未被顯式定義的其它項或組件存在。單數參考符號還將被解釋為複數參考符號，反之亦然。
權利要求
1.一種用於在包括證明權威機構(20)和至少第一和第二設備(30，40)的網絡(10)中提供數字證明功能的方法，其中所述第一和第二設備(30，40)可連接來與所述權威機構(20)通信，所述方法包括步驟(a)在所述權威機構(20)，產生秘密P，應用所述秘密P來為代表第一設備(30，A)的數據串(mA)籤名，繼而把所籤名的串傳送(50)到所述第一設備(30，A)；(b)把秘密信息從所述權威機構(20)傳送(60)到所述第二設備(B，40)，所述秘密信息用於驗證所述串(mA)的可靠性，所述第二設備(40，B)可操作來使用所述秘密信息以產生用於驗證所述串(mA)可靠性的第二密鑰(kAB2)；(c)在所述第一設備(30，A)使用與所述第二設備(40，B)有關的公共信息來產生第一密鑰(kAB1)，如果所述串(mA)是可信的那麼易於產生所述第一密鑰(kAB1)；(d)應用所述第二密鑰(kAB2)以便保護從所述第二設備(40，B)傳送到所述第一設備(30，A)的數據；並且(e)在所述第一設備(30，A)，應用所述第一密鑰(kAB1)以便訪問所保護的從所述第二設備(40，B)傳送到所述第一設備(30，A)的數據。
2.如權利要求1所述的方法，其中在驗證期間不要求在線訪問權威機構(20)的情況下實現在步驟(e)訪問所保護的數據。
3.如權利要求1所述的方法，其中所述秘密P是二變量的多項式。
4.如權利要求1所述的方法，其中所述第一密鑰(kAB1)是使用與第二設備(40，B)相關的公共串所估算的多項式。
5.如權利要求1所述的方法，其中在步驟(a)，所籤名的串被秘密地從所述權威機構(20)傳送到所述第一設備(30，A)。
6.如權利要求5所述的方法，其中使用加密技術來秘密地傳送所籤名的串。
7.如權利要求1所述的方法，其中在所述第一設備(30，A)驗證所傳送的受保護數據是顯式的。
8.如權利要求1所述的方法，其中在所述第一設備(30，A)驗證所傳送的受保護數據是隱式的。
9.如權利要求1所述的方法，所述方法基於以下至少一個Blom方案、基於身份的加密(IBE)。
10.一種包括依照相互通信布置的證明權威機構(CA，20)和多個設備(30，40)的通信系統(10)，所述系統(10)可依照如權利要求1所述的方法來操作。
11.一種在可依照如權利要求1所述的方法來操作的通信網絡(10)中用於數據驗證的數字證書。
12.一種易於通過應用如權利要求1所述的方法來驗證的加密數據。
13.如權利要求12所述的加密數據，所述數據包括音頻和/或視頻節目內容。
全文摘要
描述了一種用於提供證明功能的方法。所述方法包括(a)在證明權威機構(20)，產生秘密P，應用所述秘密P來為代表第一設備(30，A)的數據串(m
文檔編號H04L9/08GK1981477SQ200580022987
公開日2007年6月13日 申請日期2005年7月4日 優先權日2004年7月8日
發明者T·A·M·克弗納爾, G·J·施裡詹 申請人:皇家飛利浦電子股份有限公司