用于驗證和密鑰交換的方法和裝置的制造方法
【專利說明】用于驗證和密鑰交換的方法和裝置
[_1] 優(yōu)先權(quán)主張
[0002]本專利申請案主張2013年2月7日申請的標題為“CPRM順應性中的安全性缺點的對策(Countermeasures Against Security Weaknesses in CPRM Compliance)，，的第61/762，198號臨時申請案的優(yōu)先級，所述申請案的整個揭示內(nèi)容特此明確地以引用的方式并入本文。
技術(shù)領(lǐng)域
[0003]各種特征涉及確保內(nèi)容安全，且更具體來說，涉及改善用于可記錄媒體標準的內(nèi)容保護的安全性措施。
【背景技術(shù)】
[0004]存在用于確?？捎涗浢襟w(例如，存儲器電路、數(shù)字存儲裝置等)上的內(nèi)容(例如，有版權(quán)的音樂、視頻、編程、敏感數(shù)據(jù)等)的安全的許多安全性算法。舉例來說，內(nèi)容提供者可希望限制存儲裝置將有版權(quán)的內(nèi)容發(fā)射到另一未經(jīng)授權(quán)的通信裝置。因此，內(nèi)容提供者可將密碼安全算法建立到存儲裝置上，所述算法驗證從所述存儲裝置請求內(nèi)容的其它通信裝置，然后才允許所述存儲裝置將內(nèi)容發(fā)射到請求的通信裝置。在內(nèi)容發(fā)射之前驗證請求的通信裝置嘗試確保內(nèi)容安全以免在無需可的情況下分布。
[0005]盡管存在幫助防止未經(jīng)授權(quán)的數(shù)據(jù)傳輸?shù)臒o數(shù)安全性算法，但許多算法存在可以被精明的惡意方發(fā)現(xiàn)并利用的安全性弱點。圖1中闡釋一些安全性算法中存在的一個此類安全性弱點。
[0006]圖1說明現(xiàn)有技術(shù)中存在的安全性算法協(xié)議。具體來說，圖1說明存取裝置102與惡意存儲裝置104之間的相互驗證和密鑰交換(AKE)的方法步驟流程圖100。在此實例中，存取裝置102是經(jīng)授權(quán)的記錄裝置，其希望使用AKE將有版權(quán)的內(nèi)容和/或經(jīng)受限制的內(nèi)容記錄到另一經(jīng)授權(quán)的存儲裝置上。AKE利用對稱密鑰加密算法來驗證經(jīng)授權(quán)通信裝置，例如存取裝置102和其它經(jīng)授權(quán)存儲裝置。經(jīng)授權(quán)存儲裝置包含(例如)存儲安全內(nèi)容的非易失性存儲器電路(例如，快閃存儲器、安全數(shù)字(SD)卡等)。在所說明的實例中，惡意存儲裝置104可為冒充經(jīng)授權(quán)存儲裝置的任何通信裝置。
[0007]參考圖1，存取裝置102不懷疑地希望將內(nèi)容記錄到惡意存儲裝置104。然而，在這樣做之前存取裝置102必須驗證存儲裝置104。因此，存取裝置102通過產(chǎn)生(或以另外方式被提供)對稱密鑰Kmu 106 (通常經(jīng)授權(quán)存儲裝置將也具有所述對稱密鑰Kmu的副本)而開始AKE過程。隨后，存取裝置102產(chǎn)生且發(fā)射第一驗證詢問108到惡意存儲裝置104。所述第一驗證值是使用加密密碼算法和密鑰Kmu加密的隨機數(shù)。替代于產(chǎn)生其自身的具有另一隨機數(shù)的唯一第二驗證詢問，惡意存儲裝置104將其第二驗證詢問設定為等于所接收的第一驗證詢問110。應注意，惡意存儲裝置104假定不具有其它經(jīng)授權(quán)存儲裝置將通常用來產(chǎn)生唯一驗證詢問的對稱密鑰Kmu。惡意存儲裝置104隨后將第二驗證詢問112發(fā)射到存取裝置102。存取裝置102基于且響應于第二驗證詢問而產(chǎn)生響應R2114。舉例來說，響應R2通過以下公式(I)給出:
[0008]R2= Ex (Kmu, AC2) XOR AC2(I)
[0009]其中AC2是第二驗證詢問，XOR是異或運算，且Ex是加密密碼算法。存取裝置102隨后將響應R2發(fā)射116到惡意存儲裝置104。
[0010]經(jīng)授權(quán)存儲裝置隨后通常產(chǎn)生且發(fā)射對從存取裝置接收的第一驗證詢問的唯一響應。然而，替代于直接使用所接收的第一詢問、對稱密鑰Kmu和密碼算法Ex自身產(chǎn)生響應，惡意存儲裝置104將其響應R1設定為等于響應R2118，且將響應R1發(fā)送120到存取裝置102。由于第一驗證詢問和第二驗證詢問兩者彼此相等，因此對驗證詢問的預期響應&和R2也應彼此相等。因此，存取裝置102不知情地檢驗其從惡意存儲裝置104接收的響應札作為對其發(fā)出的第一驗證詢問的正確響應且因此驗證122存儲裝置104。在成功驗證之后存取裝置102將內(nèi)容124(可使用惡意存儲裝置104未知的標題密鑰Kt加密)記錄到惡意存儲裝置104上。圖1中未圖示的一或多個額外步驟可在存取裝置102和存儲裝置104處在驗證122之后發(fā)生以便產(chǎn)生額外密鑰，例如用以對可能已經(jīng)用以加密內(nèi)容的標題密鑰1進行加密的會話密鑰Ks。惡意存儲裝置104可隨后將經(jīng)加密內(nèi)容分布到其它存取裝置，例如重放裝置，所述其它存取裝置可推導對內(nèi)容進行解密和播放所必要的會話和對稱密鑰而無恰當授權(quán)。
[0011]利用與上述AKE協(xié)議極相似的AKE協(xié)議且因此經(jīng)受相同弱點的內(nèi)容保護方案的一個實例是由4C實體LLC(特拉華州，美國公司)開發(fā)的可記錄媒體內(nèi)容保護(CPRM)、預記錄媒體內(nèi)容保護(CPPM)和擴展媒體內(nèi)容保護(CPXM)標準。描述前述CPRM/CPPM和CPXM標準(下文全部簡稱為“CPRM”)的文檔包含(但不限于):可記錄媒體內(nèi)容保護規(guī)范:介紹和共同密碼元素，修訂版1.1(2010年12月)；可記錄媒體內(nèi)容保護規(guī)范:SD存儲器卡書-共同部分，修訂版0.97 (2010年12月)；可記錄媒體內(nèi)容保護規(guī)范:SD存儲器卡書-SD綁定部分，修訂版0.92 (2005年12月)；可記錄媒體內(nèi)容保護規(guī)范:SD存儲器卡書-SD視頻部分，修訂版0.96(2006年6月)；擴展媒體內(nèi)容保護規(guī)范(CPXM):介紹和共同密碼元素，修訂版
0.85初步版本；擴展媒體內(nèi)容保護規(guī)范(CPXM):SD存儲器卡書共同部分，修訂版0.85初步版本；以及C2分塊加密規(guī)范，修訂版1.0 (2003年I月I日)。
[0012]CPRM標準尤其容易受到上文相對于圖1所述的攻擊，其中惡意裝置104將第一和第二驗證詢問設定為彼此相等。根據(jù)CPRM標準，在成功驗證之后，由存取裝置和存儲裝置導出會話密鑰Ks。會話密鑰Ks通過以下公式(2)給出:
[0013]Ks= E C2 (Kmu, AC1XOR AC2)(2)
[0014]其中Ec2是Cryptomeria C2密碼算法或高級加密標準(AES)算法，AC 1是第一驗證詢問，且AC2是第二驗證詢問(即，K mu^P AC JOR么(:2是對E。2加密密碼的輸入)。如果AC != AC2 (例如，根據(jù)前述攻擊)JPAAC1XOr AC2將始終返回零(O)值，且因MKs將始終等于Ec2 (Kmu, O)，不管特定值A(chǔ)CjP AC 2是什么。此常數(shù)K s值帶來主要安全性弱點。根據(jù)CPRM，一旦惡意存儲裝置獲得經(jīng)加密內(nèi)容(例如，圖1的步驟124)，惡意裝置便可起始與其它重放裝置的通信且執(zhí)行同一 AC1= AC2方案來推導常數(shù)會話密鑰Ks且解密經(jīng)加密內(nèi)容用于在重放裝置上的未經(jīng)授權(quán)的重放。
[0015]因此，需要安全性協(xié)議，例如經(jīng)改善的AKE協(xié)議，其特征在于針對未經(jīng)授權(quán)的內(nèi)容記錄、分布和重放的增加的安全性。此外，需要改善由CPRM標準使用的現(xiàn)有AKE協(xié)議以至少防止上文相對于圖1所述的安全性弱點。

【發(fā)明內(nèi)容】

[0016]一個特征提供一種在內(nèi)容存取裝置上操作以用于確保內(nèi)容安全的方法，所述方法包括:對所述內(nèi)容存取裝置提供密碼算法；產(chǎn)生也為內(nèi)容存儲裝置已知的對稱密鑰；將第一驗證詢問發(fā)送到所述內(nèi)容存儲裝置，所述第一驗證詢問是基于所述密碼算法和所述對稱密鑰；響應于發(fā)送所述第一驗證詢問而從所述內(nèi)容存儲裝置接收第二驗證詢問；確定所述第一驗證詢問是否不同于所述第二驗證詢問；以及僅在所述第二驗證詢問不同于所述第一驗證詢問的情況下響應于所述第二驗證詢問而將第一響應發(fā)送到所述內(nèi)容存儲裝置。根據(jù)一個方面，所述方法進一步包括在發(fā)送所述第一響應后即刻從所述內(nèi)容存儲裝置接收第二響應，以及使用所述第一驗證詢問和所述對稱密鑰檢驗所述第二響應。根據(jù)另一方面，在所述第二響應的成功驗證后所述方法進一步包括:將經(jīng)加密內(nèi)容提供到所述存儲裝置用于存儲，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。
[0017]根據(jù)一個方面，在所述第二響應的成功驗證后所述方法進一步包括:從所述存儲裝置檢索經(jīng)加密內(nèi)容，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。根據(jù)另一方面，所述對稱密鑰是根據(jù)從所述存儲裝置接收的媒體識別符和媒體密鑰導出，所述媒體密鑰是部分地通過從所述存儲裝置接收的多個媒體密鑰塊(MKB)中的至少一者導出。根據(jù)另一個方面，所述第二驗證詢問也是基于所述密碼算法和所述對稱密鑰。
[0018]另一特征提供一種內(nèi)容存取裝置，其包括:通信接口，其經(jīng)配置以與內(nèi)容存儲裝置通信；存儲器電路，其以通信方式耦合到所述通信接口，所述存儲器電路經(jīng)配置以存儲密碼算法；以及處理電路，其以通信方式耦合到所述通信接口和所述存儲器電路。所述處理電路經(jīng)配置以:產(chǎn)生也為所述內(nèi)容存儲裝置已知的對稱密鑰，將第一驗證詢問發(fā)送到所述內(nèi)容存儲裝置，所述第一驗證詢問是基于所述密碼算法和所述對稱密鑰，響應于發(fā)送所述第一驗證詢問而從所述內(nèi)容存儲裝置接收第二驗證詢問，確定所述第一驗證詢問是否不同于所述第二驗證詢問，以及僅在所述第二驗證詢問不同于所述第一驗證詢問的情況下響應于所述第二驗證詢問而將第一響應發(fā)送到所述內(nèi)容存儲裝置。根據(jù)一個方面，所述處理電路進一步經(jīng)配置以:在發(fā)送所述第一響應后即刻從所述內(nèi)容存儲裝置接收第二響應；以及使用所述第一驗證詢問和所述對稱密鑰檢驗所述第二響應。根據(jù)另一方面，在所述第二響應的成功驗證后所述處理電路即刻進一步經(jīng)配置以:將經(jīng)加密內(nèi)容提供到所述存儲裝置用于存儲，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。
[0019]根據(jù)一個方面，在所述第二響應的成功驗證后所述處理電路即刻進一步經(jīng)配置以:從所述存儲裝置檢索經(jīng)加密內(nèi)容，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。根據(jù)另一方面，所述對稱密鑰是根據(jù)從所述存儲裝置接收的媒體識別符和媒體密鑰導出，所述媒體密鑰是部分地通過從所述存儲裝置接收的多個媒體密鑰塊(MKB)中的至少一者導出。根據(jù)另一個方面，所述第二驗證詢問也是基于所述密碼算法和所述對稱密鑰。
[0020]另一特征提供一種內(nèi)容存取裝置，其包括:用于對所述內(nèi)容存取裝置提供密碼算法的裝置；用于產(chǎn)生也為內(nèi)容存儲裝置已知的對稱密鑰的裝置；用于將第一驗證詢問發(fā)送到所述內(nèi)容存儲裝置的裝置，所述第一驗證詢問是基于所述密碼算法和所述對稱密鑰；用于響應于發(fā)送所述第一驗證詢問而從所述內(nèi)容存儲裝置接收第二驗證詢問的裝置；用于確定所述第一驗證詢問是否不同于所述第二驗證詢問的裝置；以及用于僅在所述第二驗證詢問不同于所述第一驗證詢問的情況下響應于所述第二驗證詢問而將第一響應發(fā)送到所述內(nèi)容存儲裝置的裝置。根據(jù)一個方面，所述內(nèi)容存取裝置進一步包括:用于在發(fā)送所述第一響應后即刻從所述內(nèi)容存儲裝置接收第二響應的裝置；以及用于使用所述第一驗證詢問和所述對稱密鑰檢驗所述第二響應的裝置。根據(jù)另一方面，在所述第二響應的成功驗證后所述內(nèi)容存取裝置進一步包括:用于將經(jīng)加密內(nèi)容提供到所述存儲裝置用于存儲的裝置，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。根據(jù)另一個方面，其中在所述第二響應的成功驗證后所述內(nèi)容存取裝置進一步包括:用于從所述存儲裝置檢索經(jīng)加密內(nèi)容的裝置，所述經(jīng)加密內(nèi)容以根據(jù)從所述第一和第二驗證詢問產(chǎn)生的會話密鑰而加密的標題密鑰確保安全。
[0021]另一特征提供一種計算機可讀存儲媒體，其具有存儲于其上的用于通過內(nèi)