本發明公開了一種數字內容保護系統中單向安全認證方法及系統，其中，發起方的安全認證方法包括：根據算法要求標識進行算法參數配置，以生成第一完全認證消息，并向響應方發送所述第一完全認證消息；接收第二完全認證消息；對所述第二完全認證消息進行認證，并在認證通過后保存第二主密鑰，同時生成第三完全認證消息，以便于響應方對所述第三完全認證消息進行認證，從而完成單向安全認證。本發明為數字內容保護系統提供了功能更全面、適應性更強的實體間單向認證方案，且可以根據情況進行完全認證或快速認證，提高了效率；同時支持多種算法選擇，并且在認證協議中實現了連接層級的控制，使得算法應用場景更加廣泛和靈活。

技術領域

本發明屬于信息安全技術領域，具體涉及一種數字內容保護系統中單向安全認證方法及系統。

背景技術

多媒體內容的數字化以及消費數字電子終端的普及化使得用戶可以很方便的獲得數字化的多媒體內容的拷貝并進行傳播，這種情況使得高清的數字媒體內容在實體間傳輸時很容易發生被盜版的現象，對數字內容的版權擁有者的利益造成了很大的損害。為了防止數字內容在實體間傳輸時被非法拷貝、攔截和篡改，出現了HDCP(High-bandwidthDigital Content Protection System，高帶寬數字內容保護系統)、DTCP(DigitalTransmission Content Protection，數字傳輸內容保護)和DICP(電子行業標準SJT11407.1-2009數字接口內容保護系統技術規范)等可以應用在數字接口，如HDMI、DVI和IEEE 1394-1995等或者可以接收解碼播放數字內容的電子設備上的數字內容保護系統。在上述內容保護系統中，實體認證過程必不可少。一般認證過程包括認證與密鑰協商(AKE)、位置檢查以及會話密鑰交換幾部分。其中單向認證與密鑰協商部分用于在發送實體沒有證書的情況下對合法接收實體的進行身份確認并與之建立主密鑰，完成后說明接收實體是合法的接收實體并與之共享新鮮的主密鑰，主密鑰用于后續的會話密鑰和內容密鑰傳遞。

目前，現有技術中主要采用HDCP標準和DTCP標準進行安全認證，其中，HDCP標準主要是基于RSA公鑰密碼體制通過公鑰加密進行密鑰傳輸完成單向身份認證并建立共享密鑰，并通過協議發起方(發送端)存儲使用協議響應方(接收端)私鑰加密的主密鑰和對應的接收端ID在后續與該接收端認證時使用已經存在的主密鑰進行快速認證。DTCP標準中的完全認證方式主要是基于ECC公鑰密碼體制通過數字簽名完成雙向身份認證以及對臨時EC-DH協商參數的來源以及完整性驗證，通過EC-DH算法建立共享密鑰。

然而，HDCP標準中在認證后需要依靠HDCP Reapter逐層上報下方相連的全部設備的ID以及層級來進行連接設備的吊銷檢查和層級限制，該上報流程需要在沿途的每一個接口之間傳遞ID列表、層級信息并進行完整性驗證，當設備數量較多時，傳遞的列表將比較龐大，設備連接拓補頻繁變化時，該過程將會頻繁進行，帶來一定的通信和計算負擔，降低了效率。而DTCP標準中的完全認證方式不能依據過去建立過的主密鑰進行快速認證，每次認證都需要執行非對稱密鑰協商以及簽名、驗簽操作，會增長認證的耗時。

發明內容

為了解決現有技術中存在的上述問題，本發明提供了一種數字內容保護系統中單向安全認證方法及系統。本發明要解決的技術問題通過以下技術方案實現：

一種數字內容保護系統中發起方的安全認證方法，包括：

根據算法要求標識進行算法參數配置，以生成第一完全認證消息，并向響應方發送所述第一完全認證消息；

接收第二完全認證消息；其中，所述第二完全認證消息由響應方根據所述第一完全認證消息的認證結果生成；

對所述第二完全認證消息進行認證，并在認證通過后保存第二主密鑰，同時生成第三完全認證消息，以便于響應方對所述第三完全認證消息進行認證，從而完成單向安全認證；其中，所述第二主密鑰由所述第二完全認證消息確定的算法計算得到，且其與所述第二完全認證消息中的第二身份標識相對應。