CN106165353A - 使用点对点认证协议对加密流进行高效路由 - Google Patents
使用点对点认证协议对加密流进行高效路由 Download PDFInfo
- Publication number
- CN106165353A CN106165353A CN201580017629.XA CN201580017629A CN106165353A CN 106165353 A CN106165353 A CN 106165353A CN 201580017629 A CN201580017629 A CN 201580017629A CN 106165353 A CN106165353 A CN 106165353A
- Authority
- CN
- China
- Prior art keywords
- equipment
- port
- encryption
- stream
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
实施例涉及经由路由器将加密数据从信源路由至信宿,而无需在所述路由器中解密所述数据。所述信源与所述路由器进行认证,结果是产生会话密钥和伪随机数。所述路由器使用相同的会话密钥和伪随机数与所述信宿进行认证。所述路由器将从所述信源接收的加密数据传递至所述信宿,而无需解密以及重加密。
Description
背景技术
1.技术领域
本公开总体上涉及数据通信,并且更具体地涉及通过路由器在媒体信源与媒体信宿之间路由加密流。
2.相关技术说明
高带宽数字内容保护(HDCP)是一种被设计为用于跨各接口保护数字内容的规范。典型的HDCP配置包括HDCP数据信源设备(即DVD播放器、HD DVD播放器、蓝光播放器、计算机视频卡等)、HDCP中继器(即接收机)以及一个或多个HDCP数据信宿设备(即电视、监控器等)。经由HDCP中继器将加密的数据流从HDCP信源设备传输到HDCP信宿设备。在传输数据流之前,信源设备与中继器设备进行认证,并且中继器设备与下游信宿设备进行认证。
作为一个示例应用,HDCP被用来加密数据流。HDCP版本2.2(HDCP2.2)中继器可以将HDCP2.2加密流从数据信源路由至数据信宿,但是其是通过对到来的加密流进行解密并且然后重加密所述流以便进行下游传送做到这样的。由于高级加密标准(AES)引擎的数量,HDCP2.2解密和加密是实施起来比较昂贵的功能。
发明内容
实施例涉及经由路由器将加密数据从信源设备路由至信宿设备,而无需在所述路由器中解密所述数据。所述信源设备通过执行点对点认证在路由器的第一端口处与所述路由器进行认证。认证成功之后,所述路由器从所述信源设备接收会话密钥和伪随机数。然后,所述路由器在第二端口处与第一信宿设备进行认证。在所述路由器成功与所述第一信宿设备进行认证之后,所述路由器将其从所述信源设备接收的相同的会话密钥和伪随机数发送至所述第一信宿设备。所述路由器在所述第一端口处接收来自所述信源设备的第一加密流。然后,所述路由器将所述加密流从所述第一端口路由至所述第二端口,无需解密以及重加密所述数据。然后,所述路由器将所述加密流从所述第二端口发送至所述第一信宿设备。
在一个实施例中,所述路由器从所述信源接收第二加密流,所述第二加密流是使用与所述第一加密流相同的会话密钥和相同的伪随机数进行加密的。所述路由器将所述第二数据流从所述第一端口路由至第三端口并且然后将所述第二加密数据从所述第三端口发送至第二信宿设备。
在一个实施例中,所述路由器将包括所述第一加密流和所述第二加密流的多路复用流解复用成两个分开的加密流。
在一个实施例中,所述认证协议包括所述路由器从所述信源设备接收认证邀请。然后,所述路由器将对所述邀请的确认发送至所述信源设备,所述确认包括下游信宿能力。然后,所述路由器接收确认并且使用所述确认中的信息来计算验证值(H’)。所述路由器将所述验证值(H’)连同配对信息一起发送至所述信源设备。
在一个实施例中,所述认证协议包括高带宽数字内容保护(HDCP)。
在一个实施例中,所述信源与所述路由器经由有线通信网络相连。
在一个实施例中,所述有线通信网络使用高清多媒体接口(HDMI)或移动高清连接(MHL)协议。
附图说明
通过结合附图思考以下详细说明可以容易地理解本文中描述的实施例的教导。
图1是框图,示出了根据一个示例的系统,所述系统包括用于将加密流从信源路由至信宿的中继器。
图2是根据一个实施例的系统的框图,所述系统包括路由器,所述路由器用于路由加密流,而无需在所述路由器中进行解密和重加密。
图3是示意图,示出了根据一个实施例的在认证协议中使用的密码结构。
图4是根据一个实施例的方法的流程图,所述方法用于通过路由器将加密数据经由路由器从信源路由至信宿,而无需在所述路由器中进行解密以及重加密。
图5是根据一个实施例的计算设备的框图,所述计算设备用于进行与图2的所述路由器相关联的设计操作。
具体实施方式
附图和以下说明仅通过展示的方式涉及各实施例。从以下讨论应当注意到,在本文中所公开的结构和方法的替代性实施例将被轻易地认为是在不背本文中所讨论的原则的情况下可以采用的可行的替代方案。现将详细参考若干实施例,附图中图示了所述实施例的示例。
实施例涉及经由路由器将加密数据从信源路由至信宿,而无需在所述路由器中解密所述数据。所述信源与所述路由器进行认证,认证成功之后,所述路由器从所述信源接收会话密钥和伪随机数。所述路由器与所述信宿进行认证,认证成功之后,所述路由器将相同的会话密钥和伪随机数发送至所述信宿。所述路由器将从所述信源接收的加密数据传递至所述信宿,而无需解密以及重加密。
本文中所描述的点对点认证是指对在两个节点之间的连接进行的认证。节点的示例包括:DVD播放器、HD DVD播放器、机顶盒、游戏主机、电视、播放器、投影仪、交换器等。用于执行点对点认证方案的协议包括高带宽数字内容保护(HDCP)等。
本文中描述的解复用是指将单个流拆分成多个流的过程。
以下实施例主要是在移动高清连接(MHL)的环境中使用高清带宽数字内容保护(HDCP)2.2作为示例进行描述的。然而,其他认证方案和媒介传输方案也可以使用本文所描述的公开的原理。
图1是框图,示出了根据一个示例的系统,所述系统包括信源110;信宿180A、180B;以及路由加密流的中继器150。信源110的示例包括DVD播放器、HD DVD播放器、蓝光播放器和计算机视频卡。信宿180的示例包括电视、监控器和播放器。在图1中,信源110例如根据HDCP 2.2标准使用中继器150在第一端口185启动点对点认证过程。在使用信源110成功认证中继器150之后,中继器150在第一端口185从信源110接收会话密匙ks1和伪随机数riv1。为方便起见,本文中将会话密匙ks1和伪随机数riv1合起来称为“第一加密数据”。
在中继器150接收会话密匙ks1和伪随机数riv1之后,信源110在第一端口185将加密内容流121和122发送至中继器150。中继器150中的HDCP接收机(RX)引擎152包括译码引擎153。译码引擎153使用所述第一加密数据(ks1和riv1)来解密所述加密内容并且恢复未加密流131和132。
与信源110与中继器150进行的认证分开地,中继器分别在第二端口186和第三端口187进行对信宿180A和180B的认证。具体地,中继器150的下游端口157A经由第二端口186使用信宿180A进行认证过程,并且下游端口157B经由第三端口187使用信宿180B进行另一认证过程。这两个认证过程使用不同的加密数据。如在上游握手中一样,HDCP发射机(TX)引擎158A和相应的信宿180A共享第二加密数据(即会话密钥ks2和伪随机数riv2),并且HDCPTX引擎158B和相应的信宿180B共享第三加密数据(即会话密钥ks3和伪随机数riv3)。HDCPTX引擎158A包括密码引擎157A,所述密码引擎使用第二加密数据ks2和riv2来对流171进行加密。相似地,HDCP TX引擎158B包括用于对流172进行加密的密码引擎157B。信宿180A使用第二加密数据(即ks2和riv2)来对加密流171进行解密。相似地,信宿180B使用第三加密数据(即ks3和riv3)来对加密流172进行解密。
本文中所描述的认证过程包括一系列过程。信源110与中继器150进行认证。在信源110与中继器150之间进行成功认证之后,中继器110将第一会话密匙ks1和第一伪随机数riv1发送至中继器150。与在信源110与中继器150之间的认证分开地,中继器150与信宿180A进行认证。在中继器150与信宿180A之间进行成功认证之后,中继器150将第二会话密匙ks2和第二伪随机数riv2发送至信宿180A。虽然在信源110与中继器150之间的认证以及在中继器150与信宿180A之间的认证是分开进行的,但是所述认证使用不同的会话密匙ks1和ks2以及不同的伪随机数rivl和riv2。
在一个实施例中,在中继器150的所述认证过程开始于中继器150接收来自信源110的认证发起消息,所述认证发起消息包含第一伪随机值(rtx)以及信源110能力(TxCaps)参数。信源110能力参数包括信源110可以具有的任何限制。中继器150将确认发送证书(AKE_Send_Cert)消息发送至信源110,所述确认发送证书(AKE_Send_Cert)消息包含接收机证书(certrx)、第二伪随机数(rrx)以及信宿180A能力(RxCaps)参数。信宿180A能力参数包括信宿180A可以具有的任何限制。中继器150从信源110接收表示没有存储主密钥的存储确认(AKE_No_Stored_km),所述存储确认包含使用接收机公钥(Ekpub(km))加密的主密钥。中继器150至少基于所述第一伪随机值(rtx)、信宿180A能力参数(RxCaps)、信源110能力参数(TxCaps)以及衍生密钥(kd)计算验证值(H’)。中继器150将验证值(H’)确认消息(AKE_Send_H_prime)发送至信源110。中继器150将配对信息发送至信源110,所述配对信息是借助于使用内部密钥(kh)(E_kh(km))加密所述主密钥(km)生成的。
图1的示例的一个缺点是在中继器150进行附加的解密(由译码引擎153进行)和加密(由密码引擎157A、157B进行)。如果一些对内容的操控(例如色彩空间转换以及辅助信息插入)是在中继器150进行的,那么此类解密和加密是有益的。然而,如果仅仅路由所述加密流,不在中继器150进行进一步的操控,那么在中继器150进行的所述附加解密和加密就成为冗余的任务。为了进行解密和加密,中继器150包括多个高级加密标准(AES)引擎,所述引擎在中继器150中占据大量空间以及其他资信源。
图2是根据一个实施例的系统的框图,所述系统包括路由器250,所述路由器用于路由加密流,无需在路由器250中进行解密和重加密。除了在信源110、路由器250以及信宿180A、180B之间使用相同的加密数据之外,图2的系统与图1的系统基本上相同。也就是说,在信源110与路由器250之间使用的所述加密数据(即会话密匙ks1和伪随机数riv1)同样在路由器250与信宿180A、180B之间使用。路由器250可以被具体化为如HDCP标准定义的中继器。
根据HDCP 2.2标准,所述加密数据由HDCP发射机(TX)引擎确定的。也就是说,信源110在第一端口185(更具体地在HDCP接收机(RX)引擎252)使用路由器250发起点对点认证。图2中在信源110与路由器250之间的认证过程与以上参照图1详细描述的在信源110与中继器150之间的认证过程相同。
在信源110与HDCP RX引擎252之间进行认证之后,RX引擎252从信源110接收会话密匙ks1和伪随机数riv1。RX引擎252将所述会话密匙ks1和伪随机数riv1转发至TX引擎258A和258B。在接收所述会话密匙ks1和伪随机数riv1之后,TX引擎258A经由第二端口186与信宿180A进行认证,并且TX引擎258B经由第三端口187与信宿180B进行认证。图2中在路由器250与信宿180A、180B之间的认证过程与以上参照图1描述的在中继器150与信宿180A、180B之间的认证过程相同。
在进行信宿180A、180B认证之后,TX引擎258A和258B将相同的加密数据(即会话密钥ks1、伪随机数riv/1)而非不同加密数据(即会话密钥ks2、伪随机数riv2以及会话密钥ks3、伪随机数riv3)发送至信宿180A和180B。信宿180A、180B与信源110一样使用相同的加密数据。这样,来自信源110的加密流121、122如流231、231那样在路由器250中保持被加密,而无需在路由器250中被解密以及重加密。路由器250可以将这些流231、232(像流271、272一样)发送至信宿180A、180B以供解密。
如果存在多个流,将针对每个流使用不同的流密码(即不同的加密数据)。如以下参照图3详细描述的,在针对多流情况的一种方式中,流计数指示器、流计数器(StreamCounter)(在图1和图2中表示为CNT)针对每个流也被嵌入或以其他方式被传输,因为流计数器是由RX引擎252用来进行所述解密的另一信息。例如,在图2中,假设原始流121和122分别具有StreamCounter=0和StreamCounter=1。流计数器通过路由器250传播,这样使得每个流到达对应的信宿180,每个流具有相同的流计数器值。也就是说,流271仍具有StreamCounter=0,并且流272仍具有StreamCounter=1。在这个方案中,为了满足HDCP2.2标准,可以使用与针对图1的HDCP中继器150相同的方式进行所述接收机标识(RX ID)列表传播。
图3是根据一个实施例的密码结构200的示意图,所述密码结构用于加密或解密在信源110与路由器250之间以及在路由器250与信宿180A、180B之间传输的数据流。使用计数器流Ctr 304中的值在异或模块306对伪随机数riv 302进行异或运算(XORed)。使用计数器输入Ctr 308中的值在串联模块310串接异或模块306的输出。
计数器输入Ctr 308的值是通过串接所述帧数和数据数(在图中未示出)确定的。所述帧数表示自所述加密过程开始之后的加密帧的数量,以及所述数据数表示已经生成所述密钥流的位块的次数。所述会话密钥ks与所述秘密整体常数lc128进行异或运算。在串联模块310的处理以及ks和lc128的XOR 312被输入到在计数模块314(AES-CTR)中进行操作的AES模块中。AES-CTR 314输出密钥流,所述密钥流在异或320与输入内容318进行异或运算以产生输出内容322。
图2的信源110包括密码结构300以生成加密流121、122。为此目的,信源110中的输入内容318是所述流的未加密版本,而输出内容322是加密信号121、122。图2的信宿180A、180B包括相同的目的是解密加密流271、272的密码结构300。为此目的,信宿180A中的输入内容318是加密流271,而信宿180B中的输入内容318是加密流272。信宿180A、180B中来自密码结构300的输出内容322分别是流271、272的解密版本。
图4是流程图,示出了根据一个实施例的方法,所述方法用于借助于路由器250将加密数据从第一设备(例如信源110)路由至第二设备(例如信宿180A),无需在路由器250中进行解密以及重加密。路由器250与第一设备110进行认证402。
路由器250在路由器250的第一端口185从第一设备110接收404会话密匙ks1和伪随机数riv1。路由器250与第二设备180A进行认证406。路由器250将相同的会话密匙ks1和相同的伪随机数riv1从路由器250的第二端口186发送408至第二设备180A。路由器250从第一设备110接收410加密数据流121并且将加密数据流231从第一端口185路由412至第二端口186。路由器250将加密数据流271从第二端口186发送414至第二设备180A。
以上参照图4所描述的步骤序列仅仅是说明性的。例如,虽然以上参照图4所描述的接收410加密数据流是在与第二设备进行认证406之后发生的,但是可以在与所述第二设备进行认证406之前接收410加密数据流。
此外,除了以上参照图4所描述的步骤之外,还可以进行其他操作。例如,在与以上参照图4所描述的方法大体上相同的方法之后,路由器250还可以在第三端口187与第三设备(例如信宿180B)进行认证。在这种情况下,路由器250接收第二加密数据流122、将第二加密数据流122从第一端口185路由至第三端口187以及将所述加密流从第三端口187发送至第三设备180B。此外,路由器250可以接收包括第一加密流121和第二加密流122的多路复用流。路由器250将所述多路复用流解复用成用于路由至第二端口186的第一加密流231以及用于路由至第三端口187的第二加密流232。
图5是根据一个实施例的计算设备500的框图,所述计算设备用于设计与HDCP接收机(RX)引擎252以及HDCP发送机(RX)引擎258A、258B相关联的操作。计算机设备500可以包括除其他元器件之外的处理器512、输入模块516、输出模块520、存储器526和用于连接这些元器件的总线527。处理器512执行存储在存储器526中的指令。输入模块516可以包括用于接收用户输入的各设备,包括键盘以及定点设备(例如鼠标和触摸屏)。输出模块520包括显示设备或与所述显示设备进行通信的接口设备。
存储器526是非瞬态计算机可读存储介质,存储库530、电子设计自动化(EDA)、应用534以及集成电路(IC)设计536。库530可以包括在各种电路组件上的数据,包括本文中描述的HDCP接收机(RX)引擎252以及HDCP发送机(RX)引擎258A、258B的实例。EDA应用534可以包括各种用于设计集成电路的软件程序,包括布局布线工具、合成工具以及检验工具。EDA应用534处理的设计可以存储在集成电路设计536中。集成电路设计536可以是整个运算电路或较大集成电路的一部分。
本文中描述的原理还可以被用于除MHL和/或HDCP之外的协议中。例如,相似实施例也可以被用于HDMI 2.0的HDCP中。从而,尽管已经展示并描述了本公开的特定实施例以及应用,但是要理解,所述实施例并不限于在此所公开的所述精确构造以及部件以及各种修改。
Claims (20)
1.一种用于对加密数据进行路由的方法,所述方法包括:
通过与第一设备进行通信借助于用于进行点对点认证的认证协议使路由器与所述第一设备进行认证;
在所述路由器的第一端口处接收来自所述第一设备的用于所述会话的会话密钥和伪随机数;
通过路由器的第二端口与第二设备进行通信借助于所述认证协议使路由器与所述第二设备进行认证;
将用于所述会话的相同的会话密钥和伪随机数从所述第二端口发送至所述第二设备;
在所述第一端口处接收来自所述第一设备的第一加密流,所述第一加密流是使用所述会话密钥和所述伪随机数加密的;
将所述第一加密流从所述第一端口路由至所述第二端口,而无需加密或解密所述第一加密流;以及
将所述第一加密流从所述第二端口发送至所述第二设备。
2.如权利要求1所述的方法,进一步包括:
在所述第一端口处接收来自所述第一设备的第二加密流,所述第二加密流是通过使用所述会话密钥和所述伪随机数加密的;
将所述第二加密流从所述第一端口路由至所述路由器的第三端口;以及
将所述第二加密流从所述第三端口发送至第三设备。
3.如权利要求2所述的方法,进一步包括将包括所述第一加密流和所述第二加密流的多路复用流解复用成用于路由至所述第二端口的所述第一加密流以及用于路由至所述第三端口的所述第二加密流。
4.如权利要求1所述的方法,其中,所述认证协议包括高带宽数字保护(HDCP)2.2。
5.如权利要求4所述的方法,其中,与所述第一设备进行所述认证包括:
从所述第一设备接收认证发起消息,所述认证发起消息包含第一伪随机值和发射机能力参数;
将确认发送证书消息发送至所述第一设备,所述确认发送证书消息包含接收机证书、第二伪随机数和接收机能力参数;
从所述第一设备接收表示没有存储主密钥的存储确认,所述存储确认包含使用接收机公钥加密的主密钥;
至少基于所述第一伪随机值、所述接收机能力参数、所述发射机能力参数和衍生密钥来计算验证值;
将验证值确认消息发送至所述第一设备;以及
将配对信息发送至所述第一设备,所述配对信息是通过使用内部密钥加密所述主密钥生成的。
6.如权利要求1所述的方法,其中,所述第一加密流、所述会话密钥和所述伪随机数通过有线通信网络传输。
7.如权利要求6所述的方法,其中,所述通信会话是使用高清多媒体接口(HDMI)或移动高清连接(MHL)协议进行的。
8.一种用于对加密数据进行路由的路由器,所述路由器包括:
连接到第一端口的接收机引擎,所述接收机引擎被配置成用于:
通过用于进行点对点认证的认证协议经由所述第一端口与第一设备进行认证,
从所述第一设备接收用于所述会话的会话密钥和伪随机数,以及
在所述第一端口处接收来自所述第一设备的第一加密流,所述第一加密流是使用所述会话密钥和所述伪随机数经由所述第一端口加密的;
连接到第二端口的第一发射机引擎,所述发射机引擎被配置成用于:
使用所述认证协议经由所述第二端口与第二设备进行认证,
经由所述第二端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第二设备,以及
经由所述第二端口将所述第一加密流发送至所述第二设备;以及
在所述接收机引擎与所述发射机引擎之间的路径,所述路径用于将所述第一加密流从所述接收机路由至所述发射机。
9.如权利要求8所述的路由器,进一步包括第二发射机引擎,所述第二发射机引擎被配置成用于:
使用所述认证协议经由所述路由器的第三端口与第三设备进行认证,
经由所述第三端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第二设备,以及
将经由所述第一端口从所述第一设备接收的第二加密流经由所述第三端口发送至第三设备。
10.如权利要求9所述的路由器,其中,所述接收机被进一步配置成用于将包括所述第一加密流和所述第二加密流的多路复用流解复用成用于路由至所述第一发射机引擎的所述第一加密流以及用于路由至所述第二发射机引擎的所述第二加密流。
11.如权利要求8所述的路由器,其中,所述认证协议包括高带宽数字保护(HDCP)。
12.如权利要求11所述的路由器,其中,所述接收机引擎被进一步配置成用于:
从所述第一设备接收认证发起消息,所述认证发起消息包含第一伪随机值和发射机能力参数,
将确认发送证书消息发送至所述第一设备,所述确认发送证书消息包含接收机证书、第二伪随机数和接收机能力参数,
从所述第一设备接收表示没有存储主密钥的存储确认,所述存储确认包含使用接收机公钥加密的主密钥,
至少基于所述第一伪随机值、所述接收机能力参数、所述发射机能力参数和衍生密钥来计算验证值,
将验证值确认消息发送至所述第一设备,以及
将配对信息发送至所述第一设备,所述配对信息是通过使用内部密钥加密所述主密钥生成的。
13.如权利要求8所述的路由器,其中,所述第一加密流、所述会话密钥和所述伪随机数通过有线通信网络传输。
14.如权利要求8所述的路由器,其中,所述通信会话是使用高清多媒体接口(HDMI)或移动高清连接(MHL)协议进行的。
15.一种非瞬态计算机可读存储介质,所述非瞬态计算机可读存储介质存储有路由器的数字表示,所述路由器包括:
连接到第一端口的接收机引擎,所述接收机引擎被配置成用于:
通过用于执行点对点认证的认证协议经由所述第一端口与第一设备进行认证,
从所述第一设备接收用于所述会话的会话密钥和伪随机数,以及
在所述第一端口处接收来自所述第一设备的第一加密流,所述第一加密流是使用所述会话密钥和所述伪随机数经由所述第一端口加密的;
连接到第二端口的第一发射机引擎,所述发射机引擎被配置成用于:
使用所述认证协议与所述第二设备进行认证,
经由所述第二端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第二设备,以及
经由所述第二端口将所述第一加密流发送至所述第二设备;以及在所述接收机引擎与所述第一发射机引擎之间的路径,所述路径用于将所述第一加密流从所述接收机路由至所述发射机。
16.如权利要求15所述的非瞬态计算机可读存储介质,进一步包括第二发射机引擎,所述第二发射机引擎被配置成用于:
使用所述认证协议经由所述路由器的第三端口与第三设备进行认证,以及
经由所述第三端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第三设备,以及
经由所述第三端口将经由所述第一端口从所述第一设备接收的第二加密流发送至第三设备。
17.如权利要求16所述的非瞬态计算机可读存储介质,其中,所述接收机被进一步配置成用于将包括所述第一加密流和所述第二加密流的多路复用流解复用成用于路由至所述第一发射机引擎的所述第一加密流以及用于路由至所述第二发射机引擎的所述第二加密流。
18.如权利要求15所述的非瞬态计算机可读存储介质,其中,所述认证协议包括高带宽数字保护(HDCP)。
19.如权利要求18所述的非瞬态计算机可读存储介质,其中,所述接收机引擎被进一步配置成用于:
从所述第一设备接收认证发起消息,所述认证发起消息包含第一伪随机值和发射机能力参数;
将确认发送证书消息发送至所述第一设备,所述确认发送证书消息包含接收机证书、第二伪随机数和接收机能力参数;
从所述第一设备接收表示没有存储主密钥的存储确认,所述存储确认包含使用接收机公钥加密的主密钥;
至少基于所述第一伪随机值、所述接收机能力参数、所述发射机能力参数和衍生密钥来计算验证值;
将验证值确认消息发送至所述第一设备;以及
将配对信息发送至所述第一设备,所述配对信息是通过使用内部密钥加密所述主密钥生成的。
20.如权利要求15所述的非瞬态计算机可读存储介质,其中,所述第一加密流、所述会话密钥和所述伪随机数通过有线通信网络传输。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461979477P | 2014-04-14 | 2014-04-14 | |
| US61/979,477 | 2014-04-14 | ||
| US14/610,855 US9509669B2 (en) | 2014-04-14 | 2015-01-30 | Efficient routing of streams encrypted using point-to-point authentication protocol |
| US14/610,855 | 2015-01-30 | ||
| PCT/US2015/022309 WO2015160483A1 (en) | 2014-04-14 | 2015-03-24 | Efficient routing of streams encrypted using point-to-point authentication protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106165353A true CN106165353A (zh) | 2016-11-23 |
| CN106165353B CN106165353B (zh) | 2020-07-07 |
Family
ID=54266049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580017629.XA Active CN106165353B (zh) | 2014-04-14 | 2015-03-24 | 使用点对点认证协议对加密流进行高效路由 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9509669B2 (zh) |
| KR (1) | KR20160140942A (zh) |
| CN (1) | CN106165353B (zh) |
| DE (1) | DE112015001805T5 (zh) |
| TW (1) | TWI641259B (zh) |
| WO (1) | WO2015160483A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112106380A (zh) * | 2018-05-11 | 2020-12-18 | 三星电子株式会社 | 电子设备及其控制方法 |
| CN112218171A (zh) * | 2020-09-15 | 2021-01-12 | 深圳数字电视国家工程实验室股份有限公司 | 基于接口的数据传输方法、电子设备及存储介质 |
| CN112398644A (zh) * | 2020-10-12 | 2021-02-23 | 深圳数字电视国家工程实验室股份有限公司 | 内容密钥共享方法、系统及存储介质 |
| CN113742744A (zh) * | 2021-08-24 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 密钥合成方法、装置、系统及计算机可读存储介质 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10264208B2 (en) * | 2015-12-11 | 2019-04-16 | Qualcomm Incorporated | Layered display content for wireless display |
| US10616184B2 (en) * | 2016-06-30 | 2020-04-07 | Intel Corporation | Wireless display streaming of protected content |
| US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
| US10931476B2 (en) * | 2018-10-29 | 2021-02-23 | Analog Devices Global Unlimited Company | Content protection over synchronous data networks |
| US11184376B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
| US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
| US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
| US11606688B2 (en) | 2019-02-20 | 2023-03-14 | Coretigo Ltd. | Secure key exchange mechanism in a wireless communication system |
| US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242275A (zh) * | 2008-03-07 | 2008-08-13 | 四川虹微技术有限公司 | 基于流密码加密的安全传输方法 |
| US20080270635A1 (en) * | 2007-04-25 | 2008-10-30 | Sony Corporation | Data receiver, data transmitter, and information processing method, and computer program |
| US20090079877A1 (en) * | 2007-09-21 | 2009-03-26 | Sony Corporation | Reception apparatus and method of controlling image output by reception apparatus |
| CN101715634A (zh) * | 2007-03-22 | 2010-05-26 | 高通股份有限公司 | 用于实现无线数字系统中的内容保护的系统和方法 |
| CN102164261A (zh) * | 2010-02-22 | 2011-08-24 | 索尼公司 | 内容再现系统和方法、内容接收设备、声音再现设备 |
| US20120159159A1 (en) * | 2010-12-19 | 2012-06-21 | Motorola, Inc. | System and method for secure communications in a communication system |
| CN102572616A (zh) * | 2012-03-21 | 2012-07-11 | 天津七一二通信广播有限公司 | 数字与模拟混合接收功能的数字对讲机 |
| WO2013068843A8 (en) * | 2011-11-09 | 2013-07-18 | Intel Corporation | Multi-key cryptography for encrypting file system acceleration |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429403B2 (en) | 2008-08-12 | 2013-04-23 | Juniper Networks, Inc. | Systems and methods for provisioning network devices |
| US9232391B2 (en) | 2012-05-07 | 2016-01-05 | Industrial Technology Research Institute | Authentication system for device-to-device communication and authentication method therefor |
| TWI462604B (zh) | 2012-06-18 | 2014-11-21 | Wistron Corp | 無線網路用戶端認證系統及其無線網路連線方法 |
-
2015
- 2015-01-30 US US14/610,855 patent/US9509669B2/en active Active
- 2015-03-13 TW TW104108203A patent/TWI641259B/zh active
- 2015-03-24 KR KR1020167031081A patent/KR20160140942A/ko unknown
- 2015-03-24 CN CN201580017629.XA patent/CN106165353B/zh active Active
- 2015-03-24 WO PCT/US2015/022309 patent/WO2015160483A1/en active Application Filing
- 2015-03-24 DE DE112015001805.0T patent/DE112015001805T5/de active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101715634A (zh) * | 2007-03-22 | 2010-05-26 | 高通股份有限公司 | 用于实现无线数字系统中的内容保护的系统和方法 |
| US20080270635A1 (en) * | 2007-04-25 | 2008-10-30 | Sony Corporation | Data receiver, data transmitter, and information processing method, and computer program |
| US20090079877A1 (en) * | 2007-09-21 | 2009-03-26 | Sony Corporation | Reception apparatus and method of controlling image output by reception apparatus |
| CN101242275A (zh) * | 2008-03-07 | 2008-08-13 | 四川虹微技术有限公司 | 基于流密码加密的安全传输方法 |
| CN102164261A (zh) * | 2010-02-22 | 2011-08-24 | 索尼公司 | 内容再现系统和方法、内容接收设备、声音再现设备 |
| US20120159159A1 (en) * | 2010-12-19 | 2012-06-21 | Motorola, Inc. | System and method for secure communications in a communication system |
| WO2013068843A8 (en) * | 2011-11-09 | 2013-07-18 | Intel Corporation | Multi-key cryptography for encrypting file system acceleration |
| CN102572616A (zh) * | 2012-03-21 | 2012-07-11 | 天津七一二通信广播有限公司 | 数字与模拟混合接收功能的数字对讲机 |
Non-Patent Citations (1)
| Title |
|---|
| HDCP 2.2 ON HDMI SPSCIFICATION: "High-Bandwidth Digital Content Protection System", 《DIGITAL CONTENT PROTECTION LLC》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112106380A (zh) * | 2018-05-11 | 2020-12-18 | 三星电子株式会社 | 电子设备及其控制方法 |
| CN112218171A (zh) * | 2020-09-15 | 2021-01-12 | 深圳数字电视国家工程实验室股份有限公司 | 基于接口的数据传输方法、电子设备及存储介质 |
| CN112218171B (zh) * | 2020-09-15 | 2022-07-19 | 深圳数字电视国家工程实验室股份有限公司 | 基于接口的数据传输方法、电子设备及存储介质 |
| CN112398644A (zh) * | 2020-10-12 | 2021-02-23 | 深圳数字电视国家工程实验室股份有限公司 | 内容密钥共享方法、系统及存储介质 |
| CN112398644B (zh) * | 2020-10-12 | 2023-03-03 | 深圳数字电视国家工程实验室股份有限公司 | 内容密钥共享方法、系统及存储介质 |
| CN113742744A (zh) * | 2021-08-24 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 密钥合成方法、装置、系统及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI641259B (zh) | 2018-11-11 |
| TW201540039A (zh) | 2015-10-16 |
| DE112015001805T5 (de) | 2016-12-29 |
| WO2015160483A1 (en) | 2015-10-22 |
| CN106165353B (zh) | 2020-07-07 |
| US20150295903A1 (en) | 2015-10-15 |
| US9509669B2 (en) | 2016-11-29 |
| KR20160140942A (ko) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106165353A (zh) | 使用点对点认证协议对加密流进行高效路由 | |
| JP6478749B2 (ja) | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 | |
| US11095624B2 (en) | End-to-end encryption for personal communication nodes | |
| JP5300719B2 (ja) | 量子暗号リンクネットワーク用節点装置及び該節点装置用節点モジュール | |
| CN107005413A (zh) | 安全连接及相关服务的高效启动 | |
| CN102088441B (zh) | 消息中间件的数据加密传输方法和系统 | |
| MXPA06009235A (es) | Metodo y aparato para procesar criptograficamente datos. | |
| WO2012111714A1 (ja) | ファイルサーバ装置およびファイルサーバシステム | |
| KR20100003730A (ko) | 무선 디지털 시스템에서 콘텐츠 보호를 구현하기 위한 시스템 및 방법 | |
| CN105049877A (zh) | 一种用于直录播互动系统的加密方法及装置 | |
| CN107534558B (zh) | 用于保护经由数据总线传输的数据的信息安全的方法以及数据总线系统 | |
| WO2014074127A1 (en) | An improved implementation of robust and secure content protection in a system-on-a-chip apparatus | |
| CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
| WO2014025459A1 (en) | Low latency encryption and authentication in optical transport networks | |
| CN102598575A (zh) | 用于对密码保护的有效数据单元加速解密的方法和系统 | |
| CN102917250B (zh) | 用于数字媒体接口的音视频传输方法 | |
| WO2015153561A1 (en) | Dp hdcp version converter | |
| CN113841360A (zh) | 蝴蝶密钥扩展方案的实现 | |
| JP6950605B2 (ja) | 車両用通信システム | |
| JP4664692B2 (ja) | 暗号化方法、復号方法、暗号化装置、復号装置、暗号装置、およびプログラム | |
| WO2024077857A1 (zh) | 数据传输方法和装置、设备及存储介质 | |
| CN109861974A (zh) | 一种数据加密传输装置及方法 | |
| US20200112426A1 (en) | Methods and systems for secure communications using synchronized polarized light transmissions and stream encryption | |
| KR102029550B1 (ko) | 디스플레이포트용 hdcp 설계 | |
| JP2005278007A (ja) | 通信装置及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220613 Address after: Delaware Patentee after: Universal connect technologies Address before: Ore Patentee before: Lattice Semiconductor Corp. |