CN114257877A - 宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 - Google Patents
宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 Download PDFInfo
- Publication number
- CN114257877A CN114257877A CN202111462155.3A CN202111462155A CN114257877A CN 114257877 A CN114257877 A CN 114257877A CN 202111462155 A CN202111462155 A CN 202111462155A CN 114257877 A CN114257877 A CN 114257877A
- Authority
- CN
- China
- Prior art keywords
- secret key
- memory block
- key
- environment
- hdcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 238000012795 verification Methods 0.000 claims description 50
- 239000003677 Sheet moulding compound Substances 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/835—Generation of protective data, e.g. certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种宽带数字视频保护HDCP的秘钥部署方法,执行于设备出厂阶段,所述方法包括:在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;接收与所述宽带数字保护HDCP对应的第一秘钥;调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。本发明提供宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,能够在安全环境下将秘钥部署在重放保护内存块,从而,在低成本下实现对宽带数字视频保护HDCP秘钥的高安全等级的保护。
Description
技术领域
本发明涉及视频保护技术领域,尤其涉及一种宽带数字视频保护HDCP的秘钥部署及使用方法以及装置。
背景技术
宽带数字视频保护HDCP是用于保护未经压缩的数字音视频内容的方案,适用于高速的数字视频接口,例如Displayport接口、HDMl接口或者DVI接口等,通过对宽带数字视频的内容加扰实现保护。在使用宽带数字视频保护HDCP技术对高清音视频内容的投屏应用加以保护时,为了防止有版权保护的这些视频在投屏过程中被盗取拷贝,需要对保护宽带数字视频保护HDCP的密钥进行保护,以确保其秘钥的安全性。
发明内容
本发明提供宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,能够在安全环境下将秘钥部署在重放保护内存块,从而,在低成本下实现对宽带数字视频保护HDCP秘钥的高安全等级的保护。
第一方面,本发明提供一种宽带数字视频保护HDCP的秘钥部署方法,执行于设备出厂阶段,所述方法包括:
在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;
接收与所述宽带数字保护HDCP对应的第一秘钥;
调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。
可选地,在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境包括:
在秘钥部署起始阶段,判断当前的系统环境;
当前的系统环境为可信执行环境时,保持当前的可信执行环境;
当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。
可选地,调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中包括:
向所述重放保护内存块RPMB发送写入请求;
接收所述重放保护内存块RPMB返回的第二秘钥验证请求;
向所述重放保护内存块RPMB发送第二秘钥;
接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。
第二方面,本发明提供一种宽带数字视频保护HDCP的秘钥使用方法,执行于HDCP的加解密阶段,所述方法包括:
将系统环境设置为可信执行环境;
调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;
采用所述第一秘钥对所述宽带数字视频进行加密或解密。
可选地,调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥包括:
向所述重放保护内存块RPMB发送读取请求;
接收所述重放保护内存块RPMB返回的第三秘钥验证请求;
向所述重放保护内存块RPMB发送第三秘钥;
接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。
第三方面,本发明提供一种宽带数字视频保护HDCP的秘钥部署装置,所述装置位于终端,所述装置包括:
环境切换模块,用于在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;
秘钥接收模块,用于接收与所述宽带数字保护HDCP对应的第一秘钥;
秘钥存储模块,用于调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。
可选地,环境切换模块包括:
环境判断子模块,用于在秘钥部署起始阶段,判断当前的系统环境;
环境保持子模块,用于在当前的系统环境为可信执行环境时,保持当前的可信执行环境;
环境切换子模块,用于在当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。
可选地,秘钥存储模块包括:
请求发送子模块,用于向所述重放保护内存块RPMB发送写入请求;
验证接收子模块,用于接收所述重放保护内存块RPMB返回的第二秘钥验证请求;
验证发送子模块,用于向所述重放保护内存块RPMB发送第二秘钥;
秘钥写入子模块,用于接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。
第四方面,本发明提供一种宽带数字视频保护HDCP的秘钥使用装置,所述装置位于终端,所述装置包括:
环境设置模块,用于将系统环境设置为可信执行环境;
秘钥读取模块,用于调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;
加密解密模块,用于采用所述第一秘钥对所述宽带数字视频进行加密或解密。
可选地,秘钥读取模块包括:
读取请求子模块,用于向所述重放保护内存块RPMB发送读取请求;
接收验证子模块,用于接收所述重放保护内存块RPMB返回的第三秘钥验证请求;
发送验证子模块,用于向所述重放保护内存块RPMB发送第三秘钥;
秘钥读取子模块,用于接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。
第五方面,本发明提供一种终端,其特征在于,所述终端包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
第六方面,本发明提供一种芯片,所述芯片位于终端,所述芯片包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
第七方面,本发明提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行中实现任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
第八方面,本发明提供一种芯片模组,其特征在于,所述芯片模组包括前述的芯片。
本发明实施例提供的宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,在出厂阶段,生成与HDCP设备一一对应的第一秘钥,并在部署第一秘钥或者使用第一秘钥的过程中,将系统环境转换为可信的执行环境,以避免在部署或使用过程中出现秘钥的泄露。在部署过程中,调用安全接口将第一秘钥存储在重放保护内存块RPMB中,由于重放保护内存块RPMB可以设置与嵌入式多媒体存储卡中,其硬件成本极低,同时,对于重放保护内存块RPMB中的读写过程都需要通过身份验证才能够实现,因此,能够在低成本下实现对第一秘钥的高安全等级的保护。
附图说明
图1为本发明一实施例宽带数字视频保护HDCP的秘钥部署方法的流程图;
图2为本发明一实施例宽带数字视频保护HDCP的秘钥部署方法切换系统环境的流程图;
图3为本发明一实施例宽带数字视频保护HDCP的秘钥部署方法写入第一秘钥的流程图;
图4为本发明一实施例宽带数字视频保护HDCP的秘钥使用方法的流程图;
图5为本发明一实施例宽带数字视频保护HDCP的秘钥使用方法读取第一秘钥的流程图;
图6为本发明一实施例宽带数字视频保护HDCP的秘钥部署装置的示意图;
图7为本发明一实施例宽带数字视频保护HDCP的秘钥部署装置环境切换模块的示意图;
图8为本发明一实施例宽带数字视频保护HDCP的秘钥部署装置秘钥存储模块的示意图;
图9为本发明一实施例宽带数字视频保护HDCP的秘钥使用装置的示意图;
图10为本发明一实施例宽带数字视频保护HDCP的秘钥使用装置秘钥读取模块的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
所述宽带数字视频保护HDCP的秘钥部署方法以及宽带数字视频保护HDCP的秘钥使用方法可以通过以下装置来执行:芯片或者芯片模组;所述宽带数字视频保护HDCP的秘钥部署装置以及宽带数字视频保护HDCP的秘钥使用装置,例如可以是:芯片或者芯片模组。
关于上述实施例中描述的各个装置、产品包含的各个模块/单元,其可以是软件模块/单元,也可以是硬件模块/单元,或者也可以部分是软件模块/单元,部分是硬件模块/单元。例如,对于应用于或集成于芯片的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于芯片内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现;对于应用于或集成于芯片模组的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,不同的模块/单元可以位于芯片模组的同一组件(例如芯片、电路模块等)或者不同组件中,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于芯片模组内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现;对于应用于或集成于终端的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,不同的模块/单元可以位于终端内同一组件(例如,芯片、电路模块等)或者不同组件中,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于终端内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现。
本发明实施例提供了一种宽带数字视频保护HDCP的秘钥部署方法,执行于设备出厂阶段,如图1所示,所述方法包括:
步骤110,在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;在一些实施例中,可信执行环境TEE可以为基于ARM trustzone信任区域技术来保证可信执行环境安全的技术,其核心为硬件隔离方案。ARM trustzone信任区域是ARM处理器上支持的一种基于硬件方案,其主要特点如下:其一,增加CPU安全模式区分安全世界和非安全世界;芯片总线增加安全标识位区分访问模式;非安全操作环境REE通过特殊指令SMC切到可信任执行环境TEE;可信任执行环境的权限比非安全操作环境的权限高,例如,配置在可信任执行环境的资源非安全操作环境无法访问,比如,I2C、SPI等控制器配置为可信任执行环境下的资源,则对应的控制器在非安全操作环境下无法访问。类似的,内存以及各种控制器等都可以以此为基础进行隔离。
步骤120,接收与所述宽带数字保护HDCP对应的第一秘钥;在一些实施例中,在一些实施例中,第一秘钥可以为设备产线上配置的第一秘钥,在接收第一秘钥时,通过设备产线上的安全通道将第一秘钥发送至已切换为可信任置信执行环境的设备中。
步骤130,调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。在一些实施例中,重放保护内存块RPMB,是嵌入式多媒体卡eMMC中的一个具有安全特性的分区。嵌入式多媒体卡eMMC在写入数据到RPMB时,会校验数据的合法性,只有指定的主机才能够写入,同时在读数据时,也提供了签名机制,保证主机读取到的数据是RPMB内部数据,而不是攻击者伪造的数据。调用安全接口以便于验证当前主体的读取权限,只有具有写入权限的主体,才能够向重放保护内存块RPMB中写入第一秘钥,以保证第一秘钥的正确性。
本发明实施例提供的宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,在出厂阶段,生成与HDCP设备一一对应的第一秘钥,并在部署第一秘钥或者使用第一秘钥的过程中,将系统环境转换为可信的执行环境,以避免在部署或使用过程中出现秘钥的泄露。在部署过程中,调用安全接口将第一秘钥存储在重放保护内存块RPMB中,由于重放保护内存块RPMB可以设置与嵌入式多媒体存储卡中,其硬件成本极低,同时,对于重放保护内存块RPMB中的读写过程都需要通过身份验证才能够实现,因此,能够在低成本下实现对第一秘钥的高安全等级的保护。
作为一种可选的实施方式,如图2所示,步骤110中,在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境包括:
步骤111,在秘钥部署起始阶段,判断当前的系统环境;在一些实施例中,由于在秘钥部署阶段需要确保设备在可信执行环境下,以确保秘钥部署阶段的第一秘钥的安全,因此,需要首先判断当前的系统环境。
步骤112,当前的系统环境为可信执行环境时,保持当前的可信执行环境;在一些实施例中,当当前的系统环境为可信执行环境时,能够确保第一秘钥部署过程的安全性,因此,保持当前的可信执行环境即可。
步骤113,当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。在一些实施例中,当当前的系统环境为可信执行环境时,能够确保第一秘钥部署过程的安全性,因此,保持当前的可信执行环境即可。
在本实施方式中,在部署起始阶段,首先判断其系统环境,确保第一秘钥的部署过程是在可信环境中进行,从而保证了第一秘钥的部署过程的安全性。
作为一种可选的实施方式,如图3所示,步骤130中,调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中包括:
步骤131,向所述重放保护内存块RPMB发送写入请求;在一些实施例中,由于重放保护内存块RPMB是第一秘钥的存储目标地址,因此,在本实施方式中,向重放保护内存款RPMB发送写入请求,以便触发第一秘钥的存储过程。
步骤132,接收所述重放保护内存块RPMB返回的第二秘钥验证请求;在一些实施例中,由于重放保护内存块RPMB中写入时需要验证写入的权限,具有写入权限才能够进行写入,因此,在本实施方式中,重放保护内存块RPMB在接收到写入请求后会发送权限验证请求,即第二秘钥验证请求。
步骤133,向所述重放保护内存块RPMB发送第二秘钥;在一些实施例中,第二秘钥是用来验证写入权限的,在接收到第二秘钥验证请求时,向重放保护内存块RPMB发送第二秘钥。重放保护内存块RPMB会对第二秘钥进行比对,比对通过后,会发送第二秘钥验证通过的通知,比对未通过时,会拒绝第一秘钥的写入。
步骤134,接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。在一些实施例中,在接收到第二秘钥验证通过的通知时,表明当前的设备具有写入权限,此时,即可将第一秘钥写入重放保护内存块RPMB进行保护和存储。
在本实施方式中,提供了将第一秘钥写入到重放保护内存块中的过程,在写入过程中,需要进行权限的验证,确保第一秘钥的写入主体为具有权限的主体,保证了第一秘钥的正确性。
本发明实施例还提供一种宽带数字视频保护HDCP的秘钥使用方法,如图4所示,执行于HDCP的加解密阶段,所述方法包括:
步骤210,将系统环境设置为可信执行环境;在一些实施例中,在需要对宽带数字视频进行解密时,为保证加密和解密过程中第一秘钥的安全,将系统环境设置为可信执行环境。
步骤220,调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;在一些实施例中,调用安全接口以便于验证当前主体的读取权限,只有具有读取权限的主体,才能够从重放保护内存块RPMB中读取第一秘钥,以保证第一秘钥不会被泄露。
步骤230,采用所述第一秘钥对所述宽带数字视频进行加密或解密。在一些实施例中,读取第一秘钥之后,采用加密算法对第一秘钥和宽带数字视频进行运算,实现对宽带数字视频的加密和解密。
本发明实施例提供的宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,在出厂阶段,生成与HDCP设备一一对应的第一秘钥,并在部署第一秘钥或者使用第一秘钥的过程中,将系统环境转换为可信的执行环境,以避免在部署或使用过程中出现秘钥的泄露。在部署过程中,调用安全接口将第一秘钥存储在重放保护内存块RPMB中,由于重放保护内存块RPMB可以设置与嵌入式多媒体存储卡中,其硬件成本极低,同时,对于重放保护内存块RPMB中的读写过程都需要通过身份验证才能够实现,因此,能够在低成本下实现对第一秘钥的高安全等级的保护。
作为一种可选的实施方式,如图5所示,步骤220中,调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥包括:
步骤221,向所述重放保护内存块RPMB发送读取请求;在一些实施例中,由于重放保护内存块RPMB是第一秘钥的存储目标地址,因此,在本实施方式中,向重放保护内存款RPMB发送读取请求,以便触发第一秘钥的读取过程。
步骤222,接收所述重放保护内存块RPMB返回的第三秘钥验证请求;在一些实施例中,由于重放保护内存块RPMB中读取时需要验证读取的权限,具有读取权限才能够进行读取,因此,在本实施方式中,重放保护内存块RPMB在接收到读取请求后会发送权限验证请求,即第三秘钥验证请求。
步骤223,向所述重放保护内存块RPMB发送第三秘钥;在一些实施例中,第三秘钥是用来验证读取权限的,在接收到第三秘钥验证请求时,向重放保护内存块RPMB发送第三秘钥。重放保护内存块RPMB会对第三秘钥进行比对,比对通过后,会发送第三秘钥验证通过的通知,比对未通过时,会拒绝第一秘钥的读取。
步骤224,接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。在一些实施例中,在接收到第三秘钥验证通过的通知时,表明当前的设备具有读取权限,此时,即可从重放保护内存块RPMB进行读取第一秘钥。在一些实施例中,在重放保护内存块发送第一秘钥时,还会对发送的第一秘钥进行签名,以便读取主体对接收到的第一秘钥进行验证。
在本实施方式中,提供了将第一秘钥从重放保护内存块中读取的过程,在读取过程中,需要进行权限的验证,确保第一秘钥的读取主体为具有权限的主体,保证了第一秘钥不会泄露。
本发明实施例还提供一种宽带数字视频保护HDCP的秘钥部署装置,所述装置位于终端,如图6所示,所述装置包括:
环境切换模块,用于在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;在一些实施例中,可信执行环境TEE可以为基于ARM trustzone信任区域技术来保证可信执行环境安全的技术,其核心为硬件隔离方案。ARM trustzone信任区域是ARM处理器上支持的一种基于硬件方案,其主要特点如下:其一,增加CPU安全模式区分安全世界和非安全世界;芯片总线增加安全标识位区分访问模式;非安全操作环境REE通过特殊指令SMC切到可信任执行环境TEE;可信任执行环境的权限比非安全操作环境的权限高,例如,配置在可信任执行环境的资源非安全操作环境无法访问,比如,I2C、SPI等控制器配置为可信任执行环境下的资源,则对应的控制器在非安全操作环境下无法访问。类似的,内存以及各种控制器等都可以以此为基础进行隔离。
秘钥接收模块,用于接收与所述宽带数字保护HDCP对应的第一秘钥;在一些实施例中,在一些实施例中,第一秘钥可以为设备产线上配置的第一秘钥,在接收第一秘钥时,通过设备产线上的安全通道将第一秘钥发送至已切换为可信任置信执行环境的设备中。
秘钥存储模块,用于调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。在一些实施例中,重放保护内存块RPMB,是嵌入式多媒体卡eMMC中的一个具有安全特性的分区。嵌入式多媒体卡eMMC在写入数据到RPMB时,会校验数据的合法性,只有指定的主机才能够写入,同时在读数据时,也提供了签名机制,保证主机读取到的数据是RPMB内部数据,而不是攻击者伪造的数据。
本发明实施例提供的宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,在出厂阶段,生成与HDCP设备一一对应的第一秘钥,并在部署第一秘钥或者使用第一秘钥的过程中,将系统环境转换为可信的执行环境,以避免在部署或使用过程中出现秘钥的泄露。在部署过程中,调用安全接口将第一秘钥存储在重放保护内存块RPMB中,由于重放保护内存块RPMB可以设置与嵌入式多媒体存储卡中,其硬件成本极低,同时,对于重放保护内存块RPMB中的读写过程都需要通过身份验证才能够实现,因此,能够在低成本下实现对第一秘钥的高安全等级的保护。
作为一种可选的实施方式,如图7所示,环境切换模块包括:
环境判断子模块,用于在秘钥部署起始阶段,判断当前的系统环境;在一些实施例中,由于在秘钥部署阶段需要确保设备在可信执行环境下,以确保秘钥部署阶段的第一秘钥的安全,因此,需要首先判断当前的系统环境。
环境保持子模块,用于在当前的系统环境为可信执行环境时,保持当前的可信执行环境;在一些实施例中,当当前的系统环境为可信执行环境时,能够确保第一秘钥部署过程的安全性,因此,保持当前的可信执行环境即可。
环境切换子模块,用于在当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。在一些实施例中,当当前的系统环境为可信执行环境时,能够确保第一秘钥部署过程的安全性,因此,保持当前的可信执行环境即可。
在本实施方式中,在部署起始阶段,首先判断其系统环境,确保第一秘钥的部署过程是在可信环境中进行,从而保证了第一秘钥的部署过程的安全性。
作为一种可选的实施方式,如图8所示,秘钥存储模块包括:
请求发送子模块,用于向所述重放保护内存块RPMB发送写入请求;在一些实施例中,由于重放保护内存块RPMB是第一秘钥的存储目标地址,因此,在本实施方式中,向重放保护内存款RPMB发送写入请求,以便触发第一秘钥的存储过程。
验证接收子模块,用于接收所述重放保护内存块RPMB返回的第二秘钥验证请求;在一些实施例中,由于重放保护内存块RPMB中写入时需要验证写入的权限,具有写入权限才能够进行写入,因此,在本实施方式中,重放保护内存块RPMB在接收到写入请求后会发送权限验证请求,即第二秘钥验证请求。
验证发送子模块,用于向所述重放保护内存块RPMB发送第二秘钥;在一些实施例中,第二秘钥是用来验证写入权限的,在接收到第二秘钥验证请求时,向重放保护内存块RPMB发送第二秘钥。重放保护内存块RPMB会对第二秘钥进行比对,比对通过后,会发送第二秘钥验证通过的通知,比对未通过时,会拒绝第一秘钥的写入。
秘钥写入子模块,用于接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。在一些实施例中,在接收到第二秘钥验证通过的通知时,表明当前的设备具有写入权限,此时,即可将第一秘钥写入重放保护内存块RPMB进行保护和存储。
在本实施方式中,提供了将第一秘钥写入到重放保护内存块中的过程,在写入过程中,需要进行权限的验证,确保第一秘钥的写入主体为具有权限的主体,保证了第一秘钥的正确性。
本发明实施例还提供一种宽带数字视频保护HDCP的秘钥使用装置,所述装置位于终端,如图9所示,所述装置包括:
环境设置模块,用于将系统环境设置为可信执行环境;在一些实施例中,在需要对宽带数字视频进行解密时,为保证加密和解密过程中第一秘钥的安全,将系统环境设置为可信执行环境。
秘钥读取模块,用于调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;在一些实施例中,调用安全接口以便于验证当前主体的读取权限,只有具有读取权限的主体,才能够从重放保护内存块RPMB中读取第一秘钥,以保证第一秘钥不会被泄露。
加密解密模块,用于采用所述第一秘钥对所述宽带数字视频进行加密或解密。在一些实施例中,读取第一秘钥之后,采用加密算法对第一秘钥和宽带数字视频进行运算,实现对宽带数字视频的加密和解密。
本发明实施例提供的宽带数字视频保护HDCP的秘钥部署及使用方法以及装置,在出厂阶段,生成与HDCP设备一一对应的第一秘钥,并在部署第一秘钥或者使用第一秘钥的过程中,将系统环境转换为可信的执行环境,以避免在部署或使用过程中出现秘钥的泄露。在部署过程中,调用安全接口将第一秘钥存储在重放保护内存块RPMB中,由于重放保护内存块RPMB可以设置与嵌入式多媒体存储卡中,其硬件成本极低,同时,对于重放保护内存块RPMB中的读写过程都需要通过身份验证才能够实现,因此,能够在低成本下实现对第一秘钥的高安全等级的保护。
作为一种可选的实施方式,如图10所示,秘钥读取模块包括:
读取请求子模块,用于向所述重放保护内存块RPMB发送读取请求;在一些实施例中,由于重放保护内存块RPMB是第一秘钥的存储目标地址,因此,在本实施方式中,向重放保护内存款RPMB发送读取请求,以便触发第一秘钥的读取过程。
接收验证子模块,用于接收所述重放保护内存块RPMB返回的第三秘钥验证请求;在一些实施例中,由于重放保护内存块RPMB中读取时需要验证读取的权限,具有读取权限才能够进行读取,因此,在本实施方式中,重放保护内存块RPMB在接收到读取请求后会发送权限验证请求,即第三秘钥验证请求。
发送验证子模块,用于向所述重放保护内存块RPMB发送第三秘钥;在一些实施例中,第三秘钥是用来验证读取权限的,在接收到第三秘钥验证请求时,向重放保护内存块RPMB发送第三秘钥。重放保护内存块RPMB会对第三秘钥进行比对,比对通过后,会发送第三秘钥验证通过的通知,比对未通过时,会拒绝第一秘钥的读取。
秘钥读取子模块,用于接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。在一些实施例中,在接收到第三秘钥验证通过的通知时,表明当前的设备具有读取权限,此时,即可从重放保护内存块RPMB进行读取第一秘钥。在一些实施例中,在重放保护内存块发送第一秘钥时,还会对发送的第一秘钥进行签名,以便读取主体对接收到的第一秘钥进行验证。
在本实施方式中,提供了将第一秘钥从重放保护内存块中读取的过程,在读取过程中,需要进行权限的验证,确保第一秘钥的读取主体为具有权限的主体,保证了第一秘钥不会泄露。
本发明实施例还提供一种终端,其特征在于,所述终端包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
本发明实施例还提供一种芯片,所述芯片位于终端,所述芯片包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
本发明实施例还提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行中实现任一项所述的宽带数字视频保护HDCP的秘钥部署方法,或者,执行中实现任一项所述宽带数字视频保护HDCP的秘钥使用方法。
本发明实施例还一种芯片模组,其特征在于,所述芯片模组包括前述的芯片。
本领域普通技术人员可以理解实现上述方法实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (14)
1.一种宽带数字视频保护HDCP的秘钥部署方法,执行于设备出厂阶段,其特征在于,所述方法包括:
在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;
接收与所述宽带数字保护HDCP对应的第一秘钥;
调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。
2.根据权利要求1所述的方法,其特征在于,在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境包括:
在第一秘钥部署起始阶段,判断当前的系统环境;
当前的系统环境为可信执行环境时,保持当前的可信执行环境;
当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。
3.根据权利要求1所述的方法,其特征在于,调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中包括:
向所述重放保护内存块RPMB发送写入请求;
接收所述重放保护内存块RPMB返回的第二秘钥验证请求;
向所述重放保护内存块RPMB发送第二秘钥;
接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。
4.一种宽带数字视频保护HDCP的秘钥使用方法,执行于HDCP的加解密阶段,其特征在于,所述方法包括:
将系统环境设置为可信执行环境;
调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;
采用所述第一秘钥对所述宽带数字视频进行加密或解密。
5.根据权利要求4所述的方法,其特征在于,调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥包括:
向所述重放保护内存块RPMB发送读取请求;
接收所述重放保护内存块RPMB返回的第三秘钥验证请求;
向所述重放保护内存块RPMB发送第三秘钥;
接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。
6.一种宽带数字视频保护HDCP的秘钥部署装置,所述装置位于终端,其特征在于,所述装置包括:
环境切换模块,用于在第一秘钥部署的起始阶段,将系统环境设置为可信执行环境;
秘钥接收模块,用于接收与所述宽带数字保护HDCP对应的第一秘钥;
秘钥存储模块,用于调用安全存储接口,将所述第一秘钥存储在重放保护内存块RPMB中。
7.根据权利要求6所述的装置,其特征在于,环境切换模块包括:
环境判断子模块,用于在秘钥部署起始阶段,判断当前的系统环境;
环境保持子模块,用于在当前的系统环境为可信执行环境时,保持当前的可信执行环境;
环境切换子模块,用于在当前的系统环境为非可信执行环境时,采用SMC指令将当前的系统环境切换为可信执行环境。
8.根据权利要求6所述的方法,其特征在于,秘钥存储模块包括:
请求发送子模块,用于向所述重放保护内存块RPMB发送写入请求;
验证接收子模块,用于接收所述重放保护内存块RPMB返回的第二秘钥验证请求;
验证发送子模块,用于向所述重放保护内存块RPMB发送第二秘钥;
秘钥写入子模块,用于接收所述第二秘钥验证通过的通知,并将所述第一秘钥写入重放保护内存块RPMB中。
9.一种宽带数字视频保护HDCP的秘钥使用装置,所述装置位于终端,其特征在于,所述装置包括:
环境设置模块,用于将系统环境设置为可信执行环境;
秘钥读取模块,用于调用安全存储接口,从重放保护内存块RPMB中读取第一秘钥;
加密解密模块,用于采用所述第一秘钥对所述宽带数字视频进行加密或解密。
10.根据权利要求9所述的方法,其特征在于,秘钥读取模块包括:
读取请求子模块,用于向所述重放保护内存块RPMB发送读取请求;
接收验证子模块,用于接收所述重放保护内存块RPMB返回的第三秘钥验证请求;
发送验证子模块,用于向所述重放保护内存块RPMB发送第三秘钥;
秘钥读取子模块,用于接收所述第三秘钥验证通过的通知,并从所述重放保护内存块RPMB中读取第一秘钥。
11.一种终端,其特征在于,所述终端包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至3中任一项所述的方法,或者,执行权利要求4-5中任一项所述的方法。
12.一种芯片,所述芯片位于终端,其特征在于,所述芯片包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至3中任一项所述的方法,或者,执行权利要求4-5中任一项所述的方法。
13.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1至3中任一项所述的方法,或者,执行权利要求4-5中任一项所述的方法。
14.一种芯片模组,其特征在于,所述芯片模组包括权利要求12所述的芯片。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111462155.3A CN114257877A (zh) | 2021-12-02 | 2021-12-02 | 宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111462155.3A CN114257877A (zh) | 2021-12-02 | 2021-12-02 | 宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114257877A true CN114257877A (zh) | 2022-03-29 |
Family
ID=80791556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111462155.3A Pending CN114257877A (zh) | 2021-12-02 | 2021-12-02 | 宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114257877A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105447406A (zh) * | 2015-11-10 | 2016-03-30 | 华为技术有限公司 | 一种用于访问存储空间的方法与装置 |
CN108933660A (zh) * | 2017-05-26 | 2018-12-04 | 展讯通信(上海)有限公司 | 基于hdcp的数字内容保护系统 |
CN109286495A (zh) * | 2017-07-21 | 2019-01-29 | 展讯通信(上海)有限公司 | Dcp公钥的保护方法、装置及hdcp设备 |
CN110633055A (zh) * | 2019-09-18 | 2019-12-31 | 东软集团股份有限公司 | 一种访问rpmb分区的方法、装置及相关设备 |
CN111444553A (zh) * | 2020-04-01 | 2020-07-24 | 中国人民解放军国防科技大学 | 支持tee扩展的安全存储实现方法及系统 |
CN111444528A (zh) * | 2020-03-31 | 2020-07-24 | 海信视像科技股份有限公司 | 数据安全保护方法、装置及存储介质 |
CN111723383A (zh) * | 2019-03-22 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 数据存储、验证方法及装置 |
-
2021
- 2021-12-02 CN CN202111462155.3A patent/CN114257877A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105447406A (zh) * | 2015-11-10 | 2016-03-30 | 华为技术有限公司 | 一种用于访问存储空间的方法与装置 |
CN108933660A (zh) * | 2017-05-26 | 2018-12-04 | 展讯通信(上海)有限公司 | 基于hdcp的数字内容保护系统 |
CN109286495A (zh) * | 2017-07-21 | 2019-01-29 | 展讯通信(上海)有限公司 | Dcp公钥的保护方法、装置及hdcp设备 |
CN111723383A (zh) * | 2019-03-22 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 数据存储、验证方法及装置 |
CN110633055A (zh) * | 2019-09-18 | 2019-12-31 | 东软集团股份有限公司 | 一种访问rpmb分区的方法、装置及相关设备 |
CN111444528A (zh) * | 2020-03-31 | 2020-07-24 | 海信视像科技股份有限公司 | 数据安全保护方法、装置及存储介质 |
CN111444553A (zh) * | 2020-04-01 | 2020-07-24 | 中国人民解放军国防科技大学 | 支持tee扩展的安全存储实现方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11651113B2 (en) | Program execution device | |
US6948065B2 (en) | Platform and method for securely transmitting an authorization secret | |
US8984272B2 (en) | Information processing apparatus, secure module, information processing method, and computer product | |
US8281115B2 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
US8417963B2 (en) | Secure read-write storage device | |
US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
US7979628B2 (en) | Re-flash protection for flash memory | |
CN111143784A (zh) | 一种版权保护的实现方法和版权保护存储装置 | |
US9497022B2 (en) | Method and system for improved fault tolerance in distributed customization controls using non-volatile memory | |
CN114257877A (zh) | 宽带数字视频保护hdcp的秘钥部署及使用方法以及装置 | |
CN104484586B (zh) | 软件版权保护方法 | |
KR100310445B1 (ko) | Pc 기반의 암호칩을 사용한 유.에스.비 보안모듈 제어방법 | |
CN102902634A (zh) | 具有加密保护功能的存储装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |