CN116775062B - 一种用于生产key的加密烧录方法 - Google Patents
一种用于生产key的加密烧录方法 Download PDFInfo
- Publication number
- CN116775062B CN116775062B CN202311058416.4A CN202311058416A CN116775062B CN 116775062 B CN116775062 B CN 116775062B CN 202311058416 A CN202311058416 A CN 202311058416A CN 116775062 B CN116775062 B CN 116775062B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- drm
- production
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 claims abstract description 57
- 238000003860 storage Methods 0.000 claims abstract description 21
- 238000004422 calculation algorithm Methods 0.000 claims description 64
- 238000009795 derivation Methods 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 239000007795 chemical reaction product Substances 0.000 claims description 6
- 239000000047 product Substances 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 3
- 239000006227 byproduct Substances 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 16
- 238000005336 cracking Methods 0.000 abstract description 5
- 238000012545 processing Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 238000003491 array Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010304 firing Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于机顶盒数字内容保护技术领域,具体涉及一种用于生产key的加密烧录方法,通过对原始drm key进行初次加密后再存储至生产PC端的数据库,能够提高原始drm key在传输和存储过程中的安全性;通过在设备端安装设备端产测程序,并对初次加密文件进行解密、以及再次加密,既避免了生产PC端与设备端直接进行drm key的明文传递,也避免了一次加密过程可能存在的安全风险问题,提高了安全性和可靠性;同时删除设备端产测程序、以及初次加密drm key,防止破解和泄漏。
Description
技术领域
本发明属于机顶盒数字内容保护技术领域,具体涉及一种用于生产key的加密烧录方法。
背景技术
机顶盒的生产过程中,在工厂烧录机顶盒HDCP的KEY时,均是直接在电脑端将原始的key通过串口通讯传输到机顶盒上。当机顶盒接收到KEY后,也只对KEY的起始码的4个字节和整个KEY的总字节数作校验,校验通过就写入机顶盒的otp区域。
在实际生产过程中,这种方法需要经过很多人,且由于其未做任何保护,可能会在生产环节出现纰漏;同时当原始KEY被盗后,他人可直接使用、或密码难度较低导致被他人较易破解,存在较大的安全风险。
发明内容
本发明在于提供一种用于生产key的加密烧录方法,通过对原始drm key进行初次加密后再存储至生产PC端的数据库,能够提高原始drm key在传输和存储过程中的安全性;通过在设备端安装设备端产测程序,并对初次加密文件进行解密、以及再次加密,既避免了生产PC端与设备端直接进行drm key的明文传递,也避免了一次加密过程可能存在的安全风险问题,提高了安全性和可靠性;同时删除设备端产测程序、以及初次加密drm key,防止破解和泄漏。
一种用于生产key的加密烧录方法,包括如下步骤:
S1:生成生产加密密钥product key,采用加密算法对原始drm key初次加密、并将初次加密drm key保存至生产PC端的数据库中;
S2:生成设备根密钥root key,烧写在设备芯片OTP区域;
S3:设备端安装设备端产测程序,用于与生产PC端通信,以获取初次加密drm key;
S4:设备端产测程序对初次加密drm key进行解密,以获取明文drm key;
S5:基于烧写在设备芯片OTP区域的设备根密钥root key,设备端产测程序采用密钥派生算法生成唯一的派生密钥drived key,以对所获取的明文drm key再次加密,并将再次加密drm key烧写在设备芯片上;
S6:设备端删除设备端产测程序、生产PC端的数据库删除初次加密drm key。
通过对原始drm key进行初次加密后再存储至生产PC端的数据库,能够提高原始drm key在传输和存储过程中的安全性;通过在设备端安装设备端产测程序,并对初次加密文件进行解密、以及再次加密,既避免了生产PC端与设备端直接进行drm key的明文传递,也避免了一次加密过程可能存在的安全风险问题,提高了安全性和可靠性;同时删除设备端产测程序、以及初次加密drm key,防止破解和泄漏。
进一步的,所述S1中,生成生产加密密钥product key,采用加密算法对原始drmkey初次加密的过程具体包括:
加密算法采用AES-CBC算法、并选择密钥长度;
生产PC端生成生产加密密钥product key、且其长度与加密算法的密钥长度对应;
将生产加密密钥product key作为AES -CBC算法的密钥和初始向量IV,对原始drmkey进行初次加密,得到初次加密drm key。
进一步的,所述S2中,设备根密钥root key具有唯一性。
设备根密钥的唯一性能够使得数据锁定、不被修改,保证数据传输安全性。
进一步的,所述S4中,设备端产测程序对初次加密drm key进行解密,以获取明文drm key的过程具体包括如下步骤:
解密算法采用AES-CBC算法、且其与加密算法对应;
设备端产测程序与生产PC端具有相同的生产加密密钥product key;
将生产加密密钥product key作为AES-CBC算法的密钥和IV,调用内置的解密算法对初次加密drm key进行反向解密,得到明文drm key;
对反向解密后的明文drm key进行校验,校验通过即获取正确的明文drm key。
设备端产测程序与生产PC端集成相同的AES-CBC算法,并设置相同的密钥和初始向量IV,使得只需调用该解密算法即可对初次加密drm key进行解密,以获取明文drm key。
进一步的,所述S5中,设备端产测程序采用密钥派生算法生成设备唯一的密钥派生drived key的过程具体包括:
读取设备芯片的OTP区域的设备根密钥root key;
获取设备芯片唯一的识别码chipid;
使用密钥派生函数对设备根密钥root key和设备芯片的识别码chipid进行输入,派生出设备唯一的派生密钥drived key。
通过采用密钥派生算法派生设备唯一的派生密钥,确保了每个设备都具有唯一的密钥,并通过其对明文drm key进行再次加密,提高了安全性;同时设备端产测程序可以随时更改替换,能够保证其灵活性。
使用密钥派生函数对设备根密钥root key和设备芯片的识别码chipid进行输入,派生出设备唯一的派生密钥drived key的方法包括:
将设备根密钥root key作为密钥派生算法的密钥和初始向量IV,对设备芯片的识别码chipid进行加密计算,计算所得的值即为设备唯一的派生密钥drived key;
或将设备根密钥root key作为密钥派生算法的密钥、且将设备芯片的识别码chipid作为初始向量IV,对一串固定值进行加密计算,计算所得的值即为设备唯一的派生密钥drived key。
一种用于生产key的加密烧录方法的装置,包括:
生产PC端,其包括数据库,用于存储初次加密drm key;
设备端,其包括设备端产测程序、设备芯片;
所述设备端产测程序,其集成于所述设备端上、且与所述生产PC端连接通信,用于获取和解密生产PC端数据库中的初次加密drm key、以及派生再次加密drm key;
所述设备芯片,其用于烧录存储设备根密钥root key、以及再次加密drm key。
通过连接生产PC端和设备端,设备端获取生产PC端数据库中的初次加密drm key,并对其进行解密、再次加密,以获取再次加密drm key,进行烧录储存,保证了数据传输安全性;同时设备端设置设备端产测程序,其在drm key传输过程中进行集成以及删除,具有可替换的灵活性,也能够保证设备数据的唯一性和安全性。
一种用于生产key的加密烧录方法的系统,包括:
数据读取模块,其用于从设备端获取设备根密钥root key和设备芯片的识别码chipid、以及原始drm key;
第一加密模块,其与数据读取模块连接,利用加密算法将原始drm key初次加密,生成初次加密drm key;
第一解密模块,其与第一加密模块连接,用于解密初次加密drm key,以获取明文drm key;
第二加密模块,其分别与数据读取模块、第二加密模块连接,利用密钥派生算法生成派生密钥drived key,并对第一解密模块解密的明文drm key,生成再次加密drm key;
烧录模块,其用于烧录设备根密钥root key、以及再次加密drm key。
通过获取不同数据,并逐步进行初次加密、解密、再次加密,再利用烧录模块进行烧录,提高了系统安全性。
一种计算机设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如上所述的方法。
一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上所述的方法。
本发明的有益效果为:
本发明通过对原始drm key进行初次加密后再存储至生产PC端的数据库,能够提高原始drm key在传输和存储过程中的安全性;通过在设备端安装设备端产测程序,并对初次加密文件进行解密、以及再次加密,既避免了生产PC端与设备端直接进行drm key的明文传递,也避免了一次加密过程可能存在的安全风险问题,提高了安全性和可靠性;同时删除设备端产测程序、以及初次加密drm key,防止破解和泄漏;通过采用密钥派生算法派生设备唯一的派生密钥,确保了每个设备都具有唯一的密钥,并通过其对明文drm key进行再次加密,提高了安全性;同时设备端产测程序可以随时更改替换,能够保证其灵活性。
附图说明
图1为本发明的流程图;
图2为AES-CBC-128算法的示意图;
图3为本发明中装置的结构示意图;
图4为本发明中系统的结构示意图;
图5为本发明中计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例,对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
实施例1
图1所示的是一种用于生产key的加密烧录方法,通过对原始drm key进行初次加密后再存储至生产PC端的数据库,能够提高原始drm key在传输和存储过程中的安全性;通过在设备端安装设备端产测程序,并对初次加密文件进行解密、以及再次加密,既避免了生产PC端与设备端直接进行drm key的明文传递,也避免了一次加密过程可能存在的安全风险问题,提高了安全性和可靠性;同时删除设备端产测程序、以及初次加密drm key,防止破解和泄漏。具体包括如下步骤:
S1:生成生产加密密钥product key,采用加密算法对原始drm key初次加密、并将初次加密drm key保存至生产PC端的数据库中;
其中,生成生产加密密钥product key,采用加密算法对原始drm key初次加密的过程具体包括:
加密算法采用AES-CBC算法、并选择密钥长度;
生产PC端生成生产加密密钥product key、且其长度与加密算法的密钥长度对应;
将生产加密密钥product key作为AES -CBC算法的密钥和初始向量IV,对原始drmkey进行初次加密,得到初次加密drm key。
具体来说,将生产加密密钥product key作为AES -CBC算法的密钥和初始向量IV,对原始drm key进行初次加密的过程具体包括:
将原始drm key划分成与加密算法匹配的多组数据;
利用初始向量IV和生产加密密钥product key加密原始drm key的第一组数据;
将加密后的第一组数据的密文赋值给初始向量IV,并与生产加密密钥productkey加密原始drm key的第二组数据;
重复上述步骤,直至对原始drm key的所有数据初次加密完成。
S2:生成设备根密钥root key,烧写在设备芯片OTP区域;
其中,设备根密钥root key具有唯一性,即同一型号设备使用相同的、且唯一的设备根密钥,其唯一性能够使得数据锁定、不被修改,保证数据传输安全性。
S3:设备端安装设备端产测程序,用于与生产PC端通信,以获取初次加密drm key;
S4:设备端产测程序对初次加密drm key进行解密,以获取明文drm key;
其中,设备端产测程序对初次加密drm key进行解密,以获取明文drm key的过程具体包括如下步骤:
解密算法采用AES-CBC算法、且其与加密算法对应;
设备端产测程序与生产PC端具有相同的生产加密密钥product key;
将生产加密密钥product key作为AES-CBC算法的密钥和初始向量IV,调用内置的解密算法对初次加密drm key进行反向解密,得到明文drm key;
对反向解密后的明文drm key进行校验,校验通过即获取正确的明文drm key。
在本实施例中,对反向解密后的明文drm key进行校验的方法包括:md5校验、或sha256校验。
S5:基于烧写在设备芯片OTP区域的设备根密钥root key,设备端产测程序采用密钥派生算法生成唯一的派生密钥drived key,以对所获取的明文drm key再次加密,并将再次加密drm key烧写在设备芯片上;
其中,设备端产测程序采用密钥派生算法生成设备唯一的密钥派生drived key的过程具体包括:
读取设备芯片的OTP区域的设备根密钥root key;
获取设备芯片唯一的识别码chipid;
使用密钥派生函数对设备根密钥root key和设备芯片的识别码chipid进行输入,派生出设备唯一的派生密钥drived key。
其中,使用密钥派生函数对设备根密钥root key和设备芯片的识别码chipid进行输入,派生出设备唯一的派生密钥drived key的方法包括:
将设备根密钥root key作为密钥派生算法的密钥和IV,对设备芯片的识别码chipid进行加密计算,计算所得的值即为设备唯一的派生密钥drived key;
或将设备根密钥root key作为密钥派生算法的密钥、且将设备芯片的识别码chipid作为IV,对一串固定值进行加密计算,计算所得的值即为设备唯一的派生密钥drived key。
通过采用密钥派生算法派生设备唯一的派生密钥,确保了每个设备都具有唯一的密钥,并通过其对明文drm key进行再次加密,提高了安全性;同时设备端产测程序可以随时更改替换,能够保证其灵活性。
S6:设备端删除设备端产测程序、生产PC端的数据库删除初次加密drm key。
通过删除设备端产测程序,保证了唯一性,也使其无法被移植至其他设备,提高了密钥烧录的安全性。
在本实施例中,AES-CBC算法为对称算法,其包括AES-CBC-128算法、AES-CSC-256算法。
图2所示的是AES-CBC-128算法的示意图。其中,加密过程中,共需计算10轮;第1轮加密前单独进行轮密钥加处理,第1轮~第9轮中依次为字节代换、行移位变换、列混合变换和轮密钥加变换,第10轮不执行列混合变换;
解密过程中,共需计算10轮,每一轮的操作均为加密过程中加密操作的逆操作;第1轮前解密单独进行轮密钥加处理,第1轮~第9轮中依次为逆行移位变换、逆字节代换、逆轮密钥加变换、逆列混合变换,第10轮不执行逆列混合变换。
实施例2
如图3所示,本发明实施例还提供了一种用于生产key的加密烧录方法的装置,包括:
生产PC端,其包括数据库,用于存储初次加密drm key;
设备端,其包括设备端产测程序、设备芯片;
设备端产测程序,其集成于所述设备端上、且与所述生产PC端连接通信,用于获取和解密生产PC端数据库中的初次加密drm key、以及派生再次加密drm key;
设备芯片,其用于烧录存储设备根密钥root key、以及再次加密drm key。
通过连接生产PC端和设备端,设备端获取生产PC端数据库中的初次加密drm key,并对其进行解密、再次加密,以获取再次加密drm key,进行烧录储存,保证了数据传输安全性;同时设备端设置设备端产测程序,其在drm key传输过程中进行集成以及删除,具有可替换的灵活性,也能够保证设备数据的唯一性和安全性。
实施例3
如图4所示,本发明实施例还提供了一种用于生产key的加密烧录方法的系统,包括:
数据读取模块,其用于从设备端获取设备根密钥root key和设备芯片的识别码chipid、以及原始drm key;
第一加密模块,其与数据读取模块连接,利用加密算法将原始drm key初次加密,生成初次加密drm key;
第一解密模块,其与第一加密模块连接,用于解密初次加密drm key,以获取明文drm key;
第二加密模块,其分别与数据读取模块、第二加密模块连接,利用密钥派生算法生成派生密钥drived key,并对第一解密模块解密的明文drm key,生成再次加密drm key;
烧录模块,其用于烧录设备根密钥root key、以及再次加密drm key。
通过获取不同数据,并逐步进行初次加密、解密、再次加密,再利用烧录模块进行烧录,提高了系统安全性。
实施例4
基于同一技术构思,如图5所示,本实施例还提供了一种与前述实施例提供的方法对应的计算机设备,包括处理器2、存储器1和总线,存储器存储有处理器可执行的机器可读指令,当计算机设备运行时,处理器与存储器之间通过总线通信,机器可读指令被处理器执行时执行上述任一项所述的方法。
其中,存储器1至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。
存储器1在一些实施例中可以是生产key的加密烧录系统的内部存储单元,例如硬盘。存储器1在另一些实施例中也可以是生产key的加密烧录系统的外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。进一步地,存储器1还可以既包括生产key的加密烧录系统的内部存储单元也包括外部存储设备。存储器1不仅可以用于存储安装于生产key的加密烧录系统的应用软件及各类数据,例如生产key的加密烧录系统的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器2在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器1中存储的程序代码或处理数据,例如执行生产key的加密烧录程序等。
本发明公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本发明公开实施例所提供的应用页面内容刷新方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中所述的方法的步骤,具体可参见上述方法实施例,在此不再赘述。
本发明公开实施例还提供一种计算机程序,该计算机程序被处理器执行时实现前述实施例的任意一种方法。该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software DevelopmentKit,SDK)等等。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语第一、第二等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,多个的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (7)
1.一种用于生产key的加密烧录方法,其特征在于,包括如下步骤:
S1:生成生产加密密钥product key,采用加密算法对原始drm key初次加密、并将初次加密drm key保存至生产PC端的数据库中;
S2:生成设备根密钥root key,烧写在设备芯片OTP区域;
S3:设备端安装设备端产测程序,用于与生产PC端通信,以获取初次加密drm key;
S4:设备端产测程序对初次加密drm key进行解密,以获取明文drm key;
S5:基于烧写在设备芯片OTP区域的设备根密钥root key,设备端产测程序采用密钥派生算法生成唯一的派生密钥drived key,以对所获取的明文drm key再次加密,并将再次加密drm key烧写在设备芯片上;
S6:设备端删除设备端产测程序、生产PC端的数据库删除初次加密drm key;
所述S1中,生成生产加密密钥product key,采用加密算法对原始drm key初次加密的过程具体包括:
加密算法采用AES-CBC算法、并选择密钥长度;
生产PC端生成生产加密密钥product key、且其长度与加密算法的密钥长度对应;
将生产加密密钥product key作为AES -CBC算法的密钥和初始向量IV,对原始drm key进行初次加密,得到初次加密drm key;
所述S4中,设备端产测程序对初次加密drm key进行解密,以获取明文drm key的过程具体包括如下步骤:
解密算法采用AES-CBC算法、且其与加密算法对应;
设备端产测程序与生产PC端具有相同的生产加密密钥product key;
将生产加密密钥product key作为AES-CBC算法的密钥和初始向量IV,调用内置的解密算法对初次加密drm key进行反向解密,得到明文drm key;
对反向解密后的明文drm key进行校验,校验通过后获取正确的明文drm key;
所述S5中,设备端产测程序采用密钥派生算法生成设备唯一的密钥派生drived key的过程具体包括:
读取设备芯片的OTP区域的设备根密钥root key;
获取设备芯片唯一的识别码chipid;
使用密钥派生函数对设备根密钥root key和设备芯片的识别码chipid进行输入,派生出设备唯一的派生密钥drived key。
2.根据权利要求1所述的一种用于生产key的加密烧录方法,其特征在于,所述S2中,设备根密钥root key具有唯一性。
3.根据权利要求1所述的一种用于生产key的加密烧录方法,其特征在于,使用密钥派生函数对设备根密钥root key和设备芯片的chipid进行输入,派生出设备唯一的派生密钥drived key的方法包括:
将设备根密钥root key作为密钥派生算法的密钥和初始向量IV,对设备芯片的识别码chipid进行加密计算,计算所得的值即为设备唯一的派生密钥drived key;
或将设备根密钥root key作为密钥派生算法的密钥、且将设备芯片的识别码chipid作为初始向量IV,对一串固定值进行加密计算,计算所得的值即为设备唯一的派生密钥drived key。
4.一种如权利要求1所述的用于生产key的加密烧录方法的装置,其特征在于,包括:
生产PC端,其包括数据库,用于存储初次加密drm key;
设备端,其包括设备端产测程序、设备芯片;
所述设备端产测程序,其集成于所述设备端上、且与所述生产PC端连接通信,用于获取和解密生产PC端数据库中的初次加密drm key、以及派生再次加密drm key;
所述设备芯片,其用于烧录存储设备根密钥root key、以及再次加密drm key。
5.一种如权利要求1所述的用于生产key的加密烧录方法的系统,其特征在于,包括:
数据读取模块,其用于从设备端获取设备根密钥root key和设备芯片的识别码chipid、以及原始drm key;
第一加密模块,其与数据读取模块连接,利用加密算法将原始drm key初次加密,生成初次加密drm key;
第一解密模块,其与第一加密模块连接,用于解密初次加密drm key,以获取明文drmkey;
第二加密模块,其分别与数据读取模块、第二加密模块连接,利用密钥派生算法生成派生密钥drived key,并对第一解密模块解密的明文drm key,生成再次加密drm key;
烧录模块,其用于烧录设备根密钥root key、以及再次加密drm key。
6.一种计算机设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至3中任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311058416.4A CN116775062B (zh) | 2023-08-22 | 2023-08-22 | 一种用于生产key的加密烧录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311058416.4A CN116775062B (zh) | 2023-08-22 | 2023-08-22 | 一种用于生产key的加密烧录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116775062A CN116775062A (zh) | 2023-09-19 |
CN116775062B true CN116775062B (zh) | 2023-12-22 |
Family
ID=87986317
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311058416.4A Active CN116775062B (zh) | 2023-08-22 | 2023-08-22 | 一种用于生产key的加密烧录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116775062B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812877A (zh) * | 2016-03-23 | 2016-07-27 | 福建新大陆通信科技股份有限公司 | 一种基于Chip ID的机顶盒启动方法以及系统 |
CN107465951A (zh) * | 2017-08-15 | 2017-12-12 | 深圳市芯智科技有限公司 | 一种用于机顶盒的otp加密方法 |
CN109728912A (zh) * | 2017-10-30 | 2019-05-07 | 中国电信股份有限公司 | 播放内容安全传输方法、系统以及终端 |
CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
CN115982761A (zh) * | 2022-12-23 | 2023-04-18 | 美的集团股份有限公司 | 敏感信息处理方法、装置、电子设备和存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020124177A1 (en) * | 2001-01-17 | 2002-09-05 | Harper Travis Kelly | Methods for encrypting and decrypting electronically stored medical records and other digital documents for secure storage, retrieval and sharing of such documents |
US10735200B2 (en) * | 2015-03-27 | 2020-08-04 | Comcast Cable Communications, Llc | Methods and systems for key generation |
CN110971398A (zh) * | 2018-09-28 | 2020-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
-
2023
- 2023-08-22 CN CN202311058416.4A patent/CN116775062B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812877A (zh) * | 2016-03-23 | 2016-07-27 | 福建新大陆通信科技股份有限公司 | 一种基于Chip ID的机顶盒启动方法以及系统 |
CN107465951A (zh) * | 2017-08-15 | 2017-12-12 | 深圳市芯智科技有限公司 | 一种用于机顶盒的otp加密方法 |
CN109728912A (zh) * | 2017-10-30 | 2019-05-07 | 中国电信股份有限公司 | 播放内容安全传输方法、系统以及终端 |
CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
CN115982761A (zh) * | 2022-12-23 | 2023-04-18 | 美的集团股份有限公司 | 敏感信息处理方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116775062A (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10361850B2 (en) | Authenticator, authenticatee and authentication method | |
CN109429222B (zh) | 一种对无线网络设备升级程序及通讯数据加密的方法 | |
EP2965254B1 (en) | Systems and methods for maintaining integrity and secrecy in untrusted computing platforms | |
CN105144626B (zh) | 提供安全性的方法和设备 | |
CA2919106C (en) | Media client device authentication using hardware root of trust | |
CN106778205A (zh) | 运用物理不可克隆函数的无数据库验证 | |
TWI809292B (zh) | 資料的加解密方法、裝置、存儲介質及加密文件 | |
CN105447394B (zh) | 一种带本地数据加密功能的智能密码钥匙 | |
CN109388961B (zh) | 存储设备的安全控制方法及存储设备 | |
CN101494645B (zh) | 认证下载到闪存的程序的装置及方法 | |
CN104200156A (zh) | 一种基于龙芯处理器的可信加密系统 | |
CN109104724A (zh) | 一种用于设备升级的数据加密方法和装置 | |
CN103914662A (zh) | 一种基于分区的文件加密系统的访问控制方法和装置 | |
US20230269078A1 (en) | Key sharing method, key sharing system, authenticating device, authentication target device, recording medium, and authentication method | |
CN103544453A (zh) | 一种基于usb key的虚拟桌面文件保护方法及装置 | |
TW201003451A (en) | Safety storage device with two-stage symmetrical encryption algorithm | |
CN105279441A (zh) | 用于对数据进行加密和解密的方法和架构 | |
CN105893837A (zh) | 应用程序安装方法、安全加密芯片及终端 | |
CN110046489B (zh) | 一种基于国产龙芯处理器的可信访问验证系统,计算机及可读存储介质 | |
CN105281915B (zh) | 一种密码键盘生成密文的方法 | |
CN107844707B (zh) | 一种卡数据管理方法以及卡数据管理系统 | |
CN116775062B (zh) | 一种用于生产key的加密烧录方法 | |
WO2018033017A1 (zh) | 一种授信的终端状态转换方法和系统 | |
CN113158203A (zh) | 一种soc芯片、电路和soc芯片的外部数据读写方法 | |
CN107682147B (zh) | 用于智能卡芯片操作系统文件的安全管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |