TWI641259B - 利用點對點認證協定的串流加密之高效益路由 - Google Patents
利用點對點認證協定的串流加密之高效益路由 Download PDFInfo
- Publication number
- TWI641259B TWI641259B TW104108203A TW104108203A TWI641259B TW I641259 B TWI641259 B TW I641259B TW 104108203 A TW104108203 A TW 104108203A TW 104108203 A TW104108203 A TW 104108203A TW I641259 B TWI641259 B TW I641259B
- Authority
- TW
- Taiwan
- Prior art keywords
- encrypted data
- data stream
- transmitting
- key
- router
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本發明與在路由器中未進行解密資料下自訊號源經由路由器傳輸加密資料至匯點之技術相關。訊號源與路由器進行認證,其結果產生一交談金鑰及一虛擬隨機數值。該路由器與匯點以相同交談金鑰及虛擬隨機數值進行認證。該路由器在未經解密及重新加密下,將自訊號源接收之加密資料傳輸至該匯點。
Description
於此揭露之技術主要為資訊通訊技術,更具體言之,本發明為在訊號源媒體及匯點媒體間,透過路由器傳輸加密資料串流之技術。
高畫質數位內容保護機制(High-bandwidth Digital Content Protection,HDCP)是一種用以在各種介面間保護數位內容之規格。一典型的HDCP組態包含一HDCP資料訊號源裝置(例如影音光碟播放機(DVD Player)、高畫質數位影音光碟播放機(HD DVD Player)、HDCP中繼器(HDCP Repeater),以及一或多個HDCP資料匯點裝置(例如電視、監視器...等))。加密資料串流透過HDCP中繼器自HDCP訊號源裝置傳輸至HDCP匯點裝置。在傳輸資料串流前,訊號源裝置與中繼器進行認證,及中繼器與下游匯點裝置進行認證。
HDCP之其中一種應用為加密資料串流。一HDCP 2.2版本之中繼器可將HDCP 2.2加密資料串流自資料訊號源傳輸至資料匯點,但該中繼器必須對接收的加密資料串流進行解密及之後的重新加密,以傳輸至下游匯點。在使用上,由於先進加密標準(Advanced Encryption Standard,AES)引擎之數量,HDCP 2.2解密及加密程序為耗時極高的程序。
本發明實施例之技術有關於在未於路由器內解密資料下,以路由器自訊號源傳輸加密資料至匯點裝置。訊號源裝置於路由器之第一埠,以執行點對點認證之方式,認證該路由器。於認證成功後,該路由器收到一交談金鑰及一來自於訊號源裝置
之虛擬隨機(Pseudo-random)數值。該路由器接著在第二埠認證一第一匯點裝置。在路由器成功認證該第一匯點裝置後,該路由器將自訊號源裝置接收之相同的交談金鑰及相同的虛擬隨機數值傳送至該第一匯點裝置。該路由器自訊號源裝置於第一埠接收一第一加密資料串流,並接著該資料串流於未被解密及未被重新加密下,自該第一埠傳輸至第二埠。之後,該路由器將加密資料串流自第二埠傳輸至該第一匯點裝置。
在一實施例中,該路由器自該訊號源接收一第二加密資料串流,該第二加密資料串流亦以相同於該第一加密資料串流之交談金鑰及虛擬隨機數值加密。該路由器自該第一埠將該第二加密資料串流傳輸至一第三埠,並將該第二加密資料串流自該第三埠傳輸至一第二匯點裝置。
在一實施例中,該路由器將具有該第一及第二加密資料串流之多重資料串流進行信號分離,產生二獨立之加密資料串流。
在一實施例中,一通信認證協定具有該路由器接收自該訊號源裝置產生之認證請求。該路由器接著回應該請求至該訊號源裝置,該回應包含下游匯點能力(Downstream Sink Capability)。接下來,該路由器接收一回應並利用該回應中之資訊,計算出一驗證值「H’」。該路由器將該驗證值「H’」與配對訊息傳輸至訊號源裝置。
在一實施例中,該通信認證協定具有高畫質數位內容保護機制(HDCP)。
在一實施例中,該訊號源及該路由器以一有線通訊網路連接。
在一實施例中,該有線通訊網路使用高畫質晰度多媒體介面(High-Definition Multimedia Interface,HDMI)或行動高畫質連結技術(Mobile High-Definition Link,MHL)協定。
除元件402至元件414之說明按其方塊圖外,其餘元件符號之名稱如下:
110‧‧‧訊號源
121‧‧‧加密資料串流
122‧‧‧加密資料串流
131‧‧‧未加密資料串流
132‧‧‧未加密資料串流
150‧‧‧中繼器
152‧‧‧HDCP接收引擎
153‧‧‧解密引擎
157A‧‧‧下游埠暨加密引擎
157B‧‧‧下游埠暨加密引擎
158A‧‧‧HDCP發送引擎
158B‧‧‧HDCP發送引擎
160‧‧‧處理器
161‧‧‧記憶體
162A‧‧‧處理器
162B‧‧‧處理器
163A‧‧‧記憶體
163B‧‧‧記憶體
171‧‧‧加密資料串流
172‧‧‧加密資料串流
180A‧‧‧匯點
180B‧‧‧匯點
185‧‧‧第一埠
186‧‧‧第二埠
187‧‧‧第三埠
231‧‧‧加密資料串流
232‧‧‧加密資料串流
252‧‧‧HDCP接收引擎
258A‧‧‧HDCP發送引擎
258B‧‧‧HDCP發送引擎
260‧‧‧處理器
261‧‧‧記憶體
262A‧‧‧處理器
262B‧‧‧處理器
263A‧‧‧記憶體
263B‧‧‧記憶體
271‧‧‧加密資料串流
272‧‧‧加密資料串流
300‧‧‧密碼結構
302‧‧‧虛擬隨機數值
304‧‧‧計數「streamCtr」
306‧‧‧異或閘模組
308‧‧‧計數「inputCtr」
310‧‧‧串接模組
312‧‧‧經異或處理之「ks」、「lc128」
314‧‧‧計數模式
318‧‧‧輸入內容
320‧‧‧異或閘模組
322‧‧‧輸出內容
500‧‧‧計算裝置
512‧‧‧處理器
516‧‧‧輸入模組
520‧‧‧輸出模組
526‧‧‧記憶體
527‧‧‧匯流排
530‧‧‧程式庫
534‧‧‧電子設計自動化程式
536‧‧‧積體電路設計
本發明於此揭露之教示實施例,可透過以下詳細說
明及其依附圖式之聯合參照而輕易地理解。
圖1為一方塊圖,舉例說明一系統具有一用於自訊號源傳輸加密資料串流至匯點之中繼器。
圖2為一方塊圖,舉例說明一系統具有一用於傳輸加密資料串流之路由器,該路由器毋須執行解密或重新加密。
圖3為一原理圖,舉例說明用於一通信認證協定之密碼結構。
圖4為一流程圖,舉例說明以路由器自訊號源傳輸加密資料至匯點之方法,該方法毋須解密或重新加密。
圖5為一方塊圖,舉例說明用於執行與圖2路由器相關之設計操作之計算裝置。
本說明書之圖式及以下說明,僅以各種實施例例示說明。所應注意者為,與以下揭露之結構或方法相異之替代實施情形,在不脫離本發明之原理下,亦為可實施之實行方案。以下將以數種實施例詳細揭露,該實施例並佐以附隨之圖式進行說明。
本發明揭露之實施例與經由路由器傳輸加密資料自訊號源至匯點且毋須於路由器內解密該資料相關。訊號源與路由器進行認證,在認證成功後,該路由器接收來自訊號源之一交談金鑰及一虛擬隨機數值。接著該路由器與匯點進行認證,在認證成功後,該路由器將相同的交談金鑰與虛擬隨機數值傳送至匯點。該路由器在未經解密及重新加密下,將加密資料自訊號源傳輸至匯點。
於此描述之「點對點認證」(Point-to-point Authentication)為二節點間之連接之認證,其節點之例子包含數位影音光碟播放機(DVD Player)、高畫質數位影音光碟播放機(HD DVD Player)、機上盒(Set Top Box)、遊戲主機(Game Console)、電視、顯示器、投影機、切換器...等。執行點對點認證之協定包含,高畫質數位內容保護機制(HDCP)及其他協定。
於此描述之「信號分離」為將資料串流叢集分割為
單一資料串流。
以下實施例將以行動高畫質連結技術為例下,主要以高畫質數位內容保護機制2.2之實施為說明。然而,其他認證機制及媒體傳輸方式也可以在本發明揭露之原理下使用。
圖1為一方塊圖,說明一系統包含一訊號源110、匯點180A及180B、一中繼器150,根據一實施例,該中繼器用來傳輸加密資料串流。訊號源110之實例包含數位影音光碟播放機、高畫質數位影音光碟播放機、藍光播放機(Blue-Ray Player)及電腦顯示卡。匯點180之實例包含電視、監視器、顯示器。在圖1中,訊號源110啟動一點對點認證之流程,舉例而言,訊號源依據HDCP 2.2標準與中繼器150在第一埠185進行認證。在訊號源110與中繼器150成功認證後,中繼器150於第一埠185接收來自訊號源110之一交談金鑰「ks1」及一虛擬隨機數值「riv1」。為說明方便,交談金鑰「ks1」及虛擬隨機數值「riv1」將以「第一加密資料」合併說明。
在中繼器150接收交談金鑰「ks1」及虛擬隨機數值「riv1」後,訊號源110將加密之內容資料串流121及122傳輸至中繼器150之第一埠185。中繼器150內之HDCP接收引擎(HDCP receiver engine)「RX」152包含解密引擎153。解密引擎153使用第一加密資料(包含「ks1」及「riv1」)對加密內容進行解密,恢復成未加密之資料串流131及132。
中繼器150依序於第二埠186及第三埠187執行對匯點180A及180B之認證,此認證與中繼器150及訊號源110間之認證獨立。具體言之,中繼器150之下游埠157A經由第二埠186對匯點180A進行認證,其下游埠157B經由第三埠187對匯點180B進行認證,該二認證流程使用不同的加密資料。如同上游交談,HDCP發送引擎(HDCP transmitter(TX)engine)158A及對應的匯點180A共同使用第二加密資料(例如交談金鑰「ks2」及虛擬隨機數值「riv2」),HDCP發送引擎158B及對應的匯點180B共同使用第三加密資料(例如交談金鑰「ks3」及虛擬隨機數值
「riv3」)。HDCP發送引擎158A包含一加密引擎157A,該加密引擎使用第二加密資料「ks2」及「riv2」加密資料串流171;同樣地,HDCP發送引擎158B包含一加密引擎157B加密資料串流172。匯點180A使用第二加密資料(例如「ks2」及「riv2」)對加密資料串流171進行解密;同樣地,匯點180B使用第三加密資料(例如「ks3」及「riv3」)對加密資料串流172進行解密。
於此說明之認證過程為一系列之流程。訊號源110與中繼器150進行認證。在訊號源110與中繼器150成功認證後,訊號源發送一第一交談金鑰「ks1」及一第一虛擬隨機數值「riv1」至中繼器150。中繼器150與匯點180A進行認證,而此認證與訊號源110及中繼器150間之認證互為獨立。在中繼器150與匯點180A成功認證後,中繼器發送一第二交談金鑰「ks2」及一第二虛擬隨機數值「riv2」至匯點180A。由於訊號源110與中繼器150間之認證與中繼器150與匯點180A間之認證互為獨立,這些認證可使用不同的交談金鑰「ks1」、「ks2」及不同的虛擬隨機數值「riv1」、「riv2」。
在一實施例中,於中繼器150上之認證過程從中繼器150接收來自訊號源110之認證請求訊息開始,該認證請求訊息包含一第一虛擬隨機數值「rtx」及訊號源110之能力指標「TxCaps」。訊號源110之能力指標包含訊號源110所有之任何限制。中繼器150發送一承認傳送憑證(Acknowledgment Send Certificate)訊息「AKE_Send_Cert」至訊號源110,該承認傳送憑證訊息帶有一接收器憑證(Receiver Certificate)「certrx」、一第二虛擬隨機數值「rrx」及匯點180A之能力指標「RxCaps」。匯點180A之能力指標包含匯點180A所有之任何限制。路由器150接收一儲存承認訊號(Store Acknowledgment)「AKE_No_Stored_km」,該儲存承認訊號代表訊號源110中未儲存任何主鑰,該儲存承認訊號具有一經由接收器公開金鑰(Receiver Public Key)「Ekpub(km)」加密之主鑰。路由器150至少基於第一虛擬隨機數值「rtx」、匯點180A之能力指標
「RxCaps」、訊號源110之能力指標「TxCaps」及一衍生金鑰「kd」計算一驗證值「H’」。路由器150發送一驗證值「H’」承認訊息(Verification Value Acknowledgment Message)「AKE_Send_H_prime」至訊號源。路由器150發送配對訊息至訊號源110,該配對訊息係以內部秘密金鑰「kh」加密(E_kh(km))主鑰「km」而產生。
圖1之實例,其一缺點為在中繼器150上需要執行額外的解密(透過解密引擎153)及加密程序(透過加密引擎157A、157B)。若資訊內容本身需要在中繼器150上進行處理(Manipulation),如此之解密及加密程序是有用的。然而,若該加密資料串流僅傳輸而毋須於中繼器150上進行處理,前述在中繼器150上之額外解密及加密程序將成為多餘的程序。為執行加密與解密,中繼器150需包含多重先進加密標準(Advanced Encryption Standard)引擎,如此將使中繼器150佔用其他資源及大量增加其體積。
圖2為一方塊圖,實例說明一系爭具有路由器250,該路由器250上未進行解密及重新加密下傳輸加密資料串流。除在訊號源110、路由器250及匯點180A、180B間所使用之加密資料相同外,圖2之系統與圖1實質相同。意即,該加密資料(例如交談金鑰「ks1」及虛擬隨機數值「riv1」)除使用在訊號源110與路由器250間,也使用在路由器250與匯點180A、180B間。路由器250於實施時亦可為一符合HDCP標準之中繼器。
依照HDCP 2.2標準,該加密資料由HDCP發送引擎「TX」所決定。意即,訊號源110與路由器250在第一埠185開始一點對點認證,更具體而言,在HDCP接收引擎「RX」252。於圖2中之訊號源110與路由器250間之認證,與圖1說明之訊號源110與路由器250間之認證過程相同。
在訊號源110與HDCP RX引擎「RX」252成功認證後,RX引擎252接收來自訊號源110之一交談金鑰「ks1」及一虛擬隨機數值「riv1」。RX引擎252將該交談金鑰「ks1」及該虛
擬隨機數值「riv1」傳送至TX引擎258A、258B,其中傳送之路徑包括但不限於路由器內之電子路徑。在成功接收交談金鑰「ks1」及虛擬隨機數值「riv1」後,TX引擎258A與匯點180A在第二埠186上進行認證,TX引擎258B與匯點180B在第三埠187上進行認證。圖2中在路由器250與匯點180A、180B間之認證,與圖1說明之中繼器150與匯點180A、180B間之認證過程相同。
在與匯點180A、180B成功認證後,TX引擎258A、258B傳送相同的加密資料(例如交談金鑰「ks1」及虛擬隨機數值「riv1」)而非不同的加密資料(例如交談金鑰「ks2」及虛擬隨機數值「riv2」,或交談金鑰「ks3」及虛擬隨機數值「riv3」)至匯點180A、180B。匯點180A、180B使用相同於訊號源110之加密資料。如此之下,自訊號源110之加密資料串流121、122將於路由器250內保持加密,並且資料串流231、232毋須在路由器250內進行解密及重新加密。路由器250可傳輸資料串流231、232(同資料串流271、272)至匯點180A、180B以進行解密。
若出現多重資料串流,通常會使用不同的串流加密(如加密資料)於各資料串流。在多重資料串流情形之其中一種方法下,串流計數指標(Stream Count Indicator)亦被嵌入於資料串流中,如「StreamCounter」(於圖1、2中以「CNT」表示),或被以個別串流之形式進行傳輸,這是因為「StreamCounter」是用來解密之RX引擎252,其使用之資訊之其他部分,如圖3之說明所示。舉例而言,在圖2中,假設原始資料串流121、122分別為「StreamCounter=0」及「StreamCounter=1」,「StreamCounter」會通過路由器250,各資料串流到達具有相同「StreamCounter」的對應匯點。意即,資料串流271仍為「StreamCounter=0」,資料串流272仍為「StreamCounter=1」。在此情形下,為符合HDCP2.2標準,可以相同於圖1之HDCP中繼器150之方法進行「接收器識別(RX ID)清單傳輸」(Receiver Identification List Propagation)。
圖3為一原理圖,舉例說明用於在訊號源110與路由器間及路由器250與匯點180A、180B間傳輸之加密及解密資料串流之密碼結構300。虛擬隨機數值「riv」302在異或閘(XOR)模組306以計數「streamCtr」304之值進行異或處理。異或閘模組306之輸出與串接模組(Concatenation Module)310以計數「inputCtr」308之值相連。
計數「inputCtr」308係以串接框架號(Frame Number)及資料號碼(Data Number)所決定(未表示於圖中)。框架號代表加密資訊框於加密過程開始時之數值,資料號碼代表已產生之金匙流(Key Stream)之位元塊之次數之數值。交談金鑰「ks」以秘密全局常數(Secret Global Constant)「lc128」進行異或處理。在串接模組310進行之處理以及經異或處理的交談金鑰「ks」及秘密全局常數「lc128」將被輸入至一在計數模式(Counter Mode)314操作下之先進加密標準模組(AES-CTR)。AES-CTR 314輸出一經異或處理之金匙流,伴隨著在異或閘模組320之輸入內容318,以產生輸出內容322。
圖2之訊號源110包含密碼結構300以產生加密資料串流121、122。為此目的,在訊號源110之輸入內容318為未加密版本之資料串流,而其輸出內容322則為加密訊號121、122。圖2中之匯點180A、180B包含密碼結構330,以解密加密資料串流271、272。為此目的,在匯點180A之輸入內容318為加密資料串流271,而在匯點180B之輸入內容318為加密資料串流272。在匯點180A、180B自密碼結構300之輸出內容322分別為解密版本的資料串流271、272。
圖4為一流程圖,舉例說明以路由器250自一第一裝置(例如訊號源110)傳輸加密資料至一第二裝置(例如匯點180A)並毋須於路由器250內解密或重新加密之方法。路由器250與第一裝置110進行認證402。
路由器250於其第一埠185接收404來自訊號源110之交談金鑰「ks1」及虛擬隨機數值「riv1」。路由器250與第二
裝置180A進行認證406。路由器250將相同的交談金鑰「ks1」及虛擬隨機數值「riv1」以其第二埠186傳送408至第二裝置180A。路由器250自第一裝置110接收410一加密資料串流121,並將加密資料串流231自第一埠185傳輸412至第二埠186。路由器250傳送414該加密資料串流271自第二埠186至第二裝置180A。
圖4中所述之步驟流程僅例示性說明。舉例來說,在圖4中,雖然接收410加密資料串流在與第二裝置進行認證406之後,加密資料串流之接收410可在第二裝置進行認證406前進行。
甚者,其他操作流程亦可額外執行圖4中所述之步驟中。舉例而言,路由器250也可以與圖4實質相同之方法認證第三裝置(例如匯點180B)於第三埠187。於此情形下,路由器250接收一第二加密資料串流122並將該第二加密資料串流122自第一埠185傳輸至第三埠187,並將該第二加密資料串流自第三187傳輸至第三裝置180B。甚至而言,路由器250可接收包含第一加密資料串流121及第二加密資料串流122之一多重資料串流。路由器將該多重資料串流進行信號分離成第一加密資料串流231傳送至第二埠186及第二加密資料串流232傳送至第三埠187。
圖5為一計算裝置500之一方塊圖之舉例說明,該計算裝置用於執行與HDCP接收引擎「RX」252及HDCP發送引擎「TX」258A、258B之相關設計操作程序。計算裝置500除其他元件外,得包含一處理器512、一輸入模組516、一輸出模組520、一記憶體526及一匯流排527以連接這些元件。處理器512執行儲存於記憶體526之指令。輸入模組516得包含各種為接收使用者輸入訊號之裝置,其包含鍵盤及指向裝置(例如滑鼠及觸控螢幕)。輸出模組520包含一顯示裝置或用以聯繫該顯示裝置之介面裝置。
記憶體526為非暫時電腦可讀取儲存媒介,其儲存
者除其他內容外,包括程式庫(Library)530、電子設計自動化程式(Electronic Design Automation Applications,EDA程式)534及積體電路設計536...等數位表徵。程式庫530得包含各種電路元件之資料(例如路由器),其包含於此提及之HDCP接收引擎「RX」252及HDCP發送引擎「TX」258A、258B之例子。電子設計自動化程式534可包含各種用以設計積體電路之軟體程式(包含放置及傳輸工具、合成工具,以及驗證工具)。利用電子設計自動化程式534處理之設計可儲存於積體電路設計536中。積體電路設計536可以是整個操作電路或僅為另一較大積體電路之一部。
於本發明所提之原理下,除MHL及/或HDCP協定外,習知者可使用其他協定。舉例而言,類似實施情形亦在HDMI 2.0下使用HDCP。因此,在特定實施例及本發明揭露之應用於此說明及描述下,習知者應可完全理解這些實施例並不因於此揭露精確之結構或元件或其改良而受限。
Claims (20)
- 一種傳輸加密資料方法,其包含:一第一裝置依一認證協定對一路由器進行認證,該認證協定以與該第一裝置聯繫以進行點對點認證;於該路由器之一第一埠接收自該第一裝置之一交談金鑰及一虛擬隨機數值;一第二裝置依該認證協定對該路由器進行認證,以該路由器之一第二埠與該第二裝置聯繫;自該第二埠傳輸該交談金鑰及該虛擬隨機數值至該第二裝置;於該第一埠接收自該第一裝置之一第一加密資料串流,該第一加密資料串流利用該交談金鑰及該虛擬隨機數值進行加密;於未將該第一加密資料串流進行重新加密或解密下,自該第一埠傳輸該第一加密資料串流至該第二埠;以及將該第一資料串流自該第二埠傳送至該第二裝置。
- 如請求項1所述之傳輸加密資料方法,更包含:於該第一埠接收自該第一裝置之一第二加密資料串流,該第二加密資料串流利用該交談金鑰及該虛擬隨機數值進行加密;將該第二加密資料串流自該第一埠傳輸至該路由器之一第三埠;以及將該第二加密資料串流自該第三埠傳送至一第三裝置。
- 如請求項2所述之傳輸加密資料方法,更包含將具有該第一加密資料串流及該第二加密資料串流之一多重資料串流進行信號分離,以將該第一加密資料串流傳輸至該第二埠及將該第二加密資料串流傳輸至該第三埠。
- 如請求項1所述之傳輸加密資料方法,其中該認證協定包含高畫質數位內容保護機制2.2。
- 如請求項4所述之傳輸加密資料方法,其中與該第一裝置進行認證,更包含:接收自該第一裝置之一認證請求訊息,該認證請求訊息包含一第一虛擬隨機數值及發送器能力指標;傳送一承認傳送憑證訊息至該第一裝置,該承認傳送憑證訊息包含一接收器憑證、一第二虛擬隨機數值及接收器能力指標;自該第一裝置接收未儲存主鑰之一儲存承認訊號,該儲存承認訊號具有一經由接收器公開金鑰加密之主鑰;至少基於該第一虛擬隨機數值、該接收器能力指標、該發送器能力指標及一衍生金鑰計算一驗證值;傳送一驗證值承認訊息至該第一裝置;以及傳送一配對訊息至該第一裝置,該配對訊息係由加密該主鑰及一內部秘密金鑰而成。
- 如請求項1所述之傳輸加密資料方法,其中該第一加密資料串流、該交談金鑰及該虛擬隨機數值以一有線通訊網路傳輸。
- 如請求項6所述之傳輸加密資料方法,其中該傳輸加密資料方法利用高畫質晰度多媒體介面協定或行動高畫質連結技術協定執行。
- 一種用於傳輸加密資料之路由器,其包含:一接收引擎連接至一第一埠,該接收引擎被設置成:與一第一裝置經由該第一埠依一認證協定進行認證,該認證協定係執行點對點認證;接收自該第一裝置之一交談金鑰及一虛擬隨機數值;於該第一埠接收自該第一裝置之一第一加密資料串流,該第一加密資料串流利用該交談金鑰及該虛擬隨機數值進行加密;一第一發送引擎連接至一第二埠,該第一發送引擎經設置成:與一第二裝置經由該第二埠依該認證協定進行認證;經由該第二埠傳輸該相同交談金鑰及該虛擬隨機數值至該第二裝置;將該第一加密資料串流自該第二埠傳送至該第二裝置;以及一電子路徑位於該接收引擎及該第一發送引擎間,以自該接收引擎傳輸該第一加密資料串流至該第一發送引擎。
- 如請求項8所述之路由器,更包含一第二發送引擎經設置成:與一第三裝置經由一第三埠依該認證協定進行認證;經由該第三埠傳輸該相同交談金鑰及該虛擬隨機數值至該第三裝置;以及將一第二資料串流自該第二埠傳送至該第二裝置,該第二資料串流自該第一裝置經由該第一埠接收。
- 如請求項9所述之路由器,其中該接收引擎更被設置成將具有該第一加密資料串流及該第二加密資料串流之一多重資料串流進行信號分離,以將該第一加密資料串流傳輸至該第一發送引擎及將該第二加密資料串流傳輸至該第二發送引擎。
- 如請求項8所述之路由器,其中該認證協定包含高畫質數位內容保護機制2.2。
- 如請求項11所述之路由器,其中該接收引擎更被設置成:接收自該第一裝置之一認證請求訊息,該認證請求訊息包含一第一虛擬隨機數值及發送器能力指標;傳送一承認傳送憑證訊息至該第一裝置,該承認傳送憑證訊息包含一接收器憑證、一第二虛擬隨機數值及接收器能力指標;自該第一裝置接收未於該第一裝置儲存主鑰之一儲存承認訊號,該儲存承認訊號具有一經由接收器公開金鑰加密之主鑰;至少基於該第一虛擬隨機數值、該接收器能力指標、該發送器能力指標及一衍生金鑰計算一驗證值;傳送一驗證值承認訊息至該第一裝置;以及傳送一配對訊息至該第一裝置,該配對訊息係由加密該主鑰及一內部秘密金鑰而成。
- 如請求項8所述之路由器,其中該第一加密資料串流、該交談金鑰及該虛擬隨機數值以一有線通訊網路傳輸。
- 如請求項8所述之路由器,其中該傳輸加密資料方法利用高畫質晰度多媒體介面協定或行動高畫質連結技術協定執行。
- 一種儲存一路由器之數位表徵之非暫時電腦可讀取儲存媒介,該路由器包含:一接收引擎連接至一第一埠,該接收引擎被設置成:與一第一裝置經由該第一埠依一認證協定進行認證,該認證協定係執行點對點認證;接收自該第一裝置之一交談金鑰及一虛擬隨機數值;於該第一埠接收自該第一裝置之一第一加密資料串流,該第一加密資料串流利用該交談金鑰及該虛擬隨機數值進行加密;一第一發送引擎連接至一第二埠,該第一發送引擎經設置成:與該第二裝置依該認證協定進行認證;經由該第二埠傳輸該交談金鑰及該虛擬隨機數值至該第二裝置;將該第一加密資料串流自該第二埠傳送至該第二裝置;以及一電子路徑位於該接收引擎及該發送引擎間,以自該接收引擎傳輸該第一加密資料串流至該發送引擎。
- 如請求項15所述之非暫時電腦可讀取儲存媒介,更包含一第二發送引擎經設置成:與一第三裝置經由該第三埠依該認證協定進行認證;經由該第三埠傳輸該相同交談金鑰及該虛擬隨機數值至該第三裝置;以及將一經由該第一裝置之該第一埠所接收的第二加密資料串流透過該第三埠傳送至該第三裝置。
- 如請求項16所述之非暫時電腦可讀取儲存媒介,其中該接收引擎更被設置成將具有該第一加密資料串流及該第二加密資料串流之一多重資料串流進行信號分離,以將該第一加密資料串流傳輸至該第一發送引擎及將該第二加密資料串流傳輸至該第二發送引擎。
- 如請求項15所述之非暫時電腦可讀取儲存媒介,其中該認證協定包含高畫質數位內容保護機制。
- 如請求項18所述之非暫時電腦可讀取儲存媒介,其中該接收引擎更被設置成:接收自該第一裝置之一認證請求訊息,該認證請求訊息包含一第一虛擬隨機數值及發送器能力指標;傳送一承認傳送憑證訊息至該第一裝置,該承認傳送憑證訊息包含一接收器憑證、一第二虛擬隨機數值及接收器能力指標;自該第一裝置接收未儲存主鑰之一儲存承認訊號,該儲存承認訊號具有一經由接收器公開金鑰加密之主鑰;至少基於該第一虛擬隨機數值、該接收器能力指標、該發送器能力指標及一衍生金鑰計算一驗證值;傳送一驗證值承認訊息至該第一裝置;以及傳送一配對訊息至該第一裝置,該配對訊息係由加密該主鑰及一內部秘密金鑰而成。
- 如請求項15所述之非暫時電腦可讀取儲存媒介,其中該第一加密資料串流、該交談金鑰及該虛擬隨機數值以一有線通訊網路傳輸。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461979477P | 2014-04-14 | 2014-04-14 | |
| US61/979,477 | 2014-04-14 | ||
| US14/610,855 | 2015-01-30 | ||
| US14/610,855 US9509669B2 (en) | 2014-04-14 | 2015-01-30 | Efficient routing of streams encrypted using point-to-point authentication protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201540039A TW201540039A (zh) | 2015-10-16 |
| TWI641259B true TWI641259B (zh) | 2018-11-11 |
Family
ID=54266049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104108203A TWI641259B (zh) | 2014-04-14 | 2015-03-13 | 利用點對點認證協定的串流加密之高效益路由 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9509669B2 (zh) |
| KR (1) | KR20160140942A (zh) |
| CN (1) | CN106165353B (zh) |
| DE (1) | DE112015001805T5 (zh) |
| TW (1) | TWI641259B (zh) |
| WO (1) | WO2015160483A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10264208B2 (en) * | 2015-12-11 | 2019-04-16 | Qualcomm Incorporated | Layered display content for wireless display |
| US10616184B2 (en) * | 2016-06-30 | 2020-04-07 | Intel Corporation | Wireless display streaming of protected content |
| US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
| KR102476605B1 (ko) * | 2018-05-11 | 2022-12-13 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| US10931476B2 (en) * | 2018-10-29 | 2021-02-23 | Analog Devices Global Unlimited Company | Content protection over synchronous data networks |
| US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
| US11184376B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
| US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
| US11343672B2 (en) * | 2019-02-20 | 2022-05-24 | Coretigo Ltd. | Secure communication encryption and decryption mechanism in a wireless communication system |
| CN112218171B (zh) * | 2020-09-15 | 2022-07-19 | 深圳数字电视国家工程实验室股份有限公司 | 基于接口的数据传输方法、电子设备及存储介质 |
| CN112398644B (zh) * | 2020-10-12 | 2023-03-03 | 深圳数字电视国家工程实验室股份有限公司 | 内容密钥共享方法、系统及存储介质 |
| CN113742744A (zh) * | 2021-08-24 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 密钥合成方法、装置、系统及计算机可读存储介质 |
| US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120159159A1 (en) * | 2010-12-19 | 2012-06-21 | Motorola, Inc. | System and method for secure communications in a communication system |
| US20130315393A1 (en) * | 2012-05-07 | 2013-11-28 | Industrial Technology Research Institute | Authentication system for device-to-device communication and authentication method therefor |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8744081B2 (en) * | 2007-03-22 | 2014-06-03 | Qualcomm Incorporated | System and method for implementing content protection in a wireless digital system |
| JP5029121B2 (ja) * | 2007-04-25 | 2012-09-19 | ソニー株式会社 | データ受信装置、データ送信装置、および情報処理方法、並びにコンピュータ・プログラム |
| JP2009077192A (ja) * | 2007-09-21 | 2009-04-09 | Sony Corp | 受信装置および受信装置の出画制御方法 |
| CN101242275B (zh) * | 2008-03-07 | 2011-01-26 | 四川虹微技术有限公司 | 基于流密码加密的安全传输方法 |
| US8429403B2 (en) | 2008-08-12 | 2013-04-23 | Juniper Networks, Inc. | Systems and methods for provisioning network devices |
| US9240883B2 (en) * | 2008-09-04 | 2016-01-19 | Intel Corporation | Multi-key cryptography for encrypting file system acceleration |
| JP2011172156A (ja) * | 2010-02-22 | 2011-09-01 | Sony Corp | コンテンツ再生システム、コンテンツ受信装置、音声再生装置、コンテンツ再生方法およびプログラム |
| CN102572616B (zh) * | 2012-03-21 | 2014-07-09 | 天津七一二通信广播有限公司 | 数字与模拟混合接收功能的数字对讲机 |
| TWI462604B (zh) | 2012-06-18 | 2014-11-21 | Wistron Corp | 無線網路用戶端認證系統及其無線網路連線方法 |
-
2015
- 2015-01-30 US US14/610,855 patent/US9509669B2/en active Active
- 2015-03-13 TW TW104108203A patent/TWI641259B/zh active
- 2015-03-24 KR KR1020167031081A patent/KR20160140942A/ko unknown
- 2015-03-24 DE DE112015001805.0T patent/DE112015001805T5/de active Pending
- 2015-03-24 WO PCT/US2015/022309 patent/WO2015160483A1/en active Application Filing
- 2015-03-24 CN CN201580017629.XA patent/CN106165353B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120159159A1 (en) * | 2010-12-19 | 2012-06-21 | Motorola, Inc. | System and method for secure communications in a communication system |
| US20130315393A1 (en) * | 2012-05-07 | 2013-11-28 | Industrial Technology Research Institute | Authentication system for device-to-device communication and authentication method therefor |
Non-Patent Citations (1)
| Title |
|---|
| "High-Bandwidth Digital Content Protection System Mapping HDCP to HDMI", Revision 2.2, Digital Content Protection LLC, Feb. 13, 2013. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106165353B (zh) | 2020-07-07 |
| TW201540039A (zh) | 2015-10-16 |
| US20150295903A1 (en) | 2015-10-15 |
| WO2015160483A1 (en) | 2015-10-22 |
| DE112015001805T5 (de) | 2016-12-29 |
| US9509669B2 (en) | 2016-11-29 |
| KR20160140942A (ko) | 2016-12-07 |
| CN106165353A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI641259B (zh) | 利用點對點認證協定的串流加密之高效益路由 | |
| US10050955B2 (en) | Efficient start-up for secured connections and related services | |
| JP5399371B2 (ja) | 無線デジタルシステムにおいてコンテント保護を実現するための方法およびシステム | |
| TWI583190B (zh) | 用於內部處理通過次要通道中之內容之部分認證機制之方法、系統及設備 | |
| EP2917867B1 (en) | An improved implementation of robust and secure content protection in a system-on-a-chip apparatus | |
| KR101483536B1 (ko) | 콘텐츠 보호 포트의 사전 인증 및 인증 유지를 위한 방법, 장치 및 시스템 | |
| US20080133918A1 (en) | Method and apparatus for transmitting data using authentication | |
| US11212671B2 (en) | Method and system for securing communication links using enhanced authentication | |
| US11399019B2 (en) | Failure recovery mechanism to re-establish secured communications | |
| US9432345B2 (en) | Authentication engine and stream cipher engine sharing in digital content protection architectures | |
| WO2018157724A1 (zh) | 加密控制字的保护方法、硬件安全模块、主芯片和终端 | |
| KR20200015520A (ko) | 스트리밍 컨텐츠의 컨텐츠 타입 변경들에 대한 평활한 트랜지션 | |
| WO2012136152A1 (zh) | 传输码流ts的安全传输方法和装置 | |
| Lomb et al. | Decrypting HDCP-protected video streams using reconfigurable hardware | |
| JP5361031B2 (ja) | 暗号認証処理方法及び装置 | |
| JP2016139861A (ja) | 暗号化装置、暗号化方法及び配信システム | |
| WO2024077857A1 (zh) | 数据传输方法和装置、设备及存储介质 | |
| KR102029550B1 (ko) | 디스플레이포트용 hdcp 설계 | |
| Iyare et al. | Improved High Definition Multimedia Interface Authentication Mechanism |