在 HDCP 2.2 身份驗(yàn)證過程 – 簡介中，我們討論了為什么需要 HDCP，以及 HDCP 身份驗(yàn)證過程的基本步驟。我們注意到，RSA 的高級版本是身份驗(yàn)證和密鑰交換 （AKE） 期間使用的基礎(chǔ)加密標(biāo)準(zhǔn)。AKE 是身份驗(yàn)證協(xié)議的第一步。在這里，我們將繼續(xù)探索協(xié)議的后續(xù) 3 個步驟：位置檢查、會話密鑰交換 （SKE） 和中繼器身份驗(yàn)證。

地點(diǎn)檢查

這是HDCP2中引入的一個有趣的檢查機(jī)制。X 確保接收器和發(fā)射器放置在附近。它禁止遠(yuǎn)距離共享受 HDCP2.2 保護(hù)的內(nèi)容。

局部性檢查流程如下圖所示。發(fā)射器向接收器發(fā)送一個隨機(jī)數(shù) （rn），并期望通過 rn 和派生密鑰 Kd 計算的 HMAC-SHA256 值 L' 在 20ms 內(nèi)返回。如果局部性檢查失敗，無論是由于計時器過期還是 L 和 L' 不匹配，都可能導(dǎo)致身份驗(yàn)證失敗。該協(xié)議允許發(fā)送器通過發(fā)送具有新 rn 值的 LC_INIT 消息來重試位置檢查（最多 1024 次嘗試）。

局部檢查流程

會話和密鑰交換 （SKE）

成功完成 AKE 和位置檢查向 HDCP 發(fā)射器確認(rèn) HDCP 接收器有權(quán)接收受 HDCP 保護(hù)的視聽內(nèi)容。因此，在局部性檢查之后，發(fā)射器可以生成一個隨機(jī)的 128 位會話密鑰 （Ks），并使用 AKE 期間交換的主密鑰對其進(jìn)行加密并將其發(fā)送到接收器。

在 SKE 期間，HDCP 發(fā)射器：

生成秘密偽隨機(jī)會話密鑰 Ks 和 64 位偽隨機(jī)數(shù) Riv。

使用從 AES-128 加密派生的密鑰對此進(jìn)行加密，并將加密的消息SKE_SEND_EKS發(fā)送。

然后，此會話密鑰 Ks 和 Riv 將用于發(fā)射器對音頻視頻內(nèi)容的加密。接收方將能夠使用此密鑰解密內(nèi)容（請記住對稱密鑰加密技術(shù)）。

使用中繼器進(jìn)行身份驗(yàn)證

僅當(dāng)接收器是中繼器設(shè)備時，才需要執(zhí)行此可選步驟。此步驟用于將拓?fù)湫畔鞑サ桨l(fā)射器。轉(zhuǎn)發(fā)器累積整個下游接收器 ID 的列表以及拓?fù)錁渲械募墑e數(shù)。發(fā)射器還會檢查是否有任何接收器在其吊銷列表中。

身份驗(yàn)證成功后，發(fā)射器可以使用AES-128位加密算法開始加密視聽內(nèi)容，這是一種非常安全，快速的加密技術(shù)，能夠提供高帶寬。AES 內(nèi)核的密鑰是會話密鑰 （Ks） xor，具有秘密常數(shù) lc128。此秘密常數(shù)由DCP LLC提供。

審核編輯：郭婷