技術領域

本發明涉及數字電視芯片技術領域，特別是涉及一種機頂盒芯片及應用在機頂盒芯片中的數字簽名實現方法。

背景技術

隨著截止時間的臨近和數字技術的發展，中國的數字電視轉換步伐逐步加快，截止到2010年中國的有線數字電視用戶已經超過8000萬，IPTV用戶已達到850萬。隨著經濟的快速發展和生活水平的不斷改善，部分用戶對節目品位的要求也在不斷提高。為了滿足不同用戶對節目質量和節目類別的差異化需求，通過付費的方式向特定用戶開放相應節目的觀看權限逐步成為當前運營方式的主流。

同時由于利益的驅動，針對現有機頂盒芯片在安全方面的不足，通過各種方式非法觀看付費節目的現象屢見不鮮，甚至越來越多的盜版機頂盒在市場上也頻頻出現。為了盡可能的保證運營商及機頂盒廠商的利益，必須從芯片設計階段就開始考慮提高產品的安全性能。因此，具有高級安全特性的數字電視芯片應運而生。

為了保證機頂盒Flash中代碼的完整性，驗證Flash中Loader程序的數字簽名是一種防止黑客篡改并運行非授權程序的有效方式。在對程序的簽名驗證中，目前主要采用的是非對稱的RSA算法（RSA是Rivest、Shamir和Adleman提出來的基于數論非對稱性（公開鑰）加密算法，亦稱非對稱算法）。該算法要求CA廠商利用其私鑰對程序進行簽名，在機頂盒啟動過程中使用與其配對的公鑰進行驗證。為了保證芯片啟動時只能使用CA廠商提供的RSA公鑰進行驗簽，并保證芯片的通用性，一般將其植入到芯片內部的OTP（One-time Programmable，簡稱OTP）寄存器中。隨著安全強度需求的提高，目前機頂盒領域安全芯片已普遍使用2048BIT的密鑰長度，這將使得芯片內嵌OTP面積急劇增長，從而增加了芯片成本。

發明內容

鑒于以上所述現有技術的缺點，本發明的目的在于提供一種機頂盒芯片及應用在機頂盒芯片中的數字簽名實現方法，用于解決現有技術中因芯片內嵌OTP面積增長而帶來的芯片成本高的問題。

為實現上述目的及其他相關目的，本發明提供一種應用在機頂盒芯片中的數字簽名實現方法，所述數字簽名實現方法包括：使用所述芯片的密鑰對RSA公鑰進行加密，獲得RSA公鑰密文；將所述RSA公鑰密文存儲至所述Flash中的預設空間；對RSA公鑰運行哈希算法，獲取所述RSA公鑰的哈希值；將所述RSA公鑰的哈希值植入所述芯片的OTP寄存器中以供所述芯片啟動時進行簽名驗證。

本發明數字簽名實現方法的中，還包括對加載程序進行簽名的步驟：令預存在所述Flash中加載程序運行相應的哈希算法，獲取對應的哈希值；使用RSA私鑰對獲取的哈希值進行簽名，以獲取加載程序簽名；將所述加載程序簽名存儲至所述Flash中的預設空間。

本發明數字簽名實現方法中，所述芯片啟動時進行簽名驗證的步驟包括：從所述Flash中加載所述RSA公鑰密文，并使用所述芯片的密鑰對其解密，獲得RSA公鑰明文；對所述RSA公鑰明文運行相應的哈希算法以獲取哈希值；驗證獲取的哈希值與所述芯片的OTP寄存器中植入的所述RSA公鑰的哈希值是否一致，若一致，則所述RSA公鑰明文有效；若不一致，則所述RSA公鑰明文無效，則驗證失敗，進入CPU掛起狀態；使用該有效的RSA公鑰明文對所述加載程序簽名運行簽名驗證算法；若簽名驗證通過，運行加載程序；若簽名驗證未通過，進入CPU掛起狀態。具體地，所述芯片啟動時進行簽名驗證的步驟中還包括預先判斷啟動模式是否為安全模式的步驟，若是，則從所述Flash中加載所述RSA公鑰密文，并使用所述芯片的密鑰對其解密，獲得RSA公鑰明文；若否，則直接從所述Flash中加載并運行所述加載程序。

本發明還提供一種機頂盒芯片，包括：Flash存儲器，包括存儲有加載程序的程序存儲區、存儲有加載程序簽名的簽名存儲區、以及存儲有RSA公鑰密文的公鑰存儲區，其中，所述RSA公鑰密文由使用芯片密鑰對RSA公鑰進行加密時生成；以及OTP寄存器，包括存儲有RSA公鑰哈希值的存儲區及存儲有芯片密鑰的密鑰存儲區，其中，所述RSA公鑰哈希值由RSA公鑰運行哈希算法生成。

本發明的機頂盒芯片中，所述加載程序簽名由加載程序運行相應的哈希算法獲取對應的哈希值，并使用RSA私鑰對其進行簽名生成。