本發明提供一種DCP公鑰的保護方法、裝置及HDCP設備。所述方法包括：在HDCP設備出廠時，將DCP公鑰寫入RPMB中，并利用哈希算法對所述DCP公鑰進行哈希運算，將得到的DCP公鑰的哈希值寫入eFuse中；在接收到接收端發送的HDCP證書之后，讀取存儲在RPMB中的DCP公鑰，并使用eFuse中存儲的所述DCP公鑰的哈希值對所述DCP公鑰進行校驗；若校驗失敗，則終止對所述HDCP證書進行簽名驗證；若校驗成功，則使用所述DCP公鑰對所述HDCP證書進行簽名驗證。本發明能夠保證HDCP證書的簽名驗證的安全性，避免音視頻內容的泄露。

技術領域

本發明涉及數字內容保護技術領域，尤其涉及一種DCP公鑰的保護方法、裝置及HDCP設備。

背景技術

HDCP(High-bandwidth Digital Content Protection，高帶寬數字內容保護)是Intel為了保護高清數字內容提出的一套協議，目前歸DCP組織所有和維護。它描述了認證可信設備，然后在可信設備間傳輸加密音視頻內容的一系列的流程。

在基于HDCP進行音視頻內容加密傳輸的過程中，當音視頻內容發送端(Transmitter)在發送加密內容給接收端(Receiver)之前，首先要認證接收端是否為可信設備。發送端首先要求接收端發送HDCP證書，該證書中至少包含：接收端的設備ID、接收端自己的公鑰以及DCP對該接收端的簽名。在發送端收到來自接收端的證書后，使用DCP公鑰(Kpubdcp)對該證書的簽名進行驗證，如果簽名驗證不通過就終止HDCP流程；如果通過則發送一個主密鑰(Km)給接收端，該主密鑰作為后面流程中對會話密鑰(Ks)加密的密鑰，對整個流程起著非常重要的作用。

在實現本發明的過程中，發明人發現現有技術中至少存在如下技術問題：

如果DCP公鑰(Kpubdcp)被惡意程序篡改為它所需要的內容的話，就可能導致不合法的證書也會通過驗證，而發送端仍然會發送主密鑰(Km)給接收端，進而導致會話密鑰(Ks)泄露，對音視頻內容進行加密的加密密鑰是由Ks和lc128異或而成，如果Ks泄露，會增加該加密密鑰被破解的風險，進而導致想要保護的音視頻內容泄露。

發明內容

本發明提供的DCP公鑰的保護方法、裝置及HDCP設備，能夠保證HDCP證書的簽名驗證的安全性，避免音視頻內容的泄露。

第一方面，本發明提供一種DCP公鑰的保護方法，包括：

在HDCP設備出廠時，將DCP公鑰寫入RPMB中，并利用哈希算法對所述DCP公鑰進行哈希運算，將得到的DCP公鑰的哈希值寫入eFuse中；

在接收到接收端發送的HDCP證書之后，讀取存儲在RPMB中的DCP公鑰，并使用eFuse中存儲的所述DCP公鑰的哈希值對所述DCP公鑰進行校驗；

若校驗失敗，則終止對所述HDCP證書進行簽名驗證；若校驗成功，則使用所述DCP公鑰對所述HDCP證書進行簽名驗證。

可選地，所述哈希算法使得經過哈希運算后得到的DCP公鑰的哈希值的長度不超過eFuse存儲空間的限制。

可選地，所述哈希算法為SHA1或SHA-256。

可選地，所述DCP公鑰的哈希值的長度為160比特或256比特。

第二方面，本發明提供一種DCP公鑰的保護裝置，包括：

第一寫入單元，用于在HDCP設備出廠時，將DCP公鑰寫入RPMB中；

計算單元，用于利用哈希算法對所述DCP公鑰進行哈希運算；

第二寫入單元，用于將得到的DCP公鑰的哈希值寫入eFuse中；

讀取單元，用于在接收到接收端發送的HDCP證書之后，讀取存儲在RPMB中的DCP公鑰；