使用点对点认证协议对加密流进行高效路由制造技术

实施例涉及经由路由器将加密数据从信源路由至信宿，而无需在所述路由器中解密所述数据。所述信源与所述路由器进行认证，结果是产生会话密钥和伪随机数。所述路由器使用相同的会话密钥和伪随机数与所述信宿进行认证。所述路由器将从所述信源接收的加密数据传递至所述信宿，而无需解密以及重加密。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1.
本公开总体上涉及数据通信，并且更具体地涉及通过路由器在媒体信源与媒体信宿之间路由加密流。2.相关技术说明高带宽数字内容保护(HDCP)是一种被设计为用于跨各接口保护数字内容的规范。典型的HDCP配置包括HDCP数据信源设备(即DVD播放器、HD DVD播放器、蓝光播放器、计算机视频卡等)、HDCP中继器(即接收机)以及一个或多个HDCP数据信宿设备(即电视、监控器等)。经由HDCP中继器将加密的数据流从HDCP信源设备传输到HDCP信宿设备。在传输数据流之前，信源设备与中继器设备进行认证，并且中继器设备与下游信宿设备进行认证。作为一个示例应用，HDCP被用来加密数据流。HDCP版本2.2(HDCP2.2)中继器可以将HDCP2.2加密流从数据信源路由至数据信宿，但是其是通过对到来的加密流进行解密并且然后重加密所述流以便进行下游传送做到这样的。由于高级加密标准(AES)引擎的数量，HDCP2.2解密和加密是实施起来比较昂贵的功能。
技术实现思路
实施例涉及经由路由器将加密数据从信源设备路由至信宿设备，而无需在所述路由器中解密所述数据。所述信源设备通过执行点对点认证在路由器的第一端口处与所述路由器进行认证。认证成功之后，所述路由器从所述信源设备接收会话密钥和伪随机数。然后，所述路由器在第二端口处与第一信宿设备进行认证。在所述路由器成功与所述第一信宿设备进行认证之后，所述路由器将其从所述信源设备接收的相同的会话密钥和伪随机数发送至所述第一信宿设备。所述路由器在所述第一端口处接收来自所述信源设备的第一加密流。然后，所述路由器将所述加密流从所述第一端口路由至所述第二端口，无需解密以及重加密所述数据。然后，所述路由器将所述加密流从所述第二端口发送至所述第一信宿设备。在一个实施例中，所述路由器从所述信源接收第二加密流，所述第二加密流是使用与所述第一加密流相同的会话密钥和相同的伪随机数进行加密的。所述路由器将所述第二数据流从所述第一端口路由至第三端口并且然后将所述第二加密数据从所述第三端口发送至第二信宿设备。在一个实施例中，所述路由器将包括所述第一加密流和所述第二加密流的多路复用流解复用成两个分开的加密流。在一个实施例中，所述认证协议包括所述路由器从所述信源设备接收认证邀请。然后，所述路由器将对所述邀请的确认发送至所述信源设备，所述确认包括下游信宿能力。然后，所述路由器接收确认并且使用所述确认中的信息来计算验证值(H’)。所述路由器将所述验证值(H’)连同配对信息一起发送至所述信源设备。在一个实施例中，所述认证协议包括高带宽数字内容保护(HDCP)。在一个实施例中，所述信源与所述路由器经由有线通信网络相连。在一个实施例中，所述有线通信网络使用高清多媒体接口(HDMI)或移动高清连接(MHL)协议。附图说明通过结合附图思考以下详细说明可以容易地理解本文中描述的实施例的教导。图1是框图，示出了根据一个示例的系统，所述系统包括用于将加密流从信源路由至信宿的中继器。图2是根据一个实施例的系统的框图，所述系统包括路由器，所述路由器用于路由加密流，而无需在所述路由器中进行解密和重加密。图3是示意图，示出了根据一个实施例的在认证协议中使用的密码结构。图4是根据一个实施例的方法的流程图，所述方法用于通过路由器将加密数据经由路由器从信源路由至信宿，而无需在所述路由器中进行解密以及重加密。图5是根据一个实施例的计算设备的框图，所述计算设备用于进行与图2的所述路由器相关联的设计操作。具体实施方式附图和以下说明仅通过展示的方式涉及各实施例。从以下讨论应当注意到，在本文中所公开的结构和方法的替代性实施例将被轻易地认为是在不背本文中所讨论的原则的情况下可以采用的可行的替代方案。现将详细参考若干实施例，附图中图示了所述实施例的示例。实施例涉及经由路由器将加密数据从信源路由至信宿，而无需在所述路由器中解密所述数据。所述信源与所述路由器进行认证，认证成功之后，所述路由器从所述信源接收会话密钥和伪随机数。所述路由器与所述信宿进行认证，认证成功之后，所述路由器将相同的会话密钥和伪随机数发送至所述信宿。所述路由器将从所述信源接收的加密数据传递至所述信宿，而无需解密以及重加密。本文中所描述的点对点认证是指对在两个节点之间的连接进行的认证。节点的示例包括：DVD播放器、HD DVD播放器、机顶盒、游戏主机、电视、播放器、投影仪、交换器等。用于执行点对点认证方案的协议包括高带宽数字内容保护(HDCP)等。本文中描述的解复用是指将单个流拆分成多个流的过程。以下实施例主要是在移动高清连接(MHL)的环境中使用高清带宽数字内容保护(HDCP)2.2作为示例进行描述的。然而，其他认证方案和媒介传输方案也可以使用本文所描述的公开的原理。图1是框图，示出了根据一个示例的系统，所述系统包括信源110；信宿180A、180B；以及路由加密流的中继器150。信源110的示例包括DVD播放器、HD DVD播放器、蓝光播放器和计算机视频卡。信宿180的示例包括电视、监控器和播放器。在图1中，信源110例如根据HDCP 2.2标准使用中继器150在第一端口185启动点对点认证过程。在使用信源110成功认证中继器150之后，中继器150在第一端口185从信源110接收会话密匙ks1和伪随机数riv1。为方便起见，本文中将会话密匙ks1和伪随机数riv1合起来称为“第一加密数据”。在中继器150接收会话密匙ks1和伪随机数riv1之后，信源110在第一端口185将加密内容流121和122发送至中继器150。中继器150中的HDCP接收机(RX)引擎152包括译码引擎153。译码引擎153使用所述第一加密数据(ks1和riv1)来解密所述加密内容并且恢复未加密流131和132。与信源110与中继器150进行的认证分开地，中继器分别在第二端口186和第三端口187进行对信宿180A和180B的认证。具体地，中继器150的下游端口157A经由第二端口186使用信宿180A进行认证过程，并且下游端口157B经由第三端口187使用信宿180B进行另一认证过程。这两个认证过程使用不同的加密数据。如在上游握手中一样，HDCP发射机(TX)引擎158A和相应的信宿180A共享第二加密数据(即会话密钥ks2和伪随机数riv2)，并且HDCP TX引擎158B和相应的信宿180B共享第三加密数据(即会话密钥ks3和伪随机数riv3)。HDCP TX引擎158A包括密码引擎157A，所述密码引擎使用第二加密数据ks2和riv2来对流171进行加密。相似地，HDCP TX引擎158B包括用于对流172进行加密的密码引擎157B。信宿180A使用第二加密数据(即ks2和riv2)来对加密流171进行解密。相似地，信宿180B使用第三加密数据(即ks3和riv3)来对加密流172进行解密。本文中所描述的认证过程包括一系列过程。信源110与中继器150进行认证。在信源110与中继器150之间进行成功认证之后，中继器110将第一会话密匙ks1和第一伪随机数riv1发送至中继器150。与在信源110与中继器150之间的认证分开地，中继器150与信宿180A进行认证。在中继器150与信宿180A之本文档来自技高网...

【技术保护点】
一种用于对加密数据进行路由的方法，所述方法包括：通过与第一设备进行通信借助于用于进行点对点认证的认证协议使路由器与所述第一设备进行认证；在所述路由器的第一端口处接收来自所述第一设备的用于所述会话的会话密钥和伪随机数；通过路由器的第二端口与第二设备进行通信借助于所述认证协议使路由器与所述第二设备进行认证；将用于所述会话的相同的会话密钥和伪随机数从所述第二端口发送至所述第二设备；在所述第一端口处接收来自所述第一设备的第一加密流，所述第一加密流是使用所述会话密钥和所述伪随机数加密的；将所述第一加密流从所述第一端口路由至所述第二端口，而无需加密或解密所述第一加密流；以及将所述第一加密流从所述第二端口发送至所述第二设备。

【技术特征摘要】
【国外来华专利技术】2014.04.14 US 61/979,477;2015.01.30 US 14/610,8551.一种用于对加密数据进行路由的方法，所述方法包括：通过与第一设备进行通信借助于用于进行点对点认证的认证协议使路由器与所述第一设备进行认证；在所述路由器的第一端口处接收来自所述第一设备的用于所述会话的会话密钥和伪随机数；通过路由器的第二端口与第二设备进行通信借助于所述认证协议使路由器与所述第二设备进行认证；将用于所述会话的相同的会话密钥和伪随机数从所述第二端口发送至所述第二设备；在所述第一端口处接收来自所述第一设备的第一加密流，所述第一加密流是使用所述会话密钥和所述伪随机数加密的；将所述第一加密流从所述第一端口路由至所述第二端口，而无需加密或解密所述第一加密流；以及将所述第一加密流从所述第二端口发送至所述第二设备。2.如权利要求1所述的方法，进一步包括：在所述第一端口处接收来自所述第一设备的第二加密流，所述第二加密流是通过使用所述会话密钥和所述伪随机数加密的；将所述第二加密流从所述第一端口路由至所述路由器的第三端口；以及将所述第二加密流从所述第三端口发送至第三设备。3.如权利要求2所述的方法，进一步包括将包括所述第一加密流和所述第二加密流的多路复用流解复用成用于路由至所述第二端口的所述第一加密流以及用于路由至所述第三端口的所述第二加密流。4.如权利要求1所述的方法，其中，所述认证协议包括高带宽数字保护(HDCP)2.2。5.如权利要求4所述的方法，其中，与所述第一设备进行所述认证包括：从所述第一设备接收认证发起消息，所述认证发起消息包含第一伪随机值和发射机能力参数；将确认发送证书消息发送至所述第一设备，所述确认发送证书消息包含接收机证书、第二伪随机数和接收机能力参数；从所述第一设备接收表示没有存储主密钥的存储确认，所述存储确认包含使用接收机公钥加密的主密钥；至少基于所述第一伪随机值、所述接收机能力参数、所述发射机能力参数和衍生密钥来计算验证值；将验证值确认消息发送至所述第一设备；以及将配对信息发送至所述第一设备，所述配对信息是通过使用内部密钥加密所述主密钥生成的。6.如权利要求1所述的方法，其中，所述第一加密流、所述会话密钥和所述伪随机数通过有线通信网络传输。7.如权利要求6所述的方法，其中，所述通信会话是使用高清多媒体接口(HDMI)或移动高清连接(MHL)协议进行的。8.一种用于对加密数据进行路由的路由器，所述路由器包括：连接到第一端口的接收机引擎，所述接收机引擎被配置成用于：通过用于进行点对点认证的认证协议经由所述第一端口与第一设备进行认证，从所述第一设备接收用于所述会话的会话密钥和伪随机数，以及在所述第一端口处接收来自所述第一设备的第一加密流，所述第一加密流是使用所述会话密钥和所述伪随机数经由所述第一端口加密的；连接到第二端口的第一发射机引擎，所述发射机引擎被配置成用于：使用所述认证协议经由所述第二端口与第二设备进行认证，经由所述第二端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第二设备，以及经由所述第二端口将所述第一加密流发送至所述第二设备；以及在所述接收机引擎与所述发射机引擎之间的路径，所述路径用于将所述第一加密流从所述接收机路由至所述发射机。9.如权利要求8所述的路由器，进一步包括第二发射机引擎，所述第二发射机引擎被配置成用于：使用所述认证协议经由所述路由器的第三端口与第三设备进行认证，经由所述第三端口将用于所述会话的相同的会话密钥和伪随机数发送至所述第二设备，以及将经由所述第一端口从所述第一设备接收的第二加密流经由所述第三端口发送至第三设备。10.如权利要求9所述的路由器，其中，所述...

【专利技术属性】
技术研发人员：李周桓，W·杨，崔薰，
申请(专利权)人：美国莱迪思半导体公司，
类型：发明
国别省市：美国;US