一种基于数字接口密钥的数据传输方法和系统与流程

1.本发明涉及数据传输相关技术领域，尤其是涉及一种基于数字接口密钥的数据传输方法和系统。


背景技术：

2.目前，常用的内容授权系统如drm客户端或ca客户端，内容授权系统接收到受保护的媒体内容后，在验证各组件(解密器、解码器、处理单元、渲染器、数字接口发送器)满足内容授权系统的授权策略后，交付给解密器解密、解码器解压缩、并通过视频处理单元处理后交给显示器处理单元进行渲染，最后交付给数字接口发送器。发送器通过数字接口通道传输渲染后数据给数字接口接收端，接收端接收到内容后呈现给显示器。
3.hdcp是一种数字接口传输保护标准。应用在数字接口上执行授权策略。通过配置数字接口发送器，可开启hdcp保护，发送器对内容进行再次加密传输给接收器，数字接口接收端需要支持hdcp并符合授权策略要求，接收并解密内容。而数字接口链路包含发送器source、中间复制以及路由节点repeater以及接收器sink，通过上行端口和下行端口连接。
4.当内容的授权策略变化时，接口链路上的发送器需要执行新的授权策略。目前，hdcp的发送器需要监测当前接口链路上的所有接收器是否符合授权策略要求，当存在不符合授权策略的接收器时，为了保证安全，发送器会终止该内容对所有接口的发送。即使接口链路上存在满足授权策略的接收器，也会因为在该接口链路上存在不符合授权策略的接收器而被动不能接收内容，影响了用户体验。


技术实现要素：

5.本发明旨在至少解决现有技术中存在的技术问题。为此，本发明提出一种基于数字接口密钥的数据传输方法和系统，根据接收器的属性提前分发与属性匹配的内容密钥给接收器，对于不同的授权策略采用不同的内容密钥加密内容，从而只有符合对应授权策略的接收器持有该内容密钥，而不符合授权策略的接收器因为没有提前接收到超出属性能力的内容密钥，从而无法解密不符合授权策略要求的内容。
6.本发明的第一方面，提供了一种基于数字接口密钥的数据传输方法，包括如下步骤：
7.获取每个接收器的属性，并根据所述接收器的属性为每个所述接收器划分对应的授权策略集合；其中，所述接收器的属性是发送器和所述接收器之间的接口保护标准对所述接收器的分类；所述授权策略集合中包含一个或多个授权策略；
8.生成所述授权策略集合中每一授权策略对应的内容密钥；
9.根据每个所述接收器的授权策略集合，为每个所述接收器分配对应的所述内容密钥；
10.获取明文和明文的授权策略，选取目标内容密钥加密明文，得到密文；其中，所述目标内容密钥是指与所述明文的授权策略对应的所述内容密钥；
11.将密文发送至全部所述接收器，以使分配有所述目标内容密钥的所述接收器选取所述目标内容密钥解密密文，得到明文。
12.根据本发明的实施例，至少具有如下技术效果：
13.本方法通过根据接收器的属性提前分发与属性匹配的内容密钥给接收器，对于不同的授权策略采用不同的内容密钥加密内容，从而只有符合对应授权策略的接收器持有该内容密钥，而不符合授权策略的接收器因为没有提前接收到超出属性能力的内容密钥，从而无法解密不符合授权策略要求的密文。
14.根据本发明的一些实施例，所述接收器的属性包括能力属性项和所述能力属性对应的能力数值；授权策略包括授权项和所述授权项对应的授权项要求值；所述获取每个接收器的属性，并根据所述接收器的属性为每个所述接收器划分对应的授权策略集合，包括：
15.获取每个所述接收器的所述能力属性项以及所述能力数值；
16.按照所述接收器的所述能力属性项分配对应的授权项，并按照所述接收器的所述能力数值分配对应的授权项要求值；
17.根据所述接收器分配的所述授权项和所述授权项要求值组合得到对应的授权策略，集合所述接收器的所有授权策略，得到所述接收器的授权策略集合。
18.根据本发明的一些实施例，所述方法还包括：
19.根据所述接收器的能力属性项的维度，分别构建每一维度的hash链函数，并根据所述能力属性项对应的所述能力数值，为每一维度的所述hash链函数分配对应的层级，得到所述接收器的每一维度对应的hash链密钥；
20.将分配给每一所述接收器的所有所述hash链密钥发送至对应的所述接收器；
21.若当前时刻的授权策略发生变化，根据所述当前时刻的授权策略选择对应的hash链密钥生成内容密钥，通过内容密钥加密明文，得到密文，将密文和所述当前时刻的授权策略发送至全部接收器，以使所述接收器根据所述当前时刻的授权策略，迭代已有的所述hash链密钥并计算生成内容密钥，并使所述接收器根据生成的内容密钥解密密文，得到明文。
22.根据本发明的一些实施例，所述hash链函数为单向哈希函数，表达式为根据本发明的一些实施例，所述hash链函数为单向哈希函数，表达式为其中，所述属性i表示所述接收器的能力属性项的第i个维度，所述属性i的初始密钥设置为
23.根据本发明的一些实施例，所述接收器的每一维度对应的hash链密钥计算公式为其中，p为目标接收器的属性i的能力数值，n为所述属性i的最高能力数值。
24.根据本发明的一些实施例，所述授权策略的授权项之间利用异或运算进行组合。
25.本发明的第二方面，提供一种基于数字接口密钥的数据传输系统，其包括如本发明第一方面所述的一种基于数字接口密钥的数据传输方法，所述基于数字接口密钥的数据传输系统包括：
26.属性获取模块，用于获取每个接收器的属性；
27.授权策略分配模块，用于根据所述接收器的属性为每个所述接收器划分对应的授权策略集合；其中，所述接收器的属性是发送器和所述接收器之间的接口保护标准对所述接收器的分类；所述授权策略集合中包含一个或多个授权策略；
28.内容密钥生成模块，用于生成所述授权策略集合中每一授权策略对应的内容密钥；
29.内容密钥分配模块，用于根据每个所述接收器的授权策略集合，为每个所述接收器分配对应的所述内容密钥；
30.数据加密模块，用于获取明文和明文的授权策略，选取目标内容密钥加密明文，得到密文；其中，所述目标内容密钥是指与所述明文的授权策略对应的所述内容密钥；
31.密文发送模块，用于将密文发送至全部所述接收器，以使分配有所述目标内容密钥的所述接收器选取所述目标内容密钥解密密文，得到明文。
32.本系统通过根据接收器的属性提前分发与属性匹配的内容密钥给接收器，对于不同的授权策略采用不同的内容密钥加密内容，从而只有符合对应授权策略的接收器持有该内容密钥，而不符合授权策略的接收器因为没有提前接收到超出属性能力的内容密钥，从而无法解密不符合授权策略要求的密文。
33.根据本发明的一些实施例，所述接收器的属性包括能力属性项和所述能力属性对应的能力数值；授权策略包括授权项和所述授权项对应的授权项要求值，所述授权策略分配模块，还包括：
34.能力属性获取模块，用于发送器得到每一所述接收器的所述能力属性项以及所述能力数值；
35.授权项分配模块，用于发送器按照所述接收器的所述能力属性项分配对应的授权项，并按照所述接收器的所述能力数值分配对应的授权项要求值；
36.授权策略获得模块，用于发送器根据所述接收器分配的所述授权项和所述授权项要求值组合得到对应的授权策略，集合所述接收器的所有授权策略，得到所述接收器的授权策略集合。
37.根据本发明的一些实施例，所述系统还包括：
38.hash链密钥生成模块，用于根据所述接收器的能力属性项的维度，分别构建每一维度的hash链函数，并根据所述能力属性项对应的所述能力数值，为每一维度的所述hash链函数分配对应的层级，得到所述接收器的每一维度对应的hash链密钥；
39.hash链密钥分配模块，用于将分配给每一所述接收器的所有所述hash链密钥发送至对应的所述接收器；
40.内容密钥切换模块，若当前时刻的授权策略发生变化，根据所述当前时刻的授权策略选择对应的hash链密钥生成内容密钥，通过内容密钥加密明文，得到密文，将密文和所述当前时刻的授权策略发送至全部接收器，以使所述接收器根据所述当前时刻的授权策略，迭代已有的所述hash链密钥并计算生成内容密钥，并使所述接收器根据生成的内容密钥解密密文，得到明文。
41.本发明的第三方面，提供了一种基于数字接口密钥的数据传输电子设备，包括至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器；所述存储器存储有可被所述至少一个控制处理器执行的指令，所述指令被所述至少一个控制处理器执行，以使所述至少一个控制处理器能够执行上述的基于数字接口密钥的数据传输方法。
42.本发明的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述的基于数字接口
密钥的数据传输方法。
43.需要注意的是，本发明的第二方面至第四方面与现有技术之间的有益效果与上述的一种基于数字接口密钥的数据传输系统与现有技术之间的有益效果相同，此处不再细述。
44.本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
45.本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
46.图1是本发明一实施例的一种基于数字接口密钥的数据传输方法的流程图；
47.图2是本发明一实施例的一种基于数字接口密钥的数据传输系统的流程图。
具体实施方式
48.下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。
49.在本发明的描述中，如果有描述到第一、第二等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
50.在本发明的描述中，需要理解的是，涉及到方位描述，例如上、下等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
51.本发明的描述中，需要说明的是，除非另有明确的限定，设置、安装、连接等词语应做广义理解，所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
52.当内容的授权策略变化时，接口链路上的发送器需要执行新的授权策略。目前，hdcp的发送器需要监测当前接口链路上的所有接收器是否符合授权策略要求，当存在不符合授权策略的接收器时，为了保证安全，发送器会终止该内容对所有接口的发送。即使接口链路上存在满足授权策略的接收器，也会因为在该接口链路上存在不符合授权策略的接收器而被动不能接收内容，影响了用户体验。
53.为了解决上述技术缺陷，参照图1，本发明的一个实施例，提供一种基于数字接口密钥的数据传输方法，包括：
54.s101、获取每个接收器的属性，并根据接收器的属性为每个接收器划分对应的授权策略集合；其中，接收器的属性是发送器和接收器之间的接口保护标准对接收器的分类；授权策略集合中包含一个或多个授权策略。
55.s102、生成授权策略集合中每一授权策略对应的内容密钥。
56.s103、根据每个接收器的授权策略集合，为每个接收器分配对应的内容密钥。
57.s104、获取明文和明文的授权策略，选取目标内容密钥加密明文，得到密文；其中，目标内容密钥是指与明文的授权策略对应的内容密钥。
58.s105、将密文发送至全部接收器，以使分配有目标内容密钥的接收器选取目标内容密钥解密密文，得到明文。
59.本方法通过根据接收器的属性提前分发与属性匹配的内容密钥给接收器，对于不同的授权策略采用不同的内容密钥加密内容，从而只有符合对应授权策略的接收器持有该内容密钥，而不符合授权策略的接收器因为没有提前接收到超出属性能力的内容密钥，从而无法解密不符合授权策略要求的密文。
60.在一些实施例中，接收器的属性包括能力属性项和能力属性对应的能力数值；授权策略包括授权项和授权项对应的授权项要求值；获取每个接收器的属性，并根据接收器的属性为每个接收器划分对应的授权策略集合，包括：
61.获取每个接收器的能力属性项以及能力数值。
62.按照接收器的能力属性项分配对应的授权项，并按照接收器的能力数值分配对应的授权项要求值。
63.根据接收器分配的授权项和授权项要求值组合得到对应的授权策略，集合接收器的所有授权策略，得到接收器的授权策略集合。
64.在一些实施例中，方法还包括：
65.根据接收器的能力属性项的维度，分别构建每一维度的hash链函数，并根据能力属性项对应的能力数值，为每一维度的hash链函数分配对应的层级，得到接收器的每一维度对应的hash链密钥。
66.将分配给每一接收器的所有hash链密钥发送至对应的接收器。
67.若当前时刻的授权策略发生变化，根据当前时刻的授权策略选择对应的hash链密钥生成内容密钥，通过内容密钥加密明文，得到密文，将密文和当前时刻的授权策略发送至全部接收器，以使接收器根据当前时刻的授权策略，迭代已有的hash链密钥并计算生成内容密钥，并使接收器根据生成的内容密钥解密密文，得到明文。
68.通过将密文和当前时刻的授权策略同时发送至全部接收器，缩短了选取目标内容密钥的时间，提高了解密的效率，同时，通过hash链密钥的方式减少了内容密钥的分发数量。
69.在一些实施例中，hash链函数为单向哈希函数，表达式为其中，属性i表示接收器的能力属性项的第i个维度，属性i的初始密钥设置为
70.在一些实施例中，接收器的每一维度对应的hash链密钥计算公式为其中，p为目标接收器的属性i的能力数值，n为属性i的最高能力数值。
71.在一些实施例中，授权策略的授权项之间利用异或运算进行组合。
72.为了便于本领域人员的理解，以下提供一组最佳实施例：
73.1、把接收器属性进行分级。例如：有2个能力属性(能力属性取决于策略项)参与分级，2个能力属性为版本version和安全等级level。设定version最大能力数值为n，level最大能力数值为m。
74.2、分别构造2个能力属性的hash链函数以及生成2个能力属性的初始密钥，版本的哈希函数为f
n+1
＝hmac(fn，"version")，安全等级的哈希函数为g
m+1
＝hmac(gm，"level"),版本的初始密钥设置为f1,安全等级的初始密钥设置为g1。
75.3、发送器获得接收器的能力数值，例如当前2个接收器，接收器a的版本能力数值为1，安全等级能力数值为2，接收器b的版本能力数值为2，安全等级能力数值为1。
76.4、根据2个接收器的不同能力属性，生成不同的2个维度的hash链密钥发送给接收器，接收器的每一维度对应的hash链密钥计算公式为其中，p为目标接收器的属性i的能力数值，n为属性i的最高能力数值。只需要发跟维度数量一致的密钥数量，不同的能力属性接收器hash链迭代次数不同。
77.例如，接收器a为version1，level2和接收器b为version2，level1，则发送给接收器a的2个hash链密钥为fn与g
m-1
(根据versioni的密钥值为f
n-i+1
计算，levelj的密钥值为g
m-j+1
计算)，发送给接收器b的2个hash链密钥为f
n-1
与gm。
78.5、设置授权策略的内容密钥的计算方法k
i,j
＝f
n-i+1 xor g
m-j+1
；其中，xor为异或运算，按该公式最高的授权策略的内容密钥为k
n,m
＝f
1 xor g1，此时，i＝n,j＝n。
79.设置授权策略version i，level j，与接收器的能力数值对比差值，分别计算f
n-i+1
和g
m-j+1
。
80.例如：接收器a，从第4步骤中获得fn与g
m-1
，根据hash链函数的单向性特点可以计算出version1，level1和version1，level2的hash链密钥分别为fn、gm和fn、g
m-1
。其中gm由g
m-1
迭代一次gm＝hmac(g
m-1
，"level")获得。
81.接收器b，从第4步骤中获得f
n-1
与gm，根据哈希函数的单向性特点可以计算出version1，level1和version2，level1的hash链密钥分别为fn、gm和f
n-1
、gm。其中fn由f
n-*1
迭代一次fn＝hmac(f
n-1
，"version")获得。
82.例如，当前授权策略为version1，level1，则接收器通过k
1,1
＝f
n xor gm计算获得内容密钥，此时接收器a和接收器b都有内容密钥，都可以解密密文。
83.当内容的授权策略要求变化时，变化为version1，level2，内容密钥切换为k
1,2
＝f
n xor g
m-1
,使用新内容密钥k
1,2
加密明文，发送器把新的授权策略连同加密后的密文发送给接收器a和接收器b。
84.接收器a，通过步骤4中获得的fn与g
m-1
计算得到k
1,2
解密密文。
85.接收器b，通过步骤4中获得f
n-1
与gm，因为哈希函数的不可逆性，gm无法计算出g
m-1
，进而无法计算出k
1,2
，接收器b无法解密新授权策略的密文。
86.即高版本接收器可以解密低版本要求的密文，高安全等级的接收器可以解密低安全等级要求的密文。
87.另外，参照图2，本发明还提供了一种基于数字接口密钥的数据传输系统，包括属性获取模块1100、授权策略分配模块1200、内容密钥生成模块1300、内容密钥分配模块1400、数据加密模块1500以及密文发送模块1600，其中：
88.属性获取模块1100用于获取每个接收器的属性。
89.授权策略分配模块1200用于根据接收器的属性为每个接收器划分对应的授权策略集合；其中，接收器的属性是发送器和接收器之间的接口保护标准对接收器的分类；授权策略集合中包含一个或多个授权策略。
90.内容密钥生成模块1300用于生成授权策略集合中每一授权策略对应的内容密钥。
91.内容密钥分配模块1400用于根据每个接收器的授权策略集合，为每个接收器分配对应的内容密钥。
92.数据加密模块1500用于获取明文和明文的授权策略，选取目标内容密钥加密明文，得到密文；其中，目标内容密钥是指与明文的授权策略对应的内容密钥。
93.密文发送模块1600用于将密文发送至全部接收器，以使分配有目标内容密钥的接收器选取目标内容密钥解密密文，得到明文。
94.本系统通过根据接收器的属性提前分发与属性匹配的内容密钥给接收器，对于不同的授权策略采用不同的内容密钥加密内容，从而只有符合对应授权策略的接收器持有该内容密钥，而不符合授权策略的接收器因为没有提前接收到超出属性能力的内容密钥，从而无法解密不符合授权策略要求的密文。
95.在一些实施例中，接收器的属性包括能力属性项和能力属性对应的能力数值；授权策略包括授权项和授权项对应的授权项要求值，授权策略分配模块，还包括：
96.能力属性获取模块，用于发送器得到每一接收器的能力属性项以及能力数值。
97.授权项分配模块，用于发送器按照接收器的能力属性项分配对应的授权项，并按照接收器的能力数值分配对应的授权项要求值。
98.授权策略获得模块，用于发送器根据接收器分配的授权项和授权项要求值组合得到对应的授权策略，集合接收器的所有授权策略，得到接收器的授权策略集合。
99.在一些实施例中，系统还包括：
100.hash链密钥生成模块，用于根据接收器的能力属性项的维度，分别构建每一维度的hash链函数，并根据能力属性项对应的能力数值，为每一维度的hash链函数分配对应的层级，得到接收器的每一维度对应的hash链密钥。
101.hash链密钥分配模块，用于将分配给每一接收器的所有hash链密钥发送至对应的接收器。
102.内容密钥切换模块，若当前时刻的授权策略发生变化，根据当前时刻的授权策略选择对应的hash链密钥生成内容密钥，通过内容密钥加密明文，得到密文，将密文和当前时刻的授权策略发送至全部接收器，以使接收器根据当前时刻的授权策略，迭代已有的hash链密钥并计算生成内容密钥，并使接收器根据生成的内容密钥解密密文，得到明文。
103.通过将密文和当前时刻的授权策略同时发送至全部接收器，缩短了选取目标内容密钥的时间，提高了解密的效率，同时，通过hash链密钥的方式减少了内容密钥的分发数量。
104.需要注意的是，本方法实施例与上述的系统实施例是基于相同的发明构思，因此上述方法实施例的相关内容同样适用于本系统实施例，这里不再赘述。
105.本技术还提供一种基于数字接口密钥的数据传输电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现：如上述的基于数字接口密钥的数据传输方法。
106.处理器和存储器可以通过总线或者其他方式连接。
107.存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态
存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
108.实现上述实施例的基于数字接口密钥的数据传输方法所需的非暂态软件程序以及指令存储在存储器中，当被处理器执行时，执行上述实施例中的基于数字接口密钥的数据传输方法，例如，执行以上描述的图1中的方法步骤s101至步骤s105。
109.本技术还提供一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行：如上述的基于数字接口密钥的数据传输方法。
110.该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个处理器或控制器执行，例如，被上述电子设备实施例中的一个处理器执行，可使得上述处理器执行上述实施例中的基于数字接口密钥的数据传输方法，例如，执行以上描述的图1中的方法步骤s101至步骤s105。
111.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序单元或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序单元或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
112.上面结合附图对本发明实施例作了详细说明，但本发明不限于上述实施例，在所属技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。