HDCP高清晰度数字电视内容保护协议分析

提要：随着数字电视的发展，无压缩的宽带数字内容保护技术的需求与日俱增，本文详细介绍了当前主流的高带宽数字内容保护（HDCP)协议。HDCP协议分3个认证过程，第一步是设备合法性认证，每个设备都有一个由40个56位设备私有密钥组成的设备私有密钥集以及密码选择向量。设备合法性认证是在内容提供者和接收者之间交换密码选择向量后计算并验证完成。第二步是中继认证，HDCP系统允许组建不超过128个节点的树状拓扑网络，网络层次不能超过7层。第三步是加密传输，只有在设备合法性认证通过后才进入此步骤。加密传输开始于设备合法性认证通过后的第一个视频帧之前的场消隐期，HDCP加密机为每个像素实时产生与设备密码选择向量相关的24位伪随机码流，与原始24位视频数据按位异或后进入最小化传输差分信号（TMDS）编码器，开始传送视频数据。

关键词：数字电视；内容保护；HDCP

引言

随着人们追求更高的娱乐享受和高清晰度数字电视(HDTV)的发展，传统的模拟视频接口，例如复合视频全信号（CVBS）和亮色分离（S-Video）等已经不能满足数字视频宽带传输的需要，1080i@50Hz制式下的分量视频数据无损传输每路需要的数据码率接近600Mbps，因此宽带视频以及多媒体接口被开发出来。例如，数字视频接口（DVI，Digital Visual Interface)和高清晰度多媒体接口（HDMI，High-Definition Multimedia Interface)。过去模拟方式的视频和录音磁带都会因为拷贝而导致产品质量退化，因此正版产品在质量上总能保证比盗版产品更加优越，尤其是与多次复制的复版磁带相比。但由于数字音视频采用01比特保存内容，可以以任何数字文件格式完好无损地被拷贝，欣赏起来几乎与最原始源文件没有任何区别，因此极易造成不可控的盗版连续拷贝行为。当娱乐媒体没有被付费后，将导致合理购买它的价格上涨，甚至更糟糕的是，导致生产这些媒体资源的利润将达不到足够吸引商业投资的可能，以至于生产商由于利润的缩小而不再生产娱乐媒体产品。

事实上，好莱坞等数字电影和数字电视内容提供商一直在向相关部门施加巨大压力，要求打击在网络上开展付费视频服务和DVD下载的网站。因此，宽带传输高附加值数字内容的保护问题显得越来越重要。在此背景下，拷贝保护技术工作组(CPTWG，Copy Protection Technical Working Group)的5个成员公司Intel、日立、松下、索尼和东芝(以上5家公司也被非正式地称为“5C”)发起成立了数字传输内容保护(DTCP，Digital Transmission Content Protection)规范委员会。2004年8月，在广播电影电视行业的强大压力下，美国联邦通信委员会(FCC，Federal Communications Commission)批准了13项技术，在数字电视接收装置中实施广播标志，来提醒拥有适当权限的设备去限制互联网上的未授权节目转发。DTCP是被批准的也是唯一一项公开提供的输出保护技术。

目前获得DTCP认证的技术只有两个：(1)高带宽数字内容保护（HDCP，High-Bandwidth Digital Content Protection)，由Silicon Image公司委托的数字内容保护有限责任公司（DCPLLC）负责发放许可。(2)Windows Media数字权限管理（DRM，Digital Rights Management)10或更高版本(只获得了DTCP临时性授权)，由微软公司发放许可[6]。其中的HDCP是真正能够提供物理层端到端的数字音视频无损传输过程中内容保护的协议，本文将对最新推出的HDCP(1.2版本)作详细介绍。

HDCP协议概要

HDCP用于保护高附加值音视频内容，适用的接口包括DVI(1.1以上版本)与HDMI。HDCP系统包括HDCP内容发送方、HDCP中继器以及HDCP内容接收方3种角色，其中HDCP内容发送方端口唯一，而HDCP内容接收方可以有多个，内容可以被中继。系统拓扑属于简单的树状结构，总共允许有7层中继，128个节点。HDCP认证过程包括3个步骤：

(1)设备合法性认证：此步骤将在HDCP内容发送方和内容接收方之间建立可信的物理连接。所谓可信是指，内容发送方和内容接收方确认对方是得到HDCP保护的经过合法授权的设备，而不是非法的显示或内容提供设备。内容发送方指机顶盒、计算机主机等设备，而内容接收方指电视、显示器等设备。

(2)HDCP中继：当内容发送方和内容接收方之间直接连接时，没有此步骤。

(3)加密传输音视频内容：此过程必须在设备合法性认证过程完成之后才能开始，也就是只有在设备都是被合法授权的情况下，才开始传输加密的音视频内容。加密在每帧的场消隐期进行。

HDCP中继与组建网络相关，比较复杂，将另文讨论，这里将主要讨论HDCP内容发送方和内容接收方直接连接的情况。

HDCP设备合法性认证过程

HDCP设备合法性认证是HDCP系统的第一步。每个HDCP设备都包括40个不同的56位设备私钥(DevicePrivateKey)组成的私钥集，以及与设备一一对应的设备选择向量(DeviceSelectionVector)。该设备私钥集由SiliconImage授权的DCPLLC负责提供，对每个设备制造商唯一。如发现有私钥集泄漏问题，DCPLLC组织会撤销该设备制造商的认证许可。HDCP设备合法性认证过程状态图如图1所示。

图1 设备合法性认证过程

设备合法性认证是HDCP系统的基础，内容发送方可以在任何时刻发起认证。假设HDCP内容发送方是“设备A”，它首先向HDCP内容接收者发送自身的私钥选择向量A_ksv，以及一个64位的伪随机序列A_n。A_n由HDCP密码机（hdcpRngCipher）生成。作为回应，HDCP内容接收者回发自身的密码选择向量B_ksv，B_ksv包含20个0和20个1。HDCP内容发送方在收到B_ksv之后需要验证该私钥集是否失效。如果有效，则HDCP内容发送方和接收者分别计算出一个56位的共享密钥K_m(内容发送方)和K'_m(内容接收方)。

HDCP设备合法性认证过程密码体系的核心在于，如果DeviceKeySet和DeviceSelectionVector中的一个不是由DCPLLC组织提供的，而是由他人伪造的，则K_m不等于K'_m。由于HDCP认证组织并未透露具体的HDCP密码体系生成机制，因此他人难以伪造，即使密码序列可能由于授权的过程而被泄漏。

K_m和K'm分别由内容发送方和内容接收者计算得到，但并不明文传送，因为这样容易引起密码泄漏。K_m和K'_m通过加密机（hdcpBlockCipher）加密为16位的R'₀后传送。最终的认证是由HDCP内容发送方向内容接收者读取R'₀，并比较R'₀与HDCP内容发送方本机计算得到的R₀是否一致。在时序关系上，HDCP内容发送方必须在向内容接收者写入密码选择向量A_ksv之后的100ms以后才可以从内容接收者读取R'₀，HDCP内容接收者也必须在收到A_ksv之后的100ms以内准备好R'₀。设备合法性认证密码体系是充分而非必要的，也就是说，如果认证通过，则R₀与R'₀一定相同；而如果认证通不过，则大多数情况下R₀与R'₀不相同，但不是所有情况下都不同。因此，设备合法性验证并不是非常严格，主要原因在于民用数字内容保护要求仅仅在于有和无，而不在于多么严格和难于破解，而且在HDCP系统的第三步数字内容加密传输部分通过再次认证作了弥补。

HDCP加密传输过程

当HDCP设备合法性认证通过之后，HDCP内容发送方在下一场开始之前的消隐期开始对内容进行加密传输。HDCP加密传输过程状态图如图2所示。

图2 加密传输过程

传送加密的视频流的第一步是密码机的初始化，HDCP内容提供者和接收者分别计算各自的初始化值K_i、M_i和R_i，i是对应的帧序列，K_i是用于初始化HDCP加密机的56位密码，M_i是一个新的64位HDCP加密机初始化值，R_i是用于连接完整性认证的16位密码，并且每隔128帧更新一次。HDCP内容提供者验证R'_i与本机生成的Ri，验证过程确认了接收机仍然可以正确接收和解码数字内容。R'_i与R_i的认证过程至少每隔2s执行一次。在R_i更新之前以及在R_i更新之后的1ms同步读取帧也提供了一种测试HDCP发送方和接收方的帧计数器不匹配的方法，当发送方和接收方中的任何一个设备不支持增强连接认证(EnhancedLinkVerification)时，它要求R_i的读取操作必须在R_i被HDCP发送方初始化后的1ms以内。读取失败或其他任何原因造成的不匹配都会被认为是认证失败。

为了增加密码同步丢失的测试能力，HDCP发送方和接收方可能需要支持增强连接认证，以帮助在处理某个特定视频像素时计算验证加密同步。每隔16个帧计数器增加，信道0的第一个像素的解码值与R_i的最低位异或，结果放在P_j端口上。如果增强连接认证也得到接收机支持，位1.1_Features被置为1，并且P'_i端口持续被更新。HDCP发送方可能也支持读取和与本机P_i验证P'_i的值。然而，除了最少3个连续不匹配发生，这种错误都被认为是像素传输错误，而不是一个认证或同步错误。另外，不匹配的P_i值必须以与R_i相同的方式被取样大于一次。注意到当Advance_cipher状态被使能时，帧计数器可能在非加密帧也增加，这时R_i的最低8位与像素数据每隔16帧被捕获。然而，如果Advance_cipher不处于使能状态，这些数据每隔16个加密帧被更新。

由于连接失败和设备非法都会造成认证失败，如何避免由于物理连接的失败造成设备合法性认证和加密传输的失败是状态机设计的难点。由下文可见，在HDCP内容提供者和接收者之间每隔128帧验证R_i和R'_i提供了连接完整性认证。必须指出的是，数据加密只是双方握手的过程，而这一过程都是在消隐期完成的。在1080p制式中，行消隐期1μs不到，这对于握手状态机的切换速度提出了很高的要求，同时要求稳定度和鲁棒性。

HDCP端口

HDCP发射机和接收机之间的通信是通过I2C串行总线接口来实现的，其中HDCP发射机作为主端，HDCP接收机作为从端。

HDCP加密机

HDCP加密机工作原理如图3所示。首先，在场消隐期，hdcp Block Cipher模块为HDCP密码（Cipher）模块准备一个设备私钥选择向量（KSV）相关的24位初始化值，然后在每帧传送视频数据的时候HDCP Cipher为每个像素实时产生24位伪随机流，与原始24位视频数据按位异或后进入最小化传输差分信号（TMDS）编码器。当使用HDMI接口时，发送的数据有两种类型：一种是视频数据；另一种是数据岛(Data Island)，指数据包。HDMI视频数据与DVI接口的不同之处在于，DVI有2个像素的引导保护带(Leading Guard Band)，HDMI不仅有2个像素的引导保护带，而且有2个像素的拖尾保护带(Trailing Guard Band)。

HDCP加密机总体结构可被认为分为三层：第一层是一组四线性反馈移位寄存器，生成1位控制信令，在re-key信令使能时使第二层的加密模块在视频换行时重置；第二层是加密模块，无论是协议的哪一部分，包括设备合法性认证、中继还是加密传输，都使用hdcpBlockCipher加密函数；第三层是输出模块，使用上一层产生的28位By、Bz、Ky和Kz作为输入，利用hdcpStreamCipher加密函数为每个像素实时产生24位伪随机比特。HDCP加密机结构如图4所示。

图3 HDCP加密机工作原理

图4 HDCP加密机构

其中四线性反馈移位寄存器的生成多项式如图5所示，组合函数结构如图6所示。其中的移位寄存器结构如图7所示。

第二层的加密模块分为舍入函数B和舍入函数K两个模块。每个舍入模块的“S-box”包含7个4入4出模块。线性变换B和K各由8个传播网络构成，总共产生56位输出，产生28位B_y、B_z、K_y和Kz。再经第三层的输出模块，产生24位伪随机码。

舍入函数B、K结构如图8所示。

图5 线性移位寄存器结构

HDCP专利许可

5C认识到，DTCP的本质是提供开放的数字内容保护技术，此技术的广泛采用所带来的新兴数字服务及产品市场上的收益要远远高于征收DTCP知识产权市场许可费所带来的利益。5C坚持所有被授权的公司签署不主张条款(non-assert)，保证既不进行专利组合以外的业务，也不创建用于盈利的许可证池(licensepool)。DTCP虽然作了如上宣称，但仍然对获得认证的公司收取管理费，包括两个方面：(1)年费，1.4～1.8万美元之间。(2)产品提成，0.05～0.07美元/件。目前获得DTCP认证的技术只有两个：(1)HDCP，由SiliconImage下属的DCPLLC负责发放许可。(2)WindowsMediaDRM10或更高版本(目前仅获得了临时性认证)，由微软公司授权。时至今日，DTCP规范仍然在发展之中，当前的工作目标是在TCP/IP局域网上保护数字媒体内容的版权，也即所谓的DTCP-IP(DigitalTransmissionContentProtectionoverInternetProtocol)。该规范将作用于大到互联网，小到多媒体家庭网络的所有以TCP/IP为载体的网络环境中。

图6 组合函数结构

图7 移位寄存器结构

图8 舍入函数B、K结构