在 HDCP 2.2 身份驗證過程 – 簡介中，我們討論了為什么需要 HDCP，以及 HDCP 身份驗證過程的基本步驟。我們注意到，RSA 的高級版本是身份驗證和密鑰交換 （AKE） 期間使用的基礎加密標準。AKE 是身份驗證協議的第一步。在這里，我們將繼續探索協議的后續 3 個步驟：位置檢查、會話密鑰交換 （SKE） 和中繼器身份驗證。

地點檢查

這是HDCP2中引入的一個有趣的檢查機制。X 確保接收器和發射器放置在附近。它禁止遠距離共享受 HDCP2.2 保護的內容。

局部性檢查流程如下圖所示。發射器向接收器發送一個隨機數 （rn），并期望通過 rn 和派生密鑰 Kd 計算的 HMAC-SHA256 值 L' 在 20ms 內返回。如果局部性檢查失敗，無論是由于計時器過期還是 L 和 L' 不匹配，都可能導致身份驗證失敗。該協議允許發送器通過發送具有新 rn 值的 LC_INIT 消息來重試位置檢查（最多 1024 次嘗試）。

局部檢查流程

會話和密鑰交換 （SKE）

成功完成 AKE 和位置檢查向 HDCP 發射器確認 HDCP 接收器有權接收受 HDCP 保護的視聽內容。因此，在局部性檢查之后，發射器可以生成一個隨機的 128 位會話密鑰 （Ks），并使用 AKE 期間交換的主密鑰對其進行加密并將其發送到接收器。

在 SKE 期間，HDCP 發射器：

生成秘密偽隨機會話密鑰 Ks 和 64 位偽隨機數 Riv。

使用從 AES-128 加密派生的密鑰對此進行加密，并將加密的消息SKE_SEND_EKS發送。

然后，此會話密鑰 Ks 和 Riv 將用于發射器對音頻視頻內容的加密。接收方將能夠使用此密鑰解密內容（請記住對稱密鑰加密技術）。

使用中繼器進行身份驗證

僅當接收器是中繼器設備時，才需要執行此可選步驟。此步驟用于將拓撲信息傳播到發射器。轉發器累積整個下游接收器 ID 的列表以及拓撲樹中的級別數。發射器還會檢查是否有任何接收器在其吊銷列表中。

身份驗證成功后，發射器可以使用AES-128位加密算法開始加密視聽內容，這是一種非常安全，快速的加密技術，能夠提供高帶寬。AES 內核的密鑰是會話密鑰 （Ks） xor，具有秘密常數 lc128。此秘密常數由DCP LLC提供。

審核編輯：郭婷