专利名称:用于数字电子内容的安全和方便管理的系统和方法
技术领域:
本发明总的来说涉及通信系统,具体地说涉及用于安全地访问数字内容的内容管理系统。
背景技术:
我们预测在数字内容市场上存在着极大的增长。例如,因特网已经使人们进行商业活动的方法发生了改变。消费者可以使用家中的计算机来容易地进行购物和购买产品。可以使用UPS、FedEx或者其他的常规方式来发送这些购买的产品。然而,当产品不是实际的物品而是数字项目时,可以使用因特网本身作为发送机制。可以使用因特网来数字表示令人感到惊奇多的产品数量并且将他们发送给购物者。潜在的数字对象,诸如音乐、软件、视频或者书本通常被引用;但是也可以考虑其它的数字产品,诸如票、图画、或者邮票。这些都是内容的例子。正如在此的使用,内容指的是被用密钥锁定的数字信息,并且被实时地发送,诸如流数据、或者被存储供之后访问的数据。此类内容将包括音频书本、视频、电子游戏、视频夹(video clip)、DVD和MPEG电影、MP3音乐文件、诸如电子邮件和文件的商业数据,象用于蜂窝电话的三向呼叫和振铃模式一样更新便携式设备。
随着因特网以及更加功能强大的移动计算设备的出现,很快,消费者要求任何时候在任何地方连续地访问数字信息。在诸如寻呼机、移动电话、机顶盒、家用计算机的设备以及汽车娱乐系统之间的连接将提供很多新的商业。诸如MP3音乐文件、电子游戏和DVD电影的广泛的数字内容以极大的速率增长。无线设备就是用来容易且直接地访问这种数字内容。
然而,由于这种价值且由于数字内容的应用和可用性快速地增长,内容所有者担心随着这种新的设备的出现,他们的内容将变得易受到非法拷贝和破坏。为了避免广泛地盗版,如在因特网上泛滥(即,Napster),内容提供者将依赖于安全内容管理机制。内容提供者想要确保他们的权利得到保护,并且遵循合理的发布规则。在基于信息的经济中,数字数据对于所有者而言具有固有的价值,需要遵从版权法律。
为追求这种市场且满足内容提供者,很多的软件和软件提供商引入了安全处理数字内容的框架。数字权限管理(DRM)是一种流行的购买,被用来描述保护权利和与访问和处理数字信息相关的管理规则。这些权利和规则管理数字对象的各种方面,诸如谁拥有对象、如何且在何时可以访问对象、对象之多少钱。通常的情况是,与特定的数字对象相关的规则变成非常复杂。因此,经常需要开发、设计、和管理这些规则的软件系统。
然而,很多新出现的框架遭受到批评,因为过于令人厌烦且对于用户使用而言不便利。保护数字内容的安全方法通常是以牺牲终端用户的便利作为代价。很明显,需要新的和更好的方案。
通常介绍的一种数字权限管理方案是基于拷贝的方法。在这种系统中,由在PC或者服务器上运行的数字权限管理系统存储和管理内容的主备份。在现有技术的检查入/检查出(check-in/check-out)方法中,内容被加密地束缚到受信任的系统,该系统被受信任来决定何时以及是否提供请求的数字内容信息。对于每一条数字内容,通常提供有限数量的可用复制。基于复制的方法具有负责释放数字主机的复制的数字权限管理内核。用户请求他们的用户设备的复制,数字权限管理内核跟踪释放复制的数目。例如,当诸如便携式无限设备的通信设备检查出一条数字内容的副本时,受信任的系统将内容的副本加密地与接受内容的设备相关,且递减用于检查出的可用的副本数目。当副本被返回时,受信任的系统相应地递增可用副本的数目。当可用副本的数目为零时,受信任的系统将不允许检查数字内容的副本。
例如,考虑安全数字音乐主动(SDMI)框架,其管理音乐的检查入和检查出策略以控制数字音乐内容。音乐的主副本由在服务器或者PC上运行的数字权限管理系统进行存储和管理。可以检查出来的歌曲的副本数目是固定的。因此,当检查出(check out)所有的副本时,不能释放新的复制,直到检查入一个副本。为了使音乐安全,SDMI框架规定检查出仅仅是用于将内容传输到便携式设备的一种措施,并且对用户是十分不友好的。因此,SDMI系统是很少受到公众青睐的数字权限管理方案。
在典型的情形中,用户的音乐收集被存储在他的PC上的加密保护的音乐库中。具有便携式音乐播放器的用户可以从他们的音乐库将音乐复制到他们的播放器中。数字权限管理系统控制库,并且负责强制允许的副本数目离开所述库。在SDMI兼容系统中,数字权限管理软件管理音乐的检查入和检查出。对于SDMI,可以检查出的歌曲的副本数目是固定的。当检查出所有的副本时,在由另一个设备可以执行检查出之前,必须检查入至少一个所述副本。为了使音乐安全,检查入和检查出仅仅是通过其来将音乐传送到便携式设备上的措施。
用于防止内容盗版的基于复制的系统100的例子在图1中示出,其中,通过将内容连接到购买主机来对其进行加密保护。在这种系统中,内容提供者102维护一个内容库104。当购买一条内容时,内容提供者102将内容加密地连接到购买主机PC或者服务器110。具有数字权限管理系统114的主机110从提供者处接收到内容,并且将其存储在加密的内容库112中。主机的数字权限管理系统114保持一个内容列表116,该表被用来跟踪每一条内容的可用副本的数目。任何的便携式设备118a,118b,118c可以请求一条内容。如果存在可用的副本,数字权限管理系统114将使用加密过程来讲副本传送到便携式设备。对于传送的内容,数字权限管理系统114也将递减可用副本的数目。例如,标记为#4536的内容没有被任何设备检查出,因此仍然有三种可用副本。然而,标记为#6123的内容当前被三个设备118a,118b,118c检查出,因此可用的副本为零。数字权限管理系统114将不允许4个设备检查出标记为#6123的内容,直到其中的一个设备检查入一个副本。
总而言之,这种用于控制访问数字音乐的现有技术的方法被广泛地认为是不可信的且是令人厌烦的。最令人厌烦的是,用户需要在加载新的音乐之前,检查入音乐的副本。每一次将音乐传送到设备时,系统的用户需要面临进行安全控制。在不强制副本控制安全的类似系统中,不要求检查入,因此,用户的经验得到极大增强。当然,没有安全机制,数字内容的盗版是很可能发生的,因此内容提供者不想将内容提供给这些系统。
需要平衡安全的实现。内容提供者不会信任安全性很小的系统。然而,消费者不会喜欢令人感到可怕的安全性的系统。建议用于SDMI的现有技术的基于副本的检查入/检查出措施以及其它的数字权限管理系统提供安全性,但是不满足终端用户的需要。要求用户每一次都进行安全检查的系统被移到用户设备。这种过多的安全性导致较差的用户不便性。由于对于受信任的系统被频繁地访问,即当内容被检查入时,每一次内容被移动到请求内容的用户设备,或者从用户设备移动,通常在用户的本地服务器或者PC上实现这种措施,而不是在远程服务器上实现。因此,在使用PC或者其他的本地服务器设备的开放系统中,难以维持和确保安全性。
考虑到上述情况,因此可以看出,在现有技术中存在着一种尚未满足的需要允许数字内容的安全和无缝管理不太令人厌烦,同时仍然维持足够的安全性。数字内容的安全要求将得到保护,同时允许为终端用户提供令人愉悦的用户享受。
在权利要求书中阐述了相信具有新颖性的本发明的特征。然而,通过参考下面的对说明性实施例的详细说明并结合附图,可以最好地理解本发明本身以及它的使用的优选实施方式还有它的目的和优点,其中。
图1是现有技术的基于复制的数字权限管理系统的方框图;图2说明根据本发明的一个实施例的基于域的数字权限管理系统的参与各方;图3说明根据本发明的重叠的域;图4是根据本发明的基于域的数字权限管理系统的方框图;图5是根据本发明的、具有一个或多个用户通信设备的域的原理;图6说明根据本发明、如何将内容约束到一个域;图7说明根据本发明的内容包(content package);图8是根据本发明的用户通信设备的方框图;图9是根据本发明的用户设备的结构的方框图;图10是根据本发明的内容提供者的结构的方框图。
具体实施例方式
虽然本发明具有多种不同形式的实施例,在附图中示出了并且在此以详细的特定实施例进行了介绍,应当理解,本发明的公开应当认为是本发明的原理的示例,并且不希望将本发明限于示出和介绍的实施例。在下面的描述中,相同的参考数字被用来描述附图中的几幅图中的相同的、类似的或者相应的部分。
本发明为用户提供了一种便利的方式,与现有技术的令人厌烦的基于复制的数字权限管理系统相反,其使用基于域的数字权限管理系统来访问希望的数字内容并且防止盗版。不是基于检查入/检查出策略来限制对内容的访问,在检查入/检查出中,每一次将内容加载到诸如用户设备(UD)的通信设备或者从中取出内容时需要进行安全性限制,而是使用基于域的方法来访问数字内容,在基于域的方法中,仅当新的用户被购买或者加到一个域或者当从一个域中移走一个旧的用户设备时,用户才必须进行安全性检查。通常,将对内容的访问限制为一个域的注册设备的有限数目。如在此的使用,一个域包含一个或多个用户设备,通常达到预定数目的通信设备,它们都共享与该域相关的一个公共加密密钥。拥有多个设备的用户将希望将这些设备等级到相同的域中。现在参见图2,示出了根据本发明、可能参加示例的数字权限管理系统200的各方。应当认识到,在不背离本发明的精神和范围的条件下,代表各个参与方的功能可以由多个实体执行,或者因此,由各个参与方执行的功能可以由较少的或者更多的实体执行。消费者或者用户可以购买称为用户设备(UD)的通信设备202,该设备是可以用来访问和/或操作数字内容的任何电子设备。用户设备的实例包括能够播放(提供)音乐的移动电话、车载收录机、机顶盒、个人电脑等等。用户可以且可能拥有他或她向在一个或多个域中注册的多个用户设备,这些域可以与用户所属的域重叠或者不重叠。在第一个域的至少一个通信用户设备被注册到第二个域的情形中,可以说第一和第二个域对于所述设备而言是重叠的域;图3的方框图300提供了示例的重叠域216子域、216父域、和216商业域。用户设备可以是便携式的和无线的,诸如蜂窝电话,因此,能够容易地连接到无线因特网。可以使用红外(IR)以及有限范围的技术,诸如在蓝牙标准中实现的技术。通过与诸如PC或者电话亭(kiosk)的网桥设备连接,蓝牙用户设备可以连接到因特网。
域授权器(domain authority)(DA)204负责进行注册(增加),以及从一个或多个域中解注册(移走)用户设备。通过首先进行检查以确保设备是合法,域授权器将设备加到一个域中。可以检测到合法的用户设备是因为他们具有到适当的身份和密钥的访问。域授权器还可以检查由身份授权器(CA)206提供的撤销列表,以确保设备的密钥和身份仍然有效。一旦一个设备被认为是可信的,域授权器将给用户设备发送需要将其登记到一个域上需要的适当的密钥、身份、和命令。通过给用户设备发送一个命令以删除它的域数据,域授权器还可以从一个域中移走设备。最后,域授权器负责限制在一个域中允许的用户设备数目,并且监视虚假的注册和移走设备。
设备制造商(DM)208使用户设备强制内容使用规则,否则,具有安全数字权限管理能力。例如,设备制造商可安全地嵌入密钥到用户设备中,使得每一个用户设备可以被唯一地相对其它的数字权限管理系统参与方识别。设备制造商还负责将身份确认的确认密钥、身份或者其它密钥嵌入到设备中。被用户设备使用来在基于域的数字权限管理系统中工作的软件可以被预先安装在用户设备上,或者从软件发布商(SD)218处获得。
内容提供者(CD)210销售或者将内容提供给一个域的注册用户设备。例如,内容提供者可以是创建内容的专业人员、大的内容发布商、或者正在销售内容的在线存储库。内容提供者的主要工作是建立一组规则,将这些规则与内容以及购买内容的域相关。例如,考虑内容提供者如何将波段XYZ联系规则到他们的最后的单个标题“ABC”。在以常规方式记录“ABC”之后,它们产生一个文件ABC.wav,且由于波段(band)关心通过因特网销售这首歌曲,该歌曲被压缩成MP3文件,从而生成ABC.mp3。接着,对MP3文件进行加密并且与使用规则相关,这些规则如谁可以播放这首歌曲、谁可以复制这首歌曲、谁可以编辑这首歌曲、是否可以加载这首歌曲,播放这首歌曲的费用结构、和是否可以将规则加到这首歌曲以及由谁来进行。可以使用标准的应用来增加这些使用规则。对内容提供者内容打包涉及到操作内容规则而不是内容本身。
内容的存储可以各种方式发生,并且通常是内容的类型功能核用户设备、域、和整个系统的各自的存储能力。内容可以被存储在用户设备中,被发送到在内容银行(CB)212的在线记账,例如,被复制到用户的PC或者其它可用的服务器,或发送到消费者作为合法的内容。内容银行是负责存储和维持用户的内容记账的实体。账户中的内容不必存储在与单个终端用户关联的账户中,而是保存一个指向内容的单一复制从而保证用户的内容账户不致过于庞大。例如,当终端用户购买歌曲时,该歌曲被传到终端用户内容账户并存储在用户的便携设备中。与这条内容关联的规则能够被传送到内容账户并发往便携设备中。当用户决定将内容加载到用户设备中时,内容返回负责保证它只对有可信的、遵守规则的设备提供内容,这种情况下许可授权(CA)206可以向用户设备和到达该终端的设备发布授权或密码(secrets)以验证用户设备。
与在数字权限管理系统中的维持要求的安全性相关的公共密钥由许可授权(CA)206管理,用于服务和/或内容的付费由付费经纪人(PB)214管理。例如,授权是一种受信任的三方组织或者公司,其管理数字身份、公共-专用密钥对、或者可用来验证由有效的和安全设备处理的内容的其它项目。完成这种验证的方法可包括公共密钥、数字签名方案、或者可能是加密共享方案。在基于公共-密钥的方案中,可以使用身份来确保数字权限管理系统中的参与方和设备事实上是它们保护的对象。在加密共享方案中,身份验证负责分布共享的加密。在任何一种方案中,身份验证需要与设备制造商、内容发布者、和付费经纪人达成一致。身份验证还需要具有方法以发出或者撤销身份或者加密。身份授权最好是离线系统,因此,每一次提交内容时,不必要联系身份授权。
网关服务器(一个或多个)216提供了在系统的参与方之间的通道或者链路;参与各方可以交替地直接通信。网关服务器(一个或多个)的实例包括但不限于因特网或者连接的RF的在库存的电话亭、机顶盒或者PC。数字权限管理系统的这些参与方,特别是用户设备和域授权器将在下面更详细地介绍。
通过向域授权器(DA)204注册,用户设备202可以被分配给特定的域。当设备注册到域216中时,它已经“加入”该域。类似地,设备可以通过取消它们的注册来“离开”域。域授权器204强制注册策略,诸如限制在域216中的设备数目,并且限制设备可以加入和离开一个域的次数。通过跟踪哪些设备加入和离开域,域授权器204还可以寻找潜在的欺骗。过多的活动可表明一个设备试图滥用系统。然后,可以禁止此类设备的进一步的注册活动。
通过给设备提供一个域ID,域授权器204将便携式设备分配给一个域,域ID被以干预-抵抗的方式链接到设备。域ID到用户设备的链接是通过使用嵌入的序列号以及诸如加密密钥和公共-密钥身份的密码单元来完成的。这些密码单元通过在用户设备上运行的安全数字权限管理系统和域授权器来进行工作。只有域授权器具有允许访问域的能力。因此,域授权器将向内容提供者提供保证,只有没有试图欺骗系统的设备将是一个域的成员。
当销售数字内容时,这种查询过程使用标准的密码鉴别协议来确保偷听者和黑客不能够欺骗系统。一旦向内容提供者确保了域是有效的,可以通过加密码地绑定内容到购买域的ID来销售内容。在该域之外的设备不能够访问被加密码地连接到另一个域的内容,因此,这种内容对于盗版而言是安全的。
加密的内容可以在系统的主PC或者服务器上开放地存储。任何的便携式设备可以请求一条这种内容。主机仅仅将内容传送到请求的设备,没有进行检查出操作。内容的安全是得到确保的,因为它被加密码地连接到特定的域。防止了欺骗复制音乐的广泛盗版,因为域授权器仅允许有限数目的设备进入每一个域。用户设备中的数字权限管理系统防止了偷听,因此,黑客不能够获得对内容的非法访问。
与以前的方法相比,本发明的这种系统的安全性将是不太令人厌烦的,因为用户不需要频繁地注册设备到域或者从域中撤出。在检查入和检查出系统中,用户遇到安全性限制时,内容被加载进或者载出他们的便携设备。当用户购买新的设备或希望将用户设备加入到一个或多个域时,他们仅需要带有安全性的内容。
图4种示出了进一步阐述用于安全地管理数字内容访问的基于域的数字权限管理系统的方框图。域授权器分配通信设备,比如便携用户设备2021,2022,2024进入一个域,本例中示出了两个域XBDA 410和域ZXZP 412,并执行域注册策略。通过加密地将来自内容库404的内容联系到一个或多个域410,412而非PC或服务器406,所述内容的到保护。只有受域束缚或被域授权可接收内容的设备可以接收被密码保护地束缚到一个域的内容。所有注册到域216的设备都将相互连接成可全部访问域中内容,如示例性的域500中所示,其具有图5中的诸如家用计算机,MP3播放器,汽车娱乐系统,机顶盒,蜂窝电话,家庭娱乐系统的各种设备。这也意味着一个域中的设备,例如域ZXZP412,不能够访问密码保护地束缚到另一个域例如XBDA 410。如图6中的系统600所示,本例中域216包含两个蜂窝电话#1,#2和MP3播放器,均与内容银行212通信;然而,头戴耳机和立体声系统在域之外,但不能访问内容银行212的内容账户。应注意,当所示加密内容存储在PC或服务器406上的加密内容库408中,若需要时,加密的内容可以被另外地存储在通信设备上,例如分别如2021,2022,2024所指示的便携设备1,2或3。
很清楚,参与到基于域的数字权限管理系统和本发明方法之间的通信信道应当使用足够强的加密协议。当与互联网使能设备通信时,可以使用诸如3级WTLS或TLS的标准协议。可以使用诸如三元-DES或者AES的强的对称密钥加密来保护内容。为了验证和签名,可以使用椭圆曲线或者RSA公共-密钥密码。可以使用诸如SHA-1的安全复杂功能来保护内容的整体性。看这样一个例子,设备制造商将制造一用户设备。在制造之后,用户设备将被确保(通过设备制造商或者另一个受信任的授权者)为合法设备。这种确保可以通过使用可以与公共密钥或者共享加密密钥一起验证的身份来获得。被验证的用户设备将包含这种身份(或者对身份的参考)还有对应这种身份的加密密钥,加密密钥是专用密钥(与身份的公共密钥成对)或者是加密密钥(与数字权限管理系统的受信任的授权者共享)。域授权器被进行类似地配置和验证。当用户希望将用户设备注册到一个域时,用户设备和域授权器参加协议以相互验证。这种验证通过使用基于公共密钥或者被预先安装在用户设备和域授权器中的共享密钥身份的标准方法来获得。一旦被验证,域授权器将生成并且发送给用户设备一个用于新的域的域身份。当新的内容被购买用于这个域时,这个身份将被提供给内容提供者。一旦内容提供者具有用户设备的域身份,内容提供者可以使用在身份中的信息来将内容分配给这个域。上述的过程可以通过用公共密钥或者对称-密钥密码方法来完成。在公共-密钥方法中的密钥的分布要比在对称-密钥方法中简单。
开始时,从在能够访问请求的内容的数字权限管理系统中的内容提供者或者其它实体中提供请求的内容作为内容包的一部分。现在参见图7,示出了内容包700的整个结构。内容包700是5个对象的级连头部CPH 710,权限文件Rdoc720,电子权限表或者编码的权限表730、散列(hash)740,和加密的内容750。内容包的头部710被主要用来指出内容包700的不同对象的存在和大小。内容的使用规则被在权限文件720中规定。通常,这些规则是标准的格式。权限文件号包含身份、公共密钥、和一些散列值,这些散列值是用户设备必须用来验证在内容包中的其它对象的规则和整体性的。
更加有效地表示权限文件的编码的权限表(ERT)730被包括在内容包中。编码的权限表方法的特征在于,实现了数据的二进制表示,这偏离了正式的语言方法,诸如XrML,并且具有对于低功率或者受约束的用户设备特别有吸引力的小尺寸和快速性能。受约束的设备指的是这样一种通信设备根据诸如处理功率和任务加载、电源/电池、大存储量限制、和在设备与其它基础设备部件之间的带宽限制,可以具有屏幕大小、RAM大小、ROM大小等等。
编码的权限表730被设计,使得其它权限文件的数字使用权限可以被转录到本发明的编码的权限表格式,意味着使用编码的权限表的系统可以否则可能不广泛在受约束的设备中的其它的数字权限管理系统共存。将一种数字权限管理语言转录成编码的权限表表示可以使用代码转换器来进行。代码转换器将解释来自源语言的数据,并且将它记录到编码权限表格式或者反之亦然。数字内容的内容提供者和拥有者具有选择优选的数字权限管理系统的自由,在需要时使用翻译软件。
编码的权限表具有使用预分配的码字或者令牌描述的几种部分,包括ERT_VERSION、TOKEN_OBJECT_INFO、TOKEN_WORK_HASH、TOKEN_KEY_ID、TOKEN_xxx_RIGHT和TOKEN_ERT_SIG。ERT_VERSION部分给出编码权限表的版本号。对编码权限表格式的随后的更新要求将由较新的软件识别的新的版本,还有将被识别以为了维持向后兼容的之前的版本。TOKEN_OBJECT_INFO部分具有关于与编码的权限表相关的数字对象的信息,诸如用于获得关于数字对象或者用于购买数字对象的副本的URL。TOKEN_WORK_HASH部分包含与编码的权限表相关的数字对象的密码散列,并指出将使用哪一种散列算法。编码权限表的TOKEN_KEY_ID规定需要来访问数字对象的密钥。这样的一个例子是使用公共-密钥加密算法被分配给接收者的内容加密密钥(CEK)。TOKEN_xxx_RIGHT部分包含数字对象的使用规则。例如,可以提供TOKEN_PLAY_RIGHT部分来规定在TOKEN_KEY_ID部分中的特定的密钥具有用于数字对象的“播放”权限。可包括在编码权限表规范中的其它权限包括流、负载、复制、传输、和安装。在每一种权限中,还有识别该权限指向的数字对象的部分的信息。最后,编码的权限表的TOKEN_ERT_SIGN包括识别用来标记编码的权限表数据、签名者的公共的或者对称密钥、和签名数据本身的散列的签名算法的信息。
内容提供者210将编码权限表730加到内容包700,以减少强制规则的复杂性。通过使用编码权限表,用户设备上的软件可以较简单,代价是使内容包稍微大一点,和要求由内容提供者采用的一些附加处理步骤。
内容的整体性和内容与权限文件之间的绑定通过使用散列来维持。散列允许一种方法验证内容包的整体性。
内容包的最后部分是加密内容(EC)750本身。为了防止盗版,将保持对该内容的加密。内容的解密密钥被嵌入到权限文件中,并且仅仅可用于内容的所有者或者购买者。
如虚线所示,内容包700的对象可以被选择地由两个文件提供许可文件760,包含内容提供者头部(CPH)、Rdoc、和编码权限表;和加密内容文件770,包含内容的散列、加密内容、和内容包头部710的复制(未示出)。
现在将介绍根据本发明的用户设备的结构和优选操作。现在参见图8,示出了可在基于域的数字权限管理环境中工作的、诸如移动电话等的用户设备202的方框图800。通信设备具有CPU处理部件802和数字权限管理模块804,其可包含固件或软件,能够可操作地控制在基于域的环境中的发射器806和接收器808的操作。用户设备具有各种存储部件,诸如随机存取存储器(RAM)810、只读存储器(ROM)812、电可擦除可编程只读存储器(EEPROM)814等,以及可选的可移动内容存储816。电源和DC控制块824,还有可充电电池826进行工作以提供给用户设备202供电。从图中可看出,数字权限管理模块的软件或者固件与域授权器进行工作以增加用户设备到一个或多个域和去除用户设备,因此,根据在一个或多个域中的成员关系来有选择地接收和解密数字内容。此外,用户设备具有外围设备,诸如键盘818、和头戴耳机822,它们有助于与用户设备的用户通信。
图9的方框图900中,示出了示例的用户设备的结构,其中,说明了各种存储器和软件部件负责安全地访问、管理和提供内容在用户设备202上。称为数字权限管理模块并且在图中的虚线示出的核心数字权限管理软件902在这个实施例中包括内容打包管理器904、通信管理器906、内容解码器908和内容播放器910。当然,应当理解,在不背离本发明的精神和范围的情况下,可以由不同的结构来提供数字权限管理模块902的这些部件的功能。数字权限管理模块核心软件负责处理解密的内容,并且保持它安全。除了这种核心,需要各等级的支持软件来处理诸如文件和密钥管理、联网、和各种加密功能的任务。还有两种应用,用户可以进行购买和访问内容。这些应用是内容管理器应用912和web浏览器应用914。在此介绍的软件应用被假设为是受信任的,因为他们不包含病毒,并且已经被验证保不损害安全数据或者密钥。诸如设备制造商的受信任的实体负责确保用户设备的软件和应用遵循这些规则。
用户设备接收到的加密内容被存储在内容包916中,内容包备存储在用户设备的非易失性存储器918中,如图所示。该非易失性存储器是开放访问的存储器,并且通过加密在内容包中的内容而不是限制到该存储器的访问来维护安全性。在用户设备中,开放访问存储器可以是在用户设备的内部的或者外部。被联系到特定用户设备或者域的公共数据,诸如公共-密钥身份最好在内部存储器920中。可能更大的内容包可以被存储在外部可移动的快闪卡片中,诸如存储在可以用于这种存储器的多媒体卡(MMC)可移动快闪存储器。
使用文件系统管理器922来管理开放访问存储器918。该文件管理器负责文件操作,包括低级输入和输出例程。高级软件应用穿越文件管理器,以生成、修改、读出、和组织在开放访问存储器中的文件。例如,可以用用户设备的web浏览器应用914来购买来自在线内容提供者的内容包。用户可能希望将新购买的内容包复制到可移动存储卡中。这些新的内容包将具有某些文件扩展名,如“.cpk”,其将与帮助应用相关。在浏览器下载内容包之后,帮助应用将开始安装内容包。该内容包器924然后将联系文件系统管理器来存储新接收到的内容。
当用户希望加入或者离开一个域时,还可以使用web浏览器914。优选实施例中,在加入一个域的情形下,用户将访问域授权器的网站以获得域专用密钥和公共密钥身份。浏览器将安全地下载该数据,密钥/身份安装器程序将926将自动地安装所述新的密钥和身份。安装程序926需要解密进入的密钥,并将它传送到管理用户设备的安全存储器930的软件模块928。
在用户设备上有两种类型的安全存储器。第一种类型是干预-明显存储器332。在优选实施例中,该存储器被用来存储设备的专用密钥的加密版本,诸如唯一的单位密钥(KuPn)和共享的域密钥(KdPn)。用于数字权限管理活动的跟踪数据如播放付费或者以前播放付费,以及用于用户设备的软件还被存储在该存储器中。该存储器是干预-明显的,因为它的整体性可以通过使用安全密码散列值和签名来验证。
干预明显的存储器的散列值可以被存储在为干预抵抗的第二种类型安全存储器934中。这种类型的存储器将阻止黑客试图读取或者改变它的内容。在优选实施例中,用来加密KuPri和KdPri的高度保密的密钥将被存储在该存储器中。同样,确保用户设备的软件的安全操作的引导码和根密钥位于该存储器中。引导码负责开始用户设备的操作系统,负责验证用户设备上的软件的整体性。
可以通过安全存储器管理器930访问安全存储器932,934。该管理器负责存储数据并且从干预-抵抗存储器932中重新得到数据,以及用于适当地更新在干预抵抗的存储器934中的相应的散列值。安全存储管理器932还检查干预所述干预-抵抗存储器932。密钥/身份/数字权限管理记账管理器928将连接到安全存储器管理器930,无论何时新的密钥或者数字权限管理活动要求更新安全存储器。
尽管已参考了优选实施例对本发明进行了阐述,本领域的普通技术人员应当理解,可以对本发明进行不同的改变和发明中的要素进行等价替换而不背离本发明的范围。此外,在不背离基本范围的情况下,可以进行修改本发明的教导以适应特定的应用。因此,本发明不应只限于作为用于试图实现本发明的最佳模式所公开的特定的实施例,而应当包括所有落入所附权利要求范围的实施例。
权利要求
1.一种在基于域的数字权限管理环境中工作的通信设备,其包括处理部件;连接到所述处理部件并且由该处理部件控制的接收器,可操作地接收到所述通信设备的进入消息;连接到所述处理部件并且由该处理部件控制的发射器,可操作地发送所述通信设备的输出消息;和连接到所述处理部件的数字权限管理模块,其控制在基于域的数字权限管理环境中的通信设备的操作;其中,所述通信设备的数字权限管理模块和所述基于域的数字权限管理环境的域授权器可操作选择地将所述通信设备加到具有一个或多个通信设备的域,所述一个或多个通信设备共享一密码密钥,因此允许所述通信设备根据在所述域中的成员关系有选择地接收和解密。
2.如权利要求1所述的通信设备,其中,所述发射器是一个有限范围的发射器,其具有有限的通信范围,且可操作地发送所述数字内容到在所述有限通信范围内的受信任的通信设备。
3.如权利要求1所述的通信设备,其中,响应接收到用户请求,所述数字权限管理模块促使所述通信设备的发射器发送给一个域授权器一个请求,以将所述通信设备注册到所述域中;和其中,如果确定所述通信设备访问一个或多个有效密码部件,所述数字权限管理模块促使所述通信设备的接收器通过通信信道、从所述域授权器接收所述域的密码密钥,以链接所述通信设备到所述域。
4.如权利要求3所述的通信设备,其中,所述所述数字权限管理模块和所述域授权器从所述域中移走所述通信设备,包括响应所述域的用户请求移走所述通信设备,所述通信设备的数字权限管理模块促使所述发射器发送一请求从所述域中移走所述通信设备;响应从所述域中移走所述通信设备的请求,所述通信设备经过安全通信信道、从所述域授权器接收一个命令,以从所述通信设备移走所述域的密码密钥;和当从所述域授权器接收到所述命令时,所述通信设备的数字权限管理模块移走所述域的密码密钥。
5.如权利要求1的所述通信设备,其中,响应所述通信设备的数字权限管理模块促使发射器发送用于数字内容的请求,所述通信设备的数字权限管理模块和所述域授权器中的值少一个验证所述域的真实性;和其中,当验证所述域的真实性时,所述通信设备的接收器接收所述请求数字内容的加密形式,所述请求的数字内容被绑定到所述通信设备在其中进行注册的所述域的所述密码密钥。
6.如权利要求1所述的通信设备,其中,所述通信设备的数字权限管理模块强制使用与所述请求的数字内容相关的、由在包含所述请求的数字内容的内容包中的接收器接收的规则。
7.如权利要求6所述的通信设备,其中,所述内容包包括包含使用规则的二进制表示权限表。
8.如权利要求7所述的方法,其中,所述二进制表示权限表包括具有预定义的令牌的多个部分。
9.如权利要求1所述的方法,其中,响应所述通信设备的发射器接收到来自请求所述数字内容的域的第二通信设备的请求,所述数字权限管理模块促使所述发射器将所述请求数字内容从存储部件发送到第二通信设备。
10.如权利要求1所述的通信设备,其中,响应所述通信设备的用户的请求,所述数字权限管理模块促使所述发射器发送不在所述域中提供的数字内容的请求;和其中,在已经验证所述域的真实性之后,所述接收器接收所述请求数字内容的加密形式,所述请求数字内容被绑定到所述通信设备在其中注册的域的密码密钥。
全文摘要
本发明公开了一种用于基于数字权限管理的域的方法和装置(200)。
文档编号G06F1/00GK1503944SQ02808492
公开日2004年6月9日 申请日期2002年3月12日 优先权日2001年4月18日
发明者托马斯·S·梅瑟吉斯, 伊扎特·A·达比施, 拉里·普尔, 迪安·沃格勒, A 达比施, 托马斯 S 梅瑟吉斯, 普尔, 沃格勒 申请人:摩托罗拉公司