禁止大量分发封闭内容分发系统中的未经授权的内容的制作方法

文档序号:7959452阅读:247来源:国知局
专利名称:禁止大量分发封闭内容分发系统中的未经授权的内容的制作方法
技术领域
本发明涉及确保封闭内容分发系统中设备执行内容的真实性的方法。
背景技术
封闭内容分发系统包括端到端系统,所述端到端系统包括发布服务器、内容分发服务器和回放设备,在回放设备中可播放的内容可以通过适当的安全技术来进行完全控制。这些安全技术使任何未经授权的第三方,较难分发那些可以在回放设备上播放的内容。
在已知的计算机系统中,可以以加密形式传输内容,因此未经授权的接受者在没有获得解密密钥时不能使用这些内容。以加密形式时,可以通过内容服务器直接传输内容,或者通过一个或多个如高速缓存设备的中间服务器间接传输内容。从密钥服务器到且仅到授权的接受者,可以单独传递密钥。通常,密钥比内容小很多,因此密钥可以分别为每一个授权的接受者加密,而不需要大量通信和计算资源。只将密钥传递给授权的接受者的一个作用是,只有那些授权的接受者可以使用内容。除了密钥之外,安全哈希信息(secure hash)或者其他确认的签名也可以独立于内容而被传输,比如从密钥服务器,也仅发给授权的接受者,由此那些授权的接受者可以验证他们所接收和解密的内容的真实性。
现有技术中的第一个问题是,如果原始内容加密密钥被泄漏(或者通过被计算破解或以非授权方式公开),那么第三方有可能用该加密密钥分发未经授权内容到回放设备,比如用泄漏的加密密钥加密未经授权内容。这常常被称为“内容欺骗”。可以通过在加密密钥中包含安全哈希信息来改善这个问题。在这些情况中,回放设备在回放前,回放设备的安全软件将对全部内容进行加载和鉴定,这样使用泄漏密钥加密的未经授权的内容将被检测出来,并且回放设备的安全软件将拒绝播放那些未经授权的内容。
如果内容足够大以至于必须将其存储在一个不安全的存储设备上(比如外部海量存储器),而且在播放期间从那个不安全的存储设备动态再次读出所述内容,就会发生现有技术中的第二个问题。在这种情况下,即使在回放之前鉴定全部内容,针对内容欺骗也只能提供相对有限的保护,因为一个老练的攻击者能够在鉴定步骤完成后替换回放设备所取的内容。
此问题的第一个可能的解决方案是给从不安全存储设备加载的每一小部分内容赋予单独的签名。这种可能的解决方案达到了单独防止每块内容欺骗的总目标,同时有与生俱来的缺点在实际系统中,当加载数量非常巨大时,此技术可能需要非常大的计算和信息资源。
此问题的第二个可能的解决方案是,内容服务器为每个内容副本的特定的授权接受者分别对其副本进行加密。由此,想发送内容给大量播放器的未经授权的分发者,必须获得分配给每个播放器的特定密钥。这种可能的解决方案达到了防止对单个授权接受者内容欺骗的总目标,同时具有与生俱来的缺点(1)对每个特定的授权接受者的内容副本进行加密,需要占用内容服务器大量的计算资源,(2)为每一个特定的授权接受者单独加密的内容副本不容易被中间的服务器高速缓存,因此当将内容分发给授权接受者时需要更大量的通信资源。
因此,提供一种使内容能安全地由经授权的分发器提供给安全回放设备的技术是非常有利的。更为有利的是,这种技术同时将对未经授权分发器分发未经授权内容设定相对高的屏障,所述未经授权内容可能通过安全回放设备播放。

发明内容
本发明提供了一种方法和系统,确保封闭分发系统中设备执行内容的真实性,其中,内容可能使用不安全设备(如外部海量存储器)存储并且被加载到安全设备上应用,如执行和显示。这种方法和系统包括(1)内容实时密码学强度认证,(2)使不可靠内容的未经授权的发布无效的技术,即使在执行期间完全鉴定相对不可行的情况下。
安全的内容被加密后传输给安全回放设备,所述回放设备至少包含一些特殊而且安全的信息,所述回放设备的内容在系统中被再次加密,使得所述安全回放设备能够保存所述内容的特殊安全副本。在一个优选实施例中,这种特殊性包含对该内容数据的一种保密转化(例如用一个对称保密的再次加密密钥进行加密),这样在不知道所述保密的再次加密密钥的情况下,试图创建那个转化的数据几乎是不可能的。设备中的安全软件保证了这种特殊化步骤的强制性并且只有该特殊的内容才能被播放或执行。这使得未授权的用户不能轻易地使用该特殊的安全副本,并且使未授权的分发者也不能利用泄漏的加密密钥向大量的回放设备来分发未授权的内容。
另外,本发明也可应用于权限受控的内容分发系统。其中,内容服务器将用内容密钥CK进行加密的内容传送给安全处理器,许可服务器(license server)将许可文件(license)传送给安全处理器,所述许可文件使用了特殊的用户私钥UK进行加密,然后安全处理器使用唯一的秘密再次加密密钥SK对内容进行再次加密。在一个实施例中,加密和密钥管理使用一种公钥系统,其中每个密钥包括一对成对的公钥K和对应的私钥K*,使得安全服务器能够验证该内容(通过内容服务器标记)和该许可文件(通过许可服务器标记,如需要)的真实性。这使得内容在服务器和设备之间的传输中被加密,并且存在着一种安全机制,通过这种安全机制将安全内容哈希信息和加密密钥从服务器传达到设备。
本发明的第一个方面,许可信息中包含多个签名信息,它们可以在安全播放器处理每块内容的时候被实时生效,而签名列表本身可在执行操作开始前被生效。
本发明的第二个方面,安全播放器进行鉴别并可靠地得到一个秘密的再次加密密钥,然后使用一个新的秘密再次加密密钥来对内容进行加密。所述内容可以被分成好多块,可以分别确认每块的真实性。每块可能被分配一个独立的内容密钥CKi和签名,这样每块在得到许可后就可被安全播放器所确认。在一个实施例中,安全处理器对每一块内容使用不同的秘密再次加密密钥SKi进行再加密,当然也可能对全部内容使用相同的秘密再次加密密钥SK进行再加密。因为每块数据都使用共同的秘密再次加密密钥SK或各自的秘密再次加密密钥SKi进行了再加密,这使未授权的分发者就不能轻易的将甚至是一块未授权的内容分发给大量的回放设备。这就避免了使用大量的计算和通讯资源,即使被分成大量的块进行装载,因为可以用秘密再次加密密钥SK进行解密而不用必须对每一块分别进行计算和再校验。
该发明的第三个方面,可以在一个或者多个地点为授权的接受者分别对所述内容进行加密,所述地点包括内容服务器,中间服务器,和授权接受者的安全处理器。例如,但不意味着以任何方式进行限制,与一组特定的授权接受者相关的中间安全设备或服务器在从内容服务器接收到内容后可能单独的对所述内容进行再加密,使得这组特定的授权接收者就不需要自己对该内容进行再加密。在一个实施例中,它允许中间安全设备或服务器在既不失去该高速缓冲存储的优势也不损害多个接受者验证其收到内容的能力的情况下高速缓冲存储发送给那些接受者的所述内容的加密副本。
附图简述

图1显示了一个包含将内容和许可文件发送到安全处理器的分发网络的系统的框图。
图2显示了将内容和许可文件发送到安全处理器的分发网络的操作方法流程图。
优选实施例的详细描述在此说明书中,描述了本发明的优选实施例,包括优选的处理步骤和数据结构。本领域的熟练技术人员将意识到,在熟读本申请之后,无需过多的实验或进一步的创新,有可能使用多种没有具体描述的其它技术来实现本发明的实施例,并且这些其它技术将落入本发明的范围和精神内。
下面的术语涉及或参考本发明或其实施例的多个方面。每个术语的一般意义的目的在于进行说明,而不是为了限制。
●术语“内容”描述了应用软件,多媒体内容,及其任何合理的组合或概括,等等。应用软件包括任何能被处理器执行或解释的指令或参数集。所述应用软件的概念是宽泛的,并且至少包括以下内容软件或固件程序指令,软件或固件程序参数值,能够通过编程语言编译器编译或通过编程语言解释器解释的源代码,用于编译或解释编程语言的宏定义,由应用程序接收并对其执行的命令或请求,及其任何合理的概括,等等(计算机程序在街机游戏(arcade game)中应用,或者当内容为应用于街机游戏中的一系列电影片断(或其他视听单元))。多媒体内容包括能够呈现给用户的任何信息或参数集。所述多媒体内容的概念是宽泛的,并且至少包括以下内容动画,视听电影,静态图片,或声音,所述内容或者嵌入在通过软件或固件程序指令进行解释和显示的数据中;或者嵌入在产生这些数据本身的软件或固件程序指令中;或者嵌入于多媒体内容的标记语言中,例如DHTML、SGML、VRML、Macromedia Flash等等;由应用程序接收并执行的命令或请求;及其任何合理的概括;等等。
●短语“安全回放设备”,“安全播放器”和“安全处理器”描述了用于解释所述内容的任何设备,例如如果是应用软件则被执行,或如果是多媒体内容则被显示。所述安全处理器的概念是宽泛的,包括通用或专用的计算设备,其至少具有一些安全存储器,能安全防范来自安全处理器以外的设备的观察和闯入,并且其至少具有一些可执行的控制手段,能防止应用软件公开安全存储器中的内容。在一个实施例中,安全播放器包括一个内置UID(唯一标识符),它自有的在一个公钥密码系统中的私钥/公钥对,因此能够和其他设备安全通信。优选的是,此安全处理器具有内置安全软件,所述安全软件不容易被绕过,或者能安全引导类似安全软件从不安全设备(比如外部海量存储器)上的加载的其他技术。
●短语“内容服务器”和“内容分发服务器”描述了任一种能使用如这里所描述的任何形式的传输技术,将内容传递(或直接或间接)到安全播放器或安全处理器的设备,如上所述。所述内容处理器的概念是宽泛的,不仅包括存储内容的服务器,还包括可以动态生成内容的设备,比如电视摄像机,摄影机,网络摄像机,及其任何合理的概括;等等。内容服务器可以包括能够产生安全哈希信息并且安全地标记服务器所分发的任何信息的安全设备。
●短语“中间服务器”描述了任何一种能够将内容从内容服务器转发到安全处理器的设备,其使用任意传输方法(如下所述)。在一个实施例中,中间服务器可能包括,当内容从内容服务器向安全处理器发送时,能够至少在一段时间保存至少部分内容在储存器中的缓存设备。在一个实施例中,分区地或拓扑地分布中间服务器,由此,相对安全处理器为本地的中间服务器,可以完成对内容服务器的服务请求。
●短语“传输方法”描述了任何一种用于从第一设备到第二设备,例如从内容服务器到安全处理器,发送信息的方法,例如发送内容,部分内容,许可文件或其他信息。所述传输方法的概念是宽泛的,并且包括电子形式的传输,例如计算机通信网络,专用或公用交换网络,以及可从其感知信息的媒体的物理传输。这里并不要求传输方法是同类的,例如,一种传输方法可以在不同的时间,或对于传输信息的不同部分结合、组合或联合运用电子通信和物理传输。
●短语“许可文件”和“许可信息”描述了一种信息,所述信息足够安全播放器确认内容的真实性和使用这些内容。在一个实施例中,许可信息包括至少一个内容的解密密钥,和足够确认内容真实性的信息(例如,安全哈希信息或安全签名)。在一个实施例中,许可文件为每个授权的接受者或用户单独定制,尽管在本发明上下文中没有特别要求。
●短语“许可服务器”描述了任何一种能够输送(直接或间接)许可信息的设备。在一个实施例中,许可服务器包括在线事务处理服务器,所述在线事务处理服务器能够请求提出许可请求的设备的身份,并且作为响应,能够生成密码标记的数据结构,所述数据结构包括确认设备身份信息,内容身份信息和一组内容解密密钥。
本发明的范围和精神并不局限于这些定义中的任何一种,也不局限于在此所提到的具体例子,相反,本发明意图包括由这些和其它术语所体现的最一般的概念。
系统单元图1显示了一个包含将内容和许可文件发送到安全处理器的分发网络的系统的框图。
系统100包括内容服务器110,一个或多个可选的中间服务器120,安全播放器130,许可服务器140,和通信系统150。
内容服务器110包括任何一种能够直接或间接地将包括内容112的内容包111传送到安全播放器130的设备或系统。在一个实施例中,内容服务器110可以包括一个服务器设备,所述服务器设备能够接收来自安全播放器130的对内容112的请求,并且利用通信系统150发送打包于内容包111中的内容112来响应这些请求。然而,在本发明的上下文中,对内容服务器110接收来自安全播放器130的对内容112的明确的请求,并没有特殊的要求。举例来说,但不意味着以任何方式进行限制,内容服务器110可以依照对内容112的预定请求、来自安全播放器130以外设备的请求、来自安全播放器130的原始请求、或者来自其他设备的对内容112的请求及其任何更新,及其合理的概括,等等,传递包括内容112的内容包111,到安全播放器130。
许可服务器140包括任何一种能够直接或间接地传递包括许可文件142的许可包141到安全播放器130的设备和系统。在一个实施例中,许可服务器140可以包括类似于内容服务器110的设备。然而,在本发明的上下文中,对内容服务器110和许可服务器140在相同或相似方式下运转,并没有特定的要求。作为一个例子,但不意味以任何方式进行限制,内容服务器110用第一种方式输送内容包111,同时许可服务器140用第二种方式输送许可包141。
本领域的熟练技术人员在熟读该申请之后将意识到,本发明的上下文中对内容包111、内容112、许可包141、或许可文件142并没有任何特定形式的要求。作为一个例子,但并不是以任何方式进行限制,这些单元中的任一单元可以由底层通信传输协议中的一个或多个消息来表示。作为另一个例子,但并不是以任何方式进行限制,为集合传输多种单元,可以通过将以上单元中的任何一个单元包含或结合入一组消息中来表示。因此,作为一个例子,但不是以任何方式进行限制,内容112可以以例如FTP或HTTP的传输协议形式而分布在几个独立的消息上,或者,将多于一个的许可文件142打包为单个的许可包141,或者将多于一个的许可包141以例如FTP或HTTP的传输协议形式包含在单个的消息中。本领域的熟练技术人员在熟读该申请之后将意识到,本发明的上下文中对传输协议并没有特殊的要求,传输协议并不一定是所提到的几种特定协议,可以包括其他更多的协议、传输技术的结合或者重要的变体等。
中间服务器120包括任何一种能够直接或者间接地通过一个或多个附加的中间服务器120,将包含内容112的内容包111传送到安全播放器130的设备和系统。所述中间服务器120可以包括能够保存从一个或多个内容服务器110接收的内容包111的副本(或副本的一部分)并且能够将该副本(或副本的一部分)传送到一个或多个安全播放器130的高速缓存设备或者其他转存设备,例如网络路由器。所述中间服务器120也可以包括能够保存从一个或多个许可服务器140接收的许可包141的副本并且能够将该副本传送到一个或多个安全播放器130的高速缓存设备或其他转存设备。对内容服务器110和安全播放器130之间的路径,或者许可服务器140和安全播放器130之间的路径,本发明的上下文中并没有特别的要求。
通信系统150包括任何一种能够在系统100的各单元间传输信息(例如内容包111)的设备或系统或技术。在一个实施例中,通信系统150包括能够对包括内容112的内容包111进行电子通讯的通信网络,例如互联网、内部网、外部网、虚拟专用网络(VPN)、局域网(LAN)、广域网(WAN)、企业网、专用或公用交换网络或广播通信系统。然而,在本发明的上下文中,对通信系统150是全部或部分地电子化运行,并没有特别要求。作为一个例子,但并不是以任何方式进行限制,通信系统150可以包括(至少部分)物理媒介的传输,所述物理媒介上编码有包含内容112的内容包111,例如光驱,刻录CD,DVD,软盘,移动硬盘,磁带,纸质磁带,条码包,或任何其他能够被安全播放器130识别和解释的媒介。
安全播放器130包括一个能够执行以下所述任务的计算设备,所述任务包括直接或间接的从内容服务器110接收包括内容112的内容包111,和直接或间接的从许可服务器140接收包括许可文件142的许可包141。在一个实施例中,安全播放器130包括一个如被结合入本申请中的公开物中所述的安全处理器,可选地增加至少一个辅助设备131和外部储存器132。在一个实施例中,外部储存器132可以包括RAM(随机存取存储器),海量存储器(例如磁盘、光盘设备),或一些组合等等。
本领域的熟练技术人员在熟读该申请之后将意识到,本发明的上下文中并没有特别要求内容服务器110、中间服务器120和许可服务器140实际上为独立设备。作为一个例子,但并不是以任何方式进行限制,内容服务器110和许可服务器140可以为同一个设备,此设备既充当内容服务器110又充当许可服务器140。本领域的熟练技术人员将意识到,在熟读该申请之后,无需过多的实验或进一步的创新,这些想法的其他的以及进一步的变体将可以实现,所以它们也属于本发明范围和精神内。
加密和再加密保存在内容服务器110中的内容包111包含内容112,还可能包括关于内容的其他数据(有时此处称为“内容元数据”),对所有包括内容112的内容包111,使用共享内容密钥113CK进行加密。由此,对于共同的内容112,每个内容包111实质上是相同的,并且所述内容包111可以被保存在一个或多个中间高速缓存120中,以便实现到安全播放器130的相对为本地的传输,即使安全播放器130被相对较为广泛地分布。保存在一个或多个中间高速缓存120中的内容包111因此包括同样的内容112,同样的内容元数据,采用同样的内容密钥113CK加密。
如上所述,内容包111可通过电子或物理介质传输,使得内容包111可以被编码于一个或多个文件、消息、磁轨或其他可分隔的信息单元中,被发送或存储于计算机设备和系统中。内容包111或者内容112的一部分在此有时被称为内容包111“块”或内容112“块”。
在熟读本申请之后,本领域的熟练技术人员将意识到在本发明的上下文中,如要执行划分,对于将内容包111,或者内容112划分成任何特定类型的块没有特别要求。这些块可以对应或不对应于可用一个或多个安全哈希值144SHi(如下所述)校验的内容112的部分114。作为一个例子,但并不是以任何方式进行限制,内容包111,或者内容112,可以按照通信系统150中对包大小的最大限制或其他通信特征来划分块。本领域的熟练技术人员将意识到,在熟读本申请之后,无需过多的实验或进一步的创新,本发明范围和精神内的其他或进一步想法可以被实现。
保存于许可服务器140中的许可包141包括一个或多个许可文件142,每个许可文件142都特定于单组内容112和单个的安全播放器130,其使用用户私钥143UK加密。在一个可替换的实施例中,每个许可文件142可以特定于一组指定的安全播放器130,比如这一组安全播放器130属于共同的所有者,设置于共同的地点,或者有共同的结构类型。每个许可文件142包括足够的解码和确认内容112可信的信息,还可能包括其他关于如何保护内容或者如何允许安全播放器使用内容112的信息。在一个实施例中,每个许可文件142包括指引安全播放器130的接受者UID(唯一标识),内容密钥113CK,使安全播放器130能确认内容112(至少第i部分)真实性的一个或多个安全哈希值144SHi(有时此处称为安全哈希值集合144SH),和能鉴别许可包141和许可文件142来源的密码安全签名。作为一个例子,但并不是以任何方式进行限制,密码安全签名可以包括使用对应于公用许可服务器密钥LK的专用许可服务器密钥LK*解密许可包141的过程,所述公用许可服务器密钥对于安全播放器130是已知的。
在熟读本申请之后,本领域的熟练技术人员将意识到,在本发明上下文中,为了在通信系统150中发送,将许可包141或者许可文件142划分成块也是可能的。在一个实施例中,可预见到如果许可包141相对较小,因此不需要被划分成块就能在通信系统150中发送。然而,本领域的熟练技术人员将意识到,在熟读本申请之后,无需过多的实验或进一步的创新,就可实现将许可包141或者许可文件142划分成块,这也是落在本发明的范围和精神内。
安全播放器130包括至少一些安全存储器133,因此,安全播放器130能够确保在安全存储器133中保存的信息,不会从安全播放器130外部,或在未获得安全播放器130允许时被轻易获得。在安全存储器133中,安全播放器130包括至少其特有的单独用户私钥143UK。作为对许可包141的响应,安全播放器130产生一个秘密的再次加密密钥134SK,优选的SK特定于内容包111和许可包141的单独结合,以及优选的SK使用伪随机或随机技术在安全处理器中产生。为了第一次开始执行(或者使用)内容包111,安全播放器130校验许可文件142,并运用单独用户私钥143UK提取内容。安全播放器130用嵌入的内容密钥113CK解密内容112并且计算内容的哈希值,以及与保存在许可文件142中的哈希值(如果存在)比较以校验所述内容的哈希值。安全播放器130用新产生的秘密再次加密密钥134SK,再次加密内容112。这样一来产生了再次加密包135,包括用秘密再次加密密钥134SK加密的内容112和任何内容元数据,并且对于后继的运行(或其他类型的用途),可以用安全哈希值144SH校验。
在一个实施例中,安全播放器130在其安全存储器133中保存秘密再次加密密钥134SK,使得只有能够计算出新生成秘密再次加密密钥134SK(在鉴别内容112后)的特定安全播放器130能够正确解密内容112。
在另一个实施例中,安全播放器130保存内在的秘密再次加密密钥,所述内在的秘密再次加密密钥用来加密一列内容再次加密密钥。这一列内容再次加密密钥被标记、加密和保存在外部海量存储器132中。在封闭系统的安全没有泄漏,或者安全处理器130校验内容112真实性的能力没有退化的情况下,外部海量存储器132也可能未能幸免于被复制、闯入或干扰。
在熟读本申请之后,本领域的熟练技术人员将意识到,在本发明上下文中,将内容112以个体部分114的形式传输给安全播放器113是可能的,每一部分使用内容密钥113CK进行加密,并且每一部分使用单个的秘密再次加密密钥134SK或者多个秘密再次加密密钥134SKj(在后一种情况中,其中秘密再次加密密钥134SKj对应第j个个体部分114)通过安全播放器130对其进行再加密。作为例子,但并不是以任何方式进行限制,内容112可以包括流媒体,比如使用一个或多个辅助设备131播放的视听电影,并将流媒体以个体部分114的流序列传输到安全播放器130。在这种情况下,虽然安全播放器130可能没有可一体化获得的全部内容112,在熟读本申请之后,本领域的熟练技术人员将意识到,这种情况也落在本发明的范围和精神内,无需过多的实验或进一步的创新,本发明的这些概念仍是可实现的。
在另一个实施例中,内容112可在一个或多个地点被单独而且互异地加密,所述地点包括例如内容服务器110,一个或多个中间服务器120,或者安全播放器130本身。作为例子,但并不是以任何方式进行限制,在从内容服务器110收到再次加密许可(包括为中间设备加密的内容密钥)的等价物后,与一组特定的授权用户相关联的中间安全服务器120可以被配置来单独对所述内容112进行再次加密,结果这组特定的授权用户无需他们自己再次加密所述内容112。这种运用安全中间媒介的方法在播放器设备不包含可重写的海量存储器媒介,或在重写操作很麻烦的情况下是很有用的。
再次加密密钥管理安全播放器130在它的安全长效存储器133中,为每一组内容112保存与所述内容112相关联的单独秘密再次加密密钥134SK。如果安全存储器133的大小不足以保存所有的单独秘密再次加密密钥134SK,则安全播放器130将构造包含那些单独秘密再次加密密钥134SK的再次加密密钥列表137的再次加密密钥包136KP,所述再次加密密钥包136KP本身使用新的秘密再次加密密钥134SKp加密。因为所述再次加密密钥包136KP用所述新的秘密再次加密密钥134SKp加密,所以安全播放器130可以在外部存储设备132上保存所述再次加密密钥包136KP中的已加密的再次加密密钥列表137,同时在它的安全存储器133中保存所述新的秘密再次加密密钥134SKp,而不用担心任何人(包括用户)能够获得所述再次加密密钥列表137中的任何一个单独秘密再次加密密钥134SK。
如果安全存储器133的容量不足以同时保存所述新的秘密再次加密密钥134SKp和与更多的内容112相关联的更多的单独秘密再次加密密钥134SK,则安全播放器130将构造第二个再次加密密钥包136KP,所述第二个再次加密密钥包136KP包括那些单独秘密再次加密密钥134SK的第二个再次加密密钥列表137,所述第二个再次加密密钥包136KP用另一个新的秘密再次加密密钥134SKp加密。在熟读本申请之后,本领域的熟练技术人员将意识到,通过此技术的分级或线性循环,保存任意大量的此类单独秘密再次加密密钥134SK是可能的。
操作方法图2显示了将内容和许可文件发送到安全处理器的分发网络的操作方法流程图方法200由系统100来执行。虽然方法200以串行方式进行描述,但是方法200的流点和步骤可以通过联合或并行的分离单元异步或同步地以管道方式或其他方式执行。没有特别要求所述方法200必须以本说明书所列出的流点或步骤相同的顺序来执行,除非有明确的指示。
内容传输在流点210,内容服务器110准备好将内容112传输到一个或多个安全播放器130。
在可选步骤211,内容服务器110将内容112分为一个或多个部分(未示出)。在省略此步骤的实施例中,内容112被认为仅分成单个部分。
在步骤212,内容服务器110为内容112的所述每一部分计算出签名(比如由SHA-1函数产生的安全哈希值SHi)。作为该步骤中的一个可选部分,内容服务器110可为一组安全哈希值SHi计算出签名(比如安全哈希值),这些签名的集合被包括在这组安全哈希值SHi中,作为集合安全哈希值SH的一部分。
在步骤213,内容服务器110确定内容包111,所述内容包111包括内容112的所有部分,加上任何校验内容112的那些部分所需的信息(如为内容112的所述每一部分计算出安全哈希值SHi),所述内容包111使用内容密钥113CK加密。
在步骤214,内容服务器110根据内容密钥113CK,将鉴别内容112的所述部分所需要的任何信息(如它们的偏移量和长度),以及校验内容112的那些部分所需要的信息(比如为所述内容112的所述每一部分计算出的安全哈希值SHi),传送到许可服务器140。作为该步骤的一部分,在一个实施例中,内容服务器110通过覆盖通信系统150的安全基础设施传送这些信息给许可服务器140。
●作为第一个例子,但并不是以任何方式进行限制,内容服务器110使用公钥密码系统将此信息传送给许可服务器140,其中,被传输的信号使用内容服务器110的私钥进行数字签名,和使用许可服务器140的公钥进行加密。在一个实施例中,许可包自身是安全的(被加密和被签名),这样就不需要为传输信道建立安全基础设施。
●作为第二个例子,但并不是以任何方式进行限制,内容服务器110使用安全信使将该信息传送到许可服务器140,所述安全信使载有媒介,所述许可服务器140可以从中读出所述信息。
在步骤215,内容服务器110使用通信系统150并且可选择地使用中间服务器120将内容包111传送到安全播放器130。
许可文件传输在流点220,许可服务器140准备将许可文件142传输到一个或多个安全播放器130。
在步骤221,许可服务器140为选择的安全播放器130确定单个许可142信息。
在步骤222,许可服务器140确定许可包141,所述许可包141包括许可文件142,和任何验证许可文件142所需的信息(如安全哈希值),所述许可包141使用公钥密码系统中的接受方公钥加密。在可选的实施例中,可以使用类似的共享密钥计算方法。
在步骤223,许可服务器140为许可文件142计算签名(如安全哈希值,比如由SHA-1函数产生)。
在步骤224,许可服务器140将许可包142传送到安全播放器130。作为该步骤的一部分,在一个实施例中,许可服务器110通过覆盖通信系统150的安全基础设施将这些信息传送给安全播放器130。
●作为第一个例子,但并不是以任何方式进行限制,许可服务器140使用公钥密码系统将这信息传送给安全播放器130,其中将要被传送的信息使用许可服务器140的私钥进行数字签名并且使用安全播放器130的公钥进行加密。
●作为第二个例子,但并不是以任何方式进行限制,许可服务器140使用信使传输信息给安全播放器130,信使载有媒介,这样安全播放器130可以从所述媒介读取信息。在熟读本申请后,本领域的熟练技术人员将意识到,信使不必是安全的。
再次加密播放器首先在信任基础上校验许可包的签名,并且从许可包中提取内容密钥。若该内容之前未被再次加密过,即,若其之前并没有为该内容计算秘密的再次加密密钥,且内容哈希值或签名与许可文件中的相匹配,那么就决定开始再次加密。
在流点230,安全播放器130准备好为保存在一个或多个外部存储设备132上的内容112再次加密。
在步骤231,安全播放器130产生新的秘密再次加密密钥134SK,优选地,所述新的秘密再次加密密钥134SK对于被再次加密的特定内容112是唯一的。在可替换的实施例中,其中内容112被分为几块,安全播放器130可以为每块产生一个单独的(新的)秘密再次加密密钥134SKi。
在步骤232,安全播放器130使用所述再次加密密钥134SK对所述内容112进行再次加密。在可替换的实施例中,其中内容112被分为几块,安全播放器130可以分别使用每一块的独立的秘密再次加密密钥134SKi再次加密所述内容112。
在步骤233,安全播放器130在外部存储器132中存储再次加密的内容112(并不是其秘密的再次加密密钥134SK),使得再次加密的内容112会有被复制、侵入、篡改的可能,但同时所有这些行为都不能获得原始内容112。
在步骤234,安全播放器130将再次加密内容112和秘密的再次加密密钥134SK之间的联结关系存储在安全存储器133中的再次加密密钥列表137中。
在步骤235,若安全存储器133中没有足够的空间来保存所有这些再次加密内容112和秘密的再次加密密钥134SK之间联结关系的话,安全播放器130可将这些联结关系存储到外部存储器132中。要实现这步骤,安全播放器需要执行下面的子步骤●安全播放器130创建包含或结合再次加密密钥列表137的再次加密密钥包136KP。
●安全播放器130为再次加密密钥包136KP产生(新的)秘密的再次加密密钥134SKp。在可替换的实施例中,这个独特的秘密再次加密密钥可在芯片生产时从随机源(比如实际硬件随机源)中编程写入该芯片中。
●安全播放器130使用(新的)秘密的再次加密密钥134SKp对再次加密包136KP加密。
●安全播放器130将加密的再次加密包136KP存储在外部存储132中,同时将再次加密包136KP和其独立的秘密再次加密密钥134SKp之间的联结关系存储到安全存储器133中。
安全播放器130可以根据需要将步骤235重复执行多次,以将所有这些再次加密内容112和秘密的再次加密密钥134SK之间的联结关系安全保存(即,安全存储器133中至少有一份)内容使用在流点240,安全播放器130准备好使用内容112。
在步骤241,安全播放器130从外部存储器132中获得再次加密的内容112。
在步骤242,安全播放器130或者从安全存储133或者从外部存储132(如果步骤235被执行多于一次)获得再次加密内容112和其秘密的再次加密密钥134SK之间的联结关系。
在步骤243,安全播放器130使用再次加密内容112的秘密再次加密密钥134SK对其进行解密,并且在安全处理器中或者与之相关的安全视野内运行内容。举例来说,但不是以任何方式进行限制,外部设备131(如运行引擎)可以包括街机游戏设备,视听显示设备或其它设备。
在流点250,外部设备131已经消费了内容112,安全播放器130可以将其标记为已消费,或者以标记数据结构来记录消费状态。所述标记数据结构可以存储在大容量存储器中,并且通过安全播放器将其与许可信息一起读取,从而在内容发布期间决定使用内容的资格,类似这样的方案可以用来实施播放受限许可方案。
可替换的实施例尽管本发明在此已经公开了优选的实施例,但是许多可能的变化也落在本发明的概念、范围和精神内。在熟读本申请后,本领域的熟练技术人员将意识到这些变化。
在熟读本申请后,本领域的熟练技术人员将意识到这些可选择的实施例及变化是说明性的,而不是为了以任何方式进行限制。
权利要求
1.一种方法,包括以下步骤安全处理器接收加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述加密内容,以用于显示;所述安全处理器接收所述加密内容的许可文件,所述许可文件包含所述加密内容的解密密钥;所述安全处理器接收足以校验所述加密内容的真实性的信息;产生新的密钥,所述新的密钥与所述许可文件中的所述加密密钥无关,所述新密钥是安全的,不会在所述安全服务器之外被发现;和所述安全服务器使用所述新密钥对所述内容进行再加密。
2.如权利要求1所述的方法,其中,至少所述接收加密内容、接收许可文件或者接收足以进行校验的信息的步骤中的一个步骤,包含传输含有可读信息的物理媒介的步骤。
3.如权利要求1所述的方法,其中,在使用所述安全处理器解释所述内容前,通过安全软件执行所述再次加密所述内容的步骤。
4.如权利要求1所述的方法,其中,在使用所述安全处理器解释所述内容前,执行所述验证所述内容真实性的步骤。
5.如权利要求1所述的方法,包括以下步骤所述再次加密所述内容步骤的结果的至少一部分被安全保存,不会在所述安全服务器之外被发现。
6.一种方法,包括以下步骤安全处理器接收加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述加密内容,以用于显示;对所述内容的至少一部分上的内容签名进行校验;所述安全处理器使用新密钥再次加密所述内容,所述新密钥是安全的,不会在所述安全服务器之外被发现;和在不需要再次授权或再次验证访问所述再次加密内容权限的情况下,解释所述再次加密内容,以用于显示。
7.一种方法,包括以下步骤安全处理器中接收加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述加密内容,以用于显示;所述安全处理器接收所述加密内容的许可文件,所述许可文件包含所述加密内容的解密密钥;所述安全处理器接收足以验证所述加密内容该部分的真实性的一组信息;产生新密钥,所述新密钥是安全的,不会在所述安全服务器之外被发现;所述安全处理器使用所述新密钥对所述内容进行再次加密;和响应于对所述安全处理器中的所述加密内容该部分的请求,不时再次验证所述该部分的真实性。
8.一种方法,包括以下步骤安全处理器从内容服务器接收加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述加密内容,以用于显示;在(a)所述安全处理器,(b)所述内容服务器,或者(c)第三安全媒介中的一个设备中,使用新密钥再次加密所述内容,所述新密钥是安全的,不会在所述安全服务器之外被发现,并且所述新密钥被安全地传送到接收设备;和所述安全处理器解释所述再次加密内容,以用于显示。
9.一种方法包括以下步骤安全处理器接收来自内容服务器的第一组加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述第一组加密内容,以用于显示;在所述安全处理器或所述内容服务器中,使用第一新密钥对所述第一组加密内容进行再次加密,所述第一新密钥是安全的,不会在所述安全服务器之外被发现;安全处理器接收来自内容服务器第二组加密内容,所述安全处理器至少含有一些保存在其中的安全的个性化信息,所述安全处理器能够解释所述第二组加密内容,以用于显示;在所述安全处理器或所述内容服务器中,使用第二新密钥对所述第二组加密内容进行再次加密,所述第二新密钥是安全的,不会在所述安全服务器之外被发现;保存所述第一新密钥和所述第一组加密内容之间的联结关系,和所述第二新密钥和所述第二组加密内容之间的联结关系;所述安全处理器至少解释所述再次加密第一组内容或所述再次加密第二组内容中的一个,以用于显示;
10.如权利要求9所述的方法,包括以下步骤响应第三密钥加密与所述联结关系相关的信息,所述第三密钥是安全的,不会在所述安全服务器之外被发现;和在所述安全处理器外,保存加密与所述联结关系相关的信息的步骤的结果。
11.一种方法,包括以下步骤接收一组部分内容和鉴定项组,每个所述鉴定项与一个所述部分内容相关;在解释或显示所述部分前,先读入一个所述部分;响应与所述部分相关的所述鉴定项,对所述部分进行鉴定;和响应所述读入和鉴定步骤,解释或者显示所述内容。
12.如权利要求11所述的方法,其中,所述部分的每一个包含所述内容的不同块,因此所述部分的联合就包含所述整个内容。
13.如权利要求11所述的方法,其中,每个所述鉴定项包含和一个所述部分相关的标记块;和所述鉴定步骤包含用所述部分的相关鉴定项来验证所述部分;
14.如权利要求11所述的方法,其中,所述接收步骤包括从可信任的服务器接收所述鉴定项组的步骤。
15.如权利要求11所述的方法,包括以下步骤接收和所述鉴定项组相关的一组鉴定项;和响应所述鉴定项组,验证所述一组鉴定项。
16.如权利要求15所述的方法,其中,接收所述鉴定项组的步骤包括从可信任的服务器接收所述鉴定项组。
17.一种方法,包括以下步骤维护封闭的分发系统,所述封闭分发系统包含一组设备;为包含在所述封闭分发系统中的每一个所述设备保存至少一个公共密码内容密钥;禁止从不包含在所述封闭分发系统中的设备向包含在所述封闭分发系统中的设备分发内容;其中,禁止步骤包括要求有权使用所述公共密码内容密钥中的至少一个,所述公共密码内容密钥用于每一个希望向包含在所述封闭分发系统中的设备分发内容的设备。
18.一种方法,包括以下步骤安全设备接收一组部分内容和一组鉴定项,每一个所述鉴定项和一个所述部分内容相关;在解释或显示所述部分之前至少验证一个所述部分,以响应与所述部分相关的所述鉴定项;和保存与解释或显示所述内容相关的状态,以响应已解释的或显示的所述部分组中的一个;在所述保存步骤包括在所述安全设备之外记录安全数据元素,所述安全数据元素是受密码保护的,不会被所述安全设备之外的任何一方获取。
全文摘要
公开了一种将授权内容从安全服务器安全传送到远程客户播放设备的方法和系统。该方法包括用密码标记一个或多个内容数字数据哈希信息的内容发布系统,它可以在程序运行前和每次从外部大容量存储器中装载内容的时候被验证。对于网络传输,当总运行时间鉴别确认不可行时,每部分内容使用一个对称密钥进行加密。首先通过验证来自可信任或可验证来源的签名来检验缓冲存储数据的真实性,然后通过安全媒介进行再加密,这样传送到播放器的每一副本都使用了不同的对称密钥进行再加密。安全播放器在执行期间使用此独特的密钥鉴定和解码内容,这样内容就不能够通过仅仅一个内容密钥被大量分发给终端设备,而必须得到每一播放器对于每部分内容的再加密密钥。
文档编号H04L9/00GK101060395SQ200610072269
公开日2007年10月24日 申请日期2006年4月17日 优先权日2006年4月17日
发明者普拉米拉·斯瑞尼瓦桑, 约翰·普瑞森 申请人:Broadon通信公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1