CN101366088A

CN101366088A - 用于提供、分发并刻录数字数据的方法及关联分发服务器

Info

Publication number: CN101366088A
Application number: CNA2007800019222A
Authority: CN
Inventors: 奥利维耶·赫恩; 燕-梅·唐-塔尔皮恩; 伊夫·梅茨
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2006-01-06
Filing date: 2007-01-08
Publication date: 2009-02-11
Also published as: KR20080083133A; WO2007077400A3; US20090070584A1; EP1969597A2; JP2009522678A; WO2007077400A2; FR2896076A1

Abstract

本发明涉及一种用于写入来自远程服务器的数据的方法。该方法包括以下步骤：收集(72)拟接收数字数据的安全盘(12)所专用的标识符(DID)；将标识符(DID)和用于下载数字数据的命令(ICM)发送(74，76)到远程服务器；接收(90)通过至少一个第二加密密钥加扰的数字数据以及通过第一加密密钥加密的第二加密密钥(DK)；以及将加扰后的数字数据和加密后的第二密钥写到(92)安全盘(12)上。本发明还涉及一种用于使数据可用的方法、分发方法以及分发服务器。

Description

用于提供、分发并刻录数字数据的方法及关联分发服务器

技术领域

本发明总体涉及一种用于将表示来自远程服务器的多媒体内容的数字数据写到安全盘上的方法。

本发明还涉及一种分发方法以及一种使表示拟被写到安全盘上的多媒体内容的数字数据可用的方法。

本发明还涉及一种使数据可用的服务器。

背景技术

已知一种用于将多媒体内容写到安全盘上的方法，具体通过文献US2005/0154682。这种方法使用适于对预先记录在安全盘上的加密密钥进行提取的写入器。这种写入器能够控制并接收来自远程服务器的多媒体内容，并且能够使用所提取的密钥以及可能从远程服务器或可信机构接收到的附加密钥来对所接收的多媒体内容进行加扰。最后，它适于将加扰后的多媒体内容写到安全盘上。

然而，这种写入方法需要使用特定的写入器。另外，这种特定的写入器包含用于对数字数据进行加扰的模块，因而需要有效的保护装置。因此，这种写入器的使用成本较高。

本发明的目的是建议一种成本较低的写入方法，其中可以使用现有的商用写入器来写入已下载的多媒体内容。

发明内容

为此，本发明的主旨是一种用于写入来自远程内容服务器的数字数据的方法，该数字数据由客户端设备写到安全盘上，所述方法的特征在于其包括由客户端设备所执行的以下步骤：

-从安全盘收集标识符，该标识符与第一加密密钥以及与数字数据拟被写在其上的安全盘相关联，该标识符是该安全盘专用的，并且不同于与其他安全盘相关联的标识符；

-通过分发网络，将安全盘标识符以及用于下载拟被写到安全盘上的数字数据的命令发送到内容服务器；

-接收通过至少一个第二加密密钥所加扰的数字数据以及通过第一加密密钥所加密的每个第二加密密钥，该第一加密密钥与数据库中的标识符相关联；以及

-将加扰后的数字数据和每个加密后的第二加密密钥写到安全盘上。

根据特定实施例，该写入方法包括下列特征中的一个或更多个：

-以能够被用户读取的方式将标识符打印在该安全盘的一面上或打印在附着于该安全盘的文档上，以及该收集步骤包括用户在客户端设备处输入标识符的步骤；

-仅在建立安全连接期间发送安全盘标识符、下载命令、加扰后的数字数据以及每个加密后的第二加密密钥；

-从CSS保护协议的角度来看，该第一加密密钥是盘密钥，并且每个第二加密密钥都是标题密钥；以及

-在不能从应用于该标识符的数学函数中推导出第一加密密钥的情况下，第一加密密钥独立于该标识符。

本发明的主旨也是一种方法，用于通过分发网络由远程内容服务器使得数字数据对于至少一个客户端设备可用，其中该数字数据拟由客户端设备写到安全盘上，该方法包括由内容服务器所执行的以下步骤：

-从客户端设备接收标识符以及用于下载数字数据的命令，所述标识符与第一加密密钥以及与数字数据拟被写在其上的安全盘相关联，所述标识符是该安全盘专用的，并且不同于与其它安全盘相关联的标识符；

-通过询问存储安全盘标识符以及与这些标识符相关联的第一加密密钥的数据库，获取与标识符相关联的第一加密密钥；

-基于下载命令，在内容数据库中搜索数字数据；

-产生至少一个第二加密密钥；

-使用所产生的第二加密密钥对所搜索的数字数据进行加扰；

-基于第一加密密钥对第二加密密钥进行加密；以及

-将使用第二加密密钥所加扰的数字数据以及使用第一加密密钥所加密的第二加密密钥发送到客户端设备。

根据一个特定实施例，获取第一加密密钥的步骤包括以下步骤；

-将安全盘的标识符发送到包含有存储数据库的管理盘密钥服务器；以及

-从该管理盘密钥服务器接收与安全盘标识符相关联的第一加密密钥。

本发明的主旨是一种提供内容的服务器，适于通过分发网络来使数字数据对于至少一个客户端设备可用，该数字数据拟被写到安全盘上，提供内容的服务器包括：

-网络接口，用于对标识符以及用来下载客户端设备所发送的数字数据的命令进行接收，所述标识符与第一加密密钥以及与数字数据拟被写到其上的安全盘相关联，所述标识符是该安全盘专用的，并且不同于与其它安全盘相关联的标识符；

-装置，用于基于客户端设备所发送的下载命令、在内容数据库中搜索拟被写入的数字数据；

-随机数产生器，适于产生至少一个第二加密密钥；

-装置，用于使用所产生的第二加密密钥对拟被写入的数字数据进行加密；

-装置，用于通过询问存储安全盘标识符以及与这些标识符相关联的第一加密密钥的数据库来获取与标识符相关联的第一加密密钥；

-装置，用于基于所述第一加密密钥来对第二加密密钥进行加密；以及

-该网络接口能够将使用第二加密密钥所加扰的数字数据以及使用所述第一加密密钥所加密的第二加密密钥发送到客户端设备。

最后，本发明的主旨还是一种用于由远程内容服务器通过分发网络给至少一个客户端设备分发数字数据的方法，该数字数据拟被写到安全盘上，该方法包括以下步骤：

-由客户端设备从安全盘收集标识符，该标识符与第一加密密钥以及与数字数据拟被写到其上的安全盘相关联，该标识符是该安全盘专用的，并且不同于与其他安全盘相关联的标识符；

-通过分发网络，将安全盘标识符以及用于下载拟被写到安全盘上的数字数据的命令从客户端设备发送到内容服务器；

-由内容服务器基于下载命令在内容数据库中搜索数字数据；

-由内容服务器产生至少一个第二加密密钥；

-由内容服务器使用第二加密密钥对所搜索的数字数据进行加扰；

-通过由内容服务器询问存储安全盘标识符以及与这些标识符相关联的第一加密密钥的数据库，获取与安全盘标识符相关联的第一加密密钥；

-由内容服务器基于第一加密密钥对第二加密密钥进行加密；

-将使用第二加密密钥所加扰的数字数据和使用第一加密密钥所加密的第二加密密钥从内容服务器发送到所述客户端设备；以及

-通过客户端设备，将加扰后的数字数据和加密后的第二加密密钥写到安全盘上。

附图说明

参考附图，通过阅读仅作为示例的下列描述，将更好地理解本发明，在附图中：

-图1是使得根据本发明的方法得以实现的系统的方框功能形式的图；以及

-图2是示出了根据本发明的方法的步骤的图。

在说明书的其它部分中，仅参考表示多媒体内容的数字数据。但本发明可应用于对任意类型内容的分发，特别是音频、视频或文本数据的序列或用于更新软件的计算机数据文件。

具体实施方式

图1中示出了使得根据本发明的方法得以实现的系统2。

系统2包括用于盘密钥DK的可信机构4、DVD盘制造商6以及管理服务器8，其中的每一个都被设计为通过诸如互联网络之类的分发网络7来交换数据。

利用传统方式，可信机构4具有以下特定任务：利用每个DVD制造商专用的主密钥MK，对从DVD制造商6接收到的盘密钥DK进行加密，以产生与盘密钥DK的加密相对应的一组安全盘密钥SDK。

DVD制造商6包括随机数产生器9和网络接口10。

产生器9能够产生标识符DID，以使得唯一的标识符DID与DVD制造商6所生产的每个DVD相关联。产生器9还能够产生盘密钥DK，以使得与该标识符DID以及相应的DVD相关联的唯一盘密钥DK对应于每个标识符DID。

作为变体，如果用户在给定时间段(例如一个月)内购买带有相同关联盘密钥的两个DVD的可能性较低并且如果两个用户在相同地理区域中获取带有相同关联盘密钥DK的DVD的可能性也较低，则可以接受具有与单个盘密钥DK相关联的若干DID(并因而有若干DVD)。例如，可以认为上述可能性小于1％。这使得能够在保持高度安全性的同时降低系统的成本。

盘密钥DK独立于与它们相关联的标识符DID，以致于无法通过将特定函数应用于标识符DID来推导出盘密钥DK。具体地，无法从应用于标识符DID的数学函数中推导出盘密钥。

DVD制造商6被设计为建立与可信机构4以及管理盘密钥服务器8的安全连接，一般被称为SAC(安全认证通道)。

例如，用于建立安全连接的协议是诸如安全套接字层(SSL)协议之类的标准协议或诸如在带有注册商标“Smart Right”的保护系统的说明书中所描述的协议(在2004年10月29日提交的美国专利申请No.10/978162中也描述了这个协议)之类的专利协议。

DVD制造商6能够经由安全认证通道(SAC)将其中的每一对都包括标识符DID以及与该标识符DID相关联的盘密钥DK的若干对发送到管理盘密钥服务器8。

DVD制造商6具有如下特定任务：将响应于对盘密钥DK的发送而从可信机构4接收到的安全盘密钥SDK组写到DVD盘12的导入端区域11。

将DVD制造商6设计为利用用户可读的方式将与加密后的盘密钥DK相关联的标识符DID打印到DVD盘12的一个面14上，以获得已被写到DVD盘12上的加密后的安全盘密钥SDK组。

DVD盘12的数据区域15是空白的，并且可以如下文所述地由用户的写入器来写入。

管理盘密钥服务器8包括与数据库18和网络接口20相连的处理器17。

处理器17具有如下特定任务：产生并完善数据库18，该数据库18具有由DVD制造商6发送的、其中的每一对都包括标识符DID以及与该标识符相关联的盘密钥DK的若干对。

处理器17能够在数据库18中搜索与给定对中的标识符DID相关联的盘密钥DK。

为了发现盗版问题，当处理器17接收到它在之前请求期间已接收到的标识符DID时，它能够向可信机构4发送警报，并且不发送盘密钥DK。

数据库18包含用于标识符DID与盘密钥DK(与这些标识符DID相关联)之间的对应的查找表。

管理盘密钥服务器8是安全的，从而保证其数据库18的机密性、可用性和完整性。

系统2还包括客户端设备22和提供内容的服务器24。

客户端设备22通常位于想要经由互联网络7来访问多媒体的用户处。客户端设备22可以是计算机、数字解码器或机顶盒。

该设备具有人机界面26，其具有键盘、显示器和/或遥控类型。人机界面26与法定标准写入器28相连。

客户端设备22包括网络接口30，用于通过实时下载(流式)(即加载的同时访问内容)或通过预先下载(即在下载的结束时访问内容)来从互联网络接收数字数据流。

客户端设备22优选地还包含用于建立付款协议的装置，其具有金融中介机构或直接具有提供内容的服务器24。微付款类型的付款协议(即专用于小金额付款)、或用于更高金额的微付款协议是本领域技术人员所公知的，不会对其予以进一步描述。

提供内容的服务器24包括数据库32和数据处理器34，其中数据库32存储以压缩形式表示多媒体内容的数字数据，并且数据处理器34具有如下特定任务：基于名称或参考ICM，在数据库32中搜索已订购的多媒体内容。

提供内容的服务器24还包括：随机数产生器36，具有产生标题密钥TK的特定任务；用于对标题密钥TK进行加密的模块38；以及用于使用标题密钥TK对多媒体内容进行加扰的模块40，模块38和40都与产生器36相连。

优选地，根据DVB CSS(数字视频广播内容加扰系统)标准执行数据加扰。

该服务器还包括与处理器34、加密模块38加扰模块40都相连的网络接口42。

只在有安全连接SAC的情况下，建立可信机构4、DVD制造商6、管理盘密钥服务器8、客户端设备22和提供内容的服务器24之间的数据交换。

图2中通过五个时间轴t、并通过用于说明可信机构4、DVD制造商6、管理盘密钥服务器8、客户端设备22和提供内容的服务器24之间的交换以及这些设备所执行的过程的箭头来说明根据本发明的方法的步骤。

在步骤50的过程中，DVD制造商6产生盘密钥DK以及与盘密钥DK相关联的标识符DID，以生产安全DVD盘12。

在步骤52的过程中，DVD制造商6通过安全认证通道(SAC)将盘密钥DK发送到可信机构4。

在步骤54的过程中，可信机构4经由主密钥MK组对从每个DVD播放器制造商接收到的盘密钥DK进行加密，以便产生一组安全盘密钥SDK。

在步骤56的过程中，可信机构4将因而获得的安全盘密钥SDK组发送到DVD制造商6。

在步骤58的过程中，DVD制造商6将盘密钥DK以及与该盘密钥DK相关联的标识符DID发送到管理盘密钥服务器8。

在步骤60的过程中，管理服务器中的处理器17将盘密钥DK和标识符DID保存在数据库18中，以使得它们直接联系以便能够在接收到标识符DID时恢复盘密钥DK。

在步骤70的过程中，DVD制造商6将该安全盘密钥SDK组写到DVD盘12的导入端区域11上，并将标识符DID打印到该DVD盘12的面14上。

将以这种方式预先记录的DVD盘作为对内容进行安全记录的介质而在商业上分发并销售。

当已购买了安全DVD盘12的用户想要将从提供内容的服务器24下载的多媒体内容记录到安全DVD盘12上时，用户通过客户端设备的界面26来选择视频序列，例如他想要写到DVD盘12上的电影或特定节目。

在步骤72的过程中，用户通过界面26来构造订购视频内容的消息，并将该消息发送到提供内容的服务器24的地址。该订购消息包含所请求的视频序列的参考ICM、付款凭证以及打印在DVD盘12上的标识符DID。

在之后的步骤74处，将由此而构造的订购消息发送到提供内容的服务器24。

在步骤76的过程中，提供内容的服务器24将标识符DID发送到管理服务器8。

在步骤78的过程中，管理服务器中的处理器17搜索与从提供内容的服务器24接收到的标识符DID相关联的盘密钥DK。

在步骤80的过程中，管理盘密钥服务器8将盘密钥DK发送到提供内容的服务器24。

在步骤82的过程中，处理器34利用参考ICM在数据库32中搜索该用户所订购的视频序列。

在步骤84的过程中，随机数产生器36产生标题密钥TK，并将该标题密钥TK发送到加密模块38和加扰模块40。

在步骤86的过程中，加扰模块40使用从产生器36接收到的标题密钥TK对来自数据库32的视频序列进行加扰。

在步骤88的过程中，加密模块38基于从管理盘密钥服务器8接收到的盘密钥DK来对标题密钥TK进行加密。

在步骤90的过程中，提供内容的服务器24将使用标题密钥的加扰内容ETK(内容)以及通过盘密钥所加密的标题密钥EDK(TK)发送到客户端设备22。

在步骤92的过程中，客户端设备22接收由内容服务器所发送的数据，并将它们发送到写入器28，然后写入器28将其数据写到DVD盘12的数据区域15上。

作为变体，例如采用8比特数的形式将标识符DID预先记录在空白DVD盘的区域上。

作为变体，采用可由客户端设备的条形码读出器读出的条形码的形式来打印标识符DID。

作为变体，将标识符DID打印在与销售时的DVD盘相关联的文档(标签、封套等等)上。

作为变体，标识符DID由客户端设备22直接发送到管理盘密钥服务器8并且不经过提供内容的服务器24。作为响应，管理盘密钥服务器8将与该标识符DID相关联的盘密钥DK发送到提供内容的服务器24。

作为变体，包含标识符DID/盘密钥DK对的数据库18被管理并包含在提供内容的服务器24中。

作为变体，每个标识符DID由每一个盘携带，即必须将每个标识符DID写到或打印到盘上。由于本实施例防止通过剽窃与盘相关联的文档的欺诈行为，因此它提供了更强有力的保护。

作为变体，标识符DID由可信机构4而不是由DVD制造商6产生。由于可信机构4与DVD制造商、写入器或提供多媒体内容的服务器不具有金融关联，因此本变体保证了单个盘密钥DK与唯一标识符DID相对应。

已经使用CSS保护系统描述了根据本发明的方法。然而，该方法也可以与Vidi保护系统一同使用，Vidi保护系统在文献“Blue-ray Disc，ContentProtection System for BD-Rom，White Paper，September 2003，Panasonic，Philips Sony”和“Vidi Copy Protection System for DVD+R/+RW VideoRecording Format，System Description，Version 1.0，March 2004，Philips，Hewlett-Packard”中定义。

在这种情况下，DVD盘12是DVD-R/RW类型的，盘密钥DK是Vidi根密钥，安全盘密钥SDK组是启动密钥块，制造商是Vidi许可人，可信机构是Vidi其余密钥管理器，最后用Vidi格式化方法代替用于格式化已加扰内容的方法。

作为变体，DVD盘可以是DVD-R、DVD-RW、DRD+R、DRD+RW或DVD-RAM类型的。

有利地，由此所获得的DVD盘由标准保护格式(例如CSS或Vidi)所保护，并因此可由所有合法DVD播放器读取。

有利地，安全DVD盘可由任意现有DVD写入器写入。

有利地，根据前述方法写入的安全DVD盘是抗逐比特拷贝的。

有利地，盘密钥将不会被从客户端设备发送到提供内容的服务器，从而保证了更强的系统安全性。

有利地，对加密密钥DK、TK的保护是在职业环境下管理，而不是由客户端设备管理。因此，客户端设备和写入器不包括任何机载的加密密钥，所以这种解决方案比现有解决方案更安全。因而，本发明可应用于为了获得安全写入的DVD盘而进行了微小修改的现有视频设备。

有利地，盘密钥管理器通过管理其数据库来保证密钥的多样性，以便能够检查出欺诈的DVD制造商。

有利地，以安全的方式将多媒体内容传送到客户端设备。

有利地，提供内容的服务器独立于DVD盘的保护格式的代表。

有利地，可以使用多种模式来分发多媒体内容，例如超级分发或使用“推送”模式。

有利地，还可以使用空白的预先写入DVD盘作为通常在没有数据保护的情况下写入的标准DVD盘。

Claims

1.一种用于写入来自远程内容服务器(24)的数字数据的方法，所述数字数据由客户端设备(22)写到安全盘(12)上，所述方法的特征在于其包括由客户端设备(22)所执行的以下步骤：

-从所述安全盘(12)收集(72)标识符(DID)，所述标识符(DID)与第一加密密钥(DK)以及与数字数据拟被写在其上的所述安全盘(12)相关联，所述标识符(DID)是所述安全盘(12)专用的，并且不同于与其他安全盘(12)相关联的标识符；

-通过分发网络(7)，将所述安全盘标识符(DID)以及用于下载拟被写到所述安全盘(12)上的数字数据的命令(ICM)发送(74，76)到所述内容服务器(24)；

-接收(90)通过至少一个第二加密密钥(TK)加扰的数字数据(E_TK(内容))以及通过第一加密密钥(DK)加密的每个第二加密密钥(E_DK(TK))，所述第一加密密钥(DK)与数据库(18)中的标识符(DID)相关联；以及

-将所述加扰后的数字数据(E_TK(内容))和每个加密后的第二加密密钥(E_DK(TK))写到(92)所述安全盘(12)上。

2.根据权利要求1所述的写入方法，其中，以能够被用户读取的方式将标识符(DID)打印在所述安全盘(12)的一面(14)上或打印在附着于所述安全盘(12)的文档上，以及所述收集步骤(72)包括用户在客户端设备(22)处输入标识符(DID)的步骤。

3.根据前述权利要求中任意一项所述的写入方法，其中，仅在建立安全连接(SAC)的期间发送安全盘(12)标识符(DID)、下载命令(ICM)、加扰后的数字数据(E_TK(内容))和每个加密后的第二加密密钥(E_DK(TK))。

4.根据前述权利要求中任意一项所述的写入方法，其中，从CSS保护协议的角度来看，所述第一加密密钥(DK)是盘密钥(DK)，以及所述每个第二加密密钥(TK)是标题密钥(TK)。

5.根据前述权利要求中任意一项所述的写入方法，其中，在不能从应用于所述标识符(DID)的数学函数中推导出所述第一加密密钥(DK)的情况下，所述第一加密密钥(DK)独立于所述标识符(DID)。

6.一种用于通过分发网络(7)由远程内容服务器(24)使得数字数据对于至少一个客户端设备(22)可用的方法，所述数字数据拟由所述客户端设备(22)写到安全盘(12)上，所述方法包括由远程内容服务器(24)所执行的以下步骤：

-从所述客户端设备(22)接收(72，74)标识符(DID)以及用于下载数字数据的命令(ICM)，所述标识符(DID)与第一加密密钥(DK)以及与数字数据拟被写到其上的安全盘(12)相关联，所述标识符(DID)是所述安全盘(12)专用的，并且不同于与其它安全盘(12)相关联的标识符；

-通过询问存储安全盘(12)标识符(DID)以及与这些标识符相关联的第一加密密钥(DK)的数据库(18)，来获取(76，78，80)与所述标识符(DID)相关联的第一加密密钥(DK)；

-基于所述下载命令(ICM)，在内容数据库(32)中搜索(82)所述数字数据；

-产生(84)至少一个第二加密密钥(TK)；

-使用所产生的第二加密密钥(TK)对所搜索的数字数据进行加扰(86)；

-基于所述第一加密密钥(DK)对第二加密密钥(TK)进行加密(88)；以及

-将使用所述第二加密密钥(TK)所加扰的数字数据(E_TK(内容))和使用所述第一加密密钥(DK)所加密的第二加密密钥(E_DK(TK))发送(90)到所述客户端设备(22)。

7.根据权利要求6所述的使得数据可用的方法，其中，所述获取(76，78，80)所述第一加密密钥(DK)的步骤包括以下步骤：

-将所述安全盘(12)的标识符(DID)发送(76，78)到包含所述存储数据库(18)的管理盘密钥服务器(8)；以及

-从所述管理盘密钥服务器(8)接收(80)与所述安全盘(12)标识符(DID)相关联的第一加密密钥(DK)。

8.一种适于通过分发网络(7)使得数字数据对于至少一个客户端设备(22)可用的内容服务器(24)，所述数字数据拟被写到安全盘(12)上，所述内容服务器包括：

-网络接口(42)，用于对由客户端设备(22)发送的标识符(DID)以及用来下载数字数据的命令(ICM)进行接收，所述标识符(DID)与第一加密密钥(DK)以及与数字数据拟被写到其上的安全盘(12)相关联，所述标识符(DID)是所述安全盘(12)专用的，并且不同于与其它安全盘(12)相关联的标识符；

-装置(34)，用于基于由所述客户端设备(22)所发送的下载命令(ICM)在内容数据库(32)中搜索拟被写入的数字数据；

-随机数产生器(36)，适于产生至少一个第二加密密钥(TK)；

-装置(40)，用于使用所产生的第二加密密钥(TK)对拟被写入的数字数据进行加扰；

-装置(34，42)，用于通过询问存储安全盘(12)标识符(DID)以及与这些标识符相关联的第一加密密钥(DK)的数据库(18)来获取与所述标识符(DID)相关联的第一加密密钥(DK)；

-装置(38)，用于基于所述第一加密密钥(DK)来对所述第二加密密钥(TK)进行加密；以及

-所述网络接口(42)能够将使用所述第二加密密钥(TK)所加扰的数字数据(E_TK(内容))和使用所述第一加密密钥(DK)所加密的第二加密密钥(E_DK(TK))发送到所述客户端设备(22)。

9.一种用于由远程内容服务器(24)通过分发网络(7)将数字数据分发给至少一个客户端设备(22)的方法，所述数字数据拟被写到安全盘(12)上，所述方法包括以下步骤：

-由所述客户端设备(22)从安全盘(12)收集(72)标识符(DID)，所述标识符(DID)与第一加密密钥(DK)以及与数字数据拟被写到其上的安全盘(12)相关联，所述标识符(DID)是所述安全盘(12)专用的，并且不同于与其他安全盘(12)相关联的标识符；

-通过分发网络(7)，将所述安全盘(12)标识符(DID)以及用于下载拟被写到所述安全盘(12)上的数字数据的命令(ICM)从所述客户端设备(22)发送(74，76)到所述内容服务器(24)；

-由所述内容服务器(24)基于所述下载命令(ICM)在内容数据库(32)中搜索(78)所述数字数据；

-由所述内容服务器(24)产生(84)至少一个第二加密密钥(TK)；

-由所述内容服务器(24)使用所述第二加密密钥(TK)来对所搜索的数字数据进行加扰(86)；

-通过由所述内容服务器(24)询问存储安全盘(12)标识符(DID)以及与这些标识符相关联的第一加密密钥(DK)的数据库(18)，来获取(80)与所述安全盘(12)标识符(DID)相关联的第一加密密钥(DK)；

-由所述内容服务器(24)基于所述第一加密密钥(DK)对所述第二加密密钥(TK)进行加密(88)；

-将使用所述第二加密密钥(TK)所加扰的数字数据(E_TK(内容))和使用所述第一加密密钥(DK)所加密的第二加密密钥(E_DK(TK))从所述内容服务器(24)发送到所述客户端设备(22)；以及

-通过所述客户端设备(22)，将加扰后的数字数据(E_TK(内容))以及加密后的第二加密密钥(E_DK(TK))写到(92)所述安全盘(12)上。