CN1933393B - 用于内容保护的实体间连接方法、设备和系统 - Google Patents
用于内容保护的实体间连接方法、设备和系统 Download PDFInfo
- Publication number
- CN1933393B CN1933393B CN2006100879724A CN200610087972A CN1933393B CN 1933393 B CN1933393 B CN 1933393B CN 2006100879724 A CN2006100879724 A CN 2006100879724A CN 200610087972 A CN200610087972 A CN 200610087972A CN 1933393 B CN1933393 B CN 1933393B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- message
- business
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种用于在包括广播网络和终端的广播环境中保护内容的实体间连接方法,所述广播网络具有广播业务应用(BSA)、广播业务发布(BSD)以及广播业务管理(BSM),所述实体间连接方法包括:由终端执行注册处理以获得用于终端的群组密钥;在注册处理完成之后,由终端执行用于请求业务加入的业务加入处理,并由终端基于获得的群组密钥接收关于来自消息的内容的权限对象(RO),其响应于注册而被接收;如果在完成业务加入处理之后接收到流量密钥消息,则通过使用RO获得流量密钥;在终端中接收加密的内容;以及通过使用流量密钥对加密的内容进行解密。
Description
技术领域
本发明涉及一种在广播环境中用于内容保护的实体间连接方法、实体间连接设备以及实体间连接系统。
背景技术
通常,广播业务指的是这样一种业务方案:如果控制广播业务的服务器发送加密的业务,则多个终端可接收加密的业务。
当前,大量广播业务从免费业务变为付费业务(例如付费观看业务)。因为必须提供版权保护技术以防止不加选择的复制和发布内容(例如数字内容),所以引入使用权限对象(RO)的数字版权管理(DRM)技术。
如示出传统通用DRM系统的配置的的框图的图1所示,由业务提供商提供的内容被保护。DRM技术是用于保护内容的典型的安全性技术,指定用于加密的内容的使用权限。使用DRM技术的装置和/或系统包括:终端3,使用RO复制内容;以及权限发放器(RI),创建并发放定义用于内容等的权限的RO。该RI属于业务提供商5。
终端3以RI通过授权程序建立安全信道,并在建立的信道上获得RO。此时,由于通过DRM技术对RO进行解密,因此能够防止内容在未授权的情况下被使用。也就是说,在通过这样的RO依靠DRM技术来解密并运行加密的内容之前,不能复制包括在加密的内容中的多媒体信息。
传统的内容保护方法在业务提供商和仅单个终端之间执行授权程序。此外,移动通信环境中的相关标准包括开放移动联盟(OMA)DRM v2.0技术,其由内容提供商使用以定义如何使用内容。然而,尚未提出涉及用于在移动通信环境中使用广播业务的多个终端的内容保护的具体标准。
此外,虽然在广播环境中的一些内容保护方法存在于第三代合作伙伴计划(3GPP)、3GPP2等网络,但这些内容保护方法依赖于它们所使用的网络(例如3GPP网络等)。
如上所述,传统的内容保护方法基于现有的3GPP网络,并且尚未提出 关于参与广播网络的实体如何运行以保护数字内容的详细方法。
发明内容
因此,已进行本发明以解决在现有技术中产生的至少上述问题,本发明的目的在于提供一种在广播环境中用于内容保护的实体间连接方法、实体间连接设备以及实体间连接系统。
为了实现该目的,根据本发明的一方面,提供一种在广播环境中用于保护内容的实体间连接方法,所述广播环境包括广播网络和终端,所述广播网络具有广播业务应用(BSA)、广播业务发布(BSD)以及广播业务管理(BSM),所述实体间连接方法包括:由终端执行注册处理以获得用于终端的群组密钥;在完成注册处理之后,由终端执行业务加入处理以请求业务加入,并由终端基于获得的群组密钥从响应于请求而接收的消息接收关于内容的权限对象(RO);如果在完成业务加入处理之后接收到流量密钥消息,则通过使用RO来获得流量密钥;在终端中接收加密的内容;以及通过使用流量密钥来对加密的内容进行解密。
为了实现该目的,根据本发明的另一方面,提供一种在广播环境中用于保护内容的实体间连接方法,所述广播环境包括广播网络和终端,所述广播网络具有广播业务应用(BSA)、广播业务发布(BSD)以及广播业务管理(BSM),所述实体间连接方法包括:在BSM中从终端接收注册请求;将包括关于所述终端所属的群组的群组密钥的注册响应消息从BSM发送到终端;由终端从接收的注册响应消息获得群组密钥;由终端请求加入业务;由BSM生成包括关于业务的权限对象(RO)的消息并将其发送到终端;由终端通过使用群组密钥从包括RO的接收的消息获得关于业务的RO;将用于对内容进行加密的流量密钥从BSM传递到BSA;在终端中接收流量密钥消息;由终端通过使用RO从流量密钥消息获得流量密钥;在BSA中从内容提供商接收内容;通过使用流量密钥对接收的内容进行加密;将加密的内容发送到终端;以及由终端通过使用流量密钥对加密的内容进行解密。
为了实现该目的,根据本发明的另一方面,提供一种在广播环境中用于保护内容的实体间连接系统,该实体间连接系统包括:终端;内容提供商,生成内容并传递生成的内容;广播业务应用(BSA),通过使用流量密钥对内容进行加密,并通过广播业务发布(BSD)将加密的内容发送到终端;广播 业务管理(BSM),执行与终端的注册处理和业务加入管理处理,并生成包括用于对内容进行加密的流量密钥的流量密钥消息;BSD,用于从BSM接收流量密钥消息,并将接收的流量密钥消息发送到终端;并且其中,当接收到流量密钥消息时,终端通过使用在业务加入得到的权限对象(RO)来获得流量密钥,并使用获得的流量密钥对加密的内容进行解密。
为了实现该目的,根据本发明的另一方面,提供一种在广播环境中用于保护内容的实体间连接系统,该实体间连接系统包括广播网络和终端,所述广播网络具有广播业务应用(BSA)、广播业务发布(BSD)和广播业务管理(BSM),该实体间连接终端包括:第一组件,从BSD接收加密的流内容;第二组件,从BSD接收加密的文件内容以及至少一个加密密钥;第三组件,对从BSD发送的加密的内容进行加密;第四组件,将从BSM接收的至少一个加密密钥发送到第三组件;其中,第四组件执行注册和业务加入处理。
为了实现该目的,根据本发明的另一方面,提供一种在广播环境中用于保护内容的实体间连接终端设备,该广播环境包括广播网络和终端,所述广播网络包括广播业务应用(BSA)、广播业务发布(BSD)和广播业务管理(BSM),该实体间连接终端设备包括:数字版权管理(DRM)模块,管理注册、业务加入和内容的使用;通信模块,与BSM交换消息,并从BSD接收流量密钥消息和加密的业务;以及授权模块,通过验证从BSM或BSD接收的消息来获得至少一个加密密钥。
附图说明
通过下面结合附图对实施例进行的详细描述,本发明的上述和其他目的、特点和优点将会变得更加清楚,其中:
图1是示出传统DRM系统的配置的框图;
图2是示出根据本发明的终端的内部结构的框图;
图3是示出根据本发明的在广播信道中的内容保护方法的框图;
图4是示出根据本发明的在广播信道中的根据内容保护方案发送/接收的消息的流程的流程图;
图5A-5F是示出根据本发明的业务保护方案发送/接收的消息的格式的示图;以及
图6是示出根据本发明的在双向信道中根据内容保护方案发送/接收消息 的流程的流程图。
具体实施方式
以下,将参照附图来描述本发明的优选实施例。应注意的是,虽然相似的标号在不同的附图中示出,但它们始终表示相似的部件。此外,在以下描述中,当合并到此的公知功能和配置可能使本发明的主旨模糊时,将省略对其的详细描述。
本发明提供一种用于保护广播内容以防止未经授权的使用的系统和方法。更具体地说,根据本发明,构成广播网络的实体彼此交互作用以保护广播内容以防止未经授权的使用并将广播内容发送到一个或多个接收终端。为此,本发明根据终端和各个实体的角色通过相应的消息的发送/接收和操作使广播到终端的业务能够被安全地发送和再现。
下文中,将参照示出根据本发明的终端的内部结构的框图的图2来描述实现该功能的终端。终端50包括应用模块100、DRM模块110、授权模块140、安全存储模块170、通信模块180和UIM I/F(用户身份模块接口)模块190。
应用模块100是诸如媒体播放器的模块,用于再现从DRM模块110提供的解密的内容。DRM模块110运行为管理注册、业务加入和内容的使用。
DRM模块110包括DRM管理器模块115、注册模块120、权限管理模块125、密钥流管理模块130以及内容解密模块135。在这些模块中,注册模块120根据注册程序执行操作,权限管理模块125管理在业务加入得到的RO的解释和使用。密钥流管理模块130执行由RO中的业务密钥加密的流量密钥的解密,解密模块135通过使用流量密钥执行加密的内容的解密。DRM管理器模块115控制这些与DRM相关的模块的操作。
授权模块140管理在用户标识模块和网络(例如业务提供商)之间的授权协议执行,并通过使用其子模块来创建和验证消息。授权模块140包括掌控全部协议执行并管理授权功能的授权管理器145,以及授权管理器145的子模块。授权管理器145的子模块包括:加密/解密模块150,执行加密和解密操作;数字签名模块155,签署电子签名;以及MAC(媒体访问控制)模块160,执行MAC操作。
DRM模块110和授权模块140验证根据将稍后描述的本发明实施例从 BSM 40(例如见图3)接收的注册响应消息,以得到群组密钥,通过使用群组密钥从自BSM 40接收的业务加入响应消息获得RO,如果从BSD 30接收到流量密钥消息,则通过使用RO来得到流量密钥,以及通过使用得到的流量密钥来对从BSD 30发送的加密的内容进行解密。
通信模块180用于与网络进行发送/接收。具体地说,通信模块180运行为从网络接收消息,并响应于接收的消息而发送响应消息。根据本发明实施例,通信模块180在广播信道上从BSD 30接收消息。此外,根据本发明,通信模块180可在双向信道上选择性地将一个或多个消息发送到BSM 40或从BSM 40接收一个或多个消息,并从BSD 30接收流量密钥消息和加密的内容。
安全存储模块170存储加密密钥等,UIM I/F模块190控制与用户标识模块(UIM)的通信。
下文中,将对执行根据本发明优选实施例的内容保护功能的实体进行逐项功能的描述。如图3所示,在广播内容中用于内容保护的实体包括CC(内容中心)10、BSA 20、BSD 30、BSM 40和终端50。CC 10表示用于创建内容和业务的内容创建代理。BSA(广播业务应用)20表示使用广播系统的应用。BSD(广播业务发布)30提供用于广播业务的发布和业务保护功能。BSM(广播业务管理)40执行广播业务加入管理。BSD 30运行以通过其详细配置生成广播业务,并将生成的广播业务提供给终端50。因此,终端50接收从BSD 30提供的广播业务,并再现从广播业务接收的内容。通过依靠逐功能实体将广播业务发送到终端50,业务对终端50变得可用。
下文中,将描述存在于各个实体中以保护广播内容的组件。
内容提供商加密(CP-E)组件22对内容进行加密和广播,CP管理(CP-M)组件42执行加密密钥创建、加入管理等。流发布(SD)组件32广播流内容,文件发布(FD)组件34广播包括加密消息的文件内容。SD-客户机(C)组件52将从SD组件32发送的加密的流内容传递到用于解密的CP-解密(D)组件56,FD-客户机(C)组件54将从FD组件34发送的加密的文件内容传递到用于解密的CP-D组件56。CP-客户机(C)组件58执行与CP-M组件42的注册和加入。以此方式,CP-C组件58得到用于对加密的内容进行解密的加密密钥,并将加密密钥传递到CP-D组件56。CP-D组件56通过使用加密密钥对从SD-C组件52或FD-C组件54发送的加密的内容进行解密。
现将参照示出根据本发明的在广播信道中的内容保护方法的图4来描述通过广播信道或双向信道的内容保护方法。
首先,将参照图4和图5描述为了保护广播内容执行终端的注册和业务加入的程序。
参照图4,内容保护程序在步骤200开始,在该步骤,BSM 40创建群组密钥(GK)、业务密钥(SK)和流量密钥(TK)。群组密钥是关于终端50所属的群组的加密密钥,业务密钥用于对加密的流量密钥进行解密。流量密钥用于对内容进行加密以传递到终端。
其后,在步骤210,终端50将注册请求消息发送到BSM 40的CP-M组件42以登记到BSM 40。此时,从广播信道的特征来说,由于终端不能将消息直接发送到BSM 40,因此其通过带外(out-of-band)方案将消息发送到BSM 40。带外方案的一个示例可包括这样的方案:终端50经由诸如PC的特定代理将注册请求消息发送到BSM 40。图5A示出注册请求消息的格式。参照图5A,注册请求消息的格式包括多个字段,分别与以下字段对应:ID-T,表示终端50的终端标识信息;RND(1),表示终端50的随机数信息;TS(1),表示第一时间戳;以及Sign_T,表示终端50的电子签名。在其它字段中,在终端50的电子签名字段Sign_T中,设置终端使用其自身的加密密钥签署的信息,因此使BSM 40能够识别从特定用户发送的消息。电子签名Sign_T是可选字段。
如果从终端50接收到这样的注册请求消息(如图5所示),则BSM 40的CP-M组件42通过使用注册请求消息检查终端50。在步骤215,BSM 40响应于注册请求消息将包含包括终端50的相应的群组的群组密钥(GK)的注册请求消息传递到BSD 30的FD组件34。在步骤220,BSD 30的FD组件34将注册响应消息发送到终端50。这种注册响应消息具有如图5B所示的格式。在图5B中,注册响应消息包括已经以终端50的公钥对特定密钥进行加密的信息。该信息可简要表示为公式E(K,D)。该公式表示以加密密钥(K)对数据(D)进行加密的操作。因此,已经以终端50的公钥PK_T加密的群组密钥(GK)的信息可表示为公式E(PK_T,GK)。这里,E表示加密。在广播注册响应消息之后,注册响应消息经过终端50的FD-C组件。终端50通过以终端50的公钥PK_T验证电子签名来检查已经生成消息的主题,并验证该消息是否是正确的消息。如果终端50无法验证该消息,则不能注册。然而,如果终端50成功验证该消息,则其可从注册响应消息获得群组密钥。终 端50可通过注册处理S210获得作为与用户群组相应的加密密钥的群组密钥GK。
同时,如果完成注册,则终端50的CP-C组件58可将业务加入请求发送到BSM 40的CP-M组件42。由于这种业务加入与用于获得关于内容的RO的处理对应,因此在步骤230,终端50可将RO请求消息发送到BSM 40的CP-M组件42。即使在此情形中,由于因广播信道的特征而导致终端50不能直接发送消息,终端50通过使用带外方案将RO请求消息发送到BSM 40的CP-M组件42。RO请求消息具有图5C所示的格式,其包括:ID_Service字段,表示终端50将加入的业务的ID;ID_T,表示终端标识信息;RND(3),表示第三随机数信息;TS(3),表示第三时间戳。
在步骤235,响应于RO请求消息,BSM 40的CP-M组件42生成包括预先生成的业务密钥的RO,并在步骤240将包括以群组密钥加密的RO的RO响应消息传递到BSD 30的FD组件34。其后,在步骤245,BSD 30的FD组件34通过广播信道将RO响应消息(即业务加入响应消息)发送到已请求业务加入的终端50。如果从BSD 30接收到RO响应消息,则终端50执行用于RO响应消息的消息验证,并通过使用从注册处理获得的群组密钥来对RO进行解密,从而获得RO。RO响应消息的格式如图5D所示,结果,终端50可通过如上所述的业务加入处理S230获得RO。
在步骤250,BSM 40的CP-M组件42将包括以业务密钥加密的流量密钥的TK消息传递到BSD 30的FD组件34。在步骤255,BSD 30的FD组件34将TK消息广播到终端。TK消息具有图5E所示的格式。在接收到TK消息后,终端50以业务密钥对加密的流量密钥进行解密,从而获得流量密钥。这里,通过业务加入处理获得的RO包括业务密钥,从而终端50可通过使用业务密钥获得流量密钥。
同时,CC 10生成内容。在步骤265,CC 10将生成的内容传递到BSA 20。在步骤270,BSA 20通过使用流量密钥来对接收的内容进行加密。这里,在步骤260,由BSM 40的CP-M组件42生成流量密钥,流量密钥被传递到BSA20的CP-E组件22。其后,在步骤270,BSA 20的CP-E组件22对内容进行加密,并在步骤275通过BSD 30发送加密的内容。
如果加密的内容具有文件格式,则加密的内容通过FD组件34被广播。如果加密的内容具有流格式,则加密的内容通过SD组件32被广播。加密的 内容具有图5F所示的格式。当在终端50中接收的内容与流内容对应时,流内容经由SD组件32到达终端50的CP-D组件56。当在终端50中接收的内容与文件内容对应时,文件内容经由FD组件34到达终端50的CP-D组件56。其后,CP-D组件56以用于执行的流量密钥对接收的内容进行解密。例如,如果以流量密钥对内容进行解密,则解密的内容可通过应用100再现。
在以上描述中,描述了终端通过广播信道使用加密的内容的情形。本发明的另一实施例描述了终端通过双向信道直接请求注册和业务加入并使用加密的内容。下文中,将参照示出根据本发明另一实施例的通过双向信道的内容保护方法的流程图的图6来描述使用加密的内容的情形。
由于图6中的步骤800与图4中的步骤200相同,并且包括步骤840、845、850、855、860和865的内容接收处理分别与包括步骤250、255、260、265、270和275的内容接收处理相同,因此,为了清楚,这里将省略对其的描述。
比较通过根据本发明的双向信道的内容保护方法和通过根据本发明的广播信道的内容保护方法,当使用广播信道时,终端50的CP-C组件58不能将消息直接发送到广播网络。然而,当使用双向信道时,终端50的CP-C组件58可将消息直接发送到广播网络。因此,终端50可与BSM 40的CP-M组件42直接交换消息。然而,当使用广播信道时,BSM 40的CP-M组件42可仅通过BSD 30将消息发送到终端50,终端50可仅通过其它装置发送消息。
在图6中,在步骤810,终端50通过双向信道直接将注册请求消息发送到BSM 40的CP-M组件42。注册请求消息具有图5A所示的格式。在步骤815,BSM 40响应于来自终端50的CP-C组件58的注册请求通过双向信道将注册响应消息发送到终端50。注册响应消息具有图5B所示的格式,其包括与已经由终端50的公钥加密的群组密钥相应的信息。通过所述加密,信息可被安全地发送。
如果从BSM 40接收到注册响应消息,则终端50必须执行用于注册响应消息的验证。为了执行用于注册响应消息的验证,终端50检查从BSM 40的CP-M组件42发送的消息是否是将被传递到终端50的消息。因此,如果终端50无法验证注册响应消息,则终端50忽略从BSM 40传递的注册响应消息。然而,当终端50验证注册响应消息时,终端50检查注册响应消息的时间字段。作为检查的结果,如果终端示出时间延迟大于给定值,则终端50忽略该 注册响应消息。如果终端50成功验证电子签名并且时间字段被确定为在预定的值中(例如小于给定值),则终端50以其自身的公钥对群组密钥进行解密,从而获得群组密钥。
如果终端50通过执行如上所述的注册处理而获得群组密钥,则在步骤820,终端50通过双向信道将业务加入请求消息(即请求RO的消息)直接发送到BSM 40的CP-M组件42。
当终端50直接执行业务加入请求并从BSM 40的CP-M组件42获得内容RO时,终端50被认为具有加入的业务。业务加入请求消息具有图5C所示的格式,其包括终端50将加入的业务的ID。由BSM 40的CP-M组件42在步骤825生成的RO在步骤830被发送到已经执行业务加入请求的终端50,发送到终端50的消息具有图5D所示的格式。包括在该消息中的RO具有由用于保护的群组密钥加密的业务密钥。由于包括在图6中的步骤820、825和830的业务加入处理与包括在图4中的步骤235、240和245的业务加入处理的不同在于BSM 40通过双向信道直接发送消息,因此将省略其细节。
如果通过上述处理完成终端50的业务加入,则BSD 30可经由BSA 20的CP-E组件22将已经从CC 10接收的内容传递到相应的终端。在本发明中,无论内容在何时被提供给终端,RO和流量密钥消息都可被提供给终端。也就是说,在先前已经将内容提供给终端之后,RO还可被发送到终端。反之,在RO已经被发送到终端之后,将被执行的内容可被提供给终端。
根据如上描述的本发明,基于终端和实体的角色在构成广播网络的终端和实体之间执行消息交换和操作,能够详细地设计系统以在广播环境中保护内容。
虽然为了示例性目的已经描述了本发明优选实施例,但本领域技术人员应理解,在不脱离由包括本发明等同物的全部范围的所附权利要求中公开的范围和精神的情况下,可进行各种修改、添加和替换。
Claims (23)
1.一种在包括广播网络和终端的广播环境中用于保护内容的终端与构成广播网络的实体之间的交互方法,所述广播网络具有广播业务应用BSA、广播业务发布BSD以及广播业务管理BSM,所述交互方法包括:
由终端执行注册处理以获得用于终端的群组密钥;
由终端请求业务加入处理;
由终端接收包括与内容相应的权限对象RO的业务加入响应消息;
从接收的业务加入响应消息获得RO;
使用群组密钥对RO解密以获得业务密钥,其中,RO包括当终端加入业务时被分配的加密密钥;
如果在完成业务加入处理之后在终端接收到流量密钥消息和加密的内容,则使用用于解密的业务密钥从流量密钥消息获得流量密钥,所述流量密钥是用于对内容加密的加密密钥;以及
使用流量密钥对加密的内容进行解密。
2.如权利要求1所述的交互方法,其中,所述注册处理包括:
当通过BSM从终端接收注册请求消息时,响应于该注册请求消息,由BSD将注册响应消息发送到终端,所述注册响应消息包括与终端所属的群组相应的群组密钥;以及
由终端验证接收的注册响应消息以获得群组密钥。
3.如权利要求2所述的交互方法,其中,所述终端与使用广播信道的终端对应,并通过特定代理将注册请求消息发送到BSM。
4.如权利要求2所述的交互方法,其中,当所述终端与使用双向信道的终端对应时,BSM直接传递注册响应消息。
5.如权利要求2所述的交互方法,其中,获得群组密钥的步骤包括:
当从BSD接收到注册响应消息时,检查包括在用于验证的注册响应消息中的电子签名字段和时间字段;以及
当验证成功时,使用终端的公钥对包括在注册响应消息中的加密的群组密钥进行解密以获得群组密钥。
6.如权利要求1所述的交互方法,其中,所述业务加入处理包括:
当从终端接收到业务加入请求消息时,由BSM使用业务密钥生成RO;
由BSM将包括以群组密钥加密的RO的业务加入响应消息传递到BSD;
由BSD将业务加入响应消息广播到终端;以及
由终端使用获得的群组密钥对包括在业务加入响应消息中的加密的RO进行解密以获得RO。
7.如权利要求1所述的交互方法,其中,业务加入处理包括:
当通过双向信道从终端接收到业务加入请求消息时,由BSM使用业务密钥生成RO;
由BSM将包括以群组密钥加密的RO的业务加入响应消息传递到终端;以及
由终端使用获得的群组密钥对包括在广播的业务加入响应消息中的加密的RO进行解密以获得RO。
8.如权利要求6所述的交互方法,其中,所述业务加入请求消息包括终端将加入的业务的标识(ID)。
9.如权利要求1到8中的一个所述的交互方法,其中,在BSM将流量密钥消息传递到BSD,BSD将流量密钥消息发送到终端之后,由终端通过使用包括在获得的RO中的业务密钥对加密的流量密钥进行解密来获得流量密钥,所述流量密钥消息包括通过以业务密钥对流量密钥进行加密所形成的加密的流量密钥。
10.如权利要求1所述的交互方法,还包括:
在获得流量密钥后,在BSA中从内容提供商接收内容;
使用流量密钥对接收的内容进行加密;
将加密的内容发送到终端。
11.如权利要求2所述的交互方法,其中,发送注册响应消息的步骤包括:
响应于注册请求消息的接收而生成包括以终端的公钥加密的群组密钥的消息,并将生成的包括加密的群组密钥的消息传递到BSD;以及
由BSD将包括加密的群组密钥的接收的消息广播到终端。
12.如权利要求2所述的交互方法,其中,发送注册响应消息的步骤包括:
响应于注册请求消息的接收,由BSM生成包括以终端的公钥加密的群组密钥的消息,并通过双向信道将生成的注册响应消息传递到终端。
13.如权利要求11和权利要求12中的一个所述的交互方法,其中,业务加入处理包括:
当终端与使用广播信道的终端对应时,通过特定代理将业务加入请求消息发送到BSM;
由BSM使用业务密钥生成RO,并将包括以群组密钥加密的RO的业务加入响应消息传递到BSD;以及
由BSD将业务加入响应消息广播到终端。
14.如权利要求1到3中的一个所述的交互方法,其中,业务加入的步骤包括:
由终端将业务加入请求消息发送到BSM;以及
由BSM使用业务密钥生成RO,并通过双向信道将包括以群组密钥加密的RO的业务加入响应消息传递到终端。
15.如权利要求1到4中的一个所述的交互方法,其中,获得流量密钥的步骤包括:
由终端使用群组密钥对加密的RO进行解密,从而获得RO;
由终端通过BSD接收由BSA生成的流量密钥消息;以及
在接收流量密钥消息之后,使用包括在获得的RO中的业务密钥对加密的流量密钥进行解密。
16.如权利要求15所述的交互方法,其中,所述流量密钥消息包括通过以与根据业务加入生成的加密密钥相应的业务密钥对流量密钥进行加密而生成的加密的流量密钥。
17.一种在广播环境中保护内容的终端与构成广播网络的实体之间的交互方法,所述广播环境包括广播网络和终端,所述广播网络具有广播业务应用BSA、广播业务发布BSD以及广播业务管理BSM,所述交互方法包括:
从终端接收注册请求;
根据注册请求确定终端所属的群组,并将与所述群组相应的群组密钥提供给终端;
从终端接收业务加入请求;
响应于业务加入请求,将关于内容的权限对象RO发送到终端,所述内容基于群组密钥被接收;
产生流量密钥消息并将流量密钥消息发送到BSD,BSD将流量密钥消息发送到终端;以及
将流量密钥发送到BSA,将加密的内容发送到终端,所述流量密钥是用于在BSA中对内容加密的加密密钥。
18.如权利要求17所述的交互方法,其中,提供群组密钥的步骤包括:
响应于注册请求,通过BSD将注册响应发送到终端,所述注册响应包括与终端所属的群组相应的群组密钥。
19.如权利要求17到18中的一个所述的交互方法,其中,发送RO的步骤包括:
当从终端接收到业务加入请求时,由BSM使用业务密钥产生RO;
由BSM将包括使用群组密钥加密的RO的业务加入响应发送到BSD,BSD将业务加入响应广播到终端,在终端中使用群组密钥对RO解密。
20.如权利要求17到18中的一个所述的交互方法,其中,流量密钥消息包括通过使用业务密钥对流量密钥加密形成的加密的流量密钥。
21.如权利要求17到18中的一个所述的交互方法,其中,在BSA中从内容提供商接收内容。
22.一种用于在包括广播网络和终端的广播环境中保护内容的实体间连接终端设备,所述广播网络具有广播业务应用BSA、广播业务发布BSD以及广播业务管理BSM,所述实体间连接终端设备包括:
数字版权管理DRM模块,对注册、业务加入和内容的使用进行管理;
通信模块,与BSM交换数据,并从BSD接收流量密钥消息和加密的业务;以及
授权模块,通过验证从BSM和BSD的至少一个接收的消息来获得至少一个加密密钥,
其中,所述DRM模块包括:
注册模块,执行基于注册处理的操作;
权限管理模块,对在业务加入得到的权限对象RO的使用和分析进行管理;
密钥流管理模块,执行对以在业务加入分配的业务密钥对加密的流量密钥的解密;
内容解密模块,以流量密钥执行加密的内容的解密;以及
DRM管理器模块,分别控制模块的操作。
23.如权利要求22所述的实体间连接终端设备,其中,所述授权模块包括:
授权管理器模块,控制协议执行并管理授权功能;
加密/解密模块,执行加密和解密操作;
数字签名模块,签署电子签名;以及
媒体访问控制MAC模块,执行MAC操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050086394 | 2005-09-15 | ||
| KR10-2005-0086394 | 2005-09-15 | ||
| KR1020050086394A KR100724935B1 (ko) | 2005-09-15 | 2005-09-15 | 컨텐츠 보호를 위한 개체 간 연동 방법 및 장치, 그리고 그시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1933393A CN1933393A (zh) | 2007-03-21 |
| CN1933393B true CN1933393B (zh) | 2011-12-28 |
Family
ID=37669483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100879724A Active CN1933393B (zh) | 2005-09-15 | 2006-06-09 | 用于内容保护的实体间连接方法、设备和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8327136B2 (zh) |
| EP (2) | EP2363988A1 (zh) |
| JP (2) | JP2007082191A (zh) |
| KR (1) | KR100724935B1 (zh) |
| CN (1) | CN1933393B (zh) |
| AU (1) | AU2006202335B2 (zh) |
| RU (1) | RU2344554C2 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI297335B (en) * | 2001-07-10 | 2008-06-01 | Synta Pharmaceuticals Corp | Taxol enhancer compounds |
| EP1625716B2 (en) | 2003-05-06 | 2014-04-09 | Apple Inc. | Method of modifying a message, store-and-forward network system and data messaging system |
| GB0321337D0 (en) * | 2003-09-11 | 2003-10-15 | Massone Mobile Advertising Sys | Method and system for distributing advertisements |
| US7877387B2 (en) | 2005-09-30 | 2011-01-25 | Strands, Inc. | Systems and methods for promotional media item selection and promotional program unit generation |
| KR100975386B1 (ko) * | 2006-02-27 | 2010-08-11 | 삼성전자주식회사 | 휴대 방송 시스템에서 방송 서비스/컨텐츠 보호 방법과 시스템 및 이를 위한 단기 키 메시지의 생성 방법 |
| EP1826931B1 (en) | 2006-02-27 | 2018-12-19 | Samsung Electronics Co., Ltd. | Method and system for protecting broadcast service/content in a mobile broadcast system, and method for generating short term key message therefor |
| US8752199B2 (en) * | 2006-11-10 | 2014-06-10 | Sony Computer Entertainment Inc. | Hybrid media distribution with enhanced security |
| US8739304B2 (en) * | 2006-11-10 | 2014-05-27 | Sony Computer Entertainment Inc. | Providing content using hybrid media distribution scheme with enhanced security |
| GB2438475A (en) | 2007-03-07 | 2007-11-28 | Cvon Innovations Ltd | A method for ranking search results |
| GB2441399B (en) * | 2007-04-03 | 2009-02-18 | Cvon Innovations Ltd | Network invitation arrangement and method |
| US8671000B2 (en) | 2007-04-24 | 2014-03-11 | Apple Inc. | Method and arrangement for providing content to multimedia devices |
| JP5082695B2 (ja) | 2007-09-06 | 2012-11-28 | ソニー株式会社 | 受信装置および受信方法、配信装置および配信方法並びにプログラム |
| US8726406B2 (en) * | 2007-12-06 | 2014-05-13 | Telefonaktiebolaget L M Ericsson (Publ) | Controlling a usage of digital data between terminals of a telecommunications network |
| US8521079B2 (en) * | 2007-12-21 | 2013-08-27 | Ibiquity Digital Corporation | Radio service registry |
| US8861737B2 (en) * | 2009-05-28 | 2014-10-14 | Qualcomm Incorporated | Trust establishment from forward link only to non-forward link only devices |
| CN102158757A (zh) * | 2010-02-11 | 2011-08-17 | 中兴通讯股份有限公司 | 终端及其电视业务的播放方法 |
| CN102238000B (zh) * | 2010-04-21 | 2015-01-21 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| WO2011141040A1 (en) * | 2010-05-14 | 2011-11-17 | Siemens Aktiengesellschaft | Method of group key generation and management for generic object oriented substantiation events model |
| US9367847B2 (en) | 2010-05-28 | 2016-06-14 | Apple Inc. | Presenting content packages based on audience retargeting |
| US10367792B2 (en) * | 2016-08-25 | 2019-07-30 | Orion Labs | End-to end encryption for personal communication nodes |
| US11258587B2 (en) * | 2016-10-20 | 2022-02-22 | Sony Corporation | Blockchain-based digital rights management |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571331A (zh) * | 2004-04-23 | 2005-01-26 | 清华大学 | 一种数字内容大规模直播的方法 |
| CN1574756A (zh) * | 2003-05-20 | 2005-02-02 | 三星电子株式会社 | 验证内容用户的系统和方法 |
| CN1692340A (zh) * | 2003-01-23 | 2005-11-02 | 索尼株式会社 | 内容传送系统、信息处理设备或信息处理方法和计算机 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1085420A4 (en) * | 1999-03-03 | 2006-12-27 | Sony Corp | DATA PROCESSING DEVICE, DATA PROCESSING METHOD, TERMINAL AND TRANSMISSION METHOD FOR DATA PROCESSING DEVICE |
| US6636968B1 (en) | 1999-03-25 | 2003-10-21 | Koninklijke Philips Electronics N.V. | Multi-node encryption and key delivery |
| JP4362888B2 (ja) * | 1999-05-18 | 2009-11-11 | ソニー株式会社 | 情報処理装置および方法、並びに記録媒体 |
| US7516102B2 (en) | 2001-01-18 | 2009-04-07 | Panasonic Corporation | Image output time management method and the record media |
| JP2002358244A (ja) | 2001-01-18 | 2002-12-13 | Matsushita Electric Ind Co Ltd | 出力時間管理装置及び出力時間管理方法 |
| CN1282390C (zh) | 2001-04-27 | 2006-10-25 | 诺基亚公司 | 处理网络识别紧急会话的方法和系统 |
| US7185362B2 (en) * | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
| JP2003069547A (ja) | 2001-08-29 | 2003-03-07 | Fujitsu Ltd | マルチキャスト通信システム |
| US6938090B2 (en) | 2002-04-26 | 2005-08-30 | Nokia Corporation | Authentication and protection for IP application protocols based on 3GPP IMS procedures |
| JP2004023237A (ja) | 2002-06-13 | 2004-01-22 | Mitsubishi Electric Corp | 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム |
| KR100533154B1 (ko) * | 2002-06-27 | 2005-12-02 | 주식회사 케이티 | 디지털 저작권 관리 시스템에서의 대칭키를 이용한암호화/복호화 방법 |
| US20040151315A1 (en) * | 2002-11-06 | 2004-08-05 | Kim Hee Jean | Streaming media security system and method |
| WO2004053666A1 (ja) * | 2002-12-11 | 2004-06-24 | Interlex Inc. | ソフトウェア実行制御システム及びソフトウェアの実行制御プログラム |
| KR20060025159A (ko) * | 2003-06-05 | 2006-03-20 | 마쯔시다덴기산교 가부시키가이샤 | 라이센스 수신용 사용자 단말 |
| EP1690432B1 (en) | 2003-10-06 | 2012-12-05 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and arrangement in a telecommunication system |
| KR20050040644A (ko) | 2003-10-29 | 2005-05-03 | 삼성전자주식회사 | 사용자 인증을 통한 방송 서비스 제공 방법 |
| US7617158B2 (en) * | 2004-03-22 | 2009-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for digital rights management of electronic content |
| KR101123550B1 (ko) * | 2004-11-08 | 2012-03-13 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 디바이스에 권리 발행자 시스템을 등록하는 기술 |
| KR100811046B1 (ko) * | 2005-01-14 | 2008-03-06 | 엘지전자 주식회사 | 브로드캐스트/멀티캐스트 서비스에서 디지털 저작권관리방법 |
| US20070061886A1 (en) * | 2005-09-09 | 2007-03-15 | Nokia Corporation | Digital rights management |
-
2005
- 2005-09-15 KR KR1020050086394A patent/KR100724935B1/ko not_active IP Right Cessation
-
2006
- 2006-04-21 US US11/409,150 patent/US8327136B2/en not_active Expired - Fee Related
- 2006-05-31 AU AU2006202335A patent/AU2006202335B2/en not_active Ceased
- 2006-06-09 CN CN2006100879724A patent/CN1933393B/zh active Active
- 2006-06-13 EP EP10013032A patent/EP2363988A1/en not_active Ceased
- 2006-06-13 EP EP06012168A patent/EP1764974A1/en not_active Ceased
- 2006-06-30 RU RU2006123370/09A patent/RU2344554C2/ru not_active IP Right Cessation
- 2006-07-07 JP JP2006188552A patent/JP2007082191A/ja active Pending
-
2011
- 2011-05-11 JP JP2011106497A patent/JP2011172276A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1692340A (zh) * | 2003-01-23 | 2005-11-02 | 索尼株式会社 | 内容传送系统、信息处理设备或信息处理方法和计算机 |
| CN1574756A (zh) * | 2003-05-20 | 2005-02-02 | 三星电子株式会社 | 验证内容用户的系统和方法 |
| CN1571331A (zh) * | 2004-04-23 | 2005-01-26 | 清华大学 | 一种数字内容大规模直播的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2363988A1 (en) | 2011-09-07 |
| EP1764974A1 (en) | 2007-03-21 |
| US8327136B2 (en) | 2012-12-04 |
| AU2006202335A1 (en) | 2007-03-29 |
| RU2344554C2 (ru) | 2009-01-20 |
| US20070061568A1 (en) | 2007-03-15 |
| RU2006123370A (ru) | 2008-01-10 |
| CN1933393A (zh) | 2007-03-21 |
| KR100724935B1 (ko) | 2007-06-04 |
| JP2007082191A (ja) | 2007-03-29 |
| JP2011172276A (ja) | 2011-09-01 |
| AU2006202335B2 (en) | 2008-11-20 |
| KR20070031684A (ko) | 2007-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1933393B (zh) | 用于内容保护的实体间连接方法、设备和系统 | |
| CN101513011B (zh) | 用于向移动终端设备连续传输广播服务的加密数据的方法和系统 | |
| CN1950777B (zh) | 内容流的完整性保护 | |
| JP4705958B2 (ja) | ブロードキャスト/マルチキャストサービスにおけるデジタル著作権管理方法 | |
| KR100981568B1 (ko) | 서비스 제공자와 다수의 단말기 간에 브로드캐스트 서비스를 지원하는 컨텐츠 보호 방법 및 장치 | |
| CN101094062B (zh) | 利用存储卡实现数字内容安全分发和使用的方法 | |
| US8230218B2 (en) | Mobile station authentication in tetra networks | |
| CN101321056B (zh) | 转发许可的方法、设备及系统 | |
| CN101263472B (zh) | 用于服务保护的实体间互连方法、设备和系统 | |
| CN104243439A (zh) | 文件传输处理方法、系统及终端 | |
| JP2011524676A (ja) | 移動体ブロードキャストシステムにおける暗号化キー分配方法、暗号化キーの分配を受ける方法及びこのためのシステム | |
| CN101883102A (zh) | 生成链路的方法 | |
| CN100364332C (zh) | 一种保护宽带视音频广播内容的方法 | |
| CN101171860A (zh) | 管理接入多媒体内容的安全方法和设备 | |
| KR20130096575A (ko) | 공개키 기반 그룹 키 분배 장치 및 방법 | |
| EP2109314A1 (en) | Method for protection of keys exchanged between a smartcard and a terminal | |
| CN101291420A (zh) | 基于ims的iptv系统及内容保护服务功能实体和方法 | |
| WO2007049128A2 (en) | An authentication token which implements drm functionality with a double key arrangement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |