BR112016028024B1 - Método e sistema para proteger comunicações com plataformas de mídias avançadas - Google Patents

Método e sistema para proteger comunicações com plataformas de mídias avançadas Download PDF

Info

Publication number
BR112016028024B1
BR112016028024B1 BR112016028024-5A BR112016028024A BR112016028024B1 BR 112016028024 B1 BR112016028024 B1 BR 112016028024B1 BR 112016028024 A BR112016028024 A BR 112016028024A BR 112016028024 B1 BR112016028024 B1 BR 112016028024B1
Authority
BR
Brazil
Prior art keywords
credentials
media platform
advanced
validation
media
Prior art date
Application number
BR112016028024-5A
Other languages
English (en)
Other versions
BR112016028024A8 (pt
BR112016028024A2 (pt
Inventor
Jean-Emile Elien
Daniel Collins Balma
Rocco Iii Crea
Michael Brendan Frei
Paul Stephen Hellyar
Victor Tan
Kye Hyun Kim
Travis J. Muhlestein
Robert S. Unoki
Kenneth Michael Bayer
Wes Wahlin
Original Assignee
Microsoft Technology Licensing, Llc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing, Llc filed Critical Microsoft Technology Licensing, Llc
Publication of BR112016028024A2 publication Critical patent/BR112016028024A2/pt
Publication of BR112016028024A8 publication Critical patent/BR112016028024A8/pt
Publication of BR112016028024B1 publication Critical patent/BR112016028024B1/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/30Interconnection arrangements between game servers and game devices; Interconnection arrangements between game devices; Interconnection arrangements between game servers
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/30Interconnection arrangements between game servers and game devices; Interconnection arrangements between game devices; Interconnection arrangements between game servers
    • A63F13/35Details of game servers
    • A63F13/352Details of game servers involving special game server arrangements, e.g. regional servers connected to a national server or a plurality of servers managing partitions of the game world
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/71Game security or game management aspects using secure communication between game devices and game servers, e.g. by encrypting game data or authenticating players
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/73Authorising game programs or game devices, e.g. checking authenticity
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F2300/00Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game
    • A63F2300/40Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game characterised by details of platform network
    • A63F2300/401Secure communication, e.g. using encryption or authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2109Game systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PROTEÇÃO DE COMUNICAÇÕES COM PLATAFORMAS DE MÍDIA AVANÇADAS. A presente invenção refere- se a vários métodos e sistemas para proteção de comunicações com plataformas de mídia avançadas. Em particular, uma plataforma de mídia avançada é autenticada utilizando uma localização confiável. A plataforma de mídia avançada autenticada estabelece uma confiabilidade bidirecional com uma localização remota avançada, a plataforma de mídia avançada sendo armazenada na localização remota avançada. Na autenticação e no estabelecimento da confiabilidade bidirecional, a plataforma de mídia avançada pode comunicar seguramente o conteúdo de mídia em uma infraestrutura do serviço de distribuição do conteúdo de mídia enquanto suporta a funcionalidade personalizada. O método para proteção de comunicações com plataformas de mídia avançadas inclui comunicação credenciais de autenticação para um componente interno de segurança na localização confiável. O método inclui, ainda, recebimento de credenciais de validação do componente interno de segurança. O método inclui também autenticação da localização remota avançada com base em pelo menos uma parte das credenciais de validação recebidas. O método inclui, ainda, estabelecimento da relação de confiabilidade bidirecional com a localização remota avançada utilizando as credenciais de validação.

Description

Histórico
[0001] Em um serviço de distribuição do conteúdo de mídia, garantir a segurança do conteúdo de mídia é de extrema importância. Vários tipos diferentes de medidas de segurança podem ser implementados para proteger o conteúdo de mídia. Avanços na arquitetura da infraestrutura do serviço de distribuição do conteúdo de mídia podem tornar o conteúdo de mídia menos seguro a menos que as medidas de segurança sejam implementadas. Métodos convencionais para proteger o conteúdo de mídia não contemplam os avanços de arquitetura. Com relação a isso, os métodos falham em permitir, em uma forma segura, a infraestrutura do serviço de distribuição do conteúdo de mídia para ter vantagem dos avanços de arquitetura e na funcionalidade suportada adicional disponível.
Sumário
[0002] Este sumário é fornecido para introduzir uma seleção de conceitos em uma forma simplificada que sejam descritos, ainda, abaixo e na descrição detalhada. Este sumário não destina-se a identificar os recursos chave ou recursos essenciais da matéria reivindicada, nem destina-se a ser utilizado em isolamento como uma ajuda na determinação do escopo da matéria reivindicada.
[0003] As modalidades da presente invenção fornecem métodos e sistemas para proteção de comunicações com plataformas de mídia avançadas. Em particular, uma plataforma de mídia avançada é autenticada utilizando uma localização confiável. A plataforma de mídia avançada autenticada estabelece uma confiabilidade bidirecional com uma localização remota avançada, a plataforma de mídia avançada sendo armazenada na localização remota avançada. Na autenticação e estabelecimento de confiabilidade bidirecional, a plataforma de mídia avançada pode comunicar, de forma segura, o conteúdo de mídia em uma infraestrutura do serviço de distribuição do conteúdo de mídia enquanto suporta a funcionalidade personalizada. O método para proteção de comunicações com plataformas de mídia avançadas inclui comunicação de credenciais de autenticação a um componente interno de segurança na localização confiável. O método inclui, ainda, recebimento de credenciais de validação do componente interno de segurança. O método inclui também autenticação da localização remota avançada com base em pelo menos uma parte das credenciais de validação recebidas. O método inclui, ainda, o estabelecimento da relação de confiabilidade bidirecional com a localização remota avançada utilizando as credenciais de validação.
Breve descrição dos desenhos
[0004] As modalidades da invenção são descritas em detalhes abaixo com referência às figuras do desenho anexo, em que:
[0005] A figura 1 é um diagrama em blocos de um ambiente computacional adequado para implementar as modalidades da invenção;
[0006] A figura 2 é um diagrama de uma infraestrutura do service de distribuição do conteúdo de mídia para proteção de comunicações com plataformas de mídia avançadas, de acordo com uma modalidade da presente invenção;
[0007] As figuras de 3A a 3D são diagramas que representam mensagens comunicadas para proteção de comunicações com plataformas de mídia avançadas, de acordo com uma modalidade da presente invenção;
[0008] A figura 4 é um fluxograma que mostra um método para proteção de comunicações com plataformas de mídia avançadas, de acordo com as modalidades da presente invenção;
[0009] A figura 5 é um fluxograma que mostra um método para proteção de comunicações com plataformas de mídia avançadas, de acordo com as modalidades da presente invenção;
[00010] A figura 6 é um fluxograma que mostra um método para proteção de comunicações com plataformas de mídia avançadas, de acordo com as modalidades da presente invenção; e
[00011] A figura 7 é um fluxograma que mostra um método para proteção de comunicações com plataformas de mídia avançadas, de acordo com as modalidades da presente invenção.
Descrição detalhada
[00012] A matéria das modalidades da invenção é descrita com especificação aqui para atender as exigências estatutárias. No entanto, a própria descrição não destina0se a limitar o escopo desta patente. Em vez disso, os inventores têm contemplado que a matéria reivindicada pode também ser incorporada de outras formas, para diferentes etapas ou combinações de etapas semelhantes às descritas neste documento, em conjunto com outras tecnologias presentes ou futuras. Além disso, embora os termos "etapa" e/ou "bloco" possam ser aqui utilizados para conotar diferentes elementos de métodos empregados, os termos não devem ser interpretados como implicando qualquer ordem particular entre ou entre várias etapas aqui descritas, exceto quando a ordem das etapas individuais for explicitamente descrita.
[00013] Para as finalidades dessa revelação, a palavra "incluindo" tem o mesmo significado amplo que a palavra "compreendendo". Além disso, as palavras como "um" e "uma", a menos que indicado em contrário, incluem o plural bem como o singular. Assim, por exemplo, a exigência de "um recurso" é satisfatória onde um ou mais recursos estão presentes. Ainda, o termo "ou" inclui o conjuntivo, o disjuntivo e ambos (a ou b, assim, inclui a ou b, bem como a e b).
[00014] Vários aspectos da tecnologia descrita aqui são geralmente direcionados aos sistemas, métodos, e meios de armazenamento de computador para, entre outras coisas, proteger as comunicações com as plataformas de mídia avançadas. Uma plataforma de mídia (por exemplo, console de jogo ou dispositivo computacional) pode ser comunicar com um serviço de distribuição do conteúdo de mídia. Um serviço de distribuição do conteúdo de mídia pode compreender um ou mais servidores de entrega de conteúdo de mídia para fornecer diferentes tipos de conteúdo de mídia digital. Uma plataforma de mídia pode suportar os vários tipos diferentes de conteúdo de mídia digital. A plataforma de mídia pode incluir vários componentes de controle diferentes (por exemplo, remotos ou controladores) e componentes de interface (por exemplo, interface de exibição, interface de gesto) que permite que os usuários utilizem o conteúdo de mídia.
[00015] A plataforma de mídia também pode ter acesso direto ao conteúdo de mídia digital e/ou aplicativos de suporte para acessar conteúdo de mídia digital. O conteúdo de mídia pode geralmente referir- se à informação entregue a um usuário final em contextos específicos (por exemplo, ouvir música, assistir filmes, jogar videogames). O conteúdo de mídia pode ser acessado localmente (por exemplo, discos rígidos locais, discos de CD-ROM) ou acessado remotamente via broadcast ou streaming de armazenamento de mídia para um display associado à plataforma de mídia. O conteúdo de mídia pode ser associado a um provedor do serviço de distribuição de conteúdo de mídia como desenvolvedor ou editor de conteúdo de mídia desenvolvido por terceiros.
[00016] Plataformas de mídia hoje são geralmente configuradas para implementação doméstica. Por exemplo, um usuário compra uma plataforma de mídia e acessa conteúdo de mídia de sua casa como conteúdo local ou conteúdo remoto ou uma combinação deles. O uso doméstico aqui não pretende ser limitativo, mas sim contempla diferentes tipos de plataformas de mídia de grau de consumo. O uso doméstico de uma plataforma de mídia pode tornar a plataforma de mídia e conteúdo de mídia vulnerável a violações de segurança. Por exemplo, uma plataforma de mídia associada a uma conta de usuário pode ficar comprometida se a plataforma de mídia e/ou conta de usuário for desviada e assim afetar o acesso ao conteúdo de mídia ou expor conteúdo de mídia à pirataria. Atualmente, existem diferentes tipos de verificações de segurança, procedimentos de autenticação de usuário, e provas de segurança implementadas para mitigar e eliminar as chances de violações de segurança.
[00017] Com os avanços na arquitetura das infraestruturas do serviço de distribuição do conteúdo de mídia, as plataformas de mídia para implementação domiciliar podem ser reconfiguradas como versões melhoradas de plataformas de mídia em uma implementação com base no centro de dados que suporta a funcionalidade adicional. Por exemplo, plataformas de mídia avançadas podem ser implementadas em centros de dados geodistribuídos para suportar a funcionalidade personalizada que melhora a experiência do usuário. Estes avanços na arquitetura podem expor o serviço de distribuição do conteúdo de mídia a diferentes tipos de riscos de segurança que precisam ser abordados. Métodos convencionais para a proteção do conteúdo de mídia não contemplam esses avanços de arquitetura e, a esse respeito, deixam de permitir que a infraestrutura do serviço de distribuição de conteúdo de mídia aproveite os avanços de arquitetura e o suporte suportado funcionalidade personalizada de forma segura.
[00018] As modalidades da presente invenção fornecem métodos e sistemas simples e eficientes para proteção de comunicações com plataformas de mídia avançadas. Em um alto nível, uma plataforma de mídia avançada é uma plataforma de mídia que geralmente compartilha a mesma arquitetura de uma plataforma de mídia doméstica tradicional; entretanto, em vez de uma implementação com base doméstica, a plataforma de mídia pode ser implementada através de um centro de dados remoto (por exemplo, localização remota avançada). Na instalação da plataforma de mídia avançada no centro de dados remoto, a plataforma de mídia avançada pode ser autenticada de modo que a plataforma de mídia avançada autenticada estabeleça uma confiabilidade bidirecional com o centro de dados remoto no qual a plataforma de mídia avançada é armazenada.
[00019] Em operação, a plataforma de mídia avançada em um centro de dados remoto (por exemplo, localização remota avançada) é primeiro autenticada. A autenticação confirma que a plataforma de mídia avançada é uma plataforma de mídia avançada aprovada. Contempla- se que a plataforma de mídia avançada pode ser autenticada com base na informação de autenticação segura embutida no hardware da plataforma de mídia avançada durante um processo de fabricação. Além disso, o centro de dados remoto pode ser geodistribuído e ainda não pertencido e/ou controlado pelo provedor do serviço de distribuição do conteúdo de mídia. A plataforma de mídia avançada pode comunicar credenciais de autenticação para um centro de dados confiável (por exemplo, localização confiável) do provedor do serviço de distribuição do conteúdo de mídia. O centro de dados é confiável em que pode ser pertencido e/ou controlado pelo provedor de serviço de distribuição do conteúdo de mídia. O centro de dados confiável do provedor do serviço de mídia implementa, entre outras coisas, serviços e um módulo de segurança de hardware (HSM) para autenticar a plataforma de mídia avançada com base nas credenciais de autenticação recebidas. A plataforma de mídia avançada pode ser autenticada com a informação de autenticação segura com base na fabricação utilizando um recurso de autenticação com base no hardware. O processo de autenticação pode incluir o provedor do centro de dados confiável que comunica as credenciais de validação (por exemplo, certificado X509 assinado com um certificado raiz) para a plataforma de mídia avançada.
[00020] Na autenticação, a plataforma de mídia avançada pode, com base em pelo menos uma parte das credenciais de validação, estabelecer uma confiabilidade bidirecional com o centro de dados remoto no qual a plataforma de mídia avançada é armazenada. Nas modalidades, a plataforma de mídia avançada realiza as autenticações de firmware e/ou software para facilitar a realização das tarefas no processo de autenticação. A plataforma de mídia avançada pode comunicar-se de forma segura com o centro de dados remoto com base no estabelecimento que a plataforma avançada está executando na localização remota avançada aprovada. A plataforma de mídia avançada pode ainda comunicar seguramente o conteúdo de mídia em uma infraestrutura do serviço de distribuição do conteúdo de mídia. Por exemplo, a plataforma de mídia avançada pode comunicar mais eficientemente com servidores de serviços de entrega de mídia interna e terceirizada. Com relação a isso, os publicadores e provedores terceirizados do conteúdo são garantidos pela segurança do conteúdo de mídia enquanto reduz a segurança prévia suspensa dos servidores de serviços de entrega de mídia. Além disso, por causa da plataforma de mídia avançada executar em uma localização remota avançada, a plataforma de mídia avançada pode, ainda, suportar a funcionalidade personalizada. A funcionalidade personalizada pode, ainda, distinguir uma plataforma de mídia avançada com base no centro de dados de uma plataforma de mídia com base doméstica. É contemplado que ambas podem ser implementadas simultaneamente, de suas respectivas localizações, como parte do serviço de distribuição do conteúdo de mídia.
[00021] Em um primeiro aspecto da presente invenção, um método para proteção de comunicações com plataformas de mídia avançadas é fornecido. O método inclui comunicação de credenciais de autenticação a um componente interno de segurança. O componente interno de segurança está em uma localização confiável. O método inclui também recebimento de credenciais de validação do componente interno de segurança. O método inclui, ainda, autenticação da execução em uma localização remota avançada com base pelo menos em uma parte das credenciais de validação. O método inclui estabelecimento de uma confiabilidade bidirecional com a localização remota avançada utilizando as credenciais de validação.
[00022] Em um segundo aspecto da presente invenção, um ou mais meios de armazenamento de computador que armazenam instruções utilizáveis por computador que, quando utilizadas por um ou mais dispositivos computacionais, fazem com que um ou mais dispositivos computacionais realizem um método para proteção de comunicações com plataformas de mídia avançadas. O método inclui recebimento de credenciais de autenticação de uma localização remota avançada. A localização remota avançada inclui um componente externo de segurança e uma plataforma de mídia avançada. O método inclui também autenticação da plataforma de mídia avançada com base na informação de autenticação segura com base na fabricação. O método inclui, ainda, comunicação de credenciais de validação ao componente externo de segurança. As credenciais de validação incluem, pelo menos, um certificado assinado por uma autoridade raiz e informação de identificação da plataforma de mídia avançada. As credenciais de validação facilitam a autenticação da plataforma de mídia avançada e estabelecimento de uma confiabilidade bidirecional entre a plataforma de mídia avançada autenticada e a localização remota avançada.
[00023] Em um terceiro aspecto da presente invenção, um sistema para proteção de comunicações com plataformas de mídia avançadas é fornecido. O sistema inclui uma plataforma de mídia avançada configurada para comunicação de credenciais de autenticação. A plataforma de mídia avançada é, também configurada para recebimento de, pelo menos, uma primeira parte das credenciais de validação. A plataforma de mídia avançada é, ainda, configurada para autenticação de execução em uma localização remota avançada com base, pelo menos, na primeira parte das credenciais de validação. A plataforma de mídia avançada é também configurada para comunicação de uma solicitação para uma segunda parte das credenciais de validação. A plataforma de mídia avançada é configurada para recebimento da segunda parte das credenciais de validação. A plataforma de mídia avançada é também configurada para estabelecimento de uma confiabilidade bidirecional com a localização remota avançada com base no recebimento da segunda parte das credenciais de validação.
[00024] O sistema inclui também um componente externo de segurança. O componente externo de segurança é configurado para comunicação das credenciais de autenticação em uma localização confiável. O componente externo de segurança é também configurado para recebimento das credenciais de validação da localização confiável. O componente externo de segurança é, ainda, configurado para comunicação, pelo menos, da primeira parte das credenciais de validação para a plataforma de mídia avançada. O componente externo de segurança é também configurado para recebimento da solicitação para a segunda parte das credenciais de validação. O componente externo de segurança é configurado para comunicação da segunda parte das credenciais de validação para a plataforma de mídia avançada.
[00025] O sistema inclui, ainda, um componente interno de segurança. O componente interno de segurança configurado para recebimento das credenciais de autenticação do componente externo de segurança. O componente interno de segurança é também configurado para autenticação da plataforma de mídia avançada. O componente interno de segurança é configurado para comunicação das credenciais de validação ao componente externo de segurança.
[00026] Em um quarto aspecto da presente invenção, um método para proteção de comunicações com plataformas de mídia avançadas é fornecido. O método inclui recebimento de uma solicitação para acessar o conteúdo de mídia. O método inclui, ainda, a determinação que a solicitação está associada com uma plataforma de mídia avançada que tenta acessar o conteúdo de mídia. A plataforma de mídia avançada está localizada em uma localização remota avançada com uma confiabilidade bidirecional entre a plataforma de mídia avançada e a localização remota avançada. O método inclui também a exclusão da plataforma de mídia avançada de um ou mais procedimentos de segurança associados com o acesso do conteúdo de mídia.
[00027] Tendo descrito brevemente uma visão geral das modalidades da presente invenção, um ambiente operacional exemplar no qual as modalidades da presente invenção podem ser implementadas é descrito abaixo a fim de fornecer um contexto geral para vários aspectos da presente invenção. Com referência inicialmente à figura 1 em particular, um ambiente operacional exemplar para implementar as modalidades da presente invenção é mostrado e designado geralmente como dispositivo computacional 100. O dispositivo computacional 100 é um exemplo de um ambiente computacional adequado e não de destina a sugerir qualquer limitação ao escopo de uso ou funcionalidade da invenção. Nem deve o dispositivo computacional 100 ser interpretado como tendo qualquer dependência ou exigência relacionada a qualquer um ou uma combinação dos componentes ilustrados.
[00028] A invenção pode ser descrita no contexto geral do código de computador ou de instruções utilizáveis pela máquina, incluindo instruções executáveis por computador, como módulos de programa sendo executados por um computador ou outra máquina, como um assistente de dados pessoais ou outro dispositivo portátil. Geralmente, os módulos de programa, incluindo rotinas, programas, objetos, componentes, estruturas de dados, etc., referem-se ao código que executa tarefas específicas ou implementa determinados tipos de dados abstratos. A invenção pode ser praticada em uma variedade de configurações de sistema, incluindo dispositivos portáteis, eletrônicos de consumo, computadores de propósito geral, mais especialidades computacionais, etc. A invenção também pode ser praticada em ambientes de computação distribuída onde as tarefas são realizadas por dispositivos de processamento remoto que estão ligados através de uma rede de comunicações.
[00029] Com referência à figura 1, o dispositivo computacional 100 inclui um barramento 110 que acoplada direta ou indiretamente os seguintes dispositivos: memória 112, um ou mais processadores 114, um ou mais componentes de apresentação 116, portas de entrada/saída 118, componentes de entrada/saída 120 e uma fonte de alimentação ilustrativa 122. O barramento 110 representa o que pode ser um ou mais barramentos (como um barramento de endereço, barramento de dados, ou combinação desses). Embora os vários blocos da figura 1 sejam mostrados com linhas para esclarecimento, na realidade, a delineação de vários componentes não é tão clara e metaforicamente as linhas seria mais precisamente cinzas e difusas. Por exemplo, pode-se considerar um componente de apresentação como um dispositivo de exibição como um componente E/S. Ainda, os processadores têm memória. Reconhecemos que essa é a natureza da técnica e reiteramos que o diagrama da figura 1 é meramente ilustrativo de um dispositivo computacional exemplar que pode ser utilizado em conexão com uma ou mais modalidades da presente invenção. A distinção não é feita entre essas categorias como "estação de trabalho", "servidor", "laptop," "dispositivo portátil", etc., como todos estão contemplados dentro do escopo da figura 1 e a referência ao "dispositivo computacional".
[00030] O dispositivo computacional 100 tipicamente inclui uma variedade de meios de comunicação legíveis por computador. A mídia legível por computador pode ser qualquer mídia disponível que pode ser acessada por dispositivo computacional e mídia volátil e não volátil, mídia removível e não removível. A título de exemplo, e não limitação, a mídia legível por computador pode compreender meios de armazenamento de computadores e meios de comunicação.
[00031] O meio de armazenamento do computador e mídia não volátil, removível e não removível implementada em qualquer método ou tecnologia para armazenamento de informações como instruções legíveis por computador, estruturas de dados, módulos de programa ou outros dados, memória RAM, ROM, EEPROM, memória flash ou outra tecnologia de memória, CD-ROM, discos versáteis digitais (DVD) ou outro armazenamento em disco óptico, cassetes magnéticas, fita magnética, armazenamento em disco magnético ou outros dispositivos de armazenamento magnético, ou qualquer outro meio que possa ser usado para armazenar a informação desejada, que pode ser acessado pelo dispositivo computacional 100. A mídia de armazenamento de computador exclui os sinais per se.
[00032] O meio de comunicação incorpora tipicamente instruções legíveis por computador, estruturas de dados, módulos de programas ou outros dados em um sinal de dados modulado como uma onda portadora ou outro mecanismo de transporte e inclui qualquer mídia de entrega de informação. O termo "sinal de dados modulado" significa um sinal que tem um ou mais das suas características definidas ou alteradas de modo a codificar a informação no sinal. A título de exemplo, e não limitação, o meio de comunicação inclui uma rede com fio ou uma conexão direta, uma mídia sem fio como acústica, RF, infravermelho e outros meios de comunicação sem fio. Combinações de qualquer um dos acima mencionados também devem ser incluídas no escopo da mídia informática.
[00033] A Memória 112 inclui meios de armazenamento de computador na forma de memória volátil e/ou não-volátil memória. A memória pode ser removível, não removível, ou uma combinação desses. Dispositivos exemplares de hardware incluem memória no estado sólido, discos rígidos, drives de disco óptico, etc. O dispositivo computacional 100 inclui um ou mais processadores que leem dados de várias entidades como memória 112 ou componentes E/S 120. Os componentes de apresentação 116 apresentam indicações de dados a um usuário ou outro dispositivo. Os componentes de apresentação exemplares incluem um dispositivo de exibição, alto-falante, componente de impressão, componente de vibração, etc. As portas E/S 118 permitem que o dispositivo computacional 100 seja logicamente acoplado a outros dispositivos incluindo componentes E/S 120, alguns que podem ser embutidos. Os componentes E/S ilustrativos 120 incluem um microfone, joystick, controle de jogo, scanner, botão duro/macio, tela sensível ao toque, etc.
[00034] O rádio 124 transmite e/ou recebe comunicações via rádio. O dispositivo computacional 100 pode ser um terminal sem fio adaptado às comunicações recebidas e mídia através de várias redes sem fio. O dispositivo computacional 100 pode comunicar-se através de protocolos sem fio, como acesso múltiplo por divisão de código ("CDMA"), sistema global para telefones móveis ("GSM"), ou acesso múltiplo por divisão de tempo (TDMA), também como outros, para comunicar-se com outros dispositivos (não mostrados na figura 1). As comunicações de rádio podem ser uma conexão de curto alcance, uma conexão de longo alcance, ou uma combinação de ambas, telecomunicações sem fios de longo alcance e de curto alcance. Quando nos referimos a tipos de conexões "curtas" e "longas", não queremos referir a relação espacial entre dois dispositivos. Em vez disso, geralmente estamos nos referindo a curto alcance e longo alcance como diferentes categorias, ou tipos, de conexões (isto é, uma conexão primária e uma conexão secundária). Uma conexão de curto alcance pode fornecer uma conexão Wi-Fi® a um dispositivo (por exemplo, hotspot móvel) que fornece acesso a uma rede de comunicações sem fio, como uma conexão WLAN usando o protocolo 802.11. Uma conexão Bluetooth para outro dispositivo computacional é um exemplo de uma conexão de curto alcance. Uma conexão de longo alcance pode incluir uma conexão usando um ou mais protocolos CDMA, GPRS, GSM, TDMA e 802.16.
[00035] O sensor 126 observa características e condições ambientais. Os sensores exemplares compreendem acelerômetros, giroscópios, GPS/localização, sensores de proximidade, sensores de luz e sensores de vibração.
[00036] Agora voltando à figura 2, uma infraestrutura do serviço de distribuição do conteúdo de mídia 200 (a seguir "infraestrutura") compreendendo múltiplos dispositivos computacionais que podem fornecer comunicação avançada segura é mostrada, de acordo com as modalidades da presente invenção. A infraestrutura 200 mostrada na figura 2 é um exemplo de uma infraestrutura adequada. A infraestrutura 200 compreende múltiplos dispositivos computacionais similares ao dispositivo computacional 100 descrito com referência à figura 1. A infraestrutura 200 não deveria ser interpretada como tendo qualquer dependência ou exigência relacionada a qualquer único módulo/componente ou combinação de módulos/componentes ilustrados nele. Cada um pode compreender um único dispositivo ou múltiplos dispositivos que cooperam em um ambiente distribuído. Por exemplo, os componentes podem compreender múltiplos dispositivos dispostos em um ambiente distribuído que coletivamente fornecem a funcionalidade descrita na presente invenção. Adicionalmente, outros componentes não mostrados também podem ser incluídos dentro do ambiente de rede.
[00037] A infraestrutura 200 pode incluir uma plataforma de mídia 202, uma plataforma de mídia avançada 204, um cliente de acesso à mídia 206, uma localização remota 208, uma localização remota avançada 210, uma localização confiável 212, um componente externo de segurança 214, um componente interno de segurança 216, servidor do conteúdo de mídia 218, um servidor de entrega de conteúdo 220, todos em um ambiente de rede. A rede pode incluir, sem limitação, uma ou mais redes de áreas local (LANs) e/ou redes de área ampla (WANs). Tais ambientes de rede são comuns em escritórios, redes de computadores corporativas, intranets e Internet. Consequentemente, a rede não é mais descrita na presente invenção.
[00038] Deve ser entendido que esta e outras disposições descritas na presente invenção são apresentadas apenas como exemplos. Outras disposições e elementos (por exemplo, máquinas, interfaces, funções, ordens, e agrupamentos de funções) podem ser usados além de ou em vez dos mostrados, e alguns elementos podem ser omitidos todos juntos. Além disso, muitos dos elementos descritos na presente invenção são entidades funcionais que podem ser implementadas como componentes discretos ou distribuídos em conjunto com outros componentes, e em qualquer combinação e localização adequada. Várias funções descritas na presente invenção como sendo executadas por uma ou mais entidades podem ser realizadas por hardware, firmware e/ou software. Por exemplo, várias funções podem ser executadas por um processador executando instruções armazenadas em memória.
[00039] A plataforma de mídia 202 pode ser um console de jogo, console de mídia, ou outro dispositivo computacional adequado que fornece acesso ao conteúdo de mídia. O conteúdo de mídia pode ser jogos, filmes, aplicativos, música, vídeos, programas de televisão, e outro conteúdo de mídia. Em particular, o console de jogo pode ser acoplado a um monitor, como uma televisão ou monitor. A plataforma de mídia 202 pode ser configurada para implementação com base doméstica. Uma complementação com base doméstica incluiria/exclui- ria determinadas funcionalidades personalizadas configuradas especificamente para uma plataforma de mídia de implementação com base doméstica. Em particular, certas verificações/procedimentos de segurança podem ser implementadas especificamente para uma plataforma de mídia determinada a ser executada a partir de um aparelho doméstico. Por exemplo, a plataforma de mídia 202 pode acessar o servidor de entrega de conteúdo 220 com base na execução em um aparelho doméstico e ainda concluir as verificações implementadas ao acessar o servidor de entrega de conteúdo 220 de um aparelho doméstico. O uso de uma palavra aparelho doméstico não destina-se a ser limitativo, mas ainda contempla as localizações onde plataformas de mídia de grade do consumidor são utilizadas. Uma implementação do aparelho doméstico pode estar fora de uma localização remota 208 que é diferente de uma localização remota avançada 210 em que a plataforma de mídia não autentica sozinha e também estabelece confiabilidade com localização remota 208. Além disso, a localização remota 208 não inclui componentes adicionais onde a plataforma de mídia está executando para autenticar e estabelecer confiabilidade com a localização remota 208.
[00040] A arquitetura da plataforma de mídia 202 é de modo que a plataforma de mídia 202 suporte o conteúdo embutido por desenvolvedores para executar particularmente na plataforma de mídia 202. Por exemplo, o conteúdo de vídeo game em discos compactos físicos ou pacotes de add-on baixados, demos e jogos completos são distribuídos e configurados para executar na arquitetura da plataforma de mídia 202. Em um alto nível, a arquitetura da plataforma de mídia pode descrever os componentes computacionais da plataforma de mídia e as relações entre os componentes computacionais. Por exemplo, uma arquitetura da plataforma de mídia pode incluir uma unidade de processamento central, memória, energia, barramento, processador de gráficos e variações desses. Os componentes de arquiteturas são considerações ao desenvolver o conteúdo para executar na plataforma de mídia 202. Contempla-se que se esses componentes de arquitetura são alterados, a capacidade de realizar adequadamente diferentes tarefas associadas com a utilização do conteúdo de mídia pode ser impactada.
[00041] Uma plataforma de mídia avançada 204 se refere a uma plataforma de mídia que geralmente compartilha a mesma ou uma arquitetura substancialmente similar de uma plataforma de mídia; entretanto, em vez de uma implementação com base doméstica, a plataforma de mídia avançada 204 pode ser implementada através de um centro de dados (por exemplo, localização remota avançada 210). O compartilhamento da mesma ou da arquitetura substancialmente similar refere-se à manutenção dos componentes de arquitetura de modo que o conteúdo desenvolvido execute em uma plataforma de mídia 202 também possa executar na plataforma de mídia avançada 204 sem exigir qualquer alteração fundamental ou alteração fundamental substancial ao conteúdo de mídia desenvolvido. Nas modalidades, a plataforma de mídia avançada 204 pode ser uma plataforma de mídia reconfigurada na forma de um servidor isolado em um fechamento de suporte ou um componente computacional montável em suporte. Outros tipos de configurações da plataforma de mídia avançada 204 para implementação através de um centro de dados são contemplados dentro do escopo da presente invenção. A plataforma de mídia avançada 204, em particular, pode ser configurada de forma arquitetônica de modo que os desenvolvedores do conteúdo de mídia não tenham que criar separadamente o conteúdo para o conteúdo de mídia avançado. O conteúdo existente e o conteúdo recentemente desenvolvido podem ser acessados através de uma plataforma de mídia 202 em uma implementação com base doméstica e uma plataforma de mídia avançada 204 em uma implementação com base no centro de dados.
[00042] Contempla-se que a infraestrutura 200 suporta o fornecimento do conteúdo de mídia simultaneamente a uma pluralidade de plataformas de mídia 202 e uma pluralidade de plataformas de mídia avançadas 204. Enquanto isso, as plataformas de mídia 202 podem acessar diretamente 222 o conteúdo de mídia. Um cliente de acesso à mídia 206 pode ser implementado para fornecer acesso 224 ao conteúdo de mídia através da plataforma de mídia avançada 204. Um cliente de acesso à mídia 206 pode ser um dispositivo computacional que depende da plataforma de mídia avançada 204 na localização remota avançada 210 para fornecer acesso ao conteúdo de mídia. Por exemplo, um usuário associado com um console de videogame avançado em um centro de dados pode acessar o conteúdo do videogame através do console de videogame avançado utilizando o cliente de acesso à mídia 206. O cliente de acesso à mídia 206 compreende hardware e/ou software que facilitam o acesso ao conteúdo de mídia através da plataforma de mídia avançada 204.
[00043] Conforme utilizado aqui, um centro de dados geralmente refere-se a uma estrutura que aloja sistemas computacionais e outros componentes associados (por exemplo, telecomunicações e armazenamento). Em particular, uma localização remota avançada 210 pode se referir a um centro de dados onde uma plataforma de mídia avançada 204 é armazenada. A localização remota avançada 210 pode ser geodistribuída com localização de acesso do usuário. Em outras palavras, a localização remota avançada 210 pode estar localizada de modo que as plataformas de mídia avançadas 204 possam ser implementadas nos centros de dados ao redor do mundo para mitigar a largura de banda, o consumo de energia e os problemas de distâncias de um único centro de dados. Com relação a isso, um usuário pode ser servido de um centro de dados próximo, reduzindo, assim, o tempo de resposta do usuário e o consumo da largura de banda. Outros benefícios de centros de dados geodistribuídos e localização do usuário são contemplados com as modalidades da presente invenção.
[00044] A localização remota avançada 210 pode não pertencer e/ou ser controlada pelo provedor de serviço de distribuição do conteúdo de mídia. Por causa da falta de propriedade e controle, é possível que a plataforma de mídia avançada 210 possa ser desapropriada para acessão não sancionado ao conteúdo de mídia. Assim, as modalidades da presente invenção fornecem proteção das comunicações da plataforma de mídia avançada realizando as tarefas de segurança; a plataforma de mídia avançada 204 se autentica e, então, a plataforma de mídia avançada autenticada 204 estabelece uma confiabilidade bidirecional com a localização remota avançada 210 na qual está armazenada a fim de operar e acessar o conteúdo de mídia. A localização remota avançada 210 pode ter também componentes adicionais que facilitam o processo de autenticação entre a localização de mídia avançada 210 e uma localização confiável 212. Contempla-se que atualizações de firmware e/ou hardware podem ser baixadas na plataforma de mídia avançada 204 para facilitar a realização das tarefas de segurança.
[00045] A localização confiável 212 pode ser configurada para autenticar a plataforma de mídia avançada. Uma localização confiável 214 pode ser um centro de dados conforme descrito na presente invenção. A localização confiável 212 pode, ainda, se referir a um centro de dados que pertence e/ou controlado pelo provedor do serviço de distribuição do conteúdo de mídia. A localização confiável 212 pode ser um centro de dados de Alto Impacto Comercial (HBI | High Business Impact). A classificação de HBI denota que os componentes do centro de dados, se revelado sem autorização, poderia causar perda de material grave ou catastrófica ao proprietário da informação ou partes dependentes. Com relação a isso, os componentes do centro de dados são fornecidos limitados ao acesso à divulgação. Políticas adicionais associadas com uma classificação de HBI são contempladas dentro do escopo da presente invenção. O centro de dados de HBI inclui uma instalação de software de HBI que suporta diferentes componentes que compreendem material de HBI. Contempla-se que a classificação de HBI pode ser implementada em diferentes níveis da hierarquia do centro de dados, por exemplo, HBI em um nível de instalação de rack. Com relação a isso, os procedimentos de HBI podem ser implementados para o nível hierárquico identificado de HBI e nem todos os componentes no centro de dados.
[00046] A comunicação de mensagens incluindo credenciais de autenticação e credenciais de validação pode ser facilitada pelo componente externo de segurança 214 e pelo componente interno de segurança 216. O componente externo de segurança 214 pode estar localizado na localização remota avançada 210 e o componente interno de segurança 216 pode estar localizado na localização confiável 212. Cada um pode compreender um único dispositivo ou múltiplos dispositivos que cooperam com seu respectivo centro de dados. Por exemplo, componentes pode compreender múltiplos dispositivos dispostos em um ambiente distribuído que coletivamente fornecem a funcionalidade descrita na presente invenção. Adicionalmente, outros componentes não mostrados podem ser também incluídos dentro do ambiente de rede. Em particular, o componente externo de segurança 214 pode incluir módulos adicionais (por exemplo, componentes em rede, servidores da web e servidores de proxy) e o componente interno de segurança 216 pode incluir também módulos adicionais (por exemplo, módulo de segurança de hardware, servidores da web e servidores de proxy) localizados no rack de HBI. Em particular, um módulo de segurança de hardware pode facilitar os processos para fornecer comunicações segurança 226 utilizando a plataforma de mídia avançada 204. A segurança do hardware pode ser implementada como um dispositivo computacional que protege e gerencia as chaves digitais para forte autenticação e fornecer processamento por codificação.
[00047] O servidor do conteúdo de mídia 218 armazena e compartilha conteúdo de mídia. O servidor do conteúdo de mídia 218 pode fornecer acesso a vídeo, áudio, foto, livros e também videogames. Em particular, um servidor do conteúdo de mídia pode incluir binários de videogame de um desenvolvedor terceiro que são comunicados 228 à plataforma de mídia avançada 204. O servidor do conteúdo de mídia 218 pode ser parte de uma rede de entrega de conteúdo 230 que suporta o servidor de entrega de conteúdo 220. O servidor de entrega de conteúdo 220 é um servidor exemplar de múltiplos servers implementados nos múltiplos centros de dados pela internet para servir o conteúdo aos usuários com alta disponibilidade e alto desempenho. O acesso ao servidor do conteúdo de mídia 218 e/ou ao servidor de entrega de conteúdo 220 pode ser através da rede de entrega de conteúdo 230. A rede de entrega de conteúdo 230 pode ser acessada por qualquer plataforma de mídia ou plataforma de mídia avançada com base na funcionalidade suportada correspondente para fornecer acesso ao conteúdo de mídia.
[00048] Em forma de exemplo, um primeiro usuário pode utilizar uma plataforma de mídia 204 em casa para jogar uma versão de disco compacta de um videogame. O primeiro usuário pode também ter uma conta com um provedor de serviço de distribuição do conteúdo de mídia e ainda acessar 222 os recursos adicionais do videogame através do servidor de entrega de conteúdo 220 ou conteúdo adicional através do servidor de mídia 218. Um segundo usuário pode utilizar um cliente de acesso à mídia 206 para acessar um videogame através de uma plataforma de mídia avançada 204 em um centro de dados. A plataforma de mídia avançada realiza um processe de autenticação e confiabilidade 226 e, então, recupera 228 os binários do jogo de um servidor de mídia 218 ou conteúdo adicional de vídeo do servidor de entrega de conteúdo 220 enquanto utiliza a funcionalidade personalizada com base no acesso seguro fornecido à plataforma de mídia avançada.
[00049] A recuperação de binários de jogos com base na funcionalidade personalizada pode especificamente excluir a plataforma de mídia avançada de verificações de segurança/procedimento de segurança que podem ter sido implementados em outros casos. Com relação a isso, a plataforma de mídia avançada com a localização remota evita a verificação de segurança, limitando assim os recursos gerais de segurança no servidor de mídia 218 e no servidor de entrega de conteúdo 220. Em uma modalidade, as plataformas de mídia avançadas podem ser associadas com uma designação de grupos que permite privilégios avançados em não apenas contornar as tarefas de segurança, mas também em acessar conteúdo de jogo específico e interagir com serviços de entrega de mídia e outros usuários semelhantemente colocados com plataformas de mídia avançadas. Outras variações e combinações de privilégios de grupo e privilégios de acesso com base na plataforma de estado de mídia avançada são contemplados com as modalidades da presente invenção.
[00050] Com referência às figuras 3A a 3D, as ilustrações exemplares para proteção das comunicações com plataformas de mídia avançadas são fornecidas. Em particular, uma plataforma de mídia avançada pode ser autenticada com base nas mensagens comunicadas entre uma pluralidade de componentes e, então, validadas para comunicação com uma localização remota avançada de modo que uma confiabilidade bidirecional seja estabelecida entre a plataforma de mídia avançada autenticada e a localização remota avançada. A pluralidade de componentes pode compreender uma localização remota avançada 310 tendo uma plataforma de mídia avançada 312, e um componente externo de segurança 314, e uma localização confiável 320 tendo um componente interno de segurança 322. O componente interno de segurança 322 pode ainda ter um proxy de cifragem (cipher) 324 e um dispositivo de cifragem (cipher) 326. A plataforma de mídia avançada 312 pode ainda comunicar-se com um ou mais componentes na infraestrutura (por exemplo, um servidor de entrega de conteúdo 330) para receber conteúdo de mídia. Contempla-se que na autenticação e/ou estabelecimento da relação de confiabilidade bidirecional com a localização remota avançada, a plataforma de mídia avançada 312 pode comunicar-se com um ou mais componentes com base na funcionalidade personalizada tendo níveis variáveis de privilégio e acesso.
[00051] Deve ser entendido que esta e outras disposições descritas na presente invenção são apresentados apenas como exemplos. Outras disposições e elementos (por exemplo, máquinas, interfaces, funções, ordens e agrupamentos de funções) podem ser utilizados em adição ao mostrados, e alguns elementos podem ser omitidos todos juntos. Além disso, muitos dos elementos descritos na presente invenção são entidades funcionais que podem ser implementadas como componentes discretos ou distribuídos em qualquer combinação e localização adequada. Várias funções descritas na presente invenção como sendo realizadas por uma ou mais entidades podem ser realizadas por hardware, firmware e/ou software. Por exemplo, várias funções podem ser executadas por um processador executando instruções armazenadas em memória.
[00052] A proteção das comunicações com uma plataforma de mídia avançada 312 pode ser fornecida, pelo menos, em parte com base na criptografia. A criptografia geralmente se refere a técnicas para proteger a privacidade da informação armazenada ou comunicada. A criptografia pode inserir chave secreta (simétrica, chave compartilhada, chave privada, e uma chave) e chave pública. Outros tipos de implementações de criptografia são contemplados dentro do escopo da presente invenção. A pluralidade de componentes descrita acima utiliza a criptografia para codificar ou criptografar comunicações para autenticar a plataforma de mídia avançada 312 e, então, a plataforma de mídia avançada autenticada 312 estabelece uma confiabilidade bidirecional com a localização remota avançada 310. O significado das mensagens comunicadas entre os componentes é mantido oculto e somente os componentes individuais autorizados a acessar as mensagens comunicadas podem decodificar ou descriptografar as mensagens durante o processo de autenticação.
[00053] As modalidades da presente invenção podem utilizar vantajosamente chave assimétrica também conhecida como criptografia de chave pública. A criptografia de chave pública usa um par de chaves que são matematicamente relacionados de modo que a informação possa ser criptografada com uma chave e descriptografada com outras. No entanto, uma chave não pode ser criada a partir de outras. O par de chaves consiste em uma chave privada que deve ser mantida em segredo e uma chave "pública" que pode ser distribuída amplamente. A criptografia de chave pública pode ser usada para validação e criptografia. Com a criptografia pública uma mensagem pode ser criptografada com uma chave pública e transmitida ao proprietário da chave privada. Somente o titular da chave privada poderá decifrar a mensagem original. A autenticação pode ser obtida através da criptografia de uma mensagem com uma chave privada do emissor. Os receptores que possuem a chave pública do emissor correspondente poderão descriptografar a mensagem e, portanto, saberão que a mensagem é autêntica, pois somente o proprietário da chave privada poderia criptografá-la.
[00054] A localização remota avançada 310 pode comunicar as credenciais de autenticação criptografadas à localização confiável 320 para que a plataforma de mídia avançada 312 se autentique. As credenciais de autenticação podem suportar um esquema de autenticação com base na posse pela qual a autenticação é com base na posse de um certificado que identifica a plataforma de mídia avançada 312. Nas modalidades, as credenciais de autenticação incluem segurança adicional na mensagem comunicada (por exemplo, um nonce - um número arbitrário utilizado apenas uma vez durante o processo de autenticação). As credenciais de autenticação podem incluir um certificado e um nonce que são criptografados com uma chave pública e, então, comunicados para autenticar a plataforma de mídia avançada 312. Contempla-se que a informação de autenticação segura com base na fabricação que pode incluir a chave pública pode ser utilizada para fornecer criptografia de hardware. Por exemplo, a informação segura que inclui a chave pública pode ser adicionada à plataforma de mídia avançada 312 durante um processo de fabricação. A informação de autenticação segura pode incluir informação utilizada para identificar a plataforma de mídia avançada (por exemplo, número serial, informação do fabricante, dados de criptografia). Com relação a isso, a informação de autenticação segura com base na fabricação pode ser utilizada para autenticar especificamente a plataforma de mídia avançada 312 utilizando verificações de segurança com base na fabricação. Em particular, a chave pública é utilizada com uma cifra - um algoritmo para criptografia e descriptografia - para criptografar as credenciais de autenticação. As credenciais de autenticação criptografadas podem ser referidas como um desafio de cifra. As credenciais de autenticação são encaminhadas por um meio de transmissão. O meio de transmissão pode utilizar segurança de protocolo de internet (IPSec) para proteger as comunicações. IPsec autentica e criptografa cada pacote IP da sessão de comunicação.
[00055] A localização confiável 320 pode receber as credenciais de autenticação e na validação da autenticidade da plataforma de mídia avançada comunicar as credenciais de validação à plataforma de mídia avançada 312. Nas modalidades, um proxy de cifragem 324 e um dispositivo de cifragem 326 podem ser utilizados na validação da autenticidade da plataforma de mídia avançada 312. Em particular, o proxy de cifragem 324 assina o certificado nas credenciais de autenticação para assegurar a autenticidade. A validação da autenticidade inclui decodificação das credenciais autenticadas criptografadas com uma chave privada para validar o certificado da plataforma de mídia avançada 312. O processo, em particular, pode verificar a informação de autenticação segura com base na fabricação para confirmar a plataforma de mídia avançada 312 que foi embutida utilizando um processo de fabricação sancionado. O proxy de cifragem 334, então, comunica o certificado assinado ao dispositivo de cifragem 336. O dispositivo de cifragem pode gerar as credenciais de validação. As credenciais de validação podem incluir informação similar nas credenciais de autenticação (por exemplo, informação de identificação da plataforma de mídia avançada, chave pública). As credenciais de validação podem ser utilizadas pela plataforma de mídia avançada 312 para validar a localização remota avançada 310. As credenciais de validação podem em particular incluir um certificado. O certificado pode ser gerado utilizando um sistema X.509 como uma autoridade de certificação de modo que o certificado seja assinado com um certificado raiz ou autoridade raiz. Contempla-se que o certificado pode ser emitido por um período de tempo limitado e renovado em um intervalo predeterminado através dos métodos descritos na presente invenção. O período de tempo e os períodos de intervalo de renovação podem ser diferentes. As credenciais de validação são comunicadas através do meio de transmissão.
[00056] A localização remota avançada 310 recebe as credenciais de validação. Nas modalidades, o componente externo de segurança 314 pode receber as credenciais de validação e encaminhar o certificado das credenciais de validação para a plataforma de mídia avançada 312. Por causa do certificado poder ser emitido por um período de tempo limitado, o componente externo de segurança 314 pode ser configurado para comunicar-se com a plataforma de mídia avançada 312 para renovar o certificado em um intervalo predeterminado através dos métodos descritos na presente invenção. O período de tempo e os períodos de intervalo de renovação podem ser diferentes na duração. O certificado pode ser encaminhado junto com um nonce. A plataforma de mídia avançada 312 verifica que o certificado da autoridade X.509 está enraizada contra um certificado raiz. Com relação a isso, a plataforma de mídia avançada 312 pode estabelecer uma confiabilidade unilateral com a localização remota avançada 310. A plataforma de mídia avançada 312 é agora autenticada e uma confiabilidade unilateral existe na parte da plataforma de mídia avançada confirmando que a plataforma de mídia avançada é executada em uma localização remota avançada 310.
[00057] A plataforma de mídia avançada autenticada 312, então, solicita informação adicional nas credenciais de validação. Contempla- se que na verificação do certificado X.509, as comunicações entre a plataforma de mídia avançada e o componente externo de segurança podem ocorrer utilizando camada de soquete de segurança de autenticação mútua/segurança de camada de transporte (SSL/TLS) com base no certificado X.509. A informação adicional (por exemplo, informação de identificação da plataforma de mídia avançada) nas credenciais de validação é retornada para a plataforma de mídia avançada 312. No recebimento da informação adicional nas credenciais de validação, a plataforma de mídia avançada autenticada estabelece uma confiabilidade bidirecional com a localização remota avançada 310. Nas modalidades, as credenciais de validação são comunicadas junto com as credenciais de desafio (por exemplo, Blob de estabelecimento de confiabilidade). As credenciais de desafio são emitidas pelo componente externo de segurança 314 para a plataforma de mídia avançada 312. As credenciais de desafio podem ser utilizadas para autenticar a plataforma de mídia avançada 312 contra um ou mais servidores de mídia, incluindo um servidor de entrega de conteúdo 330, para comunicação de conteúdo de mídia.
[00058] Contempla-se com as modalidades da presente invenção que a plataforma de mídia avançada pode ter atualizações de firmware e/ou software para facilitar o estabelecimento da confiabilidade unilateral e da confiabilidade bilateral. Em particular, as atualizações podem facilitar o acesso à informação necessária para verificar as credenciais de validação. Por exemplo, a plataforma de mídia avançada na atualização pode ter acesso à chave pública no rack de HBI no componente externo de segurança. Ainda, em forma de exemplo, a plataforma de mídia avançada pode ter acesso a uma cadeia de certificado do certificado X509 fornecido nas credenciais de validação. Outros tipos de funcionalidade que podem ser facilitados através das atualizações de firmware e/ou software durante o processo de autenticação são contemplados com as modalidades da presente invenção.
[00059] Com referência à figura 3C, um diagrama de sequência é representado da proteção de comunicações com plataformas de mídia avançadas. O diagrama inclui uma localização remota avançada 310, plataforma de mídia avançada 312, componente externo de segurança 314, localização confiável 320, componente interno de segurança 322 e servidor de entrega de conteúdo 330, conforme descrito acima. A plataforma de mídia avançada 312 pode incluir informação de autenticação segura com base na fabricação que inclui uma chave pública para criptografia. A informação de autenticação segura pode ser embutida no hardware da plataforma de mídia avançada 312 durante um processo de fabricação seguro da plataforma de mídia avançada. A plataforma de mídia avançada 312 pode estar localizada em uma localização remota avançada 310 que é um centro de dados que aloja a plataforma de mídia avançada 312 e componentes adicionais (por exemplo, o componente externo de segurança) que facilita a proteção das comunicações. A localização remota avançada 310 pode ser geodistribuída para suportar a localização do usuário, assim, a localização remota avançada pode não pertencer e/ou ser controlada por um provedor do servidor de distribuição do conteúdo de mídia.
[00060] A plataforma de mídia avançada 312 pode ser configurada para realizar uma inicialização 342 que inicializa a plataforma de mídia avançada, realiza uma descoberta 342 de dispositivos físicos, reserva um IP 346 para a plataforma de mídia avançada e descobre o componente externo de segurança 314. Os dispositivos físicos podem incluir componentes (por exemplo, DHCP, chave, gerenciador de chassi) na localização remota avançada que suportam a plataforma de mídia avançada 312. O processo de descoberta pode incluir mensagens comunicadas de modo que a plataforma de mídia avançada receba um IP e receba a informação (por exemplo, endereço IP) no componente externo de segurança. A plataforma de mídia avançada 312 pode estabelecer conectividade 348 sem uma confiabilidade segura com o componente externo de segurança e outros componentes. Nas modalidades, a implementação e a comunicação de mensagens podem estar em um nível de rack. No estabelecimento da conectividade, contempla-se que um processo de atualização 350 pode ser implementado para receber atualizações de firmware e/ou software que facilitam o acesso e controlam a plataforma de mídia avançada 312. Nas modalidades, a plataforma de mídia avançada pode solicitar 352 e, então, receber 354 a informação de atualização.
[00061] A plataforma de mídia avançada 312 pode comunicar credenciais de autenticação 356 para a localização confiável 320. A plataforma de mídia avançada 312 pode em particular comunicar as credenciais de autenticação através do componente externo de segurança que, então, encaminha as credenciais de autenticação 358 ao componente interno de segurança 322. As credenciais de autenticação podem incluir informação de autenticação segura com base na fabricação e um certificado público que identifica a plataforma de mídia avançada. Nas modalidades, as credenciais de autenticação incluem um nonce - um número arbitrário utilizado apenas uma vez durante o processo de autenticação.
[00062] A localização confiável 320 pode receber as credenciais de autenticação 358 e na validação 360 da autenticidade da plataforma de mídia avançada comunicar credenciais de validação 362 à plataforma de mídia avançada. Nas modalidades, um proxy de cifragem 324 e um dispositivo de cifragem 326 podem ser utilizados na validação da autenticidade da plataforma de mídia avançada 312. A validação pode incluir a assinatura do certificado nas credenciais de autenticação pela verificação da informação de autenticação segura com base na fabricação para confirmar a plataforma de mídia avançada 312 que foi embutida utilizando um processo de fabricação sancionado. A validação também pode incluir a geração das credenciais de validação. As credenciais de validação 362 podem incluir um certificado e informação de identificação da plataforma de mídia avançada. O certificado pode ser gerado utilizando um sistema X.509 como uma autoridade de certificação de modo que o certificado seja assinado com um certificado raiz. As credenciais de validação 362 são comunicadas para a localização remota avançada.
[00063] A localização remota avançada 310 recebe as credenciais de validação 362. O componente externo de segurança 314 pode receber as credenciais de validação 362 e encaminhar as credenciais de validação 364. Nas modalidades, o componente externo de segurança encaminha o certificado das credenciais de validação para a plataforma de mídia avançada 312. O certificado pode ser encaminhado com um nonce para segurança adicional. A plataforma de mídia avançada autenticada 312 verifica 366 que o certificado da autoridade X.509 é enraizada contra um certificado raiz. Com relação a isso, a plataforma de mídia avançada 312 pode estabelecer uma confiabilidade unilateral 366 com a localização remota avançada 310.
[00064] A plataforma de mídia avançada 312, então, solicita 368 a informação adicional nas credenciais de validação. A informação adicional nas credenciais de validação é retornada 370 para a plataforma de mídia avançada 312. No recebimento da informação adicional nas credenciais de validação, a plataforma de mídia avançada estabelece uma confiabilidade bidirecional 372 com a localização remota avançada 310. Nas modalidades, a confiabilidade bidirecional é com base na combinação de informação de identificação da plataforma de mídia avançada 312 na informação adicional nas credenciais de validação para a informação de autenticação segura com base na fabricação. A plataforma de mídia avançada 312 pode estabelecer conexões adicionais 374 para seguramente comunicar com a infraestrutura do serviço de distribuição do conteúdo de mídia (por exemplo, servidor de entrega de conteúdo 330) e também operar com funcionalidade personalizada adicional como, privilégios avançados que incluem desvio das verificações de segurança. Por exemplo, quando um cliente de acesso à mídia está acessando o conteúdo através de uma plataforma de mídia avançada 312, a plataforma de mídia avançada 312 pode não ter que realizar certas verificações de segurança.
[00065] Com referência à figura 3D, a plataforma de mídia avançada 312 pode estabelecer uma relação de confiabilidade com outros componentes na infraestrutura para se comunicar com os componentes com privilégios avançados. Os privilégios avançados com outros componentes podem ser inicializados com base na comunicação das credenciais de validação junto com as credenciais de desafio (por exemplo, Bloo de estabelecimento de confiabilidade). Contempla-se que as credenciais de desafio podem ser solicitadas e comunicadas separadamente das credenciais de validação. As credenciais de desafio se referem a um Blob de dados secretos que o componente externo de segurança 314 emite à plataforma de mídia avançada 312. As credenciais de desafio podem ser utilizadas para autenticar a plataforma de mídia avançada 312 contra um ou mais servidores externos, incluindo um servidor de entrega de conteúdo 330, para comunicação de conteúdo de mídia. A plataforma de mídia avançada 312 pode operar com a funcionalidade personalizada com base na utilização das credenciais de desafio para estabelecer uma confiabilidade com um ou mais componentes do serviço de distribuição do conteúdo de mídia; a funcionalidade personalizada compreende execução com privilégios avançados que incluem derivar uma ou mais verificações de segurança que, caso contrário seriam executadas.
[00066] Em operação, a plataforma de mídia avançada 312 pode solicitar 376 uma conexão com o servidor de entrega de conteúdo 330. Em 378, o servidor de entrega de conteúdo 330 faz uma determinação se a solicitação estiver associada com uma plataforma de mídia avançada. Determinar que a solicitação está associada com uma plataforma de mídia avançada ou uma plataforma de mídia pode ser com base na fonte da solicitação, uma designação de grupo, e/ou informação adicional incluída na solicitação. Por exemplo, a solicitação pode ser associada com uma plataforma de mídia avançada que faz parte de um grupo de segurança com privilégios de acesso e permissões de segurança com base no que é previamente autenticado. Nas modalidades, a solicitação da plataforma de mídia avançada 314 pode incluir credenciais de validação que comunicam-se com o servidor de entrega de conteúdo que a solicitação está associada com uma plataforma de mídia avançada.
[00067] Quando o servidor de entrega de conteúdo 330 determina que a solicitação não está associada com uma plataforma de mídia avançada, o servidor de entrega de conteúdo 330 procede com as tarefas de segurança (por exemplo, verificações e procedimentos) para autenticação de um dispositivo associado com a solicitação e fornecendo acesso ao conteúdo de mídia na autenticação. Quando o servidor de entrega de conteúdo determina qual a solicitação está associada com uma plataforma de mídia avançada, verificações de segurança regulares podem ser derivadas a fim de estabelecer uma confiabilidade bidirecional e funcionalidade personalizada implementada para a plataforma de mídia avançada 314. Por exemplo, o servidor de entrega de conteúdo 330 pode emitir uma solicitação e/ou emitir um desafio 380 para as credenciais de desafio associadas com a plataforma de mídia avançada 312. Nas modalidades, as credenciais de desafio se referem a um Blob de dados decretos que o componente externo de segurança 314 emite à plataforma de mídia avançada 312. A plataforma de mídia avançada 314 autentica 382 o desafio utilizando as credenciais de desafio de modo que uma confiabilidade bidirecional 386 seja estabelecida entre a plataforma de mídia avançada 312 e o servidor de entrega de conteúdo 320. A plataforma de mídia avançada 312 pode responder 384 ao desafio a fim de responder o desafio. A resposta ao desafio pode incluir a comunicação credenciais de desafio ao servidor de entrega de conteúdo. Em particular, a plataforma de mídia avançada 312 pode misturar as credenciais de desafio e comunica-las ao servidor de entrega de conteúdo 330. Contempla-se que o servidor de entrega de conteúdo 330 pode ser associado com componentes adicionais que sob autenticação da plataforma de mídia avançada 312, a plataforma de mídia avançada 311 pode começar a comunicação com os componentes adicionais com privilégios avançados e contornar as verificações de segurança adicionais.
[00068] Agora voltando à figura 4, um fluxograma é fornecido ilustrando um método 400 para proteção de comunicações com plataformas de mídia avançadas. Inicialmente no bloco 410, credenciais de autenticação são comunicadas a um componente interno de segurança em uma localização confiável. No bloco 420, uma primeira parte das credenciais de validação é recebida do componente interno de segurança. No bloco 430, a execução em uma localização remota avançada é autenticada com base, pelo menos, em uma primeira parte das credenciais de validação. No bloco 440, uma confiabilidade bidirecional é estabelecida com a localização remota avançada utilizando as credenciais de validação.
[00069] Agora voltando à figura 5, um fluxograma é fornecido ilustrando um método 500 para proteção de comunicações com plataformas de mídia avançadas. Inicialmente no bloco 510, credenciais de autenticação são de uma localização remota avançada. A localização remota avançada inclui um componente externo de segurança e uma plataforma de mídia avançada. No bloco 520, a plataforma de mídia avançada é autenticada. No bloco 530, as credenciais de validação são comunicadas ao componente externo de segurança. As credenciais de validação incluem, pelo menos, um certificado assinado por uma autoridade raiz e informação de identificação da plataforma de mídia avançada. As credenciais de validação estabelecem uma confiabilidade bidirecional entre a plataforma de mídia avançada e a localização remota avançada.
[00070] Agora voltando à figura 6, um fluxograma é fornecido ilustrando um método 600 para proteção de comunicações com plataformas de mídia avançadas. Inicialmente no bloco 610, um desafio é emitido a uma plataforma de mídia avançada. O desafio pode ser emitido com base na detecção da plataforma de mídia avançada tentando fazer uma conexão. No bloco 620, uma resposta do desafio é recebida, em que a resposta do desafio inclui credenciais de desafio tendo um Blob de estabelecimento de confiabilidade. No bloco 630, o estabelecimento de uma confiabilidade bidirecional com a plataforma de mídia avançada com base na verificação da resposta do desafio.
[00071] Agora voltando à figura 7, um fluxograma é fornecido ilustrando um método 700 para proteção de comunicações com plataformas de mídia avançadas. Inicialmente no bloco 710, uma solicitação é recebida. A solicitação pode ser para acessar o conteúdo de mídia. A solicitação pode ser também para estabelecer uma conexão com um servidor de entrega de conteúdo de modo que o conteúdo de mídia possa ser comunicado do servidor de entrega de conteúdo. No bloco 720, uma determinação se a solicitação é para uma plataforma de mídia avançada para acessar o conteúdo de mídia é determinada. Nas modalidades, a solicitação da plataforma de mídia avançada 314 pode incluir credenciais de validação que se comunicam com o servidor de entrega de conteúdo que a solicitação está associada com uma plataforma de mídia avançada. No bloco 730, quando determina-se que a solicitação não está associada com uma plataforma de mídia avançada, um ou mais procedimentos de segurança para autenticar um dispositivo associado com a solicitação são executados. No bloco 740, quando determina-se que a solicitação está associada com uma plataforma de mídia avançada, a plataforma de mídia avançada é excluída de um ou mais procedimentos de segurança que teriam, de outro modo, sido executados. Em vez disso, a plataforma de mídia avançada pode estabelecer uma confiabilidade bidirecional entre a plataforma de mídia avançada e o servidor de entrega de conteúdo, de acordo com as modalidades da presente invenção.
[00072] As modalidades da presente invenção foram descritas em relação às modalidades particulares que se destinam, em todos os aspectos, a ser mais ilustrativas do que restritivas. As modalidades alternativas tornar-se-ão evidentes aos técnicos no assunto a quem a presente invenção pertence sem sair de seu escopo.
[00073] A partir do que precede, será visto que esta invenção, em uma forma bem adaptada para atingir todas as extremidades e objetos aqui anteriormente mencionados, juntamente com outras vantagens que são óbvias e que são inerentes à estrutura.
[00074] Será entendido que certas características e subcombinações são de utilidade e podem ser empregadas sem referência a outras características ou subcombinações. Isto é contemplado e está dentro do escopo das reivindicações.

Claims (10)

1. Método para proteger comunicações com plataformas de mídia avançadas, o método caracterizado pelo fato de que compreende: comunicar, por meio de uma plataforma de mídia avançada, credenciais de autenticação para um componente interno de segurança em uma localização confiável, em que a plataforma de mídia avançada está implementada em um centro de dados remoto; receber, por meio da plataforma de mídia avançada, uma primeira parte de credenciais de validação do componente interno de segurança, em que as credenciais de validação compreendem a primeira parte e uma segunda parte das credenciais de validação; autenticar, por meio da plataforma de mídia avançada, em execução no centro de dados remoto com base, pelo menos, na primeira parte das credenciais de validação; e estabelecer, por meio da plataforma de mídia avançada, uma confiabilidade bidirecional com a localização do centro de dados remoto usando a segunda parte das credenciais de validação, em que a confiança bidirecional oferece suporte a comunicações seguras com o centro de dados remoto.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende antes de comunicar credenciais de autenticação: inicializar através de mensagens com o componente externo de segurança na localização remota avançada: estabelecer conectividade com o componente externo de segurança sem uma confiabilidade segura com o componente externo de segurança; e realizar uma atualização com base em informação recebida do componente externo de segurança.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de que as credenciais de autenticação são comunicadas utilizando criptografia através do componente externo de segurança, em que as credenciais de autenticação incluem pelo menos informação de autenticação segura com base em fabricação possuindo uma chave pública e um certificado que é criptografado com a chave pública.
4. Método, de acordo com a reivindicação 3, caracterizado pelo fato de que as credenciais de validação são recebidas através do componente externo de segurança, em que as credenciais de validação são comunicadas com base em um componente interno de segurança: descriptografar as credenciais de autenticação com uma chave privada; assinar o certificado nas credenciais de autenticação; e gerar a primeira parte das credenciais de validação que incluem um certificado assinado por uma autoridade raiz.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a primeira parte das credenciais de validação inclui um certificado assinado por uma autoridade raiz.
6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que estabelecer a confiança bidirecional com o centro de dados remoto é baseado em: comunicar um pedido ao componente de segurança externo para pelo menos uma segunda parte das credenciais de validação; receber a segunda parte das credenciais de validação, em que a segunda parte das credenciais de validação inclui pelo menos um certificado assinado com uma autoridade raiz tendo informações de identificação; e combinar as informações de identificação com as informações de autenticação segura com base no fabricante nas credenciais de autenticação.
7. Sistema para proteger comunicações com plataformas de mídia avançadas, o sistema caracterizado pelo fato de que compreende: uma plataforma de mídia configurada para: comunicar credenciais de autenticação; receber pelo menos uma primeira parte das credenciais de validação, em que as credenciais de validação compreendem a primeira parte e uma segunda parte das credenciais de validação; autenticar em execução em um centro de dados remoto com base, pelo menos, na primeira parte das credenciais de validação; comunicar uma solicitação para uma segunda parte das credenciais de validação; e receber a segunda parte das credenciais de validação; e estabelecer uma confiabilidade bidirecional para comunicações seguras com o centro de dados remoto com base no recebimento da segunda parte das credenciais de validação; um componente externo de segurança configurado para: comunicar as credenciais de autenticação em uma localização confiável; receber as credenciais de validação da localização confiável; comunicar pelo menos a primeira parte das credenciais de validação para a plataforma de mídia avançada; receber a solicitação para a segunda parte das credenciais de validação; e comunicar a segunda parte das credenciais de validação; e um componente interno de segurança para: receber as credenciais de autenticação; autenticar a plataforma de mídia avançada; e comunicar as credenciais de validação para o componente externo de segurança.
8. Sistema, de acordo com a reivindicação 7, caracterizado pelo fato de que o componente interno de segurança ainda compreende: um proxy de cifragem configurado para: descriptografar as credenciais de autenticação com uma chave privada; e assinar o certificado nas credenciais de autenticação; e um dispositivo de cifragem configurado para: gerar credenciais de validação, em que as credenciais de validação incluem pelo menos um certificado assinado por uma autoridade raiz e informação de identificação da plataforma de mídia avançada; e comunicar as credenciais de validação para o proxy de cifragem.
9. Sistema, de acordo com a reivindicação 8, caracterizado pelo fato de que a segunda parte das credenciais de validação inclui pelo menos o certificado assinado pela autoridade raiz e informação de identificação da plataforma de mídia avançada de modo que combinar a informação de identificação com informação de autenticação segura com base em fabricação nas credenciais de autenticação estabeleça a confiabilidade bidirecional entre a plataforma de mídia avançada e o centro de dados remoto.
10. Sistema, de acordo com a reivindicação 9, caracterizado pelo fato de que a plataforma de mídia avançada é ainda configurada para: solicitar credenciais de desafio possuindo um blob de estabelecimento de confiabilidade, em que as credenciais de desafio facilitam estabelecimento de confiabilidade com um ou mais componentes do serviço de distribuição de conteúdo de mídia; e comunicar com o um ou mais componentes do serviço de distribuição de conteúdo de mídia utilizando funcionalidade personalizada, em que funcionalidade personalizada inclui execução com privilégios avançados.
BR112016028024-5A 2014-06-19 2015-06-17 Método e sistema para proteger comunicações com plataformas de mídias avançadas BR112016028024B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/309,417 2014-06-19
US14/309,417 US9413738B2 (en) 2014-06-19 2014-06-19 Securing communications with enhanced media platforms
PCT/US2015/036158 WO2015195751A1 (en) 2014-06-19 2015-06-17 Securing communications with enhanced media platforms

Publications (3)

Publication Number Publication Date
BR112016028024A2 BR112016028024A2 (pt) 2021-09-08
BR112016028024A8 BR112016028024A8 (pt) 2022-09-20
BR112016028024B1 true BR112016028024B1 (pt) 2022-12-20

Family

ID=53499097

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112016028024-5A BR112016028024B1 (pt) 2014-06-19 2015-06-17 Método e sistema para proteger comunicações com plataformas de mídias avançadas

Country Status (7)

Country Link
US (2) US9413738B2 (pt)
EP (1) EP3158491B1 (pt)
JP (1) JP2017525236A (pt)
CN (1) CN106464739B (pt)
BR (1) BR112016028024B1 (pt)
RU (1) RU2685975C2 (pt)
WO (1) WO2015195751A1 (pt)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2535165B (en) * 2015-02-09 2021-09-29 Arm Ip Ltd A method of establishing trust between a device and an apparatus
US10576379B1 (en) * 2016-02-19 2020-03-03 Electronic Arts Inc. Systems and methods for adjusting online game content and access for multiple platforms
CN107241341B (zh) * 2017-06-29 2020-07-07 北京五八信息技术有限公司 访问控制方法及装置
US11075897B2 (en) * 2017-10-20 2021-07-27 Vertiv It Systems, Inc. System and method for communicating with a service processor
US10944755B2 (en) * 2018-01-31 2021-03-09 Wells Fargo Bank, N.A. Apparatus and methods for securely delivering digital content
CN108768979B (zh) * 2018-05-17 2021-04-16 网宿科技股份有限公司 企业内网访问的方法、用于企业内网访问的装置及其系统
US11177953B2 (en) * 2019-09-05 2021-11-16 Infineon Technologies Ag Trusted authentication of automotive microcontroller

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07325785A (ja) * 1994-06-02 1995-12-12 Fujitsu Ltd ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ
TW545023B (en) * 1999-12-10 2003-08-01 Koninkl Philips Electronics Nv Synchronization of session keys
US7218739B2 (en) 2001-03-09 2007-05-15 Microsoft Corporation Multiple user authentication for online console-based gaming
KR100859922B1 (ko) * 2001-07-05 2008-09-23 마츠시타 덴끼 산교 가부시키가이샤 기록장치, 기록매체, 기록방법
US7203835B2 (en) 2001-11-13 2007-04-10 Microsoft Corporation Architecture for manufacturing authenticatable gaming systems
US7370194B2 (en) * 2002-06-10 2008-05-06 Microsoft Corporation Security gateway for online console-based gaming
AU2003259520A1 (en) * 2002-09-23 2004-04-08 Koninklijke Philips Electronics N.V. Certificate based authorized domains
US8689000B2 (en) * 2003-05-21 2014-04-01 Hewlett-Packard Development Company, L.P. Use of certified secrets in communication
US8266676B2 (en) * 2004-11-29 2012-09-11 Harris Corporation Method to verify the integrity of components on a trusted platform using integrity database services
CN100512109C (zh) * 2005-09-30 2009-07-08 广东省电信有限公司研究院 验证接入主机安全性的访问认证系统和方法
US8046579B2 (en) 2005-10-04 2011-10-25 Neopost Technologies Secure gateway with redundent servers
JP2007110377A (ja) * 2005-10-13 2007-04-26 Hitachi Ltd ネットワークシステム
US7913084B2 (en) * 2006-05-26 2011-03-22 Microsoft Corporation Policy driven, credential delegation for single sign on and secure access to network resources
US20090007104A1 (en) * 2007-06-29 2009-01-01 Zimmer Vincent J Partitioned scheme for trusted platform module support
US8359392B2 (en) * 2007-07-09 2013-01-22 Gregor Zebic System and method for securely communicating on-demand content from closed network to dedicated devices, and for compiling content usage data in closed network securely communicating content to dedicated devices
EP2245829B1 (en) * 2008-01-18 2016-01-06 InterDigital Patent Holdings, Inc. Method for enabling machine to machine communication
US8650399B2 (en) * 2008-02-29 2014-02-11 Spansion Llc Memory device and chip set processor pairing
JP5383830B2 (ja) * 2009-01-28 2014-01-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ユーザのプライバシー保護のための方法
US20100212016A1 (en) * 2009-02-18 2010-08-19 Microsoft Corporation Content protection interoperrability
JP5502198B2 (ja) * 2009-07-10 2014-05-28 サーティコム コーポレーション デバイスのシリアライゼーションを実行するためのシステムおよび方法
JP5614016B2 (ja) * 2009-09-09 2014-10-29 ソニー株式会社 通信システム、通信装置及び通信方法、コンピューター・プログラム、並びに、コンテンツ提供装置及びコンテンツ提供方法
EP2866413B1 (en) * 2009-10-15 2016-05-11 Interdigital Patent Holdings, Inc. Registration and credential roll-out for accessing a subscription-based service
US8789196B2 (en) * 2010-05-28 2014-07-22 Adobe Systems Incorporated System and method for providing content protection of linearly consumed content with a bidirectional protocol for license acquisition
GB201018836D0 (en) * 2010-11-08 2010-12-22 Hewlett Packard Development Co Data manager
US8627064B2 (en) * 2011-03-24 2014-01-07 Alcatel Lucent Flexible system and method to manage digital certificates in a wireless network
US10068084B2 (en) * 2011-06-27 2018-09-04 General Electric Company Method and system of location-aware certificate based authentication
US20130086385A1 (en) * 2011-09-30 2013-04-04 Yuri Poeluev System and Method for Providing Hardware-Based Security
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法

Also Published As

Publication number Publication date
US9813403B2 (en) 2017-11-07
RU2016149497A (ru) 2018-06-20
WO2015195751A9 (en) 2016-03-31
CN106464739B (zh) 2019-09-17
EP3158491A1 (en) 2017-04-26
CN106464739A (zh) 2017-02-22
US9413738B2 (en) 2016-08-09
BR112016028024A8 (pt) 2022-09-20
JP2017525236A (ja) 2017-08-31
RU2685975C2 (ru) 2019-04-23
BR112016028024A2 (pt) 2021-09-08
US20160330188A1 (en) 2016-11-10
RU2016149497A3 (pt) 2019-02-15
EP3158491B1 (en) 2020-02-12
US20150372998A1 (en) 2015-12-24
WO2015195751A1 (en) 2015-12-23

Similar Documents

Publication Publication Date Title
JP7457173B2 (ja) モノのインターネット(iot)デバイスの管理
ES2837523T3 (es) Aprovisionamiento seguro de sistemas operativos
JP6262278B2 (ja) アクセス制御クライアントの記憶及び演算に関する方法及び装置
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
BR112016028024B1 (pt) Método e sistema para proteger comunicações com plataformas de mídias avançadas
JP6222592B2 (ja) モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証
US10404476B1 (en) Systems and methods for providing authentication to a plurality of devices
JP6335280B2 (ja) 企業システムにおけるユーザおよびデバイスの認証
KR100831437B1 (ko) 네트워크 도메인 내의 네트워크 엔드포인트의 임베디드에이전트와 암호화 키를 공유하기 위한 방법, 장치들 및컴퓨터 프로그램 제품
TWI455559B (zh) 虛擬用戶識別模組
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
JP5745690B2 (ja) マルチテナントサービスプロバイダによるダイナミックプラットフォームの再構成
JP2015171153A (ja) ルート証明書の無効化
JP2011507091A (ja) モバイル・コンピューティング装置上のソフトウェア・アプリケーションを管理するための方法およびシステム
US10361845B2 (en) Systems and methods securing an autonomous device
KR20140050322A (ko) 사용자 디바이스의 고유 식별자 제공 방법 및 장치
JP2020088726A (ja) 鍵生成装置、鍵更新方法および鍵更新プログラム
EP3674938A2 (en) Identifying computing processes on automation servers
KR20230110287A (ko) 하드웨어 보안 모듈들의 원격 관리
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
WO2023116239A1 (zh) 权限确定方法、装置、计算机设备和计算机可读存储介质
KR20200090490A (ko) 디지털 키 공유 시스템에서 이모빌라이저 토큰을 업데이트하는 장치 및 방법
EP4221295A1 (en) Injection of cryptographic material during application delivery
JP2018011190A (ja) 機器リスト作成システムおよび機器リスト作成方法
JP2022191825A (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: G06F 21/33 , H04L 29/06 , A63F 13/73 , H04L 29/08

Ipc: A63F 13/30 (2006.01), A63F 13/352 (2006.01), A63F

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 17/06/2015, OBSERVADAS AS CONDICOES LEGAIS