CN101218587A - 用于数字内容保护的方法、系统与设备 - Google Patents
用于数字内容保护的方法、系统与设备 Download PDFInfo
- Publication number
- CN101218587A CN101218587A CNA2006800245820A CN200680024582A CN101218587A CN 101218587 A CN101218587 A CN 101218587A CN A2006800245820 A CNA2006800245820 A CN A2006800245820A CN 200680024582 A CN200680024582 A CN 200680024582A CN 101218587 A CN101218587 A CN 101218587A
- Authority
- CN
- China
- Prior art keywords
- digital content
- access device
- intermediate equipment
- inf
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000001681 protective effect Effects 0.000 claims description 152
- 238000012545 processing Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 5
- RJMZIUFNDNYWDU-UHFFFAOYSA-N 3-chloro-2-hydroxy-5-phenylbenzoic acid Chemical compound ClC1=C(O)C(C(=O)O)=CC(C=2C=CC=CC=2)=C1 RJMZIUFNDNYWDU-UHFFFAOYSA-N 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 244000132059 Carica parviflora Species 0.000 description 1
- 235000014653 Carica parviflora Nutrition 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1073—Conversion
Abstract
本发明涉及数字内容保护系统(以及相应的方法和设备),该系统包括包含着数字内容项目(106)的第一数字内容保护系统(101),在第一数字内容保护系统(101)外的内容访问设备(105),和至少一个用于提供所述内容访问设备(105)对所述第一数字内容保护系统(101)的所述数字内容项目(106)的访问的中间设备(100),而且其中中间设备(100)配置为使用中间设备(100)已知的秘密(K)生成安全访问信息(Encr(K;Inf_ID)),以使中间设备(100)能够恢复访问信息(Inf ID),而且其中中间设备(100)还配置为利用所述访问信息(InfID)以使所述内容访问设备(105)能够访问在所述第一数字内容保护系统(101)内的所述数字内容项目(106)。
Description
本发明涉及一种提供对数字内容保护系统中的数字内容项目的访问的方法。本发明还涉及一种用于数字内容保护的系统。而且,本发明涉及一种其中存储着使一个或多个处理单元执行根据本发明的方法的指令的计算机可读介质。另外,本发明涉及用于提供内容访问设备到数字内容项目的访问的中间设备和用于提供到数字内容保护系统中数字内容项目的访问的内容访问设备。
内容分发技术(例如因特网、移动连接、可移动媒体等)的近期发展,使得内容的交换比以往任何时候都更加方便。消费者对这些技术的迅速接受,表明这些技术真正瞄准了消费者的需求。内容供应者想要对进入数字流通的内容/内容项目的版权进行保护。因此近年来,内容保护系统的数量急速增长。一类内容保护系统通常被称作拷贝保护(CP)系统。CP系统一般主要关注消费电子(CE)设备,因为这种内容保护被视为可以廉价实施的,而且不需要与内容供应者的双向交互。例子有内容加扰系统(CSS)、DVD ROM盘片保护系统和DTCP(IEEE 1394连接的保护系统)。另一类有几个名字而为人所知。在广播界,这类系统通常被称为条件访问(CA)系统,而在因特网界通常被称为数字权利管理(DRM)系统或平台。后文称此类系统和方法为数字内容保护系统。
(基于域的)数字内容保护系统通常具有一个非常典型的特征。即,对给定内容项目的权利通常依被访问内容所在的特定设备和/或设备的状态而不同。例如:其可能取决于设备的类型、设备位于何处(即域内还是域外)、设备连接何物、哪些用户已经向设备验证了自己、等等。通常,内容在域内设备上被访问的情况比内容在域外的设备上被访问的情况(这一般需要内容项目的拷贝)授予更多的权利。作为例子,域内设备可被授予的权利一般有拷贝、分发给其它(域内)设备、为几个用户访问和/或诸如此类。作为例子,域外设备可被授予的权利一般有例如(受限的)访问/再现/仅仅浏览(即无拷贝)、仅为特定用户访问、不能分发给其它设备和/或诸如此类。
数字内容保护系统可以为确定的用户、使用和/或用户设备的类型而设计或者定向。一个例子如面向移动通信或移动连接的数字内容保护系统。另一个例子如面向数字家庭娱乐系统的数字内容保护系统。还有一个例子如允许通过多种不同的传送系统进行分发以使得内容对一定数量的设备可用的数字内容保护系统。
用户可能访问到几个不同的数字内容保护系统,例如,一个负责为移动平台提供内容的数字内容保护系统和一个负责以安全方式提供家庭娱乐的数字内容保护系统,或者只不过是来自不同内容供应者的两个或更多数字内容保护系统。
当一个数字内容保护系统中的设备需要访问另一个数字内容保护系统中的内容时,设备一般将负责处理不同数字内容保护系统之间的通信,或者更广泛地,负责处理试图访问给定内容保护系统中的内容的设备之间的通信。这样的设备通常称为转换器、网关、转换设备、变换设备、翻译设备、变异设备、解释设备、交互设备、或中间设备,诸如此类。后文称之为中间设备。
当用户想要从第二类数字内容保护系统(中的设备)访问第一类数字内容保护系统中的内容时,通常特定的内容不得不安全地导入到第二类数字内容保护系统中(例如通过协同数字内容保护系统或者直接地),或者至少在实现正确访问之前置于第二类数字内容保护系统的控制之下。这一过程可能涉及权利的转换或变换、内容实际传输期间安全性的处理、等等,并且由于权利、安全措施和水平、设备和用户验证、等等在两个数字内容保护系统中可能以非常不同的方式实现而相当复杂。例如,一类数字内容保护系统可能仅仅涉及没有状态的的权利(即要么授予对给定内容项目的访问权要么不授予),而另一类数字内容保护系统可能涉及具有状态的权利或者可计数的权利(即用户仅仅被授予对给定内容项目一定次数或者给定时间段的访问权,更多的使用/访问次数或时间必须购买)或者权利可能仅仅是以不同的方式实现。
优选地,负责处理数字内容保护系统之间的访问的设备是无状态的,即它没有存储与内容保护系统相关的信息。达此目标的高效且安全的方式并不是简单易懂的。如果设备并非无状态的,那么当使用新的中间设备时也需要在相互间通信,这在中间设备来自不同厂家时会变得更加复杂。此外,在不同的中间设备上存储此类信息也需要一些管理。这样的中间设备例如可以是到其中内容可用且处于一类数字内容保护系统控制之下的网络的网关、热点、访问点等等。
本发明的一个目的是向第一数字内容保护系统外的内容访问设备提供对第一数字内容保护系统中内容的透明访问,同时该内容保持处于第一数字内容保护系统的控制之下。
这一目的利用一种数字内容保护系统(以及相应的设备和方法)达到,该系统包括:包括数字内容项目的第一数字内容保护系统、并非第一数字内容保护系统的一部分的内容访问设备、以及至少一个用于提供所述内容访问设备到所述第一数字内容保护系统的所述数字内容项目的访问的中间设备,而且其中中间设备配置为使用中间设备已知的秘密生成在该内容访问设备上存储的安全访问信息,这使中间设备能够从存储在所述内容访问设备上的所述安全访问信息中恢复访问信息,而且其中中间设备还配置为利用所述访问信息以使所述内容访问设备能够访问在所述第一数字内容保护系统内的所述数字内容项目。
通过这种方式,无状态的中间设备和安全性(没有在内容访问设备上对访问信息进行安全存储的必要)以一种非常简单且高效的方式获得。
通过将访问信息存储在第一数字内容保护系统外的内容访问设备上,确保了中间设备是无状态并且不包括安全性。保持中间设备无状态提供了简单性并且避免了状态的不一致性。此外,不同的中间设备不需要进行状态对准,否则这在其它情况下是必需的。
这样的无状态中间设备的进一步的优点是,用户不必连接同一个中间设备,因为相关信息可以在别处得到。还有,通过保持中间设备无状态,内容访问设备可以使用多个不同的中间设备而无需这些不同的中间设备进行通信。一般地,并且特别是当所涉及的数字内容保护系统包括移动消费电子(CE)设备时,用户在正常使用中将与不同的此类中间设备进行连接。更进一步,通过保持此类中间设备无状态,信息的复制得以避免,因为每个中间设备都不必本地存储使一个数字内容保护系统中的设备能够作为另一个数字内容保护系统中的设备所需的信息。
更进一步,当第二数字内容保护系统中的内容访问设备访问第一数字内容保护系统中的内容时,实际内容并不“拷贝”到第二数字内容保护系统,从而减小了存储需求,并且在某些使用中也节省了带宽。
在一个实施例中,安全访问信息通过对其加密而生成。
在一个实施例中,内容访问设备位于第二数字内容保护系统中。
在一个可替换实施例中,内容访问设备位于协同数字内容保护系统中,即,解决至少两个数字内容保护系统之间的协同性问题的系统。
在一个实施例中,在所述第一数字内容保护系统内的设备所使用的共享密钥被用于对访问信息进行加密,从而允许另外的中间设备恢复访问信息,因为它们也能得到共享密钥。可替换地,在内容访问设备处于第二数字内容保护系统中的情况下,可以使用来自第二数字内容保护系统的共享密钥。中间设备能高效地访问第一第二两个数字内容保护系统,并能被授予对来自任一域的共享密钥的访问权。通过这种方式,获得对业已存在的密钥的再利用使得生成密钥的需要得到了避免。更进一步,允许不同的中间设备都能够恢复访问信息,因为加密密钥是共享的。
在一个实施例中,访问信息由给定中间设备通过如下操作以一种安全方式存储在内容访问设备上:使用对内容访问设备唯一的加密密钥对访问信息加密,导致产生加密的访问信息;并且在内容访问设备上加密和存储利用中间设备的公共和私有密钥对的公共密钥或中间设备的对称密钥加密后的加密密钥,以使该中间设备能够解密该加密密钥,从而能够得到所述已存储访问信息。
而且,对于各种不同的内容访问设备,不需要共享秘密,因此,无需在众多的内容访问设备生产者之间为一个实现或设计达成协议。
因为用于加密访问信息的密钥对内容访问设备是唯一的,这就确保了每一个中间设备在每次连接内容访问设备时仅需联系ID服务一次,因为在此之后其可以从内容访问设备中重新得到(retrieve)访问信息(同时仍然保持安全性)。
在一个实施例中,访问信息通过如下操作以一种安全方式存储在内容访问设备上:使用中间设备的公共和私有密钥对的公共密钥或中间设备的对称密钥对访问信息进行加密,使得只有将所述访问信息存储在内容访问设备上的给定中间设备能够取得所述访问信息。此前的实施例的上述优点也可应用于本实施例。
而且,本发明还涉及为内容访问设备提供对第一数字内容保护系统中的数字内容项目进行访问的方法,其中内容访问设备并非第一数字内容保护系统的一部分,该方法包括以下步骤:通过中间设备为所述内容访问设备提供对所述数字内容项目的访问,其中中间设备已经利用对该中间设备已知的秘密,生成了安全访问信息用于存储在所述内容访问设备上,这使中间设备能够从存储于所述内容访问设备上的所述安全访问信息中恢复访问信息,通过中间设备得到所述访问信息,并使用所述访问信息使所述内容访问设备能够访问在所述第一数字内容保护系统内的所述数字内容项目。
根据本发明的方法的有利实施例在从属权利要求中加以定义,并在后文中详细描述。方法的实施例与系统的实施例相对应,并且由于同样的原因而具有同样的优点。
本发明还涉及中间设备与内容访问设备,这将在权利要求以及后文中给出。
而且,本发明还涉及其上存储着用于使一个或多个处理单元执行根据本发明的方法的指令的计算机可读介质。
本发明的这些以及其它方面可以清楚明白的从附图中所示的示例性实施例中看出,并参考其进行说明,其中:
图1示意性地图示了根据现有技术由第二数字内容保护系统中的内容访问设备对第一数字内容保护系统中的数字内容项目的访问;
图2示意性地图示了根据本发明的一个实施例由第二数字内容保护系统中或者至少在第一数字内容保护系统外的内容访问设备对第一数字内容保护系统中的数字内容项目的访问;
图3示意性地图示了第二数字内容保护系统中或者至少在第一数字内容保护系统外的设备、ID服务、和中间设备所存储的数据;
图4示意性地图示了三个数字内容保护系统,其中一个是协同数字内容保护系统;和
图5图示了内容访问设备或向该内容访问设备提供到另一数字内容保护系统中的数字内容项目的访问的中间设备的示意框图。
图1示意性地图示了根据现有技术由第二数字内容保护系统中的内容访问设备对第一数字内容保护系统中的数字内容项目的访问。所显示的有第一类数字内容保护系统(101),其包括至少一个数字内容项目(106)和位于域内,即处于第一数字内容保护系统(101)控制之下,的0个或多个内容访问设备(105’)。所显示的还有第二类数字内容保护系统(102),其包括至少一个内容访问设备(105)和0个或多个内容项目(106’)。一般地,属于给定数字内容保护系统的设备可以访问属于同一个内容保护系统的内容项目。新内容将根据内容保护系统的特定实现而引入给定数字内容保护系统的域中,但是是以安全的方式。给定数字内容保护系统也可以调整对于特定的数字内容保护系统的域外的用户和/或设备哪一个访问是被授权的和怎样授权的。
当一个数字内容保护系统,例如第二数字内容保护系统(102),中的设备想要访问另一个数字内容保护系统,例如第一数字内容保护系统(101),中的内容项目时,通常该特定的内容必须被安全地导入到第二数字内容保护系统中去,或者至少在实现安全访问之前引入第二类数字内容保护系统的控制之下。如前所述,因为两个系统在权利、安全措施和安全性水平、设备和用户验证等等方面可能以非常不同的方式实现,因此这一过程是相当复杂的。此类现有技术系统的例子有例如CPSA(http://sharedserv.no-ip.org/drm/sepy/CPSA.html)和Coral(http://www.coral-interop.org),CPSA提供了不需要使用中间设备而进行变换的方式。
图2示意性地图示了根据本发明的一个实施例由第二数字内容保护系统中或者至少在第一系统外的内容访问设备对第一数字内容保护系统中的数字内容项目的访问。所显示的有第一数字内容保护系统(101),其包括至少一个数字内容项目(106)和处于第一数字内容保护系统(101)控制之下的0个或多个内容访问设备(105’),和第二数字内容保护系统(102),其包括至少一个内容访问设备(105)和0个或多个内容项目(106’)。所显示的还有至少一个中间设备(100),用于提供第二数字内容保护系统(102)中内容访问设备(105)到第一数字内容保护系统(101)中至少一个数字内容项目(106)的访问。所显示的还有ID服务(104),用于提供使内容访问设备(105)能够访问位于第一数字内容保护系统(101)中的数字内容项目(106)的个别访问信息(Inf_iD;没有显示;参见图3)。个别访问信息(Inf_ID)可以包括例如设备ID号、证书、访问第一数字内容保护系统的内容所需的加密密钥、权利发行者环境、域环境、已购买权利和/或类似的与第一数字内容保护系统兼容的信息中的一个或者多个。第一数字内容保护系统(101)中的信息以及来自和去往ID服务(104)的信息应当用安全的方式处理,以使安全性不因该信息的传送而破坏。
在第二数字内容保护系统(102)的给定内容访问设备(105)与给定中间设备(100)之间的第一次连接中,即当给定访问设备第一次试图访问在第一数字内容保护系统内的给定内容项目(106)时,将从ID服务(104)得到使内容访问设备(105)能够访问在第一数字内容保护系统(101)内的数字内容项目(106)的访问信息(Inf_ID)。因此,在一个实施例中,所得到的访问信息然后被利用一个密钥(K,没有显示,参见图3)加密,优选地该密钥也从ID服务(104)(或其它服务)得到。当访问设备连接并例如使用其自身ID(在第二数字内容保护系统中)注册时,密钥(K)可由ID服务(104)生成,从而有效地将所生成密钥(K)绑定到特定内容访问设备以及特定访问信息(Inf_ID)。密钥(K)对访问设备(105)是唯一的(但正如在后面将说明的,在不同的中间设备之间共享或者可得到)。在优选实施例中,密钥(K)通过对特定访问信息(Inf_ID)应用单向函数而得到。为了保持无状态,该信息(K和Inf_ID)不在给定中间设备(100)上存储。可替换地,该信息或者至少其一部分可存储在给定中间设备上,因此该密钥可用于加密设备上的公共信息,从而不止一个中间设备可以使用该密钥。
于是,为了保护安全性,密钥(K)以这样一种方式加密,在该方式中只有将其存储到内容访问设备上去的那个中间设备(100)能够解密并再次得到密钥。这可以通过用中间设备(100)的公共/私有密钥对(Kpub,Kprv)的公共密钥(Kpub)或者秘密对称密钥(Ksym)或其它对中间设备来说秘密的密钥对其进行加密或者其它安全的方式来实现。
当第二数字内容保护系统的同一个内容访问设备(105)与另一个中间设备(100)进行连接时,同一个密钥(K)从ID服务(104)中重新得到(因为密钥(K)有效地被绑定到特定内容访问设备)并且使用该特定中间设备的密钥加密和存储。通过这种方式,内容访问设备(105)仅需存储访问信息(Inf_ID)一次(用内容访问设备(105)的密钥(K)加密),但是要为它所连接到的每一个中间设备(100)都存储该密钥(K)一次,该密钥(K)使用特定中间设备的密钥加密。这节省了存储,特别是当在通常情况下访问信息(Inf_ID)比加密后密钥(K)大时,同时以简单的方式保持了内容访问设备(105)的安全性。
结果,内容访问设备(105)已经注册的每个中间设备(100)都能使用其自身的私有或秘密密钥(Kprv,Ksym)访问密钥(K),并随后使用解密后的密钥(K)获得访问信息(Inf_ID),籍此,内容访问设备(105)可以充当该域内的设备(对第一数字内容保护系统是透明的)并且访问该域内的内容项目。
通过这种方式,无状态的中间设备(100)和访问信息(Inf_ID)的安全性(没有在内容访问设备(105)上安全存储的必要)用一种非常简单和高效的方式获得。另外,每个中间设备(100)在每次连接内容访问设备(105)时仅需联系ID服务(104)一次。此外,对于各种不同的内容访问设备不需要共享密钥,因而无需在众多的内容访问设备生产者之间为一个实现或设计达成协议。
在可替换实施例中,不生成或使用密钥(K)。在该实施例中,访问信息(Inf_ID)信息仅用与存储着访问信息的中间设备(100)相关的密钥进行简单地加密(例如,使用公共密钥(Kpub)或秘密对称密钥(Ksym)或类似密钥)。这仍使中间设备(100)保持无状态,而且也提供必需的安全性,但访问信息(Inf_ID)信息需要为每一个中间设备(100)都存储一次。
在另一个可替换实施例中,另一个已经存在的密钥可以被(再)使用(例如,在第二内容保护系统中用于内容(105’)的内容保护的密钥)。
ID服务(104)、中间设备(100)和第二数字内容保护系统(102)的内容访问设备(105)相结合可以起第一数字内容保护系统(101)的内容访问设备(105’)的作用。而且,ID服务(104)、中间设备(100)和第一数字内容保护系统(101)的内容访问设备(105’)相结合可以起第二数字内容保护系统(102)中的内容访问设备(105)的作用。
在一个实施例中,来自第一数字内容保护系统(102)的共享密钥被用作共享秘密加密密钥K。可替换地,来自第二数字内容保护系统(101)的共享密钥被用作共享秘密加密密钥K,倘若安全性被正确处理的话。
内容访问设备(105)的例子如音频和/或视频重放设备、再现设备、电视机、数字视频系统、音乐机、移动电话、PDA、膝上型电脑、PC、CE设备、车内娱乐系统等等能够通过适当的网络与数字内容保护系统进行有线和/或无线通信的设备。
还存在数字内容保护系统,其主要功能是方便几个数字内容保护系统之间的通信、传输、访问等操作。这样的数字内容保护系统一般称作协同数字内容保护系统。协同数字内容保护系统在与CE设备关联时特别有优势,因为CE设备由于存储、处理能力等方面能力非常有限,通常不能并入大量不同的数字内容保护系统。此类协同系统将与图4结合进行更详细的说明。
作为例子,第一数字内容保护系统可以是例如OMA(开放行动联盟)DRM V2.0系统,其在http://www.openmobilealliance.org/release_program/docs/DRM/V2_0-20050614-C/OMA-DRM-ARCH-V2_0_6-20040820-C.pdf中有所描述,在此引用作为参考。
还应当理解,可能有些系统具有多个ID服务和/或多个中间设备。
请注意,尽管本发明使用作为第二内容保护系统一部分的内容访问设备进行说明,但这不是必要的。而且,本发明也适用于简单地位于第一内容保护系统外的设备并具有同样的优点。
图3示意性地图示了根据本发明的一个实施例在第一数字内容保护系统外(例如,在第二数字内容保护系统中)的设备、ID服务、和中间设备所存储的数据。
所显示的有包含一个或多个密钥(K)和一个或多个内容访问信息(Inf_ID)(每个已在第二个数字内容保护系统中注册的内容访问设备每个一个)的ID服务(104),例如以秘密对称密钥(Ksym)或公共/私有密钥对(Kpub/Kprv)或其它仅其自身知道的密钥类型的形式存储着加密密钥的中间设备(100),和在存储着用与其绑定的密钥(K)加密了的访问信息(Inf_ID)和一个用于内容访问设备(105)已注册的每一个中间设备(100)的加密密钥(Ksym;Kpub)的第一数字内容保护系统外的内容访问设备(105),其中密钥(K)用各自的中间设备(100)加密密钥加密,如图2所说明的。
可替换地,在内容访问设备(105)处,访问信息(Inf_ID)仅仅用对中间设备特定的加密密钥进行加密,并为每个它已注册的中间设备进行存储。
图4示意性地图示了三个数字内容保护系统,其中一个是协同数字内容保护系统。所显示的有依照本发明的至少一个第一数字内容保护系统(101)和第二数字内容保护系统(102)。在本特定实施例中,第二数字内容保护系统(102)是协同数字内容保护系统,其功能如前所述,但其中内容访问设备还能为至少一个另外的内容保护系统或数字内容保护系统(103)提供对第一数字内容保护系统(101)的数字内容项目的访问。例如,第一数字内容保护系统例如可以是与提供内容给移动CE设备有关的数字内容保护平台,而另外的数字内容保护系统(103)例如可以是Microsoft WindowsDRM系统。通过这种方式,协同数字内容保护(102)提供对另外的数字内容保护系统(103)的无缝访问,而不会危及安全性,也无须传送内容给另外的数字内容保护系统(103)或将内容置于另外的数字内容保护系统(103)控制之下。当另外的数字内容保护系统(103)需要访问第一数字内容保护系统(101)的内容项目时,请求将发送给协同数字内容保护系统(102)的内容访问设备,其将以上面结合图2和图3说明的相同的方式提供到内容项目的访问。具有这样的协同数字内容保护系统(102)提供了具有已经提到的优点的内容访问,并且避免了对另外的数字内容保护系统(103)的不同的供应者的兼容性要求。
图5图示了可配置作为内容访问设备(105)或者中间设备(100)以提供内容访问设备到另一个数字内容保护系统中的数字内容项目的访问的设备(500)的示意性框图。所显示的有包括一个或多个专用和/或通用的、用来实现结合本发明所描述的功能的微处理器(501)的设备(500),其中,根据本发明,一个或多个处理器经由总线或者类似的数据通信结构(504)分别与存储器和存储装置(502)和发送器/接收器(503)连接,用于信息、数据等的存储与通信。
在权利要求中,位于圆括号间的任何参考符号都不构成对权利要求的限制。“包括”一词不排除权利要求中所列之外的元件或步骤的存在。元件前的“一”或“一种”一词不排除存在多个该元件。
本发明可由包括不同的元件的硬件实现,也可由适当编程的计算机实现。在列举几个装置的设备权利要求中,几个装置可以用一个同样的硬件来实现。仅仅某些措施在相互不同的从属权利要求中阐述的事实并不意味着这些措施的结合不能有利地使用。
Claims (21)
1.一种用于数字内容保护的系统,该系统包括:
包括有数字内容项目(106)的第一数字内容保护系统(101),并非第一数字内容保护系统(101)的一部分的内容访问设备(105),和
至少一个中间设备(100),用于提供所述内容访问设备(105)对所述第一数字内容保护系统(101)的所述数字内容项目(106)的访问,而且
其中该中间设备(100)配置为使用对该中间设备(100)已知的秘密(K)生成存储在所述内容访问设备(105)上的安全访问信息,这使中间设备(100)能够从存储在所述内容访问设备(105)上的所述安全访问信息中恢复访问信息(Inf_ID),而且其中该中间设备(100)还配置为利用所述访问信息(Inf_ID)以使所述内容访问设备(105)能够访问在所述第一数字内容保护系统(101)内的所述数字内容项目(106)。
2.根据权利要求1的系统,其中,所述安全访问信息(Encr(K;Inf_ID))通过对其加密而生成。
3.根据权利要求1的系统,其中,所述内容访问设备(105)位于第二数字内容保护系统(102)中。
4.根据权利要求1的系统,其中,所述内容访问设备(105)位于协同数字内容保护系统(102)中。
5.根据权利要求2或3的任何一个的系统,其中,一个共享密钥被用于加密访问信息(Inf_ID),从而允许另外的中间设备(100)恢复访问信息(Inf_ID)。
6.根据权利要求1的系统,其中,所述访问信息(Inf_ID)由给定中间设备(100)通过如下操作以一种安全方式存储在内容访问设备(105)上:使用对内容访问设备(105)唯一的加密密钥(K)对访问信息加密,导致产生加密的访问信息(Encr(K,Inf_ID));并且在内容访问设备(105)上加密和存储利用中间设备(100)的公共和私有密钥对(Kpub,Kpriv)的公共密钥(Kpub)或中间设备(100)的对称密钥(Ksym)加密后的加密密钥(K),以使该中间设备(100)能够解密该加密密钥(K),从而能够得到所述已存储访问信息(Inf_ID)。
7.根据权利要求6的系统,其中,秘密(K)由ID服务(104)生成。
8.根据权利要求7的系统,其中,秘密(K)通过对所述访问信息(Inf_ID)应用单向函数而生成。
9.根据权利要求1的系统,其中,所述访问信息(Inf_ID)通过如下操作用一种安全方式存储在内容访问设备(105)上:使用中间设备(100)的公共和私有密钥对(Kpub,Kpriv)的公共密钥(Kpub)或中间设备(100)的对称密钥(Ksym)对访问信息(Inf_ID)进行加密,使得只有将所述访问信息(Inf_ID)存储在内容访问设备(105)上的给定中间设备(100)能够取得该访问信息(Inf_ID)。
10.一种用于提供内容访问设备(105)对第一数字内容保护系统(101)的数字内容项目(106)的访问的中间设备(100),其中所述第一数字内容保护系统(101)包括数字内容项目(106),并且所述内容访问设备(105)并非第一数字内容保护系统(101)的一部分,其中中间设备(100)配置为使用中间设备(100)已知的秘密(K)生成在所述内容访问设备(105)上存储的安全访问信息,这使中间设备(100)能够从存储在所述内容访问设备(105)上的所述安全访问信息中恢复访问信息(Inf_ID),而且其中中间设备(100)还配置为利用所述访问信息(Inf_ID)以使所述内容访问设备(105)能够访问在所述第一数字内容保护系统(101)内的所述数字内容项目(106)。
11.一种用于获得对第一数字内容保护系统(101)中数字内容项目(106)的访问的内容访问设备(105),该内容访问设备(105)在第一数字内容保护系统(101)外,其中内容访问设备(105)存储有由中间设备(100)生成的安全访问信息,且使所述内容访问设备(105)能够以一种使用中间设备(100)已知的秘密的安全方式访问所述数字内容项目(106)。
12.一种为内容访问设备(105)提供对第一数字内容保护系统(101)中的数字内容项目(106)进行访问的方法,其中该内容访问设备(105)并非第一数字内容保护系统(101)的一部分,该方法包括以下步骤:
为所述内容访问设备(105)提供通过中间设备(100)对所述数字内容项目(106)的访问,其中中间设备(100)已经利用该中间设备(100)已知的秘密(K),生成了安全访问信息用于存储在所述内容访问设备(105)上,这使中间设备(100)能够从存储于所述内容访问设备(105)上的所述安全访问信息中恢复访问信息(Inf_ID),
通过中间设备(100)得到所述访问信息(Inf_ID),和
使用所述访问信息(Inf_ID)使所述内容访问设备(105)能够访问在所述第一数字内容保护系统(101)内的所述数字内容项目(106)。
13.根据权利要求12的方法,其中,所述安全访问信息(Encr(K;Inf_ID))通过对其加密而生成。
14.根据权利要求12的方法,其中,所述内容访问设备(105)位于第二数字内容保护系统(102)中。
15.根据权利要求12的方法,其中,所述内容访问设备(105)位于协同数字内容保护系统(102)中。
16.根据权利要求13或14的任何一个的方法,其中,一个共享密钥被用于加密访问信息(Inf_ID),从而允许另外的中间设备(100)恢复该访问信息(Inf_ID)。
17.根据权利要求12的方法,其中该方法包括:
由给定中间设备(100)通过如下操作以一种安全方式将所述访问信息(Inf_ID)存储在内容访问设备(105)上:使用对内容访问设备(105)唯一的加密密钥(K)对访问信息加密,导致产生加密的访问信息(Encr(K,Inf_ID));
在内容访问设备(105)上加密和存储利用中间设备(100)的公共和私有密钥对(Kpub,Kpriv)的公共密钥(Kpub)或中间设备(100)的对称密钥(Ksym)加密后的加密密钥(K),以使该中间设备(100)能够解密该加密密钥(K),从而能够得到所述已存储访问信息(Inf_ID)。
18.根据权利要求17的方法,其中,秘密(K)由ID服务(104)生成。
19.根据权利要求18的方法,其中,秘密(K)通过对所述访问信息(Inf_ID)应用单向函数而生成。
20.根据权利要求12的方法,其中方法包括:
通过如下操作将所述访问信息(Inf_ID)用一种安全方式存储在内容访问设备(105)上:使用中间设备(100)的公共和私有密钥对(Kpub,Kpriv)的公共密钥(Kpub)或中间设备(100)的对称密钥(Ksym)对访问信息(Inf_ID)进行加密,使得只有将所述访问信息(Inf_ID)存储在内容访问设备(105)上的给定中间设备(100)能够取得该访问信息(Inf_ID)。
21.一种其上存储着用于使一个或多个处理单元执行根据权利要求12到20中任何一个的方法的指令的计算机可读介质。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05106089.5 | 2005-07-05 | ||
| EP05106089 | 2005-07-05 | ||
| PCT/IB2006/052175 WO2007004154A1 (en) | 2005-07-05 | 2006-06-29 | Method, system and devices for digital content protection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101218587A true CN101218587A (zh) | 2008-07-09 |
| CN101218587B CN101218587B (zh) | 2010-06-16 |
Family
ID=35063396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800245820A Expired - Fee Related CN101218587B (zh) | 2005-07-05 | 2006-06-29 | 用于数字内容保护的方法、系统与设备 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20080215894A1 (zh) |
| EP (1) | EP1904945A1 (zh) |
| JP (1) | JP4846798B2 (zh) |
| KR (1) | KR20080034452A (zh) |
| CN (1) | CN101218587B (zh) |
| BR (1) | BRPI0612706A2 (zh) |
| MX (1) | MX2007016347A (zh) |
| RU (1) | RU2008104133A (zh) |
| WO (1) | WO2007004154A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI451279B (zh) * | 2010-04-07 | 2014-09-01 | Apple Inc | 即時或接近即時串流傳輸之內容存取控制 |
| CN105184113A (zh) * | 2014-03-27 | 2015-12-23 | 英特尔公司 | 用于实现安全视频输出路径的硬件辅助虚拟化 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100788760B1 (ko) * | 2003-12-27 | 2007-12-26 | 정관선 | 액체정량배출용기 |
| EP2151795A1 (en) * | 2008-08-08 | 2010-02-10 | France Telecom | Secure electronic coupon delivery to mobile device |
| WO2013053079A1 (zh) * | 2011-10-10 | 2013-04-18 | 厦门简帛信息科技有限公司 | 一种数字文档加密方法 |
| US9130744B1 (en) * | 2014-09-22 | 2015-09-08 | Envelope, Llc | Sending an encrypted key pair and a secret shared by two devices to a trusted intermediary |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4882752A (en) * | 1986-06-25 | 1989-11-21 | Lindman Richard S | Computer security system |
| US6859533B1 (en) * | 1999-04-06 | 2005-02-22 | Contentguard Holdings, Inc. | System and method for transferring the right to decode messages in a symmetric encoding scheme |
| JP2001230768A (ja) * | 2000-02-15 | 2001-08-24 | Sony Corp | 情報取り引きシステムおよび情報取り引き方法、並びにプログラム提供媒体 |
| JP2003216500A (ja) * | 2002-01-23 | 2003-07-31 | Hitachi Ltd | デジタル著作権管理システム |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7549060B2 (en) * | 2002-06-28 | 2009-06-16 | Microsoft Corporation | Using a rights template to obtain a signed rights label (SRL) for digital content in a digital rights management system |
| JP2004036254A (ja) * | 2002-07-04 | 2004-02-05 | Kayaba Ind Co Ltd | 電動スライドドアの開閉駆動装置 |
| US7322042B2 (en) * | 2003-02-07 | 2008-01-22 | Broadon Communications Corp. | Secure and backward-compatible processor and secure software execution thereon |
| CA2506227A1 (en) * | 2003-02-28 | 2004-09-10 | Matsushita Electric Industrial Co., Ltd. | Terminal device, server device, license distribution system using the same |
| JP4469631B2 (ja) * | 2003-02-28 | 2010-05-26 | パナソニック株式会社 | 端末装置、サーバ装置、ライセンス流通システム、ライセンス情報の取り扱い方法、およびプログラム |
| US7484090B2 (en) * | 2003-10-10 | 2009-01-27 | Panasonic Corporation | Encryption apparatus, decryption apparatus, secret key generation apparatus, and copyright protection system |
| US7437771B2 (en) * | 2004-04-19 | 2008-10-14 | Woodcock Washburn Llp | Rendering protected digital content within a network of computing devices or the like |
| US8060923B2 (en) * | 2004-04-23 | 2011-11-15 | Microsoft Corporation | Trusted license removal in a content protection system or the like |
| US7370202B2 (en) * | 2004-11-02 | 2008-05-06 | Voltage Security, Inc. | Security device for cryptographic communications |
-
2006
- 2006-06-29 EP EP06765941A patent/EP1904945A1/en not_active Withdrawn
- 2006-06-29 JP JP2008519107A patent/JP4846798B2/ja not_active Expired - Fee Related
- 2006-06-29 CN CN2006800245820A patent/CN101218587B/zh not_active Expired - Fee Related
- 2006-06-29 US US11/994,424 patent/US20080215894A1/en not_active Abandoned
- 2006-06-29 KR KR1020087002879A patent/KR20080034452A/ko not_active Application Discontinuation
- 2006-06-29 WO PCT/IB2006/052175 patent/WO2007004154A1/en active Application Filing
- 2006-06-29 BR BRPI0612706A patent/BRPI0612706A2/pt not_active IP Right Cessation
- 2006-06-29 MX MX2007016347A patent/MX2007016347A/es not_active Application Discontinuation
- 2006-06-29 RU RU2008104133/09A patent/RU2008104133A/ru not_active Application Discontinuation
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI451279B (zh) * | 2010-04-07 | 2014-09-01 | Apple Inc | 即時或接近即時串流傳輸之內容存取控制 |
| CN105184113A (zh) * | 2014-03-27 | 2015-12-23 | 英特尔公司 | 用于实现安全视频输出路径的硬件辅助虚拟化 |
| CN105184113B (zh) * | 2014-03-27 | 2018-11-09 | 英特尔公司 | 用于实现安全视频输出路径的硬件辅助虚拟化 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1904945A1 (en) | 2008-04-02 |
| US20080215894A1 (en) | 2008-09-04 |
| KR20080034452A (ko) | 2008-04-21 |
| MX2007016347A (es) | 2008-03-05 |
| BRPI0612706A2 (pt) | 2016-11-29 |
| JP4846798B2 (ja) | 2011-12-28 |
| JP2009500713A (ja) | 2009-01-08 |
| CN101218587B (zh) | 2010-06-16 |
| RU2008104133A (ru) | 2009-08-10 |
| WO2007004154A1 (en) | 2007-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5026670B2 (ja) | 承認領域における分割された権利 | |
| US8443206B2 (en) | Method and apparatus for managing digital rights using portable storage device | |
| CN101036098B (zh) | 用于drm系统的基于用户的内容密钥加密 | |
| JP4734257B2 (ja) | 接続リンクされた権利保護 | |
| CN101467156B (zh) | 用于创建对象的方法、系统和设备 | |
| CN1820482B (zh) | 产生并管理局域网的方法 | |
| JP4927748B2 (ja) | ドメインへの改善したアクセス | |
| US7864953B2 (en) | Adding an additional level of indirection to title key encryption | |
| CN100365972C (zh) | 通过使用智能卡的设备认证来建立家庭域的方法及智能卡 | |
| US20060021065A1 (en) | Method and device for authorizing content operations | |
| JP2007528658A (ja) | 改良されたドメインマネージャ及びドメイン装置 | |
| JP2006500652A (ja) | 証明書に基づく認証ドメイン | |
| CN101218587B (zh) | 用于数字内容保护的方法、系统与设备 | |
| KR20080046253A (ko) | Lan에 미디어 컨텐츠를 분배하기 위한 디지털 보안 | |
| CN101361319A (zh) | 基于广播加密的家庭安全系统 | |
| CN101114328A (zh) | 创建唯一标识符的设备和方法 | |
| WO2010116845A1 (ja) | 鍵情報管理方法、コンテンツ送信方法、鍵情報管理装置、ライセンス管理装置、コンテンツ送信システム、及び端末装置 | |
| EP1526432A2 (en) | Method and apparatus for managing digital rights using portable storage device | |
| CN103971062A (zh) | 移动终端、文档管理方法、用于移动终端的程序 | |
| CN100452737C (zh) | 数字家庭网络中的版权管理方法及数字家庭网络系统 | |
| CN101184087A (zh) | 域变换的方法、设备及系统 | |
| JP6919484B2 (ja) | 暗号通信方法、暗号通信システム、鍵発行装置、プログラム | |
| KR101423955B1 (ko) | 사용자단말의 콘텐츠 접근 제어에 따른 콘텐츠 분배 방법 및 시스템 | |
| KR20070022019A (ko) | 개선된 도메인 매니저 및 도메인 디바이스 | |
| JP2009110534A (ja) | 一時再生装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100616 Termination date: 20130629 |