CN102461113A

CN102461113A - 内容复制控制的方法和系统

Info

Publication number: CN102461113A
Application number: CN2010800247288A
Authority: CN
Inventors: J.T.林; F.E.乔甘德-库洛姆布
Original assignee: SanDisk Corp
Current assignee: Delphi International Operations Luxembourg SARL
Priority date: 2009-06-04
Filing date: 2010-05-05
Publication date: 2012-05-16
Anticipated expiration: 2030-05-05
Also published as: US9083685B2; US20100310075A1; CN102461113B; EP2438733A1; TW201104491A; WO2010141175A1; KR20120028321A

Abstract

提供了用于内容复制控制的方法和系统。在一个实施例中，内容复制系统(100)接收在多个存储器设备(130)中复制内容的请求，其中每个存储器设备与各自的唯一标识符相关联。对于所述多个存储器设备的每个，内容复制系统将对于传输加密密钥的请求发送到传输加密密钥服务器(110)，该请求包括存储器设备的唯一标识符。如果存储器设备的唯一标识符被授权接收该传输加密密钥，则内容复制系统接收该传输加密密钥并将该传输加密密钥发送到该存储器设备。然后内容复制系统从内容服务器(120)接收加密的内容，其中该加密的内容用该传输加密密钥加密。然后内容复制系统将该加密的内容发送到所述多个存储器设备。

Description

内容复制控制的方法和系统

背景技术

为了将内容分发到光盘和其他存储设备，诸如制片厂(studio)的内容拥有者将内容发行到复制工具，该复制工具将内容复制到存储设备上。因为内容拥有者关于在复制工具中发生什么不具有很多控制，因此内容拥有者依赖于每个具体复制工具的信任和处理控制以确保不发生对内容的非法和未授权拷贝。因而，一旦内容被发行到复制工具，内容提供者不具有对于正进行对内容的多少份拷贝的精确控制。结果，内容拥有者不知道是否正进行对内容的未授权拷贝。此外，内容通常以加密形式被传递到存储器设备并且以该加密形式存储在存储器设备中。不幸的是，如果未被授权方得到对用于加密内容的密钥的访问，则未被授权方将具有对该内容的访问。

发明内容

本发明的实施例由权利要求限定，并且此部分中的任何内容不应被当作对那些权利要求的限制。

通过介绍，以下描述的实施例一般涉及用于内容复制控制的方法和系统。在一个实施例中，内容复制系统接收多个存储器设备中复制内容的请求，其中每个存储器设备与各自的唯一标识符相关联。对于所述多个存储器设备的每个，内容复制系统将对于传输加密密钥的请求发送到传输加密密钥服务器，该请求包括存储器设备的唯一标识符。如果存储器设备的唯一标识符被授权接收该传输加密密钥，则内容复制系统接收该传输加密密钥并将该传输加密密钥发送到该存储器设备。然后内容复制系统从内容服务器接收加密的内容，其中该加密的内容用该传输加密密钥加密。然后内容复制系统将该加密的内容发送到所述多个存储器设备。

提供了其他实施例并且每个实施例可以单独使用或者组合在一起使用。现在将参考附图描述各个实施例。

附图说明

图1是实施例的内容复制控制系统的表示。

图2是实施例的内容复制控制的方法的流程图。

图3是用于进行双域加密的实施例的存储器设备的表示。

图4是实施例的双域加密技术的例示。

图5是实施例的用于在存储器设备中进行双域加密的方法的流程图。

图6是使用可操作以进行双域加密的存储器设备的实施例的内容复制控制系统的例示。

图7是使用可操作以进行双域加密的存储器设备的实施例的内容复制控制的方法的流程图。

图8是使用可操作以进行双域加密的存储器设备的实施例的内容复制控制系统的例示。

具体实施方式

介绍

以下实施例提供了用于内容复制控制的方法和系统以及用于双域加密(double domain encryption)的存储器设备和方法。尽管可以将这些实施例彼此一起使用，但是重要的是注意内容复制控制实施例可以与除了提供双域加密的存储器设备之外的存储器设备一起使用，并且具有双域加密的存储器设备可以与除了内容复制控制之外的其他应用一起使用。

以下部分提供内容复制控制的讨论，跟着是具有双域加密特征的存储器设备的讨论以及使用具有双域加密特征的存储器设备的内容复制控制的讨论。

内容复制控制

现在转向附图，图1是实施例的内容复制控制系统50的表示。此系统50包括与传输加密密钥(“TEK”)服务器110、内容服务器120和多个存储器设备130通信的内容复制系统100。如以下将更详细地描述的，内容复制系统100、TEK服务器110和内容服务器120可以位于与内容复制系统100相同的站点(例如所有三个组件在一个制造中心或者在信息站(kiosk))，或者TEK服务器110和内容服务器120之一或两者可以定位为远离内容复制系统100的站点。此外，在一些情况下，内容复制系统100也可以起TEK服务器110的作用。此外，如以下将更详细讨论的，在TEK服务器110和内容服务器120之间可以存在连接，其中由内容服务器120基于复制ID或者其他信息来请求TEK。

如在此使用的，“内容”可以采取任何适当的形式，比如但不限于数字视频(具有或不具有随附的音频)(例如电影、电视剧的一集、新闻节目等)、音频(例如歌曲、播客(podcast)、一个或一系列声音、音频书等)、静止或运动图像(例如照片、计算机产生的显示等)、文本(带有或不带有图片)(例如论文、文本文件等)、视频游戏以及这些形式的两种或更多种的混合多媒体呈现。“存储器设备”也可以采取任何适当的形式。在一个实施例中，存储器设备采取固态(例如快闪)存储器设备的形式，并且可以是一次可编程、几次可编程或者多次可编程的。但是，可以使用其他形式的存储器，比如光存储器和磁存储器。在一个实施例中，存储器设备采取手持可移除存储卡、嵌入式存储卡、通用串行总线(USB)设备或者可移除或不可移除硬盘(比如固态驱动器)的形式。

通常，内容复制系统100用于将从内容服务器120接收的内容复制到多个存储器设备130上。在每个存储器设备中存储的内容用来自TEK服务器110的传输加密密钥加密地被接收，并且任何授权的存储器设备需要此传输加密密钥以便解密和使用该内容。(尽管“TEK”被称为“传输”加密密钥，但是应该注意，内容可以在传输之前用该密码加密。)在此实施例中，每个存储器设备与各自的唯一标识符相关联，并且只有在存储器设备的唯一标识符被授权接收TEK时，内容复制系统100才为给定的存储器设备提供解密该内容所需的TEK。(在一些实施例中，唯一标识符是证书的一部分，并且TEK被安全接收(例如使用来自证书的公钥加密或者用从涉及该证书的验证得到的安全信道加载)。)存储器设备标识符和TEK之间的此连接允许内容拥有者在一旦内容图像被发行到复制工具时具有对正进行内容的多少份拷贝的精确控制。与依赖于每个具体复制工具的信任和处理控制以确保不发生内容的非法或未授权拷贝的复制技术相比，这些实施例为内容拥有者提供了对其内容的精确复制控制。

如图1所示，此实施例的内容复制系统100包括用户输入设备140(例如键盘、鼠标等)和显示设备150，通过它们用户可以输入并浏览数据以发起内容复制会话。尽管被示出为分离的组件，但是用户输入设备140和显示设备150可以被集成，比如当显示设备150采取触摸屏显示器的形式时。用户输入设备140和显示设备150与控制器160通信。在一个实施例中，内容复制系统100采取具有WinXP读卡器的计算机的形式。

在此实施例中，控制器160包括中央处理单元(“CPU”)163、可操作以提供加密和/或解密操作的密码引擎364、读访问存储器(RAM)365和只读存储器(ROM)366。控制器160还包括存储器设备接口161、其包含将控制器160置于与多个存储器设备130通信所需的硬件和/或软件。(如在此使用的，短语“与......通信”可以意味着直接与之通信或者经过一个或多个组件间接与之通信，所述一个或多个组件可能或者可能不在此示出或描述。)例如，存储器设备接口161可以包含物理和电连接器以同时装载(host)多个存储器设备130，或者其可以包含物理和电连接器以装载单独的读卡器，该读卡器可以同时装载多个存储器设备130。控制器160还包括服务器接口162，其包含将控制器160置于与TEK服务器110和内容服务器120通信所需的硬件和/或软件。例如，服务器接口162可以包含一个或多个网络插孔。

图2是使用图1的内容复制系统100的内容复制控制的方法的流程图200。首先，内容复制系统100接收在多个存储器设备130中复制内容的请求(动作210)。该请求可以经由用户输入设备140从用户接收并且可以包含例如复制会话ID、制造商ID、要复制的内容的标题和要接收内容的存储器设备的数量。

如上所述，在此实施例中，每个存储器设备与各自的唯一标识符相关联，并且仅在存储器设备的唯一标识符被授权接收TEK时，内容复制系统100才为给定的存储器设备提供解密内容所需的TEK。正是存储器设备标识符和TEK之间的此连接，允许内容拥有者在一旦内容图像被发行到复制工具时具有对正进行内容的多少份拷贝的精确控制。动作220和230涉及在适当时为存储器设备提供TEK的处理。具体地，对于多个存储器设备中的每个，内容复制系统100向TEK服务器110发送对于TEK的请求(动作220)。该请求包括存储器设备的唯一标识符。在一个实施例中，存储器设备的唯一标识符经过验证(相互的或以其他方式)，尽管可以使用其他机制。TEK服务器110然后将确定请求中出现的唯一标识符是否被内容拥有者授权接收TEK。如果该唯一标识符未被授权，则该存储器设备将不接收TEK，因此不能解密内容。但是，如果该唯一标识符被授权接收TEK，则内容复制系统100将接收TEK并将其发送到存储器设备(动作230)。(TEK可以从TEK服务器110或者从另一设备接收。)如上所述，将对多个存储器设备130中的每个存储器设备进行动作220和230。可以对每个存储器设备一次一个地进行这些动作，或者例如如果内容复制系统100是具有向TEK服务器110和存储器设备验证的信用的认证设备，比如当内容复制系统100产生到所有存储器设备的安全信道密钥以便广播通过安全信道密钥加密的TEK时，TEK可以并行被发送到所有存储器设备(例如，使用用于群编程(gang programming)的并行复制机器)。

在被授权存储器设备接收到TEK之前或之后，内容复制系统100从内容服务器120接收用TEK加密的内容(动作240)并将加密的内容发送到多个存储器设备130(动作250)。如果存储器设备未接收到TEK(因为其未被授权接收TEK)，则该存储器设备将不能解密内容。因为此原因，这些实施例提供了“一举两得(best of both worlds)”情形。内容拥有者可以通过在将内容加载到被授权的存储器设备中的持续时间期间建立与内容服务器120的点对点安全连接达来确保仅授权的存储设备接收内容。但是，因为以串行方式将内容加载到存储器设备所需的相当长的时间，该方法将是昂贵和不实用的。因为这些实施例仅使用点对点安全连接基于被绑定到存储器设备的唯一标识符来加载TEK，因此内容拥有者可以实现对将进行内容的多少份拷贝的精确内容控制而不用支付为该内容的大小提供点对点加载的成本(财务和时间)的精确内容控制。此外，因为分发的内容用紧密控制的TEK加密，因此内容本身可以按广播的方式分发——甚至分发给未被授权的存储器设备——因为仅具有该TEK的那些存储器设备才将能够解密并使用该内容。

如以下将更详细地讨论的，如果接收TEK和用该TEK加密的内容的存储器设备能够进行双域加密，则在接收到TEK和加密的内容之后，该存储器设备可以用该TEK解密加密的内容，用对于该存储器设备唯一的密钥重新加密该内容，并将重新加密的内容存储在存储器中。如在此使用的，对于存储器设备“唯一”的密钥可以是有目的地被选择为真正唯一以便不能由一组中的其它存储器设备使用的密钥。如果密钥是由存储器设备随机化(或者由另一实体随机化并传递给该存储器设备)的值，则该密钥也可以是对该存储器设备唯一的。这样的随机化值可以被认为是“唯一的”就像该词语在此使用的那样，即使理论上可能另一存储器设备可以产生相同的随机值。

在转向对在内容复制控制中使用双域加密的讨论之前，以下部分讨论了能够进行双域加密的示例存储器设备。如上所述，重要的是注意此示例存储器设备可以用在除了与内容复制控制有关的那些应用之外的应用中。

具有双域加密的存储器设备

返回附图，图3是可操作以进行双域加密的示例存储器设备300的例示。如上所述，尽管此存储器设备300具有在内容复制控制实施例中的特定使用，但是此存储器设备300可以用在与内容复制控制无关的应用中。因而，就在此的权利要求指向存储器设备或与其使用的方法而言，内容复制控制实施例的细节不应被硬加到那些权利要求中，除非在那些权利要求中明确列出了那些细节。如以下将更详细地讨论的，“双域加密”是这样的处理：通过该处理，数据被用一个密钥加密、解密，然后用另一密钥加密(例如在数据正被接收时即时地(on the fly))。用于重新加密数据的密钥可以由存储器设备产生。双域加密保持内容的分发简单，其中内容可以被加密一次并且作为常规文件被接收，并且其中用唯一的存储密钥对其进行分发，因此降低了攻击存储CEK的值。应该注意，在任意给定时间时，内容仅通过一个密钥(TEK或CEK)被加密。

如图3所示，存储器设备300包括控制器310和存储器320。控制器310包括用于与存储器320连接的存储器接口311和用于与主机350连接的主机接口312。(主机350可以是图1的内容复制系统100或者可以是另一设备，比如但不限于专用内容播放器、移动电话、个人计算机、游戏设备、个人数字助理(PDA)、信息站、机顶盒和TV系统。)控制器310还包括中央处理单元(CPU)313、可操作以提供加密和/或解密操作的密码引擎314(密码引擎314可以以硬件或软件实现)、读访问存储器(RAM)315、存储用于存储器设备300的基本操作的固件的只读存储器(ROM)316以及存储用于加密/解密操作的设备专用密钥的非易失性存储器(NVM)317。在此实施例中，存储器设备300采取可以在广泛的各种主机设备中可互换地使用的手持、可移除存储卡(或硬盘)的形式。但是可以使用其他形态因素，比如用于USB设备或固态驱动器的那些。

存储器320可以采取任何适当的形式。在一个实施例中，存储器120采取固态(例如快闪)存储器的形式，并且可以是一次可编程、几次可编程或多次可编程的。但是，可以使用其他形式的存储器。在此实施例中，存储器320包括由主机上的文件系统管理的公共分区325和由控制器310内部地管理的隐藏受保护系统区335。该隐藏受保护系统区335存储由控制器310使用来控制存储器设备300的操作的固件(FW)代码342以及以下将描述的传输加密密钥(TEK)344和内容加密密钥(CEK)346。(在替换实施例中，TEK 344和CEK 346之一或两者可以被存储在NVM317中。)

公共分区325和隐藏受保护系统区335可以是相同存储器单元的部分，或者可以是不同的存储器单元。隐藏受保护系统区335是“隐藏的”，因为其由控制器310(而不由主机的控制器)内部地管理，并且是“受保护的”因为在该区335中存储的对象用在控制器310的非易失性存储器317中存储的唯一密钥加密。因而，为了访问该区335中存储的对象，控制器310将使用密码引擎314和在非易失性存储器317中存储的密钥来解密被加密的对象。优选地，存储器设备300采取来自建立在桑迪士克公司的TrustedFlashTM平台上的产品族的安全产品的形式。

存储器的公共分区325存储受保护内容文件330A、330B。内容330A、330B可以被预加载、侧加载(side-load)或下载到存储器320中。尽管存储器320的公共分区325由主机上的文件系统管理，但是存储在公共分区325中的对象(比如内容文件330A、330B)也可以由存储器设备100保护。在此实施例中，存储的内容文件330A、330B两者由存储在隐藏受保护系统区335中的相应内容加密密钥340保护，并且那些密钥340本身由存储在控制器310的非易失性存储器317中的存储器设备唯一密钥保护。因而，为了对受保护内容文件之一(比如内容文件330A)去保护(unprotect)，密码引擎314将使用存储在控制器310的非易失性存储器317中的存储器设备唯一密钥来解密适当的内容加密密钥340，然后使用解密的内容加密密钥340来解密受保护内容330A。

存储器设备300和主机(例如服务器)可以经由主机接口312相互通信。在一个实施例中，对于涉及数据的安全传输的操作，存储器设备300中的密码引擎314和服务器中的密码引擎可以用于相互验证彼此并提供密钥交换。相互验证处理要求服务器和存储器设备300交换唯一证书ID。服务器和存储器设备300可以基于PKI进行相互验证，其中每个存储器设备具有唯一证书ID。在相互验证完成后之后，优选会话密钥用于建立在存储器设备350和服务器之间通信的安全信道。应该注意，也可以进行单个验证，其中服务器验证存储器设备以便加载TEK。假设存储器设备是空白的并且不关心服务器的有效性的情况下，这为每个存储器设备节省时间。可以在单侧验证之后产生安全会话密钥。

控制器310可以以任何适当的方式实现。例如，控制器310可以采取微处理器或处理器以及存储可由例如(微)处理器、逻辑门、开关、专用集成电路(ASIC)、可编程逻辑控制器以及嵌入式微控制器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质的形式。控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicon Labs C8051F320。可以在控制器中使用的各个组件的例子在在此讨论的实施例中描述并在相关的附图中示出。控制器310还可以被实现为存储器320控制逻辑的部分。

如上所述，在此实施例中，存储器设备300中的密码引擎314能够进行双域加密。“双域加密”中的“双域”指传输域(用于在传输到存储器设备300期间保护内容的加密)和存储域(用于在内容被存储在存储器设备300中时保护内容的加密)。图4例示双域加密的概念并将结合图5的流程图500来讨论。

首先，从主机400接收用TEK加密的内容(数据)(动作510)。此数据是使用传输域加密的因为内容被用TEK加密以在从主机400传输到存储器设备300期间保护内容。当在存储器设备300处接收到内容时，存储器设备300的控制器310中的密码引擎314用存储在存储器设备300中的TEK解密该内容(动作520)。这将来自传输域的内容转换为无加密的(clear)内容。(传输域使用TEK 344来加密进入到或离开存储器设备300的数据。)然后密码引擎314得到该无加密的内容并且用对于存储器设备唯一的密钥、在此是CEK 346对其重新加密(动作530)。此解密和重新加密可以在内容正被存储器设备300接收时即时发生。这将内容置于存储域中。(存储域使用CEK 346来加密被写到闪存320或从其读出的数据。)然后存储器设备300将在快闪存储域中加密的数据存储在存储器设备(闪存)320中(动作540)。

双域加密使得主机/存储器设备能够传递加密的数据而不用实际加密在其之间的信道，同时仍实现存储器设备唯一的内容加密用于存储。这使得主机和存储器设备300能够在它们之间安全地传递数据而不需要加密整个会话，并实现在闪存320中存储的唯一加密的内容。在一个实施例中，使用此特征的API被“开启流命令”调用，这仅在存储器设备300不参与安全会话时才可用。开启流命令设立用于数据流传输的安全服务模块以读或写数据。此命令确定数据流的特性以及是否读或写具有或不具有域信息的数据以及其他所需的数据。在一个实施例中，此命令中的自变量之一指定用于快闪加密的域，而另一个指定用于主机/存储器设备数据传输加密的域。

如上所述，能够进行双域加密的存储器设备具有与上述内容复制控制实施例一起的具体使用。考虑例如其中由TEK加密的内容被存储在存储器设备中而不是被重新加密的情况。在此情况下，如果未被授权方能够以某种方式获得TEK，则该方将具有对在存储器设备中存储的内容的未授权访问。通过使用双域加密，存储器设备对接收的内容有效地“改变锁”，因为将用与在传输期间保护内容的密钥不同的密钥来保护存储的内容。因而，利用双域加密，即使未被授权方能够以某种方式获得TEK，该方也将不能访问该内容，因为内容将不再受该TEK保护。这提供了另外的层次的内容复制控制，这可能是内容拥有者所期望的。

重要的是注意具有双域加密的存储器设备可以用在除了与内容复制控制有关的应用之外的应用中。使用诸如“双域加密”的设置的原因之一是在两个验证方之间传递秘密的/有价值的对象而不诉诸于费力的加密和安全信道方法。加密在两方之间来回行进的每一信息的安全信道可能占用很多资源来实现，减慢了应用，并消耗了来自诸如蜂窝电话的主机的明显更多的功率。双域消除了这些顾虑，因为其用于保卫具体对象而不是整个通信线路。而且，代替对所有被传输的对象使用单个密钥，对要被传输的不同对象可以使用几个不同的密钥。另外，可以在一端存在多个实体而在另一端存在单个实体，将单个验证的通信线路上的用户分离。

在替换实施例中，双域可以与SSL会话一起使用，其中存储用第一密钥保护的内容/数据并使用另一密钥利用SSL将其传递到另一方。类似地，也可以用SSL传递内容并使用双域用另一密钥来存储。如果(a)处理如此多的加密数据的计算机太过密集以及(b)内容提供方需求要求保持内容被保护，则如下情况可能是不实用的：其中用SSL传递内容，内容照原样存储，并且SSL会话密钥被保存用于稍后使用。

使用具有双域加密的存储器设备的内容复制控制

如上所述，在前一部分中描述的双域实施例具有与以上所述的内容复制控制实施例一起的具体使用。此部分提供这些实施例可以如何一起工作的几个例子。

返回附图，图6是使用可操作以进行双域加密的存储器设备的实施例的内容复制控制的系统的例示。如像图1所示的系统50那样，此系统包括内容复制系统600、TEK服务器610和内容服务器620。在此实施例中，这些组件被置于通过因特网相互通信。同样在此实施例中，TEK服务器610和内容服务器620两者定位为远离内容复制系统600的站点。如上所述以及以下将进一步例示的，可以使用不同的布置。现在将结合图7的流程图700描述此系统的操作。

如流程图700中所示，操作者将通过输入诸如复制会话ID、制造商ID、内容的标题和要复制到内容复制系统600中的存储器设备(在此是存储卡)的编号的信息来发起复制会话(动作705、710)。内容复制系统600和TEK服务器610然后彼此相互验证(动作715、720)。(如上所述，也可以使用单个验证。)在此实施例中，与要接收内容的每个存储器设备建立验证和安全会话以便将TEK直接供应给存储器设备，并且内容复制系统600促进安全信道并提供在TEK服务器610和存储器设备130之间的通信的安全通道(动作725)。在此，内容复制系统600从不知道任何信任信息(秘密)。内容复制系统600仅促进通信信道。一旦发生验证，命令和重要数据就被加密并且不以无加密形式发送。

TEK服务器610然后将复制会话唯一TEK(例如AES128TEK)经由与存储器设备控制器640的安全会话直接并安全地提供到每个验证的存储器设备中。TEK服务器610也可以记录存储器设备的唯一证书ID以消除转录(duplication)和用于其他使用。接下来，内容服务器620与TEK服务器610同步，内容服务器620基于复制会话ID取回TEK，并针对数据库和权限策略证实目标存储卡和制造商的内容加载权限(动作735)。此动作可以由内容复制系统600在TEK加载期间、之前或之后触发。然后TEK服务器610将复制会话唯一TEK提供给内容复制系统600以发送到存储器设备630(动作730)。在接收到时，存储器设备控制器640加密该TEK并将其存储在存储器650中(动作740)。存储器设备630然后将向内容复制系统600确认TEK加载处理的完成(动作745)。然后内容复制系统600将复制会话ID和请求的内容标题发送到内容服务器620(动作750)，并从内容服务器620接收用TEK加密的内容标题(动作755)。如上所述，这些动作可以与动作735并行地进行。由内容服务器620和TEK服务器610进行的动作的次序可以是可互换的，只要真实性被证实并且分配了复制会话及其TEK即可。在此之后，内容复制系统600将内容并行编程到多个存储卡中(动作760)。然后每个存储卡的密码引擎645通过首先用预加载的TEK解密内容标题(动作770)、然后用预先产生的CEK(例如由存储器设备随机化的存储加密密钥)重新加密该内容标题、然后将重新加密的内容存储在存储器650中(动作775)来进行双域加密。(尽管存储器在图6中被示出为NAND存储器，但是可以使用任意类型的存储技术，并且存储器可以是与进行双域加密的控制器640分离的器件。)如上所述，双域防止第三方将来自一个存储器设备的图像复制到另一个，因为每个存储器设备将具有其自己的、使得图像唯一的内容加密密钥。在此实施例中，TEK和CEK两者在存储器650中被加密并且其完整性被保护，因此那些项不会改变。

存在可以与这些实施例一起使用的许多不同的替换。例如，尽管TEK服务器610和内容服务器620都定位为远离内容复制系统600的站点，但是这些组件的位置可以变化。此替换在图8中示出，TEK服务器810位于与内容复制系统800相同的站点处，而内容服务器820远程地定位。此替换还包括复制管理服务器815，其接收来自TEK服务器810的TEK服务器ID、会话ID和存储器设备ID，用于处理并与内容服务器820协作。另外，存储器设备830、控制器840和存储器850的操作如上所述。

在另一替换中，代替TEK服务器位于与内容复制系统相同的站点处或者定位为远离内容复制系统的站点，TEK服务器可以位于内容复制系统中。例如，内容复制系统可以兼作TEK服务器，如果内容复制系统被证实并信任这样做的话。如果是这样的情况，则TEK可以与由内容复制系统提供给所有存储器设备的相同加密密钥保护的单个TEK并行地被加载到存储器设备中。控制TEK提供了控制和记录可以被加载有可使用的内容的设备。这是内容提供者所期望的产品日志的要素。

意图以上详细描述被理解为本发明可以采取的所选形式的例示，而非对本发明的限定。意图限定要求保护的本发明的范围的仅仅是以下权利要求，包括所有等效物。最后，应该注意，在此所述的任何优选实施例的任何方面可以单独或者彼此组合地使用。

Claims

1.一种用于内容复制控制的方法，该方法包括：

在内容复制系统中进行：

(a)接收在多个存储器设备中复制内容的请求，其中每个存储器设备与各自的唯一标识符相关联；

(b)对于所述多个存储器设备的每个：

(b1)将对于传输加密密钥的请求发送到传输加密密钥服务器，该请求包括存储器设备的唯一标识符；以及

(b2)如果存储器设备的唯一标识符被授权接收该传输加密密钥，则接收该传输加密密钥并将该传输加密密钥发送到该存储器设备；

(c)从内容服务器接收加密的内容，其中该加密的内容用该传输加密密钥加密；以及

(d)将该加密的内容发送到所述多个存储器设备。

2.如权利要求1的方法，其中该多个存储器设备的每个被配置为用该传输加密密钥解密该加密的内容，用对于该存储器设备唯一的密钥重新加密该内容，并将重新加密的内容存储在该存储器设备中。

3.如权利要求1的方法，其中一次一个存储器设备地对所述多个存储器设备的每个进行(b1)和(b2)，以及其中该加密的内容被并行发送到所有所述多个存储器设备。

4.如权利要求1的方法，还包括将对于内容的请求发送到该内容服务器，其中该请求包括复制会话标识符，以及其中该内容服务器被配置为与传输加密密钥服务器通信以获得与该复制会话标识符相关联的传输加密密钥，并用该传输加密密钥加密该内容。

5.如权利要求1的方法，还包括对于所述多个存储器设备的每个，促进传输加密密钥服务器和存储器设备的相互验证。

6.如权利要求1的方法，还包括对于所述多个存储器设备的每个，促进所述存储器设备向所述传输加密密钥服务器的验证。

7.如权利要求1的方法，其中从所述传输加密密钥服务器接收所述传输加密密钥并通过安全信道将其发送到存储器设备。

8.如权利要求1的方法，其中从该内容服务器接收加密的内容并通过开放信道将其发送到所述多个存储器设备。

9.如权利要求1的方法，其中所述传输加密密钥服务器和所述内容服务器两者定位为远离所述内容复制系统的站点。

10.如权利要求1的方法，其中所述传输加密密钥服务器位于与所述内容复制系统相同的站点处，以及其中所述内容服务器定位为远离该站点。

11.如权利要求1的方法，其中所述传输加密密钥服务器和所述内容服务器两者位于与所述内容复制系统相同的站点处。

12.一种内容复制系统，包括：

第一接口，被配置为与多个存储器设备通信，其中每个存储器设备与各自的唯一标识符相关联；

至少一个另外的接口，被配置为与传输加密密钥服务器和内容服务器通信；以及

控制器，与所述第一接口和所述至少一个另外的接口通信，并且被配置为：

(a)接收在所述多个存储器设备中复制内容的请求；

(b)对于所述多个存储器设备的每个：

(b1)将对于传输加密密钥的请求发送到该传输加密密钥服务器，该请求包括存储器设备的唯一标识符；以及

(c)从该内容服务器接收加密的内容，其中该加密的内容用该传输加密密钥加密；以及

(d)将该加密的内容发送到所述多个存储器设备。

13.如权利要求12的内容复制系统，其中该多个存储器设备的每个被配置为用该传输加密密钥解密该加密的内容，用对于该存储器设备唯一的密钥重新加密该内容，并将重新加密的内容存储在该存储器设备中。

14.如权利要求12的内容复制系统，其中一次一个存储器设备地对所述多个存储器设备的每个进行(b1)和(b2)，以及其中该加密的内容被并行发送到所有所述多个存储器设备。

15.如权利要求12的内容复制系统，其中该控制器进一步被配置为将对于内容的请求发送到该内容服务器，其中该请求包括复制会话标识符，以及其中该内容服务器被配置为与该传输加密密钥服务器通信以获得与该复制会话标识符相关联的传输加密密钥，并用该传输加密密钥加密该内容。

16.如权利要求12的内容复制系统，其中该控制器进一步被配置为对于所述多个存储器设备的每个，促进传输加密密钥服务器和存储器设备的相互验证。

17.如权利要求12的内容复制系统，其中该控制器进一步被配置为对于所述多个存储器设备的每个，促进所述存储器设备向所述传输加密密钥服务器的验证。

18.如权利要求12的内容复制系统，其中从所述传输加密密钥服务器接收所述传输加密密钥并通过安全信道将其发送到存储器设备。

19.如权利要求12的内容复制系统，其中从该内容服务器接收加密的内容并通过开放信道将其发送到所述多个存储器设备。

20.如权利要求12的内容复制系统，其中所述传输加密密钥服务器和所述内容服务器两者定位为远离所述内容复制系统的站点。

21.如权利要求12的内容复制系统，其中所述传输加密密钥服务器位于与所述内容复制系统相同的站点处，以及其中所述内容服务器定位为远离该站点。

22.如权利要求12的内容复制系统，其中所述传输加密密钥服务器和所述内容服务器两者位于与所述内容复制系统相同的站点处。