CN109711117B - 用于分发数字内容的装置和方法 - Google Patents

Abstract

提供了用于分发数字内容的装置、系统和方法。媒体块的至少一个安全管理部件位于篡改响应壳内，基于与至少媒体块相关联的加密证书，安全管理部件和/或媒体块与安全捆绑中的转码器连接。媒体块通过数据桥，将基于第一加密密钥从数字内容生成的加密输出提供给所述转码器。转码器产生与用于在相应用户终端设备上回放相应转码输出的一个或以上令牌相关的相应转码输出，该相应转码输出由加密输出使用与第一加密密钥相关联的第二加密密钥来解密而产生。该相应转码输出被输出到与相应令牌相关联的相应用户终端设备。

Description

用于分发数字内容的装置和方法

技术领域

本说明书涉及用于分发数字内容的硬件。

背景技术

电影放映商保留实体店，为现场消费者展示电影。然而，由于许多原因，包括身体虚弱或与电影院的距离太远，一些消费者不能观看电影。传统上，为了吸引这些消费者，放映商需要通过建造更多的电影院来扩大其足迹。然而，新电影院的建设成本非常高，却仍然无法覆盖许多这些偏远的消费者。例如，新电影院的建设没有考虑到身体不方便去电影院观看电影的消费者(例如，老年消费者、残疾消费者等)，不管他们离得有多近。

以上描述作为本领域中相关技术的一般概述而给出，并且不应被解释为承认其包含的任何信息构成针对本专利申请的现有技术。

发明内容

提供了用于分发数字音频和视频内容的系统和方法。如下所述，这些系统和方法提供了基于硬件的技术解决方案，其能够映射电影院内容并将目标广告插入到场外位置和设备(例如，远程放置的投影仪、用户的电视或移动设备等)。硬件可以包括集成媒体块(IMB)和安全内容转码器(SCT)，它们物理地和/或电性地连接在一起，并包括一个网络交换机，配置为允许通过放映商选择的接入点(POP)提供商进行安全和防火墙访问互联网。这些组件的“安全捆绑”和/或永久性安全捆绑和/或持续安全捆绑提供了优于传统技术的安全性增强。系统的硬件可以被配置用于监控网络，并提供用于将音频/视频内容流传输到场外位置的交易批准。系统的硬件可以进一步被配置用于实现在用户的智能电话、电视、计算机、平板电脑、智能显示器或其他设备(例如，远程放置的投影仪)上执行的专有应用和/或任何合适的应用。

本发明的一个方面提供了一种装置，包括：篡改响应壳；媒体块和转码器，所述媒体块的至少一个安全管理部件位于所述篡改响应壳内，所述媒体块和所述转码器通过数据桥进行通信，所述媒体块和所述转码器基于与至少所述媒体块相关联的加密证书，在安全捆绑中相互连接，所述媒体块被配置为：通过所述数据桥，将基于第一加密密钥从数字内容生成的加密输出提供给所述转码器；所述转码器被配置为：生成与一个或以上令牌相关联的转码输出，该一个或以上令牌用于在相应用户终端设备上回放相应转码输出，所述相应转码输出由所述加密输出生成，所述加密输出使用与所述第一加密密钥相关联的第二加密密钥来解码；和输出所述相应转码输出到与相应令牌相关联的所述相应用户终端设备。

本申请的另一方面提供了一种方法，包括：通过数据桥，从媒体块向转码器提供基于第一加密密钥从数字内容生成的加密输出，所述媒体块的至少安全管理部件位于篡改响应壳，所述媒体块和所述转码器基于至少与所述媒体块相关联的加密证书，在安全捆绑中相互绑定；在所述转码器，生成与一个或以上令牌相关联的转码输出，该一个或以上令牌用于在相应用户终端设备上回放相应转码输出，所述相应转码输出由所述加密输出生成，所述加密输出使用与所述第一加密密钥相关联的第二加密密钥来解码；和输出所述相应转码输出到与相应令牌相关联的所述相应用户终端设备。

在附图和以下描述中阐述了本文所描述主题的一个或多个变型的细节。根据说明书和附图，本文描述的主题的其他特征和优点将显而易见。

附图说明

图1是根据本申请的示例的用于分发数字音频和视频内容的示例系统的方框图。

图2是描绘本申请的一个可能示例的进一步细节图。

图3A是描绘本申请的示例的进一步细节图。

图3B描绘了根据本申请示例的网站的示例性登录屏幕。

图3C描绘了根据本申请示例的网站的另一示例性部分。

图4描绘了根据本申请示例的设备的示意图，该设备至少包括具有转码器的安全捆绑中的媒体块的安全管理部件安全管理器。

图5是根据本申请的示例的SCT的特征和能力的方框图。

图6描绘了根据本申请的示例的用于分发数字内容的方法的流程图。

图7描绘了根据本申请的示例的图4的设备的替代架构。

图8描绘了根据本申请的示例的图4的设备的另一替代架构。

具体实施方式

电影院放映商一直在努力解决降低的坐席率和来自在线流媒体服务和电视等的竞争。因此，这些放映商正在寻求解决方案，以吸引更多人到电影院，从而增加门票销售。该问题的传统解决方案包括在电影院和高级电影院设施中使用优质音频和视频技术(例如，豪华座位选择、更好的食物供应等)等。然而，这些传统的解决方案几乎没有提高电影院坐席率和增加门票销售。

为了克服传统方法的缺陷，本申请描述了用于分发数字内容的设备、系统和方法。虽然将关于将音频和视频内容一起分发(例如，数字电影)来描述本申请，但是本文描述的设备、系统和方法可以用于分发任何可播放的数字内容，包括但不限于视频内容(有或没有音频)和音频内容(例如没有视频)等。如下所述，本申请的设备、系统和方法提供基于硬件的技术解决方案，该技术解决方案能够将电影院内容(包括预展广告和电影预告片)映射和/或传输到场外位置的参与的合格设备。在本文描述的示例中，场外位置可以包括用户的个人设备(例如，智能手机、平板计算机、膝上型或台式计算机、电视、智能显示器等)。在其他示例中，场外位置可以包括专用视频和投影硬件的相对永久的安装(例如，包括电影放映机、媒体块等)。

这里描述的用于将电影院内容映射和/或传输到场外位置和设备的技术使“虚拟剧院”或“虚拟电影院院”成为可能，由此放映商可以向非现场观众出售门票(例如，非物理、虚拟门票)。在本申请中，术语“映射”是指虚拟影院中的一个“屏幕”能够通过安装在一个或以上用户终端设备的终端用户回放应用，由一个或以上远程用户播放实时可视的内容。应当理解，术语映射不仅仅意味着“流式传输”或“按需”，因为传统上使用这些术语。

使用本文描述的技术可以使放映商能够扩展其覆盖区而无需建造更多的电影院，并且能使业务扩展到不借助该技术就可能无法去电影院的人们，即时他们很想去。本申请的一些方面解决了电影业消费者的消费习惯的演变问题，其中消费者可能希望在他们想要的时间和地点观看内容。这些消费者中的许多人宁愿不限于在电影院的实体位置观看“首映”电影内容。预期满足其消费者消费习惯的变化动态是一种不可避免的变化，这里描述的设备、系统和方法还允许放映商成为服务于消费者需求的主要实体，其条款允许现有商业模式的可行性基本上保持完整。

如下面详细描述的，本申请的技术包括专门用于执行与数字内容分发相关的功能的硬件。在一些示例中，硬件包括在制造时物理和/或电性连接在一起的集成媒体块(IMB)(和/或媒体块)和安全内容转码器(SCT)(和/或转码器)。这些组件的永久和/或持续“连接”提供了优于传统技术的安全性增强。在一些示例中，本文描述的系统和设备包括用于监控网络并提供用于将音频/视频内容传输到场外位置的交易批准的功能。这里描述的系统和设备还可以包括在用户的智能电话、电视、计算机、平板电脑、智能显示器或其他设备上执行的专有应用和/或任何合适的应用。

为了说明本申请的系统和硬件的组合功能的示例，参考图1。图1是根据本申请的一些示例的用于分发数字音频/视频内容的示例系统的方框图。硬件102包括通过网络104(例如，因特网)发送到一个或以上用户终端设备112A、112B、112C的数字音频/视频内容源。如图1所示，硬件102包括IMB 106和SCT 108。这些组件一起可以对的传统的数字电影包(DCP)进行托管和转码。在一些示例中，IMB 106和SCT 108在制造时物理地和/或电性地连接并且一起填充硬件机架中的空间(例如，物理上位于放映商的营业场所或网络运营中心的硬件机架(NOC)114)。虽然NOC(诸如NOC 114)在本文中被称为网络操作“中心”，但本领域技术人员理解NOC包括实现网络运营中心功能的计算设备、服务器等的任何合适组合。IMB106和SCT 108的连接实现了“永久和/或持续的安全捆绑”，如下面参考图4所述。

IMB 106和SCT 108的输出被发送到交换机110、交换机110使得音频/视频内容能够通过网络104发送到用户终端设备112A、112B、112C。在一些示例中，用户终端设备112A、112B、112C(例如，智能手机、平板计算机、膝上型或台式计算机、电视、智能显示器、投影仪等)执行允许观看通过网络104接收的数字(例如，音频/视频)内容的专用专有应用。这个应用在这里可以称为“终端用户回放应用”。在其他示例中，可以使用任何合适的传统应用和硬件(例如，Apple TV^TM、Roku^TM、Fire^TM等)来查看音频/视频内容，但可能要使用专用软件许可来访问内容。此外，在一些示例中，可以使用客户关系包(CRP)或客户关系管理(CRM)软件来确定允许用户终端设备处的哪些用户和/或用户终端设备和/或应用接收音频/视频内容。

当数字内容通过网络104传输(或在数字内容通过网络104传输之前)到用户终端设备112A、112B、112C时，NOC 114可以监控网络104并提供交易批准和安全功能。具体地，NOC 114可以被配置用于提供各种服务，包括IMB/SCT双方的可信设备列表(TDL)维护，以及CRM用户的应用数据的所有标识信息，这些信息可以绑定到硬件(例如，终端用户112A、112B、112C)的MAC(媒体访问控制)地址。当安全管理员设备必须验证安全连接中的一个或多个设备的标识时，使用TDL来发出“解密密钥”，该密钥对于设备和在该设备中被解密的数字内容是唯一的，例如以提供从硬件102的输出到用户终端设备112A、112B、112C，这些解密密钥对于每个用户终端设备112A、112B、112C都是唯一的。在本申请的一些示例中，NOC114被配置用于维护提供内容的IMB/SCT的标识以及用户终端设备(例如，配备有用于显示内容的嵌入式回放应用的用户终端设备)从IMB/SCT接收内容，以便只有用户终端设备能够解密内容以进行回放。因此，在一些示例中，NOC 114召回虚拟电影院的TDL数据(例如，包括IMB、SCT和交换机组件的虚拟电影院，并且其可以位于放映商营业地或NOC 114的机架中)和终端用户回放应用(例如，在用户终端设备112A、112B、112C上执行的终端用户回放应用)。

NOC 114可以进一步被配置为提供以下服务的一个或以上：(i)监控虚拟电影院(例如IMB/SCT)和终端用户回放应用之间的服务质量以验证播放完成，(ii)向放映商的销售点(POS)系统验证最终用户回放应用，(iii)在终端用户回放应用和虚拟电影院之间设置和监控虚拟网络连接(VNC)，(iv)监控流量以确保网络安全，(v)为终端用户回放应用发出“令牌”来发送到IMB/SCT以开始音频/视频传送(尽管这种令牌的生成通常发生在用户终端设备，例如在获得NOC批准后)，(vi)记录交易信息(例如，金融交易信息)以用于计费，(vii)促进CRM/POS与虚拟电影院之间的认证交易细节，以及(viii)托管和推出软件更新，按照放映商和/或最终用户或平台(应用功能改进/错误修复)或OS改变(例如，电视制造商改变OS，最终用户回放应用可更新)来决定。

图2是描绘本申请的示例的进一步细节的图。机架202包括至少两个“虚拟电影院院”。机架202的每个虚拟电影院院包括组合IMB和SCT单元204，其可以以与机架202兼容的计算机板格式提供，单元204的IMB和SCT组件在制造时如参考图4进一步详细描述的，被连接和/或电性连接在一起。机架202的每个虚拟电影院还包括耦合到网络208的交换机206(例如，10GB交换机等)。虽然在图2中仅描绘了一个IMB和SCT单元204，以及一个与IMB和SCT单元204通信的交换机206，但本领域技术人员理解机架202中的每个虚拟电影院可以包括相应IMB和SCT单元，以及交换机。网络208可以包括因特网或用于将音频/视频内容从机架202的虚拟电影院院传送到用户终端设备212的另一网络。

在一些示例中，机架202可以物理地位于放映商的营业地点(例如，在电影院的投影室中的现场)。如本文所述，机架202的硬件使得能够将电影院内容映射和/或传输到场外位置和设备。此外，可以基于放映商的需要配置机架202。可配置参数可以包括(i)多个“虚拟”屏幕(例如，如所描绘的10个虚拟屏幕，但可以包括少至一个虚拟屏幕)，(ii)质量或格式类型(例如，2k、2D、24Hz、立体声2通道声音，包括但不限于120Hz的4K 3D HDR(高清晰度范围)，具有沉浸式音频等)，(iii)使一个或以上IMB/SCT与现有影院管理系统(TMS)和用于调度的POS连接的选项，以及(iv)允许将单个IMB/SCT“按需”用于单个售票等的选项。虽然机架202可以位于放映商的实体商业位置，但是在其他示例中，机架202可以位于托管许多这样的机架的不同的集中位置(例如，NOC 114等)。为了提供安全性，可以监控和记录机架202处的活动，包括对机架202的物理访问。此外，机架202可以与影院现有的TMS和POS系统连接。在一些示例中，机架202可以与影院的投影仪中的现有屏幕管理系统(SMS)对接，使得播放和发送到用户终端设备212的数字内容也可以由影院的投影仪投影，例如在给定的时间。在一个示例中，永久和/或持续连接的IMB/SCT单元中的至少一个可以被分配“按需状态”，由此终端用户可以使用相应的用户终端设备，使用专有机制和/或能够以反映最终用户的观看时间偏好的方式修改“开始时间”的任何合适机制来控制该IMB/SCT单元的音频/视频传送时间的开始。

在一个示例中，机架202的虚拟电影院可以被配置为基于包含在用户的放映商CRM简档中的数据和/或来自分析并存储在NOC(例如，过去购买的电影票、特许权和邻近最近的电影院)的用户数据库中的第三方来源的数据，传送“目标”广告和电影预告片，和/或其他内容。其中，所述NOC可以包括用户的社交媒体简档，所述社交媒体简档包括第三方数据或分析。因此，NOC等可以被配置用于构建数据库和/或执行数据分析，以识别将与每个消费者和/或用户或消费者和/或用户组共振的广告类型。数据库还可以包括使用代码和关键字组织的视频和音频广告，以使NOC能够基于消费者的简档自动从数据库中选择广告。软件可以跟踪这些选择以及每个广告被递送的次数，以向广告商创建审计跟踪和计费系统。

如图2所示，虚拟电影院的IMB和SCT单元204可以接收基带加密的音频/视频(例如，来自外部存储设备)，例如使用由基带加密的音频/视频表示的数字的分发者(例如工作室)相关联的私钥加密；单元204可以使用互补解密公钥对基带加密的音频/视频进行解密，并为每个可以加密的用户终端设备112A、112B、112C生成转码输出(例如，使用与用户终端设备112A、112B、112C相关联的相应密钥和/或加水印(例如，依法标记)。可以根据存储在CRM软件中的用户数据来设置水印，并且水印可以特定于给定的用户终端设备112A、112B、112C。此外，IMB和SCT单元204的转码输出可以根据专有编解码器和/或任何合适的编解码器和服务质量(QOS)自动检测软件生成，也如图2所示。在交换机206处接收IMB和SCT单元204的转码输出，其提供经由网络208将加密的数字内容(例如，转码输出)传输到最终用户设备212，其中加密的数字内容是由用户终端设备212的计算设备(例如，处理器和/或控制器等)实现的应用218解密和播放。

当转码数字内容经由网络208被发送到用户终端设备212时，可以执行特定服务210(例如，经由任何合适的计算设备和/或服务器设备等)。服务210可以包括上面参考图1的NOC 114描述的那些服务。此外，如图2所示，这些服务210可以包括影院POS和门户网站交易认证。如本文所述，服务210还可以包括用于可靠地和安全地将音频/视频内容流传输给消费者的那些服务。

用户终端设备212在图2中被描绘为电视，但是可以包括各种其他设备(例如，智能电话、平板电脑、台式计算机和膝上型计算机、智能显示器、远程投影仪等)。如图所示，用户终端设备212可以位于用户的家中，从而能够在家中观看电影院内容，如本文所述。在一些示例中，用户终端设备212执行应用218(例如，专有应用)，其可以是驻留在用户终端设备上的嵌入式应用。在一些示例中，可以在其上托管应用218的用户终端设备212上不允许硬盘驱动器或其他可记录介质，和/或在用户终端设备212上不允许发送到硬盘驱动器或其他可记录介质的数字内容的存储(例如，当检测到硬盘驱动器等时，可能不允许在设备上安装应用218)。此外，可以允许任何有限的缓冲通过非易失性RAM(例如，“暂停”功能在有限的时间内，正如与关键利益相关者和内容所有者协商的)。这些特征可以提供进一步的安全性并确保音频/视频内容不被最终用户非法复制。

在一些示例中，为了在最终用户设备212上安装应用218，用户终端设备212的用户可以使得应用218从优选的放映商的电子商务门户(例如，基于云的设备和/或服务器等)下载到用户终端设备212上。在启动时，为应用218生成唯一的序列号，其可以基于主机硬件(例如，用户终端设备212)的MAC地址。接着由终端用户回放应用218生成标识符(ID)，并将其发送到NOC以进一步验证，然后发送到放映商的POS/CRM系统。可能会记录地理位置，并且可能会确认“已签名”的用户许可。网络运营中心将考虑用户终端设备212然后进行认证，并将序列化、用户数据、地理位置信息、硬件配置和其他相关信息添加到NOC维护的TDL和/或数据库。

应用218和/或用户终端设备212的硬件可以执行集成的QOS监控以确保优化用户体验(例如，最小5Mbps等)。可以在设置时存储位置和活动记录标识，以便将来集成到CRM系统。应用218可以进一步提供调整大小选项，以根据用户偏好优化本地流(例如，1080P@24Hz)。例如，将2.39的大小增加到不是信箱，而是全屏，或者基于嵌入在图像帧中运动键的自动平移和扫描。然而，应用218可以具有用于播放数字内容的任何合适的功能。

为了提供交易和认证服务210的进一步细节，接下来参考图3A，其描绘了本申请的示例的进一步细节。所描绘的IMB和SCT单元302、NOC 304、网络306、用户终端设备312和应用318可以与上面参考图1和图2描述的对应特征相同或相似。因此，如图3A所示，IMB和SCT单元302可以是位于影院(例如，在安全机架)的硬件，用于接收加密的数字(例如音频/视频)数据并生成加密的、加水印的转码数字内容，如所描述的以上参考图2。NOC 304可以监控网络306并向终端用户以及其他服务提供内容的交易批准。

用户终端设备312可以基于用户与网站308的交互来接收转码的数字内容。在一些示例中，用户终端设备312的用户使用通信设备(其可以包括但不限于用户终端设备312)以相关联的CRM ID登录网站308。在图3B中描绘了网站308的示例性登录屏幕。如图3B所示，网站308的登录允许可信用户输入电子邮件地址和密码。在用户登录之后和/或之后，显示“家庭内邀请”(例如，家庭内观看)的显示时间。为了说明这一点，参考图3C。如图3C所示，在网站308处，内容的某些显示时间(例如，如图3C所示，标题为“电影电影！”的电影)被标记(例如，用椭圆399圈出)，具有标识符(例如，一张房子的照片)，表明他们可以在异地观看，而不是在电影院观看。图3C中描绘的电影的其他时间是在一个选定电影院的物理影院放映电影。用户能够选择这些标记的放映时间(例如，由椭圆形399圈出)并购买门票(例如，非物理的、虚拟的门票)以便在场外观看电影。虽然未示出，但是用户可以进一步选择观看所选电影的分辨率；例如，所选电影的4K分辨率版本可能花费超过所选电影的2K分辨率版本。本领域技术人员理解，这样的放映时间与虚拟电影院(例如，机架202中的虚拟电影院和/或单元204、302之一)相关联，而不是与电影院中的物理电影相关联。此外，本领域的技术人员理解，虽然虚拟电影院的放映时间在图3C中被描绘为与物理电影相关联，但是在其他示例中，网站308可以包括仅对于虚拟电影院中所示的电影的放映时间；然而，在一些示例中，可以在地理上提供和/或限制在虚拟电影院院中显示的电影的这种放映时间(例如，根据运行电影院的参展者具有协商权利或许可来显示电影的地理区域)。

再次参考图3A，在向用户终端设备312提供内容的交易批准时，NOC 304可以执行某些服务。这些服务可以包括但不限于：(i)验证用户的交易，(ii)监控设备依从性(例如，用户终端设备312)，(iii)确定所需的QOS，(iv)分配必要的连接(v)促进插入针对终端用户定制的重点节目广告。来自所描绘的IMB和SCT单元302的电影院/数字内容通过网络306传送(例如，以流传输方式)到用户终端设备312，例如一次(例如，椭圆形399中的一个时间)通过图3C中描绘的网站选择。然而，在一些示例中，来自所描绘的IMB和SCT单元302的电影院/数字内容可以“按需”递送，例如当在图3C中的网站处选择电影院/数字内容时，而不是在预定时间。

图4描绘了用于递送数字内容的设备400，其可以表示单元204和/或单元302的示例。如图所示，装置400包括篡改响应壳401、IMB 402(以下可互换地称为媒体块402)和位于篡改响应壳401内的SCT 404(下文中可互换地称为转码器404)。如图所示，设备400还包括SMS(屏幕管理系统)403，如图所示，其与存储数字内容的外部存储设备405接口，以及通过任何合适的连接器和/或连接408向设备400提供密钥分发消息(KDM)的USB(通用串行总线)设备407连接。或者，可以通过以太网端口(未示出)接收KDM。虽然SMS 403被描绘为与媒体块402不同，但是在其他示例中，媒体块402可以包括SMS 403；在这些示例中的一些示例中，SMS 403也位于篡改响应壳401内，然而，如图所示，SMS 403位于篡改响应壳401之外，并且安全管理部件409位于篡改响应壳401内。安全管理部件409在下文中可互换地称为安全管理器409。通常，安全管理部件409包括被配置用于接收和解码数字内容的媒体块402的一部分，并且包括存储安全捆绑密钥的防篡改存储器。实际上，在一些示例中，至少部分解码未加密内容的媒体块和任何存储器存储安全捆绑密钥位于篡改响应壳401中。

篡改响应壳401可以符合联邦信息处理标准(FIPS)并且可以包括用于检测和/或防止对位于篡改响应壳401中的组件的未授权访问的一个或以上物理和/或电子安全机制，包括但是不限于，篡改响应壳401中存储在存储器中的加密密钥。例如，当检测到未遂的未授权访问时，至少可以删除存储在设备400的存储器中的密码密钥和/或可以破坏这样的存储器。因此，安全管理器409和转码器404都可以放置在篡改响应壳401中并具有足够的冷却度，并且满足防篡改规范。

媒体块402和转码器404可以物理地和/或电性地连接在一起(例如，通过篡改响应壳401)；在所描绘的示例中，媒体块402的安全管理器409和转码器404经由数据桥410物理地和/或电性地连接在一起。通常，设备400(例如，媒体块402(包括SMS 403)和转码器404一起)可以被配置为一起填充硬件机架中的空间，例如机架202。在一些示例中，设备400还包括类似于开关206的开关，其与媒体块402(包括SMS 403)和转码器404一起也可以被配置以填充硬件机架中的空间。

媒体块402的安全管理器409和转码器404经由数据桥410进行通信，至少媒体块402的安全管理器409和转码器404在基于与至少媒体块402的安全管理器409相关联的加密证书在“安全捆绑”和/或“永久安全捆绑”和/或“永久安全捆绑”中彼此物理地和/或电性地连接。在一些示例中，安全捆绑可以进一步基于与转码器404相关联的相应加密证书。

实际上，“永久安全捆绑”可以被理解为意味着两个组件(例如，安全管理器409(和/或媒体块402)和转码器402)在工厂“捆绑”，并且各个部件在现场无法更换。“持续安全捆绑”可以理解为安全捆绑持续到故意破坏(例如，在恶意实体难以复制的受控和/或预定义条件下)，但可以在现场重建；持续安全捆绑可允许在现场更换媒体块402和/或转码器402。因此，这里使用的术语“安全捆绑”包括永久安全捆绑和/或持续安全捆绑。图4中描绘的架构是永久安全捆绑。在图7和图8中描绘了包括持续安全捆绑的架构的示例。

图4进一步描绘了媒体块402的模块，并且进一步描绘了转码器404的模块，转码器404经由数据桥410电性连接到媒体块402的安全管理器409(例如，从安全管理器409到转码器404传输的输出可以如下所述加密)。通常，在数据桥410上传输的数据是加密的，因此数据桥410可以替代地称为加密的数据桥。在本申请的一些示例中，媒体块402的安全管理器409与转码器404的连接形成“永久(和/或持续)安全捆绑”。这些组件的连接可在制造时发生。实际上，这种连接可以包括电性和/或物理连接和/或定位安全管理器409(和/或媒体块402的所有组件和/或至少媒体块402和转码器404的存储器)和篡改响应壳401中的转码器404。在一些示例中，可以经由连接媒体块402的安全管理器409和转码器404的电缆(例如，数据桥410)进行连接，并且电缆可以是可移除的或永久的(例如数据桥410可以包括电缆等)。

然而，可以使用与至少媒体块402的媒体块402和/或安全管理器409相关联的加密证书的私钥和公钥(例如，安全捆绑密钥)来进一步完成连接。例如，如图所示，媒体块402的安全管理器409的防篡改存储器420(例如，防篡改存储器420位于篡改响应壳401中)存储至少一个安全捆绑密钥421，其可以是是用于签署与安全管理器409和/或媒体块402相关联的加密证书的私钥。类似地，转码器404的防篡改存储器430(例如防篡改存储器430位于篡改响应壳401中)可以存储至少一个安全捆绑钥匙431，其可以是与安全管理器409和/或媒体块402相关联的加密证书的公钥。然而，这种公钥可以替代地存储在转码器的不防篡改的存储器(未示出)中，例如不位于篡改响应壳401中的存储器。

实际上，定义安全捆绑的安全捆绑键421、431存储在一个或以上的媒体块402和转码器404的相应防篡改存储器420、430中。

因此，由存储在安全管理器409的防篡改存储器420中的私钥加密的数据可以由转码器404的公钥解密。当设备400第一次打开时，和/或此后周期性地，安全管理器409(和/或媒体块402)和转码器404通常通过执行握手来确认彼此的标识和/或存在其中，由存储在防篡改存储器420中的私钥加密的数据由存储在防篡改存储器430中的公钥解密。当握手成功时(例如，安全管理器409(和/或媒体块402)和转码器404通常确认其间的成功加密/解密)，设备400通常继续正常操作。然而，当篡改响应壳401被篡改(其可包括攻入和/或破坏数据桥410)时，存储器420、430被擦除和/或破坏并且握手失败。因此，安全管理器409(和/或媒体块402)与转码器404之间的安全捆绑可以包括在篡改响应壳401和存储器420、430处配置安全捆绑键421、431中的安全管理器409(和/或媒体块402)和转码器404(和/或至少存储器420，430)的物理放置，。然而，在其他示例中，转码器404可以不位于篡改响应壳401中和/或转码器404可以位于相应篡改响应壳401中；下面参考图7和图8描述这种替代架构。

在其他示例中，代码转换器404还可以与相应的数字证书相关联(例如，与安全管理器409(和/或媒体块402)的数字证书不同)，并且与相应数字证书相关联的私钥被存储在转码器404的防篡改存储器430中；在这些示例中，安全管理器409(和/或媒体块402)的防篡改存储器420可以存储转码器404的相应数字证书的公钥。在这些示例中，握手可以包括确认由存储在防篡改存储器430中的私钥加密的数据被存储在防篡改存储器420中的公钥解密。实际上，与安全管理器409(和/或媒体块402)和转码器404相关联的数字证书的任何合适组合都在本申请的范围内。

在一些示例中，当连接和/或结合时，安全管理器409(和/或媒体块402)与转码器404之间的安全捆绑可以被称为“虚拟屏幕”标识和/或“虚拟电影院”标识(例如，简要参考图2，可以提供每个单元204的数字证书)。此外，可以基于现有的和/或生成的X509公共证书的标识(例如，用媒体块402的RSA(Rivest-Shamir-Adleman)私钥签名)生成这样的标识，但是其他类型的数字证书是在本申请的范围内。

实际上，媒体块402和转码器404可以与上面参考图2描述的单元204的IMB和SCT相同和/或类似。本领域技术人员理解，媒体块402和转码器404中的每一个通常包括一个或以上相应处理器和/或控制器和/或微控制器和/或数字信号处理器(DSP)现场可编程门阵列(FPGA和/或专用集成电路(ASIC)，其可以特别适用于实现媒体块402和转码器404的相应功能。

以下更详细地描述媒体块402。特别地，媒体块402可以类似于与投影仪一起使用的集成媒体块(例如，在电影院中)，但是适于与设备400和/或转码器404一起使用。虽然未示出，但是媒体块402还可以适于根据传统方式在实体和/或物理电影院与投影仪通信。

SMS 403通常是用于设备400与外部存储设备405(例如USB设备407)接口的通信集线器。SMS 403通常不“播放”从外部存储设备405接收的数字内容，而是执行命令以将数字内容传送到设备400的其余组件以进行回放、摄取、解密等。

这样，如所描绘的，SMS 403可以包括MXF(材料交换格式)展开模块，用于从存储为MXF文件的外部存储设备405中展开数字内容；如所描绘的，SMS 403还可以包括用于向安全管理器409提供数字内容的通用数据协议发送器(UDP TX)模块。

在播放存储在外部存储设备405中的数字内容期间，UDP TX模块通常接收由MXF解包模块打开的加密和加密的DCP文件(例如，以JPEG 2000和/或MPEG-2格式存储并存储为MXF文件)，和/或UDP TX模块通常接收未被存储为MXF文件的未加密的替代内容(例如，以MPEG-2格式和/或H.264格式)。UDP TX模块组合内容并将内容提供给安全管理器409。

然而，在一些示例中，如所描绘的，在播放存储在外部存储设备405处的数字内容之前，设备400可以在摄取过程中解密数字内容的未加密的定时文本(例如，字幕)：从接收加密的定时文本外部存储设备405；使用从USB设备407接收的KDM确定的解密密钥解密加密的定时文本(如下所述)；并且在外部存储设备405处存储435解密的定时文本。例如，诸如电影之类的数字内容以加密格式存储在外部存储设备405中，包括其字幕。在播放电影之前，可以检索、解密字幕并将其存储回外部存储设备405，以便在以后播放电影时有效；这样的过程可能是电影“摄取”过程的一部分。

如图所示，媒体块402包括SMS 403(但是SMS 403可以与媒体块402分离，如通过虚线437所示。此外，在一些示例中，每个设备400包括单独的SMS；然而，在其他示例中，包括至少两个设备400的每个机架(诸如机架202)可以包括处理外部存储设备与所有设备400之间的通信的一个SMS。

如图4所示，SMS 403(和/或媒体块402)可以包括用于耦合到外部存储设备405的连接408(例如，网络连接存储(NAS)和/或直接连接存储(DAS))。连接408还可以包括用于从USB设备407(例如USB驱动器)接收KDM的USB端口。KDM通常用于传送存储在外部存储设备405的加密数字内容的解密密钥(例如，AES密钥)；这种解密密钥与存储在存储器420、430中的密钥421、431不同，并且通过KDM从数字内容的分配器提供。KDM通常包括XML(可扩展标记语言)文件，每个文件包括加密的有效载荷(例如，使用RSA加密)，其使用与设备400相关联的数字证书的公钥(例如，与存储在存储器420、430中的密钥421、431不同)加密并使用互补私钥(也与存储在存储器420、430中的密钥421、431不同)；KDM的加密有效载荷通常包括用于解密存储在外部存储设备405中的数字内容的AES密钥。虽然未示出，但是用于解密KDM的私钥可以存储在存储器420中。

在播放电影等期间，媒体块402可以(例如，通过SMS 403)接收未加密的替代内容(例如，可以基于与用户终端设备相关联的用户的CRM简档来检索，其中数字内容是可以从外部存储设备405传输加密和未加密的DCP文件(例如，数字内容)。可以在媒体块402的安全管理器409处接收该数据和/或数字内容。例如，加密的DCP文件可以包括使用图3C中描绘的网站选择的电影；未加密的DCP文件可以包括电影预告片，广告等。

如图4所示，安全管理器409耦合到和/或位于防护外壳401中。安全管理器409包括视频处理模块442(例如标记为“FPGA#1F”的FPGA)、安全管理器处理器445、MPEG/H.264解码模块447(例如，FPGA标记为FPGA#2并且其可以是与FPGA#1不同的FPGA)、以及音频依法标记模块449(例如，其可以包括数字信号处理器(DSP)。

在传统的IMB中，在投影仪处，来自音频依法标记模块的输出可以耦合到连接器(例如，其在RJ45和/或RJ45连接器对上承载AES3格式的音频)，其将音频输出到投影仪的音频系统；然而，如图所示，来自音频依法标记模块449的输出与来自媒体块402的其他模块的输出组合，例如使用多路复用器456。

如图所示，视频处理模块442包括用户数据协议接收器(UDP RX)模块、媒体解密器+HMAC(基于散列的消息认证码)模块(以下称为媒体解密器模块)、流处理器模块(缓冲区)、JPEG 2000解码模块、音频通道映射模块和视频依法标记模块。UDP RX从SMS403的UDP TX模块接收数字内容，并将数字内容提供给媒体解密器模块，如图所示，安全管理器处理器445包括RSA解密模块，其耦合到视频处理模块442的SMS 403和媒体解密器模块。

例如，安全管理器处理器445通常可以通过USB设备407接收一个或以上的KDM。RSA解密模块响应地向视频处理模块442的媒体解密器模块提供AES(高级加密标准)解密密钥。然后使用AES解密密钥(例如，通过KDM接收)来解密经由SMS 403的UDP发送器模块接收的加密数字内容。

因此，媒体解密器模块通常接收AES密钥(其可以在整个电影的构图的播放中变化，例如根据电影的数字卷轴)。解密的数字内容(和任何未加密的数字内容)被提供给流处理器，流处理器确定接收的数字内容的格式并将数字内容提供给JPEG 2000解码模块或MPEG/H.264解码模块，视格式而定。

视频处理模块442的JPEG 2000解码模块可以接收JPEG2000格式的数字内容并解码(例如播放)这样的数字内容。同样，MPEG/H.264解码模块447可以接收MPEG和/或H.264格式的数字内容，并解码(例如播放)这样的数字内容。

如图所示，来自JPEG 200模块的输出被提供给视频依法标记模块以用于依法视觉标记。然而，MPEG/H.264解码模块的输出也可以提供给视频依法标记模块(和/或另一视频依法标记模块)以用于依法视觉标记。如图所示，流处理器模块将所接收的数字内容的音频输出到音频通道映射模块，音频通道映射模块又将音频输出到音频依法标记模块449以进行音频依法标记。但是，这种音频依法标记可以是可选的。

JPEG 2000解码模块(例如，通过视频处理模块442的视频依法标记模块)、MPEG/H.264解码模块447和音频通道映射模块(例如，通过音频依法标记模块449)耦合到多路复用器456。视频依法标记模块和音频依法标记模块449可以分别在视觉上和听觉上“标记”来自媒体块402的输出在给定时间“播放”，例如在输出被非法记录的情况下；但是，这种依法标记可以是可选的。

简要地返回到SMS 403、SMS 403还包括耦合到多路复用器456的定时文本网络服务器457，其向多路复用器456提供字幕(例如，未加密的定时文本)，用于从外部存储设备405接收的数字内容。然而，在其他示例中，字幕可以经由UDP TX模块在安全管理器409处接收，并且由安全管理器409提供给多路复用器456。无论哪种方式，媒体块402可以进一步被配置为用于对数字内容的音频和视频的一个或以上进行取证，并且还为数字内容提供字幕。

安全管理器409(和/或媒体块402)还可以包括加密模块464，其接收并加密来自多路复用器456的输出。由加密模块464生成的加密输出经由数据桥410提供给转码器404。在一些示例中，加密输出可以包括加密的10比特视频和8轨道音频(例如，杜比5.1+Hi/Vi)，不过任何合适的加密输出格式都在本申请的范围内。实际上，加密输出的格式可能取决于所接收的数字内容。下面描述用于向转码器404提供加密输出的加密方案。

应当理解，本申请的媒体块402不限于图4的特定示例。因此，在其他示例中，可以使用具有不同组件和/或不同特征和功能的不同IMB。

图4还描绘了转码器404的模块。特别地，转码器404还包括解密模块465，其通过数据桥410从安全管理器409的加密模块464接收加密输出。解密模块465通常解密加密输出。

在模块464、465之间发生的加密/解密可以以任何合适的方式发生。然而，通常，在加密模块464处接收的数字内容使用第一加密密钥(例如，存储在存储器420中)来加密，并且在解密模块465处接收的加密数字内容使用第二加密密钥来解密。

在一些示例中，第一加密密钥包括与媒体块402的数字证书相关联的私钥(例如，安全捆绑数字证书)，并且第二加密密钥包括与数字证书相关联的公钥；因此，在这些示例中，在加密模块464处从多路复用器456接收的数字内容经由私钥被加密(例如，使用RSA加密)，并且在解密模块465处从加密模块464接收的加密数字内容通过公钥被解密(例如，使用RSA解密)。

然而，使用RSA格式的这种加密/解密可能并不总是适用于高分辨率数字内容(例如大视频文件等)。因此，在其他示例中，可以在模块464、465处使用AES加密/解密。在这些示例中，第一加密密钥和第二加密密钥可以各自包括相同的对称加密密钥(例如，与安全捆绑密钥421、431不同)。此外，在这些示例中，数据桥410可以被称为完全加密的AES数据桥(和/或完全加密的AES 128数据桥，当实现128AES加密时)。这种对称加密密钥可以存储或不存储在存储器420、430中，然而，这种对称加密密钥通常位于篡改响应壳401中。

在另外的示例中，媒体块402(和/或安全管理器409)和转码器404可以被配置用于在媒体块402(和/或安全管理器409和/或加密模块464)将加密输出提供给转码器404(例如，解密模块465)之前，经由数据桥410协商传输层安全性(TLS)会话。在这些示例中，第一加密密钥和第二加密密钥中的每一个可以包括与TLS会话相关联的TLS密钥(例如，不同于安全捆绑钥匙421，431)。这样的TLS键可以存储或不存储在存储器420，430中，然而，这种TLS键通常位于篡改响应壳401中。

然而，媒体块402(和/或安全管理器409)与转码器404之间的任何合适的加密/解密过程都在本申请的范围内。例如，还可以在媒体块402(和/或安全管理器409)与转码器404之间使用虚拟专用网络(VPN)方案。

如图所示，代码转换器404进一步包括代码转换器模块470，其被配置为生成与用于在各个用户终端设备处回放相应的代码转换输出的一个或多个令牌472-1、472-2...472-N相关联的相应代码转换输出，如上所述，从媒体块402的加密输出产生的各个转码输出被解密。

一个或以上的令牌472-1、472-2...472-N在下文中可互换地称为令牌472，集体称为令牌472，并且通常作为令牌472。虽然描绘了三个令牌472(例如，N是整数，并且如图所示，N＝3)，但是可以使用一个令牌472来生成转码输出。然而，令牌472的数量N可以是任何数量，并且通常对应于要向其提供转码输出的用户终端设备的数量；例如，一个或以上用户可以使用图3C中描绘的网站订购电影，并且NOC 114和/或NOC 304可以为每个订单生成相应令牌472。因此，NOC可以发送与选择电影的用户的每个用户终端设备相关联的令牌472。通常，令牌472可以由相应用户终端设备生成，并且NOC 114和/或NOC 304可以接收令牌472并将它们发布到转码器404，例如当要播放电影时(和/或在播放电影之前)。

因此，令牌472对于每个用户终端设备和/或应用218(和/或应用318)的相应实例是唯一的(例如，基于最终用户设备的MAC地址)。每个令牌472可以进一步与相关于相应用户终端设备的数字证书相关联，并且登录在NOC处，因此与认证密钥相关联(例如，用于使用设备400认证用户终端设备)以使令牌得以发布。每个令牌472还可以与用于提供给相应用户终端设备的转码输出的格式相关联。因此，转码器模块470可以使用给定令牌472来与NOC通信以确定用于相关联的用户终端设备的相应转码输出的格式，并且还用于认证相关联的用户终端设备，以及检索相应加密密钥以加密相应转码输出以供相关最终用户设备解密。实际上，转码器404也可以使用给定令牌472来确定相应用户终端设备和/或相应应用218的网络地址(例如，再次通过与接收到令牌472的NOC通信)。

实际上，本领域技术人员理解，在一些示例中，设备400还包括与转码器404的端口490通信的交换机206(等)，该交换机被配置为：发送通过端口490接收到的相应转码输出到相应用户终端设备。因此，如图所示，端口490被描绘为与交换机和/或网络和/或用户设备和/或NOC通信。

接下来将注意力转向图5，其示出了根据本申请的非限制性示例的示意性地示出转码器404的特征和能力的方框图。如图所示，转码器404包括FPGA 502，但是可以包括任何合适的控制器和/或处理器。FPGA 502可以执行各种功能，包括使用高效视频编码(HEVC)(或任何其他适当的数据压缩格式)对多个比特内容(例如，从5Mbps到100Mbps)的实时代码转换，输出的缩放从2K到1080P@本机帧速率(例如，24到120Hz)，包含在“安全硅”中的基于证书的安全性(例如，存储器420、430每个包括在该示例中的防篡改存储器)，用于存储安全捆绑密钥(例如，安全捆绑键421、431)和用于优化回放能力的视频服务质量(VQOS)切换等。

例如，FPGA 502执行解密模块465和转码器404的功能。此外，内容的多比特本可以各自包括从媒体块402通过数据桥410接收的数字内容的任何合适的比特率版本(和帧速率)；FPGA 502可以使用相应令牌472确定特定比特率版本，例如通过与接收到令牌472的NOC以及相关联的用户终端设备的网络地址等进行通信。FPGA 502还可以与NOC通信以确定与令牌472相关联的数字证书。FPGA 502还可以监控与相应用户终端设备的连接的QOS，并调整比特率版本(例如，分辨率等)和/或帧速率，以确保在用户终端设备处及时地(例如，为了防止由于网络质量差导致的重放延迟，可以至少暂时地降低分辨率和/或帧速率)接收转码输出。FPGA 502还可以使用令牌472确定要输出到最终用户设备的比特率版本；例如，用户可能已经选择以给定格式观看电影，并且相应令牌472可以与NOC处的给定格式相关联。

如图所示，转码器404还包括端口490。端口490可以是用于连接到交换机(例如，交换机206)的10G以太网端口，其可以包括10G防火墙交换机等，其可以是虚拟专用网络(VPN)和可寻址的传输安全层(TLS)；换句话说，FPGA 502可以使用端口490以加密格式经由交换机206将转码后的输出输出到用户终端设备(例如，可以在转码器404和用户终端设备之间建立VPN)以及通过VPN加密的转码输出。端口490可以配置有附加的安全特征，其禁止未经验证的外部连接(例如，支持仅使用网络访问控制列表，白名单IP地址或其他安全特征来接受来自VPN或虚拟私有云(VPC)中的设备的连接)。在一个示例中，每个虚拟电影院的每个SCT可以销售有限数量的虚拟票证(例如，多达40个，其可以取决于转码器404的处理能力)。

如图5所示，转码器404还包括到数据桥410的连接，该连接可以包括从安全管理器409和/或媒体块402到转码器404(例如，提供10比特视频和8轨道音频(5.1+HI/VI)等，和/或任何其他合适的格式)的完全TLS(和/或AES 128)加密数据桥。

注意，这里描述的硬件的规范仅仅是示例，并且在其他示例中规范可以是不同的。此外，应当理解，本申请的SCT不限于图4和图5的特定示例。因此，在其他示例中，可以使用具有不同组件和/或不同特征和功能的不同IMB和SCT。

此外，虽然关于一个媒体块402和一个代码转换器404描述了设备400，设备400还可以包括媒体块和代码转换器的多种组合，相应媒体块和相关转码器的每个组合基于与相应媒体块相关联的相应密码证书，在相应的永久和/或持续安全捆绑中彼此电连接。

现在将注意力转向图6，其示出了根据非限制性示例的用于分发数字内容的方法600的流程图。为了帮助解释方法600，将假设使用设备400执行方法600，例如，通过媒体块402和代码转换器404的FPGA 502(等)的控制器和/或处理器和/或FPGA等。实际上，方法600是可以配置本文描述的设备401/或系统的一种方式。此外，以下对方法600的讨论将导致对本文描述的设备401和/或其各种组件的进一步理解。然而，应当理解，本文描述的设备401/或系统和/或方法600可以变化，并且不需要完全如本文此处所述彼此结合的那样工作，并且这些变化在当前实施例范围内。

无论如何，需要强调的是，除非另有说明，方法600不需要以所示的确切顺序执行，除非另有说明；同样地，各种块可以并行而不是按顺序执行；因此，方法600的元素在本文中称为“块”而不是“步骤”。

此外，图6的“左”侧的块被理解为由媒体块402执行，并且图6的“右”侧的块被理解为由转码器404执行。

在块602处，媒体块402接收数字内容，例如从外部存储设备405接收数字内容。媒体块402可以在给定时间请求数字内容，例如在图6的网站中在椭圆399中提供的时间；例如，在椭圆形399中，媒体块402可以被配置为“播放”相关的数字内容。因此，媒体块402可以检索电影以及与给定令牌472相关联的内容。

例如，在块603，转码器404可以从NOC接收一个或以上令牌472，其中一个用于已选择数字内容以供查看的相应用户终端设备的每个用户。因此，每个令牌472与用户终端设备和/或用户终端设备的回放应用218、318相关联；令牌472还可以与已经为关联用户定制的内容相关联，例如电影预告片、广告等。因此，媒体块402可以与转码器404(例如，经由数据桥410)和/或NOC通信以确定要为播放而检索哪个定制内容。

在块604，媒体块402接收一个或以上KDM消息(例如，来自连接408的USB端口，并且经由USB端口处的USB密钥)，其由安全管理部件处理器445解密以获得用于解密的一个或以上解密密钥(例如，AES解密密钥)数字内容从外部存储设备405接收。

在块606，媒体块402解密加密的数字内容以产生未加密的数字内容(例如，在视频处理模块442处)。

在块608，媒体块402基于第一加密密钥从未加密的数字内容生成加密输出。

例如，在块608，媒体块402可以进一步使用多路复用器456来组合来自JPEG 2000解码模块(可以或可以不是依法标记)的数字内容，MPEG解码模块447(可以是或可以是不经依法标记的)，音频通道映射模块(可以或可以不通过音频依法标记模块449进行依法标记)和解密的定时文本(例如字幕)。

因此，在块608处，媒体块402可以进一步依法标记数字内容的音频和视频的一个或以上。

因此，本领域技术人员理解，可以通过以下方式将媒体块402配置为从数字生成加密输出：通过加密格式从外部存储设备(例如，外部存储设备405)接收数字内容；使用解密密钥(例如AES密钥)解密数字内容以生成未加密的数字内容；并使用第一加密密钥加密未加密的数字内容。

在块610，媒体块402经由数据桥410向转码器404提供加密输出。

在块612，代码转换器404经由数据桥410接收加密的输出。

在块614，转码器404使用与第一加密密钥相关联的第二加密密钥对从媒体块402接收的加密输出进行解密。

在块616，转码器404产生与用于在相应用户终端设备处回放相应转码输出的一个或以上令牌472相关联的相应转码输出，该相应转码输出从接收自加密输出媒体块402，如方法600的块614所解密的。

例如，转码器404可以与从其接收到令牌472的NOC通信(例如，在方法600的块603处)，以确定每个转码输出的格式。实际上，相应转码输出可以包括多个比特版本的数字内容，这取决于与每个令牌472相关联的格式。

此外，在块616，代转码器404可以将针对各个用户终端设备定制的内容插入到相应的代码转换输出中，例如，通过与接收到令牌472的NOC通信，以确定从媒体块402接收的哪个内容将被插入到各个转码输出中的每一个(例如，电影预告片、广告等，这是为相应用户指定的)。

在可选块618，代码转换器404可以加密在方法600的块616处生成的每个转码输出，例如，使用与每个令牌472相关联的密钥，如从接收到令牌472的NOC中检索的。因此，转码器404可以进一步被配置为以加密格式输出相应转码输出到相应用户终端设备。然而，也可以通过VPN和TLS提供这种加密格式。

在块620，转码器404可以将相应转码输出输出到与相应令牌472相关联的相应用户终端设备。方法600的块620可以包括经由令牌472认证相应的最终用户设备。此外，在方法600的块620处，转码器404可以通过将相应转码输出输出到相应用户终端设备处的相应回放应用(例如，应用218)来将相应转码输出输出到相应用户终端设备。

实际上，在一些示例中，方法600可以包括从相应用户终端设备(例如，从相应应用218)接收对在转码输出中编码的数字媒体的请求，以及在认证中使用的和/或用于与NOC通信以实现标识验证的令牌472的副本。

在一些示例中，方法600还可以包括转码器404基于与相应用户终端设备相关联的相应用户数据对相应转码输出加水印(和/或依法标记)，例如从NOC检索。例如，代码转换器404可以进一步配置为基于与各个用户终端设备相关联的相应用户数据(例如，除了可以在媒体块402处发生的任何依法标记之外)对相应的经代码转换的输出进行水印，以依法标记每个转码输出，以将转码输出唯一地标记为被提供给定的最终用户设备。因此，在方法600中，一个或以上媒体块402和转码器404可以进一步被配置为用于对一个或以上数字内容的音频和视频进行取证。

在一些示例中，方法600还可以包括：转码器404在相应用户终端设备处将相应转码输出中的每个的服务质量改变为相应转码输出的优化回放。例如，代码转换器404可以进一步配置为监控每个相应转码输出的服务质量并改变每个转码输出的服务质量，以优化各个用户终端设备上各个转码输出的回放，例如当在相应用户终端设备发生缓冲时。

用于设备400的其他架构也在本申请的范围内。例如，接下来将注意力转向图7，其示意性地描绘了SMS 403，媒体块402的安全管理部件409和转码器404，以及篡改响应壳401。尽管并未描绘设备400的所有组件，但仍然理解它们是存在的。在这些示例中，篡改响应壳401适于封装安全管理部件409，但不包括转码器409。相反，在所描绘的体系结构中，安全管理部件409(在篡改响应壳401中)和转码器409位于安全周边701(例如另一个外壳)中，当安全周边701被破坏时，它会破坏安全捆绑，但是存储在存储器420中的密钥不会被删除；在重新建立安全边界701之后，安全管理部件409(和/或媒体块402)与代码转换器409之间的加密握手可以重新建立安全捆绑(例如，通过“权威人物”，例如电影院所有者使用用于访问设备400和/或授权重建的物理密钥和/或用于确定设备400物理上安全的传感器。图7的体系结构可以是安全管理部件409(和/或媒体块402)的持续安全捆绑和一个或以上，并且转码器404可以在该字段中被替换；当在现场更换安全管理部件409(和/或媒体块402)时，也更换篡改响应壳401。

图8中描绘了用于设备400的又一架构，其示意性地描绘了SMS 403，媒体块402的安全管理部件409和转码器404，以及篡改响应壳401和安全周边701。图8的结构类似于图7的结构，然而，转码器404位于相应的篡改响应壳801中，类似于篡改响应壳401。如在图7的架构中那样，图8的架构可以是持续的安全捆绑，因为安全周界701可能被破坏并重新建立，例如以替换安全管理部件409(和/或媒体块402)的一个或以上并且转码器404可以在现场更换(以及相应的篡改响应壳401，801)。

因此，这里提供的是用于提供数字内容的设备、系统和方法，例如虚拟电影院，其允许在给定时间将数字内容播放到至少两个用户终端设备，并且可以在经营实体电影的放映商的背景也包括通过虚拟电影院播放电影和/或首映电影。这里描述的设备、系统和方法还提供基于例如由网络运营中心维护的CRM数据将内容定向到用户终端设备的用户。

在本申请中，元素可被描述为“被配置为”执行一个或以上功能或“配置用于”这样的功能。通常，被配置去执行或配置用于执行功能的元件能够执行该功能，或者适合于执行该功能，或者适应于执行该功能，或者可操作以执行该功能，或者是否则有能力执行该功能。

应理解，出于本申请的目的，“X、Y和Z中的至少一个”和“X、Y和Z的一个或以上”的语言可以被解释为仅X、仅Y、Z，或者两个或以上项目X、Y和Z的任意组合(例如，XYZ、XY、YZ、XZ等)。在任何出现的“至少一个”和“一个或以上”语言中，可以对两个或以上项目应用类似的逻辑。

术语“约”、“基本上”、“基本上”、“近似”等被定义为“接近”，例如本领域技术人员所理解的。在一些实例中，该术语被理解为“在10％以内”，在其他实例中，“在5％以内”，在另外的实例中，“在1％以内”，并且在另外的实例中，“在0.5％以内”。

本领域技术人员将理解，在一些示例中，可以使用预编程的硬件或固件元件(例如，专用集成电路(ASIC)、电可擦除、可编程只读存储器(EEPROM)等)或其他相关组件，来实现本文描述的设备和/或方法和/或过程的功能。在其他示例中，可以使用能够访问代码存储器(未示出)的计算装置来实现本文描述的设备和/或方法和/或过程的功能，该代码存储器存储用于计算装置的操作的计算机可读程序代码。计算机可读程序代码可以存储在计算机可读存储介质上，该计算机可读存储介质由这些组件直接固定，有形和可读(例如，可移动磁盘、CD-ROM、ROM、固定磁盘、USB驱动器)。此外，应当理解，计算机可读程序可以存储为包括计算机可用介质的计算机程序产品。此外，持续存储设备可以包括计算机可读程序代码。还应理解，计算机可读程序代码和/或计算机可用介质可包括非暂时性计算机可读程序代码和/或非暂时性计算机可用介质。或者，计算机可读程序代码可以远程存储，但是可以通过调制解调器或通过传输介质连接到网络(包括但不限于因特网)的其他接口设备传输到这些组件。传输介质可以是非移动介质(例如，光和/或数字和/或模拟通信线路)或移动介质(例如，微波、红外、自由空间光学或其他传输方案)或其组合。

本领域技术人员将理解，可能存在更多替代示例和修改，并且上述示例仅是一个或以上示例的说明。因此，范围仅受所附权利要求的。

Claims (20)

1.一种用于分发数字内容的装置，包括：

一个篡改响应壳；

媒体块和转码器，所述媒体块的至少一个安全管理部件位于所述篡改响应壳内，所述转码器位于所述篡改响应壳内，

所述安全管理部件包括位于所述篡改响应壳内的一个防篡改存储器，

所述转码器包括位于所述篡改响应壳内的另一个防篡改存储器，

所述媒体块和所述转码器通过数据桥进行通信，所述数据桥位于所述篡改响应壳内，所述媒体块和所述转码器基于与至少所述媒体块相关联的加密证书，在安全捆绑中相互连接，

所述媒体块被配置为：

通过所述数据桥，将基于第一加密密钥从数字内容生成的加密输出提供给所述转码器，所述第一加密密钥存储在位于所述篡改响应壳内的所述一个防篡改存储器中；

所述转码器被配置为：

生成与一个或以上令牌相关联的转码输出，该一个或以上令牌用于在相应用户终端设备上回放相应转码输出，所述相应转码输出由所述加密输出生成，所述加密输出使用与所述第一加密密钥相关联的第二加密密钥来解码，所述第二加密密钥存储在位于所述篡改响应壳内的所述另一个防篡改存储器中；以及

经由网络输出所述相应转码输出到与相应令牌相关联的所述相应用户终端设备，所述相应用户终端设备远离所述篡改响应壳，

其中，所述篡改响应壳包括用于检测和防止对位于篡改响应壳中的组件的未授权访问的一个或以上物理和电子安全机制、存储在所述篡改响应壳的所述一个防篡改存储器中的所述第一加密密钥和存储在所述篡改响应壳的所述另一个防篡改存储器中的所述第二加密密钥。

2.根据权利要求1所述的装置，其中，所述转码器还被配置为基于与所述相应用户终端设备相关联的相应用户数据为所述相应转码输出添加水印。

3.根据权利要求1所述的装置，还包括与所述转码器的端口通信的交换机，所述交换机被配置为：将通过所述端口接收的所述相应转码输出发送给相应用户终端设备。

4.根据权利要求1所述的装置，其中，所述相应转码输出包括所述数字内容的多个比特版本。

5.根据权利要求1所述的装置，其中，所述转码器还被配置为改变所述相应转码输出中每个的服务质量，以优化在所述相应用户终端设备处的所述相应转码输出的回放。

6.根据权利要求1所述的装置，其中，所述转码器还被配置为从网络运营中心接收所述一个或以上的令牌，其中，所述相应用户终端设备的每个用户已选择供查看的所述数字内容。

7.根据权利要求1所述的装置，其中，所述转码器还被配置为将所述相应用户终端设备中每个的定制的内容插入所述相应转码输出。

8.根据权利要求1所述的装置，其中，所述转码器还被配置为通过将所述相应转码输出输出到各个用户终端设备处的相应回放应用，以将各个转码输出输出到所述各个用户终端设备。

9.根据权利要求1所述的装置，其中，所述转码器还被配置为以加密格式将所述相应转码输出输出到所述相应用户终端设备。

10.根据权利要求1所述的装置，其中，所述媒体块还被配置为通过以下方式从所述数字内容生成所述加密输出：

以加密格式从外部存储设备接收数字内容；

解密所述数字内容生成未加密的数字内容；以及

使用所述第一加密密钥加密所述未加密的数字内容。

11.根据权利要求1所述的装置，其特征在于，所述媒体块和所述转码器的一个或以上进一步被配置为依法标记所述数字内容的一个或以上音频和视频。

12.根据权利要求1所述的装置，其中，所述第一加密密钥和所述第二加密密钥包括安全捆绑密钥规定的所述安全捆绑。

13.根据权利要求1所述的装置，其中，所述第一加密密钥包括与密码证书相关联的私钥，并且所述第二加密密钥包括与所述密码证书相关联的公钥。

14.根据权利要求1所述的装置，其中，在所述媒体块提供所述加密输出到所述转码器之前，所述媒体块和所述转码器中的每一个被配置为通过数据桥协商传输层安全性TLS会话，所述第一加密密钥和所述第二加密密钥中的每个与所述TLS会话相关联。

15.根据权利要求1所述的装置，其中，所述媒体块和所述转码器是物理连接在一起的。

16.根据权利要求1所述的装置，其中，所述媒体块和所述转码器被配置为一起用于填充硬件机架中的空间。

17.根据权利要求1所述的装置，还包括媒体块和转换器的多个组合，基于与相应媒体块相关联的相应加密证书，所述相应媒体块和相关联的转码器的每个组合在相应安全捆绑中彼此连接。

18.根据权利要求1所述的装置，其中，所述转码器和所述媒体块的至少所述安全管理部件都位于所述篡改响应壳内。

19.根据权利要求1所述的装置，其中，所述转码器位于相应篡改响应壳内。

20.一种用于分发数字内容的方法，包括：

通过数据桥，从媒体块向转码器提供基于第一加密密钥从数字内容生成的加密输出，所述媒体块的至少一个安全管理部件位于篡改响应壳内，所述转码器位于所述篡改响应壳内，所述安全管理部件包括位于所述篡改响应壳内的一个防篡改存储器，所述转码器包括位于所述篡改响应壳内的另一个防篡改存储器，所述数据桥位于所述篡改响应壳内，所述媒体块和所述转码器基于至少与所述媒体块相关联的加密证书，在安全捆绑中彼此连接，所述第一加密密钥存储在位于所述篡改响应壳内的所述一个防篡改存储器中；在所述转码器，生成与一个或以上令牌相关联的转码输出，该一个或以上令牌用于在相应用户终端设备上回放相应转码输出，所述相应转码输出由所述加密输出生成，所述加密输出使用与所述第一加密密钥相关联的第二加密密钥来解码，所述第二加密密钥存储在位于所述篡改响应壳内的所述另一个防篡改存储器中；以及

输出所述相应转码输出到与相应令牌相关联的所述相应用户终端设备，

其中，所述篡改响应壳包括用于检测和防止对位于篡改响应壳中的组件的未授权访问的一个或以上物理和电子安全机制、存储在所述篡改响应壳的所述一个防篡改存储器中的所述第一加密密钥和存储在所述篡改响应壳的所述另一个防篡改存储器中的所述第二加密密钥。

Images