CN111566991B - 内容消费设备中的能力撤销 - Google Patents
内容消费设备中的能力撤销 Download PDFInfo
- Publication number
- CN111566991B CN111566991B CN201880077757.7A CN201880077757A CN111566991B CN 111566991 B CN111566991 B CN 111566991B CN 201880077757 A CN201880077757 A CN 201880077757A CN 111566991 B CN111566991 B CN 111566991B
- Authority
- CN
- China
- Prior art keywords
- content
- information
- revocation
- version
- capability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
公开了方法和内容消费设备,这些方法和内容消费设备能够例如在强制执行版本控制和提供各个能力的粒度控制方面可靠地强制执行并管理撤销列表。各方面还更一般地涉及对内容消费控制信息的增强的强制执行,例如通过强制执行激活消息的版本控制和/或各个能力的粒度管理。
Description
技术领域
本公开涉及内容消费设备的处理和/或显示内容的能力的可靠撤销。
背景技术
在某些环境中,一旦设备已经在现场,就需要远程管理设备的显示或处理内容的能力。例如,在证明被认为安全的某个设备或某种类型的设备受到了威胁时,希望阻止该设备将来能够显示内容。一种方法是分发识别要撤销的设备的撤销列表。在实践中,已证明难以维护和强制执行这样的撤销列表。
附图说明
通过举例并参照附图描述一些特定的实施方式以说明本公开的各方面和原理,在附图中:
图1示出了使用能力验证信息来授权或阻止在内容消费设备中的密钥使用的方法;
图2示出了能力验证信息在内容消费设备的隔离执行环境中的使用;
图3A和图3B示出了使用能力验证信息来控制对内容消费设备中的内容的访问的方法;
图4示出了内容消费设备的实现方式;
图5示出了验证激活消息的版本的方法;
图6示出了用于能力的粒度撤销(granular revocation)的方法;以及
图7示出了计算平台。
具体实施方式
总体而言,本公开的各方面提供了方法和内容消费设备,这些方法和内容消费设备能够例如在强制执行版本控制和提供各个能力的粒度控制方面可靠地强制执行并管理撤销列表。各方面还更一般地涉及对内容消费控制信息的增强的强制执行,例如通过强制执行大体上激活消息的版本控制和/或大体上各个设备能力的粒度管理。
在一些方面,在内容消费设备处强制执行撤销列表的方法包括接收并认证设备证书。设备证书包括识别内容消费设备的设备信息。设备证书还可以包括识别设备的能力的信息,或者可以以其他方式存储或提供该信息。该方法还包括接收并认证撤销列表。撤销列表可以单独被接收,也可以作为用于激活内容消费能力(例如,内容解扰能力)的激活消息的一部分被接收。撤销列表识别已从一个或多个设备撤消的一个或多个相应的设备能力,例如,诸如显示4K内容的特定能力或所有能力(显示任何种类的内容的能力)。被撤销的设备可以单独通过例如品牌、类型和序列号或MAC或其他地址或标识符来识别,或者通过类型或分组(例如通过品牌、类型和/或版本)来识别,或者通过地址范围来标识。
根据方法,接收消息,该消息包括能力验证信息和允许对经加扰的内容进行解扰所需的解密密钥,该解密密钥可以被加密。允许对经加扰的内容进行解扰所需的解密密钥可以定期变化,因此可以定期发送和接收消息以为内容消费设备提供最新的解密密钥。结果,随着旧的解密密钥变得无用,随着时间的推移强制执行撤销列表,并且必须使新的解密密钥可供内容消费设备用来继续处理内容。
验证信息和经加密的解密密钥可以通过密码绑定在一起,例如,能力验证信息和(经加密或明确的)解密密钥可以一起进行数字签名,例如通过对诸如验证信息和解密密钥的级联的组合进行数字签名。替代地或补充地,可以将验证信息和(经加密或明确的)解密密钥一起加密。消息和/或验证信息可以分开进行认证,但这不是必需的,特别是当它们通过密码绑定在一起时。因此,根据具体情况,验证信息和(经加密或明确的)解密密钥的组合可以使用数字签名来进行认证和/或可以被解密以获得能力验证信息。
使用设备信息和撤消列表来确定识别内容消费设备的任何被撤消的能力的撤消信息,例如,在撤消列表中查找设备信息以找出撤消信息。接收到的能力信息包括识别对内容进行处理所需的能力的所需能力信息。该方法包括对能力验证信息和撤销信息施加操作以判断内容消费设备是否能够使用解密密钥来允许对内容的解扰。有利地,通过逐个能力地实现能力的撤销,实现了控制能力的更灵活和/或更精细(granular)的方法。此外,通过将对撤销列表的检查与所需的解密密钥的接收和使用联系到一起,有助于更好地强制执行撤销列表并且可以使撤销更难规避。
在一些实施方式中,施加操作包括使用能力验证信息和撤销信息以及指示撤销列表的版本的版本信息(如果适用)来判断是否不允许内容消费设备对解密密钥进行解密。在判断是肯定的时,阻止使用解密密钥来对内容进行访问,例如,在解密密钥被加密的实施方式中,阻止对解密密钥的解密。因此,在这些实施方式中,使用能力验证信息、设备信息和撤销列表来判断是否不允许内容消费设备对解密密钥进行解密,并且在判断结果是肯定的时,阻止解密密钥的使用。例如,判断是否不允许内容消费设备对内容进行解扰可以包括使用撤销列表、设备信息和所需能力信息来判断所需能力是否已在内容消费设备上被撤销。
例如,可以通过使用设备信息在撤销列表中查找设备来进行判断,并在找到该设备(或该设备所属的一组设备)的情况下,显示特定内容所需的特定能力被撤销时做出肯定的判断。特定内容可以是要求显示解密密钥的内容,例如由于该内容要求解密密钥对内容进行解扰,或者由于需要解密密钥来对该内容的经加密的解扰密钥进行解密。
阻止解密密钥的使用可以包括:在判断是肯定的时,不允许解密密钥的使用;以及相反地在判断是否定的时,允许密钥的使用。阻止解密密钥的使用可以包括不对密钥进行解密,或者在已经解密时,删除经解密的解密密钥和/或不将其写入内容消费设备期望其进一步使用的存储位置。例如,在某些条件访问系统实施方式中,在消息是随内容被接收的控制消息(例如,权利控制消息(ECM))并且解密密钥是解扰密钥(例如,控制字(CW))时,阻止使用可以包括不将解扰密钥写入存储器中的表中,例如不将CW写入通常保存在内容消费设备的存储器中的CW表中。在一些CAS实施方式中,消息是EMM,并且可以包含对CW进行解密所需的解密密钥。
在一些实施方式中,施加操作包括通过将解密密钥、能力验证信息和撤销信息以及指示撤销列表的版本的版本信息(如果适用)进行组合来形成组合密钥。该方法包括使用组合密钥来尝试对内容进行解扰或尝试对用于对内容进行解扰的解扰密钥进行解密。对内容的解扰可以需要与组合的结果相对应的特定的组合密钥,在该组合的结果中,能力验证信息与撤销信息一致,即所需能力尚未被撤销。因此,如果所需能力已被撤销,则组合密钥将是不同的,结果将无法对内容进行解扰或无法对内容的解扰所需的密钥进行解密。
不管操作是否包括对条件的判断或评估或如上所述的形成组合密钥,撤销列表中的每个条目都可以具有对应的需求数据(例如,对应的需求掩码),并且设备信息可以包括识别设备能力(即,设备具有的能力)的数据。如果在设备或设备组的撤消列表中存在条目,则可以将对应的撤消数据或掩码应用于设备能力数据以形成组合密钥或对条件进行评估。如果结果与显示内容所需的能力一致,则允许解密密钥的使用,否则显式地或隐式地阻止解密密钥的使用。显式阻止是由对条件的肯定评估触发的,并且可以包括如上所述的不对解密密钥进行解密。当由于操作产生与能力未被撤销时的结果不同的结果而造成组合密钥不正确时,发生隐式阻止。在一些实施方式中,如果撤销列表条目指示设备被撤销了所有能力,则无需进一步的比较而阻止密钥的使用。这可以是在接收到消息之前(例如,在设备的启动时或设备的解扰能力的激活时)仅使用设备信息和撤销列表进行的单独检查的一部分。
在一些实施方式中,操作还包括对设备能力信息施加操作,从而不仅验证所需能力未被撤销,而且还验证设备存在该能力。如上面针对其他信息所述,根据具体情况,设备能力信息可以用于显式比较中,或者可以用于组合密钥的计算中。通过还考虑设备能力,可以防止内容的错误处理。在其他实施方式中,如果不存在所需能力,则不考虑设备能力并且内容处理完全失败。
在一些实施方式中,能力验证信息包括版本验证信息,并且撤销列表与指示撤销列表的版本的版本信息相关联。在这些实施方式中,判断是否不允许内容消费设备对内容进行解扰包括判断版本信息是否与版本验证信息不一致。例如,如果版本验证信息和版本信息指示不同的版本,或者如果版本信息指示的版本早于版本验证信息的版本(指示过期的撤销列表),则可以检测到不一致。在其中利用所需能力和能力验证信息的版本验证信息来计算组合密钥的实施方式中,除非撤销列表的版本也符合预期,否则将对内容进行解扰或对内容的解扰所需的密钥进行解密所需的密钥计算成使得组合密钥与所需的密钥不对应。有利地,通过还将版本控制与携带解密密钥的消息的接收联系到一起,可以通过阻止使用过期的撤销列表(或阻止使用具有操纵过的版本信息(例如,用于在撤销列表更新时利用漏洞)的盗版撤销列表)来增强安全性。
在一些实施方式中,对能力验证信息和撤销信息进行操作包括将能力验证信息和撤销信息进行组合。能力验证信息和撤销信息可以由指示所需能力和被撤销的能力的相应的位图进行编码,并且可以与布尔运算进行组合。如果两个位图在相同的一个或多个位置处都具有设置的位(设置为1),这意味着前者(设置为1的位)中的所需能力在后者(设置为1的位)中未被撤销,则将位图与布尔AND(与)操作进行组合产生前一个位图作为结果。然后,可以将该操作的结果与解密密钥进行组合以使用密钥导出函数形成新的解密密钥,其例子是技术人员已知的并且可以包括简单的级联。然后,可以在对内容进行访问(对该内容进行解扰/对解扰密钥进行解密)的尝试中使用新的解密密钥。如果新的解密密钥与用于保护内容(对内容进行加扰/对解扰密钥进行加密)的保护密钥不对应,则该操作失败。要访问的内容可以在源(例如,头端或顶层(Over The Top)内容供应商)处使用保护密钥来保护,该保护密钥是通过在密钥导出函数中将解密密钥与编码所需能力的位图进行组合而从解密密钥导出的。因此,如果已撤消任何所需能力(在编码撤销信息的位图中设置为零的对应的位),则对内容的访问(对内容进行解扰或对解扰密钥进行解密)失败。
以类似的方式,在一些实施方式中,例如,可以以编码所需能力的位图的位编码版本验证信息,并且可以以编码撤销信息的位图来编码与撤销列表有关的版本信息,使得如果存在与撤销列表的版本的不匹配,则对内容的访问失败。
另外,在还考虑了设备能力的实施方式中,可以将编码能力验证信息和撤销信息的相应的位图与编码设备能力的位图进行组合,该编码设备能力的位图也可以根据实施方式对版本信息进行编码。这三个位图可以通过布尔逻辑运算(例如AND运算)以类似的方式进行组合。当然将认识到的是,操作可以以任何顺序进行执行。
在一些实施方式中,撤销列表随激活消息被接收,该激活消息用于激活内容消费设备的内容消费能力,例如,激活解扰或其他功能和/或设备工作以消费内容所需的一个或多个特定命令或一个或多个功能,并且认证撤销列表包括认证激活消息。例如,该方法可以仅对激活消息进行认证而不对撤销列表进行进一步认证。该方法可以包括响应于对激活消息和设备证书的认证而激活内容消费设备的内容解扰功能。在一些实施方式中,这可以包括:判断设备是否不在所有能力都被撤销的列表上;以及如果在所有能力都被撤销的列表时,则阻止内容消费能力的激活,而如果不在所有能力都被撤销的列表上时,仅激活内容消费能力。
本公开的一些方面省去了能力验证,并因此不使用能力验证信息或对应的粒度撤销信息。相反,该方法可以基于设备在撤销列表中而简单地触发上述的显式验证,或者触发适用的允许解扰所需的固定密钥,而不触发组合密钥。结果,在这些方面中,如果设备在撤销列表中,而没有逐个能力地指定撤销信息,内容消费失败。当然,这些方面的实施方式也可以采用如上所述的版本验证,例如将其作为位图包括在内,或者如上所述将版本验证信息添加到组合密钥的生成中。
一些方面更一般地将以上方面扩展到激活消息的版本控制。这些方面扩展到以下方法以及内容消费设备,该内容消费设备包括被配置为实现这样的方法的处理器,例如,硬件状态机或其他安全环境。激活消息用于激活内容消费设备的内容消费能力,例如,激活解扰或其他功能和/或设备工作以消费内容所需的一个或多个特定命令或一个或多个功能。可以被加密的解密密钥与版本验证信息一起在消息中被接收,例如,如上所述,解密密钥和版本验证信息通过密码绑定在一起。版本验证信息可以用于验证激活消息的版本,并且例如如上所述,在检测到不一致时,例如如上所述阻止解密密钥的使用。在其他实施方式中,如上所述,在形成组合密钥的操作中将撤销列表的版本验证信息和版本信息进行组合。因此,这两个实施方式共同的是,都对版本验证和版本信息进行操作,并且操作的结果判断内容消费设备是否能够使用解密密钥来允许对内容的解扰。
这些方面扩展到在内容消费设备处强制执行激活消息的版本的方法,该方法包括:
接收并认证激活消息以激活内容消费设备的内容消费能力,例如,激活解扰或其他功能和/或在内容消费设备上允许内容消费所需的一个或多个特定命令或一个或多个功能,其中激活消息包括指示激活消息的版本的版本信息;
接收包括版本验证信息和允许对经加扰的内容进行解扰所需的解密密钥的消息;
对版本信息和版本验证信息施加操作,以判断内容消费设备是否能够使用解密密钥来允许对内容的解扰。在版本验证和版本信息一致时,内容消费设备可以使用解密密钥。
此外,这些方面扩展到内容消费设备,包括:
一个或多个接收器模块,其被配置为接收:
经加扰的内容,以及
包括版本验证信息和经加密的解密密钥的消息,该经加密的解密密钥是允许对经加扰的内容进行解扰所需要的;
存储器,其被配置为存储:
激活消息,用于激活内容消费设备的内容消费能力,例如激活解扰或其他功能和/或在内容消费设备上允许内容消费所需的一个或多个特定命令或一个或多个功能,其中,激活消息包括指示激活消息的版本的版本信息;以及
被配置为强制执行激活消息的版本的处理模块,例如硬件状态机或其他安全环境,该处理模块被配置为:
接收并认证设备证书;
接收消息;
对版本信息和版本验证信息施加操作以判断内容消费设备是否能够使用解密密钥来允许对内容的解扰。
在如上所述的撤销列表的上下文中的一般或特定的版本验证方面的所有特征都能容易地在对应的实施方式中组合,这将被理解为是公开的。
其他方面总体上扩展到粒度能力撤销。撤销列表具有各自识别一个或多个被撤销的设备的条目,并且对于每个设备,具有关于设备的哪些能力被撤销的撤销能力信息,例如,如上所述的撤销掩码。这些方面扩展到以计算机可读格式这样存储的撤销列表。这些方面还扩展到以下方法以及内容消费设备,该内容消费设备包括被配置为实现这样的方法的处理器,例如,硬件状态机或其他安全环境。内容消费设备在如上所述的判断其是否能够隐式地或显式地对接收到的内容进行处理或解扰的操作中使用撤销列表。例如,通过将所需能力信息与对内容进行解扰所需的解扰密钥相关联,可以将内容与所需能力信息相关联。该内容与指示显示该内容所需的能力的所需能力信息相关联。内容消费设备具有一个或多个能力(例如,在设备证书中标识出的能力),并且在所需能力信息与尚未通过撤消能力信息被撤消的设备能力之间匹配时,内容消费设备对内容进行处理或解扰,否则不进行处理或解扰。替代地,可以如上所述通过形成组合密钥来隐式地阻止或允许密钥的使用。例如,在提供粒度能力撤销的任何的方面和实施方式中,与未被撤销的设备能力不匹配的第一所需能力信息所关联的第一内容不可以通过内容消费设备进行处理或解扰,而与未被撤销的设备能力匹配的第二所需能力信息所关联的第二内容可以通过内容消费设备进行处理或解密。
这些方面扩展到在内容消费设备处撤销能力的方法,该方法包括:
接收设备证书,其中设备证书包括识别内容消费设备的设备信息;
接收撤消列表,该撤消列表识别已从一个或多个设备撤消的一个或多个相应的设备能力;
接收包括所需能力信息的消息,该所需能力信息用于识别对内容进行处理所需的能力;
对所需能力、设备信息和撤销列表施加操作以判断内容消费设备是否能够处理内容。判断可以是显式的,因而该方法可以积极地阻止对内容的处理,或者判断可以是隐式的,其在于操作的结果被用于对内容进行处理或导出对该内容进行处理所需的密钥,使得在结果对于未被撤销的所需能力与预期不符时,处理失败。
这些方面扩展到内容消费设备,其包括:
一个或多个接收器模块,其被配置为接收:
内容,以及
包括所需能力信息的消息,该所需能力信息用于识别对内容进行处理所需的设备能力;
存储器,其被配置为存储:
设备证书,其中设备证书包括识别内容消费设备的设备信息,以及
撤销列表,其用于识别已从一个或多个设备撤销的一个或多个相应的设备能力;以及
被配置为强制执行撤销列表的处理模块,例如硬件状态机或其他安全环境,该处理模块被配置为:
接收设备证书;
接收撤销列表;
接收消息;
对所需能力、设备信息和撤销列表施加操作以判断内容消费设备是否能够处理内容。
在两个方面中,操作都可以包括:使用撤销列表和设备信息来判断指示该设备的撤销能力的撤销信息。然后,可以处理撤销信息和所需能力信息,以进行显式判断并阻止内容的处理,或者隐式地在处理中使用操作结果,使得在结果对于未被撤销的所需能力与预期不符时,处理失败。在一些实施方式中,如上所述,在该过程中也使用设备能力。
将理解的是,总体上或更具体地如上所述,所有粒度能力撤销方面的特征都可以容易地组合,并且所有这样的组合都被公开了。
在以上任何方面和方法中的一些实施方式中,方法在隔离执行环境中实现,例如,可信执行环境(TEE)或安全元件(SE)或在软件或硬件中(例如,在硬件状态机中)隔离的任何其他执行环境。隔离执行环境防止和/或控制从隔离执行环境外部对隔离执行环境内部的资源(例如,存储器和处理能力)的访问。在一些实施方式中,阻止解密的使用包括:阻止从隔离执行环境外部访问解密密钥,例如,阻止将解密密钥存储在隔离执行环境外部。
其他方面扩展到实现一种或多种根据上述的方面和实施方式的方法的内容消费设备。例如,每个内容消费设备都可以包括:存储器,该存储器存储用于在运行时实现一种或多种方法的编码指令;和/或被配置为实现这样的一种或多种方法(例如,通过运行存储在存储器中的指令)的处理器,例如硬件状态机或其他安全环境。
将认识到的是,在这些方面,设备证书通常被存储在设备中并被接收在设备内部,撤销列表(作为激活消息的一部分的形式或其他形式)通常被存储在设备内部或可以从外部源接收,而消息通常从外部源接收。撤消列表、消息和激活消息可以在广播中(例如,在空中数据轮播广播中)通过卫星或电缆从外部源接收,或者在连接设备的情况下,可以通过互联网或其他数据连接被接收。在包括隔离执行环境的实施方式中,设备证书、撤销列表/激活消息和消息可以从隔离执行环境外部的设备的其余部分(例如,从内容消费设备的存储器或数据和/或内容接收模块)接收。
另外的方面扩展到计算机程序产品或有形的计算机可读介质,计算机程序产品包括在计算机设备上运行时实现上述一种或多种方法的计算机指令,有形的计算机可读介质编码在计算机设备上运行时实现上述一种或多种方法的计算机指令。
参照图1,现在描述在内容消费设备处强制执行撤销列表的方法。例如,该方法可以在内容消费设备的隔离执行环境中(例如,在安全元件中)实现。在步骤102处,接收并认证设备证书(例如,通过验证与证书相关联的数字签名)。设备证书识别内容消费设备及其访问内容的能力,例如处理标清(SD)、高清(HD)和/或4K内容的能力。在步骤104处,接收并认证撤销列表。例如,撤销列表可以作为激活消息的一部分被接收,该激活消息激活内容消费设备的内容解扰功能。在步骤106处,接收消息,例如CAS上下文中的ECM或EMM。消息包括经加密的解密密钥和能力验证信息。能力验证信息用于验证设备是否具有处理与消息相关联的内容的所需能力并且该能力尚未被撤销。例如,能力验证信息可以指示需要处理4K内容的能力。下面将更详细地描述能力验证信息。需要解密密钥来对与消息相关联的内容进行解扰,方法是直接用于对内容进行解扰,或者对用于对内容进行解扰的密钥进行解密。例如,在这些消息的常规使用中,在消息是ECM时,解密密钥通常是用于对内容进行解扰的CW,而在消息是EMM(发送不太频繁)时,解密密钥通常是用于对经加密的CW进行解密以使可以使用经解密的CW的密钥。
在步骤108处,使用能力验证信息、撤销列表和设备证书来判断是否授权解密密钥的使用。例如,对设备是否具有由能力验证信息指示的、未通过撤销列表对设备撤销的所需能力进行判断。在一些实施方式中,在设备存在于撤销列表中时,无论哪些能力被撤销(在这种情况下,能力验证信息中可能不存在所需能力信息),都可以不授权密钥的使用。在任一种情况下,在一些实施方式中,能力验证信息可以包括版本验证信息,并且在撤销列表的版本与版本验证信息不一致时,可以不授权密钥使用。
将认识到的是,可以应用其他准则,例如处理设备中的内容的权利的存在,例如基于设备的用户的订阅。还将认识到的是,在任何一个准则的判断都指示不应授权密钥的使用时,可以阻止密钥使用。因此,在满足所有准则时,在步骤110处允许解密密钥的使用。例如,在解密密钥是CW的情况下,那么将该CW存储于解扰器可访问的CW表中。在用于对经加密的CW进行解密的解密密钥的情况下,可以将解密密钥存储于安全存储器中以供以后使用。在判断是密钥的使用不被授权时,在步骤112处阻止密钥的使用,例如通过不将密钥写入存储位置(例如,CW表)、不对解密密钥进行解密和/或在解密密钥已被解密时删除解密密钥。步骤108至112共同提供了步骤114的实施方式:(至少)对所需能力和撤销信息进行操作以判断接收到的密钥是否能够用于对内容进行访问、特别是对内容进行解扰或对内容的解扰所需的密钥进行解密,例如,如下面进一步详细所述。下面描述步骤114的替代实施方式。这些实施方式用在内容的访问中使用其结果的操作代替了对是否阻止访问的显式判断。因此,在结果不正确时(例如由于能力验证信息和撤销信息之间的不匹配),访问失败。
有利地,通过将能力验证信息与解密密钥相关联,增强了撤销列表的强制执行,因为它与需要解密密钥的对内容进行处理的核心能力紧密相关。通常,经加密的密钥会定期更改,例如对于ECM,每隔几秒钟更改一次,例如对于EMM,每隔几十分钟更改一次,因此,在最新的解密密钥对设备仍然可用时,连续强制执行撤销列表。还可以通过将解密密钥和能力验证信息通过密码绑定在一起来确保强制执行,例如对解密密钥(经加密的或明确的)与能力验证信息的组合(例如两者的级联)进行数字签名。然后可以通过验证数字签名来对能力验证信息及其与密钥的联系的真实性进行认证。替代地或补充地,能力验证信息与(经加密的或明确的)密钥的组合(级联)可以被加密并以这种形式分发在消息中,从而使得对能力验证信息及其与密钥的联系进行篡改在实践中变得困难或不可能。
更详细地,在现在参照图2描述的特定的实现方式中,为了强制执行撤销列表,特定设备(在该例子中为“设备2”)的隔离执行环境202接收激活消息204和设备证书206。隔离执行环境202从持久性存储器接收该数据,该持久性存储器可以位于内容消费设备中的隔离执行环境202的内部或外部。一旦激活消息204和设备证书206已经得到认证,隔离执行环境202就使用激活消息204和设备证书206来激活内容消费设备的内容处理功能,例如内容解扰功能。
激活消息包括撤销列表,该撤销列表又包括版本信息以及撤销设备的列表。撤销设备的列表包括成对的识别能力已被撤销的设备的设备标识符以及用于每个设备标识符的相应的能力掩码,能力掩码指示每个设备的哪些能力已被撤销。能力可以包括处理SD、HD和/或4K内容的能力,例如,能力掩码可以是位图,其中每个位表示对应的能力,例如,0表示该能力被撤销,而1表示该能力未被撤销。默认掩码可能会将所有位都设置为0,从而撤销所有能力。在激活内容解扰功能之前,关于某些实现方式,隔离执行环境可以扫描撤销列表以检查所讨论的设备是否存在于撤销列表中,并且在存在时,检查是否所有设备能力已被撤销。在这种情况下,隔离执行环境202可以不激活解扰功能,并且可以例如创建错误消息,该错误消息可以触发诸如向用户显示错误消息的异常。
一旦激活了解扰功能,就可以接收要解扰的内容。内容随控制消息208(例如CAS中的ECM)被内容消费设备接收,控制消息208包括解扰密钥、所需能力信息(例如位图,其中对于每个所需能力设置1,否则设置0)以及撤销列表的最低版本要求(或激活消息204)。如上所述,密钥、所需能力和版本验证信息可以通过密码绑定在一起。通常,对内容进行解扰所需的解扰密钥定期更改,因此,定期发送控制消息以为内容消费设备提供允许对内容进行解扰的最新的解扰密钥,该解扰密钥通常被称为CW。
当接收到控制消息208时,隔离执行环境通过在设备不在撤销列表中时检查所需能力是否与设备能力相匹配以及在设备在撤销列表中时检查所需能力是否未被撤销来判断所需能力是否在内容消费设备中存在并且未被撤销。
在后一种情况下,在一个特定例子中,在设备能力、撤销掩码和所需能力都表示为相应的位图时,隔离执行环境可以将设备能力、撤销掩码和所需能力与相应的AND操作进行组合,并检查结果是否等于所需能力位图,例如使用另一个AND操作。
为了强制执行撤销列表的适当版本并关闭通过其可以使用过时的撤销列表来逃避撤销的漏洞,由隔离执行环境202进行进一步检查,以检查撤销列表的版本(或激活消息204)与随控制消息被接收到的版本验证信息一致。例如,版本验证信息可以是撤销列表所需的最低版本或激活消息204,并且一致性检查可以检查撤销列表的版本或激活消息204高于最低版本。
隔离执行环境可以进行与设备撤销无关的另外的检查,例如检查适当权利、订阅等的存在,并且仅在满足所有条件时才允许经加密的解密密钥的使用,例如仅对解密密钥进行解密并将其写入其可供解扰器使用的通常被称为CW表的存储器210中。相反,在不满足任何条件时,选定的执行环境202判断不授权密钥的使用并且例如通过不对其进行解密和/或不将其写入存储器210中来阻止密钥的使用。
参照图3A和图3B,现在描述特定的实现方式,该特定的实现方式不依赖于条件的显式评估而是在加密过程中包括各种信息,从而仅在存在正确的信息时才能够成功完成加密过程,并因此判断是否可以访问内容。头端300或其他内容源或供应商(例如,顶层源)生成保护密钥(密钥2),该保护密钥用于内容保护,例如用作解扰密钥或对解扰密钥进行解密的密钥。头端300相应地用保护密钥来保护内容,例如,使用它来对内容进行加扰或对用于对经加扰的内容的解扰的解扰密钥进行加密。然后将内容和(经加密的)解扰密钥发送到机顶盒310或其他内容消费设备。机顶盒310存储列出被撤销的设备的撤销列表。撤销列表可以与激活消息204相关联,如上面参照图2所述。技术人员熟悉总体上使用这种保护密钥来保护内容,但是现在详细描述保护密钥在头端300处的生成及其在机顶盒310处的恢复。
在步骤320处,头端使用密钥导出函数324来将传输密钥(密钥1)与位图322一起处理以生成保护密钥。位图322包括第一部分和第二部分,在第一部分中,位表示处理内容所需的能力(例如,4K、HD、SD、加密能力),而第二部分中,位表示在机顶盒310处处理位图322所使用的撤销列表的所需版本。在一些实施方式中,该部分中的每个位表示撤销列表的版本,并且通过设置特定的位,可能需要特定版本。通过设置与最低版本和较高版本相对应的所有位,可能需要最低版本。当然,其他子集同样是可能的。在不强制执行撤销列表的一个(或多个)版本的一些实施方式中,不存在版本位图。
在步骤340处,机顶盒310存储位图342,该位图342包括以位图322的第一部分的格式表示设备能力的部分以及以位图322的第二部分的格式表示在机顶盒处存储的撤销列表的版本的部分。机顶盒310还存储位图344,该位图344包括以位图322的第一部分的格式表示被撤销的设备能力的部分以及与位图342的第二部分相同的第二部分。位图342和位图344可以在运行时、启动时生成和/或存储,或者可以被存储并保留在机顶盒310的非易失性存储器中。具体地,位图344的第一部分可以被存储在撤销列表中并且基于设备信息而被访问,或者可以根据与撤销列表中的设备相对应的信息生成。位图344也可以整体存储在撤销列表中,或者可以通过将第一部分和第二部分一起相加而生成。
在步骤360处,头端300向机顶盒310发送消息362,该消息362包括传输密钥和位图322(表示所需能力和版本验证信息)。消息对应于上面参照图2所述的控制消息208。
在步骤380处,机顶盒310接收消息362,并利用密钥导出函数382处理传输密钥和位图322,密钥导出函数382也将位图342、344为输入。具体地,参照图3B,密钥导出函数382将位图322作为输入,并使用相应的布尔AND运算将其与位图342和344进行组合。将操作结果与传输密钥一起作为输入提供给与密钥导出函数324相同的密钥导出函数。因此,在如上所述版本位图与撤销列表的版本相匹配并且所需能力位图322、设备能力位图342和撤销能力位图344相匹配时,操作结果与在步骤320中用于密钥生成的所需能力位图322相同。因此,密钥导出函数384的输出将是用于保护内容的正确的保护密钥。如果不匹配,结果将不会产生正确的保护密钥,使得由于未恢复正确的保护密钥,因此不能对内容进行解扰/处理。因此,使用不正确的恢复密钥来对内容进行解扰或对解扰密钥进行解密的尝试失败了,因此阻止了内容的消费。
机顶盒310可以实现参照图2所述的隔离执行环境202,并且如上所述处理设备证书206和撤销列表,区别在于控制消息208的内容及其在隔离执行环境202中的处理如参照图3A和图3B所述的那样变化。
将认识到的是,尽管诸如TEE或SE的隔离执行环境提供了安全益处,但是在其他实施方式中,可以在任何类型的执行环境(例如,富执行环境(rich execution environment,REE))中实现所述功能。还将认识到的是,虽然撤销列表自然可以被提供为解扰机制的激活消息的一部分,但是在另外的实施方式中,可以单独提供撤销列表和/或可以不使用激活消息。参照图2描述的例子使用随内容被接收的诸如ECM的控制消息来传达所需能力和版本验证信息,但是将认识到的是,可以使用其他消息,例如不那么频繁地发送的管理消息,例如EMM。在这种和其他情况下,不是将所需能力和版本验证信息与解扰密钥一起提供,而是将它们与另一个解密密钥一起提供,该解密密钥又是对解扰密钥或为了对内容进行解扰而更频繁地接收到的CW进行解密所需要的。
参照图4,可以实现上面参照图1至图3所述的方法和隔离执行环境的内容消费设备400包括一个或多个接收器接口402。一个或多个接收器接口402被配置为接收要解扰和处理的内容以及(控制和/或管理)消息。消息可以通过与内容相同的介质或通道接收,并且可以嵌入内容中,在这种情况下,只需要单个接收器接口。替代地,可以通过单独的介质或信道接收消息,在这种情况下,通常,实现单独的相应的接收器接口。根据具体情况,一个或多个接收器接口可以被配置为从空中源、卫星源或电缆源或者通过互联网从服务器接收内容和/或消息。内容可以作为可以在其中嵌入消息的视频流(例如,MPEG-2兼容视频流)分发,或者单独发送。
由一个或多个接收器接口402接收到的内容由解复用器404解复用,由解扰器406解扰,并且所得的视频帧由视频解码器408处理,以经由输出接口410输出。在内容消费设备400例如是机顶盒或没有显示屏的其他设备的情况下,输出接口410可以是连接接口,诸如HDMI接口。替代地或补充地,输出接口410可以是用于显示内容的显示屏,如在集成智能电视中的情况一样。
内容消费设备400的存储器412可以包括易失性和非易失性存储器,例如RAM和ROM或闪存,并且被配置为存储激活消息204和设备证书206。特别地,设备证书206可以被提供在ROM中,并且激活消息204可以被提供在闪存中并通过从一个或多个接收器接口402接收到的数据来定期更新。存储器412还将CW表或类似的存储器210通常存储在闪存或其他持久可写存储器中或RAM中。
隔离执行环境202在安全元件414中实现,并且被配置为从接收器接口402(或者在消息嵌入内容中的情况下从解码器404)接收消息,以实现上面针对隔离执行环境202所描述的功能,并将解扰密钥写入存储器412中的CW表或类似的存储器210中。
将理解的是,在一些实施方式中,安全元件可以以软件或硬件来实现,并且可以用可信执行环境来代替。在一些实施方式中,安全元件以硬件实现,并且可以从内容消费设备400中移除,例如,安全元件414可以被实现为例如通过串行端口连接至内容消费设备400的其余部分的智能卡或其他可移除设备。将认识到的是,内容处理流水线(解码器404、解扰器406和视频编码器408以及输出接口410)的细节不是本公开的重点,因为本公开涉及的是撤销列表的强制执行,总体上涉及粒度能力撤销和/或版本强制执行。
尽管上面参照图1和图2所述的实施方式检查了未被撤销的能力和版本一致性,但是在一些实施方式中,可以仅进行这些检查之一。例如,在一些实施方式中,可以在没有版本检查的情况下实现逐个能力的撤销,或者可以使用在没有能力粒度的情况下撤销整个设备但强制执行版本要求的撤销机制。在一些实施方式中,激活消息的版本强制执行在撤销列表的上下文之外获得应用,并且可以用于对可能包括或不包括撤销列表的激活消息强制执行版本要求。
现在参照示出对应方法的图5和图6来描述一些这样的实施方式。将认识到的是,这些方法可以在上面参照图4所述的内容消费设备400中利用上面参照图2所述的相关信息流来实现。
参照图5,现在描述验证用于激活内容消费设备的解扰功能的激活消息的版本的方法。在步骤402处,例如,如上所述,接收并认证激活消息并且在成功认证之后,在步骤404处激活解扰功能。在步骤406处,接收消息,例如EMM或ECM或如上所述的其他消息,该消息具有如上所述用于直接或间接地对内容进行解扰所需的经加密的解密密钥以及版本验证信息。如上所述,可以将版本验证信息与密钥通过密码绑定在一起。在步骤408处,例如,如上所述,使用接收到的版本验证信息来验证激活消息的版本,例如以判断是否存在匹配或激活消息是否过期。在判断是肯定的时,在步骤510处允许密钥的使用,否则在步骤512处阻止密钥的使用。
步骤508至512共同提供了步骤514的实施方式:(至少)对版本验证和版本信息进行操作以判断接收到的密钥是否能够用于对内容进行访问、特别是对内容进行解扰或对内容的解扰所需的密钥进行解密,例如,如下面进一步详细所述。步骤514的替代实施方式用在内容的访问中使用其结果的操作代替了对是否阻止访问的显式判断。因此,例如,如上所述,在结果不正确时(例如由于能力验证信息和撤销信息之间的不匹配),访问失败。
上面已经在图1至图4的情况下描述了允许和阻止密钥的使用,并且本公开在这里同样适用。自然地,将认识到的是,激活消息204不需要包含撤销列表,并且可以替代地或补充地包含信息,例如配置信息或激活解扰功能所需的密钥。由于这里参照图5讨论的版本控制并非撤销列表所特有的,因此版本信息与激活消息本身相关联。另外,在这样的实施方式中可以使用也可以不使用设备证书206,并且控制消息208对应地不需要指定所需能力。
在一些实施方式中,撤销能力的粒度控制的实现与确保撤销和/或检查版本信息的强制执行的特定机制无关。参照图6,在这样的实施方式中,在步骤602处接收所需能力信息,例如,上面参照图1至图4、特别是参照步骤106所述,并且所需能力信息包括在控制消息208中。然而,在一些这样的实施方式中,不采用安全措施或采用不同的安全措施。在步骤604处,例如,如上面参照在隔离执行环境202中的设备能力、撤销掩码和所需能力中的每一个的位图的处理所述,对照未被撤销的设备能力检查所需能力,该所需能力可能已经随内容被接收在控制消息或其他方式中,或以任何其他方式从内容供应商被接收。在步骤606处,判断在步骤604处的检查结果是否指示一种或多种所需能力是可用的,并且如果是,在步骤608处允许内容的消费(内容的处理)。否则,在步骤610处阻止内容消费。步骤606至608共同提供了步骤614的实施方式:(至少)对所需能力和撤销信息进行操作以判断接收到的密钥是否可以用于对内容进行访问、特别是对内容进行解扰或对内容的解扰所需的密钥进行解密,例如,如下面进一步详细所述。步骤614的替代实施方式用在内容的访问中使用其结果的操作代替了对是否阻止访问的显式判断。因此,例如,如上所述,在结果不正确时(例如由于能力验证信息和撤销信息之间的不匹配),访问失败。如上面参照图1至图4更详细所述,允许或阻止内容消费可以基于解扰的允许或阻止,例如一个或多个特定密钥的使用的允许或阻止。
图7示出了计算设备700的一种实现方式的框图,在该计算设备内可以执行用于使计算设备执行本文所讨论的方法中的任何一个或多个的一组指令。在替代实现方式中,计算设备可以连接(例如,联网)到局域网(LAN)、内联网、外联网或因特网中的其他机器。该计算设备可以在客户端-服务器网络环境中以服务器或客户端机器的能力进行操作,或者在对等(或分布式)网络环境中作为对等机器进行操作。该计算设备可以是个人计算机(PC)、平板计算机、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、Web设备、服务器、网络路由器、交换机或网桥或能够执行一组指令(顺序的或其他方式)的任何机器,这些指令指定该机器要执行的操作。此外,虽然仅示出了单个计算设备,但是术语“计算设备”还应被认为包括单独地或共同地执行一组(或多组)指令以执行任何一个或多个本文讨论的方法的机器(例如,计算机)的任何集合。该计算设备可以包括安全元件或体现在安全元件中,以提供与其中嵌入有安全元件的计算设备的其他部分隔离的安全计算。该计算设备可以是芯片上的系统(system on chip)。
示例计算设备700包括经由总线640彼此通信的处理设备702、主存储器704(例如,只读存储器(ROM)、闪存、诸如同步DRAM(SDRAM)或Rambus DRAM(RDRAM)的动态随机存取存储器(DRAM)等)、静态存储器706(例如,闪存、静态随机存取存储器(SRAM)等)和辅助存储器(例如,数据存储设备718)。
处理设备702表示一个或多个通用处理器,例如微处理器、中央处理单元等。更特别地,处理设备702可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器、实现其他指令集的处理器或实现指令集的组合的处理器。处理设备702还可以是一个或多个专用处理设备,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。处理设备702被配置为执行用于进行本文所讨论的操作和步骤的处理逻辑(指令722)。
计算设备700还可以包括网络接口设备708。计算设备700还可以包括视频显示单元710(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备712(例如,键盘或触摸屏)、光标控制设备714(例如,鼠标或触摸屏)和音频设备716(例如,扬声器)。
数据存储设备718可以包括一个或多个机器可读存储介质(或更具体地包括一个或多个非瞬态计算机可读存储介质)728,在该机器可读存储介质上存储体现了本文所述的一个或多个方法或功能的指令722的一个或多个集合。在计算机系统700执行指令722的过程中,指令722也可以全部或至少部分地驻留在主存储器704内和/或处理设备702内,主存储器704和处理设备702也构成计算机可读存储介质。
示例计算设备700可以包括或实现内容消费设备,该内容消费设备实现上述方法。例如,计算设备700可以包括或实现如上参照图4所述的内容消费设备400。
上述各种方法可以由计算机程序来实现。计算机程序可以包括计算机代码,该计算机代码被设置为指示计算机执行上述各种方法中的一种或多种的功能。可以将用于执行这样的方法的计算机程序和/或代码在一个或多个计算机可读介质上或更一般地在计算机程序产品上提供给诸如计算机的装置。计算机可读介质可以是瞬态的或非瞬态的。一个或多个计算机可读介质例如可以是电子、磁性、光学、电磁、红外或半导体系统,或者是用于数据传输(例如,用于通过互联网下载代码)的传播介质。替代地,一个或多个计算机可读介质可以采用一种或多种物理计算机可读介质的形式,例如半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘,例如CD-ROM、CD-R/W或DVD。
在一种实现方式中,本文描述的模块、组件和其他特征可以被实现为分立组件或被集成在诸如ASICS、FPGA、DSP或类似设备的硬件组件的功能中。
“硬件组件”是能够执行某些操作的有形(例如,非瞬态)物理组件(例如,一个或多个处理器的集合),并且可以以某种物理方式进行配置或设置。硬件组件可以包括被永久配置为执行某些操作的专用电路或逻辑。硬件组件可以是或包括专用处理器,例如现场可编程门阵列(FPGA)或ASIC。硬件组件还可以包括由软件临时配置为执行某些操作的可编程逻辑或电路。
因此,词语“硬件组件”应被理解为包括可以被物理地构造、永久地配置(例如,硬接线)或临时地配置(例如,编程)为以某种方式操作或执行本文所述的某些操作的有形实体。
另外,模块和组件可以被实现为硬件设备内的固件或功能电路。此外,模块和组件可以以硬件设备和软件组件的任何组合或者仅以软件(例如,存储或以其他方式体现在机器可读介质或传输介质中的代码)来实现。
除非另有具体说明,否则从以下讨论中清楚的是,应理解的是,在整个说明书中,使用诸如“接收”、“判断”、“比较”、“允许”、“保持”、“识别”、“计算”、“生成”、“获得”等进行的讨论是指计算机系统或类似的电子计算设备的动作和过程,该计算机系统或类似的电子计算设备将计算机系统的寄存器和存储器内以物理(电子)量表示的数据操纵和转换为计算机系统存储器或寄存器或其他此类信息存储、传输或显示设备内类似地以物理量表示的其他数据。
应理解的是,以上描述旨在是说明性的,而不是限制性的。在阅读和理解以上描述之后,许多其他实现方式对于本领域技术人员而言将是显而易见的。尽管已经参照特定示例实现方式描述了本公开,但是将认识到,本公开不限于所描述的实现方式,而是可以在所附权利要求的精神和范围内以变型和变化来实践。因此,说明书和附图应被认为是说明性的而不是限制性的。因此,本公开的范围应参照所附权利要求以及这些权利要求所赋予的等效物的全部范围来确定。
Claims (16)
1.一种在内容消费设备处强制执行撤销列表的方法,该方法包括:
接收并认证设备证书,其中所述设备证书包括识别所述内容消费设备的设备信息;
接收并认证撤销列表,所述撤销列表识别已从一个或多个设备撤销的一个或多个相应的设备能力;
使用所述设备信息和所述撤销列表来判断识别所述内容消费设备的撤销能力的撤销信息;
接收包括能力验证信息和允许对经加扰的内容进行解扰所需的解密密钥的消息;以及
对所述能力验证信息和撤销信息施加操作以判断所述内容消费设备是否能够使用所述解密密钥来允许对所述内容的解扰。
2.根据权利要求1所述的方法,其中,所述能力验证信息包括指示所述撤销列表的所需版本的版本验证信息,并且施加所述操作包括:对所述能力验证信息、撤销信息和指示所述撤销列表的版本的版本信息施加所述操作以判断所述内容消费设备是否能够使用所述解密密钥来访问所述内容。
3.根据权利要求1或权利要求2所述的方法,其中,施加所述操作包括:使用所述能力验证信息、撤销信息以及在所述能力验证信息包括版本验证信息时的版本信息来判断是否不允许所述内容消费设备对所述解密密钥进行解密;以及在所述判断是肯定的时阻止所述解密密钥的使用。
4.根据权利要求1或权利要求2所述的方法,其中,施加所述操作包括:通过将所述解密密钥、能力验证信息、撤销信息以及在所述能力验证信息包括版本验证信息时的版本信息进行组合来形成组合密钥;并且其中
所述方法包括:使用所述组合密钥来尝试对所述内容进行解扰或尝试对用于对所述内容进行解扰的解扰密钥进行解密。
5.根据权利要求1或权利要求2所述的方法,其中,所述验证信息和经加密的解密密钥通过密码绑定在一起。
6.根据权利要求1或权利要求2所述的方法,其中,所述方法在隔离执行环境中实现,并且阻止使用包括:阻止将所述解密密钥存储在所述隔离执行环境外部。
7.根据权利要求1或权利要求2所述的方法,其中,所述撤销列表随用于激活所述内容消费设备的解扰功能的激活消息被接收,并且认证所述撤销列表包括认证所述激活消息,所述方法包括:响应于对所述激活消息和设备证书的认证而激活所述内容消费设备的内容解扰功能。
8.根据权利要求1或权利要求2所述的方法,其中,所述消息是权利管理消息,并且需要所述解密密钥来对随所述经加扰的内容接收到的经加密的解扰密钥进行解密;或者其中所述消息是权利控制消息,并且所述解密密钥是解扰密钥。
9.一种内容消费设备,其包括:
一个或多个接收器模块,其被配置为接收:
经加扰的内容,以及
包括能力验证信息和允许对所述经加扰的内容进行解扰所需的解密密钥的消息;
存储器,其被配置为存储:
设备证书,其中所述设备证书包括识别所述内容消费设备的设备信息;以及
撤销列表,其识别已从一个或多个设备撤消的一个或多个相应的设备能力;以及
处理模块,其被配置为强制执行所述撤销列表,所述处理模块被配置为:
接收并认证所述设备证书;
接收并认证所述撤销列表;
接收所述消息;
使用所述设备信息和撤销列表来判断识别所述内容消费设备的撤销能力的撤销信息;以及
对所述能力验证信息和撤销信息施加操作以判断所述内容消费设备是否能够使用所述解密密钥来允许对所述内容的解扰。
10.根据权利要求9所述的设备,其中,所述能力验证信息包括指示所述撤销列表的所需版本的版本验证信息,并且施加所述操作包括:对所述能力验证信息、撤销信息和指示所述撤销列表的版本的版本信息施加所述操作以判断所述内容消费设备是否能够使用所述解密密钥来访问所述内容。
11.根据权利要求9或权利要求10所述的设备,其中,施加所述操作包括:使用所述能力验证信息、撤销信息以及在所述能力验证信息包括版本验证信息时的版本信息来判断是否不允许所述内容消费设备对所述解密密钥进行解密;以及在所述判断是肯定的时阻止所述解密密钥的使用。
12.根据权利要求9或权利要求10所述的设备,其中:
施加所述操作包括:通过将所述解密密钥、能力验证信息、撤销信息以及在所述能力验证信息包括版本验证信息时的版本信息进行组合来形成组合密钥;并且其中
所述处理模块被配置为使用所述组合密钥来尝试对所述内容进行解扰或尝试对用于对所述内容进行解扰的解扰密钥进行解密。
13.根据权利要求9或权利要求10所述的设备,其中,所述验证信息和经加密的解密密钥通过密码绑定在一起。
14.根据权利要求9或权利要求10所述的设备,其中,所述设备包括隔离执行环境,其中,所述处理模块在所述隔离执行环境中实现,并且阻止使用包括:阻止将所述解密密钥存储在所述隔离执行环境外部。
15.根据权利要求9或权利要求10所述的设备,其中,所述撤销列表被存储为用于激活所述内容消费设备的解扰功能的激活消息的一部分,并且接收并认证所述撤销列表包括接收对所述激活消息的认证,并且其中所述处理模块被配置为响应于对所述激活消息的认证而激活所述内容消费设备的内容解扰功能。
16.根据权利要求15所述的设备,其中所述处理模块被配置为响应于对所述激活消息的认证以及对所述设备证书的认证而激活所述内容消费设备的内容解扰功能。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17205022.1A EP3493461A1 (en) | 2017-12-01 | 2017-12-01 | Capability revocation |
| EP17205022.1 | 2017-12-01 | ||
| PCT/EP2018/082781 WO2019105973A1 (en) | 2017-12-01 | 2018-11-28 | Capability revocation in a content consumption device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111566991A CN111566991A (zh) | 2020-08-21 |
| CN111566991B true CN111566991B (zh) | 2023-05-23 |
Family
ID=60574421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880077757.7A Active CN111566991B (zh) | 2017-12-01 | 2018-11-28 | 内容消费设备中的能力撤销 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11310061B2 (zh) |
| EP (2) | EP3493461A1 (zh) |
| KR (1) | KR20200089683A (zh) |
| CN (1) | CN111566991B (zh) |
| WO (1) | WO2019105973A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913601A (zh) * | 2021-09-30 | 2023-04-04 | 华为技术有限公司 | 数据调用的方法和装置 |
| CN114879889B (zh) * | 2022-05-07 | 2024-03-29 | 上海米哈游天命科技有限公司 | 一种处理方法、装置、撤销系统、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447705A (zh) * | 2011-12-29 | 2012-05-09 | 华为技术有限公司 | 数字证书撤销方法及设备 |
| CN103618609A (zh) * | 2013-09-09 | 2014-03-05 | 南京邮电大学 | 一种云环境下基于属性基加密的及时用户撤销方法 |
| CN104205119A (zh) * | 2012-03-09 | 2014-12-10 | 索尼公司 | 信息处理设备、信息存储设备、信息处理系统、信息处理方法和程序 |
| CN107104982A (zh) * | 2017-05-26 | 2017-08-29 | 福州大学 | 移动电子医疗中具有叛逆者追踪功能的可搜索加密系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001320356A (ja) * | 2000-02-29 | 2001-11-16 | Sony Corp | 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法 |
| KR20040039443A (ko) * | 2001-09-27 | 2004-05-10 | 마쯔시다덴기산교 가부시키가이샤 | 암호화 장치, 복호화 장치, 비밀 키 생성 장치, 저작권보호 시스템, 및 암호 통신 장치 |
| US20040243827A1 (en) * | 2003-05-30 | 2004-12-02 | Aguilera Marcos K. | Method and system for managing access control |
| US7590840B2 (en) * | 2003-09-26 | 2009-09-15 | Randy Langer | Method and system for authorizing client devices to receive secured data streams |
| WO2005124582A1 (en) * | 2004-03-22 | 2005-12-29 | Samsung Electronics Co., Ltd. | Method and apparatus for digital rights management using certificate revocation list |
| US7392381B2 (en) * | 2004-04-13 | 2008-06-24 | Intel Corporation | Proactive forced renewal of content protection implementations |
| US11734393B2 (en) * | 2004-09-20 | 2023-08-22 | Warner Bros. Entertainment Inc. | Content distribution with renewable content protection |
| US7441121B2 (en) * | 2004-10-18 | 2008-10-21 | Microsoft Corporation | Device certificate self-individualization |
| US7315941B2 (en) * | 2004-12-17 | 2008-01-01 | Ntt Docomo Inc. | Multi-certificate revocation using encrypted proof data for proving certificate's validity or invalidity |
| JP5464794B2 (ja) * | 2006-07-24 | 2014-04-09 | コニカミノルタ株式会社 | ネットワーク管理方法およびネットワーク管理システム |
| US8601555B2 (en) * | 2006-12-04 | 2013-12-03 | Samsung Electronics Co., Ltd. | System and method of providing domain management for content protection and security |
| US20080304669A1 (en) * | 2007-06-11 | 2008-12-11 | The Boeing Company | Recipient-signed encryption certificates for a public key infrastructure |
| WO2011118222A1 (ja) * | 2010-03-26 | 2011-09-29 | パナソニック株式会社 | 再生装置、コンテンツ配信システム、再生方法、コンピュータプログラム及び集積回路 |
| US8416948B2 (en) * | 2010-06-04 | 2013-04-09 | Leanics Corporation | System for secure variable data rate transmission |
| US10530587B2 (en) * | 2015-07-07 | 2020-01-07 | Openvpn Technologies, Inc. | Web scale authentication |
| US11025407B2 (en) * | 2015-12-04 | 2021-06-01 | Verisign, Inc. | Hash-based digital signatures for hierarchical internet public key infrastructure |
| US10615987B2 (en) * | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
-
2017
- 2017-12-01 EP EP17205022.1A patent/EP3493461A1/en not_active Withdrawn
-
2018
- 2018-11-28 US US16/768,608 patent/US11310061B2/en active Active
- 2018-11-28 CN CN201880077757.7A patent/CN111566991B/zh active Active
- 2018-11-28 WO PCT/EP2018/082781 patent/WO2019105973A1/en unknown
- 2018-11-28 KR KR1020207015325A patent/KR20200089683A/ko not_active Application Discontinuation
- 2018-11-28 EP EP18807091.6A patent/EP3718251A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447705A (zh) * | 2011-12-29 | 2012-05-09 | 华为技术有限公司 | 数字证书撤销方法及设备 |
| CN104205119A (zh) * | 2012-03-09 | 2014-12-10 | 索尼公司 | 信息处理设备、信息存储设备、信息处理系统、信息处理方法和程序 |
| CN103618609A (zh) * | 2013-09-09 | 2014-03-05 | 南京邮电大学 | 一种云环境下基于属性基加密的及时用户撤销方法 |
| CN107104982A (zh) * | 2017-05-26 | 2017-08-29 | 福州大学 | 移动电子医疗中具有叛逆者追踪功能的可搜索加密系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3718251A1 (en) | 2020-10-07 |
| WO2019105973A1 (en) | 2019-06-06 |
| US20210176078A1 (en) | 2021-06-10 |
| EP3493461A1 (en) | 2019-06-05 |
| KR20200089683A (ko) | 2020-07-27 |
| CN111566991A (zh) | 2020-08-21 |
| US11310061B2 (en) | 2022-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9461825B2 (en) | Method and system for preventing revocation denial of service attacks | |
| US8281115B2 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
| US11451846B2 (en) | Pre-entitlement enforcement | |
| US11943491B2 (en) | Content protection | |
| US11436350B2 (en) | Protecting media content | |
| CN111566991B (zh) | 内容消费设备中的能力撤销 | |
| US9026800B2 (en) | Method and system for allowing customer or third party testing of secure programmable code | |
| US9740834B2 (en) | Usage rights information for protected content having two parts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |