CN111602380A - 标识用户终端以接收流式受保护多媒体内容的方法和系统 - Google Patents

标识用户终端以接收流式受保护多媒体内容的方法和系统 Download PDF

Info

Publication number
CN111602380A
CN111602380A CN201880086482.3A CN201880086482A CN111602380A CN 111602380 A CN111602380 A CN 111602380A CN 201880086482 A CN201880086482 A CN 201880086482A CN 111602380 A CN111602380 A CN 111602380A
Authority
CN
China
Prior art keywords
content
license
identifier
server
multimedia content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880086482.3A
Other languages
English (en)
Inventor
马蒂厄·菲尔米斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Publication of CN111602380A publication Critical patent/CN111602380A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1011Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

本发明涉及用于标识用户终端的方法和系统。其在包括许可证服务器(8、8b)和内容服务器的用于提供受保护多媒体内容的系统中实施,用户终端(12)用于接收多媒体内容,该多媒体内容受数字权利管理(DRM)系统保护,并且经由开放通信网络以加密形式流式传输,并且在所述用户终端(12)上通过浏览器(10)恢复,该浏览器实施多媒体内容读取器(14)和内容解密模块(18),该内容解密模块适于根据所述DRM对加密的多媒体内容进行解密。该方法包括由被修改为合并适于执行认证功能的认证服务器(8a)的许可证服务器(8)执行的以下步骤:获得内容解密模块的标识符;以及根据内容解密模块的标识符生成终端标识符。

Description

标识用户终端以接收流式受保护多媒体内容的方法和系统
【技术领域】
本发明涉及用于标识用户终端以接收并恢复经由开放通信网络以加密形式连续传输的受保护多媒体内容的方法、以及用于标识用户终端的相关系统。本发明还涉及用于认证用户终端的方法以及相关用户终端认证系统。
本发明属于保护多媒体内容,特别是视听内容的领域,该多媒体内容受数字权利管理(DRM)系统保护,并且通过诸如因特网之类的开放网络,连续,即,根据“流式(streaming)”传输模式传输。
【背景技术】
实际上,“过顶传球”(Over The TOP,OTT)技术的最近发展使得可以推广多媒体内容从常规或专用服务器通过因特网进行的流式传输,该流式传输具有自适应的流速并且允许在个人计算机类型的客户端装置上恢复令人满意的质量。
已经开发了若干流式传输协议,例如,ISO MPEG的基于HTTP的动态自适应流式传输(Dynamic Adaptive Streaming over HTTP,DASH)标准、由苹果公司
Figure BDA0002583283600000011
提供的
Figure BDA0002583283600000012
(“HTTP Live Streaming,HTTP直播流媒体”)协议以及由微软公司
Figure BDA0002583283600000013
提供的
Figure BDA0002583283600000014
(“Microsoft Smooth Streaming,微软平滑流媒体”)。特别地,这种协议可用于传输由任何DRM系统保护的多媒体内容,并且由任何网络浏览器恢复它们。
另外,标准化实体W3C(World Wide Web Consortium,万维网联盟)已经开发了称为EME(Encrypted Media Extension,加密媒体扩展)的HTML5标准的扩展,该扩展指定了网络浏览器与DRM系统的DRM代理或内容解密模块之间的通信信道。
以已知的方式,网络浏览器或因特网浏览器,或更简单地为浏览器,是被设计成查看并显示来自因特网网络的数据的HTTP客户端软件。存在针对所有类型的用户终端(个人计算机、触敏平板电脑、智能电话)以及针对不同的操作系统的很多浏览器。
CDM或内容解密模块是用户终端的软件模块,也称为“DRM代理”,该模块在该终端上本地实施DRM系统的机制,以便有助于确保受保护内容的合法分发以及与关于权利持有者的义务的一致性。这些机制特别使用解密装置和用于验证对由该DRM系统保护的内容的访问权限的装置。
存在若干DRM系统和对应的DRM代理,例如,
Figure BDA0002583283600000021
Figure BDA0002583283600000022
DRM或
Figure BDA0002583283600000023
浏览器的选择确定所使用的DRM系统。流式传输协议的选择由内容提供服务的运营商来决断,并且独立于所使用的浏览器的运营商。
HTML5 EME扩展的实施允许相对于所实施的用户终端、操作系统和浏览器透明地简化DRM保护机制的使用。
通常,今天,各个用户具有他并行使用的若干设备或用户终端(智能电话、平板电脑、PC)。当用户希望访问受保护的多媒体内容(例如,通过由因特网订购电视提供服务)时,他希望能够在他的所有终端上观看该内容。
然而,使用以上简要描述的OTT内容传输服务使得难以控制防止对受保护的多媒体内容的盗版。实际上,经由JavaScript实施HTML5的应用程序不能访问用户终端的硬件资源,因此不允许该终端的唯一且持久的标识。
结果,难以标识访问受保护多媒体内容的用户终端,然而这是任何内容提供商必须满足的权利持有者的主要要求。这种标识确实使得可以改进对内容的访问控制,特别是通过禁止由匿名的或内容提供服务未知的终端对内容的访问。它还可以使得可以例如通过使用基于用于访问内容的终端的标识符而开发的水印来标记内容,来改进对非法访问内容的对策。
【发明内容】
本发明涉及一种允许标识用于消费受保护多媒体内容的终端的方法。
为此,根据第一方面,本发明提出了一种方法,该方法用于在包括许可证服务器和内容服务器的用于提供受保护多媒体内容的系统中标识用户终端,该用户终端用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,该方法还用于在所述用户终端上通过浏览器检索(retrieve),该浏览器实施多媒体内容读取器和内容解密模块,该内容解密模块适于根据数字权利管理系统对加密的多媒体内容进行解密。该方法包括由被修改为合并适于执行认证功能的认证服务器的许可证服务器执行的以下步骤:获得内容解密模块的标识符;以及根据内容解密模块的标识符生成终端标识符。
有利地,本发明的方法使得可以结合用户终端的内容解密模块或DRM代理的标识符来确定用户终端的标识符,该内容解密模块或DRM代理是用户终端的安全元件。
根据本发明的用户终端标识方法可以具有独立地考虑或根据所有可接受组合考虑的以下特征中的一个或多个。
获得内容解密模块的标识符实施对预定内容的访问,该预定内容被称为认证内容,与数字权利管理系统关联,并且由认证内容服务器预先存储,所述认证内容包括或允许访问与数字权利管理系统关联的权利描述对象。
通过根据所述数字权利管理系统对描述文件进行加密,来格式化认证内容,该描述文件包含与数字权利管理系统关联的所述权利描述对象。
认证内容不包括使得可以访问多媒体数据的任何指示。
该方法包括以下步骤:由多媒体内容读取器请求认证内容;以及传输使得可以访问所述认证内容的地址。
认证内容包括与数字权利管理系统关联的、可由多媒体内容读取器直接访问的所述权利描述对象。
该方法在生成终端标识符之前包括以下步骤:接收认证请求,该认证请求包含标识数字权利管理系统的第一元素和由内容解密模块生成的第二加密元素,用于请求对所述预定认证内容的访问许可证。
第二元素是第一许可证质询,该第一许可证质询由所述内容解密模块从所述权利描述对象生成,并且被密码保护,以允许许可证服务器验证所述第一许可证质询的真实性和完整性。
该方法包括以下步骤:在解密之后根据所述第一元素从所述第二元素提取唯一元素;以及将所述唯一元素的值分配给内容解密模块标识符。
该方法还包括以下步骤:向多媒体内容读取器发送包括所述终端标识符和对所述预定认证内容的访问许可证的消息。
生成终端标识符的步骤包括将密码哈希函数或加密算法应用于内容解密模块的标识符。
该方法包括由多媒体内容读取器执行的以下步骤:接收包括所述终端标识符的消息;以及将所接收的终端标识符提供给应用程序,该应用程序用于提供受保护且加密的多媒体内容,所述终端标识符由所述应用程序存储。
根据另一方面,本发明涉及一种用于标识用户终端的系统,该用户终端在包括许可证服务器和内容服务器的用于提供受保护多媒体内容的系统中实施,用户终端用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且在所述用户终端上通过浏览器检索,该浏览器实施与内容解密模块关联的多媒体内容读取器,该内容解密模块适于根据数字权利管理系统对加密的多媒体内容进行解密。许可证服务器被修改为合并认证服务器,该认证服务器适于实施认证模块,该认证模块被配置为获得所述内容解密模块的标识符,并且根据内容解密模块的标识符生成终端标识符。
该标识系统还包括内容认证服务器。
根据另一方面,本发明涉及一种方法,该方法用于在包括许可证服务器和内容服务器的用于提供受保护多媒体内容的系统中认证用户终端,用户终端适于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且所述内容在所述用户终端上通过浏览器恢复,该浏览器实施多媒体内容读取器和内容解密模块,该内容解密模块适于根据数字权利管理系统对加密的多媒体内容进行解密。在所述用户终端发送访问受保护的多媒体内容的请求之后,该方法包括以下步骤:
-生成许可证请求,该许可证请求包括先前存储的并且通过如上简述的终端标识方法获得的用户终端的第一标识符、以及由用户终端的内容解密模块生成的第三加密元素,该许可证请求旨在请求对所述受保护多媒体内容的访问许可证,所述第三元素是第二许可证质询,该第二许可证质询被密码保护,以允许许可证服务器验证所述第二许可证质询的真实性和完整性;
-将所述许可证请求发送到所述许可证服务器,所述许可证服务器经过修该以便合并有适于实施认证功能的认证服务器;
-经由所述许可证服务器验证第三加密元素的真实性和完整性;以及
-在肯定验证的情况下,从所述第三加密元素获得第二内容解密模块标识符,并且根据第二内容解密模块标识符生成第二终端标识符;
-比较第一终端标识符与第二终端标识符,并且在匹配的情况下,认证所述用户终端。
根据另一方面,本发明涉及一种用于认证终端的系统,该终端在包括许可证服务器和内容服务器的用于提供受保护多媒体内容的系统中实施,用户终端用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且在所述用户终端上通过浏览器检索,该浏览器实施与内容解密模块关联的多媒体内容读取器,该内容解密模块适于根据数字权利管理系统对加密的多媒体内容进行解密。许可证服务器经过修改以便合并适于实施认证功能的认证服务器,并且,在由所述用户终端发送访问受保护多媒体内容的请求之后,
-多媒体内容读取器适于:
-生成许可证请求,该许可证请求包括先前存储的并且通过如上简述的标识系统获得的用户终端的第一标识符、以及由用户终端的内容解密模块生成的第三加密元素,该许可证请求旨在请求对所述受保护多媒体内容的访问许可证,所述第三元素是第二许可证质询,该第二许可证质询被密码保护,以允许许可证服务器验证所述第二许可证质询的真实性和完整性;
-将所述许可证请求发送到经过修改以便合并适于实施认证功能的认证服务器的所述许可证服务器;
-并且所述许可证服务器适于:
-验证第三加密元素的真实性和完整性;以及
-在肯定验证的情况下,从所述第三加密元素获得第二内容解密模块标识符,并且根据所述内容解密模块的所述第二标识符生成第二终端标识符;
-比较第一终端标识符与第二终端标识符,并且在匹配的情况下,认证所述用户终端。
【附图说明】
本发明的其他特征和优点将参照附图备考且非限制性地从下面提供的本发明的描述显现,附图中:
图1示意性地例示了本发明适用的、用于提供经由DRM系统保护的多媒体内容的系统;
图2示意性地例示了根据本发明的一个实施例的用于标识客户端终端的方法的主要步骤;
图3示意性地例示了实施通过图2的方法获得的终端标识符的用户终端认证的主要步骤。
【具体实施方式】
图1示意性地例示了本发明适用的、用于提供多媒体内容的系统1。
提供系统1包括用于由DRM系统保护的多媒体内容的服务器2,这种内容服务器例如由内容提供商运营商管理。服务器2还实施对内容的访问权限控制。服务器2例如是提供数字电视内容的运营商的服务器。
当然,服务器2可以以服务器系统的形式实施,该服务器系统包括控制对由运营商实施的受保护内容的访问权限的服务器、以及包括远程多媒体数据的内容服务器。
提供系统1还包括如下文详细说明的那样生成的认证内容服务器3。
提供系统1还包括用于格式化内容的模块4,该模块使得可以根据目标DRM系统以及对应的DRM代理,例如,
Figure BDA0002583283600000071
Widevine
Figure BDA0002583283600000072
Figure BDA0002583283600000073
根据流式传输协议,例如上面已经提到的DASH、HLS或MSS,来格式化内容。
与许可证服务器8有关的数据库6也是提供系统1的一部分。许可证服务器8是现有技术的DRM系统中的已知许可证服务器8b,该服务器经过修改以便合并适于实施终端认证功能的认证服务器8a。认证服务器8a例如合并认证内容服务器3。
在变型中,提供系统1包括根据本发明的终端认证服务器8a和许可证服务器8b,它们是分开并且适于彼此通信,这形成认证和许可证服务器。
在一个实施例中,数据库6由存储模块实施,该存储模块使得可以例如以文件形式存储一组注册。
这些注册中的每一个包括由模块4格式化的内容标识符C_ID和密钥。该密钥是加密密钥,利用该密钥,内容C_ID被加密以便格式化,或者如果该密钥与先前的密钥不同,则该密钥是解密内容C_ID所必需的解密密钥,因为该内容C_ID被加密以便格式化,或者该密钥是获得该密钥的方式。该数据库6例如存储在提供系统1的服务器8上。
服务器8被配置为从安装在用户终端12上的网络浏览器10接收请求。
该网络浏览器10包括用于读取多媒体内容的软件模块14,该软件模块经由JavaScript实施HTML5。
终端12还包括实施内容提供服务的应用程序的软件模块16。在一个实施例中,该应用程序负责用户和/或终端与内容服务器2的交互,特别是以标识用户或终端,控制终端用户的访问权限,访问内容。软件模块,在此被称为内容服务的应用程序,例如是网络电视(Web TV)应用程序。对内容的访问在图1中由箭头15示意性地示出。
内容读取器14与CDM 18通信,该CDM在该终端12本地实施DRM系统的机制,特别是受保护多媒体内容的解密。所实施的DRM系统由所使用的网络浏览器10确定。
图2示意性地例示了根据本发明的一个实施例的用于标识客户端终端的方法的主要步骤。这些步骤由上面参考图1描述的内容提供系统1的各种元件实施。
各个服务器以及用户终端是包括适于执行代码指令的至少一个处理器的电子计算机。在变型中,本发明方法的步骤由可编程逻辑电路类型的电子装置进行,诸如具有FPGA或ASIC基础的电子板。
在第一步骤30期间,内容服务16的应用程序向多媒体内容读取器14发送用户终端标识请求。
例如,在一个实施例中,应用程序16借助于API(应用编程接口)执行该步骤30,该API用于初始化多媒体内容读取器14。
在接收到用户终端的标识请求之后,内容读取器14向CDM 18发送所使用的DRM系统的标识请求32a。例如,使用EME请求requestMediaKeySystem()。
作为响应,在步骤32b中,内容读取器14获得标识所使用的DRM系统,例如,
Figure BDA0002583283600000081
以及
Figure BDA0002583283600000082
之中的参数KeySystem的值。
在步骤34期间,多媒体内容读取器14向服务器8发送认证内容请求。该请求包括所使用的DRM系统的标识符,例如参数KeySystem的值的形式。
认证内容是预先生成的、利用所使用的DRM系统保护并且存储为由认证内容服务器3提供的内容的内容,目的是对该内容的访问请求触发引起该请求的终端的标识。
更具体地,如果已经利用所使用的DRM系统保护了认证内容,则访问该认证内容的请求使得DRM系统初始化,该初始化是终端的标识所基于的初始化,该初始化的进展的细节因此专用于所使用的DRM系统,并且如果内容包括任何多媒体数据,则该初始化在读取内容的多媒体数据之前。然而,优选地,认证内容不包括多媒体数据。
认证内容包括与所使用的DRM系统关联的权利对象或者使得可以访问该对象。“权利对象(Right Object)”特别包含专用于所使用的DRM系统的报头,被称为PSSH(Protection System Specific Header,保护系统专用报头)。
例如,如果已经针对DASH协议进行了格式化,则认证内容是描述文件,也称为MPD(Media Presentation Description,媒体呈现描述)清单文件,该文件指示包含专用报头的DASH初始化段,该专用报头被称为“保护系统专用报头(Protection System SpecificHeader)”(PSSH)。接着,根据ISO通用加密(ISO Common Encryption,CENC)标准例如利用
Figure BDA0002583283600000091
技术对认证内容进行加密。
类似地,如果已经针对MSS协议进行了格式化,则认证内容例如是ISMC清单类型的描述文件,该文件接着根据CENC标准例如利用
Figure BDA0002583283600000092
技术进行加密。
类似地,如果已经针对HLS协议进行了格式化,则认证内容例如是M3U8播放列表类型的描述文件,该文件接着根据CENC标准例如利用
Figure BDA0002583283600000093
技术进行加密。
在这些示例的每一个中,认证内容的描述文件以对于所有内容已知的方式包括初始化DRM部分以便解除该内容的保护所必需的权利对象。权利对象包含保护内容所利用的DRM系统(KeySystem)的标识符和使得可以获得内容的解密密钥的信息。
在这些示例的每一个中,通常,对于给定内容,内容的描述文件还包含指示该内容的多媒体数据的至少一个URL。
在此,优选地,认证内容不包括多媒体数据,并且与任何内容的描述文件不同,认证内容的描述文件不包括指示多媒体数据的URL。
根据一个实施例,由所覆盖的DRM系统进行的认证内容由模块4格式化,然后存储在服务器3中。各个认证内容可通过URL(Uniform Resource Locator,统一资源定位符)地址来访问。结合各个认证内容的URL来存储加密密钥以及关联DRM系统的标识符。
根据另一个变型,在接收到请求34之后,生成并存储所使用的DRM系统的认证内容。
根据另一个变型,生成并存储用于至少一个DRM系统的若干认证内容,例如还包括多媒体数据的认证内容。
在步骤36期间,响应于认证内容请求,将访问该内容请求可借助于的URL地址发送到多媒体内容读取器14。
根据另一个实施例,内容读取器14直接访问与所使用的DRM系统关联的权利对象。在该实施例中,步骤34和36在本地处理,而不与服务器8交换。在这种情况下,认证内容由可直接访问的权利对象形成,并且认证内容服务器3集成到终端12中。
在接收到认证内容之后,多媒体内容读取器14根据EME标准初始化DRM会话(步骤38),以读取与所使用的DRM系统对应的所接收的认证内容。在该初始化之后,如果认证内容包括任何多媒体数据,则在步骤40中,流式传输认证内容的多媒体数据,这类似于多媒体内容的多媒体数据的任何流式传输。
如果通过加密来保护认证内容,则根据所使用的DRM系统的访问许可证是必要的,尤其是包括解密密钥。
然后在步骤42期间,CDM 18向内容读取器14发送请求,以便获得用于认证内容的解密密钥。
在步骤42中接收到请求时,在步骤44中,内容读取器14要求CDM 18基于从认证内容获得的权利对象生成许可证质询。
许可证质询指的是由CDM从权利对象生成以便获得包括内容的解密密钥的许可证的数据块。所生成的许可证质询可包括CDM的标识符CDM_ID。在这种情况下,标识符CDM_ID更具体地是在所考虑的终端中初始化的CDM实例的标识符,该标识符由CDM本身插入到许可证质询中。许可证质询在真实性和完整性方面被密码地保护,使得许可证服务器稍后可以验证其真实性及其完整性。
在步骤46中,CDM 18向内容读取器14返回加密的许可证质询。
在随后的步骤48中,内容读取器14生成并向服务器8发送认证请求,该认证请求包含标识所使用的DRM系统的第一元素和由CDM模块18生成的第二加密元素。例如,第一元素是标识所使用的DRM系统的参数KeySystem的值,而第二元素是由CDM 18提供的加密的许可证质询。
在变型中,认证请求的第一元素是与所使用的DRM系统关联的URL地址。
认证请求由许可证服务器8接收。
服务器8的服务器8b实施步骤50,在该步骤期间,服务器从所接收的请求提取许可证质询,验证许可证质询的真实性和完整性,并且生成读取认证内容所需的许可证。该许可证特别地包含要被使用以便解密认证内容的解密密钥。
在同一步骤50期间,当许可证质询包括CDM的标识符CDM_ID时,服务器8的许可证服务器8b根据专用于所使用的DRM系统的方案提取该标识符,并且将其发送到认证服务器8a。
例如,当DRM代理是
Figure BDA0002583283600000111
时,在许可证质询中发送的解密模块的公钥被当作标识符CDM_ID。在变型中,在许可证质询中发送的任何其它唯一元素可以用作标识符。
例如,当DRM代理是
Figure BDA0002583283600000112
时,标识符CDM_ID采用SPC(Server PlaybackContext,服务器回放上下文)质询的参数HU的值。
当许可证质询不包括CDM的标识符CDM_ID时,由许可证服务器8b生成、存储这种标识符,将其插入许可证中并发送到认证服务器8a。例如,当DRM代理是Widevine时,标识符CDM_ID采用PCT(Provider Client Token,提供商客户令牌)参数的值。该标识符通过使用伪随机发生器生成。
由此,标识符CDM_ID是在解密之后从许可证质询提取的唯一元素。
接着,在步骤52中,服务器8的认证服务器8a从标识符CDM_ID生成表示为T_ID的终端标识符。
在一个实施例中,终端标识符通过将密码哈希函数(例如,HMAC-SHA256)应用到解密模块标识符CDM_ID来生成:
TID=HMAC-SHA256(CDM_ID,Ks)
其中,Ks是秘密密钥。
在变型中,应用于标识符CDM_ID的任何其它加密算法是适用的。
在步骤54中,将包含所生成的许可证和终端标识符T_ID的响应发送到内容读取器14,该内容读取器在步骤56中将所接收的许可证发送到CDM 18。
最后,在步骤58中,内容读取器14提取由此获得的终端标识符T_ID,存储它,并将它发送到软件模块16。终端标识符通过内容服务的应用程序来存储。
有利地,由此生成的终端标识符T_ID对于物理用户终端和给定的网络浏览器是唯一的,因为它从与根据所使用的DRM系统在终端中初始化的CDM关联的唯一标识符生成。原则上,对于任何DRM系统,唯一地标识引起许可证质询的CDM。
标识符T_ID的持久性与浏览器管理的CDM的数据的持久性有关。更具体地,它们的寿命相同。
接着,可以在任何时刻验证由此获得并存储的用户终端标识符T_ID的真实性。
图3示意性地例示了使用终端标识符的用户终端认证方法的主要步骤,该终端标识符使用上述标识方法先前获得。
内容读取器14先前已经记录了终端标识符T_IDA,该终端标识符也由内容提供商运营商记录。
为了读取新的多媒体内容,内容提供商14生成包括内容标识符C_ID和先前记录的终端标识符T_IDA的访问请求60。
访问请求60被发送到实施访问权限检查的服务器2。在步骤62中,服务器验证由T_IDA标识的终端先前已经注册,并且在肯定验证的情况下,接着验证终端T_IDA访问内容C_ID的权限。接着,仅在第二验证成功时,才在步骤64中,将对由C_ID标识的内容的访问令牌发送到内容读取器。访问令牌包括终端标识符T_IDA,并且在真实性和完整性上被密码地保护,使得内容服务器可以在稍后验证其真实性及其完整性。
在步骤66中,内容读取器然后能够如上所述生成许可证质询,并且在步骤68中生成包含所生成的许可证质询和访问令牌的许可证请求。
在接收到该许可证请求时,服务器2验证访问令牌的真实性和完整性,并且在肯定验证的情况下,从其提取终端的标识符T_IDA(步骤70)。
服务器2接着向服务器8发送(步骤72)包含许可证质询和终端的标识符T_IDA的许可证请求。
服务器8的许可证服务器8b验证在步骤74中接收的许可证质询的真实性和完整性,并且在肯定验证的情况下,在步骤76中从其提取CDM标识符CDM_ID。步骤76的实施类似于参考图2描述的步骤50的实施。
与步骤52类似,在步骤78中,服务器8的认证服务器8a根据解密模块标识符CDM_ID生成终端标识符T_ID。
接着,在步骤80中,将计算的标识符T_ID与接收的终端标识符T_IDA进行比较。
在匹配的情况下,成功地认证终端,并且步骤80之后是步骤82,该步骤82用于生成并发送包含由C_ID标识的加密多媒体内容的解密密钥的许可证。许可证被发送到服务器2,该服务器将其发送(步骤82a)到多媒体内容读取器。
在步骤80中进行的比较期间不匹配的情况下,例如生成警报(步骤86)并将其发送到内容服务,并且不发送许可证,这导致防止用户终端12的内容读取器14读取由C_ID标识的多媒体内容。

Claims (16)

1.一种方法,该方法用于在包括许可证服务器(8、8b)和内容服务器(2)的用于提供受保护多媒体内容的系统中标识用户终端(12),该用户终端用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,该方法还用于在所述用户终端(12)上通过浏览器(10)检索,该浏览器实施多媒体内容读取器(14)和内容解密模块(18),该内容解密模块适于根据所述数字权利管理系统对加密的多媒体内容进行解密,其特征在于,该方法包括由被修改为合并有适于实施认证功能的认证服务器(8a)的所述许可证服务器(8)执行的以下步骤:
-获得(50)所述内容解密模块的标识符;以及
-根据所述内容解密模块的所述标识符生成(52)终端标识符。
2.根据权利要求1所述的方法,其中,获得所述内容解密模块(18)的标识符实施对预定内容(34、36)的访问,该预定内容被称为认证内容,与所述数字权利管理系统关联,并且由认证内容服务器(3)预先存储,所述认证内容包括或允许访问与所述数字权利管理系统关联的权利描述对象。
3.根据权利要求2所述的方法,其中,通过根据所述数字权利管理系统对描述文件进行加密,来格式化所述认证内容,该描述文件包含与所述数字权利管理系统关联的所述权利描述对象。
4.根据权利要求3所述的方法,其中,所述认证内容不包括使得可以访问多媒体数据的任何指示。
5.根据权利要求2至4中任意一项所述的方法,包括以下步骤:由所述多媒体内容读取器请求认证内容(34);以及传输(36)使得可以访问所述认证内容的地址。
6.根据权利要求2所述的方法,其中,所述认证内容包括与所述数字权利管理系统关联的、可由所述多媒体内容读取器直接访问的所述权利描述对象。
7.根据权利要求2至6中任意一项所述的方法,在生成(52)终端标识符之前,包括以下步骤:接收认证请求,该认证请求包含标识所述数字权利管理系统的第一元素和由所述内容解密模块生成的第二加密元素,用于请求对所述预定认证内容的访问许可证。
8.根据权利要求7所述的方法,其中,所述第二元素是第一许可证质询,该第一许可证质询由所述内容解密模块从所述权利描述对象生成(44),并且被密码保护,以允许所述许可证服务器(8b)验证所述第一许可证质询的真实性和完整性。
9.根据权利要求7或8所述的方法,包括以下步骤:在解密之后根据所述第一元素从所述第二元素提取唯一元素;以及将所述唯一元素的值分配给所述内容解密模块标识符。
10.根据权利要求9所述的方法,还包括以下步骤:向所述多媒体内容读取器发送(54)包括所述终端标识符和对所述预定认证内容的访问许可证的消息。
11.根据权利要求1至10中任意一项所述的方法,其中,生成(52)终端标识符的所述步骤包括将密码哈希函数或加密算法应用于所述内容解密模块的所述标识符。
12.根据权利要求1至11中任意一项所述的方法,包括由所述多媒体内容读取器(14)执行的以下步骤:接收包括所述终端标识符的消息;以及将所接收的终端标识符提供(58)给应用程序,该应用程序用于提供受保护且加密的多媒体内容,所述终端标识符由所述应用程序存储。
13.一种方法,该方法用于在包括许可证服务器(8、8b)和内容服务器的用于提供受保护多媒体内容的系统中认证用户终端,所述用户终端(12)适于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且所述内容在所述用户终端(12)上通过浏览器(10)检索,该浏览器实施多媒体内容读取器(14)和内容解密模块(18),该内容解密模块适于根据所述数字权利管理系统对加密的多媒体内容进行解密,其特征在于,
在所述用户终端发送访问受保护的多媒体内容的请求(60)之后,
该方法包括以下步骤:
-生成(68)许可证请求,该许可证请求包括先前存储的并且通过根据权利要求1至12中任意一项的终端标识方法获得的所述用户终端(12)的第一标识符(T_IDA)、以及由所述用户终端(12)的所述内容解密模块(18)生成的第三加密元素,该许可证请求旨在请求对所述受保护多媒体内容的访问许可证,所述第三元素是第二许可证质询,该第二许可证质询被密码保护,以允许所述许可证服务器验证所述第二许可证质询的真实性和完整性;
-将所述许可证请求发送到所述许可证服务器,所述许可证服务器经过修改以便合并有适于实施认证功能的认证服务器;
-经由所述许可证服务器验证(74)所述第三加密元素的真实性和完整性;以及
-在肯定验证的情况下,从所述第三加密元素获得(76)第二内容解密模块标识符,并且根据所述第二内容解密模块标识符生成(78)第二终端标识符(T_ID);
-比较(80)所述第一终端标识符(T_IDA)与所述第二终端标识符(T_ID),并且在匹配的情况下,认证(82-84)所述用户终端(12)。
14.一种用于标识用户终端的系统,该用户终端在包括许可证服务器(8、8b)和内容服务器(2)的用于提供受保护多媒体内容的系统中实施,用户终端(12)用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且在所述用户终端(12)上通过浏览器(10)检索,该浏览器实施与内容解密模块(18)关联的多媒体内容读取器(14),该内容解密模块适于根据所述数字权利管理系统对加密的多媒体内容进行解密,其特征在于,所述许可证服务器(8、8b)经过修改以便合并适于实施认证模块的认证服务器(8a),该认证模块被配置为:
-获得所述内容解密模块的标识符;并且
-根据所述内容解密模块的所述标识符生成终端标识符。
15.根据权利要求14所述的标识系统,包括认证内容服务器(3)。
16.一种用于标识用户终端的认证系统,该用户终端在包括许可证服务器(8、8b)和内容服务器(2)的用于提供受保护多媒体内容的系统中实施,用户终端(12)用于接收多媒体内容,该多媒体内容受数字权利管理系统保护,并且经由开放通信网络以加密形式流式传输,并且在所述用户终端(12)上通过浏览器(10)检索,该浏览器实施与内容解密模块(18)关联的多媒体内容读取器(14),该内容解密模块适于根据所述数字权利管理系统对加密的多媒体内容进行解密,
其特征在于:所述许可证服务器经过修改以便合并适于实施认证功能的认证服务器,并且在于:在所述用户终端发送访问受保护多媒体内容的请求之后,
-所述多媒体内容读取器(14)适于:
-生成许可证请求,该许可证请求包括先前存储的并且通过根据权利要求14的标识系统获得的所述用户终端(12)的第一标识符(T_IDA)、以及由所述用户终端(12)的所述内容解密模块(18)生成的第三加密元素,该许可证请求旨在请求对所述受保护多媒体内容的访问许可证,所述第三元素是第二许可证质询,该第二许可证质询被密码保护,以允许所述许可证服务器验证所述第二许可证质询的真实性和完整性;
-将所述许可证请求发送到经过修改以便合并适于实施认证功能的认证服务器的所述许可证服务器;
-并且所述许可证服务器(8a、8b)适于:
-验证所述第三加密元素的真实性和完整性;以及
-在肯定验证的情况下,从所述第三加密元素获得第二内容解密模块标识符,并且根据所述内容解密模块的所述第二标识符生成第二终端标识符(T_ID);
-比较所述第一终端标识符(T_IDA)与所述第二终端标识符(T_ID),并且在匹配的情况下,认证所述用户终端(12)。
CN201880086482.3A 2017-12-26 2018-12-24 标识用户终端以接收流式受保护多媒体内容的方法和系统 Pending CN111602380A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1763211 2017-12-26
FR1763211A FR3076009B1 (fr) 2017-12-26 2017-12-26 Procede et systeme d'identification de terminal d'utilisateur pour la reception de contenus multimedia proteges et fournis en continu
PCT/EP2018/086857 WO2019129771A1 (fr) 2017-12-26 2018-12-24 Procédé et système d'identification de terminal d'utilisateur pour la réception de contenus multimédia protégés et fournis en continu

Publications (1)

Publication Number Publication Date
CN111602380A true CN111602380A (zh) 2020-08-28

Family

ID=62528499

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880086482.3A Pending CN111602380A (zh) 2017-12-26 2018-12-24 标识用户终端以接收流式受保护多媒体内容的方法和系统

Country Status (8)

Country Link
US (1) US20200364317A1 (zh)
EP (1) EP3732849B1 (zh)
CN (1) CN111602380A (zh)
DK (1) DK3732849T3 (zh)
ES (1) ES2956117T3 (zh)
FR (1) FR3076009B1 (zh)
PL (1) PL3732849T3 (zh)
WO (1) WO2019129771A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11366879B2 (en) * 2019-07-08 2022-06-21 Microsoft Technology Licensing, Llc Server-side audio rendering licensing
CN114881577B (zh) * 2022-07-06 2022-09-30 国网浙江省电力有限公司 一种动态感知物资需求变化的采购决策方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080313742A1 (en) * 2006-02-17 2008-12-18 Huawei Technologies Co., Ltd. Method and system for restricting the users of media content
CN105453096A (zh) * 2013-08-09 2016-03-30 维亚塞斯公司 在用于提供多媒体内容的系统中提供许可证的方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100513297B1 (ko) * 2003-01-24 2005-09-09 삼성전자주식회사 인트라넷에서의 멀티미디어 컨텐츠 관리 시스템 및 방법
US20060235800A1 (en) * 2005-04-18 2006-10-19 Alcatel Digital rights management for media streaming systems
WO2009153759A1 (en) * 2008-06-20 2009-12-23 Nagravision S.A. Method for controlling the use of a conditional access content and multimedia unit for implementing said method
KR20120124329A (ko) * 2011-05-03 2012-11-13 삼성전자주식회사 서비스 제공 장치에서 drm 서비스를 제공하는 방법 그리고 이를 위한 서비스 제공 장치 및 사용자 단말에서 drm 서비스를 제공받는 방법
US8826459B2 (en) * 2011-11-29 2014-09-02 Jason Swist Systems and methods of automatic multimedia transfer and playback
FR3003974A1 (fr) * 2013-03-28 2014-10-03 France Telecom Procede et dispositif de transmission d'un fichier contenant un contenu multimedia a acces controle
EP2887606A1 (en) * 2013-12-20 2015-06-24 Advanced Digital Broadcast S.A. A system and a method for distributing multimedia content in a home network
US10395013B2 (en) * 2016-05-11 2019-08-27 Stmicroelectronics Sa Method and device for enhancing the protection of a signal, in particular a multimedia signal, against a malicious attack

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080313742A1 (en) * 2006-02-17 2008-12-18 Huawei Technologies Co., Ltd. Method and system for restricting the users of media content
CN105453096A (zh) * 2013-08-09 2016-03-30 维亚塞斯公司 在用于提供多媒体内容的系统中提供许可证的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ANDREAS GAL: "《Reconciling Mozilla"s Mission and W3C EME》", 《百度搜索HTTPS://HACKS.MOZILLA.ORG/2014/05/RECONCILING-MOZILLAS-MISSION-AND-W3C-EME/#COMMENT-2160761》 *

Also Published As

Publication number Publication date
WO2019129771A1 (fr) 2019-07-04
DK3732849T3 (da) 2023-10-09
EP3732849A1 (fr) 2020-11-04
PL3732849T3 (pl) 2023-10-09
FR3076009B1 (fr) 2020-01-17
FR3076009A1 (fr) 2019-06-28
US20200364317A1 (en) 2020-11-19
ES2956117T3 (es) 2023-12-13
EP3732849B1 (fr) 2023-07-26

Similar Documents

Publication Publication Date Title
US11055429B2 (en) Key providing method, video playing method, server and client
CN107707504B (zh) 一种流媒体的播放方法、系统以及服务器和客户端
CN107077541B (zh) 应用于动态自适应流媒体的部分url签名系统和方法
US9026782B2 (en) Token-based entitlement verification for streaming media decryption
EP3055805B1 (en) System and method for signaling and verifying url signatures for both url authentication and url-based content access authorization in adaptive streaming
AU2005241238B2 (en) Integrity protection of streamed content
US7376624B2 (en) Secure communication and real-time watermarking using mutating identifiers
WO2016184216A1 (zh) 一种防止盗链的方法、防止盗链的服务器及客户端
CN101977190B (zh) 数字内容加密传送方法以及服务器端
US20080209231A1 (en) Contents Encryption Method, System and Method for Providing Contents Through Network Using the Encryption Method
TW201204011A (en) Systems and methods for securely streaming media content
KR20130056343A (ko) 워터마크 추출 효율의 개선들
CN105075176B (zh) 质询-响应方法和相关联的客户端设备
US20030217163A1 (en) Method and system for assessing a right of access to content for a user device
CN109040079A (zh) 直播链接地址的组建和验证方法及相应装置
US20230132485A1 (en) System for Thin Client Devices in Hybrid Edge Cloud Systems
CN113365097B (zh) 直播信息流处理方法、装置、系统、电子设备及存储介质
CN111602380A (zh) 标识用户终端以接收流式受保护多媒体内容的方法和系统
US20060200667A1 (en) Method and system for consistent recognition of ongoing digital relationships
CN110290097B (zh) 数据的处理方法、装置、存储介质和电子装置
CN117579338A (zh) 一种流媒体文件的处理方法及相关设备
CN110807210B (zh) 一种信息处理方法、平台、系统及计算机存储介质
CN112560102A (zh) 资源共享、访问方法、设备及计算机可读存储介质
CN108076352B (zh) 一种视频防盗方法和系统
CN114007106B (zh) 一种h5视频加密播放方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200828