CN1478350A - 将数字数据从信源保密传输到接收机方法 - Google Patents

Abstract

为了通过数字通信信道将表示内容的数字数据从信源(1)传输到接收机(2)，该数据至少被一个控制字(CW)加扰，该方法包括下述步骤；信源产生被暂时存储的加密密钥(KCW)。用该加密密钥加密控制字并当数据通过加密的通信信道(21)传输时，传输加扰的数字数据(3)和加密的控制字(4)到接收机。然后接收机执行信源鉴别的操作。当信源被接收机鉴别时，传输加密密钥到接收机。然后，该接收机解密该控制字并解扰该数据以将这些数据呈现给用户。然后，当内容已经被完全传输时，该加密密钥从信源和接收机的存储器中擦除。

Description

将数字数据从信源保密传输到接收机方法

技术领域

本发明一般地涉及到数字数据的复制保护领域。尤其是涉及一种将表示内容的数字数据从信源传输到接收机的方法，特别是在数字网络中，能够防止复制这些数据，或者至少，使任何复制不能使用。

背景技术

将表示内容的数字数据尤其是视频或音频序列与一般被表示为CCI(代表“复制控制信息”)或CGMS(代表“复制生成管理系统”)的复制控制信息项是常见的方法。

这些被内容提供者插入到数据中的信息项通常定义数据的四种可能状态：

授权复制(“自由复制”)；

授权复制的单次生成(或给定次数的生成)(“复制一次”或“复制N次”)；

不再授权复制(“不再复制”)；

从未授权复制(“禁止复制”)

当数据属于上述后两类时，数据不能被复制。也就是说，例如，当处理音频和/或视频数据时，数据只能被看或听而不能被记录，或者如果作了非法记录，那么随后数据就不能再使用。

保证该效果的一种方法在于有任一记录装置验证上述控制数据和，如果未被授权的数据复制被检测到就不能记录。

但是，由于该方法只能操作合法的(非“非法的”)记录装置，该方法有其局限性。

另外，为了当数据在例如家庭数字网等数字网中广播时使其只能在网络内复制，提出了另一种方法。为了达到这一目的，在数字网络中广播的数据用控制字加扰，并且这些控制字在数据流过的数字网络专有的密钥的帮助下被加密。这样，如果这些数据被复制，它们只能在它们被复制的数字网络内播放。关于该方法的进一步详细说明可参见THOMSON多媒体公司的法国专利申请，公开号为FR-A-2792482。

但是，该方法不能完全防止复制。实际上，有一些情况下，内容提供者希望在数字网络中“直播”数据而不希望存在为了以后在网络中重放该内容而进行复制的可能。一个典型的例子涉及由数字电视工作者播放的电影。

发明内容

本发明的一个目的是提供一种能够播放内容却不可能复制该内容的方法，尤其是在数字网络中。

根据第一方面，本发明涉及一种通过数字通信信道将表示内容的数字数据从信源传输到接收机的方法，所述数字数据被至少一个控制字加扰。该方法包括由信源执行的下述步骤。

第一步骤是产生由信源暂时存储的临时加密密钥。

第二步骤是用该临时加密密钥加密控制字。

第三步骤是将加扰的数字数据和加密的控制字传输到接收机，加密的控制字通过信源和接收机之间加密的通信信道被传输。

第四步骤是响应接收机对信源的鉴别操作，当信源被接收机鉴别时，传输加密密钥到接收机。

第五步骤是擦除加密密钥。

根据本发明的一个具体特征，新的临时加密密钥由信源针对传输的每一内容随机产生。

根据本发明的一个具体实施例，涉及要传输的数字数据的有效期的信息项被附加于数据后，并且在该有效期期满之后执行上述第五步骤。

根据本发明的另一个具体实施例，表示该内容可以被传输到接收机的次数的信息项被附加于数据后。该信息项暂时被信源存储在存取内容的计数器中，并且，在第五步骤前，存取内容的计数器减量；并且执行检验存储内容的计数器是否等于零的测试。只在测试结果是正数的情况下执行第五步骤。

根据本发明的一个具体特征，该方法还包括：在第一步骤前或第一步骤后，还有一个通过加密的通信信道产生在被传输到接收机的临时鉴别密钥的步骤。

作为优选，新的临时鉴别密钥由信源针对传输的每一内容随机产生。

根据本发明的一个具体实施例，在第四步骤，该鉴别操作包括以下子步骤：接收来自接收机的随机数；在随机数和鉴别密钥的基础上执行计算；和传输计算结果到接收机；

根据该实施例的一个具体特征，加密密钥和上述第三子步骤计算结果一起被传输到接收机。

根据本发明的另一个具体实施例，在第四步骤，加密密钥通过加密的通信信道被传输到接收机。

根据第二方面，本发明还涉及一种通过数字通信信道将表示内容的数字数据从信源传输到接收机的方法，该数字数据被至少一个控制字加扰。该方法包括接收机执行的下述步骤。

第一步骤是接收加扰的数字数据。

第二步骤是接收用加密密钥加密的加密控制字，该加密的控制字通过信源和接收机之间加密的通信信道被传输。

第三步骤是执行信源的鉴别操作和，当信源被接收机鉴别时：接收和暂时存储加密密钥；用加密密钥解密控制字；在解密的控制字的帮助下对数字数据进行解扰，使这些数字数据被转换成能呈现给用户的信号；和擦除加密密钥。

根据本发明的一个具体实施例，在上述第二步骤进一步接收临时鉴别密钥，该鉴别密钥通过加密的通信信道被传输。

根据该实施例的一个具体特征，在上述第三步骤执行的鉴别操作包括以下子步骤：产生随机数；发送随机数到信源；从信源接收在随机数和鉴别密钥的基础上执行的计算结果；和在第一子步骤产生的随机数和第二步骤接收的鉴别密钥的基础上检验计算结果。

根据该实施例的另一具体特征，所述鉴别密钥和上述第三子步骤计算的结果一起被接收机接收。

根据本发明的另一方面，复制控制信息项被附加到要被传输的数字数据后和只有当复制控制信息项表示数字数据是属于“未授权复制”类型时，上述方法的步骤被执行。

根据本发明的又一方面，上述方法在存取内容的装置和呈现内容的装置之间的家庭数字网络内被执行。

作为优选，在附加于信源的可移动的保密模块中实现根据本发明的第一方面的方法的步骤1到5。同样，在附加于接收机的可移动的保密模块中实现根据本发明的第二方面的方法的步骤1到3。

附图说明

在阅读了下面对参考附图给出的非限制性实施例的具体描述之后，将会更好地理解本发明在附图中：

图1概略说明了本发明第一实施例；

图2是根据本发明的第二实施例执行本发明的家庭数字网络的功能模块图；

图3概略说明了在本发明的第二实施例中表示数字内容的数据的形式；和

图4说明了在本发明的第二实施例执行期间图2的各个元件中间涉及的交换。

具体实施方式

图1概略说明了能发送表示内容的数字数据到接收机2的信源1。信源1是一种接收来自内容提供者的数字数据的装置以便通过数字通信信道传输这些数据到能将它们呈现给终端用户的接收机装置2。

本发明的方法目的是当数据通过信源和接收机之间的数字通信信道传输时防止非法复制数据。更准确地讲，其目的在于，如果数据被记录，防止这些数据被接收机装置重放以呈现给用户的可能性。

更具体地讲，例如，当通信信道是家庭数字网络时，信源1是接收来自广播电台的数字电视节目的数字解码器，接收机2是数字电视。

内容以一般由CW表示的控制字加扰的加扰数据3的形式从信源1传输到接收机2。应该注意，数据或者在信源1级被加扰，或者被内容提供者加扰。

为了保证传输的安全性并且防止数据被接收机2记录后重放，采取下述方法。

首先，信源1对每个被传输的内容产生临时加密密钥KCW，该临时加密密钥KCW在随后的说明中将被称作内容密钥并被暂时存储在信源的存储器7中。该内容密钥KCW是由位于信源内的伪随机数发生器产生的(参考“Handbook of applied cryptography，Alfred J.Menezes， Paul C.vanOorschot，Scott A.Vanstone，1997，pages 165-173”所描述的“True RandomNumber Generator”)使产生相同内容密钥值两次的可能性很低。

以相同的方式，信源1也对每个内容产生保密标识符I并将其存储在信源的存储器7中。如下文所述，该标识符I随后将用来鉴别信源1。

然后，用内容密钥KCW加密控制字CW。随后，加密的控制字E_KCW(CW)4和保密标识符I 5一起通过加密的通信信道21从信源传输到接收机。

应该注意，贯穿全文，采用了下述符号：

E_K(M)表示用与使用的加密算法无关的密钥K加密数据M的操作；

D_K(M)表示用与使用的加密算法无关的密钥K解密数据M的操作；和

|表示数据串联操作。

以本身熟知的方式，通过执行由信道传输的信息的对称或非对称加密，建立起从信源1到接收机2的加密的通信信道21。

在使用对称加密的第一变形实施例中，假设信源1和接收机2已经持有预先分配的加密密钥S。信源1(但可能是接收机2)随机产生话路密钥SSK。信源1使用其密钥S加密SSK并传输结果E_S(SSK)到接收机2。接收机2使用预先分配的加密密钥S解密E_S(SSK)并再现SSK。然后，在被传送到用相同的话路密钥SSK解密E_S(SSK)的接收机2之前，在信源1级，使用该话路密钥SSK对加密的控制字E_KCW(CW)4和保密标识符I 5进行解密。

总之，下述操作被执行：

由信源：E_SSK(E_KCW(CW)|I)；

由接收机：D_SSK(E_SSK(E_KCW(E_KCW(CW)|I)))＝E_KCW(CW)|I。

在使用非对称加密的第二变形实施例中，假设接收机2持有专有密钥K_{PRI_R}和公用密钥K_{PUB_R}对并且接收机预先传输其由认证权威认证的公用密钥到信源1。

因此，信源1使用接收机的公用密钥K_{PUB_R}对要传输的加密的信息(包括加密的控制字4和保密标识符I 5)执行下面的操作： $E_{K_{\mathrm{PUB}-R}}\left(E_{\mathrm{KCW}}\left(\mathrm{CW}\right)\right|I)$

一接收到这些信息项，接收机2就使用其专有密钥K_{PRI_R}对接收到的信息项执行解密逆操作： $D_{K_{\mathrm{PRI}-R}}\left(E_{K_{\mathrm{PUB}-R}}\left(E_{\mathrm{KCW}}\right(\mathrm{CW})\right|I)$

应该注意，加扰的数据3的传输20不必与加密的控制字4和保密标识符I的传输21同步。

当接收机2已经接收到对应于内容的加扰数据3和涉及该内容的保密标识符I 5和加密的控制字4时，该接收机存储标识符I在其存储器8中并执行鉴别信源1的操作22。

该操作，即文献中和本领域技术人员所熟知的“鉴别”操作或“实体鉴别”操作(特别参见著作“Handbook of applied cryptography，Alfred J.Menezes，Paul C.van Oorschot，Scott A.Vanstone，1997，pages 24-25”，目的在于确保接收机2发送内容的装置真正是信源1并且在鉴别操作发生时信源1起作用。

实际上，接收机2通过协议即本领域技术人员熟知的“查询-应答协议”鉴别信源1认识与接收的内容有关的保密标识符I的事实。例如，接收机2发送随机数n_i(也叫“查询”到信源1使信源1执行计算F(I，n_i)，这里的F是一种知道F、n_i而不知道I就不能计算F(I，n_i)的函数。另外规定，只有知道I实体才能计算F(I，n_i)。很可能使用在“Keyed-Hashing forMessage Authentication，RFC 2104，February 1997，Krawczyck et al.”中特别说明的函数HMAC-SHA-1，该文献可以在下述网址获得：ftp：//ftp.isi.edu/in-notes/rfc2104.txt.

结果F(I，n_i)被发送到接收机2，该接收机能通过自己计算F(I，n_i)及比较该结果和接收到的值来证实信源1认识I并且的确是发送内容和信息E_KCW(CW)|I的实体。

应该注意，如果在信源1和接收机2之间传输的流的非法记录被执行，则要执行记录的装置将不得访问保密标识符I(由加密通信信道21传输)并且因此将不能准确应答鉴别操作22。这种情况下，接收机将拒绝对加扰的数据3解扰。

如果信源1被接收机2鉴别，那么控制密钥KCW6在步骤23被传输到接收机并被接收机暂时存储在其存储器8中。然后接收机通过执行下述操作能解密控制字CW：

D_KCW(E_KCW(CW))；

然后，解扰数据3以便将这些数据呈现给用户。

一旦内容被呈现给用户，接收机不再需要保密标识符I和内容密钥KCW从而被从其内存8中擦除。

在信源1级，当内容密钥KCW6已经被发送到接收机2时(步骤23)，该密钥和保密标识符I一样被从存储器7中擦除。因此，对相应于被传输的内容的数据的可能发生的随后的重放来说，不再可能传输这些信息项。

这样，达到了本发明的目的并且表示内容的数据只由接收机读取一次。

为了进一步提高所提出的方法的安全性，作为变形，也可以由加密通信信道21传输内容密钥KCW。这种情况下，应该注意，当使用加密信道的第一变形实施例时，话路密钥SSK由信源1和接收机2存储在各自的存储器7和8中直到内容密钥KCW被传输，在内容密钥KCW被传输后，从信源和接收机中擦除话路密钥SSK。

在刚刚描述的实施例中，一旦内容从信源1传输到接收机2，就从存储器7中擦除内容密钥KCW和保密标识符I。

但是，在该实施例的优选变形中，对一段时期有效的内容来说，在这段时期，内容能被传输到接收机，或者，内容从信源到接收机传输指定的次数也是可能的。

在内容有一定有效期的情况下，涉及这段有效期的信息项被附加到表示信息的内容后，并且该信息项和内容密钥KCW及标识符I同时被信源1存储。然后，当密钥KCW6已经在步骤23被信源发送到接收机2时，进行校验以验证相应内容的有效期是否已经过期(例如通过将该时期与信源的内时钟比较)并且，只有在有效期已经过期的情况下，从信源的存储器7中擦除密钥KCW和标识符I。也应该注意，当采用加密信道的第一变形实施例时，话路密钥SSK被信源1和接收机2存储在各自的存储器7和8中直到内容的有效期已经过期。

在内容能被传输指定次数到接收机的情况下，该次数被附加到表示信息的内容后，并且被信源1存储在计数器中，同时内容密钥KCW和标识符I被存储在信源的存储器7中。密钥KCW每次被发送到接收机2时，该计数器就被减量(步骤23)。当计数器是零时，从信源的存储器7中擦除密钥KCW和标识符I。另外，如上所述，当采用加密信道的第一变形实施例时，话路密钥SSK被信源1和接收机2存储在各自的存储器7和8中直到上述计数器等于零。

现在将结合图2到4说明本发明的第二实施例。

图2所示的是包含由双向数字总线40连接的存取装置10的家庭数字网络，根据IEEE1394标准优选总线，该存取装置一方面与呈现装置12连接，另一方面与数字记录装置13连接。

存取装置10构成网络中的数据源或任一内容30进入网络的点。例如，该存取装置可以是通过卫星、无线电波(或陆地)或电缆接收数字数据广播的数字解码器。也可以是通过数字网络广播从光盘，特别是DVD(代表“数字通用盘”)，读取的数据的光盘读取设备。也可以是适于通过实时下载(也被称作“流动”)，即一边下载一边观看，从Internet接收数据的设备。

当然，尽管图2中仅表示了一个存取装置，但是家庭网络可以包含几个这种装置，每一个装置构成通过总线40广播数字内容的信源。

呈现装置12使将从数字总线40接收的数字数据转换为表示要呈现给终端用户的内容的信号成为可能。例如，该呈现装置是数字电视或扬声器。

数字记录装置13能记录流过总线40的数据流以便后来重放这些数据。例如，该数字记录装置是数字录象机，硬盘类存储设备或能刻录DVD类光盘的设备。

当然，家庭数字网络也可以包含几种呈现装置和几种记录装置。

此外，尽管已经分别描述了上述三种装置，但是对一种或同种装置来说，包含两种设备，或甚至三种设备是完全可能的。例如，数字电视可以包含能从网络外直接接收内容的内置解码器。这种情况下，除了数字数据将由内部总线传输到设备(在构成存取装置的部件和构成呈现装置的部件之间)而不是经总线40传输外，本发明将采用相同的方式。

作为优选，每一个存取装置10和呈现装置12持有分别适于卡14和卡15的智能卡读取器。正如本领域技术人员所熟知的，每一个智能卡包括允许例如密码数据保密存储的保密处理器。智能卡14和15的实用性稍后将会解释。

和通常在付费观看数字电视节目的广播中使用的一样，由存取装置10接收的内容30优选由被CW表示的控制字加扰的数字数据分组构成。控制字CW周期性地更新并被存储在由ECM表示的控制信息中(代表“权利控制信息”)，并被附加到相应的加扰的数据分组中。

图3概略说明了表示内容30的数据分组300的内容。该数据分组包括加扰的数字数据302和包含用于加扰数据的控制字CW的控制信息ECM301。当然，内容，尤其是关于电视节目的视频序列，是由分组300形式的数据分组顺次形成的。也应该注意，一般情况下，在数据流中，相对于用这些控制字加扰的数据，预先传输包含用来加扰数字数据的控制字的信息ECM。

如果被存取装置10接收的内容30不是上述的形式，那么内容要被存取装置转换以便构成如图3所示的数据分组。

而且，应该注意，表示内容30的数字数据包含定义关于复制的数据的状态的复制控制信息项。这些信息项优选被插入ECM信息并定义如上所述的四种可能状态：

授权复制(“自由复制”)；

授权复制的单次生成(或给定次数的生成)(“复制一次”或“复制N次”)；

不再授权复制(“不再复制”)；

从未授权复制(“从不复制”)。

正如下面结合图4所描述的，当数据从存取装置10传输到呈现装置12时，根据本发明的协议使保护属于上述后两类的数据(属于“未授权复制”类型的数据)不被复制成为可能。

而且，其它信息项可以被附加到表示内容30的数据后：

涉及数据有效期即数据能从存取装置10传输到呈现装置12的期间的信息项；和/或

涉及数据能从存取装置10传输到呈现装置12的次数的信息项。

如图4所示，两个向下的垂直轴t是时间轴，以便说明当新内容30将通过家庭数字网络被广播时，由存取装置10和呈现装置12执行的处理操作和这些装置之间的交换。

在第一步骤100期间，与被插入数据的复制控制信息项功能一样，存取装置10检测内容是否是复制未被授权。

如果内容的复制被授权，那么数据以常规的方式在网络上传输。另一方面，如果接收的内容属于“未授权复制”类型，那么存取设备在步骤101产生：

构成临时加密密钥的第一随机数R，为方便起见，以下将其称作“内容密钥”，和

构成临时鉴别密钥的第二随机数K，为方便起见，以下将其称作“鉴别密钥”。

对每一个被接收的内容30，K和R由伪随机数发生器产生以使产生相同的内容密钥值R或鉴别密钥值K两次的可能性很低。

如下所述，内容密钥R和鉴别密钥K被存取装置10暂时存储，一旦内容已经被完全传输到呈现装置，可能是在内容的有效期过期之后，或者在内容已经被传输指定的次数到呈现装置12后，存取装置10就将它们擦除。

如果涉及内容有效期的信息项被附加到数据后，在步骤101前或后，该信息项也被存取装置10存储在计数器中。

然后，对每一个包括在构成内容的数据流中的信息ECM，存取装置10抽取控制字CW并在步骤102执行下面用内容密钥R加密该控制字的操作：

CWR；这里表示“异或”运算(或“XOR”)。

加密的控制字CWR和鉴别密钥K都被插入到信息ECM中代替初始控制字。这样被传输的信息ECM用LECM表示。在现有情况下，信息LECM特别包括表示其内容是属于“未授权复制”类型的复制控制信息项。

然后，为了以保密方式传输到呈现装置12，信息LECM在步骤103被加密。

在第一优选变形中，将使用非对称加密。假设，如上述申请人提出的法国专利申请FR-A-2792482所述，家庭数字网络持有专有密钥K_{PRI_RES}和公用密钥K_{PUB_RES}对，并且网络的每一个存取装置10包含网络的公用密钥K_{PUB_RES}，每一个呈现装置12包含网络的专有密钥K_{PRI_RES}。记录装置13既不包含网络的公用密钥也不包含网络的专有密钥。

根据该优选实施例，存取装置10通过执行下述操作用网络的公用密钥加密信息LECM： $E_{K_{\mathrm{PUB}\_\mathrm{RES}}}\left(\mathrm{LECM}\right)$

然后呈现装置12通过执行下述操作能用网络的专有密钥解密该信息： $D_{K_{\mathrm{PRI}\_\mathrm{RES}}}\left(E_{K_{\mathrm{PUB}\_\mathrm{RES}}}\left(\mathrm{LECM}\right)\right)=\mathrm{LECM}$

在第二变形中，对于网络的每一个呈现装置12，持有专有密钥K_{PRI_PD}和公用密钥K_{PUB_PD}对也是可能的。这种情况下，希望从存取装置10接收属于“未授权复制”类型的内容的呈现装置12预先发送其公用密钥K_{PUB_PD}到该存取装置。然后，在步骤103通过执行下述操作用该公用密钥K_{PUB_PD}加密信息LECM： $E_{K_{\mathrm{PUB}\_\mathrm{PD}}}\left(\mathrm{LECM}\right)$ 然后，呈现装置12通过执行下述操作解密该信息： $D_{K_{\mathrm{PRI}\_\mathrm{PD}}}\left(E_{K_{\mathrm{PUB}\_\mathrm{PD}}}\left(\mathrm{LECM}\right)\right)=\mathrm{LECM}$

在第三变形中，通过使用对称加密使信息LECM加密是可能的。例如，网络中的每一个存取装置10和每一个呈现装置12包含网络的加密密钥K_{S_RES}。这种情况下，存取装置用网络的加密密钥通过执行下述操作加密信息LECM： $E_{K_{S-\mathrm{RES}}}\left(\mathrm{LECM}\right)$

然后，该信息通过执行下述操作被呈现装置12解密： $D_{K_{S\_\mathrm{RES}}}\left(E_{K_{S\_\mathrm{RES}}}\left(\mathrm{LECM}\right)\right)=\mathrm{LECM}$

最后，在第四种变形中，根据对称加密算法通过使用预先分配的加密密钥加密信息LECM是很可能的。

和在上述第一优选实施例中描述的一样，下面的描述中将假设信息LECM在步骤103已经用网络的公用密钥K_{PUB_RES}加密。

在接下来的步骤104中，包含加密的信息LECM和相应的加扰数据的数据分组305在家庭网的总线40上在IEEE1394总线的同步信道内被输送，上述同步信道通常传输根据MPEG2标准(ISO/IEC13818-1)压缩的数据。

所述的输送是在网络上的广播，即与总线40连接的所有呈现装置都能接收数据分组305。

当呈现装置12在步骤105接收数据分组305时，如上所述，根据本发明第一优选变形实施例，该呈现装置用网络的专有密钥K_{PRI_RES}解密信息LECM。

然后，呈现装置检测加扰的数据是否属于“未授权复制”类型的内容并且，这种情况下，得到该装置暂时存储的加密控制字CWR和鉴别密钥K。

在接下来的步骤106中，借助于已经在网络上输送分组305的存取装置10的鉴别，呈现装置12产生随机数R_i并用总线40的异步信道输送其到存取装置10(步骤107)(通过总线40的异步信道的输送在图4中以虚线箭头表示)。通过总线的异步信道的通信是“点到点”类型，即在网络的上述两个装置之间通信。此外，总线40的异步信道显示出不能被常规的记录装置例如装置13记录的特性。

在步骤108，当存取装置10接收数字Ri时，该装置执行下述计算：

h_i＝MAC_K(R_i)，

这里“MAC_K(x)”表示使用密钥K的信息x的“信息鉴别码”。关于“MAC”进一步说明参见著作“Handbook of applied cryptography，Alfred J.Menezes，Paul C.van Oorschot，Scott A.Vanstone，1997，pages 325”

前面HMAC-SHA-1所提及的函数将优选被用于h_i的计算。

在接下来的步骤109中，存取装置10经总线40的异步信道输送内容密钥R和h_i＝MAC_K(R_i)的计算结果到呈现装置12。

然后，呈现装置在步骤110执行下述计算：

h_i’＝MAC_K(R_i)，使用步骤106产生的数R_i和步骤105解密信息LECM得到的鉴别密钥K。

如果h_i’与从存取装置10接收的数h_i不同，那么呈现装置12不继续执行任何步骤。例如，为了引起用户的注意，显示一信息(如果呈现装置包含显示屏)以便预先警告呈现装置内容不能被观看(或听)。

另一方面，如果h_i’＝h_i，那么存取装置10被授权。这种情况下，呈现装置12用被接收的内容密钥R通过执行(步骤111)下述操作解密控制字CW：

CWRR＝CW。

然后，呈现装置12用控制字CW(步骤112)解扰数据并呈现数据给用户。

为了传输每一个形成内容的数据分组300，重复步骤102到112。接下来，在后续的步骤113中，呈现装置12从其存储器中擦除暂时被存储以执行上述计算的内容密钥R和鉴别密钥K。

一旦形成内容的所有数据分组(和相应的控制字CW)已经被从存取装置10传输到呈现装置12，三个变形实施例是可能的。

根据第一变形实施例，内容密钥R和鉴别密钥K在步骤115立即从存取装置10擦除，以便对于可能发生的内容重放这些数据不再被传输到呈现装置。

根据第二变形实施例，假设涉及内容有效期的信息项被附加到表示内容的数据在步骤101前或后已经被存取装置10存储。这种情况下，在步骤114a，进行检验以验证内容的有效期是否已经过期。如果114a的检验结果是正数，那么在步骤115从存取装置10的存储器中擦除内容密钥R和鉴别密钥K。如果相反，114a的检验结果是负数，那么内容密钥R和鉴别密钥K被保存在存取装置10的存储器中直到该内容的有效期过期。

根据第三变形实施例，假设表示内容能被传输到呈现装置指定次数的信息项被附加到数据后。该信息项已经被存取装置10存储(在步骤101前或后)在将被表示为“存取内容的计数器”的计数器中。这种情况下，在步骤114b1，该存取内容的计数器被减量。接下来，在步骤114b2，进行检验以验证存取内容的计数器是否为零。如果114b2的检验结果是正数，那么在步骤115从存取装置10的存储器中擦除内容密钥R和鉴别密钥K。如果相反，114b2的检验结果是负数，那么内容密钥R和鉴别密钥K被保存在存取装置10的存储器中以便允许呈现装置随后访问该内容。

应该注意，本发明的优点是允许几个连接到家庭数字网络上的呈现装置通过总线40同时访问由存取装置广播的内容。在该特殊情况下，结合附图4说明的协议在存取装置和各种呈现装置(尤其是共享内容密钥R和鉴别密钥K的装置)之间被并行执行。

还应该注意，作为优选，在步骤100到115说明的被执行的操作不直接被存取装置10或呈现装置12执行而是由插入存取装置10和呈现装置12的各自的卡读取器的智能卡14和15的安全处理器执行。

由于访问智能卡中所包含的数据(例如在我们的举例中的密钥K和R)几乎是不可能的，因此该方法提供了强大的安全性。

Claims (18)

1.一种通过数字通信信道将表示内容的数字数据从信源(1，10)传输到接收机(2，12)的方法，该数字数据被至少一个控制字(CW)加扰，其特征在于，对于信源来说，包括下述步骤：

(a)产生由信源(1，10)暂时存储的临时加密密钥(KCW，R)；

(b)用所述加密密钥加密所述控制字(CW)；

(c)将加扰的数字数据和加密的控制字传输到接收机(2，12)，

所述加密的控制字通过信源和接收机之间的加密的通信信道(21)被传输；

(d)响应接收机对信源的鉴别操作(22)和当信源被接收机鉴别时传输所述加密密钥到接收机；

(e)擦除加密密钥(KCW，R)。

2.根据权利要求1所述的方法，其特征在于新的临时加密密钥(KCW，R)由信源(1，10)针对传输的每一内容随机产生。

3.根据权利要求1或2之一所述的方法，其特征在于涉及要被传输的数字数据的有效期的信息项被附加到所述数据后和

在所述有效期期满后执行步骤(e)。

4.根据权利要求1或2之一所述的方法，其特征在于表示该内容能被传输到接收机的次数的信息项被附加于所述数据后，该信息项暂时被信源存储在存取该内容的计数器中，以及

在步骤(e)前：

将存取该内容的计数器减量；和

执行检验存取该内容的计数器是否等于零的测试；

只在测试结果是正数的情况下执行步骤(e)。

5.根据上述权利要求之一所述的方法，其特征在于该方法还包括：在步骤(a)前或后，产生在步骤(c)通过加密的通信信道传输到接收机的临时鉴别密钥(I，K)。

6.根据权利要求5所述的方法，其特征在于新的临时鉴别密钥(I，K)由信源(1，10)针对传输的每一内容随机产生。

7.根据权利要求5或6之一所述的方法，其特征在于步骤(d)包括下述子步骤：

(d1)接收来自接收机(2，12)的随机数(n_i，R_i)；

(d2)在所述随机数和所述鉴别密钥(I，K)的基础上执行计算(F(I，n_i)，MAC_K(R_i))；和

(d3)传输计算(F(I，n_i)，MAC_K(R_i))的结果到接收机(2，12)。

8.根据权利要求7所述的方法，其特征在于在子步骤(d3)，该加密密钥(R)和计算MAC_K(R_i)的结果一起被传输到接收机。

9.根据上述权利要求之一所述的方法，其特征在于在步骤(d)，该加密密钥通过加密的通信信道传输到接收机。

10.一种用于通过数字通信信道将表示内容的数字数据从信源(1，10)传输到接收机(2，12)的方法，该数字数据被至少一个控制字(CW)加扰，其特征在于，对于接收机来说，包括下述步骤：

(i)接收加扰的数字数据；

(j)接收由加密密钥(KCW，R)加密的控制字，所述加密的控制字通过信源和接收机之间的加密的通信信道(21)被传输；

(k)执行信源的鉴别操作(22)和，当信源被接收机鉴别时：

接收并暂时存储所述加密密钥；

用该加密密钥解密所述控制字；

在解密的控制字的帮助下，解扰所述数字数据，使这些数字数据被转换成能呈现给用户的信号；和擦除所述加密密钥。

11.根据权利要求10所述的方法，其特征在于在步骤(j)进一步接收临时鉴别密钥(I，K)，所述鉴别密钥通过加密的通信信道被传输。

12.根据权利要求11所述的方法，其特征在于在步骤(k)执行的鉴别操作包括下述子步骤：

(k1)产生随机数(n_i，R_i)；

(k2)发送所述随机数(n_i，R_i)到信源(1，10)；

(k3)从信源接收在随机数(n_i，R_i)和鉴别密钥(I，K)的基础上执行的计算(F(I，n_i)，MAC_K(R_i))的结果；和

(k4)在步骤(k1)产生的随机数和步骤(i)接收的鉴别密钥的基础上检验所述计算(F(I，n_i)，MAC_K(R_i))的结果。

13.根据权利要求12所述的方法，其特征在于在子步骤(k3)该鉴别密钥(R)和所述计算的结果一起被接收机接收。

14.根据上述任一权利要求所述的方法，其特征在于复制控制信息项被附加到要被传输的数字数据后，以及只有当复制控制信息项表示数字数据是属于“未授权复制”类型时，执行根据权利要求1到9的方法的步骤(a)到(e)和根据权利要求10到13的方法的步骤(i)到(k)。

15.根据上述权利要求之一所述的方法，其特征在于所述方法在存取内容的装置(10)和呈现内容的装置(12)之间的家庭数字网络内被执行，以及数字通信信道由连接所述存取装置(10)和所述呈现装置(12)的数字总线(40)形成。

16.根据权利要求15所述的方法，其特征在于在根据权利1到9的方法的步骤(c)中和在根据权利要求10到13的方法的步骤(i)到(k)中，加扰的数字数据和加密的控制字通过所述数字总线(40)的同步信道传输，该加密的控制字被包含在用家庭数字网络的公用密钥加密的信息(LECM)中。

17.根据结合了权利要求7或者权利要求12的权利要求15所述的方法，其特征在于在根据权利要求7的方法的子步骤(d1)到(d3)中和在根据权利要求12的方法的子步骤(k2)到(k3)中，随机数(R_i)和计算(MAC_K(R_i))的结果由所述数字总线(40)的异步信道传输。

18.根据上述权利要求之一所述的方法，其特征在于由附加于信源(10)的可移动的保密模块(14)执行根据权利要求1到9的方法的步骤(a)到(e)和由附加于接收机(12)的可移动的保密模块(15)执行根据权利要求10到13的方法的步骤(i)到(k)。

Images