ES2367251T3 - Sistema y procedimiento de distribución de contenidos digitales. - Google Patents
Sistema y procedimiento de distribución de contenidos digitales. Download PDFInfo
- Publication number
- ES2367251T3 ES2367251T3 ES01900052T ES01900052T ES2367251T3 ES 2367251 T3 ES2367251 T3 ES 2367251T3 ES 01900052 T ES01900052 T ES 01900052T ES 01900052 T ES01900052 T ES 01900052T ES 2367251 T3 ES2367251 T3 ES 2367251T3
- Authority
- ES
- Spain
- Prior art keywords
- user device
- end user
- digital content
- content
- pecm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000009826 distribution Methods 0.000 title description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 description 23
- 238000003860 storage Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 18
- 238000004519 manufacturing process Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 3
- 238000011033 desalting Methods 0.000 description 3
- 229920005994 diacetyl cellulose Polymers 0.000 description 3
- 230000006837 decompression Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000013100 final test Methods 0.000 description 1
- 238000012886 linear function Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/165—Centralised control of user terminal ; Registering at central
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/21—Server components or server architectures
- H04N21/222—Secondary servers, e.g. proxy server, cable television Head-end
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
- H04N21/2543—Billing, e.g. for subscription services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/436—Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
- H04N21/4367—Establishing a secure communication between the client and a peripheral device or smart card
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/442—Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
- H04N21/44204—Monitoring of content usage, e.g. the number of times a movie has been viewed, copied or the amount which has been watched
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/442—Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
- H04N21/44236—Monitoring of piracy processes or activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4627—Rights management associated to the content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/47—End-user applications
- H04N21/478—Supplemental services, e.g. displaying phone caller identification, shopping application
- H04N21/4788—Supplemental services, e.g. displaying phone caller identification, shopping application communicating with other users, e.g. chatting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/632—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing using a connection between clients on a wide area network, e.g. setting up a peer-to-peer communication via Internet for retrieving video segments from the hard-disk of other client devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17309—Transmission or handling of upstream communications
- H04N7/17318—Direct or substantially direct transmission and handling of requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/611—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Graphics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Communication Control (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Seasonings (AREA)
- General Preparation And Processing Of Foods (AREA)
Abstract
Un procedimiento para asegurar los contenidos digitales para la transmisión a un dispositivo del usuario final (310), que comprende: (a) proporcionar un centro de control (240) para controlar el acceso al contenido digital por el dispositivo del usuario final (310); (b) transmitir contenidos digitales aleatorizados al dispositivo del usuario final (310), de modo que el dispositivo del usuario final (310) no pueda reproducir dicho contenido digital aleatorizado; (c) después de transmitir dicho contenido digital aleatorizado al dispositivo del usuario final (310), el dispositivo del usuario final (310) contacta dicho centro de control para solicitar un ECM personal (PECM), siendo dicho PECM específico para el dispositivo del usuario final (310); (d) en respuesta al dispositivo del usuario final (310) que contacta dicho centro de control (240), transmitir dicho PECM al dispositivo del usuario final (310) por dicho centro de control (240); y (e) des-aleatorizar dicho contenido digital aleatorizado por el dispositivo del usuario final (310) de acuerdo con dicho PECM.
Description
Campo de la invención
La presente invención se refiere a un sistema y un procedimiento para la distribución de contenidos digitales, y en particular a un sistema y un procedimiento que posibilita que tales contenidos digitales se distribuyen de forma segura con un mecanismo para el pago asegurado.
Antecedentes de la invención
Los contenidos digitales pueden distribuirse de forma fácil y eficaz a través de cualquier tipo de red adecuada, tal como una red de cable y/o una red de ordenadores. En particular, los contenidos digitales pueden distribuirse de forma eficaz a usuarios individuales bajo petición, posibilitando por lo tanto que los usuarios reciban contenidos personalizados "a demanda". Tal personalización es particularmente útil para la representación y/o reproducción de contenidos digitales a través de diversos tipos de dispositivos de medios, tales como los datos de video y los datos de audio, en los que el gusto del usuario está altamente individualizado. Por ejemplo, los usuarios podrían seleccionar porciones individuales de música, programas de televisión, películas y otros tipos de entretenimiento, y recibir estas selecciones como contenido digital.
Sin embargo, para que el contenido digital se suministre con total eficacia a los usuarios, es necesario proporcionar varios mecanismos. En primer lugar, si se requiere el pago, entonces el contenido digital debería ser seguro frente al robo, de modo que sólo los usuarios autorizados puedan recuperar y representar el contenido digital. En segundo lugar, el usuario debería también ser capaz de efectuar el pago fácilmente cuando se requiera, para fomentar el pago y el uso adecuados. En tercer lugar, ninguno de estos mecanismos debería interferir con la distribución eficaz y representación/reproducción del contenido digital. En cuarto lugar, el usuario autorizado debería también tener permitido opcionalmente la reproducción o de otro modo de representación de los contenidos digitales más de una vez, aunque impidiendo que usuarios no autorizados obtengan acceso a los contenidos digitales. Además, los usuarios deberían poder usar los contendidos digitales sustancialmente de la misma manera en que se usan los contenidos analógicos en el presente. Por ejemplo, los usuarios deberían poder mantener un número razonable de copias a usar por la misma persona en diferentes localizaciones, tales como en casa, en el automóvil, en la oficina y así sucesivamente. Además tales copias deberían ser utilizables por un número razonablemente limitado de miembros familiares.
Un intento de proporcionar tal mecanismo efectivo se describe en las Patentes de los Estados Unidos Nº 5.282.249 y
5.481.609 que por la presente se incorporan por referencia como si se expusiesen totalmente en este documento. El sistema revelado posibilita difundir ampliamente una señal analógica que contiene contenidos de medios, aunque sólo se reproduce o de otro modo se representa por usuarios autorizados. Esta señal podría contener un programa de televisión, por ejemplo. La señal esta aleatorizada, de modo que los usuarios autorizados pueden des-aleatorizar la señal y reproducir o de otro modo representar el contenido de medios sólo con el dispositivo de seguridad adecuado, tal como por ejemplo una tarjeta inteligente. De este modo, el contenido de medios recibido ampliamente sigue estando protegido frente a accesos por usuarios no autorizados.
Otra solución intentada se describe en la Solicitud de Patente Europea publicada Nº EP 0858184, que revela un sistema de protección de grabación digital y que por la presente se incorpora por referencia como si se expusiese totalmente en este documento. El sistema revelado posibilita que se envíe contenido digital en un formato aleatorizado, de modo que el contenido digital no puede leerse y/o representarse sin una clave. La clave se obtiene a partir de un mensaje de control, que se envía sólo a los usuarios autorizados. Preferentemente, la clave se obtiene a partir de información codificada contenida dentro del Mensaje de Control de Autorización, o ECM, para generar una palabra de código asociada con el ECM. De este modo sólo los usuarios autorizados son capaces de leer correctamente y/o representar el contenido digital.
Además, el sistema y el procedimiento descritos en la Solicitud de Patente Europea Nº EP 0858184 posibilita al usuario autorizado para grabar y reproducir o de otro modo representar los contenidos digitales, mientras que se impide que el usuario produzca y distribuya múltiples copias reproducibles del contenido digital a otros usuarios no autorizados. Por lo tanto, el usuario autorizado puede usar totalmente y disfrutar del contenido digital, mientras que el propio contenido sigue estando protegido frente a un uso no autorizado.
Como se describe en la Solicitud de Patente Europea Nº EP 0858184, y como se muestra en la Figura 1 de la técnica anterior tomada de la presente solicitud, tal sistema incluye un dispositivo de medios 100, tal como un conjunto de televisión, para reproducir contenidos digitales, tales como un programa de televisión por ejemplo. El dispositivo de medios 100 está conectado a un decodificador-receptor integrado (IRD) 110, para recibir y decodificar el contenido digital aleatorizado. El sistema también presenta un elemento de seguridad extraíble 120, tal como una tarjeta inteligente por ejemplo, para proporcionar palabras de control para la des-aleatorización, o de otro modo entregar en un formato claro, el contenido digital aleatorizado por el IRD 110. Además, el sistema presenta un VCR digital 130 para la comunicación con el dispositivo de medios 100 y con el IRD 110. El VCR digital 130 puede grabar el contenido digital para una reproducción posterior y/o representación por el dispositivo de medios 100.
El IRD 110 recibe el contenido digital aleatorizado que presenta una pluralidad de ECM, cada uno de los cuales está asociado con, y típicamente seguido por un segmento de datos digitales aleatorizados, que contiene el contenido digital real. Cada uno de los ECM incluye información codificada que puede usarse para generar una palabra de código para des-aleatorizar el segmento de datos digitales aleatorizados asociados. Típicamente, el elemento de seguridad extraíble 120 genera la palabra de código. El IRD 100 es entonces capaz de des-aleatorizar el contenido digital aleatorizado, por ejemplo que se está reproduciendo por el dispositivo de medios 100.
La técnica anterior de la Figura 2 también tomada de la Solicitud de Patente Europea Nº EP 0858184, es un diagrama de flujo que ilustra la producción del contenido digital aleatorizado. Como se muestra, el contenido digital aleatorizado se produce como un SDDS (flujo de datos digital aleatorizado) 140, presentando una pluralidad de ECM tal como el ECM de orden n 145, y una pluralidad de SDSEG asociados tal como el SDSEG (segmento de datos digital aleatorizado) de orden n 150 que está asociado con el ECM de orden n 145. El IRD 110 de la Figura 1, en cooperación con el elemento de seguridad extraíble 120, es capaz de usar el SDDS 140 para formar un SDDS de grabación 165. El SDDS de grabación 165 se produce con la adición de un clave de TECM (ECM transformado), que está asociada permanentemente con el sistema de la Figura 1, incluso si el elemento de seguridad extraíble 120 se cambia, recoloca o intercambia, por ejemplo. Esta clave de TECM se usa para construir una pluralidad de TECM, mostrados como el TECM de orden n 175, a partir de las palabras de código de los ECM. De ese modo, un sistema que no presentó la clave de TECM correcta no podría des-aleatorizar el SDDS de grabación 165 para reproducir o de otro modo representar el contenido digital, mientras que el usuario autorizado siempre puede reproducir o de otro modo representar el contenido digital grabado siempre que la clave de TECM esté disponible.
El documento WO-A-1/15448 (publicado el 1 de Marzo de 2001) revela un servicio de video a petición que se facilita por un contenido cifrado tal como una película de acuerdo con una o más palabras de control protegidas por una clave de programa. Se usa un mecanismo de transporte compatible con MPEG y la clave de programa se cifra y contiene en un ECM. Los ECM se transmiten al STB del usuario durante un tiempo limitado que defina una ventana de adquisición del servicio.
Ninguna de las soluciones reveladas de la técnica anterior reveladas permite incorporar un mecanismo de pago dentro del sistema de seguridad. Además ninguna de las referencias, enseña o revela un mecanismo de pago automático, que podría por ejemplo, posibilitar a los usuarios autorizados tanto a transmitir contenidos digitales a otros usuarios, como a pagar por tales contenidos, así como posibilitar a los usuarios a comprar contenidos digitales automáticamente. También, ninguna de las referencias enseña o revela un dispositivo seguro para des-aleatorizar el contenido digital mientras que protege simultáneamente tales contenidos, de contenidos no autorizados o "piratería" en el momento de la reproducción u otra representación. De este modo, aunque los sistemas de la técnica anterior cumplen una porción de los requisitos para un sistema flexible de protección de contenidos digitales aunque seguro, no cumple completamente las necesidades para tal sistema.
Por lo tanto, hay una necesidad no satisfecha y sería altamente útil tener, un sistema y un procedimiento para la distribución seguro de contenidos digitales, que posibilite efectuar automáticamente el pago por los contenidos, aunque posibilite al usuario autorizado acceder al contenido digital más de una vez.
La invención proporciona un procedimiento para asegurar los contenidos digitales para la transmisión a un usuario final de acuerdo con la reivindicación 1 y un sistema para asegurar la transmisión de contenidos digitales de acuerdo con la reivindicación 9.
La presente invención cumple estas necesidades proporcionando un sistema y un procedimiento para la distribución flexible, aunque segura de elementos de contenidos digitales, opcionalmente con un mecanismo de pago automático para la compra de tales contenidos. La presente invención soporta la distribución de contenidos a los dispositivos del usuario final a partir de uno o más puntos de distribución central, como en los modelos de cliente-servidor y variaciones de los mismos, y/o distribución entre pares, por ejemplo entre dispositivos de usuarios finales. Además la presente invención también soporta modelos de distribución dentro de cualquiera de estos mecanismos para la distribución unitaria, a un dispositivo del usuario final especificado, o la distribución por difusión / multi-destino, a una pluralidad de dispositivos de usuarios finales. En cualquier caso, para que el contenido distribuido sea operativo, por ejemplo se "reproduzca" o de otro modo se represente, el dispositivo del usuario final receptor debe haber estado en comunicación con un centro de control de red al menos una vez antes de que se permita tal representación. El centro de control de red a continuación posibilita al dispositivo del usuario final receptor a reproducir o de otro modo representar el contenido recibido, por ejemplo enviando un código al dispositivo del usuario final receptor. Opcionalmente, el centro de control de red puede requerir haber recibido el pago antes de habilitar el contenido para el dispositivo del usuario final receptor. De ese modo, la presente invención soporta la distribución flexible del contenido de acuerdo con varios modelos de distribución diferentes, mientras que se impide la reproducción no autorizada u otra representación a través del ciclo de vida del elemento de contenido digital y posibilitando opcionalmente el pago seguro:
De acuerdo con las realizaciones preferidas de la presente invención, se proporciona una combinación de hardware y software seguros para impedir y/o al menos retardar el acceso no autorizado o "pirateo". Para acceder al contenido distribuido a controlar, debe protegerse el propio contenido, por ejemplo por cifrado o aleatorización. En adelante en este documento, el término "aleatorización" se considera que abarca tanto el cifrado, que involucra la alteración del contenido determinada matemáticamente o incluso sólo una parte del mismo a una forma que no puede leerse sin la clave apropiada, y una forma más simple de aleatorización que involucra la re-disposición de las porciones del contenido, de modo que el contenido sólo es legible cuando se disponen adecuadamente. En realidad, incluso las formas más simples de aleatorización pueden efectuarse de forma efectiva alterando, o de otro modo haciendo inaccesible, un porcentaje pequeño del contenido global, después de que toda la unidad del contenido no pueda ya representarse. Protegiendo el propio contenido, la presente invención posibilita que el contenido sea completamente portátil, y se distribuya libremente, aunque asegurando que el control de acceso al contenido se mantiene por una autoridad central.
La combinación preferida de los componentes hardware y software posibilita la presente invención para el acceso de protección más eficaz para el contenido, mientras que posibilita al usuario para la reproducción, o de otro modo la reproducción del contenido, de forma fácil y transparente. Más preferentemente, el dispositivo del usuario final que se usa para la presente invención incluye un módulo de seguridad, para des-aleatorizar el contenido aleatorizado de acuerdo con un código recibido. El módulo de seguridad opcionalmente y más preferentemente presenta un sub-módulo de seguridad renovable, tal como una tarjeta inteligente por ejemplo. El módulo de seguridad recibe el código necesario desde el centro de control de la red, y a continuación es capaz de des-aleatorizar el contenido recibido para reproducirlo u otra representación. Más preferentemente, el funcionamiento del módulo de seguridad es transparente o sustancialmente transparente para el usuario final.
El dispositivo del usuario final está preferentemente en comunicación con un centro de control de la red a través de una red que podría ser por ejemplo la Internet, pero que también podría ser una red de cable y/o un satélite de comunicaciones, por ejemplo. Como alternativa, el dispositivo del usuario final está en comunicación con el centro de control de la red indirectamente, por ejemplo a través del uso de un medio de almacenamiento portátil tal como un CD-ROM por ejemplo, que podría enviarse opcionalmente al usuario final para la distribución del contenido y/o códigos, por ejemplo.
De acuerdo con la presente invención, se proporciona un procedimiento y un sistema para una transmisión flexible y segura de contenidos digitales a un dispositivo del usuario final como se define en las reivindicaciones adjuntas.
En adelante en este documento, los términos “fichero”, “porción” o “elemento” con respecto a contenidos digitales, se usan de forma intercambiable y se refieren a cualquier unidad de datos para tal contenido digital, ya sea una unidad funcional tal como un paquete por ejemplo, como una unidad conceptual tal como un programa de televisión por ejemplo.
En adelante en este documento, el término "representación" se refiere a cualquier tipo de reproducción o juego de datos de contenidos de medios para un usuario, incluyendo pero sin limitarse a estas, la producción audible de datos de audio y la producción visible de datos de video, y combinaciones de las mismos.
En adelante en este documento, el término "red" se refiere a una conexión entre cualesquiera dos o más dispositivos computacionales u otros dispositivos electrónicos que permite la transmisión de datos.
En adelante en este documento, el término "dispositivo computacional" incluye cualquier tipo de instrumento digital que es capaz de operar un programa de software.
Para la presente invención, una aplicación de software podría escribirse substancialmente en cualquier lenguaje de programación adecuado, que podría seleccionarse fácilmente por un especialista en la técnica. El lenguaje de programación elegido debería ser compatible con el dispositivo computacional de acuerdo con el cual se ejecuta la aplicación de software. Ejemplos de lenguajes adecuados de programación, pero sin limitarse a estos son C, C++, Java y Ensamblador.
Además, la presente invención podría implementarse como software, firmware o hardware, o como una combinación de los mismos. Para cualquiera de estas implementaciones, las etapas funcionales realizadas por el procedimiento podrían describirse como una pluralidad de instrucciones realizadas por un procesador de datos.
Breve descripción de los dibujos
La invención se describe en este documento, sólo a modo de ejemplo, con referencia a dibujos adjuntos, en los que:
la FIG. 1 es un diagrama esquemático de bloques de un sistema de la técnica anterior;
la FIG. 2 muestra un diagrama de flujo que ilustra la producción de contenidos digitales aleatorizados de
acuerdo con la técnica anterior;
la FIG. 3 es un diagrama de bloques esquemático de un sistema de acuerdo con la presente invención para un
suministro seguro aunque flexible de contenidos digitales;
la FIG. 4 es un diagrama de bloques esquemático de una versión de ejemplo más detallada del sistema de
acuerdo con la Figura 3;
la FIG. 5 es un diagrama de bloques esquemático de un módulo seguro de acuerdo con la presente invención;
la FIG. 6 muestra un convertidor de digital a analógico (DAC) de cuatro bits de la técnica anterior;
la FIG. 7 muestra una modificación de un elemento de la FIG. 6 de acuerdo con la presente invención; y
la FIG. 8 muestra un DAC seguro de ejemplo de acuerdo con la presente invención.
Descripción de las realizaciones preferidas
La presente invención es de un sistema y un procedimiento para la distribución flexible, aunque segura de elementos de contenidos digitales, opcionalmente con un mecanismo de pago automático para la compra de tales contenidos. La presente invención soporta la distribución de contenidos a dispositivos de los usuarios finales desde uno o más puntos de distribución centrales, como en los modelos de cliente-servidor y variaciones de los mismos, y/o una distribución entre pares, por ejemplo entre dispositivos de usuarios finales. Además, la presente invención también soporta modelos de distribución dentro de cualquiera de estos mecanismos para la distribución unitaria, a un dispositivo del usuario final especificado, o la distribución de difusión / distribución multi-destino, a una pluralidad de dispositivos de usuarios finales. En cualquier caso, para que el contenido distribuido sea operativo, por ejemplo para "reproducirse" o de otro modo representarse, el dispositivo del usuario final receptor debe haber estado en comunicación con un centro de control de red al menos una vez antes de que el contenido puede representarse de este modo. Se observará que opcionalmente tal contacto puede realizarse en el momento de la fabricación del dispositivo del usuario final.
El centro de control de red habilita a continuación al dispositivo del usuario final receptor para la reproducción o de otro modo para la representación de los contenidos recibidos, por ejemplo enviando un código u otro mensaje de permiso al dispositivo del usuario final receptor. Opcionalmente, el centro de control de la red puede requerir que se haya recibido el pago antes de habilitar el contenido para el dispositivo del usuario final receptor. De este modo, la presente invención soporta la distribución flexible del contenido de acuerdo con varios modelos de distribución diferentes, mientras que se impide la reproducción u otra representación no autorizada a lo largo del ciclo de vida del elemento de contenido digital, y opcionalmente habilita los pagos seguros.
De acuerdo con las realizaciones preferidas de la presente invención, se proporciona una combinación de hardware y software seguros para impedir y/o al menos retardar un acceso no autorizado o "pirateo". Para controlar el acceso al contenido distribuido, debe protegerse el propio contenido, por ejemplo por cifrado o aleatorización. En adelante en este documento, el término "aleatorización" se considera que abarca tanto el cifrado, que involucra la alteración del contenido determinada matemáticamente a una forma que no puede leerse sin la clave apropiada, como una forma más simple de aleatorización que involucra la re-disposición de las porciones del contenido, de modo que el contenido sólo es legible cuando se disponen de nuevo adecuadamente. Protegiendo el propio contenido, la presente invención posibilita que el contenido sea completamente portátil, y que se distribuya libremente, aunque asegurando que el control de acceso al contenido se mantiene por una autoridad central.
La seguridad del contenido se proporciona más preferentemente a través de varias normas básicas. En primer lugar, preferentemente, todos los contenidos digitales están cifrados o de lo contrario aleatorizados a través del sistema, excepto cuando se reciben por el centro de control de la red para la distribución al dispositivo del usuario final, y en el último punto físico inmediatamente antes del uso físico real (reproducción u otra representación del contenido) en el dispositivo del usuario final. Por ejemplo, con respecto a los datos de audio, ese punto sería la creación de una señal de voltaje analógico para la transmisión a los amplificadores analógicos. La construcción física de los circuitos integrados que manejan los contenidos digitales en el dispositivo del usuario final se realiza más preferentemente de modo que el descifrado o la des-aleatorización del contenido esté sólo disponible en ese punto y tal que el contenido "claro" o des-aleatorizado no pueda transmitirse fuera el dispositivo del usuario final.
De acuerdo con las realizaciones preferidas de la presente invención, los contenidos digitales se aleatorizan antes de transmitirse al dispositivo del usuario final por una unidad de difusión en el centro de control de la red. El contenido digital aleatorizado se puede des-aleatorizar a continuación preferentemente sólo por el dispositivo del usuario final con la clave correcta. La clave se distribuye preferentemente a través de un ECM (mensaje de control), que más preferentemente posibilita al dispositivo del usuario final para crear la clave correcta y tal como puede considerarse que es un ejemplo de un mensaje de permiso. Opcionalmente, el ECM se difunde a todos los dispositivos de los usuarios finales, pero más preferentemente sólo el dispositivo del usuario final particular es capaz de generar la clave si este dispositivo del usuario final también recibe un EMM, o mensaje de autorización, desde el centro de control de la red. De este modo, la clave, o la información requerida para generar la clave, puede opcionalmente difundirse, mientras que la capacidad de usar tal clave está preferentemente controlada por el centro de control de la red, a través de la distribución de algunos tipos de mensajes de permiso por ejemplo.
Opcionalmente y más preferentemente, una clave más permanente, o al menos la capacidad de generar tal clave más permanente, también se distribuye por el centro de control a un dispositivo de usuario final individual, particular.
Más preferentemente, esta capacidad se distribuye a través de un PECM (ECM personal), que se recibe por el dispositivo del usuario final desde el centro de control y proporciona la capacidad permanente de acceder a los contenidos digitales. Opcionalmente y más preferentemente, el PECM reemplaza a continuación el ECM, de modo que sólo el PECM se requiere entonces para acceder y representar el contenido digital. El PECM pude considerarse que es otro ejemplo del mensaje de permiso.
La combinación preferida de los componentes hardware y software posibilita a la presente invención para proteger el acceso a los contenidos de la forma más eficaz, aunque posibilitando al usuario para que reproduzca o de otro modo represente de forma fácil y transparente, los contenidos. Más preferentemente, el dispositivo del usuario final que se usa para la presente invención incluye un módulo de seguridad para des-aleatorizar los contenidos aleatorizados de acuerdo con la un código recibido. El módulo de seguridad opcionalmente y más preferentemente presenta un sub-módulo de seguridad renovable, tal como una tarjeta inteligente por ejemplo. El sub-módulo de seguridad renovable está asegurado preferentemente por sí mismo, de modo que la información contenida dentro de este sub-módulo está protegida de accesos no autorizados. El módulo de seguridad recibe el código necesario desde el centro de control de la red, y a continuación es capaz de des-aleatorizar los contenidos recibidos para la reproducción u otra representación. Más preferentemente, la operación del módulo de seguridad es transparente o substancialmente transparente para el usuario final.
El dispositivo del usuario final está preferentemente en comunicación con el centro de control de red a través de una red que podría ser la Internet por ejemplo, pero que también podría ser una red cableada y/o un satélite de comunicación, por ejemplo. Como alternativa, el dispositivo del usuario final está en comunicación con el centro de control de la red indirectamente, por ejemplo a través del uso de un medio de almacenamiento portátil tal como un CD-ROM, por ejemplo, que podría enviarse opcionalmente al usuario final para la distribución del contenido y/o los códigos, por ejemplo.
La presente invención preferentemente también abarca varios modelos de negocio diferentes, para la distribución de contenidos y más preferentemente también para el pago por el contenido distribuido. Las normas de negocios y los datos se encarnan preferentemente en el módulo de seguridad. Con respecto a los módulos de seguridad renovables o extraíbles, opcionalmente tales módulos de seguridad pueden ser "pareados" para los dispositivos del usuario final, de modo que la relación de pareado se establece bien en la fabricación del dispositivo del usuario final y el sub-módulo de seguridad renovable, y/o a través de una conexión con el centro de control de red, o el centro de control para la distribución de los contenidos digitales. La relación de pareado puede usarse opcionalmente para impedir el uso del módulo de seguridad renovable y/o extraíble con otros dispositivos de usuarios finales.
Además, los derechos de las normas de negocios, créditos y así sucesivamente, preferentemente se mantienen en el centro de control de la red. Opcionalmente y más preferentemente, un requisito para las conexiones periódicas al centro de control de la red por el dispositivo del usuario final permite la sincronización y la detección de la actividad pirata. Una de las normas puede forzar opcionalmente al usuario a establecer una conexión desde el dispositivo del usuario final con el centro de control de la red sobre una base periódica.
La combinación del módulo de seguridad local para el dispositivo del usuario final, y el centro de control de la red en el punto de distribución central, posibilitan al usuario final para comprar más fácilmente o de otro modo para obtener los elementos de contenidos, aunque protegiendo los contenidos digitales frente a un acceso no autorizado. La interpretación de las normas y condiciones de negocios encarnados en estos diversos EMM, ECM y PECM se realiza preferentemente en el módulo de seguridad. El módulo de seguridad comprende más preferentemente un sub-módulo de seguridad renovable, que más preferentemente es una tarjeta inteligente, para posibilitar su servicio en relación o sin relación con las aplicaciones de negocios, tales como las tarjetas de lealtad, compra de elementos de contenidos no digitales, o cualquier otro uso. Para el sub-módulo de seguridad extraíble y/o renovable, hay una opción para intercambiar datos entre aplicaciones de negocios, de modo que posibilita una transferencia de crédito, puntos de lealtad y así sucesivamente desde una aplicación de negocios a otra. Preferentemente, el sistema además presentaría además un lector de tarjeta inteligente para la lectura de la tarjeta inteligente, que estaría separado del dispositivo del usuario final. Los datos producidos por la tarjeta inteligente son legibles por el lector de la tarjeta inteligente, incluyendo los datos resultantes de las ranuras, que son más preferentemente legibles como una contestación codificada. Por razones de seguridad, preferentemente no se permite la lectura exterior directa de los datos almacenados sobre las tarjetas inteligentes. En cambio, una petición recibida a través del lector da como resultado una respuesta codificada.
Los principios y el funcionamiento de la presente invención pueden entenderse mejor con referencia a los dibujos con referencia a los dibujos y la descripción adjunta.
Refiriéndonos ahora a los dibujos, la Figura 3 es un diagrama de bloques esquemático de un sistema de acuerdo con la presente invención para la distribución seguro aunque flexible de contenidos digitales. Aunque el sistema se describe con respecto a un contenido de audio, se entiende que esto es sólo para propósitos de ilustración y es sin ninguna intención de limitación en modo alguno.
Como se muestra, un sistema 200 presenta un dispositivo del usuario final 210 con un módulo de seguridad asociado 220. El dispositivo del usuario final 210 también presenta un reproductor de medios 230 para reproducir o de otro modo representar al menos un tipo de contenido de medios, tal como un contenido de audio por ejemplo. El dispositivo del usuario final 210 preferentemente está en comunicación con un centro de control de red 240 a través de la red 250. La red 250 podría ser substancialmente cualquier tipo de red adecuada, incluyendo pero sin limitarse a estas, la Internet, una red de cable o un mecanismo de distribución de satélite.
El centro de control de la red 240 preferentemente controla el acceso al contenido distribuido por el dispositivo del usuario final 210, pero más preferentemente no solamente controla la distribución de contenido. En su lugar, el centro de control de la red 240 es preferentemente capaz de distribuir contenidos, ya sea a través de un mecanismo de difusión a una pluralidad de dispositivos de usuario final 210, o como alternativa a través de un mecanismo de un solo destino a un dispositivo del usuario final específico 210. Además, opcionalmente y preferentemente, los dispositivos de los usuarios finales 210 también son capaces de dirigir la distribución entre pares del contenido. Más preferentemente, el centro de control de red 240 no controla tal distribución entre pares del contenido entre dispositivos de usuarios finales 210, sino que controla el acceso a los contenidos distribuidos. Tal control se proporciona preferentemente requiriendo al dispositivo del usuario final 210 que reciba tal contenido para contactar con el centro de control de red 240 antes de que sea posible acceder al contenido. Opcionalmente, sin embargo, puede permitirse el acceso a la porción de contenido como "previo" u otra introducción antes de que se establezca el contacto con el centro de control de la red 240. Como contenido de audio, tal "previo" podría opcionalmente incluir una longitud corta de datos de audio reproducidos, mientras que para una película u otros contenidos más largos tal “previo” podría incluir opcionalmente una longitud más larga de contenido reproducido.
Más preferentemente, el contenido distribuido se aleatoriza antes de la distribución, y sólo puede accederse por un dispositivo del usuario final 210 que posee el código o códigos adecuados. Más preferentemente, el módulo de seguridad 220 debe recibir el código o códigos adecuados, y es capaz a continuación de des-aleatorizar de modo transparente los contenidos recibidos para la reproducción u otra representación del contenido. Estos códigos sólo pueden más preferentemente recibirse desde el centro de control de la red 240, posibilitando por lo tanto al centro de control de la red 240 para mantener el control sobre el acceso a los contenidos distribuidos.
Opcionalmente y preferentemente, se aleatorizan diferentes porciones de los contenidos distribuidos de acuerdo con diferentes tipos de mecanismos de aleatorización. Por ejemplo, opcionalmente y preferentemente, los contenidos digitales están cifrados en varias partes, teniendo cada una un modo de cifrado diferente, de modo que diferentes grados o clases de contenidos están opcionalmente contenidos dentro de una única unidad de contenido. Un ejemplo de tal modo podría ser opcionalmente contenido "claro" o no aleatorizado. Otro ejemplo es la "libre visión", en la cual el contenido puede ser opcionalmente y preferentemente aleatorizado, y transmitirse con un ECM que permite el libre acceso a todos los dispositivos de usuarios finales 210, y más específicamente, el módulo de seguridad 220 de cada uno de tales dispositivos de los usuarios finales 210. Tal aleatorización diferencial puede usarse opcionalmente y preferentemente para posibilitar una función de "visión previa libre" para audiencias particulares (o todas) a través de sus respectivos dispositivos de usuarios finales 210, de modo que el usuario final podría ver una porción del contenido recibido para determinar si comprar dicho contenido, por ejemplo.
De acuerdo con otras realizaciones preferidas de la presente invención, se soportan una pluralidad de diferentes modelos de negocios para la compra y gestión de contenidos digitales. Opcionalmente y preferentemente, hay una pluralidad de modelos de distribución básicos: subscripción, alquiler y compra "por elemento".
Para el modelo de la subscripción, preferentemente sólo los miembros de los grupos de "subscritos" tienen derechos para la des-aleatorización, y por lo tanto la reproducción u otro modo de representación, de cualquier contenido digital destinados para los dispositivos de los usuarios finales 210 de estos grupos. De nuevo, la subscripción posibilita al módulo de seguridad 220 para des-aleatorizar el contenido digital para cada uno de tales dispositivos de usuario final 210. La obtención de una subscripción preferentemente depende del pago de la tasa de subscripción, que puede ser opcionalmente una única tasa de "una vez", también opcionalmente dividida en pagos a plazos, o alternativamente puede cubrirse sólo un periodo de subscripción por un tiempo limitado. Para cualquier tipo de subscripción por tiempo limitado, preferentemente sólo cada uno de los dispositivos de usuario finales 210 es capaz de acceder o de otro modo usar el contenido durante el periodo de tiempo cubierto por la subscripción, después del cual el dispositivo del usuario final 210 preferentemente ya no podría acceder al contenido. Tal limitación al acceso por el dispositivo del usuario final 210 está opcionalmente y más preferentemente implementado proporcionando un mensaje de permiso y/o un código o clave que está limitada por si misma en el tiempo (como se describe con mayor detalle con respecto a la implementación de un mecanismo de alquiler de acuerdo con la presente invención, por ejemplo). La tasa de subscripción puede depender opcionalmente de cualquier combinación de un grupo y propiedades del abonado individual, tales como una afiliación al grupo o miembro en otros grupos de subscripción por ejemplo.
Dos casos especiales de este modelo son el caso del grupo "Todos", y el caso de "tasa de subscripción cero". Una combinación de estos dos casos alcanza al "contenido libre para todos los dispositivos de usuarios finales 210".
Para el segundo modelo, el alquiler de elementos de contenidos digitales, el acceso por el dispositivo del usuario final puede controlarse opcionalmente de acuerdo con el tiempo, el número de veces que se representa el elemento de contenido, u otros parámetros de alquiler, por ejemplo. El dispositivo del usuario final 210 puede opcionalmente y más preferentemente almacenar tal información en un sub-campo de una ranura de compra. Este uso de ranuras de compra limita el número de elementos de contenidos alquilados que el dispositivo del usuario final 210 puede almacenarse en cualquier momento. Por ejemplo, el dispositivo del usuario final 210 puede recibir opcionalmente en primer lugar una clave temporal para el acceso a los contenidos digitales aleatorizados, que se envían desde el centro de control de la red 240.La clave temporal preferentemente sólo sería válida durante un periodo de tiempo limitado, después del cual el dispositivo del usuario final 210 ya no podría acceder al contenido digital aleatorizado, a menos que el dispositivo del usuario final 210 reciba una clave permanente. Por ejemplo, la clave temporal podría ser opcionalmente un ECM, mientras que la clave permanente podría ser opcionalmente un PECM.
Para el tercer modelo, con la compra de elementos de contenidos digitales individuales, un usuario individual puede opcionalmente y preferentemente comprar elementos o grupos de elementos, con una diversidad de mecanismos y procedimientos de compra. Por ejemplo, el usuario puede opcionalmente autorizarse para la propiedad total del elemento de contenido digital, el alquiler durante un periodo de tiempo determinado o un cierto número de representaciones para reproducir u otra representación, y así sucesivamente. El precio de compra puede ser opcionalmente una función de cualquier parámetro dentro del sistema, incluyendo (pero sin limitarnos a estos) los miembros de un grupo, otras compras, y el momento de compra y/o descarga.
Ambos modelos de la subscripción como la compra "por elemento", opcionalmente con variaciones, pueden opcionalmente y preferentemente coexistir dentro de un sistema único, con parámetros bajo el control de un centro de control de red 240 y, hasta cierto punto, bajo el control del usuario a través del dispositivo del usuario final 210. Como se ha observado anteriormente, estos parámetros están más preferentemente almacenados en el módulo de seguridad 220 del dispositivo del usuario final 210 y se operan por el mismo, o más preferentemente en el sub-módulo de seguridad extraíble, tal como una tarjeta inteligente por ejemplo (no mostrada).
Se observará que ambos modelos de distribución soportan la super-distribución, en la cual el contenido se suministra entre dispositivos de usuarios finales 210, en lugar de enviarse desde el centro de control de la red 240, con el pago apropiado aún estando correctamente distribuido bajo el control del centro de control de la red 240. La super-distribución, la protección de copia y la transferencia de medios, tal como la grabación de contenidos en un dispositivo del usuario final 210 e intentar reproducir este contenido en otro dispositivo de usuario final 210, están todos preferentemente sujetos a reglas de negocios que se fijan por el centro de control de red 240 para un contenido particular, grupos de usuarios y dispositivos de usuarios finales 210, o usuarios individuales en dispositivos de usuarios finales 210.
Otra forma de super-distribución es para regalos, donde el comprador ha pagado por los derechos y el contenido se suministra al dispositivo del usuario final 210 de otro usuario. Un procedimiento sería realizar la compra desde el centro de control de la red 240 en nombre del dispositivo del otro usuario final 210. El centro de control de red 240 enviaría a continuación el contenido y el código apropiado para el acceso al contenido al dispositivo del usuario final específico 210 del otro usuario, y más preferentemente al módulo de seguridad 220 para ese dispositivo del usuario final específico 210, o más preferentemente en el sub-módulo de seguridad extraíble como se ha descrito anteriormente.
Preferentemente se implementan los siguientes modos de distribución específica para los contenidos digitales: libre, en el cual el contenido digital opcionalmente no está aleatorizado o cifrado; permitido el descifrado u otra desaleatorización para todos los dispositivos de usuarios finales válidos 210; permitido el descifrado u otra desaleatorización para dispositivos de usuarios finales 210 de abonados, opcionalmente de acuerdo con su nivel de subscripción, por ejemplo para un grupo de abonados; permitido el descifrado u otra des-aleatorización a un grupo de una pluralidad de dispositivos de usuarios finales 210, tales como los miembros de una familia por ejemplo; y permitido el descifrado u otra des-aleatorización a un dispositivo del usuario final individual particular 210. Una ventaja significativa de la presente invención es que estos modos de distribución diferentes pueden mantenerse opcionalmente de forma concurrente. De nuevo, más preferentemente, estos modos de distribución diferentes involucran el envío de un código y/o de otras instrucciones al módulo de seguridad 220 para cada uno de los dispositivos de usuario final 210.
La Figura 4 muestra las realizaciones preferidas del sistema de la Figura 3 de acuerdo con la presente invención. Como se muestra, un sistema 300 de acuerdo con la presente invención presenta un dispositivo del usuario final 310, para el cual se ilustra una realización preferida más detallada en la Figura 5 inferior. Brevemente, el dispositivo del usuario final 310 es capaz de recibir contenidos digitales aleatorizados y des-aleatorizar los contenidos digitales recibidos, si el dispositivo del usuario final 310 está autorizado a hacerlo. El dispositivo del usuario final 310 también preferentemente presenta un módulo de seguridad 220, como para la Figura 3 anterior. El dispositivo del usuario final 310 puede también opcionalmente implementarse con una combinación de dispositivos de medios 100, IRD 110, y elemento de seguridad extraíble 120 para el módulo de seguridad 220, tal como una tarjeta inteligente por ejemplo, como se muestra en la Figura 1 anterior de la técnica anterior. En esta implementación, el elemento de seguridad extraíble 120 es un ejemplo de un sub-módulo de seguridad renovable, tal como una tarjeta inteligente por ejemplo.
Cada uno de los dispositivos de usuario final 310 recibe el contenido digital aleatorizado desde el centro de control de la red 240, que en esta implementación incluye todos los componentes detrás de un cortafuegos 390. El control sobre la distribución de contenidos desde el centro de control de la red 240 está preferentemente localizado en un sistema de gestión de abonados 370, que determina el tipo de contenido que puede accederse por cada uno de los dispositivos de usuario final 310 y/o grupos de dispositivos de usuarios finales 310.
Preferentemente, el contenido se distribuye por una unidad de difusión 320, que opcionalmente se implementa como un extremo de cabecera de cable, por ejemplo, o alternativamente como un servidor de Web para servir páginas Web, como otro ejemplo. El servidor Web también podría servir opcionalmente a otros tipos de contenidos, tales como la reproducción directa de contenidos de video por ejemplo, y es un ejemplo particularmente preferido para la distribución de destino único de contenidos a un dispositivo del usuario final único 310. Sin embargo, preferentemente, todos los dispositivos de usuario finales 310 reciben el mismo o substancialmente el mismo contenido digital aleatorizado desde la unidad de difusión 320, sin tener en cuenta la implementación de la unidad de difusión 320, de modo que el contenido digital puede establecerse para difundirse o una difusión de destino múltiple. Otro ejemplo para la distribución de difusión o de destino múltiple es la transmisión de datos de televisión digital sobre los canales apropiados. La super-distribución, o transferencia de contenidos entre dispositivos de usuarios finales 310 para la distribución entre pares puede considerarse que es un sub-caso de distribución unidireccional.
Los contenidos digitales difundidos se aleatorizan para impedir el acceso por usuarios no autorizados a través de un dispositivo del usuario final 310. Preferentemente una unidad de gestión de contenidos 330 aleatoriza el contenido digital con una clave para formar un contenido aleatorizado. Más preferentemente, el contenido digital aleatorizado también presenta un ECM (mensaje de control de autorización), conteniendo información codificada para la generación de una palabra de control para des-aleatorizar el contenido digital por el dispositivo del usuario final 310, por ejemplo como se ha descrito con respecto a las Figuras 1 y 2 anteriores de la técnica anterior. Cada uno de los ECM está preferentemente generado por un generador de ECM 340, que está en comunicación con la unidad de gestión de contenidos 330 como se muestra. Más preferentemente, cada uno de los ECM está también firmado, y opcionalmente y más preferentemente, está también cifrado.
La producción de una clave a partir del ECM, con el cual se aleatoriza el contenido distribuido, se realiza más preferentemente a través de algún tipo de función unidireccional, que más preferentemente recibe al menos una porción de la entrada requerida desde el ECM. Esta función de una única dirección, está también más preferentemente compartida por un generador de ECM 340 y un módulo de seguridad 220, aunque preferentemente también se conoce sólo por el generador de ECM 340 y el módulo de seguridad 220 como un secreto compartido. Ejemplos de funciones de una dirección adecuadas son bien conocidos en la técnica (véase por ejemplo la “Criptografía Aplicada” de Bruce Schneier, John Wiley, segunda edición de 1996).
De acuerdo con las realizaciones preferidas de la presente invención, la unidad de gestión de contenidos 330 cifra y/o aleatoriza, opcionalmente “fuera de línea” en lugar de a demanda o “en tiempo real”, todos los archivos de contenido digital con una palabra de control proporcionada por el Generador de ECM 340. La unidad de gestión de control 330 puede opcionalmente entonces incorporar el ECM real dentro del contenido. La palabra de control se puede derivar preferentemente del ECM usando un procedimiento tal como el cifrado o una función de una sola dirección como se determina por el servidor de seguridad 360. Además, el servidor de seguridad 360 opcionalmente contiene un mecanismo de seguridad con un algoritmo reemplazable sincronizado con el módulo de seguridad 220 en el dispositivo del usuario final 310, como se describe con mayor detalle más adelante con relación a la Figura 6. De nuevo, una realización preferida del módulo de seguridad 220, o al menos una característica preferida del mismo, es un sub-módulo de seguridad renovable, tal como una tarjeta inteligente por ejemplo (no mostrada). El sub-módulo de seguridad renovable está asegurado preferentemente por sí mismo, de modo que la información contenida dentro de este sub-módulo está protegida de un acceso no autorizado.
Preferentemente, el sistema 300 se implementa usando un cifrado de dos niveles. El contenido digital a suministrar opcionalmente se cifra primero por un algoritmo “fuerte” A (por ejemplo 3DES), mientras que la clave (o palabra de control) para ese algoritmo particular está preferentemente cifrado usando uno de varios algoritmos más consumidores de tiempo, de acuerdo con el propósito pretendido del elemento particular.
La claves o claves de aleatorización y/o cifrado preferentemente junto con los metadatos que describen el contenido y sus usos pretendidos a través del ECM descrito anteriormente, se suministran más preferentemente en paquetes cifrados y firmados, opcionalmente junto con el contenido, al dispositivo del usuario final 310. El mensaje entero (contenidos, claves y metadatos) está más preferentemente firmado, usando opcionalmente un resumen del mensaje u otros procedimientos especiales para la eficacia del procesamiento, para impedir el cambo del mensaje.
De acuerdo con las realizaciones preferidas de la presente invención, cada uno de los ECM también se difunde con el contenido digital aleatorizado difundido por el centro de control de la red 240. Sin embargo, cada uno de los dispositivos del usuario final 310, y más preferentemente el módulo de seguridad 220, sólo es capaz de usar el ECM para generar la palabra de control, o de otro modo para des-aleatorizar el contenido digital aleatorizado, de acuerdo con algún tipo de autorización. De nuevo, como se ha descrito anteriormente, más preferentemente el componente del sub-módulo de seguridad renovable del módulo de seguridad 220 realiza la generación de la palabra de control,
- o de otro modo des-aleatoriza el contenido digital de acuerdo con la autorización.
Preferentemente, la autorización se determina automáticamente por el módulo de seguridad 220 del dispositivo del usuario final 310 de acuerdo con uno o más EMM (mensajes de gestión de autorización), que opcionalmente y más preferentemente se dirigen específicamente a un dispositivo del usuario final particular 310, a al menos a una clase
- o grupo de tales dispositivos de usuarios finales 310. Cada uno de los EMM determina la autorización o “derechos” de cualquier dispositivo del usuario final particular 310, y/o de módulo de seguridad 220 para cualquiera de tales dispositivos de usuarios finales 310, para des-aleatorizar del contenido digital aleatorizado, más preferentemente, determinando el acceso a la información codificada en el ECM. Cada uno de los EMM se crea preferentemente y se transmite por un generador de EMM 350, y puede opcionalmente distribuirse separadamente o junto con el contenido digital aleatorizado. Más preferentemente, cada uno de los EMM se firma por un servidor de seguridad 360, por ejemplo en el momento de creación del EMM particular. El servidor de seguridad 360 también preferentemente crea claves con un grado elevado de aleatorización, y también firma los mensajes de control (tales como los ECM y los EMM).
Opcionalmente y más preferentemente, el módulo de seguridad 220 del dispositivo del usuario final 310,y particularmente más preferentemente el sub-módulo de seguridad renovable del mismo (no mostrado), compara al menos un requisito en el ECM recibido con al menos una autorización en uno o más de los EMM recibidos, para determinar si hay suficiente coincidencia. Si es así, el módulo de seguridad 220 del dispositivo del usuario final 310 preferentemente procede a continuación automáticamente a deducir la información codificada requerida en el ECM recibido para des-aleatorizar el contenido digital aleatorizado. Si no hay una coincidencia suficiente, entonces el dispositivo del usuario final 310 preferentemente no puede des-aleatorizar inmediatamente el contenido digital, pero opcionalmente puede aplicarse a un sistema de gestión de abonados 370 para recibir el EMM, como se describe preferentemente con mayor detalle más adelante.
Cada uno de los EMM se suministra en paquetes que pueden opcionalmente distribuirse separadamente o conjuntamente con un paquete de contenido determinado (contenido digital aleatorizado). Los EMM están más preferentemente cifrados y/o firmados para su uso por un dispositivo del usuario final individual 310 y/o por un grupo de tales dispositivos de usuarios finales 310.
De acuerdo con las realizaciones preferidas de la presente invención, el sistema 300 también presenta un generador de PECM 380 para generar un PECM (ECM Personal). Cada uno de los PECM que está asociado con un fichero determinado o una porción de contenido digital preferentemente generan la misma palabra de control para ese contenido digital determinado. Sin embargo, preferentemente sólo un dispositivo del usuario final particular 310,y más preferentemente el módulo de seguridad 220 de tal dispositivo del usuario final particular 310, es capaz de generar la palabra de control desde el PECM asociado, de modo que el paso del PECM a un dispositivo del usuario final diferente 310 preferentemente no posibilita a tal dispositivo del usuario final diferente 310, y/o al módulo de seguridad 220 de tal dispositivo del usuario final diferente 310, para generar el contenido claro, digital desaleatorizado para reproducir u otros tipos de representación. Cada uno de los PECM también se firma opcionalmente y preferentemente por el servidor de seguridad 360.
La característica preferida del PECM opcionalmente y preferentemente posibilita a un usuario para comprar, usar y opcionalmente y más preferentemente grabar, una pluralidad de ficheros o porciones diferentes de contenido digital. En realidad, el PECM posibilita al dispositivo del usuario final 310 para soportar un número casi ilimitado de tales ficheros o porciones de contenido digital. Cada uno de los PECM preferentemente se envía a un dispositivo del usuario final particular 310, y se almacena a continuación de forma persistente en ese dispositivo del usuario final 310, más preferentemente en asociación con el contenido digital que está des-aleatorizado, descifrado o de otro modo desbloqueado, con ese PECM. Además, esta implementación particular del PECM de acuerdo con la presente invención no se enseña por la técnica anterior, ya que combina la provisión del almacenamiento permanente en el dispositivo del usuario final 310 con la des-aleatorización personalizada mediante la comunicación con una autoridad central, en este caso el centro de control de red 240. Los procedimientos anteriores para el almacenamiento permanente a través del dispositivo del usuario final 310, tales como los enseñados por la Solicitud de Patente Europea Nº EP 0858184 por ejemplo no incluyen tal requisito para la comunicación con una autoridad central.
El dispositivo del usuario final 310 preferentemente reemplaza uno o más ECM, que preferentemente son transitorios y están fijados dentro de una configuración particular sobre el dispositivo del usuario final 310, con una o más PECM que son también tan seguros pero que actúan autónomamente. Más preferentemente, tal procedimiento de reemplazo se produce cuando el dispositivo del usuario final 310 conecta con un sistema de gestión de abonados 370, o alternativamente con el generador de PECM 380. En cualquier caso, si el procedimiento de reemplazo se produce a través del sistema de gestión de abonados 370, el sistema de gestión de abonados 370 debería tener una base de datos (no mostrada) de dispositivos de usuarios finales 310 para los cuales se han solicitado y se han generado los PECM, pero aún no se han suministrado. Por lo tanto, esta conexión puede opcionalmente restaurar de forma eficaz el número de elementos del contenido que el usuario final 310 puede comprar y almacenar sobre el dispositivo del usuario final 310, posibilitando por lo tanto al usuario a pedir más de tales elementos.
De acuerdo con las realizaciones preferidas de la presente invención, varios componentes diferentes del centro de control de la red 240 pueden actuar opcionalmente conjuntamente para el almacenamiento permanente del contenido a efectuar a través del PECM. Por ejemplo, el contenido, el ECM, el EMM, e incluso el PECM podrían distribuirse opcionalmente todos por la unidad de difusión 320. Sin embargo, opcionalmente y preferentemente sólo el contenido se distribuye por la unidad de difusión 320. Opcionalmente, el generador de ECM 340 distribuye el ECM, el generador de PECM 380 distribuye el PECM y el generador de EMM 350 distribuye el EMM. Más preferentemente, cada uno de los tipos de mensaje se envía desde el generador respectivo al sistema de gestión de abonado 370, que a continuación distribuye el mensaje al dispositivo del usuario final correcto 310. Más preferentemente, el ECM se distribuye con el contenido por la unidad de difusión 320, mientras que el EMM y el PECM se distribuyen por el sistema de gestión de abonados 370.
El uso de PECM supera varios problemas con los mecanismos de distribución de contenidos de la técnica anterior, ya que posibilita el almacenamiento permanente y un dispositivo del usuario final 310 a realizar mientras que se da el control a una autoridad central tal como el centro de control de red 240, por ejemplo. El requisito para el almacenamiento permanente resulta de una limitación típica de los dispositivos de usuarios finales 310, y más específicamente de los módulos de seguridad 220. Brevemente, el módulo de seguridad 220 preferentemente presenta una memoria de almacenamiento seguro para el almacenamiento de información tal como registros de compras de contenidos, más preferentemente presentes en el sub-módulo de seguridad renovable (no mostrado), tal como una tarjeta inteligente por ejemplo. Para una mayor rapidez de acceso, más preferentemente la memoria de almacenamiento seguro se implementa como una pluralidad de ranuras de compras, cada una de las cuales mantiene el registro para una compra particular (por ejemplo, que está asociada con un ECM particular). Tales ranuras de compra son conocidas en la técnica para diversos tipos de compras de contenidos a través de la red, tal como la “televisión de pago” por ejemplo. Sin embargo, tienen la clara desventaja de que están limitadas sobre el dispositivo de usuario 310, o en realidad para cualquier tipo de dispositivo, y por lo tanto pueden llenarse. De este modo, el borrado de estas ranuras de compra posibilita más compras a realizar y grabar sobre las ranuras de compra.
Para borrar las ranuras de compra, preferentemente el dispositivo del usuario final 310 debe recibir el PECM de modo que el dispositivo del usuario final 310 debería más preferentemente conectar repetidamente con el centro de control de la red 240 para tales PECM. Tan pronto como se recibe el PECM por el dispositivo de usuario 310, preferentemente la ranura de compra relevante es borra del ECM correspondiente y/o la información asociada, de modo que el PECM preferentemente reemplaza el ECM en el dispositivo del usuario final 310. Más preferentemente, sólo se requiere el PECM por el dispositivo del usuario final 310 para el acceso al contenido digital y su representación.
Dos posibles estructuras aseguran la conexión repetida desde el dispositivo del usuario final 310 al generador de PECM 380. En el dominio de la difusión de un destino, por ejemplo si la unidad de difusión 320 se implementa como un servidor Web, el dispositivo del usuario final 310 puede forzarse opcionalmente para conectar periódicamente para la búsqueda de EMM y PECM. En el dominio de la difusión, el dispositivo del usuario final 310 puede representar opcionalmente un medidor de compra (similar a un medidor de batería sobre ordenadores portátiles), lo que denota el número de compras restantes. Cuando sólo quedan unas pocas ranuras de compra, el usuario puede elegir reconectar el dispositivo del usuario final 310 al generador de PECM 380, para reiniciar el medidor de compras al número máximo de ranuras de compra disponibles reemplazando cada uno de los ECM correspondientes en una ranura de compra por el PECM relevante, de modo que cada ranura de compra borrada puede mantener potencialmente un fichero o un registro de compra de un contenido digital (véase la Figura 5 inferior para una explicación de tales ranuras de compra).
De acuerdo con las realizaciones preferidas de esta implementación del sistema 300, como se ha descrito anteriormente, el ECM original opcionalmente y preferentemente permanece fijado al contenido digital cifrado o de otro modo aleatorizado incluso después de la recepción del PECM. Esta realización preferida es muy importante si el contenido digital comprado, junto con los ECM y PECM adjuntos, se copian a otro dispositivo del usuario final 310. El segundo dispositivo del usuario final 310 podría no ser capaz de usar el PECM adjunto ya que este PECM es específico para el primer dispositivo del usuario final 310. El segundo dispositivo del usuario final 310 reconocería a continuación el PECM como tal, intentaría verificar el PECM para des-aleatorizar el contenido digital, y determinaría a continuación que el PECM es inválido para ese dispositivo del usuario final 310. A continuación, el segundo dispositivo del usuario final 310 intentaría recuperar el ECM incorporado y a continuación realizaría opcionalmente varias acciones como se indica, por ejemplo intentando comprar el contenido digital desde la unidad de difusión 320, como se describe con mayor detalle a continuación. En efecto, este procedimiento da como resultado una super-distribución, en la que los dispositivos de los usuarios finales 310 distribuyen ellos mismos el contenido, con el sistema de gestión de abonados 370 simplemente recogiendo el pago y reconciliando cuentas. Sin embargo, se observará que el requisito preferido para el mantenimiento del adjunto del ECM para el contenido digital más preferentemente sólo se pretende soportar la super-distribución, de modo que el primer dispositivo del usuario final 310, para el cual el PECM es relevante, preferentemente no necesita retener el ECM para acceder al contenido digital una vez que se ha recibido el PECM.
De acuerdo con las realizaciones preferidas de la presente invención, para soportar la distribución “entre pares” o la super-distribución entre dispositivos de usuarios finales 310, más preferentemente un dispositivo del usuario final 310 que recibe tal contenido a través de esta forma de distribución también recibe información acerca de la cual el centro de control de red 240 debería conectarse para obtener el código de requisito u otro mensaje de permiso. Asumiendo que existe más de uno de tales centros de control de red 240, más preferentemente el dispositivo del usuario final receptor 310 o contacta con tal centro de control de red 240 que es el centro de control de red “normal”
o “local” 240 para ese dispositivo del usuario final 310, o recibe una dirección para el centro de control de red correcto 240 a contactar para recibir el mensaje de permiso. Tal dirección está opcionalmente incorporada en el ECM que se envía con el propio contenido.
De acuerdo con otras realizaciones preferidas de la presente invención, el uso de tales mensajes de autorización soporta una pluralidad de modelos de negocios diferentes para la compra y gestión de contenidos digitales.
Con respecto a las implementaciones específicas con el mecanismo de mensajes de autorización de la presente invención, preferentemente los siguientes modos de distribución específicos se implementan para el contenido digital: libre, en el que el contenido digital opcionalmente no está ni aleatorizado ni cifrado; permitido el descifrado u otra des-aleatorización a todos los dispositivos de usuarios finales válidos 310; permitido el descifrado u otra desaleatorización para los dispositivos de usuarios 310 de los abonados, opcionalmente de acuerdo con su nivel de subscripción, por ejemplo para un grupo de abonados; y permitido el descifrado u otra des-aleatorización a dispositivos de usuarios finales particulares, individuales 310. De nuevo, más preferentemente, estos modos diferentes se soportan realmente por el módulo de seguridad 220 del dispositivo del usuario final 310 y se realizan en el mismo.
Cada uno de los EMM soporta estos modelos de distribución diferentes autorizando opcionalmente a cada uno de los usuarios finales a recibir contenidos digitales libres y/o de subscripción, o a pagar la compra de contenidos digitales “por elemento”. Este soporte se cumple preferentemente enviando una ID del Servicio CA que identifica los derechos para un elemento de contenido particular para cada uno de los dispositivos de usuarios finales 310. El dispositivo del usuario final 310 compara a continuación la ID del servicio CA con tal ID del elemento de contenido digital cuando se recibe el elemento del contenido digital.
Por ejemplo, para el contenido libre, un EMM que contiene una ID de servicio CA común se distribuye preferentemente a todos los dispositivos de usuario finales válidos 310. Para el contenido de subscripción, preferentemente se suministra un EMM que contiene una ID del servicio CA específico a los dispositivos de los usuarios finales 310 de todos los usuarios que se han subscrito a un servicio particular. La ID del servicio CA corresponde al servicio particular que se ha ordenado mediante una subscripción al sistema de gestión de abonados
370. Preferentemente, cada una de las unidades de contenido suministrado a través del servicio tiene una ID del servicio de CA específico para identificar la unidad de contenido, que podría incluir opcionalmente, por ejemplo, un identificador para identificar el servicio de subscripción particular de forma general y otro identificador para identificar la unidad específica en particular.
Para el pago de contenidos digitales “por elemento”, preferentemente se envía un EMM que contiene un ID del Servicio de CA particular a los dispositivos de usuarios finales 310 de todos los usuarios que han autorizado la compra de este elemento.
Para el modelo de super-distribución y/o la compra automatizada de contenidos “por elementos”, preferentemente el ECM se incorpora en el contenido digital, e incluye información relacionada con el hecho de que este contenido digital se puede comprar. Además, el ECM también contiene más preferentemente tanto la ID única (identificador) para ese contenido de pago y un identificador del servicio de CA para el grupo que tiene permitido recibir este contenido de pago. El ECM incorporado también incluye preferentemente toda la información necesaria para determinar el precio y el modelo de negocio que aplica a esa compra: por ejemplo, la duración del alquiler y el precio asociado, el número de representaciones y los precios asociados y/o precios para la propiedad de los derechos.
Para la super-distribución y/o la compra por elemento, preferentemente una porción anterior puede reproducirse libremente u otra forma de representación, de acuerdo con el mismo mecanismo que para la representación del contenido de pago. Sin embargo, una vez alcanzado el ECM en el contenido digital que requiere el pago, se requiere más preferentemente al usuario final para la compra de este contenido a través de alguna interfaz amistosa con el usuario, tal como un botón de compra u otro dispositivo de la GUI del dispositivo del usuario final 310 por ejemplo. Si está autorizado, por la compra, el dispositivo del usuario final 310 marca con seguridad esta compra, por ejemplo marcando una ranura de compra que contiene la ID única del contenido concatenado con una ID única del dispositivo del usuario final 310 y/o del módulo de seguridad 220, y/o del módulo de seguridad 220, y/o del sub-módulo de seguridad renovable dentro del módulo de seguridad 220 (véase la Figura 5 inferior para una
5
10
15
20
25
30
35
40
45
50
55
explicación). En la reproducción u otra representación de este contenido después de la compra, el dispositivo del usuario final 310 compara la ID del contenido único contenido en el ECM del contenido digital y la ID única del dispositivo del usuario final 310, con los contenidos de las ranuras almacenadas. Si hay una coincidencia, el contenido digital se descifra y se representa en la salida analógica.
Este modelo de negocio y la tecnología se soportan además a través de la provisión opcional pero preferida de la capacidad de compartir entre miembros de una “familia”, sea real o creada, para el propósito de compartir contenidos entre una pluralidad de dispositivos de usuarios finales específicos 310. Para posibilitar compartir, preferentemente una pluralidad de muestras seguras, tal como tarjetas inteligentes por ejemplo, se proporcionan para descifrar los PECM cifrados con una clave pública común. Por lo tanto los miembros de grupo de dispositivos de usuarios finales 310 son todos capaces de leer los PECM para el grupo. Estas muestras se designan “miembros de familia”, y están asociados con un grupo particular de dispositivos de usuarios finales 310. Con respecto al modelo de negocios, más preferentemente dispositivos de usuarios finales 310 que pertenecen a una familia pueden por lo tanto compartir un contenido digital.
Los nuevos dispositivos de usuarios finales 310 pueden opcionalmente añadirse a una familia, por la creación de un canal seguro entre un dispositivo del usuario final miembro de la familia actual 310 y un nuevo dispositivo del usuario final miembro de la familia 310 a través de un dispositivo seguro, u opcionalmente a través de una facilidad en línea tal como por la comunicación con el centro de control de la red 240. Para la comunicación directa “entre pares” a través de un canal seguro, preferentemente tal canal se implementa a través de cifrado con un procedimiento de negociación. En este procedimiento de negociación, más preferentemente una parte de una clave secreta se intercambia por cada uno de los dispositivos de usuarios finales 310 involucrados en el procedimiento de negociación.
Por otra parte, para impedir la proliferación no limitada de miembros de la familia y/o de contenidos compartidos entre tales miembros, tales miembros y/o tales contenidos compartidos se limitan preferentemente de acuerdo con una o más “normas de juicio”. Muchas implementaciones de tales reglas son posibles dentro del alcance de la presente invención. Por ejemplo, opcionalmente puede haber un límite sobre el número de miembros de la familia a la que puede pertenecer una muestra. También, es posible opcionalmente la generación de marcado dentro de las muestras. También puede haber opcionalmente límites de duplicación por tiempo, el número de veces que se reproducen el contenido y para el tiempo de reproducción acumulativo para los elementos de contenidos. Por ejemplo, un miembro de una familia podría ser capaz de marcar sólo un cierto número de copias de contenido, y/o podría restringirse de acuerdo con un periodo de tiempo y/o actividad del dispositivo de usuario 310 entre diferentes ejemplo de compartir copias. Más preferentemente, las limitaciones más estrictas se colocan sobre los miembros de la familia de la “segunda generación” que reciben muestras y/o contenidos desde otro miembro de la familia. Las muestras de la familia pueden también registrarse opcionalmente en una base de datos, teniendo cada uno una ID única. También puede haber opcionalmente una anulación de los límites de duplicación, por ejemplo a través de la comunicación con el centro de control de la red 240 de forma general o el sistema de gestión de subscripción 370 específicamente. De nuevo, todas estas diferentes funciones de seguridad en el dispositivo del usuario final 310 se realizan preferentemente por el módulo de seguridad 220, y más preferentemente se realizan por el sub-módulo de seguridad renovable, como se explica con mayor detalle más adelante. Estas normas y funciones de seguridad se pretenden para impedir las copias y distribución ilícitas de contenidos, comercialmente viables.
Como se muestra con respecto a la Figura 5 inferior, la gestión de autorizaciones, por ejemplo a través de una o más funciones de, la adición, eliminación, invalidación, e interrogación de estado de las mismas, se realiza preferentemente sobre un medio “renovable”, seguro, separado de almacenamiento y de computación, tal como una tarjeta inteligente, que comprende un componente de módulo de seguridad 220. De este modo las autorizaciones pueden distribuirse a través de varios caminos, incluyendo los mecanismos que no involucran las funciones de reproducción o representación del dispositivo del usuario final 310 directamente, por ejemplo cuando se realizan por pagos separados.
Como se muestra, una porción del dispositivo del usuario final 310 presenta diversos componentes de seguridad, además de un dispositivo de almacenamiento externo de contenidos 400 y un dispositivo de almacenamiento externo de programas 410. El dispositivo de almacenamiento externo de contenidos 400 almacena el contenido digital que se ha recibido por el dispositivo del usuario final 310. El dispositivo de almacenamiento externo de programas 410 almacena instrucciones para operar el dispositivo del usuario final 310. Tanto el dispositivo de almacenamiento externo de contenidos 400 como el dispositivo de almacenamiento externo de programas 410 preferentemente operan de modo que el contenido no cifrado no está presente fuera del dispositivo del usuario final
310. Más preferentemente, en la implementación en la cual los componentes de la Figura 5 están construidos en un único chip, el contenido descifrado o des-aleatorizado no debería estar presente fuera de tal único chip. De este modo, la memoria de contenido externa en el dispositivo de almacenamiento externo de contenidos 400 está cifrado (o aleatorizado), los buses de datos no cifrados no se extienden fuera del chip, y la conversión de digital a analógico (D/A) se realiza preferentemente dentro del chip.
Los componentes restantes del dispositivo del usuario final 310 que se muestran en la Figura 5 se destinan a la seguridad, y juntos forman un módulo de seguridad 420. Preferentemente, el módulo de seguridad 420 presenta un sub-módulo de seguridad renovable y/o extraíble 430, que podría ser por ejemplo una tarjeta inteligente. El módulo de seguridad 420 puede opcionalmente y preferentemente impedir al dispositivo del usuario final 310 funcionar si no está presente el sub-módulo de seguridad renovable 430, por ejemplo a través de la comunicación de acuerdo con las instrucciones del programa software entre el sub-módulo 430 de seguridad renovable 430 y el dispositivo del usuario final 310. Además, el sub-módulo de seguridad renovable 430 puede también opcionalmente y más preferentemente tener limitada su capacidad de funcionamiento con cualquier otro dispositivo del usuario final 310.
Como los algoritmos de decodificación de contenidos (así como los algoritmos de descifrado) pueden cambiar con el tiempo, al menos una parte de las instrucciones de programa son preferentemente descargables al dispositivo de almacenamiento de programas externo 410. Cualquier programa que puede acceder a cualquier software o los datos relacionados con seguridad no debe ser sensible a cambios por usuarios no autorizados. Tales instrucciones de programa deben por lo tanto cargarse preferentemente sólo a través de un cargador seguro, requiriendo el conocimiento de contraseñas y procedimientos secretos. Más preferentemente, tal procedimiento de carga de las instrucciones de programa se realiza a través de una autenticación del tipo de Prueba de Conocimiento Cero, tal como el de Fiat-Shamir, como se describe con respecto a las Patentes de los Estados Unidos Nº 4.748.668 y
4.933.970.
La memoria de programa externa en el dispositivo de almacenamiento externo de programa 410, y el bus 440 que conecta el dispositivo de almacenamiento externo de programa 410 con el módulo de seguridad 420, están preferentemente cifrados para disuadir a los usuarios no autorizados de leer las instrucciones de programa. También preferentemente, la memoria de contenidos externa en el dispositivo de almacenamiento de contenido externo 400, y el bus 450 que conecta el dispositivo de almacenamiento de contenidos externo 400 con el módulo de seguridad 420, están cifradas para disuadir a los usuarios no autorizados del acceso al contenido. Como el esquema de cifrado y/o la palabra clave para la memoria de contenido son más sensibles al análisis que los de la memoria de programa más crítica, los dos esquemas (o al menos sus palabras clave) más preferentemente difieren.
Además, más preferentemente cada uno de los dispositivos de usuario final individual 310 tiene un conjunto individual de palabras clave, de modo que la lectura de bus sobre dos dispositivos de usuario final diferentes 310 de los buses 440 y/o 450, obtendrían diferentes resultados. Este resultado puede conseguirse opcionalmente generando palabras claves aleatorias para cada uno de los dispositivos de usuario 310 por la maquinaria de comprobación final durante la producción, y a continuación grabando estas palabras clave dentro del chip de la memoria persistente en un almacenamiento seguro 480 (véase más adelante la descripción con mayor detalle). Otra opción involucra tener un verdadero generador de números aleatorios incorporado, que genera palabras clave aleatorias.
La generación de palabras clave sobre el chip es especialmente atractiva si se usa la memoria externa volátil con batería de respaldo, similar al esquema usado por Dallas Semiconductor Corp. (USA) para su línea “Micro Soft” de micro controladores seguros (véase por ejemplo el “Libro de Datos de Micro controladores Soft” de Dallas Semiconductor Corp.). Estos micro controladores seguros presentan una memoria externa en la cual se almacenan los datos en un formato cifrado, mientras que la unidad de procesamiento central almacena la clave para descifrar los datos cifrados en un almacenamiento no volátil seguro que no puede accederse externamente. Por lo tanto, los datos permanecen protegidos. Cada vez que se carga nueva información de programa dentro de la memoria externa, un generador de números aleatorios que está asociado con la unidad de procesamiento central genera un número aleatorio, que a continuación se convierte en la clave para el cifrado de datos. Estos microcontroladores tienen también diversas características de seguridad del firmware, para proteger la clave almacenada.
En cualquier caso, las palabras clave y otras informaciones “secretas” deben almacenarse en el interior del chip, para evitar la exposición a una “inhalación de línea” o acceso leyendo un bus desde el exterior del chip.
Además, como se muestra en la Figura 5, el módulo de seguridad 420 presenta una memoria interna 460 para el almacenamiento de las instrucciones para la ejecución de algoritmos de seguridad, por ejemplo para acelerar ciertos cálculos tales como DES o un módulo aritmético. El módulo de seguridad 420 también opcionalmente y preferentemente presenta un conjunto de modos 470, incluyendo el conjunto lógico de modos y hardware, que posibilitan al mismo conjunto básico de chips para servir a los requisitos variables de los vendedores de sistemas. Una implementación típica contendría elementos de memoria de una-vez (OTP) o fusibles, para forzar a un chip particular dentro de ciertos modos para proporcionar a los diferentes clientes con diferentes facilidades, tales como una mayor seguridad para los clientes que desean pagar por tal mayor seguridad. La OTP y/o los fusibles también podrían usarse opcionalmente para un identificador secreto para un chip particular.
Una memoria adicional opcional es una memoria segura 480 para al almacenamiento de las palabras clave y otra información secreta que se requiere para el funcionamiento del módulo de seguridad 420. La memoria segura 480 también presenta opcionalmente una pluralidad de ranuras de compra, que son localizaciones para mantener el registro de compra para un contenido particular. Como alternativa y preferentemente, la pluralidad de ranuras de compra se mantiene en un sub-módulo de seguridad renovable 430. Cada una de tales ranuras puede accederse rápidamente para grabar la compra. Sin embargo, una desventaja de usar las ranuras de compra es que pueden llenarse con las compras grabadas. El uso de mensajes de control PECM de acuerdo con la presente invención ayuda a superar tal limitación sobre el número de ranuras. Como alternativa, las ranuras de compra pueden estar opcionalmente localizadas también en el almacenamiento externo de contenidos 400 y/o el almacenamiento externo de programas 410.
También, puede incluirse opcionalmente un generador de números aleatorios 490, para generar números aleatorios para realizar diversos procedimientos de seguridad. Por ejemplo, como se ha descrito anteriormente, el generador de números aleatorios 490 puede usarse opcionalmente para generar números aleatorios como claves para el cifrado de datos para el almacenamiento externo de contenidos 400 y/o al almacenamiento externo de programas
410.
Opcionalmente, y más preferentemente, el módulo de seguridad 420 también presenta un reloj seguro 500. Por lo menos, el reloj seguro 500 puede implementarse realmente opcionalmente como un reloj seguro con lógica especializada para impedir cualquier disminución o incremento, o al menos para impedir una cantidad adversa de tal disminución o incremento, ya que al menos cierta cantidad de alteraciones al reloj pueden producirse debidos a un error del usuario, por ejemplo. Más preferentemente, el reloj seguro 500 presenta una memoria interna no volátil con seguridad del reloj adicional para impedir un acceso no autorizado, de modo que el reloj no se pueda reiniciar a una fecha anterior (o futura) para obtener algunos derechos dependientes del tiempo.
Otro componente opcional pero preferido del módulo de seguridad 420 es un cargador seguro 510, para cargar nuevas instrucciones de programa al dispositivo de almacenamiento externo de programas 410 por ejemplo. El cargador seguro 510 se implementa más preferentemente con una memoria para el almacenamiento de instrucciones para realizar una autenticación tipo Prueba de Conocimiento Cero, tal como la de Fiat-Shamir por ejemplo, como se ha descrito anteriormente.
De acuerdo con las realizaciones preferidas de la presente invención, los contenidos digitales se almacenan en una forma cifrada o aleatorizada en el dispositivo de almacenamiento externo de contenidos 400, y se mantiene en esta forma hasta que el último punto físico y funcional posible antes de que el contenido se reproduzca o de otro modo se represente por el usuario. Preferentemente, este último punto se produce cuando los datos digitales se convierten a señales, por ejemplo cuando los datos de audio se convierten a la señal analógica a reproducir a través de los altavoces analógicos para producir música u otro sonido.
Para soportar el descifrado o des-aleatorización de este contenido digital en ese punto, la presente invención preferentemente presenta un Convertidor Seguro de Digital a Analógico (SDAC) 520, una implementación de ejemplo del cual se muestra con respecto a los diagramas de bloques esquemáticos de las Figuras 6-8. Con el SDAC 520 cualquier “inhalación” de la línea o líneas digitales entre el des-aleatorizador de contenidos y el dispositivo de salida analógica 525 obtendría ruido o una señal gravemente distorsionada inutilizable comercialmente. La presente invención por lo tanto proporciona un dispositivo seguro en el cual el contenido aleatorizado se des-aleatoriza en el último punto físico antes de la “reproducción” u otra representación del contenido. Por ejemplo, para los datos de audio, este último punto físico se produce cuando los datos digitales se convierten a una señal analógica para su reproducción. La presente invención es capaz también de realizar tal conversión con seguridad, de modo que el contenido des-aleatorizado no es accesible fuera del dispositivo seguro.
El principal obstáculo actual para construir un dispositivo seguro que no presenta ninguna salida digital de contenido des-aleatorizado (“claro”) sobre cualquiera de las líneas externas deriva del estado actual de la tecnología. La reproducción de música de alta calidad, por ejemplo, requiere aproximadamente una resolución de 24 bits de los Convertidores de Digital a Analógico (DAC). El descifrado en tiempo real y la decodificación de los ficheros de música comprimida cifrada requiere una CPU de alta potencia de procesamiento, que se proporciona por el Dispositivo de Descifrado / Descompresión, o DDE. La colocación de estos dos componentes juntos sobe un único elemento de silicio de modo que no estén disponibles los datos digitales en claro sobre las líneas inter-chip expuestas da como resultado un acoplamiento del ruido eléctrico del DDE en la salida analógica del DAC en un grado que da como resultado una calidad de audio inaceptable.
Por esta razón, todos los DAC de alta calidad de las técnicas anteriores disponibles actualmente se construyen en el interior de los chips (circuitos integrados) que están físicamente separados de las CPU de alta velocidad. El resultado es que las líneas desde los DDE a los DAC transportan datos de contenido digital claro, que corresponden con los datos reales, sean de audio o de otros tipos de datos. Estas líneas inseguras pueden “inhalarse” para extraer los datos digitales claros. De este modo, la técnica anterior descansa en la separación del dispositivo de descifrado del componente del convertidor de digital a analógico, para superar el problema de exceso de generación de ruido.
La Figura 6 muestra un convertidor típico de cuatro bits de digital a analógico (DAC) 530 de acuerdo con la técnica anterior, que presenta una pluralidad de resistencias 540 y los elementos de una escalera de resistencias 550 o ramas, a cada una de las cuales se aplica un voltaje de referencia a través del conmutador electrónico 555. El voltaje de salida de cada una de las ramas es cero si el conmutador correspondiente 555 está abierto, y un cierto valor (fijo) en el caso de que esté cerrado. Estos voltajes se suman en un amplificador 560 para producir el voltaje de salida del DAC para el DAC 530. Un DAC de una “sola cara” (esto es, una salida de voltaje de 0 a Vmax, en lugar de ± Vmax) se muestra por conveniencia, sin los numerosos circuitos auxiliares involucrados.
El DAC 530 también incluye una interfaz digital de entrada 565, que opcionalmente puede implementarse en paralelo o en serie, en cualquiera de los varios formatos normalizados que son conocidos por los especialistas en la técnica, que acepta valores digitales a convertir. Se define un valor digital de entrada por un número de dígitos binarios (bits) cada uno de los cuales puede ser “0” o “1”. La interfaz digital de entrada 565 dirige cada uno de estos bits al conmutador apropiado 555. La interfaz digital de entrada 565 también presenta preferentemente una pluralidad de registros de control 575 para controlar la entrada a la interfaz digital de entrada 565.
Las resistencias 540 se ajustan de modo que cada una de las ramas produce un valor de voltaje binario ponderado correspondiente a la posición binaria del bit que actúa el conmutador 555 para la rama. Las resistencias ponderadas de forma binaria 540 se prefieren para las resistencias ponderadas de precisión ya que cualquier número de tales resistencias ponderadas 540 pueden entonces combinarse opcionalmente y preferentemente en la secuencia. De este modo la suma de estos voltajes vistos en un amplificador de salida 560 es igual a un voltaje de referencia 570 por el valor digital de entrada.
Convencionalmente, los “pesos” relativos de los diversos bits de la combinación de resistencias 540 y los conmutadores 555 del DAC 530 corresponde a potencias enteras de dos, de modo que el valor del voltaje de salida corresponde exactamente con la palabra binaria de entrada, excepto los efectos de las alinealidades (no buscadas), el ruido y otros efectos no deseados. De este modo, el valor del voltaje de salida analógico ideal que corresponde a una entrada digital de N bits X es Vref * ∑i {2-i * Xi}, donde i es la posición del dígito binario dentro de la palabra de entrada (de 1 a N), Xi es el valor del dígito binario de orden i (0 ó 1), y Vref es el voltaje de referencia del DAC. Esta relación de entrada / salida es conocida, lineal y constante.
Los DAC no lineales existen para aplicaciones especiales tales como la extensión del intervalo de salida sin pérdida de resolución sobre un sub-intervalo limitado. En tales DAC la relación entre la palabra de entrada digital y la salida de voltaje sigue una función no lineal, pero esa función es conocida y constante, y en línea con la precisión requerida.
Otra forma convencional de DAC es el DAC de “un bit”, o más precisamente un “modulador delta-sigma con un DAC de un bit”, como se muestra con respecto a la Figura 7. Un DAC de un bit 580 produce un valor del voltaje analógico generando una forma de onda de alta frecuencia cuyos valores instantáneos son uno de cualesquiera dos números fijos conocidos, a través de una de dos resistencias 540. Estos números (“paso arriba” y “paso abajo”), están diseñados convenientemente “0” y “1”, pero bastante frecuentemente son valores de polaridad opuesta, de igual amplitud. La forma de onda, promedia, a través de un filtro adecuado, al voltaje instantáneo requerido.
Para reducir el ruido de salida del DAC, es importante mantener el número de conmutadores de alta velocidad dentro del chip de convertidor en un mínimo, y realizar la conmutación necesaria de un modo síncrono. Similares consideraciones se aplican cuando la entrada digital al chip del DAC es en serie, en lugar del esquema en paralelo que acabamos de describir.
Para proporcionar un DAC totalmente seguro, el SDAC 520 (mostrado en la Figura 8) de acuerdo con la presente invención incluye varias características que no se implementan en la técnica anterior, mejorando por lo tanto sobre la funcionalidad de las dos implementaciones de DAC de las figuras 6 y 7. En primer lugar, se recibe el contenido digital cifrado o aleatorizado por el Dispositivo de Descifrado / Descompresión (DDE) 590, que podría opcionalmente ser el módulo de seguridad 420, para el descifrado o de otro modo la des-aleatorización del contenido digital, como se ha descrito anteriormente. Por supuesto, el SDAC 520 podría también usarse opcionalmente con otros tipos de procesadores de contenidos. El DDE 590 se conecta al SDAC 520 a través del canal autenticado seguro 600, que preferentemente está directamente en comunicación con una CPU / dispositivo criptográfico (DACC) 610. Más preferentemente, ambas partes del SDAC 520 (DACC 610 y DAC 620) están sobre el mimo chip por razones de seguridad. Sin embargo, para evitar los efectos del ruido relacionado con la CPU, el DACC 610 se usa preferentemente sólo a baja velocidad (o no toda) durante el procedimiento de conversión de digital a analógico como se realiza por un DAC 620, evitando por lo tanto la degradación del funcionamiento del DAC. De este modo, la presente invención evita los inconvenientes de la técnica anterior separando el funcionamiento del dispositivo de descifrado de la operación del convertidor de digital a analógico en el tiempo, en lugar de en el espacio, como para la técnica anterior.
Aunque el propio DAC 620 puede implementarse opcionalmente de acuerdo con una cualquiera de las diferentes implementaciones de la técnica anterior, la función de transferencia de entrada-salida de la función del DAC 620 es ajustable por el DACC 610. Los ajustes se diseñan de modo que no hay ninguna conmutación asíncrona durante su uso. La diversidad de ajustes es tal que sería extremadamente difícil extraer la palabra digital original (ponderada de forma binaria) correspondiente a un voltaje de salida, dado el número limitado de entradas digitales del SDAC observadas y la medición del voltaje de la salida analógica.
De acuerdo con las realizaciones preferidas del SDAC 520, el canal de autenticación segura 600 se establece entre el DACC 610 y el DDE 590 a través de un mecanismo criptográfico, en el cual el DACC 610 y el DDE 590 intercambian claves, durante un corto “establecimiento de la sesión” al comienzo de un periodo de reproducción. Tales mecanismos criptográficos son conocidos en la técnica y podrían implementarse fácilmente por un especialista en la técnica (véase por ejemplo el documento “Criptografía Aplicada” de Bruce Schneier, John Wiley, segunda edición de 1996, particularmente AKE: intercambio autenticado de claves en el capítulo 3 pag. 47, y “Manual de Criptografía Aplicada” de A Menezes, P. Oorchot, y S.A. Vanstone, CRC Press, 1997, particularmente Canal Seguro en la pag. 13, y AKE en el capítulo 12, pag. 489). Ningún contenido se reproduce durante la sesión de establecimiento, de modo que el DACC 610 puede estar en pleno funcionamiento y negociar los parámetros de la función de transferencia para el periodo de reproducción posterior sin ningún efecto sobre el DAC 620. En consecuencia no se requiere la operación a plena velocidad del DAC 610 durante el periodo de reproducción cuando el DAC 620 está realizando su función principal de conversión de digital a analógico, como se ha descrito anteriormente. De este modo, la funcionalidad del DACC 610 y el DAC 620 se separan en el tiempo en lugar de en el espacio.
Los datos digitales reales preferentemente se transfieren a través de un canal de señal digital 630, que aunque mostrados separadamente del canal de autenticación seguro 600 en la Figura 8, puede realmente compartir opcionalmente las mismas líneas físicas. Típicamente, el canal de autenticación seguro 600 se inicia por el DDE
590.
Un vez que se establece el canal autenticado seguro 600, el DACC 610 preferentemente propone un conjunto seleccionado aleatoriamente de parámetros SDAC. Un ejemplo de tales parámetros es la ponderación diferencial de las resistencias 540 (véase las Figuras 6 y 7) de acuerdo con una función no lineal, que podría opcionalmente realizarse con cualquier número de tales resistencias 540, incluso para un sistema lineal de uno-arriba / uno abajo, como para la Figura 7 por ejemplo, como se describe con mayor detalle más adelante. Las ponderaciones se elegirían opcionalmente a continuación como los parámetros del SDAC. Estos parámetros son preferentemente diferentes para cada par de DDE 990 y el DACC 610, y más preferentemente son diferentes para cada operación de des-aleatorización del DDE 590 y el DACC 610. Sin embargo, debería observarse que la distribución de contenidos digitales aleatorizados se realiza preferentemente de modo que todos los dispositivos de usuarios finales reciben exactamente el mismo contenido aleatorizado, para preservar el ancho de banda de distribución. Estos dos objetivos se consiguen preferentemente teniendo el DDE 590 en primer lugar des-aleatorizado el contenido digital recibido, aleatorizado, y a continuación aleatorizar de nuevo el contenido digital de acuerdo con el conjunto diferente de parámetros que se han establecido con el DACC 610.
Una vez aceptado, tanto del DDE 590 como el DACC 610 usan el mismo conjunto de parámetros para conseguir una función de transferencia lineal global. Del lado de la fuente para el DDE 590, estos parámetros se usan para modificar las palabras binarias transmitidas al SDAC 520 para la reproducción. La modificación puede realizarse opcionalmente bien en el software del DDE (controlador de DAC) en el DDE 590 o como alternativa o adicionalmente en un hardware de propósito especial.
Del lado del receptor para el SDAC 520, el DACC 610 fija los registros para controlar el funcionamiento del DAC 620, y que preferentemente se desconecta el mismo de forma efectiva. Como alternativa, el DACC 610 puede entrar en un modo reducido de funcionamiento de modo que sus efectos espurios (ruido) sobre el DAC 620 están dentro de límites aceptables.
Los registros de control 575 para el DAC 620 pueden afectar opcionalmente y preferentemente a la operación del DAC de acuerdo a cualquiera de las siguientes combinaciones, y variaciones, como se determina por los parámetros recibidos como se ha descrito anteriormente. Por ejemplo, el orden de bits de la palabra de entrada puede opcionalmente cambiarse. Para un DAC de 24 bits, el número de combinaciones es del orden de 1023. Además, opcionalmente pueden usarse valores de las resistencias ponderadas de forma no binaria, como se muestra con relación a la Figura 7, para crear “ponderaciones” de bit de un convertidor no lineal. Debería observarse que como el esquema de ponderación binaria es el más eficiente, el número de bits en el convertidor ponderado de forma no binaria debe aumentarse para cubrir el mismo intervalo. Al mismo tiempo, más bien pequeñas derivaciones de las ponderaciones binarias correctas (debidas a la resistencia 540 R2 en el ejemplo dado) pueden causar suficiente distorsión para hacer el contenido comercialmente inutilizable. Pequeñas desviaciones conducen a que se requieran un pequeño número de bits adicionales, y minimizar los requisitos sobre la desviación de las resistencias y/o los conmutadores.
Como otro ejemplo, las funciones criptográficas simples pueden usarse opcionalmente, lo cual puede conseguirse por cualquiera de los procedimientos que no imponen ruido excesivo sobre la salida analógica. Por ejemplo, puede realizarse opcionalmente una operación XOR con la salida de un Registro de Desplazamiento de Retroalimentación Lineal.
Además, aunque el SDACC 520 se ha descrito en términos de una arquitectura DAC paralelo, los mismos principios pueden aplicarse a otro tipo cualquiera de DAC. En particular, la aplicación de los valores de resistencias ponderadas de forma no binaria a un DAC de un bit pueden conseguirse usando voltajes desiguales del paso-arriba y del paso-abajo.
Además, funciones auxiliares tales como la calibración, el control, la estructura del bus inter-chip, y las normativas, los modos de operación no protegidos, y el manejo de elementos de forma imprecisa no se han descrito, ya que estos elementos son bien conocidos en la técnica y podrían implementarse fácilmente por un especialista en la técnica.
Claims (18)
- REIVINDICACIONES1. Un procedimiento para asegurar los contenidos digitales para la transmisión a un dispositivo del usuario final (310), que comprende:
- (a)
- proporcionar un centro de control (240) para controlar el acceso al contenido digital por el dispositivo del usuario final (310);
- (b)
- transmitir contenidos digitales aleatorizados al dispositivo del usuario final (310), de modo que el dispositivo del usuario final (310) no pueda reproducir dicho contenido digital aleatorizado;
- (c)
- después de transmitir dicho contenido digital aleatorizado al dispositivo del usuario final (310), el dispositivo del usuario final (310) contacta dicho centro de control para solicitar un ECM personal (PECM), siendo dicho PECM específico para el dispositivo del usuario final (310);
- (d)
- en respuesta al dispositivo del usuario final (310) que contacta dicho centro de control (240), transmitir dicho PECM al dispositivo del usuario final (310) por dicho centro de control (240); y
- (e)
- des-aleatorizar dicho contenido digital aleatorizado por el dispositivo del usuario final (310) de acuerdo con dicho PECM.
- 2. El procedimiento de la reivindicación 1, en el que la etapa (b) comprende además las etapas de:
- (i)
- transmitir un primer conjunto de información en un mensaje de control autorizado (ECM) para la decodificación de dicho contenido digital aleatorizado al dispositivo del usuario final (310);
- (ii)
- permitir al dispositivo del usuario final (310) acceder a dicho primer conjunto de información sólo si se da un mensaje de gestión de autorización (EMM) al dispositivo del usuario final (310), y dicho EMM indica que se permite al dispositivo del usuario final (310) usar dicho ECM; y
(iii) des-aleatorizar dicho contenido digital aleatorizado por el dispositivo del usuario final (310) de acuerdo con dicho primer conjunto de información. -
- 3.
- El procedimiento de la reivindicación 2, en el que dicho EMM se transmite por dicho centro de control (240).
-
- 4.
- El procedimiento de las reivindicaciones 2 ó 3, que comprende además la etapa de:
(iv) reemplazar dicho ECM con dicho PECM para des-aleatorizar dicho contenido digital aleatorizado por el dispositivo del usuario final (310). -
- 5.
- El procedimiento de cualquiera de las reivindicaciones 2-4, en el que dicho primer conjunto de información incluye al menos una instrucción para generar una palabra de código, de modo que la etapa (ii) incluye las etapas de:
- (1)
- generar dicha palabra de código de acuerdo con dicha, al menos una instrucción; y
- (2)
- des-aleatorizar dicho contenido digital aleatorizado de acuerdo con dicha palabra de código.
-
- 6.
- El procedimiento de cualquiera de las reivindicaciones 1-5, que comprende además la etapa de:
(f) asociar permanentemente dicho PECM con dicho contenido digital aleatorizado para permitir la desaleatorización de dicho contenido digital aleatorizado por el dispositivo del usuario final (310). -
- 7.
- El procedimiento de la reivindicación 6, que comprende además las etapas de:
(g) transmitir dicho contenido digital aleatorizado con dicho ECM desde un primer dispositivo del usuario final(310) al segundo dispositivo del usuario final (310);- (h)
- recibir un PECM específico por dicho segundo dispositivo del usuario final (310) desde dicho centro de control (240); y
- (i)
- des-aleatorizar dicho contenido digital aleatorizado por dicho segundo dispositivo de usuario final (310) sólo después de recibir dicho PECM específico.
-
- 8.
- El procedimiento de la reivindicación 7, en el que la etapa (h) incluye las etapas de:
- (i)
- transmitir el pago a dicho centro de control (240); y
- (ii)
- transmitir dicho PECM por dicho centro de control (240) sólo después de recibir el pago.
-
- 9.
- Un sistema (300) para asegurar el contenido digital para la transmisión, que comprende:
- (a)
- un centro de control (240) para controlar el acceso al contenido digital;
- (b)
- un dispositivo del usuario final (210, 310) para recibir contenidos digitales aleatorizados, estando adaptado el dispositivo del usuario final (210, 310) para, después de recibir dicho contenido digital aleatorizado, contactar dicho centro de control (240) para solicitar un ECM personal (PECM), siendo dicho PECM específico para el dispositivo del usuario final (310); en el que el centro de control (240) está adaptado para transmitir dicho PECM al dispositivo del usuario final
(310) en respuesta al dispositivo del usuario final (310) que contacta con dicho centro de control (240); y el dispositivo del usuario final (210, 310) está adaptado para des-aleatorizar dicho contenido digital aleatorizado de acuerdo con dicho PECM. -
- 10.
- El sistema (300) de la reivindicación 9, que comprende además:
- (c)
- un generador de mensajes de permiso para generar un mensaje de permiso para la transmisión a dicho dispositivo del usuario final (210, 310), comprendiendo dicho generador de mensajes de permiso un generador de PECM (380) para generar dicho PECM, formando dicho PECM una porción de dicho mensaje de permiso, de modo que dicho dispositivo del usuario final (210, 310) des-aleatoriza dicho contenido digital aleatorizado sólo después de que dicho mensaje de permiso se ha recibido al menos por dicho dispositivo del usuario final (210, 310);
- (d)
- un sistema de gestión de subscripción (370) para controlar dicho generador de mensajes de permiso para determinar si se generó dicho mensaje de permiso; y
- (e)
- una red (250) para conectar dicho dispositivo del usuario final (210, 310), dicho centro de control (240), dicho generador de mensajes de permisos y dicho sistema de gestión de subscripción (370).
-
- 11.
- El sistema (300) de las reivindicaciones 9 ó 10, en el que dicho generador de mensajes de permiso envía dicho mensaje de permiso a dicho sistema de gestión de subscripción (370), y dicho sistema de gestión de subscripción
(370) transmite dicho mensaje de permiso a dicho dispositivo del usuario final (210, 310). -
- 12.
- El sistema (300) de cualquiera de las reivindicaciones 9-11, en el que dicho generador de mensajes de permiso comprende además: un mensaje de control de autorización (ECM) (340) para generar un ECM, formando dicho ECM otra porción de dicho mensaje de permiso.
-
- 13.
- El sistema (300) de la reivindicación 12, en el que dicho dispositivo del usuario final (210) comprende además un módulo de seguridad (220) para recibir dicho ECM y dicho PECM, y para des-aleatorizar dicho contenido digital aleatorizado para reproducir el contenido digital una vez recibido al menos uno de dichos ECM y dicho PECM.
-
- 14.
- El sistema (300) de la reivindicación 13, en el que dicho módulo de seguridad (220) comprende además un sub-módulo de seguridad renovable, siendo dicho sub-módulo de seguridad renovable, extraíble y reemplazable.
-
- 15.
- El sistema (300) de la reivindicación 14, en el que dicho sub-módulo de seguridad renovable comprende una tarjeta inteligente.
-
- 16.
- El sistema (300) de cualquiera de las reivindicaciones 13-15, en el que dicho módulo de seguridad presenta un número limitado de ranuras que están asociados con una pluralidad de ECM, de modo que si se usa dicho número de ranuras limitado, un PECM correspondiente a al menos un ECM almacenado debe recibirse antes de que se reciba un ECM adicional por dicho dispositivo del usuario final (210).
-
- 17.
- El sistema (300) de la reivindicación 16, en el que la información concerniente a dichas ranuras se almacena sobre dicho módulo de seguridad.
-
- 18.
- El sistema (300) de cualquiera de las reivindicaciones 15-17 que comprende además un lector de tarjeta inteligente para leer dicha tarjeta inteligente, estando separado dicho lector de tarjeta inteligente de dicho dispositivo del usuario final (210), de modo que los datos producidos por dicha tarjeta inteligente son legibles por dicho lector de tarjeta inteligente, incluyendo datos que resultan de dichas ranuras, siendo dichos datos legibles como una copia codificada.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17453000P | 2000-01-05 | 2000-01-05 | |
| US174530P | 2000-01-05 | ||
| US19503200P | 2000-04-06 | 2000-04-06 | |
| US195032P | 2000-04-06 | ||
| PCT/IL2001/000013 WO2001050755A1 (en) | 2000-01-05 | 2001-01-04 | Digital content delivery system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2367251T3 true ES2367251T3 (es) | 2011-10-31 |
Family
ID=26870328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES01900052T Expired - Lifetime ES2367251T3 (es) | 2000-01-05 | 2001-01-04 | Sistema y procedimiento de distribución de contenidos digitales. |
Country Status (8)
| Country | Link |
|---|---|
| EP (2) | EP1166562B1 (es) |
| AT (2) | ATE525857T1 (es) |
| AU (1) | AU2217801A (es) |
| DK (1) | DK1166562T3 (es) |
| ES (1) | ES2367251T3 (es) |
| IL (1) | IL144921A (es) |
| PT (1) | PT1166562E (es) |
| WO (1) | WO2001050755A1 (es) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100901826B1 (ko) | 2000-08-11 | 2009-06-09 | 엔디에스 리미티드 | 암호화된 미디어 콘텐트 송신 방법 및 장치 |
| KR20010088742A (ko) * | 2001-08-28 | 2001-09-28 | 문의선 | 분산처리 및 피어 대 피어 통신을 이용한 네트워크 상의정보전송 병렬화 방법 |
| FR2831757B1 (fr) * | 2001-10-26 | 2004-01-30 | Canal Plus Technologies | Procede de verification de recepteurs de television a controle d'acces et recepteur correspondant |
| FR2835378B1 (fr) * | 2002-01-28 | 2004-12-24 | Viaccess Sa | Protocole de commande a distance d'une action locale de generation d'un message d'ordre |
| US20030158958A1 (en) * | 2002-02-20 | 2003-08-21 | Koninklijke Philips Electronics N.V. | Distributed storage network architecture using user devices |
| US20040017918A1 (en) * | 2002-07-24 | 2004-01-29 | Christophe Nicolas | Process for point-to-point secured transmission of data and electronic module for implementing the process |
| US7370212B2 (en) | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
| EP1751947B1 (en) | 2004-05-31 | 2009-01-28 | Telecom Italia S.p.A. | A method and system of digital content sharing among users over communications networks, related communications network architecture and computer program product therefore |
| US8725646B2 (en) | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
| US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
| US8387153B2 (en) * | 2008-01-23 | 2013-02-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication arrangement |
| EP2150049A1 (en) | 2008-07-30 | 2010-02-03 | Koninklijke KPN N.V. | Virtually increasing the number of content broadcast channels |
| KR20110112622A (ko) * | 2010-04-07 | 2011-10-13 | 김인상 | 앱스토어용 콘텐츠 오픈 라이센싱 시스템 및 그 방법 |
| WO2013130651A2 (en) * | 2012-02-27 | 2013-09-06 | Sequent Software Inc. | System for storing one or more passwords in a secure element |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6002772A (en) * | 1995-09-29 | 1999-12-14 | Mitsubishi Corporation | Data management system |
| KR100332743B1 (ko) * | 1994-11-26 | 2002-11-07 | 엘지전자주식회사 | 디지탈영상시스템의불법시청및복사방지방법및장치 |
| EP0912052A1 (en) * | 1997-09-25 | 1999-04-28 | CANAL+ Société Anonyme | Method and apparatus for recording of encrypted digital data |
| CN1171454C (zh) * | 1997-10-02 | 2004-10-13 | 卡纳尔股份有限公司 | 用于加密数据流传输的方法和装置 |
| BR0013522A (pt) * | 1999-08-24 | 2002-05-07 | Gen Instrument Corp | Método para facilitar a distribuição de conteúdo pré criptografado de acordo com uma ou uma série de palavras de controle e de um serviço audiovisual criptografado de acordo com uma tecla de programa, terminal, e, controlador de acesso de vìdeo sob encomenda |
-
2001
- 2001-01-04 PT PT01900052T patent/PT1166562E/pt unknown
- 2001-01-04 AT AT07013155T patent/ATE525857T1/de not_active IP Right Cessation
- 2001-01-04 IL IL144921A patent/IL144921A/en not_active IP Right Cessation
- 2001-01-04 AU AU22178/01A patent/AU2217801A/en not_active Abandoned
- 2001-01-04 EP EP01900052A patent/EP1166562B1/en not_active Expired - Lifetime
- 2001-01-04 DK DK01900052.0T patent/DK1166562T3/da active
- 2001-01-04 WO PCT/IL2001/000013 patent/WO2001050755A1/en active Application Filing
- 2001-01-04 ES ES01900052T patent/ES2367251T3/es not_active Expired - Lifetime
- 2001-01-04 EP EP07013155A patent/EP1835743B1/en not_active Expired - Lifetime
- 2001-01-04 AT AT01900052T patent/ATE515146T1/de not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1835743B1 (en) | 2011-09-21 |
| PT1166562E (pt) | 2011-09-05 |
| IL144921A (en) | 2007-03-08 |
| DK1166562T3 (da) | 2011-10-24 |
| EP1166562A1 (en) | 2002-01-02 |
| ATE515146T1 (de) | 2011-07-15 |
| EP1166562B1 (en) | 2011-06-29 |
| ATE525857T1 (de) | 2011-10-15 |
| IL144921A0 (en) | 2002-06-30 |
| EP1835743A1 (en) | 2007-09-19 |
| AU2217801A (en) | 2001-07-16 |
| WO2001050755A1 (en) | 2001-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20020114465A1 (en) | Digital content delivery system and method | |
| ES2539836T3 (es) | Sistema y método para un sistema comercial de alquiler y distribución de multimedia | |
| JP5200204B2 (ja) | 高信頼性システムを含む連合型デジタル権限管理機構 | |
| US6950941B1 (en) | Copy protection system for portable storage media | |
| US7428307B2 (en) | Data reproduction apparatus capable of safely controlling reproduction time of encrypted content data and data reproduction circuit and data recording apparatus used for the same | |
| US6898708B2 (en) | Device for reproducing data | |
| US7310731B2 (en) | Contents processing system | |
| ES2370764T3 (es) | Gestión de derechos digitales (drm) robusta y flexible con un módulo de identidad inviolable. | |
| ES2702044T3 (es) | Derechos divididos en dominio autorizado | |
| JP4455053B2 (ja) | 制御ワードを用いて暗号化されたサービスに選択的にアクセスするデバイス及び方法並びにスマートカード | |
| US20030016829A1 (en) | System and method for protecting content data | |
| ES2367251T3 (es) | Sistema y procedimiento de distribución de contenidos digitales. | |
| BRPI0204473B1 (pt) | A reproductive device for reproducing a content item stored in a storage media | |
| JP2010267240A (ja) | 記録装置 | |
| JP2004072721A (ja) | 認証システム、鍵登録装置及び方法 | |
| GB2403314A (en) | Content encryption using programmable hardware | |
| ES2404041T3 (es) | Sistema y método para proporcionar acceso autorizado a contenido digital | |
| CN101606161A (zh) | 用于确定超分发录制品的价格的方法 | |
| US7158641B2 (en) | Recorder | |
| JP2000122539A (ja) | 著作物保護システム | |
| US20050010790A1 (en) | Cryptographic module for the storage and playback of copy-protected electronic tone and image media which is protected in terms of use | |
| CN101174287B (zh) | 数字权限管理的方法和设备 | |
| JP2002169912A (ja) | 暗号復号化装置、課金装置、およびコンテンツ配信システム | |
| KR100727091B1 (ko) | 디지털 저작권 관리를 이용한 콘텐츠 제공 방법 및 장치와,이를 위한 휴대형 저장 장치 | |
| JP2005149002A (ja) | コンテンツ流通管理方法および装置 |