KR101835238B1

KR101835238B1 - 매니패스트-기반 자격 집행을 갖는 미디어 분배 시스템

Info

Publication number: KR101835238B1
Application number: KR1020167004539A
Authority: KR
Inventors: 미하일 미하일로프; 라즈 나이르
Original assignee: 에릭슨 에이비
Priority date: 2013-07-23
Filing date: 2014-07-23
Publication date: 2018-03-06
Also published as: US9781077B2; US20160164841A1; CN105874810A; WO2015013411A1; MX354712B; CA2919105A1; CA2919105C; US10841282B2; CN105874810B; BR112016001598A2; KR20160104611A; US11463413B2; US11777906B2; EP3025267A1; EP3025267A4; US20230016777A1; MX2016000883A; US20180019973A1; US20210075769A1

Abstract

자격을 강제하기 위한 방법은, 서버에서 매우 다양한 자격을 구성하는; 주어진 클라이언트 요청에 대한 자격의 적용가능한 조합을 결정하는; 자격을 요청하는 클라이언트에 안전하게 송신하는; 실행시 복수의 클라이언트 장치상에서 자격 정보를 안전하게 핸들링하는; 오프라인 사용 동안 복수의 클라이언트 장치상에 자격 정보를 안전하게 기억하는; 및 복수의 클라이언트 장치상에서 자격을 강제하는 것을 포함한다. 이 방법은, 클라이언트 장치 내에 포함 또는 네트워크 내에 위치될 수 있는 프록시에 의해 매니패스트 파일의 조작을 채용한다.

Description

매니패스트-기반 자격 집행을 갖는 미디어 분배 시스템{MEDIA DISTRIBUTION SYSTEM WITH MANIFEST-BASED ENTITLEMENT ENFORCEMENT}

본 개시 내용은 일반적으로 OTT(over-the-top) 미디어 전달에 관한 것이고, 특히 실시간으로, 다른 타입의 클라이언트 장치에 대한 매우 다양한 자격의 집행에 관한 것이다.

STB(Set Top Boxes)에서 구현된 통상적인 CA(Conditional Access) 시스템은, 매우 제한된 ON/OFF 자격만을 지원하는데, 유저가 특정 채널을 보는 것이 허용되는 지를 가리킨다. 매우 다양한 장치에 대한 더 인기 있는 OTT(over-the-top) 미디어 전달은, 실질적으로 더 넓은, 및 계속 증가하는, 어레이의 자격(entitlement)을 제공하는데 있어서, 도전 및 기회 모두를 제공한다.

OTT 전달 에코시스템은, 주어진 유저/미디어/장치 조합에 대한 적합하게 식별된 세트의 요구조건의 전달을 안전하게 하는, 각각의 클라이언트 장치상에서 이들 자격의 핸들링, 스토리지, 및 집행을 안전하게 하는 것과 함께, 다른 유저들 및 유저 그룹, 미디어 및 미디어 그룹, 장치, 및 이들의 다양한 조합에 대한 증가하는 수의 자격을 구성할 수 있는 능력을 요구한다.

OTT(over-the-top) 비디오 전달로, 실시간으로, 매우 다양한 자격을 강제하기 위한 방법 및 장치가 개시된다. OTT 콘텐츠 전달은 전형적으로 HTTP 프로토콜을 사용하는 세그먼트-기반 검색 패러다임에 의존한다. HTTP 적응 스트리밍은, 다중 인코딩(각각이 다른 비트래이트, 해상도, 및/또는 프래임 레이트에서 인코딩된)을 사용하는데, 클라이언트가 그 로컬 네트워크 조건에 대해서 적합한 인코딩을 선택하게 허용한다. 매니패스트 파일은, 클라이언트에 인코딩 정보를 반송하고 세그먼트 검색 위치를 가리키기 위해 사용된다. 실시간(라이브) 콘텐츠에 대해서, 세그먼트 및 매니패스트 파일은 클라이언트에 의해 실시간으로 생성 및 검색된다.

특히, 자격을 강제하기 위한 개시된 방법은, 서버에서 매우 다양한 자격을 구성하는; 주어진 클라이언트 요청에 대한 자격의 적용가능한 조합을 결정하는; 자격을 요청하는 클라이언트에 안전하게 송신하는; 실행시 복수의 클라이언트 장치상에서 자격 정보를 안전하게 핸들링하는; 오프라인 사용 동안 복수의 클라이언트 장치상에 자격 정보를 안전하게 기억하는; 및 복수의 클라이언트 장치상에서 자격을 강제하는 것을 포함할 수 있다.

상기 및 다른 목적, 형태 및 장점은, 다른 관점을 통해서 동일 부분에 대해서 동일한 참조부호로 언급하는 첨부 관점에 도시된 바와 같이, 본 발명의 특정 실시형태로부터 명백하게 된다.

도 1은 미디어 분배 시스템의 블록도;
도 2는 하드웨어 관점으로부터의 컴퓨터화된 장치의 블록도;
도 3은 주로 소프트웨어 관점으로부터의 클라이언트 장치의 블록도;
도 4는 프록시의 동작의 하이-레벨 흐름도; 및
도 5는 미디어 분배 시스템의 대안적인 구성의 블록도이다.

도 1은 본 발명의 하나의 실시형태에 대한 시스템(100)의 블록도이다. 나타낸 바와 같이, 이는 작업흐름 관리기(WFM)(102), 하나 이상의 포장 서버 또는 "포장기(들)"(104), 권리 서버(105), 콘텐츠 관리 시스템(CMS)(106), 콘텐츠 전달 네트워크(CDN)(108), 프록시 서버 또는 "프록시"(109), 및 클라이언트 장치 또는 "클라이언트"(110)를 포함한다. 장치 중의 네트워크 접속은 일반적으로 네트워크(112)로서 도시된다. 일반적으로, 동작에 있어서, 포장기(들)(104)는 소스 콘텐츠를 수신하고 소스 콘텐츠를 처리 또는 "포장"하므로, 이는 CDN(108)을 통해서 클라이언트(110)에 전달될 수 있다. 특히, 포장기(들)(104)는, 이하 기술된 바와 같이, 일련의 콘텐츠 암호화 키를 사용해서 변환 코딩 및 콘텐츠 암호화를 수행한다. CMS(106)가 콘텐츠 습득, 포장 및 전달에 걸쳐서 하이-레벨 제어를 제공하는 한편, WFM(102)는 더 상세한 제어 동작을 수행한다.

작업흐름 관리기(WFM)(102)는, 분배를 위한 콘텐츠를 준비하기 위해서, 콘텐츠 관리 시스템(CMS)(106)으로부터 소스 콘텐츠 정보를 획득 및 하나 이상의 포장기(104)에 명령하기 위한 책임이 있다. 하나의 실시형태에 있어서, 준비는, 다른 코덱, 비트래이트, 프래임 레이트, 샘플 레이트, 및 해상도를 사용해서, 오디오 및 비디오를 복수의 인코딩으로 변환 코딩하는 것을 포함한다. 그 다음, 변환 코딩된 콘텐츠는 복수의 출력 파일 내에 기입된다. 하나의 실시형태에 있어서, 복수의 출력 파일은 다른 콘테이너 포맷(예를 들어, 3GP, MP4, MPEG-TS, WMV, MOV 등) 내에 인캡슐화된 동일한 변환 코딩된 콘텐츠를 포함한다. 하나의 실시형태에 있어서, 준비된 출력 파일은 고정된 존속 기간 세그먼트 파일(예를 들어, MPEG-TS 세그먼트, 프래그먼트된 MP4 세그먼트, 3GP DASH 세그먼트 등)로 세그먼트된다. 하나의 실시형태에 있어서, 세그먼트된 및 세그먼트되지 않은 모든 출력 파일은, 표준 암호화 프로토콜(예를 들어, AES-128, HC-128, RC4 등)을 사용해서 암호화된다. 하나의 실시형태에 있어서, 모든 준비 단계들은 포장기로서 본 명세서에서 언급된 단일 콘텐츠 포장 서버(104)에 의해 수행된다.

다른 실시형태에 있어서, 개별적인 준비 단계(예를 들어, 변환 코딩, 세그먼테이션, 암호화 등)는 다른 물리적인 콘텐츠 포장 서버(104)를 가로질러 수행될 수 있다. 하나의 실시형태에 있어서, WFM(102) 및 포장기(104)는 동일한 물리적인 서버 내에 상주한다. 다른 실시형태에 있어서, WFM(102) 및 포장기(104)는 동일한 데이터 센터 내의 다른 물리적인 서버 내에 상주한다. 다른 실시형태에 있어서, WFM(102) 및 포장기(104)는 원격 데이터 센터 내의 다른 물리적인 서버 내에 상주한다.

본 명세서에서 사용된 용어 "서버"가, 이들 컴포넌트들을 함께 접속하는 하나 이상의 고속 데이터 버스와 같은 상호 접속과 함께, 일반적으로 메모리, 입력/출력 회로, 및 명령 처리 로직을 포함하는, 일반-목적 또는 특수-목적 컴퓨터를 언급하는, 것으로 이해하게 된다. 개시된 기술의 많은 측면들이 하나 이상의 서버 컴퓨터상에서 실행하는 소프트웨어로서 실시될 수 있다. 유사하게, 본 명세서의 "클라이언트"는 네트워크 접속으로부터 콘텐츠를 수신 및 디스플레이 또는 유사한 출력 장치상에 콘텐츠를 디코딩 및 렌딩(rending)할 수 있는 컴퓨터화된 장치(또한 상기 컴포넌트를 포함)이다. 소위 스마트폰은, 특히 본 명세서에서 사용된 클라이언트의 정의 내에 포함된다.

하나의 실시형태에 있어서, 포장기(104)는 고정된 사이즈의 GOP를 갖는 세그먼트를 생성한다. 다른 실시형태에 있어서, 포장기(104)는 가변 사이즈의 GOP를 갖는 세그먼트를 생성한다. 세그먼트가 완료되면, 포장기(104)는 세그먼트를 콘텐츠 전달 네트워크(CDN)(108)에 업로드한다.

클라이언트(110)는 프록시(109)를 통해서 재생 요청을 WFM(102)에 발행한다. WFM(102)은, CDN(108) 내의 콘텐츠 위치 및 콘텐츠 인코딩(예를 들어, 다른 비트래이트, 다른 포맷 등)을 포함하는, 콘텐츠에 관한 정보로 응답한다. 이 정보는 매니패스트 파일로 제공된다. 클라이언트(110)는, 재생을 위해 CDN(108)으로부터 세그먼트에 대한 요청을 발행하기 위해서, 매니패스트 파일 내의 정보를 사용한다. 이하 더 기술된 바와 같이, 프록시(109)는, 클라이언트(110)가 보증될 때 재생의 방식을 수정 또는 심지어 재생을 완전히 정지하게 하기 위해서, 복귀한 매니패스트 파일의 콘텐츠를 선택적으로 조작(manipulate)할 수 있다. 프록시(109)의 이 동작은, "자격(entitlement)"으로서 본 명세서에서 언급된 자격 정보의 수집에 기반한다.

일반적으로, 클라이언트 장치(110)는, 암호화된 콘텐츠 파일의 해독(decryption)을 포함하는 재생 능력을 갖는 컴퓨터화된 장치이며, 예를 들어 개인용 컴퓨터, 태블릿 컴퓨터, 스마트폰 등을 포함한다. 암호화된 콘텐츠 파일을 해독하기 위해 사용된 해독 키가 백엔드에 의해 클라이언트 장치(110)에 제공된다. 동작에 있어서, 클라이언트 장치(110)는 자체를 백엔드에 인증시키고, 및 식별된 암호화된 콘텐츠(예를 들어, 특정 비디오)를 플레이하기 위해 그 인가를 수립하는 정보를 제공한다. 백엔드는, 클라이언트 장치(110)가 비디오를 위한 콘텐츠 파일(들)을 해독할 수 있게 하기 위해서 하나 이상의 해독 키를 제공함으로써 응답한다. 클라이언트 장치(110)는 콘텐츠 서버(예를 들어, CDN(108) 내의)로부터 암호화된 콘텐츠 파일을 획득하고, 이들을 해독 키를 사용해서 해독하며, 그 다음 해독된 콘텐츠를 렌더(플레이)한다.

FM(102), 포장기(104), 권리 서버(105) 및 CMS(106)는 "백엔드" 설비이고, 하나 이상의 서버 컴퓨터를 사용해서 구현될 수 있는데, 이는 동일-위치될 수 있거나(예를 들어, 데이터센터 내에서) 또는 다중 위치에 걸쳐서 동일 방식으로 분산될 수 있다. 동작에 있어서, 콘텐츠 발행자로부터의 콘텐츠는 습득될 수 있고, 그 다음 클라이언트 장치(110)에 대한 세그먼트-기반 전달을 위해서 세그먼트될 수 있다. WFM(102)의 미디어 준비 엔진은, 백엔드의 분리 관리(DRM) 서버를 포함하거나 또는 이에 첨부될 수 있는, 권리 서버(105)로부터 콘텐츠 암호화/해독 키를 획득하고, 기억을 위해 콘텐츠를 암호화 및 암호화된 형태로 나중에 전달을 위해 키를 사용한다. 백엔드는 DRM-관련된 동작 및 통신을 위한 중심 포인트로서 권리 서버(105)를 채용할 수 있는데, 이 경우 분리 DRM 서버는, 적합한 네트워크 프로토콜을 사용해서 암호화 키를 생성, 기억 및 검색하기 위해서, 더 특별하게 재단될 수 있다.

도 2는 클라이언트 장치(110) 및 백엔드의 서버를 실현하기 위해 사용될 수 있는 것과 같은 컴퓨터화된 장치의 일반화된 묘사이다. 이는, 하나 이상의 데이터 버스(128)에 의해 함께 결합된 하나 이상의 프로세서(120), 메모리(122), 로컬 스토리지(124) 및 입력/출력(I/O) 인터페이스 회로(126)를 포함한다. I/O 인터페이스 회로(126)는 장치를 하나 이상의 외부 네트워크(네트워크(112)와 같은), 부가적인 스토리지 장치 또는 시스템, 및 본 기술에서 일반적으로 공지된 바와 같은 다른 입력/출력 장치에 결합시킨다. 본 명세서에서 기술된 바와 같은 컴퓨터화된 장치의 시스템-레벨 기능성은, 전형적으로 메모리(122) 내에 기억된 및 프로세서(들)(120)에 의해 검색 및 실행된 컴퓨터 프로그램 명령(소프트웨어)을 실행하는 하드웨어에 의해 제공된다. 기능을 수행하는 소프트웨어 컴포넌트의 본 명세서의 소정의 설명은, 소프트웨어 컴포넌트의 명령을 실행할 때, 컴퓨터 또는 컴퓨터화된 장치의 동작에 대한 간단한 참조로서 이해된다. 또한, 도 2에서의 컴포넌트의 수집은 "처리 회로"로서 언급될 수 있고, 주어진 소프트웨어 컴포넌트를 실행하는 것이 기능-특정된 회로로서 볼 수 있을 때, 예를 들어 콘텐츠 플레이어 기능을 구현하는 소프트웨어 컴포넌트를 실행할 때 "플레이어 회로"로서 볼 수 있다. 이하 기술된 바와 같이, 클라이언트 장치(110)는 보안의 목적을 위해서 더 특정된 하드웨어 체계를 포함한다.

하나의 실시형태에 있어서 클라이언트 장치(110)는, 자체를 미디어 전달 및 재생의 DRM 측면을 포함하는 센시티브 애플리케이션에 렌딩(lending)하는, 특정된 체계를 갖는다. 특히, 클라이언트 장치(110)는 파티션 회로 및 보안 실행 환경과 정상 또는 비-보안 환경 사이의 기능성일 수 있다. 하드웨어 컴포넌트는 파티션될 수 있는데, 비-보안 환경에서의 애플리케이션 프로세서 및 보안 환경에서의 분리 보안 프로세서를 포함한다. 비-보안 환경에서의 오퍼레이팅 소프트웨어는, 오퍼레이팅 시스템(O/S) 및 콘텐츠 플레이어 애플리케이션("앱(app)"으로서 언급)을 포함할 수 있다. 하나의 실시형태에 있어서, 오퍼레이팅 시스템은 모바일 장치용의 Android® 오퍼레이팅 시스템이다. 보안 환경 내의 컴포넌트는, 클라이언트 장치(110)가 콘텐츠를 해독하기 위한 해독 키를 획득할 수 있게 하기 위해서, 백엔드와의 신뢰의 뿌리(root of trust)를 수립하기 위한 책임이 있다. 보안 환경은 보안 커널 및 보안 메모리를 포함한다. 또한, 클라이언트 장치는, 장치(110)를 등록, 미디어 오브젝트의 재생에 대한 권리 오브젝트를 획득, 및 미디어 오브젝트의 해독 및 플레이를 가능하게 하는 다른 기능을 수행하기 위해 백엔드에 요청을 송신하는, 미디어 클라이언트를 포함하다. 따라서, 미디어 클라이언트는 보안과 비-보안 환경 사이에서 파티션된 분리 보안 및 비-보안 부분을 가질 수 있다.

하나의 실시형태에 있어서, 클라이언트 장치(110)의 보안 환경은, ARM 아키텍처에 따라 실현된 보안 프로세서만 아니라 보안-관련된 사용을 위해 특별하게 재단된 보안 커널 및 보안 메모리를 포함하는, 소위 TrustZone 패밀리의 컴포넌트를 채용할 수 있다. 신뢰의 뿌리를 수립하는 것은, 장치(110)(예를 들어, 모바일 폰 핸드셋)를 빌트하기 위해 사용된 회로 보드 내에 매립된 보안 처리 하드웨어에 의해 제공된 보안 형태에 부분적으로 기반할 수 있다. 칩셋 제조업자는 하드웨어를 제공하고, 장치 제조업자(OEM)는 이하 더 기술된 바와 같은 소정의 팜웨어(코드)를 로드한다.

도 3은 소프트웨어 관점으로부터 클라이언트 장치(110)의 체계를 나타내는데, 또한 보안과 비-보안 환경 사이에서 상기된 파티션하는 것을 반영한다. 이는, 미디어 플레이어(130), 미디어 클라이언트(132), 오퍼레이팅 시스템(OS) 커널(134) 및 보안 팜웨어(136)를 포함한다. 미디어 클라이언트(132)는, 백엔드에 대한 기능적인 접속(138)을 갖는다(즉, 프록시(109)를 통한 CDN(108), 권리 서버(105) 및 WFM(102)). 동작에 있어서, 미디어 플레이어(130)는, 디스플레이와 같은 클라이언트 장치(110)의 적합한 설비 상에 비디오와 같은 미디어를 렌더링한다. 또한, 미디어 플레이어(130)는, 본 기술에서 일반적으로 공지된 바와 같이, 유저가 미디어의 선택 및 재생을 제어할 수 있게 하는, 그래픽 유저 인터페이스를 포함한다. 미디어 클라이언트(132)는, 장치 등록, 암호화 키의 전달, 및 CDN(108)으로부터 미디어(콘텐츠)의 다운로드의 전체 제어를 포함하는, 재생(렌더링)을 위해 미디어의 다운로드와 관련된 다양한 기능을 수행한다.

도 4는 클라이언트 장치(110)에서 미디어 재생을 위해 자격을 강제하기 위한 프록시(109)의 동작의 하이-레벨 흐름 설명이다.

140에서, 프록시(109)는, 스트리밍 동작 동안, 클라이언트 장치(110) 상의 미디어 아이템의 렌더링에 대한 승인 및 제한을 기술하는 자격 정보를 안전하게 수신 및 기억한다. 자격 정보는 권리 서버로부터 수신되고, 기억된 자격 정보의 비인가된 변경을 방지하기 위해서 프록시에 안전하게 기억된다.

142에서, 프록시(109)는, 매니패스트 파일 검색 경로를 제공하는데, 이에 의해 스트리밍 미디어 플레이어(130)는, 미디어 아이템의 자격이 부여된 재생에서 사용하기 위해서, 원격 서버(예를 들어, WFM(102))로부터 변경되지 않은 매니패스트 파일을 검색한다.

144에서, 프록시(109)는 자격에 대한 집행 조건 및 대응하는 집행 결과 모두를 식별하기 위해서 기억된 자격 정보를 적용하는데, 집행 조건은 클라이언트 장치의 감지된 오퍼레이팅 콘택스트에 적어도 부분적으로 기반하고, 집행 결과는 집행 조건의 부재하에서 승인된 재생으로부터 재생의 방식을 수정한다. 예로서, 집행 조건은 클라이언트 장치(110)가 (셀룰러 링크에 대항하는 것으로서, 예를 들어) WiFi 접속에 걸쳐서 콘텐츠를 다운로드하는 것이 될 수 있고, 집행 결과는 정상 재생이 (이용할 수 없는 또는 몇몇 방식으로 수정된 것에 대항하는 것으로서, 예를 들어) 승인된 것이다. 자격의 다수의 예들이 이하 주어진다.

146에서, 집행 조건의 발생에 따라서, 프록시(109)는 변경된 매니패스트 파일을 스트리밍 미디어 플레이어에 제공하여, 스트리밍 미디어 플레이어의 동작에서 집행 결과를 유도한다.

3. 특정 자격 집행 동작

일반적으로, 자격 집행은, 서버에서 매우 다양한 자격을 구성하는(예를 들어, WFM(102)); 주어진 클라이언트 요청에 대한 자격의 적용가능한 조합을 결정하는; 자격을 요청하는 클라이언트에 안전하게 송신하는; 실행시 복수의 클라이언트 장치상에서 자격 정보를 안전하게 핸들링하는; 오프라인 사용 동안 복수의 클라이언트 장치상에 자격 정보를 안전하게 기억하는; 및 복수의 클라이언트 장치상에서 자격을 강제하는 것을 포함한다.

다음은, 자격 집행 동작의 소정의 특정 측면의 아웃라인 요약이다.

1. 자격으로 보호된 콘텐츠는 오디오/비디오 콘텐츠가 될 수 있다.

a. 콘텐츠는 콘텐츠 자산 암호화 키(per content asset encryption key)마다 암호화될 수 있다.

2. 구성될 수 있는 자격은, 다음을 포함한다: 클라이언트가 콘텐츠 아이템을 보기 시작하도록 허용되는 시간; 콘텐츠 아이템에 대한 권리가 만료하는 시간; 콘텐츠 아이템을 볼 수 있는 다수의 시간; 3G 네트워크, 4G 네트워크, 또는 WiFi 네트워크에 걸쳐서 클라이언트가 콘텐츠를 볼 수 있게 허용되는지; 예를 들어, 데스크탑 컴퓨터, 모바일 폰, 태블릿, 셋탑 박스, 구글 글래스(Google Glass)인 장치의 클래스 상에서 콘텐츠 아이템을 볼 수 있는지; 오프라인 뷰윙을 위해 콘텐츠가 스트리밍 또는 다운로드될 수 있는지; 콘텐츠를 탈옥(jail-broken) 장치상에서 볼 수 있는지; 유저가 콘텐츠를 되돌리기(rewind), 중단(pause), 또는 빠른 포워드(fast forward)하도록 허용되는지; 최소 및 최대 비트래이트 한계; 오프라인 사용을 위한 다운로드의 경우, 최대 파일 사이즈; 허용된 최대 수의 광고; 시청 규제 등급; 클라이언트가 콘텐츠를 소비할 수 있는 지리적인 에어리어에 대한 명세; 대안적인 화상 또는 스트림(sorry stream)과 함께 클라이언트가 오리지널 콘텐츠 대신 디스플레이해야 하는, 리니어 채널 내의 블랙아웃(blackout) 세그먼트; 클라이언트가, 예를 들어 HDMI 출력, Apple의 AirPlay, 또는 Miracast인 외부 접속된 장치에 콘텐츠를 출력하도록 허용하는지; 세션 시프팅(즉, 장치들 사이의 북마크를 공유하는)이 허용되는지; 클라이언트가 보게 하기 위해(예를 들어, 프리뷰하기 위해) 허용된 프래그먼트를 묘사하는 콘텐츠 아이템 내의 시작하는 및 끝나는 포지션.

3. 자격은 주어진 콘텐츠 오너에 대해서 및: 유저들의 그룹; 개별적인 유저; 콘텐츠 아이템들의 그룹; 특정 콘텐츠 아이템; 특정 클래스의 장치; 특정 유저에 의해 사용 중인 특정 장치; 또는 이들의 소정의 조합에 대해서 구성될 수 있다.

a. 집행은, 주어진 콘텐츠 자산에 대한 인가 또는 재인가를 재생하기 위해 클라이언트로부터의 요청에 응답하는, 특정 콘텐츠 오너, 유저, 및 장치에 적용가능한 세트의 자격을 결정하는 것을 포함할 수 있다.

i. 요청은, 클라이언트가 재생을 위해서 인가되지 않으면, 거부 또는 에러 메시지로 응답될 수 있다.

ii. 서버는, 고유한 세션 암호화 키를 사용해서 및 암호화된 자격을 요청하는 클라이언트에 통신해서, 적절한 자격 정보를 암호화할 수 있으므로, 요청하는 클라이언트만이 자격 정보를 해독할 수 있다.

1. 클라이언트 특정 암호화된 자격 정보는 재생을 위해 요청된 콘텐츠 자산에 대한에 대한 콘텐츠 해독 키를 또한 포함할 수 있다.

4. 유저-다운로드가능한 및 인스톨가능한, 또는 팩토리 프리-인스톨된, 클라이언트 애플리케이션은, 미디어 클라이언트 및 디지털 권리 관리(DRM) 에이전트를 포함할 수 있는데, 이들은 특히 각각의 클라이언트 플랫폼에 대한 역설계에 대항해서 개발 및 확립되었다.

a. 미디어 클라이언트는 암호화된 자격 정보를 서버로부터 수신하고, 실행 시 이를 안전하게 핸들링한다.

b. 미디어 클라이언트는, 암호화된 자격 정보를 콘텐츠 오너마다, 콘텐츠 자산마다 및 유저마다의 기반으로 구별된 그 로컬 장치-특정 영구 스토리지 에어리어에 기억할 수 있다.

c. 네이티브 미디어 플레이어는 콘텐츠 자산의 렌더링을 위해 사용될 수 있다.

i. 미디어 클라이언트는, 콘텐츠 뷰윙의 시작에 앞서서 및 콘텐츠 뷰윙 동안(예를 들어, 재생을 시작 및 정지하거나 또는 재생 및 탐색 동작을 방지), 자격을 강제하기 위해서 랩퍼(wrapper)를 사용 및 제공할 수 있다.

d. 제3파티 미디어 플레이어는 콘텐츠 자산의 렌더링을 위해 클라이언트 애플리케이션과 함께 사용될 수 있다.

i. 미디어 클라이언트는, 콘텐츠 뷰윙의 시작 및 콘텐츠 뷰윙 동안(예를 들어, 재생을 시작 및 정지 또는 재생 및 탐색 동작을 방지)에 앞서서, 자격을 강제하기 위해서 제3파티 플레이어-특정 애플리케이션 프로그래밍 인터페이스(API)에 대해서 랩퍼를 사용 및 제공할 수 있다.

e. 콘텐츠는, 예를 들어 HTTP 라이브 스트리밍(HLS), HTTP를 통한 다이나믹 적응 스트리밍(DASH), 스무스 스트리밍(SS), 또는 HTTP 다이나믹 스트리밍(HDS)인 HTTP 적응 스트리밍 프로토콜을 통해서 미디어 플레이어에 전달될 수 있다.

i. 미디어 클라이언트는 복수의 매니패스트 파일, 예를 들어, HLS m3u8, DASH MPD, 또는 SS/HDS 매니패스트를 구축할 수 있고, 내부 HTTP 프록시 서버로부터 네이티브 또는 제3파티 미디어 플레이어로 매니패스트 파일을 서빙한다.

1. HTTP 프록시 서버는, 콘텐츠 뷰윙이 정지되어야 하면, 403 비인가된(Unauthorized)과 같은, HTTP 에러 코드로, 플레이어에 응답할 수 있다.

2. HTTP 프록시 서버는 스트림 인디케이터의 엔드(예를 들어, m3u8 #EXT-X-엔드LIST tag)를 매니패스트 파일 내에 삽입할 수 있고, 뷰윙이 정지되어야 할 때를 플레이어에 가리키기 위해서 또 다른 콘텐츠 URI를 생략한다.

f. HTTP 프록시 서버는, 매니패스트 파일 내의 콘텐츠 세그먼트를, 오리지널 콘텐츠가 보이는 것을 방지하기 위해서 교대 콘텐츠(예를 들어, 특정 조건에 대한 에러 메시지, 또는 지오-위치-기반 블랙아웃에 대한 치환 콘텐츠)를 포함하는, 교대 세그먼트 URI로 교체할 수 있다.

클라이언트 애플리케이션은 유저-갱신 가능하므로, 서버에 추가되는 새로운 자격을 위한 지원만 아니라 그 밖의 갱신이 클라이언트에 의해 사용될 수 있다(The client application may be user-upgradable so that support for new entitlements added to the server, as well as other updates, can be used by clients.).

도 5는 대안적인 배열을 나타내는데, 이 배열에서 프록시(109')는 도 1에 나타낸 바와 같이 클라이언트 장치(110) 외측보다 클라이언트 장치(110') 상에 위치된다. 이 배열에서, 프록시(109')는, 도 1의 배열에서와 같이 외부 네트워크(112)에 걸쳐서 통신하기 위해 네트워크 스택을 요구하는 것보다 내부-처리 통신과 같은 내부 매커니즘을 사용해서, 미디어 클라이언트(132)(도 3)와 같은 다른 컴포넌트와 통신한다.

본 발명의 다양한 실시형태를 특히 나타내고 기술하였지만, 첨부된 청구항에 의해 규정된 바와 같이 본 발명의 정신 및 범위로부터 벗어남이 없이, 형태 및 세부 사항에서의 다양한 변경이 만들어질 수 있는 것으로 이해될 것이다.

Claims

클라이언트 장치에서 미디어 재생을 위해 자격을 강제하기 위해서 프록시 서버로서 컴퓨터화된 장치를 동작하는 방법으로서,
클라이언트 장치는 오퍼레이팅 콘택스트를 갖고, 스트리밍 미디어 플레이어에 전달된 매니패스트 파일의 콘텐츠에 따라서 원격 미디어 서버로부터 검색된 일련의 미디어 세그먼트를 사용해서 미디어 아이템을 렌더링하기 위해서 세그먼트-기반 스트리밍 미디어 플레이어를 실행하고:
스트리밍 동작 동안, 클라이언트 장치상의 미디어 아이템의 렌더링에 대한 승인 및 제한을 기술하는 자격 정보를 안전하게 수신 및 기억하고, 자격 정보는 권리 서버로부터 수신되고, 기억된 자격 정보의 비인가된 변경을 방지하기 위해서 컴퓨터화된 장치에 안전하게 기억되며;
프록시 서버에 의해, 매니패스트 파일 검색 경로를 제공하고, 이에 의해 스트리밍 미디어 플레이어가 미디어 아이템의 자격이 부여된 재생에서 사용하기 위한 원격 미디어 서버로부터 변경되지 않은 매니패스트 파일을 검색하며,
프록시 서버는,
(a) 자격에 대한 집행 조건 및 대응하는 집행 결과 모두를 식별하기 위해서 기억된 자격 정보를 적용하고, 집행 조건은 클라이언트 장치의 감지된 오퍼레이팅 콘택스트에 적어도 부분적으로 기반하고, 집행 결과는 집행 조건의 부재하에서 승인된 재생으로부터 재생의 방식을 수정하고,
(b) 집행 조건의 발생에 따라서, 스트리밍 미디어 플레이어의 동작에서 집행 결과를 유도하기 위해서, 변경된 매니패스트 파일을 스트리밍 미디어 플레이어에 제공하는 것을 특징으로 하는 방법.
제1항에 있어서,
컴퓨터화된 장치는 클라이언트 장치로부터 구별되는 서버 장치이고;
자격 정보는 권리 서버에 링크된 제1네트워크 링크를 통해서 수신되며;
매니패스트 파일 검색 경로는 제1네트워크 링크 및 클라이언트 장치와 서버 장치 사이의 제2네트워크 링크를 포함하고;
변경된 매니패스트 파일은 서버 장치로부터 스트리밍 미디어 플레이어로 제2네트워크 링크를 통해서 제공되는 것을 특징으로 하는 방법.
제1항에 있어서,
컴퓨터화된 장치는 클라이언트 장치이고;
자격 정보는 권리 서버에 링크된 네트워크 링크를 통해서 수신되며;
매니패스트 파일 검색 경로는 네트워크 링크 및 프록시 서버와 클라이언트 장치 내의 스트리밍 미디어 플레이어 사이의 내부 통신 매커니즘을 포함하고;
변경된 매니패스트 파일은 내부 통신 매커니즘을 통해서 프록시 서버로부터 스트리밍 미디어 플레이어로 제공되는 것을 특징으로 하는 방법.
제1항에 있어서,
자격으로 보호된 콘텐츠가 오디오/비디오 콘텐츠인 것을 특징으로 하는 방법.
제4항에 있어서,
콘텐츠는 콘텐츠 자산 암호화 키마다 암호화되는 것을 특징으로 하는 방법.
제1항에 있어서,
자격 정보로 기술된 승인 및 제한은, 뷰윙 시간, 네트워크 타입, 클래스의 장치, 스트리밍 대 오프라인, 장치의 탈옥(jail-broken) 상태, 트릭 플레이, 비트래이트 한계; 오프라인 뷰윙을 위한 최대 파일 사이즈; 광고의 수; 시청 규제 등급; 지리적인 에어리어; 오리지널 콘텐츠 대신 디스플레이된 블랙아웃 및 대안적인 화상 또는 스트림; 외부 접속된 장치에 대한 출력, 공유하는, 및 시작하는 및 끝나는 포지션에 대한 승인 및 제한을 포함하는 것을 특징으로 하는 방법.
제1항에 있어서,
자격은, 주어진 콘텐츠 오너: 유저들의 그룹; 개별적인 유저; 콘텐츠 아이템들의 그룹; 특정 콘텐츠 아이템; 특정 클래스의 장치; 특정 유저에 의해 사용 중인 특정 장치; 또는 이들의 소정의 조합에 대해서 구성되는 것을 특징으로 하는 방법.
제7항에 있어서,
주어진 콘텐츠 자산에 대한 인가 또는 재인가를 재생하기 위해서 클라이언트로부터의 요청에 응답해서, 특정 콘텐츠 오너, 유저, 및 장치에 적용가능한 세트의 자격을 획득하는 것을 더 포함하여 구성되는 것을 특징으로 하는 방법.
제8항에 있어서,
자격 정보는 세션 암호화 키를 사용해서 암호화되고, 암호화된 자격은 클라이언트 장치에 전달되므로, 클라이언트 장치만이 그 자격 정보를 해독할 수 있는 것을 특징으로 하는 방법.
제9항에 있어서,
클라이언트 특정 암호화된 자격 정보는 재생을 위해 요청된 콘텐츠 자산에 대한 콘텐츠 해독 키를 더 포함하는 것을 특징으로 하는 방법.
제1항에 있어서,
유저-다운로드가능한 및 인스톨가능한, 또는 팩토리 프리-인스톨된 클라이언트 애플리케이션은 미디어 클라이언트 및 디지털 권리 관리(DRM) 에이전트를 포함하고, 이들 모두는 각각의 클라이언트 플랫폼에 대해서 역설계하는 것에 대항해서 개발 및 확립되는 것을 특징으로 하는 방법.
제11항에 있어서,
미디어 클라이언트는, 암호화된 자격 정보를 콘텐츠 오너마다, 콘텐츠 자산마다 및 유저마다의 기반으로 구별된 그 로컬 장치-특정 영구 스토리지 에어리어에 기억하는 것을 특징으로 하는 방법.
제11항에 있어서,
네이티브 미디어 플레이어는 콘텐츠 자산의 렌더링을 위해 사용되는 것을 특징으로 하는 방법.
제13항에 있어서,
미디어 클라이언트는, 콘텐츠 뷰윙의 시작에 앞서서 및 콘텐츠 뷰윙 동안, 자격을 강제하기 위해서 플랫폼-특정 애플리케이션 프로그래밍 인터페이스(API)에 대해서 랩퍼를 사용 및 제공하는 것을 특징으로 하는 방법.
제11항에 있어서,
제3파티 미디어 플레이어가 콘텐츠 자산의 렌더링을 위해 클라이언트 애플리케이션과 함께 사용되는 것을 특징으로 하는 방법.
제15항에 있어서,
미디어 클라이언트는, 콘텐츠 뷰윙의 시작에 앞서서 및 콘텐츠 뷰윙 동안, 자격을 강제하기 위해서 제3파티 플레이어-특정 애플리케이션 프로그래밍 인터페이스(API)에 대해서 랩퍼를 사용 및 제공하는 것을 특징으로 하는 방법.
제11항에 있어서,
콘텐츠는, HTTP 라이브 스트리밍(HLS), HTTP를 통한 다이나믹 적응 스트리밍(DASH), 스무스 스트리밍(SS), 또는 HTTP 다이나믹 스트리밍(HDS) 중 하나인 HTTP 적응 스트리밍 프로토콜을 통해서 미디어 플레이어에 전달되는 것을 특징으로 하는 방법.
제17항에 있어서,
미디어 클라이언트는, HLS m3u8, DASH MPD, 또는 SS/HDS 매니패스트 중 하나인 복수의 매니패스트 파일을 구축하고, 매니패스트 파일을 내부 HTTP 프록시 서버로부터 네이티브 또는 제3파티 미디어 플레이어에 서빙하는 것을 특징으로 하는 방법.
제18항에 있어서,
HTTP 프록시 서버는, 콘텐츠 뷰윙이 정지되어야 하면, 미디어 플레이어에 대해서 HTTP 에러 코드로 응답하는 것을 특징으로 하는 방법.
제18항에 있어서,
HTTP 프록시 서버는, 뷰윙이 정지되어야 할 때를 플레이어에 가리키기 위해서, 스트림 인디케이터의 엔드를 매니패스트 파일 내에 삽입하고, 또 다른 콘텐츠 URI를 생략하는 것을 특징으로 하는 방법.
제18항에 있어서,
HTTP 프록시 서버는, 매니패스트 파일 내의 콘텐츠 세그먼트를, 오리지널 콘텐츠가 보이는 것을 방지하기 위해서 교대 콘텐츠를 포함하는, 교대 세그먼트 URI로 교체하는 것을 특징으로 하는 방법.
제11항에 있어서,
미디어 클라이언트 애플리케이션은 유저-갱신 가능하므로, 서버에 추가되는 새로운 자격을 위한 지원만 아니라 그 밖의 갱신이 클라이언트 장치에 의해 사용될 수 있는 것을 특징으로 하는 방법.