TW201404123A

TW201404123A - 用於媒體內容安全傳輸之系統、方法與裝置

Info

Publication number: TW201404123A
Application number: TW102113144A
Authority: TW
Inventors: Sergey Ignatchenko
Original assignee: Ologn Technologies Inc
Priority date: 2012-04-12
Filing date: 2013-04-12
Publication date: 2014-01-16
Also published as: CA2869817A1; WO2013153440A1; US20130275755A1; EP2837197A1

Abstract

本文中所闡述之系統、方法及裝置准許經加密之媒體內容在顯示於一螢幕上之前由複數個媒體處理區塊加以處理。根據本發明，一種裝置可包括用以接收一經加密、經編碼媒體串流之一通信介面、一第一及第二媒體處理區塊及用於顯示經解碼媒體串流之一螢幕。該第一媒體處理區塊可使用一第一密鑰來將該經加密、經編碼媒體串流解密以獲得該經編碼媒體串流，將該經編碼媒體串流解碼，及在將該經解碼媒體串流傳輸至該第二媒體處理區塊之前，使用一第二密鑰來將該經解碼媒體串流加密。該第二媒體處理區塊可使用該第二密鑰來將該媒體串流解密，且在將該媒體串流傳輸至該螢幕之前，使用一螢幕控制器來處理該媒體串流。

Description

用於媒體內容安全傳輸之系統、方法與裝置

相關專利申請案

本申請案主張2012年4月12日提出申請之美國臨時申請案61/623,340及2013年4月11日提出申請之美國非臨時申請案13/861,078之優先權，該兩個申請案之標題皆為「Systems,Methods and Apparatuses for the Secure Transmission of Media Content」，且兩個申請案之內容皆以全文引用之方式併入本文中。

本文中所闡述之系統、方法及裝置係關於對數位媒體內容之經改良保護及數位權利管理領域。

媒體內容濫用及數位權利管理(DRM)之問題不僅係眾所周知的且係重大的。目前，不存在用以為終端使用者提供視訊內容及音訊內容兩者同時防止該等終端使用者製作媒體之未經授權數位複本或以其他方式規避DRM控制之可靠方式。更糟的是，可經常在無任何品質損失之情況下產生媒體之數位複本。已建議用於排除由終端使用者進行之對內容複製之基於軟體之方法(其係媒體內容盜版之最普遍形式)之系統、方法及裝置。然而，甚至彼等機構可易於遭受基於硬體之攻擊。所需要的是對電視機及其他媒體內容播放器件之現有架構具有一最小影響之用於排除媒體內容濫用之基於硬體方法的系統、方法及裝置。

100‧‧‧媒體散佈出口/出口/散佈出口

101‧‧‧資料儲存器/媒體內容儲存器

102‧‧‧加密引擎

103‧‧‧資料庫

105‧‧‧通信網路

106‧‧‧通信埠

110‧‧‧本端器件

111‧‧‧作業系統

112‧‧‧應用程式

114‧‧‧使用者介面

116‧‧‧通信埠

120‧‧‧顯示器件/器件

121‧‧‧解密引擎

122‧‧‧解碼器

123‧‧‧螢幕

124‧‧‧亂數產生器

125‧‧‧非揮發性記憶體/記憶體

126‧‧‧唯一ID/器件ID

127‧‧‧私用密鑰

128‧‧‧通信埠

201‧‧‧單體式區塊/主區塊/區塊

202‧‧‧單體式區塊/區塊/第二單體式「螢幕控制器」區塊/螢幕控制器區塊

209‧‧‧連接/通道/安全連接/通信通道/單向通信通道

210‧‧‧螢幕控制器/螢幕控制器硬體

211‧‧‧數位轉類比轉換器/螢幕控制器

220‧‧‧加密程式

221‧‧‧解密程式

222‧‧‧記憶體

223‧‧‧區塊ID

224‧‧‧私用密鑰

301‧‧‧本端器件

302‧‧‧主區塊

303‧‧‧通信鏈路/連接/通信通道

310‧‧‧較簡單顯示器件/顯示器件/「簡單」電視

311‧‧‧螢幕控制器區塊

600‧‧‧單體式區塊/區塊

1103‧‧‧螢幕控制器

1104‧‧‧螢幕

1201‧‧‧區塊

1202‧‧‧區塊

1203‧‧‧區塊

1204‧‧‧第一關聯加密信封/關聯加密信封

1205‧‧‧第二關聯加密信封

圖1係根據本發明之一例示性系統之一方塊圖。

圖2至圖5係根據本發明準備及傳輸媒體內容之例示性方法之流程圖。

圖6至圖7係根據本發明之額外例示性系統之方框圖。

圖8至圖10係根據本發明準備及傳輸媒體內容之額外例示性方法之流程圖。

圖11係根據本發明之另一例示性系統之一方塊圖。

圖12係圖解說明區塊「鏈結」之一方塊圖。

本文中結合以下說明及附圖闡述根據本發明之系統、裝置及方法之某些說明性態樣。然而，此等態樣僅指示其中可採用本發明之原理的各種方式中之幾種且本發明意欲包含所有此等態樣及其等效形式。當結合圖考量時，可自以下詳細說明中明瞭本發明之其他優點及新穎特徵。

在以下詳細說明中，闡明眾多特定細節以提供對本發明之一充分理解。在其他例項中，尚未詳細展示眾所周知之結構、介面及程序以便不會不必要地使本發明模糊。然而，熟習此項技術者將明瞭，本文中所揭示之彼等特定細節未必用於實踐本發明，且除如申請專利範圍中所述以外，不表示對本發明之範疇之一限制。預期，本說明書之任何部分皆不應視為實現對本發明之全範疇之任何部分之一否定。儘管闡述本發明之某些實施例，但此等實施例同樣不意欲限制本發明之全範疇。

本發明包括用於媒體內容自能夠以電子方式提供數位媒體內容之任何類型之媒體散佈出口(例如，一網際網路商店、一電視廣播設施、一無線電廣播設施等)至運行一作業系統及可能一或多個應用程式之一本端器件(例如，一智慧電話、桌上型電腦、膝上型電腦、機上盒等)，且然後自該本端器件至一顯示器件(例如，一電視機或監視器等)之安全傳輸以用於呈現於該器件(例如，在一螢幕、揚聲器或兩者上)上之系統、方法及裝置。在另一實施例中，媒體內容可自媒體散佈出口直接傳輸至一組合式本端器件/顯示器件以用於呈現於該器件上。舉例而言，一膝上型電腦可既充當本端器件又充當顯示器件。媒體內容自媒體散佈出口至顯示器件之安全傳輸(無論是否經由一本端器件)可透過對稱且公用-私用密鑰密碼編譯之一組合而達成。

圖1展示根據本發明之一例示性系統之一方塊圖。系統首先包括一或多個顯示器件120。每一顯示器件120可擁有能夠執行至少對稱及不對稱解密之一解密引擎121。舉例而言，在一項實施例中，解密引擎121可針對公私密碼編譯實施RSA-2048，及針對對稱密碼編譯實施AES-256。取決於整體系統需求，可替代地使用其他加密文。如下文更詳細所闡述，此功能性將允許解密引擎121：a)將先前用與器件120相關聯之一公用密鑰加密之一對稱密鑰解密，及b)將先前用該對稱密鑰加密之媒體內容資料解密。用於支援此解密之密鑰可儲存於一非揮發性記憶體125(諸如一非揮發性快閃記憶體)中。在一項實施例中，顯示器件120可進一步包括可用於支援解密引擎121之一基於硬體之亂數產生器(RNG)124(諸如例如，一基於熱雜訊或基於齊納雜訊之產生器)。

每一顯示器件120可進一步包括能夠將媒體內容解碼之一解碼器122。如通篇所使用之「媒體內容」指代任何視覺資料及/或音訊資料，諸如但不限於靜止影像、圖片或圖形、文字、電影、視訊剪輯、音訊剪輯、二維動畫、網頁、視訊遊戲、三維影像或視訊(包含三維動畫)或前述各項之任何組合。如此，解碼器122可經組態以將呈各種格式(諸如PNG、JPEG、H.264 AVC、MPEG-2及/或VC-1)之媒體內容解碼。另外，解碼器122可支援對音訊格式之解碼。取決於實施例，解密引擎121及解碼器122可實施為在顯示器件120之一處理器(未展示)上運行之軟體。舉例而言，若顯示器件120包含一微控制器單元(MCU)，則解密引擎121、解碼器122或兩者可實施為在MCU上運行之軟體。然而，應理解，此等單元亦可實施成硬體，或實施成一混合軟體/硬體解決方案。

在某些實施例中，顯示器件120可包含額外組件及功能性。舉例而言，在某些實施例中，可將來自解碼器122之資料信號轉發至一視訊後處理單元(未展示)，其目的係在將該信號傳輸至一螢幕123以用於顯示之前根據螢幕123之特定實施方案之需求改良整個視訊品質及/或調適該信號。

如圖1上所示，系統可進一步包括一本端器件110，本端器件110可係(舉例而言)一桌上型電腦、膝上型電腦、機上盒等。本端器件110可包括一使用者介面114、一作業系統111及在作業系統111下運行之一或多個應用程式112(但應理解，可存在任何數目個應用程式或根本不存在)。在隨後之論述中，本端器件110之某些功能性或能力可闡述為藉由作業系統111或一應用程式112執行或涵蓋於作業系統111內或一應用程式112內。應理解，此等例示性實施例並不意欲限制本發明之範疇。本端器件之任何功能性或能力可藉由作業系統111、(若干)應用程式112及/或專門硬體之任何組合執行或體現於其中。

媒體內容可儲存於一媒體散佈出口100(諸如一網際網路商店、一電視廣播設施、一無線電廣播設施、一有線電視頭端等)之資料儲存器101內。熟習此項技術者將理解，此一媒體散佈出口100可(舉例而言)使用連接至一通信網路105(例如，網際網路)之一伺服器群組來實施。在某些實施例中，媒體散佈出口100可進一步包括一加密引擎 102，該加密引擎能夠a)產生對稱密鑰、b)執行對稱加密及/或c)執行不對稱加密。媒體加密引擎(單獨地或結合其他電腦、伺服器及/或組件(未展示)構成媒體散佈出口100)亦可能夠創建完全或部分經加密媒體內容容器，如本文中稍後闡述。如同顯示器件120之解密引擎121，媒體散佈出口100之加密引擎102可支援任何數目個密碼編譯演算法，諸如RSA-2048及AES-256。媒體散佈出口100可進一步包括一資料庫103，該資料庫103能夠儲存顯示器件120之唯一ID及公用密鑰(若資料庫103係關聯式，則此可表示(以實例之方式)為(TV ID、TV公用密鑰)列)以及所產生對稱密鑰及關於一使用者已購買之媒體內容資訊。

媒體散佈出口100、本端器件110及顯示器件120中之每一者可分別進一步包括一或多個通信埠106、116及128，藉助該等通信埠，此等器件中之每一者可傳輸及/或接收媒體內容、識別資訊及其他資訊。一或多個通信埠106、116及128可包括適於使用有線(例如，串行、並行、乙太網路及/或USB)及/或無線(例如，藍芽、近場通信、紅外線、各種類別之IEEE 802.11、GSM、CDMA)技術及/或自訂連接器/協定之任何組合在一區域(諸如LAN、WAN或MAN)、網際網路、蜂巢式、資料、行動或其他適當網路中建立及維持雙向通信之硬體及/或軟體之任何組合。然而，應理解，此等參考僅系例示性，且本發明並不限於任何特定形式之通信技術。

為增強貫穿整個程序之安全性，顯示器件120自身較佳地應不具有發行任何形式之未經加密內容之能力(除在螢幕123上展示內容之外)。舉例而言，允許一電視機具有來自一經加密串流之未經加密HDMI輸出可減弱本文中所提供之系統及方法之安全性。然而，應認識到，在某些實施方案中，出於商業考量而非技術或安全性考量可將此一未經加密輸出包含在顯示器件120中而不背離本發明之範疇。

圖2展示一顯示器件120之一例示性製造程序。在步驟210處，可製造一顯示器件120且可將唯一ID 126(例如，一序號)指派至器件120且儲存於其內。在步驟220處，可使用(舉例而言)RNG 124產生一公用/私用密鑰對且將其指派至器件120。可將私用密鑰127儲存於器件120上之非揮發性記憶體125內，以使得該私用密鑰不可自器件120提取或以其他方式破解(舉例而言，記憶體125可係防竄改式及/或提供竄改偵測聯同在偵測到任何試圖竄改時之密鑰抹除)。另一方面，公用密鑰可係自顯示器件120擷取或藉由顯示器件120外部傳輸。在其他實施例中，公用/私用密鑰對可係外部產生，且可將私用密鑰127傳送至顯示器件120中。如論密鑰對是如何產生，為增強安全性，顯示器件120應不能夠傳輸或以其他方式洩漏私用密鑰127。

在步驟230處，可將器件之唯一ID 126及公用密鑰提供至媒體散佈出口100以供用於將來使用。舉例而言，顯示器件120之製造商可將其製造之器件之唯一ID及公用密鑰資訊週期性地發送至媒體散佈出口100。可期望限制對製造設施之存取，以便確保僅將「良好」公用密鑰(亦即，來自實際製造顯示器件之密鑰，而非只是惡意產生之偽密鑰組)遞送至媒體散佈出口100。

在一項實施例中，器件ID及公用密鑰可儲存於一媒體散佈出口100之資料庫103中以供將來使用。然而，應理解，可存在能夠與顯示器件120互動之眾多散佈出口。因此，顯示器件120製造商可將此資訊發送至全部或一子組已知出口100，或舉例而言發送至可由全部或一子組已知散佈出口100存取之一集中式資料庫。在另一實施例中，加密引擎102及/或資料庫103可與媒體散佈出口100及其儲存於媒體內容儲存器101中之相關聯媒體內容實體上及/或邏輯上分離。舉例而言，一集中式實體可擁有器件ID及公用密鑰，以使得個別媒體散佈出口100可聯繫此實體以獲得對器件ID及公用密鑰之存取。以此方式，媒體內容銷售者/散佈者本身將不需要擁有該資訊(及在製造新的器件時對其進行更新)，但可簡單地存取該集中式實體。在某些實施例中，此實例亦可負責執行某些或所有必要加密且然後可將經加密資料傳遞回至媒體散佈出口100以供用於進一步使用及傳輸。

圖3展示一使用者可藉以使用一本端器件110獲取對媒體內容之權利之一例示性方法。在步驟310處，一使用者可經由使用者介面114請求購買或租賃媒體內容。(此請求可係顯式，或可隱式地自下載或播放媒體內容之一使用者請求產生。)請求可產生於作業系統111或一應用程式112中，且可包含一唯一使用者ID及一內容ID。在某些實施例中，使用者ID可指代一特定個體；在其他實施例中，使用者ID可簡單地指代發送請求之本端器件110。內容ID可用於指代使用者已選擇購買或租賃之媒體內容。

在步驟320處，作業系統111可經由通信埠116將請求發送至媒體散佈出口100。在某些實施例中，與媒體散佈出口100之所有通信可需要一經加密通道之使用遵循使用者鑑別(舉例而言，藉由使用一使用者ID/密碼組合)。

媒體散佈出口100可在步驟330處檢閱該請求且判定該使用者係出口100之一註冊使用者且該使用者經授權以檢視該內容。舉例而言，出口100可驗證該使用者已對該內容進行支付(例如，藉由使用一信用卡或藉由使用使用者帳戶上之一現有餘額)，或該使用者以其他方式經授權以檢視該內容(例如，藉由呈現一促銷碼或出於某種其他原因)。該出口100亦可驗證該使用者具有檢視該內容之適當權限，例如，父母控制權限。應理解，在其中僅本端器件110由使用者ID識別(與實際使用者相反)之實施例中，出口100將僅能夠驗證與本端器件110而非特定使用者相關之支付、權限及其他資訊。因此，在其中識別特定使用者係重要的之實施例中(例如，在一父母控制應用中)，可期望鑑別個體而非僅器件。

在步驟340處，媒體散佈出口100之加密引擎102可產生可儲存於資料庫103中且與此使用者及此媒體內容相關聯之一或多個密碼編譯安全的對稱密鑰。舉例而言，若資料庫103係一關聯式資料庫，則此資訊可儲存為(使用者ID、內容ID、對稱密鑰)列。

在步驟350處，可准許媒體散佈出口100經由其通信埠106將媒體內容發行給使用者，只要該內容已藉由可在資料庫103中找到為與此使用者及此內容相關聯之(若干)對稱密鑰來加密。舉例而言，使用者可被允許將經加密媒體內容下載至其本端器件110。若已使用多個對稱密鑰來將該內容加密，則所有彼等對稱密鑰(且在必要之情形下，描述哪些密鑰應用於內容之哪一部分的任何資訊)可儲存於資料庫103中。請注意，針對每一使用者/內容組合產生一新的密鑰並非該系統之一要求。然而，密鑰重新用於不同使用者及/或由同一使用者請求之不同內容可減小整體系統安全性(舉例而言，藉由打開差分密碼分析之額外可能性)。因此，可能宜針對每一使用者/內容組合產生一新的唯一密鑰。

為將所發行之媒體內容解密，例如，如根據步驟350，使用者必須能夠獲取用於將該內容加密之(若干)對稱密鑰。根據本發明之一種方法，藉由要求使用者使其所購買之內容與一特定顯示器件120相關聯來解決此問題。一旦該內容與一特定顯示器件120相關聯，則可使用本文中所闡述之例示性方法，將對稱密鑰安全地傳送至彼顯示器件120。

圖4展示使所購買之內容與一特定顯示器件120相關聯之一種此方法。在步驟410處，使用者可與其本端器件110互動(經由使用者介面114)，以請求所購買之內容與一特定顯示器件120的關聯。(此內容可已經下載至本端器件110，可在下載至本端器件110之程序中，或可需要下載至本端器件110。)本端器件110可已在其記憶體中擁有將與所購買內容相關聯之顯示器件120的唯一ID126，或其可經由其通信埠116與顯示器件120通信以便接收顯示器件的唯一ID 126。在步驟420處，作業系統111可將一關聯請求(包括顯示器件120之唯一ID 126、內容ID及使用者ID)發送至媒體散佈出口100。

在步驟430處，媒體散佈出口100可接收關聯請求(例如在步驟420處所產生)且可檢查a)使用者經授權以檢視所請求內容(藉由(舉例而言)偵測資料庫103內存在用於彼特定使用者ID/內容ID組合之一對稱密鑰)，b)針對此使用者ID/內容ID尚未超過相關聯顯示器件120之允許數目，及/或c)顯示器件120已在資料庫103中註冊(且因此具有一相關聯公用密鑰)。在執行檢查之後，媒體散佈出口100可在資料庫103中添加一新的記錄以指示顯示器件120已與此使用者及內容相關聯。

在步驟440處，媒體散佈出口100可針對特定使用者/內容組合自資料庫103取得對稱密鑰；在步驟450處，其可取得顯示器件120之公用密鑰；且在步驟455處，其可創建一「關聯加密信封」。在一項實施例中，此關聯加密信封可僅含有於步驟440中找到之對稱密鑰，但在其他實施例及實施方案中，其可另外含有其他資訊。在步驟460處，加密引擎102可用顯示器件120之公用密鑰將該關聯加密信封加密，且在步驟470處可將該關聯加密信封發送回至本端器件110之作業系統111。

當然，應理解，在某些實施例中，購買及關聯之程序可由使用者之一單個動作起始(舉例而言，一「購買並播放」動作或等效形式)。在此情形下，作業系統111可自動起始獲取內容之權利(例如，圖3)及關聯(例如，圖4)之程序，一個緊接在另一個之後，毋須使用者介入。在某些情形下，甚至可將此等請求組合在一起以避免不必要的往返時間。

圖5展示用於在已與一使用者及由該使用者獲取(例如，根據關於圖3所闡述之獲取程序)之內容相關聯(例如，根據關於圖4所闡述之關聯程序)之一顯示器件120上播放該內容之一例示性程序。因此，假定出於闡述圖5之目的，在播放之前，顯示裝置120已經接收使用對應於私用密鑰127之公用密鑰加密之一關聯加密信封，且此關聯加密信封含有可用於將所獲取內容解密之一對稱密鑰。

在步驟510處，作業系統111可將所接收關聯加密信封(仍藉由顯示器件120之公用密鑰加密)發送至顯示器件120。在步驟520處，顯示器件120之解密引擎121可使用器件之私用密鑰127來將關聯加密信封解密，且然後在步驟525處可自該經解密關聯加密信封提取未經加密對稱密鑰。

在步驟530處，作業系統111可開始將所購買內容(此內容仍呈一經加密形式，使用使用者/內容特定對稱密鑰加密)之至少一部分傳輸至顯示器件120。在顯示器件120接收經加密內容時，其解密引擎121可使用在步驟520處獲得之使用者/內容對稱密鑰將該內容解密。然後，經解密內容可由解碼器122解碼且在螢幕123上展示。在步驟545處，若仍存在剩餘媒體內容(例如，整個電影尚未傳輸至器件120)，則該方法可返回至步驟530以繼續傳輸、解密及顯示內容。若否，則該方法可停止。

前述論述已側重於用於在一或多個媒體散佈出口100、一或多個本端器件110及一或多個顯示器件120當中安全傳輸媒體內容之系統及方法，其中安全解決方案主要經設計以阻止基於軟體之攻擊。雖然實施基於軟體之攻擊對一普通電腦使用者而言通常足夠簡單，但電子硬體(例如，內部連接)之固有複雜性使其較不易受攻擊。然而，在無保護顯示器件120(其負責執行最終解密及解碼媒體內容(例如，在步驟530處))內之資料之額外努力之情況下，仍存在惡意存取媒體內容之機會。

舉例而言，對電子具有良好理解之某人可在將解密引擎121之輸出(即，經解密媒體內容)傳輸至解碼器122時使用一探針來攔截該解密引擎121之輸出(即，經解密媒體內容)。類似地，一惡意使用者可在將經解碼媒體內容傳輸至螢幕123以用於顯示時使用一探針來攔截解碼器122之輸出。

因此，根據本發明之某些實施例進一步經設計以排除各種類型之基於硬體之攻擊。在此一實施例中，顯示器件120之各種組件可實施成一或多個「單體式區塊」。每一單體式區塊(無論其內部結構或功能性如何)可經創建以使得難以拆卸、反向工程及探查內部信號。

舉例而言，每一單體式區塊可使用一或多種現有或未來研發防竄改技術。用於保護密碼編譯處理器之數種防竄改方法已習知且已在此項技術中加以闡述；參見[1]。在本系統中，舉例而言，可期望將每一單體式區塊製作於一單晶片內。每一單體式區塊亦可使用一或多中現有或未來研發之竄改偵測技術；舉例而言，每一區塊可具有一安全外殼，且經組態以若其偵測到對彼安全外殼之穿透則執行一或多個可能回應。此等回應可自抹除單體式區塊內之任何所儲存加密密鑰至實體破壞所有或部分單體式區塊而不等。

此等實施例亦可經設計以排除將含有像素內容(即，任何類型之影像或視訊資料)之任何信號自此等單體式區塊傳輸出，除非彼等信號係1)類比信號(應理解，類比轉數位轉換係相當難以即時執行，且顯著品質損失可能與此轉換相關聯)或2)經加密信號。在某些實施例中，不含有像素內容之信號(諸如音訊信號)可未經加密且無任何限制。在其他實施例中，亦可期望使本文中所闡述技術將音訊信號加密。

在一顯示器件120之一項例示性實施例中，如圖6上所示，一單個單體式區塊600可耦合至通信埠128且可包括解密引擎121、解碼器 122、RNG 124、記憶體125(包括顯示器件之唯一ID 126及私用密鑰127)及一螢幕控制器210。一螢幕控制器210可係適於接收一經解碼媒體檔案且處理器以用於在該器件之螢幕123上播放之任何形式之硬體或軟體，包含但不限於一「灰階產生器」。取決於特定實施方案，螢幕控制器210可又含有一或多個數位轉類比轉換器(DAC)211。如上文更詳細所闡述，此區塊600可併入有防竄改及/或竄改偵測技術以增強器件120之整體安全性。

媒體內容(經加密或未經加密)可由通信埠128接收且傳送至此單體式區塊600以解密(若需要)、解碼及任何其他必需處理。

數個額外、選用組件亦可包含於一顯示器件120中。舉例而言，在液晶顯示器(LCD)電視實施例中，諸如一調諧器、一電源供應單元(PSU)、一微控制器單元(MCU)及一視訊處理單元(VPU)或其某一組合可包含於顯示器件120內。只要此等選用組件不意欲與自媒體散佈出口100安全傳輸之媒體內容一起工作，即通常較佳地將此等組件放置在單體式區塊600外部。舉例而言，如圖6上所示，一PSU可放置在單體式區塊600外部；在諸多情形中，MCU、PCU或其兩者亦可放置在單體式區塊600之外部。

使用如本文中所闡述之一單體式區塊600可提供抵抗硬體引導攻擊之極佳安全性。然而，取決於區塊600實體安全之程度，可需要在一單個組件故障之情況中替換整個單元。舉例而言，若不可能，則將難以自一單體式區塊600移除防竄改保護以便替換該等組件中之一者。因此，在某些實施例中，可期望經由兩個或兩個以上單體式區塊將該等組件中之某些組件分離以便允許其容易替換。

因此，在根據本發明之另一例示性實施例中，如圖7上所示，一顯示器件120可包括通信埠128、螢幕123及兩個單體式區塊201及202。一第一單體式「主」區塊201可耦合至通信埠128且可包括解密引擎121、解碼器122、RNG 124及記憶體125(包括顯示器件之唯一ID 126及私用密鑰127)。媒體內容(無論經加密或未經加密)可由通信埠128接收且傳送至此主區塊201以用於解密(若需要)及解碼。一第二單體式「螢幕控制器」區塊202可部分地包括螢幕控制器硬體210及一記憶體222。

應理解，在包括一或多個單體式區塊之實施例(諸如圖7上所示之實施例)中，區塊之間可需要一通信通道。舉例而言，如圖7上所示，連接209可連結區塊201及202，以使得可將經解碼數位媒體內容(即，解碼器122之輸出)輸送至螢幕控制器211以轉換成適於在螢幕123上顯示之一類比信號。此連接209可係單向的，即，僅准許資料自主區塊201傳輸至螢幕控制器區塊202，或雙向的，即，允許資料既傳輸至螢幕控制器區塊202且自螢幕控制器區塊202傳輸至主區塊201。此連接209可係電子組件組件之任何適當形式之有線或無線連接，諸如例如，低電壓差動(LVD)或一電腦匯流排(諸如PCIe)連接。應理解，區塊201、202可另外包括實施此通信通道所需之任何傳輸器及/或接收器(未展示)。

連接209可能提供潛在攻擊及/或安全性缺口之一機會。舉例而言，不可能安全地保護連接209免於由一惡意使用者進行之探查及/或竊聽。因此，在某些實施例中，為減少對此連接209之攻擊之可能性，可將跨越此連接209傳輸之資料之全部或一部分加密。在此等實施例中，單體區塊201及202中之每一者可進一步包含加密及/或解密能力。舉例而言，如在圖7上所示，主區塊201可進一步包括一加密程式220，且螢幕控制器區塊202可對應地包括一解密程式221。一適合加密程式220可採取經組態以實施數位媒體內容及其他相關資訊之加密之任何形式之硬體、軟體或其之一組合，且彼資料可使用任何適合形式之密碼編譯演算法(例如，對稱及/或不對稱)來加密。解密程式 221可類似地係適於將由加密程式220加密之訊息解密之任何形式之硬體、軟體或其組合。在准許主區塊201與螢幕控制器區塊202之間的雙向通信之實施例中，加密程式220及解密程式221兩者可支援加密及解密兩者。

在根據本發明之一項例示性實施例中，經由連接209傳輸之資料可使用AES-128對稱演算法(或其他適當類型之對稱加密)來加密。在此實施例中，加密程式220及解密程式221可進一步實施RSA-1024不對稱加密演算法(或其他適當類型之不對稱)，此可用於(舉例而言)安全傳送一AES-128對稱密鑰。特定而言，在某些此等實施例中，主區塊201可產生一AES-128對稱密鑰(諸如例如，藉由使用RNG 124)且使用螢幕控制器區塊202之公用密鑰將此對稱密鑰加密。下文中進一步詳細論述主區塊201可接收螢幕控制器區塊202之此一公用密鑰之各種方法。然後，經加密對稱密鑰可藉由主區塊201經由連接209傳輸至螢幕控制器區塊202，其中解密程式221可使用其私用密鑰來將所接收對稱密鑰解密。加密程式220及解密程式221可然後繼續進行使用此對稱密鑰來將跨越通道209傳輸之任何資料加密。在某些實施例中，可期望主區塊201週期性地重新協商此對稱密鑰以進一步改良通道209之安全性。舉例而言，可期望每分鐘或每五分鐘或每半小時產生且交換一新對稱密鑰。

在其他實施例中，可期望使用螢幕控制器區塊202之公用密鑰來將跨越連接209之所有資料加密，而非協商一或多個對稱密鑰。然而，應理解，此可由於不對稱演算法之大量計算負荷而導致(舉例而言)效能問題。

在此安全連接209之某些實施方案中，可期望同步化及/或重新同步化由加密程式220及解密程式221所使用之一或多個初始化向量。此重新同步可在其中通信通道209係單向且無回饋或錯誤可自螢幕控制器區塊202報告回至主區塊201之情形中尤其重要。可達成同步化之一種可能方法係使加密程式220(i)將含有適於所使用對稱加密演算法之一初始化向量之一同步化命令發佈至解密程式221，及(ii)同時使用相同初始化向量初始化其自身。舉例而言，若加密程式220及解密程式221經組態以實施AES-128加密文，則加密程式220可將初始化命令連同一128位元初始化向量發送至解密程式221。該初始化向量可由RNG 124或任何其他適合機制創建。

應理解，同步化加密程式220及解密程式221之其他方式係可能的，包含將一同步化命令發佈至解密程式221，該命令不含有新初始化向量。在此實施例中，一預定義初始化向量可儲存於螢幕控制器區塊202內，諸如在記憶體222內。另一選擇係，一預定義初始化向量可經硬式編碼至區塊202中，連同對應於私用密鑰224之公用密鑰儲存於資料庫103中，且在「關聯加密信封」內發送至主區塊201；以此方式主區塊201及螢幕控制器區塊202兩者將具有相同初始化向量。

無論其特定實施方案如何，可在鑒於整體系統性質及約束認為必需之各種時間處將同步化命令發送至解密程式221。舉例而言，每當顯示器件120被通電，可發送同步化命令。在某些實施例中，可進一步期望以規則間隔(諸如例如，每秒)使加密程式220及解密程式221重新同步化(舉例而言，以計及單向資料串流中之可能錯誤)。

應理解，在使用兩個或兩個以上單體式區塊(諸如圖7上所示之實例)及一通信通道之實施例中，對每一主區塊201重要的將是得以存取將意欲用於螢幕控制器區塊202之通信加密所需之任何密鑰。舉例而言，在使用不對稱加密來協商一對稱密鑰之實施例中，主區塊201將需要用於獲取對應於螢幕控制器區塊202之私用密鑰224之公用密鑰之某些機制。

在某些實施例中，可在製造顯示器件120之組件時散佈此公用密鑰。類似於關於圖2所闡述之製造程序之一製造程序可用於確保將每一區塊之公用密鑰傳輸至媒體散佈出口100且儲存於資料庫103內。因此，由於將此程序應用於主區塊201，因此可將器件ID 126及對應於私用密鑰127之公用密鑰兩者儲存於資料庫103內。類似地，由於將此程序應用於螢幕控制器區塊202，因此可將區塊ID 223及對應於私用密鑰224之公用密鑰儲存於資料庫103內。當裝配顯示器件120時，可將螢幕控制器區塊202之區塊ID 223之一複本儲存於對應主區塊201之記憶體125中，且然後可用於關聯請求中，例如，如關於圖3所闡述。此可在具有一單向通信通道209且螢幕控制器區塊202之區塊ID 223原本將不可用於主區塊201之實施例中尤其有用。在其中通道209係雙向之其他實施例中，主區塊201可能夠在請求時獲得螢幕控制器區塊之區塊ID 223。

圖8展示使所購買內容與具有一或多個單體式區塊之一特定顯示器件120相關聯之一例示性方法。此程序類似於上文關於圖4所闡述之程序，其中添加將螢幕控制器區塊之公用密鑰(其對應於私用密鑰224)提供於關聯加密信封內。如圖8上所示，在步驟810處，使用者可與其本端器件110互動以請求使所購買內容與一特定顯示器件120相關聯。在步驟820處，本端器件120之作業系統111可將包括顯示器件120之唯一ID 126、內容ID及使用者ID之一關聯請求發送至媒體散佈出口100。

在步驟830處，媒體散佈出口100可接收關聯請求(例如，在步驟820處所產生)且可驗證使用者具有使所選擇內容與特定顯示器件120相關聯之適當權限。在執行檢査之後，媒體散佈出口100可將一新記錄添加於資料庫103中以指示主區塊201及螢幕控制器區塊202兩者已與此使用者及內容相關聯。

在步驟840至860處，媒體散佈出口100可定位資料庫103內之若干項。在步驟840處，媒體散佈出口100可針對特定使用者/內容組合定位來自資料庫103之對稱密鑰。在步驟850處，媒體散佈出口100可使用區塊ID 223來在資料庫103內定位與適當螢幕控制器區塊202相關聯之公用密鑰(對應於私用密鑰224)。在步驟860處，媒體散佈出口100可使用器件ID 126來在資料庫103內定位主區塊201之公用密鑰(其對應於私用密鑰127)。然後，在步驟870處，媒體散佈出口100可創建一關聯加密信封，該關聯加密信封包括於步驟840中找到之對稱密鑰及於步驟850處找到之螢幕控制器區塊之公用密鑰兩者以及任何其他期望之資訊。

在步驟880處，加密引擎102可用主區塊201之公用密鑰(在步驟860處找到)將關聯加密信封加密，且在步驟890處可將該關聯加密信封發送回至本端器件110之作業系統111，該作業系統將把該關聯加密信封轉發至顯示器件120之主區塊201。主區塊201限制具有播放媒體內容可所需之所有加密密鑰。

圖9圖解說明在彼器件120上可如何播放與具有兩個或兩個以上單體式區塊之一顯示器件120相關聯(例如，如根據關於圖8所闡述之程序相關聯)之媒體內容。此程序詳述先前關於圖5所闡述之程序。

在步驟910處，作業系統111可將一所接收之關聯加密信封(仍由主區塊201之公用密鑰加密)發送至顯示器件120。在步驟920處，顯示器件120之解密引擎121可使用器件之私用密鑰127將關聯加密信封解密，且在步驟925處，可自經解密之關聯加密信封提取對稱密鑰(用於將媒體內容加密)及公用密鑰(與螢幕控制器區塊202相關聯)兩者。

在步驟930處，作業系統111可將某些或全部所購買媒體內容傳輸至顯示器件120，其中所購買媒體內容由通信埠128接收且被提供(仍經加密)至主區塊201。在主區塊201接收經加密內容時，於步驟940處，解密引擎121可使用在步驟920及在步驟950處獲得之使用者/內容對稱密鑰來將內容解密，解碼器122可將內容解碼。

根據本發明之一額外選用特徵係在步驟950處執行之媒體內容的解碼之後或在程序中提供一(宜不可見)數位浮水印。舉例而言，在解碼器122執行任何反離散餘弦變換(反DCT)或解碼經壓縮視訊內容所需之類似變換(舉例而言，H.264中之空間區塊變換)時，可添加此一浮水印。此數位浮水印可用於識別已將媒體內容解碼之特定主區塊201。在一項實施例中，此可藉由在產生浮水印之程序期間使用器件ID 126來達成。在另一實施例中，媒體散佈出口100可將基於可接著在浮水印產生之程序期間使用之器件ID 126之一值添加至關聯加密信封。此浮水印可(舉例而言)藉由解碼器122來創建及添加。

在步驟960處，加密程式220可將經解碼媒體內容加密以用於經由通道209安全傳輸至螢幕控制器區塊202。在某些實施例中，如上文更詳細所闡述，加密程式220可使用關聯加密信封中所接收之螢幕控制器區塊202的公用密鑰來將經解碼媒體內容加密。在其他實施例中，亦如上文更詳細所闡述，加密程式220及解密程式221可首先協商可用於將媒體內容加密之一或多個對稱密鑰。然後，在步驟970處，可將此經加密(但經解碼)媒體內容經由連接209傳輸至螢幕控制器區塊202。

此可乃因，在某些實施例中，在主區塊201與螢幕控制器區塊202之間存在額外模組。舉例而言，在某些實施例中，可存在各種螢幕控制器區塊202及/或在主區塊201與此等各種螢幕控制器區塊202之間的一多工器。然而，應理解，在此等中間模組處可不需要任何額外加密，此乃因已離開主區塊201之資訊將已經加密。

在步驟980處，解密程式221可使用適當密鑰(例如，一私用密鑰224或基於私用密鑰224所協商之一對稱密鑰)來將媒體內容解密，其中私用密鑰224可已儲存於記憶體222內。此時，可藉由螢幕控制器 210來處理該經解密、經解碼媒體內容(例如，轉換成一類比信號)且將其提供至螢幕123以用於顯示。在步驟990處，若媒體內容尚未結束，則方法可返回至步驟930且繼續處理媒體內容之額外部分。

視情況，如先前關於主區塊201所闡述，在將媒體內容提供至螢幕123以用於顯示之前，螢幕控制器區塊202可將此特定螢幕控制器區塊202所特有之一浮水印添加至該經解密、經解碼媒體內容。此一浮水印可含有區塊ID 223,、自區塊ID 223導出之一值或提供於關聯加密信封中之某一其他值。

有時，可期望替換一顯示器件120內之一或多個單體式區塊。舉例而言，一區塊內之一或多個組件可故障，需要修復器件120。圖10展示可改變一顯示器件120內之區塊之一例示性程序。

如圖10上所示，在步驟1000處，可將欲替換之區塊自顯示器件120移除。舉例而言，可將一故障螢幕控制器區塊202自主區塊201斷開連接且自器件120移除。

在步驟1010處，可提供一替換螢幕控制器區塊以插入至顯示器件120中。在此步驟1010期間，可產生一不對稱密鑰對且將其儲存於替換螢幕控制器區塊內，然後將該替換螢幕控制器區塊之公用密鑰(連通區塊ID 223)傳輸至資料庫103。

在步驟1020處，可重新裝配顯示器件120。舉例而言，此步驟1020可包含將主區塊201實體連接至替換螢幕控制器區塊202。

在步驟1030處，可將區塊ID 223之一複本儲存於對應主區塊201之記憶體125中，且然後可用於關聯請求中，例如，如關於圖3所闡述。如先前所述，此可在具有一單向通信通道209且螢幕控制器區塊202之區塊ID 223原本將不可用於主區塊201之實施例中尤其有用。在其中通道209係雙向之其他實施例中，主區塊201可能夠雜在請求時獲得螢幕控制器區塊之區塊ID 223。

在一項實施例中，此新資訊可替換針對舊螢幕控制器區塊儲存於資料庫103中之任何資訊。在此一方法中，在替換後由使用者所請求之任何關聯請求(例如，如關於圖8所闡述)可使新公用密鑰(對應於私用密鑰224)與媒體內容相關聯。另外，針對舊螢幕控制器區塊發佈之關聯請求(而非經加密媒體內容自身)可變的「無效」，且可需要用新公用密鑰重新發佈。此可自動執行，或可每當使用者請求播放特定媒體內容時應需執行。

儘管關於圖10之前述闡述已闡述一螢幕控制器區塊202之替換，但應理解本發明並不限於此且可以一類似方式替換任何類型之單體式區塊。舉例而言，可使用一類似方法替換一主區塊201，從而替代器件ID 126及對應於私用密鑰127之公用密鑰。

圖11展示關於其中處理媒體內容中之某些媒體內容之系統(及相關組件)自顯示器件轉移至本端器件之根據本發明之另一實施例。如圖11上所繪示，一本端器件301可不僅包括一作業系統111(及可能一或多個應用程式112)、一使用者介面114及一通信埠116，而且其可進一步包括一「主區塊」302、一螢幕控制器1103及一螢幕1104。舉例而言，此一本端器件301可係一膝上型電腦、桌上型電腦、智慧手機、個人數位助理、平板電腦、藍光播放器、DVD播放器、個人音樂播放器等。在此一實施例中，經加密媒體內容可在本端器件301上被接收，在安全主區塊302內經解密及經解碼，且在螢幕1104上播放。

若期望在(舉例而言)一較大螢幕上播放內容，則可使用一較簡單顯示器件310(如與先前本文中所論述之顯示器件120相比)，如圖11上所示。根據此實施例，一顯示器件310可僅需要一通信埠128及一螢幕控制器區塊311。如上文更詳細所闡述，螢幕控制器區塊311可僅包括一解密程式221、一螢幕控制器211及一記憶體222。然而，此較簡單顯示器件310可不需要潛在資源密集解密引擎121及解碼器122。舉例而言，此一顯示器件310可係一「簡單」電視。

為在此一顯示器件310上播放內容，媒體內容可藉由加密程式220(在主區塊302內)加密且經由通信埠116跨越一通信鏈路303傳輸。該經加密內容可由顯示器件310之通信埠128接收且提供至解密程式221以用於解密及隨後處理。

如圖11上所展示，主區塊302已基本上移動至本端器件301中。在此一情形中，如圖11上所示且如同本文中已闡述之實施例中之諸多者，器件ID 126可儲存於本端器件301之主區塊302之記憶體125內，且區塊ID 223可指代顯示器件310之螢幕控制器板311。由於本端器件301可與若干個不同顯示器件310一起操作，因此在某些實施例中，可期望不將區塊ID 223之一複本儲存於本端器件301之記憶體125內，而是將此區塊ID 223之一複本經由連接303自每一螢幕控制器區塊311發送至主區塊302。舉例而言，可每當建立一關聯時發送區塊ID 223。無論特定實施方案如何，器件ID 126與區塊ID 223之值可提供至媒體散佈出口100，如上文更詳細闡述。

應理解，由於離開加密程式220之媒體內容係經加密，因此連接本端器件301及顯示器件310之通信通道303可能在不危及整體系統之安全性之情況下係不安全的。因此，舉例而言，不安全作業系統111可控制此通信鏈路，允許主區塊302利用任何通信設施且其他服務可用於作業系統111內。僅以實例之方式，在此實施例中，作業系統111可用於建立與「簡單」電視310之一Wi-Fi連接。

應注意，雖然先前論述側重於使用兩個單體式區塊之實施方案，但本文中所揭示之系統、方法及裝置可支援任何數目個區塊，及惟最後一個區塊(即，該區塊負責將數位媒體內容轉換成用於在螢幕123上顯示之一類別信號)除外之所有區塊中之解密及重新加密，且其中用於所有區塊之密鑰(惟第一區塊之密鑰除外)包含於關聯加密信封中一在本發明之框架內基本上形成區塊之一「鏈結」效應。

舉例而言，圖12展示具有三個區塊之一例示性實施例之一邏輯圖。在此一實施例中，每一區塊(1201、1202及1203)可擁有表示為(D、E)之一不對稱密鑰對，其中D表示私用(或「解密」)密鑰且E表示公用(或「加密」)密鑰。由媒體散佈出口100提供之一第一關聯加密信封1204可包含與媒體內容相關聯(例如，在步驟340處)之對稱密鑰及E₂以及E₃(區塊#2及#3之公用密鑰)。此關聯加密信封1204可用E₁(區塊#1之公用密鑰)經加密。

然後，區塊#1(1201)可創建一第二關聯加密信封1205，該第二關聯加密信封1205含有E₃(區塊#3之公用密鑰)及可用於將區塊#1(1201)與區塊#2(1202)之間的連接加密之一對稱密鑰。本文中先前所闡述之兩個區塊可協商此對稱密鑰。可用E₂(區塊#2之公用密鑰)將此第二關聯加密信封1205加密且將其傳輸至區塊#2(1201)。區塊#2(1202)可繼而與區塊#3(1203)協商一對稱密鑰，且用E₃(區塊#3之公用密鑰)將此對稱密鑰加密。區塊#3(該鏈之末端)可使用所接收對稱密鑰來以類似於先前所闡述之方式將內容解密。

應理解，不同加密演算法可用於「鏈」之不同「鏈路」(若期望)。舉例而言，可期望將比用於內部連接(例如，自主區塊201至螢幕控制器板202)多之安全演算法用於器件之間的外部連接(例如，自本端器件301至顯示器件120)。

注意到，本文中所闡述之系統及方法中之對稱及不對稱加密之特定使用僅係一項可能的實施例。取決於各種裝置之整體系統約束及能力，可用對稱加密替換不對稱加密，且反之亦然。舉例而言，顯示器件120可具有其特有之秘密對稱密鑰，而非一公用/私用密鑰對。在此情形中，媒體散佈出口100之資料庫103將需要儲存顯示器件120之秘密對稱密鑰。雖然此一實施例在本發明之範疇內，但應注意確保，儲存於資料庫103中之顯示器件密鑰在將其傳輸至資料庫103時或儲存於資料庫103中時不被破解。類似地，應理解，術語「公用密鑰」已全文使用以指代欲與螢幕控制器區塊202一起使用之加密密鑰，此密鑰可用於如由整體系統約束指定之對稱或非對稱加密。在此公用密鑰實際上係一對稱密鑰之情況中，應注意確保保護此密鑰。欲用於實施根據本發明之一系統之對稱密鑰或公用/私用密鑰密碼編譯之哪一特定組合係由諸如以下問題支配之一實施方案選擇問題：可用於執行加密/解密之處理能力及實現加密/解密之速度之重要性。

亦應注意，無論何時在本說明內提及用一不對稱密鑰(即，一公用或私用)密鑰將某內容之加密，其可實施為用該不對稱密鑰之直接加密，或另一選擇係，藉由產生一暫時密碼編譯安全的對稱密鑰，用此暫時對稱密鑰將內容加密，及用一不對稱密鑰將該暫時對稱密鑰加密。然後，經加密內容將包含用該暫時對稱密鑰加密之內容以及用該不對稱密鑰加密之該暫時對稱密鑰兩者。當(舉例而言)由於有限的系統資源而可能不期望使用不對稱加密來將大量資料加密(應理解，不對稱加密通常比對稱加密慢且更加資源密集)時，此係出於最佳化目的所使用之密碼編譯中之一標準技術。

應理解，儘管先前論述中之大部分已側重於視訊內容之安全傳輸，但諸如例如音訊內容之其他類型之內容可以一類似方式加以安全化及傳輸。舉例而言，主區塊201可能夠將音訊內容解碼，且類似於螢幕控制器區塊202之一音訊控制器區塊可經組態以將一音訊信號自一數位格式轉換成一類比格式。此音訊控制器區塊可耦合至一或多個揚聲器。此一實施例可用於防止惡意使用者複製呈其數位形式之音訊內容。

進一步應理解，儘管本論述已側重於與一單個媒體散佈出口100之通信，但根據本發明之器件可與多個不同出口互動。為加速對使用者請求之處理，作業系統111可記住其已自哪一媒體散佈出口購買某些內容，且將對彼內容之關聯請求引導至適當出口100。

雖然已圖解說明及闡釋本發明之特定實施例及應用，但應理解本發明並不限於本文中所揭示之精確組態及組件。僅以說明之方式闡明本文中所使用之術語、說明及圖且其並不意欲作為限制。可在不背離本發明之精神及範疇之情形下對本文中所揭示之本發明之裝置、方法及系統之配置、操作及細節作出對於熟習此項技術者將顯而易見的各種修改、改變及變化。以非限制性實例之方式，應理解，本文中所包含之方塊圖意欲展示每一裝置及系統之組件之一選定子組，且每一所圖示之裝置及系統可包括圖式上未展示之其他組件。另外，熟習此項技術者將認識到，可在不背離本文中所闡述之實施例之範疇或效能之情形下省略或重新排序本文中所闡述之某些步驟及功能性。

結合本文中所揭示之實施例所闡述之各種說明性邏輯區塊、模組、電路及演算法步驟可實施為電子硬體、電腦軟體或兩者之組合。為圖解說明硬體與軟體的此種可互換性，上文已就其功能性大體闡述了各種說明性組件、區塊、模組、電路及步驟。此種功能性實施為硬體或是軟體取決於特定應用及施加於整體系統之設計約束。所闡述之功能性可針對每一特定應用以不同方式來實施，諸如，藉由使用微處理器、微控制器、場可程式化閘陣列(FPGA)、特殊應用積體電路(ASIC)及/或系統單晶片(SoC)之任何組合，但此等實施方案決策不應被解釋為導致對本發明之範疇之一背離。

結合本文中所揭示實施例所述的一方法或演算法之步驟可直接體現於硬體中、由一處理器執行之一軟體模組中或兩者之組合中。一軟體模組可駐存於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬磁碟、一可抽換式磁碟、一CD-ROM或此項技術中已知的任何其他形式之儲存媒體中。

本文所揭示之方法包括一或多個用於達成所述方法之步驟或動作。該等方法步驟及/或動作可彼此互換而不背離本發明之範疇。換言之，除非實施例之恰當操作需要一特定的步驟或動作次序，否則可在不背離本發明之範疇之情形下修改特定步驟及/或動作之次序及/或使用。