專利名稱:內(nèi)容保護系統(tǒng)之間的數(shù)字內(nèi)容轉(zhuǎn)錄的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及數(shù)字內(nèi)容的保護�,尤其涉及不同內(nèi)容保護系統(tǒng)使用的加密格 式之間的數(shù)字內(nèi)容轉(zhuǎn)錄,并提供了當數(shù)字內(nèi)容在系統(tǒng)和/或軟件組件之間傳輸時用 于該數(shù)字內(nèi)容的過渡加密�����。背景本申請一般涉及消費電子設(shè)備對數(shù)字內(nèi)容的使用�����,尤其涉及各種內(nèi)容保護機 制之間的兼容性和轉(zhuǎn)錄的創(chuàng)建�����。電子和計算系統(tǒng)可被設(shè)計成播放或處理經(jīng)調(diào)節(jié)的數(shù)字內(nèi)容���。這種數(shù)字內(nèi)容可由根據(jù)所使用的保護機制而允許在受限制的基礎(chǔ)上對內(nèi)容的訪問的第三方控制或 擁有����。訪問控制的示例包括允許信息被訪問預(yù)定次數(shù)或給定的時間段���?���?刂茖?shù)字 內(nèi)容的訪問的一種常見方法是加密該內(nèi)容使得它只能使用密碼密鑰來訪問,以及包 括指定對該內(nèi)容的訪問權(quán)限的許可證�����。對內(nèi)容的使用必須與許可證相一致以使系統(tǒng) 能訪問該數(shù)字內(nèi)容�����。訪問控制通常是在內(nèi)容創(chuàng)作或生產(chǎn)時通過結(jié)合諸如加密和可限 制在將來的時刻對該信息的非授權(quán)訪問的訪問權(quán)限等安全性特征來建立的���。但是����, 通常各種內(nèi)容保護機制不允許高度的互操作性�。概述以下提出了本發(fā)明的簡化概述以向讀者提供基本理解。本概述不是本發(fā)明的 廣泛綜述�����,也沒有標識本發(fā)明的關(guān)鍵/決定性元素或描繪本發(fā)明的范圍�。其唯一的 目的是以簡化的形式提出此處公開的某些概念��,作為對以下提出的更詳細描述的序本示例提供了用于支持內(nèi)容保護系統(tǒng)之間的數(shù)字內(nèi)容轉(zhuǎn)錄并提供在內(nèi)容保護 系統(tǒng)和/或軟件組件之間傳輸內(nèi)容時用于數(shù)字內(nèi)容的過渡加密的技術(shù)�。該技術(shù)提供 了與數(shù)字內(nèi)容相關(guān)聯(lián)的包括列表�,以指定可對什么類型的內(nèi)容保護系統(tǒng)來轉(zhuǎn)錄內(nèi)容���。當結(jié)合附圖考慮以下詳細描述而更好地理解許多附帶特征時�����,可以更容易明 白這些特征�����。
本說明書將考慮附圖通過閱讀以下詳細描述來更好地理解��,附圖中圖1是具有包括列表并允許數(shù)字內(nèi)容的轉(zhuǎn)錄的示例內(nèi)容保護系統(tǒng)的圖示����。圖2是示出轉(zhuǎn)錄或改變數(shù)字內(nèi)容的加密的過程中的兩個主要操作的流程圖����。圖3是示出在轉(zhuǎn)錄過程中數(shù)據(jù)安全地通過應(yīng)用程序的框圖。圖4是示出使用轉(zhuǎn)錄過程來保護數(shù)字內(nèi)容的示例性詳細過程的框圖�����。圖5是示出其中可實現(xiàn)本申請中描述的系統(tǒng)和方法的示例性計算環(huán)境。在附圖中�����,使用相同的參考標號來指示相同的部分�����。詳細描述以下結(jié)合附圖提供的詳細描述旨在作為對本示例的描述����,而不旨在表示可構(gòu) 造或利用本示例的唯一形式。該描述闡明了示例的功能以及用于構(gòu)造和操作該示例 的步驟序列�����。然而���,可用不同的示例來實現(xiàn)相同或等效的功能和序列�。盡管本發(fā)明此處被描述和示為在消費電子產(chǎn)品("CE")系統(tǒng)中實現(xiàn)��,但是 所描述的系統(tǒng)是作為示例而非局限來提供的��。本發(fā)明可用能夠支持數(shù)字內(nèi)容的任何 設(shè)備或系統(tǒng)來實施�。CE設(shè)備可包括袖珍PC、機頂盒、便攜式媒體中心�����、蜂窩電話�����、 音樂播放器�、PC��、用軟件構(gòu)造的媒體播放器等等��。如本領(lǐng)域的技術(shù)人員所理解的���, 本發(fā)明適用于在提供數(shù)字內(nèi)容訪問和內(nèi)容保護的各種不同類型的系統(tǒng)中應(yīng)用�����。一個 示例內(nèi)容保護系統(tǒng)是數(shù)字權(quán)限管理("DRM")系統(tǒng)���,并且在以下描述中使用。 也可使用其它內(nèi)容保護系統(tǒng)來實施本發(fā)明�����。該示例可提供授權(quán)受保護內(nèi)容在內(nèi)容保護方案之間轉(zhuǎn)錄的明確且健壯的裝 置。該示例可允許數(shù)字內(nèi)容和內(nèi)容保護系統(tǒng)的提供者授權(quán)下游應(yīng)用程序在執(zhí)行諸如 Windows媒體DRM ( "WMDRM")等內(nèi)容保護格式到諸如數(shù)字傳輸內(nèi)容保護 ("DTCP")等另一格式之間的轉(zhuǎn)錄時將各段內(nèi)容轉(zhuǎn)錄成諸如Rivest密碼法4("RC4")等中間內(nèi)容保護格式���。圖1是具有包括列表并允許數(shù)字內(nèi)容100的轉(zhuǎn)錄的示例內(nèi)容保護系統(tǒng)的圖示���。 轉(zhuǎn)錄允許與諸如一個DRM系統(tǒng)等第一 內(nèi)容保護系統(tǒng)兼容的內(nèi)容被轉(zhuǎn)換成與諸如另 一 DRM系統(tǒng)等第二內(nèi)容保護系統(tǒng)兼容的格式。包括列表提供了內(nèi)容所有者指定哪 些轉(zhuǎn)換是允許的方式���。這一轉(zhuǎn)換通常是在PC 103上執(zhí)行的���。DRM提供了用于對諸 如多媒體內(nèi)容或其它數(shù)字內(nèi)容等數(shù)字內(nèi)容110定義、結(jié)合和實施權(quán)限的系統(tǒng)����。DRM 系統(tǒng)100提供了內(nèi)容110從服務(wù)提供者107通過諸如因特網(wǎng)105等非安全信道或經(jīng) 由CD、 DVD���、計算機文件等的安全分發(fā)�。系統(tǒng)100可實施使用規(guī)則���,并保護內(nèi)容 110免遭非法使用��。使用規(guī)則可包括到期日�����、用戶可播放音頻或視頻文件的次數(shù)�����、 以及用戶可復(fù)制音頻或視頻文件的次數(shù)等����。數(shù)字權(quán)限管理系統(tǒng)的一個示例在1999 年4月12日提交的美國專利申請第09/290,363號以及各自在2002年6月28日提 交的美國專利申請第10/185,527號�、10/185,278號和10/185,511號中提供,這些專 利申請都通過整體引用結(jié)合于此����。個人計算機103可用于連接到因特網(wǎng)105,并將內(nèi)容從服務(wù)提供者107傳輸?shù)?消費電子設(shè)備101���。 PC 103可將與第一DRM系統(tǒng)兼容的加密內(nèi)容109轉(zhuǎn)錄到與例 如存在于CE設(shè)備101上的第二 DRM系統(tǒng)兼容的加密內(nèi)容115����。為轉(zhuǎn)錄媒體文件 109��,將具有包括列表108的許可證以及通常來自服務(wù)供應(yīng)商107的媒體文件109 傳輸?shù)絇C 103。包括列表中所包括的用于內(nèi)容保護格式的訪問權(quán)限和限制受到通常由內(nèi)容所 有者設(shè)置的依從性規(guī)則支配����,這些規(guī)則包括所附媒體文件109可被轉(zhuǎn)錄到什么類型 的設(shè)備和/或內(nèi)容保護系統(tǒng)。在一個示例中�����,該包括列表可包括全局唯一標識符 (GUID)���,它可以是16字節(jié)的數(shù)字����,并唯一地標識了加密內(nèi)容109可被轉(zhuǎn)錄到的 允許的技術(shù)�。在另一示例中,該包括列表可包括字符串�,諸如串"WindwosMedia DRM",它唯一地標識了允許的保護技術(shù)����。由此,通過提供具有包括列表108的 許可證�����,可提供系統(tǒng)和設(shè)備之間增加的可操作性。PC 103通常使用結(jié)合應(yīng)用程序117操作的操作系統(tǒng)116來運作���。應(yīng)用程序117 通常在檢査了內(nèi)容列表118來確定目標保護系統(tǒng)是否對數(shù)字內(nèi)容109授權(quán)之后執(zhí)行 數(shù)字內(nèi)容109的轉(zhuǎn)錄���。用于通過路徑102和104將信息傳輸?shù)絇C 103并傳輸?shù)紺E設(shè)備101的協(xié)議 和機制可以是諸如以太網(wǎng)網(wǎng)絡(luò)、通用串行總線("USB")�、紅外數(shù)據(jù)關(guān)聯(lián)("IrDA)"、 藍牙等常規(guī)協(xié)議和機制���。在替換實施例中,消費電子設(shè)備可耦合到服務(wù)供應(yīng)商而無需使用個人計算機103�����。個人計算機和CE設(shè)備可利用本領(lǐng)域的技術(shù)人員已知的任 何數(shù)目的合適的操作系統(tǒng)來操作�����。用于實現(xiàn)本說明書中所描述的功能的指令可作為 計算機可執(zhí)行軟件��、硬件(例如���,被燒錄到ASIC的指令)或兩者的組合存在��。在使用中���,DRM 100通過提供加密內(nèi)容109來保護內(nèi)容110�����。由于內(nèi)容109 被加密�,因此數(shù)據(jù)本身被保護���。由此�����,內(nèi)容109可不受限制地移動�����、歸檔�、復(fù)制或 分發(fā)��。當這種數(shù)字內(nèi)容在系統(tǒng)之間傳送時���,無需隱藏加密內(nèi)容或使其不可訪問���,也 無需施加適當?shù)奶厥獗Wo�。例如�����,復(fù)制這類內(nèi)容并將其給予朋友不會允許該朋友在 未被授權(quán)的情況下使用該內(nèi)容����。為了能夠使用加密內(nèi)容,用戶必須獲得許可證�����,并 且在本示例中必須獲得具有包括列表108的許可證�����。該具有包括列表108的許可證 是保護加密內(nèi)容100的一種手段�。在一個示例中�,許可證可被授予單個機器101, 并且即使被復(fù)制���,也不會易于在其它機器上運作����。然而,采用包括列表�����,可如由內(nèi) 容所有者或服務(wù)提供者107在許可證包括列表中指定地將數(shù)字內(nèi)容提供給以不同 保護方案操作的其它機器��。在另一示例中���,許可證可被授予網(wǎng)絡(luò)上的特定用戶帳戶��, 使得用戶可在經(jīng)由授權(quán)用戶帳戶登錄時從網(wǎng)絡(luò)上的任何設(shè)備訪問該內(nèi)容�。具有包括列表108的每一許可證包含訪問權(quán)限和限制���,它們定義了如何可使 用內(nèi)容以及在什么條件下使用內(nèi)容�。例如����,音樂文件許可證可包含"播放權(quán)限", 但是不包含"刻錄到CD的權(quán)限"訪問權(quán)限����,并且它可對2005年10月1日和2005 年11月1日之間的時間段啟用該權(quán)限��。情況還可以是對一數(shù)字內(nèi)容選集具有多個 許可證�����。只要這些許可證之一授予所需的權(quán)限�����,用戶就能夠訪問并使用該內(nèi)容數(shù)據(jù)��。 訪問可以指用密碼方法解密內(nèi)容�����、經(jīng)由口令獲取對內(nèi)容的訪問等�,使得用戶可使用���、 查看、播放或以其它方式使用該數(shù)字內(nèi)容�。在一個示例實施例中,具有包括列表的 許可證可用XML格式等來提供�。如上所述,包括列表允許將數(shù)字內(nèi)容提供給各種不同的內(nèi)容保護系統(tǒng)。在一 個示例中����,在PC 103上操作的DRM系統(tǒng)結(jié)合從CE設(shè)備101獲得的設(shè)備證書111 來使用該帶有包括列表108的許可證,以確定內(nèi)容是否可被轉(zhuǎn)錄以用于在設(shè)備101 上操作的DRM系統(tǒng)��。供查看或回放的數(shù)字內(nèi)容通常包括音樂文件����、圖片文件、視 頻文件��、文檔等�����。諸如在CE設(shè)備101上操作的內(nèi)容保護系統(tǒng)使用設(shè)備證書來標識 其自身�����。在一個示例中��,設(shè)備證書可以是可擴展標記語言("XML")數(shù)據(jù)結(jié)構(gòu) 等�����,它描述了系統(tǒng)、列出了所支持的特征和訪問控制�、并通常包含系統(tǒng)的公鑰。設(shè) 備證書111可從與在消費電子設(shè)備101上操作的內(nèi)容保護系統(tǒng)包裝113在一起的設(shè) 備證書模板112中生成��。設(shè)備證書模板可被認為是幫助創(chuàng)建設(shè)備證書的一種特殊模式�、指南等。設(shè)備證書111是一種確認機制�,它可由消費電子設(shè)備101的DRM系統(tǒng)用來通 過確認設(shè)備101的DRM系統(tǒng)適用于訪問受保護內(nèi)容115來幫助提供安全性。設(shè)備 證書是可被受保護數(shù)字內(nèi)容的持有者信任且可依靠并且可幫助啟動提供對該內(nèi)容 的訪問的過程的憑證�����。這種自動化內(nèi)容保護確認可在為受保護數(shù)字內(nèi)容的安全回放 或使用設(shè)計的����、且其中數(shù)字地簽署的證書111等用作提供對訪問數(shù)字內(nèi)容的權(quán)限的 確認的方式的系統(tǒng)100中使用。受保護數(shù)字內(nèi)容115可包括音樂��、視頻��、文本或受 到常規(guī)許可證協(xié)定等管理的任何內(nèi)容��。示例設(shè)備證書111可以是XML對象�,它包括設(shè)備標識、設(shè)備能力聲明���、重大 信息�、公鑰信息等����,并在單個數(shù)字地簽署的設(shè)備證書中呈現(xiàn)這些數(shù)據(jù)。設(shè)備證書 lll可由DRM提供者(未示出)簽署��,它可擔當關(guān)于設(shè)備證書lll是對伴隨它的 DRM系統(tǒng)的準確反映的提供者證明�����,并且可擔當?shù)谌娇尚攀跈?quán)機構(gòu)(未示出) 的證明�,第三方可信授權(quán)機構(gòu)證實DRM提供者被授權(quán)來創(chuàng)建并證明附帶的DRM 系統(tǒng)。設(shè)備證書和設(shè)備證書模板的一個示例在2004年10月18日提交的美國專利 申請第10/18,204號中提供�,該申請通過整體引用結(jié)合于此。圖2是示出轉(zhuǎn)錄或改變數(shù)字內(nèi)容的加密的過程中的兩個主要操作的流程圖���。 提供轉(zhuǎn)錄的一種方法是提供最初加密的數(shù)字內(nèi)容���、移除該內(nèi)容上的加密201 (例如, WMDRM應(yīng)用于受保護內(nèi)容的加密)���、然后將一新的加密202添加到該內(nèi)容(例 如����,RC4加密)。圖3是示出在轉(zhuǎn)錄過程中數(shù)據(jù)安全地通過應(yīng)用程序301的框圖�����。內(nèi)容提供者 可調(diào)節(jié)內(nèi)容�����,并通過提供包括列表來限制其暴露量�����?��?商峁┌斜硪栽试S從第一 DRM系統(tǒng)轉(zhuǎn)錄到第二 DRM系統(tǒng)����。在內(nèi)容保護系統(tǒng)的一個示例中�����,可對具有包括 列表的數(shù)字內(nèi)容提供轉(zhuǎn)錄����,而在內(nèi)容保護系統(tǒng)的一個替換示例中����,可對沒有包括列 表的數(shù)字內(nèi)容提供轉(zhuǎn)錄�。第一 DRM系統(tǒng)302包括可被鏈接到諸如應(yīng)用程序301等應(yīng)用程序的可鏈接庫 308���。庫309向應(yīng)用程序301提供了對第一DRM系統(tǒng)302的訪問���。在一個示例中, 庫309可作為".lib"文件等來提供���。在另一示例中�,庫可作為".dU"(動態(tài)鏈接 庫)文件等來提供�����。庫309也可采用其它形式以向應(yīng)用程序301提供對第一DRM 系統(tǒng)302的功能的訪問���。證書305與應(yīng)用程序301 —起包括在內(nèi)�,證書由提供者的根或證書授權(quán)機構(gòu) 密鑰300來簽署����。在一個示例中�,通常在創(chuàng)作或安裝系統(tǒng)時���,隨證書305 —起提供通常包括例如RSA私鑰的私鑰306�。在運行時�,證書305通常響應(yīng)于訪問由第一 DRM系統(tǒng)302持有的數(shù)字內(nèi)容的 請求而被傳遞給第一 DRM系統(tǒng)302。第一 DRM系統(tǒng)302生成一隨機數(shù)或初始化 向量("IV" ) 308。 IV308通常以安全的方式被提供給應(yīng)用程序301并儲存。在 一個示例中�����,IV 308使用安全信道在系統(tǒng)之間傳遞。在另一示例中�,IV 308在被 提供給應(yīng)用程序301之前使用諸如來自證書305的公鑰等密鑰來加密。IV 308用 應(yīng)用程序的私鑰來解密并被儲存�����。此時����,數(shù)字內(nèi)容通常由第一DRM系統(tǒng)302以小組塊(chunk)或樣本來解密。 當移除數(shù)字內(nèi)容的原始加密時,第一DRM系統(tǒng)302在將該組塊提供給應(yīng)用程序301 時向其應(yīng)用一新的加密以便進行保護�。在數(shù)據(jù)被發(fā)送到應(yīng)用程序301之前解密數(shù)據(jù)和重新加密組塊的過程是通常被稱為過渡加密的一種形式的轉(zhuǎn)錄,并且往往能最小 化對中間人攻擊307等的易受攻擊性����。每一數(shù)字內(nèi)容樣本或組塊一般使用一過渡加密密鑰來加密,該密鑰往往對每 一內(nèi)容樣本是唯一的����。在一個示例中���,該過渡加密密鑰是通過對每一數(shù)字內(nèi)容樣本 或組塊生成一唯一鹽(salt)值304�,然后用IV值308散列該唯一鹽值304來形成 的�����。組塊使用過渡加密密鑰來加密����,并連同鹽值304 —起提供給應(yīng)用程序301。 一 旦內(nèi)容組塊到達應(yīng)用程序301���,應(yīng)用程序301就從所儲存的IV 308和鹽值304中 創(chuàng)建過渡加密密鑰��,并從內(nèi)容組塊中移除過渡加密����。此時,應(yīng)用程序301可應(yīng)用第 二 DRM系統(tǒng)303所需的通常包括加密的適當保護���。在數(shù)字內(nèi)容樣本或組塊被第二 DRM保護之后����,它可以系統(tǒng)303所準許的任何方式來使用���,例如當其來自數(shù)字音 頻文件時播放它�。圖4是示出使用轉(zhuǎn)錄過程來保護數(shù)字內(nèi)容的示例性詳細過程的框圖�����。數(shù)字內(nèi) 容(也稱為DRM有效載荷)412的一個示例是諸如可作為電影來提供的數(shù)字視頻 數(shù)據(jù)�����。這種數(shù)字內(nèi)容通常由內(nèi)容的內(nèi)容提供者來加密��,如圖4中所指示的���。數(shù)字內(nèi) 容的其它示例包括數(shù)字音頻數(shù)據(jù)����、數(shù)字圖像或包括文檔等在內(nèi)的其它多媒體或數(shù)字 內(nèi)容。除了加密之外�����,這種數(shù)字內(nèi)容通常包括某種形式的訪問權(quán)限信息����。在一個示 例中,這些訪問權(quán)限包括指示哪些其它類型的內(nèi)容保護機制可被信任并可被用來訪 問和/或轉(zhuǎn)錄數(shù)字內(nèi)容的包括列表����。圖4示出了一個示例DRM系統(tǒng)A450��,它包括幾個元素以及用于處理數(shù)字內(nèi) 容412以供DRM系統(tǒng)B460轉(zhuǎn)錄的步驟���。示例DRM系統(tǒng)B包括幾個元素�����,以及 可在應(yīng)用程序�����、DRM系統(tǒng)等之間分布的步驟�。在一個示例中,DRM系統(tǒng)B包括9具有DRM系統(tǒng)的應(yīng)用程序���。DRM系統(tǒng)A 450和DRM系統(tǒng)B 460進行交互以移除 由內(nèi)容提供者提供的加密�、用兩個DRM系統(tǒng)都理解的過渡加密來重新加密內(nèi)容��、 安全地將經(jīng)過渡加密的內(nèi)容傳輸?shù)紻RM系統(tǒng)B 460�,在DRM系統(tǒng)B 460處,內(nèi) 容被解密��,最后以DRM系統(tǒng)B 460使用的任何格式來重新加密���。在該示例轉(zhuǎn)錄過程的開始�,系統(tǒng)B啟動一轉(zhuǎn)錄過程�����。這一啟動的一個示例是 試圖播放數(shù)字電影文件���。通常����, 一證書等從系統(tǒng)B發(fā)送到系統(tǒng)A 450。系統(tǒng)A檢 查該證書以確定系統(tǒng)B是否可被信任����,以及系統(tǒng)B是否在數(shù)字內(nèi)容的包括列表中 列出。如果系統(tǒng)B可被信任且在包括列表上�����,則系統(tǒng)A將繼續(xù)該轉(zhuǎn)錄過程��。否則�����, 當系統(tǒng)B既不被信任也沒有列在數(shù)字內(nèi)容的包括列表上時���,該過程不會繼續(xù)。當繼續(xù)時�,系統(tǒng)A從系統(tǒng)B獲得密碼密鑰401。在一個示例中�,該密碼密鑰 是公鑰,并從得自系統(tǒng)B的證書中獲得�����。系統(tǒng)A生成初始化向量("IV" ) 403 并使用經(jīng)加密的IV 404中所得的公鑰401來加密402 IV 403 。在一個示例中����,IV 403 是適用于散列并生成另 一密碼密鑰的隨機數(shù)。系統(tǒng)A通常使用安全信道將經(jīng)加密的IV 404提供給系統(tǒng)B��。系統(tǒng)B使用從原 始IV值403中所得的私鑰405來解密406經(jīng)加密的IV 404��。系統(tǒng)B以安全的方式��, 諸如使用模糊化等來儲存IV403以供將來使用�。此時,系統(tǒng)A和系統(tǒng)B之間的初 始化完成�,且過渡轉(zhuǎn)錄可開始。系統(tǒng)A現(xiàn)在開始讀取并解密414數(shù)字內(nèi)容412���。在一個示例中��,系統(tǒng)A使用 密鑰415來解密414數(shù)宇內(nèi)容412����。在一個示例中�,密鑰415通過使用對應(yīng)于內(nèi)容 提供者最初用于為數(shù)字內(nèi)容412加密密鑰415的公鑰的私鑰來解密它來訪問����。在另 一示例中����,系統(tǒng)A以小組塊來解密414數(shù)字內(nèi)容412,通常每一組塊有幾十����、幾百 或幾千字節(jié)。在另一示例中�,系統(tǒng)A在繼續(xù)之前解密414所有的數(shù)字內(nèi)容412。每 一經(jīng)解密414的組塊得到未經(jīng)加密的數(shù)字內(nèi)容(也稱為有效載荷)410���。接著�����,系統(tǒng)A生成鹽408�����。在一個示例中,鹽408是對每一數(shù)字內(nèi)容組塊410 生成的��、適用于在散列和生成另一密碼密鑰時使用的隨機數(shù)。在一個示例中���,這一 密碼密鑰可以是RC4密鑰��。系統(tǒng)A散列419鹽值408和IV403�����,得到密碼密鑰�����。 在另一示例中���,散列419可以是安全散列算法("SHA")散列。接著����,系統(tǒng)A 使用經(jīng)由對應(yīng)于所加密的內(nèi)容組塊的IV 403和鹽408的散列419生成的RC4密鑰 來加密420內(nèi)容組塊410,得到經(jīng)過渡加密的內(nèi)容組塊421����。在一個示例中,使用 RC4流密碼來進行加密420�����,得到經(jīng)RC4加密的內(nèi)容組塊(也稱為RC4有效載荷) 421。系統(tǒng)A通常使用安全信道將鹽408和對應(yīng)的經(jīng)過渡加密的內(nèi)容組塊421提供 給系統(tǒng)B��。系統(tǒng)B然后散列409先前儲存的IV 403和剛接收到的鹽408以生成過 渡解密密鑰���,并解密411剛接收到的經(jīng)過渡加密的內(nèi)容組塊421����,得到未經(jīng)加密的 數(shù)字內(nèi)容410���。在一個示例中�����,解密411和未經(jīng)加密的內(nèi)容組塊410在系統(tǒng)B內(nèi)以 安全的方式���,諸如使用代碼和/或數(shù)據(jù)模糊化來執(zhí)行和維護。在另一示例中�,散列 409可以是安全散列算法("SHA")散列。系統(tǒng)B現(xiàn)在可如由總體轉(zhuǎn)錄過程所指示地繼續(xù)轉(zhuǎn)錄內(nèi)容組塊410���。在一個示 例中�,如在音頻數(shù)據(jù)的情況中��,內(nèi)容組塊410被進一步加密并被提供給編解碼器以 便經(jīng)由媒體播放器應(yīng)用程序等來呈現(xiàn)��。以上過程對數(shù)字內(nèi)容410的每一組塊繼續(xù)����, 通常直到轉(zhuǎn)錄了整個數(shù)字內(nèi)容412。圖5示出了其中可實現(xiàn)本申請中所描述的系統(tǒng)和方法的示例性計算環(huán)境500���。 示例性計算環(huán)境500僅是計算系統(tǒng)的一個示例�,并不旨在將本申請中所描述的示例 限于該具體計算環(huán)境���。計算環(huán)境500可以使用眾多其它通用或?qū)S糜嬎阆到y(tǒng)配置來實現(xiàn)�。眾所周知 的計算系統(tǒng)的示例可包括但不限于���,個人計算機�����、手持式或膝上設(shè)備��、基于微處理 器的系統(tǒng)����、多處理器系統(tǒng)、機頂盒�、可編程消費電子設(shè)備、游戲控制臺����、消費電子 產(chǎn)品、蜂窩電話�����、PDA等���。計算機500包括計算機設(shè)備501形式的通用計算系統(tǒng)����。計算設(shè)備501的組件 可包括一個或多個處理器(包括CPU�、 GPU、微處理器等)507�、系統(tǒng)存儲器509 以及耦合各類系統(tǒng)組件的系統(tǒng)總線508。處理器507處理各種計算機可執(zhí)行指令以 控制計算設(shè)備501的操作并與其它電子和計算設(shè)備(未示出)通信�。系統(tǒng)總線508 表示任何數(shù)目的若干類型的總線結(jié)構(gòu),包括存儲器總線或存儲器控制器、外圍總線���、 加速圖形端口�����、以及使用各類總線體系結(jié)構(gòu)的任一種的處理器或局部總線。系統(tǒng)存儲器509包括諸如隨機存取存儲器(RAM)等易失性存儲器���,和/或諸 如只讀存儲器(ROM)等非易失性存儲器形式的計算機可讀介質(zhì)���。基本輸入/輸出 系統(tǒng)(BIOS)被儲存在ROM中�����。RAM通常包含處理器507中的一個或多個立即 可訪問和/或當前正在操作的數(shù)據(jù)和/或程序模塊��。大容量存儲設(shè)備504可耦合到計算設(shè)備501或通過耦合到總線而結(jié)合到計算 設(shè)備中����。這種大容量存儲設(shè)備504可包括對可移動、非易失性磁盤(例如���,"軟盤") 505進行讀寫的磁盤驅(qū)動器�,或?qū)梢苿印⒎且资怨獗P�,如CDROM等506進 行讀寫的光盤驅(qū)動器。計算機可讀介質(zhì)505����、 506通常包含在軟盤、CD����、便攜式記憶棒等上提供的計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊等�����。任何數(shù)目的程序模塊可被儲存在硬盤510�、大容量存儲設(shè)備504、 ROM和/或 RAM 509上����,作為示例����,包括操作系統(tǒng)�����、 一個或多個應(yīng)用程序��、其它程序模塊以 及程序數(shù)據(jù)����。這些操作系統(tǒng)�、應(yīng)用程序、其它程序模塊和程序數(shù)據(jù)(或其某一組合) 中的每一個可包括此處所描述的系統(tǒng)和方法的一個實施例�����。顯示設(shè)備502可經(jīng)由諸如視頻適配器511等接口連接到系統(tǒng)總線508����。用戶可 經(jīng)由諸如鍵盤、定點設(shè)備���、操縱桿���、游戲墊�����、串行端口和/或類似設(shè)備等任何數(shù)目 的不同輸入設(shè)備503與計算設(shè)備702接口 �。這些和其它輸入設(shè)備經(jīng)由耦合到系統(tǒng)總 線508的輸入/輸出接口 512連接到處理器507�,但也可通過諸如并行端口、游戲端 口和/或通用串行總線(USB)等其它接口和總線結(jié)構(gòu)來連接�����。計算設(shè)備500可使用通過一個或多個局域網(wǎng)(LAN)�����、廣域網(wǎng)(WAN)等到 一個或多個遠程計算機的連接在網(wǎng)絡(luò)化環(huán)境中操作����。計算設(shè)備501經(jīng)由網(wǎng)絡(luò)適配器 513,或者替換地通過調(diào)制解調(diào)器��、DSL�����、 ISDN接口等連接到網(wǎng)絡(luò)514。本領(lǐng)域的技術(shù)人員將認識到���,用于儲存程序指令的存儲設(shè)備可跨網(wǎng)絡(luò)分布����。 例如�,遠程計算機可儲存諸如自適應(yīng)裝備運行時監(jiān)控和分析軟件等工具。本地或終 端計算機可訪問該遠程計算機并下載該軟件的一部分或全部來運行程序��?���;蛘?���,本地計算機可按需下載軟件片斷,或通過在本地終端處執(zhí)行某些軟件指令��,并在遠程 計算機(或計算機網(wǎng)絡(luò))處執(zhí)行某些軟件指令來分布式地處理���。本領(lǐng)域的技術(shù)人員 還將認識到��,通過利用本領(lǐng)域的技術(shù)人員已知的常規(guī)技術(shù)����,軟件指令的全部或一部 分可由諸如DSP、可編程邏輯陣列等專用電路來執(zhí)行��。
權(quán)利要求
1.一種用于保護數(shù)字內(nèi)容的計算機系統(tǒng)�����,所述系統(tǒng)包括能夠解密所述數(shù)字內(nèi)容的第一內(nèi)容保護系統(tǒng)����,所述數(shù)字內(nèi)容包括一包括列表;為應(yīng)用程序提供對所述第一內(nèi)容保護系統(tǒng)的功能的訪問的可鏈接庫�,所述應(yīng)用程序包括第二內(nèi)容保護系統(tǒng);以及用于評估所述第二內(nèi)容保護系統(tǒng)來確定所述第二內(nèi)容保護系統(tǒng)是否在所述包括列表上的裝置���。
2. 如權(quán)利要求1所述的系統(tǒng)�����,其特征在于��,還包括用于安全地耦合所述內(nèi)容 保護系統(tǒng)和所述可鏈接庫的裝置�。
3. 如權(quán)利要求l所述的系統(tǒng)�,其特征在于�,還包括用于計算一初始化向量的 裝置��,所述初始化向量經(jīng)由一共享裝置在所述第一內(nèi)容保護系統(tǒng)和所述第二內(nèi)容保 護系統(tǒng)之間共享�����。
4. 如權(quán)利要求3所述的系統(tǒng)����,其特征在于,還包括用于基于所述數(shù)字內(nèi)容的 組塊來計算一鹽值的裝置�,所述鹽值經(jīng)由一密碼散列裝置與所述初始化向量組合, 得到一過渡加密密鑰�����。
5. 如權(quán)利要求4所述的系統(tǒng)�,其特征在于���,還包括用于使用所述過渡加密密 鑰來產(chǎn)生所述組塊的過渡加密的裝置����。
6. 如權(quán)利要求5所述的系統(tǒng)�����,其特征在于,還包括用于向所述第二內(nèi)容保護 系統(tǒng)提供所述組塊的過渡加密���、所述初始化向量和所述鹽值的裝置����。
7. —種用于轉(zhuǎn)錄數(shù)字內(nèi)容的方法�����,所述方法包括經(jīng)由第一內(nèi)容保護系統(tǒng)解密所述數(shù)字內(nèi)容�����,所述解密得到一經(jīng)解密的數(shù)字內(nèi)容�;產(chǎn)生一過渡加密密鑰,并使用所述過渡加密密鑰來產(chǎn)生所述經(jīng)解密的數(shù)字內(nèi) 容的過渡加密�����;向第二內(nèi)容保護系統(tǒng)提供所述過渡加密密鑰和所述過渡加密�。
8. 如權(quán)利要求7所述的方法,其特征在于,還包括檢査所述數(shù)字內(nèi)容的包括 列表以確定所述數(shù)字內(nèi)容是否可被轉(zhuǎn)錄到所述第二內(nèi)容保護系統(tǒng)����。
9. 如權(quán)利要求7所述的方法,其特征在于�,所述過渡加密密鑰是通過用密碼 方法散列一初始化向量和一鹽值來產(chǎn)生的,所述鹽值是基于所述數(shù)字內(nèi)容的組塊來計算的��。
10. —種保護數(shù)字內(nèi)容的方法�����,所述方法包括由第一內(nèi)容保護系統(tǒng) 生成一初始化向量�����;解密所述數(shù)字內(nèi)容的組塊��; 基于所述組塊生成一鹽值���;用密碼方法散列所述初始化向量和所述鹽值����,得到一過渡密鑰�;以及 通過使用所述過渡密鑰加密所述組塊來產(chǎn)生所述組塊的過渡加密。
11. 如權(quán)利要求10所述的方法��,其特征在于����,所述數(shù)字內(nèi)容包括一包括列表。
12. 如權(quán)利要求IO所述的方法�,其特征在于,所述初始化向量是隨機數(shù)����。
13. 如權(quán)利要求IO所述的方法,其特征在于�����,所述鹽值是使用所述組塊來計 算的數(shù)字�。
14. 如權(quán)利要求IO所述的方法,其特征在于����,所述過渡加密是使用流密碼來 產(chǎn)生的。
15. 如權(quán)利要求IO所述的方法��,其特征在于�����,還包括由第二內(nèi)容保護系統(tǒng) 從所述第一內(nèi)容保護系統(tǒng)接收經(jīng)加密的初始化向量; 解密并儲存所述初始化向量����;從所述第一內(nèi)容保護系統(tǒng)接收所述過渡加密; 從所述第一內(nèi)容保護系統(tǒng)接收所述鹽值�����;用密碼方法散列所述初始化向量和所述鹽值����,得到所述過渡密鑰的副本;以及使用所述過渡密鑰的副本來解密所述過渡加密�。
16. 如權(quán)利要求15所述的方法,其特征在于�,所述第二內(nèi)容保護系統(tǒng)在所述 包括列表上列出。
17. 如權(quán)利要求15所述的方法��,其特征在于����,所述初始化向量是由所述第一內(nèi)容保護系統(tǒng)使用由所述第二內(nèi)容保護系統(tǒng)提供的公鑰來加密的。
18. 如權(quán)利要求15所述的方法��,其特征在于,所述經(jīng)加密的初始化向量是由 所述第二內(nèi)容保護系統(tǒng)使用由所述第二內(nèi)容保護系統(tǒng)提供的私鑰來解密的�。
19. 如權(quán)利要求15所述的方法�����,其特征在于����,所述初始化向量是以安全方式 來儲存的。
20. 如權(quán)利要求15所述的方法�,其特征在于,所述方法在計算機可讀介質(zhì)中 具體化�。
全文摘要
用于保護數(shù)字內(nèi)容(110)的技術(shù)包括能夠解密該數(shù)字內(nèi)容(110)的第一內(nèi)容保護系統(tǒng)(100),該數(shù)字內(nèi)容(110)包括一包括列表(118)�����;向應(yīng)用程序提供對該第一內(nèi)容保護系統(tǒng)(100)的功能的訪問的可鏈接庫(308)�����,該應(yīng)用程序包括第二內(nèi)容保護系統(tǒng)(303)��;以及用于評估該第二內(nèi)容保護系統(tǒng)(303)來確定該第二內(nèi)容保護系統(tǒng)(303)是否在該包括列表(118)上的裝置�。
文檔編號H04K1/00GK101258468SQ200680025136
公開日2008年9月3日 申請日期2006年7月11日 優(yōu)先權(quán)日2005年7月11日
發(fā)明者A·V·格里格洛維奇, B·P·伊萬斯, D·羅森斯特恩, G·T·鄧巴, J·M·奧爾科夫, M·L·霍華德, M·馬, S·J·費爾斯廷 申請人:微軟公司