專利名稱:已加密內(nèi)容的流傳輸?shù)闹谱鞣椒?br>
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及流傳輸技術(shù)�。
技術(shù)背景
內(nèi)容流傳輸正在成為向客戶機提供內(nèi)容的日益常見的方式。在一些情況下��,可以采用諸如加密這樣的數(shù)字權(quán)限管理(DRM)技術(shù)來控制對內(nèi)容的訪問����。對于密碼加密的情況,可以用密碼密鑰來對內(nèi)容進行密碼加密�,已加密內(nèi)容然后被流傳輸至客戶機。由此,客戶機必須具有正確的密鑰來解密和消費該內(nèi)容����。從提供者的觀點來看,向所有客戶機流傳輸相同的已加密內(nèi)容流可能是期望的��,且只有那些具有一個或多個正確密鑰的客戶機才可解密和消費該內(nèi)容�����。通常��,內(nèi)容提供者對即使沒有成千也有上百的內(nèi)容流進行流傳輸����,且客戶機訂閱那些內(nèi)容流的特定子集。由此���,高效地管理向若干客戶機發(fā)布的密鑰和/或控制對所選內(nèi)容的訪問可能是有挑戰(zhàn)性的����。發(fā)明內(nèi)容
提供本發(fā)明內(nèi)容以便以簡化的形式介紹將在以下具體實施方式
中進一步描述的一些概念�。本發(fā)明內(nèi)容并不旨在標識所要求保護主題的關(guān)鍵特征或必要特征,也不旨在用于限制所要求保護主題的范圍���。此外���,所要求保護的主題不限于解決在本發(fā)明的任一部分中提及的任何或所有缺點的實現(xiàn)���。
根據(jù)本發(fā)明的一方面,提供了一種向多個不同觀眾提供已加密內(nèi)容的管制流傳輸?shù)姆椒?��。該方法包括保持用?nèi)容密鑰從內(nèi)容流中進行密碼加密的已加密內(nèi)容流�����。該方法還包括保持用一個或多個管制加密密鑰從該內(nèi)容密鑰中進行密碼加密的已加密內(nèi)容密鑰����,其中每一管制加密密鑰與對應(yīng)于多個不同觀眾的特定觀眾的管制解密密鑰配對��,且其中每一管制解密密鑰可由除了對應(yīng)于該管制解密密鑰的特定觀眾以外的觀眾獲得���。該方法還包括向多個不同觀眾供應(yīng)已加密內(nèi)容流,其中該已加密內(nèi)容流嵌有包括該已加密內(nèi)容密鑰的葉許可證����,且其中該已加密內(nèi)容密鑰可由具有與一個或多個管制加密密鑰配對的一個或多個管制解密密鑰的觀眾進行密碼解密����。
圖1示出用于已加密內(nèi)容的流傳輸?shù)氖纠h(huán)境���。
圖2示出了根據(jù)本發(fā)明的一實施例的示例分層密鑰樹��。
圖3示出根據(jù)本發(fā)明的各實施例的已加密內(nèi)容流傳輸?shù)氖纠椒ā?br>
圖4示出根據(jù)本發(fā)明的一實施例的示例使用場景��。
圖5示出根據(jù)本發(fā)明的一實施例的另一個示例使用場景�。
圖6A和6B示出根據(jù)本發(fā)明的一實施例的另一示例分層密鑰樹�����。
圖7示出根據(jù)本發(fā)明的一實施例的又一示例分層密鑰樹�����。
圖8示出根據(jù)本發(fā)明的一實施例的示例計算系統(tǒng)�。
具體實施方式
服務(wù)器可以流傳輸沒有上千或更多也有上百個已加密內(nèi)容流,這些已加密內(nèi)容流可被不同地分組成各個內(nèi)容訂閱�����。如果每個已加密內(nèi)容流是用不同的密碼密鑰(下文簡稱 “密鑰”)來密碼加密(下文簡稱“加密”)的�����,則用戶會需要若干密鑰以便能對與其訂閱相關(guān)聯(lián)的所有內(nèi)容流進行解密。由此�����,期望具有高效且可縮放的方法來向用戶遞送密鑰以及諸如內(nèi)容策略����、組成員信息等相關(guān)聯(lián)的信息。此外���,期望遞送數(shù)據(jù)以便支持加密和/或內(nèi)容策略的實時改變�。以此方式����,可以例如阻止所選客戶機組消費內(nèi)容(例如在內(nèi)容管制場景期間)。
因此���,本文公開了涉及以下操作的各實施例流傳輸已加密內(nèi)容���,其中每一內(nèi)容流包括用于加密該流的嵌入式已加密內(nèi)容密鑰�����,以及向客戶機安全地提供包括用于解密與客戶機的訂閱相關(guān)聯(lián)的所選已加密內(nèi)容密鑰的一個或多個中間解密密鑰的內(nèi)容許可證。此外���,由于這樣的許可證提供客戶機可從中導(dǎo)出其中間解密密鑰的一個或多個根密鑰����,由此減小向每一客戶機發(fā)布的密鑰數(shù)量�,因此該許可證是“可縮放的”。此外����,中間解密密鑰可被綁定到各種可能的觀眾,由此允許對內(nèi)容進行加密且可任選地向所選觀眾阻止該內(nèi)容�����。
現(xiàn)在轉(zhuǎn)至圖1�����,圖1示出示例內(nèi)容流傳輸環(huán)境20���,其中內(nèi)容服務(wù)器22被配置成經(jīng)由網(wǎng)絡(luò)沈?qū)?nèi)容流傳輸至一個或多個內(nèi)容消費設(shè)備對��。應(yīng)當(dāng)理解����,內(nèi)容服務(wù)器22可以包括彼此間通信上耦合的一個或多個服務(wù)器設(shè)備。內(nèi)容消費設(shè)備M可以是被配置成消費被流傳輸?shù)膬?nèi)容的任何適當(dāng)?shù)脑O(shè)備��,諸如個人計算機���、媒體播放器���、移動設(shè)備、游戲系統(tǒng)等等��。
內(nèi)容服務(wù)器22可以被配置成以任何適當(dāng)方式經(jīng)由網(wǎng)絡(luò)沈來供應(yīng)內(nèi)容���。例如���,內(nèi)容可以是經(jīng)由網(wǎng)絡(luò)26上的多播遞送來供應(yīng)的實況線性內(nèi)容,諸如托管網(wǎng)絡(luò)上的傳統(tǒng)因特網(wǎng)協(xié)議電視(IPTV)���。作為另一個示例���,內(nèi)容服務(wù)器22可以通過網(wǎng)絡(luò)沈(例如通過因特網(wǎng)) 提供內(nèi)容的“頂部”遞送���。作為又一示例��,內(nèi)容服務(wù)器22可以通過網(wǎng)絡(luò)沈提供視頻點播 (VOD)�。應(yīng)當(dāng)理解,這些示例是說明性的并且并非旨在以任何方式進行限制�����。
內(nèi)容服務(wù)器22可以被配置成通過主存多個信道(例如�����,IPTV信道����、內(nèi)容服務(wù)等) 來服務(wù)內(nèi)容,其中每個信道包括一個或多個內(nèi)容流����。例如,一個信道可以包括諸如視頻流和相應(yīng)的音頻流這樣的兩個內(nèi)容流�����。然而,在一些情況下�����,可以包括附加的音頻流(例如語言音軌等)和/或附加的視頻流(例如高清視頻�、替換視圖等)。在某些實施例中��,可服務(wù)諸如僅音頻流或僅視頻流之類的單個內(nèi)容流���。
內(nèi)容服務(wù)器22可以被配置成通過提供如圖1所示的已加密的內(nèi)容流觀等用一個或多個密鑰加密的內(nèi)容流����,來控制一個或多個內(nèi)容消費設(shè)備M對內(nèi)容流中的一個或多個的訪問�����。如此��,內(nèi)容消費設(shè)備必須有正確的密鑰以便對已加密的內(nèi)容流進行解密和消費����。這樣��,對內(nèi)容加密可以減少未授權(quán)的觀看����。
作為一個示例���,圖1示出通過用內(nèi)容密鑰加密內(nèi)容流而形成的示例的已加密內(nèi)容流觀8。每個流可以用不同的內(nèi)容密鑰來加密����。然而,對于具有不止一個流的信道的情況����, 信道的每個流可以任選地用同一內(nèi)容密鑰來加密。
而在傳統(tǒng)上��,內(nèi)容密鑰可以與對已加密內(nèi)容流的供應(yīng)分開地被加密并被提供給內(nèi)容消費設(shè)備24��,內(nèi)容服務(wù)器22被配置成提供每個已加密的內(nèi)容流以及其相對圖1示出嵌有葉許可證30的示例的已加密內(nèi)容流^a�。葉許可證30包括與已加密的內(nèi)容流28a相關(guān)聯(lián)的已加密內(nèi)容密鑰32。嵌入式葉許可證30可以包括附加信息�����,諸如內(nèi)容流的內(nèi)容策略34、對策略和/或已加密內(nèi)容密鑰的干擾的減輕等等�����。通過以此方式來服務(wù)內(nèi)容����, 內(nèi)容服務(wù)器22可以有利地使用與分發(fā)內(nèi)容本身所用的方法相同的分發(fā)方法來分發(fā)內(nèi)容密鑰。此外����,如本文更詳細地描述的,內(nèi)容服務(wù)器22可以通過在流內(nèi)的任何合適點改變已加密的內(nèi)容密鑰和/或內(nèi)容策略�,來提供內(nèi)容加密和/或內(nèi)容策略的實時變化?����?扇缦乱?guī)定這樣的合適點內(nèi)容消費設(shè)備在此點處可基于編解碼器����、容器格式等調(diào)節(jié)到該流。
應(yīng)該明白�����,葉許可證可用任何合適的方式來嵌入。在某些實施例中����,諸如當(dāng)內(nèi)容流是MP4文件時,嵌入葉許可證可包括將已加密內(nèi)容密鑰和防篡改內(nèi)容策略嵌入ISO第12部分電影片段盒中�。也可將防篡改策略和已加密內(nèi)容密鑰嵌入ISO第12部分電影片段盒(例如,MP4中的“moof”盒)中��,使得經(jīng)分割的MP4文件具有用于實況流傳輸和密鑰輪換的相似構(gòu)造���。在其他實施例中,諸如當(dāng)內(nèi)容流是MPEG2傳送流時����,這樣的流可描述用于保持密鑰資料和策略數(shù)據(jù)(例如,授權(quán)控制消息(ECM)的特定結(jié)構(gòu)����,并且因此,如文本描述地嵌入葉許可證可因此支持到這樣的容器的映射���。
此外��,在已加密內(nèi)容流內(nèi)�,葉許可證的嵌入式副本可被嵌入且在時間上間隔開,以適應(yīng)剛剛加入已加密內(nèi)容流的多個內(nèi)容消費設(shè)備中的一個或多個�����。
應(yīng)當(dāng)理解���,在某些實施例中��,用于對內(nèi)容流進行加密的密鑰可以與用于對已加密內(nèi)容流進行解密的密鑰不同但與其相關(guān)�����。例如�����,內(nèi)容流可使用內(nèi)容加密密鑰來加密以便形成已加密內(nèi)容流����,且該已加密內(nèi)容流可使用與該內(nèi)容加密密鑰配對的內(nèi)容解密密鑰來解密����。在這樣的情況下,內(nèi)容解密密鑰是在葉許可證中加密和提供的密鑰�。然而�����,在其他實施例中��,用于對內(nèi)容流進行加密和解密的內(nèi)容密鑰可以是相同的密鑰(換言之��,內(nèi)容加密密鑰與內(nèi)容解密密鑰相同)�。
通過供應(yīng)各自嵌有包括其相應(yīng)的已加密內(nèi)容密鑰在內(nèi)的葉許可證的已加密內(nèi)容流�����,內(nèi)容服務(wù)器22可以將相同的已加密內(nèi)容流觀供應(yīng)給所有內(nèi)容消費設(shè)備M�。然后訪問得到了控制,因為內(nèi)容消費設(shè)備為了能夠?qū)?nèi)容進行解密和消費��,內(nèi)容消費設(shè)備必須能夠在使用已解密的內(nèi)容密鑰來解密已加密的內(nèi)容流之前對葉許可證內(nèi)的已加密內(nèi)容密鑰進行解密�����??梢越?jīng)由許可過程向內(nèi)容消費設(shè)備提供這樣的能力����,其中內(nèi)容消費設(shè)備(例如經(jīng)由訂閱)訂閱內(nèi)容流的特定子集�,并且進而被提供用于對和他們所訂閱的內(nèi)容相對應(yīng)的已加密內(nèi)容密鑰進行解密的適當(dāng)密鑰����。
對內(nèi)容流加密的每個內(nèi)容密鑰自身可以以任何合適的方式被加密,諸如通過一個或多個其他密鑰(如中間加密密鑰)����。在這一情況下,在注冊了特定內(nèi)容訂閱之后���,內(nèi)容消費設(shè)備被提供(例如經(jīng)由許可證服務(wù)器)與中間加密密鑰配對的中間解密密鑰��。由于可以基于訂閱來向內(nèi)容消費設(shè)備發(fā)放中間解密密鑰���,因此內(nèi)容消費設(shè)備僅接收它所被賦予的中間解密密鑰。換言之�����,如果內(nèi)容消費設(shè)備未被授權(quán)觀看特定的內(nèi)容流���,則它們不會接收到用于對這些流的內(nèi)容密鑰進行解密的中間解密密鑰�����,因此將不能消費這些流��。
應(yīng)當(dāng)理解�����,在某些實施例中�����,中間加密密鑰可以不同于其配對的中間解密密鑰但與其相關(guān)�����。然而���,在其他實施例中���,用于對內(nèi)容流進行加密和解密的中間密鑰可以是相同的密鑰�。
中間解密密鑰可以以任何合適的方式被提供給一個或多個內(nèi)容消費設(shè)備24。圖1示出其中許可證服務(wù)器36被配置成經(jīng)由網(wǎng)絡(luò)沈來供應(yīng)許可證38的示例情況�����。許可證服務(wù)器36可進一步被配置成向內(nèi)容服務(wù)器22提供葉許可證。在某些實施例中�,內(nèi)容服務(wù)器 22可向許可證服務(wù)器36指示使用哪些中間密鑰來對葉許可證中的內(nèi)容密鑰進行加密(例如,基于信道��、地理限制等)���。在其他實施例中���,內(nèi)容服務(wù)器22可向許可證服務(wù)器36發(fā)送程序標識符以確定使用哪些中間密鑰。應(yīng)當(dāng)理解����,許可證服務(wù)器36可以包括彼此間通信上耦合的一個或多個服務(wù)器設(shè)備。還應(yīng)當(dāng)理解���,網(wǎng)絡(luò)沈在圖1中為說明目的而示出����,并且不旨在以任何方式加以限制��。因此�,在一些實施例中,內(nèi)容服務(wù)器22和許可證服務(wù)器36可以分別通過不同的網(wǎng)絡(luò)來供應(yīng)內(nèi)容和許可證。而且����,在一些實施例中,內(nèi)容服務(wù)器22和許可證服務(wù)器36可以是同一個設(shè)備并且/或者可以彼此間通信上耦合��。
中間解密密鑰可以例如對應(yīng)于一個信道����,使得每個信道可以用一個內(nèi)容密鑰來加密,該內(nèi)容密鑰用與相應(yīng)的中間解密密鑰(例如信道解密密鑰)配對的中間加密密鑰(例如信道加密密鑰)來加密���。作為另一示例����,中間解密密鑰可對應(yīng)于各種觀眾����,其中不同的觀眾接收不同的中間解密密鑰。這樣的觀眾可基于諸如地理區(qū)域��、訂閱級別等任何合適的準則來預(yù)先確定����。由于對內(nèi)容的訪問最終是由提供給內(nèi)容消費設(shè)備的中間解密密鑰控制的, 因此可利用這樣的觀眾來控制哪些觀眾可訪問哪一內(nèi)容��。
在一些實施例中��,許可證服務(wù)器36可以供應(yīng)諸如示例許可證38a這樣的許可證��, 示例許可證38a包括提供給內(nèi)容消費設(shè)備M中的特定一個的一個或多個中間解密密鑰40����。 然而,由于每一訂閱可包括成百個流且由此可包括成百個中間解密密鑰���,因此許可證服務(wù)器36可改為供應(yīng)諸如可縮放根許可證38b之類的許可證�����,該許可證包括內(nèi)容消費設(shè)備可從其中導(dǎo)出中間解密密鑰40的中間根密鑰42�����。由此�����,許可證服務(wù)器36可以減少它所供應(yīng)的密鑰的數(shù)量���,因此減少其計算代價���、帶寬代價和/或存儲代價。中間解密密鑰可經(jīng)由分層密鑰樹與中間根密鑰相關(guān)����。然后,內(nèi)容消費設(shè)備被配置有從它們的可縮放根許可證的根中間密鑰導(dǎo)出它們的中間解密密鑰的能力���。應(yīng)當(dāng)理解���,許可證服務(wù)器可以被配置成經(jīng)由密碼共享來安全地供應(yīng)中間解密密鑰,使得不期望的內(nèi)容消費設(shè)備和/或觀眾不能使用這樣的密鑰���。還應(yīng)當(dāng)理解���,可縮放根許可證可包括任何類型的中間密鑰,包括與分層密鑰樹中的葉節(jié)點相對應(yīng)的中間密鑰����、和/或與分層密鑰樹中的其他節(jié)點相對應(yīng)的中間密鑰——此處被稱為中間根密鑰。
圖2示出8個示例服務(wù)(例如信道)的示例分層密鑰樹50��。在該示例中,每一服務(wù)具有由密鑰樹50的被標記為1-8的節(jié)點所表示的一對應(yīng)中間解密密鑰�。作為一個示例, 第一服務(wù)可使用內(nèi)容密鑰來加密����,且該內(nèi)容密鑰然后可以用與密鑰樹50的中間解密密鑰1 配對的中間加密密鑰1來加密���。同樣�,第二服務(wù)可使用另一內(nèi)容密鑰來加密����,且該內(nèi)容密鑰然后可以用與密鑰樹50的中間解密密鑰2配對的中間加密密鑰2來加密等等。作為一個可能的使用場景����,用戶可訂閱第一和第二服務(wù)兩者。服務(wù)器可改為供應(yīng)客戶機可從其中導(dǎo)出中間解密密鑰1和2的中間根密鑰“A”��,而不是將中間解密密鑰1和2供應(yīng)給客戶機��。作為另一示例�,如果客戶機已經(jīng)訂閱服務(wù)5-8,則服務(wù)器可向客戶機供應(yīng)中間根密鑰“D”�����。
應(yīng)當(dāng)理解,葉許可證仍然可以在與根級別相對的服務(wù)級別處被加密�����。換言之���,每一葉許可證仍可包括用中間加密密鑰(例如���,相對于中間根密鑰)來加密的內(nèi)容密鑰。由此����, 內(nèi)容消費設(shè)備在獲取其訂閱的已加密流(諸如示例已加密內(nèi)容流^a)之后,內(nèi)容消費設(shè)備可從可縮放根許可證38b的它們的中間根密鑰42導(dǎo)出所需的中間解密密鑰��,并且在獲取中間解密密鑰之后���,對葉許可證30內(nèi)的已加密內(nèi)容密鑰32進行解密��。
應(yīng)當(dāng)理解�,密鑰樹可按任何合適的方式來組織���,并且特定排序可顯著地降低服務(wù)器所傳送的密鑰的數(shù)量�。例如,這樣的排序可使用信道包和/或來自顧客數(shù)據(jù)庫的聚集數(shù)據(jù)來構(gòu)造����。此外,在某些實施例中��,密鑰樹可基于任何合適的準則來合并與觀眾相關(guān)聯(lián)的密鑰���,如參考圖6-7更詳細地描述的。
圖3示出供應(yīng)內(nèi)容許可證的示例方法60����。在62,內(nèi)容消費設(shè)備提交對內(nèi)容許可證的請求���。在某些實施例中���,內(nèi)容消費設(shè)備可例如通過訂閱所需內(nèi)容流子集的特定內(nèi)容訂閱來這樣做。此外�,在某些實施例中,內(nèi)容消費設(shè)備可在提交這一請求時提供它的客戶機證書����,如64處所示���。客戶機證書可包括客戶機的非對稱公鑰/私鑰對中的公鑰�。圖4示出示例使用場景,其中如80處所示��,內(nèi)容消費設(shè)備Ma發(fā)送內(nèi)容訂閱請求�����,其中該請求包括客戶機證書82��,該客戶機證書82包括客戶機的非對稱密鑰對86的公鑰84�����。
應(yīng)當(dāng)理解��,在某些實施例中�����,客戶機證書可以是與內(nèi)容消費設(shè)備相關(guān)聯(lián)的設(shè)備證書,以及公鑰則可以是對應(yīng)于該設(shè)備的公鑰��。然而�����,在某些實施例中���,客戶機證書可以是與內(nèi)容消費設(shè)備所屬的域?qū)?yīng)的域證書�。由此�,公鑰則可以是與該域相關(guān)聯(lián)的公鑰。通過將客戶機證書與請求一起提供����,公鑰隨后可用于加密可縮放根許可證并將其安全地供應(yīng)給客戶機����,這在以下更詳細地描述。
繼續(xù)圖3����,在66�����,許可證服務(wù)器接收對可縮放根許可證的請求。在某些實施例中����, 許可證服務(wù)器可直接從內(nèi)容消費設(shè)備接收請求����。然而,在其他實施例中�,可將請求發(fā)送給另一服務(wù)器,另一服務(wù)器隨后將該請求提供給許可證服務(wù)器���。
在獲取該請求之后���,許可證服務(wù)器然后獲取客戶機的可縮放根許可證,如68處所示����。許可證服務(wù)器可被配置成按任何合適的方式來獲取可縮放根許可證。例如���,如圖4所示�����,許可證服務(wù)器36可保持與多個中間加密密鑰配對的多個中間解密密鑰88,該多個中間加密密鑰能夠?qū)δ軌蚣用軆?nèi)容流的內(nèi)容密鑰進行加密。許可證服務(wù)器然后可標識該多個中間解密密鑰88中的哪些中間解密密鑰90與客戶機的訂閱相對應(yīng)�����。
在確定客戶機的中間解密密鑰90之后,許可證服務(wù)器36然后可確定要在許可證中提供哪些中間根密鑰92�����,客戶機消費設(shè)備然后可從這些中間根密鑰導(dǎo)出其中間解密密鑰����。在這樣做時���,客戶機服務(wù)器可利用諸如示例密鑰樹84之類的密鑰樹����。在所示示例中���, 客戶機的中間解密密鑰90是可從例如中間根密鑰A和D導(dǎo)出的�����。
返回圖3的方法,在獲取了內(nèi)容消費設(shè)備的可縮放根許可證之后��,許可證服務(wù)器然后可(例如經(jīng)由密碼共享)安全地供應(yīng)包括中間根密鑰的可縮放根許可證�,如70處所示。內(nèi)容消費設(shè)備然后可以(例如經(jīng)由密碼共享)接收可縮放根許可證���,如72處所示�。
應(yīng)當(dāng)理解��,許可證服務(wù)器可以按任何合適的方式安全地供應(yīng)可縮放根許可證���。作為一個示例��,中間根密鑰可以或是通過將中間解密密鑰直接綁定到客戶機的公鑰����、或是經(jīng)由另一密鑰(諸如會話密鑰)間接地綁定中間解密密鑰���,來捆綁到客戶機的公鑰。例如�,如圖4所示�����,客戶機的中間根密鑰92可以用會話密鑰95來加密以形成已加密中間根密鑰96��。 會話密鑰95然后可以用客戶機的公鑰84來加密以形成已加密會話密鑰98����?���?煽s放根許可證100包括已加密中間根密鑰96,并且已加密會話密鑰98然后可被供應(yīng)給內(nèi)容消費設(shè)備 2 ��,如102處所示���。
在接收到可縮放根許可證100之后�����,內(nèi)容消費設(shè)備2 然后可使用它的私鑰101來對已加密會話密鑰98進行解密以獲取會話密鑰95��。內(nèi)容消費設(shè)備2 然后可使用會話密鑰95來將已加密中間根密鑰96解密為客戶機的中間根密鑰92��。
應(yīng)當(dāng)理解���,會話密鑰可以是對稱的��,因為用于對中間根密鑰進行加密的會話密鑰可與用于對已加密中間根密鑰的會話密鑰平凡地相關(guān)或與之等同�。在這樣的對稱會話密鑰用于將中間根密鑰綁定到客戶機的公鑰的情況下����,該對稱會話密鑰對于每一客戶機是唯一的。這確保了向特定客戶機發(fā)放的中間解密密鑰無法與另一客戶機共享�����。例如��,經(jīng)由密碼共享獲取與額外收費電影信道相關(guān)聯(lián)的中間解密密鑰的客戶機將不能將這一中間解密密鑰給予未支付該信道的另一訂閱者���。作為一個非限制性示例��,可為客戶機隨機地生成對稱會話S朗ο
此外�����,應(yīng)當(dāng)理解���,內(nèi)容消費設(shè)備可以基于任何合適的準則來請求其中間解密密鑰�。 例如�,在一些實施例中�,客戶機可以周期性地發(fā)送對其中間解密密鑰的請求(例如,每八個小時)�,作為響應(yīng),接收具有一組更新的中間解密密鑰的已更新許可證(例如��,可縮放根許可證等)�����。舉另一個例子���,可以(例如由應(yīng)用等)觸發(fā)客戶機來請求其中間解密密鑰��。舉又一個例子,內(nèi)容消費設(shè)備可以在啟動時、或者在現(xiàn)有的中間解密密鑰的使用周期到期之前請求其中間解密密鑰。
此外�,應(yīng)當(dāng)理解,這樣的中間解密密鑰可在一個或多個許可證中向內(nèi)容消費設(shè)備發(fā)放��。例如�,盡管在更少的許可證中發(fā)放中間密鑰可提供更高的效率(例如更少的客戶機和服務(wù)器操作)�,但在某些實施例中����,將這些中間密鑰分解成不同組可能是有利的。作為一個示例��,多個許可證可允許以不同速率來獲取中間密鑰。例如�����,對額外收費電影服務(wù)上的電影進行加密的信道密鑰可以每兩小時進行輪換����,而對其他信道上的內(nèi)容進行加密的信道密鑰可以每八小時進行輪換。
返回圖3���,內(nèi)容服務(wù)器可將內(nèi)容安全地流傳輸至多個內(nèi)容消費設(shè)備���,如74處所示。 如圖5的示例中所述����,內(nèi)容服務(wù)器22可保持包括多個信道(例如信道1�、信道2等)的內(nèi)容 103,如104處所示,其中每一信道包括一個或多個內(nèi)容流����。作為一個示例,信道1包括兩個流���,即如106處所示的流1和流2。各信道104的每一內(nèi)容流是用選自多個內(nèi)容密鑰108的內(nèi)容密鑰來加密的�����,以形成各已加密內(nèi)容流觀中的已加密內(nèi)容流�����。例如�,流1可以用內(nèi)容密鑰1來加密以形成已加密內(nèi)容流1��,如112處所示�。
然后可將每一流的已加密內(nèi)容密鑰和內(nèi)容策略包括在嵌入該流內(nèi)的葉許可證中��, 如114和116處所示����。然后可將嵌有葉許可證的每一已加密流供應(yīng)給諸如內(nèi)容消費設(shè)備 24a之類的一個或多個內(nèi)容消費設(shè)備。
返回圖3的方法���,如76處所示����,內(nèi)容消費設(shè)備然后可接收已加密內(nèi)容。在某些實施例中��,服務(wù)器可將相同內(nèi)容流傳輸至若干內(nèi)容消費設(shè)備���。在這樣的情況下�����,內(nèi)容消費設(shè)備可接收多個已加密內(nèi)容流��,這些已加密內(nèi)容流包括除其訂閱的流以外的流���。如77處所示, 客戶機然后可從其可縮放根許可證獲取其中間解密密鑰來對與其訂閱相關(guān)聯(lián)的內(nèi)容進行解密和消費���。
在圖5的示例中��,內(nèi)容消費設(shè)備Ma訂閱流1��,并且由此已經(jīng)被間接地提供了(經(jīng)由可縮放根許可證100)用于對已加密內(nèi)容密鑰1進行解密的中間加密密鑰1�。內(nèi)容消費設(shè)備Ma然后從其中間根密鑰92獲取中間解密密鑰1����。內(nèi)容消費設(shè)備Ma可通過任何合適的方式來這樣做����,諸如通過密鑰導(dǎo)出�����,如118處所示�。應(yīng)當(dāng)理解,這一示例是說明性的并且并非旨在以任何方式進行限制�。如上所述,在某些實施例中�����,流1可以是共同構(gòu)成內(nèi)容消費設(shè)備訂閱的信道的多個已加密內(nèi)容流之一����。
由此��,客戶機僅獲取它需要用于該特定流的中間解密密鑰��,而不是需要執(zhí)行密鑰導(dǎo)出來一次獲取它們的所有中間密鑰�。然而���,應(yīng)當(dāng)理解,在某些實施例中�,相反,客戶機可能期望在執(zhí)行密鑰導(dǎo)出時導(dǎo)出多個中間解密密鑰����。
返回圖3的方法,在獲取所需中間解密密鑰之后����,內(nèi)容消費設(shè)備然后可對已加密內(nèi)容密鑰進行解密,如78處所示��。內(nèi)容消費設(shè)備然后可使用已解密內(nèi)容密鑰來對內(nèi)容流進行解密��,如79處所示��。如圖5的示例中示出的�,在獲取中間解密密鑰1之后,內(nèi)容消費設(shè)備 2 然后可對已加密內(nèi)容密鑰1進行解密以獲取內(nèi)容密鑰1��,如120處所示����。內(nèi)容消費設(shè)備 2 然后可使用內(nèi)容密鑰1對已加密內(nèi)容流1進行解密以獲取已解密流1��,如122處所示���。 由此,內(nèi)容消費設(shè)備2 隨后可消費已解密流1并將該流輸出至例如顯示器142�����。
如此處描述的已加密內(nèi)容流(其中每一流具有包括已加密內(nèi)容密鑰和該流的策略的嵌入式葉許可證)允許內(nèi)容服務(wù)器任選地對加密和/或策略進行實時改變���。例如����,內(nèi)容服務(wù)器可調(diào)用對加密和/或策略的這樣的實時改變�,來在即時場景中對特定用戶子集阻止內(nèi)容。具體而言����,通過改變用于對特定流的內(nèi)容密鑰進行加密的一個或多個中間加密密鑰并相應(yīng)地更新嵌入式葉許可證,內(nèi)容服務(wù)器可基于哪些內(nèi)容消費設(shè)備被供應(yīng)有與一個或多個中間加密密鑰配對的一個或多個中間解密密鑰來改變哪些內(nèi)容消費設(shè)備能夠?qū)γ荑€進行解密���。此外,在某些實施例中���,除了原始嵌入的葉許可證以外�,已更新葉許可證可通過嵌入已加密流內(nèi)來“早期”供應(yīng)。
此外��,由于中間加密/解密密鑰對可按諸如信道���、訂閱級別��、地理區(qū)域等任何合適的準則來相關(guān)聯(lián)�,因此實現(xiàn)對內(nèi)容密鑰加密的這樣的實時改變可改變與該準則相關(guān)聯(lián)的哪些內(nèi)容消費設(shè)備能夠?qū)γ荑€進行解密以及消費該內(nèi)容���。
作為一個非限制性示例����,諸如管制密鑰對之類的中間密鑰對可用于阻止一個特定觀眾或多個觀眾對內(nèi)容進行解密和消費�����。在這樣的情況下�����,每一管制解密密鑰可與多個可能的觀眾中的一個不同觀眾相對應(yīng)。許可協(xié)議可規(guī)定例如特定觀眾的內(nèi)容消費設(shè)備可接收所有其他觀眾的管制解密密鑰�,但不接收其自身觀眾的管制解密密鑰。由此��,用與設(shè)備自己的觀眾的管制解密密鑰配對的管制加密密鑰來加密的任何內(nèi)容密鑰由此無法被該內(nèi)容消費設(shè)備解密——因為該內(nèi)容消費設(shè)備不接收該設(shè)備的觀眾的管制解密密鑰�。換言之,可通過設(shè)備的觀眾不接收的��、與該設(shè)備的觀眾的管制解密密鑰配對的管制加密密鑰對內(nèi)容密鑰進行加密���,來對這樣的觀眾阻止內(nèi)容���。
作為一個可能的使用場景,可如下地向與特定觀眾X相關(guān)聯(lián)的內(nèi)容消費設(shè)備阻止內(nèi)容流�。內(nèi)容流可以用內(nèi)容密鑰來加密,該內(nèi)容密鑰然后用管制加密密鑰來加密��。管制加密密鑰與提供(例如經(jīng)由內(nèi)容許可證)給除觀眾X以外的觀眾的管制解密密鑰配對����。由此, 與觀眾X相關(guān)聯(lián)的內(nèi)容消費設(shè)備沒有被供應(yīng)該管制解密密鑰�。內(nèi)容服務(wù)器然后可將嵌有葉許可證的已加密流流傳輸至所有觀眾的消費設(shè)備。與除觀眾X以外的觀眾相關(guān)聯(lián)的內(nèi)容消費設(shè)備(這些內(nèi)容消費設(shè)備已經(jīng)在其內(nèi)容許可證內(nèi)接收到管制解密密鑰)然后可對已加密內(nèi)容密鑰進行解密��,并使用所獲取的內(nèi)容密鑰來對內(nèi)容進行解密和消費。然而�,與觀眾χ相關(guān)聯(lián)的內(nèi)容消費設(shè)備(這些內(nèi)容消費設(shè)備沒有在其內(nèi)容許可證內(nèi)接收到管制解密密鑰)無法對已加密內(nèi)容密鑰進行解密,且由此不能消費該內(nèi)容���。
應(yīng)當(dāng)理解,在某些管制場景中�,接收內(nèi)容的內(nèi)容消費設(shè)備(其不具有用于對該內(nèi)容進行消費的適當(dāng)?shù)墓苤平饷苊荑€)在某些實施例中被定向到它們能消費的其他內(nèi)容。
可經(jīng)由諸如許可證服務(wù)器36之類的許可證服務(wù)器所供應(yīng)的內(nèi)容許可證來將管制解密密鑰提供給內(nèi)容消費設(shè)備�。例如,從多個可能的候選管制解密密鑰中�����,可基于內(nèi)容消費設(shè)備相關(guān)聯(lián)的觀眾來為內(nèi)容消費設(shè)備選擇管制解密密鑰子集����。這樣的子集排除與內(nèi)容消費設(shè)備的觀眾相關(guān)聯(lián)的管制解密密鑰。
在某些實施例中�����,可直接在供應(yīng)給內(nèi)容消費設(shè)備的許可證內(nèi)提供管制解密密鑰子集���。然而��,在某些實施例中�����,可在供應(yīng)給內(nèi)容消費設(shè)備的可縮放根許可證內(nèi)提供管制根密鑰����,內(nèi)容消費設(shè)備然后可從其中導(dǎo)出其管制解密密鑰子集。在這樣的情況下�,管制解密密鑰可經(jīng)由分層密鑰樹與管制根密鑰相關(guān)。
在某些實施例中���,子集差樹可用于在這樣的密鑰樹內(nèi)組織管制解密密鑰��。由此����,盡管傳統(tǒng)上可依賴于安全SOC來作出客戶機是否被阻止消費該內(nèi)容的二元判定����,但如此處描述的已加密內(nèi)容流傳輸可利用子集差樹,使得被管制的客戶機不具有獲得對內(nèi)容密鑰的訪問所需的所有密碼密鑰資料���。由此��,盡管傳統(tǒng)的比特標志可能容易遭黑客攻擊和/或受損���, 此處描述的已加密內(nèi)容流提供了密碼安全���,因為只是不向客戶機供應(yīng)所有的密碼密鑰資料并且客戶機由此不能訪問該內(nèi)容密鑰。
圖6a示出管制解密密鑰的示例密鑰樹130����,其中每一管制解密密鑰與不同地理區(qū)域的觀眾相對應(yīng)且由“���!區(qū)域(�! Region)”來表示����。應(yīng)當(dāng)理解,內(nèi)容消費設(shè)備可基于任何合適的準則與這樣的區(qū)域相關(guān)聯(lián)���,合適的準則諸如設(shè)備訂閱的訂閱記賬位置等�����。然而�����,作為另一示例����,這樣的位置可以是如經(jīng)由IP地址、全球定位系統(tǒng)(GPQ等提供的內(nèi)容消費設(shè)備的物理位置����。
作為一個示例,與西雅圖觀眾相關(guān)聯(lián)的管制解密密鑰客可在密鑰樹130內(nèi)由“�����! 西雅圖(�! kattle)”節(jié)點來表示。例如��,由于沒有向每一觀眾提供其自己的管制解密密鑰�,因此并不向與西雅圖區(qū)域相關(guān)聯(lián)的內(nèi)容消費設(shè)備供應(yīng)!西雅圖管制解密密鑰�����。然而�����,與其他區(qū)域(!塔科馬(�! iTacoma)、�����!舊金山(�! SanFrancisco ( ! SF))����、�!圣地亞哥 (! SanDiego ( �! SD))、�����!丹佛(����! Denver)�、��!阿斯彭(���! Aspen)���、!圖森(����! Tucson) 和!弗拉格斯塔夫(�����! Flagstaff))相關(guān)聯(lián)的內(nèi)容消費設(shè)備可各自被供應(yīng)有���!西雅圖管制解密密鑰�。
由此�,可通過對用與!西雅圖管制解密密鑰配對的管制加密密鑰來對內(nèi)容流加密的內(nèi)容密鑰進行加密�����,來向西雅圖觀眾阻止該內(nèi)容流。向西雅圖觀眾阻止內(nèi)容����,因為西雅圖觀眾接收不到他們自己的密鑰,并且由此不能對內(nèi)容密鑰進行解密和消費該流�����。然而����,除西雅圖以外的觀眾確實接收到!西雅圖管制解密密鑰�,并且由此可對向西雅圖區(qū)域阻止的內(nèi)容進行解密和消費。
作為一個非限制性示例�����,內(nèi)容流可與西雅圖區(qū)域中未賣出的運動游戲相對應(yīng)��。由此�����,提供者可能希望向西雅圖居民阻止該內(nèi)容��,而使其對其他區(qū)域可用�。在這樣的情況下, 內(nèi)容服務(wù)器可對內(nèi)容密鑰進行加密��,從而用���! Seattle管制加密密鑰對該游戲進行加密����, 以便將對該內(nèi)容的解密僅限于那些具有配對的�����!西雅圖解密密鑰的觀眾����。此外,由于內(nèi)容服務(wù)器供應(yīng)具有包括已加密內(nèi)容密鑰和策略的嵌入式葉許可證的已加密流����,因此服務(wù)器可作出對加密和/或策略的這樣的實時改變,以便支持即時管制����。
以此方式�,管制可以是粒度的但受到提前向客戶機發(fā)放的中間解密密鑰(例如信道密鑰��、管制密鑰等)的限制���。換言之��,管制可實質(zhì)上在任何時候通過改變內(nèi)容密鑰和/或與其綁定的中間密鑰來觸發(fā)��,以便排除或包括所需觀眾�����;然而�����,與那些觀眾相關(guān)聯(lián)的客戶機是預(yù)定的(例如����,在客戶機服務(wù)器向消費設(shè)備供應(yīng)中間密鑰的時候)���。由此,與管制解密密鑰相關(guān)聯(lián)的每一觀眾實質(zhì)上是可對其阻止內(nèi)容的“候選”。
此外�����,代替向西雅圖觀眾的內(nèi)容消費設(shè)備供應(yīng)具有與七個其他候選觀眾相對應(yīng)的七個其他管制解密密鑰��,許可證服務(wù)器可經(jīng)由包括內(nèi)容消費設(shè)備可從其中導(dǎo)出這七個密鑰的管制根密鑰的可縮放根許可證來供應(yīng)這些密鑰�����。例如���,在所示示例的情況下����,�����!舊金山和����!圣地亞哥的管制根密鑰是!加利福尼亞(���! California^ CA))密鑰����。同樣,����!丹佛、����!阿斯彭、��!圖森和���!弗拉格斯塔夫的管制根密鑰是���!山區(qū)(! Mountain)密鑰�����。由此���,可以向西雅圖觀眾的內(nèi)容消費設(shè)備僅提供三個管制密鑰���,即!塔科馬管制解密密鑰�、! 加利福尼亞和�!山區(qū)管制根密鑰。以此方式�,僅向客戶機提供三個密鑰而不是七個。應(yīng)當(dāng)理解��,密鑰樹130是非限制性的����,且密鑰樹可按任何合適的方式來組織。
此外����,如參考其中管制解密密鑰作為示例的中間解密密鑰所描述的,內(nèi)容消費設(shè)備可按需從根密鑰導(dǎo)出解密密鑰中的一個或多個來對內(nèi)容進行解密和消費���。例如����,如果西雅圖用戶期望觀看對圖森阻止的內(nèi)容,則用戶的內(nèi)容消費設(shè)備可對其根密鑰執(zhí)行密鑰導(dǎo)出����,以從!山區(qū)根密鑰獲?����?��!圖森管制解密密鑰��。
此外�,應(yīng)當(dāng)理解��,在某些實施例中可以對不止一個觀眾阻止該內(nèi)容���。由此�,內(nèi)容密鑰可以用兩個或更多管制加密密鑰來加密��。圖6b示出圖6a的示例密鑰樹130����,其中西雅圖客戶機接收如上所述的�����!塔科馬、�!加利福尼亞和!山區(qū)密鑰����。同樣,丹佛客戶機接收����!阿斯彭、�!亞利桑那(! Ariz0na( �����! AZ))和�! Pacific( !太平洋)密鑰�。為了對西雅圖和丹佛兩者進行內(nèi)容管制,內(nèi)容密鑰可以用��!西雅圖和!丹佛密鑰兩者來加密�����。由此����,具有這兩個密鑰的客戶機(除西雅圖和丹佛以外的觀眾,即塔科馬�、舊金山、圣地亞哥�����、阿斯彭�����、 圖森和弗拉格斯塔夫)可對內(nèi)容進行解密和消費���。僅具有兩個密鑰之一的客戶機(西雅圖或丹佛的觀眾)不能對該內(nèi)容進行解密和消費��。
應(yīng)當(dāng)理解����,用兩個或更多中間加密密鑰(例如,管制加密密鑰�、信道密鑰等)進行加密的內(nèi)容密鑰可以按任何合適的方式來加密。在某些實施例中����,內(nèi)容密鑰可以用每一密鑰來加密。然而��,在某些實施例中�����,可將兩個或更多中間加密密鑰混合在一起���,并且內(nèi)容密鑰隨后可用經(jīng)混合的密鑰來加密。作為非限制性示例�,這樣的經(jīng)混合的密鑰可通過混合每一加密密鑰的各個位來創(chuàng)建。
應(yīng)當(dāng)理解����,上述管制示例并不限于區(qū)域管制加密密鑰,且可包括基于諸如訂閱級別等任何其他合適的準則的��、與同觀眾相關(guān)聯(lián)的管制解密密鑰配對的管制加密密鑰。由此�����, 在某些情況下內(nèi)容可被阻止以便排除例如特定區(qū)域和特定訂閱級別����。
此外,管制解密密鑰可連同任何其他中間解密密鑰一起被組織在同一密鑰樹內(nèi)����。 圖7示出這樣的示例樹140,其中與信道�����、區(qū)域���、管制區(qū)域等相關(guān)聯(lián)的中間密鑰是以二叉樹結(jié)構(gòu)來安排的���。這樣的組織可便于經(jīng)由可縮放許可證所提供的可縮放性,因為如果樹的結(jié)構(gòu)是已知的����,諸如有多少信道��、有多少區(qū)域組�、以及每組中區(qū)域的數(shù)量等����,則所有的中間密鑰(例如,對于給定時間段的IPTV系統(tǒng))可使用密鑰導(dǎo)出來從單個根密鑰(例如��,單個主密鑰)中導(dǎo)出����。這一結(jié)構(gòu)可以例如最小化經(jīng)由服務(wù)器所存儲和供應(yīng)的密鑰的數(shù)量。作為非11限制性示例�,如果訂閱者要接收64個“基本”信道�,則樹可被安排以使得一個根密鑰被供應(yīng)給客戶機,客戶機可從該根密鑰中導(dǎo)出所有64個“基本”信道密鑰����。
具體而言,此處描述的管制特征可利用這樣的二叉樹結(jié)構(gòu)����,因為每一客戶要接收除它們自身以外的所有其他觀眾的管制解密密鑰。由此����,對于N個可能觀眾的系統(tǒng)�,代替向客戶機供應(yīng)N-I個解密密鑰���,采用密鑰導(dǎo)出可改為向這一客戶機供應(yīng)少得多的密鑰(例如�, log2 (N)個密鑰)���。
應(yīng)當(dāng)理解����,此處描述的各系統(tǒng)和方法不限于IPTV環(huán)境的內(nèi)容流傳輸���,而是可被應(yīng)用于其他類型的媒體����。例如����,內(nèi)容可經(jīng)由諸如基于HTTP的流傳輸?shù)冗f送方法來供應(yīng),其中客戶機可基于在流的開始處所下載的節(jié)目索引來執(zhí)行對流的塊的GET(獲取)請求�����。在另一示例中,此處描述的加密和縮放技術(shù)可被應(yīng)用于具有區(qū)域限制(例如��,內(nèi)容分發(fā)者有權(quán)在美國分發(fā)該書��,但不是全球服務(wù))的數(shù)字書呈現(xiàn)���。作為又一示例�����,用戶可基于區(qū)域限制等來訪問經(jīng)由HTTP來請求的大型數(shù)字書庫�����。
在某些實施例中��,以上所描述的方法和過程可捆綁到包括一個或多個計算機的計算系統(tǒng)�����。具體而言,此處所述的方法和過程可被實現(xiàn)為計算機應(yīng)用���、計算機服務(wù)����、計算機 API、計算機庫�����、和/或其他計算機程序產(chǎn)品���。
圖8示意性示出了可以執(zhí)行上述方法和過程之中的一個或更多個的非限制性計算系統(tǒng)150����。由此�,計算系統(tǒng)150可表示內(nèi)容服務(wù)器22、許可證服務(wù)器36和/或內(nèi)容消費設(shè)備M中的任一個���。以簡化形式示出了計算系統(tǒng)150����。應(yīng)當(dāng)理解�,可使用基本上任何計算機架構(gòu)而不背離本公開的范圍。在不同的實施例中���,計算設(shè)備150可以采取大型計算機�����、服務(wù)器計算機��、臺式計算機���、膝上型計算機��、平板計算機���、家庭娛樂計算機、網(wǎng)絡(luò)計算設(shè)備����、移動計算設(shè)備、移動通信設(shè)備���、游戲設(shè)備等等的形式��。
計算系統(tǒng)150包括邏輯子系統(tǒng)152和數(shù)據(jù)保持子系統(tǒng)154�����。計算系統(tǒng)150可以任選地包括顯示子系統(tǒng)156��、通信子系統(tǒng)158和/或在圖8中未示出的其他組件����。計算系統(tǒng) 150還可以任選地包括諸如下列用戶輸入設(shè)備例如鍵盤�����、鼠標���、游戲控制器�、相機�����、話筒和/或觸摸屏等等���。
邏輯子系統(tǒng)152可包括被配置為執(zhí)行一個或多個指令的一個或更多個物理設(shè)備�。 例如��,邏輯子系統(tǒng)可被配置為執(zhí)行一個或多個指令�����,該一個或多個指令是一個或多個應(yīng)用、 服務(wù)��、程序���、例程�、庫����、對象、組件����、數(shù)據(jù)結(jié)構(gòu)、或其它邏輯構(gòu)造的部分。可實現(xiàn)此類指令以執(zhí)行任務(wù)���、實現(xiàn)數(shù)據(jù)類型、變換一個或多個設(shè)備的狀態(tài)、或以其它方式得到所需結(jié)果����。
邏輯子系統(tǒng)可包括被配置成執(zhí)行軟件指令的一個或多個處理器���。另外或另選地���, 邏輯子系統(tǒng)可包括被配置成執(zhí)行硬件或固件指令的一個或多個硬件或固件邏輯機器。邏輯子系統(tǒng)的處理器可以是單核或多核��,并且在其上執(zhí)行的程序可被配置成并行處理或分布式處理�����。邏輯子系統(tǒng)可任選地包括遍布兩個或兩個以上設(shè)備的單獨組件���,這些設(shè)備可遠程地放置和/或被配置成協(xié)同處理����。邏輯子系統(tǒng)的一個或多個方面可被虛擬化�����,并且由以云計算配置來配置的可遠程訪問的聯(lián)網(wǎng)計算設(shè)備執(zhí)行���。
數(shù)據(jù)保持子系統(tǒng)IM可包括一個或更多個物理��、非瞬時設(shè)備����,這些設(shè)備被配置成保持數(shù)據(jù)和/或可由該邏輯子系統(tǒng)執(zhí)行的指令,以實現(xiàn)此處描述的方法和過程���。在實現(xiàn)這樣的方法和過程時�����,可以變換數(shù)據(jù)保持子系統(tǒng)154的狀態(tài)(例如����,以保持不同數(shù)據(jù))�。
數(shù)據(jù)保持子系統(tǒng)IM可以包括可移動介質(zhì)和/或內(nèi)置設(shè)備。數(shù)據(jù)保持子系統(tǒng)IM尤其是可以包括光學(xué)存儲器設(shè)備(例如���,⑶����、DVD, HD-DVD�����、藍光盤等)�����、半導(dǎo)體存儲器設(shè)備 (例如,RAM�、EPR0M、EEPR0M等)和/或磁存儲器設(shè)備(例如�����,硬盤驅(qū)動器��、軟盤驅(qū)動器��、磁帶驅(qū)動器����、MRAM等)��。數(shù)據(jù)保持子系統(tǒng)IM可以包括具有以下特性中的一個或更多個特性的設(shè)備易失性���、非易失性��、動態(tài)�、靜態(tài)����、讀/寫�����、只讀�����、隨機存取���、順序存取、位置可尋址��、文件可尋址����、以及內(nèi)容可尋址。在某些實施例中��,可以將邏輯子系統(tǒng)152和數(shù)據(jù)保持子系統(tǒng)154 集成到一個或更多個常見設(shè)備中��,如專用集成電路或片上系統(tǒng)��。
圖8還示出以可移動計算機可讀存儲介質(zhì)160形式的數(shù)據(jù)保持子系統(tǒng)的一方面�����, 該可移動計算機可讀存儲介質(zhì)可用于存儲和/或傳輸可執(zhí)行以實現(xiàn)此處所述的方法和過程的數(shù)據(jù)和/或指令?��?梢苿佑嬎銠C可讀存儲介質(zhì)160尤其是可以采取CD�����、DVD�����、HD-DVD、 藍光盤�、EEPROM和/或軟盤形式。
可以明白��,數(shù)據(jù)保持子系統(tǒng)巧4包括一個或多個方面物理非瞬態(tài)設(shè)備�����。相反����,在一些實施例中����,本文描述的指令的各方面可以按暫態(tài)方式通過不由物理設(shè)備在至少有限持續(xù)時間期間保持的純信號(例如電磁信號�����、光信號等)傳播�。此外,與本發(fā)明有關(guān)的數(shù)據(jù)和/ 或其他形式的信息可以通過純信號傳播�����。
術(shù)語“模塊”�、“程序”和“引擎”可用于描述被實現(xiàn)為執(zhí)行一個或多個具體功能的計算系統(tǒng)150的一方面。在某些情況下��,可以通過執(zhí)行由數(shù)據(jù)保持子系統(tǒng)IM所保持的指令的邏輯子系統(tǒng)152來實例化這樣的模塊�����、程序或引擎���。應(yīng)當(dāng)理解�,可從同一應(yīng)用���、服務(wù)���、代碼塊��、對象�����、庫���、例程、API���、函數(shù)等實例化不同的模塊、程序和�、/或引擎。同樣�,可由不同應(yīng)用、 服務(wù)��、代碼塊�����、對象、例程��、API�、函數(shù)等來實例化同一模塊、程序���、和/或引擎����。術(shù)語“模塊”���、 “程序”和“引擎”意味著涵蓋單個或成組的可執(zhí)行文件���、數(shù)據(jù)文件、庫����、驅(qū)動程序、腳本�、數(shù)據(jù)庫記錄等。
應(yīng)當(dāng)理解�,如此處所使用的“服務(wù)”可以是跨越多個用戶會話可執(zhí)行的、而且對一個或更多系統(tǒng)組件、程序和/或其他服務(wù)可用的應(yīng)用程序��。在一些實現(xiàn)中�����,服務(wù)可以響應(yīng)于來自客戶端的請求而在服務(wù)器上運行��。
當(dāng)被包括時�����,顯示子系統(tǒng)156可用于呈現(xiàn)由數(shù)據(jù)保持子系統(tǒng)IM所保持的數(shù)據(jù)的可視表示�。由于此處所描述的方法和過程改變由數(shù)據(jù)保持子系統(tǒng)保持的數(shù)據(jù),并由此變換數(shù)據(jù)保持子系統(tǒng)的狀態(tài)����,因此同樣可以變換顯示子系統(tǒng)156的狀態(tài)以在視覺上表示底層數(shù)據(jù)的改變。顯示子系統(tǒng)156可以包括使用實際上任何類型的技術(shù)的一個或多個顯示設(shè)備�����。 可將此類顯示設(shè)備與邏輯子系統(tǒng)152和/或數(shù)據(jù)保存子系統(tǒng)IM —起組合在共享封裝中�����, 或此類顯示設(shè)備可以是外圍顯示設(shè)備�。
當(dāng)被包括在內(nèi)時,通信子系統(tǒng)158可以被配置成將計算系統(tǒng)150與一個或多個其他計算設(shè)備可通信地耦合�����。通信子系統(tǒng)158可包括與一個或多個不同的通信協(xié)議相兼容的有線和/或無線通信設(shè)備�����。作為非限制性示例���,該通信子系統(tǒng)可以被配置成經(jīng)由無線電話網(wǎng)�����、無線局域網(wǎng)��、有線局域網(wǎng)��、無線廣域網(wǎng)���、有線廣域網(wǎng)等進行通信。在一些實施例中��,該通信子系統(tǒng)可允許計算系統(tǒng)150經(jīng)由網(wǎng)絡(luò)(比如因特網(wǎng))向其他設(shè)備發(fā)送消息和/或從其他設(shè)備接收消息。
應(yīng)該理解�,此處所述的配置和/或方法在本質(zhì)上是示例性的,且這些具體實施例或示例不是局限性的��,因為多個變體是可能���。此處所述的具體例程或方法可表示任何數(shù)量的處理策略中的一個或更多個��。由此�����,所示出的各個動作可以按所示順序執(zhí)行�����、按其他順序CN 102546609 A執(zhí)行����、并行地執(zhí)行���、或者在某些情況下省略��。同樣,可以改變上述過程的次序。
本發(fā)明的主題包括各種過程����、系統(tǒng)和配置的所有新穎和非顯而易見的組合和子組合、和此處所公開的其他特征��、功能��、動作���、和/或特性���、以及其任何和全部等效物。
權(quán)利要求
1.一種向多個不同觀眾提供已加密內(nèi)容的管制流傳輸?shù)姆椒?���,所述方法包括保持從?nèi)容流(106)中用內(nèi)容密鑰(108)進行密碼加密的已加密內(nèi)容流08);保持從所述內(nèi)容密鑰(108)中用一個或多個管制加密密鑰進行密碼加密的已加密內(nèi)容密鑰(114)���,其中每一管制加密密鑰與對應(yīng)于所述多個不同觀眾中的特定觀眾的管制解密密鑰配對���,且每一管制解密密鑰可由除了對應(yīng)于所述管制解密密鑰的特定觀眾以外的觀眾獲得;以及向所述多個不同觀眾供應(yīng)(74)所述已加密內(nèi)容流( )��,其中所述已加密內(nèi)容流08) 嵌有包括所述已加密內(nèi)容密鑰(114)的葉許可證(116),所述已加密內(nèi)容密鑰(114)可由具有與所述一個或多個管制加密密鑰配對的一個或多個管制解密密鑰的觀眾進行密碼解密�。
2.如權(quán)利要求1所述的方法,其特征在于���,所述觀眾對應(yīng)于地理區(qū)域���。
3.如權(quán)利要求1所述的方法,其特征在于����,所述觀眾對應(yīng)于內(nèi)容訂閱級別。
4.如權(quán)利要求1所述的方法�����,其特征在于�,所述已加密內(nèi)容流是共同構(gòu)成信道的多個已加密內(nèi)容流中的一個,每一已加密內(nèi)容流嵌有包括與該已加密內(nèi)容流相對應(yīng)的已加密內(nèi)容密鑰的葉許可證���。
5.如權(quán)利要求4所述的方法��,其特征在于��,所述多個內(nèi)容流包括至少一個視頻流和至少一個對應(yīng)的音頻流���。
6.如權(quán)利要求5所述的方法���,其特征在于�,所述多個內(nèi)容流還包括第二音頻流。
7.如權(quán)利要求5所述的方法����,其特征在于,所述多個內(nèi)容流還包括第二視頻流��。
8.如權(quán)利要求1所述的方法�����,其特征在于��,所述葉許可證的多個副本被嵌入在所述已加密內(nèi)容流內(nèi)且在時間上間隔開�����,以適應(yīng)剛剛加入所述已加密內(nèi)容流的多個內(nèi)容消費設(shè)備中的一個或多個����。
9.如權(quán)利要求1的方法�����,其特征在于����,還包括改變對所述內(nèi)容密鑰進行密碼加密的所述一個或多個管制加密密鑰以形成更新的已加密內(nèi)容密鑰��,以及供應(yīng)嵌有包括所述更新的已加密內(nèi)容密鑰的更新的葉許可證的已加密內(nèi)容流��。
10.一種與多個可能的觀眾中的第一觀眾相關(guān)聯(lián)的內(nèi)容消費設(shè)備(M)��,包括數(shù)據(jù)保持子系統(tǒng)(1 )���,所述數(shù)據(jù)保持子系統(tǒng)保持可由邏輯子系統(tǒng)(15 執(zhí)行來進行以下操作的指令請求(62)內(nèi)容許可證����,其中請求包括(64)具有非對稱密鑰對的公鑰的客戶機證書����;接收(72)包括與所述公鑰在密碼上綁定的多個候選管制解密密鑰的第一子集的所述內(nèi)容許可證,每一候選管制解密密鑰對應(yīng)于所述多個可能的觀眾中的特定觀眾���,所述第一子集排除對應(yīng)于所述第一觀眾的候選管制解密密鑰�����;接收(7 從內(nèi)容流中用內(nèi)容密鑰進行密碼加密的已加密內(nèi)容流����,所述已加密內(nèi)容流嵌有包括已加密內(nèi)容密鑰的葉許可證,所述已加密內(nèi)容密鑰是從所述內(nèi)容密鑰中用與所述第一子集的一個或多個候選管制解密密鑰配對的一個或多個管制加密密鑰進行密碼加密的��;經(jīng)由所述非對稱密鑰對的私鑰從所述第一子集獲取(77)所述一個或多個候選管制解密密鑰����;用所述一個或多個候選管制解密密鑰對所述已加密內(nèi)容密鑰進行密碼解密(78)�,來獲取所述內(nèi)容密鑰;以及用所述內(nèi)容密鑰對所述已加密內(nèi)容流進行密碼解密(78)�。
全文摘要
本發(fā)明涉及已加密內(nèi)容的流傳輸。通過一種方法來提供已加密內(nèi)容的流傳輸���,該方法包括保持從內(nèi)容流中用內(nèi)容密鑰進行密碼加密的已加密內(nèi)容流�����,以及保持從該內(nèi)容密鑰中用一個或多個管制加密密鑰進行密碼加密的已加密內(nèi)容密鑰��。每一管制加密密鑰與對應(yīng)于特定觀眾的管制解密密鑰配對���,且每一管制解密密鑰可由除對應(yīng)于該管制解密密鑰的特定觀眾的觀眾獲得��。該方法還包括向多個不同觀眾供應(yīng)該已加密內(nèi)容流��。該已加密內(nèi)容流嵌有包括已加密內(nèi)容密鑰的葉許可證��,且該已加密內(nèi)容密鑰可由具有與一個或多個管制加密密鑰配對的一個或多個管制解密密鑰的觀眾進行密碼解密���。
文檔編號H04L9/18GK102546609SQ20111044315
公開日2012年7月4日 申請日期2011年12月14日 優(yōu)先權(quán)日2010年12月15日
發(fā)明者A·J·奧內(nèi), B·博恩, Q·S·伯恩斯 申請人:微軟公司