专利名称:用于条件访问和数字权限管理的系统和方法
技术领域:
本发明一般涉及数字媒体递送和管理系统。更具体地,本发明属于数字权限管理
系统。
背景技术:
数字媒体通常是指可以由数字处理系统以一种方式或另一种方式处理的某形式 的电子媒体。与模拟媒体不同,数字媒体一般以数字形式(例如,二进制格式)被传输、存 储和/或处理。 在过去的几十年使用数字媒体越来越多,这一部分是由于其相比模拟媒体更优越 的技术优势,例如噪声鲁棒性,一部分是由于各种数字信息处理系统(例如,个人电脑和CD 或DVD播放器)的宽可用性。数字媒体一般更容易处理和/或管理,且它们通常被认为具有 更高的感知品质。数字广播在有线电视和卫星电视或无线电行业中的发展势头逐渐增加。 此外,在美国,陆地数字电视(DTV)广播尝试计划在2009年早期取代模拟电视。
但是,数字媒体的更好的处理能力同样是使用数字媒体的不利方面。例如,数字媒 体或更准确地说与数字媒体相关联的数字数据可以不需要成本或花费非常小的成本就能 被无限制地复制而没有任何的质量损失。另外,数字媒体可以很容易地部分或整体被改变 或修改或复制而不需任何责任性。这会妨碍在许多潜在应用领域中广泛采用数字媒体。这 尤其会体现在受版权保护的媒体、或需要保护传输、访问或复制的媒体上。在许多情况中, 为了执行与数字媒体相关联的某些任务或操作,用户需要特别权限或准许。这通常被称为 数字权限。术语数字权限有时是指与数字媒体相关联的合法权限。有时其是指技术权限或 能力,且并非必须与权限的持有者的合法权限一致。 数字权限管理(DRM)系统管理数字权限和媒体其它类型的权限。许多数字媒体发 行人和销售方使用DRM系统来保护受版权保护的或访问控制的材料。典型的DRM系统使用 各种技术措施来识别、描述、分析、评估、交换、监控以及跟踪数字权限。例如,DRM系统通常 使用复制保护措施来控制和/或限制数字媒体内容的使用和访问。在商业环境中,DRM提 供用于控制数字媒体的任何复制和传播的方法,由此能征收适当的费用(例如,每次复制 或每次执行媒体内容)。 为了实现该目的,典型的DRM系统使用加密和解密软件以及基于其它软件或硬件 的安全措施。例如,使用高级访问内容系统(AACS)对HD DVD或蓝光(Blue-ray)电影进行 加密或加扰。介质上的数据在以MPEG-4的格式被压縮或编码之外还被加密,且只能使用一 个或多个有效解码密钥才能被解密并浏览。在典型的DRM方案中,DRM服务器根据适用的 策略通过加密而将数字内容打包。 —旦数字内容被递送,DRM客户端对该内容解包,并根据用户的权限使该内容可被 用户访问。DRM客户端可以包括台式计算机、手持设备、机顶盒、移动电话以及其它便携式设 备和其它专用数字媒体播放器(例如,用于音乐、电影等)以及电视机和无线电装置。数字 权限通常被与打包的媒体内容分开分配到客户端。它们可以在内容分配的同时被分配,或者可以在需要时例如在存储或重放时被动态地访问。 在有线电视行业以及其它相关行业例如卫星广播中,媒体由条件访问(CA)系统 来保护。CA是指将对受保护内容的访问限制到授权用户的技术。在典型CA系统中,例如 在有线电视行业使用的CA系统中,加扰后的媒体内容与称为控制字(CW)的解密密钥一起 被递送。控制字内嵌在称为ECM(授权控制消息)的加密消息中,该加密消息可以通过使用 称为服务密钥(SK)的另一个密钥而被解密。服务密钥在称为E匪(授权管理消息)的不同 消息中被递送给用户,且可以使用用户特定解密密钥或用户密钥(UK)来解密该服务密钥, 所述用户特定解密密钥或用户密钥一般与硬件或固件层的客户端设备相关联,例如"智能 卡"。每个密钥的有效时间根据目的而变化,且根据不同的应用而变化。 一般来说,CW的有 效时间比SK的有效时间短得多(对现场视频流而言是0. 1秒的级别),SK的有效时间例 如针对有线电视中的订阅频道而言大约是月的级别。SK和CW还可以与特定媒体例如付费 观看的电影标题相关联。區通常是永久的,但是可以通过向用户提供新的智能卡而更换该 UK。典型的CA系统还具有将UK从未授权设备取消的能力。应当注意,CW通常不是用户指 定的。使用(订户指定的)SK,系统可以同时向订户安全地广播其它公共信息,例如CW或媒 体内容,而不需要针对每个订户广播不同的节目。 —个节目的数字媒体内容(例如,视频和音频信号),在有线电视的情况中通常是 MPEG-2或MPEG-4格式,有时与其它节目的数字媒体内容一起被复用,由此多个节目像是同 时被传输。CA系统对数字形式的节目进行加扰,并将授权控制消息和授权管理消息与该数 字形式的节目一起传输,以在多路信道内(例如,用于卫星)或通过频带外信道(例如,用 于有线)进行广播。 通常使用对称密钥加密技术来完成内容加密,而使用公共密钥/私人密钥加密技 术来完成密钥加密。在对称密钥加密技术中,相同或基本等同的密钥用于对数据进行加密 和解密。在非对称或公共密钥加密技术中,不同但相关的密钥用于对数据进行加密和解密。 公共密钥可以以某种加密方案从对应的私人密钥中得出,但是反之不成立。通常,从计算需 求来说,基于对称密钥加密技术的加密/解密方案比使用非对称密钥加密技术的加密/解 密方案花费的更少。 通常,位于接收端的例如机顶盒(STB)的客户端设备对数据流进行解扰,并解码 MPEG-2数据,以进行观看。STB的调谐器部分接收进来的信号,对该信号解调,并重构包含 多个信息分组的传输流。机顶盒可以对授权管理消息、授权控制消息以及媒体内容进行解 复用。包含在授权管理消息和授权控制消息中的数据(例如,服务密钥和控制字)用于对 加密的节目内容进行解扰。机顶盒然后对MPEG数据进行解码并提供用于观看的内容。
图1以框图的形式示出了示例性DRM/CA系统的总体"体系结构"。该图示出了所 有再次在相同安全系统中与数字管理系统或条件访问服务器101相关联的虚构区或范围。 DRM系统可以具有其自己的服务器。或者,可替换地, 一些相关的CA服务器可以用于各种 DRM目的,例如对客户端进行认证。DRM系统还可以通过其它方法管理与数字媒体相关联的 数字权限。该DRM系统的一个示例是在线电影分配器系统。在该示例中,DRM服务器lOl 通常处于从DRM客户端设备103经过例如有线网络、卫星网络、无线电话网络或因特网的网 络102后的位置。当来自DRM服务器101或其它数字媒体服务的数字媒体被递送到客户端 103时,客户端在其能播放或显示递送的内容之前首先需要获得合适的准许或授权。CA服务器101通常位于从客户端设备103经过例如有线网络、卫星网络、无线电话网络或因特网 的网络102的位置,客户端设备103可以是CA客户端或机顶盒。当来自DRM/CA服务器101 或其它数字媒体服务的数字媒体被递送到客户端103时,客户端在其能播放或显示递送的 内容之前首先需要获得合适的准许或授权。该准许通常以之前所述的ECM(例如,在有线电 视传输中)被递送。在典型的实时数字媒体递送系统例如有线电视中,所需的ECM与数字 媒体内容同时被递送。在图1所示的示例中,DRM/CA服务器101负责各种DRM/CA相关的 任务,并向经认证的客户端103提供用于访问已授权给该客户端的数字媒体内容的必要支 持。客户端可以在显示器105上实时播放媒体和/或存储该媒体以用于以后观看。该图示 出了与客户端相关联的DRM范围内的存储单元104。在一些情况中,该存储单元104可以是 客户端设备103的一部分。数字媒体通常以加密/加扰的形式或以其它保护形式被存储在 存储单元中。在该示例中,DRM系统用于保护所存储的数字媒体。为了例如媒体播放器的 客户端设备能够访问所存储的媒体的内容,该客户端设备需要具有合适的准许,该合适的 准许在该客户端被合法授权对该数字媒体进行某些操作的情况下由DRM/CA系统提供。
图2示出了用于条件访问(CA)方案的某些实施中的各种消息或数据类型。具体 地,该图示出了授权管理消息(E匪)134、授权控制消息(ECM)140以及加扰后的内容146与 各种加密/解密密钥,其通常用于有线电视行业的CA系统中。客户端设备(图中未示出) 通常包括与CA服务器(未示出)相关联的安全设备130,且该安全设备具有代表订户的唯 一用户密钥(UK)132。安全设备130可以是智能卡。用户密钥132可以用于解密授权管理 消息(E匪)134,该E匪134具有加密的服务密钥(SK)138。客户端或安全设备130使用用 户密钥132来执行E匪解密136,以恢复服务密钥138。另一方面,授权控制消息(ECM) 140 包含加密的控制字(CW)144。在典型的操作中,客户端或内嵌的安全设备130还使用服务密 钥138来执行ECM解密142,以恢复控制字144。加扰后的内容146,即用CW 144加密的数 字媒体内容,可以通过使用控制字而被解扰,以生成清晰的内容150。典型地,在148,CA服 务器向授权的客户端提供控制字以对内容进行解扰。解扰后的或清晰的数字媒体内容150 可以在客户端设备上被播放或被再次加密以用于进一步处理或(暂时或永久)存储。但是, 在许多情况中,加扰后的内容146有时与ECM 140—起被记录,以用于之后的使用且由复制 保护(CP)系统、DRM系统或不同的CA系统来保护。DRM系统根据E匪和/或ECM中的信息 来管理权限。 应当注意的是,在本公开的图2和其它图中,加密和解密密钥分别由锁和钥匙从 符号上来表示。即使这两种不同符号尽可能保持一致性地来使用,但是应当理解的是,在对 称密钥加密技术中,相同或基本等同的密钥用于加密和解密操作,而在公共密钥加密技术 中,加密密钥(即,锁)和解密密钥(即,钥匙)不同,且特别地,从对应的加密密钥导出解 密密钥从计算上来讲是不可行的。如之前所述,在数字媒体递送和管理中,通常使用对称密 钥加密技术( 一般计算更少)来完成内容加扰(例如,数字媒体内容的加密),而通常使用 公共密钥加密技术( 一般更容易交换)来完成密钥加密(例如,服务密钥的加密)。
虽然图2示出了 CA系统的特定加密/解密方案,但是可以理解的是,还可以使用 不同的方案。 一般来说,授权管理消息被单播到单独设备以单独许可授权,且授权控制消息 一般被广播到所有设备,以全局(global)提供用于获取对广播流进行解扰的内容密钥的 信息。服务密钥代表从授权管理消息恢复的授权,而控制字代表从授权控制消息恢复的用
10于对媒体内容进行解扰的密钥。数字电视系统的解扰器使用标准算法,例如数字视频广播 公共加扰(DVB-CSA)和高级电视系统协会(ASTC)标准(陆地广播条件访问系统)的数字 加密标准(DES)。解扰器(例如,图2中的148)可以很方便地设置在客户端设备中的多个 组件的任意一个上(例如,桥、显示装置(renderer)或存储系统)。 关于图3A和图3B,该图中示出了 CA服务器和/或DRM系统递送并保护的数字媒 体内容的示例情况。在图3A中,访问控制设备172,通常是客户端设备的一部分(图中未示 出),具有用于解密授权管理消息176的用户密钥174,该授权管理消息176包含加密的服 务密钥(SK),而该服务密钥用于之后对授权控制消息178进行解密。ECM 178包含加密的 控制字(CW)。被控制字加密的加扰后的内容180则由客户端设备进行解密。具有合适权 限的访问控制单元172或与客户端设备相关联的任意组件使用控制字184对受保护的内容 182进行解扰,并向用户提供内容186。内容可以被重新加扰,并存储在存储设备中以用于 以后观看或该内容可以被提供用于实时使用。客户端设备可以直接记录原始CA保护的内 容(例如,如图3A中所示),或者记录通过代替的CA/DRM进行保护的内容(例如,使用替代 授权控制消息加密或使用不同的控制字重新加扰等)。 在图3B所示的情况中,DRM系统保护恢复后的控制字210(在图中由符号密码密钥 208表示)。在该示例中,只有特定CA/DRM客户端(例如,具有用户密钥204的访问控制设 备202,该访问控制设备202具有合适权限(例如,能够访问解密密钥208))可以对DRM保 护的CW 206进行解扰,以获得CW 210。然后,解密的控制字210用于对递送或存储的媒体 内容212进行解扰,以获得清晰的内容214。 在典型的主安全系统(例如,数字TV或卫星TV)的条件访问中,作为全局密钥 的控制字需要频繁改变(例如,每0. 1秒一次),以避免密钥共享攻击。但是,为了本地 (locally)保护DRM系统所记录并存储的内容,对访问控制设备是唯一的控制字不需要频 繁改变。例如,可仅使用一个控制字来对整个记录的电影进行重新加扰。应当注意的是,不 同的CA系统和DRM系统可以具有完全不同的E匪和ECM实现,但是具有用于内容保护的类 似或相同的解扰器(例如,根据ATSC标准)。 多个数字权限管理系统可以用于数字媒体的保护(例如,根据情形,同时地或可 替换地)。例如,数字媒体所有者(例如,电影制片厂)和媒体递送服务(例如,有线公司) 可以将不同且分开的DRM系统用于相同的数字媒体,或用于相同的数字媒体的不同部分。 类似地,相同的有线电视公司(例如,宾夕法尼亚州费城的康姆卡斯特公司)可以针对不同 的情形或不同的域使用不同的CA系统。数字权限管理还可以以分级的方式或在多个域中 被实施。这在图4A中示出,其中不同的DRM(254,258,260)或CA(262)系统还可以用于在 其递送、处理、播放以及存储过程的不同阶段保护数字媒体。例如,图4A示出了在数字媒体 递送期间使用多个CA和/或DRM系统的示例性情形。媒体从CA服务器262被递送到客户 端(例如,图中的存储单元278),且该媒体最初由该示例中同一CA服务器来保护。虚线框 252表示"虚拟域"或区,其中CA服务器262用于执行关于数字媒体的适当访问规则。该图 示出了多达三个虚拟DRM域254、258和260,每个域处于DRM系统的保护下(图中未明显示 出)。当数字媒体从一个DRM系统传递到另一个DRM系统时,可以使用来自 一个DRM系统 的密钥对该媒体内容(及其相关密钥)进行解扰/解密,并使用来自下一个DRM系统的密 钥对该媒体内容进行重新加扰/加密。在图4A所示的示例中,处于CA服务器262保护下的媒体被解扰264,并在DRM系统254中再次被加扰266。通过DRM系统254的解扰268以 及通过DRM系统258的加扰272,媒体然后传递到下一个DRM系统258,并且通过DRM系统 258的解扰274和DRM系统278的加扰276,该媒体再被传递到下一个DRM系统260。在该 示例中,加扰后的数字媒体内容被存储278在例如客户端设备中,且最后的DRM系统260负 责保护存储的数字媒体。靠近数字媒体源的DRM系统通常比靠近接收器(sink)或客户端 的DRM系统更"全局"。换句话说,图中的DRM系统258比DRM系统254更"本地化"。通常, 在全局或上行流DRM系统与本地或下行流DRM系统之间存在一对多关系。应当理解的是, 在该特定示例中,当数字媒体通过DRM系统的边界时,媒体以清晰的形式呈现,其控制从之 前的DRM完全传递到下一个DRM。例如,在图4A标记的270处,媒体(和/或任何相关的安 全密钥)由DRM系统254来解扰,由此DRM系统254失去对媒体内容的控制。媒体然后由 下一个DRM系统258来加扰,由此受到该DRM系统258的控制。这在涉及多个DRM系统的 商业模式(例如图中所示的情形,其中媒体的原始所有者将媒体控制完全传递给其它DRM 系统)中是潜在易受攻击的点。 这种易受攻击性可以通过多种桥保护方案保护,图4B示出了示意性示例,其中显 示了两个不同的DRM域232和234。在该图中,显示了保护的不同阶段(加密A、加密B以 及加密C),但并未显示解密和重新加密过程。在该特定示例中,在第一阶段(加密A),通过 网络236递送的数字媒体首先可以由DRM系统232保护。在第二阶段(加密B),数字媒体 可以由DRM系统232和234来保护。在第三阶段(加密C),数字媒体只可以由第二 DRM系 统234来保护。例如,第一 DRM系统232可以由有线公司来管理,而第二 DRM系统234可以 由电影制片厂来管理。为了用户能播放所递送的内容,该用户根据实施可能需要从一个系 统或两个系统获得合适的访问准许。 一般来说,可以存在多个内容分配器、多个内容所有 者、和/或多个相同数字媒体的内容播放器,每个内容播放器可以具有其自身的DRM或CA 系统。 —些DRM系统可以存储仍然受运营商CA系统保护的内容。在这种模式中,可能需 要对CA服务器的已备访问来访问受保护的数字媒体。例如,当数字媒体存储在用户设备中 时,为了播放所存储的媒体,用户可能需要从对应的CA服务器获得访问授权(例如,以ECM 的形式)。相关ECM或包含于该ECM中的CW还可以在递送媒体内容时被下载。
在一些情况中,CA服务器可以只在重放时提供有效授权。例如,系统可以允许用 户记录没有授权用户在记录时使用的(加扰后的)节目。在用户获得所需权限(例如,通 过购买付费观看服务或通过升级订阅包等)之后,用户可以在之后的方便的时间重放所记 录的信息。如之前所述,在解扰后的内容和/或解密后的密钥被存储到存储设备之前,可以 使用不同方案(例如,基于DRM系统的方案)对解扰后的内容和/或解密后的密钥重新加 扰/加密。 关于桥保护系统的进一步信息可以在2006年6月2日提交的US专利申请 No. 11/446, 427中找到,其作为引用结合于此。桥保护方案给DRM系统的终端客户端带来一 些问题内部DRM系统在桥接发生后如何处理原始DRM保护。例如,在CA规则下的CA媒体 可以存储在DRM系统的客户端中。该客户端常规具有与DRM系统的订阅协议,但是一般不 能直接与CA系统打交道,由此很难在DRM系统下改变CA规则。例如,受CA系统保护的内 容可以由CA系统的访问规则来限制,使得该内容可以在限制的时间段播放(例如,只有一
12个星期)或可以只能重放一次或两次。在该情况中,用户可能必须"升级"CA系统的服务以 获得更大的访问权限,但是用户(例如,客户端)系统是可能不具有例如获得升级所需的所 有密钥的DRM系统。
发明内容
本发明一般属于用于数字媒体递送和管理系统中的条件访问(CA)和数字权限管 理(DRM)的方法和设备。根据一个实施方式,提供用于多个DRM和/或CA域中的条件访问 和复制保护的系统和方法。根据另一个实施方式,提供用于管理存在一个或多个CA服务器 的多个DRM域的方法和设备。 一些实施方式提供用于在数字媒体内容分配系统中桥接多个 DRM系统、桥接多个CA系统或桥接CA系统和DRM系统的方法和设备。本发明的一些实施 方式还提供用于管理数字媒体内容递送和存储系统中的多个DRM域的数字权限的系统、方 法和设备。本发明的实施方式可以简化数字媒体内容递送、条件访问、以及数字权限管理, 并提供在内容已通过桥传递且现在由第二 CA或DRM系统控制后来自第一 CA或DRM系统的 "升级"服务。 根据一个实施方式,提供一种方法,该方法用于下行流DRM客户端获得针对之前 从DRM桥获取的数字媒体内容的来自升级服务器的新权限或许可。DRM桥一般包括原始DRM 客户端和第二 DRM服务器;该DRM桥从原始DRM系统接收媒体内容,并使该内容适用于第二 DRM系统(例如,从第二 DRM服务器到第二 DRM客户端)。在桥中以以下方式执行权限和许 可的转换第二DRM系统的远程DRM升级服务器(并未参与原始转换)可以之后发布针对 相同数字媒体内容的新的或升级的许可。所存储的媒体内容可以通过加密来保护,例如使 用控制字加密,该控制字还可以通过使用服务密钥而被加密。示例性方法包括第二DRM升 级服务器联系原始DRM系统,以获得批准,从而发布新权限或许可,并使用接收信息来升级 或发布针对之前获取的媒体的新权限或许可。原始DRM系统与第二 DRM系统之间的通信可 以或不可以沿着媒体内容的路径(例如,通过桥传递)。原始DRM系统可以是经过桥发送媒 体内容的服务器,或可以是另一个服务器,例如原始DRM系统的账单服务器或升级服务器。 第二DRM系统的升级服务器可以是最初发布许可的DRM服务器(即,桥)或另一个独立的 DRM服务器。 在某些实施方式中,第二DRM系统的客户端向第二DRM服务器发送请求以获得新 许可。第二 DRM服务器然后与原始DRM系统通信,以获得批准,从而发布新权限,并将响应 传送到第二DRM客户端。该响应提供针对之前获取的媒体内容的新权限或许,可以使第二 DRM客户端能够根据其请求来访问媒体。在一些情况中,第二 DRM服务器与原始DRM系统之 间的通信通过原始DRM客户端传递,因此使用桥(原始DRM客户端/第二 DRM服务器桥) 传输信息。原始DRM客户端则可以与原始DRM服务器通信。 在某些实施方式中,第二 DRM服务器在发布新许可之前联系第二 DRM系统的升级 服务器。在一些情况中,第二 DRM服务器与升级服务器之间的通信通过原始DRM客户端传 递,由此使用桥来传输信息。与升级服务器的通信可以通过原始DRM客户端。DRM升级服务 器然后与原始DRM服务器通信或与原始DRM账单服务器通信,以接收响应。
在某些实施方式中,第二 DRM系统的客户端发送请求到第二 DRM系统的升级服务 器,以获得新许可。升级服务器对于DRM客户端而言一般是在线可用的,并与原始DRM系统通信,以升级针对媒体内容的权限或许可。所联系的原始DRM系统可以是原始DRM账单系 统服务器或发送媒体内容的原始匿R服务器。来自升级服务器的响应可以根据客户端请求 来升级媒体内容许可。 在至少一种实施方式中,提供用于管理与在多个DRM系统(例如,级联桥)保护下 的数字媒体相关联的数字权限的系统和方法。本发明的某些实施方式还提供用于桥接数字 媒体内容分配和存储系统中的多个DRM系统的方法和设备。在一些实施方式中,各种方法 被用于在多个不同DRM系统之间升级媒体内容的权限或许可。媒体内容存储在第二DRM系 统中,优选地存储在第二 DRM客户端中,具有来自DRM桥的初始第二 DRM许可。
根据本发明的一些实施方式,执行以下操作(a)从第二数字权限管理系统联系 原始数字权限管理系统,以获得批准,从而发布针对已经获取的媒体内容的新的许可或权 限;(b)通过第二数字权限管理系统在来自原始数字权限管理系统的准许下,升级许可或 权限,且该升级一般通过将来自原始数字权限管理系统的关于许可或权限的响应传送到第 二数字权限管理系统而发生。根据某些实施方式的操作解决潜在问题,例如使原始DRM根 据第二 DRM系统许可来识别媒体内容的所有者和类型,使得原始DRM系统可以适当记录并 批准交易,以及安全地发布新许可而不需要原始DRM系统向第二DRM客户端重新发布相同 的媒体内容。例如,根据某些实施方式的操作提供从原始DRM系统经过桥到DRM客户端获 取CA规则(或其它DRM规则)的方式。媒体可以从CA系统(原始DRM系统)初始生成,其 中订户和事件信息可能在桥接中丢失且不能为第二DRM客户端所知。或者由于服务或内容 密钥被加密以使其只能用于第二 DRM客户端,因此服务器可能不能读取服务或内容密钥。
根据本发明的另一个实施方式,提供用于第二 DRM系统远程服务器升级DRM桥发 布的数字媒体内容的权限或许可的方法。初始第二DRM许可可以包括允许升级操作与原始 DRM系统协调的附加信息。该方法可以包括以下操作(a)从第二DRM系统的DRM客户端向 第二DRM服务器发送升级权限或许可的请求。在一些实施方式中,升级请求进入到原始发 布许可的第二DRM服务器(即,桥)。在其它实施方式中,请求被发送到另一个独立的第二 DRM服务器。(b)在完成交易之前,使第二DRM更新服务器使用已由桥添加的附加信息从原 始DRM服务器请求批准。在一些情况中,当第二 DRM更新服务器是DRM桥时,可以使用原始 DRM服务器返回路径来携带该请求。在一些其它情况中,当第二DRM更新服务器是单独的服 务器时,可以在两个服务器之间以商业对商业交易来携带请求。(c) 一旦原始DRM服务器批 准,使第二 DRM更新服务器从由桥添加的附加信息中提取服务或内容密钥,并使用相同内 容但是具有新权限的密钥来生成第二 DRM客户端的新许可。 在一种实施方式中,当桥中的第二DRM服务器创建初始第二DRM许可时,其可以添 加附加数据(即,许可更新数据)到许可或紧接许可添加附加数据以用于激活之后更新 (a)识别优选第二DRM更新服务器的信息(例如,URL) ; (b)可以由原始DRM服务器用来批 准许可更新的信息,包括订户标识(例如,订户ID)、设备标识(例如,设备ID)、媒体标识 (例如,事件ID)、目标DRM客户端信息(例如,客户ID)以及调度信息(例如,时间戳);以 及(c)DRM更新服务器所需要的用于获取媒体内容的当前服务或内容密钥的信息。在一种 实施方式中,许可更新数据的一部分或全部的安全性由第二DRM系统来提供。在另一个实 施方式中,许可更新数据的一部分或全部的安全性由原始DRM系统来提供。许可更新数据 可以根据需要而与媒体内容一同被存储在第二 DRM客户端中,作为初始第二 DRM许可的一部分或紧接着第二 DRM许可。加密的媒体内容与匹配许可的关联可以被制定成在第二 DRM 系统域中是准唯一 (quasi-unique)的一组清楚的索引号。在一些实施方式中,识别优选第 二DRM更新服务器的信息(例如,URL)还可以包括作为协议(argument)的所有其它许可 更新数据。 在一些情况中,来自第二 DRM客户端的许可更新请求可能需要原始DRM服务器直 接或间接向第二DRM客户端发送媒体内容的多个可用选项(S卩,进一步的重放、无限制连续 复制、烧录到DVD等等)。在一些情况中,响应通过与客户端请求的路径不同的通信路径被 递送到客户端。 在一些情况中,来自第二 DRM客户端的许可更新请求可以指示第二 DRM更新服务 器发布针对另一个设备(而不是第二DRM客户端)的新许可。如果初始第二DRM许可是旧 的或者被导致不再有效,则该操作对应于已登记的动作,如果初始第二 DRM许可仍然保持 有效,则该操作导致已登记的内容复制。 在一些情况中,来自第二 DRM客户端的许可更新请求指示第二 DRM更新服务器与 第三DRM系统的DRM服务器一起工作,以发布针对第三DRM系统的客户端的许可。该操作 导致已登记的内容桥接。 通过本发明可以实现比常规技术更多的好处。例如,本发明可以提供原始DRM服 务器参与到与其原始发布的媒体内容相关的所有交易中,即使DRM系统之间的一个或多个 桥接操作已经被执行。本发明甚至在内容已经移动到通常不受原始DRM系统控制的设备 时,给予原始DRM系统控制和权限。通常,原始DRM服务器不需要知道下行流DRM服务器如 何被操作的具体细节,不需要携带认证和撤销下行流DRM客户端所需的下行流DRM系统的 证书和撤销清单,也不需要被批准、证实或符合下行流DRM系统的鲁棒性和一致性规则。在 本发明的一些实施方式中,甚至在相关DRM系统使用不同内容加扰方案时都可以实现安全 桥接。此外,本发明可以提供至少一个DRM系统在桥接期间安全地保护媒体内容(例如,通 过在源DRM系统提供内容的升级服务)的过程。根据该实施方式,可以实现一个或多个这 些好处。本说明书中将进一步描述这些及其它好处。 因此,总而言之,除了别的之外,本发明的至少一些实施方式提供用于执行逆向 DRM桥操作的方法,其中需要初始第二 DRM许可在被修改之前发回到原始DRM服务器。此 外,本发明的一些实施方式允许桥接媒体内容的多种再利用,包括但不限于扩展重放权限 的能力、能进一步复制、将内容输出到其它设备和其它DRM系统。所有这些交易都是以原始 DRM服务器的批准为条件的,且由此保证原始权限所有者保持对其在多种DRM生态系统间 的资产的控制。出于描述的目的,CA系统被视为DRM系统的一种形式。应当理解,术语"升 级(upgrade)"以及"升级中(upgrading)"包括许可或权限的改变,其可以被视为降级(例 如,该改变限制了减少其订阅费的顾客的某些使用)。本发明的这些和其它实施方式、特征、 方面以及优点通过以下详细描述并结合附图以及所附权利要求将变得更明显。
在附图中以示例而非限制的方式示出了本发明,其中相同的数字表示类似的元 件,其中 图1示出了示例性DRM环境,其中数字媒体被递送和管理。
15
图2示出了在示例性条件访问(CA)系统中使用的各种消息类型,该图显示了授权管理消息(E匪)、授权控制消息(ECM)以及使用控制字(CW)加扰(例如,加密)的数字媒体内容。 图3A示出了保护数字媒体的示例性情形,该图示出了各种相关消息,包括服务密钥(SK)、控制字(CW)以及加扰后的数字媒体内容。 图3B示出了另一个示例性情形,其中数字权限管理(DRM)系统保护数字媒体。
图4A示出了示例性环境,其中多于两个CA和/或DRM系统被采用,以保护数字权限,该图包括一个CA服务器和三个DRM系统。 图4B示出了示例性环境,其中存在多个DRM域用于保护同一数字媒体,该图示出了由两个DRM域保护的三个DRM内容阶段。 图5A是两个示例性数字权限管理(DRM)系统的示意性表示,该图还示出了与每个DRM系统相关联的相关加密和解密密钥,在该示例中, 一个DRM系统或两个DRM系统保护数字媒体内容。 图5B-图5D示出了示例性环境,其中两个DRM/CA系统用于保护与数字媒体相关联的数字权限,在每个图的中间示出的桥将系统分成两个区,在左手侧,媒体由CA系统来保护,而在右手侧,媒体处在不同DRM系统的保护下,在典型应用中,桥相对于DRM客户端是DRM服务器而相对于CA服务器则是CA客户端。 图6示出了示例性环境,其中本发明用于两个DRM/CA系统中,CA系统保护的媒体经过桥而被存储到DRM系统中,并由该DRM系统保护。 图7A-图7C示出了各种示例性通信路径,用于第二 DRM客户端联系原始DRM系统以升级媒体权限或许可。 图8示出了示例性环境,其中本发明用于三个级联DRM/CA系统中,CA系统保护的媒体经过多个桥而被存储在DRM系统中。 图9示出了根据本发明的某些实施方式的示例性过程的流程图,该流程图中所示的过程包括由两个不同实体执行的两个操作。 图IOA是示出根了据本发明的一个实施方式的升级过程的流程图,具体地,该图
显示了经过用于通信的桥的关于升级数字媒体内容的权限或许可的的操作。 图IOB是示出了根据本发明的一个实施方式的升级过程的流程图,具体地,该图
显示了使用升级服务器且不联系桥服务器的操作。 图IOC是根据本发明的一个实施方式的升级过程的流程图,具体地,该图显示了使用升级服务器以及可选桥服务器联系的操作。 图11示出了示例性环境,其中可以实施本发明的各种实施方式。 图12示出了可以与本发明的各种实施方式相关联使用的数据处理系统的典型
"体系结构",例如该图中示出的示例性系统可以表示桥或DRM服务器。 图13A示出了称为转扰(transcrambling)的加密方案,其将使用一个密钥加扰的
输入内容转换成使用不同密钥加扰的内容,该转换完全在该图矩形框示意的硬件中进行。
图13B示出了称为超扰(superscrambling)的加密方案,使用来自两个DRM系统的两个控制字对数字媒体内容加双倍扰,该双倍扰后的消息还包括加密的控制字。
图13C示出了称为共密(simulcrypt)的加密方案,该图示出了两个授权控制消息(ECM),从"ECM1"或"ECM2"中可以获得解密加扰后的数字媒体内容所需的控制字"CWA"。
图13D示出了称为密钥翻转(key rotation)的桥接方法,其基于假定两个DRM系统使用相同的内容加扰算法(公共加扰(common scrambling))。 图14A示出了在本发明的某些实施方式中的示例性过程,具体地,该图示出了根据一个实施方式的加密或加扰过程,如图所示,使用两个控制字"CW A"和"CW B"对内容进行双倍加扰(或过扰)。 图14B示出了根据本发明的一个实施方式的当通过IP使用时的DTCP(数字传输内容保护)数据分组的示意表示,DTCP分组对加扰后的数字媒体内容和其它相关安全密钥进行编码。 图14C示出了本发明的某些实施方式中的加密的消息和加密/解密密钥的列表,具体地,该内容已如图13A所示被过扰。
具体实施例方式
下面将参考附图对本发明做更全面的描述,在附图中示出了本发明的各种示例性实施方式。但是,本发明可以以不同形式体现,且不应当理解为限制于在此所公开的实施方式;相反,提供这些实施方式是为了使得本公开全面和完整,且可以向本领域技术人员表达本发明的范围。同样,出于解释的目的,在以下描述中提出了各种具体细节以提供对本发明的全面理解。但是对本领域技术人员来说很明显的是,本发明可以在没有这些具体细节的情况下被实施。在其它情形中,公知结构和设备以框图的形式示出以避免不必要地使本发明晦涩。 本说明书中引用"一种实施方式"或"一个实施方式"是指结合实施方式描述的特定特征、结构或特性包括在本发明的至少一个实施方式中。因此,本说明书不同地方出现的短语"在一种实施方式中"或"在一个实施方式中"不是都必须涉及相同的实施方式。此外,在一种或多种实施方式中,可以以任何合适的方式结合特定特征、结构或特性。
本发明提供用于数字媒体内容的条件访问和保护的系统、方法和设备。本发明的实施方式提供用于管理在一个或多个条件访问(CA)和/或数字权限管理(DRM)系统的保护下的数字权限的方法。根据一些实施方式,提供用于桥接数字媒体分配和存储系统中的多个DRM系统的系统和方法,该系统和方法提供了多个DRM系统之间的通信,使得由原始DRM系统加密的媒体内容可以由第二 DRM系统来评估。媒体内容通常由原始DRM系统的加密算法来保护,且该加密反映了原始DRM系统施加给媒体的某些权限或许可。DRM系统之间的通信向第二 DRM系统提供了访问,使得通过经过两个DRM系统之间的桥或边界,媒体内容的原始权限或许可可基于在桥转换时适用的条款或条件而被转换成第二DRM系统的新的权限和许可。但是,DRM桥经常需要能够在条款和条件发生改变的情况下随时间进一步更新第二 DRM系统内容许可。 一个示例是只要保持原始CA订阅,则CA系统批准所记录的在第二DRM系统保护下的媒体内容的重放。在该情况中,DRM桥发布的原始许可可能不允许任何重放权限。该过程包括第二DRM系统向DRM桥请求更新后的批准重放的许可。另一个示例可以是一旦内容已经被观看,则CA系统有可能追售(up-sell)在一段内容上执行某种操作的权限(即,追售将内容烧录到可记录DVD的权限)。过桥控制(control acrossbridge)允许原始DRM系统无缝分配媒体内容到第二 DRM系统,而不用将内容暴露给未批准的使用。过桥控制还允许第二 DRM系统的客户端无缝访问例如升级权限或许可、原始DRM系统提供的媒体内容。在某些实施方式中,经过桥的媒体内容由两个DRM系统保护,其中原始DRM系统提供媒体内容的旧权限和许可,而第二DRM系统提供对该权限和许可的可升级访问。
现在参考图5-图14C,详细描述了本发明的各种实施方式。图5A-图5D示出了示例性环境,其中本发明的一些实施方式可以被实施。在图5A中,描绘了两个示例性数字权限管理(DRM)系统522和534的示意性表示。每个DRM系统从符号上由加密密钥和解密密钥来表示。更具体地,DRM系统522包括加密密钥524和528以及它们分别对应的解密密钥526和530, DRM系统534包括加密密钥536和540以及它们分别对应的解密密钥538和542。在有线TV广播的情况中,第一对加密和解密密钥(例如,524和526)表示服务密钥(SK),第二对(例如,528和530)表示控制字(CW)。控制字用于对数字媒体内容进行加扰和/或解扰。在一些实施方式中,对称密钥加密技术可以用于一些任务或功能。在这种情况中,一对或多对加密和解密密钥可以是彼此相同或等同(从计算的角度)。例如,如果对称密钥加密技术用于DRM系统522中以对数字媒体内容进行加扰,则密钥528和530基本相同。在一些情况中,加密密钥528可以从解密密钥530中导出,但是反之不成立。在一些实施方式中,使用对称密钥加密技术完成内容加密(例如,使用控制字对媒体内容进行加扰)以及使用非对称密钥加密技术完成密钥加密(例如,使用服务密钥加密控制字)。通常,基于对称密钥加密技术的加密/解密方案从计算上将比使用非对称密钥加密技术花费更少。
图5A还示出了数字媒体内容532,其可以在第一 DRM系统522或第二 DRM系统534或这两者的保护下。这两个DRM系统可以用于同时或可替换地不同时或在递送和处理的不同阶段保护数字媒体。例如,数字媒体所有者(例如,电影制片厂)和媒体分配服务(例如,有线网络公司)可以针对相同的数字媒体、或相同数字媒体的不同部分,使用不同且分开的DRM系统(例如,522和534)。例如,图4A和图4B中已示出了这一情形。在图5A所示的示例中,从例如条件访问服务器(图中未示出)递送的数字媒体532首先可以由第一 DRM系统522保护,该第一 DRM系统522可以由例如与有线公司相关联的CA服务器管理。为了播放递送的内容或获得还没接收的附加权限,用户可能需要从CA系统522和DRM系统534获得合适的访问准许。假定现在已经播放了数字媒体内容且被存储用于以后观看。该存储的内容可以置于第二 DRM系统534的保护下,该第二 DRM系统534可以例如由对所存储的数字媒体的部分或全部享有版权的电影制片厂来管理,或者由某种内容管理设备或软件来管理。在某些实施方式中,所存储的内容仍然可以由第一DRM系统522与第二系统534 —起来保护。在某些实施方式中,在媒体递送、处理、播放以及存储过程期间的某个时间点,可以移去第一 DRM系统522的保护且所存储的数字媒体532只由第二 DRM系统534来保护。在这种类型的应用中,第一 DRM系统522将被认为是更"全局"的(例如,更接近数字媒体的分配者),而第二 DRM系统534将为认为是更"本地"的(例如,更接近数字媒体的消费者)。 图5B-图5D进一步结合不同的示例示出了这一情形。这些图示出了示例性环境,其中两个DRM/CA系统用于保护如图5A中示例的与数字媒体相关联的数字权限。每幅图的中间所示的桥将系统分成两个区。在左手侧,媒体由CA/DRM系统保护,而在右手侧,媒体在不同DRM系统的保护下。桥一般包括CA客户端(或第一 DRM系统的DRM客户端)和DRM服务器(用于第二 DRM系统);CA客户端是相对于CA服务器的客户端,而DRM服务器是相对于第二 DRM客户端的服务器。第一 DRM系统(S卩,图中左手侧的CA服务器)和第二 DRM系统可以分别与图5A的控制字528/530和540/542相关联。应当注意的是,每个DRM系统可以与多于一个(对)的控制字(和/或多于一个的服务密钥)相关联,即使在图中没有明确显示。如之前所述,在例如在有线TV广播中使用的一些系统中,控制字的典型寿命是0. 1秒或1秒的数量级。在参考图5B-图5D,每幅图的中间示出了 DRM桥556。在桥的左手侧,数字媒体从CA服务器522被递送。在右手侧,客户端(例如,与DRM客户端560相关联)使用数字媒体。图5B示出了数字媒体内容由CA服务器552a递送并由同一个CA服务器进一步保护的情形。媒体被存储在桥的左手侧的存储装置554a上,例如机顶盒、计算机、媒体娱乐系统或其它数据处理系统。在该特定情形中,第二或"本地"DRM系统(图中表示为DRM客户端560a)依靠CA服务器552a执行数字权限,该数字权限包括与存储装置相关的数字权限和与来自DRM桥的下行流的其它内容操作相关的数字权限。如果初始权限和许可在桥操作期间超出提供的权限和许可,则DRM客户端可能需要联系CA服务器以访问媒体。在图5C中,在另一方面,从CA服务器552b递送的媒体内容存储在桥556右手侧的存储装置上,例如个人计算机。应当注意的是,桥一般包括DRM服务器和CA客户端。在这些示例中,桥556担当右手侧(例如,消费者侧)的保护数字媒体的"本地'T)RM服务器的角色。在这种情形中,本地DRM系统(例如,桥556)执行用于存储在存储装置558b中的媒体内容的数字权限保护。但是,为了使CA服务器保持对媒体的控制,使用来自CA规则的某些权限和许可对媒体进行加密,所述权限和许可可以在DRM客户端请求时被升级。图5D示出了另一个示例,其中数字媒体内容被存储在多于一个的设备上。例如,存储装置554c可以是个人计算机或DVR(数字视频录制器),且存储装置558c可以是移动设备。那么桥556可以是执行数字权限保护的"同步"机构的一部分。在该示例中,媒体内容首先由CA服务器552c递送,存储在554c中并进一步由同一个CA系统(或由不同DRM系统)来保护。当用户将媒体内容"拷贝"到在"本地"侧的其它DRM系统的保护下的不同设备/存储装置558c时,桥556会参与其中。之后媒体根据合适的权限可以"本地"被播放或使用而不需要访问原始DRM或CA服务器(例如,552c)。在DRM客户端向合适的DRM服务器系统请求下,该合适的权限可以被升级。 当数字媒体从一个DRM系统被传递到另一个DRM系统时,可以使用来自 一个DRM系统(例如,552)的密钥对该媒体(及其相关密钥)进行解扰/解密,且使用来自下一个DRM系统(例如,556和560)对该媒体(及其相关密钥)进行重新加扰/加密。在图5B-图5D中所示的示例中,在第一 DRM系统和/或CA服务器保护下的媒体被再次解扰和加扰以用于下一个DRM系统(例如,在桥556中)。 当媒体经过不同DRM系统的边界时,旧的权限和许可基于在交易处理时有效的条款和条件被转换成用于本地DRM的等效权限和许可。因此本发明提供用于本地DRM客户端联系原始DRM以在之后升级媒体的权限或许可的装置和方法。下面参考图6-图14,描述了本发明的不同示例性实施方式, 一些实施方式在桥处或桥附近解决升级的问题。下面在两个DRM系统的环境中描述示例。但是对本领域技术人员很明显的是,本发明的实施方式可以使用多于两个的系统来实施,以进行数字权限保护。 现在参考下图,图中示出了本发明的某些实施方式的不同方面。图6示出了本发明的一个示例性实施方式,包括两个DRM系统10和18。该图示出了原始DRM系统IO(包括
19CA服务器11和CA客户端12)通过桥14提供媒体内容给第二 DRM系统18 (包括DRM服务器13、存储装置15、DRM客户端16以及用于DRM客户端的显示器17)。桥14位于两个DRM系统之间,且该桥14包括CA客户端12和DRM服务器13。在该实施方式中,在本地DRM系统的控制下,媒体内容从CA服务器11被递送,经过桥14,被存储在存储装置15上。该桥可以是超扰桥、转扰桥、公共加扰桥、同密桥或过扰桥。 一旦被存储,则媒体内容处于本地DRM系统的保护下,且由此不再受到CA服务器ll的控制。在一个实施方式中,本发明定义一种方法,该方法用于一旦CA系统桥接到本地DRM,则CA系统将内容再利用。例如,CA媒体内容可以包括各种CA规则,例如浏览者可以记录内容,但是浏览者在尝试从所记录的内容重放时必须被认证具有当前订阅。另一个CA规则可以是浏览者可以记录一次且可以免费观看,且只有在支付了每份额外拷贝的预定数量金钱(例如,$3.99)的情况下,方可制作一份拷贝。其它CA规则可以是浏览者可以记录一次,但是只能在支付观看内容的预定数量金钱后才可进行重放。其它CA规则可以是浏览者可以记录一次并可以播放例如30天,且如果支付预定数量金钱(例如,$3.99)则可以延续浏览时间(例如,超过30天无限制使用)。还有另外的CA规则可以是浏览者可以记录一次并可以在特定地点播放,例如客厅,但是只有在支付预定数量金钱(例如,$3. 99)后才可以在其它地点例如卧室播放。
在某些实施方式中,本发明解决了 DRM系统如何被CA系统授权以更新已经递送的数据内容片段的权限和许可的问题。具体地,桥需要将附加数据(例如,许可更新(renewal)数据)包含到原始DRM许可中,使得一旦请求许可更新,该数据可以用于将交易与CA服务器相协调,并更新适用于已经递送的媒体内容片段的许可。升级权限和许可还可以是指为不具有任何之前的权限或许可的媒体内容提供新的权限和许可。
在某些实施方式中,本发明公开了能够在原始第二DRM许可已经被发布后但仍处于原始CA服务器或DRM系统控制下时,修改或升级该原始第二 DRM许可的方法。CA媒体内容一般与原始第二 DRM许可一起被存储在DRM客户端上。内容和许可通过使用公共索引而相互关联。该索引可以是附于内容和许可的指示符或数字(例如,订户ID和事件ID),且由此可以有效识别媒体的内容和许可。索引可用于寻找用于对内容进行解密的DRM许可。
当在桥中的第二DRM服务器创建了原始第二DRM许可时,其还添加了许可更新数据。在一些实施方式中,许可更新数据是原始第二DRM许可的一部分。在一些其它实施方式中,所述数据包括用密码加密地(cryptogr即hically)与原始第二 DRM许可和加密内容相关的独立对象。许可更新数据然后与原始第二 DRM许可和加扰后的内容一起被存储在DRM客户端。许可更新数据可以包括订户ID、事件ID以及服务密钥。第二DRM客户端可以将加密的许可更新数据通过第二 DRM升级服务器传递回CA服务器,以获得新的权限。DRM客户端还可以将加密的许可更新数据通过桥中的DRM服务器传递回CA服务器。
在媒体传送的桥接方案中,本发明的至少一些实施方式还提供用于在更新的权限需要新交易时整理账单以及甚至在第二DRM客户端崩溃且可能丢失一些许可的情况下恢复内容的方案。 图7A示出了本发明的一个实施方式,其中来自CA服务器ll的媒体内容在DRM客户端16的控制下通过桥14传递,并被存储在存储装置15中。该示例性方法包括第二 DRM系统,该系统用于联系CA系统以获得针对已记录媒体内容的新权限或许可。图7A示出了第二DRM客户端升级媒体内容的权限或许可的通信路径的实施方式,所述通信路径包括第二 DRM客户端16与桥14中的DRM服务器13之间的通信路径21 ;DRM服务器13与CA客户端12之间的穿过桥14的通信路径22 ;CA客户端12与CA服务器11之间的通信路径23 ;以及CA客户端12和CA账单服务器20之间的备用通信路径23' 。 CA账单服务器20可以是CA升级服务器,用于升级CA系统的权限或许可。在一个实施方式中,为了升级媒体的权限或许可,DRM客户端16联系CA服务器11或CA账单服务器20,以接收升级响应。CA服务器11是发送媒体的服务器,而CA账单服务器是另一个CA服务器,负责从CA服务器交易中征收许可金或付款。CA服务器与CA账单服务器之间的连接没有示出。用于请求的典型连接路径包括从DRM客户端16通过通信路径21将请求发送到DRM服务器;然后DRM服务器通过桥14的重构将该请求传递到CA客户端12 (路径22);以及CA客户端12之后通过通信路径23将请求传递到CA服务器11或通过通信路径23'将请求传递到CA账单服务器20。 DRM客户端然后通过相反路径接收用于升级媒体内容的响应。在一些实施方式中,CA客户端可能已从CA服务器优先接收授权,以更新第二 DRM许可,且由此不要使用通信路径23和23,。 图7B示出了本发明的另一个实施方式。该示例性方法包括DRM系统联系DRM升级服务器19,该DRM升级服务器19之后联系CA账单服务器20或CA服务器11以获得媒体内容的新权限或许可。图7B示出了用于DRM客户端升级媒体内容的权限或许可的各种通信路径的实施方式,包括DRM客户端16与DRM升级服务器19之间的通信路径25以及DRM升级服务器19与CA账单服务器20之间的通信路径26。可替换地,通信路径26可以被DRM升级服务器19与CA服务器11之间的通信路径26'替换。在一个实施方式中,DRM升级服务器19被设置用于根据来自DRM客户端16的请求来升级媒体的权限或许可。DRM客户端16之后可以通过DRM升级服务器19联系CA服务器11或CA账单服务器20,以请求升级媒体内容。用于请求的典型连接路径包括请求从DRM客户端16通过通信路径25发送到DRM升级服务器19 ;然后DRM升级服务器19通过通信路径26'将请求传递到CA服务器11或通过通信路径26将请求传递到CA账单服务器20。 DRM客户端然后通过相反路径(例如,路径26到路径25、或路径26'到路径25)接收用于升级媒体内容的响应。该相反路径不必与前向路径相同。例如,响应可以通过不同的返回路径(例如,图7A中所示的返回路径)而被发送。该不同的返回路径可以是从CA服务器11或CA账单服务器20分别到CA客户端12的路径23*或23** ;然后从CA客户端12通过桥14到第二 DRM服务器13的路径22* ;以及最后从第二 DRM服务器13到第二 DRM客户端16的路径21*。该实施方式通过使用DRM升级服务器和/或CA账单服务器,简化了升级通信。在至少某些实施方式中,DRM升级服务器19联系CA账单服务器20或CA服务器11以用于升级,且这可以使CA账单服务器20与CA服务器11彼此通信,以例如同步其关于媒体升级的信息(例如升级类型、所升级的账户和媒体等)。在一些实施方式中,DRM升级可能已从CA服务器或CA账单服务器优选接收到的授权,以用于更新DRM许可,且由此不用使用通信路径26、26'或返回路径21*、22*、23*或23**。 图7C示出了本发明的另一个实施方式。该示例性方法提供用于DRM客户端16联系DRM升级服务器19的可替换通信路径。该可替换通信路径包括用于DRM客户端16与DRM服务器13的路径21以及用于DRM服务器13到DRM升级服务器19的路径27' 。 DRM升级服务器与CA系统的通信可以通过以上图7B所示的路径26或26'传递。此外,返回路径可以是相反路径,即沿着前向通信路径返回。返回路径可以是不同的路径,例如以上图7B中所示的路径23*/23**、22*以及21*。 图8示出了本发明用于多个DRM系统的另一个实施方式。该示例性的多个DRM系统包括原始CA系统10,通过桥14传递到第二 DRM系统18,然后通过桥41传递到第三DRM系统48。从原始CA服务器11生成的媒体内容可以通过桥14传递,以存储在存储装置15中,或还可以通过桥41传输,以存储在存储装置42中。DRM客户端16或DRM客户端43可以联系原始CA系统以请求所述媒体内容。通常,需要许可更新来对桥交易进行授权,因此存储在存储装置15中的来自DRM客户端16的媒体内容需要来自原始CA系统10的准许或许可,方能够经过桥41到达DRM客户端34。在一种实施方式中,DRM客户端16可能需要修改原始第二 DRM许可,以授权到第三DRM系统的桥操作。 图9-图10中以流程图的方式示出了根据本发明的实施方式的各种示例性方法。图9示出了根据本发明的实施方式的总过程。流程图示出了可能由两个分开的DRM实体(原始DRM服务器和第二DRM服务器/客户端)执行的三个操作。根据流程图中所示的过程,在30,原始DRM服务器发送具有原始权限和/或许可的媒体内容经过原始DRM/第二 DRM的桥到第二DRM客户端。在31,经过桥,以允许第二DRM服务器升级原始许可或发布新权限(优选地,在原始DRM系统的准许的情况下)的方式,转换媒体内容与原始权限和许可。转换后的权限或许可可以包括用于识别媒体所有者和类型的信息,以允许原始DRM记录并授权升级请求。进一步信息(例如,许可更新数据)可以被添加到所获取的内容,以辅助升级过程,例如与原始交易相协调以帮助原始DRM找到原始许可。原始DRM系统或第二 DRM系统可以保证附加数据的安全。许可更新数据可以被包含在许可中,或可以用密码加密地与许可关联。许可更新数据可以包括订户标识数据、事件标识数据、时间戳、设备标识数据、更新可追溯数据(renewal traceability data)、恢复数据。许可更新数据还可以包括加密的内容密钥。 第二DRM服务器可以执行的升级服务可以包括延长许可的有效期、启用新权限(例如,另外拷贝)、启用新输出(例如,另外桥接)、启用对另一个机器的所有许可的移动操作或恢复。第二升级服务器的操作可以是静默的(silent)或者需要用户对话(userdialog)。在示例性的静默操作中,升级服务器可以获取所存储的信息(例如,付费类型),并在没有客户对话的情况下执行升级。在示例性的对话操作中,升级服务器给客户提示对话,并接收用于执行请求所需的信息。 在32,第二 DRM客户端然后请求新权限或许可,例如如图7A-7C所示。该请求然后被发送到原始DRM服务器,且在处理后,原始DRM发送响应。该响应被处理,以使得第二DRM根据请求来升级媒体内容。在一些实施方式中,请求包括媒体基准(reference)、旧的请求或许可以及新请求的权限或许可。在某些情况中,请求包括许可更新数据,该许可更新数据被包含在原始许可中,或与原始许可相关联。在一些实施方式中,所传送的响应包括对媒体内容的新权限或许可。 在一些方面,原始许可在被修改之前被提取并被发回到原始DRM系统。第二DRM
服务器在接收到来自原始DRM系统的授权时,可以提取服务或内容密钥,然后使用相同的
内容密钥(但是具有新的权限)来生成用于第二DRM客户端的新的许可。 参考图IOA,该流程图示出了根据本发明的实施方式的用于升级数字媒体内容的示例性过程。如之前所述,该示例性方法是在使用两个数字权限管理(DRM)系统(流程图中标注为"原始"和"第二")来保护数字媒体的环境中来描述的。该图中所示的示例性过程起始于50,第二 DRM客户端发送对媒体内容的新权限或许可的请求。该请求可以包括在许可创建时由桥准备的具有许可更新数据的原始第二DRM许可。第二DRM服务器接收所述请求,并在51,经过桥将该请求传送到原始DRM客户端。桥可以被重建,以通过其发送消息。在一个实施方式中,在52A,原始DRM客户端接收请求,并将该请求传送到原始DRM服务器,在53A,该DRM服务器然后处理该请求,并将响应传送到原始DRM客户端。该响应可以包括新权限或许可以及更新后的许可更新数据集。在一个可替换实施方式中,在52B,原始DRM客户端传送请求到原始DRM账单服务器,在53B,该原始DRM账单服务器然后处理该请求,并传送响应到原始DRM客户端。原始DRM服务器典型地是经过桥发送媒体内容到第二 DRM客户端的服务器。原始DRM账单服务器是用于原始DRM系统的服务器,其不是发送媒体内容的服务器,而是被设计用于处理账单需要的特殊服务器。在54,原始DRM客户端然后经过桥将响应传送到第二 DRM服务器,在55,该第二 DRM服务器然后传送响应到第二 DRM客户端。因此响应于该请求(在50),在56,第二 DRM客户端接收与对媒体内容的新权限或许可的请求相对应的响应。在该示例性过程中,原始DRM服务器或原始DRM账单服务器作为升级服务器,认证请求并将授权(升级后的许可或新权限)传送到第二DRM客户端。
参考图IOB,流程图示出了根据本发明的一个实施方式的用于升级数字媒体内容的另一示例性过程。该图中所示的示例性过程起始于60,第二 DRM客户端向第二 DRM升级服务器发送对媒体内容的新权限或许可的请求。升级服务器是用于第二DRM系统的分开的服务器,且被设计成处理升级请求。通过升级服务器,该请求不需要通过桥。第二DRM升级服务器可以在61A传送请求到原始DRM账单服务器,或可以在61B传送请求到原始DRM服务器,且原始DRM账单服务器和原始DRM服务器分别在62C或62D用响应答复升级服务器。在63B,升级服务器然后将响应传送到第二客户端。由此响应于60中的请求,第二DRM客户端在65接收对应于对媒体内容的新权限或许可的请求的响应。 可替换地,代替沿着请求路径往回追踪响应,原始DRM账单服务器从61A或原始DRM服务器从61B可以分别在62A或62B回复桥中的原始DRM客户端。桥中的原始DRM客户端然后可以在63A经过桥将响应传送到第二 DRM服务器,第二 DRM服务器然后可以在64将响应传送到第二 DRM客户端。由此响应于60中的请求,第二 DRM客户端在65接收对应于对媒体内容的新权限或许可的请求的响应。 参考图IOC,流程图示出了根据本发明的一个实施方式的用于升级数字媒体内容的另一个示例性过程。该图所示的示例性过程起始于70,第二 DRM客户端发送对媒体内容的新权限或许可的请求到第二 DRM服务器。第二 DRM服务器接收该请求,并在71,将该请求传送到第二 DRM升级服务器。第二 DRM升级服务器可以在72A将该请求传送到原始DRM账单服务器,或在72B将请求传送到原始DRM服务器,原始DRM账单服务器和原始DRM服务器分别在73C或73D用响应答复升级服务器。在74B,升级服务器然后将该响应传送到第二DRM服务器。在75,第二DRM服务器然后将该响应传送到第二DRM客户端。由此,响应于70中的请求,第二 DRM客户端在76接收与对媒体内容的新权限或许可的请求相对应的响应。
可替换地,代替沿着请求路径往回追踪响应,原始DRM账单服务器从72A或原始DRM服务器从72B可以分别在73A或73B答复桥中的原始DRM客户端。在74A,桥中的原始DRM客户端然后可以经过桥将响应传送到第二 DRM服务器,之后在75,第二 DRM服务器将该响应传送到第二 DRM客户端。由此响应于70中的请求,第二 DRM客户端在76接收与对媒体内容的新权限或许可的请求相对应的响应。 现在参考附图,图ll示出了示例性环境,其中本发明的一些实施方式可以被实施。更具体地,该图示出了网络系统,该系统具有两个安全系统源444和450 (其分别具有其自身的条件访问服务器446和448)以及两个DRM系统492和494。该图还包括各种客户端454、458、462、472、484以及488。在本发明的一种实施方式中,这些各种组件连接到网络442,例如局域网(LAN)或无线LAN。网络442可以部分的是业务用户的家用有线以太网,具有一个或多个用于移动设备的无线接入点,这些移动设备例如是个人数字助理(PDA)、掌上计算机、笔记本电脑或手机(例如,通过WiFi或蓝牙连接而连接到网络)。例如,在图11中,PDA 482通过无线连接而连接到接入点480,且还通过网络442连接到其它组件。网络还可以是用于组织或商业机构(例如,酒店或汽车旅馆连锁店)的网络,例如内网或虚拟个人网络。 在图11中,数字权限管理(DRM)服务器494与有线TV服务一起使用。有线条件访问(CA)服务器448与电缆头端450耦合,以通过有线电视传输系统提供受CA保护的媒体内容给可包括有线TV调谐器的有线TV桥(例如,454和456)。有线TV机顶盒(STB)接收数据分组,并对授权管理消息(E匪)、授权控制消息(ECM)以及加扰后的媒体内容进行解复用。在DRM服务器494的控制和保护下,媒体内容可安全位于存储装置(例如,456,458,484)上,以供可以重放媒体内容的各种设备(例如,个人计算机484、媒体播放器488或PDA482)进行访问。个人计算机484 —般在显示设备486上显示视频内容,显示设备486例如是阴极射线管(CRT)监视器、液晶显示(LCD)板或等离子显示板。媒体播放器488可以在电视490上呈现媒体内容。媒体播放器还可以与电视集成以形成网络就绪(network-ready)数字电视。 在一种实施方式中,DRM服务器494提供解扰/解密有线TV广播的服务。解密/解扰后的信息进一步由DRM系统保护,使得来自有线TV系统的广播中的媒体内容可以以授权的方式被使用。当被授权时,根据订户的权限,用户可以很方便地在任意时间在任意设备上记录并重放内容。例如,只订阅一个同时使用,用户可以选择使用有线TV机顶盒454来接收广播并在TV452上观看节目,或使用有线TV机顶盒456来将节目记录到相关存储装置上,以用于例如使用PDA482、个人计算机484或媒体播放器488在不同时间重放该节目。在一些实施方式中,通过使用与DRM系统494相关联的加密密钥来对数据进行加密,以保护媒体内容和/或相关密钥。 在图11中,使用了与卫星TV机顶盒C 462和卫星TV机顶盒D 472相关联的另一个DRM系统492。 DRM服务器492可以将所保护的媒体内容存储在其存储装置上,或存储在网络上的其它存储装置上,例如个人计算机484上的存储装置或存储装置458。 一般而言,卫星444广播受保护的媒体内容到地理区域。单独的圆盘式卫星电视天线(例如,460和470)用于不同的卫星机顶盒(例如,分别是462和472)。 一般而言,为了同时访问两个不同的频道,使用两个机顶盒。卫星机顶盒相互独立。卫星向两个机顶盒广播,就像机顶盒用于两个不同的订户那样。在本发明的某些实施方式中,一个DRM服务器(例如,492)用于管理与多个机顶盒(例如,462和472)相关联的数字权限。
24
在一个实施方式中, 一个或多个DRM服务器被用于保护初始由一个或多个服务器 (例如,CA服务器)递送的数字媒体,这需要在DRM系统之间设置桥,以在两个DRM系统中 执行数字权限管理时,简化内容管理。在本发明的一种实施方式中,多个DRM服务器在物理 位置上处于一个数据处理设备中,该数据处理设备具有用于处理不同CA系统的消息的不 同软件和智能卡。另外,DRM服务器可以与桥、存储装置(例如,PDA 482、个人计算机484、 媒体播放器488)或其组合相集成。例如,DRM系统492可以与卫星TV CA服务器446 —起 使用,该DRM系统492可以包括用于记录媒体内容的存储装置、圆盘式卫星电视天线和显示 装置之间的接口 ,该接口用于将媒体内容解码成标准视频信号(用于电视和/或电脑监视 器)。 图12示出了数据处理系统的典型"架构",其可以与本发明的不同实施方式一起 使用。例如,该图中示出的系统可以表示根据一个实施方式的示例性桥的实施。或者,其可 以表示示例性DRM服务器。本领域技术人员可以理解的是,本发明可以被体现为方法、数据 处理系统或程序产品。因此,本发明可以采用全部硬件实施方式的形式、全部软件实施方式 的形式或结合软件和硬件方面的实施方式的形式。此外,本发明可以采用计算机可读存储 介质上的计算机程序产品的形式,所述介质收录有计算机可读程序代码工具。任意合适的 存储介质均可以被利用,例如硬盘、CD-R0M、 DVD-ROM、光存储设备或磁存储设备。因此,本 发明的范围应当由所附权利要求及其法律等同物来确定,而不是由给定的示例来确定。注 意,虽然图12示出了数据处理系统的各种组件,但是该图并不意味着代表互连组件的所有 特定架构或方式,这些细节并不与本发明密切相关。还可以理解的是,本发明还可以使用网 络计算机和其它数据处理系统(例如,移动电话、个人数字助理、媒体播放器等),其具有更 少组件或可能具有更多组件。 如图12所示,作为数据处理系统的一种形式的计算机系统包括与微处理器504、 存储器506 (例如ROM(只读存储器)和易失性RAM)以及非易失性存储设备508耦合的总 线502。在某些实施方式中,存储设备可以用于存储数字媒体内容。系统总线502将这些不 同组件互连在一起,并且还将这些组件504、506以及508连接到显示控制器510和显示设 备512,并连接到外围设备,例如输入/输出(I/O)设备516和518,其可以是鼠标、键盘、调 制解调器、网络接口 、打印机以及其它本领域公知的设备。 一般来说,I/O设备516和518通 过一个或多个I/O控制器514耦合到系统。易失性RAM(随机存取存储器)506 —般被实施 为动态RAM (DRAM),其需要持续供电以刷新或保持存储器中的数据。大容量存储装置508通 常是磁性硬盘驱动器、磁性光盘驱动器、光驱、DVD ROM或其它类型的存储系统,其甚至在从 系统移除电能后仍然可以保存数据(例如,大量数据)。 一般而言,尽管不需要,大容量存储 装置508还可以是随机存取存储器。虽然图12示出了大容量存储装置508是与数据处理 系统中的其它组件直接耦合的本地设备,但是应当理解的是,本发明可以使用远离系统的 非易失性存储器,例如网络存储设备,其通过诸如调制解调器或以太网接口的网络接口 518 与数据处理系统耦合。总线502可以包括通过各种桥、控制器和/或适配器彼此连接的一个 或多个总线,这为本领域所公知。在一种实施方式中,I/O控制器514包括USB (通用串行总 线)适配器,用于控制USB外围设备;以及IEEE 1394(S卩"火线")控制器,用于兼容IEEE 1394的外围设备。显示控制器510可以包括另外的处理器,例如GPU(图形处理单元),且 其可以控制一个或多个显示设备512。显示控制器510可以具有其自身的板载存储器。
25
从描述中可以很清楚的了解,本发明的各方面可以至少部分用软件来实现。也就 是说,这些技术可以在计算机系统或其它数据处理系统中被执行以响应于其处理器(例 如,微处理器)执行包含在存储器中的指令序列,这些存储器例如是ROM或RAM 506、大容 量存储装置508或远程存储设备。在不同的实施方式中,硬线电路可以结合软件指令来使 用,以实施本发明。因此,这些技术不限于硬件电路和软件的任意特定结合、或数据处理器 系统执行的指令的特别的源。此外,纵览全文,各种功能和操作均可以被描述为由软件编码 执行或导致,以简化描述。但是,本领域技术人员应当理解,此类表达的意思是处理器(例 如,CPU单元504)执行代码所产生的功能。 根据本发明,在DRM系统之间存在各种桥接方案。图13A示出了称为转扰的桥。转 扰是基于硬件的方法,用于改变两个不同DRM系统之间的数字媒体保护。该变换完全在通 用安全硬件设备(例如,在单个集成电路芯片中)内发生,该通用安全硬件设备被示意性表 示为图中的矩形框302。最初使用控制字310( "CWA")对数字媒体内容308加扰,还使用 服务密钥("SKA")对控制字310进行加密。内容和控制字都在第一DRM系统(图中未明 确示出)的保护下。 一旦内容308被输入到转扰芯片302,则在304使用(解密后的)控制 字310首先对该内容308进行解扰,在306使用第二 DRM系统(未明确示出)的(解密后 的)控制字314("CW B")对该内容308重新加扰。注意,控制字314在第二DRM系统的保 护下,如图中所示,事实上是使用来自第二DRM系统的服务密钥("SK B")对控制字314进 行加密。重新加扰后的内容312然后被传输出变换单元302,以用于进一步的处理或存储。 由于DRM桥接发生在单个芯片内,因此该方法被认为是相对安全的。在一些设计中,芯片被 制成"不透明"的,且被保护以使其免受使用各种工具的反向工程的侵害。但是,这种方案 很昂贵,这是因为其需要制造具有特定专用功能的集成芯片。该方案还缺乏灵活性,这是因 为硬件设计是不容易改变的。 图13B示出了称为超扰的桥。超扰是指使用多个DRM系统的控制字对数字媒体内 容进行递归(recursive)或重复加扰的技术。该图示出了具有两个控制字的示例性超扰过 程,每个控制字来自不同的DRM和/或CA系统。更具体地,该图示出了使用两个控制字334 和346对媒体内容332进行超扰的过程。控制字334和服务密钥338 (例如,"本地"密钥) 与一个DRM系统(例如,"内部"或"本地"系统)相关联,而控制字346和服务密钥350(例 如,"全局"密钥)与另一个DRM系统(例如,"外部"或"全局"系统)相关联。在336,使用 第一控制字334首先对数字媒体内容332进行加密或加扰,并产生加扰后的内容342。同样 地,在340,使用服务密钥338对控制字334进行加密,且创建ECM 344。在348,然后使用第 二控制字346对这对加密的数据再次加密。这生成双扰后(或"超扰后")的内容354,其 在图中示意性显示为包括第一加扰后的媒体内容342和第一ECM 344。在352,还使用第二 服务密钥350对第二控制字346进行加密,且创建新的ECM356。然后,这对加密的数据354 和356例如通过与图4B中所示类似的分配路径而被递送到客户端。由于在该示例中数字 媒体内容是被双扰的,因此在传输过程中(例如,在第一和第二DRM系统之间传递时)内容 不会以清晰的形式暴露。特别地,当外部加密层(例如,由图13B中加扰后的内容354中的 控制字346表示)被移走时,内容仍然由第一DRM系统保护,即被表示为使用控制字334对 内容342进行加密。但是应当注意,该现有技术中的方法需要两个DRM系统存在于源(例 如,服务器)和接收器(例如,客户端设备)处。该方法在许多实际应用可能是不可行的,
26尤其在"全局"密钥在第二 (例如,"内部")DRM系统上是不可获得的情况下。
接下来参考图13C示出了称为同密的另一种桥。同密是用于以多种方式例如使用 多个密钥对数据进行加密的方法,使得可以使用任意对应的解密密钥对内容进行解密。在 图中所示的以有线电视内容递送为环境进行描述的示例中,使用控制字390对数字媒体内 容396进行加扰,该控制字390以两个可替换方法被加密。也就是说,使用两个不同服务密 钥对控制字390进行加密,即图中所示的两个不同ECM 382和384。因此,从ECM 382或ECM 384中可以获得解密密钥390,且可访问ECM 382或384的客户端可以通过在386解密ECM 382或在388解密ECM 384来恢复控制字390。如图中所示, 一旦控制字390被恢复,则在 394可以对加密的内容392进行解扰,以获得清晰的内容396。 图13D示出了称为公共加扰的桥在相对的CA或DRM系统共享相同的内容加扰/ 加密算法时如何简化"桥接"过程。在图中所示的示例中,在桥422处使用了两个DRM系统 (表示为'A'和'B')以管理与数字媒体相关联的数字权限。两个DRM系统使用系统的加扰 算法,尤其是相同的控制字420。在具有合适的准许(例如,第一DRM系统的服务密钥414) 的情况下,可以从ECM 416恢复控制字420。在桥422处,不使用控制字420对内容418a 进行解扰,而是照原样输出,即与图中右手侧示出的加扰后的内容418b相同。但是,控制字 420("CW A")被解密,且然后使用来自第二DRM服务器的不同的服务密钥415(ECM 424) 对控制字420再次加密。因此,内容在桥中不会以清晰的形式暴露。应当注意的是,该特定 的现有技术的方法只与密钥的桥接有关而不是与内容有关,如之前所述,该桥接方法只在 两个DRM系统如公共扰码的情况那样使用相同加扰算法时才可以被使用。
现在参考图14A-图14C,示出了过扰桥的某些实施方式的多个方面。图14A示出 了根据一个实施方式的加密或加扰过程。该示例性过程涉及对数字媒体内容582和两个控 制字584和890进行加密,每个控制字与不同的数字权限管理(DRM)系统相关联。首先,在 586使用与目标(或"外部"或"本地")DRM系统相关联的控制字584( "CW B")对数字媒 体内容582进行加扰,且加扰后的媒体内容588被创建,在图中显示为具有标记为"CW B"的 锁的"锁定"内容。然后在592,使用另一个控制字590( "CWA")再次对加扰后的内容588 进行加扰,其创建双扰或"过扰"的数字媒体内容596。应当注意的是,在某些实施方式中, 内容582可以代表持续例如0. l秒(在该持续期间,控制字584和590有效)的"节目"的 片段。在某些其它实施方式中,内容582可以对应于整个节目,例如电影标题。接下来,使 用与DRM系统相关联的服务密钥依次对控制字进行加密。在一种实施方式中,使用其对应 的服务密钥(例如,分别是598和600)对每个控制字(例如,584和590)进行加密。在图 14A所示的实施方式中,使用相同的服务密钥,即与该示例中控制字590相关联的DRM系统 ("全局"或"外部'T)RM)管理的服务密钥600,对控制字584和590进行加密。如图中所示, 在602,使用服务密钥600 ( "SKA")对控制字584进行加密,且第一加密消息(例如,授权 控制消息或ECM) 606被创建。然后,在604,使用相同的服务密钥600对控制字590进行加 密,且第二加密消息608被创建。该组加密消息(在图中由虚线框594所示出,包括过扰后 的内容596和加密的控制字606和608)可能与其它消息(包括例如对特定客户端和/或 所递送的数字媒体的授权) 一起被递送到桥或客户端。在一些实施方式中,响应于客户端 的请求,授权消息被递送到桥。在一些情况中,例如在存储或重放数字媒体时,当客户端做 出了明确的请求时,加密的控制字还可以"经要求"而被递送。
在一些实施方式中,桥接的DRM服务器使用DTCP(数字传输内容保护)分组来通 过IP网络递送数字媒体。DTCP是用于在数字媒体传输过程中保护数字权限的标准。桥接 的DRM服务器创建具有有效负载的DTCP分组,包括数字媒体内容和各种密钥,其可以被加 密或加扰。这在图14B中被示出。该图示出了 DTCP数据分组612的示意性表示。根据本 发明的一个实施方式,数字分组对加扰/过扰后的数字媒体内容618进行编码。在该示例 中,分组612包括UDP(用户数据报协议)报头614。分组还包括与包括加扰后的内容620 的有效负载或主体618相关联的部分或报头616。有效负载618a可以包含另一个报头622。 如图14A所示的示例,内容620可以被双加密且,报头616和622可以分别携带关于"外部" 和"内部"层加扰的信息(例如,使用图14A的控制字590和584进行加扰)。在一些实施 方式中,报头616包括ECM(例如,图14A中的加密的控制字608)和/或E匪。同样地,报 头622可以包含相关的ECM和/或E匪。根据本发明的一个实施方式,使用块密码(例如, AES (高级加密标准)、DES (数据加密标准)或3DES (三DES))对图14B中的内容620的每 个块进行加扰。其它的公共加密算法包括M2(乘2)和M6(乘6)以及之前所述的DVB-CSA。 可以根据AES和CBC(密码块链接)或AES和ECB(电子码本)对多个块或者整个内容进行 加密。图14B还示出了更详细的加扰后的内容,如在图底部所示的620a。如之前所述,在一 些实施方式中,内容可能已使用另一个控制字(例如,图14A中的584)而被加扰(图中未 明确示出),且报头622可以包括相关的ECM(例如,图14A中的606)。内容一般被编码成 MPEG-2格式。图14B示出了多个MPEG报头624和628以及主体626和630。在某些实施 方式中,使用与用于外部层的加密方案不同的加密方案(例如,AES结合CTR(称为计数器 的块密码操作模式)或3DES+CBC)对内部层进行加扰。 在本发明的一些实施方式中,不同的DRM系统可以使用不同的加扰方案。例如,在 某些实施方式中,图14A中的第一加扰586和第二加扰592使用不同的加扰方案。或者,在 本发明的某些实施方式中,通过不同的加扰方案对图14B中的加扰后的内容620 (未明确显 示加扰)进行加密或过扰。在该描述中,加扰方案总的来说涉及加密方法的多种特征。例 如,加扰方案包括加密算法(AES与3DES等)和块密码中的操作模式(CBC与CTR与ECB 等)。在一些情况中,内容格式化/编码(例如,MPEG传输流等)也被认为是加扰方案的一 部分。例如,图14B所示的"内部数据分组"620a使用包括MPEG编码的加扰方案,在图中由 MPEG报头624和628以及MPEG主体626和630所示。 现在参考图14C,根据本发明的一个实施方式示出了相关消息的列表。该列表636 包括使用两个控制字加密的双扰后的数字媒体内容638、使用服务密钥632加密的"外部" 或"全局"控制字640以及使用相同服务密钥632加密的"内部"或"本地"控制字642。在某 些实施方式中,该组加密消息和相关服务密钥630被用于桥接不同的数字权限管理(DRM) 系统(例如,在"全局"DRM系统与"本地"DRM系统之间)。该列表636是超扰的结果(例 如,图14A中所示),且可以用作到桥的输入。桥和/或客户端一般需要相关DRM服务器的 授权(例如,以服务密钥的形式)。图14C示出了与"内部"或"本地"DRM系统相关联的另 一个服务密钥634。 因此,提供了用于在数字媒体递送中管理数字权限的系统、方法和设备。虽然结合 具体示例性实施方式描述了本发明,但是很明显的是,在不偏离权利要求所示的本发明的 实质和范围的情况下,可以对这些实施方式做出各种修改和变化。因此,说明书和附图应当被视为示意性而非限制性c
权利要求
一种用于再利用媒体的方法,该媒体从原始数字权限管理系统中产生,并通过桥被传递以处于第二数字权限管理系统的保护下,该方法包括在来自所述原始数字权限管理系统的准许下,升级来自所述第二数字权限管理系统的媒体访问。
2. 根据权利要求1所述的方法,其中所述来自所述原始数字权限管理系统的准许包括 在所述第二数字权限管理系统和所述原始数字权限管理系统之间的通信期间来自所述原 始数字权限管理系统的批准。
3. 根据权利要求1所述的方法,其中所述来自所述原始数字权限管理系统的准许是预 先批准的。
4. 根据权利要求1所述的方法,其中升级访问包括以下中的至少一者延长许可的有 效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作、或上述任意组合。
5. 根据权利要求1所述的方法,其中所述媒体包括原始许可,该原始许可将被包含在 所述第二数字权限管理系统和所述原始数字权限管理系统之间的通信中,以用于获得升级 媒体访问的准许。
6. —种用于第二数字权限管理系统的客户端获得对媒体的升级后的访问的方法,该媒 体从原始数字权限管理系统中产生,并存储于所述第二数字权限管理系统的客户端的访问 范围内,且该媒体通过桥从所述原始数字权限管理系统被发送到所述第二数字权限管理系统,该方法包括联系所述第二数字权限管理系统以获得升级后的许可或权限;升级所述第二数字权限管理系统的客户端对媒体的访问,该访问升级过程在来自所述 原始数字权限管理系统的准许下实现。
7. 根据权利要求6所述的方法,其中所述联系过程包括将来自所述第二数字权限管理系统的客户端的请求发送到所述第二数字权限管理系 统的升级服务器;在所述第二数字权限管理系统的升级服务器与所述原始数字权限管理系统之间进行 通信以获得升级许可或权限。
8. 根据权利要求7所述的方法,其中所述第二数字权限管理系统的升级服务器包括所 述桥中的服务器或单独独立的服务器。
9. 根据权利要求7所述的方法,其中用于通信的所述原始数字权限管理系统包括所述 原始数字权限管理系统中的发送所述媒体的服务器或单独的账单或升级服务器。
10. 根据权利要求7所述的方法,其中所述通信包括通过所述桥传递信息,或在所述信 息到达所述原始数字权限管理系统之前,先将所述信息传递到所述第二数字权限管理系统 的独立的服务器。
11. 根据权利要求7所述的方法,其中所述来自所述原始数字权限管理系统的准许包 括在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信期间来自原始 数字权限管理系统的批准。
12. 根据权利要求7所述的方法,其中所述来自所述原始数字权限管理系统的准许是 预先批准的。
13. 根据权利要求7所述的方法,其中升级访问包括以下中的至少一者延长许可的有 效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作、或上述任意组合。
14. 根据权利要求7所述的方法,其中启用新权限包括允许另外的复制。
15. 根据权利要求7所述的方法,其中启用新输出包括另外的桥接。
16. 根据权利要求7所述的方法,其中所述媒体包括原始许可,该原始许可包含在所述 第二数字权限管理系统与所述原始数字权限管理系统之间的通信中,以用于获得升级媒体 访问的准许。
17. 根据权利要求7所述的方法,其中所述媒体包括原始许可,该原始许可将被提取并 被升级许可所替换。
18. 根据权利要求7所述的方法,其中所述媒体包括原始许可,该原始许可用于记录或 授权升级访问交易。
19. 一种用于第二数字权限管理系统的客户端获得对媒体的升级后的访问的方法,该 媒体从原始数字权限管理系统中产生,并存储于所述第二数字权限管理系统的客户端的访 问范围内,且该媒体通过桥从所述原始数字权限管理系统被发送到所述第二数字权限管理 系统,并被转换以使得所述第二数字权限管理系统能够修改所述访问,该方法包括联系所述第二数字权限管理系统的升级服务器以获得对所述媒体的新权限; 升级所述第二数字权限管理系统的客户端对所述媒体的访问,该访问升级在来自所述 原始数字权限管理系统的准许下实现。
20. 根据权利要求19所述的方法,其中通过所述桥的转换过程包括添加来自所述第二 数字权限管理系统的许可。
21. 根据权利要求19所述的方法,其中来自所述第二数字权限管理系统的许可包括另 外的许可更新数据。
22. 根据权利要求19所述的方法,其中,许可更新数据用密码加密地与许可相关联。
23. 根据权利要求19所述的方法,其中由所述第二数字权限管理系统、所述原始数字 权限管理系统或者两者来保证许可更新数据的安全。
24. 根据权利要求19所述的方法,其中许可更新数据包括订户标识数据、事件标识数 据、时间戳、设备标识数据、更新可追溯数据、恢复数据、加密的内容密钥或上述任意组合。
25. —种再利用媒体的设备,该媒体从原始数字权限管理系统中产生,并通过桥被传递 以处于第二数字权限管理系统的保护下,该设备包括处理器;与所述处理器耦合的存储器,该存储器包含指令序列,当该指令序列被所述处理器执 行时,使得所述处理器执行在来自所述原始数字权限管理系统的准许下,升级来自所述第二数字权限管系统的媒 体访问。
26. 根据权利要求25所述的设备,其中所述来自所述原始数字权限管理系统的准许包 括在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信期间来自所述 原始数字权限管理系统的批准。
27. 根据权利要求25所述的设备,其中所述来自所述原始数字权限管理系统的准许是预先批准的。
28. 根据权利要求25所述的设备,其中升级访问包括以下中的至少一者延长许可的 有效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作、或上述任意 组合。
29. 根据权利要求25所述的设备,其中所述媒体包括原始许可,该原始许可将被包含 在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信中,以用于获得升 级媒体访问的准许。
30. —种用于第二数字权限管理系统的客户端获得对媒体的升级后的访问的设备,该 媒体从原始数字权限管理系统中产生,并存储于所述第二数字权限管理系统的客户端的访 问范围内,且该媒体通过桥从所述原始数字权限管理系统被发送到所述第二数字权限管理 系统,该设备包括处理器;与所述处理器耦合的存储器,所述存储器包含指令序列,当该指令序列被所述处理器 执行时,使得该处理器执行联系所述第二数字权限管理系统以获得升级后的许可或权限;升级所述第二数字权限管理系统的客户端对媒体的访问,该访问升级过程在来自所述 原始数字权限管理系统的准许下实现。
31. 根据权利要求30所述的设备,其中所述联系过程包括将来自所述第二数字权限管理系统的客户端的请求发送到所述第二数字权限管理系 统的升级服务器;在所述第二数字权限管理系统的升级服务器与所述原始数字权限管理系统之间进行 通信以获得升级许可或权限。
32. 根据权利要求30所述的设备,其中所述第二数字权限管理系统的升级服务器包括 所述桥中的服务器或单独独立的服务器。
33. 根据权利要求30所述的设备,其中用于通信的所述原始数字权限管理系统包括所 述原始数字权限管理系统中的发送所述媒体的服务器或单独的账单或升级服务器。
34. 根据权利要求30所述的设备,其中通信包括通过所述桥传递信息,或在所述信息 到达所述原始数字权限管理系统之前,先将所述信息传递到所述第二数字权限管理系统的 独立的服务器。
35. 根据权利要求30所述的设备,其中所述来自所述原始数字权限管理系统的准许包 括在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信期间来自所述 原始数字权限管理系统的批准。
36. 根据权利要求30所述的设备,其中所述来自所述原始数字权限管理系统的准许是 预先批准的。
37. 根据权利要求30所述的设备,其中升级访问包括以下中的至少一者延长许可的 有效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作、或上述任意 组合。
38. 根据权利要求30所述的设备,其中启用新权限包括允许另外的复制。
39. 根据权利要求30所述的设备,其中启用新输出包括另外的桥接。
40. 根据权利要求30所述的设备,其中所述媒体包括原始许可,该原始许可将被包含 在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信中,以用于获得升 级媒体访问的准许。
41. 根据权利要求30所述的设备,其中所述媒体包括原始许可,该原始许可将被提取 并被升级许可所替换。
42. 根据权利要求30所述的设备,其中所述媒体包括原始许可,该原始许可将被用于 记录或授权升级访问交易。
43. —种用于第二数字权限管理系统的客户端获得对媒体的升级后的访问的设备,该 媒体从原始数字权限管理系统中产生,并存储于所述第二数字权限管理系统的客户端的访 问范围内,且该媒体通过桥从所述原始数字权限管理系统被发送到所述第二数字权限管理 系统,并被转换以使得该第二数字权限管理系统能够修改所述访问,该设备包括处理器;与所述处理器耦合的存储器,该存储器包含指令序列,该指令序列在被所述处理器执行时,使得该处理器执行联系所述第二数字权限管理系统的升级服务器以获得对所述媒体的新权限; 升级所述第二数字权限管理系统的客户端对所述媒体的访问,该访问升级在来自所述原始数字权限管理系统的准许下实现。
44. 根据权利要求43所述的设备,其中通过所述桥的转换过程包括添加来自所述第二 数字权限管理系统的许可。
45. 根据权利要求43所述的设备,其中来自所述第二数字权限管理系统的许可包括另 外的许可更新数据。
46. 根据权利要求43所述的设备,其中许可更新数据用密码加密地与许可相关联。
47. 根据权利要求43所述的设备,其中由所述第二数字权限管理系统、所述原始数字 权限管理系统或者两者来保证许可更新数据的安全。
48. 根据权利要求43所述的设备,其中许可更新数据包括订户标识数据、事件标识数 据、时间戳、设备标识数据、更新可追溯数据、恢复数据、加密的内容密
49. 一种机器可读介质,该介质包含机器可执行程序指令,该机器可执行程序指令在被 数据处理系统执行时,使得该数据处理系统执行用于再利用媒体的方法,该媒体从原始数 字权限管理系统中产生,并通过桥被传递以处于第二数字权限管理系统的保护下,该方法 包括在来自所述原始数字权限管理系统的准许下,升级来自所述第二数字权限管理系统的 媒体访问。
50. 根据权利要求49所述的介质,其中所述来自所述原始数字权限管理系统的准许包 括在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信期间来自所述 原始数字权限管理系统的批准。
51. 根据权利要求49所述的介质,其中所述来自所述原始数字权限管理系统的准许是预先批准的。
52. 根据权利要求49所述的介质,其中升级访问包括以下中的至少一者延长许可的 有效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作或上述任意组
53. 根据权利要求49所述的介质,其中所述媒体包括原始许可,该原始许可将被包含 在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信中,以用于获得升 级媒体访问的准许。
54. —种机器可读介质,该介质包含机器可执行程序指令,该机器可执行程序指令在被 数据处理系统执行时,使得该数据处理系统执行一种方法,该方法用于第二数字权限管理 系统的客户端获得对媒体的升级后的访问,该媒体从原始数字权限管理系统中产生,并存 储于所述第二数字权限管理系统的客户端的访问范围内,且该媒体通过桥从所述原始数字 权限管理系统被发送到所述第二数字权限管理系统,该方法包括联系所述第二数字权限管理系统以获得升级后的许可或权限;升级所述第二数字权限管理系统的客户端对所述媒体的访问,该访问升级过程在来自 所述原始数字权限管理系统的准许下实现。
55. 根据权利要求54所述的介质,其中所述联系过程包括将来自所述第二数字权限管理系统的客户端的请求发送到所述第二数字权限管理系 统的升级服务器;在所述第二数字权限管理系统的升级服务器与所述原始数字权限管理系统之间进行 通信以获得升级许可或权限。
56. 根据权利要求54所述的介质,其中所述第二数字权限管理系统的升级服务器包括 所述桥中的服务器或单独独立的服务器。
57. 根据权利要求54所述的介质,其中用于通信的所述原始数字权限管理系统包括所 述原始数字权限管理系统中的发送所述媒体的服务器或单独的账单或升级服务器。
58. 根据权利要求54所述的介质,其中通信包括通过所述桥传递信息,或者在所述信 息到达所述原始数字权限管理系统之前,先将所述信息传递到所述第二数字权限管理系统 的独立的服务器。
59. 根据权利要求54所述的介质,其中所述来自所述原始数字权限管理系统的准许包 括在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信期间来自所述 原始数字权限管理系统的批准。
60. 根据权利要求54所述的介质,其中所述来自所述原始数字权限管理系统的准许是预先批准的。
61. 根据权利要求54所述的介质,其中升级访问包括以下中的至少一者延长许可的 有效期、启用新权限、启用新输出、启用到另一个机器的移动操作或恢复操作、或上述任意 组合。
62. 根据权利要求54所述的介质,其中启用新权限包括允许另外的复制。
63. 根据权利要求54所述的介质,其中启用新输出包括另外的桥接。
64. 根据权利要求54所述的介质,其中所述媒体包括原始许可,该原始许可将被包含 在所述第二数字权限管理系统与所述原始数字权限管理系统之间的通信中,以用于获得升 级媒体访问的准许。
65. 根据权利要求54所述的介质,其中所述媒体包括原始许可,该原始许可将被提取 并被升级许可所替换。
66. 根据权利要求54所述的介质,其中所述媒体包括原始许可,该原始许可将被用于 记录或授权升级访问交易。
67. —种机器可读介质,该介质包含机器可执行程序指令,该机器可执行程序指令在被 数据处理系统执行时,使得该数据处理系统执行一种方法,该方法用于第二数字权限管理 系统的客户端获得对媒体的升级后的访问,该媒体从原始数字权限管理系统中产生,并存 储于所述第二数字权限管理系统的客户端的访问范围内,且该媒体通过桥从所述原始数字 权限管理系统被发送到所述第二数字权限管理系统,并被转换以使得所述第二数字权限管 理系统能够修改所述访问,该方法包括联系所述第二数字权限管理系统的升级服务器以获得对所述媒体的新权限; 升级所述第二数字权限管理系统的客户端对所述媒体的访问,该访问升级在来自所述 原始数字权限管理系统的准许下实现。
68. 根据权利要求67所述的介质,其中通过所述桥的转换过程包括添加来自所述第二 数字权限管理系统的许可。
69. 根据权利要求67所述的介质,其中来自所述第二数字权限管理系统的许可包括另 外的许可更新数据。
70. 根据权利要求67所述的介质,其中许可更新数据用密码加密地与许可相关联。
71. 根据权利要求67所述的介质,其中由所述第二数字权限管理系统、所述原始数字 权限管理系统或者两者来保证许可更新数据的安全。
72. 根据权利要求67所述的介质,其中许可更新数据包括订户标识数据、事件标识数 据、时间戳、设备标识数据、更新可追溯数据、恢复数据、加密的内容密钥或上述任意组合。
73. —种再利用媒体的方法,该媒体从原始数字权限管理(DRM)系统中产生,并通过桥 被传递以处于第二 DRM的保护下,该方法由原始DRM的至少一个系统执行,该方法包括从所述第二 DRM中的系统接收升级所述媒体的请求; 响应于该请求,传送来自所述原始DRM的至少一个系统的准许。
74. —种再利用媒体的方法,该媒体从原始数字权限管理(DRM)系统中产生,并通过桥 传递以处于第二DRM的保护下,该方法由所述桥的至少一个组件执行,该方法包括从所述第二 DRM中的系统接收升级所述媒体的请求; 将该请求传送到原始DRM中的系统; 接收对升级所述媒体的请求的响应。
全文摘要
数字媒体递送、处理以及存储系统中的条件访问(CA)和数字权限管理(DRM)。提供了用于管理在多个CA和/或DRM系统保护下的数字权限的方法和设备。一些实施方式提供了用于在数字媒体内容分配和重放系统中桥接多个DRM系统的安全且鲁棒的方法。本发明在内容被桥接到第二DRM后且仍然处于原始DRM系统的保护下的情况下,简化了内容再利用。
文档编号G06F21/00GK101790735SQ200880101655
公开日2010年7月28日 申请日期2008年5月22日 优先权日2007年6月26日
发明者L·范塔朗, P·西卡尔多 申请人:数码基石有限公司