许多实施例中,在推导的密钥区间消逝或到期时,当前有效的推导的密钥不再用来加密内容,并且因此不能用来解密以后加密的内容。类似地,在内容密钥区间的消逝或到期时,使用与内容密钥区间相关联的内容密钥生成的推导的密钥不能用来在不同的内容密钥区间中解密内容。在多个实施例中,推导的密钥区间比内容密钥区间短。内容密钥区间可以通过具体的时间长度(例如,5分钟、24小时)或文件内的以字节为单位的长度来度量,或与推导的密钥区间相关(例如,作为1000个推导的密钥区间的内容密钥区间导致在1000次推导的密钥改变之后发生内容密钥改变)。推导的密钥区间可以是具体的时间长度(例如,30秒、5分钟)或文件内的以字节为单位的长度。本领域技术人员将认识到,根据本发明的实施例,内容密钥区间可以基于各种时间长度或基于适合于具体应用的各种数量的推导的密钥轮换/区间。
[0084]在许多实施例中,内容密钥区间在指定内容密钥区间在一段内容内或在构成一段内容的一个或多个文件内开始的位置的内容密钥起始位置处开始。在多个实施例中,推导的密钥区间在指定推导的密钥区间在一段内容内或在构成一段内容的一个或多个文件内开始的位置的推导的密钥起始位置处开始。在多个实施例中,一个或多个推导的密钥起始位置可以与内容密钥起始位置位于一处。图5A中示出了根据本发明的实施例的一段内容内的一系列内容密钥起始位置和推导的密钥起始位置。
[0085]在下一个推导的密钥区间中,流式传输服务器可以生成用于内容加密的第二或随后的推导的密钥。在下一个内容区间中,流式传输服务器可以请求用其来生成推导的密钥的第二或随后的内容密钥。
[0086]在本发明的额外的实施例中,密钥管理CA服务器使用推导算法(诸如上文进一步地讨论的那些算法)从内容密钥生成至少一个推导的密钥,并将推导的密钥提供给流式传输服务器用于内容加密。图8中示出了根据本发明的实施例的用于由流式传输服务器使用密钥管理CA服务器来生成推导的密钥,将推导的密钥提供给流式传输服务器,并使用推导的密钥来加密内容的过程。
[0087]流式传输服务器将对推导的密钥的请求发送(802)给密钥管理CA服务器。对推导的密钥的请求可至少包括指定一段内容的资产标识符(ID),并且可选地包括重放位置、内容密钥起始位置,或其他密钥标识符。在一些实施例中,可以利用使用不同的内容密钥生成的推导的密钥来加密一段内容的不同的部分。在这样的实施例中,简单地请求并接收推导的密钥的流式传输服务器可能不要求知道哪些内容密钥应用于特定段内容的哪些部分。
[0088]在多个实施例中,流式传输服务器按照每个推导的密钥区间一次地从密钥管理CA服务器请求新推导的密钥。密钥管理CA服务器接收(804)请求,从存储器中检索适当的内容密钥(并可选地生成新的内容密钥,如果没有已经存储在存储器中的话),并且使用内容密钥以及可选地使用其他信息(诸如上文在推导算法中进一步描述的输入)来生成至少一个推导的密钥。可以类似于上文关于图7中所示出的过程进一步地讨论的内容密钥检索,诸如通过确定内容密钥起始位置来检索内容密钥。密钥管理CA服务器向流式传输服务器发送(806)推导的密钥。流式传输服务器使用推导的密钥来加密(808)—段内容的至少一部分。可以由密钥管理CA服务器生成额外的推导的密钥,并将额外的推导的密钥发送给流式传输服务器以加密内容的额外的部分。可以按预定的推导的密钥区间来生成额外的推导的密钥,和/或可以当由流式传输服务器请求时生成它们。流式传输服务器可以将加密的内容发送(810)给重放设备或存储经加密的内容用于未来使用。在下一个推导的密钥区间中,流式传输服务器可以请求第二或随后的推导的密钥用于内容加密,并且流式传输服务器生成第二或随后的推导的密钥。
[0089]虽然上文关于图7和图8讨论了用于生成推导的密钥并在加密内容中利用推导的密钥的具体过程,但是本领域技术人员将认识到,根据本发明的实施例,可以使用各种过程中的任意一种和过程的变型用于使用推导的密钥来获得加密的内容。下面讨论用于获得推导的密钥和使用推导的密钥来解密内容的过程。
[0090]给重放设备提供推导的密钥用于解密内容的过程
[0091]在本发明的许多实施例中,CA服务器使用推导算法(诸如上文进一步地讨论的那些算法)从内容密钥生成至少一个推导的密钥,并将推导的密钥提供给重放设备。图9中示出了根据本发明的实施例的用于由CA服务器生成推导的密钥并由重放设备使用推导的密钥来解密内容的过程。
[0092]该过程包括重放设备将对推导的密钥的请求发送(902)给CA服务器。对推导的密钥的请求可至少包括指定一段内容的资产标识符(ID)并且可选地包括重放位置。在一些实施例中,可以使用不同的内容密钥来加密一段内容的不同的部分。
[0093]在多个实施例中,重放设备按照每个推导的密钥区间一次地从CA服务器请求新推导的密钥。CA服务器接收(904)请求,并从存储器中检索与资产标识符(如果接收到重放位置,还有重放位置)相关联的内容密钥。在一些实施例中,内容密钥还与该段内容内的内容密钥起始位置相关联。CA服务器可以确定在重放位置之前的最近的内容密钥起始位置,并在检索适当的内容密钥中使用内容密钥起始位置。如果内容密钥没有已经存储在存储器中,则CA服务器可以从密钥管理CA服务器请求(906)内容密钥。CA服务器可以发送对内容密钥的请求,其中该请求包括资产标识符(ID),并且该请求可选地包括重放位置或内容密钥起始位置或其他密钥标识符。密钥管理CA服务器接收请求,并将与资产标识符(以及重放位置,如果适用的话)相关联的内容密钥返回(908)到CA服务器。如果密钥管理CA服务器在存储器中没有内容密钥,则它可以生成新的内容密钥并将密钥存储在存储器中。在本发明的多个实施例中,CA服务器按照每个内容密钥区间一次地从密钥管理CA服务器请求内容密钥。可替代地,CA服务器可以在不请求内容密钥的情况下按预定时间(诸如在内容密钥区间到期之后)接收内容密钥。可以向一个或多个CA服务器给出内容密钥。
[0094]CA服务器使用内容密钥并且可选地使用其他信息(诸如上文进一步描述的推导算法中的输入)来生成(910)至少一个推导的密钥。在一些实施例中,CA服务器可以确定开始推导的密钥区间的推导的密钥起始位置,在该推导的密钥区间期间推导的密钥用来加密内容。推导的密钥起始位置可以用在推导算法中和/或可以与推导的密钥相关联用于以后的检索。CA服务器向重放设备发送(912)推导的密钥。重放设备也可以接收经加密的内容的多个部分。然后,重放设备可以使用推导的密钥来解密(914)经加密的内容的至少一部分。
[0095]可以由CA服务器生成额外的推导的密钥,并将额外的推导的密钥发送给重放设备以在推导的密钥区间内解密内容的额外的部分。可以按预定的推导的密钥区间来生成额外的推导的密钥,和/或可以当由重放设备请求时生成它们。在许多实施例中,当内容密钥和/或推导的密钥改变时告知重放设备,以便它可以生成新请求。在多个实施例中,重放设备接收和/或利用内容清单或播放列表来促进一段内容的请求和/或重放。内容清单或播放列表可以包含信息,诸如但不限于,一个或多个内容文件的位置、内容的类型以及内容的格式。它还可以在一个或多个内容文件内的作为内容密钥起始位置或推导的密钥起始位置的位置处包含标记或指示符。当重放设备到达密钥起始位置时,它可以发送对新密钥的请求,以便它可以继续内容的重放。它还可以包括可以被用来请求或标识适当的内容密钥或推导的密钥的其他信息,诸如上文进一步地讨论的信息。可以根据本发明的实施例使用的可以利用内容清单或重放列表的视频流式传输标准包括由运动图像专家组(MPEG)颁布的HTTP上的动态自适应流式传输(MPEG DASH),以及由加利福尼亚州库佩蒂诺市的苹果公司颁布的HTTP实况流式传输(HLS)。
[0096]在多个实施例中,重放设备按照每个推导的密钥区间一次地从CA服务器请求新推导的密钥。如此,可以对于随后的对第二和随后的推导的密钥的请求,执行上文所讨论的动作。虽然上文关于图9讨论了用于生成推导的密钥并利用推导的密钥来解密内容的具体过程,但是本领域技术人员将认识到,根据本发明的实施例,可以使用各种过程中的任意一种和过程的变型来获得推导的密钥并且使用推导的密钥来解密内容。根据本发明的实施例的用于检索内容密钥和生成推导的密钥的过程可以是类似的,以便功能或动作可以在图7、图8和图9中所示出的过程之间被利用或互换。
[0097]虽然已经在特定具体方面描述了本发明,但是许多额外的修改和变型对本领域技术人员将是明显的。因此,应理解本发明可以按不同于具体描述的方式来实施。如此,本发明的实施例应该在所有方面被视为说明性的而非限制性的。
【主权项】
1.一种用于跨多个条件访问服务器的同步的密钥推导和分发以给重放设备提供推导的密钥用于解密内容的方法,所述方法包括: 由条件访问服务器接收对第一推导的密钥的请求,其中,所述请求包括: 标识一段内容的第一资产标识符;以及 与所述第一资产标识符相关联的所述一段内容内的第一重放位置; 使用所述条件访问服务器,使用所述第一重放位置,确定所述一段内容内的第一内容密钥起始位置和第一推导的密钥起始位置,其中,所述第一内容密钥起始位置和第一推导的密钥起始位置在所述第一重放位置之前; 使用所述条件访问服务器,确定与所述第一资产标识符和第一内容密钥起始位置相关联的第一内容密钥是否存储在存储器中; 当所述第一内容密钥存储在存储器中时,由所述条件访问服务器使用所述第一资产标识符和所述第一内容密钥起始位置,从存储器中检索所述第一内容密钥; 由所述条件访问服务器使用至少所述第一内容密钥和所述第一推导的密钥起始位置,生成第一推导的密钥;以及 由所述条件访问服务器响应于所述对第一推导的密钥的请求,发送所述第一推导的密钥。2.如权利要求1所述的方法,进一步包括: 当所述第一内容密钥未存储在存储器中时,由所述条件访问服务器生成所述第一内容密钥,将所述第一内容密钥存储在存储器中,并将所述第一内容密钥与所述第一资产标识符和所述第一内容密钥起始位置相关联。3.如权利要求1所述的方法,进一步包括: 当所述第一内容密钥未存储在存储器中时,由所述条件访问服务器发送对第一内容密钥的请求,接收所述第一内容密钥,将所述第一内容密钥存储在存储器中,并将所述第一内容密钥与所述第一资产标识符和所述第一内容密钥起始位置相关联,其中,该请求包括所述第一资产标识符和第一内容密钥起始位置。4.如权利要求1所述的方法,进一步包括: 由所述条件访问服务器接收对第二推导的密钥的请求,其中,该请求包括所述第一资产标识符和与所述第一资产标识符相关联的所述一段内容内的第二重放位置; 使用所述