基于混合的设备和人的授权域架构的制作方法

专利名称：基于混合的设备和人的授权域架构的制作方法
技术领域：
本发明涉及一种产生授权域(authorized domain)的方法。本发明进一步涉及一种用于产生授权域的系统。此外，本发明涉及一种在其上存储着指令的计算机可读介质，该指令用于使一个或多个处理单元执行依照本发明的方法。
最近在内容分发技术(即因特网和可移动介质)方面的发展使得交换内容比以前容易得多。消费者的迅速采纳表明这些技术确实符合他们的需要。一个副作用是它们也使得可以轻易地非法复制和分发内容。内容产业将此后者的发展看作是对他们生意的一个威胁。因此在最近的几年中，内容保护系统的数量正在快速地增长。这些系统中的一些只是保护内容不被非法地复制，而其它的系统还禁止用户对内容的访问。第一类被称为复制保护(CP)系统。传统上CP系统主要集中在消费类电子(CE)设备上，因为这种类型的内容保护被认为可以廉价地实现并且不需要与内容提供商进行双向交互。一些例子是作为DVD ROM盘的保护系统的内容加扰系统(CSS)和DTCP(一种用于IEEE 1394连接的保护系统)。
已知第二类有几个不同的名称。在广播领域中，这类系统通常被称为条件接入(CA)系统，而在因特网领域中，它们通常被称为数字权利管理(DRM)系统。
一个家庭网络可以被定义为一组使用某种网络技术(例如以太网、IEEE 1394、蓝牙、802.11b、802.11g等等)而互连的设备。虽然网络技术允许不同的设备进行通信，但这不足以使设备交互操作。为了能够实现这一点，设备需要能够发现并且寻址(address)在网络的其它设备中存在的功能。这种互操作性是由家庭连网中间件提供的。家庭连网中间件的例子是Jini、HAVi、UPnP、AVC。
授权域(AD)的概念试图找到一种能够同时满足内容所有者(其需要保护它们的版权)和内容消费者(其需要不受限制地使用内容)的利益的解决方案。基本的原理是具有一个受控的网络环境，在其中内容只要不越过授权域的边界就可以相对自由地使用。通常，授权域以家庭环境为中心，也被称为家庭网络。当然，其它的情景也是可能的。例如一个用户可以在旅行时携带一个便携式的具有有限数量的内容的音频和/或视频设备，并且可以在他的宾馆房间内使用该设备来访问或下载存储在家里的他的个人音频和/或视频系统中另外的内容。即使该便携设备在家庭网络之外，它也是用户的授权域的一部分。这样，一个授权域(AD)是一个允许由该域中的设备而不是由任何其它设备来访问内容的系统。
对于授权域的使用等的更广泛的介绍，参见IBC 2002会议出版物第467-474页的Philips Research中S.A.F.A.van den Heuvel，W.Jonker，F.L.A.J.Kamperman，P.J.Lenoir的Secure Content Management inAuthorised Domains(授权域中的安全内容管理)，该会议于2002年9月12-16日在荷兰举行。
授权域的概念的实现在某种程度上存在多种提议。
一种先前的解决方案包括基于设备的授权域(AD)。这种系统的例子是SmartRight(汤姆逊多媒体)、xCP以及NetDRM(Matshushita)。一个基于设备的AD的进一步的例子例如在同一申请人的序列号为02076998.0(代理人案号PHNL020455)的欧洲专利申请中给出。
在典型的基于设备的AD中，域是由一组特定的设备和内容构成的。只有域中特定的设备组被允许对域的内容进行访问、使用等等。对于特定的设备组的不同用户没有进行任何的区别。
基于设备的AD系统的缺陷是它们通常不提供用户所希望或需要的特有的灵活性，因为用户被限制于一组特定并且有限的设备。这样，用户未被允许在他选择的任何时间和任何地点行使其已经获得的权利。例如，如果一个用户在参观一个朋友的房子，他不能在朋友的设备上访问他合法购买到的内容，因为这些设备通常不是构成包含该用户的内容的域的特定并且有限的设备组中的一部分。
另一种先前的解决方案是基于人的授权域，其中域是基于人的，而不是象基于设备的AD中那样基于设备。该系统的一个例子例如在同一申请人的序列号为02079390.7(代理人案号为PHNL021063)的欧洲专利申请中进行了描述，其中内容与人相联系，然后其被分组成域。
在典型的基于人的AD中，对绑定(bind)于AD的内容的访问只被一个特定并且有限的但例如使用任何兼容(compliant)设备的用户组所允许。与基于设备的AD相比，基于人的授权域通常提供更容易的域管理。
然而，基于人的系统需要个人标识，这不一定方便或者不一定是用户的优选。此外，到你家里的来客可能需要访问你的内容。因为他没有该域的个人id设备，所以他无法访问该内容。如果属于该域的家中的设备能够使来客访问域的内容，那么将是优选的。
因此需要一种基于混合的人和设备的授权域，该域具有每种系统特有的优点。
本发明的一个目的是提供一种用于提供基于人和设备的授权域的结构的方法和对应的系统。另一个目的是提供一种解决现有技术的上述缺点的方法以及系统。进一步的目的是以简单、灵活和有效的方式来提供它们。
其中的这些目的是通过一个产生授权域(AD)的方法(以及对应的系统)实现的，该方法包括下列步骤选择一个唯一地标识授权域的域标识符，为域标识符绑定至少一个用户，并且为域标识符绑定至少一个设备，并由此获得被授权访问所述授权域的内容项的多个设备和多个人。
因此获得了一种将设备和人组合成一个AD的简单而有效的方法。进而，提供了一种基于混合的设备和人的授权域。这样，一个用户通过操作一个设备就能够访问授权域中的一个内容项，这可以通过校验内容项和用户被链接至同一域或者通过校验设备和内容项被链接至同一域来实现。因此，当访问一个授权域中的内容时，获得了对于一个或多个用户来说增进的灵活性，而内容的安全性仍然得到保持。这也是以简单、安全和可靠的方式实现的。
在一个实施例中，该方法进一步包括将至少一个内容项绑定至由域标识符指定的授权域的步骤。
在一个实施例中，将至少一个用户绑定至域标识符的步骤包括获得或产生一个域用户列表(DUC)，该列表包括域标识符和针对用户的唯一标识符，从而定义了被绑定于该授权域的用户，和/或将至少一个设备绑定至域标识符的步骤包括获得或产生一个域设备列表，该列表包括域标识符和针对设备的唯一标识符，从而定义了被绑定于该域的设备。
在一个实施例中，将至少一个内容项绑定至授权域(AD)的步骤包括-将一个内容项绑定至一个用户权限，这里所述用户权限被绑定于一个被绑定于该授权域的用户，和/或-将一个内容项绑定至一个设备权限，这里所述设备权限被绑定于一个被绑定于该授权域的设备。
在一个实施例中，将至少一个内容项绑定至授权域的步骤包括-将一个内容项绑定至一个域权限，这里所述域权限被绑定于该授权域。
在一个实施例中，所述用户权限或设备权限或域权限包括权限数据，该权限数据表示相对于至少一个被绑定于用户权限或设备权限或域权限的内容项存在哪些权限。
在一个实施例中，该方法进一步包括控制对被绑定于该授权域的给定内容项的访问，所述访问通过一个给定的用户对一个给定的设备进行操作来实现，该步骤包括-检查给定的用户是否和给定的内容项一样被绑定于同一授权域，或者-检查给定的设备是否和给定的内容项一样被绑定于同一授权域，以及如果给定的用户被绑定于同一授权域，则允许给定的用户通过给定的设备和/或其它设备访问该内容项，或者如果给定的设备是同一授权域的一部分，则允许给定的用户和/或其他用户通过给定的设备访问内容项。
在一个实施例中，该方法进一步包括控制对给定内容项的访问的步骤，该内容项被绑定于授权域并具有唯一的内容标识符，所述访问通过一个给定的用户对一个给定的设备进行操作来实现，该步骤包括-检查授权域的域设备列表是否包括给定设备的一个标识符，从而检查给定设备是否和内容项一样被绑定于同一授权域，和/或-检查授权域的域用户列表是否包括给定用户的一个标识符，从而检查给定用户是否和内容项一样被绑定于同一授权域，-以及如果给定设备和被访问的内容项一样被绑定于同一个授权域，则允许任何用户通过给定设备访问给定的内容项，和/或-如果给定用户和被访问的内容项一样被绑定于同一个授权域，则允许给定用户通过包括给定设备的任何设备访问给定的内容。
在一个实施例中，控制对给定内容项的访问的步骤进一步包括-检查用于给定内容项的规定给定用户具有访问该给定内容项的权限的用户权限，并且只允许在肯定时访问给定内容项。
在一个实施例中，每个内容项都被加密，并且一个内容权限被绑定于每个内容项以及绑定于一个用户权限或一个设备权限或一个域权限，并且给定内容项的内容权限包括一个用于解密所述给定内容项的解密密钥。
在一个实施例中，-域用户列表被实现为或包含在一个域用户证书中，和/或-域设备列表被实现为或包含在一个域设备证书中，和/或-用户权限被实现为或包含在一个用户权限证书中，和/或-设备权限被实现为或包含在一个设备权限证书中，和/或-域权限被实现为/包含在一个域权限证书中。
依照本发明的系统的有利实施例将在下面详细描述的从属权利要求中进行限定。系统的实施例对应于方法的实施例并且由于同样的原因而具有相同的优点。
此外，本发明还涉及一种在其上存储着指令的计算机可读介质，该指令用于使一个或多个处理单元执行依照本发明的方法。
根据图中所示的说明性实施例，本发明的这些和其它方面将是显而易见的，并且将参考这些实施例对本发明的这些和其他方面进行说明，其中

图1示意性地说明在依照本发明的一个授权域(AD)中对人、设备、用户权限以及内容的绑定；图2示意性地说明在依照一个本发明的替代实施例的一个授权域(AD)中对人、设备、用户权限以及内容的绑定；图3示意性地说明域设备证书(DDC)和域用户证书(DUC)中的元素；图4a说明依照在图1中示出的本发明实施例的一个内容容器、一个内容权限(CR)以及一个用户权限证书(URC)的示例性(局部)数据结构；图4b说明依照在图2中示出的本发明实施例的一个内容容器、一个内容权限(CR)以及一个域权限证书(DRC)的的示例性(局部)数据结构；图5示意性地说明一个包括构成授权域(AD)的设备和人的示例性系统。
在所有附图中，相同的附图标记指示类似或相应的特征。附图中指示的一些特征通常以软件来实现，并且因此表示软件实体，比如软件模块或对象。
图1示意性地说明在一个依照本发明的授权域(AD)中对人、设备、用户权限以及内容的绑定。示出的是一个依照本发明的授权域(100)，其中多个设备D1、D2、D3、...、DM(其中M等于或大于1)，多个内容项C1、C2、C3、...、CN2(其中N2等于或大于1)以及多个人/用户P1、P2、P3、...、PN1(其中N1等于或大于1)依照本发明的一个实施例被绑定于该AD。所述设备、人以及内容项被绑定于域(100)，正如后面将解释的那样。还示出了一个或多个用户权限(URC1、...、URCN2)，其中优选地一个内容项与一个用户权限证书相关，该证书规定给定人(或者可替代地是一个给定组的人和/或所有绑定于该域(100)的人)相对于特定内容项(或者可替代地是域(100)中的几个或所有的内容项)具有哪些权限。
对于关于一个授权域架构和实现选项的更多信息，读者可以参考同一申请人的序列号为01204668.6(代理人案号为PHNL010880)的欧洲专利申请或者同一申请人的序列号为02076998.0(代理人案号为PHNL020455)的欧洲专利申请。序列号为02076998.0(代理人案号为PHNL020455)的欧洲专利申请更具体地描述了一个实现，其中内容和设备被连接至一个域。此外，同一申请人的序列号为02079390.7(代理人案号为PHNL021063)的欧洲专利申请描述了一个实现，其中内容被连接至人，然后其被组合到一个域中。
请注意，实际上内容只能通过用户操作一个设备的方式被访问/使用。在下文中，我们假设在系统中使用的设备是兼容且“公共的”设备。这意味着一个设备将遵守某些操作规则(例如将不在一个未经保护的数字接口上非法地输出内容)，并且设备的所有权并不重要(公共的)。设备的兼容性管理，即兼容设备识别、设备的更新能力、以及设备的撤销将被适当地(使用已知技术)假设，并且在此不再进一步考虑。
用户权限(URC1、...、URCN2)是在一个用户和一个内容权限(其被需要来解密一段内容)之间仅有的联系、绑定、连接等等。通过引入此用户权限，在我们的系统中现在有5个主实体能以如下方式工作-内容(C1、C2、C3、...、CN2)内容项优选是加密的(有很多选择，例如每个内容标题使用一个唯一的密钥)并且可以在系统中的任何地方；在这个实施例中一个内容项通过一个内容权限被间接地链接至一个用户权限证书，这也将结合图4a进行说明。
-内容权限(CR；未示出；例如参见图4a)包含加密密钥或其它用于访问某个(加密的/保护的)内容项的合适的保护装置。可以使内容权限对于每个内容标题是唯一的，或者甚至对于内容的每个样本(拷贝)是唯一的，就这一点而言该系统是灵活的。内容权限应该只被传送至兼容的设备。一个更安全的规则是强迫内容权限只能被传送至由授权用户(即通过用户的用户权限的方式被授权以访问特定内容权限的用户)操作的兼容的设备。例如内容权限也可以和内容一起被存储在光盘上。然而，内容权限必须被安全地存储，因为它们包含内容解密密钥。
-用户权限证书(URC1、...、URCN2)一个由内容提供商发行的证书或类似物，其授权一个人使用某个内容权限(CR)(属于某段内容)。用户权限原则上可以位于系统的任何地方。优选地，用户权限证书还包括访问某个内容项的规则(例如限于18岁或更大的观看者，或者只在欧洲市场等等)。
-设备(D1、D2、D3、...、DM)一个用于播放、操作、记录、呈现、显示、修改等一个内容项的设备。此外，一个(兼容的)设备优选也能够通过一个个人化的识别设备(例如诸如智能卡、移动电话、生物测量传感器等)来识别一个用户，并且收集(例如从智能卡或从其它设备中)用于证明用户被允许使用某个内容权限的证书。该内容权限可以从存储其的智能卡中获得(如果它被存储在那里)，或者从网络上另一兼容的设备中获得(安全地传输)。
-用户/人(P1、P2、P3、...、PN1)一个用户是通过某一生物测量或者优选地通过一个个人化的识别设备(例如智能卡、移动电话、包含智能卡的移动电话或者唯一地标识一个用户的其它类型的设备)来识别的，其中该识别设备是他/她正在佩戴、携带的或者可以使用的。一个包括智能卡的移动电话或者另一具有存储装置的设备是优选的，因为它允许用户携带与其有关的权限(用于访问离线设备上的内容)。识别设备自身可以通过一个生物测量验证机制被保护，这样除了合法所有者之外的任何人不能使用该识别设备。一个用户也可以使用一个公钥技术或一个未知协议或其结合而被识别。
优选地，授权设备通过一个证书被绑定于AD(100)。同样，授权的人/用户优选也通过证书被绑定至AD(100)。在这个特定实施例中，内容项是通过用户权限证书(URC)被绑定于人的。该用户权限证书使得能够使用对应的内容权限(CR)，该CR优选地包含一个用于访问该内容的加密密钥，这也将结合图4a进行更详细地说明。一个用户权限证书(URC)通常与一个内容项相联系，但是也可以与多个内容项相联系。内容容器(包含一个内容项)、URC和CR的示例性的部分数据结构将被示出并结合图4a进行更详细地说明。
域证书优选由一个域管理机构(authority)来发行。可选的，具有域管理能力的兼容设备可以管理这些证书。
在图1中示出的例子中，每个内容项C1、C2、...、CN2被连接至一个用户权限证书URC1、URC2、...、URC N2。URC1和URC2被连接至人P1，URC3被连接至人P2，URC2-2、URC2-1和URC2被连接至人PN1，以及URC4-URC2-3在人P3-PN1-1之间进行分配。
这样，特定的内容C1和C2被连接至特定的人P1，特定的内容C3被连接至特定的人P2，特定的内容CN2-2、CN2-1和CN2被连接至特定的人PN1，以及特定的内容C4-CN2-3通过它们各自的URC在特定的人P3-PN1-1之间进行分配。
在这个示出的实施例中，一个单独的内容项只被允许连接至一个单独的URC(间接地通过一个内容权限)并且从而连接至一个单独的人。如果若干用户需要同一内容项的拷贝，那么在本实施例中其将为每个用户存在一次并且作为不同的内容项来被对待，这使权限管理更简单。可选的并且恰好适用的是，一个单独的内容项能够被连接至一个以上的人，因为CR可以与多个URC相联系。
人P1、P2、...、PN1和域设备D1、D2、...、DM然后被组合来形成授权域(100)。
优选地，设备、人和内容的绑定(即分组和连接)是按照本发明通过使用证书来实现的。优选地使用一个域设备证书或域设备列表(DDC)、一个域用户证书或域用户列表(DUC)、以及一个用户权限证书或用户权限列表(URC)。在下面仅参考证书，虽然应该理解这样的结构例如可以替代地被实施为列表等。
DDC列出作为域(100)的一部分的设备，例如通过为每个设备包括一个唯一的标识符。DUC列出作为域的一部分的用户，例如通过为每个用户包括一个唯一的标识符或一个(例如公共的)加密密钥或一个其的散列(hash)。DUC和DDC被示出并将结合图3进行更详细地说明。优选地对于每个内容项存在一个URC(因此在图1的示例性实施例中有N2个URC)，并且对于与URC联系的给定内容项，该URC指出(URC所联系的)用户在域(100)以及可选地一个交叉域(X-AD权限)内具有(和/或不具有)哪些权限。可替代地，一个被连接至一个给定用户的URC例如列出被连接至该给定用户的每个内容项以及该给定用户相对于每个连接的内容项具有什么权限。可替代地，只有一个单独的URC用于指定每个用户的权限，即每个用户具有连接至他/她的哪个(些)内容项以及用户具有(和/或不具有)什么权限。
在一个优选实施例中，DDC和DUC通过一个在两个证书中包含的域标识符(Domain ID)被彼此关联。这样，获得了一种将给定域的用户(以及从而内容项)和设备联系(并从而构成域)的非常简单的方法。
如果一个特定的设备(例如设备D3)需要访问某一段内容(例如内容C1)，那么必须验证或检查等(使用证书)所述的这段内容被连接至一个特定的人(例如人P1)，该人和特定的设备一样是同一个域(100)的成员。这例如可以通过检查下述来完成特定设备(例如设备D3)的一个(唯一的)标识符是DDC的一部分，特定人(例如人P1)的一个(唯一的)标识符是DUC的一部分，DDC和DUC都包含着相同的域标识符(例如Domain_ID＝4或Domain_ID＝8字节值(例如随机产生的)；未示出)，并且对于特定人的URC(例如URC1)规定该特定人具有访问所述这段内容的权限(例如如果是在其许可证的有效期内或者其没有被使用超过3次等等)。这将结合图4a进行更详细地说明。可替代地，代替作为一个随机数，域ID可以是一个数据对象(例如域证书)的引用。
通过将内容项(通过URC)连接至人，内容的所有权可以轻易地反映出来。此外，管理AD的拆分更容易，因为通过拆分人，适当的内容项也被拆分，因为内容项和人是相联系的。
因此，一个或多个设备、一个或多个人、以及至少一个内容项(通过一个人)在域中被连接在一起，优选是通过使用证书或可代替地是通过使用包括和用于证书一样的所述元素的列表。在某些时刻，该域有可能不包括人和/或设备和/或内容项。例如当初始建立该域时，其可能不包括绑定至该域的内容项或设备等。
这样，一个已被证实为与被访问的内容项一样属于同一域的用户可以使用任何设备来访问该特定内容。此外，一个使用已被证实为与被访问的内容项一样属于同一域的设备的用户可以使用该特定的设备来访问该特定内容。进而，所有的用户可以在该特定的设备上访问特定的内容项。
这对一个或多个用户在访问一个AD中的内容时提供了增进的灵活性，而内容的安全性仍然得到保持。
在一个可选的实施例中，内容可以被绑定至域的设备而不是域的人。代替一个用户权限证书，一个设备权限证书(DevRC)(未示出)被使用。该设备权限证书(DevRC)于是具有和URC相同的内容，除了设备ID代替个人ID之外。其它部分都未改变。
也应该理解，在上文和下文中，除了具有一个包括用户的列表或证书(即DUC)以及一个包括设备的列表或证书(即DDC)外，还可以使用其它安排。作为一种选择，设备和用户都可以被包括在一个单独的列表/证书中。进而，几个包括设备的列表/证书和/或几个包括用户的列表/证书和/或它们的组合都可以被同样地使用。
图2示意性地说明在一个依照本发明的可选实施例的授权域(AD)中对人、设备、用户权限以及内容的绑定。这个示出的实施例对应于在图1中示出的实施例，只有一处不同，即通过一个或多个域权限(DRC)将内容项连接至域(100)，而不是通过用户权限证书URC1、URC2、...、URC N2将内容项C1、C2、...、CN2连接至人P1、P2、...、PN1。优选地，一个内容项被连接至一个DRC。在一个优选实施例中，DRC以证书的形式实现。
在这个实施例中，如果一个特定的设备(例如设备D3)需要访问某一段内容(例如内容C1)，它需要被验证或检查等(使用证书)所述的这段内容已经被连接至和特定的设备相同的域(100)，或是操作该设备的特定人(例如人P1)是该域的一个成员。在这个实施例中，这可以例如通过检查下述来完成特定设备的一个(唯一的)标识符是DDC的一部分，或者特定人的一个(唯一的)标识符是DUC的一部分。进而，应该检查被连接至DRC的这段内容是域的一部分，并且DDC或DUC包括相同的域标识符，并且特定内容的DRC规定域的人具有访问这段内容的权限(例如如果是在其许可证的有效期内或者其未被使用超过3次)。因此，对内容项的访问是通过一个域的兼容设备或通过一个有效的用户id给出的。这将结合图4b进行更详细地说明。
图3示意性地说明域设备证书(DDC)和域用户证书(DUC)的元素。如所示，域设备证书(DDC)包括用于属于给定域的一个或多个设备的唯一标识符(Dev.ID1、Dev.ID2、...)的列表，即在该域中被授权的设备。在一个优选实施例中，用于给定设备的设备标识符例如Dev.ID1是一个(至少用户不能改变的)序列或ID号等。该给定的域由域ID的值指定，例如其可以是一个8字节的随机标识符。
依照本发明的证书(DDC、DUC等)可以通过一个众所周知的SPKI授权证书实现。此外，一个有用的选择是将Domain_ID放置在实现DDC、DUC和/或DRC的这种SPKI证书的持有者字段中。
域用户证书(DUC)包括一个用于属于给定域的一个或多个用户/人的唯一的标识符(Pers_ID1、Pers_ID2、...)的列表，即在该域中被授权的用户。所列出的用户在其中被授权的给定域由象上面针对域设备证书(DDC)描述的域ID的值指定。一个域用户证书(DUC)和一个域设备证书(DDC)通过具有域ID的相同值而被联系，并且因此定义了授权域(包括设备和用户)。
图4a说明依照在图1中示出的本发明实施例的一个内容容器、一个内容权限(CR)以及一个用户权限证书(URC)的的示例性(局部)数据结构。所示出的是一个内容容器(501)，它包含例如从服务提供商获得的保护的数据/内容。该内容容器进一步包括一个内容标识符(Cont_ID)，其对内容容器中所嵌入的特定内容项是唯一的。这样，该内容标识符(Cont_ID)被用于定位域的一个给定内容项，例如通过搜索属于特定域的每个内容容器来得到匹配的Cont_ID。
还示出一个内容权限(CR)(520)，它包括一个内容标识符(Cont_ID)和一个内容加密密钥(Cont Encr K)。该内容标识符被用于建立到内容加密密钥所指向的加密的内容项(在一个内容容器中)的连接，即需要密钥来解密并从而能够进行访问的内容。在这个特定实施例中，加密密钥是一个对称密钥，即相同的密钥被用于加密和解密数据。可替代地，可以使用其它保密方案。
此外示出一个用户权限(UR)或用户权限证书(URC)(503)。该URC包括一个用于连接具有特定URC的特定内容项(和内容权限)的内容标识符(Cont_ID)。该URC还包括一个人/用户标识符(Pers_ID)，其表明特定的内容被绑定于哪个人。例如，该人/用户标识符可以是一个给定人的ID或序列号、一个名称、一个用户的公钥的散列值或一般来说人的任何唯一标识符。
此外，该URC包括权限数据(Rghts Dat)，其定义给定用户(如由Pers_ID标识的)被允许对于特定内容项(包含在具有相同的Cont_ID的内容容器中)做什么。这些权限数据例如可以规定播放权限(例如限于18岁或更大的观看者，或者只在欧洲市场等等)、一代复制权限、有效期、使用不超过三次等等。此外，该权限数据(Rghts Dat)也可以定义所有的用户被允许对于特定内容项做什么(其可以是与由Pers_ID所标识的人的相同的或不同的权限)。
作为一个例子，众所周知的SPKI授权证书可以被用来实现这样一个URC。
在该实施例中，内容通过设备而不是通过人与该域联系，不再需要URC，而是一个设备权限证书，其和URC相同，只是它包含一个设备ID而不是一个用户ID。
为了说明依照本发明的该实施例的一个内容容器、一个内容权限(CR)和一个用户权限证书(URC)的使用，考虑了以下说明一个内容项被一个用户访问的简单例子。
用于用户需要访问的给定内容项的内容标识符(Cont_ID)和用户的个人标识符(Pers_ID)被获得。该个人标识符例如可以基于个人化的识别设备(例如一个智能卡、移动电话、一个含有智能卡的移动电话、一个生物测量传感器等，或是以别的方式)来获得。内容标识符例如可以基于文件名称、文件的选择、来自一个内容容器的头部等来获得。
检查内容项和用户是否属于该(同一)授权域。检查一个用户是否属于一个域是通过检查该个人标识符(Pers_ID)是否被包含在一个域用户证书(DUC)中来完成的(如图1、2和3所示)。如果是，则验证该用户是域的一部分，并且允许该用户访问同样是同一域的一部分的内容。
然后检查给定内容项是否也属于同一域，这是通过检查该内容项的内容标识符是否绑定于一个被绑定于同一域的人，即通过检查是否存在一个绑定于该域的URC，该URC包含同样的内容标识符。如果是，则内容项属于同一域，并且该用户(假设该用户和/或使用的设备已被验证)因此具有访问其的权限。此外，URC的权限数据(RghtsDat)也可以指定对内容项的受限的访问。该权限数据可以为利用Pers_ID标识的用户指定规则、权限、条件和/或一般的规则、权限、条件。例如，它可以指定在域中的每个用户具有播放的权限，而通过Pers_ID链接的用户另外具有专用的第一代复制权限。
通常，用户使用一个特定的设备将获得对内容项的访问。如果该用户不是该域的一部分或者没有获得有效的用户ID(例如因为它是一个访问该内容的朋友)，那么就必须检查该用户正在用来访问内容项的特定设备是否是和内容项一样是同一域的一部分，以便允许该用户访问该内容，因为他不是(或者不能确定他是)和内容项一样的同一域的一部分。这是通过获得内容项被绑定的(通过一个人)DUC的Domain_ID来实现的。该Domain_ID用于确定一个域设备证书(DDC)(在图1、图2、图3中所示出的)包括相同Domain_ID，并且检查DDC是否包括用户试图用来访问该内容项的特定设备的Dev.ID。如果该DDC包括一个用于特定设备的Dev.ID，则该用户(以及所有其他用户)可以使用该特定设备来访问特定的内容(以及该域的所有其它内容)。
用于验证对内容项、用户和设备进行访问的这三个步骤可以代替地以不同于所描述的另一顺序进行，并且例如至少在某种程度上并行地进行。
在确认用户或设备和内容一样是同一域的一部分之后，则所得的内容标识符被用于定位被访问的特定内容项的内容权限(CR)，以便获得用于解密该加密的内容项所必须的加密密钥。此外，包括加密内容项的内容容器也通过使用内容标识符被定位。
最后，在内容权限中的密钥被用于解密该内容项，该内容项现在是可访问的，例如用于再现、复制在一张光盘上、编辑等。可替代地，内容项也可以在被发送至用于访问的设备之前使用内容权限进行解密，由此只需要传送内容项。然而，这需要特殊的措施以便在传送过程中保护内容项，以便未受保护的内容不可能“泄露”。
此过程在图4a中通过连接各种结构的Cont_ID的箭头来说明。
这样，如果特定的用户已经被验证为与所访问的内容项一样属于同一域，如所述的那样，则不需要检查他正在使用的该设备是否也属于同一域。此外，证实的用户可以使用所有设备来访问特定内容项。同样，如果一个特定设备已被验证为属于同一域，那么所有用户可以使用该特定设备来访问特定内容项并且不需要验证该用户。
因此，对于一个或多个用户在访问AD中的内容时获得了增进的灵活性，同时内容的安全性仍然得到保持。
图4b说明依照在图2中示出的本发明实施例的一个内容容器、一个内容权限(CR)以及一个域权限证书(DRC)的示例性(局部)数据结构。在这个实施例中，内容项通过一个DRC被绑定至该域并且没有绑定至(通过一个URC)该域的用户。所示出的是一个内容容器(501)以及一个内容权限(CR)(502)，其对应于例如在图4a中示出并说明的那一个。
此外示出一个域权限证书(504)，它包括一个用于将一个特定内容项(以及内容权限)链接至一个特定DRC的内容标识符(Cont_ID)。所述DRC还包括一个域标识符(Domain_ID)，其表明特定的内容被绑定至哪个域。该域标识符对应于结合图1、2和3解释的域设备证书(DDC)和域用户证书(DUC)中的域标识符。
此外，该DRC(504)包括权限数据(Rghts Dat)，其定义一个或多个用户被允许对于特定内容项(包含在具有相同的Cont_ID的内容容器中)做什么。这些权限数据对应于结合图4a所说明的URC的权限数据。
为了说明依照本发明的该实施例的一个内容容器、一个内容权限(CR)和一个域权限证书的使用，考虑以下说明一个用户使用一个特定设备访问一个内容项的简单例子。
用于用户需要访问的给定内容项的内容标识符(Cont_ID)、用户的个人标识符(Pers_ID)以及含有内容项的域的域标识符(Domain_ID)被获得。该内容标识符和个人标识符可以如结合图4a所描述的方式被获得。域标识符(Domain_ID)是根据内容所绑定到的DRC的Domain_ID来获得的。
检查内容项和用户是否属于该(同一个)授权域。检查一个用户是否属于一个域是通过检查该个人标识符(Pers_ID)是否被包含在一个具有特定域标识符的域用户证书(DUC)(如在图1、2和3中所示出的)中来完成的。如果是，则验证该用户是域的一部分，并且允许该用户访问也是同一域的一部分的内容。
然后检查给定内容项是否也属于同一域，这是通过检查该内容项的内容标识符是否绑定于同一域，即通过检查是否存在一个绑定于该域的DRC，该DRC包含同样的内容标识符。如果是，则内容项属于同一域，并且该用户(假定该用户和/或使用的设备已被验证)因此具有访问其的权限。此外，DRC的权限数据(Rghts Dat)也可以指定对内容项的受限的访问，如结合图4a所描述的那样。
通常，用户使用一个特定设备将获得对内容项的访问。如果该用户不是该域的一部分或者没有获得有效的用户ID(例如，因为它是一个访问该内容的朋友)，那么就必须检查该用户正在用来访问内容项的特定设备是否和内容项一样是同一域的一部分，以便允许该用户访问该内容项，因为他不是(或者不能确定他是)同一域的一部分。这是通过获得被绑定于内容的DRC的Domain_ID来实现的。该Domain_ID用于确定一个域设备证书(DDC)(在图1、2和3中所示出的)包括相同的Domain_ID，并且检查DDC是否包含着用户试图用来访问该内容项的特定设备的Dev.ID。如果该DDC包含一个用于特定设备的Dev.ID，则该用户(以及所有其他用户)可以使用该特定设备来访问特定内容(以及该域的所有其他内容)。
用于验证对内容项、用户和设备访问的这三个步骤可以代替地以不同于所描述的另一顺序进行，并且例如至少在某种程度上并行地进行。
在确认用户、内容以及设备是同一域的一部分之后，内容项如同结合图4a所描述的那样被访问，即获得内容权限并解密内容等。
此过程在图4b中通过连接各种结构的Cont_ID的箭头来说明。
图5示意性地说明一个包括构成授权域(AD)的设备和人的示例性系统。示出的是网络(101)，它可以实现例如在家庭中的多个设备间的通信。在例子中的设备是一个电视机(504)、一个数字视频系统(503)、一个音响(music set)(502)和一个通过无线接入点(506)与网络(101)进行无线通信的便携式设备(507)。此外示出一个用户/人(505)。
在一个示例性方案中，一个授权域(100)具有绑定于它的电视机(504)、数字视频系统(503)、音响(502)和用户(505)，此外还有多个内容项(未示出)(依照图1通过人/用户或通过设备绑定，或者依照图1通过域权限证书绑定)。
在这个方案中，用户需要在一个便携式设备(507)上访问一个给定的内容项。他可以和设备一样位于同一位置或者在另一位置(例如在一个宾馆的房间里)。对于一个依照本发明获得对内容项的访问的用户而言，必须检查该人(505)是否属于该域(100)，因为该便携式设备(507)不属于该域。这可以通过唯一地标识该用户实现，例如使用便携式设备(507)中的智能卡阅读器，接着其可以将用户ID传送到网络(101)。假设该内容权限和内容项在便携式设备(507)上(否则它可以被传送至那里)。然后如结合图4a或4b所描述的对用户进行检查。在确认了用户之后，内容项可以被访问。
在另一个示例性方案中，一个授权域(100)具有绑定于它的电视机(504)、数字视频(503)、音响(502)和便携式设备(507)，此外还有多个内容项(未示出)(依照图1通过人/用户或通过设备绑定，或者依照图1通过域权限证书绑定)。所述用户(505)在这个方案中未被绑定于授权域(100)，因为他例如可以是一个拜访的邻居或朋友。在这个方案中，用户也希望在一个便携式设备(507)上访问一个给定的内容项。
对于一个依照本发明获得对内容项的访问的用户而言，必须检查该便携式设备(507)是否属于该域(100)，因为该人(505)不属于该域。
这可以通过结合图4a或4b所描述的检查便携式设备(507)是否和内容项一样被绑定于同一域(100)来完成。在验证了该设备之后，用户可以在便携式设备(507)上访问所述内容项。
在权利要求书中，置于括号内的附图标记不应构成对该权利要求的限制。措词“包括”不排除存在除了在权利要求中列出的元件或步骤之外的元件或步骤。元件前面的措词“一”或“一个”不排除存在多个这样的元件。
本发明可以通过包括若干不同元件的硬件以及通过适当编程的计算机来实现。在列举若干装置的设备权利要求中，这些装置中的若干可以通过同一项硬件来实现。仅仅在互相不同的从属权利要求中陈述某些措施的事实并不表示这些措施的组合不能被有利地利用。
权利要求
1.一种产生一个授权域(AD)的方法，该方法包括以下步骤-选择一个唯一地标识授权域(100)的域标识符(Domain_ID)，-将至少一个用户(P1、P2、...、PN1)绑定到该域标识符(Domain_ID)，以及-将至少一个设备(D1、D2、...、DM)绑定到该域标识符(Domain_ID)，以及由此获得被授权访问所述授权域(100)的一个内容项的多个设备(D1、D2、...、DM)和多个人(P1、P2、...、PN1)。
2.如权利要求1所述的方法，其特征在于，该方法进一步包括下述步骤-将至少一个内容项(C1、C2、...、CN2)绑定到由域标识符(Domain_ID)给出的授权域(AD)。
3.如权利要求1-2所述的方法，其特征在于，将至少一个用户(P1、P2、...、PN1)绑定到该域标识符(Domain_ID)的步骤包括-获得或产生一个域用户列表(DUC)，该列表包括域标识符(Domain_ID)和用户(P1、P2......PN1)的唯一标识符(Pers_ID1，Pers_ID2，...，Pers_IDN1)，从而定义了用户被绑定于该授权域(100)，和/或其特征在于，将至少一个设备(D1、D2、...、DM)绑定至域标识符(Domain_ID)的步骤包括-获得或产生一个域设备列表(DDC)，该列表包括域标识符(Domain_ID)和设备(D1、D2、...、DM)的唯一标识符(Dev.ID1，Dev.ID2，...，Dev.IDM)，从而定义设备被绑定于该域(100)。
4.如权利要求2-3所述的方法，其特征在于，将至少一个内容项(C1、C2、...、CN2)绑定至授权域(AD)的步骤包括-将一个内容项(C1、C2、...、CN2)绑定至一个用户权限(URC1，URC2，...，URCN2)，这里所述用户权限(URC1，URC2，...，URCN2)被绑定于一个被绑定于该授权域(100)的用户(P1、P2、...、PN1)，和/或-将一个内容项(C1、C2、...、CN2)绑定至一个设备权限(DevRC)，这里所述设备权限(DevRC)被绑定于一个被绑定于该授权域(100)的设备(D1、D2、...、DM)。
5.如权利要求2-4所述的方法，其特征在于，将至少一个内容项(C1、C2、...、CN2)绑定至授权域(100)的步骤包括-将内容项(C1、C2、...、CN2)绑定至一个域权限(DRC1，DRC2，...，DRCN2)，这里所述域权限(DRC1，DRC2，...，DRCN2)被绑定于该授权域(100)。
6.如权利要求4或5所述的方法，其特征在于，所述用户权限(URC)或设备权限(DevRC)或域权限(DRC)包括权限数据(RghtsDat)，所述权限数据表示相对于至少一个被绑定于用户权限(URC)或设备权限(DevRC)或域权限(DRC)的内容项(C1、C2、...、CN2)存在哪些权限。
7.如前述权利要求中任何一项所述的方法，其特征在于，该方法还包括控制对被绑定于该授权域(100)的给定内容项的访问的步骤，所述访问通过一个给定用户对一个给定设备进行操作来实现，该步骤包括-检查给定的用户是否和给定的内容项一样被绑定于同一授权域(100)，或者-检查给定的设备是否和给定的内容项一样被绑定于同一授权域(100)，以及如果给定的用户被绑定于同一授权域(100)，则允许给定的用户通过给定的设备和/或其它设备访问该内容项，或者如果给定的设备是同一授权域(100)的一部分，则允许给定的用户和/或其他用户通过给定的设备访问该内容项。
8.如权利要求1-6中任何一项所述的方法，其特征在于，该方法进一步包括控制对给定内容项(C1、C2、...、CN2)的访问的步骤，该内容项被绑定于授权域(100)并具有唯一的内容标识符(Cont_ID)，所述访问通过一个给定用户对一个给定设备进行操作来实现，该步骤包括-检查授权域(100)的域设备列表(DDC)是否包括给定设备的一个标识符(Dev.ID)，从而检查给定设备是否和内容项一样被绑定于同一授权域(100)，和/或-检查授权域(100)的域用户列表(DUC)是否包括给定用户(P1、P2、...、PN1)的一个标识符(Pers_ID)，从而检查给定用户是否和内容项一样被绑定于同一授权域(100)，-以及如果给定设备和被访问的内容项一样被绑定于同一个授权域(100)，则允许任何用户通过给定设备(D1、D2、...、DM)访问给定的内容项(C1、C2、...、CN2)，和/或-如果给定用户和被访问的内容项一样被绑定于同一个授权域(100)，则允许给定用户通过包括给定设备的任何设备来访问给定的内容项(C1、C2、...、CN2)。
9.如权利要求7-8所述的方法，其特征在于，控制对给定内容项的访问的步骤进一步包括-检查用于给定内容项的规定给定用户(P1、P2、...、PN1)具有访问该给定内容项(C1、C2、...、CN2)的权限的用户权限(URC)，并且只允许在肯定时访问给定内容项(C1、C2、...、CN2)。
10.如权利要求1-9所述的方法，其特征在于，每个内容项都被加密，并且一个内容权限(CR)被绑定于每个内容项以及绑定于一个用户权限(URC)或一个设备权限(DevRC)或一个域权限(DRC)，并且给定内容项的内容权限(CR)包括一个用于解密所述给定内容项的解密密钥。
11.如权利要求3-10所述的方法，其特征在于，-域用户列表(DUC)被实现为或包含在一个域用户证书中，和/或-域设备列表(DDC)被实现为或包含在一个域设备证书中，和/或-用户权限(URC1，URC2，...，URCN2)被实现为或包含在一个用户权限证书中，和/或-设备权限(DevRC)被实现为或包含在一个设备权限证书中，和/或-域权限(DRC1，DRC2，...，DRCN2)被实现为/包含在一个域权限证书中。
12.一种产生一个授权域(AD)的系统，该系统包括-用于获得一个唯一地标识授权域(100)的域标识符(Domain_ID)的装置，-用于将至少一个用户(P1、P2、...、PN1)绑定到该域标识符(Domain_ID)的装置，以及-用于将至少一个设备(D1、D2、...、DM)绑定到该域标识符(Domain_ID)的装置，以及由此获得被授权访问所述授权域(100)的一个内容项的多个设备(D1、D2、...、DM)和多个人(P1、P2、...、PN1)。
13.如权利要求1所述的系统，其特征在于，该系统进一步包括-用于将至少一个内容项(C1、C2、...、CN2)绑定到由域标识符(Domain_ID)给出的授权域(AD)的装置。
14.如权利要求12-13所述的系统，其特征在于，用于将至少一个用户(P1、P2、...、PN1)绑定到该域标识符(Domain_ID)的装置适于-获得或产生一个域用户列表(DUC)，该列表包括域标识符(Domain_ID)和用户(P1、P2、...、PN1)的唯一标识符(Pers_ID1，Pers_ID2，...，Pers_IDN1)，从而定义了用户被绑定于该授权域(100)，和/或其特征在于，用于将至少一个设备(D1、D2、...、DM)绑定至域标识符(Domain_ID)的装置适于-获得或产生一个域设备列表(DDC)，该列表包括域标识符(Domain_ID)和设备(D1、D2、...、DM)的唯一标识符(Dev.ID1，Dev.ID2，...，Dev.IDM)，从而定义了设备被绑定于该授权域(100)。
15.如权利要求13-14所述的系统，其特征在于，用于将至少一个内容项(C1、C2、...、CN2)绑定至授权域(AD)的装置适于-将一个内容项(C1、C2、...、CN2)绑定至一个用户权限(URC1，URC2，...，URCN2)，这里所述用户权限(URC1，URC2，...，URCN2)被绑定于一个被绑定于该授权域(100)的用户(P1、P2、...、PN1)，和/或-将一个内容项(C1、C2、...、CN2)绑定至一个设备权限(DevRC)，这里所述设备权限(DevRC)被绑定于一个被绑定于该授权域(100)的设备(D1、D2、...、DM)。
16.如权利要求13-15所述的系统，其特征在于，用于将至少一个内容项(C1、C2、...、CN2)绑定至授权域(100)的装置适于-将内容项(C1、C2、...、CN3)绑定至一个域权限(DRC1，DRC2，...，DRCN2)，这里所述域权限(DRC1，DRC2，...，DRCN2)被绑定于该授权域(100)。
17.如权利要求15或16所述的系统，其特征在于，所述用户权限(URC)或设备权限(DevRC)或域权限(DRC)包括权限数据(RghtsDat)，所述权限数据表示相对于至少一个被绑定于用户权限(URC)或设备权限(DevRC)或域权限(DRC)的内容项(C1、C2、...、CN2)存在哪些权限。
18.如权利要求12-17所述的系统，其特征在于，该系统还包括用于控制对被绑定于该授权域(100)的给定内容项的访问的装置，所述访问通过一个给定用户对一个给定设备进行操作来实现，其中该装置适于-检查给定的用户是否和给定的内容项一样被绑定于同一授权域(100)，或者-检查给定的设备是否和给定的内容项一样被绑定于同一授权域(100)，以及如果给定的用户被绑定于同一授权域(100)，则允许给定的用户通过给定的设备和/或其他设备访问该内容项，或者如果给定的设备是同一授权域(100)的一部分，则允许给定的用户和/或其他用户通过给定的设备访问该内容项。
19.如权利要求12-17中任何一项所述的系统，其特征在于，该系统进一步包括用于控制对给定内容项(C1、C2、...、CN2)的访问的装置，该内容项被绑定于授权域(100)并具有唯一的内容标识符(Cont_ID)，所述访问通过一个给定用户对一个给定设备进行操作来实现，其中该装置适于-检查授权域(100)的域设备列表(DDC)是否包括给定设备的一个标识符(Dev.ID)，从而检查给定设备是否和内容项一样被绑定于同一授权域(100)，和/或-检查授权域(100)的域用户列表(DUC)是否包括给定用户(P1、P2、...、PN1)的一个标识符(Pers_ID)，从而检查给定用户是否和内容项一样被绑定于同一授权域(100)，-以及如果给定设备和被访问的内容项一样被绑定于同一个授权域(100)，则允许任何用户通过给定设备(D1、D2、...、DM)访问给定的内容项(C1、C2、...、CN2)，和/或-如果给定用户和被访问的内容项一样被绑定于同一个授权域(100)，则允许给定用户通过包括给定设备的任何设备来访问给定的内容项(C1、C2、...、CN2)。
20.如权利要求18-19所述的系统，其特征在于，用于控制对给定内容项的访问的装置进一步适于-检查用于给定内容项的规定给定用户(P1、P2、...、PN1)具有访问该给定内容项(C1、C2、...、CN2)的权限的用户权限(URC)，并且只允许在肯定时访问给定内容项(C1、C2、...、CN2)。
21.如权利要求12-20所述的系统，其特征在于，每个内容项都被加密，并且一个内容权限(CR)被绑定于每个内容项以及绑定于一个用户权限(URC)或一个设备权限(DevRC)或一个域权限(DRC)，并且给定内容项的内容权限(CR)包括一个用于解密所述给定内容项的解密密钥。
22.如权利要求24-21所述的系统，其特征在于，-域用户列表(DUC)被实现为或包含在一个域用户证书中，和/或-域设备列表(DDC)被实现为或包含在一个域设备证书中，和/或-用户权限(URC1，URC2，...，URCN2)被实现为或包含在一个用户权限证书中，和/或-设备权限(DevRC)被实现为或包含在一个设备权限证书中，和/或-域权限(DRC1，DRC2，...，DRCN2)被实现为/包含在一个域权限证书中。
23.一种在其上存储指令的计算机可读介质，该指令用于使一个或多个处理单元执行依照权利要求1-11中的任何一项所述的方法。
全文摘要
本发明涉及一种用于产生授权域(AD)的方法和系统，其通过选择一个域标识符，并且将至少一个用户(P1、P2、...、PN1)、至少一个设备(D1、D2、...、DM)和至少一个内容项(C1、C2、...、CNZ)绑定至由域标识符(Domain ID)给出的授权域(AD)来实现。因此，获得被授权访问所述授权域(100)的一个内容项的多个验证的设备(D1、D2、...、DM)和多个验证的人(P1、P2、...、PN1)。这样，一个用户通过操作一个设备就获得对授权域的一个内容项的访问，这可以通过校验内容项和用户被链接至同一域或者通过校验设备和内容项被链接至同一域来实现。因此，对于一个或多个用户在访问一个授权域中的内容时获得增进的灵活性，而内容的安全性仍然得到保持。这也是以简单、安全和可靠的方式实现的。
文档编号G06F21/31GK1826570SQ200480021121
公开日2006年8月30日 申请日期2004年7月14日 优先权日2003年7月24日
发明者F·L·A·J·肯帕曼, R·L·科斯特, G·J·肖里詹 申请人:皇家飞利浦电子股份有限公司