专利名称:设备间的安全信息移植的制作方法
技术领域:
本发明涉及用于在设备间安全地移植信息的方案,更具体而言,涉及防止这种信 息的未经授权的传送。
背景技术:
在设备间传输音频或视频信息常常是合乎需要的或者方便的。例如,存储在家用 设备上的音乐可以被拷贝到用于在汽车上播放的介质。过去,这种音乐传送可以通过从模 拟塑料盘记录到可以在汽车中播放的音频磁带上来完成。音乐素材的著作权所有者可以合 理地确信音乐不能被有效地复制多代,这是因为在几代之后,不精确的模拟再现和噪声的 倍增将会使性能质量下降。随着数字记录和存储的出现,就可能制造信息的许多代基本上完美的副本,不论 是音频还是视频都是如此。已经建议和实现了多种方案,以尝试限制对以数字方式记录的 娱乐媒体的未经授权的拷贝。需要经改进的和/或作为替换的配置,来安全地移植数字信息。
发明内容
根据本发明的一个方面的一种方法用于将数字信息从数字信息的源安全地移植 或传送到目标设备。源设备包括可移动数字存储器,该可移动数字存储器包括一个端口,数 字信息可通过该端口被访问。源设备还包括存储的第一条件访问数据,并且还包括访问卡 端口或插槽。目标设备包括能够接收数字信息的数字信息端口,并且还包括访问卡端口或 插槽。目标设备还包括存储的第二用户证书,并且还包括与目标设备相关联的相互对应的 私有加密密钥和公共加密密钥。提供了访问卡,其既能与源设备一起使用又能与目标设备 一起使用。访问卡包括存储在其中的第二条件访问证书和第一用户证书。在第一次将访问 卡放置在目标设备的访问卡端口中之后,目标设备中的用户证书被访问卡所访问,并且在 访问卡内,来自目标设备的第二用户证书被用来自访问卡的第二条件访问证书所认证,以 确定来自目标设备的公共加密密钥是否应当被写入访问卡。在优选实施例中,如果访问卡 已经包含来自任何目标设备的公共密钥,则公共加密密钥不被写入访问卡。如果确定目标 设备的公共加密密钥应当被写入访问卡,则来自目标设备的公共加密密钥被写入访问卡。 在公共加密密钥的写入之后,访问卡被从目标设备移除。然后访问卡被插入到源设备的访 问卡端口中。至少存储在源设备中的第一条件访问证书被用来确定存储在访问卡中的第一 用户证书是否有效。如果访问卡被源设备视为有效,则公共加密密钥被从访问卡拷贝到源 设备。在源设备处,数字存储器中的数字信息中的至少一些被用至少一个内容加密密钥进 行加密,以产生经加密的信息。至少一个内容加密密钥被用来自目标设备的公共编码密钥
3/私有编码密钥对的公共密钥部分进行加密。至少一个经加密的内容加密密钥被存储在访 问卡中。数字存储器的端口被连接到目标设备的数字信息端口。访问卡第二次被放置在目 标设备的访问卡端口中。然后经加密的内容加密密钥被从访问卡拷贝到目标设备,并且被 用目标设备的私有密钥进行解密。来自数字存储器的经加密的信息在目标设备处被接收, 并且被用经解密的内容加密密钥进行解密。在一个特别有利的实施例中,条件访问证书被评估以确定它是否到期。一个实施 例将当前时间与在条件访问证书内找到的时间戳相比较。
图1是示出处于从销售商购得时的状态的具有可移动存储器的数字信息源设备、 数据目标设备以及访问卡的简图;图2示出图1的元件,其中访问卡被插入到目标设备中,以用于认证目标设备,并 用于接收加密密钥的公共密钥部分;图3示出在图2所示的状态之后图1的元件,其中访问卡被插入到源设备中,以用 于通过使用源设备中的条件访问证书来认证访问卡,并用于将加密密钥的公共密钥部分加 载到源设备中;图4示出在图3所示的状态之后图1的元件,其中源设备对可移动存储器的内容 加密,并且将经加密的内容加密密钥存储在访问卡中;图5示出在图4所示的状态之后图1的元件,其中示出了访问卡第二次被插入到 目标设备中以将加密密钥传送到目标设备,并且还示出了存储器被插入到目标设备中以将 经加密的信息传送到目标设备以便被目标设备解密。
具体实施例方式图1示出了处于其购买时的状态的单独的源设备12、目标设备30和访问卡40。 设备12和30以及卡40可能是在不同时间和不同地点购买的。如图1所示,源设备12包 括设备14以及相关联的可移动大容量存储器设备18,在本示例中它被标注为硬盘驱动器 (HDD)。存储器18通过数据路径20连接到设备14,所述数据路径20优选为高速数据路径, 例如USB 2.0。设备14可以被视为具有处理器的外壳,其容纳可移动存储器18并对其供 电,并且向其提供外部端口和信号。这种设备可以类似于例如与数字电视机顶盒数字接收 机相关联的个人视频记录器,但是拥有以下附加特征具有可以独立于设备14移动和传输 的存储器。如图1所示,设备14还包括卡插槽22和物理上安全的存储器16,例如ROM,其被 销售商预先加载有标注为A的条件访问(CA)证书。图1的源设备12可以被所有者用来记录音频或视频媒体,以便按用户意图由设备 12再现。在之后某个时间,或者可能就在购买图1的源设备12的同时,源设备12的所有者 (或者承租者,根据具体情况而定)可以获取或租借能够被加载以数字媒体以便在远离源 设备12的位置使用的设备。这种设备例如可以是用于数字音频或视频的车用播放器,在图 1中它被称为目标设备30。目标设备30包括卡插槽38,还包括内部存储器32,该内部存储 器32被预先加载有被标注为A的用户证书。目标设备30内的另一个存储器组(被标注为
434和36)分别被预先加载有密钥加密密钥对的私有密钥和公共密钥部分。虽然不一定绝 对必要,但是希望目标设备30还包含一个唯一的字符串,该字符串允许其能够作为非易失 性存储单元被唯一地标识。这种唯一的串可以包括标识目标设备所在的车辆的制造商、型 号并且还可能标识其VIN的代码。最后,目标设备30包括数据端口 30data,其可以是USB 2.0端口。从而,在本实施例中,设备14和目标设备30都充当独立的USB 2.0主机。图1的源设备12和目标设备30的所有者可能希望在其目标设备30上播放存储 在存储器18中的音频或视频媒体。如果听任数字音频、视频或其他数据内容未经加密地存 在于存储器18上,则不道德的所有者将会无休无止地拷贝数据,并且在未经授权的设备上 使用数据。源设备不应当将具有任何盗版价值的任何未经加密的数据存储在存储器设备18 上。根据本发明的一个方面,希望将信息从源设备12传送到目标设备30的用户获取或购 买访问卡40,该访问卡40在图1中被示为包括预先加载有标注为A的条件访问(CA)证书 和标注为B的用户证书的存储器组42,44。虽然对于本发明并不是必要的,但是访问卡在购 买时可能包括定时功能或时间标识,这使得卡只能在特定的时间段中使用。如果时间到期, 则源设备可以提示用户购买新卡。根据本发明的一个方面,通过将访问卡插入目标设备的插槽38中,目标设备30被 识别为访问卡,如图2所示。由图2中线条210示出的第一(1)处理步骤是通过利用存储 在访问卡的存储器42中的CA证书A处理存储在目标设备的存储器32中的用户证书A来 认证目标设备。例如,某个公司将会生产或已经生产了可能是“A”或“B”的唯一的公司专 门的条件访问证书,并且还生产了物理设备。物理设备可以就简单地是具有适合于本发明 的方法的软件的个人计算机。物理设备根据需要产生两个系列的证书,这些证书采取用户 证书的数据流的形式。一个流可以用条件访问证书A来验证,另一个证书可以用条件访问 证书B来认证。这些用户证书各自可以是唯一的,但是具有这样的共同特性一旦与条件访 问证书一起进入了认证算法,就会产生“已经认证”的结果,这是现有技术中已知的。源、目 标和访问卡中每一个在制造期间都被加载有用户和条件访问证书。在一种可能的应用中, 可以从电子设备的零售商购买到“RCA”或“Thomson”访问卡。如果认证正确地完成,则访问卡40将存储在存储器36中的加密密钥的公共密钥 部分与唯一标识串一起或与之成对地读取到位于访问卡40中的传统的一次写入非易失性 存储器46中,如图2的线条212所示。这个步骤可以被视为第二处理步骤(2)。访问卡现 在被加载了与作为存储在存储器18中的数据的目标的设备相关的信息,意即它与目标设 备具有一一对应关系(即,配对)。访问卡的第一插入的这个过程只需要被执行一次,以建 立目标设备和访问卡之间的一一对应关系。在完成与第一插入相关联的访问卡的认证和加 载之后,目标设备(或者甚至访问卡)可以例如通过照亮发光二极管(LED)或通过其他信 号来给出关于该过程已完成的信号。在图2所示的步骤之后,访问卡被从目标设备30的插槽38移除,并且被传输并插 入到源设备12的插槽22中,如图3所示。根据本发明的一个方面,存储在访问卡40的存储 器44中的用户证书B被源设备12读取,并且与存储在设备14的存储器16中的CA证书B 一起被处理,以认证卡40。这可以被视为第三(3)处理步骤,如图3中线条310所示。认证 步骤310必须在设备14中执行。认证可以包括验证访问卡的时限未届满。在认证卡之后, 存储在访问卡40的存储器46中的公共密钥加密密钥被传送到设备14的存储器部分318。
5
在将加密密钥的公共密钥部分传送到存储器部分318之后,图4的设备14利用其 自己的加密密钥对要存储在存储器18中的数据进行加密,并将经加密的数据(示为418) 加载或返回到存储器18。这可以被视为第五(5)处理步骤,它由图4中的实线405示出。 应当注意,不同的内容加密密钥可被用于要传送的不同数据部分,例如第一内容编码密钥 用于音频,第二内容编码密钥用于视频,第三内容编码密钥用于其他数据。或者,如果需要 的话,要传送的内容可以被分解成单独的部分,每一部分被用不同的内容编码密钥编码。在 本地生成的加密密钥至少在数据加密期间被临时存储在存储器部分414。设备14还利用存 储在存储器部分318中的公共加密密钥对其自己的内容加密密钥进行加密,并且这样加密 的内容加密密钥被写到图4的访问卡40的存储器部分440,作为第六(6)步骤,由实线406 示出。一旦用公共密钥加密的内容加密密钥被传送到访问卡40,公共密钥(源于目标设备 并经由访问卡传送)就可被从存储器部分318擦除,以便它之后可用于存储从另一个不同 的访问卡得出的某个其他目标设备的公共密钥。 在将经传送到目标设备30的经加密的数据存储在存储器18中之后,存储器被移 动到目标设备30的位置,并且其数据路径20被连接到数据端口 30data,如图5中所示。访 问卡被从设备14的卡插槽22移除,并且被移动到目标设备30,并被插入其卡插槽38中。 这代表了访问卡40到目标设备30中的第二插入。存储在访问卡40的存储器440中的经 加密的内容加密密钥被传送到目标设备30的存储器部分540。目标设备30利用其私有密 钥来对内容加密密钥进行解密,以用于对来自存储器18的经加密的数据进行解密,以便用 于重放、显示或使用。在本发明的操作中,可移动的访问卡40存储将要在物理设备之间传输的认证和 解密数据。与目标设备30相关的信息被存储在访问卡12上,该访问卡充当代理,向源设备 12认证目标设备30。源设备12在认证目标设备30来自有效或经授权的销售商之后,可以 将经加密的内容加密密钥存储在访问卡40上,以供目标设备30所用。目标设备随后可以 对经加密的密钥进行解密,以获得用于对存储在单独的存储器或硬盘上的经加密的音频、 视频或其他数字数据进行解密的密钥。访问卡应当在第一插入时认证目标设备,这是因为无效的目标设备如果被加载有 存储器18的内容,则它可能被用于不适当的用途,例如用于制造未经授权的副本。访问卡 可以被源设备认证,以抵御避开了目标设备的认证的欺骗性访问卡。如果要尝试使用访问卡来加载除与访问卡配对的目标设备30之外的某个目标设 备(即欺骗性目标设备),则该欺骗性设备将不能对内容加密密钥进行解密,这是因为其公 共密钥/私有密钥组合与目标设备30的不同。从而,在第一插入之后,在访问卡和相关联的 目标设备之间有一对一配对。由于至少访问卡40的存储器部分46是一次写入的,因此不 能通过将卡“第一次”插入到另一个目标设备中并重写该存储器部分来重新使用该卡。卡或 者被用来尝试使用该卡的第二目标设备中的任何一个都可能建议用户该卡已经与您的ABC 轿车中的XYZ视频播放器配对,从而不能与第二目标设备一起使用。这进而又要求顾客购 买另一张访问卡以便加载另一个目标设备。由于公共密钥不与访问卡一起分发,而是由所选目标设备在其第一插入时写到访 问卡,因此在未经使用或未配对的访问卡和任何目标设备之间没有一一对应关系。未经使 用的访问卡因此是通用的,并且能够通过第一插入过程而与任何目标设备配对。从而,可以制造出没有特殊或个体内容的访问卡。缺少关于目标设备的身份的超前知识降低了制造成 本和分发过程的复杂度。避免访问卡和目标设备之间的售前配对大大简化了目标设备所有 者对访问卡进行的售后附件购买。当他之后返回商店购买访问卡时,其设备不需要任何特 定的卡,因为任何未经使用的卡都能起作用。如果未经使用或未配对的访问卡被插入到源设备中,则源设备将会检测到公共加 密密钥和目标设备的标识串两者的缺乏。在这种情况下,源设备可以提供一条消息,例如 “此访问卡必须首先被插入到您打算加载的目标播放器中”。根据本发明的配置防止例如图1的12这样的源设备的所有者将同一张卡用于两 个或更多个例如30之样的目标设备,这是因为每个目标设备中存储有不同的加密代码,从 而对于 每个传送必须使用不同的卡。只有一个目标设备拥有可以对存储在数字存储设备或 卡上的经加密的内容加密密钥进行解密的私有密钥。这就是在第一插入操作期间访问卡 原本与之配对的目标设备。其他的或欺骗性的目标设备可以读取经加密的数据,也可以读 取经加密的内容加密密钥,但是不能对经加密的内容加密密钥进行解密以获得内容加密密 钥,因此无法对经加密的数据进行解密。访问卡上的认证信息可以被设置为在一定时间或在其第一次使用后的一定时间 之后到期,从而要求顾客更新。在一个特别有利的实施例中,访问卡的用户证书被源设备评估,以确定它是否已 到期。一个实施例将当前时间与在用户证书内找到的时间戳相比较。虽然已经按照示例性实施例描述了本发明,但是本发明并不局限于此。所附权利 要求书应当被广泛地解释为包括可由本领域的技术人员在不脱离本发明的范围和等同物 的范围的情况下作出的本发明的其他变体和实施例。
权利要求
一种用于将数字信息(12)移植到目标设备(30)的方法,该目标设备执行以下步骤接收访问卡(40);通过读取所述访问卡的一次写入存储器并确定另一目标设备的公共密钥是否已经被存储在所述一次写入存储器中来确定所述访问卡是否可用于与所述目标设备配对,并且如果所述访问卡可用于与所述目标设备配对,则将存储的用户证书发送到所述访问卡以供所述访问卡认证,并且将所述目标设备的公共密钥发送到所述访问卡以存储在所述访问卡的一次写入存储器中,使得所述访问卡变得与所述目标设备配对;接收存储有经加密的信息的可移动存储器和用于对所述经加密的信息解密的所述访问卡;从所述可移动存储器传送所述经加密的信息,从所述访问卡传送经加密的内容加密密钥,利用所述目标设备的私有密钥来对所述经加密的内容加密密钥解密,以及利用经解密的内容加密密钥对所述经加密的信息解密。
2.根据权利要求1所述的方法,还包括证实所述访问卡(40)未到期的步骤。
3.根据权利要求2所述的方法,其中所述证实所述访问卡(40)未到期的步骤是通过将 当前时间与所述第一用户证书中的时间戳相比较来执行的。
全文摘要
本发明提供了设备间的安全信息移植。一种通用访问卡通过插入到数据目标设备的卡插槽中而与该目标设备配对,并且公共密钥/私有密钥的公共部分被存储在卡中。该卡认证该目标设备。配对的卡被传输到数据源设备,该数据源设备包括卡插槽和可移动大容量存储介质。该卡在被插入到数据源的卡插槽中并被认证时,将公共密钥传送到源设备。源设备生成内容编码密钥,并且对存储介质上的数据进行编码。内容编码密钥被用公共密钥进行编码,并被加载到卡上。卡和存储介质被传输到目标设备,在这里卡提供经编码的加密密钥。目标设备对经加密的内容加密密钥进行解码并对经加密的数据进行解码以便重放或显示。
文档编号G06F21/24GK101859361SQ20101017033
公开日2010年10月13日 申请日期2004年1月6日 优先权日2004年1月6日
发明者约翰·格维斯, 迈克·德恩伯格 申请人:汤姆逊许可证公司