显示适配器的保密视频系统的制作方法

专利名称：显示适配器的保密视频系统的制作方法
技术领域：
本发明涉及显示适配器、调谐器、机顶盒、媒体播放器、或者给CRT显示器、平板显示器、电视机、数字电视机或者类似虚拟显示器提供模拟或数字视频输出信号的类似装置；且尤其涉及一种从这类装置提供视频信号保密重放的方法。
2.
背景技术：
各种视频显示装置在本技术领域中是公知的，其例如包括利用诸如NTSC、PAL、SECAM或高清晰电视信号作为输入的电视机，被配置用于接收诸如RGB复合、YPbPr成分或者S-Video等模拟信号的计算机监视器，以及被配置采用DVI、HDMI或其它数字信号输入的数字监视器和电视机。数字监视器和电视机通常还包括用来接收各种模拟音-视频(A/V)信号的适配器。显示屏本身可包括阴极射线管、液晶板、气态等离子体板或者类似装置。显示装置通常还包括电子电路，以利用一种或多种视频输入信号驱动显示屏，并提供音频输出。这些显示装置几乎总是作为具有一个或多个输入插座的集成式组件来提供的。用户把可用的信号源，如调谐器、用于光缆或卫星信号的机顶盒、DVD媒体光盘播放器、模拟或数字磁带播放器、游戏机、或通用计算机等的视频输出，连接到适当的插座。显示器的内部电子电路利用输入视频信号，并产生适当的内部信号，从而驱动装置的显示单元。调谐器通常会被集成到电视机壳中，而不太常见的，诸如磁带或媒体光盘播放器这类信号源也被集成到显示装置中。因此，大多数显示装置可以接收从外部装置传送过来的各种不同的音视频(audio-video)信号。随着数字内容标准(例如CD和DVD)和数字宽带分配系统的发展，所有类型的音视频内容都正在越来越多地以数字格式传输。这些数字内容被A/V播放系统处理，以向显示装置提供A/V音视频信号。这种播放系统目前存在于许多类型的通用装置(例如DVD/CD播放器、用于光缆和无线信号的数字机顶盒、数字磁带播放机以及个人计算机)中或者和它们联合使用。实际上，不论以数字格式传输的是什么内容，总是需要某种A/V播放系统作为驱动A/V输出装置的必需组件。并且依照当前技术，A/V播放系统的功能受限于这种播放。众所周知，数字内容容易受到未经授权的拷贝和传播。尽管模拟内容的重复拷贝通常会导致明显的质量受损，但是数字内容可不断拷贝而仅在质量方面有微小下降或甚至完全没有下降。同样，公共宽带分配系统和模数转换装置的可用性已大大提高了人们获得、拷贝、重新传播数字内容的能力，不论这种拷贝和重新传播是否得到了授权。可用各种版权保护机制来阻止这种未经授权的拷贝和传输，但是这些方法通常只是利用对A/V播放系统的编码/解码上游的控制。例如，可对内容加密或使其包含其它拷贝保护控制手段，类似在光盘和磁带媒体、光缆信号、卫星信号、或数字广播信号中提供的。这种内容可以被授权的媒体播放器、机顶盒、卫星接收器或者类似装置接收，它们随后产生音视频信号。但是，还没有一种实用的方式阻止对已经提供给输出装置的内容的未经授权的拷贝，即使这一输出装置本身是保密的(实际上经常并不是这样)，音频、视频、或音视频内容还是可以容易地在播放时被录制装置获取，再以非加密的数字格式提供出去。例如，可用便携式摄像机在电影院或家里播放电影时把该电影录下来，而出自该便携式摄像机的输出就可以自由地以数字格式进行拷贝和分发了。再举一例，各种模数转换装置通常是容易获得的，比如根据模拟输入A/V信号提供数字内容的音视频获取装置。相对来说，易于从DVD播放器、CD播放器、数字机顶盒、个人计算机或类似装置获取模拟视频信号输出，并将其转换成未加保护的数字格式。尽管有时可能在内容上作标记，比如利用音频或视频水印，但版权保护的现有技术方法并不足以阻止未经授权的这种拷贝利用。与此同时，公共宽带分配系统例如因特网，通过传输所有格式的数字内容而不用对内容类型进行区分提供了巨大的实用性。比如，可用相同的系统容易地传输加密和未加密内容、拷贝受保护的内容和自由拷贝的内容，且都是以大量的不同格式。因此，有必要提供这样一种方法和系统其为内容消费者保留这种实用性，而实质上不影响内容提供者进行有效的数字权限管理的能力，并获得对有价值的创造性工作和其它内容的公平的补偿。

发明内容
本发明提供了一种方法和系统，用于防止对视频卡或图形适配器的数字输入和视频输出内容进行未授权的拷贝和使用。依照本发明的系统和方法可结合数字内容的A/V播放系统来实施。因为总是需要某种类型的A/V播放系统以便听、看、或以其它方式感知以数字格式传输的内容，本发明必须能有效地防止对任何这样的数字内容的未经授权的使用其数值是从听到、看到或感知到的模拟形式的内容导出的。有利的是，本发明可被用来防止对已从模拟格式内容中重新获取并用A/V播放系统的模拟输出转换成数字格式的受保护和有版权的内容进行未经授权的使用。本发明的另一个好处是，它可被实施以防止对来自任何数字源、包括来自公共宽带分配系统的受版权保护内容的未经授权的使用，而也不影响对由相同装置播放的个人的、没有版权的内容的自由使用。
举例来说，本发明可实施于拥有与软件或固件结合的集成式或模块式图形系统的通用计算机系统上，所述软件或固件在通用计算机、消费者电子装置、专业设备、或者为消费者或专业音视频内容播放器和录制器设计的其它音/视频装置上运行。利用家用计算机来播放DVD光盘的软件和硬件的组合即可被归入此类，如同专业编辑系统一样。本发明也可实施于被配置用于播放版权受保护内容的信号并输出视频信号(有或没有音频内容的相伴信号)的专用的或独立用户的或者专业的电子装置中，比如DVD/CD播放器、数字机顶盒、移动通信装置等。
另外，本发明可用前述例子中的组件来实施，比如用于接收内容信号并提供视频输出信号的视频卡或图形适配器。这种视频卡或适配器可被配置用于连接到如上所述的通用或专用系统。这里所描述的全部或部分方法可利用固件或软件来执行，所述固件或软件实现于通用计算机的存储器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、其它电子和芯片装置或者上述元件的各种组合中。
与前面描述的一致，依照本发明的一个实施例，保密视频系统包括下述这些组件。播放器/接收器组件根据内容提供者所建立的规则来控制特殊编码内容的播放，所述特殊编码内容本说明书有时称为保密视频内容(SVC)数据。如技术领域中公知的，这种内容是以数字加密格式提供给播放器/接收器的。播放器/接收器解密数据，并利用它来产生适合于显示装置以及音频输出装置、或音视频输出装置的输入信号。另外，播放器/接收器也可以以传统方式接收和播放未加密的非保密视频内容(非SVC)数据。
也就是说，播放器/接收器在SVC和非SVC数据之间作出区分。播放器/接收器分析其接收到的所有内容从而识别SVC数据。非SVC数据作为音视频输出被提供给显示装置，如本技术领域公知的，而SVC数据如果是以加密形式提供的则需要先解密，然后再根据内容提供者所建立的规则作为音视频输出信号提供。播放器/接收器包含解密/授权组件，其最好是以系统硬件组件上的固件形式实现的，本说明书中称之为保密视频图形(SVG)硬件，该组件分析SVC标识符的内容，验证由播放器/接收器所接收的SVC数据，并且若得到授权则对它进行解密。SVG硬件可被置于任何方便的位置，例如在依照本发明的系统的视频卡或图形适配器上，在系统主板上，或是以可信软件如受保护驱动器或硬件证明软件(hardware attested software)的形式来实现。所述系统的第三个组件包括可信验证(trust authentication，TA)软件和/或硬件，它可操作验证传送给SVG硬件的内容的可信链(chain-of-trust)，或者执行保密维护、装置撤销、及激活特性。
SVG硬件通过添加特定的保密组件来加强图形系统中的拷贝保护。这些保密组件举例来说可包括(a)在硬件内部对SVC数据进行解密的加密单元；(b)用于检测和提取已嵌入到SVC数据中的权限相关数据的水印检测器(例如将内容标识为SVC的水印或者撤销加密密钥集的水印)；或者(c)利用链路加密技术例如5C数字传输内容保护(DTCP)或高带宽数字内容保护(HDCP)，来限制对已核准的受保护数字输出的显示的保密数字视频输出组件。
根据本发明的一个实施例，授权的SVC数据在任何时候都是以加密格式传输和储存的。例如，授权的SVC数据可利用基于加密的条件存取系统、数字权限管理系统、或者加密的预录制媒体，而被提供给A/V播放系统。除了在视频输出之前的SVG硬件中，在任何情况下，保密视频内容数据都不能被解密。
保密视频内容举例来说可通过某种形式的SVC水印来标识，或者作为替代方案，所有加密内容都可假定是SVC。SVC水印将会被配置成可经受获取和重新数字化模拟音视和频输出的普通可用的方法，如本技术领域中公知的。比如，音频水印通常在数字内容被转换成模拟格式并随后被数字化后会继续保留下来。视频水印也可被配置成可经受数字/模拟/数字重新获取。如果SVG硬件遇到不包含SVC水印或其它标识其为SVC内容的技术手段的未加密内容，则此未加密内容可被认为是非SVC的，并受到处理从而提供普通的音视频输出。
SVG硬件也可被配置用于防止对SVC数据进行普通的处理，如果(1)这个数据是以未加密格式传输的，或者(2)这个数字内容的来源不是可信的。例如，SVG硬件和媒体播放器模块可被配置成保密地与可信权限(trust authority)模块通信，以核实SVG硬件所接收到的SVC数据来自一个可信来源。如果SVC数据的来源不能被验证，则SVG硬件可被配置成不提供普通输出信号。例如，如果SVG硬件包含视频适配器，视频信号可被完全中断或者削弱到所需要的程度(比如通过中断专用用户界面窗口和显示屏区域)。如果上述来源不能得到验证，则可至少部分丢弃SVC数据而不进行解密。个人的和无版权保护的内容(即非SVC)应当不经验证进行播放。
可信权限模块和SVG硬件可被配置成若其安全性受损即被安全地更新。可利用本说明书所述方法将新的可信权限软件和密钥提供给系统硬件。它应该能够判定更新尝试是否成功完成。只要有一个模块不能被保密更新，则这个SVG系统的可操作性即可被撤销。附加性地或替代性地，可通过更新消息提供新的密钥集，而不使先前密钥集的可操作性失效。因此，所述系统可免于受到对其软件组件的攻击。
撤销可由上游控制器所安全接收到的并成功通过验证的撤销命令来触发。一旦得到验证，撤销命令即可导致当前加密密钥集或可信权限软件的失效，并阻止未来对SVC数据解密，直到SVG装置被重新更新为止。如果只有一部分SVG硬件泄密，即可提供撤销消息从而只影响泄密部分。
附加性地或替代性地，撤销可由撤销水印来触发，该撤销水印嵌入在任何要被SVG硬件处理的SVC数据中。SVG硬件可被配置成用于检测和解码这种水印。水印可被置于内容中，比如静止图形图象和视频序列中。水印的撤销消息可在撤销系统加密状态之前进行验证。附加性地或替代性地，可放弃验证部分或全部水印。例如，用于可信权限的撤销水印可被配置成无需验证，以防止不可靠的可信权限阻止撤销其自身。为防止通过水印篡改系统，那些不需要验证的水印可利用其它方法来保护，比如利用嵌入SVG硬件中的抗篡改加密密钥。
一般来说，SVG硬件应被设计成是硬件抗篡改的，以保护加密和撤销密钥集不被破坏。比如，可在印刷电路板(PCB)组件和走线上涂覆以环氧树脂或类似物质从而使得对它进行物理篡改更为困难。附加性地或替代性地，可将当前密钥保存在易失性存储器中，这样当断电时密钥也丢失了。在这种情况下，倘若SVG硬件的标识符和上一个密钥集修正数保存在非易失性存储器中，即可通过从可信权限得到的更新消息重新上载密钥集。
SVG系统的其它特点可包括往SVC数据的音频或视频播放输出中加入水印。举例来说，这样的水印比如通过包含一个唯一的内容和SVG硬件的标识符而能够提供法律跟踪功能。如果来自保密视频系统的输出被非法拷贝，则被拷贝信号的原始来源就可根据法律跟踪水印来判定。嵌入在来自SVG硬件的音频或视频输出中的水印同样可以用来将输出标识为从SVC数据得到的，从而达到上述目的。
通过仔细思考下文详细描述的优选实施例，本技术领域技术人员将对显示适配器的保密视频图形系统有更全面的理解，也能理解其更多的优点和目的。以下会参考将首先被简单说明的附图。


图1是一个流程图，展示用于在显示装置中播放保密视频内容的方法的各示范性步骤。
图2是一个流程图，展示用于泄密情况下更新验证软件和/或更新保密视频系统的加密密钥集的方法的各示范性步骤。
图3是一个流程图，展示撤销保密视频系统的加密密钥集的方法的各示范性步骤。
图4是一个展示根据本发明的示范性系统的方框图。
图5是一个展示集成了保密视频图形硬件的示范性计算机系统的方框图。
具体实施例方式本发明提供了一种系统，用以防止对作为视频卡或图形适配器的数字输入或视频输出的受版权保护的内容进行未经授权的拷贝和利用。本发明还对以SVC数据格式传输的高价值、受版权保护的内容的保密传输和播放、及不受保护的非SVC数据的播放提供支持。通过综合利用内容加密、鲁棒水印、保密性硬件以及可信验证链，所述方法可被用于在SVC数据与非SVC数据之间进行区分，并且可在不妨碍其它私人的没有版权保护的内容的使用和经过授权的对SVC数据的使用的情况下，阻止对未经授权的SVC数据的使用。因此，将会根据指定的方式阻止对SVC数据的未经授权的拷贝和传播。在接下来的详细描述中，相似的元件编号被用来表示出现在一个或多个附图中的相似元件。
图1显示方法100，该方法用于防止对未经授权的SVC数据的使用，而不妨碍对其它个人的和不受版权保护的内容的使用或对SVC数据的经过授权的使用。在步骤102中，播放器/接收器装置接收A/V数据，并把它输出到一个与播放器/接收器相连的SVG硬件装置。A/V数据可不受类型的限制，并且无需来自保密来源。A/V数据中的保密视频内容应该以加密格式传输和储存，并且包含鲁棒的SVC水印或其它标识符，以表明它是SVC数据，并使得它能够与其它非SVC数据区别。A/V数据可由任何合适的来源提供，例如来自DVD或宽带连接、或数字光缆(digital cable)、卫星、或陆地广播信号的预先录制的加密内容。SVC数据应该加密，不过对源自SVC模拟输出的非法数字拷贝可能会是未加密的，但这个数字拷贝中依然包含有水印或其它鲁棒标识符来表明它是SVC数据。
通常，一个合适的播放器/接收器装置应该为显示装置产生音频或视频输出，同时在SVC数据与非SVC数据之间进行区分。例如，诸如用于接收电缆或卫星信号的机顶盒这样的系统可集成SVG硬件，并且与播放视频内容的电视机相连接。连接到电视机的DVD播放器，或与视频监控器相连的拥有DVD播放器的计算机，同样可集成SVG硬件以产生A/V输出信号。播放器/接收器装置同样包含有软件和/或硬件以加强内容使用权限和实现内容传播者的业务规则(businessrules)SVC数据。从播放器-接收器给音视频装置的输出应该能与本技术领域中已知的标准音频及视频信号兼容。
在步骤104中，SVG硬件分析A/V数据，以判断它是否是以加密格式传输的。在步骤106中，SVG硬件分析是否A/V数据未被加密，以判断它是否包含SVC水印或其它能表明它是SVC数据的指示符。如果这个A/V数据不是加密格式，且未被标识为SVC，则SVG硬件即在步骤112产生用于显示的输出信号。在替换方案中，SVG可对所有不是以加密格式被接收到的A/V数据执行步骤112(即略去步骤106)，但这可被认为是本发明的一种较少鲁棒性的实施方案。为了防止对未加密但包含水印的SVC内容的使用，未加密数据应在提供输出之前经过是否存在SVC标识符的检测。
在步骤108，如果A/V数据是加密的，SVG硬件便解密这些SVC数据。在步骤110中，如果A/V数据是加密格式的并且还没有发现SVC标识符，SVG硬件即再次检测这些解密的内容，以判断是否其含有SVC水印或者其它SVC标识符。如果没有发现SVC标识符，SVG即在步骤112产生A/V信号。
可选择的是，可将所有加密数据视为SVC，并且可略去步骤110。但是，更可取的可能是测试加密数据中的独立的SVC标识符。这应当允许让SVG硬件处理加密的但不是SVC的数据。另外，可能检测加密数据中某些形式的SVC标识符，而不解密A/V数据的至少一部分。因此，在本发明的一个实施例中，针对A/V的至少一部分，可延迟步骤108(解密)，直到完成步骤110或114任一步骤为止。附加或者替代性地，可用并行或交替的方式执行步骤108、110和114。
在步骤114中，如果A/V数据是被水印标识为SVC的，并且是以加密格式接收的，SVG硬件将判断它是否由一个可信来源提供的。例如，SVG硬件可以跟踪SVC路径启动一系列加密握手和密钥交换，直到它可以核实SVC数据是来自一个经核准且被验证的来源。这类来源例如可包括播放来自经过授权的媒体内容的经核准的媒体播放器、数字权限管理系统或者可信的硬件组件。
例如，SVG硬件接收到用如下密钥加密的SVCK＝H(K1，K2)，其中H是K1和K2的加密散列，且接收装置的唯一进程ID(PID)及可选的内容ID(CID)号标识特定的SVC。K1可选择成对所有的SVG硬件都是相同的；而K2则可以只让播放器/接收器装置知道，并且可以对于每一个SVC它都是不一样的。SVG硬件可把这一信息连同一个随机加密数N(这个随机数称为“nounce”或“一次性利用数字”)一起按照下面的格式发送 ETE′(N，PID，CID)，SSS″(ETE′(N，PID，CID))，它们是利用SVG硬件的签名密钥(SS″)和TA软件的公共密钥(TE″)，安全的通过图形驱动器(GD)被传送到与SVG硬件位置相同的可信权限(trusted authority，TA)软件模块的。
一般来说，这里的命名方法应按以下方式理解。给定信息“m”，则“c＝EK(m)”表示用密钥K进行对称加密所产生的m的密文(cyphertext)，而“c＝DK(c)”表示用相同的密钥K从该密文解密而得的原始信息。对称加密算法的例子包括AES、RC4以及3DES。“EK′(m)”表示利用公共密钥K′通过不对称加密而产生的m的密文，且类似地，“DK″(m)”表示用K″解密得到的原始信息。不对称加密算法的例子包括RSA和ECC。“H(m)”表示信息m的单向加密散列信息。单向加密散列算法的例子包括SHA-1、SHA-128以及MD5。同样，“s＝SK″(m)”表示利用私有密钥K对“m”的数字签名，而“v＝VK′(m)”表示利用相应的公共密钥K′得到的对“s”的布尔确认(即“v”是正确或错误的)。数字签名算法的例子包括H(m)的RSA和DSS。
回到步骤114的示范性的可信链验证处理，上述GD和TA模块可能存在于，举例来说，一个系统软件的操作系统级(“第一环(ring0)”)。例如通过产生其代码段的单向加密散列并把它与已经核准了的散列值表比较，通过挑战共享密钥的响应，或者其它合适的加密方法，TA软件即可验证GD。例如，如果散列值没有找到，则步骤114的验证失败，且SVG硬件可在步骤116拒绝播放和显示内容。如果找到了该散列值，则GD得到验证，并且TA软件利用SVG硬件的签名密钥SS″确认信息ETE′(N，PID，CID)和SSS″(ETE′(N，PID，CID)。然后TA软件可利用TA公共密钥(TE″)来解密PID和CID。
TA软件随后通过在存储器中产生它的代码段的单向加密散列，并把它与已核准的散列值表进行比较，来验证播放器/接收器装置。播放器/接收器的软件一般应该存在于应用级，比如系统的“第三环(ring3)”。如果没有找到散列值，则步骤114中的验证又一次失败，而SVG硬件将在步骤116中拒绝播放和显示上述内容。注意由于新的组件比如播放器/接收器装置或者图形驱动器被激活，或者老的组件发生泄密或失效，TA软件或者其包含已核准散列值表的数据库即可更新，从而允许或者阻止验证。这种更新可以由用户手工执行，或者通过网络或者其它得到支持的后台通道(backchannel)由TA软件自动执行。
如果找到散列值，则TA在步骤114中验证播放器/接收器装置，并且发送PID和CID到播放器/接收器装置，因此使播放器/接收器装置能够验证任何上游装置，比如数字权限管理系统或者提供SVC的条件存取系统。播放器/接收器装置随后验证任何上游装置，判定SVC的播放是经过授权的，并返回它的一部分密钥(K2)给TA软件。TA利用SVG硬件的公共密钥(SE″)，以下面的信息加密并发送K2、原始PID以及N+1给SVG硬件 ESE″(N+1，PID，K2) SVG硬件利用其SE″解密信息，并把PID和N的值与原始值进行比较，以判定内容的使用是否经过授权。如果它们匹配，则SVG授权使用SVC。如前面所述，在某些情况下，可能对至少一部分加密SVC推迟执行步骤108(解密)，直至该内容的可信链在步骤114中得到核实为止。在步骤108中，SVG硬件可用密钥H(K1，K2)来解密内容。
在步骤112中提供A/V输出之前，SVG硬件可执行可选步骤118，在解密的SVC数据中嵌入法律跟踪数据。上述法律跟踪数据在追踪内容来源方面是有用的，如果该内容是以未经授权的方式用在这种特殊的解密和播放的下游的话。法律跟踪数据例如可包含唯一的内容标识符、用户或者订户的姓名、内容购买交易标识符、硬件序列号、MAC地址、系统时间和IP地址。这种数据可以从GD软件或TA软件获得，并且可被SVG硬件作为一个水印嵌入到SVC数据中。
在步骤112中，SVG硬件通过保密视频输出链路直接提供解密视频内容给显示器，不论有没有嵌入法律跟踪数据。上述保密视频输出链路可以利用链路加密内容保护技术，比如5C数字传输内容保护(DTCP)或者高带宽数字内容保护(HDCP)，来限制对已核准的加密输出内容的显示。同样也可提供模拟视频和音频输出。
尽管方法100举例说明了处理A/V内容的有效步骤和方法，但本发明并不仅限于上述特定步骤和方法。在不脱离本发明的范围和精神的情况下，本领域普通技术人员举例来说可设计其它验证保密内容来源的有效方法。
图2展示方法200，该方法用于在密钥已经泄露或者TA软件的实施遭到篡改的情况下修复系统保密性。这个系统的TA软件可用各种抗篡改技术来保护，比如代码混淆(code obfuscation)、加密代码段(encrypted code segment)、自修正代码(self-modifying code)、嵌入式分割关键字、反调试及加密代码集成等。在TA软件本身或者TA或SVG硬件内的任何密钥泄露时，通过在SVG硬件上安装一个TA软件的更新版本，即可利用方法200来恢复系统安全。
在步骤202中，所述系统发现是否SVG硬件和/或TA的当前密钥已经泄露或者TA软件本身已经遭到篡改。这举例来说可能发生在从公共服务器、上游媒体装置、或其它得到支持的后台通道接收到撤销信息的时候，或者接收到由用户输入的撤销信息的时候。在步骤203中，SVG系统可提出要求并安装来自公共服务器、上游媒体装置或其它得到支持的后台通道的TA软件的更新版本，或者由用户手动安装。TA软件的更新版本包含一个新的密钥集，比如{新SS′，新SE′，新TE}，TA软件按照下面的步骤将其安全上载到SVG硬件。
在步骤206中，TA软件请求SVG硬件密钥集的型号。每一个SVG系统可以使用一个专门用于撤销和系统更新的特殊密钥集，在此表示为SRE″和SRS″。此密钥集对于每一个品牌和/或型号的SVG硬件可以是唯一的，从而能够基于每一个型号进行更新。另外，SVG硬件可以记录其当前密钥集{SS′，SE′，TE″，K2}的修正数(rev)。在从SVG硬件中接收到一个SVG型号(“model”)之后，被更新TA软件可根据型号和修正数来判定给SVG硬件提供哪一个预加密系统更新信息。TA软件可以产生以下多个预加密更新信息，每个对应于一个要被更新的SVG硬件型号 ESRE[modeL](N，RENEW，mode，rev，newSS″，newSE″，newTE″，newK2)， SSR{n}′(Esre[mode](N，RENEW，mode，rev，newSS″，newSE″，newTE″，newK2)，其中“RENEW”表示任何代表更新命令的值，而其余变量的意义与前述相同。
在步骤208中，被更新TA软件发送SVG硬件型号的适当更新信息。在步骤210中，SVG硬件利用其SRE″密钥确认更新信息的签名。如果在步骤212中信息是无效的，则SVG硬件会忽略该更新信息，并在步骤214中发送一个更新企图失败的信息给TA软件。
如果在步骤212中SVG硬件判定更新信息有效，则SVG硬件会在步骤216中利用其SRE″密钥解密该信息。在步骤218中，SVG硬件通过对照型号比较“n”值、及对照当前密钥集的修正数比较“rev”值，来确认新信息。如果型号不匹配或者修正数比当前修正数小，则更新信息无效。如果更新信息无效，在步骤220中，SVG硬件将忽略上述更新信息，并在步骤222中发送更新企图失败的信息给TA软件。
如果在步骤220中信息得到确认，则在步骤224中，用更新信息{newSS″，newSE″，newTE″，newK2}中的新密钥集更新SVG硬件，并更新修正级数。在步骤226中，SVG硬件利用新密钥集验证新TA软件。一旦SVG硬件成功验证了TA软件，在步骤228中，SVG硬件即发送一个更新成功的信息给系统。
在SVG系统的可选实施例中，当前密钥集{SS′，SE′，TE″，K2}可储存在SVG硬件的易失性存储器中且每次断开电源时便会失去。在这个实施例中，应在开始时利用上述更新方法来恢复密钥集。至少最新的修正数应该储存在SVG硬件的非易失性存储器中，以确保恢复对该型号的密钥集的准确修正。
在另一实施例中，SVG硬件可为了增大的后向兼容性提供同步密钥集。更新信息可用来增加一个新的密钥集而并不清空现有密钥集。现有密钥集无需被更新信息所清空，除非在更新信息中包含有清空指令，或者收到适当验证的撤销信息。
虽然方法200举例说明了更新密钥集的实用步骤和方法，但本方明并不局限于上述特定步骤和方法。在不脱离本发明范围和精神的情况下，本领域普通技术人员可构想更新密钥集的其它方式。另外，密钥更新根据本发明应加强系统的保密性和实用性，但它并不是本发明的所有实施例中都需有的特征。
图3展示方法300，其基于从公共服务器、上游媒体或装置、其它得到支持的后台通道接收到的撤销信息，或者基于包含在任何由SVG硬件解密和显示的图形图像或视频序列中的撤销水印，来撤销密钥集。方法300举例来说可用来撤销已泄密的密钥集并因此而防止对加密内容的未授权使用。在初始化步骤302，TA软件或者播放器/接收器装置可从公共服务器、上游媒体或装置、其它得到支持的后台通道接收撤销信息。一个撤销信息举例来说可能包含以下格式的信息 ESRE[model](N，REVOKE’，model，rev)SSR[n]′(N，REVOKE，model，rev)其中“REVOKE”表示任何代表撤销命令的值，而其余变量则和前面描述的一样。
在步骤304中，TA或者播放器/接收器装置可给SVG硬件传送撤销信息以进行处理。在步骤306中，SVG硬件利用其SSR[n]′密钥验证信息的签名。如果在步骤308中这一签名是无效的，则在步骤310中SVG硬件可忽略这个更新信息。
如果在步骤308中信息签名是有效的，则在步骤312中SVG硬件将利用其ESRE[model]密钥解密该信息。在步骤314中，SVG硬件把解密信息中的型号和修正(“rev”)数的值与其密钥集的型号和当前修正数进行比较。在步骤316中，如果型号不匹配，或是如果在步骤316中该修正数小于其当前密钥集的修正数，则在步骤318中，SVG硬件忽略撤销信息，并继续维持其当前密钥集为有效密钥集。
在步骤316中，如果型号和修正数与SVG型号和当前密钥集匹配，则所述信息就被核实，且当前密钥集会在步骤320中被清空。在步骤322中，SVG硬件可拒绝解密任何SVC内容，直到它收到一个新的有效密钥集为止，这就像通过利用方法200进行系统更新一样。在一个可选实施例中，SVG硬件可保持多个同步密钥集以满足后向兼容性，应该能够撤销少于全部有效密钥集的密钥集。在这种情况下，SVG硬件仍应能够解密和显示利用其余有效密钥集加密的内容。
作为选择，也可通过嵌入静止图形图像或视频序列中的撤销信息来启动撤销操作，比如通过利用撤销水印。本技术领域中用于数字内容的各种水印方法是已知的，并且任何合适的方法都可以用来嵌入撤销信息。利用水印的撤销操作对于所有步骤来说都按照与方法300基本相同的方式进行处理，除了步骤302和304之外。替代TA或播放器/接收器装置接收撤销信息并将其发送给SVG硬件的是，SVG硬件在其分析接收到的数字内容时，检测嵌在SVC上的撤销水印中的撤销信息。一旦SVG硬件在解密内容中检测到撤销信息，它即可根据步骤306-316中的操作，来验证和核实这个信息。
如果上述信息得到验证，则SVG可撤销受影响的密钥，并且因此在系统更新之前不再利用这些密钥解密任何进一步的内容。在此实施例中，应该能将撤销信息嵌入各种类型的内容，所述内容例如包括，HTML和XML对象、各种格式的图形图像文件、SVC或常规多媒体内容、各种格式的音频文件以及其它信息对象。如果利用其它类型的对象，应该能够在给接收装置提供受控制内容之前，撤销密钥并防止未授权的存取。
利用水印，应该能够直接和SVG硬件通信并撤销TA软件的一个版本。这可能是有效的，例如用于替换一个已经遭到破坏或者过期的TA软件模块。利用保密水印，SVG硬件可被指示在一特定的TA模块能够被更新之前停止对它的使用。为了防止TA首先被损坏，利用本领域中已知的一项或几项技术，例如代码混淆、加密代码段、自修正代码、嵌入式分割关键字、反调试及加密代码集成等，使它具有抗篡改功能将会是有效的。
虽然方法300举例说明了撤销密钥集的实用步骤和方法，但本发明并不仅限于上述这些特定步骤和方法。不脱离本发明的范围和精神，本领域技术人员可构想出其它撤销密钥集和可信权限模块的方式。另外，撤销密钥根据本发明应加强系统的保密性和实用性，但它不是在本发明所有实施例中都必需有的。
图4是一个方框图，显示了示范性系统400的一个实施例，系统400被配置用于向一个被动显示装置(即没有其自己的图形适配器的显示装置)提供保密视频内容408。系统400通常包含一个SVC数据源402，其拥有通信链路，比如通过公共网络414，而与播放器/接收器装置404相连。其它音视频内容409同样可以通过网络414或其它路径到达播放器/接收器。但网络连接不是必需的。SVC内容408和其它内容408能够以其它的格式提供，比如在媒体光盘、数字广播、数字磁带上提供。播放器/接收器装置404被配置用于为显示装置406提供合适的视频信号。
SVC408在其于SVG硬件410中被播放之前一直保持加密形式。一旦播放，如果显示装置和播放装置是集成在单一一个装置中的，视频输出信号即可通过内部电路被路由到显示装置406。比如，一台个人计算机可能包括有一个集成式媒体播放器。否则，如果显示装置没有与播放器/接收器装置和SVG硬件集成在一起，比如一个其中DVD播放器或机顶盒被连接到电视机的系统，视频信号可通过适当的视频输出412传送给被动显示装置406。
在系统400的操作过程中，SVC源402可通过网络414提供保密视频内容408给播放器/接收器装置404。源402可包括一个数字权限管理系统或保密条件存取系统，其例如以卫星多媒体传输系统、线缆系统(cable system)、加密数字广播等形式来实施，或者利用诸如加密DVD之类预录制保密内容。显然，用户还能够给播放器/接收器404提供非SVC内容409。授权内容，包括SVC和非SVC，都应该通过系统400来播放并显示。
播放器/接收器装置404可包含各种不同系统中的任何一种，这包括但并不局限于用户电子装置，比如机顶盒或DVD播放器，具有集成或模块化显卡并与软件或固件(例如嵌入式多媒体播放器)相结合以便在家用计算机上播放DVD的通用计算机系统，以及用于音视频内容回放、录制和/或编辑的专业设备。在图示系统中，显示装置406被展示为一个独立的被动装置，其与播放器/接收器装置404相连以进行音视频重放，比如与机顶盒相连的电视机。但是，在一可选实施例中，显示装置406可与播放器/接收器装置404集成，比如拥有嵌入式媒体播放器或者DVD播放软件或者专业编辑系统的个人计算机。在任一实施例中，输出显示的视频信号都能从保密视频图形硬件410通过视频输出通道412发送给显示模块。
保密视频内容408应该是加密的。另外，SVC应该包含一个鲁棒水印或者其它表明它是SVC的保密指示符。例如，上述保密传输系统可以利用本技术领域中已知的任何合适的水印系统416，在所有的SVC被加密并传送到播放器/接收器装置404之前，在其上嵌入一个SVC水印。一旦播放器接收器装置404接收到这个内容，它便将这个加密的SVC 408传送给SVG硬件410。
SVG硬件可随后判定SVC 408是否被正确加密了。如果这个内容没有加密，则SVG硬件利用水印检测器416，或者其它检测SVC指示符的适当方法，来判定该内容是否被标记为包含SVC。包含有SVC指示符的内容如果是以不加密格式接收到的，那么它就不能被播放和显示。
如果SVC内容被判定为被正确加密了，则SVC硬件410可启动与播放器/接收器装置404的内核407中的可信权限(TA)系统418的通信。SVG硬件中的加密引擎420和TA软件418可借助或通过图形驱动器428启动一系列加密握手和密钥变换，以核实SVC 408来自经核准和适当验证的来源。例如，SVG硬件410和可信权限418可在该播放器/接收器的应用层405与播放器/接收器软件424通信，以核实某个DVD光盘或者其它来源经过验证。加密引擎420的硬件应该是抗篡改的，以保护密钥集和更新/撤销密钥不会被泄露。例如，印刷电路板(PCB)组件和线路蚀刻(wire etching)可覆盖一层环氧树脂以防止物理破坏。
一旦SVG硬件410和TA软件418安全验证了播放器/接收器装置404的播放软件424，播发软件424即验证任何上游软件组件和装置，比如保密传输系统402，并与内容权限管理软件426通信以判断SVC 408的回放是否在内容提供者的商业规则下得到授权。合适的验证方法100的更多细节已联系图1在上面作了描述。
一旦SVC408通过验证，SVG硬件410即根据播放器软件424的授权解密并播放SVC 408。随着SVG硬件410播放这个内容，水印检测器416检测并提取已被嵌入到SVC 408中的任何保护相关数据。例如，如果一个撤销信息已经被嵌入到该内容中，则SVG硬件410可停止播放该内容并验证该撤销信息，如方法300所述。如果撤销信息是有效的，则密钥集可被撤销，且SVG硬件410将中断播放SVC 408直到系统被更新为止。在一个实施例中，水印软件416还具备为这个特定系统中的解密视频信号嵌入法律跟踪数据的能力。这种信息可能包括用户名、硬件序列号、MAC地址，IP地址和/或者系统时间。
解密的SVC 408随后被显示在显示装置406上。解密的视频输出信号可通过一个视频输出通道412传送到显示器。视频输出412可利用链路加密技术，如5C数字传输内容保护(DTCP)或者高带宽数字内容保护(HDCP)，来限制显示已核准的、加密的和受保护的输出内容，如本技术领域中公知的。同样可使用非保密的视频输出通道。
SVG系统可在通用计算机系统中实现。图5是一个方框图，展示这样一个配备有SVG硬件510的计算机系统500。系统500可包括CPU 530，其通过系统总线532连接到有时称作北桥芯片的第一系统控制器534。第一控制器534可控制存储器总线538(其用于存放CPU执行的程序指令的随机存取存储器536)以及专用图形总线540的操作。第一控制器534也可连接到有时称为南桥芯片的第二控制器542。南桥542控制各种输入输出(I/O)总线，比如PCI总线544，通用串行总线550，和连接到基本输入/输出系统(BIOS)存储器554的ISA总线566，以及用于硬盘驱动器556、CD/DVD播放器558、或其它EIDE驱动器和装置560的EIDE接口562。南桥还可以控制与各种I/O装置如键盘、定点装置、打印机等相连的接口，其概括地表示在564处。
各种用于输入和输出数字内容的端口和装置可被连接到PCI总线544，例如“火线(Firewire)”端口545、以太网端口546、视频捕捉/MPEG编码装置547、广播信号调频/接收器548，等等。多个USB端口551、552同样可通过南桥542连接。
如图5中所示的CPU 530，北桥534，南桥542，和各种系统总线、接口、存储器与存储装置，以及I/O端口的排列对于计算机系统设计领域的普通技术人员来说应该是熟悉的。系统500可包括其它传统组件，比如电源和时钟568；这些细节对普通技术人员同样应该是显而易见的。
通常，传统系统可允许大量数字内容流能通过连接南桥的系统总线。如果这些数据流没有加密，这类内容可能被转送到未授权的目的地或者未被授权的用途。比如，DVD播放器558可能播放一个包含有加密内容的光媒体盘。播放器对内容解密或解码，而来自播放器的输出经EIDE 562传送。内容被授权从而传送给显示装置的视频适配器，但也可能传送给通过南桥连接的其它装置，例如进行未授权再传播的以太网端口546，或者进行未授权拷贝的另一个EIDE驱动器。作为进一步的例子，保密内容也有可能通过调谐器548或者视频捕捉卡547用于类似的授权或未授权的用途。
因此，需要对通过系统500内部总线传送的内容进行加密和保护，如本说明书其它地方所述。为利用这种受保护内容，提供了SVG硬件。SVG硬件510举例来说可作为与系统CPU530一起集成在一块电路板上的外围装置来实现。从图5可明显看出，在所示实施例中，SVG硬件510并没有如同视频适配器一样被配置成连接到PCI总线544、通用串行线550、或者其它南桥总线，虽然这样安排也同样是可以的。反之，SVG硬件通过图形总线540被连接到北桥534。SVG硬件可包含前面描述的组件，比如保密HDVP/DVI输出512、AVI播放器和水印检测器522及加密引擎520。硬件510可进一步包括一个或多个额外的网络输出525，以便与具有可信权限的保密系统中的其它元件通信，从而核实可信链，或进行加密和受保护SVG输出的授权重新传播。系统500作为包含SVG硬件的播放器/接收器装置的操作和配置，可按照上文联系图1至图4所作描述来实现。
这样描述了一种保密视频适配器系统的优选例，对本领域技术人员来说，所述系统的特定优点应当是显而易见的。同样应该认识到，在本发明的范围和精神之内，可产生各种修正、修改和替换性实施例。比如，已经图示了一系统，其中保密视频图像硬件位于回放装置的图形适配器上，但应当说显然上述创新性概念可同等地适用于独立装置，或者适用于附加到或者插入到第三方装置(其与被设计用于音视频内容回放和/或录制的软件或固件结合使用)的图形适配器。本发明由所附权利要求进一步限定。
权利要求
1.一种保密图像视频系统，包括视频图像硬件组件，其配置用于接收数字音视频数据，该数字音视频数据包含标记为保密视频内容的内容和未标记为保密视频内容的内容，所述视频图形硬件可操作处理所述数字音视频数据以给显示装置提供视频信号；检测模块，其与所述视频图形硬件集成，该检测模块可操作区分所述保密视频内容与所述未标记为保密视频内容的内容；以及可信验证模块，其与所述视频图形硬件集成，该可信验证模块适用于验证保密数字内容的来源，其中所述视频图形适配器被配置成不将所述保密视频内容作为视频信号播放，除非保密数字内容信号被该可信验证模块所验证，并在不验证其来源的情况下，将未被标记为保密视频内容的内容作为视频信号播放。
2.根据权利要求1所述的系统，进一步包括水印检测器，其与所述视频图形硬件集成，所述水印检测器适用于检测作为水印嵌入数字信号中的保密视频内容的指示符。
3.根据权利要求1所述的系统，其中所述视频图形硬件适用于产生加密格式的视频信号。
4.根据权利要求3所述的系统，其中所述视频图形硬件适用于利用链路加密方法产生加密格式的视频信号。
5.根据权利要求1所述的系统，进一步包括加密模块，其与所述视频图形硬件集成，所述加密模块适用于为所述视频图形硬件解密所述保密数字内容信号。
6.根据权利要求5所述的系统，其中所述视频图形适配器被配置成不将所述保密视频内容作为视频信号播放，除非接收到加密格式的保密数字内容信号。
7.根据权利要求5所述的系统，其中所述视频图形硬件被进一步配置成通过接收包含特别配置水印的内容，撤销所述加密模块的可操作性。
8.根据权利要求5所述的系统，其中所述视频图形硬件可操作与非易失性存储器相连，该存储器保存加密密钥集的修正标识符，所述加密密钥集被所述加密模块用来解密所述保密数字内容。
9.根据权利要求8所述的系统，其中所述存储器还保存所述视频图形硬件的型号标识符。
10.根据权利要求5所述的系统，进一步包括相连的媒体播放器，其以加密格式给所述视频图形硬件提供所述保密数字内容信号，该媒体播放器被配置用于与所述可信验证模块通信。
11.一种用于防止未经授权利用保密视频内容提供视频输出信号的方法，该方法包括接收数字音视频数据；判断是否该音视频数据包含保密视频内容指示符；验证该音视频数据的来源，如果它包含保密视频内容指示符的话；以及仅当(a)所述音视频数据不包含保密视频内容指示符，或(b)所述音视频内容确实包含保密视频内容指示符，且所述来源在所述验证步骤中得到验证的情况下，根据所述音视频数据提供音频或视频输出信号。
12.根据权利要求11所述的方法，其中所述验证步骤进一步包括与可信权限通信以验证所述来源。
13.根据权利要求11所述的方法，进一步包括在所述视频或音频输出信号中嵌入水印。
14.根据权利要求11所述的方法，其中所述判定步骤进一步包括解码所述音视频数据中的水印。
15.根据权利要求11所述的方法，进一步包括仅在所述验证步骤中其来源被验证时解密所述音视频数据。
16.根据权利要求15所述的方法，进一步包括更新被用来执行所述解密步骤的密钥集。
17.根据权利要求16所述的方法，其中所述更新步骤进一步包括安全上载新密钥集给保密视频图形系统。
18.根据权利要求15所述的方法，进一步包括撤销被用来执行所述解密步骤的加密密钥集。
19.根据权利要求18所述的方法，其中所述撤销步骤进一步包括从上游来源接收保密信息。
20.根据权利要求11所述的方法，进一步包括加密所述音视或视频输出信号。
21.根据权利要求11所述的方法，进一步包括将法律跟踪信息作为水印插入所述音视或视频输出信号中。
全文摘要
一种图形显示适配器的保密视频系统，包含可以对从媒体播放器或者其它保密内容源得到的内容信号进行解密的模块。该适配器可以作为计算机图形系统的一部分，也可以是独立的具有特殊功能的装置。该适配器可以包含其它功能，以防止对受保护内容的未经授权的使用，比如可以在提供输出视频信号前对内容信号来源进行验证，加密视频输出信号，响应命令以更新或者撤销加密密钥集，并且在视频信号中嵌入法律跟踪信息。
文档编号H04N7/167GK1981527SQ200480040081
公开日2007年6月13日 申请日期2004年12月6日 优先权日2003年12月5日
发明者C·B·亨特, J·C·P·罗素 申请人:美国电影协会