用于跟踪分发到局域网中媒体设备的内容的使用的方法

专利名称：用于跟踪分发到局域网中媒体设备的内容的使用的方法
技术领域：
本发明一般涉及安全方案领域，其用于保护传送到媒体设备的内 容。更具体来说，本发明涉及数字权利管理方案，其用于保护传送给 局域网中设备的媒体内容。
背景技术：
数字内容提供商，包括唱片公司和书刊出版商，由于盗版而损失
了很多收入。诸如开放移动联盟(OMA)的数字权利管理(DRM)之 类的权利保护技术是在数字时代驱逐内容窃取者的护卫。DRM通过防 止对内容的非法复制来对数字内容从其产生到其寿命终结进行保护。
DRM是一组技术，其提供手段来控制数字媒体对象的分发和消 费。在DRM的典型实现中，权利发布器(RI)根据特定的许可集，把 称为权利对象(RO)的数字许可证许可给设备，以便设备用来消费数 字媒体内容对象(CO)。通常使用文档规范语言，例如XrML或其他类 似语言，来对许可进行规定。由于DRM所提供的广泛的保护，可将其 用于各种类型的局域网。
一种类型的局域网，即家庭网，其是在一个管理域之下。更具体 说来，家庭网是由单个组织或管理部门所操作的设备和子网的集合。 假定域的组件在他们之间是相互信任地互操作，但是与其他域是以较 低信任度的方式进行互操作。这与网络域模型形成对比，其可能处在 多个管理域之下。
家庭网使用任何可以使家庭设备能够互连或使其自动化的技术或 服务。家庭网络设备可以是固定或移动的，即可以在任意时间离开或加入到网络。也可在不同时间开启或关闭每个设备。家庭网络更具体 的定义包括连接家庭中的消费电子设备、计算机、和外设来形成一 互连环境。家庭网使得家中的电子设备和家电相互连接。这些设备也 可以无缝地连接到因特网，这提供了增加内容源的优点。但是，至少 从娱乐公司的角度来看，因特网访问也给本应用带来了巨大的威胁。
一些家庭网应用依靠家庭网服务器的存在来对家庭网提供安全。 服务器负责来存储内容、管理用于将内容安全分发到家庭设备的密 钥、将家庭网向内容权利发布器鉴权、以及管理和执行许可。服务器 通常是独立于其他家庭设备的集中式设备。服务器通常是比较复杂的 设备，其需要复杂的配置和设置。另外，作为集中式设备，服务器可 能出现单点故障。如果其出现故障，那么家庭网将不能访问任何受保 护的内容。另外，用户可能需要对唯一功能就是管理其他设备的一台 设备花费大量费用。由于这些问题，就有需要一种解决方案来避免使 用集中式服务器。
其他家庭网应用，诸如OMA DRM，需要每个家庭网设备创建与
媒体提供器(即提供CO和RO的实体)的独立的安全关联。所以，联系
媒体提供器以获取内容会在家庭网和媒体提供器之间引起通信风暴。 该风暴需要对家庭网要访问的每个媒体服务器进行重复。对这些应用， 家庭网中不需要网络服务器，并且该应用使用常见的公共密钥基础设
施(PKI)。然而，媒体提供器可以将网络服务器的服务提供给家庭网。 家庭网设备必须在丧失家庭网隐私的情形下使用这些服务。
还有其他家庭网应用使用智能卡来使得家庭网与任何DRM方案 协作。对这些应用，需要两张卡转换卡和终端卡。转换卡从RI解密 RO、将接收到的许可转换为已定义的许可、使用由转换卡所创建的密 钥来对内容加密密钥进行再加密、将密钥安全地发送到终端卡、并且 将再加密的内容加密密钥发送到终端卡。终端卡将密钥进行解密，并 且使用其来对内容加密密钥进行解密。根据许可，终端卡可能还需要将询问(challenge)发布到安装有卡的终端。
但是，基于智能卡的应用有很多缺陷。所有的设备必须具有与智 能卡连接的能力，所以不能包括那些不支持智能卡的设备。这种解决 方案也假定所有的设备都是固定的，所以不能对无线设备提供扩展性。 所以，不支持组管理，并且没有在远程域中鉴权或授权的机构。另外， 从许可的角度来看，这种基于智能卡的应用非常受限。所有许可都被 映射到有限的已定义许可集，所以RI在规定提供给用户的许可类型中 也会受到限制。


图l是示出与本发明相一致的，用于媒体内容分发系统的数字安全 系统的示图。
图2是示出与本发明相一致的数字安全系统的重要组件的示图。 图3是示出图1的数字安全系统的另一示图。
图4是示出与本发明相一致的，在通信设备和发布器之间交互的过 程图。
图5是示出与本发明相一致的，用于媒体内容分发系统的另一数字
安全系统的示图。
图6是示出图5的媒体内容分发系统的特定功能的另一示图。 图7是示出与本发明相一致的，权利发布器和媒体设备的过程图。 图8是示出与本发明相一致的，用于跟踪分发到联网媒体设备的内
容的使用的数字安全系统的示图。
图9是示出图8的每个媒体设备的示范性组件的框图。 图10是示出图8数字安全系统的用于跟踪内容的使用的示范性运
转的流程图。
具体实施例方式
本发明定义了用于对局域网安全管理的框架和协议。例如，本框 架和协议可应用于家庭网应用的数字权利管理(DRM)。将设备用作为逻辑的、分布式的、有限功能的服务器，其协同模拟网络服务器的 功能。服务器功能是设备中的增值服务，而不是设备的主要功能。服 务器功能仅负责密钥管理和鉴权。
与其他在局域网中的安全管理解决方案不同，我们的解决方案将 媒体设备作为逻辑的、分布式的、有限功能的网络服务器来使用。通 过将两个主要组件，即密钥管理和分发协调，添加到媒体设备，在不 需要独立的、专用的、集中式的服务器的情况下，设备以分布式的、 协作的方式解决了局域网中与安全管理相关的问题。
本框架和协议对提供者控制的需要和所有者隐私的需要进行了平 衡。并且，本框架和协议基于分布式系统和方法，其避免了使用专用 服务器。另外，本框架和协议允许当家庭网接收内容时，关闭移动电 话。另外，本框架和协议除了从媒体提供器选择内容外，不需要用户 的介入。所有交互都在后台自动进行。尤其是，用户不需对网络进行 配置或对任何媒体设备进行编程。
本发明的一方面是一种特定媒体设备的方法，其用于跟踪分发到 局域网中媒体设备的内容的使用，其中每个媒体设备具有与媒体内容 相关联的内容使用计数器。将与特定媒体设备的媒体内容相关联的内 容使用计数器与局域网中其他媒体设备的内容使用计数器进行交换。 接着，标识在特定媒体设备和其他媒体设备的内容使用计数器之中具 有最高值的最高内容使用计数器。接着，确定最高内容使用计数器是 否小于局域网的最大容许内容使用计数器。此后，响应于确定最高内 容使用计数器是小于最大容许内容使用计数器，向其他媒体设备通知 媒体内容将要被使用。
本发明的另一方面是一种特定媒体设备，其用于跟踪分发到局域 网中媒体设备的内容的使用，其中每个媒体设备具有与媒体内容相关 联的内容使用计数器。特定媒体设备包括存储器、收发信机、和处理
8器。存储器存储与特定媒体设备的媒体内容相关联的内容使用计数器。 收发信机将特定媒体设备的内容使用计数器发送到局域网的其他媒体 设备，并且接收其他媒体设备的内容使用计数器。处理器标识在特定 媒体设备和其他媒体设备的内容使用计数器之中具有最高值的最高内 容使用计数器。处理器还确定最高内容使用计数器是否小于局域网的 最大容许内容使用计数器。如果最高内容使用计数器小于最大容许内 容使用计数器，则收发信机向其他媒体设备通知媒体内容将要被使用。
参照图l，其示出与本发明相一致的示范性数字安全系统ioo。系
统100包括互连的广域网(WAN) 102，用于与局域网(LAN) 104进行 通信。广域网102典型地是基于公共和因特网协议(IP)，并且WAN具 有一些连接到LAN104的机构。LAN104并非必须是基于IP的。LAN104 的一个实例是如上所述的家庭网。将WAN102连接到LAN104的机构的 细节与本发明无关，但我们假定WAN102可与该机构的至少一个公共IP 地址进行通信。如图1所示，对一个实施例，WAN102包括多个有线和 无线的通信网来在因特网上传送数据，并且LAN104是具有媒体设备的 家庭网，该媒体设备可以通过因特网进行通信。
WAN102包括媒体提供器，或具体说来，媒体提供器的数字媒体 服务器106。可从数字媒体服务器106获得媒体内容和创造性作品，用 户可通过使用WAN102来访问数字媒体服务器106。潜在客户可使用远 程代理或通信设备108，例如移动电话或个人数字助理(PDA)，来浏 览由媒体提供器及其数字媒体服务器所提供的内容。远程代理108可以 是有线设备，但是无线设备对本发明的目的来说更为便利。无线通信 设备的实例包括但不限于，移动电话、PDA和使用一项或多项以下技 术的计算设备模拟通信(使用AMPS)、数字通信(使用CDMA、TDMA、 GSM、 iDEN、 GRRS、或EDGE)，和下一代通信(使用UMTS或WCDMA) 及其派生物；对等或自组(adhoc)通信，例如HomeRF、蓝牙和IEEE 802.11 (a、 b或g);以及其他形式的无线通信。拥有移动设备108，在图中标记为"管家"(Majordom)，的用户 可以离开用户的LAN104，并且可以浏览媒体提供器，即在数字媒体服 务器106上提供的媒体目录。用户可决定购买诸如电影的多媒体内容， 以在用户回家后的特定时间播放，但是用户可能想要将多媒体内容的 不同部分转向LAN104的不同媒体设备。例如，用户可能想要在诸如平 板电视的视频媒体设备110上显示视频部分；在诸如立体声音响的音频 媒体设备112上播放音频部分；在诸如计算机的文本媒体设备114上显 示文本。另外，用户可能想要在音频媒体设备112上播放音频部分之后， 在诸如数字视频录像机(DVR)的录制媒体设备116上捕捉音频部分。
可参照图1来解释用于实现用户把媒体内容分发至LAN104的上述 操作的特定步骤。用户可使用通信设备108来与数字媒体服务器106通 信，并浏览可从媒体提供器获取的各种媒体内容或内容对象。接着， 通信设备108可将请求发送给数字媒体服务器106来从媒体提供器购买 选定的内容对象(CO)，例如电影。在步骤118，内容对象可包括数个 成分，例如视频成分、音频成分、和文本成分。并且，请求可包括将 内容对象提供给用户的LAN104的请求时间。接着，在步骤120，媒体 提供器可通过将确认从数字媒体服务器106发送到通信设备108来确认 收到定购。在步骤122-126，在请求时间，媒体提供器可将来自数字媒 体服务器106的三个独立的对象或流提供给LAN104，其可出现在相同 帧之内或彼此同步。例如，在步骤122,媒体提供器可将视频成分发送 给视频媒体设备IIO，在步骤124，将音频成分发送给音频媒体设备112， 并且在步骤126，将文本成分发送给文本媒体设备114。如果通信设备 108的用户希望存储这一个或多个对象或流，贝ULAN104可包括录制媒 体设备116，其同时接收这些对象或流，或者在其他媒体设备110-114 之后接收。例如，在步骤128，在请求时间之后的时间，音频媒体设备 112可将音频成分转发给录制媒体设备116进行录制。
在图1中，与用户相关的设备可以归为三类"管家" (Maj ordomo )、"隐遁者"(Recluse )、和"隐士 " ( Hermit)。"管家"，即通信设备108，是用户设备，其具有直接访问LAN104的通信 基础设施所必需的组件，其由LAN管理员来使能以访问LAN基础设置； 其具有访问WAN102所必需的组件，其由LAN的管理员来使能以访问 WAN;并且其具有数字加密证书。"隐遁者"，诸如文本媒体设备114， 除了其仅允许对LAN104中的设备接收和发送安全密钥以外，其具有与 "管家"一样的特征。"隐士"，诸如设备IIO、 112和116，是LAN104 中的媒体设备，其不具有数字加密证书。
本发明的实施例平衡了两种潜在冲突的要求提供者的控制要求 和所有者的隐私要求。出于提供者的控制要求，媒体提供器必须能控
制哪个设备来消费受保护的内容。此要求是需要的，因为可能已知一 些设备有安全缺陷，并且媒体提供器可能不希望由这些设备来消费内 容。出于所有者的隐私要求，家庭网所有者不必将哪些设备属于家庭 网的细节透露给媒体提供器。这种要求是需要的，以用来保证家庭网 所有者的隐私。
参照图2，其示出与本发明相一致的示范性数字安全系统200。内 容所有者202创建媒体内容，并把媒体内容提供给内容包装器和/和分发 器204。应当理解，即便在图2中将内容包装器和/或分发器204示为单个
实体，但是内容包装器和/或分发器的功能可以由多于一个实体来共享。 内容包装器和/或分发器204将媒体内容提供给LAN206，并且将与媒体 内容相关联的许可证位置提供给通信设备208。 LAN206的媒体设备在 没有对媒体内容合适的许可证210的情况下，不能使用接收到的媒体内 容。因此，通信设备208在许可证位置处检索许可证210，并将许可证 提供给LAN206，以使得LAN上的媒体设备可使用从内容包装器和/或分 发器接收的媒体内容。
尤其是，内容所有者202创建或获取数字文件212。然后，内容所 有者202使用编码器214将数字文件212编码为媒体播放器可表现的格 式，即播放器就绪(player-ready)文件216。内容所有者202将播放器就绪文件216提供给内容包装器和/或分发器204。内容包装器和/或分发
器204使用加密设备218，通过使用内容加密密钥或对象加密密钥对格 式化文件进行加密，于是形成内容加密文件220。内容加密文件被提供 给LAN206，或具体说来，LAN的媒体设备。内容包装器和/或分发器204 还确定地址222,该地址222可以标识可找到与内容加密文件相关联的 许可证210的一个或多个位置，并且内容包装器和/或分发器204将该地 址提供给通信设备208。例如，地址可以是URL (统一资源定位器)， 其指明了可购买包括内容解密密钥的许可证的位置。
如果没有为内容加密文件220找到许可证210，那么通信设备208 跟随许可证地址222来请求许可证。许可证210包括许可集224，即内容 所有者允许的使用类型，还包括内容解密密钥226。接着，通信设备208 可用LAN206的一个或多个组件已知的网络私钥对内容解密密钥226进 行加密，并将加密后的密钥提供给LAN。 一旦从通信设备208接收到加 密后的密钥，LAN206的媒体设备可使用网络私钥来解密加密后的内容 解密密钥，并根据许可证210的许可224来消费媒体内容。
关于通信设备208，该通信设备包括存储器228、收发信机230、以 及连接到存储器和收发信机的处理器232。存储器228存储与通信设备 相关联的数字安全证书、与媒体设备相关联的证书信息、以及提供对 媒体设备的访问的网络私钥。收发信机230把数字安全证书和证书信息 传送给媒体提供器，并且从媒体提供器接收与媒体内容相关联的内容 密钥。处理器232根据网络私钥来对内容密钥进行加密，并指示收发信 机将加密后的内容密钥提供给媒体设备。
参照图3，本发明的数字安全系统300包括WAN302和LAN304，并 且是基于公共/私有密钥加密。WAN302包括媒体提供器，或具体说来， 媒体提供器的数字媒体服务器306。通信设备308，即"管家"，和LAN304 的媒体设备310-316共享一个网络私钥，例如LAN解密密钥或家庭网络 组密钥(HNGK)。组密钥作为在媒体设备310-316之间共享的私钥。即使在LAN304内部有多个独立的物理设备310-316，权利发布器(RI) 和内容发布器(CI)只需鉴权一个安全代理，例如通信设备308。通信 设备与发布器的交互仅是鉴权LAN304、指明目标LAN媒体设备310-316 的地址、并从RI获取内容解密密钥。通信设备302不需存储任何权利对 象(RO)或内容对象(CO)项目。应当注意，CI由媒体提供器来代表， 但是RI可由媒体提供器或者与媒体提供器相关联的第三方来代表。
仍参照图3，在步骤318，通信设备或"管家"308把对内容对象的 请求发送给数字媒体服务器306，其中请求可包括传送内容的请求时 间。作为响应，在步骤320，数字媒体服务器306把收到定购的确认返 回给通信设备308。接着，在步骤322，通信设备308创建与数字媒体服 务器306的安全关联，并从数字媒体服务器获取内容解密密钥。在步骤 324，通信设备308获取与媒体内容相关联的内容解密密钥，使用与 LAN304的媒体设备相关联的网络私钥来将内容解密密钥进行加密，并 且将加密后的内容解密密钥发送到LAN的一个或多个设备。在请求时 间，数字媒体服务器306可将加密的媒体内容发送给媒体设备310-316。 例如，数字媒体服务器306将加密的视频部分发送给视频媒体设备310、 将加密的音频部分发送给音频媒体设备312、并将加密的文本部分发送 给文本媒体设备314。并且，录制媒体设备316可录制一个或多个部分。
参照图4，提供了示范性时序图400，示出在本发明的通信设备或 "管家"402和发布器404、 406之间可能发生的信令。如上所述，CI由 媒体提供器来代表，但RI可由媒体提供器或与媒体提供器相关联的第 三方来代表。在步骤408，通信设备402把内容对象标识(CO ID)、通 用设备名称和LAN地址发送给内容发布器。因为设备可从多个媒体内 容中选择，所以CO ID标识通信设备402所需要的特定媒体内容。通用 设备名称为传送选定的媒体内容而标识目标媒体设备，例如平板TV、 立体声音响、和笔记本电脑。LAN地址为LAN及与其相关联的媒体设 备标识传送地址，例如IP地址。在步骤410，响应于请求，CI404返回定 购标识来确认定购。在从CI接收到确认之后，通信设备402为LAN获取与媒体内容相关 联的许可证。在步骤412，除了通用设备名称和LAN地址以外，通信设 备402还提供与其自身相关联的证书以及与每个媒体设备相关联的证 书信息，以将其自身和这些设备向RI406鉴权。所以，通信设备402还 把媒体设备的证书信息提供给RI406。与媒体设备相关联的证书信息是 标识多个媒体设备的数字安全证书的列表或者是数字安全证书本身。 这使得RI406能检査媒体设备的凭证。注意，该步骤维护了LAN所有者 的隐私，因为通信设备402不会透露是哪些网络设备与证书相关联。在 步骤414，如果RI406确定所有与通信设备402和媒体设备相关联的证书 均为有效，那么RI返回安全关联接受。另一方面，如果RI406未能确定 与通信设备402相关联的证书为有效，那么通信设备和RI之间的安全关 联失败。即使与通信设备402相关联的证书是有效的，但是如果发现一 个或多个媒体设备的证书是无效的，那么RI406可以确定安全关联失 败，这取决于RI配置的方式。
一旦RI406鉴权了通信设备证书和媒体设备证书，在步骤416，通 信设备402从RI406请求对象密钥。在步骤418， RI406把对象密钥，例 如内容解密密钥，发送给通信设备402，并且不必把RO发送给通信设备。 接着，通信设备402通过使用网络私钥对内容解密密钥进行加密，并将 其与事务ID (transaction ID) —起发送到LAN的媒体设备。
参照图5，提供与本发明一致的另一用于媒体内容分发系统的数字 安全系统500。本发明的数字安全系统500包括WAN502和LAN504，并 且是基于公共/私有密钥加密。WAN502包括媒体提供器，或具体说来， 媒体提供器的数字媒体服务器506。通信设备508， g卩"管家"，和LAN504 的媒体设备510-516共享一个网络私钥。即使在LAN504内部有多个独立 的物理设备510-516，但权利发布器(RI)和内容发布器(CI)只需要 鉴权一个安全代理，例如通信设备508。通信设备与发布器的交互仅是 鉴权LAN504、指明目标LAN媒体设备510-516的地址、并从RI获取内容解密密钥。
例如，在步骤518，通信设备508对诸如电影的内容对象(CO)发 出请求。通信设备508把通用设备名称，例如cu (3和S，发送到媒体提 供器的数字媒体服务器506。媒体提供器及其数字媒体服务器506不知 道媒体设备a、 p和5的能力，因此LAN504所有者的隐私得到最大化。 通信设备508还把媒体设备504-516的证书信息提供给RI。这允许RI来检 查媒体设备504-516的凭证。媒体设备的证书信息是标识多个媒体设备 的数字安全证书的列表或是数字安全证书本身。响应于请求，在步骤 520，媒体提供器的数字媒体服务器506对通信设备508确认收到定购。
接着，在步骤522，通信设备508创建与数字媒体服务器506的安全 关联。接着，在步骤524，通信设备508从数字媒体服务器506获取对象 加密密钥，或具体说来，内容解密密钥。而且，在步骤524中，通信设 备508使用网络私钥，例如家庭网组密钥(HNGK)，来将对象加密密 钥进行加密，并将其发送给LAN504中的已授权媒体设备。此后，如步 骤526所示，媒体提供器的数字媒体服务器506在请求时间把加密的媒 体内容发送给媒体设备510-516。例如，数字媒体服务器506可将加密的 视频部分发送给视频媒体设备510、将加密的音频部分发送给音频媒体 设备512、并将加密的文本部分发送给文本媒体设备514。
图5所示的数字安全系统500与前图所示系统有几处不同。主要关 注地是模块528，其称为代办网络访问翻译器(proxyNAT)。模块528 位于存在于LAN504之中的网关或路由器之中。应当注意，LAN504可 以是以下三种类型网络之中的一种(1)基于IP并对设备使用公共IP 地址，(2)基于IP并对设备使用私有IP地址，或者(3)非基于IP。还 应当注意，WAN502优选是基于IP的。对类型(2)或(3)的LAN504， LAN必须具有将其连接到WAN502的网关或路由器。对类型(2)，网 关或路由器在LAN的私有IP地址和WAN的公共IP地址之间进行转换。 对类型(3)，网关或路由器把基于IP的WAN互连到LAN中所使用的技术。所以，代办NAT模块528可以加入到使用网络类型(2)或(3)配 置的LAN504的现有网关和路由器中。仅在类型(1)下，LAN可能没 有路由器或网关。所以，具有类型(1)配置的LAN需要增加路由器或 网关来支持代办NAT模块528。
参照图6，可参照该图来理解代办NAT模块528、 628的功能。如上 所述，通信设备608将通用设备名称，例如oc、 p和S，发送到媒体提供 器的数字媒体服务器606。媒体提供器不知道这些媒体设备610-614的地 址，但是知道他们所在的LAN604的地址。所以，媒体提供器可将网络 地址与通用设备名称连接在一起，并且依赖于LAN604中的代办NAT模 块628来将该地址转换为物理设备地址。然后，代办NAT模块628把通 用设备名称oc、 (3和S转换为物理地址，并把来自媒体提供器的数字媒体 服务器606的消息转播到媒体设备610-614。该过程对媒体提供器及其数 字媒体服务器606隐藏了LAN604的内部结构，并允许用户命名其媒体 设备而不必考虑媒体提供器。
例如，在步骤618，通信设备或"管家"608把通用设备名称，例 如a、 (3和S，发送到媒体提供器的数字媒体服务器606。此时，媒体提 供器不知道媒体设备a、 (3和S的能力。接着，在步骤620，媒体提供器 的数字媒体服务器606把査询发送到LAN604来询问媒体设备a、 (3和S 的能力。然后，在步骤622，每个媒体设备将其能力应答给数字媒体服 务器606。例如，媒体设备a610可通过指明其能力是仅能支持模拟视频 的设备来进行应答。此后，在步骤624，媒体提供器的数字媒体服务器 606在把合适的内容对象(CO)发送到相应的媒体设备之前，把CO定 制为每个媒体设备610-614的能力。
参照图7，当权利发布器(RI) 702准备好把权利对象(RO)发送 给媒体设备706时，RI査询媒体设备的能力。注意，因为所有的媒体设 备706和通信设备共享相同的网络私钥，所以设备不需要向RI702来鉴 权其自身。所以，在步骤708、 710， RI702把触发消息(trigger message)发送到每个媒体设备706，其中触发消息包括事务ID。事务ID把通信与
特定对象加密密钥联系起来。在图4的步骤418中，事务ID就是RI406发 送到"管家"402的ID。 一旦媒体设备706定位了事务ID，在步骤712、 714，媒体设备用对媒体设备能力的描述来响应RI702。该描述允许 RI702对媒体设备706定制CO。接着，在步骤716、 718， RI702对RO进 行加密，并将其发送到媒体设备706。
对其他实施例，代办NAT模块528、 628可包括用于将媒体设备与 特定地址和/或能力相关联的表格。例如，代办NAT模块528、 628可包 括把媒体设备标识与对应于媒体设备的地址进行关联的表格。所以， 媒体提供器对LAN的每个媒体设备可以只知道设备标识，而不知道每 个媒体设备的全部特性或能力。然而，代办NAT模块528、 628能够通 过在表格中査找设备特性，而将媒体提供器所查询的每个设备标识与 媒体设备的地址联系起来，于是把通信发送到合适的设备。
代办NAT模块528、 628可包括表格，该表格包括每个媒体设备的 能力，于是当媒体提供器请求时不需要对每个媒体设备进行査询。例 如，当媒体提供器的数字媒体服务器请求特定媒体设备的能力时，代 办NAT模块528、 628可仅在表中查找设备特性来找到媒体设备的相应 能力。再参照图7，对该实施例，由于代办NAT模块528、 628不需联系 媒体设备，所以步骤的710、 714和718部分也就不再需要。当然，为了 工作正常，代办NAT模块528、 628所依赖的表格需要提前加装，和/或 周期性地更新每个媒体设备的能力。
媒体设备的能力的实例包括但不限于视频、图片、音频、和文 本能力。在每个例子中，例如，能力包括设备可表现的媒体格式。视 频格式的实例包括纯模拟、MPEG-2、 MPEG-4、 DivX、 MJPEG、 MJPEG2000、 H.263、 H.264、 Sorenson等。音频格式的实例包括单声 道、立体声、环绕声、MP3、 AAC、 OggVorbis等。文本格式的实例包 括语言、隐藏式字幕(closed-captioning)、评论等。
17本发明向用户、内容提供商和设备制造商提供了益处。用户可从 使用和配置的简单性中受益。每个用户仅需配置"管家"，而不需配 置用户可能加入到家庭网中的其他设备。通过实施了我们解决方案的 组件以完成所有其他在CI或RI和家庭网之间的交互。每个用户还享用 多媒体体验。用户可购买任何设备并用其喜欢的任何方式对其进行命 名，并且在没有用户方面积极参与的情况下，用户可购买应用并将其 在各种家庭网络设备上播放。
内容提供商的权利通过确保使用家庭网密钥来对权利对象和内容 对象进行加密、确保家庭网经过鉴权、确保发布器经过鉴权、以及确 保遵守内容的许可来受到保护。在某种意义上，甚至当内容物理地位 于用户设备上时，内容提供商继续控制着内容。家庭网中的DRM代理 追踪媒体的实际消费，并执行由权利所有者所指明的许可。
内容提供商还可提供多媒体内容，其中他们对内容的每一部分单 独计费。如果在分离的设备上使用，内容提供商可以对音频、视频、 和文本部分计费。在某种意义上，提供者可按点播的内容计费，而不 是对整个内容进行一次计费。其他实例包括订阅商业模型，其中用户 需要定时付费以在其家中保持内容。
设备制造者也可获益，因为用于家庭设备的简单协议提供了低的 处理和存储开销，所以对设备提供了更低的成本。对设备访问内容仅 需简单的配置，这在用户和内容提供商之中带来了产品的广泛接受性。
参照图8，是示出与本发明相一致的，用于跟踪分发到局域网 (LAN) 802中媒体设备的内容的使用的数字安全系统800。可将本发 明应用于位于多种位置的LAN，例如图8所示的建筑物804之中的家庭 网。数字安全系统800包括媒体设备806-812，这些设备相互之间可通过 有线或无线通信连接进行通信。媒体设备的实例包括但不限于固定设备，例如视频设备、音频设备、计算设备、多媒体设备，以及移动 设备，例如使用无线通信技术的电话、个人数字助理和计算设备。由 媒体设备所使用的无线通信技术的实例包括基于蜂窝的通信技术； 基于卫星的通信技术；以及对等或自组(adhoc)通信，例如HomeRF、 蓝牙和IEEE 802.11 (a、 b或g);以及其他形式的无线通信，例如红外 和使用非许可/非管制频段的技术。
媒体提供器，或具体说来，媒体提供器的媒体服务器814可位于 LAN802之外。从媒体服务器814可获取媒体内容和创造性作品，用户 可通过到一个或多个媒体设备806-812的有线或无线连接来访问该媒体 服务器814。潜在用户可以使用特定媒体设备812来浏览和购买由媒体 提供器及其媒体服务器所提供的媒体内容。在此做法中，媒体提供器 可应用技术控制或安全措施，例如数字权利管理，以允许媒体内容的 权利所有者指明如何使用或消费所有者的财产。
当特定媒体设备812将要使用、播放或消费受保护的媒体内容816 时，特定媒体设备检测其近邻810，并尝试与这些近邻进行通信以向这 些近邻通知该媒体内容将要被使用。每个近邻设备810向特定媒体设备 812报告近邻设备当前所知的内容在网络中被使用或消费，例如播放的 次数。 一些近邻设备810可能有不正确的使用次数，因为，例如在过去 其曾被关闭多次。所以， 一旦从近邻806-810接收到使用的次数，特定 媒体设备812就向LAN802中的其他媒体设备806、 808査询他们所知的 内容被使用的次数。
为了到达其他媒体设备806、 808，特定媒体设备812可请求其近邻 810把消息转发到LAN802之中该近邻的近邻设备806、 808。接着， LAN802之中的其他媒体设备806、 808用它们的使用次数进行应答。对 每个接收到的值，特定媒体设备812把接收到的值转发到LAN802之中 的其他媒体设备806、 808。最后，在LAN802之中运行安全一致性过程 (secure consensus process)，例如拜占庭协议(Byzantine Agreement)，以决定使用的次数。该安全一致性过程用于任意拓扑结构的局域网， 其中媒体设备在任意时间开始过程，设备时钟可偏离实际时间，并且
设备可以移动。这种过程的一个实例在2005年9月29日申请的申请号为 11/239， 261的美国专利之中有所讨论，将其内容以引用的方式包括于 此。
一旦过程终止，那么特定媒体播放器检查使用的次数是否低于由 安全许可所允许的最大使用，该安全许可包括在内容许可证818之中。 如果未达到允许的最大使用，那么特定媒体播放器执行安全一致性过 程，以尝试向LAN802的其他媒体设备806-810通知该媒体内容将要被使 用或消费。接着，媒体设备806-812更新他们的使用次数。如果已达到 允许的最大使用，那么特定媒体播放器终止对媒体内容的使用尝试， 并相应地通过输出设备等来通知用户。
参照图9，示出一框图，其示出媒体设备806-812的示范性组件900。 示范性组件900包括 一个或多个有线或无线收发信机902，其用于在 LAN802之中进行网络通信；处理器904;存储器906;和用户接口，其 包括一个或多个输入设备908以及一个或多个输出设备910。组件900的 输入和输出设备908、 910可包括多种视频、音频和/或机械输出。例如， 输入设备908可包括视频输入设备，例如光学传感器(例如，相机)； 音频输入设备，例如麦克风；以及机械输入设备，例如翻转传感器(flip sensor)、键盘、小键盘、选择按钮、触摸板、触摸屏、电容式传感器、 运动传感器、和开关。输出设备910可包括视频输出设备，例如液晶 显示器和发光二极管指示器；音频输出设备，例如扬声器、警报器和/ 或蜂鸣器；和/或机械输出设备，例如振动机构。内部组件900还可包括 诸如电池的电源912，用于将电能提供给其他组件，并使得媒体设备成 为可便携的。
处理器904可使用组件900的存储器906来存储和检索信息。存储器 906可存储的信息包括但不限于操作系统、应用程序、和数据。特别是，存储器906存储特定数据，包括安全密钥914、许可916和内容使 用计数器918。对每个媒体设备，存储器906的部分914被标识为"安全 密钥"，其存储与每个媒体内容相关联并且由媒体设备所使用的安全 密钥，并且还存储用于LAN802的网络组密钥，例如家庭网组密钥 (HNGK)。存储器卯6的部分916被标识为"许可"，其存储许可证的 许可或许可集以使用或消费给定媒体内容，即媒体内容所有者允许的 使用类型。
存储器906的部分918被标识为"内容使用计数器"，其存储LAN802 的所有媒体设备所使用或消费的给定媒体内容的次数，与存储内容使 用计数器的媒体设备所知的一样。如上所述，由内容使用计数器918所 存储的一个或多个值可能并不准确，因为当另一媒体设备消费给定媒 体内容时，该相应的媒体设备可能还未运行，例如未接通电源。另外， 如参照图10下文所述，该相应的媒体设备可能还没有机会更新其内容 使用计数器918。为了让LAN802的媒体设备来使用或消费，存储器906 的内容使用计数器部分918还可存储与每个媒体内容相关联的最大允 许内容使用计数器。
应当理解，图9仅用于说明目的，并且是用于说明与本发明相一致 的媒体设备的组件，并且不是意欲成为控制器所需的各种组件的完整 示意图。所以，媒体设备可包括未在图9中示出但仍在本发明范围之内 的各种其他组件。
图10是示出数字安全系统800的用于跟踪媒体内容的使用的示范 性运转1000的流程图。数字安全系统800的运转1000开始于步骤1002， 并且在步骤1004，启动设备812创建与给定媒体内容相关联的内容使用 计数器(CUC)。在任何媒体设备尝试消费给定媒体内容之前，内容 使用计数器的初始值为O。接着，在步骤1006，启动媒体设备812检测 在其附近的LAN802中的近邻设备，如媒体设备810所表示的，并尝试 与这些近邻设备进行通信以向它们通知即将使用媒体内容的消费。此后，启动媒体设备812把和它的给定媒体内容816相关联的内容
使用计数器与LAN802的其他媒体设备806-812的内容使用计数器进行 交换。启动媒体设备812的收发信机902把启动媒体设备的内容使用计 数器发送给LAN802的其他媒体设备806-810，并且接收其他媒体设备的 内容使用计数器。尤其是，在步骤1008，启动媒体设备812把内容使用 计数器与启动媒体设备附近的LAN802中的其他媒体设备810的内容使 用计数器进行交换。接着，在步骤IOIO，启动媒体设备812把内容使用 计数器与不在启动媒体设备附近的LAN802中的其他媒体设备806、 808 的内容使用计数器进行交换。如上所述，LAN802可执行安全一致性过 程，例如拜占庭协议，以收集其他媒体设备806-810的内容使用计数器。
在LAN802的媒体设备806-812交换完内容使用计数器之后，每个 媒体设备处理该信息以确定给定的媒体内容是否可被使用或消费。在 步骤1012， LAN802的每个媒体设备806-812计算或标识在媒体设备的内 容使用计数器之中具有最高值的最高内容使用计数器。接着，在步骤 1014,LAN802的每个媒体设备806-812用最高内容使用计数器来更新其 内容使用计数器。
在步骤1016， LAN802的启动媒体设备812确定最高内容使用计数 器是否小于LAN802的最大容许内容使用计数器。在步骤1018，响应于 确定最高内容使用计数器是小于最大容许内容使用计数器，启动媒体 设备812向其他媒体设备806-812通知该媒体内容将要被使用或消费，并 且在步骤1020，运转1000结束。或者，在步骤1022，响应于确定最高
内容使用计数器是大于或等于最大容许内容使用计数器，启动媒体设 备812向启动媒体设备的用户通知该媒体内容将不会被使用或消费，并 且在步骤1020，运转1000结束。
应当注意，每个媒体设备806-812锁定内容使用计数器，以防止在 数字安全系统800确定内容使用计数器的值是否允许使用或消费给定媒体内容的时侯，计数器发生改变。在将内容使用计数器与其他媒体
设备的内容使用计数器进行交换之前，每个媒体设备806-812锁定与给 定媒体内容相关联的内容使用计数器。该锁定步骤必须在步骤1012计
算出最高内容使用计数器之前的一段时间进行。接着，响应于确定最 高内容使用计数器是小于最大容许内容使用计数器，每个媒体设备
806-812解除锁定并更新其内容使用计数器。可在步骤1018的通知之前、 在步骤1018的通知期间、或者如图10所示，在步骤1024，进行该解除 锁定和/或更新步骤。
还应当注意，如步骤1008和1010所示，在将内容使用计数器与其 他媒体设备的内容使用计数器进行交换之前，每个媒体设备806-812用 与媒体内容相关联的内容密钥，或与局域网相关联的网络组密钥来对 内容使用计数器进行加密。网络组密钥的一个实例是家庭网组密钥 (HNGK)。在接收到内容使用计数器之后，每个媒体设备806-812可 用与媒体内容相关联的内容密钥，或与局域网相关联的网络组密钥来 对其他媒体设备的每个内容使用计数器进行解密。只有那些有内容密 钥和/或网络组密钥的媒体设备才能够对由内容密钥加密后的内容使用 计数器进行解密。每个媒体内容的内容所有者和/或每个局域网的网络 管理员可以分别管理谁访问了相应的内容密钥或网络组密钥。所以， 内容所有者和/或网络管理员可以通过控制内容密钥的分发，来管理和
控制哪些媒体设备能够影响在步骤1016和后续步骤中最大容许内容使 用计数器的确定，于是增加了数字安全系统800的附加安全层。
尽管已示出并描述了本发明的优选实施例，应当理解，本发明并 不受限于此。在不偏离如所附权利要求所定义的本发明的精神和范围 的前提下，本领域的技术人员能够实施各种修改、改变、变化、替换 和等价物。
2权利要求
1.一种特定媒体设备的方法，所述特定媒体设备用于跟踪分发到局域网中媒体设备的内容的使用，每个媒体设备具有与媒体内容相关联的内容使用计数器，所述方法包括将与所述特定媒体设备的所述媒体内容相关联的内容使用计数器与所述局域网中其他媒体设备的内容使用计数器进行交换；标识在所述特定媒体设备和所述其他媒体设备的内容使用计数器之中具有最高值的最高内容使用计数器；确定所述最高内容使用计数器是否小于所述局域网的最大容许内容使用计数器；以及响应于确定所述最高内容使用计数器是小于所述最大容许内容使用计数器，向所述其他媒体设备通知所述媒体内容将要被使用。
2. 如权利要求l所述的方法，还包括在将所述内容使用计数器与所述其他媒体设备的所述内容使用计 数器进行交换之前，锁定与所述特定媒体设备上的所述媒体内容相关 联的所述内容使用计数器；以及响应于确定所述最高内容使用计数器是小于所述最大容许内容使 用计数器，解除锁定所述内容使用计数器并更新所述内容使用计数器。
3. 如权利要求l所述的方法，还包括在将所述内容使用计数器与所述其他媒体设备的所述内容使用计 数器进行交换之前，使用与所述媒体内容相关联的内容密钥对所述特 定媒体设备的所述内容使用计数器进行加密；以及使用与所述媒体内容相关联的所述内容密钥对所述其他媒体设备 的每个内容使用计数器进行解密。
4. 如权利要求l所述的方法，还包括在将所述内容使用计数器与所述其他媒体设备的所述内容使用计数器进行交换之前，使用与所述局域网相关联的网络组密钥对所述特 定媒体设备的所述内容使用计数器进行加密；以及使用与所述局域网相关联的所述网络组密钥对所述其他媒体设备 的每个内容使用计数器进行解密。
5. 如权利权利要求1所述的方法，还包括响应于确定所述最高 内容使用计数器是大于、或等于所述最大容许内容使用计数器，向所 述特定媒体设备的用户通知所述内容将不会被使用。
6. —种特定媒体设备，用于跟踪分发到局域网中媒体设备的内容 的使用，每个媒体设备具有与媒体内容相关联的内容使用计数器，所 述特定媒体设备包括存储器，被配置为存储与所述特定媒体设备的所述媒体内容相关 联的内容使用计数器；收发信机，被配置为将所述特定媒体设备的所述内容使用计数器 发送到所述局域网中的其他媒体设备，并且接收所述其他媒体设备的 内容使用计数器；以及处理器，被配置为标识在所述特定媒体设备和所述其他媒体设备 的内容使用计数器之中具有最高值的最高内容使用计数器，并且确定 所述最高内容使用计数器是否小于所述局域网的最大容许内容使用计 数器，其中，如果所述最高内容使用计数器小于所述最大容许内容使用 计数器，则所述收发信机向所述其他媒体设备通知媒体内容将要被使 用。
7. 如权利要求6所述的特定媒体设备方法，其中 在所述收发信机将所述内容使用计数器发送到所述其他媒体设备之前，所述处理器锁定与所述特定媒体设备上的所述媒体内容相关联 的所述内容使用计数器，如果所述最高内容使用计数器小于所述最大容许内容使用计数器，则所述处理器解除锁定所述内容使用计数器并更新所述内容使用 计数器。
8. 如权利要求6所述的特定媒体设备方法，还包括 所述处理器在将所述内容使用计数器与所述其他媒体设备的所述内容使用计数器进行交换之前，使用与所述媒体内容相关联的内容密 钥对所述特定媒体设备的所述内容使用计数器进行加密；以及所述处理器使用与所述媒体内容相关联的所述内容密钥对所述其 他媒体设备的每个内容使用计数器进行解密。
9. 如权利要求6所述的特定媒体设备方法，还包括 所述处理器在将所述内容使用计数器与所述其他媒体设备的所述内容使用计数器进行交换之前，使用与所述局域网相关联的网络组密 钥对所述特定媒体设备的所述内容使用计数器进行加密；以及所述处理器使用与所述局域网相关联的所述网络组密钥对所述其 他媒体设备的每个内容使用计数器进行解密。
10. 如权利要求6所述的特定媒体设备方法，还包括 用户接口，被配置为如果所述最高内容使用计数器大于、或等于所述最大容许内容使用计数器，则该用户接口向所述特定媒体设备的 用户通知所述内容将不会被使用。
全文摘要
一种媒体设备(812)，用于跟踪分发到局域网(802)中媒体设备(806-812)的内容的使用。媒体设备(812)的存储器(906)存储与媒体设备(812)的媒体内容(816)相关联的内容使用计数器(918)。媒体设备(812)的收发信机(902)在局域网(802)的其他媒体设备(806-810)之中传送媒体使用计数器(918)。媒体设备(812)的处理器(904)标识在特定媒体设备(812)和其他媒体设备(806-810)的内容使用计数器(918)之中具有最高值的最高内容使用计数器。处理器(904)还确定最高内容使用计数器是否小于局域网(802)的最大容许内容使用计数器。如果最高内容使用计数器小于最大容许内容使用计数器，收发信机(902)向其他媒体设备(806-812)通知媒体内容(816)将要被使用。
文档编号H04Q7/24GK101310544SQ200680042435
公开日2008年11月19日 申请日期2006年11月1日 优先权日2005年11月14日
发明者霍萨姆·H·阿布-阿玛拉 申请人:摩托罗拉公司