与设备无关的密码信息管理的制作方法
【专利摘要】本发明涉及与设备无关的密钥信息管理。提供了一种基于账户的DRM系统来分发内容。该系统包括与特定账户相关联的若干设备。还包括一组DRM计算机,用于接收要求在与特定账户相关联的设备上存取特定内容的请求。DRM计算机组为设备产生若干密钥,每一个特定密钥允许该特定设备存取特定设备上的特定内容。DRM计算机组通过网络向与特定账户相关联的设备发送特定内容及所产生的密钥。网络是局域网、广域网或网际网。DRM计算机组将内容和密钥发送到用于将内容及密钥分发给与账户相关联的其他设备的设备。DRM计算机组采用一种在将密钥传送到其相关设备的过程中以及在该设备上使用密钥的过程中使用的格式来单独加密每个密钥。
【专利说明】与设备无关的密码信息管理
[0001]本申请是申请日为2007年5月2日申请号为200780024998.7(国际申请号:PCT/US2007/068081)发明名称为“与设备无关的密码信息管理”的发明专利申请的分案申请。
【技术领域】
[0002]本发明涉及与设备无关的密码信息管理。
【背景技术】
[0003]现今,对很多企业来说,保护在网络上各计算机之间传送的数字内容都是至关重要的。企业尝试通过实施某些形式的数字版权管理(Digital Right Management, DRM)处理来确保这种保护的安全性。DRM处理通常包括对内容进行加密(例如加密二进制形式的内容),以便将使用局限于那些已被授予该内容的权利的人。
[0004]密码术是用于保护在网络中载运的数据的传统方法。在其典型应用中,密码术防止相互信任的两方之间进行的通信因为针对载运数据的攻击而失窃。但对现今的很多数据文件传送应用来说(例如对音频或视频内容传送来说),这种范例发生了转变,而这是由于接收内容的一方(也就是“接收方”)有可能尝试破坏提供内容的一方(也就是“分发方”)应用于该内容的DRM加密。此外,随着网络渗透攻击的激增,第三方有可能可以访问接收方计算机,并且由此存取受保护的内容。
[0005]在现今很多的DRM系统中,最为脆弱的安全性环节并不是已加密数据,而是密码密钥管理和处理。举个例子,一种较为成功的DRM系统是在线分发音乐,该系统需要接收方计算机将每一段加密音乐的未加密密钥保存在经过加密的“密钥包”中。
[0006]这种方法存在两个缺陷。首先,该方法是对密钥包而不是包含在密钥包中的密钥进行加密,由此会使密钥在不同时刻易于受到潜在攻击。例如,在接收方计算机每次需要存储某个内容的新密钥时,该计算机都必须解密整个密钥包,将新密钥添加到密钥包中,然后则重新加密该密钥包。同样,为了播放内容,接收方计算机必须解密整个密钥包,检索该内容的密钥,并且使用检索到的密钥来解密内容。无论是哪一种情形,所有密钥都会在密钥包解密时暴露于潜在的攻击者。
[0007]其次,这种现有的DRM方法允许不同设备为其密钥包使用不同的格式。例如,它允许接收方计算机与计算机下载其音乐时送抵的音乐播放器使用不同的密钥包格式。这种将不同密钥包格式用于不同设备的处理进一步暴露了用于对设备间传送的内容进行解密的密钥。例如,当接收方将音乐播放器的音乐库同步于计算机的音乐库时,计算机必须解密其密钥包,并且将已同步内容及其关联的密钥传送到音乐播放器。然后,音乐播放器将接收到的内容保存在存储设备中,并且以播放器特定格式来将接收到的密钥存储在播放器密钥包中。在这个传送过程中,所有密钥都会暴露于潜在攻击者。
[0008]由此,在本领域中需要一种用于在DRM处理的不同阶段最小化加密密钥暴露程度的DRM系统。在将密码密钥本地存储于使用此类密钥来解密和存取内容的设备的过程中,该系统应该将暴露程度减至最少。在接收设备存取加密内容的同时,该系统还应该最小化密码密钥的暴露程度。此外,在接收方在两个设备之间传送内容的同时,该系统也应该最小化密码密钥的暴露程度。
【发明内容】
[0009]某些实施例提供了一种基于账户的DRM系统来分发内容。该系统包括与某个特定账户相关联的若干个设备。此外,该系统还包括一组DRM计算机,其中该计算机组接收要求在与特定账户相关联的设备上存取特定内容的请求。然后,DRM计算机为这些设备产生若干个密钥,其中每一个特定设备的每一个特定密钥都允许该特定设备存取特定设备上的特定内容。
[0010]某些实施例的DRM计算机组通过网络来向与特定账户相关联的设备发送特定内容以及所产生的密钥。该网络是局域网、广域网或网际网,例如因特网。在这其中的某些实施例中,DRM计算机组将内容和密钥发送到一个用于将内容以及一个或多个密钥分发给与所述账户相关联的其他设备的设备(例如计算机)。在某些实施例中,DRM计算机组采用了一种在将密钥传送到其相关联设备的过程中以及在该设备上使用所述密钥的过程中使用的格式来单独加密每一个密钥。
[0011]某些实施例提供了一种用于向用户分发内容的数字版权管理(DRM)方法。用户具有至少两个用于存取内容的设备。该方法向用户发送受保护格式的内容。从一组DRM计算机中,该方法还向用户发送(I)能使用户在第一设备上存取受保护内容的第一密钥,以及
(2)能使用户在第二设备上存取受保护内容的第二密钥。
[0012]在某些实施例中,第一和第二密钥是用于解密内容的。在其他实施例中,第一和第二密钥是用于解密另一个或其他那些用于加密内容的密钥的。在某些实施例中,该方法是在将第一和第二密钥发送到第一和第二设备之前单独加密第一和第二密钥的。
[0013]此外,在某些实施例中,第一设备是用户计算机,并且第二设备是将其内容与用户计算机同步的另一个设备(例如便携媒体播放器)。在这其中的某些实施例中,用户计算机
(I)接收内容以及第一和第二密钥,并且(2)随后在第二设备将其内容与用户计算机同步时将接收到的内容以及第二密钥提供给第二设备。在某些实施例中,用户计算机将内容和第二密钥以与其接收该内容和第二密钥的格式相同的保护格式提供给第二设备。
[0014]在向用户发送内容和密钥之前,在某些实施例中,该方法(I)接收来自用户获取内容的请求,以及(2)在DRM计算机组上产生第一和第二密钥。在某些实施例中,用户具有两个以上的用于存取内容的设备。在某些实施例中,在接收到用户对内容的请求之后,该方法在DRM计算机组上为用户产生两个以上的密钥。在这种情况下,所产生的每一个特定密钥都能使用户在与该用户相关联的特定设备上存取所述内容。
[0015]此外,在这其中的某些实施例中,该方法以一种在将密钥传送到与之相关联的设备的过程中使用的格式,以及在将密钥存储于这一设备并在其上使用密钥的过程中使用的格式来单独加密所产生的每一个密钥。在这些实施例中,任何密钥的传输、存储或使用都不需要解密DRM计算组为其他设备或内容产生的别的密钥。
[0016]在某些实施例中,第一设备将其用于解密DRM内容的加密密钥保存在第一密钥包中,而第二设备则将用于解密DRM内容的加密密钥保存在第二密钥包中。在某些实施例中,第一和第二密钥包具有相同的格式。当这些设备之一与其他设备同步其内容和密钥时,通过使用相同格式的密钥包,可以将在第一设备与第二设备之间传送内容和密钥期间的密钥暴露降低最低。由于这种处理取消了在两种不同的密钥包格式之间转换数据所导致的操作,因此,暴露程度将会减至最低。在某些实施例中,第一和第二设备加密其相应的密钥包,而在其他实施例中,它们并未加密其相应加密包,而是仅仅将单独加密的密钥保存在这些密钥包中。
[0017]某些实施例中的DRM计算机组还将其他的DRM材料连同密码密钥一起发送。在某些实施例中,这些其他DRM数据包括与DRM系统有关的数据,例如DRM类型、规则等等。在某些实施例中,其他DRM材料还包括与密码密钥有关的数据(例如密钥特性等等)。此外,其他实施例还可以包括其它类型的DRM材料。
【专利附图】
【附图说明】
[0018]本发明的新颖性特征是在附加权利要求中阐述的。但出于说明目的,在以下附图中阐述了若干实施例。
[0019]图1描述的是某些实施例中的基于账户的DRM系统。
[0020]图2描述的是一个用于用户计算机的传输密钥包的实例。
[0021]图3描述的是一个包含了设备M有可能在同步操作过程中从用户计算机接收的所有密码密钥的传输密钥包。
[0022]图4描述的是在某些实施例中,用于在特定设备上存取特定内容的密码密钥(I)是在DRM服务器组上产生和存储的,以及(2)是保存在特定设备上的。
[0023]图5概念性地描述了一个由DRM服务器组执行、以便处理来自用户账户的要求购买特定内容或是获取特定内容许可的请求的处理。
[0024]图6概念性地描述了一个在某些实施例中由DRM服务器组在其检测到将新设备添加于用户账户时执行的处理。
[0025]图7概念性地描述了一个由用户计算机在其需要为特定用户账户购买特定内容或是获取特定内容许可的时候执行的处理。
【具体实施方式】
[0026]出于说明目的,在后续描述中阐述了很多细节。但是,本领域普通技术人员将会了解,本发明是可以在没有使用这些具体细节的情况下实施的。在其他实例中,众所周知的结构和设备将会以框图形式显示,以免不必要的细节与关于本发明的描述相混淆。
[0027]1.概述
[0028]某些实施例提供了一种用于向用户分发内容的数字版权管理(DRM)方法。用户具有至少两个用于存取内容的设备。该方法向用户发送受保护格式的内容。从一组DRM计算机中,该方法还向用户发送(I)能使用户在第一设备上存取受保护内容的第一密钥,以及
(2)能使用户在第二设备上存取受保护内容的第二密钥。
[0029]在某些实施例中,第一和第二密钥是用于解密内容的。在其他实施例中,第一和第二密钥是用于解密另一个或其他那些用于加密内容的密钥的。在某些实施例中,该方法是在将第一和第二密钥发送到第一和第二设备之前单独加密第一和第二密钥的。
[0030]此外,在某些实施例中,第一设备是用户计算机,并且第二设备是将其内容与用户计算机同步的另一个设备(例如便携媒体播放器)。在这其中的某些实施例中,用户计算机
(I)接收内容以及第一和第二密钥,并且(2)随后在第二设备将其内容与用户计算机同步时将接收到的内容以及第二密钥提供给第二设备。在某些实施例中,用户计算机将内容和第二密钥以与其接收该内容和第二密钥的格式相同的保护格式提供给第二设备。
[0031]在向用户发送内容和密钥之前,在某些实施例中,该方法(I)接收来自用户对获取内容的请求,以及(2)在DRM计算机组上产生第一和第二密钥。在某些实施例中,用户具有两个以上的用于存取内容的设备。在某些实施例中,在接收到关于内容的用户请求之后,该方法在DRM计算机组上为用户产生两个以上的密钥。在这种情况下,所产生的每一个特定密钥都能使用户在与用户相关联的特定设备上存取所述内容。
[0032]此外,在这其中的某些实施例中,该方法以一种在将密钥传送到与之相关联的设备的过程中使用的格式,以及在将密钥存储于这一设备并在其上使用密钥的过程中使用的格式来单独加密所产生的每一个密钥。在这些实施例中,任何密钥的传输、存储或使用都不需要解密DRM计算组为其他设备或内容产生的别的密钥。
[0033]在某些实施例中,第一设备将其用于解密DRM内容的加密密钥保存在第一密钥包中,而第二设备则将用于解密DRM内容的加密密钥保存在第二密钥包中。在某些实施例中,第一和第二密钥包具有相同的格式。当这些设备之一与其他设备同步其内容和密钥时,通过使用相同格式的密钥包,可以将在第一设备与第二设备之间传送内容和密钥期间的密钥暴露降低最低。由于这种处理取消了在两种不同的密钥包格式之间转换数据所导致的操作,因此,暴露程度将会减至最低。在某些实施例中,第一和第二设备加密其相应的密钥包,而在其他实施例中,它们并未加密其相应加密包,而是仅仅将单独加密的密钥保存在这些密钥包中。
[0034]某些实施例中的DRM计算机组将其他的DRM材料连同密码密钥一起发送。在某些实施例中,这些其他DRM数据包括与DRM系统有关的数据,例如DRM类型、规则等等。在某些实施例中,其他DRM材料还包括与密码密钥有关的数据(例如密钥特性等等)。此外,其他实施例还可以包括其它类型的DRM材料。
[0035]I1.基于账户的DRM系统
[0036]图1描述了某些实施例中的基于账户的DRM系统100。该DRM系统以一种确保合法使用内容的方式来分发内容。如图1所示,DRM系统100包括一组用于将内容分发到与用户账户B相关联的若干设备的DRM服务器110。该图描述了与两个账户、即账户I和账户B相关联的两组设备。用于账户I的设备组包括用户计算机115以及若干个便携媒体设备130。在图1所示的实例中,用于两个不同用户账户的设备是互斥的。这在某些实施例中可能是不成立的。某些实施例可以允许一个设备(例如一台用户计算机等等)为两个不同的用户账户处理DRM内容。
[0037]DRM服务器组110经由计算机网络125与用户计算机115和120相连,其中举例来说,该计算机网络可以是局域网、广域网、网际网(例如因特网)等等。在某些实施例中,通过该连接,用户计算机115和120与DRM服务器组110进行通信,以便购买、获取许可、更新或以其他方式获取内容。虽然在某些实施例中,DRM服务器组110向用户计算机销售内容或是发放内容许可,但在其他实施例中,这个服务器组并不销售或是发放内容许可。例如,在某些实施例中,DRM服务器组110只将内容分发到授权计算机,而没有任何金融目的。[0038]在某些实施例中,DRM服务器组110包括内容缓存服务器,其中当在别的DRM服务器110确定计算机115或120可以获取内容之后,该内容缓存服务器将会经由网络125来向用户计算机115或120提供加密内容。在某些实施例中,系统100使用了多个缓存服务器而在网络上的不同位置缓存内容,以便提高通过网络下载内容的速度和效率。
[0039]如上所述,与特定账户相关联的用户计算机115或120与DRM服务器组110进行通信,以便通过网络125来为特定账户购买、获取许可、更新或以其他方式获取内容。在某些实施例中,DRM服务器组110 (I)以加密格式来提供每一个被请求的内容,以及(2)为关联于请求账户的每一个设备提供对加密内容进行解密的密码密钥。
[0040]图1描述了用于将一个加密内容(内容W)分发给与两个不同用户账户I和B相关联的设备的DRM服务器组110的实例。如图所示,DRM服务器组将加密内容W同时分发给用户计算机115和120并且附带分发了一组用于在与用户账户I和B相关联的每一个设备上存取该内容的密码密钥。
[0041]DRM服务器组是以一种加密格式来分发内容W以及每一组密码密钥的。此外,在某些实施例中,该组中的每一个密码密钥都是单独加密的。某些实施例的DRM服务器组110是在一个传输密钥包中提供密码密钥组的。密钥包是一个根据特定格式来存储密码密钥的数据存储结构。在某些实施例中,其中为了进行传输而对传输密钥包整体进行了加密。而在其他实施例中则并没有为了执行传输而对密钥包进行加密。
[0042]图2描述的是用于用户计算机120的传输密钥包205的一个实例。如图所示,用户计算机120从传输密钥包205中提取每一个单独加密的密钥,并且将这些密钥保存在其保持的密钥包210中。密钥包210中的密钥与密钥包205中的密钥是相同的(也就是说,它们是以与其在密钥包205中出现时相同的格式被单独加密的)。此外,在某些实施例中,密钥包205和210是整体加密的,而在其他实施例中,这些密钥包并未加密。
[0043]图1显示的是每一个用户计算机115或120都会存储接收到的加密内容W及其接收的用于存取该内容的密码密钥。此外,每一个用户计算机115或120还会将接收到的加密内容W以及用户计算机为便携媒体设备接收的密码密钥提供给与之同步的每一个便携媒体设备130。
[0044]举个例子,如图1所示,用户计算机115将接收到的加密内容连同用于在设备2上存取加密内容W的密码密钥一起提供给用于账户I的设备2。另一方面,用户计算机120将接收到的加密内容W连同用于在设备Z上存取加密内容W的密码密钥一起提供给用于账户B的设备Z。
[0045]在某些实施例中,在同步操作之后,每一个用户计算机将会删除其提供给另一个设备的密码密钥,而在其他实施例中,每一个用户计算机会继续存储其为与该计算机同步内容的设备提供的密码密钥。
[0046]在某些实施例中,每一个同步设备都在密钥包中存储它从与之关联的用户计算机接收的密码密钥。图3描述了用于与账户B相关联的设备之一(设备M)的密钥包的实例。特别地,该图描述的是一个包含了设备M可能在同步操作过程中从用户计算机120接收的所有密码密钥的传输密钥包305。如图所示,设备M从传输密钥包305中提取每一个单独加密的密钥,并且将这些密钥保存在其保持的密钥包310中。密钥包310中的密钥与密钥包305中的密钥是相同的(也就是说,它们是以与其在密钥包305中出现时相同的格式被单独加密的)。此外,在某些实施例中,密钥包305和310是整体加密的,而在其他实施例中,它们并未加密。
[0047]在某些实施例中,密钥包205、210、305和310全都具有相同的格式。当在DRM服务器组、用户计算机以及与账户相关联的其他设备之间传送密码密钥的过程中,通过使用带相同格式的密码包,可以将密钥暴露程度降至最低。由于使用相同格式取消了在两种不同的密钥包格式之间转换数据所导致的操作,因此,暴露程度将会减至最低。此外,单独加密每一个密钥的优点还在于设备可以解密和使用用于特定内容的任何加密密钥,而不用解密对于特定内容不为设备所需要的别的加密密钥。
[0048]图4描述的是在某些实施例中,用于在特定设备上存取特定内容的密码密钥(I)是在DRM服务器组上产生和存储的,以及(2)是保存在该特定设备上的。特别地,该图描述的是这样一种DRM架构,在该DRM架构中,对于DRM服务器组110直接或间接分发给与每一个用户账户相关联的每一个设备的每一个内容来说,该服务器组将会产生并且存储用于该内容的密码密钥。如该图所示,初始接收到用于每一个账户的DRM内容的用户计算机115和120至少会存储用于在用户计算机上存取每一个内容的密码密钥。如上所述,在某些实施例中,每一个用户计算机还会存储用于在与计算机同步的每一个设备上存取接收内容的密码密钥。
[0049]如图4所示,每一个设备都会存储用于存取其被允许存取的每一个内容的密码密钥。在某些实施例中,DRM服务器组为特定设备产生的每一个密码密钥都用于在特定设备上解密内容。在其他实施例中,每一个此类密钥都是用于解密可供特定设备用以解密内容的另一个密钥或其他密钥的。
[0050]图1和4描述了用于从DRM服务器组接收内容和密码密钥、并且将内容和密码密钥与关联于账户I和B的其他设备相同步的用户计算机115和120。本领域普通技术人员将会了解,某些实施例可以具有直接通过通信网络接收来自DRM服务器组110的内容的多个设备(例如计算机、便携电子或通信设备等等)。此外,本领域普通技术人员还会了解,用户计算机115或120可以内置在任何类型的设备中,例如消费类或商用电子设备、家庭媒体中心或集线器等等。
[0051]如上所述,某些实施例的DRM服务器组是将其他DRM材料连同密码密钥一起发送的。在某些实施例中,这些其他DRM数据包括与DRM系统有关的数据,例如DRM类型、规则等等。在某些实施例中,其他DRM材料还包括与密码密钥有关的数据(例如密钥特性等等)。此外,其他实施例还可以包括其它类型的DRM材料。
[0052]II1.密钥生成和分发流程
[0053]图5?7概念性地描述了用于在某些实施例中产生密钥并且分发内容和密钥的若干个处理。这些处理是在购买特定内容或是获取特定内容许可的上下文中描述的。本领域技术人员将会了解,在其他实施例中,这些处理是可以在没有任何金融目的或交易的情况下执行的。
[0054]图5概念性地描述了一个由DRM服务器组执行,以便处理来自用户账户的要求购买特定内容或是获取特定内容许可的请求的处理。该内容可以是任何形式的内容,例如音乐文件、视频文件、文档、图像等等。如图所示,处理500是在其接收到(在505)关于特定内容的请求的时候开始的,其中该请求是从为特定用户账户同步所有密钥和内容的用户计算机接收的。
[0055]然后,该处理将会执行(在510) —组一个或多个操作,以便完成购买或许可交易。接下来,该处理识别(在515)与特定用户账户相关联的所有设备。然后,在520,该处理将会为每一个与特定用户账户相关联的设备产生一个密码密钥。这个用于每一个特定设备的密码密钥即为允许特定设备存取特定内容的加密版本的密钥。
[0056]然后,在525,该处理将会存储其在520产生的每一个密码密钥。接下来,在530,该处理将会单独加密其在520产生的每一个密钥。在530,该处理还会将单独加密的密钥保存在密钥包中。在某些实施例中,处理500首先执行530的加密操作,然后执行525的存储操作。在535,该处理将530上产生的密钥包发送到用户计算机,然后该处理结束。在某些实施例中,如上所述,该处理还会将其他DRM材料连同密钥包一起发送(在535)或是在密钥包内部发送其他DRM材料。
[0057]图6概念性地描述了一个在某些实施例中由DRM服务器组在其检测到将新设备添加于用户账户时执行的处理。如图所示,处理600是在其检测到新设备正被添加到用户账户中的时候启动的(在605)。该处理可以在新用户账户最初被建立的时候检测到这种情况,或者也可以在用户计算机尝试与新设备同步内容的时候检测到这种情况。
[0058]在610,该处理确定是否可以将新设备添加到用户账户中。在某些实施例中,该判定包括确定是否已经在用户账户中添加了最大数量的设备。如果该处理确定(在610)不能添加设备,那么该处理会在不向用户账户中添加该设备的情况下结束。
[0059]否则,该处理将会识别(在615)先前为该用户账户购买或许可的所有内容。然后,对于先前购买或许可的每一个内容,该处理将会产生(在620)—个用于新设备的密钥。之后,该处理将会存储(在625)所产生的每一个密钥。接下来,该处理将会单独加密(在630)其在620产生的每一个密钥。在某些实施例中,处理600首先加密每一个密钥,然后则存储经过加密的密钥(也就是首先执行630的加密操作,然后执行625的存储操作)。
[0060]然后,在630,该处理将单独加密的密钥保存在传输密钥包中,并且之后会将该密钥包发送到(在635)与新设备相关联的用户计算机。在某些实施例中,如上所述,该处理还会与密钥包一起或者在密钥包内部发送(在635)其他DRM材料。在635之后,该处理结束。
[0061]图7概念性地描述了一个由用户计算机在其需要为特定用户账户购买特定内容或是获取特定内容许可的时候执行的处理。如图所示,该处理是在用户计算向DRM服务器组发送要求为特定用户账户购买或者许可特定内容的请求的时候开始的(在705)。接下来,在710,该处理将会执行一个或多个操作,以便完成购买或许可事务。
[0062]然后,在715,该处理接收加密格式的被请求内容,以及包含了用于每一个设备的密码密钥的传输密钥包,其中所述每一个设备都与特定用户账户相关联,并且可以存取加密内容。在某些实施例中,密码密钥是在传输密钥包中单独加密的。
[0063]在720,该处理器从传输密钥包中提取密码密钥,并且将这些密钥保存在用户计算机的密钥包中。在某些实施例中,传输密钥包和计算机密钥包具有相同格式。该处理还会标记(在720)其为关联于特定用户账户的每一个特定同步设备所保持的记录。这个标记处理旨在向接下来与特定设备同步的用户计算机告知该用户计算机需要将新接收的加密内容以及一个或多个密码密钥下载到所述特定设备。在720之后,该处理结束。
[0064]IV.加密[0065]如上所述,本发明的若干实施例提供了用于分发内容的DRM处理和系统。这些处理和系统是根据密码密钥来加密和解密内容的。内容加密处理需要根据一个或多个密码密钥而将内容从可解译形式(称为明文)转换成不可解译形式(称为密文)。而内容解密处理则需要通过使用一个或多个密码密钥而将加密内容转换成可解译形式。
[0066]加密密钥是一个用于控制密码算法操作的信息。在对称加密技术中,用于加密内容的密钥与用于解密内容的密钥是相同的。在非对称加密技术中,为加密和解密内容使用的并不是同一个密钥。举个例子,在一个方案中,加密设备使用了接收方的公钥来加密内容,而接收方则使用了其私钥来对加密内容进行解密。
[0067]本文描述的实施例的很多特征都可以按照对称或非对称加密处理来实施。此外,在某些实施例中,加密处理被应用于二进制格式的内容。虽然人类很难解密那些未加密的二进制格式的内容,但是它可以被应用或操作系统解密。另一方面,在没有首先通过使用一个或多个密码密钥解密的情况下,经过加密的二进制格式的内容理论上是不应该被任何应用或操作系统解密的。
[0068]虽然在这里参考众多具体细节而对本发明进行了描述,但是本领域普通技术人员应该了解,在不脱离发明实质的情况下,本发明是可以在其他具体形式中实施的。例如,上述若干实施例将便携设备描述成是仅仅通过其与其他用户计算机的同步来接收DRM内容的设备。但是,本领域普通技术人员将会理解,在某些实施例中,便携播放器可以直接通过网络访问一个或多个DRM服务器,以便在不与其他那些可以获取和存取DRM内容的中间计算机对接的情况下获取DRM内容。由此,本领域普通技术人员将会了解,本发明并不受前述说明性细节的限制,相反,本发明是由所附权利要求定义的。
【权利要求】
1.一种方法,包括: 从第一设备请求内容; 在第一设备处,接收(i)所述内容,(ii)用于在第一设备上存取所述内容的第一密钥,和(iii)用于在第二设备上存取所述内容的第二密钥,第二密钥不同于第一密钥;以及从第一设备向第二设备提供所述第二密钥而不是第一密钥,以便允许第二设备存取所述内容。
2.如权利要求1所述的方法,其中,第一密钥和第二密钥在第一数据存储结构中被接收。
3.如权利要求2所述的方法,还包括从所述第一数据存储结构中提取第一密钥和第二密钥。
4.如权利要求2所述的方法,还包括在第一设备处将第一密钥存储在第二数据存储结构中。
5.如权利要求4所述的方法,其中,第二密钥连同用于在第二设备上存取其它内容的其它密钥一起在第三数据存储结构中被提供。
6.一种方法,包括: 从内容服务器请求内 容; 接收(i)所述内容;和(ii)存储用于在第一设备上存取所述内容的第一密钥和用于在第二设备上存取所述内容的第二密钥的数据存储结构,第二密钥不同于第一密钥;以及向第二设备分发所述第二密钥而不是第一密钥,以便允许第二设备存取所述内容。
7.如权利要求6所述的方法,还包括:在将第二密钥提供给第二设备之前,将第二密钥存储在传输密钥包中。
8.如权利要求7所述的方法,其中,从第一设备提供所述第二密钥的步骤还包括在所述传输密钥包中将所述第二密钥提供给第二设备。
9.如权利要求8所述的方法,其中,所述数据存储结构和所述传输密钥包具有相同的格式。
10.如权利要求6所述的方法,其中,第一密钥和第二密钥两者都被单独地加密。
11.一种用于提供内容的方法,所述方法包括: 在第一设备处,接收(i)内容,(ii)用于在第一设备上存取所述内容的第一密钥,和(iii)用于在第二设备上存取所述内容的第二密钥; 在第一设备上存储所述内容和第一密钥;和 将所述内容和第二密钥提供给第二设备。
12.如权利要求11所述的方法,其中,所述内容、第一密钥和第二密钥是在数据存储结构中接收的。
13.如权利要求11所述的方法,其中,所述内容和第二密钥在数据存储结构中被提供给第二设备。
14.如权利要求11所述的方法,还包括使用第一密钥来在第一设备上存取所述内容。
15.如权利要求11所述的方法,其中,第二设备还用于使用第二密钥来在第二设备上存取特定内容。
16.—种方法,包括:在与用户相关联的第一设备处,请求内容; 接收(i)所述内容和(ii)存储用于在第一设备上存取所述内容的第一被单独加密的密钥和用于在与所述用户相关联的第二设备上存取所述内容的第二被单独加密的密钥的数据存储结构,其中,当第二设备与第一设备同步时,第二被单独加密的密钥和所述内容被分发给第二设备; 从所述数据存储结构提取第一被单独加密的密钥; 将所述内容和第一被单独加密的密钥以与第一被单独加密的密钥存储在所述数据存储结构中的格式相同的格式存储在第一设备的存储装置上。
17.如权利要求16所述的方法,还包括在分发第二被单独加密的密钥之前从所述数据存储结构提取第二被单独加密的密钥。
18.如权利要求17所述的方法,还包括通过将第二被单独加密的密钥分发给第二设备来与第二设备同步。
19.如权利要求17所述的方法,其中,第一设备是计算机并且第二设备是媒体播放器。
20.一种设备,包括用于执行如权利要求1-19中任一项所述的方法的装置。
【文档编号】G06F21/10GK103455734SQ201310330306
【公开日】2013年12月18日 申请日期:2007年5月2日 优先权日:2006年5月3日
【发明者】A·J·法鲁吉亚, G·法索利, J-F·林德奥 申请人:苹果公司