专利名称:更新撤销列表以抵制对方的制作方法
背景技术:
1.发明领域本发明涉及用户电子技术领域,尤其涉及用于控制访问版权材料的方法。
2.现有技术说明数字记录具有独特的属性,即所记录资料的拷贝具有与原始载体相同的质量。因此,对一种有效拷贝保护方案的需要对于被数字化记录的版权资料的保护尤其紧迫。已经开发或推荐了多种以加密形式记录内容资料的保护方案。也开发和推荐了其它的保护方案,记录一个用于控制内容资料的回放或复制的加密密钥或标签。
在多种拷贝保护方案中,在顺从设备之间分配密钥,并加密内容资料以便仅可以用一个特定顺从设备中的唯一密钥来解密。例如,一个用于拷贝保护资料的访问控制系统可以首先执行与特定顺从设备之间的密钥交换,使用例如Diffie-Hellman密钥交换技术,然后使用所交换的密钥加密一个用于解密内容资料的密钥。以这种方式,仅预定的接收者能够解密内容资料。通常,访问控制系统并不参与密钥交换直到特定顺从设备标识自身之后,而且,在大多数情况下,一般通过一个可以被验证的加密签名鉴别这个标识。依靠接收设备标识的其它的保护方案在现有技术中是公知的。
依靠接收机的唯一标识符即使是通过鉴定一个公用密钥来限制的唯一标识符的安全系统的对手可以通过模仿一个正当设备来抵制该系统。即,复制一个设备的技术在现有技术中是公知,以致在操作上无法区别出原始载体。一种普通的未授权的商业实际行为是设备的“黑市”或“盗版”仿制品的销售,该设备用于获得对被保护材料的访问权。
为了抵制对手,制造商公布撤销列表,详细地列举已经被确定不再有效的每个标识符。原理上,访问控制系统从预定的接收设备接收一个标识符,比较这个标识符和所有无效标识的列表,然后据此授权或拒绝访问。每个授权方定期公布最近被撤销的标识符列表,并使用多种技术将这个列表传送给每个访问控制系统。如果访问控制系统是仅向顺从的记录设备或显示设备提供广播内容资料的置顶盒,例如撤销列表可以从广播业务的提供者发送给置顶盒。如果访问控制系统是仅向顺从的显示设备回放DVD的用户DVD播放器,最新的撤销列表可以被内置在生产的DVD光盘中。当DVD播放器的用户播放最新购买或租借的DVD光盘时,DVD播放器读取内置列表。当访问控制系统接收一个新的拒绝列表时,它据此更新被本地存储的撤销列表。因为访问控制系统上的本地列表的容量是有限的,每个访问控制系统一般被配置以便在较新的撤销需要空间时删除最旧的撤销。
不幸地是,对手可以使用多种技术抵制这种保护方案。例如,因为本地列表的容量有限,在前的被撤销的标识符将最终从每个有效工作列表中删除。根据先前被撤销的标识符的时间、自从这个先前撤销被撤销的标识符数量和大多数本地列表的平均容量可以估计出一个被撤销的标识符将已经被从大多数本地列表中删除的可能性。假如先前被撤销的标识符将被从大多数本地列表中删除的足够大的可能性,对手能够以高可能性的客户满意度根据先前被撤销的标识符再次发布复制产品。一些客户可能不能操作复制设备,因为它们的特定访问控制系统的特性或者访问控制系统的更新速率导致先前被撤销的标识符还未从访问控制系统的列表中删除,但是大多数客户的访问控制系统将已经删除它,并因此接收该标识符作为当前正确的标识符。另外,单独的用户可能仅存储一个复制设备,当它被访问控制系统拒绝时,并定期地试图重新使用它。一旦它再次被访问控制系统接受,表示撤销从其列表的删除,用户可以继续在实际上不受限制的时间内使用该复制设备。另外,对手或用户可以向一个或多个访问控制系统提交一个可能的标识符列表以搜索不再在列表上的一个标识符。
发明概述本发明的一个目的是降低客户对一个授权标识符的未授权复制的满意度。本发明的又一个目的是降低从一个授权标识符的未授权复制获得的利益。本发明进一步的目的是抵制确定特定撤销标识符将被一个访问控制系统接受的可能性的企图。
通过随机化用于验证一个所接收的标识符是否已经被撤销的列表来实现这些和其它的目的。当访问控制系统更新它的本地撤销列表时,非确定性的方法被用于确定本地撤销列表的结果列表。根据这个发明的另一个方面,被撤销标识符的发送还根据被撤销列表的非确定性的选择。以这种方式,仅仅时间的流逝将不必然导致先前被撤销的标识符变得再次可用。复制设备将变成“不可靠的”,导致用户永远不能确保复制设备将“正常地”工作。根据本发明的另一个方面,撤销的实施也被随机化。例如,访问控制系统将首先向具有一个被撤销的标识符的设备提供内容资料,然后,在随后的某个时间上,终止传输。以这种方式,复制设备的用户将永远不能确保诸如电影的内容资料可以被完整地观看。
附图的简要说明参考附图通过例子将更加详细地解释本发明,在附图中
图1图示根据本发明的访问控制系统的示例性方框图。
图2图示根据本发明用于向一个访问控制系统提供被撤销的标识符的一个示例性系统。
图3图示根据本发明用于维护一个本地撤销列表的一个示例性流程图。
图4图示根据本发明用于控制对内容资料的访问的一个示例性流程图。
在附图中,相同的参考号表示类似或对应的特征或功能。
本发明的详细说明图1图示根据本发明的访问控制系统100的一个示例性方框图。访问控制系统100接收被控制的内容资料161,并且如果被提供一个授权的访问标识符101,提供对应于被控制的内容资料161的被访问的内容资料111。为了便于理解,使用客户娱乐范例来介绍本发明,例如用于控制访问付费节目(pay-per-view)传输或者控制可以由拷贝保护资料形成的拷贝数目的访问控制技术。基于在此所介绍的原理的其它访问控制应用对于本领域的普通技术人员来说将是显然的。通常,被控制的内容资料161是被加密的资料,控制系统100中的一个访问设备110解密被加密的资料以产生给予一个用户的可访问的内容资料111,例如用于在显示设备180上显示。被控制的内容资料161被图示为由回放设备160提供,所述回放设备例如可以是CD、DVD或视频光盘播放器、磁带或硬盘驱动系统等。另外,被控制的内容资料161还可以由广播、卫星或有线业务提供者来提供。如在本技术领域中公知的,被控制的内容资料161可以在多个设备间通信,例如在从业务提供者接收到之后发往和来自一个记录设备等。
访问设备110提供被访问的内容资料111,当且仅当有效的访问标识符101被提供。通常,访问标识符101是与一个密钥相关并用仅由一个“可信管理方”所知的一个特别密钥数字签名的唯一标识符,所述“可信管理方”通常是一个被授权的销售商、制造商或者业务供应商。访问标识符101可以被包含在一个识别用户的“智能卡”中、用户购买的预付费卡中、识别用于收费的一个帐号的置顶盒中、等等。另外,访问标识符101可以是诸如磁带录音机的被制造项目的唯一标识符,它被制造以强制同意拷贝限制标准,如上所述,在待审美国专利申请“使用标签加密的拷贝保护”,序列号09/333,628,MichaelEpstein 1999年6月15日递交,代理号PHA 23,457,在此引用作为参考。
上述可信管理方公开包括已经被发现被不正当地使用因此被撤销的访问标识符的列表。例如,记录资料的未授权拷贝可以包含被用于初始访问资料的标识符,丢失或被盗的“智能卡”可以被撤销等。与现有技术的设备相同,被撤销的标识符109可以以多种形式一般通过用于传输内容资料的介质广播给访问控制系统100。访问控制系统100包括用于接收广播撤销标识符109的接收机120,和用于包含本地撤销列表150的存储器。根据广播方法,接收机120一般是从用于传输受控内容资料161的介质中提取被撤销的标识符109的设备。例如,每个被发行的DVD或CD可以包含最近被撤销的标识符列表109。接收机120还可以是经控制信道等从一个有线供应商接收广播撤销标识符109的一个专用设备。
本地撤销列表150的容量是有限的,最终将被所接收的撤销标识符109添满。根据本发明的一个方面,替换器130被配置以随机地用每个所接收的撤销标识符109替换列表150中的先前项目。在此所用的术语随机是最普通的含义,包括在本技术领域中公知的伪随机和多种混乱或非确定性的选择技术中的任意一种。随机选择不必是纯随机的,并可以包括加权随机处理,其可以是偏斜的最好但不仅限于选择较旧的标识符替换。通过使用随机替换技术,即使不是纯随机的,与诸如先进先出、最新进最旧出和其它的常规有序列表管理现有方法相比,特定被撤销的标识符109在列表150中出现概率的可确定性明显低于现有方法。因此,对方不能仅仅依靠时间的流逝来抵制通过有限容量的本地撤销列表150提供的有限安全性。
图2图示根据本发明将被撤销的标识符109广播给访问控制系统的一种示例性系统200。访问控制系统可以是如上所述根据本发明的第一方面配置的常规访问控制系统或访问控制系统100的访问控制系统。由接收机220从一个或多个可信管理方接收所公布的被撤销的标识符201,并被存储在明显大于访问控制系统100上的本地撤销列表150的主撤销列表250中。例如,系统200可以被定位在有线业务总部,或光盘制造厂,主撤销列表250可以驻留在实际上不受限制容量的数据库中。根据本发明的另一方面,选择器230随机地从主撤销列表250中选择被发布的撤销标识符201以编码为通过传输介质241发送给远程访问控制系统100的广播撤销标识符109。编码器240将选择用于广播的所发布的撤销标识符编码成适合于特定传输介质241的一种形式。例如,广播撤销标识符109可以是被复用到载波上、在CD或VCD的一条光轨道上编码的、在VCR磁带的首部上包括的一个信号等。
通过随机地从所有发布撤销标识符201的主撤销列表250中选择广播撤销标识符109,被传送给访问控制设备100的主撤销列表250中的特定撤销标识符的概率的可确定性明显低于传送最新撤销标识符的现有方法。本发明的这一方面还允许通过一些常规的访问控制设备实现的随机选择获得的好处,虽然程度较低。即,例如,使用先进先出(FIFO)列表管理技术的常规访问控制设备将被表示一种各种时间的撤销标识符的随机选择,并且对手不能仅仅依靠时间的流逝来抵制由有限容量的FIFO列表提供的有限安全性。以类似的方式,选择器230可以更新随机选择标识符的撤销日期,以便使用常规“最旧出”的列表管理技术的控制访问设备将也可以被提供本发明的优点。
因此,如在此所述的,通过使用一种稍微随机的选择技术,用于选择发送给访问设备的撤销标识符,或者选择将被替换的本地列表中的撤销标识符,或者两者,由访问设备100接受的访问标识符的可能性比现有的有序技术更加不可预测。因此,购买具有被撤销的访问标识符的未授权设备的客户将经历无法预测的结果。这种不可预测性可以被寄望于降低这种未授权设备的大众化,由此可能缩小这种设备的市场。
图3图示根据本发明诸如可以由访问控制系统100使用的用于维护一个本地撤销列表的示例性流程图。初始化方框310表示撤销标识符的本地列表变满之前的动作。在320,接收一个新的撤销标识符,并且在330,选择到撤销标识符本地列表中的一个索引以替换这个新的撤销标识符。根据本发明的第一方面,这种选择是随机的。在340,新的撤销标识符被放置在撤销标识符的本地列表中,在由随机选择的索引所标识的位置上,并控制返回方框320,等待下一个新撤销标识符。
图4图示根据本发明诸如可以由访问控制系统100使用的控制访问内容资料的一个示例性流程图。在410,接收一个访问请求和访问标识符。未图示,方框410检查访问标识符的有效性,例如通过使用与提供访问标识符的可信管理方相关的一个密钥解密访问标识符。响应于访问请求,在420,为一个有效的访问标识符初始化授权访问,然后,通过循环430-450检查访问标识符以查看它是否已经被撤销。如果在440访问标识符匹配撤销标识符本地列表中的一个项目,在480访问被终止。根据本发明的另一个方面,如果在本地列表中发现匹配,在460列表中匹配项目被标记为不可替换的。以这种方式,同一未授权的访问标识符将不被随后的撤销标识符替换,因而在将来变得可用。根据本发明的另一方面,图1中的访问设备110包括定时器115,在470,在一个延迟之后终止访问。通过延迟访问的终止,获取具有一个撤销标识符的设备的一个客户将因为被允许观看诸如电影的内容资料的一部分,随后被禁止观看诸如电影的高潮和结局而更加苦恼。时间延迟可以基于内容资料的持续时间,或者可以是一个固定或随机的延迟周期。如上所述,通过增加与带有未授权标识符的设备相关的烦扰因素,这种设备的市场将有希望被缩小。
上述仅说明了本发明的原理。因而,本领域的技术人员显然将可以设计各种结构,尽管在此未明确地描述或图示,实施本发明的原理,并因而在其精神和范围之内。例如,待审美国专利申请“使用便携式远程控制设备的密钥交换”,序列号,Michael Epstein年___月___日提交,代理文档PHA_______(公开700621),介绍了在授权设备之间交换加密密钥的方法和应用,并在此引用作为参考。本发明的原理可以被应用于验证交换密钥的设备是授权设备。在用于说明性目的的附图中图示了具体的结构和功能。其它的配置也是可行的。例如,图1的访问控制系统100可以内嵌在回放160、显示180或其它设备中。以类似的方式,在图4的方框420中,访问不必被授权给受控的内容资料,直到通过循环430-450验证访问标识符未被撤销之后。鉴于这个公开文本,这些和其它的系统配置和最佳特征对于本领域的一个普通技术人员来说是显然的,并包括在权利要求书的范围之内。
权利要求
1.一个系统,包括一个本地撤销列表(150),包含多个撤销标识符;一个访问设备(110),根据访问标识符(101)和多个撤销标识符的比较控制对内容资料(161,111)的访问;和一个接收机(120),接收至少一个新的撤销标识符(109),和一个替换器(130),使用至少一个新的撤销标识符(109)随机地替换多个撤销标识符中的至少一个撤销标识符。
2.权利要求1的系统,其中访问设备(110)在从对内容资料(111)的初始访问开始的一个持续时间之后禁止访问。
3.权利要求1的系统,其中持续时间基于下面的至少一个与内容资料(111,161)相关的一个持续时间,一个随机持续时间和一个预定的持续时间。
4.权利要求1的系统,其中访问标识符(101)包括一个加密确认。
5.权利要求1的系统,其中替换器(130)根据访问标识符(101)与先前撤销标识符的比较排除用于随机替换的本地撤销列表(150)中的一个先前撤销的标识符。
6.一个系统,包括一个接收机(220),从一个或多个可信管理方接收第一组新撤销标识符(201)(201);一个选择器(230),从第一多个新撤销标识符(201)和多个先前的撤销标识符选择第二多个新撤销标识符(109),和一个装置,用于将第二多个新撤销标识符(109)发送给访问设备(110)。
7.权利要求6的系统,其中选择器(230)根据一种随机程序选择第二多个新撤销标识符(109)。
8.权利要求6的系统,其中用于发送第二多个新撤销标识符的装置包括一个编码器(240),将第二多个新撤销标识符放置在包含内容资料(161)的介质(241)中。
9.一种便于可撤销访问控制的方法,包括从一个或多个可信管理方接收(220)第一多个新撤销标识符新撤销标识符(201);从第一多个新撤销标识符(201)和多个先前撤销标识符中选择(230)第二多个新撤销标识符109;和将第二多个新撤销标识符(109)发送给一个访问设备(110)。
10.权利要求9的方法,其中第二多个新撤销标识符(109)的选择包括一个随机程序。
11.权利要求9的方法,其中发送第二多个新撤销标识符的步骤包括在包含内容资料(161)的介质(241)中编码(240)第二多个新撤销标识符。
12.一种用于控制访问内容资料(111,161)的方法,包括维护一个撤销标识符列表(150);接收(320)一个新撤销标识符(109);从撤销标识符列表(150)中选择(330)一个随机撤销标识符;用新撤销标识符(109)替换(340)撤销标识符列表(150)中的随机撤销标识符;接收(410)一个访问标识符(101);根据访问标识符(101)和撤销标识符(150)列表的比较(440)禁止(480)访问内容资料(161)。
13.权利要求12的方法,其中禁止访问的步骤包括在一个初始持续时间内授权(420)访问;和在初始持续时间之后(470)禁止(480)访问。
14.权利要求13的方法,还包括根据下面至少之一确定初始持续时间一个随机处理、一个与内容资料(111、161)有关的持续时间和一个预定的持续时间。
15.权利要求12的方法,还包括根据访问标识符(101)和撤销标识符列表(150)的比较,标记(460)撤销标识符列表(150)的先前撤销标识符以将它从作为随机撤销标识符的选择中排除。
全文摘要
用一种随机的方式处理和维护用于验证已经被撤销的一个访问标识符的列表,以降低在时间流逝之后一个被撤销的访问标识符被接受访问的可能性。当访问控制系统更新它的本地撤销列表时,使用一种非确定性的方法来确定本地撤销列表的结果内容。根据本发明的另一方面,撤销标识符的通信还基于一种撤销标识符的随机选择。以这种方式,仅仅时间的流逝将不必然导致先前被撤销的标识符变得重新可用。复制设备将变得“不可靠”,导致用户永远不能确保复制设备将“正常地”运行。根据本发明的另一方面,撤销的强制也被随机化。例如,访问控制系统开始可以向具有一个撤销标识符的设备提供内容资料,然后,在某个随后的随机时间上,终止传输。以这种方式,复制设备的用户永远不能确保可以完整地观看诸如电影的内容资料。
文档编号G11B20/00GK1327663SQ00802234
公开日2001年12月19日 申请日期2000年7月27日 优先权日1999年8月9日
发明者M·A·埃普斯坦 申请人:皇家菲利浦电子有限公司