数字权利管理方法和系统的制作方法

专利名称：数字权利管理方法和系统的制作方法
技术领域：
本发明涉及一种对访问包括一组相互身份验证的设备的域中的内容项进行控制的方法。本发明还涉及包括一组相互身份验证的设备的系统，所述相互身份验证的设备组构成了一个域。
发明介绍近年来，内容保护系统的数量快步地增长。一些系统仅针对非法拷贝而保护内容，而其它一些系统也禁止用户访问该内容。第一类称为拷贝保护(CP)系统。传统上，CP系统一直是消费者电子(CE)设备的主要焦点，因为人们认为可以廉价地实现这类内容保护，而这类内容保护不需要与内容提供商进行双向交互。一些例子就是内容加扰系统(CSS)、DVD-ROM盘和DTCP的保护系统、用于IEEE 1394连接的保护系统。
第二类有几个名字是公知的。在广播世界中，这类系统通常称为条件访问(CA)系统，而在因特网世界中，它们通常称为数字权利管理(DRM)系统。
一些类型的CP系统还可以提供服务以便与CA或DRM系统进行接口连接。例子就是目前DVB-CPT小组和TV-Anytime RMP组正在开发的系统。目标是其中一组设备能够经由双向连接来彼此身份验证的系统。根据这种身份验证，所述设备将彼此信任并且这将使得/允许它们能够交换受保护的内容。所附带的许可描述了用户拥有哪些权利以及允许他对内容执行哪些操作。许可通过某种通用网络秘密手段而受到保护，所述网络秘密仅仅在某个家庭内的设备之间交换。设备的这种网络称作一个授权域(AD)。
授权域的概念在于试图找出一种能够同时为(想要保护其版权的)内容拥有者的利益和(想要无限制使用内容的)内容消费者的利益提供服务的技术方案。基本原理就是具有这样的受控网络环境，在该环境中可以相对自由地使用内容，只要不越出授权域的边界即可。典型地，授权域是以家庭环境为中心的，也称为家庭网络。当然，其它情况也是可能的。例如，用户可以在旅行时随身带着便携式电视，并且在他的旅馆客房里使用该便携式电视访问他家里的个人录像机上存储的内容。尽管便携式电视是在家庭网络外面的，但它仍属于该用户的授权域的一部分。
可以将家庭网络定义成一组设备，这组设备通过利用某种网络技术(例如，以太网、IEEE 1394、蓝牙、802.11b...)而互连。尽管网络技术允许不同的设备进行通信，但是还不足以允许设备进行相互操作。为了能够做到相互操作，设备需要能够发现并寻址在网络中的其它设备当中存在的功能。用家庭联网中间件(HN-MW)来提供这种相互操作性。家庭联网中间件的例子就是Jini、HAVi、UPnP、AVC。
网络技术和HN-MW的应用允许人们就像查看一个大的虚拟设备那样查看一组单独设备。从HN-MW的角度来讲，可以把网络看作是一组能被使用和连接的功能。这种系统给用户提供了从家庭网络中的任何地方寻址任何内容或服务的能力。
可以把HN-MW定义为提供两种服务的系统。它允许网络中的应用程序定位网络中的设备和功能。此外，诸如远地过程调用(RPC)之类的某种类型的机制定义了如何使用这些功能。
从HN-MW角度来讲，与处理安全内容有关的系统以几种方式出现。网络中的某些功能需要访问受保护的内容。网络中的其它功能提供了处理内容安全性的网络中的元件能够使用的功能性。此外，像OPIMA这样的安全框架能够使用HN-MW来彼此定位并以可相互操作的方式进行通信。当然，也能够以其它方式来实现授权域。
对于在家庭网络中使用DRM的更多方面的介绍请参见F.L.A.J.Kamperman、S.A.F.A.van den Heuvel、M.H.Verberkt的“DigitalRights Management in Home Networks(家庭网络中数字权利管理)”，菲利普研究报告，荷兰、IBC 2001会议出版物第I卷、第70-77页。
在某种程度上实现授权域的构思的各种系统已经存在。这种系统的例子就是SmartRight(Thomson Multimedia)、xCP(4C，主要是IBM)、和NetDRM(Matshushita)。
其中，SmartRight系统具有下列属性·智能卡能够被插入到所有设备中。
·该系统使用那些智能卡的身份验证。
·该系统使用公用网络秘密。
·被添加到域中的新智能卡将接收所述网络秘密。
·所有智能卡都能够开启域中的许可(＝权利)。
其中，xCP系统具有下列属性·使用公用网络秘密(密钥空间)。
·基于MKB结构的密钥空间。
·当设备被添加时，密钥空间被合并。
·接着又生成新的公用秘密(介质密钥)。
·利用新秘密来重新加密所有许可。
·中央域管理器判断是否允许合并。
其中，NetDRM系统具有下列属性·中央服务器把设备注册到域。这个服务器可以是在家庭内的或是在外部网络中的。
·使用网络(域)秘密。
·从中央服务器分发秘密，所述中央服务器也可以是在家庭内的。
·许可通常存储在外部网络中，不过也可以在本地存储。
在某种程度上，可以认为虚拟专用网络(VPN)是相似的，不过它们的目的是不同的，且因此实现方式不同。一般说来，可以说VPN的目的是保持在网络中内部生成的内容(通常是在整个网络中可访问的)，而授权域(通常是在整个域中可访问的)试图保持在域中外部生成的内容(比如购买的受版权保护的内容)。
发明概述本发明的一个目的是，提供一种对访问包括一组相互身份验证的设备的域中的内容项进行控制的方法，这相对于处理内容以及与内容相关联的权利而言是灵活的。
根据本发明，这一目的是以这样一种方法来实现的，所述方法包括从与内容项相关联的权利中派生出一个或多个域专用的权利，所述一个或多个域专用的权利受限于该域，并且所述一个或多个域专用的权利受限于该域允许该域中的设备访问内容项。优选地，域中的设备从域中的中央权利管理设备接收域专用的权利，不过分散化的权利分发或其它技术方案也是可以的。域专用的权利的数目可以被限制到预先确定的数量。这可以应用于所有域专用的权利或仅仅应用于那些‘重放’型的权利。这允许无限制的拷贝，但是限制同时的重放。
在一个实施例中，如果与内容项相关联的权利被废除或从域中被删除，则一个或多个域专用的权利被废除。可见，如果不存在与内容项相关联的有效相应权利，那么实行域专用的权利就是不可能的。
可以将内容项连同与该内容项相关联的权利都存储在可拆卸存储介质上。在那种情况下，只有当可拆卸存储介质表明允许进行一个生成拷贝时，才可能会派生出一个或多个域专用的权利。换句话说，只有当可拆卸存储介质表明允许内容项的单个拷贝时，才能派生出它们。派生域专用的权利的这种方法符合在可拆卸存储介质上表明的权限(权利)。
另一选择是即使可拆卸存储介质表明不允许进行内容项的拷贝或者不再允许这种拷贝(称为“不再拷贝”的内容)，也派生出一个或多个域专用的权利。即使是当盘上的权利受更多限制时，这些选择也使得在域内自由地使用诸如光盘或数字多功能盘之类的可拆卸存储介质上的内容成为可能。因为域专用的权利受限于该域，所以用户能在域之外访问内容项是不存在风险的。
在一个实施例中，与内容项相关联的权利是能实行预先确定的次数的权利，而从与内容项相关联的权利派生出的域专用的权利的数目对应于所述预先确定的数目。这提供了受限于内容的权利到受限于域的权利的简易映射。接着，从与内容项相关联的权利派生出的一个或多个域专用的权利可以是能实行预先确定的次数(最好是一次)的权利。这具有如下优点，即域专用的权利的使用是非常有限的，这实现了对访问内容项的大量控制。此外，当与内容项相关联的权利已经期满或者因另一个原因已变成无效时，可能存在域专用的权利的问题现在得以最小化。
能够实行一个或多个域专用的权利的预先确定的次数可以由与内容项相关联的权利来表明，或者作为域或经由其将内容项导入到该域的设备的特性。例如，预先确定的数目可以与域的大小成正比或反比。大的域可以具有大的预先确定的数目以使内容可用于许多位置上，或者可以是小的预先确定的数目以阻止用户形成非常大的域。提供大的预先确定的数目的导入设备能够以更高的价格出售。
在一个实施例中，允许自由地拷贝内容项，并且允许与内容项相关联的权利的单个样本存在于该域当中。这在内容项能被访问方面提供了极大的灵活性，但是它阻止用户实行除允许他们实行的权利之外的权利。
在一个实施例中，域中的每个设备都具有一个或多个域标识符，并且只与具有至少一个相同域标识符的其它设备进行通信。这对于创建一个相互身份验证的设备的域来讲是有效得惊人的方法。优选地，对于每个域都存在一个单一域标识符。一个设备能够成为多个域的成员，因此具有多个域标识符。在域内也可以存在子域，从而设备具有″主″域的域标识符和子域的域标识符。
成功地向域中的设备身份验证自身的新设备优选地从中央控制器设备接收所述一个或多个域标识符中的一个或多个。当得到域中大多数设备的批准时，就选择性地条件式进行。如果特定设备离开域或者从该域中被删除，那么用于那个域的域标识符就会被删除。
域标识符可以包括作为域成员的设备的设备标识符列表。能够容易地编译这个列表，因此域标识符的实现是直接了当的。域标识符可以包括中央控制器设备的设备标识符。
优选地，与内容项相关联的权利包括下列的其中之一再现权、传输权、派生作品权和实用权。然后，优选地，域专用的权利包括下列的其中之一再现权、派生作品权和实用权。
本发明的另一目的是，提供一种包括一组相互身份验证的设备的系统，所述相互身份验证的设备组构成了一个域，所述系统包括中央权利管理器，被设置成用于从与内容项相关联的权利中派生出一个或多个域专用的权利，所述一个或多个域特定权利受限于该域，并且所述一个或多个域特定权利允许该域中的设备访问内容项。
优选地，域中的每个设备都具有一个或多个域标识符，并且被设置成仅与具有至少一个相同的域标识符的其它设备进行通信。在这个实施例的变形中，域中的设备被设置成用于身份验证一个新设备，并且当成功地身份验证就向该新设备提供一个或多个域标识符。被设置成用于身份验证新设备的设备可以是中央控制器设备，而所述一个或多个域标识符继而包括该中央控制器设备的设备标识符。
附图简述根据并参照附图中所示的说明性实施例作出的阐述，本发明的这些及其它方面将是显而易见的，在图中

图1示意性地示出一个包括经由网络互连的设备的系统；
图2示出将图1的系统100划分为CA域和CP域的示意性划分；图3示出设备登录图2的CP域中的过程的说明性实施例的流程图；和图4示出向图2的CP域中登入数字权利的过程的说明性实施例的流程图。
贯穿附图，相同的参考标记表示相似的或对应的特征。在图中表示的一些特征通常是以软件来实现的，并因而代表诸如软件模块或对象之类的软件实体。
系统体系结构图1示意性地示出包括经由网络110互连的设备101-105的系统100。在这个实施例中，系统100是家庭内的网络。典型的数字家庭网络包括多种设备，例如无线电接收器、调谐器/解码器、CD播放器、一对扬声器、电视、VCR、磁带机等等。这些设备通常是互连的，以便允许一个设备(例如，电视)控制另一个设备(例如，VCR)。一个设备(就比如像，调谐器/解码器或者机顶盒(STB))通常是中央设备，对其它设备提供中央控制。
经由住宅网关或机顶盒101接收通常包括像音乐、歌曲、电影、电视节目、画面、书等内容，但也包括交互服务的内容。内容也可以经由其它源进入家庭，比如像磁盘这样的存储介质或者使用便携式设备。所述源可以是到宽带有线电视网络的连接、因特网连接、卫星下行链路等等。继而，能够在网络110上将内容传送到信宿(sink)以再现。信宿例如可以是电视显示器102、便携式显示设备103、移动式电话104和/或音频重放设备105。
再现内容项的确切方式取决于设备的类型和内容的类型。例如，在无线电接收器中，再现包括生成音频信号并将它们馈送到扩音器。对于电视机而言，再现通常包括生成音频与视频信号并将那些信号馈送到显示屏幕和扩音器。对于其它类型的内容而言，必须要采取类似的相应操作。再现也可以包括诸如对已接收的信号进行解密或去扰、同步化音频和视频信号等等之类的操作。
系统100中的机顶盒101或任何其它设备可以包括诸如适当大的硬盘之类的存储介质S1，其允许记录并稍后重放已接收的内容。存储介质S1可以是机顶盒101与之相连的某类个人数字记录器(PDR)，例如DVD+RW记录器。内容也可以进入到诸如光盘(CD)或数字多功能盘(DVD)之类的载体120上存储的系统100。
例如，通过使用蓝牙或IEEE 802.11b，便携式显示设备103和移动式电话104都利用基站111而无线连接于网络110。其它设备也利用常规的有线连接而连接。为了允许设备101-105进行交互，几种相互操作性标准是可用的，这些标准允许不同的设备交换消息和信息，并彼此控制。一种众所周知的标准就是在2000年1月出版的1.0版本的家庭音频/视频相互操作性(HAVi)标准，并且该标准在地址为http://www.havi.org/的因特网上可以获得。其它众所周知的标准是国内数字总线(D2B)标准、在IEC 1030中描述的通信协议以及通用的即插即用标准(http://www.upnp.org)。
重要的是确保家庭网络中的设备101-105不产生未经授权的内容拷贝。为此，通常称为数字权利管理(DRM)系统的安全框架是必要的。在一种这样的框架中，概念上地将家庭网络划分为条件访问(CA)域和拷贝保护(CP)域。通常信宿位于CP域中。这确保了当向信宿提供内容时，因CP域当中合适的拷贝保护方案，所以就不能进行任何未经授权的内容拷贝。CP域中的设备可以包括进行临时拷贝的存储介质，但是不可以从CP域中导出这类拷贝。这个框架在与本申请的相同申请人的欧洲专利申请01204668.6(代理人证号PHNL010880)中有所描述。
不考虑所选择的具体手段是什么，实现安全框架的家庭内网络中的所有设备都依照实现需求来这样做。利用这个框架，这些设备能够彼此身份验证并安全地分发内容。对内容的访问是由安全系统来管理的。这防止未受保护的内容会被“毫无阻碍地”泄漏给未经授权的设备，并且防止来自未得到信任的设备的数据进入系统。
图2示出了将图1的系统100划分为CA域和CP域的示意性划分。在图2中，系统100包括来源、信宿和两个存储介质S1和S2。大部分内容都经由机顶盒101(源)而进入CA域中的家庭内网络。通常例如电视系统102和音频重放设备105这样的信宿都位于CP域当中。这确保了当向信宿提供内容时，因CP域当中合适的拷贝保护方案，而不能够进行任何未经授权的内容拷贝。
在CA域和CP域之间提供CA-＞CP网关。这个网关负责允许内容进入CP域。这一过程可能需要对内容进行代码转换和/或(重新)加密，将与该内容相关联的数字权利翻译成在CP域中得到支持的格式等等。
CP域包括存储介质S2，在该存储介质上能够依照拷贝保护规则来存储内容的(临时)拷贝。这些拷贝例如能够用于随时间移动的内容重放，但是不能从CP域中容易地导出这些拷贝。
通过已将一个设备连接到CP域中的另一个设备上，或者通过将其连接到连接这些设备的总线上，将所述设备变为CP域的一部分。为了防止CP域的快速变化，例如能够通过确保其必须保留在特定CP域中达到(例如一天的)一定的时间段，来阻止CP域的改变。
授权域功能和设计原理创建和维护AD所需要的主要功能包括如下-AD标识(这也可以被视为AD管理功能)-设备登入(这也可以被称为设备注册)-设备登出(这也可以被称为设备注销)-权利登入-权利登出-内容登入-内容登出-AD的管理·内容访问·域中权利的存储一些选择的设计原理为·AD的非集中管理。
·在AD中的设备数目和内容数量方面的非预先限制。
标识了下列功能要求·在域内的内容访问方面的非预先限制。
·在域边界仅交换受控制的内容和/或权利。
·在域中只允许应允的设备(不考虑非应允的设备)。
标识了下列非功能的必要条件·技术方案应该对大部分便携式的离线设备起作用。
·AD的技术方案应该与典型的DRM系统体系结构相应允，即数字权利的使用是对内容访问进行控制的基础。
授权域(AD)标识当实现授权域时的一个问题就是如何维护允许判断某一设备是否属于某一域的一部分的信息结构。重要的是，难以从域内的设备向域外的设备传送内容。这种内容的登出应该在受到控制的环境下进行，并且可能局限于特定的设备。例如，能够允许DVD+RW刻录机在DVD可重写盘上做出内容的拷贝，但是域内部的个人录像机不应该让该域外的设备读取在其内嵌硬盘上存储的未加密的内容。我们现在给出各种方法以允许判断某一设备是否是特定授权域的成员。当然其它方法也是可以的。
在第一实施例中，授权域是通过唯一域_id来标识的。然后，将这个标识符存储在作为域成员的每个设备中。如果需要纵观整组的域成员设备，那么就维护构成该域的设备id的显式列表。可以将这个列表集中存储在域中。
现在，判断某一设备是否是特定授权域的成员可以通过简单地检查该特定域的标识符是否已经存储在关注着的设备中而进行。当然，所述设备也必须是应允的。
在第二实施例中，通过构成域的设备_id组来标识授权域。将这组设备_id存储在域内的(或作为选择，域外的)一个指定设备中。注意，在这个技术方案中不存在显式的域_id。然而，这个技术方案似乎是不太可行的。假如两个便携式设备在它们未与中央列表相连接时都希望进行通信，那么它们就无法判断另一个设备是否也是AD的成员。
在这个实施例的变形中，将设备_id组存储在域的每个设备部分中。这解决了当两个便携式设备都希望进行传输时出现的上述问题，但是却。
在这个实施例的另一变形中，将设备_id组存储在域的多个特定的设备部分中。这又一次引入了很大的管理复杂性，并且对在所有设备中都强加了相对较大的存储需求。
设备登入另一个重要问题就是如何及何时登入应允的设备。
“登入”或“注册”指的是这样的过程，通过该过程将一个设备接纳为授权域的一部分。应该只接收应允的设备，以防止因恶意的非应允设备而造成的从授权域中泄漏内容。按照图3中的流程图给出了这个过程的说明性实施例。
在步骤301中，登入过程是由用户发启的，所述用户将他希望添加的应允的设备连接到已在授权域中的另一个设备上。优选地，这是授权域的中央服务器或控制器，如果这类设备存在的话。其它系统(例如SmartRight)允许通过把将要添加的设备连接到已在授权域中的任何设备上，来启动登入过程。当然，“连接”并不限制于使用电缆的物理连接。例如，也可以建立使用蓝牙或IEEE 802.11b的无线连接。
在已经建立网络连接之后，下一步302涉及了由与新设备连接的设备进行的新设备的身份验证。如果在步骤303中所判定的是，这个身份验证是成功的，那么在步骤304中，新设备就成为授权域的一部分。否则，在步骤305中，拒绝该新设备。也许还检查其它的条件，例如，假若在域中只允许有限数目的设备，那么另一步骤就会是检查是否仍未超过这个有限的数目。
正如上面解释的，假若使用中央唯一域_id，那么在步骤306中，新设备就从中央控制器或从与之连接的设备那里接收域_id。如果希望的话，授权域中的任何其它设备也都可以向新设备提供域_id。例如，人们能够指定已被允许将域_id分发给新添加设备的特定类型的设备。
作为扩充，新添加的设备能够从域中的任何设备那里获得域_id，但是已在域中的大多数设备应该给予权限。这样，没有哪个单个设备(其可能会受到对手的破坏或者例如在它的身份验证程序中产生错误)能够将其它设备接纳到域中。
在另一个实施例中，域始发者向新添加的设备发送域_id。在这个实施例中，所有应允的设备都存储一个设备_id，并且具备域_id的存储空间。域始发者的域_id将成为它的设备_id。然后，任何添加到授权域的其它设备都从域始发者那里接收域_id。
起初(在工厂中)，对于一个设备而言，域_id将被设置为设备_id。然后，将任何单独设备视作为具有尺寸为1的设备的AD，并且所述设备自动成为那个AD的域始发者。当AD扩大时，始发者设备将把它的设备_id作为域_id租借给其它设备。之后，域始发者设备被认定为是设备_id＝域_id的设备。典型地，始发者设备应该是大的静态设备，例如起居室中的电视机，而不是(例如)便携式设备。
如果两个这样的大静态设备在一个授权域中相互连接，那么可能需要协商过程来确定两个静态设备中的哪一个应该成为域始发者。这种协商过程可以通过请求用户指定域始发者来实现。
由于这个协议需要用户将设备连接到域始发者，因而域始发者应该是通过在设备的用户界面中指示这个(例如通过在显示屏上显示指示符、激活特定的LED等等)而被认知的。用户还可以给域始发者添加诸如特定天线或装饰元件之类的物理标识，或者通过用某种其它方法改变它的外观。
只有当某一得到应允且该设备属于家庭时，该设备才能被登入。利用已知的(身份验证)机制，可以容易地检查出一个设备是否是应允的。问题就在于确定设备是否属于家庭，即防止整个世界都变为相同域的成员。归根结底，引入授权域的原理以实现在消费者处理内容过程中的一些灵活性，而不允许在世界范围内无限制的内容分发。
SmartRight系统在域中的设备数目方面强加了限制。这种技术方案适合于这样的情况，即集中地注册属于域的所有设备。采用这个技术方案的问题就在于它具有不好的可伸缩性，并且不符合我们的设计原理。
另一个技术方案就是给重放AD域控制器的某一内容的段落的数目强加限制。采用这个技术方案的问题就在于它极不适合于离线的便携式设备，并且不符合我们的设计原理。在本申请的相同申请人的欧洲专利申请02009651.7号(代理人证号PHNL020372)中描述了这个技术方案。
另一个技术方案对域中的授权域权利(例如，重放权，参见下文对授权域权利的更多方面的论述)的数目方面强加了限制。照此，例如每次只能使用一个重放权。这个技术方案可以被分散地实现，因此适合我们的设计原理。然而，可能的缺点就是现在我们在一个拷贝管理方案内还具有一个拷贝管理方案。(优选地，这个技术方案应该与设备注册方案一起运作)。
在另一个实施例中，外部第三方使设备能够在特定域内运行。这种消息可以经由广播信道、因特网来发送，或者利用像软盘、快闪卡、智能卡等这样的存储介质来进行发送。尽管这是一个有效的方法，但是所述实现方式与在这篇文献中表达的模型大为不同，并且将不会进一步针对讨论。
设备登出授权域的另一重要方面就是如何及何时登出应允的设备。“登出”或“注销”指的是这样的过程，即通过所述过程作为授权域的一部分的设备能够离开该授权域。如果授权域是通过唯一域_id来标识的，那么登出授权域中的设备可以通过删除存储在该设备中的域_id来实现。
当设备从授权域中登出时，我们出现这样的情形，即实际上存在两个授权域原始的授权域和刚离开的设备，所述刚离开的设备本身可以被视为授权域。此时，必须进行这两个授权域之间的(XAD)权利的分发(参见稍后对权利类型的说明)(例如，必须通过将废除消息发送到域中来删除属于登出XAD权的AD权)。这将通过受(用户)控制的权利的登出和登入来实现。
数字权利管理授权域内部的内容仍旧服从数字管理规则。通常，与内容相关联的数字权利随着内容进入授权域与内容一起被接收。例如，权利可能存在于从web站点中连同内容一起下载的许可文件中，或者是在电缆网络上接收的MPEG-2流的一部分。
权利也可以独立地被购买。例如，消费者可以在商店中购买诸如DVD盘之类的载体。只有当他独立地购买重放权时，例如在内容拥有者的web站点上购买时，才能重放这个盘上的内容。关注着的上述重放权可能会受时间限制，以强迫消费者以有规律的间隔来购买新的重放权。
预期的是以专有格式来分发权利，不过当然可能已经以AD格式分发了该权利。权利也可能来源于其它的AD，即AD间通信。这使得把权利转换成授权域内部所使用的格式成为必要的事。这称为“登入权利”。在权利登入方面的一些条件为·只接收能由AD强加的权利。
·只在义务是可接受的情况下，接收权利(我们将只需考虑的情况是由于这允许利用列举来容易而简单的实现，因而存在有限的可标识的义务)。
·只在与权利相关的内容是可接受的情况下，接收权利(某些内容，例如成人电影可能在有孩子的家庭中是不受欢迎的)。
优选地，AD权管理包含三种类型的操作-AD权标识如何查明一个权利属于哪一个域？-将权利登入到AD中如何将权利添加到域中？-从AD中登出权利如何从域中删除/转送权利？权利标识可以以不同方式进行i.公用AD密钥可以加密域中的权利。只有具有公用密钥的设备才能使用权利中的内容密钥。
ii.权利可以包含AD标识符。应允的设备将仅“使用”带有正确AD标识符的权利。
iii.权利隐式地受限于该域，即一旦进入该域中就无法离开该域。它受设备的保护并且位于安全接口上。
方法i和ii的优点在于对于权利属于哪个域是非常清楚的。然而，缺点就是每当在域中的设备组中出现变化时和当登出权利时，都需要改变权利(不同的标识符/不同的加密法)。
只有当权利对于域而言是应允的，并且已经被允许从该权利的来源中登出它时，才能够登入该权利。权利的通常来源将是DRM或付费TV系统。权利登出可能只有当权利允许时才会发生。通过处理权利的设备的应允而确保了正确的权利处理。
在图4的流程图中给出了依照本发明的登入数字权利的过程的说明性实施例。第一个步骤401是确定权利是否处于专有格式。如果是，则下一个步骤402就是将权利从专有格式转换为AD格式。如果不可以转换的话，那么另一个实体就应该对所述AD的权利进行转换或解释。如果这也失败的话，则所述转换失败并且所述权利将遭到拒绝。
在已经获得了AD格式的数字权利的情况下，接下来的步骤403、404、405、407和408就是检查a)权利是否是合法的，即它是否是经权利/许可权利机构批准的(步骤403)，b)交易是否是合法的，即是否允许我接收/接受这个权利(步骤404)，c)是否可以由AD来强加权利(步骤405)；如果否，则拒绝该权利或降低该权利的等级(步骤406)，d)对于AD或AD拥有者而言所述义务是否是可接受的(步骤407)，e)所述权利指的是AD愿意接受的内容(步骤408)。
如果所有这些检查都通过了，那么在步骤409中，就把所述权利添加到受AD中的权利管理器控制的AD当中。该权利管理器也许不是单个可标识的实体，但可以被完整地分发。
当然，在原始的DRM系统中，没有什么阻止系统也维护对内容上的权利的持有。所以，当降低权利等级时，用户仍能利用原始的DRM系统来使用完全的权利。
我们现在将进一步集中于a)和b)。项目c)、d)、e)与权利的内容和内容更相关而与域管理不太相关，因此将不再作进一步地详述。
在基于a)的第II种情况下，如果1)包含由权利/许可权利机构或由另一个已得到批准的当事方(或设备)给出的确实性标记，并且2)来源于经批准的/应允的设备的话，那么我们就认为权利是合法的。我们将不会对此作进一步的详细说明，因为实现这个的技术是已知的。
在基于b)的第II种情况下，我们首先需要知道权利的不同来源。获得权利的一些示例性方法有i.权利可以经由有线或无线的域接口来导入ii.权利可以载负在(piggyback)(封装的)介质上iii.权利可以载负于(piggyback)设备上iv.权利可以在域自身中生成。国际专利申请WO02/065255(代理人证号PHNL010113)描述了当导入内容时能怎样来生成权利。在欧洲专利申请02076209.2(代理人证号PHNL020246)中描述了一些扩充。
给定这些不同的权利来源，我们认为交易是合法的，如果·允许将关注的权利发送到本域，即所述权利不受限于特定域，或·权利来源于应允的传输/通信信道(例如，安全身份验证的信道、SAC)、应允的设备、应允的介质或来自于应允的生成权利的设备(例如，应允的A/D转换器)。
假定上面两点，我们拥有受限于域的权利，并且我们拥有能被转送到域和在域之间转送的权利。由此，我们介绍两种类型的权利XAD权(或跨AD的权利)和AD权。AD权属于一个AD。(如果允许的话)，可以在AD之间转送XAD权。
能够标识下列类型的权利·再现权，例如，观看、玩、打印。
·传输权，例如，拷贝、移动、借出。
·派生作品权，例如，提取、嵌入、编辑。
·实用权，例如，备份、高速缓存、数据完整性。
能够将下列属性附于权利上·考虑事项无论用户必须作为回报而给出的是什么。
·范围多长；多少、在哪里等等。
·用户属性、订户、年龄、性别等等。
除了传输型的权利以外，AD权可以是任何类型的权利。也就是说，AD权不能是传输到其它AD的权利。在AD内，例如，可以拷贝再现权。XAD权可以是任何类型的权利。AD权意味着仅仅在授权域内使用，并且从XAD权派生而来。起初，XAD权来源于权利所有者。如果将XAD权登入到授权域中，则就能从这个派生出AD权来。AD权在域中可以随意地增多，但是它们决不可以离开该域。
XAD权将用于控制域间通信。为了易于管理的原因，优选地只允许XAD权的一份拷贝(除非是因为备份的原因而进行拷贝)。然而，如果XAD权离开域，那么在原始域中派生出的AD权就必须被删除。这可以通过从具有XAD权的设备那里发送废除消息来进行。
现在，我们有了用于权利登入的创造性技术方案只有当XAD权来源于应允的传输/通信/设备/介质/生成器时，才允许XAD权的登入。
现在，我们也有了用于权利登出的创造性技术方案只允许从域中登出XAD权。禁止从域中导出AD权。
内容管理典型地，内容包括像音乐、歌曲、电影、电视节目、画面、书等这类的东西，不过还可以包括交互服务。我们区分三种类型的内容·加密的内容(数字格式)·未加密但加了水印的内容(包括模拟格式和数字格式两者)·未受保护的内容(包括模拟格式和数字格式两者)在授权域中，数字权利控制内容的使用。在没有权利的情况下，内容在域中是无用的。因此，在AD中数字式受保护的内容的登入操作与本发明无关，且将不作进一步论述。
假如我们拥有加水印且未加密的内容，那么就应该通过导入设备来检查水印，以便看一下是否允许内容登入以及在何种条件下进行内容登入。假如允许登入，那么就导入所述内容并生成所附带的权利。在导入所述内容之后，优选地对其加密以保护它。
在未保护的内容的情况下，应该导入所述内容并生成所附带的权利。
一种可选的手段是让授权域在内容上加强限制设置；一些权利是准许的，而一些是不准许的。在未保护的内容的情况下(在所述内容中，通过法律或许可不能够检测出使用限制)，不需要这样的强制子系统。因为这种内容能够在无限制的情况下自由移动，并且无须被导入。
关于内容登出，我们注意到通常数字格式内容是加密的，并且不能在(无所述权利的)别的地方使用它。无论如何都无法阻止模拟格式的内容流失。这种内容当然可以包含水印，或者可以将水印添加到模拟内容中。使用水印的特定情况是总表示从不拷贝，由此阻止了模拟内容的重新插入。在此，将不对内容登出的问题作进一步论述。
当登出内容权时，可能需要重新加密该内容。由于内容的保护和AD的强制主要是通过控制权利来进行的，因而人们可以说内容是不进入AD的，只有权利才进入AD。
授权域的管理如果正确的AD权是可获得的，那么才能在域中访问内容。正如上面解释的那样，AD权由可用的XAD权派生而来。AD权在整个域中是有效的，并且是在域之间不可转送的。可以允许AD权在域中增多。那意味着域中需要权利的任何设备都将无条件地访问所述权利。权利能够存储域中的任何地方。因此，必须给出一种定位并获得这类权利的方法。为此可以应用不同的策略。这些策略通常可以分为集中存储方法和分散存储方法。
在权利的集中存储的情况下，存在将被联系以获得特定权利的中央权利管理器。在权利的分散存储的情况下，使用分布式搜索机制在域之内定位并获得权利。注意，实际上权利应该位于其大多数/通常位于的设备上，并且权利很可能与内容存储在同一个设备上。
对于一些(AD)权利而言，(在域中)拥有多个权利的实例/拷贝是可接受的，例如播放无限制的权利(并且能够存储在域中的任何地方)。通常，在没有附加的预防措施的情况下，无法在系统中复制包含用以限制例如玩的次数或者拷贝的次数的一些计数机制的权利。一种针对解决这一问题的一部分的方法是生成许多“一次性使用权”。在“一次拷贝”的情况下，将生成一个“版权”。当将内容拷贝到另一个域时，将用完(删除)这个权利。由于权利代表一次操作，应该受到保护以防止拷贝，但是可以在域之内自由地移动。
将权利同内容一起存储会是有利的。这会使得易于定位该权利(如果所述内容是可用的，则所述权利就也是可用的)。另一个优点就是权利所需的存储空间随着存储内容可用的存储器一起伸缩。主要的缺点就是变得难以利用某种计数机制来支持权利。
诸如数字多功能盘(DVD)或光盘之类的封装式介质需要具体的说明。我们假定封装式的(ROM)介质将具有在板(其是XAD权的源)上的序列拷贝管理，除非可以在(例如)盘上包含记数机制以便支持像一次拷贝这样的权利。这类机制的例子可以利用片内盘(Chip-in-disc)型机制来实现，例如在国际专利申请WO02/17316(代理人证号PHNL010233)中描述的。
在优选实施例中，封装式介质可以只包含XAD权。如果所述介质包含AD权利，那么若从域中删除了相应的XAD权的话则以后就不可能删除掉它们。同样，消费者希望封装式介质(例如，DVD+RW)在任何地方都能使用，并且在任何应允的设备中都能使用。
在“不再拷贝”的情况下，我们可能要求盘只在域始发者设备上或者在盘读取器上进行重放(即再现)(因此在整个域内部是不可播放的！)，所述域始发者设备也就是具有设备_id＝域_id的设备。这可能会刺激原始介质销售。其它的使用规则可能要取决于序列拷贝管理位的设置。
综上所述，本发明的一些有利实施例如下，其中这些实施例的每一个都可以与一个或多个其它实施例组合起来使用或者独立地加以部署1.使用设备中的域_id来标识域中的设备。在这种情况下，所有AD应允的设备都需要具有存储域_id号的存储空间。
2.为了限制域大小，并且当所述域始发者设备处于紧密接近于一个设备时，在所述域始发者设备上登入这个设备。
3.域的大小是通过限制域中重放权的数量来加以限制的。
4.AD中的两种类型的权利在域之间传送的XAD权以及供在域内部使用的AD权。
5.当登出设备时，例如通过让其域_id再次等于设备_id，来删除其域id，并且也删除驻留在设备上的AD权。从而通过对设备进行登出而防止了从域中导出内容的攻击。
6.当登出包含XAD权的设备时，将相应AD权的废除消息发送到域中，或者使用心跳(白列表)机制。在这种情况下，便携式设备(未必总是连接于网络)需要定期地获得更新的AD权。这个机制通过对设备进行登出而防止了试图在域中留下内容/权利的攻击。此外，还通过对设备进行登入，在设备上面存储内容，并随后对该设备进行登出，以及在另一个授权域中登入该设备，而防止了内容的非法分发。
7.为了刺激原始封装式介质的销售，只在该介质表示允许“一个生成拷贝”(而非“不再拷贝”)的情况下，才允许从封装式介质上的XAD(序列拷贝管理权)派生出AD权。这意味着不可能从“不再拷贝”XAD权中派生出AD权，并且意味着如果所述介质存在于域中的话，则只能在该域中播放介质上的内容。
8.有限次数的使用权是通过生成“一次性权利”或者“权利记号”来实现的。
应当注意的是，上述实施例是对本发明的举例说明而非限制，而本领域的技术人员将能在不背离所附权利要求的范围的情况下设计出许多可选的实施例。当然，代表家庭网络的系统100不只是使用授权域的唯一情况。
在权利要求中，不应该把括号内的任何参考标记理解为限制该权利要求。除了那些列在权利要求中的元件或步骤之外，术语“包括”不排除元件或步骤的存在。元件前的术语“一个”不排除多个这类元件的存在。本发明就通过包括几个不同元件的硬件和通过适当编程的计算机来实现。
在列举了几个装置的设备权利要求中，这些装置中的几个装置都可以利用完全一样硬件项目加以具体化。仅仅的事实就是，在相互不同的从属权利要求中阐述的确定的手段并不表示不能优选地使用这些手段的组合。
权利要求
1.一种对访问包括一组相互身份验证的设备的域中的内容项进行控制的方法，所述方法包括从与内容项相关联的权利中派生一个或多个域专用的权利，所述一个或多个域专用的权利受限于所述域并且允许域中的设备访问所述内容项。
2.如权利要求1所述的方法，其中只有当与内容项相关联的权利来源于一个应允的源时，才将它导入到该域中。
3.如权利要求1所述的方法，其中如果从该域中废除或删除与内容项相关联的权利，则所述一个或多个域专用的权利就被废除。
4.如权利要求1所述的方法，其中所述内容项连同与该内容项相关联的权利一起存储在可拆卸存储介质上，并且只有当可拆卸存储介质表明允许进行一个生成拷贝时，才派生出所述一个或多个域专用的权利。
5.如权利要求1所述的方法，其中所述内容项连同与该内容项相关联的权利一起存储在可拆卸存储介质上，并且只有当可拆卸存储介质表明允许进行内容项的单个拷贝时，才派生出所述一个或多个域专用的权利。
6.如权利要求1所述的方法，其中所述内容项连同与该内容项相关联的权利一起存储在可拆卸存储介质上，并且即使可拆卸存储介质表明不允许进行内容项的拷贝，也派生出所述一个或多个域专用的权利。
7.如权利要求1所述的方法，其中所述内容项连同与该内容项相关联的权利一起存储在可拆卸存储介质上，即使可拆卸存储介质表明不再允许进行内容项的拷贝，也派生出所述一个或多个特定的权利。
8.如权利要求1所述的方法，其中与内容项相关联的权利是能实行预先确定的次数的权利，并且其中从与该内容项相关联的权利所派生出的域专用的权利数目对应于所述预先确定的数目。
9.如权利要求1或8所述的方法，其中从与内容项相关联的权利派生出的所述一个或多个域专用的权利是能实行预先确定的次数的权利。
10.如权利要求9所述的方法，其中能实行一个或多个域专用的权利的预先确定的次数为一次。
11.如权利要求9所述的方法，其中能实行一个或多个域专用的权利的预先确定的次数是由与内容项相关联的权利来确定的。
12.如权利要求9所述的方法，其中能实行一个或多个域专用的权利的次数是域的特性。
13.如权利要求9所述的方法，其中能实行一个或多个域专用的权利的预先确定的次数是经由其把内容项导入域的设备的特性。
14.如权利要求1所述的方法，其中允许内容项被自由地拷贝，并且允许与内容项相关联的权利的单个样本存在于域中。
15.如权利要求1所述的方法，其中域中的每个设备都具有一个或多个域标识符，并且只与具有至少一个相同域标识符的其它设备进行通信。
16.如权利要求15所述的方法，其中向域中的设备成功地身份验证自身的新设备接收一个或多个域标识符中的一个或多个。
17.如权利要求16所述的方法，域中的每个设备都具有设备标识符，所述一个或多个域标识符包括作为域成员的设备的设备标识符列表。
18.如权利要求16所述的方法，其中所述新设备从中央控制器设备接收一个或多个域标识符中的一个或多个。
19.如权利要求18所述的方法，其中在得到域中的大多数设备的批准的条件下，所述新设备就从中央控制器设备接收一个或多个域标识符中的一个或多个。
20.如权利要求18所述的方法，其中所述一个或多个域标识符包括中央控制器设备的设备标识符。
21.如权利要求15所述的方法，包括当特定设备离开域或者从域中被删除时，删除该特定设备中存储的一个或多个域标识符。
22.如权利要求1所述的方法，其中域专用的权利的数目限于预先确定的数量。
23.如权利要求1所述的方法，其中与内容项的重放有关的域专用的权利的数目限于预先确定的数量。
24.如权利要求22或23所述的方法，其中所述预先确定的数量是由与内容项相关联的权利来确定的。
25.一种包括一组相互身份验证的设备的系统，所述相互身份验证的设备组构成了一个域，所述系统包括中央权利管理器，该中央权利管理器被设置成用于从与内容项相关联的权利中派生出一个或多个域专用的权利，所述一个或多个域专用的权利受限于所述域并且允许域中的设备访问所述内容项。
26.如权利要求25所述的系统，其中域中的每个设备都具有一个或多个域标识符，并且被设置成只与具有至少一个相同域标识符的其它设备进行通信。
27.如权利要求26所述的系统，其中域中的设备被设置成身份验证新设备，并且在成功身份验证时，向所述新设备提供一个或多个域标识符。
28.如权利要求27所述的系统，其中被设置成身份验证新设备的设备是中央控制器设备，并且所述一个或多个域标识符包括所述中央控制器设备的设备标识符。
全文摘要
一种对访问包括一组相互身份验证的设备的域中的内容项进行控制的方法，所述方法包括从与内容项相关联的权利中派生出一个或多个域专用的权利，所述一个或多个域专用的权利受限于该域，并且所述一个或多个域专用的权利允许该域中的设备访问该内容项。此外，还提供了一种包括一组相互身份验证的设备的系统，所述相互身份验证的设备组构成了一个域，所述系统包括被设置成用于执行所述方法的中央权利管理器。
文档编号H04N7/16GK1656803SQ03811508
公开日2005年8月17日 申请日期2003年5月21日 优先权日2002年5月22日
发明者F·L·A·J·坎佩曼, W·乔克, P·J·勒努瓦, S·A·F·A·范登霍伊维尔 申请人:皇家飞利浦电子股份有限公司