专利名称:用于即时电视中的元数据保护的方法、系统、装置、信号和计算机程序产品的制作方法
技术领域:
本发明涉及一种提供数据完整性验证和数据保护的方法,其中通过签名来保护一组数据片段。
本发明还涉及一种提供数据完整性验证和数据保护的系统,该系统被设置为接收并处理数据片段,其中一组数据片段可以通过签名来保护。
本发明还涉及一种提供数据完整性验证和数据保护的签名装置,该装置被设置为处理数据片段,并将该装置设置为产生签名来保护一组数据片段。
本发明还涉及一种检验数据完整性验证和数据保护的检验装置,该装置被设置为处理数据片段,并将该装置设置为检验签名来保护一组数据片段。
本发明还涉及一种信号,其包括数据片段,其中一组数据片段通过签名来保护。
本发明还涉及一种实施这种方法的计算机程序产品。
背景技术:
随着电视观众可观看频道的增多以及这个频道上的可用节目内容的多样性,对于电视观众来说,越来越难于确定所喜欢的电视节目。过去,电视观众通过研究打印出来的电视节目指南来确定所喜欢的电视节目。由于电视节目数量的增多,因此使用这种打印出的指南越来越难于有效确定所希望的电视节目。
最近,可以获得电子格式的电视节目指南,这通常指的是电子节目指南(EPG)。像打印的电视节目指南那样,EPG提供可用内容的概要,可由用户浏览。广义上,内容通常包括类似音乐、歌曲、电影、电视节目、图像等等这样的内容,并且也可以指单一场景、MPEG-4对象,等等。
EPG从伴随着单一内容项的元数据中编辑概要。内容项的元数据可从各种数据源得到。元数据可以包括在广播流(例如,如MPEG-2表)中,或者从外部数据库下载。例如,电视接收机或个人数字记录器可连接因特网,这使得该装置能够访问万维网上可用的元数据。
这种元数据通常包括诸如名称、艺术家、流派等信息,并且还可包含唯一内容参考标识符(CRID),有时也称为内容参考标识符。使用CRID,可以唯一地标识每个单一内容项。而且,使用CRID还可从数据库中检索进一步的信息。例如,用户可以选择其希望从EPG中看到的内容项,即使还不知道广播的时间和地点。通过使用CRID,系统可在该内容项广播的信息变为可用时,检索其时间和地点。
CRID不受限于内容的广播传输。它还可以涉及因特网上的位置,或者其他任何数据源。内容解析的目的是允许获取内容的特定项的特定实例。例如,用户可能想记录电视连续剧的一个情节,但是他不必知道这个情节开始的时间和地点。然后,他可能会用个人数字记录器(PDR)或类似装置通过CRID来查阅这个情节或连续剧。值得注意的是,CRID可以指整个连续剧或者指它的一个情节。
在接收到内容项的CRID之后,PDR试着获取内容项的位置。这个信息被称作定位符,它包括日期,时间和将播放该内容项的频道。然而,用户不需要知道这个。一旦PDR已获得内容项的定位符,PDR就等待特定的日期和时间,然后当在特定频道上播放该内容项时记录这段情节。当然,如果定位符指示因特网等上的位置,那么一旦其可用,PDR就可以简单地从所指示的位置中检索该内容。
即时电视(TV-Anytime)标准化体提供了一种标准化的内容参考ID。请参见即时电视论坛,www.tv-anytime.org,SpecificationSeriesS-4,Content Referencing(Normative),文献SP004V,2001年4月14,最新版本SP004V12,2002.6.28,ETSI TS 102822-4。这个文献具体说明了CRID包含一个指示产生CRID的一方的<授权者>字段。授权者还将为CRID提供被解析为定位符或其他CRID的能力。定位符是用于内容在时间和空间上的位置的名称。CRID还包含一个<data>字段,该字段是一种自由格式符号串,其兼容在″RFC2396,统一资源标识符(URI)通用语法″中给出的统一资源标识符(URI)的定义。这个符号串对于由<授权者>字段给予的权限应具有意义。
CRID用于位置解析,其可以被定义为将CRID转换为其他CRID或定位符的处理。例如,可以将整个电视连续剧的CRID转换为用于该连续剧的单一情节的CRID。可以在记录装置(通常为个人数字记录器或PDR)中或远程进行位置解析。一种解析提供者进行位置解析。解析提供者使用要确定及定位的解析授权者记录(RAR)。RAR至少包括一个相应于生成CRID的一方的<授权者>字段。
RAR还含URL和解析提供者名称。URL指向可以发现解析信息的位置。解析提供者名称包含提供位置解析的一方的名称。这些RAR适用于PDR。
即时电视信息和服务是有价的,因此保护这个信息是非常重要的。保护包括信源验证和欺骗的发生;数据的完整性将受到保护。当从数据源接收到TVA数据时,接收器可能想检测数据是否真的是从预期的数据源来的,并且没有被第三方改变过。
第三方想改变数据存在一个动机。如果第三方可以改变元数据或CRID表,那么这可能使PDR记录想要的其他信息,诸如商业内容、电影预告片或其他内容。这也常使用户烦恼,从而降低用户对该系统的信任。因此,PDR希望检测内容是否来自于可信赖的来源。如果能证明数据来源于一个数据源,即使其是使用不同的频道分布的,那么当碰到相同内容的多个数据源时,PDR也可以利用这一点做出选择。这样的例子有当可以证明某BBC节目的数据由BBC生成的,那么就提高了这个信息是正确的可能性。
即时电视数据的数据源和元数据并不总是数据的建立者。数据源可能是收集并分组来自不同数据源的信息的服务提供者。这对检测是谁生成了数据以及数据是否被改变很有用处。在这种情况下,接收的数据将保持由不同数据源提供的部分。
保护数据完整性的标准加密方法是使用密码技术标记数据。由于所有的TVA元数据都是以XML表示的,所以允许以相同数据结构传送签名的表示签名的传送中性方式应包括TVA方案中的签名,并且显然的选择是xmldsig(″RFC3275,(可扩展标记语言)XML-签名文法和处理″)。然而,这个标准使用XPath数据模型(″XML路径语言(XPath)版本1.0,W3C recommendation,J.Clar,S.DeRose,1999.10,http//www.w3.org/TR/1999/REC-xpath-9991116″),来定义XML分析树的各个节点的XPath表示的评估,而这是难以有效实施的一种转换。
克服这个问题的尝试已在″XML-signature XPath Filter″(W3Crecommendation,最新校订2002年11月8日,htp//www.w3.org/TR/xmldsig-filter)描述了,其定义了一种便于开发有效文档子集的XML签名转换。然而,这个建议没有被W3C协会采纳。
从以上讨论可知,很明显,服务提供商和机顶盒厂商有使用元数据的有效完整性检验机制的动机。
发明内容
本发明的目的是提供元数据完整性和信源验证以有效保护数据片段,使得能够保护来源于不同数据源的数据片段并能够通过多个验证器来保护数据片段。它可验证数据在(解析)提供者和客户端之间传送的期间是否已被改变。它还可验证数据在随后存储和数据处理的期间是否被改变。
本发明的目的是通过根据本发明的方法来实现的,该方法的特征在于一组数据片段的每一个都包括它自己的唯一标识符,签名包括参考该组数据片段的各个唯一标识符。本发明描述了一种系统,其中将单独地提供签名,并且唯一标识符的参考将指示哪个数据片段由签名覆盖。至少一个标识符唯一地标识数据片段,以便能够链接数据片段和签名。这通过提供一个(可选)字段来进行,将该字段加到每个数据片段中以标识这些数据片段。如果所有的数据片段都具有这种唯一标识每个数据片段的字段,那么可以使用现有的字段。换句话说,可以将专用的签名标识符作为可选字段加入每个数据片段中。当这个字段出现时,它就是数据内的数据片段实例的唯一标识。签名可以涉及多个数据片段,以便标记数据片段组,而不是标记单一的数据片段。这具有更有效的优点。
根据本发明的方法的一个具体实施例在权利要求2中描述。在分布期间,当数据转手时,一个以上的一方可以将他们的签名应用到相同的数据片段上。这些签名可以应用于数据片段的不同子集,即全部的分离的子集,部分重叠的子集,或者相等的子集。
根据本发明的方法的一个具体实施例在权利要求3中描述。优点在于只需要散列来计算或检验签名。如果在多个签名中使用相同的数据片段,那么这尤其有利(缩短了计算时间)。
根据本发明的方法的一个具体实施例在权利要求4中描述。XML清楚地分离单一数据片段,使得能够以标准化方式标识数据片段。数据片段可以被收集在一个或多个XML文档中。
根据本发明的方法的一个具体实施例在权利要求5中描述。如上所述,即时电视元数据要求防止未被授权地处理元数据。本发明因此可有利地应用在即时电视环境中。
根据本发明的方法的一个具体实施例在权利要求6中描述。对于以XML表示的数据,适当的选择是参考所增加的唯一标识符来使用签名的xmldsig定义。
根据本发明的方法的一个具体实施例在权利要求7中描述。通过使用转换函数(根据RFC3275)可以完成对数据片段的标记,该转换函数用于去除未考虑这个签名的数据片段。该转换函数指的是使用唯一标识符的数据片段。
根据本发明的方法的一个具体实施例在权利要求8中描述。如在上述xmldsig技术规范中描述的那样,可使用不同的密码以多种方式来对相同的文本进行编码。为了计算签名,不得不定义文档的一个定义的表达式。这个处理被称为cannolization。cannolization函数使用的指示允许在不需要首先抽取数据的情况下计算签名值。
根据本发明的方法的一个具体实施例在权利要求9中描述。为了保护参考的完整性,可以将参考它们自己隐式或显式地包括在要标记的数据中。
根据本发明的方法的一个具体实施例在权利要求10中描述。通过增加签名索引文件可以提供更多详细的搜索选择项。
这种索引文件将使用唯一标识符来将参考链接到适当的签名文件上以支持搜索选择项。这个表提供在标记的数据和签名列表之间进行分组。
根据本发明的方法的一个具体实施例在权利要求11中描述。为了保证标识符在数据的这个实例中的相同类型的数据片段中是唯一的,建议启用具有负责产生数据片段的组织的唯一标识的唯一标识符。它还能使客户端能够检测是哪个组织发布的数据。
根据本发明的方法的一个具体实施例在权利要求12中描述。DNS名对唯一标识组织来说是一种容易且可以理解的选择。
根据本发明的方法的一个具体实施例在权利要求13中描述。尽管唯一标识符标识了数据片段,但是不定义在整个数据内哪里可以发现这个数据片段。为了便于在数据内的检索正确的数据片段,参考将优选地带有位置指示器。
根据本发明的方法的一个具体实施例在权利要求14中描述。为了对数据片段进行定位,设备通过必须要获取的数据来指示路径。
根据本发明的方法的一个具体实施例在权利要求15中描述。能够且有效地将签名信息包括在数据文档中。
根据本发明的方法的一个具体实施例在权利要求16中描述。不同的方法将定义一种数据文档的封装,其中该文档还包括签名信息以及可能还有其他需要标记的成份的。以这种方式,除了增加可能丢失的唯一标识符之外,在不改变原始资料的情况下将其包括进封装内。适当定义的封装可进行扩展以允许将附加数据并入标记的数据中。
根据本发明的方法的一个具体实施例在权利要求17中描述。不同的方法将定义包括签名信息的各个数据文档,其中该签名信息有关于原始数据文档中的数据片段。在这种方式下,除了增加可能丢失的唯一标识符之外,原始数据文档保持不变。
根据本发明的系统的特征在于该系统包括接收并处理子集的数据片段的装置,每个数据片段通过唯一标识符来标识,该系统还包括下列装置中的至少一个,使用它们的唯一标识符将签名与一组受保护的数据片段相关联的装置,以及使用受保护的数据片段的唯一标识符来检验签名的装置,以及产生由它们的唯一标识符来参考受保护的数据片段的签名的装置。
根据本发明的签名装置的特征在于安排该装置来寻址要通过包括在数据片段中的唯一标识符来保护的每个数据片段,并且安排该装置产生包括唯一标识符的签名信息以指出一组数据片段。
根据本发明的检验装置的特征在于安排该装置来寻址要通过包括在数据片段中的唯一标识符来保护的每个数据片段,并且安排该装置检验包括唯一标识符的签名信息以指出一组数据片段。
根据本发明的信号的特征在于组中的每个数据片段包括它自己的唯一标识符,并且签名包括参考该数据片段的唯一标识符。
本发明进一步的特征在于实现权利要求1所述方法的计算机程序产品。
本发明的这些及其他方面将通过示例的方式并参考示意图来进一步描述,其中图1概略地说明了内容解析的处理,图2示出了即时电视定义的不同片段,图3a、3b和3c示出了有关唯一标识符的XML定义和实例,图4a、4b和4c示出了有关签名信息的XML定义和实例,以及图5示出了有关密钥信息的XML定义和实例。
具体实施例方式
作为对收集和处理数据的说明,将通过诸如即时电视环境中的个人数字记录器或PDR这样的装置来描述元数据的处理。图1概略地说明了内容解析(content resolution)的处理。PDR10被指示用来记录由内容参考标识符CRID标识的内容项。指示PDR来记录内容项,或者换句话说对可以各种方式实现的内容项记录安排时间。目前最常用的方式是用户手动地指示要记录的内容项,例如通过在EPG中选择内容项。很容易理解,以下归于PDR的部分或所有的功能还可以并入一个或多个其他装置中,诸如电视接收机,机顶盒或个人计算机。具有适当格式的计算机可读指令的计算机程序产品12,诸如光盘或固态存储器,可用于存储或分布实施本发明的程序指令。
PDR或连接PDR的另一装置可以配备来确定客户可能感兴趣的内容项的种类。这已知为用户描述或推荐系统。通过明了客户观看的内容项,并利用这种内容项的隐式和/或显式等级系统,能够以各种不同精确程度来预测客户可能感兴趣的其他内容项。从而,使自动记录客户很可能感兴趣的内容项成为可能。然后,可以通过PDR记录这种内容项。用于用户描述的许多技术在本领域是公知的。当PDR使用用户描述来确定可能感兴趣的特定内容项时,就将对内容项安排时间进行记录。
使用内容项的CRID有助于内容项的自动记录。CRID可以由用户手动地输入,或者可以是通过电子节目指南选择内容项的结果。这第二种选择假定CRID连同EPG中使用的其他元数据一起,由CRID提供者实体13以某种方式一起提供给PDR。或者,如果CRID不为用户或者PDR所知,那么用户可以例如使用元数据数据库中的内容项的标题进行搜索,并从搜索结果中选择所需的内容项。然后通过搜索引擎将CRID提供给PDR。
将CRID提供给PDR有许多的其他方式。例如,通过以某些方式(例如水印)嵌在商业内容中的CRID来对电影的预告片或试映进行广播。然后,用户可以按动遥控器、电视或PDR上的按钮。PDR或电视然后从商业内容中抽取CRID。
一旦知道所需内容项的CRID,则PDR就试图使用作为输入的CRID来获取内容项的定位符信息。这个定位符信息没必要始终可用。例如,CRID可以指目前仅在电影院放映的电影。这个电影在未来近期内不太可能在电视上广播,因此不能使用EPG信息来安排时间。在这种情况下,由于定位符可能在以后会变得可用(例如一年后,当电影将在电视上广播时),因此PDR将定期地试图获取定位符。CRID还可以指电视连续剧,该电视剧然后被分解成对于该连续剧的单独剧集的若干CRID。有可能对于某些剧集没有可用的定位符信息。在这里,PDR还将定期地重试来获取这些剧集的定位符。
在即时电视中,将CRID转换为定位符信息的处理作为位置解析已经是公知的。位置解析包括将位置独立的内容参考(CRID)映射到其在时间(例如广播系统中所安排的发送时间)和空间(例如,电视频道,IP地址)上的位置。如上所述,这些时间和空间的位置被称为″定位符″。位置解析的处理可以发生在PDR内部,或者通过使用物理上的远程服务器来进行,诸如使用因特网上的服务器。
对于PDR,CRID实质上包含不透明的信息,其在没有外部帮助的情况下不能解析为位置。提供CRID的定位符信息的解析提供者(RP)来解决这个问题。通常,多个RP是可用的,并且PDR必须知道用于特定CRID的是哪个RP。通常,这是产生CRID的相同本体。如上所述,授权者的名称存在于<授权者>字段中的CRID中。这个名称是以注册的因特网域名的形式存在的。使用即时电视技术规范SP004中规定的域名解析处理,就可以在因特网上发现解析授权者(RA)15。
每个RA都需要一个或多个解析授权者记录(RAR),以存在于PDR中用于进行位置解析的发生。需要将每个解析授权者记录置于某种传送特定容器内部,其使得PDR能够知晓这是RAR。在用于相同授权者的多个记录的情况下,PDR可以仅选择其中的一个,或者依次试用全部。解析授权者记录(RAR)包含标识了其中可以发现内容参考解析信息的RA的信息。
通过使用RAR,PDR确定要使用哪个RP来解析特定的CRID。然后,PDR向当前解析提供者提交对附有CRID的位置的请求。响应于该请求,解析提供者返回定位符信息(当然,假定这个信息在RP中可用)。然后PDR可以访问内容源并获取内容项。例如,如果该内容项被多次广播或者可从多个提供者那里可得到,那么该内容项可能有一个以上的定位符。然后,PDR可以选择要使用哪个定位符,或者提示用户做出选择。
一旦获得定位符信息,PDR就等待特定的日期和时间,然后随着在特定频道上播放而记录该剧集。当然,如果定位符指示了因特网等上的位置,那么一旦其变得可用,PDR就可以仅从所指示的位置中检索该内容。
在适当时刻,可以通过PDR来记录用于定位符信息对其可用的内容项。为此,PDR可以包括像足够大的硬盘这样的本地存储器,和/或像DVD+RW记录器这样的装置。存储内容项的存储器不必是PDR的本地存储器,也可以是外部装置,诸如通过家庭网络连接到PDR的硬盘或文件服务器。一旦记录了内容项,在擦除这些内容项之前可以在任何时候播放它们。
使用上述方法,知道内容位置的任何人可以充当解析提供者。然而,内容及服务提供者可能想只允许授权的解析提供者对他们的内容进行内容解析,例如能够保护他们的信誉。另一方面,对于客户和PDR而言,重要的是能够相信/信任CRID授权者及解析提供者,从而可以获取正确的内容。
如果PDR依照数字权利管理(DRM)系统进行操作,那么在与内容项关联的权利要求这种擦除时,可以擦除内容项。同时,某些内容项可能根本不带有记录项目的权利,或者带有只允许短时间或有限次观看的权利。当超过该限制时,PDR将擦除内容项,或者拒绝进一步访问该内容,直到获得允许进一步访问的权利。在通过加密进行传送期间,客户盒中接收的内容可以受到保护。在访问内容之前,必须对内容进行解密。这个处理由DRM或条件访问(CA)系统来控制。
即时电视技术规范区别了两种不同的分布方法单向和双向。在单向情况下,即时电视数据是具有适当常规信号发送的广播流中的另一个流。使用常规的条件访问系统,例如扰频,可以保护对这个流的访问。使用为传送机制定义的常规信号发送方法,标识该条件访问系统,并指示携带有与这个流关联的条件访问信息的消息。多数数字广播系统使用MPEG-2传送流格式(ISO/IEC 13818-11996(E),Information technology-Generic coding of moving pictures andassociated audio informationSystems,第一版,1996-04-15)。
在双向的情况下,在客户机和服务器之间进行点对点连接。这个处理在即时电视文献SP004v1.2,Specification series S-4onContent Referencing,版本1.2,Final Specification,2002年6月28日,ETSI TS 108822-4中进行了描述。DRM系统将向服务提供商打开安全信道,并通过这个信道进行通信。在这种方式下,将保证只有授权的即时电视客户端才可以访问内容。
尽管广播系统中的现有CRC机制将处理传送错误,但是其还希望检测有意图的变化以及验证由所声明的信号源产生的信息。
即时电视数据的源并不总是数据的创建者。该源可能是收集并分组来自不同源的信息的服务提供者。还可以通过PDR从不同的源中检索数据。因此,接收的数据将保持由不同源提供的部分。这对检测是谁创建数据以及数据是否被改变很有用处。这些将使用签名来进行。
所有的TVA元数据是作为TVA片段来提供的。在TVA中,根据元数据技术规范(即时电视文献WD647/SP003v1.3,A部分,Specification series S-3on Metadata Schemas,版本1.3,2002年12月15日,ETSI TS 102822-3),TVA片段是″元数据自包含的基本部分″。在这个文献中,假定可以签名的最小的TVA元数据元是片段。
本发明包括用于唯一地标识即时电视片段的标签的定义,以便将片段链接至签名。这是通过向每一即时电视片段中添加的可选字段来进行的。当提供时,这个唯一标识符是这个元数据实例内的该片段实例的唯一标识。该唯一标识符使得易于跟踪元数据内的片段。这是为找出要求计算签名的不同片段所需要的。
图2示出了即时电视所定义的不同片段。为了支持签名,所有的片段都具有可选的或必需的用于标识片段的唯一标识符。在即时电视技术规范内,在这些片段中使用了称为TVAID的字段。根据上述元数据技术规范,TVAID用于″指示元数据描述内的唯一性″。尽管它们似乎与标识符的要求相匹配,但是它们仅对特定类型的TVAID是唯一的。例如serviceID和segmentID在特定的元数据描述中可以是相同的。
实现唯一标识符概念的几个变体是可能的。
在本发明的第一变体中,TVAID被用作参考标识符。如果签名中所使用的参考指示上下文(例如服务或片段),就提供唯一标识符。如果所有的片段都具有一个(或增加一个),并且确定了使用TVAID可在TVA元数据的这个实例内产生片段的唯一参考,那么可以使用TVAID。
在第二变体中,特殊的TVA签名标识符被作为可选字段添加到所有的片段中。为此目的,定义了TVAID或新的标识符。图3a示出了添加到每个TVA片段中的范例标识符的XML定义,其唯一地标识了元数据内(或元数据的相关实例内)除了相同类型的片段以外的片段。为了能够参考每个片段(或片段组),用于所有即时电视片段的格式的一个实例可添加TVA SignatureId属性,如图3b所示的形式定义。
本发明另外的有益变体保证了标识符在元数据内的相同类型的片段之中是唯一的,这是通过启用带有负责产生片段的组织的DNS名称(或另一唯一标识)的标识符来实现的。这也将使得客户端能够检测是哪个组织发布了数据。由MyCompany公司发布的片段的范例TVASignatureId可以看作图3c所示的那样。
对每个单独片段或片段组进行标签、并使用参考进行签名具有下列好处当正确选择时,该参考将提供从签名文件到片段的链接。此外,唯一标识符提供了片段和包含签名的数据之间的链接。
由于所有的TVA元数据都是以XML表示的,因此允许以相同数据结构携带签名的表达签名的传送中性方式可能包括TVA方案中的签名。由于即时电视元数据是以XML的形式表达的,因此xmldsig是适当的选择,但是当然也可以定义其他基于XML的签名方案。
根据xmldsig标准,可以存储签名。另外,唯一标识符的参考指示使用哪个片段用来计算签名。虽然唯一标识符标识了片段,但是其不定义在整个TVAMain的何处可以发现这个片段。为了便于在元数据内搜索正确的片段,参考(根据RFC2396的URI格式定义的)应优选地也指示该位置。因此,本发明的扩展增加了可选的位置指示符,以指示为了对片段进行定位而必须采用的通过元数据的路径。
根据本发明,包括唯一标识符的片段URI的合适的示范性定义可以定义为″tva//<path>/<TVASignatureId>″,其中<path>是从元数据的起点指向片段的路径,而TVAID是片段的标识符。
还有一些例子″tva//TVAMain/aap.org;132423″,″tva//TVAMain/ClassificationTable/CSAlias/publisher.com;122314″,和″tva//TVAMain/ProgramDescription/ProgramLocationTable/Schedule/metwt.org;320984″。第一个例子说明也可对完整的TVAMain元数据文档进行签名。在这种情况下,应考虑不具有证书和签名部分的所有TVAMain。
因为在这个具体实施例中,唯一标识符(诸如TVASignatureId)用在URI中以指示片段,因此标识符应与对于如RFC2396描述的URI所设置的格式化限制相兼容。此外,为了减轻对URI的分析,在TVASignatureId中没有使用斜线符号(″/″)。
TVASignatureTable将提供被签名的数据和签名列表之间的分组;图4a和图4b示出了这种表的示范性定义。在这个定义中,存在包括其他即时电视元数据文档的选项,诸如这个表中的ContentReferencingTable和ResolvingAuthorityRecordTable。这具有下列好处,由于它们只出现一次,表和URI中的元数据不需要唯一标识符。
将TVASignatureTable定义成如图4c所示的那样。可以存在有0个或更多签名。由于系统中数据可能不可用、尚不可用、或不再可用,因此并不是始终包括所有可用于TVASignatureWrapper中所指示的数据的签名,并且也不是始终存在所有通过各种签名保护的片段。递送系统的实现将不得不注意在需要时相关片段和签名的存在。在双向递送系统中,可以下载丢失的片段或丢失的签名。
一种定义需要被签名的片段的不同方式是通过(根据RFC3275)定义转换函数来进行的,其从不考虑签名的元数据中去除一些或所有的元素。
为了检查签名,就需要应用了签名的一方的相应公共密钥。可以按几种方式来分布这些密匙。可以在装置中对它们进行硬编码,但是由于使用新的密匙或当对当前密匙进行妥协时将出现问题,因此分布密匙的最常用的方式是将它们并入所谓的证书链(″AppliedCryptography Second Editionprotocols,algorithms,andsource code in C,Bruce Schneier,Wiley,1996″)中。因此为了检查签名,除了签名数据外,还需要提供签名的一方的证书。为了支持在TVASignature封装内携带这种证书,TVASignature允许包含一个或多个dsKeylnfo对象。图5示出了指示一个附有标识符的KeyInfo对象列表的XML复杂类型。
为了能够从签名中涉及Signature中的KeyInfoWrapperTable中的KeyInfo元素,参考URI定义为″tva//KeyInfoListTable/<Identifier>″,其中<Identifier>是在KeyInfoWrapperType中指示的标识符。因此,其他的一些例子为″tva//KeyInfoListTable/132423″,″tva//KeyInfoListTable/435432h″,和″tva//KeyInfoListTable/MyKeyInfo″。
这使得能够包含证书及通信Keylnfo对象的其他选项。它还指示如何将它们链接至签名。
使用X509证书,还可以存储(公共)密匙,其中509证书中的主题字段也可以包含标识密匙源的不同的唯一标识或组织名称。这提供了又一种确定数据真正是由声称已对其签名了的组织所签名的方式。
签名可以使用一种适当的算法来产生,诸如DSA或RSA签名生成算法。
如xmldsig技术规范所解释的那样,可以多种方式对文本进行编码。为了计算签名,必须定义文档的一种定义的表达方式。这个处理被称作cannolization。在即时电视内,BiM用作对即时电视数据进行二进制编码的二进制规则。当使用BiM编码时,BiM应该表示为cannolization函数。这使得客户端能够在不需要首先抽取数据的情况下,使用BiM编码的文件来计算签名值。转换及cannolization函数用于处理内容,因此产生唯一的、始终相同的一组字节,并在其上计算签名。
为了也保护对唯一标识符的参考的完整性,可以将它们隐式或显式地包括在要签名的数据中。如上及有关图5的描述,还可以将签名用于保护在系统中所用的不同表。
通过增加签名索引文件,可以提供更精细的搜索选项。这种索引文件将唯一标识符链接至适当的签名文件。
如″ISO/IEC 13818-61998,Information technology-Genericcoding of moving pictures and associated audio informationExtensions for Digital Storage Media Command and Control,1998″和″ETSI TS 102 812 V1.1.1(2001-11),Digital VideoBroadcasting(DVB);Multimedia Home Platform(MHP)Specification 1.1,2002年6月28日″所描述的那样,通过计算内容上的散列并使用公共密钥密码对散列签名,可以实现数字签名。
相对于签名的位置,本发明存在着两种变体。
在本发明的第一个变体中,以签名片段扩展元数据对象(诸如TVAMain),因此其将包括签名信息。如果在如通过即时电视指示的正态分布系统中分布并访问签名,那么这是非常有利的。
在本发明的第二变体中,例如通过定义封装来单独地提供签名,该封装包括TVAMain,或许也包括其他需要签名的元素。由于这将不会改变当前的元数据技术规范,并且其还将允许包括其他的即时电视文档(例如ContentReferencingTable和ResolvingAuthorityRecordTable),因此这是非常有利的。
根据本发明的系统支持单个或多个片段上的签名。这具有下列好处,即能够签名一组片段,这比签名每个单一片段更为有效。其还具有其他优点,即其尽可能地保持与单向和双向分布系统的兼容,同时依据现有的元数据技术规范使改变的程度最小化。
上述实施例所使用的措施可以单独使用,但是也可以结合这些措施以提供更好的保护,或者对多方面的威胁提供保护。
应注意,上述具体实施例仅用于说明而不是限定本发明,并且本领域熟练的技术人员将能够在不脱离附加权利要求的范围的情况下设计出多个可选的实施例。
在权利要求中,置于扩号内的任何参考符号都不应被看作是对权利要求的限制。术语″包括″不排除除权利要求所列出的元件或步骤之外的其他元件或步骤。术语元件之前的″一个″或″一种″不排除多个这种元件的存在。通过包括几个不同元件的硬件以及通过适当编程的计算机,可以实施本发明。
在列举了几个装置的产品权利要求中,这些装置中的部分装置可以通过的一个和相同的硬件来实现。在相互不同的独立权利要求中描述某一措施的这一事实并不意味着这些措施的组合不能有利地使用。
当然,上述技术还可以用于即时电视的范围之内和之外。
权利要求
1.一种提供数据完整性验证和数据保护的方法,其中通过签名来保护一组数据片段,其特征在于该组中的每个数据片段都包括其自己的唯一标识符,签名包括参考该组中的数据片段的各个唯一标识符。
2.根据权利要求1所述的方法,其中通过多个签名来保护所述组,并且其中多个签名可以来源于不同的源。
3.根据权利要求1所述的方法,其中为每个数据片段产生散列,并且该组中的数据片段的散列用于计算签名。
4.根据权利要求1所述的方法,其中数据片段是以XML表达的。
5.根据权利要求1所述的方法,其中数据片段组成即时电视元数据。
6.根据权利要求1所述的方法,其中根据xmldsig标准存储签名。
7.根据权利要求1所述的方法,其中数据片段组由转换函数定义在数据片段的超集上。
8.根据权利要求1所述的方法,其中在产生签名之前使用cannolization函数。
9.根据权利要求1所述的方法,其中也通过签名来保护参考。
10.根据权利要求1所述的方法,其中添加至少一个签名索引文件。
11.根据权利要求1所述的方法,其中特定数据片段中的唯一标识符以产生特定数据片段的组织的唯一标识为开始。
12.根据权利要求11所述的方法,其中唯一标识是该组织的DNS名称。
13.根据权利要求1所述的方法,其中所述参考附有指示该参考所指向的数据片段的位置的位置指示符。
14.根据权利要求13所述的方法,其中位置指示符指示数据到所参考的数据片段的路径。
15.根据权利要求4所述的方法,其中签名包括在XML文档中。
16.根据权利要求4所述的方法,其中签名提供在封装XML文档中,包括原始XML数据文档。
17.根据权利要求4所述的方法,其中签名提供在单独的XML文档中,涉及原始XML数据文档。
18.一种提供数据完整性验证和数据保护的系统(20),所述系统被设置为接收并处理数据片段,其中一组数据片段可以通过签名来保护,其特征在于所述系统包括用于接收并处理该组数据片段的装置,每个数据片段都由唯一标识符所标识,所述系统还包括下述装置中的至少一个使用它们的唯一标识符而将签名与受保护该组数据片段相关联的装置,使用受保护的数据片段的唯一标识符检验与所述组有关的签名的装置,以及通过它们的唯一标识符产生参考所述受保护的数据片段的签名的装置。
19.一种提供数据完整性验证和数据保护的签名装置(13-15),所述装置被设置为处理数据片段,所述装置被设置为产生保护一组数据片段的签名,其特征在于所述装置被设置为对通过包括在数据片段中的唯一标识符而保护的每个数据片段进行寻址,以及所述装置被设置为产生包括涉及该组数据片段的唯一标识符的签名信息。
20.一种检验数据完整性验证和数据保护的检验装置(10),所述装置被设置为处理数据片段,所述装置被设置为检验签名以保护一组数据片段,其特征在于所述装置被设置为对通过包括在数据片段中的唯一标识符而保护的每个数据片段进行寻址,以及所述装置被设置为检验包括涉及该组数据片段的唯一标识符的签名信息。
21.一种包括数据片段的信号(11),其中一组数据片段由签名来保护,其特征在于该组中的每个数据片段都包括其自己的唯一标识符,以及签名包括参考该组数据片段的唯一标识符。
22.一种用于实施权利要求1所述方法的计算机程序产品(12)。
全文摘要
本发明涉及一种保护即时电视元数据的完整性的方法、系统、装置和信号,以及一种据此携带这种受保护信息的信号。这种保护是通过应用签名和认证方法来实现的。可选地,可使用一个cannolization或转换函数的附加步骤。数据片段可以使用唯一标识符标记,因此可以由几个不同方来参考并单独或成组地标记这些数据片段。
文档编号H04N7/173GK1706169SQ200380101618
公开日2005年12月7日 申请日期2003年10月17日 优先权日2002年10月18日
发明者S·A·F·A·范登休维, A·S·R·阿斯勒伊 申请人:皇家飞利浦电子股份有限公司