专利名称:用于调节解密密钥的方法和装置的制作方法
技术领域:
本发明涉及用于解密内容的密钥,所述内容诸如数字电影呈现
(presentation )。
背景技术:
当今,越来越多的电影院现在以数字形式而非模拟形式(例如胶片)放 映(display)内容。展播会场(例如电影院)中的典型的数字电影系统包括 媒体块,其用于为了后续的放映而解密数字电影内容。媒体块使用与内容相 关联的解密密钥来执行解密。电影和电视工程师协会(SMPTE)发布了标准 430-1 Digital Cinema Operation Key Distribution Message ( KDM ),戶斤述才示;# 描述充当用于解密以前被加密的数字电影内容的密钥的KDM消息。KDM
隔 (validity interval ), 为 了 在 ContentKeysNotValidBefore 和 ContentKeysNotValidAfter元素中的非才又威(non-authoritative )人类可读性而 重复所述NotValidBefore和NotValidAfter字^殳的条目。
媒体块包括在制造时所设置的安全时钟(Secure Clock )。安全时钟不应 漂移多于每年5分钟,这是当前所允许的阈值。媒体块的安全时钟充当用于 评估密钥相对它们的有效性间隔的可用性的机制。如果由媒体块中的安全时 钟所决定的当前时间和日期处于密钥的有效性间隔之外,那么々某体块将拒绝 使用该密钥来解密内容。(只要有效性间隔保持在当前,即该间隔与当前时 间重叠,则媒体块可以使用另一密钥来解密相同的内容,即使该密钥具有不 同的有效性间隔。)
在接近密钥的有效性间隔的开始和结束的时刻,安全时钟的精确度变得 至关重要。如果在制造之后的数年安全时钟漂移了十五或二十分钟,那么媒
假定电影院具有在午夜的特定的数字电影呈现的预先安排的放映,并且拥有 其有效性紧接在该时间之后过期的密钥。因而,被安排在12:01 AM开始的放映即使具有十或十五分钟的预告片,也可能在12:15 AM不能经历放映完 成(playout),其干扰了预先安排的表演。
因而,存在对适应媒体块中的安全时钟的漂移的技术的需要。
发明内容
筒要地,根据本原理的优选实施例,提供了一种用于适应数字电影系统 中的媒体块的安全时钟中的漂移的方法。该方法包括根据安全时间值和当前 时间值之间的时间差来调节用于解密内容的密钥的有效性间隔的步骤。
图1描绘了用于实践本原理的密钥调节技术的数字电影系统的示意框 图;以及
图2描绘了根据本原理的示例实施例的用于调节密钥的有效性间隔的方法。
具体实施例方式
图1描绘了具有典型地在电影院或相似的展播设施中存在的类型的数字 电影系统100的示例实施例,所述电影院或相似的展4番设施用于呈现原始地 以数字形式接收的内容(例如电影)。在实践中,数字电影系统100包括屏 幕服务器(Screen Server )110,其接收和解密加密内容,以用于通过链路122 传递而由投影仪120接收,所述投影仪120用于在屏幕(未示出)上显示解 密后的内容。屏幕服务器110包括媒体块112和安全时钟114。媒体块112 使用在下文中所描述的密钥来以众所周知的方式执行内容解密。为了该原 因,媒体块112是安全的和防篡改的。如在下文中更详细地描述的那样,安 全时钟114向媒体块112提供用于与内容解密相联系的时间和日期信息。优 选地,屏幕服务器110具有控制面板124,其使手动操作便利。可以通过电 影院管理系统(TMS)或通过网络操作中心(NOC)(未示出)远程地发生 屏幕服务器110的控制。
屏幕服务器110从数据库116访问加密内容,所述数据库116可以存在 于屏幕服务器的内部、或如图l所示存在于其外部。如果投影仪120和媒体 块112不一起位于安全外壳(未示出)内,则链路112将典型地使用在投影仪和媒体块之间所协商的独立的加密技术,以减少数字内容被数字地复制的 风险。
密钥生成器150生成由媒体块112所使用的密钥,所述密钥对于响应由 订单输入(Order Entry)设备156生成的订单输入来呈现加密内容116来说 是必要的,所述订单输入设备156可以采取人类操作的终端的形式或自动订 单收集和生成系统的形式。在实践中,密钥生成器150不位于展播会场处。 由密钥生成器150所接收的订单输入典型地具有展播电影院的当地时间中所 指定的有效性间隔,所述有效性间隔定义何时密钥变为有效以及何时密钥过 期。 一般地,密钥生成器150生成以格林威治标准时间(GMT)来表示其有 效性间隔的密钥。为了保证从订单输入中所包含的当地展播时间的恰当偏 移,密钥生成器150典型地在连接152上访问屏幕服务器数据库132以决定 与目标展播电影院相关联的时区偏移,所述连接152优选地是安全的。
为了由i某体块112进行的接收而从密钥生成器150向屏幕服务器110进 行的密钥的传递在传递信道154上发生。传递信道154可以采取若干不同形 式中的一种。在实践中,传递信道154可以包括有线链路(包括但不限于金 属和/光纤导体)和/或无线链路。传递信道154还可以包括用于传递一个或 多个被物理地运输到展播电影院的包含密钥的存储器的共用载体。电影院管 理系统(未示出)可以包括密钥传递信道154的部分。优选地,密钥传递信 道154包括横穿因特网140或替代通信信道(未示出)的网络连接。优选地, 这样的网络连接采取密钥生成器150和展播电影院之间的虚拟专网(VPN) 的形式。或者,无论传递方法为何,电影院管理系统可以充当密钥的传递和 屏幕服务器110之间的中间物。
根据本原理的示例实施例,安全时钟监视器130经由时钟监视器信道 134来监视安全时钟114。如同密钥传递信道154那样,时钟监视器信道134 优选地包括可以穿过电影院管理系统以将关于安全时钟114的信息中继至安 全时钟监视器130的网络连接。安全时钟监视器130将安全时钟114的时间 值与由参考时钟142提供的时间值比较。代替监视参考时钟142的安全时钟 监视器130、或除了该安全时钟监视器130之外,安全时钟114、屏幕服务 器110和/或电影院管理系统(未示出)可以执行这样的监视。
参考时钟142可以包括多个同步化的时钟,而非单个时钟。在网络时间 协议(NTP)被用作参考时钟142的代理时,可以使用.NTP提供本地时钟(未
6的访问典型地经由连接144通过因特网140而存在。本领域技术人员将认识到,与参考时钟(例如通过NTP)维持同步的本地时钟可以充当将安全时钟114与参考时钟142进行比较的基础。安全时钟监视器130在链路136上将这样的比较的结果传输至屏幕服务器数据库132,以便存储。
安全时钟监视器130优选地通过读取所存储的、关于安全时钟114的先前所监视的值的信息,来限制被输入至屏幕服务器数据库132的值。这样的
时钟的上次更新以来的预定的相等漂移率的限制。例如,假定所预期的最大漂移率R将不超过每年300秒(五分钟),而策略(policy ) P允许将安全时钟以多至预期最大漂移率的200%来重设。那么,如果自从上次更新以来的时间T为一年的1/12 (—个月),则安全时钟114的当前偏移的最大可允许改变不应超过由R*P*T=300*2.0*1/12等于50秒给定的值。违反限制规则的尝试优选地引起警告,操作者可以无视(override)所述警告,但警告的记录将保持。
安全时钟监视器130还优选地跟踪对于媒体块112或安全时钟114来说唯一的标识符,所述标识符例如为密文证书。以此方式,在服务器110或媒体块112的替换时,安全时钟监视器130可以检测不同的安全时钟114的存在,以及在数字电影系统100中可能适用关于改变该时钟的偏移的不同的规则。
优选地,在使用安全的简单网络管理协议第3版(SNMPv3)的网络连接上发生由安全时钟监视器130进行的安全时钟114的监视。使用该协议允许媒体块112或安全时钟114验证对关于当前时间的询问的响应。但是,本领域技术人员将认识到,存在提供被验证的通信的许多其他协议,所述被验证的通信适用于保证安全时钟提供所报告的时间。或者,如果来自安全时钟114的对当前时间的响应缺少验证,但以前的、被信任的结果存在于屏幕服
前提下,未被验证的报告可以用于更新屏幕服务器数据库,所述规则和策略诸如上面所给出的例子。
在特别适用于数字电影系统100缺少与因特网140或其他通信网络的连接的情况的另一实施例中,时钟监视器信道134可以包括人类操作员,其询问安全时钟114并且将其值报告至安全时钟监视器130、或具有接口 (未示出)以及对安全时钟监视器的访问能力的远程操作员。如前面那样,只要以前的、被信任的结果存在于屏幕服务器数据库132中,那么在报告不违反用于更新的任何规则或策略的前提下,手动地提供的报告可以用于更新屏幕服务器数据库。优选地,安全时钟114例如可以向控制面板124提供简洁的、人类可读的报告,所述报告包括并入了关于当前读取值(reading)和媒体块112或安全时钟114标识两者的信息的校验和(checksum ),以提供对通过控制面板124错误地输入的或错误地分配的条目的检测能力。注意通过控制面板124向安全时钟监视器130提供的手动更新很可能将具有比自动地收集的读取值更差的精确度。相比用于自动读取的规则,存在用于这样的较低精确度读取的不同的规则。
在替代的实施例(未示出)中,电影院管理系统可以具有管理多个数字电影系统的责任,所述多个数字电影系统例如为在单个展播电影院处的全部数字电影系统。在这样的情形中,电影院管理系统将具有对它所负责的每个安全时钟114的访问能力。随后,电影院管理系统将与每个数字电影系统的安全时钟监视器130交互,并且传送关于每个安全时钟114的精确度和漂移的信息。此外,电影院管理系统MS例如^f吏用NTP,可以具有对参考时钟142的直接的或间接的访问能力,并且可以向安全时钟监视器103报告每个安全时钟114相对参考时钟142的当前偏移。
图2以流程图的形式描绘了用于监视(并在需要时调节)安全时钟112的过程200和用于调节(例如偏置)密钥以解决安全时钟中的偏移的过程250的步骤。如在下文中所描述的那样,安全时钟监视过程200提供在图l的屏幕服务器数据库132中所存储的、在密钥调节过程250期间所使用的数据。
安全时钟监视过程200在图2的步骤202期间的在图1的安全时钟监视器130的初始化(例如启动)时开始。这样的初始化可以手动地发生或在事件(例如展播电影院中新内容的接收)发生时发生。优选地,在预先安排的、周期性的基础上(例如每周)发生安全时钟监视器130的初始化。在步骤204期间,发生典型地经由NTP的图1的参考时钟142的读取。或者,可以在步骤204期间发生具有与参考时钟142的牢固的同步的时钟的读取。在步骤206期间,读取图1的安全时钟114。优选地,步骤204和206之间的间隔足够小,以使其可忽略。替代地,该间隔可以具有有限的已知值,或可以被测量,在所述情况中将该间隔加至在步骤204期间所获得的参考时钟142的读取值。
在步骤208期间,决定安全时钟114相对参考时钟142的偏移之间的差,并且将该值与在步骤204期间所获得的参考时钟142的读取值共同存储在屏幕服务器数据库132中。或者,因为可以在以后计算偏移值,所以在步骤206期间所获得的安全时钟114的读取值、而非偏移值可以经受存储。
在步骤210期间,可以使用当前读取值、并且从先前读取值来计算图1的安全时钟114的漂移率,所述当前读取值在图2的步骤206和208期间建立,所述先前读取值从相同的安全时钟114获得、并且之前被记录在图1的屏幕服务器数据库132中。如同本领域中众所周知的那样,可以通过根据下面的关系将较后偏移和较早偏移的差除以两个偏移之间时间流逝的量,来计算时钟漂移速率
其中Sn和rn分别为安全时钟114和参考时钟142分别在对应的读取值n处的当前值。如果s和r的值是以秒为单位的,那么以所流逝的每秒的漂移的秒数来测量漂移,所述所流逝的每秒的漂移的秒数不应超过每秒土0.158ps (即每年5秒)。
在图2的步骤212期间,观察到的漂移率经历评估以决定可接受性。如果观察到的漂移率落在可接受限制之外,则该过程执行到步骤214的分支,在所述步骤214期间,发生警告的生成,以指示对与时钟漂移相关联的规则或策略的违反。在步骤216期间,操作者具有输入对规则或策略违反的无视的机会。在没有无视的情况中,该过程在步骤220期间结束。在步骤212期间发现漂移可接受时,或在步骤216期间的无视的发生时,对安全时钟114的权威偏移进行更新,并且将该值存储在屏幕服务器数据库132中。优选地,该更新包括具有相关法律(forensic )信息的注释,所述注释例如是对谁授权了该无视以及为什么进行该无视的标识。在更新权威偏移之后,安全时钟监视方法200在步骤220结束。
在步骤252的执行时开始密钥调节过程250的初始化,所述步骤252在从图1的订单输入设备156接收未完结的订单时发生,所述未完结的订单为了密钥生成而存在。在步骤254期间,发生密钥订单的接受。该订单典型地
9包括足够的信息以识别与具体的展播电影院相关联的媒体块112、加密内容 116的标识、以及与内容呈现的持续时间(经常被称为"合同运行时间 (contract run )")相关联的细节。典型的合同运4亍时间具有开始日期和结束 日期、,或运行持续时间,后者可选地被包含(即七天的默认值)。另外,合 同运行时间信息可以包括用于决定有效性间隔的开始时间或其他数据。因为 在GMT中指定典型地与密钥相关联的有效性间隔信息,所以在步骤256期 间,进行对屏幕服务器数据库132的访问以决定目标媒体块(即媒体块112) 的正确时区设置。虽然密钥订单可以指定具体的媒体块,但典型地密钥订单 仅指定展播电影院。本领域技术人员将认识到,访问指定了目标展播电影院 的屏幕服务器数据库132允许了对媒体块112、以及与媒体块相关联的信息 的容易的识别。
在步骤258期间,从屏幕服务器数据库132获取图1的安全时钟114的 权威偏移。如果数据库中没有偏移值存在,那么假定零偏移。在步骤260期 间,发生用于媒体块112的密钥的生成,以将加密内容116解密。该密钥将 具有从合同运行时间或在密钥订单中所描述的其他间隔来决定的有效性间 隔,但该有效性间隔被修改以使密钥具有根据时区设置的开始时间和结束时 间,所述时区设置适用于每个偏移加上权威偏移。另外,如果需要,可以使 用最近或长期漂移来进行权威偏移的外推(extrapolation )。如果流逝了长时 间(例如一年或更多),这变得具有重要性,因为安全时钟监视器过程200 在监视安全时钟中已经是成功
权利要求
1.一种方法,其包括步骤根据安全时间值和当前时间值之间的时间差来调节用于解密内容的密钥的有效性间隔。
2. 根据权利要求l的方法,其中调节步骤进一步包括步骤 读取安全时钟以获得安全时间值;以及 将安全时间值与当前时间值比较。
3. 根据权利要求l的方法,其中调节步骤进一步包括步骤 决定用于期望的展播位置的时区偏移;以及根据该时区偏移将有效性间隔从格林威治标准时间转换为当地时间。
4. 根据权利要求1的方法,其中密钥的有效性间隔的调节在订单的接 受时开始,所述订单用于生成用于内容解密的密钥。
5. 根据权利要求1的方法,其进一步包括步骤向媒体块分发有效性 调节之后的密钥,该媒体块根据密钥解密内容。
6. —种方法,其包括步骤根据安全时间值和当前时间值之间的时间差来调节内容解密密钥的有 效性间隔;以及根据该内容解密密钥来将加密的数字电影呈现解密。
7. 根据权利要求6的方法,其中调节步骤进一步包括步骤 读取安全时钟以获得安全时间值;以及 将安全时间值与当前时间值比较。
8. 根据权利要求6的方法,其中调节步骤进一步包括步骤 决定用于期望的展播位置的时区偏移;以及根据该时区偏移将有效性间隔乂人格林威治标准时间转换为当地时间。
9. 根据权利要求6的方法,其中密钥的有效性间隔的调节在订单的接 受时开始,所述订单用于生成用于内容解密的密钥。
10. 根据权利要求9的方法,其进一步包括步骤向屏幕服务器分发有 效性调节之后的密钥。
11. 数字电影装置,其包括安全时钟,用于提供安全时间值,所述安全时间值用于决定解密密钥的时间有效性;参考时钟,用于提供当前时间值;以及安全时钟监视器,用于建立安全时间值和当前时间值之间的时间差的 值,所述时间差用于调节与解密密钥相关联的有效性间隔。
12. 根据权利要求11的装置,其进一步包括用于存储该时间差的值的数据库。
13. 根据权利要求11的装置,其进一步包括密钥生成器,所述密钥生 成器用于根据在数据库中所存储的时间差的值来调节解密密钥。
全文摘要
在数字电影系统(100)中,安全时钟(114)可以随时间漂移,可以在接近解密密钥的有效性间隔的结束时呈现数字电影呈现的放映完成的能力。为了适应安全时钟的漂移,根据安全时间值和当前时间值的时间差来调节解密密钥的有效性间隔。
文档编号H04L9/30GK101669322SQ200780052906
公开日2010年3月10日 申请日期2007年5月8日 优先权日2007年5月8日
发明者威廉·G·雷德曼 申请人:汤姆森特许公司