专利名称:可互操作的密钥箱的制作方法
可互操作的密钥箱发明背景 发明领域本发明一般涉及数字媒体。更具体地,本发明涉及数字媒体的数字版权管理。
背景技术:
尽管数字媒体发行在普及性上增长并变成很多消费者购买零售物理媒体的可行 的替代物,在消费者能够毫无保留地完全接受数字媒体之前仍有相当多的障碍存在。这些 保留中的很多围绕着不同的回放设备或服务提供者之间的有限的互操作性,以及媒体文件 可在将来由于新的格式或保护方案而变得不可操作的可能性。例如,完善数字媒体发行渠 道可使用不兼容的媒体格式和私有的DRM系统,且由于财政困难或公司所有权改变而导致 的视频出售物的关闭或终止可能留给消费者再也不能被消费的媒体文件。因此,需要可以承受得位发行市场的变化并为消费者提供持续的服务的可互操作 的保护内容,而不考虑所使用的原始发行渠道和原始媒体文件格式。以这种方式,消费者可 容易转换服务提供者,在多种回放设备中使用被保护的媒体,并且保持被保护内容被确保 在将来回放的信心。类似地,内容制作者可保持依赖于被保护媒体的数字发行作为可行和 可维持的商业模式的信心。但是,为了通过简单地规定单个DRM方法来确保在最直接的方 法中的这样的可互操作性,很多现有的DRM系统和发行渠道可能需要根本上修改已建立的 和已证实的操作程序一一个可能在市场中找到很少的积极性的提议。另外,这将产生单个 漏洞安全点。因此,需要通过提供使数字媒体在不同的服务提供者和媒体设备中互操作的方式 以需要对现有数字版权管理范式、发行模式和消费模式尤其是关于密钥管理的最小的破坏 性改变的方法来克服技术中的缺陷和不足。发明概述提供了用于可互操作的密钥箱的系统和方法,实质上如在至少一个附图中示出的 和/或结合附图描述的,如在权利要求中被更加完整地阐述的。根据本发明的一个方面,提供了一种用于与内容相关联的数字收据的在线登记的 方法,其包括执行从第一分配器获取内容的业务;从第一分配器接收与内容相关联的数 字收据,其中数字收据包括关于业务的信息;以及将数字收据发送到中央密钥库(CKR)以 用于与内容相关联的数字收据的在线登记。优选地,数字收据包括关于消费者的数据、关于第一分配器的数据、关于业务的包 括业务类型和业务日期的数据、关于内容的元数据或关于CKR的数据。优选地,该方法还包括接收来自CKR的指示在线登记过程的成功或失败的返回值。优选地,数字收据的部分在数字收据的接收之前进一步被加密,或在数字收据的 接收之前进一步被数字地签名。
优选地,数字收据的被加密的部分使用CKR的公钥被加密。优选地,将数字收据发送到CKR是通过第一分配器。优选地,该方法还包括获取来自第一分配器的第一数字版权管理(DRM)许可证以 用于回放内容。优选地,该方法还包括将数字收据发送到第二分配器;以及从第二分配器接收 第二 DRM许可证以回放内容,第二 DRM许可证响应于第二分配器使用CKR使被发送的数字 收据有效而被授予。优选地,CKR还将一个或多个商业规则应用到包括在数字收据中的信息以验证被 发送的数字收据的有效性。优选地,所述发送步骤此外发送用户凭证,且其中第二分配器还认证该用户凭证 以验证被发送的数字收据的有效性。优选地,所述发送步骤此外发送用户凭证,且其中CKR还认证该用户凭证以验证 被发送的数字收据的有效性。优选地,用户凭证可用于使用包括所述第一分配器和所述第二分配器的多个分配 器来认证,且其中CKR还通过对照第三方认证服务器验证用户凭证来验证被发送的数字收 据的有效性。优选地,第二分配器还对使用相同的数字凭证认证的数字收据的另外的在线登记 询问CKR,且其中从第二分配器接收还包括可与所述第二分配器一起使用来得到与所述另 外的在线登记相关联的内容所有权密钥的另外的DRM许可证。优选地,该方法还包括,在接收第二 DRM许可证之前执行另外的业务以得到来自 第二分配器的第二 DRM许可证。优选地,该方法还包括将数字收据重新发送到CKR以用于提供业务的证据;响应 于CKR使用在线登记验证被重新发送的数字收据的有效性而从CKR得到所有权密钥,从而 确认业务的证据;以及使用从CKR得到的所有权密钥发起内容的回放。优选地,该方法还包括将数字收据重新发送到CKR以用于提供业务的证据;从 CKR所提供的多个分配器中选择第三分配器,其中所述多个分配器由CKR验证以拥有对与 数字收据相关联的内容的分发特权;以及从第三分配器接收第三DRM许可证以回放内容, 第三DRM证书响应于CKR使用在线登记向第三分配器转发被重新发送的数字收据的有效性 而被授予,从而确认业务的证据。优选地,所述重新发送步骤此外发送用户凭证,且其中CKR还认证该用户凭证以 验证被重新发送的数字收据的有效性。优选地,所述重新发送步骤此外发送用户凭证,且其中第三分配器还认证该用户 凭证以验证重新发送的数字收据的有效性。根据本发明的另一方面,提供了一种由第一分配器使用以使客户端能够回放使用 所有权密钥加密的内容的方法,其包括从客户端接收与内容相关联的数字收据,其中数字 收据包括与客户端与第二分配器进行的业务相关的信息以用于实现内容的回放;询问中央 密钥库(CKR)以使用数字收据的相应的在线登记验证被接收的数字收据的有效性;生成可 由客户端使用来通过第一分配器得到所有权密钥的DRM许可证;将DRM许可证发送到客户 端;以及响应于客户端使用DRM许可证而向客户端提供所有权密钥。
优选地,该方法还包括将使用所有权密钥加密的内容发送到客户端。优选地,该方法还包括对使用与被接收的数字收据相同的用户凭证认证的数字 收据的另外的在线登记询问所述CKR ;生成可由客户端可使用来得到与另外的在线登记相 关联的内容的所有权密钥的另外的DRM许可证;以及将另外的DRM许可证发送到客户端。根据本发明的又一方面,提供了一种向分配器分发媒体内容的方法,其包括获取 第一密钥、第二密钥和内容;使用第一密钥加密第二密钥以生成被加密的第二密钥;使用 第二密钥加密内容以生成被加密的内容;生成包括被加密的第二密钥的密钥信息文件;生 成包括被加密的内容和中央密钥库(CKR)的第一网络地址的通用文件;为CKR中的存储器 提供密钥信息文件;以及向分配器提供通用文件。优选地,接收通用文件的至少两个分配器使用用于将内容分发到消费者的不同的 数字版权管理(DRM)方案。优选地,获取第一密钥包括接收来自CKR所信任的证书授权的第一密钥。优选地,获取第二密钥包括生成第二密钥。优选地,该方法还包括获取与内容相关的内容信息,其中密钥信息文件通过将内 容信息包括在密钥信息文件中而生成。优选地,生成通用文件包括在内容的加密之前编码该内容。优选地,生成通用文件包括使用MPEG-4容器格式来格式化被加密的内容、第一网 络地址和内容信息。优选地,内容信息包括通用唯一标识符(UUID)、国际标准视听资料号(ISAN)和内 容所有者标识。优选地,该方法还包括获取与内容相关的内容信息,其中通用文件通过将内容信 息包括在通用文件中而生成。优选地,内容信息包括通用唯一标识符(UUID)和国际标准视听资料号(ISAN)。优选地,为CKR中的存储器提供密钥信息文件还使用CKR来转录密钥信息文件,使 得分配器可使用与第一密钥相关的第三密钥来解密被加密的第二密钥并重新获取第二密 钥。优选地,第一密钥是分配器的公钥,且其中第三密钥是分配器的私钥。优选地,第一密钥是对称密钥,且其中第三密钥是分配器可得到的对称密钥。根据本发明的再一方面,提供了一种用于向分配器分发媒体内容的通用文件打包 器,其包括处理器,该处理器设置为获取第一密钥、第二密钥和内容;使用第一密钥加密 第二密钥以生成被加密的第二密钥;使用第二密钥加密内容以生成被加密的内容;生成包 括被加密的第二密钥的密钥信息文件;生成包括被加密的内容和中央密钥库(CKR)的第一 网络地址的通用文件;为CKR中的存储器提供密钥信息文件;以及向分配器提供通用文件。优选地,接收通用文件的至少两个分配器使用不同于用于从通用文件重新获取内 容的其他方案的数字版权管理(DRM)方案。优选地,处理器通过接收来自CKR所信任的证书授权的第一密钥来获取第一密钥。优选地,处理器通过生成第二密钥来获取第二密钥。优选地,处理器还设置为获取与所述相关的内容信息,其中处理器还设置为通过将内容信息包括在密钥信息文件中来生成密钥信息文件。优选地,处理器设置为在生成通用文件之前编码所述内容。优选地,处理器设置为通过使用MPEG-4容器格式来格式化被加密的内容、第一网 络地址和内容信息而生成通用文件。优选地,内容信息包括通用唯一标识符(UUID),国际标准视听资料号(ISAN)和内 容所有者标识。优选地,处理器还设置为获取与内容相关的内容信息,并通过将内容信息包括在 通用文件中来生成通用文件。 优选地,内容信息包括通用唯一标识符(UUID)和国际标准视听资料号(ISAN)。优选地,处理器设置成为CKR中的存储器提供密钥信息文件,使得CKR转录该密钥 信息文件,以便分配器可使用与第一密钥相关的第三密钥来解密被加密的第二密钥并重新 获取第二密钥。优选地,第一密钥是分配器的公钥,且其中第三密钥是分配器的私钥。优选地,第一密钥是对称密钥,且其中第三密钥是分配器可得到的对称密钥。根据本发明的另一方面,提供了一种由分配器使用来从中央密钥库(CKR)获取内 容访问授权的方法,其包括接收来自用户设备的用于访问被加密的内容的用户请求,用户 请求包括内容标识;响应于用户请求的接收而将密钥请求发送到CKR,密钥请求包括内容 标识;响应于密钥请求的发送而接收来自CKR的被加密的第一密钥;使用第二密钥解密被 加密的第一密钥以重新获取第一密钥;以及响应于用户请求的接收并为了由用户设备使用 来使用第一密钥解密被加密的内容,使用第一密钥向用户设备提供被加密的内容的DRM许 可证。优选地,该方法还包括从媒体内容打包器接收包括被加密的内容文件的通用内 容文件;以及将被加密的内容文件发送到用户设备。优选地,通用内容文件还包括中央密钥库(CKR)的第一网络地址。优选地,在将密钥请求发送到CKR之前,该方法还包括重新获取第一网络地址,且 其中所述发送将密钥请求发送到第一网络地址。优选地,第一网络地址是用于通过互联网访问的统一资源定位符(URL)。优选地,该方法还包括生成第二密钥;以及在将密钥请求发送到CKR之前将第二 密钥发送到CKR。优选地,该方法还包括在接收来自CKR的被加密的第一密钥之前接收来自CKR的 第二密钥;以及存储第二密钥。优选地,密钥请求还包括用户信息和业务类型。优选地,该方法还包括从用户设备接收与存储相关于内容标识的内容的介质相 关联的代码,其中密钥请求包括该代码。优选地,从CKR接收被加密的第一密钥包括接收包括被加密的第一密钥、通用唯 一标识符(UUID)和国际标准视听资料号(ISAN)的密钥信息文件。优选地,密钥信息文件还包括与密钥请求相关联的访问权限或使用规则。优选地,DRM许可证还包括从密钥信息文件接收的访问权限或使用规则。根据本发明的另一方面,提供了一种用于从中央密钥库(CKR)获取内容访问授权的分配器,其包括处理器,该处理器设置为接收来自用户设备的用于访问被加密的内容的 用户请求,用户请求包括内容标识;响应于接收用户请求而将密钥请求发送到CKR,密钥请 求包括内容标识;响应于发送密钥请求而接收来自CKR的被加密的第一密钥;使用第二密 钥解密被加密的第一密钥以重新获取第一密钥;以及响应于接收用户请求并为了由用户设 备使用来使用第一密钥解密被加密的内容,使用第一密钥向用户设备提供被加密的内容的 DRM许可证。优选地,处理器还设置为从媒体内容打包器接收包括被加密的内容文件的通用 内容文件;以及向用户设备发送被加密的内容文件。优选地,通用内容文件还包括中央密钥库(CKR)的第一网络地址。优选地,在将密钥请求发送到CKR之前,处理器还设置为重新获取第一网络地址, 并将密钥请求发送到第一网络地址。优选地,第一网络地址是用于通过互联网访问的统一资源定位符(URL)。优选地,处理器还设置为生成第二密钥;以及在向CKR发送密钥请求之前向CKR
发送第二密钥。优选地,处理器还设置为在接收来自CKR的被加密的第一密钥之前接收来自CKR 的第二密钥;以及存储第二密钥。优选地,密钥请求还包括用户信息和业务类型。优选地,处理器还设置为从用户设备接收与存储相关于内容标识的内容的介质 相关联的代码,其中密钥请求包括该代码。优选地,接收来自CKR的被加密的第一密钥包括接收密钥信息文件,所述密钥信 息文件包括被加密的第一密钥、通用唯一标识符(UUID)和国际标准视听资料号(ISAN)。优选地,密钥信息文件还包括与密钥请求相关联的访问权限或使用规则。优选地,DRM许可证还包括从密钥信息文件接收的访问权限或使用规则。附图的简要说明在回顾了下面的详细描述和附图之后,本发明的特征和优势对本领域普通技术人 员将变得更容易明显,其中
图1示出了依照本发明的一个实施方式的产生供可互操作的密钥箱使用的文件 的系统;图2示出了依照本发明的一个实施方式的给客户端提供供可互操作的密钥箱使 用的数字收据的系统;图3示出了依照本发明的一个实施方式的用于通过可互操作的密钥箱获取被保 护的数字版权管理(DRM)许可证以用于不同DRM系统之间的可互操作性的系统;图4a示出了依照本发明的一个实施方式的用于使用独立于原始发行媒体分配器 的可互操作的密钥箱来回放被保护媒体的系统;图4b示出了依照本发明的一个实施方式的用于使用可互操作的密钥箱来恢复间 接的被保护媒体的系统;图5示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤与内 容相关联的数字收据的在线登记可与中央密钥库(CKR) —起使用以实现内容独立于原始 分配器的可互操作的回放;
9
图6示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤媒体 内容可被分发到媒体分配器;图7示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤中央 密钥库(CKR)可向媒体分配器提供内容访问授权;以及图8示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤媒体 分配器可获得来自中央密钥库(CKR)的内容访问授权。本发明的详细描述本发明目的是用于供可互操作的密钥箱使用的通用文件打包器(packager)的系 统和方法。以下的描述包含关于本发明的实现方式的具体信息。本领域技术人员将认识到, 本发明可以按与在本申请中具体讨论的不同的方式实现。另外,本发明的一些具体细节不 被讨论以便不使本发明不清楚。未在本申请中描述的具体细节在本领域普通技术人员的知 识范围之内。本申请的附图和所附的详细描述仅贯注于本发明的示例性实施方式。为保持 简洁,使用本发明的原理的本发明的其他实施方式不在本申请中被具体描述且不被本发明 的附图具体示出。图1示出了依照本发明的一个实施方式的产生供可互操作的密钥箱使用的文件 的系统。图1的环境100包括所有权所有者(title owner) 110、所有权所有者ID (标识 符)111、所有权ID 116、证书授权120、调制机130、密钥箱160和媒体分配器170。所有权 所有者110包括标题115和所有权元数据118。证书授权120包括证书121。证书121包括 密钥箱公钥122。调制机130包括密钥生成器131、所有权密钥132、通用文件打包器135、 通用文件140和密钥信息文件150。通用文件140包括所有权ID 116、元数据117、加密所 有权145和密钥箱URL(统一资源定位符)146。密钥信息文件150包括所有权所有者ID 111、所有权ID 116、加密数据153/和加密所有权密钥152。密钥箱160包括处理器158和 存储器159。存储器159包括调制机API (应用程序接口)161、密钥信息数据库162、消费者 数据库163、业务数据库164、密钥箱私钥165、分配器公钥数据库166、分配器数据库167和 提供者API 157。媒体分配器170包括被转录的密钥信息文件151、分配器私钥175和本地 DRM(数字版权管理)系统172。所有权所有者110可包括制造者、广播者、版权所有者、作者或所有权的受让者 115,例如个人艺术家或创作者、媒体组、电影制作工作室、动画工作室、电视工作室或电影 发行人。然后所有权115可包括创造性媒体工作或方案,例如音乐著作或唱片、广播节目、 视频剪辑、全长度电影或动画、戏剧或电视系列剧集、交互式视频游戏,或任何其他类型的 视听工作或内容。然后可更详细地提供所有权元数据118以描述所有权115,例如提供人可 读所有权名称、具体的媒体类别、内容风格、媒体格式、等级、以及对给所有权115分类和标 识所有权有用的其他信息。虽然所有权元数据118在图1中被示出为由所有权所有者110 提供,可选的实施方式可替代地使用调制机130或另一个第三方来产生所有权元数据118。另外,所有权所有者110和所有权115每个都分别唯一地由所有权所有者ID 111 和所有权ID 116标识。这些标识符还可包括在所有权元数据118中。尽管可以采用用 于选择唯一标识符的任何适当的算法,所有权ID116可能特别适合于国际标准视听资料 号(ISAN)(如果可利用)和基于密码功能例如安全散列算法I(SHA-I)的通用唯一标识符 (UUID)的组合。以这种方式,彼此不通信的不同的所有权所有者仍然可产生有力地确保唯一性的所有权ID。可选地,集中式机构可向请求方分发唯一标识符,通过维持所有标识符的 数据库来保证唯一性。一旦以上的标识符、元数据和所有权文件按照顺序排列,所有权所有者110就可 将它们传送给调制机130的通用文件打包器135以用于合并到服务于一般公众的发行渠道 中。到调制机130的这个传送可由任何适当的通信工具优选地以减轻第三方泄露的危险的 安全方式来实现。例如,可使用各种被保护的互联网协议,例如FTP (文件传输协议)、安全 套接字层(SSL)、安全壳(SSH)或另一个协议。可选地,数据可被写到物理媒体上,以便通过 邮件或亲自传送到调制机130。所有权所有者110和调制机130在图1中被示出为单独的实体,因为为了效率或 其他原因,准备用于编码和分发的所有权的过程可能被外购到第三方设备。但是,可选的实 施方式可使所有权所有者110也承担调制机130的功能,这可能对较小的媒体单元操作更 加方便。在这种情况下,所有权所有者110和调制机130由相同的上层拥有且它们的功能 可能被合并到单个服务器或计算机群集中。密钥生成器131向通用文件打包器135提供加密密钥以通过加密支持内容的保 护。在没有对所有权115应用某种保护的情况下,实施许可证条款和防止未授权的复制变 得困难,因为消费者可直接访问未被保护的媒体文件。因此,如图1中所示出的,密钥生成 器131产生对称的加密密钥-所有权密钥132以加密和解密所有权115。通过将对所有权 密钥132的访问限制到具有适当DRM许可证的经授权的媒体应用范围内,消费者仍然可享 受对所有权115的观看或收听,而不直接访问以未被保护的形式的所有权115。尽管对于所有权密钥132的较长的密钥长度和较强的加密算法可提供更大的安 全性以抵抗欺骗技术,解码复杂度也可能导致重大的对立的顾虑。这个顾虑对于具有有限 的电池寿命、存储器和处理资源的移动设备特别严重。因此,为了加密所有权密钥132,平衡 的折衷例如高级加密标准(AES)可被选择成提供具有快速解码时间的合理地强大的安全 性。为了安全地传送来自调制机130的所有权密钥132以用于由密钥箱160访问,如 图1所示,使用由证书授权120产生的非对称密码密钥对。该密钥对还可由密钥箱160产 生,且证书由证书授权120发行。例如,公钥和私钥对可例如依照公钥密码标准#1 (PKCS#1) 使用2048位RSA密钥。密钥对的公钥包括在数字证书121中。通过从证书121中重新获 得密钥箱公钥122,通用文件打包器135可使用密钥箱公钥122来加密所有权密钥132,导 致加密的所有权密钥152,使得只有密钥箱160—对应的密钥箱私钥165的所有者可解密加 密的所有权密钥152。在图1中证书授权120充当受信任的第三方,保证在证书121中提供 的密钥箱公钥122适当地绑定到称为密钥箱160的实体。证书授权120可例如遵守第3版X. 509证书标准。为了证实证书授权120的身 份,调制机130还可具有预先装入的一组证书,其保证受信任的第三方例如证书授权120的 身份。相互认证还可被实现,使得证书授权120只响应于经授权的调制机、媒体分配器或服 务提供者和其他涉及方。尽管在图1中只示出了单个证书授权,可选的实施方式可使用除 X. 509之外的证书授权的分级系统或可选的信任系统例如同级调节的信任网络。以这种方式,密钥箱160充当以加密的形式将所有权密钥保留在密钥信息文件中 的中央密钥库(CKR)。通过调制机API 161,内容调制机例如调制机130可提交在密钥信息文件容器例如密钥信息文件150中的加密的所有权密钥。包含加密的所有权密钥例如加 密的所有权密钥152、加密数据或元数据例如加密数据153和相关的内容信息例如所有权 所有者ID 111和所有权ID 116的这些密钥信息文件可存放在数据库例如密钥信息数据库 162中。为使调制机130访问调制机API 161,标准网络服务可由使用简单对象访问协议 (SOAP)的密钥箱160和使用具有符合PKXD#3的Diffie-Hellman的安全传输层(TLS)的安 全超文本传输协议(HTTPS)揭示以用于密钥交换。这个相同的安全通信方式或使用不同参 数的变形还可用于在图1和以下的图中示出的其他通信路径。另外,安全措施例如将进入 的互联网协议(IP)地址范围或媒体访问控制(MAC)地址范围限制到公知的值也可被实现 以进一步防止遭受未授权的访问。如之前所讨论的,加密的所有权密钥152使用密钥箱公钥122加密。因为密钥箱 160是对应的私钥-密钥箱私钥165的所有者,它可以用上面讨论的方式自由地加密并访 问被提交到密钥信息数据库162的所有所有权密钥。使用处理器158来解释通过存储器 159中的调制机API 161和提供者API 157接收到的请求,密钥箱160可为经授权的调制机 和媒体分配器提供牢靠的密钥存储和分发服务,媒体分配器也称为服务提供者或内容提供 者。在另一个方向上,通过提供者API 157,经授权的分配器例如媒体分配器170可使用它 们自己的非对称密钥对请求以加密形式的这些所有权密钥,以安全地产生DRM许可证用于 传送到消费者媒体应用和设备。因此,来自密钥信息数据库162的原始密钥信息文件使用 可适用于每个特定媒体分配器的加密密钥被解密和加密或被转录,以产生被转录的密钥信 息文件例如被转录的密钥信息文件151。在图1中,这个密钥文件转录可通过使密钥箱160将所有媒体分配器的公钥聚集 在分配器公钥数据库166中来实现,每个媒体分配器例如每个分配器170拥有其自己相应 的私钥,例如分配器私钥175。媒体分配器可使用标准公钥基础结构(PKI)方法产生其自己 的密钥对。但是,可选的实施方式可使用可选的加密布置,例如,其中密钥箱160产生公钥 对/私钥对,并使用安全通信通道将私钥提供到每个媒体分配器。如以前一样,使用密钥箱 公钥122,证书授权120或另一受信任的第三方可被用于提供确保公钥和其相关的所提到 的身份之间的合法绑定的受信任的证书。如密钥箱160中所示,若干另外的数据库是可用的,包括消费者数据库163、转录 数据库164、分配器数据库167、报价(offer)数据库168和调制机数据库169。这些数据 库可被用于实现来自密钥箱侧的各种商业规则,从而登记由消费者执行的媒体转录和相关 权限、登记消费者认证数据,以及根据不同的商业协议确保只有经授权的提供者和媒体分 配器可与密钥箱进行交互作用。例如,在每次成功的在线业务之后,记录可被存储在业务数 据库164中,指示销售的日期和时间、所支付的价格、购买的类型,不管是租赁的、永久的购 买、赎回还是预订、被提供的赎回代码是否被使用多次、相关的标识符例如消费者、客户端、 设备ID以及其他细节。因此,密钥箱160可能能够按需要实行租赁时间周期、租赁计数限 制和其他商业规则。分配器数据库167可跟踪哪些媒体分配器有特权访问哪些密钥信息文 件,因为密钥箱160可使用不同的内容许可协议支持若干不同的关联的或非关联的媒体分 配器。消费者数据库163可作为允许消费者访问和解除锁定被保护的媒体文件而不被限制 到特定媒体分配器的权限库,如在以下的图2中所进一步讨论的,且还包括认证信息以允 许消费者使用单个或多个认证方案例如来自唯一分配器的所有权认证方案或更加开放的解决方案如OpenID来在多个分配器中认证。另外地或可选地,密钥箱160可包括在图1中 未示出的设备数据库,其列出了可能关联到特定消费者的媒体设备,允许基于绑定到特定 设备而不是特定消费者的模式或允许基于绑定到设备和消费者的模式。一般说来,设备数 据库与消费者数据库163类似地工作并可与之关联。报价数据库168可将所有权与特定的 使用规则关联,以支持多种商业模式,例如租赁、预订和购买。调制机数据库169可确保只 有经授权的媒体调制机可将密钥信息文件上载到密钥箱160中。将焦点从密钥信息文件150转移到通用文件140,通用文件140还由通用文件打包 器135生成以用于分发到媒体分配器和最终到消费者。名称“通用文件”描述了这样的特 性即使媒体分配器使用不同的DRM系统,相同的文件也被分发到消费者并可在CKR-密钥 箱160的帮助下在不同的媒体分配器中是可互操作的。如图1中所示,所有权115用所有 权密钥132加密以创建附带有标识数据的加密所有权145,该标识数据包括所有权ID116、 元数据117和密钥箱URL 146。元数据117可包含例如所有权元数据118的成分。密钥箱 URL 146充当指针或网络地址以指示在哪里找到存储关联的密钥信息文件150的密钥箱, 使得加密的文件145可使用存储在密钥信息文件150中的所有权密钥被解码。在图1的情 况下,密钥箱URL 146将指向密钥箱160。应注意到,密钥箱URL可能简单地指向使用RUL 重定向的重定向服务器,以灵活地重定向密钥箱通信。另外,URL形式被选择成使用SOAP 与通过互联网可访问的网络服务相连接,但可选的网络寻址协议也可能被使用。通用文件 140的成分可嵌入在标准容器格式例如MPEG-4 Part 14或MP4容器文件中。可选地,如果 所有权115以未压缩的格式被提供,调制机130可在使用例如MPEG-4 Part 10或H. 264加 密所有权115之前使用视频或音频压缩。在通用文件140生成后,它可被提供到媒体分配 器 170。一旦媒体分配器170接收到通用文件140,它就可立即从密钥箱URL146请求相关 的密钥信息文件,或可延迟请求直到消费者或客户端实际上请求通用文件140。在任一情况 下,媒体分配器170使用例如之前讨论的HTTPS上的SOAP来查询密钥箱160,以请求包含在 与所有权ID 116相关联的相关密钥信息文件中的信息。密钥箱160可接着搜索密钥信息 数据库162以发现以相同的所有权ID 116存储在那里的密钥信息文件150,应用所有相关 的商业逻辑规则来确定分发文件的许可是否应被准许,并且如果这样的确定是肯定的则提 供被转录的密钥信息文件151。除了加密的所有权密钥152使用媒体分配器170的公钥而 不是密钥箱160的公钥-密钥箱公钥122被加密外,被转录的密钥信息文件151可能看上 去类似于密钥信息文件150。如之前讨论的,转录步骤可由预先将所有媒体分配器的公钥收 集到分配器公钥数据库166中的密钥箱160支持。为了避免不断重新获得来自密钥箱的最近被转录的密钥信息文件,媒体分配器可 存储被转录的密钥信息文件的本地高速缓存以避免不必要地使密钥箱资源负重担。为了保 持被高速缓存的密钥信息文件被更新,对自从之前的密钥信息访问以来出现的改变的请求 可被周期地或在要求时从密钥箱请求。可选地,密钥箱可将更新主动发送到媒体分配器。一旦媒体分配器170转录了密钥信息文件151和通用文件140,它就可结合分配 器私钥175和本地DRM系统172使用它们来以被保护的方式以对任何现有DRM系统基础结 构的较少的修改(如果有)向客户端提供媒体文件,所述DRM系统基础结构可能已经代替 媒体分配器170。媒体分配器170可使用其自己的私钥-分配器私钥175以访问来自被转
13录的密钥信息文件151的所有权密钥132并将这样的所有权密钥132馈送到本地DRM系统 172。本地DRM系统172可接着产生包含使用规则和使用其自己的安全协议加密的所有权 密钥132的适当的DRM许可证。一旦消费者接收到通用文件140和本地DRM许可证,他就 可消费包含在通用文件140中的媒体,如使用规则所允许的。以这种方式,采用通用文件格式和可互操作的密钥箱的输入的障碍对参与的媒体 分配器被最小化,鼓励采用较广的发行渠道并向消费者提供增强的可互操作性的所有利 益。通过帮助处理关于数字发行媒体的可互操作性和可用性顾虑以及通过提供如以下在图 2中描述的在消费者的控制之内的数字收据,消费者可能感觉被授权而不是被数字发行所 限制,这可反过来转化为更高的销售量和更大的消费者满意度。尽管在图1中所有权所有者110、所有权115、证书授权120、调制机130、密钥箱 160和媒体分配器170只有单个实例,可选的实施方式可包括每个实体的若干例子。例如, 通用文件140可囊括若干不同的所有权作为编辑物、唱片的一部分或作为可选的曲目。类 似地,密钥信息文件150可存储若干相关联的所有权密钥。密钥箱还可按比例调节成适合 特定的组织需要。例如,具有很多电影单位和分部的大的工作室可决定为每个工作室部门 奉献不同的密钥箱,或可能更喜欢使所有的部门由一个大的合并的密钥箱服务。可选地,尤 其是对于较小的工作室,若干不同的工作室或公司可共用单个密钥箱,或向第三方实体外 购密钥箱操作和维护。另一个可能性是由第三方操作的一个大的集中式密钥箱,工作室将 密钥信息文件提交到集中式密钥箱。如以上提到的,URL重定向还可被用于灵活的密钥箱 重定向,实现服务负载平衡、快速迁移和其他特征。如果适当的协议和安全程序适合,密钥 箱还可与其他密钥箱共享信息。也就是说,密钥箱可按需要被集中或分散,但是可访问大的 密钥信息数据库的集中式密钥箱可将更有效的服务提供给与多个媒体分配器有交易的客 户端。图2示出了依照本发明的一个实施方式的给客户端提供供可互操作的密钥箱使 用的数字收据的系统。图2的环境200包括密钥箱260、媒体分配器270、分配器ID 271、客 户端280、客户端ID 281、共用客户端ID 286、显示器288和备份存储器289。密钥箱260包 括密钥信息数据库262、消费者数据库263、业务数据库264、密钥箱私钥265、分配器公钥数 据库266、分配器数据库267、报价数据库268、客户端API 256和提供者API 257。因为在 图2中没有与调制机的交互作用,图1中的对应的调制机API 161和调制机数据库169为了 简单起见从图2中省去,但它们可仍存在于密钥箱260中。媒体分配器270包括通用文件 240、被转录的密钥信息文件251、本地DRM服务器272、DRM许可证273、分配器私钥275和 处理器276。通用文件240包括所有权ID 216、元数据217、加密所有权245和密钥箱URL 246。被转录的密钥信息文件251包括所有权所有者ID211、所有权ID 216和加密的所有权 密钥252。DRM许可证273包括所有权ID 216、加密的所有权密钥274、客户端ID281和使 用规则277。客户端280包括本地DRM客户端282、客户端媒体应用283、被保护媒体路径解 码引擎299和数字收据285。数字收据285包括所有权ID 216、分配器ID 271、客户端ID 281、共用客户端ID 286、消费者ID 284和业务信息287。关于图2,应注意到,密钥箱260 对应于图1中的密钥箱160且媒体分配器270对应于图1中的媒体分配器170。尽管图2 的密钥箱260不描述如图1的密钥箱160中的处理器或存储器,可假定它们存在以支持API 的操作和密钥箱260的其他逻辑操作。
图2将焦点从图1中的所有权所有者和调制机转移到图2中的媒体分配器和客户 端。更具体地,图2示出了消费者或客户端实际上可如何使用图1中介绍的通用文件、密钥 信息文件和CKR或密钥箱概念来访问用于在显示器288上最终回放的媒体文件。另外,图2 介绍了被示为数字收据285的数字收据的概念,其可充当购买的证据或业务的证据以用于 重新激活被保护的媒体内容,即使例如客户端丢失了最初重新获得的被保护媒体文件或即 使客户端转换媒体分配器。通用文件240的内容和被转录的密钥信息文件261已经通过图1中的对应的通 用文件140和被转录的密钥信息文件151被稍微详细地描述。被转录的密钥信息文件251 可通过具有与媒体分配器271的发行协议的实体例如类似于图1的所有权所有者110的实 体连同对转录步骤的密钥箱260 —起被提供到媒体分配器271。媒体分配器270的处理器 276可与分配器私钥275 —起使用以解密供在本地DRM服务器272使用的被加密的所有权 密钥252。在处理器276上执行的本地DRM服务器272可接着使用图2中指示的所有输入 生成DRM许可证273以用于分发到请求通用文件240的经授权的客户端。加密的所有权密 钥274可使用由本地DRM服务器272提供的保护系统被保护,有效地将媒体分配器270的 加密伙伴从密钥箱260改变到客户端280。这个步骤可被视为类似于提供对特定媒体分配 器转录的密钥信息文件的密钥箱260的另外的转录步骤,但是媒体分配器270替代地提供 带有对特定的客户端转录的所有权密钥的DRM许可证。检查DRM许可证273,对应于可用来加密通用文件240的所有权密钥的加密的所 有权密钥274可被包括。DRM许可证273还包括标识信息,包括DRM许可证所适用的客户 端或客户端ID 281,以及相关联的媒体所有权或通用文件或所有权ID 216。另外的信息还 可嵌有DRM许可证273,例如图1中指示的分配器ID 271、共用的客户端ID 286、消费者ID 284、使用规则277和业务信息284。转到客户端280,客户端280可包括个人计算机、媒体播放器、机顶盒、视频游戏控 制台、移动电话、便携式媒体播放器或与媒体分配器270交互作用的任何其他设备。客户端 280还可包括用于浏览、购买、回放以及与由媒体分配器270提供的数字媒体的其他业务的 客户媒体应用283。在消费者通过数字业务决定购买、租赁或以其他方式获取通用文件240 以用于在客户端280上回放之后,媒体分配器270可通过与金融机构的交互作用来处理业 务,以收取约定的金额或在内部减去预付点约定金额或其他货币,生成如以上所描述的DRM 许可证273,并通过本地DRM服务器272将通用文件240和DRM许可证273提供到客户端 280。另外地,数字业务的记录可通过密钥箱260的提供者API 257被存放到业务数据库 264 中。在客户端280收到通用文件240和DRM许可证273之后,客户端280可结合本地 DRM客户端282使用DRM许可证273以解密通用文件240中的加密所有权245,用于通过使 用输出到显示器288的被保护媒体路径解码引擎299通过回放而消费,显示器288还可包 括用于音频内容的扬声器。因此,消费者可在显示器280上观看所请求的媒体。虽然有通用文件240和DRM许可证273允许客户端280回放加密的所有权245同 时本地DRM客户端282能够与DRM服务器272交互作用,但可能有以上元素中的一个或多个 对客户端280遗漏的情况,其中用户需要使用完全不同的客户端,或其中用户需要使用不 同的媒体分配器。为了保证这些可能性,媒体分配器270还可给客户端280提供安全数字收据285。如果消费者需要处理以上列出的情况,当情况可能要求时,数字收据285可被重 新获取并提供给可选的媒体分配器或密钥箱260作为购买的证据,以再次获取通用文件、 获取新的DRM许可证或甚至获取这两者。如图2中示出,客户端280通过复制到备份存储器289并且经由客户端API 256 使用相关的CKR或密钥箱260登记以用于将数字收据存放到消费者数据库263中来主动保 护数据收据285,备份存储器289可能包括通用串行总线(USB)存储设备。例如,网络接口 可被提供以允许通过客户端API 256将数据收据直接上载到密钥箱260,客户端API 256类 似于提供者API 257揭示HTTPS保护的SOAP网络服务。第三方可例如通过提供在线备份 服务或网络可访问的电子邮件服务器来提供和维护备份存储器289。特别是,如果数字收据 通过被注册的电子邮件地址被提供到用户,用户电子邮件账户可有效地替换为数字收据的 备份库。可选地,在用户完成数字业务之后,客户端媒体应用283可能提示用户自动地用 密钥箱260在线登记数字收据。密钥箱260可接着将返回值提供到客户端280,指示数字收 据登记过程的成功或失败。数字收据285包含与用户的身份相关的若干字段,导致数字收据的创建。客户端 ID 281标识与由本地DRM客户端282和本地DRM服务器272实现的特定的DRM系统相关的 消费者或设备。消费者ID 284和分配器ID271指示与特定的媒体分配器相关的特定消费 者,而共用的客户端ID 286-—个可选的部分可全局地标识一般意义上的用户。共用的客 户端ID 286可被连接到外部用户认证系统例如OpenID,其可用于在若干媒体分配器而不 是在仅仅单个媒体分配器中认证。因为不是所有的用户都处理这样的共用的客户端ID,对 这样的用户它可被省去,或替代的标识符可被创建并提供给该用户。但是,如果共用的客户 端ID 286被提供,则密钥箱260可能能够标识认为是消费者属性的在消费者数据库263中 的所有收据,而不考虑媒体分配器,该媒体分配器可证明对在若干不同的媒体分配器中有 大的媒体集合的用户有用。数字收据285还包含与创建数字收据的业务相关的若干字段。所有权ID 216指 示由数字收据参照的特定通用文件,而业务信息287可包含关于业务例如业务日期、业务 类型或报价ID的特定信息以及关于由所有权ID216参照的内容的元数据。业务日期可包 括业务出现的特定的日期和时间,而业务类型例如可指示业务是否是完全购买、租赁、预订 计划的一部分,还是所包括的另一类型的业务。元数据可包括类似于图1的元数据117的 信息,例如所有权、风格类别、等级和其他数据。数字收据285还可以可选地包含关于密钥 箱260的信息,例如密钥箱URL或可选地关于用于以URL的形式或类似的参考数据登记数 字收据285的服务器的信息。虽然存储在数字收据285中的数据的大多数可使用加密来保 护,业务信息287的所有权元数据部分可以未加密的简单文本形式呈现,允许数字收据易 于被用户识别。如图2中示出的,数字收据285的部分用密钥箱260的公钥加密,其中密钥 箱260可使用密钥箱私钥265解密被加密的部分,但是其他的可被密钥箱260使用的保护 方法也可被使用。另外,数字收据285的部分还可由发行媒体分配器270数字地签名,使得 密钥箱260可确认数字收据285按时地由经授权的媒体分配器分发。一旦数字收据285安全地存储到备份存储器289和密钥箱260的消费者数据库 263中,客户端280的用户就被保护而免遭通用文件240的丢失、DRM许可证273的丢失以及客户端280和/或媒体分配器270的丢失或改变。用户只需要从备份存储器289重新获 取数据收据285并将其重新提交到密钥箱260、媒体分配器270或具有与密钥箱260的已建 立的关系的另一个媒体分配器。一旦数字收据285被直接提交或转交到密钥箱260,密钥 箱260就可在适当时使用密钥箱私钥265验证收据,以解密数字收据285的被加密的部分 和/或媒体分配器270的公钥,以验证上述的签名,以及处理任何相关的商业规则以准许或 拒绝询问或请求。如果询问或请求被准许,媒体分配器可重新获取相应的密钥信息文件以 授权重新发送通用文件240和/或生成包括用户的所有权密钥的新的DRM许可证。虽然从用户的观点来看,所有的媒体分配器对任何提交的数字收据提供任何所要 求的密钥信息文件可能是理想的,在不同的媒体分配器和所有权所有者之间的有限的发行 协议可限制可由任何单个媒体分配器传送的密钥信息文件的范围。具体地,分配器数据库 267可依照询问媒体分配器的身份规定特定密钥信息文件的访问特权。在媒体分配器270 的情况下,这将对应于分配器ID 271,且可能在通过提供者API 257建立与密钥箱260的安 全通信之前被提供为HTTPS或TLS信号交换程序的部分。另外,虽然用户可能更希望所有的媒体分配器提供通用文件240的下载或免费生 成新的DRM许可证,媒体分配器还必须考虑费用例如服务器和网络维护、消费者服务和发 行合同。因此,虽然一些媒体分配器可能通过数字收据提供免费的重新激活以鼓励他们的 特定在线服务的使用,其他的媒体分配器可能为赎回数字收据而收取费用以支付带宽、服 务器维护、消费者支持以及获得和恢复分配器权限和内容许可证的费用。这些考虑因素可 被囊括在由密钥箱260或由单独的媒体分配器实现的商业规则内,灵活地独立于CKR-密钥 箱260的核心密钥存储和发行功能。图3示出了依照本发明的一个实施方式的用于通过可互操作的密钥箱获取被保 护的数据版权管理(DRM)许可证以用于在不同的DRM系统之间的可互操作性的系统。图3 的环境300包括密钥箱360,媒体分配器370a-370b、客户端380a-380b、共用客户端ID 386 和共用客户端ID验证服务器390。密钥箱360包括密钥信息数据库362、消费者数据库363、 业务数据库364、分配器公钥数据库366、分配器数据库367、报价数据库368、调制机数据库 369和提供者API 357。媒体分配器370a包括本地DRM服务器372a。媒体分配器370b包 括本地DRM服务器372b。客户端380a包括通用文件340、DRM许可证373a和本地DRM客户 端382a。通用文件340包括所有权ID 316、元数据317、加密所有权345和密钥箱URL 346。 DRM许可证373a包括所有权ID316、加密的所有权密钥374a和客户端ID381。客户端380b 包括通用文件340、DRM证书373b和本地DRM客户端382b。DRM证书373b包括所有权ID 316、加密的所有权密钥374b和客户端ID 381。关于图3,应注意到,密钥箱360对应于图2 的密钥箱260,媒体分配器370a-370b对应于媒体分配器270,以及客户端380a_380b对应 于客户端380。虽然对不同的媒体分配器之间的可互操作性使用数字收据的概念在以上的图2 中被稍微详细地解释,图3示出了不同媒体分配器之间的可互操作性的可选方法,其中通 用文件仅在不同的客户端之间复制且用于获取可适用于新的客户端的新的DRM许可证,即 使不同的媒体分配器使用不同的DRM系统或方案。例如,假设客户端380a的用户已经购买了通用文件340,这也导致获得相关的DRM 许可证373a。另外地,购买的记录被记录在业务数据库364中,包括购买者、共用客户端ID386的标识。如之前讨论的,共用的客户端ID 386可能使用识别方案例如OpenID。通过使 用由本地DRM客户端382a和本地DRM服务器372a支持的DRM系统或方案,客户端380a的 用户现在可容易地消费并在客户端380a上欣赏和回放和加密的所有权345。但是,客户端 380a的用户可有若干不同的客户端或设备以用于媒体消费,一些客户端比另一些更适合于 某些情况。例如,客户端380a可能表示用户的个人计算机,而客户端380b可能表示用户的 视频游戏控制台。例如,如果视频游戏控制台碰巧连接到起居室中的高端家庭影院系统,而 个人计算机碰巧转移到具有小型计算机扬声器和小的LCD屏幕的书斋,用户可能希望在客 户端380b上而不是客户端380a上观看通用文件340。可选地,客户端380可能表示用户的 便携式媒体设备,其中用户希望在商业旅行中飞行时观看通用文件340。传统地,在不同的设备之间利用不同的DRM系统传送文件是困难的或不可能的, 因为私有关闭的系统DRM格式趋向于引入不兼容性,防止完全的可互操作性。除了 DRM可 互操作性挑战外,媒体容器格式和压缩算法可能甚至导致未被保护的内容不能在不同平台 上播放。但是,如图3中示出的通用文件概念的引入可帮助在很大程度上处理在数字媒体 消费者中间的这个顾虑。如图3中示出的,在从客户端380a购买通用文件340之后,它可 直接按原样复制到客户端380b,如由客户端380a和客户端380中的通用文件340的两个实 例之间的相同内容所证明的。可选地,通用文件340可能在被复制到客户端380b之前首先 被复制到中间存储位置,例如USB存储设备。因为DRM许可证373a仅与由本地DRM客户端 382a和本地DRM服务器372a支持的DRM系统一起工作,DRM许可证373a对客户端380b没 有用处。但是,由于密钥箱360的帮助,客户端380b可从媒体分配器370b获取DRM许可证 373b,即使客户端380b和媒体分配器370b使用由本地DRM服务器372和DRM客户端382b 支持的不同DRM系统。在接收到通用文件340之后,对于DRM许可证373b,客户端380b可询问媒体分配 器370b。客户端380b还可提供与共用客户端ID 386相关联的标识凭证,例如用户名和口 令。媒体分配器370b可接着通过将标识凭证分程传递到共用客户端ID验证服务器390来 验证用户的身份。一旦客户端380b的身份被确认,媒体分配器370b就可通过提供者API 357询问 密钥箱360以确认由共用客户端ID 386标识的用户是否有与通用文件340相关联的权限。 因此,密钥箱360可检查业务数据库364以确认与媒体分配器370a的以前业务的存在,以 前业务涉及由使用共用客户端ID 386标识的同一用户购买通用文件340。如果业务数据 库364改为报告没有与共用客户端ID 386和通用文件340相关联的匹配结果或者业务类 型只是租赁而不是购买,密钥箱360可停止处理并返回准许被否定的信息。分配器数据库 367还可被咨询以确定媒体分配器370b是否有替代与来自密钥信息数据库362的通用文件 340相关联的相关密钥信息文件的发行的协议。另外地,如之前讨论的,不同的商业规则可 由密钥箱360实施。例如,为了防止通用文件发行的滥用,对于连接到可识别的用户的任何 单个购买可支持5个不同客户端的全局限制,用户需要在一个案例接一个案例的基础上由 消费者服务处理的多于5个的同时有效的DRM许可证。类似地,5个不同标识的全局限制可 被支持以识别同一消费者。假定密钥箱360确认业务数据库364中的有资 的业务以及任何和所有其他商业规则满足需要,密钥箱360可从密钥箱信息数据库362重新获取相关的密钥信息文件,给媒 体分配器370b提供使用媒体分配器370b的公钥的被转录的密钥信息文件,如前所述。媒 体分配器370b可接着使用被转录的密钥信息文件生成使用本地DRM服务器372b的DRM许 可证373b并向客户端380b中的本地DRM客户端382b提供DRM许可证373b。因此,客户端 380b的用户能够通过重新获取DRM许可证373b来消费通用文件340,DRM许可证373b包 括与必须再次下载通用文件340相比小得多的下载大小,提供几乎即时的回放并允许用户 在高端家庭影院系统上或在便携式媒体设备上欣赏通用文件340。可选地,不是通过作为媒介的媒体分配器路由数字收据,如果密钥箱360提供用 于请求被登记的媒体的直接客户端接口,客户端380b可将数字收据直接重新发送到密钥 箱360。单独的密钥箱可自由决定提供这个功能。如之前所讨论的,数字收据充当业务的证 据,且因此可被重新发送回密钥箱360以获得对被原始业务承认的原始媒体或许可证的访 问。如果密钥箱360确实支持这样的来自客户端380b的直接请求,且如果密钥箱360确定 客户端380b如以上详述的有特权访问所请求的被登记的媒体,那么密钥箱360可将客户端 380b引导到能够服务于所请求的被登记媒体的适当的媒体分配器。例如,密钥箱360可首先使用分配器数据库367确定有特权的媒体分配器的列表, 找到具有对所请求的被登记媒体例如通用文件340的发行权限或发行特权的所有的第三 方媒体分配器。然后,客户端380b的用户可被提示从提供者的列表中选择以被重定向到特 定的第三方媒体分配器。在客户端380b的用户被重定向到特定的第三方媒体分配器例如 媒体分配器370b之后,密钥箱360可接着给媒体分配器370b转发客户端380b的用户被授 权重新获取所请求的通用文件340和/或任何相关的DRM许可证的验证。与以前一样,这 个验证可涉及对照消费者数据库363中的被登记的数字收据来验证被提交的数字收据并 应用任何可应用的商业规则。在此之后,过程正常继续,好像用户向媒体分配器而不是CKR 提交数字收据。因此,分配器370b可因此向客户端380b提供DRM许可证373b以用于消费 通用文件340。另外,共用通用文件和获取不同DRM许可证的这个过程可被用于向朋友和同事提 供推荐的媒体文件而不需要他们重新下载相关的通用文件。例如,客户端380a的用户或许 可通过USB存储设备向客户端380b的用户提供通用文件340的副本。但是,因为客户端 380b不知道客户端380a的用户的个人登录细节,客户端380b不能提供对共用客户端ID 386的登录凭证,允许媒体分配器370b确定客户端380b的用户与客户端380a的用户一被 复制通用文件340的初始购买者不相同。代替地,媒体分配器370可显示用于执行新的业 务以获取通用文件340的DRM许可证、将其解除锁定以用于即时回放的企图。另外,尽管两 个单独的媒体分配器在图3中示出,这个过程还可应用于使用相同媒体分配器的客户端。如图3中所示,每个媒体分配器可为特定的媒体所有权提供确切地相同的通用文 件,即使使用不同的DRM系统或方案。由于密钥箱360作为中央权限交换所起作用且共用 客户端ID验证服务器390在提供者中验证唯一用户的身份,媒体分配器以最小的额外努力 可提供可互操作的解决方法和现有DRM系统的重建。这允许用户容易在不同的设备和媒体 分配器之间传送通用文件,只需要新的DRM许可证的快速重新获得来回放被复制的通用文 件。图4a示出了依照本发明的一个实施方式的用于使用独立于原始发行媒体分配器的可互操作的密钥箱来回放被保护媒体的系统。图4a的环境400包括密钥箱460,媒体分 配器470、客户端480、备份存储器489和共用客户端ID验证服务器490。媒体分配器470 包括通用文件440和DRM许可证473。客户端480包括客户端媒体应用483。备份存储器 489包括数字收据485。关于图4a,应注意到,密钥箱460对应于图2的密钥箱260,媒体分 配器470对应于媒体分配器270,客户端480对应于客户端280,且备份存储器489对应于 备份存储器489。如之前所讨论的,可能有用户可自愿地或非自愿地丧失对被购买的通用文件和相 关的DRM许可证的访问的情况。自愿丧失可包括改变客户端设备或媒体分配器。非自愿丧 失可包括灾难性硬件故障例如失败的硬盘驱动,或用户错误例如意外删除文件。如图2所 示,因为每个数字业务都伴随有在用户控制下的委托的数字收据,用户具有完全的判断力 以独立于原始媒体分配器对这样的意外事件做计划。例如,如果用户勤勉地使用相关的密 钥箱在线登记数字收据并保持安全的备份,用户只需要重新提交数字收据以恢复对相关的 通用文件和DRM许可证的访问。例如,假定客户端480的用户遭受灾难性硬盘驱动故障。用户替换客户端480的 硬盘驱动器并重新安装客户端媒体应用483以与媒体分配器470再次进行交互作用。由于 硬盘驱动器存储通用文件和DRM许可证的用户媒体库,客户端480的用户试图恢复对他的 旧媒体库的访问。令人欣慰的是,用户在备份存储器489中保存数字收据的副本,其可包括 USB存储设备或在线电子邮件提供者,如之前所讨论的。另外地,如图4a中所示的,用户用 密钥箱460在线登记数字收据485,使得数字收据85可存储在密钥箱460的用户认证数据 库中。因此,客户端480的用户只向媒体分配器470提供从备份存储器489中重新获取 的数字收据485分配器连同用于以媒体分配器470验证的用户凭证,或可选地,用于以共用 客户端ID验证服务器490验证的共用用户凭证。媒体分配器470在咨询密钥箱460之后 可接着向客户端480提供通用文件440和DRM许可证473。另外,媒体分配器470还可提 供任何其他通用文件和DRM许可证的批量传送,密钥箱460内的适当登记的数字收据与由 客户端480提供的并按时地由媒体分配器470或共用客户端ID验证服务器490验证的用 户凭证匹配。如果提交若干数字收据,这个批量传送可节省用户大量的时间和努力,这可能 是灾难性硬盘故障之后的情况。若干商业规则可开始在这个模式中起作用以处理可能的滥 用、确保系统的正确运行或为消费者提供额外的服务。另外地,这个相同的机制可为用户提供对抗他们所喜爱的媒体分配器的故障或重 组的一种保护性措施。例如,如果客户端480通常资助的媒体分配器突然停业,则只要客户 端480的用户保存数字收据的备份并使用密钥箱460登记数字收据,用户就可容易转移到 另一个媒体分配器例如图4a的媒体分配器470。以这种方式,关于DRM保护的数字媒体的 持久性的很多长期存在的用户顾虑可被有效地解决。图4b示出了依照本发明的一个实施方式的使用可互操作的密钥箱来恢复间接的 被保护媒体的系统。图4b的环境400包括密钥箱460、媒体分配器470、客户端480a_480b、 显示器488a-488b、媒体盘491和媒体盒代码492。媒体分配器470包括通用文件440b和 DRM许可证473a-473b。客户端480a包括客户端媒体应用483a。媒体盘491包括通用文件 440a。关于图4b,应注意到,密钥箱460对应于图2的密钥箱260,媒体分配器470对应于媒体分配器270,客户端480a-480b对应于客户端280,且显示器488a_488b对应于显示器 288。尽管通用文件的讨论就此而言一般被限制为在线数字发行,通用文件还可以有也 使用物理零售媒体的应用。例如,媒体盘491可包括通过零售渠道购买的蓝光盘。除了存 储标准蓝光电影数据外,还可包括对应的通用文件以用在个人计算机上或用于便携式媒体 设备。媒体盒代码492可接着包括印在内衬内或隐藏的刮板下的唯一的数字或字母数字序 列,其可用于恢复通用文件440a以用于通过重新获取可应用的DRM许可证来回放。在这个 意义上,媒体盒代码可充当匿名的用户标识符,因为密钥箱460可使用商业规则限制对任 何单个媒体代码的恢复的数量。因此,客户端480a —笔记本PC的用户可能将媒体盘491插入到蓝光驱动器中,其 中用户被提示他是否希望恢复通用文件440a。如果用户回答是,他可被提示输入媒体盒代 码492,其与包含在通用文件440a中的任何标识元数据一起被发送到媒体分配器470。媒 体分配器470可接着咨询密钥箱460以确定媒体盒代码492是否是有效的和/或已达到最 大恢复数。例如,密钥箱460上的商业规则可强制每个有效的媒体盒代码可只提供最多三 (3)次恢复,再次防止任意通用文件共用的潜在的滥用。如果密钥箱460肯定地回答,那么 媒体分配器470可能提供DRM许可证473a,使得客户端480a的用户可在笔记本PC的显示 器488a上以全分辨率观看电影。另外,媒体盘491的引人注目的销售点可包括将电影从媒体盘491复制到各种便 携式设备的能力。因此,客户端480a可能另外请求电影的标清(SD) 720x480版本以用于在 带有标清显示器的便携式设备上回放。使用来自通用文件440a的相同的媒体盒代码492 和相同的元数据,媒体分配器470可再次询问密钥箱460以得到便携式设备的特殊标清版 本密钥文件,其被按时返回并用于生成通用文件440b和DRM许可证473b,然后可被传送到 客户端480b以用于在显示器488b上回放。另外,盒代码的恢复可与客户端或消费者ID相 关联并记录在密钥箱460中的相关数据库中,如之前使用在线业务所进行的。可选地,已经 被格式化以用于流行的媒体设备的各种通用文件可被嵌在媒体盘491上,使得只有对应的 DRM许可证需要被重新获取,减少了下载时间。图5示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤与内 容相关联的数字收据的在线登记可与中央密钥库(CKR) —起使用,以实现内容独立于原始 分配器的可互操作的回放。对于本领域普通技术人员很明显的某些细节和特征从流程图 500中省略。例如,步骤可包括一个或多个子步骤或可涉及专门的设备或材料,如本领域中 已知的。虽然流程图500中所示的步骤510到570足以描述本发明的一个实施方式,本发 明的其他实施方式可使用与流程图500中示出的不同的步骤。参考图5中的流程图500的步骤510和图2的环境200,流程图500的步骤510包 括客户端280执行业务以从媒体分配器270获取通用文件240,通用文件240包括由与图1 的加密所有权密钥274或所有权密钥132的未加密版本相应的所有权密钥加密的加密所有 权245,以及可与媒体分配器270 —起使用以访问加密所有权密钥274的未加密版本的DRM 许可证273。这个过程已经被稍微详细地讨论,但是简要地,客户端280使用客户端媒体应 用283来浏览数字店面并选择通用文件240以开始业务。在响应中,媒体分配器270通过 与密钥箱260、本地DRM服务器272和本地DRM客户端282的交互作用来将通用文件240和相关的DRM许可证273提供到客户端280。参考图5中的流程图500的步骤520和图2的环境200,流程图500的步骤520包 括客户端280接收与加密的所有权245相关联的数字收据285,其中数字收据285包括与步 骤510的业务相关的信息。如图2中所示,这个信息包括客户端ID 281、分配器ID 271、共 用客户端ID 286、消费者ID 284、所有权ID 216和业务信息287,但是可选的实施方式可 使用其他的数据排列。另外地,如图2中所示,提供了由密钥箱260的公钥加密的数字收据 285的部分。参考图5中的流程图500的步骤530和图2的环境200,流程图500的步骤530 包括客户端280将从步骤520接收的数据收据285发送到密钥箱260以用于消费者数据库 263中的数字收据285的在线登记。如图2中所示,客户端280使用密钥箱260的客户端 API 256发送数字收据285,客户端API 256可揭示通过HTTPS上的SOAP可访问的网络服务。参考图5中的流程图500的步骤540和图4a的环境400,流程图500的步骤540 包括客户端280丧失对相应于从步骤510重新获取的DRM许可证273的DRM许可证473的 访问。如之前所讨论的,这可能是通过改变媒体分配器或客户端的资源丧失或者是通过例 如导致数据遗失的硬件故障的非自愿丧失。在任一情况下,客户端480都不再能够在步骤 540之后直接访问DRM许可证473。但是,与图4a中示出的访问状态相反,客户端480仍可 保持对相应于从步骤510中重新获取的通用文件240的通用文件440的访问。参考图5中的流程图500的步骤550和图4a的环境400,流程图500的步骤550 包括客户端480将数字收据485发送到媒体分配器470,其中数字收据485对应于从步骤 520重新获取的数字收据285,且其中媒体分配器470与在步骤510-520期间访问的媒体分 配器270完全不同。在步骤550之后,媒体分配器470可通过查询密钥箱460以得到相同 的数字收据485的在线登记的现有证据来仔细检查数字收据485的有效性。密钥箱460还 可在提供相关的密钥信息文件以用于生成新的DRM许可证之前使用不同的商业规则。参考图5中的流程图500的步骤560和图4a的环境400,流程图500的步骤560 包括客户端480从媒体分配器470接收可与媒体分配器470 —起使用的DRM许可证473以 访问用于解码通用文件440的所有权密钥,其中所有权密钥与在步骤510中对加密所有权 245使用的所有权密钥相同。如之前所讨论的,在步骤550之后,密钥箱460还可在提供相 关的密钥信息文件之前验证客户端480的身份、媒体分配器470的授权以及任何可应用的 商业规则,以允许步骤560继续进行。参考图5中的流程图500的步骤570和图4a的环境400,流程图500的步骤570 包括客户端480的客户端媒体应用483在使用所有权密钥加密的显示器488上使用媒体分 配器470发起通用文件440的回放,该所有权密钥通过使用从步骤560接收的DRM许可证 473被获取。因为在步骤560结束时,客户端480能够访问通用文件440和DRM许可证473, 客户端只需要使用由客户端媒体应用483和媒体分配器470实现的本地DRM解决方法来访 问嵌入DRM许可证473中的所有权密钥,以用于解码通用文件440中的加密所有权,其然后 可被消费或输出到显示器488以由客户端480的用户观看。图6是示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤媒 体内容可被分发到媒体分配器。对于本领域技术人员明显的某些细节和特征在流程图600
22中省略。例如,步骤可包括一个或多个子步骤或可涉及专门的设备或材料,如本领域中已知 的。虽然流程图600中所示的步骤610到670足以描述本发明的一个实施方式,本发明的 其他实施方式可使用不同于流程图600中示出的那些步骤。参考图6中的流程图600的步骤610和图1的环境100,流程图600的步骤610包 括调制机130的通用文件打包器135获取第一密钥、密钥箱公钥122、第二密钥、所有权密 钥132和所有权115。如图1中所示,密钥箱公钥122从受信任的第三方_证书授权120被 重新获取,其中证书121用于使密钥箱公钥122和密钥箱160之间的绑定生效。但是,带有 PKI或不带有PKI的可选方法也可被使用。调制机130本身可使用密钥生成器131生成所 有权密钥132。所有权115从所有权所有者110被重新获取,所有权115可通过数字或物理 装置被安全地获取。所有权所有者110如前所述还可由与调制机130相同的实体所拥有。参考图6中的流程图600的步骤620和图1的环境100,流程图600的步骤620包 括调制机130的通用文件打包器135使用密钥箱公钥122来加密所有权密钥132,以生成加 密的所有权密钥152,密钥箱公钥122和所有权密钥132都从步骤610获取。因为加密所有 权密钥152只可能使用密钥箱私钥165加密,只要密钥箱160保护密钥箱私钥165的私密 性,密钥箱160就可只访问来自加密的所有权密钥152的所有权密钥132。如之前所讨论 的,符合公钥密码标准#1 (PKCS)的2048位RSA密钥可用于步骤620的非对称密钥加密。参考图6中的流程图600的步骤630和图1的环境100。流程图600的步骤630 包括调制机130的通用文件打包器135使用所有权密钥132来加密所有权115,以生成加密 的所有权145,所有权115和所有权密钥132都从步骤610获取。如之前所讨论的,平衡的 折衷例如高级加密标准(AES)可用于步骤630的对称密钥加密,以为合理地强大的安全提 供快速解码时间。参考图6中的流程图600的步骤640和图1的环境100,流程图600的步骤640包 括调制机130的通用文件打包器135生成包括从步骤620中生成的加密所有权密钥152的 密钥信息文件150。如图1中示出的,密钥信息文件150还可包括各种元数据和标识信息, 例如所有权所有者ID 111和所有权ID 116,以帮助编索引和重新获取密钥信息数据库162 中的密钥信息文件150。参考图6中的流程图600的步骤650和图1的环境100,流程图600的步骤650包 括调制机130的通用文件打包器135生成包括从步骤630中生成的加密所有权145以及中 央密钥库(CKR)-密钥箱160的密钥箱URL 146的通用文件140。密钥箱URL 146表示指 向密钥箱160的网络地址,且如之前所讨论的,重定向服务器还可用作媒介。尽管图1使用 URL作为与基于HTTPS上的SOAP的网络交互作用的网络地址,可选的实施方式可使用其他 的协议来以安全的方式到达网络地址。如通用文件140中示出的,另外的元数据和标识信 息例如所有权ID 116和元数据117也可包括在通用文件140中以有助于通用文件140的 标识和分类。参考图6中的流程图600的步骤660和图1的环境100,流程图600的步骤660包 括调制机130的通用文件包装器135提供密钥信息文件150以用于存储在密钥箱160的密 钥信息数据库162中。如图1中示出的,这可以是通过由密钥箱160的调制机API 161通 过使用在HTTPS上揭示的SOAP网络服务。在密钥箱160将调制机130认证为经授权的调 制机并接受密钥信息文件150之后,它可被归档在密钥信息数据库162中以用于将来由媒体分配器重新获取,通过使用来自分配器公钥数据库166的公钥以被转录的形式制备的密 钥信息文件对应于重新获取媒体分配器。在这种情况下,每个媒体分配器生成其自己的私 钥/公钥对并向密钥箱160分发公钥,但如之前所讨论的,密钥箱160还可生成私钥/公钥 对并向媒体分配器分发公钥。参考图6中的流程图600的步骤670和图1的环境100,流程图600的步骤670包 括调制机130的通用文件打包器135向媒体分配器170提供通用文件140。在步骤670之 前,在各方之间应存在适当的分发安排。更具体地,媒体分配器170应有发行来自所有权所 有者110的所有权115的协议,且密钥箱160的分配器数据库167应准许媒体分配器170 访问来自密钥箱160的相应密钥信息文件150。尽管图1中只示出了单个媒体分配器,在可 选的实施方式中,所有权所有者110可以有与若干不同的媒体分配器的协议,将由调制机 生成的通用文件发送到每个不同的媒体分配器。如同所有权所有者110向调制机130提供 所有权115 —样,通用文件140可以用任何适当的安全通信方法物理地或数字地被提供到 媒体分配器170。一旦通用文件140被发行到经授权的媒体分配器例如媒体分配器170,通 用文件140就可用于通过数字店面或其他显示方法请求客户端或用户。图7示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤中央 密钥库(CKR)可向媒体分配器提供内容访问授权。对本领域普通技术人员明显的某些细节 和特征在流程图700中省略。例如,步骤可包括一个或多个子步骤或可涉及专门的设备或 材料,如本领域中已知的。虽然流程图700中所示的步骤710到750足以描述本发明的一 个实施方式,本发明的其他实施方式可使用不同于流程图700中示出的那些步骤。参考图7中的流程图700的步骤710和图1的环境100,流程图700的步骤710包 括密钥箱160接收包括加密的所有权密钥152、所有权ID 116和所有权所有者ID 111的密 钥信息文件150。如图1中示出,步骤710可通过由HTTPS通过调制机API 161揭示SOAP 网络服务以由调制机130使用来实现。一旦密钥箱160接收到密钥信息文件150,它就可将 它分类到密钥信息数据库162内以用于将来由媒体分配器重新获取。参考图7中的流程图700的步骤720和图1的环境100,流程图700的步骤720包 括密钥箱160使用密钥箱私钥165解密从步骤710接收的密钥信息文件150中的加密所有 权文件152以重新获取所有权密钥132。因为加密的所有权密钥152使用密钥箱公钥122 被加密,密钥箱160只需要使用已经在存储器159中的密钥箱私钥165以用于加密。参考图7中的流程图700的步骤730和图1的环境100,流程图700的步骤730 包括密钥箱160从媒体分配器170接收包括所有权ID 116的密钥请求。例如,媒体分配器 170可接收来自客户端的请求以服务于通用文件140。但是,为了实现通用文件140的回放, 也需要密钥信息文件150以用于解密。因为通用文件140包括所有权ID 116,媒体分配器 170可请求与来自密钥箱160的所有权ID 116匹配的密钥信息文件以满足来自客户端的请 求。参考图7中的流程图700的步骤740、图1的环境100和图2的环境200,流程图 700的步骤740包括密钥箱160使用存储在分配器公钥数据库166中的提供者公钥来加密 从步骤720解密的所有权密钥132,以生成被转录的密钥信息文件251的加密所有权密钥 252,其中提供者公钥对应于包括分配器私钥175的私/公非对称密钥对的公共部分。该提 供者公钥可提前通过受信任的第三方例如证书授权120被提供到密钥箱160。步骤740将
24密钥信息文件150“转录”成对应于图2中的被转录的密钥信息文件251的被转录的密钥信 息文件151。术语“转录”在这里在所有权密钥132从被密钥箱公钥122加密成为加密的所 有权密钥152过渡到被提供者公钥加密成为加密的所有权密钥252的意义上被使用,使得 只有具有分配器私钥275的相关的媒体分配器270可访问来自被转录的密钥信息文件251 的原始所有权密钥132。参考图7中的流程图700的步骤750和图1的环境100,流程图700的步骤750包 括密钥箱160响应于步骤730-密钥请求的接收而将从步骤740生成的对应于包含在被转 录的密钥信息文件151中的加密所有权密钥的加密所有权密钥252发送到媒体分配器170。 在步骤750之后,媒体分配器170可使用分配器私钥175访问原始所有权密钥132以用于 合并在本地DRM系统172内以实现通用文件140的访问和回放。图8示出了依照本发明的一个实施方式的描述步骤的流程图,通过这些步骤媒体 分配器可获得来自中央密钥库(CKR)的内容访问授权。对于本领域普通技术人员明显的某 些细节和特征在流程图800中省略。例如,步骤可包括一个或多个子步骤或可涉及专门的 设备或材料,如本领域中已知的。虽然流程图800中所示的步骤810到850足以描述本发 明的一个实施方式,本发明的其他实施方式可使用不同于流程图800中示出的那些步骤。参考图8中的流程图800的步骤810和图2的环境200,流程图800的步骤810包 括媒体分配器270接收来自客户端280的用于访问通用文件140中的加密的所有权245的 用户请求分配器,该请求包括所有权ID 216。例如,客户端媒体应用283可与媒体分配器 270通信以向客户端280的用户显示电子商务店面。客户端280的用户可浏览电子商务店 面并开始购买用于观看由所有权ID 216或通用文件240中的加密所有权245标识的数字 媒体的许可证的协议。这个协议可接着作为用户请求被发送以被传送到媒体分配器270。参考图8中的流程图800的步骤820和图2的环境200,流程图800的步骤820包 括媒体分配器270响应于步骤810将密钥请求发送到密钥箱260,密钥请求包括所有权ID 216。通过使用提供者API 257,媒体分配器270对相应于所有权ID 216的密钥信息文件 可将密钥请求发送到密钥箱260。如同客户端API 256 —样,提供者API 257可通过HTTPS 上的SOAP由网络服务对外部揭示。参考图8中的流程图800的步骤830和图2的环境200,流程图800的步骤830包 括媒体分配器270响应于步骤820而接收包括加密的所有权文件252的被转录的密钥信息 文件251。被转录的密钥信息文件251可使用在步骤820中建立的相同安全连接来接收。 因为在被转录的密钥信息文件251中的加密所有权密钥252使用媒体分配器270的公钥被 加密,分配器私钥275可容易用于解密被加密的所有权密钥252。参考图8中的流程图800的步骤840和图2的环境200,流程图800的步骤840包 括媒体分配器270解密从步骤830接收的被转录的密钥信息文件251的加密的所有权密钥 252,以重新获取与图1的所有权密钥132对应的所有权密钥。这个所有权密钥可最终用于 解密与通用文件240中的所有权ID 216相关联的加密的所有权245。参考图8中的流程图800的步骤850和图2的环境200,流程图800的步骤850包 括媒体分配器270向客户端280提供通用文件240的加密的所有权245的DRM许可证273, DRM许可证273使用来自步骤840的所有权密钥作为由本地DRM服务器272保护的加密的 所有权密钥274。步骤850响应于步骤810被发起并由客户端280使用来使用来自步骤840的可使用本地DRM客户端282从DRM许可证273重新获取的所有权密钥来解密加密的所有 权245。在客户端280接收到DRM许可证273之后,它可使用本地DRM客户端282从加密的 所有权密钥274中移除保护,访问来自步骤840的所有权密钥以解密通用文件240中的加 密的所有权245。在解密之后,例如,客户端280可在被保护媒体路径解码引擎299上引导 解密的内容以用于在显示器288上回放,使得客户端280的用户可欣赏从步骤810请求的 内容。 从本发明的以上描述中表明各种技术可被用于实现本发明的概念而不偏离其范 围。另外,虽然具体参考某些实施方式描述了本发明,本领域普通技术人员应认识到,可在 形式和细节上进行改变而不偏离本发明的精神和范围。因此,所描述的实施方式在所有方 面都被认为是说明性的而不是限制性的。还应理解,本发明不限于此处所描述的特定实施 方式,而是能够有很多重排、修改和替换而不偏离本发明的范围。
权利要求
一种由中央密钥库(CKR)使用以向分配器提供内容访问授权的方法,所述方法包括接收包括第一加密的第二密钥的密钥信息文件以使用第一密钥和内容标识解密;使用第一密钥解密所述第一加密的第二密钥以重新获取所述第二密钥;从分配器接收包括所述内容标识的密钥请求;使用第三密钥加密所述第二密钥以生成第二加密的第二密钥;以及响应于所述密钥请求的接收而向所述分配器发送所述第二加密的第二密钥。
2.如权利要求1所述的方法,其中使用所述第三密钥加密所述第二密钥是响应于所述 密钥请求的接收。
3.如权利要求1所述的方法,还包括 生成所述第三密钥;在分配器密钥数据库中存储所述第三密钥;以及在将所述第二加密的第二密钥发送到所述分配器之前将所述第三密钥发送到所述分 配器。
4.如权利要求1所述的方法,还包括在使用所述第三密钥加密所述第二密钥之前接收来自所述分配器的所述第三密钥;以及将所述第三密钥存储在分配器密钥数据库中。
5.如权利要求1所述的方法,还包括在使用所述第三密钥加密所述第二密钥之前接收来自第三方的所述第三密钥;以及 将所述第三密钥存储在分配器密钥数据库中。
6.如权利要求5所述的方法,其中所述第三方包括证书授权。
7.如权利要求1所述的方法,其中所述密钥信息文件还包括通用唯一标识符(UUID)和 国际标准视听资料号(ISAN)。
8.如权利要求1所述的方法,其中所述CKR还包括分配器数据库,且其中响应于所述密 钥请求的接收,所述方法还包括确定所述分配器是否被授权以接收所述第二密钥。
9.如权利要求1所述的方法,其中所述密钥请求还包括消费者信息、业务类型和设备 信息中的至少一个。
10.如权利要求9所述的方法,其中所述CKR还包括消费者数据库,且其中响应于所述 密钥请求的接收,所述方法还包括确定与所述消费者信息相关联的消费者是否被授权以消 费与所述内容标识相关联的内容。
11.如权利要求9所述的方法,其中所述CKR还包括业务数据库,且其中响应于所述密 钥请求的接收,所述方法还包括确定所述业务类型是否授权消费者消费与所述内容标识相 关联的内容。
12.如权利要求9所述的方法,其中所述CKR还包括设备数据库,且其中响应于所述密 钥请求的接收,所述方法还包括确定与所述请求相关联的所述设备是否被授权以消费与所 述内容标识相关联的内容。
13.如权利要求1所述的方法,其中所述密钥请求还包括与关联于所述内容标识的内 容相关联的代码。
14.如权利要求1所述的方法,其中发送所述第二加密的第二密钥包括密钥信息文件 具有所述第二加密的第二密钥和关于由所述内容标识参考的内容的信息。
15.一种用于向分配器提供内容访问授权的中央密钥库(CKR),所述中央密钥库包括 存储器,其具有第一密钥;处理器,其与所述存储器通信,所述处理器设置为接收包括第一加密的第二密钥的密钥信息文件以用于使用所述第一密钥和内容标识 解密并将所述密钥信息存储在所述存储器中;使用从所述存储器中重新获取的所述第一密钥解密所述第一加密的第二密钥以重新 获取所述第二密钥;从分配器接收包括所述内容标识的密钥请求;使用第三密钥加密所述第二密钥以生成第二加密的第二密钥;以及响应于接收所述密钥请求而将所述第二加密的第二密钥发送到所述分配器。
16.如权利要求15所述的中央密钥库,其中所述处理器设置为响应于接收所述密钥请 求而使用所述第三密钥加密所述第二密钥。
17.如权利要求15所述的中央密钥库,其中所述处理器还设置为 生成所述第三密钥;将所述第三密钥存储在所述存储器中的分配器密钥数据库中;以及 在将所述第二加密的第二密钥发送到所述分配器之前将所述第三密钥发送到所述分 配器。
18.如权利要求15所述的中央密钥库,其中所述处理器还设置为在使用所述第三密钥加密所述第二密钥之前接收来自所述分配器的所述第三密钥;以及将所述第三密钥存储在所述存储器中的分配器密钥数据库中。
19.如权利要求15所述的中央密钥库,其中所述处理器还设置为在使用所述第三密钥加密所述第二密钥之前接收来自第三方的所述第三密钥;以及 将所述第三密钥存储在所述存储器中的分配器密钥数据库中。
20.如权利要求19所述的中央密钥库,其中所述第三方包括证书授权。
21.如权利要求15所述的中央密钥库,其中所述密钥信息文件还包括通用唯一标识符 (UUID)和国际标准视听资料号(ISAN)。
22.如权利要求15所述的中央密钥库,其中所述存储器还包括分配器数据库,且其中 响应于接收所述密钥请求,所述处理器还设置为确定所述分配器是否被授权来接收所述第 -~-jSj 朗 ο
23.如权利要求15所述的中央密钥库,其中所述密钥请求还包括消费者信息、业务类 型和设备信息中的至少一个。
24.如权利要求23所述的中央密钥库,其中所述存储器还包括消费者数据库,且其中 响应于接收所述密钥请求,所述处理器还设置为确定与消费者信息相关联的消费者是否被 授权来消费与所述内容标识相关联的内容。
25.如权利要求23所述的中央密钥库,其中所述存储器还包括业务数据库,且其中响 应于接收所述密钥请求,所述处理器还设置为确定所述业务类型是否授权消费者消费与所述内容标识相关联的内容。
26.如权利要求23所述的中央密钥库,其中所述存储器还包括设备数据库,且其中响 应于接收所述密钥请求,所述处理器还设置为确定与所述请求相关联的设备是否被授权来 消费与所述内容标识相关联的内容。
27.如权利要求15所述的中央密钥库,其中所述密钥请求还包括与关联于所述内容标 识的内容相关联的代码。
28.如权利要求15所述的中央密钥库,其中所述处理器设置为通过包括密钥信息文件 来发送所述第二加密的第二密钥,所述密钥信息文件具有所述第二加密的第二密钥和关于 由所述内容标识参考的内容的信息。
全文摘要
提供了用于可互操作的密钥箱的系统和方法。提供了由中央密钥库(CKR)或密钥箱使用来向分配器提供内容访问授权的方法,其包括接收包括第一加密的第二密钥的密钥信息文件以使用第一密钥和内容标识解密,使用第一密钥解密第一加密的第二密钥以重新获取第二密钥,从分配器接收包括内容标识的密钥请求,使用第三密钥加密第二密钥以生成第二加密的第二密钥,以及响应于密钥请求的接收而将第二加密的第二密钥发送到分配器。以这种方式,使用不同的DRM方案或系统对被保护的分配器的密钥管理可被简化且变成可互操作的。
文档编号H04L9/14GK101951360SQ20101022546
公开日2011年1月19日 申请日期2010年7月9日 优先权日2009年7月10日
发明者斯科特·F·沃森, 阿尔诺·罗伯特 申请人:迪斯尼实业公司