专利名称:可调整的自激安全时钟的制作方法
技术领域:
本发明涉及一种计算装置中的自激安全时钟,只要累积调整没有超出预测的时钟漂移,该时钟就可由计算装置的用户调整。这种时钟可由用户或可信时间管理机构等最初设置。在对照时钟测量时间需求的基于信任的系统中可能需要这种时钟。
背景技术:
包含执行数字权限管理(DRM)的基于信任的系统的许多装置,例如计算装置,包括数字内容再现装置等,具有需要时钟的时间或基于时间的访问需求。虽然原理上这种时钟可以定位于任意位置,但是通常方便的是装置含有时钟,在对照该时钟的本地时间源使权限有效。例如,可以在一个或多个规定时期而不在其它时间允许重放音频或视频。时钟必须精确,使得只有在应该授予时才授予许可。时钟还必须安全,使得用户不能轻易地通过设置当前时间为在允许的时间窗口内的伪时间而使DRM失效。目前有多种方案用于维持安全性同时维持精确性。例如,一些系统将内部时钟锁定到全球定位卫星(GPQ接收器,使得时钟不会漂移。其它系统使用安全网络事务而将内部时钟锁定到因特网上的网络时间协议 (NTP)服务器。但是,在一些情况下,要么没有可用的到外部源的连接,要么没有可用的到这种源的连续连接。例如,因特网连接可能不可用,或者GPS信号可能不可接收。如果外部源不可用,则不得不使用自激时钟。然而,自激时钟受到漂移,可能需要调整以维持精确度。 因此,需要一种安全时钟,其自激但可由用户调整以校正漂移而不会损害时钟的安全性。
发明内容
根据本发明的一个方面,提供了一种操作在计算装置中的自激安全时钟的方法, 其中时钟被最初设置为一个时间,该方法包括接收调整时钟的时间的请求,确定所请求的调整与先前调整,如果有的话,之和的程度是否在一个限度内,以及若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求。根据本发明的另一方面,提供了一种操作在计算装置中的自激安全时钟的方法, 该方法包括设置时钟为一个时间,接收调整时钟的时间的请求,确定所请求的调整与先前调整,如果有的话,之和的程度是否在一个限度内,以及若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求。根据本发明的另一方面,提供了一种在计算装置中的自激安全时钟,时钟已经被最初设置为一个时间,其中该时钟响应调整其时间的请求,确定所请求的调整与先前调整, 如果有的话,之和的程度是否在一个限度内,以及若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求。根据本发明的再另一方面,提供了一种在计算装置中的自激安全时钟,其中时钟
3已经被最初设置为一个时间,其中该时钟包括用于接收调整时钟的时间的请求的装置,用于确定所请求的调整与先前调整,如果有的话,之和的程度是否在一个限度内的装置,以及用于若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求的装置。根据本发明的又一方面,提供了一种在计算装置中的自激安全时钟,该时钟包括 用于将时钟设置为一个时间的装置,用于接收调整该时钟的时间的请求的装置,用于确定所请求的调整与先前调整,如果有的话,之和的程度是否在一个限度内的装置,以及用于若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求的装置。
图1是示出体现本发明各方面的配置的示意性功能方框图。图2是例示根据本发明各方面的安全时钟操作的实例的RTC时间对实际时间的曲线图。
具体实施例方式图1示出体现本发明各方面的配置的方框图。该配置可被认为包含在计算装置内或与计算装置关联,该计算装置包括数字内容再现装置等。自激实时安全时钟2有电池备用系统4,且可以包含在具有基于信任的系统的装置内或者与其关联。该安全时钟与软件接口 6通信,该软件接口从用户或者可信时间管理机构接收最初时间设置以及从用户接收随后的时间调整。该软件接口和时钟可以与包含适当存储器的任何适当的专用或者通用计算机一起运行。例如,该安全时钟可以提供一个或者两个显示,每个显示可以是可视和/或可听的。第一显示8可以传达安全时钟的时间或者安全时钟的时间和日期。第二显示10可以传达安全时钟的时间或者安全时钟的时间和日期在块12中偏移由用户经由软件接口 6 选定的量。可以选择一种偏移而产生根据本地时区的第二显示。偏移12不影响安全时钟的时间且仅仅是为了用户的方便而已。该安全时钟与可以是诸如DRM系统的基于信任的系统14通信。最初,安全时钟可以由诸如计算装置外部的可信时间管理机构设置为一可信时间。可选地,时钟可以由计算装置的用户最初设置为一可信时间或某一其它时间。虽然原理上安全时间可以被设置成任一时间或者时区,但是可能期望将它设置为由与装置关联的基于信任的系统所使用的标准时间或者时区。例如,如果装置再现数字电影内容,则该内容可以标准化从而具有数字权限许可证,该许可证具有根据诸如协调世界时(UTC)的特定时区表示的时间限制。无论是由用户设置还是由可信时间管理机构设置,一旦最初设置,则时钟被“锁定”,使得限制被强加在进一步的调整上。该时钟记录最初设置“锁定的”时间,其可称为 TLOCKED°一旦时钟已经被锁定,则当时钟接收到调整其时间的请求时,它会确定所请求的调整与先前调整,如果有的话,之和的程度是否在一个限度内,以及若所请求的调整与先前调整,如果有的话,之和的程度在该限度内,则允许该请求。该限度可以是时钟漂移的预测范围的函数,或者可选地是时钟漂移的预测范围的两倍的函数,如下详述。
可以以任一适当的方式确定时钟漂移的预测范围。例如,时钟漂移的预测范围可以是由时钟中使用的组件的公差所决定的RTC的最差情况的漂移。这种计算优选为应当考虑到在有无电源施加到与时钟关联的计算装置的情况下(可以理解电源持续施加到RTC, 无论相关的装置被加电或运行与否)操作和存储的温度范围。公差可以表示为T0lxm。典型的公差范围可以为10-50ppm。时钟将自从时钟锁定以来进行的所有调整记录在存储器中,而且该时钟保持自从其锁定以来的所有调整的运行和Σ Tadjusto时钟可以在存储器中具有时钟漂移限度的长期预测,或者在需要的时候,该时钟可以计算在特定时间的预测的时钟漂移限度。每当用户试图调整时,时钟会计算自从其被锁定以来所逝去的时间。可选地,时钟可以连续保持运行的逝去时间。每次尝试调整时钟时,请求的调整与所有先前的成功调整之和相加,以确定所请求的调整与这些先前调整之和是否在时钟的预测漂移范围内。如果绝对累积的变化(包括请求的调整)小于自从时钟由于时钟漂移而被锁定以来可能已经累积的最大误差的预测, 则允许时间校正。例如,设RTC中的当前时间为ΤΜ,而用户正试图设置的时间为TKEQUESTED。优选地, 当且仅当满足下面的公式,才准许调整I Σ TadJusi^Trequested-TnowI〈 (Tnow_Tlocked) * TOIxtal(1)(Tnow-Tlocked) TOlxm可以看成是预测时钟漂移。因为漂移可以为正或负,因此在任一给定时间的最大正漂移和负漂移确定一个限度。如果允许校正,则时钟允许请求的调整,而且该时钟用新的调整更新先前的累积
调整Σ T_ST(P_以提供更新过的累积调整Σ Tadjust(updated)Σ Tadjust (UPDATED) 一 Σ TADJUST (PEIoe) +TEEQUESTED_TN0W (2)注意的是,累积调整Σ Tadjust是带符号的调整的总和。因此,一个方向上的调整可通过相反方向的相同幅度的调整而有效地抵消。如果请求的调整会导致累积的调整比时钟漂移大,则它是不允许的-不调整时间也不更新累积调整。可选地,部分调整可被允许直到一定程度,即部分允许的调整和先前累积的调整没有超过时钟漂移限度。允许这种部分调整可能是有用的,例如,在具有两个装置的环境下,该两个装置各自具有其自身的自激RTC,其中期望将两个RTC彼此同步。假定两个RTC最初被设置成相同的时间基准,用户可以尝试相继地将一方设置为另一方的时间。图2例示了根据本发明的各方面的上述时钟操作的实例。如标记为“理想RTC”的四十五度线所示,起始于、·,理想RTC的时间(垂直轴“RTC时间”)与实际时间相同。时钟的预测的“最大正漂移”由从Tukked发出且向上偏离的这样标记的虚线所示,表示RTC时间相对于实际时间的递增的正偏离(即,运行得更快)。对应的时钟的预测的“最大负漂移” 由这样标记的虚线所示,其从Tukked发出且向下偏离,表示RTC时间相对于实际时间的递增的负偏离(即,运行得更慢)。最大正漂移和最大负漂移确定一个限度。图1的例子假定这个例子的特定“典型RTC”具有如图所示的负漂移。因此,在第一调整请求时,如实际时间轴上所示为“第一调整”,RTC有标记为Tnqw的RTC时间。如果用户请求的时间(Tkequested)是实际时间,则请求的调整的绝对值是ITkequested-TmI。因为这是第一调整请求,所以没有先前的累积调整Σ !^-⑽·…所请求的调整的绝对值小于最大预测的时钟漂移就足够,如在附图
5中可以看出的。因此,允许第一请求的调整且Tkequested成为RTC时间。但是,随着实际时间递增,RTC时间相对于实际时间负漂移(RTC运行得更慢),如图所示。在第二调整请求时,如实际时间轴上所示为“第二调整”,RTC有一个标记为Tnw的 RTC时间。如果用户请求的时间(标记为Tkequested)比实际时间超前一段时间,则请求的调整与先前的累积调整的绝对值(I Σ TADJUST(PEI0E)+Teequested-TnoJ)比最大的预测时钟漂移大,如附图中可以看出的。Σ TADJUST(PKIQK)例示为从“典型RTC”线的虚线延伸部分(表示实际RTC 漂移没有进行第一调整)垂直延伸的虚线。因此,不允许第二请求的调整且RTC时间在第二请求时保持TTOW。可选地,如上所述,部分调整可被允许直到一定程度,即部分允许的调整与先前累积的调整没有超过时钟漂移限度。在这个例子中,可以允许从Ttow调整直至TPAKTm 或更小而不超过时钟漂移限度。虽然,如附图所示,可允许的调整范围随着时钟的使用年限而增长,在系统的典型寿命(数年)期间,可以使该调整范围太小而不能用来使DRM失效。因此,本发明的各方面允许用户调整时钟以维持精确度,同时防止使DRM失效的不当的调整。为了使多个装置时间同步,根据本发明的安全时钟在具有每个装置各自具有自身的自激RTC的多个装置的环境下可被配置成允许在漂移的预测范围的两倍内进行调整。在这种配置中,所有的RTC应该最初在大约相同时间被设置到同样的外部基准(无论是否由可信管理机构设置为可信时间),或者这些RTC之一的时间可以用作其他RTC被设置到其时间的基准。优选地,“最新的” RTC即已经最近被设置到外部基准的RTC用作其他RTC被设置的基准。实施为实现与本发明关联执行的处理所需的编程相对简单而且对于相关编程的公众而言是显而易见的。因此,这种编程没有在此附上。那么,任何具体的编程可以用来实现本发明而不会背离其精神和范围。本发明可以用硬件或软件或两者的结合(例如,可编程逻辑阵列)实现。除非另外指定,包含作为本发明的部分的步骤不会固有地与任一特别计算机或其它设备关联。具体地,各种不同的通用机器可以与根据本文的教导所写的程序一起使用,或者可能更方便的是构造更专门的设备(例如,集成电路)来执行所要求的方法步骤。因此,本发明可以在一个或多个计算机程序中实现,该计算机程序在一个或多个可编程计算机系统上执行,每个所述计算机系统包括至少一个处理器、至少一个数据存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入装置或端口以及至少一个输出装置或端口。程序代码被应用到输入数据以执行本文描述的功能且产生输出信息。该输出信息以已知方式应用到一个或多个输出设备。每个这种程序可以以任一期望的计算机语言(包括机器、汇编或高级程序、逻辑或面向对象的编程语言)实现以与计算机系统通信。无论如何,语言可以是编译型语言或解释型语言。每个这种计算机程序优选存储在或下载到由通用或者专用可编程计算机可读的存储媒体或者装置(例如,固态存储器或者媒体,或磁性或者光学媒体),以用于当存储媒体或装置由计算机系统读取时配置和操作该计算机而执行本文描述的过程。本发明的系统还可以看作实施为计算机可读的存储媒体,配置有计算机程序,其中存储媒体如此配置导致计算机系统以特定或预定的方式运行以执行本文描述的功能。 已经对本发明的许多实施例进行了描述。但是,可以理解的是,可以进行各种修改而不背离本发明的精神和范围。例如,如上所述的一些步骤可以是与顺序无关的,因此能以不同于描述的顺序执行。因此,其它实施例在下面的权利要求的范围内。
权利要求
1.一种操作自激安全时钟的方法,其中所述时钟已经最初设置为一个时间,该方法包括接收调整所述时钟的时间的请求,确定所请求的调整与先前调整之和的程度是否在一个限度内,所述限度基于自从所述时钟被最初设置以来所逝去的时间,以及若所请求的调整与先前调整之和的程度在所述限度内,则允许所述请求。
2.根据权利要求1所述的方法,其中所述限度是相对于所述所逝去的时间的时钟漂移的预测范围的函数。
3.根据权利要求1所述的方法,其中,所述限度是存储在存储器中的时钟漂移限度的预测。
全文摘要
本发明涉及一种计算装置中的自激安全时钟,只要累积调整没有超出预测的时钟漂移,该时钟就可由计算装置的用户调整。这种时钟可由用户或可信时间管理机构等最初设置。在对照时钟测量时间需求的基于信任的系统中可能需要这种时钟。
文档编号H04L9/32GK102170353SQ20111007271
公开日2011年8月31日 申请日期2005年5月19日 优先权日2004年6月15日
发明者特雷弗·达维斯, 约翰·D·库林 申请人:杜比实验室特许公司