用于保护内容的存储器件和主机设备及其方法
【专利摘要】一种用于保护内容的存储器件包括其中存储了对加密内容进行解密所需的解密密钥的安全区(SA)区域,并且已经使用安全认证协议通过认证的主机设备可以访问所述SA区域。所述存储器件存储将用于控制所述加密内容的使用的控制信息和解密密钥映射到所述加密内容的安全信息文件。
【专利说明】用于保护内容的存储器件和主机设备及其方法
【技术领域】
[0001]本发明一般地涉及用于保护内容的设备和方法,并且更具体地,涉及用于安全地存储和播放内容的存储器件、主机设备及相应方法。
【背景技术】
[0002]内容保护技术旨在将各种各样的内容从内容提供者(CP )安全地输送到用户,并且防止已经接收到内容的用户非法地分发该内容。内容保护技术可以在包括数字内容的创建、分发、使用和处理的整个过程中保护信息。内容保护技术也可以保护在线和离线两种用户的权利。
[0003]内容保护技术可以包括例如数字权利管理(Digital Rights Management,DRM)技术、用于可记录介质的内容保护(Content Protection for Recordable Media, CPRM)和高级内容访问系统(Advanced Access Content System,AACS)规范。也存在这样的内容保护方法,即,其自身加密并提供内容,提供用于控制加密内容的使用的控制信息,并且提供用于解密所述加密内容的加密/解密密钥。
[0004]根据该内容保护方法,实体消费内容(以下简称“主机”),诸如内容回放设备,接收与加密内容相对应的控制信息和加密/解密密钥。所述主机基于所述控制信息和所述加密/解密密钥来解密所述加密内容。在所述主机通过了认证之后,所述主机可以从具有所述主机可以访问的安全区(Secure area,SA)的存储器件接收所述加密内容、所述控制信息以及所述加密/解密密钥。相比之下,所述主机可以接收与从具有SA的存储设备接收到的所述控制信息和所述加密/解密密钥分离的加密内容。所述存储设备可以是具有SA的非易失性存储(NVM)器件,诸如,例如,安全数字(SD )卡和通用串行总线(USB )存储器。
[0005]如上所述,传统的内容保护技术提供使用唯一媒体标识符(ID)和其关联加密技术(例如,公钥基础设施(PKI)认证))来加密的内容。传统的内容保护技术将内容或者用来加密所述内容的加密密钥映射到唯一媒体ID,从而防止对存储器件的存储区的访问,即,防止非法复制数据的不当操作(读取、写入等等)。
【发明内容】
[0006]技术问题
[0007]然而,传统的技术并不提供用于映射加密内容、控制信息和解密密钥的明确信息(clear information),以便消费所述加密内容。
[0008]具体来说,图1示出了加密内容、用于控制加密内容的使用的控制信息、和解密密钥。控制加密内容的使用的控制信息121-123和解密密钥111-11N可以被存储在存储器件100中。具体来说,解密密钥111-1 IN可以被分别存储在SA 110的分离的区域SAl-SAn中。
[0009]为了消费或者播放所述加密内容之一,诸如加密内容A201、加密内容B202和加密内容C203,诸如内容回放设备的主机从存储器件100获取关联的控制信息和加密/解密密钥。[0010]例如,为了播放加密内容A201,主机从存储器件100获取被包括在用于加密内容A201的控制信息‘002.Ctrl’中的用于内容A的使用的‘A的使用信息’和与内容A关联的‘绑定到A的信息’。主机还从SA区域110获取与‘A的使用信息’和‘绑定到A的信息’相对应的加密/解密密钥、‘标题密钥’,以便消费或者播放加密内容A201。
[0011]然而,传统的技术不提供指示其中存储了与所述内容相对应的标题密钥的区域的信息。因此,当标题密钥被存储在SA区域110中时,主机可能不能获取正确的标题密钥。
[0012]技术方案
[0013]做出本发明以至少解决上述问题和/或缺点,并至少提供下述优点。因此,本发明的一个方面提供了用于保护内容的主机设备、存储器件以及相应方法,其被配置成提供用于映射加密内容、用于控制加密内容的使用的控制信息和加密/解密密钥的明确信息。
[0014]本发明的另一个方面提供用于保护内容的主机设备和存储器件,其被配置成生成包括用于将用于控制加密内容的使用的控制信息和加密/解密密钥映射到加密内容的信息的独立的安全信息文件。
[0015]依据本发明的一个方面,提供一种存储器件以用于保护内容。所述存储器件包括其中存储了解密密钥的SA。所述解密密钥是解密所述加密内容所需的。所述存储器件存储将用于控制加密内容的使用的控制信息和解密密钥映射到所述加密内容的安全信息文件。主机设备需要使用安全认证协议来通过认证以访问所述SA。
[0016]依据本发明的另一个方面,提供一种主机设备以用于保护内容。所述主机设备包括:内容记录设备,以用于将安全信息文件记录在存储器件中,所述安全信息文件映射加密内容、控制信息和解密密钥。所述存储器件将所述解密密钥存储在SA区域中,所述解密密钥是解密所述加密内容所需的。所述主机设备需要使用安全认证协议来通过认证以访问所述SA。
[0017]依据本发明的附加的方面,提供一种主机设备以用于保护内容。所述主机设备包括:内容解密设备,用于获取安全信息文件以解密所述加密内容,从所述安全信息文件中获得关于与所述加密内容相对应的控制信息和解密密钥的信息,基于关于控制信息和解密密钥的信息从存储器件获取与所述加密内容相对应的控制信息和解密密钥,并且使用所述解密密钥解密所述加密内容。
[0018]依据本发明的又一方面,提供一种方法以用于在主机设备存储内容期间保护内容。加密内容、用于控制加密内容的使用的控制信息和用于所述加密内容的解密密钥被存储在存储器件中。映射所述加密内容、所述控制信息和所述解密密钥的安全信息文件被存储在所述存储器件中。
[0019]依据本发明的又一方面,提供一种方法以用于在主机设备中回放内容期间保护内容。获取安全信息文件以解密所述加密内容。从所述安全信息文件中获得关于与所述加密内容相对应的控制信息和解密密钥的信息。基于所述关于控制信息和解密密钥的信息从存储器件获取控制信息和解密密钥。使用所述解密密钥解密所述加密内容。
[0020]有益效果
[0021]从上述描述中明显看出,当用于解密所述加密内容的加密/解密密钥被存储在存储器件(例如,SD卡、HDD、USB等等)的SA中时,本发明的实施例提供SIF,所述SIF用于映射加密内容、用于控制所述加密内容的使用的控制信息、和加密/解密密钥。所述SIF使主机在消费加密内容时可以更准确地获取控制信息和加密/解密密钥。结果,所述主机可以安全地消费加密内容,因为,它可以准确地获取控制信息和加密/解密密钥信息,以便消费加密内容。
【专利附图】
【附图说明】
[0022]从下面结合附图的详细描述中,本发明的上述和其它方面、特征和优点将更加明显,附图中:
[0023]图1是图示了加密内容、用于控制加密内容的使用的控制信息和解密密钥的示图。
[0024]图2是图示根据本发明的实施例的用于保护内容的主机设备和存储器件的示图;
[0025]图3a和图3b是图示根据本发明的实施例的加密内容、控制信息、加密/解密密钥和安全信息文件的示图;
[0026]图4是示出根据本发明的实施例的安全信息文件的细节的表格;
[0027]图5是图示根据本发明的实施例的通过主机设备将加密内容、用于控制加密内容的使用的控制信息、加密/解密密钥和安全信息文件存储在存储器件中的过程的示图;
[0028]图6是图示根据本发明的实施例的通过主机设备从存储器件获取加密内容、用于控制加密内容的使用的控制信息、加密/解密密钥和安全信息文件的过程的示图;以及
[0029]图7是图示根据本发明的实施例的在主机设备中播放内容的过程的流程图。
【具体实施方式】
[0030]将参照附图详细描述本发明的实施例。尽管在不同的附图中图示,但是相同或类似的参考标记仍可以指示相同或类似的组件。可能省略对本领域中公知的构造或过程的详细描述,以避免模糊本发明的主题。
[0031]本发明的实施例提供用于保护内容的主机设备和存储器件、以及使用所述主机设备和所述存储器件来保护内容的方法。
[0032]图2是图示根据本发明的实施例的用于保护内容的主机设备和存储器件的示图。
[0033]参照图2,存储器件300包括非易失性存储器,诸如,例如,SD卡、固态驱动器(SSD)、硬盘驱动器(HDD)或者USB。存储器件300也具有SA 310。已经使用安全认证协议通过认证的主机设备可以访问SA 310。SA 310可以包括多个子区。
[0034]主机设备400是能够访问存储器件300、并且可以在存储器件300中执行写入、读取、擦除等等的设备。主机设备400可以具体实现为数字电视(DTV)、智能电话或者个人计算机(PC)。主机设备400可以包括:内容记录设备401,用于记录存储在存储器件300中的加密内容;或者内容解密设备402,用于解密和播放存储在存储器件300中的加密内容。
[0035]当主机设备400是内容记录设备401时,内容记录设备401将加密内容、用于控制加密内容的使用的控制信息以及用于所述加密内容的至少一个加密/解密密钥记录在存储器件300中。内容记录设备401生成和记录用于映射所述加密内容、所述控制信息和所述加密/解密密钥的安全信息文件(SIF)。内容记录设备401将所述加密/解密密钥记录在SA310中。
[0036]当主机设备400是内容解密设备402时,内容解密设备402获取SIF以解密加密内容。然后,内容解密设备402从所述SIF获取关于与所述加密内容相对应的控制信息的信息和关于加密/解密密钥的信息。内容解密设备402从由所述SIF获取的信息中获取控制信息和加密/解密密钥,并且基于所获取的控制信息和加密/解密密钥来解密所述加密内容。然后,内容解密设备402可以播放经解密的内容。
[0037]用于保护内容的主机设备400和存储器件300可以提供包括关于与加密内容相对应的控制信息和至少一个加密/解密密钥的信息的SIF。因此,所述主机可以在消费或者播放加密内容时更准确地获取控制信息和加密/解密密钥。
[0038]图3a和图3b是图示根据本发明的实施例的加密内容、控制信息、加密/解密密钥和SIF的示图。
[0039]参照图3a,主机设备400可以将加密内容12_16、用于控制加密内容12_16的使用的控制信息‘003.Ctrl’ 32-36、加密/解密密钥311-31N、和包括关于与加密内容相对应的控制信息的信息和关于加密/解密密钥的信息的SIF 22-26记录在存储器件300中。主机设备400可以将加密/解密密钥311-3IN分别记录在SA 310的分离的区域SAl-SAn中,在主机通过了认证之后,可以访问SA 310。
[0040]参照图3b,主机设备400可以将用于控制加密内容12-16的使用的控制信息‘003.ctrI’32-36和加密/解密密钥311-3 IN记录在存储器件300中。所述主机设备可以分离地提供加密内容12-16和SIF 22-26,所述SIF 22-26包括关于与加密内容相对应的控制信息的信息和关于加密/解密密钥的信息。
[0041]所述加密内容使用加密密钥来加密,并且控制信息‘003.Ctrl’包括用于控制内容的使用的‘使用信息’、以及与内容关联的信息。所述加密/解密密钥包括关于用于内容加密的或者解密加密内容所需的至少一个标题密钥(Title key)的信息。SIF 22_26包括与加密内容相对应的控制信息和关于加密/解密密钥的信息。
[0042]具体来说,所述SIF可以包括与内容相对应的安全信息(例如,与加密内容相对应的控制信息)和关于加密/解密密钥的信息,并且当所述内容是AAAAA.MP4的文件时,所述SIF可以以诸如AAAAA.SIF的文件来创建。
[0043]图4是示出根据本发明的实施例的SIF的细节的表格。参照图4,所述SIF可以包括项目,所述项目包含标题、控制文件标识符、标题密钥标识符以及初始向量(InitialVector)。
[0044]标题项目是内容的标题,并且可以是段信息或者用于标识内容的标识符,并且可以是例如所述内容的名称。控制文件标识符项目是指示与单独的内容相对应的控制文件的信息,并且可以是用于标识与所述内容相对应的控制信息的标识符。用于标识与所述内容相对应的控制信息的独立的文件名可以被用于所述控制文件标识符项目。当未使用所述独立的文件名时,可以使用指示标题密钥被存储在哪里的地址,比如‘SA地址:XXX’、或者指示在所存储的地址中会获取哪个密钥的密钥号,比如‘密钥号'111,。标题密钥标识符项目可以是用于获取所述标题密钥的地址信息。所述标题密钥可以包括指示标题密钥被存储在哪里的地址,比如‘SA地址:XXX’、和指示在所存储的地址中会获取哪个密钥的密钥号,比如‘密钥号:yyy’。当内容加密是使用高级加密标准(AES)的转换基站(Convert BaseStat ion, CBS )模式实现的时候,初始向量项目可以包括解密被加密的内容所需的初始向量值。与初始向量值相对应的内容开始位置信息可以与所述初始向量值一起被包括。例如,当以块(chunk)为基础加密内容时,所述初始向量项目可以包括块(chunk)和其关联的初
始向量值。
[0045]依据本发明的实施例,可以以强制的(M)或者可选的(O)方式包括所述SIF的标题项目、控制文件标识符项目、标题密钥标识符项目以及初始向量项目。例如,可以优选地以强制的(M)方式包括所述控制文件标识符项目和标题密钥标识符项目。可以以可选的(O)方式包括所述标题项目和初始向量项目。
[0046]图5是图示根据本发明的实施例的由主机设备400将加密内容、用于控制加密内容的使用的控制信息、加密/解密密钥和SIF存储在存储器件300中的过程的示图。
[0047]参照图5,主机设备400被具体实现为内容记录设备401。在步骤502中,内容记录设备401将AAAA.MP4文件或者加密内容存储在存储器件300中。在步骤504中,内容记录设备401将用于控制加密内容的使用的AAAA.Ctrl文件或者控制信息存储在存储器件300中。在步骤506中,内容记录设备401从存储器件300获取关于SA地址(其中可以存储所述加密内容的解密的加密/解密密钥)的信息。在获取关于SA地址的信息之后,在步骤508中,内容记录设备401请求在SA地址处存储密钥号和加密密钥。因此,所述密钥号和所述加密密钥被记录在所述SA中。
[0048]当对所述加密内容、所述控制信息和所述加密密钥的存储完成时,内容记录设备401生成指示关于与加密内容相对应的控制信息的信息和关于加密密钥的信息的AAAA.SIF文件或者SIF。在步骤510中,所述内容记录设备将AAAA.SIF文件存储在存储器件300中。所述AAAA.SIF文件可以包括用于所述AAAA.MP4文件的标题项目、控制文件标识符项目、标题密钥标识符项目和初始向量项目。
[0049]当对AAAA.SIF文件的存储完成时,在步骤512中,存储器件300将密钥存储完成消息发送到内容记录设备401。
[0050]因此,消费加密内容所需的控制信息和指示关于加密/解密密钥的信息或者指示加密/解密密钥存储在哪里的SIF与加密内容一起被存储在存储器件300中。期望消费加密内容的内容解密设备或者内容回放设备可以容易地获取消费加密内容所需的控制信息和加密/解密密钥。
[0051]图6示出了根据本发明的实施例的由主机设备400从存储器件300获取加密内容、用于控制加密内容的使用的控制信息、加密/解密密钥和安全信息文件的过程。
[0052]参照图6,主机设备400被具体实现为内容解密设备402。在步骤602中,内容解密设备402从存储器件300请求内容和安全信息。作为响应,在步骤604中,存储器件300将AAAA.MP4文件或者加密内容提供给内容解密设备402。在步骤606中,所述存储器件也将AAAA.SIF文件或者SIF提供给内容解密设备402。所述AAAA.SIF文件包括关于与加密内容相对应的控制信息的信息和关于加密/解密密钥的信息。
[0053]内容解密设备402接收所述AAAA.SIF文件并且从其获取与加密内容相对应的控制信息的地址或者标识符、加密/解密密钥的地址以及密钥号信息。
[0054]在步骤608中,内容解密设备402使用从AAAA.SIF文件获取的控制信息的地址或者标识符向存储器件300请求用于所述AAAA.MP4文件的XXXX.Ctrl文件或者控制信息。响应于所述请求,在步骤610中,存储器件300将所述XXXX.Ctrl文件提供给内容解密设备402。[0055]在步骤612中,内容解密设备402使用从AAAA.SIF获取的加密/解密密钥的地址(SA地址)和所述密钥号信息向存储器件300请求解密密钥。
[0056]在步骤614中,存储器件300从SA310获取所请求的解密密钥并且将存储在SA地址中的信息提供给内容解密设备402。
[0057]因此,内容解密设备402可以获取所获取的控制信息和加密/解密密钥,并且使用所获取的控制信息和加密/解密密钥来解密和播放所述加密内容。
[0058]图7是图示根据本发明的实施例的在主机设备中播放内容的过程的流程图。参照图7,主机设备400可以被具体实现为内容回放设备(未示出),包括内容解密设备402。
[0059]在步骤S702中,主机设备400接收对特定内容的回放请求。例如,可以借助于包括在主机设备400中的输入设备从用户接收内容回放命令。
[0060]响应于所述请求,在步骤S704中,主机设备400获取所述特定内容和用于所述内容的SIF。主机设备400可以通过向存储器件300请求内容和安全信息来从存储器件300获取所述特定内容和用于所述内容的SIF。
[0061]在步骤S706中,主机设备400从所获取的SIF中获取与控制信息相对应的控制文件名,所述控制信息存储诸如使用信息的信息。例如,主机设备400从所述SIF获得与加密内容相对应的控制信息的地址或者标识符。
[0062]在步骤S708中,主机设备400从所获取的SIF获得用于获得标题密钥的SA位置信息。例如,主机设备400获得关于其中存储了解密所述加密内容所需的标题密钥的SA地址的信息。
[0063]在步骤S710中,主机设备400获取存储在存储器件300的SA地址处的标题密钥。
[0064]在步骤S712中,主机设备400从存储器件300获取所获取的标题密钥当中的与包括在所述SIF中的密钥号相对应的标题密钥。
[0065]在步骤S714中,主机设备400使用所获取的标题密钥和包括在所述SIF中的初始向量来解密和播放加密内容。
[0066]从上述描述中明显看出,当用于解密加密内容的加密/解密密钥被存储在存储器件(例如,SD卡、HDD、USB等等)的SA中时,本发明的实施例提供用于映射加密内容、用于控制所述加密内容的使用的控制信息和加密/解密密钥的SIF。所述SIF使主机在消费加密内容时可以更准确地获取控制信息和加密/解密密钥。结果,所述主机可以安全地消费加密内容,因为它可以准确地获取控制信息和加密/解密密钥信息,以便消费加密内容。
[0067]本发明的实施例可以以硬件、软件或硬件和软件的组合的形式来实现。所述软件可以被存储在易失性的或者非易失性的存储器件中,诸如,例如,只读存储器(ROM)(不管它是可擦除的还是可重写的),所述软件还可以被存储在存储器中,诸如,例如,随机存取存储器(RAM)、存储芯片以及集成电路(1C),或者所述软件可以被存储在光/磁可记录并且机器可读的存储介质中,诸如,例如,致密盘(⑶)、数字多功能盘(DVD)、磁盘以及磁带。可以被包括在主机设备中的存储器是适合于存储一个或多个程序的机器可读存储介质的示例,所述一个或多个程序包括实现本发明的实施例的指令。因此,本发明的实施例包括包含用于实现所附权利要求中阐述的设备和方法的代码的程序以及存储这些程序的机器可读存储介质。这些程序可以通过任意介质及其等效物(诸如通过有线或者无线的连接传送的通信信号)来被电子地传送。[0068]尽管已经参照本发明的某些实施例示出和描述了本发明,但本领域技术人员将会理解,可以对本发明进行形式和细节上的各种改变,而不会脱离权利要求及其等效物限定的本发明的精神和范围。
【权利要求】
1.一种用于保护内容的存储器件,包括: 安全区(SA),其中存储了解密密钥,其中,所述解密密钥是对加密内容进行解密所需的, 其中,所述存储器件存储安全信息文件,所述安全信息文件将用于控制所述加密内容的使用的控制信息和解密密钥映射到所述加密内容, 其中,主机设备需要使用安全认证协议来通过认证以访问所述SA。
2.如权利要求1所述的存储器件,其中,所述安全信息文件包括用于标识与所述加密内容相对应的控制信息的标识符、用于解密所述加密内容的标题密钥的存储位置、以及密钥号。
3.如权利要求2所述的存储器件,其中,所述安全信息文件还包括用于标识所述加密内容的标识符信息、以及所述加密内容的解密所需的初始向量值。
4.一种用于保护内容的主机设备,包括: 内容记录设备,用于将安全信息文件记录在存储器件中,所述安全信息文件映射加密内容、控制信息和解密密钥, 其中,所述存储器件将所述解密密钥存储在安全区(SA)中,所述解密密钥是解密所述加密内容所需的;以及 其中,所述主机设备需要使用安全认证协议来通过认证以访问所述SA。
5.如权利要求4所述的主机设备,其中,所述安全信息文件包括用于标识与所述加密内容相对应的控制信息的标识符、用于解密所述加密内容的标题密钥的存储位置、以及密钥号。
6.如权利要求5所述的主机设备,其中,所述安全信息文件还包括用于标识所述加密内容的标识符信息、以及所述加密内容的解密所需的初始向量值。
7.一种用于保护内容的主机设备,包括: 内容解密设备,用于获取安全信息文件以对加密内容进行解密,从所述安全信息文件中获得关于与所述加密内容相对应的控制信息和解密密钥的信息,基于关于控制信息和解密密钥的信息从存储器件获取与所述加密内容相对应的控制信息和解密密钥,并且使用所述解密密钥解密所述加密内容。
8.如权利要求7所述的主机设备,其中,所述安全信息文件包括用于标识与所述加密内容相对应的控制信息的标识符、用于解密所述加密内容的标题密钥的存储位置、以及密钥号。
9.如权利要求8所述的主机设备,其中,所述安全信息文件还包括用于标识所述加密内容的标识符信息、以及所述加密内容的解密所需的初始向量值。
10.一种用于在主机设备存储内容期间保护内容方法,所述方法包括以下步骤: 在存储器件中记录加密内容、用于控制所述加密内容的使用的控制信息、和用于所述加密内容的解密密钥;以及 在所述存储器件中记录安全信息文件,所述安全信息文件映射所述加密内容、所述控制信息和所述解密密钥。
11.如权利要求10所述的方法,其中,所述安全信息文件包括用于标识与所述加密内容相对应的控制信息的标识符、用于解密所述加密内容的标题密钥的存储位置、以及密钥号。
12.如权利要求11所述的方法,其中,所述安全信息文件还包括用于标识所述加密内容的标识符信息、以及所述加密内容的解密所需的初始向量值。
13.一种用于在主机设备中回放内容期间保护内容方法,所述方法包括以下步骤: 获取安全信息文件以对加密内容进行解密; 从所述安全信息文件中获得关于与所述加密内容相对应的控制信息和解密密钥的信息; 基于所述关于控制信息和解密密钥的信息从存储器件获取控制信息和解密密钥;以及 使用所述解密密钥解密所述加密内容。
14.如权利要求13所述的方法,其中,所述安全信息文件包括用于标识与所述加密内容相对应的控制信息的标识符、用于解密所述加密内容的标题密钥的存储位置、以及密钥号。
15.如权利要求14所述的方法,其中,所述安全信息文件还包括用于标识所述加密内容的标识符信息、以及所述加密内容的解密所需的初始向量值。
【文档编号】H04L9/14GK103635911SQ201280032508
【公开日】2014年3月12日 申请日期:2012年7月2日 优先权日:2011年6月30日
【发明者】姜甫暻, 李炳来 申请人:三星电子株式会社