用于解密和呈现内容的系统的制作方法

用于解密和呈现内容的系统
1.本技术是申请日为2017年09月08日、题为“用于解密和呈现内容的系统”的中国专利申请201780055133.0的分案申请。
技术领域
2.本公开总体上涉及安全数字媒体内容解密领域，尤其涉及用于对于条件访问内容的操作者以确保媒体播放器实施与这样的内容的呈现(rendering)相关联的任何条件。


背景技术：

3.现有技术中，用于将对于特定数字媒体内容的访问限制到仅有的已经获得这样做的权限的人的系统是已知的。这些系统包括具有主机设备和条件访问模块(cam)的系统，其中主机设备用于接收内容，条件访问模块在插入到主机设备或者以其他方式连接到主机设备时，在cam能够访问必要的权限从而证明已经获得权限的条件下，解密从主机设备接收到的内容，并且将经解密内容返回到主机设备用于呈现。
4.已知数字电视(tv)形式的主机设备。这些设备通常在插槽的末端具有称为公共接口(ci)的标准接口，条件访问模块或公共接口条件访问模块(cicam)可以插入到该插槽中。cicam可以用于接收智能卡或安全模块，其中存储有针对付费tv服务由用户获得的权限。cicam及其安全模块控制用户已经订阅的服务的解密。经解密内容经由公共接口返回到主机。
5.现有技术中也能够使用称为ci plus(ci加)的系统。该系统与ci系统类似，除了经解密的内容在被发送回主机设备之前由cicam重新加密，从而防止不道德的一方在经解密的内容回到主机设备的途中进行截获并且对其进行非法使用或分发。cicam所使用的对于内容进行重新加密的密钥经由公共接口上在主机设备与cicam之间形成的安全信道从cicam发送到主机。
6.ci和ci plus标准利用主机与cicam之间的物理接口，该物理接口基于由称为pcmcia的个人计算机存储卡国际协会引入的标准。已经其他物理接口，诸如usb，其提供更高数据传输速率的优点。然而，usb标准并非专门为条件访问应用而设计，必须注意保持所需的安全水平。
附图说明
7.伴随本书面公开的附图示出：
8.图1：本发明的实施例中所使用的组件；
9.图2：可以使用在本发明的另一实施例中的另外组件。
具体实施方式
10.根据第一方面，提供了一种数字媒体播放器，诸如数字tv，其播放经过加密并且与特定安全要求或条件相关联的媒体内容。这通过提供可以附接到媒体播放器的可拆卸外部
设备来实现，该外部设备用于在将经重新加密的内容发送回主机tv之前对于内容进行解密、重新加密，并且用于确保tv遵从与内容的呈现相关联的任何条件。由外部设备将与内容相关联的安全要求连同它们相关联的加密内容一起接收，这些由外部设备进行加密并以安全消息发送回主机设备。安全要求或条件可以是例如一组使用规则(例如，未授权模拟输出)，或者诸如必须与内容一起显示的标识的可见标记，或者诸如必须在由主机tv解码之后(或者在一些情况下在解码之前)插入到内容中的水印的不可见标记。
11.可以说内容在外部设备(解密设备)中被解密并且在主机设备中被消费，其中与内容相关联的任何安全条件由主机设备来处理。因此，重要的是，解密设备和主机协作以确保在内容被消费(例如，呈现)时实施安全条件。解密设备按照与内容相关联的权限(rights)对于内容进行解密，权限存储在解密设备中，这是付费tv现有技术中的正常过程。根据本发明的实施例，与内容的消费相关联的任何安全条件由解密设备连接到的主机设备适当地进行处理。
12.相应地，提供了一种用于解密和呈现内容的系统，该内容的呈现遵从至少一个预定条件，该系统包括：
13.主机设备，该主机设备用于呈现经解密的内容；以及
14.解密设备，该解密设备经由两个设备之间的通信接口可连接到主机设备；
15.该解密设备用于：
16.使用经加密的内容内提供的解密密钥，对于经由通信接口从主机设备接收到的内容进行解密；
17.在通信接口上，与主机设备协同地创建两个设备之间的安全通信信道；
18.使用本地生成的内容密钥将内容进行重新加密；以及
19.将经重新加密的内容经由通信接口返回到主机设备；
20.经由安全通信信道，向主机设备传送消息，该消息包括内容密钥；
21.特征在于：
22.该解密设备进一步用于：
23.在消息中包括与内容相关联的预定条件；以及
24.在将消息传送到主机设备之间，使用与主机设备共享的根密钥对于该消息进行加密；并且
25.该主机设备用于：
26.使用根密钥对于消息进行解密以显露内容密钥以及与内容相关联的条件；
27.使用内容密钥对于经重新加密的内容进行解密；以及
28.在实施与内容相关联的预定条件的同时呈现内容。
29.根据另一方面，提供了一种用于呈现内容的主机设备，该内容的呈现遵从至少一个预定条件，该主机设备包括：
30.解码器；
31.解密模块；
32.用于与解密设备通信的通信模块；
33.该主机设备用于：
34.将接收到的加密内容发送到解密设备进行解密；
35.经由通信接口接收重新加密版本的经解密内容；
36.在通信接口上建立与解密设备的安全通信信道；
37.从解密设备接收消息，该消息包括用于解密重新加密版本的内容的内容密钥；以及
38.解密、加密与呈现经重新加密的消息；
39.特征在于，主机设备还包括用于保存根密钥的安全存储器，接收到的消息在根密钥下进行加密并且还包括用于呈现内容的预定条件，主机设备还用于：
40.使用根密钥对于消息进行解密以显露内容密钥以及与内容相关联的条件；
41.使用内容密钥对于经重新加密的内容进行解密；以及
42.在呈现内容的同时实施与内容相关联的条件。
43.根据又一方面，提供了一种用于解密从主机设备接收到的内容并且将经解密的内容返回到主机设备的解密设备，该解密设备包括：
44.通信接口模块，其具有用于连接到主机设备上的可兼容端口的端口；
45.密码模块，其用于计算密码密钥并且用于执行加密和解密功能；
46.安全存储器，用于存储密码密钥；
47.其中，安全模块用于：
48.在将重新加密的内容经由端口返回到主机设备之前，在本地生成的内容密钥下重新加密经解密的内容；以及
49.经由端口在安全通信信道上，向主机设备传送消息，该消息包括内容密钥；
50.特征在于，解密设备还用于：
51.将条件包括在该消息中，该条件与从主机设备接收到的内容一起被接收，该条件指定在呈现内容时主机将要满足的一个或多个规则，该消息在被发送到主机设备之前在根密钥下进行加密，该根密钥与主机设备共享。
52.图1示出可以使用在根据本发明的实施例的系统中的一些组件。诸如数字电视、个人录影机或媒体播放器的主机设备能够从诸如卫星的源或从互联网接收条件访问内容，并且可以具有线缆连接、usb端口或hdmi端口等。内容通常以加密格式接收，包括用于加密该内容的经加密的控制字，该控制字由传送密钥进行加密。除了经加密的控制字之外，经加密的内容还包括呈现内容的主机设备必须满足的一个或多个条件。
53.主机设备具有外部设备可以附接的端口，诸如usb或hdmi端口。外部设备还提供有与主机设备的端口可兼容的端口。外部设备具有密码功能并且因此也可以称为解密设备(安全设备)。解密设备可以以加密狗(dongle)的形式出现。解密设备经由端口从主机设备接收经加密的内容，并且使用可以存储在安全存储器中的传送密钥来寻找控制字。安全模块使用控制字来解密内容。接着，使用由解密设备在本地生成的内容密钥对于经解密的内容进行重新加密，并且经重新加密的内容经由端口发送回主机设备，以便主机设备负责呈现内容。
54.为了主机设备能够对于经重新加密的内容进行解密，解密设备向主机设备发送消息，该消息包括本地内容密钥。为了以安全的方式这样做，在两个设备的通信接口上建立安全通信信道。通过该安全信道，设备能够相互认证并且以安全且经认证的方式交换消息。
55.内容的呈现必须根据由内容的供应商设置的某些条件来进行。条件是在经加密的
内容中传送的条件，呈现设备(在此情况下是主机设备)必须遵从这些条件。条件例如可以是不允许主机设备提供模拟版本的数字内容。另一条件可以是必须在特定位置与内容一同显示的可见标记(mark)，诸如标识(logo)。需要实施的条件的又一示例是在内容被解码之后并且在显示之前将要插入在内容中的不可见标记，诸如水印。与呈现内容相关联的其他条件也是可能的，本发明的目的在于提供主机设备在呈现内容时遵从条件的保障。
56.根据实施例，为了确保主机设备接收与内容的呈现相关联的条件(或者称为安全条件)，解密设备发送到主机设备的消息还包括安全条件。为了确保安全条件保持绑定到本地内容密钥，从而保证不能修改安全条件，由解密设备生成的消息接着(由解密设备)使用与主机设备共享的根密钥进行加密。
57.在计算领域，使用各种抽象层的硬件、固件和软件的组合来执行运算。在安全处理领域，安全功能可以根植于软件中，然而由于软件比硬件容易篡改，因此这种软件植入功能的信任度相对低。因此，存在硬件信任根，安全机制的可信赖性可以基于该硬件的信任根(root of trust)。硬件的信任根是一种高度可靠的硬件，用作关键安全功能的基础。硬件的信任根在设计上是安全的，从而确保它们不会被恶意软件篡改，从而为构建安全性和信任提供了坚实的基础。
58.根据提供最大安全性的优选实施例，主机设备包括硬件的信任根，并且根密钥在安全模块与硬件信任根之间共享。在一些实施例中，安全模块还可以包括用于此目的的硬件的信任根。
59.当安全模块插入到主机设备时，安全协议在两个设备之间运行，优选涉及硬件的信任根，以便能够交换安全证书和认证信息，从而能够在主机设备与解密设备之间创建安全信道。
60.当主机设备从解密设备接收到经加密的消息时，解密设备利用根密钥来解密该消息，从而恢复本地内容密钥和与呈现内容相关联的条件，该条件安全地绑定到内容密钥。主机设备接着使用本地内容密钥对于重新加密的内容进行解密，并且在实施与呈现内容相关联的一个或多个条件的同时呈现经解密的内容。
61.无论何时解密设备检测到伴随着来自主机设备的经加密内容的安全条件的变化，然后解密设备都生成新的本地内容密钥用于重新加密相应的内容。因此，可以说本地内容密钥是易失性密钥。安全模块接着为主机设备创建包括新本地内容密钥和新安全条件的新消息，使用与主机设备共享的根密钥对于该消息进行加密，并且将消息发送到主机设备。这保证由于新内容密钥而实施新安全条件，使得如果新信息被篡改或者以其他方式移除，主机设备将不会得到正确的内容密钥并且将能够解密重新加密的内容。
62.主机设备优选地具有硬件的信任根(hwrt)，因此允许高级别的安全性以实施满足根据本发明的实施例的伴随内容的安全条件。然而，根据另一实施例，当主机设备没有如上所述的硬件信任根时，仍然可以实现该目的。主机设备通常具有内置的某种安全性。一般而言，可以说主机设备具有信任的执行环境(tee)。tee是安全、完全受保护的处理环境，由处理、存储与储存能力组成。它与“正常”处理环境隔离，有时被称为富执行环境(ree)，其中运行设备操作系统和应用。术语“，(rich)”是指当今大众市场操作系统中的扩展功能，因此增加了攻击面。通过确保敏感操作限制于tee，tee能够提高ree应用的安全性和可用性，并且诸如密码密钥的敏感数据永远不会离开tee。在没有hwrt的主机设备中，在tee级别上确保
安全条件的实施。最后，对于没有tee的主机设备，可以使用适当调整的安全软件来确保安全条件的实施。