用于数字内容保护方案的安全预设的技术的制作方法
【专利说明】用于数字内容保护方案的安全预设的技术
【背景技术】
[0001] 随着诸如平板电脑和智能电话之类的移动低功率设备变为用于诸如经加密的视 频、音乐等等之类的受保护音频/视频内容的越来越受欢迎的播放设备,提供诸如高质量 视频回放和视频会议之类的功率高效音频/视频处理解决方案变得越来越重要。视频回放 和视频会议解决方案需要内容安全,以使得例如,恶意软件不能访问、复制,或以别的方式 盗窃内容。
[0002] 在市场上有保护内容的各种加密方案,例如,由国家标准与技术协会(NIST)于 2001年11月26日作为联邦信息处理标准发布的高级加密标准(AES)。AES是对称加 密方案,以便相同密码密钥用于编码和解码。AES方案本身有多种变体,诸如AES计数器 模式、AES密码分组链接(CBC) +密文窃取(CTS)、RSA,等等。在请求注解(Requestfor Comment:RFC) 3962,"用于Kerberos5 的高级加密标准(AES)加密(AdvancedEncryption Standard(AES)EncryptionforKerberos5) (2005 年 2 月)中描述了AES的某些变体,此 处引用该文作为参考。各种加密方案对加密与解密实现施加了不同的限制。限制会影响包 括硬件模块的视频处理流水线。相应地,需要用于低功率设备的更加灵活的加密方案实现。
[0003] 附图简述
[0004] 图1示出了解码和解密媒体内容的系统。
[0005] 图2示出了解码和解密媒体内容的系统一个实施例。
[0006] 图3A-3B示出了解码和解密媒体内容的实施例的过程。
[0007] 图4示出了设备的一个实施例。
[0008] 图5示出了存储介质的一个实施例。
[0009] 图6示出了第二系统的一个实施例。
[0010] 图7示出了第三的一个实施例。
[0011] 图8示出了设备的一个实施例。
【具体实施方式】
[0012] 各实施例可以一般性地涉及用于便携式设备上的经加密的媒体内容或媒体流的 改善的解密和使用的技术。在一个实施例中,例如,设备可以包括可编程协处理器,该协处 理器可配置以使用多个方案之中的可选择解码和/或解密方案,来解码和/或解密受保护 音频/视频。可以描述并要求保护其他实施例。
[0013] 多个实施例可包括一个或多个元件。元件可以包括被安排用于执行某些操作的任 何结构。每个元件可以按一组给定设计参数或性能限制的需要而被实现为硬件、软件或其 任意组合。尽管作为示例可按照某一拓扑的有限数量的元件来描述实施例,但该实施例可 包括按照为给定实现所需要的替换拓扑的更多或更少的元件。值得注意的是,对"一个实施 例"或"实施例"的任何提及都表示结合该实施例描述的特定特征、结构或特性被包括在至 少一个实施例中。在整个说明书中的不同位置出现短语在"一个实施例中"或"在某些实施 例中",以及"在各实施例中"不一定都是指同一个实施例。
[0014] 如此处所使用的,术语"模块"是一般是指步骤、过程或组件的逻辑序列或关联。例 如,软件模块可以包括计算机程序内的一组相关联的例程或子例程。可另选地,模块可以包 括基本上独立的硬件设备。模块也可以包括过程的逻辑组,不管任何软件或硬件实现方式。
[0015] PC、平板电脑、智能电话或类似的便携式计算设备的常规设计包括用于流水线化 的视频计算(包括支持音频和/或视频媒体或媒体流的加密和/或解密的计算)的固定 (例如,专用)硬件功能。这样的功能可以以一个或多个硬件模块来实现。基于硬件的固定 功能通常只处理有限数量的加密算法。基于硬件的功能根据信任来交换信息。应用程序软 件和图形驱动器的组合负责通过密钥交换,与硬件建立信任,然后,转换安全工作负荷,以 便硬件固定功能可以解密视频数据,供用户消费。图1示出了用于以视频播放模式进行处 理的系统100。
[0016] 系统100可以依赖于移动操作系统(OS)环境111,诸如Android?OS、iPhone? 0S、或WindowsMobile?OS。系统100可以包括芯片外解密引擎模块141、媒体模块151、 最终用户(EU)接口和显示器模块161以及音频编解码器模块171,它们可以互连,如图1所 示。也可以使用提供类似功能的替换的互连。
[0017] 移动0S环境111包括抗窜改软件(TRS)模块131、被配置成接受外部经加密的视 频模块101的媒体提取器模块113、被配置成接受模块113的输出的经加密的视频分组化基 本流(PES)模块115、被配置成接受模块115的输出的视频重新格式化模块117、被配置成 接受模块117的输出的重新格式化的经加密的PES(CBC+CTS)模块119、被配置成接受模块 119的输出并向芯片外解密引擎模块141提供输出的媒体播放器服务模块121、被配置成向 音频编解码器模块171提供输出的经解密的音频PES模块123,以及,被配置成接受许可证 服务器模块103的输出并向芯片外解密引擎模块141提供输出的手推车(cart)模块125。 移动0S环境111的组件可以互连,如图1所示。也可以使用提供类似功能的替换的互连。
[0018] TRS模块131用以将媒体流的加密格式转换为更适合于硬件解密的不同的加密格 式,并以对抗经解密的数据或软件代码的非法复制的方式执行此功能。其次,TRS模块131 保护可能会被暴露于系统100的无保护的处理部分或与这些部分接口的中间数据,而根本 不会改变数据的本质。TRS模块131包括受保护的音频视频路径(PAVP)经加密的ES模块 133,该模块133被配置成接受来自芯片外解密引擎141的输出。PAVP支持硬件加速的解 码。PAVP可以以至少两种模式来操作。在第一模式下,视频流是加密的,其解码通过集成图 形核来加速。另外,系统存储器将被预留,排他地供PAVP使用。在第二模式下,视频流是加 密的,其解码通过集成图形核来加速。在第二模式下,没有系统存储器将被预留来供PAVP 使用。如果PAVP被禁用,则对受HDCP保护的视频内容的硬件加速的解码被禁用。TRS模块 131还包括被配置成接受模块133的输出的PAVP解密模块135、被配置成接受模块135的 输出的未加密的标头模块137,以及被配置成接受模块137的输出并向媒体模块151提供输 出的标头解析模块139。TRS模块131的组件可以互连,如图1所示。也可以使用提供类似 功能的替换的互连。
[0019] 芯片外解密引擎模块141包括被配置成接受来自手推车模块125的输入的认证和 密钥推导模块147。认证和密钥推导模块147向数字权限管理(DRM)解密全帧模块143、媒 体模块151、EU和显示器模块161,以及音频编解码器模块171提供输出。DRM解密全帧模 块143进一步接受来自媒体播放器服务模块121的输入。DRM解密全帧模块143的输出被 提供给PAVP加密模块145。PAVP加密模块145的输出被提供给移动OS环境111的TRS模 块131。芯片外解密引擎模块141的组件可以互连,如图1所示。也可以使用提供类似功能 的替换的互连。
[0020] 媒体模块151包括PAVP解密模块153,该模块153接受来自TRS模块131的标头 解析模块139的输入。PAVP解密模块153向解码模块155提供输出,解码模块155使用由 AES模块157接收到的解密密钥来进行操作。解码模块155向移动0S环境111附带的PAVP 加密的视频模块105提供输出。PAVP加密的视频模块105被示为跨在移动OS环境111的 边界上,因为PAVP加密的视频模块105的一部分使用来自移动0S环境111的标准功能调 用(例如,API),而PAVP加密的视频模块105的一部分使用存储在受保护数据存储中的安 全编程代码。PAVP加密的视频模块105允许对跨系统100的未受保护部分(例如,移动0S 环境111)和受保护部分(例如,媒体模块151)的安全预设的否定(negation),以及系统 100的受保护部分中的密钥管理。媒体模块151的组件可以互连,如图1所示。也可以使用 提供类似功能的替换的互连。
[0021] PAVP加密的视频模块105向EU和显示器模块161提供输出,该EU和显示器模块 161包括接受来自PAVP加密的视频模块105的输入的视频处理模块163。视频处理模块 163使用由AES模块167接收到的解密密钥来进行操作。由视频处理模块163所产生的经 解密的视频在显示器模块165上呈现,例如,供用户消费。EU和显示器模块161的组件可以 互连,如图1所示。也可以使用提供类似功能的替换的互连。
[0022] 经解密的音频PES模块123被配置成向音频编解码器模块171提供输出。TRS模 块131可能不需要处理经解密的音频PES模块123的输出,而只需要缓冲它,并将它传递到 音频编解码器模块171。音频编解码器模块171包括接受来自经解密的音频PES模块123 的输入的音频解码模块173。音频解码模块173还使用由AES模块177接收到的解密密钥 来解密音频。经解码并解密的音频由呈现模块175(例如,由被配置成驱动供用户使用的耳 塞式电路)呈现。音频编解码器模块171的组件可以互连,如图1所示。也可以使用提供 类似功能的替换的互连。
[0023] 系统100可以使用多个加密与解密密钥。例如,系统100内的用密钥符号"1"标记 的模块可以使用DRMA/V密钥。系统100内的用密钥符号"2"标记的模块可以使用PAVPA/ V密钥。系统100内的用密钥符号"3"标记的模块可以使用Serpent(蛇形)密钥,Serpent 已知为对称密钥块密码,其是AES的替代方案。多个密钥提供不同级别的保护,例如,DRM A/V密钥可以被用来验证DRMA/V密钥的持有人有资格接收内容,诸如在用户的订购期限 内,而PAVPA/V密钥可以被用来编码或解码内容--一旦访问它的权限通过使用DRMA/V 密钥进行了验证。值得注意的是,DRMA/V密钥可以用于安全性和图形处理单元(GPU)中, 而PAVPA/V密钥可以与服从于硬件实现的加密/解密过程匹配。媒体播放器服务121本 身不需要使用密钥。
[0024] 音频/视频流包括到呈现引擎的命令,该呈现引擎指示呈现引擎如何呈现音频或 视频内容。系统100使用GPU之外的可编程引擎(例如,芯片外解密引擎模块141)来转换 命令。GPU之外的引擎处理经加密的流,然后,将命令置于