專利名稱:保護內(nèi)容數(shù)據(jù)的系統(tǒng)和方法
技術領域:
本發(fā)明涉及一種加密系統(tǒng)和方法,具體地說,涉及一種用于保護內(nèi)容數(shù)據(jù)的系統(tǒng)和方法,其中通過加密內(nèi)容數(shù)據(jù)使得該內(nèi)容數(shù)據(jù)以版權所有者想要管理的用戶權限來分配,防止非法拷貝并根據(jù)預定規(guī)則來管理用戶權限。
背景技術:
當伴隨著互聯(lián)網(wǎng)的發(fā)展而使得數(shù)字內(nèi)容數(shù)據(jù)很容易聯(lián)機分配時,很多的數(shù)字內(nèi)容數(shù)據(jù)被非法復制而得不到版權保護。特別是,個體間侵犯版權的非法私人分配正在增加。
圖1是現(xiàn)有技術內(nèi)容保護系統(tǒng)的框圖,其中主服務器10從用戶系統(tǒng)10接收會員注冊信息,生成用于解密已加密內(nèi)容數(shù)據(jù)的用戶密鑰,并通過內(nèi)容服務提供商(CSP)服務器11將該用戶密鑰發(fā)送給用戶系統(tǒng)10。該CSP服務器11響應用戶對內(nèi)容數(shù)據(jù)的請求,向主服務器10請求一個用戶密鑰,接收該用戶密鑰,加密內(nèi)容數(shù)據(jù),并發(fā)送該內(nèi)容數(shù)據(jù)至用戶系統(tǒng)12。用戶系統(tǒng)12存儲從主服務器10發(fā)送的用戶密鑰,向CSP服務器11請求內(nèi)容數(shù)據(jù),解密由CSP服務器11發(fā)送的加密內(nèi)容數(shù)據(jù),并再現(xiàn)和存儲該內(nèi)容數(shù)據(jù)。另外,用戶系統(tǒng)12發(fā)送該內(nèi)容數(shù)據(jù)至例如MP3的一個設備13。該設備從用戶系統(tǒng)12接收用戶密鑰和加密的內(nèi)容數(shù)據(jù)并解密和再現(xiàn)該內(nèi)容數(shù)據(jù)。
當所述用戶作為會員注冊時,現(xiàn)有技術的內(nèi)容保護系統(tǒng)簡單地生成一個專用于單個互聯(lián)網(wǎng)用戶的密鑰,并將該密鑰存儲在用戶系統(tǒng)12中。當該用戶購買內(nèi)容數(shù)據(jù)時,該內(nèi)容保護系統(tǒng)通過一個ID和口令來識別用戶,利用所述用戶的專用密鑰經(jīng)過一種加密算法加密該內(nèi)容數(shù)據(jù),并下載該內(nèi)容數(shù)據(jù)至用戶系統(tǒng)12。在用戶系統(tǒng)12中,當再現(xiàn)內(nèi)容數(shù)據(jù)時,用于再現(xiàn)內(nèi)容數(shù)據(jù)的程序會讀出存儲的專用密鑰,解碼該內(nèi)容數(shù)據(jù),并再現(xiàn)該內(nèi)容數(shù)據(jù)。與用戶系統(tǒng)12通信的設備13也存儲該專用密鑰,并使用該專用密鑰解碼下載的內(nèi)容數(shù)據(jù)和再現(xiàn)該內(nèi)容數(shù)據(jù)。
在已有的內(nèi)容保護系統(tǒng)中,不能完全防止內(nèi)容數(shù)據(jù)的非法使用。首先,當用戶的ID或口令被暴露時,第三方就會接收該用戶的專用密鑰,并再現(xiàn)該用戶的內(nèi)容數(shù)據(jù)。如果已下載的用戶密鑰隨著內(nèi)容數(shù)據(jù)被傳送給第三方,則第三方也可以再現(xiàn)該內(nèi)容數(shù)據(jù)。另外,由于已有的內(nèi)容保護系統(tǒng)使用一種簡單的加密方法,內(nèi)容數(shù)據(jù)的版權所有者不能夠按照其意愿來管理該內(nèi)容數(shù)據(jù)的用戶權限。
發(fā)明內(nèi)容
為了解決上述問題,本發(fā)明的第一個目的是提供一種保護內(nèi)容數(shù)據(jù)的系統(tǒng),其中通過以專用密鑰加密合法購買或獲得的內(nèi)容數(shù)據(jù)并分配該內(nèi)容數(shù)據(jù),來防止非法拷貝,并且只有合法的用戶才能夠使用該內(nèi)容數(shù)據(jù)。
本發(fā)明的第二個目的是提供一種保護內(nèi)容數(shù)據(jù)的方法,其中通過認證用戶權限,以專用密鑰加密合法購買或獲得的內(nèi)容數(shù)據(jù)并分配和再現(xiàn)該內(nèi)容數(shù)據(jù),來防止非法拷貝,并且只有合法的用戶才能夠使用該內(nèi)容數(shù)據(jù)。
為了實現(xiàn)本發(fā)明的第一個目的,提供了一種用于發(fā)送內(nèi)容數(shù)據(jù)的裝置,包括用于從一個用戶接收用戶密鑰的密鑰信息接收裝置,該用戶密鑰由唯一分配給該用戶的信息項的組合生成;以及用于使用該用戶密鑰和一預定加密算法對內(nèi)容數(shù)據(jù)加密并發(fā)送該內(nèi)容數(shù)據(jù)至用戶系統(tǒng)的內(nèi)容數(shù)據(jù)加密裝置。
為了實現(xiàn)本發(fā)明的第一個目的,提供了一種解碼用戶系統(tǒng)中已加密的內(nèi)容數(shù)據(jù)的裝置,該用戶系統(tǒng)接收由內(nèi)容數(shù)據(jù)提供裝置提供的加密內(nèi)容數(shù)據(jù),該裝置包括讀出由專用于所述用戶系統(tǒng)的信息項的組合生成的用戶密鑰的密鑰讀出裝置;以及內(nèi)容數(shù)據(jù)解碼裝置,用于使用從所述密鑰讀出裝置中讀出的用戶密鑰對所接收的內(nèi)容數(shù)據(jù)解碼,并再現(xiàn)該內(nèi)容數(shù)據(jù)。
為了實現(xiàn)本發(fā)明的第一個目的,提供了一種從存儲內(nèi)容數(shù)據(jù)的用戶系統(tǒng)發(fā)送內(nèi)容數(shù)據(jù)至一便攜式設備的裝置,該裝置包括密鑰生成裝置,用于通過用戶系統(tǒng)和便攜式設備之間的相互認證來生成一個預定的公共密鑰;以及內(nèi)容數(shù)據(jù)加密裝置,用于以該公共密鑰對內(nèi)容數(shù)據(jù)重新加密并發(fā)送該內(nèi)容數(shù)據(jù)至所述便攜式設備。
為了實現(xiàn)本發(fā)明的第一個目的,提供了一種用于解碼從用戶系統(tǒng)發(fā)送至一便攜式設備的內(nèi)容數(shù)據(jù)的裝置,該裝置包括密鑰讀出裝置,用于讀出通過該用戶系統(tǒng)和便攜式設備的認證所生成的一公共密鑰;以及內(nèi)容數(shù)據(jù)解碼裝置,用于以該公共密鑰解碼所接收的內(nèi)容數(shù)據(jù)并再現(xiàn)該內(nèi)容數(shù)據(jù)。
為了實現(xiàn)本發(fā)明的第二個目的,提供了一種用于提供內(nèi)容數(shù)據(jù)的方法,包括步驟(a)接收由唯一指定給用戶的專用信息的組合生成的用戶密鑰;及(b)使用該用戶密鑰和一預定加密算法對內(nèi)容數(shù)據(jù)加密,并發(fā)送該加密內(nèi)容數(shù)據(jù)至一用戶系統(tǒng)。
為了實現(xiàn)本發(fā)明的第二個目的,提供了一種用于解碼用戶系統(tǒng)中加密內(nèi)容數(shù)據(jù)的方法,該用戶系統(tǒng)接收由內(nèi)容數(shù)據(jù)提供裝置提供的加密內(nèi)容數(shù)據(jù),該方法包括步驟(a)讀出由用戶專用的信息項的組合生成的用戶密鑰,及(b)使用該用戶密鑰解碼接收的內(nèi)容數(shù)據(jù),并再現(xiàn)該內(nèi)容數(shù)據(jù)。
為了實現(xiàn)本發(fā)明的第二個目的,提供了一種在一便攜式設備中解碼從用戶系統(tǒng)發(fā)送的內(nèi)容數(shù)據(jù)的方法,該方法包括步驟(a)讀出通過與用戶系統(tǒng)的相互認證生成的一公共密鑰;及(b)使用該公共密鑰再現(xiàn)接收的內(nèi)容數(shù)據(jù)。
本發(fā)明的上述目的和優(yōu)點通過參照附圖對最佳實施例的詳細說明將變得更為清晰,其中圖1是已有內(nèi)容數(shù)據(jù)保護系統(tǒng)的結構框圖;圖2是根據(jù)本發(fā)明的內(nèi)容數(shù)據(jù)保護系統(tǒng)的結構框圖;圖3是圖2的詳細框圖;圖4是圖3的內(nèi)容服務提供商(CSP)服務器中的加密單元的詳細框圖;圖5是圖3的客戶系統(tǒng)的內(nèi)容再現(xiàn)單元的詳細框圖;圖6是內(nèi)容服務提供商(CSP)服務器中的內(nèi)容數(shù)據(jù)加密格式圖;圖7是在圖2的客戶系統(tǒng)中建立的數(shù)字權限管理(DRM)數(shù)據(jù)庫格式圖;圖8是一種保護內(nèi)容數(shù)據(jù)的方法的操作流程圖;圖9是根據(jù)本發(fā)明的用于認證用戶權限的方法的操作流程圖;圖10是根據(jù)本發(fā)明的用于加密和發(fā)送內(nèi)容數(shù)據(jù)的操作流程圖;圖11是圖10中用于加密內(nèi)容數(shù)據(jù)的方法的操作流程圖;圖12是根據(jù)本發(fā)明的用于解密和再現(xiàn)內(nèi)容數(shù)據(jù)的方法的操作流程圖;圖13是根據(jù)本發(fā)明的用于下載內(nèi)容數(shù)據(jù)的方法的操作流程圖;圖14是用于上載內(nèi)容數(shù)據(jù)的方法的操作流程圖;
具體實施例方式
在本發(fā)明中,在加密和解密內(nèi)容數(shù)據(jù)時使用四個密鑰,在詳細說明本發(fā)明之前先對其進行說明。
首先,在主服務器中生成一個用戶密鑰。本發(fā)明的加密方法采用一種不對稱加密。
主服務器生成一個用于加密內(nèi)容數(shù)據(jù)的公開密鑰和一個用于對加密內(nèi)容數(shù)據(jù)解密的私有密鑰。
該公開密鑰被發(fā)送至內(nèi)容提供服務器以便對內(nèi)容數(shù)據(jù)加密,同時私有密鑰被發(fā)送至一用戶系統(tǒng)以便對加密的內(nèi)容數(shù)據(jù)解密。使用例如ID、口令、駐留注冊號等注冊用戶的專用信息在主服務器中生成用戶密鑰。
第二,在用戶系統(tǒng)中生成一個主單元密鑰(HUK)。該HUK是使用用戶系統(tǒng)的專用信息生成的,并且每一個用戶系統(tǒng)具有不同的HUK。該HUK是通過組合戶系統(tǒng)內(nèi)部的硬盤序列號或O/S級別信息而生成。該HUK被發(fā)送至主服務器,主服務器用該HUK對專用密鑰加密,然后發(fā)送該專用密鑰至用戶系統(tǒng)。另外,便攜式設備生成它自己的專用密鑰并在加密和解密內(nèi)容數(shù)據(jù)時使用該密鑰。
第三,在內(nèi)容提供服務器中生成一個內(nèi)容加密密鑰(CEK)。生成CEK以對要提供給用戶的內(nèi)容數(shù)據(jù)加密。利用所述CEK加密用戶所請求的內(nèi)容數(shù)據(jù)并發(fā)送給用戶系統(tǒng)。
第四,在用戶系統(tǒng)中生成一個通常與便攜式設備共享的信道密鑰。當該用戶系統(tǒng)發(fā)送內(nèi)容數(shù)據(jù)到便攜式設備中時,利用該信道密鑰對內(nèi)容數(shù)據(jù)加密,便攜式設備對從用戶系統(tǒng)發(fā)送的已加密內(nèi)容數(shù)據(jù)進行解密。
參考圖1到圖7,下面來說明一種用于保護內(nèi)容數(shù)據(jù)的系統(tǒng)。
圖2是根據(jù)本發(fā)明的用于保護內(nèi)容數(shù)據(jù)的系統(tǒng)的結構框圖。該用于保護內(nèi)容數(shù)據(jù)的系統(tǒng)包括主服務器20,內(nèi)容提供服務器21,用戶系統(tǒng)22及便攜式設備23。
主服務器20是一臺密鑰管理服務器(KMS),在本申請的權利要求中被稱作管理裝置。主服務器20驗證用戶權限,生成用戶密鑰,加密該用戶密鑰,并管理該用戶密鑰。
參考圖3,用戶密鑰生成單元20-1使用注冊的會員信息(ID和口令)和唯一分配給該用戶的專用信息,例如駐留注冊號來生成用于加密和解密內(nèi)容數(shù)據(jù)的用戶密鑰(公開密鑰和私有密鑰)。數(shù)據(jù)庫20-2存儲有關注冊會員的用戶信息和用戶密鑰。加密單元20-3從用戶系統(tǒng)22接收HUK,并以該HUK加密所生成用戶密鑰的私有密鑰。加密的私有密鑰也被存儲在數(shù)據(jù)庫20-2中。為了響應來自內(nèi)容提供服務器21的請求發(fā)送所述用戶密鑰,用戶權限驗證單元21-1驗證該用戶的用戶權限,并且只有當該權限被允許時,才將所述公開密鑰發(fā)送給內(nèi)容提供服務器21。用戶密鑰在主服務器20中被單獨管理,所以無論用戶從哪個內(nèi)容提供服務器21接收內(nèi)容數(shù)據(jù),該用戶都可以利用相同的用戶密鑰來加密該內(nèi)容數(shù)據(jù)。盡管每個內(nèi)容提供服務器21具有一個不同的用戶ID或口令,但由于主服務器20使用HUK生成用戶密鑰,所以相同的用戶密鑰被發(fā)送給所有的內(nèi)容提供服務器21。
內(nèi)容提供服務器21響應用戶對內(nèi)容數(shù)據(jù)的請求,接收從主服務器20發(fā)送的用戶密鑰,加密該預定的內(nèi)容數(shù)據(jù),并發(fā)送該內(nèi)容數(shù)據(jù)。參考圖3所示內(nèi)容提供服務器的詳細框圖,用戶權限驗證單元21-1驗證由用戶輸入的適當信息(ID,口令,或駐留注冊號)。用戶權限驗證單元21-1訪問主服務器20,發(fā)送用戶的專用信息,并且,如果允許該權限,則接收用于加密內(nèi)容數(shù)據(jù)的公開密鑰。數(shù)據(jù)庫21-2存儲用戶信息和所接收的公開密鑰,同時存儲隨后被加密的內(nèi)容信息。加密單元21-3以圖6所示的格式加密內(nèi)容數(shù)據(jù),并發(fā)送加密的內(nèi)容數(shù)據(jù)至用戶系統(tǒng)22。參考圖6,內(nèi)容數(shù)據(jù)加密格式包括標題,其由一般信息、數(shù)字權限管理(DRM)信息、用戶密鑰標題、再分配標題及內(nèi)容數(shù)據(jù)組成。在一般信息區(qū)域,記錄待發(fā)送內(nèi)容數(shù)據(jù)的ID。在DRM信息區(qū)域,寫入與使用版權所有者的內(nèi)容數(shù)據(jù)相關的規(guī)則。這些規(guī)則包括再現(xiàn)內(nèi)容數(shù)據(jù)所允許的頻率和周期,及允許發(fā)送該內(nèi)容數(shù)據(jù)的設備號。在用戶密鑰標題區(qū)域,記錄有用于加密內(nèi)容數(shù)據(jù)的CEK。圖4是加密單元21-3的詳細框圖。CEK生成單元21-31隨機生成用于加密內(nèi)容數(shù)據(jù)的CEK。該CEK被記錄在用戶密鑰標題區(qū)域中。內(nèi)容加密單元21-32使用CEK對由用戶請求的內(nèi)容數(shù)據(jù)進行加密。內(nèi)容加密單元21-32對所述CEK和一種加密算法(例如SNAKE)進行加密。如上所述,DRM信息生成單元21-32生成并規(guī)定DRM信息,并將該DRM信息記錄在標題的DRM信息區(qū)域中。標題加密單元21-34加密一般信息、DRM信息、用戶密鑰標題、以及要加密內(nèi)容數(shù)據(jù)的再分配標題。通過主服務器20發(fā)送的公開密鑰和ECC對該標題加密。數(shù)據(jù)發(fā)送單元21-35發(fā)送加密的內(nèi)容數(shù)據(jù)和標題至用戶系統(tǒng)22。
用戶系統(tǒng)22管理并再現(xiàn)所接收的內(nèi)容數(shù)據(jù),發(fā)送該內(nèi)容數(shù)據(jù)至便攜式設備23。參考圖3所示用戶系統(tǒng)22的詳細框圖,HUK生成單元22-1使用該用戶系統(tǒng)專用的信息生成一個HUK,將該HUK存儲在存儲單元22-2中,并發(fā)送該HUK至主服務器20。內(nèi)容解碼單元22-3解碼從內(nèi)容提供服務器21發(fā)送的內(nèi)容數(shù)據(jù)并再現(xiàn)該內(nèi)容數(shù)據(jù)。參考圖5,它示出了內(nèi)容解碼裝單元22-3的詳細框圖,當首次再現(xiàn)該內(nèi)容數(shù)據(jù)時,DRM數(shù)據(jù)庫生成單元22-31在存儲單元22-2的安全位置中生成一個DRM數(shù)據(jù)庫。該DRM數(shù)據(jù)庫以圖7所示的格式生成,并包括一內(nèi)容ID(CID)、DRM信息和加密的內(nèi)容數(shù)據(jù)。在CID中記錄該內(nèi)容數(shù)據(jù)的專用ID。CID是內(nèi)容數(shù)據(jù)的專用ID,并且是在加密之前通過在完整的(pure)內(nèi)容數(shù)據(jù)中以預定間隔提取數(shù)字數(shù)據(jù)項得到的。在DRAM信息中,記錄內(nèi)容數(shù)據(jù)管理信息。內(nèi)容數(shù)據(jù)管理信息包括再現(xiàn)內(nèi)容數(shù)據(jù)所允許的頻率和周期,以及下載該內(nèi)容數(shù)據(jù)至便攜式設備23所允許的頻率。在加密的內(nèi)容數(shù)據(jù)中,記錄從內(nèi)容提供服務器21發(fā)送的加密內(nèi)容數(shù)據(jù)。無論何時使用內(nèi)容數(shù)據(jù)都要更新DRAM數(shù)據(jù)庫。當用戶想要再現(xiàn)內(nèi)容數(shù)據(jù)時,他使用CID在DRAM數(shù)據(jù)庫中注冊,并且考慮由版權所有者預備的內(nèi)容管理信息來確定是否使用該內(nèi)容數(shù)據(jù)。在用戶使用該內(nèi)容數(shù)據(jù)之后,更新DRM數(shù)據(jù)庫。DRAM數(shù)據(jù)庫應當在一個用戶系統(tǒng)22中生成。當使用其他用戶系統(tǒng)(未示出)時,盡管通過備份/恢復將內(nèi)容數(shù)據(jù)拷貝到其他用戶系統(tǒng)中,但是否使用該內(nèi)容數(shù)據(jù)是在相同的DRM數(shù)據(jù)庫中確定的,因此具有局限性。用戶密鑰解碼單元22-32通過使用存儲在存儲單元22-2中的HUK解碼從主服務器20發(fā)送的專用密鑰來提取完整的專用密鑰。CEK解碼單元22-33通過使用該完整的專用密鑰解密以ECC加密的標題來提取CEK。內(nèi)容解碼單元22-34使用CEK解碼以一專用算法(例如SNAKE)加密的內(nèi)容數(shù)據(jù)。內(nèi)容再現(xiàn)單元22-35再現(xiàn)被解碼的內(nèi)容數(shù)據(jù)。內(nèi)容數(shù)據(jù)被在現(xiàn)之后,更新DRM數(shù)據(jù)庫。當用戶系統(tǒng)22發(fā)送該內(nèi)容數(shù)據(jù)至便攜式設備23時,使用CID確定所述內(nèi)容數(shù)據(jù)是否可以被下載到DRM數(shù)據(jù)庫。如果該內(nèi)容數(shù)據(jù)庫可以被下載,則用戶權限驗證單元22-4通過與便攜式設備23通信來打開一個安全認證信道(SAC)并執(zhí)行相互認證。如果認證完成,則生成一個信道密鑰并被共享。內(nèi)容加密單元22-6以該信道密鑰對解碼內(nèi)容數(shù)據(jù)的標題進行重新加密并發(fā)送該內(nèi)容數(shù)據(jù)至便攜式設備23。
便攜式設備23再現(xiàn)從用戶系統(tǒng)22發(fā)送的內(nèi)容數(shù)據(jù),存儲該內(nèi)容數(shù)據(jù)于存儲單元23-3中,或發(fā)送該內(nèi)容數(shù)據(jù)至可移動存儲單元23-5中。便攜式設備23包括所有類型的再現(xiàn)或打開數(shù)字內(nèi)容數(shù)據(jù)的數(shù)字設備。參考圖3所示便攜式設備的詳細框圖,用戶權限認證單元23-1通過與用戶系統(tǒng)22的相互認證而生成并共享一個信道密鑰。內(nèi)容解碼單元23-3使用內(nèi)容數(shù)據(jù)中的標題解碼內(nèi)容數(shù)據(jù)。內(nèi)容加密單元23-4使用一個由便攜式設備23專用的信息項的組合生成的專用密鑰對標題重新加密,這被稱作便攜式設備(PD)綁定(binding)。在再現(xiàn)內(nèi)容數(shù)據(jù)的過程中,內(nèi)容解碼單元23-3通過使用便攜式設備23的專用密鑰解碼標題來提取CEK,使用提取的CEK對該內(nèi)容數(shù)據(jù)解碼,并再現(xiàn)該內(nèi)容數(shù)據(jù)。在發(fā)送內(nèi)容該數(shù)據(jù)至可移動存儲單元23-5的過程中,使用便攜式設備23的專用密鑰解碼標題,通過在可移動存儲單元23-5中生成的一個專用密鑰進行重新加密并存儲。這被稱作便攜式存儲器(PM)綁定。關于內(nèi)容數(shù)據(jù)是否被發(fā)送到便攜式設備23的信息(下載內(nèi)容數(shù)據(jù)至便攜式設備的頻率)在用戶系統(tǒng)22的DRM數(shù)據(jù)庫中被更新。當從便攜式設備23上載內(nèi)容數(shù)據(jù)時,還通過用戶權限認證單元23-1執(zhí)行相互認證,并且通知用戶系統(tǒng)該內(nèi)容數(shù)據(jù)將被上載到用戶系統(tǒng)22。便攜式設備23刪除存儲在存儲單元23-3或可移動存儲單元23-5中的內(nèi)容數(shù)據(jù),用戶系統(tǒng)22更新DRM數(shù)據(jù)庫中有關該內(nèi)容是否被上載的信息。
下面將參考圖8到14詳細說明本發(fā)明。
圖8是一種用于保護內(nèi)容數(shù)據(jù)的方法的操作流程圖。該方法包括步驟80,用于生成用戶密鑰;步驟81,用于加密并發(fā)送內(nèi)容數(shù)據(jù);步驟82,用于解密并再現(xiàn)內(nèi)容數(shù)據(jù);步驟83,用于下載內(nèi)容數(shù)據(jù)至便攜式設備及從便攜式設備上載內(nèi)容數(shù)據(jù)。
如圖9所示,在主服務器20中執(zhí)行生成用戶密鑰的步驟80。首先,在步驟80-1,接收用戶的專用信息(例如ID,口令,駐留注冊號等等)并執(zhí)行會員注冊。在步驟80-2,接收以由注冊用戶使用的用戶系統(tǒng)22的專用信息生成并從用戶發(fā)送的HUK。在步驟80-3,使用用戶的專用信息生成用于加密和解密內(nèi)容數(shù)據(jù)的用戶密鑰(公開密鑰和私有密鑰),并隨同HUK一起存儲。在步驟80-4,以HUK對用戶密鑰中的私有密鑰加密從而發(fā)送該私有密鑰至用戶系統(tǒng)22。在步驟80-5,發(fā)送加密的專用密鑰至用戶系統(tǒng)22。在本發(fā)明中,使用唯一指定給該用戶的專用信息生成用戶密鑰,用戶密鑰本身可以被發(fā)送給內(nèi)容提供服務器21和用戶系統(tǒng)22,或者用戶密鑰可以在利用HUK加密后被發(fā)送給用戶系統(tǒng)22。
如圖10和11所示的加密和發(fā)送內(nèi)容數(shù)據(jù)的步驟81在內(nèi)容提供服務器21中執(zhí)行。
在步驟81-1接收來自用戶的請求購買內(nèi)容數(shù)據(jù)的信號。用戶信息被發(fā)送給主服務器20,如果認證完成,則在步驟81-2接收公開密鑰。在步驟81-3,使用從主服務器20發(fā)送的公開密鑰,加密該內(nèi)容數(shù)據(jù)。加密的內(nèi)容數(shù)據(jù)被發(fā)送給用戶系統(tǒng)22。圖11示出了一種用于加密內(nèi)容數(shù)據(jù)的方法的操作流程。該內(nèi)容數(shù)據(jù)被加密成圖3所示的格式,包括由一般信息、DRM信息、用戶密鑰標題、再分配標題和內(nèi)容數(shù)據(jù)形成的標題。在一般信息區(qū)域,記錄待發(fā)送內(nèi)容數(shù)據(jù)的ID。在DRM信息區(qū)域,寫入與使用版權所有者的內(nèi)容數(shù)據(jù)相關的規(guī)則。這些規(guī)則包括再現(xiàn)內(nèi)容數(shù)據(jù)所允許的頻率和周期,及被允許發(fā)送內(nèi)容數(shù)據(jù)的設備號。在用戶密鑰標題區(qū)域,記錄有用于加密內(nèi)容數(shù)據(jù)的CEK。在步驟81-31,隨機生成一個CEK以加密內(nèi)容數(shù)據(jù)。在步驟81-32,使用該CEK和一加密算法(如SNAKE)對內(nèi)容數(shù)據(jù)加密。在步驟81-33,將所述CEK記錄到標題區(qū)域中。在步驟81-34,規(guī)定DRM信息。如上所述,DRM信息被生成、規(guī)定,然后被記錄在DRM信息區(qū)域中。使用由主服務器20發(fā)送的公開密鑰和一個ECC加密算法對由一般信息區(qū)、DRM信息區(qū)、用戶密鑰標題區(qū)和再分配標題區(qū)形成的標題進行加密,并將其發(fā)送給用戶系統(tǒng)22。
圖12中的解密和再現(xiàn)內(nèi)容數(shù)據(jù)的步驟83在用戶系統(tǒng)22中執(zhí)行。當首次再現(xiàn)該內(nèi)容數(shù)據(jù)時,在用戶系統(tǒng)的安全位置(HDD)中生成一個DRM數(shù)據(jù)庫。該DRM數(shù)據(jù)庫以圖7所示的格式生成,并包括一內(nèi)容ID(CID)、DRM信息和加密的內(nèi)容數(shù)據(jù)。在CID中,記錄該內(nèi)容數(shù)據(jù)的專用ID。CID是內(nèi)容數(shù)據(jù)的專用ID,是通過在加密之前在完整的內(nèi)容數(shù)據(jù)中以預定間隔提取數(shù)字數(shù)據(jù)項得到的。在DRAM信息中,記錄內(nèi)容數(shù)據(jù)管理信息。所述內(nèi)容數(shù)據(jù)管理信息包括再現(xiàn)內(nèi)容數(shù)據(jù)所允許的頻率和周期,以及下載該內(nèi)容數(shù)據(jù)至便攜式設備23所允許的頻率。在加密的內(nèi)容數(shù)據(jù)中,記錄從內(nèi)容提供服務器21發(fā)送的加密內(nèi)容數(shù)據(jù)。在步驟82-2,生成DRM數(shù)據(jù)庫之后讀出HUK。在步驟82-3,使用HUK對被使用從主服務器20發(fā)送的所述HUK加密的所述專用密鑰進行解碼并提取完整的私有密鑰。在步驟82-4,使用該完整的專用密鑰,對使用ECC算法加密的標題解碼并提取CEK。在步驟82-5,使用該CEK,對通過一專用加密算法(例如SNAKE)加密的內(nèi)容數(shù)據(jù)解碼并再現(xiàn)。在步驟82-6,在再現(xiàn)該內(nèi)容數(shù)據(jù)之后,更新DRM數(shù)據(jù)庫。
圖13和14的將內(nèi)容數(shù)據(jù)下載到便攜式設備和從便攜式設備上載內(nèi)容數(shù)據(jù)的步驟83在用戶系統(tǒng)22和便攜式設備23中執(zhí)行。圖13是下載的步驟,圖14是上載的步驟。在圖13中,步驟83a-1到83a-5在用戶系統(tǒng)22中執(zhí)行,剩下的步驟在便攜式設備23中執(zhí)行。為了將內(nèi)容數(shù)據(jù)下載到便攜式設備23,首先在DRM數(shù)據(jù)庫中搜索CID,其確定該內(nèi)容數(shù)據(jù)是否能夠被下載。在步驟83a-1,如果該內(nèi)容數(shù)據(jù)能夠被下載,則用戶系統(tǒng)22通過打開一安全認證信道(SAC)與便攜式設備23進行相互認證。在步驟83a-2,如果相互認證完成,則生成一個信道密鑰并與便攜式設備23共享。在步驟83a-3,使用HUK,用戶系統(tǒng)22提取完整的私有密鑰并對標題解碼。在步驟83a-4,使用該信道密鑰對解碼的標題重新加密。在步驟83a-5,下載該重新加密的標題和內(nèi)容數(shù)據(jù)至便攜式設備。在便攜式設備23中解碼并再現(xiàn)該下載的內(nèi)容數(shù)據(jù)。在對以信道密鑰加密的內(nèi)容數(shù)據(jù)的標題解碼之后,便攜式設備23使用由其專用信息的組合生成的專用密鑰對該標題重新加密,并存儲該標題。這被稱作便攜式設備(PD)綁定。在再現(xiàn)內(nèi)容數(shù)據(jù)時,用戶系統(tǒng)22通過使用其專用的密鑰對標題解碼以提取CEK,并使用該CEK,對內(nèi)容數(shù)據(jù)解碼及再現(xiàn)該內(nèi)容數(shù)據(jù)。在步驟83a-6下載該內(nèi)容數(shù)據(jù)至可移動存儲單元中之后,在步驟83a-7對該內(nèi)容數(shù)據(jù)重新加密。在使用其專用的密鑰對標題解碼之后,便攜式設備23使用在可移動存儲單元中生成的專用密鑰對標題重新加密。這被稱作便攜式存儲器(PM)綁定。在步驟83a-8,下載該再加密內(nèi)容數(shù)據(jù)至可移動存儲單元中。在再現(xiàn)該內(nèi)容數(shù)據(jù)之后,可移動存儲單元(附加到其他便攜式設備上)使用其專用密鑰對標題解碼,提取CEK,使用該CEK解碼該內(nèi)容數(shù)據(jù),并再現(xiàn)該內(nèi)容數(shù)據(jù)。如果下載內(nèi)容數(shù)據(jù)完成,則在用戶系統(tǒng)22的DRM數(shù)據(jù)庫中更新有關該內(nèi)容數(shù)據(jù)是否被下載到設備的信息(有關下載內(nèi)容數(shù)據(jù)至設備的頻率)。在步驟83b-1,在上載內(nèi)容數(shù)據(jù)時,用戶系統(tǒng)22和便攜式設備23打開一安全認證信道(SAC)并執(zhí)行相互認證。在步驟83b-2,如果相互認證完成,則便攜式設備23通知該內(nèi)容數(shù)據(jù)將被上載到用戶系統(tǒng)22。在步驟83b-3,通知之后,便攜式設備23刪除存儲在內(nèi)部存儲單元或可移動存儲單元中的該內(nèi)容數(shù)據(jù)。在步驟83b-4,刪除該內(nèi)容數(shù)據(jù)之后,更新用戶系統(tǒng)22的DRM數(shù)據(jù)庫。
本發(fā)明并不局限于上述實施例,在本發(fā)明的精神和范圍內(nèi)可以有多種變化。本發(fā)明的范圍并不由本說明書確定而是由權利要求來確定。
根據(jù)如上所述的本發(fā)明,通過加密內(nèi)容數(shù)據(jù)使得按照版權所有者想要管理的用戶權限來分配該內(nèi)容數(shù)據(jù),防止非法拷貝并按照預定的規(guī)則來管理用戶權限。另外,由于使用HUK加密用戶密鑰,防止了用戶密鑰可能的曝光,而且使用DRM數(shù)據(jù)庫,可以按照版權所有者的要求來分配內(nèi)容數(shù)據(jù)。
權利要求
1.一種提供內(nèi)容數(shù)據(jù)的方法,包括步驟(a)接收由唯一分配給用戶的專用信息的組合生成的用戶密鑰;和(b)使用該用戶密鑰和一個預定加密算法加密所述內(nèi)容數(shù)據(jù),并將加密的內(nèi)容數(shù)據(jù)發(fā)送給一個用戶系統(tǒng)。
2.根據(jù)權利要求1所述的方法,其中步驟(a)中的用戶密鑰是從所述用戶系統(tǒng)或從用于提供內(nèi)容加密/解密密鑰的密鑰提供系統(tǒng)發(fā)送的。
3.根據(jù)權利要求1所述的方法,其中,使用通過與用戶系統(tǒng)相關的專用信息項的組合產(chǎn)生的一個專用密鑰加密步驟(a)中的用戶密鑰。
4.根據(jù)權利要求1所述的方法,其中步驟(b)還包括步驟(b-1)生成一個具有用于指示所述內(nèi)容數(shù)據(jù)的信息的標題;(b-2)生成一個預定加密密鑰并對所述內(nèi)容數(shù)據(jù)加密;及(b-3)使用該用戶密鑰和一預定加密算法對該標題加密。
5.根據(jù)權利要求4所述的方法,其中在步驟(b-1)中生成的標題包括內(nèi)容數(shù)據(jù)的一般信息區(qū)、具有有關版權所有者許可訪問內(nèi)容數(shù)據(jù)的信息的內(nèi)容數(shù)據(jù)管理區(qū)、記錄加密密鑰的區(qū)以及記錄有關再分配內(nèi)容數(shù)據(jù)的信息的區(qū)。
6.一種解碼用戶系統(tǒng)中加密內(nèi)容數(shù)據(jù)的方法,該用戶系統(tǒng)接收由內(nèi)容數(shù)據(jù)提供裝置提供的加密內(nèi)容數(shù)據(jù),該方法包括步驟(a)讀出由用戶專用信息項的組合生成的用戶密鑰;及(b)使用該用戶密鑰解碼接收的內(nèi)容數(shù)據(jù),并再現(xiàn)該內(nèi)容數(shù)據(jù)。
7.根據(jù)權利要求6所述的方法,其中步驟(a)中的用戶密鑰被預先存儲在用戶系統(tǒng)中或由用于提供內(nèi)容加密/解密密鑰的密鑰提供系統(tǒng)發(fā)送。
8.根據(jù)權利要求6所述的方法,其中步驟(a)中的用戶密鑰通過由指示用戶系統(tǒng)的專用信息項的組合生成的一專用密鑰來加密。
9.根據(jù)權利要求6所述的方法,其中步驟(b)包括(b-1)利用版權所有者的許可生成一個內(nèi)容數(shù)據(jù)管理信息數(shù)據(jù)庫;(b-2)通過使用所述用戶密鑰對具有指示內(nèi)容數(shù)據(jù)的信息的標題解碼來提取一個用于解碼內(nèi)容數(shù)據(jù)的加密密鑰;和(b-3)利用所提取的加密密鑰解碼該內(nèi)容數(shù)據(jù),并再現(xiàn)該內(nèi)容數(shù)據(jù)。
10.根據(jù)權利要求9所述的方法,其中步驟(b-1)中的數(shù)據(jù)庫存儲內(nèi)容數(shù)據(jù)的ID及有關該內(nèi)容數(shù)據(jù)使用規(guī)則的信息。
11.根據(jù)權利要求9所述的方法,其中每當用戶使用該內(nèi)容數(shù)據(jù)時,步驟(b-1)中數(shù)據(jù)庫的狀態(tài)都要被更新。
12.一種用于從存儲內(nèi)容數(shù)據(jù)的用戶系統(tǒng)向一個便攜式設備發(fā)送數(shù)據(jù)的方法,該方法包括(a)通過相互認證生成一個預定的公共密鑰;及(b)使用該公共密鑰對內(nèi)容數(shù)據(jù)重新加密,并將該內(nèi)容數(shù)據(jù)發(fā)送給所述便攜式設備。
13.根據(jù)權利要求12所述的方法,還包括步驟(c)發(fā)送完內(nèi)容數(shù)據(jù)之后,更新存儲在用戶系統(tǒng)中并具有與版權所有者的許可相關的信息的內(nèi)容管理信息數(shù)據(jù)庫。
14.根據(jù)權利要求12所述的方法,其中在步驟(a)中的公共密鑰由所述用戶系統(tǒng)和所述便攜式設備共享。
15.根據(jù)權利要求12所述的方法,其中步驟(b)包括(b-1)提取由用戶專用信息項的組合生成的用戶密鑰,并使用該用戶密鑰對具有指示內(nèi)容數(shù)據(jù)的信息的標題解碼;和(b-2)使用所述公共密鑰對所述標題重新加密,并將所述內(nèi)容數(shù)據(jù)發(fā)送給所述便攜式設備。
16.根據(jù)權利要求15所述的方法,其中使用由用戶系統(tǒng)專用信息項的組合生成的專用密鑰對步驟(b-1)中的用戶密鑰加密。
17.一種在便攜式設備中解碼從用戶系統(tǒng)發(fā)送的內(nèi)容數(shù)據(jù)的方法,該方法包括步驟(a)讀出一個通過與用戶系統(tǒng)相互認證生成的公共密鑰;和(b)使用該公共密鑰再現(xiàn)所接收的內(nèi)容數(shù)據(jù)。
18.根據(jù)權利要求17所述的方法,還包括步驟(c)在再現(xiàn)該內(nèi)容數(shù)據(jù)之后,更新存儲在用戶系統(tǒng)中并具有與版權所有者的許可相關的信息的內(nèi)容數(shù)據(jù)管理信息數(shù)據(jù)庫的狀態(tài);
19.根據(jù)權利要求17所述的方法,其中步驟(b)包括步驟(b-1)使用該公共密鑰對具有指示該內(nèi)容數(shù)據(jù)的信息的標題解碼,并使用由便攜式設備專用的信息項的組合生成的一個專用密鑰對解碼的標題重新加密;及(b-2)利用該專用密鑰從解碼的標題中提取一個用于解碼內(nèi)容數(shù)據(jù)的加密密鑰,利用該加密密鑰對內(nèi)容數(shù)據(jù)解碼,并再現(xiàn)該內(nèi)容數(shù)據(jù)。
20.根據(jù)權利要求17所述的方法,其中使用由便攜式存儲器專用信息項的組合生成的一專用密鑰對步驟(b)中再現(xiàn)的內(nèi)容數(shù)據(jù)進行加密并發(fā)送。
21.根據(jù)權利要求20所述的方法,在發(fā)送該內(nèi)容數(shù)據(jù)之后,更新存儲在用戶系統(tǒng)中并具有與版權所有者的許可相關的信息的內(nèi)容數(shù)據(jù)管理信息數(shù)據(jù)庫的狀態(tài)。
22.一種用于生成用戶密鑰的裝置,包括密鑰生成裝置,用于接收指定給作為會員而注冊的一個用戶的專用信息,使用所接收的專用信息生成允許用戶使用內(nèi)容數(shù)據(jù)的權限的用戶密鑰,并將該用戶密鑰發(fā)送給所述用戶。
23.根據(jù)權利要求22所述的裝置,其中在所述密鑰生成裝置中生成的用戶密鑰被存儲在用于提供所述內(nèi)容數(shù)據(jù)的內(nèi)容提供裝置和/或用于再現(xiàn)所述內(nèi)容數(shù)據(jù)的用戶系統(tǒng)中。
24.一種用于生成用戶密鑰的裝置,包括用戶密鑰生成裝置,用于接收指定給作為會員而注冊的用戶的專用信息,并生成用于允許有關內(nèi)容數(shù)據(jù)的用戶權限的用戶密鑰;和密鑰加密裝置,該裝置接收由指示一個用戶系統(tǒng)的專用信息項的組合所生成的一個專用密鑰,使用該專用密鑰對密鑰生成裝置中生成的用戶密鑰加密,并發(fā)送該內(nèi)容數(shù)據(jù)至用戶。
25.根據(jù)權利要求24所述的裝置,其中在所述密鑰生成裝置中生成的用戶密鑰被存儲在提供所述內(nèi)容數(shù)據(jù)的內(nèi)容提供裝置和/或用于再現(xiàn)所述內(nèi)容數(shù)據(jù)的用戶系統(tǒng)中。
26.一種發(fā)送內(nèi)容數(shù)據(jù)的裝置,包括用于從用戶接收用戶密鑰的密鑰信息接收裝置,該用戶密鑰是通過組合唯一指定給所述用戶的多個信息項而生成的;和用于使用該用戶密鑰和一個預定加密算法對內(nèi)容數(shù)據(jù)加密并將該內(nèi)容數(shù)據(jù)發(fā)送給用戶系統(tǒng)的內(nèi)容數(shù)據(jù)加密裝置。
27.根據(jù)權利要求26所述的裝置,其中所述密鑰信息接收裝置接收由指示用戶系統(tǒng)的專用信息項的組合而生成的一個專用密鑰加密的密鑰信息。
28.根據(jù)權利要求26所述的裝置,其中內(nèi)容數(shù)據(jù)加密裝置包括標題生成裝置,用于生成一個具有指示所述內(nèi)容數(shù)據(jù)的信息的標題;內(nèi)容數(shù)據(jù)加密裝置,用于生成一個預定加密密鑰并對該內(nèi)容數(shù)據(jù)加密;和標題加密裝置,用于使用該用戶密鑰和所述預定加密算法對該標題進行加密。
29.根據(jù)權利要求26所述的裝置,其中該標題包括內(nèi)容數(shù)據(jù)的一般信息區(qū)、具有有關版權所有者許可訪問內(nèi)容數(shù)據(jù)的信息的內(nèi)容數(shù)據(jù)管理區(qū)、記錄加密密鑰的區(qū)域以及記錄有關再分配內(nèi)容數(shù)據(jù)的信息的區(qū)域。
30.一種解碼用戶系統(tǒng)中已加密內(nèi)容數(shù)據(jù)的裝置,該用戶系統(tǒng)接收由內(nèi)容數(shù)據(jù)提供裝置提供的加密內(nèi)容數(shù)據(jù),該裝置包括用于讀出由用戶系統(tǒng)專用信息項的組合生成的用戶密鑰的密鑰讀出裝置;以及內(nèi)容數(shù)據(jù)解碼裝置,用于利用從所述密鑰讀出裝置讀出的用戶密鑰來解碼所接收的內(nèi)容數(shù)據(jù)并再現(xiàn)該內(nèi)容數(shù)據(jù)。
31.根據(jù)權利要求30所述的裝置,其中所述密鑰讀出裝置讀出由指示用戶系統(tǒng)的專用信息項的組合生成的一專用密鑰加密的用戶密鑰。
32.根據(jù)權利要求30所述的裝置,其中內(nèi)容數(shù)據(jù)解碼裝置包括數(shù)據(jù)庫生成裝置,用于生成一具有版權所有者許可的內(nèi)容數(shù)據(jù)管理信息的數(shù)據(jù)庫;密鑰提取裝置,用于通過使用用戶密鑰對具有指示內(nèi)容數(shù)據(jù)的信息的標題解碼來提取用于解碼內(nèi)容數(shù)據(jù)的一個加密密鑰;以及內(nèi)容數(shù)據(jù)解碼裝置,用于通過所提取的加密密鑰對內(nèi)容數(shù)據(jù)進行解碼,并再現(xiàn)該內(nèi)容數(shù)據(jù)。
33.根據(jù)權利要求30所述的裝置,其中數(shù)據(jù)庫存儲所述內(nèi)容數(shù)據(jù)的ID以及有關內(nèi)容數(shù)據(jù)的使用規(guī)則的信息。
34.根據(jù)權利要求33所述的裝置,其中,每當用戶使用該內(nèi)容數(shù)據(jù)時,該數(shù)據(jù)庫都要被更新。
35.一種從存儲內(nèi)容數(shù)據(jù)的用戶系統(tǒng)發(fā)送該內(nèi)容數(shù)據(jù)至一便攜式設備的裝置,該裝置包括密鑰生成裝置,用于通過用戶系統(tǒng)與便攜式設備之間的相互認證來生成一個預定的公共密鑰;以及內(nèi)容數(shù)據(jù)加密裝置,用于利用該公共密鑰對內(nèi)容數(shù)據(jù)重新加密并發(fā)送該內(nèi)容數(shù)據(jù)至便攜式設備。
36.根據(jù)權利要求35所述的裝置,其中在發(fā)送該內(nèi)容數(shù)據(jù)之后,更新存儲在用戶系統(tǒng)中并具有有關版權所有者的許可的信息的內(nèi)容管理信息數(shù)據(jù)庫。
37.根據(jù)權利要求35所述的裝置,其中內(nèi)容數(shù)據(jù)加密裝置包括解碼裝置,用于提取由用戶專用信息項的組合生成的用戶密鑰,并使用該用戶密鑰對具有指示所述內(nèi)容數(shù)據(jù)的信息的標題解碼;及加密裝置,用于使用公共密鑰對標題重新加密,并發(fā)送內(nèi)容數(shù)據(jù)至便攜式設備。
38.根據(jù)權利要求37所述的裝置,其中使用由用戶系統(tǒng)專用信息項的組合生成的一個專用密鑰對解碼裝置的用戶密鑰加密。
39.一種用于解碼從用戶系統(tǒng)發(fā)送至便攜式設備的內(nèi)容數(shù)據(jù)的裝置,該裝置包括密鑰讀出裝置,用于讀出由該用戶系統(tǒng)和便攜式設備的相互認證所生成的一公共密鑰;以及內(nèi)容數(shù)據(jù)解碼裝置,用于利用該公共密鑰解碼已接收的內(nèi)容數(shù)據(jù)并再現(xiàn)該內(nèi)容數(shù)據(jù)。
40.根據(jù)權利要求39所述的裝置,其中,在再現(xiàn)該內(nèi)容數(shù)據(jù)之后,更新存儲在用戶系統(tǒng)中并具有與版權所有者的許可相關的信息的內(nèi)容數(shù)據(jù)管理信息數(shù)據(jù)庫的狀態(tài)。
41.根據(jù)權利要求39所述的裝置,其中內(nèi)容數(shù)據(jù)解碼裝置包括加密裝置,用于使用該公共密鑰對具有指示該內(nèi)容數(shù)據(jù)的信息的標題解碼,并使用由便攜式設備專用的信息項的組合生成的一專用密鑰對解碼的標題重新加密;及解碼裝置,用于利用該專用密鑰從解碼的標題中提取用于解碼內(nèi)容數(shù)據(jù)的一個加密密鑰,利用該加密密鑰對內(nèi)容數(shù)據(jù)解碼,并再現(xiàn)該內(nèi)容數(shù)據(jù)。
全文摘要
提供一種保護內(nèi)容數(shù)據(jù)的系統(tǒng)和方法。在該系統(tǒng)和方法中,通過加密內(nèi)容數(shù)據(jù)使得該內(nèi)容數(shù)據(jù)按照版權所有者想要管理的用戶權限來分配,防止非法拷貝并根據(jù)預定規(guī)則管理用戶權限。提供內(nèi)容數(shù)據(jù)的方法包括步驟(a)接收由只分配給用戶的專用信息的組合生成的用戶密鑰;及(b)使用該用戶密鑰和一預定加密算法對內(nèi)容數(shù)據(jù)加密,并發(fā)送該加密內(nèi)容數(shù)據(jù)至一用戶系統(tǒng)。根據(jù)該系統(tǒng)和方法,通過加密內(nèi)容數(shù)據(jù)使得該內(nèi)容數(shù)據(jù)按照版權所有者想要管理的用戶權限來分配,防止非法拷貝并根據(jù)預定規(guī)則管理用戶權限。同時,由于使用HUK加密用戶密鑰,防止了用戶密鑰可能的曝光,而且使用DRM數(shù)據(jù)庫,內(nèi)容數(shù)據(jù)可以按照版權所有者的要求來分配。
文檔編號G06F21/00GK1392700SQ0212725
公開日2003年1月22日 申請日期2002年6月15日 優(yōu)先權日2001年6月15日
發(fā)明者朱彰南 申請人:三星電子株式會社