專利名稱:用于安全數(shù)字影院演播的密鑰分發(fā)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字影院,更具體地說����,涉及及時可靠地分發(fā)用于數(shù)字影院 演播的密鑰。
背景技術(shù):
術(shù)語"數(shù)字影院"通常指的是通過電子裝置(例如使用投影儀��,其接收 數(shù)字數(shù)據(jù),并且將該數(shù)據(jù)呈現(xiàn)為光學(xué)流�,以投影在屏幕上)來進行運動圖片 (以及其它類型的音頻可視化作品)的電影院演播。為了促進在內(nèi)容創(chuàng)作者���、 內(nèi)容分發(fā)商���、裝備提供商和電影院之間的協(xié)同,七個運動圖片工作室Disney��、 Fox�����、 Metro-Goldwyn-Mayer�����、 Paramount Pictures �����、 Sony Pictures Entertainment ��、 Universal Studios禾口 Warner Bros. Studios,倉J建了已^口"f乍為Digital Cinema Initiatives, LLC ( DCI)的實體�����,其在2005年7月20日公布了 Digital Cinema System Specification V1.0 ( DCI規(guī)范)。DCI的主要目的在于建立統(tǒng)一規(guī)范���, 該統(tǒng)一規(guī)范將最終許可完全實現(xiàn)數(shù)字影院對電影院觀眾��、電影院業(yè)主、制片 人和分發(fā)商的利益��。DCI規(guī)范描述了表示運動圖像�����、音頻和對電影院分發(fā)的其它數(shù)據(jù)的文件 的格式化��。在電影院中����,這樣的文件提供不褪色無刮痕版本的音頻可視化演 播,其每次對觀看者都提供相同的高質(zhì)量演播�����,所以演播在其最近放映時看 起來與其在其初始放映期間所進行的放映同樣良好����。數(shù)字影院的這樣的優(yōu)點 使得其十分吸引媒體盜版���。因此,危險存在于媒體盜版將嘗試獲取原始數(shù)字 文件的拷貝����,以制作高質(zhì)量仿造DVD并且進行販賣,并且在工作室所傾向的 發(fā)》丈日程之前進行這種行動�����。DCI規(guī)范詳細描述了 一種機制���,其用于連續(xù)地確保數(shù)字影院演播安全�,4一直到演播出現(xiàn)在電影院屏幕上的那一刻���。共同地����,表示演播的文件包括 "包"��。在打包時����,以不同的對稱密鑰來對每一文件的包進行加密�。當(dāng)為了演 播而播放對應(yīng)文件時���,這些相同的密鑰對于對所述對應(yīng)文件進行解密變?yōu)槭?必須的�。每一電影院將接收相同的包�,其包含已加密的^某體文件。然而�,雖然每 個包仍然相同,但每一電影院對于每一屏幕接收不同的密鑰��。并非以不安全 的方式來分發(fā)這些密鑰����,而是這些密鑰自身經(jīng)歷加密��。進一步地��,對于每一 屏幕�,存在不同的加密方式。每一屏幕(即每個禮堂)典型地具有其自身的屏幕管理系統(tǒng)(SMS ),其包括安全媒體塊(即々某體解碼器)和關(guān)聯(lián)的投影儀�,構(gòu)成了放映演播所需的所有裝備。作為對每一屏幕使用不同加密方式的結(jié)果����,目標SMS的密鑰將對另一SMS沒有用處���。換句話說,每一SMS將需要其自 身的密鑰���。具有多個屏幕的電影院將典型地具有電影院管理系統(tǒng)(TMS)�����,以 用于控制每個SMS���。實際上,為密鑰所指定的加密方式使用不對稱公鑰技術(shù)����。放映遵守DCI 的演播的每一 目標SMS將具有安全數(shù)字證書。與該安全數(shù)字證書關(guān)聯(lián)的目標 SMS具有對應(yīng)私鑰�����,以用于進行解密���。分發(fā)商將提供表示與僅由目標獲知的 私鑰對應(yīng)的公鑰的i正書��。以此方式�,分發(fā)商可以準備包并且對包進4于加密, 并且例如通過衛(wèi)星廣播將其分發(fā)給其它電影院�。在沒有用于解密的密鑰的情 況下,任何人都無法使用內(nèi)容��。分發(fā)商將通過使用所提供的證書來組裝用于對包進行解密的密鑰��,并且 對其進行加密���,因此創(chuàng)建"密鑰分發(fā)消息"(KDM),其包括已加密的密鑰集 合�����,僅可由其證書被使用的目標SMS來讀取����。當(dāng)以此方式進行準備時�����,KDM 對于被授權(quán)展示演播的每一電影院屏幕是唯一的�。典型地,KDM具有相對較 小的大小(例如幾千字節(jié))���。DCI規(guī)范對于KDM的分發(fā)沒有提供很多細節(jié)�����。然而���,DCI規(guī)范不需要 撥號調(diào)制解調(diào)器連接作為用于傳送KDM的手段。該規(guī)范允許提供替換接口 ���。DCI規(guī)范進一步鼓勵在電影院接收(即攝取)完整的包之后��,TMS或 SMS驗證KDM的可用性��,并且顯示用于放映內(nèi)容的對應(yīng)時間窗口 ����。由TMS 或SMS所生成的放映.日程可能展現(xiàn)出KDM與安排的放映之間的沖突���。此夕卜����, 當(dāng)KDM將在當(dāng)前時間的48小時以內(nèi)過期時,DCI規(guī)范鼓勵TMS或SMS警 告放映人員或電影院管理者�。如今,數(shù)字影院的試驗性實現(xiàn)方式典型地找到放置在具有USB接口的可 拆卸閃存設(shè)備上的KDM��?����?梢詫⑦@些小型高度便攜的存儲設(shè)備以物理方式郵 寄給目標系統(tǒng)����,或者私下傳遞給目標系統(tǒng)。 一旦被引入目標系統(tǒng)并且被安裝���, 放映人員就使用目標SMS上的控制接口��,以導(dǎo)航到閃存驅(qū)動器���。于是,放映 人員手動瀏覽目錄結(jié)構(gòu)���,并且選擇適當(dāng)?shù)腒DM,并且命令目標系統(tǒng)加載 KDM。在特定情況下(例如初次公演�����,在特定演播被限制為特定屏幕的情況下), 于是僅單個KDM是必須的��。然而�����,將演播綁定到特定屏幕的不必要約束通 常應(yīng)該證明是不期望的����。如果電影院具有四個數(shù)字影院屏幕并且預(yù)定了三部 電影,則分發(fā)商將優(yōu)選地為十二種可能的組合中的每一中提供單獨的KDM���。 KDM的結(jié)果增生使得手動密鑰管理困難�����。如今的數(shù)字影院實現(xiàn)方式與由所給出的DCI規(guī)范所規(guī)定或者推薦的行為 的組合導(dǎo)致增加了操作人員對管理電影院的大量信息的需要��,因此導(dǎo)致增加 了無法找到KDM或者及時檢索到KDM的大量機會�����。此外�����,由安全密鑰的引 入所產(chǎn)生的簡單的不便性創(chuàng)建了在電影投影系統(tǒng)中并非目前所發(fā)現(xiàn)的偽像���, 并且可能最終導(dǎo)致無法在期望的時間放映演播����。存在對克服該缺陷的需要�。發(fā)明內(nèi)容簡而言之,根據(jù)本發(fā)明優(yōu)選實施例����,提供一種方法,用于具有多個屏幕 的數(shù)字影院演播設(shè)備(也就是數(shù)字影院電影院)中的密鑰分發(fā)���。該方法通過 以下步驟開始在演播設(shè)備內(nèi)接收至少一個密鑰分發(fā)消息��,以用于對給出的 數(shù)字影院演播(例如電影)進行解密����。于是�����,確定將要由所述密鑰分發(fā)方法 來進行解密的所給出的數(shù)字影院演播是否具有與密鑰分發(fā)消息關(guān)聯(lián)的有效性 間隔內(nèi)的演播時間�����。如果情況如此��,則在演播設(shè)備內(nèi)路由所述密鑰分發(fā)消息���, 以使得能夠在預(yù)先選擇的屏幕處放映數(shù)字影院演播����。
圖1描述示出用于分發(fā)密鑰分發(fā)消息(KDM)的組件的數(shù)字影院系統(tǒng)的框圖�����;圖2描述示出用于由數(shù)字影院演播系統(tǒng)內(nèi)的電影院管理系統(tǒng)(TMS)所 進行的KDM分發(fā)的方法的步驟的流程圖�����;圖3描述示出用于由屏幕管理系統(tǒng)(SMS)所進行的KDM分發(fā)的方法 的步驟的流程圖���;以及圖4描述示出根據(jù)本發(fā)明的KDM的生存時間內(nèi)的顯著事件的時序����。
具體實施方式
本發(fā)明提供一種有效方式來為電影院中的對應(yīng)演播系統(tǒng)分發(fā)所生成的 KDM。圖1示出密鑰分發(fā)消息(KDM)分發(fā)系統(tǒng)100,其從密鑰消息生成器110 接受KDM�����。 KDM分發(fā)系統(tǒng)100包括密鑰消息分發(fā)器120���,其包括存儲設(shè) 備122,用于經(jīng)由互聯(lián)網(wǎng)130將一個或多個KDM分發(fā)給數(shù)字影院演播設(shè)備�����, 在圖1中描述為電影院140����。在密鑰分發(fā)管理器120不能提供KDM的事件中�, 連接到互聯(lián)網(wǎng)130的遠程終端180可以充當(dāng)備份。如下文所討論的那樣�����,遠 程終端180包括關(guān)聯(lián)的存儲設(shè)備190,用于存儲備份KDM�����。對于到達電影院140內(nèi)的衛(wèi)星接收機174的下行鏈路,通過使用衛(wèi)星 176,可以出現(xiàn)KDM的分發(fā)���。(可以存在從密鑰消息分發(fā)器120到衛(wèi)星176 的對應(yīng)上行鏈路�����,但在圖1中未出現(xiàn))。優(yōu)選地與在互聯(lián)網(wǎng)130上的分發(fā)相比��, KDM的衛(wèi)星分發(fā)仍然4支少����。在電影院140內(nèi),存在至少一個安全媒體塊160�����。為此�,安全媒體塊160 至少包括數(shù)字影院投影儀以及關(guān)聯(lián)機構(gòu),所述關(guān)聯(lián)機構(gòu)用于既對數(shù)字影院演 播進行解密又至少臨時存儲數(shù)字影院演播��。用于既對數(shù)字影院演播進行加密 又存儲數(shù)字影院演播的這樣的機構(gòu)可以存在于投影儀自身內(nèi)����,或者作為分離 的元件。所陳述的另一方式,安全々某體塊160包括數(shù)字影院系統(tǒng)內(nèi)的組件�����, 其用于對數(shù)字影院演播進行解密����,存儲數(shù)字影院演播并且將數(shù)字影院演播呈 現(xiàn)在電影院140內(nèi)的特定屏幕上。因此��,在多屏幕的電影院中�,將存在多個 安全媒體塊160,安全媒體塊160用于每一屏幕��。除了與需要在特定幾個裝 備的特定部分中出現(xiàn)的安全問題有關(guān)的特定功能的范圍內(nèi)之外���,安全媒體塊 160的各種描述并非意欲進行具體限制�。不應(yīng)將該公開中的描述理解為與DCI 規(guī)范文檔中的需求相抵觸����。根據(jù)DCI規(guī)范,安全媒體塊160具有由認證機構(gòu)所提供的唯一關(guān)聯(lián)的數(shù) 字證書�����,這是公知過程。為了創(chuàng)建對于安全i某體塊160特定的KDM,以用于 特定演播(DCI規(guī)范中的"構(gòu)成")���,密鑰消息生成器110需要安全^ 某體塊160的證書的拷貝��,并且使用所述證書來對密鑰臬合進行加密����,并且進一步收集 這些已加密密鑰����。如上所述��,密鑰消息分發(fā)器120從密鑰消息生成器110接收KDM�����,以用 于在存儲設(shè)備122上進行存儲����。根據(jù)DCI規(guī)范,KDM自身指定其與相應(yīng)安 全媒體塊160的關(guān)聯(lián)���。該關(guān)聯(lián)的細節(jié)可以出現(xiàn)在數(shù)據(jù)庫(未示出)中���,或在 KDM文件名的部分中���,或者可以出現(xiàn)在存儲KDM的存儲設(shè)備122的目錄結(jié) 構(gòu)的特性中。高性能系統(tǒng)可以選擇在安全數(shù)據(jù)庫(未示出)中存儲KDM及 其關(guān)聯(lián)�����。反之����,低開銷系統(tǒng)可以選擇在與所述安全塊關(guān)聯(lián)的目錄中存儲與安 全媒體塊160對應(yīng)的KDM。這樣的目錄可以構(gòu)成與電影院140關(guān)聯(lián)的目錄的 子目錄����。優(yōu)選地是,適當(dāng)?shù)南到y(tǒng)可以通過一個或多個接口訪問由密鑰消息分發(fā)器 120所存有的KDM����。在根據(jù)效率和方便性所建議的優(yōu)選順序中,本發(fā)明規(guī)定 系統(tǒng)尋找的順序��,以訪問KDM,并且將KDM提供給安全媒體塊160��。存在 以下期望系統(tǒng)稍后以優(yōu)選方式取得的后續(xù)成功將克服系統(tǒng)先前以優(yōu)選順序 所任意缺少的成功����。面對多個裝備和過程失敗���,這種擴展提供了高可靠性。如所指示的那樣�,電影院140包括至少一個介質(zhì)安全塊160。為了該討 論的目的��,可假定安全i某體塊160包括屏幕管理系統(tǒng)的功能���,如由DCI規(guī)范 所討論的那樣����。在多個屏幕并且因此多個安全媒體塊160的事件中����,電影院 140可以擁有電影院管理系統(tǒng)150,以用于管理每一安全々某體塊160�����。在電影 院140內(nèi)���,局域網(wǎng)(LAN)通過LAN路由器170將電影院管理系統(tǒng)150互聯(lián) 到每一安全i某體塊160����。這些設(shè)備具有例如通過WAN接口 172對廣域網(wǎng) (WAN)(例如互聯(lián)網(wǎng)130)的訪問。WAN接口 172可以包括撥號調(diào)制解調(diào) 器��,其被配置為呼叫互聯(lián)網(wǎng)服務(wù)提供商���。優(yōu)選地是�����,WAN接口 172提供較 高的帶寬連接(例如DSL調(diào)制解調(diào)器或電纜調(diào)制解調(diào)器)���。如果WAN接口 172擁有多種模式的WAN連接性,則該接口可以將優(yōu)先級給予較快的連接���、 或被認為最安全的連接�。實際上�,電影院140在衛(wèi)星接收機174處經(jīng)由下行鏈路從衛(wèi)星176接收 已加密的內(nèi)容(例如一個或多個數(shù)字影院演播)。雖然安全媒體塊160可以直 接從衛(wèi)星接收機174接收已加密的內(nèi)容�,但優(yōu)選地是,電影院管理系統(tǒng)150 或分離的攝取服務(wù)器(ingest server)(未示出)經(jīng)由LAN路由器170接收用 于累積和分發(fā)的已加密內(nèi)容����。為此���,電影院管理系統(tǒng)150包括存儲設(shè)備152(例如盤驅(qū)動器或盤驅(qū)動器陣列),以用于存儲后續(xù)傳送給適當(dāng)?shù)陌踩襟w塊160的內(nèi)容���??蛇x地���,安全媒體塊160可以從電影院管理系統(tǒng)150檢索已加 密的內(nèi)容���。直到安全媒體塊160既擁有已加密的內(nèi)容,又擁有與所述已加密 的內(nèi)容以及安全J 某體塊自身對應(yīng)的KDM的時間�����,否則已加密的內(nèi)容將仍然 不可訪問�。如果安全媒體塊160無法及時接收KDM,則安全媒體塊將無法放 映演播���。KDM和已加密的內(nèi)容的分發(fā)可以按任意順序出現(xiàn)。換句話說��,KDM的 分發(fā)可以在已加密的內(nèi)容的分發(fā)之前����,或者反之亦然��。優(yōu)選地是�����,電影院管 理系統(tǒng)150將嘗試從密鑰消息分發(fā)器120收集對電影院140內(nèi)的安全媒體塊 160合適的KDM����。在所示出的實施例中�,在被特定分配給安全媒體塊的子目 錄中,對于給定的電影院140中的給定的安全J 某體塊160,密鑰消息分發(fā)器 內(nèi)的存儲設(shè)備122擁有用于存儲KDM的目錄排列����。安全媒體塊子目錄駐留 作為特定分配給電影院140的子目錄。為了獲得用于其電影院140的所需KDM���,電影院管理系統(tǒng)150將通過 LAN路由器170�����、 WAN接口 172和互聯(lián)網(wǎng)130發(fā)起對密鑰消息分發(fā)器120的 文件傳輸協(xié)議(FTP)連接�����。優(yōu)選地是��,電影院管理系統(tǒng)150將在與電影院 140關(guān)聯(lián)的用戶名下以安全方式進行FTP會話���。用于與電影院140關(guān)聯(lián)的用 戶名的主目錄將與和該電影院關(guān)聯(lián)的子目錄對應(yīng)�。以此方式����,電影院管理系 統(tǒng)150可以獲得對包含用于每一安全i某體塊160的子目錄的子目錄的訪問, 安全媒體塊160反過來包含先前所生成的并且從密鑰消息生成器110所提供 的對應(yīng)KDM����。電影院管理系統(tǒng)150的存儲設(shè)備152將拷貝經(jīng)由FTP所找到 的每一KDM,小心地避免復(fù)制或蓋寫任意先前獲得的獨特KDM,如下所述。優(yōu)選地是��,電影院管理系統(tǒng)150根據(jù)有規(guī)則的日程來自動檢索KDM�。 例如,在美國����,新電影的分發(fā)傾向于出現(xiàn)在星期五。因此�����,美國電影院中的 電影院管理系統(tǒng)150可以每星期二晚上與密鑰消息分發(fā)器120連接��,以允許 用于可選過程的時間配合于安排的檢索無法獲得所需KDM的情況��。也可以手動產(chǎn)生由電影院管理系統(tǒng)150進行的KDM的纟全索�����。例如��,如 果電影院140的管理者具有與密鑰消息分發(fā)器120的人機操作人員的會話�����, 該會話指示期望在安排的檢索時間獲得先前從存儲設(shè)備122遺漏的KDM����,則 以手動方式所發(fā)起的檢索序列將成功地找到先前缺少的KDM。在獲得所需的 KDM之后�,電影院管理系統(tǒng)150可以將該KDM發(fā)送到對應(yīng)安全4某體塊160?��?蛇x地��,指示KDM的可用性的來自電影院管理系統(tǒng)150的消息將觸發(fā)安全 媒體塊160從存儲設(shè)備152檢索KDM�。進一步地,例如�����,如果安全媒體塊 160尚未獲得用于被安排為在近期的將來出現(xiàn)的演播的KDM�,則該安全J(某體 塊可以自動尋找KDM。在電影院管理系統(tǒng)150失敗的情況下����,通過其內(nèi)部管理系統(tǒng),安全媒體 塊160可以釆取為直接從密鑰分發(fā)器120獲得KDM����。安全媒體塊160將使 用相同的對電影院特定的證明來進行這樣的連接。在這樣的連接之后����,后續(xù) 文件導(dǎo)航將進入到與安全媒體塊160關(guān)聯(lián)的子目錄,以使得能夠訪問每一適 當(dāng)?shù)腒DM�����。在電影院管理系統(tǒng)150無法獲得并且分發(fā)KDM的事件中����,安全媒體塊160將自動地并且根據(jù)與KDM的需要有關(guān)的日程(即掛起的安排的演播)而連接到消息分發(fā)器120�����。在更嚴重的失敗模式下,WAN接口 172可能經(jīng)歷服務(wù)的持續(xù)丟失��。在此情況下�,電影院管理系統(tǒng)150和安全媒體塊160都不能與密鑰消息分發(fā)器120直接連接。在此情況下�,電影院管理系統(tǒng)150可以生成警告(例如"密鑰消息分發(fā)器120已經(jīng)變?yōu)椴豢稍L問")?��?蛇x地��,或者除了所述警告之外�����,安全々某體塊160也可以生成警告(例如"對于掛起的演播���,不存在KDM")。密鑰消息分發(fā)器120也可以生成警告(例如"尚未檢索到用于電影院140的KDM")��。可以分別對電影院140的管理者����、負責(zé)安全^ 某體塊和投影儀160的放映人員以及密鑰消息分發(fā)器120的操作人員出現(xiàn)這樣的消 自在WAN接口 172的失敗的事件中,負責(zé)電影院140的職員將進行安排����, 以通過遠程終端180獲得KDM,遠程終端180可以包括個人計算機或能夠直 接地或間接地訪問互聯(lián)網(wǎng)130并且用于從其下載信息的其它這樣的設(shè)備。例 如,遠程終端180可以包括電影院140的管理者的家庭計算機�。在此情況下, 密鑰消息分發(fā)器120可以(經(jīng)由郵件服務(wù)器等,未示出)通過互聯(lián)網(wǎng)130以 電子郵件發(fā)送KDM,以用于通過遠程終端180進行;險索。來自密鑰消息分發(fā) 器的電子郵件可以包括KDM作為附加到電子郵件的文件。電影院操作人員 于是可以將所附加的KDM文件保存到可拆卸介質(zhì)190���。優(yōu)選地是,可拆卸介 質(zhì)190包括具有USB接口的閃存設(shè)備��?�?蛇x地����,密鑰消息分發(fā)器120可以呈現(xiàn)web接口。通過使用運行在遠程 終端180上的web瀏覽器���,電影院管理者或代表電影院140的授權(quán)職員可以10登錄到web接口 ��,提供用戶名和密碼證明�,并且獲得對尚未獲得的KDM的 下載訪問。所下載的KDM可以4皮保存在可拆卸介質(zhì)190中���。雖然遠程終端 180可以包括私人機器并且/或者使用私人應(yīng)用來獲得KDM,但優(yōu)選地是���,遠 程終端180可以釆用任意容易可用典型地配置的對互聯(lián)網(wǎng)可用的計算機的形 式����。在恐慌的情況下(例如無法產(chǎn)生演播的逼近的威脅)�,電影院的管理者可 以跑下去到附近網(wǎng)吧來獲得關(guān)鍵的遺漏KDM。在冗余KDM分發(fā)路徑的最后的一段����,如果負責(zé)電影院140的職員仍然 沒有成功檢索到KDM,則密鑰消息分發(fā)器120的操作人員可以手動收集電影 院140所需的KDM,將該KDM放到可拆卸介質(zhì)190上,并且安排將該可拆 卸介質(zhì)運送到電影院140�,以及時加載對應(yīng)演播。電影院管理系統(tǒng)150將在 接口 200訪問這樣的可拆卸介質(zhì)����,在可拆卸介質(zhì)包括閃存的事件中���,接口 200 可以包括USB端口 ?�?刹鹦督橘|(zhì)應(yīng)該包括磁存儲設(shè)備或磁光存儲設(shè)備����;接口 200將包括讀取器,其能夠讀取所述存儲設(shè)備�。以此方式,電影院管理系統(tǒng) 150可以檢測可拆卸介質(zhì)的出現(xiàn)�,并且自動地注意KDM出現(xiàn)?��?蛇x地��,4喿作 人員可以手動觸發(fā)電影院管理系統(tǒng)150來找尋KDM���。在任意事件中,當(dāng)接收 到KDM時�����,KDM經(jīng)受在存儲設(shè)備152中的存儲以及去到對應(yīng)安全媒體塊160 的后續(xù)分發(fā)�����,如上所述。為了確保進一步的冗余����,安全媒體塊160還可以擁 有接口 210,其與和電影院管理系統(tǒng)150關(guān)聯(lián)的接口 200相似,以使得能夠 在自動觸發(fā)或者手動觸發(fā)之后搜索并且加載KDM�。在所示實施例中,存儲設(shè)備122和152將保持類似的子目錄等級�。優(yōu)選 地是,可拆卸介質(zhì)190也復(fù)制這種等級����。以此方式����,執(zhí)行對與特定安全^ 某體 塊160對應(yīng)的KDM的搜索的方法仍然明顯相似,無論電影院管理系統(tǒng)150 是搜索可拆卸介質(zhì)還是存儲設(shè)備122;或者����,無論安全媒體塊160是搜索可 拆卸介質(zhì)、電影院管理存儲設(shè)備152還是密鑰分發(fā)器存儲設(shè)備122����。圖2在流程圖中描述了形成由圖1的電影院管理系統(tǒng)15 0所執(zhí)行的KDM 檢索的過程200的流程圖�。該方法可以從步驟210開始��,在步驟210期間��, 電影院職員手動觸發(fā)密鑰檢索�。典型地,在將可拆卸介質(zhì)(例如可拆卸介質(zhì) 190)附加到電影院管理系統(tǒng)150之后出現(xiàn)手動檢索����。其后,出現(xiàn)步驟212���, 在步驟212期間���,電影院管理系統(tǒng)150檢查任意可拆卸介質(zhì)的存在。如果圖 1的電影院管理系統(tǒng)150發(fā)現(xiàn)可拆卸介質(zhì)�����,并且該介質(zhì)包含一個或多個KDM����, 則過程200繼續(xù)到步驟214。 一旦^r測到?jīng)]有可拆卸介質(zhì)或者可拆卸介質(zhì)不包含任意有關(guān)KDM,;險索過程200就繼續(xù)到步驟222��。在步驟214期間,出現(xiàn)每一有關(guān)KDM的才全索�����。步驟216跟隨步驟214, 在步驟216期間��,出現(xiàn)結(jié)合過程250,作為如下所描述的子程序�。在沒有發(fā) 現(xiàn)任意可檢索媒體或者i某體缺少有關(guān)KDM的情況下,步驟222跟隨步驟212����。 在普通操作中,步驟222將跟隨步驟220,步驟220觸發(fā)檢索過程200,以周 期性運行(例如每星期一次)���。在步驟220期間出現(xiàn)的安排的觸發(fā)不嘗試找尋 或者檢驗可拆卸介質(zhì),而是進入步驟222��。在步驟222期間�����,電影院管理系 統(tǒng)150嘗試經(jīng)由圖1的WAN接口 172和互聯(lián)網(wǎng)130連接到圖1的密鑰消息 分發(fā)器120���。 一旦成功連接����,檢索過程200就繼續(xù)到步驟224,但是如果連接 失敗�����,則^f企索過程200繼續(xù)到步驟230��。在步驟224期間�����,出現(xiàn)從密鑰消息分發(fā)器120檢索可用的每一有關(guān)KDM���。 其后���,在步驟226期間,出現(xiàn)結(jié)合過程250的執(zhí)行����。如果圖1的對應(yīng)安全媒 體塊160仍然沒有檢索到要么在步驟216或226期間在執(zhí)行結(jié)合過程250之 后被收集的,要么先前被收集的任何KDM��,則在步驟230期間,將出現(xiàn)對應(yīng) 安全媒體塊的信號傳送�,以檢索任意對應(yīng)KDM。在步驟230的替換實施例中���, 可以將未分發(fā)的KDM推送到圖1的對應(yīng)安全々某體塊160����。結(jié)合過程250構(gòu)成子程序��,所述子程序檢驗所遇到的每一 KDM�,以確 定是否將所述KDM合并到現(xiàn)有集合中。結(jié)合過程250在啟動步驟260開始��, 并且其后��,在步驟262進入循環(huán)����,以檢驗每一檢索的KDM。在所述循環(huán)內(nèi)�, 在步驟264期間����,每一檢索到的KDM首先受到檢驗,以確保其有效性。如 果一旦發(fā)現(xiàn)所檢索到的KDM有效�����,則跟隨步驟268,以確定所檢索到的KDM 是否復(fù)制先前所接收到的KDM����。在步驟264期間4全測無效KDM導(dǎo)致至少產(chǎn) 生注意接收無效KDM的登錄項(未示出),之后跟隨步驟266,在步驟266 期間��,出現(xiàn)所檢索到的密鑰消息的丟棄�。在步驟268期間所檢測到的復(fù)制KDM 不需要登錄項,但在步驟266期間復(fù)制KDM也經(jīng)歷丟棄�。在進入步驟272 之前,在步驟264期間^皮發(fā)現(xiàn)有效并且在步驟268期間未4H制的KDM在 步驟270期間經(jīng)歷存儲�����,以確定任意附加KDM是否需要檢驗�。如果需要檢 驗,則過程進入到如上所述的步驟262�����。如果對于檢驗不存在附加KDM����,則 結(jié)合子程序250在步驟274結(jié)束�����,返回到調(diào)用其的程序����。如上所述����,在最佳情況下,密鑰檢索過程200根據(jù)在步驟220開始的曰 程自動地每周運行一次��,并且成功地檢索與用于圖1的電影院140以及電影院管理系統(tǒng)150所負責(zé)的每一安全々某體塊160的每一演播對應(yīng)的KDM�。因此, 如果電影院140具有四個安全媒體塊160 (即四個數(shù)字影院投影儀)�,并且電 影院140被安排為在即將到來的一周中放映三部電影,則電影院管理系統(tǒng)150 將為十二部可能的電影與安全媒體塊組合中的每一個而下載KDM��。即使KDM的增生可能使得手動管理困難��,除了在極端情況下之外���,本發(fā)明的技術(shù) 也極大地消除了對手動管理的需要。圖3描述形成由屏幕管理系統(tǒng)所執(zhí)行的密鑰檢索過程300的步驟的流程 圖,所述屏幕管理系統(tǒng)包括安全媒體塊160的一部分�����。密鑰檢索過程300具 有與圖2的密鑰檢索過程200很多的相似性����,但從各個屏幕的觀點來進行。 在最佳條件下��,例如當(dāng)安排的演播變?yōu)楸平?關(guān)于圖4更完整地討論時間的 測量)�����,用于演播的時間將落入預(yù)定窗口內(nèi)����,發(fā)起步驟350?�;蛘?����,如果演播 被新安排到預(yù)定限制內(nèi)的時間��,則將立即出現(xiàn)步驟350。步驟352跟隨步驟350����,在步驟350期間,出現(xiàn)檢查�����,以確定安排的演 播所需的每一KDM的存在����。在缺少安排的演播所需的KDM的情況下,過程 執(zhí)行分支進入步驟318���。否則��,在安排的演播所需的每一KDM已經(jīng)在安全媒 體塊160處的情況下��,于是^f企索過程300在步驟336終止��。如所指示的那樣���,當(dāng)存在對檢索至少一個KDM的需要時,步驟318將 開始�����。在步驟318期間,對電影院管理系統(tǒng)150內(nèi)的KDM存儲設(shè)備152的 訪問開始�。 一旦成功訪問���,并且適當(dāng)?shù)腒DM存在于存儲設(shè)備152內(nèi)�����,于是 就將開始步驟320����。否則�,如果訪問尚未成功,或者存儲設(shè)備152不包含有 關(guān)KDM,則檢索過程300繼續(xù)到步驟324�����。在步驟320期間����,將出現(xiàn)每一有 關(guān)KDM的檢索。其后���,當(dāng)在步驟322期間被調(diào)用時��,結(jié)合過程250子程序 經(jīng)歷執(zhí)行����。跟隨步驟322,或者在步驟318期間沒有發(fā)現(xiàn)有關(guān)KDM的情況下����, 檢索過程300繼續(xù)到步驟324。在步驟324期間����,關(guān)于是否當(dāng)前執(zhí)行在步驟350期間自動觸發(fā)所導(dǎo)致的 過程300,以及是否已經(jīng)獲得對于安排的性能所必須的每一KDM,出現(xiàn)檢查。 如果情況如此����,則密鑰檢索過程300進入步驟336,并且終止。事件的這個 鏈條構(gòu)成操作的正常進程��。如果手動地出現(xiàn)密鑰檢索過程300的發(fā)起(以下 討論)��,或者在缺少安排的放映所需的任意KDM的情況下�����,則過程分支進入 步驟326。在失敗模式下���,例如當(dāng)圖1的電影院管理系統(tǒng)150已經(jīng)離線��,或者存儲13設(shè)備152已經(jīng)變得被破壞時�����,與安全媒體塊160關(guān)聯(lián)的屏幕管理系統(tǒng)將進入 步驟326,并且嘗試直接與密鑰消息分發(fā)器120連接�����。在缺少連接的情況下����, 或者在缺少可用的KDM的情況下,過程執(zhí)行繼續(xù)到步驟332���。假設(shè)成功的連 接以及至少一個有關(guān)KDM的可用性���,則在步驟328期間出現(xiàn)KDM檢索,步 驟328之后跟隨步驟330的執(zhí)行�,步驟330觸發(fā)圖2的結(jié)合子程序250的執(zhí) 行�。跟隨步驟330的完成�����,過程執(zhí)行分支進入步驟332����,在步驟332期間, 出現(xiàn)檢查�����,以確定對于掛起放映演播是否缺少KDM����。在缺少所需KDM的情 況下,于是在步驟334期間生成告警��,以通知圖1的電影院140中的職員(具 體地說���,電影院管理者�、貨攤管理者和負責(zé)與圖1的安全媒體塊160關(guān)聯(lián)的 屏幕的放映人員)�、以及優(yōu)選地圖1的密鑰消息分發(fā)器120的操作人員。告警 可以采用以下形式 一個或多個同屏彈出告警、電子郵件�����、短消息服務(wù)(SMS) 頁面�����、帶外交互式語音響應(yīng)(IVR)電話呼叫等����。理想地,盡可能多的負責(zé) 個人應(yīng)該接收告警�����,以將以下情況告警給他們中的至少一個緊急需要對關(guān) 于迫近的失敗采取補救行動�,以在安排的放映時間呈現(xiàn)安排的演播�。圖3的過程300在KDM檢索過程中提供在步驟326的擴展,其中�,圖 1的安全媒體塊160嘗試直接接觸圖1的密鑰消息分發(fā)器120。步驟326提供 一種機制�,用于解決由于不能在檢索過程中通過先前步驟獲得所需KDM而 導(dǎo)致的緊急情況。優(yōu)選地是���,雖然對于本發(fā)明的KDM管理技術(shù)并非實質(zhì)����, 但圖1的電影院管理系統(tǒng)150應(yīng)該進行頻繁的有規(guī)則的連接,從而存在大量 引導(dǎo)時間和機會�,以用于稍后重試。由電影院管理系統(tǒng)150所進行的這樣的 有規(guī)則的連接應(yīng)該使得以下情況最小每一安全々某體塊160必須發(fā)起對圖1 的密鑰消息分發(fā)器120的外部連接���。圖2的檢索過程200和圖3的檢索過程 300實現(xiàn)了該目的����。在最壞情況的情形下�,當(dāng)電影院140內(nèi)的網(wǎng)絡(luò)通信變?yōu)椴豢捎脮r,這將 阻止與安全媒體塊160關(guān)聯(lián)的屏幕管理系統(tǒng)要么接觸電影院管理系統(tǒng)150要 么接觸密鑰消息分發(fā)器120���,安全媒體塊160應(yīng)該具有用于接受經(jīng)由圖1的 接口 210所提供的可拆卸介質(zhì)上所提供的KDM的能力����。圖3的檢索過程300 提供以在步驟310發(fā)起手動啟動而開始的這種偶然情況����。安全媒體塊160的啟動。響應(yīng)于由安全媒體塊160檢測在接口 210處新插入可拆卸介質(zhì)����,可以隱式地出現(xiàn)在步驟310期間所發(fā)起的手動啟動�。步驟312跟隨手動啟動步驟 310�,其中,圖1的安全々某體塊160嘗試訪問可拆卸介質(zhì)l卯���。 一旦成功訪問 并且發(fā)現(xiàn)至少一個有關(guān)KDM����,圖3的過程300就繼續(xù)到步驟314��。否則����,過 程繼續(xù)到步驟318,如上所述��。處經(jīng)歷下載���,并且經(jīng)由圖2的結(jié)合過程250在步驟316期間經(jīng)歷結(jié)合。其后�, 過程繼續(xù)到步驟318。圖4示出時序410,時序410示出^4居本發(fā)明的KDM的生存周期400 中的顯著點�。事件412與由圖1的密鑰消息生成器IIO所創(chuàng)建的KDM創(chuàng)建 對應(yīng)�����。KDM (及其所包括的密鑰)將存在于間隔412期間�,間隔412在與 KDM的刪除對應(yīng)的事件410處結(jié)束�����。在某些情況下���,受KDM保護的內(nèi)容的 權(quán)限所有者(典型地����,工作室)不想要一旦創(chuàng)建就立即分發(fā)的KDM (事件 412)��。甚至���,權(quán)限所有者將要求延遲制作可訪問的KDM�����,直到與事件414對 應(yīng)的特定稍后的時間�。典型地���,KDM中實施的密鑰在間隔424期間仍然可訪 問�,間隔424在與KDM內(nèi)的密鑰的過期對應(yīng)的事件418結(jié)束。注意�,間隔 422可以超過間隔424,在間隔422期間��,KDM內(nèi)的密鑰存在��,在間隔424 期間�,KDM中的密鑰仍然可訪問。在KDM存在直到刪除(事件428)的同 時��,KDM中的密鑰的過期(事件418 )有效地防止了在該時間之后密鑰訪問��。在時間間隔422內(nèi)����,其它事件典型地出現(xiàn),在時間間隔422期間�����,存在 KDM及其所嵌入的密鑰���。例如��,將出現(xiàn)優(yōu)選的電影院檢索時間(事件430)����。 同樣���,在事件430之后一段時間�����,在間隔422期間也將出現(xiàn)緊急檢索時間(事 件442 )�。以KDM所實施的密鑰在所失見定的時間變?yōu)橛行?事件416 )���,并且在間 隔426期間仍然有效���,間隔426以事件418而過期。注意���,在KDM的創(chuàng)建 (事件412)之后一段時間并且當(dāng)KDM變?yōu)榭稍L問時����,出現(xiàn)KDM內(nèi)的密鑰 變?yōu)橛行?事件416)以允許對已加密的內(nèi)容進行解密的時間�����。在所示的實 施例中,在事件442之后也出現(xiàn)事件416�����。在圖4的所示實施例中�����,保持兩個并列文件等級用于保持在間隔424期 間KDM內(nèi)的密鑰的可訪問性與在間隔422期間KDM中的密鑰的存在性之間 的差異��。當(dāng)首先從密鑰消息生成器110交付密鑰時�����,使用被指定為新的但未 發(fā)放的密鑰的第一等級�。所述第一等級對電影院140仍然不可訪問。當(dāng)在事件414之后權(quán)限所有者許可訪問KDM中的密鑰時��,任意受影響的KDM經(jīng)歷 從第一等級到第二可訪問等級的移動��。優(yōu)選地是����,在優(yōu)選電影院檢索時間(事 件430 )之前,充分地出現(xiàn)KDM的可訪問性�����,在所述優(yōu)選電影院檢索時間(事 件430),電影院管理系統(tǒng)150被安排為在圖2的步驟220發(fā)起密鑰檢索過程 200�。過程200和300的任意先前執(zhí)行將無法檢索尚未進入其可訪問性間隔 424的KDM。如DCI規(guī)范中所提供的那樣�,每一KDM已經(jīng)將分別與圖4中的事件416 和418對應(yīng)的一對日期嵌入在其中,在事件416與418之間����,所許可的KDM 可以對演播進行解密。有效性間隔426運行在這兩個日期之間��。安排的放映 時間(事件440)必須處于有效性間隔426內(nèi)�,以使得演播成功。如果尚未 獲得必須的KDM,則緊急檢索時間(事件442)必須在安排的放映時間(事 件440)之前充分地出現(xiàn)�����。如果尚未獲得必須的KDM,則緊急檢索時間(事 件442 )將觸發(fā)在圖3的步驟350執(zhí)行密鑰檢索過程300���。如果圖2的密鑰檢索過程200無法在優(yōu)選檢索時間(事件430 )獲得所 需KDM,則電影院管理系統(tǒng)150可以通過在緊急;險索時間(事件442)之前 對重新嘗試時間(未示出)進行安排來進行第二嘗試�����。當(dāng)例如WAN接口 172 或密鑰消息分發(fā)器120在優(yōu)選檢索時間(事件430)變?yōu)椴豢捎脮r�����,這種方 法構(gòu)成行動的優(yōu)選進程�����。優(yōu)選地是����,在安排的放映時間(事件440)之前,應(yīng)該充分地出現(xiàn)緊急 檢索時間(事件442 ),從而電影院職員具有足夠的時間來對在圖3的步驟334 所生成的告警進行響應(yīng)�����,并且通過特別手段(例如關(guān)于圖1的遠程終端180 先前所描述的手段或者通過其它手段)來獲得所需的KDM����。在這點上,圖1 的密鑰消息分發(fā)器120應(yīng)該擁有用于^r測失敗的能力����,從而一旦KDM在事 件416變?yōu)橛行В?企索KDM?���?梢酝ㄟ^以下操作而出現(xiàn)這樣的^f企測 一旦 進行每一KDM分發(fā),就進行在圖1的存儲設(shè)備122的登錄�。 一旦出現(xiàn)事件 416��,如果不存在分發(fā)對應(yīng)KDM的記錄�,則存儲設(shè)備122就可以適當(dāng)?shù)挠涗?KDM沖企索失敗,這說明對應(yīng)電影院140對于所生成的KDM尚未適當(dāng)?shù)貙ρ?播進行安排���,并且可能處于遺漏演播放映時間的危險中����。在圖3的步驟334 期間�,這樣的告警優(yōu)選地發(fā)給被告警的同一職員。本領(lǐng)域技術(shù)人員應(yīng)理解�,在此所建議的很多可能的替換實施例不脫離本 發(fā)明的教導(dǎo)。具體地說�,可以采用上述示例中所描述的特定協(xié)議的變化?���?梢赃x擇需要更多安全性或更少安全性的協(xié)議(例如VPN、 SSL、動態(tài)證明等) 或使用不同潛在表示的協(xié)議����。例如,密鑰消息分發(fā)器120可以響應(yīng)于參數(shù)化 的詢問來實現(xiàn)數(shù)據(jù)庫服務(wù)���,而不是實現(xiàn)遠程文件服務(wù)(例如FTP����、 NFS等)�����。 并非在文件系統(tǒng)或數(shù)據(jù)庫中存儲KDM作為離散文件�,而是密鑰消息生成器 IIO可以通過與密鑰消息分發(fā)器120呼應(yīng)而工作來按需生成KDM?��?梢酝ㄟ^ 各種手段(例如壓縮文件�����、或與電影院140關(guān)聯(lián)的子目錄的遞歸拷貝)而出 現(xiàn)適合于電影院140的KDM的整個集合的單個傳送�。
權(quán)利要求
1����、一種在數(shù)字影院演播設(shè)備處的密鑰分發(fā)的方法�����,包括以下步驟在所述數(shù)字影院演播設(shè)備接收至少一個密鑰分發(fā)消息��,所述密鑰分發(fā)消息具有用于對數(shù)字影院演播進行解密的密鑰�����;確定所述數(shù)字影院演播是否具有在與用于對所述演播進行解密的密鑰關(guān)聯(lián)的有效間隔內(nèi)的安排的放映時間,并且如果情況如此�,則路由在所述演播設(shè)備內(nèi)的密鑰分發(fā)消息,以使得能夠在所述數(shù)字影院演播設(shè)備內(nèi)在預(yù)選的屏幕處演播所述數(shù)字影院演播�。
2、 如權(quán)利要求1所述的方法�����,其中���,所述接收步驟進一步包括以下步驟 周期性訪問密鑰分發(fā)消息的存儲設(shè)備�,以檢索所述至少 一個密鑰分發(fā)消息���。
3�����、 如權(quán)利要求2所述的方法�����,進一步地��,其中����,在安排的放映時間之前 出現(xiàn)每一周期性訪問。
4�、 如權(quán)利要求2所述的方法,進一步包括以下步驟將所檢索的所述至 少 一個密鑰分發(fā)消息與至少 一個先前所檢索的密鑰分發(fā)消息結(jié)合����。
5、 如權(quán)利要求4所述的方法��,其中���,所述結(jié)合步驟進一步包括以下步驟 對于有效性��,檢查所述至少一個密鑰分發(fā)消息���;以至少一個先前所檢索的一個密鑰分發(fā)消息來檢查用于復(fù)制的所述至少 一個密鑰分發(fā)消息�����;以及當(dāng)有效并且沒有被復(fù)制時�����,保留所述至少一個密鑰分發(fā)消息���。
6��、 如權(quán)利要求5所述的方法����,進一步包括以下步驟當(dāng)無效或者被復(fù)制 時,丟棄所述至少一個密鑰分發(fā)消息���。
7�、 如權(quán)利要求l所述的方法����,其中�����,所述接收步驟包括以下步驟手動 檢索所述至少一個密鑰分發(fā)消息��。
8�、 一種由數(shù)字影院演播系統(tǒng)所使用的密鑰管理方法�,包括以下步驟 確定用于數(shù)字影院演播的安排的演播時間是否已經(jīng)變得迫近;并且如果情況如此�����,貝'J;檢查所述數(shù)字影院演播系統(tǒng)是否擁有用于對所述數(shù)字影院演播進行解密 的密鑰���,而如果情況并非如此��,則從可用的源荻得用于對所述數(shù)字影院演播進行解密的密鑰����。
9���、 如權(quán)利要求8所述的方法�����,其中��,獲得所述密鑰的步驟進一步包括以下步驟訪問密鑰分發(fā)消息的存儲設(shè)備��,以檢索至少一個密鑰分發(fā)消息���,所 述至少一個密鑰分發(fā)消息包含用于對所述數(shù)字影院演播進行解密的密鑰�。
10����、 如權(quán)利要求9所述的方法,進一步包括以下步驟將所檢索的所述至少一個密鑰分發(fā)消息與至少一個先前所檢索的密鑰分發(fā)消息結(jié)合���。
11�、 如權(quán)利要求所IO述的方法�,其中�����,所述結(jié)合步驟進一步包括以下步驟對于有效性���,檢查所述至少一個密鑰分發(fā)消息��; 以至少一個先前所檢索的一個密鑰分發(fā)消息檢查用于復(fù)制的所述至少一 個密鑰分發(fā)消息��;以及當(dāng)有效并且沒有被復(fù)制時���,保留所述至少一個密鑰分發(fā)消息�。
12���、 如權(quán)利要求11所述的方法���,進一步包括以下步驟當(dāng)無效或被復(fù)制 時,丟棄所述至少一個密鑰分發(fā)消息��。
13��、 如權(quán)利要求8所述的方法���,其中��,獲得所述密鑰的步驟進一步包括 以下步驟從可拆卸介質(zhì)手動檢索包含所述密鑰的密鑰分發(fā)消息����。
14、 如權(quán)利要求8所述的方法�,其中,獲得所述密鑰的步驟進一步包括 以下步驟從遠程終端手動4企索密鑰分發(fā)消息��。
15�、 如權(quán)利要求8所述的方法,進一步包括以下步驟在不能獲得所述 密鑰的事件中生成告警���。
全文摘要
根據(jù)在安排的時間提供自動檢索的檢索過程(200����,300)而出現(xiàn)數(shù)字影院演播設(shè)備(140)內(nèi)的密鑰分發(fā)�。所述過程進一步包括冗余機制,以按不同方式傳送必要密鑰���,以使得電影院職員能夠以各種不同方式獲得所需密鑰���。
文檔編號H04N7/167GK101326824SQ200680045851
公開日2008年12月17日 申請日期2006年9月7日 優(yōu)先權(quán)日2005年12月5日
發(fā)明者威廉·G·雷德曼, 李蘇青, 馬克·L·沃克 申請人:湯姆森特許公司