專利名稱::以隱私保護(hù)的方式記錄廣播數(shù)字內(nèi)容的制作方法以隱私保護(hù)的方式記錄廣播數(shù)字內(nèi)容本發(fā)明涉及一種用于以隱私保護(hù)的方式,即,使得記錄內(nèi)容(或者乃至它的存在)對系統(tǒng)的其他用戶是未知的,在記錄設(shè)備上記錄廣播數(shù)字內(nèi)容的方法。更特別地,本發(fā)明涉及用于在記錄設(shè)備中進(jìn)行廣播內(nèi)容的預(yù)調(diào)度的記錄的方法和設(shè)備,其中,從認(rèn)證用戶接收帶有隱私設(shè)置的所調(diào)度的記錄請求,并確定所述所請求的已調(diào)度的記錄是否與先前的所調(diào)度的記錄沖突。個(gè)性化娛樂的最新進(jìn)展為每個(gè)用戶記錄或收集他的喜愛內(nèi)容,保存他/她的個(gè)性化內(nèi)容收藏,并且以他自己的風(fēng)格進(jìn)行娛樂提供了可能因此,消費(fèi)類電子設(shè)備需要為家庭成員和朋友提供多元的個(gè)性化娛樂環(huán)境。這種環(huán)境帶來了大量的多用戶問題,這些問題涉及適當(dāng)?shù)毓芾砉蚕碓O(shè)備、存儲器、資源和使用方便的個(gè)人用戶交互接口。更進(jìn)一步地,它帶來一些隱私方面的問題,比如在用戶之間以及針對世界其他人的隱私保護(hù)、所有者控制的內(nèi)容共享機(jī)制、從任何地方對內(nèi)容的私有訪問等等。這些重要問題之一是這樣的問題采用具有隱私增強(qiáng)功能的已連接的設(shè)備對廣播內(nèi)容(例如電視)的隱私保護(hù)調(diào)度和記錄。在US6,564,005中描述了為多個(gè)用戶提供記錄能力。典型地,這樣的系統(tǒng)可以包括用于提供自動記錄功能(即允許用戶預(yù)先請求內(nèi)容記錄)的裝置。一個(gè)實(shí)例是廣播TV內(nèi)容的預(yù)設(shè)記錄。記錄設(shè)備(例如連接到TV調(diào)諧器的存儲設(shè)備)典型地具有自動記錄調(diào)度管理系統(tǒng),以確保在記錄之間沒有沖突(例如當(dāng)同時(shí)記錄的數(shù)量超過可用的調(diào)諧器的數(shù)量時(shí),產(chǎn)生這種沖突)。然而,這種管理系統(tǒng)將典型地暴露所調(diào)度的記錄的細(xì)節(jié),從而使得隱私保護(hù)成為不可能。通過完全"隱藏,,所調(diào)度的記錄,另一個(gè)用戶在新的記錄與先前所調(diào)度的(私有)記錄沖突的情況下,不會收到足夠的反饋。確保完全隱私的一個(gè)簡單方法是為該記錄分配最低可能的優(yōu)先級,從而任何其他活動可以覆蓋(override)該私有記錄。這將確保所述私有記錄不會影響任何其他記錄,并且因此它將不會被暴露。另一方面,由于該私有記錄的低優(yōu)先級而導(dǎo)致它冒著不起作用的重大風(fēng)險(xiǎn)。另一個(gè)替代方案是部分地隱藏所述私有記錄,也就是使得所述記錄的所有細(xì)節(jié)不可用,但當(dāng)發(fā)生沖突時(shí)通知用戶。然后,可以對用戶給出選項(xiàng)放棄,或者覆蓋先前所調(diào)度的記錄。然而,這仍將披露記錄已經(jīng)被調(diào)度,并且另一個(gè)用戶很可能監(jiān)視系統(tǒng)(例如調(diào)諧器),從而發(fā)現(xiàn)實(shí)際記錄了什么節(jié)目。因此,最好能允許以隱私保護(hù)的方式實(shí)現(xiàn)內(nèi)容的記錄。更具體地,最好在資源稀缺的系統(tǒng)中處理所調(diào)度的記錄之間的沖突,而不披露關(guān)于該記錄的信息。本發(fā)明的第一方面涉及一種用于在記錄設(shè)備中進(jìn)行廣播內(nèi)容的預(yù)調(diào)度記錄的方法,該方法包括從認(rèn)證用戶接收具有隱私設(shè)置的調(diào)度記錄請求,確定所請求的所調(diào)度記錄與先前所調(diào)度記錄沖突,根據(jù)被發(fā)現(xiàn)為與先前所調(diào)度記錄沖突的所調(diào)度記錄,將請求傳送到至少一個(gè)遠(yuǎn)程接收器,以記錄內(nèi)容,從所述至少一個(gè)記錄設(shè)備接收已記錄的內(nèi)容,存儲已記錄的內(nèi)容,以及基于所述隱私設(shè)置控制對已存儲的內(nèi)容的訪問。根據(jù)這個(gè)方法,記錄設(shè)備的網(wǎng)絡(luò)用于避免沖突。當(dāng)設(shè)備上發(fā)生沖突時(shí),本發(fā)明的目的不是以增加的安全和隱私來處理記錄調(diào)度,而是使得更多的記錄資源可用,從而減小沖突的風(fēng)險(xiǎn)。根據(jù)一個(gè)實(shí)施例,在記錄設(shè)備接收所述已記錄的內(nèi)容之前,將其以中間方式存儲在遠(yuǎn)程接收器上。這提高了靈活性,但需要保持內(nèi)容的隱私,即該設(shè)備是隱私順應(yīng)的,并且對內(nèi)容的訪問被限制為請求記錄的用戶。這可以通過讓所述遠(yuǎn)程接收器初始取得該內(nèi)容的所有權(quán)并防止其他人訪問該內(nèi)容來解決。然后,當(dāng)接收到已記錄的內(nèi)容時(shí),將該所有權(quán)優(yōu)選地轉(zhuǎn)移到所述記錄設(shè)備,并且最后,當(dāng)請求記錄的用戶下次在記錄設(shè)備上認(rèn)證時(shí),將所有權(quán)被轉(zhuǎn)移給這個(gè)用戶??商娲?,當(dāng)用戶在連接到遠(yuǎn)程接收器的所述任意記錄設(shè)備上進(jìn)行認(rèn)證時(shí),將該所有權(quán)從遠(yuǎn)程接收器直接轉(zhuǎn)移至該用戶。根據(jù)另一個(gè)實(shí)施例,在安全信道上將內(nèi)容從遠(yuǎn)程接收器流傳輸?shù)接涗浽O(shè)備,而不經(jīng)中間存儲。這消除了遠(yuǎn)程接收器上的一些安全需求,但是反而需要遠(yuǎn)程接收器和記錄設(shè)備在整個(gè)記錄過程中連接。在這種情況下,所述記錄設(shè)備可以初始取得內(nèi)容所有權(quán)。然后,當(dāng)用戶在該記錄設(shè)備上進(jìn)行認(rèn)證時(shí),可以將該所有權(quán)從遠(yuǎn)程接收器轉(zhuǎn)移至用戶??梢詫⑺鲆延涗浀膬?nèi)容存儲在安全存儲器上,或者由數(shù)字權(quán)限管理系統(tǒng)實(shí)現(xiàn)其訪問控制。根據(jù)進(jìn)一步的實(shí)施例,所述方法包括從所述遠(yuǎn)程接收器接收表示已經(jīng)發(fā)生與所迷記錄請求的沖突的消息,以及響應(yīng)于所述消息,將請求傳送至另外的遠(yuǎn)程接收器,以記錄所述內(nèi)容。這意味著,即使在已經(jīng)請求執(zhí)行記錄的記錄設(shè)備上發(fā)生沖突,記錄設(shè)備也嘗試確保執(zhí)4亍所述記錄??商娲?,所述方法包括從所述遠(yuǎn)程接收器接收表示已經(jīng)將所述記錄請求中繼到另外的遠(yuǎn)程接收器的消息,以及從所述另外的遠(yuǎn)程接收器接收所述內(nèi)容。在這種情況下,所述遠(yuǎn)程接收器將處理中繼,以避免沖突,并確保執(zhí)行所迷記錄。于在記錄期間發(fā)生沖突的情況下,在不同的記錄設(shè)備中部分地記錄所述內(nèi)容是可能的。本發(fā)明的第二方面涉及一種用于進(jìn)行廣播內(nèi)容的預(yù)調(diào)度記錄的i殳備,其包括記錄單元,用于接收廣播內(nèi)容,并且將它存儲在存儲器中;輸入裝置,用于允許用戶調(diào)度記錄和該記錄的隱私設(shè)置;控制單元,適用于確定所調(diào)度記錄與先前所調(diào)度記錄之間沖突;用于根據(jù)被發(fā)現(xiàn)為與先前所調(diào)度記錄沖突的調(diào)度記錄,將請求傳送到至少一個(gè)遠(yuǎn)程接收器以記錄內(nèi)容的裝置;用于從所述至少一個(gè)記錄設(shè)備接收已記錄內(nèi)容,以及基于隱私設(shè)置利用訪問權(quán)限在存儲介質(zhì)上存儲所述已記錄內(nèi)容的裝置。該系統(tǒng)的優(yōu)點(diǎn)與參照本發(fā)明的第一方面所描述的系統(tǒng)相似。本發(fā)明的第三方面涉及一種計(jì)算機(jī)程序產(chǎn)品,其包括用于執(zhí)行根據(jù)本發(fā)明的第一方面的方法的步驟的計(jì)算機(jī)代碼部分?,F(xiàn)在將參照顯示本發(fā)明當(dāng)前優(yōu)選實(shí)施例的附圖更詳細(xì)地描述本發(fā)明的這些和其他方面。圖l是根據(jù)本發(fā)明第一實(shí)施例的記錄設(shè)備的示意性框圖。2更詳細(xì)地顯示了圖1中的物理密鑰和安全子系統(tǒng)。圖3顯示了訪問消息的實(shí)例。圖4是說明適合于本發(fā)明的實(shí)施例中的實(shí)現(xiàn)方式的所有權(quán)轉(zhuǎn)移的過程的實(shí)例的流程圖。圖5是根據(jù)本發(fā)明第二實(shí)施例的方法的流程圖。圖6-圖8顯示如何將所有權(quán)轉(zhuǎn)移到請求記錄的用戶的三個(gè)實(shí)例。將在這里參照處理隱私和訪問權(quán)限(物理密鑰、安全子系統(tǒng)、資產(chǎn)密鑰、訪問消息,等等)的特定方法來描述本發(fā)明的各種實(shí)施例。應(yīng)該注意到,本發(fā)明絕不限于這個(gè)方法。圖1顯示了根據(jù)本發(fā)明的實(shí)施例的記錄設(shè)備1。該記錄設(shè)備裝配有接收器2(例如TV調(diào)諧器)和記錄單元3,接收器2用于接收廣播內(nèi)容,記錄單元3用于在記錄介質(zhì)IO上存儲廣播內(nèi)容。該記錄設(shè)備受控于安全子系統(tǒng)4,用戶可以對安全子系統(tǒng)4進(jìn)行認(rèn)證。在本實(shí)例中,采用物理密鑰5認(rèn)證用戶,物理密鑰5通過安全信道6連接到所述安全子系統(tǒng)。記錄設(shè)備1進(jìn)一步包括用戶接口7,以允許用戶(在他已經(jīng)用其物理密鑰認(rèn)證了他自己之后)調(diào)度私有記錄。為了這個(gè)目的,該用戶可以輸入記錄調(diào)度,其定義了應(yīng)該記錄什么內(nèi)容和已記錄的內(nèi)容的隱私級別。所述安全子系統(tǒng)確保了已定義為私有的已記錄內(nèi)容僅對調(diào)度它的用戶可訪問,并且可能對已從該用戶被授予共享權(quán)限的其他用戶可訪問。在這里,這可以通過實(shí)現(xiàn)合適的數(shù)字權(quán)限管理系統(tǒng)來獲得這種情況。典型地,在所述記錄發(fā)生的時(shí)刻,用戶不在線(即他的物理密鑰不在)。因此,該系統(tǒng)必須能夠?qū)⑺鰞?nèi)容寫到記錄文件并保護(hù)它。存在兩個(gè)選項(xiàng)1)當(dāng)調(diào)度記錄時(shí),用戶創(chuàng)建空記錄文件,并將用于將數(shù)據(jù)寫入這個(gè)文件的權(quán)限授權(quán)給該系統(tǒng)。用戶是該文件的所有者。在這種情況下,因?yàn)樗鱿到y(tǒng)只需要知道文件名、記錄頻道和時(shí)間,所以最大限度地確保了請求創(chuàng)建者的隱私。然而,只有當(dāng)用戶知道將進(jìn)行多少個(gè)記錄時(shí),這個(gè)解決方案才是合適的。例如在記錄連續(xù)劇的情況下,情況可能不是這樣的。2)每次記錄開始時(shí),記錄設(shè)備自主創(chuàng)建新記錄文件,并取得(assume)這個(gè)文件的所有權(quán)。該設(shè)備立刻將訪問權(quán)限授權(quán)給請求創(chuàng)建者,以啟用時(shí)間后移(time-shifting)功能(即在記錄內(nèi)容的同時(shí)查看內(nèi)容,可能有時(shí)延)。當(dāng)該記錄完成時(shí),將所有權(quán)轉(zhuǎn)移至請求創(chuàng)建者,并放棄所有其自身權(quán)限。在現(xiàn)在所描述的實(shí)施例中,將采用第二替代方案,并且將在下面更詳細(xì)地描述用于所有權(quán)轉(zhuǎn)移的協(xié)議?;氐綀Dl,記錄設(shè)備1進(jìn)一步裝配有調(diào)度管理器8,其處理所有調(diào)度的記錄。這個(gè)管理器適用于檢測任何沖突,即當(dāng)同時(shí)調(diào)度不同的源(例如不同的TV臺)的記錄時(shí)。所述記錄設(shè)備進(jìn)一步裝配有接口9,用于與其他記錄設(shè)備101、102、103等進(jìn)行通信,一起形成記錄設(shè)備網(wǎng)絡(luò)。在此網(wǎng)絡(luò)上,各個(gè)記錄設(shè)備中的安全子系統(tǒng)可以通過安全的方式來彼此進(jìn)行通信。在圖2中更詳細(xì)地顯示了所述安全子系統(tǒng)和私鑰。安全子系統(tǒng)4具有加密處理器ll,用于內(nèi)容加密和解密;安全接口12,用于接收物理密鑰;對記錄單元的接口13(用于例如內(nèi)容流傳輸);和存儲器14,例如RAM。物理密鑰5具有消息處理器15和存儲器16(例如閃速存儲器或RAM存儲器),存儲器16包括安全存儲器和主存儲器。在存儲器中存儲了唯一的私鑰-公鑰對。用戶公鑰(PK)當(dāng)然是/^開的,而私鑰(SK,秘密密鑰)存儲在存儲器16的安全部分,并且從不暴露在物理密鑰5外部(物理密鑰順應(yīng)性)。存儲器16的安全部分僅可由處理器15訪問,以用于處理密鑰對和訪問消息。存儲器16的非安全部分對于主要物理密鑰功能(例如認(rèn)證、訪問消息處理,等等)不是必需的,然而,它的用處在于,有用于數(shù)據(jù)(例如訪問消息、其他人的公鑰、使用歷史、以及甚至應(yīng)用數(shù)據(jù)和內(nèi)容)的更多的空間。根據(jù)這個(gè)實(shí)施例,內(nèi)容在兩層保護(hù)模型中受保護(hù)用對稱加密法(即采用加密密鑰或資產(chǎn)(assert)密鑰)對每個(gè)受保護(hù)的內(nèi)容項(xiàng)進(jìn)行加密。資產(chǎn)密鑰被加密,并且被存儲在訪問消息中。訪問消息包括加密內(nèi)容(資產(chǎn))的加密密鑰(資產(chǎn)密鑰)和授權(quán)用戶的訪問權(quán)限,其特別確定了安全子系統(tǒng)4是否應(yīng)該對資產(chǎn)進(jìn)行解密,以便于播放。訪問消息由消息處理器15創(chuàng)建,并且可以根據(jù)訪問消息的目的而存儲在存儲器16、存儲器14或任何其他存儲器中。采用內(nèi)容所有者的私鑰來對訪問消息數(shù)字簽名,從而保證消息完整性(即只有所有者可以創(chuàng)建該消息)。以此方式,只有所有者可以檢查并且修改他已經(jīng)授權(quán)給用戶的權(quán)限。其他用戶使用所有者公鑰通過包括以公鑰加密的資產(chǎn)密鑰和權(quán)限數(shù)據(jù)的訪問消息來與他共享數(shù)據(jù)。所有者還可以采用物理密鑰來調(diào)用共享權(quán)限并且轉(zhuǎn)移所有權(quán)。安全子系統(tǒng)4的存儲器14的安全部分存儲對于這個(gè)設(shè)備唯一的設(shè)備密鑰對(對應(yīng)于物理密鑰中的個(gè)人密鑰對)。所述設(shè)備密鑰對用于設(shè)備認(rèn)證,設(shè)置信道6,以及比如當(dāng)個(gè)人物理密鑰不存在時(shí)所調(diào)度的私有記錄的功月bc安全子系統(tǒng)4和物理密鑰5用于確保所述兩層保護(hù)模型。物理密鑰5連接到接口12,并且安全信道6由處理器15和11采用個(gè)人密鑰對和設(shè)備密鑰對來進(jìn)行初始化。安全子系統(tǒng)4可以采用經(jīng)過安全信道6從物理密鑰5接收的資產(chǎn)密鑰而對來自記錄單元的內(nèi)容進(jìn)行加密或者解密。當(dāng)用戶想要通過終端訪問他的私有內(nèi)容時(shí),需要該用戶的物理密鑰和安全子系統(tǒng)來對他的訪問消息和內(nèi)容進(jìn)行解密。個(gè)人物理密鑰5需要有限的消息處理能力以及對安全子系統(tǒng)的有限的接口吞吐量。安全子系統(tǒng)4可以集成到記錄設(shè)備或其他數(shù)字呈現(xiàn)設(shè)備中。它也可以是用于傳統(tǒng)設(shè)備的便攜式插入設(shè)備。它需要高帶寬加密處理器和接口,以用于AV內(nèi)容。個(gè)人物理密鑰5是防篡改設(shè)備。它可以嵌入到移動設(shè)備(例如鑰匙環(huán)MP3播放器或移動電話)中。它也可以是智能卡設(shè)備,或例如拇指驅(qū)動觸摸(ThumbdriveTouch),其結(jié)合生物特征識別技術(shù)而提供單一便攜式安全存儲介質(zhì)(它防止了用戶的物理密鑰的非授權(quán)使用,并因此也防止了私有密鑰的非授權(quán)使用)。物理密鑰5不僅是用于認(rèn)證的用戶身份;它還是私有權(quán)限管理器,用于個(gè)人在服務(wù)器1上處理他的內(nèi)容。為了保護(hù)作為私有內(nèi)容的明文內(nèi)容(例如已記錄的TV節(jié)目或家庭視頻),用戶將他用于認(rèn)證的物理密鑰插入到記錄設(shè)備,并打開存儲器10中他的/她的私有環(huán)境,并將該內(nèi)容文件存儲在他的私有域。所有者可以通過對內(nèi)容進(jìn)行解密并且將其以明文存儲來公布私有內(nèi)容。在開始公布該內(nèi)容之前,利用所有者的物理密鑰5,記錄設(shè)備l將要求他再次完成認(rèn)證過程(例如采用密碼或生物矩陣)。在公布之后,服務(wù)器清理舊的訪問消息并將該內(nèi)容通知給其他用戶。在用戶的私有環(huán)境中,所有者可以通過選擇一個(gè)用戶或一組用戶將內(nèi)容文件的共享權(quán)限授權(quán)給其他用戶,并且將訪問權(quán)限指定給他們。在圖3中顯示了訪問消息20的實(shí)例,并且該實(shí)例包括消息標(biāo)識符21、用戶ID塊22、所有者ID塊23,兩個(gè)資產(chǎn)塊24a、24b,以及簽名塊25。每個(gè)塊是256字節(jié),這對于2048位加密方式是足夠大的。為一個(gè)用戶創(chuàng)建一個(gè)消息以訪問一個(gè)資產(chǎn)(內(nèi)容)。用戶ID塊22和所有者ID塊23包括用戶公鑰和所有者公鑰。因?yàn)樗麄冊谠摥h(huán)境中是公開信息,所以可以將它們存儲為明文??商娲?,可以對整個(gè)訪問消息進(jìn)行加密,一個(gè)將由具有所有者的公鑰的所有者保存,而另一個(gè)用于具有用戶的公鑰的用戶。這兩個(gè)消息應(yīng)該連接在一起,這需要額外指標(biāo)信息(帶有消息標(biāo)識符、公鑰和資產(chǎn)ID的表),該指標(biāo)信息將幫助系統(tǒng)以高效的方式運(yùn)行。為避免隱私問題,這種指標(biāo)信息應(yīng)該被分開并分發(fā)到用戶物理密鑰之中。兩個(gè)資產(chǎn)塊24a、24b包括關(guān)于資產(chǎn)的相同信息指向內(nèi)容文件的資產(chǎn)ID、用于資產(chǎn)加密的資產(chǎn)密鑰、以及授權(quán)給用戶的資產(chǎn)權(quán)限。以用戶公鑰來對一個(gè)塊進(jìn)行加密,并且因此該塊只對具有用戶的物理密鑰的用戶是可讀的(因?yàn)閷υ搲K進(jìn)行解密所必需的密鑰對中的私鑰在物理密鑰內(nèi)部)。以所有者公鑰來對另一個(gè)塊進(jìn)行加密。當(dāng)所有者想要改變對用戶的消息(例如訪問權(quán)限)時(shí),需要這個(gè)塊。需要簽名塊25以確保沒有其他人可以濫用訪問消息(例如偽造所有權(quán)或?qū)?nèi)容做任何未被所有者授權(quán)的事情)。簽名塊包括其他四個(gè)塊的散列,所述其他四個(gè)塊包括由所有者物理密鑰所創(chuàng)建的加密后的資產(chǎn)塊。所述散列確保所述四個(gè)塊的每一比特的完整性。接著由所有者私鑰對所述簽名塊進(jìn)行加密這樣確保了只有所有者物理密鑰可以創(chuàng)建這個(gè)簽名。任何物理密鑰都可以通過以下步驟來驗(yàn)證所述消息的所有者采用所有者公鑰來對簽名塊進(jìn)行解密,并且對簽名中的散列化處理和由用戶的物理密鑰所創(chuàng)建的散列進(jìn)行比較。所有者使用相同的訪問消息機(jī)制來訪問他的內(nèi)容。在這種情況下,該消息在資產(chǎn)塊中具有完全訪問權(quán)限,并且用戶ID塊和所有者ID塊是相同的。使用圖4和表1示出的協(xié)議可以實(shí)現(xiàn)對兩個(gè)實(shí)體之間(例如設(shè)備B和設(shè)備A之間,或設(shè)備A和認(rèn)證用戶之間)的所有權(quán)的轉(zhuǎn)移。表1步驟41創(chuàng)建特定訪問消息步驟43檢查提議步驟44創(chuàng)建所有權(quán)訪問消息步驟45創(chuàng)建清理訪問消息步驟47移除舊的訪問消息步驟48發(fā)送確認(rèn)消息首先,在步驟41中,當(dāng)前所有者(第一實(shí)體,例如設(shè)備B)創(chuàng)建帶有"所有權(quán)接管"的特定訪問消息,并將這個(gè)訪問消息發(fā)送到預(yù)期的新所有者(第二實(shí)體,例如設(shè)備A或用戶)(箭頭42)。當(dāng)接收實(shí)體的安全環(huán)境(例如安全子系統(tǒng)或物理密鑰)接收到所述特定訪問消息時(shí),該實(shí)體的安全環(huán)境檢查所有權(quán)轉(zhuǎn)移提議(offer)(步驟43)。例如,所有者可以發(fā)送公鑰的密鑰證書,以使得能夠進(jìn)行這個(gè)檢查。然后,在步驟44中,新的所有者的安全環(huán)境(例如安全子系統(tǒng)或物理密鑰)使用特定訪問消息創(chuàng)建新的所有權(quán)訪問消息。所述新所有者(第二用戶)優(yōu)選地改變資產(chǎn)密鑰并且對內(nèi)容進(jìn)行重新加密,以保證完全所有權(quán)接管。在示出的實(shí)例中,在步驟45中,新所有者(例如設(shè)備A)創(chuàng)建發(fā)送到舊所有者的清理消息(箭頭46)。舊所有者(例如設(shè)備B)在步驟47中移除任何所有權(quán)訪問消息,并將確認(rèn)(步驟48)發(fā)送到新所有者。以此方式,以安全方式來轉(zhuǎn)移所有權(quán)。在圖1中,現(xiàn)在將參照圖5和表2來描述圖1中的記錄設(shè)備的使用。表2<table>tableseeoriginaldocumentpage12</column></row><table>步驟S5在這個(gè)設(shè)備上調(diào)度記錄步驟S6接收記錄步驟S7用戶取得所有權(quán)首先,用戶利用其私鑰來認(rèn)證記錄設(shè)備l(步驟l),并輸入所請求的記錄調(diào)度和隱私設(shè)置(步驟S2)。如上所述,為了不向其他用戶暴露私有記錄的存在,私有記錄應(yīng)該具有最低可能的優(yōu)先級。然后,調(diào)度管理器(步驟S3)檢測這個(gè)所請求的記錄和(具有各種程度的隱私的)先前所調(diào)度的記錄之間的任何沖突。當(dāng)該調(diào)度管理器(當(dāng)剛剛輸入請求時(shí),或者在稍后的指示時(shí)間)檢測到?jīng)_突時(shí),在步驟S4中,安全子系統(tǒng)4經(jīng)接口9聯(lián)系其他所連接的記錄設(shè)備101、102.......的安全子系統(tǒng),以調(diào)查是否有任何一個(gè)記錄設(shè)備可以影響記錄。如果發(fā)現(xiàn)這樣的可用記錄設(shè)備101,則以這個(gè)設(shè)備101的調(diào)度管理器來調(diào)度該記錄(步驟S5)。在記錄期間通過在安全信道上流傳輸所調(diào)度的記錄,或者在記錄已經(jīng)完成之后,由記錄設(shè)備1來接收并且存儲所調(diào)度的記錄(步驟S6)。在第一種情況下,設(shè)備1和設(shè)備101必須在整個(gè)記錄過程中連接。在后一種情況下,一旦這兩個(gè)設(shè)備同時(shí)連接到所述網(wǎng)絡(luò),就可以接收內(nèi)容。最后,用戶獲得對內(nèi)容的訪問,并且取得下次他/她對記錄設(shè)備1認(rèn)證的內(nèi)容所有權(quán)(步驟S7)。為了保護(hù)內(nèi)容隱私,將內(nèi)容所有權(quán)的安全處理從創(chuàng)建記錄(101或1)的設(shè)備提供給用戶(即物理密鑰)是重要的。將在下面給出一些可以如何實(shí)現(xiàn)該操作的實(shí)例。稍后在已經(jīng)調(diào)度記錄的設(shè)備上有可能發(fā)生沖突。然后,這個(gè)設(shè)備可以聯(lián)系請求設(shè)備并取消記錄,在此情況下,請求設(shè)備可以嘗試找尋另一個(gè)可用的記錄設(shè)備,以調(diào)度記錄。可替代地,已經(jīng)接受調(diào)度記錄的設(shè)備可以自己嘗試找尋另一個(gè)可用記錄設(shè)備。如果成功,則它通知原始設(shè)備轉(zhuǎn)移。以此方式,甚至當(dāng)私有記錄具有最小的記錄優(yōu)先級時(shí)(完全隱藏對私有記錄的請求)時(shí),取消調(diào)度私有記錄的概率也會遠(yuǎn)遠(yuǎn)小于單機(jī)設(shè)備的情況。另一種情況是在記錄期間在記錄設(shè)備1上發(fā)生沖突。在這種情況下,雖然已經(jīng)在設(shè)備上記錄了部分內(nèi)容,但是該設(shè)備可以使用上述過程要求另一個(gè)設(shè)備101記錄余下的內(nèi)容,作為記錄的下一部分(例如作為部分2或部分3)。為了避免間隔,在該設(shè)備切換為記錄與私有調(diào)度的記錄沖突的源(例如TV臺)之前,它可以繼續(xù)記錄若干秒。其他設(shè)備101以與以上描述相同的方法采用請求中的部分號來記錄余下的內(nèi)容。在沖突也在設(shè)備101中發(fā)生的情況下,可以將請求發(fā)送到具有與它自己的部分號相鄰的新部分號(例如3)的另一個(gè)自由設(shè)備102,等等。在對幾個(gè)不同設(shè)備執(zhí)行完整記錄之后,認(rèn)證用戶(他的物理密鑰)可以采用上面描述的所有權(quán)協(xié)議的轉(zhuǎn)移來取得每個(gè)已記錄的部分的所有權(quán)。該用戶可以選擇為讓設(shè)備將部分組合為一個(gè)項(xiàng),或按列表來對它們進(jìn)行編組。接著,所述內(nèi)容可以作為一個(gè)整體而播放。在沒有發(fā)現(xiàn)對于完成記錄可用的設(shè)備的情況下,可以取消私有記錄請求和部分已記錄內(nèi)容,或者稍后連同相同內(nèi)容的下次廣播一起存儲??商娲?,當(dāng)然,有沖突的記錄設(shè)備可以繼續(xù)記錄并且使用可用記錄設(shè)備來解決創(chuàng)建該沖突的請求。如上所述,必須將已記錄內(nèi)容的所有權(quán)從創(chuàng)建內(nèi)容(即存儲記錄)的設(shè)備轉(zhuǎn)移到請求記錄的用戶(即他的物理密鑰5)。這個(gè)過程將在下面描述,其中,假設(shè)使用上面描述的協(xié)議。當(dāng)然,可以使用具有滿意的安全性的任何其他所有權(quán)轉(zhuǎn)移協(xié)議。根據(jù)第一實(shí)施例,所有權(quán)的直接轉(zhuǎn)移在實(shí)際上記錄內(nèi)容的設(shè)備和(使用其物理密鑰)請求記錄的用戶之間實(shí)現(xiàn)。參照圖6,用戶(以他的物理密鑰5)與設(shè)備A進(jìn)行認(rèn)證(箭頭61),并請求私有記錄。設(shè)備A具有沖突情況,并且找尋可以進(jìn)行記錄的連網(wǎng)設(shè)備B。設(shè)備A發(fā)送請求(箭頭62),其包括用戶ID(請求該私有記錄的人的公鑰)、其設(shè)備ID、關(guān)于節(jié)目的細(xì)節(jié)(包括頻道、標(biāo)題、來自EPG的ID,等等)、時(shí)間(開始時(shí)間和持續(xù)時(shí)間)、以及該請求的隱私級別(例如完全隱藏)。設(shè)備B記錄內(nèi)容,并且取得該內(nèi)容的所有權(quán)。然后它將確認(rèn)消息發(fā)送回到設(shè)備A(箭頭63)。下一次用戶對設(shè)備A認(rèn)證(箭頭64)(或者如果用戶仍然在線(已認(rèn)證),則立刻對設(shè)備A認(rèn)證)時(shí),提示設(shè)備B,并且在用戶(他的物理密鑰5)和設(shè)備B之間發(fā)生所有權(quán)協(xié)議的轉(zhuǎn)移(箭頭65)。這個(gè)實(shí)施例的變型是讓設(shè)備B向所有連網(wǎng)的設(shè)備廣播所述確認(rèn)信息。從而當(dāng)用戶對這些設(shè)備中任何一個(gè)進(jìn)行認(rèn)證時(shí),可以發(fā)生所有權(quán)轉(zhuǎn)移。而另一個(gè)變型是在用戶的調(diào)度請求中,用戶指定他想要從哪個(gè)設(shè)備恢復(fù)已記錄內(nèi)容的所有權(quán)。當(dāng)原始設(shè)備實(shí)際用于進(jìn)行該記錄時(shí),這種過程當(dāng)然也應(yīng)該是可用的。直接轉(zhuǎn)移所有權(quán)的缺陷是只有當(dāng)設(shè)備B可用(在線)時(shí)才發(fā)生轉(zhuǎn)移。在圖7示出的第二實(shí)施例中,所有權(quán)轉(zhuǎn)移在設(shè)備A和設(shè)備B之間實(shí)現(xiàn),然后到達(dá)用戶(物理密鑰5)。這個(gè)初始過程與圖6的相同(箭頭71和72對應(yīng)于箭頭61和62),并且設(shè)備B再次記錄并且取得內(nèi)容所有權(quán)。然而,在記錄完成之后,設(shè)備B聯(lián)系設(shè)備A,并且立刻將所有權(quán)轉(zhuǎn)移至設(shè)備A(箭頭73)。如果設(shè)備A不在線,則轉(zhuǎn)移將發(fā)生在下一次設(shè)備A和B同時(shí)在線時(shí)。下一次用戶對設(shè)備A進(jìn)行認(rèn)證(箭頭74)(或者如果用戶仍然在線(已認(rèn)證),則立刻對設(shè)備A進(jìn)行認(rèn)證)時(shí),在用戶(他的物理密鑰5)和設(shè)備A之間發(fā)生所有權(quán)協(xié)議的轉(zhuǎn)移(箭頭75)。在這個(gè)實(shí)施例的變型中,設(shè)備B可以將所有權(quán)轉(zhuǎn)移到(例如由用戶在對私有節(jié)目記錄的請求中所定義的)一組設(shè)備,從而他可以采用那些所定義的設(shè)備中的任何一個(gè)來取得所有權(quán)。該第二實(shí)施例更加靈活,并且允許兩個(gè)設(shè)備時(shí)常離線。在圖8顯示的第三實(shí)施例中,初始過程再次與圖6相同(箭頭81和82對應(yīng)于箭頭61和62)。然而這次,設(shè)備B從不取得內(nèi)容所有權(quán)。反之,設(shè)備B只用作調(diào)諧器,并且內(nèi)容在安全信道(在它們各自的安全子系統(tǒng)之間)上被流傳輸?shù)皆O(shè)備A(箭頭83),而設(shè)備A記錄并且取得內(nèi)容所有權(quán)。然后,像第二實(shí)施例一樣,當(dāng)用戶對設(shè)備A進(jìn)行認(rèn)證(箭頭84和85)時(shí),可以將該所有權(quán)轉(zhuǎn)移給他(他的物理密鑰5這個(gè)解決方案要求在整個(gè)記錄過程期間兩個(gè)設(shè)備都在線,并且此外,設(shè)備A(其被執(zhí)行沖突記錄所占用)必須能夠處理多個(gè)流的存儲。這里討論的實(shí)施例所描述的功能可以通過記錄設(shè)備和/或任何個(gè)人安全設(shè)備(例如物理密鑰)上的合適的軟件來實(shí)現(xiàn)。然而,應(yīng)該注意到,反之,可以使用硬件(例如物理密鑰中的專用電路)來實(shí)現(xiàn)部分功能或組合。本領(lǐng)域的技術(shù)人員意識到本發(fā)明決不限于上面描述的優(yōu)選實(shí)施例。相反,所附權(quán)利要求范圍之內(nèi)的許多修正和改變是可能的。例如,其他協(xié)議可以用于在所記錄的內(nèi)容的創(chuàng)建者和請求記錄的用戶之間的所有權(quán)轉(zhuǎn)移起作用。當(dāng)解釋本說明書及其相關(guān)權(quán)利要求時(shí),應(yīng)以非排除性的方式來理解例如"包括,,、"包含"、"合并"、"是"和"具有"的表述,即將其應(yīng)理解為允許沒有明確定義為出現(xiàn)的其他的項(xiàng)和組件。對單數(shù)的引用也可應(yīng)理解為對復(fù)數(shù)的引用,反之亦然。當(dāng)數(shù)據(jù)被稱作視聽數(shù)據(jù)時(shí),它可以只表示音頻、視頻或靜止圖片或其組合,除非在本實(shí)施例的描述中以其它方式來特定地表示。更進(jìn)一步地,本發(fā)明也可以用比這里所描述的實(shí)施例中所提供的組件更少的組件來實(shí)施,其中,一個(gè)組件進(jìn)行多個(gè)功能。同樣,本發(fā)明也可以采用比圖1描述的更多的元件來實(shí)施,其中,由所提供的實(shí)施例中的一個(gè)組件所進(jìn)行的功能分布在多個(gè)組件上。規(guī)定權(quán)利要求中的標(biāo)號不是限定權(quán)利要求的范圍,而是僅僅被插入以增強(qiáng)權(quán)利要求的可讀性。權(quán)利要求1.一種用于在記錄設(shè)備中進(jìn)行廣播內(nèi)容的預(yù)調(diào)度記錄的方法,包括-從認(rèn)證用戶接收(步驟S2)帶有隱私設(shè)置的所調(diào)度記錄請求,-確定(步驟S3)所述請求的所調(diào)度記錄與先前所調(diào)度記錄沖突,進(jìn)一步包括根據(jù)被發(fā)現(xiàn)為與先前所調(diào)度記錄沖突的所調(diào)度記錄,將請求傳送(步驟S5)到遠(yuǎn)程接收器,以記錄內(nèi)容,從所述遠(yuǎn)程接收器接收(步驟S6)所述已記錄的內(nèi)容,存儲所述的已記錄的內(nèi)容,并且基于所述隱私設(shè)置控制對已存儲的內(nèi)容的訪問2.根據(jù)權(quán)利要求1的方法,其中,在由所述記錄設(shè)備接收所述已記錄的內(nèi)容之前,將其以中間方式存儲在所述遠(yuǎn)程接收器上。3.根據(jù)權(quán)利要求2的方法,其中,所述已記錄的內(nèi)容的所有者最初是遠(yuǎn)程接收器。4.根據(jù)權(quán)利要求3的方法,其中,當(dāng)由所述記錄設(shè)備接收所述內(nèi)容時(shí),將內(nèi)容所有權(quán)從所述遠(yuǎn)程接收器轉(zhuǎn)移到所述記錄設(shè)備。5.根據(jù)權(quán)利要求4的方法,其中,當(dāng)所述用戶在所述記錄設(shè)備上進(jìn)行認(rèn)證時(shí),將內(nèi)容所有權(quán)從所述記錄設(shè)備轉(zhuǎn)移到所述用戶。6.根據(jù)權(quán)利要求3的方法,其中,當(dāng)所述用戶在連接到遠(yuǎn)程接收器的任何記錄設(shè)備上認(rèn)證時(shí),將內(nèi)容所有權(quán)從所述遠(yuǎn)程接收器轉(zhuǎn)移到所述用戶。7.根據(jù)權(quán)利要求1的方法,其中,在安全信道上將所述內(nèi)容不經(jīng)中間存儲地流傳送至所述記錄設(shè)備。8.根據(jù)權(quán)利要求7的方法,其中,所述已記錄的內(nèi)容的所有者最初是記錄設(shè)備。9.根據(jù)權(quán)利要求8的方法,其中,當(dāng)所述用戶在所述記錄設(shè)備上進(jìn)行認(rèn)證時(shí),將內(nèi)容所有權(quán)從所述記錄設(shè)備轉(zhuǎn)移到所述用戶。10.根據(jù)權(quán)利要求1的方法,進(jìn)一步包括從所述遠(yuǎn)程接收器接收指示已發(fā)生與所述記錄請求的沖突的消息,和響應(yīng)于所述消息,將請求傳送到另外的遠(yuǎn)程接收器,以記錄所述內(nèi)容。11.根據(jù)權(quán)利要求1的方法,進(jìn)一步包括從所述遠(yuǎn)程據(jù)接收器接收指示已經(jīng)將所述記錄請求中繼到另外的遠(yuǎn)程接收器的消息,和從所述另外的遠(yuǎn)程接收器接收所述內(nèi)容。12.根據(jù)權(quán)利要求10或11的方法,其中,將所述內(nèi)容部分地記錄在所述遠(yuǎn)程接收器上,部分地記錄在所述另外的遠(yuǎn)程接收器上。13.根據(jù)權(quán)利要求l-ll中任意一項(xiàng)的方法,其中,將所述已記錄的內(nèi)容存儲在安全存儲器中。14.根據(jù)權(quán)利要求1-11中任意一項(xiàng)的方法,其中,由數(shù)字權(quán)限管理系統(tǒng)來管制對所存儲的內(nèi)容的訪問。15.—種用于進(jìn)行廣播內(nèi)容的預(yù)調(diào)度記錄的設(shè)備,包括-記錄單元(2,3),用于接收廣播內(nèi)容,并且將其存儲在存儲介質(zhì)(10)上,-輸入裝置(7),用于允許用戶調(diào)度記錄和所述記錄的隱私設(shè)置,-控制單元(8),其適用于確定所述已調(diào)度記錄與先前所調(diào)度記錄沖突,進(jìn)一步包括用于根據(jù)被發(fā)現(xiàn)為與先前所調(diào)度記錄沖突的所調(diào)度記錄,將請求傳送到遠(yuǎn)程接收器(101)以記錄內(nèi)容的裝置(9),用于基于所述隱私設(shè)置利用訪問權(quán)限從所述至少一個(gè)記錄設(shè)備接收所述已記錄的內(nèi)容,并將其存儲在所述存儲介質(zhì)(10)上的裝置(9,3)。16.根據(jù)權(quán)利要求15的設(shè)備,進(jìn)一步包括用于建立與個(gè)人安全設(shè)備聯(lián)系以允許用戶對所述記錄設(shè)備進(jìn)行認(rèn)證的裝置(12)。17.根據(jù)權(quán)利要求15或16的設(shè)備,其中,所述存儲器是安全存儲器。18.根據(jù)權(quán)利要求15或16的設(shè)備,其中,由數(shù)字權(quán)限管理系統(tǒng)來管制對所存儲的內(nèi)容的訪問。19.根據(jù)權(quán)利要求15的設(shè)備,其中,所述傳送裝置(9)進(jìn)一步適用于從所述遠(yuǎn)程接收器(101)接收指示已經(jīng)發(fā)生與所述記錄請求的沖突的消息,并且響應(yīng)于所述消息,將請求傳送到另外的遠(yuǎn)程接收器,以記錄所述內(nèi)容。20.根據(jù)權(quán)利要求15的設(shè)備,其中,所述傳送裝置(9)進(jìn)一步適用于從所述遠(yuǎn)程接收器(101)接收指示已經(jīng)將所述記錄請求中繼到另外的遠(yuǎn)程接收器(102)的消息,并且從所述另外的遠(yuǎn)程接收器接收所述內(nèi)容。21.—種計(jì)算機(jī)程序產(chǎn)品,包括當(dāng)在計(jì)算機(jī)上執(zhí)行所述程序產(chǎn)品時(shí),用于執(zhí)行根據(jù)權(quán)利要求1-14之一所述的方法的步驟的計(jì)算機(jī)代碼部分。22.根據(jù)權(quán)利要求21的計(jì)算機(jī)程序產(chǎn)品,其被存儲在計(jì)算機(jī)可讀介質(zhì)中。全文摘要一種用于在記錄設(shè)備中進(jìn)行廣播內(nèi)容的預(yù)調(diào)度的記錄的方法和設(shè)備,包括從授權(quán)用接收(步驟S2)帶有隱私設(shè)置的調(diào)度記錄請求,確定(步驟S3)所述請求的所調(diào)度的記錄與先前所調(diào)度的記錄沖突,根據(jù)被發(fā)現(xiàn)為與先前所調(diào)度的記錄沖突的所調(diào)度的記錄,將請求傳送(步驟S5)到遠(yuǎn)程接收器,以記錄內(nèi)容,從所述遠(yuǎn)程接收器接收(步驟S6)所述已記錄的內(nèi)容,存儲所述的已記錄的內(nèi)容,并且基于所述隱私設(shè)置控制對已存儲的內(nèi)容的訪問。根據(jù)本發(fā)明,一種記錄設(shè)備的網(wǎng)絡(luò)用于避免沖突。當(dāng)在設(shè)備上出現(xiàn)沖突時(shí),本發(fā)明的目的不是以增加的安全和隱私來處理記錄調(diào)度,而是使更多的記錄資源可用,從而減小沖突的風(fēng)險(xiǎn)。文檔編號H04N7/173GK101395915SQ200780007690公開日2009年3月25日申請日期2007年2月23日優(yōu)先權(quán)日2006年3月3日發(fā)明者A·M·A·里克卡爾特,H·李,M·佩特科維克申請人:皇家飛利浦電子股份有限公司