專利名稱:用于調(diào)節(jié)解密密鑰的方法和裝置的制作方法
技術(shù)領域:
本發(fā)明涉及用于解密內(nèi)容的密鑰,所述內(nèi)容諸如數(shù)字電影呈現(xiàn)
(presentation )。
背景技術(shù):
當今,越來越多的電影院現(xiàn)在以數(shù)字形式而非模擬形式(例如膠片)放 映(display)內(nèi)容。展播會場(例如電影院)中的典型的數(shù)字電影系統(tǒng)包括 媒體塊,其用于為了后續(xù)的放映而解密數(shù)字電影內(nèi)容。媒體塊使用與內(nèi)容相 關(guān)聯(lián)的解密密鑰來執(zhí)行解密。電影和電視工程師協(xié)會(SMPTE)發(fā)布了標準 430-1 Digital Cinema Operation Key Distribution Message ( KDM ),戶斤述才示;# 描述充當用于解密以前被加密的數(shù)字電影內(nèi)容的密鑰的KDM消息。KDM
隔 (validity interval ), 為 了 在 ContentKeysNotValidBefore 和 ContentKeysNotValidAfter元素中的非才又威(non-authoritative )人類可讀性而 重復所述NotValidBefore和NotValidAfter字^殳的條目。
媒體塊包括在制造時所設置的安全時鐘(Secure Clock )。安全時鐘不應 漂移多于每年5分鐘,這是當前所允許的閾值。媒體塊的安全時鐘充當用于 評估密鑰相對它們的有效性間隔的可用性的機制。如果由媒體塊中的安全時 鐘所決定的當前時間和日期處于密鑰的有效性間隔之外,那么々某體塊將拒絕 使用該密鑰來解密內(nèi)容。(只要有效性間隔保持在當前,即該間隔與當前時 間重疊,則媒體塊可以使用另一密鑰來解密相同的內(nèi)容,即使該密鑰具有不 同的有效性間隔。)
在接近密鑰的有效性間隔的開始和結(jié)束的時刻,安全時鐘的精確度變得 至關(guān)重要。如果在制造之后的數(shù)年安全時鐘漂移了十五或二十分鐘,那么媒
假定電影院具有在午夜的特定的數(shù)字電影呈現(xiàn)的預先安排的放映,并且擁有 其有效性緊接在該時間之后過期的密鑰。因而,被安排在12:01 AM開始的放映即使具有十或十五分鐘的預告片,也可能在12:15 AM不能經(jīng)歷放映完 成(playout),其干擾了預先安排的表演。
因而,存在對適應媒體塊中的安全時鐘的漂移的技術(shù)的需要。
發(fā)明內(nèi)容
筒要地,根據(jù)本原理的優(yōu)選實施例,提供了一種用于適應數(shù)字電影系統(tǒng) 中的媒體塊的安全時鐘中的漂移的方法。該方法包括根據(jù)安全時間值和當前 時間值之間的時間差來調(diào)節(jié)用于解密內(nèi)容的密鑰的有效性間隔的步驟。
圖1描繪了用于實踐本原理的密鑰調(diào)節(jié)技術(shù)的數(shù)字電影系統(tǒng)的示意框 圖;以及
圖2描繪了根據(jù)本原理的示例實施例的用于調(diào)節(jié)密鑰的有效性間隔的方法。
具體實施例方式
圖1描繪了具有典型地在電影院或相似的展播設施中存在的類型的數(shù)字 電影系統(tǒng)100的示例實施例,所述電影院或相似的展4番設施用于呈現(xiàn)原始地 以數(shù)字形式接收的內(nèi)容(例如電影)。在實踐中,數(shù)字電影系統(tǒng)100包括屏 幕服務器(Screen Server )110,其接收和解密加密內(nèi)容,以用于通過鏈路122 傳遞而由投影儀120接收,所述投影儀120用于在屏幕(未示出)上顯示解 密后的內(nèi)容。屏幕服務器110包括媒體塊112和安全時鐘114。媒體塊112 使用在下文中所描述的密鑰來以眾所周知的方式執(zhí)行內(nèi)容解密。為了該原 因,媒體塊112是安全的和防篡改的。如在下文中更詳細地描述的那樣,安 全時鐘114向媒體塊112提供用于與內(nèi)容解密相聯(lián)系的時間和日期信息。優(yōu) 選地,屏幕服務器110具有控制面板124,其使手動操作便利??梢酝ㄟ^電 影院管理系統(tǒng)(TMS)或通過網(wǎng)絡操作中心(NOC)(未示出)遠程地發(fā)生 屏幕服務器110的控制。
屏幕服務器110從數(shù)據(jù)庫116訪問加密內(nèi)容,所述數(shù)據(jù)庫116可以存在 于屏幕服務器的內(nèi)部、或如圖l所示存在于其外部。如果投影儀120和媒體 塊112不一起位于安全外殼(未示出)內(nèi),則鏈路112將典型地使用在投影儀和媒體塊之間所協(xié)商的獨立的加密技術(shù),以減少數(shù)字內(nèi)容被數(shù)字地復制的 風險。
密鑰生成器150生成由媒體塊112所使用的密鑰,所述密鑰對于響應由 訂單輸入(Order Entry)設備156生成的訂單輸入來呈現(xiàn)加密內(nèi)容116來說 是必要的,所述訂單輸入設備156可以采取人類操作的終端的形式或自動訂 單收集和生成系統(tǒng)的形式。在實踐中,密鑰生成器150不位于展播會場處。 由密鑰生成器150所接收的訂單輸入典型地具有展播電影院的當?shù)貢r間中所 指定的有效性間隔,所述有效性間隔定義何時密鑰變?yōu)橛行б约昂螘r密鑰過 期。 一般地,密鑰生成器150生成以格林威治標準時間(GMT)來表示其有 效性間隔的密鑰。為了保證從訂單輸入中所包含的當?shù)卣共r間的恰當偏 移,密鑰生成器150典型地在連接152上訪問屏幕服務器數(shù)據(jù)庫132以決定 與目標展播電影院相關(guān)聯(lián)的時區(qū)偏移,所述連接152優(yōu)選地是安全的。
為了由i某體塊112進行的接收而從密鑰生成器150向屏幕服務器110進 行的密鑰的傳遞在傳遞信道154上發(fā)生。傳遞信道154可以采取若干不同形 式中的一種。在實踐中,傳遞信道154可以包括有線鏈路(包括但不限于金 屬和/光纖導體)和/或無線鏈路。傳遞信道154還可以包括用于傳遞一個或 多個被物理地運輸?shù)秸共ル娪霸旱陌荑€的存儲器的共用載體。電影院管 理系統(tǒng)(未示出)可以包括密鑰傳遞信道154的部分。優(yōu)選地,密鑰傳遞信 道154包括橫穿因特網(wǎng)140或替代通信信道(未示出)的網(wǎng)絡連接。優(yōu)選地, 這樣的網(wǎng)絡連接采取密鑰生成器150和展播電影院之間的虛擬專網(wǎng)(VPN) 的形式?;蛘撸瑹o論傳遞方法為何,電影院管理系統(tǒng)可以充當密鑰的傳遞和 屏幕服務器110之間的中間物。
根據(jù)本原理的示例實施例,安全時鐘監(jiān)視器130經(jīng)由時鐘監(jiān)視器信道 134來監(jiān)視安全時鐘114。如同密鑰傳遞信道154那樣,時鐘監(jiān)視器信道134 優(yōu)選地包括可以穿過電影院管理系統(tǒng)以將關(guān)于安全時鐘114的信息中繼至安 全時鐘監(jiān)視器130的網(wǎng)絡連接。安全時鐘監(jiān)視器130將安全時鐘114的時間 值與由參考時鐘142提供的時間值比較。代替監(jiān)視參考時鐘142的安全時鐘 監(jiān)視器130、或除了該安全時鐘監(jiān)視器130之外,安全時鐘114、屏幕服務 器110和/或電影院管理系統(tǒng)(未示出)可以執(zhí)行這樣的監(jiān)視。
參考時鐘142可以包括多個同步化的時鐘,而非單個時鐘。在網(wǎng)絡時間 協(xié)議(NTP)被用作參考時鐘142的代理時,可以使用.NTP提供本地時鐘(未
6的訪問典型地經(jīng)由連接144通過因特網(wǎng)140而存在。本領域技術(shù)人員將認識到,與參考時鐘(例如通過NTP)維持同步的本地時鐘可以充當將安全時鐘114與參考時鐘142進行比較的基礎。安全時鐘監(jiān)視器130在鏈路136上將這樣的比較的結(jié)果傳輸至屏幕服務器數(shù)據(jù)庫132,以便存儲。
安全時鐘監(jiān)視器130優(yōu)選地通過讀取所存儲的、關(guān)于安全時鐘114的先前所監(jiān)視的值的信息,來限制被輸入至屏幕服務器數(shù)據(jù)庫132的值。這樣的
時鐘的上次更新以來的預定的相等漂移率的限制。例如,假定所預期的最大漂移率R將不超過每年300秒(五分鐘),而策略(policy ) P允許將安全時鐘以多至預期最大漂移率的200%來重設。那么,如果自從上次更新以來的時間T為一年的1/12 (—個月),則安全時鐘114的當前偏移的最大可允許改變不應超過由R*P*T=300*2.0*1/12等于50秒給定的值。違反限制規(guī)則的嘗試優(yōu)選地引起警告,操作者可以無視(override)所述警告,但警告的記錄將保持。
安全時鐘監(jiān)視器130還優(yōu)選地跟蹤對于媒體塊112或安全時鐘114來說唯一的標識符,所述標識符例如為密文證書。以此方式,在服務器110或媒體塊112的替換時,安全時鐘監(jiān)視器130可以檢測不同的安全時鐘114的存在,以及在數(shù)字電影系統(tǒng)100中可能適用關(guān)于改變該時鐘的偏移的不同的規(guī)則。
優(yōu)選地,在使用安全的簡單網(wǎng)絡管理協(xié)議第3版(SNMPv3)的網(wǎng)絡連接上發(fā)生由安全時鐘監(jiān)視器130進行的安全時鐘114的監(jiān)視。使用該協(xié)議允許媒體塊112或安全時鐘114驗證對關(guān)于當前時間的詢問的響應。但是,本領域技術(shù)人員將認識到,存在提供被驗證的通信的許多其他協(xié)議,所述被驗證的通信適用于保證安全時鐘提供所報告的時間。或者,如果來自安全時鐘114的對當前時間的響應缺少驗證,但以前的、被信任的結(jié)果存在于屏幕服
前提下,未被驗證的報告可以用于更新屏幕服務器數(shù)據(jù)庫,所述規(guī)則和策略諸如上面所給出的例子。
在特別適用于數(shù)字電影系統(tǒng)100缺少與因特網(wǎng)140或其他通信網(wǎng)絡的連接的情況的另一實施例中,時鐘監(jiān)視器信道134可以包括人類操作員,其詢問安全時鐘114并且將其值報告至安全時鐘監(jiān)視器130、或具有接口 (未示出)以及對安全時鐘監(jiān)視器的訪問能力的遠程操作員。如前面那樣,只要以前的、被信任的結(jié)果存在于屏幕服務器數(shù)據(jù)庫132中,那么在報告不違反用于更新的任何規(guī)則或策略的前提下,手動地提供的報告可以用于更新屏幕服務器數(shù)據(jù)庫。優(yōu)選地,安全時鐘114例如可以向控制面板124提供簡潔的、人類可讀的報告,所述報告包括并入了關(guān)于當前讀取值(reading)和媒體塊112或安全時鐘114標識兩者的信息的校驗和(checksum ),以提供對通過控制面板124錯誤地輸入的或錯誤地分配的條目的檢測能力。注意通過控制面板124向安全時鐘監(jiān)視器130提供的手動更新很可能將具有比自動地收集的讀取值更差的精確度。相比用于自動讀取的規(guī)則,存在用于這樣的較低精確度讀取的不同的規(guī)則。
在替代的實施例(未示出)中,電影院管理系統(tǒng)可以具有管理多個數(shù)字電影系統(tǒng)的責任,所述多個數(shù)字電影系統(tǒng)例如為在單個展播電影院處的全部數(shù)字電影系統(tǒng)。在這樣的情形中,電影院管理系統(tǒng)將具有對它所負責的每個安全時鐘114的訪問能力。隨后,電影院管理系統(tǒng)將與每個數(shù)字電影系統(tǒng)的安全時鐘監(jiān)視器130交互,并且傳送關(guān)于每個安全時鐘114的精確度和漂移的信息。此外,電影院管理系統(tǒng)MS例如^f吏用NTP,可以具有對參考時鐘142的直接的或間接的訪問能力,并且可以向安全時鐘監(jiān)視器103報告每個安全時鐘114相對參考時鐘142的當前偏移。
圖2以流程圖的形式描繪了用于監(jiān)視(并在需要時調(diào)節(jié))安全時鐘112的過程200和用于調(diào)節(jié)(例如偏置)密鑰以解決安全時鐘中的偏移的過程250的步驟。如在下文中所描述的那樣,安全時鐘監(jiān)視過程200提供在圖l的屏幕服務器數(shù)據(jù)庫132中所存儲的、在密鑰調(diào)節(jié)過程250期間所使用的數(shù)據(jù)。
安全時鐘監(jiān)視過程200在圖2的步驟202期間的在圖1的安全時鐘監(jiān)視器130的初始化(例如啟動)時開始。這樣的初始化可以手動地發(fā)生或在事件(例如展播電影院中新內(nèi)容的接收)發(fā)生時發(fā)生。優(yōu)選地,在預先安排的、周期性的基礎上(例如每周)發(fā)生安全時鐘監(jiān)視器130的初始化。在步驟204期間,發(fā)生典型地經(jīng)由NTP的圖1的參考時鐘142的讀取?;蛘?,可以在步驟204期間發(fā)生具有與參考時鐘142的牢固的同步的時鐘的讀取。在步驟206期間,讀取圖1的安全時鐘114。優(yōu)選地,步驟204和206之間的間隔足夠小,以使其可忽略。替代地,該間隔可以具有有限的已知值,或可以被測量,在所述情況中將該間隔加至在步驟204期間所獲得的參考時鐘142的讀取值。
在步驟208期間,決定安全時鐘114相對參考時鐘142的偏移之間的差,并且將該值與在步驟204期間所獲得的參考時鐘142的讀取值共同存儲在屏幕服務器數(shù)據(jù)庫132中?;蛘?,因為可以在以后計算偏移值,所以在步驟206期間所獲得的安全時鐘114的讀取值、而非偏移值可以經(jīng)受存儲。
在步驟210期間,可以使用當前讀取值、并且從先前讀取值來計算圖1的安全時鐘114的漂移率,所述當前讀取值在圖2的步驟206和208期間建立,所述先前讀取值從相同的安全時鐘114獲得、并且之前被記錄在圖1的屏幕服務器數(shù)據(jù)庫132中。如同本領域中眾所周知的那樣,可以通過根據(jù)下面的關(guān)系將較后偏移和較早偏移的差除以兩個偏移之間時間流逝的量,來計算時鐘漂移速率
其中Sn和rn分別為安全時鐘114和參考時鐘142分別在對應的讀取值n處的當前值。如果s和r的值是以秒為單位的,那么以所流逝的每秒的漂移的秒數(shù)來測量漂移,所述所流逝的每秒的漂移的秒數(shù)不應超過每秒土0.158ps (即每年5秒)。
在圖2的步驟212期間,觀察到的漂移率經(jīng)歷評估以決定可接受性。如果觀察到的漂移率落在可接受限制之外,則該過程執(zhí)行到步驟214的分支,在所述步驟214期間,發(fā)生警告的生成,以指示對與時鐘漂移相關(guān)聯(lián)的規(guī)則或策略的違反。在步驟216期間,操作者具有輸入對規(guī)則或策略違反的無視的機會。在沒有無視的情況中,該過程在步驟220期間結(jié)束。在步驟212期間發(fā)現(xiàn)漂移可接受時,或在步驟216期間的無視的發(fā)生時,對安全時鐘114的權(quán)威偏移進行更新,并且將該值存儲在屏幕服務器數(shù)據(jù)庫132中。優(yōu)選地,該更新包括具有相關(guān)法律(forensic )信息的注釋,所述注釋例如是對誰授權(quán)了該無視以及為什么進行該無視的標識。在更新權(quán)威偏移之后,安全時鐘監(jiān)視方法200在步驟220結(jié)束。
在步驟252的執(zhí)行時開始密鑰調(diào)節(jié)過程250的初始化,所述步驟252在從圖1的訂單輸入設備156接收未完結(jié)的訂單時發(fā)生,所述未完結(jié)的訂單為了密鑰生成而存在。在步驟254期間,發(fā)生密鑰訂單的接受。該訂單典型地
9包括足夠的信息以識別與具體的展播電影院相關(guān)聯(lián)的媒體塊112、加密內(nèi)容 116的標識、以及與內(nèi)容呈現(xiàn)的持續(xù)時間(經(jīng)常被稱為"合同運行時間 (contract run )")相關(guān)聯(lián)的細節(jié)。典型的合同運4亍時間具有開始日期和結(jié)束 日期、,或運行持續(xù)時間,后者可選地被包含(即七天的默認值)。另外,合 同運行時間信息可以包括用于決定有效性間隔的開始時間或其他數(shù)據(jù)。因為 在GMT中指定典型地與密鑰相關(guān)聯(lián)的有效性間隔信息,所以在步驟256期 間,進行對屏幕服務器數(shù)據(jù)庫132的訪問以決定目標媒體塊(即媒體塊112) 的正確時區(qū)設置。雖然密鑰訂單可以指定具體的媒體塊,但典型地密鑰訂單 僅指定展播電影院。本領域技術(shù)人員將認識到,訪問指定了目標展播電影院 的屏幕服務器數(shù)據(jù)庫132允許了對媒體塊112、以及與媒體塊相關(guān)聯(lián)的信息 的容易的識別。
在步驟258期間,從屏幕服務器數(shù)據(jù)庫132獲取圖1的安全時鐘114的 權(quán)威偏移。如果數(shù)據(jù)庫中沒有偏移值存在,那么假定零偏移。在步驟260期 間,發(fā)生用于媒體塊112的密鑰的生成,以將加密內(nèi)容116解密。該密鑰將 具有從合同運行時間或在密鑰訂單中所描述的其他間隔來決定的有效性間 隔,但該有效性間隔被修改以使密鑰具有根據(jù)時區(qū)設置的開始時間和結(jié)束時 間,所述時區(qū)設置適用于每個偏移加上權(quán)威偏移。另外,如果需要,可以使 用最近或長期漂移來進行權(quán)威偏移的外推(extrapolation )。如果流逝了長時 間(例如一年或更多),這變得具有重要性,因為安全時鐘監(jiān)視器過程200 在監(jiān)視安全時鐘中已經(jīng)是成功
權(quán)利要求
1.一種方法,其包括步驟根據(jù)安全時間值和當前時間值之間的時間差來調(diào)節(jié)用于解密內(nèi)容的密鑰的有效性間隔。
2. 根據(jù)權(quán)利要求l的方法,其中調(diào)節(jié)步驟進一步包括步驟 讀取安全時鐘以獲得安全時間值;以及 將安全時間值與當前時間值比較。
3. 根據(jù)權(quán)利要求l的方法,其中調(diào)節(jié)步驟進一步包括步驟 決定用于期望的展播位置的時區(qū)偏移;以及根據(jù)該時區(qū)偏移將有效性間隔從格林威治標準時間轉(zhuǎn)換為當?shù)貢r間。
4. 根據(jù)權(quán)利要求1的方法,其中密鑰的有效性間隔的調(diào)節(jié)在訂單的接 受時開始,所述訂單用于生成用于內(nèi)容解密的密鑰。
5. 根據(jù)權(quán)利要求1的方法,其進一步包括步驟向媒體塊分發(fā)有效性 調(diào)節(jié)之后的密鑰,該媒體塊根據(jù)密鑰解密內(nèi)容。
6. —種方法,其包括步驟根據(jù)安全時間值和當前時間值之間的時間差來調(diào)節(jié)內(nèi)容解密密鑰的有 效性間隔;以及根據(jù)該內(nèi)容解密密鑰來將加密的數(shù)字電影呈現(xiàn)解密。
7. 根據(jù)權(quán)利要求6的方法,其中調(diào)節(jié)步驟進一步包括步驟 讀取安全時鐘以獲得安全時間值;以及 將安全時間值與當前時間值比較。
8. 根據(jù)權(quán)利要求6的方法,其中調(diào)節(jié)步驟進一步包括步驟 決定用于期望的展播位置的時區(qū)偏移;以及根據(jù)該時區(qū)偏移將有效性間隔乂人格林威治標準時間轉(zhuǎn)換為當?shù)貢r間。
9. 根據(jù)權(quán)利要求6的方法,其中密鑰的有效性間隔的調(diào)節(jié)在訂單的接 受時開始,所述訂單用于生成用于內(nèi)容解密的密鑰。
10. 根據(jù)權(quán)利要求9的方法,其進一步包括步驟向屏幕服務器分發(fā)有 效性調(diào)節(jié)之后的密鑰。
11. 數(shù)字電影裝置,其包括安全時鐘,用于提供安全時間值,所述安全時間值用于決定解密密鑰的時間有效性;參考時鐘,用于提供當前時間值;以及安全時鐘監(jiān)視器,用于建立安全時間值和當前時間值之間的時間差的 值,所述時間差用于調(diào)節(jié)與解密密鑰相關(guān)聯(lián)的有效性間隔。
12. 根據(jù)權(quán)利要求11的裝置,其進一步包括用于存儲該時間差的值的數(shù)據(jù)庫。
13. 根據(jù)權(quán)利要求11的裝置,其進一步包括密鑰生成器,所述密鑰生 成器用于根據(jù)在數(shù)據(jù)庫中所存儲的時間差的值來調(diào)節(jié)解密密鑰。
全文摘要
在數(shù)字電影系統(tǒng)(100)中,安全時鐘(114)可以隨時間漂移,可以在接近解密密鑰的有效性間隔的結(jié)束時呈現(xiàn)數(shù)字電影呈現(xiàn)的放映完成的能力。為了適應安全時鐘的漂移,根據(jù)安全時間值和當前時間值的時間差來調(diào)節(jié)解密密鑰的有效性間隔。
文檔編號H04L9/30GK101669322SQ200780052906
公開日2010年3月10日 申請日期2007年5月8日 優(yōu)先權(quán)日2007年5月8日
發(fā)明者威廉·G·雷德曼 申請人:湯姆森特許公司