專利名稱:基于云的可移動組件綁定的制作方法
基于云的可移動組件綁定背景用戶以許多不同的方式享受媒體內(nèi)容。用戶能夠以諸如電臺或電影院等傳統(tǒng)內(nèi)容 分發(fā)者所指示的方式,通過在收音機上收聽歌曲或在電影院觀看電影,來享受內(nèi)容。用戶也 使用通常從另一種類型的內(nèi)容分發(fā)者購買的物理介質(zhì),例如通過從商店購買CD上的歌曲 或DVD上的電影來享受內(nèi)容。最近,用戶已能能夠通過根據(jù)訂閱、購買、租賃或其他商業(yè)模型來提供內(nèi)容的服 務(wù),通過記錄內(nèi)容或訪問內(nèi)容來數(shù)字地訪問受保護的媒體內(nèi)容。許多用戶,例如,希望下載 受保護的媒體內(nèi)容,并在諸如蜂窩電話等移動計算設(shè)備中使用受保護的媒體內(nèi)容。此內(nèi)容 可以包括例如,歌曲、音樂視頻、鈴聲、電影,以及計算機游戲。然而,對于向移動計算設(shè)備分發(fā)內(nèi)容的分發(fā)服務(wù)存在重大挑戰(zhàn)。某些分發(fā)服務(wù)遵 循易遭到試圖盜取受保護的媒體內(nèi)容的惡意攻擊的分發(fā)內(nèi)容的過程。其他分發(fā)服務(wù)花費大 量時間。某些針對例如移動計算設(shè)備的內(nèi)容分發(fā)服務(wù)依靠相對較慢的組件來執(zhí)行復(fù)雜密碼 功能,這可能導(dǎo)致在移動計算設(shè)備請求使用受保護的媒體內(nèi)容和接收到該使用的許可之間 有幾秒或者甚至幾分鐘的延遲。此外,用戶常常希望購買諸如新蜂窩電話或個人數(shù)字助理(PDA)等新移動計算設(shè) 備。在這樣做時,當(dāng)前分發(fā)服務(wù)常?;ㄙM大量帶寬和/或損害內(nèi)容的安全性以將該內(nèi)容提 供給新設(shè)備。用戶進而也會花費額外的時間和金錢來在他們的新設(shè)備上重新獲得他們的內(nèi) 容。這會使用戶惱怒,并且在某些情況下使用戶更換移動服務(wù)提供商,這會對希望留住客戶 的服務(wù)提供商造成負面影響。概述提供本概述是為了介紹基于云的可移動組件綁定的簡化概念。這些簡化概念在以 下詳細描述中進一步描述。本概述并不旨在標識所要求保護的主題的必要特征,也不旨在 用于幫助確定所要求保護的主題的范圍。術(shù)語“工具”例如可以在適于上下文時指系統(tǒng)、方 法、計算機可讀介質(zhì)、和/或技術(shù)。本文描述了能夠允許進行基于云的可移動組件綁定的工具。在某些實施例中,這 些工具以密碼安全的方式將受保護的媒體內(nèi)容綁定到移動計算設(shè)備中的可移動組件,而無 需可移動組件執(zhí)行復(fù)雜密碼功能。通過這樣做,移動計算設(shè)備可以請求訪問內(nèi)容并且快速 且以密碼穩(wěn)健的方式接收使用內(nèi)容的許可。附圖簡述參考以下附圖描述基于云的可移動組件綁定的各實施例。在各附圖中,使用相同 的標號來指示相同的特征和組件
圖1示出了其中可以實現(xiàn)基于云的可移動組件綁定的各實施例的示例數(shù)字權(quán)限 管理(DRM)系統(tǒng)。圖2示出了其中可以實現(xiàn)基于云的可移動組件綁定的各實施例的另一個示例DRM 系統(tǒng)。圖3示出了用于基于云的可移動組件綁定的實施例的示例方法。
圖4示出了可以在DRM系統(tǒng)中實現(xiàn)的示例設(shè)備的各個組件。圖5示出了用于通過移動計算設(shè)備操作的基于云的可移動組件綁定的實施例的 示例方法。圖6示出了用于通過經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)訪問的遠程計算設(shè)備來操作的基于 云的可移動組件綁定的實施例的示例方法。詳細描述概覽基于云的可移動組件綁定的各實施例提供管理與受保護的和/或得到許可的媒 體內(nèi)容的數(shù)字權(quán)限管理(DRM)許可證相關(guān)聯(lián)的權(quán)限和限制的技術(shù)。如此處所描述的,受保 護的媒體內(nèi)容可以包括購買、下載,或以其他方式獲取的任何類型的媒體內(nèi)容,諸如音樂、 電影、應(yīng)用程序、游戲,及其他媒體內(nèi)容,它們接受DRM許可證的管理以保護它免遭未經(jīng)授 權(quán)的共享、復(fù)制,和/或分發(fā)。在示例DRM系統(tǒng)中,各種設(shè)備可被實現(xiàn)為對受保護的媒體內(nèi)容執(zhí)行如DRM許可證 所準許的動作。設(shè)備可以包括可以對受保護的媒體內(nèi)容執(zhí)行諸如呈現(xiàn)、回放、復(fù)制、打印、 執(zhí)行、消費和/或其他動作等動作的任何類型的便攜式通信設(shè)備、音樂設(shè)備、電視客戶機設(shè) 備、游戲系統(tǒng)等等。DRM許可證提供對受保護的媒體內(nèi)容執(zhí)行的動作的權(quán)限和限制。在DRM系統(tǒng)中,第一設(shè)備可以包括可移動組件,該可移動組件是與系統(tǒng)的DRM許可 證相關(guān)聯(lián)的令牌。例如,該設(shè)備的可移動組件可以包括作為與該設(shè)備的DRM許可證相關(guān)聯(lián) 的硬件令牌的用戶標識模塊(SIM)卡或類似組件。第一設(shè)備還可以包括存儲該第一設(shè)備可 對其執(zhí)行DRM許可證所準許的動作的受保護的媒體內(nèi)容的可移動存儲器卡??梢苿咏M件 (例如,與DRM許可證相關(guān)聯(lián)的令牌)和可移動存儲器卡可以從第一設(shè)備移除并安裝在第 二設(shè)備中以使得第二設(shè)備可以對受保護的媒體內(nèi)容執(zhí)行如DRM許可證所準許的操作。在一 個實施例中,可移動組件和可移動存儲器卡是組合的組件,以使得可移動存儲器卡是與DRM 許可證相關(guān)聯(lián)的令牌。在另一個示例DRM系統(tǒng)中,域可以包括各自具有對該域是共用的私鑰的多個設(shè) 備。域還可以包括與該域的多個設(shè)備中的每一個的DRM許可證相關(guān)聯(lián)的唯一證書。另外, 受保護的媒體內(nèi)容還可以綁定到域,以使得作為具有域私鑰和唯一證書的域成員的設(shè)備可 以對綁定到該域的受保護的媒體內(nèi)容執(zhí)行動作。例如,域的第一設(shè)備中的存儲受保護的媒 體內(nèi)容的可移動存儲器卡可以被移至該域的第二設(shè)備,并且如果該第二設(shè)備也具有與該域 的DRM許可證相關(guān)聯(lián)的可移動組件,則該第二設(shè)備可以對受保護的媒體內(nèi)容執(zhí)行動作。在另一個實施例中,DRM系統(tǒng)中的域的第一設(shè)備可以包括對應(yīng)于與該系統(tǒng)的DRM 許可證相關(guān)聯(lián)的第一唯一證書的可移動組件。例如,可移動組件可以是可移動組件、SIM卡, 或其他設(shè)備令牌。該域的第二設(shè)備還可以包括對應(yīng)于與該系統(tǒng)的DRM許可證相關(guān)聯(lián)的第二 唯一證書的可移動組件。該域的第一設(shè)備還可以包括存儲該設(shè)備可以對其執(zhí)行如DRM許可 證所準許的動作的受保護的媒體內(nèi)容的可移動存儲器卡。然后,可移動存儲器卡可以被從 第一設(shè)備移除并安裝在第二設(shè)備中,以使得該第二設(shè)備可以對受保護的媒體內(nèi)容執(zhí)行如與 該第二設(shè)備中的可移動組件相關(guān)聯(lián)的DRM許可證所準許的動作。在一實施例中,多個設(shè)備 的每一個唯一證書都包括對應(yīng)于作為與多個設(shè)備的DRM許可證相關(guān)聯(lián)的令牌的可移動組 件的標識符。
無論是否移動可移動組件,它都能夠移動并可用來綁定設(shè)備上的受保護的媒體內(nèi) 容??梢苿咏M件例如可以是不能快速執(zhí)行諸如非對稱密鑰運算等密碼復(fù)雜功能的可移動組 件。諸如例如SIM等當(dāng)前可移動組件可能花費幾秒或甚至幾分鐘來執(zhí)行這些和類似的復(fù)雜 密碼功能。這樣做可能會延遲移動計算設(shè)備獲得使用受保護的媒體內(nèi)容的許可,這可能會 使移動計算設(shè)備的用戶惱怒。在一個實施例中,這些工具請求綁定到可移動組件的密碼安全標識符,接收這樣 的標識符,并且使用該標識符來通過移動設(shè)備通信網(wǎng)絡(luò)并向計算上快速的設(shè)備(例如,服 務(wù)器)請求使用內(nèi)容的許可。在這樣做時,這些工具在某種意義上以可移動組件的較慢的 計算能力換取通過移動設(shè)備通信網(wǎng)絡(luò)與計算上快速的設(shè)備的快速通信速度。這些工具的該 實施例假設(shè)計算上快速的設(shè)備能夠以可移動組件執(zhí)行復(fù)雜密碼功能所花費的時間的小部 分來執(zhí)行這些復(fù)雜密碼功能。在某些情況下,這些工具允許在仍將對內(nèi)容的使用綁定到可 移動組件的同時通過向基于云的實體(例如,遠程服務(wù)器)請求許可來比向可移動組件請 求許可更快速地接收許可。雖然用于基于云的可移動組件綁定的工具特征和概念能夠在任何數(shù)量的不同環(huán) 境、系統(tǒng)和/或各種配置中實現(xiàn),但基于云的可移動組件綁定的各實施例在以下各示例系 統(tǒng)和環(huán)境的上下文中描述。示例環(huán)境和實施例圖1示出了其中可以實現(xiàn)基于云的可移動組件綁定的各實施例的示例數(shù)字權(quán)限 管理(DRM)系統(tǒng)100。在此示例中,系統(tǒng)100包括設(shè)備102和設(shè)備104,它們各自被實現(xiàn)為 經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)108與域控制器106進行通信。示例系統(tǒng)100還包括受保護的媒體 內(nèi)容的內(nèi)容分發(fā)器110,并包括許可證服務(wù)器112。移動設(shè)備通信網(wǎng)絡(luò)108可被實現(xiàn)為使用任何類型的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和/或通信協(xié)議 的媒體內(nèi)容分發(fā)系統(tǒng)和/或DRM系統(tǒng)的一部分,并可被表示或以其他方式實現(xiàn)為兩個或更 多網(wǎng)絡(luò)的組合。例如,通信網(wǎng)絡(luò)108可以包括允許設(shè)備102和/或設(shè)備104與各種實體進 行通信以便于媒體內(nèi)容的分發(fā)和/或保護的任何合適的有線和/或無線網(wǎng)絡(luò)。設(shè)備102和 設(shè)備104可以經(jīng)由通信網(wǎng)絡(luò)108來彼此以及與域控制器106、內(nèi)容分發(fā)器110和許可證服務(wù) 器112進行通信。諸如DRM系統(tǒng)100中的設(shè)備102等任一個設(shè)備都可被實現(xiàn)為諸如移動電視設(shè)備、 移動音樂設(shè)備、游戲系統(tǒng)、蜂窩電話、便攜式計算機,以及電器設(shè)備等具有通信能力的移動 計算設(shè)備中的任一個或組合。在各實施例中,設(shè)備可以被實現(xiàn)為具有諸如DRM平臺等任何 數(shù)量的不同組件及其組合,如參考圖4所示的示例設(shè)備進一步描述的。設(shè)備102或104還 可以與操作該設(shè)備的用戶(即,一個人或一組人)和/或?qū)嶓w相關(guān)聯(lián),以使得“設(shè)備”描述 可以包括用戶、軟件,和/或其他組件的邏輯設(shè)備。在此示例中,DRM系統(tǒng)100中的設(shè)備102包括一個或多個處理器114 (例如,微處 理器、控制器等中的任一個),這些處理器處理各種計算機可執(zhí)行指令,以便控制設(shè)備的操 作,與其他電子和計算設(shè)備進行通信,以及實現(xiàn)基于云的可移動組件綁定的各實施例。設(shè)備 102可以可任選地包括存儲受保護的媒體內(nèi)容118 (例如,受DRM保護的媒體內(nèi)容)的內(nèi)部 存儲器116,并具有主存存儲受保護的媒體內(nèi)容122的可移動存儲器卡120的能力。受保 護的媒體內(nèi)容118和/或122可以包括購買、下載,或以其他方式獲取的任何類型的媒體內(nèi)容,諸如音樂、電影、應(yīng)用程序、游戲,圖片、視頻剪輯等等。內(nèi)容分發(fā)器110可以經(jīng)由通信網(wǎng) 絡(luò)108向設(shè)備102提供受保護的媒體內(nèi)容118和122。設(shè)備102還包括與DRM許可證126相關(guān)聯(lián)的可移動組件124 (例如,DRM許可證密 碼地綁定到可移動組件124)。在一實施例中,可移動組件124是設(shè)備102的令牌,并且DRM 許可證126密碼地綁定到該設(shè)備的令牌。可移動組件124可被實現(xiàn)為與DRM許可證126相 關(guān)聯(lián)的閃存卡、用戶標識模塊(SIM)卡、智能卡,和/或設(shè)備102的任何其他類型的令牌???移動組件124可以包括USIM(用戶訂戶標識模塊),該USIM是卡上的用于存儲用戶和/或 認證信息的邏輯實體。例如,DRM許可證126可以具有諸如顧客標識符、服務(wù)標識符和/或 域標識符等以任何組合向DRM系統(tǒng)100的域控制器106和/或許可證服務(wù)器112認證設(shè)備 的各種相關(guān)聯(lián)的許可證標識符128。各種相關(guān)聯(lián)的許可證標識符128提供用于確定設(shè)備是 否可對受保護的媒體內(nèi)容執(zhí)行如DRM許可證126所準許的動作的多個回放準則。在一個實施例中,可移動組件124存儲唯一秘密密鑰和現(xiàn)時值(例如,隨機數(shù)或 “一次性數(shù)字(number once) ”值),遞增現(xiàn)時值,并執(zhí)行對稱密鑰運算??梢苿咏M件124能 夠執(zhí)行諸如非對稱密鑰運算等其他操作通過這樣做可能比執(zhí)行對稱密鑰運算花費長得多 的時間。域控制器106管理域中的設(shè)備成員資格,并且直接或通過許可證服務(wù)器112間接 作為向該域的成員的設(shè)備發(fā)放域證書和私鑰。許可證服務(wù)器112發(fā)放提供對受保護的媒 體內(nèi)容118和/或122執(zhí)行的動作的權(quán)限和限制的DRM許可證126。在一實現(xiàn)中,域控制 器106和許可證服務(wù)器112可由單獨的實體來管理,或者可以在域中一起實現(xiàn)。雖然域控 制器106、內(nèi)容分發(fā)器110,以及許可證服務(wù)器112被描述為DRM系統(tǒng)100的分布式,獨立組 件,但控制器、分發(fā)器,以及服務(wù)器中的任一個或多個可被一起實現(xiàn)為該系統(tǒng)的多功能組件 或?qū)嶓w。在各實現(xiàn)中,域成員資格還可以由網(wǎng)絡(luò)運營商、第三方實體,或由用戶來管理。當(dāng)設(shè)備102包括受保護的媒體內(nèi)容,如受保護的媒體內(nèi)容118和/或122,并安裝 了可移動組件124時,一旦從諸如許可證服務(wù)器112等基于云的實體接收到許可,設(shè)備102 就可以對受保護的媒體內(nèi)容執(zhí)行如DRM許可證126所準許的動作,以及以其他方式使用該 受保護的媒體內(nèi)容。DRM許可證126提供對受保護的媒體內(nèi)容執(zhí)行的動作的權(quán)限和限制,諸 如呈現(xiàn)、回放、復(fù)制、打印、執(zhí)行、消費,和/或?qū)κ鼙Wo的媒體內(nèi)容的其他動作。在一替換實 施例中,如參考圖2所示的DRM系統(tǒng)所描述的,域可以包括一組可移動組件,這些可移動組 件與域證書相關(guān)聯(lián)以使得任一個可移動組件都可可被實現(xiàn)為對受保護的媒體內(nèi)容執(zhí)行動 作的基礎(chǔ),而無需改變DRM許可證126。另外,域控制器106可以更新域證書,以向可以與 DRM許可證126 —起使用的一組組件添加和/或從其中刪除可移動組件的子集。在示例系統(tǒng)100中,DRM許可證126可以與可移動組件124 —起從一個設(shè)備移到 另一個設(shè)備。例如,用戶可以從設(shè)備102中移除可移動組件124和可移動存儲器卡120,并 將它們安裝(在130處)在設(shè)備104中。當(dāng)可移動組件124和具有受保護的媒體內(nèi)容122 的可移動存儲器卡120被安裝在設(shè)備104中時,該設(shè)備然后可以同樣在從基于云的實體接 收到許可后對受保護的媒體內(nèi)容122執(zhí)行如DRM許可證126所準許的動作。在設(shè)備102的替換實施例中,可移動組件124和可移動存儲器卡120可以是組合 的組件132,以使得可移動存儲器卡120是與設(shè)備102的DRM許可證126相關(guān)聯(lián)的令牌(例 如,該DRM許可證密碼地綁定到可移動存儲器卡120)。然后,DRM許可證126可以與組合的組件132 —起從設(shè)備102中移除并安裝在設(shè)備104中。用戶例如可以獲得新電話(例如,設(shè)備104),從舊電話(例如,設(shè)備102)中移除 SIM (例如,可移動組件124)和閃存卡(例如,可移動存儲器卡120),并將該SIM和閃存卡 插入到新電話中。當(dāng)新電話被打開時,它可以根據(jù)圖3和/或5和6中所示出的方法來獲 得使用受保護的媒體內(nèi)容122的許可。在一個實施例中,新設(shè)備可以被設(shè)置成利用域協(xié)議并且在沒有用戶交互的情況下 加入域。作為加入域的結(jié)果,該設(shè)備接收域證書和綁定到該設(shè)備相關(guān)聯(lián)的私鑰。一旦使用 綁定到可移動組件的密碼安全標識符來從基于云的設(shè)備接收到許可,新設(shè)備就將能夠使用 域私鑰來播放任何先前獲得的內(nèi)容,該域私鑰允許設(shè)備從域綁定許可證提取內(nèi)容密鑰并對 內(nèi)容進行解密。可移動組件124可以包括秘密。此秘密密碼地綁定到可移動組件124 (例如,用硬 件或軟件)。在一個實施例中,秘密通過安全信道并使用遠程實體(例如,許可證服務(wù)器112 或212)來被提供到可移動組件(124或232)中。可移動組件124也可以生成隨機數(shù),例如 現(xiàn)時值,并在后續(xù)通信時遞增該現(xiàn)時值??梢苿咏M件還能夠提供密碼安全標識符,該操作在 此是使用秘密來對現(xiàn)時值執(zhí)行的強對稱密鑰運算。這在數(shù)學(xué)上可被表示為{現(xiàn)時值}SK其中,SK是秘密密鑰,現(xiàn)時值是一個隨機數(shù)或該數(shù)字的增量,并且該函數(shù)是強對稱 密鑰運算。圖2示出了其中可以實現(xiàn)基于云的可移動組件綁定的各實施例的另一示例數(shù)字 權(quán)限管理(DRM)系統(tǒng)200。在此示例中,系統(tǒng)200包括域202,該域202包括向該域注冊并 被實現(xiàn)為經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)208與域控制器206進行通信的多個設(shè)備204。示例系統(tǒng) 200還包括受保護的媒體內(nèi)容的內(nèi)容分發(fā)器210,以及許可證服務(wù)器212,多個設(shè)備204被實 現(xiàn)為經(jīng)由通信網(wǎng)絡(luò)208與該許可證服務(wù)器212進行通信。域202中的多個設(shè)備204可以對 應(yīng)于一個用戶或若干不同的用戶。通信網(wǎng)絡(luò)208的示例在上文中參考圖1所示的通信網(wǎng)絡(luò) 108來描述。向域202注冊的多個設(shè)備204可被實現(xiàn)為便攜式通信設(shè)備214 (例如,蜂窩電話)、 電視客戶機設(shè)備216、音樂設(shè)備218、游戲系統(tǒng)220中的任一個或組合,或被實現(xiàn)為諸如臺式 計算機、便攜式計算機或電器設(shè)備等任何其他基于計算的設(shè)備222。在各實施例中,設(shè)備可被實現(xiàn)為具有諸如DRM平臺等任何數(shù)量的不同組件及其組 合,如參考圖4所示出的示例設(shè)備進一步描述的。多個設(shè)備中的任一個設(shè)備還可以與操作 該設(shè)備的用戶(即,一個或多個人)和/或?qū)嶓w相關(guān)聯(lián),以使得“設(shè)備”描述可以包括用戶、 軟件,和/或其他組件的邏輯設(shè)備。示例設(shè)備224表示向域202注冊的多個設(shè)備204中的任一個。示例設(shè)備224包括 一個或多個處理器226 (例如,微處理器、控制器等中的任一個),這些處理器處理各種計算 機可執(zhí)行指令,以便控制設(shè)備的操作,與其他電子和計算設(shè)備進行通信,以及實現(xiàn)基于云的 可移動組件綁定的各實施例。示例設(shè)備224還包括存儲受保護的媒體內(nèi)容230的可移動存 儲器卡228。如上所述,受保護的媒體內(nèi)容可以包括購買、下載,或以其他方式獲取的任何類 型的媒體內(nèi)容,如音樂、電影、應(yīng)用程序、游戲,圖片、視頻剪輯等等。內(nèi)容分發(fā)器210可以通 過通信網(wǎng)絡(luò)208向域202中的多個設(shè)備204提供受保護的媒體內(nèi)容230。
示例設(shè)備224還包括可移動組件232,該可移動組件232是設(shè)備224的令牌并與 DRM許可證234相關(guān)聯(lián)(例如,DRM許可證密碼地綁定到可移動組件232)。可移動組件232 可被實現(xiàn)為與DRM許可證相關(guān)聯(lián)的可移動組件、閃存卡、用戶標識模塊(SIM)卡、被實現(xiàn)為 智能卡,和/或被實現(xiàn)為示例設(shè)備224的任何其他類型的令牌。此示例中的可移動組件能夠提供組件的密碼安全標識符,該標識符可由DRM系統(tǒng) 200的域控制器206或許可證服務(wù)器212用來認證可移動組件232,并相應(yīng)地認證其是否具 有使用設(shè)備224上的受保護的媒體內(nèi)容230的權(quán)限。在一實施例中,域202包括對該域共用的域私鑰,并包括與向域202注冊的多個設(shè) 備204中的每一個的DRM許可證相關(guān)聯(lián)的唯一證書。例如,設(shè)備224的DRM許可證234具 有對域202共用的相關(guān)聯(lián)的域私鑰236,并具有唯一證書238。另外,域202中的多個設(shè)備 的唯一證書中的每一個都包括對應(yīng)于作為與多個設(shè)備的DRM證書相關(guān)聯(lián)的令牌的可移動 組件的標識符。在系統(tǒng)200中,用戶可以從域202中的一個設(shè)備214移除可移動存儲器卡228和 可移動組件232,并將可移動存儲器卡228和可移動組件232安裝在該域中的另一個設(shè)備 218中。當(dāng)安裝了這些之后,設(shè)備218然后可以根據(jù)方法300、500,以及600中的一個或多 個來對受保護的媒體內(nèi)容230執(zhí)行如特定設(shè)備的DRM許可證所準許的動作。一般而言,這些工具包括在此描述的任何功能、方法、和模塊中的任一個并且可使 用硬件、軟件、固件(例如,固定邏輯電路)、手動處理或其任何組合來實現(xiàn)。功能、方法、或 模塊的軟件實現(xiàn)表示當(dāng)在基于計算的處理器上執(zhí)行時執(zhí)行指定任務(wù)的程序代碼。參考圖3 所描述的示例方法300可在計算機可執(zhí)行指令的一般上下文中描述。一般而言,計算機可 執(zhí)行指令可包括執(zhí)行特定功能或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的應(yīng)用程序、例程、程序、對象、組 件、數(shù)據(jù)結(jié)構(gòu)、過程、模塊、功能等。這些方法還能在其中功能由通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備完成的分布式計 算環(huán)境中實現(xiàn)。在分布式計算環(huán)境中,計算機可執(zhí)行指令可以位于包括存儲器存儲設(shè)備在 內(nèi)的本地和遠程計算機存儲介質(zhì)中。此外,此處所描述的特征是平臺無關(guān)的,以便這些技術(shù) 可在具有各種處理器的各種計算平臺上實現(xiàn)。圖3、5和6示出了基于云的可移動組件綁定的示例方法。描述方法的次序并不旨 在解釋為限制,并且任何數(shù)量的所述方法框都可以按任何次序組合以實現(xiàn)本方法或?qū)崿F(xiàn)替 換方法。示例方法圖3示出了由通過移動設(shè)備通信網(wǎng)絡(luò)(例如,圖1的移動設(shè)備通信網(wǎng)絡(luò)108)進行 通信的移動計算設(shè)備(例如,圖1的設(shè)備102)和遠程計算設(shè)備(例如,圖1的許可證服務(wù) 器112)執(zhí)行的方法300,通信是作為圖3中的虛線上的箭頭示出的。圖5和6示出了在某 些情況下提供附加細節(jié)并涉及移動計算設(shè)備(圖5)或通過移動設(shè)備通信網(wǎng)絡(luò)進行通信的 實體(圖6)的動作的其他方法???02向可移動組件請求綁定到該可移動組件的密碼安全標識符,該可移動組件 物理地連接到移動計算設(shè)備但可以從該移動計算設(shè)備移除,該標識符標識該可移動組件, 并且不可由該移動計算設(shè)備解密,但可由能夠使用移動設(shè)備通信網(wǎng)絡(luò)來與該移動計算設(shè)備 進行通信的遠程計算設(shè)備解密。在一個實施例中,設(shè)備102向可移動組件124請求這一標識符???04從該可移動組件接收密碼安全標識符。繼續(xù)當(dāng)前實施例,設(shè)備102從可移動 組件124接收標識符。在某些情況下,密碼安全標識符可由可移動組件通過使用綁定到該 可移動組件并為遠程計算設(shè)備所知的秘密來進行對稱密鑰運算來計算。如上文所指出的, 可移動組件能夠使用秘密對一隨機數(shù)或該數(shù)字的增量執(zhí)行強對稱密鑰運算。該秘密可以用 硬件或軟件來綁定到該可移動組件。也如所指出的,該密鑰可以由許可證服務(wù)器112或可 通過移動設(shè)備通信網(wǎng)絡(luò)進行訪問的某一其他設(shè)備通過移動設(shè)備通信網(wǎng)絡(luò)108來提供。框306通過移動設(shè)備通信網(wǎng)絡(luò)將密碼安全標識符傳送到遠程計算設(shè)備以請求使 用受保護的媒體內(nèi)容的許可,該密碼安全標識符可由遠程計算設(shè)備用來確定可移動組件是 真實的,并且與該可移動組件相關(guān)聯(lián)的用戶具有對受保護的媒體內(nèi)容進行所請求的使用的 權(quán)限。繼續(xù)當(dāng)前實施例,移動計算設(shè)備經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)并利用密碼安全標識符來向 能夠相對于可移動組件124快速執(zhí)行復(fù)雜密碼功能的遠程設(shè)備請求使用受保護的媒體內(nèi) 容的許可。在某些實施例中,框306也可以傳輸可移動組件的非加密標識符,該標識符有效 地使遠程計算設(shè)備能夠使用密碼安全標識符和非加密標識符來認證可移動組件。在此情況 下,非加密標識符可以使遠程計算設(shè)備省去猜測密碼安全標識符與哪一個可移動組件相關(guān) 聯(lián),該非加密標識符還可以使遠程計算設(shè)備省去試圖用與該遠程設(shè)備已知的某一其他可移 動組件相關(guān)聯(lián)的秘密來對密碼安全標識符進行解密???08經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)并從移動計算設(shè)備接收使用受保護的媒體內(nèi)容的 請求和密碼安全標識符。繼續(xù)當(dāng)前實施例,許可證服務(wù)器112接收使用受保護的媒體內(nèi)容 的請求以及設(shè)備124的標識符、許可證126或所涉及的受保護的媒體內(nèi)容(例如,受保護的 媒體內(nèi)容122)的標識符和可移動組件124的密碼安全標識符???10基于密碼安全標識符來確定可移動組件是真實的并且與該可移動組件相 關(guān)聯(lián)的實體具有對受保護的媒體內(nèi)容進行請求的使用的權(quán)限。這些工具確定可移動組件是 否是與具有如所請求的使用受保護的媒體內(nèi)容的權(quán)限的實體(例如,用戶、用戶組、設(shè)備或 設(shè)備組)相關(guān)聯(lián)的可移動組件。由此,在該實施例中,許可證服務(wù)器112可以通過移動設(shè)備 通信網(wǎng)絡(luò)108并從設(shè)備102接收密碼安全標識符,以及許可證服務(wù)器112可以用來確定設(shè) 備102是否已經(jīng)被撤消(例如,是不被信任使用內(nèi)容的設(shè)備)的其他標識符,以及涉及所述 內(nèi)容的許可證。注意,此時,可移動組件124可能已經(jīng)使用與許可證服務(wù)器112共享并具有現(xiàn)時值 的秘密來執(zhí)行強對稱密鑰運算。許可證服務(wù)器112可以接收該標識符,用秘密來對標識符 進行解密以找出現(xiàn)時值,并由此確定可移動組件是否可信。如果可信,則許可證服務(wù)器然后 可以確定設(shè)備是否可信,并且如果兩者都是可信的,則確定許可證是否允許所請求的使用。還應(yīng)注意,可移動組件執(zhí)行了相對較快的功能以提供該密碼安全標識符??梢苿?組件不需要執(zhí)行如非對稱密鑰運算等復(fù)雜和/或較費時的功能。因為可移動組件不執(zhí)行這 種操作,所以移動計算設(shè)備要求服務(wù)器執(zhí)行復(fù)雜功能。在某種意義上,這用可移動組件的較 慢計算速度換取通過移動設(shè)備通信網(wǎng)絡(luò)進行通信的速度和許可證服務(wù)器112的速度。許可 證服務(wù)器112能夠相對于可移動組件快速執(zhí)行計算,以便對標識符進行解密并向設(shè)備提供 設(shè)備可以用來對所述受保護的媒體內(nèi)容進行解密的信息。同樣,移動設(shè)備通信網(wǎng)絡(luò)108能夠也相對于可移動組件124的計算速度快速傳遞請求和響應(yīng)。請求和響應(yīng)的傳遞時間可被稱為t。。許可證服務(wù)器112接收請求,適當(dāng)?shù)仳炞C, 并作出響應(yīng)所花費的時間可被稱為tls??梢苿咏M件接收對標識符的請求,計算標識符,并 將其返回所花費的時間可被稱為tID。如下面所示出的,這些時間可以全都比改為由可移動 設(shè)備接收需要非對稱密鑰運算的計算的請求,執(zhí)行該操作,并將結(jié)果提供到移動計算設(shè)備 所花費的時間(總共ΤΛ。要短。由此,此示例中的該特定協(xié)議可以被表示為tID+tc+tls < T 加密該時間優(yōu)點并非這些工具所必需的,因為這些工具可能具有該時間增益之外的價 值,諸如當(dāng)可移動組件不能夠執(zhí)行或不期望執(zhí)行復(fù)雜密碼功能時。然而,該時間優(yōu)點可以改善用戶的體驗。例如,用戶可以在該用戶要求他們的設(shè)備 播放音樂視頻時等待例如比用戶設(shè)備的可移動組件必須執(zhí)行復(fù)雜密碼功能的情況少的時 間。框310還可以在執(zhí)行框312之前確定移動計算設(shè)備是否可信。在一個實施例中, 這些工具可通過以下操作來這樣做接收標識移動計算設(shè)備的設(shè)備標識符(例如,在來自 移動計算設(shè)備的請求中),將該設(shè)備標識符與撤消列表進行比較,并且如果該設(shè)備標識符不 在該列表中,則確定移動計算設(shè)備是可信的。框312經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)將信息傳送到移動計算設(shè)備,該信息足以使得移動 計算設(shè)備能夠使用受保護的媒體內(nèi)容。許可證服務(wù)器112例如可以提供使移動計算設(shè)備 102能夠?qū)κ鼙Wo的媒體內(nèi)容122進行解密的密碼信息。此信息可以包括可由移動計算設(shè)備用來對受保護的媒體內(nèi)容進行解密的密鑰,該 密鑰的示例在方法500和/或600中更詳細地描述???14響應(yīng)于傳送密碼安全標識符的動作并通過移動計算設(shè)備通信網(wǎng)絡(luò)從遠程 計算設(shè)備接收使用受保護的媒體內(nèi)容的許可???14也可以如所請求的那樣使用內(nèi)容。在當(dāng)前實施例中,移動計算設(shè)備102通過移動設(shè)備通信網(wǎng)絡(luò)108從許可證服務(wù)器 112接收許可,對受保護的內(nèi)容122進行解密,并且然后使用內(nèi)容。例如,假設(shè)用戶請求在蜂 窩電話上播放音樂視頻。蜂窩電話通??焖俚夭⑶以诰哂袠O少或不具有用戶可以注意到的 中斷的情況下播放音樂視頻。已經(jīng)由云上的實體基于可移動組件得到驗證并確定與該可移 動組件相關(guān)聯(lián)的實體具有所請求的權(quán)限來給予蜂窩電話這樣做的許可。本討論現(xiàn)在轉(zhuǎn)向示例設(shè)備和可移動組件,此后在該示例設(shè)備和可移動組件的上下 文中描述兩個示例方法。示例移動計算設(shè)備和可移動組件圖4示出了示例設(shè)備400的各種組件和SIM類型的可移動組件402。在各實施例 中,設(shè)備400可被實現(xiàn)為計算、電子、便攜式、游戲、電器、客戶機設(shè)備中的一個或其組合,或 者用于實現(xiàn)基于云的可移動組件綁定的各實施例的任何其他類型的設(shè)備。例如,設(shè)備400 可被實現(xiàn)為圖1所示的設(shè)備102,或被實現(xiàn)為圖2所示的各種設(shè)備204中的任一個。在這些 實施例中,也可以實現(xiàn)SIM402,在一個示例中是可插入蜂窩電話類型的移動計算設(shè)備并可以從其中移除的 可移動硬件卡類型的SIM。設(shè)備400包括一個或多個媒體內(nèi)容輸入404,通過這些媒體內(nèi)容輸入404經(jīng)由通信網(wǎng)絡(luò)接收媒體內(nèi)容(例如,有許可證的媒體內(nèi)容、受保護的媒體內(nèi)容、DRM媒體內(nèi)容等)。 設(shè)備400還包括通信接口 406,其可被實現(xiàn)為串行和/或并行接口、無線接口、任何類型的網(wǎng) 絡(luò)接口、調(diào)制解調(diào)器、和任何其它類型的通信接口中的任一個或多個。網(wǎng)絡(luò)接口在設(shè)備400 和通信網(wǎng)絡(luò)之間提供連接,其它電子和計算設(shè)備可以通過該連接與設(shè)備400傳遞數(shù)據(jù)。類似地,串行和/或并行接口允許在設(shè)備400和其它電子或計算設(shè)備之間直接進 行數(shù)據(jù)通信。調(diào)制解調(diào)器還方便經(jīng)由常規(guī)電話線、DSL連接、電纜、和/或其它類型的連接 與其它電子和計算設(shè)備通信。無線接口使設(shè)備400能夠從無線通信網(wǎng)絡(luò)和/或輸入設(shè)備接 收數(shù)據(jù)和內(nèi)容。設(shè)備400還包括一個或多個處理器408 (例如,微處理器、控制器等中的任一個), 其處理各種計算機可執(zhí)行指令來控制設(shè)備400的操作、與其它電子和計算設(shè)備進行通信、 以及實現(xiàn)基于云的可移動組件綁定的各實施例。設(shè)備400可用諸如一個或多個存儲器存儲 組件等計算機可讀介質(zhì)410來實現(xiàn),存儲器存儲組件的示例包括可移動卡、隨機存取存儲 器(RAM)、非易失性存儲器(例如,只讀存儲器(ROM)、閃存、EPR0M、EEPR0M等中的任一個或 多個)、以及盤存儲設(shè)備。盤存儲設(shè)備可以包括任何類型的磁性或光學(xué)存儲設(shè)備,如硬盤驅(qū) 動器、可記錄和/或可重寫壓縮盤(⑶)、DVD、DVD+RW等。計算機可讀介質(zhì)410提供存儲受保護的媒體內(nèi)容412以及諸如軟件應(yīng)用程序和涉 及設(shè)備400的操作方面的任何其它類型的信息和數(shù)據(jù)等其它信息和/或數(shù)據(jù)的數(shù)據(jù)存儲機 制。例如,操作系統(tǒng)414、訪問模塊416、以及DRM平臺418可以作為軟件應(yīng)用程序來用計算 機可讀介質(zhì)410維護,并在處理器408上執(zhí)行以實現(xiàn)基于云的可移動組件綁定的各實施例。 訪問模塊416可被實現(xiàn)為能夠通過移動設(shè)備通信網(wǎng)絡(luò)與SIM 402和遠程計算設(shè)備進行通信 以允許進行基于云的可移動組件綁定。DRM平臺418可被實現(xiàn)為設(shè)備的組件并被配置成實現(xiàn)此處所描述的DRM技術(shù)??蛻魴C設(shè)備400還包括向音頻呈現(xiàn)和/或顯示系統(tǒng)422提供音頻和/或視頻數(shù)據(jù) 的音頻和/或視頻輸出420。音頻呈現(xiàn)和/或顯示系統(tǒng)422可包括處理、顯示、和/或以其 它方式呈現(xiàn)音頻、視頻、和圖像數(shù)據(jù)的任何設(shè)備。音頻呈現(xiàn)和/或顯示系統(tǒng)422可被實現(xiàn)為 示例設(shè)備400的集成組件或被實現(xiàn)為單獨的組件。設(shè)備400與SIM 402進行通信,SIM 402在此是由諸如小的可插入智能卡等SIM 卡構(gòu)成的可移動組件。SIM 402包括提供可在緩慢的處理器426上執(zhí)行的指令的加密模塊 424。緩慢的處理器426相對于圖1的許可證服務(wù)器112及其他能力很強的計算設(shè)備較慢。 然而,加密模塊424和緩慢的處理器426能夠生成現(xiàn)時值428,并使用秘密430來對現(xiàn)時值 428執(zhí)行對稱密鑰運算以提供密碼安全標識符,此處被表示為“{現(xiàn)時值}SK”432。SIM 402 還能夠保留秘密430。示例設(shè)備和可移動組件的示例方法轉(zhuǎn)向圖5,方法500示出了結(jié)合其他設(shè)備的動作來允許進行基于云的可移動組件 綁定的移動計算設(shè)備的示例動作。此示例方法只是提供了這些工具可允許進行基于云的可 移動組件綁定的方式的一個示例;這些工具和本文還構(gòu)想其他方式。方法500的框中的一 個或多個例如可以是框302、304、306或314中的一個或多個的實現(xiàn)。圖5將使用圖4的設(shè) 備400和SIM類型的可移動組件(SIM 402)來描述,但也可以使用其他設(shè)備和可移動組件, 諸如設(shè)備102和224和可移動組件124和232。
框502請求用秘密加密的現(xiàn)時值,該秘密被綁定到SIM。圖4的設(shè)備400的訪問模 塊416向SIM 402請求使用SIM 402已知但設(shè)備400未知的秘密來對隨機數(shù)進行密碼安全 加密。此處,SIM 402可以通過對稱密鑰運算用秘密430來加密現(xiàn)時值428以提供{現(xiàn)時 值化1( 432,來提供該密碼安全加密。SIM 402使用生成在緩慢的處理器426上執(zhí)行的指令 的加密模塊424來執(zhí)行該對稱密鑰運算。注意,現(xiàn)時值428可以諸如當(dāng)這不是由SIM 402 所生成的第一個現(xiàn)時值時遞增???04從SIM 402接收用秘密加密的現(xiàn)時值,此處被表示為圖4的{現(xiàn)時值} SK 432。設(shè)備400還可以從其他源或先前的與SIM 402的通信接收或保留SIM 402的標識符???06經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)向遠程計算設(shè)備發(fā)送SIM標識符、{現(xiàn)時值} SK 428,以及設(shè)備自己的設(shè)備證書和設(shè)備標識符。此處,設(shè)備400將該信息作為播放受保護的 媒體內(nèi)容(如受保護的媒體內(nèi)容412)的請求的一部分來通過移動設(shè)備通信網(wǎng)絡(luò)208發(fā)送 到許可證服務(wù)器212 (兩者都在圖2中示出)。設(shè)備400使用訪問模塊416以及設(shè)備400的 其他組件來在框506處作出該請求,以及分別在框502和504處進行請求和接收???08接收域證書和用域密鑰加密的域私鑰。如將在圖6中討論的,并且如在圖 3中的框308、310,以及312處所討論的,此證書和加密的域私鑰足以使設(shè)備能夠解密并使 用所涉及的受保護的媒體內(nèi)容。此處,該信息是通過移動設(shè)備通信網(wǎng)絡(luò)208從許可證服務(wù) 器212接收到的(兩者都在圖2中示出)???10使用接收到的域證書來對{域私鑰}DK進行解密,這產(chǎn)生未加密的域私鑰。 框512使用域私鑰來對所請求的受保護的媒體內(nèi)容進行解密。這兩個解密都可以由訪問模 塊416來執(zhí)行。遠程計算設(shè)備的示例方法轉(zhuǎn)向圖6,方法600示出了遠離移動計算設(shè)備并且結(jié)合移動計算設(shè)備的動作來允 許進行基于云的可移動組件綁定的的遠程計算設(shè)備的示例動作。此示例方法只是提供了這 些工具可以允許進行基于云的可移動組件綁定的方式的一個示例;這些工具和本文還構(gòu)想 其他方式。方法600的框中的一個或多個例如可以是框308、310或312中的一個或多個的 實現(xiàn)。圖6將使用示例遠程計算設(shè)備(此處是圖2的許可證服務(wù)器212)來描述,但也可以 使用其他設(shè)備,諸如圖1的許可證服務(wù)器112???02經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)接收SIM標識符、{現(xiàn)時值} SK、設(shè)備證書,以及設(shè)備 標識符。在此示例實施例中,許可證服務(wù)器212接收此信息,并且然后在框604處使用SIM 標識符來查找SIM秘密密鑰和存儲的現(xiàn)時值。使用由許可證服務(wù)器212保留的SIM秘密密鑰,這些工具在框606處對{現(xiàn)時值} SK 428進行解密以確定一數(shù)字(經(jīng)解密的現(xiàn)時值),并且如果該數(shù)字匹配存儲在許可證服 務(wù)器212處的現(xiàn)時值,或者是大于該現(xiàn)時值的增量,則許可證服務(wù)器212確定假設(shè)已經(jīng)通過 移動計算設(shè)備間接地從其發(fā)送{現(xiàn)時值}SK 428的SIM卡是合法的。如果SIM 402基于找 到的現(xiàn)時值而是可信的(并且與SIM402相關(guān)聯(lián)的許可證允許所請求的使用),則許可證服 務(wù)器212可以取決于執(zhí)行框608到612的的結(jié)果來準許該使用???08驗證設(shè)備不在撤消列表上或以其他方式可信。許可證服務(wù)器212可以使用 接收到的設(shè)備標識符和設(shè)備證書來這樣做???10基于SIM標識符來查找與設(shè)備相關(guān)聯(lián)的域證書。這些工具然后可以在框612處使用設(shè)備證書來加密域私鑰(“域私鑰”)。在框614,這些工具將此域證書和{域私 鑰}DK發(fā)送到請求使用受保護的媒體內(nèi)容的設(shè)備。由此,許可證服務(wù)器212基于可移動組 件并且在無需可移動組件執(zhí)行諸如非對稱密鑰運算等復(fù)雜計算的情況下執(zhí)行各種密碼功 能以確定用戶是否具有所請求的權(quán)限。這些運算改為由快速遠程計算設(shè)備(此處是許可證 服務(wù)器212)來執(zhí)行。方法500和600可以一起工作以允許進行基于云的可移動組件綁定,在此示例中, 允許安全地使用綁定到SIM 402的受保護的媒體內(nèi)容,而無需SIM 402執(zhí)行通常緩慢和/ 或要求SIM 402具有高于執(zhí)行對稱密鑰運算的計算能力的計算。結(jié)論盡管已經(jīng)用結(jié)構(gòu)特征和/或方法專用的語言描述了基于云的可移動組件綁定的 各實施例,但是應(yīng)該理解所附權(quán)利要求的主題不必限于所述的具體特征或方法。相反,這些 具體特征和方法是作為基于云的可移動組件綁定的示例實現(xiàn)來公開的。
權(quán)利要求
一種或多種具有計算機可執(zhí)行指令的計算機可讀介質(zhì),所述指令在被移動計算設(shè)備上的一個或多個處理器執(zhí)行時執(zhí)行以下動作向物理地連接到所述移動計算設(shè)備但可以從所述移動計算設(shè)備移除的可移動組件請求綁定到所述可移動組件的密碼安全標識符[302],所述密碼安全標識符標識所述可移動組件,并且不可由所述移動計算設(shè)備解密,但可由能夠使用移動設(shè)備通信網(wǎng)絡(luò)來與所述移動計算設(shè)備進行通信的遠程計算設(shè)備解密;從所述可移動組件接收所述密碼安全標識符[304];通過所述移動設(shè)備通信網(wǎng)絡(luò)將所述密碼安全標識符傳送到所述遠程計算設(shè)備以請求使用受保護的媒體內(nèi)容的許可[306],所述密碼安全標識符可由所述遠程計算設(shè)備用來確定所述可移動組件是真實的并且與所述可移動組件相關(guān)聯(lián)的實體具有對所述受保護的媒體內(nèi)容進行所請求的使用的權(quán)限;以及響應(yīng)于傳送所述密碼安全標識符的動作并且通過所述移動設(shè)備通信網(wǎng)絡(luò)從所述遠程計算設(shè)備接收使用所述受保護的媒體內(nèi)容的許可[314]。
2.如權(quán)利要求1所述的介質(zhì),其特征在于,所述可移動組件是用戶標識模塊(SIM)。
3.如權(quán)利要求1所述的介質(zhì),其特征在于,所述可移動組件是相對于所述遠程計算設(shè) 備在計算上較慢的硬件卡。
4.如權(quán)利要求1所述的介質(zhì),其特征在于,所述密碼安全標識符由所述可移動組件通 過使用綁定到所述可移動組件并為所述遠程計算設(shè)備所知的秘密來進行對稱密鑰運算來 計算。
5.如權(quán)利要求1所述的介質(zhì),其特征在于,所述傳送所述密碼安全標識符的動作還傳 送所述可移動組件的非加密標識符以使得所述遠程計算設(shè)備能夠使用所述密碼安全標識 符和所述非加密標識符來認證所述可移動組件,并且其中所述接收許可的動作響應(yīng)于所述 遠程計算設(shè)備使用所述密碼安全標識符和所述非加密標識符來認證所述可移動組件。
6.如權(quán)利要求1所述的介質(zhì),其特征在于,所述傳送所述密碼安全標識符的動作還傳 送標識所述移動計算設(shè)備的設(shè)備標識符以使得所述遠程計算設(shè)備能夠確定所述移動計算 設(shè)備是否是可信的,并且其中所述接收許可的動作響應(yīng)于所述遠程計算設(shè)備確定所述移動 計算設(shè)備是可信的。
7.如權(quán)利要求1所述的介質(zhì),其特征在于,所述接收許可的動作包括接收足以使得所 述移動計算設(shè)備能夠?qū)λ鍪鼙Wo的媒體內(nèi)容進行解密的信息。
8.—種至少部分地由計算設(shè)備實現(xiàn)的方法,包括經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)并且從移動計算設(shè)備接收使用受保護的媒體內(nèi)容的請求[308] 和綁定到可移動組件的密碼安全標識符,所述可移動組件物理地連接到所述移動計算設(shè)備 但可從所述移動計算設(shè)備移除,所述密碼安全標識符標識所述可移動組件;基于所述密碼安全標識符來確定所述可移動組件是真實的并且與所述可移動組件相 關(guān)聯(lián)的實體具有對所述受保護的媒體內(nèi)容進行所請求的使用的權(quán)限[310];以及經(jīng)由所述移動設(shè)備通信網(wǎng)絡(luò)將信息傳送到所述移動計算設(shè)備[312],所述信息足以使 所述移動計算設(shè)備能夠使用所述受保護的媒體內(nèi)容。
9.如權(quán)利要求8所述的方法,其特征在于,所述接收動作接收所述可移動組件的非加 密標識符,并且其中所述確定動作查找與所述非加密標識符相關(guān)聯(lián)的數(shù)字和秘密,使用所述秘密來對所述密碼安全標識符進行解密以提供經(jīng)解密的標識符,并且其中如果所述經(jīng)解 密的標識符匹配所述數(shù)字或是所述數(shù)字的增量,則確定所述可移動組件是真實的并且所述 實體具有所請求的使用的權(quán)限。
10.如權(quán)利要求8所述的方法,其特征在于,所述確定動作包括執(zhí)行非對稱密鑰運算, 并且所述密碼安全標識符由所述可移動組件用對稱密鑰運算來計算。
11.如權(quán)利要求8所述的方法,其特征在于,其上至少部分地實現(xiàn)所述方法的計算設(shè)備 包括具有與所述可移動組件的計算能力相比的快速計算能力的服務(wù)器。
12.如權(quán)利要求11所述的方法,其特征在于,所述可移動組件是相對于所述服務(wù)器在 計算上較慢的硬件用戶標識模塊(SIM)卡。
13.如權(quán)利要求8所述的方法,其特征在于,所述接收動作接收標識所述移動計算設(shè)備 的設(shè)備標識符,并且所述方法還包括在所述傳送信息的動作之前確定所述移動計算設(shè)備是 可信的。
14.如權(quán)利要求8所述的方法,其特征在于,所述信息包括可由所述移動計算設(shè)備用來 對所述受保護的媒體內(nèi)容進行解密的密鑰。
15.—種或多種具有計算機可執(zhí)行指令的計算機可讀介質(zhì),所述指令在被移動計算設(shè) 備上的一個或多個處理器執(zhí)行時執(zhí)行以下動作請求用秘密加密的現(xiàn)時值,所述秘密被綁定到用戶標識模塊(SIM) [502];接收用綁定到所述SIM的秘密加密的所述現(xiàn)時值[504];經(jīng)由移動設(shè)備通信網(wǎng)絡(luò)并且向遠程計算設(shè)備發(fā)送包括下列各項的信息[506]標識所 述SIM的SIM標識符;所述經(jīng)加密的現(xiàn)時值;所述移動計算設(shè)備的設(shè)備證書;以及標識所述 移動通信設(shè)備的設(shè)備標識符,所述信息使所述遠程計算設(shè)備能夠查找所述秘密;用所述 秘密來對所述經(jīng)加密的現(xiàn)時值進行解密以提供經(jīng)解密的現(xiàn)時值;查找與所述SIM相關(guān)聯(lián)的 數(shù)字;驗證所述經(jīng)解密的現(xiàn)時值等于與所述SIM相關(guān)聯(lián)的所述數(shù)字或是所述數(shù)字的增量; 驗證所述移動計算設(shè)備是可信的;查找域證書;以及用所述域證書來加密域私鑰;通過所述移動設(shè)備通信網(wǎng)絡(luò)并從所述遠程計算設(shè)備接收經(jīng)加密的域私鑰和所述域證 書[508];使用所述域證書來對所述經(jīng)加密的域私鑰進行解密以提供所述域私鑰[510];以及用所述域私鑰來對受保護的媒體內(nèi)容進行解密[512]。
16.如權(quán)利要求15所述的介質(zhì),其特征在于,所述經(jīng)加密的現(xiàn)時值是用對稱密鑰運算 來加密的。
17.如權(quán)利要求16所述的介質(zhì),其特征在于,所述經(jīng)加密的域私鑰是使用至少一個非 對稱密鑰運算來加密的。
18.如權(quán)利要求15所述的介質(zhì),其特征在于,所述移動計算設(shè)備是蜂窩電話,并且所述 受保護的媒體內(nèi)容是能夠在所述蜂窩電話上呈現(xiàn)或播放的歌曲、音樂視頻、鈴聲、電影,或 計算機游戲。
19.如權(quán)利要求15所述的介質(zhì),其特征在于,所述現(xiàn)時值是隨機數(shù)或所述隨機數(shù)的增量。
20.如權(quán)利要求15所述的介質(zhì),其特征在于,所述秘密用硬件綁定到所述SIM。
全文摘要
本文描述了能夠允許進行基于云的可移動組件綁定的工具。在某些實施例中,這些工具以密碼安全的方式將受保護的媒體內(nèi)容綁定到移動計算設(shè)備中的可移動組件,而無需可移動組件執(zhí)行復(fù)雜密碼功能。通過這樣做,移動計算設(shè)備可以請求訪問內(nèi)容并且快速且以密碼穩(wěn)健的方式接收使用內(nèi)容的許可。
文檔編號H04L9/32GK101911087SQ200880125024
公開日2010年12月8日 申請日期2008年12月9日 優(yōu)先權(quán)日2008年1月14日
發(fā)明者A·V·格里格羅維奇, K·A·杜巴施, P·施奈爾 申請人:微軟公司