CN103366102A - 用于内容传输和分配的数字版权管理系统 - Google Patents

用于内容传输和分配的数字版权管理系统 Download PDF

Info

Publication number
CN103366102A
CN103366102A CN2013101235211A CN201310123521A CN103366102A CN 103366102 A CN103366102 A CN 103366102A CN 2013101235211 A CN2013101235211 A CN 2013101235211A CN 201310123521 A CN201310123521 A CN 201310123521A CN 103366102 A CN103366102 A CN 103366102A
Authority
CN
China
Prior art keywords
content
key
memory storage
memory
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013101235211A
Other languages
English (en)
Other versions
CN103366102B (zh
Inventor
D·L·必兰肯比克尔
D·伊巴拉
L·和森林克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Western Digital Technologies Inc
Original Assignee
Western Digital Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=49293254&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN103366102(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Western Digital Technologies Inc filed Critical Western Digital Technologies Inc
Publication of CN103366102A publication Critical patent/CN103366102A/zh
Application granted granted Critical
Publication of CN103366102B publication Critical patent/CN103366102B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Abstract

本发明涉及一种针对可下载并从一个存储器安全传输到另一个存储器的内容的数字版权管理(DRM)。存储器可为磁盘驱动器,或网络连接式存储器。存储器执行加密操作并提供信任根。DRM系统使得内容能够安全拷贝或内容从一个存储装置到另一个存储装置的传输。在这个实施例中,由两个存储装置认证和信任的受信任服务器代理内容的传输。受信任的服务器可为DRM系统的单独实体,或DRM系统的现有服务器的组件或功能。在另一个实施例中,存储装置可以以对等的方式传输内容。可基于关联内容的数字证书授权和控制内容的传输。

Description

用于内容传输和分配的数字版权管理系统
相关申请的交叉引用
本专利申请要求2012年4月10日提交的标题为“DIGITAL RIGHTSMANAGEMENT SYSTEM,DEVICES,AND METHODS FORDIGITAL CONTENT”,申请号为61/622,312(档案号码T5453.P)的美国临时专利申请的优先权,和2012年4月20号提交的,标题为“DIGITAL RIGHTS MANAGEMENT SYSTEM TRANSFER OFCONTENT AND DISTRIBUTION”,申请号为61/636,460(档案号码T5921.P)的美国临时专利申请的优先权,其全部内容通过引用并入此处。
背景技术
已经提出许多不同的数字版权管理(“DRM”)系统并在各种平台上实施它们。通常,DRM指用于控制数字内容和装置的使用的技术。例如,DRM常用于防止数字内容的未授权复制。
如今,存在多种多样的能够使用户复制和分配数字内容,特别是已经下载或存储在存储装置如硬盘上的内容的计算装置。而且,迄今为止大多数DRM系统都存在安全漏洞并已经被规避。遗憾的是,由于当前的DRM系统的这些漏洞,内容公司限制了它们的出售物或使用了难以使用的DRM系统。
附图说明
现在将参考以下附图对体现本发明各种特征的系统和方法进行描述,其中:
图1示出根据一个实施例的示范系统;
图1A根据另一个实施例示出示范对等系统;
图1B根据另一个实施例示出示范的受信任服务器系统;
图1C根据一个实施例示出具有用于分配内容至存储装置的信息站的示例;
图2根据一个实施例示出示范审计系统;
图3根据一个实施例示出示范下载系统;
图4根据一个实施例示出示范客户端系统;
图5根据一个实施例示出示范存储装置;
图6根据一个实施例示出产生绑定内容至存储装置的绑定密钥的示范过程流程;
图7根据一个实施例示出向存储装置提供内容的示范过程流程;
图7A根据一个实施例示出从主存储装置至次存储装置对等复制或传输内容的示范过程流程;
图7B根据一个实施例示出通过受信任服务器从主存储装置至次存储装置复制或传输内容的示范过程流程;
图7C根据一个实施例示出从信息站提供内容至存储装置的示范过程流程;
图8根据一个实施例示出播放来自次存储装置的内容的示范过程流程。
具体实施方式
在一个实施例中,数字内容可通过受信任服务器从一个存储装置安全地传输至另一个装置。具体地,数字内容可基于安全元数据,如密钥、版权等的传输从一个装置传输至另一个。一旦安全元数据的传输已经完成,内容也可被复制或传输。提供数字版权管理(“DRM”)方法和系统用于数字内容的受控分配、传输和重放。例如,提供数字版权管理(“DRM”)方法和系统用于数字内容的受控分配,例如通过信息站,和数字内容的重放。数字内容可包括内容本身和元数据。内容可为任何已知格式的文本、文件、音频、视频、多媒体、视频游戏等。内容元数据可为用于处理内容的与该内容相关的任何数据或信息。可使用内容元数据以提供安全的数字内容处理,且提供DRM保护。内容元数据也可包括一个或更多数字证书。
在一个实施例中,DRM系统使内容能够安全复制或传输,例如,从一个存储装置到另一个存储装置。在这个实施例中,内容的传输是基于存储装置间受信任对等的传输执行的。例如,存储装置可使用通透地遂穿一个或更多个主机装置的安全信道从一个存储装置直接传输内容至另一个。在另一个实施例中,DRM系统使内容和/或内容元数据能够安全复制或传输,例如,以对等的方式从一个存储装置到另一个存储装置。
在另一个实施例中,DRM系统使内容和/或内容元数据能够安全复制或传输,例如,通过受信任服务器从一个存储装置到另一个存储装置。在这个实施例中,内容和内容元数据的传输由两组存储装置认证和信任的受信任服务器代理。受信任服务器可为DRM系统的单独实体或DRM系统的现有服务器的组件或功能。
在另一个实施例中,用户可获取内容的一个或更多个复件,但不拥有内容元数据,如必要的加密密钥。因此,在这个实施例中,用户可和系统联系以获取安全的元数据并获得访问内容的权利。在一个实施例中,加密的内容可仅为文本、文件、音频、视频、多媒体、视频游戏等的一部分或多于一个部分。
提供内容的服务器可加密内容的每个复件,该加密是基于对内容的该复件独特的访问密钥。因此,如果访问密钥泄露,则仅内容的一个复件的保护受损。在另一个实施例中,为保护内容可使用非对称加密。
另外,基于访问密钥的配置,内容可独特地绑定至具体装置,如智能存储装置。例如,从至少两个组件生成内容的访问密钥。第一组件为绑定密钥,其对上面存储内容的存储装置是独特/特有的。在一个实施例中,利用随机数或输入该随机数到密钥生成器中,存储装置可生成绑定密钥。第二组件是内容特有的内容密钥。在一个实施例中,用于生成访问密钥的算法可实现为可许可或可更新的函数。
在一个实施例中,只向某些实体提供基于两个组件生成访问密钥的算法。例如,存储内容的存储装置不保留其绑定密钥的任何复件,也不具有生成访问密钥的算法。生成绑定密钥的算法可为可许可或可更新的。
在一个实施例中,使用了双向认证,例如,利用公钥基础设施(“PKI”)和基于公钥证书的认证来确保系统中的实体是受信任的。系统的各种组件,如存储装置,可为智能的,并从而能够彼此双向认证,这在现有技术中是不可能的。例如,存储装置和播放器或下载服务器可彼此互相认证。这种形式的认证确保存储装置确认和播放器的信任关系,反之亦然。常规的DVD和蓝光光盘不包含认证或和播放器或下载服务器建立信任关系的这种部件。PKI因此提供一个环境,其中DRM系统的实体可注册其身份并彼此建立信任。
在一个实施例中,DRM系统的实体使用公钥证书,也就是,证明其身份的数字证书,并确定其内容的各种使用的授权。在另一个实施例中,受信任方管理证书颁发机构(“CA”)以监督PKI和数字证书。此外,在任何实施例中可供给CA的多个级别。
可从CA的一个或更多个向DRM系统的所有装置颁发证书。如果需要,一个实施例可规定实体的证书的全部撤销。如上所述,可在实体间使用双向互相认证,以建立用于交换和分配内容的安全通信信道。也可向每项内容颁发数字证书。这允许内容在确定装置是否可信任时发挥作用。
现在将对本发明的某些实施例进行描述。这些实施例仅以例子的形式示出,且不意欲限制本发明的范围。确实,这里描述的新方法和系统可以各种其它形式体现。此外,可对这里描述的方法和系统的形式作出各种省略、替换和改变,而不偏离本发明的精神。为说明一些实施例,现在将参考附图。
图1示出一个实施例的示范系统100。如所示的,系统100可包括,除了别的之外,审计系统102、下载系统104、客户端系统106和网络108。现在将对这些组件和其操作的某些方面做出进一步描述。
审计系统102作为系统100的受信任方。此外,审计系统102可提供与在系统100中内容的分配和重放相关的各种管理功能。在一个实施例中,审计系统102验证并证明加密密钥为系统100中使用的PKI的一部分。参考图2对审计系统102做出进一步的描述。
下载系统104包括用于在系统100中分配内容的硬件和软件组件。在一个实施例中,下载系统104包括网站,其包括至内容的链接。下载系统104也可提供链接以允许与审计系统102的事务,如至密钥服务器和证书颁发机构的链接。参考图3对下载系统104进行进一步描述。
客户端系统106可为用于访问系统100所提供内容的任何装置。例如,客户端系统106可包括计算机、电视机、便携式或移动装置、视频游戏控制台、便携式视频游戏控制台和关联的存储器。任何能够下载、存储或播放内容的装置可实施作为客户端系统106的部分。例如,客户端系统106可包括台式计算机、膝上型计算机、平板计算机、智能电话、电视机、数字视频录像机、机顶盒、视频游戏控制台或便携式视频游戏控制台,或其它形式的电子装置。客户端系统106也可包括有线和/或无线网络和存储器,如网络连接式存储(“NAS”)或外部驱动器。实施例可对任何形式的存储装置有效,如固态和闪存存储器。参考图4对客户端系统106进一步描述。
客户端系统106可包括多种存储装置,用户可利用其存储并访问客户端。例如,如所示的,客户端系统106可包括主存储装置110和次存储装置112。主存储装置110,例如,可为硬盘驱动器、闪存驱动器、混合驱动器等。这种存储装置对本领域技术人员是已知的。在另一个实施例中,存储装置可为网络连接式存储器。
次存储装置112代表客户端系统106可使用的任何额外存储器。例如,次存储装置112可为客户端系统106的附加硬盘驱动器、外置驱动器等。替代地,次存储装置112可为主存储装置110的备份存储器。在另一个实施例中,存储装置可为网络连接式存储器。
网络108提供通信基础设施,系统100的各种组件通过其进行通信。网络108可包括网络和网络元件的任何集合。例如,可于互联网上实施网络108。然而,网络108可包括任何局域网、城域网或广域网,并可作为专用网络、公共网络等实施。因此,网络108可包括有线或无线通信链接。
受信任服务器114用作控制局,允许内容从一个存储装置移至另一个存储装置。在一个实施例中,受信任服务器114可用已知硬件和软件实施。例如,受信任服务器114可为耦合到与系统的其它服务器分离的网络108的服务器。替代地,受信任服务器114可在同一硬件上实施,或可集成为另一个组件如下载系统104或审计系统102的组件。受信任服务器114可经配置基于利用内容的数字证书或例如,存储在下载系统104中的安全内容元数据,控制内容的复制和传输。参考图7A对传输或复制内容的示范过程做出进一步描述。
系统100可支持下载和播放内容的几种情况。例如,内容可通过网络108从客户端系统106下载到便携式存储装置中。然后,通过从存储装置流式传输内容,内容可在重放装置上播放,如蓝光播放器、游戏控制台、电视机。作为另一个例子,重放装置可包括集成的存储装置,其用于内容的下载和重放。作为另一个使用情况,内容可下载到在客户端系统106中的NAS系统。
然而另一个实施可包括客户端系统106,其具有绑定内容的连接网络的存储装置或媒体播放器。然后,客户端系统106的用户可远程访问内容并在移动装置上播放,如iPad、iPod、iPhone、便携式视频游戏控制台,如便携式
Figure BDA00003033218300061
或Nintendo DS等,其通过WiFi、3G、4G或其它通信信道上的安全连接,如无线连接,连接至存储装置或媒体播放器。在系统100的另一个实施中,客户端系统106包括如通过蓝牙或WiFi或类似的通信系统可无线访问的便携式存储装置或媒体播放器。客户端系统106中的便携式存储装置或媒体播放器因此可作为客户端系统106中用于在便携式和启用网络的查看装置上重放的内容的来源。
图1A示出实施例的另一个示范对等系统100。如所示的,系统100可包括,除了别的之外,审计系统102、下载系统104、客户端系统106和网络108。在这个实施例中,次存储器112远离客户端系统106,如网络备份存储系统、网络连接式存储器或云存储系统。
次存储系统112可以是为客户端系统106提供文件备份和存储的任何系统和服务,该文件包括由系统100的DRM保护的内容。可基于已知硬件和软件实施存储系统112。例如,次存储系统112可为服务器、文件托管服务、内容柜(content locker)等。在一个实施例中,次存储系统112可使用HTTP和FTP访问来访问文件。此外,次存储系统112可提供主存储110的自动或定期备份、加密、逐文件恢复、文件同步、数据压缩、版本控制等。
图1B示出实施例的另一个示范受信任服务器系统100。如所示的,系统100可包括,除了别的之外,审计系统102、下载系统104、客户端系统106、网络108和受信任服务器114。在这个实施例中,次存储器112作为远程备份存储系统116的部分实施。替换地,次存储器112可为网络连接式存储器。
备份存储系统116可为任何为客户端系统106提供文件备份和存储的系统和服务,这些文件包括由系统100的DRM保护的内容。备份存储系统116可基于已知硬件和软件实施。例如,备份存储系统116可为服务器、文件托管服务、内容柜等。在一个实施例中,备份存储系统116可使用HTTP和FTP访问来访问文件。
备份存储系统116也可提供各种功能,以保护次存储112。例如,备份存储系统116可提供主存储110的自动或定期备份、加密、逐文件恢复、文件同步、数据压缩、版本控制等。如所示的,虚线示出功能关系。在一个实施例中,安全的连接通过客户端系统代理,作为对客户端系统透明的安全遂道/通道。
图1C示出实施例的示范系统100,其具有用于分配内容至存储装置的信息站。如所示的,系统100可包括,除了别的之外,审计系统102、下载系统104、信息站106'和网络108。现在将对这些组件和其操作的某些方面进行进一步描述。
审计系统102用作系统100的受信任方。此外,审计系统102可提供和系统100中内容的分配和重放相关的各种管理功能。在一个实施例中,审计系统102验证并证实加密密钥为系统100中使用的PKI的部分。参考图2对审计系统102做出进一步描述。
下载系统104包括用于在系统100中分配内容的硬件和软件组件。在一个实施例中,下载系统104包括网站,其包括至内容的链接。下载系统104也可提供链接以允许与审计系统102的事务,如至密钥服务器和证书颁发机构的链接。参考图3对下载系统104做出进一步描述。
信息站106'可为用于访问和分配系统100提供的内容的任何装置。例如,信息站106'可作为自助服务的计算机终端实施。在一个实施例中,信息站106'可包括专用硬件和软件,其经设计使得信息站106'放置在公共环境中。信息站106'可包括各种用户接口设备,如键盘、显示器等,以允许使用信息站106'。
如所示的,信息站106'可直接或间接耦合至本地内容数据库110。本地内容数据库110用作为例如从下载系统104下载的多个内容的本地存储基础设施。因此,如所示的,用户可连接存储装置112至信息站106',并从本地内容数据库110或下载系统104下载内容。参考图4对信息站106'做出进一步描述。
网络108提供通信基础设施,系统100的各种组件通过其进行通信。网络108可包括网络和网络元件的任何集合。例如,网络108可于互联网上实施。然而,网络108可包括任何局域网、城域网或广域网,并可实施为专用网络、公共网络等。因此,网络108可包括有线或无线通信链接。
系统100可支持下载和播放内容的几种情况。例如,内容可通过网络108从信息站106'下载到便携式存储装置112。然后,通过从存储装置流式传输内容,内容可在重放装置如蓝光播放器、游戏控制台、电视机上播放。作为另一个例子,重放装置可包括集成的存储装置,其用于内容的下载和重放。
然而另一个实施可包括具有高速接口如USB(通用串行总线)3.0接口等的信息站106',存储装置或媒体播放器可与高速接口相连。然后,信息站106'的用户可访问本地数据库110中的内容,或从下载系统104下载内容用于以后在移动装置如iPad、iPod、iPhone等上播放。在一个实施例中,信息站106'通过借助WiFi、3G、4G或其它通信信道,如USB3.0,的安全连接,如无线连接,连接至存储装置或媒体播放器。
图2示出实施例的示范审计系统。如所示的,审计系统102可包括密钥服务器200、密钥数据库202和证书颁发机构204。
密钥服务器200是接收并提供一个实施例中利用的各种加密密钥的服务器。密钥服务器200可利用已知硬件和软件实施。在一个实施例中,密钥服务器200分配密钥作为部分数字证书。数字证书可包含密钥和有关密钥所有人的信息。密钥服务器200可提供已知格式的证书,如X.509、PKCS、OpenPGP等。
密钥数据库202存储密钥和密钥服务器200使用的其它相关信息。密钥数据库202可利用已知数据库管理系统如Oracle、DB2、MicrosoftSQL、PostgreSQL和MySQL实施。
证书颁发机构(或CA)204为系统100颁发数字证书。可为系统100中每个受信任方定制证书格式和内容。此外,在一个实施例中,每项内容可具有受信任方证书作为其部分元数据。证书允许和内容关联的软件独立确定客户端系统106中的播放器是否正在尝试访问可信任的内容。例如,如果客户端系统106中的播放器不被信任,关联内容的软件可限制播放器访问高清晰内容或其它部分内容。在系统100中,任何受信任方都可撤销所有证书,撤销某些证书或已颁发证书的某些部分。
在一个实施例中,公钥基础设施(PKI)用于证书签名。例如,在系统100中,PKI在装置认证过程中用在客户端系统106中,并用于在存储装置、下载系统104或重放装置间建立安全通信信道。在一个实施例中,系统100中各种实体间使用双向认证。例如,存储装置可为智能装置,其经配置进行有效认证,并基于完全双向认证建立和重放装置或下载服务器104的信任关系。
在系统100的实体间,每次安全会话可利用独特的安全参数。例如,会话密钥、会话ID、初始化向量(“IV”)、基于散列的消息认证码(“HMAC”)密钥可以是对每次会话特有的。在一个实施例中,系统100利用基于对称加密受保护的安全通信信道。在另一个实施例中,系统100可利用PKI建立安全信道。
图3示出实施例的示范下载系统。如所示的,下载系统104可包括下载服务器300和内容数据库302。
下载服务器300为系统100交付内容,例如,至客户端系统106。在一个实施例中,下载服务器30用可源自绑定密钥和内容密钥的访问密钥加密内容。下面对绑定密钥和内容密钥做出进一步描述。
如所示的,下载服务器300可包括网络服务器,其提供各种网页306至客户端系统106,从而使得内容数据库302中的内容可访问。在一个实施例中,为了提供内容,下载服务器200提供具有很多网页306的一个或更多个网站。
在一个实施例中,内容的每份复件都是独特加密的。可独特加密内容整体,或可独特加密内容的某些部分。因此,如果一项内容或其访问加密曾经受损,则损害只限于该项内容。如以下将进一步描述,只有下载服务器300和播放器具有生成访问密钥的算法。此外,如上所述,生成访问密钥的算法可为可获许可或可更新函数。
内容数据库302存储内容、内容元数据和下载服务器提供的有关信息。提供存储和访问基础设施以提供内容项。这种数据库管理系统对本领域技术人员是已知的。
内容提供商304概念上代表内容源。例如,内容提供商304可代表其它数据库或内容存储库、内容交付网络等。任意内容源可包括在任意实施例中。
图4示出实施例的示范客户端系统106。许多内容提供商的顾虑为,客户端系统中基于软件的播放器被认为具有高安全风险,因为其易于修改和受黑客攻击。实施例的一个好处是,客户端系统106包括具有硬件信任根的装置。装置中的硬件信任根包括安全的加密硬件,其使内容能够重放,重放不只是基于软件,而是利用硬件信任根中提供的加密硬件。
例如,在一个实施例中,媒体播放器可包括专用硬件加密处理电路和执行安全计算和关键加密参数的安全存储的加密边界。作为另一个例子,网络连接式存储(“NAS”)控制器可包括可作为信任根的专用硬件。因此,一个实施例可提供能够实现内容的安全下载,内容的安全存储和内容的安全重放的安全DRM系统。
如将进一步描述的,客户端系统106包括智能存储装置,如具有存储介质402的主存储装置110和包括硬件信任根作为加密处理模块409的部分的控制器408。在一个实施例中,加密处理模块409与其它控制器功能是分离的。明文非对称和对称密钥访问限于加密模块。在这个实施例中,非对称和对称密钥可在加密模块中生成。系统100的DRM使用公/私密钥对。任何存储在加密模块外部的密钥是受密码保护的。因为非对称和对称密钥在加密模块409内,所以攻击者难以获得私钥。这允许安全的PKI实施作为系统100的DRM的部分。在另一个实施例中,各种密钥或加密数据可注入或安全地存储在存储装置110上。例如,在安全的制造环境中,一个或更多个密钥可注入到存储装置110上。
在一个实施例中,加密模块409用于生成安全地在其边界内的额外密钥。例如,加密模块409可经配置生成用于绑定内容至存储装置110的绑定密钥。加密模块409也可包括对安全信息数字签名并将其存储在非安全存储器中的能力,和对安全信息数字签名并加密及将其存储在非安全存储器中的能力。
在一个实施例中,客户端系统106中的重放装置也可被从证书颁发机构204颁发证书。在一个实施例中该证书可存储在播放器的处理器无法访问的安全区域。在另一个实施例中,例如,在主机装置上运行的播放器可在任意地方存储证书,如,在存储介质402的用户区或其它非安全区域中。重放装置可以以加密形式或受保护形式存储证书,如带有数字签名。当播放器和存储装置110执行认证时,两个装置中的加密模块将会是能够访问安全数据以执行认证并建立安全通信信道的的唯一实体。
在一个实施例中,内容和内容元数据不提供访问内容的入口。相反地,一旦建立安全的通信信道,重放装置将请求绑定和内容密钥。回应该请求,存储装置然后可发送绑定和内容密钥至播放器,使得其可生成访问密钥。访问密钥用于解密并表现内容。本领域技术人员将意识到,通过利用这些安全加密模块用于安全相关的通信和安全参数、内容元数据(如绑定和内容密钥)和密钥的处理,系统100的DRM比现有系统更加难以攻击和损坏。
如图所示,客户端系统106可包括主机装置400和存储装置110。主机装置400可包括,除其它以外,处理器404、主机加密模块405和输出装置406。现在将对主机装置404的这些组件做出进一步描述。
处理器404包括硬件,用于执行指导主机装置400的操作的指令。这种处理器对本领域技术人员是已知的。
主机加密模块405包括用于为主机装置执行加密操作的硬件。此外,主机加密模块405可利用各种安全措施被封装或嵌入以抵抗篡改。
输出装置406代表打算输出内容的任何装置。例如,输出装置406可包括显示器、音频扬声器等。这种输出装置对本领域技术人员是众所周知的。
存储装置110可包括,除其它以外,存储介质402、控制器408和加密模块409。现在对存储装置110的这些组件做出进一步描述。
控制器408包括控制存储装置110的操作并能够实现与主机装置400的通信的硬件和固件。控制器408可利用已知的硬件和组件实施。
加密模块409可为存储装置110提供信任基础,如硬件信任根。在一个实施例中,加密模块409为安全加密处理器,其经配置执行各种加密操作。在一个实施例中,加密模块409可实施为外部片上系统,其利用各种安全措施被封装以检测篡改,并使其抵抗篡改。在另一个实施例中,加密模块409可实施为另一个片上系统内的部分或嵌入其中,或实施为利用各种安全措施封装以检测或抵抗篡改的其它硬件。加密模块可以与其它片上系统(“SoC”)功能隔离或不隔离。
存储介质402是指存储装置110用于存储信息的物理介质。在一个实施例中,存储介质402可包括磁性介质、光学介质、半导体介质,如闪存等。在一个实施例中存储介质402可包括这些介质的任意组合。
图5进一步示出实施例的示范存储装置110。如图所示,加密模块409可包括受保护存储器502。此外,存储介质410可包括用户区域504和非用户区域506。
受保护存储器502提供安全区域以存储有关系统100提供的DRM的敏感信息,如内容元数据。在一个实施例中,受保护存储器502实施为一次性可编程非易失性存储器(“OTP NVM”)。作为OTP NVM,受保护存储器502只可被编程一次并难以改变。此外,受保护存储器502也可包括一个或更多个存储器,如ROM(只读存储器)、静态RAM(随机存取存储器)和动态RAM。
至于用户区域504,存储介质410的这个区域被提供作为主机装置400可访问的存储空间。例如,用户区域504可为根据由主机装置400使用的逻辑块地址(LBA)可寻址的。
存储装置110可经配置包括受保护的用户空间504中的分区。也就是,可利用加密模块409生成的单独密钥加密这个分区中的数据。只许可认证的下载客户端或播放器访问该分区。在一个实施例中,来自用户空间504中这个分区的所有或某些数据可只通过安全的认证信道发送。
用户空间504的这个分区可用于,例如,额外内容元数据文件和有关系统100的DRM的信息。实际内容本身可只以加密的形式从下载服务器300发送或发送至客户端系统106中的播放器,因此内容可存储在用户空间504中。
如图所示,存储装置110也可包括非用户区域506。非用户区域506为主机无法直接访问的存储介质410的保留区。例如,非用户区域506可指主机系统无法寻址的区域。在一个实施例中,非用户区域506而保留用于由控制器408和加密模块使用,例如,以存储有关系统100的DRM的各种敏感信息,如内容元数据信息。
在一个实施例中,加密模块409可产生新安全密钥,并允许存储装置110为介质的特别分区区域产生安全的独特磁盘加密密钥,该特别分区区域在用户LBA空间如非用户区域506中不可见。利用该密钥,加密模块409因此可加密所有数据至该非用户区域506。
非用户区域506可用于存储有关系统100的DRM的安全元数据。该元数据可包括,例如,证书、密钥文件、许可文件等。例如,存储装置110将具有从证书颁发机构204颁发给它的证书。该证书可存储在这个非用户区域506中,并将为该区域利用密钥加密。这将绑定证书至存储装置110。因此,如果驱动器的克隆复件以某种方式被制造,则克隆体将不包括用于非用户区域506的加密密钥,并且因此,存储在该区域中的数据无法被正确解密。
替换地,关键安全参数,如密钥、证书或其它物体,可分别被加密保护并存储到存储介质。
因此,在一个实施例中,为了访问内容,控制器408和记录介质410无法彼此分开起作用。也就是,控制器408或介质410的完整复件单独将不足以访问内容。
图6示出生成绑定内容至存储装置的绑定密钥的示范过程流程。在一个实施例中,利用随机数并输入该随机数到密钥生成器中,存储装置可生成绑定密钥。密钥生成器可为在存储装置或存储装置的硬件组件中运行的软件。在一个实施例中,绑定密钥由两部分组成。在一个实施例中,第一部分基于存储装置的缺陷列表。第二部分基于存储装置上加密模块隐藏的密钥。为保护绑定密钥,绑定密钥不和内容或内容元数据一起存储在存储装置110中。相反地,绑定密钥的部分是分别存储的。此外,在一个实施例中,绑定密钥作为临时密钥生成,并且因此,只有当需要时才被存储装置计算。本方法还包括针对可更新函数的能力。如上所述,绑定密钥可以是各个存储装置特有或一类装置特有的,如同一类型的装置等。
如图所示,第一,存储装置110被提示以确定或识别关于其自身的独特特征。例如,存储装置110可确定或识别缺陷列表600。在一个实施例中,缺陷列表600对应制造时存在于存储介质410上的缺陷的P-列表或零时列表(time-zero list)。当然,在其它实施例中,独特特征可源自或来源于存储装置110的其它部分。
第二,加密模块409加密处理缺陷列表600并生成独特的标识符602。例如,加密模块409可计算来自缺陷列表600的信息的散列。此外,加密模块409可对独特标识符602数字签名。替代地,可通过利用随机数生成器生成存储装置特有的随机数,生成独特标识符602。例如,加密模块409可包括随机数生成器,其为加密模块409中的物理装置或组件或是在加密模块409中运行的软件。替代地,随机数生成器可为单独的软件或在存储装置上运行的硬件装置。
第三,加密模块409可在安全区域中存储独特标识符602。例如,如图所示,加密模块409也可在非用户区域506中存储加密保护的独特标识符602。
第四,加密模块409可生成隐藏的密钥604。在一个实施例中,密钥604是隐藏的,因为其不和其他内容元数据一起存储,而是存储在受保护的存储器502中。加密模块409可生成一个或一组多个隐藏密钥604。因此,如果这些密钥中的一个泄露,加密模块409可切换至组中的下一个密钥。如果使用了所有密钥,或如果不希望产生或存储密钥组,那么加密模块409可根据请求生成新的隐藏密钥604。值得注意,控制器408可经配置跟踪哪个内容被绑定到哪个密钥。
基于独特标识符602和隐藏密钥604,存储装置110可生成绑定密钥606,其源自控制器408提供的信息和存储介质410的独特特征。在一个实施例中,加密模块409临时生成绑定密钥606。
绑定密钥606将内容加密绑定到存储装置110。例如,绑定密钥606可作为内容的元数据的部分通过安全通信信道被发送至下载系统104中的下载服务器300。然后,下载服务器300可利用绑定密钥作为用于加密内容的访问密钥的一个组件。
在合适的时间,也可通过安全信道使得认证的播放器可获得绑定密钥606,以在内容的重放期间使用。例如,存放装置110可配置有专用命令,其只有当发送装置已经被认证并通过安全信道通信时才被接受。
基于绑定密钥606,因为存储装置中的隐藏密钥是独特的且安全地存储在加密模块409的受保护存储器502中且无法复制或克隆到另一个驱动器,所以即使完成了整体介质410的精确逐位复制,克隆的介质也将无法用于表现内容。
图7示出向存储装置供应内容的示范过程流程。在这个实施例中,可撤销性和可再生性是DRM系统的属性。作为额外的安全系统组件,示出的过程流程可包括各种可再生性特征。例如,密钥可被淘汰或预先生成的随机密钥可与安全分配算法一起使用,该安全分配算法随时间的变化而变化或针对向存储装置110提供的每项内容以随机方式利用多个密钥。例如,实施例可利用可适用于所有播放器的更新文件的令牌化。
在一个实施例中,过程涉及内容和内容元数据的提供,如绑定密钥和内容密钥。其它元数据,如数字证书等也可被提供作为实施例的部分。
如图所示,第一,存储装置110和下载服务器300彼此间建立安全的通信信道。例如,下载服务器300和存储装置110可使用PKI建立安全通信信道。具体地,主机400可向存储装置110请求证书。存储装置110可取回其证书,例如,从其在介质510中的非用户区域506。然后,存储装置110可发送装置会话ID和其证书。证书包括其公钥;PublicDevice
在一个实施例中,主机400核实证书。例如,主机400可检查证书上的签名。主机400也可检查其撤销列表以确保来自存储装置110的证书没有被撤销。替代地,主机400可通过网络108与审计系统102和证书颁发机构204进行通信,以核实证书并检查证书的撤销状态。
然后,主机400通过发送主机会话ID和其证书至存储装置110来做出回应,其证书包括其公钥PublicHost。存储装置110核实主机证书并检查签名。存储装置110也可检查其自身撤销列表以确保主机400没有被撤销。
然后,主机400可从存储装置110请求会话密钥。作为回应,在一个实施例中,存储装置110用PublicHost加密随机会话密钥、随机装置初始化向量(“IV”)和随机装置基于散列的消息认证码(“HMAC”)密钥,并发送其至主机400。
主机400用PrivateHost解密信息,以恢复装置会话密钥、装置IV和装置HMAC密钥。主机400用PublicDevice加密随机主机会话密钥、随机主机IV和随机主机HMAC,并发送这条信息至存储装置110。然后,存储装置110用PrivateDevice解密这条信息,以恢复主机400的会话密钥、主机IV和主机HMAC密钥。
主机400也可用装置会话密钥加密随机盘问,并发送其至存储装置110。存储装置110用装置会话密钥解密主机随机盘问,并然后用主机会话密钥加密主机随机盘问,并将这条信息发送回主机400。主机400用主机会话密钥解密主机随机盘问,并确认其与原来发送到存储装置110的内容相匹配。这证明存储装置110知道对应于用其装置证书发送的公钥的私钥。
为进一步确认,主机400可向存储装置110请求随机盘问。存储装置110用主机会话密钥加密装置随机盘问,并发送这条信息至主机400。然后,主机400用主机会话密钥解密装置随机盘问,并用装置会话密钥加密装置随机盘问,并将这条信息发送回存储装置110。存储装置用装置会话密钥解密装置随机盘问,并确认其与原来发送到主机400的内容相匹配。这证明主机400因此知道对应于用主机400的证书发送的公钥的私钥。
在一个实施例中,存储装置110可使用AES加密与主机会话密钥和主机IV,用于到主机400的安全消息。主机400也可使用AES加密与装置会话密钥和装置IV,用于到存储装置110的安全消息。
一旦已经建立安全会话,会话通信可利用非对称或对称算法实施。在一个实施例中,每个安全信息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在一个实施例中,会话通信基于非对称加密建立,并然后基于对称加密受到保护。例如,一旦已经建立安全会话,会话通信可基于对称加密实施,如具有会话密钥和建立IV的AES加密和AES解密。每个安全消息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在另一个实施例中,也可使用非对称加密以在会话期间保护通信量。
第二,由于建立了安全信道,下载服务器300向存储装置110请求绑定密钥。具体地,下载服务器300可通过安全信道发送消息至存储装置110。如上所述,在一个实施例中,绑定密钥606最初是不在内容的元数据中的,且当需要时生成。
第三,存储装置110生成绑定密钥606。具体地,加密模块409基于独特密钥602和隐藏密钥604生成绑定密钥606。
在一个实施例中,加密模块409使用单向散列算法或高级加密标准(AES)算法来生成绑定密钥,Kb,其中:
Kb=F(Kroot,IDm)
其中,F是单向函数,
Kroot是加密模块409生成的密钥,也就是,隐藏密钥604,
IDm是在存储装置110的制造过程中分配的独特介质标识符号码,如独特标识符602。
替代地,加密模块409可利用随机数,如来自随机数生成器的随机数,并输入该随机数到密钥生成器中生成绑定密钥。密钥生成器可为在加密模块409中的软件或硬件组件。
第四,下载服务器300向密钥服务器200请求用于保护内容的内容密钥。可通过各种方法分配内容密钥至内容。例如,密钥服务器200可分配每项内容特有的内容密钥。在一个实施例中,内容密钥700作为内容的部分元数据提供,并存储在存储装置110上。当发送至主机400时,内容密钥700可受加密保护。
第五,密钥服务器200向下载服务器300提供内容密钥700。具体地,密钥服务器200可与下载服务器300建立安全信道,例如,基于PKI。
第六,下载服务器300基于绑定密钥606和内容密钥700生成访问密钥706。具体地,下载服务器300可使用独特算法来加密结合绑定密钥606和内容密钥700,并生成访问密钥706,例如,基于单向散列算法。独特算法可仅对系统100的某些实体是已知的,如下载服务器300和客户端系统106中受信任的重放装置。算法可为可获许可或可更新的函数。此外,一个或更多个算法可通过内容的安全元数据的字段或部分从下载服务器300传递至客户端系统106中的受信任组件。例如,一组多个算法可最初配置或建立在客户端系统106的受信任组件中。然后,下载服务器300可在内容的安全元数据中提供指针或指示器,指示当生成访问密钥时要使用的算法组。
在一个实施例中,访问密钥706不包括在内容元数据中,也不存储在下载服务器300上。例如,取而代之地,下载服务器300可经配置临时生成访问密钥706。替代地,用于生成访问密钥706的信息可由下载服务器300存档到安全远程存储器。例如,审计系统102可作为用于安全存储绑定密钥606和/或内容密钥700的安全存储库。
第七,下载服务器300向存储装置110提供内容密钥700。然后,存储装置110安全地存储内容密钥700。例如,存储装置110可存储内容密钥700在非用户区域506中。
第八,下载服务器300将内容702的全部或部分加密成已加密内容704。例如,下载服务器300可使用AES加密,以基于访问密钥706加密内容702。
第九,下载服务器300向存储装置110提供已加密内容704。存储装置110然后可存储已加密内容704,例如,在其用户区域中。
图7A示出根据一个实施例从主存储装置复制或传输内容至次存储装置的示范过程流程。如图所示,首先,存储装置110和次存储装置112彼此间建立安全的通信信道。例如,这些实体可使用PKI来建立彼此的安全通信信道,其通透地遂穿过一个或更多个主机系统400。
一旦已建立安全会话,可基于对称加密,如具有会话密钥和建立的IV的AES加密和AES解密实施会话通信。每个安全消息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在另一个实施例中,也可使用非对称加密以在会话期间保护通信量。
在一个实施例中,存储装置110可利用主机装置400代理安全信道,安全信道通透地遂穿过主机装置。例如,存储装置110可为连接主机的直接附加USB。在这个实施例中,主机提供在安全信道的建立中用于辅助的代理,但安全信道实施为通过主机的安全遂道。为说明的目的,为了附图的清晰,省略了通过主机的遂穿。
第二,既然已建立了安全信道,主存储装置110和次存储器112每个都请求传输或复制内容的许可。例如,主存储装置110和次存储装置112每个都可从彼此请求传输内容的许可。次存储器112和主存储器110可基于各种标准单个确定许可。在一个实施例中,存储装置110和112可分析一个或更多个数字证书,以确定传输内容和/或内容源数据的授权和访问限制。
第三,存储装置110生成绑定密钥606。具体地,加密模块409基于独特密钥602和隐藏密钥604生成绑定密钥606。值得注意的是,绑定密钥606绑定至存储装置110的特征产生了内容的所有权链和鉴识溯源性。
此外,次存储器112也可从存储装置110获取内容密钥700。在一个实施例中,主存储装置110向次存储装置112提供绑定密钥606和内容密钥700。在一个实施例中,内容密钥源自主存储器110。
在另一个实施例中,次存储器112从其它来源如受信任服务器114、下载系统104或审计系统102获取内容密钥700。例如,次存储器112可经配置与这些实体之一建立安全通信信道并请求内容密钥700。次存储器112做出的这个请求也可由受信任系统114确认或授权。在一个实施例中,存储装置不需要第三方或受信任系统,并且取而代之地,建立对等的安全连接。对等连接可以以多种方式建立,包括,例如,存储装置110或112的一个或更多个数字证书中规定的策略限制,内容等。
第四,主存储装置110可通过受信任服务器114传输已加密内容704,并传输至次存储器112。该传输可利用已知的文件传输协议、流传输等执行。在一个实施例中,主存储装置110通过受信任服务器114传输内容704的安全元数据至次存储器112。然后,内容704可通过受信任服务器114或主存储装置110和次存储装置112间的对等连接,从主存储装置110传输至次存储器112。
图7B示出根据一个实施例通过受信任服务器从主存储装置复制或传输内容至次存储装置的示范过程流程。如图所示,第一,存储装置110和次存储装置112建立与受信任服务器114的安全通信信道。例如,这些实体可使用PKI建立彼此间和与受信任服务器114的安全通信信道。然后,受信任服务器114可控制和监督内容从存储装置110到次存储装置112的传输,下面将对其进行描述。
一旦已建立安全会话,会话通信可基于对称加密如具有会话密钥和建立的IV的AES加密和AES解密实施。每个安全消息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在另一个实施例中,也可使用非对称加密以在会话期间保护通信量。
在一个实施例中,存储装置110可利用主机装置400代理安全信道,安全信道通透地遂穿过主机装置400。例如,存储装置110可为连接主机的直接附加USB。在这个实施例中,主机提供在安全信道的建立中用于辅助的代理,但安全信道实施为通过主机的安全遂道。为说明的目的,为了附图的清晰,省略了通过主机的遂穿。
第二,由于已建立了安全信道,所以主存储装置110和次存储器112每个都请求传输或复制内容的许可。例如,主存储装置110和次存储装置112可从受信任服务器114请求传输内容的许可。受信任服务器114可基于各种标准确定许可。在一个实施例中,受信任服务器114可分析一个或更多个数字证书,如存储装置110和112和内容的数字证书。
第三,存储装置110生成绑定密钥606。具体地,加密模块409基于独特密钥602和隐藏密钥604生成绑定密钥606。值得注意的是,绑定密钥606绑定至存储装置110的这个特征产生了内容的所有权链和鉴识溯源性。例如,在一个实施例中,来自存储装置110的绑定密钥606可通过安全信道发送至次存储装置112。然后,次存储装置112可用其自身的隐藏密钥加密绑定密钥606,且因此,主存储装置110的绑定密钥606也加密地绑定至次存储装置112。
此外,次存储器112也可从存储装置110获取内容密钥700。在一个实施例中,主存储装置110向次存储装置112提供绑定密钥606和内容密钥700。
在另一个实施例中,次存储器112从另一来源,如受信任服务器114、下载系统104或审计系统102获取内容密钥700。例如,次存储器112可经配置与这些实体之一建立安全通信信道并请求内容密钥700。次存储器112做出的这个请求也可由受信任系统114确认或授权。
第四,主存储装置110可传输已加密内容704至次存储器112。该传输可利用已知的文件传输、流传输等的协议执行。在一个实施例中,内容的传输直接发生在主存储装置110和次存储器112之间。在另一个实施例中,传输通过受信任服务器114发生。在另一个实施例中,第一存储器110证明内容的所有权。然后,通过生成新绑定密钥并传输元数据,重新绑定内容至次存储器112。也就是,受信任服务器重新提供内容至次存储装置。
图8示出根据一个实施例的播放来自次存储装置112的内容的示范过程流程。如图所示,第一,主机系统400和次存储装置112可彼此间建立安全通信信道。为简洁,上面参考图7提供了基于PKI的建立安全信道的例子。在一个实施例中,存储装置110将评估内容的数字证书和播放器证书,以确定播放器适合接收内容和/或内容元数据。
第二,主机系统400向次存储装置112请求绑定密钥606。值得注意的是,在一个实施例中,存储装置112安全地保留主存储装置110的绑定密钥606,内容起初是向该主存储装置110提供的。如上所述,如果需要,例如为了恢复,盗窃侦查等,这个特征提供了内容的鉴识信息和所有权溯源性。
相应地,第三,存储装置112提供主存储装置110的绑定密钥606。在一个实施例中,次存储装置112在其安全存储区域506中以加密的形式存储绑定密钥606,并使用来自其加密模块409的隐藏密钥605。如上所述,主存储装置110的这个绑定密钥606加密地绑定到次存储装置112。
第四,主机系统400向存储装置110请求内容密钥700。在一个实施例中,内容密钥700可从存储在存储装置的非用户区域中的内容元数据取回。具体地,主机系统400可基于各种参数,如内容标识符等,请求或指定内容密钥700。
第五,存储装置110向主机系统400提供内容密钥700。例如,存储装置110可访问非用户区域506并传输内容密钥700至主机系统400。当取回内容密钥700时,加密模块409可需要执行各种密码功能,如解密,检查数字签名等。
第六,为了解密内容,主机系统400生成访问密钥706。具体地,主机的加密模块405基于绑定密钥606和内容密钥700的加密组合生成访问密钥706。用仅在加密模块405中已知的独特算法编程加密模块405。例如,主机系统400的加密模块可包含用产生访问密钥706的算法编程的OTP NVM。
第七,存储装置110向主机系统400提供已加密内容704。在一个实施例中,存储装置110使已加密内容704流传输到主机系统400。
第八,主机系统400加密地处理已加密内容704,从而以非加密方式恢复内容702。如上所述,在一个实施例中,内容利用访问密钥706基于对称加密如AES128进行加密。一旦处于解码或非加密的形式,然后主机系统400可输出内容702至输出406。值得注意的是,主机系统400可重新加密用于递送至输出406的内容。例如,如果输出406为高清晰度多媒体接口(“HDMI”)装置,那么主机400可利用目前为HDMI装置指定的高带宽数字内容保护(“HDCP”)加密重新加密内容,并以这个安全的形式传输内容。在一个实施例中,主机400可解密内容,并接着利用安全的传输加密协议,如高带宽数字内容保护(HDCP),重新加密内容,并输出重新加密的内容至显示装置,如电视机、监视器等。在另一个实施例中,主机400解密内容,然后利用例如数字传输内容保护(DTCP)重新加密内容,并发送重新加密的内容至重放装置,如电视机、监视器等。相应地,在一个实施例中,当在系统100的实体间传输时,内容总是处于安全的形式。
图7C示出从信息站提供内容至存储装置的示范过程流程。在这个实施例中,可撤销性和可再生性是DRM系统的属性。作为额外的安全系统组件,示出的过程流程可包括各种可再生性特征。例如,密钥可被淘汰或预先生成的随机密钥可与安全分配算法一起使用,该安全分配算法可随时间的变化而变化或为待向存储装置112提供的每项内容以随机方式利用多个密钥。例如,实施例可利用可适用于所有播放器的更新文件的令牌化(tokenizing)。
如图所示,第一,存储装置112和信息站106彼此间建立安全的通信信道。如上所述,通信可通过有线接口进行,如USB3.0接口,或无线接口,如WiFi、3G、4G等。例如,信息站106和存储装置112可使用PKI建立安全通信信道。具体地,信息站106可向存储装置112请求证书。存储装置112可例如,从介质510中其非用户区域506,取回其证书。然后,存储装置112可发送装置会话ID和其证书。该证书包括其公钥:PublicDevice
信息站106核实证书。例如,信息站106可检查证书上的签名。信息站106也可检查其撤销列表以确保来自存储装置112的证书没有被撤销。替代地,信息站106可通过网络108与审计系统102和证书颁发机构204进行通信,以核实证书并检查证书的撤销状态。
然后,信息站106通过发送主机会话ID和其证书,包括其公钥PublicHost至存储装置112来做出回应。存储装置112核实主机证书并检查签名。存储装置112也可检查其撤销列表以确保信息站106没有被撤销。
然后,信息站106可向存储装置112请求会话密钥。作为回应,在一个实施例中,存储装置112用PublicHost加密随机会话密钥,随机装置初始化向量(“IV”)和随机装置基于散列的消息认证码(“HMAC”)密钥,并发送其至信息站106。
信息站106用PrivateHost解密信息,以恢复装置会话密钥、装置IV和装置HMAC密钥。信息站106用PublicDevice加密随机主机会话密钥、随机主机IV和随机主机HMAC密钥,并发送这条信息至存储装置112。然后,存储装置112用PrivateDevice解密这条信息,以恢复信息站的会话密钥、主机IV和主机HMAC密钥。
信息站106也可用装置会话密钥加密随机盘问,并发送其至存储装置112。存储装置112用装置会话密钥解密主机随机盘问,并然后用主机会话密钥加密主机随机盘问,并将这条信息发送回信息站106。信息站106用主机会话密钥解密主机随机盘问,并确认其与原来发送到存储装置112的内容相匹配。这证明存储装置112知道对应于用其装置证书发送的公钥的私钥。
为进一步确认,信息站106可向存储装置112请求随机盘问。存储装置112用主机会话密钥加密装置随机盘问,并发送这条信息至信息站106。然后,信息站106用主机会话密钥解密装置随机盘问,并用装置会话密钥加密装置随机盘问,并将这条信息发送回存储装置112。存储装置用装置会话密钥解密装置随机盘问,并确认其与原来发送到信息站106的内容相匹配。这证明了信息站106因此知道对应于用信息站的证书发送的公钥的私钥。
在一个实施例中,存储装置112可使用AES加密与信息站会话密钥和主机IV用于至信息站106的安全消息。信息站106也使用AES加密与装置会话密钥和装置IV用于至存储装置112的安全消息。
一旦已建立安全会话,可利用对称算法实施会话通信。在一个实施例中,每个安全信息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在另一个实施例中,会话通信基于非对称加密建立,并然后基于对称加密受到保护。例如,一旦建立了安全会话,会话通信可基于对称加密如具有会话密钥和建立的IV的AES加密和AES解密实施。每个安全消息可包括具有序列号和消息长度的头部,用合适的会话密钥和IV加密的主体消息AES,和具有消息主体的SHA-256HMAC的脚部。在另一个实施例中,也可使用非对称加密以在会话期间保护通信量。
第二,由于建立了安全信道,下载信息站106向存储装置112请求绑定密钥。具体地,信息站106可通过安全信道发送消息至存储装置112。如上所述,在一个实施例中,绑定密钥606最初是不在信息站106提供的内容的元数据中,而是当需要时被生成。
第三,存储装置112生成绑定密钥606。具体地,加密模块409基于独特密钥602和隐藏密钥604生成绑定密钥606。
在一个实施例中,加密模块409使用单向散列算法或高级加密标准(AES)算法来生成绑定密钥,Kb,其中:
Kb=F(Kroot,IDm)
其中,F是单向函数,
Kroot是加密模块409生成的密钥,也就是,隐藏密钥604,
IDm是在存储装置112的制造过程中分配的独特介质标识符号码,如独特标识符602。
第四,信息站106向密钥服务器200请求用于保护内容的内容密钥。内容密钥可通过各种方法分配至内容。例如,密钥服务器200可分配每项内容特有的内容密钥。在一个实施例中,内容密钥作为内容的部分元数据提供,并存储在存储装置上。
第五,密钥服务器200向信息站106提供内容密钥700。具体地,信息站106可与下载服务器300建立安全信道,例如,基于PKI。
第六,信息站106基于绑定密钥606和内容密钥700生成访问密钥706。具体地,下载服务器300可使用独特算法来加密结合绑定密钥606和内容密钥700,并生成访问密钥706,例如,基于单向散列算法。独特算法可仅对系统100的某些实体是已知的,如信息站106和主机400中受信任的重放装置。
在一个实施例中,信息站106可经配置临时生成访问密钥706,以致其不存储在信息站106上。替代地,用于生成访问密钥706的信息可由信息站106存档到安全远程存储器。例如,审计系统102可作为安全存储绑定密钥606和/或内容密钥700的安全存储库。
第七,信息站106向存储装置112提供内容密钥700。然后,存储装置112安全地存储内容密钥700。例如,存储装置112可存储内容密钥700在非用户区域506中。
第八,信息站106将内容702的全部或部分加密成已加密内容704。例如,信息站106可使用AES加密,以基于访问密钥706加密内容702。
第九,信息站106向存储装置112提供已加密内容704。存储装置112然后可存储已加密内容704。
图8示出播放内容的示范过程流程。如图所示,第一,主机系统400和存储装置112建立彼此间安全的通信信道。为简洁起见,上面参考图7提供基于PKI的建立安全信道的例子。
第二,主机系统400向存储装置112请求绑定密钥606,因为其不在内容元数据中。值得注意的是,在一个实施例中,存储装置112不保留绑定密钥606。在另一个实施例中,主机系统400请求对于要播放的内容特定的绑定密钥606。这允许,例如,存储装置112使用用于生成绑定密钥606的不同算法。使用的算法可取决于各种标准,如内容的具体项、内容类型、内容源、内容的复件数目等。
相应地,第三,存储装置112临时生成绑定密钥606。具体地,如上所述,加密模块409基于隐藏密钥604和独特标识符602的加密结合生成绑定密钥606。一旦生成,存储装置112可传输绑定密钥606至主机系统400。
第四,主机系统400向存储装置112请求内容密钥700。在一个实施例中,内容密钥700可从存储在存储装置402上非用户区域506中的内容元数据取回。主机系统400可基于各种参数,如内容标识符等,指定内容密钥700。
第五,存储装置112向主机系统400提供内容密钥700。例如,存储装置112可访问非用户区域506并传输内容密钥700至主机系统400。当取回内容密钥700时,加密模块409可需要执行各种加密功能,如解密,检查数字签名等。
第六,为解密内容,主机系统400生成访问密钥706。具体地,主机的加密模块405基于绑定密钥606和内容密钥700的加密结合生成访问密钥706。用仅在加密模块405中是已知的独特算法编程加密模块405。例如,加密模块405可包括包含OTP NVM,其用产生访问密钥706的算法编程。这种特征允许,除了其它以外,访问密钥706实质上不在内容元数据中。
第七,存储装置112向主机系统400提供已加密内容704。在一个实施例中,存储装置112使已加密内容704流传输到主机系统400。
第八,主机系统400加密地处理已加密内容704,从而以非加密方式恢复内容702。如上所述,在一个实施例中,内容利用访问密钥706基于对称加密如AES128进行加密。一旦处于解码或非加密的形式,然后主机系统400可输出内容702至输出406。值得注意的是,主机系统400可重新加密用于递送至输出406的内容。例如,如果输出406为高清晰度多媒体接口(“HDMI”)装置,那么主机400可利用目前为HDMI装置指定的高带宽数字内容保护(“HDCP”)加密重新加密内容,并以这个安全的形式传输内容。在一个实施例中,主机400可解密内容,并接着利用安全的传输加密协议,如高带宽数字内容保护协议(HDCP),重新加密内容,并输出重新加密的内容至显示装置,如电视机、监视器等。在另一个实施例中,主机400解密内容,然后利用,例如数字传输内容保护(DTCP)重新加密内容,并发送重新加密的内容至重放装置,如电视机、监视器等。相应地,在一个实施例中,当在系统100的实体间传输时,内容总是处于被保护的形式。
以上公开的具体实施例的特征和属性可以不同方式结合,以形成另外的实施例,其全部都在本发明公开的范围内。例如,在网络连接式存储(NSA)的情况下,NSA存储可包含一个或更多个存储装置,并实施各种技术(如RAID),其导致内容可传遍多个存储装置。在包括单个驱动器的NAS的情况下,NAS控制器可经配置,以类似以上描述的方式绑定内容至单驱动器的存储装置。在包括多个驱动器的NAS的情况下,内容可绑定至NAS子系统,而不是具体存储装置或存储介质或除具体存储装置或存储介质之外。相应地,NAS子系统可包含安全的加密模块。在实施例的这个变体中,对于NAS存储,独特密钥组可由NAS控制器生成,并安全地存储在NAS的安全存储中。然后,绑定至NAS的内容可以类似以上描述的方式执行。因此,即使完成了驱动器的克隆复件,该驱动器也将无法使用,除非其安装在完全一样的NAS系统中。本方法可用于替换NAS RAID系统中损坏的驱动器,同时确保克隆的驱动器是没有用的。
尽管本公开提供了某些实施例和应用,但是对本领域一般技术人员显而易见的其他实施例,包括不提供这里阐述的全部特征和优点的实施例,也在本公开的范围内。相应地,本公开的范围打算只参考所附权利要求来限定。

Claims (20)

1.一种第一存储装置,其配置用于提供内容至表现所述内容的播放器系统,其中所述内容已由受信任的服务器从第二存储装置传输,所述第一存储装置包括:
存储介质,其包括所述播放器系统可访问的用户区域和所述播放器系统无法访问的非用户区域;以及
控制器,其包括提供硬件信任根和受保护存储器的加密模块,其中所述控制器配置用于认证所述播放器系统,基于所述认证建立与所述播放器系统的受保护通信信道,向所述播放器系统提供第一加密密钥,其中所述第一加密密钥是所述第二存储装置特有的并且基于由所述第二存储装置隐藏的密钥,向所述播放器系统提供关联所述内容的第二加密密钥,和从所述存储介质的用户区域向所述播放器系统提供加密形式的所述内容,其中基于所述第一加密密钥和所述第二加密密钥的加密组合,所述内容是可访问的。
2.根据权利要求1所述的第一存储装置,其中所述控制器经配置基于公钥基础设施认证所述播放器系统。
3.根据权利要求1所述的第一存储装置,其中所述加密模块经配置加密所述第一加密密钥,所述第一加密密钥基于由所述加密模块隐藏的密钥,是所述第二存储装置特有的。
4.根据权利要求1所述的第一存储装置,其中所述加密模块经配置加密所述第一加密密钥,所述第一加密密钥基于由所述加密模块隐藏的密钥,是所述第二存储装置特有的。
5.一种播放器系统,其经配置播放受信任服务器传输的已加密内容,所述系统包括:
第一接口,其经配置与存储已加密内容的第一存储装置通信,其中所述内容由所述受信任服务器从第二存储装置传输至所述第一存储装置;以及
处理器,其经配置认证所述第一存储装置,通过所述第一接口与所述第一存储装置建立受保护通信信道,从所述第一存储装置接收绑定加密密钥,从所述第一存储装置接收关联所述内容的第二加密密钥,基于所述绑定加密密钥和所述第二加密密钥的加密组合,确定所述内容的访问密钥,从所述第一存储装置接收所述已加密内容,并基于所述访问密钥解密所述内容,其中所述绑定密钥是所述第二存储装置特有的并且基于所述第二存储装置中隐藏的密钥。
6.根据权利要求5所述的播放器系统,其中所述处理器经配置而基于公钥基础设施与所述第一存储装置互相认证。
7.根据权利要求5所述的播放器系统,其中所述处理器经配置而基于数字证书确定对来自所述第一存储的内容的重放的授权。
8.根据权利要求5所述的播放器系统,其中所述处理器经配置表现所述内容成音频格式。
9.根据权利要求5所述的播放器系统,其中所述处理器经配置表现所述内容成视频格式。
10.根据权利要求5所述的播放器系统,其进一步包括用于向显示器输出所述内容的输出接口。
11.使得能够通过受信任的服务器从第一存储器将内容授权传输至第二存储器的方法,所述方法包括:
接收对于所述第一存储器独特的绑定密钥,并绑定所述内容至所述第一存储器;
基于隐藏在所述第二存储器上的第二隐藏密钥,通过所述第二存储器加密所述绑定密钥;
将所加密的绑定密钥存储在所述第二存储器的安全区域中;
从所述第一存储器接收第一加密密钥;
基于隐藏在所述第二存储器上的第二隐藏密钥,通过所述第二存储器加密所述第一加密密钥。
将所述第一加密密钥存储在所述第二装置的安全区域中。
12.根据权利要求11所述的方法,其进一步包括从所述第一存储器复制所述加密内容至所述第二存储器。
13.根据权利要求11所述的方法,其进一步包括基于接收的至少一个数字证书授权所述内容的传输。
14.根据权利要求11所述的方法,其进一步包括通过所述受信任服务器与所述第一存储器建立受保护通信信道。
15.根据权利要求11所述的方法,其进一步包括从受信任站点接收指示所述内容已被复制的数字证书。
16.根据权利要求11所述的方法,其进一步包括加密所述数字证书,并将所加密的数字证书存储在所述第二存储器的安全区域中。
17.根据权利要求11所述的方法,其中建立所述受保护通信信道包括通过主机装置认证所述第一存储器。
18.根据权利要求11所述的方法,其中接收对于所述第一存储器独特的绑定密钥包括,接收基于所述第二存储器的要求而产生的临时绑定密钥。
19.根据权利要求11所述的方法,其中所述绑定密钥基于隐藏在所述第一存储器上的第一隐藏密钥。
20.根据权利要求11所述的方法,进一步包括基于所述内容的安全元数据中指定的数字证书或许可中的至少一个授权所述内容的复制。
CN201310123521.1A 2012-04-10 2013-04-10 用于内容传输和分配的数字版权管理系统 Active CN103366102B (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201261622312P 2012-04-10 2012-04-10
US61/622,312 2012-04-10
US201261636460P 2012-04-20 2012-04-20
US61/636,460 2012-04-20
US13/460,805 2012-04-30
US13/460,805 US8914634B2 (en) 2012-04-10 2012-04-30 Digital rights management system transfer of content and distribution

Publications (2)

Publication Number Publication Date
CN103366102A true CN103366102A (zh) 2013-10-23
CN103366102B CN103366102B (zh) 2018-02-23

Family

ID=49293254

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310123521.1A Active CN103366102B (zh) 2012-04-10 2013-04-10 用于内容传输和分配的数字版权管理系统

Country Status (2)

Country Link
US (2) US8914634B2 (zh)
CN (1) CN103366102B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106817220A (zh) * 2015-11-30 2017-06-09 北大方正集团有限公司 一种通信数据加密的方法、装置及加密设备
CN107113317A (zh) * 2015-02-05 2017-08-29 西部数据技术公司 网络附连存储设备上的安全流缓冲区
CN107113286A (zh) * 2014-11-05 2017-08-29 微软技术许可有限责任公司 跨设备的漫游内容擦除操作
CN108089949A (zh) * 2017-12-29 2018-05-29 广州创慧信息科技有限公司 一种数据自动备份的方法和系统

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7934251B2 (en) 1999-12-02 2011-04-26 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
WO2001040887A1 (en) 1999-12-02 2001-06-07 Senvid, Inc. Method, system and service model for remote recording of television programs
US7120692B2 (en) 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
US7274659B2 (en) 2001-07-27 2007-09-25 Western Digital Ventures, Inc. Providing streaming media data
US8526798B2 (en) 2009-12-23 2013-09-03 Western Digital Technologies, Inc. Portable content container displaying A/V files in response to a command received from a consumer device
US10019741B2 (en) 2010-08-09 2018-07-10 Western Digital Technologies, Inc. Methods and systems for a personal multimedia content archive
US8831217B2 (en) 2012-04-10 2014-09-09 Western Digital Technologies, Inc. Digital rights management system and methods for accessing content from an intelligent storage
US8914634B2 (en) 2012-04-10 2014-12-16 Western Digital Technologies, Inc. Digital rights management system transfer of content and distribution
US9009525B1 (en) 2012-06-07 2015-04-14 Western Digital Technologies, Inc. Methods and systems for NAS device pairing and mirroring
US9559975B1 (en) 2012-09-29 2017-01-31 Western Digital Technologies, Inc. Real-time analysis of quality of service for multimedia traffic in a local area network
US9942161B1 (en) 2012-09-29 2018-04-10 Western Digital Technologies, Inc. Methods and systems for configuring and updating session-based quality of service for multimedia traffic in a local area network
US9280482B2 (en) 2012-12-13 2016-03-08 Western Digital Technologies, Inc. Methods and systems for provisioning a bootable image on to an external drive
US9001697B2 (en) 2012-12-14 2015-04-07 Western Digital Technologies, Inc. Methods and devices for replacing and configuring a router in a network
US9058835B2 (en) 2013-03-13 2015-06-16 Western Digital Technologies, Inc. Methods and systems for optimized staggered disk drive spinup
US9110758B2 (en) 2013-03-15 2015-08-18 Western Digital Technologies, Inc. Cross-platform software framework for embedded systems on data storage device
US9171003B2 (en) 2013-03-15 2015-10-27 Western Digital Technologies, Inc. Shared media crawler database method and system
US9152490B2 (en) 2013-04-02 2015-10-06 Western Digital Technologies, Inc. Detection of user behavior using time series modeling
US10073987B2 (en) 2013-04-02 2018-09-11 Western Digital Technologies, Inc. Methods and systems for privileged execution support for file system commands on a storage device
US8984190B2 (en) 2013-05-23 2015-03-17 Western Digital Technologies, Inc. Methods and devices for booting a network attached storage with two logical units
US9213611B2 (en) 2013-07-24 2015-12-15 Western Digital Technologies, Inc. Automatic raid mirroring when adding a second boot drive
US9430031B2 (en) 2013-07-29 2016-08-30 Western Digital Technologies, Inc. Power conservation based on caching
US9405479B1 (en) 2013-08-26 2016-08-02 Western Digital Technologies, Inc. Faster file compression using sliding compression window and backward compound pointers
US9503532B2 (en) 2013-09-03 2016-11-22 Western Digital Technologies, Inc. Rediscovery of past data
US9417863B2 (en) 2013-09-27 2016-08-16 Western Digital Technologies, Inc. System and method for expedited loading of an image onto a storage device
US9275697B2 (en) 2013-10-03 2016-03-01 Western Digital Technologies, Inc. Utilizing destructive features as RAM code for a storage device
US9584873B2 (en) 2013-10-11 2017-02-28 Western Digital Technologies, Inc. Method and apparatus for configuring an electronic device
US9965347B1 (en) 2013-12-18 2018-05-08 Western Digital Technology, Inc. Manufacturing data logging without a network
US9871882B1 (en) 2014-01-02 2018-01-16 Western Digital Technologies, Inc. Optimized N-stream sequential media playback caching method and system
US10601895B1 (en) 2014-01-08 2020-03-24 Western Digital Technologies, Inc. Data transfer by data storage device based on received uniform resource locator information
US9514000B2 (en) 2014-01-31 2016-12-06 Western Digital Technologies, Inc. Backup of baseline installation
US9614894B1 (en) 2014-02-05 2017-04-04 Western Digital Technologies, Inc. On-the-fly media-tagging, media-uploading and media navigating by tags
US9626376B1 (en) 2014-02-14 2017-04-18 Western Digital Technologies, Inc. Local area network distributed storage
US9524015B2 (en) 2014-02-19 2016-12-20 Western Digital Technologies, Inc. Device optimized power management
US10182308B2 (en) 2014-03-12 2019-01-15 Western Digital Technologies, Inc. Content matching system for a networked media player
US10091694B1 (en) 2014-03-12 2018-10-02 Western Digital Technologies, Inc. Device pairing over different networks
JP6269209B2 (ja) * 2014-03-18 2018-01-31 富士通株式会社 情報処理装置、方法、及びプログラム
US9886216B2 (en) 2014-04-08 2018-02-06 Western Digital Technologies, Inc. Distributed remote data storage access
US9250893B2 (en) 2014-05-14 2016-02-02 Western Digital Technologies, Inc. Virtualized and automated software build system
US9189264B1 (en) 2014-06-09 2015-11-17 Western Digital Technologies, Inc. Notification propagation in virtual computing environment
US10652193B2 (en) 2014-06-18 2020-05-12 Western Digital Technologies, Inc. Managing and accessing data storage systems
US9569112B1 (en) 2014-09-25 2017-02-14 Western Digital Technologies, Inc. Drive compatibility information maintenance
US9866634B1 (en) 2014-09-26 2018-01-09 Western Digital Technologies, Inc. Managing and accessing data storage systems
US9596183B2 (en) 2014-12-12 2017-03-14 Western Digital Technologies, Inc. NAS off-loading of network traffic for shared files
US10715595B2 (en) 2014-12-23 2020-07-14 Western Digital Technologies, Inc. Remotes metadata extraction and transcoding of files to be stored on a network attached storage (NAS)
US10063925B2 (en) 2014-12-23 2018-08-28 Western Digital Technologies, Inc. Providing digital video assets with multiple age rating levels
US9619340B1 (en) 2014-12-24 2017-04-11 Western Digital Technologies, Inc. Disaster recovery on dissimilar hardware
US9734117B2 (en) 2015-01-26 2017-08-15 Western Digital Technologies, Inc. Data storage device and method for integrated bridge firmware to be retrieved from a storage system on chip (SOC)
US10019696B2 (en) * 2015-01-29 2018-07-10 International Business Machines Corporation Distributed digital rights-managed file transfer and access control
US9710170B2 (en) 2015-03-05 2017-07-18 Western Digital Technologies, Inc. Processing data storage commands for enclosure services
US9684569B2 (en) 2015-03-30 2017-06-20 Western Digital Technologies, Inc. Data deduplication using chunk files
US9942294B1 (en) 2015-03-30 2018-04-10 Western Digital Technologies, Inc. Symmetric and continuous media stream from multiple sources
US10574745B2 (en) 2015-03-31 2020-02-25 Western Digital Technologies, Inc. Syncing with a local paired device to obtain data from a remote server using point-to-point communication
US10394760B1 (en) 2015-04-16 2019-08-27 Western Digital Technologies, Inc. Browsable data backup
US9836417B2 (en) 2015-04-20 2017-12-05 Western Digital Technologies, Inc. Bridge configuration in computing devices
US9971659B1 (en) 2015-06-24 2018-05-15 Western Digital Technologies, Inc. Memory programming providing corruption protection
US9846621B1 (en) 2015-06-26 2017-12-19 Western Digital Technologies, Inc. Disaster recovery—multiple restore options and automatic management of restored computing devices
US10567518B2 (en) 2015-06-26 2020-02-18 Western Digital Technologies, Inc. Automatic discovery and onboarding of electronic devices
US10459891B2 (en) 2015-09-30 2019-10-29 Western Digital Technologies, Inc. Replicating data across data storage devices of a logical volume
US10102138B2 (en) 2015-10-22 2018-10-16 Western Digital Technologies, Inc. Division of data storage in single-storage device architecture
US9763082B2 (en) 2015-11-09 2017-09-12 Western Digital Technologies, Inc. Optimizing setup for wireless devices
US9772650B2 (en) 2015-12-29 2017-09-26 Western Digital Technologies, Inc. Solving unstable universal asynchronous receive transmit (UART) communication between a power manager and a universal serial bus (USB)-bridge device
US10061905B2 (en) * 2016-01-26 2018-08-28 Twentieth Century Fox Film Corporation Method and system for conditional access via license of proprietary functionality
GB2550905A (en) 2016-05-27 2017-12-06 Airbus Operations Ltd Secure communications
US11178133B2 (en) * 2017-12-19 2021-11-16 Micron Technology, Inc. Secure vehicle control unit update
US11159315B2 (en) 2018-01-22 2021-10-26 Microsoft Technology Licensing, Llc Generating or managing linked decentralized identifiers
US11716617B2 (en) * 2019-05-02 2023-08-01 Ares Technologies, Inc. Systems and methods for cryptographic authorization of wireless communications
US11122110B2 (en) 2019-06-11 2021-09-14 Advanced New Technologies Co., Ltd. Blockchain-based file processing method, apparatus, and device, and storage medium
US11556665B2 (en) * 2019-12-08 2023-01-17 Western Digital Technologies, Inc. Unlocking a data storage device
US11469885B2 (en) * 2020-01-09 2022-10-11 Western Digital Technologies, Inc. Remote grant of access to locked data storage device
US11483364B2 (en) * 2020-07-19 2022-10-25 Arris Enterprises Llc UHD HLS streaming trusted client server environment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
CN1469262A (zh) * 2002-06-24 2004-01-21 株式会社日立制作所 信息记录再现系统
CN1968107A (zh) * 2006-10-09 2007-05-23 祝万昌 一种数字媒体文件的传送与收费方法
US20090052671A1 (en) * 2007-08-24 2009-02-26 Frederic Bauchot System and method for content protection
CN101779209A (zh) * 2007-08-24 2010-07-14 国际商业机器公司 用于保护存储在存储设备中的内容的系统和方法

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6205550B1 (en) 1996-06-13 2001-03-20 Intel Corporation Tamper resistant methods and apparatus
US6118873A (en) 1998-04-24 2000-09-12 International Business Machines Corporation System for encrypting broadcast programs in the presence of compromised receiver devices
US7024393B1 (en) 1999-03-27 2006-04-04 Microsoft Corporation Structural of digital rights management (DRM) system
US7707420B1 (en) 1999-06-23 2010-04-27 Research In Motion Limited Public key encryption with digital signature scheme
US7120251B1 (en) 1999-08-20 2006-10-10 Matsushita Electric Industrial Co., Ltd. Data player, digital contents player, playback system, data embedding apparatus, and embedded data detection apparatus
US7120692B2 (en) 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
US7587467B2 (en) 1999-12-02 2009-09-08 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7934251B2 (en) 1999-12-02 2011-04-26 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7917628B2 (en) 1999-12-02 2011-03-29 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US9191443B2 (en) 1999-12-02 2015-11-17 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
WO2001040887A1 (en) 1999-12-02 2001-06-07 Senvid, Inc. Method, system and service model for remote recording of television programs
US6499054B1 (en) 1999-12-02 2002-12-24 Senvid, Inc. Control and observation of physical devices, equipment and processes by multiple users over computer networks
US8688797B2 (en) 1999-12-02 2014-04-01 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US8793374B2 (en) 1999-12-02 2014-07-29 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US7949564B1 (en) 2000-05-31 2011-05-24 Western Digital Technologies, Inc. System and method of receiving advertisement content from advertisers and distributing the advertising content to a network of personal computers
US7215771B1 (en) 2000-06-30 2007-05-08 Western Digital Ventures, Inc. Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network
US7155616B1 (en) 2000-07-31 2006-12-26 Western Digital Ventures, Inc. Computer network comprising network authentication facilities implemented in a disk drive
EP1393317B1 (en) 2001-05-09 2014-05-21 Koninklijke Philips N.V. Encryption and decryption of data on a record carrier
US7925894B2 (en) 2001-07-25 2011-04-12 Seagate Technology Llc System and method for delivering versatile security, digital rights management, and privacy services
JP2003233652A (ja) 2002-02-12 2003-08-22 Sharp Corp 品質管理システム、品質管理方法、品質管理プログラム及び品質管理プログラムを記録した記録媒体
US7593530B2 (en) 2002-12-11 2009-09-22 Broadcom Corporation Secure legacy media peripheral association with authentication in a media exchange network
US7356143B2 (en) 2003-03-18 2008-04-08 Widevine Technologies, Inc System, method, and apparatus for securely providing content viewable on a secure device
US7454443B2 (en) 2003-08-26 2008-11-18 Tamir Ram Method, system, and program for personal data management using content-based replication
US7594275B2 (en) 2003-10-14 2009-09-22 Microsoft Corporation Digital rights management system
WO2005050625A2 (en) 2003-11-14 2005-06-02 Senvid, Inc. Managed peer-to-peer applications in a secure network
US7904488B2 (en) 2004-07-21 2011-03-08 Rockwell Automation Technologies, Inc. Time stamp methods for unified plant model
US7467304B2 (en) 2005-06-22 2008-12-16 Discretix Technologies Ltd. System, device, and method of selectively allowing a host processor to access host-executable code
US20070030781A1 (en) 2005-07-15 2007-02-08 Microsoft Corporation Tamper resistant security data on optical media
US9021250B2 (en) 2007-04-22 2015-04-28 International Business Machines Corporation Security enforcement point inspection of encrypted data in an encrypted end-to end communications path
US8004791B2 (en) 2008-02-22 2011-08-23 Western Digital Technologies, Inc. Information storage device with a bridge controller and a plurality of electrically coupled conductive shields
US8255661B2 (en) 2009-11-13 2012-08-28 Western Digital Technologies, Inc. Data storage system comprising a mapping bridge for aligning host block size with physical block size of a data storage device
US8285965B2 (en) 2009-11-20 2012-10-09 Western Digital Technologies, Inc. Aligning data storage device partition to boundary of physical data sector
US8526798B2 (en) 2009-12-23 2013-09-03 Western Digital Technologies, Inc. Portable content container displaying A/V files in response to a command received from a consumer device
US8631284B2 (en) 2010-04-30 2014-01-14 Western Digital Technologies, Inc. Method for providing asynchronous event notification in systems
US8762682B1 (en) 2010-07-02 2014-06-24 Western Digital Technologies, Inc. Data storage apparatus providing host full duplex operations using half duplex storage devices
US10019741B2 (en) 2010-08-09 2018-07-10 Western Digital Technologies, Inc. Methods and systems for a personal multimedia content archive
US9324370B2 (en) 2010-08-20 2016-04-26 Stmicroelectronics, Inc. Identifying a defect in a data-storage medium
US8713265B1 (en) 2010-09-21 2014-04-29 Western Digital Technologies, Inc. Visual indicator of online backup
US20130215448A1 (en) 2010-10-30 2013-08-22 Hewlett-Packard Development Company, L.P. Machine-readable data pattern associated with physical defects on printable media supply
US10110380B2 (en) 2011-03-28 2018-10-23 Nxp B.V. Secure dynamic on chip key programming
US20120303974A1 (en) 2011-05-25 2012-11-29 Condel International Technologies Inc. Secure Removable Media and Method for Managing the Same
US8780004B1 (en) 2012-01-31 2014-07-15 Western Digital Technologies, Inc. Dual configuration enclosure with optional shielding
US8819443B2 (en) 2012-02-14 2014-08-26 Western Digital Technologies, Inc. Methods and devices for authentication and data encryption
US8646054B1 (en) 2012-03-23 2014-02-04 Western Digital Technologies, Inc. Mechanism to manage access to user data area with bridged direct-attached storage devices
US8831217B2 (en) 2012-04-10 2014-09-09 Western Digital Technologies, Inc. Digital rights management system and methods for accessing content from an intelligent storage
US8914634B2 (en) 2012-04-10 2014-12-16 Western Digital Technologies, Inc. Digital rights management system transfer of content and distribution
US8782440B2 (en) 2012-08-15 2014-07-15 International Business Machines Corporation Extending the number of applications for accessing protected content in a media using media key blocks
US9626373B2 (en) 2012-10-01 2017-04-18 Western Digital Technologies, Inc. Optimizing data block size for deduplication
US9280482B2 (en) 2012-12-13 2016-03-08 Western Digital Technologies, Inc. Methods and systems for provisioning a bootable image on to an external drive
US20140169921A1 (en) 2012-12-19 2014-06-19 Mark Carey Cargo carrier

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
CN1469262A (zh) * 2002-06-24 2004-01-21 株式会社日立制作所 信息记录再现系统
CN1968107A (zh) * 2006-10-09 2007-05-23 祝万昌 一种数字媒体文件的传送与收费方法
US20090052671A1 (en) * 2007-08-24 2009-02-26 Frederic Bauchot System and method for content protection
CN101779209A (zh) * 2007-08-24 2010-07-14 国际商业机器公司 用于保护存储在存储设备中的内容的系统和方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113286A (zh) * 2014-11-05 2017-08-29 微软技术许可有限责任公司 跨设备的漫游内容擦除操作
CN107113317A (zh) * 2015-02-05 2017-08-29 西部数据技术公司 网络附连存储设备上的安全流缓冲区
CN107113317B (zh) * 2015-02-05 2020-07-17 西部数据技术公司 网络附连存储设备上的安全流缓冲区
CN106817220A (zh) * 2015-11-30 2017-06-09 北大方正集团有限公司 一种通信数据加密的方法、装置及加密设备
CN108089949A (zh) * 2017-12-29 2018-05-29 广州创慧信息科技有限公司 一种数据自动备份的方法和系统

Also Published As

Publication number Publication date
US20130268759A1 (en) 2013-10-10
CN103366102B (zh) 2018-02-23
US9424400B1 (en) 2016-08-23
US8914634B2 (en) 2014-12-16

Similar Documents

Publication Publication Date Title
CN103368740B (zh) 绑定内容到智能存储装置的数字版权管理系统、装置和方法
CN103366102A (zh) 用于内容传输和分配的数字版权管理系统
RU2352985C2 (ru) Способ и устройство для санкционирования операций с контентом
EP1942430B1 (en) Token Passing Technique for Media Playback Devices
WO2018076761A1 (zh) 基于区块链交易的权限管制方法、系统、电子装置及存储介质
CN102271037B (zh) 基于在线密钥的密钥保护装置
KR100746030B1 (ko) 권리 위임에 의해 권리 객체를 대리하여 생성하는 방법 및장치
CN101040265B (zh) 个人数字网络环境中的内容保护的方法和装置
US7296147B2 (en) Authentication system and key registration apparatus
US9438584B2 (en) Provisioning DRM credentials on a client device using an update server
CN109804374A (zh) 基于区块链的数字权限管理
US7877604B2 (en) Proof of execution using random function
US8180709B2 (en) Method and device for consuming rights objects having inheritance structure in environment where the rights objects are distributed over plurality of devices
WO2011152065A1 (ja) コントローラ、制御方法、コンピュータプログラム、プログラム記録媒体、記録装置及び記録装置の製造方法
CN106027503A (zh) 一种基于tpm的云存储数据加密方法
CN103947151A (zh) 信息处理设备、信息存储设备、服务器、信息处理系统、信息处理方法以及程序
US20060155651A1 (en) Device and method for digital rights management
WO2013002833A2 (en) Binding of cryptographic content using unique device characteristics with server heuristics
CN101262332A (zh) 用于在移动装置和主机装置之间相互认证的方法和系统
US8538890B2 (en) Encrypting a unique cryptographic entity
US20110145562A1 (en) System and method for securely transfering content from set-top box to personal media player
WO2018157724A1 (zh) 加密控制字的保护方法、硬件安全模块、主芯片和终端
JPH11161165A (ja) 情報処理装置
JP2000113048A (ja) コンテンツ受信装置群およびそれに用いるicカード
KR20060030164A (ko) 동영상 데이터 보호를 위한 공유키 풀 기반의 drm 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1186538

Country of ref document: HK

SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: WD

Ref document number: 1186538

Country of ref document: HK