本公开提供了内容源设备和宿设备以及方法,其例如在保护内容的主要加密机制已经被损害的情况下帮助防止损害从源设备传送到宿设备的内容的安全性。公开了一种内容源设备。该内容源设备被配置为连接到内容宿设备以向所述内容宿设备发送数字媒体内容。所述内容源设备包括连接模块,该连接模块被配置为建立到所述宿设备的连接,使用连接密钥用第一密码对数字媒体内容进行加密以跨越该连接进行传输,并通过所述连接将加密的数字媒体内容传输到所述宿设备。内容源还包括保护模块,该保护模块被配置成防止所述宿设备在没有授权的情况下使用所述数字媒体内容。所述保护模块接收识别所述宿设备的数字证书,对所述数字证书进行验证,并且确定所述数字证书是否标识了被授权通过所述连接来接收数字媒体内容的宿设备。如果该确定是肯定的,则所述保护模块使所述宿设备能够使用所述数字媒体内容。
Protecting Media Content
【技术实现步骤摘要】
【国外来华专利技术】保护媒体内容
本公开涉及特别地但是不排他地通过加密和/或有线连接进行的对从内容源传输到内容宿(sink)的媒体内容的保护方面的改进。
技术介绍
现代多媒体内容通常以极高清晰度(例如在4K视频的情况下)递送。虽然这样的高清晰度内容为消费内容的观看者提供了改进的体验,但是因为其允许在更宽范围的上下文中更好地再现,也造成了与媒体盗版相关联的风险的增加。因此,对内容保护的要求也随之增加。因此,当内容在诸如机顶盒、DVD或蓝光(RTM)播放器、便携式或台式计算机等的源设备与诸如电视机、显示屏或投影仪等的宿(sink)设备之间传输时,包括诸如高清媒体接口(HDMI)的有线、基于电缆的接口在内的现代媒体接口对内容进行加密。用于保护在这种连接上传输的内容的当前行业标准是高带宽数字内容保护(HDCP)。然而,随着行业对诸如HDCP的保护机制的发展,规避机制也得到了迅速发展。特别地,据信使得能够验证实现HDCP的某些版本的设备和对传输中的内容进行加密的密钥集已经成为公知的,从而使得能够将绕过HDCP的某些版本的设备投放到市场中。附图说明这里参考附图以示例的方式公开了实施方式,其中:图1示出了包括内容源设备和内容宿设备的媒体消费系统;图2示出了内容源设备的组件;图3示出了内容宿设备的组件;图4示出了内容源设备的操作;图5示出了内容宿设备的操作;图6示出了密钥交换协议;图7示出了应用设置的过程;以及图8示出了计算设备。具体实施方式概括地说,本公开提供了源设备和宿设备以及方法,其例如在保护内容的主要加密机制已经被损害的情况下帮助防止损害从源设备传送到宿设备的内容的安全性。在一些方面,公开了内容源设备,例如机顶盒、媒体播放器、媒体磁盘播放器、台式或便携式计算机、广播接收器、电视机等。内容源设备被配置为连接到诸如显示设备、电视机等的内容宿设备,以向内容宿设备发送数字媒体内容,例如视频流,诸如MPEG传输流(TS)或基本流(ES),例如4K视频流。内容源设备包括连接模块,例如HDMI/HDCP或其他HDCP模块,该连接模块被配置为建立到宿设备的连接,使用连接密钥(例如HDCP密钥)用第一密码对数字媒体内容进行加密以跨越该连接进行传输,并通过该连接将加密的数字媒体内容传输到宿设备。内容源还包括保护模块,该保护模块被配置成防止宿设备在没有授权的情况下使用数字媒体内容,例如数字媒体内容的显示、引起数字媒体内容的显示或解密准备好显示数字媒体内容。保护模块接收识别宿设备的数字证书。本领域技术人员当然熟悉数字证书,并且理解数字证书包括非对称密钥对的公钥、标识宿设备的信息,例如设备型号、制造商名称、序列号等中的一个或多个,以及允许验证证书的数字签名。如本领域所公知的,已经使用与公钥相对应的私钥来生成数字签名。私钥通常由认证机构(CA)或其他可信实体(例如,在宿设备制造商处)控制。如本领域所公知的,利用公钥来进行签名的验证。通常,识别宿设备的证书在宿设备的制造时或在发货之前的任何情况下安装在宿设备处。保护模块例如通过已知技术,诸如使用对应的公钥来验证例如由认证机构或设备制造商应用的与证书相关联的数字签名,来验证数字证书,并且确定数字证书是否标识了被授权通过连接来接收数字媒体内容的宿设备。如果该确定是肯定的,则保护模块使宿设备能够使用数字媒体内容。有利地,通过提供使用数字证书来验证宿设备的保护层,可以确保只有知道不会损害内容保护的授权的宿设备可以使用该内容,并且可以通过撤销相应的证书来阻止受损的宿设备在没有保护的情况下泄露内容,例如如下所述。连接模块通过使用连接密钥来保护内容而提供一定程度的保护。然而,特别地,在使用全局连接密钥,或者连接密钥或用于导出连接密钥的信息在源和/或宿设备中是固定的并且如果连接密钥或连接密钥信息被损害的话则不能被安全地撤销的情况下,如果通信密钥是内容的唯一保护,则内容的安全性将受到损害。保护模块通过检查标识宿设备的证书并仅在设备被授权时(即,例如,证书被验证/未被撤销)使内容能够被宿设备使用来提供另一层安全性。因此,即使连接密钥被损害,也可以防止内容的未授权使用。连接密钥或使连接密钥能够获得(例如计算)的连接密钥信息可以是预定的,其在制造宿或源设备之前是固定的(如果适用)。可以在制造时将连接密钥或连接密钥信息提供给宿设备和/或源设备。如果适用,在制造时,连接密钥和/或连接密钥信息可被永久存储在宿设备或源设备中。例如,每个设备可以具有使用用于设备的公共标识符从预定的固定密钥集中导出的私钥,该密钥集仅为设备制造商或其他密钥发行者所知,并且设备可以通过交换其公共标识符并将该公共标识符与其私钥进行组合来导出共享密钥,例如根据Blom方案,该Blom方案是HDCP中使用的对称阈值密钥交换协议。在连接模块实现HDCP连接(例如HDMI/HDCP连接)的实施方式中,根据HDCP标准生成并提供连接密钥信息。特别地,当在制造之前固定连接密钥或连接密钥信息和/或在制造时提供连接密钥或连接密钥信息时,如HDCP的情况,由于密钥或密钥信息生成过程的全局性质以及一旦已经提供连接密钥或密钥信息就难以撤销连接密钥或密钥信息,安全性可能受到损害。在一些实施方式中,保护模块被配置为生成会话密钥。在这些实施方式中,防止宿设备在没有授权的情况下使用数字媒体内容可以包括使用会话密钥利用第二密码来加密数字媒体内容,并且将利用第一密码和第二密码进行加密的数字媒体内容发送到宿设备。使宿设备能够使用数字媒体内容可以包括使宿设备能够获得会话密钥以使用连接密钥和会话密钥来解密数字媒体内容。可以在第一密码之前或之后应用第二密码。在一些实施方式中,防止内容的使用可另外地或可替代地包括破坏数字媒体内容、用其他数据来替换数字媒体内容、防止数字媒体内容被发送到宿设备,等等。在一些实施方式中,使宿设备能够获得会话密钥可以包括生成获得会话密钥所需的第一会话密钥信息以及将第一会话密钥信息发送到宿设备。在这样的实施方式中,生成会话密钥可以包括从宿设备接收第二会话密钥信息以及使用第一和第二会话密钥信息来生成会话密钥。例如,可以根据Diffie-Hellman密钥共享方案来生成和交换会话密钥信息以生成会话密钥。在一些实施方式中,第一会话密钥信息可以包括会话密钥,并且发送第一会话密钥信息可以包括使用例如与数字证书一起接收的、与宿设备相关联的非对称密钥对的公钥来加密会话密钥信息,并且发送以这种方式加密的会话密钥。在一些实施方式中,保护模块被配置成周期性地或响应于源设备的上电、源设备的启动、以及建立连接中的一个或多个来生成第一会话密钥信息,即第一会话密钥或获得该第一会话密钥所需的信息。在任何情况下,可以使用伪随机数生成器;使用设备熵,例如使用有噪设备参数的一个或多个读数来播种伪随机数生成器,或者使用一个或多个读数或其变形作为第一会话密钥信息本身,来生成第一会话密钥信息。在一些实施方式中,保护模块可以包括安全元件。安全元件被配置为接收和验证数字证书。在一些这样的实施方式中,保护模块包括安全元件和密码部分。然后,安全元件被配置为接收和验证数字证书,并通过与内容源设备的其余部分隔离的专用数据总线向密码部分发送第一会话密钥信息。在一些实施方式中,安全元件通过专用总线从密码部分接收数字证书。例如本文档来自技高网...
【技术保护点】
1.一种内容源设备,其被配置为连接到内容宿设备以向所述内容宿设备发送数字媒体内容,所述内容源设备包括:连接模块,其被配置为:建立到所述宿设备的连接;利用连接密钥用第一密码对数字媒体内容进行加密以跨越该连接进行传输;并且通过所述连接将加密的数字媒体内容传输到所述宿设备;以及保护模块,其被配置为:防止所述宿设备在没有授权的情况下使用所述数字媒体内容;接收识别所述宿设备的数字证书;对所述数字证书进行验证;确定所述数字证书是否标识了被授权通过所述连接来接收数字媒体内容的宿设备;并且如果所述确定是肯定的,则使所述宿设备能够使用所述数字媒体内容。
【技术特征摘要】
【国外来华专利技术】2017.02.09 EP 17155502.21.一种内容源设备,其被配置为连接到内容宿设备以向所述内容宿设备发送数字媒体内容,所述内容源设备包括:连接模块,其被配置为:建立到所述宿设备的连接;利用连接密钥用第一密码对数字媒体内容进行加密以跨越该连接进行传输;并且通过所述连接将加密的数字媒体内容传输到所述宿设备;以及保护模块,其被配置为:防止所述宿设备在没有授权的情况下使用所述数字媒体内容;接收识别所述宿设备的数字证书;对所述数字证书进行验证;确定所述数字证书是否标识了被授权通过所述连接来接收数字媒体内容的宿设备;并且如果所述确定是肯定的,则使所述宿设备能够使用所述数字媒体内容。2.根据权利要求1所述的内容源设备,其中,所述保护模块被配置为生成会话密钥;防止所述宿设备在没有授权的情况下使用所述数字媒体内容包括使用会话密钥利用第二密码来加密所述数字媒体内容,并且将利用第一密码和第二密码进行加密的所述数字媒体内容发送到所述宿设备;并且使所述宿设备能够使用所述数字媒体内容包括使所述宿设备能够获得所述会话密钥以使用所述连接密钥和所述会话密钥来解密所述数字媒体内容。3.根据权利要求2所述的内容源设备,其中,使所述宿设备能够获得所述会话密钥包括生成获得所述会话密钥所需的第一会话密钥信息以及将该第一会话密钥信息发送到所述宿设备。4.根据权利要求3所述的内容源设备,其中,通过从所述宿设备接收第二会话密钥信息并且使用所述第一和第二会话密钥信息计算所述会话密钥来生成所述会话密钥。5.根据前述任一项权利要求所述的内容源设备,其中,所述保护模块包括安全元件,其中,所述安全元件被配置为接收并验证所述数字证书。6.根据权利要求3或4所述的内容源设备,其中,所述保护模块包括安全元件和密码部分,其中,所述安全元件被配置为接收并验证所述数字证书,并且通过与所述内容源设备的其余部分隔离的专用数据总线向所述密码部分发送所述第一会话密钥信息。7.根据前述任一项权利要求所述的内容源设备,其中,确定所述宿设备是否被授权接收所述数字媒体内容包括将所述数字证书...
【专利技术属性】
技术研发人员:迪迪埃·胡尼亚切克,埃尔韦·古皮,
申请(专利权)人:耐瑞唯信有限公司,
类型:发明
国别省市:瑞士,CH
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。