国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于多媒體內(nèi)容預(yù)加密的加密、驗證和密鑰管理的制作方法

      文檔序號:7886236閱讀:172來源:國知局
      專利名稱:用于多媒體內(nèi)容預(yù)加密的加密、驗證和密鑰管理的制作方法
      背景技術(shù)
      每天都會有數(shù)十萬人以電子方式進行交互。例如,人們通過使用電子郵件(e-mail)相互通信和發(fā)送信息。為了管理、保護和傳送重要的信息,個人與企業(yè)都極大依賴于計算機或其他電子設(shè)備的網(wǎng)絡(luò)。此外,每一天都經(jīng)由銀行網(wǎng)絡(luò)和自動柜員機(ATM)來傳遞數(shù)百萬美元。而個人平日則是通過使用蜂窩電話和其他無線個人數(shù)字助理(PDA)來進行通信及傳送信息的。
      因特網(wǎng)是由數(shù)百萬臺相互連接的計算機構(gòu)成的,它的出現(xiàn)顯著促進了電子交互。因特網(wǎng)允許進行幾乎即時的通信,實際上它允許在世界上的任何地方傳送信息。而萬維網(wǎng)(www)則被用于在線商務(wù)、數(shù)據(jù)分發(fā)、市場交易、證券交易、在線銀行、游戲、科技研發(fā)、學習以及種種其他活動。
      當各方以面對面方式或是使用紙張之類的物理介質(zhì)來進行交互時,驗證交互各方的憑證是相對容易的。例如,如果某人走進銀行并且嘗試提款,則銀行出納員可以在交付所要求的資金之前請求并驗證他或他的標識。個人在合同上的簽字也視為足以保證他或她認可該合同。同樣,如果某人走進商店并且使用信用卡來購買物品,則出納員很容易采取預(yù)防措施來合理確認該人即為信用卡的真正所有者。
      然而,在電子交互領(lǐng)域中是不能使用這種物理驗證手段的。除非個人和公司都覺得電子交互非常安全和保險,否則個人和公司是不會經(jīng)由因特網(wǎng)來傳送資金和購買物品的,此外也不會使用任何電子設(shè)備來管理和傳送保密信息。因此,在以電子方式傳遞決策和協(xié)定的世界中,需要用于提供驗證、安全和隱私的電子技術(shù)。
      加密技術(shù)研究的是可用于保護敏感信息、在通信中保持機密、在事務(wù)中驗證用戶以及在信息傳送中執(zhí)行其他安全措施的技術(shù)和應(yīng)用。密碼分析學研究的則是如何損害或消除加密機制。例如,黑客是研究并實踐密碼分析學的個人。而密碼學則是組合了加密技術(shù)以及密碼分析學的規(guī)范。
      密碼學允許人們將物質(zhì)世界中建立的置信度延伸到電子世界,由此允許人們以電子方式進行商務(wù)活動,而不必過度擔心欺詐、機密泄漏或是缺乏安全。以電子方式傳送的信息的長期增加也導致了越來越依賴于密碼學。
      例如,密碼學技術(shù)有助于保護網(wǎng)站并使電子傳輸更為可靠。由此允許個人進行在線銀行業(yè)務(wù)、在線貿(mào)易以及使用信用卡來進行在線購物,而不用擔心危及其帳戶信息的安全。對因特網(wǎng)和電子商務(wù)的持續(xù)增長而言,密碼學是非常重要的。
      此外,在電話、電視和各種其他公共家庭物品中同樣使用了密碼學。如果沒有密碼學,則黑客更容易存取他人的私人電子郵件、監(jiān)聽電話會話、接入電纜公司以及獲取免費的電纜服務(wù)或是侵占銀行帳戶。
      在密碼學中,一個主要的要點包括加密和解密。加密是將數(shù)據(jù)變換成這樣一種格式,其中如果在沒有電子密鑰(密鑰)之類的恰當資料的情況下不能在合理的時間量中進行訪問,則所述格式在表面上是無法了解以及極度困難的。以下將對密鑰進行說明。加密的目的是通過向任何非預(yù)期人員甚至是那些可以訪問加密數(shù)據(jù)的人員隱藏信息來確保隱私。解密則是加密的逆過程。它是將加密數(shù)據(jù)反向轉(zhuǎn)換成一種可理解的格式。例如,對一個需要確保安全的網(wǎng)站而言,在存儲數(shù)據(jù)與接收數(shù)據(jù)的計算機之間發(fā)送的所有數(shù)據(jù)都是需要加密的。然后,接收計算機必須能夠解密這些數(shù)據(jù)。
      如上所述,成功的加密和解密依賴于某些在理論上只有執(zhí)行加密和解密的各方才知道的保密資料。這種資料稱為密鑰。密鑰通常是一個隨機或偽隨機比特序列。因此,沒有正確密鑰的人是不能發(fā)送、接收或解譯其他人的敏感信息的。此外,密鑰還被用于電子驗證、數(shù)字簽名、數(shù)字時戳和其他電子安全目的。
      電子通信技術(shù)的發(fā)展導致產(chǎn)生了借助超文本傳輸協(xié)議(HTTP)、實時協(xié)議(RTP)和實時流協(xié)議(RTSP)之類的網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)而在因特網(wǎng)上下載和/或流式傳輸多媒體內(nèi)容能力和需要。如果內(nèi)容是下載的,則在客戶查看、使用或收聽內(nèi)容之前已經(jīng)從內(nèi)容供應(yīng)商那里將內(nèi)容全都下載到了客戶設(shè)備中。另一方面,如果內(nèi)容是流式傳輸?shù)模瑒t客戶在查看、使用或收聽內(nèi)容之前不必等待完全下載內(nèi)容。與此相反,流式內(nèi)容是作為可以在到達時查看、使用或收聽的分組序列來發(fā)送的。用戶需要一個能夠播放流式內(nèi)容的觀察器或播放器應(yīng)用。可以經(jīng)由因特網(wǎng)而從內(nèi)容供應(yīng)商那里流式傳輸和/或下載到客戶電子設(shè)備(例如個人計算機)中的多媒體內(nèi)容的實例包括視頻點播(VOD)、實時影像和音頻廣播、軟件、電子書、電影和音樂。如下文和附加權(quán)利要求中所使用的那樣,除非以別的方式具體表示,否則將會使用術(shù)語“內(nèi)容”來擴展引用所有那些可以流式傳輸或下載的數(shù)字內(nèi)容,其中包括但不局限于多媒體內(nèi)容以及電子文檔。
      很明顯,目前需要的是將內(nèi)容安全遞送到合法客戶。因此,內(nèi)容供應(yīng)商必須對經(jīng)由因特網(wǎng)發(fā)送的內(nèi)容進行加密。傳統(tǒng)上,在向客戶遞送內(nèi)容時,內(nèi)容供應(yīng)商是實時加密內(nèi)容的。然而對內(nèi)容供應(yīng)商來說,實時加密內(nèi)容并不總是合乎需要或是可行。因此在本領(lǐng)域中,與實時加密內(nèi)容相反,內(nèi)容供應(yīng)商需要能在經(jīng)由因特網(wǎng)傳送加密內(nèi)容之前加密該內(nèi)容。在為了進行下載或流式傳輸內(nèi)容而對內(nèi)容進行傳送之前進行的內(nèi)容加密稱為脫機加密或預(yù)加密。預(yù)加密會降低那些與實時加密相關(guān)聯(lián)的成本和開銷。此外在本領(lǐng)域中還需要進行與預(yù)加密相關(guān)聯(lián)的密鑰管理和分發(fā)。

      發(fā)明內(nèi)容
      在眾多可能實施例中的一個實施例中,本發(fā)明提供了一種將內(nèi)容從內(nèi)容供應(yīng)商那里傳送到高速緩存服務(wù)器的方法。然后,高速緩存服務(wù)器將內(nèi)容分發(fā)給一個觀察器。所述方法包括在向高速緩存服務(wù)器傳送內(nèi)容之前使用一個預(yù)加密機應(yīng)用來加密內(nèi)容。所述預(yù)加密機應(yīng)用則使用了密鑰存儲服務(wù)提供的子密鑰來執(zhí)行預(yù)加密。
      本發(fā)明的另一個實施例提供了一個網(wǎng)際協(xié)議權(quán)利管理系統(tǒng),以便對從內(nèi)容供應(yīng)商到高速緩存服務(wù)器以及隨后從高速緩存服務(wù)器到觀察器的內(nèi)容傳輸進行管理。該系統(tǒng)包括一個在向高速緩存服務(wù)器傳送內(nèi)容之前加密所述內(nèi)容的預(yù)加密機應(yīng)用。此外該系統(tǒng)還包括一個用于產(chǎn)生、存儲和分發(fā)子密鑰的獨立密鑰存儲服務(wù)。預(yù)加密機應(yīng)用則使用了子密鑰來加密內(nèi)容。此外,在對內(nèi)容進行加密并將其傳送到高速緩存服務(wù)器之后,高速緩存服務(wù)器還使用了子密鑰來對內(nèi)容進行解密。


      附圖描述的是本發(fā)明的不同實施例并且構(gòu)成了說明書的一部分。這里描述的實施例只是本發(fā)明的實例,它們并沒有對本發(fā)明的范圍進行限制。
      圖1是可用于實施本發(fā)明實施例的示范性的內(nèi)容遞送架構(gòu)。
      圖2描述的是一個將來自內(nèi)容供應(yīng)商的內(nèi)容經(jīng)由高速緩存服務(wù)器安全地流式傳輸或下載到一個觀察器的優(yōu)選IPRM架構(gòu)。
      圖3描述的是一個包含了預(yù)加密應(yīng)用的示范性IPRM架構(gòu)及其相關(guān)的密鑰管理和分配系統(tǒng)。
      圖4是一個詳細描述了可用于實施本發(fā)明實施例的示范性預(yù)加密方法及其相關(guān)的密鑰管理和分配方法的流程圖。
      圖5是一個描述了高速緩存服務(wù)器用以檢索與特定的預(yù)加密內(nèi)容相關(guān)聯(lián)的子密鑰以便能夠解密預(yù)加密內(nèi)容的示范性方法的流程圖。
      在所有附圖中,相同的參考數(shù)字表示的是相似但卻不一定相同的部件。
      具體實施例方式
      本說明書描述了一種方法和系統(tǒng),借助于這種方法和系統(tǒng),內(nèi)容供應(yīng)商可以使用一個單獨的預(yù)加密機應(yīng)用而以脫機方式加密內(nèi)容,其中所述應(yīng)用并沒有與內(nèi)容供應(yīng)商的流式和內(nèi)容文件服務(wù)器相結(jié)合。本說明書還描述了一種與預(yù)加密相關(guān)聯(lián)的密鑰管理分發(fā)方法和系統(tǒng)。
      預(yù)加密和密鑰管理分發(fā)的方法和系統(tǒng)是在一個網(wǎng)際協(xié)議權(quán)利管理(IPRM)系統(tǒng)中實現(xiàn)的。這個IPRM系統(tǒng)提供了諸如驗證、隱私、安全、完整性之類的數(shù)字權(quán)利管理功能,并且提供了針對任何基于IP協(xié)議的多媒體下載或流式傳輸網(wǎng)絡(luò)所進行的存取控制。例如,優(yōu)選的IPRM系統(tǒng)支持視頻點播(VoD)之類的點到點遞送以及內(nèi)容的多播遞送。并且優(yōu)選的IPRM系統(tǒng)還包含了永久存取問題。在這里將永久存取定義成存取一個客戶已經(jīng)接收并保存在本地永久存儲器(例如硬盤)上的本地內(nèi)容拷貝。永久權(quán)利則包括回放或再現(xiàn)內(nèi)容、拷貝保護、重新分發(fā)給其他用戶或設(shè)備以及打印權(quán)等等。
      示范性的IPRM系統(tǒng)是以軟件保護為基礎(chǔ)的,其中對客戶機寄予了有限的信任度。然而,在這里也可以使用可選的硬件安全模塊來增強IPRM系統(tǒng)。在某些應(yīng)用中,這個硬件安全模塊可以從需要高安全等級的版權(quán)所有者那里強行得到關(guān)于高質(zhì)量內(nèi)容的權(quán)利。
      圖1是可用于實施本發(fā)明一個實施例的示范性內(nèi)容遞送架構(gòu)。如圖1所示,內(nèi)容供應(yīng)商(100)將內(nèi)容經(jīng)由高速緩存服務(wù)器(101)遞送到一個觀察器(102)。如在下文和附加權(quán)利要求中所使用的那樣,除非以別的方式具體表示,否則術(shù)語“高速緩存服務(wù)器”表示的是能夠使用任何預(yù)期的流式或文件傳送協(xié)議而將內(nèi)容遞送到觀察器的任何類型的服務(wù)器,其中不必顧及所述遞送借助的是點到點還是多播連接。根據(jù)本發(fā)明的一個實施例,所述遞送既可以采用內(nèi)容下載形式,也可以采用內(nèi)容流的形式。優(yōu)選地,觀察器(102)包括一個能夠顯示、廣播和管理所下載的或是流式傳輸?shù)膬?nèi)容,并且觀察器最好在個人計算機(PC)、服務(wù)器或其它類型的電子設(shè)備之類的主機上運行。優(yōu)選地,觀察器(102)是由用戶或客戶機來進行操作的。
      在圖1的示范性架構(gòu)中,內(nèi)容供應(yīng)商(100)可以提供多種多媒體內(nèi)容服務(wù)。舉例來說,這些內(nèi)容可以是VOD、付費點看(PPV)、按時計費(PBT)、按質(zhì)量計費(PBQ)、流式視頻或音頻等等。根據(jù)本發(fā)明的一個實施例,內(nèi)容供應(yīng)商(100)對經(jīng)由高速緩存服務(wù)器(101)流式傳輸?shù)接^察器(102)的內(nèi)容進行預(yù)加密。以下將結(jié)合圖3和圖4來對預(yù)加密方法及其相關(guān)的密鑰管理及分發(fā)方法進行更詳細的說明。
      如圖1所示,內(nèi)容供應(yīng)商(100)優(yōu)選地將內(nèi)容提供給一個高速緩存服務(wù)器(101),而高速緩存服務(wù)器轉(zhuǎn)而將內(nèi)容遞送到觀察器(102)。高速緩存服務(wù)器(101)則被用于移動那些更接近網(wǎng)絡(luò)邊緣的內(nèi)容。這樣一來就提高了流式傳輸和下載的性能,并且允許更小的內(nèi)容供應(yīng)商在不需要購買用于媒體流傳輸?shù)陌嘿F硬件的情況下出售其內(nèi)容。此外它還允許只在高速緩存服務(wù)器(101)上引入IP多播。而多播則是指同時將相同內(nèi)容遞送到一個或多個用戶。盡管使用高速緩存服務(wù)器(101)是更為優(yōu)選的,但這并不是必需的。本發(fā)明的另一個實施例則是直接將內(nèi)容從內(nèi)容供應(yīng)商(100)那里流式傳輸?shù)接^察器(102)。然而出于說明的目的,本說明書假設(shè)存在某種高速緩存服務(wù)器(101)。
      圖1的優(yōu)選內(nèi)容遞送架構(gòu)還顯示出為所述內(nèi)容遞送系統(tǒng)中的每個部件提供集中服務(wù)(103)。優(yōu)選地,集中服務(wù)(103)包含了密鑰管理和分發(fā)服務(wù)。如圖1所示,較為優(yōu)選的是,內(nèi)容遞送系統(tǒng)中的每個部件都能與集中服務(wù)(103)進行通信。舉例來說,如下文更詳細描述的那樣,觀察器(102)可以通過從集中服務(wù)(103)那里請求票證來得到驗證并被允許接收來自高速緩存服務(wù)器(101)的內(nèi)容。
      圖2描述的是一種優(yōu)選的IPRM架構(gòu),該架構(gòu)提供的是將內(nèi)容安全地從內(nèi)容供應(yīng)商(100)經(jīng)由高速緩存服務(wù)器(101)流式傳輸或下載到觀察器(102)。如圖2所示,內(nèi)容供應(yīng)商(100)優(yōu)選包括一個HTTP或RTP服務(wù)器(200)。并且較為優(yōu)選的是,內(nèi)容供應(yīng)商(100)還包括一個包含了內(nèi)容的存儲單元(202)。所述存儲單元(202)可以是硬盤或是能夠存儲內(nèi)容的任何其他設(shè)備。優(yōu)選地,HTTP或RTP服務(wù)器(200)可以使用包含了將要傳送到觀察器(102)的內(nèi)容的存儲單元(202)。所述內(nèi)容可以是根據(jù)本發(fā)明一個實施例的暗示內(nèi)容。暗示內(nèi)容則包含了提示軌跡的內(nèi)容,或是能使內(nèi)容得到流式傳輸?shù)男畔?。然而,所述?nèi)容也不一定是得到暗示的。
      如圖2所示,內(nèi)容供應(yīng)商的HTTP或RTP服務(wù)器(200)、高速緩存服務(wù)器(101)以及觀察器(102)各自都是通過使用IPRM密鑰管理接口而與密鑰分發(fā)中心(KDC)(201)進行通信并且從中獲取票證的,其中所述密鑰分發(fā)中心優(yōu)選地是集中服務(wù)(103)的一部分。如下文和附加權(quán)利要求中所使用的那樣,除非以別的方式具體表示,否則KDC指的是任何創(chuàng)建、管理和分發(fā)票證的集中服務(wù),其中所述票證包含了允許在內(nèi)容供應(yīng)商(100)、高速緩存服務(wù)器(101)和觀察器(102)之間進行安全通信的密鑰。這種安全通信簡化了加密內(nèi)容的傳遞和解密。在圖2中,IPRM密鑰管理接口是由相對模糊的箭頭來表示的。如圖3所示,密鑰管理接口(204)是HTTP或RTP服務(wù)器(200)與高速緩存服務(wù)器(101)之間的密鑰管理,其中創(chuàng)建了只有這個接口才具有的密鑰并且在每次將內(nèi)容發(fā)送到高速緩存服務(wù)器(101)的時候都對內(nèi)容進行了加密,即使在多次發(fā)送同一內(nèi)容的時候也是如此。密鑰管理接口(205)則是高速緩存服務(wù)器(101)與觀察器(102)之間的密鑰管理,它被用于獲取那些加密和解密發(fā)送到觀察器(102)的內(nèi)容所需要的密鑰。
      IRPM密鑰管理接口需要一個能夠擴展到大約數(shù)百萬用戶并且能與KDC(201)之類的集中管理或分布式數(shù)據(jù)庫對接的協(xié)議。一種示范而非限制性的協(xié)議是電子保密中介(ESBroker)協(xié)議。ESBroker協(xié)議基于的是Kerberos框架,其中包含了與KDC以及單獨的應(yīng)用服務(wù)器所進行的客戶機交互,所述應(yīng)用服務(wù)器可以是內(nèi)容供應(yīng)商的服務(wù)器(200)以及緩存器服務(wù)器(101)。優(yōu)選地,這些交互既使用了公共密鑰又使用了對稱密鑰算法。然而,在這里也可以使用除ESBroker協(xié)議之外的其他協(xié)議。優(yōu)選地,ESBroker協(xié)議或者所使用的任何其他協(xié)議都是通用的協(xié)議,這些協(xié)議很容易適用于分布式環(huán)境中那些需要驗證和加密的不同應(yīng)用。如下文和附加權(quán)利要求中所使用的那樣,除非以別的方式具體表示,否則將會使用ESBroker協(xié)議來引證任何那些可以在IPRM密鑰管理接口中使用的可能協(xié)議。
      如先前所述,KDC(201)對票證進行分發(fā)。票證是一個幫助客戶向服務(wù)器驗證其自身的記錄。優(yōu)選的票證包括了客戶身份、會話密鑰、時戳以及其它信息。所有這些信息都是使用服務(wù)器的秘密密鑰來封裝的。例如,觀察器(102)必須通過與KDC(201)進行通信來獲取一個票證,隨后則將所述票證給予高速緩存服務(wù)器(101),以便進行相互驗證。如果高速緩存服務(wù)器(101)確定該票證是一個有效票證,則可以成功地將內(nèi)容流式傳輸?shù)接^察器(102)。
      根據(jù)本發(fā)明的一個實施例,票證的使用是ESBroker密鑰管理協(xié)議的一個中心部分。在圖2中,觀察器(102)和內(nèi)容供應(yīng)商服務(wù)器(200)都是高速緩存服務(wù)器(101)的客戶機。此外,高速緩存服務(wù)器(101)可以是用于在高速緩存服務(wù)器之間移動內(nèi)容的其他高速緩存服務(wù)器的客戶機。因此,較為優(yōu)選的是,圖2中的所有實體都從KDC(201)那里獲取票證。
      如圖2所示,較為優(yōu)選的是使用ESBroker密鑰管理協(xié)議(204,205)而在內(nèi)容供應(yīng)商的服務(wù)器(200)與高速緩存服務(wù)器(101)之間以及在高速緩存服務(wù)器(101)與觀察器(102)之間建立安全會話。在建立了安全會話之后,可以對內(nèi)容供應(yīng)商服務(wù)器(200)與高速緩存服務(wù)器(101)之間以及高速緩存服務(wù)器(101)與觀察器(102)之間傳送的消息進行加密和/或驗證。優(yōu)選地,舉例來說,每一個新的安全會話都具有自己的唯一一組密鑰,這組密鑰只在觀察器(102)與高速緩存服務(wù)器(101)這樣的兩個主機之間共享。優(yōu)選地,即使在相同的兩個主機之間存在多個安全戶會話,所述密鑰也不在這些安全會話之間得到共享。
      圖2顯示的是一個從內(nèi)容供應(yīng)商的服務(wù)器(200)流向高速緩存服務(wù)器(101)以及從高速緩存服務(wù)器(101)流向觀察器(102)的示范性RTP流。根據(jù)本發(fā)明的一個實施例,在這里對這些RTP流進行了加密,并且可選地對其進行了驗證。圖2還顯示了關(guān)聯(lián)于高速緩存服務(wù)器(101)與觀察器(102)之間的RTP流的RTCP和RTSP控制業(yè)務(wù)量。優(yōu)選地,這個控制業(yè)務(wù)量也經(jīng)過了加密和/或驗證,從而為客戶提供了保密性,此外還保護客戶免受可能導致拒絕服務(wù)的協(xié)議操作攻擊。在圖2中還顯示了一個從內(nèi)容供應(yīng)商的服務(wù)器(200)到高速緩存服務(wù)器(101)的示范性HTTP下載。這個下載可以是一個從高速緩存服務(wù)器(101)到觀察器(102)的HTTP下載。優(yōu)選地,這些HTTP下載也經(jīng)過了加密和/或驗證。
      在圖2中顯示了觀察器(102)與內(nèi)容供應(yīng)商(100)之間的一個示范性HTTP接口。這個HTTP接口是可選的,舉例來說,所述接口可用于內(nèi)容瀏覽、選擇以及“內(nèi)容購買”屏幕。優(yōu)選地,這個HTTP接口還受到加密和/或驗證的保護。而為內(nèi)容提供條件存取并不是必然需要所述保護。但是舉例來說,在用戶確認購買內(nèi)容之后,他或她的選擇以及相關(guān)的內(nèi)容規(guī)則需要以密碼形式加以保護,以免受到損害,從而避免客戶改變選擇或是相關(guān)的成本。因此,較為優(yōu)選的是,內(nèi)容供應(yīng)商(100)在一個名為會話權(quán)利對象(SRO)的受密碼保護的對象中返回用戶選擇以及內(nèi)容規(guī)則。為保護SRO,并且較為優(yōu)選的是,盡管內(nèi)容供應(yīng)商(100)與選定的高速緩存服務(wù)器(101)之間有可能并沒有直接交換任何密鑰管理信息,但是內(nèi)容供應(yīng)商還是獲取了一個對應(yīng)于選定高速緩存服務(wù)器(101)的票證。
      圖2還顯示了高速緩存服務(wù)器與其數(shù)據(jù)庫(203)之間的一個優(yōu)選接口。如圖2所示,較為優(yōu)選的是,數(shù)據(jù)庫(203)保存或緩存那些經(jīng)過加密的內(nèi)容。并且較為優(yōu)選的是,在這里對數(shù)據(jù)庫中保存的所有內(nèi)容都進行了加密。然而如圖2所示,緩存在數(shù)據(jù)庫(203)中的所有加密內(nèi)容最好由高速緩存服務(wù)器(101)進行解密,然后則在將內(nèi)容遞送到觀察器(102)之前由高速緩存服務(wù)器(101)再次對其進行加密。
      現(xiàn)在結(jié)合圖3來描述一種優(yōu)選的預(yù)加密方法以及與之其相關(guān)的密鑰管理和分發(fā)。圖3描述的是一個具有預(yù)加密能力的示范性IPRM架構(gòu)。IPRM密鑰管理接口是由相對模糊的箭頭來表示的。如圖3所示,較為優(yōu)選的是,內(nèi)容供應(yīng)商(100)包括一個存儲單元(202),其中包含了將要下載或是流式傳輸?shù)接^察器(102)的內(nèi)容。該內(nèi)容首先是用預(yù)加密機應(yīng)用(300)來進行加密的,其中較為優(yōu)選的是,所述應(yīng)用是由內(nèi)容供應(yīng)商(100)來進行操作的。預(yù)加密機應(yīng)用(300)可以位于內(nèi)容供應(yīng)商(100)之中,也可以位于一臺單獨的主機之中。在加密了內(nèi)容之后,所述內(nèi)容將會保存在另一個存儲單元(302)中。在某些應(yīng)用中,這個存儲單元(302)與用于保存未加密內(nèi)容的存儲單元(202)是相同的。現(xiàn)在如圖3所示,存儲單元(302)包含了已經(jīng)經(jīng)過了預(yù)加密機應(yīng)用(300)加密的內(nèi)容。而存儲單元(302)可以是任何類型的存儲單元,例如硬盤。本發(fā)明的另一個實施例則提供了一種方法,借助于這種方法,在將內(nèi)容存入存儲單元(302)之前,預(yù)加密機應(yīng)用(300)會加密并提示所述內(nèi)容。在這種情況下,存儲單元(302)包含的是得到提示的加密內(nèi)容。
      圖3描述的是預(yù)加密機應(yīng)用(300)與密鑰存儲服務(wù)(KSS)(301)一起優(yōu)選執(zhí)行ESBroker密鑰管理(303),以便創(chuàng)建和保存那些用于內(nèi)容預(yù)加密的密鑰。優(yōu)選地,KSS(301)是一個負責為特定內(nèi)容的預(yù)加密分配密鑰、永久存儲這些密鑰以及在請求時將其分發(fā)給高速緩存服務(wù)器(101)的獨立組件。然后,高速緩存服務(wù)器(101)能夠?qū)κ褂眠@些密鑰進行預(yù)加密的內(nèi)容進行解密。對ESBroker協(xié)議而言,用于預(yù)加密的密鑰來自子密鑰。子密鑰是一個保密值,它是由服務(wù)器在ESBroker密鑰應(yīng)答消息中返回的。在圖3的示范性方案中,這個服務(wù)器是KSS(301)。Kerberos具有相似的子密鑰概念,其中可以在一個Kerberos AP應(yīng)答消息中導出所述子密鑰。如在下文和附加權(quán)利要求中所使用的那樣,除非以別的方式具體表示,否則術(shù)語“預(yù)加密子密鑰”和“子密鑰”是可以互換使用的,由此引用了一個子密鑰,其中KSS(301)產(chǎn)生所述子密鑰,以便推導出在內(nèi)容預(yù)加密和驗證過程中使用的密鑰,以及在對這個預(yù)加密內(nèi)容進行解密以及完整性驗證的過程中使用的密鑰。
      KSS(301)位于內(nèi)容供應(yīng)商(100)的位置,其中內(nèi)容是根據(jù)一個實施例來進行保存和預(yù)加密的。根據(jù)另一個實施例,KSS(301)處于圖3中未曾顯示的中心位置。而另一個實施例則是KSS(301)與預(yù)加密機應(yīng)用(300)處于同一主機。優(yōu)選地,內(nèi)容供應(yīng)商(100)對傳送到觀察器(102)的SRO中的KSS的位置進行編碼,以使高速緩存服務(wù)器(101)了解到從何處獲取正確的子密鑰。
      較為優(yōu)選的是,經(jīng)過預(yù)加密的子密鑰保存在KSS(301)的一個關(guān)系數(shù)據(jù)庫中。優(yōu)選地,所述數(shù)據(jù)庫接口是允許進行各種關(guān)系數(shù)據(jù)庫引擎的互操作的開放式數(shù)據(jù)庫互接(ODBC)。較為優(yōu)選的是,在這里使用了與KDC用以加密并驗證它所產(chǎn)生和分發(fā)的密鑰的技術(shù)相同的技術(shù)來對保存在數(shù)據(jù)庫中的預(yù)加密子密鑰進行加密和驗證的。優(yōu)選地,數(shù)據(jù)庫為每一個預(yù)加密內(nèi)容都保持了具有下列字段的記錄(1)內(nèi)容標識或標識符(ID),(2)加密的子密鑰,(3)選定的加密和驗證算法,以及(4)驗證器。內(nèi)容ID是一個為某個KSS(301)所特有的標識符。每個內(nèi)容都具有自己的內(nèi)容ID。舉例來說,內(nèi)容ID可以是所述內(nèi)容的統(tǒng)一資源定位符(URL)也可以是通用資源識別碼(URI)。推導內(nèi)容ID的確切方法則依賴于特定的應(yīng)用,在這里不再對此進行更詳細的描述。根據(jù)另一個實施例,除了上述字段之外,在這里可以使用其他字段。
      如圖3所示,較為優(yōu)選的是,預(yù)加密機應(yīng)用(300)以及高速緩存服務(wù)器(101)從KDC(201)那里請求票證,以便與KSS(301)進行通信。然而,如果預(yù)加密機應(yīng)用(300)和KSS(301)同處于相同的主機,那么根據(jù)特定的應(yīng)用,預(yù)加密機應(yīng)用(300)可能需要也可能不需要為了與KSS(301)進行通信而從KDC(201)那里請求票證。
      在例如圖3所示的結(jié)構(gòu)中,當從內(nèi)容供應(yīng)商(100)那里將預(yù)加密內(nèi)容傳送到高速緩存服務(wù)器(101)時,除了預(yù)加密之外,可以在沒有任何附加安全措施的情況下使用一個常規(guī)的文件傳送協(xié)議來傳送內(nèi)容。由于對內(nèi)容進行了加密,因此高速緩存服務(wù)器(101)可以原樣保存所述預(yù)加密內(nèi)容。當高速緩存服務(wù)器(101)開始與觀察器(102)進行一個流式傳輸或是下載會話時,它會使用ESBroker密鑰管理(304)來從KSS(301)那里獲取恰當?shù)慕饷茏用荑€。非常重要的是,在這里應(yīng)該注意,高速緩存服務(wù)器(101)仍舊與觀察器(102)一起執(zhí)行相同的ESBroker密鑰管理(205),以便使用那些為特定客戶機和內(nèi)容所特有的密鑰來建立一個安全的流式會話。與結(jié)合圖2所描述的不進行預(yù)加密的情況一樣,在與觀察器(102)進行的流式會話過程中,高速緩存服務(wù)器(101)對緩存的加密內(nèi)容進行解密,然后則使用一個與觀察器(102)建立的安全會話來再次加密所述內(nèi)容。
      如圖3所示,在內(nèi)容供應(yīng)商的服務(wù)器(200)與高速緩存服務(wù)器(101)之間有可能存在一個RTP流式會話,與預(yù)加密相反,所述會話是在運行時加密的。在同一IPRM架構(gòu)中,較為優(yōu)選的是既支持預(yù)加密也支持運行時加密。這是因為實況內(nèi)容之類的某些內(nèi)容是不能預(yù)加密的,并且這些內(nèi)容必須始終由內(nèi)容供應(yīng)商的服務(wù)器(200)在運行時進行加密。優(yōu)選地,內(nèi)容供應(yīng)商(100)能夠選擇預(yù)加密內(nèi)容還是在運行時加密內(nèi)容。
      而另一個實施例則可選地要求使用一個消息驗證碼(MAC)來驗證所述內(nèi)容。在這里,MAC附加于每一個預(yù)加密的內(nèi)容存儲單元。而所述存儲單元可以是一個分組或是一個幀。
      圖4是一個詳細描述了可用于實施本發(fā)明實施例的示范性預(yù)加密方法以及與之相關(guān)的密鑰管理和分配方法的流程圖。在圖4的實例中,假設(shè)預(yù)加密應(yīng)用已經(jīng)從KDC那里獲取了一個使之能與KSS進行通信的票證。
      圖4的預(yù)加密方法可以將一個提示處理與內(nèi)容的預(yù)加密相結(jié)合。稍后則可以將這個方案中創(chuàng)建的預(yù)加密和被提示內(nèi)容下載到高速緩存服務(wù)器(101),以便流式傳輸?shù)接^察器(102)。同樣,如果只對內(nèi)容進行預(yù)加密,則稍后可以將預(yù)加密內(nèi)容下載到高速緩存服務(wù)器。根據(jù)本發(fā)明的一個實施例,如果要將內(nèi)容流式傳輸?shù)接^察器(102),則必須對所述內(nèi)容進行提示。
      如圖4所示,預(yù)加密方法始于預(yù)加密機應(yīng)用向KSS發(fā)送一個密鑰請求(400)。優(yōu)選地,所述密鑰請求是一個ESBroker密鑰請求消息,其中包含了一個“存儲”操作命令。所述密鑰請求要求產(chǎn)生一個新的預(yù)加密子密鑰,其中內(nèi)容加密和驗證密鑰是從所述新的預(yù)加密子密鑰中產(chǎn)生的。在這種情況下,由于KSS會產(chǎn)生一個預(yù)加密子密鑰,然后將子密鑰的一個拷貝保存在其數(shù)據(jù)庫中,因此在這里將會使用“存儲”操作命令。
      然而如上所述,KSS可以與預(yù)加密機應(yīng)用處于同一主機之中。在這種情況下,較為優(yōu)選的是,密鑰請求命令并不是由預(yù)加密機應(yīng)用發(fā)送到KSS的,并且主機將會執(zhí)行遠端KSS所要執(zhí)行的全部功能。然而在圖4的實例中,KSS是位于遠端的。較為重要的是,在這里應(yīng)該指出,IPRM系統(tǒng)有可能具有多個KSS。因此,內(nèi)容供應(yīng)商優(yōu)選地對其預(yù)加密機應(yīng)用進行配置,以便能與預(yù)期的KSS進行通信。
      如圖4所示,密鑰請求優(yōu)選地包含所述內(nèi)容的內(nèi)容ID。一旦KSS接收到密鑰請求,則它首先將所發(fā)送的內(nèi)容ID與已經(jīng)保存在其數(shù)據(jù)庫中的內(nèi)容ID進行比較(401)。如果所發(fā)送的內(nèi)容ID不匹配KSS數(shù)據(jù)庫中已經(jīng)保存的內(nèi)容ID之一,則KSS產(chǎn)生一個新的子密鑰(403)。然后,KSS將新的子密鑰連同其相關(guān)信息一起保存在其數(shù)據(jù)庫中(404)。優(yōu)選地,所述相關(guān)信息包含了新的內(nèi)容ID以及選定的加密和驗證算法。
      然而,如果所發(fā)送的內(nèi)容ID不匹配KSS數(shù)據(jù)庫中已經(jīng)保存的內(nèi)容ID之一,則不會產(chǎn)生新的子密鑰(402)并且KSS將會拒絕密鑰請求。這是因為在將要加密的內(nèi)容與已經(jīng)預(yù)加密的內(nèi)容之間假設(shè)存在一個命名沖突。如果內(nèi)容供應(yīng)商希望改變內(nèi)容并且隨后再次預(yù)加密所述內(nèi)容,則內(nèi)容供應(yīng)商可以定義一個新的內(nèi)容ID(例如包括內(nèi)容版本號的URL或URI)。作為選擇,內(nèi)容供應(yīng)商可以使用一個管理接口,以便首先移除KSS數(shù)據(jù)庫內(nèi)部的一個對應(yīng)于該內(nèi)容的現(xiàn)有條目。
      如圖4所示,當在KSS數(shù)據(jù)庫中保存了新的子密鑰及其相關(guān)信息之后,KSS會將新的預(yù)加密子密鑰發(fā)送到預(yù)加密機應(yīng)用(405)。優(yōu)選地,在這個傳輸中包含了選定的加密和驗證算法。較為優(yōu)選的是,所述傳輸是通過發(fā)送一個ESBroker密鑰應(yīng)答消息而被完成的。
      現(xiàn)在,預(yù)加密機應(yīng)用使用了從KSS(406)接收的子密鑰來預(yù)加密內(nèi)容。如結(jié)合圖3所描述的那樣,在對內(nèi)容進行預(yù)加密之后,所述內(nèi)容優(yōu)選保存在一個存儲單元之中(407)?,F(xiàn)在,預(yù)加密內(nèi)容則準備使用標準的文件下載協(xié)議下載到高速緩存服務(wù)器中,而在內(nèi)容傳送過程中則不需要應(yīng)用任何附加的安全措施。
      圖4的密鑰管理和分發(fā)方法的一個優(yōu)點是所述方法與預(yù)加密應(yīng)用相互分離。這樣則顧及了在同一地點進行的內(nèi)容和加密密鑰管理或是加密密鑰的遠端管理。
      本發(fā)明的另一個優(yōu)點在于KSS可以將子密鑰永久保存在一個數(shù)據(jù)庫中,以便以后由高速緩存服務(wù)器進行檢索。圖5是描述了一種示范性方法的流程圖,借助于所述方法,高速緩存服務(wù)器可以檢索一個與特定的預(yù)加密內(nèi)容相關(guān)聯(lián)的子密鑰,從而對預(yù)加密內(nèi)容進行解密。
      圖5的示范性方法假設(shè)高速緩存服務(wù)器已經(jīng)從內(nèi)容供應(yīng)商那里下載了預(yù)加密內(nèi)容。此外在圖5的實例中還假設(shè)高速緩存服務(wù)器已經(jīng)從KDC那里請求并獲得了使之能與KSS進行通信的票證。
      圖5的方法始于觀察器向高速緩存服務(wù)器發(fā)送一個帶有觀察器票證以及SRO(會話權(quán)利對象)的密鑰請求。高速緩存服務(wù)器對SRO以及票證進行評估,并且判定準許這個觀察器接收所請求的內(nèi)容。然后,高速緩存服務(wù)器產(chǎn)生一個用于對遞送給觀察器的內(nèi)容重新加密的新的子密鑰,并將所述子密鑰返回給觀察器(501)。然而,由于預(yù)加密了所請求的內(nèi)容,因此高速緩存服務(wù)器當前并不具有相應(yīng)的預(yù)加密子密鑰。因此,高速緩存服務(wù)器隨后向KSS發(fā)送一個密鑰請求以及與所要解密的預(yù)加密內(nèi)容相關(guān)聯(lián)的內(nèi)容ID(502)。優(yōu)選地,高速緩存服務(wù)器在本地緩存了預(yù)加密密鑰,這樣一來,在另一個觀察器下次請求相同內(nèi)容的時候,高速緩存服務(wù)器已經(jīng)具有了一個本地存儲的預(yù)加密子密鑰拷貝,并且不需要再次向KSS發(fā)送一個密鑰請求。優(yōu)選地,所述密鑰請求是一個ESBroker密鑰請求消息,其中包含了一個“檢索”操作命令。由于高速緩存服務(wù)器希望從KSS檢索到一個子密鑰,因此在這里使用的是“檢索”操作命令。
      如圖5所示,密鑰請求優(yōu)選包含了與預(yù)加密內(nèi)容相關(guān)聯(lián)的內(nèi)容ID。一旦KSS接收到密鑰請求,則它首先將所發(fā)送的內(nèi)容ID與已經(jīng)保存在其數(shù)據(jù)庫中的內(nèi)容ID進行比較(503)。如果所發(fā)送的內(nèi)容ID與已經(jīng)保存在KSS數(shù)據(jù)庫中的內(nèi)容ID之一不匹配,則不將子密鑰發(fā)送到高速緩存服務(wù)器(504)并且不能成功解密所述預(yù)加密內(nèi)容。
      然而,如果所發(fā)送的內(nèi)容ID與已經(jīng)保存在KSS數(shù)據(jù)庫中的內(nèi)容ID之一相匹配,則KSS優(yōu)選將與其數(shù)據(jù)庫中的匹配內(nèi)容ID相關(guān)聯(lián)的子密鑰發(fā)送到高速緩存服務(wù)器(505)。優(yōu)選地,這個傳輸是通過發(fā)送一個ESBroker密鑰應(yīng)答消息來完成的。然后,高速緩存服務(wù)器使用所獲取的子密鑰來解密預(yù)加密內(nèi)容(506)。優(yōu)選地,在這里并未直接使用子密鑰來解密預(yù)加密內(nèi)容。取而代之的是,內(nèi)容解密和驗證密鑰首先來源于子密鑰,然后則被用于解密和驗證內(nèi)容。隨后,高速緩存服務(wù)器可以重新解密內(nèi)容并且使用一個來自不同子密鑰的內(nèi)容加密和驗證密鑰而為消息完整性產(chǎn)生新的消息驗證碼(MAC)(507)。在這個步驟中使用的子密鑰與高速緩存服務(wù)器在(501)中發(fā)送到觀察器的子密鑰是同一子密鑰。
      現(xiàn)在將要描述的是一個示范性方案,在這個方案中,優(yōu)選的IPRM系統(tǒng)能夠執(zhí)行預(yù)加密以及密鑰的管理和分發(fā)。這個方案將對上述實施例進行描述。此外,它還產(chǎn)生了本發(fā)明的幾個附加實施例。在這個方案中,客戶從一個內(nèi)容供應(yīng)商那里請求將要流式傳輸或是下載到其觀察器上的點播內(nèi)容。優(yōu)選地,觀察器是一臺個人計算機或是其他任何能夠從因特網(wǎng)中下載內(nèi)容的電子設(shè)備。首先,客戶使用一個標準的因特網(wǎng)網(wǎng)絡(luò)瀏覽器而與一個搜索引擎取得聯(lián)系??蛻艨梢允褂眠@個搜索引擎來找出他希望得到的內(nèi)容。一旦發(fā)現(xiàn)了希望得到的內(nèi)容,則將其觀察器重定向到內(nèi)容供應(yīng)商。
      然后,觀察器與所指向的內(nèi)容供應(yīng)商取得聯(lián)系,并且傳送其優(yōu)選的高速緩存服務(wù)器列表、預(yù)訂服務(wù)列表、內(nèi)容支付能力以及特定應(yīng)用所規(guī)定的任何其他相關(guān)信息。然后,內(nèi)容供應(yīng)商提供經(jīng)過優(yōu)化的購買選項的子組,這些選項依賴于特定客戶和服務(wù)的環(huán)境。例如,已經(jīng)預(yù)訂了服務(wù)的客戶可以繞過價格選擇屏幕。
      然后,內(nèi)容供應(yīng)商優(yōu)選地產(chǎn)生一個封裝了客戶所選擇的購買選項的SRO、一組可選的內(nèi)容訪問規(guī)則(例如中斷區(qū)域)以及一個針對選定內(nèi)容的引用。隨后,內(nèi)容供應(yīng)商則將觀察器重定向到恰當?shù)母咚倬彺娣?wù)器。
      如果觀察器先前緩存了相關(guān)的高速緩存服務(wù)器票證,則它重新檢索所述票證。如果它沒有緩存票證,則它與一個KDC取得聯(lián)系并且請求一個使之能與高速緩存服務(wù)器進行通信的票證。在某些應(yīng)用中,觀察器是通過向KDC發(fā)送一個票證授予票證(TGT)來產(chǎn)生這個票證請求的。所述TGT被用作一個置信令牌,以使觀察器適合與票證許可服務(wù)(例如KDC)進行交談,從而獲取高速緩存服務(wù)器票證。
      然后,觀察器使用高速緩存服務(wù)器票證而向高速緩存服務(wù)器驗證其自身。在成功驗證之后,觀察器將它從內(nèi)容供應(yīng)商那里獲取的SRO轉(zhuǎn)發(fā)到高速緩存服務(wù)器。然后,高速緩存服務(wù)器依靠票證中包含的觀察器權(quán)利而對來自SRO的存取規(guī)則進行檢查,如果高速緩存服務(wù)器許可觀察器請求,則觀察器和高速緩存服務(wù)器協(xié)商產(chǎn)生一個密鑰,以便使用ESBroker密鑰管理來遞送內(nèi)容。
      然后,觀察器開始向高速緩存服務(wù)器發(fā)布RTSP命令,以便獲取關(guān)于內(nèi)容的描述(例如它的RTSP URL)并且隨后則請求播放該內(nèi)容。優(yōu)選地,RTSP命令是經(jīng)過加密和驗證的。然而在某些應(yīng)用中,RTSP命令的加密和驗證是無法進行的。
      高速緩存服務(wù)器接收RTSP命令,對其進行解碼并且返回RTSP響應(yīng)。如果觀察器發(fā)送加密形式的RTSP命令,則較為優(yōu)選的是對高速緩存服務(wù)器的RTSP響應(yīng)進行加密。當RTSP命令請求播放一個具體的URL時,高速緩存服務(wù)器將會核實指定的URL即為在SRO中為特定會話所規(guī)定的內(nèi)容。
      在接收到播放RTSP URL的請求之后,高速緩存服務(wù)器開始發(fā)出經(jīng)過加密的RTP分組,并且高速緩存服務(wù)器和觀察器周期性地發(fā)送RTCP報告分組。優(yōu)選地,RTCP分組也是經(jīng)過加密和驗證的,但是在某些應(yīng)用中,這個操作既不能實現(xiàn)也不合乎需要。優(yōu)選地,所有那些與同一RTSP URL相關(guān)聯(lián)的RTP以及RTCP分組都是使用同一安全會話來進行加密的。
      在高速緩存服務(wù)器開始向觀察器發(fā)送帶有經(jīng)過加密的有效負載的RTP分組之前,它需要獲取一個對應(yīng)于相應(yīng)內(nèi)容的解密密鑰。如果內(nèi)容供應(yīng)商的服務(wù)器使用運行時加密而將內(nèi)容傳遞到高速緩存服務(wù)器,則高速緩存服務(wù)器將會預(yù)先使用本地產(chǎn)生的密鑰來對內(nèi)容進行重新加密,以便進行本地存儲。因此,在這種情況下,高速緩存服務(wù)器已經(jīng)擁有了解密內(nèi)容所需要的解密密鑰。
      然而,如果內(nèi)容是由一個預(yù)加密機應(yīng)用進行預(yù)加密的,則高速緩存服務(wù)器未必具有內(nèi)容解密密鑰。如果出現(xiàn)這種情況,則高速緩存服務(wù)器是通過執(zhí)行以下步驟來獲取密鑰的。首先,它為預(yù)加密內(nèi)容確定KSS的位置。這個位置可以在先前從觀察器得到的SRO中給出,也可以在高速緩存服務(wù)器中以手動方式配置。接下來,高速緩存服務(wù)器將一個密鑰請求消息發(fā)送到要求得到用于預(yù)加密內(nèi)容的子密鑰的KSS。這個消息包含了內(nèi)容ID。然后,KSS用一個密鑰應(yīng)答消息來做出響應(yīng),其中所述消息包含了預(yù)加密子密鑰并且優(yōu)選地包含了用于加密和驗證算法的ID,其中所述加密和驗證算法將被用于預(yù)加密特定內(nèi)容。此外,較為優(yōu)選的是,高速緩存服務(wù)器為來自相同或其他觀察器的針對相同內(nèi)容的后續(xù)請求保存了這個預(yù)加密子密鑰的一個拷貝。
      然后,高速緩存服務(wù)器使用子密鑰來對每一個從本地存儲單元中讀入的RTP分組有效負載進行解密。隨后,它使用一個不同密鑰來對內(nèi)容重新加密,其中所述密鑰是結(jié)合觀察器而使用ESBroker密鑰管理來建立的。之后則將帶有重新加密的有效負載的RTP分組發(fā)送到觀察器。
      隨后,觀察器解密并播放內(nèi)容。同時,觀察器可以發(fā)布附加的RTSP命令,這個命令可以通過使用同一安全會話來進行加密。例如,這些附加的RTSP命令可以包括暫?;蚧謴?fù)內(nèi)容播出的命令。
      優(yōu)選地,高速緩存服務(wù)器記錄了查看內(nèi)容的人員,查看內(nèi)容的時間以及購買內(nèi)容所依據(jù)的機制。然后,這個信息可被用于進行計費或是視為特定應(yīng)用所必需的其他目的。
      先前給出的描述只是說明和描述本發(fā)明的實施例。在這里并不意圖進行窮舉或是將本發(fā)明限制在所公開的任何確切形式。根據(jù)上述教導,可以進行多種修改和變化。而本發(fā)明的范圍則是由下列權(quán)利要求來進行限定的。
      權(quán)利要求
      1.一種將內(nèi)容從內(nèi)容供應(yīng)商傳送到高速緩存服務(wù)器的方法,其中所述高速緩存服務(wù)器將所述內(nèi)容分發(fā)給觀察器,所述方法包括在將所述內(nèi)容傳送到所述高速緩存服務(wù)器之前,使用一個預(yù)加密機應(yīng)用來加密所述內(nèi)容,所述預(yù)加密機應(yīng)用使用密鑰存儲服務(wù)提供的預(yù)加密子密鑰來執(zhí)行所述預(yù)加密。
      2.權(quán)利要求1的方法,其中在將所述內(nèi)容傳送到所述高速緩存服務(wù)器之前,所述內(nèi)容供應(yīng)商以電子形式將使用所述預(yù)加密機應(yīng)用加密的所述內(nèi)容保存在一個存儲單元中。
      3.權(quán)利要求1的方法,還包括從所述預(yù)加密機應(yīng)用向所述密鑰存儲服務(wù)發(fā)送一個密鑰請求,所述密鑰請求包含與所述內(nèi)容相關(guān)聯(lián)的內(nèi)容標識符;以及將所述內(nèi)容標識符與所述密鑰存儲服務(wù)的數(shù)據(jù)庫中已經(jīng)存在的內(nèi)容標識符相比較;其中,如果所述內(nèi)容標識符不匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)產(chǎn)生所述預(yù)加密子密鑰,將所述預(yù)加密子密鑰的拷貝以及所述內(nèi)容標識符存儲在所述數(shù)據(jù)庫中,以及將所述預(yù)加密子密鑰發(fā)送到所述預(yù)加密機應(yīng)用,以便在所述內(nèi)容的所述預(yù)加密中使用。
      4.權(quán)利要求3的方法,其中在將所述內(nèi)容分發(fā)到所述觀察器之前,所述高速緩存服務(wù)器使用所述預(yù)加密子密鑰的拷貝來對所述預(yù)加密機應(yīng)用所加密的所述內(nèi)容進行解密,然后則使用所述高速緩存服務(wù)器與所述觀察器之間共享的不同子密鑰來重新加密所述內(nèi)容。
      5.權(quán)利要求4的方法,其中在解密所述內(nèi)容以及隨后將其重新加密并分發(fā)到所述觀察器之前,所述高速緩存服務(wù)器以電子方式將經(jīng)過預(yù)加密的所述內(nèi)容保存在一個存儲單元中。
      6.權(quán)利要求4的方法,還包括從所述高速緩存服務(wù)器向所述密鑰存儲服務(wù)發(fā)送一個密鑰請求,所述密鑰請求包含與所述內(nèi)容相關(guān)聯(lián)的所述內(nèi)容標識符;以及將所述內(nèi)容標識符與所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符相比較;其中,如果所述內(nèi)容標識符匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)向所述高速緩存服務(wù)器發(fā)送與所述內(nèi)容標識符相關(guān)聯(lián)的所述預(yù)加密子密鑰的拷貝,以便在所述內(nèi)容的所述解密中使用。
      7.權(quán)利要求6的方法,其中所述高速緩存服務(wù)器將所述預(yù)加密子密鑰的所述拷貝保存在一個存儲單元中用于以后存取和使用。
      8.權(quán)利要求6的方法,其中所述內(nèi)容供應(yīng)商向所述觀察器發(fā)送一個會話權(quán)利對象,所述會話權(quán)利對象包含涉及所述密鑰存儲服務(wù)位置的信息。
      9.權(quán)利要求1的方法,其中所述預(yù)加密機應(yīng)用提示所述內(nèi)容。
      10.權(quán)利要求1的方法,其中所述內(nèi)容供應(yīng)商、所述高速緩存服務(wù)器以及所述觀察器各自以電子方式與一個密鑰分發(fā)中心進行通信以便獲取票證,所述票證包含允許在所述內(nèi)容供應(yīng)商、所述高速緩存服務(wù)器以及所述觀察器之間進行安全的電子通信的會話密鑰。
      11.權(quán)利要求10的方法,還包括使用所述會話密鑰來加密所述內(nèi)容供應(yīng)商、所述高速緩存服務(wù)器以及所述觀察器之間的所述通信。
      12.權(quán)利要求1的方法,還包括將所述內(nèi)容從所述高速緩存服務(wù)器流式傳輸?shù)剿鲇^察器。
      13.權(quán)利要求1的方法,還包括將所述內(nèi)容從所述高速緩存服務(wù)器下載到所述觀察器。
      14.權(quán)利要求1的方法,還包括將所述內(nèi)容從所述內(nèi)容供應(yīng)商流式傳輸?shù)剿龈咚倬彺娣?wù)器。
      15.權(quán)利要求1的方法,還包括將所述內(nèi)容從所述內(nèi)容供應(yīng)商下載到所述高速緩存服務(wù)器。
      16.權(quán)利要求1的方法,還包括使用一個附加到所述內(nèi)容的每一個存儲單元的消息驗證碼來驗證所述內(nèi)容。
      17.權(quán)利要求4的方法,其中所述觀察器包括多個觀察器,每一個觀察器與所述高速緩存服務(wù)器共享所述不同的子密鑰。
      18.一種用于對從內(nèi)容供應(yīng)商到高速緩存服務(wù)器以及隨后從所述高速緩存服務(wù)器到觀察器的內(nèi)容傳輸進行管理的網(wǎng)際協(xié)議權(quán)利管理系統(tǒng),所述系統(tǒng)包括用于在將所述內(nèi)容傳送到所述高速緩存服務(wù)器之前加密所述內(nèi)容的預(yù)加密機應(yīng)用;以及用于產(chǎn)生、存儲和分發(fā)預(yù)加密子密鑰的獨立的密鑰存儲服務(wù);其中所述密鑰存儲服務(wù)產(chǎn)生預(yù)加密子密鑰,所述預(yù)加密子密鑰由所述預(yù)加密機應(yīng)用用于加密所述內(nèi)容,并且在對內(nèi)容進行加密并將其傳送到所述高速緩存服務(wù)器之后,所述高速緩存服務(wù)器使用所述預(yù)加密子密鑰來解密所述內(nèi)容。
      19.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容供應(yīng)商包括用于以電子方式與所述高速緩存服務(wù)器以及所述觀察器進行通信的服務(wù)器;以及用于以電子方式保存使用所述預(yù)加密機應(yīng)用加密的所述內(nèi)容的存儲單元。
      20.權(quán)利要求19的系統(tǒng),其中所述存儲單元是硬盤驅(qū)動器。
      21.權(quán)利要求19的系統(tǒng),其中所述預(yù)加密機應(yīng)用向所述密鑰存儲服務(wù)發(fā)送密鑰請求,所述密鑰請求包含與所述內(nèi)容相關(guān)聯(lián)的內(nèi)容標識符。
      22.權(quán)利要求21的系統(tǒng),其中所述密鑰存儲服務(wù)將所述內(nèi)容標識符與所述密鑰存儲服務(wù)的數(shù)據(jù)庫中已經(jīng)存儲的內(nèi)容標識符相比較。
      23.權(quán)利要求22的系統(tǒng),其中如果所述內(nèi)容標識符不匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存儲的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)產(chǎn)生所述預(yù)加密子密鑰,將所述預(yù)加密子密鑰的拷貝以及所述內(nèi)容標識符存儲在所述數(shù)據(jù)庫中,以及將所述預(yù)加密子密鑰發(fā)送到所述預(yù)加密機應(yīng)用,以便在所述內(nèi)容的所述預(yù)加密中使用。
      24.權(quán)利要求18的系統(tǒng),其中所述高速緩存服務(wù)器包括以電子方式保存經(jīng)過預(yù)加密的所述內(nèi)容的存儲單元,并且其中所述預(yù)加密子密鑰將被用于對所述經(jīng)過預(yù)加密的內(nèi)容進行解密。
      25.權(quán)利要求24的系統(tǒng),其中所述高速緩存服務(wù)器使用與所述觀察器共享的單獨子密鑰來重新加密所述內(nèi)容。
      26.權(quán)利要求24的系統(tǒng),其中存儲單元是硬盤驅(qū)動器。
      27.權(quán)利要求23的系統(tǒng),其中所述高速緩存服務(wù)器向所述密鑰存儲服務(wù)發(fā)送密鑰請求,所述密鑰請求包含與所述內(nèi)容相關(guān)聯(lián)的內(nèi)容標識符。
      28.權(quán)利要求27的系統(tǒng),其中所述密鑰存儲服務(wù)將從所述高速緩存服務(wù)器發(fā)送的所述內(nèi)容標識符與所述密鑰存儲服務(wù)的數(shù)據(jù)庫中已經(jīng)存在的內(nèi)容標識符相比較。
      29.權(quán)利要求28的系統(tǒng),其中如果從所述高速緩存服務(wù)器發(fā)送的所述內(nèi)容標識符匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)向所述高速緩存服務(wù)器發(fā)送與所述內(nèi)容標識符相關(guān)聯(lián)的所述預(yù)加密子密鑰的拷貝,以便在所述內(nèi)容的所述解密中使用。
      30.權(quán)利要求29的系統(tǒng),其中所述高速緩存服務(wù)器保存所述預(yù)加密子密鑰的拷貝。
      31.權(quán)利要求29的系統(tǒng),其中所述內(nèi)容供應(yīng)商向所述觀察器發(fā)送會話權(quán)利對象,所述會話權(quán)利對象包含涉及所述密鑰存儲服務(wù)位置的信息。
      32.權(quán)利要求18的系統(tǒng),其中所述預(yù)加密機應(yīng)用提示所述內(nèi)容。
      33.權(quán)利要求18的系統(tǒng),所述系統(tǒng)還包括一個密鑰分發(fā)中心,用于產(chǎn)生、管理票證并向所述內(nèi)容供應(yīng)商、所述高速緩存服務(wù)器以及所述觀察器分發(fā)票證,所述票證包含允許在所述內(nèi)容供應(yīng)商、所述高速緩存服務(wù)器以及所述觀察器之間進行安全的電子通信的會話密鑰。
      34.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容傳輸?shù)乃龉芾硎怯秒娮影踩薪閰f(xié)議來實現(xiàn)的。
      35.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容包括視頻點播。
      36.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容是多媒體流式內(nèi)容。
      37.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容是可以下載的內(nèi)容。
      38.權(quán)利要求18的系統(tǒng),其中所述內(nèi)容供應(yīng)商和所述高速緩存服務(wù)器使用附加到每一個所述內(nèi)容存儲單元的消息驗證碼來驗證所述內(nèi)容。
      39.權(quán)利要求38的系統(tǒng),其中所述存儲單元是一個分組。
      40.權(quán)利要求38的系統(tǒng),其中所述存儲單元是一個幀。
      41.權(quán)利要求18的系統(tǒng),其中所述觀察器包括能夠顯示、管理或是使用所述內(nèi)容的主機。
      42.權(quán)利要求18的系統(tǒng),其中所述密鑰存儲服務(wù)位于所述內(nèi)容供應(yīng)商的位置。
      43.權(quán)利要求18的系統(tǒng),其中所述密鑰存儲服務(wù)位于所述預(yù)加密機應(yīng)用的主機上。
      44.權(quán)利要求18的系統(tǒng),其中所述高速緩存服務(wù)器包括多個高速緩存服務(wù)器,這些高速緩存服務(wù)器中的每一個都能從所述內(nèi)容供應(yīng)商那里接收內(nèi)容。
      45.權(quán)利要求18的系統(tǒng),其中所述觀察器包括多個觀察器,這些觀察器可以同時以電子方式與所述高速緩存服務(wù)器進行通信。
      46.一種用于將來自內(nèi)容供應(yīng)商的內(nèi)容傳送到將所述內(nèi)容分發(fā)到觀察器的高速緩存服務(wù)器的系統(tǒng),所述系統(tǒng)包括在將所述內(nèi)容傳送到所述高速緩存服務(wù)器之前借助一個使用預(yù)加密子密鑰的預(yù)加密機應(yīng)用來加密所述內(nèi)容的裝置;以及結(jié)合一個密鑰存儲服務(wù)來產(chǎn)生、存儲和分發(fā)所述預(yù)加密子密鑰的裝置。
      47.權(quán)利要求46的系統(tǒng),還包括在將內(nèi)容傳送到所述高速緩存服務(wù)器之前以電子方式存儲所述內(nèi)容的裝置,其中使用所述預(yù)加密機應(yīng)用對所述內(nèi)容進行加密。
      48.權(quán)利要求46的系統(tǒng),還包括用于將來自所述預(yù)加密機應(yīng)用的密鑰請求發(fā)送到所述密鑰存儲服務(wù)的裝置,所述密鑰請求包含與所述內(nèi)容相關(guān)聯(lián)的內(nèi)容標識符;以及用于將所述內(nèi)容標識符與所述密鑰存儲服務(wù)的數(shù)據(jù)庫中已經(jīng)存在的內(nèi)容標識符相比較的裝置;其中,如果所述內(nèi)容標識符不匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)產(chǎn)生所述預(yù)加密子密鑰,將所述預(yù)加密子密鑰的拷貝以及所述內(nèi)容標識符存儲在所述數(shù)據(jù)庫中,以及將所述預(yù)加密子密鑰發(fā)送到所述預(yù)加密機應(yīng)用,以便在所述內(nèi)容的所述預(yù)加密中使用。
      49.權(quán)利要求48的系統(tǒng),還包括使用所述預(yù)加密子密鑰的拷貝來對所述預(yù)加密機應(yīng)用所加密的所述內(nèi)容進行解密的裝置;以及使用所述高速緩存服務(wù)器與所述觀察器之間共享的不同子密鑰來重新加密所述內(nèi)容的裝置。
      50.權(quán)利要求49的系統(tǒng),還包括用于在解密、重新加密所述內(nèi)容以及將其分發(fā)到所述觀察器之前將經(jīng)過預(yù)加密的所述內(nèi)容以電子形式存儲在所述高速緩存服務(wù)器的存儲單元中的裝置。
      51.權(quán)利要求50的系統(tǒng),還包括用于將來自所述高速緩存服務(wù)器的密鑰請求發(fā)送到所述密鑰存儲服務(wù)的裝置,所述密鑰請求包括與所述內(nèi)容相關(guān)聯(lián)的所述內(nèi)容標識符;以及用于將所述內(nèi)容標識符與所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符相比較的裝置;其中,如果所述內(nèi)容標識符匹配所述密鑰存儲服務(wù)的所述數(shù)據(jù)庫中已經(jīng)存在的所述內(nèi)容標識符之一,則所述密鑰存儲服務(wù)向所述高速緩存服務(wù)器發(fā)送與所述內(nèi)容標識符相關(guān)聯(lián)的所述預(yù)加密子密鑰的拷貝,以便在所述內(nèi)容的所述解密中使用。
      52.權(quán)利要求51的系統(tǒng),還包括用于將涉及所述密鑰存儲服務(wù)位置的信息從所述內(nèi)容供應(yīng)商傳送到所述觀察器的裝置。
      53.權(quán)利要求46的系統(tǒng),還包括用于提示所述內(nèi)容的裝置。
      54.權(quán)利要求46的系統(tǒng),還包括用于從密鑰分發(fā)中心獲取票證的裝置,所述票證包含會話密鑰。
      55.權(quán)利要求46的系統(tǒng),還包括用于將所述內(nèi)容從所述高速緩存服務(wù)器流式傳輸?shù)剿鲇^察器的裝置。
      56.權(quán)利要求46的系統(tǒng),還包括用于將所述內(nèi)容從所述高速緩存服務(wù)器下載到所述觀察器的裝置。
      57.權(quán)利要求46的系統(tǒng),還包括使用附加到每一個所述內(nèi)容存儲單元的消息驗證碼來驗證所述內(nèi)容的裝置。
      全文摘要
      本發(fā)明涉及一種用于從內(nèi)容供應(yīng)商向高速緩存服務(wù)器以及隨后從高速緩存服務(wù)器向觀察器傳送內(nèi)容的方法和系統(tǒng)。所述方法包括在將所述內(nèi)容傳送到所述高速緩存服務(wù)器之前使用預(yù)加密機應(yīng)用來加密所述內(nèi)容。所述預(yù)加密機應(yīng)用使用密鑰存儲服務(wù)提供的預(yù)加密子密鑰來執(zhí)行所述預(yù)加密。密鑰存儲服務(wù)是一個獨立的系統(tǒng)組件,它產(chǎn)生、存儲和分發(fā)預(yù)加密子密鑰。
      文檔編號H04L29/06GK1703889SQ03803626
      公開日2005年11月30日 申請日期2003年1月22日 優(yōu)先權(quán)日2002年1月22日
      發(fā)明者皮特里·皮特卡, 亞歷山大·米德維斯基, 陳光明 申請人:通用儀器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1