一種用於通過網絡提供加密內容並且對該內容進行解密的系統,設備和方法
2023-10-26 22:07:27 1
專利名稱:一種用於通過網絡提供加密內容並且對該內容進行解密的系統,設備和方法
技術領域:
本發明涉及一種用於對經由網絡接收的加密內容進行解密的設備及方法。本發明還涉及一種用於通過網絡提供加密內容和對該內容進行解密的系統,該系統包括用於提供加密的網絡內容的伺服器,用於對加密的網絡內容進行解密的設備和用於提供解密密鑰的存儲介質(例如,記錄載體或者記錄介質),以及相應的的方法和軟體程序。
背景技術:
現今,在例如通過光碟或者網際網路發布內容時,內容保護成為內容供應商主要關心的問題之一。Sapphire系統提供了精密的保護機制,並且被引入CD2標準。在Sapphire系統中,對盤上的內容(即A/V流、文件等等)進行加密,並且在Sapphire密鑰箱(key locker)中,將對應的解密密鑰作為資產密鑰(Asset Key)進行存儲。
第03102257.7號歐洲專利申請描述了用於利用上述提及的Sapphire系統保護機制來讀取和保護網絡數據的盤播放器(disc player)、記錄載體以及方法,其中網絡數據與存儲在記錄載體中的數據有關。
圖1是舉例說明包括第03102257.7號專利申請的盤播放器、盤以及伺服器的系統的示意性框圖。圖1的系統包括盤播放器11、盤(disc)12以及網絡單元13(例如,伺服器),所示網絡單元用於提供與存儲在盤12中的盤數據122有關的網絡數據。該網絡單元13經由網際網路與盤播放器11連接。如2圖中詳細示出的那樣,除盤數據122之外,盤12上還存儲有密鑰箱121。圖2示出了舉例說明密鑰箱內容的表。在Sapphire系統中,該密鑰箱121通常是包括四列的表,四列為用作盤播放器運行的應用程式的標識、並用於限制對密鑰箱子集的訪問的應用程式ID;用作以相同密鑰加密的、以及具有相同使用權的(一組)文件的標識的資產ID(Asset ID);用作解密密鑰的資產密鑰,該密鑰需要對公眾保密;以及權利字符串(rightstring),其具有未定義格式以及可變長度。在圖1中所示的系統中,權利字符串包括像網絡單元13的URL那樣的網絡標識符,並且包括用作對網絡數據進行解密的解密密鑰的資產密鑰。
盤播放器11包括兩部分用於從記錄載體12讀取數據的驅動器111以及應用單元(Application unit)112。應用單元112由檢驗元件、訪問元件以及解密元件組成。在此歐洲專利申請中,應用單元112的訪問元件首先從網絡單元13發送對特定網絡數據的請求。然後,驅動器111根據其應用程式ID從記錄載體中檢索權利字符串,並且向應用單元112發送檢索到的權利字符串。應用單元112的檢驗元件檢驗存儲在權利字符串中的URL是否與提供網絡數據的特定網絡單元13的URL匹配。倘若如此,應用單元112的解密元件用存儲在權利字符串中的解密密鑰對網絡單元13提供的加密網絡數據進行解密。若非如此,驅動器111將再次檢索權利字符串,並且將再一次執行如上的整個過程。
通過現有技術可以看出,應用單元使用與資產密鑰相同的解密密鑰對網絡內容進行解密。通常,應用單元是一個用於執行(軟體)應用程式的硬體,該應用程式與在計算機上運行的作業系統(OS)或者軟體的情況相似。在該情況下,應用單元中運行的應用程式容易遭到攻擊/入侵,就象黑客對在計算機上運行的軟體所做的那樣。因此,訪問解密密鑰相對容易,解密密鑰由應用單元用於對網絡內容進行解密,並且應該對公眾保密,且防止密鑰被公開。
發明內容
因此,本發明的一個目的在於提供一種用於通過網絡提供加密內容並對該內容進行解密的系統,設備和方法,它能夠有效地減少密鑰受到攻擊的可能性。
根據本發明的第一方面,此目的通過提供一種用於對經由網絡接收的加密內容進行解密的設備來實現,該設備包括應用單元,用於經由網絡接收加密內容和加密的第一密鑰,其中第一密鑰與內容的加密相關聯,並且專用的第二密鑰與第一密鑰的加密相關聯;以及密鑰管理單元,用於從存儲介質中獲得專用的第二密鑰,並且利用專用的第二密鑰對加密的第一密鑰進行解密,以便向應用單元提供第一密鑰來對加密內容進行解密。
根據本發明的第二方面,提供了一種用於提供加密內容並且對該加密內容進行解密的系統,該系統包括用於提供加密內容的伺服器,用於對加密內容進行解密的設備和存儲介質,其中,伺服器還設置為包括接收器,用於從用於解密的設備接收內容下載請求;發生器,用於響應請求生成第一密鑰;加密器,用於利用第一密鑰來對內容加密以便提供加密內容,並且利用專用的第二密鑰來對第一密鑰加密以便提供加密的第一密鑰;以及發送器,用於發送加密內容以及加密的第一密鑰;並且用於對加密內容進行解密的設備還設置為包括應用單元,用於經由網絡接收加密內容和加密的第一密鑰,其中第一密鑰與內容的加密相關聯,而專用的第二密鑰與第一密鑰的加密相關聯;以及密鑰管理單元,用於從存儲介質中獲得專用的第二密鑰,並且利用專用的第二密鑰對加密的第一密鑰進行解密,以便向應用單元提供第一密鑰以對加密內容進行解密。
根據本發明的第三方面,提供了一種對經由網絡接收的內容進行解密的方法,該方法包括以下步驟經由網絡接收加密內容和加密的第一密鑰,其中第一密鑰與內容的加密相關聯,並且專用的第二密鑰與第一密鑰的加密相關聯;從存儲介質中獲得專用的第二密鑰;並且利用專用的第二密鑰對加密的第一密鑰進行解密,以便向應用單元提供第一密鑰以對加密內容進行解密。
根據本發明的第四方面,提供了一種對經由網絡接收的內容進行解密的電腦程式,該電腦程式包括第一軟體部分,用於經由網絡接收加密內容和加密的第一密鑰,其中第一密鑰與內容的加密相關聯,並且專用的第二密鑰與第一密鑰的加密相關聯;第二軟體部分,用於從存儲介質中獲得專用的第二密鑰,並且利用專用的第二密鑰對加密的第一密鑰進行解密,以便向應用單元提供第一密鑰以對加密內容進行解密。
申請人注意到,密鑰管理單元(例如,驅動器)基本上是一個由設備使用的部件,具有其自身的一致性規則(例如,遵照Sapphire系統的規則),並且經由安全認證通道(SAC)具有其本身和應用單元之間的接口,安全認證通道由Sapphire系統預先定義。因此,作為單個部件的密鑰管理單元非常難於受到象應用單元所發生的那樣的攻擊。
根據本發明的解密系統、設備和方法,第二密鑰(即,資產密鑰)是對應用單元保密的,應用單元只使用響應內容下載請求而隨機生成的第一密鑰,而密鑰管理單元是知道資產密鑰的唯一單元,這比應用單元相對安全且更加穩定。鑑於此,本發明的設備和方法更加有效地防止內容保護密鑰(例如,資產密鑰)受到攻擊。
現在參照附圖通過舉例來討論本發明的實施例,其中相同的附圖標號涉及相同的部分,並且其中圖1是舉例說明根據現有技術對網絡數據進行解密的系統的結構示意框圖,其中系統包括盤播放器、伺服器和記錄載體;圖2示出了存儲在圖1的記錄載體上的密鑰箱的表;圖3是舉例說明根據本發明第一實施例對網絡數據進行解密的系統的結構示意框圖,其中系統包括盤播放器、伺服器和記錄載體;以及圖4是舉例說明根據本發明第二實施例對網絡數據進行解密的系統的結構示意框圖,其中系統包括盤播放器、伺服器和記錄載體。
具體實施例方式
在圖3中,示出了根據本發明第一實施例的用於提供網絡數據並且對網絡數據進行解密的系統的結構。該系統包括用於提供加密內容的伺服器31,用於對加密內容進行解密的盤播放器32,以及用於存儲如圖2所示的密鑰箱121以及盤數據122的盤33,其中盤播放器32經由網絡與伺服器31連接,並且伺服器共享有關存儲在盤上的密鑰箱的信息。伺服器還包括接收器(圖中未示出),用於從盤播放器接收下載與盤數據有關的網絡內容的請求,其中優選的是,當盤上存儲了各種盤應用程式(例如多個Java應用程式包)的情況下,該請求包括應用程式ID(例如,圖2的密鑰箱中的應用程式ID 2);發生器311,用於響應於請求隨機地生成口令(pass phase);加密器312,用於利用口令對所請求的網絡內容進行加密,該網絡內容存儲在內容庫313中,然後使用從與盤共享的密鑰箱中選出的資產密鑰,例如圖2所示的密鑰箱中的資產密鑰ASDF1234,對口令進行加密(為了區別存儲在密鑰箱中的其他資產密鑰,以下將該資產密鑰稱作專用資產密鑰(dedicated asset key)。還可以選擇該專用資產密鑰對其他隨機生成的口令進行加密);以及發送器,用於發送加密內容、加密的口令以及與專用資產密鑰相關聯的資產ID,例如圖2中的資產ID 80。
盤播放器32包括應用單元321,用於接收來自於伺服器31的加密內容、加密的口令以及關聯的資產ID,並且用於利用口令對加密內容進行解密;驅動器322,用於根據關聯的資產ID從存儲在盤33中的密鑰箱121中檢索專用資產密鑰,並且利用專用資產密鑰對加密的口令進行解密,以便向應用單元提供口令。
應用單元322還包括訪問元件,用於接收來自於伺服器的加密內容、加密的口令以及資產ID,向驅動器發送加密的口令並且接收來自於驅動器的解密的口令;以及解密元件,用於使用解密的口令對加密內容進行解密。驅動器322還包括訪問元件,用於根據資產ID從存儲在盤上的密鑰箱中檢索專用資產密鑰,並且將解密的口令經由安全認證通道(SAC)傳送到應用單元;以及解密元件,用於利用檢索的專用資產密鑰對從應用單元接收的加密的口令進行解密。
下面將描述本發明第一實施例的系統提供網絡數據並且對網絡數據進行解密的過程首先,應用單元的訪問元件向伺服器發送內容下載請求。然後,伺服器響應於該請求隨機地生成口令。這裡,內容下載請求對於隨機口令的生成過程來說是可選的,並且伺服器能夠以時間為基礎來生成口令。然後,伺服器利用口令對所請求的網絡內容進行加密,並且利用專用資產密鑰對口令進行加密。
將包括資產ID、加密的口令以及加密內容的數據發送到應用單元,其中將資產ID以及加密的口令發送到驅動器。驅動器從應用單元接收加密的口令以及資產ID,然後根據資產ID從盤上的密鑰箱中檢索資產密鑰。然後,驅動器利用檢索的資產密鑰對口令進行解密,並且經由SAC向應用單元發送解密的口令。最後,應用單元使用由驅動器發送的解密的口令對加密內容進行解密。
從上文的描述可以看出,在對經由網絡接收的內容進行解密的整個過程中,應用單元不是直接地保存和處理資產密鑰。相反,應用單元使用隨機生成的口令對網絡內容進行解密。因此,從應用單元中能夠檢索出資產密鑰的可能性基本上是零。此外,由於本發明的上述實施例不使用存儲在盤上的密鑰箱中的權利字符串欄位,所以權利字符串的列是空的。是否使用權利字符串欄位取決於各應用程式。
在圖4中示出了根據本發明第二實施例的用於提供網絡數據並且對網絡數據進行解密的系統的結構。圖3和4的系統之間的差異在於圖4的應用單元421的發生器311還生成符合預定義數據結構的測試序列(即,位序列),諸如序列長度、特定位的定義,並且應用單元421還包括檢索元件,用於為解密元件檢索口令以便對網絡內容進行解密。
下面將描述根據本發明第二實施例的、由圖4的系統提供網絡數據並且對網絡數據進行解密的過程。
在圖4中,應用單元421的訪問元件向伺服器31發送內容下載請求。然後,伺服器的發生器311響應於該請求隨機地產生口令和測試序列。如上所述,該請求對於口令的生成來說是可選的,並且發生器能夠以時間為基礎生成數據。伺服器的加密元件312利用生成的口令對存儲在內容庫313中的內容進行加密,然後利用專用資產密鑰對口令以及測試序列進行加密,該專用資產密鑰是從與盤33共享的密鑰箱信息中選出來的。伺服器的發送器(圖4中未示出)向盤播放器32發送加密內容、加密的口令以及測試序列。
盤播放器的應用單元421的訪問元件向驅動器322轉送加密的口令和測試序列。驅動器322的訪問元件從存儲在盤33上的密鑰箱121中讀取與應用程式ID相關聯的條目中的所有資產密鑰,並且所讀取的資產密鑰包括專用資產密鑰,該專用資產密鑰由伺服器選擇以便對口令和測試序列進行加密。然後,驅動器的解密元件利用每個讀取的資產密鑰對口令和測試序列進行解密,以便向應用單元421提供相對於每個資產密鑰的多對解密的口令和測試序列。在應用單元421的訪問元件從驅動器收到多對解密的口令和測試序列之後,應用單元421的檢索元件檢索一對解密的口令和測試序列,其中解密的測試序列符合預定義的數據結構。然後,應用單元的解密元件使用檢索的口令對從伺服器收到的加密內容進行解密。
概括的講,已經公開了用於提供網絡數據並且對網絡數據進行解密的系統、設備和方法。應該理解的是,本領域技術人員可以對本發明做出任何修改、添加和補充,這些內容都落入在所附權利要求書中要求的保護範圍。
舉例來說,根據第二實施例,伺服器31的加密元件利用專用資產密鑰對測試序列進行加密。然而,本領域技術人員可以料想到加密元件還可以利用口令對測試序列進行加密。在該情況下,驅動器322的解密元件只利用每個讀取的資產密鑰對加密的口令進行解密,並且向應用單元421的訪問元件提供多個解密的口令。然後,應用單元的解密元件利用每個解密的口令對加密的測試序列進行解密,並且向檢索元件提供多對解密的測試序列和口令,以便檢索一對解密的測試序列和口令,其中測試序列符合預定義的數據結構。然後,應用單元的解密元件利用檢索的口令對從伺服器下載的加密內容進行解密。
此外,在本發明的所有實施例中,由口令對網絡內容進行加密,並且由專用資產密鑰對口令進行加密。本領域技術人員應該理解的是,可以使用任何替代方式來執行對網絡內容和口令的加密。例如,網絡內容不是全部通過內容保護密鑰(例如專用資產密鑰)來加密,而只是部分被加密,例如只有文件首部/重要參數/或者特定部分被加密,同時口令不僅包括加密內容保護密鑰,而且還包括某些表明哪部分內容被加密的數據。
此外,在實施例中,用於對網絡數據進行解密的設備是盤播放器。然而,所有本領域技術人員都可以預想到其他設備,諸如具有用於讀取存儲在存儲介質上的數據的驅動器的計算機。盤播放器的驅動器功能還可以利用壓縮閃卡(例如智慧卡或者USB記憶棒)形式的密鑰管理單元來實現,或者利用附屬於記錄載體的晶片(所謂的盤上晶片「Chip-in-Disc」技術)來實現。
權利要求
1.一種用於對經由網絡接收的加密內容進行解密的設備,包括應用單元,用於經由所述網絡接收所述加密內容和加密的第一密鑰,其中所述第一密鑰與所述內容的加密相關聯,而專用的第二密鑰與所述第一密鑰的加密相關聯;以及密鑰管理單元,用於從存儲介質中獲得所述專用的第二密鑰,並且利用所述專用的第二密鑰對所述加密的第一密鑰進行解密,以便向所述應用單元提供所述第一密鑰對所述加密內容進行解密。
2.如權利要求1所述的設備,其中所述應用單元還被設置為經由所述網絡接收索引。
3.如權利要求2所述的設備,其中所述索引是對應於所述專用的第二密鑰的數據。
4.如權利要求3所述的設備,其中所述密鑰管理單元還被設置為根據所述索引從所述存儲介質中檢索所述專用的第二密鑰。
5.如權利要求4所述的設備,其中所述應用單元包括第一訪問元件,用於經由所述網絡接收所述加密內容、所述加密的第一密鑰和所述索引,將所述加密的第一密鑰和所述索引轉發給所述密鑰管理單元;以及第一解密元件,用於利用來自於所述密鑰管理單元的所述第一密鑰對所述加密內容進行解密。
6.如權利要求5所述的設備,其中所述驅動器包括第二訪問元件,用於根據所述索引從所述存儲介質中檢索所述專用密鑰;第二解密元件,用於利用來自於所述第二訪問元件的所述專用的第二密鑰對所述加密的第一密鑰進行解密,並且向所述第二訪問元件提供所述第一密鑰,以便將其轉發給所述應用單元。
7.如權利要求2所述的設備,其中所述索引是加密的數據,該數據符合預定義的數據結構。
8.如權利要求7所述的設備,其中所述密鑰管理單元還被設置為從所述存儲介質讀取多個第二密鑰,其中所述多個第二密鑰包括所述專用的第二密鑰,並且利用每個所述第二密鑰對所述加密的第一密鑰和所述索引進行解密,以便提供多對解密的第一密鑰和解密的索引。
9.如權利要求8所述的設備,其中所述應用單元還被設置為根據所述預定義的數據結構、從所述密鑰管理單元中檢索一對解密的索引和解密的第一密鑰,並且利用所述檢索的第一密鑰對所述加密內容進行解密。
10.如權利要求9所述的設備,其中所述應用單元包括第一訪問元件,用於經由所述網絡接收所述加密內容、所述加密的第一密鑰和所述索引,將所述加密的第一密鑰和所述索引轉發給所述密鑰管理單元,並且接收來自於所述密鑰管理單元的所述多對解密的索引和解密的第一密鑰;以及第一檢索元件,用於根據所述預定義的數據結構檢索一對解密的索引和解密的第一密鑰;以及第一解密元件,用於利用所述檢索的第一密鑰對所述加密內容進行解密。
11.如權利要求10的設備,其中所述密鑰管理單元包括第二訪問元件,用於從所述存儲介質中讀取多個第二密鑰;以及第二解密元件,用於利用所述多個第二密鑰的每一個對所述加密的第一密鑰進行解密,並且向所述第二訪問元件提供所述多對解密的第一密鑰和解密的索引,以便將其轉發給所述應用單元。
12.如權利要求7所述的設備,其中所述應用單元還被設置為利用來自於所述密鑰管理單元中的所述多個解密的第一密鑰對所述索引進行解密,以便提供多對解密的索引和解密的第一密鑰,根據所述預定義的數據結構檢索一對解密的索引和解密的第一密鑰,並且利用所述檢索的第一密鑰對所述加密內容進行解密。
13.如權利要求12所述的設備,其中所述應用單元包括第一訪問元件,用於經由所述網絡接收所述加密內容、所述加密的第一密鑰和所述索引,將所述加密的第一密鑰轉發給所述密鑰管理單元,並且接收來自於所述密鑰管理單元的多個解密的第一密鑰;第一解密元件,用於利用來自於所述密鑰管理單元的所述多個解密的第一密鑰對所述索引進行解密,以便提供多對解密的索引和解密的第一密鑰;以及第一檢索元件,用於根據所述預定義的數據結構檢索一對解密的索引和解密的第一密鑰,以便所述第一解密元件利用所述檢索的第一密鑰對所述加密內容進行解密。
14.如權利要求13所述的設備,其中所述密鑰管理單元包括第二訪問元件,用於從所述存儲介質讀取所述多個第二密鑰;以及第二解密元件,用於利用所述多個第二密鑰的每一個對所述加密的第一密鑰進行解密,並且向所述第二訪問元件提供所述多個解密的第一密鑰,以便將其轉發給所述應用單元。
15.一種用於對經由網絡接收的加密內容進行解密的電腦程式,包括第一軟體部分,用於經由所述網絡接收所述加密內容和加密的第一密鑰,其中所述第一密鑰與所述內容的加密相關聯,並且專用的第二密鑰與所述第一密鑰的加密相關聯;以及第二軟體部分,用於從存儲介質中獲得所述專用的第二密鑰,並且利用所述專用的第二密鑰對所述加密的第一密鑰進行解密,以便向所述應用單元提供所述第一密鑰以對所述加密內容進行解密。
16.一種包括如權利要求15所述的電腦程式的記錄載體。
17.一種用於提供加密內容並且對所述加密內容進行解密的系統,包括用於提供所述加密內容的伺服器、用於對所述加密內容進行解密的設備和存儲介質,其中,所述伺服器還包括接收器,用於接收來自所述解密設備的內容下載請求;發生器,用於響應於所述請求生成第一密鑰;加密器,用於利用所述第一密鑰對所述內容進行加密以便提供所述加密內容,並且利用專用的第二密鑰對所述第一密鑰進行加密以便提供加密的第一密鑰;以及發送器,用於發送所述加密內容以及所述加密的第一密鑰;以及所述解密設備如權利要求1-14中任一權利要求所述。
18.一種對經由網絡接收的加密內容進行解密的方法,包括以下步驟經由所述網絡接收所述加密內容和加密的第一密鑰,其中所述第一密鑰與所述內容的加密相關聯,而專用的第二密鑰與所述第一密鑰的加密相關聯;從存儲介質獲得所述專用的第二密鑰;以及利用所述專用的第二密鑰對所述加密的第一密鑰進行解密,以便向所述應用單元提供所述第一密鑰以對所述加密內容進行解密。
全文摘要
本發明公開了一種用於通過網絡提供加密內容並且對該加密內容進行解密的系統、設備以及方法。本發明的系統包括用於提供加密內容的伺服器、用於對加密內容進行解密的設備和存儲介質,其中伺服器還被設置為包括接收器,用於從用於解密的設備接收內容下載請求;發生器,用於響應於請求生成第一密鑰;加密器,用於利用第一密鑰對內容進行加密以便提供加密內容,並且利用專用的第二密鑰對第一密鑰進行加密以便提供加密的第一密鑰;以及發送器,用於發送加密內容和加密的第一密鑰;並且用於對加密內容進行解密的設備還被設置為包括應用單元,用於經由網絡接收加密內容和加密的第一密鑰;以及密鑰管理單元,用於從存儲介質中獲得專用的第二密鑰。
文檔編號H04L9/14GK1728262SQ200410055770
公開日2006年2月1日 申請日期2004年7月29日 優先權日2004年7月29日
發明者彭楊, 金盛, 何達華 申請人:皇家飛利浦電子股份有限公司