實施網絡群集鄰近要求的製作方法
2023-05-10 12:49:51 2
專利名稱:實施網絡群集鄰近要求的製作方法
技術領域:
本發明涉及在諸如網際網路的通信網絡上傳輸給顯示終端的多媒體內容,並具體涉及由網絡傳輸機制連接的多個設備之間對該多媒體內容的共享。
背景技術:
過去十年以一種由數據處理業與消費電子業的融合所驅動的技術革命為標誌。隨之,其效果驅動了多年來為人所知且可用但相對靜止的技術。這些技術中主要的一種是與網際網路相關的文檔分發。Web或網際網路,其作為鬆散的學術及政府數據分發設施靜靜地存續了一代以上,達到了「極其關鍵的階段」並開始了顯著擴充時期。通過該擴充,企業和消費者可以通過網際網路直接訪問文檔和媒體的全部內容。
隨著消費數位技術的出現,諸如音樂和電影的內容不再限於承載它的物理媒體。消費數據技術中的進展對於想保護其智慧財產權免遭未授權複製和銷售的內容擁有者(諸如唱片公司、工作室、銷售網絡和藝術家)呈現出新的挑戰。廣播加密中的最近進展向基於公鑰加密技術的更傳統的方案提供了一種有效的備選方案。與各公鑰方法相比較,廣播加密所需要的兼容設備中的計算開銷的數量級更少。此外,廣播加密協議是單向的,不需要任何低級的握手,低級的握手易於削弱拷貝保護方案的安全性。
IBM已經開發了一種基於廣播加密技術的內容保護系統,所述技術被稱為可擴展內容保護(也稱為「xCP」)。xCP支持稱為「群集」的可信域,所述「群集」將多個兼容設備分組在一起。內容可自由地在這些設備之間移動,但它對所述群集之外的設備是無用的。
每個兼容設備都制有一組設備密鑰。密鑰管理塊(「KMB」)是一種數據結構,其包含利用兼容設備的一組設備密鑰中的每個兼容設備密鑰對管理密鑰的加密。也就是說,KMB包含管理密鑰的多種加密實例,其中一個實例針對設備的一組設備密鑰中的每個設備密鑰。每個兼容設備通過利用其自有的設備密鑰中的一個密鑰能夠從密鑰管理塊中提取加密的管理密鑰並對其進行解密。也就是說,群集的管理密鑰從所述密鑰管理塊計算出,並且這就是從區別兼容設備的密鑰管理塊中計算出管理密鑰的能力。
群集是私域。兼容設備可以加入群集。每個兼容設備存儲KMB及對於該群集的授權設備的列表(稱為授權表)。每個設備也可授權其他兼容設備加入該群集。在兼容群集中,當消費者購買新的設備並將其安裝在家中時,該設備自動確定當前是否存在群集並請求加入該群集。如果不存在群集,則該設備創建一個僅包含其自己的新群集。以後安裝的另外的設備將加入該群集。該家中的每條內容或每個內容流用唯一的密鑰來保護。這些密鑰稱為標題密鑰(title key)。每個標題密鑰用特定家的主密鑰(稱為綁定密鑰)加密。要播放受保護的內容,設備讀出嵌入該內容文件的已加密標題密鑰並用綁定密鑰將其解密。然後,利用該標題密鑰,所述設備將內容本身解密。綁定密鑰被計算為三個量的加密散列管理密鑰、群集ID和群集授權表的散列。所述群集ID是在群集啟動時建立的群集的唯一標識代碼。所述網絡授權表是一個簡單的文件,其記錄代表所述群集中的設備的列表。
新的兼容設備可以按如下方法加入群集中·所述新的設備向群集網絡廣播「誰在那裡(whosthere)」消息。
·現有的設備用「我在這裡(imhere)」消息來回答,所述消息包括群集名、群集KMB及群集授權表的散列。
·所述新設備從該現有設備下載所述KMB。
·所述新設備從所述KMB及其自身的設備密鑰計算出群集管理密鑰。
·所述新設備通過用所述新設備的設備ID(deviceID)對所述管理密鑰進行加密散列,計算出消息授權代碼(「MAC」)。
·所述新設備將授權請求發送給群集伺服器,包括所述新設備的設備ID及設備類型。
·所述現有的設備利用所述KMB及其自身的設備密鑰計算出管理密鑰。該管理密鑰與所述新設備計算出的管理密鑰相同。
·所述現有的設備利用所述新設備的設備ID和設備類型計算出所述MAC,驗證從所述新設備接收到的MAC。
·如果所述MAC匹配,則所述現有的設備將所述新設備添加到其授權表中。
·所述現有的設備將「已授權」消息發送給所述新設備,包括加密的群集ID(clusterID),其利用通過對所述管理密鑰和所述新設備的設備ID進行散列而創建的授權密鑰進行加密。
·所述新設備通過對所述管理密鑰和所述新設備的設備ID進行散列而生成所述授權密鑰並利用所述授權密鑰對所述加密的群集ID進行解密。
·所述新設備從所述現有的設備下載新的授權表。
·所述新設備通過對所述管理密鑰、所述新授權表的散列及所述群集ID進行散列,計算出群集的綁定密鑰。
該過程中存在一些缺點。xCP群集協議想要在由網絡傳輸機制連接的多個設備之間提供用於合法並且安全地共享多媒體內容的基礎設施,並在從接收設備接收到「我在這裡」的消息後利用安全的、加密的握手在所述設備之間建立信任。然而,上述xCP群集協議允許對於在會被侵犯的受限地區中播放內容加以限制。一種可能的這種限制是「黑視區(blackoutarea)」,在那裡內容製作者禁止播放特定段的內容或內容流。
發明內容
本發明通過一種用於利用代理來實施網絡群集鄰近要求的系統、方法及相關的電腦程式而提供一種對上述問題的解決方案。具體而言是一種通過當遠程訪問不被允許時禁止對安全內容的遠程訪問來滿足訪問安全內容的要求的方法。本發明的實施例是一種用於將加密的廣播內容傳送給授權的設備的通信網絡系統。它經由加密握手在限定的地區內對授權的設備實施網絡群集鄰近要求。本發明具有用於對所述加密握手計時以限制將所述加密的廣播內容僅傳送給所述地區內的授權的設備的裝置。此外,可在所述地區內對用於向所述地區之外的授權的遠程設備轉發被傳送給所述設備代理的加密的廣播內容的設備代理進行授權。
現在參考以下附圖並僅通過示例,將詳細地描述本發明的優選實施例,在附圖中圖1是其中根據本發明的實施例的方法和系統可以被實現的示例性的網絡體系結構的繪線圖;圖2是可用於本發明的實施的網絡系統的一般化視圖;圖3是描述了在本發明的實施例中建立用於將加密的廣播內容傳送給授權設備的功能的示例性流程圖;以及圖4是根據圖3建立的程序的示例性運行的流程圖。
具體實施例方式
參考圖1,示出了其中根據本發明的實施例的方法和系統可以被實現的示例性的網絡體系結構的繪線圖。圖1的網絡包括兼容xCP的網絡群集32,其包括若干兼容xCP的網絡設備,包括蜂窩電話18、電視10、DVD播放器16和個人計算機14。
網絡群集支持所述群集的密鑰管理塊38、標識當前授權加入到該群集中的所有設備的授權表12、該群集的綁定密鑰36以及群集ID 46。密鑰管理塊38是一種數據結構,其包含利用每個兼容的設備密鑰對管理密鑰的加密。也就是說,所述密鑰管理塊包含管理密鑰的多種加密實例,其中一個實例針對設備的一組設備密鑰中的每個設備密鑰。該群集的綁定密鑰36被計算為管理密鑰、群集ID和該群集的唯一數據權標的加密散列。該群集的管理密鑰從密鑰管理塊38和設備密鑰計算出來。
圖1的網絡包括內容伺服器31,其能夠利用由內容提供者、內容擁有者或合法的特許機構提供給它的標題密鑰對內容進行加密。在給出足夠的有關群集的信息時,內容伺服器31也能夠計算出該群集的綁定密鑰,並且利用綁定密鑰36對標題密鑰進行加密並將其與加密的內容一起打包。更具體地,內容伺服器31可通過從網絡群集32中的網絡設備接收群集32的密鑰管理塊38、群集32的唯一數據權標以及加密的群集ID,而從群集的外部控制該群集的內容的廣播加密。所述內容伺服器能夠利用群集32的密鑰管理塊38、群集32的唯一數據權標及加密的群集ID計算出該群集的綁定密鑰。
圖1的網絡進一步包括數字權限伺服器39,其能夠存儲定義了廣播加密內容的權限的權限對象。此外,在給出足夠的有關群集的信息時,數據權限伺服器39還能夠計算出該群集的綁定密鑰,並且利用該綁定密鑰對標題密鑰進行加密並將其插入權限對象。更具體地,數字權限伺服器39可通過用綁定密鑰36對標題密鑰進行加密、將所述加密的標題密鑰插入到所述權限對象中、並且分別發送廣播加密內容和權限對象,而用於從網絡群集32的外部控制網絡群集32的內容的廣播加密。數字權限伺服器能夠利用群集32的密鑰管理塊38、群集32的唯一數據權標及加密的群集ID計算出該群集的綁定密鑰。
圖2中示出了可用於本發明的實施例的實施的網絡系統的一般化的簡圖。在兼容xCP的網絡群集32中,主用戶57(出於說明目的)操作分別連接用於與另一用戶19的網絡通信的顯示站56或者終端11,其通過在群集32中進行網絡通信的另一用戶控制站13進行連接。通信網絡系統將加密的廣播內容傳送給授權的設備57、19。經由加密握手,在已限定的地區/群集32內關於已授權的設備57、19實施網絡群集鄰近要求。所述加密握手被計時,以限制所述加密的廣播內容僅傳送給所述地區32內所述授權的設備57、19,並可以探測傳輸是具有短的往返時間44還是長的往返時間46。短的往返時間44指示出所述加密的廣播內容的傳輸是在所述網絡群集/已限定的地區32之內。長的往返時間46指示出該傳輸是在所述網絡群集/已限定的地區32之外。設備代理40在所述地區32內被授權,用於將傳送給所述設備代理40的加密的廣播內容轉發給在所述地區之外而在黑視區42中的被授權的遠程設備50。設備代理40包括硬體設施的使用,所述硬體設施可利用位置信息來實施網絡群集鄰近要求。所述硬體設施也可利用來自所述網絡設備的信息來實施網絡群集鄰近要求。設備代理還包括家庭網絡設備,其與其他兼容網絡的設備進行通信,以實施網絡群集鄰近要求。遠程設備50包括諸如蜂窩電話、PDA和個人計算機的設備。
圖3是示出在本發明優選實施例中用於對授權的設備實施網絡群集鄰近要求同時傳送加密的廣播內容的過程的開展的流程圖。經由加密握手對於授權的設備限定地區或群集,步驟70。所述加密握手被計時,以限制加密的廣播內容僅傳送給所述地區內的所述授權的設備,步驟71。所述加密握手的定時可由在所述網絡上發送消息與接收到應答之間的往返時間的統計測量來完成。接收到必須遍歷整個網際網路以達到黑視區(所述群集之外的區域)的消息比接收到遍曆本地區家庭網絡的消息需要更長的時間。拒絕未授權設備接收加密的廣播內容的一種這樣的統計測量是計算出在若干個廣播間隔上的加密握手的往返時間的標準差,並將其時間在所述標準差的某個因數之外的那些設備排除。這可以通過開始時允許該加密握手的較大的最大往返時間(即10分鐘)來實現。當設備被添加到該網絡群集中時,每個設備的往返時間的平均值和標準差被測量出。新的潛在的最大往返時間將被計算為2乘以所述標準差加上所述平均值,並且如果該潛在的最大往返時間少於當前最大往返時間,則該時間被採納為新的當前最大值。該統計確定的精確性可通過集中於不需要加密握手的xCP群集協議消息來提高。在所述群集協議中,某些消息(例如初始的加密握手)比其他消息需要更多的計算。通過集中於具有較小的計算需求的消息,設備之間的處理能力的差別在確定往返時間時會影響更小。
在圖3中,設備代理在所述地區內被授權,步驟72。所述設備代理允許轉發給所述地區之外的授權的遠程設備,步驟73。所述加密的廣播內容被傳送給所述設備代理,步驟74。
現在將參考圖4的流程圖來描述圖3中建立的過程的簡化運行。首先,確定加密的廣播內容是否將傳送給授權的設備,步驟80。如果否,則該過程結束。如果是,則確定是否要對在限定的地區內的授權的設備實施網絡鄰近要求,步驟81。如果否,則將加密的廣播內容傳送給所述限定的地區內外的設備,步驟82。如果是,則可通過對加密握手計時以限制將加密的廣播內容傳送給授權的設備,步驟83,和/或通過授權地區內的用於轉發到所述地區之外的授權的遠程設備的設備代理,步驟84,來實現對地區內的授權設備實施網絡鄰近要求。然後加密的廣播內容被傳送給所述設備代理,步驟85。
在本說明書中根據用於控制從網絡群集之外的內容伺服器的網絡群集的廣播加密內容的傳送的方法而描述了本發明的實施例。本領域的技術人員應當懂得控制本發明的過程能夠以各種形式的計算機可讀媒體的形式分發。本發明也可在電腦程式產品中實現,例如軟盤或其他記錄媒介,以通過任何合適的數據處理系統使用。電腦程式產品的實施例可利用用於機器可讀信息的記錄媒介(包括磁媒體、光學媒體或者其他合適的媒體)來實現。本領域的技術人員將立即認識到,任何具有適當的編程裝置的計算機系統都將能夠執行如程序產品中實現的本發明的方法的步驟。
權利要求
1.一種用於將加密的廣播內容傳送給授權的設備的通信網絡系統,包括設備授權單元,用於經由加密握手在一地區內對設備進行授權;計時器,用於對所述加密握手過程計時;內容傳送單元,用於將廣播內容僅傳送給所述地區內的授權的設備;以及一個或多個設備代理,其中所述設備代理是所述地區內的授權的設備,並且被使能將廣播內容發送給所述地區之外的授權的設備;用於經由加密握手在限定的地區內對授權的設備實施網絡群集鄰近要求的裝置;用於對所述加密握手計時以限制將所述加密的廣播內容僅傳送給在所述地區內的所述授權的設備的裝置;以及用於在所述地區內對設備代理進行授權的裝置,所述設備代理用於將傳送給所述設備代理的所述加密的廣播內容轉發給所述地區之外的授權的遠程設備。
2.如權利要求1所述的通信網絡系統,其中授權的傳輸通過傳輸時間長度來標識。
3.如權利要求1所述的通信網絡系統,其中所述設備代理包括硬體設施。
4.如權利要求3所述的通信網絡系統,其中所述硬體設施利用位置信息來實施網絡群集鄰近要求。
5.如權利要求3所述的通信網絡系統,其中所述硬體設施利用來自所述授權的設備的信息來實施網絡群集鄰近要求。
6.如權利要求1所述的通信網絡系統,其中所述設備代理包括家庭網絡系統,其與其他兼容網絡的設備進行通信以實施網絡群集鄰近要求。
7.如權利要求6所述的通信網絡系統,其中兼容網絡的設備是蜂窩電話。
8.一種用於向授權的設備傳送加密的廣播內容的方法,包括以下步驟啟動與設備的加密握手;如果所述加密握手成功,則指定所述設備為授權的設備;經由加密握手在限定的地區內對授權的設備實施網絡群集鄰近要求;對所述加密握手計時;基於所述計時,在所述地區內限制所述加密的廣播內容僅傳送給所述授權的設備;以及在所述地區內對一個或多個設備代理進行授權,所述設備代理用於將廣播內容轉發給所述地區之外的授權的遠程設備,所述加密的廣播內容被傳送給所述設備代理。
9.如權利要求8所述的方法,其中授權的傳輸通過傳輸時間長度來標識。
10.如權利要求8所述的方法,其中所述設備代理包括硬體設施。
11.如權利要求10所述的方法,其中所述硬體設施利用位置信息來實施網絡群集鄰近要求。
12.如權利要求10所述的方法,其中所述硬體設施利用來自所述授權的設備的信息來實施網絡群集鄰近要求。
13.如權利要求8所述的方法,其中所述設備代理包括家庭網絡系統,其與其他兼容網絡的設備進行通信以實施網絡群集鄰近要求。
14.如權利要求13所述的方法,其中兼容網絡的設備是蜂窩電話。
15.一種具有記錄在計算機可讀媒介上的代碼的電腦程式,用於在通信網絡中與基於符號連結對象的系統進行高速通信,以將加密的廣播內容傳送給授權的設備,所述電腦程式包括用於經由加密握手在限定的地區內對授權的設備實施網絡群集鄰近要求的裝置;用於對所述加密握手計時以限制將所述加密的廣播內容僅傳送給在所述地區內的所述授權的設備的裝置;以及用於在所述地區內對設備代理進行授權的裝置,所述設備代理用於將傳送給所述設備代理的所述加密的廣播內容轉發給所述地區之外的授權的遠程設備。
16.如權利要求15所述的電腦程式,其中授權的傳輸通過傳輸時間長度來標識。
17.如權利要求15所述的電腦程式,其中所述設備代理包括硬體設施。
18.如權利要求17所述的電腦程式,其中所述硬體設施利用位置信息來實施網絡群集鄰近要求。
19.如權利要求17所述的電腦程式,其中所述硬體設施利用來自所述授權的設備的信息來實施網絡群集鄰近要求。
20.如權利要求15所述的電腦程式,其中所述設備設施包括家庭網絡系統,其與其他兼容網絡的設備進行通信以實施網絡群集鄰近要求。
全文摘要
一種用於利用代理實施網絡群集鄰近要求的系統、方法及電腦程式,其在阻止未授權設備接收僅用於網絡群集內的授權的用戶的加密的廣播內容時是有用的。現有的技術允許用戶經由加密握手遠程地建立信任。這會導致加密的廣播內容被傳送給未授權的設備。本發明確保加密的廣播內容僅被傳送給授權的設備,從而允許授權的遠程設備接收加密的廣播內容而阻止未授權的遠程設備這樣做。本發明通過對加密握手計時並通過在一地區內對用於轉發到所述地區之外的授權的遠程設備的設備代理進行授權,而對限定區域內的授權的設備實施網絡群集鄰近要求。
文檔編號H04L29/06GK101069406SQ200580041431
公開日2007年11月7日 申請日期2005年12月9日 優先權日2004年12月16日
發明者A·A·沙欣, T·麥誇爾 申請人:國際商業機器公司