用于條件訪問和數字權限管理的系統和方法

專利名稱：用于條件訪問和數字權限管理的系統和方法
技術領域：
本發明一般涉及數字媒體遞送和管理系統。更具體地，本發明屬于數字權限管理
系統。
背景技術：
數字媒體通常是指可以由數字處理系統以一種方式或另一種方式處理的某形式 的電子媒體。與模擬媒體不同，數字媒體一般以數字形式(例如，二進制格式)被傳輸、存 儲和/或處理。 在過去的幾十年使用數字媒體越來越多，這一部分是由于其相比模擬媒體更優越 的技術優勢，例如噪聲魯棒性，一部分是由于各種數字信息處理系統(例如，個人電腦和CD 或DVD播放器)的寬可用性。數字媒體一般更容易處理和/或管理，且它們通常被認為具有 更高的感知品質。數字廣播在有線電視和衛星電視或無線電行業中的發展勢頭逐漸增加。 此外，在美國，陸地數字電視(DTV)廣播嘗試計劃在2009年早期取代模擬電視。
但是，數字媒體的更好的處理能力同樣是使用數字媒體的不利方面。例如，數字媒 體或更準確地說與數字媒體相關聯的數字數據可以不需要成本或花費非常小的成本就能 被無限制地復制而沒有任何的質量損失。另外，數字媒體可以很容易地部分或整體被改變 或修改或復制而不需任何責任性。這會妨礙在許多潛在應用領域中廣泛采用數字媒體。這 尤其會體現在受版權保護的媒體、或需要保護傳輸、訪問或復制的媒體上。在許多情況中， 為了執行與數字媒體相關聯的某些任務或操作，用戶需要特別權限或準許。這通常被稱為 數字權限。術語數字權限有時是指與數字媒體相關聯的合法權限。有時其是指技術權限或 能力，且并非必須與權限的持有者的合法權限一致。 數字權限管理(DRM)系統管理數字權限和媒體其它類型的權限。許多數字媒體發 行人和銷售方使用DRM系統來保護受版權保護的或訪問控制的材料。典型的DRM系統使用 各種技術措施來識別、描述、分析、評估、交換、監控以及跟蹤數字權限。例如，DRM系統通常 使用復制保護措施來控制和/或限制數字媒體內容的使用和訪問。在商業環境中，DRM提 供用于控制數字媒體的任何復制和傳播的方法，由此能征收適當的費用(例如，每次復制 或每次執行媒體內容)。 為了實現該目的，典型的DRM系統使用加密和解密軟件以及基于其它軟件或硬件 的安全措施。例如，使用高級訪問內容系統(AACS)對HD DVD或藍光(Blue-ray)電影進行 加密或加擾。介質上的數據在以MPEG-4的格式被壓縮或編碼之外還被加密，且只能使用一 個或多個有效解碼密鑰才能被解密并瀏覽。在典型的DRM方案中，DRM服務器根據適用的 策略通過加密而將數字內容打包。 —旦數字內容被遞送，DRM客戶端對該內容解包，并根據用戶的權限使該內容可被 用戶訪問。DRM客戶端可以包括臺式計算機、手持設備、機頂盒、移動電話以及其它便攜式設 備和其它專用數字媒體播放器(例如，用于音樂、電影等)以及電視機和無線電裝置。數字 權限通常被與打包的媒體內容分開分配到客戶端。它們可以在內容分配的同時被分配，或者可以在需要時例如在存儲或重放時被動態地訪問。 在有線電視行業以及其它相關行業例如衛星廣播中，媒體由條件訪問(CA)系統 來保護。CA是指將對受保護內容的訪問限制到授權用戶的技術。在典型CA系統中，例如 在有線電視行業使用的CA系統中，加擾后的媒體內容與稱為控制字(CW)的解密密鑰一起 被遞送。控制字內嵌在稱為ECM(授權控制消息)的加密消息中，該加密消息可以通過使用 稱為服務密鑰(SK)的另一個密鑰而被解密。服務密鑰在稱為E匪(授權管理消息)的不同 消息中被遞送給用戶，且可以使用用戶特定解密密鑰或用戶密鑰(UK)來解密該服務密鑰， 所述用戶特定解密密鑰或用戶密鑰一般與硬件或固件層的客戶端設備相關聯，例如"智能 卡"。每個密鑰的有效時間根據目的而變化，且根據不同的應用而變化。 一般來說，CW的有 效時間比SK的有效時間短得多(對現場視頻流而言是0. 1秒的級別)，SK的有效時間例 如針對有線電視中的訂閱頻道而言大約是月的級別。SK和CW還可以與特定媒體例如付費 觀看的電影標題相關聯。區通常是永久的，但是可以通過向用戶提供新的智能卡而更換該 UK。典型的CA系統還具有將UK從未授權設備取消的能力。應當注意，CW通常不是用戶指 定的。使用(訂戶指定的)SK，系統可以同時向訂戶安全地廣播其它公共信息，例如CW或媒 體內容，而不需要針對每個訂戶廣播不同的節目。 —個節目的數字媒體內容(例如，視頻和音頻信號)，在有線電視的情況中通常是 MPEG-2或MPEG-4格式，有時與其它節目的數字媒體內容一起被復用，由此多個節目像是同 時被傳輸。CA系統對數字形式的節目進行加擾，并將授權控制消息和授權管理消息與該數 字形式的節目一起傳輸，以在多路信道內(例如，用于衛星)或通過頻帶外信道(例如，用 于有線)進行廣播。 通常使用對稱密鑰加密技術來完成內容加密，而使用公共密鑰/私人密鑰加密技 術來完成密鑰加密。在對稱密鑰加密技術中，相同或基本等同的密鑰用于對數據進行加密 和解密。在非對稱或公共密鑰加密技術中，不同但相關的密鑰用于對數據進行加密和解密。 公共密鑰可以以某種加密方案從對應的私人密鑰中得出，但是反之不成立。通常，從計算需 求來說，基于對稱密鑰加密技術的加密/解密方案比使用非對稱密鑰加密技術的加密/解 密方案花費的更少。 通常，位于接收端的例如機頂盒(STB)的客戶端設備對數據流進行解擾，并解碼 MPEG-2數據，以進行觀看。STB的調諧器部分接收進來的信號，對該信號解調，并重構包含 多個信息分組的傳輸流。機頂盒可以對授權管理消息、授權控制消息以及媒體內容進行解 復用。包含在授權管理消息和授權控制消息中的數據(例如，服務密鑰和控制字)用于對 加密的節目內容進行解擾。機頂盒然后對MPEG數據進行解碼并提供用于觀看的內容。
圖1以框圖的形式示出了示例性DRM/CA系統的總體"體系結構"。該圖示出了所 有再次在相同安全系統中與數字管理系統或條件訪問服務器101相關聯的虛構區或范圍。 DRM系統可以具有其自己的服務器。或者，可替換地， 一些相關的CA服務器可以用于各種 DRM目的，例如對客戶端進行認證。DRM系統還可以通過其它方法管理與數字媒體相關聯的 數字權限。該DRM系統的一個示例是在線電影分配器系統。在該示例中，DRM服務器lOl 通常處于從DRM客戶端設備103經過例如有線網絡、衛星網絡、無線電話網絡或因特網的網 絡102后的位置。當來自DRM服務器101或其它數字媒體服務的數字媒體被遞送到客戶端 103時，客戶端在其能播放或顯示遞送的內容之前首先需要獲得合適的準許或授權。CA服務器101通常位于從客戶端設備103經過例如有線網絡、衛星網絡、無線電話網絡或因特網 的網絡102的位置，客戶端設備103可以是CA客戶端或機頂盒。當來自DRM/CA服務器101 或其它數字媒體服務的數字媒體被遞送到客戶端103時，客戶端在其能播放或顯示遞送的 內容之前首先需要獲得合適的準許或授權。該準許通常以之前所述的ECM(例如，在有線電 視傳輸中)被遞送。在典型的實時數字媒體遞送系統例如有線電視中，所需的ECM與數字 媒體內容同時被遞送。在圖1所示的示例中，DRM/CA服務器101負責各種DRM/CA相關的 任務，并向經認證的客戶端103提供用于訪問已授權給該客戶端的數字媒體內容的必要支 持。客戶端可以在顯示器105上實時播放媒體和/或存儲該媒體以用于以后觀看。該圖示 出了與客戶端相關聯的DRM范圍內的存儲單元104。在一些情況中，該存儲單元104可以是 客戶端設備103的一部分。數字媒體通常以加密/加擾的形式或以其它保護形式被存儲在 存儲單元中。在該示例中，DRM系統用于保護所存儲的數字媒體。為了例如媒體播放器的 客戶端設備能夠訪問所存儲的媒體的內容，該客戶端設備需要具有合適的準許，該合適的 準許在該客戶端被合法授權對該數字媒體進行某些操作的情況下由DRM/CA系統提供。
圖2示出了用于條件訪問(CA)方案的某些實施中的各種消息或數據類型。具體 地，該圖示出了授權管理消息(E匪)134、授權控制消息(ECM)140以及加擾后的內容146與 各種加密/解密密鑰，其通常用于有線電視行業的CA系統中。客戶端設備(圖中未示出) 通常包括與CA服務器(未示出)相關聯的安全設備130，且該安全設備具有代表訂戶的唯 一用戶密鑰(UK)132。安全設備130可以是智能卡。用戶密鑰132可以用于解密授權管理 消息(E匪)134，該E匪134具有加密的服務密鑰(SK)138。客戶端或安全設備130使用用 戶密鑰132來執行E匪解密136，以恢復服務密鑰138。另一方面，授權控制消息(ECM) 140 包含加密的控制字(CW)144。在典型的操作中，客戶端或內嵌的安全設備130還使用服務密 鑰138來執行ECM解密142，以恢復控制字144。加擾后的內容146，即用CW 144加密的數 字媒體內容，可以通過使用控制字而被解擾，以生成清晰的內容150。典型地，在148，CA服 務器向授權的客戶端提供控制字以對內容進行解擾。解擾后的或清晰的數字媒體內容150 可以在客戶端設備上被播放或被再次加密以用于進一步處理或(暫時或永久)存儲。但是， 在許多情況中，加擾后的內容146有時與ECM 140—起被記錄，以用于之后的使用且由復制 保護(CP)系統、DRM系統或不同的CA系統來保護。DRM系統根據E匪和/或ECM中的信息 來管理權限。 應當注意的是，在本公開的圖2和其它圖中，加密和解密密鑰分別由鎖和鑰匙從 符號上來表示。即使這兩種不同符號盡可能保持一致性地來使用，但是應當理解的是，在對 稱密鑰加密技術中，相同或基本等同的密鑰用于加密和解密操作，而在公共密鑰加密技術 中，加密密鑰(即，鎖)和解密密鑰(即，鑰匙)不同，且特別地，從對應的加密密鑰導出解 密密鑰從計算上來講是不可行的。如之前所述，在數字媒體遞送和管理中，通常使用對稱密 鑰加密技術( 一般計算更少)來完成內容加擾(例如，數字媒體內容的加密)，而通常使用 公共密鑰加密技術( 一般更容易交換)來完成密鑰加密(例如，服務密鑰的加密)。
雖然圖2示出了 CA系統的特定加密/解密方案，但是可以理解的是，還可以使用 不同的方案。 一般來說，授權管理消息被單播到單獨設備以單獨許可授權，且授權控制消息 一般被廣播到所有設備，以全局(global)提供用于獲取對廣播流進行解擾的內容密鑰的 信息。服務密鑰代表從授權管理消息恢復的授權，而控制字代表從授權控制消息恢復的用
10于對媒體內容進行解擾的密鑰。數字電視系統的解擾器使用標準算法，例如數字視頻廣播 公共加擾(DVB-CSA)和高級電視系統協會(ASTC)標準(陸地廣播條件訪問系統)的數字 加密標準(DES)。解擾器(例如，圖2中的148)可以很方便地設置在客戶端設備中的多個 組件的任意一個上(例如，橋、顯示裝置(renderer)或存儲系統)。 關于圖3A和圖3B，該圖中示出了 CA服務器和/或DRM系統遞送并保護的數字媒 體內容的示例情況。在圖3A中，訪問控制設備172，通常是客戶端設備的一部分(圖中未示 出)，具有用于解密授權管理消息176的用戶密鑰174，該授權管理消息176包含加密的服 務密鑰(SK)，而該服務密鑰用于之后對授權控制消息178進行解密。ECM 178包含加密的 控制字(CW)。被控制字加密的加擾后的內容180則由客戶端設備進行解密。具有合適權 限的訪問控制單元172或與客戶端設備相關聯的任意組件使用控制字184對受保護的內容 182進行解擾，并向用戶提供內容186。內容可以被重新加擾，并存儲在存儲設備中以用于 以后觀看或該內容可以被提供用于實時使用。客戶端設備可以直接記錄原始CA保護的內 容(例如，如圖3A中所示)，或者記錄通過代替的CA/DRM進行保護的內容(例如，使用替代 授權控制消息加密或使用不同的控制字重新加擾等)。 在圖3B所示的情況中，DRM系統保護恢復后的控制字210(在圖中由符號密碼密鑰 208表示)。在該示例中，只有特定CA/DRM客戶端(例如，具有用戶密鑰204的訪問控制設 備202，該訪問控制設備202具有合適權限(例如，能夠訪問解密密鑰208))可以對DRM保 護的CW 206進行解擾，以獲得CW 210。然后，解密的控制字210用于對遞送或存儲的媒體 內容212進行解擾，以獲得清晰的內容214。 在典型的主安全系統(例如，數字TV或衛星TV)的條件訪問中，作為全局密鑰 的控制字需要頻繁改變(例如，每0. 1秒一次)，以避免密鑰共享攻擊。但是，為了本地 (locally)保護DRM系統所記錄并存儲的內容，對訪問控制設備是唯一的控制字不需要頻 繁改變。例如，可僅使用一個控制字來對整個記錄的電影進行重新加擾。應當注意的是，不 同的CA系統和DRM系統可以具有完全不同的E匪和ECM實現，但是具有用于內容保護的類 似或相同的解擾器(例如，根據ATSC標準)。 多個數字權限管理系統可以用于數字媒體的保護(例如，根據情形，同時地或可 替換地)。例如，數字媒體所有者(例如，電影制片廠)和媒體遞送服務(例如，有線公司) 可以將不同且分開的DRM系統用于相同的數字媒體，或用于相同的數字媒體的不同部分。 類似地，相同的有線電視公司(例如，賓夕法尼亞州費城的康姆卡斯特公司)可以針對不同 的情形或不同的域使用不同的CA系統。數字權限管理還可以以分級的方式或在多個域中 被實施。這在圖4A中示出，其中不同的DRM(254，258，260)或CA(262)系統還可以用于在 其遞送、處理、播放以及存儲過程的不同階段保護數字媒體。例如，圖4A示出了在數字媒體 遞送期間使用多個CA和/或DRM系統的示例性情形。媒體從CA服務器262被遞送到客戶 端(例如，圖中的存儲單元278)，且該媒體最初由該示例中同一CA服務器來保護。虛線框 252表示"虛擬域"或區，其中CA服務器262用于執行關于數字媒體的適當訪問規則。該圖 示出了多達三個虛擬DRM域254、258和260，每個域處于DRM系統的保護下(圖中未明顯示 出)。當數字媒體從一個DRM系統傳遞到另一個DRM系統時，可以使用來自 一個DRM系統 的密鑰對該媒體內容(及其相關密鑰)進行解擾/解密，并使用來自下一個DRM系統的密 鑰對該媒體內容進行重新加擾/加密。在圖4A所示的示例中，處于CA服務器262保護下的媒體被解擾264，并在DRM系統254中再次被加擾266。通過DRM系統254的解擾268以 及通過DRM系統258的加擾272，媒體然后傳遞到下一個DRM系統258，并且通過DRM系統 258的解擾274和DRM系統278的加擾276，該媒體再被傳遞到下一個DRM系統260。在該 示例中，加擾后的數字媒體內容被存儲278在例如客戶端設備中，且最后的DRM系統260負 責保護存儲的數字媒體。靠近數字媒體源的DRM系統通常比靠近接收器(sink)或客戶端 的DRM系統更"全局"。換句話說，圖中的DRM系統258比DRM系統254更"本地化"。通常， 在全局或上行流DRM系統與本地或下行流DRM系統之間存在一對多關系。應當理解的是， 在該特定示例中，當數字媒體通過DRM系統的邊界時，媒體以清晰的形式呈現，其控制從之 前的DRM完全傳遞到下一個DRM。例如，在圖4A標記的270處，媒體(和/或任何相關的安 全密鑰)由DRM系統254來解擾，由此DRM系統254失去對媒體內容的控制。媒體然后由 下一個DRM系統258來加擾，由此受到該DRM系統258的控制。這在涉及多個DRM系統的 商業模式(例如圖中所示的情形，其中媒體的原始所有者將媒體控制完全傳遞給其它DRM 系統)中是潛在易受攻擊的點。 這種易受攻擊性可以通過多種橋保護方案保護，圖4B示出了示意性示例，其中顯 示了兩個不同的DRM域232和234。在該圖中，顯示了保護的不同階段(加密A、加密B以 及加密C)，但并未顯示解密和重新加密過程。在該特定示例中，在第一階段(加密A)，通過 網絡236遞送的數字媒體首先可以由DRM系統232保護。在第二階段(加密B)，數字媒體 可以由DRM系統232和234來保護。在第三階段(加密C)，數字媒體只可以由第二 DRM系 統234來保護。例如，第一 DRM系統232可以由有線公司來管理，而第二 DRM系統234可以 由電影制片廠來管理。為了用戶能播放所遞送的內容，該用戶根據實施可能需要從一個系 統或兩個系統獲得合適的訪問準許。 一般來說，可以存在多個內容分配器、多個內容所有 者、和/或多個相同數字媒體的內容播放器，每個內容播放器可以具有其自身的DRM或CA 系統。 —些DRM系統可以存儲仍然受運營商CA系統保護的內容。在這種模式中，可能需 要對CA服務器的已備訪問來訪問受保護的數字媒體。例如，當數字媒體存儲在用戶設備中 時，為了播放所存儲的媒體，用戶可能需要從對應的CA服務器獲得訪問授權(例如，以ECM 的形式)。相關ECM或包含于該ECM中的CW還可以在遞送媒體內容時被下載。
在一些情況中，CA服務器可以只在重放時提供有效授權。例如，系統可以允許用 戶記錄沒有授權用戶在記錄時使用的(加擾后的)節目。在用戶獲得所需權限(例如，通 過購買付費觀看服務或通過升級訂閱包等)之后，用戶可以在之后的方便的時間重放所記 錄的信息。如之前所述，在解擾后的內容和/或解密后的密鑰被存儲到存儲設備之前，可以 使用不同方案(例如，基于DRM系統的方案)對解擾后的內容和/或解密后的密鑰重新加 擾/加密。 關于橋保護系統的進一步信息可以在2006年6月2日提交的US專利申請 No. 11/446， 427中找到，其作為引用結合于此。橋保護方案給DRM系統的終端客戶端帶來一 些問題內部DRM系統在橋接發生后如何處理原始DRM保護。例如，在CA規則下的CA媒體 可以存儲在DRM系統的客戶端中。該客戶端常規具有與DRM系統的訂閱協議，但是一般不 能直接與CA系統打交道，由此很難在DRM系統下改變CA規則。例如，受CA系統保護的內 容可以由CA系統的訪問規則來限制，使得該內容可以在限制的時間段播放(例如，只有一
12個星期)或可以只能重放一次或兩次。在該情況中，用戶可能必須"升級"CA系統的服務以 獲得更大的訪問權限，但是用戶(例如，客戶端)系統是可能不具有例如獲得升級所需的所 有密鑰的DRM系統。

發明內容
本發明一般屬于用于數字媒體遞送和管理系統中的條件訪問(CA)和數字權限管 理(DRM)的方法和設備。根據一個實施方式，提供用于多個DRM和/或CA域中的條件訪問 和復制保護的系統和方法。根據另一個實施方式，提供用于管理存在一個或多個CA服務器 的多個DRM域的方法和設備。 一些實施方式提供用于在數字媒體內容分配系統中橋接多個 DRM系統、橋接多個CA系統或橋接CA系統和DRM系統的方法和設備。本發明的一些實施 方式還提供用于管理數字媒體內容遞送和存儲系統中的多個DRM域的數字權限的系統、方 法和設備。本發明的實施方式可以簡化數字媒體內容遞送、條件訪問、以及數字權限管理， 并提供在內容已通過橋傳遞且現在由第二 CA或DRM系統控制后來自第一 CA或DRM系統的 "升級"服務。 根據一個實施方式，提供一種方法，該方法用于下行流DRM客戶端獲得針對之前 從DRM橋獲取的數字媒體內容的來自升級服務器的新權限或許可。DRM橋一般包括原始DRM 客戶端和第二 DRM服務器；該DRM橋從原始DRM系統接收媒體內容，并使該內容適用于第二 DRM系統(例如，從第二 DRM服務器到第二 DRM客戶端)。在橋中以以下方式執行權限和許 可的轉換第二DRM系統的遠程DRM升級服務器(并未參與原始轉換)可以之后發布針對 相同數字媒體內容的新的或升級的許可。所存儲的媒體內容可以通過加密來保護，例如使 用控制字加密，該控制字還可以通過使用服務密鑰而被加密。示例性方法包括第二DRM升 級服務器聯系原始DRM系統，以獲得批準，從而發布新權限或許可，并使用接收信息來升級 或發布針對之前獲取的媒體的新權限或許可。原始DRM系統與第二 DRM系統之間的通信可 以或不可以沿著媒體內容的路徑(例如，通過橋傳遞)。原始DRM系統可以是經過橋發送媒 體內容的服務器，或可以是另一個服務器，例如原始DRM系統的賬單服務器或升級服務器。 第二DRM系統的升級服務器可以是最初發布許可的DRM服務器(即，橋)或另一個獨立的 DRM服務器。 在某些實施方式中，第二DRM系統的客戶端向第二DRM服務器發送請求以獲得新 許可。第二 DRM服務器然后與原始DRM系統通信，以獲得批準，從而發布新權限，并將響應 傳送到第二DRM客戶端。該響應提供針對之前獲取的媒體內容的新權限或許，可以使第二 DRM客戶端能夠根據其請求來訪問媒體。在一些情況中，第二 DRM服務器與原始DRM系統之 間的通信通過原始DRM客戶端傳遞，因此使用橋(原始DRM客戶端/第二 DRM服務器橋) 傳輸信息。原始DRM客戶端則可以與原始DRM服務器通信。 在某些實施方式中，第二 DRM服務器在發布新許可之前聯系第二 DRM系統的升級 服務器。在一些情況中，第二 DRM服務器與升級服務器之間的通信通過原始DRM客戶端傳 遞，由此使用橋來傳輸信息。與升級服務器的通信可以通過原始DRM客戶端。DRM升級服務 器然后與原始DRM服務器通信或與原始DRM賬單服務器通信，以接收響應。
在某些實施方式中，第二 DRM系統的客戶端發送請求到第二 DRM系統的升級服務 器，以獲得新許可。升級服務器對于DRM客戶端而言一般是在線可用的，并與原始DRM系統通信，以升級針對媒體內容的權限或許可。所聯系的原始DRM系統可以是原始DRM賬單系 統服務器或發送媒體內容的原始匿R服務器。來自升級服務器的響應可以根據客戶端請求 來升級媒體內容許可。 在至少一種實施方式中，提供用于管理與在多個DRM系統(例如，級聯橋)保護下 的數字媒體相關聯的數字權限的系統和方法。本發明的某些實施方式還提供用于橋接數字 媒體內容分配和存儲系統中的多個DRM系統的方法和設備。在一些實施方式中，各種方法 被用于在多個不同DRM系統之間升級媒體內容的權限或許可。媒體內容存儲在第二DRM系 統中，優選地存儲在第二 DRM客戶端中，具有來自DRM橋的初始第二 DRM許可。
根據本發明的一些實施方式，執行以下操作(a)從第二數字權限管理系統聯系 原始數字權限管理系統，以獲得批準，從而發布針對已經獲取的媒體內容的新的許可或權 限；(b)通過第二數字權限管理系統在來自原始數字權限管理系統的準許下，升級許可或 權限，且該升級一般通過將來自原始數字權限管理系統的關于許可或權限的響應傳送到第 二數字權限管理系統而發生。根據某些實施方式的操作解決潛在問題，例如使原始DRM根 據第二 DRM系統許可來識別媒體內容的所有者和類型，使得原始DRM系統可以適當記錄并 批準交易，以及安全地發布新許可而不需要原始DRM系統向第二DRM客戶端重新發布相同 的媒體內容。例如，根據某些實施方式的操作提供從原始DRM系統經過橋到DRM客戶端獲 取CA規則(或其它DRM規則)的方式。媒體可以從CA系統(原始DRM系統)初始生成，其 中訂戶和事件信息可能在橋接中丟失且不能為第二DRM客戶端所知。或者由于服務或內容 密鑰被加密以使其只能用于第二 DRM客戶端，因此服務器可能不能讀取服務或內容密鑰。
根據本發明的另一個實施方式，提供用于第二 DRM系統遠程服務器升級DRM橋發 布的數字媒體內容的權限或許可的方法。初始第二DRM許可可以包括允許升級操作與原始 DRM系統協調的附加信息。該方法可以包括以下操作(a)從第二DRM系統的DRM客戶端向 第二DRM服務器發送升級權限或許可的請求。在一些實施方式中，升級請求進入到原始發 布許可的第二DRM服務器(即，橋)。在其它實施方式中，請求被發送到另一個獨立的第二 DRM服務器。(b)在完成交易之前，使第二DRM更新服務器使用已由橋添加的附加信息從原 始DRM服務器請求批準。在一些情況中，當第二 DRM更新服務器是DRM橋時，可以使用原始 DRM服務器返回路徑來攜帶該請求。在一些其它情況中，當第二DRM更新服務器是單獨的服 務器時，可以在兩個服務器之間以商業對商業交易來攜帶請求。(c) 一旦原始DRM服務器批 準，使第二 DRM更新服務器從由橋添加的附加信息中提取服務或內容密鑰，并使用相同內 容但是具有新權限的密鑰來生成第二 DRM客戶端的新許可。 在一種實施方式中，當橋中的第二DRM服務器創建初始第二DRM許可時，其可以添 加附加數據(即，許可更新數據)到許可或緊接許可添加附加數據以用于激活之后更新 (a)識別優選第二DRM更新服務器的信息(例如，URL) ; (b)可以由原始DRM服務器用來批 準許可更新的信息，包括訂戶標識(例如，訂戶ID)、設備標識(例如，設備ID)、媒體標識 (例如，事件ID)、目標DRM客戶端信息(例如，客戶ID)以及調度信息(例如，時間戳)；以 及(c)DRM更新服務器所需要的用于獲取媒體內容的當前服務或內容密鑰的信息。在一種 實施方式中，許可更新數據的一部分或全部的安全性由第二DRM系統來提供。在另一個實 施方式中，許可更新數據的一部分或全部的安全性由原始DRM系統來提供。許可更新數據 可以根據需要而與媒體內容一同被存儲在第二 DRM客戶端中，作為初始第二 DRM許可的一部分或緊接著第二 DRM許可。加密的媒體內容與匹配許可的關聯可以被制定成在第二 DRM 系統域中是準唯一 (quasi-unique)的一組清楚的索引號。在一些實施方式中，識別優選第 二DRM更新服務器的信息(例如，URL)還可以包括作為協議(argument)的所有其它許可 更新數據。 在一些情況中，來自第二 DRM客戶端的許可更新請求可能需要原始DRM服務器直 接或間接向第二DRM客戶端發送媒體內容的多個可用選項(S卩，進一步的重放、無限制連續 復制、燒錄到DVD等等)。在一些情況中，響應通過與客戶端請求的路徑不同的通信路徑被 遞送到客戶端。 在一些情況中，來自第二 DRM客戶端的許可更新請求可以指示第二 DRM更新服務 器發布針對另一個設備(而不是第二DRM客戶端)的新許可。如果初始第二DRM許可是舊 的或者被導致不再有效，則該操作對應于已登記的動作，如果初始第二 DRM許可仍然保持 有效，則該操作導致已登記的內容復制。 在一些情況中，來自第二 DRM客戶端的許可更新請求指示第二 DRM更新服務器與 第三DRM系統的DRM服務器一起工作，以發布針對第三DRM系統的客戶端的許可。該操作 導致已登記的內容橋接。 通過本發明可以實現比常規技術更多的好處。例如，本發明可以提供原始DRM服 務器參與到與其原始發布的媒體內容相關的所有交易中，即使DRM系統之間的一個或多個 橋接操作已經被執行。本發明甚至在內容已經移動到通常不受原始DRM系統控制的設備 時，給予原始DRM系統控制和權限。通常，原始DRM服務器不需要知道下行流DRM服務器如 何被操作的具體細節，不需要攜帶認證和撤銷下行流DRM客戶端所需的下行流DRM系統的 證書和撤銷清單，也不需要被批準、證實或符合下行流DRM系統的魯棒性和一致性規則。在 本發明的一些實施方式中，甚至在相關DRM系統使用不同內容加擾方案時都可以實現安全 橋接。此外，本發明可以提供至少一個DRM系統在橋接期間安全地保護媒體內容(例如，通 過在源DRM系統提供內容的升級服務)的過程。根據該實施方式，可以實現一個或多個這 些好處。本說明書中將進一步描述這些及其它好處。 因此，總而言之，除了別的之外，本發明的至少一些實施方式提供用于執行逆向 DRM橋操作的方法，其中需要初始第二 DRM許可在被修改之前發回到原始DRM服務器。此 外，本發明的一些實施方式允許橋接媒體內容的多種再利用，包括但不限于擴展重放權限 的能力、能進一步復制、將內容輸出到其它設備和其它DRM系統。所有這些交易都是以原始 DRM服務器的批準為條件的，且由此保證原始權限所有者保持對其在多種DRM生態系統間 的資產的控制。出于描述的目的，CA系統被視為DRM系統的一種形式。應當理解，術語"升 級(upgrade)"以及"升級中(upgrading)"包括許可或權限的改變，其可以被視為降級(例 如，該改變限制了減少其訂閱費的顧客的某些使用)。本發明的這些和其它實施方式、特征、 方面以及優點通過以下詳細描述并結合附圖以及所附權利要求將變得更明顯。


在附圖中以示例而非限制的方式示出了本發明，其中相同的數字表示類似的元 件，其中 圖1示出了示例性DRM環境，其中數字媒體被遞送和管理。
15
圖2示出了在示例性條件訪問(CA)系統中使用的各種消息類型，該圖顯示了授權管理消息(E匪)、授權控制消息(ECM)以及使用控制字(CW)加擾(例如，加密)的數字媒體內容。 圖3A示出了保護數字媒體的示例性情形，該圖示出了各種相關消息，包括服務密鑰(SK)、控制字(CW)以及加擾后的數字媒體內容。 圖3B示出了另一個示例性情形，其中數字權限管理(DRM)系統保護數字媒體。
圖4A示出了示例性環境，其中多于兩個CA和/或DRM系統被采用，以保護數字權限，該圖包括一個CA服務器和三個DRM系統。 圖4B示出了示例性環境，其中存在多個DRM域用于保護同一數字媒體，該圖示出了由兩個DRM域保護的三個DRM內容階段。 圖5A是兩個示例性數字權限管理(DRM)系統的示意性表示，該圖還示出了與每個DRM系統相關聯的相關加密和解密密鑰，在該示例中， 一個DRM系統或兩個DRM系統保護數字媒體內容。 圖5B-圖5D示出了示例性環境，其中兩個DRM/CA系統用于保護與數字媒體相關聯的數字權限，在每個圖的中間示出的橋將系統分成兩個區，在左手側，媒體由CA系統來保護，而在右手側，媒體處在不同DRM系統的保護下，在典型應用中，橋相對于DRM客戶端是DRM服務器而相對于CA服務器則是CA客戶端。 圖6示出了示例性環境，其中本發明用于兩個DRM/CA系統中，CA系統保護的媒體經過橋而被存儲到DRM系統中，并由該DRM系統保護。 圖7A-圖7C示出了各種示例性通信路徑，用于第二 DRM客戶端聯系原始DRM系統以升級媒體權限或許可。 圖8示出了示例性環境，其中本發明用于三個級聯DRM/CA系統中，CA系統保護的媒體經過多個橋而被存儲在DRM系統中。 圖9示出了根據本發明的某些實施方式的示例性過程的流程圖，該流程圖中所示的過程包括由兩個不同實體執行的兩個操作。 圖IOA是示出根了據本發明的一個實施方式的升級過程的流程圖，具體地，該圖
顯示了經過用于通信的橋的關于升級數字媒體內容的權限或許可的的操作。 圖IOB是示出了根據本發明的一個實施方式的升級過程的流程圖，具體地，該圖
顯示了使用升級服務器且不聯系橋服務器的操作。 圖IOC是根據本發明的一個實施方式的升級過程的流程圖，具體地，該圖顯示了使用升級服務器以及可選橋服務器聯系的操作。 圖11示出了示例性環境，其中可以實施本發明的各種實施方式。 圖12示出了可以與本發明的各種實施方式相關聯使用的數據處理系統的典型
"體系結構"，例如該圖中示出的示例性系統可以表示橋或DRM服務器。 圖13A示出了稱為轉擾(transcrambling)的加密方案，其將使用一個密鑰加擾的
輸入內容轉換成使用不同密鑰加擾的內容，該轉換完全在該圖矩形框示意的硬件中進行。
圖13B示出了稱為超擾(superscrambling)的加密方案，使用來自兩個DRM系統的兩個控制字對數字媒體內容加雙倍擾，該雙倍擾后的消息還包括加密的控制字。
圖13C示出了稱為共密(simulcrypt)的加密方案，該圖示出了兩個授權控制消息(ECM)，從"ECM1"或"ECM2"中可以獲得解密加擾后的數字媒體內容所需的控制字"CWA"。
圖13D示出了稱為密鑰翻轉(key rotation)的橋接方法，其基于假定兩個DRM系統使用相同的內容加擾算法(公共加擾(common scrambling))。 圖14A示出了在本發明的某些實施方式中的示例性過程，具體地，該圖示出了根據一個實施方式的加密或加擾過程，如圖所示，使用兩個控制字"CW A"和"CW B"對內容進行雙倍加擾(或過擾)。 圖14B示出了根據本發明的一個實施方式的當通過IP使用時的DTCP(數字傳輸內容保護)數據分組的示意表示，DTCP分組對加擾后的數字媒體內容和其它相關安全密鑰進行編碼。 圖14C示出了本發明的某些實施方式中的加密的消息和加密/解密密鑰的列表，具體地，該內容已如圖13A所示被過擾。
具體實施例方式
下面將參考附圖對本發明做更全面的描述，在附圖中示出了本發明的各種示例性實施方式。但是，本發明可以以不同形式體現，且不應當理解為限制于在此所公開的實施方式；相反，提供這些實施方式是為了使得本公開全面和完整，且可以向本領域技術人員表達本發明的范圍。同樣，出于解釋的目的，在以下描述中提出了各種具體細節以提供對本發明的全面理解。但是對本領域技術人員來說很明顯的是，本發明可以在沒有這些具體細節的情況下被實施。在其它情形中，公知結構和設備以框圖的形式示出以避免不必要地使本發明晦澀。 本說明書中引用"一種實施方式"或"一個實施方式"是指結合實施方式描述的特定特征、結構或特性包括在本發明的至少一個實施方式中。因此，本說明書不同地方出現的短語"在一種實施方式中"或"在一個實施方式中"不是都必須涉及相同的實施方式。此外，在一種或多種實施方式中，可以以任何合適的方式結合特定特征、結構或特性。
本發明提供用于數字媒體內容的條件訪問和保護的系統、方法和設備。本發明的實施方式提供用于管理在一個或多個條件訪問(CA)和/或數字權限管理(DRM)系統的保護下的數字權限的方法。根據一些實施方式，提供用于橋接數字媒體分配和存儲系統中的多個DRM系統的系統和方法，該系統和方法提供了多個DRM系統之間的通信，使得由原始DRM系統加密的媒體內容可以由第二 DRM系統來評估。媒體內容通常由原始DRM系統的加密算法來保護，且該加密反映了原始DRM系統施加給媒體的某些權限或許可。DRM系統之間的通信向第二 DRM系統提供了訪問，使得通過經過兩個DRM系統之間的橋或邊界，媒體內容的原始權限或許可可基于在橋轉換時適用的條款或條件而被轉換成第二DRM系統的新的權限和許可。但是，DRM橋經常需要能夠在條款和條件發生改變的情況下隨時間進一步更新第二 DRM系統內容許可。 一個示例是只要保持原始CA訂閱，則CA系統批準所記錄的在第二DRM系統保護下的媒體內容的重放。在該情況中，DRM橋發布的原始許可可能不允許任何重放權限。該過程包括第二DRM系統向DRM橋請求更新后的批準重放的許可。另一個示例可以是一旦內容已經被觀看，則CA系統有可能追售(up-sell)在一段內容上執行某種操作的權限(即，追售將內容燒錄到可記錄DVD的權限)。過橋控制(control acrossbridge)允許原始DRM系統無縫分配媒體內容到第二 DRM系統，而不用將內容暴露給未批準的使用。過橋控制還允許第二 DRM系統的客戶端無縫訪問例如升級權限或許可、原始DRM系統提供的媒體內容。在某些實施方式中，經過橋的媒體內容由兩個DRM系統保護，其中原始DRM系統提供媒體內容的舊權限和許可，而第二DRM系統提供對該權限和許可的可升級訪問。
現在參考圖5-圖14C，詳細描述了本發明的各種實施方式。圖5A-圖5D示出了示例性環境，其中本發明的一些實施方式可以被實施。在圖5A中，描繪了兩個示例性數字權限管理(DRM)系統522和534的示意性表示。每個DRM系統從符號上由加密密鑰和解密密鑰來表示。更具體地，DRM系統522包括加密密鑰524和528以及它們分別對應的解密密鑰526和530， DRM系統534包括加密密鑰536和540以及它們分別對應的解密密鑰538和542。在有線TV廣播的情況中，第一對加密和解密密鑰(例如，524和526)表示服務密鑰(SK)，第二對(例如，528和530)表示控制字(CW)。控制字用于對數字媒體內容進行加擾和/或解擾。在一些實施方式中，對稱密鑰加密技術可以用于一些任務或功能。在這種情況中，一對或多對加密和解密密鑰可以是彼此相同或等同(從計算的角度)。例如，如果對稱密鑰加密技術用于DRM系統522中以對數字媒體內容進行加擾，則密鑰528和530基本相同。在一些情況中，加密密鑰528可以從解密密鑰530中導出，但是反之不成立。在一些實施方式中，使用對稱密鑰加密技術完成內容加密(例如，使用控制字對媒體內容進行加擾)以及使用非對稱密鑰加密技術完成密鑰加密(例如，使用服務密鑰加密控制字)。通常，基于對稱密鑰加密技術的加密/解密方案從計算上將比使用非對稱密鑰加密技術花費更少。
圖5A還示出了數字媒體內容532，其可以在第一 DRM系統522或第二 DRM系統534或這兩者的保護下。這兩個DRM系統可以用于同時或可替換地不同時或在遞送和處理的不同階段保護數字媒體。例如，數字媒體所有者(例如，電影制片廠)和媒體分配服務(例如，有線網絡公司)可以針對相同的數字媒體、或相同數字媒體的不同部分，使用不同且分開的DRM系統(例如，522和534)。例如，圖4A和圖4B中已示出了這一情形。在圖5A所示的示例中，從例如條件訪問服務器(圖中未示出)遞送的數字媒體532首先可以由第一 DRM系統522保護，該第一 DRM系統522可以由例如與有線公司相關聯的CA服務器管理。為了播放遞送的內容或獲得還沒接收的附加權限，用戶可能需要從CA系統522和DRM系統534獲得合適的訪問準許。假定現在已經播放了數字媒體內容且被存儲用于以后觀看。該存儲的內容可以置于第二 DRM系統534的保護下，該第二 DRM系統534可以例如由對所存儲的數字媒體的部分或全部享有版權的電影制片廠來管理，或者由某種內容管理設備或軟件來管理。在某些實施方式中，所存儲的內容仍然可以由第一DRM系統522與第二系統534 —起來保護。在某些實施方式中，在媒體遞送、處理、播放以及存儲過程期間的某個時間點，可以移去第一 DRM系統522的保護且所存儲的數字媒體532只由第二 DRM系統534來保護。在這種類型的應用中，第一 DRM系統522將被認為是更"全局"的(例如，更接近數字媒體的分配者)，而第二 DRM系統534將為認為是更"本地"的(例如，更接近數字媒體的消費者)。 圖5B-圖5D進一步結合不同的示例示出了這一情形。這些圖示出了示例性環境，其中兩個DRM/CA系統用于保護如圖5A中示例的與數字媒體相關聯的數字權限。每幅圖的中間所示的橋將系統分成兩個區。在左手側，媒體由CA/DRM系統保護，而在右手側，媒體在不同DRM系統的保護下。橋一般包括CA客戶端(或第一 DRM系統的DRM客戶端)和DRM服務器(用于第二 DRM系統)；CA客戶端是相對于CA服務器的客戶端，而DRM服務器是相對于第二 DRM客戶端的服務器。第一 DRM系統(S卩，圖中左手側的CA服務器)和第二 DRM系統可以分別與圖5A的控制字528/530和540/542相關聯。應當注意的是，每個DRM系統可以與多于一個(對)的控制字(和/或多于一個的服務密鑰)相關聯，即使在圖中沒有明確顯示。如之前所述，在例如在有線TV廣播中使用的一些系統中，控制字的典型壽命是0. 1秒或1秒的數量級。在參考圖5B-圖5D，每幅圖的中間示出了 DRM橋556。在橋的左手側，數字媒體從CA服務器522被遞送。在右手側，客戶端(例如，與DRM客戶端560相關聯)使用數字媒體。圖5B示出了數字媒體內容由CA服務器552a遞送并由同一個CA服務器進一步保護的情形。媒體被存儲在橋的左手側的存儲裝置554a上，例如機頂盒、計算機、媒體娛樂系統或其它數據處理系統。在該特定情形中，第二或"本地"DRM系統(圖中表示為DRM客戶端560a)依靠CA服務器552a執行數字權限，該數字權限包括與存儲裝置相關的數字權限和與來自DRM橋的下行流的其它內容操作相關的數字權限。如果初始權限和許可在橋操作期間超出提供的權限和許可，則DRM客戶端可能需要聯系CA服務器以訪問媒體。在圖5C中，在另一方面，從CA服務器552b遞送的媒體內容存儲在橋556右手側的存儲裝置上，例如個人計算機。應當注意的是，橋一般包括DRM服務器和CA客戶端。在這些示例中，橋556擔當右手側(例如，消費者側)的保護數字媒體的"本地'T)RM服務器的角色。在這種情形中，本地DRM系統(例如，橋556)執行用于存儲在存儲裝置558b中的媒體內容的數字權限保護。但是，為了使CA服務器保持對媒體的控制，使用來自CA規則的某些權限和許可對媒體進行加密，所述權限和許可可以在DRM客戶端請求時被升級。圖5D示出了另一個示例，其中數字媒體內容被存儲在多于一個的設備上。例如，存儲裝置554c可以是個人計算機或DVR(數字視頻錄制器)，且存儲裝置558c可以是移動設備。那么橋556可以是執行數字權限保護的"同步"機構的一部分。在該示例中，媒體內容首先由CA服務器552c遞送，存儲在554c中并進一步由同一個CA系統(或由不同DRM系統)來保護。當用戶將媒體內容"拷貝"到在"本地"側的其它DRM系統的保護下的不同設備/存儲裝置558c時，橋556會參與其中。之后媒體根據合適的權限可以"本地"被播放或使用而不需要訪問原始DRM或CA服務器(例如，552c)。在DRM客戶端向合適的DRM服務器系統請求下，該合適的權限可以被升級。 當數字媒體從一個DRM系統被傳遞到另一個DRM系統時，可以使用來自 一個DRM系統(例如，552)的密鑰對該媒體(及其相關密鑰)進行解擾/解密，且使用來自下一個DRM系統(例如，556和560)對該媒體(及其相關密鑰)進行重新加擾/加密。在圖5B-圖5D中所示的示例中，在第一 DRM系統和/或CA服務器保護下的媒體被再次解擾和加擾以用于下一個DRM系統(例如，在橋556中)。 當媒體經過不同DRM系統的邊界時，舊的權限和許可基于在交易處理時有效的條款和條件被轉換成用于本地DRM的等效權限和許可。因此本發明提供用于本地DRM客戶端聯系原始DRM以在之后升級媒體的權限或許可的裝置和方法。下面參考圖6-圖14，描述了本發明的不同示例性實施方式， 一些實施方式在橋處或橋附近解決升級的問題。下面在兩個DRM系統的環境中描述示例。但是對本領域技術人員很明顯的是，本發明的實施方式可以使用多于兩個的系統來實施，以進行數字權限保護。 現在參考下圖，圖中示出了本發明的某些實施方式的不同方面。圖6示出了本發明的一個示例性實施方式，包括兩個DRM系統10和18。該圖示出了原始DRM系統IO(包括
19CA服務器11和CA客戶端12)通過橋14提供媒體內容給第二 DRM系統18 (包括DRM服務器13、存儲裝置15、DRM客戶端16以及用于DRM客戶端的顯示器17)。橋14位于兩個DRM系統之間，且該橋14包括CA客戶端12和DRM服務器13。在該實施方式中，在本地DRM系統的控制下，媒體內容從CA服務器11被遞送，經過橋14，被存儲在存儲裝置15上。該橋可以是超擾橋、轉擾橋、公共加擾橋、同密橋或過擾橋。 一旦被存儲，則媒體內容處于本地DRM系統的保護下，且由此不再受到CA服務器ll的控制。在一個實施方式中，本發明定義一種方法，該方法用于一旦CA系統橋接到本地DRM，則CA系統將內容再利用。例如，CA媒體內容可以包括各種CA規則，例如瀏覽者可以記錄內容，但是瀏覽者在嘗試從所記錄的內容重放時必須被認證具有當前訂閱。另一個CA規則可以是瀏覽者可以記錄一次且可以免費觀看，且只有在支付了每份額外拷貝的預定數量金錢(例如，$3.99)的情況下，方可制作一份拷貝。其它CA規則可以是瀏覽者可以記錄一次，但是只能在支付觀看內容的預定數量金錢后才可進行重放。其它CA規則可以是瀏覽者可以記錄一次并可以播放例如30天，且如果支付預定數量金錢(例如，$3.99)則可以延續瀏覽時間(例如，超過30天無限制使用)。還有另外的CA規則可以是瀏覽者可以記錄一次并可以在特定地點播放，例如客廳，但是只有在支付預定數量金錢(例如，$3. 99)后才可以在其它地點例如臥室播放。
在某些實施方式中，本發明解決了 DRM系統如何被CA系統授權以更新已經遞送的數據內容片段的權限和許可的問題。具體地，橋需要將附加數據(例如，許可更新(renewal)數據)包含到原始DRM許可中，使得一旦請求許可更新，該數據可以用于將交易與CA服務器相協調，并更新適用于已經遞送的媒體內容片段的許可。升級權限和許可還可以是指為不具有任何之前的權限或許可的媒體內容提供新的權限和許可。
在某些實施方式中，本發明公開了能夠在原始第二DRM許可已經被發布后但仍處于原始CA服務器或DRM系統控制下時，修改或升級該原始第二 DRM許可的方法。CA媒體內容一般與原始第二 DRM許可一起被存儲在DRM客戶端上。內容和許可通過使用公共索引而相互關聯。該索引可以是附于內容和許可的指示符或數字(例如，訂戶ID和事件ID)，且由此可以有效識別媒體的內容和許可。索引可用于尋找用于對內容進行解密的DRM許可。
當在橋中的第二DRM服務器創建了原始第二DRM許可時，其還添加了許可更新數據。在一些實施方式中，許可更新數據是原始第二DRM許可的一部分。在一些其它實施方式中，所述數據包括用密碼加密地(cryptogr即hically)與原始第二 DRM許可和加密內容相關的獨立對象。許可更新數據然后與原始第二 DRM許可和加擾后的內容一起被存儲在DRM客戶端。許可更新數據可以包括訂戶ID、事件ID以及服務密鑰。第二DRM客戶端可以將加密的許可更新數據通過第二 DRM升級服務器傳遞回CA服務器，以獲得新的權限。DRM客戶端還可以將加密的許可更新數據通過橋中的DRM服務器傳遞回CA服務器。
在媒體傳送的橋接方案中，本發明的至少一些實施方式還提供用于在更新的權限需要新交易時整理賬單以及甚至在第二DRM客戶端崩潰且可能丟失一些許可的情況下恢復內容的方案。 圖7A示出了本發明的一個實施方式，其中來自CA服務器ll的媒體內容在DRM客戶端16的控制下通過橋14傳遞，并被存儲在存儲裝置15中。該示例性方法包括第二 DRM系統，該系統用于聯系CA系統以獲得針對已記錄媒體內容的新權限或許可。圖7A示出了第二DRM客戶端升級媒體內容的權限或許可的通信路徑的實施方式，所述通信路徑包括第二 DRM客戶端16與橋14中的DRM服務器13之間的通信路徑21 ;DRM服務器13與CA客戶端12之間的穿過橋14的通信路徑22 ;CA客戶端12與CA服務器11之間的通信路徑23 ;以及CA客戶端12和CA賬單服務器20之間的備用通信路徑23' 。 CA賬單服務器20可以是CA升級服務器，用于升級CA系統的權限或許可。在一個實施方式中，為了升級媒體的權限或許可，DRM客戶端16聯系CA服務器11或CA賬單服務器20，以接收升級響應。CA服務器11是發送媒體的服務器，而CA賬單服務器是另一個CA服務器，負責從CA服務器交易中征收許可金或付款。CA服務器與CA賬單服務器之間的連接沒有示出。用于請求的典型連接路徑包括從DRM客戶端16通過通信路徑21將請求發送到DRM服務器；然后DRM服務器通過橋14的重構將該請求傳遞到CA客戶端12 (路徑22);以及CA客戶端12之后通過通信路徑23將請求傳遞到CA服務器11或通過通信路徑23'將請求傳遞到CA賬單服務器20。 DRM客戶端然后通過相反路徑接收用于升級媒體內容的響應。在一些實施方式中，CA客戶端可能已從CA服務器優先接收授權，以更新第二 DRM許可，且由此不要使用通信路徑23和23，。 圖7B示出了本發明的另一個實施方式。該示例性方法包括DRM系統聯系DRM升級服務器19，該DRM升級服務器19之后聯系CA賬單服務器20或CA服務器11以獲得媒體內容的新權限或許可。圖7B示出了用于DRM客戶端升級媒體內容的權限或許可的各種通信路徑的實施方式，包括DRM客戶端16與DRM升級服務器19之間的通信路徑25以及DRM升級服務器19與CA賬單服務器20之間的通信路徑26。可替換地，通信路徑26可以被DRM升級服務器19與CA服務器11之間的通信路徑26'替換。在一個實施方式中，DRM升級服務器19被設置用于根據來自DRM客戶端16的請求來升級媒體的權限或許可。DRM客戶端16之后可以通過DRM升級服務器19聯系CA服務器11或CA賬單服務器20，以請求升級媒體內容。用于請求的典型連接路徑包括請求從DRM客戶端16通過通信路徑25發送到DRM升級服務器19 ;然后DRM升級服務器19通過通信路徑26'將請求傳遞到CA服務器11或通過通信路徑26將請求傳遞到CA賬單服務器20。 DRM客戶端然后通過相反路徑(例如，路徑26到路徑25、或路徑26'到路徑25)接收用于升級媒體內容的響應。該相反路徑不必與前向路徑相同。例如，響應可以通過不同的返回路徑(例如，圖7A中所示的返回路徑)而被發送。該不同的返回路徑可以是從CA服務器11或CA賬單服務器20分別到CA客戶端12的路徑23*或23** ;然后從CA客戶端12通過橋14到第二 DRM服務器13的路徑22* ;以及最后從第二 DRM服務器13到第二 DRM客戶端16的路徑21*。該實施方式通過使用DRM升級服務器和/或CA賬單服務器，簡化了升級通信。在至少某些實施方式中，DRM升級服務器19聯系CA賬單服務器20或CA服務器11以用于升級，且這可以使CA賬單服務器20與CA服務器11彼此通信，以例如同步其關于媒體升級的信息(例如升級類型、所升級的賬戶和媒體等)。在一些實施方式中，DRM升級可能已從CA服務器或CA賬單服務器優選接收到的授權，以用于更新DRM許可，且由此不用使用通信路徑26、26'或返回路徑21*、22*、23*或23**。 圖7C示出了本發明的另一個實施方式。該示例性方法提供用于DRM客戶端16聯系DRM升級服務器19的可替換通信路徑。該可替換通信路徑包括用于DRM客戶端16與DRM服務器13的路徑21以及用于DRM服務器13到DRM升級服務器19的路徑27' 。 DRM升級服務器與CA系統的通信可以通過以上圖7B所示的路徑26或26'傳遞。此外，返回路徑可以是相反路徑，即沿著前向通信路徑返回。返回路徑可以是不同的路徑，例如以上圖7B中所示的路徑23*/23**、22*以及21*。 圖8示出了本發明用于多個DRM系統的另一個實施方式。該示例性的多個DRM系統包括原始CA系統10，通過橋14傳遞到第二 DRM系統18，然后通過橋41傳遞到第三DRM系統48。從原始CA服務器11生成的媒體內容可以通過橋14傳遞，以存儲在存儲裝置15中，或還可以通過橋41傳輸，以存儲在存儲裝置42中。DRM客戶端16或DRM客戶端43可以聯系原始CA系統以請求所述媒體內容。通常，需要許可更新來對橋交易進行授權，因此存儲在存儲裝置15中的來自DRM客戶端16的媒體內容需要來自原始CA系統10的準許或許可，方能夠經過橋41到達DRM客戶端34。在一種實施方式中，DRM客戶端16可能需要修改原始第二 DRM許可，以授權到第三DRM系統的橋操作。 圖9-圖10中以流程圖的方式示出了根據本發明的實施方式的各種示例性方法。圖9示出了根據本發明的實施方式的總過程。流程圖示出了可能由兩個分開的DRM實體(原始DRM服務器和第二DRM服務器/客戶端)執行的三個操作。根據流程圖中所示的過程，在30，原始DRM服務器發送具有原始權限和/或許可的媒體內容經過原始DRM/第二 DRM的橋到第二DRM客戶端。在31，經過橋，以允許第二DRM服務器升級原始許可或發布新權限(優選地，在原始DRM系統的準許的情況下)的方式，轉換媒體內容與原始權限和許可。轉換后的權限或許可可以包括用于識別媒體所有者和類型的信息，以允許原始DRM記錄并授權升級請求。進一步信息(例如，許可更新數據)可以被添加到所獲取的內容，以輔助升級過程，例如與原始交易相協調以幫助原始DRM找到原始許可。原始DRM系統或第二 DRM系統可以保證附加數據的安全。許可更新數據可以被包含在許可中，或可以用密碼加密地與許可關聯。許可更新數據可以包括訂戶標識數據、事件標識數據、時間戳、設備標識數據、更新可追溯數據(renewal traceability data)、恢復數據。許可更新數據還可以包括加密的內容密鑰。 第二DRM服務器可以執行的升級服務可以包括延長許可的有效期、啟用新權限(例如，另外拷貝)、啟用新輸出(例如，另外橋接)、啟用對另一個機器的所有許可的移動操作或恢復。第二升級服務器的操作可以是靜默的(silent)或者需要用戶對話(userdialog)。在示例性的靜默操作中，升級服務器可以獲取所存儲的信息(例如，付費類型)，并在沒有客戶對話的情況下執行升級。在示例性的對話操作中，升級服務器給客戶提示對話，并接收用于執行請求所需的信息。 在32，第二 DRM客戶端然后請求新權限或許可，例如如圖7A-7C所示。該請求然后被發送到原始DRM服務器，且在處理后，原始DRM發送響應。該響應被處理，以使得第二DRM根據請求來升級媒體內容。在一些實施方式中，請求包括媒體基準(reference)、舊的請求或許可以及新請求的權限或許可。在某些情況中，請求包括許可更新數據，該許可更新數據被包含在原始許可中，或與原始許可相關聯。在一些實施方式中，所傳送的響應包括對媒體內容的新權限或許可。 在一些方面，原始許可在被修改之前被提取并被發回到原始DRM系統。第二DRM
服務器在接收到來自原始DRM系統的授權時，可以提取服務或內容密鑰，然后使用相同的
內容密鑰(但是具有新的權限)來生成用于第二DRM客戶端的新的許可。 參考圖IOA，該流程圖示出了根據本發明的實施方式的用于升級數字媒體內容的示例性過程。如之前所述，該示例性方法是在使用兩個數字權限管理(DRM)系統(流程圖中標注為"原始"和"第二")來保護數字媒體的環境中來描述的。該圖中所示的示例性過程起始于50，第二 DRM客戶端發送對媒體內容的新權限或許可的請求。該請求可以包括在許可創建時由橋準備的具有許可更新數據的原始第二DRM許可。第二DRM服務器接收所述請求，并在51，經過橋將該請求傳送到原始DRM客戶端。橋可以被重建，以通過其發送消息。在一個實施方式中，在52A，原始DRM客戶端接收請求，并將該請求傳送到原始DRM服務器，在53A，該DRM服務器然后處理該請求，并將響應傳送到原始DRM客戶端。該響應可以包括新權限或許可以及更新后的許可更新數據集。在一個可替換實施方式中，在52B，原始DRM客戶端傳送請求到原始DRM賬單服務器，在53B，該原始DRM賬單服務器然后處理該請求，并傳送響應到原始DRM客戶端。原始DRM服務器典型地是經過橋發送媒體內容到第二 DRM客戶端的服務器。原始DRM賬單服務器是用于原始DRM系統的服務器，其不是發送媒體內容的服務器，而是被設計用于處理賬單需要的特殊服務器。在54，原始DRM客戶端然后經過橋將響應傳送到第二 DRM服務器，在55，該第二 DRM服務器然后傳送響應到第二 DRM客戶端。因此響應于該請求(在50)，在56，第二 DRM客戶端接收與對媒體內容的新權限或許可的請求相對應的響應。在該示例性過程中，原始DRM服務器或原始DRM賬單服務器作為升級服務器，認證請求并將授權(升級后的許可或新權限)傳送到第二DRM客戶端。
參考圖IOB，流程圖示出了根據本發明的一個實施方式的用于升級數字媒體內容的另一示例性過程。該圖中所示的示例性過程起始于60，第二 DRM客戶端向第二 DRM升級服務器發送對媒體內容的新權限或許可的請求。升級服務器是用于第二DRM系統的分開的服務器，且被設計成處理升級請求。通過升級服務器，該請求不需要通過橋。第二DRM升級服務器可以在61A傳送請求到原始DRM賬單服務器，或可以在61B傳送請求到原始DRM服務器，且原始DRM賬單服務器和原始DRM服務器分別在62C或62D用響應答復升級服務器。在63B，升級服務器然后將響應傳送到第二客戶端。由此響應于60中的請求，第二DRM客戶端在65接收對應于對媒體內容的新權限或許可的請求的響應。 可替換地，代替沿著請求路徑往回追蹤響應，原始DRM賬單服務器從61A或原始DRM服務器從61B可以分別在62A或62B回復橋中的原始DRM客戶端。橋中的原始DRM客戶端然后可以在63A經過橋將響應傳送到第二 DRM服務器，第二 DRM服務器然后可以在64將響應傳送到第二 DRM客戶端。由此響應于60中的請求，第二 DRM客戶端在65接收對應于對媒體內容的新權限或許可的請求的響應。 參考圖IOC，流程圖示出了根據本發明的一個實施方式的用于升級數字媒體內容的另一個示例性過程。該圖所示的示例性過程起始于70，第二 DRM客戶端發送對媒體內容的新權限或許可的請求到第二 DRM服務器。第二 DRM服務器接收該請求，并在71，將該請求傳送到第二 DRM升級服務器。第二 DRM升級服務器可以在72A將該請求傳送到原始DRM賬單服務器，或在72B將請求傳送到原始DRM服務器，原始DRM賬單服務器和原始DRM服務器分別在73C或73D用響應答復升級服務器。在74B，升級服務器然后將該響應傳送到第二DRM服務器。在75，第二DRM服務器然后將該響應傳送到第二DRM客戶端。由此，響應于70中的請求，第二 DRM客戶端在76接收與對媒體內容的新權限或許可的請求相對應的響應。
可替換地，代替沿著請求路徑往回追蹤響應，原始DRM賬單服務器從72A或原始DRM服務器從72B可以分別在73A或73B答復橋中的原始DRM客戶端。在74A，橋中的原始DRM客戶端然后可以經過橋將響應傳送到第二 DRM服務器，之后在75，第二 DRM服務器將該響應傳送到第二 DRM客戶端。由此響應于70中的請求，第二 DRM客戶端在76接收與對媒體內容的新權限或許可的請求相對應的響應。 現在參考附圖，圖ll示出了示例性環境，其中本發明的一些實施方式可以被實施。更具體地，該圖示出了網絡系統，該系統具有兩個安全系統源444和450 (其分別具有其自身的條件訪問服務器446和448)以及兩個DRM系統492和494。該圖還包括各種客戶端454、458、462、472、484以及488。在本發明的一種實施方式中，這些各種組件連接到網絡442，例如局域網(LAN)或無線LAN。網絡442可以部分的是業務用戶的家用有線以太網，具有一個或多個用于移動設備的無線接入點，這些移動設備例如是個人數字助理(PDA)、掌上計算機、筆記本電腦或手機(例如，通過WiFi或藍牙連接而連接到網絡)。例如，在圖11中，PDA 482通過無線連接而連接到接入點480，且還通過網絡442連接到其它組件。網絡還可以是用于組織或商業機構(例如，酒店或汽車旅館連鎖店)的網絡，例如內網或虛擬個人網絡。 在圖11中，數字權限管理(DRM)服務器494與有線TV服務一起使用。有線條件訪問(CA)服務器448與電纜頭端450耦合，以通過有線電視傳輸系統提供受CA保護的媒體內容給可包括有線TV調諧器的有線TV橋(例如，454和456)。有線TV機頂盒(STB)接收數據分組，并對授權管理消息(E匪)、授權控制消息(ECM)以及加擾后的媒體內容進行解復用。在DRM服務器494的控制和保護下，媒體內容可安全位于存儲裝置(例如，456，458，484)上，以供可以重放媒體內容的各種設備(例如，個人計算機484、媒體播放器488或PDA482)進行訪問。個人計算機484 —般在顯示設備486上顯示視頻內容，顯示設備486例如是陰極射線管(CRT)監視器、液晶顯示(LCD)板或等離子顯示板。媒體播放器488可以在電視490上呈現媒體內容。媒體播放器還可以與電視集成以形成網絡就緒(network-ready)數字電視。 在一種實施方式中，DRM服務器494提供解擾/解密有線TV廣播的服務。解密/解擾后的信息進一步由DRM系統保護，使得來自有線TV系統的廣播中的媒體內容可以以授權的方式被使用。當被授權時，根據訂戶的權限，用戶可以很方便地在任意時間在任意設備上記錄并重放內容。例如，只訂閱一個同時使用，用戶可以選擇使用有線TV機頂盒454來接收廣播并在TV452上觀看節目，或使用有線TV機頂盒456來將節目記錄到相關存儲裝置上，以用于例如使用PDA482、個人計算機484或媒體播放器488在不同時間重放該節目。在一些實施方式中，通過使用與DRM系統494相關聯的加密密鑰來對數據進行加密，以保護媒體內容和/或相關密鑰。 在圖11中，使用了與衛星TV機頂盒C 462和衛星TV機頂盒D 472相關聯的另一個DRM系統492。 DRM服務器492可以將所保護的媒體內容存儲在其存儲裝置上，或存儲在網絡上的其它存儲裝置上，例如個人計算機484上的存儲裝置或存儲裝置458。 一般而言，衛星444廣播受保護的媒體內容到地理區域。單獨的圓盤式衛星電視天線(例如，460和470)用于不同的衛星機頂盒(例如，分別是462和472)。 一般而言，為了同時訪問兩個不同的頻道，使用兩個機頂盒。衛星機頂盒相互獨立。衛星向兩個機頂盒廣播，就像機頂盒用于兩個不同的訂戶那樣。在本發明的某些實施方式中，一個DRM服務器(例如，492)用于管理與多個機頂盒(例如，462和472)相關聯的數字權限。
24
在一個實施方式中， 一個或多個DRM服務器被用于保護初始由一個或多個服務器 (例如，CA服務器)遞送的數字媒體，這需要在DRM系統之間設置橋，以在兩個DRM系統中 執行數字權限管理時，簡化內容管理。在本發明的一種實施方式中，多個DRM服務器在物理 位置上處于一個數據處理設備中，該數據處理設備具有用于處理不同CA系統的消息的不 同軟件和智能卡。另外，DRM服務器可以與橋、存儲裝置(例如，PDA 482、個人計算機484、 媒體播放器488)或其組合相集成。例如，DRM系統492可以與衛星TV CA服務器446 —起 使用，該DRM系統492可以包括用于記錄媒體內容的存儲裝置、圓盤式衛星電視天線和顯示 裝置之間的接口 ，該接口用于將媒體內容解碼成標準視頻信號(用于電視和/或電腦監視 器)。 圖12示出了數據處理系統的典型"架構"，其可以與本發明的不同實施方式一起 使用。例如，該圖中示出的系統可以表示根據一個實施方式的示例性橋的實施。或者，其可 以表示示例性DRM服務器。本領域技術人員可以理解的是，本發明可以被體現為方法、數據 處理系統或程序產品。因此，本發明可以采用全部硬件實施方式的形式、全部軟件實施方式 的形式或結合軟件和硬件方面的實施方式的形式。此外，本發明可以采用計算機可讀存儲 介質上的計算機程序產品的形式，所述介質收錄有計算機可讀程序代碼工具。任意合適的 存儲介質均可以被利用，例如硬盤、CD-R0M、 DVD-ROM、光存儲設備或磁存儲設備。因此，本 發明的范圍應當由所附權利要求及其法律等同物來確定，而不是由給定的示例來確定。注 意，雖然圖12示出了數據處理系統的各種組件，但是該圖并不意味著代表互連組件的所有 特定架構或方式，這些細節并不與本發明密切相關。還可以理解的是，本發明還可以使用網 絡計算機和其它數據處理系統(例如，移動電話、個人數字助理、媒體播放器等)，其具有更 少組件或可能具有更多組件。 如圖12所示，作為數據處理系統的一種形式的計算機系統包括與微處理器504、 存儲器506 (例如ROM(只讀存儲器)和易失性RAM)以及非易失性存儲設備508耦合的總 線502。在某些實施方式中，存儲設備可以用于存儲數字媒體內容。系統總線502將這些不 同組件互連在一起，并且還將這些組件504、506以及508連接到顯示控制器510和顯示設 備512，并連接到外圍設備，例如輸入/輸出(I/O)設備516和518，其可以是鼠標、鍵盤、調 制解調器、網絡接口 、打印機以及其它本領域公知的設備。 一般來說，I/O設備516和518通 過一個或多個I/O控制器514耦合到系統。易失性RAM(隨機存取存儲器)506 —般被實施 為動態RAM (DRAM)，其需要持續供電以刷新或保持存儲器中的數據。大容量存儲裝置508通 常是磁性硬盤驅動器、磁性光盤驅動器、光驅、DVD ROM或其它類型的存儲系統，其甚至在從 系統移除電能后仍然可以保存數據(例如，大量數據)。 一般而言，盡管不需要，大容量存儲 裝置508還可以是隨機存取存儲器。雖然圖12示出了大容量存儲裝置508是與數據處理 系統中的其它組件直接耦合的本地設備，但是應當理解的是，本發明可以使用遠離系統的 非易失性存儲器，例如網絡存儲設備，其通過諸如調制解調器或以太網接口的網絡接口 518 與數據處理系統耦合。總線502可以包括通過各種橋、控制器和/或適配器彼此連接的一個 或多個總線，這為本領域所公知。在一種實施方式中，I/O控制器514包括USB (通用串行總 線)適配器，用于控制USB外圍設備；以及IEEE 1394(S卩"火線")控制器，用于兼容IEEE 1394的外圍設備。顯示控制器510可以包括另外的處理器，例如GPU(圖形處理單元)，且 其可以控制一個或多個顯示設備512。顯示控制器510可以具有其自身的板載存儲器。
25
從描述中可以很清楚的了解，本發明的各方面可以至少部分用軟件來實現。也就 是說，這些技術可以在計算機系統或其它數據處理系統中被執行以響應于其處理器(例 如，微處理器)執行包含在存儲器中的指令序列，這些存儲器例如是ROM或RAM 506、大容 量存儲裝置508或遠程存儲設備。在不同的實施方式中，硬線電路可以結合軟件指令來使 用，以實施本發明。因此，這些技術不限于硬件電路和軟件的任意特定結合、或數據處理器 系統執行的指令的特別的源。此外，縱覽全文，各種功能和操作均可以被描述為由軟件編碼 執行或導致，以簡化描述。但是，本領域技術人員應當理解，此類表達的意思是處理器(例 如，CPU單元504)執行代碼所產生的功能。 根據本發明，在DRM系統之間存在各種橋接方案。圖13A示出了稱為轉擾的橋。轉 擾是基于硬件的方法，用于改變兩個不同DRM系統之間的數字媒體保護。該變換完全在通 用安全硬件設備(例如，在單個集成電路芯片中)內發生，該通用安全硬件設備被示意性表 示為圖中的矩形框302。最初使用控制字310( "CWA")對數字媒體內容308加擾，還使用 服務密鑰("SKA")對控制字310進行加密。內容和控制字都在第一DRM系統(圖中未明 確示出)的保護下。 一旦內容308被輸入到轉擾芯片302，則在304使用(解密后的)控制 字310首先對該內容308進行解擾，在306使用第二 DRM系統(未明確示出)的(解密后 的)控制字314("CW B")對該內容308重新加擾。注意，控制字314在第二DRM系統的保 護下，如圖中所示，事實上是使用來自第二DRM系統的服務密鑰("SK B")對控制字314進 行加密。重新加擾后的內容312然后被傳輸出變換單元302，以用于進一步的處理或存儲。 由于DRM橋接發生在單個芯片內，因此該方法被認為是相對安全的。在一些設計中，芯片被 制成"不透明"的，且被保護以使其免受使用各種工具的反向工程的侵害。但是，這種方案 很昂貴，這是因為其需要制造具有特定專用功能的集成芯片。該方案還缺乏靈活性，這是因 為硬件設計是不容易改變的。 圖13B示出了稱為超擾的橋。超擾是指使用多個DRM系統的控制字對數字媒體內 容進行遞歸(recursive)或重復加擾的技術。該圖示出了具有兩個控制字的示例性超擾過 程，每個控制字來自不同的DRM和/或CA系統。更具體地，該圖示出了使用兩個控制字334 和346對媒體內容332進行超擾的過程。控制字334和服務密鑰338 (例如，"本地"密鑰) 與一個DRM系統(例如，"內部"或"本地"系統)相關聯，而控制字346和服務密鑰350(例 如，"全局"密鑰)與另一個DRM系統(例如，"外部"或"全局"系統)相關聯。在336，使用 第一控制字334首先對數字媒體內容332進行加密或加擾，并產生加擾后的內容342。同樣 地，在340，使用服務密鑰338對控制字334進行加密，且創建ECM 344。在348，然后使用第 二控制字346對這對加密的數據再次加密。這生成雙擾后(或"超擾后")的內容354，其 在圖中示意性顯示為包括第一加擾后的媒體內容342和第一ECM 344。在352，還使用第二 服務密鑰350對第二控制字346進行加密，且創建新的ECM356。然后，這對加密的數據354 和356例如通過與圖4B中所示類似的分配路徑而被遞送到客戶端。由于在該示例中數字 媒體內容是被雙擾的，因此在傳輸過程中(例如，在第一和第二DRM系統之間傳遞時)內容 不會以清晰的形式暴露。特別地，當外部加密層(例如，由圖13B中加擾后的內容354中的 控制字346表示)被移走時，內容仍然由第一DRM系統保護，即被表示為使用控制字334對 內容342進行加密。但是應當注意，該現有技術中的方法需要兩個DRM系統存在于源(例 如，服務器)和接收器(例如，客戶端設備)處。該方法在許多實際應用可能是不可行的，
26尤其在"全局"密鑰在第二 (例如，"內部")DRM系統上是不可獲得的情況下。
接下來參考圖13C示出了稱為同密的另一種橋。同密是用于以多種方式例如使用 多個密鑰對數據進行加密的方法，使得可以使用任意對應的解密密鑰對內容進行解密。在 圖中所示的以有線電視內容遞送為環境進行描述的示例中，使用控制字390對數字媒體內 容396進行加擾，該控制字390以兩個可替換方法被加密。也就是說，使用兩個不同服務密 鑰對控制字390進行加密，即圖中所示的兩個不同ECM 382和384。因此，從ECM 382或ECM 384中可以獲得解密密鑰390，且可訪問ECM 382或384的客戶端可以通過在386解密ECM 382或在388解密ECM 384來恢復控制字390。如圖中所示， 一旦控制字390被恢復，則在 394可以對加密的內容392進行解擾，以獲得清晰的內容396。 圖13D示出了稱為公共加擾的橋在相對的CA或DRM系統共享相同的內容加擾/ 加密算法時如何簡化"橋接"過程。在圖中所示的示例中，在橋422處使用了兩個DRM系統 (表示為'A'和'B')以管理與數字媒體相關聯的數字權限。兩個DRM系統使用系統的加擾 算法，尤其是相同的控制字420。在具有合適的準許(例如，第一DRM系統的服務密鑰414) 的情況下，可以從ECM 416恢復控制字420。在橋422處，不使用控制字420對內容418a 進行解擾，而是照原樣輸出，即與圖中右手側示出的加擾后的內容418b相同。但是，控制字 420("CW A")被解密，且然后使用來自第二DRM服務器的不同的服務密鑰415(ECM 424) 對控制字420再次加密。因此，內容在橋中不會以清晰的形式暴露。應當注意的是，該特定 的現有技術的方法只與密鑰的橋接有關而不是與內容有關，如之前所述，該橋接方法只在 兩個DRM系統如公共擾碼的情況那樣使用相同加擾算法時才可以被使用。
現在參考圖14A-圖14C，示出了過擾橋的某些實施方式的多個方面。圖14A示出 了根據一個實施方式的加密或加擾過程。該示例性過程涉及對數字媒體內容582和兩個控 制字584和890進行加密，每個控制字與不同的數字權限管理(DRM)系統相關聯。首先，在 586使用與目標(或"外部"或"本地")DRM系統相關聯的控制字584( "CW B")對數字媒 體內容582進行加擾，且加擾后的媒體內容588被創建，在圖中顯示為具有標記為"CW B"的 鎖的"鎖定"內容。然后在592，使用另一個控制字590( "CWA")再次對加擾后的內容588 進行加擾，其創建雙擾或"過擾"的數字媒體內容596。應當注意的是，在某些實施方式中， 內容582可以代表持續例如0. l秒(在該持續期間，控制字584和590有效)的"節目"的 片段。在某些其它實施方式中，內容582可以對應于整個節目，例如電影標題。接下來，使 用與DRM系統相關聯的服務密鑰依次對控制字進行加密。在一種實施方式中，使用其對應 的服務密鑰(例如，分別是598和600)對每個控制字(例如，584和590)進行加密。在圖 14A所示的實施方式中，使用相同的服務密鑰，即與該示例中控制字590相關聯的DRM系統 ("全局"或"外部'T)RM)管理的服務密鑰600，對控制字584和590進行加密。如圖中所示， 在602，使用服務密鑰600 ( "SKA")對控制字584進行加密，且第一加密消息(例如，授權 控制消息或ECM) 606被創建。然后，在604，使用相同的服務密鑰600對控制字590進行加 密，且第二加密消息608被創建。該組加密消息(在圖中由虛線框594所示出，包括過擾后 的內容596和加密的控制字606和608)可能與其它消息(包括例如對特定客戶端和/或 所遞送的數字媒體的授權) 一起被遞送到橋或客戶端。在一些實施方式中，響應于客戶端 的請求，授權消息被遞送到橋。在一些情況中，例如在存儲或重放數字媒體時，當客戶端做 出了明確的請求時，加密的控制字還可以"經要求"而被遞送。
在一些實施方式中，橋接的DRM服務器使用DTCP(數字傳輸內容保護)分組來通 過IP網絡遞送數字媒體。DTCP是用于在數字媒體傳輸過程中保護數字權限的標準。橋接 的DRM服務器創建具有有效負載的DTCP分組，包括數字媒體內容和各種密鑰，其可以被加 密或加擾。這在圖14B中被示出。該圖示出了 DTCP數據分組612的示意性表示。根據本 發明的一個實施方式，數字分組對加擾/過擾后的數字媒體內容618進行編碼。在該示例 中，分組612包括UDP(用戶數據報協議)報頭614。分組還包括與包括加擾后的內容620 的有效負載或主體618相關聯的部分或報頭616。有效負載618a可以包含另一個報頭622。 如圖14A所示的示例，內容620可以被雙加密且，報頭616和622可以分別攜帶關于"外部" 和"內部"層加擾的信息(例如，使用圖14A的控制字590和584進行加擾)。在一些實施 方式中，報頭616包括ECM(例如，圖14A中的加密的控制字608)和/或E匪。同樣地，報 頭622可以包含相關的ECM和/或E匪。根據本發明的一個實施方式，使用塊密碼(例如， AES (高級加密標準)、DES (數據加密標準)或3DES (三DES))對圖14B中的內容620的每 個塊進行加擾。其它的公共加密算法包括M2(乘2)和M6(乘6)以及之前所述的DVB-CSA。 可以根據AES和CBC(密碼塊鏈接)或AES和ECB(電子碼本)對多個塊或者整個內容進行 加密。圖14B還示出了更詳細的加擾后的內容，如在圖底部所示的620a。如之前所述，在一 些實施方式中，內容可能已使用另一個控制字(例如，圖14A中的584)而被加擾(圖中未 明確示出)，且報頭622可以包括相關的ECM(例如，圖14A中的606)。內容一般被編碼成 MPEG-2格式。圖14B示出了多個MPEG報頭624和628以及主體626和630。在某些實施 方式中，使用與用于外部層的加密方案不同的加密方案(例如，AES結合CTR(稱為計數器 的塊密碼操作模式)或3DES+CBC)對內部層進行加擾。 在本發明的一些實施方式中，不同的DRM系統可以使用不同的加擾方案。例如，在 某些實施方式中，圖14A中的第一加擾586和第二加擾592使用不同的加擾方案。或者，在 本發明的某些實施方式中，通過不同的加擾方案對圖14B中的加擾后的內容620 (未明確顯 示加擾)進行加密或過擾。在該描述中，加擾方案總的來說涉及加密方法的多種特征。例 如，加擾方案包括加密算法(AES與3DES等)和塊密碼中的操作模式(CBC與CTR與ECB 等)。在一些情況中，內容格式化/編碼(例如，MPEG傳輸流等)也被認為是加擾方案的一 部分。例如，圖14B所示的"內部數據分組"620a使用包括MPEG編碼的加擾方案，在圖中由 MPEG報頭624和628以及MPEG主體626和630所示。 現在參考圖14C，根據本發明的一個實施方式示出了相關消息的列表。該列表636 包括使用兩個控制字加密的雙擾后的數字媒體內容638、使用服務密鑰632加密的"外部" 或"全局"控制字640以及使用相同服務密鑰632加密的"內部"或"本地"控制字642。在某 些實施方式中，該組加密消息和相關服務密鑰630被用于橋接不同的數字權限管理(DRM) 系統(例如，在"全局"DRM系統與"本地"DRM系統之間)。該列表636是超擾的結果(例 如，圖14A中所示)，且可以用作到橋的輸入。橋和/或客戶端一般需要相關DRM服務器的 授權(例如，以服務密鑰的形式)。圖14C示出了與"內部"或"本地"DRM系統相關聯的另 一個服務密鑰634。 因此，提供了用于在數字媒體遞送中管理數字權限的系統、方法和設備。雖然結合 具體示例性實施方式描述了本發明，但是很明顯的是，在不偏離權利要求所示的本發明的 實質和范圍的情況下，可以對這些實施方式做出各種修改和變化。因此，說明書和附圖應當被視為示意性而非限制性c
權利要求
一種用于再利用媒體的方法，該媒體從原始數字權限管理系統中產生，并通過橋被傳遞以處于第二數字權限管理系統的保護下，該方法包括在來自所述原始數字權限管理系統的準許下，升級來自所述第二數字權限管理系統的媒體訪問。
2. 根據權利要求1所述的方法，其中所述來自所述原始數字權限管理系統的準許包括 在所述第二數字權限管理系統和所述原始數字權限管理系統之間的通信期間來自所述原 始數字權限管理系統的批準。
3. 根據權利要求1所述的方法，其中所述來自所述原始數字權限管理系統的準許是預 先批準的。
4. 根據權利要求1所述的方法，其中升級訪問包括以下中的至少一者延長許可的有 效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作、或上述任意組合。
5. 根據權利要求1所述的方法，其中所述媒體包括原始許可，該原始許可將被包含在 所述第二數字權限管理系統和所述原始數字權限管理系統之間的通信中，以用于獲得升級 媒體訪問的準許。
6. —種用于第二數字權限管理系統的客戶端獲得對媒體的升級后的訪問的方法，該媒 體從原始數字權限管理系統中產生，并存儲于所述第二數字權限管理系統的客戶端的訪問 范圍內，且該媒體通過橋從所述原始數字權限管理系統被發送到所述第二數字權限管理系統，該方法包括聯系所述第二數字權限管理系統以獲得升級后的許可或權限；升級所述第二數字權限管理系統的客戶端對媒體的訪問，該訪問升級過程在來自所述 原始數字權限管理系統的準許下實現。
7. 根據權利要求6所述的方法，其中所述聯系過程包括將來自所述第二數字權限管理系統的客戶端的請求發送到所述第二數字權限管理系 統的升級服務器；在所述第二數字權限管理系統的升級服務器與所述原始數字權限管理系統之間進行 通信以獲得升級許可或權限。
8. 根據權利要求7所述的方法，其中所述第二數字權限管理系統的升級服務器包括所 述橋中的服務器或單獨獨立的服務器。
9. 根據權利要求7所述的方法，其中用于通信的所述原始數字權限管理系統包括所述 原始數字權限管理系統中的發送所述媒體的服務器或單獨的賬單或升級服務器。
10. 根據權利要求7所述的方法，其中所述通信包括通過所述橋傳遞信息，或在所述信 息到達所述原始數字權限管理系統之前，先將所述信息傳遞到所述第二數字權限管理系統 的獨立的服務器。
11. 根據權利要求7所述的方法，其中所述來自所述原始數字權限管理系統的準許包 括在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信期間來自原始 數字權限管理系統的批準。
12. 根據權利要求7所述的方法，其中所述來自所述原始數字權限管理系統的準許是 預先批準的。
13. 根據權利要求7所述的方法，其中升級訪問包括以下中的至少一者延長許可的有 效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作、或上述任意組合。
14. 根據權利要求7所述的方法，其中啟用新權限包括允許另外的復制。
15. 根據權利要求7所述的方法，其中啟用新輸出包括另外的橋接。
16. 根據權利要求7所述的方法，其中所述媒體包括原始許可，該原始許可包含在所述 第二數字權限管理系統與所述原始數字權限管理系統之間的通信中，以用于獲得升級媒體 訪問的準許。
17. 根據權利要求7所述的方法，其中所述媒體包括原始許可，該原始許可將被提取并 被升級許可所替換。
18. 根據權利要求7所述的方法，其中所述媒體包括原始許可，該原始許可用于記錄或 授權升級訪問交易。
19. 一種用于第二數字權限管理系統的客戶端獲得對媒體的升級后的訪問的方法，該 媒體從原始數字權限管理系統中產生，并存儲于所述第二數字權限管理系統的客戶端的訪 問范圍內，且該媒體通過橋從所述原始數字權限管理系統被發送到所述第二數字權限管理 系統，并被轉換以使得所述第二數字權限管理系統能夠修改所述訪問，該方法包括聯系所述第二數字權限管理系統的升級服務器以獲得對所述媒體的新權限； 升級所述第二數字權限管理系統的客戶端對所述媒體的訪問，該訪問升級在來自所述 原始數字權限管理系統的準許下實現。
20. 根據權利要求19所述的方法，其中通過所述橋的轉換過程包括添加來自所述第二 數字權限管理系統的許可。
21. 根據權利要求19所述的方法，其中來自所述第二數字權限管理系統的許可包括另 外的許可更新數據。
22. 根據權利要求19所述的方法，其中，許可更新數據用密碼加密地與許可相關聯。
23. 根據權利要求19所述的方法，其中由所述第二數字權限管理系統、所述原始數字 權限管理系統或者兩者來保證許可更新數據的安全。
24. 根據權利要求19所述的方法，其中許可更新數據包括訂戶標識數據、事件標識數 據、時間戳、設備標識數據、更新可追溯數據、恢復數據、加密的內容密鑰或上述任意組合。
25. —種再利用媒體的設備，該媒體從原始數字權限管理系統中產生，并通過橋被傳遞 以處于第二數字權限管理系統的保護下，該設備包括處理器；與所述處理器耦合的存儲器，該存儲器包含指令序列，當該指令序列被所述處理器執 行時，使得所述處理器執行在來自所述原始數字權限管理系統的準許下，升級來自所述第二數字權限管系統的媒 體訪問。
26. 根據權利要求25所述的設備，其中所述來自所述原始數字權限管理系統的準許包 括在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信期間來自所述 原始數字權限管理系統的批準。
27. 根據權利要求25所述的設備，其中所述來自所述原始數字權限管理系統的準許是預先批準的。
28. 根據權利要求25所述的設備，其中升級訪問包括以下中的至少一者延長許可的 有效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作、或上述任意 組合。
29. 根據權利要求25所述的設備，其中所述媒體包括原始許可，該原始許可將被包含 在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信中，以用于獲得升 級媒體訪問的準許。
30. —種用于第二數字權限管理系統的客戶端獲得對媒體的升級后的訪問的設備，該 媒體從原始數字權限管理系統中產生，并存儲于所述第二數字權限管理系統的客戶端的訪 問范圍內，且該媒體通過橋從所述原始數字權限管理系統被發送到所述第二數字權限管理 系統，該設備包括處理器；與所述處理器耦合的存儲器，所述存儲器包含指令序列，當該指令序列被所述處理器 執行時，使得該處理器執行聯系所述第二數字權限管理系統以獲得升級后的許可或權限；升級所述第二數字權限管理系統的客戶端對媒體的訪問，該訪問升級過程在來自所述 原始數字權限管理系統的準許下實現。
31. 根據權利要求30所述的設備，其中所述聯系過程包括將來自所述第二數字權限管理系統的客戶端的請求發送到所述第二數字權限管理系 統的升級服務器；在所述第二數字權限管理系統的升級服務器與所述原始數字權限管理系統之間進行 通信以獲得升級許可或權限。
32. 根據權利要求30所述的設備，其中所述第二數字權限管理系統的升級服務器包括 所述橋中的服務器或單獨獨立的服務器。
33. 根據權利要求30所述的設備，其中用于通信的所述原始數字權限管理系統包括所 述原始數字權限管理系統中的發送所述媒體的服務器或單獨的賬單或升級服務器。
34. 根據權利要求30所述的設備，其中通信包括通過所述橋傳遞信息，或在所述信息 到達所述原始數字權限管理系統之前，先將所述信息傳遞到所述第二數字權限管理系統的 獨立的服務器。
35. 根據權利要求30所述的設備，其中所述來自所述原始數字權限管理系統的準許包 括在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信期間來自所述 原始數字權限管理系統的批準。
36. 根據權利要求30所述的設備，其中所述來自所述原始數字權限管理系統的準許是 預先批準的。
37. 根據權利要求30所述的設備，其中升級訪問包括以下中的至少一者延長許可的 有效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作、或上述任意 組合。
38. 根據權利要求30所述的設備，其中啟用新權限包括允許另外的復制。
39. 根據權利要求30所述的設備，其中啟用新輸出包括另外的橋接。
40. 根據權利要求30所述的設備，其中所述媒體包括原始許可，該原始許可將被包含 在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信中，以用于獲得升 級媒體訪問的準許。
41. 根據權利要求30所述的設備，其中所述媒體包括原始許可，該原始許可將被提取 并被升級許可所替換。
42. 根據權利要求30所述的設備，其中所述媒體包括原始許可，該原始許可將被用于 記錄或授權升級訪問交易。
43. —種用于第二數字權限管理系統的客戶端獲得對媒體的升級后的訪問的設備，該 媒體從原始數字權限管理系統中產生，并存儲于所述第二數字權限管理系統的客戶端的訪 問范圍內，且該媒體通過橋從所述原始數字權限管理系統被發送到所述第二數字權限管理 系統，并被轉換以使得該第二數字權限管理系統能夠修改所述訪問，該設備包括處理器；與所述處理器耦合的存儲器，該存儲器包含指令序列，該指令序列在被所述處理器執行時，使得該處理器執行聯系所述第二數字權限管理系統的升級服務器以獲得對所述媒體的新權限； 升級所述第二數字權限管理系統的客戶端對所述媒體的訪問，該訪問升級在來自所述原始數字權限管理系統的準許下實現。
44. 根據權利要求43所述的設備，其中通過所述橋的轉換過程包括添加來自所述第二 數字權限管理系統的許可。
45. 根據權利要求43所述的設備，其中來自所述第二數字權限管理系統的許可包括另 外的許可更新數據。
46. 根據權利要求43所述的設備，其中許可更新數據用密碼加密地與許可相關聯。
47. 根據權利要求43所述的設備，其中由所述第二數字權限管理系統、所述原始數字 權限管理系統或者兩者來保證許可更新數據的安全。
48. 根據權利要求43所述的設備，其中許可更新數據包括訂戶標識數據、事件標識數 據、時間戳、設備標識數據、更新可追溯數據、恢復數據、加密的內容密
49. 一種機器可讀介質，該介質包含機器可執行程序指令，該機器可執行程序指令在被 數據處理系統執行時，使得該數據處理系統執行用于再利用媒體的方法，該媒體從原始數 字權限管理系統中產生，并通過橋被傳遞以處于第二數字權限管理系統的保護下，該方法 包括在來自所述原始數字權限管理系統的準許下，升級來自所述第二數字權限管理系統的 媒體訪問。
50. 根據權利要求49所述的介質，其中所述來自所述原始數字權限管理系統的準許包 括在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信期間來自所述 原始數字權限管理系統的批準。
51. 根據權利要求49所述的介質，其中所述來自所述原始數字權限管理系統的準許是預先批準的。
52. 根據權利要求49所述的介質，其中升級訪問包括以下中的至少一者延長許可的 有效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作或上述任意組
53. 根據權利要求49所述的介質，其中所述媒體包括原始許可，該原始許可將被包含 在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信中，以用于獲得升 級媒體訪問的準許。
54. —種機器可讀介質，該介質包含機器可執行程序指令，該機器可執行程序指令在被 數據處理系統執行時，使得該數據處理系統執行一種方法，該方法用于第二數字權限管理 系統的客戶端獲得對媒體的升級后的訪問，該媒體從原始數字權限管理系統中產生，并存 儲于所述第二數字權限管理系統的客戶端的訪問范圍內，且該媒體通過橋從所述原始數字 權限管理系統被發送到所述第二數字權限管理系統，該方法包括聯系所述第二數字權限管理系統以獲得升級后的許可或權限；升級所述第二數字權限管理系統的客戶端對所述媒體的訪問，該訪問升級過程在來自 所述原始數字權限管理系統的準許下實現。
55. 根據權利要求54所述的介質，其中所述聯系過程包括將來自所述第二數字權限管理系統的客戶端的請求發送到所述第二數字權限管理系 統的升級服務器；在所述第二數字權限管理系統的升級服務器與所述原始數字權限管理系統之間進行 通信以獲得升級許可或權限。
56. 根據權利要求54所述的介質，其中所述第二數字權限管理系統的升級服務器包括 所述橋中的服務器或單獨獨立的服務器。
57. 根據權利要求54所述的介質，其中用于通信的所述原始數字權限管理系統包括所 述原始數字權限管理系統中的發送所述媒體的服務器或單獨的賬單或升級服務器。
58. 根據權利要求54所述的介質，其中通信包括通過所述橋傳遞信息，或者在所述信 息到達所述原始數字權限管理系統之前，先將所述信息傳遞到所述第二數字權限管理系統 的獨立的服務器。
59. 根據權利要求54所述的介質，其中所述來自所述原始數字權限管理系統的準許包 括在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信期間來自所述 原始數字權限管理系統的批準。
60. 根據權利要求54所述的介質，其中所述來自所述原始數字權限管理系統的準許是預先批準的。
61. 根據權利要求54所述的介質，其中升級訪問包括以下中的至少一者延長許可的 有效期、啟用新權限、啟用新輸出、啟用到另一個機器的移動操作或恢復操作、或上述任意 組合。
62. 根據權利要求54所述的介質，其中啟用新權限包括允許另外的復制。
63. 根據權利要求54所述的介質，其中啟用新輸出包括另外的橋接。
64. 根據權利要求54所述的介質，其中所述媒體包括原始許可，該原始許可將被包含 在所述第二數字權限管理系統與所述原始數字權限管理系統之間的通信中，以用于獲得升 級媒體訪問的準許。
65. 根據權利要求54所述的介質，其中所述媒體包括原始許可，該原始許可將被提取 并被升級許可所替換。
66. 根據權利要求54所述的介質，其中所述媒體包括原始許可，該原始許可將被用于 記錄或授權升級訪問交易。
67. —種機器可讀介質，該介質包含機器可執行程序指令，該機器可執行程序指令在被 數據處理系統執行時，使得該數據處理系統執行一種方法，該方法用于第二數字權限管理 系統的客戶端獲得對媒體的升級后的訪問，該媒體從原始數字權限管理系統中產生，并存 儲于所述第二數字權限管理系統的客戶端的訪問范圍內，且該媒體通過橋從所述原始數字 權限管理系統被發送到所述第二數字權限管理系統，并被轉換以使得所述第二數字權限管 理系統能夠修改所述訪問，該方法包括聯系所述第二數字權限管理系統的升級服務器以獲得對所述媒體的新權限； 升級所述第二數字權限管理系統的客戶端對所述媒體的訪問，該訪問升級在來自所述 原始數字權限管理系統的準許下實現。
68. 根據權利要求67所述的介質，其中通過所述橋的轉換過程包括添加來自所述第二 數字權限管理系統的許可。
69. 根據權利要求67所述的介質，其中來自所述第二數字權限管理系統的許可包括另 外的許可更新數據。
70. 根據權利要求67所述的介質，其中許可更新數據用密碼加密地與許可相關聯。
71. 根據權利要求67所述的介質，其中由所述第二數字權限管理系統、所述原始數字 權限管理系統或者兩者來保證許可更新數據的安全。
72. 根據權利要求67所述的介質，其中許可更新數據包括訂戶標識數據、事件標識數 據、時間戳、設備標識數據、更新可追溯數據、恢復數據、加密的內容密鑰或上述任意組合。
73. —種再利用媒體的方法，該媒體從原始數字權限管理(DRM)系統中產生，并通過橋 被傳遞以處于第二 DRM的保護下，該方法由原始DRM的至少一個系統執行，該方法包括從所述第二 DRM中的系統接收升級所述媒體的請求； 響應于該請求，傳送來自所述原始DRM的至少一個系統的準許。
74. —種再利用媒體的方法，該媒體從原始數字權限管理(DRM)系統中產生，并通過橋 傳遞以處于第二DRM的保護下，該方法由所述橋的至少一個組件執行，該方法包括從所述第二 DRM中的系統接收升級所述媒體的請求； 將該請求傳送到原始DRM中的系統； 接收對升級所述媒體的請求的響應。
全文摘要
數字媒體遞送、處理以及存儲系統中的條件訪問(CA)和數字權限管理(DRM)。提供了用于管理在多個CA和/或DRM系統保護下的數字權限的方法和設備。一些實施方式提供了用于在數字媒體內容分配和重放系統中橋接多個DRM系統的安全且魯棒的方法。本發明在內容被橋接到第二DRM后且仍然處于原始DRM系統的保護下的情況下，簡化了內容再利用。
文檔編號G06F21/00GK101790735SQ200880101655
公開日2010年7月28日 申請日期2008年5月22日 優先權日2007年6月26日
發明者L·范塔朗, P·西卡爾多 申請人:數碼基石有限公司