專利名稱:用于調節解密密鑰的方法和裝置的制作方法
技術領域:
本發明涉及用于解密內容的密鑰,所述內容諸如數字電影呈現
(presentation )。
背景技術:
當今,越來越多的電影院現在以數字形式而非模擬形式(例如膠片)放 映(display)內容。展播會場(例如電影院)中的典型的數字電影系統包括 媒體塊,其用于為了后續的放映而解密數字電影內容。媒體塊使用與內容相 關聯的解密密鑰來執行解密。電影和電視工程師協會(SMPTE)發布了標準 430-1 Digital Cinema Operation Key Distribution Message ( KDM ),戶斤述才示;# 描述充當用于解密以前被加密的數字電影內容的密鑰的KDM消息。KDM
隔 (validity interval ), 為 了 在 ContentKeysNotValidBefore 和 ContentKeysNotValidAfter元素中的非才又威(non-authoritative )人類可讀性而 重復所述NotValidBefore和NotValidAfter字^殳的條目。
媒體塊包括在制造時所設置的安全時鐘(Secure Clock )。安全時鐘不應 漂移多于每年5分鐘,這是當前所允許的閾值。媒體塊的安全時鐘充當用于 評估密鑰相對它們的有效性間隔的可用性的機制。如果由媒體塊中的安全時 鐘所決定的當前時間和日期處于密鑰的有效性間隔之外,那么々某體塊將拒絕 使用該密鑰來解密內容。(只要有效性間隔保持在當前,即該間隔與當前時 間重疊,則媒體塊可以使用另一密鑰來解密相同的內容,即使該密鑰具有不 同的有效性間隔。)
在接近密鑰的有效性間隔的開始和結束的時刻,安全時鐘的精確度變得 至關重要。如果在制造之后的數年安全時鐘漂移了十五或二十分鐘,那么媒
假定電影院具有在午夜的特定的數字電影呈現的預先安排的放映,并且擁有 其有效性緊接在該時間之后過期的密鑰。因而,被安排在12:01 AM開始的放映即使具有十或十五分鐘的預告片,也可能在12:15 AM不能經歷放映完 成(playout),其干擾了預先安排的表演。
因而,存在對適應媒體塊中的安全時鐘的漂移的技術的需要。
發明內容
筒要地,根據本原理的優選實施例,提供了一種用于適應數字電影系統 中的媒體塊的安全時鐘中的漂移的方法。該方法包括根據安全時間值和當前 時間值之間的時間差來調節用于解密內容的密鑰的有效性間隔的步驟。
圖1描繪了用于實踐本原理的密鑰調節技術的數字電影系統的示意框 圖;以及
圖2描繪了根據本原理的示例實施例的用于調節密鑰的有效性間隔的方法。
具體實施例方式
圖1描繪了具有典型地在電影院或相似的展播設施中存在的類型的數字 電影系統100的示例實施例,所述電影院或相似的展4番設施用于呈現原始地 以數字形式接收的內容(例如電影)。在實踐中,數字電影系統100包括屏 幕服務器(Screen Server )110,其接收和解密加密內容,以用于通過鏈路122 傳遞而由投影儀120接收,所述投影儀120用于在屏幕(未示出)上顯示解 密后的內容。屏幕服務器110包括媒體塊112和安全時鐘114。媒體塊112 使用在下文中所描述的密鑰來以眾所周知的方式執行內容解密。為了該原 因,媒體塊112是安全的和防篡改的。如在下文中更詳細地描述的那樣,安 全時鐘114向媒體塊112提供用于與內容解密相聯系的時間和日期信息。優 選地,屏幕服務器110具有控制面板124,其使手動操作便利。可以通過電 影院管理系統(TMS)或通過網絡操作中心(NOC)(未示出)遠程地發生 屏幕服務器110的控制。
屏幕服務器110從數據庫116訪問加密內容,所述數據庫116可以存在 于屏幕服務器的內部、或如圖l所示存在于其外部。如果投影儀120和媒體 塊112不一起位于安全外殼(未示出)內,則鏈路112將典型地使用在投影儀和媒體塊之間所協商的獨立的加密技術,以減少數字內容被數字地復制的 風險。
密鑰生成器150生成由媒體塊112所使用的密鑰,所述密鑰對于響應由 訂單輸入(Order Entry)設備156生成的訂單輸入來呈現加密內容116來說 是必要的,所述訂單輸入設備156可以采取人類操作的終端的形式或自動訂 單收集和生成系統的形式。在實踐中,密鑰生成器150不位于展播會場處。 由密鑰生成器150所接收的訂單輸入典型地具有展播電影院的當地時間中所 指定的有效性間隔,所述有效性間隔定義何時密鑰變為有效以及何時密鑰過 期。 一般地,密鑰生成器150生成以格林威治標準時間(GMT)來表示其有 效性間隔的密鑰。為了保證從訂單輸入中所包含的當地展播時間的恰當偏 移,密鑰生成器150典型地在連接152上訪問屏幕服務器數據庫132以決定 與目標展播電影院相關聯的時區偏移,所述連接152優選地是安全的。
為了由i某體塊112進行的接收而從密鑰生成器150向屏幕服務器110進 行的密鑰的傳遞在傳遞信道154上發生。傳遞信道154可以采取若干不同形 式中的一種。在實踐中,傳遞信道154可以包括有線鏈路(包括但不限于金 屬和/光纖導體)和/或無線鏈路。傳遞信道154還可以包括用于傳遞一個或 多個被物理地運輸到展播電影院的包含密鑰的存儲器的共用載體。電影院管 理系統(未示出)可以包括密鑰傳遞信道154的部分。優選地,密鑰傳遞信 道154包括橫穿因特網140或替代通信信道(未示出)的網絡連接。優選地, 這樣的網絡連接采取密鑰生成器150和展播電影院之間的虛擬專網(VPN) 的形式。或者,無論傳遞方法為何,電影院管理系統可以充當密鑰的傳遞和 屏幕服務器110之間的中間物。
根據本原理的示例實施例,安全時鐘監視器130經由時鐘監視器信道 134來監視安全時鐘114。如同密鑰傳遞信道154那樣,時鐘監視器信道134 優選地包括可以穿過電影院管理系統以將關于安全時鐘114的信息中繼至安 全時鐘監視器130的網絡連接。安全時鐘監視器130將安全時鐘114的時間 值與由參考時鐘142提供的時間值比較。代替監視參考時鐘142的安全時鐘 監視器130、或除了該安全時鐘監視器130之外,安全時鐘114、屏幕服務 器110和/或電影院管理系統(未示出)可以執行這樣的監視。
參考時鐘142可以包括多個同步化的時鐘,而非單個時鐘。在網絡時間 協議(NTP)被用作參考時鐘142的代理時,可以使用.NTP提供本地時鐘(未
6的訪問典型地經由連接144通過因特網140而存在。本領域技術人員將認識到,與參考時鐘(例如通過NTP)維持同步的本地時鐘可以充當將安全時鐘114與參考時鐘142進行比較的基礎。安全時鐘監視器130在鏈路136上將這樣的比較的結果傳輸至屏幕服務器數據庫132,以便存儲。
安全時鐘監視器130優選地通過讀取所存儲的、關于安全時鐘114的先前所監視的值的信息,來限制被輸入至屏幕服務器數據庫132的值。這樣的
時鐘的上次更新以來的預定的相等漂移率的限制。例如,假定所預期的最大漂移率R將不超過每年300秒(五分鐘),而策略(policy ) P允許將安全時鐘以多至預期最大漂移率的200%來重設。那么,如果自從上次更新以來的時間T為一年的1/12 (—個月),則安全時鐘114的當前偏移的最大可允許改變不應超過由R*P*T=300*2.0*1/12等于50秒給定的值。違反限制規則的嘗試優選地引起警告,操作者可以無視(override)所述警告,但警告的記錄將保持。
安全時鐘監視器130還優選地跟蹤對于媒體塊112或安全時鐘114來說唯一的標識符,所述標識符例如為密文證書。以此方式,在服務器110或媒體塊112的替換時,安全時鐘監視器130可以檢測不同的安全時鐘114的存在,以及在數字電影系統100中可能適用關于改變該時鐘的偏移的不同的規則。
優選地,在使用安全的簡單網絡管理協議第3版(SNMPv3)的網絡連接上發生由安全時鐘監視器130進行的安全時鐘114的監視。使用該協議允許媒體塊112或安全時鐘114驗證對關于當前時間的詢問的響應。但是,本領域技術人員將認識到,存在提供被驗證的通信的許多其他協議,所述被驗證的通信適用于保證安全時鐘提供所報告的時間。或者,如果來自安全時鐘114的對當前時間的響應缺少驗證,但以前的、被信任的結果存在于屏幕服
前提下,未被驗證的報告可以用于更新屏幕服務器數據庫,所述規則和策略諸如上面所給出的例子。
在特別適用于數字電影系統100缺少與因特網140或其他通信網絡的連接的情況的另一實施例中,時鐘監視器信道134可以包括人類操作員,其詢問安全時鐘114并且將其值報告至安全時鐘監視器130、或具有接口 (未示出)以及對安全時鐘監視器的訪問能力的遠程操作員。如前面那樣,只要以前的、被信任的結果存在于屏幕服務器數據庫132中,那么在報告不違反用于更新的任何規則或策略的前提下,手動地提供的報告可以用于更新屏幕服務器數據庫。優選地,安全時鐘114例如可以向控制面板124提供簡潔的、人類可讀的報告,所述報告包括并入了關于當前讀取值(reading)和媒體塊112或安全時鐘114標識兩者的信息的校驗和(checksum ),以提供對通過控制面板124錯誤地輸入的或錯誤地分配的條目的檢測能力。注意通過控制面板124向安全時鐘監視器130提供的手動更新很可能將具有比自動地收集的讀取值更差的精確度。相比用于自動讀取的規則,存在用于這樣的較低精確度讀取的不同的規則。
在替代的實施例(未示出)中,電影院管理系統可以具有管理多個數字電影系統的責任,所述多個數字電影系統例如為在單個展播電影院處的全部數字電影系統。在這樣的情形中,電影院管理系統將具有對它所負責的每個安全時鐘114的訪問能力。隨后,電影院管理系統將與每個數字電影系統的安全時鐘監視器130交互,并且傳送關于每個安全時鐘114的精確度和漂移的信息。此外,電影院管理系統MS例如^f吏用NTP,可以具有對參考時鐘142的直接的或間接的訪問能力,并且可以向安全時鐘監視器103報告每個安全時鐘114相對參考時鐘142的當前偏移。
圖2以流程圖的形式描繪了用于監視(并在需要時調節)安全時鐘112的過程200和用于調節(例如偏置)密鑰以解決安全時鐘中的偏移的過程250的步驟。如在下文中所描述的那樣,安全時鐘監視過程200提供在圖l的屏幕服務器數據庫132中所存儲的、在密鑰調節過程250期間所使用的數據。
安全時鐘監視過程200在圖2的步驟202期間的在圖1的安全時鐘監視器130的初始化(例如啟動)時開始。這樣的初始化可以手動地發生或在事件(例如展播電影院中新內容的接收)發生時發生。優選地,在預先安排的、周期性的基礎上(例如每周)發生安全時鐘監視器130的初始化。在步驟204期間,發生典型地經由NTP的圖1的參考時鐘142的讀取。或者,可以在步驟204期間發生具有與參考時鐘142的牢固的同步的時鐘的讀取。在步驟206期間,讀取圖1的安全時鐘114。優選地,步驟204和206之間的間隔足夠小,以使其可忽略。替代地,該間隔可以具有有限的已知值,或可以被測量,在所述情況中將該間隔加至在步驟204期間所獲得的參考時鐘142的讀取值。
在步驟208期間,決定安全時鐘114相對參考時鐘142的偏移之間的差,并且將該值與在步驟204期間所獲得的參考時鐘142的讀取值共同存儲在屏幕服務器數據庫132中。或者,因為可以在以后計算偏移值,所以在步驟206期間所獲得的安全時鐘114的讀取值、而非偏移值可以經受存儲。
在步驟210期間,可以使用當前讀取值、并且從先前讀取值來計算圖1的安全時鐘114的漂移率,所述當前讀取值在圖2的步驟206和208期間建立,所述先前讀取值從相同的安全時鐘114獲得、并且之前被記錄在圖1的屏幕服務器數據庫132中。如同本領域中眾所周知的那樣,可以通過根據下面的關系將較后偏移和較早偏移的差除以兩個偏移之間時間流逝的量,來計算時鐘漂移速率
其中Sn和rn分別為安全時鐘114和參考時鐘142分別在對應的讀取值n處的當前值。如果s和r的值是以秒為單位的,那么以所流逝的每秒的漂移的秒數來測量漂移,所述所流逝的每秒的漂移的秒數不應超過每秒土0.158ps (即每年5秒)。
在圖2的步驟212期間,觀察到的漂移率經歷評估以決定可接受性。如果觀察到的漂移率落在可接受限制之外,則該過程執行到步驟214的分支,在所述步驟214期間,發生警告的生成,以指示對與時鐘漂移相關聯的規則或策略的違反。在步驟216期間,操作者具有輸入對規則或策略違反的無視的機會。在沒有無視的情況中,該過程在步驟220期間結束。在步驟212期間發現漂移可接受時,或在步驟216期間的無視的發生時,對安全時鐘114的權威偏移進行更新,并且將該值存儲在屏幕服務器數據庫132中。優選地,該更新包括具有相關法律(forensic )信息的注釋,所述注釋例如是對誰授權了該無視以及為什么進行該無視的標識。在更新權威偏移之后,安全時鐘監視方法200在步驟220結束。
在步驟252的執行時開始密鑰調節過程250的初始化,所述步驟252在從圖1的訂單輸入設備156接收未完結的訂單時發生,所述未完結的訂單為了密鑰生成而存在。在步驟254期間,發生密鑰訂單的接受。該訂單典型地
9包括足夠的信息以識別與具體的展播電影院相關聯的媒體塊112、加密內容 116的標識、以及與內容呈現的持續時間(經常被稱為"合同運行時間 (contract run )")相關聯的細節。典型的合同運4亍時間具有開始日期和結束 日期、,或運行持續時間,后者可選地被包含(即七天的默認值)。另外,合 同運行時間信息可以包括用于決定有效性間隔的開始時間或其他數據。因為 在GMT中指定典型地與密鑰相關聯的有效性間隔信息,所以在步驟256期 間,進行對屏幕服務器數據庫132的訪問以決定目標媒體塊(即媒體塊112) 的正確時區設置。雖然密鑰訂單可以指定具體的媒體塊,但典型地密鑰訂單 僅指定展播電影院。本領域技術人員將認識到,訪問指定了目標展播電影院 的屏幕服務器數據庫132允許了對媒體塊112、以及與媒體塊相關聯的信息 的容易的識別。
在步驟258期間,從屏幕服務器數據庫132獲取圖1的安全時鐘114的 權威偏移。如果數據庫中沒有偏移值存在,那么假定零偏移。在步驟260期 間,發生用于媒體塊112的密鑰的生成,以將加密內容116解密。該密鑰將 具有從合同運行時間或在密鑰訂單中所描述的其他間隔來決定的有效性間 隔,但該有效性間隔被修改以使密鑰具有根據時區設置的開始時間和結束時 間,所述時區設置適用于每個偏移加上權威偏移。另外,如果需要,可以使 用最近或長期漂移來進行權威偏移的外推(extrapolation )。如果流逝了長時 間(例如一年或更多),這變得具有重要性,因為安全時鐘監視器過程200 在監視安全時鐘中已經是成功
權利要求
1.一種方法,其包括步驟根據安全時間值和當前時間值之間的時間差來調節用于解密內容的密鑰的有效性間隔。
2. 根據權利要求l的方法,其中調節步驟進一步包括步驟 讀取安全時鐘以獲得安全時間值;以及 將安全時間值與當前時間值比較。
3. 根據權利要求l的方法,其中調節步驟進一步包括步驟 決定用于期望的展播位置的時區偏移;以及根據該時區偏移將有效性間隔從格林威治標準時間轉換為當地時間。
4. 根據權利要求1的方法,其中密鑰的有效性間隔的調節在訂單的接 受時開始,所述訂單用于生成用于內容解密的密鑰。
5. 根據權利要求1的方法,其進一步包括步驟向媒體塊分發有效性 調節之后的密鑰,該媒體塊根據密鑰解密內容。
6. —種方法,其包括步驟根據安全時間值和當前時間值之間的時間差來調節內容解密密鑰的有 效性間隔;以及根據該內容解密密鑰來將加密的數字電影呈現解密。
7. 根據權利要求6的方法,其中調節步驟進一步包括步驟 讀取安全時鐘以獲得安全時間值;以及 將安全時間值與當前時間值比較。
8. 根據權利要求6的方法,其中調節步驟進一步包括步驟 決定用于期望的展播位置的時區偏移;以及根據該時區偏移將有效性間隔乂人格林威治標準時間轉換為當地時間。
9. 根據權利要求6的方法,其中密鑰的有效性間隔的調節在訂單的接 受時開始,所述訂單用于生成用于內容解密的密鑰。
10. 根據權利要求9的方法,其進一步包括步驟向屏幕服務器分發有 效性調節之后的密鑰。
11. 數字電影裝置,其包括安全時鐘,用于提供安全時間值,所述安全時間值用于決定解密密鑰的時間有效性;參考時鐘,用于提供當前時間值;以及安全時鐘監視器,用于建立安全時間值和當前時間值之間的時間差的 值,所述時間差用于調節與解密密鑰相關聯的有效性間隔。
12. 根據權利要求11的裝置,其進一步包括用于存儲該時間差的值的數據庫。
13. 根據權利要求11的裝置,其進一步包括密鑰生成器,所述密鑰生 成器用于根據在數據庫中所存儲的時間差的值來調節解密密鑰。
全文摘要
在數字電影系統(100)中,安全時鐘(114)可以隨時間漂移,可以在接近解密密鑰的有效性間隔的結束時呈現數字電影呈現的放映完成的能力。為了適應安全時鐘的漂移,根據安全時間值和當前時間值的時間差來調節解密密鑰的有效性間隔。
文檔編號H04L9/30GK101669322SQ200780052906
公開日2010年3月10日 申請日期2007年5月8日 優先權日2007年5月8日
發明者威廉·G·雷德曼 申請人:湯姆森特許公司