專利名稱:移動(dòng)廣播系統(tǒng)中的加密密鑰分發(fā)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及移動(dòng)廣播系統(tǒng)����,更具體地涉及一種在開放移動(dòng)聯(lián)盟廣播(0ΜΑ BCAST)服務(wù)系統(tǒng)中用于移動(dòng)廣播服務(wù)的業(yè)務(wù)加密密鑰分發(fā)方法及其系統(tǒng)��,該方法應(yīng)用于數(shù) 字權(quán)利管理(下文中“DRM簡(jiǎn)檔”)中的OMA BCAST服務(wù)保護(hù)和內(nèi)容保護(hù)架構(gòu)����。
背景技術(shù):
在移動(dòng)通信市場(chǎng)中��,存在對(duì)應(yīng)通過現(xiàn)有技術(shù)的重新組合或整合來產(chǎn)生新服務(wù)的恒 定需求�����。當(dāng)前在傳統(tǒng)的廣播系統(tǒng)或移動(dòng)通信系統(tǒng)中發(fā)展通信和廣播技術(shù)正處于通過諸如移 動(dòng)電話機(jī)����、個(gè)人數(shù)字助理(PDA)等的移動(dòng)終端(下文中“終端”)提供廣播服務(wù)的階段。結(jié) 合如上所述的潛在的和實(shí)際的市場(chǎng)需求����、對(duì)于多媒體服務(wù)的用戶需求的迅速增加、計(jì)劃在 現(xiàn)有語音服務(wù)之外提供諸如廣播服務(wù)之類的新服務(wù)的服務(wù)提供商策略���、以及能夠滿足市場(chǎng) 需求且強(qiáng)化它們的移動(dòng)通信業(yè)務(wù)的信息技術(shù)(IT)公司的利益���,移動(dòng)通信服務(wù)和因特網(wǎng)協(xié) 議(IP)的融合處于下一代移動(dòng)通信技術(shù)的發(fā)展的最前線�����。同時(shí)���,作為一個(gè)用于終端的應(yīng)用的標(biāo)準(zhǔn)化組的開放移動(dòng)聯(lián)盟(OMA),已經(jīng)開展關(guān)于 各個(gè)移動(dòng)解決方案之間的聯(lián)鎖(interlock)的標(biāo)準(zhǔn)的研究��。OMA的主要作用是確定關(guān)于移 動(dòng)通信游戲���、因特網(wǎng)服務(wù)等的各種應(yīng)用標(biāo)準(zhǔn)。具體地�,作為OMA工作組之一的OMA瀏覽器和 內(nèi)容移動(dòng)廣播子工作組(OMA BCAST)正研究用于使用終端提供廣播服務(wù)的技術(shù)。下文中�, 將簡(jiǎn)要描述在OMA BCAST工作組中討論的廣播系統(tǒng)(下文中“移動(dòng)廣播系統(tǒng)”)。圖1是說明一般移動(dòng)廣播系統(tǒng)的網(wǎng)絡(luò)架構(gòu)的框圖��。在圖1中�,內(nèi)容創(chuàng)建者(CC) 10是BCAST服務(wù)內(nèi)容提供商,其中BCAST服務(wù)可以包括 傳統(tǒng)的音頻/視頻廣播服務(wù)�、文件下載服務(wù)(如,音樂文件或數(shù)據(jù)文件下載服務(wù))等�。BCAST 服務(wù)應(yīng)用單元(BSA) 20具有從內(nèi)容創(chuàng)建者10接收數(shù)據(jù)、按照適合于圖1的BCAST網(wǎng)絡(luò)的形 式處理接收的數(shù)據(jù),并且產(chǎn)生BCAST服務(wù)數(shù)據(jù)的功能�����。另外�,BCAST服務(wù)應(yīng)用單元20也具 有產(chǎn)生便攜廣播指南所必需的標(biāo)準(zhǔn)化元數(shù)據(jù)的功能。在圖1中�����,BCAST服務(wù)分發(fā)/適配單元(BSD/A) 30具有建立將用于發(fā)送從BSA單 元20提供的BCAST服務(wù)數(shù)據(jù)的承載的功能����、確定BCAST服務(wù)的發(fā)送時(shí)間表的功能、和產(chǎn)生 便攜廣播指南的功能�。BCAST訂閱管理單元(BSM) 40管理用于接收BCAST服務(wù)的訂閱者的 訂閱信息、關(guān)于BCAST服務(wù)的供應(yīng)的信息���、和關(guān)于接收BCAST服務(wù)的終端的設(shè)備信息�����。能夠接收BCAST服務(wù)的終端50具有能夠根據(jù)終端的能力訪問蜂窩網(wǎng)絡(luò)的功能�����。廣 播網(wǎng)絡(luò)60是發(fā)送諸如手持式-數(shù)字視頻廣播OVB-H)����、第三代合作伙伴計(jì)劃的多媒體廣播 和組播服務(wù)(3GPP MBMS)、第三代合作伙伴計(jì)劃2的廣播和組播服務(wù)(3GPP2 BCMCS)等的 BCAST服務(wù)的網(wǎng)絡(luò)����。交互網(wǎng)絡(luò)70基于一對(duì)一的方式發(fā)送BCAST服務(wù),或交互地交換與BCAST 服務(wù)的接收相關(guān)的控制信息和附加信息�,并且例如,它可以是現(xiàn)有的蜂窩網(wǎng)絡(luò)���。BCAST-I到BCAST-8是各實(shí)體之間的接口�����。一般,在BCAST服務(wù)中���,當(dāng)廣播服務(wù)管理服務(wù)器發(fā)送加密的服務(wù)數(shù)據(jù)時(shí)�����,多個(gè)終端 接收該加密的服務(wù)數(shù)據(jù)���。在這種情況下�,多個(gè)終端的每個(gè)通過使用預(yù)先獲得的加密密鑰(如密碼密鑰)來解密(即����,譯碼)已經(jīng)從服務(wù)器提供的該加密的服務(wù)數(shù)據(jù),從而能夠使用 對(duì)應(yīng)的服務(wù)����。對(duì)此,加密廣播內(nèi)容和服務(wù)的方法大致地分為兩類�����,即�����,服務(wù)保護(hù)和內(nèi)容保護(hù)��。服 務(wù)保護(hù)涉及在BSD/A 30和終端50之間的傳輸信道的保護(hù)����,而內(nèi)容保護(hù)涉及在BSA 20和終 端50之間的端到端保護(hù)。同時(shí)���,OMA BCAST SPCP DRM簡(jiǎn)檔實(shí)現(xiàn)用于移動(dòng)廣播服務(wù)的密鑰管理方案�����。對(duì)于服 務(wù)和內(nèi)容的訪問和規(guī)定(provisioning)�����,定義了兩類密鑰��,S卩�,長期密鑰(LTK)和短期密鑰 (STK) 0 LTK用于根據(jù)用戶的服務(wù)訂閱策略,通過使用LTK加密STK來設(shè)立(S卩�,調(diào)節(jié))關(guān)于 STK的訪問準(zhǔn)則。STK用于實(shí)際的加密業(yè)務(wù)���。應(yīng)該定期更新LTK和STK��,其中LTK的生存期 遠(yuǎn)比STK的生存期長���。通過權(quán)利發(fā)行者(RI)向用戶提供LTK和STK�����。下文中,將詳細(xì)給出在DRM簡(jiǎn)檔中關(guān)于密鑰管理的說明�����。圖2是說明在一般DRM簡(jiǎn)檔中定義的密鑰等級(jí)的圖���。參考圖2���,與注冊(cè)密鑰100相關(guān)的推斷的加密密鑰(IEK) 120和公共/私有密鑰對(duì) 110被用來加密稱為服務(wù)加密密鑰(SEK) 130和節(jié)目加密密鑰(PEK) 140的長期密鑰。SEK 和PEK通過通用權(quán)利對(duì)象(GRO)發(fā)送到每個(gè)終端��。同樣��,通用權(quán)利對(duì)象包括與內(nèi)容聯(lián)系的 許可和其他屬性���。SEK和PEK用來保護(hù)能夠在一個(gè)單元中購買的每個(gè)訂閱和節(jié)目����。該服務(wù) 對(duì)應(yīng)于一個(gè)節(jié)目頻道����、頻道的一部分,或一組節(jié)目頻道����。SEK 130提供給已經(jīng)訂閱了整個(gè)服務(wù)的訂閱的用戶���,也即,由于成功實(shí)現(xiàn)了認(rèn)證�����, 因此該用戶持續(xù)地接收內(nèi)容和定期更新SEK��,即使在沒有單獨(dú)請(qǐng)求的情況下也是如此����。這樣 的情形稱為“基于訂閱的訪問”。PEK 140提供給限于僅在預(yù)定的時(shí)間間隔內(nèi)訪問服務(wù)的用戶或限于通過單元服務(wù) 使用節(jié)目的用戶���。為了獲得對(duì)于下個(gè)節(jié)目或隨后的時(shí)間間隔的訪問�����,對(duì)應(yīng)的用戶應(yīng)該做出 另外的購買請(qǐng)求�����。也即�����,一個(gè)節(jié)目或特定時(shí)間間隔可以與一個(gè)或多個(gè)PEK相關(guān)聯(lián)����。這樣的 情形稱為“基于按次付費(fèi)(PPV)的訪問”�。SEK是中間密鑰,且不直接加密內(nèi)容���,但是在有必要時(shí)加密業(yè)務(wù)加密密鑰 (TEK) 150 或 PEK�。PEK 用來加密 TEK����。終端可以分別接收服務(wù)認(rèn)證種子(SAQ和節(jié)目認(rèn)證種子(PAS),它們用來認(rèn)證傳 送TEK����、以及SEK和PEK的消息。SEK和SAS被包含地指定為“服務(wù)加密和認(rèn)證密鑰資料 (SEAK) ”����。PEK和PAS被包含地指定為“節(jié)目加密和認(rèn)證密鑰資料(PEAK)”。TEK 150是STK��。TEK 150包括在短期密鑰消息(STKM)中然后被傳送�,并且必要時(shí) 由SEK或PEK加密。為了安全�����,TEK必須被頻繁地更新���。這樣的頻繁更新需要消耗大量的 帶寬��,這是該密鑰管理系統(tǒng)的嚴(yán)重缺點(diǎn)�。也即��,為了確保TEK的成功傳送并且同時(shí)避免服務(wù) 的中斷���,必須更頻繁地發(fā)送STKM消息��。圖3和4是說明前述的密鑰分發(fā)的示例的圖���。首先,圖3是說明SEK和TEK的密 鑰分發(fā)流的圖����,它們?cè)谝话愕幕谟嗛喌脑L問環(huán)境下提供���。參考圖3,在基于訂閱的訪問環(huán)境下�����,將SEK生存期(SEK LT)計(jì)算為“η”乘以TEK 的生存期(TEK LT)����。在當(dāng)前服務(wù)加密密鑰“SEK"”逾期之前�����,在步驟210中���,RI必須在GRO 中產(chǎn)生和發(fā)送新的服務(wù)加密密鑰"SEKy”到服務(wù)訂戶�。通過注冊(cè)密鑰之一來加密SEKy����。然后, 在當(dāng)前服務(wù)加密密鑰"SEIV1 ”逾期之后�,通過SEKy加密PEK,它和TEKX+1、TEKx+2.....TEKx+n一起通過STKM傳送�����。同樣�����,在SEKy逾期之前�����,在步驟220中RI產(chǎn)生和發(fā)送新的服務(wù)加密 密鑰“SEKy+1 ”到服務(wù)訂戶���。圖4是說明在一般基于PPV的訪問環(huán)境下SEK和TEK的提供流的圖。參考圖4�,在基于PPV的訪問環(huán)境下,將PEK的生存期(PEK LT)計(jì)算為“m”乘以 TEK的生存期(TEK LT)�����。這里m≤η����。例如,當(dāng)假設(shè)PEK LT = 0. 5*SEK LT時(shí)��,更新PEK的頻率應(yīng)該是更新SEK的頻率 的兩倍�����。例如����,假設(shè)用戶針對(duì)與PEKz和PEKZ+1相關(guān)的兩個(gè)隨后的時(shí)間間隔發(fā)出兩個(gè)購買請(qǐng) 求���。在這種情況下,在使用TEKX+1(這是與PEKz相關(guān)的第一 TEK)之前�,在步驟310中,RI發(fā) 送包括PEKz的新GRO到用戶��。通過僅在對(duì)應(yīng)用戶和RI之間共享的SMK1加密PEKZ�����。在使用 TEKx+m+1 (這是與PEKZ+1相關(guān)的第一 TEK)之前�,在步驟320中���,RI發(fā)送包括PEKZ+1的新GRO到 用戶���。但是,當(dāng)在使用TEKx+n+1之前用戶不發(fā)出進(jìn)一步的購買請(qǐng)求時(shí)����,RI不會(huì)發(fā)送關(guān)于 TEKx+n+1的PEK到用戶�����,從而用戶無法解密從TEKx+n+1開始的TEK�。因此,存在著這樣的問題 用戶無法使用用戶所請(qǐng)求的服務(wù)或服務(wù)內(nèi)容��。
發(fā)明內(nèi)容
做出本發(fā)明來解決至少以上所述的問題和/或不足���,并且提供至少以下所述的優(yōu) 點(diǎn)。因此�����,本發(fā)明的一方面提供一種在移動(dòng)廣播系統(tǒng)中用于分發(fā)業(yè)務(wù)加密密鑰的方法及其 系統(tǒng)���。本發(fā)明提供一種在移動(dòng)廣播系統(tǒng)中用于重新產(chǎn)生包括業(yè)務(wù)加密密鑰的消息���,并且 通過該消息分發(fā)和接收該業(yè)務(wù)加密密鑰的分發(fā)的方法及其系統(tǒng)�����。依據(jù)本發(fā)明的一方面�,提供一種在移動(dòng)廣播系統(tǒng)中用于保護(hù)提供給終端的廣播服 務(wù)的加密密鑰分發(fā)方法��,其包括當(dāng)廣播服務(wù)首次提供給終端時(shí)�,通過網(wǎng)絡(luò)產(chǎn)生第一加密密 鑰�,并向終端發(fā)送包括用于識(shí)別該產(chǎn)生的第一加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息��; 以及在第一加密密鑰的生存期逾期之前通過網(wǎng)絡(luò)產(chǎn)生第二加密密鑰��,并向終端發(fā)送包括用 于識(shí)別該產(chǎn)生的第二加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息����。依據(jù)本發(fā)明的另一方面,提供一種在移動(dòng)廣播系統(tǒng)中由終端接收為保護(hù)廣播服務(wù) 分發(fā)的加密密鑰的方法����,其包括當(dāng)從網(wǎng)絡(luò)接收到通用權(quán)利對(duì)象消息時(shí)��,利用訂戶管理密鑰 來驗(yàn)證通用權(quán)利對(duì)象消息�;利用安全功能來檢驗(yàn)包括在通用權(quán)利對(duì)象消息中的用于識(shí)別加 密密鑰的識(shí)別信息����;以及通過該識(shí)別信息識(shí)別對(duì)于該加密密鑰的訪問值對(duì),并存儲(chǔ)識(shí)別的 訪問值對(duì)�。依據(jù)本發(fā)明的再一方面,提供一種在移動(dòng)廣播系統(tǒng)中用于保護(hù)提供給終端的廣播 服務(wù)的加密密鑰分發(fā)系統(tǒng)��,該加密密鑰分發(fā)系統(tǒng)包括網(wǎng)絡(luò)�����,用于當(dāng)對(duì)終端首次提供廣播服 務(wù)時(shí)產(chǎn)生第一加密密鑰����,發(fā)送包括用于識(shí)別該產(chǎn)生的第一加密密鑰的識(shí)別信息的通用權(quán)利 對(duì)象消息,在第一加密密鑰的生存期逾期之前產(chǎn)生第二加密密鑰����,并且向終端發(fā)送包括用 于識(shí)別該產(chǎn)生的第二加密密鑰的識(shí)別信息的該通用權(quán)利對(duì)象消息;和終端����,用于從網(wǎng)絡(luò)接 收通用權(quán)利對(duì)象消息���,檢驗(yàn)包括在通用權(quán)利對(duì)象消息中的用于識(shí)別第一和第二加密密鑰的 識(shí)別信息,以及通過經(jīng)檢驗(yàn)的識(shí)別信息來識(shí)別和存儲(chǔ)對(duì)于加密密鑰的訪問值對(duì)��。有益效果
現(xiàn)在將描述本發(fā)明的效果���,特別是通過上述實(shí)施例獲得的效果����。本發(fā)明提供新的密鑰等級(jí)�。同樣,根據(jù)新提供的密鑰等級(jí)�,本發(fā)明提供一種產(chǎn)生和 獲取針對(duì)廣播服務(wù)的內(nèi)容和節(jié)目的業(yè)務(wù)加密密鑰(TEK)的方法。此外�����,本發(fā)明新定義一種 能夠識(shí)別密鑰的生存期和加密密鑰的范圍的消息�,卻沒有與傳統(tǒng)的密鑰的生存期有關(guān)的頻 繁發(fā)送的消息的負(fù)擔(dān)����,并且也提供新定義的消息的格式和傳輸方法。因此�����,本發(fā)明的優(yōu)勢(shì)在于能夠更有效地保護(hù)和解密廣播服務(wù)內(nèi)容。另外��,由于執(zhí)行 保護(hù)和解密時(shí)���,而對(duì)現(xiàn)有廣播服務(wù)訪問情形沒有任何改變����,因此根據(jù)本發(fā)明的方法和系統(tǒng) 具有與現(xiàn)有的移動(dòng)廣播系統(tǒng)較高的兼容性��。
當(dāng)結(jié)合附圖時(shí)根據(jù)以下詳細(xì)的描述�����,本發(fā)明的前述和其他目的��、特征和優(yōu)點(diǎn)將變 得更加明了���,其中圖1是說明應(yīng)用本發(fā)明的移動(dòng)廣播系統(tǒng)的網(wǎng)絡(luò)架構(gòu)的框圖�。圖2是說明一般DRM簡(jiǎn)檔的密鑰等級(jí)的圖���。圖3是說明向一般服務(wù)訂戶提供SEK/TEK的過程的流程圖���。圖4是說明向一般PPV用戶提供SEK/TEK的過程的流程圖��。圖5是說明根據(jù)本發(fā)明的實(shí)施例的DRM簡(jiǎn)檔的密鑰等級(jí)�。圖6是說明根據(jù)本發(fā)明的實(shí)施例的向服務(wù)訂戶提供AVP的過程的流程圖��。圖7是說明根據(jù)本發(fā)明的實(shí)施例的向PPV用戶提供AVP的過程的流程圖����,以及。圖8是說明根據(jù)本發(fā)明的實(shí)施例的在終端中處理通用權(quán)利對(duì)象消息的過程的流 程圖�����。
具體實(shí)施例方式參考附圖來詳細(xì)描述本發(fā)明的實(shí)施例��。應(yīng)該注意的是��,相同的參考標(biāo)號(hào)指定相同 的部件�,盡管它們?cè)诓煌母綀D中示出。另外����,在以下說明中,示出許多特定的項(xiàng)目��,但是給 出這些僅用于提供本發(fā)明的一般理解����。本領(lǐng)域的技術(shù)人員將會(huì)理解,可以在本發(fā)明的范圍 內(nèi)做出形式和細(xì)節(jié)上的各種改變�����。另外���,在本發(fā)明的以下說明中���,當(dāng)對(duì)這里并入的公知的功 能和配置的詳細(xì)說明會(huì)使得本發(fā)明的主題不清楚時(shí),將省去它們�����。本發(fā)明提供一種應(yīng)用于OMA BCAST服務(wù)保護(hù)和內(nèi)容保護(hù)架構(gòu)(即���,DRM簡(jiǎn)檔)的���、 使用訪問值對(duì)(AVP)來管理廣播服務(wù)的業(yè)務(wù)加密密鑰(TEK)的方法。本發(fā)明包括在被授權(quán)用戶或用戶群(即,終端群)和服務(wù)器之間的加密密鑰的產(chǎn) 生��、分發(fā)和維持�。加密密鑰被用來保護(hù)(即,加密)服務(wù)內(nèi)容�����,該服務(wù)內(nèi)容由內(nèi)容/服務(wù)提 供商分發(fā)到內(nèi)容/服務(wù)用戶�����。對(duì)此��,根據(jù)本發(fā)明�����,無任何改變地維持服務(wù)(即�����,現(xiàn)有訪問情 形)�����,并且由AVP替換服務(wù)加密密鑰(SEK)和節(jié)目加密密鑰(PEK)。具體地�����,使用隨機(jī)值對(duì) 來計(jì)算AVP��,該隨機(jī)值對(duì)稱為密鑰種子對(duì)(KSP)��,它通過權(quán)利發(fā)行者(RI)隨機(jī)地產(chǎn)生����。接下 來�����,AVP用來導(dǎo)出多個(gè)業(yè)務(wù)加密密鑰(TEK)�。因此,本發(fā)明更新密鑰等級(jí)結(jié)構(gòu)��,改變TEK識(shí)別方法��,并且阻止短期密鑰消息 (STKM)的頻繁發(fā)送(而這在現(xiàn)有方法中發(fā)生)��。同樣����,根據(jù)本發(fā)明最新提出的通用權(quán)利對(duì) 象(GRO)消息包括TEK標(biāo)識(shí)符(ID)�����、訪問準(zhǔn)貝"J����、通過現(xiàn)有方法中的STKM攜帶的信息�����、以及AVP�����。同樣�����,本發(fā)明提供在終端中處理GRO消息的方法�����。圖5是說明根據(jù)本發(fā)明的實(shí)施例的密鑰等級(jí)的圖����。參考圖5����,與注冊(cè)密鑰(即���,注冊(cè)級(jí)密鑰)400相關(guān)的推斷的加密密鑰(IEK)420或 設(shè)備公共密鑰410被用來加密訪問值對(duì)(AVP)430。用于服務(wù)的AVP(下文中“SAVP”)表示 密鑰種子對(duì)(KSP)值��,而用于節(jié)目的AVP (下文中“PAVP” ) 430表示對(duì)于給定服務(wù)密鑰種子 對(duì)的哈希值的子集���。AVP通過GRO消息發(fā)送到每個(gè)終端��,并且用來在每個(gè)使用情形(如�,基于 訂閱的�、PPV等)中保護(hù)單個(gè)訂閱服務(wù)或節(jié)目。AVP用來導(dǎo)出一組業(yè)務(wù)加密密鑰(TEK)440�。根據(jù)本發(fā)明,不再通過現(xiàn)有的短期密鑰消息(STKM)傳送TEK�����,而是經(jīng)過GRO消息傳 送����。因此�,在SAS和PAS要求另外的密鑰資料時(shí)���,本發(fā)明不需要另外的密鑰資料���。這里,導(dǎo) 出TEK和AVP的過程如下��。同時(shí)�,KSP是IKS1、1( }對(duì)��,其中由RI隨機(jī)產(chǎn)生KSdn KS2���。當(dāng)能夠通過KSP產(chǎn)生 的TEK的總數(shù)量是“η”時(shí)���,AVP可以按照如下兩種方式來計(jì)算1.當(dāng)允許用戶產(chǎn)生η個(gè)TEK時(shí)AVP = KSP = IKS1、KS2I2.當(dāng)允許用戶產(chǎn)生m個(gè)TEK時(shí)(其中m < η)a)將哈希函數(shù)對(duì)KS1應(yīng)用η次迭代�,如上所述,并且存儲(chǔ)哈希值{SJ的序列��。S1 = hash (KS1)�、S2 = hash (S1)�����、…����、Slri = hash (Sn_2)���、Sn = hash (Slri)上述的哈希序列稱為前向哈希序列��。b)將哈希函數(shù)對(duì)1( 應(yīng)用η次迭代,如上所述����,并且從最后一個(gè)哈希值開始存儲(chǔ)哈 希值{MJ的序列。M1 = hash (M2)�、M2 = hash (M3)、…�、Mlri = hash (Mn)、Mn = hash (KS2)也即�,M1表示1( 的第η個(gè)哈希值,而M2表示1( 的第(n_l)個(gè)哈希值��。該哈希序 列稱為后向哈希序列����。c) AVP = {S” Mj]這里����,“ i ”表示在η個(gè)TEK的序列中可以被用戶使用的第一 TEK的索引(S卩�,序列 號(hào)碼),并且“j”表示在η個(gè)TEK的序列中可以被用戶使用的最后一個(gè)TEK的索引(即����,序 列號(hào)碼)。以下提供對(duì)于其中映射密鑰資料的情形的描述��。同時(shí)��,當(dāng)密鑰資料被映射時(shí)��,SEK 可以被映射到“單個(gè)SAVP = KSP"(即�����,KSP LT = SEK LT 從KSP中導(dǎo)出η TEK)��,或可以被 映射到多個(gè)SAVP (SAVP1 = KSP1�����、SAVP2 = KSP2、· · ·)����。同樣,PEK可以被映射到從相關(guān)SAVP 中導(dǎo)出的單個(gè)PAVP��,或映射到分別從一個(gè)或多個(gè)相關(guān)SAVP中導(dǎo)出的多個(gè)PAVP��。同樣�,BSM可以從前向和/或后向哈希序列中產(chǎn)生η個(gè)TEK,如下��。TEKi = Si XOR Mj這里�,XOR表示逐位異或運(yùn)算�����。在終端中�����,如下計(jì)算{SpMj}中的m個(gè)TEK����。也即����,通過針對(duì)區(qū)間[l�����,m]中的全部χ 計(jì)算m個(gè)值��,以及針對(duì)區(qū)間[l�����,m]中的全部χ計(jì)算m個(gè)Mh值�。最后,針對(duì)從區(qū)間[i�, i+m]中的全部 χ 計(jì)算 “TEKX = Sx XOR Mx”。通常��,為了滿足對(duì)于各種安全協(xié)議的要求�����,不同類型的哈希函數(shù)可以被用于TEK 推導(dǎo)�����,并且哈希函數(shù)可以被截短并輸出。
圖6和7是說明根據(jù)本發(fā)明的實(shí)施例的密鑰分發(fā)的示例的圖�����。圖6和7的條件和 圖3和4的條件相同���。圖6是說明根據(jù)本發(fā)明的實(shí)施例的在基于訂閱的訪問條件中的SAVP提供流的圖�����。在根據(jù)本發(fā)明的實(shí)施例的基于訂閱的訪問條件中��,將SAVP的生存期計(jì)算為η乘以 TEK的生存期����。也即����,可以從SAVP中產(chǎn)生η個(gè)ΤΕΚ�����。當(dāng)服務(wù)提供開始時(shí),在步驟510中RI 產(chǎn)生新的SAVP1并且通過GRO消息向服務(wù)訂戶發(fā)送����。通過僅在用戶和RI之間共享的ERK1 加密SAVP115同樣,在SAVP1逾期之前����,在步驟520中RI重新產(chǎn)生SAVP2并且通過GRO消息 向服務(wù)訂戶發(fā)送。同樣通過僅在用戶和RI之間共享的ERK1加密SAVP2�。圖7是說明根據(jù)本發(fā)明的實(shí)施例的在基于PPV的訪問條件中的PAVP提供流的圖。在根據(jù)本發(fā)明的實(shí)施例的基于PPV的訪問條件中��,將PAVP的生存期(PAVP LT)計(jì) 算為m乘以TEK的生存期����,其中m彡η。雖然圖7示出其中從SAVP1中導(dǎo)出兩個(gè)PAVP(PAVP1 和PAVP2)的示例��,但是可以存在從SAVP1導(dǎo)出的三個(gè)或更多PAVP�。用戶應(yīng)該對(duì)每個(gè)PAVP發(fā) 出單獨(dú)的購買請(qǐng)求。當(dāng)在開始訪問內(nèi)容之前用戶執(zhí)行第一購買時(shí)����,在步驟610中RI通過GRO消息發(fā)送 PAVP1到用戶。同樣��,在PAVP1逾期之前,用戶發(fā)出第二購買請(qǐng)求���。當(dāng)該購買被成功地完成 時(shí)�,在步驟620中RI通過GRO消息發(fā)送PAVP2到用戶����。當(dāng)在SAVP2逾期之前用戶沒有發(fā)出 進(jìn)一步的購買請(qǐng)求時(shí),RI不發(fā)送任何PAVP��,因此用戶無法再訪問內(nèi)容���。在以下說明中��,將描述根據(jù)本發(fā)明的實(shí)施例的密鑰識(shí)別方法��。以下表1示出在根據(jù)本發(fā)明的實(shí)施例的密鑰標(biāo)識(shí)符和DRM簡(jiǎn)檔的密鑰標(biāo)識(shí)符之間 的映射關(guān)系���。表權(quán)利要求
1.一種在移動(dòng)廣播系統(tǒng)中用于保護(hù)向終端提供的廣播服務(wù)的加密密鑰分發(fā)方法,該方 法包括步驟當(dāng)向該終端首次提供廣播服務(wù)時(shí)����,由網(wǎng)絡(luò)產(chǎn)生第一加密密鑰;向該終端發(fā)送包括用于識(shí)別所產(chǎn)生的第一加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息���;在該第一加密密鑰的生存期逾期之前���,由該網(wǎng)絡(luò)產(chǎn)生第二加密密鑰;以及 向該終端發(fā)送包括用于識(shí)別所產(chǎn)生的第二加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息����。
2.根據(jù)權(quán)利要求1所述的方法,其中所述用于識(shí)別第一加密密鑰的識(shí)別信息和用于識(shí) 別第二加密密鑰的識(shí)別信息包括用于識(shí)別第一訪問值對(duì)和第二訪問值對(duì)的值��。
3.根據(jù)權(quán)利要求2所述的方法����,其中所述第一訪問值對(duì)和第二訪問值對(duì)分別包括服務(wù) 訪問值對(duì)和節(jié)目訪問值對(duì),該節(jié)目訪問值對(duì)從該服務(wù)訪問值對(duì)導(dǎo)出�。
4.根據(jù)權(quán)利要求2所述的方法,其中所述第一訪問值對(duì)和第二訪問值對(duì)的第一加密密 鑰的生存期和第二加密密鑰的生存期是分別從第一加密密鑰和第二加密密鑰導(dǎo)出的業(yè)務(wù) 加密密鑰的生存期的整數(shù)倍��。
5.根據(jù)權(quán)利要求2所述的方法�����,其中所述第一訪問值對(duì)和第二訪問值對(duì)分別包括業(yè)務(wù) 加密密鑰的第一索引和最后一個(gè)索引�����,以及該網(wǎng)絡(luò)響應(yīng)于該終端對(duì)該第一加密密鑰和第二加密密鑰的購買請(qǐng)求,向該終端發(fā)送通 用權(quán)利對(duì)象消息�,該通用權(quán)利對(duì)象消息包括包含該第一訪問值對(duì)和第二訪問值對(duì)的權(quán)利對(duì) 象。
6.根據(jù)權(quán)利要求5所述的方法���,其中該網(wǎng)絡(luò)響應(yīng)于該終端對(duì)第一加密密鑰和第二加密 密鑰的購買請(qǐng)求�����,向終端發(fā)送用于廣播的通用權(quán)利對(duì)象消息����,以及其中所述用于廣播的通用權(quán)利對(duì)象消息包括包含該第一訪問值對(duì)和第二訪問值對(duì)的 廣播權(quán)利對(duì)象����。
7.根據(jù)權(quán)利要求1所述的方法,其中所述第一加密密鑰和第二加密密鑰是利用在該終 端和該網(wǎng)絡(luò)之間共享的訂戶管理密鑰進(jìn)行加密的密鑰����。
8.一種在移動(dòng)廣播系統(tǒng)中由終端接收為保護(hù)廣播服務(wù)分發(fā)的加密密鑰的方法,該方法 包括步驟從網(wǎng)絡(luò)接收通用權(quán)利對(duì)象消息���;使用訂戶管理密鑰來驗(yàn)證該通用權(quán)利對(duì)象消息����;使用安全功能來檢驗(yàn)包括在該通用權(quán)利對(duì)象消息中的用于識(shí)別加密密鑰的識(shí)別信息;通過該識(shí)別信息識(shí)別對(duì)于該加密密鑰的訪問值對(duì)�����;以及 存儲(chǔ)識(shí)別的訪問值對(duì)��。
9.根據(jù)權(quán)利要求8所述的方法���,其中所述由終端檢驗(yàn)該識(shí)別信息包括 從訪問值對(duì)檢驗(yàn)服務(wù)訪問值對(duì);和檢驗(yàn)從該服務(wù)訪問值對(duì)導(dǎo)出的至少一個(gè)節(jié)目訪問值對(duì)��。
10.根據(jù)權(quán)利要求8所述的方法���,其中所述由終端檢驗(yàn)該識(shí)別信息包括檢驗(yàn)通過識(shí)別信息識(shí)別的訪問值對(duì)���、該訪問值對(duì)的生存期、和從該訪問值對(duì)導(dǎo)出的業(yè) 務(wù)加密密鑰的數(shù)量�����。
11.根據(jù)權(quán)利要求10所述的方法��,其中所述由終端檢驗(yàn)該識(shí)別信息包括檢驗(yàn)包含關(guān)于該訪問值對(duì)的描述的描述符的數(shù)量���;和檢驗(yàn)被檢驗(yàn)數(shù)量的描述符�。
12.根據(jù)權(quán)利要求11所述的方法,還包括由終端搜索應(yīng)用了所述被檢驗(yàn)數(shù)量的描述 符的業(yè)務(wù)加密密鑰的范圍��。
13.一種在移動(dòng)廣播系統(tǒng)中用于保護(hù)提供給終端的廣播服務(wù)的加密密鑰分發(fā)系統(tǒng)���,該 加密密鑰分發(fā)系統(tǒng)包括網(wǎng)絡(luò)���,用于當(dāng)向終端首次提供廣播服務(wù)時(shí)產(chǎn)生第一加密密鑰,發(fā)送包括用于識(shí)別所產(chǎn) 生的第一加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息�����,在該第一加密密鑰的生存期逾期之前 產(chǎn)生第二加密密鑰�,并且向終端發(fā)送包括用于識(shí)別所產(chǎn)生的第二加密密鑰的識(shí)別信息的通 用權(quán)利對(duì)象消息;和該終端���,用于從該網(wǎng)絡(luò)接收通用權(quán)利對(duì)象消息�����,檢驗(yàn)包括在通用權(quán)利對(duì)象消息中的用 于識(shí)別第一和第二加密密鑰的識(shí)別信息��,以及通過經(jīng)檢驗(yàn)的識(shí)別信息來識(shí)別和存儲(chǔ)對(duì)于加 密密鑰的訪問值對(duì)���。
14.根據(jù)權(quán)利要求13所述的加密密鑰分發(fā)系統(tǒng)����,其中所述用于識(shí)別第一加密密鑰和第 二加密密鑰的識(shí)別信息包括用于識(shí)別第一訪問值對(duì)和第二訪問值對(duì)的值�。
15.根據(jù)權(quán)利要求14所述的加密密鑰分發(fā)系統(tǒng)�����,其中所述第一訪問值對(duì)和第二訪問值 對(duì)分別包括服務(wù)訪問值對(duì)和節(jié)目訪問值對(duì)�����,該節(jié)目訪問值對(duì)從該服務(wù)訪問值對(duì)導(dǎo)出�。
16.根據(jù)權(quán)利要求15所述的加密密鑰分發(fā)系統(tǒng),其中所述第一訪問值對(duì)和第二訪問值 對(duì)的第一加密密鑰的生存期和第二加密密鑰的生存期是分別從第一加密密鑰和第二加密 密鑰導(dǎo)出的業(yè)務(wù)加密密鑰的生存期的整數(shù)倍����。
17.根據(jù)權(quán)利要求16所述的加密密鑰分發(fā)系統(tǒng),其中所述第一訪問值對(duì)和第二訪問值 對(duì)分別包括業(yè)務(wù)加密密鑰的第一索引和最后一個(gè)索引���,以及該網(wǎng)絡(luò)響應(yīng)于終端對(duì)第一加密密鑰和第二加密密鑰的購買請(qǐng)求�����,向終端發(fā)送該通用權(quán) 利對(duì)象消息����,該通用權(quán)利對(duì)象消息包括包含該第一訪問值對(duì)和第二訪問值對(duì)的權(quán)利對(duì)象。
18.根據(jù)權(quán)利要求17所述的加密密鑰分發(fā)系統(tǒng)����,其中該網(wǎng)絡(luò)響應(yīng)于終端對(duì)第一加密密 鑰和第二加密密鑰的購買請(qǐng)求,向終端發(fā)送用于廣播的通用權(quán)利對(duì)象消息���,以及其中所述用于廣播的通用權(quán)利對(duì)象消息包括包含該第一訪問值對(duì)和第二訪問值對(duì)的 廣播權(quán)利對(duì)象���。
19.根據(jù)權(quán)利要求13所述的加密密鑰分發(fā)系統(tǒng),其中該終端從該訪問值對(duì)檢驗(yàn)服務(wù)訪 問值對(duì)�,以及檢驗(yàn)從該服務(wù)訪問值對(duì)導(dǎo)出的至少一個(gè)節(jié)目訪問值對(duì)。
20.根據(jù)權(quán)利要求14所述的加密密鑰分發(fā)系統(tǒng)��,其中該終端檢驗(yàn)通過所述用于識(shí)別第 一和第二加密密鑰的識(shí)別信息識(shí)別的訪問值對(duì)�、該訪問值對(duì)的生存期、和能夠從該訪問值 對(duì)導(dǎo)出的業(yè)務(wù)加密密鑰的數(shù)量�。
21.根據(jù)權(quán)利要求20所述的加密密鑰分發(fā)系統(tǒng),其中該終端檢驗(yàn)包含關(guān)于訪問值對(duì)的 描述的描述符的數(shù)量�,并且檢驗(yàn)該描述符�。
22.根據(jù)權(quán)利要求21所述的加密密鑰分發(fā)系統(tǒng)��,其中該終端搜索應(yīng)用了檢驗(yàn)的描述符 的業(yè)務(wù)加密密鑰的范圍����。
全文摘要
本發(fā)明提供一種在移動(dòng)廣播系統(tǒng)中用于服務(wù)和內(nèi)容保護(hù)的加密密鑰分發(fā)方法,以及使用該方法的系統(tǒng)�����。根據(jù)本發(fā)明的加密密鑰分發(fā)方法包括步驟當(dāng)首次提供廣播服務(wù)時(shí)由網(wǎng)絡(luò)產(chǎn)生第一加密密鑰�;向終端發(fā)送包括用于識(shí)別所產(chǎn)生的第一加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息;在第一加密密鑰的生存期逾期之前由網(wǎng)絡(luò)產(chǎn)生第二加密密鑰�;并且向終端發(fā)送包括用于識(shí)別所產(chǎn)生的第二加密密鑰的識(shí)別信息的通用權(quán)利對(duì)象消息����。
文檔編號(hào)H04L9/08GK102067510SQ200980122311
公開日2011年5月18日 申請(qǐng)日期2009年6月10日 優(yōu)先權(quán)日2008年6月11日
發(fā)明者李炳來, 瑟吉·N·塞萊茲內(nèi)夫, 黃承吾 申請(qǐng)人:三星電子株式會(huì)社