基于ARM TrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及數(shù)字版權(quán)管理領(lǐng)域���,尤其涉及基于ARMTrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)方法和裝置��。
【背景技術(shù)】
[0002]隨著電子音視頻節(jié)目在互聯(lián)網(wǎng)上的廣泛傳播����,為了保護(hù)數(shù)字媒體的版權(quán),需要從技術(shù)上防止數(shù)字媒體的非法復(fù)制���,或者在一定程度上使復(fù)制很困難����,使用戶必須得到授權(quán)后才能使用數(shù)字媒體���。
[0003]圖1示出了現(xiàn)有數(shù)字版權(quán)管理的簡(jiǎn)要框圖�����。主要包括三個(gè)功能實(shí)體:內(nèi)容提供商101����、授權(quán)中心102和客戶端103?��,F(xiàn)在通常的數(shù)字版權(quán)管理方法是:內(nèi)容提供商101將數(shù)字多媒體內(nèi)容加密�,并且在節(jié)目頭信息中加入密鑰標(biāo)識(shí)以及統(tǒng)一資源定位器(UniformResourceLocator, URL)地址;客戶端103的格式解析模塊104獲取多媒體內(nèi)容以及其中的多媒體頭信息����,將多媒體頭信息發(fā)送給客戶端103的協(xié)議解析模塊105����,協(xié)議解析模塊105根據(jù)節(jié)目頭信息以及身份認(rèn)證賬戶向授權(quán)中心102發(fā)送許可請(qǐng)求;授權(quán)中心102經(jīng)過(guò)身份認(rèn)證之后將許可證頒發(fā)給客戶端103的協(xié)議解析模塊105 ;協(xié)議解析模塊105從許可證中獲得解密內(nèi)容密鑰���,發(fā)送給解密引擎106 ;格式解析模塊104解復(fù)用多媒體內(nèi)容得到加密的音視頻基本碼流�����,將加密的音視頻基本碼流發(fā)送給客戶端103的解密引擎106 ;解密引擎106利用解密內(nèi)容密鑰解密多媒體內(nèi)容�����,從而使客戶端103的解碼器107和播放模塊108能夠解碼和播放解密后的多媒體內(nèi)容�����?�?蛻舳?03需要保護(hù)的數(shù)字媒體是被加密的�����,即使被用戶下載保存并散播給他人�,沒(méi)有得到授權(quán)中心102的驗(yàn)證授權(quán)也無(wú)法使用,從而保護(hù)了數(shù)字媒體的版權(quán)�。
【發(fā)明內(nèi)容】
[0004]在上述三個(gè)功能實(shí)體中,客戶端由于分散性強(qiáng)���,并且存在硬件與軟件系統(tǒng)的多樣性�,容易被黑客攻擊���。當(dāng)前的技術(shù)一般是在非信任執(zhí)行子系統(tǒng)下(如Linux)完成用戶賬戶的輸入�、許可證請(qǐng)求與獲得�、播放時(shí)限和次數(shù)的控制、加解密���、編解碼���、圖像的顯示(視頻)以及聲音的回放(音頻)。然而�,處于非信任執(zhí)行子系統(tǒng)下的數(shù)據(jù)以及算法可能被黑客攻擊:竊取用戶賬戶信息、許可證中解密內(nèi)容的密鑰;篡改系統(tǒng)時(shí)間�����;破解加解密算法和控制解密引擎�;重定向解碼器的輸出,從而以YUV存儲(chǔ)的方式非法獲取多媒體內(nèi)容����。版權(quán)管理方法的失效���,給數(shù)字多媒體內(nèi)容的出版商和發(fā)行商造成巨大的經(jīng)濟(jì)損失����。
[0005]為了解決上述一個(gè)或多個(gè)問(wèn)題�,本申請(qǐng)?zhí)峁┝嘶贏RM TrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)方法和裝置。
[0006]一方面����,本申請(qǐng)?zhí)峁┝艘环N基于ARM TrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)方法,所述ARM TrustZone系統(tǒng)包括非信任執(zhí)行子系統(tǒng)和可信任執(zhí)行子系統(tǒng)����,所述方法包括:獲取多媒體內(nèi)容以及其中的多媒體頭信息;獲取用戶賬戶信息�����;利用用戶賬戶信息和多媒體頭信息向授權(quán)中心請(qǐng)求許可證;解析許可證以獲得解密內(nèi)容密鑰�;根據(jù)所述解密內(nèi)容密鑰對(duì)所述多媒體內(nèi)容進(jìn)行解密;對(duì)解密后的多媒體內(nèi)容進(jìn)行解碼和播放����;其中,以下至少一項(xiàng)處理至少部分在可信任執(zhí)行子系統(tǒng)中執(zhí)行:獲取用戶賬戶信息��、請(qǐng)求許可證��、解析許可證��、解密所述多媒體內(nèi)容及解碼和播放解密后的多媒體內(nèi)容���。
[0007]在某些實(shí)施方式中��,所述獲取用戶賬戶信息包括:在可信任執(zhí)行子系統(tǒng)中獲取用戶賬戶信息����,以及將所述用戶賬戶信息傳遞至非信任執(zhí)行子系統(tǒng)中進(jìn)行處理����。
[0008]在某些實(shí)施方式中����,所述在可信任執(zhí)行子系統(tǒng)中獲取用戶賬戶信息包括:在可信任執(zhí)行子系統(tǒng)中通過(guò)可信任用戶界面獲取用戶賬戶信息���,所述可信任用戶界面對(duì)非信任執(zhí)行子系統(tǒng)中的處理不可見(jiàn)�。
[0009]在某些實(shí)施方式中���,所述請(qǐng)求許可證包括:在所述可信任執(zhí)行子系統(tǒng)中接收在非信任執(zhí)行子系統(tǒng)中獲取的所述多媒體頭信息中的賬戶公開(kāi)密鑰��;在所述可信任執(zhí)行子系統(tǒng)中利用所述賬戶公開(kāi)密鑰對(duì)用戶賬戶信息進(jìn)行加密�;以及將加密后的用戶賬戶信息傳遞至所述非信任執(zhí)行子系統(tǒng)中進(jìn)行處理����。
[0010]在某些實(shí)施方式中�����,所述請(qǐng)求許可證還包括:在所述可信任執(zhí)行子系統(tǒng)中生成許可證非對(duì)稱密鑰�����,以及將所述許可證非對(duì)稱密鑰中的許可證公開(kāi)密鑰傳遞至非信任執(zhí)行子系統(tǒng)中進(jìn)行處理。
[0011]在某些實(shí)施方式中�,所述請(qǐng)求許可證還包括:在所述非信任執(zhí)行子系統(tǒng)中生成請(qǐng)求,以及向授權(quán)中心發(fā)送所述請(qǐng)求��,所述請(qǐng)求包括:頒發(fā)許可證的請(qǐng)求信息���、多媒體頭信息中的密鑰識(shí)別號(hào)�、加密后的用戶賬戶信息和所述許可證公開(kāi)密鑰�����。
[0012]在某些實(shí)施方式中����,所述解析許可證包括:在所述非信任執(zhí)行子系統(tǒng)中從授權(quán)中心接收加密的許可證,以及將所述許可證傳遞至所述可信任執(zhí)行子系統(tǒng)中進(jìn)行處理����;在所述可信任執(zhí)行子系統(tǒng)中執(zhí)行利用所述許可證非對(duì)稱密鑰中的私有密鑰解密所述加密的許可證以生成解密內(nèi)容密鑰、播放次數(shù)信息和播放時(shí)限信息����。
[0013]在某些實(shí)施方式中,所述解密所述多媒體內(nèi)容包括:在所述非信任執(zhí)行子系統(tǒng)中解復(fù)用所述多媒體內(nèi)容以分離出加密的音視頻基本碼流����,將所述加密的音視頻基本碼流傳遞至所述可信任執(zhí)行子系統(tǒng)中進(jìn)行處理���。
[0014]在某些實(shí)施方式中,所述解密所述多媒體內(nèi)容還包括:在所述可信任執(zhí)行子系統(tǒng)中根據(jù)獲取的所述解密內(nèi)容密鑰�、播放次數(shù)信息和播放時(shí)限信息,解密獲取的所述加密的音視頻基本碼流����。
[0015]在某些實(shí)施方式中,所述解碼和播放解密后的多媒體內(nèi)容包括:在所述可信任執(zhí)行子系統(tǒng)中對(duì)解密后的音視頻基本碼流進(jìn)行解碼和播放�����。
[0016]在某些實(shí)施方式中����,所述非信任執(zhí)行子系統(tǒng)與所述可信任執(zhí)行子系統(tǒng)之間通過(guò)所述非信任執(zhí)行子系統(tǒng)中的非安全共享內(nèi)存?zhèn)鬟f數(shù)據(jù)。
[0017]在某些實(shí)施方式中�����,在可信任執(zhí)行子系統(tǒng)中執(zhí)行的處理通過(guò)可信任執(zhí)行子系統(tǒng)中的安全內(nèi)存存取數(shù)據(jù)�;其中�����,所述安全內(nèi)存不能夠被處于非信任執(zhí)行子系統(tǒng)中的處理訪問(wèn)。
[0018]第二方面�,本申請(qǐng)?zhí)峁┝艘环N基于ARM TrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)裝置,所述ARM TrustZone系統(tǒng)包括非信任執(zhí)行子系統(tǒng)和可信任執(zhí)行子系統(tǒng)�����,所述裝置包括:第一獲取模塊����,用于獲取多媒體內(nèi)容以及其中的多媒體頭信息;第二獲取模塊�����,用于獲取用戶賬戶信息��;請(qǐng)求模塊����,用于利用用戶賬戶信息和多媒體頭信息向授權(quán)中心請(qǐng)求許可證;解析模塊�,用于解析許可證以獲得解密內(nèi)容密鑰;解密模塊���,用于根據(jù)所述解密內(nèi)容密鑰對(duì)所述多媒體內(nèi)容進(jìn)行解密��;解碼播放模塊���,用于對(duì)解密后的多媒體內(nèi)容進(jìn)行解碼和播放�����;其中���,以下至少一個(gè)模塊至少部分在可信任執(zhí)行子系統(tǒng)中實(shí)現(xiàn):第二獲取模塊、請(qǐng)求模塊�����、解析模塊�����、解密模塊和解碼播放模塊����。
[0019]在某些實(shí)施方式中����,所述第二獲取模塊包括:獲取子模塊�,用于在所述可信任執(zhí)行子系統(tǒng)中獲取用戶賬戶信息���;以及將所述用戶賬戶信息傳遞至所述非信任執(zhí)行子系統(tǒng)中進(jìn)行處理��。
[0020]在某些實(shí)施方式中���,所述獲取子模塊用于通過(guò)可信任用戶界面獲取用戶賬戶信息,所述可信任用戶界面對(duì)所述非信任執(zhí)行子系統(tǒng)中的處理不可見(jiàn)��。
[0021]在某些實(shí)施方式中�����,所述請(qǐng)求模塊包括:第一接收子模塊���,用于在所述可信任執(zhí)行子系統(tǒng)中接收在非信任執(zhí)行子系統(tǒng)中獲取的所述多媒體頭信息中的賬戶公開(kāi)密鑰���;加密子模塊,用于在所述可信任執(zhí)行子系統(tǒng)中利用所述賬戶公開(kāi)密鑰對(duì)用戶賬戶信息進(jìn)行加密����,以及將加密后的用戶賬戶信息傳遞至所述非信任執(zhí)行子系統(tǒng)中進(jìn)行處理�����。
[0022]在某些實(shí)施方式中�,所述請(qǐng)求模塊還包括:第一生成子模塊��,用于在所述可信任執(zhí)行子系統(tǒng)中生成許可證非對(duì)稱密鑰����,以及將所述許可證非對(duì)稱密鑰中的許可證公開(kāi)密鑰傳遞至非信任執(zhí)行子系統(tǒng)中進(jìn)行處理。
[0023]在某些實(shí)施方式中����,所述請(qǐng)求模塊還包括:第二生成子模塊,用于在所述非信任執(zhí)行子系統(tǒng)中生成請(qǐng)求�����,以及向授權(quán)中心發(fā)送所述請(qǐng)求����,所述請(qǐng)求包括:頒發(fā)許可證的請(qǐng)求信息、多媒體頭信息中的密鑰識(shí)別號(hào)���、加密后的用戶賬戶信息和所述許可證公開(kāi)密鑰��。
[0024]在某些實(shí)施方式中����,所述解析模塊包括:第二接收子模塊��,用于在所述非信任執(zhí)行子系統(tǒng)中從授權(quán)中心接收加密的許可證�����,以及將所述許可證傳遞至可信任執(zhí)行子系統(tǒng)中進(jìn)行處理�;解密子模塊,用于在所述可信任執(zhí)行子系統(tǒng)中利用所述許可證非對(duì)稱密鑰中的私有密鑰解密所述加密的許可證以生成解密內(nèi)容密鑰�����、播放次數(shù)信息和播放時(shí)限信息�����。
[0025]在某些實(shí)施方式中��,所述解密模塊包括:分離子模塊���,用于在所述非信任執(zhí)行子系統(tǒng)中解復(fù)用所述多媒體內(nèi)容以分離出加密的音視頻基本碼流���,將所述加密的音視頻基本碼流傳遞至所述可信任執(zhí)行子系統(tǒng)中進(jìn)行處理���。
[0026]在某些實(shí)施方式中,所述解密模塊還包括:解密子模塊�����,用于在所述可信任執(zhí)行子系統(tǒng)中根據(jù)獲取的所述解密內(nèi)容密鑰�、播放次數(shù)信息和播放時(shí)限信息,解密獲取的所述加密的音視頻基本碼流���。
[0027]在某些實(shí)施方式中�,所述解碼播放模塊包括:解碼子模塊�����,用于在所述可信任執(zhí)行子系統(tǒng)中對(duì)解密后的音視頻基本碼流進(jìn)行解碼����,得到解碼后的音頻數(shù)據(jù)和視頻數(shù)據(jù);播放子模塊���,用于在所述可信任執(zhí)行子系統(tǒng)中播放所述解碼后的音頻數(shù)據(jù)和視頻數(shù)據(jù)����。
[0028]在某些實(shí)施方式中,所述裝置還包括:非安全共享內(nèi)存����,用于所述非信任執(zhí)行子系統(tǒng)與所述可信任執(zhí)行子系統(tǒng)之間通過(guò)所述非信任執(zhí)行子系統(tǒng)中的非安全共享內(nèi)存?zhèn)鬟f數(shù)據(jù)���。
[0029]在某些實(shí)施方式中���,所述裝置還包括:安全內(nèi)存,用于在可信任執(zhí)行子系統(tǒng)中執(zhí)行的處理通過(guò)可信任執(zhí)行子系統(tǒng)中的安全內(nèi)存存取數(shù)據(jù)���;其中����,所述安全內(nèi)存不能夠被處于非信任執(zhí)行子系統(tǒng)中的處理訪問(wèn)�����。
[0030]本申請(qǐng)?zhí)峁┑幕贏RM TrustZone系統(tǒng)的多媒體內(nèi)容保護(hù)方法和裝置�,通過(guò)將獲取用戶賬戶信息、請(qǐng)求許可證、解析許可證�、解密所述多媒體內(nèi)容、解碼和播放解密后的多媒體內(nèi)容中的至少一項(xiàng)處理至少部分在可信任執(zhí)行子系統(tǒng)中執(zhí)行�,使得用戶賬戶信息的采集、加密和存儲(chǔ)����、解密許可證的密鑰的生成、存儲(chǔ)和解密中的至少一項(xiàng)處理中的至少部分處理在可信任執(zhí)行子系統(tǒng)下完成�����,還可以使解密后的基本碼流數(shù)據(jù)和解碼后的YUV數(shù)據(jù)全部暫存在安全內(nèi)存之中�����,避免了敏感數(shù)據(jù)���、關(guān)鍵算法以及內(nèi)容的非法獲取�,增加了數(shù)字版權(quán)管理的可靠性�。
【附圖說(shuō)明】
[0031]通過(guò)閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本申請(qǐng)的其它特征����、目