用于在开放的计算平台内构造硬件信任根并且提供受保护
的内容处理的方法和装置
技术领域
[0001] 本公开一般涉及用于安全地处理数字内容的计算系统架构的领域。更具体地,本
发明的
实施例涉及在计算系统中构造硬件信任根和端对端保护数字内容处理。
背景技术
[0002] 在开放的计算平台上,例如个人计算机(PC)系统,当播放优质内容(诸如从DVD、蓝光等)时,数字
版权管理(DRM)处理和密钥管理通常通过媒体播放应用程序在
软件中执行。这些方案未受到良好保护,并且已经存在黑客的实例,导致盗版内容和内容所有者的收入损失。当内容被播放时,既使媒体解压缩(诸如H.264、MPEG-2)在硬件中完成,内容在系统
存储器中也是明文的,并且能够通过基于软件和/或基于硬件的攻击来盗取。由于这些显著的安全弱点,通常仅较低保真度(诸如标准清晰度(SD))内容或价值较低的高清(HD)内容被分发到开放的计算平台。期望对由开放计算平台(诸如PC)对数据内容进行安全处理的改进。
[0004] 参照附图提供详细描述。在不同附图中使用相同的附图标记表示相似或相同的项目。
[0005] 图1是根据本发明的实施例的安全内容处理流
水线的图。
[0006] 图2是根据本发明的实施例的服务提供商
服务器和安全服务架构的图。
[0007] 图3是根据本发明的实施例的客户计算系统的图。
[0008] 图4是根据本发明的实施例的安全内容处理的
流程图。
[0009] 图5是根据本发明的实施例的安全内容处理系统的图。
[0010] 详细描述
[0011] 本发明的实施例包括提供基于硬件的信任根(HW ROT)方案以支持优质数字内容的分发和回放的系统架构。在实施例中,用于数字内容和服务的HW ROT是一种方案,其中用于安全目的的信任
基础在客户计算系统中的硬件和
固件机制(而非软件)中生成根。基于该信任根,客户计算系统构造针对内容授权和回放儿受到保护的整个媒体处理流水线。在本发明的实施例中,客户计算系统关于内容处理的安全性不依赖于
操作系统、基本输入/输出系统(BIOS)、媒体播放应用或其它主机软件。为了破坏系统,对方需要破坏硬件和/或软件机制,这与攻击运行在OS之上的软件是不同的。
[0012] 在以下描述中,阐述众多具体细节以提供对各实施例的透彻理解。然而,本发明的各个实施例在没有这些具体细节的情况下也可实践。在其他情形中,众所周知的方法、过程、组件和
电路并未进行详细描述以免混淆本发明的特定实施例。此外,可利用诸如集成
半导体电路(“硬件”)、被组织成存储在计算机可读存储介质上的一个或多个程序的计算机可读指令(“软件”)、或硬件和软件的一些组合来执行本发明的实施例的各个方面。出于本公开的目的,对“逻辑”的引用应当意指硬件、软件(包括例如控制处理器的操作的微代码)、固件、或它们的一些组合。
[0013] 本发明的实施例通过使用CPU中的固件和硬件、客户计算系统101的
芯片组和集成图形/媒体引擎执行功能来保护内容保护处理、密钥管理处理和内容回放。本发明的实施例提供在通过计算系统内的组件处理内容时对该内容的端对端保护。图1是根据本发明的实施例的安全内容处理流水线100的图。内容102可由服务提供商(SP)服务器104
访问。内容102可以是任何数字信息,诸如音频、视频或音频/视频数据、图形、文本、书、杂质、游戏或应用程序。服务提供商服务器104可包括用于通过任何电信信道(诸如因特网、蜂窝网络、有线或无线网络等)向客户计算系统提供内容的一个或更多个服务器。在内容存储在SP服务器中时且在传送到客户计算系统101期间,内容可受到任何已知的内容保护技术106保护(例如,数字
版权管理(DRM)技术、密码技术等)。在一个实施例中,可通过如本文所讨论的增强隐私ID(EPID)签名验证协议来保护内容。在一个实施例中,可利用具有CTR模式的高级加密标准(AES)密码处理来加密视频数据。客户计算系统101可以是PC、膝上型、笔记本、平板计算机、手持计算机、智能电话、
个人数字助理(PDA)、机顶盒、消费者
电子设备或能够接收、存储和呈现内容的任何其它计算设备。
[0014] 在客户计算系统内,可由安全处理器108执行内容保护处理110。在一个实施例中,安全处理器可在客户计算系统的芯片组内。在实施例中,芯片组包括平台控制中枢(PCH)。在另一个实施例中,安全处理器可在客户计算系统的CPU内。在具有芯片上的系统配置的另一个实施例中,安全处理器可与单个芯片上的其它系统组件成为整体。在一个实施例中,安全处理器包括可管理引擎(ME)。在其它实施例中,可使用其它类型的安全处理器。安全处理器是实现在硬件和固件中的与客户计算系统的其它组件交互的子系统。安全处理器通过从受保护的闪存区域加载固件代码并且在受保护的存储器中执行固件代码来操作。由于在安全处理器内的硬件和固件中执行内容保护处理,所以可在基于软件的系统上改进内容的保护。
[0015] 密码密钥信息可通过受保护的芯片至芯片互连112从安全处理器发送到包含中央处理单元(CPU)和集成图形(GFX)/媒体引擎的组件。在实施例中,受保护的芯片至芯片互连112包括至CPU/GFX组件的安全直接媒体
接口(DMI)通信链路。DMI包括芯片至芯片互连,该芯片至芯片互连具有两个并发数据话务的单向通道,以及具有改进的服务
质量的同步传送。可通过已知的密码处理技术保护在DMI链路上传送的数据。在实施例中,可将芯片至芯片安全链路用于在DMI上传递经加密的标题密钥。安全性是基于PCH和CPU之间的共享秘密。该共享秘密在每个功率循环上建立,并且可根据需要在产品族、代和随机分组之间不同以确保共享秘密的保护和完整性。DMI机制独立于OS、BIOS以及运行在CPU上的软件。DMI机制可用于在安全处理器(在PCU中)和CPU之间创建信任关系。
[0016] GFX引擎114可包括内容保护处理以解密内容。GFX引擎还包括
解码器逻辑121以处理/解码经加密的音频/视频内容并将音频/视频内容作为媒体
块传递到GFX引擎114内的
图形处理单元(GPU)。GPU包括安全技术,包括使用
编码器逻辑123,以在处理期间保护存储器中的媒体块。GFX引擎114还包括组合逻辑125,用于组合将在显示器118上显示的图形数据。当在PCH中的安全处理器和CPU/GFX组件中GFX引擎之间处理内容时,该内容可受到硬件保护数据路径116的保护。在实施例中,受硬件保护的数据路径包括受保护的音频视频路径(PAVP)以维持内容的安全性。PAVP还支持系统和组件之间的经加密的连接状态。通过利用PAVP,系统还可在系统组件之间的传送期间以及在存储器内保护内容。
[0017] GFX引擎、PCH和显示器118之间的接口可由受保护的有线/无线显示链路120来实现。在一个实施例中,从GFX引擎经由存储器通过PCH发送至显示器的显示数据可通过高带宽数字内容保护(
HDCP)内容保护方案来保护。HDCP规范提供了一种稳健、有成本效率且透明的方法,用于向适应的数字显示器发射和接收数字娱乐内容。在实施例中,可根据从数字内容保护有限责任公司(Digital Content Protection,LLC)获得的HDCP规范版本2.0或后续版本,实现有线链路。HDCP可用于阻止在数字传播通过显示端口(DispalyPort)、数字视觉接口(DVI)、高清多媒体接口(HDMI)、千兆位视频接口(GVIF)或统一显示接口(UDI)连接时对显示数据的复制。HDCP版本2.0规范致
力于呈现使用模型,该模型使终端用户经由类似TCP/IP、USB、Wi-Fi和无线HD的标准协议和接口方便地连接显示器、设备和家庭影院系统。HDCP版本2.0规范将基于标准的RSA公钥和高级加密标准(AES)128位加密用于稳健的内容保护。在HDCP系统中,两个或更多个HDCP设备通过HDCP保护的接口互连。受HDCP保护的视听内容从上游内容控制功能流入最下游的HDCP发射器处的HDCP系统。自此,由HDCP系统加密的HDCP内容通过受HDCP保护的接口流过HDCP接收器的树形拓扑。
[0018] HDCP内容保护机制包括三个元素:1)HDCP接收器对其紧邻上游连接(至HDCP发射器)的认证。认证协议是一种机制,通过该机制HDCP发射器验证给定的HDCP接收器被
许可接收HDCP。2)被DCP确定为无效的HDCP接收器的撤销。3)在HDCP发射器和其下游HDCP接收器之间的HDCP保护接口上视听内容的HDCP加密。HDCP接收器可按听觉和视觉形式呈现HDCP内容以供人类消费。HDCP接收器可以是HDCP
中继器,该中继器用作将HDCP内容进一步向下游发射到一个或多个附加的HDCP接收器的下游HDCP发射器。在一个实施例中,发送到显示器118的显示数据可利用802.11n无线局域网(WLAN)技术通过受保护的无线显示(WiDi)链路127发送。
[0019] 如从图1所看见的,在本发明的实施例中,从在服务提供商服务器104接收内容之时直到在显示器118上显示内容,没有密码密钥或内容以非加密形式用于计算系统上运行的任何软件或非授权硬件。此外,在解密、解码/编码、组合和显示流水线的整个链上提供对视频数据的存储器保护。这种能力在全存储器带宽上提供,且不损坏整个系统性能。
[0020] 图2是根据本发明的实施例的服务提供商服务器104和安全服务组件202的图。在实施例中,安全服务组件202可包括一个或多个服务器和/或组件。在实施例中,安全服务组件可由客户计算系统的一个或多个组件的制造商操作。在本领域中,安全服务组件提供用于控制客户计算系统的能力。安全服务组件包括制造组件和部署组件。制造组件包括证书发行组件218、密钥生成(KeyGen)组件220和引线编程(Fuse Prog)组件222。证书发行218生成并且向每一个客户计算平台发行公钥证书。密钥生成220负责根据需要而生成私钥和公钥对,以供嵌入客户计算平台。引线编程222负责以稳健且安全的方式用适当的值编程制造层上的引线。这些值可由客户计算平台用于构造安全处理器内的信任锚(trust anchor)和密钥梯(key ladder)。
[0021] 部署组件包括证书发行组件204、密钥生成(Key Gen)组件206和撤销管理器208。证书(Cert)发行组件204发行用于SP服务器和客户组件的数字证书,从而授权它们与这些客户系统交互以便服务部署。密钥生成(Key Gen)组件206生成密码签名的密钥对、根密钥对、数字证书和组公钥,并且签名每个组的组公钥。撤销管理器208确定将要被增加到撤销列表(RL)的客户计算系统的标识符和签名,更新RL并且分发经更新的RL。
[0022] SP服务器104通过网络201(诸如因特网)与客户计算系统通信。服务提供商服务器包括SP服务器应用212和SP
服务器代理210。SP服务器应用提供内容浏览能力。SP服务器代理210控制客户专用消息的发送,管理密码密钥和经授权的用户令牌,并且维持内容传递服务状态(出于部署目的,212和210可以是物理上不同被
防火墙保护和分离的服务器)。内容加密器214接受内容102并加密该内容用于安全传送到客户计算系统。内容服务器216将经加密的内容发送到客户。密钥服务器226负责在经认证的会话内将标题密钥提供给客户计算系统。服务器证书224由SP服务器代理使用以加入与客户计算系统的相互认证和经认证的会话的建立。SP服务器代理210、密钥服务器226和内容服务器216之间的通信链路通过良好接受的信息安全实施来保护。密钥服务器具有最高的网络和访问保护以确保仅授权方能够触及它,并且由密钥服务器管理的密钥与来自外部网络实体的攻击者隔离开且受防火墙保护。SP服务器代理或密钥服务器有权访问与服务器证书224相关联的私钥。在实施例中,该私钥以及关于该私钥完成的所有操作利用服务器上的硬件安全模块(HSM)(图2中未示出)来保护。
[0023] 在实施例中,用于利用SP服务器认证客户计算系统的密码方案包括基于使用零知识证明来保护用户隐私的密码认证协议。在实施例中,密码认证协议包括增强隐私ID(EPID)方案,增强隐私ID(EPID)方案是一种具有增强的撤销能力的直接匿名证明(DAA)方案。EPID减轻常见的Rivest、Shamir、Adleman(RSA)公钥基础结构(PKI)安全实现的隐私问题,在RSA公钥基础结构中针对每个事务唯一地表示每个个体。相反,EPID提供远程证明的能力,但仅将客户计算系统标识为具有来自特定技术代的组件(诸如芯片组)。EPID是组签名方案,其中一个组的公钥对应于多个私钥,且私钥生成由组公钥验证的组签名。EPID提供匿名且不可链接的安全性——给出两个签名,人们不能确定签名是从一个私钥生成还是从两个私钥生成。EPID还提供难忘的安全性——在没有私钥的情况下,人们不能创建有效签名。
[0024] 一般而言,可如下完成设置与EPID的安全通信信道。第一主体(诸如客户计算系统)将EPID证书发送到第二主体(诸如服务提供商服务器)。永远无法知道第一主体的身份且仅知道第一主体是具有受信安全处理器的计算平台,第二主体认证第一主体。第一主体然后使用第二主体的公钥证书来认证第二主体。因为第二主体不需要隐私,所以第二主体的公钥证书可能不是EPID证书(但也可能是)。这些主体然后可进入Diffie-Hellman(笛福-霍夫曼DH)密钥交换协议。
[0025] 在以下的联合
专利申请中描述了DAA和EPID的各适当实施例,它们通过引用结合于此:2007年7月7日提交的Ernest F.Brickell和Jingtao Li的“An Apparatus and Method of Direct Anonymous Attestation from Bilinear Maps(根据双线性映射的直接匿名证明的装置和方法)”S/N11/778,804;2008年9月11日提交的Ernest F.Brickell和Jingtao Li的“An Apparatus and Method for a Direct Anonymous Attestation Scheme from Short-Group Signatures(根据短组签名的直接匿名证明方案的装置和方法)”S/N12/208,989;2008年9月29日提交的ErnestF.Brickell和Jingtao Li的“Direct Anonymous Attestation Scheme with Outsourcing Capability(具有外购能力的直接匿名证明方案)”S/N12/286,303。在其它实施例中,还可使用其它认证和证明方案。
[0026] 客户计算系统包括至少三个主要组件——主机软件、芯片组硬件/固件以及CPU/GFX/媒体引擎。假设在本发明的实施例中主机软件是不可信的。既使主机软件受到攻击,没有秘密受到影响。主机软件负责至SP服务器104的网络连接以及从内容服务器216下载媒体。主机软件充当各SP服务器和芯片组硬件/固件之间的代理。在芯片组硬件/固件已经完成标题密钥解包并注入到CPU/GFX组件之后,主机软件将经加密的内容直接发送到图形硬件。
[0027] 芯片组硬件/固件负责所有受保护的处理,扮演用于内容保护处理的受保护设备的
角色。在实施例中,芯片组硬件/固件利用DMI机制将受保护的标题密钥发送到图形硬件。
[0028] CPU/GFX组件负责最终的流解密、解码和显示。GFX引擎是被动设备,不进行策略判定。当被要求时,GFX引擎仅解密该内容,然后解码所提交的视频段。在实施例中,GFX引擎(具有受保护的媒体编码器)再次加密显示内容,用于在HDMI和无线(例如,WiDi)显示器上的HDCP输出保护。
[0029] 在发送高度敏感信息之前,受保护客户计算系统必须通过服务提供商来远程标识。用于标识平台的机制必须不违反用户隐私。本发明的实施例提供受保护的机制,以供服务提供商在网络上验证该服务提供商服务器正与适当的客户计算系统通信并且向该客户计算系统传送标题密钥和其它机密材料。在一个实施例中,用于在服务提供商服务器和客户计算系统之间建立受保护会话的协议是EPID。EPID允许单个公钥匿名地验证由N私钥生成的签名,其中称为EPID组。为了实现EPID,每个芯片组包含在
硅制造期间吹入平台控制中枢(PCH)引线的唯一私钥。在实施例中,芯片组制造者将1000000个私钥置于单个组中并且为每一个生产的芯片组生产400组。为了充当EPID验证器,将向每个服务提供商供应这400个公钥。
[0030] 一旦受保护的EPID会话已经完成,则服务提供商服务器即可与受保护的客户计算系统自由交换受保护的机密信息。对于内容流,受保护的标题密钥可从SP服务器被传递到芯片组中的安全处理器。安全处理器将受保护的标题密钥发送到图形和音频硬件。在这一点,经加密的视频和音频内容可直接从内容服务器216被发送到客户计算系统图形和音频硬件,该硬件解密、解码并显示该内容。对于下载的内容,安全处理器利用唯一的平台存储密钥(再次在制造期间被烧入PCH引线)将标题密钥绑定到客户计算系统并且将边界密钥返回到媒体播放器软件。当需要回放时,边界标题密钥被再次提交到安全处理器,该处理器解开并以不受保护的方式将它们发送到图形和音频硬件。
[0031] 图3是根据本发明的实施例的客户计算系统101的图。服务提供商(SP)播放器/媒体浏览器软件应用302可被包含在软件栈中,以在诸如因特网之类的网络201上与SP服务器104对接。SP播放器/媒体浏览器302允许用户浏览服务提供商的内容提供,并且选择从SP服务器至客户计算系统传递的内容。SP播放器/媒体浏览器为用户提供
用户界面控制以管理内容库并控制内容的选择、下载和回放。SP播放器/媒体浏览器与服务代理304交互。服务代理304包括由服务提供商提供的软件应用,该服务提供商被授权访问根据本发明的实施例的支持端对端内容保护的客户计算系统的特征。服务代理与各个SP播放器/媒体浏览器应用编程接口(API)(图2中未示出)对接。服务代理304包括媒体播放器组件306。媒体播放器提供内容播放器功能(例如,控制回放)。
[0032] SP客户应用308使SP播放器/媒体浏览器302和服务代理304能访问客户计算系统的硬件和固件上的内容保护特征并且用于将消息传送到服务提供商服务器104。在实施例中,SP客户应用包括主机代理软件开发包(SDK),其包含内容保护API。在实施例中,SP客户应用与芯片组的平台控制中枢(PCH)312中的安全处理器314通信。
[0033] 音频
驱动器311提供媒体播放器和音频解码硬件316之间的接口。类似地,图形(GFX)驱动器310提供媒体播放器和GFX引擎320之间的接口。在实施例中,PCH312包括安全处理器314,其执行固件以提供内容保护功能以及其它已知的系统功能。在一个实施例中,安全处理器可由可管理引擎(ME)实现。当内容由PCH312和GFX引擎320处理时,内容可至少部分地分别通过PCH硬件/固件和GFX引擎硬件中的受保护的音频视频路径(PAVP)组件318、322来保护。
[0034] 图4是根据本发明的实施例的安全内容处理的流程图。在框402,客户计算系统的用户使用SP层/媒体浏览器302浏览、发现和购买来自一个或多个服务提供商的内容。在框404,执行SP服务器104和客户计算平台101的相互认证。建立经认证的会话。提供具有对给定一组内容的使用权的密钥块(key blob)。密钥块被绑定到客户计算系统以确保按需要机密且完整地保护系统。
[0035] 然后在框406,客户计算系统通过网络201从内容服务器216(对于流化操作)或者从客户计算系统的本地存储(对于先前购买、下载和存储的内容)获取经加密的内容。使系统准备在视频段上工作(例如,子
帧)。结果,一旦提交数据的第一段,硬件就可处理该数据。
[0036] 在框408,用户利用SP播放器/媒体浏览器302发起所选内容的回放。密钥块被提交给安全处理器314用于标题密钥的解开和提取。当这完成时,标题密钥由安全处理器加载到图形硬件320用于解密。在框410,SP播放器/媒体浏览器将经加密的内容提交给GFX引擎320内的媒体处理引擎。GFX引擎利用标题密钥解密该内容并且利用本地保护的密钥再次加密该内容。可将再次加密的数据存储在受保护的本地或系统存储器中。随后在框414,获取、解密和解压缩该再次加密的内容。首先执行解密。一旦数据被解密,则数据被解码/解压缩。一旦数据被解压缩,则数据被再次加密并经由系统存储器传递到组合引擎。一旦组合完成,则数据再次受到保护并且利用系统存储器传送到显示引擎。在实施例中,沿路径的每个组件有能力根据需要来解密、处理和再次加密。
[0037] 在框416,GFX引擎利用HDCP技术(在实施例中)再次加密媒体内容,并且将内容传递到显示器以便由用户查看。在过程的每个步骤,内容永远不是明文的,在明文的情况下它可由运行在客户计算系统上的软件或授权硬件组件访问。
[0038] 图5是根据本发明的实施例的安全内容处理系统的图。SP服务器104通过网络201与客户计算系统101交互。客户计算系统包括第一组件500和第二组件502。在实施例中,第一组件包括CPU和GFX组件,且第二组件包括平台控制中枢(PCH)。在另一个实施例中,第一和第二组件可组合成在片上系统(SOC)实现中的单个组件。第一组件500包括多个处理器核504和GFX引擎320。处理器核504执行主机软件(SW)506(如图3所述)、客户证书508、引线521和共享秘密519的各个组件。主机SW从
硬盘驱动(HDD)/固态驱动(SSD)510读取数据,其包括先前从SP服务器或易失性媒体(诸如DVD、蓝光或其它存储技术)获取的经加密的内容。在实施例中,主机SW包括至少SP播放器/媒体浏览器应用
302、服务代理304和SP客户应用308。
[0039] GFX引擎320包括多个组件。媒体加密/解密引擎520包括用于加密和解密内容的逻辑。媒体编码/解码引擎522包括用于编码和解码内容的逻辑。GFX组合(Comp)引擎524包括用于构造显示图形的逻辑。显示引擎526包括用于将组合的显示图形传递到显示器的逻辑。显示加密/解密引擎528包括用于在通过受保护的链路527将显示数据发送到显示器538之前加密和解密显示数据的逻辑。存储器加密/解密引擎530包括用于加密和解密存储在存储器536中的受保护中间表面534中的数据的逻辑。存储器536还包括用于实现机密性和完整性受保护的存储器操作532的逻辑。
[0040] 第二组件502包括多个组件,其中的一些未被示出以便简化图5。第二组件包括安全处理器314。安全处理器包括用于为客户计算系统提供证明、提供密钥管理和输出控制操作516的固件和/或硬件逻辑。安全处理器还包括引线517、共享秘密519和信任锚518用于支持PKI,诸如验证密钥和密钥层次信息。引线521、517在芯片组的制造期间被编程入第一和第二组件的硬件,且密钥材料由EPID使用。当制造客户计算系统时,根据编程在制造层上的引线中的信息来构造硬件的信任根。这确保每个客户计算系统是唯一的,且受隐私保护。在芯片组和CPU/GFX组件的制造期间,共享秘密519被硬编码到第一和第二组件的硬件中。在实施例中,在设置DMI链路538上的安全芯片至芯片通信信道时,可使用共享的秘密。
[0041] 客户计算系统还包括用于提供安全时钟服务的受保护的
实时时钟513、显示器538和
非易失性存储器(NVM)512。在实施例中,受保护的实时时钟可由第三方作为根源,且可被虚拟化用于多个服务提供商。NVM可用于存储第二组件的固件映像,以及存储用于安全处理器处理操作的临时数据(诸如完整性和状态信息)。
[0042] 在实施例中,处理流程可描述为如下。SP播放器/媒体浏览器302向用户呈现用户界面。用户进入服务提供商的
网站以浏览可用内容。SP网站具有自动检测能力,以确定用户的客户计算系统是否在其中集成有利用SP服务器104进行认证的能力。如果能够,则允许用户选择内容。该内容可被购买、租赁或预定,或者可被流水化。用户对该内容进行支付。SP播放器/媒体浏览器302调用安全处理器316以利用SP服务器104来认证客户计算系统101。在实施例中,认证使用EPID技术。客户计算系统101至少部分地通过使SP服务器104验证客户计算系统的证书508、执行撤销检查、并验证至证书颁发机构的证书路径(在一个实施例中利用EPID协议)。当客户计算系统101和SP服务器104二者均被认证时,在一个实施例中可基于EPID协议来设置安全通信信道。在实施例中,一旦安全通信信道被设置,则可将命令集用于端对端保护能力。
[0043] SP服务器104将经加密的标题密钥提供给客户计算系统,带有对内容使用的限制(例如,时间)。SP服务器在安全信道上将经加密的标题密钥发送到安全处理器314。安全处理器314利用其自身的密钥层次对经加密的标题密钥进行解密。安全处理器314使用存储密钥再次加密新解密的标题密钥以形成密钥块。密钥块被绑定到客户计算系统达规定的时间段。安全处理器314将密钥块发送到CPU核上运行的SP播放器/媒体浏览器302。SP播放器/媒体浏览器302将密钥块存储在HDD/SSD510中。SP/播放器媒体浏览器302然后下载用户选择的经加密的内容。在一个实施例中,可将下载的经加密的内容存储在HDD/SSD510中。
[0044] 当用户想要播放内容时,SP播放器/媒体浏览器302将密钥块提交回安全处理器314。例如,安全处理器验证密钥块的签名,并且检查诸如时间之类的使用限制。安全处理器314通过经加密的信道(例如,DMI链路538)将经加密的标题密钥发送到GFX引擎320的媒体加密/解密组件520。安全处理器指令SP播放器/媒体浏览器GFX/媒体引擎准备好处理经加密的内容。SP播放器/媒体浏览器302从HDD/SDD510读取经加密的内容,或者通过网络201从SP服务器104获取经加密的内容(用于流化应用),并将经加密的内容逐段地发送到GFX引擎。
[0045] GFX引擎320以逐段方式处理经加密的内容。对于每段,SP播放器/媒体浏览器以明文方式读取段头部。加密段的其余部分,使得SP播放器/媒体浏览器不能访问该内容。SP播放器/媒体浏览器利用初始化向量来
跟踪回放状态信息。媒体加密/解密引擎520在解密从安全处理器接收的加密标题密钥之后利用标题密钥解密该内容。在一个实施例中,仍根据已知的H.264编码方案来压缩媒体加密/解密引擎的输出数据。在其它实施例中,可使用其它编码方案。媒体编码/解码引擎522解码每个段,然后利用存储器加密/解码
530再次加密该段。再次加密的内容段被存储在存储器536中的受保护的中间表面534中。
GFX组合引擎524控制将在显示器上显示的图像的组合,包括前景和背景图像、窗口等。GFX组合引擎从存储器536中的受保护的中间表面534获取再次加密的内容段,以生成组合图像。GFX组合引擎524将组合图像数据发送到显示引擎526。
[0046] 显示引擎使用显示加密/解密引擎528来解密来自被用于在存储器536中存储内容段的加密的组合图像。在一个实施例中,显示引擎526使用显示加密/解密引擎来根据HDCP技术再次加密组合的图像数据。经加密的组合图像数据通过受保护的芯片至芯片接口(例如,DMI链路)538由GFX引擎320发送到第二组件502,以便在受保护的显示接口链路527上传送到显示器538。
[0047] 在实施例中,可存在任何数量的由客户计算系统处理的并发的独立内容流。每个组件流具有其自身的密码内容以免干扰其它流。这还允许客户计算系统确保在一个流上的任何类型的攻击或损坏不会影响其它内容流。
[0048] 本发明的实施例支持以下的使用模型:
[0049] 1.高清(HD)/标清(SD)/便携式清晰度(PD)内容标题的下载。服务提供商为给定的客户计算系统分发版权格式的内容。用户能够选择内容标题的电子副本而不是获取物理光盘(诸如DVD或蓝光盘)。
[0050] 2.HD/SD/PD内容标题的流化。服务提供商能够按需要设置来会话并将内容流送至客户计算系统。客户计算系统保持连接至服务内容消费体验的整个时段。
[0051] 3.HD/SD/PD内容标题的租赁。服务提供商能够将标题按需要租赁给消费者设定的时段。通过本发明的实施例完成保护和策略执行。
[0052] 4.内容标题的基于时间的解
锁。服务提供商能够在内容释放日期或可用进度之前将内容推送到客户计算系统,并且使客户计算系统解锁该标题以便在未来的给定时间使用。
[0053] 5.用户的设备整体布局和易于共享。本发明的实施例为给定用户提供客户计算系统的“域”。这使得内容能够在用户的域内的这些授权的设备之间自由流动。
[0054] 6.离线事务。本发明的实施例提供记录用于稍后调解的事务的能力。这允许服务提供商预先加载或推测地分发内容至客户计算系统,并且使它们完成事务,不顾严它们释放连接到因特网。
[0055] 在本
说明书中对“一个实施例”或“实施例”的引用意味着结合该实施例描述的特定特征、结构或特性可包括在至少一个实现中。在本说明书各处出现的短语“在一个实施例中”可以或可不全指代同一实施例。
[0056] 并且,在说明书和
权利要求书中,可使用术语“耦合”和“连接”以及它们的派生词。在本发明的某些实施例中,“连接”可用于指示两个或多个元件相互直接物理
接触和/或电接触。“耦合”可表示两个或多个元件直接物理或电气接触。然而,“耦合”还可表示两个或多个元件相互不直接接触,但仍相互配合和/或相互作用。
[0057] 由此,尽管已经用结构特征和/或方法动作专用的语言描述了本发明的实施例,但是应该理解所要求保护的主题可并不被限定于所描述的具体特征或动作。相反,这些具体特征和动作是作为实现所要求保护的主题的样本形式而公开的。
