控制对ip流送内容的访问的制作方法
控制对ip流送内容的访问的制作方法
【专利摘要】描述了一种控制由多个接收器控制对IP流送内容的访问的方法。该方法包括以下步骤:(a)对于多个接收器中的每个接收器,为该接收器提供对用于该接收器的第一控制信息的访问,以使该接收器能够访问内容的第一部分;(b)从多个接收器将接收器标识为标识的接收器;(c)更新第一控制信息,以便为每个接收器提供更新的第一控制信息,该更新的控制信息与内容的第二部分相关联;并且(d)将每个接收器配置为取得用于该接收器的更新的控制信息。对于标识的接收器,更新的控制信息是无效的,使得标识的接收器不能够完全访问内容的第二部分。还描述了被配置为执行该方法的服务器。
【专利说明】控制对IP流送内容的访问
【技术领域】
[0001] 本发明涉及通过多个接收器控制对IP流送内容的访问。
【背景技术】
[0002] 日益地,互联网通信基础设施被用来提供对多媒体内容(诸如电视内容)的访问。 这包括从用户所贡献的材料到广告赞助的材料、到优质内容的范围。优质内容材料往往以 高质量分发,并且可以包括最近发布的电影或直播事件,诸如受欢迎体育赛事和音乐会。
[0003] 优质内容通常由数字版权管理(DRM)系统所保护。DRM技术是众所周知的,并且目 前有许多DRM系统可用于将内容分发给客户端。DRM系统通常包括利用加密内容、使用规则 的说明以及利用与特定DRM客户端相关联的密钥所加密的内容解密密钥来创建文件。DRM 保护的内容可以作为文件或流分发给客户端。DRM客户端在开始对内容数据的解密之前首 先处理使用规则,以及可能处理内容解密密钥的加密版本。一般情况下,DRM客户端在受保 护的软件应用中实现,并且往往与内容播放器相紧密集成。
[0004] 优质内容通常使用互联网协议电视(IPTV)被递送(或"流送")。IPTV是一种系统, 通过该系统,多媒体服务(诸如电视/视频/音频/文本/图形/数据)可以通过基于IP的 网络进行递送,该基于IP的网络被管理为提供所需要水平的服务和体验质量、安全性、交 互性和可靠性。特别是,IPTV为娱乐视频和相关服务的订户提供了安全和可靠的递送。这 些服务可以包括,例如,直播电视、视频点播(V0D)和交互电视(iTV)。这些服务跨越采用IP 协议来传输音频、视频和控制信号的访问不可知的分组交换网络来被递送。相比于公共互 联网上的视频,利用IPTV部署,网络安全和性能被严格管理以确保卓越的娱乐体验,从而 为内容提供商、广告商和客户等产生引人注目的商业环境。
[0005] 直播内容通常以流来分发,因为内容文件仅在事件结束时完成。苹果(Apple) 的 HTTP 实时流送(Live Streaming, HLS)、微软(Microsoft)的平滑流送(Smooth Streaming),和 Adobe 的基于 HTTP 的动态流送(HTTP-based Dynamic Streaming,HDS)是 内容递送解决方案,其使用标准HTTP网络服务器来递送流送内容,从而避免对于流送服务 器的需要。HTTP分组是防火墙友好的,且可以在网络上使用标准的HTTP高速缓存服务器。 这降低了与递送视频相关联的总带宽成本,因为更多数据可以从基于网络的高速缓存而不 是源服务器提供服务,并且其提高了服务质量,因为高速缓存的数据通常更接近观看者并 因而是可以更容易检索的。
[0006] 存在特殊的"自适应流送"协议,其使得订阅客户端能够适应内容可被流送到客 户端所利用的有效数据速率中的动态变化。通常,这样的协议需要服务器准备对内容的不 同数据速率编码。如果客户端看到在数据速率中的改变,它可以切换到匹配改变后的传输 条件的编码版本。为了降低带宽,自适应流送协议被设计为促进对分发网络的节点中内容 部分的高速缓存。这些高速缓存需要内容部分具有独特的标识符,所以每个高速缓存可以 确定其是可以从本地存储装置取得内容部分,还是其需要向更靠近服务器的节点传递内容 请求。基于HTTP的自适应流送技术通常具有两个组成部分:编码的视听内容组块自身,以 及为播放器标识内容组块并且包含其URL地址的清单(manifest)文件。MPEG DASH (ISO/ IEC23009-1)标准草案可能最终取代大多数专有的自适应流送格式。
[0007] 针对优质内容(如体育和音乐会)的直播流送的常见攻击包括授权客户端抓取解 码输出(例如,通过仅使用摄像头),在内容编码器中对其进行处理,并将重新编码的材料以 未经授权的方式再分发(例如,使用P2P或其他基础设施)。内容的再分发往往使用保护技 术,使攻击者能够为其未经授权的服务索要费用。
[0008] 所需要的是适合于扰乱未经授权的再分发服务的对抗这种再分发攻击的对策。本 发明目的在于提供这样的对策。
【发明内容】
[0009] 根据本发明的第一方面,提供了一种控制由多个接收器对IP流送内容的访问的 方法。该方法包括以下步骤:(a)对于多个接收器中的每个接收器,为该接收器提供对用于 该接收器的第一控制信息的访问,以使该接收器能够访问内容的第一部分;(b)从多个接 收器将接收器标识为标识的接收器;(c)更新第一控制信息,以便为每个接收器提供更新 的控制信息,该更新的控制信息与内容的第二部分相关联;以及(d)将每个接收器配置为 取得用于该接收器的更新的控制信息。对于标识的接收器,更新的控制信息是无效的,使得 标识的接收器不能够完全访问内容的第二部分。
[0010]因此,本方法使内容提供商能够针对一个或多个标识的接收器限制对内容的后来 (第二)部分的访问。因此,如果接收器很快被标识为参与内容的未经授权再分发,内容提供 商可以使用本方法来拒绝该标识的接收器对内容的剩余部分的访问。这种行动也将影响内 容的未经授权再分发。因此,本方法充当了对抗由标识的接收器进行的再分发攻击的对策。 特别地,本方法通过将每个客户端配置为周期性取得控制信息来实现对抗再分发攻击的对 策,该控制信息仅以正确形式被提供给行为良好的客户端。如下文将进一步描述的,控制信 息可以是播放列表或清单文件或密钥管理信息。并且,控制信息可以被放置在小的单独文 件中或组合文件中的片段中。
[0011] 优选地,对于多个接收器中除了标识的接收器之外的接收器,更新的控制信息是 有效的,使得所述其他接收器能够访问内容的第二部分。因此,对于除了标识的接收器之外 的接收器,对内容访问不存在中断。
[0012] 在一个实施例中,内容密钥(即内容解密密钥)被用于控制对内容的访问。在此实 施例中,控制信息包括密钥管理信息,用于提供对用于解密该内容的内容解密密钥的访问。 对于标识的接收器,更新的控制信息不会使得标识的接收器能够访问用于内容的第二部分 的更新的内容解密密钥。有利地,对于每个接收器,密钥管理信息包括用于该接收器的独特 密钥,该独特密钥可操作成使该接收器能够访问用于解密该内容的内容解密密钥。在替代 的实施例中,播放列表被用于控制对内容的访问。在此实施例中,内容包括内容组块的时间 系列,并且控制信息包括内容组块参引的播放列表,每个内容组块参引是对内容的相应内 容组块的参引。对于标识的接收器,更新的控制信息不包括用于内容的第二部分的内容组 块参引的有效播放列表。因此,本方法使内容提供商能够拒绝标识的接收器对内容组块参 引的有效播放列表的访问。在另一替代的实施例中,清单文件被用于控制对内容的访问。在 此实施例中,内容包括置于内容文件中的内容组块的时间系列,并且控制信息包括清单文 件,该清单文件使得接收器能够生成与内容文件中的内容组块有关的URL。对于标识的接收 器,更新的控制信息不包括有效的清单文件来使得标识的接收器能够生成用于与内容的第 二部分相关联的内容组块的有效URL。
[0013] 在一个实施例中,将每个接收器配置为取得用于该接收器的更新的控制信息的步 骤包括:为每个接收器提供用于第一控制信息的期满时间,到该期满时间时,接收器将取得 用于该接收器的更新的控制信息。在此实施例中,可以适当提前将该期满时间提供给接收 器,使得接收器在开始接收内容的第二部分之前具有足够时间来取得更新的控制信息。因 而,从第一控制信息到更新的控制信息存在无缝切换。任选地,使用HTTP1. 1期满时间机 制,可以将期满时间提供给每个接收器。替代地,当使用播放列表或清单文件时,使用由播 放列表(或清单)文件格式所支持的期满机制,期满时间可以被提供给每个接收器(例如苹 果(Apple)和MPEG-DASH具有内置机制,以用于发布对清单文件的更新)。取得更新的控制 信息使得接收器能够在期满时间之后访问该内容,只要更新的控制信息是有效的。
[0014] 在一个实施例中,对内容加指纹。换句话说,对于每个接收器,存在提供给接收器 以用于解码和输出的内容的相关联的单独加水印(即加指纹)的版本。可以使用内容密钥, 或使用对于各个接收器独特的播放列表/清单文件来实现加指纹。在此加指纹的内容实施 例中,从多个接收器将接收器标识为标识的接收器的步骤包括:在内容的未经授权情况下, 检测与标识的接收器相关联的指纹。因而,可以防止内容的未经授权的再分发中所涉及的 授权的接收器访问全部内容。因此,本方法提供了对抗未经授权的再分发攻击的对策。
[0015] 在一个实施例中,对于每个接收器,用于该接收器的控制信息被存储在与用于存 储用于多个接收器中其他接收器的控制信息的文件不同的文件中。换句话说,每个接收器 在存储用于该接收器的控制信息的服务器上具有其自己的相应文件。在替代的实施例中, 对于多个接收器的至少一个子集,控制信息被存储在用于接收器的该子集的单个组合文件 中;并且,对于接收器子集中的每个接收器,用于该接收器的控制信息被存储在与用来存储 用于接收器的该子集中的其他接收器的控制信息的文件位置不同的文件位置中。在此替 代的实施例中,用于多个接收器中的某些或全部接收器的控制信息被存储在单个组合文件 中,但是每个接收器具有用于该接收器的特定文件位置,其中存储用于该接收器的控制信 息。这提供的优势在于,服务器只需要利用更新的控制信息来更新单个文件,而不是更新一 组单独的文件。
[0016] 在一个实施例中,对于标识的接收器,更新的控制信息是无效的,使得标识的接收 器不能够访问内容的第二部分的任意。因此,所标识的接收器被拒绝对内容的整个第二部 分的访问。替代地,代替内容流可以取代内容的第二部分而被提供给所标识的接收器,或破 坏的内容流可以取代内容的第二部分而被提供给标识的接收器。
[0017] 在一个实施例中,用于标识的接收器的更新的控制信息包括空文件条目。这是拒 绝标识的接收器对内容的整个第二部分的访问的一种方式。空文件条目可以仅仅是控制信 息的单个组合文件中用于标识的用户的文件位置处的空文件条目。替代地,如果每个接收 器存在单独的控制信息文件,则空文件条目可以是空白的文件。
[0018] 在一个实施例中,内容包括内容组块的时间系列,并且内容的第一部分和第二部 分均与相应整数数量的内容组块相关联。因此,控制信息的更新与内容组块的开始同步。
[0019] 根据本发明的第二方面,提供了一种服务器,其被配置为执行第一方面的方法。
[0020] 根据本发明的第三个方面,提供了一种计算机程序,其在由处理器执行时,使处理 器执行第一方面的方法。
[0021] 根据本发明的第四个方面,提供了一种数据承载介质,其承载了第三方面的计算 机程序。在一个实施例中,该数据承载介质是存储介质或传输介质。
[0022] 本发明的其他优选特征在所附权利要求书中被陈述。
【专利附图】
【附图说明】
[0023] 现在将参考附图以示例方式描述本发明的实施例,其中: 图1示意性地图示了示例内容服务器系统,其中可以部署指纹加水印; 图2示意性地图示了与图1的内容服务器系统相交互的客户端; 图3是示意性图示了本发明一般方法的流程图; 图4示意性地示出了用于对策实现的示例性系统; 图5示意性图示了在对策实现之前本发明的基于内容密钥的系统的实施例;以及 图6示意性图示了对策实现之后的实施例图5。
【具体实施方式】
[0024] 在接下来的描述中以及附图中,对本发明的某些实施例进行了描述。然而,将理解 的是,本发明并不限于所描述的实施例,并且一些实施例可以不包括下文所描述的全部特 征。然而,将明显的是,在不脱离如所附权利要求中阐述的本发明更宽精神和范围的情况 下,可以在本文中进行各种修改和改变。
[0025] 编号10175973. 6的欧洲专利申请和编号PCT/EP2011/065561的国际专利申请,二 者均通过引用全部并入本文中,其描述了使用自适应流送协议来配置客户端以产生具有对 该客户端独特的水印的输出。这种客户端特定的水印也被称为指纹。EP10175973. 6和PCT/ EP2011/065561的自适应流送协议也已经发表于标题为"用于自适应流送协议的水印"的文 章中(101-114页,Proceedings of the 8th VLDB Workshop, SDM 2011 Seattle, Lecture Notes Computer Science 6933,Springer Verlag,ISBN 978-3-642-23555-9)。图 1 中不 意性示出了用于该自适应流送水印协议的内容服务器(即头端)架构,并且在下面被简要地 描述。图1的内容服务器系统10包括内容生成器12、质量水平编码器14、组块生成器16、 组块修改器18中、组块储存器20、播放列表生成器22、同步器24以及可连接到网络28的 网络接口 26。
[0026] 内容最初由内容生成器12生成。来自内容生成器的原始内容由质量水平编码器 14接收,该质量水平编码器14提供了具有不同编码特性(诸如不同比特率和/或不同空间 分辨率)的相同原始内容的多个副本。在图1的示例中,生成内容的两个不同质量水平的副 本,但是如果期望的话可以提供更多的副本。不同质量水平的相同内容的提供允许用户继 续流送内容,即使在流送期间它们的比特率发生变化。换句话说,该系统基于可用比特率或 要求的空间分辨率来为特定客户端/接收器进行适配。
[0027] 每个质量水平编码器14与组块生成器16中相应的一个相关联。每个组块生成器 16从相应的质量水平编码器14接收编码的内容,并将编码的内容划分成多个内容组块。每 个内容组块对应于编码内容的不同时间片。换句话说,内容组块是该内容的5-10个第二组 块(或部分)。典型的电影通常包括一千个内容组块。组块生成器16由同步器24所同步, 以使不同质量水平的内容组块之间能够平滑过渡。在替代实施例中,由组块生成器16进行 的组块创建步骤可以先于由质量水平编码器14进行的不同质量水平的生成的步骤。
[0028] 由组块修改器18接收来自组块生成器16的内容组块。特别地,每个内容组块被 复制并且被不同地处理,以便被转换成两个不同的修改的内容组块。换句话说,每个内容组 块的一个复制副本由第一组块修改器18接收并处理,并且每个内容组块的另一个复制副 本由第二组块修改器18接收并处理。第一和第二组块修改器18均以不同方式处理内容组 块。例如,第一组块修改器18可以将第一水印应用到所接收的内容组块,而第二组块修改 器18可以将第二水印应用到所接收的内容组块。如果期望,每个组块生成器16可以包括 两个以上的组块修改器18。根据本发明,修改的内容组块然后均可以通过使用对于内容组 块的时间帧t独特的内容密钥CK t来加密(图1中未示出)。随后,修改的内容组块被发送给 组块储存器20用于存储。每个内容组块有利地利用不可预测的名称来存储。
[0029] 播放列表生成器22为客户端生成播放列表。每个播放列表包括在组块储存器20 中信息的基础上生成的内容组块参引的序列。在没有播放列表的情况下,由于与每个内容 组块相关联的不可预测的名称,访问组块储存器20是没有用处的。因为使对于给定时间帧 的原始内容组块在不同质量水平下可用,这提供了播放列表中的间接层,其给予接收方装 置用以选择最适合内容组块的选项。组块渲染的持续时间在同步器24和播放列表生成器 22之间共享。播放列表生成器22为每个客户端产生独特的播放列表(即内容组块参引的独 特序列)。借助于用于网络28的网络接口 26来将播放列表提供给客户端。
[0030] 图2中示意性示出了与内容服务器10的客户端交互。客户端使用其相应的播放列 表来取得用于通过客户端中的内容解码器进行处理的内容组块。由客户端使用规则的HTTP GET命令从服务器检索每个组块。客户端播放列表中组块的独特序列在对于用户不可见的 客户端的内容解码器的输出中产生可检测的水印信号。水印序列取决于组块序列,所以具 有组块序列的播放列表确定将被嵌入到内容解码器的输出中的水印。如前面提到的,这种 机制优选与用于内容流的不同质量水平编码相结合。换句话说,在取得内容组块方面,有效 带宽被用来确定合适的质量水平。这个功能是被广泛的内容播放器所支持的。
[0031] 总之,编号为号10175973. 6的欧洲专利申请和编号为PCT/EP2011/065561的国际 专利申请涉及加指纹流送的内容。它们描述了将播放列表用于不同地加水印的参引内容组 块。通过向接收器发布包含组块参引的个别化序列的独特播放列表,内容服务器可以确保 内容播放器的解码输出包含对该接收器独特的水印(指纹)。此外,根据用于每个客户端/ 接收器的可用带宽,可以在不同质量水平下自适应地流送发送内容。
[0032] 加指纹内容的替代的已知方法使用内容密钥来为每个接收器提供所解码的输出 的独特版本,例如,所EP1264436中描述的,其内容通过引用并入本文中。特别是,可能存在 内容组块中所选择的内容组块的两个或更多个不同加水印的版本。不同加水印的版本然后 以不同的方式被加密(例如,使用不同的加密算法或者使用不同的加密密钥)。然后向每个 接收器提供对一组独特的内容密钥的访问,这些内容密钥使得接收器解码每个所选择的内 容组块的仅一个版本。因此,根据对该接收器可用的一组独特内容密钥,每个接收器的解码 输出将包含不同的水印。因此,每个接收器的解码输出被"加指纹",使得对解码输出的水印 检测可以被用于标识与该解码输出相关联的单独的接收器。
[0033] 根据本发明,图1的内容服务器系统可以被用作用于IP内容流送的服务器(例如 IPTV服务器)来协助实现对抗盗版者(S卩,参与再分发攻击的接收器)的对策。图3是示出 了控制由多个接收器对IP流送内容(例如IPTV内容)的访问的本方法中所涉及步骤的高级 流程图。内容被加指纹,使得为每个接收器提供对内容的相应单独加水印版本的访问。因 此,后续的水印/指纹检测使得接收器能够基于其已经接收到的内容版本来被标识。
[0034] 在步骤S101处,对于多个接收器中的每个接收器,为该接收器提供对用于该接收 器的第一控制信息的访问,以使该接收器能够访问内容的第一部分。例如,如果采用图1的 系统,第一控制信息可以包括与内容的第一部分相对应的内容组块的第一播放列表。因而, 每个接收器将能够访问内容第一部分的其自己的独特加水印的版本。在替代实施例中,控 制信息可以包括密钥管理信息,其可以是被用来将一组内容解密密钥分发给单独接收器的 数据的任意形式。再者,将以这样方式提供密钥管理信息,该方式使得每个接收器将能够访 问内容第一部分的其自己的独特加水印的版本(例如,如EP1264436中那样)。控制信息可 以被放置在小的单独文件中或组合文件中的片段中。
[0035] 在步骤S102处,从多个接收器将接收器标识为标识的接收器。例如,图1的自适 应流送水印技术允许授权内容服务器来在每个接收器的解码输出流中插入相应的独特水 印(即指纹)。这个指纹是足够鲁棒的,以在重新编码的内容中保持可检测。因此,如果内容 第一部分的未授权再分发被标识,可分析再分发的内容以检测指纹。基于所检测的一个或 多个指纹,有可能标识对应的一个或多个接收器并从而确定哪个或那些标识的接收器正参 与未授权的再分发攻击。一个或多个标识的接收器的身份知识形成了用于对抗未授权的再 分发攻击的对策的基础。
[0036] 在步骤S103处,更新第一控制信息,以便为每个接收器提供更新的控制信息。更 新的控制信息与内容的第二部分相关联。在步骤S104处,每个接收器被配置为取得(或得 到或获得或请求)用于该接收器的更新的控制信息。因此,为了试图访问内容的第二部分, 每个接收器被配置为取得更新的控制信息。如果接收器未取得更新的控制信息,则它们将 无法访问内容的第二部分。如果采用图1的系统,则更新的控制信息可以包括与内容的第 二部分相对应的内容组块的更新的播放列表。然而,重要的是,对于标识的接收器,更新的 控制信息是无效的,使得标识的接收器不能够完全访问内容的第二部分。因而,使用图1的 系统,用于标识的接收器的更新的控制信息可以是用于内容的第二部分的内容组块的无效 播放列表。因此,标识的接收器无法完全访问内容的第二部分,使得由一个或多个标识的接 收器进行的内容的未经授权再分发被扰乱。其他接收器(即盘圭被标识为一个或多个标识 的接收器的那些)在所提供的服务中没有看到变化--他们仅根据需要继续取得有效的更 新的控制信息。
[0037] 因此,上述方法通过配置每个客户端/接收器来周期性取得仅以正确形式提供给 行为良好的客户端(即,除了一个或多个标识的接收器之外的客户端)的控制信息,实现了 对抗再分发攻击的对策。将理解的是,通过要求每个接收器取昼更新的控制信息,通过仅生 成无效控制信息,并将该信息放置在用于由一个或多个标识的接收器进行收集的内容服务 器上,内容服务器可以扰乱未经授权的再分发攻击。对于内容服务器来说,不需要向所有接 收器主动发送新的控制信息。因此,本方法在头端处是非常有效的。
[0038] 有可能将本发明的有效头端方法与对抗未经授权再分发攻击的潜在替代对策相 对比。特别是,一个替代选项将是使用DRM系统来禁用DRM客户端/接收器解密受保护内 容。然而,基于使用新内容解密密钥的对策要求DRM系统将新的内容解密密钥分发布给除 了已被标识为参与内容再分发攻击的DRM客户端之外的所有DRM客户端(即新的内容解密 密钥需要被发布给遗圭被标识为标识的接收器的所有接收器)。这意味着几乎所有的客户 端需要获得新的内容解密密钥来实现对策。对策中使用DRM系统导致了显著的开销,因为 DRM系统不支持内容解密密钥的有效更新。结果是,对于具有大量DRM客户端的受欢迎直播 事件来说可能花费显著的时间来实现对策。使用DRM系统来实现对策的另一复杂性在于, 这不会提供客户端的同步和无缝切换来使用新的内容解密密钥开始。相比之下,本发明提 供了对抗IP通信基础设施(诸如内容分发网络(CDN))上分发的直播电视事件的未经授权 的再分发的对策的既高效又无缝的实现方式。
[0039] 下文将进一步详细地描述本发明的实施例和技术细节。
[0040] 实现对策 图4示意性地图示了用于对策实现的系统的实施例。
[0041] 例如,如前面参考图1所描述的,内容服务器系统10被连接到网络28。
[0042] 图4中虚线部件描绘了未经授权的再分发攻击。特别是,授权的接收器30以授权 的方式经由网络28从内容服务器系统10获得内容(参照图3中的步骤S101)。内容抓取 器32然后从授权的接收器30抓取解码的输出。所抓取的内容然后以未经授权的方式(即, 在没有版权拥有者/内容服务器系统10的任何授权的情况下)由内容编码器34重新编码 以及经由网络28再分发。来自未经授权的再分发攻击的内容经由网络28分发给多个流氓 (rogue)接收器。
[0043] 为了应用对抗再分发攻击的对策,流氓接收器36之一被用来确定哪个未经授权 的接收器30参与了再分发攻击(S卩,流氓接收器36被用来标识图3的步骤S102中的标识 的接收器)。这是通过使用水印检测器38分析流氓接收器36的输出以便检测存在于该输 出中的任何水印/指纹来完成的。如前面所提到的,由于由内容服务器系统10插入的水印 的鲁棒性,这种水印通常仍然能够甚至在由内容抓取器32和内容编码器34处理后被检测 至IJ。一旦水印已被检测到,由于水印对于每个授权接收器的独特性,有可能识别与该水印相 关联的授权接收器30。参与再分发攻击的授权接收器30的身份然后被转发到对策部件40, 以用于针对标识的接收器30采取行动。
[0044] 典型的对策防止标识的接收器30能够经由网络28从内容服务器系统10获得内 容流。替代的对策可以为标识的接收器30提供经由网络28对来自内容服务器系统10的 替代的内容流或中断的内容流的访问。因此,对策部件40可以形成内容服务器系统10的 一部分,或者可以被耦合(例如经由网络28)以与内容服务器系统10进行通信。如上所述, 参照图3的步骤S103,通过更新由内容服务器系统10提供的控制信息(例如,播放列表或 清单文件或密钥管理信息)来实现本发明的对策。特别地,在步骤S101中由内容服务器系 统10提供的第一控制信息仅为每个授权的接收器提供了对内容的第一部分的访问。步骤 S102中使用水印检测器38已经标识了该标识的接收器(S卩,参与再分发攻击的授权接收器 30),为每个接收器更新第一控制信息。更新的控制信息与内容第二部分相关联。通过为标 识的接收器30提供无效的更新的控制信息来应用对策,使得标识的接收器30不能够完全 访问内容的第二部分。
[0045] 一般情况下,对策依赖于将不正确(即无效)的控制信息提供给已被标识为参与内 容再分发攻击的标识的客户端。
[0046] 对策的播放列表/清单f件实现方式 如上面所提到的,内容服务器上所提供的控制信息可以是播放列表。在此实施例中,内 容包括内容组块的时间系列并且控制信息包括内容组块参引的播放列表,每个内容组块参 弓丨是对内容的相应内容组块的参弓丨。在苹果(Apple)?IETF规范的情况下,播放列表是.m3u 文件,其参引了内容组块(服务器上的小内容文件)或者另一.m3u播放列表文件。Microsoft Silverlight?自适应流送规范使用.ismc清单文件。使用Microsoft Silverlight?,存在 用于单个内容文件的单个清单文件。清单文件使接收器能够将内容文件中包含的内容组块 (片段)参引为URL。换句话说,清单文件用于使接收器能够创建用于部分内容的URL。这甚 至可以针对其中片段仅在未来变得可用的实时流送内容而被完成。每个URL包括服务器用 来计算偏移量的相应起始时间,在该起始时间,特定内容组块位于内容文件中。因此,不同 于播放列表文件,清单文件本身不包含内容组块参引。尽管如此,这两种机制以不同方式提 供相同的功能。特别是,这两种机制都能够提供控制信息(以播放列表或清单文件的形式), 其使接收器能够生成(或发布)内容组块参引。微软(Microsoft)方法的一个好处是,内容 服务器处理单个内容文件,而不是大量的小内容组块文件,这增加了效率。其他视听自适应 流送规范具有类似的模型,以便利用(leverage)现有通用互联网高速缓存技术来增加带宽 和服务器效率。
[0047] 在一个实施例中(例如,使用图1的内容服务器系统),控制信息是播放列表。对播 放列表文件的更新可以被用来将新的参引添加到直播内容流的未来部分中将被使用的内 容组块。因此,参照图3的步骤S101,为每个接收器提供对该接收器独特的相应的第一播 放列表的访问,以使该接收器能够访问内容的第一部分。然后,参照图3的步骤S103,更新 第一播放列表以便为每个接收器提供相应的更新的播放列表。更新的播放列表与内容的第 二部分相关联。在没有其更新的播放列表的情况下,接收器无法参引适当的组块来生成用 于内容的第二部分的内容流。由于每个接收器具有对于该接收器独特的播放列表,用于标 识的接收器30的播放列表可以被生成为包括实现预期对策(再分发服务的某种形式的中 断)的无效数据。例如,用于标识的接收器30的播放列表可以是空白的播放列表或空播放 列表。替代地,用于标识的接收器30的播放列表可以提供不正确的内容组块列表(S卩,与内 容的第二部分不对应的内容组块列表)。因此,标识的接收器30无法完全访问内容的第二 部分,使得由标识的接收器进行的内容的未经授权再分发被扰乱。其他接收器(即,虛圭被 标识为参与再分发攻击的那些)继续接收对其相应播放列表的有效更新。类似地,在清单文 件实现方式中,用于标识的接收器30的清单文件可以是空白清单文件或空清单文件。替代 地,用于标识的接收器30的清单文件可以使得接收器能够生成不正确的URL(S卩,与内容的 第二部分所关联的内容组块不对应的URL)。
[0048] 图3的步骤S104涉及将每个接收器(或客户端)配置为取得用于该接收器的更新 的控制信息。更新的控制信息在本实施例中是更新的播放列表,并且存在其中接收器可以 被配置为从服务器取得更新的播放列表的多种方式。例如,当最初为接收器提供第一播放 列表时,HTTP 1. 1期满机制可以被用来通知接收器关于何时需要取得更新的播放列表的时 间。由于更新的播放列表包含了用于未来内容(例如,内容的第二部分)的内容组块参引,内 容服务器可以为所有接收器安排足够的时间,以在开始使用更新的播放列表中提供的新的 内容组块参引之前(即,流送内容的第二部分之前)获得其独特的更新的播放列表。这意味 着所有接收器可以无缝切换到更新的播放列表。一些自适应流送协议(例如苹果(Apple)?, MPEG DASH)具有用于向清单文单发布更新的内置机制。这可以被用作对使用HTTP 1.1期 满协议的替代。
[0049] 可以在现有客户端实现方式中实现播放列表(或清单)文件的增量更新和加载。因 此,本方法与现有客户端功能相兼容,并且对于任何内容解码器或DRM特定的功能是不可 知的。
[0050] -些客户端支持内容播放器实现方式,其具有对用来提供附加功能的插件模块的 支持。如果客户端不支持播放列表的后向兼容的增量更新,则插件模块可承担这个功能。 在该变型中,客户端中对内容解码器的插件模块被配置为实现对策。该插件模块在由服务 器提供的时间,从文件取得更新的控制信息。如以上所述,这可以是播放列表或清单文件信 息。下面参照内容密钥的使用,对替代实施例进行描述。
[0051] 对策的内容密钥实现方式 插件模块可以实现用于独特信息的文件更新机制,内容解码器需要该独特信息以便处 理内容流。在一个实施例中,控制信息包括密钥管理信息,用于提供对用于解密内容的内容 解密密钥的访问。接收机需要对内容解密密钥的访问,以使得接收器能够解密内容。特别 地,接收器需要对内容解密密钥的未加密版本的访问,因为接收器无法使用内容解密密钥 的加密版本来解密内容。因而,在此实施例中,内容密钥被用来控制对内容的访问。
[0052] 例如,内容信息可以包括特定于给定客户端装置的内容密钥文件。独特性可以处 于文件参引中。为了使得另一客户端难以获得或加载新内容密钥,该内容密钥信息可以利 用独特的客户端密钥进行加密。各种保护技术可用于安全加载用于内容组块解密的内容密 钥。注意的是,可以存在附加的密钥,以便加载和/或分发内容密钥。例如,内容密钥可以 在更高等级的密钥下进行加密,该更高等级的密钥允许一组客户端共享相同的内容密钥文 件,如下文将参考图5和图6更详细地描述的那样。这使得更易于分发更新的内容密钥,而 无需点对点通信会话。
[0053] 当更新内容密钥时(如图3的步骤S103中),密钥更新可以与新内容组块参引的使 用对准。可以隐含地实现该密钥对准(改变用于下个内容组块的密钥),但还可以在利用内 容密钥分发的元数据中进行信号指示。通过将内容密钥与新内容组块的加载对准,可实现 内容密钥的无缝更新。
[0054] 对于标识的接收器,更新的控制信息不会使得标识的接收器能够访问用于内容的 第二部分的更新的内容解密密钥。有利地,利用对每个接收器独特的密钥来加密内容解密 密钥。
[0055] 下面参照图5和图6进一步详细描述了使用内容密钥实现方式的本发明的实施 例,其使用安全客户端50。要理解的是,这是由本发明所提供的基于内容密钥的对策的具体 示例。
[0056] 在图5的实施例中,安全客户端50包含作为内容本身从相同源(S卩,内容服务器系 统10)供应的多个白盒保护的密钥。将理解的是,白盒是用来建立安全客户端的实现技术 的特定变型,并且本发明的范围之内设想到其他变型来在客户端处提供安全密钥。每个客 户端X具有相应的独特密钥UKX (注意,对于图5中的安全客户端50而言,x=l)。该独特密 钥UKX存储在客户端50的固定的、静态白盒52中,以确保其从软件中提取是非常困难的。 此外,每个客户端50具有两个动态白盒,即存储组密钥GK的第一动态白盒54和存储内容 密钥CK的第二动态白盒56。可以使用来自HTTP服务器28的文件来通过网络28分发这两 个动态密钥GK和CK,以便在必要的情况下充分利用CDN和高速缓存。这使得系统是高度可 扩展的。
[0057] 当客户端50进行经由网络28到服务器10的连接以建立用于自适应流的会话时, 其被放置到客户端组u中某位置i处(注意,对于图5中的安全客户端50, i=l,u=l)。客户 端50接收用于加水印的此位置及其独特的播放列表文件两者(因此播放列表和内容密钥 被用于本实施例中)。每个组u具有针对时间段T的组密钥GK {T,U}。该组密钥GK{T,U}被检 索并放置在客户端50中的第一动态白盒54zhong,以再次保护其免于来自软件客户端的 检索。该组密钥GK {T,u}在具有处于位置i的组的标识符的文件中从HTTP服务器被检索, 并且使用客户端50的独特密钥UK X加密该组密钥GK{T,u}。一旦该组密钥GK{T, u}对于客户 端50是已知的,客户端50就能够检索针对时间段t的内容密钥CKt。再者,这通过使用对 服务器的HTTP请求并检索以利用组密钥GK {T,u}的加密形式的内容密钥CKt来完成。内容 密钥CKt然后被存储在客户端中的第二动态白盒56中。然后客户端50能够使用内容密钥 CKt来解密针对时间段t的任意内容组块。
[0058] 由密钥服务器60生成组密钥GK{T,u}和内容密钥CK t。密钥服务器60有利地是防 篡改服务器,其能够生成独特密钥。密钥服务器60包括用于生成组密钥GK{T, u}的第一密钥 生成器62,和用于生成内容密钥CKt的第二密钥生成器64。在不同的预先确定的循环下,组 密钥GK {T,u}和内容密钥CKt二者均由密钥服务器60进行循环。用于组密钥GK {T,u}的循环 T无需如用于内容密钥CKt的循环t那样频繁。优选地,内容密钥每几个内容组块(例如, 每20-60秒)循环一次。
[0059] 在会话期间,客户端50保持检索将要回放的新组块,并使用内容密钥CKt解密这 些新组块。当内容密钥在t+Ι处循环时,客户端进行与HTTP服务器的连接,并在存储于利 用GK {T,u}加密的文件中检索新的内容密钥CKt+i。当组密钥最终在T+1处循环时,客户端50 再次联系HTTP服务器,从而请求用于位置i处的组u的文件,其利用其自己的独特密钥UK X 进行加密,在该时间存储了新的GK{T+1,u}。
[0060] 如果客户端50被标识为"标识的接收器",其正参与再分发攻击(如图4中的接收 器30),系统可以发布命令以确保不产生将组密钥GK {T+1,u}给予位置i处客户端X的文件(参 见图6的服务器10的灰色阴影部分,其指示了该文件不存在)。由于客户端50无法得到该 组密钥GK {T+1,u}(参见图6中的(1)),客户端50无法解密任何新发布的内容密钥(参见图6 中的(2)),因为针对时间段T的新发布的内容密钥是使用组密钥GK {T+1,u}加密的。结果,客 户端50无法解密任何新内容组块以回放该内容。
[0061] 由于本系统是基于文件的,其是高度可扩展的系统。将理解的是,(i)组大小、(ii) 组密钥循环次数、(iii)内容密钥循环次数、以及(iv)密钥服务器的数目中的任何或全部可 以被调整,以实现用以切断被标识为参与了再分发攻击的任何客户端的速度相比可扩展性 和存储空间之间的平衡。
[0062] 图5和图6的实施例中,对于每个接收器,播放列表被单独用于对内容加指纹,而 一旦接收器(基于它的指纹)已被标识为参与未经授权的再分发攻击,则内容密钥被用于限 制对更新的内容的访问。然而,将理解的是,可以借助于播放列表或清单文件或通过使用内 容密钥加指纹来对该内容加指纹。因此,在替代的内容密钥实现方式中,内容密钥既被用于 加指纹(例如,如EP1264436中那样)又被用于限制对更新的内容的访问。出于两种目的的 对内容密钥的使用因为不需要使用播放列表和/或清单文件而是有利的。
[0063] 俥用纟目合的纟目f件 在一个实施例中,对于每个接收器,用于该接收器的控制信息被存储于与用于存储用 于多个接收器中其他接收器的控制信息的文件不同的文件中。换句话说,每个接收器在存 储用于该接收器的控制信息的服务器上具有其自己的文件。
[0064] 有利地,有可能将用于多个客户端(或接收器)的控制信息放置成单个、组合的、组 文件,从而提供对每个接收器使用控制信息文件的替代方式。在此替代实施例中,大量的客 户端特定的控制信息文件被组合以形成组文件。然后组中的每个客户端接收对于组文件的 索引参引(或生成URL索引参引)。索引参引与持有用于该客户端的独特控制信息的组文件 的文件片段相关联。如上所述,例如,该文件片段可以包括传统上在播放列表中所承载的独 特控制信息。替代地,文件片段可以持有内容密钥控制信息,其可以有利地以加密形式被存 储。文件片段还可以包含这两种类型的信息。
[0065] 组文件的使用显著简化了服务器操作,因为组文件取代了大量的小文件。客户端 可以按照与内容组块位于分段的内容文件中相同的方式来参引组文件的内容片段,例如使 用时间值作为到分段的内容文件中的索引。替代地,客户端可以加载整个组文件,并选择下 载完成后其所需的数据。参引文件片段比下载整个组文件更具带宽效率,但在服务器处需 要更多的开销来取得片段。有可能将文件片段组合成较少数目的较大文件片段,以调整所 需要的带宽和服务器处理开销。
[0066] 在以上描述的组文件实施例中,对于多个接收器的至少一个子集,控制信息被存 储在用于接收器的该子集的单个组合文件(即组文件)中。此外,对于接收器子集中的每个 接收器,用于该接收器的控制信息被存储在与用来存储用于该接收器子集中的其他接收器 的控制信息的文件位置不同的文件位置中(即不同的文件片段)。因而,用于多个接收器中 的某些或全部接收器的控制信息被存储在单个组合文件中,但是每个接收器具有用于该接 收器的特定文件位置,其中存储用于该接收器的控制信息。这提供的优势在于,服务器只需 要利用更新的控制信息来更新单个文件,而不是更新一组单独的文件。可以存在用于所有 接收器的一个大的组文件。替代地,多个接收器可以被划分成η个单独的接收器组,使得将 存在η个组文件。
[0067]共谋(Collusion) 共谋是盗版者采用多种合法源,并在再分发内容之前将其混合在一起的时候。也可以 由多个盗版者一起工作来将不同源混合在一起以产生一个内容流来产生共谋。换句话说, 参照图4,可能存在多个授权的接收器30,其均使用相应的内容抓取器32来抓取内容。然 后可以在使用内容编码器34重新编码以及经由网络28再分发之前,组合从多个内容抓取 器32输出的内容的多个抓取的版本。共谋的目的在于使得对于内容提供商来说,在重新编 码的未经授权的内容中检测其水印更加困难。当盗版者可以访问均由独特水印所标记的多 个合法源时,他们能够查看差异,并且然后随机地选择一个或将它们混合在一起。
[0068] 然而,即使在预先不知道共谋者的数目的情况下,在遵循共谋的重新编码的内容 中检测水印仍然是可能的。存在的共谋者越多,加水印密钥需要是越长的,并且检测时间将 是越长的。例如,对于具有包括4个共谋者的1000万订户的内容提供商,需要花费约20分 钟来检测共谋者(假设每2秒内容一个加水印位)。因此,对于中断涉及多个共谋接收器的 再分发攻击来说,本方法仍然将是可行的。
[0069] 将理解的是,本发明的实施例可以使用各种不同的信息处理系统来实现。特别 是,尽管其附图和讨论提供了示例性的计算系统和方法,但这些都仅仅被呈现以提供在讨 论本发明的各方面时有用的参考。当然,为了讨论的目的,该系统和方法的描述已被简化, 并且它们仅是可以被用于本发明的实施例的许多不同类型的系统和方法中的一个。将理解 的是,逻辑块之间的边界仅是说明性的,并且替代实施例可以合并逻辑块或元件,或者可以 对各种逻辑块或元件施加功能的替代分解。
[0070] 将理解的是,上述功能和模块可以被实现为硬件和/或软件。例如,上述模块可以 被实现为用于由系统的处理器执行的一个或多个软件组件。替代地,上述模块可以被实现 为诸如一个或多个现场可编程门阵列(FPGA),和/或一个或多个专用集成电路(ASIC),和/ 或一个或多个数字信号处理器(DSP),和/或其他硬件布置上的硬件。
[0071] 将理解的是,在本发明的实施例由计算机程序实现的范围,则承载计算机程序的 存储介质和传输介质形成本发明的各方面。计算机程序可以具有一个或多个程序指令或 程序代码,其在由计算机执行时,执行本发明的实施例。如本文所使用的术语"程序",可以 是设计用于计算机系统上执行的指令序列,并且可以包括子例程、函数、过程、对象方法、对 象实现、可执行应用、小应用程序(applet),小服务程序(servlet)、源代码,目标代码、共 享库、动态链接库、和/或设计用于计算机系统上执行的其他指令序列。存储介质可以是 磁盘(诸如硬盘或软盘)、光盘(诸如CD-ROM、DVD-ROM或蓝光盘)、或存储器(诸如ROM、RAM、 EEPROM、EPROM、闪速存储器或便携式/可移除存储器装置)等。传输介质可以是两个或更 多的计算机之间的通信信号、数据广播、通信链路等。
【权利要求】
1. 一种控制由多个接收器对IP流送内容的访问的方法,该方法包括: 对于多个接收器中的每个接收器,为该接收器提供对用于该接收器的第一控制信息的 访问,以使该接收器能够访问内容的第一部分; 从多个接收器将接收器标识为标识的接收器; 更新第一控制信息,以便为每个接收器提供更新的控制信息,该更新的控制信息与内 容的第二部分相关联;以及 将每个接收器配置为取得用于该接收器的更新的控制信息; 其中,对于标识的接收器,该更新的控制信息是无效的,使得该标识的接收器不能够完 全访问内容的第二部分。
2. 如权利要求1所述的方法,其中: 控制信息包括密钥管理信息,用于提供对用于解密该内容的内容解密密钥的访问;以 及 对于标识的接收器,该更新的控制信息不会使得该标识的接收器能够访问用于内容的 第二部分的更新的内容解密密钥。
3. 如权利要求2所述的方法,其中,对于每一个接收器,密钥管理信息包括用于该接 收器的独特密钥,该独特密钥可操作成使该接收器能够访问用于解密该内容的内容解密密 钥。
4. 如权利要求1所述的方法,其中: 该内容包括内容组块的时间系列; 该控制信息包括内容组块参引的播放列表,每个内容组块参引是对内容的相应内容组 块的参引;以及 对于标识的接收器,该更新的控制信息不包括用于内容的第二部分的内容组块参引的 有效播放列表。
5. 如权利要求1所述的方法,其中: 该内容包括置于内容文件中的内容组块的时间系列; 控制信息包括清单文件,该清单文件使得接收器能够生成与该内容文件中的内容组块 有关的URL;以及 对于标识的接收器,该更新的控制信息不包括有效的清单文件以使得该标识的接收器 生成用于与内容的第二部分相关联的内容组块的有效URL。
6. 如任意前述权利要求所述的方法,其中,将每个接收器配置为取得用于该接收器的 更新的控制信息包括: 为每个接收器提供用于该第一控制信息的期满时间,到该期满时间时,该接收器应当 取得用于该接收器的更新的控制信息。
7. 如任意前述权利要求所述的方法,其中该内容被加指纹,并且其中从多个接收器将 接收器识别为识别的接收器包括: 在内容的未经授权情况下,检测与该标识的接收器相关联的指纹。
8. 如权利要求1至7中的任意一项所述的方法,其中对于每个接收器,用于该接收器的 控制信息被存储在与用来存储用于该多个接收器中其他接收器的控制信息的文件不同的 文件中。
9. 如权利要求1至7的任意一项所述的方法,其中: 对于多个接收器的至少一个子集,该控制信息被存储在用于接收器的该子集的单个组 合文件中;以及 对于接收器的该子集中的每个接收器,用于该接收器的控制信息被存储在与用来存储 用于接收器的该子集中的其他接收器的控制信息的文件位置不同的文件位置中。
10. 如任意前述权利要求所述的方法,其中对于标识的接收器,更新的控制信息是无效 的,使得标识的接收器不能够访问内容的第二部分中的任意。
11. 如任意前述权利要求所述的方法,其中用于标识的接收器的更新的控制信息包括 空文件条目。
12. 如任意前述权利要求所述的方法,其中: 该内容包括内容组块的时间系列;以及 该内容的第一部分和第二部分均与相应的整数数量的内容组块相关联。
13. -种被配置为执行任意前述权利要求的方法的服务器。
14. 一种计算机程序,其在由处理器执行时,使处理器执行权利要求1至12中任意一项 的方法。
15. -种承载权利要求14的计算机程序的数据承载介质。
16. 如权利要求15所述的数据承载介质,其中该数据承载介质是存储介质或传输介 质。
17. -种控制由多个接收器对IP流送内容的访问的方法,该方法基本上如本文中参考 附图的图3-6中的任意所描述的那样。
18. -种用于控制由多个接收器对IP流送内容的访问的服务器,该服务器基本上如本 文中参考附图的图3-6中的任意所描述的那样。
【文档编号】H04L9/08GK104221392SQ201280071713
【公开日】2014年12月17日 申请日期:2012年3月23日 优先权日:2012年3月23日
【发明者】W.穆伊杰, A.A.瓦杰斯 申请人:耶德托公司
【专利摘要】描述了一种控制由多个接收器控制对IP流送内容的访问的方法。该方法包括以下步骤:(a)对于多个接收器中的每个接收器,为该接收器提供对用于该接收器的第一控制信息的访问,以使该接收器能够访问内容的第一部分;(b)从多个接收器将接收器标识为标识的接收器;(c)更新第一控制信息,以便为每个接收器提供更新的第一控制信息,该更新的控制信息与内容的第二部分相关联;并且(d)将每个接收器配置为取得用于该接收器的更新的控制信息。对于标识的接收器,更新的控制信息是无效的,使得标识的接收器不能够完全访问内容的第二部分。还描述了被配置为执行该方法的服务器。
【专利说明】控制对IP流送内容的访问
【技术领域】
[0001] 本发明涉及通过多个接收器控制对IP流送内容的访问。
【背景技术】
[0002] 日益地,互联网通信基础设施被用来提供对多媒体内容(诸如电视内容)的访问。 这包括从用户所贡献的材料到广告赞助的材料、到优质内容的范围。优质内容材料往往以 高质量分发,并且可以包括最近发布的电影或直播事件,诸如受欢迎体育赛事和音乐会。
[0003] 优质内容通常由数字版权管理(DRM)系统所保护。DRM技术是众所周知的,并且目 前有许多DRM系统可用于将内容分发给客户端。DRM系统通常包括利用加密内容、使用规则 的说明以及利用与特定DRM客户端相关联的密钥所加密的内容解密密钥来创建文件。DRM 保护的内容可以作为文件或流分发给客户端。DRM客户端在开始对内容数据的解密之前首 先处理使用规则,以及可能处理内容解密密钥的加密版本。一般情况下,DRM客户端在受保 护的软件应用中实现,并且往往与内容播放器相紧密集成。
[0004] 优质内容通常使用互联网协议电视(IPTV)被递送(或"流送")。IPTV是一种系统, 通过该系统,多媒体服务(诸如电视/视频/音频/文本/图形/数据)可以通过基于IP的 网络进行递送,该基于IP的网络被管理为提供所需要水平的服务和体验质量、安全性、交 互性和可靠性。特别是,IPTV为娱乐视频和相关服务的订户提供了安全和可靠的递送。这 些服务可以包括,例如,直播电视、视频点播(V0D)和交互电视(iTV)。这些服务跨越采用IP 协议来传输音频、视频和控制信号的访问不可知的分组交换网络来被递送。相比于公共互 联网上的视频,利用IPTV部署,网络安全和性能被严格管理以确保卓越的娱乐体验,从而 为内容提供商、广告商和客户等产生引人注目的商业环境。
[0005] 直播内容通常以流来分发,因为内容文件仅在事件结束时完成。苹果(Apple) 的 HTTP 实时流送(Live Streaming, HLS)、微软(Microsoft)的平滑流送(Smooth Streaming),和 Adobe 的基于 HTTP 的动态流送(HTTP-based Dynamic Streaming,HDS)是 内容递送解决方案,其使用标准HTTP网络服务器来递送流送内容,从而避免对于流送服务 器的需要。HTTP分组是防火墙友好的,且可以在网络上使用标准的HTTP高速缓存服务器。 这降低了与递送视频相关联的总带宽成本,因为更多数据可以从基于网络的高速缓存而不 是源服务器提供服务,并且其提高了服务质量,因为高速缓存的数据通常更接近观看者并 因而是可以更容易检索的。
[0006] 存在特殊的"自适应流送"协议,其使得订阅客户端能够适应内容可被流送到客 户端所利用的有效数据速率中的动态变化。通常,这样的协议需要服务器准备对内容的不 同数据速率编码。如果客户端看到在数据速率中的改变,它可以切换到匹配改变后的传输 条件的编码版本。为了降低带宽,自适应流送协议被设计为促进对分发网络的节点中内容 部分的高速缓存。这些高速缓存需要内容部分具有独特的标识符,所以每个高速缓存可以 确定其是可以从本地存储装置取得内容部分,还是其需要向更靠近服务器的节点传递内容 请求。基于HTTP的自适应流送技术通常具有两个组成部分:编码的视听内容组块自身,以 及为播放器标识内容组块并且包含其URL地址的清单(manifest)文件。MPEG DASH (ISO/ IEC23009-1)标准草案可能最终取代大多数专有的自适应流送格式。
[0007] 针对优质内容(如体育和音乐会)的直播流送的常见攻击包括授权客户端抓取解 码输出(例如,通过仅使用摄像头),在内容编码器中对其进行处理,并将重新编码的材料以 未经授权的方式再分发(例如,使用P2P或其他基础设施)。内容的再分发往往使用保护技 术,使攻击者能够为其未经授权的服务索要费用。
[0008] 所需要的是适合于扰乱未经授权的再分发服务的对抗这种再分发攻击的对策。本 发明目的在于提供这样的对策。
【发明内容】
[0009] 根据本发明的第一方面,提供了一种控制由多个接收器对IP流送内容的访问的 方法。该方法包括以下步骤:(a)对于多个接收器中的每个接收器,为该接收器提供对用于 该接收器的第一控制信息的访问,以使该接收器能够访问内容的第一部分;(b)从多个接 收器将接收器标识为标识的接收器;(c)更新第一控制信息,以便为每个接收器提供更新 的控制信息,该更新的控制信息与内容的第二部分相关联;以及(d)将每个接收器配置为 取得用于该接收器的更新的控制信息。对于标识的接收器,更新的控制信息是无效的,使得 标识的接收器不能够完全访问内容的第二部分。
[0010]因此,本方法使内容提供商能够针对一个或多个标识的接收器限制对内容的后来 (第二)部分的访问。因此,如果接收器很快被标识为参与内容的未经授权再分发,内容提供 商可以使用本方法来拒绝该标识的接收器对内容的剩余部分的访问。这种行动也将影响内 容的未经授权再分发。因此,本方法充当了对抗由标识的接收器进行的再分发攻击的对策。 特别地,本方法通过将每个客户端配置为周期性取得控制信息来实现对抗再分发攻击的对 策,该控制信息仅以正确形式被提供给行为良好的客户端。如下文将进一步描述的,控制信 息可以是播放列表或清单文件或密钥管理信息。并且,控制信息可以被放置在小的单独文 件中或组合文件中的片段中。
[0011] 优选地,对于多个接收器中除了标识的接收器之外的接收器,更新的控制信息是 有效的,使得所述其他接收器能够访问内容的第二部分。因此,对于除了标识的接收器之外 的接收器,对内容访问不存在中断。
[0012] 在一个实施例中,内容密钥(即内容解密密钥)被用于控制对内容的访问。在此实 施例中,控制信息包括密钥管理信息,用于提供对用于解密该内容的内容解密密钥的访问。 对于标识的接收器,更新的控制信息不会使得标识的接收器能够访问用于内容的第二部分 的更新的内容解密密钥。有利地,对于每个接收器,密钥管理信息包括用于该接收器的独特 密钥,该独特密钥可操作成使该接收器能够访问用于解密该内容的内容解密密钥。在替代 的实施例中,播放列表被用于控制对内容的访问。在此实施例中,内容包括内容组块的时间 系列,并且控制信息包括内容组块参引的播放列表,每个内容组块参引是对内容的相应内 容组块的参引。对于标识的接收器,更新的控制信息不包括用于内容的第二部分的内容组 块参引的有效播放列表。因此,本方法使内容提供商能够拒绝标识的接收器对内容组块参 引的有效播放列表的访问。在另一替代的实施例中,清单文件被用于控制对内容的访问。在 此实施例中,内容包括置于内容文件中的内容组块的时间系列,并且控制信息包括清单文 件,该清单文件使得接收器能够生成与内容文件中的内容组块有关的URL。对于标识的接收 器,更新的控制信息不包括有效的清单文件来使得标识的接收器能够生成用于与内容的第 二部分相关联的内容组块的有效URL。
[0013] 在一个实施例中,将每个接收器配置为取得用于该接收器的更新的控制信息的步 骤包括:为每个接收器提供用于第一控制信息的期满时间,到该期满时间时,接收器将取得 用于该接收器的更新的控制信息。在此实施例中,可以适当提前将该期满时间提供给接收 器,使得接收器在开始接收内容的第二部分之前具有足够时间来取得更新的控制信息。因 而,从第一控制信息到更新的控制信息存在无缝切换。任选地,使用HTTP1. 1期满时间机 制,可以将期满时间提供给每个接收器。替代地,当使用播放列表或清单文件时,使用由播 放列表(或清单)文件格式所支持的期满机制,期满时间可以被提供给每个接收器(例如苹 果(Apple)和MPEG-DASH具有内置机制,以用于发布对清单文件的更新)。取得更新的控制 信息使得接收器能够在期满时间之后访问该内容,只要更新的控制信息是有效的。
[0014] 在一个实施例中,对内容加指纹。换句话说,对于每个接收器,存在提供给接收器 以用于解码和输出的内容的相关联的单独加水印(即加指纹)的版本。可以使用内容密钥, 或使用对于各个接收器独特的播放列表/清单文件来实现加指纹。在此加指纹的内容实施 例中,从多个接收器将接收器标识为标识的接收器的步骤包括:在内容的未经授权情况下, 检测与标识的接收器相关联的指纹。因而,可以防止内容的未经授权的再分发中所涉及的 授权的接收器访问全部内容。因此,本方法提供了对抗未经授权的再分发攻击的对策。
[0015] 在一个实施例中,对于每个接收器,用于该接收器的控制信息被存储在与用于存 储用于多个接收器中其他接收器的控制信息的文件不同的文件中。换句话说,每个接收器 在存储用于该接收器的控制信息的服务器上具有其自己的相应文件。在替代的实施例中, 对于多个接收器的至少一个子集,控制信息被存储在用于接收器的该子集的单个组合文件 中;并且,对于接收器子集中的每个接收器,用于该接收器的控制信息被存储在与用来存储 用于接收器的该子集中的其他接收器的控制信息的文件位置不同的文件位置中。在此替 代的实施例中,用于多个接收器中的某些或全部接收器的控制信息被存储在单个组合文件 中,但是每个接收器具有用于该接收器的特定文件位置,其中存储用于该接收器的控制信 息。这提供的优势在于,服务器只需要利用更新的控制信息来更新单个文件,而不是更新一 组单独的文件。
[0016] 在一个实施例中,对于标识的接收器,更新的控制信息是无效的,使得标识的接收 器不能够访问内容的第二部分的任意。因此,所标识的接收器被拒绝对内容的整个第二部 分的访问。替代地,代替内容流可以取代内容的第二部分而被提供给所标识的接收器,或破 坏的内容流可以取代内容的第二部分而被提供给标识的接收器。
[0017] 在一个实施例中,用于标识的接收器的更新的控制信息包括空文件条目。这是拒 绝标识的接收器对内容的整个第二部分的访问的一种方式。空文件条目可以仅仅是控制信 息的单个组合文件中用于标识的用户的文件位置处的空文件条目。替代地,如果每个接收 器存在单独的控制信息文件,则空文件条目可以是空白的文件。
[0018] 在一个实施例中,内容包括内容组块的时间系列,并且内容的第一部分和第二部 分均与相应整数数量的内容组块相关联。因此,控制信息的更新与内容组块的开始同步。
[0019] 根据本发明的第二方面,提供了一种服务器,其被配置为执行第一方面的方法。
[0020] 根据本发明的第三个方面,提供了一种计算机程序,其在由处理器执行时,使处理 器执行第一方面的方法。
[0021] 根据本发明的第四个方面,提供了一种数据承载介质,其承载了第三方面的计算 机程序。在一个实施例中,该数据承载介质是存储介质或传输介质。
[0022] 本发明的其他优选特征在所附权利要求书中被陈述。
【专利附图】
【附图说明】
[0023] 现在将参考附图以示例方式描述本发明的实施例,其中: 图1示意性地图示了示例内容服务器系统,其中可以部署指纹加水印; 图2示意性地图示了与图1的内容服务器系统相交互的客户端; 图3是示意性图示了本发明一般方法的流程图; 图4示意性地示出了用于对策实现的示例性系统; 图5示意性图示了在对策实现之前本发明的基于内容密钥的系统的实施例;以及 图6示意性图示了对策实现之后的实施例图5。
【具体实施方式】
[0024] 在接下来的描述中以及附图中,对本发明的某些实施例进行了描述。然而,将理解 的是,本发明并不限于所描述的实施例,并且一些实施例可以不包括下文所描述的全部特 征。然而,将明显的是,在不脱离如所附权利要求中阐述的本发明更宽精神和范围的情况 下,可以在本文中进行各种修改和改变。
[0025] 编号10175973. 6的欧洲专利申请和编号PCT/EP2011/065561的国际专利申请,二 者均通过引用全部并入本文中,其描述了使用自适应流送协议来配置客户端以产生具有对 该客户端独特的水印的输出。这种客户端特定的水印也被称为指纹。EP10175973. 6和PCT/ EP2011/065561的自适应流送协议也已经发表于标题为"用于自适应流送协议的水印"的文 章中(101-114页,Proceedings of the 8th VLDB Workshop, SDM 2011 Seattle, Lecture Notes Computer Science 6933,Springer Verlag,ISBN 978-3-642-23555-9)。图 1 中不 意性示出了用于该自适应流送水印协议的内容服务器(即头端)架构,并且在下面被简要地 描述。图1的内容服务器系统10包括内容生成器12、质量水平编码器14、组块生成器16、 组块修改器18中、组块储存器20、播放列表生成器22、同步器24以及可连接到网络28的 网络接口 26。
[0026] 内容最初由内容生成器12生成。来自内容生成器的原始内容由质量水平编码器 14接收,该质量水平编码器14提供了具有不同编码特性(诸如不同比特率和/或不同空间 分辨率)的相同原始内容的多个副本。在图1的示例中,生成内容的两个不同质量水平的副 本,但是如果期望的话可以提供更多的副本。不同质量水平的相同内容的提供允许用户继 续流送内容,即使在流送期间它们的比特率发生变化。换句话说,该系统基于可用比特率或 要求的空间分辨率来为特定客户端/接收器进行适配。
[0027] 每个质量水平编码器14与组块生成器16中相应的一个相关联。每个组块生成器 16从相应的质量水平编码器14接收编码的内容,并将编码的内容划分成多个内容组块。每 个内容组块对应于编码内容的不同时间片。换句话说,内容组块是该内容的5-10个第二组 块(或部分)。典型的电影通常包括一千个内容组块。组块生成器16由同步器24所同步, 以使不同质量水平的内容组块之间能够平滑过渡。在替代实施例中,由组块生成器16进行 的组块创建步骤可以先于由质量水平编码器14进行的不同质量水平的生成的步骤。
[0028] 由组块修改器18接收来自组块生成器16的内容组块。特别地,每个内容组块被 复制并且被不同地处理,以便被转换成两个不同的修改的内容组块。换句话说,每个内容组 块的一个复制副本由第一组块修改器18接收并处理,并且每个内容组块的另一个复制副 本由第二组块修改器18接收并处理。第一和第二组块修改器18均以不同方式处理内容组 块。例如,第一组块修改器18可以将第一水印应用到所接收的内容组块,而第二组块修改 器18可以将第二水印应用到所接收的内容组块。如果期望,每个组块生成器16可以包括 两个以上的组块修改器18。根据本发明,修改的内容组块然后均可以通过使用对于内容组 块的时间帧t独特的内容密钥CK t来加密(图1中未示出)。随后,修改的内容组块被发送给 组块储存器20用于存储。每个内容组块有利地利用不可预测的名称来存储。
[0029] 播放列表生成器22为客户端生成播放列表。每个播放列表包括在组块储存器20 中信息的基础上生成的内容组块参引的序列。在没有播放列表的情况下,由于与每个内容 组块相关联的不可预测的名称,访问组块储存器20是没有用处的。因为使对于给定时间帧 的原始内容组块在不同质量水平下可用,这提供了播放列表中的间接层,其给予接收方装 置用以选择最适合内容组块的选项。组块渲染的持续时间在同步器24和播放列表生成器 22之间共享。播放列表生成器22为每个客户端产生独特的播放列表(即内容组块参引的独 特序列)。借助于用于网络28的网络接口 26来将播放列表提供给客户端。
[0030] 图2中示意性示出了与内容服务器10的客户端交互。客户端使用其相应的播放列 表来取得用于通过客户端中的内容解码器进行处理的内容组块。由客户端使用规则的HTTP GET命令从服务器检索每个组块。客户端播放列表中组块的独特序列在对于用户不可见的 客户端的内容解码器的输出中产生可检测的水印信号。水印序列取决于组块序列,所以具 有组块序列的播放列表确定将被嵌入到内容解码器的输出中的水印。如前面提到的,这种 机制优选与用于内容流的不同质量水平编码相结合。换句话说,在取得内容组块方面,有效 带宽被用来确定合适的质量水平。这个功能是被广泛的内容播放器所支持的。
[0031] 总之,编号为号10175973. 6的欧洲专利申请和编号为PCT/EP2011/065561的国际 专利申请涉及加指纹流送的内容。它们描述了将播放列表用于不同地加水印的参引内容组 块。通过向接收器发布包含组块参引的个别化序列的独特播放列表,内容服务器可以确保 内容播放器的解码输出包含对该接收器独特的水印(指纹)。此外,根据用于每个客户端/ 接收器的可用带宽,可以在不同质量水平下自适应地流送发送内容。
[0032] 加指纹内容的替代的已知方法使用内容密钥来为每个接收器提供所解码的输出 的独特版本,例如,所EP1264436中描述的,其内容通过引用并入本文中。特别是,可能存在 内容组块中所选择的内容组块的两个或更多个不同加水印的版本。不同加水印的版本然后 以不同的方式被加密(例如,使用不同的加密算法或者使用不同的加密密钥)。然后向每个 接收器提供对一组独特的内容密钥的访问,这些内容密钥使得接收器解码每个所选择的内 容组块的仅一个版本。因此,根据对该接收器可用的一组独特内容密钥,每个接收器的解码 输出将包含不同的水印。因此,每个接收器的解码输出被"加指纹",使得对解码输出的水印 检测可以被用于标识与该解码输出相关联的单独的接收器。
[0033] 根据本发明,图1的内容服务器系统可以被用作用于IP内容流送的服务器(例如 IPTV服务器)来协助实现对抗盗版者(S卩,参与再分发攻击的接收器)的对策。图3是示出 了控制由多个接收器对IP流送内容(例如IPTV内容)的访问的本方法中所涉及步骤的高级 流程图。内容被加指纹,使得为每个接收器提供对内容的相应单独加水印版本的访问。因 此,后续的水印/指纹检测使得接收器能够基于其已经接收到的内容版本来被标识。
[0034] 在步骤S101处,对于多个接收器中的每个接收器,为该接收器提供对用于该接收 器的第一控制信息的访问,以使该接收器能够访问内容的第一部分。例如,如果采用图1的 系统,第一控制信息可以包括与内容的第一部分相对应的内容组块的第一播放列表。因而, 每个接收器将能够访问内容第一部分的其自己的独特加水印的版本。在替代实施例中,控 制信息可以包括密钥管理信息,其可以是被用来将一组内容解密密钥分发给单独接收器的 数据的任意形式。再者,将以这样方式提供密钥管理信息,该方式使得每个接收器将能够访 问内容第一部分的其自己的独特加水印的版本(例如,如EP1264436中那样)。控制信息可 以被放置在小的单独文件中或组合文件中的片段中。
[0035] 在步骤S102处,从多个接收器将接收器标识为标识的接收器。例如,图1的自适 应流送水印技术允许授权内容服务器来在每个接收器的解码输出流中插入相应的独特水 印(即指纹)。这个指纹是足够鲁棒的,以在重新编码的内容中保持可检测。因此,如果内容 第一部分的未授权再分发被标识,可分析再分发的内容以检测指纹。基于所检测的一个或 多个指纹,有可能标识对应的一个或多个接收器并从而确定哪个或那些标识的接收器正参 与未授权的再分发攻击。一个或多个标识的接收器的身份知识形成了用于对抗未授权的再 分发攻击的对策的基础。
[0036] 在步骤S103处,更新第一控制信息,以便为每个接收器提供更新的控制信息。更 新的控制信息与内容的第二部分相关联。在步骤S104处,每个接收器被配置为取得(或得 到或获得或请求)用于该接收器的更新的控制信息。因此,为了试图访问内容的第二部分, 每个接收器被配置为取得更新的控制信息。如果接收器未取得更新的控制信息,则它们将 无法访问内容的第二部分。如果采用图1的系统,则更新的控制信息可以包括与内容的第 二部分相对应的内容组块的更新的播放列表。然而,重要的是,对于标识的接收器,更新的 控制信息是无效的,使得标识的接收器不能够完全访问内容的第二部分。因而,使用图1的 系统,用于标识的接收器的更新的控制信息可以是用于内容的第二部分的内容组块的无效 播放列表。因此,标识的接收器无法完全访问内容的第二部分,使得由一个或多个标识的接 收器进行的内容的未经授权再分发被扰乱。其他接收器(即盘圭被标识为一个或多个标识 的接收器的那些)在所提供的服务中没有看到变化--他们仅根据需要继续取得有效的更 新的控制信息。
[0037] 因此,上述方法通过配置每个客户端/接收器来周期性取得仅以正确形式提供给 行为良好的客户端(即,除了一个或多个标识的接收器之外的客户端)的控制信息,实现了 对抗再分发攻击的对策。将理解的是,通过要求每个接收器取昼更新的控制信息,通过仅生 成无效控制信息,并将该信息放置在用于由一个或多个标识的接收器进行收集的内容服务 器上,内容服务器可以扰乱未经授权的再分发攻击。对于内容服务器来说,不需要向所有接 收器主动发送新的控制信息。因此,本方法在头端处是非常有效的。
[0038] 有可能将本发明的有效头端方法与对抗未经授权再分发攻击的潜在替代对策相 对比。特别是,一个替代选项将是使用DRM系统来禁用DRM客户端/接收器解密受保护内 容。然而,基于使用新内容解密密钥的对策要求DRM系统将新的内容解密密钥分发布给除 了已被标识为参与内容再分发攻击的DRM客户端之外的所有DRM客户端(即新的内容解密 密钥需要被发布给遗圭被标识为标识的接收器的所有接收器)。这意味着几乎所有的客户 端需要获得新的内容解密密钥来实现对策。对策中使用DRM系统导致了显著的开销,因为 DRM系统不支持内容解密密钥的有效更新。结果是,对于具有大量DRM客户端的受欢迎直播 事件来说可能花费显著的时间来实现对策。使用DRM系统来实现对策的另一复杂性在于, 这不会提供客户端的同步和无缝切换来使用新的内容解密密钥开始。相比之下,本发明提 供了对抗IP通信基础设施(诸如内容分发网络(CDN))上分发的直播电视事件的未经授权 的再分发的对策的既高效又无缝的实现方式。
[0039] 下文将进一步详细地描述本发明的实施例和技术细节。
[0040] 实现对策 图4示意性地图示了用于对策实现的系统的实施例。
[0041] 例如,如前面参考图1所描述的,内容服务器系统10被连接到网络28。
[0042] 图4中虚线部件描绘了未经授权的再分发攻击。特别是,授权的接收器30以授权 的方式经由网络28从内容服务器系统10获得内容(参照图3中的步骤S101)。内容抓取 器32然后从授权的接收器30抓取解码的输出。所抓取的内容然后以未经授权的方式(即, 在没有版权拥有者/内容服务器系统10的任何授权的情况下)由内容编码器34重新编码 以及经由网络28再分发。来自未经授权的再分发攻击的内容经由网络28分发给多个流氓 (rogue)接收器。
[0043] 为了应用对抗再分发攻击的对策,流氓接收器36之一被用来确定哪个未经授权 的接收器30参与了再分发攻击(S卩,流氓接收器36被用来标识图3的步骤S102中的标识 的接收器)。这是通过使用水印检测器38分析流氓接收器36的输出以便检测存在于该输 出中的任何水印/指纹来完成的。如前面所提到的,由于由内容服务器系统10插入的水印 的鲁棒性,这种水印通常仍然能够甚至在由内容抓取器32和内容编码器34处理后被检测 至IJ。一旦水印已被检测到,由于水印对于每个授权接收器的独特性,有可能识别与该水印相 关联的授权接收器30。参与再分发攻击的授权接收器30的身份然后被转发到对策部件40, 以用于针对标识的接收器30采取行动。
[0044] 典型的对策防止标识的接收器30能够经由网络28从内容服务器系统10获得内 容流。替代的对策可以为标识的接收器30提供经由网络28对来自内容服务器系统10的 替代的内容流或中断的内容流的访问。因此,对策部件40可以形成内容服务器系统10的 一部分,或者可以被耦合(例如经由网络28)以与内容服务器系统10进行通信。如上所述, 参照图3的步骤S103,通过更新由内容服务器系统10提供的控制信息(例如,播放列表或 清单文件或密钥管理信息)来实现本发明的对策。特别地,在步骤S101中由内容服务器系 统10提供的第一控制信息仅为每个授权的接收器提供了对内容的第一部分的访问。步骤 S102中使用水印检测器38已经标识了该标识的接收器(S卩,参与再分发攻击的授权接收器 30),为每个接收器更新第一控制信息。更新的控制信息与内容第二部分相关联。通过为标 识的接收器30提供无效的更新的控制信息来应用对策,使得标识的接收器30不能够完全 访问内容的第二部分。
[0045] 一般情况下,对策依赖于将不正确(即无效)的控制信息提供给已被标识为参与内 容再分发攻击的标识的客户端。
[0046] 对策的播放列表/清单f件实现方式 如上面所提到的,内容服务器上所提供的控制信息可以是播放列表。在此实施例中,内 容包括内容组块的时间系列并且控制信息包括内容组块参引的播放列表,每个内容组块参 弓丨是对内容的相应内容组块的参弓丨。在苹果(Apple)?IETF规范的情况下,播放列表是.m3u 文件,其参引了内容组块(服务器上的小内容文件)或者另一.m3u播放列表文件。Microsoft Silverlight?自适应流送规范使用.ismc清单文件。使用Microsoft Silverlight?,存在 用于单个内容文件的单个清单文件。清单文件使接收器能够将内容文件中包含的内容组块 (片段)参引为URL。换句话说,清单文件用于使接收器能够创建用于部分内容的URL。这甚 至可以针对其中片段仅在未来变得可用的实时流送内容而被完成。每个URL包括服务器用 来计算偏移量的相应起始时间,在该起始时间,特定内容组块位于内容文件中。因此,不同 于播放列表文件,清单文件本身不包含内容组块参引。尽管如此,这两种机制以不同方式提 供相同的功能。特别是,这两种机制都能够提供控制信息(以播放列表或清单文件的形式), 其使接收器能够生成(或发布)内容组块参引。微软(Microsoft)方法的一个好处是,内容 服务器处理单个内容文件,而不是大量的小内容组块文件,这增加了效率。其他视听自适应 流送规范具有类似的模型,以便利用(leverage)现有通用互联网高速缓存技术来增加带宽 和服务器效率。
[0047] 在一个实施例中(例如,使用图1的内容服务器系统),控制信息是播放列表。对播 放列表文件的更新可以被用来将新的参引添加到直播内容流的未来部分中将被使用的内 容组块。因此,参照图3的步骤S101,为每个接收器提供对该接收器独特的相应的第一播 放列表的访问,以使该接收器能够访问内容的第一部分。然后,参照图3的步骤S103,更新 第一播放列表以便为每个接收器提供相应的更新的播放列表。更新的播放列表与内容的第 二部分相关联。在没有其更新的播放列表的情况下,接收器无法参引适当的组块来生成用 于内容的第二部分的内容流。由于每个接收器具有对于该接收器独特的播放列表,用于标 识的接收器30的播放列表可以被生成为包括实现预期对策(再分发服务的某种形式的中 断)的无效数据。例如,用于标识的接收器30的播放列表可以是空白的播放列表或空播放 列表。替代地,用于标识的接收器30的播放列表可以提供不正确的内容组块列表(S卩,与内 容的第二部分不对应的内容组块列表)。因此,标识的接收器30无法完全访问内容的第二 部分,使得由标识的接收器进行的内容的未经授权再分发被扰乱。其他接收器(即,虛圭被 标识为参与再分发攻击的那些)继续接收对其相应播放列表的有效更新。类似地,在清单文 件实现方式中,用于标识的接收器30的清单文件可以是空白清单文件或空清单文件。替代 地,用于标识的接收器30的清单文件可以使得接收器能够生成不正确的URL(S卩,与内容的 第二部分所关联的内容组块不对应的URL)。
[0048] 图3的步骤S104涉及将每个接收器(或客户端)配置为取得用于该接收器的更新 的控制信息。更新的控制信息在本实施例中是更新的播放列表,并且存在其中接收器可以 被配置为从服务器取得更新的播放列表的多种方式。例如,当最初为接收器提供第一播放 列表时,HTTP 1. 1期满机制可以被用来通知接收器关于何时需要取得更新的播放列表的时 间。由于更新的播放列表包含了用于未来内容(例如,内容的第二部分)的内容组块参引,内 容服务器可以为所有接收器安排足够的时间,以在开始使用更新的播放列表中提供的新的 内容组块参引之前(即,流送内容的第二部分之前)获得其独特的更新的播放列表。这意味 着所有接收器可以无缝切换到更新的播放列表。一些自适应流送协议(例如苹果(Apple)?, MPEG DASH)具有用于向清单文单发布更新的内置机制。这可以被用作对使用HTTP 1.1期 满协议的替代。
[0049] 可以在现有客户端实现方式中实现播放列表(或清单)文件的增量更新和加载。因 此,本方法与现有客户端功能相兼容,并且对于任何内容解码器或DRM特定的功能是不可 知的。
[0050] -些客户端支持内容播放器实现方式,其具有对用来提供附加功能的插件模块的 支持。如果客户端不支持播放列表的后向兼容的增量更新,则插件模块可承担这个功能。 在该变型中,客户端中对内容解码器的插件模块被配置为实现对策。该插件模块在由服务 器提供的时间,从文件取得更新的控制信息。如以上所述,这可以是播放列表或清单文件信 息。下面参照内容密钥的使用,对替代实施例进行描述。
[0051] 对策的内容密钥实现方式 插件模块可以实现用于独特信息的文件更新机制,内容解码器需要该独特信息以便处 理内容流。在一个实施例中,控制信息包括密钥管理信息,用于提供对用于解密内容的内容 解密密钥的访问。接收机需要对内容解密密钥的访问,以使得接收器能够解密内容。特别 地,接收器需要对内容解密密钥的未加密版本的访问,因为接收器无法使用内容解密密钥 的加密版本来解密内容。因而,在此实施例中,内容密钥被用来控制对内容的访问。
[0052] 例如,内容信息可以包括特定于给定客户端装置的内容密钥文件。独特性可以处 于文件参引中。为了使得另一客户端难以获得或加载新内容密钥,该内容密钥信息可以利 用独特的客户端密钥进行加密。各种保护技术可用于安全加载用于内容组块解密的内容密 钥。注意的是,可以存在附加的密钥,以便加载和/或分发内容密钥。例如,内容密钥可以 在更高等级的密钥下进行加密,该更高等级的密钥允许一组客户端共享相同的内容密钥文 件,如下文将参考图5和图6更详细地描述的那样。这使得更易于分发更新的内容密钥,而 无需点对点通信会话。
[0053] 当更新内容密钥时(如图3的步骤S103中),密钥更新可以与新内容组块参引的使 用对准。可以隐含地实现该密钥对准(改变用于下个内容组块的密钥),但还可以在利用内 容密钥分发的元数据中进行信号指示。通过将内容密钥与新内容组块的加载对准,可实现 内容密钥的无缝更新。
[0054] 对于标识的接收器,更新的控制信息不会使得标识的接收器能够访问用于内容的 第二部分的更新的内容解密密钥。有利地,利用对每个接收器独特的密钥来加密内容解密 密钥。
[0055] 下面参照图5和图6进一步详细描述了使用内容密钥实现方式的本发明的实施 例,其使用安全客户端50。要理解的是,这是由本发明所提供的基于内容密钥的对策的具体 示例。
[0056] 在图5的实施例中,安全客户端50包含作为内容本身从相同源(S卩,内容服务器系 统10)供应的多个白盒保护的密钥。将理解的是,白盒是用来建立安全客户端的实现技术 的特定变型,并且本发明的范围之内设想到其他变型来在客户端处提供安全密钥。每个客 户端X具有相应的独特密钥UKX (注意,对于图5中的安全客户端50而言,x=l)。该独特密 钥UKX存储在客户端50的固定的、静态白盒52中,以确保其从软件中提取是非常困难的。 此外,每个客户端50具有两个动态白盒,即存储组密钥GK的第一动态白盒54和存储内容 密钥CK的第二动态白盒56。可以使用来自HTTP服务器28的文件来通过网络28分发这两 个动态密钥GK和CK,以便在必要的情况下充分利用CDN和高速缓存。这使得系统是高度可 扩展的。
[0057] 当客户端50进行经由网络28到服务器10的连接以建立用于自适应流的会话时, 其被放置到客户端组u中某位置i处(注意,对于图5中的安全客户端50, i=l,u=l)。客户 端50接收用于加水印的此位置及其独特的播放列表文件两者(因此播放列表和内容密钥 被用于本实施例中)。每个组u具有针对时间段T的组密钥GK {T,U}。该组密钥GK{T,U}被检 索并放置在客户端50中的第一动态白盒54zhong,以再次保护其免于来自软件客户端的 检索。该组密钥GK {T,u}在具有处于位置i的组的标识符的文件中从HTTP服务器被检索, 并且使用客户端50的独特密钥UK X加密该组密钥GK{T,u}。一旦该组密钥GK{T, u}对于客户 端50是已知的,客户端50就能够检索针对时间段t的内容密钥CKt。再者,这通过使用对 服务器的HTTP请求并检索以利用组密钥GK {T,u}的加密形式的内容密钥CKt来完成。内容 密钥CKt然后被存储在客户端中的第二动态白盒56中。然后客户端50能够使用内容密钥 CKt来解密针对时间段t的任意内容组块。
[0058] 由密钥服务器60生成组密钥GK{T,u}和内容密钥CK t。密钥服务器60有利地是防 篡改服务器,其能够生成独特密钥。密钥服务器60包括用于生成组密钥GK{T, u}的第一密钥 生成器62,和用于生成内容密钥CKt的第二密钥生成器64。在不同的预先确定的循环下,组 密钥GK {T,u}和内容密钥CKt二者均由密钥服务器60进行循环。用于组密钥GK {T,u}的循环 T无需如用于内容密钥CKt的循环t那样频繁。优选地,内容密钥每几个内容组块(例如, 每20-60秒)循环一次。
[0059] 在会话期间,客户端50保持检索将要回放的新组块,并使用内容密钥CKt解密这 些新组块。当内容密钥在t+Ι处循环时,客户端进行与HTTP服务器的连接,并在存储于利 用GK {T,u}加密的文件中检索新的内容密钥CKt+i。当组密钥最终在T+1处循环时,客户端50 再次联系HTTP服务器,从而请求用于位置i处的组u的文件,其利用其自己的独特密钥UK X 进行加密,在该时间存储了新的GK{T+1,u}。
[0060] 如果客户端50被标识为"标识的接收器",其正参与再分发攻击(如图4中的接收 器30),系统可以发布命令以确保不产生将组密钥GK {T+1,u}给予位置i处客户端X的文件(参 见图6的服务器10的灰色阴影部分,其指示了该文件不存在)。由于客户端50无法得到该 组密钥GK {T+1,u}(参见图6中的(1)),客户端50无法解密任何新发布的内容密钥(参见图6 中的(2)),因为针对时间段T的新发布的内容密钥是使用组密钥GK {T+1,u}加密的。结果,客 户端50无法解密任何新内容组块以回放该内容。
[0061] 由于本系统是基于文件的,其是高度可扩展的系统。将理解的是,(i)组大小、(ii) 组密钥循环次数、(iii)内容密钥循环次数、以及(iv)密钥服务器的数目中的任何或全部可 以被调整,以实现用以切断被标识为参与了再分发攻击的任何客户端的速度相比可扩展性 和存储空间之间的平衡。
[0062] 图5和图6的实施例中,对于每个接收器,播放列表被单独用于对内容加指纹,而 一旦接收器(基于它的指纹)已被标识为参与未经授权的再分发攻击,则内容密钥被用于限 制对更新的内容的访问。然而,将理解的是,可以借助于播放列表或清单文件或通过使用内 容密钥加指纹来对该内容加指纹。因此,在替代的内容密钥实现方式中,内容密钥既被用于 加指纹(例如,如EP1264436中那样)又被用于限制对更新的内容的访问。出于两种目的的 对内容密钥的使用因为不需要使用播放列表和/或清单文件而是有利的。
[0063] 俥用纟目合的纟目f件 在一个实施例中,对于每个接收器,用于该接收器的控制信息被存储于与用于存储用 于多个接收器中其他接收器的控制信息的文件不同的文件中。换句话说,每个接收器在存 储用于该接收器的控制信息的服务器上具有其自己的文件。
[0064] 有利地,有可能将用于多个客户端(或接收器)的控制信息放置成单个、组合的、组 文件,从而提供对每个接收器使用控制信息文件的替代方式。在此替代实施例中,大量的客 户端特定的控制信息文件被组合以形成组文件。然后组中的每个客户端接收对于组文件的 索引参引(或生成URL索引参引)。索引参引与持有用于该客户端的独特控制信息的组文件 的文件片段相关联。如上所述,例如,该文件片段可以包括传统上在播放列表中所承载的独 特控制信息。替代地,文件片段可以持有内容密钥控制信息,其可以有利地以加密形式被存 储。文件片段还可以包含这两种类型的信息。
[0065] 组文件的使用显著简化了服务器操作,因为组文件取代了大量的小文件。客户端 可以按照与内容组块位于分段的内容文件中相同的方式来参引组文件的内容片段,例如使 用时间值作为到分段的内容文件中的索引。替代地,客户端可以加载整个组文件,并选择下 载完成后其所需的数据。参引文件片段比下载整个组文件更具带宽效率,但在服务器处需 要更多的开销来取得片段。有可能将文件片段组合成较少数目的较大文件片段,以调整所 需要的带宽和服务器处理开销。
[0066] 在以上描述的组文件实施例中,对于多个接收器的至少一个子集,控制信息被存 储在用于接收器的该子集的单个组合文件(即组文件)中。此外,对于接收器子集中的每个 接收器,用于该接收器的控制信息被存储在与用来存储用于该接收器子集中的其他接收器 的控制信息的文件位置不同的文件位置中(即不同的文件片段)。因而,用于多个接收器中 的某些或全部接收器的控制信息被存储在单个组合文件中,但是每个接收器具有用于该接 收器的特定文件位置,其中存储用于该接收器的控制信息。这提供的优势在于,服务器只需 要利用更新的控制信息来更新单个文件,而不是更新一组单独的文件。可以存在用于所有 接收器的一个大的组文件。替代地,多个接收器可以被划分成η个单独的接收器组,使得将 存在η个组文件。
[0067]共谋(Collusion) 共谋是盗版者采用多种合法源,并在再分发内容之前将其混合在一起的时候。也可以 由多个盗版者一起工作来将不同源混合在一起以产生一个内容流来产生共谋。换句话说, 参照图4,可能存在多个授权的接收器30,其均使用相应的内容抓取器32来抓取内容。然 后可以在使用内容编码器34重新编码以及经由网络28再分发之前,组合从多个内容抓取 器32输出的内容的多个抓取的版本。共谋的目的在于使得对于内容提供商来说,在重新编 码的未经授权的内容中检测其水印更加困难。当盗版者可以访问均由独特水印所标记的多 个合法源时,他们能够查看差异,并且然后随机地选择一个或将它们混合在一起。
[0068] 然而,即使在预先不知道共谋者的数目的情况下,在遵循共谋的重新编码的内容 中检测水印仍然是可能的。存在的共谋者越多,加水印密钥需要是越长的,并且检测时间将 是越长的。例如,对于具有包括4个共谋者的1000万订户的内容提供商,需要花费约20分 钟来检测共谋者(假设每2秒内容一个加水印位)。因此,对于中断涉及多个共谋接收器的 再分发攻击来说,本方法仍然将是可行的。
[0069] 将理解的是,本发明的实施例可以使用各种不同的信息处理系统来实现。特别 是,尽管其附图和讨论提供了示例性的计算系统和方法,但这些都仅仅被呈现以提供在讨 论本发明的各方面时有用的参考。当然,为了讨论的目的,该系统和方法的描述已被简化, 并且它们仅是可以被用于本发明的实施例的许多不同类型的系统和方法中的一个。将理解 的是,逻辑块之间的边界仅是说明性的,并且替代实施例可以合并逻辑块或元件,或者可以 对各种逻辑块或元件施加功能的替代分解。
[0070] 将理解的是,上述功能和模块可以被实现为硬件和/或软件。例如,上述模块可以 被实现为用于由系统的处理器执行的一个或多个软件组件。替代地,上述模块可以被实现 为诸如一个或多个现场可编程门阵列(FPGA),和/或一个或多个专用集成电路(ASIC),和/ 或一个或多个数字信号处理器(DSP),和/或其他硬件布置上的硬件。
[0071] 将理解的是,在本发明的实施例由计算机程序实现的范围,则承载计算机程序的 存储介质和传输介质形成本发明的各方面。计算机程序可以具有一个或多个程序指令或 程序代码,其在由计算机执行时,执行本发明的实施例。如本文所使用的术语"程序",可以 是设计用于计算机系统上执行的指令序列,并且可以包括子例程、函数、过程、对象方法、对 象实现、可执行应用、小应用程序(applet),小服务程序(servlet)、源代码,目标代码、共 享库、动态链接库、和/或设计用于计算机系统上执行的其他指令序列。存储介质可以是 磁盘(诸如硬盘或软盘)、光盘(诸如CD-ROM、DVD-ROM或蓝光盘)、或存储器(诸如ROM、RAM、 EEPROM、EPROM、闪速存储器或便携式/可移除存储器装置)等。传输介质可以是两个或更 多的计算机之间的通信信号、数据广播、通信链路等。
【权利要求】
1. 一种控制由多个接收器对IP流送内容的访问的方法,该方法包括: 对于多个接收器中的每个接收器,为该接收器提供对用于该接收器的第一控制信息的 访问,以使该接收器能够访问内容的第一部分; 从多个接收器将接收器标识为标识的接收器; 更新第一控制信息,以便为每个接收器提供更新的控制信息,该更新的控制信息与内 容的第二部分相关联;以及 将每个接收器配置为取得用于该接收器的更新的控制信息; 其中,对于标识的接收器,该更新的控制信息是无效的,使得该标识的接收器不能够完 全访问内容的第二部分。
2. 如权利要求1所述的方法,其中: 控制信息包括密钥管理信息,用于提供对用于解密该内容的内容解密密钥的访问;以 及 对于标识的接收器,该更新的控制信息不会使得该标识的接收器能够访问用于内容的 第二部分的更新的内容解密密钥。
3. 如权利要求2所述的方法,其中,对于每一个接收器,密钥管理信息包括用于该接 收器的独特密钥,该独特密钥可操作成使该接收器能够访问用于解密该内容的内容解密密 钥。
4. 如权利要求1所述的方法,其中: 该内容包括内容组块的时间系列; 该控制信息包括内容组块参引的播放列表,每个内容组块参引是对内容的相应内容组 块的参引;以及 对于标识的接收器,该更新的控制信息不包括用于内容的第二部分的内容组块参引的 有效播放列表。
5. 如权利要求1所述的方法,其中: 该内容包括置于内容文件中的内容组块的时间系列; 控制信息包括清单文件,该清单文件使得接收器能够生成与该内容文件中的内容组块 有关的URL;以及 对于标识的接收器,该更新的控制信息不包括有效的清单文件以使得该标识的接收器 生成用于与内容的第二部分相关联的内容组块的有效URL。
6. 如任意前述权利要求所述的方法,其中,将每个接收器配置为取得用于该接收器的 更新的控制信息包括: 为每个接收器提供用于该第一控制信息的期满时间,到该期满时间时,该接收器应当 取得用于该接收器的更新的控制信息。
7. 如任意前述权利要求所述的方法,其中该内容被加指纹,并且其中从多个接收器将 接收器识别为识别的接收器包括: 在内容的未经授权情况下,检测与该标识的接收器相关联的指纹。
8. 如权利要求1至7中的任意一项所述的方法,其中对于每个接收器,用于该接收器的 控制信息被存储在与用来存储用于该多个接收器中其他接收器的控制信息的文件不同的 文件中。
9. 如权利要求1至7的任意一项所述的方法,其中: 对于多个接收器的至少一个子集,该控制信息被存储在用于接收器的该子集的单个组 合文件中;以及 对于接收器的该子集中的每个接收器,用于该接收器的控制信息被存储在与用来存储 用于接收器的该子集中的其他接收器的控制信息的文件位置不同的文件位置中。
10. 如任意前述权利要求所述的方法,其中对于标识的接收器,更新的控制信息是无效 的,使得标识的接收器不能够访问内容的第二部分中的任意。
11. 如任意前述权利要求所述的方法,其中用于标识的接收器的更新的控制信息包括 空文件条目。
12. 如任意前述权利要求所述的方法,其中: 该内容包括内容组块的时间系列;以及 该内容的第一部分和第二部分均与相应的整数数量的内容组块相关联。
13. -种被配置为执行任意前述权利要求的方法的服务器。
14. 一种计算机程序,其在由处理器执行时,使处理器执行权利要求1至12中任意一项 的方法。
15. -种承载权利要求14的计算机程序的数据承载介质。
16. 如权利要求15所述的数据承载介质,其中该数据承载介质是存储介质或传输介 质。
17. -种控制由多个接收器对IP流送内容的访问的方法,该方法基本上如本文中参考 附图的图3-6中的任意所描述的那样。
18. -种用于控制由多个接收器对IP流送内容的访问的服务器,该服务器基本上如本 文中参考附图的图3-6中的任意所描述的那样。
【文档编号】H04L9/08GK104221392SQ201280071713
【公开日】2014年12月17日 申请日期:2012年3月23日 优先权日:2012年3月23日
【发明者】W.穆伊杰, A.A.瓦杰斯 申请人:耶德托公司
最新回复(0)