拷贝保护系统基于网络的撤销、遵守与密钥

摘要

一种验证设备的方法，在本地目标设备与本地源设备之间建立本地连接；在源设备，经本地连接获得目标设备的凭证；在源设备，经安全通信通道把凭证发送到云验证服务器；在云验证服务器，依据已知的好设备的数据库来检查目标设备的凭证；在源设备，经安全通信通道从云验证服务器接收消息，所述消息指示目标设备是经过验证的；在目标设备经过验证的条件下把内容从源设备传送到目标设备。

说明书

版权与商标声明

本专利文档的公开内容的一部分包含受版权保护的素材。版权拥 有者不反对在专利商标局的专利文件或记录中出现的任何专利文档或 专利公开内容所进行的传真复制，但是除此之外在任何情况下都保留 所有版权。商标是其各自所有者的财产。

背景技术

已经开发出了家庭网络标准，例如通用即插即用（UPnP）和数 字生活网络联盟（DLNA），以方便家庭中媒体设备的互连。UPnP 和DLNA规范与指导方针允许内容的发现，及内容从例如数字媒体 服务器（DMS）到数字媒体呈现器（DMR）或数字媒体播放器 （DMP）的传输。对于DLNA，当拷贝保护内容在例如DMS和 DMP的两个互连设备之间交换时，基于IP的数字传输拷贝保护 （DTCP-IP）或者用于网络设备的Windows媒体数字权利管理 （WMDRM-ND）可以用于设备的验证与链接保护。DMP，例如机 顶盒，可以利用高清晰度拷贝保护（HDCP）经高带宽数字多媒体接 口（HDMI）输出到数字媒体呈现器（DMR）。这允许版权所有者 控制对其内容的访问。

在一种场景下，如图1所示出的，这是在例如DMS 20的源设备 连接到例如DMP 24的接收设备时实现的，而且以某种方式（例如， 流媒体传输streaming）经互连16从源设备20向接收（目标）设备 24请求传输内容。这个例子中，两个设备非常靠近地连接在一起， 例如在家庭26中或者家庭娱乐网络中。例如，物理基础设施可以是 无线局域网（WLAN）、电力线通信（PLC）或者同轴电缆多媒体联 盟（MoCA）。互联网协议（IP）用于传送媒体内容。

付费内容一般是根据这种已知系统中不同分发点采用的保护技术 的遵从规则12和22来管理和传输的。例如，有条件访问（CA）系 统可用于从内容提供商的广播中心到充当DMS的机顶盒得到内容。 然后，内容可以录制到本地硬盘驱动器或者流传输到DMP。当录制 内容时，广播内容通常是CA解扰并重新扰频的，其中利用本地拷贝 保护，例如DTCP-IP、WMDRM-ND或者例如DRM拷贝保护28的 其它技术。

所谓的“Over-the-top”（OTT）内容可以从已经DRM加密的服 务提供商提供。OTT内容可以在家庭中利用所交付的DRM加密录 制或流传输，而不需要CA解密步骤。只要目标设备24不在源设备 所存储的撤销名单32上，内容就可以被流传输。有些场景下，例如 DTCP-IP，目标设备也可以检查，看源设备是否在撤销名单32上。 这防止了有问题的源设备与无问题的目标设备互相操作。这种撤销名 单32可以经互联网连接44在互联网40上从撤销数据库36更新。但 是，由于源设备存储器（未示出）的实际大小有限、而且可能需要被 撤销的设备数量很大，这种实现的用途有限。此外，有些情况下，更 新后的撤销名单可能被用户阻止由源设备接收。而且，大部分这种源 设备都不具有容易地及时更新其撤销名单的能力。

应当提到，撤销名单只适合于某些类型的安全漏洞，其中特定设 备的安全身份与凭证被克隆到其它设备。如果这种有问题的身份可以 被例如执法人员发现，那么它就可放到可被检查的撤销名单中。但 是，在有些安全漏洞中，可能无法撤销设备，因为有问题的不是设备 的身份。例如，它可能是允许不当行为的软件，例如，复制了本来只 能被流传输然后就被丢弃的内容。

另一个例子中，有问题设备的身份可能是随意合成的。这是可能 的，例如，如果签署公钥证书的认证授权有一个被攻破并广泛流通的 私钥。于是，设备证书可以很容易地被未授权的人创建。尽管没有违 反认证授权，但是在2009年的现实黑客案例中，发现了广泛用于 HDMI链路身份的HDCP公钥和私钥可以故意创建。HDCP不使用 标准的公/私密钥体系结构，例如，使用RSA或椭圆曲线密码术或者 任何其它合适的密码术。HDCP漏洞中所涉及的数学在这里将不解 释，但是创建HDCP身份的软件已在互联网上公布。这样一种情况 下，由于实际的存储限制，可能无法在撤销名单32检测到所有的欺 诈身份。这将是非常大的数量。但是，由于它们很容易创建，因此它 们可以私人创建并使用。它们是检测不到的。当具有可能被暴露的欺 诈身份的特殊黑客设备在市场上销售或以其他方式分发时，检测是可 能的。目标与源设备将需要检查，看是否它们各自的安全身份是由适 当的创建授权产生的。换句话说，身份将需要依据创建数据库（例如 已知的良好身份的白名单）来检查。

身份通常是按顺序创建的序列号。这些可能被猜出。而且，因为 凭证可能是伪造的，所以凭证本身（例如MAC地址或公钥）也可以 被检查。例如，为与目标或源设备关联的特定安全身份给出的公钥是 否真正匹配创建数据库中的公钥？如果不，则拷贝保护操作无论怎样 都不应当继续。关于HDCP的情况如此不安全，理想地，该技术将 被替代。但是，现在本领域中有数以百万计的设备，因此内容创建行 业在将来几十年由于这些传统设备的遗留将面临可能的内容暴露问 题。

此外，源和目标设备是按照遵从规则12和22的某种硬件与软件 规范来构建。这一般是任何安全性与拷贝保护系统的一部分，而且与 内容创建行业（例如好莱坞工作室）和其它已有的安全系统进行了协 商。有条件访问（CS）系统，例如DTCP-IP^TM、WMDRM-ND^TM、 HDCP^TM等，全都具有遵从规则12和22。规则12和22允许一个安 全系统把内容推到另一个安全系统，同时对内容保持一定程度的保 护。但是，设备难以更新规则12和22。例如，随着存储内容的新途 径变得可用，例如Blu-ray^TM盘、iPOD^TM，及平板电脑（例如 iPAD^TM），设备难以区分这些方法，尤其对被附加到设备下游的设 备发生的话。原始设备被录制到内部硬盘驱动器，但是设备下游可以 录制到光盘（CD）或者数字多样化光盘（DVD）。最初的安全性计 划可能没有预想到像CD或DVD的可移除介质。

依赖于制造日期和某些技术的可用时间及设备类型（例如源、目 标、控制器等），遵从规则12可以与遵从规则22不同。因为更新规 则12和22的困难，它们常常不能做成相同的。一个与另一个的版本 不同。同样，发送内容的新方式也可用。WI-FI或者手机技术，例如 3G或4G，软件难以为了可能控制复制访问而区分这些分发方法。由 于内容是从设备到设备复制或流传输的，因此发起的源或更早地接收 内容的网关设备难以来对稍后接收该内容的设备（例如，发起的源或 网关设备的“下游”）维持对该内容的已有复制控制。对于所谓的“适 配器”设备尤其是这样。例如，适配器加密狗可以与HDMI^TM端口接 口并且无线地把内容发送到与不同设备上的HDMI接口的另一个加 密狗。无线发送可能从来都没有被HDCP安全性最初设想过，其中 HDCP假设利用HDMI的有线的、有限制的连接。无线发送可能允 许在将来的HDCP遵从规则下不被允许的内容偷窃的新可能性，但 是更旧的规则可能无法区分是有线还是无线发送。例如，黑客可能允 许整个大学宿舍观看无线发送的内容。设备的技术是快速变化的。而 且，难以为了执行新的遵从规则12和22而更新安全软件，来适应不 断变化的技术和设备互连的复杂性。因为遗留设备不能升级而且将需 要被代替的庞大安装基数，HDCP实际上不是可以修补的。到不安全 存储介质或传输介质的交付会把内容暴露给非预期的复制和重新分 发，而且，因此会造成内容所有者的收入损失。

附图说明

说明了操作与操作方法及目标和优点的某些说明性实施方式可以 通过结合附图参考以下具体描述来得到最好的理解，附图中：

图1是传统验证系统的例子。

图2是与本发明的某些实施方式一致的验证系统的例子。

图3是与本发明的某些实施方式一致的遵从规则检查系统的例 子。

图4是与本发明的某些实施方式一致的云密钥服务系统的例子。

图5是与本发明的某些实施方式一致的基于云的转码 (transcoding)系统的例子。

图6是与本发明的某些实施方式一致的验证过程的例子。

图7是与本发明的某些实施方式一致的、从服务器到目标的示例 转码过程。

图8是与本发明的某些实施方式一致的、从源到目标的示例转码 过程。

图9是与本发明的某些实施方式一致的、识别从服务器到目标的 内容的示例转码过程。

图10是与本发明的某些实施方式一致的验证过程的例子。

图11是与本发明的某些实施方式一致的、包括转码的验证过程 的例子。

图12是与本发明的某些实施方式一致的源设备的例子。

图13是与本发明的某些实施方式一致的云验证服务器的例子。

具体实施方式

虽然本发明容许有具有不同形式的实施方式，但在附图示出并且 将在这里具体描述具体实施方式，应当理解，所给出的此类实施方式 的公开内容应当看作是原理的例子而不是要把本发明限定到所示出和 描述的特殊实施方式。以下描述中，相同的标号在附图的若干个视图 中用于描述相同的、相似的或者对应的部分。

如在此所使用的，术语“一”或者“一个”定义为一个或者多于一 个。如在此所使用的，术语“多个”定义为两个或者多于两个。如在此 所使用的，术语“包括”和/或“具有”定义为包括（即，开放性的语 言）。如在此所使用的，术语“耦合到”定义为连接到，尽管不一定是 直接地，而且不一定是机械地。如在此所使用的，术语“程序 （program）”或者“计算机程序”或者类似的术语定义为设计成用于 在计算机系统上执行的指令序列。“程序”或者“计算机程序”可以包括 可执行应用中的子例程、函数、过程、对象方法、对象实现，小程序 （applet）、小服务程序（servlet）、源代码、目标代码、脚本、程 序模块、共享库/动态加载库和/或设计成用于在计算机系统上执行的 其它指令序列。

如在此所使用的，术语“节目（program）”还可以用在另一种背 景下（以上定义是用于第一种背景）。第二种背景下，该术语的意义 是“电视节目”。这种背景下，该术语用于指音频视频内容的任何连贯 序列，例如将在电子节目报告（EPG）中作为单个电视节目解释并报 导的那些，不管该内容是电影、体育赛事、一个多部分系列剧的片 段、新闻广播等。这种讨论中，术语“节目”的使用通常与MPEG-2 系统标准（ISO/IEC13818-1）一致。MPEG-2节目具有关联的基本 流组件，例如就像一个视频基本流和一个或多个音频基本流。该术语 还可以解释为包含商业广告和其它类似节目的内容，虽然可能不在电 子节目指南中作为节目报导。

贯穿本文档，对“一种实施方式”、“某些实施方式”、“一个实施 方式”或类似术语的引用都意味着联系该实施方式所描述的特定特 征、结构或特性包括在本发明的至少一种实施方式当中。因而，这种 短语在本说明书中各个地方的出现不一定全部都指相同的实施方式。 此外，所述特定的特征、结构或特性可以在一种或多种实施方式中无 限制地以任何合适的方式组合。

如在此所使用的，术语“或者”是要解释为包括性的或者指任何一 种或任意组合。因此，“A、B或者C”意味着“以下任意一种：A； B；C；A和B；A和C；B和C；A、B和C”。只有当元件、功 能、步骤或动作的组合以某种方式固有地互相排斥地的时候，才出现 对这种定义的例外。

如在此所使用的，术语“本地”意味着两个或多个设备彼此物理上 紧密靠近，就像在一个房子或公寓当中，并且与该术语在“云计算”意 义下驻留在“云”中的设备区分开。术语“源设备”和类似的术语在这里 是相对于目标设备使用的。即，“源设备”可能实际上并不是内容的起 源（例如，在电视机顶盒的情况下），而是目标设备从其接收内容的 设备。

期望有一种方式能更快更准确地依据负名单（例如撤销名单）和 正名单（例如白名单），验证供安全与拷贝保护技术所使用的目标和 源设备。

此外，期望确保最新的遵从规则有效实施。

而且，此外，期望有一种备用方式来进行密钥生成，以便在整体 安全漏洞的情况下安全地把内容从源设备交付到目标设备。

对于技术革新的速度，现有产品难以检查最新的撤销名单并且对 所有类型的内容（例如，MPEG2 HD和SD、AVC HD和SD、音频 类型）、所有分辨率和所有拷贝保护接口执行正确的拷贝保护遵从规 则。对全部各种场景的测试是难以实现的。在撰写本文的时候，还不 存在检查白名单上设备的已知设备。

但是，越来越多的设备具有网络能力。网络正变得越来越可靠而 且速度增加，这一趋势似乎不会结束。因此，对于家庭娱乐设备来 说，有可能利用位于云中的验证服务器进行检查，确定接收方（目标 或接收）设备经过适当授权，可以接收或发送来自特定源的内容。这 需要查看是否在云中所维护的撤销名单中找到目标设备。注意，还由 目标设备检查源设备，这使得黑客难以利用有问题的源身份操作设 备。由此，使用拷贝保护计划的设备可以编号到几百万甚至上亿，使 得撤销名单有可能非常长。许多拷贝保护计划都难以防止撤销名单被 阻止更新。如前面所提到的，有些严重的漏洞中，设备实际上可以依 据白名单（所创建的身份的数据库）来检查。通过使用这种技术，关 于拷贝保护操作的“进行还是不进行”决定可以移交给云中更强有力和 及时更新的安全验证服务器。

除了验证，云中的服务器还可以检查最新的遵从规则。遵从规则 是对内容可以做什么的行为检查。例如，如果内容标记为“不再复制 (copy no more)”，源设备就不应当把它标记为“复制一次(copy once)” 而且目标设备不应当录制该内容。有些情况下，可选择的输出控制可 以生效。因为可能的安全性漏洞或者某些接口的“过时(sunseting)”， 例如模拟接口或者具有传统HDCP的HDMI，某些输出可能不再被 授权。

参考图2，例如电视机机顶盒（STB）或数字媒体服务器 （DMS）100的源设备本地连接到例如电视机或数字媒体播放器 （DMP）104的接收设备。这可以是本地直连或者是通过家庭娱乐网 络的互连，例如，每种连接都由16表示。根据这种布置，当内容要 被流传输或者以其他方式从设备传输或输出到另一个设备104时，发 生凭证交换。这些凭证转发到云116中的验证服务器112。源设备使 用的传输是利用云验证服务器112使用安全验证通道120执行的。增 强的场景允许目标设备104检验源设备100的真实性，其中把源的凭 证发送到安全验证服务112。提供源信息来建立安全验证通道120， 而且这种信息还可以提供关于源设备的能力的验证服务器数据。例 如，目标信息可以用于查找设备的模型。然后，这可以进一步分析潜 在的风险。例如，如果一个设备具有录制该设备很容易获得的内容和 下载应用的能力，那么这个设备就可能带来更高的风险，拷贝保护操 作可以被验证服务器禁止。换句话说，可以撤销特定的模型。如果一 种特定类型的设备尤其不安全，不管在撤销名单中是否找到特定的设 备，都可以拒绝拷贝保护操作。在一种实现中，这可以利用公钥基础 设施（PKI），例如利用RSA或者椭圆曲线密码术，及数字证书来 执行。如在ETSI103162中所述的利用对称密钥技术的一次可编程 （OTP）技术，例如开放式媒体安全性（OMS），也可以为于此目 的。同样，对于目标设备也可以这么做。在增强的安全性场景中，目 标设备104从源设备100接收凭证并且以类似方式在独立的安全通道 118中把那些凭证发送到云验证服务器112。以这种方式，使得被黑 客攻击的源设备难以在家庭网络108中互操作。

一旦接收（目标）设备104或者源设备100已经被云验证服务器 依据撤销名单124和可能还有白名单126检查合格，在某些情况下， 设备可能就不需要再次检查来允许非联网功能。例如，源设备100可 以编程成检查关于目标或接收设备104的状态变化，同样，目标设备 可以编程成周期性地或者随机地检查源设备的状态变化。

虽然单个云验证服务器112可以对许多拷贝保护计划中的每一种 的（例如DTCP^TM、HDCP^TM、CPRM^TM、Marlin^TM、MS- WMDRM^TM等）最新撤销名单124保持最新状态，但是预期每种安 全系统都可能实现其自己的服务器112。

现在参考图3，例如电视机机顶盒（STB）或数字媒体服务器 （DMS）100的源设备经链路116本地连接到例如电视机或数字媒体 播放器（DMP）104的接收设备。源设备100具有与云116中遵从规 则检查服务器166的安全通信通道120。接收设备104具有到云116 中规则检查服务器166的类似安全连接118。这可以是与执行设备验 证的服务器相同的服务器112，但是，在增强场景中，它还可以校验 遵从规则128。校验遵从规则是与设备验证截然不同的功能。为了校 验遵守，还发送关于内容的信息，以及流传输的目的（例如，未经压 缩的呈现、压缩后的移动、仅压缩后的呈现（永不复制或者不再复 制）、压缩复制和呈现等）。遵守检查的一种方式将是比较设备的 IP地址与内容的地理包含区域。换句话说，由某些服务提供商分发 的有些内容可能只能在该特定服务提供商的地理区域内观看。该地理 包含区域可以由服务提供商来协商。而且所述机制可以检查最新的遵 从规则。在另一个遵从规则例子中，传输可以被允许，但只能是以内 容的更低分辨率复制（下分辨率复制）形式。这使得利用云遵从规则 128检查服务的源设备能够访问关于内容的最新规则。

现在参考图4，源设备100经链路116本地连接到接收设备 104，设备100和104各自分别具有与基于云的密钥服务器168的安 全通道120和118。这可以是与执行设备验证的服务器或者遵从规则 检查166相同的服务器112，但是，在增强场景中，它产生并提供可 以用于设备100和104之间本地链路加密的密钥。假设设备被检查通 过，以建立安全通道120和118。如果检查，设备不出现在撤销名单 上，而是出现在白名单（创建数据库）上。为了创建加密的本地链路 116，源设备100和目标设备104都必须接收相同密钥或者具有利用 它们独立的安全通道120和118从基于云的密钥服务器168得到相同 密钥的能力。

现在参考图5，源设备100经16本地连接到接收设备104，设备 100和104中各自分别具有与云116中的转码服务器170的安全通道 220和218。转码服务器可以是服务提供商提供的服务、或者由包括 服务器112的另一个服务提供，以便在消费者的家庭网络中容纳各个 设备。没有内容是利用设备100与104之间的本地链路116发送的。 相反，源100把内容发送到转码服务器170，转码服务器170又把内 容传送给接收（目标）设备。这有能够把来自一个编解码器的内容转 码到由接收设备104支持的不同编解码器的附加优点。此外，如果与 高清晰度内容相反，接收设备只支持例如标准清晰度的话，有可能 “下分辨率”（降低分辨率）内容。而且，对于服务器来说有可能利用 所谓的“适应性流传输”使用适于接收设备的更适当的位速率。服务提 供商可以认识到它已经具有了用户希望从设备100流传输到设备104 的内容拷贝。而且，不把内容从设备100流传输到服务器，该步骤被 完全跳过了。服务提供商把来自其存档中的内容的适当拷贝流传输到 设备104。

现在参考图6，示出过程200作为适于与某些实现一致的方法一 起使用的示例过程，该过程在204开始。在208，确定内容是要流传 输还是要以其他方式处理，其中内容从源设备传输到本地连接的目标 设备。这可以是经用户接口来自源或目标设备任一方的用户命令的结 果。一旦要实现传输，在212，源和目标设备就交换识别设备的凭 证。在214，源设备建立与验证服务器的安全连接。然后，在216， 源设备把目标设备的凭证发送到云验证服务器，同时，在216，目标 设备可选地把源的凭证发送到服务器。这种传输优选地是经安全通 道，例如利用公钥加密或者前面所述的其它安全通信机制保护的通 道。在222，云验证服务器依据授权设备的撤销名单和白名单（创建 数据库）检查至少所述目标设备，但有可能还检查源设备，来确定设 备是否被授权接收（或发送）内容。如果是，在224验证设备，如果 不是，设备将不会在224被验证。

没有验证的情况下，在这种实现中，在228，失败消息从云验证 服务器返回，内容不在248被处理而且在244操作停止。但是，如果 云验证服务器能够验证设备，在232有许可消息返回到源设备。在这 个阶段，在232，源和目标设备可以继续利用遵从规则检查服务器的 处理。这个服务器可以与验证服务器相同，但是，这个时候它扮演不 同的角色。内容信息和所期望的拷贝保护操作发送到云遵从规则检查 服务器。在234，服务器检查遵从规则。如果没有在228从遵从规则 检查服务器接收到响应或者接收到失败响应，在244过程停止。如果 遵从规则允许操作，在240过程可以根据这些参数执行。在244，过 程结束。如果没有接收到许可，在244结束过程之前，内容不在248 被源设备处理。在验证或遵从规则检查失败的情况下，可以执行多种 动作的任何一个，包括但不限于，向用户提供指示目标设备出现在撤 销名单上而且操作不被允许的消息。

如上面所提到的，云验证服务器还可以管理用于特定系统的可能 需要的客户端密钥。例如，如果内容保护可录制介质（CPRM）不在 源设备本身中，则CPRM密钥可以从云转码服务器接收，在本地链 路中使用。在另一个例子中，内容可以流传输到云验证服务器，进行 加密，并且发送回源设备，经接口输出到目标设备。本质上，云验证 服务器将代理源设备的事务。以这种方式，源设备将不需要具有其自 己的任何特殊密钥。这在图7中作为过程300示出。

在304开始的过程300中，假设设备已经过验证而且有可能遵从 规则已经在上述过程中本地或者在服务器上通过检查。在308，内容 发送到云转码服务器，在312代表源设备进行代理加密或其它内容修 改处理（例如，下分辨率），然后在316把内容的合适拷贝返回到源 设备，用于传送给目标设备。在320，过程结束。

在图8中，以相同假设开始，过程300被修改成330使得在315 转码服务器把内容传送给云验证服务器，然后在334该服务器加密或 修改内容并且把内容发送到目标设备。在320过程结束。

在图9中，以相同假设开始，过程300被修改成350使得在310 内容不需要上载到转码服务器，仅仅被识别。在356，转码服务器把 内容直接传送给目标设备。在320过程结束。

理想地，到云验证服务器的客户端接口是在防篡改设备中执行 的，例如不会很容易地被修改而且没有暴露的主密钥的设备可能满足 要求。

在某些优选实现中，目标设备是利用公钥基础设施（PKI）与数 字证书验证的。而且，凭证、内容信息和传输目的被转发到遵从规则 检查服务器，来实现拷贝保护遵从规则。当在设备中检测到任何状态 改变时，目标设备可以被重新验证。另外，云验证服务器可以管理客 户端密钥，其中通过提供用于本地加密的密钥，或者可以代表源设备 真正地加密内容。因此，源设备不必管理不同接收方设备的密钥。

现在转向图10，源设备操作的示例过程400在402开始。在 406，源和目标交换凭证而且凭证和关于内容的信息被发送到云验证 服务器。在410，如果在规定时间内没有接收到验证，在414过程结 束–可能在采取显示消息或者使目标设备失活的动作之后。如果在 410目标设备被云验证服务器验证，在418接收验证消息。在某些实 施方式中，在422，用于拷贝保护管理的规则和其它信息也可以被接 收。在426解释这些规则和其它信息并且在430把内容发送到目标设 备，其后在414过程结束。

现在转向图11，源设备操作的更具体的示例过程500在502开 始。在406，源和目标交换凭证而且凭证和关于内容的信息被发送到 云验证服务器。在410，如果在规定时间内没有接收到验证，在514 过程结束–可能在采取显示消息或者使目标设备失活的动作之后。 如果在410目标设备被云验证服务器验证，在418接收验证消息。在 某些实施方式中，在422，用于拷贝保护管理的规则和其它信息也可 以被接收和应用。解释这些规则和其它信息，而且如果在526事务不 被允许的话，在514过程结束。这种例子情况下，指令是要允许内容 以降低分辨率作为模拟信号传输。因而，在526，控制传递到530， 确定转码服务器是否可用。如果不可用，控制就传递到534，所述内 容作为客户驻地（CP）操作被本地处理，并且在514过程结束。但 是，如果在530转码服务器可用，在538远程地把内容转码并且在 538利用规定的降低分辨率模拟输出把转码内容发送到目标设备，其 后在514过程结束。

参考图12，示出与某些实现一致的源设备600，其中中央处理单 元604耦合到相关联的存储器，例如闪存存储器或者任何其它合适的 电子存储介质608。这种存储器还存储执行验证过程的软件模块，该 验证过程在向云验证服务器和PKI模块或者确保与云验证服务器的 通信受到保护的其它安全模块传输凭证和从其接收通信过程中使用。 设备600包括一个或多个目标设备接口，例如HDMI或者模拟接口 612及网络（即，互联网），其中物理基础设施可以是无线局域网 （WLAN）、电力线通信（PLC）或者同轴电缆多媒体联盟 （MoCA）或者任何其它物理基础设施，可能还有源接口（例如，同 轴RF有线电视接口）616。用户接口620允许用户根据其设计的操 作控制设备600。取决于源设备的本质，它可能包括内容储存器624 或者播放器，例如BluRay^TM播放器等。处理器604利用一种或多种 合适的通信总线（通常被示为630）与其它部件通信。

参考图13，通用计算机可以用来充当云验证服务器、遵从规则 检查服务器或者密钥服务器，可以示为与某些实现一致的700，它被 示为具有一个或多个耦合到相关联的存储器的中央处理单元704，其 中存储器例如随机存取存储器或者任何其它合适的电子存储介质 708。这种存储器还存储执行验证过程的软件模块，该验证过程在向 云验证服务器和PKI模块或者确保与云验证服务器的通信受到保护 的其它安全模块传输凭证和从其接收通信过程中使用。设备700还包 括一个或多个网络接口（即，互联网）712和存储被撤销设备名单的 撤销数据库720及创建数据库740（如果需要），还有如前面所讨论 的可以利用服务器的服务传输到源设备的其它信息。处理器704利用 通常示为730的一种或多种合适的通信总线与所述的其它部件通信。 在某些实现中计算机700还可以通过转码器750提供转码。

因而，在某些实现中，一种验证设备的方法涉及在本地目标设备 与本地源设备之间建立本地连接；在源设备，经本地连接获得目标设 备的凭证；在源设备，经安全通信通道把凭证发送到云验证服务器； 在云验证服务器，依据已知的好设备的数据库检查目标设备的凭证； 在源设备，经安全通信通道从云验证服务器接收消息，所述消息指示 目标设备是经过验证的；并且在目标设备经过验证的条件下把内容从 源设备传送到目标设备。

在另一种实现中，一种通信方法涉及在本地目标设备与本地源设 备之间建立本地连接；在源设备，经本地连接获得目标设备的凭证； 在源设备，经安全通信通道把凭证发送到云验证服务器；在源设备， 经安全通信通道从云验证服务器接收消息，所述消息指示目标设备是 经过验证的；并且在目标设备经过验证的条件下把内容从源设备传送 到目标设备。

在某些实现中，在目标设备，经本地连接获得源设备的凭证，经 第二安全通信通道把源设备的凭证发送到云验证服务器，并且在源设 备通过验证的条件下从源设备接收内容。在某些实现中，在目标设 备，把标识要从源设备传输到目标设备的内容的消息发送到云验证服 务器。

另一种通信方法涉及在本地目标设备与本地源设备之间建立本地 连接；在源设备，经本地连接获得目标设备的凭证；在源设备，经安 全通信通道把凭证发送到云验证服务器；在目标设备，经本地连接获 得源设备的凭证；在目标设备，经安全通信通道把凭证发送到云验证 服务器；在源设备，经安全通信通道从云验证服务器接收消息，所述 消息指示目标设备是经过验证的；在目标设备，经安全通信通道从云 验证服务器接收消息，所述消息指示源设备是经过验证的；并且在目 标设备和源设备都经过验证的条件下，把内容从源设备传送到目标设 备。

另一种通信方法涉及在本地目标设备与本地源设备之间建立本地 连接；在源设备，经本地连接获得目标设备的凭证；在源设备，经安 全通信通道把凭证发送到云验证服务器；在源设备，经安全通信通道 从云验证服务器接收消息，所述消息指示目标设备是经过验证的并且 传送一个密钥；在目标设备，利用安全通信通道，经安全通信通道从 云验证服务器接收消息，所述消息传送相同的密钥；并且在设备经过 验证而且内容是利用该密钥加密的条件下，把加密的内容从源设备传 送到目标设备。

在某些实现中，源设备从提供约束条件的遵从规则检查服务器接 收消息，基于此，所标识的内容可以传送到目标设备、由目标设备呈 现或者由目标设备存储，其中传送、呈现或存储是根据所述约束条件 执行的。在某些实现中，约束条件包括降低所标识的内容中视频内容 分辨率的要求。在某些实现中，约束条件包括拷贝保护规则。在某些 实现中，约束条件包括用于加密所标识的内容的加密密钥。在某些实 现中，该过程还涉及，在源设备，经安全通信通道把内容发送到云转 码服务器；并且在源设备接收从云转码服务器返回的内容。

与某些实现一致的内容源设备具有适于到本地目标设备的本地连 接的本地连接接口和互联网接口。编程处理器编程成：经本地连接获 得本地目标设备的凭证；经安全通信通道把凭证发送到云验证服务 器；经安全通信通道从云验证服务器接收消息，所述消息指示目标设 备是经过验证的而且被授权接收所标识的内容；并且只有在目标设备 经过验证的条件下才把所标识的内容传送到目标设备。

在某些实现中，识别要从源设备传输到目标设备的内容的信息发 送到云验证服务器。在某些实现中，源设备从提供约束条件的云遵从 规则检查服务器接收信息，基于此，所标识的内容可以传送给目标设 备，其中传送是根据所述约束条件执行的。在某些实现中，约束条件 包括降低所标识的内容中视频内容分辨率的要求。在某些实现中，约 束条件包括拷贝保护规则。在某些实现中，约束条件包括用于加密所 标识的内容的加密密钥。在某些实现中，处理器进一步编程成：把标 识的内容经安全通信通道发送到云转码服务器；并且接收从云转码服 务器返回的加密形式的所标识的内容。

根据某些实现的内容源设备具有适于到本地目标设备的本地连接 的本地连接接口和互联网接口。编程处理器编程成：经本地连接获得 本地目标设备的凭证；经安全通信通道把凭证发送到云验证服务器； 经安全通信通道从云验证服务器接收消息，所述消息指示目标设备是 经过验证的而且被授权接收所标识的内容；经安全通信通道把标识的 内容发送到云验证服务器；接收从云转码服务器返回的加密形式的所 标识的内容，只有在目标设备经过验证的条件下才把加密形式的所标 识的内容从源设备传送到目标设备；把标识要从源设备传输到目标设 备的内容的信息发送到云验证服务器。

在某些实现中，源设备从云服务器接收约束条件，基于此，所标 识的内容可以传送给目标设备，而且其中传送是根据所述约束条件执 行的。在某些实现中，约束条件包括降低所标识的内容中视频内容分 辨率的要求。在某些实现中，约束条件包括拷贝保护规则。在某些实 现中，约束条件包括用于解密所标识的内容的加密密钥。

以上任何一种方法都可以利用有形的存储设备实现，例如存储指 令的非临时性的计算机可读存储设备，当所述指令在一个或多个编程 的处理器上执行时，执行方法。这种情况下，术语“非临时性”是要排 除所发送到信号和传播的波，不是要排除可擦除或者依赖电源来保留 信息的存储设备。

本领域技术人员将认识到，当考虑以上教导时，以上某些示例实 施方式是基于合适计算机程序编程的一个或多个编程处理器的使用。 但是，本发明不限于这种示例性实施方式，其它实施方式可以利用硬 件部件等价物来实现，例如特殊用途的硬件和/或专用处理器。类似 地，通用计算机、基于微处理器的计算机、微控制器、光学计算机、 模拟计算机、专用处理器、专用电路和/或专用硬连线逻辑可以用于 构建备选的等效实施方式。

本领域技术人员将认识到，当考虑以上教导时，实现上述某些实 施方式的程序操作和过程及相关联的数据可以利用磁盘储存器及其它 形式的存储设备来实现，包括但不限于，非临时性存储介质（其中非 临时性仅是要排除传播信号，而非排除由于断电或者明显的擦除动作 被擦除的临时性信号），不背离本发明某些实施方式的情况下，这些 非临时性的存储介质例如只读存储器（ROM）设备、随机存取存储 器（RAM）设备、网络存储器设备、光学存储元件、磁性存储元 件、磁光存储元件、闪存存储器、磁芯存储器和/或其它等效的易失 性和非易失性存储技术。这种备选存储设备应当被认为是等效的。

在此所述的某些实施方式可以利用执行以上流程图中广泛描述的 编程指令的编程处理器来实现，所述指令可以存储在任何合适的电子 或计算机可读存储介质上。但是，本领域技术人员将认识到，当考虑 所给出的教导时，不背离本发明实施方式的情况下，上述过程可以在 任何数量变体中和许多合适的编程语言中实现。例如，不背离本发明 某些实施方式的情况下，所执行的某些操作的次序常常可以变化，附 加操作可以添加或者操作可以删除。不背离本发明某些实施方式的情 况下，错误捕获、超时等可以添加和/或增强，而且可以在用户接口 和信息呈现中变化。此类变化是可预见的而且被认为是等效的。

尽管已经描述了某些示例性实施方式，但是显然，根据以上所 述，许多备选方案、修改、转变与变化都将对本领域技术人员变得显 而易见。