Способ управления цифровыми правами при широковещательном/многоадресном обслуживании

Способ управления цифровыми правами при широковещательном/многоадресном обслуживании

Иллюстрации

Показать все

Реферат

[1] Настоящее изобретение имеет отношение к управлению цифровыми правами и, в частности, к способу управления цифровыми правами при широковещательном/многоадресном обслуживании терминала подвижной связи.

Уровень техники

[2] В общем случае, широковещательное/многоадресное обслуживание относится к услуге предоставления терминалу подвижной связи эфирной широковещательной передачи или различной дополнительной информации, и т.п. Широковещательное/многоадресное обслуживание является услугой нового типа, которая включает в себя услугу широковещательной передачи, где поставщик информации предоставляет полезную информацию всем клиентам, которые являются абонентами его услуги, и многоадресную услугу для предоставления информации только определенной группе клиентов, которые заранее подписались на определенную тему или контент (содержимое).

[3] Поскольку услуга широковещательного/многоадресного обслуживания может обеспечить предоставление одной и той же информации одновременно нескольким клиентам, эффективное управление сетевыми ресурсами предусматривает, что должна быть предоставлена аппаратура с высокой пропускной способностью. Кроме того, поскольку услуга широковещательного/многоадресного обслуживания предоставляет различные типы высокоскоростных услуг по запросу клиента, можно удовлетворить растущие запросы и потребности клиентов.

[4] Для надежной защиты и регулярного управления правами в отношении контента, предоставляемого в рамках услуги широковещательного/многоадресного обслуживания, необходимы защита услуги и защита контента. Управление цифровыми правами «DRM», активно обсуждаемое в последнее время, используется в рамках услуги широковещательного/многоадресного обслуживания, чтобы сделать возможным защиту контента, предоставляемого услугой широковещательного/многоадресного обслуживания.

[5] Управление цифровыми правами «DRM» может заранее предотвратить неразрешенное (или незаконное) использование контента путем преобразования контента в зашифрованные данные, скомпонованные в блок данных, используя методы шифрования, а затем разрешить пользователям, которые выполнили процедуру аутентификации и подтверждения для разрешения получения доступа к исходному контенту.

[6] Таким образом, в способе управления цифровыми правами по существующей технологии широковещательного/многоадресного обслуживания, каждый терминал, пользующийся услугой, получает от сервера, выдающего права пользователя, («Rights Issuer» - «RI»), объект «RO», устанавливающий права доступа, (фрагмент информации, устанавливающий права доступа), для пользования услугой, а затем использует полученный объект «RO», устанавливающий права доступа, для декодирования зашифрованных данных или контента. Здесь объект «RO», устанавливающий права доступа, может быть зашифрован с использованием открытого ключа каждого терминала.

[7] То есть сервер «RI», выдающий права пользователя, передает объект «RO», устанавливающий права доступа, зашифрованный с использованием открытого ключа каждого терминала, терминалам, которые пользуются услугой широковещательного/многоадресного обслуживания. Например, если услугу широковещательного/многоадресного обслуживания использует «К» терминалов, сервер «RI», выдающий права пользователя, генерирует объекты «RO», устанавливающие права доступа, каждый из которых зашифрован с использованием открытого ключа каждого из «К» терминалов, и должен неоднократно передавать сгенерированные объекты «RO», устанавливающие права доступа, всем терминалам.

[8] Однако в способе управления цифровыми правами при широковещательном/многоадресном обслуживании, если услугой пользуется множество терминалов, сервер «RI», выдающий права пользователя, должен генерировать объекты «RO», устанавливающие права доступа, зашифрованные с использованием открытого ключа каждого из терминалов, один за другим, и управлять ими, что ведет к росту рабочей нагрузки, а также неэффективности работы сети и управления ею.

Раскрытие изобретения

Техническая проблема

[9] Важным аспектом настоящего изобретения является то, что его авторы обнаружили определенные недостатки существующей технологии, упомянутые выше. В результате авторы настоящего изобретения дали решение, устраняющее эти недостатки, которое описано ниже.

[10] Целью настоящего изобретения является предложить способ управления цифровыми правами для широковещательного/многоадресного обслуживания, дающий возможность эффективно управлять цифровыми правами в отношении группы терминалов подвижной связи, использующих одну и ту же услугу.

[11] Еще одной целью настоящего изобретения является предложить способ управления цифровыми правами для широковещательного/ многоадресного обслуживания, способный эффективно управлять цифровыми правами для группы терминалов подвижной связи, использующих один и тот же пакет услуг.

Техническое решение

[12] Чтобы полностью или частично добиться этих и других преимуществ, а также в соответствии с целью настоящего изобретения, которое здесь приведено и подробно описано, предлагается способ управления цифровыми правами при широковещательном/многоадресном обслуживании для одновременного предоставления одному или нескольким терминалам одних и тех же данных услуги, где сервер «RI», выдающий права пользователя, передает терминалам, пользующимся одной и той же услугой, один и тот же объект «RO», устанавливающий права доступа, и ключ шифрования для декодирования объекта «RO», устанавливающего права доступа, а терминалы декодируют зашифрованные данные услуги, полученные терминалами от сервера широковещательного/многоадресного обслуживания, используя переданные объекты «RO», устанавливающие права доступа, и ключ шифрования.

[13] В соответствии с первым аспектом настоящего изобретения, способ управления цифровыми правами при широковещательном/ многоадресном обслуживании для одновременного предоставления одному или нескольким терминалам шифрованных данных услуги включает в себя: прием сервером «RI», выдающим права пользователя, открытого ключа от определенного терминала, который запросил регистрацию для пользования услугой; если сервер «RI», выдающий права пользователя, получает от терминала запрос на подписку для определенного домена, передачу терминалу ключа домена для этого определенного домена; и передачу терминалу объекта «RO», устанавливающего права доступа к домену, для данных услуги, предоставляемого домену от сервера «RI», выдающего права пользователя.

[14] В соответствии со вторым аспектом настоящего изобретения, способ управления цифровыми правами при широковещательном/ многоадресном обслуживании включает в себя: получение сервером «RI», выдающим права пользователя, запроса на регистрацию и открытого ключа от определенного терминала; если сервер «RI», выдающий права пользователя, получает от этого терминала запрос на подписку в отношении домена с определенной услугой, передачу терминалу ключа домена для домена с этой услугой; и шифрование сервером «RI», выдающим права пользователя, объекта, устанавливающего права доступа к домену с этой услугой (объекта «RO»), с использованием ключа домена для последующей передачи терминалу зашифрованного объекта, устанавливающего права доступа к домену с этой услугой.

[15] В соответствии с третьим аспектом настоящего изобретения, способ управления цифровыми правами при широковещательном/ многоадресном обслуживании включает в себя: получение от определенного терминала сервером «RI», выдающим права пользователя, запроса на регистрацию и открытого ключа; если сервер «RI», выдающий права пользователя, получает от терминала запрос на подписку в отношении определенного домена с услугой, шифрование сервером «RI», выдающим права пользователя, ключа домена для домена с этой услугой, используя открытый ключ, чтобы затем передать зашифрованный ключ домена терминалу; шифрование сервером «RI», выдающим права пользователя, объекта, устанавливающего права доступа, для домена с этой услугой с использованием этого ключа домена, чтобы затем передать зашифрованный объект, устанавливающий права доступа к этому домену с услугой, терминалу; и шифрование сервером «RI», выдающим права пользователя, ключа шифрования данных услуги с использованием ключа шифрования из сообщения с ключом, содержащегося в объекте, устанавливающем права доступа к домену услуги, чтобы затем передать ключ шифрования для зашифрованных данных услуги терминалу.

[16] В соответствии с четвертым аспектом настоящего изобретения, способ управления цифровыми правами при широковещательном/многоадресном обслуживании включает в себя: получение от определенного терминала сервером «RI», выдающим права пользователя, запроса на регистрацию и открытого ключа; если сервер «RI», выдающий права пользователя, получает от терминала запрос на подписку для определенного пакета услуг, передачу терминалу ключа домена для этого пакета услуг; и шифрование сервером «RI», выдающим права пользователя, объекта, устанавливающего права доступа к этому пакету услуг, для пакета услуг с использованием ключа домена, чтобы затем передать зашифрованный объект, устанавливающий права доступа к этому пакету услуг, терминалу.

[17] В соответствии с пятым аспектом настоящего изобретения, способ управления цифровыми правами при широковещательном/многоадресном обслуживании включает в себя: получение от определенного терминала сервером «RI», выдающим права пользователя, запроса на регистрацию и открытого ключа; если сервер «RI», выдающий права пользователя, получает от этого терминала запрос на подписку для определенного пакета услуг, шифрование сервером «RI», выдающим права пользователя, ключа домена для этого пакета услуг с использованием этого открытого ключа, чтобы затем передать зашифрованный ключ домена терминалу; шифрование сервером «RI», выдающим права пользователя, объекта, устанавливающего права доступа к этому пакету услуг, для этого пакета услуг с использованием ключа домена, чтобы затем передать зашифрованный объект, устанавливающий права доступа к этому пакету услуг, терминалу; и шифрование сервером «RI», выдающим права пользователя, ключа шифрования данных услуги с использованием ключа шифрования из ключевого сообщения, содержащегося в объекте, устанавливающем права доступа к этому пакету услуг, чтобы затем передать зашифрованный ключ шифрования данных услуги терминалу.

[18] В соответствии с шестым аспектом настоящего изобретения, предлагается способ управления цифровыми правами при широковещательном/многоадресном обслуживании для одновременного предоставления одному или нескольким терминалам одних и тех же данных услуги, включающий в себя: передачу терминалом своего открытого ключа серверу «RI», выдающему права пользователя, для запроса регистрации на пользование услугой; подписку терминала на определенный домен и получение ключа домена для этого домена от сервера «RI», выдающего права пользователя; получение терминалом от сервера «RI», выдающего права пользователя, объекта, устанавливающего права доступа к этому домену, зашифрованного с использованием ключа домена; если терминал принимает зашифрованные данные услуги, проверку, имеется ли ключ шифрования данных услуги для декодирования данных услуги; если оказалось, что терминал имеет у себя ключ шифрования данных услуги, обнаружение ключа шифрования данных услуги, чтобы затем декодировать данные услуги.

[19] Вышеперечисленные и другие цели, свойства, аспекты и преимущества настоящего изобретения станут более очевидными из следующего подробного описания настоящего изобретения, рассматриваемого вместе с прилагаемыми чертежами.

Описание чертежей

[20] Сопроводительные чертежи, прилагаемые для лучшего понимания изобретения и составляющие часть настоящей заявки, иллюстрируют варианты осуществления изобретения, и вместе с описанием служат для пояснения принципов настоящего изобретения.

[21] На чертежах:

[22] На Фиг.1 показана блок-схема, иллюстрирующая структуру системы широковещательного/многоадресного обслуживания в соответствии с настоящим изобретением;

[23] На Фиг.2 показана типовая схема, иллюстрирующая примеры пакетов услуг;

[24] На Фиг.3 показана типовая схема, иллюстрирующая типичную схему работы на основе доменов услуг в соответствии с настоящим изобретением;

[25] На Фиг.4 показана схема передачи сигналов, иллюстрирующая первый вариант осуществления способа управления цифровыми правами в соответствии с настоящим изобретением;

[26] На Фиг.5 показана схема передачи сигналов, иллюстрирующая второй вариант осуществления способа управления цифровыми правами в соответствии с настоящим изобретением;

[27] На Фиг.6 показана иерархия ключей для защиты услуги в соответствии с настоящим изобретением;

[28] На Фиг.7 показано различие между защитой услуги и защитой контента в соответствии с настоящим изобретением;

[29] На Фиг.8 показан пример иерархии ключей для защиты услуги и для защиты контента в соответствии с настоящим изобретением;

[30] На Фиг.9 показаны типовые функциональные блоки защиты услуги и интерфейсы между ними в соответствии с настоящим изобретением;

[31] На Фиг.10 показана таблица, которая поясняет интерфейсы и устанавливает соответствие их опорным точкам широковещательного/ многоадресного обслуживания «BCAST» в соответствии с настоящим изобретением.

Предпочтительные способы осуществления изобретения

[32] Далее будут рассмотрены с использованием прилагаемых чертежей варианты примерного способа управления цифровыми правами при широковещательном/многоадресном обслуживании в соответствии с настоящим изобретением.

[33] В общем случае при управлении цифровыми правами, чтобы совместно использовать объект, устанавливающий права доступа к контенту, и ключ шифрования контента, различные устройства (включая терминал) применяют концепцию под названием "домен".

[34] Применение домена дает возможность совместно использовать контент и объекты, устанавливающие права доступа к контенту, различными устройствами, которыми владеет один пользователь, и устройство, которому не разрешен доступ к источнику контента или источнику прав, может использовать для получения контента и объектов, устанавливающих права доступа к контенту, устройство, которому разрешен доступ. Например, портативное устройство воспроизведения музыки, которое не имеет возможностей беспроводного доступа к Интернет, можно подключить к персональному компьютеру (ПК), которое обеспечивает доступ к Интернету, для получения контента и объектов, устанавливающих права доступа к контенту. Таким образом, источник (сервер) прав пользователя управляет доменом для обработки запросов на присоединение и отсоединение устройства, принадлежащего к домену.

[35] Настоящее изобретение может предоставить определенный тип широковещательного домена. Все терминалы, которые стали абонентами услуги или пакета услуг, совместно используют общий ключ группы. Этот общий ключ группы в дальнейшем служит для шифрования ключей шифрования услуги «SEK» или ключей шифрования программы «РЕК». Этот тип широковещательного домена называется доменом услуги. А именно, семейство (группа) терминалов, которые стали абонентами услуги или пакета услуг и совместно используют общий шифрованный ключ группы, называется доменом услуги (зона этой услуги). Здесь выборочно составленный набор (или группа) из одной или нескольких услуг называется пакетом услуг.

[36] Терминалы в домене услуги могут совместно использовать контенты и услуги с любым другим терминалом в этом же домене услуги в соответствии с разрешениями, которые установлены поставщиками контента или услуги. Преимущество доменов услуги состоит в том, что обмен данными об изменениях ключа шифрования услуги «SEK» требует очень малой полосы пропускания.

[37] В настоящем изобретении сервер «RI», выдающий права пользователя, передает терминалам сообщение с ключом, относящимся к домену услуги, который представляет собой группу терминалов, пользующихся одной услугой или одним пакетом услуг.

[38] Здесь сообщение с ключом относится к средству предоставления информации о правах пользователя на использование домена услуги (после присоединения), передаваемой от сервера «RI», выдающего права пользователя, терминалу (устройству). Одним из примеров сообщения может быть объект, устанавливающий права доступа к домену услуги (то есть объект «RO»). Далее настоящее изобретение будет для удобства просто ссылаться на "объект «RO», устанавливающий права доступа к домену". Ясно, что могут использоваться другие типы сообщений о ключе или другие средства информирования.

[39] Каждый терминал, получивший объект «RO», устанавливающий права доступа к домену, декодирует объект «RO», устанавливающий права доступа к домену, соответствующий этому домену, с использованием принадлежащего ему ключа домена. Здесь сервер «RI», выдающий права пользователя, генерирует столько объектов, устанавливающих права доступа, сколько имеется доменов услуги, вне зависимости от числа терминалов, пользующихся услугой или пакетом услуг. Терминалы, принадлежащие к одному и тому же домену, совместно используют один ключ этого домена.

[40] В настоящем изобретении сервер «RI», выдающий права пользователя, получает открытый ключ от терминала, запрашивающего регистрацию для пользования услугой, шифрует ключ домена, соответствующий тому домену, который терминал собирается использовать, используя этот открытый ключ, чтобы затем передать зашифрованный ключ домена. Затем сервер «RI», выдающий права пользователя, передает объект «RO», устанавливающий права доступа к домену, зашифрованный с помощью этого ключа домена. Здесь объект «RO», устанавливающий права доступа к домену, содержит ключ шифрования данных услуги для декодирования зашифрованных данных услуги, полученных от сервера широковещательной/многоадресной передачи.

[41] В настоящем изобретении сервер «RI», выдающий права пользователя, получает открытый ключ от терминала, запрашивающего регистрацию для пользования услугой. Затем сервер «RI», выдающий права пользователя, с помощью этого открытого ключа шифрует ключ домена, соответствующий тому домену, который терминал собирается использовать. Затем сервер «RI», выдающий права пользователя, передает зашифрованный ключ домена терминалу. Кроме того, сервер «RI», выдающий права пользователя, с помощью ключа домена шифрует объект «RO», устанавливающий права доступа к домену, содержащий ключ шифрования сообщения о ключе, чтобы затем передать зашифрованный объект «RO», устанавливающий права доступа к домену, терминалу. Кроме того, сервер «RI», выдающий права пользователя, шифрует ключ шифрования данных услуги для декодирования данных услуги, полученных от сервера широковещательной/многоадресной передачи, с помощью ключа шифрования из сообщения о ключе, чтобы затем передать зашифрованный ключ шифрования данных услуги терминалу.

[42] На Фиг.1 показана блок-схема, иллюстрирующая типовую структуру системы широковещательного/многоадресного обслуживания в соответствии с настоящим изобретением. В общем, система широковещательного/многоадресного обслуживания может включать в себя терминалы 10, сервер широковещательного/многоадресного обслуживания «BCAST» 20 для предоставления услуги терминалам 10 и сервер «RI» 30, выдающий права пользователя, для управления объектом «RO», устанавливающим права доступа к домену, чтобы, тем самым, дать возможность терминалам 10 пользоваться услугой.

[43] Здесь сервер «RI» 30, выдающий права пользователя, может передавать объект «RO», устанавливающий права доступа к домену, терминалам 10, либо сервер широковещательного/многоадресного обслуживания «BCAST» 20 может принимать объект «RO», устанавливающий права доступа к домену, от сервера «RI» 30, выдающего права пользователя, чтобы затем передать полученный объект «RO», устанавливающий права доступа к домену, терминалам 10.

[44] Настоящее изобретение может делить терминалы в соответствии с используемой услугой или используемым пакетом услуг. Пакет услуг устроен как единый пакет путем объединения одной или нескольких услуг (контентов), которые не связаны между собой. Здесь, семейство (или группа) терминалов, которые становятся абонентами услуги или пакета услуг и совместно используют общий зашифрованный ключ, называется доменом услуги. Кроме того, выборочно объединенный набор (или группа) из одной или нескольких услуг называется пакетом услуг. Здесь, один терминал может принадлежать к одному или нескольким доменам услуг.

[45] На Фиг.2 показан пример, иллюстрирующий концепцию пакетов услуг.

[46] На Фиг.2 предполагается, что пакет услуг 1 представляет собой пакет, содержащий услугу 1 и услугу 2, пакет услуг 2 представляет собой пакет, содержащий услугу 1 и услугу 3, пакет услуг 3 содержит услугу 1, и пакет услуг 4 представляет собой пакет, содержащий услугу 3 и услугу 4. Терминал, который становится абонентом пакета услуг 1, может пользоваться услугами 1 и 2, а терминал, который становится абонентом пакета услуг 4, может пользоваться услугами 3 и 4. Следует заметить, что группа, состоящая из нескольких терминалов, может пользоваться одной или несколькими услугами в составе пакета.

[47] Таким образом, сервер «RI» 30, выдающий права пользователя, не выдает объект «RO», устанавливающий права доступа к домену, в отношении каждого терминала 10, а выдает объект «RO», устанавливающий права доступа к домену, в отношении домена услуги, к которому принадлежит терминал 10. То есть терминалы 10, принадлежащие к одному домену услуги, получают от сервера «RI» 30, выдающего права пользователя, одинаковый объект «RO», устанавливающий права доступа к домену. Объект «RO», устанавливающий права доступа к домену, шифруется с помощью ключа домена, соответствующего каждому домену, и, соответственно, терминалы, принадлежащие к одному домену, могут совместно использовать этот ключ домена для декодирования объект «RO», устанавливающий права доступа к домену.

[48] Фиг.3 иллюстрирует типовую схему работы на основе доменов услуг в соответствии с настоящим изобретением. Здесь первый терминал 11 и второй терминал 12 стали абонентами первого пакета услуг, а третий терминал 13 стал абонентом второго пакета услуг.

[49] Сначала первый терминал 11 и второй терминал 12 получают от сервера «RI» 30, выдающего права пользователя, (не показан) ключ домена для первого домена услуг, чтобы хранить ключ этого домена, а третий терминал 13 получает и хранит ключ домена для второго домена услуг.

[50] Сервер «RI» 30, выдающий права пользователя, или сервер широковещательного/многоадресного обслуживания 20 может передать объект «RO», устанавливающий права доступа к домену, каждому из терминалов 11, 12 и 13. На Фиг.3 показан пример, где сервер широковещательного/многоадресного обслуживания получает от сервера «RI» 30, выдающего права пользователя, (не показан) объект «RO», устанавливающий права доступа к домену, каждого домена услуги, чтобы затем передать полученный объект «RO», устанавливающий права доступа к домену, каждому из терминалов 11, 12 и 13.

[51] Каждый терминал 11, 12 и 13, получивший объект «RO», устанавливающий права доступа к домену, затем декодирует объект «RO», устанавливающий права доступа к домену, с помощью ключа домена, который хранится в каждом из терминалов 11, 12 и 13. То есть среди двух полученных объектов «RO», устанавливающих права доступа к домену, первый терминал 11 и второй терминал 12 могут декодировать объект «RO», устанавливающий права доступа к домену, первого домена услуги, а третий терминал 13 может декодировать объект «RO», устанавливающий права доступа к домену, второго домена услуги.

[52] Как упомянуто выше, в настоящем изобретении сервер «RI» 30, выдающий права пользователя, или сервер широковещательного/многоадресного обслуживания выдают столько объектов RO», устанавливающих права доступа к домену, сколько имеется доменов услуг, вне зависимости от числа терминалов, пользующихся услугой, и каждый терминал декодирует только тот объект «RO», устанавливающий права доступа к домену, который он может декодировать с помощью своего ключа домена от объектов «RO», устанавливающих права доступа к доменам. Таким образом, система обслуживания в соответствии с настоящим изобретением может одновременно поддерживать защиту услуги (контента) и в то же время эффективно использовать сеть между сервером и терминалом.

[53] На Фиг.4 показана схема передачи сигналов, иллюстрирующая первый вариант осуществления способа управления цифровыми правами (авторскими правами) в соответствии с настоящим изобретением. В частности, Фиг.4 иллюстрирует процесс получения терминалом объекта «RO», устанавливающего права доступа к домену, и данных услуги в соответствии с многоуровневой структурой ключей защиты.

[54] Как показано на Фиг.4, первый уровень используется, чтобы дать возможность регистрации для пользования услугой, которая должна быть выполнена между терминалом 10 и сервером «RI» 30, выдающим права пользователя, (S11). Следует заметить, что устройство для такой регистрации может выполнять эту операцию в автономном или подключенном режиме. Среди примеров подключенного режима - использование широковещательного канала или интерактивного канала.

[55] Открытый ключ терминала 10 может быть передан серверу «RI» 30, выдающему права пользователя, через первый уровень и происходит согласование алгоритма защиты, который должен использоваться между терминалом 10 и сервером «RI» 30, выдающим права пользователя. Здесь, контекст сервера «RI» 30, выдающего права пользователя, может формироваться в терминале 10. Контекст сервера «RI» 30, выдающего права пользователя, может содержать информацию, согласуемую, когда терминал 10 регистрируется в сервере «RI» 30, выдающем права пользователя, в частности, идентификатор «ID» сервера «RI» 30, выдающего права пользователя, сертификат сервера «RI» 30, выдающего права пользователя, версию, алгоритм защиты и другую информацию.

[56] Второй уровень, который используется в качестве уровня управления доменом, используется для подписки и отмены подписки на определенную услугу домена. Здесь, прежде чем пользоваться вторым уровнем, терминал 10 может получить справочник по услугам, который содержит информацию (информацию об услуге, информацию о домене и т.п.) для описания услуг широковещательного/многоадресного обслуживания, которую терминал 10 может использовать.

[57] После подтверждения через справочник по услугам услуг, которыми терминал 10 может пользоваться, пользователь с помощью терминала 10 (S13) запрашивает подписку на домен у сервера «RI» 30, выдающего права пользователя, сервер «RI» 30, выдающий права пользователя, передает терминалу 10 ключ домена, зашифрованный с использованием открытого ключа (S15). При запросе подписки на домен терминал 10 в качестве параметров передает идентификатор «ID» услуги или идентификатор «ID» пакета услуг, идентификатор «ID» терминала, цифровую подпись терминала и т.п.

[58] В результате подписки на домен в терминале 10 генерируется контекст домена. Контекст домена содержит информацию, относящуюся к ключу домена, идентификатору «ID» домена, правомерности домена и т.п.

[59] Когда терминал запрашивает отмену подписки на домен у сервера «RI» 30, выдающего права пользователя, сервер «RI» 30, выдающий права пользователя, удаляет соответствующий терминал 10 из списка терминалов, принадлежащих к этому домену, а терминал 10 удаляет (уничтожает) свои связи с этим доменом.

[60] Третий уровень используется в качестве уровня управления объектами «RO», устанавливающими права доступа к домену. Сервер «RI» 30, выдающий права пользователя, использует третий уровень для передачи объекта «RO», устанавливающего права доступа к домену услуги, терминалу 10 (S17). Здесь, объект «RO», устанавливающий права доступа к домену, содержит один или несколько ключей шифрования данных (например, ключей шифрования услуги «SEK»), которые шифруются с помощью ключа домена.

[61] Сервер «RI» 30, выдающий права пользователя, может непосредственно передать объект «RO», устанавливающий права доступа к домену услуги, терминалу 10, либо может передать его терминалу 10, используя сервер широковещательного/многоадресного обслуживания 20. То есть сервер «RI» 30, выдающий права пользователя, передает объект «RO», устанавливающий права доступа к домену услуги, серверу широковещательного/многоадресного обслуживания 20, а сервер широковещательного/многоадресного обслуживания 20, получив этот объект «RO», устанавливающий права доступа к домену, передает соответствующий объект «RO», устанавливающий права доступа к домену, терминалу 10. Здесь, объект «RO», устанавливающий права доступа к домену, переданный от сервера «RI» 30, выдающего права пользователя, может быть передан терминалу 10 через сервер широковещательного/многоадресного обслуживания 20. При необходимости можно выборочно использовать передачу объекта «RO», устанавливающего права доступа к домену, непосредственно терминалу 10 или через сервер широковещательного/ многоадресного обслуживания 20. Если серверу «RI» 30, выдающему права пользователя, можно предоставить необходимые функции, выполняемые сервером широковещательного/многоадресного обслуживания 20, то сервер «RI» 30, выдающий права пользователя, может непосредственно передать объект «RO», устанавливающий права доступа к домену, терминалу 10.

[62] Четвертый уровень используется в качестве уровня шифрования услуги. Сервер широковещательного/многоадресного обслуживания 20 передает данные услуги, зашифрованные с помощью ключа шифрования данных услуги, терминалу 10 через четвертый уровень (S19). Терминал 10 принимает объект «RO», устанавливающий права доступа к домену, для определенного домена услуги и данные услуги, зашифрованные с помощью этого ключа шифрования данных услуги, и декодирует эти данные услуги, используя этот объект «RO», устанавливающий права доступа к домену. Ниже будет описан способ декодирования данных услуги терминалом.

[63] Соответственно, поскольку ключ шифрования данных услуги для декодирования данных услуги был зашифрован с использованием ключа домена, терминал, имеющий тот же ключ домена, может получить ключ шифрования данных услуги, чтобы использовать данные услуги.

[64] На Фиг.5 показана схема передачи сигналов, иллюстрирующая второй вариант осуществления типичного способа управления цифровыми правами в соответствии с настоящим изобретением. Процесс получения объекта «RO», устанавливающего права доступа к домену, и данных услуги терминалом изображен в соответствии с многоуровневой структурой ключей защиты.

[65] В частности, во втором варианте осуществления настоящего изобретения, ключ шифрования сообщения с ключами (например, «ТЕК»: ключ шифрования трафика) используется для генерации ключа шифрования данных услуги в дополнение к одному или нескольким ключам шифрования данных услуги (например, ключу шифрования услуги - «SEK») по первому варианту осуществления изобретения, чтобы обеспечить дополнительную защиту данных услуги.

[66] Соответственно, в дополнение к совместному использованию открытого ключа «РК», существует определенная связь между известными ключами защиты (то есть ключом домена, ключом шифрования услуги «SEK», ключом шифрования трафика «ТЕК»), которые используются устройством (терминалом) и сервером «RI» 30, выдающим права пользователя. А именно, ключ домена используется для шифрования и дешифрования объекта «RO», устанавливающего права доступа, который содержит один или несколько ключей шифрования услуги «SEK», ключ шифрования услуги «SEK» используется для шифрования и дешифрования ключа шифрования трафика «ТЕК», в то время как ключ шифрования трафика «ТЕК» используется для шифрования и дешифрования контента.

[67] Как показано на Фиг.5, когда терминал 10 запрашивает регистрацию у сервера «RI» 30, выдающего права пользователя, на первом уровне (S21), происходит согласование алгоритма защиты, который должен использоваться между терминалом 10 и сервером «RI» 30, выдающим права пользователя. Следует заметить, что такая регистрация устройства может быть выполнена в автономном режиме или в подключенном режиме. Например, подключенные режимы включают использование широковещательного канала или интерактивного канала.

[68] В результате запроса регистрации в терминале 10 генерируется контекст сервера «RI» 30, выдающего права пользователя. Контекст сервера «RI» 30, выдающего права пользователя, содержит информацию, связанную с идентификатором «ID» сервера «RI» 30, выдающего права пользователя, сертификатом сервера «RI» 30, выдающего права пользователя, версией, алгоритмом защиты, и другую информацию.

[69] До выполнения действий на втором уровне терминал 10 может получить управляющую информацию услуги широковещательного/многоадресного обслуживания.

[70] На втором уровне терминал 10 запрашивает у сервера «RI» 30, выдающего права пользователя, подписку в домене на определенную услугу или пакет услуг (S23). Сервер «RI» 30, выдающий права пользователя, передает терминалу 10 ключ домена, зашифрованный с использованием открытого ключа терминала 10 (S25). При запросе подписки на домен терминал 10 передает серверу «RI» 30, выдающему права пользователя, идентификатор «ID» услуги или идентификатор «ID» пакета услуг, идентификатор «ID» терминала, цифровую подпись терминала и т.п.

[71] В результате контекст домена генерируется в терминале 10, который получил от сервера «RI» 30, выдающего права пользователя, ключ домена. Контекст домена содержит информацию, относящуюся к ключу домена, идентификатор «ID» домена, правомерности домена и т.п. Когда терминал 10 запрашивает подписку на один или несколько доменов услуги, число ключей доменов и идентификаторов «ID» доменов, которые могут храниться в терминале 10, равно числу доменов.

[72] Третий уровень используется в качестве уровня управления объектом «RO», устанавливающим права доступа. Сервер «RI» 30, выдающий права пользователя, передает объект «RO», устанавливающий права доступа к домену услуги, терминалу 10 через третий уровень (S27). Здесь, поскольку объект «RO», устанавливающий права доступа к домену, содержит один или несколько ключей шифрования данных услуги (например, «SEK»: ключ шифрования услуги), которые зашифрованы с использованием ключа домена, только терминалы, принадлежащие к домену услуги, которые хранят ключ домена, могут декодировать ключ шифрования данных услуги.

[73] Как в первом варианте осуществления, сервер «RI» 30, выдающий права пользователя, может непосредственно передать объект «RO», устанавливающий права доступа, терминалу 10, либо может передать его терминалу 10 посредством сервера широковещательного/многоадресного обслуживания 20. Если серверу «RI» 30, выдающему права пользователя, предоставлены необходимые функциональные возможности сервера широковещательного/многоадресного обслуживания 20, то для домена услуги может быть передан непосредственно терминалу 10.

[74] Четвертый уровень используется в качестве уровня передачи ключей. Сервер «RI» 30, выдающий права пользователя, передает ключ кодирования данных услуги (например, «ТЕК»: ключ шифрования трафика), который был зашифрован с использованием ключа шифрования из сообщения с ключами, терминалу 10 через четвертый уровень. Соответственно, только терминалы, которые хранят ключ шифрования из сообщения с ключами, могут декодировать ключ шифрования данных услуги.

[75] Ключ шифрования данных услуги может быть передан терминалу 10 посредством сервера широковещательного/многоадресного обслуживания 20, а также посредством сервера «RI» 30, выдающего права пользователя. Здесь сервер «RI» 30, выдающий права пользователя, передает ключ шифрования данных услуги серверу широковещательной/многоадресной передачи 20, который затем передает соответствующий ключ шифрования данных услуги терминалу 10. Если сервер «RI» 30, выдающий права пользователя, имеет необходимые функции, выполняемые сервером широковещательной/ многоадресной передачи 20, то ключ шифрования трафика «ТЕК» можно непосредственно передать терминалу 10.

[76] Пятый уровень используется в качестве уровня шифрования услуги. Сервер ш