CN104995634A - 信任单元之间的密钥刷新 - Google Patents
信任单元之间的密钥刷新 Download PDFInfo
- Publication number
- CN104995634A CN104995634A CN201480009310.8A CN201480009310A CN104995634A CN 104995634 A CN104995634 A CN 104995634A CN 201480009310 A CN201480009310 A CN 201480009310A CN 104995634 A CN104995634 A CN 104995634A
- Authority
- CN
- China
- Prior art keywords
- key
- session key
- equipment
- transcoder
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
加密逻辑用于标识特定会话密钥,其中该特定会话密钥是用于加密将从第一设备发送的加密内容的多个会话密钥之一。该加密逻辑用于用该特定会话密钥加密特定内容以便获得经加密的特定内容。提供可致使用密钥刷新结构发送该特定内容的I/O逻辑,其中该密钥刷新结构用于标识该特定会话密钥层用于加密该特定内容。
Description
领域
本公开涉及计算***,并且更具体地涉及计算***的组件之间的加密。
背景
随着电子装置在用户的日常生活中变得越来越复杂且无处不在,对其提出了越来越多的多样化要求。为了满足这些要求中的许多要求,许多电子装置包括许多不同的设备,包括CPU、通信设备、图形加速器等等。在许多情况下,这些设备之间可存在大量的通信。此外,许多用户具有有关装置性能的高期望。装置的有待用于呈现和消耗多媒体内容的能力也日益增加。某种多媒体内容受到版权和其他知识产权法和协定的保护。装置已经配置有基于硬件和软件的特征以便协助保护这种受保护的内容。
附图简要描述
图1示出标识包括多核处理器的示例计算***的框图。
图2是根据至少一个示例实施例示出包括网关设备的示例***的简化框图。
图3是根据至少一个示例实施例示出与示例网关设备相关联的组件的简化框图。
图4是根据至少一个示例实施例示出与通过示例网关设备提供的媒体内容的加密相关联的交互的简化框图。
图5是根据至少一个示例实施例示出与示例网关设备相关联的示例组件之间的交互的简化框图。
图6是根据至少一个示例实施例示出示例网关设备的示例原子的简化框图。
图7是根据至少一个示例实施例示出与通过示例网关设备提供的媒体内容的加密相关联的活动的简化框图。
图8A-8B是根据至少一个示例实施例示出与通过示例网关设备提供的媒体内容的加密相关联的活动的流程图。
图9示出包括处理器的计算***的另一个简化框图。
详细描述
在以下描述中,列出了许多特定细节,诸如特定类型处理器核***配置、特定硬件结构、特定架构和微架构细节、特定寄存器配置、特定指令类型、特定***组件、特定测量/高度、特定处理器流水线级和操作等等的示例,以便提供本发明的透彻理解。然而,将对本领域技术人员明显的是无需采用这些特定细节来实践本发明。在其他情况下,未详细描述公知的组件或方法,诸如特定或替代处理器架构、用于所描述的算法的特定逻辑电路/代码、特定固件代码、特定互连操作、特定逻辑配置、特定制造技术和材料、特定编译器实现方式、特定算法代码表达、特定断电和门控技术/逻辑以及计算机***的其他特定操作细节,以便避免不必要地混淆本发明。
尽管参考特定集成电路中(诸如在计算平台或多处理器中)的能量节约和能量效率描述以下实施例,其他实施例可适用于其他类型的集成电路和逻辑设备。类似的技术和在此所述的实施例的教导可应用于其他类型的也可受益于更好的能量效率和能量节约的电路或半导体器件。例如,所公开的实施例不限于桌上计算机***或超极本TM(UltrabooksTM)。并且,还可在其他设备中使用,诸如手持式设备、平板计算机、其他薄笔记本计算机、片上***(SOC)设备和嵌入式应用。手持式设备的一些示例包括蜂窝电话、互联网协议设备、数码相机、个人数字助理(PDA)、以及手持式PC。嵌入式应用通常包括微控制器、数字信号处理器(DSP)、片上***、网络计算机(NetPC)、机顶盒、网络集线器、广域网(WAN)交换机、或能够执行以下教导的功能和操作的任意其他***。而且,在此所述的装置、方法、以及***不限于物理计算设备,而是还可涉及用于能量节约和效率的软件优化。如将从以下描述变得非常明显的是,在此描述的方法、装置以及***的实施例(无论参照硬件、固件、软件还是其组合)对于用性能考虑因素平衡的“绿色科技”未来而言是至关重要的。
因为计算***日益进步,其中的组件变得越来越复杂。结果是,用于这些组件之间的耦合和通信的互连架构也日益复杂以便确保满足最佳组件操作的带宽要求。此外,不同的市场部分要求互连架构的不同方面适合市场需要。例如,服务器要求更高性能,而移动生态***有时能够为功率节省而牺牲整体性能。然而,大多数构造的单一目的是用最大的功率节省提供最高的可能性能。以下,讨论了多个互连,这将潜在地从此处描述的本发明的各方面受益。
参照图1,描绘了包括多核处理器的计算***的框图的实施例。处理器100包括任何处理器或处理设备,诸如微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器、手持式处理器、应用处理器、协处理器、片上***(SoC)或其他设备以便执行代码。在一个实施例中,处理器100包括至少两个核——核101和102,这可包括非对称核或对称核(所示实施例)。然而,处理器100可包括可以是对称的或非对称的任何数量的处理元件。
在一个实施例中,处理元件是指用于支持软件线程的硬件或逻辑。硬件处理元件的示例包括:线程单元、线程槽、线程、进程单元、上下文、上下文单元、逻辑处理器、硬件线程、核和/或任何其他元件,其能够保持处理器的状态,诸如执行状态或架构状态。换言之,在一个实施例中,处理元件是指能够独立地与代码(诸如软件线程、操作***、应用或其他代码)相关联的任何硬件。物理处理器(或处理器插槽)通常是指集成电路,其可能包括任何数量的其他处理元件,诸如核或硬件线程。
核通常是指位于能够维持独立的架构状态的集成电路上的逻辑,其中每个独立维护的架构状态与至少某些专用执行资源相关联。与核相比,硬件线程通常是指位于能够维护独立的架构状态的集成电路上的任何逻辑,其中独立维护的架构状态共享对执行资源的访问。如所见,当某些资源被共享而其他资源专用于架构状态时,硬件线程和核的命名之间的界限重叠。经常,核和硬件线程由操作***视为单独的逻辑处理器,其中操作***能够单独地调度每个逻辑处理器上的操作。
如图1所示,物理处理器100包括两个核——核101和102。在此,核101和102被认为是对称核,即,具有相同配置、功能单元和/或逻辑的核。在另一个实施例中,核101包括乱序处理器核,而核102包括顺序处理器核。然而,核101和102可单独地选自任何类型的核,诸如本地核、软件管理核、被适配为执行本地指令集架构(ISA)的核、被适配为执行转换指令集架构(ISA)的核、共同设计的核(co-designed core)或其他已知核。在异构核环境(即,非对称核)中,某种形式的转换(诸如二进制转换)可用于在一个或两个核上调度或执行代码。仍需进一步讨论,以下进一步详细描述核101中示出的功能单元,因为核102中的单元在所描绘的实施例中以类似的方式操作。
如所描绘的,核101包括两个硬件线程101a和101b,其可还被称为硬件线程槽101a和101b。因此,在一个实施例中,软件实体(诸如操作***)可能将处理器100视为四个分开的处理器,即,能够并发地执行四个软件线程的四个逻辑处理器或处理元件。如以上内容所示,第一线程与架构状态寄存器101a相关联,第二线程与架构状态寄存器101b相关联,第三线程可与架构状态寄存器102a相关联,而第四线程可与架构状态寄存器102a相关联,并且第四线程可与架构状态寄存器102b相关联。在此,这些架构状态寄存器(101a、101b、102a和102b)各自可被称为处理元件、线程时隙或线程,如上所述。如所示,架构状态寄存器101a在架构状态寄存器101b中复制,所以单独的架构状态/上下文能够被存储用于逻辑处理器101a和逻辑处理器101b。在核101中,其他更小的资源(诸如指令指针和重命名逻辑)也可为线程101a和101b复制。某些资源(诸如重排序/引退单元135中的重排序缓冲器、ILTB 120、加载/存储缓冲器和队列)可通过分区共享。可能充分地共享其他资源(诸如通用内部寄存器、页表基址寄存器、低级数据高速缓存和数据TLB 15、执行单元140以及乱序单元135的部分)。
处理器110经常包括其他资源,这些资源可充分地共享、通过分区共享或由处理元件专用。在图1中,用处理器的说明性逻辑单元/资源示出了纯示例性处理器的实施例。注意,处理器可包括或省略这些功能单元中的任一者并且包括未描绘的任何其他已知功能单元、逻辑或固件。如所示,核101包括简化的有代表性的乱序(OOO)处理器核。但是可在不同实施例中使用顺序处理器。OOO核包括分支目标缓冲器120以便预测有待执行/采取的分支以及指令转换缓冲器(I-TLB)120以便存储用于指令的地址转换条目。
核101进一步包括耦合到取出单元120的解码模块125以便解码所取出的元件。在一个实施例中,取出逻辑包括分别与线程槽101a、101b相关联的单独序列器。通常,核101与第一ISA相关联,该第一ISA定义/指定可在处理器100上执行的指令。经常,作为第一ISA的一部分的机器代码指令包括该指令的一部分(称为操作码),该指令引用/指定有待执行的指令或操作。解码逻辑125包括从其操作码识别这些指令并且将所解码的指令在流水线中传递以便如由第一ISA所定义的那样处理的电路。例如,如以下更详细地讨论的,在一个实施例中,解码器125包括被设计成用于或被适配成用于识别特定指令(诸如事务指令)的逻辑。解码器125的识别的结果是,架构或核101采取特定的预定义的动作来执行与适当的指令相关联的任务。重要的是注意,在此描述的任务、块、操作和方法中的任一者可响应于单个或多个指令执行;某些这些指令可以是新的或旧的指令。注意,在一个实施例中,解码器125识别相同的ISA(或其子集)。可替代地,在异构核环境中,解码器126识别第二ISA(或者是第一ISA的子集或者是不同的ISA)。
在一个示例中,分配器和重命名器块130包括用于保存资源(诸如寄存器组)以便存储指令执行结果的分配器。然而,线程101a和101b可能能够乱序执行,而分配器和重命名器块130还保存其他资源(诸如重排序缓冲器)以便跟踪指令结果。单元130还可包括寄存器重命名器以便将程序/指令引用寄存器重命名到处理器100内部的其他寄存器。重排序/引退单元135包括组件,诸如上述重排序缓冲器、加载缓冲器和存储缓冲器,以便支持乱序执行和稍后的乱序执行的指令的顺序引退。
在一个实施例中,调度器和执行单元块140包括调度器单元以便在执行单元上调度指令/操作。例如,在具有可用浮点执行单元的执行单元的端口上调度浮点指令。与执行单元相关联的寄存器组也被包括以便存储信息指令处理结果。示例性执行单元包括浮点执行单元、整数执行单元、跳执行单元、加载执行单元、存储执行单元和其他已知执行单元。
低级数据高速缓存和数据转换缓冲器(D-TLB)150耦合到执行单元140。数据高速缓存用于存储可能保持在存储器一致性状态的最近使用/操作的元素,诸如数据操作数。D-TLB用于存储最近虚拟/线性到物理地址转换。作为特定示例,处理器可包括页表结构以便将物理存储器分成多个虚拟页。
在此,核101和102共享对更高级或更往外(further-out)高速缓存的访问,诸如与片上接口110相关联的二级高速缓存。注意,更高级或更往外是指增加或离执行单元更远的高速缓存级别。在一个实施例中,更高级高速缓存是末级数据高速缓存,处理器100上的存储器层次中的末级高速缓存,诸如二级或三级数据高速缓存。然而,更高级高速缓存不限于此,因为其可与指令高速缓存相关联或包括指令高速缓存。轨迹高速缓存(一种指令高速缓存)而是可耦合在解码器125之后以便存储最近解码的轨迹。在此,指令可能是指宏指令(即,解码器所识别的通用指令),该宏指令可被解码为多个微指令(微操作)。
在所描绘的配置中,处理器100还包括片上接口模块110。历史地,以下更详细描述的存储器控制器已经被包括在位于处理器100外部的计算***中。在此场景中,片上接口11用于与位于处理器100外部的设备通信,诸如***存储器175、芯片组(经常包括存储器控制中枢以便连接到存储器175和I/O控制器中枢以便连接***设备)、存储器控制器中枢、北桥或其他集成电路。还在此场景中,总线105可包括任何已知互连,诸如多点总线、点到点互连、串行互连、并行总线、一致性(例如高速缓存一致性)总线、分层协议架构、差分总线和GTL总线。
存储器175可专用于处理器100或与***中的其他设备共享。常见的存储器175的示例类型包括DRAM、SRAM、非易失性存储器(NV存储器)和其他已知存储设备。注意,设备180可包括耦合到存储器控制器中枢的图形加速器、处理器或卡、耦合到I/O控制器中枢的数据存储设备、无线收发器、闪存设备、音频控制器、网络控制器或其他已知设备,诸如媒体网关计算***中的转码器。
然而,最近,随着越来越多的逻辑和设备被集成到单个管芯上,诸如SoC,这些设备各自可结合到处理器100上。例如,在一个实施例中,存储器控制器中枢位于与处理器100相同的封装和/或管芯上。在此,核110的一部分(核上部分)包括一个或多个控制器以便与其他设备(诸如存储器175或其他设备180)接口连接。包括用于与这种设备接口连接的互连和控制器的配置经常被称为核上(或非核配置)。作为示例,片上接口110包括用于片上通信的环形互连和用于片外通信的高速串行点到点链路105。而且,在片上***(So)C环境中,甚至更多的设备(诸如网络接口、协处理器、存储器175、图形处理器和任何其他已知计算机设备/接口)可集成在单个管芯或集成电路上以便提供具有高功能性和低功耗的小形状因数。
在一个实施例中,处理器100能够执行编译器、优化和/或转换器代码177以便编译、转换和/或优化应用代码176从而支持在此描述的装置和方法或与其接口连接。编译器经常包括程序或程序集合以便将源文本/转码为目标文本/代码。通常,用编译器编译程序/应用代码是在多个阶段和通道完成的以便将高级编程语言代码变换为低级机器或汇编语言代码。而且,单通道编译器仍可用于简单的编译。编译器可利用任何已知的编译技术并执行任何已知的编译器操作,诸如词汇分析、预处理、解析、语义分析、代码生成、代码变换和代码优化。
更大的编译器经常包括多个阶段,但是大多数情况下这些阶段被包括在两个常用阶段中:(1)前端,即通常句法处理、语义处理和某种变换/优化可在其中发生,以及(2)后端,即通常分析、变换、又换和代码生成在其中发生。某些编译器是指中间端,该中间端示出编译器的前端和后端之间的界定模糊。结果是,对编译器的***、关联、生成或其他操作的引用可在前述阶段或通道中的任一者以及编译器的任何其他已知阶段或通道中发生。作为说明性示例,编译器可能在编译的一个或多个阶段中***操作、调用、函数等等,诸如在编译的前端阶段中***调用/操作并且然后在变换阶段中将调用/操作变换为低级代码。注意,在动态编译期间,编译器代码和动态优化代码可***这种操作/调用并且优化代码以便在运行时期间执行。作为特定说明性示例,二进制代码(已经编译的代码)可在运行时期间动态地优化。在此,程序代码可包括动态优化代码、二进制代码或其组合。
与编译器类似,转换器(诸如二进制转换器)或者静态地或者动态地转换代码以便优化和/或转换代码。因此,对代码、应用代码、程序代码或其他软件环境的执行的引用可以是指:(1)或者静态地或者动态地执行编译器程序、优化地代码优化器或转换器以便编译程序代码、维护软件结构、执行其他操作、优化代码或转换代码;(2)执行包括操作/调用的主程序代码,诸如已经被优化/编译的应用代码;(3)执行与主程序代码相关联的其他程序代码(诸如库)以便执行其他软件相关的操作或优化代码;或(4)其组合。
转向图2,示出了示例网关服务环境200的简化框图。媒体网关205可被包括以便提供由一个或多个媒体网络(例如,210)主存或以其他方式提供的媒体内容。媒体网关205可从一个或多个源或源网络(例如,210)接收数字媒体流并且转换媒体流或以其他方式使得可在各端点设备上消费媒体流。例如,可使用网关转换数字线流以便向包括在使用网关205的私有网络(诸如家庭网络215)中的一个或多个端点设备(例如,220、225、230、240、245、250等等)提供电视、宽带互联网、无线电、安全和其他服务。媒体网关205可进一步包括用于结合从媒体网络或其他服务提供商提供数字内容提供其他服务或功能的功能。例如,媒体网关205可包括存储能力、数字视频记录功能和其他服务。其他网关设备也可提供在其他网络(例如,260、270)上,其中端点设备能够消费通过媒体网络210提供的媒体内容。此外,可支持各种服务订阅等级,其中示例订阅等级提供各种类型的内容、数据服务、带宽、收费内容,除其他示例之外。
在某些实现方式中,媒体网关205可从媒体网络210捕获有线或其他媒体流并且将信号转码为与多种相应类型的能够将媒体呈现给用户的端点设备兼容的多种不同的格式。这种端点设备220、225、230、235、240、245、250可包括例如电视、机顶盒、个人计算机、膝上型计算机、语音上IP(VOIP)电话、远程呈现或视频会议***、平板计算机、智能电话、个人数字助理、特征电话、视频游戏控制台、手持式视频游戏***、桌上计算机、互联网使能或其他“智能”家庭电器、立体声***、便携式音频播放器以及被设计成用于与人类用户接口连接并且能够接收和使用通过媒体网络210提供的媒体(例如,由家庭网关205所转码的)的其他设备和***。
端点设备和计算设备的属性通常可广泛地从设备到设备变化,包括对应的操作***和所加载的、所安装的、所执行的、所操作的或者以其他方式可由每个设备所访问的软件程序的集合。例如,端点设备可运行、执行、安装或以其他方式包括各种程序集合,包括操作***、应用、插件、小程序、虚拟机、机器图像、驱动程序、可执行文件以及其他能够由对应的设备运行、执行或以其他方式使用的基于软件的程序的各种组合。此外,端点设备可包括或可用各种用户接口设备操作,诸如键盘、触摸屏、遥控器、鼠标、自然用户接口(NUI)等等。取决于有待由端点设备呈现的、消耗的或渲染的媒体的类型,端点设备可进一步包括诸如扬声器、显示设备(包括触摸屏或其他交互显示器)、照相机、投影仪以及其他特征的组件。
总体上,“服务器”、“网络设备”、“***”、“客户机”、“端点设备”、“网关”和“计算设备”(包括示例环境200中的网络210、215、260、270内的服务器、客户机***和其他计算设备)可包括可操作以便接收、传输、处理、存储、渲染或以其他方式使用与环境200相关联的数据和信息的电子计算设备。如在本文档中所使用的,术语“计算机”、“计算设备”、“处理器”或“处理设备”旨在涵盖任何合适的处理设备。例如,可使用计算机而不是服务器(包括服务器池)实现***100。此外,任何、全部或一些计算设备可被适配成用于执行任何操作***,包括Linux、UNIX、微软Windows、苹果OS、苹果iOS、谷歌安卓、Windows服务器等等以及被适配成用于将特定操作***(包括定制和专用操作***)的执行虚拟化的虚拟机。
此外,网关、端点设备、网络设备和计算设备可各自包括一个或多个处理器、计算机可读存储器以及一个或多个接口,除其他特征和硬件之外。服务器可包括任何合适的软件组件或模块或能够主存和/或服务软件应用和服务(包括利用数据管理***105所管理的数据的分布式、企业或基于云的软件应用、数据和服务,除其他示例之外)的计算设备。此外,在某些实现方式中,服务器可被配置成用于主存、服务、或以其他方式管理与其他服务和设备接口连接、协调或独立于其或由其使用的模型和数据结构、数据集、软件服务和应用。在某些情况下,服务器、***、子***或计算设备可被实现为可主存在相同的计算***、服务器、服务器池或云计算环境上并且共享计算资源(包括共享存储器、处理器和接口)的设备的某种组合。
转向图3,简化框图示出了示例媒体网关205,诸如用于在包括各种不同的能够消耗来自媒体网络210的媒体内容流的端点设备(例如,225、230、250)的家庭网络中使用的媒体网关。在一个示例实现方式中,媒体网关205可包括一个或多个处理器设备(例如,305)、存储器元件(例如,310)和用于提供媒体网关205的各种功能的各种硬件、软件和固件组件。在一个示例中,媒体网关205可包括如下组件:调谐器解调器315、M卡或有线卡(CableCARD)模块(例如,320)、受保护存储器管理器325、受保护存储器330、安全加密控制器(SEC)340、媒体记录器***(诸如数字视频记录器(DVR)345)、转码器350、数字权限管理引擎355、一个或多个网络接口(例如,360),等等。
在某些情况下,可在单个芯片组、子***或其他设备上提供媒体网关的各种组件,同时在媒体网关205的其他设备、芯片或子***上提供其他组件。在某些情况下,各种供货商、OEM或其他提供商可制造并提供媒体网关205的各种组件。组件可通过总线、互连、链路和其他传输介质与其他组件通信。数字权限管理可以是重要的考虑因素,然而,因为媒体网络210所提供的媒体流可能服从许可和商业模型,该许可和商业模型用于限制对通过媒体网络210向授权订户提供的媒体内容和服务的访问。
来自媒体网络210的数据流的各部分的在媒体网关205的各个组件之间的通信可潜在地将许可内容暴露给窃听以及能够被用来(例如,在互连、总线等等的管脚处)获得对受保护或受限内容的未授权访问的其他机制。因此,在某些实现方式中,可向媒体网关用于提供确保明文内容不在组件之间通信而是仅出现在媒体网关205的受保护存储器区域内的信任数据路径的组件和协议。这可涉及定义有待跨信任数据路径用于当内容通过媒体网关205的组件、主机可访问的存储器(或随机存取存储器(RAM))和其他潜在地易受攻击的区域之间时加密内容的各种加密密钥和方案。
转向图4,简化框图示出了在媒体网关205的示例实现方式内定义的信任数据路径的一个示例。在某些实现方式中,可在片上***(SOC)架构405上体现媒体网关的某些组件。SOC组件和在SOC外部(例如,在媒体网关内的其他芯片或硬件上)实现的其他组件之间的受保护数据流的传输可被要求加密。例如,在一个示例中,M卡模块320可被设置为可接受与特定订户账户相关联的M卡。M卡模块320可包括主存存储用于对来自媒体网络的加扰数字有线信号进行解锁的订户信息和代码(例如,解密密钥)的物理计算机可读卡(例如,M卡)。在一个示例中,可在传输流(TS)处理块420和M卡模块320之间协商允许加密地并且受保护地将使用M卡模块解扰的内容发送到TS处理块420的内容保护(CP)密钥(诸如DiffieHellman(DH)密钥)。TS处理块420可包括用于进一步准备媒体流以便传送到一个或多个端点设备的一个或多个组件处理功能。例如,TS处理块420可包括用于确保SOC和外部组件之间的内容加密以及管理在加密中使用的密钥的安全处理能力,等等。实际上,应当认识到尽管在此描述的若干示例讨论了转码器和SOC之间的链路保护,这些原理可潜在地用于保护两个设备之间的任何链路,诸如在其中有待以规定的间隔刷新加密密钥的情况下。
继续图4的示例,在某些实现方式中,转码器350可被设置为用于将数据流转换为多个不同的格式以便由多个潜在的不同的端点设备使用。作为示例,转码器350可接收各种不同的内容格式。例如,转码器350可将包括具有AC3音频的MPEG2视频的内容转换为具有AAC-LC音频的H.264,等等。转码器350可进一步改变内容的帧率、图片大小、分辨率和其他属性,例如从1080p 60fps改变到720p 30fps或某个其他值,如目标呈现设备(例如,智能电话、平板计算机、电视等等)所期望的。当转码数据流时,经转码的数据可被提供给配置有一个或多个网络接口的媒体服务器块410以便通过一个或多个通信通道(包括有线和无线通信通道)将经转码的内容和服务传送给一个或多个不同的端点设备。
在某些实现方式中,转码器可涉及通过一个或多个链路将数据从一个组件(例如,TS处理块420)传输到转码器350或者从转码器350传输到另一个组件(例如,媒体服务器410)。因此,去往和来自这种转码器350的流可在链路上加密以便保护数据免于未授权侦听和使用。例如,可促成高级加密标准(AES)密钥交换并且AES密钥可用于加密和解密从TS处理块420到转码器350以及从转码器350到媒体服务器410(例如,使用另一个AES密钥)的数据。
转向图5,简化框图示出了通过媒体网关的各个组件来自媒体网络的数据流505(诸如包括正交振幅调制(QAM)信号的流505)的更详细的流程。在图5的特定示例中,片上***(SOC)405可拥有接收并解调数据流505的信号的调谐器解调器315。可通过有线上数据服务接口510在将其提供给M卡或卡有线模块320之前将经解调的信号提供给一个或多个视频预过滤器520、有线复用器525和其他预处理组件。在本示例中,因为M卡模块320位于SOC外部,所以可通过对SOC和M卡320之间的通道进行加密来保护经处理流的传输并且可同样加密离开M卡模块320的流数据,从而使得该数据不会明文地呈现在链路上或SOC 405或M卡模块320架构的管脚处。
继续图5的示例,流数据可位于受保护存储器330(位于SOC内部或外部)中并且可进一步进展到安全加密控制器340以便当信号传递到并来自转码器350时对信号的加密和解密进行管理。在本示例中,可与SOC 405分开地提供转码器350。安全加密控制器340可进一步管理位于DVR 345中的媒体的加密和解密,包括作为媒体网关的***设备提供的DVR服务。解密模块530可解密位于受保护存储器330中的数据(如结合去往和来自M卡模块320的传输加密的)并且进一步将经解密的流提供给安全加密控制器340。安全加密控制器340可应用不同的密钥和加密方案以便对传输到转码器350的流进行加密(例如,使用加密模块540)。安全加密控制器340可进一步用转码器350通信并同步有待在加密方案中使用的密钥。在一个示例中,AES加密密钥可用于加密并解密在SOC 405和转码器350之间传输的数据(在某些情况下,通过SOC的转码器代理550),等等。安全加密控制器340可解密从转码器350接收的经转码的流(例如,使用解密模块555)并且使用用于加密将通过媒体服务器接口565提供的流535的又一个加密密钥或方案对流进行重新加密(例如,使用加密模块560)以便在由网关所服务的各个端点设备处解密并使用。在其他实现方式中,可使用其他示例架构、组件、路径和加密方案等等,等等。
在示例安全加密控制器340和转码器350之间的加密的情况下,在加密中使用的密钥可以是会话密钥。此外,可在会话期间频繁地更新或刷新会话密钥(例如,至少每隔10秒一次)以便阻止任何一个密钥被监听和用来损害SOC和转码器之间的通道的安全性。在一个示例实现方式中,SOC和转码器可被制造以便共享公共秘密,该公共秘密允许相同的媒体网关内的设备安全地协调有待在SOC和转码器之间的路径的加密中使用的会话密钥。在一个实现方式中,公共秘密可以是嵌入在SOC和转码器每一个的硬件中的唯一消息加密密钥(MEK)。MEK可独立于媒体网关所使用的任何其他密钥,诸如用于解密媒体网络所接收的内容的证书权限密钥。此外,例如,使用安全加密控制器340的SOC可生成会话密钥以便加密在SOC和转码器之间通信的媒体数据流。在某些实现方式中,会话密钥可以是随机密码加扰密钥(CSK)。此外,可使用MEK加密会话密钥并且通过可靠的边带通道(诸如TCP边带通道)将其传输到转码器。可在安全制造环境中供应MEK并且MEK的使用可仅限于加密有待在SOC和转码器之间使用的会话密钥。在某些情况下,可在会话中使用之前对MEK进行认证,以便确认MEK是在制造时预设的并且是安全的。
可在SOC和转码器之间提供用于传输内容的主要通道。该通道可容忍偶尔的分组损耗和乱序(OOO)接收。在某些实现方式中,用于主要通道的传输协议可具有低开销并且允许并发地支持四个或更多个流。这些流各自可具有相应的会话密钥(或会话密钥对)。在一个示例中,带内通道可以是UDP通道。
在某些实现方式中,可成对地提供会话密钥。该对中的一个密钥可被指定为加密内容以便在SOC和转码器之间的路径上发送,并且另一个密钥可用于解密经加密的内容,除其他可能的示例之外。实际上,会话密钥对可被认为提供两个角色:第一个密钥用于加密从受保护存储器区域到主机可访问的存储器的内容,而另一个密钥用于解密从主机可访问的存储器到受保护存储器的内容。会话密钥对可由安全加密控制器生成并且在单次加密(例如,使用MEK)中通过边带通道从SOC发送到转码器。
在某些实现方式中,安全加密控制器和转码器可被配置成用于支持乱序分组的加密以及特定会话内的会话密钥的刷新。在某些实现方式中,安全加密控制器(以及SOC)和转码器可将安全加密控制器和转码器所使用的会话密钥的刷新与转码器和SOC之间的内容传输同步。例如,内容的加密和发送可同步或以其他方式定时(例如,延迟)以便与发送传达将在刷新之后使用的下一个会话密钥的经加密的配置结构重合。在其他情况下,密钥刷新结构可被设置为可被嵌入在经加密的流中以便指示在转码会话中使用的潜在地多个会话密钥中的哪一个被用在流的加密中。此外,密钥刷新结构可用于标识哪一个相应的会话密钥用于解密传入的经加密的内容数据。
在媒体网关的实现方式中,可支持大的缓冲器大小以便鼓励高带宽媒体内容的更好的性能和传送。每一个缓冲器可用单个密钥加密以便简化流程并改善总体性能。此外,可实现小的缓冲器头足迹和开销以便进一步增强这些和其他示例优点。
在某些实现方式中,可定义协议(诸如以上介绍的协议)以便在总体转码会话命令和控制的上下文中将基于会话的加密/解密密钥从SOC主机处理器传送到转码器处理器。在某些实现方式中,基本的套接字级别通信可通过转码供货商抽象层来助益。可在安全加密控制器处理器中为将向转码器和从转码器传送的带内和带外内容数据生成会话密钥以便处理。这种会话密钥可被通过由相互密钥(例如,MEK)加密并且通过基于TCP的带外套接字通信的安全配置数据结构通信到转码器。此外,可生成密钥刷新结构以便辅助管理在转码会话期间活跃的潜在多个会话密钥(例如,为了解释会话密钥刷新的乱序分组和异步管理等等)。密钥刷新结构可包括被呈现为明文并预附(prepend)到每个经加密的数据缓冲器的开头部分的数据。密钥刷新结构可标识将应用于经加密的数据缓冲器的会话密钥对,指示安全加密控制器已知的一个或多个密钥标识符并且标识先前通信的会话密钥之一。因此,可允许安全配置结构和带内数据流的通信不是同步的,因为密钥刷新结构中的密钥标识符或序列号有效地提供同步以便确保使用正确的密钥。
在某些实现方式中,安全配置结构可被作为用于转码会话的会话设置的一部分发送。在某些实现方式中,针对每一个转码会话,至少加密/解密密钥的先前(并且在某些情况下,更多先前版本)和当前版本可由安全加密控制器和转码器两者保持以便容纳通过带内(例如,UDP)套接字的数据缓冲器的乱序传送。针对在这种情况下的转码器,密钥刷新信令(例如,经由密钥刷新结构)可同时应用于带内数据流和带外数据流两者。安全加密控制器可不仅负责会话密钥生成还负责发起并管理到内容数据流的密钥刷新结构***。这可在将最终数据缓冲器写入套接字之前完成等等。
现在转向图6,示出了示出用于通信并同步在示例安全加密控制器340和转码器350之间交换的经加密内容的处理器原子605的特定实现方式。原子605可包括应用和中间件栈610、安全加密控制器(SEC)库615、密钥刷新库630、转码器库620以及SEC内核驱动程序625(除未显示地结合图6示出或描述的潜在地其他组件之外)。
安全加密控制器340(例如,SOC的)和转码器之间的链路保护可至少部分地由通过SEC库615、密钥刷新库630和转码器库620指定的接口实现。应用和中间件栈610的软件可结合这种链路保护来使用库615、620、630。总体上,原子605可使用这些库来促成经加密的内容流与安全配置结构(以及所包括的会话密钥)在安全加密控制器340与转码器350之间的通信并且管理结合涉及安全加密控制器340和转码器350之间的通信的转码会话使用的密钥刷新结构和值的使用。
在一个实现方式中,密钥刷新库630可提供一个或多个功能以便致使生成CSK会话密钥(例如,由安全加密控制器340响应于应用和中间件栈610中的软件的调用)。可生成包括两个密钥的会话密钥对,一个加密/解密从SOC发送到转码器的内容,第二个用于加密/解密从转码器发送到SOC的内容。可定义策略以便确定是否将在安全加密控制器340和转码器350中的每一个处维护先前的会话密钥对以及维护多少以便支持乱序内容分组等等。在一个示例中,SEC库615可提供这些功能以便在安全加密控制器340处用会话密钥发起内容的加密和解密。转码器库620可提供这些功能以便将经加密的会话密钥提供给转码器。此外,其可提供在SOC和转码器之间交换经加密的内容的功能,等等。
转码会话(以及会话的加密)可至少部分地由软件控制并且这些库可提供软件和安全加密控制器340以及转码器350之间的API。例如,可对安全加密控制器进行密钥刷新API调用以便致使生成新的会话密钥。这些会话密钥(即,一个用于加密/解密从安全加密控制器340到转码器305的数据,另一个用于加密/解密从转码器340到安全加密控制器340的数据)可由安全加密控制器340生成并且由MEK在安全加密控制器340处加密。安全加密控制器340可将新的经加密的会话密钥返回给原子605并且原子可使用密钥刷新库630和应用中间件栈610为密钥对分配单个标识符或者可替代地为每个单独的密钥分配对应的标识符。在某些情况下,密钥标识符可以是增量值,其中每个密钥刷新致使密钥标识加一。在其他情况下,用于生成密钥标识符的算法可遵循更复杂的方案,该算法对安全加密控制器340和转码器350已知。在生成不那么可预测的标识符(至少为外部组件)的算法的情况下,后续密钥标识符的生成和分配可以是确定性的,因为安全加密控制器340和转码器各自能够为在会话期间或者可替代地在安全加密控制器340和转码器350的生命周期期间生成的每个新的会话密钥导出或预期特定的会话标识符,等等。
安全加密控制器340和转码器350各自可维护会话密钥标识符到相应的会话密钥的映射。当使用这些会话密钥之一对内容进行加密时,所缓冲的内容数据可预付有标识用于加密该内容的会话密钥的密钥刷新结构。在加密之前,安全加密控制器340或转码器350可标识当前活跃的会话密钥并且使用该活跃的会话密钥加密带外数据,经加密的数据预附有相应的密钥刷新结构。在其中在接收到使用先前会话密钥加密的数据之前已经发生会话密钥刷新的情况下,接收方(例如,或者安全加密控制器340或者转码器350)仍可标识所接收到的数据是使用先前会话密钥(例如,来自包括在所接收到的数据中的密钥刷新结构)加密的并且访问先前会话密钥来解密所接收到的数据。
转向图7,在某些实现方式中,安全加密控制器340或转码器350可缓冲将发送的内容流数据并且当受保护的存储器缓冲器满时(或者当另一次触发时),安全加密控制器340或转码器350可调用会话ID函数以便为缓冲器分配(或接收其分配)会话密钥标识符。设备(例如,340、350)可用相应的会话密钥加密明文数据并且用会话密钥标识符编码流出的缓冲器头(例如,或者实现刷新密钥结构的另一个字段)。经加密的缓冲器和密钥刷新结构可然后被发送到另一个设备。接收设备可标识来自密钥刷新结构的会话密钥并且标识相应的(先前预测的)会话密钥以便用于解密缓冲器。
如图7所示,可通过UDP套接字用所包括的密钥刷新结构(例如,705、710)在转码器350和安全加密控制器340之间发送转码器流(TS)分组。可在转码会话过期程间初始化并刷新会话密钥(例如,CSK)。安全加密控制器340可周期性地生成新的会话密钥以便替换在会话中使用的先前的会话密钥并且在安全配置结构中(例如,在715)或者在包括由相同的秘密或密钥(诸如MEK)加密的会话密钥的其他消息或结构中发送新的会话密钥。
在一个实现方式中,会话密钥刷新可发生在缓冲器边界。可在发送设备的受保护存储器内的安全加密控制器340或转码器350(例如,发送设备)的缓冲器中收集明文内容流分组。可采用大的缓冲器(例如,缓冲器64KB或更大)并且在可能时可用不同的会话密钥加密每个这种缓冲器。第一会话密钥可用于成块地加密缓冲器并且明文密钥刷新头(例如,705)可预附到经加密的缓冲器以便标识第一会话密钥。在填充或以其他方式触发下一个这种缓冲器的发送之前,可进行调用(例如,对基于媒体网关的原子的基于软件的控制器或库)以便发起由安全加密控制器340生成下一个会话密钥。下一个会话密钥标识符可被分配给下一个会话密钥并且下一个会话密钥可用于加密有待发送到接收设备的下一个缓冲器(例如,安全加密控制器340或转码器350,根据具体情况)。当加密时,可将下一个缓冲器与标识下一个会话密钥的相应的密钥刷新结构一起发送等等,直到转码会话完成。在某些情况下,发起新的会话密钥和会话密钥标识符可由安全加密控制器340驱动。在其他情况下,原子中的基于软件的控制器可在每次其在安全加密控制器340和转码器350之间转发经加密的缓冲器时提供例如标识将生成的新的会话ID的这种功能。
在某些实现方式中,安全加密控制器340所生成的会话密钥可以是16字节AES密钥。在某些实现方式中,会话密钥标识符可被实现为用于使密钥和经加密的内容同步的4字未节签名的整数密钥序列号。例如,在一个示例中,会话密钥标识符可包括在每次***引导时间以0值开始的密钥序列号。密钥序列值可在每次调用密钥刷新函数之前加一。换言之,在引导之后传递到转码器的第一密钥序列号是1,序列号从OxFFFFFFFF包绕到0x00000000。
此外,安全加密控制器内部密钥存储器内的标志(或者在转码器的情况下,转码器的内部密钥存储器)可指定密钥是带外还是带内密钥。此外,在一个示例实现方式中,可为每个内容通道维护四个密钥,为加密维护两个并且为解密维护两个(例如,当前密钥和先前密钥或者可替代地当前密钥和后续密钥(例如,在刷新与缓冲器边界重合的情况下)),等等。
在一个示例中,基于软件的原子控制器可生成会话密钥标识符。会话密钥标识符可包括在原子进行的安全加密控制器API调用中以便加密缓冲器或解密缓冲器并且可例如通过密钥刷新结构向传出缓冲器预附会话密钥标识符。基于原子的控制器可进一步控制所发送和接收的缓冲器的处理,包括决定将使用哪些会话密钥以及将密钥刷新结构预附到传出缓冲器上并且在某些情况下将密钥刷新结构从传入缓冲器移除。转码器350使用其从原子控制器接收的当前活跃“会话密钥ID”在返回缓冲器上生成密钥刷新结构(例如,710)。原子控制器可标识哪些会话密钥被用于加密每个缓冲器,因为其负责通过调用SEC API发起加密并且每当其这样做时指定使用哪个密钥。实际上,用于解密从转码器350接收的缓冲器的会话密钥由从转码器返回的密钥刷新结构(例如,710)标识,并且原子控制器可使用其来在将由安全加密控制器执行的由原子控制器所请求的缓冲器解密中标识将由安全加密控制器使用的(经由相应的安全加密控制器API)相应的会话密钥,等等。
转向图8A-8B,示出了展示结合连接片上***(SOC)和转码器的媒体网关链路的保护的示例技术的流程图800a-b。例如,可在设备(例如安全加密控制器)上提供逻辑以便标识805将在有待从一个设备(例如,SOC)发送到另一个设备(例如,转码器)的数据(诸如媒体内容分组束)的加密中使用的特定会话密钥。特定会话密钥可以是由与第二设备处于会话中的第一设备所维护的多个会话密钥之一。该多个会话密钥中的至少某些可以是可潜在地在密钥刷新已经发生之后仍应用于用旧密钥加密的一个或多个乱序分组。因此,可维护旧会话密钥的拷贝持续某个时间段以便处理这种乱序分组,等等。可使用特定的会话密钥加密810特定的内容(诸如多个分组)并且该内容可被致使815发送到第二设备(例如,通过一个或多个接口或者使用一个或多个库)。经加密的内容可包括标识到第二设备的特定会话密钥的明文密钥刷新结构以便辅助第二设备标识哪些会话密钥将用于解密内容。会话密钥可频繁地例如在每次传输经加密的传输之后刷新。可标识820并处理会话密钥刷新,从而使得第一和第二设备能够导出或以其他方式标识在刷新中生成的新会话密钥的公知的标识符。标识会话密钥刷新可包括接收新的会话密钥、调用以便生成新的会话密钥(例如,从原子控制器),等等。用新会话密钥加密的内容可包括标识分配给新会话密钥的并且对会话中的设备已知的相应的标识符的密钥刷新结构。
转向图8B,可从另一个设备接收830经加密的数据并且经加密的数据可包括明文密钥刷新结构。在某些实现方式中,密钥刷新结构可包括预附到经加密的数据的数据。密钥刷新结构可标识用于解密数据(或者将用于解密数据)的密钥(或密钥对)并且接收设备可标识835用于解密来自密钥刷新结构的数据的密钥。密钥可以是可潜在地应用于在第一和第二设备之间传输的数据的多个活跃密钥之一,包括用于在密钥刷新之后加密乱序分组的“旧”密钥。可使用所标识的密钥解密840数据。还可例如响应于接收到将在会话中使用的并且通过边带通道接收的新会话密钥或密钥对标识845并管理后续密钥刷新,等等。
转向图9,示出了根据本发明的实施例的示例性计算***900的框图。如图9所示,多处理器***900是点到点互连***,并包括经由点到点互连950耦合的第一处理器970和第二处理器980。处理器970和980中的每一个都可以是处理器的某一版本。在一个实施例中,952和954是串行点到点一致互连构造(英特尔快速路径互连(QPI)架构)的一部分。结果是,可在QPI架构中实现本发明。
尽管仅示出了两个处理器970、980,应当理解的是本发明的范围不限于此。在其他实施例中,一个或多个附加处理器可存在于给定的处理器中。
处理器970和980被示为分别包括集成存储器控制器(IMC)单元972和982。处理器970还包括作为其总线控制器单元的一部分的点到点(P-P)接口976和978;类似地,第二处理器980包括P-P接口986和988。处理器970、980可以使用点到点(P-P)电路978、988经由P-P接口950来交换信息。如图9所示,MC 972和982将处理器耦合到对应的存储器,即,存储器932和存储器934,其可以是本地地附接到对应的处理器的主存储器的多个部分。
处理器970、980可各自经由使用点到点接口电路976、994、986、998的各个P-P接口952、954与芯片组498交换信息。芯片组990还经由接口电路992沿着高性能或其他互连939与其他设备(例如,938)(诸如位于芯片组远程的设备)交换信息。
共享高速缓存(未示出)可以被包括在任一处理器之内,或被包括在两个处理器外部但仍经由P-P互连与这些处理器连接,从而如果将某处理器置于低功率模式时,可将任一处理器或两个处理器的本地高速缓存信息存储在该共享高速缓存中。
芯片组990可经由接口996耦合至第一总线916。在一个实施例中,第一总线916可以是***组件互连(PCI)总线,或诸如PCI Express总线或其他第三代I/O互连总线之类的总线,但本发明的范围并不受此限制。
如图9所示,各种I/O设备914可以连同总线桥918耦合到第一总线916,总线桥418将第一总线916耦合至第二总线920。在一个实施例中,第二总线920包括低引脚数(LPC)总线。在一个实施例中,各种设备耦合至第二总线920,包括例如通信设备927以及诸如经常包括指令/代码和数据930的盘驱动器或其他大容量存储设备的存储单元930。注意,其他架构是可能的,其中预期的组件和互连架构不同。例如,不是图9的点到点架构,***可实现多点总线或其他这种架构。此外,应当认识到,已经仅通过举例提供了图9的***并且应当认识到可反而在媒体网关中利用任何多种其他计算***和计算机***架构和平台或者用于在此描述的任何原理。
尽管已经针对有限数量的实施例描述了本发明,本领域技术人员将认识到从其延伸的多种修改和变形。旨在所附权利要求书涵盖所有这种修改和变形,落入本发明的真实精神和范围中。
设计可经历各种阶段,从创造到模拟到制造。表示设计的数据可以用许多方式表示该设计。首先,如在模拟时有用,可使用硬件描述语言或另一种功能描述语言表示硬件。此外,可在设计过程的某些阶段生产具有逻辑核/或晶体管门的电路级别模型。此外,在某些阶段,大多数设计到达表示硬件模型中的各种设备的物理放置的数据级别。在其中使用常规的半导体制造技术的情况中,表示硬件模型的数据可以是为用于生成集成电路的掩膜指定不同掩膜层上的各种特征的存在或不存在。在设计的任何表示中,数据可存储在任何形式的非瞬态机器可读介质中。存储器或磁或光存储设备(诸如盘)可以是用于存储经由光或电波调制的或以其他方式生成以便传输这种信息的机器可读介质。当传输指示或携带这种代码或设计的电载波时,在执行电信号的拷贝、缓冲或重传的程度上,进行新的拷贝。因此,通信提供商或网络提供商可至少临时地存储在采用本发明的实施例的技术有形的机器可读介质、物件上,诸如编码到载波中的信息。
如在此使用的模块是指硬件、软件和/或固件的任何组合。
作为示例,模块包括与用于存储被适配为由微控制器执行的代码的非瞬态介质的硬件。因此,在一个实施例中,对模块的引用是指被特定地配置成用于识别和/或执行有待在非瞬态介质上保持的代码的硬件。此外,在另一个实施例中,使用模块是指包括被特定地适配成用于由微控制器执行以便执行预定操作的代码的非瞬态介质。并且如可推断出的,在仍另一个实施例中,术语模块(在本示例中)可以指微控制器与非瞬态介质的组合。经常,被示出为分离的模块边界通常变化并且可能重叠。例如,第一和第二模块可共享硬件、固件或其组合,同时可能保持某些独立的硬件、软件或固件。在一个实施例中,使用术语逻辑包括硬件(诸如晶体管、寄存器或其他硬件(诸如可编程逻辑器件))。
在一个实施例中,使用短语‘用于’或‘被配置成用于’是指安排、放在一起、制造、提供以便销售、导入和/或设计装置、硬件、逻辑或元件以便执行指定的或确定的任务。在本示例中,未在操作的装置或其元件仍“被配置成用于”执行指定的任务,如果其被设计、耦合和/或互连以便执行所述指定的任务。作为纯说明性示例,逻辑门可在操作期间提供0或1。但是,‘被配置成用于’向时钟提供使能信号的逻辑门不包括可提供1或0的每个可能的逻辑门。而是,逻辑门是以某种方式耦合的逻辑门,在操作期间,1或0输出用于使能时钟。再次注意,使用术语“被配置成用于”不要求操作,而是反而集中在装置、硬件和/或元件的潜在状态,在潜在状态中,装置、硬件和/或元件被设计成用于当装置、硬件和/或元件操作时执行特定任务。
此外,在一个实施例中,使用短语“能够/用于”和/或“可操作以便用于”是指某个装置、逻辑、硬件和/或元件被设计的方式为使得使能以指定的方式使用装置、逻辑、硬件和/或元件。注意上述,在一个实施例中,使用用于、能够用于或可操作用于是指装置、逻辑、硬件和/或元件的潜在状态,其中该装置、逻辑、硬件和/或元件未在操作但是被设计的方式为使得以指定的方式使用装置。
如在此所使用的,值包括数字、状态、逻辑状态或二进制逻辑状态的任何已知表示。经常,使用逻辑电平、逻辑值或逻辑值页被称为1和0,其仅表示二进制逻辑状态。例如,1是指高逻辑电平而0是指低逻辑电平。在一个实施例中,存储单元(诸如晶体管或闪存单元)可以能够保持单个逻辑值或多个逻辑值。然而,已经使用计算机***中的其他值表示。例如,十进制数还可被表示为1010的二进制值和十六进制字母A。因此,值包括能够被保持在计算机***中的信息的任何表示。
而且,状态可由值或值的各部分表示。作为示例,第一值(诸如逻辑一)可表示默认值或初始值,而第二值(诸如逻辑零)可表示非默认状态。此外,在一个实施例中,术语复位和设置分别是指默认和经更新的值或状态。例如,默认值可能包括高逻辑值,即,复位,而经更新的值可能包括低逻辑值,即,设置。注意,任何值组合可用于表示任何数量的状态。
上述方法、硬件、软件、固件或代码的实施例可经由存储在由处理元件执行的机器可访问、机器可读、计算机可访问、或计算机可读机制上的指令或代码实现。非瞬态机器可访问/可读介质包括提供(即,存储和/或传输)机器(诸如计算机或电子***)可读形式的信息。例如,非瞬态机器可访问介质包括随机存取存储器(RAM),诸如静态RAM(SRAM)或动态RAM(DRAM);ROM;磁或光存储介质;闪存存储器设备;电存储设备;光存储设备;声存储设备;其他形式的用于保持从瞬态(传播)信号(例如,载波、红外信号、数字信号)接收的信息的存储设备;等等,这些有待与可从其接收信息的非瞬态介质区分。
用于编码逻辑以便执行本发明的实施例的指令可存储在***中的存储器中,诸如DRAM、高速缓存、闪存存储器或其他存储设备。此外,指令可经由网络或通过其他计算机可读介质分布。因此,机器可读介质可包括用于存储或传输机器(例如,计算机)可读形式的信息,但不限于在通过互联网经由电、光、声或其他形式的传播信号(例如,载波、红外信号、数字信号等等)传输信息时使用的软盘、光盘、致密盘只读存储器(CD-ROM)和磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、磁或光卡、闪存存储器或有形的机器可读存储设备。因此,计算机可读介质包括适用于存储或传输机器(例如,计算机)可读形式的电子指令或信息的任何类型的有形计算机可读介质。
以下示例涉及根据本说明书的实施例。一个或多个实施例可提供一种装置、***、机器可读存储设备、机器可读介质以及方法用于:提供加密逻辑以便标识特定会话密钥,其中该特定会话密钥是用于加密有待从第一设备发送的内容的多个会话密钥之一,以及用该特定会话密钥加密特内容以便获得经加密的特定内容。还可提供致使用密钥刷新结构发送该特定内容的I/O逻辑,其中该密钥刷新结构用于标识该特定会话密钥层曾用于加密该特定内容。
一个或多个示例可进一步提供加密逻辑进一步用于标识该特定会话密钥的刷新,其中,该刷新包括为该第一和第二设备之间的会话标识新会话密钥,以及使用该新会话密钥加密将发送到该第二设备的后续内容。
在至少一个示例中,该新会话密钥与该第一和第二设备两者可访问的新标识符相关联。
一个或多个示例可进一步提供该加密逻辑用于生成该特定会话密钥,其中该特定会话密钥将与可向第一和第二设备中的每一个标识的并且包括在该密钥刷新结构中的特定密钥标识符相关联。
一个或多个示例可进一步提供该加密逻辑用于使用该第一和第二设备共享的加密密钥加密该特定会话密钥;并且I/O逻辑进一步用于致使该经加密的特定会话密钥被发送给该第二设备。
在至少一个示例中,该加密密钥在制造时被预设在该第一和第二设备中的每一个上。
在至少一个示例中,该经加密的特定会话密钥有待被通过边带通道发送到该第二设备。
在至少一个示例中,该第二设备包括媒体网关设备的转码器。
在至少一个示例中,该密钥刷新结构将被预附到特定内容。
一个或多个实施例可提供一种装置、***、机器可读存储设备、机器可读介质和方法用于:提供解密逻辑以便接收经加密的分组集合和与该经加密的分组集合相关联的密钥刷新结构,从该密钥刷新结构标识被指定用于加密在第一设备和第二设备之间的发送的内容的多个会话密钥中的一个特定的会话密钥,以及用该特定的会话密钥解密该经加密的分组集合。
一个或多个示例可进一步提供转码器逻辑,其中该内容包括媒体内容,并且该转码器逻辑用于对该经解密的媒体内容进行转码。
一个或多个示例可进一步提供加密逻辑用于使用该多个会话密钥之一加密该经转码的媒体内容,其中该经加密的经转码的媒体内容将发送到具有用于标识用于加密该经转码的媒体内容的该会话密钥的相应的密钥刷新结构的第一设备。
在至少一个示例中,用于加密该经转码的媒体内容的该会话密钥不同于该特定会话密钥。
在至少一个示例中,该不同的会话密钥和特定会话密钥包括在相关联的会话密钥对中。
在至少一个示例中,该不同的会话密钥包括在第二会话密钥对中并且该特定会话密钥包括在不同的第一会话密钥对中。
一个或多个示例可进一步提供解密逻辑用于标识包括在该第一会话密钥对中的第一会话密钥的刷新,其中该刷新包括接收该第二会话密钥对。
在至少一个示例中,该第一和第二会话密钥对两者有待被维护至少直至该第二会话密钥对中的会话密钥的后续刷新。
在至少一个示例中,该第二会话密钥对将从该第一设备接收并且将使用该第一设备和该转码器共享的加密密钥加密地发送。
一个或多个实施例可提供一种装置、***、机器可读存储设备、机器可读介质和方法用于:I/O逻辑用于请求生成至少一个新会话密钥从而用于加密处于会话中的第一设备和第二设备之间的内容,为该新会话密钥分配密钥标识符,其中该新会话密钥是将由处于该会话中的该第一和第二设备使用的多个会话密钥之一并且该多个会话密钥各自将与对应的密钥标识符相关联。I/O逻辑可进一步致使使用该新会话密钥加密分组集合,以及将该经加密的分组集合从该第一设备发送到该第二设备,其中发送该分组集合包括生成将包括该经加密的分组集合和该第一设备使用该新会话密钥加密该分组集合的身份的密钥刷新结构。
如权利要求19所述的装置,其中,分配该密钥标识符包括标识在前会话密钥的特定密钥标识符并且根据标识方案确定接下来的密钥标识符,并且该接下来的密钥标识符是该新会话密钥的该密钥标识符。
如权利要求20所述的装置,其中,该接下来的密钥标识符将通过将该特定密钥标识符增量来确定。
如权利要求19所述的装置,其中,该I/O逻辑进一步用于向该第二设备提供标识该密钥标识符到该新会话密钥的该分配的数据。
一个或多个实施例可提供一种装置、***、机器可读存储设备、机器可读介质和方法用于:提供包括片上***的媒体网关以便为内容分组服务、用于对该内容分组进行转码的转码器以及安全加密控制器。该安全加密控制器可在该转码器和片上***之间的会话期间生成多个会话密钥,其中多个内容分组集合有待在该转码器和片上***之间发送,每一内容分组集合将由该多个会话密钥中的一个对应的会话密钥加密,并且每一经加密的内容分组集合将被发送以便包括标识用于加密该内容分组集合的该对应的会话密钥的密钥刷新结构。
一个或多个实施例可进一步提供安全加密控制器,该安全加密控制器包括在该片上***上并且进一步用于使用该多个会话密钥加密从该片上***发送到该转码器的内容分组集合,以及使用该多个会话密钥加密从该转码器发送到该片上***的内容分组集合。
在至少一个示例中,该媒体网关进一步包括密钥管理逻辑,该密钥管理逻辑用于管理在该会话期间使用的会话密钥的刷新,其中刷新用于用新的会话密钥集合替换该转码器和片上***所使用的先前会话密钥集合,该先前和新的会话密钥集合中的每个密钥具有相关联的密钥标识符,并且该转码器和片上***用于维护该先前会话密钥集合和该新的会话密钥集合至少直到刷新该新的会话密钥集合。
在至少一个示例中,该密钥管理逻辑用于为所述转码器标识会话密钥和相应的会话标识符之间的关联性。
在至少一个示例中,每个会话密钥集合包括供该片上***用来加密将发送到该转码器的内容分组以及供该转码器用来解密从该片上***接收的经加密的分组的对应的片上***密钥,以及供该转码器用来加密有待发送到该片上***的经转码的内容分组以及供该片上***用来解密从该转码器接收的净加密的分组的对应的转码器会话密钥。
贯穿本说明书对“一个实施例”、“实施例”、“一个示例”、“一个实例”等等的引用是指在此结合该实施例所描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,贯穿本说明书,短语“在一个实施例中”或“在实施例中”等等在各种地方的出现并非必须全部指代相同的实施例。而且,特定特征、结构或特性可在一个或多个实施例中以任意适当的方式组合。
在前述说明书中,已经参照特定示例性实施例给出了详细描述明。然而,将明显的是可对其作出各种修改和改变而不背离在所附权利要求书中陈述的本发明的更宽泛的精神和范围。因此,将以说明性的意义而不是限制性的意义对待说明书和附图。此外,实施例和其他示例性语言的前述使用无需是指相同的实施例或相同的示例,而是可以指不同的且区别的实施例以及可能相同的实施例。
Claims (27)
1.一种装置,包括:
加密逻辑,用于
标识特定会话密钥,其中所述特定会话密钥是用于加密在第一设备和第二设备之间发送的内容的多个会话密钥中的一个;以及
用所述特定会话密钥加密特定内容;以及
I/O逻辑,用于
致使用密钥刷新结构向所述第二设备发送所述经加密的特定内容,其中所述密钥刷新结构用于标识所述特定会话密钥用于加密所述特定内容。
2.如权利要求1所述的装置,其特征在于,所述加密逻辑进一步用于:
标识所述特定会话密钥的刷新,其中所述刷新包括标识用于所述第一和第二设备之间的会话的新会话密钥;以及
使用所述新会话密钥来加密将发送到所述第二设备的后续内容。
3.如权利要求2所述的装置,其特征在于,所述新会话密钥与所述第一和第二设备两者能访问的新标识符相关联。
4.如权利要求1所述的装置,其特征在于,所述加密逻辑进一步用于生成所述特定会话密钥,其中所述特定会话密钥将与能向所述第一和第二设备中的每一个标识的并且包括在所述密钥刷新结构中的特定密钥标识符相关联。
5.如权利要求4所述的装置,其特征在于,所述加密逻辑进一步用于使用所述第一和第二设备共享的加密密钥加密所述特定会话密钥;以及
所述I/O逻辑进一步用于致使所述经加密的特定会话密钥被发送给所述第二设备。
6.如权利要求5所述的装置,其特征在于,在制造时将所述加密密钥预设在所述第一和第二设备中的每一个。
7.如权利要求5所述的装置,其特征在于,所述经加密的特定会话密钥将通过边带通道发送到所述第二设备。
8.如权利要求1所述的装置,其特征在于,所述第二设备包括媒体网关设备的转码器。
9.如权利要求1所述的装置,其特征在于,所述密钥刷新结构将被预附到特定内容。
10.一种装置,包括:
解密逻辑,用于
接收经加密的分组集合以及与所述经加密的分组集合相关联的密钥刷新结构;
从所述密钥刷新结构标识被指定用于加密在第一设备和第二设备之间发送的内容的多个会话密钥中的特定一个;以及
用所述特定会话密钥解密所述经加密的分组集合。
11.如权利要求10所述的装置,其特征在于,进一步包括转码器逻辑,其中所述内容包括媒体内容,并且所述转码器逻辑用于对所述经解密的媒体内容进行转码。
12.如权利要求11所述的装置,其特征在于,进一步包括加密逻辑,其用于使用所述多个会话密钥中的一个来加密所述经转码的媒体内容,其中所述经加密的经转码的媒体内容将被发送到具有用于相应的密钥刷新结构的第一设备,所述相应的密钥刷新结构用于标识用来加密所述经转码的媒体内容的所述会话密钥。
13.如权利要求12所述的装置,其特征在于,用于加密所述经转码的媒体内容的所述会话密钥不同于所述特定会话密钥。
14.如权利要求13所述的装置,其特征在于,所述不同的会话密钥和特定会话密钥被包括在相关联的会话密钥对中。
15.如权利要求13所述的装置,其特征在于,所述不同的会话密钥被包括在第二会话密钥对中,并且所述特定会话密钥被包括在不同的第一会话密钥对中。
16.如权利要求15所述的装置,其特征在于,所述解密逻辑进一步用于:
标识包括在所述第一会话密钥对中的第一会话密钥的刷新,其中所述刷新包括接收所述第二会话密钥对。
17.如权利要求16所述的装置,其特征在于,所述第一和第二会话密钥对两者将被维护至少直至所述第二会话密钥对中的会话密钥的后续刷新。
18.如权利要求17所述的装置,其特征在于,所述第二会话密钥对将从所述第一设备处接收并且将使用所述第一设备和所述转码器共享的加密密钥来加密地发送。
19.一种装置,包括:
I/O逻辑,用于
请求生成用于加密在会话中的第一设备和第二设备之间的内容的至少一个新会话密钥;
为所述新会话密钥分配密钥标识符,其中所述新会话密钥是将由在所述会话中的所述第一和第二设备使用的多个会话密钥中的一个并且所述多个会话密钥中的每一个将与对应的密钥标识符相关联;
致使使用所述新会话密钥加密分组集合;
将所述经加密的分组集合从所述第一设备发送到所述第二设备,其中发送所述分组集合包括生成将与所述经加密的分组集合一起被包括且标识所述第一设备使用所述新会话密钥加密所述分组集合的密钥刷新结构。
20.如权利要求19所述的装置,其特征在于,分配所述密钥标识符包括标识在前会话密钥的特定密钥标识符并且根据标识方案确定接下来的密钥标识符,并且所述接下来的密钥标识符是所述新会话密钥的所述密钥标识符。
21.如权利要求20所述的装置,其特征在于,所述接下来的密钥标识符将通过将所述特定密钥标识符增量来确定。
22.如权利要求19所述的装置,其特征在于,所述I/O逻辑进一步用于向所述第二设备提供标识所述密钥标识符到所述新会话密钥的分配的数据。
23.一种***,包括:
媒体网关,包括:
片上***,用于服务内容分组;
转码器,用于对所述内容分组进行转码;以及
安全加密控制器,用于在所述转码器和片上***之间的会话期间生成多个会话密钥,其中多个内容分组集合将在所述转码器和片上***之间发送,每一内容分组集合将由所述多个会话密钥中的对应一个来加密,并且每一经加密的内容分组集合将被发送以便包括标识用于加密所述内容分组集合的所述对应的会话密钥的密钥刷新结构。
24.如权利要求23所述的***,其特征在于,所述安全加密控制器被包括在所述片上***上并且进一步用于:
使用所述多个会话密钥加密从所述片上***发送到所述转码器的内容分组集合;以及
使用所述多个会话密钥解密从所述转码器发送到所述片上***的内容分组集合。
25.如权利要求23所述的***,其特征在于,所述媒体网关进一步包括密钥管理逻辑,用于:
管理在所述会话期间使用的会话密钥的刷新,其中刷新用于用新的会话密钥集合替换所述转码器和片上***所使用的先前会话密钥集合,所述先前和新的会话密钥集合中的每个密钥具有相关联的密钥标识符,并且所述转码器和片上***用于维护所述先前会话密钥集合和所述新的会话密钥集合至少直到所述新的会话密钥集合的刷新。
26.如权利要求25所述的***,其特征在于,所述密钥管理逻辑用于向所述转码器标识会话密钥和相应的会话标识符之间的关联性。
27.如权利要求25所述的***,其特征在于,每一会话密钥集合包括:
对应的片上***会话密钥,其供所述片上***用来加密将发送到所述转码器的内容分组并且供所述转码器用来解密从所述片上***接收的经加密的分组;以及
对应的转码器会话密钥,其供所述转码器用来加密将发送到所片上***的经转码的内容分组并且供所述片上***用来解密从所述转码器接收的经加密的分组。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/846,176 US9467425B2 (en) | 2013-03-18 | 2013-03-18 | Key refresh between trusted units |
| US13/846,176 | 2013-03-18 | ||
| PCT/US2014/031006 WO2014153332A1 (en) | 2013-03-18 | 2014-03-18 | Key refresh between trusted units |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104995634A true CN104995634A (zh) | 2015-10-21 |
| CN104995634B CN104995634B (zh) | 2018-06-26 |
Family
ID=51534055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480009310.8A Expired - Fee Related CN104995634B (zh) | 2013-03-18 | 2014-03-18 | 信任单元之间的密钥刷新 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9467425B2 (zh) |
| EP (1) | EP2976733B1 (zh) |
| KR (1) | KR101712080B1 (zh) |
| CN (1) | CN104995634B (zh) |
| WO (1) | WO2014153332A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108073528A (zh) * | 2016-11-16 | 2018-05-25 | 意法半导体(鲁塞)公司 | 非易失性存储器中的存储 |
| CN110169030A (zh) * | 2016-02-18 | 2019-08-23 | Sk电信有限公司 | 用于在异构网络上发送内容的方法及其设备 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9445112B2 (en) * | 2012-12-06 | 2016-09-13 | Microsoft Technology Licensing, Llc | Secure transcoding of video data |
| CN104838399B (zh) | 2012-12-10 | 2019-08-27 | 维萨国际服务协会 | 使用移动设备认证远程交易 |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US9467425B2 (en) | 2013-03-18 | 2016-10-11 | Intel Corporation | Key refresh between trusted units |
| KR20140124157A (ko) * | 2013-04-16 | 2014-10-24 | 삼성전자주식회사 | 무선 네트워크에서 키 하이어라키 생성 장치 및 방법 |
| US9870469B2 (en) * | 2014-09-26 | 2018-01-16 | Mcafee, Inc. | Mitigation of stack corruption exploits |
| EP3213457A4 (en) * | 2014-10-27 | 2018-06-13 | Hewlett-Packard Enterprise Development LP | Key splitting |
| EP3032453B1 (en) * | 2014-12-08 | 2019-11-13 | eperi GmbH | Storing data in a server computer with deployable encryption/decryption infrastructure |
| CN106302316A (zh) * | 2015-05-15 | 2017-01-04 | 中兴通讯股份有限公司 | 密码管理方法及装置、*** |
| US9954681B2 (en) * | 2015-06-10 | 2018-04-24 | Nxp Usa, Inc. | Systems and methods for data encryption |
| US9838367B2 (en) * | 2015-06-26 | 2017-12-05 | Intel Corporation | Binding a trusted input session to a trusted output session |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| CN105704526B (zh) * | 2015-12-30 | 2019-02-12 | 北方联合广播电视网络股份有限公司 | 数字电视的drm实现方法和***、电视网关和终端 |
| US10225075B1 (en) | 2016-08-15 | 2019-03-05 | Bluerisc, Inc. | Transmitting content to promote privacy |
| US10230702B1 (en) * | 2016-08-15 | 2019-03-12 | Bluerisc, Inc. | Encrypting content and facilitating legal access to the encrypted content |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| US10223292B2 (en) * | 2016-11-28 | 2019-03-05 | Microsoft Technology Licensing, Llc | Securing stream buffers |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| EP3570575A1 (en) * | 2018-05-16 | 2019-11-20 | INESC TEC - Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência | Internet of things security with multi-party computation (mpc) |
| CN110580420B (zh) | 2018-06-11 | 2023-03-28 | 阿里巴巴集团控股有限公司 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030079143A1 (en) * | 2001-10-22 | 2003-04-24 | Dean Mikel | One pass security |
| US20040176161A1 (en) * | 2001-09-28 | 2004-09-09 | Shelby Michael B. | Method and apparatus for authenticating and verifying communication on a network of gaming devices |
| US20050232427A1 (en) * | 2004-04-14 | 2005-10-20 | Microsoft Corporation | Unilateral session key shifting |
| CN101222321A (zh) * | 2007-01-10 | 2008-07-16 | 株式会社东芝 | 内容分发***和跟踪*** |
| CN101297300A (zh) * | 2005-09-01 | 2008-10-29 | 高通股份有限公司 | 多媒体内容传递的高效密钥层次 |
| CN101479984A (zh) * | 2006-04-25 | 2009-07-08 | 斯蒂芬·L.·博伦 | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥***和方法 |
| US20100014671A1 (en) * | 2008-06-19 | 2010-01-21 | General Instrument Corporation | Secure interchip transport interface |
| CN1677978B (zh) * | 2004-03-31 | 2010-11-03 | 微软公司 | 会话启动协议路由标题的签署和确认 |
| CN102413117A (zh) * | 2010-08-19 | 2012-04-11 | 三星Sds株式会社 | ***级芯片以及使用***级芯片的装置和扫描方法 |
| CN102918539A (zh) * | 2010-06-08 | 2013-02-06 | 英特尔公司 | 用于保护重放内容的方法和装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US7181629B1 (en) | 1999-08-27 | 2007-02-20 | Fujitsu Limited | Data distribution system as well as data supply device terminal device and recording device for the same |
| US20030061493A1 (en) * | 2001-09-24 | 2003-03-27 | Angelo Michael F. | Portable voice encrypter |
| US7243366B2 (en) | 2001-11-15 | 2007-07-10 | General Instrument Corporation | Key management protocol and authentication system for secure internet protocol rights management architecture |
| US7493429B2 (en) * | 2003-07-08 | 2009-02-17 | Microsoft Corporation | Communication of information via a side-band channel, and use of same to verify positional relationship |
| KR100750377B1 (ko) | 2006-05-09 | 2007-08-17 | 한정보통신 주식회사 | SoC기반의 네트워크 보안 시스템 및 그 방법 |
| US20080267411A1 (en) * | 2007-04-27 | 2008-10-30 | General Instrument Corporation | Method and Apparatus for Enhancing Security of a Device |
| US8473757B2 (en) * | 2009-02-18 | 2013-06-25 | Cisco Technology, Inc. | Protecting digital data such as images on a device with image acquisition capabilities |
| US9160974B2 (en) | 2009-08-26 | 2015-10-13 | Sling Media, Inc. | Systems and methods for transcoding and place shifting media content |
| US9467425B2 (en) | 2013-03-18 | 2016-10-11 | Intel Corporation | Key refresh between trusted units |
-
2013
- 2013-03-18 US US13/846,176 patent/US9467425B2/en active Active
-
2014
- 2014-03-18 KR KR1020157022260A patent/KR101712080B1/ko active IP Right Grant
- 2014-03-18 EP EP14769529.0A patent/EP2976733B1/en active Active
- 2014-03-18 CN CN201480009310.8A patent/CN104995634B/zh not_active Expired - Fee Related
- 2014-03-18 WO PCT/US2014/031006 patent/WO2014153332A1/en active Application Filing
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040176161A1 (en) * | 2001-09-28 | 2004-09-09 | Shelby Michael B. | Method and apparatus for authenticating and verifying communication on a network of gaming devices |
| US20030079143A1 (en) * | 2001-10-22 | 2003-04-24 | Dean Mikel | One pass security |
| US7281128B2 (en) * | 2001-10-22 | 2007-10-09 | Extended Systems, Inc. | One pass security |
| CN1677978B (zh) * | 2004-03-31 | 2010-11-03 | 微软公司 | 会话启动协议路由标题的签署和确认 |
| US20050232427A1 (en) * | 2004-04-14 | 2005-10-20 | Microsoft Corporation | Unilateral session key shifting |
| CN101297300A (zh) * | 2005-09-01 | 2008-10-29 | 高通股份有限公司 | 多媒体内容传递的高效密钥层次 |
| CN101479984A (zh) * | 2006-04-25 | 2009-07-08 | 斯蒂芬·L.·博伦 | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥***和方法 |
| CN101222321A (zh) * | 2007-01-10 | 2008-07-16 | 株式会社东芝 | 内容分发***和跟踪*** |
| US20100014671A1 (en) * | 2008-06-19 | 2010-01-21 | General Instrument Corporation | Secure interchip transport interface |
| CN102918539A (zh) * | 2010-06-08 | 2013-02-06 | 英特尔公司 | 用于保护重放内容的方法和装置 |
| CN102413117A (zh) * | 2010-08-19 | 2012-04-11 | 三星Sds株式会社 | ***级芯片以及使用***级芯片的装置和扫描方法 |
Non-Patent Citations (2)
| Title |
|---|
| 吴丹: ""基于流式媒体的透明下载的安全性",", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 陈华锐: ""基于SIP协议的IP电话加密***设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110169030A (zh) * | 2016-02-18 | 2019-08-23 | Sk电信有限公司 | 用于在异构网络上发送内容的方法及其设备 |
| CN110169030B (zh) * | 2016-02-18 | 2022-10-25 | Sk电信有限公司 | 用于在异构网络上发送内容的方法及其设备 |
| CN108073528A (zh) * | 2016-11-16 | 2018-05-25 | 意法半导体(鲁塞)公司 | 非易失性存储器中的存储 |
| CN108073528B (zh) * | 2016-11-16 | 2021-10-29 | 意法半导体(鲁塞)公司 | 非易失性存储器中的存储 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140281529A1 (en) | 2014-09-18 |
| EP2976733A1 (en) | 2016-01-27 |
| WO2014153332A1 (en) | 2014-09-25 |
| KR20150107858A (ko) | 2015-09-23 |
| KR101712080B1 (ko) | 2017-03-03 |
| US9467425B2 (en) | 2016-10-11 |
| EP2976733B1 (en) | 2019-11-20 |
| CN104995634B (zh) | 2018-06-26 |
| EP2976733A4 (en) | 2016-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104995634B (zh) | 信任单元之间的密钥刷新 | |
| US10601798B2 (en) | Federated services managed access to services and content | |
| US20240126930A1 (en) | Secure Collaboration Between Processors And Processing Accelerators In Enclaves | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| US9177353B2 (en) | Secure rendering of display surfaces | |
| CN104581214B (zh) | 基于ARM TrustZone***的多媒体内容保护方法和装置 | |
| US10187389B2 (en) | Technologies for supporting multiple digital rights management protocols on a client device | |
| TWI284811B (en) | Methods and apparatus for secure data processing and transmission | |
| EP2059887B1 (en) | System and method for digital content player with secure processing vault | |
| US20170178263A1 (en) | Multimedia content player with digital rights management while maintaining privacy of users | |
| CN104378649B (zh) | 一种利用国密sm1算法对视频流进行实时加密的方法及*** | |
| CN103814404A (zh) | 无线通信装置中具有内容保护的多媒体接口 | |
| WO2021082647A1 (zh) | 一种联合学习***、训练结果聚合的方法及设备 | |
| US20110023083A1 (en) | Method and apparatus for digital rights management for use in mobile communication terminal | |
| CN103885725A (zh) | 一种基于云计算环境的虚拟机访问控制***及其控制方法 | |
| CN103729324A (zh) | 一种基于usb3.0接口的云存储文件安全保护装置 | |
| TWI474189B (zh) | Automatic file encryption and decryption system | |
| US12013954B2 (en) | Scalable cloning and replication for trusted execution environments | |
| Win et al. | Secure interoperable digital content distribution mechanisms in a multi-domain architecture | |
| CN116095671B (zh) | 一种基于元宇宙的资源共享方法及其相关设备 | |
| Lee et al. | Media cloud: A secure and efficient virtualization framework for media service | |
| Gu et al. | Design and Implementation of Secure Multimedia Storage System | |
| KR20170050384A (ko) | 암호화된 어플리케이션을 배포하기 위한 장치 및 방법, 암호화된 어플리케이션을 수신하기 위한 장치 및 방법 | |
| TW201317828A (zh) | 雲端競爭隔離系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180626 Termination date: 20210318 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |