[发明专利]使用硬件信任根的媒体客户端装置鉴权

权利要求书

1.一种客户端装置，包括：

至少一个处理器；

一次性可编程OTP存储，包括第一检验密钥和一个或多个第二检验密钥；以及

计算机可读存储介质，耦合到所述至少一个处理器，包括：

媒体客户端，

固件，

引导镜像，包括

安全地存储在所述引导镜像中的公共加密密钥，以及

经加密的对称密钥，以及

计算机可读指令，当由所述至少一个处理器执行时，被配置为：

通过以下方式参与安全引导过程以证明所述引导镜像的真实性，以便用于采用所述公共加密密钥和权利管理服务器处的私有加密密钥的权利管理方案中：

使用所述第一检验密钥来检验所述公共加密密钥的签名，

解密所述经加密的对称密钥以生成经解密的对称密钥，

使用所述一个或多个第二检验密钥来检验所述经解密的对称密钥的签名，以及

使用所述经解密的对称密钥来检验所述引导镜像的签名，

响应于成功完成所述安全引导过程，加载并执行所述固件，

响应于来自所述媒体客户端的请求，通过所述固件使用所述公共加密密钥来创建经加密的装置注册消息，以及

将所述经加密的装置注册消息返回到所述媒体客户端，以及

通过所述媒体客户端，将所述经加密的装置注册消息转发到所述权利管理服务器以注册所述客户端装置。

2.根据权利要求1所述的客户端装置，其中，所述引导镜像还包括用于所存储的公共加密密钥的相应存储的签名、所述经加密的对称密钥、以及所述引导镜像的固件组件，并且其中，所述计算机可读指令还被配置为：通过(1)计算给定密钥或固件组件的签名和(2)将所计算的签名与所存储的签名中的相应一个进行比较来检验所述给定密钥或固件组件的签名。

3.根据权利要求1所述的客户端装置，其中，所述媒体客户端实现数字权利管理DRM系统的客户端侧。

4.根据权利要求1所述的客户端装置，其中，所述媒体客户端由用户安装在所述客户端装置上。

5.根据权利要求4所述的客户端装置，其中，所述客户端装置的所述固件检验所述客户端装置上的所述媒体客户端。

6.一种使客户端装置能够向媒体客户端和权利管理服务器证明自身的真实性的方法，所述方法包括：

通过以下方式参与安全引导过程以证明引导镜像的真实性，以便用于采用安全地存储在所述引导镜像中的公共加密密钥和权利管理服务器处的私有加密密钥的权利管理方案中：

使用存储于一次性可编程OTP存储中的第一检验密钥来检验所述公共加密密钥的签名，

解密存储于所述引导镜像中的经加密的对称密钥以生成经解密的对称密钥，

使用存储于OTP存储中的一个或多个第二检验密钥来检验所述经解密的对称密钥的签名，以及

使用所述经解密的对称密钥来检验所述引导镜像的签名，

响应于成功完成所述安全引导过程，加载并执行存储于所述客户端装置上的固件，

响应于来自存储于所述客户端装置上的媒体客户端的请求，使用所述公共加密密钥来创建经加密的装置注册消息，以及

将所述经加密的装置注册消息返回到所述媒体客户端，以及

将所述经加密的装置注册消息转发到所述权利管理服务器以注册所述客户端装置。

7.根据权利要求6所述的方法，其中，所述引导镜像还包括用于所存储的公共加密密钥的相应存储的签名、所述经加密的对称密钥、以及所述引导镜像的固件组件，并且通过(1)计算给定密钥或固件组件的签名和(2)将所计算的签名与所存储的签名中的相应一个进行比较来检验所述给定密钥或固件组件的签名。

8.根据权利要求6所述的方法，其中，所述媒体客户端实现数字权利管理DRM系统的客户端侧。

9.根据权利要求8所述的方法，其中，所述媒体客户端由用户安装在所述客户端装置上。

10.根据权利要求9所述的方法，其中，所述客户端装置的所述固件检验所述客户端装置上的所述媒体客户端。