基于硬件的信任根内的基于元数据的动态实时广告插入的方法和设备.pdf

客户端计算系统将选择的广告插入数字内容内。广告可基于在基于硬件的信任根内安全实现的动态广告匹配过程而插入内容内。在广告匹配中使用的用户简档可利用客户端计算系统和/或服务提供者服务器中的机密性保护而受到隐私保护和维护。当客户端计算系统对于具有规定广告时隙的内容向服务提供者服务器做出请求时，该请求可利用客户端的EPID签名而做出，其固有地受到隐私保护。基于硬件的信任根保护选择的广告到内容的线性呈现流内的插入。

权利要求书
1.  一种处理客户端计算系统中的内容的方法，包括：
在所述客户端计算系统与服务提供者服务器之间建立基于硬件的信任根；
从所述服务提供者服务器获得加密内容和密钥块，其具有与所述加密内容关联的至少一个加密标题密钥；
从所述服务提供者服务器获得广告摘要和广告缓存，所述广告摘要包括描述所述加密内容中的广告时隙的信息，并且所述广告缓存包括用于插入到所述加密内容中的广告时隙内的广告；
由所述客户端计算系统的安全处理器控制所述客户端计算系统上的内容处理；
在受保护的芯片到芯片数据接口上将与所述加密内容关联的至少一个加密标题密钥从所述安全处理器传递到图形引擎；
由所述安全处理器至少部分基于所述广告摘要和本地上下文信息中的一个或多个从所述广告缓存选择用于插入所述加密内容内的广告；
在受保护的音频/视频路径上以全系统存储器带宽将加密内容和选择的广告传递到所述图形引擎而不损害性能或安全；
将选择的广告插入所述加密内容中的广告时隙内；
在所述图形引擎内，使用从所述安全处理器接收的加密标题密钥来对所述加密内容解密、解码和解压缩，并且利用在所述广告时隙处插入所述内容内的所述选择的广告组成显示图像数据；
在所述图形引擎内对所述显示图像数据重新加密；以及
在受保护的显示接口上将加密的显示图像数据传递到显示器。

2.  如权利要求1所述的方法，进一步包括使用所述标题密钥来对选择的广告加密。

3.  如权利要求1所述的方法，进一步包括将选择的广告的重放安全地报告给所述服务提供者服务器。

4.  如权利要求1所述的方法，其中，选择广告包括至少部分基于描述所述客户端计算装置的上下文信息从所述广告缓存选择用于在所述广告时隙处插入所述加密内容内的广告。

5.  如权利要求4所述的方法，其中，所述上下文信息包括所述客户端计算系统的地理位置。

6.  如权利要求4所述的方法，其中，所述上下文信息包括所述客户端计算系统的装置的类型。

7.  如权利要求4所述的方法，其中，所述上下文信息包括所述客户端计算系统的当前使用模型。

8.  如权利要求4所述的方法，其中，所述上下文信息包括所述客户端计算系统的当前移动性状态。

9.  如权利要求4所述的方法，其中，所述上下文信息包括所述客户端计算系统到网络的连接状态。

10.  如权利要求1所述的方法，其中，选择广告包括至少部分基于用户简档从所述广告缓存选择用于在所述广告时隙处插入所述加密内容内的广告。

11.  如权利要求10所述的方法，其中，所述用户简档包括用户的偏好、用户的兴趣和用户的过去观看历史中的至少一个。

12.  如权利要求1所述的方法，其中，所述广告缓存中的广告的数量比所述加密内容中的广告时隙的数量更多。

13.  如权利要求1所述的方法，进一步包括从不同于所述服务提供者的实体获得广告以及将所述广告存储在所述广告缓存中和根据需要实时获得所述广告中的至少一个。

14.  如权利要求1所述的方法，其中，所述广告摘要和所述广告由所述服务提供者服务器加密并且加密的广告存储在所述广告缓存中。

15.  如权利要求1所述的方法，进一步包括由所述安全处理器将关于内容和广告使用的信息安全地发送到所述服务提供者服务器。

16.  一种用于处理内容的客户端计算系统，包括：
第一组件，其包括多个处理器核和图形引擎，所述处理核中的至少一个用于执行媒体播放器应用并且具有共享秘密，所述媒体播放器应用用于在网络上从耦合于所述客户端计算系统的服务提供者服务器获得加密内容，以及从服务提供者服务器获得广告摘要和广告缓存，所述广告摘要包括描述所述加密内容中的广告时隙的信息，并且所述广告缓存包括用于插入所述加密内容中的广告时隙内的广告；所述图形引擎用于在受保护的音频/视频路径上接收所述加密内容；
第二组件，其通过受保护的芯片到芯片数据接口而耦合于所述第一组件，所述第二组件包括安全处理器，用于执行固件来提供认证和密钥管理操作，并且具有共享秘密，所述安全处理器用于在所述客户端计算系统与所述服务提供者服务器之间提供基于硬件的信任根、用于从所述服务提供者服务器获得具有与所述加密内容关联的至少一个加密标题密钥的密钥块、用于控制所述客户端计算系统上的内容处理、用于在所述受保护的芯片到芯片数据接口上以全系统存储器带宽将与所述加密内容关联的至少一个加密标题密钥传递到所述图形引擎而不损害性能或安全；用于至少部分基于所述广告摘要和本地上下文信息中的一个或多个从所述广告缓存选择用于插入所述加密内容内的广告，并且将选择的广告插入所述加密内容中的广告时隙内；以及
显示器，其通过受保护的显示接口而耦合于所述第二组件；
其中所述图形引擎用于使用从所述安全处理器接收的加密标题密钥来对所述加密内容解密、解码和解压缩、用于利用在所述广告时隙处插入所述内容内的选择的广告组成显示图像数据、用于在所述图形引擎内对所述显示图像数据重新加密；以及在所述受保护的显示接口上将加密的显示图像数据传递到所述显示器。

17.  如权利要求16所述的客户端计算系统，其中，选择的广告使用所述标题密钥来加密。

18.  如权利要求16所述的客户端计算系统，其中，所述第二组件适于将选择的广告的重放安全地报告给所述服务提供者服务器。

19.  如权利要求16所述的客户端计算系统，其中，所述安全处理器适于至少部分基于描述所述客户端计算系统的上下文信息而从所述广告缓存选择用于在所述广告时隙处插入所述加密内容内的广告。

20.  如权利要求19所述的客户端计算系统，其中，所述上下文信息包括所述客户端计算系统的地理位置。

21.  如权利要求19所述的客户端计算系统，其中，所述上下文信息包括所述客户端计算系统的装置的类型。

22.  如权利要求19所述的客户端计算系统，其中，所述上下文信息包括所述客户端计算系统的当前使用模型。

23.  如权利要求19所述的客户端计算系统，其中，所述上下文信息包括所述客户端计算系统的当前移动性状态。

24.  如权利要求19所述的客户端计算系统，其中，所述上下文信息包括所述客户端计算系统到网络的连接状态。

25.  如权利要求16所述的客户端计算系统，其中，所述安全处理器适于至少部分基于用户简档从所述广告缓存选择用于在所述广告时隙处插入所述加密内容的广告。

26.  如权利要求25所述的客户端计算系统，其中，所述用户简档包括用户的偏好、用户的兴趣和用户的过去观看历史中的至少一个。

27.  如权利要求16所述的客户端计算系统，其中，所述广告缓存中的广告的数量比所述加密内容中的广告时隙的数量更多。

28.  如权利要求16所述的客户端计算系统，其中，所述媒体应用适于从不同于所述服务提供者的实体获得广告以及将所述广告存储在所述广告缓存中和根据需要实时获得所述广告中的至少一个。

29.  如权利要求16所述的客户端计算系统，其中，所述广告摘要和所述广告由所述服务提供者服务器加密并且加密的广告存储在所述广告缓存中。

30.  如权利要求16所述的客户端计算系统，其中，所述安全处理器适于将关于内容和广告使用的信息发送到所述服务提供者服务器。

31.  一种计算机可读介质，包括一个或多个指令，所述一个或多个指令当在客户端计算系统的处理器上执行时配置所述客户端计算系统以通过以下来处理数字内容：
在所述客户端计算系统与服务提供者服务器之间建立基于硬件的信任根；
从所述服务提供者服务器获得加密内容和密钥块，其具有与所述加密内容关联的至少一个加密标题密钥；
从所述服务提供者服务器获得广告摘要和广告缓存，所述广告摘要包括描述所述加密内容中的广告时隙的信息，并且所述广告缓存包括用于插入到所述加密内容中的广告时隙内的广告；
由所述客户端计算系统的安全处理器控制所述客户端计算系统上的内容处理；
在受保护的芯片到芯片数据接口上将与所述加密内容关联的至少一个加密标题密钥从所述安全处理器传递到图形引擎；
由所述安全处理器至少部分基于所述广告摘要和本地上下文信息中的一个或多个从所述广告缓存选择用于插入所述加密内容内的广告；
将选择的广告插入所述加密内容中的广告时隙中；
在受保护的音频/视频路径上以全系统存储器带宽将加密内容和选择的广告传递到所述图形引擎而不损害性能或安全；
在所述图形引擎内，使用从所述安全处理器接收的加密标题密钥来对所述加密内容解密、解码和解压缩，并且利用在所述广告时隙处插入所述内容内的选择的广告组成显示图像数据；
在所述图形引擎内对所述显示图像数据重新加密；以及
在受保护的显示接口上将加密的显示图像数据传递到显示器。

32.  如权利要求31所述的物品，进一步包括用于使用所述标题密钥来对选择的广告加密的指令。

33.  如权利要求31所述的物品，进一步包括将选择的广告的重放安全地报告给所述服务提供者服务器。

34.  如权利要求31所述的物品，其中，用于选择广告的指令包括用于至少部分基于描述所述客户端计算装置的上下文信息而从所述广告缓存选择用于在所述广告时隙处插入所述加密内容内的广告的指令。

35.  如权利要求31所述的物品，其中，所述上下文信息包括所述客户端计算系统的地理位置。

36.  如权利要求31所述的物品，其中，用于选择广告的指令包括至少部分基于用户简档从所述广告缓存选择用于在所述广告时隙处插入所述加密内容内的广告的指令。

37.  如权利要求36所述的物品，其中，所述用户简档包括用户的偏好、用户的兴趣和用户的过去观看历史中的至少一个。

38.  如权利要求31所述的物品，进一步包括用于由所述安全处理器将关于内容和广告使用的信息安全地发送到所述服务提供者服务器的指令。

说明书基于硬件的信任根内的基于元数据的动态实时广告插入的方法和设备
技术领域
本公开大体上涉及用于安全地处理数字内容的计算系统架构的领域。更特定地，本发明的实施例涉及由计算系统在基于硬件的信任根内基于元数据到数字内容内的动态实时广告插入。
背景技术
在诸如例如个人计算机（PC）系统等开放式计算平台上，当播放优质内容（例如来自DVD、蓝光，等）时，数字版权管理（DRM）处理和密钥管理典型地在软件中由媒体播放器应用程序执行。这些方案未很好地受到保护并且已经存在入侵的情形，从而导致盗版内容以及对内容所有者的收益损失。当播放内容时，即使在硬件中进行媒体解压缩（例如H.264、MPEG-2，等），内容在系统存储器中不受阻碍并且可以在基于软件和/或基于硬件攻击的情况下被偷取。由于这些指出的安全弱点，仅较低保真度（例如标准清晰度（SD））内容或较少的有价值高清晰度（HD）内容典型地分布到开放式计算平台。期望改进通过开放式计算平台（诸如例如PC）的数字内容的安全处理。
附图说明
参考附图提供详细描述。在不同的图中使用相同的标号指示相似或相同的项目。
图1是根据本发明的实施例的安全内容处理流水线的图。
图2是根据本发明的实施例的服务提供者服务器和安全服务基础设施的图。
图3是根据本发明的实施例的客户端计算系统的图。
图4是根据本发明的实施例的安全内容处理的流程图。
图5是根据本发明的实施例的安全内容处理系统的图。
图6是根据本发明的实施例的服务提供者服务器和内容提供者组件的图。
图7是根据本发明的实施例的广告时隙和内容段的图。
图8是根据本发明的实施例的动态广告插入处理的流程图。
具体实施方式
本发明的实施例包括系统架构，其提供用于支持优质数字内容的分布和重放的基于硬件的信任根（HW ROT）技术方案。在实施例中，对于数字内容和服务的HW ROT是其中为安全目的的信任基础根植于客户端计算系统中的硬件和固件机构而不是软件的技术方案。客户端计算系统从该信任根构造整个媒体处理流水线，对于内容授权和重放而保护它。在本发明的实施例中，对于内容处理的客户端计算系统的安全不取决于操作系统（OS）、基本输入/输出系统（BIOS）、媒体播放器应用或其他主机软件。为了损害系统，将需要损害硬件和/或固件机构，如与攻击在OS顶部运行的软件相对的。
本发明的实施例提供在基于硬件的信任根内基于元数据广告到由客户端计算系统处理的数字内容内的动态实时插入。
在下面的描述中，阐述许多具体细节以便提供对各种实施例的全面理解。然而，本发明的各种实施例可在没有这些具体细节的情况下实践。在其它实例中，未详细描述众所周知的方法、规程、组件和电路以便不掩盖本发明的特定实施例。此外，本发明的实施例的各种方面可使用例如半导体集成电路（“硬件”）、组织到存储在计算机可读存储介质（“软件”）上的一个或多个程序内的计算机可读指令或硬件和软件的一些组合等各种部件来进行。为了该公开的目的，对“逻辑”的引用应意指硬件、软件（其包括例如控制处理器操作的微码）、固件或其一些组合。
本发明的实施例通过使用CPU中的固件和硬件、客户端计算系统101的芯片集和集成图形/媒体引擎来进行内容保护处理、密钥管理处理和内容重放而保护这些功能。因为内容由计算系统内的组件处理，本发明的实施例提供内容的端到端保护。图1是根据本发明的实施例的安全内容处理流水线100的图。内容102可能被服务提供者（SP）服务器104访问。内容102可以是任何数字信息，例如音频、视频或音频/视频数据、图像、文本、书、杂志、游戏或应用程序。服务提供者服务器104可包括一个或多个服务器，用于在任何电信通道（例如因特网、蜂窝网络、有线或无线网络，等）上向客户端计算系统提供内容。内容当存储在SP服务器中时以及在传输到客户端计算系统101期间可由任何已知的内容保护技术106（例如，数字版权管理（DRM）技术、密码技术，等）保护。在一个实施例中，内容可由如本文描述的增强隐私ID（EPID）签名验证协议保护。在一个实施例中，视频数据可使用具有CTR模式的高级加密标准（AES）密码处理来加密。客户端计算系统101可以是PC、膝上型计算机、上网本、平板计算机、手持计算机、智能电话、个人数字助理（PDA）、机顶盒、消费者电子设备或能够接收、存储和呈现内容的任何其他计算装置。
在客户端计算系统内，内容保护处理110可由安全处理器108进行。在一个实施例中，安全处理器可以在客户端计算系统的芯片集内。在实施例中，该芯片集包括平台控制中心（PCH）。在另一个实施例中，安全处理器可以在客户端系统的CPU内。在具有片上系统（SOC）配置的另一个实施例中，安全处理器可以与单个芯片上的其他系统组件一体化。在一个实施例中，安全处理器包括可管理性引擎（ME）。在其他实施例中，可使用其他类型的安全处理器。安全处理器是在与客户端计算系统的其他组件交互的硬件和固件中实现的子系统。安全处理器通过加载来自受保护闪速存储器区域的固件代码并且执行受保护存储器中的固件代码而操作。因为在安全处理器内的硬件和固件中进行内容保护处理，内容的保护可在基于软件的系统上提高。
密钥信息可在受保护的芯片到芯片互连112上从安全处理器发送到包含中央处理单元（CPU）和集成图形（GFX）/媒体引擎的组件。在实施例中，该受保护的芯片到芯片互连112包括到CPU/GFX组件的安全直接媒体接口（DMI）通信链路。DMI包括具有并行数据业务的两个单向通道的芯片到芯片互连，以及具有提高的服务质量的等时传输。在DMI链路上传输的数据可通过已知的密码处理技术来保护。在实施例中，芯片到芯片安全链路可用于在DMI传递加密标题密钥。安全基于PCH与CPU之间的共享秘密。该共享秘密可在每个功率循环上建立并且可根据需要在产品系列、世代和随机分组之间改变来确保共享秘密的保护和完整性。DMI机制独立于OS、BIOS和在CPU上运行的软件。DMI机制可用于在安全处理器（在PCH中）与CPU之间创建信任关系。
GFX引擎114可包括用于对内容解密的内容保护处理。GFX引擎还包括解码器逻辑121，用于处理解密的音频/视频内容/对它解码并且将音频/视频内容作为媒体块传递到GFX引擎114内的图形处理单元（GPU）。GPU包括安全技术（其包括使用编码器逻辑123），用于在存储器中的处理期间保护媒体块。GFX引擎114还包括组成逻辑125，用于组成要在显示器118上显示的图像数据。因为内容在PCH中的安全处理器与CPU/GFX组件中的GFX引擎内以及之间处理，内容可由硬件保护的数据路径116保护。在实施例中，该硬件保护的数据路径包括用于维持内容安全的受保护的音频视频路径（PAVP）。PAVP还支持系统组件之间的加密连接状态。通过使用PAVP，系统可进一步保护在系统组件之间以及存储器内的传输期间的内容。
GFX引擎、PCH与显示器118之间的接口可由受保护的有线/无线显示链路120实现。在一个实施例中，经由存储器通过PCH而从GFX发送到显示器的显示数据可由高带宽数字内容保护（HDCP）内容保护方案保护。HDCP规范提供用于传送并且接收到兼容数字显示器的数字娱乐内容的稳健、成本有效且透明的方法。在实施例中，有线链路可根据从数字内容保护可获得的HDCP规范、修订2.0、LLC或后续修订来实现。可采用HDCP以当数据在显示端口、数字可视接口（DVI）、高清晰度多媒体接口（HDMI）、千兆视频接口（GVIF）或统一显示接口（UDI）连接上行进时阻止显示数据的复制。HDCP修订2.0规范解决出现的使用模型，其让终端用户经由类似TCP/IP、USB、Wi-Fi和无线HD的标准协议和接口而方便地连接显示器、装置和家庭影院系统。HDCP修订2.0规范使用基于标准的RSA公钥和高级加密标准（AES）128位加密用于稳健的内容保护。在HDCP系统中，两个或以上的HDCP装置通过受HDCP保护的接口而互连。由HDCP保护的视听内容在最上游HDCP传送器处从上游内容控制功能流入HDCP系统。由HDCP系统加密的HDCP内容从那里流动通过受HDCP保护的接口上的HDCP接收器的树形拓扑。
HDCP内容保护机制包括三个元素：1）HDCP接收器到它们的中间上游连接（到HDCP传送器）的验证。验证协议是HDCP传送器通过其来证实给定HDCP接收器被授权接收HDCP的机制。2）由DCP确定为无效的HDCP的撤销。3）在HDCP传送器与它们的下游HDCP接收器之间的受HDCP保护的接口上的视听内容的HDCP加密。HDCP接收器可采用对于人类消费的音频和视觉形式来呈现HDCP内容。HDCP接收器可以是HDCP中继器，其充当将HDCP内容进一步发射到下游的一个或多个额外的HDCP接收器的下游HDCP传送器。在一个实施例中，发送到显示器118的显示数据可使用802.11n无线局域网（WLAN）技术而在受保护的无线显示（WiDi）链路127上发送。
如可以从图1看到的，在本发明的实施例中，从服务提供者服务器104接收内容直到将内容显示在显示器118上的时间，对于在计算系统上运行的任何软件或未经授权的硬件没有采用未加密形式的密钥或内容可用。此外，在跨解密、解码/编码、组成和显示流水线的整个链上提供对于视频数据的存储保护。该能力以全存储器带宽提供而损害总系统性能。
图2是根据本发明的实施例的服务提供者服务器104和安全服务组件202的图。在实施例中，安全服务组件202可包括一个或多个服务器和/或组件。在实施例中，安全服务组件可由客户端计算系统的一个或多个组件的制造商操作。安全服务组件提供用于在现场控制客户端计算系统的能力。安全服务组件包括制造组件和部署组件。制造组件包括证书颁发组件218、密钥生成（Key Gen）组件220和熔丝编程（Fuse Prog）组件222。证书颁发218生成公钥证书并且将其颁发给客户端计算平台中的每个。Key Gen 220负责根据需要生成私钥和公钥用于嵌入客户端计算平台内。熔丝编程222负责采用稳健且安全的方式用适当值来对制造板上的熔丝编程。这些值将被客户端计算平台使用以在安全处理器内部建立信任锚和密钥梯。
部署组件包括证书颁发组件204、密钥生成（Key Gen）组件206和撤销管理器208。证书（Cert）颁发组件204对SP服务器和客户端组件颁布数字证书，从而给予它们与这样的客户端系统交互用于服务部署的授权。密钥生成（Key Gen）组件206生成密码签名密钥对、根密钥对、数字证书和群公钥，并且签署对于每个群的群公钥。撤销管理器208确定要添加到撤销列表（RL）的客户端计算系统的标识符和签名、更新RL并且散发更新的RL。
SP服务器104在网络201（例如因特网）上与客户端计算系统通信。服务提供者服务器包括SP服务器应用212和SP服务器代理210。SP服务器应用提供内容浏览能力。SP服务器代理210控制客户端特定消息的发送、管理密钥和授权的用户令牌并且维持内容交付服务状态（为了部署目的，212和210可以是被防火墙保护且分离的在物理上不同的服务器）。内容加密器214接受内容102并且对内容加密用于安全交付到客户端计算系统。内容服务器216将加密内容发送到客户端。密钥服务器226负责对授权会话内的客户端计算系统预备标题密钥。服务器证书224由SP服务器代理使用来参与与客户端计算系统的授权会话的相互验证和建立。SP服务器代理210、密钥服务器226和内容服务器216之间的通信链路由广泛接受的信息安全实践保护。密钥服务器具有最高网络和访问保护来确保仅授权方能够达到它并且由密钥服务器管理的密钥被隔离和防火墙保护以避免来自外部网络实体的攻击。SP服务器代理或密钥服务器具有对与服务器证书224关联的私钥的访问。在实施例中，该私钥和利用该私钥实行的所有操作使用服务器上的硬件安全模块（HSM）（未在图2中示出）来保护。
在实施例中，用于验证具有SP服务器的客户端计算系统的密码方案包括密码验证协议，其基于零知识证明的使用来保护用户隐私。在实施例中，密码验证协议包括增强隐私ID（EPID）方案、具有增强撤销能力的直接匿名认证（DAA）方案。EPID使常见的Rivest、Shamir、Adleman（RSA）－公钥基础设施（PKI）安全实现（其中每个个体对于每个事务被唯一地识别）的隐私问题减轻。相反，EPID提供远程认证的能力，但仅将客户端计算系统识别为具有来自特定技术生成的组件（例如芯片集）。EPID是群签名方案，其中一个群的公钥对应于多个私钥，并且这些私钥生成群签名，其由群公钥来证实。EPID提供匿名且不可链接的安全性质－假定两个签名，无法确定签名是从一个还是两个私钥生成。EPID还提供不可伪造的安全性质－在没有私钥的情况下，无法创建有效签名。
一般，设置与EPID的安全通信信道可如下那样完成。第一方（例如客户端计算系统）向第二方（例如服务提供者服务器）发送EPID证书。在从不知道第一方的身份并且仅知道第一方是具有可信安全处理器的计算平台的情况下，第二方验证第一方。第一方然后使用第二方的公钥证书来验证第二方。因为第二方不需要隐私，第二方的公钥证书可不是EPID证书（但它可以是）。这些方然后可缔结Diffie-Hellman（DH）密钥交换协定。
DAA和EPID的各种适合的实施例在下面的共同专利申请中描述，其通过引用：2007年7月7日提交的序列号11/778,804的Ernest F. Brickell和Jingtao Li,“An Apparatus and Method of Direct Anonymous Attestation from Bilinear Maps”；2008年9月11日提交的序列号12/208,989的Ernest F. Brickell和Jingtao Li的“An Apparatus and Method for a Direct Anonymous Attestation Scheme from Short-Group Signatures”；以及2008年9月29日提交的序列号12/286,303的Ernest F. Brickell和Jingtao Li的“Direct Anonymous Attestation Scheme with Outsourcing Capability”而结合于此。在其他实施例中，还可使用其他验证和认证方案。
客户端计算系统包括至少三个主要组件－主机软件、芯片集硬件/固件和CPU/GFX/媒体引擎。在本发明的实施例中假设主机软件不可信。即使主机软件受到攻击，将没有秘密被损害。主机软件负责到SP服务器104的网络连接以及从内容服务器216下载媒体。主机软件充当各种SP服务器与芯片集硬件/固件之间的代理。在芯片集硬件/固件已经完成标题密钥展开和到CPU/GFX组件的注入后，主机软件将加密内容直接发送到图形硬件。
芯片集硬件/固件负责所有受保护的处理，从而扮演用于内容保护处理的受保护装置的角色。在实施例中，芯片集硬件/固件使用DMI机制将受保护的标题密钥发送到图形硬件。
CPU/GFX组件负责最终流解密、解码和显示。GFX引擎是无源装置，从而没有做出策略决定。当被询问时，GFX引擎简单地对内容解密、然后对提交的视频片段解码。在实施例中，GFX引擎（具有受保护的媒体编码器）对显示内容重新加密用于在HDMI和无线（WiDi）显示器上的HDCP输出保护。
受保护的客户端计算系统必须在发送高灵敏性信息之前由服务提供者远程识别。用于识别平台的机制必须不侵犯用户隐私。本发明的实施例对服务提供者提供受保护机制以在网络上证实服务提供者服务器正与适合的客户端计算系统通信并且将标题密钥或其他机密材料传输到该客户端计算系统。在一个实施例中，用于在服务提供者服务器与客户端计算系统之间建立受保护会话的协议是EPID。EPID允许单个公钥匿名地证实由在所谓的EPID群中的N私钥生成的签名。为了实现EPID，每个芯片集包含在硅制造期间吹入平台控制中心（PCH）内的唯一私钥。在实施例中，芯片集制造商在单个群中放置1,000,000个私钥并且对于产生的每个芯片集产生400个群。为了充当EPID证实器，每个服务提供者将预备有这400个公钥。
一旦已经建立受保护的EPID会话，服务提供者服务器自由地与受保护的计算系统交换受保护的机密信息。对于内容流播，受保护的标题密钥可从SP服务器传递到芯片集中的安全处理器。安全处理器将受保护的标题密钥发送到图形和音频硬件。这时，加密的视频和音频内容可以直接从内容服务器216发送到客户端计算系统图形和音频硬件，其对内容解密、解码并且显示它。为了下载内容，安全处理器使用唯一平台存储密钥（在制造期间再次烧进PCH熔丝内）来使标题密钥与客户端计算系统绑定并且使绑定的密钥返回到媒体播放器软件。当期望重放时，绑定的标题密钥被重新提交给安全处理器，其解开它们并且以受保护的方式将它们发送到图形和音频软件。
图3是根据本发明的实施例的客户端计算系统101的图。服务提供者（SP）播放器/媒体浏览器软件应用302可包括在软件栈中以在例如因特网等网络201上与SP服务器104交互。SP播放器/媒体浏览器302允许用户浏览服务提供者的内容提供并且选择要从SP服务器交付到客户端计算系统的内容。SP播放器/媒体浏览器对用户提供用户接口控制来管理内容库并且控制内容的选择、下载和重放。SP播放器/媒体浏览器与服务代理304交互。服务代理304包括由根据本发明的实施例被授权访问客户端计算系统（其支持端到端内容保护）的特征的服务提供者提供的软件应用。服务代理与各种SP播放器/媒体浏览器应用编程接口（API）（未在图2中示出）交互。服务代理304包括媒体播放器组件306。媒体播放器提供内容播放器功能性（例如，控制重放）。
SP客户端应用308使SP播放器/媒体浏览器302和服务代理304能够访问关于客户端计算系统的硬件和固件上以及用于将消息中继到服务提供者服务器104的内容保护特征。在实施例中，SP客户端应用包括主机代理软件开发工具（SDK），其包括内容保护API。在实施例中，SP客户端应用与芯片集的平台控制中心（PCH）312中的安全处理器314通信。
音频驱动器311在媒体播放器与音频解密硬件316之间提供接口。相似地，图形（GFX）驱动器310在媒体播放器与GFX引擎320之间提供接口。在实施例中，PCH 312包括安全处理器314，其执行固件来提供内容保护功能性，连同其他众所周知的系统功能。在实施例中，安全处理器可由管理性引擎（ME）实现。因为内容由PCH 312和GFX引擎320处理，该内容可至少部分地分别由PCH硬件/固件和GFX引擎硬件中的受保护音频视频路径（PAVP）组件318、322保护。
图4是根据本发明的实施例的安全内容处理的流程图。在框402处，客户端计算系统的用户使用SP播放器/媒体浏览器302来浏览、发现和购买来自一个或多个服务提供者的内容。在框404处，进行SP服务器104与客户端计算平台101的相互验证。建立验证的会话。预备对于给定内容集的具有使用版权的密钥块。这些密钥块绑定到客户端计算系统来确保系统根据需要既被机密性又被完整性保护。
客户端计算系统然后在框406处在网络201上从内容服务器216（用于流播保护）或从客户端计算系统上的本地存储（对于之前购买、下载和存储的内容）得到加密内容。系统准备对视频片段（例如，子帧）起作用。因此，一提交数据的第一片段，硬件就可以处理数据。
在框408处，用户使用SP播放器/媒体浏览器302来发起选择的内容的重放。密钥块被提交给安全处理器314用于解包并且提取标题密钥。当实行这时，标题密钥由安全处理器加载到图形硬件320内用于解密。在框410处，SP播放器/媒体浏览器将加密内容提交给GFX引擎320内的媒体处理引擎。GFX引擎使用标题密钥对内容解密并且使用本地保护密钥对内容重新加密。重新加密的数据可存储在受保护的本地或系统存储器中。随后在框414处获得重新加密的内容、对它解密和解压缩。首先进行解密。一旦数据被解密，数据被解码/解压缩。一旦数据被解压缩，数据被重新加密并且经由系统存储器传递到组成引擎。一旦完成组成，数据再次受保护并且使用系统存储器而传递到显示引擎。在实施例中，沿路的每个组件具有根据需要来解密、处理和重新加密的能力。
在框416处，GFX引擎使用HDCP技术（在实施例中）对媒体内容重新加密并且将内容交付给显示器以供用户观看。在过程的每个步骤处，内容从来不受阻碍，其中它能被在客户端计算系统上运行的软件或未经授权的硬件组件访问。
图5是根据本发明的实施例的安全内容处理系统的图。SP服务器104在网络201上与客户端计算系统101交互。客户端计算系统包括第一500和第二组件502。在实施例中，该第一组件包括CPU和GFX组件，并且该第二组件包括平台控制中心（PCH）。在另一个实施例中，第一和第二组件可在片上系统（SOC）实现中组合到单个组件内。第一组件500包括多个处理器核504，和GFX引擎320。处理器核504执行主机软件（SW）506（如在图3中描述的）、客户端证书508、熔丝521和共享秘密519的各种组件。主机SW读取数据，其包括之前从SP服务器或有形介质（例如DVD、蓝光或其他存储技术）、从硬盘驱动器（HDD）/固态驱动器（SSD）510获得的加密内容。在实施例中，主机SW包括至少SP播放器/媒体浏览器应用302、服务代理304和SP客户端应用308。在实施例中，HDD/SSD包括一个或多个用户简档511。
GFX引擎320包括多个组件。媒体加密/解密引擎520包括用于对内容加密和解密的逻辑。媒体编码/解密引擎522包括用于对内容编码和解码的逻辑。GFX组成（Comp）引擎524包括用于构造显示图像的逻辑。显示引擎526包括用于将组成的显示图像传递到显示器的逻辑。显示加密/解密引擎528包括用于在受保护链路527上将显示数据发送到显示器538之前对显示数据加密和解密的逻辑。存储器加密/解密引擎530包括用于对存储在存储器536中的受保护中间面534中的数据加密和解密的逻辑。存储器536还包括用于实现机密性和完整性保护的存储器操作532的逻辑。
第二组件502包括多个组件，未示出其中的一些以便简化图5。第二组件包括安全处理器314。安全处理器包括固件和/或硬件逻辑，用于对客户端计算系统提供认证、预备密钥管理、输出控制和广告匹配操作516。安全处理器还包括熔丝517、共享秘密519和信任锚518，用于支持例如证实密钥和密钥分级信息的PKI。熔丝521、517在利用用于EPID使用的密钥材料制造芯片集期间被编程到第一和第二组件的硬件内。在制造客户端计算系统时，硬件信任根从编程到制造板上的熔丝内的信息建立。这确保每个单独客户端计算系统是唯一的，还受隐私保护的。共享秘密519在制造芯片集和CPU/GFX组件期间被硬编码到第一和第二组件的硬件内。在实施例中，可在DMI链路538上在设置安全的芯片到芯片通信信道中使用共享秘密。
客户端计算系统还包括用于提供安全的时钟服务的受保护的实时时钟513、显示器538和非易失性存储器（NVM）512。在实施例中，受保护的实时时钟可被第三方播种，并且可对于多个服务提供者虚拟化。NVM可用于存储对于第二组件的固件图像，以及用于存储暂时数据（例如完整性和状态信息）用于安全处理器处理操作。
在实施例中，处理流可描述如下。SP播放器/媒体浏览器302向用户呈现用户接口。用户前往服务提供者的web站点来浏览可用内容。SP web站点具有确定用户的客户端计算系统是否在它内集成的自动检测能力（利用SP服务 104来验证的能力）。如果有能力，允许用户选择内容。可买、租或预订内容，或内容可被流传送。用户播放内容。SP播放器/媒体浏览器302启动安全处理器316来利用SP服务器104验证客户端计算系统101。在实施例中，验证使用EPID技术。客户端计算系统101至少部分通过使SP服务器104证实客户端计算系统的证书508、进行撤销检查以及证实到认证机构的证书路径（在一个实施例中使用EPID协议）来验证。当客户端计算系统101和SP服务器104两者都被验证时，在一个实施例中可基于EPID协议来设置安全的通信信道。在实施例中，一旦设置安全的通信信道，命令集可用于端到端内容保护能力。
SP服务器104对客户端计算系统预备加密标题密钥，其对内容的使用有约束（例如，时间）。SP服务器在安全信道上将加密的标题密钥发送到安全处理器314。安全处理器314使用它自己的密钥分级来对加密的标题密钥解密。安全处理器314使用存储密钥来对新近解密的标题密钥重新加密来形成密钥块。该密钥块持续规定时段地绑定到客户端计算系统。安全处理器314将密钥块发送到在CPU核中运行的SP播放器/媒体浏览器302。SP播放器/媒体浏览器302将密钥块存储在HDD/SSD 510中。SP播放器/媒体浏览器302然后下载用户选择的加密内容。在一个实施例中，下载的加密内容可存储在HDD/SSD 510中的内容缓存552中。
当用户想播放内容时，SP播放器/媒体浏览器302将密钥块提交回到安全处理器314。安全处理器证实密钥块的签名，并且检查使用约束，例如时间。安全处理器314在加密信道（例如，DMI链路538）上将加密的标题密钥发送到GFX引擎320的媒体加密/解密组件520。安全处理器对SP播放器/媒体浏览器指示GFX/媒体引擎准备处理加密内容。在实施例中，SP播放器/媒体浏览器302从HDD/SDD 510中的内容缓存552读取加密内容，或在网络201上从SP服务器104获得加密内容（用于流传送应用），并且将加密内容逐片发送到GFX引擎。
GFX引擎320以逐片的方式处理加密内容。对于每个片，SP播放器/媒体浏览不受阻碍地读取片头部。剩余的片被加密使得SP播放器/媒体浏览器无法访问内容。SP播放器/媒体浏览器使用初始化向量来保持跟踪重放状态信息。在对从安全处理器接收的加密标题密钥解密后，媒体加密/解密引擎520使用标题密钥来对内容解密。在一个实施例中，媒体加密/解密引擎的输出数据根据众所周知的H.264编码方案而仍被压缩。在其他实施例中，可使用其他编码方案。媒体编码/解密引擎522对每个片解码并且然后使用存储器加密/解密530来对片重新加密。重新解密的内容片存储在存储器536中的受保护中间面534中。GFX组成引擎524控制要在显示器上显示的图像的组成，其包括前景和背景图像、窗口，等。GFX组成引擎从存储器536中的受保护中间面534获得重新加密的内容片来生成组成的图像。GFX组成引擎524将组成的图像数据发送到显示引擎526。
显示引擎使用显示加密/解密引擎528来对来自加密（其用于将内容片存储在存储器536中）的组成图像解密。在一个实施例中，显示引擎526使用显示加密/解密引擎以根据HDCP技术对组成的图像数据重新加密。加密的组成图像数据在受保护的芯片到芯片数据接口（例如，DMI链路）538上由GFX引擎320发送到第二组件502，用于在受保护的显示接口链路527上传输到显示器538。
在实施例中，可以存储由客户端计算系统处理的任何数量的并行、独立内容流。每个内容流具有它自己的密码上下文以便不干扰其他流。这还允许客户端计算系统确保对一个流的任何种类的攻击或损害不影响其他内容流。
在实施例中，HDD/SDD 510包括至少一个用户简档511和广告缓存550，其中的两个都在下文进一步论述。在实施例中，客户端计算系统包括一个或多个传感器554，其耦合于第二组件502。传感器感测客户端计算系统周围的环境并且将传感器信息报告给安全处理器314以供认证、预备密钥管理、输出控制和基于动态上下文的广告匹配组件516使用。在实施例中，传感器可包括GPS系统、加速计、罗盘、振动检测器和/或其他传感器。
本发明的实施例提供用于将在客户端计算系统处选择的广告动态插入数字内容内的能力。实施例提供用于将广告插入为客户端计算系统和动态广告匹配过程（其在HW ROT内安全实现）而准备的内容内。用户简档可分别利用客户端计算系统和/或SP服务器中的机密性保护而受到隐私保护和维护。当客户端计算系统向SP服务器做出对于广告流的请求时，该请求可利用客户端的EPID签名而做出，其内在地受到隐私保护。HW ROT将基于触发来保护广告流到内容的线性呈现流内的插入。在实施例中，触发可基于音频水印或归档的用于封装式媒体的MP4中的一致跟踪。
图6是根据本发明的实施例的服务提供者服务器和内容提供者组件的图。在实施例中，内容提供者609使用内容准备应用607来分析内容102并且将广告时隙插入到内容内来形成具有广告时隙610的内容。广告时隙包括内容内指示广告可在稍后的时间点插入的地方的标记。广告摘要605包括至少描述广告时隙在具有广告时隙610的内容中定位的地方的信息。在实施例中，广告摘要605还可包括元数据、扩展标记语言（XML）码、规定的加密和/或编码方案、媒体处理设置和交互指令（例如用于在示出广告之前和/或之后执行选择的任务的指令）中的一个或多个。在实施例中，在临近广告时隙时广告到内容内的插入可在客户端计算系统101上实行。在另一个实施例中，在临近广告时隙时广告到内容内的插入可在SP服务器104上实行。具有广告时隙610和广告摘要605的内容可使用任何工具从内容提供者传送到SP服务器104。在实施例中，内容提供者和服务提供者可以是独立实体。在另一个实施例中，内容提供者和服务提供者可以是相同实体。
图7是根据本发明的实施例的广告时隙和内容段的图。在具有多个段702、704、706、708和710的内容102的示例中，广告时隙712、714、716、718和720可由内容准备应用607插入如示出的内容内的位置内。然而，任何数量的广告时隙可插入内容内，并且它们可在内容中的任何位置处插入（不只是如在该示例中示出的段开始和结束处）。广告时隙可插入内容内使得整个内容持续时间通过广告时隙的长度而扩展。
SP服务器应用可将具有广告时隙610和/或广告摘要605的内容安全地发送到客户端计算系统。在各种实施例中，SP服务器104上的SP服务器应用212或客户端计算系统101上的SP播放器/媒体浏览器302至少部分基于广告摘要605检测广告时隙并且获得广告内容（根据情况，如果还未存储在客户端计算系统内的SP服务器内或广告缓存550内）。在实施例中，广告内容可根据需要从耦合于网络的广告服务器（未示出）实时地获得。SP服务器/媒体浏览器302然后在客户端计算系统上的内容呈现期间的规定时间处显示广告。
在实施例中，内容准备应用607可生成广告摘要，其描述广告时隙要插入的地方，但实际上未在内容中创建广告时隙。在该实施例中，内容提供者609将内容102和广告摘要发送到SP服务器，并且SP服务器至少部分基于接收的广告摘要而在内容创建广告时隙来形成具有广告时隙610的内容。
在实施例中，SP服务器应用212可对于客户端计算系统中的每个用户安全地维护SP服务器104上的用户简档606。该用户简档包括用户的偏好和兴趣中的至少一个。在一个实施例中，用户可通过由用户使用SP播放器/媒体浏览器302的肯定动作来输入或选择他或她的偏好和/或兴趣。在另一个实施例中，SP服务器应用可至少部分基于交付给用户的客户端计算系统的内容和/或广告（例如，观看历史）和/或由SP服务器随时间接收的用户输入来开发并且维护用户简档。在另一个实施例中，用户输入可经由耦合于客户端计算系统的传感器以及其他输入机构（例如经由触摸屏、手势识别、蓝牙装置或远程控制装置）而接收。在实施例中，偏好可包括用户对什么类型的信息感兴趣以及用户想如何、何时和采用什么格式接收信息。在实施例中，偏好可包括购买参数，例如对于购买的金融限制、购买通知和批准，等。还可规定其他偏好。在实施例中，兴趣可包括用户根据兴趣选择的事情（例如，运动、喜好、电视、电影和音乐体裁，等）以及通过分析过去行为而确定的兴趣（例如接收的用户输入和/或交付和/或消费的广告和/或内容）。在实施例中，用户输入可作为用户简档的部分而存储。在实施例中，用户简档606还可作为用户简档511存储在客户端计算系统中。
在实施例中，SP服务器应用使用用户简档606、广告元数据标签608、广告摘要605中的一个或多个，来从广告内容604选择用于插入具有广告时隙610的内容内的广告。在实施例中，从广告内容604选择广告可由SP服务器应用使用广告匹配过程来进行。在实施例中，选择的广告可从广告内容604获得并且存储在广告缓存611中。在实施例中，存储在广告缓存中的选择广告的数量可比具有广告时隙610的内容中的广告时隙的数量更多。
在实施例中，由一个或多个广告元数据标签608描述的广告可根据需要在网络201上从另一个实体获得。在另一个实施例中，可获得选择的广告、将其安全地传送到客户端计算系统并且存储在客户端计算系统的HDD/SSD 510中的广告缓存550中。广告可包括任何音频、视频或图像内容。在实施例中，从广告内容604选择的广告可由SP服务器或客户端计算系统在一个或多个广告时隙处插入具有广告时隙610的内容内。每个广告可利用元数据而唯一地识别和标记。
现有的对于音频内容的内容元数据标签包括例如采样速率、音频压缩标准、美工、标题、专集等的信息。现有的对于视频内容的内容元数据包括例如标题、帧速率、视频帧大小、视频帧格式、视频压缩标准、段、字幕、菜单、持续时间、子标题等的信息。广告元数据标签608可包括广告时隙ID、广告持续时间、广告统一资源定位器（URL）、广告类型、广告报告URL（例如，报告广告使用统计的位置）和其他信息中的一个或多个。广告时隙可根据广告时隙的类型而包括不同的信息集。例如，对于电影的广告时隙可包括与对于TV节目的广告时隙不同的信息。
在本发明的实施例中，广告可在SP服务器和/或客户端上动态地选择和/或个性化。当在SP服务器上选择时，在一个实施例中，SP服务器从广告缓存611提取选择的广告并且使用广告摘要605将这些广告插入具有广告时隙610的内容的适当的广告时隙内，并且将所得的修改内容传送到客户端计算系统用于随后呈现给用户。在另一个实施例中，SP服务器选择广告、填充广告缓存611并且将广告缓存连同具有广告时隙610和广告摘要605的内容发送到客户端计算系统用于插入和重放。在实施例中，SP服务器可将广告缓存611和广告摘要605与具有广告时隙610的内容分开地传送到客户端计算系统。在实施例中，可存在对于具有广告时隙610的单个内容限定的多个广告摘要。
当通过客户端计算装置上的安全处理器314中的认证、预备密钥管理、输出控制和基于动态上下文的广告匹配组件选择时，在一个实施例中，安全处理器基于广告匹配过程选择广告、经由网络201从SP服务器104或其他源获得广告并且将它们存储在客户端上的广告缓存550中。具有广告时隙610的内容可由客户端计算系统存储在HDD/SSD 510的内容缓存552中。广告摘要还可存储在HDD/SSD中。在稍后的时间点处，安全处理器314指示图形引擎320在重放处理期间至少部分基于广告时隙、客户端的当前上下文信息以及广告摘要而将来自广告缓存的广告插入从内容缓存552获得的内容流。广告缓存、广告摘要以及当然具有广告时隙的内容可使用上文描述的方法而受到密码保护。在实施例中，广告可使用与用于对内容加密的相同的标题密钥来加密。在另一个实施例中，可使用不同的密钥。该不同的密钥可采用与标题密钥相同的方式安全地传送到客户端计算系统。在另外的实施例，广告可未被加密。
当在客户端上动态选择时，广告选择可基于被客户端计算系统的安全处理器314已知或发现的一个或多个局部上下文因素。该一个或多个上下文因素可包括从传感器554获得的传感器信息。在实施例中，客户端计算系统的地理位置可用于实时确定哪些广告要插入内容流中的广告时隙内。例如，对于本地业务的广告可基于客户端计算系统的当前位置而插入。在实施例中，包括客户端计算系统的装置的类型可用于确定要插入哪些广告。即，可在确定广告时考虑客户端计算系统是否是平板计算机、桌上型PC、膝上型PC、上网本、智能电话、机顶盒等和/或客户端计算系统的显示器的大小、格式和/或分辨率。在另外的实施例中，还可使用客户端计算系统的当前使用模型，例如通过客户端计算系统的内容的显示是个人的（即，单独的）还是公共的（即，多个观看者）。
其他广告匹配因素可包括当前移动性状态，例如客户端计算系统是静止、移动（例如，连接到公共热点）还是流动的（在例如地铁车辆、列车、汽车等运输系统上在传送中）、内容的类型（例如，电影对TV节目）、客户端计算系统是否当前在网络上连接到服务提供者、内容是已经下载到客户端计算系统还是在网络上流传送、内容是已被购买还是广告支持的、客户端计算系统的当前用户接口（UI）是触摸屏还是其他直接操纵UI对向后靠”被动观看/UI模式以及是单个内容流还是多个内容流被客户端计算系统处理。还可使用其他广告匹配因素。
本发明的实施例还提供广告测量。即，当选择广告并且将其插入广告时隙内用于重放时，客户端计算系统（在一个实施例中经由安全处理器）可将服务于哪些广告以及有多么频繁汇报给服务提供者服务器104。另外，每次重放内容流，本发明的实施例提供在播放时触发对广告内容的跟踪事件并且将这样的跟踪事件汇报给服务提供者服务器104。
从而，相同内容标题的重放可根据例如地理位置、使用的客户端计算系统的类型、重放模式等因素对用户提供不同的观看体验和不同的广告。
在本发明的实施例中，安全可因为广告时隙或插入内容（由SP服务器或客户端计算装置上的安全处理器或图形引擎）的选择广告可非常难以被用户或黑客去除或修改（由于由HW ROT提供的安全）而提高。去除或修改广告时隙、广告摘要和/或广告的任何尝试可通过上文论述的密码技术而检测。
图8是根据本发明的实施例的动态广告插入处理的流程图。在框802处，内容提供者通过分析内容102来创建具有广告时隙610的内容。内容提供者还创建广告摘要605，其包括描述对于内容的广告时隙的信息。在框804处，SP服务器应用至少部分基于用户简档606、广告元数据标签608和广告摘要605从广告内容604选择广告。广告选择可由任何适合的广告匹配过程实行。在实施例中，对于该内容可存在比广告时隙更多的为广告缓存选择的广告以便允许客户端计算系统上的安全处理器利用来自广告缓存的选择广告动态定制内容重放体验。在框806处，SP服务器将选择的广告存储在广告缓存中。在一个实施例中，如果客户端计算系统当前与SP服务器通信耦合（即，“在线”），广告缓存可规定选择的广告的统一资源定位器（URL）。在另一个实施例中，如果客户端计算系统当前未与SP服务器通信耦合（即，“离线”），广告缓存可被SP服务器用广告来填充。
在框808处，SP服务器将广告缓存611发送到客户端计算系统。SP服务器还可将广告摘要605发送到客户端计算系统。在框810处，客户端计算系统将接收的广告缓存611作为广告缓存550存储在HDD/SSD中。在实施例中，SP播放器/媒体浏览器可请求和/或接收广告缓存。客户端计算系统还可将广告摘要存储在HDD/SSD中。在实施例中，广告缓存和/或广告摘要可使用已知手段来加密。客户端计算系统可在存储有关的广告缓存和广告摘要之前或之后存储具有广告时隙610的内容。存储处理现在是完整的。
当在一些稍后的时间点处用户期望观看内容时，重放处理在框812处以SP播放器/媒体浏览器302（在用户方向处）选择具有广告时隙610的内容用于重放而开始。在通过在上文参考图5描述的安全媒体处理流水线发送具有广告时隙的内容之前，在框814处，SP播放器/媒体浏览器从HDD/SSD获得广告摘要并且将广告摘要发送到安全处理器。在框816处，安全处理器314的认证、预备密钥管理、输出控制和基于动态上下文的广告匹配组件516基于广告摘要和客户端计算系统的当前上下文（如由传感器554接收的以及当前客户端计算系统设置）进行动态广告匹配过程，并且将描述广告时隙和关联的广告ID的信息发送到SP播放器/媒体浏览器。在框818处，SP播放器/媒体浏览器将具有广告时隙和识别时隙（来自基于广告ID的广告缓存）的内容安全地发送到图形引擎（GFX）320用于在显示器538上呈现用于由用户观看。在各种实施例中，广告可从客户端上的广告缓存550、SP服务器上的广告缓存611或从网络201上的位置处的另一个实体拉出。识别的广告在内容呈现期间被插入广告时隙。在实施例中，除在安全处理器和/或图形引擎内的处理的时候，广告和广告摘要可采用加密的形式维持。
在框820处，安全处理器314的认证、预备密钥管理、输出控制和基于动态上下文的广告匹配组件516可监测呈现的内容和广告并且将描述呈现内容和广告的使用数据汇报给SP服务器应用。使用数据可基于上文描述的方法被加密并且安全地传送到SP服务器。
在说明书中对“一个实施例”或“实施例”的引用意指连同实施例描述的特定特征、结构或特性可包括在至少一个实现中。短语“在一个实施例中”在说明书中各种地方的出现可全指或可并不全指相同的实施例。
而且，在描述和权利要求中，可使用术语“耦合”和“连接”连同它们的派生词。在本发明的一些实施例中，“连接”用于指示两个或以上的元件彼此直接物理或电接触。“耦合”可意指两个或以上的元件直接物理或电接触。然而，“耦合”还可意指两个或以上的元件可彼此不直接接触，但仍可彼此配合或相互作用。
尽管本发明的实施例已经用结构特征和/或方法论行为特定的语言描述，要理解要求保护的主旨可不限于描述的特定特征或行为。相反，特定特征和行为作为实现要求保护的主旨的示例形式而公开。