Способ и устройство для защищенной передачи учтенных копий многоадресной аудио-визуальной программы с использованием техник шифрования данных и создания меток

Область техники, к которой относится изобретение

Настоящее изобретение в целом относится к защищенному распространению мультимедийного контента. Конкретнее изобретение относится к способу и устройству для защищенной передачи различным персональным пользовательским устройствам учтенных копий многоадресной аудиовизуальной программы и разрешенного использования учтенной аудиовизуальной программы, гарантируемых инновационным подходом с использованием техник шифрования данных и создания меток.

Уровень техники

Растущее применение цифрового телевидения (спутникового, кабельного и радиовещания, а также появившегося позднее группового вещания с использованием протокола IP multicast) обеспечивает более гибкое потребление контента на стороне клиента. Пользователи могут записывать телевизионные программы с целью их просмотра после окончания времени распространения или изготовления постоянных частных копий, которые могут воспроизводиться на каких-либо персональных домашних устройствах. Совместное использование этих копий с членами семьи или друзьями представляет собой другую функцию, высоко востребованную абонентами цифрового телевидения.

Однако эти новые услуги должны гарантировать права, предоставляемые владельцами контента или поставщиками услуг, а также предотвращать любое незаконное использование и идентифицировать успешные попытки хакерского проникновения.

Специалистам в данной области известны различные технологии, обеспечивающие надежное внедрение этого типа систем.

Технология DTCP (Digital Transmission Content Protection, система защиты цифрового контента) представляет собой техническую спецификацию для защиты от копирования защищенного авторским правом контента, который передается по цифровым интерфейсам на персональные домашние устройства. Согласно этой спецификации цифровой контент может надежно использоваться в совместном режиме домашними устройствами пользователя, но не может использоваться совместно с третьими сторонами, находящимися за пределами домашней сети. С помощью схемы аутентификации DTCP позволяет пользователю назначать устройства в домашней сети в качестве доверенных получателей, которые могут передавать данные в обе стороны.

Однако недостаток этой технологии состоит в том, что пользователь-злоумышленник может обойти меры безопасности DTCP, создав «фиктивное» устройство как часть своей домашней сети и не только используя его для несанкционированного потребления контента, но и, что еще хуже, для его незаконного распространения.

Другой недостаток заключается в том, что технология DTCP предусматривает, что контент следует зашифровать перед его передачей на другие персональные домашние устройства. Это требует использования более дорогостоящих домашних устройств, ограничивая тем самым применение такой системы.

СРСМ (Content Protection and Copy Management, защита контента и управление копированием) является частью спецификации DVB (Digital Video Broadcast, цифровое телевизионное вещание). Технология СРСМ предназначена для защиты аудиовизуального контента после того, как он был получен устройством пользователя. После получения аудиовизуального контента СРСМ-совместимым устройством его защищают с помощью различных криптографических техник, при этом с защищаемым контентом связана лицензия, содержащая права на его потребление. Таким образом, защищаемый контент может воспроизводиться другими СРСМ-совместимыми устройствами с учетом прав использования, хранящихся в контенте.

Несмотря на различие двух используемых технологий (СРСМ концентрируется на защите контента, а DTCP - на защите транспортного канала), СРСМ страдает теми же недостатками, что и DTCP: невозможностью идентифицировать успешные попытки хакерского проникновения, а также сложностью и высокой стоимостью применяемых домашних устройств.

Раскрытие изобретения

Изобретение предлагает устранить эти недостатки путем маркировки контента с помощью уникальных меток для каждого потребляющего устройства, чтобы сделать возможной последующую идентификацию возможных хакерских попыток, с одновременным предложением более простой системы защиты, которая требует уникального функционирования системы защиты контента, применяемой лишь однократно на стороне сервера.

Чтобы устранить эти недостатки, предлагается способ защищенной передачи исходного аудиовизуального потока множеству пользовательских устройств в ходе многоадресного сеанса, включающий шаги, на которых генерируют:

- защищаемый аудиовизуальный поток путем модификации указанного исходного аудиовизуального потока;

- дополнительный поток любого формата, содержащий цифровую информацию, пригодную для того, чтобы сделать возможной восстановление аудиовизуального потока по указанному защищаемому потоку, отличающийся тем, что включает следующие шаги:

- вычисляют первую метку как функцию уникального идентификатора приемного пользовательского устройства или внешнего защищенного устройства;

- вычисляют в указанном приемном пользовательском устройстве первый маркированный аудиовизуальный поток по указанному защищаемому потоку как функцию указанной первой метки и указанного дополнительного потока;

- передают указанный защищаемый поток с указанного приемного устройства на второе устройство;

- вычисляют вторую метку как функцию уникального идентификатора:

- второго устройства, внешнего защищенного устройства или пользователя, применяющего указанное второе устройство;

- вычисляют в указанном втором пользовательском устройстве второй маркированный аудиовизуальный поток по указанному защищаемому потоку, полученному от указанного приемного устройства, как функцию второй метки.

Другим аспектом изобретения является устройство, включающее:

- средства генерации защищаемого аудиовизуального потока путем модификации исходного аудиовизуального потока;

- средства генерации дополнительного потока любого формата, содержащего цифровую информацию, пригодную для того, чтобы сделать возможной восстановление аудиовизуального потока по указанному защищаемому потоку;

- средства вычисления первой метки как функции уникального идентификатора приемного пользовательского устройства или внешнего защищенного устройства;

- средства вычисления в указанном приемном пользовательском устройстве первого маркированного аудиовизуального потока по указанному защищаемому потоку как функции указанной первой метки и указанного дополнительного потока;

- средства передачи указанного защищаемого потока с указанного приемного устройства на второе устройство;

- средства вычисления второй метки как функции уникального идентификатора: второго устройства, внешнего защищенного устройства или пользователя, применяющего указанное второе устройство;

- средства вычисления в указанном втором пользовательском устройстве второго маркированного аудиовизуального потока по указанному защищаемому потоку, полученному от указанного приемного устройства, как функции второй метки.

Краткое описание чертежей

Изобретение станет понятнее благодаря подробному описанию вариантов его осуществления со ссылкой на прилагаемые чертежи.

На ФИГ.1А и 1В подробно показана сторона сервера многоадресной системы, обеспечивающей надежную доставку мультимедийного контента.

На ФИГ.2А, 2В и 2С подробно показана сторона клиента многоадресной системы, обеспечивающей надежную доставку мультимедийного контента, представленного на ФИГ.1А и 1В.

На ФИГ.3А, 3В и 3С подробно показан модуль дешифрования, расположенный на стороне клиента многоадресных систем, представленных на ФИГ.2А, 2В и 2С.

Осуществление изобретения

Ниже некоторые примеры вариантов осуществления настоящего изобретения будут подробно описаны со ссылкой на прилагаемые чертежи.

В нижеследующем описании объекты, определяемые в тексте, такие как детализированная схема и элементы, приведены только для того, чтобы способствовать полному пониманию изобретения. Таким образом, очевидно, что изобретение может быть реализовано без этих определяемых объектов. Помимо этого, хорошо известные функции или схемы не описаны подробно, поскольку они затемняли бы сущность изобретения ненужными подробностями.

Кроме того, одинаковые позиционные обозначения на прилагаемых чертежах относятся к одним и тем же техническим элементам, если иное их значение не указано в явном виде.

На ФИГ.1А представлена структурная схема системы защиты, включающей: сервер распределения многоадресного контента 11, приемное устройство 12 для воспроизведения контента, распределяемого сервером 11, и второе устройство 13 для воспроизведения контента, передаваемого вторым устройством 12.

Сервер распределения многоадресного контента 11 выполняет две основные функции: защиту входного контента и его передачу динамической группе пользователей с помощью методов широковещания.

Поток первоначального контента 1 представляет собой мультимедийный поток, содержащий потоки аудио- и видеоданных, а также потоки медиаданных с богатым информационным наполнением.

Для сжатия аудиовизуальных данных применяются способы, хорошо известные специалистам в данной области, такие как стандартные технологии MPEG-2, MPEG-4 часть 2, MPEG-4 AVC/H.26 4, MPEG-4 SVC и т.д., или способы, широко применяемые в отрасли, такие как Windows Media Audio и Video, VP6 и т.д.

Структура потока исходного контента 1, а также другие механизмы, позволяющие осуществлять смешивание различных аудио- и видеопотоков, а также сигнализацию о типах кодеков, типах потоков и частных данных, являются стандартными, такими как форматы файлов MPEG-2 TS, MP4 и т.д., или патентованными, например, формат файлов FLV (флэш-видео), формат файлов ASF (Advanced Systems Format, формат для усовершенствованных систем) и т.д.

Поток исходного контента 1 зашифровывается модулем шифрования 2, который в качестве выходных потоков генерирует защищаемый поток 121 и дополнительный поток 122, содержащий информацию, необходимую компоненту дешифрования 21 для генерации на основе защищаемого потока 121 маркированных контентов 124 и 127 как функции первой метки 511 и, соответственно, второй метки 512.

Формат дополнительного потока 122 может быть либо патентованным, либо стандартным, например, относящимся к тому же стандарту, что и формат защищаемого потока 121.

Согласно одному из аспектов изобретения защищаемый поток 121 и дополнительный поток 122 генерируются модулем шифрования 2 с использованием различных криптографических механизмов, известных специалистам в данной области, как, например, спецификации DVB-CA (см. стандарт ETR 289).

Согласно одному из аспектов техника, которая позволяет защищаемому потоку иметь такой же формат, как у первоначального потока, должна использовать различные параметры аудиовизуальных стандартов, которые заставляли бы декодер пропускать (то есть не декодировать) модифицированные данные, содержащиеся в защищаемом потоке. Например, в случае видеоданных, кодируемых затем в стандарте Н.264, модифицированный блок NALU (Network Abstraction Level Unit, блок уровня сетевой абстракции), представляющий собой часть защищаемого потока, пропускается стандартным декодером, если значение поля NALU_type установлено в 0 или начинается в интервале 24-31. Пропуск модифицированного NALU защищаемого потока дает пользователю возможность получить доступ к неполному представлению защищаемого контента (поскольку декодироваться будет только немодифицированный NALU), что не позволит ему потреблять контент, но предложит приобрести его, чтобы осуществить визуализацию с надлежащим качеством.

Согласно другому аспекту защищаемый поток 121 и дополнительный поток 122 генерируются модулем шифрования 2 путем замены некоторых частей потока исходного контента 1 другими данными и, таким образом, генерации потока защищаемого контента, совместимого с форматом потока исходного контента 1, и сохранения первоначальных заменяемых частей в дополнительном потоке 122.

Этот способ описан в различных документах, например, в документе WO 2005/032135.

Согласно одному из аспектов генерируемые потоки 121 и 122 распределяются в динамической группе приемников модулем передачи 4 с использованием одного многоадресного сеанса для обоих потоков.

Согласно одному из аспектов в модуль передачи 4 включены функции DVB МUХ для мультиплексирования и/или передачи генерируемых потоков 121 и 122.

Согласно другому аспекту генерируемые потоки 121 и 122 распределяются в динамической группе приемников модулем передачи 42 и, соответственно, 43 с использованием отдельных многоадресных сеансов для каждого потока.

Согласно одному из аспектов в модуль передачи 43 и (или) 42 включены функции DVB MUX для мультиплексирования и (или) передачи генерируемых потоков 121 и 122.

Согласно одному из аспектов передача дополнительного потока 122 защищена различными криптографическими средствами, хорошо известными специалистам в данной области. Например, дополнительный поток 122 защищен путем реализации спецификаций DVB-CA (см. стандарт ETR 289).

На стороне клиента защищаемый поток 121 и дополнительный поток 122 поступают на приемное устройство 12 через сетевой интерфейс 41.

Приемное устройство 12 представляет собой компьютер, телевизионную приставку, медиацентр, мобильный телефон, КПК, переносной медиаплеер или любое другое аппаратное устройство с мультимедийными возможностями.

Сетевой интерфейс 41 представляет собой IP (Интернет-протокол), кабельный, наземный, спутниковый или мобильный сетевой интерфейс в зависимости от вида сети, по которой передаются два потока.

Затем эти два потока обрабатываются модулем дешифрования 22 с целью генерации первого маркированного контента 124 как функции первой метки 511. Функции модуля шифрования 21 будут описаны ниже (ФИГ.3А).

После этого первый маркированный контент 124 передается мультимедийному декодирующему интерфейсу 6 для декодирования и воспроизведения.

Мультимедийный декодирующий интерфейс 6 представляет собой программный/аппаратный модуль, выполняющий декодирование аудиовизуальной информации, мультимедийный плеер или внешнее устройство, обладающие разнообразными возможностями в отношении декодирования и воспроизведения мультимедийных данных.

Защищаемый контент 121 передается от приемного устройства 12 на второе устройство 13 с помощью прямого соединения (например, соединения USB), сетевого транспорта (например, беспроводного или проводного) или внешнего носителя информации (например, внешнего жесткого диска, флэш-диска, флэш-накопителя или диска CD/DVD).

Второе устройство 13 представляет собой компьютер, телевизионную приставку, медиацентр, мобильный телефон, КПК, переносной медиаплеер или любое другое аппаратное устройство с мультимедийными возможностями.

Во втором устройстве 13 защищаемый контент 121 и дополнительный поток 122 обрабатываются затем модулем дешифрования 21 с целью генерации второго маркированного контента 127 как функции второй метки 512.

Затем второй маркированный контент 127 передается мультимедийному декодирующему интерфейсу 61 для декодирования и воспроизведения.

Мультимедийный декодирующий интерфейс 61 представляет собой программный/аппаратный модуль, выполняющий декодирование аудиовизуальной информации, мультимедийный плеер или внешнее устройство, обладающие разнообразными возможностями в отношении декодирования и воспроизведения мультимедийных данных 5.

На ФИГ.1А представлена структурная схема альтернативной системы защиты. Отличие от системы защиты, представленной на ФИГ.1А, состоит в том, что поток исходного контента 1 обрабатывается модулем предварительной маркировки 3, а не модулем шифрования 2.

Модуль предварительной маркировки 3 анализирует поток исходного контента 1 и генерирует 2 потока: поток предварительно маркированного контента 131, имеющий такое же представление аудиовизуальной информации, как поток исходного контента 1, и поток маркирующих метаданных 132, содержащий информацию, необходимую для генерации на основе потока предварительно маркированного контента 131 маркированных контентов 124 и 127 как функции первой метки 511 и, соответственно, второй метки 512.

Согласно одному из аспектов настоящего изобретения поток предварительно маркированного контента 131 и поток маркирующих метаданных 132 генерируются в соответствии с описанием, приведенным в документе WO 9965241.

Поток предварительно маркированного контента 131 и поток маркирующих метаданных 132 обрабатываются модулем шифрования 2 с целью генерации защищаемого потока 121 и дополнительного потока 122, который содержит информацию, необходимую компоненту дешифрования 21 для генерации на основе защищаемого потока 121 маркированных контентов 124 и 127 как функции первой метки 511 и, соответственно, второй метки 512.

Защищаемый поток 121, а затем дополнительный поток 122 обрабатываются в приемном устройстве 12 модулем дешифрования 21 с целью генерации первого маркированного контента 124 как функции первой метки 511. Функции модуля дешифрования 21 будут описаны ниже (ФИГ. 3В).

На ФИГ.2А подробно представлено функционирование приемного устройства 12 и второго устройства 13 при обработке защищаемого контента 121 и дополнительного потока 122, генерируемых, как показано на ФИГ.1А и 1B.

Первая метка 511 генерируется генератором меток 5.

Генератор меток 5 представляет собой SIM-карту, защищенное устройство USB или любой другой защищенный аппаратный/программный компонент, способный надежно сохранять уникальный идентификатор для генерации первой метки 511.

Первая метка 511 содержит значение, позволяющее осуществить уникальную идентификацию приемного устройства 12 (например, идентификатор SIM-карты), одного из аппаратных/программных компонентов приемного устройства 12 (например, значение, встроенное в чипсет). Кроме того, первая метка 511 может содержать идентификатор одной из операций, относящихся к защищаемому контенту 121 (например, дату/время потребления потока защищаемого контента 121, сбор/прием потока защищаемого контента 121 и т.д.).

Чтобы разрешить потребление потока защищаемого контента 121 на втором устройстве 13, дополнительный поток 122 передается с приемного устройства 12 на второе устройство 13.

Дополнительный поток 122 передается с приемного устройства 12 на второе устройство 13 с помощью прямого соединения (например, соединения USB), сетевого транспорта (например, беспроводного или проводного) или любого другого внешнего носителя информации (например, внешнего жесткого диска, флэш-диска, флэш-накопителя или диска CD/DVD).

Согласно одному из аспектов передача дополнительного потока 122 с приемного устройства 12 на второе устройство 13 защищена различными криптографическими средствами, хорошо известными специалистам в данной области.

Первая метка 512 генерируется генератором меток 51.

Генератор меток 51 представляет собой SIM-карту, защищенное устройство USB или любой другой защищенный аппаратный/программный компонент, способный надежно сохранять уникальный идентификатор для генерации первой метки 512.

Вторая метка 512 содержит значение, позволяющее осуществить уникальную идентификацию второго устройства 13 (например, идентификатор SIM-карты), одного из аппаратных/программных компонентов второго устройства 13 (например, значение, встроенное в чипсет). Кроме того, вторая метка 512 может содержать идентификатор одной из операций, относящихся к защищаемому контенту 121 (например, дату/время потребления потока защищаемого контента 121, сбор/прием потока защищаемого контента 121 и т.д.).

На ФИГ.2В подробно представлен альтернативный способ функционирования приемного устройства 12 и второго устройства 13 при обработке защищаемого контента 121 и дополнительного потока 122, генерируемых, как показано на ФИГ.1А и 1В. Различие между этим вариантом осуществления и вариантом, представленным на ФИГ.2А, заключается в том, что один и тот же генератор меток 5 генерирует обе метки: первую метку 511 и вторую метку 512.

Согласно одному из аспектов дополнительный поток 122 передается с приемного устройства 12 на второе устройство 13 с помощью генератора меток 5. В этой ситуации генератор меток 51 представляет собой SIM-карту, защищенное устройство USB или любой другой защищенный аппаратный/программный компонент, способный надежно считывать/записывать/сохранять двоичные данные.

Согласно одному из аспектов генератор меток 5 включает средства аутентификации приемного устройства 12 и (или) второго устройства 13, чтобы гарантировать защищенную передачу дополнительного потока 122 с приемного устройства 12 на второе устройство 13.

На ФИГ.2С подробно представлен альтернативный способ функционирования приемного устройства 12 и второго устройства 13 при обработке защищаемого контента 121 и дополнительного потока 122, генерируемых, как показано на ФИГ.1А и 1В. Различие между этим вариантом осуществления и вариантами, представленными на ФИГ.2А и 2С, заключается в том, что дополнительный поток 122 или дополнительный маркированный поток 123 передается с удаленного сервера 7 на второе устройство 13.

Дополнительный маркированный поток 123 генерируется на основе дополнительного потока 122 и второй метки 152 и содержит информацию, необходимую для генерации второго маркированного потока 127 на основе потока защищаемого контента 121. Генерация дополнительного маркированного потока 123 будет описана ниже (ФИГ.3С).

Согласно одному из аспектов дополнительный маркированный поток 123 генерируется в соответствии с описанием, приведенным в документе WO 2008/081113.

Согласно одному из аспектов как второе устройство 13, так и удаленный сервер 7 включают криптографические средства, хорошо известные специалистам в данной области, чтобы гарантировать защищенную передачу дополнительного потока 122 с удаленного сервера 7 на второе устройство 13.

Согласно другому аспекту генератор меток 5 или 51 принимает участие в процессе защиты передачи дополнительного потока 122 или дополнительного маркированного потока 123 с удаленного сервера 7 на второе устройство 13. В ходе этого процесса он выполняет следующие функции: надежно сохраняет информацию, используемую процессом аутентификации (например, идентификатор SIM-карты) между вторым устройством 13 и удаленным сервером 7 и (или) выполняет шифрование/дешифрование сообщений, которыми обмениваются между собой второе устройство 13 и удаленный сервер 7.

На ФИГ.3А отдельно представлены различные шаги, выполняемые устройством дешифрования 21 для генерации на основе потока защищаемого контента 121 и дополнительного потока 122 маркированного контента 124 или 127 как функции первой метки 511 или второй метки 512.

Устройство дешифрования 21 выполняет следующие шаги:

- осуществляет дешифрование 211 потока защищаемого контента 121 с помощью информации, содержащейся в дополнительном потоке 122, генерируя поток чистого контента 125 с таким же представлением визуальной и звуковой информации, как у исходного контента 1;

- осуществляет маркировку 311 потока чистого контента 125, генерируя маркированный контент 124 или 127 как функцию первой метки 511 и, соответственно, второй метки 512.

Согласно одному из аспектов на шаге дешифрования 211 ключи дешифрования, содержащиеся в дополнительном потоке 122, используются, чтобы дешифровать поток защищаемого контента 121 с целью получения потока чистого контента 125, при этом алгоритмы дешифрования хорошо известны специалистам в данной области техники.

Согласно другому аспекту на шаге дешифрования 211 используются оригинальные части потока исходного контента 1, содержащегося в дополнительном потоке 122, которые включаются обратно в поток защищаемого контента 121 для получения потока чистого контента 125.

Согласно другому аспекту включение оригинальных частей обратно в поток защищаемого контента 121 заменяет фиктивные части, включенные модулем шифрования 2.

Согласно одному из аспектов на шаге маркировки 311 потока чистого контента 125 используется информация, содержащаяся в дополнительном потоке 122.

Согласно одному из аспектов шаг маркировки 311 потока чистого контента 125 выполняется над кодированной или декодированной формой потока чистого контента 125 с использованием технологий маркировки, хорошо известных специалистам в данной области техники.

Согласно другому аспекту шаг шифрования 311 потока чистого контента 125 выполняется в соответствии с описанием, приведенным в документе WO 9965241.

На ФИГ.3В отдельно представлены различные шаги, выполняемые альтернативным устройством дешифрования 21 для генерации на основе потока защищаемого контента 121 и дополнительного потока 122 маркированного контента 124 или 127 как функции первой метки 511 или второй метки 512.

Устройство дешифрования 21 выполняет следующие шаги:

- осуществляет маркировку 312 дополнительного потока 122 с помощью первой метки 511 или второй метки 512, генерируя маркированный дополнительный поток 126;

- осуществляет дешифрование 212 потока защищаемого контента 121 с использованием информации, содержащейся в маркированном дополнительном потоке 126, генерируя маркированный контент 124 или 127.

Согласно одному из аспектов маркированный дополнительный поток 126 генерируется на шаге маркировки 312 в соответствии с описанием, приведенным в документе WO 2008/081113.

Согласно другому аспекту дополнительный поток 122 содержит оригинальные части потока исходного контента 1, извлеченные модулем шифрования 2 и замещенные фиктивными данными в потоке защищаемого контента 121, как описано, например, в документе WO 2005/032135. Дополнительный поток 122 содержит данные из потока маркирующих метаданных 132, как показано на ФИГ.1В. Поток маркирующих данных 132 генерируется в соответствии с описанием, приведенным в документе WO 9965241. На шаге маркировки 312 маркированный дополнительный поток 126 генерируется следующим образом:

- некоторые маркированные части потока маркирующих данных 132 выбираются для включения в аудиовизуальный контент как функции первой метки 511 или второй метки 512 в соответствии с описанием, приведенным в документе WO 9965241;

- маркированный дополнительный поток 126 генерируется путем смешивания указанных маркированных частей из потока маркирующих метаданных 132 с оригинальными частями потока исходного контента 1, содержащимися в дополнительном потоке 122.

Формат маркированного дополнительного потока 126 представляет собой поток маркирующих метаданных 132, формат дополнительного потока 122 или любой другой формат, патентованный или стандартный.

На шаге дешифрования 212 генерируется поток маркированного контента 124 или 127 путем включения всех частей контента, содержащихся в маркированном дополнительном потоке 126 (маркированном и исходном) в поток защищаемого контента 121. Этот шаг может быть реализован, например, способом, описанным в документе WO 2008/081113.

На ФИГ.3С отдельно представлены различные шаги, выполняемые альтернативным устройством дешифрования 21 для генерации на основе потока защищаемого контента 121 маркированного контента 127 как функции второй метки 512. Различие между этим вариантом осуществления и вариантом, представленными на ФИГ.3В, заключается в том, что модуль дешифрования 21 во втором устройстве 13 выполняет только шаг дешифрования 212, тогда как шаг дешифрования 312 выполняется дистанционно удаленным сервером 7. В этом случае только маркированный дополнительный поток 126 передается с удаленного сервера 7 на второе устройство 13.

1. Способ защищенной передачи исходного аудиовизуального потока (1) множеству пользовательских устройств в ходе многоадресного сеанса, включающий шаги, на которых генерируют:
- защищаемый аудиовизуальный поток (121) путем модификации указанного исходного аудиовизуального потока;
- дополнительный поток (122) любого формата, содержащий цифровую информацию, пригодную для обеспечения возможности восстановления аудиовизуального потока по защищаемому потоку,
отличающийся тем, что включает следующие шаги:
- вычисляют первую метку (511) как функцию уникального идентификатора приемного пользовательского устройства (12) или внешнего защищенного устройства (5);
- вычисляют в приемном пользовательском устройстве первый маркированный аудиовизуальный поток (124) по защищаемому потоку как функцию первой метки и дополнительного потока;
- передают защищаемый поток с указанного приемного устройства на второе устройство;
- вычисляют вторую метку (512) как функцию уникального идентификатора второго устройства (13), внешнего защищенного устройства (5, 51) или пользователя, применяющего указанное второе устройство;
- вычисляют в указанном втором пользовательском устройстве второй маркированный аудиовизуальный поток по защищаемому потоку, полученному от указанного приемного устройства, как функцию второй метки.

2. Способ по п.1, отличающийся тем, что защищаемый поток имеет такой же формат, как указанный исходный поток, и генерация защищаемого аудиовизуального потока включает замену по меньшей мере одной части исходного аудиовизуального потока другими данными в защищаемом аудиовизуальном потоке и сохранение указанных исходных заменяемых частей в дополнительном потоке.

3. Способ по п.1, отличающийся тем, что вычисление первого или второго маркированного аудиовизуального потока включает следующие шаги:
- осуществляют дешифрование (211) защищаемого аудиовизуального потока с помощью информации, содержащейся в дополнительном потоке, путем
генерации потока чистого контента (125) с таким же представлением визуальной и звуковой информации, как у исходного контента;
- генерируют первый или второй маркированный аудиовизуальный поток путем маркировки (311) потока чистого контента как функции первой метки или, соответственно, второй метки.

4. Способ по п.2, отличающийся тем, что вычисление первого или второго маркированного аудиовизуального потока включает следующие шаги:
- генерируют маркированный дополнительный поток (126) путем маркировки (312) дополнительного потока с помощью первой метки или второй метки соответственно;
- генерируют первый или второй маркированный аудиовизуальный поток путем дешифрования (212) потока защищаемого контента с помощью информации, содержащейся в маркированном дополнительном потоке.

5. Способ по п.1, отличающийся тем, что первая метка генерируется указанным приемным устройством.

6. Способ по п.1, отличающийся тем, что первая метка генерируется внешним защищенным устройством (5) и передается на указанное приемное устройство с помощью прямого соединения.

7. Способ по п.1, отличающийся тем, что вторая метка генерируется указанным приемным устройством и передается на указанное второе устройство с помощью прямого соединения.

8. Способ по п.1, отличающийся тем, что вторая метка генерируется указанным приемным устройством и передается на указанное второе устройство с
помощью внешнего защищенного устройства (51).

9. Способ по п.1, отличающийся тем, что вторая метка генерируется внешним защищенным устройством (51) и передается на указанное второе устройство с помощью прямого соединения.

10. Способ по п.1, отличающийся тем, что вторая метка генерируется указанным вторым устройством.

11. Система для осуществления способа, охарактеризованного в п.1, включающая:
- средства генерации защищаемого аудиовизуального потока (121) путем модификации указанного исходного аудиовизуального потока;
- средства генерации дополнительного потока (122) любого формата, содержащего цифровую информацию, пригодную для обеспечения возможности восстановления аудиовизуального потока по защищаемому потоку,
- средства вычисления первой метки (511) как функции уникального идентификатора приемного пользовательского устройства (12) или внешнего защищенного устройства (5);
- средства вычисления в приемном пользовательском устройстве первого маркированного аудиовизуального потока (124) по защищаемому потоку как функции первой метки и указанного дополнительного потока;
- средства передачи защищаемого потока с указанного приемного устройства на второе устройство;
- средства вычисления второй метки (512) как функции уникального идентификатора второго устройства (13), внешнего защищенного устройства (5, 51) или пользователя, применяющего указанное второе устройство;
- средства вычисления во втором пользовательском устройстве (13) второго маркированного аудиовизуального потока по защищаемому потоку, полученному от указанного приемного устройства, как функции второй метки.

12. Система по п.11, отличающаяся тем, что включает средства замены по меньшей мере одной части исходного аудиовизуального потока другими данными в защищаемом аудиовизуальном потоке и средства хранения указанных исходных заменяемых частей в указанном дополнительном потоке.

13. Система по п.11, отличающаяся тем, что включает следующие компоненты:
- средства дешифрования (211) защищаемого аудиовизуального потока с помощью информации, содержащейся в указанном дополнительном потоке, путем генерации потока чистого контента (125) с таким же представлением визуальной и звуковой информации, как у исходного контента;
- средства генерации (311) первого или второго маркированного аудиовизуального потока путем маркировки потока чистого контента как функции первой метки или второй метки соответственно.

14. Система по п.12, отличающаяся тем, что включает следующие компоненты:
- средства генерации (312) маркированного дополнительного потока (126) путем маркировки указанного дополнительного потока с помощью первой метки или второй метки соответственно;
- средства генерации (212) первого или второго маркированного аудиовизуального потока путем дешифрования потока защищаемого контента с помощью информации, содержащейся в маркированном дополнительном потоке.

15. Система по п.11, отличающаяся тем, что включает внешнее защищенное устройство (5, 51) для передачи дополнительного потока от указанного приемного устройства на указанное второе устройство.