專利名稱:用于對數(shù)字內(nèi)容進行管理的方法和設備的制作方法
技術(shù)領域:
本發(fā)明總體上涉及信息技術(shù)��。更具體地說��,本發(fā)明涉及數(shù)字內(nèi)容管理�。
背景技術(shù):
DRM (Digital Rights Management,數(shù)字權(quán)限管理)是一種保護數(shù)字內(nèi)容免受非授權(quán)使用的方式��。在已知的DRM應用場景中�����,如圖1所示��,存在所涉及的幾個角色�����,被稱為內(nèi)容提供商設備(以下稱為CP) 101�、權(quán)限發(fā)放設備(以下稱為RI) 102、客戶機設備(以下稱為 ⑶)103�。為了購買(即訪問/使用…)一份數(shù)字內(nèi)容,⑶103首先經(jīng)由網(wǎng)絡104連接到CP 101,以得到(通過在線下載或通過其它離線方法)所述數(shù)字內(nèi)容的加密版本���。隨后,CD 103 連接到RI 102以進行支付�����,并且獲得授權(quán)訪問數(shù)字內(nèi)容的許可證數(shù)據(jù)���。內(nèi)容密鑰包括在許可證數(shù)據(jù)中���,以用于對數(shù)字內(nèi)容進行解密。通常��,由RI 102用⑶103的密鑰對許可證數(shù)據(jù)進行加密���,從而只有CD 103可以獲取內(nèi)容密鑰以對數(shù)字內(nèi)容進行解密���。在此情況下,在CP 101與RI 102之間共享用于解密的內(nèi)容密鑰��,這種情形適合于由彼此信任的“各方”來實現(xiàn) CP和RI的情況(例如在第一實體中實現(xiàn)CP��,在第二實體中實現(xiàn)RI,所述第一實體和第二實體由大公司來操作)��。不同于由大公司來出版數(shù)字內(nèi)容的情形�,由個人/個體或由小公司來出版數(shù)字內(nèi)容具有其自身的特征。當內(nèi)容制作者是個人或小公司時��,其只能扮演CP的角色��,并且通常使網(wǎng)站/服務器出版內(nèi)容����,但內(nèi)容制作者沒有能力提供DRM服務,因此內(nèi)容制作者必須尋找獨立的實體來充當RI����。在此情況下,CP和RI是獨立的實體�����,即���,它們具有它們自身的利益�, 并且因此不一定相互信任��。例如,RI希望控制CP已發(fā)布多少受保護的副本�����,并且想要相應地收取傭金�����。CP希望使其自身的內(nèi)容免受RI訪問�����。因此���,當CP和RI是獨立的實體時,需要既滿足CP的需求又滿足RI的需求���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出用于管理數(shù)字內(nèi)容的改進的方法。由CP、RI和⑶來實現(xiàn)所述改進的方法��。在以下描述中�,第一設備與CP對應,第二設備與RI對應�,第三設備與CD對應。根據(jù)本發(fā)明第一方面����,提供一種由第一設備執(zhí)行的用于對數(shù)字內(nèi)容進行管理的方法。在此方法中��,由所述第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密����。所述方法包括步驟由所述第一設備對所述內(nèi)容密鑰進行加密,以生成加密的內(nèi)容密鑰���;以及由所述第一設備將所述加密的內(nèi)容密鑰發(fā)送到第二設備����,其中����,所述加密的內(nèi)容密鑰意在被包括在要由所述第二設備響應于來自所述第三設備的使用所述數(shù)字內(nèi)容的請求而發(fā)送到第三設備的許可證數(shù)據(jù)中�,所述許可證數(shù)據(jù)描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限���。根據(jù)本發(fā)明第二方面�,提供一種由第二設備執(zhí)行的用于對數(shù)字內(nèi)容進行管理的方法�。在此方法中,由第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密����,并由所述第一設備對所述內(nèi)容密鑰進行加密�����,以生成加密的內(nèi)容密鑰����。該方法包括步驟由第二設備從所述第一設備接收加密的內(nèi)容密鑰;以及由所述第二設備響應于來自第三設備的使用所述數(shù)字內(nèi)容的請求而將描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)發(fā)送到所述第三設備���,其中�����,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰�����。根據(jù)本發(fā)明第三方面����,提供一種由第三設備執(zhí)行的用于對數(shù)字內(nèi)容進行管理的方法。在此方法中����,由第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密,由所述第一設備對所述內(nèi)容密鑰進行加密�����,以生成加密的內(nèi)容密鑰�����,由所述第一設備將所述加密的內(nèi)容密鑰發(fā)送到第二設備�。該方法包括步驟由所述第三設備將使用所述數(shù)字內(nèi)容的請求發(fā)送到所述第二設備;由所述第三設備從所述第二設備接收描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)�,其中,所述許可證包括所述加密的內(nèi)容密鑰���;以及���,由所述第三設備從所述第一設備接收用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)���。根據(jù)本發(fā)明第四方面,提供一種用于對數(shù)字內(nèi)容進行管理的第一設備�。在該第一設備中,由所述第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密�����。第一設備包括用于對所述內(nèi)容進行加密以生成加密的內(nèi)容密鑰的單元�;以及用于將所述加密的內(nèi)容密鑰發(fā)送到第二設備的單元,其中��,所述加密的內(nèi)容密鑰意在被包括在要由所述第二設備響應于來自所述第三設備的使用所述數(shù)字內(nèi)容的請求而發(fā)送到第三設備的許可證數(shù)據(jù)中���,所述許可證數(shù)據(jù)描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限。根據(jù)本發(fā)明第五方面����,提供一種用于對數(shù)字內(nèi)容進行管理的第二設備。在該第二設備中�����,由第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密,由所述第一設備對所述內(nèi)容密鑰進行加密����,以生成加密的內(nèi)容密鑰。第二設備包括用于從所述第一設備接收加密的內(nèi)容密鑰的單元���;以及用于響應于來自第三設備的使用所述數(shù)字內(nèi)容的請求而將描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)發(fā)送到所述第三設備的單元����,其中���,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰�。根據(jù)本發(fā)明第六方面�,提供一種用于對數(shù)字內(nèi)容進行管理的第三設備。在該第三設備中����,由第一設備用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密,由所述第一設備對所述內(nèi)容密鑰進行加密�,以生成加密的內(nèi)容密鑰,并由所述第一設備將所述加密的內(nèi)容密鑰發(fā)送到第二設備���。第三設備包括用于將使用所述數(shù)字內(nèi)容的請求發(fā)送到所述第二設備的單元����;用于從所述第二設備接收描述由所述第三設備使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)的單元,其中����,所述許可證包括所述加密的內(nèi)容密鑰;以及用于從所述第一設備接收用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的單元�����。由于內(nèi)容密鑰被加密����,因此RI設備不能訪問數(shù)字內(nèi)容,但它仍然可以執(zhí)行許可證數(shù)據(jù)服務�。因此獨立于RI的CP可以使用來自RI的服務并且無需與RI共享內(nèi)容密鑰。
參照附圖�,根據(jù)下面對本發(fā)明的各個方面的詳細描述����,本發(fā)明的以上和其它目的和特征將變得更加明顯,附圖中
圖1是顯示已知DRM系統(tǒng)的示意圖���; 圖2顯示根據(jù)本發(fā)明的用于管理數(shù)字內(nèi)容的系統(tǒng)����; 圖3是根據(jù)本發(fā)明的用于管理數(shù)字內(nèi)容的流程圖; 圖4是根據(jù)本發(fā)明的第一設備的框圖����;圖5是根據(jù)本發(fā)明的第二設備的框圖; 圖6是根據(jù)本發(fā)明的第三設備的框圖�。
具體實施例方式在本發(fā)明中,假設CP保存用于對給定加密的數(shù)字內(nèi)容進行解密的內(nèi)容密鑰�;CP需要RI來幫助發(fā)放許可證數(shù)據(jù);RI是將DRM服務提供給CP的獨立實體�。圖2顯示根據(jù)本發(fā)明的用于管理數(shù)字內(nèi)容的系統(tǒng)。所述系統(tǒng)包括第一設備21���、 第二設備22和第三設備23�。第一設備21�、第二設備22和第三設備23能夠通過有線網(wǎng)絡或無線網(wǎng)絡而彼此通信。第一設備21是能夠?qū)?shù)字內(nèi)容進行加密并且發(fā)布加密的數(shù)字內(nèi)容的CP�。第一設備21可以例如對應于個人計算機。第二設備22是能夠生成許可證數(shù)據(jù)并且將其發(fā)放給CD 的RI�����。例如,第二設備22可以對應于服務器����。第三設備23是需要使用數(shù)字內(nèi)容的CD。第三設備23可以對應于個人計算機���。本發(fā)明的原理在于由第一設備21將加密的內(nèi)容密鑰202發(fā)送到第二設備22 ���;在第三設備23的請求下,第二設備22將包括加密的內(nèi)容密鑰202的許可證數(shù)據(jù)203發(fā)放到第三設備23 �;因此第三設備23從第二設備22獲得許可證數(shù)據(jù)203 ;然后第三設備23從第一設備21接收數(shù)據(jù)204,以用于對加密的內(nèi)容密鑰202進行解密。下面給出由第一設備21����、 第二設備22和第三設備23執(zhí)行的步驟的詳細描述��。如圖3所示�����,方框表示步驟�;虛線方框表示該步驟是可選步驟�;帶箭頭的線表示數(shù)據(jù)發(fā)送路徑。一方面�,數(shù)據(jù)是上一步驟的結(jié)果(例如上一步驟的輸出),而另一方面�����,數(shù)據(jù)是下一步驟的輸入�����。在圖3中����,第一設備21具有數(shù)字內(nèi)容,并且想要使用數(shù)字權(quán)限管理系統(tǒng)(DRM)來發(fā)布數(shù)字內(nèi)容��。所述數(shù)字內(nèi)容可以表示任意類型的數(shù)字內(nèi)容�����,諸如視頻數(shù)據(jù)(例如電影)�����、音頻數(shù)據(jù)(例如歌曲)�、文本文檔(例如期刊、書籍、雜志或報紙)以及軟件(例如完整的應用程序��、更新���、補丁)等等���。在發(fā)布數(shù)字內(nèi)容之前,由第一設備21將數(shù)字內(nèi)容打包���,以創(chuàng)建數(shù)字內(nèi)容包����。對數(shù)字內(nèi)容打包包括用內(nèi)容密鑰對數(shù)字內(nèi)容進行加密�,添加數(shù)字內(nèi)容首標以用于描述數(shù)字內(nèi)容的必要信息等等。所述必要信息例如可以是內(nèi)容密鑰ID���、用于獲得許可證數(shù)據(jù)的IP地址寸寸��。為了對數(shù)字內(nèi)容進行加密�����,可以使用很多傳統(tǒng)加密方法��,例如對稱加密算法或非對稱加密算法����。如果使用對稱加密算法�����,則對于加密和解密僅使用一個密鑰�����。如果使用非對稱加密算法����,則涉及密鑰對即私鑰和公鑰。一般地����,公鑰用于對數(shù)字內(nèi)容進行加密,私鑰用于對數(shù)字內(nèi)容進行解密����。對數(shù)字內(nèi)容進行打包是本領域內(nèi)所公知的,因此在此將不給出詳細描述���。在由第一設備21對數(shù)字內(nèi)容進行打包之后��,由第一設備21通過因特網(wǎng)(例如通過網(wǎng)頁)或通過任何可移動存儲設備(例如CD���、DVD����、閃存等等)來將其發(fā)布����。根據(jù)本發(fā)明,提供一種由第一設備21執(zhí)行的用于對數(shù)字內(nèi)容進行管理的方法�。所述方法包括步驟310 由所述第一設備21對所述內(nèi)容密鑰進行加密,以生成加密的內(nèi)容密鑰�����。當生成加密的內(nèi)容密鑰時�,執(zhí)行步驟311 由第一設備21將加密的內(nèi)容密鑰發(fā)送到第二設備22。被發(fā)送到第二設備22的加密的內(nèi)容密鑰意在被包括在要由第二設備22響應于來自第三設備23的使用所述數(shù)字內(nèi)容的請求而發(fā)送到第三設備23的許可證數(shù)據(jù)中���, 所述許可證數(shù)據(jù)描述由所述第三設備23使用所述數(shù)字內(nèi)容的權(quán)限�����?�?梢詫⒓用艿膬?nèi)容密鑰從第一設備21直接發(fā)送到第二設備22���。還可以將其間接發(fā)送到第二設備22��。例如,可以將其上傳(發(fā)送)到預先定義的地址����,以用于由第二設備22 來下載。還有可能不是發(fā)送加密的內(nèi)容密鑰而是發(fā)送加密的內(nèi)容密鑰ID (標識)��,并且第二設備22可以基于加密的內(nèi)容密鑰ID來生成加密的內(nèi)容密鑰�����。與發(fā)送加密的內(nèi)容密鑰相似�����, 也可以將加密的內(nèi)容密鑰ID直接地或間接地發(fā)送到第二設備22��。因為最終結(jié)果是第二設備22從第一設備21獲得加密的內(nèi)容密鑰�,所以發(fā)送步驟 311涉及所有情況����,而無論直接或間接將加密的內(nèi)容密鑰或加密的內(nèi)容密鑰ID發(fā)送到第二設備22��。與發(fā)送步驟311對應����,執(zhí)行步驟320 由第二設備22從所述第一設備21接收加密的內(nèi)容密鑰。與發(fā)送步驟311相似���,接收步驟320也包括所有情況��,只要第二設備22獲得加密的內(nèi)容密鑰即可��,而無論直接地還是間接地從第一設備21獲得加密的內(nèi)容密鑰���。當?shù)谌O備23獲得加密的數(shù)字內(nèi)容時,執(zhí)行步驟330 由第三設備23發(fā)送使用所述數(shù)字內(nèi)容的請求到第二設備22����。第三設備23可以通過從因特網(wǎng)或可移動存儲設備下載來獲得加密的數(shù)字內(nèi)容。 當?shù)谌O備23試圖訪問加密的數(shù)字內(nèi)容時�,第三設備中安裝的受信任的架構(gòu)組件(一般稱為DRM代理)將從許可證數(shù)據(jù)中尋找內(nèi)容密鑰以用于對加密的數(shù)字內(nèi)容進行解密。如果DRM 代理無法找到用于數(shù)字內(nèi)容的許可證數(shù)據(jù)����,則第三設備23的DRM代理將控制該設備發(fā)送使用所述數(shù)字內(nèi)容的請求到第二設備22���。如上所述,可以將用于第三設備23發(fā)送該請求的����、 第二設備22的IP地址嵌入到打包后的數(shù)字內(nèi)容的首標中。在第二設備22從第三設備23接收到使用所述數(shù)字內(nèi)容的請求時����,第二設備22認證第三設備23�����。如果第三設備23滿足使用數(shù)字內(nèi)容的要求(例如完成支付)����,則第二設備22 執(zhí)行將許可證數(shù)據(jù)發(fā)送到第三設備23的步驟321,所述許可證數(shù)據(jù)描述由第三設備23使用所述數(shù)字內(nèi)容的權(quán)限�����,并包括所述加密的內(nèi)容密鑰���。許可證數(shù)據(jù)包括用于描述使用數(shù)字內(nèi)容的權(quán)限的數(shù)據(jù)以及用于對數(shù)字內(nèi)容進行解密的加密的內(nèi)容密鑰�����。使用權(quán)限可以是例如打印數(shù)字內(nèi)容�����,或?qū)?shù)字內(nèi)容播放特定次數(shù)或在特定時段期間播放數(shù)字內(nèi)容���。為了指示在何處得到用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)���,由第二設備22所發(fā)送的許可證數(shù)據(jù)可以包括第一設備21的IP地址,從而第三設備23可以被指引到第一設備21��,以對加密的內(nèi)容密鑰進行解密��。與發(fā)送步驟321對應�����,第三設備23執(zhí)行步驟331 從第二設備22接收許可證數(shù)據(jù)�。由于許可證數(shù)據(jù)中所包括的內(nèi)容密鑰被第一設備21加密,因此第三設備23不能直接使用加密的內(nèi)容密鑰來對數(shù)字內(nèi)容進行解密。第三設備23需要首先使加密的內(nèi)容密鑰被解密���。因此�����,執(zhí)行步驟312 由第一設備21將用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)發(fā)送到所述第三設備23���。可選地�,取決于使用了何種加密方法對內(nèi)容密鑰進行加密,發(fā)送到第三設備23的數(shù)據(jù)可以是用于對加密的內(nèi)容密鑰進行解密的解密密鑰���;所述數(shù)據(jù)也可以是用于由第三設備23生成解密密鑰的密鑰種子���。為了安全�����,代替發(fā)送任何解密密鑰或密鑰種子��,第一設備21可以直接為第三設備 23解密加密的內(nèi)容密鑰�。在此情況下,由第一設備21發(fā)送的數(shù)據(jù)是解密后的內(nèi)容密鑰(即干凈的內(nèi)容密鑰)。在將用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)發(fā)送到第三設備23之前��,可以由第一設備21使用第三設備23的公鑰來對該數(shù)據(jù)進行加密�����,以確保安全的數(shù)據(jù)傳輸����。第三設備23的公鑰例如可以由第二設備22或第三設備23來通知。與發(fā)送步驟312對應����,由第三設備23執(zhí)行步驟333 接收用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)?�?蛇x地���,為了觸發(fā)第一設備21執(zhí)行發(fā)送步驟312��,第三設備23可以執(zhí)行步驟332 將一消息發(fā)送到第一設備21���,該消息用于請求第一設備21發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)?���?蛇x地����,第二設備22也可以觸發(fā)第一設備21執(zhí)行發(fā)送步驟312�。下面將描述第二設備22觸發(fā)第一設備執(zhí)行發(fā)送步驟312的方式?����?蛇x地�����,根據(jù)本發(fā)明一個實施例����,在發(fā)送步驟321之后,第二設備22可以執(zhí)行步驟 324 發(fā)送關(guān)于所述數(shù)字內(nèi)容的標識符(稱為“內(nèi)容ID”)����、所述第三設備23的標識符(稱為 “設備ID”)和所述第三設備23的公鑰的信息�。可選地��,可以將所述信息發(fā)送到第一設備21 ;也可以將其發(fā)送到第三設備23��。如果將所述信息發(fā)送到第三設備23�����,則該設備執(zhí)行對應的步驟334 接收該信息�。發(fā)送到第三設備23的信息可以被包括在步驟332中發(fā)送的消息中,用于請求所述第一設備21發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)�����。將該信息包括在步驟332 中發(fā)送的消息中目的是提供以下證據(jù)第三設備23被第二設備22授權(quán)�。還可以由第三設備23將發(fā)送到第三設備23的信息直接轉(zhuǎn)發(fā)到第一設備21,作為用于請求第一設備21發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的消息���。如果該信息發(fā)送給第一設備21���,與發(fā)送步驟3M對應,第一設備21進一步包括步驟314:接收上述信息�����。發(fā)送到第一設備21的信息用于將以下事實通知給第一設備21 已經(jīng)將用于數(shù)字內(nèi)容的許可證數(shù)據(jù)(所述數(shù)字內(nèi)容的數(shù)字內(nèi)容ID包括在所述信息中)發(fā)送到第三設備23����。 當?shù)谝辉O備21從第三設備23接收用于請求第一設備21發(fā)送用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的消息時����,第一設備21可以對所述信息中指示的設備ID與請求用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的設備ID進行比較����,從而驗證請求設備是否被第二設備22所授權(quán)。發(fā)送到第一設備21的信息也可以用于觸發(fā)第一設備21來執(zhí)行步驟312 發(fā)送用于對加密的內(nèi)容進行解密的數(shù)據(jù)��。在此情況下����,當?shù)谝辉O備21接收到該信息時,第一設備 21可以連接到第三設備23��,并且自動發(fā)送數(shù)據(jù)而無需等待來自第三設備23的另一請求���。有利地����,為了安全���,所述信息可以由第二設備使用其私鑰來簽名���。當另一設備(即本發(fā)明中的第一設備或第三設備)接收到該信息時,該另一設備可以使用第二設備的公鑰以驗證該信息的有效性��。在已知的用于安全地發(fā)送許可證數(shù)據(jù)的DRM系統(tǒng)(例如0ΜΑ)中�����,由RI使用非對稱加密算法來保護許可證數(shù)據(jù)���,即RI使用其私鑰來對許可證數(shù)據(jù)進行簽名�����,并且使用CD的公鑰來對許可證數(shù)據(jù)中所包括的內(nèi)容密鑰進行加密�����。這樣�����,只有授權(quán)的CD可以對內(nèi)容密鑰進行解密�。換句話說����,當基于已知DRM系統(tǒng)應用本發(fā)明時��,首先由第一設備21對內(nèi)容密鑰進行加密�����,并且隨后由第二設備22對加密的內(nèi)容密鑰再次進行加密����,其可以由氏(E1 (CK)) 來表示���,其中�, (X)理解為意味著由第二設備22對X進行加密�����,E1 (X)理解為意味著由第一設備21對X進行加密��。根據(jù)已知DRM系統(tǒng)的DRM代理可以使用第三設備23的私鑰來對氏(E1 (CK))進行解密��。解密的結(jié)果是=E1 (CK)0但由于E1 (CK)仍然是加密的內(nèi)容密鑰��,因此它不能被DRM代理直接使用。即使第三設備23接收用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)���,并且由于已知的DRM代理沒有兩個解密步驟��,其將不會使用所接收到的數(shù)據(jù)來對加密的內(nèi)容密鑰進行解密。在下文中���,由第一設備21所執(zhí)行的用于對內(nèi)容密鑰進行加密的加密步驟將被稱為第一加密�����。由第二設備22所執(zhí)行的用于對加密的內(nèi)容密鑰進行加密的加密步驟將被稱為第二加密����。一般地�����,如果存在用于對超過一個的加密步驟進行解密的超過一個的解密步驟����,則解密步驟的順序?qū)槭紫葘ψ詈蟮募用懿襟E進行解密,最后對第一加密步驟進行解密�。本發(fā)明進一步提出了一種適用于已知DRM系統(tǒng)的解決方案,其需要交換兩個解密步驟的順序��。也就是說,第三設備23應該使用所接收到的數(shù)據(jù)首先對第一加密進行解密�, 接著將該解密的結(jié)果發(fā)送到已知的DRM代理;已知的DRM代理由此可以對第二加密進行解密���。為了使之可能���,第一加密和第二加密應該具有可交換的特性,因此兩個解密步驟的順序?qū)⒈桓淖?���,這意味著第一加密和第二加密步驟滿足以下要求=E2 (E1 (CK) I=E1 (E2 (CK) },其中�����,E1 (X)表示對X的第一加密����,E2 (X)表示對X的第二加密。如果可以滿足這個要求�����,則當?shù)谌O備23對E2IE1 (CK)}進行解密時,其相當于對EJE2 (CK)}進行解密��,解密結(jié)果將是=E2 (CK)0隨后�,氏(CK)將被發(fā)送到DRM代理,以用于第二解密��。DRM代理可以使用第三設備23的私鑰來對氏(CK)進行解密并獲得凈化的內(nèi)容密鑰���。因此,第三設備23能夠?qū)?shù)字內(nèi)容進行解密����。如果可以交換兩個解密步驟的順序,則第一設備21也可以執(zhí)行一個解密步驟�。有利地,由于“盲化(blinding)”具有與某些加密算法可交換的特性���,因此第一設備可以使用“盲化”作為對內(nèi)容密鑰進行加密的加密方法�。本發(fā)明上下文中的盲化理解為意味著特定的加密方法�。它是這樣的技術(shù),通過該技術(shù)���,代理可以以編碼的形式將服務提供給客戶(即��,為客戶計算功能)����,而無需知道真實輸入或真實輸出。盲化最常見的應用是盲簽名�。在盲簽名協(xié)議中,簽名者以數(shù)字方式對消息簽名�����,而不能獲知其內(nèi)容���。當盲化算法用于對內(nèi)容密鑰進行加密時�����,根據(jù)本發(fā)明一個實施例的方法包括以下步驟由第一設備21對內(nèi)容密鑰進行盲化���,以生成盲化后的內(nèi)容密鑰;由第一設備21將盲(4)
解密步驟是
一般地�����,“盲化因子”用于對數(shù)據(jù)進行盲化�����,“去盲化因子”用于對數(shù)據(jù)進行去盲化。盲化因子和去盲化因子滿足如上述等式(2)所示的特定公式���。因此����,根據(jù)此公式�����,可以計算盲化因子或去盲化因子中的任意一個���,從而盲化因子和去盲化因子兩者都可以是用于對盲化后的內(nèi)容密鑰進行去盲化的數(shù)據(jù)。圖4是根據(jù)本發(fā)明的用于對數(shù)字內(nèi)容進行管理的第一設備21的框圖��。線400表示用于交換數(shù)據(jù)的第一設備21的數(shù)據(jù)總線�����。第一設備21是內(nèi)容提供者����,其包括用于創(chuàng)建數(shù)字內(nèi)容包的打包單元401��。第一設備21還包括加密單元402����,其用于執(zhí)行上述加密步驟310以生成加密的內(nèi)容密鑰���。
化后的內(nèi)容密鑰發(fā)送到第二設備22 ���;由所述第二設備22響應于來自第三設備23的使用所述數(shù)字內(nèi)容的請求而將描述由第三設備23使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)發(fā)送到第三設備23,其中��,所述許可證數(shù)據(jù)包括所述盲化后的內(nèi)容密鑰�����;以及�����,由所述第三設備23 從所述第一設備21接收用于對所述盲化后的內(nèi)容密鑰進行去盲化的數(shù)據(jù)���。下面給出說明第一加密步驟(盲化步驟)和第二加密步驟的可交換性的實例�。1.第一設備21對內(nèi)容密鑰(CK)進行盲化���,以生成盲化后的內(nèi)容密鑰(BCK)�。BCK = (CKBF21 ) modP⑴
其中,P是大的質(zhì)數(shù)����,并且
BF21, UBF21分別被選取為盲化因子和去盲化因子,
其滿足^SF21 * UBF21 = ImodP-1⑵
2.第二設備22對盲化后的內(nèi)容密鑰進行加密���,所述盲化后的內(nèi)容密鑰包括在許可證數(shù)據(jù)中��,并且被發(fā)送到第三設備23�,加密的盲化后的內(nèi)容密鑰被稱為EBCK��。EBCK = (BCK623) mod P⑶
其中e23�����,C^3是用于第三設備23的一組RSA參數(shù)�����。為了易于說明�,在下文中�����,省略“modP”。3.為了得到內(nèi)容密鑰CK�����,第三設備23需要首先執(zhí)行作為第一解密步驟的去盲化步驟��,隨后對EBCK執(zhí)行第二解密步驟��。去盲化步驟是
第一設備21還包括單元403����,其用于執(zhí)行上述步驟311,即發(fā)送加密的內(nèi)容密鑰����; 以及單元405,其用于執(zhí)行上述步驟312��,即發(fā)送用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)�。第一設備21還包括接收單元404,其用于接收數(shù)據(jù)��,例如執(zhí)行上述步驟314�����,即接收用于請求用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的消息。由于在前述方法描述中已經(jīng)給出了解釋���,因此��,其在此將不會進一步涉及�。圖5示出在根據(jù)本發(fā)明的數(shù)字權(quán)限管理系統(tǒng)中用于對數(shù)字內(nèi)容進行管理的第二設備22�。由第一設備21用內(nèi)容密鑰來對數(shù)字內(nèi)容進行加密,并且由所述第一設備21對內(nèi)容密鑰進行加密�����,以生成加密的內(nèi)容密鑰�����。線500表示用于交換數(shù)據(jù)的第二設備22的數(shù)據(jù)總線�����。第二設備22包括接收單元501����,其用于從其它設備接收數(shù)據(jù),例如執(zhí)行上述步驟 320���,即從第一設備21接收加密的內(nèi)容密鑰�����,或者例如從第三設備23接收使用數(shù)字內(nèi)容的請求��。第二設備22包括許可證生成單元502�����,其用于響應于來自第三設備23的使用所述數(shù)字內(nèi)容的請求而生成許可證數(shù)據(jù)��。如上所述���,許可證數(shù)據(jù)描述了由所述第三設備23使用所述數(shù)字內(nèi)容的權(quán)限,并且包括所接收到的加密的內(nèi)容密鑰�����。第二設備22還包括發(fā)送單元503��,其用于執(zhí)行上述步驟321,即發(fā)送由許可證生成單元502生成的許可證數(shù)據(jù)�����。第二設備22還包括單元504����,其用于執(zhí)行上述步驟324,即發(fā)送關(guān)于數(shù)字內(nèi)容 ID�、第三設備ID以及第三設備的公鑰的信息。由于前述方法描述中已經(jīng)給出了解釋�����,因此��,其在此將不會進一步涉及�。圖6示出在數(shù)字權(quán)限管理系統(tǒng)中用于對數(shù)字內(nèi)容進行管理的第三設備23。由第一設備21用內(nèi)容密鑰對數(shù)字內(nèi)容進行加密�����,由所述第一設備21對所述內(nèi)容密鑰進行加密�����,以生成加密的內(nèi)容密鑰,由所述第一設備21將所述加密的內(nèi)容密鑰發(fā)送到第二設備22�����。線 600表示用于交換數(shù)據(jù)的第三設備23的數(shù)據(jù)總線���。第三設備23包括發(fā)送單元601,其用于執(zhí)行前述步驟330�����,即將使用所述數(shù)字內(nèi)容的請求發(fā)送到所述第二設備22����,并且還用于執(zhí)行前述步驟332,即發(fā)送用于請求所述第一設備21發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的消息�。第三設備23還包括接收單元602,其用于執(zhí)行上述步驟331����,即從第二設備22接收上述許可證數(shù)據(jù),并且還用于執(zhí)行上述步驟333�����,即接收用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)。接收單元602還可以用于執(zhí)行上述步驟334��,即接收關(guān)于數(shù)字內(nèi)容ID�、第三設備ID 和所述第三設備23的公鑰的信息。第三設備23還包括單元605��,其用于發(fā)送消息到所述第一設備21����,該消息用于請求所述第一設備21發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)。第三設備23還包括DRM代理603��,其用于使用許可證數(shù)據(jù)中包括的加密的內(nèi)容密鑰以及所接收到的用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)來對數(shù)字內(nèi)容進行解密��。如上所述���,當加密的數(shù)字內(nèi)容輸入到DRM 603時���,DRM代理603尋找許可證數(shù)據(jù)以獲得加密的內(nèi)容密鑰,并請求來自第一設備21的用于對加密的內(nèi)容密鑰進行解密的數(shù)據(jù)���。在接收到用于對內(nèi)容密鑰進行解密的數(shù)據(jù)之后����,DRM代理603可以對加密的數(shù)字內(nèi)容進行解密,并且將干凈的數(shù)字內(nèi)容發(fā)送到用于呈現(xiàn)的呈現(xiàn)單元604����。呈現(xiàn)單元(例如Windows媒體播放器)用于呈現(xiàn)數(shù)字內(nèi)容。由于已經(jīng)在上述方法描述中給出了解釋���,因此,其在此將不會進一步涉及��。要理解����,以上描述僅僅是實例,并且是非常說明性的����。所述實例不能被認作限制本發(fā)明。存在通過硬件或軟件項或兩者來實現(xiàn)功能的許多方式��。在這方面���,附圖也是非常說明性的�,每個附圖僅表示本發(fā)明的一種可能實施例��。例如,可以由存儲有指令數(shù)據(jù)的存儲器來實現(xiàn)上述打包單元401�����,并且也可以由存儲有指令數(shù)據(jù)的存儲器來實現(xiàn)加密單元402���、 發(fā)送單元403和405����、接收單元404����、接收單元501、許可證生成單元502��、發(fā)送單元503和 504�����、發(fā)送單元601和605����、接收單元602、DRM代理603和呈現(xiàn)單元604�。它們都可以由具有特定指令數(shù)據(jù)的存儲器單獨實現(xiàn)��?����?梢杂纱鎯τ胁煌噶畲a的一個或多個存儲器來實現(xiàn)打包單元401�、加密單元 402����、發(fā)送單元403和405�、接收單元404。也可以由一個或多個印刷電路板或者由一個或多個處理器來實現(xiàn)這些單元�����。相似地�,可以由存儲有不同指令代碼的一個或多個存儲器來實現(xiàn)接收單元501、許可證生成單元502��、發(fā)送單元503和504����。也可以由一個或多個印刷電路板或者由一個或多個處理器來實現(xiàn)這些單元??梢杂纱鎯τ胁煌噶畲a的一個或多個存儲器來實現(xiàn)發(fā)送單元601和605�、接收單元602����、DRM代理603和呈現(xiàn)單元604。也可以由一個或多個印刷電路板或者由一個或多個處理器來實現(xiàn)這些單元����。上文進行的表述表明了參照附圖的詳細描述說明而不是限制本發(fā)明。存在許多落入所附權(quán)利要求范圍之內(nèi)的可替代方案�����。權(quán)利要求中的任意附圖標記不應解釋為對權(quán)利要求進行限制�����。動詞“包括”和其變體的使用不排除權(quán)利要求中所述元件或步驟之外的元件或步驟的存在�。元件或步驟之前的不定冠詞“一”并不排除多個這樣的元件或步驟的存在。
權(quán)利要求
1.一種對數(shù)字內(nèi)容進行管理的方法��,由第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密����,所述方法包括以下步驟-由所述第一設備(21)對所述內(nèi)容密鑰進行加密(310),以生成加密的內(nèi)容密鑰��;以及-由所述第一設備(21)將所述加密的內(nèi)容密鑰發(fā)送(311)到第二設備(22),其中����,所述加密的內(nèi)容密鑰意在被包括在要由所述第二設備(22)響應于來自第三設備(23)的使用所述數(shù)字內(nèi)容的請求而發(fā)送到所述第三設備(23 )的許可證數(shù)據(jù)中,所述許可證數(shù)據(jù)描述由所述第三設備(23 )使用所述數(shù)字內(nèi)容的權(quán)限���。
2.如權(quán)利要求1所述的方法����,進一步包括以下步驟由所述第一設備(21)將用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)發(fā)送(312 )到所述第三設備(23 )��。
3.如權(quán)利要求1所述的方法����,進一步包括以下步驟由所述第一設備(21)接收(314) 由所述第二設備(22)簽名的關(guān)于所述數(shù)字內(nèi)容的標識符�����、所述第三設備(23)的標識符以及所述第三設備(23)的公鑰的信息�。
4.一種對數(shù)字內(nèi)容進行管理的方法,其中��,由第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密����,由所述第一設備(21)對所述內(nèi)容密鑰進行加密���,以生成加密的內(nèi)容密鑰,所述方法包括以下步驟-由第二設備(22)從所述第一設備(21)接收(320)加密的內(nèi)容密鑰���;以及-由所述第二設備(22)響應于來自第三設備(23)的使用所述數(shù)字內(nèi)容的請求而將描述由所述第三設備(23)使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)發(fā)送(321)到所述第三設備(23 )�����,其中��,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰��。
5.如權(quán)利要求4所述的方法���,進一步包括以下步驟由所述第二設備(22)發(fā)送(3M) 由所述第二設備簽名的關(guān)于所述數(shù)字內(nèi)容的標識符、所述第三設備(23)的標識符以及所述第三設備(23)的公鑰的信息��。
6.一種對數(shù)字內(nèi)容進行管理的方法����,由第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密,由所述第一設備(21)對所述內(nèi)容密鑰進行加密,以生成加密的內(nèi)容密鑰��,由所述第一設備(21)將所述加密的內(nèi)容密鑰發(fā)送到第二設備(22)�����,所述方法包括以下步驟-由所述第三設備(23 )將使用所述數(shù)字內(nèi)容的請求發(fā)送(330 )到所述第二設備(22 )��;-由所述第三設備(23 )從所述第二設備(22 )接收(331)描述由所述第三設備(23 )使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)�����,其中�����,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰�����;以及-由所述第三設備從所述第一設備(21)接收(333)用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)���。
7.如權(quán)利要求6所述的方法,進一步包括以下步驟由所述第三設備(23)將用于請求所述第一設備(21)發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的消息發(fā)送(332)到所述第一設備(21)��。
8.如權(quán)利要求7所述的方法,進一步包括以下步驟由所述第三設備(23)接收(334) 由所述第二設備(22)簽名的關(guān)于所述數(shù)字內(nèi)容的標識符�、所述第三設備(23)的標識符以及所述第三設備(23)的公鑰的信息,其中所述消息包括所述信息�。
9.一種用于對數(shù)字內(nèi)容進行管理的第一設備(21),由所述第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密���,所述第一設備(21)包括-用于對所述內(nèi)容密鑰進行加密以生成加密的內(nèi)容密鑰的單元(402)����;以及-用于將所述加密的內(nèi)容密鑰發(fā)送到第二設備(22)的單元(403)���,其中��,所述加密的內(nèi)容密鑰意在被包括在要由所述第二設備(22)響應于來自第三設備(23)的使用所述數(shù)字內(nèi)容的請求而發(fā)送到所述第三設備(23)的許可證數(shù)據(jù)中����,所述許可證數(shù)據(jù)描述由所述第三設備(23 )使用所述數(shù)字內(nèi)容的權(quán)限�����。
10.如權(quán)利要求9所述的第一設備(21)�����,進一步包括用于發(fā)送對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)到所述第三設備(23 )的單元(405 )。
11.如權(quán)利要求9所述的第一設備(21)�,進一步包括用于接收由所述第二設備(22) 簽名的關(guān)于所述數(shù)字內(nèi)容的標識符、所述第三設備(23)的標識符以及所述第三設備(23) 的公鑰的信息的單元(404)���。
12.一種用于對數(shù)字內(nèi)容進行管理的第二設備(22)����,由第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密���,由所述第一設備(21)對所述內(nèi)容密鑰進行加密����,以生成加密的內(nèi)容密鑰����,所述第二設備(22 )包括-用于從所述第一設備(21)接收加密的內(nèi)容密鑰的單元(501);-用于響應于來自第三設備(23)的使用所述數(shù)字內(nèi)容的請求而生成描述由所述第三設備(23)使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)的單元(502)��,其中�����,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰����;以及-用于將所述許可證數(shù)據(jù)發(fā)送到所述第三設備(23)的單元(503)。
13.如權(quán)利要求12所述的第二設備(22)�,進一步包括用于發(fā)送由所述第二設備(22) 簽名的關(guān)于所述數(shù)字內(nèi)容的標識符、所述第三設備(23)的標識符以及所述第三設備(23) 的公鑰的信息的單元(504)����。
14.一種用于對數(shù)字內(nèi)容進行管理的第三設備(23),由第一設備(21)用內(nèi)容密鑰對所述數(shù)字內(nèi)容進行加密�����,由所述第一設備(21)對所述內(nèi)容密鑰進行加密�����,以生成加密的內(nèi)容密鑰��,由所述第一設備(21)將所述加密的內(nèi)容密鑰發(fā)送到第二設備(22)���,所述第三設備 (23)包括-用于將使用所述數(shù)字內(nèi)容的請求發(fā)送到所述第二設備(22)的單元(601)�����;-用于從所述第二設備(22)接收描述由所述第三設備(23)使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)并且用于從所述第一設備(21)接收用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)的單元(602 )��,其中���,所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰���;以及-用于使用所述加密的內(nèi)容密鑰以及用于解密所述加密的內(nèi)容密鑰的所述數(shù)據(jù)來對所述數(shù)字內(nèi)容進行解密的單元(603 )。
15.如權(quán)利要求14所述的第三設備(23)����,進一步包括用于發(fā)送消息到所述第一設備的單元(605),該消息用于請求所述第一設備發(fā)送用于對所述加密的內(nèi)容密鑰進行解密的數(shù)據(jù)��。
全文摘要
本發(fā)明提供了用于對數(shù)字內(nèi)容進行管理的方法和設備�����,所述方法包括以下步驟由第一設備(21)將加密的內(nèi)容密鑰(202)發(fā)送到第二設備(22)�����;由所述第二設備(22)響應于來自第三設備(23)的使用所述數(shù)字內(nèi)容的請求�,而將描述由所述第三設備(23)使用所述數(shù)字內(nèi)容的權(quán)限的許可證數(shù)據(jù)發(fā)送到所述第三設備(23),其中所述許可證數(shù)據(jù)包括所述加密的內(nèi)容密鑰(202)���;以及���,由所述第三設備(23)從所述第一設備(21)接收用于對所述加密的內(nèi)容密鑰(202)進行解密的數(shù)據(jù)���。
文檔編號G06F21/00GK102224506SQ200980146394
公開日2011年10月19日 申請日期2009年11月9日 優(yōu)先權(quán)日2008年11月20日
發(fā)明者李暉, 王常杰, 馬縛龍 申請人:皇家飛利浦電子股份有限公司