專利名稱:一種基于域的數(shù)字權(quán)限管理方法、域管理服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于DRM (digital right management)數(shù)字權(quán)限管理系統(tǒng)領(lǐng)域,特 別涉及一種基于域的數(shù)字權(quán)限管理方法、域管理服務(wù)器及系統(tǒng)。
背景技術(shù):
DRM的用戶易用性一直是阻礙DRM廣泛應(yīng)用的很大障礙,而這個(gè)障礙很 大程度又體現(xiàn)在由于加密內(nèi)容同設(shè)備的綁定帶來的用戶多設(shè)備方便共享問題 上。因此出現(xiàn)了基于域(即將用戶的多設(shè)備、甚至多用戶的多設(shè)備視為一個(gè)域) 的解決方案。但現(xiàn)有基于域的方案存在以下問題域證書中的License (使用證書)解 密密鑰密文不能在域內(nèi)設(shè)備間拷貝使用,給不方便聯(lián)網(wǎng)設(shè)備獲取License解密 密鑰密文帶來不便。發(fā)明內(nèi)容為了解決域證書中的License解密密鑰密文不能在域內(nèi)設(shè)備間拷貝使用, 給不方便聯(lián)網(wǎng)設(shè)備獲取License解密密鑰密文帶來不便的問題,本發(fā)明實(shí)施例 提供了一種基于域證書共享的數(shù)字權(quán)限管理方法,包括域管理服務(wù)器建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備加入 到域中;域管理服務(wù)器獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入到域中的 全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;域管理服務(wù)器通過多元素加密單元素解密的加密算法和用戶設(shè)備標(biāo)識(shí)集 計(jì)算得到域公鑰;域管理服務(wù)器采用域公鑰加密使用證書解密密鑰得到使用證書解密密鑰
密文,并發(fā)送給用戶設(shè)備;
域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí),解密使用證書解密密鑰密文得 到使用證書解密密鑰。
同時(shí)本發(fā)明實(shí)施例還提供一種基于域的數(shù)字權(quán)限管理域管理服務(wù)器,包
括
域建立模塊用于建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備 加入到域中;
標(biāo)識(shí)集獲取模塊用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入 到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;
域公鑰計(jì)算模塊用于通過由多元素加密單元素解密的加密算法和用戶設(shè) 備標(biāo)識(shí)集計(jì)算得到域公鑰;
解密密鑰加密模塊用于釆用域公鑰加密使用證書解密密鑰得到使用證書 解密密鑰密文,并發(fā)送給用戶設(shè)備。
同時(shí)本發(fā)明實(shí)施例還提供一種基于域的數(shù)字權(quán)限管理系統(tǒng),包括
域建立模塊用于建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備 加入到域中;
標(biāo)識(shí)集獲取模塊用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入 到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;
域公鑰計(jì)算模塊用于通過由多元素加密單元素解密的加密算法和用戶設(shè) 備標(biāo)識(shí)集計(jì)算得到域公鑰;
解密密鑰加密模塊用于采用域公鑰加密使用證書解密密鑰得到使用證書 解密密鑰密文,并發(fā)送給用戶設(shè)備;
解密密鑰解密模塊用于域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí),解密 使用證書解密密鑰密文得到使用證書解密密鑰。
由上述本發(fā)明提供的具體實(shí)施方案可以看出,正是由于通過多元素加密單元素解密的加密算法,直接利用域內(nèi)各個(gè)用戶設(shè)備的標(biāo)識(shí)信息計(jì)算域公鑰,進(jìn)而利用該公鑰加密License解密密鑰,得到License解密密鑰密文的解決方案,使 得任一域設(shè)備可使用本身標(biāo)識(shí)信息恢復(fù)License解密密鑰,非域設(shè)備則不可。通 過多元素加密單元素解密的加密算法,從域內(nèi)各個(gè)成員設(shè)備的標(biāo)識(shí)信息計(jì)算域 公鑰來加密License解密密鑰,保證了 License解密密鑰密文可在域內(nèi)設(shè)備間拷貝 使用,解決了不方便聯(lián)網(wǎng)設(shè)備獲取License解密密鑰密文不便的問題。
圖1為DRM系統(tǒng)整體結(jié)構(gòu)圖;圖2為本發(fā)明提供的第一實(shí)施例方法流程圖;圖3為本發(fā)明提供的第二實(shí)施例方法流程圖;圖4為本發(fā)明提供的第三實(shí)施例域管理服務(wù)器結(jié)構(gòu)圖;圖5為本發(fā)明^是供的第四實(shí)施例系統(tǒng)結(jié)構(gòu)圖。
具體實(shí)施方式
DRM系統(tǒng)整體結(jié)構(gòu)如圖l所示,包括License服務(wù)器(使用證書服務(wù)器)、 內(nèi)容服務(wù)器、域管理服務(wù)器和用戶設(shè)備,它們之間通過網(wǎng)絡(luò)連接,其中用戶設(shè) 備包括用戶甲的PC以及便攜式閱讀器,用戶乙的筆記本電腦。其中域管理服 務(wù)器用于實(shí)現(xiàn)域管理功能,包括域的建立、更新、域^^鑰的產(chǎn)生、更新等。所 述域管理服務(wù)器需要能同license服務(wù)器進(jìn)行通訊。該域管理服務(wù)器可獨(dú)立于 DRM系統(tǒng),并對(duì)一個(gè)或多個(gè)DRM系統(tǒng)提供可信的域管理服務(wù)。本發(fā)明提供的第一實(shí)施例是一種基于域證書共享的數(shù)字權(quán)限管理方法,方 法流程如圖2所示,包括步驟101:域管理服務(wù)器接收到用戶甲通過其PC提出的新建域請(qǐng)求,并 產(chǎn)生一個(gè)唯一的域標(biāo)識(shí)domainl (若域管理服務(wù)器只管理一個(gè)域則不需要域標(biāo) 識(shí)),并隨機(jī)生成反單向函數(shù)鏈,從中取出第一個(gè)數(shù)作為該域的License解密密 鑰LKeyl ,根據(jù)LKeyl產(chǎn)生相應(yīng)的License加密密鑰LPKeyl。然后進(jìn)一步根據(jù)與用戶的協(xié)商建立相應(yīng)的域規(guī)則,如允許加入域的用戶設(shè)備數(shù)為4、變更 次數(shù)為3、臨時(shí)設(shè)備數(shù)為2等等。
域管理服務(wù)器在接收到新建域請(qǐng)求后,為用戶曱分配一個(gè)用戶名userl, 和一個(gè)密碼123456,該新建域操作也可在用戶將設(shè)備第一次添加到域時(shí)完成。
隨機(jī)生成反單向函數(shù)鏈,從中取出第一個(gè)數(shù)作為該域的License解密密鑰 LKeyl ,只是生成License解密密鑰LKeyl的一個(gè)優(yōu)選的方案,在本實(shí)施例中 也可釆用其它方式生成License解密密鑰,如隨4幾生成一個(gè)密鑰作為License 解密密鑰LKeyl,同樣根據(jù)LKeyl產(chǎn)生相應(yīng)的License加密密鑰LPKeyl。
步驟102:將PC以及便攜式閱讀器注冊(cè)(通過用戶特征設(shè)備,如智能卡 等)到域管理服務(wù)器,即執(zhí)行發(fā)送加入域請(qǐng)求。域管理服務(wù)器將PC以及便攜 式閱讀器加入到domainl域中。注冊(cè)時(shí)將根據(jù)PC機(jī)的主板號(hào)、CPU號(hào)和硬盤 號(hào)產(chǎn)生的PC機(jī)的標(biāo)識(shí)skeyi (i=l )發(fā)送給域管理服務(wù)器,同時(shí)將便攜式閱讀 器的標(biāo)識(shí)skeyi (i=2),發(fā)送給域管理服務(wù)器。
具體實(shí)施時(shí),用戶曱通過PC機(jī)上的注冊(cè)軟件輸入用戶名userl,和對(duì)應(yīng) 密碼123456,請(qǐng)求將PC機(jī)加入domainl域,管理服務(wù)器-險(xiǎn)證用戶名userl 和密碼123456通過后將PC力口入到domainl域中,并將domainl域的域標(biāo)識(shí) domainl告知PC。
加入域的過程中,用戶曱不容易聯(lián)網(wǎng)的便攜式閱讀器,將PC機(jī)作為便攜 式閱讀器的注冊(cè)代理,通過PC機(jī)上的注冊(cè)軟件輸入用戶名userl,和對(duì)應(yīng)密 碼123456,請(qǐng)求將PC機(jī)代理的便攜式閱讀器加入domainl域,或者對(duì)于用 戶曱不容易聯(lián)網(wǎng)的便攜式閱讀器可以產(chǎn)生一個(gè)ticket,通過PC機(jī)將ticket提交, 來代替注冊(cè)請(qǐng)求,至于通過ticket的具體實(shí)現(xiàn)方法屬于現(xiàn)有技術(shù),此處不再贅 述。
加入域的過程中,域管理服務(wù)器在收到PC機(jī)以及便攜式閱讀器加入域請(qǐng) 求后,驗(yàn)證該請(qǐng)求是否滿足域規(guī)則,如是否已達(dá)到域允許的設(shè)備數(shù)上限4,因 為PC機(jī)和便攜式閱讀器分別為第一個(gè)和第二個(gè)申請(qǐng)加入域的設(shè)備,判斷它們滿足規(guī)則再進(jìn)行后續(xù)步驟。
步驟103:域管理服務(wù)器確定標(biāo)識(shí)集為skeyi (i=l,2)。 步驟104:域管理服務(wù)器通過多元素加密單元素解密的加密算法和skeyi (i=l,2)計(jì)算得到域公鑰Skeyl。多元素加密單元素解密的加密算法在本實(shí)施 例中優(yōu)選使用完全公鑰廣播加密算法。多元素加密單元素解密的加密算法就是 加密時(shí)使用多個(gè)元素而解密時(shí)只使用其中的一個(gè)元素解密,如^f吏用A、 B和C 三個(gè)元素加密,解密時(shí)只使用A、 B或C任意之一進(jìn)行解密。典型的算法為完 全公鑰廣播加密算法。
步驟105:域管理服務(wù)器采用Skeyl加密LKeyl得到LKeyl密文。 步驟106:域管理服務(wù)器根據(jù)LKeyl密文制作域證書vl.O,將域證書vl.O 發(fā)送給PC機(jī),域證書vl.O中包含LKeyl密文等。
步驟107: PC機(jī)根據(jù)skeyi (i=l )解密LKeyl密文得到LKeyl 。 上述步驟中具體實(shí)施時(shí)PC機(jī)可以被動(dòng)接收域管理服務(wù)器發(fā)送的域證書 vl.O,并解密LKeyl密文得到LKeyl, PC機(jī)還可以主動(dòng)從域管理服務(wù)器下載 域證書v 1.0,并解密LKey 1密文得到LKey 1,對(duì)于便攜式閱讀器前面步驟類同, 只是在步驟106中,可以通過拷貝PC機(jī)得到的LKeyl密文的方式獲取LKeyl 密文(當(dāng)然也可以不拷貝PC機(jī)得到的LKeyl密文,而是通過與PC機(jī)相連直 接使用PC機(jī)上的LKeyl密文,只要能達(dá)到共享使用的目的就可以)。之后步 驟10 中通過便攜式閱讀器的用戶標(biāo)識(shí)skeyi (i=2)解密LKeyl密文得到 LKeyl。當(dāng)然便攜式閱讀器也可以通過PC機(jī)連接域管理服務(wù)器(或其它方式 連接域管理服務(wù)器),以下載的方式獲取域證書vl.O。
本發(fā)明提供的第二實(shí)施例是一種基于域證書共享的數(shù)字權(quán)限管理方法,方 法流程如圖2所示,其中步驟201-步驟207與實(shí)施例一中的步驟101-步驟107 相同,還包括
步驟208:用戶曱通過PC從內(nèi)容服務(wù)器購買經(jīng)過內(nèi)容密鑰Ckey加密的數(shù) 字內(nèi)容文檔l得到內(nèi)容密文l。該步驟只要在步驟209之前執(zhí)行即可。步驟209:用戶曱通過PC向License服務(wù)器發(fā)送獲取內(nèi)容密鑰Ckey請(qǐng)求, 請(qǐng)求獲取攜帶Ckey的使用證書(即License ),用于解密使用數(shù)字內(nèi)容文檔1 。
步驟210: License服務(wù)器根據(jù)該獲取Ckey請(qǐng)求向用戶曱索取PC所在域 的域標(biāo)識(shí)。
步驟211:用戶曱通過PC向License服務(wù)器發(fā)送域標(biāo)識(shí)domainl (域標(biāo)識(shí) domain 1也可在請(qǐng)求license時(shí)一同發(fā)出,則步驟210和步驟211可以省略)。
步驟212: License服務(wù)器向域管理服務(wù)器請(qǐng)求domainl域的License加密 密鑰(License加密密鑰與解密密鑰可相同-用對(duì)稱加密方法,也可不同-用非對(duì) 稱加密方法)。
步驟213:域管理服務(wù)器將domainl域的License加密密鑰LPKeyl告知
License服務(wù)器。(此步驟也可包含對(duì)License服務(wù)器的驗(yàn)證)
步驟214: License服務(wù)器根據(jù)LPKeyl加密Ckey構(gòu)成Ckey密文,得到文
檔1的使用證書license (包括Ckey密文)。
步驟215: License服務(wù)器將文檔1的使用證書license返回給PC機(jī)。 步驟216: PC機(jī)通過LKeyl解密Ckey密文得到Ckey。 步驟217: PC機(jī)通過Ckey解密內(nèi)容密文1得到數(shù)字內(nèi)容文檔1。 對(duì)于便攜式閱讀器前面步驟類同,步驟215中PC機(jī)將license自由拷貝到
便攜式閱讀器使用,或便攜式閱讀器通過PC機(jī)。這樣無需便攜式閱讀器重新
獲取新的license 。
進(jìn)一步在上述過程中,在用戶設(shè)備加入域時(shí),首先判斷是否是臨時(shí)設(shè)備的 加入請(qǐng)求,經(jīng)判斷PC機(jī)和便攜式閱讀器不是臨時(shí)設(shè)備,將PC機(jī)的skeyi (i=l) 保存到域管理服務(wù)器數(shù)據(jù)庫,并與域標(biāo)識(shí)domainl關(guān)聯(lián)。然后根據(jù)domainl域 的標(biāo)識(shí)集skeyi (i=l, 2 )和完全公鑰廣播加密算法計(jì)算出相應(yīng)的公鑰Skeyi, 進(jìn)而得到domainl域的License解密密鑰密文,生成包含License解密密鑰密文 和域標(biāo)識(shí)domainl等信息的域證書vl.O,將域證書vl.O返回給PC機(jī)。
進(jìn)一步,用戶曱還有一個(gè)不是臨時(shí)設(shè)備的PDA希望加入該域,需重新確定用戶設(shè)備標(biāo)識(shí)集,重新確定的用戶設(shè)備標(biāo)識(shí)集,PDA的用戶設(shè)備標(biāo)識(shí)skeyi (i-3)則重新確定的用戶設(shè)備標(biāo)識(shí)集為skeyi (i= 1,2,3 ),根據(jù)skeyi (i=l,2,3) 利用完全公鑰廣播加密算法重新計(jì)算出相應(yīng)的域公鑰Skey2,此時(shí)License解 密密鑰Lkeyl不^f故更新,利用域公鑰Skey2加密Lkeyl得到新的License解密 密鑰密文。該P(yáng)DA可直接拷貝PC機(jī)由License服務(wù)器獲取文檔1的使用證書 license。使用skeyi (i=3 )解密新的License解密密鑰密文得到LKeyl,之后 得到文檔1。 PDA的加入對(duì)PC機(jī)和便攜式閱讀器的使用不會(huì)帶來任何影響。 進(jìn)一步,用戶曱的便攜式閱讀器退出域,重新確定的用戶設(shè)備標(biāo)識(shí)集,重新確 定的用戶設(shè)備標(biāo)識(shí)集為skeyi (i=l, 3 ),根據(jù)skeyi (i=l, 3 )利用完全公鑰 廣播加密算法重新計(jì)算出相應(yīng)的域公鑰Skey3,選取對(duì)應(yīng)反單向函數(shù)鏈的下一 個(gè)數(shù)(第二個(gè))作為新的License解密密鑰Lkey2并替換現(xiàn)有的License解密密 鑰Lkeyl,其余步驟和上述過程類同,此處不再贅述。由于采用反單向函數(shù)鏈 的方式獲得Lkey2,因此Lkey2可解密LPKeyl ,這樣對(duì)之前獲得的Ckey密文 還可以繼續(xù)解密使用。若采用隨機(jī)生成一個(gè)密鑰作為License解密密鑰LKeyl 的方式,則域管理服務(wù)器需要將原License解密密鑰LKeyl和新生成的License 解密密鑰LKey2 —同發(fā)送給PDA,這樣PDA就可以解密原License加密密鑰 LKeyl 。
由于便攜式閱讀器的退出將導(dǎo)致License解密密鑰Lkeyl更新為Lkey2, 對(duì)于更新后產(chǎn)生的數(shù)字內(nèi)容文檔2使用license,舊的域i正書vl.O中的License 解密密鑰密文將不能適用,PC機(jī)將給予提醒,該P(yáng)C自動(dòng)完成域證書的更新, 更新為v2.0。 PDA可通過拷貝的方式將新證書v2.0導(dǎo)入。為了避免新舊證書 互相導(dǎo)入造成混亂,證書的新舊由版本號(hào)(vl.O為舊版本號(hào),v2.0為新版本號(hào)) 決定。在導(dǎo)入證書時(shí),域證書v2.0覆蓋域證書vl.O。即在已有域證書v2.0的 情況下,域證書vl.O將不能導(dǎo)入。
進(jìn)一步,若用戶曱還在用他人的PC上網(wǎng),用戶曱告知域管理服務(wù)器此PC 是臨時(shí)設(shè)備,則產(chǎn)生一個(gè)具有時(shí)間限制的臨時(shí)證書,使用臨時(shí)PC的用戶設(shè)備
12標(biāo)識(shí)skeyi (i=4 )加密現(xiàn)有的Lkeyl生成License解密密鑰臨時(shí)密文,并將包 括License解密密鑰臨時(shí)密文的臨時(shí)"i正書返回給臨時(shí)PC。臨時(shí)PC沖艮據(jù)skeyi (i=4 )解密License解密密鑰臨時(shí)密文得到Lkeyl。
臨時(shí)PC的臨時(shí)證書到達(dá)時(shí)限后,臨時(shí)設(shè)備由于證書有時(shí)間限制,從本地 刪除證書即可,無需執(zhí)行退出域操作。
進(jìn)一步,域管理服務(wù)器接收到用戶乙通過其筆記本電腦新建域請(qǐng)求,產(chǎn)生 一個(gè)唯一的域標(biāo)識(shí)domain2,隨機(jī)生成一個(gè)新的反單向函數(shù)鏈,從中取出第一 個(gè)密鑰作為domain2域的License解密密鑰LKeyl',筆記本電腦申請(qǐng)注冊(cè)到 domain2域中,管理服務(wù)器將筆記本電腦加入到domain2域中。后續(xù)的加解密 過程與前述過程類同此處不再贅述。
本發(fā)明提供的第三實(shí)施例是一種基于域的數(shù)字權(quán)限管理域管理服務(wù)器,其 結(jié)構(gòu)如圖4所示,包括
域建立模塊310:用于建立域,生成License解密密鑰,并將至少兩用戶 設(shè)備加入到域中;
標(biāo)識(shí)集獲取模塊320:用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為 加入到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;
域公鑰計(jì)算模塊330:用于通過由多元素加密單元素解密的加密算法和用 戶設(shè)備標(biāo)識(shí)集計(jì)算得到域公鑰;
解密密鑰加密才莫塊340:用于采用域^H月加密License解密密鑰得到License 解密密鑰密文,并發(fā)送給用戶設(shè)備。
本發(fā)明提供的第四實(shí)施例是一種基于域的數(shù)字權(quán)限管理系統(tǒng),其結(jié)構(gòu)如圖 5所示,包括
域建立模塊310:用于建立域,生成License解密密鑰,并將至少兩用戶 設(shè)備加入到域中;
標(biāo)識(shí)集獲取模塊320:用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為 加入到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;域公鑰計(jì)算;f莫塊330:用于通過由多元素加密單元素解密的加密算法和用 戶設(shè)備標(biāo)識(shí)集計(jì)算得到域公鑰;
解密密鑰加密才莫塊340:用于采用域公鑰加密License解密密鑰得到License
解密密鑰密文,并發(fā)送給用戶設(shè)備;
解密密鑰解密模塊350:用于域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí), 解密License解密密鑰密文得到License解密密鑰。
明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1、一種基于域的數(shù)字權(quán)限管理方法,其特征在于,包括域管理服務(wù)器建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備加入到域中;域管理服務(wù)器獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;域管理服務(wù)器通過多元素加密單元素解密的加密算法和用戶設(shè)備標(biāo)識(shí)集計(jì)算得到域公鑰;域管理服務(wù)器采用域公鑰加密使用證書解密密鑰得到使用證書解密密鑰密文,并發(fā)送給用戶設(shè)備;域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí),解密使用證書解密密鑰密文得到使用證書解密密鑰。
2、 如權(quán)利要求1所述的方法,其特征在于,所述由多元素加密單元素解 密的加密算法為完全公鑰廣播加密算法。
3、 如權(quán)利要求2所述的方法,其特征在于,域管理服務(wù)器隨機(jī)生成反單 向函數(shù)鏈,從中取出一個(gè)密鑰作為使用證書解密密鑰。
4、 如權(quán)利要求3所述的方法,其特征在于,域管理服務(wù)器建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備加入到域中的步驟后還包括域管理服務(wù)器根據(jù)使用證書解密密鑰生成使用證書加密密鑰;用戶設(shè)備向使用證書服務(wù)器請(qǐng)求獲取用于加密數(shù)字內(nèi)容的內(nèi)容密鑰;使用證書服務(wù)器向域管理服務(wù)器請(qǐng)求獲取使用證書加密密鑰;使用證書服務(wù)器根據(jù)使用證書加密密鑰加密內(nèi)容密鑰得到內(nèi)容密鑰密文;使用證書服務(wù)器將內(nèi)容密鑰密文發(fā)送給用戶設(shè)備;在域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí),解密使用證書解密密鑰密文得到使用證書解密密鑰的步驟后還包括用戶設(shè)備采用使用證書解密密鑰解密內(nèi)容密鑰密文得到內(nèi)容密鑰; 用戶設(shè)^f吏用內(nèi)容密鑰解密內(nèi)容密文獲得數(shù)字內(nèi)容。
5、 如權(quán)利要求1至4中任一權(quán)利要求所述的方法,其特征在于,當(dāng)有新 的臨時(shí)用戶設(shè)備力。入域時(shí),使用該臨時(shí)用戶設(shè)備標(biāo)識(shí)加密使用證書解密密鑰, 得到使用證書解密密鑰臨時(shí)密文;設(shè)定使用證書解密密鑰臨時(shí)密文在臨時(shí)設(shè)備中的使用時(shí)限;臨時(shí)用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí)解密使用證書解密密鑰臨時(shí)密文得到使用證書解密密鑰;當(dāng)使用時(shí)限到達(dá)后,使用證書解密密鑰臨時(shí)密文被無效,臨時(shí)用戶設(shè)備退出域。
6、 如權(quán)利要求1至4中任一權(quán)利要求所述的方法,其特征在于,當(dāng)有新 的非臨時(shí)用戶設(shè)備加入域時(shí),域管理服務(wù)器更新用戶設(shè)備標(biāo)識(shí)集并重新計(jì)算域 公鑰。
7、 如權(quán)利要求3或4所述的方法,其特征在于,當(dāng)有非臨時(shí)用戶設(shè)備退 出域時(shí),域管理服務(wù)器更新用戶設(shè)備標(biāo)識(shí)集并重新計(jì)算域公鑰;域管理服務(wù)器從反單向函數(shù)鏈中取出下一個(gè)密鑰更新使用證書解密密鑰; 域管理服務(wù)器使用新計(jì)算的域公鑰加密新的使用證書解密密鑰,生成新的 使用證書解密密鑰密文。
8、 如權(quán)利要求1至4中任一權(quán)利要求所述的方法,其特征在于,域管理 服務(wù)器設(shè)置使用證書解密密鑰生命期,當(dāng)使用證書解密密鑰的存在時(shí)間超過所 設(shè)置的生命期時(shí),域管理^^務(wù)器更新使用證書解密密鑰。
9、 如權(quán)利要求4所述的方法,其特征在于,域管理服務(wù)器建立至少兩個(gè) 域,對(duì)應(yīng)每個(gè)域生成使用證書解密密鑰、使用證書加密密鑰和域標(biāo)識(shí);將域標(biāo)識(shí)與使用證書解密密鑰密文關(guān)聯(lián)后發(fā)送給用戶設(shè)備; 用戶設(shè)備向使用證書服務(wù)器請(qǐng)求獲取用于加密數(shù)字內(nèi)容的內(nèi)容密鑰的過 程中,將該用戶設(shè)備的域標(biāo)識(shí)發(fā)送給使用證書服務(wù)器;使用證書服務(wù)器根椐該用戶設(shè)備的域標(biāo)識(shí),向域管理服務(wù)器請(qǐng)求獲取具有 該用戶設(shè)備域標(biāo)識(shí)域的使用證書加密密鑰。
10、 如權(quán)利要求9所述的方法,其特征在于,所述用戶設(shè)備標(biāo)識(shí)集為具有 相同域標(biāo)識(shí)的全部用戶設(shè)備標(biāo)識(shí)的集合。
11、 如權(quán)利要求l所述的方法,其特征在于,用戶設(shè)備被動(dòng)接收域管理服 務(wù)器發(fā)送的使用證書解密密鑰密文,并解密得到使用證書解密密鑰;或用戶設(shè)備主動(dòng)從域管理服務(wù)器下載使用證書解密密鑰密文,并解密得到使 用證書解密密鑰;或用戶設(shè)備共享使用其它用戶設(shè)備的使用證書解密密鑰密文,并解密得到使 用證書解密密鑰。
12、 如權(quán)利要求l所述的方法,其特征在于,用戶設(shè)備共享使用其它用戶 設(shè)備的使用證書解密密鑰密文具體為用戶設(shè)備從其他設(shè)備拷貝使用證書解密密鑰密文。
13、 一種基于域的數(shù)字權(quán)限管理域管理服務(wù)器,其特征在于,包括 域建立模塊用于建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備力口入到域中;標(biāo)識(shí)集獲取it塊用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入 到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;域公鑰計(jì)算模塊用于通過由多元素加密單元素解密的加密算法和用戶設(shè) 備標(biāo)識(shí)集計(jì)算得到域公鑰;解密密鑰加密模塊用于采用域公鑰加密使用證書解密密鑰得到使用證書 解密密鑰密文,并發(fā)送給用戶設(shè)備。
14、 一種基于域的數(shù)字權(quán)限管理系統(tǒng),其特征在于,包括 域建立模塊用于建立域,生成使用證書解密密鑰,并將至少兩用戶設(shè)備加入到域中;標(biāo)識(shí)集獲取模塊用于獲取用戶設(shè)備標(biāo)識(shí)集,所述用戶設(shè)備標(biāo)識(shí)集為加入到域中的全部用戶設(shè)備的用戶設(shè)備標(biāo)識(shí)的集合;域公鑰計(jì)算模塊用于通過由多元素加密單元素解密的加密算法和用戶設(shè) 備標(biāo)識(shí)集計(jì)算得到域公鑰;解密密鑰加密模塊用于釆用域公鑰加密使用證書解密密鑰得到使用證書 解密密鑰密文,并發(fā)送給用戶設(shè)備;解密密鑰解密模塊用于域中的任一用戶設(shè)備根據(jù)其用戶設(shè)備標(biāo)識(shí),解密 使用證書解密密鑰密文得到使用證書解密密鑰。
全文摘要
本發(fā)明公開了一種基于域的數(shù)字權(quán)限管理方法、域管理服務(wù)器及系統(tǒng),為了解決License解密密鑰密文不能在域內(nèi)設(shè)備間拷貝使用的問題,通過多元素加密單元素解密的加密算法,利用設(shè)備標(biāo)識(shí)集計(jì)算得到域公鑰,加密License解密密鑰得到License解密密鑰密文,任一域設(shè)備可使用本身標(biāo)識(shí)恢復(fù)License解密密鑰,非域設(shè)備則不可。由于使用多元素加密單元素解密的加密算法,直接從設(shè)備標(biāo)識(shí)集計(jì)算域公鑰來保護(hù)License密鑰,License解密密鑰密文對(duì)于任一域設(shè)備可共享使用,保證了License解密密鑰能且僅能在域內(nèi)設(shè)備間拷貝使用,解決了不方便聯(lián)網(wǎng)設(shè)備獲取License解密密鑰不便的問題。
文檔編號(hào)H04L9/32GK101252432SQ20071017993
公開日2008年8月27日 申請(qǐng)日期2007年12月19日 優(yōu)先權(quán)日2007年12月19日
發(fā)明者俞銀燕, 幟 湯, 洪獻(xiàn)文, 飛 高 申請(qǐng)人:北大方正集團(tuán)有限公司;北京方正阿帕比技術(shù)有限公司;北京大學(xué)