專利名稱：：轉(zhuǎn)移許可的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及轉(zhuǎn)移許可的方法及設(shè)備，屬于數(shù)字版權(quán)管理(DigitalRightsManagement,簡(jiǎn)稱DRM)領(lǐng)域。
背景技術(shù)：
：DRM主要通過(guò)權(quán)利限制和內(nèi)容保護(hù)控制數(shù)字內(nèi)容的使用，以保護(hù)內(nèi)容所有者的合法權(quán)益。數(shù)字內(nèi)容的發(fā)行者(ContentIssuer,簡(jiǎn)稱CI)將數(shù)字內(nèi)容加密后，用戶將加密的數(shù)字內(nèi)容數(shù)據(jù)包下載到終端設(shè)備上，授權(quán)發(fā)行者(RightsIssuer,RI)負(fù)責(zé)分發(fā)與數(shù)字內(nèi)容相對(duì)應(yīng)的許可證，其中包括許可權(quán)限及內(nèi)容解密密鑰。終端設(shè)備只有同時(shí)擁有內(nèi)容數(shù)據(jù)包和許可證，才能正常使用該數(shù)字內(nèi)容。許可證采用權(quán)限對(duì)象的方式表示，RO中包含有權(quán)利、限制、密鑰、簽名等信息。其中許可證中的權(quán)利及限制統(tǒng)稱為許可權(quán)限。許可證中封裝有以權(quán)限加密密鑰(RightsEncryptionKey,簡(jiǎn)稱REK)進(jìn)行加密的內(nèi)容加密密鑰(ContentEncryptionKey,簡(jiǎn)稱CEK)。合法的DRM終端設(shè)備可以解析出許可證中所封裝的內(nèi)容加密密鑰以解密數(shù)字內(nèi)容，并根據(jù)許可證中的權(quán)限信息控制用戶對(duì)數(shù)字內(nèi)容的具體使用。設(shè)備將許可證當(dāng)前可使用權(quán)限轉(zhuǎn)移給另一設(shè)備稱為許可轉(zhuǎn)移。本專利中，與許可轉(zhuǎn)移相關(guān)的信息，包括版權(quán)對(duì)象RO、RO當(dāng)前狀態(tài)信息、RO中封裝的密鑰等統(tǒng)稱為許可信息。根據(jù)RO所包含的限制的不同，可分為有狀態(tài)RO和無(wú)狀態(tài)RO,有狀態(tài)RO中包含有對(duì)某權(quán)利進(jìn)行限制的信息，例如次數(shù)(count)、時(shí)間(如時(shí)間段、7累計(jì)時(shí)間等)等狀態(tài)限制信息；而無(wú)狀態(tài)RO中的所有權(quán)利下都不包含狀態(tài)限制。根據(jù)RO發(fā)布對(duì)象的不同，可以為設(shè)備RO和域RO，設(shè)備RO為向某個(gè)設(shè)備發(fā)布的RO，域RO為針對(duì)某個(gè)域發(fā)布的RO。OMA畫工作組當(dāng)前正在制定SCE(SecureContentExchange)規(guī)范，在當(dāng)前SCE標(biāo)準(zhǔn)草案(OMA-TS-SCE_LRM-V1—0-20071011-D)中，公開了一種利用配對(duì)關(guān)系轉(zhuǎn)移許可的方案。所配對(duì)的設(shè)備分為兩種用戶域設(shè)備(UserDomainDevice)與客戶設(shè)備(GuestDevice)。由本地版權(quán)管理器(LocalRightsManager,簡(jiǎn)稱LRM)導(dǎo)入的許可，只能在具有配對(duì)關(guān)系的設(shè)備之間進(jìn)行轉(zhuǎn)移，用戶域設(shè)備與用戶域設(shè)備間、用戶域設(shè)備與客戶設(shè)備間均需在形成配對(duì)關(guān)系后才能實(shí)現(xiàn)對(duì)某個(gè)導(dǎo)入許可(Imported-RO)的轉(zhuǎn)移。其中，用戶域設(shè)備與用戶域設(shè)備間利用配對(duì)關(guān)系轉(zhuǎn)移許可時(shí)，須將許可的REK傳與對(duì)方，而用戶域設(shè)備與客戶設(shè)備之間利用配對(duì)關(guān)系轉(zhuǎn)移許可時(shí)則將許可的CEK傳與對(duì)方。為保證信息在設(shè)備之間傳送時(shí)的安全，首先兩設(shè)備間建立起安全通道(SecureAuthenticatedChannel,簡(jiǎn)稱SAC),然后再通過(guò)SAC實(shí)現(xiàn)信息的安全傳送，具體地，交互雙方首先形成一個(gè)共同的會(huì)話密鑰，之后信息發(fā)送方將傳送的信息以會(huì)話密鑰加密后發(fā)送給接收方，接收方以會(huì)話密鑰解密出所接收到的信息的明文。該方案存在以下缺陷(1)客戶設(shè)備所接受的導(dǎo)入許可只能在本機(jī)上使用，而不能再轉(zhuǎn)移給其他設(shè)備，由于不能再傳回給原用戶域設(shè)備，因此會(huì)給用戶帶來(lái)不好的消費(fèi)體驗(yàn)；(2)當(dāng)客戶設(shè)備所接收到的許可沒(méi)有被完全消費(fèi)，而該客戶設(shè)備上不再需要使用該許可時(shí)，由于客戶設(shè)備不能將許可再傳回給原用戶域設(shè)備或轉(zhuǎn)移到其他設(shè)備，因此許可的利用率低，從而會(huì)給用戶造成一定的浪費(fèi)和經(jīng)濟(jì)損失。
發(fā)明內(nèi)容本發(fā)明的第一方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備，根據(jù)配對(duì)關(guān)系，8實(shí)現(xiàn)許可在設(shè)備間的轉(zhuǎn)移。本發(fā)明的第二方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備，當(dāng)某設(shè)備及第二設(shè)備與同一第三設(shè)備之間存在配對(duì)關(guān)系時(shí)，實(shí)現(xiàn)許可由該設(shè)備向第二設(shè)備的轉(zhuǎn)移。本發(fā)明的第三方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備，根據(jù)轉(zhuǎn)移列表實(shí)現(xiàn)設(shè)備間許可的轉(zhuǎn)移，以防止利用權(quán)限轉(zhuǎn)移操作進(jìn)行非法權(quán)限擴(kuò)散。為實(shí)現(xiàn)本發(fā)明的第一方面，本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例，包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文；所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第二設(shè)備通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備，所傳送的許可信息中包括所述REK的密文；第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作；所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。為實(shí)現(xiàn)本發(fā)明的第一方面，本發(fā)明一種設(shè)備的一些實(shí)施例，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息；以及發(fā)送模塊，與數(shù)據(jù)庫(kù)連接，用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備。以上轉(zhuǎn)移許可的方法以及設(shè)備的實(shí)施例中，第一設(shè)備將包括有許可對(duì)應(yīng)的REK的密文的許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，第二設(shè)備將包括有REK的密文的許可信息傳送給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第二設(shè)備通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備，從而使得設(shè)備間根據(jù)配對(duì)關(guān)系實(shí)現(xiàn)許可的轉(zhuǎn)移，從而給用戶帶來(lái)良好的消費(fèi)體驗(yàn)；并且由于許可信息中包括REK的密文，因此支持有權(quán)限解密該密文的設(shè)備與無(wú)權(quán)限解密該密文的設(shè)備之間的許可信息的雙向轉(zhuǎn)移。為實(shí)現(xiàn)本發(fā)明的第二方面，本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例，包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后，將許可信息傳送給第二設(shè)備。為實(shí)現(xiàn)本發(fā)明的第二方面，本發(fā)明一種設(shè)備的一些實(shí)施例，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息；判斷模塊，用于根據(jù)數(shù)據(jù)庫(kù)中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系，判斷該設(shè)備與目標(biāo)設(shè)備是否同與該第三設(shè)備具有配對(duì)關(guān)系；以及發(fā)送模塊，當(dāng)判斷模塊確定該設(shè)備與目標(biāo)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí)，將許可信息發(fā)送至所述目標(biāo)設(shè)備。以上轉(zhuǎn)移許可的方法的實(shí)施例以及設(shè)備的實(shí)施例中，當(dāng)某設(shè)備中的許可沒(méi)有被完全消費(fèi)時(shí)，或該設(shè)備上不再需要使用該許可時(shí)，能夠?qū)⒃S可傳送給另一設(shè)備，從而提高了許可證權(quán)限的利用率。為實(shí)現(xiàn)本發(fā)明的第三方面，本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例，包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作，所述轉(zhuǎn)移列表的表項(xiàng)中包括許可對(duì)應(yīng)標(biāo)識(shí)ROID,轉(zhuǎn)移設(shè)備雙方的配7于關(guān)系。為實(shí)現(xiàn)本發(fā)明的第三方面，本發(fā)明一種設(shè)備的實(shí)施例，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)轉(zhuǎn)移列表；以及接收/發(fā)送模塊，用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。以上轉(zhuǎn)移許可的方法以及設(shè)備的實(shí)施例中，第一設(shè)備根據(jù)轉(zhuǎn)移列表從第二設(shè)備移入或向第三設(shè)備移出許可，防止了利用權(quán)限轉(zhuǎn)移操作進(jìn)行的非法權(quán)限擴(kuò)散。圖1為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例一的流程圖；圖2為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例二的流程圖；圖3為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例三的流程圖；圖4為本發(fā)明一種設(shè)備實(shí)施例的流程圖；圖5為本發(fā)明一種設(shè)備另一實(shí)施例的流程圖；圖6為本發(fā)明一種設(shè)備的再一實(shí)施例的流程圖。具體實(shí)施方式下面通過(guò)附圖和實(shí)施例，對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。要保證用戶域設(shè)備中的許可生效，用戶域設(shè)備需要擁有REK明文，而要保證客戶設(shè)備中的許可生效，客戶設(shè)備只需擁有CEK明文而不能擁有REK明文。為了保證許可在目標(biāo)設(shè)備中的生效，客戶設(shè)備向用戶域設(shè)備傳送許可信息需要轉(zhuǎn)移REK密文；為了保證許可轉(zhuǎn)移到目標(biāo)設(shè)備后能夠后續(xù)轉(zhuǎn)移，如用戶域設(shè)備將許可轉(zhuǎn)移給客戶設(shè)備，客戶設(shè)備又將許可轉(zhuǎn)移給另一用戶域設(shè)備或轉(zhuǎn)回原用戶域設(shè)備時(shí)，需要再轉(zhuǎn)移REK密文。為此，本發(fā)明的一些實(shí)施例提供了一種轉(zhuǎn)移許可的方法，其中包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文；所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第二設(shè)備直接將許可轉(zhuǎn)移給第四設(shè)備后或第二設(shè)備通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第四設(shè)備后，由所述第四設(shè)備將許可轉(zhuǎn)移給與所述第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備，所傳送的許可信息中包括所述REK的密文；第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作；所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。以下實(shí)施例一、實(shí)施例二分別對(duì)該轉(zhuǎn)移許可的方法進(jìn)行詳細(xì)說(shuō)明。轉(zhuǎn)移許可的方法的實(shí)施例一圖1為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例一的流程圖。參考圖1,轉(zhuǎn)移許可的方法包括步驟101、第一設(shè)備采用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文(第一設(shè)備對(duì)于從RO中解析出的REK進(jìn)行加密)。步驟102、第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括所述REK的密文。步驟103、第二設(shè)備將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，所ii傳送的許可信息中包括所述REK的密文。步驟104、第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作。所述依據(jù)REK執(zhí)行相關(guān)的操作包括驗(yàn)證REK正確后接受本次移入的許可。該實(shí)施例中第一設(shè)備將許可轉(zhuǎn)移給與第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，第二設(shè)備將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，則所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到，具體可以有以下幾種情況(11)假設(shè)該實(shí)施中的所述第一設(shè)備及第三設(shè)備為不同的設(shè)備，如為不同的用戶域設(shè)備，所述第二設(shè)備為客戶設(shè)備。當(dāng)?shù)谝辉O(shè)備及第三設(shè)備為同一個(gè)域的設(shè)備時(shí)，則所述REK的密文采用該第一設(shè)備及第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體為所述REK的密文采用第一設(shè)備及第三設(shè)備共同所在的域的域密鑰對(duì)所述REK進(jìn)行加密。(12)假設(shè)該實(shí)施例中所述第一設(shè)備及第三設(shè)備為同一設(shè)備，所述第二設(shè)備為客戶設(shè)備。則所述REK的密文采用該第一設(shè)備及第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體為所述REK的密文采用第一設(shè)備(第三設(shè)備)的公鑰對(duì)所述REK進(jìn)行加密得到，或者采用第一設(shè)備私有的密鑰對(duì)所述REK進(jìn)行加密得到，或者采用第一設(shè)備(第三設(shè)備)所在的域的域密鑰對(duì)所述REK進(jìn)行加密。當(dāng)REK的密文是采用域密鑰對(duì)所述REK進(jìn)行加密得到時(shí)，許可信息中還包括所述域的域標(biāo)識(shí)。以上技術(shù)方案中，所述許可信息中還包括該許可對(duì)應(yīng)的CEK,當(dāng)客戶設(shè)備接收到用戶域設(shè)備傳送的許可信息后，由于獲得了CEK，因此可以解密播放相應(yīng)的數(shù)字內(nèi)容。以上技術(shù)方案中，第一設(shè)備向第二設(shè)傳送的許可信息中還包括用于驗(yàn)證第一設(shè)備與該RO關(guān)系的信息，如第一設(shè)備對(duì)所述許可對(duì)應(yīng)標(biāo)識(shí)ROID的數(shù)字簽名。設(shè)備間通過(guò)安全通道轉(zhuǎn)移許可信息，如第一設(shè)備向第二設(shè)備轉(zhuǎn)移傳送許可之前，首先建立與第二設(shè)備的安全通道SAC，所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到；所述配對(duì)密鑰可以由域?qū)嵤┐鞤EA(DomainEnforcementAgent,簡(jiǎn)稱DEA)下發(fā)，如第一設(shè)備與第二設(shè)備分別與域?qū)嵤┐斫换カ@取，第一設(shè)備與第二設(shè)備依據(jù)配對(duì)密鑰完成安全通道SAC的建立。轉(zhuǎn)移許可的方法的實(shí)施例二圖2為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例二的流程圖。參考圖2,轉(zhuǎn)移許可的方法包括步驟201、第一設(shè)備釆用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文。步驟202、第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括所述REK的密文。步驟203、第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備。步驟204、第四設(shè)備將許可轉(zhuǎn)移給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備，所傳送的許可信息中包括所述REK的密文。該實(shí)施例中第二設(shè)備與第四設(shè)備非同一設(shè)備。步驟205、第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作。該實(shí)施例中第一設(shè)備將許可轉(zhuǎn)移給與第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備，再由第四設(shè)備轉(zhuǎn)移給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備，則所述REK的密文釆用第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到。第二設(shè)備與第四設(shè)備非同一設(shè)備，第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備具體為第二設(shè)備直接將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第四設(shè)備，或通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第四設(shè)備。上述實(shí)施例二中，假設(shè)所述第一設(shè)備為用戶域設(shè)備，所述第二設(shè)備為客戶設(shè)備，所述第三設(shè)備為用戶域設(shè)備，所述第四設(shè)備為客戶設(shè)備。則所述REK13的密文采用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體可以有以下幾種情況(21)所述第一設(shè)備與第三設(shè)備為同一設(shè)備，采用第一設(shè)備的公鑰對(duì)REK進(jìn)行加密得到REK的密文，第一設(shè)備以本設(shè)備的公鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文，并將該包含有REK的密文及RO的許可信息傳送與第二設(shè)備，由于第二設(shè)備不擁有該第一設(shè)備的私鑰，因此無(wú)法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK的密文及RO的許可信息傳送給第四設(shè)備，第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備(第一設(shè)備)時(shí)，第三設(shè)備(第一設(shè)備)利用私鑰可以解密采用該設(shè)備的公鑰加密的REK，得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK，解密播放相應(yīng)的數(shù)字內(nèi)容。(22)所述第一設(shè)備與第三設(shè)備為同一設(shè)備，采用第一設(shè)備的私有密鑰對(duì)REK進(jìn)行加密得到REK的密文，第一設(shè)備以其私自擁有的某個(gè)密鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文，并將包含有REK的密文及該RO的許可信息傳送與第二設(shè)備，由于第二設(shè)備不能夠解密采用第一設(shè)備的私自擁有的密鑰加密的REK,因此無(wú)法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK的密文及RO的許可信息傳送給第四設(shè)備，第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備(第一設(shè)備)時(shí)，由于第三設(shè)備(第一設(shè)備)能夠解密采用該設(shè)備的私自擁有的密鑰加密的REK，得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK，解密播放相應(yīng)的數(shù)字內(nèi)容。在上述第(22)種情況中，不包括以第一設(shè)備的私有設(shè)備密鑰(對(duì)應(yīng)的公有設(shè)備密鑰公開)進(jìn)行非對(duì)稱加密的情況。(23)所述第一設(shè)備與所述第三設(shè)備為同一域設(shè)備或同一設(shè)備，采用第一設(shè)備所在域的域密鑰對(duì)REK進(jìn)行加密得到REK的密文，第一設(shè)備以其所在域的域密鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文，并將包含有REK的密文及RO的許可信息傳送給第二設(shè)備，由于第二設(shè)備不擁有該第一設(shè)備所在域的域密鑰，因此無(wú)法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK14的密文的許可信息傳送給第四設(shè)備，第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備時(shí)，由于第三設(shè)備能夠解密采用第三設(shè)備與第一設(shè)備所在的同一域的域密鑰加密的REK,得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK，解密播放相應(yīng)的數(shù)字內(nèi)容。在上述第(23)種情況中，第一設(shè)備可在轉(zhuǎn)移至第二設(shè)備的許可信息中攜帶有與該域密鑰對(duì)應(yīng)的域標(biāo)識(shí)。第三設(shè)備可以根據(jù)域標(biāo)識(shí)以確定解密REK的密文所使用的域密鑰。在上述第(23)中，若在雙方設(shè)備的配對(duì)關(guān)系中明確限定了用戶域設(shè)備所屬域，則可利用該配對(duì)關(guān)系來(lái)確定加密REK的域密鑰?；蛘逺O中記錄有域相關(guān)信息，可利用該域相關(guān)信息確定所對(duì)應(yīng)的域密鑰。若是用戶域設(shè)備只能加入一個(gè)域(不支持加入多個(gè)域)或是允許用戶域設(shè)備加入多個(gè)域^旦配對(duì)關(guān)系只能適用于一個(gè)域，則第三設(shè)備可直接確定域密鑰。上述兩實(shí)施例中，步驟104及步驟205中，第三設(shè)備接收到REK密文并解密后，首先-驗(yàn)證REK是否正確，再利用解密出的CEK解密播放相應(yīng)的數(shù)字內(nèi)容。例如，在0MAD脂規(guī)范中，因?yàn)镽EK封裝加密CEK的算法為AES-WRAP算法，所以執(zhí)行AES-WRAP算法解密R0中封裝的CEK的過(guò)程，即可判斷用于解密R0中所封裝的CEK的這個(gè)密鑰是否即為正確的REK。以上技術(shù)方案中，所述第一設(shè)備傳給第二設(shè)備的許可信息中還包括該R0對(duì)應(yīng)的CEK，當(dāng)?shù)诙O(shè)備接收到第一設(shè)備傳送的許可信息后，由于獲得了CEK，因此可以解密播放相應(yīng)的數(shù)字內(nèi)容。所述第一設(shè)備可以將用以驗(yàn)證其與該R0關(guān)系的信息，如其對(duì)該R0的標(biāo)識(shí)R0ID的數(shù)字簽名也傳送給所述第二設(shè)備；所述設(shè)備間許可信息傳送可以利用安全通道SAC來(lái)傳送相關(guān)信息，例如，第一設(shè)備在向第二設(shè)備傳送許可之前，首先建立與第二設(shè)備的安全通道SAC;所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到；所述配對(duì)密鑰可以由域?qū)嵤┐?DomainEnforcementAgent,簡(jiǎn)牙爾DEA)下發(fā)，^口第一i殳備與第二i殳備分另'J與域?qū)嵤┐斫换カ@取，設(shè)備與DEA交互時(shí)完成配對(duì)關(guān)系注冊(cè)及配對(duì)密鑰獲取，第一設(shè)備與第二設(shè)備依據(jù)配對(duì)密鑰完成安全通道SAC的建立。以上轉(zhuǎn)移許可的方法的實(shí)施例中，第一設(shè)備將包括有許可對(duì)應(yīng)的REK的密文的許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，第二設(shè)備將包括有REK的密文的許可信息傳送給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第四設(shè)備將包括有REK的密文的許可信息傳送給與該第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備，從而使得設(shè)備間根據(jù)配對(duì)關(guān)系實(shí)現(xiàn)許可的轉(zhuǎn)移，從而給用戶帶來(lái)良好的消費(fèi)體驗(yàn)；并且由于許可信息中包括REK的密文，因此支持有權(quán)限解密該密文的設(shè)備與無(wú)權(quán)限解密該密文的設(shè)備之間的許可信息的轉(zhuǎn)移。若兩個(gè)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系，如這兩個(gè)設(shè)備同為第三設(shè)備的客戶設(shè)備時(shí)，這兩個(gè)設(shè)備之間可以轉(zhuǎn)移許可。為此，本發(fā)明的另一些實(shí)施例提供了一種轉(zhuǎn)移許可的方法，其中包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后，將許可信息傳送給第二設(shè)備。以下實(shí)施例三用于對(duì)該方法進(jìn)行詳細(xì)說(shuō)明。轉(zhuǎn)移許可的方法的實(shí)施例三該實(shí)施例中，第三設(shè)備為用戶域設(shè)備，則第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系具體為第一設(shè)備確定第一設(shè)備及第二設(shè)備同為第三設(shè)備的客戶設(shè)備。圖3為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例三的流程圖。參考圖3，轉(zhuǎn)移許可的方法包括步驟301、第一設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系信息發(fā)送至第二設(shè)備；步驟302、第二設(shè)備判斷其與第三設(shè)備具有配對(duì)關(guān)系，確定存在第二設(shè)備與該第三設(shè)備的配對(duì)關(guān)系且該第三設(shè)備與第一設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過(guò)；步驟303、第二設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系信息發(fā)送至第一設(shè)備；步驟304、第一設(shè)備對(duì)第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過(guò)后，確定第一設(shè)備與第二設(shè)備為同一第三設(shè)備的客戶設(shè)備；步驟305、第一設(shè)備將許可信息傳送給第二設(shè)備。所述許可信息包括該許可對(duì)應(yīng)的內(nèi)容加密密鑰CEK轉(zhuǎn)移給第二設(shè)備。在第一設(shè)備判斷其與第二設(shè)備同為某一個(gè)第三設(shè)備的客戶設(shè)備后，即可執(zhí)行許可的傳送，所傳送的許可信息包括CEK,或進(jìn)一步包括REK的密文以支持后續(xù)可將該許可傳送給第三設(shè)備，REK的加密方式可如前文所述。第一設(shè)備向第二設(shè)備傳送許可時(shí)，除第一設(shè)備及第二設(shè)備以外的設(shè)備稱為第三設(shè)備，當(dāng)?shù)谌O(shè)備存在多個(gè)時(shí)，第一設(shè)備與第二設(shè)備之間傳送許可需要考慮的一種情況是一個(gè)第一設(shè)備可能會(huì)與多個(gè)第三設(shè)備間有配對(duì)關(guān)系。這樣第一設(shè)備與第二設(shè)備間進(jìn)行許可傳送前，要明確雙方是依據(jù)與哪一個(gè)第三設(shè)備的配對(duì)關(guān)系來(lái)實(shí)現(xiàn)許可的傳送。以上技術(shù)方案中，所述第一設(shè)備可以將用以驗(yàn)證第一設(shè)備與該RO關(guān)系的信息，如第一設(shè)備對(duì)該RO的標(biāo)識(shí)的數(shù)字簽名也傳送給第二設(shè)備；所述第一設(shè)備與所述第二設(shè)備間可以利用安全通道SAC來(lái)傳送相關(guān)信息，第一設(shè)備在向第二設(shè)備傳送許可之前，首先與第二設(shè)備建立安全通道SAC;所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰；所述配對(duì)密鑰可以由域?qū)嵤?戈理DEA(DomainEnforcementAgent,簡(jiǎn)稱DEA)下發(fā)，如第一設(shè)備及第二設(shè)備分別與DEA交互獲取，第一設(shè)備與第二設(shè)M據(jù)配對(duì)密鑰完成安全通道SAC的建立。該轉(zhuǎn)移許可的方法的實(shí)施例中，當(dāng)?shù)谝辉O(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí)，當(dāng)?shù)谝辉O(shè)備中的許可沒(méi)有被完全消費(fèi)時(shí)，或該第一設(shè)備上不再需要使用該許可時(shí)，能夠?qū)⒃S可傳送給第二設(shè)備，從而提高了許可證權(quán)限的利用率以下以一實(shí)例說(shuō)明客戶設(shè)備間傳送許可的方法。假設(shè)第一客戶設(shè)備為Gl,第二客戶設(shè)備為G2，用戶域設(shè)備(UserDomaindevice)為Ul、U2;第一客戶設(shè)備Gl與用戶域設(shè)備Ul之間具有配對(duì)關(guān)系paring{Gl，UserDomaindeviceUl}，第一客戶設(shè)備G1與用戶域設(shè)備U2之間具有配對(duì)關(guān)系paring{Gl，UserDomaindeviceU2}，第二客戶設(shè)備G2與用戶域Ul之間具有配對(duì)關(guān)系paring{G2,UserDomaindeviceUl};第一客戶設(shè)備Gl向第二客戶設(shè)備G2傳送許可時(shí)，執(zhí)行以下操作1)第一客戶設(shè)備Gl將兩個(gè)配對(duì)關(guān)系paring{Gl，UserDomaindeviceUl}及paring{Gl,UserDomaindeviceU2)發(fā)送至第二客戶設(shè)備G2;2)第二客戶設(shè)備G2接收到第一客戶設(shè)備Gl所發(fā)送的配對(duì)關(guān)系后，選擇與用戶域設(shè)備U1的配對(duì)關(guān)系進(jìn)行驗(yàn)證；3)驗(yàn)證通過(guò)后將第二客戶設(shè)備G2與用戶域設(shè)備Ul的配對(duì)關(guān)系paring{G2，UserDomaindeviceUl}發(fā)送至第一客戶設(shè)備Gl;4)第一客戶i殳備Gl只于酉己乂于關(guān)系paring(G2，UserDomaindeviceUl}進(jìn)行驗(yàn)證后，確定第一客戶設(shè)備G1與第二客戶設(shè)備G2同為用戶與用戶域設(shè)備Ul的客戶設(shè)備。5)第一客戶設(shè)備Gl將從Ul獲取的RO及該RO對(duì)應(yīng)的內(nèi)容加密密鑰CEK轉(zhuǎn)移給第二客戶設(shè)備G2。進(jìn)一步地，為防止許可的擴(kuò)散(如第一客戶設(shè)備Gl從用戶域設(shè)備U2獲取的RO不能利用第一客戶設(shè)備Gl與第二客戶設(shè)備G2均與用戶域設(shè)備U1有配對(duì)關(guān)系而將該R0傳與第二客戶設(shè)備G2)，可在后續(xù)的許可傳送過(guò)程中，使得所傳送的RO均為原用戶域設(shè)備所傳送出來(lái)的。為此，可在用戶域設(shè)備在向客戶設(shè)備傳送許可時(shí)，亦傳送用以驗(yàn)證其與該RO關(guān)系的信息(如，用戶域設(shè)備對(duì)RO的標(biāo)識(shí)ROID的數(shù)字簽名)。轉(zhuǎn)移許可的方法的實(shí)施例四若一個(gè)設(shè)備的安全性被破壞，其可能會(huì)通過(guò)復(fù)制許可信息并轉(zhuǎn)移給其它設(shè)備的方法來(lái)非法擴(kuò)散權(quán)限。例如，一個(gè)無(wú)狀態(tài)RO由用戶域設(shè)備A轉(zhuǎn)移到客戶設(shè)備B?？蛻粼O(shè)備B被破解，其可以非法復(fù)制該RO。設(shè)備A可以不斷的從設(shè)備B獲取被復(fù)制的RO并傳送給其它設(shè)備，從而造成許可的非法復(fù)制和傳18播。為此可設(shè)計(jì)轉(zhuǎn)移列表來(lái)防范權(quán)限的非法擴(kuò)散。對(duì)于有狀態(tài)RO,其風(fēng)險(xiǎn)還在于狀態(tài)信息的非法改變。如，用戶域設(shè)備A擁有的某RO中有10次播放權(quán)利，當(dāng)前已使用8次，狀態(tài)信息中播放權(quán)限為2次。若客戶設(shè)備B被破解，則域設(shè)備A將該RO權(quán)限轉(zhuǎn)移給客戶設(shè)備B,客戶設(shè)備將狀態(tài)信息中播放權(quán)限改為10次后再將RO權(quán)限傳給域設(shè)備A,這樣域設(shè)備A即獲取了非法播放權(quán)限。為此可對(duì)轉(zhuǎn)出的狀態(tài)信息做完整性保護(hù)，如在狀態(tài)信息中寫入時(shí)間信息并對(duì)狀態(tài)信息作數(shù)字簽名；在RO權(quán)限多次轉(zhuǎn)移過(guò)程中，亦每次將最新狀態(tài)信息與之前狀態(tài)信息一并傳與接收方。在接收狀態(tài)信息時(shí)，須對(duì)狀態(tài)信息作驗(yàn)證，包括狀態(tài)信息的數(shù)字簽名及當(dāng)前狀態(tài)信息中限定的權(quán)限是否在之前狀態(tài)信息限定之內(nèi)。對(duì)于有狀態(tài)權(quán)限的轉(zhuǎn)移，在轉(zhuǎn)移列表中須記錄轉(zhuǎn)出許可時(shí)的時(shí)間信息(如時(shí)戳)。為此，本發(fā)明一種轉(zhuǎn)移權(quán)限對(duì)象的實(shí)施例，包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作，所述轉(zhuǎn)移列表的表項(xiàng)中包括RO的標(biāo)識(shí)ROID，轉(zhuǎn)移設(shè)備雙方的配對(duì)關(guān)系。許可轉(zhuǎn)移操作包括第一設(shè)備將許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所述許可信息包括權(quán)限對(duì)象RO及該RO對(duì)應(yīng)的內(nèi)容加密密鑰CEK。所述第一設(shè)備從第二設(shè)備移入許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表，若該轉(zhuǎn)移列表中存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則第一設(shè)備拒絕從第二設(shè)備移入許可；若該轉(zhuǎn)移列表中不存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作。所述執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作的同時(shí)還可以包括在該轉(zhuǎn)移列表中增加與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，以保證轉(zhuǎn)移列表的實(shí)時(shí)更新，為下一次轉(zhuǎn)移許可做準(zhǔn)備。所述第一設(shè)備向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括:查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還可以包括去除該轉(zhuǎn)移列表中與R0的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，以保證轉(zhuǎn)移列表的實(shí)時(shí)更新，為下一次轉(zhuǎn)移許可做準(zhǔn)備。其中，去除該轉(zhuǎn)移列表中與RO的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄具體為刪除與該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，或?qū)⑴c該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄置為無(wú)效狀態(tài)。所述第一設(shè)備向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括若該轉(zhuǎn)移列表中與ROID對(duì)應(yīng)的記錄中不存在對(duì)應(yīng)的第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系，則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。RO為無(wú)狀態(tài)RO或有狀態(tài)RO。當(dāng)該RO為有狀態(tài)RO時(shí)，所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中與該有狀態(tài)RO對(duì)應(yīng)的記錄中添加表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。對(duì)于有狀態(tài)RO，執(zhí)行第一設(shè)備向第三設(shè)備移出該RO的操作的同時(shí)還包括，第一設(shè)備將該有狀態(tài)RO的狀態(tài)信息發(fā)送至第三設(shè)備，為實(shí)現(xiàn)對(duì)狀態(tài)信息進(jìn)行完整性保護(hù)，所述狀態(tài)信息包括第一設(shè)備對(duì)狀態(tài)信息或?qū)顟B(tài)信息中含有的權(quán)限信息部分的數(shù)字簽名。所述狀態(tài)信息還可以包括表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。所述第一設(shè)備向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移許可的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表，若該轉(zhuǎn)移列表中不存在與ROID對(duì)應(yīng)的記錄，則第一設(shè)備停止執(zhí)行向第三設(shè)備移出許可的操作。以上技術(shù)方案中所述的RO,根據(jù)其包含的限制的不同，可以為有狀態(tài)RO和無(wú)狀態(tài)RO;根據(jù)其發(fā)布對(duì)象的不同，可以為設(shè)備RO或域RO。下面以一實(shí)例說(shuō)明利用轉(zhuǎn)移列表轉(zhuǎn)移許可的方法。假設(shè)B、C分別表示用戶域設(shè)備，A表示客戶設(shè)備，用戶域設(shè)備C與客戶設(shè)備A、用戶域設(shè)備B均建立有配對(duì)關(guān)系用戶域設(shè)備C與客戶設(shè)備A的配對(duì)關(guān)系信息為Paring{C,A};用戶域設(shè)備C與用戶域設(shè)備B的配對(duì)關(guān)系信息為Paring{C，B}。本實(shí)例中，不考慮用戶域設(shè)備失信的情況，而客戶設(shè)備A可能會(huì)失信。設(shè)用戶域設(shè)備C當(dāng)前轉(zhuǎn)移列表中記錄為空。當(dāng)前支持用戶域設(shè)備與客戶設(shè)備間許可的雙向轉(zhuǎn)移，亦支持客戶設(shè)備間許可的轉(zhuǎn)移，但用戶域設(shè)備轉(zhuǎn)出到客戶設(shè)備的許可只能從原客戶設(shè)備傳回給原用戶域設(shè)備。三個(gè)設(shè)備之間執(zhí)行以下操作，各操作以及各操作中用戶域設(shè)備C的轉(zhuǎn)移列表中的記錄的變化情況如下(1)用戶域設(shè)備C從用戶域設(shè)備B移入兩個(gè)RO，一個(gè)為無(wú)狀態(tài)的ROl，其標(biāo)識(shí)為R0ID1，另有個(gè)為有狀態(tài)的R02,其標(biāo)識(shí)為R0ID2，R02的總插j文4又限為10次，其狀態(tài)信息中限定當(dāng)前還有1次播放權(quán)限。由于用戶域設(shè)備C當(dāng)前轉(zhuǎn)移列表為空，即不存在R01、R02的記錄，為此在轉(zhuǎn)移表表中增加相應(yīng)的記錄，當(dāng)前接受的R02狀態(tài)信息中的時(shí)戳信息為Tl，如下表所示R0的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳R0ID1Paring(C，B}NULLR0ID2Paring{C,B}TlR02的狀態(tài)信息的一個(gè)片斷為<o—ex:permission)<oma—dd:play><o-ex:constraint〉<count>5</coimt></o-ex:constraints</oma-dd:play〉</o-ex:permission><time>Tl</1ime><signature〉〈/signature〉〃用戶域i殳備B簽名(2)用戶域設(shè)備C向客戶設(shè)備A轉(zhuǎn)移ROl、R02;設(shè)備C在其轉(zhuǎn)移列表中查找到ROl、R02的記錄，但該記錄中所記載的配對(duì)關(guān)系不是C與A的配對(duì)關(guān)系，為此繼續(xù)執(zhí)行將ROl、R02轉(zhuǎn)移給客戶設(shè)備A的操作。在轉(zhuǎn)移R02時(shí)一并將其狀態(tài)信息(其中寫入當(dāng)前的時(shí)戳)簽名后轉(zhuǎn)與客戶設(shè)備A。并在轉(zhuǎn)移列表中相應(yīng)記錄下當(dāng)前的時(shí)戳T2，如下表所示RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳RO皿Paring{C,B}NULLR0ID2Paring{C,B}T2R02的狀態(tài)信息的一個(gè)片斷為:<o—ex:perraission><oma—dd:play><o-ex:constraint><count〉5</coimt></o-ex:constraints</oma-dd:play〉</o-ex:permission><time>Tl</1ime><signature>〈/signature〉〃用戶i或i殳備B簽名<o—ex:permission〉<oma-dd:play〉<o—ex:constraint)<count>l</coimt></o-ex:constraint〉</oma-dd:play〉</o-ex:permission)<time>T2</time><signature〉d93e5fue3susdskjhkjedkjrl0h53209efoihfdsel0ue2109uel〈/signature〉〃用戶域設(shè)備C簽名(3)客戶設(shè)備A將ROl轉(zhuǎn)移回用戶域設(shè)備C;當(dāng)客戶設(shè)備A被破解，設(shè)備A可以將RO(如ROl)復(fù)制多份，并轉(zhuǎn)移給用戶域設(shè)備C一個(gè)R01復(fù)本。設(shè)備C在接收R01轉(zhuǎn)入之前判斷其轉(zhuǎn)移列表中沒(méi)有曾從客戶設(shè)備A接收ROl的記錄，從而在其轉(zhuǎn)移列表中增加相應(yīng)的記錄，如下表所示，并繼續(xù)完成ROl轉(zhuǎn)移操作。RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳R0ID1Paring{C,B}冊(cè)LLRO皿Paring{C，A}NULLRO皿Paring{C，B}T2(4)用戶域設(shè)備C將ROl轉(zhuǎn)移給用戶域設(shè)備B;用戶域設(shè)備B在其轉(zhuǎn)移列表中查找到與ROl及設(shè)備C-B配對(duì)關(guān)系相匹配的記錄，從而在完成將R01轉(zhuǎn)移給設(shè)備B的操作后，刪除了轉(zhuǎn)移列表中相應(yīng)的記錄，如下表所示<table>tableseeoriginaldocumentpage24</column></row><table>(5)若客戶設(shè)備A再次發(fā)起將ROl的一個(gè)復(fù)本轉(zhuǎn)移給用戶域設(shè)備C的操作；用戶域設(shè)備B在其轉(zhuǎn)移列表中查找到與ROl及設(shè)備C-A配對(duì)關(guān)系相匹配的記錄，從而拒絕了本次移入操作。此處可以利用配對(duì)關(guān)系屬性判斷來(lái)實(shí)現(xiàn)許可的轉(zhuǎn)移，具體為若是用戶域設(shè)備C還有一客戶設(shè)備D,其從客戶設(shè)備A獲取了一個(gè)R01復(fù)本且獲取了REK密文，當(dāng)前設(shè)備D將R01傳回用戶域設(shè)備C，因設(shè)備C判定已從它的一個(gè)客戶設(shè)備(客戶設(shè)備A)獲取了R01的一個(gè)復(fù)本，故拒絕從客戶設(shè)備處再次移入ROl,即拒絕了從客戶設(shè)備D移入ROl的操作。(6)當(dāng)客戶設(shè)備A被破解，設(shè)備A可以修改有狀態(tài)RO(如R02)的狀態(tài)信息。R02的狀態(tài)信息被惡意修改，如去掉了之前設(shè)備C所附加的狀態(tài)信息并將當(dāng)前還有的播放權(quán)限次數(shù)修改為8次。當(dāng)客戶設(shè)備A將R02權(quán)限傳給用戶域設(shè)備C時(shí)，設(shè)備C判斷當(dāng)前狀態(tài)信息中可播放權(quán)限次數(shù)超過(guò)了之前轉(zhuǎn)移出去時(shí)還有的播放權(quán)限(之前轉(zhuǎn)出時(shí)還有l(wèi)次播放權(quán)限)，故拒絕了本次移入操作。其中，被非法修改的R02狀態(tài)信息片斷如下<o-ex:permission〉<oma-dd:play><o-ex:constraint〉<coimt〉5</coimt></o-ex:constraint></oma-dd:play></o-ex:permission)<time〉Tl</time〉<signature>〈/signature〉〃用戶域^殳備B簽名<o-ex:permission〉<oma-dd:play〉<o-ex:constraints<coimt〉8</count></o-ex:constraint></oma-dd:play〉</o-ex:permission〉<time>T3</time〉<signature〉</signature〉〃客戶^殳備A簽名此外，即使客戶設(shè)備A故意丟棄用戶域設(shè)備C對(duì)使用權(quán)限為5時(shí)的狀態(tài)信息，但轉(zhuǎn)移列表中記錄有T2時(shí)戳信息，故用戶域設(shè)備C在當(dāng)前傳回的狀態(tài)信息中沒(méi)有找到與T2相匹配的記錄，亦拒絕本次移入。設(shè)備C刪除了轉(zhuǎn)移列表中相應(yīng)的記錄，如下表所示:RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳RO皿Paring{C，A}NULL以上轉(zhuǎn)移許可的方法的實(shí)施例中，利用配對(duì)關(guān)系實(shí)現(xiàn)許可在設(shè)備之間的轉(zhuǎn)移，以防范許可權(quán)限的非法擴(kuò)散。本發(fā)明還提供了設(shè)備的一些實(shí)施例。圖4為本發(fā)明設(shè)備的實(shí)施例一的結(jié)構(gòu)示意圖。參考圖4,該設(shè)備包括數(shù)據(jù)庫(kù)ll,用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息；以及發(fā)送模塊12,與數(shù)據(jù)庫(kù)11連接，用于根據(jù)數(shù)據(jù)庫(kù)11中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備，所述許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文。圖5為本發(fā)明設(shè)備的實(shí)施例二的結(jié)構(gòu)示意圖。參考圖5，該設(shè)備包括數(shù)據(jù)庫(kù)21,用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息；判斷模塊22,與數(shù)據(jù)庫(kù)21連接，用于根據(jù)數(shù)據(jù)庫(kù)21中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系，判斷該設(shè)備與目標(biāo)設(shè)備是否同與該第三設(shè)備具有配對(duì)關(guān)系；以及發(fā)送模塊23,與判斷模塊22連接，當(dāng)判斷模塊22確定該設(shè)備與目標(biāo)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí)，將許可信息發(fā)送至所述目標(biāo)設(shè)備。圖6為本發(fā)明設(shè)備的實(shí)施例三的結(jié)構(gòu)示意圖。參考圖6，該設(shè)備包括數(shù)據(jù)庫(kù)31，用于存儲(chǔ)轉(zhuǎn)移列表，所述轉(zhuǎn)移列表中記錄有設(shè)備間配對(duì)關(guān)系信息；以及接收/發(fā)送模塊32,與數(shù)據(jù)庫(kù)31連接，用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。2權(quán)利要求1、一種轉(zhuǎn)移許可的方法，其特征在于，包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文；所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第二設(shè)備通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備，所傳送的許可信息中包括所述REK的密文；第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作；所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。2、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述依據(jù)REK執(zhí)行相關(guān)的操作包括驗(yàn)證REK正確后接受本次移入的許可。3、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一設(shè)備和第三設(shè)備為用戶域設(shè)備。4、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一設(shè)備與第三設(shè)備為同一設(shè)備，所述REK的密文采用第一設(shè)備的公鑰對(duì)所述REK進(jìn)行加密得到，或者采用第一設(shè)備私有的密鑰對(duì)所述REK進(jìn)行加密得到。5、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一設(shè)備與第三設(shè)備為同一設(shè)備或同一域設(shè)備，所述REK的密文采用第一設(shè)備與第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到。6、才艮據(jù)權(quán)利要求5所述的方法，所述許可信息還包括所述域的域標(biāo)識(shí)。7、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述許可信息還包括所述第一設(shè)備對(duì)所述許可對(duì)應(yīng)的標(biāo)識(shí)R0ID的數(shù)字簽名。8、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述許可信息通過(guò)安全通道傳送，所述安全通道所采用的會(huì)話密鑰為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到。9、一種轉(zhuǎn)移許可的方法，其特征在于，包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后，將許可信息傳送給第二設(shè)備。10、根據(jù)權(quán)利要求9所述的方法，其特征在于，所述第三設(shè)備為用戶域設(shè)備，所述第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系具體為第一設(shè)備確定第一設(shè)備及第二設(shè)備同為第三設(shè)備的客戶設(shè)備。11、根據(jù)權(quán)利要求IO所述的方法，其特征在于，所述第一設(shè)備確定第一設(shè)備與第二設(shè)備為同為第三設(shè)備的客戶設(shè)備包括第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系后，對(duì)所述第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過(guò)后，確定第一設(shè)備與第二設(shè)備同為第三設(shè)備的客戶設(shè)備。12、根據(jù)權(quán)利要求11所述的方法，其特征在于，所述第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系之前還包括第一設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系發(fā)送至第二設(shè)備，第二設(shè)備確定與第三設(shè)備存在配對(duì)關(guān)系且第三設(shè)備與第一設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過(guò)。13、根據(jù)權(quán)利要求11所述的方法，其特征在于，所述第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系之前還包括第一設(shè)備將其與多個(gè)第三設(shè)備的配對(duì)關(guān)系發(fā)送至第二設(shè)備，第二設(shè)備從所述多個(gè)第三設(shè)備中選擇出與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，確定選擇出的第三設(shè)備中至少有一個(gè)第三設(shè)備與第一客戶設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過(guò)。14、根據(jù)權(quán)利要求9所述的方法，其特征在于，所述許可信息還包括許可對(duì)應(yīng)的REK的密文，所述REK的密文采用第三設(shè)備的公鑰，或第三設(shè)備私自擁有的密鑰，或第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到。15、根據(jù)權(quán)利要求14所述的方法，其特征在于，若所述REK的密文采用第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到，所述許可信息還包括第三設(shè)備所在域的域標(biāo)識(shí)。16、才艮據(jù)權(quán)利要求9所述的方法，其特征在于，所述許可信息還包括第三設(shè)備對(duì)所述許可對(duì)應(yīng)的標(biāo)識(shí)R0ID的數(shù)字簽名。17、根據(jù)權(quán)利要求9所述的方法，其特征在于，所述第一設(shè)備將許可信息傳送給第二設(shè)備具體為第一設(shè)備將許可信息通過(guò)安全通道傳送給第二設(shè)備，所述安全通道采用的會(huì)話密鑰為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到。18、一種轉(zhuǎn)移許可的方法，其特征在于，包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作，所述轉(zhuǎn)移列表的表項(xiàng)中包括許可對(duì)應(yīng)的標(biāo)識(shí)R0ID，轉(zhuǎn)移設(shè)備雙方的配對(duì)關(guān)系信息。19、根據(jù)權(quán)利要求18所述的方法，其特征在于，所述第一設(shè)備從第二設(shè)備移入許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表，若該轉(zhuǎn)移列表中存在與許可對(duì)應(yīng)標(biāo)識(shí)R0ID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則第一設(shè)備拒絕從第二設(shè)備移入許可；若該轉(zhuǎn)移列表中不存在與該R0ID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作。20、根據(jù)權(quán)利要求19所述的方法，其特征在于，所述執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中增加與該R0ID及該配對(duì)關(guān)系均對(duì)應(yīng)的記錄。21、根據(jù)權(quán)利要求18所述的方法，其特征在于，所述第一設(shè)備向第三設(shè)備移出許可時(shí)，根據(jù)轉(zhuǎn)移列表執(zhí)行轉(zhuǎn)移許可的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表，若該轉(zhuǎn)移列表中存在許可對(duì)應(yīng)的標(biāo)識(shí)R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。22、根據(jù)權(quán)利要求21所述的方法，其特征在于，所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還包括去除該轉(zhuǎn)移列表中與該許可對(duì)應(yīng)標(biāo)識(shí)R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄。23、根據(jù)權(quán)利要求22所述的方法，其特征在于，所述去除該轉(zhuǎn)移列表中與許可對(duì)應(yīng)的標(biāo)識(shí)R01D及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄具體為刪除與該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄，或?qū)⑴c該R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄置為無(wú)效狀態(tài)。24、根據(jù)權(quán)利要求18所述的方法，其特征在于，所述第一設(shè)備向第三設(shè)備移出許可時(shí)，當(dāng)該許可為有狀態(tài)許可時(shí)，所述執(zhí)行第一設(shè)備向第三設(shè)備移出該許可的操作的同時(shí)還包括第一設(shè)備將該有狀態(tài)許可的狀態(tài)信息發(fā)送至第三設(shè)備，所述狀態(tài)信息包括第一設(shè)備對(duì)狀態(tài)信息或?qū)顟B(tài)信息中含有的權(quán)限信息部分的數(shù)字簽名，和/或表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。25、根據(jù)權(quán)利要求24所述的方法，其特征在于，所述執(zhí)行第一設(shè)備向第三設(shè)備移出該許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中與該有狀態(tài)許可對(duì)應(yīng)的記錄中添加表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。26、根據(jù)權(quán)利要求18-25所述的任一方法，其特征在于，所述許可為無(wú)狀態(tài)許可或有狀態(tài)許可。27、根據(jù)權(quán)利要求18-25所述的任一方法，其特征在于，所述許可為設(shè)備許可或域許可。28、一種設(shè)備，其特征在于，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息；以及發(fā)送模塊，用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備，所述許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文。29、一種設(shè)備，其特征在于，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息；判斷模塊，用于根據(jù)數(shù)據(jù)庫(kù)中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系，判斷該設(shè)備與目標(biāo)設(shè)備同與該第三設(shè)備具有配對(duì)關(guān)系；以及發(fā)送模塊'與判斷模塊連接，將許可信息發(fā)送至所述目標(biāo)設(shè)備。30、一種設(shè)備，其特征在于，包括數(shù)據(jù)庫(kù)，用于存儲(chǔ)轉(zhuǎn)移列表，所述轉(zhuǎn)移列表中記錄有設(shè)備間配對(duì)關(guān)系信息；以及接收/發(fā)送模塊，用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。全文摘要本發(fā)明的實(shí)施例涉及轉(zhuǎn)移許可的方法及設(shè)備。轉(zhuǎn)移許可的方法的一些實(shí)施例，包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備，所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文；所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備，或第二設(shè)備通過(guò)一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備，所傳送的許可信息中包括所述REK的密文；第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作；所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。本發(fā)明利用配對(duì)關(guān)系實(shí)現(xiàn)設(shè)備間許可的轉(zhuǎn)移。文檔編號(hào)H04L29/06GK101465845SQ200710179999公開日2009年6月24日申請(qǐng)日期2007年12月20日優(yōu)先權(quán)日2007年12月20日發(fā)明者周志鵬,張仁宙,袁衛(wèi)忠,晨黃申請(qǐng)人:華為技術(shù)有限公司