一种内容群组的数字版权保护方法及系统的制作方法

专利名称：一种内容群组的数字版权保护方法及系统的制作方法
技术领域：
本发明涉及数字版权保护技术，特别涉及一种内容群组的数字版权保护方法及系统。
背景技术：
数字化内容服务具有质量高、可定制、可交互的特点，能带给用户更富吸引力的业务体验、为内容提供和运营商带来更大的盈利空间，同时非法复制数字化内容也成为盗版集团的主要目标。数字版权保护的就是要通过必要的技术手段保证数字化内容不被非法复制，保障数字内容提供者和运营商的利益，为用户提供更加优质的服务。目前在任何数字内容服务领域，都涉及数字版权保护。例如支持直播、广播和点播的因特网电视(IPTV)业务，移动流媒体业务，支持在线下载、离线分发的数字音乐、铃声、图书、图片、闪动(Flash)、游戏、影视节目等数字多媒体因特网增值服务和无线数据增值服务等领域。
其中，数字版权保护需要三个基本要素加密后的数字内容密文、用于加解密该数字内容的密钥和用户定购的该数字内容的使用权限。用户通过数字版权管理(DRM)终端完整获得所定购数字内容相关的三个基本要素后，方能正确解密该数字内容密文，并按所定购的使用权限正常使用该数字内容。
图1为现有数字版权保护系统中信息传递示意图。如图1所示，数字版权保护系统包括三个基本部分内容子系统、授权子系统和DRM代理。目前，开放移动联盟(OMA)和互联网流媒体联盟(ISMA)组织已各自定义了DRM体系，并且其中的数字版权保护均基于图1所示的基本构架。其中，内容子系统负责向DRM代理提供数字内容密文；授权子系统负责向DRM代理子系统提供描述用户使用该数字内容权限的授权对象，同时还将内容密钥加密封装在该授权对象中下发到DRM代理；DRM代理收到授权对象，从中解密获得内容密钥，对来自内容子系统的经过加密的数字内容进行解密而获得数字内容明文，并按照授权对象规定的权限使用该解密得到的数字内容。
如图1所示，内容子系统要向DRM代理传递各个内容的内容打包信息，该内容打包信息包含内容密文和内容加密元信息。所述内容加密元信息包含内容标识、内容加解密算法、内容填充方式、内容明文长度等。授权子系统向DRM代理传递的授权对象中包含内容标识、内容哈希信息、内容密钥封装、授权信息等。其中，内容填充方式用于适应某些加解密算法的要求，而内容明文长度则用于验证解密结果的可靠性；内容哈希信息用于验证加密内容的完整性，即在传输过程中未被修改，由于这些信息非本发明解决的问题，因此，本文不再详述。
现有的数字版权保护技术中，数字内容、内容密钥和授权信息三者是一一对应的关系。目前的数字内容服务中存在一种需求，就是将多个相关联的内容组成群组进行授权。基于现有的技术方案，对内容群组进行授权时需要将群组内多个内容对应的多个授权信息包含在授权对象中下发。由于同一群组的各个内容是作为一个整体进行授权的，而各个内容对应的多个授权信息将对维持授权信息一致性形成障碍。并且，授权子系统针对每一内容要分别构建图1所示的包括内容标识、内容哈希信息、内容密钥封装和授权信息的一套信息，DRM代理也要针对每一内容的内容密钥封装、授权信息等进行处理，导致系统整体处理效率低下、管理复杂度较高。
因此，现有的数字版权技术还难以支持内容群组的灵活组合授权，严重限制内容群组服务的开展。

发明内容
有鉴于此，本发明的主要目的在于提供一种内容群组的数字版权保护方法及系统，以实现相关联内容的灵活组合授权。
为达到上述目的，本发明的技术方案是这样实现的本发明公开了一种内容群组的数字版权保护方法，该方法应用于包括内容子系统、授权子系统和DRM代理的数字版权保护系统；该方法还包括所述内容子系统接收到一个以上内容组成的内容群组时，获取该内容群组的群组密钥和各内容的内容密钥，使用各内容密钥对各内容进行加密得到各内容密文，使用所述群组密钥对所述各内容密钥进行加密并得到该内容群组的各内容密钥密文；所述授权子系统接收到内容群组授权请求时，直接或间接从内容子系统获取内容群组的群组密钥，为内容群组建立统一的授权信息；所述DRM代理从授权子系统获取群组密钥和授权信息，从内容子系统获取内容群组的各内容密钥密文和内容密文，确定每一内容群组对应的群组密钥、统一的授权信息、各内容密钥密文和各内容密文；针对每一内容群组，使用该内容群组的群组密钥对该内容群组的各内容密钥密文一一进行解密得到该内容群组的各内容密钥明文，使用该内容群组的各内容密钥明文分别对该内容群组的各内容密文进行解密并得到该内容群组的各内容明文，按该内容群组统一的授权信息使用该内容群组的各内容明文。
其中，每一内容对应一个以上的内容群组；所述内容子系统接收到内容群组时，进一步包括为该内容群组中的每一内容构造内容打包信息，每一内容打包信息包含内容密文和内容加密元信息；所述内容加密元信息包含一个以上内容密钥打包信息，每一内容密钥打包信息包含内容密钥密文和内容密钥加密元信息；所述授权子系统接收到内容群组授权请求时，进一步包括为该内容群组构造授权对象，对群组密钥进行加密得到群组密钥封装，该授权对象包含群组密钥封装和授权信息；所述DRM代理通过从内容子系统获取内容打包信息来获取内容密文和内容密钥密文，通过从授权子系统获取授权对象来获取群组密钥和授权信息。
其中，各内容群组具有各自唯一的群组标识，各内容具有各自唯一的内容标识；所述内容子系统进一步建立群组标识与内容标识之间的对应关系；所述内容打包信息进一步包含内容标识，所述内容密钥打包信息进一步包含群组标识；所述授权对象进一步包含群组标识；所述确定每一内容群组对应的群组密钥、统一的授权信息、各内容密钥密文和各内容密文为从授权对象中解析得到群组密钥封装和统一的授权信息，对群组密钥封装进行解密得到群组密钥；根据该授权对象中包含的群组标识、以及自身已建立的群组标识与内容标识之间的对应关系确定该群组标识对应的各个内容标识；按所确定的内容标识确定各内容打包信息并从中解析得到各内容密文；从所确定的各个内容打包信息中提取包含该群组标识的各个内容密钥打包信息，并从所提取的各个内容密钥打包信息中解析得到各个内容密钥密文；确定所述解析得到的群组密钥、统一的授权信息、各内容密文和各内容密钥密文对应同一内容群组。
其中，所述DRM代理获取内容打包信息的方法为DRM代理发送携带群组标识或一个以上内容标识的内容下载请求至内容子系统，内容子系统确定内容下载请求携带的群组标识对应的各内容标识，按所确定的各内容标识或内容下载请求携带的各个内容标识提取各内容打包信息，并将所提取的各内容打包信息包含在内容下载响应中返回给DRM代理。
其中，所述DRM代理获取内容打包信息的方法为内容子系统主动下发内容打包信息给所述DRM代理；或者，所述DRM代理通过其它DRM代理从内容子系统获取内容打包信息。
其中，所述内容加密元信息包含内容加解密算法、内容填充方式、内容明文长度；所述内容密钥加密元信息包含内容密钥加解密算法。
其中，所述内容密钥加密元信息进一步包含内容密钥填充方式和/或内容密钥明文长度。
其中，所述DRM代理获取授权对象的方法为DRM代理主动、或在接收到携带授权对象标识的授权对象通知后，发送携带授权对象标识的授权对象请求给授权子系统，授权子系统下发该授权对象标识对应的授权对象给DRM代理。
其中，所述授权子系统接收的内容群组授权请求携带群组标识和群组权限描述信息；所述建立授权信息为根据所述群组权限描述信息建立该群组标识对应的授权信息。
其中，所述授权子系统获取群组密钥的同时进一步获取内容群组中各内容的的内容标识和内容哈希信息，所构造的授权对象进一步包含内容群组中每一内容对应的内容标识和内容哈希信息；所述DRM代理进一步从授权对象中解析得到各内容标识和内容哈希信息，用于对各内容密文进行完整性验证。
其中，所述授权子系统接收的内容群组授权请求携带群组标识；所述从内容子系统获取群组密钥、内容标识和内容哈希信息为授权子系统发送群组密钥请求给内容子系统，该群组密钥请求携带所述内容群组授权请求携带的群组标识，内容子系统确定该群组标识对应的群组密钥、各内容标识以及内容哈希信息，返回群组密钥响应给授权子系统，该群组密钥响应包含群组标识、群组密钥、各内容标识列表、各内容标识及其对应的内容哈希信息。
其中，每一内容群组对应一个授权对象，所述授权对象包含群组标识和授权信息、以及内容群组中每一内容对应的内容标识、内容标识与群组标识的关联关系、内容哈希信息和群组密钥封装。
其中，每一内容群组对应一个授权对象，所述授权对象包含群组标识、群组密钥封装和授权信息、以及内容群组中每一内容对应的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
其中，每一内容群组对应一个以上授权对象，其中一授权对象包含群组标识、群组密钥封装和授权信息，其它各个授权对象包含内容群组中一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
其中，每一内容群组对应一个以上授权对象，其中一授权对象包含群组标识、群组密钥封装和授权信息，以及内容群组中一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息，其它各个授权对象包含该内容群组中其它一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
其中，所述授权子系统接收的内容群组授权请求进一步携带一个以上内容的内容权限描述信息；所述授权子系统进一步根据所述内容权限描述信息为一个以上的内容分别建立内容授权信息；所构造的授权对象进一步包含内容群组中一个以上内容各自对应的内容授权信息；所述DRM代理进一步从授权对象中解析得到内容群组中一个以上内容的内容授权信息，按内容群组统一的授权信息和内容授权信息来使用该内容授权信息对应的内容明文。
本发明还公开了一种内容群组的数字版权保护系统，该系统包括内容子系统、授权子系统和DRM代理；其中，所述内容子系统包括内容群组提供单元，用于接收来自内容提供方的一个以上内容组成的内容群组、群组密钥和各内容的内容密钥，使用内容密钥生成内容密文，使用群组密钥对各内容密钥进行加密得到各内容密钥密文并发送给内容群组下载单元；所述授权子系统包括内容群组授权单元，用于直接或间接接收来自内容群组提供单元的群组密钥，为内容群组建立统一的授权信息，发送群组密钥和授权信息给内容群组下载单元；所述DRM代理包括内容群组下载单元，用于接收内容密钥密文和群组密钥，使用群组密钥对内容密钥密文进行解密得到内容密钥明文，使用内容密钥明文对接收到的内容密文进行解密得到内容明文，按授权信息使用内容明文。
其中，所述内容群组提供单元独立设置或集成于内容子系统中现有的实体中；所述内容群组授权单元独立设置或集成于授权子系统中现有的实体中；所述内容群组下载单元独立设置或集成于DRM代理现有的实体中。
由上述方案可以看出，本发明的关键在于内容子系统获取内容群组的群组密钥，使用群组密钥对内容群组中各个内容的内容密钥进行加密得到内容密钥密文；授权子系统获取群组密钥，为内容群组建立统一的授权信息；DRM代理从内容子系统获取内容群组中各个内容的内容密钥密文和内容密文，从授权子系统中获取群组密钥和授权信息，使用群组密钥对内容密钥密文进行解密得到内容密钥明文，使用各个内容密钥密文对内容密文进行解密得到内容明文，最后按授权信息使用内容群组中的各个内容明文。
因此，本发明提供的内容群组的数据版权保护方法及系统，能够对关联内容进行灵活分组授权，实现了内容群组的灵活划分和独立授权，并且多个相关联内容共有统一的授权信息，从而能提高授权效率、降低授权复杂度。


图1为现有数字版权保护系统的信息传递示意图；图2为本发明方法中第一种信息传递方式示意图；图3为本发明方法中第二种信息传递方式示意图；图4为本发明方法中第三种信息传递方式示意图；图5为本发明方法一较佳实施例处理流程示意图；图6为本发明系统一较佳实施例组成结构示意图。
具体实施例方式
本发明提供了一种内容群组的数字版权保护方法，其主要设计思想为所述内容子系统接收到由一个以上内容组成的内容群组时，获取该内容群组的群组密钥、以及该内容群组中各内容的内容密钥和内容密文，使用所述群组密钥对所述各内容的内容密钥加密并得到各内容的内容密钥密文；所述授权子系统直接或间接从内容子系统获取该内容群组的群组密钥，并为该内容群组建立统一的授权信息；所述DRM代理从授权子系统获取群组密钥和授权信息，从内容子系统获取内容群组中各内容的内容密钥密文和内容密文，确定每一内容群组对应的群组密钥、统一的授权信息、各内容密钥密文和各内容密文。进而，针对每一内容群组，DRM代理能使用该内容群组的群组密钥对该内容群组的各内容密钥密文一一进行解密得到该内容群组的各内容密钥明文，使用该内容群组的各内容密钥明文分别对该内容群组的各内容密文进行解密并得到该内容群组的各内容明文，按该内容群组统一的授权信息使用该内容群组的各内容明文。这里，授权子系统可从外部的内容提供方等实体获取群组密钥。
其中，为将内容群组中的各个内容关联起来，要为每一内容群组分配群组标识，该群组标识与内容群组中各内容的内容标识相关联。内容子系统可根据来自内容提供方的内容提供指示建立起所提供的各个内容群组的群组标识与内容标识之间的对应关系，也就是说对各个内容进行分组，将同组内容的内容标识与同一群组标识相关联。授权子系统可以从内容提供方等其它实体获取到内容群组相关的信息，包括群组标识、群组密钥、与群组标识相关联的各个内容标识以及各个内容的内容哈希信息等。由于内容子系统也要从内容提供方得到这些内容群组相关信息，为保证内容子系统和授权子系统之间内容群组相关信息的一致性，可由内容子系统将这些内容群组相关信息传递给授权子系统。本文所指内容提供方为广义上的内容提供方，可以为内容子系统本身、或内容提供商的实体、或其它第三方实体，本发明并不限定内容提供方具体代表的实体。
另外，内容子系统向DRM代理传递的内容密钥密文、内容密文等信息通常通过内容打包信息进行传递。由背景技术可知，内容子系统向DRM代理传递的内容打包信息中包含内容密文和内容加密元信息，这些都是有关内容密文的信息。因此，可在现有的内容加密元信息中增加用于传递内容密钥密文的内容密钥打包信息，该内容密钥打包信息中包含内容密钥密文和内容密钥加密元信息，该内容密钥加密元信息包含群组标识、内容密钥加解密算法、内容密钥填充方式、内容密钥明文长度等。其中，由于内容密钥填充方式可由内容密钥加解密算法得到，而内容密钥明文长度可由内容加解密算法得到，因此，所述内容密钥加密元信息必须包含内容密钥加解密算法，而不一定包含内容密钥明文长度和/或内容密钥填充方式。这里，所述内容加密元信息与背景技术所述相同，包含内容标识、内容加解密算法、内容填充方式、内容明文长度等。
此外，授权子系统可将群组密钥和授权信息封装在授权对象中进行下发。在现有技术中，授权子系统给DRM代理下发的授权对象是针对单一内容的，每一授权对象中包含内容标识、内容哈希信息、内容密钥封装、授权信息等。而本发明的授权对象针对内容群组，该授权对象包含该内容群组中各内容共有的群组标识、群组密钥封装、授权信息等，还可包含该内容群组中各个内容的内容标识、内容哈希信息等。由于，一个内容可能属于多个内容群组，所以在授权对象中还要指明内容标识与群组标识的关联关系，在具体实现中就是授权对象中携带的针对每一内容标识的群组标识引用信息，即内容标识引用的群组标识，从而内容标识将继承其所引用的群组标识的公共特性，从而将内容标识与群组标识关联起来。
基于上述内容子系统、授权子系统和DRM代理之间信息传递的基本原则，本发明提出了三种信息传递的方式，下面结合图2至图4进行详细说明。在图2至图4中，均以A、B、C三个内容组成的内容群组为例进行说明。
一、第一种信息传递方式。
图2为本发明方法中第一种信息传递方式示意图。如图2所示，内容子系统分别针对内容A、B、C发送内容打包信息，每一内容打包信息包含内容密文，以及由内容标识、内容加解密算法、内容填充方式、内容明文长度和内容密钥打包信息组成的内容加密元信息。其中，内容密钥打包信息包含内容密钥密文，以及由群组标识、内容密钥加解密算法、内容密钥填充方式、内容密钥明文长度组成的内容密钥加密元信息，且内容密钥填充方式和内容密钥明文长度为可选项。授权子系统针对该内容群组统一发送授权对象给DRM代理，该授权对象包含群组标识、群组密钥封装、授权信息、以及内容A、B、C各自对应的内容标识、群组标识引用信息和内容哈希信息。
另外，授权子系统所应得到的群组标识、群组密钥、与群组标识相关联的各个内容标识以及各个内容的内容哈希信息等可从内容子系统获取。如图2所示，内容子系统可进一步发送群组标识、群组密钥、该群组标识对应的内容标识列表、以及内容A、B、C各自对应的内容标识和内容哈希信息给授权子系统。
二、第二种信息传递方式。
图3为本发明方法中第二种信息传递方式示意图。与以上第一种方式类似，内容子系统分别针对内容A、B、C发送内容打包信息，每一内容打包信息包含内容密文，以及由内容标识、内容加解密算法、内容填充方式、内容明文长度和内容密钥打包信息组成的内容加密元信息。其中，内容密钥打包信息包含内容密钥密文，以及由群组标识、内容密钥加解密算法、内容密钥填充方式、内容密钥明文长度组成的内容密钥加密元信息，且内容密钥填充方式和内容密钥明文长度为可选项。授权子系统可从内容子系统获取群组标识、群组密钥、该群组标识对应的内容标识列表、以及内容A、B、C各自对应的内容标识和内容哈希信息。
该方式与第一种方式相比，授权子系统构造授权对象的方式发生变化。如图3所示，授权子系统下发给DRM代理的授权对象共有三个授权对象0、授权对象1和授权对象2。其中，授权对象0包含群组标识、群组密钥封装、授权信息，授权对象1包含内容A和B各自对应的内容标识、群组标识引用信息和内容哈希信息，授权对象2包含内容C对应的内容标识、群组标识引用信息和内容哈希信息。
当然，授权对象的构造方式并不限于图3所示这一种情况，该第二种方式下，构造授权对象的基本原则为针对内容群组的群组标识、群组密钥封装和授权信息，内容群组中各个内容的内容标识、群组标识引用信息和内容哈希信息可通过多个授权对象进行下发。其中，较佳的方式为将内容群组中各个内容共有的群组标识、群组密钥封装和授权信息单独封装在一个授权对象中；而将各内容的内容标识、群组标识引用信息和内容哈希信息封装在一个以上的授权对象中，且每一授权对象中包含一个或多个内容的内容标识、群组标识引用信息和内容哈希信息。这样，对于一个内容群组来说，其所对应的授权对象就多于一个了。在上述构造授权对象的基本原则下，还可将内容群组中各个内容共有的群组标识、群组密钥封装和授权信息，以及一个或多个内容的内容标识、群组标识引用信息和内容哈希信息封装在同一授权对象中，再将其它一个或多个内容的内容标识、群组标识引用信息和内容哈希信息封装在一个或多个以上的授权对象中。总之，具体组合情况很多，本文不再一一详述，但均在本发明的保护范围内。本文所述一个以上即为一个或多个。
三、第三种信息传递方式。
图4为本发明方法中第三种信息传递方式示意图。与以上第一种方式类似，内容子系统分别针对内容A、B、C发送内容打包信息，每一内容打包信息包含内容密文，以及由内容标识、内容加解密算法、内容填充方式、内容明文长度和内容密钥打包信息组成的内容加密元信息。其中，内容密钥打包信息包含内容密钥密文，以及由群组标识、内容密钥加解密算法、内容密钥填充方式、内容密钥明文长度组成的内容密钥加密元信息，且内容密钥填充方式和内容密钥明文长度为可选项。授权子系统可从内容子系统获取群组标识、群组密钥、该群组标识对应的内容标识列表、以及内容A、B、C各自对应的内容标识和内容哈希信息。
该方式与第一种方式相比，授权子系统构造授权对象的方式发生变化。如图5所示，授权子系统下发给DRM代理的授权对象包含群组标识、授权信息，以及内容A、B、C各自对应的内容标识、群组密钥封装和内容哈希信息。由于，现有协议中，授权对象包含内容标识、内容哈希信息、内容密钥封装和授权信息。因此，该第三种方式中，为对现有协议修改最小，直接将现有协议规定的内容密钥封装替换为群组密钥封装，则授权对象中针对每一内容将包含一套内容标识、群组标识引用信息、内容哈希信息和群组密钥封装组成的信息；而在其它方式中，授权对象针对内容群组仅包含一个群组密钥封装。
此外，上述的三种信息传递方式中，每一内容加密元信息包含的内容密钥打包信息并不限于一个。这是因为每一内容所属的内容群组可能有多个，针对每一内容群组将生成一种该内容的内容密钥。所以如果某一内容属于多个内容群组，则针对每一内容群组将为该内容构造一个内容密钥打包信息，该内容的内容加密元信息中包含的内容密钥打包信息就有多个。
另外，在同一内容群组中，某些内容可能具有自己私有的内容授权信息，DRM代理使用此类内容时，要结合内容群组共有的统一授权信息和该内容私有的内容授权信息来使用该内容。因此，上述三种信息传递方法中，授权对象还可能进一步携带内容群组中一个以上内容各自私有的内容授权信息。
基于上述本发明方法设计思想和信息传递方式，下面结合图5对本发明方法的总体处理流程加以详细阐述。
图5为本发明方法一较佳实施例处理流程示意图。如图5所示，具体处理包括步骤501内容提供方向内容子系统发送内容提供指示，该指示中携带所要提供的内容、内容标识、内容密钥、群组标识、群组密钥、内容的加密信息和内容密钥的加密信息等。所述内容加密信息和内容密钥的加密信息包括内容和内容密钥各自的加解密算法、明文长度、填充方式等。
这里，由于每一内容可能属于多个内容群组，其所对应的群组标识可能有多个，因此该内容提供指示携带的内容标识只有一个时，其所携带的群组标识可以为一个以上。另外，内容提供者在提供内容时也可能将一个内容群组的各个内容同时发送过来，因此，该内容提供指示中携带的群组标识只有一个时，其所携带的内容和内容标识可以分别有一个以上。
步骤502内容子系统使用群组密钥对各个内容密钥进行加密得到内容密钥密文，并构造各个内容的内容打包信息。具体内容打包信息的组成前面已有详细说明，这里不再描述。
如前面所述，内容打包信息中包含内容加密元信息，内容加密元信息中包含的内容密钥打包信息可能有多个，每一内容密钥打包信息对应该内容所属的一个内容群组。
步骤503授权请求方向授权子系统发送内容群组授权请求，该请求中携带用户信息、群组标识、群组权限描述信息等，从而授权子系统可以得知有哪些用户要获取哪些内容群组的哪种使用权限。由于，步骤503的执行实体与步骤501和步骤502的执行实体不同，因此，步骤503可在步骤501或步骤502之前执行。
这里，授权请求方发送内容群组授权请求的情况有多种情形，比如用户可通过授权子系统提供的人机界面发起内容群组授权请求、运营商或内容提供商的管理系统可按用户要求向授权子系统提供的接口发起内容群组授权请求、用户还可使用DRM代理向授权子系统发起内容群组授权请求等等。所述用户信息是可以唯一确定用户身份的任何形式的信息，例如用户标识(ID)、包含用户公钥的用户证书、用户证书标识、用户证书摘要、或其它用于向认证子系统或认证模块查询获得用户公钥的标识信息等等。
步骤504授权子系统向内容子系统发送群组密钥请求，该请求携带步骤503所述的群组标识。内容子系统根据该群组标识得到该内容群组的群组密钥、以及该内容群组中各个内容的内容标识和内容哈希信息，并将该群组标识、以及所得到的群组密钥、各个内容的内容标识和内容哈希信息包含在群组密钥响应中返回给授权子系统。其中，如前面信息传递方式中所述，该群组密钥响应中携带的信息分为两部分一、群组标识、群组密钥、该群组标识对应的内容标识列表；二、各个内容的内容标识和内容哈希信息。该群组密钥响应中还包含状态码。这里，任何一个请求的响应消息中均将携带状态码，状态码将指示该请求的执行情况，本文所述的响应消息中均将携带状态码，以下将不再对状态码进行特殊说明。
步骤504所述为授权子系统从内容子系统直接获取群组标识、群组密钥、该群组标识对应的内容标识列表、各内容的内容标识和内容哈希信息等的一种方式，授权子系统也可从其它实体获取到这些信息，此时，则不必执行步骤504。
步骤505授权子系统为步骤503请求的内容群组创建一个以上的授权对象，对所获取的群组密钥进行加密封装得到群组密钥封装。所创建的一个以上的授权对象包含群组标识、群组密钥封装、授权信息、以及该内容群组中各内容的内容标识、群组标识引用信息和内容哈希信息等，在某些情况下还可进一步包含一个以上内容各自的内容授权信息。根据前面图2至图4所述可知，当采用不同的信息传递方式时，授权对象所包含的信息内容会有所不同、构造方式也会有变化，这里不作详述。另外，具体如何将这些信息进行封装、组成授权对象的方法，属公知技术，且非本发明解决的问题，所以本文对此不作描述。
步骤506～步骤507授权子系统向授权请求方返回内容群组授权响应，该响应中包含步骤505创建的授权对象的标识。授权请求方再发送携带该授权对象标识的授权对象通知给DRM代理，从而DRM代理在获取内容群组时能知道从哪个授权对象能得到群组密钥。
这里，授权子系统可按开放移动联盟(OMA)DRM规范的授权描述语言(REL)等来创建授权对象。授权子系统可在内容授权响应中携带触发DRM代理访问授权子系统下载授权对象的信息，简称授权触发器，例如OMA DRM规范中的4Pass触发器、2Pass触发器和1Pass触发器等，从而DRM代理无需接收授权请求方的授权对象通知，就可被触发来主动发送授权对象请求至授权子系统。
步骤508DRM代理发送授权对象请求至授权子系统，该授权对象请求包含步骤507所述授权对象标识。
这里，根据前面所述可知，DRM代理向授权子系统发起的授权对象请求，可以是接收到授权对象通知后由用户触发，也可以是接收到触发器信息而主动触发。
步骤509授权子系统返回授权对象响应给DRM代理，该响应携带步骤508所述授权对象标识对应的授权对象。
如前面三种信息传递方式所述，一个内容群组对应的授权对象可以有一个或多个，因此授权子系统为当前内容群组构造授权对象有一个或多个，则步骤506至步骤508所述授权对象标识可以有一个或多个，相应的，步骤509所述授权对象也应有一个或多个。
步骤510DRM代理从步骤509所述授权对象中解析得到群组标识、群组密钥、授权信息、以及该群组标识对应的各内容的内容标识、群组标识引用信息和内容哈希信息等。
步骤511DRM代理发送内容下载请求给内容子系统，该请求携带步骤510所述群组标识、或一个以上的步骤510所述内容标识，指示内容子系统要下载哪个内容群组或哪些内容。内容子系统返回内容下载响应给DRM代理，该响应携带所述群组标识对应的各个内容的内容打包信息、或者所述一个以上内容标识对应的各个内容的内容打包信息。本步骤中，内容子系统也可能主动下发内容打包信息给DRM代理，或者该DRM代理可通过其它DRM代理来从内容子系统获取内容打包信息。
这里，内容子系统在接收到内容群组时就已经建立起群组标识与内容标识之间的对应关系，因此根据群组标识可得到该群组标识对应的各个内容的内容标识，进而得到已构造的各个内容的内容打包信息。
上述步骤508至步骤510为DRM代理从授权子系统获取授权对象的处理，而步骤511所述为DRM代理从内容子系统获取内容打包信息的处理，这两部分处理相互独立，因此本发明并不限定步骤508至步骤510、与步骤511的执行先后顺序。
步骤512DRM代理从接收到的各个内容打包信息中解析得到与步骤510得到的群组标识对应的内容密钥打包信息和各个内容密文，并从各个内容密钥打包信息中得到各个内容的内容密钥密文。然后使用步骤510中得到的群组密钥对各个内容密钥密文依次进行解密得到各个内容的内容密钥明文，再使用各个内容的内容密钥明文对各内容密文分别进行解密得到各内容的明文，按步骤510中得到的授权信息描述内容群组使用权限来使用当前内容群组中的各个内容明文。
其中，每一内容对应一个内容打包信息，每一内容加密元信息中包含的内容密钥打包信息却有一个以上，且每一内容密钥打包信息对应一个群组标识。本步骤中，DRM代理得到各个内容打包信息后，要从各个内容打包信息中提取与步骤510得到的群组标识对应的内容密钥打包信息。
这里。DRM代理在获取内容明文的过程中，在使用群组密钥解密得到内容密钥明文时，要结合内容密钥加密元信息中的内容密钥加解密算法、内容密钥填充方式、内容密钥明文长度等来解密得到内容密钥明文；在使用内容密钥明文解密得到内容明文时，也要根据内容打包信息中的内容加解密算法、内容填充方式、内容明文长度等，关于具体如何使用内容密钥或内容的加解密算法、填充方式、明文长度等来解密，属公知技术，且非本发明解决的问题，因此本文不作进一步描述。此外，各个内容还有各自的用于验证加密内容完整性的内容哈希信息，该内容哈希信息来自授权对象，具体如何使用内容哈希信息验证内容完整性的处理方法也属公知技术，且非本发明解决的问题，所以也不作进一步详述。
根据以上实施例可见，各个相关联的内容可组成内容群组进行统一授权，同一内容群组可共享一个授权信息；同一内容还可属于多个内容群组，即该内容参与不同的内容群组授权时将会得到不同的授权信息。因此，本发明实现了内容群组的灵活划分和独立授权，解决了现有数字版权保护系统存在的多个相关联内容统一授权时效率低、复杂度高的系统能力问题，以及多个内容难以进行灵活组合授权的内容运营问题。
基于上述处理方法，本发明还提供一种内容群组的数字版权保护系统，该系统包括内容子系统、授权子系统和DRM代理。
其中，内容子系统包括内容群组提供单元，用于从内容提供方接收一个以上内容组成的内容群组，获取内容群组的群组密钥和各内容的内容密钥，使用个内容的内容密钥生成各内容密文，使用群组密钥对各内容密钥进行加密得到各内容密钥密文并发送给内容群组下载单元；授权子系统包括内容群组授权单元，用于直接或间接接收来自内容群组提供单元的群组密钥，为内容群组建立统一的授权信息，发送群组密钥和授权信息给内容群组下载单元；DRM代理包括内容群组下载单元，用于接收内容密钥密文和群组密钥，使用群组密钥对内容密钥密文进行解密得到内容密钥明文，使用内容密钥明文对接收到的内容密文进行解密得到内容明文，按授权信息使用内容明文。
图7为本发明系统一较佳实施例组成结构示意图。本实施例中，内容群组提供单元发送群组密钥给内容群组授权单元。由于本发明仅与内容群组相关，为简化描述，图7并未示出数字版权保护系统中与内容群组无关的实体。如图7所示内容群组提供单元接收来自内容提供方的内容群组，从内容提供方获取该内容群组的群组密钥和各个内容的内容密钥，使用各个内容密钥加密得到各个内容密文，使用群组密钥对各个内容密钥进行加密得到各个内容密钥密文。该内容群组提供单元还发送群组密钥给内容群组授权单元，内容群组授权单元对群组密钥进行加密得到群组密钥封装，为当前内容群组建立授权信息，并使用授权信息和群组密钥组成授权对象。内容群组下载单元向内容群组下载单元请求内容群组时，内容群组提供单元将该内容群组中各个内容的内容密钥密文和内容密文发送给内容群组下载单元。内容群组下载单元向内容群组授权单元请求内容群组授权时，内容群组授权单元将该内容群组的授权对象下发给群组下载单元。内容群组下载单元从授权对象中解析得到授权信息和群组密钥，使用群组密钥对各个内容密钥密文进行解密得到内容密钥明文，使用各个内容密钥明文对各个内容密文进行解密得到各个内容明文，最后按授权信息使用各个内容明文。
这里，内容群组提供单元、内容群组授权单元、内容群组下载单元之间的通信可通过内容子系统、授权子系统和DRM代理现有的通信接口来完成。当内容群组提供单元要直接向内容群组授权单元发送群组密钥时，则要增加内容子系统与授权子系统之间的通信接口。另外，所述内容群组提供单元可独立设置在内容子系统中或集成于内容子系统现有的实体中，所述内容群组授权单元可独立设置在授权子系统中或集成于授权子系统现有的实体中，所述内容群组下载单元可独立设置于DRM代理中或集成于DRM代理现有的实体中。
综上所述，应用本发明方法及系统能够实现相关联内容的灵活组合授权，同一内容群组的各个内容可作为一个整体进行授权，并共有统一的授权信息，从而能维持内容群组内各个内容授权信息的一致性，利用内容提供商或运营商开展内容群组业务。
权利要求
1.一种内容群组的数字版权保护方法，其特征在于，该方法应用于包括内容子系统、授权子系统和数字版权管理DRM代理的数字版权保护系统；该方法还包括所述内容子系统接收到一个以上内容组成的内容群组时，获取该内容群组的群组密钥和各内容的内容密钥，使用各内容密钥对各内容进行加密得到各内容密文，使用所述群组密钥对所述各内容密钥进行加密并得到该内容群组的各内容密钥密文；所述授权子系统接收到内容群组授权请求时，直接或间接从内容子系统获取内容群组的群组密钥，为内容群组建立统一的授权信息；所述DRM代理从授权子系统获取群组密钥和授权信息，从内容子系统获取内容群组的各内容密钥密文和内容密文，确定每一内容群组对应的群组密钥、统一的授权信息、各内容密钥密文和各内容密文；针对每一内容群组，使用该内容群组的群组密钥对该内容群组的各内容密钥密文一一进行解密得到该内容群组的各内容密钥明文，使用该内容群组的各内容密钥明文分别对该内容群组的各内容密文进行解密并得到该内容群组的各内容明文，按该内容群组统一的授权信息使用该内容群组的各内容明文。
2.根据权利要求1所述的方法，其特征在于，每一内容对应一个以上的内容群组；所述内容子系统接收到内容群组时，进一步包括为该内容群组中的每一内容构造内容打包信息，每一内容打包信息包含内容密文和内容加密元信息；所述内容加密元信息包含一个以上内容密钥打包信息，每一内容密钥打包信息包含内容密钥密文和内容密钥加密元信息；所述授权子系统接收到内容群组授权请求时，进一步包括为该内容群组构造授权对象，对群组密钥进行加密得到群组密钥封装，该授权对象包含群组密钥封装和授权信息；所述DRM代理通过从内容子系统获取内容打包信息来获取内容密文和内容密钥密文，通过从授权子系统获取授权对象来获取群组密钥和授权信息。
3.根据权利要求2所述的方法，其特征在于，各内容群组具有各自唯一的群组标识，各内容具有各自唯一的内容标识；所述内容子系统进一步建立群组标识与内容标识之间的对应关系；所述内容打包信息进一步包含内容标识，所述内容密钥打包信息进一步包含群组标识；所述授权对象进一步包含群组标识；所述确定每一内容群组对应的群组密钥、统一的授权信息、各内容密钥密文和各内容密文为从授权对象中解析得到群组密钥封装和统一的授权信息，对群组密钥封装进行解密得到群组密钥；根据该授权对象中包含的群组标识、以及自身已建立的群组标识与内容标识之间的对应关系确定该群组标识对应的各个内容标识；按所确定的内容标识确定各内容打包信息并从中解析得到各内容密文；从所确定的各个内容打包信息中提取包含该群组标识的各个内容密钥打包信息，并从所提取的各个内容密钥打包信息中解析得到各个内容密钥密文；确定所述解析得到的群组密钥、统一的授权信息、各内容密文和各内容密钥密文对应同一内容群组。
4.根据权利要求3所述的方法，其特征在于，所述DRM代理获取内容打包信息的方法为DRM代理发送携带群组标识或一个以上内容标识的内容下载请求至内容子系统，内容子系统确定内容下载请求携带的群组标识对应的各内容标识，按所确定的各内容标识或内容下载请求携带的各个内容标识提取各内容打包信息，并将所提取的各内容打包信息包含在内容下载响应中返回给DRM代理。
5.根据权利要求3所述的方法，其特征在于，所述DRM代理获取内容打包信息的方法为内容子系统主动下发内容打包信息给所述DRM代理；或者，所述DRM代理通过其它DRM代理从内容子系统获取内容打包信息。
6.根据权利要求3所述的方法，其特征在于，所述内容加密元信息包含内容加解密算法、内容填充方式、内容明文长度；所述内容密钥加密元信息包含内容密钥加解密算法。
7.根据权利要求6所述的方法，其特征在于，所述内容密钥加密元信息进一步包含内容密钥填充方式和/或内容密钥明文长度。
8.根据权利要求3所述的方法，其特征在于，所述DRM代理获取授权对象的方法为DRM代理主动、或在接收到携带授权对象标识的授权对象通知后，发送携带授权对象标识的授权对象请求给授权子系统，授权子系统下发该授权对象标识对应的授权对象给DRM代理。
9.根据权利要求3所述的方法，其特征在于，所述授权子系统接收的内容群组授权请求携带群组标识和群组权限描述信息；所述建立授权信息为根据所述群组权限描述信息建立该群组标识对应的授权信息。
10.根据权利要求3所述的方法，其特征在于，所述授权子系统获取群组密钥的同时进一步获取内容群组中各内容的的内容标识和内容哈希信息，所构造的授权对象进一步包含内容群组中每一内容对应的内容标识和内容哈希信息；所述DRM代理进一步从授权对象中解析得到各内容标识和内容哈希信息，用于对各内容密文进行完整性验证。
11.根据权利要求10所述的方法，其特征在于，所述授权子系统接收的内容群组授权请求携带群组标识；所述从内容子系统获取群组密钥、内容标识和内容哈希信息为授权子系统发送群组密钥请求给内容子系统，该群组密钥请求携带所述内容群组授权请求携带的群组标识，内容子系统确定该群组标识对应的群组密钥、各内容标识以及内容哈希信息，返回群组密钥响应给授权子系统，该群组密钥响应包含群组标识、群组密钥、各内容标识列表、各内容标识及其对应的内容哈希信息。
12.根据权利要求10所述的方法，其特征在于，每一内容群组对应一个授权对象，所述授权对象包含群组标识和授权信息、以及内容群组中每一内容对应的内容标识、内容标识与群组标识的关联关系、内容哈希信息和群组密钥封装。
13.根据权利要求10所述的方法，其特征在于，每一内容群组对应一个授权对象，所述授权对象包含群组标识、群组密钥封装和授权信息、以及内容群组中每一内容对应的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
14.根据权利要求10所述的方法，其特征在于，每一内容群组对应一个以上授权对象，其中一授权对象包含群组标识、群组密钥封装和授权信息，其它各个授权对象包含内容群组中一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
15.根据权利要求10所述的方法，其特征在于，每一内容群组对应一个以上授权对象，其中一授权对象包含群组标识、群组密钥封装和授权信息，以及内容群组中一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息，其它各个授权对象包含该内容群组中其它一个以上内容的内容标识、内容标识与群组标识的关联关系和内容哈希信息。
16.根据权利要求9至15任一项所述的方法，其特征在于，所述授权子系统接收的内容群组授权请求进一步携带一个以上内容的内容权限描述信息；所述授权子系统进一步根据所述内容权限描述信息为一个以上的内容分别建立内容授权信息；所构造的授权对象进一步包含内容群组中一个以上内容各自对应的内容授权信息；所述DRM代理进一步从授权对象中解析得到内容群组中一个以上内容的内容授权信息，按内容群组统一的授权信息和内容授权信息来使用该内容授权信息对应的内容明文。
17.一种内容群组的数字版权保护系统，该系统包括内容子系统、授权子系统和DRM代理；其特征在于所述内容子系统包括内容群组提供单元，用于接收来自内容提供方的一个以上内容组成的内容群组、群组密钥和各内容的内容密钥，使用内容密钥生成内容密文，使用群组密钥对各内容密钥进行加密得到各内容密钥密文并发送给内容群组下载单元；所述授权子系统包括内容群组授权单元，用于直接或间接接收来自内容群组提供单元的群组密钥，为内容群组建立统一的授权信息，发送群组密钥和授权信息给内容群组下载单元；所述DRM代理包括内容群组下载单元，用于接收内容密钥密文和群组密钥，使用群组密钥对内容密钥密文进行解密得到内容密钥明文，使用内容密钥明文对接收到的内容密文进行解密得到内容明文，按授权信息使用内容明文。
18.根据权利要求17所述的系统，其特征在于，所述内容群组提供单元独立设置或集成于内容子系统中现有的实体中；所述内容群组授权单元独立设置或集成于授权子系统中现有的实体中；所述内容群组下载单元独立设置或集成于DRM代理现有的实体中。
全文摘要
本发明公开了一种内容群组的数字版权保护方法，该方法包括内容子系统接收到内容群组时，获取群组密钥和各内容的内容密钥，使用各内容密钥生成各内容密文，使用所述群组密钥对所述内容密钥进行加密并得到各内容的内容密钥密文；授权子系统接收到内容群组授权请求时，获取群组密钥，为内容群组建立统一的授权信息；DRM代理从授权子系统获取群组密钥和授权信息，从内容子系统获取内容密钥密文和内容密文，使用所获取的群组密钥对所述内容密钥密文进行解密得到内容密钥明文，使用内容密钥明文对内容密文进行解密得到内容明文，再按授权信息使用所述各内容明文。本发明还公开了一种系统，采用本发明方法及系统能实现内容群组的灵活授权。
文档编号G06F1/00GK1851607SQ200510093219
公开日2006年10月25日 申请日期2005年8月19日 优先权日2005年8月19日
发明者李益民 申请人:华为技术有限公司