数字许可权利证书在终端设备间的转移方法

数字许可权利证书在终端设备间的转移方法
【专利摘要】数字许可权利证书在终端设备间的转移方法，首先原终端设备A验证其具有的数字许可权利证书是否合法，然后对该证书解析并利用设备B的硬件信息，生成一个与设备B硬件信息绑定的权利证书license2，并删除设备A具备的权利证书，license2中包含的权限即为从设备A转移出的权限。本发明将数字权利证书通过UID值与设备的硬件信息绑定，确保了权利证书只能合法使用与某台固定的设备，有效防止权利证书被非法适用于其他设备，保护了内容提供商与合法用户的权益，而且在转移中没有第三方参与，使得权利转移过程变得更方便、实用，同时也降低了用户分享信息泄露的可能，保护了用户隐私。
【专利说明】数字许可权利证书在终端设备间的转移方法
【技术领域】
[0001]本发明属于互联网信息安全中的数字版权管理领域，具体的说是数字许可权利证书在终端设备间的转移方法。
【背景技术】
[0002]数字版权管理(Digital Rights Management, DRM)的核心就是通过安全和加密技术锁定和限制数字内容的使用及分发途径，从而达到防范对数字产品无授权复制和使用的基本目标。不同的DRM系统虽然在所侧重的保护对象、支持的商业模式和采用的技术方面不尽相同，但是它们的核心思想是相同的，都是通过使用数字许可证来保护数字内容的版权。用户得到数字内容后，必须获得相应的数字许可证才可以使用该内容。
[0003]早期的DRM提供商对于数字内容和权力的分发采用很强的控制，现在对分发问题普遍向分发的控制灵活性方面考虑。数字权利分享是DRM系统中的一个关键技术，但传统的DRM系统主要关注权利在版权所有者和用户之间的传递，而较少注意权利在用户间的分享。
[0004]在数字内容(权利)共享的实现机制方面，为了便于内容在不同设备上的共享使用，Digital Video Broadcasting 联盟首先提出了“授权域(Authorized Domain)”概念，随后OMA DRM方案也在V2.0之后的版本中使用了这一概念，并实现了 RKRights Issuer)对域的统一管理，包括创建和撤销域、用户设备的加入与退出域等，域内设备之间可以共享内容和数字权利。【文献:0pen Mobile Alliance--, OMA DRM Requirements CandidateVersion 2.0, OMA-RD-DRM- V2_0-20040715-C.】
DRM数字内容共享研究场景侧重于家庭网络域(如附图1所示)和个人娱乐域(Personal Entertainment Domain)。李平、凌贺飞等提出利用组密钥技术加密数字内容加密密钥(CEK)，实现了数字内容在家庭网络下的内容分发与共享【文献:李平，卢正鼎，邹复好，等.一个面向家庭网络的数字版权管理系统[J].计算机科学，2009，36(11):116-119.】。文献【Ma G, Pei Q, Wang Y, et al.A General Sharing Model Based onProxy Re-encryption[C]//Intelligent Information Hiding and Multimedia SignalProcessing (IIH-MSP), 2011 Seventh International Conference on.1EEE, 2011:248-251.】中提出了一种利用代理重加密的方式来实现数字权利分享，数字权利分享时由第三方代理完成CEK的解密和重新加密。文献【Feng X，Tang Z, Yu Y Y.An efficientcontents sharing method for DRM[C]//Consumer Communications and NetworkingConference, 2009.CCNC 2009.6th IEEE.1EEE, 2009: 1-5.】采取遍历加密的方式，假设注册用户拥有N个设备， 利用这些设备的公钥产生N个加密的CEK同时存放于数字权利证书中，实现了数字权利在N个设备中的共享。
[0005]但是现有技术方案存在以下问题:
O目前的DRM数字内容共享研究场景侧重于家庭网络域，设备脱离家庭网络场景则无法实现数字内容(权利)共享；2)权利共享时需要在第三方(如家庭网关)参与的情况下才能完成，使得数字内容(权利)共享架构复杂，且容易造成用户分享记录信息泄露，从而引发隐私保护问题。

【发明内容】
[0006]为解决现有技术中客户终端间权利转移时需要第三方的参与导致的信息易泄露的问题，本发明提供了一种数字许可权利证书在终端设备间的转移方法，使用本发明的方法可以实现在没有第三方参与的任意场景下，终端设备之间进行安全、可控的数字权利的转移。
[0007]本发明为解决上述技术问题所采用的技术方案为:数字许可权利证书在终端设备间的转移方法，包括以下步骤:
O原终端设备A验证其具有的数字许可权利证书Iicense1是否合法，若该证书合法，则进入步骤2)；
所述数字许可权利证书Iicense1中包含！ID'UID^KeypPermission和MDSJalue1信
息；
所述ID为该数字许可权利证书生成时具有的唯一识别号；
所述WD1是根据原终端设备A的硬件信息生成的唯一识别号；
所述Key1为内容加密密钥CEK加密后的密文，其值为Key1=Encrypt (UID1, CEK)；
所述Permission为用户对于数字内容在授权设备上所拥有的权限；
所述MD5_Valuei是用于校验权利证书是否被非法篡改，其值为MD5_Valuei= MD5 (ID,UID1, Key1, X)；
2)根据目标终端设备B的硬件信息生成目标终端设备B的唯一识别号WD2，利用CEK=Decrypt (UID1, Key1)解析出CEK的值，然后再利用CEK和UID2值生成Key2和MD5_Value2从而生成适用于目标终端设备B的数字许可权利证书Iicense2 ；
所述 CEK=Decrypt (UID1, Key1)由公式 Key1= Encrypt (UID1, CEK)推导得出；
所述 MD5_Value2= MD5 (ID, UID2, Key2, X)；
3)删除原终端设备A本身具有的数字许可权利证书Iicense1,并将数字许可权利证书Iicense2发送给目标终端设备B，从而完成数字许可权利证书的转移。
[0008]所述验证数字许可权利证书Iicense1是否合法包括以下两方面内容:
1)判断Iicense1中包含的硬件信息是否与该终端设备的硬件信息相同；
2)利用公式MD5_Value= MD5 (ID, UID, Key, X)重新计算 MD5_Valuei 的值，并与证书Iicense1中读取的MDSJalue1相比较看是否相同；
以上两方面均相同则证书合法。
[0009]所述数字许可权利证书中包含的终端设备唯一识别号WD由位于设备终端上的DRM Agent模块提取终端设备上的硬件信息运算产生，所述硬件信息为CPU号码、网卡号码、硬盘号码的单个或任意组合。
[0010]本发明中所述的数字许可权利证书是终端设备上用于控制用户授权播放受保护内容的文件，由服务器端生成并发送。数字权利许可证书采用可扩展标记语言(Extensible Markup Language, XML)书写。XML是用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。XML文件是纯文本文件，被设计为存储、传输和交换数据，其焦点是数据的内容。通过XML可以在不兼容的系统之间实现数据的传输与交换。
[0011]数字权利许可证书内包含了受保护内容的解密密钥和用户对该数字内容所拥有的权限，权限可以是授权播放次数、有限时间段内无限次播放等，许可证直接与设备的唯一识别号码绑定，且许可证中包含有重要数据的MD5值，保证了许可证书在使用过程中不被非法传播和恶意篡改。许可证书中应至少包含以下信息:ID、UID、Key、Permission和MD5_Value ；
其中，ID是权利证书的唯一识别号,在权利证书生成时产生；
UID是终端设备的唯一识别号，由位于设备终端上的DRM Agent模块，提取终端设备上的部分硬件信息运算产生，该号码与设备的硬件信息相关，能够唯一标识终端设备。硬件信息可以是=CPU号码、网卡号码、硬盘号码等信息的单个或组合；
Key是内容加密密钥CEK加密后的密文，其值为Encrypt (WD，CEK)；
Permission是用户对于数字内容在授权设备上所拥有的权限；
MD5_Value是用于校验权利证书是否被非法篡改，其值为MD5(ID，UID, Key, X)。
[0012]本发明的前提条件是原终端设备A已经具有从提供商获得的数字许可权利证书，该证书中的Key已经由提供商计算并写入权利证书，当然也可以是从其他设备处获得，同样的的Key也是确定的(最主要的是CEK的值确定)。
[0013]本发明中，所用到的Encrypt ()和Decrypt()可分别采用对称加密算法(如AES)中的加密程序和解密程序，MD5()是消息摘要算法。
[0014]本发明的权利证书中包含的X是一个泛指参数，在实际应用中，该参数在用于音视频的播放时，可以作为播放次数的权限；用于电子书时，可以作为打印次数或者阅读次数的权限；用于数字图像时，可以作为打开次数或者打印次数的权限；也可以表示用户对数字内容可以使用的时限等。该参数可以在实际情况中根据需求，由内容提供商自行决定。
[0015]本发明所述的终端设备可以是PC机、智能手机或者其它数字平台。
[0016]有益效果:本发明与现有技术相比，具有以下优点:
1)将数字权利证书通过nD值与设备的硬件信息绑定，确保了权利证书只能合法使用与某台固定的设备，有效防止权利证书被非法适用于其他设备，保护了内容提供商与合法用户的权益；
2)在权利证书的转移中没有第三方参与，使得权利转移过程变得更方便、实用，同时也降低了用户信息泄露的可能，保护了用户隐私；
3)本发明可以实现数字权利在智能手机、电脑和其他数字平台间的跨平台直接转移，可以提高用户购买和使用数字内容的积极性，增加用户对版权保护系统的接受程度，同时也可以降低用户破解版权保护系统的动机。
【专利附图】

【附图说明】
[0017]图1为【背景技术】中家庭网络DRM系统结构示意图；
图2为本发明权利证书转移流程图；
图3为本发明权利证书在设备间转移和分享的信息流图；图4为本发明的应用场景示意图。
【具体实施方式】
[0018]如图2和3所示，当目标终端设备B向原终端设备A请求转移A具有的数字许可权利证书时，若A允许其转移，则执行以下步骤:
1)原终端设备A验证其具有的数字许可权利证书Iicense1是否合法，若该证书合法，则进入步骤2)；
所述数字许可权利证书Iicense1中包含！ID'UID^KeypPermission和MDSJalue1信
息；
所述ID为该数字许可权利证书生成时具有的唯一识别号；
所述WD1是根据原终端设备A的硬件信息生成的唯一识别号；
所述Key1为内容加密密钥CEK加密后的密文，其值为Key1=Encrypt (UID1, CEK)；
所述Permission为用户对于数字内容在授权设备上所拥有的权限；
所述MD5_Valuei是用于校验权利证书是否被非法篡改，其值为MD5_Valuei=MD5 (ID，UID1, Key1, X)；
2)根据目标终端设备B的硬件信息生成目标终端设备B的唯一识别号WD2，利用CEK=Decrypt (UID1, Key1)解析出CEK的值，然后再利用CEK和UID2值生成Key2和MD5_Value2从而生成适用于目标终端设备B的数 字许可权利证书Iicense2 ；
所述 CEK=Decrypt (UID1, Key1)由公式 Key1= Encrypt (UID1, CEK)推到得出；
所述 MD5_Value2=MD5 (ID, UID2, Key2, X)；
3)删除原终端设备A本身具有的数字许可权利证书Iicense1,并将数字许可权利证书Iicense2发送给目标终端设备B，从而完成数字许可权利证书的转移。
[0019]所述验证数字许可权利证书Iicense1是否合法包括以下两方面内容:
1)判断Iicense1中包含的硬件信息是否与该终端设备的硬件信息相同；
2)利用公式MD5_Value= MD5 (ID, UID, Key, X)重新计算 MD5_Valuei 的值，并与证书Iicense1中读取的MDSJalue1相比较看是否相同；
只有以上两方面均相同证书才合法，有任意一个不同则表示证书非法。
[0020]若合法，则表示该证书合法可用于分享；若不合法，则表示该证书被非法篡改，不能用于分享。
[0021]所述数字许可权利证书中包含的终端设备唯一识别号WD由位于设备终端上的DRM Agent模块提取终端设备上的硬件信息运算产生，所述硬件信息为CPU号码、网卡号码、硬盘号码的单个或任意组合。
[0022]本发明所述的权利证书分享可通俗解释为:假设设备A上有数字内容C的授权证书Iicense1，需要时可向设备B转移该权利证书，以使设备B拥有对内容C的合法授权。转移完成后，设备B应拥有Iicense1中描述的完整权限，同时设备A失去证书Iicense1中描述的内容C的全部权限。
[0023]本发明所述方法适用的授权类型:某个截止日期之前或有限时间段内允许数字内容在设备上无限次播放等不可分割的权限。此方式保证同一时间内，只有一台设备可合法使用该权利许可证，不会造成权利证书泛滥，保护了内容提供商与权利提供商的合法权益。[0024]附图4中，模块1，硬件信息提取模块，是为了提取设备硬件信息，生成一个可用于唯一标识该设备的识别号码WD ;模块2，权利分享转移模块，是为了将权利证书转移或分享一部分权利给其他设备。RO (Rights Object，权利对象)也叫权利证书。PC和SmartPhone只是真实场景中不同设备、平台的代表，也可以是平板电脑等设备。该发明适用于任意场景下，可在没有第三方参与的情况下，完成任意两台设备间的数字权利转移。
【权利要求】
1.数字许可权利证书在终端设备间的转移方法，其特征在于，包括以下步骤: O原终端设备A验证其具有的数字许可权利证书Iicense1是否合法，若该证书合法，则进入步骤2)； 所述数字许可权利证书Iicense1中包含！ID'UID^KeypPermission和MDSJalue1信息； 所述ID为该数字许可权利证书生成时具有的唯一识别号； 所述WD1是根据原终端设备A的硬件信息生成的唯一识别号； 所述Key1为内容加密密钥CEK加密后的密文，其值为Key1=Encrypt (UID1, CEK)； 所述Permission为用户对于数字内容在授权设备上所拥有的权限； 所述MD5_Valuei是用于校验权利证书是否被非法篡改，其值为MD5_Valuei= MD5 (ID,UID1, Key1, X)； 2)根据目标终端设备B的硬件信息生成目标终端设备B的唯一识别号WD2，利用CEK=Decrypt (UID1, Ke y1)解析出CEK的值，然后再利用CEK和UID2值生成Key2和MD5_Value2从而生成适用于目标终端设备B的数字许可权利证书Iicense2 ； 所述 CEK=Decrypt (UID1, Key1)由公式 Key1= Encrypt (UID1, CEK)推导得出；
所述 MD5_Value2= MD5 (ID, UID2, Key2, X)； 3)删除原终端设备A本身具有的数字许可权利证书Iicense1,并将数字许可权利证书Iicense2发送给目标终端设备B，从而完成数字许可权利证书的转移。
2.根据权利要求1所述的数字许可权利证书在终端设备间的转移方法，其特征在于:所述验证数字许可权利证书Iicense1是否合法包括以下两方面内容: 1)判断Iicense1中包含的硬件信息是否与该终端设备的硬件信息相同； 2)利用公式MD5_Value= MD5 (ID, UID, Key, X)重新计算 MD5_Valuei 的值，并与证书Iicense1中读取的MDSJalue1相比较看是否相同； 以上两方面均相同则证书合法。
3.根据权利要求1所述的数字许可权利证书在终端设备间的转移方法，其特征在于:所述数字许可权利证书中包含的终端设备唯一识别号WD由位于设备终端上的DRM Agent模块提取终端设备上的硬件信息运算产生，所述硬件信息为CPU号码、网卡号码、硬盘号码的单个或任意组合。
【文档编号】G06F21/10GK103473485SQ201310431675
【公开日】2013年12月25日 申请日期:2013年9月22日 优先权日:2013年9月22日
【发明者】张志勇, 向菲, 涂自然, 黄涛, 张丽丽, 牛丹梅, 王真, 李涵曼, 丰伟宁, 孙奎 申请人:河南科技大学