专利名称:虚拟专用网络上的数字权利管理系统的制作方法
技术领域:
本发明涉及虛拟专用网络,更具体地说,涉及其中的数字权利的管理。
背景技术:
分組数据网络,比如因特网已成为数字内容或软件的最有效的发行渠 道之一。但是,分组数据网络的使其适合于分发数字内容和软件的特征也 提供盗用和误用数字内容和软件的大量机会。鉴于在具有桌上型PC等的 分组数据网络内,易于发生数字内容和软件的复制、改变、毁损和分发, 必需保护数字内容和软件。要求数字权利管理(DRM)解决该问题。
图1图解说明了分布在诸如因特网主干网之类分组数据网络内的虛拟 专用网络(VPN)的方框图。如图所示,VPN-A由用长虛线表示的隧道 (tunnel)连接,所述长虛线代表处理器Al、 A2和A3之间的安全通信。 类似地,VPN-B由用处理器Bl、 B2和B3之间的短虚线表示的安全隧道 连接。
VPN网络A和B位于公司或机构中,所述公司或机构位于不同的位 置。图1中图解说明的VPN体系结构允许公司或机构的雇员或成员在通 过主干分組数据网络,由安全隧道连接到公司或机构的VPN之后,跨越 公司或机构的局域网(LAN)工作。
由于数字权利和包括视频、音频文档和文件的数字内容在VPN中和VPN之间传输,因此VPN,例如图1中图解说明的VPN的操作需要DRM。 VPN中和VPN之间对DRM的要求有两方面,即(1) VPN及它们的 应用的部署,和(2) DRM的部署对诸如因特网之类分组数据网络中的主 干网的影响。
实际上,在它们的部署中,DRM和VPN相互作用。例如,公司或机 构可能需要保持在VPN内产生和/或使用的内部数字内容(IDC)的秘密。 另一个例子是当公司或机构向客户销售包含数字权利(例如使用软件的许 可证)的产品,并希望监视在客户的VPN中,该许可证的使用时。目前, 本领域的状态是还没有令人满意地解决VPN中和VPN之间的DRM。
目前,VPN的IDC的数字保护不足,这导致易于发生滥用。此外, 在一些情况下,IDC要求VPN内的特殊数字保护,例如当只允许少数顶 级管理员访问高度机密的文档时。在没有恰当的数字保护的情况下,高度 机密的文档易于被其它人看到,并流出VPN之外。
对VPN中数字权利的使用的限制一般过于严格或者过于宽松。例如, VPN的操作员可能希望从数字权利颁发者(issuer)购买某一产品的许多 许可证,并想把许可证安装在VPN的任意一台机器中。特别地,该操作 员不想要数字权利颁发者知道VPN的结构。但是,在数字权利颁发者一 般提供只可安装在用户的VPN的特定机器上的许可证的情况下,数字权 利颁发者不得不确保在VPN中用户遵守许可协议。在特定机器上安装的 要求必定向数字权利颁发者提供关于用户网络的一些信息。此外,如果用 户想把许可证从某一特定机器转移到另 一特定机器上,那么用户必须通报 颁发者,以获得许可。该程序对用户来说是不想要的。从而,对用户来说, 对数字权利的使用的限制过于严格。另一方面,数字权利颁发者会试图劝 说用户购买可安装在VPN中的任意地方的许多无限制许可证。这种情况 下,用户可能同意有可能更昂贵的许可条款。但是,数字权利颁发者实际 上不能明确地管理数字权利的使用,这意味着大量的许可证可能被安装在 VPN中,并且许可证能够容易地散布到VPN外面,这是对数字权利的使 用的控制过于宽;f^的典型。VPN的操作员通常不能有效地管理VPN中数字权利的使用,尤其当 VPN包含大量的客户机和多种数字权利时更是如此。这导致易于忽视关于 数字权利的限制的情形。
发明内容
本发明是一种VPN之内和之间的DRM系统,所述DRM系统管理数 字权利用户(DRU)和数字权利颁发者的VPN之内和之间的数字权利。 本发明利用VPN内结合在一起的数字权利策略管理器(DRPM),数字 权利部署服务器(DRDS),和数字权利仓库(DRR)或存储器,内部和 外部地为DRU和数字权利颁发者管理数字权利。内部DRU在包含DRPM 的VPN之内,所述DRPM管理向DRU的数字权利的分发,外部DRU在 包含DRPM的VPN之外,所述DRPM管理向DRU的数字权利的分发。 外部DRU可以在VPN之内,或者在任意VPN之外,并且可通过安全链 路与包含内部DRU的VPN连接。
DRPM管理的数字权利或者由DRPM产生,或者从另一 VPN的DRR 中的存储器或独立于任意DRPM工作的外部数字权利来源输入。DRPM 控制DRR中数字权利的存储。DRPM从数字内容和至少一个控制数字权 利的策略产生数字权利,并把产生的数字权利存储在DRR中。数字内容 包括(但不限于)视频、音频、文档或文件至少之一。数字权利可从IDC 产生,并且由内部DRU使用。
DRPM还产生与数字权利的管理、产生、再生、分发和使用相关的策 略。例如(但不限于),数字权利的产生和分发可以是基于时间的,即定 期地,例如每月发布数字权利。但是,显然DRPM可被编程为执行不同形 式的数字权利的管理、产生、再生、分发和使用,以及产生数字权利内的 内容,以详细指示如何使用数字内容。
内部或外部DRU可与DRDS连接,并请求数字权利的下载。为了具 有足够的安全性,DRU到DRDS的连4^求DRU的發汪。可按照不同的 方式执行验证,例如通过安全连接,或者由在VPN之内或者之外的认证机构(CA)颁发给DRU的证书。内部或外部CA才艮据不构成本发明的一 部分的公知程序,应DRU的请求提供证书。DRDS把DRU的证书请求传 送给CA,并把从CA接收的证书发送给DRU。在DRDS和外部DRU之 间的连接的情况下,保证连接的安全,例如借助诸如安全套接字层(SSL) 之类的隧道效应技术,但是显然本发明并不局限于使连接安全的任意特定 技术。此外,最好根据VPN内的安全要求,使DRDS和内部DRU之间的 连接安全可靠。
在未被提供诸如许可证之类正确的数字权利的情况下,DRU不能使用 数字内容,例如IDC。数字权利规定使用的条件,例如哪里和谁能使用数 字权利,数字权利可被使用多长时间,在数字权利被使用之后做什么。借 助数字权利规定的条件,防止DRU滥用数字权利。
根据本发明的一个方面,提供一种用于在第一虛拟专用网络中控制将 数字权利分发到至少一个数字权利用户的管理器,所述管理器被配置为 与第二虛拟专用网络中的另外的、不同的管理器进行合作以便获得来自所 述第二虚拟专用网络的所述数字权利。
根据本发明的另外的方面,提供一种用于控制将数字权利分发给第一 虛拟专用网络中的至少一个数字权利用户的管理器,所述管理器被配置 为与所述第一虛拟专用网络中的另外的、不同管理器进行合作以^更从第 二虛拟专用网络提供所述数字冲又利。
根据本发明的另外的方面,提供一种网络,包括第一和第二虚拟专用 网络,所述第一虚拟专用网络包括存储器、与至少一个数字权利用户耦接 以及与所述存储器耦接、被配置为把数字权利分发给所述至少一个数字权 利用户的服务器,以及与所述服务器和所述存储器耦接的如上所述的管理 器。
根据本发明的另外的方面,提供一种用于在第 一虚拟专用网络中控制 将数字权利分发给至少一个数字权利用户的方法,所述方法包括向第二 虚拟专用网络请求所述数字权利;和接收来自所述第二虛拟专用网络的所 述数字权利。根据本发明的另外的方面,提供一种用于控制将数字权利分发给第一
虚拟专用网络中的至少一个数字权利用户的方法,所述方法包括接收来 自所述第一虚拟专用网络中的管理器的对数字权利的请求;和将来自第二 虛拟专用网络中的存储器的所述数字权利提供给所述第一虚拟专用网络 中的管理器。
本发明的网络包括至少一个数字权利用户,每个数字权利用户是数字 权利的用户;和至少一个虚拟专用网络,每个虚拟专用网络包括数字权利 的存储器,与至少一个数字权利用户以及与所述存储器耦接、把数字权利 分发给至少一个数字权利用户的服务器,以及与所述服务器和与所述存储 器藕接、控制保存在所述存储器中的数字权利向至少一个数字权利用户的 提供的数字权利管理器。所述至少一个数字权利用户可以在至少一个虚拟 专用网络之外或之内。所述至少一个数字权利用户可以是一个以上的数字 k利用户,其中至少一个数字^L利用户在至少一个虚拟专用网络之内,并 且至少一个数字权利用户在至少一个虚拟专用网络之外。每个管理器可管 理网络之内的数字内容,包括数字权利。数字内容可包括视频、音频、文 档或文件至少之一。管理器可从数字内容和至少一个控制数字权利的策略 产生数字权利,并把产生的数字权利存储在存储器中。至少一个策略还可 包括和保存在存储器中的数字权利的管理、产生、再生、使用相关或和服 务器把所述数字权利分发给至少一个用户相关的条件。策略可以是管理何 时、如何产生、再生、分发、使用或管理数字权利至少之一的一组规则。 关于数字权利的管理、产生、再生、使用或分发的条件可能取决于至少一 个用户请求数字权利的时间。在把数字权利分发给用户之前,每个用户可 由服务器發逸为数字权利的合法用户。认证机构可向至少一个用户中的每 个用户提供证书;其中至少一个用户中的每个用户的证书可被呈递给服务 器,当用户呈递的证书证明该用户是所请求的数字权利的合法用户时,在 管理器的控制下,所述服务器把数字权利分发给呈递用户证书的每个用 户。认证机构可以在至少一个虛拟专用网络之内或之外。在至少一个虛拟 专用网络之外的至少 一个数字权利用户可以在另 一虛拟专用网络中,并且虚拟专用网络可由至少一个安全链路连接起来。在至少一个虚拟专用网络
之外的外部数字权利来源可由其提供数字权利;并且其中外部数字权利来 源与之耦接的至少一个虚拟专用网络的至少一个管理器可控制从外部数 字权利来源接收的数字权利的保存和向至少一个用户的外部数字权利的 提供。外部数字外又利来源可与至少一个数字网络的操作无关地工作。
在包括至少 一个数字权利用户(每个数字权利用户是数字权利的用 户)和至少一个虛拟专用网络的网络中,所述虚拟专用网络包括数字权利 的存储器,与至少一个数字权利用户以及与所述存储器耦接、把数字权利 分发给至少一个数字权利用户的服务器,以及与所迷服务器和所述存储器 耦接的数字权利管理器,根据本发明的数字权利的分发方法包括所述至少 一个用户中的至少一个用户向服务器请求数字权利;响应来自至少一个用 户的请求,管理器可控制从存储器向服务器的数字权利的提供,所述服务 器把数字权利分发给请求数字权利的至少一个用户。所述至少一个数字外又 利用户可以在至少一个虚拟专用网络之外或之内。所述至少一个数字权利 用户可以是一个以上的数字权利用户,其中至少 一个数字权利用户在至少 一个虚拟专用网络之内,并且至少一个数字权利用户在至少一个虚拟专用 网络之外。管理器可管理网络之内的数字内容,包括数字权利。数字内容 可包括视频、音频、文档或文件至少之一。管理器可根据数字内容和至少 一个控制数字权利的策略产生数字权利,并把产生的数字权利存储在存储 器中。所述至少一个策略还可包括和保存在存储器中的数字权利的管理、 产生、再生、使用相关或和服务器把所述数字权利分发给至少一个用户相 关的条件。策略可以是管理何时、如何产生、再生、分发、使用或管理数 字权利,和在数字权利中应定义什么内容中的至少之一的一組规则。关于 数字权利的管理、产生、再生、使用或分发的条件可能取决于至少一个用 户请求数字权利的时间。在把数字权利分发给用户之前,每个用户可由服 务器验证为数字权利的合法用户。认证机构可向至少一个用户中的每个用 户提供证书;其中至少一个用户中的每个用户的证书可净皮呈递给服务器, 当用户呈递的证书证明该用户是所请求的数字权利的合法用户时,在管理器的控制下,所述服务器把数字权利分发给呈递用户证书的每个用户。外 部数字权利来源可在至少一个虚拟专用网络之外,所述外部数字权利来源
可向所述至少一个专用网络提供数字权利;并且其中外部数字权利来源与 之耦接的至少一个虛拟专用网络的至少一个管理器可控制从外部数字权 利来源接收的数字权利的*和向至少一个用户的外部数字权利的提供。 认证机构可以在虚拟专用网络之内或之外。外部数字权利来源可与至少一 个数字网络的操作无关地工作。
在包括至少 一个数字权利用户(每个数字权利用户是数字权利的用 户)、颁发数字权利的数字权利颁发者虚拟专用网络和包括至少一个数字 权利用户的数字权利用户虛拟专用网络的网络中,每个虚拟专用网络包括 数字权利的存储器,与至少一个数字权利用户以及与所述存储器耦接、把 数字权利分发给至少一个数字权利用户的服务器,和与所述服务器以及与 所述存储器耦接的数字权利管理器,根据本发明的数字权利的分发方法包 括所述至少一个用户中的至少一个用户向数字权利用户虛拟专用网络的 服务器请求数字权利;数字权利用户虚拟专用网络的数字权利管理器向数 字权利颁发者虚拟专用网络请求数字权利;数字权利颁发者虚拟专用网络 把数字权利传送给数字权利用户虛拟专用网络;数字^l利用户虚拟专用网 络把数字权利传送给数字权利的至少一个用户。响应从数字权利颁发者虛 拟专用网络收到数字权利,数字权利用户虛拟专用网络可把数字权利从数 字权利管理器传送给存储器,从存储器传送给服务器,并从服务器传送给 数字权利的至少一个用户。响应关于数字权利的请求,数字权利颁发者虛 拟专用网络可把所述请求从服务器传送给产生数字权利的管理器;管理器 产生的数字权利从管理器被传送给存储器;数字权利可从存储器传送给服 务器;并且数字权利可从服务器传送给数字权利用户虛拟专用网络的管理 器。
图i图解说明其中可实践本发明的那种现有vpn。图2图解说明根据本发明的包括VPN的网络的方框图。 图3图解说明根据本发明的,具有根据本发明的数字权利颁发者VPN 和用户VPN的网络。
图4图解说明根据本发明的,向内部DRU分发数字权利的VPN的操作。
图5图解说明根据图3的网络的操作。 附图中,相同的附图标记表示相同的部分。
具体实施例方式
图2图解说明根据本发明的网络10。网络IO由在本发明的实践中使 用的一组(#s 1-N ) VPN 12组成。VPN 12经由安全隧道16,通过分组数 据网络14互连,分组数据网络14可以是任意已知设计,例如因持网。
网络10实现DRU之间的数字权利的分发,所述DRU或者是位于具 有控制数字权利的分发的DRPM 34的VPN 12内的内部DRU 18,或者是 位于另一VPN 12内的或在任意VPN之外并通过外部网络22与具有控制 数字权利的分发的DRPM 34的VPN 12连接的外部DRU 20。在具有控制 数字权利的分发的DRPM 34的VPN之外的DRU 20之间的连接经由安全 链路24实现,安全链路24可使用任何已知的安全措施,例如(但不限于) 安全套接字层(SSL )。
主要关于弁1VPN12,参考图2说明本发明提供的DRM。但是,应明 白#s 2-N VPN 12可具有相同的体系结构。每个VPN 12可包含至少一个内 部DRU 18。DRR 30保存由内部DRU 18和外部DRU 20使用的数字权利。 DRDS 32与DRR 30和DRPM耦接,并在DRPM 34的控制下,把数字权 利分发给至少一个内部DRU 18或外部DRU 20。
DRPM34实现DRM的提供方面的多种功能。首先,DRPM 34控制 通过DRDS 32,保存在DRR 30中的数字权利向内部和外部DRU 18和20 的提供。其次,DRPM34从数字内容,例如(但不限于)IDC 40产生数 字权利,IDC 40可以是(但不限于)包含在VPN 12内的任意地方或者来自外部的数字内容来源的音频、视频、文档或文件。第三,DRPM34建立 并实现至少一个控制数字权利的策略。最后,所述至少一个策略包含和数 字权利的管理、产生、再生、使用或分发相关的条件。
DRPM 34进行的数字权利的分发是一种控制功能,所述控制功能包括 控制如何及何时从DRR 30中的存储器DRDS 32提供数字权利的条件,在 请求DRU的验证之后,数字权利从DRDS 32被分发给内部DRU 18或者 外部DRU 20。在推送(push)操作中,如同下面涉及数字权利的使用参 考图3和4说明的那样,或者内部DRU 18或者外部DRU20连接DRDS, 并向请求DUR18或20请求数字权利的下载。在数字权利的拖拉(pull) 操作中,如同参考图5所述那样,从数字权利颁发者VPN 12到用户VPN 12中的外部DRU20,用户VPN向DRPM34发送关于数字权利的请求。
内部DRU 18或外部DRU 20与提供数字权利的DRDS 32的连"^求 验证。在请求数字权利的时候,由DRDS32借助安全的方式进行IHi,例 如使用加密或呈公共密钥形式的有效证书的呈递,或者任意其它已知的验 证机制。
当证书被用于验证时,DRDS 32利用内部i^证机构42或者外部认证 机构44验证请求数字权利的单独DRU 18和DRU 20。只要请求DRU 18 或20呈递有效证书和有效的数字签名(由从CA获得的公共密钥核实), 就完成验证。该發逸程序基于公共密钥基础结构。于是匹配公共密钥,从 CA获得的保存在每个DRU 18中的专用密钥允许完成验证。
当DRU 18或20发送请求时,DRU把其证书(包含公共密钥)和数 字签名(被签署DRU专用密钥)附在所述请求上。DRDS 32接收请求, 并利用呈递的证书(即公共密钥)核实数字签名。如果通过核实,那么在 DRDS 32必须连接到CA,以确保DRU发送的证书是有效证书(例如未 到期)之前,DRU被验证。该^i程序基于公共密钥基础结构。
如上所述,保存在DRR 30中的数字权利一般由DRPM 34根据IDC 40 产生。但是,另一方面,保存在DRR30中的数字权利可从弁2-N VPN 12, 或者从独立的数字权利来源50获得,所述独立的数字权利来源50可以是独立于任意DRPM34,许可、产生或者以其它方式提供数字权利,以<更存 储在DRR 30中的任意数字权利发行实体。
保存在DRR30中的数字权利具有相关的使用条件。使用条件是(但 不限于)哪里和谁可使用数字权利,数字权利可使用多长时间,以及在数 字权利被使用之后发生什么事。使用条件防止DRU 18和20滥用所定义并 保存在DRR 30中的数字权利。
本发明有许多优点。数字权利管理和VPN安全管理和网络操作结合 在一起。数字权利颁发者和DRPM 34—道工作,产生并控制由DRU 18 和20使用的数字权利。VPN的操作员#械予通过与DRPM 34 —道工作, 管理数字权利,以及通过VPN把数字权利分发给客户机的能力。与保存 在DRR 30中的数字权利相关的IDC 40在VPN 12之内和之间受到保护。
本发明的网络提供不同情况下的操作。首先,数字权利的颁发者,例 如数字权利来源50和DRU 20不必具有VPN。其次,数字权利来源不必 与VPN相关,例如与所有VPN分离的独立的数字权利来源50,并且至少 一些DRU在VPN12之内,例如DRU18。第三,数字权利颁发者可在具 有控制数字权利的存储、产生、再生(recreation)、分发和使用条件等 DRPM 34的VPN之内,而DRU只是外部DRU 20 (当在VPN不存夸任 何DRU 18时存在这种情形)。最后,数字权利颁发者可与VPN 12相关 联,至少一些DRU是内部DRU18。
本发明可被实践成以致不是所有VPN都包含图2的#1 VPN 12的所有 实体。此外,本发明的部署是一件简单的事情,它利用了现有的VPN,例 如图1的现有技术中的VPN。
图3图解说明了根据本发明在两个VPN 12之间的数字权利分发的例 子。数字权利颁发者VPN 12起给用户VPN 12数字权利的来源的作用。 如图所示,在数字权利颁发者VPN的DRPM 34控制下,从DRR 30中的 存储器中取回保存在数字权利颁发者VPN 12的DRR 30中的数字权利, 并由DRDS 32通过网络14中的安全链路16,将其分发给用户VPN的 DRPM 34。当在数字权利颁发者VPN的DRPM的控制下,用户VPN的DRDS 32收到数字权利时,所述数字权利被保存在用户VPN 12的DRR 30 中,以便由用户VPN的DRU使用。
在利用任意已知的^Ht机制验证用户VPN 12中的请求DRU 18之后, 在DRDS 32的控制下取回保存在用户VPN 12的DRR 30中的数字权利。 如图所示,数字权利颁发者VPN 12的CA 42产生用于验证数字权利颁发 者和用户VPN中的每个DRU 18的证书。数字权利颁发者VPN的DRPM 34产生并管理给数字权利颁发者VPN 12内的DRU 18和给用户VPN 12 内的实际DRU 18 (用户VPN 12在数字权利颁发者VPN之外)的数字权 利。数字权利颁发者VPN的DRPM 34产生并管理用于保护数字权利颁发 者VPN的IDC (未示出)的数字权利。用户VPN 12的DRPM34产生并 管理保护用户VPN的IDC的数字权利。于是看出数字权利颁发者VPN向 用户VPN 12中的一组DRU 18提供数字权利。
图4图解说明才艮据本发明,关于推送操作的VPN的操作,所述推送 操作把数字权利分发给内部DRU 18。第一步是DRR 30向DRPM 34发送 数字权利的再生请求,根据当前发出请求的内部DRU数字权利探测时间, 发生所述再生。第二步是控制数字权利产生/再生策略的DRPM 34根据权 限和产生策略,产生给内部DRU 18的数字权利,并把数字权利保存在DRR 30中。第三步是DRR30把数字权利传送给DRDS32。 IHL之后,DRDS 32把数字权利传送给内部DRU 18。
图5图解说明根据图3的网络的操作,所述操作涉及从数字权利颁发 者VPN到用户VPN中的外部DRU的数字4又利的拖拉。在步骤1,用户 VPN的DRR向DRPM 34发送数字权利的再生请求(根据,例如当前发 出请求的内部DRU 18数字权利探测时间)。在步骤2,颁发者VPN的 DRPM 34把请求转发给颁发者VPN的DRDS。在第三步,颁发者VPN 12 的DRDS 32把请求转发给它的DRPM 34。在第四步,颁发者VPN 12的 DRPM 34 (持有数字权利和数字权利颁发者VPN的再生策略)根据数字 权利产生策略,产生用于用户VPN的外部DRU 18的数字权利,并把数字 权利保存在数字权利颁发者VPN的DRR 30中。在步骤5,颁发者VPN 12的DRR 30把数字权利传送给数字权利颁发者VPN 12的DRDS 32。在步 骤6,颁发者VPN 12的DRDS 32把数字权利发送给用户VPN 12的DRPM 34。在步骤7,用户VPN 30的DRPM 34把数字权利保存在用户VPN 12 的DRR30中。在步骤8,用户VPN 12的DRR30把数字权利传送给用户 VPN的DRDS 32。在步骤9,在验证用户VPN中的请求数字权利的DRU 18之后,用户VPN 12的DRDS 32把数字权利发送给其中的DRU 18。
作为一种备选方案,用户VPN的DRPM 34也可代替颁发者VPN的 DRPM34发布新的数字权利,从而节省通信费用。这种情况下,不需要步 骤2-6。
可用不同的方式实现DRR30、 DRDS32和DRPM。例如,借助不构 成本发明的一部分的适当编程,单个处理器和相关的存储器可实现DRR 30、 DRDS 32和DRPM 34。
虽然关于优选实施例说明了本发明,但是在不脱离本发明的精神和范 围的情况下,显然可对其做出许多修改。所有这些修改落入附加权利要求 的范围之内。
权利要求
1.一种用于在第一虚拟专用网络中控制将数字权利分发到至少一个数字权利用户的管理器,所述管理器被配置为与第二虚拟专用网络中的另外的、不同的管理器进行合作以便获得来自所述第二虚拟专用网络的所述数字权利。
2. 如权利要求1所述的管理器,被配置为将从所述第二虛拟专用网 络所获得的所述数字权利存储在所迷第一虛拟专用网络中的存储器中。
3. 如权利要求2所述的管理器,被配置为控制通过所述第一虚拟专 用网络中的服务器将来自所述存储器的所述数字权利提供给所述至少一 个数字权利用户。
4. 如权利要求3所述的管理器,被配置为取决于所述服务器验证所 述至少一个数字权利用户为数字权利的合法用户,控制通过所述服务器提供所述数字权利。
5. 按照权利要求4所述的管理器,被配置为取决于所迷服务器通过 使用认证机构验证所迷至少一个数字权利用户为数字权利的合法用户,控 制通过所述服务器提供所述数字权利。
6. 按照前述任一权利要求所述的管理器,被配置为控制将所述数字 权利提供给所述第一虚拟专用网络之外的至少一个数字权利用户。
7. 按照前述任一权利要求所述的管理器,被配置为通过所述第一虚 拟专用网络和所述第二虛拟专用网络之间的至少一个安全链路从所述第 二虛拟专用网络获得所述数字权利。
8. —种用于控制将数字权利分发给第一虚拟专用网络中的至少一个数 字权利用户的管理器,所述管理器被配置为与所述第一虛拟专用网络中 的另外的、不同管理器进行合作以便从第二虛拟专用网络提供所述数字权 利。
9. 按照权利要求8所述的管理器,被配置为将所述数字权利存储在 所述第二虛拟专用网络中的存储器。
10. 如权利要求9所述的管理器,被配置为控制通过所述第二虛拟 专用网络中的服务器将来自所述存储器的所述数字权利提供给所述另外 的、不同管理器。
11. 如权利要求8至10中任一所述的管理器,被配置为从所述第二 虚拟专用网络之内的数字内容和至少一个控制数字权利的策略产生数字 权利,并把所产生的数字权利存储在所述存储器中。
12. 如权利要求8至10中任一所述的管理器,被配置为从外部来源 获得所述数字权利。
13. —种网络,包括第一和第二虚拟专用网络,所述第一虚拟专用网 络包括存储器、与至少一个数字权利用户耦接以及与所述存储器耦接、被 配置为把数字权利分发给所述至少一个数字权利用户的服务器,以及与所 述服务器和所迷存储器耦接的如权利要求1至7中任一所述的管理器。
14. 一种用于在第一虚拟专用网络中控制将数字权利分发给至少一个数字权利用户的方法,所述方法包括向第二虛拟专用网络请求所述数字权利;和接收来自所述笫二虚拟专用网络的所述数字权利。
15. 如权利要求14所述的方法,还包括 从所述至少 一个数字权利用户接收对数字权利的请求。
16. 如4又利要求14或15所述的方法,包括 存储所接收的来自所述第二虚拟专用网络的所述数字权利。
17. 如权利要求16所述的方法,包括 将所存储的数字权利提供给所迷至少一个数字权利用户。
18. 如权利要求17所述的方法,包括 验证所述至少一个用户为所述数字权利的合法用户。
19. 如权利要求14到18任一所述的方法,包括 将所述数字权利提供给所述虛拟专用网络之外的至少一个数字权利用户。
20. —种用于控制将数字^5L利分发给第一虛拟专用网络中的至少一个数字^k利用户的方法,所述方法包括接收来自所述第一虚拟专用网络中的管理器的对数字权利的请求;和 将来自第二虚拟专用网络中的存储器的所述数字权利提供给所述第一虚拟专用网络中的管理器。
21. 如^又利要求20所述的方法,包括响应于接收到对所述数字权利的请求,将所述数字权利存储在所迷存 储器中。
22. 如权利要求20或21所述的方法,包括从所述第二虚拟专用网络之内的数字内容和至少 一个控制数字权利 的策略来产生所述数字权利并存储所产生的数字权利。
23. 如权利要求20或21所述的方法,包括 从外部来源获得所述数字权利。
全文摘要
本发明是一种提供一个或多个VPN(12)之内,数字权利的有效和可控DRM的方法和网络。根据本发明的网络(10)包括至少一个数字权利用户(18和20),每个数字权利用户是数字权利的用户,数字权利的DRR(30),VPN(12),与至少一个DRU耦接,并与存储器耦接,把数字权利分发给至少一个DRU的DRDS(32),和与DRDS耦接、控制向至少一个DRU提供保存在DRR中的数字权利的DRPM(34)。
文档编号H04L12/56GK101557402SQ200910135119
公开日2009年10月14日 申请日期2003年4月11日 优先权日2002年5月28日
发明者帕特里克·达尔, 鹏 张, 峥 闫 申请人:诺基亚公司