专利名称:支持动态安全许可授权的数字版权保护方法
技术领域:
本发明属于数字内容安全技术领域,具体涉及支持动态安全许可授权的数字版权保护方法。
背景技术:
网络服务的不断普及、终端计算和存储能力的增强及使得数字内容产业得到了快速发展。基于TCP/IP协议簇的数据通信如FTP、WWW、P2P对等网络服务、BT多通道高速上传下载服务,电子邮件、网络存储以及移动存储等服务大大促进了音、视频内容的共享和交换。然而,数字内容非法复制和传播侵犯了内容提供商(CP)、运营商(SP)以及消费者的合法权益,如何加强数字内容安全,防止数字内容的非法复制与扩散,保护知识产权是数字内容产业发展所面临的关键问题。针对数字内容的非法使用和传播,数字版权管理应运而生。根据2001年W3C成立的DRM专题工作组以ACM DRM国际年会的定义,“数字版权管理(Digital Rights Management, DRM)是通过数字内容的制作(Package)、发行 (Distribution)、安全许可(Licensing)和计费(Fee)等一系列手段防止数字内容的非法误用,确保数字内容在公平、合理、安全许可框架下的条件使用和消費”。根据DRM的功能及作用将DRM分为用于版权归属检测的数字版权管理(Rights Ownership Identification DRM, R0I-DRM)和用于控制非法复制和传播的数字版权管理 (Copying Proof based DRM, CP-DRM)两大类。R0I-DRM更适合事后版权检测、追踪和责任认定,而CP-DRM则针对事先控制与制约的非法复制。版权归属类DRM技术是以数字水印, 数字指纹、可视密存等信息隐藏技术为手段实现被保护内容的版权归属事后确认。而防复制数字版权管理CP-DRM技术是通过对被保护内容采取事先内容加密,用户身份认证、许可授权、计费等实现数字内容在合法许可下的使用。目前,商业化的DRM更多地采用基于加密的方法来实现内容保护,并实现商业应用。从DRM系统组成看,DRM—般包括内容服务器,许可证服务器和客户端。其中,DRM内容服务用于数字内容的安全封装,DRM客户端则建立数字内容的安全执行环境,DRM许可证服务器则实现对客户端的许可认证和授权。一般而言,数字内容需要与许可证服务器之间根据数字内容对象的类型同步相应的权利和用于解封加密内容的密钥等信息。从DRM的全生命周期来看,DRM包括数字内容的制作、许可认证、证书分发等。
发明内容
为克服现有技术的不足,本发明提供支持动态安全许可授权的数字版权保护方法,将数字内容与版权相分离,通过内容加密密钥CEK保护数字内容本身,而通过客户设备密钥DEK保护每ー份许可证。对于离线版权许可,本发明中首次引入了许可证转换器的概念,通过有限许可倒计数机制实现为特定数量用户可按在线、离线模式进行版权二次分发, 而当ニ级许可证倒计数为零时,许可证转换器停止转换、分发ニ级许可证,本发明同时支持在线、离线两种版权许可模式,用户在获得域许可证后,无需网络支持仍能有效实现版权的离线安全分发,在许可证颁发过程中通过设备密钥实现许可证之间的隔离,从而防止许可证扩散带来的隐患,为达此目的,本发明采用以下技术方案支持动态安全许可授权的数字版权保护方法,包括以下步骤数字版权管理内容安全封装步骤Stepl 密码引擎Crypto通过随机数发生器(Randomizer)产生密钥种子 KeySeed ;St印2 =Crypto产生随机密钥CEK,该密钥用于加密数字内容(一般该密钥称为会话密钥),并为当前密钥CEK分配密钥编号KeyID ;St印3 =Crypto通过对媒体内容编号,并与当前密钥关联,即MID | KeyID相关联;Mep4 内容安全制作中心根据媒体格式选择加密的数据区,加密明文数据区CPD 为密文数据CFD,加密明文数据区CPD为密文数据CFD ;St印5 将密钥标识KeyID和许可证颁发机构(许可中心)地址URL写入打包加密后的内容的头部,完成媒体内容封装;St印6 内容安全制作中心对产生的会话密钥CEK通过公钥Kpub加密,并保存加密后数据CEK’到密钥数据库KeyDB中。数字版权管理安全认证包括密钥协商和双向认证,数字版权管理密钥协商步骤如下Stepl 数字版权管理用户U生成随机数du,计算出化,向数字版权管理服务器S发送消息Qu ;St印2 =S收到消息Qu后,生成随机数ds,计算生成出Qs, tKs,将Qs, tKs发送给U ;St印3 =U收到消息Qs,tKs后,计算tKu和tdsP,并进行验证,若验证成功,则发送 tdsP给认证中心S ;St印4 =S验证后,通知验证成功,计算出会话密钥种子;St印5 :U得到确认结果后,U和S之间通过密钥生成函数构造生成U和S之间的会话S朗ο密钥协商完成后,用户U和认证中心S在会话密钥的保护下,完成相互认证,认证过程步骤如下Stepl =U生成随机数(I1,计算生成Q1,发送消息仏;St印2 =S收到消息%后,生成随机数d2,计算生成消息C1,并发送给用户U ;St印3 =U解密C1后,计算验证时间戳T1和证书的有效性,如果成功,则继续下一步,否则重新发起会话;Step4 =U计算生成消息C2,生成消息C2并发送到S ;St印5 =S收到消息没C2后解密,计算然后验证T2的有效性,如果双方均验证成功, 则完成相互认证,然后再执行版权对象获取协议。数字版权管理安全许可步骤Stepl 用户申请许可证书时,通过许可证客户端获得本地机器唯一设备标识 DID,同时提交用户名UID和已获得的数字内容标识CID。用户U将UID,MID加密发送给许可证服务器LS,经安全散列函数Hash作用形成一个类似与⑶ID的具有唯一性的设备标识, 该设备标识用于许可证服务器定位用户,实现一份许可证绑定于一个客户设备,防止许可
6证扩散;St印2 =LS解密来自用户U的消息解密后,通过检索许可证数据库LDB认证媒体内容标识MID的合法性;St印3 LS进ー步检索LDB,获取用于保护对应于MID会话密钥K的私钥,解密内容加密密钥CEK ;St印4 :LMC根据用户提交的DID,生成用于加密内容密钥CEK对应的客户设备密钥 DEK ;St印5 =LMC从数据库LDB解密出的内容加密密钥CEK,然后通过REK加密CEK ;St印6 =LMC为U生成并签名用于内容播放的许可证书;St印7 =LMC将许可证书签名并加密发送给用户U。数字版权管理有限再分发步骤Stepl 域用户向许可证转换器LicAgent提交本地设备特征DID和对应媒体内容的媒体标识MID ;St印2 =LicAgent验证用户提交的MID是否为已颁发的许可证对应的媒体标识,如果对应媒体标识合法,进ー步验证是否当前许可证允许分发的计数N = 0,如果N = 0则表明ニ级分发计数已满,不能再提供ニ级分发,否则执行分发(转Mep3);St印3 =LicAgent为该域用户生成用于保护其本地执行许可证的版权密钥REK ;St印4 =LicAgent从已颁发的许可证中解析MID对应的内容加密密钥CEK,为当前域用户重新生成DEK,DEK = DekGen (DID)加密CEK ;St印5 =LicAgent在原许可证和新生成的许可证中重置允许再分发的计数參数N =N-I。采用了本发明的技术方法,将数字内容与版权相分离,通过内容加密密钥CEK保护数字内容本身,而通过客户设备密钥DEK保护每ー份许可证。对于离线版权许可,本发明方法中首次引入了许可证转换器的概念,通过有限许可倒计数机制实现为特定数量用户可按在线、离线模式进行版权二次分发,而当ニ级许可证倒计数为零时,许可证转换器停止转换、分发ニ级许可证。本发明所提方法同时支持在线、离线两种版权许可模式,用户在获得域许可证后,无需网络支持仍能有效实现版权的离线安全分发,在许可证颁发过程中通过设备密钥实现许可证之间的隔离,从而防止许可证扩散带来的隐患。
图1是DRM内容安全封装协议时序图。图2是DRM版权安全许可协议时序图。图3是DRM有限再分发安全协议时序图。
具体实施例方式下面结合附图并通过具体实施方式
来进ー步说明本发明的技术方案。本发明技术方案支持动态安全许可授权的数字版权保护方法包括数字版权管理内容安全封装协议、数字版权管理认证协议、数字版权管理安全许可协议、数字版权管理有限再分发协议。发明技术数字版权管理(DRM)信任模型结构还主要包括DRM内容安全制作中心、DRM许可中心以及内容消费者。(I)DRM内容安全制作中心a)DRM内容安全制作中心的主要功能是根据已经加密处理过的数字内容,为用户提供内容下载服务。b)DRM内容安全制作中心可根据用户下载情况,统计分析当前用户兴趣和关注热点,为DRM内容创建和兴趣引导提供参考依据。(2) DRM许可中心a) DRM许可中心的作用是检索许可证数据库,验证用户请求数字内容的合法性;b)认证客户的身份;并为最终用户动态授予当前上下文空间的数字版权(播放次数,时间,是否准许刻录等);c)检索证书服务器检索对应于当前数字内容的内容加密密钥,根据用户特定运行上下文空间信息动态生成公私钥对,通过公钥加密内容加密密钥,并将内容版权信息、内容加密密钥信息封装成特定证书格式,并将证书提供给用户。支持动态安全许可授权的数字版权保护方法包括DRM内容安全封装协议、DRM认证协议、DRM安全许可协议、DRM有限再分发协议。(I)DRM内容安全封装协议数字内容安全生成是内容版权保护的基础设施之一。在DRM管理中,数字内容的安全生成是对数字内容进行加密的过程,然后将加密密钥安全保存,并以许可证的形式发放到用户手中。用户获得许可证后验证许可证的有效性,如果合法则进一步从许可证中获取用于内容播放的会话密钥,播放加密的内容。DRM内容安全封装协议参数列表如表1所
7J\ ο表IDRM内容安全封装协议参数列表
权利要求
1.支持动态安全许可授权的数字版权保护方法,其特征在于,包括数字版权管理内容安全封装过程数字版权管理内容安全封装步骤如下Stepl 密码引擎Crypto通过随机数发生器(Randomizer)产生密钥种子KeySeed ; St印2 =Crypto产生随机密钥CEK,该密钥用于加密数字内容(一般该密钥称为会话密钥),并为当前密钥CEK分配密钥编号KeyID ;St印3 =Crypto通过对媒体内容编号,并与当前密钥关联,即MID | KeyID相关联; Step4 内容安全制作中心根据媒体格式选择加密的数据区,加密明文数据区CPD为密文数据CFD,加密明文数据区CPD为密文数据CFD ;St印5 将密钥标识KeyID和许可证颁发机构(许可中心)地址URL写入打包加密后的内容的头部,完成媒体内容封装;St印6 内容安全制作中心对产生的会话密钥CEK通过公钥Kpub加密,并保存加密后数据CEK’到密钥数据库KeyDB中。
2.根据权利要求1所述的支持动态安全许可授权的数字版权保护方法,其特征在于, 还包括数字版权管理安全认证过程许可认证和密钥协商前,DRM用户U和DRM认证中心S都有各自的公钥证书CertU和 CertS,但没有对方的公钥证书,认证协议中,DRM用户U发起许可认证请求DRMJfello消息,DRM认证中心响应DRM_ Reply消息后,双方建立会话确认消息后开始认证,协议执行过程中,用户U和认证中心S之间共享一个秘密数t,认证协议如DRM密钥协商协议。
3.根据权利要求1所述的支持动态安全许可授权的数字版权保护方法,其特征在于, 还包括数字版权管理安全许可过程数字版权管理安全许可步骤Stepl 用户申请许可证书时,通过许可证客户端获得本地机器唯一设备标识DID,同时提交用户名UID和已获得的数字内容标识CID.用户U将UID,MID加密发送给许可证服务器LS,经安全散列函数Hash作用形成一个类似与GUID的具有唯一性的设备标识,该设备标识用于许可证服务器定位用户,实现一份许可证绑定于一个客户设备,防止许可证扩散;St印2 =LS解密来自用户U的消息解密后,通过检索许可证数据库LDB认证媒体内容标识MID的合法性;St印3 =LS进一步检索LDB,获取用于保护对应于MID会话密钥K>的私钥,解密内容加密密钥CEK ;St印4 =LMC根据用户提交的DID,生成用于加密内容密钥CEK对应的客户设备密钥DEK ;St印5 =LMC从数据库LDB解密出的内容加密密钥CEK,然后通过REK加密CEK ; St印6 =LMC为U生成并签名用于内容播放的许可证书; St印7 :LMC将许可证书签名并加密发送给用户U。
4.根据权利要求1所述的支持动态安全许可授权的数字版权保护方法,其特征在于, 还包括数字版权管理有限再分发过程数字版权管理有限再分发步骤Stepl 域用户向许可证转换器LicAgent提交本地设备特征DID和对应媒体内容的媒体标识MID ;St印2 =LicAgent验证用户提交的MID是否为已颁发的许可证对应的媒体标识,如果对应媒体标识合法,进ー步验证是否当前许可证允许分发的计数N = 0,如果N = 0则表明ニ 级分发计数已满,不能再提供ニ级分发,否则执行分发(转Mep3);St印3 =LicAgent为该域用户生成用于保护其本地执行许可证的版权密钥REK ; Step4 =LicAgent从已颁发的许可证中解析MID对应的内容加密密钥CEK,为当前域用户重新生成 DEK,DEK = DekGen (DID)加密 CEK ;St印5 =LicAgent在原许可证和新生成的许可证中重置允许再分发的计数參数N =N-I。
5.根据权利要求1所述的支持动态安全许可授权的数字版权保护方法,其特征在干, DRM内容安全制作中心功能如下a)DRM内容安全制作中心的主要功能是根据已经加密处理过的数字内容,为用户提供内容下载服务;b)DRM内容安全制作中心可根据用户下载情况,统计分析当前用户兴趣和关注热点,为 DRM内容创建和兴趣引导提供參考依据。
6.根据权利要求1所述的支持动态安全许可授权的数字版权保护方法,其特征在干, DRM许可中心功能如下a)DRM许可中心的作用是检索许可证数据库,验证用户请求数字内容的合法性;b)认证客户的身份;并为最终用户动态授予当前上下文空间的数字版权(播放次数, 时间,是否准许刻录等);c)检索证书服务器检索对应于当前数字内容的内容加密密钥,根据用户特定运行上下文空间信息动态生成公私钥对,通过公钥加密内容加密密钥,并将内容版权信息、内容加密密钥信息封装成特定证书格式,并将证书提供给用户。
7.根据权利要求2所述的支持动态安全许可授权的数字版权保护方法,其特征在干, 数字版权管理密钥协商步骤如下Stepl 数字版权管理用户U生成随机数du,计算出ん,向数字版权管理服务器S发送消息Qu ;St印2 =S收到消息ル后,生成随机数ds,计算生成出Qs,tKs,将Qs,tKs发送给U ; St印3 =U收到消息Qs,tKs后,计算tKu和tdsP,并进行验证,若验证成功,则发送tdsP 给认证中心S ;St印4 :S验证后,通知验证成功,计算出会话密钥种子;St印5 =U得到确认结果后,U和S之间通过密钥生成函数构造生成U和S之间的会话密钥。
8.根据权利要求2所述的支持动态安全许可授权的数字版权保护方法,其特征在干, 密钥协商完成后,用户U和认证中心S在会话密钥的保护下,完成相互认证,认证过程步骤如下Stepl =U生成随机数も,计算生成Q1,发送消息化;St印2 =S收到消息ル后,生成随机数d2,计算生成消息C1,并发送给用户U ;St印3 =U解密C1后,计算验证时间戳T1和证书的有效性,如果成功,则继续下一步,否则重新发起会话;St印4 =U计算生成消息C2,生成消息C2并发送到S ;St印5 =S收到消息没C2后解密,计算然后验证T2的有效性,如果双方均验证成功,则完成相互认证,然后再执行版权对象获取协议。
全文摘要
本发明公开了支持动态安全许可授权的数字版权保护方法,属于数字内容安全技术领域。本发明方法将数字内容与版权相分离,通过内容加密密钥CEK保护数字内容本身,而通过客户设备密钥DEK保护每一份许可证。对于离线版权许可,本方法中首次引入了许可证转换器的概念,通过有限许可倒计数机制实现为特定数量用户可按在线、离线模式进行版权二次分发,而当二级许可证倒计数为零时,许可证转换器停止转换、分发二级许可证。本发明方法所提协议同时支持在线、离线两种版权许可模式,用户在获得域许可证后,无需网络支持仍能有效实现版权的离线安全分发,在许可证颁发过程中通过设备密钥实现许可证之间的隔离,从而防止许可证扩散带来的隐患。
文档编号H04L9/32GK102546660SQ201210041159
公开日2012年7月4日 申请日期2012年2月21日 优先权日2012年2月21日
发明者蒋铭, 闫玺玺, 马兆丰, 黄勤龙 申请人:北京国泰信安科技有限公司