基于标识密码的动态数字版权保护方法和系统的制作方法
【技术领域】
[0001]本发明涉及数字版权保护技术领域,尤其涉及一种基于标识密码的动态数字版权保护方法和系统。
【背景技术】
[0002]DRM(Digital Right Management,数字版权保护)是目前对网络中传播的数字作品进行版权保护的主要手段。DRM是采取信息安全技术手段在内的系统解决方案,在保证合法的、具有权限的用户对数字信息(如数字图像、音频、视频等)正常使用的同时,保护数字信息创作者和拥有者的版权信息,根据版权信息获得合法收益,并在版权受到侵害时能够鉴别数字信息的版权归属及版权信息的真伪。
[0003]目前,现有的DRM安全方案主要基于PKI (Public Key Infrastructure,公钥基础设施)技术和数字证书,这些现有的DRM安全方案的主要问题是:数字证书管理繁琐,系统运营成本高;系统负荷重,特别在用户数量庞大的情况下,直接导致系统运行速度缓慢,影响用户的收视效果。
[0004]现有技术中的一种密码体制为基于身份的公钥密码体制,其主要特性是在这一密码体制下,公钥可以为任意字符串。于是我们可以将某一实体的身份信息直接作为其公钥因子,从而绕开了公钥和其持有者身份的绑定问题,这会极大地减化了传统PKI中CA (Certificat1n Authority,认证管理机构)对用户证书进行的复杂管理。虽然公钥密码体制中提出了基于身份加密的思想,但是,目前还没有一种有效、可证安全的基于身份的数字版权保护方案。
【发明内容】
[0005]本发明的实施例提供了一种基于标识密码的动态数字版权保护方法和系统,实现了利用用户的身份信息进行动态数字版权安全保护的身份认证和数据加密操作。
[0006]本发明提供了如下方案:
[0007]—种基于标识密码的动态数字版权保护方法,包括:
[0008]密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
[0009]将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN 口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;
[0010]所述客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将所述报文和签名信息传输到版权管理平台服务器;
[0011]所述版权管理平台服务器根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
[0012]所述的密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中,包括:
[0013]用户的客户端经过安全通道向版权管理平台服务器发送携带用户的身份标识符ID的标识密码公私钥对申请,所述版权管理平台服务器对用户的身份信息进行审核,审核通过后,将用户申请日期、USBKEY序列号及所述携带用户的身份标识符ID的标识密码公私钥对申请发送到KGC ;
[0014]所述KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到所述用户的标识密码私钥;
[0015]所述KGC将用户的标识密钥公私钥对通过安全通道传输到版权管理平台服务器,并将用户的USBKEY序列号、用户申请日期,以及为用户的USBKEY分配的媒体下载和播放权限进行存储;
[0016]所述版权管理平台服务器经过安全通道将用户的标识密码公私钥对下载并安装到内置有随机数发生器的USBKEY中。
[0017]所述的KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到用户的标识密码私钥,包括:
[0018]所述KGC中的系统参数生成模块生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,LG1XG1 — G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法=H1, H2, H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1, G2, e, H1, H2, H3, H4, P,sP)公开;
[0019]所述KGC中的用户标识密码密钥生成模块利用用户的唯一身份标识ID、USBKEY序列号、用户申请日期以及密钥有效期拼接成用户的公钥字串PKS,则生成所述用户的标识密码公钥为Q = H1 (PKS),在加密机中计算得到用户的标识密码私钥为dID = sQ。
[0020]所述的将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN 口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥,包括:[0021 ] 所述USBKEY中的标识密码密钥管理子模块将用户的标识密钥公私钥对存储在加密保护的EPROM单元中;
[0022]在用户登录客户端,USBKEY的硬件设备管理子模块中的USB识别控制单元识别出USBKEY插入客户端操作后,硬件设备管理子模块中的PIN码鉴别CPU单元判断用户输入的PIN码口令次数是否超过规定次数,若是,结束;若否,继续下一步;
[0023]待用户输入PIN码口令后,USB识别控制单元控制客户端的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元判断输入的PIN码口令是否正确,若是,继续下一步;若否,提示用户PIN码口令错误;
[0024]所述客户端判断USBKEY中的EPROM单元中是否存在有效的有效期内的标识密码公私钥对,如若存在,则提取所述EPROM单元中的标识密码公私钥对。
[0025]所述的客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将报文和签名信息传输到版权管理平台服务器,包括:
[0026]所述客户端利用所述USBKEY中的随机数发生器产生随机数序列,将随机数序列、所述用户的标识密码公钥a,以及媒体播放或下载的相关信息打包成报文m,所述客户端通过所述USBKEY中的标识密码运算子模块利用所述用户的标识密码私钥对所述报文m实施数字签名操作得到签名信息,设k e RZ; ;T = e(sQ, P)k ;h = H2 (m, T) ;S = (k_h)sQ,针对m的签名为(h,S);
[0027]所述客户端根据所述USBKEY中的算法管理子模块选择的加密算法,通过所述USBKEY中的标识密码运算子模块利用接收方的标识密码公钥Q对所述报文m加密得到密文C,通过安全通道将所述签名信息和密文C 一同发送至版权管理平台服务器。
[0028]所述的版权管理平台服务器根据设定的密钥机制通过KGC得到用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,包括:
[0029]所述版权管理平台服务器接收到所述签名信息和密文C后,利用自己的私钥解密所述密文C恢复出报文m ;所述版权管理平台服务器从报文m中提取用户的标识密码公钥a,判断用户的标识密码公钥a在有效期内后,将报文和签名信息转发到KGC ;
[0030]所述KGC获得所述用户的唯一身份标识ID,根据所述ID查询数据库得到所述用户的USBKEY序列号、用户申请日期和密钥更新周期,通过所述用户的USBKEY序列号、用户申请日期和密钥更新周期计算得到所述用户的标识密码公钥b,比较所述标识密码公钥a和所述标识密码公钥b是否一致;
[0031]当所述标识密码公钥a和所述标识密码公钥b —致,并且所述标识密码公钥a在有效期内,则所述版权管理平台服务器利用所述标识密码公钥a对所接收的签名信息进行验签操作,计算T = e(S, P) e (Q, sP)h,判断h是否等于H2 (m, T),若相等,则验签通过,若不相等,则验签失败。
[0032]所述的方法还包括:
[0033]所述用户的客户端向版权管理平台服务器发送标识密码公私钥对更新请求或作废请求后,所述版权管理平台服务器对用户的身份信息进行审核,当审核通过后,通过所述用户对随机数序列进行签名操作,所述版权管理平台服务器对签名进行验签操作,验签通过后,所述版权管理平台服务器向KGC申请更新标识密码公私钥对或撤销标识密码公私钥对;
[0034]所述KGC更新所述用户的标识密码公私钥对,并将更新后的标识密码公私钥对通过版权管理平台服务器发送至USBKEY ;或者,所述KGC撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY ;
[0035]所述的USBKEY通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
[0036]一种基于标识密码的动态数字版权保护系统,包括:KGC、客户端和版权管理平台服务器;
[0037]所述的KGC,用于生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
[0038]所述的客户端,用于置入所述USBKEY,根据用户输入的个人识别密码PIN 口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,将所述报文和签名信息传输到版权管理平台服务器;
[0039]所述的版权管理平台服务器,用于根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
[0040]所述的KGC包括:系统参数生成模块、用户标识密码密钥生成模块和验签模块
[0041]所述的系统参数生成模块,用于生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,LG1XG1 — G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法=H1, H2, H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1, G2, e, H1, H2, H3, H4, P,sP)公开;
[0042]所述的用户标识密码密钥生成模块,用于利用用户的唯一身份标识ID、USBKEY序