专利名称:数字内容保护系统及方法
技术领域:
本发明涉及一种数字内容保护系统及方法。
背景技术:
随着互联网的发展,数字化的设备和数字化的资讯已被广泛的应用在日常生活中。人们可以很容易地从网络上下载数字化的影像(image)、音乐(audio)、图片(graph)及影片(video)等,使用者也可以轻易地复制和修改这些数字化的资讯,甚至在窜改这些数字化资讯后宣称是自己的作品,进行商业上的应用,谋取不正当利益。这种行为严重损害了资料所有人的知识产权。因为互联网络的发达,数字化的多媒体资讯在未经过版权拥有者授权的情况下,很容易这样被恶意地复制和传播。所以,数字化的多媒体资讯必须具备保护知识产权的措施,才能保护版权拥有者的合法权益。
数字内容保护包括两个方面一是保护网络上传播的数字内容不被非法篡改,二是对数字内容提供有效的保护,防止被随意传播。目前,数字内容版权保护和管理主要采用基于业界开放移动联盟数字版权管理(Open Mobile Alliance Digital Rights Management,OMA DRM)标准的技术方案。OMA DRM定义了数字内容的各种版权使用控制模型,能够有效地控制数字内容的使用来保护数字内容。该技术方案的体系架构主要包括数字内容提供门户、数字内容分发系统、数字版权管理服务器及用户终端的数字版权管理代理(DRM Agent),其中数字版权管理服务器包括数字内容包装服务器(Packager Server)及版权分发服务器(Rights Issuer Server)。其中数字内容提供门户用于提供数字内容以及版权规则管理;数字内容分发系统用于控制数字内容的分发过程并标示数字内容发送者和数字内容接收者;数字内容包装服务器用于对数字内容进行加密,并打包成标准的DRM消息包;版权分发服务器负责发送数字内容的版权证书;数字版权管理代理则用于解析数字内容的版权证书并执行数字内容的版权控制。
在2005年1月26日公开、申请号为03178580.8的中国专利申请案,揭露了一种数字内容版权保护和管理方法及系统。该方法是通过数字内容分发系统向数字内容版权保护和管理系统提交版权控制请求,所述数字内容分发系统根据版权控制结果决定是否分发数字内容。但该方法只能控制数字内容的传送,无法控制用户对数字内容的使用。
发明内容鉴于以上内容,有必要提供一种数字内容保护系统,其可自动对电子文档进行加密,判别当前用户的使用权限,以保护企业内部的机密文件。
鉴于以上内容,还有必要提供一种数字内容保护方法,其可自动对电子文档进行加密,判别当前用户的使用权限,以保护企业内部的机密文件。
一种数字内容保护系统,包括通过网络通讯引擎相连的服务器和客户端。所述的服务器包括文档内容单元,用于为一个新建的文档创建用户权限列表;证书单元,用于根据上述用户权限列表生成不同用户对该文档的使用证书。所述的客户端包括标识模块,用于生成文档加密信息头和文档的加密钥匙,该文档加密信息头包含一个唯一标识该文档的数字元件标识符;加密/解密模块,用于根据该加密钥匙对文档进行加密和解密;插件管理模块(Renderer ManagementModule,RM),用于管理和控制标识模块、加密/解密模块及客户端系统插件,根据用户使用证书检查用户的权限,并判断该用户是否有对该文档进行操作的权限。
所述的客户端还包括本地信息通知模块,用于系统插件和插件管理模块之间的信息传送;网络信息通知模块,用于插件管理模块和网络通讯引擎之间的信息传送。
一种数字内容保护方法,包括如下步骤创建文档及加密该文档;创建该文档的用户权限列表;用户提取该加密文档,查找并判断该用户对该文档此次操作的权限;若用户有此次操作的权限,解密该文档。
所述的加密文档包括以下步骤生成该文档的文档加密信息头和加密钥匙;保存该文档加密信息头和该加密钥匙;通过该加密钥匙对该文档加密,并在该加密文挡前面附上文档加密信息头。
所述的步骤查找并判断该用户对该文档此次操作的权限包括以下步骤获取该文档的文档加密信息头,判断该用户是否有该文档的使用证书;若没有,则根据该文档加密信息头获取该文档的用户权限列表;根据该用户权限列表生成该用户对该文档的使用证书;根据该使用证书判断该用户此次操作的权限。
相较于现有技术,所述的数字内容保护系统及方法,通过对电子文档加密和授权,能自动识别使用者权限,有效防止了企业内部机密文件的外泄。所述的数字内容保护系统及方法可结合企业用户的帐号,不需要另外的权限系统登入,自动辨别当前用户的身份。
图1是本发明数字内容保护系统较佳实施例的系统架构图。
图2是本发明数字内容保护方法较佳实施例的整体流程图。
图3是本发明数字内容保护方法的加密文档步骤的详细流程图。
图4是本发明数字内容保护方法的寻找用户权限步骤的详细流程图。
具体实施方式如图1所示,是本发明数字内容保护系统较佳实施例的系统架构图。该系统主要包括数字版权管理服务器1,多个数字版权管理客户端2以及网络通讯引擎3。
所述数字版权管理服务器1包括文档内容单元11,证书单元12及日志记录/追踪单元13。其中,文档内容单元11用于为一个新建的文档在用户权限列表中创建用户权限和保存该新建文档数据,该用户权限列表记录了不同用户对该文档操作权限的设置,包括阅读、打印、修改等,通过该用户权限列表可以查出不同用户对该文档的使用权限,并可以查出使用的条件,包括阅读、打印、修改等;证书单元12用于根据上述用户权限列表生成不同用户对该文档的使用证书,该用户使用证书包含该用户对该文档的使用权限,根据该用户使用证书可以判断该用户能否对文档进行操作;日志记录/追踪单元13用于保存用户对该文档所进行的操作。
所述数字版权管理客户端2包括标识模块21,网络信息通知模块22,加密/解密模块23,插件管理模块24,本地信息通知模块25及多个系统插件。所述系统插件包括Office插件26,Pro/E插件27,PDF插件28,其它插件29。插件是计算机软件中的一种特殊程序,它不能单独执行,必须依赖于某个软件,达到增强原有软件功能的作用。其中,插件管理模块24中还有一个RM缓存,该RM缓存存储有插件管理模块24经常及最近用到过的数据。
其中,标识模块21用于生成文档加密信息头和加密钥匙,从文档中获取文档加密信息头。该文档加密信息头包括有文档的DOI标识,该文档加密信息头所包含的DOI(Digital Object Identifier,数字元件标识符)类似书本的国际标准图书编号(International StandardBook Number,ISBN)。该数字元件标识符是一个唯一值,用它可以唯一标识一个文档。比如,有三台计算机M1,M2,M3,M1有一个文档C:\D1.doc,假设文档D1的数字元件标识符为Id1,当文档D1.doc被复制到M2的C:\D2.doc,然后又被从M2复制到M3的C:\D3.doc,这样原始文档D1.Doc就有了两个副本,但D1.doc,D2.doc,D3.doc是同一个文档,但如果仅从文件名是无法识别这三份文档是否为同一个文档,这时就需要用到它的数字元件标识符,而这三份文档的数字元件标识符都为Id1,所以根据此数字元件标识符就可以判断这三份文档是同一个文档。
加密/解密模块23用于根据加密钥匙对文档进行加密和解密。在加密过程中,插件管理模块24用于获取需加密文档的文档加密信息头和加密钥匙,将该文档加密信息头和该加密钥匙发送到文档内容单元11保存,然后插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该文档和该加密钥匙进行加密运算,实现文档的加密,在加密后的文挡前面附上该文档加密信息头。
所述插件管理模块24还用于当其他用户需要访问一个加密文档时,获取该加密文档的文档加密信息头,将该文档加密信息头发送至证书单元12,证书单元12根据该文档加密信息头获取该加密文档的用户权限列表,从该加密文档的用户权限列表中查询该用户对该加密文档的操作权限,根据该用户的操作权限生成该用户对该加密文档的使用证书返回给插件管理模块24,插件管理模块24根据该用户的使用证书检查该用户的权限,判断用户是否可以对加密文档进行操作,并记录下该用户对该加密文档所进行的操作,将记录发送到日志记录/追踪单元13。
所述加密/解密模块23还用于当判断所述用户有对该加密文档进行操作的权限时,对该加密文档进行解密。具体流程如下插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该加密文档和该加密钥匙进行解密运算,实现文档的解密。
网络信息通知模块22用于插件管理模块24和网络通讯引擎3之间的信息传送。本地信息通知模块25用于上述系统插件和插件管理模块24之间的信息传送。
所述网络通讯引擎3是一种网络通讯的中间设备,通过该中间设备,可以实现数字版权管理服务器1和数字版权管理客户端2之间的信息交流。所述数字版权管理服务器1和数字版权管理客户端2之间的连接也可以通过网络实现。
如下所述,是通过前述数字内容保护系统,实施该数字内容保护的步骤。当文档创建者创建好一个新文档,选择加密该文档后,标识模块21生成该文档的文档加密信息头和加密钥匙,该文档加密信息头包含一个数字元件标识符。本实施例中,加密过程在客户端进行。
接着,插件管理模块24获取该文档加密信息头和该加密钥匙,将该文档加密信息头和该加密钥匙发送到文档内容单元11保存,然后插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该文档和该加密钥匙进行加密运算,实现文档的加密,在该加密文档前面附上该文档加密信息头,然后通过文档内容单元11为该文档在用户权限列表中创建用户权限。
当另一位用户将该加密文档提取出来并打开该加密文档后,系统插件通过本地信息通知模块25通知插件管理模块24,询问插件管理模块24是否允许该用户进行该操作,如果RM缓存中已经有该加密文档的文档加密信息头,则插件管理模块24将从RM缓存中直接获取该加密文档的文档加密信息头。如果RM缓存中没有该加密文档的文档加密信息头,则插件管理模块24通过标识模块21从该加密文档中获取文档加密信息头。然后,插件管理模块24再确认RM缓存中是否有该用户对应该文档的使用证书,如果RM缓存中已经有该用户对应该文档的使用证书,则插件管理模块24直接从RM缓存中获取该使用证书。如果RM缓存中没有该用户对应该文档的使用证书,插件管理模块24再通过网络信息通知模块22将该文档加密信息头传送到证书单元12,证书单元12根据该文档加密信息头从文档内容单元11中获取该文档的用户权限列表,再根据该用户权限列表生成该用户对该文档的使用证书返回给插件管理模块24,插件管理模块24依据该用户的使用证书检查该用户的操作权限,判断该用户的操作是否被允许。如果该用户没有此次操作的权限,插件管理模块24通知Office插件26阻止该用户的此次操作。如果该用户有此次操作的权限,插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该加密文档和该加密钥匙进行解密运算,实现文档的解密,允许该用户进行此次操作。同时,插件管理模块24将该用户的此次操作记录下来,将记录发送到日志记录/追踪单元13。
如图2所示,是本发明数字内容保护方法较佳实施例的整体流程图。首先,用户启动文档编辑程序(如Microsoft Office),Office插件26将接管文档编辑器的所有操作,用户创建一个新文档(步骤S300)。然后用户选择将该文档保存为密文,Office插件26通知插件管理模块24将该文档加密,此时,标识模块21生成该文档的文档加密信息头和加密钥匙,该文档加密信息头包含一个数字元件标识符,插件管理模块24获取该文档加密信息头和该加密钥匙,将该文档加密信息头和该加密钥匙发送到文档内容单元11保存,然后插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该文档和该加密钥匙进行加密运算,实现文档的加密,在加密后的文挡前面附上该文档加密信息头并保存下来,然后通过文档内容单元11创建该文档的用户权限列表(步骤S301)。
当另一位用户将此加密文档提取出来并开启该加密文档进行阅读时(步骤S302),Office插件26拦截该用户对该加密文档的操作,询问插件管理模块24是否允许该用户进行该操作,插件管理模块24获取该文档加密信息头。然后,插件管理模块24再获取用户对应该文档的使用证书(步骤S303)。插件管理模块24依据该用户的使用证书检查该用户的使用权限,判断该用户有无此次操作的权限(步骤S304)。如果该用户没有此次操作的权限,插件管理模块24通知Office插件26阻止该用户的此次操作(步骤S305),如果该用户有此次操作的权限,插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该加密文档和该加密钥匙进行解密运算,实现文档的解密,允许该用户进行此次操作(步骤S306)。同时,插件管理模块24记录下该用户的此次操作,并将记录发送到日志记录/追踪单元13(步骤S307)。当该用户执行其它操作时(包括文档编辑/浏览工具提供的所有操作,比如Microsoft Word的“另存为”操作),会通过相同的流程并由插件管理模块24将该用户进行的操作记录在日志记录/追踪单元13中。
如图3所示,是本发明数字内容保护方法的加密文档步骤的详细流程图。在用户选择将文档保存为密文后,标识模块21生成该文档的文档加密信息头和加密钥匙,Office插件26通知插件管理模块24将该文档加密(步骤S400),插件管理模块24通过标识模块21得到该文档加密信息头和加密钥匙(步骤S401)。插件管理模块24将该文档加密信息头和该加密钥匙发送到文档内容单元11保存(步骤S402),判断该文档加密信息头和加密钥匙是否保存成功(步骤S403),如果没有保存成功,则结束本次操作。如果保存成功,则插件管理模块24确认RM缓存中是否已经有该加密钥匙,如果RM缓存中已经有该加密钥匙,则插件管理模块24直接从RM缓存中获取该加密钥匙。如果RM缓存中没有该加密钥匙,则插件管理模块24从文档内容单元11中取出该加密钥匙,通过加密/解密模块23对该文档和该加密钥匙进行加密运算,实现文档的加密,并在该加密文档前面附上该文档加密信息头(步骤S404)。
如图4所示,是本发明数字内容保护方法的寻找用户权限步骤的详细流程图。当其他用户将该加密文档提取出来进行阅读时,这时Office插件26将拦截该用户对该加密文档的操作,并通过本地信息通知模块25通知插件管理模块24,询问插件管理模块24是否允许该用户进行此操作(步骤S500)。插件管理模块24确认RM缓存中是否已经有该加密文档的文档加密信息头(步骤S501),如果RM缓存中已经有该加密文档的文档加密信息头,则插件管理模块24将从RM缓存中直接获取该加密文档的文档加密信息头(步骤S502)。如果RM缓存中没有该加密文档的文档加密信息头,则插件管理模块24通过标识模块21从该加密文档中获取文档加密信息头(步骤S503)。
然后,插件管理模块24再确认RM缓存中是否有该用户对应该文档的使用证书(步骤S504),如果RM缓存中已经有该用户对应该文档的使用证书,则插件管理模块24直接从RM缓存中获取该使用证书(步骤S505)。如果RM缓存中没有该用户对应该文档的使用证书,则插件管理模块24通过网络信息通知模块22传送该文档的文档加密信息头给网络通讯引擎3,网络通讯引擎3再将该文档加密信息头传送给证书单元12,证书单元12根据该文档加密信息头从文档内容单元11获取该加密文档的用户权限列表,再根据该用户权限列表生成该用户对应该文档的使用证书返回给插件管理模块24(步骤S506)。插件管理模块24再根据该用户的使用证书检查该用户的操作权限,判断该用户的此次操作是否被允许(步骤S507)。
权利要求
1.一种数字内容保护系统,包括服务器、客户端及连接所述服务器和客户端的网络通讯引擎,其特征在于,所述的服务器包括文档内容单元,用于为一个新建的文档创建用户权限列表;证书单元,用于根据上述用户权限列表生成不同用户对该文档的使用证书;所述的客户端包括标识模块,用于生成文档加密信息头和文档的加密钥匙,该文档加密信息头包含一个唯一标识该文档的数字元件标识符;加密/解密模块,用于根据该加密钥匙对文档进行加密和解密;插件管理模块,用于管理和控制标识模块、加密/解密模块及客户端系统插件,根据用户使用证书检查用户的权限,并判断该用户是否有对该文档进行操作的权限。
2.如权利要求1所述的数字内容保护系统,其特征在于,所述插件管理模块是通过一本地信息通知模块与客户端系统插件进行信息传送而对客户端系统插件进行管理和控制。
3.如权利要求1所述的数字内容保护系统,其特征在于,所述插件管理模块是通过一网络信息通知模块与网络通讯引擎进行信息传送。
4.如权利要求1所述的数字内容保护系统,其特征在于,当所述的插件管理模块判断该用户有对该文档的操作权限时,控制加密/解密模块利用加密钥匙对加密文档进行解密。
5.如权利要求1所述的数字内容保护系统,其特征在于,所述的服务器还包括日志记录/追踪单元,用于保存用户对文档所进行的操作。
6.如权利要求5所述的数字内容保护系统,其特征在于,所述的插件管理模块还用于记录下用户对文档所进行的操作,并将记录发送到服务器的日志记录/追踪单元保存。
7.一种数字内容保护方法,其特征在于,该方法包括如下步骤创建文档及加密该文档;创建该文档的用户权限列表;当用户提取该加密文档,查找并判断该用户对该文档此次操作的权限;若用户有此次操作的权限,解密该文档。
8.如权利要求7所述的数字内容保护方法,其特征在于,所述方法还包括如下步骤记录下该用户的相关操作。
9.如权利要求7所述的数字内容保护方法,其特征在于,所述的加密文档包括以下步骤生成该文档的文档加密信息头和加密钥匙;保存该文档加密信息头和该加密钥匙;通过该加密钥匙对该文档加密,并在该加密文挡前面附上文档加密信息头。
10.如权利要求7所述的数字内容保护方法,其特征在于,所述步骤查找并判断该用户对该文档此次操作的权限包括获取该文档的文档加密信息头,判断该用户是否有该文档的使用证书;若没有,则根据该文档加密信息头获取该文档的用户权限列表;根据该用户权限列表生成该用户对该文档的使用证书;根据该使用证书判断该用户此次操作的权限。
11.如权利要求7所述的数字内容保护方法,其特征在于,该方法还包括如下步骤如果该用户没有此次操作的权限,则阻止该用户的此次操作。
全文摘要
一种数字内容保护系统及方法,该方法包括如下步骤创建文档及加密该文档;创建该文档的用户权限列表;当用户提取该加密文档,查找并判断该用户对该文档此次操作的权限;若用户有此次操作的权限,解密该文档,允许该用户进行此次操作;记录下该用户的此次操作。利用本发明可自动对电子文档进行加密,判别当前用户的使用权限,以保护企业内部的机密文件。
文档编号G06F21/00GK101043319SQ20061006001
公开日2007年9月26日 申请日期2006年3月22日 优先权日2006年3月22日
发明者林柏全, 胡高鹏, 黄健, 罗才洋 申请人:鸿富锦精密工业(深圳)有限公司, 鸿海精密工业股份有限公司