一种域许可转移的方法、装置及系统的制作方法

专利名称：一种域许可转移的方法、装置及系统的制作方法
技术领域：
本发明涉及数字版权管理DRM领域，特别是涉及一种实现非消耗类域许可转移的方法、装置及系统。
背景技术：
数字版权管理(DRM)主要通过权利限制和内容保护方案控制数字内容的使用，保护内容所有者的合法权益。数字内容的发行者(Content Issuer，CI)将数字内容加密后，用户将加密的数字内容数据包下载到终端设备上；授权发行者(Rights Issuer，RI)负责分发与数字内容相对应的许可证，其中包括内容解密密钥及对应的权限。终端设备只有同时拥有内容数据包(其中包含解密数字内容所必须的信息)和许可证，才能正常使用所购买的数字内容。DRM Agent利用终端设备的公钥解密得到许可证密钥，进而得到许可证中的内容密钥解密数字内容，并根据许可证中的权限信息控制用户对数字内容的具体使用。
DRM系统中，许可证中的权限主要分为权利(如允许播放play、执行execute、打印print等)和限制(如使用的次数、限定时间以及使用期限等)两类。上面所列举的权利都是针对数字内容的操作(play/execute/print等)，除此之外，还存在另一类权利——针对许可的权利，如copy和move，用于表明该许可中的部分或全部权限是否允许拷贝或转移。例如许可证中规定了对某个数字内容具有play的权限，并且该权限还具有move的权利，则用户不仅能播放该内容，还能将该内容的播放权限转移到其它设备上，这样在其它设备上也能够播放该内容，但是此时原先的设备就不能播放内容了。
为了方便进行许可证的分发和管理，DRM系统中引入了域(Domain)的概念。域可以理解为由域管理器进行集中控制的一组相关联的设备的集合。每个域都具有一个唯一的域标识，域内成员之间共享域密钥。RI为域发行许可(称为域许可)时，利用一定的措施使得许可与域密钥相绑定。从而域内成员可以借助域密钥获得内容加密密钥，使用数字内容；而非域成员由于无法获得域密钥，则不能访问数字内容。从逻辑功能实体上来划分，域中包含域管理器和域成员设备(以下简称域设备)两类功能实体。
根据权利所包含的限制元素类型的不同，可以将权利分为两大类非消耗类权利和消耗类权利。所谓非消耗类权利，即对该权利的使用不会影响后续的使用，如不包含限制元素的权利以及包含时间段、空间范围、系统环境等限制的权利；消耗类权利，即该权利会随着使用的增加而逐渐被消耗完，如包含累计时间、次数等限制的权利。
对于消耗类权利，一般是由域管理器将其分割后，分配到各个域设备上。因此，各个域设备对内容的消费相互不会产生影响。例如域的成员数为5，该域获得了一个对<play>有次数限制<count>10</count>，并且允许<move>该<play>权限的许可证。这时，域管理器可以根据域设备的请求或自行将这10次分给域中设备。一种简单的情况是域管理器将10次平均分为5份，这样每个域设备则获得了play的次数限制为<count>2</count>的权限，在规定的权限范围内，可以自由地播放内容。各个设备在消耗完自己拥有的2次权限后，如没有其它特殊操作，则不再能继续使用内容。由此可见，在这种情况下，由于各设备之间的是相互独立的，域设备如果要执行<move>，转移本机上的域许可，应该不需要与其它域设备或域管理器交互，就可以直接转移，转移后该域设备无法继续使用内容。
对于非消耗类权利，各个域设备可以平等地获得同样的权利。例如域的成员数为5，该域获得了对play有时间段限制<end>2006-12-31T23:59:59Z</end>(即只能在2006年12月31日的23:59:59之前使用该内容)，并且允许<move>该<play>权限的许可证。域管理器将其复制5份，分给每个域设备一份，这样在2006年12月31日的23:59:59之前，每个域设备都可以在本机上自由地使用内容。在这种情况下，如果某个域设备要执行<move>，转移本机上的域许可后，除了要保证本机不能继续使用内容之外，还必须保证转移之后，域中其它设备上对应的该许可也无法使用。
现有技术一OMA DRM的新工作组SCE(Secure Content Exchange)在RD(Requirement Document)中提出了RO转移的概念。文中指出“RO可以在设备或用户之间进行转移，并且转移之后原来的设备或用户不再能使用RO”。
现有技术一对实现流程的描述中，只强调了对于源设备在RO转移之后，将不能使用RO。但是对于域RO这种特殊的RO，不仅需要保证在源设备上不能使用，还必须保证源设备所在域中的任何其它设备也不再能使用该RO。尤其对于非消耗类的RO，如果没有相应的措施来保证这一点，将会造成权利的无限扩大，从而不能真正起到内容保护的作用。
现有技术二索尼公司申请的申请号为2005-221775美国专利“Movecomponent，program，and move method”公开了一种转移许可的装置及方法。该技术说明转移许可之前，首先需要一个许可，允许其转移；第二步是解析该许可，判断可否转移；最后转移许可。
该技术给出的只是许可转移的一般步骤，对于非消耗类域许可而言，仅仅利用该技术，将造成许可被非法扩散。
现有技术三Digeo，Inc申请的申请号为2001-990098的美国专利“Systemand method for providing conditional access to digital content”。该技术包括一种转移许可证中部分许可的方法、装置、系统，其中关键点在于1.可以转移许可证中的部分权限(可以是次数、时间等的子集)；2.在转移之前需要借助smartcard认证身份；3.许可证中可以规定能够创建的子许可证的代数。
与现有技术二相同，即也只是给出了许可转移的一般方法，未考虑非消耗类域许可这种特殊的情形。
综上所述，现有技术无法防止非消费类域许可的非法扩散。

发明内容
本发明提供一种域许可转移的方法、装置及系统，用以解决现有技术无法防止非消费类域许可的非法扩散的问题。
本发明方法包括下列步骤A、域管理器根据待转移的域许可，指示域内设备撤销相应的域许可；B、进行域许可转移；C、域管理器获知域许可转移成功后，撤销本地相应的域许可。
其中，所述步骤A中域管理器指示域内设备撤销相应的域许可，并等待满足预设的条件后，转入步骤B。
其中，所述步骤A中域管理器收到所有域内设备的撤销成功响应后，再转入步骤B。
其中，其特征在于，所述步骤A中域管理器指示域内设备撤销相应的域许可，并等待预设时长或收到预设数量的撤销成功响应后，再转入步骤B。域管理器在等待满足预设条件的时间内不创建撤销命令；转入步骤B之后，域管理器创建撤销命令，待可与域内设备交互时，指示该设备撤销相应的域许可。或者，域管理器在等待满足预设条件的时间内创建撤销命令，再转入步骤B。
其中，所述步骤B之前还包括步骤源域设备向目的设备发起域许可转移请求，或者目的设备向源域设备发起域许可转移请求。源域设备直接与目的设备交互，以完成域许可转移；或者源域设备通过许可服务器与目的设备交互，以完成域许可转移。进行域许可转移时，进行域许可转换。若源域设备直接与目的设备交互，则由源域设备完成域许可转换；若源域设备通过许可服务器与目的设备交互，则由许可服务器完成域许可转换。
其中，所述步骤B之前还包括步骤域管理器向目的设备发起域许可转移请求，或者目的设备向域管理器发起域许可转移请求。域管理器直接与目的设备交互，以完成域许可转移；或者域管理器通过许可服务器与目的设备交互，以完成域许可转移。所述步骤B中，进行域许可转移时，进行域许可转换。若域管理器直接与目的设备交互，则由域管理器完成域许可转换；若域管理器通过许可服务器与目的设备交互，则由许可服务器完成域许可转换。
进一步，所述转换域许包括生成新的许可证标识，重新封装许可证加密密钥，以及重新签名许可证。
进一步，所述转移的域许可包括域许可中的全部权限或部分权限。所述域许可以及其中的各项权限均具有唯一对应的标识。
进一步，所述步骤B中，在进行域许可转移时，以设备证书、DRM客户端证书，或者用户证书进行身份认证。
进一步，所述撤销相应的域许可，以删除方式实施。
进一步，所述域许可为非消耗类域许可。
本发明的域设备，可使用域许可包含的权限，并可将域许可转移到目的设备，所述域设备还包括通讯模块，用于在本设备发起域许可转移时，对外发出域许可转移通知消息，以及在撤销本地的域许可后，返回撤销成功响应；许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移；撤销模块，用于在收到撤销指令时，或者在获知域许可转移成功后，撤销本地相应的域许可。
其中，所述域设备还包括许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证；许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换，以备所述许可转移模块执行；安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证借助设备证书、DRM客户端证书，或者用户证书进行；域模块，用于管理本地域信息。
本发明的域管理器，用于管理各个域内设备的域许可，所述域管理器还包括通讯模块，用于在发起域许可转移时，创建并下发撤销指令，以及指示进行域许可转移；许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移；撤销模块，用于在获知域许可转移成功后，撤销本地相应的域许可。
其中，所述域管理器还包括许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证；许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换，以备所述许可转移模块执行；安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证借助设备证书、DRM客户端证书，或者用户证书进行。
域管理模块，用于管理本地域信息，以及执行域的管理。
本发明的域许可转移的系统，包括域许可转移的目的设备，所述系统还包括域管理器，可发起并执行域许可转移；以及用于根据待转移的域许可，指示域内设备撤销相应的域许可，并在获知域许可转移成功后，撤销本地相应的域许可；域设备，可发起并执行域许可转移；以及用于在收到所述域管理器发出的撤销指令时，或者在获知域许可转移成功后，撤销本地相应的域许可。
其中，所述系统还包括许可服务器，用于中转目的设备与发起方之间交互的消息，以及转换和转移域许可。
本发明有益效果如下本发明方法在发起域许可转移之后，不像现有技术那样，直接执行域许可转移。而是在执行域许可转移之前，先由域管理器根据待转移的域许可，指示域内设备撤销相应的域许可；之后，可在确认所有域内设备完成撤销后，再指示进行域许可转移，或者在域管理器当前无法与部分域内设备通讯时，为了保证域许可转移的效率，可在域管理器指示域内设备撤销相应的域许可后，直接指示进行域许可转移，并且域管理器还须创建撤销命令，在可与所述部分域内设备通讯时强制撤销其相应的域许可；最后，为了保证域许可转移的成功，域管理器在获知目的设备已经成功接收域许可后，再撤销本地相应的域许可，否则可以恢复域内设备的域许可，并重新进行本发明的域许可转移流程。
为了支撑本发明方法，本发明还提供了一种域设备、域管理器，以及对应的域许可转移的系统。
通过本发明的实施，显然在完成域许可转移之后，可保证域内设备及域管理器中相应的域许可被撤销，这样可防止非消费类域许可的非法扩散，以提高DRM系统的安全性能。


图1为本发明的域设备结构示意图；图2为本发明的域管理器结构示意图；图3为本发明的域许可转移系统的结构示意图；图4为本发明方法步骤流程图；图5为本发明方法情况一的信令流程图；图6为本发明方法情况二的信令流程图；图7为本发明方法情况三的信令流程图；图8为本发明方法情况四的信令流程图。
具体实施例方式
为了防止非消费类域许可的非法扩散，以提高DRM系统的安全性能，本发明提供了一种域设备，参见图1所示，其包括环形相连的通讯模块、许可转移模块和撤销模块，其中所述通讯模块和许可转移模块还与外部通讯；进一步，所述域设备还包括依次相连的许可分割模块、许可转换模块和安全模块，所述安全模块还与通讯模块相连，以及所述许可转换模块还与许可转移模块相连；上述各个模块组成的DRM客户端还与域模块相连。
所述安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证可以借助设备证书、DRM客户端证书，或者用户证书等进行。
所述通讯模块，用于在本设备发起域许可转移时，对外发出域许可转移通知消息，以及在撤销本地的域许可后，返回撤销成功响应。
所述许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证。
所述许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换(用于使目的设备可以解密和识别)，以备所述许可转移模块执行。
所述许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移。
所述撤销模块，用于在收到撤销指令时(不是本端发起的域许可转移时)，或者在获知域许可转移成功后(是本端发起的域许可转移时)，撤销本地相应的域许可。
域模块，用于管理本地域信息，如域标识、域密钥等。
本发明还提供了一种域管理器，参见图2所示，其包括环形相连的通讯模块、许可转移模块和撤销模块，其中所述通讯模块和许可转移模块还与外部通讯；进一步，所述域管理器还包括依次相连的许可分割模块、许可转换模块和安全模块，所述安全模块还与通讯模块相连，以及所述许可转换模块还与许可转移模块相连；上述各个模块组成的DRM客户端还与域管理模块相连。
所述安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证可以借助设备证书、DRM客户端证书，或者用户证书等进行。
所述通讯模块，用于在发起域许可转移时(包括本端发出域许可转移通知消息，以及收到域设备发来的域许可转移通知消息)，创建并下发撤销指令(包括在可与域内设备交互时，再次下发)，以及指示进行域许可转移(在域设备发起域许可转移时，指示源域设备进行域许可转移)。
所述许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证。
所述许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换(用于使目的设备可以解密和识别)，以备所述许可转移模块执行。
所述许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移。
所述撤销模块，用于在获知域许可转移成功后，相应撤销本地的域许可。
所述域管理模块，用于管理本地域信息，以及执行域的管理，如域成员加入、删除等。
结合上述域设备及域管理器，本发明又提供了一种域许可转移的系统，参见图3所示，其包括域设备、域管理器及目的设备；进一步，若所述域设备发起域许可转移，则在所述域设备与目的设备之间还可包括许可服务器；若所述域管理器发起域许可转移，则在所述域管理器与目的设备之间还可包括许可服务器。
所述目的设备，用于决定是否接受域许可转移，并在决定接受时，接收域许可。
所述域管理器，可发起并执行域许可转移；以及用于根据待转移的域许可，指示域内设备撤销相应的域许可，并在获知域许可转移成功后，撤销本地相应的域许可。
所述域设备，可发起并执行域许可转移；以及用于在收到所述域管理器发出的撤销指令时，或者在获知域许可转移成功后，撤销本地相应的域许可。
所述许可服务器，用于中转目的设备与发起方之间交互的消息，以及转换和转移域许可。
应用上述装置及系统，本发明提供了一种域许可转移的方法，参见图4所示，包括下列主要步骤S1、发起域许可转移。
本步骤包括四种情况。
情况一源域设备直接向目的设备发起域许可转移(目的设备向源域设备发起域许可转移与之同理)。
情况二域管理器直接向目的设备发起域许可转移(目的设备向域管理器发起域许可转移与之同理)。
情况三源域设备通过许可服务器，向目的设备发起域许可转移(目的设备通过许可服务器，向源域设备发起域许可转移与之同理)。
情况四域管理器通过许可服务器，向目的设备发起域许可转移(目的设备通过许可服务器，向域管理器发起域许可转移与之同理)。
S2、域管理器根据待转移的域许可，指示域内设备撤销相应的域许可。
本步骤中，域管理器根据待转移的域许可，指示域内设备撤销相应的域许可，撤销可以删除的方式进行。域管理器发出指示之后，等待满足预设的条件后，再转入步骤S3。
若预设的条件为收到所有域内设备的撤销成功响应，则域管理器在收到所有域内设备的撤销成功响应后，再转入步骤S3。(对应步骤S1中的情况一和情况三，由于发起方为源域设备，需要源域设备执行域许可转移操作，所以显然所述所有域内设备不包括源域设备)或者，若预设的条件为特定时长或特定数量的撤销成功响应，则域管理器在指示域内设备撤销相应的域许可后，等待所述时长到达或收到特定数量的撤销成功响应后，再转入步骤S3。由于部分域内设备当前可能处于关机状态或不在线状态，所以在这种情况下无法保证所有域内设备在等待满足预设条件的时间内均已完成撤销。因此，为了保证域内的所有设备都撤销相应的域许可，域管理器可在等待满足预设条件的时间内或转入步骤S3之后创建撤销命令，待可与所述部分域内设备交互时(包括域管理器主动检测，以及要求每个域设备在重新连接到域内时，都必须向域管理器发送更新请求)，指示该设备撤销相应的域许可。
S3、进行域许可转移。
本步骤中，在进行域许可转移之前，需要对原域许可进行转换；如有需要，还可在转换之前进行许可分割；并在交互过程中，以设备证书、DRM客户端证书，或者用户证书等进行身份认证。
对应步骤S1中的情况一源域设备根据域许可以及其中的各项权限对应的标识，将域许可中待转移的各项权限从域许可中分割出来。之后，由源域设备完成生成新的许可证标识，用目的设备的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作。
对应步骤S1中的情况二域管理器根据域许可以及其中的各项权限对应的标识，将域许可中待转移的各项权限从域许可中分割出来。之后，由域管理器完成生成新的许可证标识，用目的设备的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作。
对应步骤S1中的情况三源域设备根据域许可以及其中的各项权限对应的标识，将域许可中待转移的各项权限从域许可中分割出来。之后，由源域设备进行生成新的许可证标识，用许可服务器的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作，并发送到许可服务器。最后，由许可服务器再次进行生成新的许可证标识，用目的设备的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作。
对应步骤S1中的情况四域管理器根据域许可以及其中的各项权限对应的标识，将域许可中待转移的各项权限从域许可中分割出来。之后，由域管理器进行生成新的许可证标识，用许可服务器的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作，并发送到许可服务器。最后，由许可服务器再次进行生成新的许可证标识，用目的设备的公钥重新封装许可证加密密钥LEK，以及重新签名许可证等转换操作。
S4、域管理器获知域许可转移成功后，撤销本地相应的域许可。
同样，域管理器以删除方式撤销本地相应的域许可。
以下基于上述四种情况，逐一详述。
基于情况一源域设备直接向目的设备发起非消耗类域许可转移。参见图5所示，包括下列具体步骤步骤1用户通过源域设备的人机界面触发域许可转移。
步骤2源域设备向目的设备发起域许可转移请求。
所述请求消息中将至少包含以下参数——域标识；——(源)设备标识；——(源)设备的数字证书；——转移的域许可标识，如果转移的是部分的权限，还可以包括——转移的权限标识。
此外，还可以包括待转移的许可或权限的其它相关信息。
步骤3目的设备返回域许可转移请求响应。
响应消息中将至少包含以下参数——状态表示接受或拒绝请求；——目的设备证书。
如果接受，则继续下一步；如果拒绝，则返回拒绝响应消息，停止交互。
在上述步骤2、3中，源域设备和目的设备将进行双向的身份认证。
身份认证的过程中主要验证双方的数字证书。证书中包括用户名、公钥、CA的签名、证书的有效期、CRL(Certificate Revoke List，证书吊销列表)发布URL等信息。通信中一方得到对方的数字证书后，至少需要验证 CA是否受信任、签名是否有效； 证书是否在有效期内； 证书标识是否不在CRL列表中。
(这里所指的证书可以是设备证书、DRM客户端证书或用户证书等。)如果认证不通过，则返回失败响应消息；如果认证通过，则存储对方的公钥(提供保证信息安全传递及许可证签名)等，返回成功响应消息。
步骤4源域设备向域管理器发出转移非消耗类域许可的通知消息。
在收到该请求后，域管理器将采取一定的措施使得其它域设备上的该域许可无法继续使用。该消息将至少包含以下参数——许可证id即指示转移的许可证的标识；——权限id如果转移的是部分权限，还需要指出所转移的权限id。
步骤5域管理器向其它域设备发出域许可撤销指令，要求域设备删除对应许可。
该消息将至少包含一些参数——许可证id即指示撤销的许可证的标识；——权限id如果是部分权限，还需要指出撤销的权限id；——域管理器对消息的签名，以保证安全性。
步骤6域设备按照域管理器的要求删除本机对应的域许可(或权限)，并向域管理器返回许可撤销成功响应。
步骤7域管理器成功撤销其它域设备上的域许可后，向请求转移域许可的源域设备返回响应消息，允许源域设备转移域许可。
步骤8域许可分割。
如果转移的是整个许可证，则不需要执行该步骤，直接跳到步骤9；如果转移的仅仅是许可证中的部分权限，则需要首先将权限id所对应的的权限提取出来，形成一个子许可证，而原许可证的剩余部分保持不变。
步骤9域许可转换。
由于域许可的LEK(License Encrypted Key，许可证加密密钥)是用域密钥加密的，如果将许可证直接转移，目的设备将无法正确解密得到LEK，从而无法得到CEK。因此，在转移之前，需要先对域许可进行转换。
许可转换主要包括生成新的许可证标识；LEK的重新封装源域设备用步骤1中获得的目的设备的公钥重新加密LEK，从而只有目的设备才能利用私钥解密得到LEK，保证机密性；许可证的重新签名源域设备用自己的私钥对许可证进行签名，使得目的设备可以验证所得到的许可证的有效性。
步骤10许可转移。
源域设备将步骤9中转换得到的许可证经安全的通道传输到目的设备上。
步骤11目的设备向源域设备返回许可接收报告消息(成功或者失败)。
步骤12源域设备在收到成功转移确认消息后，需要采取一定的手段，保证转移出去的许可在本机无法继续使用，一种简单的实现方式即是删除对应的许可。
如果源域设备收到的报告表明目的设备未成功接收到转移的许可，则源域设备不需要删除本机对应的许可，可以选择再次转移或放弃本次许可转移。
步骤13源域设备向域管理器发送许可转移报告(成功或失败)。
步骤14如果接收到源域设备的许可转移成功报告，则域管理器需要采取一定措施，保证转移出去的许可或权限在本地无法继续使用，一种简单的实现方式既是删除对应的许可。
若转移失败，则域管理器不需要删除对应许可。
步骤15目的设备获得数字内容。
可以通过域设备超级分发获得；也可以目的设备自己通过许可证中的URL到内容发布服务器获取。内容也可在许可证之前获取，即步骤15也可以在步骤4之前进行。
步骤16目的设备可以在许可证规定的权限下使用内容。
上述域许可转移的流程可以由源域设备发起，也可由目的设备首先发起。
步骤2～3与步骤4～7的顺序可以颠倒，即源域设备可以先向目的设备发送域许可转移请求，也可以先通知域管理器撤销其它域设备上对应的域许可。
基于情况二域管理器直接向目的设备发起非消耗类域许可转移。参见图6所示，包括下列具体步骤步骤1用户通过域管理器的人机界面触发域许可转移。
步骤2域管理器向目的设备发起域许可转移请求。
请求消息中将至少包含以下参数——域标识；——域管理器的标识；——域管理器的数字证书；——转移的域许可标识，如果转移的是部分的权限，还可以包括——转移的权限标识。
此外，还可以包括待转移的许可或权限的其它相关信息。
步骤3目的设备返回域许可转移请求响应。
响应消息中将至少包含以下参数——状态表示接受或拒绝请求；——目的设备证书。
如果接受，则继续下一步；如果拒绝，则返回拒绝响应消息，停止交互。
在上述步骤2、3中，域管理器和目的设备将进行双向的身份认证。
身份认证的过程中主要验证双方的数字证书。证书中包括用户名、公钥、CA的签名、证书的有效期、CRL(Certificate Revoke List，证书吊销列表)发布URL等信息。通信中一方得到对方的数字证书后，至少需要验证 CA是否受信任、签名是否有效；
证书是否在有效期内； 证书标识是否不在CRL列表中。
(这里所指的证书可以是设备证书、DRM客户端证书或用户证书等。)如果认证不通过，则返回失败响应消息；如果认证通过，则存储对方的公钥(提供保证信息安全传递及许可证签名)等，返回成功响应消息。
步骤4域管理器向其它域设备发出域许可撤销指令，要求域设备删除对应许可。
该消息将至少包含一些参数——许可证id即指示撤销的许可证的标识；——权限id如果是部分权限，还需要指出撤销的权限id；——域管理器对消息的签名，以保证安全性。
步骤5域设备按照域管理器的要求删除本机对应的域许可(或权限)，并向域管理器返回许可撤销成功响应步骤6域许可分割。
如果转移的是整个许可证，则不需要执行该步骤，直接跳到步骤7；如果转移的仅仅是许可证中的部分权限，则需要首先将待转移的权限分割出来，形成一个子许可证。
步骤7域许可转换。
由于域许可的LEK(License Encrypted Key，许可证加密密钥)是用域密钥加密的，如果将许可证直接转移，目的设备将无法正确解密得到LEK，从而无法得到CEK。因此，在转移之前，需要先对域许可进行转换。
许可转换主要包括生成新的许可证标识；LEK的重新封装域管理器用步骤1中获得的目的设备的公钥重新加密LEK，从而只有目的设备才能利用私钥解密得到LEK，保证机密性；许可证的重新签名域管理器用自己的私钥对许可证进行签名，使得目的设备可以验证所得到的许可证的有效性。
步骤8域许可转移域管理器将步骤8中转换得到的许可证经安全的通道传输到目的设备上。
步骤9目的设备向域管理器返回许可接收报告消息(成功或者失败)。
步骤10后续步骤与图5中的步骤12～16雷同。
上述域许可转移的流程可以由域管理器发起，也可由目的设备首先发起。
步骤2～3与步骤4～5的顺序可以颠倒，即域管理器可以先向目的设备发送域许可转移请求，也可以先撤销其它域设备上对应的域许可。
基于情况三源域设备通过许可服务器，向目的设备发起非消耗类域许可转移。参见图7所示，包括下列具体步骤步骤1用户通过源域设备的人机界面触发域许可转移。
步骤2源域设备向许可服务器发起域许可转移请求。
请求消息中将至少包含以下参数——域标识；——设备标识；——设备的数字证书；——目的设备标识；——转移的域许可标识，如果转移的是部分的权限，还可以包括——转移的权限标识。
此外，还可以包括待转移的许可或权限的其它相关信息。
步骤3许可服务器向目的设备发送许可转发请求。
步骤4目的设备向许可服务器返回域许可转移请求响应。
响应消息中将至少包含以下参数——状态表示接受或拒绝请求——目的设备的数字证书如果接受，则继续下一步；如果拒绝，则返回拒绝响应消息，停止交互。
步骤5许可服务器向源域设备返回域许可转移请求响应。
该消息中包含以下参数——状态表示目的设备接受或拒绝请求——(可选)许可服务器的数字证书，如果源域设备之前说明已经保存了RI的证书则不需要。
在上述步骤2～5中，源域设备与许可服务器、许可服务器与目的设备之间都将进行双向的身份认证。
身份认证的过程中主要验证对方的数字证书。证书中包括用户名、公钥、CA的签名、证书的有效期、CRL(Certificate Revoke List，证书吊销列表)发布URL等信息。通信中一方得到对方的数字证书后，至少需要验证 CA是否受信任、签名是否有效； 证书是否在有效期内； 证书标识是否不在CRL列表中。
(这里所指的证书可以是设备证书、DRM客户端证书或用户证书等。)如果认证不通过，则返回失败响应消息；如果认证通过，则存储相应的公钥(提供保证信息安全传递及许可证签名)等，返回成功响应消息。
步骤6源域设备向域管理器发出转移非消耗类域许可的通知消息。
在收到该请求后，域管理器将采取一定的措施使得其它域设备上的该域许可无法继续使用。该消息将至少包含以下参数——许可证id即指示转移的许可证的标识；——权限id如果转移的是部分权限，还需要指出所转移的权限id。
步骤7域管理器向其它域设备发出域许可撤销指令，要求域设备删除对应许可。
该消息将至少包含一些参数——许可证id即指示撤销的许可证的标识；——权限id如果是部分权限，还需要指出撤销的权限id；
——域管理器对消息的签名，以保证安全性。
步骤8域设备按照域管理器的要求删除本机对应的域许可(或权限)，并向域管理器返回许可撤销成功响应。
步骤9域管理器成功撤销其它域设备上的域许可后，向请求转移域许可的源域设备返回响应消息，允许源域设备转移域许可。
步骤10域许可分割。
如果转移的是整个许可证，则不需要执行该步骤，直接跳到步骤11；如果转移的仅仅是许可证中的部分权限，则需要首先将待转移的权限分割出来，形成一个子许可证。
步骤11域许可转换。
源域设备用许可服务器的公钥对LEK重新加密，并用自己的设备私钥对许可证签名，生成新的许可证。
步骤12将新生成的许可证上传给许可服务器。
步骤13许可服务器解开步骤12中得到的许可证后，生成新的许可证标识；用目的设备的公钥重新封装LEK；并用自己的私钥对许可证重新签名，得到新的许可证。
步骤14许可服务器将步骤13中转换得到的许可证下发到目的设备。
步骤15目的设备向许可服务器返回许可接收报告消息(成功或者失败)。
步骤16许可服务器向源域设备返回许可转移报告(成功或者失败)。
步骤17后续步骤与图5中的步骤12～16雷同。
上述域许可转移的流程可以由源域设备发起，也可由目的设备首先发起。
步骤2～5与步骤6～9的顺序可以颠倒，即源域设备可以先向许可服务器发送域许可转移请求，也可以先通知域管理器撤销其它域设备上对应的域许可。
基于情况四域管理器通过许可服务器，向目的设备发起非消耗类域许可转移。参见图8所示，包括下列具体步骤
步骤1用户通过域管理器的人机界面触发域许可转移。
步骤2域管理器向许可服务器发起域许可转移请求。
请求消息中将至少包含以下参数——域标识；——域管理器的标识；——域管理器的数字证书；——目的设备标识；——转移的域许可标识，如果转移的是部分的权限，还可以包括——转移的权限标识。
此外，还可以包括待转移的许可或权限的其它相关信息。
步骤3许可服务器向目的设备发送许可转发请求。
步骤4目的设备向许可服务器返回域许可转移请求响应。
响应消息中将至少包含以下参数——状态表示接受或拒绝请求；——目的设备的数字证书。
如果接受，则继续下一步；如果拒绝，则返回拒绝响应消息，停止交互。
步骤5许可服务器向域管理器返回域许可转移请求响应。
该消息中包含以下参数——状态表示目的设备接受或拒绝请求；——(可选)许可服务器的数字证书，如果域管理器之前说明已经保存了RI的证书则不需要。
在上述步骤2～5中，域管理器与许可服务器、许可服务器与目的设备之间都将进行双向的身份认证。
身份认证的过程中主要验证对方的数字证书。证书中包括用户名、公钥、CA的签名、证书的有效期、CRL(Certificate Revoke List，证书吊销列表)发布URL等信息。通信中一方得到对方的数字证书后，至少需要验证
CA是否受信任、签名是否有效； 证书是否在有效期内； 证书标识是否不在CRL列表中。
(这里所指的证书可以是设备证书、DRM客户端证书或用户证书等。)如果认证不通过，则返回失败响应消息；如果认证通过，则存储相应的公钥(提供保证信息安全传递及许可证签名)等，返回成功响应消息。
步骤6域管理器向其它域设备发出域许可撤销指令，要求域设备删除对应许可。
该消息将至少包含一些参数——许可证id即指示撤销的许可证的标识；——权限id如果是部分权限，还需要指出撤销的权限id；——域管理器对消息的签名，以保证安全性。
步骤7域设备按照域管理器的要求删除本机对应的域许可(或权限)，并向域管理器返回许可撤销成功响应。
步骤8域许可分割。
如果转移的是整个许可证，则不需要执行该步骤，直接跳到步骤11；如果转移的仅仅是许可证中的部分权限，则需要首先将待转移的权限分割出来，形成一个子许可证。
步骤9域许可转换。
域管理器用许可服务器的公钥对LEK重新加密，并用自己的设备私钥对许可证签名，生成新的许可证。
步骤10将新生成的许可证上传给许可服务器。
步骤11许可服务器解开步骤10中得到的许可证后，生成新的许可证标识；用目的设备的公钥重新封装LEK；并用自己的私钥对许可证重新签名，得到新的许可证。
步骤12许可服务器将步骤11中转换得到的许可证下发到目的设备。
步骤13目的设备向许可服务器返回许可接收报告消息(成功或者失败)。
步骤14许可服务器向域管理器返回许可转移报告(成功或者失败)。
步骤15后续步骤与图5中的步骤12～16雷同。
上述域许可转移的流程可以由域管理器发起，也可由目的设备首先发起。
步骤2～5与步骤6～7的顺序可以颠倒，即域管理器可以先向许可服务器发送域许可转移请求，也可以先撤销其它域设备上对应的域许可。
以下通过一个上述情况一的实例具体描述本发明方法。
用户甲为建立了一个家庭域D1，域中包括一个域管理器及其它域成员设备(PC机、手机、PDA等)，这些设备不一定全是属于甲本人，也可能属于甲的父亲、儿子。甲的域中任何一个设备都可以为该域购买许可证，并且所购买的许可证每个设备均可使用。
甲的朋友乙也建立了一个家庭域D2，其中也包括一个域管理器和域成员设备(笔记本电脑、mp4播放器、手机等)。
甲为他的域购买了一个内容content01，并且在购买的时候选择了可以转移的许可证类型。许可证的片断如下

在接收到该内容和许可后，D1的域管理器将其分发到各个设备上，即每个D1的域成员设备都拥有该许可证的一份拷贝。
一次乙向甲提起她很喜欢content01的内容，于是甲决定利用手边的PDA将他的许可证中的play权限转移到乙的手机上。对应图5，具体步骤如下步骤1～3PDA与手机建立连接，并相互身份认证。
步骤4PDA向D1的域管理器发起许可转移通知，该通知中包括许可证id“rights001”和权限id“permission01”。
步骤5D1的域管理器向域中的PC机和手机发起撤销指令，并在指令中带上许可证id“rights001”和权限id“permission01”。
步骤6域D1的PC机和手机按要求使得本机上的play权限无效，例如删除该权限段；并向域管理器返回撤销成功响应。
步骤7域管理器向甲的PDA返回许可转移响应。
步骤8PDA将play权限分割出来，形成一个单独的许可证。这时甲的PDA上剩余的许可证信息如下，这些权限还是可以正常使用的。

步骤9甲的PDA先用自己的私钥将许可证的LEK解开，用乙手机的私钥重新封装；并用自己的私钥对新生成的许可证重新签名。得到的新生成的许可证如下


步骤10甲的PDA将新生成的许可证发送给乙的手机。
后续步骤可参见图5及其说明。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1.一种域许可转移的方法，其特征在于，包括下列步骤A、域管理器根据待转移的域许可，指示域内设备撤销相应的域许可；B、进行域许可转移；C、域管理器获知域许可转移成功后，撤销本地相应的域许可。
2.如权利要求1所述的方法，其特征在于，所述步骤A中域管理器指示域内设备撤销相应的域许可，并等待满足预设的条件后，转入步骤B。
3.如权利要求2所述的方法，其特征在于，所述步骤A中域管理器收到所有域内设备的撤销成功响应后，再转入步骤B。
4.如权利要求2所述的方法，其特征在于，所述步骤A中域管理器指示域内设备撤销相应的域许可，并等待预设时长或收到预设数量的撤销成功响应后，再转入步骤B。
5.如权利要求4所述的方法，其特征在于，域管理器在等待满足预设条件的时间内不创建撤销命令。
6.如权利要求5所述的方法，其特征在于，转入步骤B之后，域管理器创建撤销命令，待可与域内设备交互时，指示该设备撤销相应的域许可。
7.如权利要求4所述的方法，其特征在于，域管理器在等待满足预设条件的时间内创建撤销命令，再转入步骤B。
8.如权利要求1所述的方法，其特征在于，所述步骤B之前还包括步骤源域设备向目的设备发起域许可转移请求，或者目的设备向源域设备发起域许可转移请求。
9.如权利要求8所述的方法，其特征在于，源域设备直接与目的设备交互，以完成域许可转移；或者源域设备通过许可服务器与目的设备交互，以完成域许可转移。
10.如权利要求9所述的方法，其特征在于，所述步骤B中，进行域许可转移时，进行域许可转换。
11.如权利要求10所述的方法，其特征在于，若源域设备直接与目的设备交互，则由源域设备完成域许可转换；若源域设备通过许可服务器与目的设备交互，则由许可服务器完成域许可转换。
12.如权利要求1所述的方法，其特征在于，所述步骤B之前还包括步骤域管理器向目的设备发起域许可转移请求，或者目的设备向域管理器发起域许可转移请求。
13.如权利要求12所述的方法，其特征在于，域管理器直接与目的设备交互，以完成域许可转移；或者域管理器通过许可服务器与目的设备交互，以完成域许可转移。
14.如权利要求13所述的方法，其特征在于，所述步骤B中，进行域许可转移时，进行域许可转换。
15.如权利要求14所述的方法，其特征在于，若域管理器直接与目的设备交互，则由域管理器完成域许可转换；若域管理器通过许可服务器与目的设备交互，则由许可服务器完成域许可转换。
16.如权利要求11或15所述的方法，其特征在于，所述转换域许包括生成新的许可证标识，重新封装许可证加密密钥，以及重新签名许可证。
17.如权利要求1至15任一项所述的方法，其特征在于，所述转移的域许可包括域许可中的全部权限或部分权限。
18.如权利要求17所述的方法，其特征在于，所述域许可以及其中的各项权限均具有唯一对应的标识。
19.如权利要求1至15任一项所述的方法，其特征在于，所述步骤B中，在进行域许可转移时，以设备证书、DRM客户端证书，或者用户证书进行身份认证。
20.如权利要求1至15任一项所述的方法，其特征在于，所述撤销相应的域许可，以删除方式实施。
21.如权利要求1至15任一项所述的方法，其特征在于，所述域许可为非消耗类域许可。
22.一种域设备，可使用域许可包含的权限，并可将域许可转移到目的设备，其特征在于，所述域设备还包括通讯模块，用于在本设备发起域许可转移时，对外发出域许可转移通知消息，以及在撤销本地的域许可后，返回撤销成功响应；许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移；撤销模块，用于在收到撤销指令时，或者在获知域许可转移成功后，撤销本地相应的域许可。
23.如权利要求22所述的域设备，其特征在于，所述域设备还包括许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证；许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换，以备所述许可转移模块执行；安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证借助设备证书、DRM客户端证书，或者用户证书进行；域模块，用于管理本地域信息。
24.一种域管理器，用于管理各个域内设备的域许可，其特征在于，所述域管理器还包括通讯模块，用于在发起域许可转移时，创建并下发撤销指令，以及指示进行域许可转移；许可转移模块，用于在收到所述通讯模块发出的域许可转移通知消息的响应消息后，执行域许可转移；撤销模块，用于在获知域许可转移成功后，撤销本地相应的域许可。
25.如权利要求24所述的域管理器，其特征在于，所述域管理器还包括许可分割模块，用于将域许可中待转移的各项权限从域许可中分割出来，形成新的许可证；许可转换模块，用于将待转移的域许可或所述许可分割模块分割得到的新许可证进行转换，以备所述许可转移模块执行；安全模块，用于在与外部设备交互时进行身份认证和消息签名，所述身份认证借助设备证书、DRM客户端证书，或者用户证书进行。域管理模块，用于管理本地域信息，以及执行域的管理。
26.一种域许可转移的系统，包括域许可转移的目的设备，其特征在于，所述系统还包括域管理器，可发起并执行域许可转移；以及用于根据待转移的域许可，指示域内设备撤销相应的域许可，并在获知域许可转移成功后，撤销本地相应的域许可；域设备，可发起并执行域许可转移；以及用于在收到所述域管理器发出的撤销指令时，或者在获知域许可转移成功后，撤销本地相应的域许可。
27.如权利要求26所述的系统，其特征在于，所述系统还包括许可服务器，用于中转目的设备与发起方之间交互的消息，以及转换和转移域许可。
全文摘要
本发明公开了一种域许可转移的方法、装置及系统，用以解决现有技术无法防止非消费类域许可的非法扩散的问题。本发明方法包括A.域管理器根据待转移的域许可，指示域内设备撤销相应的域许可；B.进行域许可转移；C.域管理器获知域许可转移成功后，撤销本地相应的域许可。通过本发明的实施，在完成域许可转移之后，可保证域内设备及域管理器中相应的域许可被撤销，这样可防止非消费类域许可的非法扩散，以提高DRM系统的安全性能。
文档编号G06F21/00GK101089865SQ200610083949
公开日2007年12月19日 申请日期2006年6月12日 优先权日2006年6月12日
发明者李益民, 冯雯洁, 党沛, 石国欣, 周皓隽, 张仁宙, 周晨 申请人:华为技术有限公司