专利名称:设备与许可服务器交互的方法和系统的制作方法
技术领域:
本发明涉及数字版权管理技术领域,特别涉及一种数字版权管理(DRM)系统中设备与许可服务器交互的方法和一种DRM中设备与许可服 务器交互的系统。
背景技术:
DRM技术是随着数字媒体内容在互联网上的广泛传播而发展起来的一 种新技术。DRM技术的目的是保护数字媒体内容的版权,从技术上提高盗 版的技术门槛和成本,确保只有购买版权的用户在遵守版权规则的条件下消法复制、备份和共享数字媒体内容,从而保证数字媒体内容发行商和数字媒 体许可发行商的利益,是实现将数字媒体内容通过互联网进行销售的前提条件..,DRM基本原理是数字内容的发行者(Content Issuer, CI)将数字内 容加密后,用户将加密的数字内容数据包下载到终端设备(DRM Agent)上; 许可服务器(License Server, LS )负责分发与数字内容相对应的许可证,其 中包括内容解密密钥及对内容可操作的权限。设备只有同时拥有包含解密数 字内容所必须的信息的内容数据包和许可证,才能正常使用所购买的数字内 容。DRM Agent利用设备的私钥解密得到许可证密钥,进而得到许可证中 的内容密钥,解密数字内容,并根据许可证中的权限信息控制用户对数字内 容的具体使用。在DRM中,DRM Agent分为有连接设备与无连接设备两种。当前DRM Agent与LS间信令交互方式有两种 一是有连接的DRM终端与LS直接信
令交互;二是无连接DRM Agent采用局域连接技术,通过另一有连接设备 与LS间实现信令交互。DRM技术中支持有连接设备帮助无连接设备完成注册、加入/退出域、 获取域权限对象(RO)等操作。其中,无连接设备与有连接设备通过对象 交换协议(OBEX)等局域连接技术实现连接,而有连接设备与LS间可实 现直接网络连接,如通过HTTP over TCP-IP技术。有连接设备将无连接设 备发给LS的RO获取协议(ROAP )信令转发(forward )给LS,同理,有 连接设备将LS发给无连接设备的ROAP信令转发给无连接设备。无连接设 备获取RO的方式只能通过有连接设备代理申请域RO,再转发回无连接设 备的形式实现。
上述现有技术中,有连接设备只能够在无连接设备和LS之间转发信令, 无法实现有连接设备直接代理无连接设备与LS交互;并且由于有连接设备 只是简单的转发信令,因此要求无连接设备、有连接设备和LS必须同时在 线,才能够实现信令的转发。发明内容有鉴于此,本发明的主要目的在于提供一种DRM中设备与许可服务器交 互的方法和系统,使得有连接设备能够直接代理另一设备,使另一设备获取所 需要的信息。
为实现上述目的,本发明提供了一种DRM系统中设备与许可服务器交 互的方法,该方法包4舌A、 委托设备和受委托设备建立委托关系,受委托设备获取代理委托设 备与LS交互的授权;B、 受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备 所获取的授权对应的信息发送给委托设备。所述步骤A中,委托设备和受委托设备可以是接受默认授权关系建立委托 关系,受委托设备根据所述默认授权获取代理委托设备与LS交互的授权。
较佳地,所速委托设备和受委托设备接受默认授权关系建立委托关系包括所述委托设备和受委托设备在LS注册相同的授权相关信息;或包括,在LS注册代理任意委托设备的受委托设备信息;或包括在LS注册受委托设备信息,并由受委托设备向LS发送其代理的委托设备的数字证书,或委托设备在LS注册的特定信息。较佳地,所述数字证书中包括设备类型和/或设备标识;所述委托设备在LS注册的特定信息为设备标识和/或密码。所述步骤A中,受委托设备获取委托设备授权的方法可以为委托设备和受委托设备交互建立委托关系,受委托设备从委托设备获取所述授权。 所述委托设备和受委托设备建立委托关系可以包括Al、委托设备生成包括授权信息的建立委托请求,并将建立委托请求通过 文件或信令形式传送给受委托设备;A2、受委托设备接收到所述建立委托请求后,获取其中的授权信息建立委托关系。较佳地,所述步骤A2中获取授权信息后进一步包括验证所述授权信息 是否符合权限要求,验证通过时建立委托关系。所述建立委托请求中进一步可以包括委托设备的数字证书,则所述步骤 A2中受委托设备接收到所述建立委托请求后,根据委托设备的数字证书验证委 托设备的合法性,在验证通过后,执行所述的验证所述授权信息是否符合权限 要求的步骤。较佳地,该方法包括受委托设备或委托设备向LS发送包括授权信息,或进一步包括受委托设 备和/或委托设备数字证书的委托起始请求;LS接收到所述委托起始请求后,对其中的授权信息进行验证,或进一步对 受委托设备和/或委托设备的数字证书进行验证,在验证通过后向受委托设备或 委托设备发送委托成功的消息;所述受委托设备或委托设备接收到所述委托成功的消息后,获取授权信息
建立委托关系,或将所述委托成功的信息发送给委托设备或受委托设备建立委 托关系。较佳地,该方法进一步包括受委托设备或委托设备向LS发送包括停止的授权信息的委托终止请求, 请求停止所述授权信息对应的授权;LS接收到委托终止请求后,停止接受所述授权并向受委托设备或委托设备 发送委托终止成功的消息;所述受委托设备或委托设备接收到所述委托终止成功的消息后,停止与所 述委托设备或受委托设备关于所述请求中包括的授权信息的委托关系,或进一 步将所述委托成功的信息发送给委托设备或受委托设备,则该委托设备或受委 托设备停止与所述受委托设备或委托设备关于所述请求中包括的授权信息的委 托关系。较佳地,所述授权包括受委托设备代理委托设备发送请求,受委托设备 代理委托设备接收LS主动发送的信息,受委托设备代理委托设备接收LS根据 委托设备请求返回的响应信息,受委托设备在一定时间内代理委托设备发送请 求,受委托设备在一定时间内代理委托设备接收LS主动发送的信息,受委托 设备在一定时间内代理委托设备接收LS根据委托设备请求返回的响应信息, 或以上的任意组合。较佳地,所述授权包括受委托设备代理委托设备发送请求时,所述步骤B 包括受委托设备向LS发送代理请求;LS接收到所述代理请求后对该请求进行 相应处理,并在处理成功后,直接向委托设备发送所请求的信息,或直接向委托设备发送所请求的信息 并向受委托设备返回标识处理状态的响应消息,或向受委托设备发送包括所请 求的信息的响应消息后,由受委托设备将所请求的信息转发给委托设备;所述授权包括受委托设备代理委托设备接收LS主动发送的信息时,所述 步骤B包括
LS向受委托设备发送委托设备标识和请求受委托设备代理发送给委托设备的信息;受委托设备根据接收的委托设备标识发送所述发送给委托设备的信 自、'所述授权包括受委托设备代理委托设备接收LS根据请求返回的响应信息 时,所述步骤B包括委托设备向LS发送请求消息;LS根据接收的请求消息进行处理后,向受 委托设备发送包括委托设备标识和所述请求消息所请求的信息;受委托设备根据接收的委托设备标识发送所述请求的信息。较佳地,所述代理请求包括代理加入域请求、代理离开域请求或代理获 取许可权限信息请求;所述LS主动发送的信息为许可权限信息;所述委托 设备向LS发送的请求消息包括加入域请求、离开域请求或获取许可权限信 息请求。较佳地,所述的代理加入域请求、代理离开域请求或代理获取许可权限信 息请求中包括委托设备的标识信息、受委托设备的标识信息和LS标识信息,或进一步 包括当前序列号和/或数字签名;所述标识处理状态的响应消息中包括委托设备的标识信息、受委托设备 的标识信息、LS标识信息和状态信息,或进一步包括与对应的代理请求一致 的当前序列号和/或数字签名;所述包括所请求的信息的响应消息中包括委托设备的标识信息、受委托 设备的标识信息、LS标识信息、请求获取的信息和状态信息;或进一步包括 与对应的代理请求一致的当前序列号和/或数字签名。较佳地,所述LS接收到来自委托设备或受委托设备的请求后,进行对应 的加入域、离开域或获取许可权限信息的处理后,如果处理失败,该方法进一 步包括LS向受委托设备或委托设备返回标识处理失败的响应消息;所述处理 失败的响应消息中,通过状态信息标识处理失败的原因;则所述状态信息包括: 委托拒绝、授权失效或请求超范围。
较佳地,所迷步骤A包括委托设备和中间受委托设备建立委托关系,中 间受委托设备获取代理委托设备与LS交互的授权;所述中间受委托设备与受 委托设备建立委托关系,受委托设备通过中间委托设备获取代理委托设备与LS 交互的授权。如果所述中间受委托设备数量为N个,N为大于l的整数,所述委托设备 为第0级设备,与委托设备交互的中间受委托设备为第一级设备,与所述受委 托设备交互的中间设备为第N级设备,所述受委托设备为第N+ 1级设备;则所述步骤A包括第M级设备与第M - 1级设备建立委托关系,从第M -1级设备获取代理委托设备向LS发送代理请求的授权,其中M为大于0小 于等于N十1的整数。该方法进一步可以包括委托设备向受委托设备发送包括授权信息的委托结束请求,请求结束对该 请求中包括的授权信息的委托;受委托设备接收到所述委托结束请求并进行确认,结束所述请求中包括的 授权信息的委托,或进一步向所述委托设备发送响应消息以确认结束所述请求 中包括的授权信息的委托。该方法进一步可以包括受委托设备向委托设备发送包括授权信息的委托结束请求,请求结束对该 请求中包括的授权信息的代理;委托设备接收到所述委托结束请求并进行确认后,结束所述请求消息中包 括的授权信息的委托,或进一步向所述受委托设备发送响应消息以确认结束所 述请求中包括的授权信息的代理。所述步骤B可以包括LS向受委托设备发送触发消息,触发所述受委托设备代理所述委托设备向 LS发送代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。
较佳地,所述受委托设备接收到触发消息后,验证其中的代理请求信息所 对应的代理请求是否符合所述受委托设备获取的所述授权,在验证通过后执行 所述的触发步骤。较佳地,所述触发消息中包括通知受委托设备代理委托设备发送请求消息 的代理请求信息,该代理请求信息包括代理起始请求、委托结束请求、代理 获取许可权限信息请求、代理加入域请求或代理离开域请求;则所述受委托设备根据触发消息中的代理请求信息向LS发送对应的代理请求。较佳地,所述触发消息中包括通知受委托设备代理委托设备发送请求消息 的委托设备标识,则所述受委托设备接收到所述触发消息,确定出其中包括的 委托设备标识为该受委托设备代理的委托设备的标识后,代理对应的委托设备 向LS发送所述触发消息对应的代理请求。所述步骤B还可以包括LS向委托设备发送包括请求信息的触发消息,触发所述委托设备通过受委 托设备向LS发送所述请求信息对应的代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。较佳地,所述的触发消息中包括设备标识;则接收到所述触发消息的委托设备如果确定出需要由所述受委托设备代理 发送请求后,生成包括自身设备标识和所述请求信息,或生成包括所述请求信 息对应的代理请求信息的触发消息,并将生成的触发消息发送给受委托设备;所述受委托设备根据接收的触发消息代理所述委托设备向LS发送代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。较佳地,所述触发消息中的请求信息为加入域请求信息、离开域请求信 息或获取许可权限信息请求信息;则所述发送给受委托设备的触发消息中的代
理请求信息对应为代理加入域请求信息、代理离开域请求信息或代理获取许 可权限信息i青求信息。较佳地,所述触发所述委托设备通过受委托设备向LS发送所述请求信息 对应的代理-清求包括委托设备向受委托设备发送委托关系请求,受委托设备对接收的委托关系 请求审核通过后,代理所述委托设备向LS发送所述请求信息对应的代理请求。所述步骤B还可以包括LS向委托设备发送包括请求信息的触发消息,委托设备根据接收的触发消 息中的请求信息向LS发送请求消息;LS接收所述请求消息,并验证成功和在成功处理该请求后,将所请求的信 息通过受委托设备发送给所述委托设备。本发明还提供了一种DRM中设备与许可服务器交互的系统,该系统包括 委托设备、受委托设备和LS;其中,委托设备和受委托设备建立委托关系,受委托设备获取代理委托设备与LS 交互的授权;受委托设备根据所述获取的授权与所述LS交互,LS将与受委托 设备所获取的授权对应的信息发送给委托设备。所述委托设备与受委托设备建立委托关系可以包括委托设备将包括委托授权信息,或进一步包括委托设备信息的委托信息发送给受委托设备建立委托关系。委托设备可以通过文件传输协议或中间存储设备将文件形式的所述委托信息传送给受委托设备;或者,委托设备通过网络协议将信令形式的所述委托信息传送给受委托设备。委托设备与受委托设备建立委托关系还可以包括 委托设备和受委托设备在LS中设置授权相关信息建立委托关系。 所述受委托设备与所述委托设备之间可以包括中间受委托设备; 所述中间受委托设备与所述委托设备建立委托关系,获取代理委托设备与LS交互的授权;所述中间受委托设备与所述受委托设备建立委托关系,受委托
设备获取代理委托设备与LS交互的授权。如果所述中间受委托设备数量为N个,N为大于l的整数,所述委托设备 为第o级设备,与委托设备交互的中间设备为第一级设备,与所述受委托设备 交互的中间设备为第N级设备,所述受委托设备为第N + 1级设备;则第M级设备与第M - 1级设备建立委托关系,从第M - 1级设备获取代 理委托设备与LS交互的授权,其中1\1为大于0小于等于忖+ 1的整数。所述LS进一步可以向所述受委托设备发送包括代理请求信息,或包括请 求信息和委托设备标识的触发消息;所述受委托设备根据所述触发消息中的代 理请求信息或委托设备标识,和所述获取的授权向LS发送代理请求;LS对接 收的代理请求进行验证和处理,并直接或通过受委托设备向委托设备返回所述 代理请求所请求的信息。所述LS进一步可以向所述委托设备发送包括请求信息的触发消息;则所述委托设备根据所述触发消息向受委托设备发送包括所述请求信息对 应的代理请求信息或包括自身设备标识和所述请求信息的触发消息;所述受委 托设备根据来自委托设备的触发消息代理所述委托设备向LS发送代理请求; 所述LS根据接收的代理请求直接或通过受委托设备将所请求的信息发送给所 述委托设备;或者所述委托设备根据所述触发消息向受委托设备发送委托关系请求,受 委托设备对接收的委托关系请求进行审核,并根据审核通过的结果代理所述委 托设备向LS发送所述请求信息对应的代理请求;或者所述委托设备根据所述触发消息向LS发送所述请求信息对应的请求 消息,LS根据接收的请求消息将所请求的信息通过所述受委托设备发送给所述 委托设备。所述受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备 所获取的授权对应的信息发送给委托设备可以包括受委托设备基于所述授权生成代理请求,并将生成的代理请求发送给LS; LS对接收的代理请求进行验证和处理,并直接或通过受委托设备向委托设
备返回所述代理请求所请求的信息。所述受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备 所获取的授权对应的信息发送给委托设备包括委托设备向LS发送请求消息;LS对接收的请求消息进行处理,并通过受 委托设备向委托设备发送所述请求的信息。4交佳地,所述设备为DRM终端。从上述方案可以看出,本发明中通过委托设备和受委托设备建立委托关 系,受委托设备获取代理委托设备与LS交互的授权;受委托设备根据所述 获取的授权与所述LS交互,LS将与受委托设备所获取的授权对应的信息发 送给委托设备,使与LS有连接的受委托设备直接代理了委托设备,从而实 现了有连接设备直接代理另 一设备,使另 一设备获取所需要的信息;此外,本发明中委托设备和受委托设备可以通过文件传输的方式进行信息 交互,从而无需委托设备、受委托设备和LS同时在线,仍然实现了委托设备 从LS处获取其需要的信息。
图1为本发明设备与LS交互系统的一种组成示意图;图2为本发明设备与LS交互系统的另一种组成示意图;图3为本发明设备与LS交互方法的总体流程图;图4为本发明中设备之间建立委托关系示意图;图5为本发明中设备之间建立委托关系的另一种示意图;图6为本发明方法第二实施例的流程图;图7为本发明方法第二实施例中包括中间受委托设备的示意图; 图8为本发明方法第三实施例的流程图; 图9为本发明方法第四实施例的流程图;图10为本发明方法第四实施例中委托设备与受委托设备通过文件传输 交互的流程图11为本发明方法第五实施例的流程图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚明白,以下举具体实施 例并参照附图,对本发明进行进一 步详细的说明。本发明的主要思想是,在DRM系统中,设备委托另 一设备向LS获取信息。本发明所提供的系统如图1所示,包括委托设备、受委托设备和LS。其 中,委托设备和受委托设备建立委托关系,受委托设备获取代理委托设备与LS 交互的授权;受委托设备根据所述获取的授权与所述LS交互,LS将与受委托 设备所获取的授权对应的信息发送给委托设备。上述委托设备与受委托设备建立委托关系可以是,委托设备将包括委托授 权信息或进一步包括委托设备信息的委托信息,通过文件传输协议或中间存储 设备将文件形式的所述委托信息传送给受委托设备;或者,委托设备将包括委 托授权信息或进一步包括委托设备信息的委托信息,通过网络协议将信令形式 的所述委托信息传送给受委托设备。委托设备与受委托设备还可以是通过默认授权建立委托关系。例如,委托 设备和受委托设备在LS中设置相同的授权相关信息,例如为用户注册信息, 则受委托设备获取委托设备的所有授权,而LS可以根据相同的用户注册信息 接收并处理受委托设备代理委托设备发送的请求消息;再例如,在LS注册可 代理任意委托设备的受委托设备信息,则任意委托设备和该受委托设备信息对 应的受委托设备之间均通过该默认授权建立委托关系,而LS可以根据可代理 任意设备的受委托设备信息接收并处理受委托设备代理委托设备发送的请求消 息;再例如,在LS注册受委托设备信息,并由受委托设备向LS发送其代理的 委托设备的数字证书,该数字证书中包括设备类型和/或设备标识等用于确定委 托设备的特定信息,或由受委托设备向LS发送其代理的委托设备在LS注册的 特定信息,如设备标识和/或密码,从而建立受委托设备和其代理的委托设备之 间的委托关系,这里受委托设备可以通过用户输入的方式获取委托设备在LS
注册的特定信息。如图2所示,受委托设备与委托设备之间可以包括中间受委托设备,中 间受委托设备与所述委托设备建立委托关系,获取代理委托设备向LS发送代 理请求的授权;所述中间受委托设备与所述受委托设备建立委托关系,受委托 设备获取代理所述委托设备向LS发送代理请求的授权。从图2中可以看出,中间受委托设备数量可以为N个,N为大于1的整数, 假设委托设备为第0级设备,与委托设备交互的中间设备为第一级设备,与受 委托设备交互的中间设备为第N级设备,所述受委托设备为第N + 1级设备; 则第M级设备与第M - 1级设备建立委托关系,从第M - 1级设备获取代理委 托设备向LS发送代理请求的授权,其中M为大于0小于等于N+ 1的整数。本发明中,LS可以进一步向所述受委托设备发送包括代理请求信息,或 包括请求信息和委托设备标识的触发消息;所述受委托设备根据所述触发消息 中的代理请求信息或委托设备标识,和所述获取的授权向LS发送代理请求; LS对接收的代理请求进行验证和处理,并直接或通过受委托设备向委托设备返 回所述代理请求所请求的信息。LS还可以进一步向所述委托设备发送包括请求信息的触发消息;所述委托 设备将向受委托设备发送包括所述请求信息对应的代理请求信息或包括自身设 备标识和所述请求信息的触发消息;所述受委托设备根据来自委托设备的触发 消息代理所述委托设备向LS发送代理请求。上述受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备 所获取的授权对应的信息发送给委托设备可以包括受委托设备基于所述授权生成代理请求,并将生成的代理请求发送给LS;LS对接收的代理请求进行验证和处理,并直接或通过受委托设备向委托设 备返回所述代理请求所请求的信息。上述受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备 所获取的授权对应的信息发送给委托设备也可以包括委托设备向LS发送请求消息;LS对接收的请求消息进行处理,并通过受 委托设备向委托设备发送所迷请求的信息。本发明中,LS可以为授权发行者(Right Issuer);所述委托设备和受委托 设备,以及中间委托设备可以为DRM代理(DRM Agent )。以上是对本发明系统的说明。依据上述系统,本发明方法的总体流程如 图3所示,具体包括如下步骤步骤301、委托设备和受委托设备建立委托关系,受委托设备获取代理 委托设备与LS交互的授权;这里可以建立多层次委托,即设备A和设备B之间建立委托关系后, 作为受委托设备的设备B再与设备C建立委托关系,作为受委托方的设备C 还可以再与设备D建立委托关系......。委托设备和受委托设备建立委托关系可以由委托设备向受委托设备发 送委托请求发起建立,也可以由受委托设备向委托设备发送代理请求发起建 立,或者是通过委托设备和受委托设备在LS中注册相同的用户信息或其他 默i人授权方式实现。此外,本步骤中的授权可以是,受委托设备代理委托设备发送请求,受委 托设备代理委托设备接收LS主动发送的信息,受委托设备代理委托设备接收 LS根据委托设备请求返回的响应信息,受委托设备在一定时间内代理委托设备 发送请求,受委托设备在一定时间内代理委托设备接收LS主动发送的信息, 受委托设备在一定时间内代理委托设备接收LS根据委托设备请求返回的响应 信息,或以上的任意组合。步骤302、受委托设备根据所述获取的授权与所述LS交互,LS将与受 委托设备所获取的授权对应的信息发送给委托设备。这里,可以是委托设备生成代理请求后,将代理请求传送给受委托设备, 再由受委托设备发送给LS;也可以是直接由受委托设备生成代理请求并发 送给LS。 LS可以直接将代理请求所请求的信息发送给委托设备,也可以通 过受委托设备将代理请求所请求的信息发送给委托设备。当步骤301中的授权包括受委托设备代理委托设备发送请求时,步骤302
包括受委托设备向LS发送代理请求;LS接收到所述代理请求后对该请求进 行相应处理,并在处理成功后,直接向委托设备发送所-清求的信息并向受委托 设备返回标识处理状态的响应消息,或向受委托设备发送包括所请求的信息的 响应消息后,由受委托设备将所请求的信息转发给委托设备。当步骤301中的授权包括受委托设备代理委托设备接收LS主动发送的信 息时,步骤302包括LS向受委托设备发送委托设备标识和请求受委托设备代 理发送给委托设备的信息;受委托设备根据接收的委托设备标识发送所述发送 给委托设备的信息。当步骤301中的授权包括受委托设备代理委托设备接收LS根据请求返回 的响应信息时,步骤302包括委托设备向LS发送请求消息;LS根据接收的 请求消息进行处理后,向受委托设备发送包括委托设备标识和所述请求消息所 请求的信息;受委托设备根据接收的委托设备标识发送所述请求的信息。上述LS可以为负责对权限对象(RO)进行存储、管理和发布的RI; 代理请求所请求的信息可以为请求权限对象、请求加入域、请求离开域、请 求委托起始、请求委托结束等。本发明中,委托设备和受委托设备之间的委托关系所包括的授权还可以 由RI进行认证,则RI在认证通过后委托设备和受委托i殳备之间建立关于该 授权的委托关系。这种情况下,后续交互过程中除本发明的下述流程外,也 可以委托设备自行向RI发送请求消息,而RI在对请求消息处理后直接将所 请求的信息返回给委托设备,由于该流程与现有的流程基本相似,在本发明 中不再详细阐述。以下通过具体实施例对本发明方法进行详细说明,本发明的方法均基于 图1或图2中所示的系统。在下述各具体实施例中,均以LS为RI为例进行说明。在本发明方法的第一实施例中,委托设备和受委托设备分别在RI中注 册相同的用户信息;则受委托设备代理委托设备向RI发送代理请求时,在 该代理请求中设置委托设备信息和受委托设备信息;RI在接收到代理请求
后,根据其中的委托设备信息和受委托设备信息判断两者注册的用户信息是 否相同,如果相同则接收该代理请求,并进行相应处理,在处理完成后,如 果成功,则通过受委托设备,或直接向委托设备返回包括代理请求所请求的信息;如果不成功,则向受委托设备返回拒绝请求的响应消息;否则,如果 不同则RI直接丟弃该代理请求,并向受委托设备返回拒绝接收代理请求的响应消息。本实施例中,代理请求中还可以包括委托设备和受委托设备的数字证 书,则RI除验证用户信息是否相同外,还需要根据委托设备和受委托设备 的数字证书对两者的合法性进行认证,只有在认证通过后,才接收代理请求。本实施例中,代理请求可以是代理加入域请求、代理离开域请求、代理 获取RO请求等,则RI根据代理请求执行对应的将委托设备加入域、离开 ;或或返回RO的处理。以上是对本发明第 一 实施例的说明,其中委托设备和受委托设备无需交 互即完成了委托关系的建立。在本发明方法的第二实施例中,委托设备需要和受委托设备交互建立委 托关系。其中,委托关系由委托设备发起建立,受委托设备直接生成代理请 求并发送给RI, RI对代理请求进行审核,审核通过后将RO通过受委托设 备转发给委托设备。这里,委托设备与受委托设备之间能够直接连接时,交 互情况如图4所示;委托设备与受委托设备之间不能够直接连接时,交互情 况如图5所示。在图4中,首先设备曱作为委托设备创建委托书明文,包括委托方信 息、受委托方信息、以及所委托权限等,对委托书明文进行哈希(HASH) 运算得到数字摘要,设备曱用自己的私钥对数字摘要进行加密得到数字签 名,将数字签名附在委托书信息上,形成授权委托书。然后,在步骤Sl, 设备曱将授权委托书及数字证书传递给设备乙。设备乙从而获得了设备甲的 授权,称为设备曱的受委托设备,因此可代理设备曱执行与RI间上述委托 书中所包括的委托权限的相关业务。 设备乙收到甲授权委托,决定接受设备曱的委托,在步骤S2向RI发出代理请求,说明是受设备甲委托,执行某项业务,并递交设备甲的授权委托 书及曱、乙双方的数字证书。RI接收步骤S2中设备乙发送的代理请求,验证曱、乙双方的数字证书, 证明其合法性,如果有一方数字证书不合法,结束本过程;否则,如果双方 均合法,则RI用设备甲的公钥对设备曱授权委托书的数字签名进行解密, 得到信息摘要,再用与设备曱相同的HASH算法对收到的委托书明文再进行 一次HASH运算,得到一个新的信息摘要,然后将授权委托书中的信息摘要 和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过, 从而确认设备曱对设备乙的授权,进而根据委托书的序列号及数字签名,验 证同一份委托书没有重复使用,如果验证未通过,或是RI拒绝代理请求, 则反馈乙方拒绝的授权响应。若RI接受委托操作请求,设备乙代理设备曱与RI完成相应的业务,其 中,RI以设备曱的公钥对将传递给设备曱的特定信息,如申请的设备RO, 域RO等加密,在步骤Sn- 1装载入给乙方的授权响应中。在RI返回给设备乙的授权响应中可以包括如下信息当前序列号 (Nonce )、设备的标识(DeviceID )、RI的标识(RI ID )、数字签名(Signature )、 证书链(Certificate Chain)和状态值(Status)。其中,Nonce可以取任意 值,可以为至少14字节长,当消息中需要设置当前序列号时,随机的产生 一个当前序列号值;请求消息中包含一当前序列号值,在对应的响应消息中 包含同一当前序列号值,以实现响应消息与请求消息的对应,并防止重放攻 击。设备ID为设备公钥信息的HASH值表示。RI ID为RI公钥信息的HASH 值表示。每条消息的发起者均需对发出的消息进行数字签名,以保证消息的 完整性和安全性;消息的接收者须对消息的数字签名进行验证,若数字签名 验证不成功,说明本消息不完整,丢弃。证书链能够链接到设备的数字证书, 用于对设备进行合法性验证。状态值表示接受请求并成功处理或是请求处理 失败的原因,具体通过列举值来体现。
RI产生的各授权响应中的状态值信息,委托双方设备均可读取,其中 状态列举值为Success时,表示接受请求;另外,本发明在现有的RI响应消 息中携带的状态值列举值的基础上增加了委托拒绝(ProxyDenied )、授权 失岁i: ( Atomeylnexistent) 、 请求.超范围(RequestOverrided )三个歹')举4直, 其中若RI拒绝双方的委托授权关系,返回响应中状态值设为委托拒绝;若 受委托设备在代理请求中,包括代理获取RO、代理加入域等,所申明的委 托授权关系,即委托书不存在,也可能是授权已失效,则返回响应中状态值 设为授权失败;若受委托设备在代理请求,如代理荻取RO、代理加入域 等中所申明的代理事项超出了其依据的委托授权关系中限定的范围,返回响 应中状态值设为请求超范围。另外,RI可只接收已注册的设备来代理其它 设备的委托,受委托设备须已完成在RI注册后,才可以代理其它设备执行 委托操作,若未在RI注册的设备向RI发出某种代理请求消息,RI返回响 应中状态值为未注册(NotRegistered ),受委托设备读取此状态值后,须先 完成注册后,再次发起代理请求。设备乙接收到响应后,在步骤Sn将RI的响应传递给设备甲,设备甲接 收后,可以用自己的私钥对RI的响应中传给曱的特定信息解密。图5与图4所示有连接设备间委托操作的不同之处在于,图5中委托设 备间数字证书及授权书通过存储设备传递。最后生成的响应再由受委托设备 通过存储设备中转,传给委托设备。而在图4中,这两个传递过程均通过网 络协议在设备甲与设备乙之间直接实现。本实施例中,委托设备和受委托设备建立委托关系还可以由RI进行认 证,并且可以结束委托关系,结束委托关系也需要RI进行认证,以下详细 说明。假设有两个网络互接的DRM代理,分别是DRM代理A、DRM代理B, 其中DRM代理B已在RI处注册,并假设DRM代理A已拥有RI的数字证 书及所需的内容标识(CONTENTID)等信息,而DRM代理B、 RI均不拥 有DRM代理A的数字证书。在委托书中,DRM代理A作为委托设备委托
受委托设备DRM代理B代理申请加入域X 、申请某一设备RO、并接受RI 某些单向RO发放,并要求RI生成的委4乇响应须由DRM代理B中转传送 回DRM代理A,此外,还委4t DRM代理B在一定时间后,退出域X。受 委托设备还可以根据自身的情况或在一定时间后单方面中止委托关系。则本 实施例的具体流程如图6所示,包括如下步骤步骤601 、 DRM代理A选4奪DRM代理B作为委托设备,制作委托书, 委托书中标明委托操作权限为加入域、设备RO申请、单向RO申请、退出 域。上述委托操作权限即授权,可以是具体的委托事项,也可以是委托事项 的代号,此外,委托书中还可以包括委托设备ID、受委托设备ID、授权 证书序列号、授权有效期、数字签名,或进一步包括所支持的与密码相关 的算法、所支持的DRM标准版本号、当前日期和当前时间等。假设DRM 代理A与DRM代理B均支持FTP文件传递功能,则它们之间数字证书、 委托书、及委托响应的传递可以通过FTP协议实现。步骤602 、 DRM代理A将委托书、自身数字证书通过FTP协议传递给 DRM代理B。步骤603、 DRM代理B收到DRM代理A委托书、数字证书后,其使 用者可以对委托要求进行审查,决定接受委托操作,从而触发相应的委托操 作协议。DRM代理A的使用者可以口头通知DRM代理B使用者,要求启动委 托操作,也可以由DRM代理B在接收到委托书后自行启动委托操作。步骤604、 DRM代理B向RI发出委托起始请求(ProxylnkRequest), 消息中包含委托设备标识、受委托设备标识、RIID、授权委托书(powerof attorney)等信息,还可以包括数字签名(Signature)、由设备(Entrusted DEVICE )产生的当前序列号和/或委托设备的证书链。这里,DRM代理B发起委托起始请求,须将委托双方的设备ID、委托 设备的授权委托书传给RI,以表明委托授权关系,等待RI的验证与审核。如果RI中已经存在了委托设备和/或受委托设备的数字证书,则向RI
发送的消息中可以不包括对应的数字证书,则RI根据设备标识查找对应的 数字证书后,确认受委托设备和委托设备为合法设备,如果没有查找到则丢弃该消息;否则,在向RI发送的消息中需要设置对应的数字证书,则RI通过数字证书对设备的合法性进行验证。步骤605、 RI根据DRM代理B、 DRM代理A双方的数字证书及委托 书,验证DRM代理A合法性及双方权限,决定是否接受它们之间的委托关系。步骤606、 RI发出委托起始响应(ProxylnitResponse )给DRM代理B。委托起始响应消息至少包含如下信息状态值、委托设备标识 (Entrusting Device ID )、受委托设备标识(Entrusted Device ID ) 、 RIID、 当前序列号、数字签名,可能包含以下信息RI所信任的认证机构(Trusted RI Authorities )。其中,状态值表示当前请求是否成功处理。若不成功,返 回相应的错误信息码。响应中的状态值若为成功表示RI接受该委托授权关 系,可接受后续的代理请求,如委托RO申请等,若错误信息码表示的是 RI拒绝该委托授权关系,受委托设备将响应传给委托方,并且受委托设备 将放弃该委托关系。委托设备ID是委托设备的设备ID,须与对应委托起始 请求消息中的委托设备ID值相同。受委托设备ID是受委托设备的设备ID, 须与对应委托起始请求消息中的受委托设备ID值相同。RI ID用以受委托设 备确认对其发送响应的RI,须与对应委托起始请求消息中的RI ID值相同。 本消息中的当前序列号须与对应的委托起始请求消息中的当前序列号值相 同。数字签名用以对本消息进行完整性验证。RI所信任的认证机构指的是 RI所能接受的认证机构,如果委托方的数字证书不是由RI所能接受的认证 机构所颁发,则将此信息返给委托设备。受委托设备与RI完成上述步骤604至步骤606的委托代理申请协议, 并申请成功后,RI及受委托设备将存储委托授权相关信息,以备执行后续 委托操作并进行权限审查。步骤607、 DRM代理B收到委托起始响应消息后,根据委托设备ID值将RI的委托起始响应传递给DRM代理A,若响应状态不为成功,则DRM 代理B与DRM代理A的本次委4乇关系无效,不再执行所委托的事项,并直 接结束该流程,若响应状态为成功,DRM代理B继续执行委托的事项。这里,如果委托起始响应消息中委托i殳备ID、受委4毛设备ID、 RI ID、 当前序列号有一值不正确,受委托设备将丟弃此响应。此外,如果委托起始 响应状态为成功,则DRM代理B可不将消息转发给DRM代理A而直接执 行步骤608。步骤 608 、 DRM 代理 B 向 RI发送代理加入域请求 (ProxyJoinDomainR叫uest),以向RI发出DRM代理A加入域X的请求, 该消息至少包含如下信息委托设备ID、受委托设备ID、 RI ID、当前序 列号、域标识(Domain Identifier )、数字签名,可能包含授权证书序列号 (Serial Num)。其中,域标识是所申请加入域的标志信息。如果允许委托 双方通过多份委托书实现建立多项委托授权关系,则可将此次请求所依据的 委托书信息(Serial Num )告知RI ,以方便RI验证请求的权限;若消息中 无授权证书序列号参数,RI将依据委托双方设备间所有的委托关系来审查 当前申请的权限。步骤609、若RI接受代理加入域申请,向DRM代理B发出代理加入 域成功的响应(ProxyJoinDomainResponse )消息,以反馈域密钥等信息。该 消息包含状态值、委托设备ID、受委托设备ID、当前序列号、RI ID、 Domain Info、数字签名等。若RI接受代理加入域申请,状态值设为成功, 委托设备ID、受委托设备ID、 RI ID和当前序列号设置为与对应的代理加入 域请求消息中的各参数值相同。Domain Info是本次所申请的域信息,包括 域密钥、域生存期等,RI可以用委托设备的公钥对域密钥加密,保证只有 委托设备才能对其解密获得域密钥。步骤610、 DRM代理B收到代理加入域响应消息后,根据委托设备ID 值将代理加入域响应消息转发给DRM代理A。 DRM代理A获得申请加入 的域信息,如域X的域密钥等,从而可使用本域内的域RO。 如果DRM代理B接收的代理加入域响应消息中委托设备ID、受委托 ^殳备ID、 RI ID、当前序列号有一值不正确,受委4乇i更备将丢弃此响应,并 不向DRM代理A转发。受委4毛设备与RI完成上述步骤608至步骤610的代理加入域协议,并 使DRM代理A获得申请加入的域信息,即完成了代理委托设备加入域的目 的。步骤611 、 DRM代理B发出代理RO请求(ProxyROR叫uest)消息, 以代理委托设备向RI申请一设备RO。代理RO请求消息中包括委托设备 ID、受委托设备ID、 RIID、当前序列号、ROInfo、数字签名,并可以进一 步包括授权证书序列号。步骤612、若RI接受代理RO请求,则向DRM代理B发送代理RO成 功的响应1 ( ProxyROResponse )消息,即设置该消息中的状态值为成功。 ProxyROResponse消息中包括状态值、委托设备ID、受委托设备ID、当 前序列号、RIID、 Protected ROs、数字签名等。若RI处理成功并返回RO, 则状态值设为成功,委托设备ID、受委托设备ID、 RI ID和当前序列号设置 为与对应的代理加入域请求消息中的各参数值相同。如果ProxyROResponse 消息中委托设备ID、受委托设备ID、 RIID、当前序列号有一值不正确,受 委托设备将丢弃此响应。Protected ROs是本次所有委托申请的RO。对于申 请的RO,则RI将以委托设备的公钥对此R0中的特定信息如内容加密密钥 (CEKs)等信息加密,保证只有委托设备才能获取RO中定义的权限。步骤613、 DRM代理B将接收到的代理RO响应1消息根据委托设备 ID值传递给DRM代理A。由于RI以委托设备的公钥对RO中的信息加密, 只有委托设备才能依据此RO对相应的内容解密,所以RO经过其它设备中 转传递不会造成内容的泄密。步骤614、 RI有单向代理RO要向DRM代理A发送,根据自身中存储 的委托授权相关信息向DRM代理A的受委托设备DRM代理B发送代理 RO响应2 ( ProxyROResponse )消息,由其将该消息中转给DRM代理A。
本步骤依据的单向代理RO发放协议用于RI单方向委托设备发放RO,不需要受委托设备或委托设备之前发出请求消息。RI将RO发放给受委托设 备,由其中转给委托设备。在单向代理RO发放协议中,ProxyROResponse 消息包括状态值、委托设备ID、受委托设备ID、当前序列号、RIID、受 保护的权限对象(Protected ROs)、数字签名,这里的委托设备ID、受委托 设备ID和RI ID信息的组合必须与已执行的某一次委托代理申请协议中所 传递的信息组合相同,并且单向代理RO发放属于该次传递的委托书定义的 委托事项之内,否则,受委托设备将丟弃该代理RO响应消息。与代理RO 请求协议中代理RO响应消息相比,本协议中的代理RO响应消息不包含当 前序列号参数值。步骤615、 DRM代理B根据委托设备ID值将接收到的代理RO响应2 传递给DRM代理A。步骤616、根据委托书,DRM代理B在一定时间后,向RI发送代理离 开域i青求(ProxyLeaveDomainRequest)消息,申i青DRM 理A退出域X。本步骤和步骤617所依据的代理离开域协议用以实现受委托设备代理 另一设备离开域操作。在代理离开域协议中,代理离开域请求消息包括状 态值、委托设备ID、受委托设备ID、当前序列号、RIID、域标识和数字签 名,可以进一步包括Serial Num。步骤617、 RI接受上述离开域请求后,向DRM代理B发送退出域成功 的代理退出域响应(Proxy LeaveDomainResponse )消息,设置该消息中的状 态值为成功。该消息中包括状态值、当前序列号、域标识和数字签名等。 其中,状态值表示RI对接收的请求是否成功处理,若RI接受代理离开域 申请,状态值设为成功,否则其值设为相应的错误信息码;当前序列号须与 对应的代理离开域请求消息中的当前序列号值相同,如果此值不正确,受委 托设备将丢弃此响应;Domain Identifier是本次所申请离开域的标志信息。执行上述代理离开域协议后,RI修改相应的域信息。步骤618、 DRM代理B根据委托设备ID值将退出域响应传递给DRM
代理A。步骤619、已经在RI注册的受委4乇设备DRM代理B 4丸行委4乇〗戈理结 束协议,将申请结束的某项委托授权关系,或委托事项信息通过委托结束请 求(ProxyCloseRequest)消息传递给RI,向RI申请该项委托授权关系或委 托事项失效。受委托设备可提前要求中止委托授权关系,或只是中止一个或几个已委 托的委托事项,如中止执行某项单向代理RO发放的委托,这样受委托设备 可实现对委托设备的权限进行停止和修订。为此,提供步骤619和步骤620 的委托代理结束协议实现上述需求。本实施例中,以停止委托关系中的单向RO委托事项为例,DRM代理 B发送的委托结束请求消息中包括状态值、委托设备ID、受委托设备ID、 RIID、当前序列号和数字签名等,还可以进一步包括Serial Num和委托的 事项或相应的代号(Entrusted Items )。由于允许委托双方通过多份委托书建立多项委托授权关系,因此取消某 一委托授权关系时,须标明具体的委托授权关系。这里,以申请失效的授权 证书序列号来标明委托双方的具体委托授权关系。若本消息中不含有授权证 书序列号,可表明取消委托双方所有委托授权关系。此外,若是申请终止某 具体的委托事项,则在此消息中加入Entrusted Items参数,标明所中止的具 体事项。步骤620、 RI接收到委托结束请求消息后,向DRM代理B返回委托结 束响应(ProxyCloseResponse )消息,如果RI接受委托结束请求消息中的请 求,则返回的委托结束响应消息中包括请求成功的信息,如设置状态值为成 功;否则该消息中包括请求失败的信息,如设置状态值为对应的错误代码信息。委托结束响应消息中包括状态值、委托设备ID、受委托设备ID、RI ID、 当前序列号和数字签名等,还可以进一步包括Serial Num和委托的事项或 相应的代号(Entrusted Items )。其中的委托设备ID、受委托设备ID、 RI ID
和当前序列号设置为与对应的委托结束请求消息中的各参数值相同,如果有 一个值不相同,受委托设备将丟弃此响应。受委托设备收到上述委托结束响应消息后,可以根据委托设备ID值将 此响应传递给委托设备。此外,委托设备、受委托设备、RI在完成委托代 理申请协议后,更新其存储的委托授权相关信息。在上述流程中,受委托设备每次接收到来自RI的响应消息后,将接收的响应消息转换成为响应文件后,传输给委托设备。此外,在将响应消息转换成文件传输给委托设备时,受委托设备也可以是在接收到多个来自RI的针对同 一委托设备响应消息后,将这些响应消息转换成一个响应文件发送给 委托设备。在本实施例中,也可以实现多层次的委托授权关系,如图7所示,因为 设备间数字证书及委托书的传递不受D RM安全协议的限制,每增加 一 个委 托层次,即将当前设备的数字证书及当前委托授权关系的授权书与收到的数 字证书及授权书一起传给下一受委托设备,并且最终的受委托设备在发送给 RI的消息中包括每一层的授权委托关系和所有受委托设备的信息。则RI在 验证时对每一层委托授权关系和所有受委托设备进行验证。委托设备(设备 1 )与中间受委托设备(设备2 )、中间受委托设备之间(设备2......),以及中间受委托设备(设备N- 1 )与受委托设备(设备N)之间,既可以通 过网络也可通过中间存储设备传递数字证书及授权书。在上述第二实施例中,委托设备与受委托设备之间的信息交互通过文件 传输的形式实现,而在本发明方法的第三实施例中,委托设备与受委托设备 之间通过信令流程实现信息交互,另外,响应回传的路径也可以不同。 如图8所示,为本实施例的具体流程,包括如下步骤 步骤801 、委托设备DRM代理A选择DRM代理B作为受委托设备。 步骤802、 DRM代理A向DRM代理B发送发起委托关系请求 (ProxySetupRequest)消息,委托操作权限包括加入域、设备RO申请、单 向RO申请、退出域。该消息中包括委托设备ID、受委托设备ID、 RIID、
当前序列号、Serial Num、 Entrusted Items 、授权有效期(period of validity )、数字签名,并可以进一步包含下述各项或下述各项的任意组合证书链、所支持的与密码相关的算法(Supported AlgoriRIthms )、所支持的DRM标准 版本号(Version )、响应回传路径(ResponsePath )、当前日期(Date )、 或当前时间(Time )等。委托设备发起委托关系申请,须标明委托的事项或相应代号、委托有效 期等信息。这些信息既要传送给受委托设备,也需在后续委托操作中,传送 给RI,这样受委托设备及RI才能据此信息对委托权限进行审核。委托的事 项或相应的代号表示委托设备对受委托设备的授权信息,如代理获取RO, 代理加入域,代理离开域,委托撤销委托关系等。若当前时间超出本消息中 标明的有效期范围,委托授权将自动失效。消息中也可包含委托设备的证书 链,若受委托设备已有,可不须传递。同一份委托授权,须保证只能被使用 一次。与第二实施例中采用的方法类似,RI和受委托设备须记录委托的执 行情况。本次方案中RI和受委托设备将整个ProxySetupRequest消息存储下 来,用以后续对委托操作的权限进行审核。这样若同一委托设备、同一序列 号(Serial Number)的委托消息传递给RI两次,RI将其丢弃。RI和受委托 设备可将已过委托有效期的相关的存储记录删除,以节省存储空间。本消息中也可记载委托方所支持的与密码相关的算法信息。告知RI它 所支持的相关能力,以通知RI以委托方所支持的算法处理传给委托方的响 应。Version值用以标明委托设备支持的DRM标准的版本号。响应回传路径 为某一设备的设备ID,以确定RI生成的委托响应的回传路径,若未设置参 数响应回传路径值,则默认为由受委托设备中转。若设有参数响应回传路径, 则RI将委托响应传给由参数响应回传路径确定的设备;这里也可以不包括 响应回传路径,则响应回传路径可以由受委托设备确定后发送给RI,以可 以直接RI来确定。若有效期是以相对时间表示的,则需要授权书中的Date、 Time信息来帮助确定有效期的绝对时间。步骤803、 DRM代理B收到DRM代理A的发起委4乇关系请求后,对
委托要求进行审查,确定是否接受委托操作。步骤804、 DRM代理B将对委托关系申请的审查结果通过发起委托关 系响应(ProxySetupResponse )消息发送给DRM代理A。如果确定4妻收委 托关系请求后,DRM代理B还根据其中的委托事项执行步骤805及其后续这里,如果DRM代理B接受了发起委托关系请求,则将发起委托关系 响应消息中的状态值设置为成功;否则设置为对应的参数。以DRM代理B 接受发起委托关系请求为例,该消息中包括状态值、委托设备ID、受委 托设备ID、 RIID、当前序列号、Serial Number、 Entrusted Items、授权有效 期(period of validity )、数字签名。这里,发起委托关系响应消息中的委托 设备ID、受委托设备ID、 RIID、当前序列号需要与对应的发起委托关系请 求中的对应信息一致;否则,DRM代理A将不接受该响应消息,下述各个 响应消息同样也需要与对应的请求消息中的委托设备ID、受委托设备ID、 RI ID 、当前序列号相对应,否则接受响应消息的设备将丢弃该消息。步骤805 、 DRM代理B向RI发出委托起始请求(Proxy Init R叫uest), 将DRM代理A的委托信息、数字证书等传递RI。本实施例中的委托起始 请求消息与第二实施例中同名消息区别在于,该消息中以Proxylnfo信息代 替power of attorney信息,可以4寻上述ProxySetupRequest消息整体作为 Proxylnfo信息传给RI,以供RI对委托关系进行验证。步骤806、 RI根据接收的委托起始请求消息中携带的DRM代理B、 DRM代理A双方的数字证书及委托信息,验证DRM代理A合法性及双方 权限,决定是否接受它们之间的委托关系。步骤807、 RI将委托启始响应(Proxy Init Response )发送给DRM代理B。这里假设依据响应回传路径准则,RI决定通过受委托设备向委托设备 发送委托起始响应消息。步骤808、 DRM代理B将来自RI的委托启始响应通过转送信息请求(TransferinfoRequest)消息发送给DRM代理A。当然,在步骤806后,如果依据响应回传路径准则,RI直接向委托设备返回委托起始响应消息,则不执行步骤807和步骤808,而是由RI向受 委4乇设备发送通用4义理响应(GeneralProxyResponse)消息,并向委托设备 发出委托起始响应消息,这里向受委托设备返回的通用代理响应消息中包括 状态值、委托设备ID、受委托设备ID、 RIID、当前序列号和数字签名,其 中的委托设备ID、受委托设备ID、 RI ID和当前序列号设置为与步骤805 中的ProxylnitReques消息的对应参数一致。类似地,本实施例中下述各通 用代理响应消息所包括的信息与这里所述的相同,并且其中的委托设备ID 、 受委托设备ID、 RI ID和当前序列号均设置为与对应的来自受委托设备的请 求消息中的对应参数值相同;否则受委托设备机将丟弃接收的通用代理响应 消息。而向委托设备发出的ProxyInit Response消息中不需要包含当前序列 号参数。步骤809、 DRM代理A向DRM代理B发送转发接收确认 (TransfeRInfoResponse )消息,以确认收到转发来的委托响应。该消息包 括状态值、委托设备ID、受委托设备ID、 RI ID、当前序列号和数字签 名。这里的委托设备ID、受委托设备ID、 RIID、当前序列号设置为与DRM 代理A发送的委托起始请求消息中的对应信息一致。如果本响应消息中委 托设备ID、 受委托设备ID、 RI ID、当前序列号有一值与委托起始请求消 息中对应信息不 一致,则受委托设备将丟弃该消息。步骤810、 DRM代理B向RI发送代理加入域请求消息,发起代理DRM 代理A加入域X的请求。该消息所包括的信息与第二实施例中同名消息所 包括的信息基本相同,区别在于这里的参数Serial Num与上述 ProxySetupRequest消息中的Serial Num参凄K直相同。步骤811 、 RI接收到代理加入域请求后,确认DRM代理A可以加入域, 则向DRM代理B发出通用代理响应,设定状态为成功,以通知其处理成功。这里^f叚设依据响应回传路径,RI确定直接向委托设备发送加入域的响应消息。步骤812、 RI将代理加入域响应(ProxyJoinDomainResponse)传递给 DRM代理A, DRM代理A由此获得域X的域密钥等信息。在该代理加入 域响应消息中,不包括当前序列号参凄t 。步骤813、 DRM代理B发出代理RO请求,代理DRM代理A申请一 设备RO。步骤814、 RI向DRM代理B发出通用代理响应消息,告知代理RO申 请的处理结果。类似地,这里假设根据响应回传路径,RI确定直接向委托设备发送加 入域的响应消息。步骤815、 RI将代理RO响应1传递给DRM代理A。若代理RO响应 状态为成功,则响应中包含RO,且RO内的CEKs等信息已用DRM代理A 的公钥加密,该消息中不包括当前序列号参数步骤816、 RI发送给DRM代理A代理RO响应2,将RO单向传给了 DRM代理A。步骤817、 一定时间后,DRM代理B向RI申请代理退出域请求 (ProxyLeaveDomainRequest ) 消息,该消息中的参数 Serial Num 与上述 ProxySetupRequest消息中所标明的Serial Num参数值相同。步骤818、 RI向DRM代理B发出通用代理响应消息。步骤819、 RI将退出域响应(Proxy LeaveDo腦inResponse )消息传递 给DRM代理A,类似地,该消息中不包括当前序列号参数。步骤820、 一定时间后,DRM代理B向RI发送委托终止i青求 (ProxySt叩R叫uest)给DRM代理A,提出终止某一委托关系。该消息中。步骤821、 DRM代理A发ProxyStopResponse消息给DRM代理B,以 确认终止的委托关系。步骤822、 DRM代理B向RI发消息(ProxyCloseRequest)申请结束上 述终止的委托关系。
步骤823、RI向DRM代理B发送委托结束响应(ProxyCloseResponse),确i人终止委托关系。这里委托结束响应消息与第二实施例中同名消息的区别在于,该消息中的Serial Num参数值设置为与上述本实施例中 ProxySetupRequest消息中Serial Num参数值相同。上述步骤811与步骤812之间、步骤814与步骤815之间、步骤818与 步骤819之间可互换顺序。在本实施例中,委托设备若申请废除一个委托授权,可以将终止某委托 关系作为委托的事项,委托一个信任设备执行终止某委托关系的委托操作。 若根据委托书中的日期时间信息或序列号的大小确定出当前委托关系生成 时间晚于所申请撤销的委托书的生成时间,RI可据此废除所申请撤销的委 托授权。若RI信任原委托设备,也可执行终止委托关系协议,要求其再向 RI发出终止该委托关系的申请。与第二实施例中多层次委托的实现方法相似。对于多层次委托应用,本 实施例中所涉及的各个消息同样适用。RI将响应直接传乡合响应回传J各径准 则所确定的目标设备,在RI发出的响应消息中,所包含的信息表示出委托 关系的传承,如包括RI与目标设备间各委托关系中涉及各设备的设备ID, 且这些设备ID按序排列。假定两连续排列的设备ID,前者是委托设备,后 者是受委托设备,接收到包括连续排列的设备ID的设备即可确定这些设备 ID所对应的设备间存在的委托关系。在本发明方法的第四实施例中,由RI向受委托设备发送触发消息触发 受委托设备代理委托设备向RI发送各种请求。本实施例的流程如图9所示,具体包括如下步骤步骤901、 RI向设备B发出触发消息(TRIGGER) , TRIGGER消息 中标明触发其对应的委托设备发起代理请求信息;TRIGGER消息可以采用现有的OMA协议中定义的RoapTRIGGER来 实现,本实施例中在现有的RoapTRIGGER的选项(choice)中新增了五种 携带代理请求相关触发请求的类型,新增类型中具体携带的触发请求事项可 以包括委托起始请求,则设备B接收到该TRIGGER消息后,确定出自身获 取了委托设备的授权后,代理设备A,这里和以下称获取授权对应的委托设 备为设备A,向RI发出委托起始请求消息,RI向设备B发出委托起始响应 消息后,完成一次委4乇代理申请协议的触发执行流程;委托结束请求,则设备B接收到该TRIGGER消息后,确定出自身获 取了设备A的授权后,代理设备A向RI发出委托结束请求消息,RI向设备 B发出委托结束请求消息后,完成一次委托代理结束协议的触发^^行流程;代理RO请求,则设备B接收到该TRIGGER消息后,确定出自身获取 了设备A的对应授权后,执行代理RO请求协议,代理设备A向RI发出代 理RO请求消息,RI向设备发出代理RO响应消息后,完成一次代理RO请 求协议的触发执行流程;代理加入域请求,则设备B接收到该TRIGGER消息后,确定出自身 获取了设备A的对应授权后,代理设备A向RI发出代理加入域请求消息, RI向设备B发出代理加入域响应消息后,完成一次代理加入域协议的触发 4丸行流程;代理离开域请求,设备B接收到该TRIGGER消息后,确定出自身获 取了设备A的对应授权后,代理设备A则向RI发出代理离开域请求消息, RI向设备发出代理离开域响应消息后,完成一次代理离开域协议的触发执4亍流程。此外,还在RoapTRIGGER的序列(S叫uence)中增加了 〈element ,e:设备IDtype二roap:Identifier/〉语句,则在TRIGGER消息中可以设置设 备ID ,用来确定原有的RoapTRIGGER类型所触发的请求消息所对应的设 备。设备收到TRIGGER消息后,如果为原有类型的RoapTRIGGER,则判 断其中的设备ID,如果该设备ID不是本设备的设备ID,且本设备作为受委 托设备已与TRIGGER消息中设备ID对应的设备建立相应的委托关系,则 启动相应的委托协议代理委托设备发起代理请求,如果没有建立相应的委托
关系,则将TRIGGER消息转发给该消息中的设备ID对应的设备,即执行 步骤903;如果是本设备的设备ID,则接收并处理该触发消息。这样即可实现RI将TRIGGER由受委托设备转发给委托设备的功能。步骤902、设备B对设备A的委托关系进行检索,检索当前设备A是 否已授权设备B代为发起上述步骤卯l中的代理请求,如已获得此授权, 转步骤卯6;否则执行步骤903。步骤903、设备B将TRIGGER消息转给设备A,设备A收到设备B 转来的TRIGGER消息后,确认是否要求设备B代为发起委托申请,若要 求设备B代为发起委托申请,或是执行步骤907前需要设备B的认可,执 行步骤卯4;否则,若可直接向RI发起TRIGGER消息中的代理请求信息对 应的请求消息,即执行步骤907。步骤904、设备A向设备B发出委托关系的请求;设备B对设备A 委托关系请求进行审核。步骤卯5、设备B将委托关系请求的审核结果传达到设备A,如果设 备B接受了设备A的委托关系请求,则双方的委托授权成立,可进行后续 的相关委托操作。步骤904和步骤905中是设备A向设备B发出委托关系的请求,本实 施例中也可以由设备B向设备A发出委托关系的请求,则设备A对设备B 的委托关系请求进行审核,并将委托关系请求的审核结果传达到设备B,如 果设备A接受了设备B的委托关系请求,则双方的委托授权成立,可进行 后续的相关委托操作。步骤906、设备B代理设备A向RI发出代理请求;这里的代理请求可 以是委托起始请求、委托结束请求、代理加入域请求、代理离开域请求、或 代理获取RO请求。步骤906也可以由步骤907替代,即设备A直接向RI发出来自RI的 触发消息中所携带的代理请求信息对应的请求消息。步骤908、 RI对代理请求进行合法性审核。RI根据设备A、设备B之间的授权,成其它因素,确定针对代理请求 所产生的委托响应的传递路径,如果确定出需要由设备B将委托响应转发给设备A,则执行步骤909c至步骤911c,然后结束该流程;如果确定出需 要直接将委托响应发送给设备A则执行步骤卯9d和步骤910d,然后结束该流程。步骤909c、 RI将委托响应发送给设备B。本步骤和本流程中下面的其他步骤中的委托响应都是针对步骤卯6中 的代理请求的,具体的代理请求和委托响应中所包括的信息参照前述实施例 中的i兌明。步骤910c、设备B识别出此委托响应是希望发送给设备A的,故将此 委托响应发送给设备A。步骤911c、设备A收到设备B发送的委托响应后,向其发送一应答信息,本步骤可省略。步骤909d、 RI将向设备B发送委托处理状态信息,以确认所收到并处 理的代理请求及处理的结果。步骤910d、 RI直接向设备A发出委托响应;本步骤可以与步骤909d 互换执行顺序。上述流程以设备A、设备B和RI均为DRM系统中设备,即设备A可 以通过消息与设备B和RI交互为例进行说明。此外,在本实施例中,设备 A可以是非DRM系统中设备,即其不能直接与设备B或RI通过消息进行 交互,这种情况下,如图IO所示,其中DRM代理A为委托设备,DRM代 理B为受委托设备,假设DRM代理A与DRM代理B之间通过网络连接, 可以采用FTF协议传输文件,以TRIGGER消息触发代理RO请求为例,本 实施例流程包括具体步骤如下步骤1001 、 RI向DRM代理B发送RoapTRIGGER (代理RO请求) 消息,触发DRM代理B代理DRM代理A获取RO。步骤1002、 DRM代理B此TRIGGER后,检索当前的委托关系记录, 确定已建立有相应的委托授杈关系,则执行歩骤1003;否则直接结東本流 程,或向RI返回拒绝触发消息,然后结束该流程。步骤1003、 DRM代理B代理DRM代理A向RI发出代理RO请求消 息。RI根据DRM代理B、 DRM代理A双方的数字证书及委托书,验证 DRM代理A合法性及双方权限,决定是否接受委托操作;并在步骤1004 向DRM代理B返回Proxy ROResponse消息,将代理RO响应传送给DRM 代理B。步骤1005、 DRM代理B将委托响应转换成响应文件,通过FTP协议将 代理RO响应传送给DRM代理A。在第四实施例中,RI向受委托设备发起触发消息,本发明中,在委托 设备可以直接与RI进行交互的情况下,RI也可以向委托设备发起触发消息。在本发明方法的第五实施例中,由RI向委托设备发送触发消息,由委 托设备将触发消息转发给受委托设备,从而触发受委托设备向RI发送各种 请求。如图11所示,本实施例具体包括如下步骤步骤IIOI、 RI向设备A发出TRIGGER消息,触发设备A向RI发送 请求消息;这里,通常RI向设备A发送的TRIGGER消息为原有的 RoapTRIGGER类型。步骤1102、设备A对当前所有的委托关系进行检索,若检索到与设备 B已建立相应的委托关系,根据具体授权情况,如果必须由设备B代理发送 获取权限对象信息的请求,执行步骤1103a;如果设备A可直接向RI发出 获取权限对象信息的请求,转步骤U06;如果检索到本次代理请求须与设 备B新建立相应的委托关系,转步骤1103b。步骤1103a、设备A向设备B发出TRIGGER触发消息,触发设备B代 为发起该项^f、理请求。这里,设备A可以将向设备B发送的TRIGGER消息设置为上述第四 实施例中新增的RoapTRIGGER类型,则设备B根据新增的类型可以确定出 需要代理设备A发送对应的代理请求;设备A也可以将向设备B发送的 TRIGGER消息设置为原有的Ro叩TRIGGER类型,并在该TRIGGER消息 中设置设备A的设备ID,则设备B根据其中的设备A的设备ID可以确定 出需要代理设备A发送对应的代理请求。步骤1103b、设备A向设备B发出委托关系的请求;设备B对设备A 的委托关系请求进行审核,如审查设备A的合法身份、设备A的权限等。步骤1104b、设备B将委托关系请求的审核结果传达到设备A,如果设 备B接受了设备A的委托关系请求,则双方的委托授权成立,可进行后续 的相关委托操作。步骤1103b和步骤1104b中的发送方和接收方可以互换,即由设备B向 设备A发送委托关系请求,由设备A对委托关系请求进行审核,并将委托 关系请求的审核结果传达到设备B,如果设备A接受了设备B的委托关系 请求,则双方的委托授权成立,可进行后续的相关委托操作。步骤1105、设备B在收到设备A的TRIGGER消息或是完成与设备A 的委托关系建立后,根据具体委托授权,代理设备A发出代理请求,如可 以是代理加入域请求、代理离开域请求、或委托获取权限对象请求。步骤1105也可以由步骤1106替代,即如果达成的委托授权中,委托设 备A可直接向RI发出代理请求,则设备A可采用步骤1106直接向RI发出 代理请求。步骤1107、 RI根据设备B或设备A发来的代理请求,审核该代理请求 的合法性,如审核双方设备的合法性,以及当前的代理请求是否符合授权等。 此外,RI根据设备A、设备B之间的授权,或其它因素,确定针对代理请 求所产生的委托响应的传递路径,如果确定出需要由设备B将委托响应转发 给设备A,则执行步骤1108c至步骤1110c,然后结束该流程;如果确定出 需要直接将委托响应发送给设备A则执行步骤1108d和步骤U09d然后结 束该流程。步骤1108c、 RI将委托响应发送给设备B。
歩骤1109c、设备B识别出此委托响应是需要发送给设备A的,故将此 委4乇响应发送纟会设备A。步骤1110c、设备A收到设备B发送的委托响应后,向其发送应答信息, 本步骤也可以省略。步骤U08d、 RI将向设备B发送委托处理状态信息,以确认所收到并 处理的代理请求及处理的结果。步骤1109d、 RI直接向设备A发出委托响应,本步骤可以与步骤1108d 互换一丸行顺序。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本 发明的保护范围之内。
权利要求
1、一种数字版权管理DRM系统中设备与许可服务器LS交互的方法,其特征在于,该方法包括A、委托设备和受委托设备建立委托关系,受委托设备获取代理委托设备与LS交互的授权;B、受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备所获取的授权对应的信息发送给委托设备。
2、 根据权利要求1所述的方法,其特征在于,所述步骤A中,委托设备 和受委托设备接受默认授权关系建立委托关系,受委托设备根据所述默认授权 获取代理委托设备与LS交互的授权。
3、 根据权利2所述的方法,其特征在于,所述委托设备和受委托设备接受 默认授权关系建立委托关系包括所述委托设备和受委托设备在LS注册相同的授权相关信息; 或包括,在LS注册代理任意委托设备的受委托设备信息; 或包括在LS注册受委托设备信息,并由受委托设备向LS发送其代理的 委托设备的数字证书,或委托设备在LS注册的特定信息。
4、 根据权利要求3所述的方法,其特征在于,所述数字证书中包括设备类 型和/或设备标识;所述委托设备在LS注册的特定信息为设备标识和/或密码。
5、 根据权利要求1所述的方法,其特征在于,所述步骤A中,受委托设 备获取委托设备授权的方法为委托设备和受委托设备交互建立委托关系,受 委托设备从委托设备获取所述授权。
6、 根据权利要求5所述的方法,其特征在于,所述委托设备和受委托设备 建立委托关系包括Al、委托设备生成包括授权信息的建立委托请求,并将建立委托请求通过 文件或信令形式传送给受委托设备;A2、受委托设备接收到所述建立委托请求后,获取其中的授权信息建立委 托关系。
7、 根据权利要求6所述的方法,其特征在于,所述步骤A2中获取授权信 息后进一步包括验证所述授权信息是否符合权限要求,验证通过时建立委托 关系。
8、 根据权利要求7所述的方法,其特征在于,所述建立委托请求中进一步 包括委托设备的数字证书,则所述步骤A2中受委托设备接收到所述建立委 托请求后,根据委托设备的数字证书验证委托设备的合法性,在验证通过后, 执行所述的验证所述授权信息是否符合权限要求的步骤。
9、 根据权利要求5或6所述的方法,其特征在于,该方法进一步包括 受委托设备或委托设备向LS发送包括授权信息,或进一步包括受委托设备和/或委托设备数字证书的委托起始请求;LS接收到所述委托起始请求后,对其中的授权信息进行验证,或进一步对 受委托设备和/或委托设备的数字证书进行验证,在验证通过后向受委托设备或 委托设备发送委托成功的消息;所述受委托设备或委托设备接收到所述委托成功的消息后,获取授权信息 建立委托关系,或将所述委托成功的信息发送给委托设备或受委托设备建立委 托关系。
10、 根据权利要求5或6所述的方法,其特征在于,该方法进一步包括 受委托设备或委托设备向LS发送包括停止的授权信息的委托终止请求,请求停止所述授权信息对应的授权;LS接收到委托终止请求后,停止接受所述授权并向受委托设备或委托设备 发送委托终止成功的消息;所述受委托设备或委托设备接收到所述委托终止成功的消息后,停止与所 述委托设备或受委托设备关于所述请求中包括的授权信息的委托关系,或进一 步将所述委托成功的信息发送给委托设备或受委托设备,则该委托设备或受委 托设备停止与所述受委托设备或委托设备关于所述请求中包括的授权信息的委 托关系。
11、 根据权利要求1所述的方法,其特征在于,所迷授权包括受委托设 备代理委托设备发送请求,受委托设备代理委托设备接收LS主动发送的信息, 受委托设备代理委托设备接收LS根据委托设备请求返回的响应信息,受委托 设备在一定时间内代理委托设备发送请求,受委托设备在一定时间内代理委托 设备接收LS主动发送的信息,受委托设备在一定时间内代理委托设备接收LS 根据委托设备请求返回的响应信息,或以上的任意组合。
12、 根据权利要求11所述的方法,其特征在于,所述授权包括受委托设备 代理委托设备发送请求时,所述步骤B包括受委托设备向LS发送代理请求;LS接收到所述代理请求后对该请求进行 相应处理,并在处理成功后,直接向委托设备发送所请求的信息,或直接向委托设备发送所请求的信息 并向受委托设备返回标识处理状态的响应消息,或向受委托设备发送包括所请 求的信息的响应消息后,由受委托设备将所请求的信息转发给委托设备;所述授权包括受委托设备代理委托设备接收LS主动发送的信息时,所述 步骤B包括LS向受委托设备发送委托设备标识和请求受委托设备代理发送给委托设 备的信息;受委托设备根据接收的委托设备标识发送所述发送给委托设备的信 息;所述授权包括受委托设备代理委托设备接收LS根据请求返回的响应信息 时,所述步骤B包括委托设备向LS发送请求消息;LS根据接收的请求消息进行处理后,向受 委托设备发送包括委托设备标识和所述请求消息所请求的信息;受委托设备根据接收的委托设备标识发送所述请求的信息。
13、 根据权利要求12所述的方法,其特征在于,所迷代理请求包括代理 加入域请求、代理离开域请求或代理获取许可权限信息请求;所述LS主动发 送的信息为许可权限信息;所述委托设备向LS发送的请求消息包括加入 域请求、离开域请求或获取许可权限信息请求。
14、 根据权利要求13所述的方法,其特征在于,所述的代理加入域请求、代理离开域请求或代理获取许可权限信息请求中包括委托设备的标识信息、受委托设备的标识信息和LS标识信息,或进一步 包括当前序列号和/或数字签名;所述标识处理状态的响应消息中包括委托设备的标识信息、受委托设备 的标识信息、LS标识信息和状态信息,或进一步包括与对应的代理请求一致 的当前序列号和/或数字签名;所述包括所请求的信息的响应消息中包括委托设备的标识信息、受委托 设备的标识信息、LS标识信息、请求获取的信息和状态信息;或进一步包括 与对应的代理请求一致的当前序列号和/或数字签名。
15、 根据权利要求11所述的方法,其特征在于,所述LS接收到来自委托 设备或受委托设备的请求后,进行对应的加入域、离开域或获取许可权限信息 的处理后,如果处理失败,该方法进一步包括LS向受委4毛设备或委托设备返 回标识处理失败的响应消息;所述处理失败的响应消息中,通过状态信息标识 处理失败的原因;则所述状态信息包括委托拒绝、授权失效或请求超范围。
16、 根据权利要求1所述的方法,其特征在于,所述步骤A包括委托设 备和中间受委托设备建立委托关系,中间受委托设备获取代理委托设备与LS 交互的授权;所述中间受委托设备与受委托设备建立委托关系,受委托设备通 过中间委托设备获取代理委托设备与LS交互的授权。
17、 根据权利要求16所述的方法,其特征在于,所述中间受委托设备数量 为N个,N为大于l的整数,所述委托设备为第0级设备,与委托设备交互的 中间受委托设备为第一级设备,与所述受委托设备交互的中间设备为第N级设 备,所述受委托设备为第N + 1级设备;则所述步骤A包括第M级设备与第M - 1级设备建立委托关系,从第M - 1级设备获取代理委托设备向LS发送代理请求的授权,其中M为大于0小 于等于N十1的整数。
18、 根据权利要求1所述的方法,其特征在于,该方法进一步包括委托设备向受委托设备发送包括授权信息的委托结束请求,请求结束对该请求中包括的授权信息的委托;受委托设备接收到所述委托结束请求并进行确认,结束所述请求中包括的 授权信息的委托,或进一步向所述委托设备发送响应消息以确认结束所述请求 中包括的授权信息的委托。
19、 根据权利要求1所述的方法,其特征在于,该方法进一步包括 受委托设备向委托设备发送包括授权信息的委托结束请求,请求结束对该请求中包括的授权信息的代理;委托设备接收到所述委托结束请求并进行确认后,结束所述请求消息中包 括的授权信息的委托,或进一步向所述受委托设备发送响应消息以确认结束所 述请求中包括的授权信息的代理。
20、 根据权利要求1所述的方法,其特征在于,所述步骤B包括LS向受委托设备发送触发消息,触发所述受委托设备代理所述委托设备向 LS发送代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。
21、 根据权利要求20所述的方法,其特征在于,所述受委托设备接收到触 发消息后,验证其中的代理请求信息所对应的代理请求是否符合所述受委托设 备获取的所述授权,在验证通过后执行所述的触发步骤。
22、 根据权利要求20所述的方法,其特征在于,所述触发消息中包括通知 受委托设备代理委托设备发送请求消息的代理请求信息,该代理请求信息包括 代理起始请求、委托结束请求、代理获取许可权限信息请求、代理加入域请求 或代理离开域请求;则所述受委托设备根据触发消息中的代理请求信息向LS发送对应的代理 请求。
23、 根据权利要求20所述的方法,其特征在于,所述触发消息中包括通知 受委托设备代理委托设备发送请求消息的委托设备标识,则所述受委托设备接 收到所迷触发消息,确定出其中包括的委托设备标识为该受委托设备代理的委 托设备的标识后,代理对应的委托设备向LS发送所述触发消息对应的代理请求。
24、 根据权利要求1所述的方法,其特征在于,所述步骤B包括LS向委托设备发送包括请求信息的触发消息,触发所述委托设备通过受委 托设备向LS发送所述请求信息对应的代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。
25、 根据权利要求24所述的方法,其特征在于,所述的触发消息中包括 设备标识;则接收到所述触发消息的委托设备如果确定出需要由所述受委托设备代理 发送请求后,生成包括自身设备标识和所述请求信息,或生成包括所述请求信 息对应的代理请求信息的触发消息,并将生成的触发消息发送给受委托设备;所述受委托设备根据接收的触发消息代理所述委托设备向LS发送代理请求;LS接收所述代理请求,并验证成功和在成功处理该请求后,将所请求的信 息直接或通过受委托设备发送给所述委托设备。
26、 根据权利要求24所述的方法,其特征在于,所述触发消息中的请求信 息为加入域请求信息、离开域请求信息或获取许可权限信息请求信息;则所 述发送给受委托设备的触发消息中的代理请求信息对应为代理加入域请求信 息、代理离开域请求信息或代理获取许可权限信息请求信息。
27、 根据权利要求24所述的方法,其特征在于,所述触发所述委托设备通 过受委托设备向LS发送所述请求信息对应的代理请求包括委托设备向受委托设备发送委托关系请求,受委托设备对接收的委托关系 请求审核通过后,代理所述委托设备向LS发送所述请求信息对应的代理请求。
28、 根据权利要求1所述的方法,其特征在于,所述步骤B包括LS向委托设备发送包括请求信息的触发消息,委托设备根据接收的触发消息中的请求信息向LS发送请求消息;LS接收所述请求消息,并验证成功和在成功处理该请求后,将所请求的信 息通过受委托设备发送给所述委托设备。
29、 一种DRM中实现设备与LS交互的系统,其特征在于,该系统包括 委托设备、受委托设备和LS;其中,委托设备和受委托设备建立委托关系,受委托设备获取代理委托设备与LS 交互的授权;受委托设备根据所述获取的授权与所述LS交互,LS将与受委托 设备所获取的授权对应的信息发送给委托设备。
30、 根据权利要求29所述的系统,其特征在于,所述委托设备与受委托设 备建立委托关系包括委托设备将包括委托授权信息,或进一步包括委托设备信息的委托信息发 送给受委托设备建立委托关系。
31、 根据权利要求30所述的系统,其特征在于,委托设备通过文件传输协 议或中间存储设备将文件形式的所述委托信息传送给受委托设备;或者,委托 设备通过网络协议将信令形式的所述委托信息传送给受委托设备。
32、 根据权利要求29所述的系统,其特征在于,委托设备与受委托设备建 立委托关系包括委托设备和受委托设备在LS中设置授权相关信息建立委托关系。
33、 根据权利要求29所述的系统,其特征在于,所述受委托设备与所述委 托设备之间包括中间受委托设备;所述中间受委托设备与所述委托设备建立委托关系,获取代理委托设备与 LS交互的授权;所述中间受委托设备与所述受委托设备建立委托关系,受委托 设备获取代理委托设备与LS交互的授权。
34、 根据权利要求33所述的系统,其特征在于,所述中间受委托设备数量 为N个,N为大于1的整数,所述委托设备为第O级设备,与委托设备交互的 中间设备为第一级设备,与所述受委托设备交互的中间设备为第N级设备,所 述受委托设备为第N+ 1级设备; 则第M级设备与第M - 1级设备建立委托关系,从第M - 1级设备获取代 理委托设备与LS交互的授权,其中M为大于0小于等于N + 1的整数。
35、 根据权利要求29所述的系统,其特征在于,所述LS进一步向所述受 委托设备发送包括代理请求信息,或包括请求信息和委托设备标识的触发消息; 所述受委托设备根据所述触发消息中的代理请求信息或委托设备标识,和所述 获取的授^l向LS发送代理请求;LS对接收的代理请求进行验证和处理,并直 接或通过受委托设备向委托设备返回所述代理请求所请求的信息。
36、 根据权利要求29所述的系统,其特征在于,所述LS进一步向所述委 托设备发送包括请求信息的触发消息;则所述委托设备根据所述触发消息向受委托设备发送包括所述请求信息对 应的代理请求信息或包括自身设备标识和所述请求信息的触发消息;所述受委 托设备根据来自委托设备的触发消息代理所述委托设备向LS发送代理请求; 所述LS根据接收的代理请求直接或通过受委托设备将所请求的信息发送给所 述委托设备;或者所述委托设备根据所述触发消息向受委托设备发送委托关系请求,受 委托设备对接收的委托关系请求进行审核,并根据审核通过的结果代理所述委 托设备向LS发送所述请求信息对应的代理请求;或者所述委托设备根据所述触发消息向LS发送所述请求信息对应的请求 消息,LS根据接收的请求消息将所请求的信息通过所述受委托设备发送给所述 委托设备。
37、 根据权利要求29所述的系统,其特征在于,所述受委托设备根据所述 获取的授权与所述LS交互,LS将与受委托设备所获取的授权对应的信息发送 给委托设备包括受委^^设备基于所述授权生成代理请求,并将生成的代理请求发送给LS; LS对接收的代理请求进行验证和处理,并直接或通过受委托设备向委托设 备返回所述代理请求所请求的信息。
38、 根据权利要求29所述的系统,其特征在于,所述受委托设备根据所述 获取的授杈与所述LS交互,LS将与受委托设备所获取的授权对应的信息发送 给委托设备包括委托设备向LS发送请求消息;LS对接收的请求消息进行处理,并通过受 委托设备向委托设备发送所述请求的信息。
39、根据权利要求29至38中任一所述的系统,其特征在于,所述设备为 DRM终端。
全文摘要
本发明公开了一种数字版权管理系统中设备与许可服务器LS交互的方法,该方法包括A.委托设备和受委托设备建立委托关系,受委托设备获取代理委托设备与LS交互的授权;B.受委托设备根据所述获取的授权与所述LS交互,LS将与受委托设备所获取的授权对应的信息发送给委托设备。本发明还公开了一种数字版权管理中设备与LS交互的系统。本发明中通过与LS有连接的受委托设备直接代理了委托设备,从而实现了有连接设备直接代理另一设备,使另一设备获取所需要的信息;此外,本发明中委托设备和受委托设备可以通过文件传输的方式进行信息交互,从而无需委托设备、受委托设备和LS同时在线,仍然实现了委托设备从LS处获取其需要的信息。
文档编号G06F21/00GK101118578SQ20061010386
公开日2008年2月6日 申请日期2006年8月4日 优先权日2006年8月4日
发明者沛 党, 冯雯洁, 晨 周, 周志鹏, 周皓隽, 张仁宙, 李益民 申请人:华为技术有限公司