域内分组控制内容消费的方法、系统和设备的制作方法

专利名称：：域内分组控制内容消费的方法、系统和设备的制作方法
技术领域：
：本发明涉及数字版权管理(DRM)领域，尤其涉及域内分组控制内容消费的方法、系统和设备。
背景技术：
：数字版权管理(DRM)主要通过权限控制和内容保护方案来控制数字内容的消费，保护内容所有者的合法权益。数字内容发行者(ContentIssuer,CI)将数字内容加密后，用户将加密的数字内容数据包下载到DRM设备上；许可服务器(RightsIssuer,RI)负责分发与数字内容相对应的许可证(RightsObject,RO)，其中包括内容解密密钥及对应的权限。DRM终端只有同时拥有内容数据包和许可证，才能正常消费所购买的数字内容。为了方便进行许可证的分发和管理，DRM系统中引入了域的概念。域是一组DRM设备的集合，例如，一个家庭或者一个公司中的设备。同一个域中的DRM设备共享一些域信息，包括一个唯一的域标识符、域名、用来解密域许可中敏感信息的域密钥等等。许可服务器为域发行许可(称为域许可)时，利用域密钥对许可中敏感信息进行封装，从而域内成员可以借助域密钥获得内容加密密钥，消费数字内容；而非域成员由于无法获得域密钥，则不能消费数字内容。域内设备在域内地位平等，即各域设备可任意消费该域的域许可对应的内容。在一个域中，还可以再创建多个域(子域)，用户可以为每个子域购买相应的域许可。例如，如图l所示，域l中创建了几个较小的子域(子域1，子域2),实现了域l中不同的设备对域中的内容具有不同的消费权限。本专利的发明人发现，为域中的多个子域或者同时在多个子域中的设备申请同样的内容，需要申请多个域许可或者创建另外的域，申请多个域许可会造成用户重复消费，而创建子域过多，域管理器需要维护多个域的域信息(如域密钥等)，造成域管理器的开销很大。
发明内容本发明实施例提供域内分组控制内容消费的方法、设备和系统，实现对内容消费的灵活控制。本发明实施例提供一种域内分组控制内容消费的方法，包括设备获取设备分组信息；获取包含分组限制信息的分组域许可；判断所述分组限制信息和所述设备分组信息相匹配，根据所述分组域许可消费内容。本发明实施例还提供一种域内分组控制内容消费的设备，包括分组模块，用于获取设备分组信息；许可模块，用于获取包含分组限制信息的分组域许可；控制模块，用于判断所述分组限制信息和所述设备分组信息匹配，根据所述分组域许可消费内容的模块。本发明实施例还提供一种实现域内分组控制内容消费的系统，包括域管理器、许可服务器，其中域管理器用于维护域内分组及组内设备成员关系信息，在收到设备发送的分组请求消息后，返回分组应答消息；许可服务器用于生成包含分组限制信息的分组域许可，在收到设备发送的分组域许可请求消息后，返回所述包含分组限制信息的分组域许可。本发明实施例还4是供一种域内分组控制许可分发的方法，包括域管理器设置设备分组信息；设置域许可的分组限制信息；判断所述设备分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备。本发明实施例还提供一种域内分组控制许可分发的装置，包括用于设置设备分组信息的模块；用于设置域许可的分组限制信息的模块；用于判断所述设备的分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备的模块。与现有技术相比，本发明实施例提供的方法实现了对域内设备分组，方便地由域管理员控制域内设备对域许可对应内容的消费，避免用户重复购买域许可，节省了域管理器维护多个域的开销。组限制可针对域许可中的具体权限分别设置，控制更加灵活。提供了域和组两级划分，提高了用户体验。图1为现有技术域内创建多个子域的示意图；图2为本发明实施例域内分组消费内容的示意图；图3为本发明实施例实现域内分组控制内容消费的系统的结构示意图；图4为本发明实施例域管理器触发设备获取分组信息的流程示意图；图5为本发明实施例设备发起的获取分组信息的流程示意图；图6为本发明实施例设备获取分组域许可的流程示意图；图7为本发明实施例一个域设备的结构示意图；图8为本发明实施例域内分组控制许可分发的系统的结构示意图。具体实施方式为了使本
技术领域：
的人员更好地理解本发明，下面结合附图对本发明作进一步的详细说明。为了更好的控制域内设备对内容的消费，在域内设置若干分组，每个分组分配一个该域内唯一的组标识。每个分组可以包括若干i殳备，一个设备可以属于多个分组，一个设备也可以不属于任何分组。在生成许可时，可以按分组来设置域设备对该许可对应内容的消费权限。如图2所示，是本发明实施例的域内分组消费内容的示意图。域l中包含4个设备设备l、设备2、设备3、设备4;在域l中创建了两个分组组l、组2;组1包括设备1和设备2,组2包括设备2和设备3。每个设备都保存有自己的分组信息，其中包括设备所属的组的标识等，例如，设备l保存分组信息记录自己属于分组1,设备2保存分组信息记录自己属于分组1和分组2。用户为该域购买了三个RO:ROl，R02，R03，分别对应内容DCF1，DCF2,DCF3。用户购买时限定了以下权限ROl对应的内容由组1或者组2中的设备消费，R02对应的内容由同时属于组l和組2中的设备消费，R03对应的内容由组2中的设备消费。关系如下表l所示<table>tableseeoriginaldocumentpage8</column></row><table>表1因此，设备1可消费DCF1，设备2可消费DCF1、DCF2、DCF3,设备3可消费DCF1、DCF3，设备4不能消费这3个内容。图3所示的是本发明实施例的系统的结构示意图。系统包括域管理器、许可服务器，其中域管理器用于根据域策略维护域内分组及组内设备成员关系信息，在收到设备发送的分组请求消息后，返回分组应答消息；许可服务器用于生成包含分组限制信息的分组域许可，并在收到设备发送的分组域许可请求消息后，返回给设备所述包含分组限制信息的分组域许可。域管理器和许可服务器可以位于不同的物理实体中，也可以位于同一物理实体，例如，位于同一计算机中。设备获取设备分组信息和包含分组限制信息的分组域许可并判断所述分组限制信息和所述设备分组信息相匹配后，根据所述分组域许可消费内容。域管理器提供创建域和域内分组的功能，如可以通过客户端或者web页等方式给用户提供创建域及分组的各参数，包括设置域名称、域策略等。域策略包括域是否为分组域、域中最多可包含多少个组等信息。其中，域是否为分组域、最多可包含多少个组等信息可由域管理员人工设置，也可由域管理器的默认值自动设置。域生成后，可以创建域内分组，包括组名、分配的组标识等参数，还可以进一步设置分组中包含的域设备，域管理器保存分组及组内设备的成员关系信息。例如，对图2所示的实施例，域管理器保存如下表2所示的分组信息<table>tableseeoriginaldocumentpage9</column></row><table>表2域管理器配置将设备加入域内分组后，可以向设备发送一个触发消息，触发设备获取分组信息的流程。图4所示的是本发明实施例域管理器触发设备获取分組信息的流程示意图，包括S101,域管理器向加入分组的设备发送一个获取分组信息触发消息，消息中可以包括域标识等；对应表2所示的实施例，域管理器可分别向设备l、2、3发送触发消息。S102，设备接收到上述获取分组信息触发消息后，向域管理器发送分组信息请求消息；S103，域管理器向设备返回分组信息应答消息，应答消息中可以包括域标识、分组信息(如设备所属的一个或者多个分组的标识)等。设备接收到分组信息应答消息后，将分组信息保存在安全存储区中，保证不被篡改。上述图4所示流程也可以用于更新分组信息的情况，分组信息可根据需要更新，既可以4巴设备加入分组，也可从分组中去除一些设备。对分组信息的更新同样可以通过客户端或者web页的方式在域管理器中进行修改配置，增加或去除组中包含的设备，或者增加、删除分组等。域管理器存储更新后的分组信息，可以通知此次更新影响到的设备，例如，对表2所示的分组信息，所进行的更新是删除组2,则域管理器通知设备2现在只属于组1，通知设备3现在不属于任何组，设备1由于不受影响，不必发通知。设备接收到S103中的域管理器发送的更新后的分组信息后，覆盖原来保存的分组信息。对于设备加入域内分组以及更改设备所属的分組，也可以不由域管理器发起，而是由用户直接操作设备或者设备根据接收到的其它域设备共享的域许可中的域信息直接请求获取分组信息。这种情景下，步骤S101不需要，设备直接向域管理器发送分组信息请求消息，其中需包含域标识，域管理器返回应答消息，其中包^S殳备的分组信息。或者，域管理器可以不通过触发消息触发设备获取分组信息，而直接将设备分组信息发送给设备。这种情景下，步骤101和步骤102不需要，域管理器直接向设备发送设备的分组信息。对于设备加入域内分组以及更改设备所属的分组，可由用户直接操作设备请求加入分组，或者设备根据接收到的其它域设备共享的域许可中的域信息和分组限制信息直接发起分组信息请求消息。这样，设备直接向域管理器发送分组信息请求消息，请求消息中包含请求加入的分组的标识。例如，在表2所示的实施例中，域内还有设备4，可以由设备4发起请求加入组1和组2,请求消息中包含组l标识、组2标识；设备2可以发起请求不再属于组2，请求消息中包含组1标识；设备3可以请求不再属于组2，请求消息中分组标识为null，表示设备3请求不属于任何组。如图5所示的是本发明实施例设备发起的获取分组信息的流程示意图，包括S201:设备向域管理器发送分组信息请求消息，该请求消息中包含设备标识、域标识、分组信息(如设备所属的一个或者多个分组的标识)等；S202:域管理器收到分組信息请求消息后，根据域策略或者与域管理员的交互判断是否允许该设备的分组信息请求，如果允许，则更新保存的分組及组内设备的成员关系信息。域管理器向设备返回分组信息响应消息，响应消息中包括响应状态，如"成功"或者"失败"，表明域管理器对请求消息的处理结果，如果状态为成功，设备收到响应后相应地更新存储的设备分组信息。上述分组信息请求也可以与设备的加入域请求消息为同一消息，即设备在请求加入域的同时请求分组信息。请求消息中包含域标识，域管理器在返回消息中包含域相关信息(如域密钥，域有效期等)和设备分组信息。可以通过客户端或者web页等方式，在许可服务器上定购所需的域许可，用户在定购域许可时可以为许可或者许可中的部分权限设置分组限制。分组限制表示可使用相关权限的设备的分组信息，只有满足限制条件的设备才可根据相应权限消费内容。许可服务器生成包含分组限制信息的分组域许可。许可服务器可以从域管理器获取域内分组信息，根据域内分组信息和分组限制信息，向有权限的分组中的设备发送一个触发消息，触发设备获取许可的流程。例如，在表1所示的实施例中，生成的许可ROl的分组限制是组1或组2，根据域内分组信息，"组1或组2"共包含3个设备(设备1、2、3),许可服务器分别向设备l、2、3发送分组域许可ROl的触发消息。许可服务器也可以不向所有满足权限限制的设备发送触发消息，触发器只发给购买许可的设备，该设备获得许可后，可以将该许可共享分发给其他设备。图6所示的是本发明实施例设备获取分组域许可的流程示意图，包括S301:许可服务器向设备发送一个分组域许可触发消息，触发消息中包含了分组域许可标识。S302:设备接收到分组域许可触发消息后，向许可服务器发送分组域许可请求消息，消息中包含域标识、设备标识、域许可标识。S303:许可服务器向设备返回分组域许可应答消息，应答消息中携带了包含分组限制信息的分组域许可。上述图6所示分组域许可获取过程是由许可服务器通过触发消息触发的，获取分组域许可也可以由设备直接发起，例如用户直接操作设备请求获取分组域许可，这种情景下，步骤301不需要，设备直接向许可服务器发送域许可请求消息(其中的域许可标识可以通过与许可服务器或其他域设备的交互获得)，并接收返回的应答消息，获得分组域许可。或者，许可服务器可以不通过触发消息触发设备获取分組域许可，而直接将分组域许可发送给设备。这种情景下，步骤301和步骤302不需要，许可服务器直接向设备发送分组域许可。设备获得该分组域许可后，可通过与其他域设备的交互，将所述分组域许可与域中的其他设备共享，例如，可以将许可放在内容后面一起传给其他域设备。设备按照许可中的权限消费对应的内容时，比较设备的分组信息和该权限的分组限制信息，当它们匹配时，允许按照该权限消费相应的内容，否则禁止消费。图7所示的是域设备的一个实施例的结构示意图，包括分组模块、许可模块、控制模块，其中分组模块，用于获取设备分组信息；许可模块，用于获取包含分组限制信息的分组域许可；控制模块，用于判断所述分组限制信息和所述设备分组信息匹配，根据所述分组域许可消费内容的模块。分组模块通过与域管理器的交互获取设备分组信息。许可模块从许可服务器获取包含分组限制信息的分组域许可；或者从另一设备获取包含分组限制信息的分组域许可。本发明的另一个实施例是由域管理器根据分组来进行域许可的分发，域管理器设置设备分组信息、设置域许可的分组限制信息，并判断所迷设备分组信息与所述域许可的分组限制信息是否匹配，如果相匹配，则将域许可发送给设备。相应的，本发明的一种域内分组控制许可分发的装置的实施例包括用于设置设备分组信息的模块；用于设置域许可的分组限制信息的模块；用于判断所述设备分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备的模块。图8所示的是本发明一个实施例，由域管理器统一从许可服务器获取域许可，域设备从域管理器请求域许可，域设备之间不共享域许可。设备分组信息和许可的分组限制信息由域管理器管理。域管理器将域中的设备分配到相应的组中，并为从许可服务器获取的域许可设置分组限制。在设备向域管理器请求域许可或者用户操作域管理器向设备发送域许可时，域管理器判断设备的分组信息是否满足请求的域许可的限制，如果满足则发送域许可，否则不发送。这样，设备无需保存分组信息，许可中也无需设置分组限制。也可以在设备或者用户浏览域许可和相应内容时根据设备的分组信息进行过滤，只能浏览可用的域许可和相应内容。例如，对于图2的实施例，域管理器保存如下表3中所示的域内设备分组信息和表4中所示的域许可使用限制信息。<table>tableseeoriginaldocumentpage13</column></row><table>表3<table>tableseeoriginaldocumentpage13</column></row><table>表4设备在域管理器浏览域l中的许可时，设备l只属于组l，只能浏览ROl及对应的内容；设备2属于组1和组2，可以浏览ROl、R02、R03及对应的内容；设备3只属于组2，可以浏览ROl、R03及对应的内容；设备4不属于任何分组，不能浏览任何域许可和内容。如果设备2请求R02，域管理器判断R02只能被同时在组1和组2中的设备使用，而设备2既在组1中也在組2中，满足许可的分組限制，因此域管理器返回R02给设备2。如果设备1获取DCF2后，为了使用DCF2，向域管理器请求获取R02,域管理器判断设备1只属于组1,不属于组2，而R02只能被同时在组1和组2中的设备使用，因此域管理器拒绝设备1的请求。下面描述一个包含分组限制信息的域许可的实施例。可以使用〈groups〉来限定，〈groups〉可为RO中〈constraint〉的子元素，或者为〈Keylnfo〉的子元素。当〈groups〉为〈constraint〉的子元素时，卩艮制i殳备能否4姿照该〈constraint〉所属的权限消费内容，当为〈Keylnfo〉的子元素时，限制设备能否按照该许可中的所有权限消费内容。如表3所示。<table>tableseeoriginaldocumentpage14</column></row><table>gid(跳DATA)〉费相应内容的设备组标识,表3例如，用户甲创建一个家庭域，域中包括家中多个设备(PC机、手机、PDA等)和曱的朋友的设备，可以方便地在这些设备上共享域许可，但是某些情况下曱希望区分这些设备对域许可对应内容的消费权限，如可以把设备分为家人组和朋友组，成人组和儿童组，学习组和娱乐组等等。曱创建一个包含多个组的家庭域，家里的设备为组l，朋友的设备为组2，大人的设备为组3，孩子的设备为组4，用于学习的设备为组5，用于娱乐的设备为组6，等等。某个设备可以同时属于多个组，如卧室的电视可属于组l和组6,孩子学习用的PDA可属于组1，组4和组5。曱购买了一个电影的包含分组限制信息的域许可，该许可限制只有组3(组ID为gsh63TAs5w63jARhj45g)的设备或者同时属于组4(组ID为54FDSG5sgRTry546ryDy)和组6(组ID为ujEQk452aeAFVY65AGRE)的设备才能使用〈play〉权限，许可的片断如下〈rightsid=rights001>〈asset〉<permission〉<play〉〈constraint〉〈groups〉〈group〉〈gid〉gsh63TAs5w63jARhj45g〈/gid〉〈group〉〈gro叩〉〈gid〉54FDSG5sgRTry546ryDy〈/gid〉〈gid〉ujEQk452aeAFVY65AGRE〈/gid〉<group〉</groups〉</constraint>〈/play〉〈/permission〉</asset></rights〉这样，大人的设备属于组3，可以观看该电影，孩子娱乐用的设备属于组4和组6，也可观看此电影，而孩子学习用的设备既不属于组3，也不属于组6，因此不能观看此电影。曱想把自己拥有的某个设备送给孩子使用，可配置域管理器将该设备退出组3,力口入组4。由上述实施例可见，本发明实现了对域内设备分组，方便地由域管理员控制域内设备对内容的消费，避免用户重复购买域许可，节省了域管理器维护多个域的开销。分组限制可针对许可中的各具体权限分别设置，增加了权限控制的灵活性。域管理器配置好分组信息后，由设备自动控制对内容的消费，减少了用户参与，域和分组的两级权限划分控制，为设备的管理提供了清晰的组织结构，提高了用户体验。明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。权利要求1.一种域内分组控制内容消费的方法，其特征在于，包括设备获取设备分组信息；获取包含分组限制信息的分组域许可；判断所述分组限制信息和所述设备分组信息相匹配，根据所述分组域许可消费内容。2、如权利要求1所述的方法，其特征在于，所述获取设备分组信息具体包括设备接收域管理器发送的设备分组信息。3、如权利要求2所述的方法，其特征在于，设备向域管理器发送分组信息请求消息后，接收到所述域管理器发送的分组信息应答消息，所述分组信息应答消息中包^i殳备分组信息。4、如权利要求3所述的方法，其特征在于，设备接收到域管理器发送的获取分组信息触发消息，触发所述向域管理器发送分组信息请求消息。5、如权利要求1所述的方法，其特征在于，所述获取设备分组信息具体包括设备向域管理器发送分组信息请求消息，所述分组信息请求消息中包含设备分组信息；接收域管理器返回的包含响应状态的分组信息应答消息，如果响应状态为成功，保存所述设备分组信息。6、如权利要求3至5任一项所述的方法，其特征在于，所述分组信息请求消息与加入域请求消息为同一个消息，所述分组信息应答消息与加入域应答消息为同一个消息。7、如权利要求1所述的方法，其特征在于，还包括设备获取设备分组信息后，保存所述获取的设备分组信息；如果已有设备分组信息，则用所述获取的设备分组信息替换所述已有的设备分组信息。8、如权利要求1所述的方法，其特征在于，所述获取包含分组限制信息的分组域许可具体包括设备接收许可服务器发送的包含分組限制信息的分组域许可。9、如权利要求8所述的方法，其特征在于，设备向许可服务器发送分組域许可请求消息后，接收到所述许可服务器发送的包含分组限制信息的分组域许可。10、如权利要求9所述的方法，其特征在于，设备接收到分组域许可触发消息，触发所述向许可服务器发送分组域许可请求消息。11、如权利要求l所述的方法，其特征在于，所述获取包含分组限制信息的分组域许可是通过与另一设备共享获取的。12、一种域内分组控制内容消费的设备，其特征在于，包括分组模块，用于获取设备分组信息；许可模块，用于获取包含分组限制信息的分组域许可；控制模块，用于判断所述分组限制信息和所述设备分组信息匹配，根据所述分组域许可消费内容。13、如权利要求12所述的设备，其特征在于，所述分组模块通过与域管理器的交互获取设备分组信息。14，如权利要求12所述的设备，其特征在于，所述许可模块从许可服务器获取包含分组限制信息的分组域许可；或者从另一设备获取包含分组限制信息的分组域许可。15、一种实现域内分组控制内容消费的系统，其特征在于，包括域管理器、许可服务器，其中域管理器用于维护域内分组及组内设备成员关系信息，在收到设备发送的分组请求消息后，返回分组应答消息；许可服务器用于生成包含分组限制信息的分组域许可，在收到设备发送的分组域许可请求消息后，返回所述包含分组限制信息的分组域许可。16、如权利要求15所述的系统，其特征在于，域管理器和许可服务器位于同一物理实体中。17、一种域内分组控制许可分发的方法，其特征在于，包括域管理器设置设备分组信息；设置域许可的分组限制信息；判断所述设备分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备。18、如权利要求17所述的方法，其特征在于域管理器接收到设备发送的获取域许可请求后，执行所述判断设备分组信息与域许可的分组限制信息相匹配。19、如权利要求17所述的方法，其特征在于接收到设备请求浏览域许可的消息时，返回分组限制信息与设备分组信息相匹配的域许可的信息。20、一种域内分组控制许可分发的装置，其特征在于，包括用于设置设备分组信息的模块；用于设置域许可的分组限制信息的模块；用于判断所述设备的分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备的模块。全文摘要本发明公开了一种域内分组控制内容消费的方法，包括设备获取设备分组信息；获取包含分组限制信息的分组域许可；判断所述分组限制信息和所述设备分组信息相匹配，根据所述分组域许可消费内容。相应的公开了一种域内分组控制内容消费的设备和系统。本发明还公开了一种域内分组控制许可分发的方法，包括域管理器设置设备分组信息；设置域许可的分组限制信息；判断所述设备分组信息与所述域许可的分组限制信息相匹配，将域许可发送给设备。本发明公开的技术方案实现了对域内设备分组，提供了对内容消费权限的灵活控制，提高了用户体验。文档编号G06Q30/00GK101261670SQ200710073059公开日2008年9月10日申请日期2007年3月7日优先权日2007年3月7日发明者沛党,冯雯洁,周志鹏,周皓隽,张仁宙,李益民,陈大港,晨黄申请人:华为技术有限公司