专利名称:一种硬件安全单元的数字水印产生方法及系统的制作方法
技术领域:
本发明涉及硬件安全单元,尤指一种硬件安全单元的数字水印产生方法及系统。
背景技术:
数字版权管理(DRM)是指运用各种加密手段保证数字对象(包括文字、图像、音
频、视频等各种形式)在传输和使用过程中的安全,通过授权认证机制,防止非法用户使
用。DRM用于保护和管理数字资源,保障版权所有者及传播者等各方的利益。 简单而言,DRM可以让所有用户传播密文,但密钥被DRM授权系统掌握,只有授权
用户才会被准许拿出密钥。当一个授权用户想要阅读受保护的媒体内容时,必须向DRM中
心申请,获得批准后,才会得到密钥授权。在DRM单一终端的使用模式下,授权用户使用该
密钥解密该用户已下载到本地的密文媒体文件,生成可以阅读的明文信息。 如果用户去音像店买CD,然后自行转录成MP3,在自己的MP3设备播放一样,法律
并不禁止用户的这种行为。 同样的,高清片源容量巨大(30GB 50GB —部片子),并不能在用户所有的设备 上播放。比如用户希望可以在自己的MP4播放器上播放已经付费并下载的电影,但用户的 MP4只支持MPGE4格式的电影,且MP4只有4G容量。这就不可避免的牵扯到用户的转录行 为。 因此,如何有效地识别用户的转录行为,防止侵权现象的发生,是本领域技术人员 亟需解决的技术问题。
发明内容
本发明的目的是提供一种硬件安全单元的数字水印产生方法和系统,用于产生数 字水印,有效地识别用户的转录行为。 —方面,本发明提供一种硬件安全单元的数字水印产生方法,所述方法包括
接收来自数字版权管理服务器的第一密钥;
获得硬件安全单元平台信息; 依据所述第一密钥和所述硬件安全单元平台信息生成数字水印。 优选地,在依据所述第一密钥和所述硬件安全单元平台信息生成数字水印的步骤
之前包括 获得用数字版权管理服务器发布的认证中心证书; 使用所述认证中心证书对所述第一密钥和所述硬件安全单元平台信息签名,获得 签名结果; 依据所述第一密钥和所述硬件安全单元平台信息生成数字水印的步骤,具体为
依据所述第一密钥,所述硬件安全单元平台信息和所述签名结果生成数字水印。
优选地,所述依据所述第一密钥,所述硬件安全单元平台信息和所述签名结果生 成数字水印的步骤,具体为
将硬件安全单元表示平台唯一信息和用户信息的数据作为数字水印的平台信息 部分; 提取所述第一密钥的特征值作为数字水印的原有密钥信息部分; 将数字水印的平台信息部分和原有密钥部分信息部分用数字版权管理服务器发
布的CA (Certification Authority)认证中心证书签名,得到的签名结果作为数字水印的
第三部分。 优选地,所述第一密钥包括第一密钥实体,所述第一密钥是否允许参与数字水 印,第一密钥存储条件和第一密钥使用条件。 优选地,所述方法还包括向数字版权管理服务器注册数字水印。 优选地,所述向数字版权管理服务器注册数字水印的步骤之后包括 获取并通过所述数字版权管理服务器的所述平台代表的用户账户状态验证; 获取数字版权关系服务器的数字水印激活授权。 优选地,所述方法还包括 对所述第一密钥和所述数字水印的使用情况进行记录。 优选地,所述对所述第一密钥和所述数字水印的使用情况进行记录的步骤以后, 包括 接收所述数字版权关系服务器对于所述第一密钥和所述数字水印的使用情况的 查询和管理; 并向所述数字版权关系服务器发送所述第一密钥和所述数字水印的使用情况。
另一方面,本发明提供一种硬件安全单元的数字水印产生系统,所述系统包括硬 件安全单元,数字版权管理服务器;
所述硬件安全单元包括 通讯单元,用于接收来自所述数字版权管理服务器的第一密钥; 数字水印生成单元,依据所述第一密钥和所述硬件安全单元平台信息生成数字水
印; 数字版权管理服务器包括密钥存储单元,用于存储第一密钥。 优选地,数字版权管理服务器还包括证书存储单元,用于存储认证中心证书; 数字水印生成单元,依据所述硬件安全单元平台信息和所述第一密钥,以及用数
字版权管理服务器发布的认证中心证书签名所述硬件安全单元平台信息和第一密钥得到
的结果生成数字水印。 优选地,所述第一密钥包括第一密钥实体,所述第一解密密钥是否允许参与数字 水印,第一存储条件和第一使用条件。 优选地,所述数字版权管理服务器还包括与密钥存储单元相连的水印检查记录单 元,用于记录所述第一密钥和所述数字水印的使用情况。 本发明实施例所述硬件安全单元的数字水印产生方法,硬件安全单元接收来自数 字版权管理服务器的第一密钥,并对所述第一密钥进行存储管理。硬件安全单元可以将包 含所述硬件安全单元平台信息和所述第一密钥,以及用数字版权管理服务器发布的认证中 心证书签名所述硬件安全单元平台信息和所述第一密钥得到的结果共同作为数字水印。
当用户希望在自己的使用范围内进行数字水印形式的媒体文件转录时,可以在取得硬件安全单元的使用权,由硬件安全单元对存储的第一密钥进行检查,将本发明所述方 法生成的包括了硬件安全单元平台信息、第一密钥和认证中心证书签名的数字水印。由于 数字水印包括了硬件安全单元平台信息、第一密钥和认证中心证书签名的结构三部分,当 用户向超越自身使用范围的地方转录时,就无法使用带有数字水印的载体文件,可以有效 地防止用户在超越自身的范围内转录。
图1是本发明所述硬件安全单元
图2是本发明所述硬件安全单元
图3是本发明所述硬件安全单元
图4是本发明所述硬件安全单元
图5是本发明所述硬件安全单元
的数字水印产生方法第一实施例流程图; 的数字水印产生方法第二实施例流程图; 的数字水印产生方法第三实施例流程图; 的数字水印产生系统第一实施例结构图; 的数字水印产生系统第二实施例结构图。
具体实施例方式
本发明提供一种硬件安全单元的数字水印产生方法,用于产生数字水印,有效地 控制用户的转录行为。 参见图l,该图为本发明所述硬件安全单元的数字水印产生方法第一实施例流程 图。 本发明第一实施例所述硬件安全单元的数字水印产生方法,包括
S101、接收来自数字版权管理服务器的第一密钥。 用户拥有一个,基于PC或者HomeServer的硬件安全单元,硬件安全单元可以为 TPM\TCM\MTM。硬件安全单元可以用于表征平台身份。 在密钥授权的初始阶段,DRMServer会向硬件安全单元所处的平台,发布解密密钥 Key即第一密钥,同时会发布该密钥的属性。 第一密钥属性可以包括第一密钥实体,第一密钥是否允许参与数字水印,第一密 钥存储条件和第一密钥使用条件。 Key及其属性被下载后,要被硬件安全单元保护,具体可以存储在硬件安全单元内
部或者加密保护存储在硬件安全单元外部。 S102、获得硬件安全单元平台信息。 S103、依据所述第一密钥和所述硬件安全单元平台信息生成数字水印。 硬件安全单元可以抽取第一密钥的特征值,如KeyID, Key属性作为数字水印的原
DRM密钥信息部分。硬件安全单元可以将上述平台信息和原DRM密钥信息两部分结合为新
的串信息作为数字水印。 当然,硬件安全单元可以将上述平台信息和原DRM密钥信息两部分结合为新的串
信息后,在进行预定的计算或者加密后作为数字水印。 步骤S103之前还可以包括 获得用数字版权管理服务器发布的认证中心证书; 使用所述认证中心证书对所述第一密钥和所述硬件安全单元平台信息签名,获得 签名结果;
6
那么,步骤S103具体为 依据所述第一密钥,所述硬件安全单元平台信息和所述签名结果生成数字水印。
当用户希望在自己的使用范围内进行数字水印形式的媒体文件转录时,可以在取 得硬件安全单元的使用权,由硬件安全单元对存储的第一密钥进行检查,按照本发明第一 实施例所述方法生成的包括了硬件安全单元平台信息和第一密钥的数字水印。由于数字水 印包括了硬件安全单元平台信息和第一密钥,当用户向超越自身使用范围的地方转录时, 数字版权管理服务器就可以得知是哪个平台信息对应的平台进行的转录,从而可以有效地 防止用户在超越自身的范围内转录。 用户可以直接使用本发明实施例所述硬件安全单元的数字水印产生方法生成的 数字水印,也可以将所述数字水印再次计算后得到加密文件对数字版权管理服务器授权的 文件进行处理。 参见图2,该图为本发明所述硬件安全单元的数字水印产生方法第二实施例流程 图。 本发明第二实施例所述硬件安全单元的数字水印产生方法,包括 S110、硬件安全单元接收来自数字版权管理服务器的第一密钥,并对所述第一密
钥进行存储管理。 用户拥有一个,基于PC或者HomeServer的硬件安全单元,硬件安全单元可以为 TPM\TCM\MTM。硬件安全单元可以用于表征平台身份。 硬件安全单元可以预先内置有DRM CA(数字版权管理服务器认证中心)颁布的电 子证书。且硬件安全单元已经到DRM服务器注册,被DRM服务器认可。
在密钥授权的初始阶段,DRMServer会向硬件安全单元所处的平台,发布解密密钥 Key即第一密钥,同时会发布该密钥的属性。 第一密钥属性可以包括第一密钥实体,第一密钥是否允许参与数字水印,第一密 钥存储条件和第一密钥使用条件。 Key及其属性被下载后,要被硬件安全单元保护,具体可以存储在硬件安全单元内 部或者加密保护存储在硬件安全单元外部。 S120、硬件安全单元将包含所述硬件安全单元平台信息和所述第一密钥,以及用 数字版权管理服务器发布的认证中心证书签名所述硬件安全单元平台信息和所述第一密 钥得到的结果共同作为数字水印。 数字水印可以包括平台信息、原DRM密钥信息和签名可保证。 服务提供商可以通过数字水印的反算,了解藏有数字水印的载体文件,识别出是 哪个PC平台的,哪个原有DRMServer,哪个用户转录的。 硬件安全单元会将平台信息(PCR)、证书信息(EK、AIK、PIK、CA证书)等唯一表示 平台身份和用户信息的数据作为数字水印的平台信息部分。 硬件安全单元可以抽取第一密钥的特征值,如KeyID, Key属性作为数字水印的 原DRM密钥信息部分。硬件安全单元可以将上述平台信息和原DRM密钥信息两部分使用 DRMServer发布的CA证书进行签名,得到的签名结果作为数字水印的第三部分。
当用户希望在自己的使用范围内进行数字水印形式的媒体文件转录时,可以在取 得硬件安全单元的使用权,由硬件安全单元对存储的第一密钥进行检查,按照本发明第二
7实施例所述方法生成的包括了硬件安全单元平台信息、第一密钥和认证中心证书签名的数 字水印。由于数字水印包括了硬件安全单元平台信息、第一密钥和认证中心证书签名的结 构三部分,当用户向超越自身使用范围的地方转录时,就无法使用带有数字水印的载体文 件,可以有效地防止用户在超越自身的范围内转录。 参见图3,该图为本发明所述硬件安全单元的数字水印产生方法第三实施例流程 图。 本发明第三实施例所述硬件安全单元的数字水印产生方法,相对第二实施例,增 加了向DRMServer注册数字水印的步骤。 本发明第二实施例所述硬件安全单元的数字水印产生方法,包括 S100、硬件安全单元接收来自数字版权管理服务器的第一密钥,并对所述第一密
钥进行存储管理。 硬件安全单元可以用于表征平台身份。硬件安全单元可以预先内置有DRM CA(数 字版权管理服务器认证中心)颁布的电子证书。且硬件安全单元已经到DRM服务器注册, 被DRM服务器认可。 在密钥授权的初始阶段,DRMServer会向硬件安全单元所处的平台,发布解密密钥 Key即第一密钥,同时会发布该密钥的属性。 第一密钥属性可以包括Key是否允许参与数字水印,Key保护的文件是否允许翻 录后加入数字水印等等。 Key及其属性被下载后,要被硬件安全单元保护,具体可以存储在硬件安全单元内 部或者加密保护存储在硬件安全单元外部。 S200、硬件安全单元将包含所述硬件安全单元平台信息和所述第一密钥,以及用 数字版权管理服务器发布的认证中心证书签名所述硬件安全单元平台信息和所述第一密 钥得到的结果共同作为数字水印。 数字水印可以包括平台信息、原DRM密钥信息和签名可保证。 在第一密钥授权的初始阶段,DRMServer会向硬件安全单元所处的平台,发布解密 密钥Key即第一密钥,同时会发布该密钥的属性。 Key及其属性被下载后,要被硬件安全单元保护。由硬件安全单元对所保护的Key 进行检查。如果条件允许,硬件安全单元会用平台信息(PCR)、证书信息(EK、AIK、PIK、 CA (Certification Authority)证书)等唯一表示平台和用户的信息的数据作为数字水印 的平台信息部分。硬件安全单元抽取Key的特征值(KeyID, Key属性)作为数字水印的原 有密钥部分信息。再将两部分信息用DRMServer发布的CA证书签名,得到的签名结果作为 数字水印的第三部分。 S300 、硬件安全单元向DRMServer注册数字水印。 S400、硬件安全单元获取并通过所述数字版权管理服务器的所述平台代表的用户 账户状态验证。 DRMServer检查该平台代表的用户帐户状态,如通过,向硬件安全单元发布数字水 印的激活授权。 S500、硬件安全单元获取数字版权关系服务器的数字水印激活授权。 上层软件可以从硬件安全单元获得数字水印和第一密钥Key,解密原有DRM,转换
8格式,再加入数字水印,进行存储。 硬件安全单元还可以对第一密钥Key和数字水印的使用情况进行记录,同时可以
接收所述数字版权关系服务器对于所述第一密钥和所述数字水印的使用情况的查询和管
理;并向所述数字版权关系服务器发送所述第一密钥和所述数字水印的使用情况。 硬件安全单元可以允许用户在数字水印的属性范围内,进一步设定数字水印的属
性。例如可见或者不可见的数字水印,个人图章等。 本发明还提供一种硬件安全单元的数字水印产生系统,用于产生数字水印,有效 地控制用户的转录行为。 参见图4,该图为本发明所述硬件安全单元的数字水印产生系统第一实施例结构 图。 本发明还提供一种硬件安全单元的数字水印产生系统,具体可以包括硬件安全单
元1,数字版权管理服务器2。
所述硬件安全单元1包括 通讯单元11,用于接收来自所述数字版权管理服务器2的第一密钥。 数字水印生成单元13,依据所述硬件安全单元平台信息和所述第一密钥生成数字水印。 数字水印生成单元13可以抽取第一密钥的特征值,如KeyID,Key属性作为数字水 印的原DRM密钥信息部分。数字水印生成单元13可以将上述平台信息和原DRM密钥信息 两部分结合为新的串信息作为数字水印。 当然,数字水印生成单元13可以将上述平台信息和原DRM密钥信息两部分结合为
新的串信息后,在进行预定的计算或者加密后作为数字水印。 数字版权管理服务器2包括密钥存储单元21,用于存储第一密钥。 本发明实施例所述硬件安全单元1还可以包括用于存储管理所述第一密钥的存
储单元12。 当用户希望在自己的使用范围内进行数字水印形式的媒体文件转录时,可以在取 得硬件安全单元的使用权,由硬件安全单元对存储的第一密钥进行检查,数字水印生成单 元13可以生成包括硬件安全单元平台信息和第一密钥的数字水印。由于数字水印包括了 硬件安全单元平台信息和第一密钥,当用户向超越自身使用范围的地方转录时,数字版权 管理服务器就可以得知是哪个平台信息对应的平台进行的转录,从而可以有效地防止用户 在超越自身的范围内转录。 用户可以直接使用本发明实施例所述硬件安全单元的数字水印产生系统生成的 数字水印,也可以将所述数字水印生成单元13生成的数字水印再次计算后得到加密文件 对数字版权管理服务器授权的文件进行处理。 数字版权管理服务器2还包括证书存储单元(图中未示出),用于存储认证中心证 书。 数字水印生成单元13可以将包含所述硬件安全单元平台信息和所述第一密钥, 以及用数字版权管理服务器2发布的认证中心证书签名所述硬件安全单元平台信息和第 一密钥得到的结果共同作为数字水印。 所述第一密钥可以包括第一密钥实体,所述第一解密密钥是否允许参与数字水印,第一存储条件和第一使用条件。 由于数字水印生成单元13生成的数字水印包括了硬件安全单元平台信息、第一
密钥和认证中心证书签名的结构三部分,当用户向超越自身使用范围的地方转录时,就无
法使用带有数字水印的载体文件,可以有效地防止用户在超越自身的范围内转录。 参见图5,该图为本发明所述硬件安全单元的数字水印产生系统第二实施例结构图。 所述数字版权管理服务器2还包括与密钥存储单元21相连的水印检查记录单元 22,用于记录所述第一密钥和所述数字水印的使用情况。 由于硬件安全单元1可以对第一密钥Key和数字水印的使用情况进行记录,同时
可以接收所述数字版权关系服务器对于所述第一密钥和所述数字水印的使用情况的查询
和管理;并向所述数字版权关系服务器发送所述第一密钥和所述数字水印的使用情况。水
印检查记录单元22可以用于记录所述第一密钥和所述数字水印的使用情况。 以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何
在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权
利要求保护范围之内。
权利要求
一种硬件安全单元的数字水印产生方法,其特征在于,所述方法包括接收来自数字版权管理服务器的第一密钥;获得硬件安全单元平台信息;依据所述第一密钥和所述硬件安全单元平台信息生成数字水印。
2. 根据权利要求l的数字水印产生方法,其特征在于,在依据所述第一密钥和所述硬 件安全单元平台信息生成数字水印的步骤之前包括获得用数字版权管理服务器发布的认证中心证书;使用所述认证中心证书对所述第一密钥和所述硬件安全单元平台信息签名,获得签名 结果;依据所述第一密钥和所述硬件安全单元平台信息生成数字水印的步骤,具体为 依据所述第一密钥,所述硬件安全单元平台信息和所述签名结果生成数字水印。
3. 根据权利要求2所述的方法,其特征在于,所述依据所述第一密钥,所述硬件安全单 元平台信息和所述签名结果生成数字水印的步骤,具体为将硬件安全单元表示平台唯一信息和用户信息的数据作为数字水印的平台信息部分;提取所述第一密钥的特征值作为数字水印的原有密钥信息部分;将数字水印的平台信息部分和原有密钥部分信息部分用数字版权管理服务器发布的 CA (Certification Authority)认证中心证书签名,得到的签名结果作为数字水印的第三 部分。
4. 根据权利要求2所述的方法,其特征在于,所述第一密钥包括第一密钥实体,所述 第一密钥是否允许参与数字水印,第一密钥存储条件和第一密钥使用条件。
5. 根据权利要求2所述的方法,其特征在于,所述方法还包括向数字版权管理服务器 注册数字水印。
6. 根据权利要求5所述的方法,其特征在于,所述向数字版权管理服务器注册数字水 印的步骤之后包括获取并通过所述数字版权管理服务器的所述平台代表的用户账户状态验证; 获取数字版权关系服务器的数字水印激活授权。
7. 根据权利要求6所述的方法,其特征在于,所述方法还包括 对所述第一密钥和所述数字水印的使用情况进行记录。
8. 根据权利要求7所述的方法,其特征在于,所述对所述第一密钥和所述数字水印的 使用情况进行记录的步骤以后,包括接收所述数字版权关系服务器对于所述第一密钥和所述数字水印的使用情况的查询 和管理;并向所述数字版权关系服务器发送所述第一密钥和所述数字水印的使用情况。
9. 一种硬件安全单元的数字水印产生系统,其特征在于,所述系统包括硬件安全单元, 数字版权管理服务器;所述硬件安全单元包括通讯单元,用于接收来自所述数字版权管理服务器的第一密钥;数字水印生成单元,依据所述第一密钥和所述硬件安全单元平台信息生成数字水印;数字版权管理服务器包括密钥存储单元,用于存储第一密钥。
10. 根据权利要求9所述的系统,其特征在于,数字版权管理服务器还包括证书存储单 元,用于存储认证中心证书;数字水印生成单元,依据所述硬件安全单元平台信息和所述第一密钥,以及用数字版 权管理服务器发布的认证中心证书签名所述硬件安全单元平台信息和第一密钥得到的结 果生成数字水印。
11. 根据权利要求10所述的系统,其特征在于,所述第一密钥包括第一密钥实体,所 述第一解密密钥是否允许参与数字水印,第一存储条件和第一使用条件。
12. 根据权利要求10所述的系统,其特征在于,所述数字版权管理服务器还包括与密 钥存储单元相连的水印检查记录单元,用于记录所述第一密钥和所述数字水印的使用情 况。
全文摘要
一种硬件安全单元的数字水印产生方法,包括接收来自数字版权管理服务器的第一密钥;获得硬件安全单元平台信息;依据所述第一密钥和所述硬件安全单元平台信息生成数字水印。本发明提供一种硬件安全单元的数字水印产生方法和系统,用于产生数字水印,有效地识别用户的转录行为。
文档编号G06F21/00GK101789059SQ20091007787
公开日2010年7月28日 申请日期2009年1月23日 优先权日2009年1月23日
发明者刘娜, 李希喆 申请人:联想(北京)有限公司