专利名称:一种获取用户域信息的方法、域管理服务器及许可服务器的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种获取用户域信息的方法、域管理服务 器及许可服务器。
背景技术:
数字版权管理(Digital Rights Management,简称DRM)主要通过权利限 制和内容保护控制数字内容的使用,保护数字内容所有者的合法权益。数字内 容的发行者(Content Issuer, CI)将数字内容力。密后,用户将加密的数字内容 数据包下载到终端;版权发行者(Rights Issuer, RI)向用户终端分发与数字内 容相对应的许可证,所述许可证包括内容解密密钥及对应的权限。设备只有同 时拥有内容数据包(其中包含解密数字内容所必须的信息)和许可证,才能正 常使用所购买的数字内容。DRM Agent利用设备的公钥解密得到许可证密钥, 进而得到许可证中的内容密钥解密数字内容,并根据许可证中的权P艮信息控制 用户对数字内容的具体使用。
许可证中的权限主要包括权利和限制两类。根据所包含的限制的不同,许
可证可分为有状态许可和无状态许可。有状态许可,即含有次数(count)、累 计时间(accumulated)等状态限制的许可。无状态许可,即许可证中的所有权 利都不包含状态限制或只包含时间段(datetime)限制的许可。
为了方便进行许可证的分发和管理,OMA DRM 2.0中引入了域(Domain) 的概念。域可以理解为由RI进行集中控制的一组相关联的设备的集合。每个 域都具有一个唯一的域标识,域内成员之间共享域密钥。RI为域发行许可(称
为域许可)时,利用一定的措施使得许可与域密钥相绑定。从而域内成员可以 借助域密钥获得内容加密密钥,使用数字内容;而非域成员由于无法获得域密钥,则不能访问数字内容。从逻辑功能实体上来划分,域中包含域管理器和域 成员设备(以下简称域设备)两类功能实体。
为了避免为不同的RI建立同样的域,可以将域管理的功能从RI剥离开来, 设置独立于RI的功能实体域管理器(DA/DEA: Domain Authority/Domain EnforcementAgent),执行用户域管理的功能,RI根据域相关信息为用户域生 成域许可,对应用户域中的设备可以使用该用户域许可。
而现有技术中,为用户域购买域许可(RO)的流程如图一所示
步骤101 、终端DRM AGENT在DA/DEA注册并加入用户域;
步骤102—106、终端在版权发行者RI注册;
步骤107—116、终端从RI处获取用户域RO。其中,步骤109—112为RI 与DA/DEA注册的过程,并且RI在注册完成后,从DA/DEA处获取域密钥等 信息,并根据获得的域信息生成域许可,并下发给终端。
发明人在发明的过程中发现,现有技术中RI与DA/DEA交互用户域信息 只有根据DRM Agent或LRM (Local Rights Management,本地许可管理器) 向RI请求用户域许可或导入用户域许可时才会发生。
此外,现有技术中如果LRM (Local Rights Management,本地许可管理 器)请求RI导入RO许可时,RI则无法对LRM进行认证。
发明内容
本发明给出了一种获取用户域信息的方法,用以解决现有技术中RI与 DA/DEA交互用户域信息只有根据DRM Agent或LRM向RI请求用户域许可 或导入用户域许可时才会发生。
本发明实施例提供了一种获取用户域信息的方法,包括域管理器执行用 户域相关操作导致用户域信息发生变更;域管理器将变更后的用户域信息主动 发送给版权发行者。
此外,本发明实施例还提供了一种导入用户域许可的方法,版权发行者接 收本地许可管理器发起的导入用户域许可请求;所述导入用户域许可请求携带用户域标识,本地许可管理器标识;版权发行者根据所述用户域标识向域管理 器请求获取所述用户域信息;版权发行者根据所述用户域信息及本地许可管理 器标识验证本地许可管理器合法,并生成域许可;版权发行者向所述本地许可 管理器返回所述域-〖午可。
此外,本发明实施例还提供了一种导入用户域许可的方法,本地许可管理 器向版权发行者发起导入用户域许可请求;所述导入用户域许可请求携带用户 域标识,本地许可管理器标识;版权发行者根据所述用户域标识向域管理器请 求获取所述用户域信息,所述请求中携带本地许可管理器标识;域管理器向版 权发行者返回用户域信息,所述用户域信息包括本地许可管理器通过验证的标 识;版权发行者根据所述用户域信息生成域许可,并向本地许可管理器返回导 入用户域许可。
此外,本发明实施例还提供了一种域管理服务器,包括接收模块,用于 接收获取用户域信息的请求消息,所述请求消息中携带本地许可管理器标识、 域标识;验证模块,用于根据所述本地许可管理器标识验证所述本地许可管理 器合法;输出模块,用于根据所述域标识返回所述域的用户域信息,所述用户 域信息包括域标识,域密钥相关信息、域策略、本地许可管理器验证通过的 标识中的一项或多项。
此外,本发明实施例还提供了一种许可服务器,包括接收模块,用于接 收导入域许可的请求,所述导入域许可的请求中携带本地许可管理器标识、域 标识;获取模块,用于根据所述域标识获取用户域的用户域信息,所迷用户域 信息包括域标识,域密钥相关信息、域策略、本地许可管理器-睑证通过的标识 中的一项或多项;验证模块,用户根据所述本地许可管理器标识列表和所述本 地许可管理器标识验证所述本地许可管理器标识对应的本地许可管理器合法; 处理模块,用户根据所述用户域信息生成域许可;输出模块,用于返回所述域 许可。
通过本发明的实施例可知,本发明的实施例中通过DA/DEA在用户域信息发生变更时,可以将所述用户域信息主动推送给版权发行者,以方^f更版权发行
者在后续的处理过程中需要用到用户信息时不再向DA/DEA获取,保证信息的
准确性,并保证在后续处理过程中消息交互的简单。
1. 图1为现有的DRM Agent获取域许可的方法流程2. 图2为本发明实施例提供的DA/DEA主动向RI发送用户域信息的 方法流程3. 图3为本发明实施例提供的DA/DEA主动触发RI获取用户域信息 的方法流程4. 图4为本发明实施例提供的当发生域升级时DA/DEA向RI发送用 户域信息的方法流程5. 图5为本发明实施例提供的分发域许可的方法流程6. 图6为本发明实施例提供的LRM向RI请求导入R0,RI向DA/DEA 获耳又最新的用户域信息的方法流程具体实施例方式
为了便于本领域一般技术人员理解和实现本发明,现结合附图描绘本发明 的实施例。
如图2所示,本发明实施例提供的DA/DEA主动向RI发送用户域信息的 方法包括以下步骤
步骤201 、 RI与DA/DEA交互,完成RI在DA/DEA中的注册;
步骤202、 DRM Agent与DA/DEA交互,完成用户域的相关操作。所述相 关操作包括建立新的用户域,更新、升级、删除已存在的的用户域,以及用户 域内LRM的更新等;此步骤的相关操作将导致用户域信息的变化及更新。
步骤203 、 DA/DEA向RI发送用户域信息通知,所述用户域信息通知中携 带更新后的用户域信息或全部的用户域信息;所述用户域信息包括但不限于域 标识(包括域代数)、域密钥相关信息、域内最大成员数、域政策(domainpolicy)、DA/DEA信任的本地许可管理器(LRM)列表等。
步骤204、 Rl向DA/DEA返回用户域信息响应,其中包含对用户域信息通 知消息的处理状态。
步骤205 、 RI利用收到的用户域信息通知中携带更新后的用户域信息更新 存储的用户域信息。显然,步骤204与步骤205没有严格的顺序之分。RI当然 可以在收到用户域信息通知后先执行步骤205,再执行步骤204即向DA/DEA 返回用户;或信息响应。
此外,本发明实施例提供的DA/DEA向RI提供更新后的用户域信息除了 可以使用图2所示的方法外,DA/DEA还可主动触发RI获取域信息,其具体 流程参见图3,与图2所示的流程不同的是,当DRM Agent执行步骤302即 进4亍用户域相关操作后,更改了用户域信息。DA/DEA并不是直接如图2的步 骤202所示直接将更新后的用户域信息通过用户域信息通知发送给RI,而是通 过步骤203,先向RI发关用户域信息请求的触发消息,由RI在收到所述用户 域信息请求的触发消息后,向DA/DEA发送用户域信息请求。而DA/DEA根 据所述用户域信息请求,向Rl返回用户域信息响应,所述的用户域信息响应 携带更新后的用户域信息。而RI 4艮据收到的用户域信息响应中携带的用户域 信息更新本地存储的用户域信息。
此外,DA/DEA可以与多个RI进行注册,此多个RI如RI-A与RI-B都可 以为DA/DEA的域生成域许可。当DA/DEA中用户域信息发生变更后, DA/DEA则可使用图2或图3所示的方法分别向多个RI如RI-A与RI-B更新 用户域信息,而RI-A与RI-B根据得到的用户域信息分别更新存储在本地的用 户域信息。而当用户域中DRMAgent向RI-A (或RI - B )请求域许可时, RI-A (或RI-B)即可根据本地保存的用户域信息生成相应的域许可。
而对于在DA/DEA与RI之前已经在DA/DEA处建立的用户域如UD1, DA/DEA可以在与RI注册的过程中将UD1的用户域信息传递给RI;或在注册完成后,通过203 - 204或303 - 305所示的方法将UD1的用户域信息通知许 可服务器。
如图4所示,本发明实施例提供的当发生域升级时,DA/DEA向RI发送 用户域信息的方法。该方法包括以下步骤
步骤401、在域密钥泄漏,或者某个域成员^皮撤销的情况下,出于用户域 安全性的考虑,DA/DEA将对用户域进行升级。升级后,域的代数将加l,同 时,老的域密钥也将被替换,以使得仅拥有老的域密钥的DRM Agent无法解 密并消费域升级后新生成的域许可。在OMADRM2.0中,采用哈希链的方法 维护域密钥。将哈希链的最后一级节点作为第一代域密钥,每次升级,则将哈 希链中上一级的节点作为新的域密钥,依此类推。
步骤402、 DA/DEA通知域内所有DRM Agent进行域升级,升级后域内 DRM Agent将共享新的域密钥。
步骤403 、 DA/DEA通过用户域信息通知将更新后的用户域信息发送给RI。 该步骤中,DA/DEA可以只将发生变更的用户域信息发送给RI,也可以发送全 部的用户域信息。该实施例中,消息中携带的用户域信息至少包括域标识、 域代数、域密钥相关信息。其中域代数也可以在域标识中得到反映,即域标识 和域代数可以表现为同一个参数;域密钥相关信息可以为用于加密许可封装密 钥的域密钥,也可以为用于生成域密钥的相关信息。
步骤404、 RI根据所述用户域信息中携带的全部或部分用户域信息更新本 地保存的域信息。
步骤405、 RI返回用户域信息响应,该响应中包含RI对用户域信息通知 消息的处理状态。
值得说明的是,图4中步骤402与步骤403~405之间并没有严格的时间 限制。即DA/DAE既可以先通知域内DRM Agent进4亍升级,也可以先向RI 发送用户域信息通知,还可以同时发送。
当然,由于用户域操作还可以是删除用户域,建立用户域,或更新用户域。如果当所述用户域操作为删除用户域时,则步骤403中DA/DEA向RI发送用 户域信息删除消息,该消息中不需要携带用户域信息相关参数,RI则根据 DA/DEA的通知删除保存在本地的用户域信息。而所述用户域操作为更新用户 域时,则步骤403中DA/DEA通过用户域信息通知将更新后的用户域信息发送 给RI,所述用户域信息通知至少包括用户域标识,用户域策略。而所述用户域 操作为建立用户域时,则步骤403中所述用户域信息通知可以包括用户域信息 的所有信息。
在图2到图4的实施例中,对于在版权发行者与域管理器注册前已经存在 的用户域信息,则域管理器可以通过以下方法将所述已存在的用户域信息发送 给版权发行者在与版权发行者注册的过程中将域管理器已存在的用户域信息 发送给版权发行者;或域管理器在与版权发行者在注册完成后主动将已存在的 用户域信息发送给版权发行者。
如图5所示,本发明实施例提供的分发域许可的方法流程包括如下步骤;
步骤501 、 RI与DA/DEA交互完成注册;
步骤502、按照图2-图4中所述的任一方法,RI与DA/DEA交互从DA/DEA 处获取用户域信息;所述用户域信息包括但不限于域标识、包括域代数、域 密钥相关信息、域内最大成员数、域政策(domain policy)、 DA/DEA信任的本 地许可管理器(LRM)列表等。或者,所述域信息包括域标识(包括域代数)、 域密钥相关信息、域内最大成员数、域政策(domain policy)、 DA/DEA信任的 本地许可管理器(LRM)列表等。
步骤503 、 RI保存从DA/DEA处获取的用户域信息。
步骤504、 RI接收DRM Agent向RI发送的域许可获取请求;所述域许可 获取请求包括DRM Agent标识,域标识等信息;
步骤505、 RI根据保存的预先从DA/DEA获取的用户域信息生成域许可;
步骤506、 RI向DRM Agent返回域许可获取响应,其中包含步骤505中 所述生成的域许可。从本发明的基本思想可以看出,此实施例中,步骤501—步骤503并不是 必需的步骤。
如图5所述,本发明实施例还可以表示RI根据LRM的导入域许可请求为 用户域导入域许可的流程。如步骤504, , RI接收LRM向RI发送的导入域许 可请求;所述导入域许可请求包括LRM标识,域标识等信息;
步骤505、 RI根据保存的预先从DA/DEA获取的用户域信息生成域许可; 当然,RI还需要根据导入域许可请求中携带的LRM标识及存储在本地的用户 域信息中的LRM标识列表判断LRM是否被授权许可导入所述用户域的域许 可,并在所述LRM通过验证后,RI根据保存的预先从DA/DEA获取的用户域 信息生成导入的域-〖午可。
步骤506' 、 RI向LRM返回导入与许可响应,其中包含步骤505中所述生 成的导入的域许可。
如图6所示,本发明实施例提供的LRM向RI请求导入RO, RI向DA/DEA 获取最新的用户域信息的方法流程步骤601、 LRM请求RI为用户域导入一个域许可。该请求中将包含LRM 标识、域标识,此外还可包含用于生成域许可的权限信息。
步骤602、 RI向DA/DEA发起用户域信息获取请求,用于向DA/DEA请 求生成域许可所需的用户域信息,包括域密钥相关信息、域策略等。此外,所 述请求中携带LRM标识、域标识,用于由DA/DEA验证LRM是否为DA/DEA 为该用户域所分配的LRM,对于该功能,也可以由DA/DEA在用户域信息获 取响应中携带为该用户语所分配的LRM标识,由RI自身进行验证。
步骤603、 DA/DEA向RI返回用户域信息获取响应消息。所述用户域信息 获取响消息应还包含最新的用户域信息,包括域标识、域密钥相关信息、域 代数、域政策。此外,还可包括LRM是否验证通过的标识,其中域代数也可 以在域标识中得到反映,即域标识和域代数可以表示为同一个参数;域密钥相关信息可以为用于加密许可封装密钥的域密钥,也可以为用于生成i或密钥的相
关信息;域政策为DA所定义的关于用户域的一系列规则的集合,如域规模 (size)、域有效期(lifetime)、是否允许域分割/合并等。
当然,在步骤602中,RI向DA/DEA发送的用户域信息获取"i青求中可以 不携带LRM标识,则在步骤603中,DA/DEA不需要对LRM进行验证,而
RI才艮据所述LRM标识列表自行验证LRM是否合法。
步骤604、 RI根据LRM验证通过的标识,并根据步骤603中获得的域标 识、域密钥相关信息、域规模等信息生成相应的域许可,所述域密钥用于封装 许可加密密钥、域规;漠可用于RI确定许可的收费标准。
此外,如前所述,RI可以为本地保存的用户域信息设置有效期,当保存所 述用户域信息的时间超过RI设置的有效期后,RI则向DA/DEA请求获取新的 用户域信息,更新本地的用户域信息。
此外,本发明实施例还提供一种一种域管理服务器,包括接收模块,用 于接收获取用户域信息的请求消息,所述请求消息中携带本地许可管理器标 识、域标识;验证模块,用于根据所述本地许可管理器标识验证所述本地许可 管理器合法;输出模块,用于根据所述域标识返回所述域的用户域信息,所述 用户域信息包括域标识,域密钥相关信息、域策略、本地许可管理器验证通 过的标识中的 一项或多项。
此外,本发明实施例还提供一种许可服务器包括接收模块,用于接收导 入域许可的请求,所述导入域许可的请求中携带本地许可管理器标识、域标识; 获取模块,用于根据所述域标识获取用户域的用户域信息,所述用户域信息包 括域标识,域密钥相关信息、域策略、本地许可管理器验证通过的标识中的一 项或多项;验证模块,用户根据所述本地许可管理器标识列表和所述本地许可
块,用户根据所述用户域信息生成域许可;输出模块,用于返回所述域许可。
1明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种获取用户域信息的方法,其特征在于包括如下步骤域管理器执行用户域相关操作导致用户域信息发生变更;域管理器将变更后的用户域信息主动发送给版权发行者。
2、 如权利要求l所述的方法,其特征在于所述用户域信息包括域标识、 域代数、域密钥相关信息、域政策、域管理器信任的本地许可管理器标识列表 中的一项或多项。
3、 如权利要求2所述的方法,所迷域代数包含在域标识中。
4. 如权利要求1所述的方法,其特征在于所述将变更后的用户域信息主 动发送给版权发行者包括向版权发行者发送用户域信息通知消息,所述用户域信息通知消息携带变 更后的用户域信息;或向版权发行者发送用户域信息请求触发消息,并在收到版权发行者的用户 域信息请求消息后向版权发行者返回用户域信息响应消息,所述用户域信息响 应消息携带变更后的用户域信息。
5. 如权利要求1所示的方法,其特征在于该方法还包括版权发行者保 存接收到的用户域信息。
6. 如权利要求1所示的方法,其特征在于该方法还包括 版权发行者接收用户域许可请求; 版权发行者根据保存的用户域信息生成用户域许可;
7、如权利要求1所述的方法,其特征在于,所述用户域信息包括本地许 可管理器标识列表;该方法还包括版权发行者接收本地许可管理器发起的导入用户域许可请求,所述导入用 户域许可请求携带本地许可管理器标识;版权发行者根据所述所述本地许可管理器标识列表和本地许可管理器标识验证本地许可管理器是否合法;若验证通过,则版权发行者根据所述用户域信息生成导入的用户域许可; 并向本地许可管理器发送所述导入的用户域许可
8、 如权利要求1所述的方法,其特征在于,所述用户域相关操作为建 立用户域;或升级用户域;或更新用户域;或删除用户域;或替换用户域内的 本地许可管理器。
9、 如权利要求1 - 8任一所述的方法,其特征在于该方法还包括 版权发行者在与域管理器注册的过程中通知域管理器所述版权发行者具有保存用户域信息的能力。
10、 如权利要求l一8任一所述的方法,其特征在于该方法还包括域管理器在与版权发行者注册的过程中将域管理器已存在的用户域信息 发送给版权发行者;或域管理器在与版权发行者在注册完成后将已存在的用户域信息发送给版 权发行者。
11、 如权利要求l一8任一所述的方法,其特征在于版权发行者设置保 存用户域信息的有效期;该方法还包括保存所述用户域信息超过版权发行者设置的有效期,版权发行者从域管理 器获取用户域信息。
12、 一种导入用户域许可的方法,其特征在于版权发行者接收本地许可管理器发起的导入用户域许可请求;所述导入用 户域许可请求携带用户域标识,本地许可管理器标识;版权发行者根据所述用户域标识向域管理器请求获取所述用户域信息;版权发行者根据所述用户域信息及本地许可管理器标识验证本地许可管 理器合法,并生成域-i午可;版权发行者向所述本地许可管理器返回所述域许可。
13、 如权利要求12所述的方法,其特征在于所述用户域信息包括本地许可管理器标识列表;所述版权发行者根据所述用户域信息及本地许可管理器 标识验证本地许可管理器合法为版权发行者才艮据所述本地许可管理器标识列 表及本地许可管理器标识验证本地许可管理器合法。
14、 如权利要求11或12所述的方法,其特征在于所述的验证LRM合 法具体为验证LRM标识在所述的LRM标识列表中。
15、 一种导入用户域许可的方法,其特征在于本地许可管理器向版权发行者发起导入用户域许可请求;所述导入用户域 许可请求携带用户域标识,本地许可管理器标识;版权发行者4艮据所述用户域标识向域管理器请求获取所述用户域信息,所 述请求中携带本地许可管理器标识;域管理器向版权发行者返回用户域信息,所述用户域信息包括本地许可管 理器通过验证的标识;版权发行者根据所述用户域信息生成域许可,并向本地许可管理器返回导 入用户域许可。
16、 一种域管理服务器,其特征在于包括接收模块,用于接收获取用户域信息的请求消息,所述请求消息中携带本 地许可管理器标识、域标识;验证模块,用于根据所述本地许可管理器标识验证所述本地许可管理器合法;输出模块,用于根据所述域标识返回所述域的用户域信息,所述用户域信 息包括域标识,域密钥相关信息、域策略、本地许可管理器-睑证通过的标识 中的一项或多项。
17、 一种许可服务器,其特征在于包括接收模块,用于接收导入域许可的请求,所述导入域许可的请求中携带本 地许可管理器标识、域标识;获取模块,用于根据所述域标识获取用户域的用户域信息,所述用户域信息包括域标识,域密钥相关信息、域策略、本地许可管理器验证通过的标识中的一项或多项;验证模块,用户根据所述本地许可管理器标识列表和所述本地许可管理器处理模块,用户根据所述用户域信息生成域许可; 输出模块,用于返回所述域许可。
全文摘要
本发明公开了一种获取用户域信息的方法、一种导入用户域许可的方法、一种域管理服务器和一种许可服务器。所述获取用户域信息的方法包括域管理器执行用户域相关操作导致用户域信息发生变更;域管理器将变更后的用户域信息主动发送给版权发行者。通过本发明,可以将所述用户域信息主动推送给版权发行者,以方便版权发行者在后续的处理过程中需要用到用户信息时不再向DA/DEA获取,保证信息的准确性,并保证在后续处理过程中消息交互的简单。
文档编号H04L29/06GK101321155SQ200710074739
公开日2008年12月10日 申请日期2007年6月6日 优先权日2007年6月6日
发明者沛 党, 冯雯洁, 周志鹏, 周皓隽, 张仁宙, 陈大港, 晨 黄 申请人:华为技术有限公司