专利名称:一种基于域的数字权限管理方法、域管理服务器及系统的制作方法
技术领域:
本发明属于DRM (digital right management)数字权限管理系统领域,特 别涉及一种基于域的数字权限管理方法、域管理服务器及系统。
背景技术:
DRM的用户易用性一直是阻碍DRM广泛应用的很大障碍,而这个障碍很 大程度又体现在由于加密内容同设备的绑定带来的用户多设备方便共享问题 上。因此出现了基于域(即将用户的多设备、甚至多用户的多设备视为一个域) 的解决方案。但现有基于域的方案存在以下问题域证书中的License (使用证书)解 密密钥密文不能在域内设备间拷贝使用,给不方便联网设备获取License解密 密钥密文带来不便。发明内容为了解决域证书中的License解密密钥密文不能在域内设备间拷贝使用, 给不方便联网设备获取License解密密钥密文带来不便的问题,本发明实施例 提供了一种基于域证书共享的数字权限管理方法,包括域管理服务器建立域,生成使用证书解密密钥,并将至少两用户设备加入 到域中;域管理服务器获取用户设备标识集,所述用户设备标识集为加入到域中的 全部用户设备的用户设备标识的集合;域管理服务器通过多元素加密单元素解密的加密算法和用户设备标识集 计算得到域公钥;域管理服务器采用域公钥加密使用证书解密密钥得到使用证书解密密钥
密文,并发送给用户设备;
域中的任一用户设备根据其用户设备标识,解密使用证书解密密钥密文得 到使用证书解密密钥。
同时本发明实施例还提供一种基于域的数字权限管理域管理服务器,包
括
域建立模块用于建立域,生成使用证书解密密钥,并将至少两用户设备 加入到域中;
标识集获取模块用于获取用户设备标识集,所述用户设备标识集为加入 到域中的全部用户设备的用户设备标识的集合;
域公钥计算模块用于通过由多元素加密单元素解密的加密算法和用户设 备标识集计算得到域公钥;
解密密钥加密模块用于釆用域公钥加密使用证书解密密钥得到使用证书 解密密钥密文,并发送给用户设备。
同时本发明实施例还提供一种基于域的数字权限管理系统,包括
域建立模块用于建立域,生成使用证书解密密钥,并将至少两用户设备 加入到域中;
标识集获取模块用于获取用户设备标识集,所述用户设备标识集为加入 到域中的全部用户设备的用户设备标识的集合;
域公钥计算模块用于通过由多元素加密单元素解密的加密算法和用户设 备标识集计算得到域公钥;
解密密钥加密模块用于采用域公钥加密使用证书解密密钥得到使用证书 解密密钥密文,并发送给用户设备;
解密密钥解密模块用于域中的任一用户设备根据其用户设备标识,解密 使用证书解密密钥密文得到使用证书解密密钥。
由上述本发明提供的具体实施方案可以看出,正是由于通过多元素加密单元素解密的加密算法,直接利用域内各个用户设备的标识信息计算域公钥,进而利用该公钥加密License解密密钥,得到License解密密钥密文的解决方案,使 得任一域设备可使用本身标识信息恢复License解密密钥,非域设备则不可。通 过多元素加密单元素解密的加密算法,从域内各个成员设备的标识信息计算域 公钥来加密License解密密钥,保证了 License解密密钥密文可在域内设备间拷贝 使用,解决了不方便联网设备获取License解密密钥密文不便的问题。
图1为DRM系统整体结构图;图2为本发明提供的第一实施例方法流程图;图3为本发明提供的第二实施例方法流程图;图4为本发明提供的第三实施例域管理服务器结构图;图5为本发明^是供的第四实施例系统结构图。
具体实施方式
DRM系统整体结构如图l所示,包括License服务器(使用证书服务器)、 内容服务器、域管理服务器和用户设备,它们之间通过网络连接,其中用户设 备包括用户甲的PC以及便携式阅读器,用户乙的笔记本电脑。其中域管理服 务器用于实现域管理功能,包括域的建立、更新、域^^钥的产生、更新等。所 述域管理服务器需要能同license服务器进行通讯。该域管理服务器可独立于 DRM系统,并对一个或多个DRM系统提供可信的域管理服务。本发明提供的第一实施例是一种基于域证书共享的数字权限管理方法,方 法流程如图2所示,包括步骤101:域管理服务器接收到用户甲通过其PC提出的新建域请求,并 产生一个唯一的域标识domainl (若域管理服务器只管理一个域则不需要域标 识),并随机生成反单向函数链,从中取出第一个数作为该域的License解密密 钥LKeyl ,根据LKeyl产生相应的License加密密钥LPKeyl。然后进一步根据与用户的协商建立相应的域规则,如允许加入域的用户设备数为4、变更 次数为3、临时设备数为2等等。
域管理服务器在接收到新建域请求后,为用户曱分配一个用户名userl, 和一个密码123456,该新建域操作也可在用户将设备第一次添加到域时完成。
随机生成反单向函数链,从中取出第一个数作为该域的License解密密钥 LKeyl ,只是生成License解密密钥LKeyl的一个优选的方案,在本实施例中 也可釆用其它方式生成License解密密钥,如随4几生成一个密钥作为License 解密密钥LKeyl,同样根据LKeyl产生相应的License加密密钥LPKeyl。
步骤102:将PC以及便携式阅读器注册(通过用户特征设备,如智能卡 等)到域管理服务器,即执行发送加入域请求。域管理服务器将PC以及便携 式阅读器加入到domainl域中。注册时将根据PC机的主板号、CPU号和硬盘 号产生的PC机的标识skeyi (i=l )发送给域管理服务器,同时将便携式阅读 器的标识skeyi (i=2),发送给域管理服务器。
具体实施时,用户曱通过PC机上的注册软件输入用户名userl,和对应 密码123456,请求将PC机加入domainl域,管理服务器-险证用户名userl 和密码123456通过后将PC力口入到domainl域中,并将domainl域的域标识 domainl告知PC。
加入域的过程中,用户曱不容易联网的便携式阅读器,将PC机作为便携 式阅读器的注册代理,通过PC机上的注册软件输入用户名userl,和对应密 码123456,请求将PC机代理的便携式阅读器加入domainl域,或者对于用 户曱不容易联网的便携式阅读器可以产生一个ticket,通过PC机将ticket提交, 来代替注册请求,至于通过ticket的具体实现方法属于现有技术,此处不再赘 述。
加入域的过程中,域管理服务器在收到PC机以及便携式阅读器加入域请 求后,验证该请求是否满足域规则,如是否已达到域允许的设备数上限4,因 为PC机和便携式阅读器分别为第一个和第二个申请加入域的设备,判断它们满足规则再进行后续步骤。
步骤103:域管理服务器确定标识集为skeyi (i=l,2)。 步骤104:域管理服务器通过多元素加密单元素解密的加密算法和skeyi (i=l,2)计算得到域公钥Skeyl。多元素加密单元素解密的加密算法在本实施 例中优选使用完全公钥广播加密算法。多元素加密单元素解密的加密算法就是 加密时使用多个元素而解密时只使用其中的一个元素解密,如^f吏用A、 B和C 三个元素加密,解密时只使用A、 B或C任意之一进行解密。典型的算法为完 全公钥广播加密算法。
步骤105:域管理服务器采用Skeyl加密LKeyl得到LKeyl密文。 步骤106:域管理服务器根据LKeyl密文制作域证书vl.O,将域证书vl.O 发送给PC机,域证书vl.O中包含LKeyl密文等。
步骤107: PC机根据skeyi (i=l )解密LKeyl密文得到LKeyl 。 上述步骤中具体实施时PC机可以被动接收域管理服务器发送的域证书 vl.O,并解密LKeyl密文得到LKeyl, PC机还可以主动从域管理服务器下载 域证书v 1.0,并解密LKey 1密文得到LKey 1,对于便携式阅读器前面步骤类同, 只是在步骤106中,可以通过拷贝PC机得到的LKeyl密文的方式获取LKeyl 密文(当然也可以不拷贝PC机得到的LKeyl密文,而是通过与PC机相连直 接使用PC机上的LKeyl密文,只要能达到共享使用的目的就可以)。之后步 骤10 中通过便携式阅读器的用户标识skeyi (i=2)解密LKeyl密文得到 LKeyl。当然便携式阅读器也可以通过PC机连接域管理服务器(或其它方式 连接域管理服务器),以下载的方式获取域证书vl.O。
本发明提供的第二实施例是一种基于域证书共享的数字权限管理方法,方 法流程如图2所示,其中步骤201-步骤207与实施例一中的步骤101-步骤107 相同,还包括
步骤208:用户曱通过PC从内容服务器购买经过内容密钥Ckey加密的数 字内容文档l得到内容密文l。该步骤只要在步骤209之前执行即可。步骤209:用户曱通过PC向License服务器发送获取内容密钥Ckey请求, 请求获取携带Ckey的使用证书(即License ),用于解密使用数字内容文档1 。
步骤210: License服务器根据该获取Ckey请求向用户曱索取PC所在域 的域标识。
步骤211:用户曱通过PC向License服务器发送域标识domainl (域标识 domain 1也可在请求license时一同发出,则步骤210和步骤211可以省略)。
步骤212: License服务器向域管理服务器请求domainl域的License加密 密钥(License加密密钥与解密密钥可相同-用对称加密方法,也可不同-用非对 称加密方法)。
步骤213:域管理服务器将domainl域的License加密密钥LPKeyl告知
License服务器。(此步骤也可包含对License服务器的验证)
步骤214: License服务器根据LPKeyl加密Ckey构成Ckey密文,得到文
档1的使用证书license (包括Ckey密文)。
步骤215: License服务器将文档1的使用证书license返回给PC机。 步骤216: PC机通过LKeyl解密Ckey密文得到Ckey。 步骤217: PC机通过Ckey解密内容密文1得到数字内容文档1。 对于便携式阅读器前面步骤类同,步骤215中PC机将license自由拷贝到
便携式阅读器使用,或便携式阅读器通过PC机。这样无需便携式阅读器重新
获取新的license 。
进一步在上述过程中,在用户设备加入域时,首先判断是否是临时设备的 加入请求,经判断PC机和便携式阅读器不是临时设备,将PC机的skeyi (i=l) 保存到域管理服务器数据库,并与域标识domainl关联。然后根据domainl域 的标识集skeyi (i=l, 2 )和完全公钥广播加密算法计算出相应的公钥Skeyi, 进而得到domainl域的License解密密钥密文,生成包含License解密密钥密文 和域标识domainl等信息的域证书vl.O,将域证书vl.O返回给PC机。
进一步,用户曱还有一个不是临时设备的PDA希望加入该域,需重新确定用户设备标识集,重新确定的用户设备标识集,PDA的用户设备标识skeyi (i-3)则重新确定的用户设备标识集为skeyi (i= 1,2,3 ),根据skeyi (i=l,2,3) 利用完全公钥广播加密算法重新计算出相应的域公钥Skey2,此时License解 密密钥Lkeyl不^f故更新,利用域公钥Skey2加密Lkeyl得到新的License解密 密钥密文。该PDA可直接拷贝PC机由License服务器获取文档1的使用证书 license。使用skeyi (i=3 )解密新的License解密密钥密文得到LKeyl,之后 得到文档1。 PDA的加入对PC机和便携式阅读器的使用不会带来任何影响。 进一步,用户曱的便携式阅读器退出域,重新确定的用户设备标识集,重新确 定的用户设备标识集为skeyi (i=l, 3 ),根据skeyi (i=l, 3 )利用完全公钥 广播加密算法重新计算出相应的域公钥Skey3,选取对应反单向函数链的下一 个数(第二个)作为新的License解密密钥Lkey2并替换现有的License解密密 钥Lkeyl,其余步骤和上述过程类同,此处不再赘述。由于采用反单向函数链 的方式获得Lkey2,因此Lkey2可解密LPKeyl ,这样对之前获得的Ckey密文 还可以继续解密使用。若采用随机生成一个密钥作为License解密密钥LKeyl 的方式,则域管理服务器需要将原License解密密钥LKeyl和新生成的License 解密密钥LKey2 —同发送给PDA,这样PDA就可以解密原License加密密钥 LKeyl 。
由于便携式阅读器的退出将导致License解密密钥Lkeyl更新为Lkey2, 对于更新后产生的数字内容文档2使用license,旧的域i正书vl.O中的License 解密密钥密文将不能适用,PC机将给予提醒,该PC自动完成域证书的更新, 更新为v2.0。 PDA可通过拷贝的方式将新证书v2.0导入。为了避免新旧证书 互相导入造成混乱,证书的新旧由版本号(vl.O为旧版本号,v2.0为新版本号) 决定。在导入证书时,域证书v2.0覆盖域证书vl.O。即在已有域证书v2.0的 情况下,域证书vl.O将不能导入。
进一步,若用户曱还在用他人的PC上网,用户曱告知域管理服务器此PC 是临时设备,则产生一个具有时间限制的临时证书,使用临时PC的用户设备
12标识skeyi (i=4 )加密现有的Lkeyl生成License解密密钥临时密文,并将包 括License解密密钥临时密文的临时"i正书返回给临时PC。临时PC冲艮据skeyi (i=4 )解密License解密密钥临时密文得到Lkeyl。
临时PC的临时证书到达时限后,临时设备由于证书有时间限制,从本地 删除证书即可,无需执行退出域操作。
进一步,域管理服务器接收到用户乙通过其笔记本电脑新建域请求,产生 一个唯一的域标识domain2,随机生成一个新的反单向函数链,从中取出第一 个密钥作为domain2域的License解密密钥LKeyl',笔记本电脑申请注册到 domain2域中,管理服务器将笔记本电脑加入到domain2域中。后续的加解密 过程与前述过程类同此处不再赘述。
本发明提供的第三实施例是一种基于域的数字权限管理域管理服务器,其 结构如图4所示,包括
域建立模块310:用于建立域,生成License解密密钥,并将至少两用户 设备加入到域中;
标识集获取模块320:用于获取用户设备标识集,所述用户设备标识集为 加入到域中的全部用户设备的用户设备标识的集合;
域公钥计算模块330:用于通过由多元素加密单元素解密的加密算法和用 户设备标识集计算得到域公钥;
解密密钥加密才莫块340:用于采用域^H月加密License解密密钥得到License 解密密钥密文,并发送给用户设备。
本发明提供的第四实施例是一种基于域的数字权限管理系统,其结构如图 5所示,包括
域建立模块310:用于建立域,生成License解密密钥,并将至少两用户 设备加入到域中;
标识集获取模块320:用于获取用户设备标识集,所述用户设备标识集为 加入到域中的全部用户设备的用户设备标识的集合;域公钥计算;f莫块330:用于通过由多元素加密单元素解密的加密算法和用 户设备标识集计算得到域公钥;
解密密钥加密才莫块340:用于采用域公钥加密License解密密钥得到License
解密密钥密文,并发送给用户设备;
解密密钥解密模块350:用于域中的任一用户设备根据其用户设备标识, 解密License解密密钥密文得到License解密密钥。
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种基于域的数字权限管理方法,其特征在于,包括域管理服务器建立域,生成使用证书解密密钥,并将至少两用户设备加入到域中;域管理服务器获取用户设备标识集,所述用户设备标识集为加入到域中的全部用户设备的用户设备标识的集合;域管理服务器通过多元素加密单元素解密的加密算法和用户设备标识集计算得到域公钥;域管理服务器采用域公钥加密使用证书解密密钥得到使用证书解密密钥密文,并发送给用户设备;域中的任一用户设备根据其用户设备标识,解密使用证书解密密钥密文得到使用证书解密密钥。
2、 如权利要求1所述的方法,其特征在于,所述由多元素加密单元素解 密的加密算法为完全公钥广播加密算法。
3、 如权利要求2所述的方法,其特征在于,域管理服务器随机生成反单 向函数链,从中取出一个密钥作为使用证书解密密钥。
4、 如权利要求3所述的方法,其特征在于,域管理服务器建立域,生成使用证书解密密钥,并将至少两用户设备加入到域中的步骤后还包括域管理服务器根据使用证书解密密钥生成使用证书加密密钥;用户设备向使用证书服务器请求获取用于加密数字内容的内容密钥;使用证书服务器向域管理服务器请求获取使用证书加密密钥;使用证书服务器根据使用证书加密密钥加密内容密钥得到内容密钥密文;使用证书服务器将内容密钥密文发送给用户设备;在域中的任一用户设备根据其用户设备标识,解密使用证书解密密钥密文得到使用证书解密密钥的步骤后还包括用户设备采用使用证书解密密钥解密内容密钥密文得到内容密钥; 用户设^f吏用内容密钥解密内容密文获得数字内容。
5、 如权利要求1至4中任一权利要求所述的方法,其特征在于,当有新 的临时用户设备力。入域时,使用该临时用户设备标识加密使用证书解密密钥, 得到使用证书解密密钥临时密文;设定使用证书解密密钥临时密文在临时设备中的使用时限;临时用户设备根据其用户设备标识解密使用证书解密密钥临时密文得到使用证书解密密钥;当使用时限到达后,使用证书解密密钥临时密文被无效,临时用户设备退出域。
6、 如权利要求1至4中任一权利要求所述的方法,其特征在于,当有新 的非临时用户设备加入域时,域管理服务器更新用户设备标识集并重新计算域 公钥。
7、 如权利要求3或4所述的方法,其特征在于,当有非临时用户设备退 出域时,域管理服务器更新用户设备标识集并重新计算域公钥;域管理服务器从反单向函数链中取出下一个密钥更新使用证书解密密钥; 域管理服务器使用新计算的域公钥加密新的使用证书解密密钥,生成新的 使用证书解密密钥密文。
8、 如权利要求1至4中任一权利要求所述的方法,其特征在于,域管理 服务器设置使用证书解密密钥生命期,当使用证书解密密钥的存在时间超过所 设置的生命期时,域管理^^务器更新使用证书解密密钥。
9、 如权利要求4所述的方法,其特征在于,域管理服务器建立至少两个 域,对应每个域生成使用证书解密密钥、使用证书加密密钥和域标识;将域标识与使用证书解密密钥密文关联后发送给用户设备; 用户设备向使用证书服务器请求获取用于加密数字内容的内容密钥的过 程中,将该用户设备的域标识发送给使用证书服务器;使用证书服务器根椐该用户设备的域标识,向域管理服务器请求获取具有 该用户设备域标识域的使用证书加密密钥。
10、 如权利要求9所述的方法,其特征在于,所述用户设备标识集为具有 相同域标识的全部用户设备标识的集合。
11、 如权利要求l所述的方法,其特征在于,用户设备被动接收域管理服 务器发送的使用证书解密密钥密文,并解密得到使用证书解密密钥;或用户设备主动从域管理服务器下载使用证书解密密钥密文,并解密得到使 用证书解密密钥;或用户设备共享使用其它用户设备的使用证书解密密钥密文,并解密得到使 用证书解密密钥。
12、 如权利要求l所述的方法,其特征在于,用户设备共享使用其它用户 设备的使用证书解密密钥密文具体为用户设备从其他设备拷贝使用证书解密密钥密文。
13、 一种基于域的数字权限管理域管理服务器,其特征在于,包括 域建立模块用于建立域,生成使用证书解密密钥,并将至少两用户设备力口入到域中;标识集获取it块用于获取用户设备标识集,所述用户设备标识集为加入 到域中的全部用户设备的用户设备标识的集合;域公钥计算模块用于通过由多元素加密单元素解密的加密算法和用户设 备标识集计算得到域公钥;解密密钥加密模块用于采用域公钥加密使用证书解密密钥得到使用证书 解密密钥密文,并发送给用户设备。
14、 一种基于域的数字权限管理系统,其特征在于,包括 域建立模块用于建立域,生成使用证书解密密钥,并将至少两用户设备加入到域中;标识集获取模块用于获取用户设备标识集,所述用户设备标识集为加入到域中的全部用户设备的用户设备标识的集合;域公钥计算模块用于通过由多元素加密单元素解密的加密算法和用户设 备标识集计算得到域公钥;解密密钥加密模块用于釆用域公钥加密使用证书解密密钥得到使用证书 解密密钥密文,并发送给用户设备;解密密钥解密模块用于域中的任一用户设备根据其用户设备标识,解密 使用证书解密密钥密文得到使用证书解密密钥。
全文摘要
本发明公开了一种基于域的数字权限管理方法、域管理服务器及系统,为了解决License解密密钥密文不能在域内设备间拷贝使用的问题,通过多元素加密单元素解密的加密算法,利用设备标识集计算得到域公钥,加密License解密密钥得到License解密密钥密文,任一域设备可使用本身标识恢复License解密密钥,非域设备则不可。由于使用多元素加密单元素解密的加密算法,直接从设备标识集计算域公钥来保护License密钥,License解密密钥密文对于任一域设备可共享使用,保证了License解密密钥能且仅能在域内设备间拷贝使用,解决了不方便联网设备获取License解密密钥不便的问题。
文档编号H04L9/32GK101252432SQ20071017993
公开日2008年8月27日 申请日期2007年12月19日 优先权日2007年12月19日
发明者俞银燕, 帜 汤, 洪献文, 飞 高 申请人:北大方正集团有限公司;北京方正阿帕比技术有限公司;北京大学