专利名称:提供数字版权管理许可证的方法
提供数字版权管理许可证的方法本申请是申请日为2006年10月13日、申请号为200610132255.9、发明名称为"提供数字版权管理许可证的方法和系统"的发明专利申请的分案申技术领域根据本发明的方法和系统涉及一种数字版权管理许可证,更具体地讲, 涉及使用关于传送许可证的路径的信息来绑定数字内容的许可证。
背景技术:
互联网和多媒体技术的发展导致数字内容的广泛分布和可存取性。然而, 如果没有可行的方式来保护这些数字内容的版权,则多媒体技术的发展还会 导致数字内容的非法分布。为了更有效地保护数字内容的版权,许多关于数字版权管理(DRM)的研 究正在进行以被用于商业服务。这里,DRM指的是将数字内容的使用仅限制 于合法用户的软件或者硬件技术。迄今,大多数DRM包括与许可证和数字 内容相关的技术。所述许可证通常包括可关于数字内容被执行的一套权限以 及能够对相关内容解密的内容密钥。具有讽刺意味的是,对DRM的需要起因于数字数据的通用性和便于管 理的特性。大家知道,数字内容与模拟数据不同,它可容易地被无损拷贝、 再使用、处理以及分布到第三方,但是制作数字内容却需要大量的花费、工 作以及时间。因此,由于潜在的利益没有被完全实现,所以不经许可拷贝和 分布数字内容阻碍了数字内容产业的发展,这打击了所述产业中的商业积极 性。已对保护数字内容做了一些努力。通常,数字内容保护集中在防止在没 有被允许的情况下访问数字内容。例如,仅允许付费的用户访问数字内容。 然而,当付费的用户访问数字内容并将其分布到第三方时,数字内容可被所 述第三方在没有付费的情况下使用,这在数字内容服务商业化的过程中导致3了许多问题。DRM尝试解决这些问题。随着DRM的实现,允许用户随意访问加密的 数字内容,但是对加密的数字内容解密以及执行需要许可证。其结果是,可 通过使用DRM来更有效地保护数字内容。图1是示意性地示出现有技术DRM的示图。这里,DRM主要覆盖通过 加密或置乱来保护的数字内容(以下在图1中称为"加密内容,,)和访问加密数 字内容的许可证。在图1中具有用户110,期望访问通过DRM保护的数字内容;内容发 行者120,提供数字内容;许可证发行者130,发行包括访问数字内容的权限 的许可证;和证书授权机构140,发行证书。用户110可从内容发行者120获得期望的数字内容,所述数字内容是通 过DRM保护的加密内容。用户110可从许可证发行者130获得可执行加密 内容的许可证。具有所述许可证的用户IIO可执行所述加密内容。证书授权机构140发行指示内容发行者120和用户IIO是合法的用户的 证书。当每个装置被制造时,所述证书可被存储在所述装置中。然而,从证 书授权机构140发行的证书在期满之前可能会被^:销。如上所述,DRM可保 护数字内容制作者或发行者的利益以在刺激数字内容产业方面给予帮助。通常,为了防止许可证(或数字内容)被非法装置或用户使用,许可证被 绑定到装置或用户。"绑定"是这样一种概念,即通过加密技术将数字内容的 播放(或访问)限制于特定装置或用户,以便除所述特定装置或用户之外的装置 或用户不能播放(或访问)所述内容。如图2所示,大多数现有技术DRM方案 通过使用绑定密钥将许可证(或数字内容)绑定到内容用户、播放内容的播放 器、使用内容的用户组、播^:器组等。图2示出数字内容和发行用于所述数字内容的许可证的内容发行者210。 提供数字内容的主体和提供许可证的主体可能不同。然而,为了便于解释, 认为相同的主体4^供数字内容和许可证。参照图2,内容发行者210可通过以下方式来提供DRM许可证对使用 内容的用户组220通过使用绑定密钥Ku来对内容加密密钥(CEK)加密(S201); 对使用内容的各内容用户222、224、226和228通过使用绑定密钥Ku一l 、Ku—2、 Ku一3和Ku一4来对CEK加密(S202);对使用内容的播放器组230通过使用绑 定密钥Kd来对CEK加密(S203);或者对使用内容的各播放器231、 232、 233、234、 235和236通过使用绑定密钥Kd—1、 Kd—2、 Kd—3、 Kd—4、 Kd—5和Kd—6 来对CEK加密(S204)。在这种情况下,CEK指的是对数字内容加密的密钥。 在上述绑定结构中,内容发行者210不能被充分地反映,现在将参照图 3A和3B来解释。参照图3A,假定第一到第四内容用户222、 224、 226和228分别拥有第 一播放器231、第三播放器233、第四播放器234、第六播放器236,四个内 容用户222、 224、 226和228共享第二播;改器232和第五插-放器235。在这种情况下,如果内容发行者210想要通过共享的第二播放器232和 第五播放器235将内容215的使用限制在第一内容用户222和第二内容用户 224,则在上述绑定结构下不能够满足内容发行者的这种要求。具体地讲,如图3B所示,在第一内容用户222和第二内容用户224位 于单个域330并且对于该域通过使用绑定密钥Ka对CEK加密来提供DRM 许可证(S310)的情况下,由于第一内容用户222和第二内容用户224分别拥 有第一播放器231和第三播放器233,所以第一内容用户222和第二内容用 户224可通过第一播放器231和第三播放器233使用内容215。这有悖于内 容发行者210的要求。另外,在第二播放器232和第五播放器235位于单个域340并且对于该 域通过使用绑定密钥Kb对CEK加密来提供DRM许可证(S320)的情况下, 由于第三内容用户226和第四内容用户228分别共享第二4番^L器232和第五 播放器235,所以第三内容用户226和第四内容用户228可通过第二播放器 232和第五播放器235使用内容215。以相同的方式,这种结果有悖于内容发 行者210的要求。如上所述,现有技术绑定方法遵循仅考虑使用许可证的主体(例如,内容 用户或者使用内容的用户组)或对象(例如,播放内容的播放器或播放器组)的 装置绑定方法或用户绑定方法,因此数字内容的使用范围^^皮限制。另夕卜,根据现有技术,在内容发行侧的发行DRM许可证的DRM系统和 在播放器侧的对加密内容解密和播放的DRM系统应该是相同的DRM系统。发明内容本发明的示例性实施例克服了上述缺点和上面没有描述的缺点。另外, 不要求本发明克服上述确定,本发明的示例性实施例可能没有克服上述的任何问题。本发明提供了这样一种系统和方法,即在DRM环境下,所述系统和方法以多种形式提供数字内容的使用范围,而没有将许可证仅绑定到使用该许 可证的主体或对象。本发明还提供了 一种即使在不同的DRM系统中也能够使用的DRM许可 证的方法。根据本发明的一方面,提供了一种提供DRM许可证的系统。所述系统 包括接收器系统,请求用于内容的许可证;源系统,根据所述请求,产生 和提供包括与许可证相关的绑定信息的第一权限令牌;权限中介器,在第一 权限令牌的基础上产生在接收器系统中可用的第二权限令牌,并将产生的第 二权限令牌发送到接收器系统;其中,接收器系统在第二权限令牌的基础上 提供用于所述内容的许可证。根据本发明的另一方面,提供了一种提供DRM许可证的方法,所述方 法包括产生第一权限令牌,所述第一权限令牌包括与用于内容的许可证相 关的绑定信息;在产生的第一权限令牌的基础上产生第二权限令牌;和在产 生的第二权限令牌的基础上提供用于所述内容的许可证。
通过参照附图对本发明特定示例性实施例的详细描述,本发明的上述方 面将变得更加明显,其中图1是示意性地示出现有技术DRM的概念示图;图2是示出现有技术绑定方法的示图;图3A和3B是解释现有技术绑定方法的问题的示图;图4是示出根据本发明示例性实施例的提供DRM许可证的系统的示图;图5是示出根据本发明示例性实施例的DRM许可证提供系统的详细结 构的示图;图6是示出根据本发明示例性实施例的提供DRM许可证的方法的流程图;图7是示出根据本发明示例性实施例的web服务服务器的结构的示图;图8是示出根据本发明示例性实施例的客户机的结构的示图;和图9A和9B是示出根据本发明示例性实施例的提供DRM许可证的系统的示图。
具体实施方式
以下,将参照附图详细地描述本发明的示例性实施例。通过参照参考附 图详细描述的示例性实施例,本发明的多个方面和实现所述所个方面的方法 将显而易见。然而,本发明并不限于以下/>开的示例性实施例,而是可以以 不同的形式被实现。在说明书中定义的内容,例如详细的结构和部件,只是 为了帮助本领域的普通技术人员全面理解本发明而提供的特定细节,本发明 仅被限定在权利要求的范围内。在本发明示例性实施例的整个描述中,相同 的附图标号用于不同附图的相同部件。现在将参照附图来描述本发明,所述附图示出了用于解释才艮据本发明示例性实施例的提供DRM许可证的方法和系统的方框图和流程图。应该理解,流程图的每个方框和在流程图中的方框的组合可由计算机程序指令实现。这 些计算机程序指令可被提供给通用计算机、专用计算机、或者其他可编程数 据处理设备的处理器以产生设备,从而经计算机或者其他可编程数据处理设 备的处理器执行的指令创建用于实现在一个流程图方框或多个流程图方框中 描述的功能的手段。这些计算机程序指令也可被存储在可指导计算机或者其 他可编程数据处理设备以特定方式工作的计算机可用或计算机可读存储器 中,以便存储在计算机可用或计算机可读存储器中的指令生产包括执行在一 个流程图方框或多个流程图方框中描述的功能的指令手段的产品。计算机程 序指令也可被载入计算机或其他可编程数据处理设备以使得一系列操作步骤 在计算机或其他可编程设备上被执行以产生计算机执行的过程,从而在计算 机或其他可编程设备上执行的指令提供用于实现在一个流程图方框或多个流 程图方框中描述的功能的步骤。另外,流程图的每个方框可表示模块、代码l炎或部分代码,其包括一个 或多个用于实现特定逻辑功能的可执行指令。还应该注意,在一些可选择的 实现中,在方框中提到的功能可以以不同于所示的顺序出现。例如,根据所 涉及的功能,连续显示的两个方框实际上可能基本上同时被执行,或者所述 两个方框有时可能以相反的顺序被执行。图4是示出根据本发明示例性实施例的提供DRM许可证的系统的示图。 参照图4,提供DRM许可证的系统400包括源系统500、接收器系统(sinksystem)700、权限中介器(right mediator)600和连接源系统、接收器系统和权 限中介器的网络450。源系统500作为发送内容的系统,产生DRM许可证和加密内容。 接收器系统700作为从源系统500接收内容和使用所述内容的系统,使 用DRM许可证并对加密内容解密。接收器系统700可被分成使用接收器系 统700的使用主体和诸如播放器的使用对象。例如,接收器系统700可由属 于用户家庭网络的所有音频/—见频(AV)播放器、特定移动装置或用户的家庭来 实现。以下,实现接收器系统700的使用主体或使用对象被称为"实体 (principal)"。可根据实现接收器系统700的模型来不同地管理接收器系统700中的实 体。例如,与特定用户相关的信息可被存储在PC、智能卡和便携式电话中, 或者可以以账户密码的形式被管理。权限中介器600是将从源系统500提供的DRM许可证转换或再处理成 在接收器系统700中可被理解的DRM许可证的形式的系统。例如,在源系统500设置有"A,, DRM系统以及接收器系统700设置有"B" DRM系统的情况下,接收器系统700不能理解从源系统500产生的DRM许 可证。因此,优点在于具有能^皮源系统500和接收器系统700理解的DRM许 可证,为了描述的目的,这样的DRM许可证将纟皮称为"权限令牌"。具体地讲,当源系统500产生与加密内容相关的多个权限令牌并将其提 供时,权限中介器600通过使用所述多个权限令牌产生权限令牌,并将产生 的权限令牌提供给接收器系统700。在这种情况下,为了区别权限令牌的类 型,由源系统500提供的权限令牌称为"副权限令牌",由权限中介器600产 生并提供给接收器系统700的权限令牌被称为"主权限令牌"。图5是示出根据本发明示例性实施例的DRM许可证提供系统的详细结 构的示图。参照图5,源系统500管理多个内容501、 502和503以及用于各内容的 DRM许可证,并包括产生副权限令牌的web服务服务器550。接收器系统700 包括多个实体701、 702、 703、 704和705以及通过4又限中介器600接收主权 限令牌的客户机750。尽管客户机750直接从web服务服务器550接收加密 内容,但是客户机750还可经权限中介器600接收内容。在这种情况下,组成接收器系统700的各实体可以以指示所述实体之间的关系的拓朴的形式被构造。例如,参照图5,假定U1 704和U2 705是使用 主体,Dl 701、 D2 702和D3 703是使用对象,则Ul 704可通过D1 701和 D2 702播放内容。另夕卜,D1701、 D2 702和D3 703被构造以属于客户机750 管理的域。因此,可由连接各实体的边来确定实体的拓朴。当指示使用主体 的实体A通过单个边被连接到指示使用对象的实体B时,如果所述边的箭头 指向实体A,即"A —B",则实体A还可播放实体B中的内容。现在将参照图6中示出的流程图来详细解释图5中示出的各部件的操作。当客户机750向web服务服务器550请求对特定内容的许可证时,web 服务服务器550通过使用证书、接收器系统的内容购买信息或者诸如互联网 协议(IP)地址、账户和密码的客户机的访问信息,执行认证以确认客户机750 是否是合法的客户机(S610)。如果确认客户机750是合法的客户机,则web服务服务器550产生用于 请求的内容的副权限令牌,并将其提供给权限中介器600(S620)。客户机750 请求的内容可被web服务服务器550加密而被提供给所述客户机。在这种情况下,副权限令牌包括客户机750所请求的内容的绑定信息和 所请求的内容的权限信息。通常,这种绑定信息被表示为特定实体。在本发明中,绑定信息可被表示为多个实体之间的路径信息,而不是由单个实体来 表示绑定信息。所述路径信息是关于连接实体的边的信息。另外,web服务服务器550可产生并提供多个副权限令牌。在这种情况 下,每个副权限令牌包括作为绑定信息的多个实体之间的路径信息。如果web 服务服务器550产生多个副权限令牌并将其提供给权限中介器600,则权限 中介器600通过将所述多个副权限令牌组合产生一个主权限令牌,然后将产 生的主权限令牌发送到客户机750(S630)。在这种情况下,所述主权限令牌包 括指示在各副权限令牌中包括的绑定信息或权限信息之间的关系的关系信 息,通过该关系信息,各绑定信息或权限信息之间的运算,例如差集、交集 和并集,变成可能。例如,如果在第一副权限令牌中包括的第一绑定信息和 在第二副权限令牌中包括的第二绑定信息之间的关系信息指示交集,则可理 解内容播放权限被给予属于与第 一绑定信息相应的路径信息和与第二绑定 信息相应的路径信息的公共路径的实体。关系信息可由web服务服务器550产生,然后被提供给权限中介器600。 在从权限中介器600接收的主权限令牌的基础上,客户机750可产生用于给予内容播放权限的拓朴(S640)。即,由于主权限令牌包括关于多个路径的路径信息和各路径信息之间的 关系信息,所以可在路径信息和关系信息的基础上产生诸如树结构的拓朴。 树结构仅为示例。还可考虑其他拓朴。700的实体而绑定的许可证(S650)。图7是示出根据本发明示例性实施例的web服务服务器的结构的示图。 参照图7,根据本发明示例性实施例的web服务服务器550包括接口 模块552,与客户机750或权限中介器600通信;许可证产生模块551,产生 用于客户机750请求的内容的副权限令牌;存储模块554,存储客户机750 请求的内容或者用于所请求的内容的绑定信息;和控制模块553,控制各模 块的操作。在本发明示例性实施例中使用的模块可包括软件或硬件部件,例如现场 可编程门阵列(FPGA)或专用集成电路(ASIC),用于"t丸行特定功能的。然而, 模块并不限于软件或硬件组件。模块可被配置在可寻址的存储介质中,或者 可被配置以再现一个或多个处理器。因此,举例来说,模块可包括诸如软 件组件、面向对象的软件组件、类组件和任务组件的组件、进程、函数、属 性、过程、子程序、程序代码段、驱动程序、固件、微码、电路、数据、数 据库、数据结构、表、数组和变量。在组件和模块中提供的功能可被组合为 更少的组件和模块,或者可进一 步被分离成另外的组件和模块。当接口模块552从客户机750接收对内容的请求以及用于内容的许可证 的请求时,控制模块553搜索存储模块554,对请求的内容加密,并通过接 口模块552将加密内容发送到客户机750。另外,控制模块553将存储模块554中存储的绑定信息提供给许可证产 生模块551,许可证产生模块551通过使用绑定信息产生副权限令牌,并将 产生的副权限令牌提供给控制模块553。在这种情况下,绑定信息可被表示 为指示多个实体之间的关系的路径信息。控制模块553通过接口模块552将 产生的副权利令牌发送到权限中介器600。图8是示出根据本发明示例性实施例的客户机的结构的示图。参照图8,根据本发明示例性实施例的客户机750包括接口模块751, 与web服务服务器550或权限中介器600通信;本地DRM许可证产生模块器600接收的主权限令牌转换成客户机750中安装的DRM 许可证的形式;外部装置通信模块753,将主权限令牌提供给组成接收器系 统的使用主体或使用对象;和控制模块752,控制各模块的操作。当接口模块751从权限中介器600接收主权限令牌时,控制模块752在 主权限令牌的基础上产生用于给予内容播放权限的拓朴。然后,控制模块752 通过使用产生的拓朴来确定是否访问通过组成接收器系统的实体绑定的许可 证,并以此为基础,控制本地DRM许可证产生才莫块754产生可被客户机750 中安装的DRM许可证系统理解的许可证。另外,控制模块752可通过外部装置通信模块753将从权限中介器600 接收的主权限令牌提供给使用主体或使用对象,或者将主权限令牌转换成适 合于使用主体或使用对象的许可证形式。尽管图4示出了包括一个源系统500和一个接收器系统700的DRM许 可证提供系统,但是本发明并不限于此,如图9A和9B所示,所述DRM许 可证提供系统可包括多个源系统和多个接收器系统。如果存在多个源系统,则权限中介器可通过组合从各源系统接收的副权 限令牌来产生一个主权限令牌,在这种情况下,产生的主权限令牌包括指示 所述源系统之间的关系的信息。如上所述,根据本发明示例性实施例,可以以不同的形式提供数字内容 的使用范围,并可在不同的DRM系统中使用DRM许可证。另外,本发明总的发明构思可满足期望以不同形式使用数字内容的内容 发行者的需要。已参照附图描述了本发明的示例性实施例。然而,本领域的技术人员应 该理解,在实质上不脱离本发明的原理的情况下,可对公开的示例性实施例 进行许多改变和修改。因此,公开的本发明的示例性实施例仅在一般性和描 述意义上被使用,而非限制的目的。
权利要求
1、一种提供数字版权管理许可证的方法,所述方法包括接收器系统向源系统发送对用于内容的许可证的请求;接收器系统接收与用于内容的许可证相关的主权限令牌;接收器系统使用接收的主权限令牌将用于内容的许可证提供给构成接收器系统的实体,其中,主权限令牌由权限中介器使用源系统所产生的副权限令牌产生,并被发送给接收器系统,主权限令牌和副权限令牌包括绑定信息,所述绑定信息包括指示被提供许可证的多个实体之间的关系的路径信息。
2、 如权利要求l所述的方法,其中,所述多个实体包括使用内容的使用 主体和播放内容的使用对象。
3、 如权利要求l所述的方法,其中,提供许可证的步骤包括 基于产生的主权限令牌产生用于给予内容播放权限的拓朴; 基于产生的拓朴将许可证提供给构成接收器系统的实体。
4、 如权利要求1所述的方法,其中,源系统包括web服务服务器,所 述web服务服务器管理多个内容以及用于各内容的多个数字版权管理许可 证,并产生副权限令牌。
5、 如权利要求l所述的方法,其中,接收器系统包括客户机,所述客户 机管理所述多个实体,并从权限中介器接收主权限令牌。
6、 如权利要求l所述的方法,其中,权限中介器从多个源系统接收副权 限令牌,通过组合从各源系统接收的副权限令牌产生主权限令牌,所述主权 限令牌包括指示各源系统之间的关系的信息。
全文摘要
提供了一种提供数字版权管理(DRM)许可证的方法。所述方法包括接收器系统向源系统发送对用于内容的许可证的请求;接收器系统接收与用于内容的许可证相关的主权限令牌;接收器系统使用接收的主权限令牌将用于内容的许可证提供给构成接收器系统的实体,其中,主权限令牌由权限中介器使用源系统所产生的副权限令牌产生,并被发送给接收器系统,主权限令牌和副权限令牌包括绑定信息,所述绑定信息包括指示被提供许可证的多个实体之间的关系的路径信息。
文档编号H04L29/06GK101330380SQ20081009169
公开日2008年12月24日 申请日期2006年10月13日 优先权日2005年10月13日
发明者金亨植 申请人:三星电子株式会社