一种面向家庭网络的数字版权证书管理系统的制作方法

专利名称：一种面向家庭网络的数字版权证书管理系统的制作方法
技术领域：
本发明属于多媒体安全技术，具体涉及一种面向家庭网络的数字版权证书管理系统，该系统基于组密钥技术来实现数字版权证书的发放和管理。

背景技术：
随着无线通信技术的成熟以及消费电子产品的日益普及，与家庭网络相关的技术及标准已成为业界研究和关注的热点。家庭网络是指通过家庭网关设备将公共网络功能和应用延伸到家庭，并以有线或无线网络连接各种信息终端，达到信息在家庭内网与外部公网的充分流通和共享。用户可通过家庭网络享受诸如网络访问、IP电话、互动游戏等服务。相应地，数字作品在网络中极易复制和传播，一方面其给人们带来便捷，同时也给非法复制和传播数字作品提供可乘之机，发生在网中的数字侵权行为十分严重，这极大损害了内容提供商的利益。目前，解决该问题主要方法是采用数字版权管理(Digital Rights Management，DRM)技术。然而家庭网络的独特之处使得现有的DRM系统对其并非完全适合。譬如，现有的多数DRM系统并不支持家庭网络内用户之间的数字内容共享。这样，即使数字内容已经存在于家庭网络内某个用户设备上，当其它设备需要使用该内容时，仍需要和数字版权服务器发起连接并重新请求数字版权证书，这给用户的内容共享带来了不便，并在一定程度上限制了DRM技术在家庭网络中的应用。
针对现有DRM系统中存在的多个用户之间的内容共享问题，开放移动联盟在其发布的DRM 2.0中提出了“域”的概念。数字版权服务器可以将权利及其它相关信息绑定到该域中的所有DRM代理上。因此，它们即使在离线的情况下也能进行数字内容的共享。一些研究者利用该思想，针对家庭网络应用环境提出了不同的DRM解决方案，但通过对这些方案的分析可看到，它们在现有的数字权利管理模式、管理的灵活性等方面存在着一些不足，因此本发明基于组密钥技术，拟提出一种面向家庭网络的数字版权证书管理系统以实现家庭网络内用户之间数字内容的方便共享。


发明内容
本发明提出了一种面向家庭网络的数字版权证书管理系统。在该系统中，家庭网络内所有用户设备被分配一对特殊的公私钥对，其中公钥包含在设备证书当中，它可以对该用户设备进行唯一标识。若家庭网络中某一用户设备想使用某一数字内容，首先，家庭网关基于家庭网络内所有合法用户设备的公钥，生成一个组密钥，该组密钥具有这样的特性，其加密的内容，所有合法用户设备均可使用自己私钥解密；然后，家庭网关代表家庭网络内所有合法用户设备，以该组密钥作为数字版权证书的加密密钥，向数字版权服务器申请数字版权证书。通常，数字内容是以加密形式存在的数据包，该包可以在用户设备之间通过超级分发实现共享，而数字版权服务器颁发的数字版权证书可以保证只要合法用户设备就可以解密并播放该数字内容。
采用的具体技术方案如下 一种面向家庭网络的数字版权证书管理系统，包括家庭网关、用户设备和DRM服务器群，其中，所述家庭网关用于创建和管理域、为用户生成公私钥对以及生成并更新组密钥，并作为用户设备的代理进行数字内容和数字版权证书的申请；所述用户设备用于申请并使用数字内容和数字版权证书，并能够在域内进行数字内容的分发；所述DRM服务器群，用于生成并发布数字内容和数字版权证书，以及生成、发放和管理身份证书，并提供所述身份证书状态的在线查询服务。
本发明所述的家庭网关包括域创建及注册模块、域管理模块、数字内容获取模块、数字版权证书获取模块及身份证书客户管理模块，所述域创建及注册模块用于在家庭网关创建域并对该域进行维护，只有加入该域的用户设备才能使用所述系统提供的服务；所述域管理模块用于处理家庭网络内的用户设备的加入或退出域请求；所述数字内容获取模块用于接收用户设备的数字内容申请，向DRM服务器群请求该数字内容，并将所得结果返回；所述数字版权证书获取模块用于接收用户设备的数字版权证书申请，向DRM服务器群请求该数字版权证书，并将结果返回；所述身份证书客户管理模块用于向DRM服务器群申请并获取身份证书，并在需要时进行身份证书状态的在线查询。
本发明所述用户设备包括域注册模块、域注销模块、数字内容获取模块、数字版权证书获取模块、内容播放模块和内容超级分发模块，所述域注册模块和域注销模块分别用于向家庭网关申请加入和退出域；所述数字内容获取模块和数字版权证书获取模块分别用于向家庭网关申请并获取数字内容和数字版权证书；所述内容播放模块用于解密获取的数字内容并播放；所述的内容超级分发模块用于域内的用户设备通过超级分发模式从域内其它用户设备处获取数字内容，从而实现域内数字内容的共享。
本发明所述DRM服务器群包括家庭网络注册和管理模块、数字内容分发模块、数字版权证书生成和发放模块以及身份证书服务器管理模块；所述家庭网络注册和管理模块用于接受并处理家庭网关的注册申请、接受并处理家庭网关的域更新；所述数字内容分发模块和数字版权证书生成和发放模块分别用于接受并处理家庭网关的数字内容请求和数字版权证书请求；所述的身份证书服务器管理模块用于接受并处理家庭网关的身份证书请求，并在需要时提供身份证书状态的在线查询。
本发明中当新的用户设备要加入家庭网络的域中时，所述的域管理模块的工作流程如下 1)建立该新的用户设备与家庭网关的连接； 2)该新的用户设备向家庭网关提交自己的设备信息； 3)家庭网关验证并记录该用户设备所提交的设备信息，然后按如下步骤为它产生一个公私钥对 a)产生两个素数pi和qi，其中i为该新的用户设备对应的序号，pi和qi采用256bit的素数，pi和qi在使用过后将被丢弃以保证其不被他人获取； b)计算Ni＝pi×qi； c)计算Φ(Ni)＝(pi-1)×(qi-1)，并选择正整数e使得e与Φ(Ni)互质， 即满足gcd(e，Φ(Ni))＝1，e作为公共参数公开； d)计算di，使其满足公式edi＝1modΦ(Ni)，将参数组合构成公钥Ki＝<e，Ni>和私钥
4)所述家庭网关用生成的公钥Ki来产生该新的用户设备的设备证书，并将该设备证书及生成的设备私钥Ki-1传输给该用户设备； 5)所述家庭网关创建或更新其域内的合法用户设备列表，并按下面方法生成或更新组密钥GPK a)取出域内每个合法用户设备所拥有的公钥Nj，Nj∈Sr，其中j为合法用户设备的序号，Sr表示所有合法用户设备的公钥集合； b)根据Ni和Sr来生成组密钥GPK，这里
6)家庭网关和DRM服务器群建立连接； 7)家庭网关和DRM服务器群交换各自的身份证书，DRM服务器群中的认证中心验证家庭网关提交的身份证书的有效性，若通过验证则进行下一步；否则DRM服务器群向家庭网关返回错误信息并终止； 8)家庭网关向DRM服务器群提交其合法用户设备列表和组密钥； 9)DRM服务器群处理并存储相关信息，并向家庭网关返回确认信息。
本发明当家庭网络域内的用户设备A拥有数字内容，而域内另一用户设备B希望使用该数字内容时，所述的内容超级分发模块的工作过程为 1)用户设备B和用户设备A建立连接； 2)用户设备B和用户设备A交换各自的设备证书，并提出数字内容分发请求； 3)用户设备A和家庭网关建立连接； 4)用户设备A向家庭网关提交自己的设备证书； 5)家庭网关验证用户设备A设备证书的有效性，若通过验证则继续下一步，否则家庭网关向用户设备A返回错误信息并终止； 6)用户设备A向家庭网关提交用户设备B的设备证书并请求验证； 7)家庭网关验证用户设备B的设备证书的有效性，并向用户设备A返回验证结果，若通过验证则继续下一步，否则用户设备A向用户设备B返回错误信息并终止； 8)用户设备A向用户设备B返回身份验证通过信息； 9)用户设备B向用户设备A提出对某个数字内容的请求； 10)用户设备A向用户设备B传输该数字内容。
本发明提供的面向家庭网络的数字版权证书管理系统，其主要功能包括。
1)家庭网关创建域并向DRM服务器群注册； 2)用户设备向家庭网关申请加入域，家庭网关为申请加入该域的用户设备生成一对公私钥；家庭网关依据所有用户设备的公钥生成组密钥，并将该组密钥发送给DRM服务器群； 3)用户设备向家庭网关申请数字内容和数字版权证书，家庭网关作为其代理向DRM服务器群申请数字内容和数字版权证书，其中它所申请的数字版权证书被DRM服务器群使用组密钥进行加密，因此只有合法用户设备才能解密使用； 4)用户设备可在域内进行内容的超级分发以实现数字内容的共享。
本发明利用基于RSA算法的组密钥技术实现了数字版权证书的灵活管理，实现了数字内容在家庭网络域内的方便共享。具体来说，本发明具有以下特点 (1)本发明中，对数字版权证书使用组密钥进行加密，使得家庭网络只需对数字内容进行一次数字版权证书的申请即可实现整个域内的数字内容共享，这样可减轻数字版权服务器的负载。
(2)本发明中，家庭网络域内用户可通过超级分发方式实现数字内容的方便共享。
(3)本发明中组密钥生成时，是基于所有合法设备的公钥，由于公钥是可以公开发布的，因而无须担心密钥传输的安全性；同时生成的组密钥是一个特殊RSA公钥，其加密的内容只有合法设备使用自己的私钥才能解密，由于RSA算法是目前安全性极高的加密算法，因而其具有很好的安全性。
总之，在本发明的数字版权证书管理系统的支持下，数字版权证书和数字内容可以方便安全地在家庭网络域内实现共享。



图1是基于本发明所提出系统的结构图。
图2是系统功能模块示意图。

具体实施例方式 如附图1所示，本发明提出的面向家庭网络的数字版权证书管理系统包括三部分家庭网关10，用户设备20，DRM服务器群30。其中家庭网关10是一台专用服务器；用户设备20可能是PC机、便携电脑等设备；而DRM服务器群30包括内容服务器、数字版权服务器以及认证中心。
下面结合附图2，具体介绍各组成部分中所包含的功能模块的主要功能。
一、家庭网关10 家庭网关10主要完成的功能包括创建和管理家庭网络域，接收用户设备20的数字内容和数字版权证书请求，并作为它们的代理向DRM服务器群30发出请求，并将结果返回给用户设备20。家庭网关10中的主要功能模块包括域创建及注册模块11、域管理模块12、数字内容获取模块13、数字版权证书获取模块14及身份证书客户管理模块15。下面对各个模块的主要功能进行描述。
1.域创建及注册模块11 本模块主要用于家庭网关创建一个域并对该域进行维护。只有加入该域的用户设备才能使用系统提供的服务。本模块和DRM服务器群30中的家庭网络注册和管理模块31交互以完成功能。本模块的主要内容如下 1)家庭网关初始化相关信息，并生成一个域标识号DID。
2)家庭网关和内容服务器建立连接。
3)家庭网关和内容服务器交换各自的身份证书。
4)内容服务器向认证中心验证家庭网关所提交的身份证书的有效性，若通过验证则进行下一步；否则终止。
5)家庭网关向内容服务器提交域标识号等相关信息，并提出注册申请。
6)内容服务器处理该信息，若同意该申请，则返回确认信息，并进行下一步；否则返回错误信息并终止。
7)家庭网关向所有用户设备广播域创建信息和相应的域标识号。
在家庭网关创建了一个域之后，家庭网络内的所有用户设备可根据自己的需要自由地加入或退出该域。此外，内容服务器需要将家庭网关的相关信息发送给数字版权服务器。
2.域管理模块12 本模块主要用于处理家庭网络内的用户设备的域加入(或退出)请求。每当有用户设备加入(或退出)域后，家庭网关需要将更新信息提交给内容服务器。本模块和用户设备20中的域注册模块21、域注销模块22以及DRM服务器群30中的家庭网络注册和管理模块31交互以完成功能。
当有新的用户设备加入域时，本模块的工作流程如下 1)当新的用户设备要加入家庭网络的域中时，可以和家庭网关建立连接。
2)用户设备向家庭网关提交相关信息(如设备的CPU序列号、硬盘标识号等)。
3)家庭网关验证并记录用户设备所提交的相关信息，然后按如下步骤为它产生一个公私钥对 a)对于任意的第i个用户设备，产生两个素数pi和qi。
b)计算NI＝pi×qi，这里pi和qi采用256bit的素数，且pi和qi在使用过后将被丢弃以保证其不被他人获取。
c)计算Φ(Ni)＝(pi-1)×(qi-1)，并选择正整数e使得e与Φ(NI)互质，即满足gcd(e，Φ(Ni))＝1，e作为公共参数公开。
d)计算di，使其满足公式edi＝1modΦ(Ni)。将参数组合构成公钥Ki＝<e，Ni>和私钥
4)家庭网关用生成的公钥Ki来产生用户设备的设备证书，并将该设备证书及生成的设备私钥Ki-1传输给用户设备。
5)家庭网关创建(或更新)其域内的合法用户设备列表，并按下面方法生成(或更新)组密钥GPK a)取出域内每个合法用户设备所拥有的公钥Nj，Nj∈Sr(其中j为用户设备的序号，Sr表示所有合法用户设备的公钥集合)。
b)根据Ni和Sr来生成组密钥GPK。这里
6)家庭网关和内容服务器建立连接。
7)家庭网关和内容服务器交换各自的身份证书，内容服务器向认证中心验证家庭网关提交的身份证书的有效性，若通过验证则进行下一步；否则内容服务器向家庭网关返回错误信息并终止。
8)家庭网关向内容服务器提交其合法用户设备列表和组密钥。
9)内容服务器处理并存储相关信息，并向家庭网关返回确认信息。
家庭网络内的用户设备通过家庭网关加入域后，可以通过家庭网关来向DRM服务器群请求其所需的数字内容和数字版权证书，还可以方便地与域内其它用户设备进行数字内容的共享。当域内成员发生变化后，家庭网关会用更新的组密钥对其拥有的数字版权证书中的加密信息进行重新处理。而内容服务器则需要及时将家庭网关提交的更新信息传输给数字版权服务器。
当有用户设备希望退出家庭网络域时，可向家庭网关提出申请，其工作流程与加入家庭网络域大体相似。
3.数字内容获取模块13 本模块主要用于家庭网关10接收用户设备20的数字内容申请，向DRM服务器30中的内容服务器请求该数字内容，并将所得结果返回。本模块和用户设备20中的数字内容获取模块23以及DRM服务器群中的数字内容分发模块32进行交互以完成功能。
4.数字版权证书获取模块14 本模块主要用于家庭网关10接收用户设备20的数字版权证书申请，向数字版权服务器30中的数字版权服务器请求该证书，并将结果返回。本模块和用户设备20中的数字版权证书获取模块24以及DRM服务器群30中的数字版权证书生成和发放模块33进行交互以完成功能。
本模块的主要内容如下 1)用户设备的内容播放工具在播放数字内容前，和家庭网关建立连接。
2)用户设备向家庭网关提交其设备证书，家庭网关验证该证书的有效性，若通过验证则继续下一步；否则返回错误信息并终止。
3)用户设备向家庭网关请求该数字内容相应的数字版权证书。
4)家庭网关检查其本地数据库，若播放该数字内容所需的数字版权证书已经存在(家庭网关已经获取了该数字版权证书)，则直接将其传输给用户设备并终止；否则家庭网关和数字版权服务器建立连接。
5)家庭网关和数字版权服务器交换各自的身份证书。数字版权服务器向认证中心验证家庭网关提交的身份证书的有效性，若通过验证则进行下一步，否则数字版权服务器向家庭网关返回错误信息并终止； 6)家庭网关向数字版权服务器转发用户设备的数字版权证书请求。
7)数字版权服务器根据其请求，向家庭网关收取相应的费用。然后为其生成相应的数字版权证书。
8)数字版权服务器将该数字版权证书传输给家庭网关。
9)家庭网关将该数字版权证书转发给发出请求的用户设备。
5.身份证书客户管理模块15 本模块主要用于家庭网关10向DRM服务器群30中的认证中心申请并获取身份证书，并在需要时进行身份证书状态的在线查询。本模块和DRM服务器群30中的身份证书服务器管理模块34交互以完成相应功能。
二、用户设备20 用户设备20主要完成的功能包括申请加入或退出家庭网络域；申请并获取数字内容和数字版权证书；播放数字内容；在家庭网络域内进行数字内容的超级分发。用户设备20中的主要功能模块包括域注册模块21、域注销模块22、数字内容获取模块23、数字版权证书获取模块24、内容播放模块25和内容超级分发模块26。下面对各个模块的功能进行描述。
1.域注册模块21 本模块主要用于用户设备20向家庭网关10申请加入域。它和家庭网关10中的域管理模块12进行交互以完成功能。
2.域注销模块22 本模块主要用于用户设备20向家庭网关10申请退出域。它和家庭网关10中的域管理模块12进行交互以完成功能。
3.数字内容获取模块23 本模块主要用于用户设备20向家庭网关10申请并获取数字内容。它和家庭网关10中的数字内容获取模块13进行交互以完成功能。
4.数字版权证书获取模块24 本模块主要用于用户设备20向家庭网关10申请并获取数字版权证书。它和家庭网关10中的数字版权证书获取模块14进行交互以完成功能。
5.内容播放模块25 本模块主要用于用户设备20解密数字内容并播放。注意在播放数字内容时，必须拥有对应的数字版权证书，如果没有，则需调用数字版权证书获取模块24来获取。用户设备j在获取该数字版权证书后，可利用自己的私钥Kj-1来解密该数字版权证书中由组密钥加密的信息(如内容加密密钥CK)。解密过程如下所示(公式中相关符号的含义可参见家庭网关10中的域管理模块12)






(这里t为域内除了j之外的其它用户设备，x为一个正整数) 用户得到内容加密密钥CK后，可用它来解密数字内容并使用(数字内容一般采用对称加密方式，加密密钥和解密密钥相同)。
6.内容超级分发模块26 本模块主要用于某个用户设备通过超级分发模式从其它用户设备处获取数字内容，实现域内数字内容的方便共享。假设这样一个典型情境用户设备A拥有某个数字内容，而用户设备B希望使用该数字内容。在这种情况下，本模块的主要内容如下 1)用户设备B和用户设备A建立连接。
2)用户设备B和用户设备A交换各自的设备证书，并提出数字内容分发请求。
3)用户设备A和家庭网关建立连接。
4)用户设备A向家庭网关提交自己的设备证书。
5)家庭网关验证用户设备A设备证书的有效性，若通过验证则继续下一步；否则家庭网关向用户设备A返回错误信息并终止。
6)用户设备A向家庭网关提交用户设备B的设备证书并请求验证。
7)家庭网关验证用户设备B的设备证书的有效性，并向用户设备A返回验证结果。若通过验证则继续下一步，否则用户设备A向用户设备B返回错误信息并终止。
8)用户设备A向用户设备B返回身份验证通过信息。
9)用户设备B向用户设备A提出对某个数字内容的请求。
10)用户设备A向用户设备B传输该数字内容。
当用户设备B从用户设备A处获取数字内容后，当需要播放该数字内容时，会调用数字版权证书获取模块24，向家庭网关申请并获取相应的数字版权证书。而由于用于播放该数字内容的数字版权证书已经存在于家庭网关处，因此家庭网关可在确认用户设备B的合法身份后，直接将该证书发送给它。用户设备B在获取该证书后，可调用内容播放模块25来播放内容。
本模块中有以下问题需要说明。
(1)用户设备之间要通过家庭网关来进行身份验证，且用户设备B不向用户设备A而是向家庭网关来请求数字版权证书。这是因为家庭网络域中的合法用户设备是动态变化的，一旦有某个用户设备被移除出家庭网关的合法用户设备列表，其设备证书会被撤销，而组密钥也会被更新，数字版权证书中的内容解密密钥等信息也会重新生成。因此，要进行身份验证(即获取最新的设备证书状态)或获取最新的数字版权证书，必须要通过家庭网关。
(2)用户设备B不需要对用户设备A进行身份验证。这是由于用户设备B是向用户设备A来申请数字内容，是接受服务的一方，因此不对用户设备A进行身份验证对其不会产生不良后果，同时还可减轻家庭网关的负担。
三、DRM服务器群30 DRM服务器群30中包括内容服务器、数字版权服务器、认证中心。它主要完成的功能包括接受并处理家庭网关10的域注册和更新请求、接受并处理家庭网关10的数字内容和数字版权证书请求以及身份证书的发放和管理。DRM服务器群30中的主要功能模块包括家庭网络注册和管理模块31、数字内容分发模块32、数字版权证书生成和发放模块33以及身份证书服务器管理模块34。下面对各个模块的功能进行描述。
1.家庭网络注册和管理模块31 本模块主要用于DRM服务器群30接受并处理家庭网关10的注册申请、接受并处理家庭网关10的域更新(在家庭网络域成员发生变化时，需更新组密钥)。该模块与家庭网关10的域创建及注册模块11及域管理模块12交互以完成功能。
2.数字内容分发模块32 本模块主要用于DRM服务器群30中的内容服务器接受并处理家庭网关10的数字内容请求。该模块与家庭网关10的数字内容获取模块13交互以完成功能。
3.数字版权证书生成和发放模块33 本模块主要用于DRM服务器群30中的数字版权服务器接受并处理家庭网关10的数字版权证书请求。该模块与家庭网关10的数字版权证书获取模块14交互以完成功能。
数字版权证书的生成过程如下 1)数字版权服务器接受家庭网关的数字版权证书申请并收集相关信息(如数字内容信息、家庭网关信息、权利使用信息、内容加密密钥等)。
2)数字版权服务器用该家庭网关所提供的组密钥GPK对数字版权证书中所携带的敏感信息(如内容加密密钥CK)进行加密，加密方法如下面公式所示 3)数字版权服务器使用该加密后的密钥以及其它相关信息(如数字内容的权利使用信息等)生成数字版权证书。
系统中，家庭网关10向DRM服务器群30所申请的数字版权证书要能够保证家庭网络域内的所有合法用户设备都能使用，数字版权服务器可通过如上所述的证书加密过程来实现这一点。
4.身份证书服务器管理模块34 本模块主要用于DRM服务器群30中的认证中心接受并处理家庭网关10的身份证书请求，并在需要时提供身份证书状态的在线查询。本模块和家庭网关10中的身份证书客户管理模块15进行交互以完成相应功能。
权利要求
1.一种面向家庭网络的数字版权证书管理系统，包括家庭网关(10)、用户设备(20)和DRM服务器群(30)，其中，
所述家庭网关(10)用于创建和管理域、为用户生成公私钥对以及生成并更新组密钥，并作为用户设备(20)的代理进行数字内容和数字版权证书的申请；
所述用户设备(20)用于申请并使用数字内容和数字版权证书，并能够在域内进行数字内容的分发；
所述DRM服务器群(30)，用于生成并发布数字内容和数字版权证书，以及生成、发放和管理身份证书，并提供所述身份证书状态的在线查询服务。
2.根据权利要求1所述的一种面向家庭网络的数字版权证书管理系统，其特征在于，所述的家庭网关(10)包括域创建及注册模块(11)、域管理模块(12)、数字内容获取模块(13)、数字版权证书获取模块(14)及身份证书客户管理模块(15)，
所述域创建及注册模块(11)用于在家庭网关(10)创建域并对该域进行维护，只有加入该域的用户设备才能使用所述系统提供的服务；
所述域管理模块(12)用于处理家庭网络内的用户设备的加入或退出域请求；
所述数字内容获取模块(13)用于接收用户设备(20)的数字内容申请，向DRM服务器群(30)请求该数字内容，并将所得结果返回；
所述数字版权证书获取模块(14)用于接收用户设备(20)的数字版权证书申请，向DRM服务器群(30)请求该数字版权证书，并将结果返回；
所述身份证书客户管理模块(15)用于向DRM服务器群(30)申请并获取身份证书，并在需要时进行身份证书状态的在线查询。
3.根据权利要求1或2所述的一种面向家庭网络的数字版权证书管理系统，其特征在于，所述用户设备(20)包括域注册模块(21)、域注销模块(22)、数字内容获取模块(23)、数字版权证书获取模块(24)、内容播放模块(25)和内容超级分发模块(26)，
所述域注册模块(21)和域注销模块(22)分别用于向家庭网关(10)申请加入和退出域；
所述数字内容获取模块(23)和数字版权证书获取模块(24)分别用于向家庭网关(10)申请并获取数字内容和数字版权证书；
所述内容播放模块(25)用于解密获取的数字内容并播放；
所述的内容超级分发模块(26)用于域内的用户设备通过超级分发模式从域内其它用户设备处获取数字内容，从而实现域内数字内容的共享。
4.根据权利要求1-3之一所述的一种面向家庭网络的数字版权证书管理系统，其特征在于，所述DRM服务器群(30)包括家庭网络注册和管理模块(31)、数字内容分发模块(32)、数字版权证书生成和发放模块(33)以及身份证书服务器管理模块(34)；
所述家庭网络注册和管理模块(31)用于接受并处理家庭网关的注册申请、接受并处理家庭网关的域更新；
所述数字内容分发模块(32)和数字版权证书生成和发放模块(33)分别用于接受并处理家庭网关(10)的数字内容请求和数字版权证书请求；
所述的身份证书服务器管理模块(34)用于接受并处理家庭网关(10)的身份证书请求，并在需要时提供身份证书状态的在线查询。
5.根据权利要求2-4之一所述的一种面向家庭网络的数字版权证书管理系统，其特征在于，当新的用户设备要加入家庭网络的域中时，所述的域管理模块(12)的工作流程如下
1)建立该新的用户设备与家庭网关(10)的连接；
2)该新的用户设备向家庭网关(10)提交自己的设备信息；
3)家庭网关(10)验证并记录该用户设备所提交的设备信息，然后按如下
步骤为它产生一个公私钥对
a)产生两个素数pi和qi，其中i为该新的用户设备对应的序号，pi和qi采用256bit的素数，pi和qi在使用过后将被丢弃以保证其不被他人
获取；
b)计算Ni＝pi×qi；
c)计算Φ(Ni)＝(pi-1)×(qi-1)，并选择正整数e使得e与Φ(Ni)互质，即满足gcd(e，Φ(Ni))＝1，e作为公共参数公开；
d)计算di，使其满足公式edi＝1modΦ(Ni)，将参数组合构成公钥Ki＝<e，Ni>和私钥
4)所述家庭网关(10)用生成的公钥Ki来产生该新的用户设备的设备证书，并将该设备证书及生成的设备私钥Ki-1传输给该新的用户设备；
5)所述家庭网关(10)创建或更新其域内的合法用户设备列表，并按下面方法生成或更新组密钥GPK
a)取出域内每个合法用户设备所拥有的公钥Nj，Nj∈Sr，其中j为合法用户设备的序号，Sr表示所有合法用户设备的公钥集合；
b)根据Ni和Sr来生成组密钥GPK，这里
6)家庭网关(10)和DRM服务器群(30)建立连接；
7)家庭网关(10)和DRM服务器群(30)交换各自的身份证书，DRM服务器群(30)中的认证中心验证家庭网关(10)提交的身份证书的有效性，若通过验证则进行下一步；否则DRM服务器群(30)向家庭网关(10)返回错误信息并终止；
8)家庭网关(10)向DRM服务器群(30)提交其合法用户设备列表和组密钥；
9)DRM服务器群(30)处理并存储相关信息，并向家庭网关(10)返回确认信息。
6.根据权利要求2-5之一所述的一种面向家庭网络的数字版权证书管理系统，其特征在于，当家庭网络域内的用户设备A拥有数字内容，而域内另一用户设备B希望使用该数字内容时，所述的内容超级分发模块(26)的工作过程为
1)用户设备B和用户设备A建立连接；
2)用户设备B和用户设备A交换各自的设备证书，并提出数字内容分发请求；
3)用户设备A和家庭网关(10)建立连接；
4)用户设备A向家庭网关(10)提交自己的设备证书；
5)家庭网关(10)验证用户设备A设备证书的有效性，若通过验证则继续下一步，否则家庭网关(10)向用户设备A返回错误信息并终止；
6)用户设备A向家庭网关(10)提交用户设备B的设备证书并请求验证；
7)家庭网关(10)验证用户设备B的设备证书的有效性，并向用户设备A返回验证结果，若通过验证则继续下一步，否则用户设备A向用户设备B返回错误信息并终止；
8)用户设备A向用户设备B返回身份验证通过信息；
9)用户设备B向用户设备A提出对某个数字内容的请求；
10)用户设备A向用户设备B传输该数字内容。
全文摘要
本发明公开一种面向家庭网络的数字版权证书管理系统。该系统中，家庭网络创建一个域并为所有设备分配一对公私钥，其中公钥包含在设备证书中对该设备进行标识。而基于所有设备的公钥可生成一个组密钥。家庭网关代表域内所有设备向数字版权服务器申请数字版权证书，该证书采用组密钥进行加密，可保证只有合法设备才能解密使用。本发明具有如下特点(1)对同一数字内容只需进行一次数字版权证书的申请即可实现整个域内的共享，可减轻数字版权服务器的负载；(2)域内用户可通过超级分发方式实现数字内容的共享；(3)公钥可公开发布而无须担心密钥传输的安全性。
文档编号H04L9/32GK101814990SQ20101014670
公开日2010年8月25日 申请日期2010年4月15日 优先权日2010年4月15日
发明者李平, 巴继东, 邹复好, 凌贺飞, 陆义平, 江兴才, 王杨 申请人:华中科技大学, 武汉烽火信息集成技术有限公司