DRM客户端证书的防克隆方法、存储介质及电子设备与流程

本申请涉及数据通信领域，具体而言，涉及一种drm客户端证书的防克隆方法、存储介质及电子设备。

背景技术：

drm(digitalrightsmanagement，数字版权管理)系统包括前端系统和客户端，前端系统主要负责视频加密、向客户端分发数字证书(包括私钥和签名证书链)、向客户端分发许可证，运行于终端上的客户端主要负责向前端系统请求数字证书及许可证，以及视频解密。

drm系统使用drm客户端证书来证明终端的身份并且保护终端与前端系统之间的通信；客户端在向前端系统申请数字证书时，请求报文中带有客户端唯一标识，前端系统根据客户端唯一标识分配一个未使用的drm客户端证书，并将客户端唯一标识和drm客户端证书的证书指纹作一对一绑定。drm客户端获取到数字证书后，加密并保存在终端的存储器中。为了防止drm客户端证书泄露，数字证书加密后保存，加密密钥一般由客户端唯一标识派生。

攻击drm客户端证书的常用方法是证书克隆，即将合法终端上的drm客户端证书拷贝到非法终端上使用。由于证书使用了drm客户端标识进行加密，如果非法终端和合法终端的drm的客户端标识相同，则非法终端能正常的使用合法终端的drm客户端证书。要防止证书克隆，主要依赖于drm客户端标识的唯一性。

当前普遍使用的方法是使用终端的标识信息，例如mac(mediaaccesscontrol，介质访问控制)地址、智能终端的设备序列号中的一种或两种，作为客户端唯一标识。由于mac地址和终端的设备序列号在芯片或终端生产阶段固化到终端的存储器中，篡改难度较大，因此较好的保证了drm客户端标识的唯一性。但现有方法在终端克隆(即将非法终端的mac地址或设备序列号篡改为合法终端的对应值)的情况下，将合法终端保存的drm客户端证书拷贝到克隆终端上，就实现了证书克隆。目前，篡改mac地址及设备序列号的攻击技术在黑客群体中已经较为常见，比如“mac地址修改器”、“xx机顶盒序列号修改器”等等。

因此，如何进一步提升数字证书的安全性，尽可能避免数字证书克隆的情况，也是一个需要解决的问题。

技术实现要素：

本申请实施例的目的在于提供一种drm客户端证书的防克隆方法、存储介质及电子设备，以进一步提升数字证书的安全性，避免数字证书克隆的情况。

为了实现上述目的，本申请的实施例通过如下方式实现：

第一方面，本申请实施例提供一种drm客户端证书的防克隆方法，应用于服务器上安装的drm前端系统，所述方法包括：接收终端上安装的drm客户端发送的请求报文，所述请求报文中包括drm客户端证书指纹和用于表征所述drm客户端的运行情况的运行环境参数；在所述drm客户端证书指纹验证成功且确定所述运行环境参数较之初始环境参数发生变更时，确定出与所述drm客户端关联的合法个人身份，并向所述drm客户端发送用于验证个人身份的验证请求；接收所述drm客户端基于所述验证请求发送的验证信息，以及，根据所述合法个人身份验证所述验证信息对应的个人身份是否合法。

由于克隆的drm客户端证书，用于供不同的drm客户端使用，因此通常具有不同的运行环境参数，通过在检测drm客户端的运行环境参数变更时，对用户的个人身份进行验证，从而可以确保使用drm客户端证书的用户的个人身份是合法的。这样可以尽可能避免数字证书克隆的情况，进一步提升数字证书的安全性。

结合第一方面，在第一方面的第一种实现方式中，在所述接收终端上安装的drm客户端发送的请求报文之后，所述方法还包括：根据所述drm客户端的客户端唯一标识，验证所述drm客户端证书指纹对应的drm客户端证书是否合法；在确定所述drm客户端证书合法时，验证所述运行环境参数较之所述初始环境参数是否发生变更。

先验证drm客户端证书是否合法，若drm客户端证书合法，再对drm客户端的运行环境参数进行验证，而drm客户端证书不合法时，即无需验证drm客户端的运行环境参数。这样可以减少一些不必要的验证过程，节约运行资源，提高drm客户端证书的防克隆方法的效率。

结合第一方面的第一种实现方式，在第一方面的第二种实现方式中，所述运行环境参数包括用户账号、所述终端的标识信息、ip地址中的至少一种，所述验证所述运行环境参数较之所述初始环境参数是否发生变更，包括：在所述运行环境参数包括用户账号时，验证所述用户账号是否与所述初始环境参数中的用户账号一致，若否，确定所述运行环境参数发生变更；在所述运行环境参数包括所述终端的标识信息时，验证所述终端的标识信息是否与所述初始环境参数中终端的标识信息一致，若否，确定所述运行环境参数发生变更；在所述运行环境参数包括所述终端的ip地址时，验证所述ip地址是否与所述初始环境参数中的ip地址一致，若否，确定所述运行环境参数发生变更。

运行环境参数包括用户账号、终端的标识信息、ip地址中的至少一种，对运行环境参数中的每一种参数都进行验证，存在任一参数变更时确定运行环境参数变更，从而验证用户的个人身份是否合法，有利于尽可能提升drm客户端证书使用的安全性。

结合第一方面，在第一方面的第三种实现方式中，所述确定出与所述drm客户端关联的合法个人身份，并向所述drm客户端发送用于验证个人身份的验证请求，包括：确定出与所述drm客户端关联的合法个人身份；根据所述合法个人身份，确定出用于验证个人身份的比对信息；根据所述比对信息，生成用于验证个人身份的验证请求并发送至所述drm客户端。

通过确定出与drm客户端关联的合法个人身份，进一步确定出用于验证个人身份的比对信息，以生成相应的验证请求，请求对用户的个人身份的合法性进行验证。

结合第一方面的第三种实现方式，在第一方面的第四种实现方式中，验证所述个人身份的方式包括验证码验证、生物特征验证中的至少一种，所述根据所述比对信息，生成用于验证个人身份的验证请求并发送至所述drm客户端，包括：在所述比对信息为生物特征信息时，生成用于通过所述生物特征验证个人身份的生物特征验证请求；在所述比对信息为个人联系方式时，向所述个人联系方式发送验证码并生成用于通过所述验证码验证个人身份的验证码验证请求；将所述生物特征验证请求和/或验证码验证请求发送至所述drm客户端；对应的，接收所述drm客户端基于所述验证请求发送的验证信息，在所述验证请求为生物特征验证请求时，所述验证信息为生物特征验证信息，在所述验证请求为验证码验证请求时，所述验证信息为验证码验证信息。

验证个人身份的方式可以包括验证码验证、生物特征验证中的至少一种，既可以丰富验证方式的多样性，以便于用户根据自己的偏好设定合适的验证方式；同时设定多种验证方式，对每一种验证方式进行验证，能够尽可能提升drm客户端证书使用的安全性，有效防止用户使用克隆的drm客户端证书。

结合第一方面或第一方面的第一种至第四种中任一可能的实现方式，在第一方面的第五种实现方式中，在所述接收终端上安装的drm客户端发送的请求报文之前，所述方法还包括：获取所述drm客户端发送的包括所述drm客户端证书指纹的初始请求报文；在所述drm客户端证书指纹对应的drm客户端证书不存在关联的合法个人身份时，向所述drm客户端发送提示信息，以提示用户添加与所述drm客户端证书关联的合法个人身份；将所述用户基于所述提示信息添加的合法个人身份与所述drm客户端证书关联；获取反映所述drm客户端的运行情况的初始环境参数，并将所述初始环境参数与所述drm客户端证书关联。

在drm客户端开始使用时，提示用户添加合法个人身份，关联初始环境参数，以保证drm客户端证书的防克隆方法充分发挥效果，保证用户使用drm客户端的安全性，也能够尽可能避免他人使用克隆的drm客户端证书的情况。

结合第一方面或第一方面的第一种至第四种中任一可能的实现方式，在第一方面的第六种实现方式中，在根据所述合法个人身份验证所述验证信息对应的个人身份合法之后，所述方法还包括：将所述运行环境参数设置为与所述drm客户端证书关联的初始环境参数。

在drm客户端的运行环境参数发生变更，且验证用户的个人身份合法后，将当前的运行环境参数更新初始环境参数，可以在一定程度上保证用户使用drm客户端的方便性和安全性。

第二方面，本申请实施例提供一种drm客户端证书的防克隆方法，其特征在于，应用于终端上安装的drm客户端，所述方法包括：获取所述drm客户端的drm客户端证书指纹，以及，获取用于表征所述drm客户端的运行情况的运行环境参数；将基于所述drm客户端证书指纹和所述运行环境参数生成的请求报文发送至服务器上安装的drm前端系统；接收所述drm前端系统发送的验证请求，其中，所述验证请求为所述drm前端系统在所述drm客户端证书指纹验证成功且所述运行环境参数较之初始环境参数发生变更时确定出的用于验证个人身份的验证请求；向所述drm前端系统发送基于所述验证请求确定出的验证信息。

第三方面，本申请实施例提供一种存储介质，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如第一方面或第一方面可鞥的实现方式中任一项所述的drm客户端证书的防克隆方法的步骤，或者，实现如第二方面所述的drm客户端证书的防克隆方法的步骤。

第四方面，本申请实施例提供一种电子设备，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，所述程序指令被处理器加载并执行时实现第一方面或第一方面可能的实现方式中任一项所述的drm客户端证书的防克隆方法的步骤，或者，实现第二方面所述的drm客户端证书的防克隆方法的步骤。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种drm系统的结构示意图。

图2为本申请实施例提供的一种电子设备的结构框图。

图3为本申请实施例提供的一种drm客户端证书的防克隆方法的流程图。

图4为本申请实施例提供的一种drm客户端证书用户的手机号码、终端ip和/或用户账号进行绑定的流程图。

图5为本申请实施例提供的一种在终端ip和/或用户账号改变时通过手机验证码验证合法个人身份的流程图。

图标：10-drm系统；11-drm客户端；12-drm前端系统；20-电子设备；201-终端；202-服务器；21-存储器；22-通信模块；23-总线；24-处理器。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

请参阅图1，图1示出了本申请实施例提供的一种drm系统10的结构示意图。在本实施例中，drm系统可以包括drm客户端11和drm前端系统12。其中，drm客户端11安装于终端上，例如个人电脑、笔记本电脑、智能手机、个人数字助理等；而drm前端系统12可以安装于服务器上。终端上的drm客户端11可以与服务器上的drm前端系统12之间通过交互，以执行drm客户端证书的防克隆方法。

请参阅图2，图2示出了本申请实施例提供的一种电子设备20的结构框图。在本实施例中，本申请实施例提供的电子设备20，可以为终端201，例如智能手机、平板电脑、个人电脑、个人数字助理等，此处不作限定。在终端201上，可以安装drm客户端11。电子设备20也可以为服务器202，例如网络服务器、云服务器、服务器集群、数据服务器等，此处不作限定。在服务器202上，可以安装drm前端系统12。

示例性的，电子设备20可以包括：通过网络与外界连接的通信模块22、用于执行程序指令的一个或多个处理器24、总线23、不同形式的存储器21，例如，磁盘、rom(read-onlymemory，只读存储器)、或ram(randomaccessmemory，随机存取存储器)，或其任意组合。其中，存储器21、通信模块22和处理器24之间通过总线23连接。

示例性的，存储器21中存储有程序。处理器24可以从存储器21调用并运行这些程序，从而便可以通过运行程序而执行drm客户端证书的防克隆方法。

另外，在电子设备20为安装drm前端系统12的服务器202时，可以包括上述电子设备20的结构。而在电子设备20为安装drm客户端的终端201时，可以包括上述电子设备20的结构，以及，还可以包括显示器和生物特征采集模块。其中显示器可以与总线23连接，实现对drm客户端11的界面显示；而生物特征采集模块可以与总线23连接，实现生物特征采集模块采集生物特征信息后将其通过通信模块22发送到服务器202中的drm前端系统12。

需要说明的是，对于drm系统10的介绍，还可以参阅背景技术中的部分内容，此处对drm系统10不再赘述。

请参阅图3，图3为本申请实施例提供的一种drm客户端证书的防克隆方法的流程图。在本实施例中，drm客户端证书的防克隆方法可以包括步骤s11、步骤s12、步骤s13和步骤s14，以及，步骤s21、步骤s22和步骤s23。而drm客户端证书的防克隆方法可以由drm客户端和drm前端系统各自执行对应的步骤，示例性的，drm客户端执行步骤s11、步骤s12、步骤s13和步骤s14，drm前端系统执行步骤s21、步骤s22和步骤s23，以防止drm客户端证书的克隆。

在本实施例中，为了便于理解drm客户端证书的防克隆方法，在drm客户端执行步骤s11之前，将对一些前置的过程进行介绍。例如，在drm客户端第一次使用时，由于在drm前端系统中还未添加与drm客户端证书关联的合法个人身份和/或初始环境参数，因此，方法的运行过程如下。

示例性的，在第一次使用(也可以不为第一次使用，此处仅是以第一次使用为例，不应视为对本申请的限定)时，drm客户端可以向drm前端系统发送请求，该请求中包括客户端唯一标识，以申请drm客户端证书。而drm前端系统可以根据drm客户端发送的该请求(即根据该请求中包含的客户端唯一标识)，为drm客户端分配一个未使用的drm客户端证书，并将该drm客户端证书的drm客户端证书指纹与客户端唯一标识作一对一绑定。

而drm客户端获取到drm客户端证书后，为了防止drm客户端证书泄露，可以对drm客户端证书进行加密，并将加密后的drm客户端证书保存在终端存储中，加密密钥可以由客户端唯一标识派生。

为了防止合法终端上的drm客户端证书被拷贝到非法终端上使用，在drm客户端使用时，需要向drm前端系统发送初始请求报文，对drm客户端证书进行验证。

示例性的，drm前端系统可以获取drm客户端发送的包括drm客户端证书指纹的初始请求报文，并验证drm客户端证书指纹对应的drm客户端证书的合法性。例如，将drm客户端证书指纹与drm客户端对应的客户端唯一标识匹配，匹配成功则验证成功。

在确定drm客户端证书指纹对应的drm客户端证书合法后，drm前端系统可以检测drm客户端证书是否存在关联的合法个人身份、初始环境参数等。在不存在关联的合法个人身份、初始环境参数时，drm前端系统可以向drm客户端发送提示信息，以提示用户添加与drm客户端证书关联的合法个人身份。而drm客户端可以将提示信息在显示器上显示，以使用户知悉，便于用户添加相关的信息。

为了保证安全性，在本实施例中，合法个人身份，可以为他人难以获得的且能够表明用户的个人身份的信息。例如，用户的生物特征(指纹、声纹、瞳纹、面部特征等)、用户的手机号码、用户的身份证号等信息，此处不作限定。通过将这些能够表明用户的个人身份的信息中的一种或者多种作为合法个人身份，可以丰富设定合法个人身份的方式，以便于用户根据自己的偏好设定合适的验证方式，同时设定多种合法个人身份，验证其中的一种有利于提高便利性，提升用户体验；而同时验证多种，则可以进一步提升安全性，避免使用克隆drm客户端证书的问题。

在本实施例中，drm客户端可以将客户添加的合法个人身份发送给drm前端系统。其中，用户利用生物特征作为合法个人身份时，可以通过终端上的生物特征采集模块采集后录入drm客户端。

而drm前端系统可以将接收的合法个人身份与drm客户端证书关联，从而完成合法个人身份的添加。

另外，drm前端系统添加合法个人身份后，为了尽可能防止使用克隆的drm客户端证书的情况，可以克隆的drm客户端证书的使用方式/过程的特征，设置检测克隆的drm客户端证书的使用行为/情况的方式和参数。

由于克隆的drm客户端证书，用于供不同的drm客户端使用，因此通常具有不同的运行环境参数，通常在检测drm客户端的运行环境参数变更时，即有可能为使用克隆的drm客户端证书的情况。因此，通过添加关联的初始环境参数，可以作为验证drm客户端的运行环境参数时的对照。

在本实施例中，drm前端系统可以获取反映drm客户端的运行情况的初始环境参数，其中，初始环境参数的类型可以包括用户账号、终端的标识信息(例如mac信息)、ip(internetprotocol，互联网协议)地址中的至少一种。drm前端系统可以将获取的初始环境参数与drm客户端证书关联，从而将包括用户账号、终端的标识信息、ip地址中至少一种的初始环境参数作为验证时的对照。

需要说明的是，在本实施例中，添加与drm客户端证书关联的合法个人身份和初始环境参数的顺序不作为对本申请的限定，在其它一些可能的实现方式中，也可以先添加初始环境参数后添加合法个人身份，也可以同时添加初始环境参数和添加合法个人身份，此处不作限定。此外，添加的与drm客户端证书关联的合法个人身份和初始环境参数，还可以相互之间进行绑定。

此处将对一个drm客户端证书与用户的手机号码(合法个人身份)、终端ip和/或用户账号(即初始环境参数)绑定的例子进行说明。请参阅图4，图4示出了一种drm客户端证书用户的手机号码、终端ip和/或用户账号进行绑定的流程图。

在本实施例中，drm客户端可以攒hello报文(即生成初始请求报文)并发送给drm前端系统，其中，hello报文中包括drm客户端证书指纹。drm前端系统可以验证drm客户端证书指纹的合法性，之后检测drm客户端证书指纹对应的drm客户端证书是否已经绑定有手机号码(即是否添加合法个人身份)。如果检测到drm客户端证书未绑定用户的手机号码，drm前端系统可以攒服务器端hello报文并发送给drm客户端，同时提示用户绑定手机号码；而若检测到drm客户端证书已经绑定用户的手机号码，drm前端系统可以攒服务器端hello报文并发送给drm客户端。drm客户端则可以处理接收的服务端hello报文，判断是否提示需要绑定手机号码。若不需要，则结束；若需要，可以提示用户输入手机号码，以获取验证码，drm客户端还可以获取终端ip和/或用户账号，生成报文发送给drm前端系统。而drm前端系统可以验证报文中提供的验证码，验证成功后完成手机号码的绑定，以及，将终端ip和/或用户账号同时与手机号码绑定或与drm客户端证书绑定(作为初始环境参数)。后续drm前端系统可以生成响应报文返回drm客户端，以完成绑定。

以上，为drm系统中的drm客户端和drm前端系统运行drm客户端证书的防克隆方法的运行环境。基于此，可以运行drm客户端证书的防克隆方法。

在本实施例中，在用户使用drm客户端时，drm客户端可以执行步骤s11。

步骤s11：获取所述drm客户端的drm客户端证书指纹，以及，获取用于表征所述drm客户端的运行情况的运行环境参数。

在本实施例中，drm客户端可以获取drm客户端证书指纹和运行环境参数。其中，运行环境参数可以包括用户账号、终端的标识信息、ip地址等(与初始环境参数中的种类对应)。以及，drm客户端可以根据drm客户端证书指纹和运行环境参数，生成请求报文。

生成请求报文后，drm客户端可以执行步骤s12。

步骤s12：将基于所述drm客户端证书指纹和所述运行环境参数生成的请求报文发送至服务器上安装的drm前端系统。

在本实施例中，drm客户端可以将基于drm客户端证书指纹和运行环境参数生成的请求报文发送给安装在服务器上的drm前端系统。

drm客户端将请求报文发送给drm前端系统后，drm前端系统则可以执行步骤s21。

步骤s21：接收终端上安装的drm客户端发送的请求报文，所述请求报文中包括drm客户端证书指纹和用于表征所述drm客户端的运行情况的运行环境参数。

在本实施例中，drm前端系统可以接收终端上安装的drm客户端发送的请求报文。其中，请求报文中包括drm客户端证书指纹和用于表征所述drm客户端的运行情况的运行环境参数(对应初始环境参数中的用户账号、终端的标识信息、ip地址等，即初始环境参数中存在哪些参数，那么请求报文中的运行环境参数即包括哪些参数)。

接收drm客户端发送的请求报文后，drm前端系统可以执行步骤s22。

步骤s22：在所述drm客户端证书指纹验证成功且确定所述运行环境参数较之初始环境参数发生变更时，确定出与所述drm客户端关联的合法个人身份，并向所述drm客户端发送用于验证个人身份的验证请求。

在本实施例中，drm前端系统可以根据drm客户端的客户端唯一标识，验证drm客户端证书指纹对应的drm客户端证书是否合法。

示例性的，drm前端系统可以从请求报文中确定出drm客户端证书指纹，并将其与drm客户端的客户端唯一标识进行匹配，以验证drm客户端证书指纹对应的drm客户端证书是否合法(匹配成功即表示drm客户端证书合法，匹配失败则表示drm客户端证书不合法)。

在确定drm客户端证书合法时，验证运行环境参数较之初始环境参数是否发生变更。

示例性的，在运行环境参数包括用户账号时，drm前端系统可以验证运行环境参数中的用户账号是否与初始环境参数中的用户账号一致。若运行环境参数中的用户账号与初始环境参数中的用户账号不一致，可以确定运行环境参数发生变更。而在运行环境参数中的用户账号与初始环境参数中的用户账号一致时，还需要判断运行环境参数中的其他参数是否变更，在运行环境参数中的这些参数都未发生变更时，则可以确定运行环境参数未发生变更。

示例性的，在运行环境参数包括终端的标识信息时，drm前端系统可以验证运行环境参数中终端的标识信息是否与初始环境参数中终端的标识信息一致。若运行环境参数中终端的标识信息与初始环境参数中终端的标识信息不一致，可以确定运行环境参数发生变更。而在运行环境参数中终端的标识信息与初始环境参数中终端的标识信息一致时，则还需要判断运行环境参数中的其他参数是否变更，在运行环境参数中的这些参数都未发生变更时，则可以确定运行环境参数未发生变更。

示例性的，在运行环境参数包括终端的ip地址时，drm前端系统可以验证运行环境参数中的ip地址是否与初始环境参数中的ip地址一致。若运行环境参数中的ip地址与初始环境参数中的ip地址不一致，则可以确定运行环境参数发生变更。而在运行环境参数中的ip地址与初始环境参数中的ip地址一致时，则还需要判断运行环境参数中的其他参数是否变更，在运行环境参数中的这些参数都未发生变更时，则可以确定运行环境参数未发生变更。

因此，在运行环境参数中包括用户账号、终端的标识信息和ip地址时，运行环境参数(即用户账号、终端的标识信息和ip地址)中有任一参数发生变更，即确定运行环境参数发生变更，而在运行环境参数(即用户账号、终端的标识信息和ip地址)中所有参数均未发生变更时，可以确定运行环境参数未发生变更。

通过先验证drm客户端证书是否合法，若drm客户端证书合法，再对drm客户端的运行环境参数进行验证，而drm客户端证书不合法时，即无需验证drm客户端的运行环境参数。这样可以减少一些不必要的验证过程，节约运行资源，提高drm客户端证书的防克隆方法的效率。

而运行环境参数包括用户账号、终端的标识信息、ip地址中的至少一种，对运行环境参数中的每一种参数都进行验证，存在任一参数变更时确定运行环境参数变更，进一步验证用户的个人身份是否合法，能够尽可能提升drm客户端证书使用的安全性。

在本实施例中，在确定运行环境参数未发生变更后，drm前端系统即可完成drm客户端证书的验证。而在确定运行环境参数发生变更后，drm前端系统可以确定出与drm客户端证书关联的合法个人身份，并向drm客户端发送用于验证个人身份的验证请求。

示例性的，drm前端系统可以确定出与drm客户端关联的合法个人身份(例如手机号码对应的合法个人身份、生物特征对应的合法个人身份、身份证号对应的合法个人身份等)。

drm前端系统可以根据确定出的合法个人身份，确定出用于验证个人身份的比对信息(例如手机号码、生物特征、身份证号等)。以及，drm前端系统可以根据确定出的比对信息，生成用于验证个人身份的验证请求并发送至drm客户端。

在本实施例中，验证个人身份的方式包括验证码验证(对应手机号码)、生物特征验证(对应生物特征)和身份证号验证(对应身份证号)中的至少一种。

示例性的，在比对信息为生物特征信息时，drm前端系统可以生成用于通过生物特征验证个人身份的生物特征验证请求。

示例性的，在比对信息为个人联系方式(手机号码)时，drm前端系统可以向该手机号码发送验证码并生成用于通过验证码验证个人身份的验证码验证请求。

示例性的，在比对信息为身份证号信息时，drm前端系统可以生成用于通过身份证号验证个人身份的身份证号验证请求。

而drm前端系统可以将确定出的验证请求(生物特征验证请求、验证码验证请求和身份证号验证请求中的一种或多种)发送至drm客户端。

在drm前端系统向drm客户端发送验证请求后，drm客户端可以执行步骤s13。

步骤s13：接收所述drm前端系统发送的验证请求，其中，所述验证请求为所述drm前端系统在所述drm客户端证书指纹验证成功且所述运行环境参数较之初始环境参数发生变更时确定出的用于验证个人身份的验证请求。

在本实施例中，drm客户端可以接收drm前端系统发送的验证请求。而后，drm客户端可以获取用户录入的验证信息(例如身份证号、验证码等)；在用户基于生物特征验证请求而通过生物特征采集模块录入生物特征信息时，drm客户端可以获取用户录入的生物特征信息(即验证信息)。

确定出验证信息后，drm客户端可以执行步骤s14。

步骤s14：向所述drm前端系统发送基于所述验证请求确定出的验证信息。

在本实施例中，drm客户端可以将确定出的验证信息(与验证请求的类型对应，即生物特征验证请求对应的验证信息为生物特征；验证码验证请求对应的验证信息为验证码；身份证号验证请求对应的验证信息为身份证号)发送至drm前端系统。

在drm客户端向drm前端系统发送验证信息后，drm前端系统可以执行步骤s23。

步骤s23：接收所述drm客户端基于所述验证请求发送的验证信息，以及，根据所述合法个人身份验证所述验证信息对应的个人身份是否合法。

在本实施例中，drm前端系统可以接收drm客户端发送的验证信息，并根据合法个人身份验证对应的个人身份是否合法。

示例性的，验证信息为验证码时，drm前端系统可以将接收drm客户端发送的验证码与drm前端系统自身发送的验证码对比，验证信息中的验证码与drm前端系统发送的验证码不一致时，则验证失败，表示此验证信息对应的个人身份并非合法个人身份。

示例性的，在验证信息为生物特征时，drm前端系统可以将生物特征验证信息与合法个人身份中对应的生物特征进行对比，验证信息中的生物特征与合法个人身份中对应的生物特征不一致时，则验证失败，表示此验证信息对应用户的个人身份并非合法个人身份。

而在验证信息为身份证号时，drm前端系统可以将身份证号验证信息与合法个人身份中对应的身份证号进行对比，验证信息中的身份证号与合法个人身份中对应的身份证号不一致时，则验证失败，表示此验证信息对应的个人身份并非合法个人身份。

当然，在验证信息与合法个人身份中对应的生物特征、身份证号或drm前端系统发送的验证码对应一致时，则验证成功，表示该用户的个人身份即为合法个人身份，可以使用drm客户端。

验证个人身份的方式包括验证码验证、生物特征验证、身份证号验证中的至少一种，既可以丰富验证方式的多样性，以便于用户根据自己的偏好设定合适的验证方式；同时设定多种验证方式，对每一种验证方式进行验证，能够尽可能提升drm客户端证书使用的安全性，有效防止用户使用克隆的drm客户端证书。

以及，在根据合法个人身份验证验证信息对应的个人身份合法之后，drm客户端还可以将运行环境参数更新成为与drm客户端证书关联的新的初始环境参数。

在drm客户端的运行环境参数发生变更，且验证用户的个人身份合法后，将当前的运行环境参数更新初始环境参数，可以在一定程度上保证用户使用drm客户端的方便性和安全性。

以下将结合一个例子对验证的过程进行描述，请参阅图5，图5示出了一种在终端ip和/或用户账号改变时通过手机验证码验证合法个人身份的流程图。

示例性的，drm客户端可以获取终端ip和/或用户账号(即运行环境参数)，例如视频应用中的用户账号，结合drm客户端证书指纹确定出请求报文并发送给drm前端系统。drm前端系统可以验证运行环境参数与drm客户端证书关联的初始环境参数是否一致，以确定环境运行参数是否变更。在运行环境参数与初始环境参数一致时，则验证通过。而在运行环境参数与初始环境参数不一致时，drm前端系统可以发送响应报文至drm客户端，并提示验证手机验证码。而drm客户端可以获取用户输入的手机验证码以生成对应的验证信息，并发送给drm前端系统以进行手机验证码的验证。drm前端系统可以对手机验证码进行验证，验证码验证通过后，drm前端系统可以根据当前的终端ip和/或用户账号更新drm客户端证书绑定的终端ip和/或用户账号。

本申请实施例还提供一种存储介质，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如本申请实施例中所述的drm客户端证书的防克隆方法的步骤。

综上所述，本申请实施例提供一种drm客户端证书的防克隆方法、存储介质及电子设备，方法应用于服务器上安装的drm前端系统。由于克隆的drm客户端证书，用于供不同的drm客户端使用，因此通常具有不同的运行环境参数，通过在检测drm客户端的运行环境参数变更时，对用户的个人身份进行验证，从而可以确保使用drm客户端证书的用户的个人身份是合法的。这样可以尽可能避免数字证书克隆的情况，进一步提升数字证书的安全性。

在本申请所提供的实施例中，应该理解到，所揭露的方法，可以通过其它的方式实现。以及，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。