數字版權管理許可證分發方法和系統、伺服器及終端的製作方法

2023-06-01 02:46:06

專利名稱：數字版權管理許可證分發方法和系統、伺服器及終端的製作方法
技術領域：
本發明涉及多媒體技術，尤其涉及一種數字版權管理許可證分發方法和系統、伺服器及終端。
背景技術：
隨著大多數用戶不斷下載圖片、鈴聲、屏保、動畫，甚至移動遊戲、MP3、視頻節目等高附加值的數字商品，如何對用戶下載內容以及下載後用戶對媒體的使用與傳播進行控制和計費，以保護運營商和內容提供商的利益就成為亟待解決的問題。數字版權管理(Digital Rights Management，以下簡稱DRM)技術就是一種數字媒體的版權保護技術，通過向用戶分發用以控制數字媒體使用權限的許可證，以實現對數字媒體內容的複製和分發的控制。目前的DRM許可證分發系統中，許可證的獲取通常使用版權對象獲取協議(Rights Object Acquisition Protocol，簡稱R0AP)實現，該協議需要對用戶設備進行認證。因此，用戶使用許可證的設備與訂購許可證的設備須為同一實體設備， 以確保只有合法的用戶才能獲得受保護的數字媒體內容對象的使用權限。但是，由於許可證訂購和獲取過程相互綁定，訂購許可證的設備與接收許可證的設備須為同一實體，且許可證與設備信息綁定，用戶很難將許可證轉移到其他設備上使用，在很大程度上限制了 DRM 系統支持的業務模式。

發明內容
本發明提供一種數字版權管理許可證分發方法和系統、伺服器及終端，以提高許可證分發的靈活性。本發明提供一種數字版權管理許可證分發方法，包括接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，所述訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第
一終端。本發明提供一種數字版權管理許可證分發方法，包括根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送，所述許可證獲取請求攜帶有所述許可證提取號和所述設備信息；接收所述許可證獲取請求對應的許可證。本發明提供一種伺服器，包括訂購信息獲取模塊，用於接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，所述訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；
許可證模塊，用於獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第一終端。本發明提供一種終端，其特徵在於，包括許可證獲取請求發送模塊，用於根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送給伺服器，所述許可證獲取請求攜帶有所述許可證提取號和所述設備信息；許可證接收模塊，用於接收所述伺服器返回的所述許可證獲取請求對應的許可證。由上述技術方案可知，本發明提供的數字版權管理許可證分發方法和系統、伺服器及終端，由於用戶通過DRM終端發送的許可證獲取請求攜帶有許可證提取號，而該許可證提取號不一定是通過該DRM終端獲取的，實現了許可證訂購和發放過程的分離。用戶在訂購媒體內容對象的過程中可以首先獲取與訂購信息對應的許可證提取號。然後通過用戶希望使用該媒體內容對象的設備向DRM伺服器發送許可證獲取請求，以獲取許可證，大大提高了許可證分發的靈活性。


圖1為本發明實施例提供的一種數字版權管理許可證分發方法流程圖；圖2為本發明實施例提供的另一種數字版權管理許可證分發方法流程圖；圖3為本發明實施例提供的一種伺服器結構示意圖；圖4為本發明實施例提供的另一種伺服器結構示意圖；圖5為本發明實施例提供的一種終端結構示意圖；圖6為本發明實施例提供的另一種終端結構示意圖；圖7為本發明實施例提供的數字版權管理許可證分發系統的信令圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例， 對本發明實施例中的技術方案進行清楚、完整地描述。需要說明的是，在附圖或說明書中， 相似或相同的元件皆使用相同的附圖標記。圖1為本發明實施例提供的一種數字版權管理許可證分發方法流程圖。如圖1所示，本實施例提供的數字版權管理許可證分發方法具體可以應用於數字版權管理DRM許可證分發系統中DRM伺服器對許可證分發過程的控制，也可以通過多個伺服器配合實現。本實施例提供的數字版權管理許可證分發方法包括步驟10、接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取許可證提取號對應的訂購信息，訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；第一終端具體為DRM終端，用戶通常通過DRM終端登錄運營商或內容提供商的門戶網站瀏覽和購買DRM保護的內容對象，如圖片、鈴聲、屏保、動畫，甚至移動遊戲、MP3、視頻節目等，DRM終端可以為手機、個人數碼助理、平板電腦、機頂盒、個人計算機等終端。用戶首先註冊成為該門戶網站的合法用戶，DRM終端根據預設密鑰生成算法生成用戶私鑰和用戶公鑰。註冊伺服器會根據DRM終端提供的用戶公鑰生成包含有用戶公鑰的用戶公鑰證書並提供給用戶。用戶可以通過DRM終端向DRM伺服器發送許可證獲取請求，以獲取訂購的內容對象對應的許可證。許可證獲取請求攜帶有許可證提取號和設備信息。許可證提取號可以為用戶通過發送該許可證獲取請求的DRM終端獲取的，也可以為通過其他DRM終端獲取的，還可以為用戶到運營商或內容提供商的實體店面訂購媒體產品時，由運營商或內容提供商提供的。設備信息為該許可證獲取請求的DRM終端的設備相關信息。發送訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息，內容對象具體為用戶訂購的媒體內容對象，使用權限可以包括使用時間、使用次數等。當用戶訂購某個內容對象時，運營商或內容提供商提供給用戶唯一的許可證提取號，並建立該許可證提取號與訂購信息的映射關係。當接收到攜帶有該許可證提取號的許可證獲取請求時，根據該許可證提取號獲取訂購信息。步驟20、獲取內容標識信息對應的內容主控密鑰，根據內容主控密鑰、設備信息、 內容標識信息和業務權限信息生成許可證，並將許可證返回給第一終端。 內容主控密鑰具體為用於對購買的內容對象進行解密的密鑰。DRM伺服器根據內容主控密鑰、設備信息、內容標識信息和業務權限信息生成許可證，並將該許可證返回給發送許可證獲取請求的DRM終端，許可證具體用以通過內容主控密鑰對內容標識對應的內容對象進行解密，並控制內容對象在設備信息對應的設備上、在業務權限信息對應的權限範圍內播放。用戶就可以通過該DRM終端使用許可證中的內容主控密鑰對購買的內容對象進行解密，並控制內容對象在設備信息對應的設備上，以及在業務權限信息對應的權限範圍內播放。本實施例提供的數字版權管理許可證分發方法，由於用戶通過DRM終端發送的許可證獲取請求攜帶有許可證提取號，而該許可證提取號不一定是通過該DRM終端獲取的， 實現了許可證訂購和發放過程的分離。用戶在訂購媒體內容對象的過程中可以首先獲取與訂購信息對應的許可證提取號。然後通過用戶希望使用該媒體內容對象的設備向DRM伺服器發送許可證獲取請求，以獲取許可證，大大提高了許可證分發的靈活性。在本實施例中，接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求之前，還可以包括如下步驟步驟30、接收第二終端發送的攜帶有訂購信息的訂購請求，生成訂購信息對應的許可證提取號，並將許可證提取號返回；步驟40、存儲訂購信息。訂購請求具體為用戶通過DRM終端向DRM伺服器發送的用以指示對某個媒體內容對象訂購的請求，訂購請求中攜帶有訂購信息。DRM伺服器根據該訂購請求，生成訂購信息對應的許可證提取號，並將該許可證提取號返還給該DRM終端。許可證提取號具體可以為隨機生成的唯一的數字序列。第一終端和第二終端可以為同一 DRM終端，也可以為的不同的DRM終端，用戶可以分別通過不同的DRM終端登錄門戶網站，分別獲取許可證提取號和許可證。在本實施例中，步驟30，接收第二終端發送的攜帶有訂購信息的訂購請求，生成訂購信息對應的許可證提取號，並將許可證提取號返回，具體可以包括如下步驟步驟301、接收第二終端發送的攜帶有訂購信息和用戶公鑰證書的訂購請求；步驟302、對用戶公鑰證書進行驗證，若驗證成功，則為訂購信息分配許可證標識， 生成許可證標識對應的許可證提取號；步驟303、通過用戶公鑰證書中的用戶公鑰對許可證提取號進行加密；步驟304、將加密後的許可證提取號返回給第二終端。由於DRM伺服器接收到的訂購請求中攜帶有用戶公鑰證書，用戶公鑰證書可以為與通過第一終端發送許可證獲取請求的相同用戶的用戶公鑰證書，也可以為不同用戶的用戶公鑰證書，可以實現對用戶身份進行驗證即可。首先可以對用戶公鑰證書進行驗證，以驗證發起該訂購請求的用戶的身份，若驗證失敗，則說明該用戶為非法用戶，則不為該用戶提供訂購服務。若驗證成功，說明該用戶為合法用戶，則執行接下來的操作步驟。在將許可證提取號返回給DRM終端之前，先對該許可證提取號進行加密處理，提高了許可證提取號的安全性。具體的，可以通過用戶公鑰證書中的用戶公鑰對許可證提取號進行加密，當DRM終端接收到該加密後的許可證提取號後，通過用戶私鑰對加密後的許可證提取號解密處理， 以獲得該許可證提取號。在本實施例中，步驟10、接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取許可證提取號對應的訂購信息，具體可以包括如下步驟步驟101、接收第一終端發送的通過用戶私鑰籤名後的、攜帶有許可證提取號和設備信息的許可證獲取請求；步驟102、通過用戶公鑰對籤名後的許可證獲取請求進行籤名驗證，若驗證成功， 則獲取許可證提取號對應的許可證標識，獲取許可證標識對應的訂購信息。DRM終端可以先通過用戶私鑰許可證獲取請求進行籤名，再將該籤名後的許可證獲取請求向DRM伺服器發送。DRM伺服器接收到該許可證獲取請求，首先通過用戶公鑰對許可證獲取請求進行籤名驗證，若驗證成功，則說明許可證獲取請求為該用戶發送的，未被黑客截獲或篡改，則執行接下來的操作步驟。若驗證失敗，則說明許可證獲取請求不是該用戶發送的，則不對該許可證獲取請求進行處理。在本實施例中，步驟20，獲取內容標識信息對應的內容主控密鑰，根據內容主控密鑰、設備信息、內容標識信息和業務權限信息生成許可證，並將許可證返回給第一終端，具體包括如下步驟步驟201、獲取內容標識信息對應的內容主控密鑰，並通過用戶公鑰對內容主控密鑰進行加密；步驟202、獲取內容標識信息對應的內容對象，並通過預設摘要算法根據內容對象生成內容對象摘要；步驟203、根據加密後的內容主控密鑰、內容標識信息、設備信息和業務權限信息生成版權對象；步驟204、通過伺服器私鑰對版權對象進行籤名；步驟205、根據籤名後的版權對象和內容對象摘要生成許可證；步驟206、將許可證返回給第一終端。DRM終端接受到該許可證時，可以首先通過預先獲得的伺服器公鑰對許可證中的版權對象進行籤名驗證，若驗證成功，則說明該許可證是由DRM伺服器發送的，若驗證失敗，則該許可證可能在傳輸過程中被黑客截獲篡改，為不安全的許可證。籤名驗證成功後通過預設摘要算法(如哈希Hash摘要算法)根據下載的媒體內容對象生成摘要，將該摘要與許可證中的摘要進行比較，若一致，則說明下載的媒體內容對象完整且許可證安全有效。當許可證通過全部驗證後，就可以使用許可中的內容主控密鑰對下載的媒體內容對象進行解密使用了。在本實施例中，步驟101，接收第一終端發送的通過用戶私鑰籤名後的、攜帶有許可證提取號和設備信息的許可證獲取請求之後，步驟102，通過用戶公鑰對籤名後的許可證獲取請求進行籤名驗證之前，具體還可以包括如下步驟步驟103、提取許可證獲取請求中的時間戳信息，並對時間戳信息進行檢查，若時間戳信息為不同步時間信息，則向第一終端返回時間調整指示信息；步驟104、若接收到第一終端發送的時間調整指示信息對應的確認信息，則執行通過用戶公鑰對籤名後的許可證獲取請求進行籤名驗證的步驟。具體的，許可證獲取請求中的時間戳信息為DRM終端的時間，若DRM伺服器發現 DRM終端的時間與DRM伺服器的時間不一致，即時間戳信息為不同步信息，則返回時間調整指示信息，時間調整指示信息用以指示用戶將DRM終端的時間調整為與DRM伺服器一致的時間，以保證DRM保護的媒體內容對象被正確使用。用戶根據該時間調整指示信息對DRM 終端的時間進行調整則產生該確認信息，DRM伺服器再執行步驟102，實現對DRM終端的時鐘同步。否則，許可證請求失敗。圖2為本發明實施例提供的另一種數字版權管理許可證分發方法流程圖。如圖 2所示，本實施例提供的數字版權管理許可證分發方法具體可以應用於數字版權管理DRM 許可證分發系統中DRM終端對許可證的獲取過程，可以與本發明任意實施例提供的應用於 DRM伺服器端的數字版權管理許可證分發方法配合實現，其具體實現過程此不再贅述。本實施例提供的數字版權管理許可證分發方法包括步驟50、根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送，許可證獲取請求攜帶有許可證提取號和設備信息；步驟60、接收許可證獲取請求對應的許可證。本實施例提供的數字版權管理許可證分發方法，由於用戶通過DRM終端發送的許可證獲取請求攜帶有許可證提取號，而該許可證提取號不一定是通過該DRM終端獲取的， 實現了許可證訂購和發放過程的分離。用戶在訂購媒體內容對象的過程中可以首先獲取與訂購信息對應的許可證提取號。然後通過用戶希望使用該媒體內容對象的設備向DRM伺服器發送許可證獲取請求，以獲取許可證，大大提高了許可證分發的靈活性。在本實施例中，該數字版權管理許可證分發方法具體還可以包括如下步驟步驟70、根據接收到的訂購信息生成訂購請求並發送，訂購請求攜帶有訂購信息；步驟80、接收訂購請求對應的許可證提取號。具體的，步驟50、60所實現的許可證的獲取流程，與步驟70、80所實現的許可證提取號的獲取流程可以通過不同終端來實現，即在獲取許可證的過程中所使用的許可證提取號可以是通過其他終端獲取到的，而在獲取許可證提取號的過程中獲取的許可證提取號也可以應用於其他終端的許可證獲取過程。圖3為本發明實施例提供的一種伺服器結構示意圖。如圖3所示，本實施例提供的伺服器34具體可以為DRM伺服器，可以實現本發明任意實施例提供的應用於DRM伺服器端的數字版權管理許可證分發方法的各個步驟，此不再贅述。本實施例提供的伺服器34具體包括訂購信息獲取模塊11和許可證模塊12。訂購信息獲取模塊11用於接收第一終端 31發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取許可證提取號對應的訂購信息，訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息。許可證模塊12用於獲取內容標識信息對應的內容主控密鑰，根據內容主控密鑰、設備信息、內容標識信息和業務權限信息生成許可證，並將許可證返回給第一終端31。本實施例提供的伺服器34，由於用戶通過作為第一終端31的DRM終端發送的許可證獲取請求攜帶有許可證提取號，而該許可證提取號不一定是通過第一終端31獲取的，實現了許可證訂購和發放過程的分離。用戶在訂購媒體內容對象的過程中可以首先獲取與訂購信息對應的許可證提取號。然後通過用戶希望使用該媒體內容對象的設備向伺服器發送許可證獲取請求，以獲取許可證，大大提高了許可證分發的靈活性。圖4為本發明實施例提供的另一種伺服器結構示意圖。如圖4所示，在本實施例中，該伺服器34還可以包括許可證提取號模塊13和存儲模塊14。許可證提取號模塊13用於接收第二終端32發送的攜帶有訂購信息的訂購請求，生成訂購信息對應的許可證提取號，並將許可證提取號返回給第二終端32。存儲模塊14用於存儲訂購信息。在本實施例中，許可證提取號模塊13包括第一接收單元131、許可證提取號生成單元132、加密單元133和第一返回單元134。第一接收單元131用於接收第二終端32發送的攜帶有訂購信息和用戶公鑰證書的訂購請求。許可證提取號生成單元132用於對用戶公鑰證書進行驗證，若驗證成功，則為訂購信息分配許可證標識，生成許可證標識對應的許可證提取號，則存儲模塊14中存儲的訂購信息可以通過對應的許可證標識或許可證提取號查找。加密單元133用於通過用戶公鑰證書中的用戶公鑰對許可證提取號進行加密。第一返回單元134用於將加密後的許可證提取號返回給第二終端32。在本實施例中，訂購信息獲取模塊11具體可以包括第二接收單元111和訂購信息獲取單元112。第二接收單元111用於接收第一終端31發送的通過用戶私鑰籤名後的、攜帶有許可證提取號和設備信息的許可證獲取請求。訂購信息獲取單元112用於通過用戶公鑰對籤名後的許可證獲取請求進行籤名驗證，若驗證成功，則獲取許可證提取號對應的許可證標識，獲取許可證標識對應的訂購信息。在本實施例中，許可證模塊12具體可以包括主控密鑰獲取單元121、摘要生成單元122、版權對象生成單元123、籤名單元124、許可證生成單元125和第二返回單元126。主控密鑰獲取單元121用於獲取內容標識信息對應的內容主控密鑰，並通過用戶公鑰對內容主控密鑰進行加密。摘要生成單元122用於獲取內容標識信息對應的內容對象，並通過預設摘要算法根據內容對象生成內容對象摘要。版權對象生成單元123用於根據加密後的內容主控密鑰、內容標識信息、設備信息和業務權限信息生成版權對象。籤名單元1 用於通過伺服器私鑰對版權對象進行籤名。許可證生成單元125用於根據籤名後的版權對象和內容對象摘要生成許可證。第二返回單元1 用於將許可證返回給第一終端31。
圖5為本發明實施例提供的一種終端結構示意圖。如圖5所示，本實施例提供的終端33具體可以配合伺服器實現本發明任意實施例的數字版權管理許可證分發方法的各個步驟，此不再贅述。本實施例提供的終端33包括許可證獲取請求發送模塊21和許可證接收模塊22。許可證獲取請求發送模塊21用於根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送給伺服器34，許可證獲取請求攜帶有許可證提取號和設備信息。 許可證接收模塊22用於接收伺服器34返回的許可證獲取請求對應的許可證。本實施例提供的終端33，由於用戶通過終端發送的許可證獲取請求攜帶有許可證提取號，而該許可證提取號不一定是通過該終端獲取的，實現了許可證訂購和發放過程的分離。用戶在訂購媒體內容對象的過程中可以首先獲取與訂購信息對應的許可證提取號。 然後通過用戶希望使用該媒體內容對象的設備向DRM伺服器發送許可證獲取請求，以獲取許可證，大大提高了許可證分發的靈活性。圖6為本發明實施例提供的另一種終端結構示意圖。如圖6所示，在本實施例中， 該終端33具體還包括可以包括訂購請求發送模塊23和許可證提取號接收模塊24。訂購請求發送模塊23用於根據接收到的訂購信息生成訂購請求並發送給伺服器34，訂購請求攜帶有訂購信息。許可證提取號接收模塊M用於接收伺服器34返回的訂購請求對應的許可證提取號。本發明實施例提供一種數字版權管理許可證分發系統，該數字版權管理許可證分發系統可以實現本發明任意實施例提供的數字版權管理許可證分發方法的各個步驟，此不再贅述。本實施例提供的數字版權管理許可證分發系統包括本發明任意實施例提供的伺服器以及本發明任意實施例提供的終端。在實際應用中，由於單個伺服器資源有限，可以通過多個伺服器配合實現許可證的分發控制，以下通過許可證伺服器、密鑰管理伺服器和安全引擎伺服器三個伺服器對許可證的分發控制過程作詳細地說明。具體的，許可證伺服器用於接收DRM終端許可證提取號生成請求，存儲相關信息，進行許可證的生成、分發、狀態檢查及DRM終端時鐘同步等操作。密鑰管理伺服器用於管理內容主控密鑰，並保存內容主控密鑰與內容對象之間的映射關係，接收到來自許可證伺服器的加密的內容主控密鑰請求後，請求安全引擎伺服器對內容主控密鑰進行加密，並將加密的內容主控密鑰和內容對象Hash值一起發送到許可證伺服器。安全引擎伺服器用於提供各種加解密算法，負責完成許可證提取號生成，內容主控密鑰進行加解密，用戶籤名信息驗證及許可證籤名等操作。進一步地，許可證伺服器具體可以包括許可證生成模塊、許可證分發模塊、許可證存儲模塊、時鐘同步模塊和許可證狀態檢查模塊。許可證生成模塊用於接收來自用戶DRM終端的訂購信息(包括內容標識信息、用戶標識信息、業務權限信息、用戶公鑰證書等信息)，為當前訂購信息生成許可證標識，將相關信息存入許可證存儲模塊，並請求安全引擎伺服器為用戶生成許可證提取號，在接收到安全引擎返回的通過用戶公鑰加密的許可證提取號後，將該密文的許可證提取號返回給 DRM終端。許可證分發模塊用於接收到來自用戶DRM終端的許可證獲取請求後，請求安全引擎伺服器驗證許可證獲取請求的籤名，若驗證通過，根據許可證提取號查找到相應的許可證標識，獲得相應的業務權限信息，並向密鑰管理伺服器申請加密後的內容主控密鑰和內容對象的Hash值(即內容對象摘要)，將以上信息及用戶的設備信息一起組織成版權對象， 並向安全引擎伺服器申請對版權對象進行籤名，接收到版權對象籤名信息後，許可證伺服器將版權對象及其籤名信息組織成許可證文件發送到DRM終端。許可證存儲模塊用於存儲許可證伺服器創建的所有許可證，並負責進行許可證生命周期的管理。時鐘同步模塊用於向DRM終端提供時鐘同步信息。在接收到DRM終端的時鐘同步信號後，向DRM終端返回當前DRM服務的系統時間。在DRM終端請求下載許可證時，請求中帶有時間戳，用來進行DRM終端時間同步檢查。DRM服務系統在收到一個許可證下載請求時，檢查DRM終端時間，若時間不準確，DRM終端提示用戶進行時間同步，用戶確認後，將終端設備時間設置為DRM伺服器時間。如果用戶不調整終端設備時間，許可證請求失敗。密鑰管理伺服器具體可以包括內容主控密鑰/內容對象Hash值存儲模塊、內容主控密鑰分發模塊、內容主控密鑰更新模塊和服務系統證書管理模塊。內容主控密鑰/內容對象Hash值存儲模塊用於存儲通過密鑰加密密鑰(Key Encryption Key，以下簡稱KEK)加密後的內容主控密鑰及加密打包後的內容對象的Hash 值，並維護內容主控密鑰與內容對象的對應關係。內容主控密鑰分發模塊用於響應來自許可證伺服器的內容主控密鑰請求(包含內容標識信息、用戶公鑰證書)，從內容主控密鑰模塊獲得內容主控密鑰的密文，連同用戶公鑰證書一起，發送給安全引擎伺服器請求使用用戶公鑰對內容主控密鑰進行加密，接收安全引擎服務返回的內容主控密鑰密文後，將該內容主控密鑰與內容對象Hash值一併發送給許可證伺服器。內容主控密鑰更新模塊用於根據業務需要更新內容主控密鑰。當內容主控密鑰在用戶DRM終端洩漏時，也需要內容主控密鑰更新模塊進行密鑰更新。服務系統證書管理模塊用於發起服務系統公私鑰生成及服務系統公鑰證書獲取流程，並負責存儲和管理服務系統公鑰證書。安全引擎伺服器具體可以包括隨機數生成模塊、用戶籤名驗證模塊、許可證籤名模塊、內容主控密鑰加解密模塊、隨機數加密模塊和服務系統公私鑰生模塊。隨機數生成模塊用於在接收到許可證伺服器發送的許可證提取號生成請求後，生成隨機數，並將該隨機數發送到隨機數加密模塊。隨機數加密模塊用於通過用戶公鑰對該隨機數進行加密，然後將加密後的隨機數返回給許可證伺服器。用戶籤名驗證模塊用於對用戶許可證獲取請求的籤名信息進行驗證。用戶籤名驗證模塊接收到來自許可證伺服器的用戶籤名驗證請求後，首先驗證證書的完整性、有效性及證書用途，驗證無誤後，用戶籤名驗證模塊驗證用戶籤名信息的完整性，以上各項均驗證通過，則接受該數據，並向許可證伺服器返回驗證結果。許可證籤名模塊用於通過DRM服務系統的伺服器私鑰對權限對象進行籤名，並將權限對象的籤名信息返回給許可證伺服器。內容主控密鑰加解密模塊用於接收密鑰管理伺服器的指令，對內容主控密鑰進行加解密操作。內容主控密鑰加解密模塊接收到來自密鑰管理伺服器的內容主控密鑰加密請求後，先通過KEK對內容主控密鑰解密，再通過用戶公鑰對內容主控密鑰進行加密運算，然後將加密後的內容主控密鑰返回給密鑰管理伺服器。版權對象籤名模塊用於接收到來自許可證伺服器的版權對象籤名請求後，先對版權對象計算Hash值，再使用DRM服務系統私鑰對該Hash值進行籤名運算，然後將生成的版權對象籤名信息返回給許可證伺服器。終端上可以設置有瀏覽器和DRM客戶端，DRM客戶端的具體可以包括許可證管理模塊、安全管理模塊、內容解密模塊和時間同步模塊。許可證管理模塊用於與許可證伺服器交互，完成許可證的申請和獲取，並在媒體內容播放時，對許可證進行版權解析，另外，還對許可證的有效性進行判斷和控制。許可證管理模塊包括許可證獲取、存儲、解析和控制四個子模塊。安全管理模塊用於存儲用戶數字證書和公私鑰對等關鍵信息，並調用相關加解密算法，進行數字籤名、身份認證、Hash值計算、解密內容主控密鑰等操作。內容解密模塊用於通過內容主控密鑰恢復出內容解密密鑰，然後使用內容解密密鑰對加密後的媒體文件進行解密。圖7為本發明實施例提供的數字版權管理許可證分發系統的信令圖。如圖7所示， 具體實現流程為步驟Si、用戶通過DRM終端上設置的瀏覽器訪問業務平臺門戶網站，並發送訂購請求到業務平臺；步驟S2、業務平臺將訂購信息發送到許可證伺服器；步驟S3、許可證伺服器根據訂購信息建立與訂購信息對應的許可證標識，並存儲訂購信息；步驟S4、許可證伺服器請求安全引擎伺服器生成許可證標識對應的許可證提取號；步驟S5、安全引擎伺服器生成許可證提取號，並通過用戶公鑰對許可證提取號進行加密後返回給許可證伺服器；步驟S6、許可證伺服器將加密後的許可證提取號返回給業務平臺；步驟S7、業務平臺向用戶瀏覽器返回處理結果，並將加密的許可證提取號push到瀏覽器，瀏覽器插件調用安全管理模塊對許可證提取號解密，將明文的許可證提取號顯示給用戶，若用戶可以選擇立即下載許可證，則執行步驟S8，若用戶不選擇立即下載，則執行步驟S9 ；步驟S8、瀏覽器將許可證獲取請求傳送到DRM終端上設置的DRM客戶端，跳轉至步驟 SlO ；步驟S9、用戶通過DRM客戶端的用戶界面(User hterface，簡稱UI)手動發起許可證獲取請求；步驟S10、DRM客戶端使用用戶私鑰對許可證獲取請求進行數字籤名；步驟Sll、DRM客戶端將籤名後的許可證獲取請求發送到許可證伺服器；步驟S12、許可證伺服器請求安全引擎伺服器對許可證獲取請求的籤名進行驗證；步驟S13、安全引擎伺服器對許可證獲取請求的籤名驗證完畢後，向許可證伺服器返回驗證結果；步驟S14、若驗證結果為驗證成功，則許可證伺服器根據用戶許可證提取號，獲得內容標識信息；步驟S15、許可證伺服器根據內容標識向密鑰管理伺服器請求加密的內容主控密鑰與內容對象Hash值；步驟S16、密鑰管理伺服器將加密的內容主控密鑰發送給安全引擎伺服器，請求安全引擎伺服器通過用戶公鑰對其進行加密；步驟S17、安全引擎伺服器先通過KEK對加密的內容主控密鑰進行解密，然後使用用戶公鑰對內容主控密鑰進行加密，並將密文的內容主控密鑰返回給密鑰管理伺服器；步驟S18、密鑰管理伺服器將加密後的內容主控密鑰及內容對象Hash值返回給許可證伺服器；步驟S19、許可證伺服器將密文的內容主控密鑰及其他信息組織成版權對象；步驟S20、許可證伺服器向安全引擎伺服器發送版權對象籤名請求；步驟S21、安全引擎伺服器通過伺服器私鑰對版權對象進行籤名，並向許可證伺服器返回籤名後的版權對象；步驟S22、許可證伺服器生成最終的許可證；步驟S23、許可證伺服器將許可證發送到DRM客戶端；步驟S24、DRM客戶端通知瀏覽器許可證獲得成功。至此就完成了許可證的分發流程。上述實現流程中的步驟Sl-步驟SM包括了許可證提取號獲取和許可證獲取兩個流程，這兩個流程可以通過不同的終端來實現，以達到許可證的訂購和獲取過程分開，提高許可證分發靈活性的目的。如步驟Sl-步驟S7可以通過第二 DRM終端來獲取許可證提取號，若要利用該許可證提取號通過第二 DRM終端直接進行許可證獲取的步驟，則執行步驟 S8。若用戶不打算通過第二 DRM終端來獲取許可證，則獲取許可證提取號的流程至此就完成了。用戶可以通過第一 DRM終端利用已獲取到許可證提取號來獲取許可證，則可以執行步驟S9-SM，該許可證提取號可以為用戶通過不同於第一 DRM終端的其他終端獲取的，也可以為用戶通過第一 DRM終端獲取的。圖7所示信令圖僅提供了一種許可證提取號和許可證分發過程，本發明並不以此為限。值得注意的是，在通過多個伺服器配合完成許可證的分發控制時，伺服器之間的數據交互通過加密傳輸的方式來提高數據交互的安全性，加密方法可以有多種形式，並不以本實施例為限。本發明實施例提供的數字版權管理許可證分發方法和系統、伺服器及終端，訂購許可證的設備與下載許可證的設備可以分開，即用戶可以使用移動終端訂購許可證，在PC、 機頂盒等其他終端上使用下載和使用許可證，也可以為其他用戶訂購許可證，大大提高了許可證分發的靈活性。而且，在許可證訂購階段，通過用戶公鑰對許可證提取號進行加密， 確保只有合法的用戶才能獲得明文的許可證提取號。在許可證獲取階段，許可證提取請求通過用戶私鑰進行籤名，許可證中帶有DRM服務對版權對象的籤名信息，確保了許可證分發的機密性、完整性和不可否認性。最後應說明的是以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依然可以對前述實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。
權利要求
1.一種數字版權管理許可證分發方法，其特徵在於，包括接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，所述訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、 所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第一終端。
2.根據權利要求1所述的數字版權管理許可證分發方法，其特徵在於，所述接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求之前，還包括接收第二終端發送的攜帶有所述訂購信息的訂購請求，生成所述訂購信息對應的許可證提取號，並將所述許可證提取號返回給所述第二終端； 存儲所述訂購信息。
3.根據權利要求2所述的數字版權管理許可證分發方法，其特徵在於，所述接收第二終端發送的攜帶有所述訂購信息的訂購請求，生成所述訂購信息對應的許可證提取號，並將所述許可證提取號返回，包括接收所述第二終端發送的攜帶有所述訂購信息和用戶公鑰證書的訂購請求； 對所述用戶公鑰證書進行驗證，若驗證成功，則為所述訂購信息分配許可證標識，生成所述許可證標識對應的所述許可證提取號；通過所述用戶公鑰證書中的用戶公鑰對所述許可證提取號進行加密； 將加密後的所述許可證提取號返回給所述第二終端。
4.根據權利要求1或2所述的數字版權管理許可證分發方法，其特徵在於，所述接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，包括接收所述第一終端發送的通過用戶私鑰籤名後的、攜帶有所述許可證提取號和設備信息的許可證獲取請求；通過用戶公鑰對所述籤名後的許可證獲取請求進行籤名驗證，若驗證成功，則獲取所述許可證提取號對應的許可證標識，獲取所述許可證標識對應的訂購信息。
5.根據權利要求4所述的數字版權管理許可證分發方法，其特徵在於，所述獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第一終端，包括獲取所述內容標識信息對應的內容主控密鑰，並通過所述用戶公鑰對所述內容主控密鑰進行加密；獲取所述內容標識信息對應的內容對象，並通過預設摘要算法根據所述內容對象生成內容對象摘要；根據加密後的內容主控密鑰、所述內容標識信息、所述設備信息和所述業務權限信息生成版權對象；通過伺服器私鑰對所述版權對象進行籤名； 根據籤名後的版權對象和所述內容對象摘要生成所述許可證； 將所述許可證返回給所述第一終端。
6.一種數字版權管理許可證分發方法，其特徵在於，包括根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送，所述許可證獲取請求攜帶有所述許可證提取號和所述設備信息； 接收所述許可證獲取請求對應的許可證。
7.根據權利要求6所述的數字版權管理許可證分發方法，其特徵在於，還包括 根據接收到的訂購信息生成訂購請求並發送，所述訂購請求攜帶有所述訂購信息； 接收所述訂購請求對應的許可證提取號。
8.一種伺服器，其特徵在於，包括訂購信息獲取模塊，用於接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，所述訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；許可證模塊，用於獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第一終端。
9.根據權利要求8所述的伺服器，其特徵在於，還包括許可證提取號模塊，用於接收第二終端發送的攜帶有所述訂購信息的訂購請求，生成所述訂購信息對應的許可證提取號，並將所述許可證提取號返回給所述第二終端； 存儲模塊，用於存儲所述訂購信息。
10.根據權利要求9所述的伺服器，其特徵在於，所述許可證提取號模塊包括第一接收單元，用於接收所述第二終端發送的攜帶有所述訂購信息和用戶公鑰證書的訂購請求；許可證提取號生成單元，用於對用戶公鑰證書進行驗證，若驗證成功，則為所述訂購信息分配許可證標識，生成所述許可證標識對應的所述許可證提取號；加密單元，用於通過所述用戶公鑰證書中的用戶公鑰對所述許可證提取號進行加密； 第一返回單元，用於將加密後的所述許可證提取號返回給所述第二終端。
11.根據權利要求8或9所述的伺服器，其特徵在於，所述訂購信息獲取模塊包括 第二接收單元，用於接收所述第一終端發送的通過用戶私鑰籤名後的、攜帶有所述許可證提取號和設備信息的許可證獲取請求；訂購信息獲取單元，用於通過用戶公鑰對所述籤名後的許可證獲取請求進行籤名驗證，若驗證成功，則獲取所述許可證提取號對應的許可證標識，獲取所述許可證標識對應的訂購信息。
12.根據權利要求11所述的伺服器，其特徵在於，所述許可證模塊包括主控密鑰獲取單元，用於獲取所述內容標識信息對應的內容主控密鑰，並通過所述用戶公鑰對所述內容主控密鑰進行加密；摘要生成單元，用於獲取所述內容標識信息對應的內容對象，並通過預設摘要算法根據所述內容對象生成內容對象摘要；版權對象生成單元，用於根據加密後的內容主控密鑰、所述內容標識信息、所述設備信息和所述業務權限信息生成版權對象；籤名單元，用於通過伺服器私鑰對所述版權對象進行籤名；許可證生成單元，用於根據籤名後的版權對象和所述內容對象摘要生成所述許可證； 第二返回單元，用於將所述許可證返回給所述第一終端。
13.—種終端，其特徵在於，包括許可證獲取請求發送模塊，用於根據獲取到的許可證提取號和設備信息生成許可證獲取請求並發送給伺服器，所述許可證獲取請求攜帶有所述許可證提取號和所述設備信息； 許可證接收模塊，用於接收所述伺服器返回的所述許可證獲取請求對應的許可證。
14.根據權利要求13所述的終端，其特徵在於，還包括訂購請求發送模塊，用於根據接收到的訂購信息生成訂購請求並發送給所述伺服器， 所述訂購請求攜帶有所述訂購信息；許可證提取號接收模塊，用於接收所述伺服器返回的所述訂購請求對應的許可證提取號。
15.一種數字版權管理許可證分發系統，其特徵在於，包括 如權利要求8-12任一所述的伺服器；以及如權利要求13或14所述的終端。
全文摘要
本發明提供一種數字版權管理許可證分發方法和系統、伺服器及終端，數字版權管理許可證分發方法，包括接收第一終端發送的攜帶有許可證提取號和設備信息的許可證獲取請求，獲取所述許可證提取號對應的訂購信息，所述訂購信息包括用以指示訂購的內容對象的內容標識信息和用以指示訂購的使用權限的業務權限信息；獲取所述內容標識信息對應的內容主控密鑰，根據所述內容主控密鑰、所述設備信息、所述內容標識信息和所述業務權限信息生成許可證，並將所述許可證返回給所述第一終端。本發明提供的數字版權管理許可證分發方法和系統，實現了許可證訂購和發放過程的分離，大大提高了許可證分發的靈活性。
文檔編號H04L29/06GK102281300SQ20111024407
公開日2011年12月14日 申請日期2011年8月24日 優先權日2011年8月24日
發明者馮偉斌, 劉明輝, 劉紅旗, 張立, 胡舜耕 申請人:中國聯合網絡通信集團有限公司