基於雙重身份認證的動態數字版權保護方法

2023-04-29 10:05:16

專利名稱：基於雙重身份認證的動態數字版權保護方法
技術領域：
本發明涉及信息安全領域，涉及數字版權保護和身份認證，特別涉及一種基於雙 重身份認證的動態數字版權保護方法。
背景技術：
隨著網絡傳輸和通信技術的飛速發展，網絡多媒體文件的分發、複製與編輯變得 越來越普遍，與此同時，服務提供商越來越強烈地要求保護其數字內容，版權問題得到了越 來越多的關注。由此而產生的數字版權管理技術(Digital Rights Management，以下簡稱 DRM)可以實現版權的保護，其結合硬體和軟體的存取機制，對數字多媒體內容在其生命周 期內的存取進行有效地控制。目前，眾多學者已經對DRM技術進行了深入廣泛的研究。Steve K等人提出了一種隱私可保護的版權管理模式，該模式可以在線進行用戶 隱私受保護的身份認證許可，但是離線狀態下無法定位版權用戶的身份。Andreaux JP等 人提出了一種用於數字家庭網絡的版權保護系統，該系統將屬性證書和許可證進行分離操 作，從而實現了數字媒體的安全發放。但是受所在網絡的限制，還沒有推廣到廣域網的範 疇。ShiHao等人則設計了一種用於協同的點對點對等網絡的數字版權管理方案，該方案採 用動態許可證技術，但是不支持版權受控內容的物理空間的遷移。雖然近年來的科研成果和實踐經驗已經取得了矚目的成績，但是版權管理平臺上 仍然存在著亟待解決的問題，具體表現在(1)雖然在線狀態下的身份認證技術很好地解決了用戶的合法身份問題，但是，不 能正確地約束用戶的使用權限和清晰地劃分用戶的權限範圍。(2)由於目前還沒有離線狀態下的用戶身份認證機制，用戶在版權管理平臺上通 過身份認證後，下載到本地計算機上的數字多媒體文件可以通過常用的媒體播放器進行直 接播放，這樣就會導致數字多媒體作品被惡意地篡改或者竊取，不能有效地防止離線擴散。因此，有必要提供一種改進的數字版權保護方法來克服現有技術的缺陷。

發明內容
本發明的目的是提供一種基於雙重身份認證的動態數字版權保護方法，USBKEY內 的PIN碼和數字證書能解決Steve K等人提出的版權管理模式中離線狀態下無法定位版權 用戶的身份的問題、Andreaux JP等人提出的數字家庭網絡的版權保護系未推廣到廣域網 的範疇的問題、以及Shi Hao等人設計的用於協同的點對點對等網絡的數字版權管理方案 中不支持版權受控內容的物理空間的遷移的問題，並且數字證書的擴展項能在在線狀態下 正確約束用戶的使用權限和清晰劃分用戶的權限範圍，PIN碼和數字證書能在離線狀態下 對用戶身份進行認證，避免媒體作品被惡意地篡改或者竊取，有效防止離線擴散。為了實現上述目的，本發明提供了一種基於雙重身份認證的動態數字版權保護方 法，包括如下步驟(1)將用戶的數字證書下載到內置有隨機數發生器的USBKEY中；(2) 當用戶登錄時，在USBKEY置入客戶端後，根據輸入的PIN碼口令激活USBKEY，進而獲取USBKEY內的數字證書，當數字證書有效時，隨機數發生器產生隨機數序列，當用戶對隨機數 序列籤名的籤名信息正確時，根據數字證書的擴展項所規定的使用權限在線播放或在線下 載媒體作品文件；(3)當用戶未登錄時，在USBKEY置入客戶端後，根據輸入的PIN碼口令激 活USBKEY，進而獲取USBKEY內的數字證書，當數字證書有效時，根據數字證書的擴展項所 規定的使用權限離線播放媒體作品文件。在本發明的一個實施例中，所述方法還包括(11)當用戶將用戶設定的PIN碼和 用戶註冊時系統自動生成的用戶唯一標識符作為密鑰要素，並利用密鑰要素產生非對稱密 鑰對後，CA代理中心對非對稱密鑰對的公鑰中用戶的身份信息進行審核，待用戶的身份信 息通過審核後，將非對稱密鑰對中的公鑰和用戶的身份信息發送至CA權威認證中心，(12) CA權威認證中心在用戶的身份信息與公鑰中的用戶的身份信息信息一致時產生數字證書， 將數字證書發送至CA代理中心；(13) CA代理中心將數字證書頒發給所有者或消費者，並將 數字證書存儲至資料庫。在本發明的另一實施例中，所述數字證書包括用戶的身份信息、公鑰信息、CA權威 認證中心的身份信息、CA權威認證中心對數字證書的籤名、擴展項、以及有效期，其中用戶 的身份信息包含數字證書序列號、用戶註冊時提交的用戶名稱、以及系統平臺為用戶生成 的唯一標識符，並由CA權威認證中心100來確定，擴展項包含在線播放、在線下載、離線播 放媒體作品文件的權限信息。在本發明的又一實施例中，所述步驟(2)具體為(21)在用戶登錄並將USBKEY置 入客戶端後，當輸入的PIN碼口令次數未超過規定次數時，輸入PIN碼口令，當輸入的PIN 碼口令與USBKEY的PIN碼相同時，激活USBKEY ； (22)獲取USBKEY內的數字證書，當數字證 書有效時，隨機數發生器產生隨機數序列；(23)在用戶對由隨機數發生器根據非對稱密鑰 對中的私鑰作為初始化種子產生的隨機數、證書有效時間、以及目標接收者組成的報文籤 名以及籤名信息通過私鑰加密後，利用數字證書的公鑰對加密的籤名信息進行解密，將報 文進行數字籤名，根據籤名的報文與解密的籤名信息判斷用戶的籤名是否正確；(24)當籤 名正確時，判斷伺服器是否為信息的接收者，數字證書的時間戳是否為當前時間；(25)當 伺服器是信息的接收者，數字證書的時間戳是當前時間時，根據數字證書的擴展項所規定 的使用權限在線播放或下載媒體作品文件。在本發明的再一實施例中，所述步驟(3)具體為(31)在用戶未登錄並將USBKEY 置入客戶端後，當輸入的PIN碼口令次數未超過規定次數時，輸入PIN碼口令，當輸入的PIN 碼口令與USBKEY的PIN碼相同時，激活USBKEY ； (32)獲取USBKEY內的數字證書，當數字證 書有效時，根據數字證書的擴展項所規定的使用權限離線播放媒體作品文件。在本發明的又一實施例中，所述方法還包括當用戶支付媒體作品文件的新使用 權的費用後，更新用戶的數字證書的擴展項和有效期；將更新的數字證書下載到USBKEY中 以替代原有數字證書。與現有技術相比，本發明基於雙重身份認證的動態數字版權保護方法具有如下優佔.(1)在在線狀態和離線狀態，均採用PIN碼口令和數字證書來驗證用戶身份，這 種雙重身份驗證避免了所有用戶操作媒體文件，這樣在離線狀態下可以定位版權用戶的身 份，本發明家庭網絡伺服器組成一個域，通過向管理家庭網絡和提供數字內容的伺服器端申請相應的證書，伺服器端將域作為一個整體管理，域中設備所申請的數字內容均被當作 是域所申請，伺服器端只與此用戶域通信，而不與域中各設備直接通信，可將數字家庭網絡 的版權保護推廣到廣域網的範疇；通過秘密共享思想將數字證書的公鑰分發給點對點對等 網絡中的可信任節點，為網絡的數字版權管理中數字內容的分發提供了必要的安全保障， 版權受控內容的物理空間可以遷移。(2)數字證書的擴展項規定了數字多媒體作品的使用權限，能實現在線下載、在線 播放、離線播放的使用權限約束和權限範圍劃分。(3)在在線狀態時，採用隨機數發生器產生隨機數序列要求用戶籤名，用戶每次籤 名的隨機數序列均不相同，實現了身份認證的動態性。通過以下的描述並結合附圖，本發明將變得更加清晰，這些附圖用於解釋本發明 的實施例。


圖1為本發明基於雙重身份認證的動態數字版權保護方法的流程圖。圖2是圖1所示基於雙重身份認證的動態數字版權保護方法涉及的系統的架構 圖。圖3為圖1所示基於雙重身份認證的動態數字版權保護方法中USBKEY的組成框 圖。圖4為圖1所示基於雙重身份認證的動態數字版權保護方法中實現在線播放或下 載的流程圖。圖5為圖1所示基於雙重身份認證的動態數字版權保護方法中實現離線播放的流 程圖。圖6為圖1所示基於雙重身份認證的動態數字版權保護方法中為用戶頒發數字證 書的流程圖。
具體實施例方式現在參考附圖描述本發明的實施例，附圖中類似的元件標號代表類似的元件。參考圖1和圖2，本實施例基於雙重身份認證的動態數字版權保護方法包括如下 步驟步驟Si，服務提供商將用戶的數字證書下載到內置有隨機數發生器的USBKEY(智 能密碼鑰匙)500中，轉步驟S2或步驟S3 ；步驟S2，當用戶登錄時，在USBKEY 500置入客戶端(用戶PC機)410後，動態身份 認證模塊根據輸入的PIN碼口令激活USBKEY 500，進而獲取USBKEY 500內的數字證書，當 數字證書有效時，隨機數發生器產生隨機數序列，當用戶對隨機數序列籤名的籤名信息正 確時，根據數字證書的擴展項所規定的使用權限在線播放或在線下載媒體作品文件；步驟S3，當用戶未登錄時，在USBKEY 500置入客戶端(用戶PC機)410後，離線播 放模塊根據輸入的PIN碼口令激活USBKEY 500，進而獲取USBKEY 500內的數字證書，當數 字證書有效時，根據數字證書的擴展項所規定的使用權限離線播放媒體作品文件。由上可以看出，本實施例基於雙重身份認證的動態數字版權保護方法具有如下優點。(1)在在線狀態和離線狀態，均採用PIN碼口令和數字證書來驗證用戶身份，這種 雙重身份驗證避免了所有用戶操作媒體文件。(2)數字證書的擴展項規定了數字多媒體作品的使用權限，能實現在線下載、在線 播放、離線播放的使用權限約束和權限範圍劃分。(3)在在線狀態時，採用隨機數發生器產生隨機數序列要求用戶籤名，用戶每次籤 名的隨機數序列均不相同，實現了身份認證的動態性，即使黑客截獲數字籤名，也無法仿冒 合法用戶的身份。見圖3，所述USBKEY 500包括硬體設備管理子模塊510、非對稱密鑰管理子模塊 520、算法管理子模塊530、數據加密管理子模塊540、以及服務提供商下載的用戶的數字證 書550。下面對USBKEY 500內的各組成部分進行詳細說明。所述硬體設備管理子模塊510包括USB識別控制單元511、PIN碼鑑別CPU單元 512、以及加密保護的EPROM 513。所述USB識別控制單元511用於識別USBKEY 500插入 或拔出客戶端(用戶PC機)410的操作，在識別出USBKEY 500插入操作時控制客戶端410 的CPU (CentralProcessing Unit，中央處理器)讀取用戶輸入的PIN碼口令。所述PIN碼 鑑別CPU單元512用於判斷CPU讀取的PIN碼口令的正誤以及判斷輸入PIN碼的次數。所 述EPROM單元513用於存儲數字證書550、密鑰等秘密數據，對該EPROM單元513的讀寫操 作通過程序實現，用戶無法直接讀取，其中用戶私鑰是不可導出的，杜絕了複製用戶數字證 書或身份信息的可能性。所述非對稱密鑰管理子模塊520用於將用戶設定的PIN碼和用戶註冊時系統自動 生成的用戶唯一標識符(ID)作為密鑰要素，利用密鑰要素採用RSA算法生成非對稱密鑰 對，將非對稱密鑰對和數字證書550存儲在加密保護的EPROM單元；密鑰分為對稱密鑰和非 對稱密鑰，並且均有有效期(密鑰不能無限期使用，因為密鑰使用時間越長，它洩露的機會 就越大，引起的損失將越大)。在密鑰有效期內，用戶利用非對稱密鑰中的私鑰加密報文，接 收方利用數字證書中的公鑰解密報文，當密鑰有效期滿時，利用密鑰要素採用RSA算法重 新生成非對稱密鑰對，根據重新生成的非對稱密鑰對更新密鑰。具體地，所述非對稱密鑰管 理子模塊520包括密鑰安裝生成單元521、密鑰使用更新單元522、以及密鑰存儲撤銷單元 523。密鑰安裝生成單元521用於將用戶設定的PIN碼和用戶註冊時系統自動生成的用戶 唯一標識符(ID)作為密鑰要素，利用密鑰要素採用RSA算法生成非對稱密鑰對；密鑰使用 更新單元522用於讀取EPROM單元511中的非對稱密鑰對以及更新失效的非對稱密鑰對； 密鑰存儲撤銷單元523用於將生成的非對稱密鑰對保存到EPROM單元511中或刪除EPROM 單元511中中的非對稱密鑰對。所述算法管理子模塊530用於對每個算法標註一個ID進而存儲和識別各個算法， 在各個算法中選擇進行加密的算法。其中，算法有RSA、DSA等非對稱密鑰算法，DES、RC6、 RC5等對稱密鑰算法，SHA-U MD5等數據散列算法，標註ID進行算法存儲的方式能實現算 法的合理存儲，更好地解決USBKEY空間存儲問題。具體地，所述算法管理子模塊530包括 算法庫管理單元531、加密算法選擇單元532、以及隨機數發生器533。算法庫管理單元531 負責管理非對稱密鑰算法、對稱密鑰算法、數據散列算法；加密算法選擇單元532負責根據 任務要求調度每個算法；隨機數發生器533有一個輸入參數，即初始化種子，初始化種子不同，據此可產生每次不一樣的隨機數序列。所述數據加密管理子模塊540用於根據算法管理子模塊530選擇的加密算法進行 數據的加密，並根據根據算法管理子模塊530選擇的加密算法進行數據的解密。具體地，所 述數據加密管理子模塊540包括數據加密實現單元541、數據解密實現單元542、以及數據 文件籤名單元543。數據加密實現單元541負責加密算法的操作；數據解密單元542負責 解密算法的操作；數據文件籤名單元543負責數字籤名的操作。由上可以看出，所述USBKEY 500可以看作是智慧卡和讀卡器的聯合體。如圖4並結合圖2和圖3，所述步驟S2具體為步驟S21，在用戶登錄後，USBKEY 500的硬體設備管理子模塊510的USB識別控 制單元511識別出USBKEY 500插入客戶端(用戶PC機)410操作時，PIN碼鑑別CPU單元 512判斷輸入的PIN碼口令次數是否超過規定次數，若是，結束(封鎖用戶口令，防止了非本 人使用)，若否，繼續下一步；步驟S22，待用戶輸入PIN碼口令後，USB識別控制單元511控制客戶端410的CPU 讀取用戶輸入的PIN碼口令，PIN碼鑑別CPU單元512判斷輸入的PIN碼口令是否正確，若 是，繼續下一步，若否，轉步驟S21 ；步驟S23，伺服器端(版權管理平臺伺服器)230通過網絡獲取USBKEY 500的數字 證書550，判斷USBKEY 500的EPR0M單元513存儲的數字證書550是否有效，若是，繼續下
一步，若否，結束；步驟S24，USBKEY 500的非對稱密鑰管理子模塊520中的密鑰安裝生成單元521 將用戶設定的PIN碼和用戶註冊時系統自動生成的用戶唯一標識符(ID)作為密鑰要素，採 用RSA算法生成非對稱密鑰對(公鑰+私鑰)；算法管理子模塊530中的隨機數發生器533 根據非對稱密鑰對中的私鑰作為初始化種子產生隨機數r。，並將隨機數r。、證書有效時間 tc、以及目標接收者s。作為報文；數據加密管理子模塊540的數據文件籤名單元543通過用 戶對報文進行籤名，得到籤名信息S(r。，t。，sc)；數據加密管理子模塊540的數據加密實現 單元541利用非對稱密鑰對中的私鑰對籤名信息S(r。，t。，s。)進行加密，將加密的籤名信息 和報文一起發送至伺服器端230，其中，數字籤名是對整個報文進行的單向函數，是一組代 表報文特徵的定長代碼，若僅改變報文中的一處，數字籤名就完全不同。步驟S25，伺服器端230從數字證書550中提取用戶的公鑰，利用用戶的公鑰對數 據加密管理子模塊540發送的加密的籤名信息進行解密，得到一個數字籤名的明文，另外， 伺服器端230將數據加密管理子模塊540發送的報文進行相同的數字籤名，並與數字籤名 的明文比對一致性來驗證數據文件籤名單元543籤名是否正確；步驟S26，當籤名正確時，伺服器端230驗證伺服器是否為信息的接收者，數字證 書550的時間戳是否為當前時間(這樣任何擁有用戶公鑰的人都可根據驗證結果接收或拒 絕接收報文，同時實現禁止偽造數字籤名及對報文的修改)；步驟S27,當伺服器230是信息的接收者且數字證書的時間戳是當前時間時，服務 器端230根據數字證書550的擴展項內容判斷用戶是否具有在線播放或在線下載媒體文件 的權限，若是，繼續下一步，若否，結束；步驟S28，伺服器端230允許在線播放或在線下載媒體文件。由上可以看出，當用戶在線播放或在線下載媒體文件時，採用PIN碼口令和數字證書雙重認證用戶的身份，實現了身份認證的高度可信性，採用隨機數發生器產生隨機數 序列，每次用戶的身份認證的隨機數序列均不相同，實現了身份認證的動態性。此外，數字 證書的擴展項明確規定了被授權多媒體文件與用戶之間的權限關係，解決了在線觀看和下 載權限分配問題。如圖5以及圖2、圖3，所述步驟S3具體為步驟S31，在用戶登錄後，USBKEY 500的硬體設備管理子模塊510的USB識別控 制單元511識別出USBKEY 500插入客戶端(用戶PC機)410操作時，PIN碼鑑別CPU單元 512判斷輸入的PIN碼口令次數是否超過規定次數，若是，結束(封鎖用戶口令，防止了非本 人使用)，若否，繼續下一步；步驟S32，待用戶輸入PIN碼口令後，USB識別控制單元511控制客戶端410的CPU 讀取用戶輸入的PIN碼口令，PIN碼鑑別CPU單元512判斷輸入的PIN碼口令是否正確，若 是，繼續下一步，若否，轉步驟S31 ；步驟S33,客戶端410獲取USBKEY 500的數字證書550，判斷USBKEY 500的EPR0M 單元513存儲的數字證書550是否有效，若是，繼續下一步，若否，結束；步驟S34，客戶端410根據數字證書550的擴展項內容判斷用戶是否具有離線播放 媒體文件的權限，若是，繼續下一步，若否，結束；步驟S35，客戶端410允許離線播放媒體文件。由上可以看出，當用戶離線播放媒體文件時，採用PIN碼口令和數字證書550雙重 認證用戶的身份，實現了身份認證的高度可信性；數字證書的擴展項明確規定了被授權多 媒體文件與用戶之間的權限關係，解決了離線播放權限分配問題。在本實施例中，所述數字證書550是由CA權威認證中心100和數字證書管理模塊 200籤發的。如圖2，所述數字證書管理模塊200包括CA代理中心210、資料庫220以及服 務器端(版權管理平臺伺服器)230，則如圖6，所述基於雙重身份認證的動態數字版權保護 方法還包括步驟步驟S61，當用戶將用戶設定的PIN碼和用戶註冊時系統自動生成的用戶唯一標 識符(ID)作為密鑰要素，利用密鑰要素採用RSA算法通過USBKEY500的非對稱密鑰管理子 模塊520產生非對稱密鑰對(公鑰+私鑰)並通過版權管理平臺伺服器230發送所述非對 稱密鑰對中的公鑰至CA代理中心210，CA代理中心210對公鑰中用戶的身份信息進行審 核，待用戶的身份信息通過審核後，將非對稱密鑰對中的公鑰和用戶的身份信息發送至CA 權威認證中心100 ；步驟S62，CA權威認證中心100在用戶的身份信息與公鑰中的用戶的身份信息信 息一致時產生數字證書550，所述數字證書550的格式是以X. 509數字證書格式作為標準， 其包括用戶的身份信息、公鑰信息、CA權威認證中心100的身份信息、CA權威認證中心100 對數字證書550的籤名、以及數字證書的擴展項、時間戳和有效期，其中所述用戶的身份信 息包含證書序列號、用戶註冊時提交的用戶名稱、系統平臺為用戶生成的唯一標識符(ID)， 並由CA權威認證中心100來確定，所述數字證書的擴展項包含在線播放、在線下載、離線播 放媒體作品文件的權限信息(只有數字證書在有效期範圍內，同時數字證書的擴展項表明 了在線播放、在線下載、離線播放權限，用戶才能進行對應的操作)，數字證書中的用戶的身 份信息表明用戶的身份是否合法，公鑰用於解密密文，擴展項用於限定用戶權限，時間戳保證實時傳輸，有效期監控數字證書的有效性；步驟S63，CA權威認證中心100將數字證書550發送至CA代理中心210，CA代理 中心210將數字證書550頒發給用戶，並將數字證書存儲在資料庫220中。
由上可以看出，CA代理中心210負責審核用戶的身份，CA權威認證中心100負責 籤發數字證書。另外，所述基於雙重身份認證的動態數字版權保護方法還包括步驟步驟S101，當用戶通過版權管理平臺伺服器230向CA代理中心210發送更新證書 請求或作廢證書請求後，CA代理中心210對更新證書請求或作廢證書請求中包含的用戶身 份信息進行審核，當用戶身份信息審核通過後，CA代理中心210將用戶的私鑰作為初始化 種子產生定長代碼的隨機數序列，待用戶對隨機數序列籤名後，向CA權威認證中心100申 請更新證書或撤銷證書；步驟S102，CA權威認證中心100更新數字證書550並將更新後的數字證書通過CA 代理中心210發送至用戶，或撤銷數字證書並將撤銷的數字證書加入證書撤銷列表CRL中。由上可以看出，CA代理中心210負責處理對於數字證書的更新請求或作廢請求， CA權威認證中心100負責更新數字證書或撤銷數字證書。此外，所述基於雙重身份認證的動態數字版權保護方法還包括步驟步驟S201，在用戶通過版權管理平臺伺服器230向CA代理中心210提出證書狀態 查詢請求後，CA代理中心210對證書狀態查詢請求中包含的用戶身份信息進行審核；步驟S202，當用戶身份信息審核通過後，CA權威認證中心100查詢數字證書550 中的時間戳或查詢證書撤銷列表CRL，當時間戳是當前時間時，確定證書550的狀態是在有 效期內，當數字證書550位於證書撤銷列表CRL時，確定證書的狀態是已被撤銷。由上可以看出，CA代理中心210負責處理對於數字證書的狀態查詢請求，CA權威 認證中心100負責查詢數字證書的狀態。在本實施例中，所述基於雙重身份認證的動態數字版權保護方法還包括步驟步驟S301，當用戶支付媒體文件的新使用權的費用後，CA代理中心210向CA權威 認證中心100申請更新用戶的數字證書550的擴展項和有效期；步驟S302，在CA權威認證中心100更新數字證書550後，服務提供商將更新的數 字證書下載到USBKEY 500中以替代原有數字證書550。由上可以看出，當數字證書到期、無效後，CA代理中心210可以根據用戶的要求 在支付了新使用權費用的前提下，更新數字證書，用戶可以繼續使用更新了數字證書的 USBKEY 500進行在線播放、在線下載、離線播放操作。以上結合最佳實施例對本發明進行了描述，但本發明並不局限於以上揭示的實施 例，而應當涵蓋各種根據本發明的本質進行的修改、等效組合。
權利要求
一種基於雙重身份認證的動態數字版權保護方法，包括如下步驟(1)將用戶的數字證書下載到內置有隨機數發生器的智能密碼鑰匙中；(2)當用戶登錄時，在智能密碼鑰匙置入客戶端後，根據輸入的PIN碼口令激活智能密碼鑰匙，進而獲取智能密碼鑰匙內的數字證書，當數字證書有效時，隨機數發生器產生隨機數序列，當用戶對隨機數序列籤名的籤名信息正確時，根據數字證書的擴展項所規定的使用權限在線播放或在線下載媒體作品文件；(3)當用戶未登錄時，在智能密碼鑰匙置入客戶端後，根據輸入的PIN碼口令激活智能密碼鑰匙，進而獲取智能密碼鑰匙內的數字證書，當數字證書有效時，根據數字證書的擴展項所規定的使用權限離線播放媒體作品文件。
2.如權利要求1所述的基於雙重身份認證的動態數字版權保護方法，其特徵在於，還 包括(11)當用戶將用戶設定的PIN碼和用戶註冊時系統自動生成的用戶唯一標識符作為 密鑰要素，並利用密鑰要素產生非對稱密鑰對後，CA代理中心對非對稱密鑰對的公鑰中用 戶的身份信息進行審核，待用戶的身份信息通過審核後，將非對稱密鑰對中的公鑰和用戶 的身份信息發送至CA權威認證中心；(12)CA權威認證中心在用戶的身份信息與公鑰中的用戶的身份信息信息一致時產生 數字證書，將數字證書發送至CA代理中心；(13)CA代理中心將數字證書頒發給所有者或消費者，並將數字證書存儲至資料庫。
3.如權利要求2所述的基於雙重身份認證的動態數字版權保護方法，其特徵在於，所 述數字證書包括用戶的身份信息、公鑰信息、時間戳、CA權威認證中心的身份信息、CA權威 認證中心對數字證書的籤名、擴展項、以及有效期，其中用戶的身份信息包含數字證書序列 號、用戶註冊時提交的用戶名稱、以及系統平臺為用戶生成的唯一標識符，並由CA權威認 證中心100來確定，擴展項包含在線播放、在線下載、離線播放媒體作品文件的權限信息。
4.如權利要求1所述的基於雙重身份認證的動態數字版權保護方法，其特徵在於，所 述步驟(2)具體為(21)在用戶登錄並將智能密碼鑰匙置入客戶端後，當輸入的PIN碼口令次數未超過規 定次數時，輸入PIN碼口令，當輸入的PIN碼口令與智能密碼鑰匙的PIN碼相同時，激活智 能密碼鑰匙；(22)獲取智能密碼鑰匙內的數字證書，當數字證書有效時，隨機數發生器產生隨機數 序列；(23)在用戶對由隨機數發生器根據非對稱密鑰對中的私鑰作為初始化種子產生的隨 機數、證書有效時間、以及目標接收者組成的報文籤名以及籤名信息通過私鑰加密後，利用 數字證書的公鑰對加密的籤名信息進行解密，將報文進行數字籤名，根據籤名的報文與解 密的籤名信息判斷用戶的籤名是否正確；(24)當籤名正確時，判斷伺服器是否為信息的接收者，數字證書的時間戳是否為當前 時間；(25)當伺服器是信息的接收者，數字證書的時間戳是當前時間時，根據數字證書的擴 展項所規定的使用權限在線播放或下載媒體作品文件。
5.如權利要求1所述的基於雙重身份認證的動態數字版權保護方法，其特徵在於，所述步驟(3)具體為(31)在用戶未登錄並將智能密碼鑰匙置入客戶端後，當輸入的PIN碼口令次數未超過 規定次數時，輸入PIN碼口令，當輸入的PIN碼口令與智能密碼鑰匙的PIN碼相同時，激活 智能密碼鑰匙；(32)獲取智能密碼鑰匙內的數字證書，當數字證書有效時，根據數字證書的擴展項所 規定的使用權限離線播放媒體作品文件。
6.如權利要求1所述的基於雙重身份認證的動態數字版權保護方法，其特徵在於，還 包括當用戶支付媒體作品文件的新使用權的費用後，更新用戶的數字證書的擴展項和有效期；將更新的數字證書下載到智能密碼鑰匙中。
全文摘要
本發明公開了一種基於雙重身份認證的動態數字版權保護方法，包括如下步驟將用戶的數字證書下載到內置有隨機數發生器的USBKEY中；當用戶登錄時，在USBKEY置入客戶端後，根據輸入的PIN碼口令激活USBKEY，進而獲取USBKEY內的數字證書，當數字證書有效時，隨機數發生器產生隨機數序列，當用戶對隨機數序列籤名的籤名信息正確時，根據數字證書的擴展項所規定的使用權限在線播放或在線下載媒體作品文件；當用戶未登錄時，在USBKEY置入客戶端後，根據輸入的PIN碼口令激活USBKEY，進而獲取USBKEY內的數字證書，當數字證書有效時，根據數字證書的擴展項所規定的使用權限離線播放媒體作品文件。本方法能約束用戶使用權限和劃分用戶權限範圍，對離線狀態用戶身份進行認證，防止離線擴散。
文檔編號G06F21/00GK101872399SQ201010214589
公開日2010年10月27日 申請日期2010年7月1日 優先權日2010年7月1日
發明者劉泉, 李雷, 江雪梅 申請人:武漢理工大學