專利名稱:一種混合方式的數(shù)字版權(quán)保護(hù)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字版權(quán)保護(hù)領(lǐng)域,更具體的,涉及一種采用混合方式的數(shù)字版權(quán)保護(hù)方法和系統(tǒng)。
背景技術(shù):
計算機網(wǎng)絡(luò)的出現(xiàn),使世界的聯(lián)系變得越來越緊密,也對數(shù)字內(nèi)容的安全保護(hù)提出了巨大的挑戰(zhàn)。如果不能有效解決數(shù)字產(chǎn)品的版權(quán)保護(hù)問題,必然將影響整個數(shù)字出版產(chǎn)業(yè)的發(fā)展。盜版技術(shù)越來越靈活,這就要求一套有效的方案來保護(hù)。數(shù)字版權(quán)管理最優(yōu)的方案是成本低、使用方便、技術(shù)可行、符合法律規(guī)定。本發(fā)明從技術(shù)和經(jīng)濟的角度提出了DRM(Digital Rights Management)權(quán)限跟蹤模型。一般DRM系統(tǒng)可以分成三部分,即內(nèi)容提供者、內(nèi)容管理者和內(nèi)容使用者。內(nèi)容提供者創(chuàng)造數(shù)字產(chǎn)品,定義權(quán)限;內(nèi)容管理者分發(fā)數(shù)字產(chǎn)品,權(quán)限控制;內(nèi)容使用者訪問權(quán)限,使用數(shù)字內(nèi)容。DRM系統(tǒng)通常包括內(nèi)容加密、密鑰管理、訪問控制和拷貝控制、認(rèn)證、跟蹤機制等技術(shù)。訪問控制通過一套靈活的使用規(guī)則,定義用戶的內(nèi)容權(quán)限??截惪刂剖欠乐刮词跈?quán)的用戶拷貝數(shù)字內(nèi)容,通常很難實現(xiàn)。目前,已有許多DRM方案,但是這些方案都針對自己特有的格式或者需要插件應(yīng)用程序播放軟件。系統(tǒng)缺少互操作,內(nèi)容鎖定于固定類型的終端播放器,嚴(yán)重限制用戶在不同的終端閱讀使用同一內(nèi)容。因此MPEG-21和OMA都制定了標(biāo)準(zhǔn),試圖改善有關(guān)數(shù)字內(nèi)容的互操作性。在這方面目前DRM系統(tǒng)的技術(shù)難點是如何定義用戶權(quán)限,克服目前權(quán)利描述語言只允許用戶在許可證允許的單一方式下使用內(nèi)容,妨礙用戶合法自由選擇的權(quán)利。
發(fā)明內(nèi)容
針對上述問題,本發(fā)明提供一種混合方式的數(shù)字版權(quán)保護(hù)方法,包括:內(nèi)容管理中心原始數(shù)字內(nèi)容拆分為需加密的第一部分和需加水印的第二部分,利用內(nèi)容密鑰對所述第一部分進(jìn)行加密得到加密部分,并且對所述第二部分加載水印得到水印部分;用戶終端設(shè)備向內(nèi)容管理中心請求智能裝置,所述智能裝置包含用于生成簽名的第一用戶密鑰和用于驗證簽名的第二用戶密鑰;用戶終端設(shè)備從內(nèi)容管理中心下載內(nèi)容包;用戶終端設(shè)備基于第一用戶密鑰和第二用戶密鑰向所述許可證管理中心發(fā)送請求,請求該內(nèi)容包的許可證;用戶終端設(shè)備從接收自許可證管理中心的許可證中獲得所述內(nèi)容密鑰,對加密部分解密以閱讀或播放。本發(fā)明還提供一種混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其包括內(nèi)容管理中心、許可證管理中心和用戶終端設(shè)備:內(nèi)容管理中心原始數(shù)字內(nèi)容拆分為需加密的第一部分和需加水印的第二部分,利用內(nèi)容密鑰對所述第一部分進(jìn)行加密得到加密部分,并且對所述第二部分加載水印得到水印部分;用戶終端設(shè)備向內(nèi)容管理中心請求智能裝置,所述智能裝置包含用于生成簽名的第一用戶密鑰和用于驗證簽名的第二用戶密鑰;從內(nèi)容管理中心下載內(nèi)容包;基于第一用戶密鑰和第二用戶密鑰所述向許可證管理中心發(fā)送請求,請求該內(nèi)容包的許可證;以及從接收自許可證管理中心的許可證中獲得所述內(nèi)容密鑰,對加密部分解密以閱讀或播放;許可證管理中心基于用戶終端設(shè)備的請求而生成許可證。本發(fā)明對數(shù)字內(nèi)容采用加密和數(shù)字水印混合的方式進(jìn)行數(shù)字版權(quán)保護(hù),減少計算復(fù)雜度,提高效率。通過數(shù)字水印的加載,實現(xiàn)對數(shù)字內(nèi)容整個生命周期的權(quán)限跟蹤。另外,本發(fā)明可以在進(jìn)行數(shù)字版權(quán)保護(hù)中允許對合法內(nèi)容進(jìn)行跨終端應(yīng)用,授權(quán)用戶可以在幾個不同的設(shè)備上閱讀播放數(shù)字內(nèi)容,改進(jìn)了互操作性,增強了數(shù)字內(nèi)容的可用性。
圖1為本發(fā)明的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng)的框圖。
具體實施例方式在本發(fā)明的混合方式的數(shù)字版權(quán)保護(hù)方法中,涉及內(nèi)容管理中心、許可證管理中心和用戶終端設(shè)備。內(nèi)容管理中心提供數(shù)字內(nèi)容,對數(shù)字內(nèi)容進(jìn)行部分加密部分加載水印后,存入內(nèi)容數(shù)據(jù)庫。許可證管理中心提供受保護(hù)數(shù)字內(nèi)容的許可證。用戶終端設(shè)備向內(nèi)容管理中心下載數(shù)字內(nèi)容,并向許可證管理中心請求許可證,進(jìn)而閱讀數(shù)字內(nèi)容。本發(fā)明的混合方式的數(shù)字版權(quán)保護(hù)方法包括如下過程:(I)內(nèi)容包生成階段內(nèi)容管理中心(內(nèi)容提供者)對原始數(shù)字內(nèi)容選定部分內(nèi)容進(jìn)行加密,對該原始數(shù)字內(nèi)容的剩余部分添加水印,然后將加密內(nèi)容和添加了數(shù)字水印的內(nèi)容進(jìn)行存儲??梢钥闯?,本發(fā)明采用的部分內(nèi)容加密減小了計算量。同時由于部分文件破壞以后不能正常播放,提高了效率。上述過程具體為:la)內(nèi)容管理中心將原始數(shù)字內(nèi)容C拆分為第一部分W1和第二部分W2,其中巧為需加密的部分,W2為需加水印的部分。從數(shù)字加密算法庫中選擇一個對稱加密算法ed。(例如 AES、DES、DESede、HmacMD5、HmacSHAl、HmacSHA256、HmacSHA384、HmacSHA512、RC2),對 W1
進(jìn)行加密操作:Wdc - Edc (W1, Kdc)其中WD。是對W1加密后的結(jié)果,S卩加密部分;KD。是內(nèi)容密鑰,不同的加密算法形成不同的密鑰,如果采用AES加密算法,則一般設(shè)定密鑰為128bit長度。Ib)內(nèi)容管理中心針對W2計算數(shù)字水印值M:M — C_Right+C_ID其中C_Right是原始數(shù)字內(nèi)容C的內(nèi)容權(quán)限,由I位或多位二進(jìn)制位組成,每一位(bit)置1,表示擁有該權(quán)限,否則置O。設(shè)置多個比特對應(yīng)于有多個分級權(quán)限的情況,例如對于數(shù)字內(nèi)容的權(quán)限可以分級為閱讀、拷貝、修改、刪除,則可以用四個bit來表示C_Right。C_ID是原始數(shù)字內(nèi)容C的唯一內(nèi)容標(biāo)識,用二進(jìn)制bit串表示,由內(nèi)容管理中心分配。“ + ”表示一個寬泛的操作,可以和(:_10相加,或者串連,或者其他組合方式;然后內(nèi)容管理中心從數(shù)字水印算法庫中選擇一個有效水印增加算法Ewm,在W2中嵌入水印(例如針對epub格式文檔,可以把水印M加入到該文檔的頭描述里):Wwm^Ewm(W27M)其中Wwm是對W2加數(shù)字水印后的結(jié)果,即水印部分。水印表明了內(nèi)容的合法出處。Ic)內(nèi)容管理中心將數(shù)字內(nèi)容WD。和Wwm打包,形成對應(yīng)的內(nèi)容包,存儲起來以備用戶下載?!按虬笔菍D。和Wwm關(guān)聯(lián)起來以供用戶能夠找到這兩部分?jǐn)?shù)據(jù)內(nèi)容,可以是將Wdc和Wwm壓縮到一個文件中,或者它們之間有鏈接相互指向。打包后,內(nèi)容管理中心將內(nèi)容相關(guān)信息采用PKI方式傳給許可證管理中心。所述內(nèi)容相關(guān)信息基于內(nèi)容權(quán)限C_Right、內(nèi)容標(biāo)識(:_10、內(nèi)容密鑰KD。而生成。例如可以將C_Right、內(nèi)容標(biāo)識C_ID、內(nèi)容密鑰Kdc串連形成內(nèi)容相關(guān)信息:C_Right I C_ID I Kdc,其中“I I”表示串連操作。然后再加密EPKIS(C_Right| C_ID Kdc)傳送給許可證管理中心。其中Epk1sO是非對稱加密算法,PKIs是許可證管理中心的公鑰。Id)許可證管理中心利用自己的私鑰對加密信息Epk1s進(jìn)行解密,從而得到內(nèi)容權(quán)限C_Right、內(nèi)容標(biāo)識C_ID和內(nèi)容密鑰KDC,并進(jìn)行存儲。許可證管理中心利用內(nèi)容權(quán)限C_Right和內(nèi)容密鑰Kdc生成相應(yīng)的許可證,并存放在數(shù)據(jù)庫中。優(yōu)選地,許可證管理中心將相應(yīng)的許可證URL傳給內(nèi)容管理中心,許可證URL形成上述內(nèi)容包的一部分,從而方便用戶終端設(shè)備向許可證管理中心請求許可證。(2)請求許可證階段2a)請求智能卡用戶(用戶終端設(shè)備)向內(nèi)容管理中心請求智能卡(也可以是用軟件形式實現(xiàn)的授權(quán)程序)。智能卡具有智能卡編碼SSI,存放在智能卡中,作為唯一標(biāo)識。智能卡具有第二用戶密鑰RK和第一用戶密鑰UK(其長度可以根據(jù)具體算法以及所需的安全強度而設(shè)定,(例如取128bit長度)。這兩個密鑰存放于智能卡的安全存儲區(qū)域中。其中UK用來生成簽名,RK用來驗證簽名。智能卡作為用戶身份的重要標(biāo)識,可以完成用戶終端設(shè)備與后臺中心交互過程中進(jìn)行的簽名和加密操作,包括初始、簽名、加密、解密、驗證簽名。從而保證用戶發(fā)送者對發(fā)送的消息無法抵賴,同時接收者無法偽造信息。2b)瀏覽內(nèi)容用戶(用戶終端設(shè)備)瀏覽內(nèi)容管理中心的數(shù)字內(nèi)容目錄,選中候選的內(nèi)容,進(jìn)行內(nèi)容預(yù)覽,此時用戶只能看到非加密包含水印的內(nèi)容Wwm,而看不到加密部分的內(nèi)容。如果用戶確定閱讀,可以通過下載操作來下載內(nèi)容包。2c)下載內(nèi)容如果內(nèi)容包對應(yīng)的內(nèi)容是流媒體格式,用戶終端設(shè)備下載的內(nèi)容包中內(nèi)容URL流和加載水印的內(nèi)容WM。內(nèi)容包的頭文件中包含內(nèi)容標(biāo)識C_ID。然后用戶終端設(shè)備與內(nèi)容URL進(jìn)行鏈接,下載加密內(nèi)容Wdc。
如果內(nèi)容包對應(yīng)的內(nèi)容是存儲文件,用戶終端設(shè)備下載的內(nèi)容包加密內(nèi)容WD。和加載水印的內(nèi)容WM。內(nèi)容包的頭文件中包含內(nèi)容標(biāo)識C_ID。
下載的內(nèi)容包存儲在用戶終端設(shè)備的受保護(hù)的設(shè)備存儲器中,只有授權(quán)的應(yīng)用程序才可以訪問和使用。優(yōu)選地,下載的內(nèi)容包中還包括許可證URL,從而用戶終端設(shè)備通過該許可證URL直接向許可證管理中心請求許可證。2d)發(fā)送請求用戶終端設(shè)備可以免費使用加載水印的部分Wwm,如果檢測到水印,即為受保護(hù)的正版內(nèi)容。若用戶確定閱讀加密內(nèi)容WDC,向許可證管理中心請求許可證。優(yōu)選地,用戶終端設(shè)備在向許可證管理中心請求之前先檢查智能卡中是否已有許可證,如果沒有,則再發(fā)出請求。如下操作在智能卡內(nèi)計算,操作者不知道密鑰,保證了數(shù)據(jù)操作的安全性:智能卡產(chǎn)生隨機數(shù)Rd,Rd用于保證本次請求許可證活動會話期鑒別的惟一性;智能卡對第一用戶密鑰UK和所述隨機數(shù)Rd進(jìn)行組合,得到第一組合信息,所述組合例如可以是:EUK(Rd),表示用UK對Rd進(jìn)行加密,換句話說是用UK對Rd進(jìn)行用戶簽名,SP對Rd的認(rèn)可;智能卡對智能卡中存儲的第二用戶密鑰RK和所述隨機數(shù)Rd進(jìn)行組合,得到第二組合信息,例如通過如下方式:H(RK| I Rd),其中H是哈希函數(shù),通過將第二用戶密鑰RK與隨機數(shù)Rd串連再進(jìn)行哈希運算,可以生成固定長度數(shù)據(jù),用于保證本次用戶請求許可證活動的唯一性,并保護(hù)密鑰RK,抵抗原像攻擊;智能卡通過對內(nèi)容標(biāo)KC_ID、第一用戶密鑰UK和第二用戶密鑰RK進(jìn)行組合,得到復(fù)合用戶密鑰SK,通過SK可以防止攻擊者利用RK識別用戶閱讀或播放的內(nèi)容,所述組合例如可以是:SK = H (RKI C_ID I UK);智能卡可以將復(fù)合用戶密鑰SK直接發(fā)送給許可證管理中心。更優(yōu)選地,為了增加安全性,智能卡可以將智能卡的裝置編碼SSI和復(fù)合用戶密鑰SK進(jìn)行組合,得到第三組合信息,例如SSII I SK,然后再計算Epk1s (SSII I SK),其中Epk1sO是非對稱加密算法,PKIs是許可證管理中心的公鑰,發(fā)送給許可證管理中心。優(yōu)選地,所述智能卡具有隨機數(shù)產(chǎn)生模塊來產(chǎn)生隨機數(shù)Rd。具有組合模塊來生成如上所述的第二組合信息、第一組合信息、第三組合信息、復(fù)合用戶密鑰SK。具有請求生成模塊來生成請求。2e)用戶終端設(shè)備基于內(nèi)容標(biāo)識C_ID、第一組合信息、第二組合信息和復(fù)合用戶密鑰SK生成請求信息,即內(nèi)容標(biāo)識C_ID,SK、H(RK I I Rd)和Euk(Rd)生成請求信息,發(fā)送給許可證管理中心以獲取許可證。優(yōu)選地,用戶終端設(shè)備基于用戶終端設(shè)備基于內(nèi)容標(biāo)識C_ID、第一組合信息、第二組合信息和第三組合信息生成請求信息,即內(nèi)容標(biāo)識C_ID,Epk1s(SSI SK)、H(RK Rd)和Em(Rd)生成請求信息。在另一個實施例中,如果該數(shù)字內(nèi)容需要購買才能使用,則用戶終端設(shè)備向許可證管理中心發(fā)送的消息中還包括費用金額。(3)許可證生成階段3a)許可證管理中心接收到用戶終端設(shè)備的請求后,許可證管理中心將生成許可證license,許可證license包括內(nèi)容密鑰組合信息和用戶權(quán)限user_Right。所述內(nèi)容密鑰組合信息基于復(fù)合用戶密鑰(SK)對內(nèi)容密鑰(KDC)而生成。所述用戶權(quán)限(user_Right)基于內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)、第二用戶密鑰(RK)和第一用戶密鑰(UK)而生成。例如:license = {ESK(Kdc) | user_Right};user_Right = {C_Right, C_ID, H(RK Rd), Euk (Rd)} signLS ;其中{,}signLS是許可證管理中心用自己的私鑰對消息的數(shù)字簽名,Esk(Kdc)和Eik (Rd)都是對稱加密算法,密鑰分別是SK和UK。在另一個實施例中,如果該數(shù)字內(nèi)容需要購買才能使用,則許可證管理中心還要檢查費用金額是否正確。優(yōu)選地,許可證管理中心在生成許可證之前,先驗證用戶終端設(shè)備的有效性,即通過SSI查詢該智能卡的有效性(否過期、作廢、有不良記錄等),無效則不生成許可證。優(yōu)選地,在生成許可證后,為了在以后快速查找許可證,許可證管理中心可以生成許可證目錄索引index,index基于內(nèi)容標(biāo)識C_ID和第二用戶密鑰RK和第一用戶密鑰UK而生成。更優(yōu)選地,可以基于用戶復(fù)合密鑰SK生成,例如:index = C_ID H (SK)。優(yōu)選地,許可證管理中心根據(jù)目錄索引index查找相應(yīng)的許可證,如果許可證未被找到,即用戶未得到授權(quán)或未購買,生成許可證。若發(fā)現(xiàn)許可證,說明用戶對相應(yīng)內(nèi)容具有合法使用權(quán),許可證管理中心將許可證license傳送給用戶。(4)閱讀或播放階段4a)存儲許可證用戶終端設(shè)備將從許可證管理中心接收到的許可證license進(jìn)行存儲,表明用戶對此內(nèi)容具有合法的閱讀或播放權(quán)限。4b)閱讀或播放內(nèi)容用戶終端設(shè)備找到許可證,解密許可證license中的Esk(Kdc),獲取內(nèi)容密鑰KDC。解密所述加密內(nèi)容WD。,開始閱讀或播放該加密內(nèi)容WD。。內(nèi)容密鑰KD。存儲在智能卡的受保護(hù)存儲區(qū)域中,以免未授權(quán)的應(yīng)用程序訪問。優(yōu)選地,在該用戶終端設(shè)備上具有了針對不同內(nèi)容的多個許可證時,為了加快對許可證的查找。用戶終端設(shè)備可以計算許可證目錄索引index = C_ID| |H(SK),查找相應(yīng)的許可證。4c)驗證許可證 license用戶終端設(shè)備得到許可證license傳給智能卡。智能卡可以計算第二組合信息,并從許可證中提取的第二組合信息相比較,來驗證許可證license是否有效:(4cl)智能卡從許可證 license 中得到 C_Right, C_ID, H(RK Rd)和 Euk(Rd);(4c2)智能卡對Em(Rd)解密,得到Rd序列值,智能卡可以驗證該隨機數(shù)Rd與原始存儲的是否相同。如果相同,更進(jìn)一步,智能卡根據(jù)卡內(nèi)原始存儲的Rd和RK來計算H(RK I Rd),如果計算值與從許可證中提取的值相同,則智能卡正確;否則license不正確;(4c3)檢驗H(RK| Rd)后,智能卡驗證C_ID,即購買內(nèi)容的標(biāo)識,必須與許可證提取的相同,否則斷定用戶沒有權(quán)限使用該數(shù)字內(nèi)容。在另一個實施方式中,如果用戶需要購買才能使用數(shù)字內(nèi)容,則還包括用戶在線支付的過程,現(xiàn)有技術(shù)中有很多方式來完成,在此不再贅述。(4c4)如果智能卡驗證通過,則允許用戶訪問數(shù)字內(nèi)容;然后,解密許可證中的Esk (Kdc),得到內(nèi)容密鑰KD。,從而對加密內(nèi)容進(jìn)行解密并閱讀或播放。如上所述,下載的內(nèi)容包存儲在用戶終端設(shè)備的受保護(hù)存儲器中,只有授權(quán)的應(yīng)用程序才可以訪問和使用。無論什么格式的內(nèi)容,推出閱讀或播放內(nèi)容的播放器時,所述下載的內(nèi)容從用戶終端設(shè)備刪除,內(nèi)容密鑰KD。從智能卡中刪除。在另一個實施例中,若下載的內(nèi)容是流媒體格式,用戶終端設(shè)備可以邊下載邊播放內(nèi)容。貝_戶在對下載的內(nèi)容包進(jìn)行“閱讀”或“播放”操作時,即刻向許可證管理中心請求許可證,用戶終端設(shè)備獲得許可證后,即可對加密內(nèi)容進(jìn)行解密來閱讀或播放,從而實現(xiàn)邊下載邊閱讀或播放。在又一個實施方式中,本發(fā)明的混合方式的數(shù)字版權(quán)保護(hù)方法還包括如下下載階段:當(dāng)用戶終端設(shè)備中不存在內(nèi)容時,該階段用戶下載內(nèi)容包,當(dāng)用戶將智能卡插到其他設(shè)備時,即沒有內(nèi)容的設(shè)備,將自動激活下載。這是通過在內(nèi)容管理中心記錄該智能卡的操作而實現(xiàn),后續(xù)請求許可證的過程與上述說明相同,在此不再贅述。優(yōu)選地,該實施方式中,如果用戶已經(jīng)得到授權(quán),當(dāng)用戶按下“下載”鍵,用戶終端設(shè)備將發(fā)送相應(yīng)的許可證索引給許可證管理中心,檢驗許可證是否存在。若許可證存在,則許可證管理中心通知內(nèi)容管理中心,加密內(nèi)容將通過內(nèi)容管理中心下載到用戶終端設(shè)備中。另外,C_ID是原始數(shù)字內(nèi)容C的唯一標(biāo)志。用戶確定或購買數(shù)字內(nèi)容時,不同的C_ID則生成不同的SK,不同的SK區(qū)分用戶和許可證管理中心的關(guān)系。本發(fā)明的智能卡中存儲了兩個密鑰RK和UK。當(dāng)用戶確定或購買數(shù)字內(nèi)容時,許可證管理中心解密Epk1s(SSI SK)得到用戶的SK。若SK僅由C_ID和RK生成,如H(RK C_ID),許可證管理中心將有H (RK I C_ID)和(:_10對。因此,SK是由RK和UK計算來的,防止攻擊者利用RK識別用戶播放內(nèi)容。在本發(fā)明的方法中,智能卡和許可證采用PKI機制管理,用戶到授權(quán)的機構(gòu)注冊、申請、購買,增強了安全性,有助于統(tǒng)一管理。許可證和數(shù)字內(nèi)容分開分發(fā),增強了防止黑客攻擊的能力。RK和UK是智能卡最關(guān)鍵的信息,如果密鑰被泄露,SK將被計算,然后將迅速從許可證中解密獲取KD。。但是智能卡的具有硬件保護(hù)機制,防止了攻擊者從中獲取信息。因此密鑰是安全的,在智能卡中,僅僅通過認(rèn)證的程序可以訪問。根據(jù)不同應(yīng)用場景對數(shù)字版權(quán)保護(hù)的要求,本發(fā)明可以對加密算法和數(shù)字水印進(jìn)行強化改進(jìn),即在本技術(shù)方案基礎(chǔ)上,可以形成針對某種具體應(yīng)用特點方式的解決方案。本發(fā)明還提出一種混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),如圖1所示。該裝置包括內(nèi)容管理中心、許可證管理中心和用戶終端設(shè)備。內(nèi)容管理中心對原始數(shù)字內(nèi)容進(jìn)行分割,一部分加密,另一部分嵌入水印(以內(nèi)容權(quán)限和內(nèi)容標(biāo)志作為數(shù)字水印)。采用對數(shù)字內(nèi)容有選擇的進(jìn)行部分加密將可以明顯減小計算復(fù)雜度。用戶終端設(shè)備通過檢測未加密部分是否有數(shù)字水印,確定是否是合法內(nèi)容,提取出水印信息,根據(jù)內(nèi)容標(biāo)志和內(nèi)容權(quán)限確定向許可證管理中心請求許可證或購買許可證。許可證管理中心對發(fā)出請求的用戶終端設(shè)備進(jìn)行驗證,并發(fā)放包含內(nèi)容標(biāo)志和內(nèi)容權(quán)限的許可證。只有用戶具備有效的智能卡,優(yōu)選地智能卡通過驗證,才能獲取密鑰來解密數(shù)字內(nèi)容。本發(fā)明的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),通過數(shù)字水印技術(shù)的跟蹤權(quán)限,保證了內(nèi)容的真實性。內(nèi)容管理中心在數(shù)字內(nèi)容中加載了所授權(quán)用戶的內(nèi)容權(quán)限,可以基于內(nèi)容規(guī)定有限制的訪問方式。傳輸過程中,采用了加密和數(shù)字簽名技術(shù),保證了傳輸環(huán)節(jié)的安全性。用戶可以在線購買數(shù)字內(nèi)容或申請授權(quán),通過安全協(xié)議,數(shù)字內(nèi)容可以在用戶、內(nèi)容管理中心與許可證管理中心之間安全傳遞。智能卡和許可證的使用,有效地防止了未經(jīng)授權(quán)者的使用,保證合法用戶合理、方便地使用數(shù)字內(nèi)容。與傳統(tǒng)的銷售方式以及傳統(tǒng)的數(shù)字媒體保護(hù)措施相比,本發(fā)明具有如下優(yōu)勢:縮短了數(shù)字內(nèi)容的作者與消費者之間的距離;具有很強的靈活性;能夠促進(jìn)數(shù)字內(nèi)容的銷售;由于打包的數(shù)字內(nèi)容文件與許可證是分開的,打包的數(shù)字文件可以被自由發(fā)布和復(fù)制而并不會影響內(nèi)容提供商的利益;防黑客能力強;防盜版能力強。比較如下表所示。
權(quán)利要求
1.一種混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,包括: 1)內(nèi)容管理中心原始數(shù)字內(nèi)容(C)拆分為需加密的第一部分(W1)和需加水印的第二部分(W2),利用內(nèi)容密鑰(KD。)對所述第一部分(W1)進(jìn)行加密得到加密部分(wD。),并且對所述第二部分(W2)加載水印(M)得到水印部分(Wwm); 2)用戶終端設(shè)備向內(nèi)容管理中心請求智能裝置,所述智能裝置包含用于生成簽名的第一用戶密鑰(UK)和用于驗證簽名的第二用戶密鑰(RK); 3)用戶終端設(shè)備從內(nèi)容管理中心下載內(nèi)容包; 4)用戶終端設(shè)備基于第一用戶密鑰(UK)和第二用戶密鑰(RK)生成請求信息,發(fā)送至許可證管理中心,以請求該內(nèi)容包的許可證; 5)用戶終端設(shè)備從接收自許可證管理中心的許可證中獲得所述內(nèi)容密鑰(KD。),對加密部分(WD。)解密以閱讀或播放。
2.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,在步驟I)中,所述水印(M)包括原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)和內(nèi)容標(biāo)識(C_ID)。
3.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括: 在步驟I)中,內(nèi)容管理中心向所述許可證管理中心傳送內(nèi)容相關(guān)信息,所述內(nèi)容相關(guān)信息包括所述原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)和內(nèi)容密鑰(Kdc)。
4.根據(jù)權(quán)利要求3所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,內(nèi)容管理中心利用許可證管理中心的公鑰對所述內(nèi)容相關(guān)信息進(jìn)行加密,然后傳送給許可證管理中心。
5.根據(jù)權(quán)利要求3所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括:許可證管理中心基于內(nèi)容相關(guān)信息產(chǎn)生許可證URL,并傳送至內(nèi)容管理中心。
6.根據(jù)權(quán)利要求5所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,所述內(nèi)容包包括所述加密部分(WD。)、所述水印部分(Wwm)和許可證URL。
7.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,在步驟4)中,還包括: a)所述智能裝置產(chǎn)生隨機數(shù)(Rd); b)所述智能裝置用第一用戶密鑰(UK)對所述隨機數(shù)(Rd)進(jìn)行加密,得到第一組合信息,也就是生成簽名; c)所述智能裝置對隨機數(shù)(Rd)和第二用戶密鑰(RK)進(jìn)行組合,得到第二組合信息,用于驗證簽名; d)所述智能裝置對第一用戶密鑰(UK)和第二用戶密鑰(RK)進(jìn)行組合,得到復(fù)合用戶密鑰(SK); e)所述智能裝置基于內(nèi)容標(biāo)識(C_ID)、第一組合信息、第二組合信息和復(fù)合用戶密鑰(SK)生成所述請求。
8.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,在步驟4)中,還包括: a)所述智能裝置產(chǎn)生隨機數(shù)(Rd); b)所述智能裝置用第一用戶密鑰(UK)對所述隨機數(shù)(Rd)進(jìn)行加密,得到第一組合信息,也就是生成簽名;c)所述智能裝置對隨機數(shù)(Rd)和第二用戶密鑰(RK)進(jìn)行組合,得到第二組合信息,用于驗證簽名; d)所述智能裝置對第一用戶密鑰(UK)和第二用戶密鑰(RK)進(jìn)行組合,得到復(fù)合用戶密鑰(SK); e)所述智能裝置用復(fù)合用戶密鑰(SK)與智能裝置的裝置編碼(SSI)進(jìn)行組合,得到第二組合息; f)所述智能裝置基于內(nèi)容標(biāo)識(C_ID)、第一組合信息、第二組合信息、第三組合信息生成所述請求。
9.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,所述許可證還包括用戶權(quán)限(user_Right),所述用戶權(quán)限(user_Right)包括原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)、第一用戶密鑰(UK)和第二用戶密鑰(RK)。
10.根據(jù)權(quán)利要求8所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,所述許可證還包括內(nèi)容密鑰組合信息,所述內(nèi)容密鑰組合信息是通過許可證管理中心將復(fù)合用戶密鑰(SK)和內(nèi)容密鑰(Kdc)進(jìn)行組合而得到。
11.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括: 所述智能裝置計算許可證目錄索引(index),所述許可證目錄索引(index)基于原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)、所述第一用戶密鑰(UK)和所述第二用戶密鑰(RK)而生成; 用戶終端設(shè)備根據(jù)許 可證目錄索引(index)查找許可證,如果沒有,向許可證管理中心發(fā)送請求。
12.根據(jù)權(quán)利要求11所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括:許可證管理中心根據(jù)許可證目錄索引(index)查找許可證,如果沒有找到,則生成許可證。
13.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括:所述智能裝置計算第二組合信息,并與從接收到的許可證中提取的第二組合信息相比較,來驗證許可證是否有效,其中所述第二組合信息基于所述第二用戶密鑰(RK)而生成。
14.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,還包括: 如果所述原始數(shù)字內(nèi)容(C)為流媒體格式,則所述內(nèi)容管理中心生成的所述內(nèi)容包包括內(nèi)容URL流, 在用戶終端設(shè)備開始下載所述內(nèi)容包時,向許可證管理中心請求許可證,從而邊下載邊閱讀或播放所述內(nèi)容。
15.根據(jù)權(quán)利要求1所述的混合方式的數(shù)字版權(quán)保護(hù)方法,其特征在于,在退出閱讀或播放所述內(nèi)容的播放器時,所述內(nèi)容密鑰(KD。)在所述智能裝置中被刪除。
16.一種混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,包括內(nèi)容管理中心、許可證管理中心和用戶終端設(shè)備: 內(nèi)容管理中心原始數(shù)字內(nèi)容(C)拆分為需加密的第一部分(W1)和需加水印的第二部分(W2),利用內(nèi)容密鑰(KD。)對所述第一部分(W1)進(jìn)行加密得到加密部分(WD。),并且對所述第二部分(W2)加載水印(M)得到水印部分(Wwm); 用戶終端設(shè)備向內(nèi)容管理中心請求智能裝置,所述智能裝置包含用于生成簽名的第一用戶密鑰(UK)和用于驗證簽名的第二用戶密鑰(RK);從內(nèi)容管理中心下載內(nèi)容包;基于第一用戶密鑰(UK)和第二用戶密鑰(RK)生成請求信息,發(fā)送至許可證管理中心,以請求該內(nèi)容包的許可證;以及從接收自許可證管理中心的許可證中獲得所述內(nèi)容密鑰(KDC),對加密部分(WD。)解密以閱讀或播放; 許可證管理中心基于用戶終端設(shè)備的請求而生成許可證。
17.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,內(nèi)容管理中心基于原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)和內(nèi)容標(biāo)識(C_ID)生成所述水印(M)。
18.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,內(nèi)容管理中心進(jìn)一步向所述許可證管理中心傳送內(nèi)容相關(guān)信息,所述內(nèi)容相關(guān)信息包括所述原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)和內(nèi)容密鑰(Kdc)。
19.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,許可證管理中心進(jìn)一步基于內(nèi)容相關(guān)信息生成許可證URL,并傳送至內(nèi)容管理中心,內(nèi)容管理中心將許可證URL加入到所述內(nèi)容包中。
20.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述智能裝置包括 隨機數(shù)產(chǎn)生模塊,其產(chǎn)生隨機數(shù)(Rd); 組合模塊:其用第一用戶密鑰(UK)對所述隨機數(shù)(Rd)進(jìn)行加密,得到第一組合信息,也就是生成簽名;對隨機數(shù)(Rd)和第二用戶密鑰(RK)進(jìn)行組合,得到第二組合信息,用于驗證簽名;對第一用戶密鑰(UK)和第二用戶密鑰(RK)進(jìn)行組合,得到復(fù)合用戶密鑰(SK); 請求生成模塊:其基于內(nèi)容標(biāo)識(C_ID)、第一組合信息、第二組合信息和復(fù)合用戶密鑰(SK)生成所述請求。
21.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述智能裝置還包括: 隨機數(shù)產(chǎn)生模塊,其產(chǎn)生隨機數(shù)(Rd); 組合模塊:其用第一用戶密鑰(UK)對所述隨機數(shù)(Rd)進(jìn)行加密,得到第一組合信息,也就是生成簽名;對隨機數(shù)(Rd)和第二用戶密鑰(RK)進(jìn)行組合,得到第二組合信息,用于驗證簽名;對第一用戶密鑰(UK)和第二用戶密鑰(RK)進(jìn)行組合,得到復(fù)合用戶密鑰(SK);用復(fù)合用戶密鑰(SK)與智能裝置的裝置編碼(SSI)進(jìn)行組合,得到第三組合信息; 請求生成模塊:基于內(nèi)容標(biāo)識(C_ID)、第一組合信息、第二組合信息、第三組合信息生成所述請求。
22.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述許可證管理中心基于復(fù)合用戶密鑰(SK)和內(nèi)容密鑰(Kdc)而生成內(nèi)容密鑰組合信息,基于原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)、第一用戶密鑰(UK)和第二用戶密鑰(RK)而生成用戶權(quán)限(user_Right), 所述許可證管理中心基于所述內(nèi)容密鑰組合信息和所述用戶權(quán)限(uSer_Right)生成許可證。
23.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述智能裝置進(jìn)一步計算許可證目錄索引(index),所述許可證目錄索引(index)基于原始數(shù)字內(nèi)容(C)的內(nèi)容權(quán)限(C_Right)、內(nèi)容標(biāo)識(C_ID)、第一用戶密鑰(UK)和第二用戶密鑰(RK)而生成;用戶終端設(shè)備根據(jù)許可證目錄索引(index)查找許可證,如果沒有,向許可證管理中心發(fā)送請求,所述請求包含許可證目錄索引(index)。
24.根據(jù)權(quán)利要求23所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,許可證管理中心根據(jù)許可證目錄索引(index)查找許可證,如果沒有找到,則生成許可證。
25.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述智能裝置計算第二組合信息,并從許可證中提取的第二組合信息相比較,來驗證許可證是否有效,其中所述第二組合信息基于所述第二用戶密鑰(RK)而生成。
26.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,所述內(nèi)容管理中心在所述原始數(shù)字內(nèi)容(C)為流媒體格式時,生成包括內(nèi)容URL流的內(nèi)容包, 并且所述用戶終端設(shè)備開始下載所述內(nèi)容包時,向許可證管理中心請求許可證,從而邊下載邊閱讀或播放所述內(nèi)容。
27.根據(jù)權(quán)利要求16所述的混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng),其特征在于,在退出閱讀或播放所述內(nèi)容的播放器時,所述智能裝 置刪除所述內(nèi)容密鑰(KD。)。
全文摘要
本發(fā)明提出一種混合方式的數(shù)字版權(quán)保護(hù)方法,內(nèi)容管理中心原始數(shù)字內(nèi)容拆分為第一部分和第二部分,利用內(nèi)容密鑰對所述第一部分加密得到加密部分,并且對第二部分加載水印得到水印部分;用戶終端設(shè)備向內(nèi)容管理中心請求包含用于生成簽名的第一用戶密鑰和用于驗證簽名的第二用戶密鑰的智能裝置,從內(nèi)容管理中心下載內(nèi)容包并基于第一用戶密鑰和第二用戶密鑰向所述許可證管理中心發(fā)送請求,從許可證中獲得所述內(nèi)容密鑰,對加密部分解密以閱讀或播放。本發(fā)明通過部分加密,減少全部加密和解密的計算時間,提高處理效率;通過加載水印,實現(xiàn)對數(shù)字內(nèi)容部分可預(yù)覽,以及對數(shù)字內(nèi)容整個生命周期的權(quán)限跟蹤。本發(fā)明還提出一種混合方式的數(shù)字版權(quán)保護(hù)系統(tǒng)。
文檔編號G06F21/16GK103186731SQ20111045004
公開日2013年7月3日 申請日期2011年12月29日 優(yōu)先權(quán)日2011年12月29日
發(fā)明者劉瑞虹 申請人:北京中文在線數(shù)字出版股份有限公司