国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      轉(zhuǎn)移許可的方法及設(shè)備的制作方法

      文檔序號(hào):7665979閱讀:199來源:國知局

      專利名稱::轉(zhuǎn)移許可的方法及設(shè)備的制作方法
      技術(shù)領(lǐng)域
      :本發(fā)明涉及轉(zhuǎn)移許可的方法及設(shè)備,屬于數(shù)字版權(quán)管理(DigitalRightsManagement,簡稱DRM)領(lǐng)域。
      背景技術(shù)
      :DRM主要通過權(quán)利限制和內(nèi)容保護(hù)控制數(shù)字內(nèi)容的使用,以保護(hù)內(nèi)容所有者的合法權(quán)益。數(shù)字內(nèi)容的發(fā)行者(ContentIssuer,簡稱CI)將數(shù)字內(nèi)容加密后,用戶將加密的數(shù)字內(nèi)容數(shù)據(jù)包下載到終端設(shè)備上,授權(quán)發(fā)行者(RightsIssuer,RI)負(fù)責(zé)分發(fā)與數(shù)字內(nèi)容相對(duì)應(yīng)的許可證,其中包括許可權(quán)限及內(nèi)容解密密鑰。終端設(shè)備只有同時(shí)擁有內(nèi)容數(shù)據(jù)包和許可證,才能正常使用該數(shù)字內(nèi)容。許可證采用權(quán)限對(duì)象的方式表示,RO中包含有權(quán)利、限制、密鑰、簽名等信息。其中許可證中的權(quán)利及限制統(tǒng)稱為許可權(quán)限。許可證中封裝有以權(quán)限加密密鑰(RightsEncryptionKey,簡稱REK)進(jìn)行加密的內(nèi)容加密密鑰(ContentEncryptionKey,簡稱CEK)。合法的DRM終端設(shè)備可以解析出許可證中所封裝的內(nèi)容加密密鑰以解密數(shù)字內(nèi)容,并根據(jù)許可證中的權(quán)限信息控制用戶對(duì)數(shù)字內(nèi)容的具體使用。設(shè)備將許可證當(dāng)前可使用權(quán)限轉(zhuǎn)移給另一設(shè)備稱為許可轉(zhuǎn)移。本專利中,與許可轉(zhuǎn)移相關(guān)的信息,包括版權(quán)對(duì)象RO、RO當(dāng)前狀態(tài)信息、RO中封裝的密鑰等統(tǒng)稱為許可信息。根據(jù)RO所包含的限制的不同,可分為有狀態(tài)RO和無狀態(tài)RO,有狀態(tài)RO中包含有對(duì)某權(quán)利進(jìn)行限制的信息,例如次數(shù)(count)、時(shí)間(如時(shí)間段、7累計(jì)時(shí)間等)等狀態(tài)限制信息;而無狀態(tài)RO中的所有權(quán)利下都不包含狀態(tài)限制。根據(jù)RO發(fā)布對(duì)象的不同,可以為設(shè)備RO和域RO,設(shè)備RO為向某個(gè)設(shè)備發(fā)布的RO,域RO為針對(duì)某個(gè)域發(fā)布的RO。OMA畫工作組當(dāng)前正在制定SCE(SecureContentExchange)規(guī)范,在當(dāng)前SCE標(biāo)準(zhǔn)草案(OMA-TS-SCE_LRM-V1—0-20071011-D)中,公開了一種利用配對(duì)關(guān)系轉(zhuǎn)移許可的方案。所配對(duì)的設(shè)備分為兩種用戶域設(shè)備(UserDomainDevice)與客戶設(shè)備(GuestDevice)。由本地版權(quán)管理器(LocalRightsManager,簡稱LRM)導(dǎo)入的許可,只能在具有配對(duì)關(guān)系的設(shè)備之間進(jìn)行轉(zhuǎn)移,用戶域設(shè)備與用戶域設(shè)備間、用戶域設(shè)備與客戶設(shè)備間均需在形成配對(duì)關(guān)系后才能實(shí)現(xiàn)對(duì)某個(gè)導(dǎo)入許可(Imported-RO)的轉(zhuǎn)移。其中,用戶域設(shè)備與用戶域設(shè)備間利用配對(duì)關(guān)系轉(zhuǎn)移許可時(shí),須將許可的REK傳與對(duì)方,而用戶域設(shè)備與客戶設(shè)備之間利用配對(duì)關(guān)系轉(zhuǎn)移許可時(shí)則將許可的CEK傳與對(duì)方。為保證信息在設(shè)備之間傳送時(shí)的安全,首先兩設(shè)備間建立起安全通道(SecureAuthenticatedChannel,簡稱SAC),然后再通過SAC實(shí)現(xiàn)信息的安全傳送,具體地,交互雙方首先形成一個(gè)共同的會(huì)話密鑰,之后信息發(fā)送方將傳送的信息以會(huì)話密鑰加密后發(fā)送給接收方,接收方以會(huì)話密鑰解密出所接收到的信息的明文。該方案存在以下缺陷(1)客戶設(shè)備所接受的導(dǎo)入許可只能在本機(jī)上使用,而不能再轉(zhuǎn)移給其他設(shè)備,由于不能再傳回給原用戶域設(shè)備,因此會(huì)給用戶帶來不好的消費(fèi)體驗(yàn);(2)當(dāng)客戶設(shè)備所接收到的許可沒有被完全消費(fèi),而該客戶設(shè)備上不再需要使用該許可時(shí),由于客戶設(shè)備不能將許可再傳回給原用戶域設(shè)備或轉(zhuǎn)移到其他設(shè)備,因此許可的利用率低,從而會(huì)給用戶造成一定的浪費(fèi)和經(jīng)濟(jì)損失。
      發(fā)明內(nèi)容本發(fā)明的第一方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備,根據(jù)配對(duì)關(guān)系,8實(shí)現(xiàn)許可在設(shè)備間的轉(zhuǎn)移。本發(fā)明的第二方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備,當(dāng)某設(shè)備及第二設(shè)備與同一第三設(shè)備之間存在配對(duì)關(guān)系時(shí),實(shí)現(xiàn)許可由該設(shè)備向第二設(shè)備的轉(zhuǎn)移。本發(fā)明的第三方面是提供一種轉(zhuǎn)移許可的方法及設(shè)備,根據(jù)轉(zhuǎn)移列表實(shí)現(xiàn)設(shè)備間許可的轉(zhuǎn)移,以防止利用權(quán)限轉(zhuǎn)移操作進(jìn)行非法權(quán)限擴(kuò)散。為實(shí)現(xiàn)本發(fā)明的第一方面,本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例,包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文;所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第二設(shè)備通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備,所傳送的許可信息中包括所述REK的密文;第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作;所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。為實(shí)現(xiàn)本發(fā)明的第一方面,本發(fā)明一種設(shè)備的一些實(shí)施例,包括數(shù)據(jù)庫,用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息;以及發(fā)送模塊,與數(shù)據(jù)庫連接,用于根據(jù)數(shù)據(jù)庫中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備。以上轉(zhuǎn)移許可的方法以及設(shè)備的實(shí)施例中,第一設(shè)備將包括有許可對(duì)應(yīng)的REK的密文的許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,第二設(shè)備將包括有REK的密文的許可信息傳送給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第二設(shè)備通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備,從而使得設(shè)備間根據(jù)配對(duì)關(guān)系實(shí)現(xiàn)許可的轉(zhuǎn)移,從而給用戶帶來良好的消費(fèi)體驗(yàn);并且由于許可信息中包括REK的密文,因此支持有權(quán)限解密該密文的設(shè)備與無權(quán)限解密該密文的設(shè)備之間的許可信息的雙向轉(zhuǎn)移。為實(shí)現(xiàn)本發(fā)明的第二方面,本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例,包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后,將許可信息傳送給第二設(shè)備。為實(shí)現(xiàn)本發(fā)明的第二方面,本發(fā)明一種設(shè)備的一些實(shí)施例,包括數(shù)據(jù)庫,用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息;判斷模塊,用于根據(jù)數(shù)據(jù)庫中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系,判斷該設(shè)備與目標(biāo)設(shè)備是否同與該第三設(shè)備具有配對(duì)關(guān)系;以及發(fā)送模塊,當(dāng)判斷模塊確定該設(shè)備與目標(biāo)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí),將許可信息發(fā)送至所述目標(biāo)設(shè)備。以上轉(zhuǎn)移許可的方法的實(shí)施例以及設(shè)備的實(shí)施例中,當(dāng)某設(shè)備中的許可沒有被完全消費(fèi)時(shí),或該設(shè)備上不再需要使用該許可時(shí),能夠?qū)⒃S可傳送給另一設(shè)備,從而提高了許可證權(quán)限的利用率。為實(shí)現(xiàn)本發(fā)明的第三方面,本發(fā)明轉(zhuǎn)移許可的方法的一些實(shí)施例,包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作,所述轉(zhuǎn)移列表的表項(xiàng)中包括許可對(duì)應(yīng)標(biāo)識(shí)ROID,轉(zhuǎn)移設(shè)備雙方的配7于關(guān)系。為實(shí)現(xiàn)本發(fā)明的第三方面,本發(fā)明一種設(shè)備的實(shí)施例,包括數(shù)據(jù)庫,用于存儲(chǔ)轉(zhuǎn)移列表;以及接收/發(fā)送模塊,用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。以上轉(zhuǎn)移許可的方法以及設(shè)備的實(shí)施例中,第一設(shè)備根據(jù)轉(zhuǎn)移列表從第二設(shè)備移入或向第三設(shè)備移出許可,防止了利用權(quán)限轉(zhuǎn)移操作進(jìn)行的非法權(quán)限擴(kuò)散。圖1為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例一的流程圖;圖2為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例二的流程圖;圖3為本發(fā)明轉(zhuǎn)移許可的方法實(shí)施例三的流程圖;圖4為本發(fā)明一種設(shè)備實(shí)施例的流程圖;圖5為本發(fā)明一種設(shè)備另一實(shí)施例的流程圖;圖6為本發(fā)明一種設(shè)備的再一實(shí)施例的流程圖。具體實(shí)施方式下面通過附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。要保證用戶域設(shè)備中的許可生效,用戶域設(shè)備需要擁有REK明文,而要保證客戶設(shè)備中的許可生效,客戶設(shè)備只需擁有CEK明文而不能擁有REK明文。為了保證許可在目標(biāo)設(shè)備中的生效,客戶設(shè)備向用戶域設(shè)備傳送許可信息需要轉(zhuǎn)移REK密文;為了保證許可轉(zhuǎn)移到目標(biāo)設(shè)備后能夠后續(xù)轉(zhuǎn)移,如用戶域設(shè)備將許可轉(zhuǎn)移給客戶設(shè)備,客戶設(shè)備又將許可轉(zhuǎn)移給另一用戶域設(shè)備或轉(zhuǎn)回原用戶域設(shè)備時(shí),需要再轉(zhuǎn)移REK密文。為此,本發(fā)明的一些實(shí)施例提供了一種轉(zhuǎn)移許可的方法,其中包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文;所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第二設(shè)備直接將許可轉(zhuǎn)移給第四設(shè)備后或第二設(shè)備通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第四設(shè)備后,由所述第四設(shè)備將許可轉(zhuǎn)移給與所述第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備,所傳送的許可信息中包括所述REK的密文;第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作;所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。以下實(shí)施例一、實(shí)施例二分別對(duì)該轉(zhuǎn)移許可的方法進(jìn)行詳細(xì)說明。轉(zhuǎn)移許可的方法的實(shí)施例一圖1為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例一的流程圖。參考圖1,轉(zhuǎn)移許可的方法包括步驟101、第一設(shè)備采用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文(第一設(shè)備對(duì)于從RO中解析出的REK進(jìn)行加密)。步驟102、第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括所述REK的密文。步驟103、第二設(shè)備將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,所ii傳送的許可信息中包括所述REK的密文。步驟104、第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作。所述依據(jù)REK執(zhí)行相關(guān)的操作包括驗(yàn)證REK正確后接受本次移入的許可。該實(shí)施例中第一設(shè)備將許可轉(zhuǎn)移給與第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,第二設(shè)備將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,則所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到,具體可以有以下幾種情況(11)假設(shè)該實(shí)施中的所述第一設(shè)備及第三設(shè)備為不同的設(shè)備,如為不同的用戶域設(shè)備,所述第二設(shè)備為客戶設(shè)備。當(dāng)?shù)谝辉O(shè)備及第三設(shè)備為同一個(gè)域的設(shè)備時(shí),則所述REK的密文采用該第一設(shè)備及第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體為所述REK的密文采用第一設(shè)備及第三設(shè)備共同所在的域的域密鑰對(duì)所述REK進(jìn)行加密。(12)假設(shè)該實(shí)施例中所述第一設(shè)備及第三設(shè)備為同一設(shè)備,所述第二設(shè)備為客戶設(shè)備。則所述REK的密文采用該第一設(shè)備及第三設(shè)備能夠解密而第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體為所述REK的密文采用第一設(shè)備(第三設(shè)備)的公鑰對(duì)所述REK進(jìn)行加密得到,或者采用第一設(shè)備私有的密鑰對(duì)所述REK進(jìn)行加密得到,或者采用第一設(shè)備(第三設(shè)備)所在的域的域密鑰對(duì)所述REK進(jìn)行加密。當(dāng)REK的密文是采用域密鑰對(duì)所述REK進(jìn)行加密得到時(shí),許可信息中還包括所述域的域標(biāo)識(shí)。以上技術(shù)方案中,所述許可信息中還包括該許可對(duì)應(yīng)的CEK,當(dāng)客戶設(shè)備接收到用戶域設(shè)備傳送的許可信息后,由于獲得了CEK,因此可以解密播放相應(yīng)的數(shù)字內(nèi)容。以上技術(shù)方案中,第一設(shè)備向第二設(shè)傳送的許可信息中還包括用于驗(yàn)證第一設(shè)備與該RO關(guān)系的信息,如第一設(shè)備對(duì)所述許可對(duì)應(yīng)標(biāo)識(shí)ROID的數(shù)字簽名。設(shè)備間通過安全通道轉(zhuǎn)移許可信息,如第一設(shè)備向第二設(shè)備轉(zhuǎn)移傳送許可之前,首先建立與第二設(shè)備的安全通道SAC,所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到;所述配對(duì)密鑰可以由域?qū)嵤┐鞤EA(DomainEnforcementAgent,簡稱DEA)下發(fā),如第一設(shè)備與第二設(shè)備分別與域?qū)嵤┐斫换カ@取,第一設(shè)備與第二設(shè)備依據(jù)配對(duì)密鑰完成安全通道SAC的建立。轉(zhuǎn)移許可的方法的實(shí)施例二圖2為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例二的流程圖。參考圖2,轉(zhuǎn)移許可的方法包括步驟201、第一設(shè)備釆用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文。步驟202、第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括所述REK的密文。步驟203、第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備。步驟204、第四設(shè)備將許可轉(zhuǎn)移給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備,所傳送的許可信息中包括所述REK的密文。該實(shí)施例中第二設(shè)備與第四設(shè)備非同一設(shè)備。步驟205、第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作。該實(shí)施例中第一設(shè)備將許可轉(zhuǎn)移給與第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備,再由第四設(shè)備轉(zhuǎn)移給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備,則所述REK的密文釆用第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)許可對(duì)應(yīng)的REK進(jìn)行加密得到。第二設(shè)備與第四設(shè)備非同一設(shè)備,第二設(shè)備將許可轉(zhuǎn)移給第四設(shè)備具體為第二設(shè)備直接將許可轉(zhuǎn)移給與第二設(shè)備有配對(duì)關(guān)系的第四設(shè)備,或通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第四設(shè)備。上述實(shí)施例二中,假設(shè)所述第一設(shè)備為用戶域設(shè)備,所述第二設(shè)備為客戶設(shè)備,所述第三設(shè)備為用戶域設(shè)備,所述第四設(shè)備為客戶設(shè)備。則所述REK13的密文采用該第一設(shè)備和第三設(shè)備能夠解密而第二設(shè)備和第四設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到具體可以有以下幾種情況(21)所述第一設(shè)備與第三設(shè)備為同一設(shè)備,采用第一設(shè)備的公鑰對(duì)REK進(jìn)行加密得到REK的密文,第一設(shè)備以本設(shè)備的公鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文,并將該包含有REK的密文及RO的許可信息傳送與第二設(shè)備,由于第二設(shè)備不擁有該第一設(shè)備的私鑰,因此無法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK的密文及RO的許可信息傳送給第四設(shè)備,第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備(第一設(shè)備)時(shí),第三設(shè)備(第一設(shè)備)利用私鑰可以解密采用該設(shè)備的公鑰加密的REK,得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK,解密播放相應(yīng)的數(shù)字內(nèi)容。(22)所述第一設(shè)備與第三設(shè)備為同一設(shè)備,采用第一設(shè)備的私有密鑰對(duì)REK進(jìn)行加密得到REK的密文,第一設(shè)備以其私自擁有的某個(gè)密鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文,并將包含有REK的密文及該RO的許可信息傳送與第二設(shè)備,由于第二設(shè)備不能夠解密采用第一設(shè)備的私自擁有的密鑰加密的REK,因此無法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK的密文及RO的許可信息傳送給第四設(shè)備,第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備(第一設(shè)備)時(shí),由于第三設(shè)備(第一設(shè)備)能夠解密采用該設(shè)備的私自擁有的密鑰加密的REK,得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK,解密播放相應(yīng)的數(shù)字內(nèi)容。在上述第(22)種情況中,不包括以第一設(shè)備的私有設(shè)備密鑰(對(duì)應(yīng)的公有設(shè)備密鑰公開)進(jìn)行非對(duì)稱加密的情況。(23)所述第一設(shè)備與所述第三設(shè)備為同一域設(shè)備或同一設(shè)備,采用第一設(shè)備所在域的域密鑰對(duì)REK進(jìn)行加密得到REK的密文,第一設(shè)備以其所在域的域密鑰對(duì)要轉(zhuǎn)移的RO對(duì)應(yīng)的REK進(jìn)行加密得到REK的密文,并將包含有REK的密文及RO的許可信息傳送給第二設(shè)備,由于第二設(shè)備不擁有該第一設(shè)備所在域的域密鑰,因此無法解密出REK的明文。當(dāng)?shù)诙O(shè)備將包含有REK14的密文的許可信息傳送給第四設(shè)備,第四設(shè)備再傳送給與第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備時(shí),由于第三設(shè)備能夠解密采用第三設(shè)備與第一設(shè)備所在的同一域的域密鑰加密的REK,得到REK的明文。并可依據(jù)REK解密出該RO中封裝的CEK,解密播放相應(yīng)的數(shù)字內(nèi)容。在上述第(23)種情況中,第一設(shè)備可在轉(zhuǎn)移至第二設(shè)備的許可信息中攜帶有與該域密鑰對(duì)應(yīng)的域標(biāo)識(shí)。第三設(shè)備可以根據(jù)域標(biāo)識(shí)以確定解密REK的密文所使用的域密鑰。在上述第(23)中,若在雙方設(shè)備的配對(duì)關(guān)系中明確限定了用戶域設(shè)備所屬域,則可利用該配對(duì)關(guān)系來確定加密REK的域密鑰?;蛘逺O中記錄有域相關(guān)信息,可利用該域相關(guān)信息確定所對(duì)應(yīng)的域密鑰。若是用戶域設(shè)備只能加入一個(gè)域(不支持加入多個(gè)域)或是允許用戶域設(shè)備加入多個(gè)域^旦配對(duì)關(guān)系只能適用于一個(gè)域,則第三設(shè)備可直接確定域密鑰。上述兩實(shí)施例中,步驟104及步驟205中,第三設(shè)備接收到REK密文并解密后,首先-驗(yàn)證REK是否正確,再利用解密出的CEK解密播放相應(yīng)的數(shù)字內(nèi)容。例如,在0MAD脂規(guī)范中,因?yàn)镽EK封裝加密CEK的算法為AES-WRAP算法,所以執(zhí)行AES-WRAP算法解密R0中封裝的CEK的過程,即可判斷用于解密R0中所封裝的CEK的這個(gè)密鑰是否即為正確的REK。以上技術(shù)方案中,所述第一設(shè)備傳給第二設(shè)備的許可信息中還包括該R0對(duì)應(yīng)的CEK,當(dāng)?shù)诙O(shè)備接收到第一設(shè)備傳送的許可信息后,由于獲得了CEK,因此可以解密播放相應(yīng)的數(shù)字內(nèi)容。所述第一設(shè)備可以將用以驗(yàn)證其與該R0關(guān)系的信息,如其對(duì)該R0的標(biāo)識(shí)R0ID的數(shù)字簽名也傳送給所述第二設(shè)備;所述設(shè)備間許可信息傳送可以利用安全通道SAC來傳送相關(guān)信息,例如,第一設(shè)備在向第二設(shè)備傳送許可之前,首先建立與第二設(shè)備的安全通道SAC;所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到;所述配對(duì)密鑰可以由域?qū)嵤┐?DomainEnforcementAgent,簡牙爾DEA)下發(fā),^口第一i殳備與第二i殳備分另'J與域?qū)嵤┐斫换カ@取,設(shè)備與DEA交互時(shí)完成配對(duì)關(guān)系注冊(cè)及配對(duì)密鑰獲取,第一設(shè)備與第二設(shè)備依據(jù)配對(duì)密鑰完成安全通道SAC的建立。以上轉(zhuǎn)移許可的方法的實(shí)施例中,第一設(shè)備將包括有許可對(duì)應(yīng)的REK的密文的許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,第二設(shè)備將包括有REK的密文的許可信息傳送給與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第四設(shè)備將包括有REK的密文的許可信息傳送給與該第四設(shè)備有配對(duì)關(guān)系的第三設(shè)備,從而使得設(shè)備間根據(jù)配對(duì)關(guān)系實(shí)現(xiàn)許可的轉(zhuǎn)移,從而給用戶帶來良好的消費(fèi)體驗(yàn);并且由于許可信息中包括REK的密文,因此支持有權(quán)限解密該密文的設(shè)備與無權(quán)限解密該密文的設(shè)備之間的許可信息的轉(zhuǎn)移。若兩個(gè)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系,如這兩個(gè)設(shè)備同為第三設(shè)備的客戶設(shè)備時(shí),這兩個(gè)設(shè)備之間可以轉(zhuǎn)移許可。為此,本發(fā)明的另一些實(shí)施例提供了一種轉(zhuǎn)移許可的方法,其中包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后,將許可信息傳送給第二設(shè)備。以下實(shí)施例三用于對(duì)該方法進(jìn)行詳細(xì)說明。轉(zhuǎn)移許可的方法的實(shí)施例三該實(shí)施例中,第三設(shè)備為用戶域設(shè)備,則第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系具體為第一設(shè)備確定第一設(shè)備及第二設(shè)備同為第三設(shè)備的客戶設(shè)備。圖3為本發(fā)明轉(zhuǎn)移許可的方法的實(shí)施例三的流程圖。參考圖3,轉(zhuǎn)移許可的方法包括步驟301、第一設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系信息發(fā)送至第二設(shè)備;步驟302、第二設(shè)備判斷其與第三設(shè)備具有配對(duì)關(guān)系,確定存在第二設(shè)備與該第三設(shè)備的配對(duì)關(guān)系且該第三設(shè)備與第一設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過;步驟303、第二設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系信息發(fā)送至第一設(shè)備;步驟304、第一設(shè)備對(duì)第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過后,確定第一設(shè)備與第二設(shè)備為同一第三設(shè)備的客戶設(shè)備;步驟305、第一設(shè)備將許可信息傳送給第二設(shè)備。所述許可信息包括該許可對(duì)應(yīng)的內(nèi)容加密密鑰CEK轉(zhuǎn)移給第二設(shè)備。在第一設(shè)備判斷其與第二設(shè)備同為某一個(gè)第三設(shè)備的客戶設(shè)備后,即可執(zhí)行許可的傳送,所傳送的許可信息包括CEK,或進(jìn)一步包括REK的密文以支持后續(xù)可將該許可傳送給第三設(shè)備,REK的加密方式可如前文所述。第一設(shè)備向第二設(shè)備傳送許可時(shí),除第一設(shè)備及第二設(shè)備以外的設(shè)備稱為第三設(shè)備,當(dāng)?shù)谌O(shè)備存在多個(gè)時(shí),第一設(shè)備與第二設(shè)備之間傳送許可需要考慮的一種情況是一個(gè)第一設(shè)備可能會(huì)與多個(gè)第三設(shè)備間有配對(duì)關(guān)系。這樣第一設(shè)備與第二設(shè)備間進(jìn)行許可傳送前,要明確雙方是依據(jù)與哪一個(gè)第三設(shè)備的配對(duì)關(guān)系來實(shí)現(xiàn)許可的傳送。以上技術(shù)方案中,所述第一設(shè)備可以將用以驗(yàn)證第一設(shè)備與該RO關(guān)系的信息,如第一設(shè)備對(duì)該RO的標(biāo)識(shí)的數(shù)字簽名也傳送給第二設(shè)備;所述第一設(shè)備與所述第二設(shè)備間可以利用安全通道SAC來傳送相關(guān)信息,第一設(shè)備在向第二設(shè)備傳送許可之前,首先與第二設(shè)備建立安全通道SAC;所述安全通道采用的會(huì)話密鑰可以為配對(duì)密鑰;所述配對(duì)密鑰可以由域?qū)嵤?戈理DEA(DomainEnforcementAgent,簡稱DEA)下發(fā),如第一設(shè)備及第二設(shè)備分別與DEA交互獲取,第一設(shè)備與第二設(shè)M據(jù)配對(duì)密鑰完成安全通道SAC的建立。該轉(zhuǎn)移許可的方法的實(shí)施例中,當(dāng)?shù)谝辉O(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí),當(dāng)?shù)谝辉O(shè)備中的許可沒有被完全消費(fèi)時(shí),或該第一設(shè)備上不再需要使用該許可時(shí),能夠?qū)⒃S可傳送給第二設(shè)備,從而提高了許可證權(quán)限的利用率以下以一實(shí)例說明客戶設(shè)備間傳送許可的方法。假設(shè)第一客戶設(shè)備為Gl,第二客戶設(shè)備為G2,用戶域設(shè)備(UserDomaindevice)為Ul、U2;第一客戶設(shè)備Gl與用戶域設(shè)備Ul之間具有配對(duì)關(guān)系paring{Gl,UserDomaindeviceUl},第一客戶設(shè)備G1與用戶域設(shè)備U2之間具有配對(duì)關(guān)系paring{Gl,UserDomaindeviceU2},第二客戶設(shè)備G2與用戶域Ul之間具有配對(duì)關(guān)系paring{G2,UserDomaindeviceUl};第一客戶設(shè)備Gl向第二客戶設(shè)備G2傳送許可時(shí),執(zhí)行以下操作1)第一客戶設(shè)備Gl將兩個(gè)配對(duì)關(guān)系paring{Gl,UserDomaindeviceUl}及paring{Gl,UserDomaindeviceU2)發(fā)送至第二客戶設(shè)備G2;2)第二客戶設(shè)備G2接收到第一客戶設(shè)備Gl所發(fā)送的配對(duì)關(guān)系后,選擇與用戶域設(shè)備U1的配對(duì)關(guān)系進(jìn)行驗(yàn)證;3)驗(yàn)證通過后將第二客戶設(shè)備G2與用戶域設(shè)備Ul的配對(duì)關(guān)系paring{G2,UserDomaindeviceUl}發(fā)送至第一客戶設(shè)備Gl;4)第一客戶i殳備Gl只于酉己乂于關(guān)系paring(G2,UserDomaindeviceUl}進(jìn)行驗(yàn)證后,確定第一客戶設(shè)備G1與第二客戶設(shè)備G2同為用戶與用戶域設(shè)備Ul的客戶設(shè)備。5)第一客戶設(shè)備Gl將從Ul獲取的RO及該RO對(duì)應(yīng)的內(nèi)容加密密鑰CEK轉(zhuǎn)移給第二客戶設(shè)備G2。進(jìn)一步地,為防止許可的擴(kuò)散(如第一客戶設(shè)備Gl從用戶域設(shè)備U2獲取的RO不能利用第一客戶設(shè)備Gl與第二客戶設(shè)備G2均與用戶域設(shè)備U1有配對(duì)關(guān)系而將該R0傳與第二客戶設(shè)備G2),可在后續(xù)的許可傳送過程中,使得所傳送的RO均為原用戶域設(shè)備所傳送出來的。為此,可在用戶域設(shè)備在向客戶設(shè)備傳送許可時(shí),亦傳送用以驗(yàn)證其與該RO關(guān)系的信息(如,用戶域設(shè)備對(duì)RO的標(biāo)識(shí)ROID的數(shù)字簽名)。轉(zhuǎn)移許可的方法的實(shí)施例四若一個(gè)設(shè)備的安全性被破壞,其可能會(huì)通過復(fù)制許可信息并轉(zhuǎn)移給其它設(shè)備的方法來非法擴(kuò)散權(quán)限。例如,一個(gè)無狀態(tài)RO由用戶域設(shè)備A轉(zhuǎn)移到客戶設(shè)備B??蛻粼O(shè)備B被破解,其可以非法復(fù)制該RO。設(shè)備A可以不斷的從設(shè)備B獲取被復(fù)制的RO并傳送給其它設(shè)備,從而造成許可的非法復(fù)制和傳18播。為此可設(shè)計(jì)轉(zhuǎn)移列表來防范權(quán)限的非法擴(kuò)散。對(duì)于有狀態(tài)RO,其風(fēng)險(xiǎn)還在于狀態(tài)信息的非法改變。如,用戶域設(shè)備A擁有的某RO中有10次播放權(quán)利,當(dāng)前已使用8次,狀態(tài)信息中播放權(quán)限為2次。若客戶設(shè)備B被破解,則域設(shè)備A將該RO權(quán)限轉(zhuǎn)移給客戶設(shè)備B,客戶設(shè)備將狀態(tài)信息中播放權(quán)限改為10次后再將RO權(quán)限傳給域設(shè)備A,這樣域設(shè)備A即獲取了非法播放權(quán)限。為此可對(duì)轉(zhuǎn)出的狀態(tài)信息做完整性保護(hù),如在狀態(tài)信息中寫入時(shí)間信息并對(duì)狀態(tài)信息作數(shù)字簽名;在RO權(quán)限多次轉(zhuǎn)移過程中,亦每次將最新狀態(tài)信息與之前狀態(tài)信息一并傳與接收方。在接收狀態(tài)信息時(shí),須對(duì)狀態(tài)信息作驗(yàn)證,包括狀態(tài)信息的數(shù)字簽名及當(dāng)前狀態(tài)信息中限定的權(quán)限是否在之前狀態(tài)信息限定之內(nèi)。對(duì)于有狀態(tài)權(quán)限的轉(zhuǎn)移,在轉(zhuǎn)移列表中須記錄轉(zhuǎn)出許可時(shí)的時(shí)間信息(如時(shí)戳)。為此,本發(fā)明一種轉(zhuǎn)移權(quán)限對(duì)象的實(shí)施例,包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作,所述轉(zhuǎn)移列表的表項(xiàng)中包括RO的標(biāo)識(shí)ROID,轉(zhuǎn)移設(shè)備雙方的配對(duì)關(guān)系。許可轉(zhuǎn)移操作包括第一設(shè)備將許可信息傳送給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所述許可信息包括權(quán)限對(duì)象RO及該RO對(duì)應(yīng)的內(nèi)容加密密鑰CEK。所述第一設(shè)備從第二設(shè)備移入許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則第一設(shè)備拒絕從第二設(shè)備移入許可;若該轉(zhuǎn)移列表中不存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作。所述執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作的同時(shí)還可以包括在該轉(zhuǎn)移列表中增加與RO的標(biāo)識(shí)ROID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,以保證轉(zhuǎn)移列表的實(shí)時(shí)更新,為下一次轉(zhuǎn)移許可做準(zhǔn)備。所述第一設(shè)備向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括:查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中存在與RO的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還可以包括去除該轉(zhuǎn)移列表中與R0的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,以保證轉(zhuǎn)移列表的實(shí)時(shí)更新,為下一次轉(zhuǎn)移許可做準(zhǔn)備。其中,去除該轉(zhuǎn)移列表中與RO的標(biāo)識(shí)ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄具體為刪除與該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,或?qū)⑴c該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄置為無效狀態(tài)。所述第一設(shè)備向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作包括若該轉(zhuǎn)移列表中與ROID對(duì)應(yīng)的記錄中不存在對(duì)應(yīng)的第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系,則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。RO為無狀態(tài)RO或有狀態(tài)RO。當(dāng)該RO為有狀態(tài)RO時(shí),所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中與該有狀態(tài)RO對(duì)應(yīng)的記錄中添加表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。對(duì)于有狀態(tài)RO,執(zhí)行第一設(shè)備向第三設(shè)備移出該RO的操作的同時(shí)還包括,第一設(shè)備將該有狀態(tài)RO的狀態(tài)信息發(fā)送至第三設(shè)備,為實(shí)現(xiàn)對(duì)狀態(tài)信息進(jìn)行完整性保護(hù),所述狀態(tài)信息包括第一設(shè)備對(duì)狀態(tài)信息或?qū)顟B(tài)信息中含有的權(quán)限信息部分的數(shù)字簽名。所述狀態(tài)信息還可以包括表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。所述第一設(shè)備向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移許可的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中不存在與ROID對(duì)應(yīng)的記錄,則第一設(shè)備停止執(zhí)行向第三設(shè)備移出許可的操作。以上技術(shù)方案中所述的RO,根據(jù)其包含的限制的不同,可以為有狀態(tài)RO和無狀態(tài)RO;根據(jù)其發(fā)布對(duì)象的不同,可以為設(shè)備RO或域RO。下面以一實(shí)例說明利用轉(zhuǎn)移列表轉(zhuǎn)移許可的方法。假設(shè)B、C分別表示用戶域設(shè)備,A表示客戶設(shè)備,用戶域設(shè)備C與客戶設(shè)備A、用戶域設(shè)備B均建立有配對(duì)關(guān)系用戶域設(shè)備C與客戶設(shè)備A的配對(duì)關(guān)系信息為Paring{C,A};用戶域設(shè)備C與用戶域設(shè)備B的配對(duì)關(guān)系信息為Paring{C,B}。本實(shí)例中,不考慮用戶域設(shè)備失信的情況,而客戶設(shè)備A可能會(huì)失信。設(shè)用戶域設(shè)備C當(dāng)前轉(zhuǎn)移列表中記錄為空。當(dāng)前支持用戶域設(shè)備與客戶設(shè)備間許可的雙向轉(zhuǎn)移,亦支持客戶設(shè)備間許可的轉(zhuǎn)移,但用戶域設(shè)備轉(zhuǎn)出到客戶設(shè)備的許可只能從原客戶設(shè)備傳回給原用戶域設(shè)備。三個(gè)設(shè)備之間執(zhí)行以下操作,各操作以及各操作中用戶域設(shè)備C的轉(zhuǎn)移列表中的記錄的變化情況如下(1)用戶域設(shè)備C從用戶域設(shè)備B移入兩個(gè)RO,一個(gè)為無狀態(tài)的ROl,其標(biāo)識(shí)為R0ID1,另有個(gè)為有狀態(tài)的R02,其標(biāo)識(shí)為R0ID2,R02的總插j文4又限為10次,其狀態(tài)信息中限定當(dāng)前還有1次播放權(quán)限。由于用戶域設(shè)備C當(dāng)前轉(zhuǎn)移列表為空,即不存在R01、R02的記錄,為此在轉(zhuǎn)移表表中增加相應(yīng)的記錄,當(dāng)前接受的R02狀態(tài)信息中的時(shí)戳信息為Tl,如下表所示R0的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳R0ID1Paring(C,B}NULLR0ID2Paring{C,B}TlR02的狀態(tài)信息的一個(gè)片斷為<o—ex:permission)<oma—dd:play><o-ex:constraint〉<count>5</coimt></o-ex:constraints</oma-dd:play〉</o-ex:permission><time>Tl</1ime><signature〉〈/signature〉〃用戶域i殳備B簽名(2)用戶域設(shè)備C向客戶設(shè)備A轉(zhuǎn)移ROl、R02;設(shè)備C在其轉(zhuǎn)移列表中查找到ROl、R02的記錄,但該記錄中所記載的配對(duì)關(guān)系不是C與A的配對(duì)關(guān)系,為此繼續(xù)執(zhí)行將ROl、R02轉(zhuǎn)移給客戶設(shè)備A的操作。在轉(zhuǎn)移R02時(shí)一并將其狀態(tài)信息(其中寫入當(dāng)前的時(shí)戳)簽名后轉(zhuǎn)與客戶設(shè)備A。并在轉(zhuǎn)移列表中相應(yīng)記錄下當(dāng)前的時(shí)戳T2,如下表所示RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳RO皿Paring{C,B}NULLR0ID2Paring{C,B}T2R02的狀態(tài)信息的一個(gè)片斷為:<o—ex:perraission><oma—dd:play><o-ex:constraint><count〉5</coimt></o-ex:constraints</oma-dd:play〉</o-ex:permission><time>Tl</1ime><signature>〈/signature〉〃用戶i或i殳備B簽名<o—ex:permission〉<oma-dd:play〉<o—ex:constraint)<count>l</coimt></o-ex:constraint〉</oma-dd:play〉</o-ex:permission)<time>T2</time><signature〉d93e5fue3susdskjhkjedkjrl0h53209efoihfdsel0ue2109uel〈/signature〉〃用戶域設(shè)備C簽名(3)客戶設(shè)備A將ROl轉(zhuǎn)移回用戶域設(shè)備C;當(dāng)客戶設(shè)備A被破解,設(shè)備A可以將RO(如ROl)復(fù)制多份,并轉(zhuǎn)移給用戶域設(shè)備C一個(gè)R01復(fù)本。設(shè)備C在接收R01轉(zhuǎn)入之前判斷其轉(zhuǎn)移列表中沒有曾從客戶設(shè)備A接收ROl的記錄,從而在其轉(zhuǎn)移列表中增加相應(yīng)的記錄,如下表所示,并繼續(xù)完成ROl轉(zhuǎn)移操作。RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳R0ID1Paring{C,B}冊(cè)LLRO皿Paring{C,A}NULLRO皿Paring{C,B}T2(4)用戶域設(shè)備C將ROl轉(zhuǎn)移給用戶域設(shè)備B;用戶域設(shè)備B在其轉(zhuǎn)移列表中查找到與ROl及設(shè)備C-B配對(duì)關(guān)系相匹配的記錄,從而在完成將R01轉(zhuǎn)移給設(shè)備B的操作后,刪除了轉(zhuǎn)移列表中相應(yīng)的記錄,如下表所示<table>tableseeoriginaldocumentpage24</column></row><table>(5)若客戶設(shè)備A再次發(fā)起將ROl的一個(gè)復(fù)本轉(zhuǎn)移給用戶域設(shè)備C的操作;用戶域設(shè)備B在其轉(zhuǎn)移列表中查找到與ROl及設(shè)備C-A配對(duì)關(guān)系相匹配的記錄,從而拒絕了本次移入操作。此處可以利用配對(duì)關(guān)系屬性判斷來實(shí)現(xiàn)許可的轉(zhuǎn)移,具體為若是用戶域設(shè)備C還有一客戶設(shè)備D,其從客戶設(shè)備A獲取了一個(gè)R01復(fù)本且獲取了REK密文,當(dāng)前設(shè)備D將R01傳回用戶域設(shè)備C,因設(shè)備C判定已從它的一個(gè)客戶設(shè)備(客戶設(shè)備A)獲取了R01的一個(gè)復(fù)本,故拒絕從客戶設(shè)備處再次移入ROl,即拒絕了從客戶設(shè)備D移入ROl的操作。(6)當(dāng)客戶設(shè)備A被破解,設(shè)備A可以修改有狀態(tài)RO(如R02)的狀態(tài)信息。R02的狀態(tài)信息被惡意修改,如去掉了之前設(shè)備C所附加的狀態(tài)信息并將當(dāng)前還有的播放權(quán)限次數(shù)修改為8次。當(dāng)客戶設(shè)備A將R02權(quán)限傳給用戶域設(shè)備C時(shí),設(shè)備C判斷當(dāng)前狀態(tài)信息中可播放權(quán)限次數(shù)超過了之前轉(zhuǎn)移出去時(shí)還有的播放權(quán)限(之前轉(zhuǎn)出時(shí)還有l(wèi)次播放權(quán)限),故拒絕了本次移入操作。其中,被非法修改的R02狀態(tài)信息片斷如下<o-ex:permission〉<oma-dd:play><o-ex:constraint〉<coimt〉5</coimt></o-ex:constraint></oma-dd:play></o-ex:permission)<time〉Tl</time〉<signature>〈/signature〉〃用戶域^殳備B簽名<o-ex:permission〉<oma-dd:play〉<o-ex:constraints<coimt〉8</count></o-ex:constraint></oma-dd:play〉</o-ex:permission〉<time>T3</time〉<signature〉</signature〉〃客戶^殳備A簽名此外,即使客戶設(shè)備A故意丟棄用戶域設(shè)備C對(duì)使用權(quán)限為5時(shí)的狀態(tài)信息,但轉(zhuǎn)移列表中記錄有T2時(shí)戳信息,故用戶域設(shè)備C在當(dāng)前傳回的狀態(tài)信息中沒有找到與T2相匹配的記錄,亦拒絕本次移入。設(shè)備C刪除了轉(zhuǎn)移列表中相應(yīng)的記錄,如下表所示:RO的標(biāo)識(shí)配對(duì)關(guān)系時(shí)戳RO皿Paring{C,A}NULL以上轉(zhuǎn)移許可的方法的實(shí)施例中,利用配對(duì)關(guān)系實(shí)現(xiàn)許可在設(shè)備之間的轉(zhuǎn)移,以防范許可權(quán)限的非法擴(kuò)散。本發(fā)明還提供了設(shè)備的一些實(shí)施例。圖4為本發(fā)明設(shè)備的實(shí)施例一的結(jié)構(gòu)示意圖。參考圖4,該設(shè)備包括數(shù)據(jù)庫ll,用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息;以及發(fā)送模塊12,與數(shù)據(jù)庫11連接,用于根據(jù)數(shù)據(jù)庫11中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備,所述許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文。圖5為本發(fā)明設(shè)備的實(shí)施例二的結(jié)構(gòu)示意圖。參考圖5,該設(shè)備包括數(shù)據(jù)庫21,用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息;判斷模塊22,與數(shù)據(jù)庫21連接,用于根據(jù)數(shù)據(jù)庫21中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系,判斷該設(shè)備與目標(biāo)設(shè)備是否同與該第三設(shè)備具有配對(duì)關(guān)系;以及發(fā)送模塊23,與判斷模塊22連接,當(dāng)判斷模塊22確定該設(shè)備與目標(biāo)設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系時(shí),將許可信息發(fā)送至所述目標(biāo)設(shè)備。圖6為本發(fā)明設(shè)備的實(shí)施例三的結(jié)構(gòu)示意圖。參考圖6,該設(shè)備包括數(shù)據(jù)庫31,用于存儲(chǔ)轉(zhuǎn)移列表,所述轉(zhuǎn)移列表中記錄有設(shè)備間配對(duì)關(guān)系信息;以及接收/發(fā)送模塊32,與數(shù)據(jù)庫31連接,用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。2權(quán)利要求1、一種轉(zhuǎn)移許可的方法,其特征在于,包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文;所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第二設(shè)備通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備,所傳送的許可信息中包括所述REK的密文;第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作;所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。2、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述依據(jù)REK執(zhí)行相關(guān)的操作包括驗(yàn)證REK正確后接受本次移入的許可。3、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一設(shè)備和第三設(shè)備為用戶域設(shè)備。4、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一設(shè)備與第三設(shè)備為同一設(shè)備,所述REK的密文采用第一設(shè)備的公鑰對(duì)所述REK進(jìn)行加密得到,或者采用第一設(shè)備私有的密鑰對(duì)所述REK進(jìn)行加密得到。5、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一設(shè)備與第三設(shè)備為同一設(shè)備或同一域設(shè)備,所述REK的密文采用第一設(shè)備與第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到。6、才艮據(jù)權(quán)利要求5所述的方法,所述許可信息還包括所述域的域標(biāo)識(shí)。7、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述許可信息還包括所述第一設(shè)備對(duì)所述許可對(duì)應(yīng)的標(biāo)識(shí)R0ID的數(shù)字簽名。8、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述許可信息通過安全通道傳送,所述安全通道所采用的會(huì)話密鑰為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到。9、一種轉(zhuǎn)移許可的方法,其特征在于,包括第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系后,將許可信息傳送給第二設(shè)備。10、根據(jù)權(quán)利要求9所述的方法,其特征在于,所述第三設(shè)備為用戶域設(shè)備,所述第一設(shè)備確定第一設(shè)備及第二設(shè)備同與第三設(shè)備具有配對(duì)關(guān)系具體為第一設(shè)備確定第一設(shè)備及第二設(shè)備同為第三設(shè)備的客戶設(shè)備。11、根據(jù)權(quán)利要求IO所述的方法,其特征在于,所述第一設(shè)備確定第一設(shè)備與第二設(shè)備為同為第三設(shè)備的客戶設(shè)備包括第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系后,對(duì)所述第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過后,確定第一設(shè)備與第二設(shè)備同為第三設(shè)備的客戶設(shè)備。12、根據(jù)權(quán)利要求11所述的方法,其特征在于,所述第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系之前還包括第一設(shè)備將其與第三設(shè)備的配對(duì)關(guān)系發(fā)送至第二設(shè)備,第二設(shè)備確定與第三設(shè)備存在配對(duì)關(guān)系且第三設(shè)備與第一設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過。13、根據(jù)權(quán)利要求11所述的方法,其特征在于,所述第一設(shè)備獲取第二設(shè)備與第三設(shè)備的配對(duì)關(guān)系之前還包括第一設(shè)備將其與多個(gè)第三設(shè)備的配對(duì)關(guān)系發(fā)送至第二設(shè)備,第二設(shè)備從所述多個(gè)第三設(shè)備中選擇出與第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,確定選擇出的第三設(shè)備中至少有一個(gè)第三設(shè)備與第一客戶設(shè)備的配對(duì)關(guān)系信息驗(yàn)證通過。14、根據(jù)權(quán)利要求9所述的方法,其特征在于,所述許可信息還包括許可對(duì)應(yīng)的REK的密文,所述REK的密文采用第三設(shè)備的公鑰,或第三設(shè)備私自擁有的密鑰,或第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到。15、根據(jù)權(quán)利要求14所述的方法,其特征在于,若所述REK的密文采用第三設(shè)備所在域的域密鑰對(duì)所述REK進(jìn)行加密得到,所述許可信息還包括第三設(shè)備所在域的域標(biāo)識(shí)。16、才艮據(jù)權(quán)利要求9所述的方法,其特征在于,所述許可信息還包括第三設(shè)備對(duì)所述許可對(duì)應(yīng)的標(biāo)識(shí)R0ID的數(shù)字簽名。17、根據(jù)權(quán)利要求9所述的方法,其特征在于,所述第一設(shè)備將許可信息傳送給第二設(shè)備具體為第一設(shè)備將許可信息通過安全通道傳送給第二設(shè)備,所述安全通道采用的會(huì)話密鑰為配對(duì)密鑰或使用配對(duì)密鑰協(xié)商得到。18、一種轉(zhuǎn)移許可的方法,其特征在于,包括第一設(shè)備從第二設(shè)備移入許可或向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作,所述轉(zhuǎn)移列表的表項(xiàng)中包括許可對(duì)應(yīng)的標(biāo)識(shí)R0ID,轉(zhuǎn)移設(shè)備雙方的配對(duì)關(guān)系信息。19、根據(jù)權(quán)利要求18所述的方法,其特征在于,所述第一設(shè)備從第二設(shè)備移入許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中存在與許可對(duì)應(yīng)標(biāo)識(shí)R0ID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則第一設(shè)備拒絕從第二設(shè)備移入許可;若該轉(zhuǎn)移列表中不存在與該R0ID及第一設(shè)備與第二設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作。20、根據(jù)權(quán)利要求19所述的方法,其特征在于,所述執(zhí)行第一設(shè)備從第二設(shè)備移入許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中增加與該R0ID及該配對(duì)關(guān)系均對(duì)應(yīng)的記錄。21、根據(jù)權(quán)利要求18所述的方法,其特征在于,所述第一設(shè)備向第三設(shè)備移出許可時(shí),根據(jù)轉(zhuǎn)移列表執(zhí)行轉(zhuǎn)移許可的操作包括查找所述第一設(shè)備中的轉(zhuǎn)移列表,若該轉(zhuǎn)移列表中存在許可對(duì)應(yīng)的標(biāo)識(shí)R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,則執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作。22、根據(jù)權(quán)利要求21所述的方法,其特征在于,所述執(zhí)行第一設(shè)備向第三設(shè)備移出許可的操作的同時(shí)還包括去除該轉(zhuǎn)移列表中與該許可對(duì)應(yīng)標(biāo)識(shí)R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄。23、根據(jù)權(quán)利要求22所述的方法,其特征在于,所述去除該轉(zhuǎn)移列表中與許可對(duì)應(yīng)的標(biāo)識(shí)R01D及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄具體為刪除與該ROID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄,或?qū)⑴c該R0ID及第一設(shè)備與第三設(shè)備的配對(duì)關(guān)系均對(duì)應(yīng)的記錄置為無效狀態(tài)。24、根據(jù)權(quán)利要求18所述的方法,其特征在于,所述第一設(shè)備向第三設(shè)備移出許可時(shí),當(dāng)該許可為有狀態(tài)許可時(shí),所述執(zhí)行第一設(shè)備向第三設(shè)備移出該許可的操作的同時(shí)還包括第一設(shè)備將該有狀態(tài)許可的狀態(tài)信息發(fā)送至第三設(shè)備,所述狀態(tài)信息包括第一設(shè)備對(duì)狀態(tài)信息或?qū)顟B(tài)信息中含有的權(quán)限信息部分的數(shù)字簽名,和/或表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。25、根據(jù)權(quán)利要求24所述的方法,其特征在于,所述執(zhí)行第一設(shè)備向第三設(shè)備移出該許可的操作的同時(shí)還包括在該轉(zhuǎn)移列表中與該有狀態(tài)許可對(duì)應(yīng)的記錄中添加表示當(dāng)前轉(zhuǎn)移時(shí)間信息的時(shí)戳。26、根據(jù)權(quán)利要求18-25所述的任一方法,其特征在于,所述許可為無狀態(tài)許可或有狀態(tài)許可。27、根據(jù)權(quán)利要求18-25所述的任一方法,其特征在于,所述許可為設(shè)備許可或域許可。28、一種設(shè)備,其特征在于,包括數(shù)據(jù)庫,用于存儲(chǔ)該設(shè)備與目標(biāo)設(shè)備的配對(duì)關(guān)系信息;以及發(fā)送模塊,用于根據(jù)數(shù)據(jù)庫中存儲(chǔ)的與目標(biāo)設(shè)備的配對(duì)關(guān)系將許可信息發(fā)送至所述目標(biāo)設(shè)備,所述許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文。29、一種設(shè)備,其特征在于,包括數(shù)據(jù)庫,用于存儲(chǔ)該設(shè)備與第三設(shè)備的配對(duì)關(guān)系信息;判斷模塊,用于根據(jù)數(shù)據(jù)庫中該設(shè)備與第三設(shè)備的配對(duì)關(guān)系,判斷該設(shè)備與目標(biāo)設(shè)備同與該第三設(shè)備具有配對(duì)關(guān)系;以及發(fā)送模塊'與判斷模塊連接,將許可信息發(fā)送至所述目標(biāo)設(shè)備。30、一種設(shè)備,其特征在于,包括數(shù)據(jù)庫,用于存儲(chǔ)轉(zhuǎn)移列表,所述轉(zhuǎn)移列表中記錄有設(shè)備間配對(duì)關(guān)系信息;以及接收/發(fā)送模塊,用于根據(jù)所述轉(zhuǎn)移列表執(zhí)行許可轉(zhuǎn)移操作。全文摘要本發(fā)明的實(shí)施例涉及轉(zhuǎn)移許可的方法及設(shè)備。轉(zhuǎn)移許可的方法的一些實(shí)施例,包括第一設(shè)備將許可轉(zhuǎn)移給與該第一設(shè)備有配對(duì)關(guān)系的第二設(shè)備,所傳送的許可信息中包括許可對(duì)應(yīng)的權(quán)限加密密鑰REK的密文;所述第二設(shè)備將該許可轉(zhuǎn)移給與所述第二設(shè)備有配對(duì)關(guān)系的第三設(shè)備,或第二設(shè)備通過一個(gè)或多個(gè)中間設(shè)備將許可轉(zhuǎn)移給第三設(shè)備,所傳送的許可信息中包括所述REK的密文;第三設(shè)備解密REK的密文并依據(jù)REK執(zhí)行相關(guān)的操作;所述REK的密文采用第一設(shè)備和第三設(shè)備能夠解密而所述第二設(shè)備不能夠解密的加密方式對(duì)REK進(jìn)行加密得到。本發(fā)明利用配對(duì)關(guān)系實(shí)現(xiàn)設(shè)備間許可的轉(zhuǎn)移。文檔編號(hào)H04L29/06GK101465845SQ200710179999公開日2009年6月24日申請(qǐng)日期2007年12月20日優(yōu)先權(quán)日2007年12月20日發(fā)明者周志鵬,張仁宙,袁衛(wèi)忠,晨黃申請(qǐng)人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1