專利名稱::一種許可證多級(jí)管理系統(tǒng)及方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及許可證管理技術(shù),尤其涉及一種許可證多級(jí)管理系統(tǒng)及方法。
背景技術(shù):
:數(shù)字內(nèi)容服務(wù)已成為整個(gè)信息產(chǎn)業(yè)中發(fā)展最快和最具前景的領(lǐng)域,然而數(shù)字內(nèi)容服務(wù)的數(shù)字化內(nèi)容為盜版與侵權(quán)帶來了便利。版權(quán)問題正成為制約數(shù)字內(nèi)容服務(wù)發(fā)展的瓶頸之一,隨之,帶來了數(shù)字版權(quán)管理(DRM,DigitalRightsManagement)的研究蓬勃發(fā)展。目前,應(yīng)用最廣泛的DRM技術(shù)即公鑰密碼體系及其相關(guān)的加密技術(shù),較好地解決了版權(quán)管理的安全問題?,F(xiàn)有DRM解決方案中的許可證管理主要是運(yùn)營商對(duì)用戶進(jìn)行的許可證管理,如圖l所示,圖1為現(xiàn)有許可證管理系統(tǒng)的組成結(jié)構(gòu)示意圖。圖1中,包括運(yùn)營商運(yùn)營中心的許可證管理單元、數(shù)字證書(CA,CertificateAuthority)服務(wù)器、內(nèi)容打包單元和終端。其中,許可證管理單元用于向終端下發(fā)許可證;CA服務(wù)器完成CA數(shù)字證書,終端和內(nèi)容打包單元分別向CA服務(wù)器申請(qǐng)證書服務(wù),并且CA服務(wù)器將申請(qǐng)的在線證書服務(wù)分別提供給終端和內(nèi)容打包單元;位于內(nèi)容打包單元的加密機(jī)對(duì)數(shù)字內(nèi)容加密后發(fā)送給終端,并且將加密該數(shù)字內(nèi)容的密鑰和權(quán)利信息返回許可證管理單元,這里,加密數(shù)字內(nèi)容的密鑰即為內(nèi)容加密密鑰(CEK);終端收到內(nèi)容許可證和加密后的數(shù)字內(nèi)容,利用位于終端的解密機(jī),從內(nèi)容許可證中提取出CEK,對(duì)加密后的數(shù)字內(nèi)容解密。綜上所述,釆用現(xiàn)有DRM解決方案,只能通過位于運(yùn)營中心的許可證管理單元直接對(duì)終端進(jìn)行管理,且提供在線許可證服務(wù),存在管理單一和服務(wù)單一的局限性。然而,隨著數(shù)字內(nèi)容服務(wù)應(yīng)用發(fā)展的繁雜化,用戶提出了更多更高的個(gè)性化需求,涉及到數(shù)字內(nèi)容服務(wù)使用權(quán)利的繼承、遷移和轉(zhuǎn)讓等問題,針對(duì)這些問題,釆用現(xiàn)有DRM解決方案的這種許可證管理單元直接對(duì)終端進(jìn)行管理都無法實(shí)現(xiàn),這種管理單一和服務(wù)單一的現(xiàn)有技術(shù)不能很好地滿足用戶的個(gè)性化需求。
發(fā)明內(nèi)容有鑒于此,本發(fā)明的主要目的在于提供一種許可證多級(jí)管理系統(tǒng)及方法,能滿足用戶的個(gè)性化需求,并能完成數(shù)字內(nèi)容的使用權(quán)利的繼承、遷移、轉(zhuǎn)讓和多級(jí)許可分發(fā)的一系列問題。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種許可證多級(jí)管理系統(tǒng),該系統(tǒng)包括許可證管理單元、內(nèi)容打包單元中的加密機(jī)和終端中的解密機(jī),該系統(tǒng)還包括代理許可證管理單元;其中,代理許可證管理單元,用于向所述許可證管理單元申請(qǐng)并獲取到許可證,根據(jù)所述許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。其中,所述代理許可證管理單元部署在所述局域網(wǎng)內(nèi),所述代理許可證管理單元為至少一個(gè),由所述代理許可證管理單元與所述許可證管理單元構(gòu)成多級(jí)管理體系,所述多級(jí)管理體系以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布。其中,所述以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布管理體系中,許可證管理單元為根節(jié)點(diǎn),上級(jí)代理許可證管理單元為父節(jié)點(diǎn),下級(jí)代理許可證管理單元為子節(jié)點(diǎn);同屬于一個(gè)父節(jié)點(diǎn)的代理許可證管理單元之間互為兄節(jié)點(diǎn);同屬于一層的代理許可證管理單元之間互為表兄節(jié)點(diǎn)。其中,在所述多級(jí)分布管理體系中,所述許可證管理單元,進(jìn)一步用于發(fā)布根許可證給二級(jí)代理許可證管理單元;二級(jí)代理許可證管理單元,進(jìn)一步用于發(fā)布二級(jí)許可證給三級(jí)代理許可證管理單元;各級(jí)別的許可證的發(fā)布釆取鏈?zhǔn)浇Y(jié)構(gòu),且按照發(fā)布次序順延。其中,所述代理許可證管理單元,進(jìn)一步用于將所述許可證中的權(quán)限信息授予給所述終端,且當(dāng)前代理許可證管理單元授予給終端使用的權(quán)限信息為所述許可證管理單元授予給所述當(dāng)前代理許可證管理單元使用的權(quán)限信息的子集。其中,所述系統(tǒng)進(jìn)一步包括內(nèi)容管理中心和代理內(nèi)容管理中心;其中,所述許可證管理單元,具體用于生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給所述加密機(jī);生成許可證并發(fā)送給所述代理許可證管理單元;加密機(jī),具體用于向所述許可證管理單元申請(qǐng)并獲取到密鑰的種子和內(nèi)容標(biāo)識(shí);生成密鑰標(biāo)識(shí);建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表;根據(jù)所述密鑰標(biāo)識(shí)和所述種子生成內(nèi)容加密密鑰CEK;將加密后的數(shù)字內(nèi)容發(fā)送到所述內(nèi)容管理中心,將密鑰標(biāo)識(shí)、內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表以及內(nèi)容的權(quán)限信息返回所述許可證管理單元;所述內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表用于保證在所述加密機(jī)和所述解密機(jī)兩側(cè)實(shí)現(xiàn)加密/解密同步;代理許可證管理單元,具體用于從上一級(jí)許可證管理單元獲取到所述許可證,發(fā)送所述解密機(jī)需要的內(nèi)容許可證;所述內(nèi)容許可證包括使用的權(quán)限信息和所述CEK;內(nèi)容管理中心,具體用于將加密后的數(shù)字內(nèi)容推送給所述代理內(nèi)容管理中心;所述代理內(nèi)容管理中心,具體用于將所述加密后的數(shù)字內(nèi)容推送給終端中的所述解密機(jī);所述解密機(jī),具體用于驗(yàn)證所述權(quán)限信息,根據(jù)所述CEK對(duì)所述加密后的數(shù)字內(nèi)容解密。其中,代理許可證管理單元,還用于上報(bào)日志,并向所述許可證管理單元申請(qǐng)?jiān)S可證更新,所述許可證管理單元還用于審核通過上報(bào)的日志,并下發(fā)許可證更新;所述許可證管理單元為注冊(cè)終端或代理許可證管理單元提供在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。其中,所述許可證管理單元進(jìn)一步包括安全管理器、內(nèi)容標(biāo)識(shí)管理模塊、密鑰標(biāo)識(shí)管理模塊、代理許可證管理模塊、內(nèi)容許可證管理模塊和日志管理模塊;其中,安全管理器,用于負(fù)責(zé)許可證管理單元的安全和對(duì)外的安全通信,完成身份認(rèn)證、訪問控制、版權(quán)控制與解析、設(shè)備安全控制和數(shù)字內(nèi)容的加解密;內(nèi)容標(biāo)識(shí)管理模塊,用于管理內(nèi)容標(biāo)識(shí);密鑰標(biāo)識(shí)管理模塊,用于管理密鑰標(biāo)識(shí);代理許可證管理模塊,用于保存和更新代理許可證;內(nèi)容許可證管理模塊,用于保存和更新內(nèi)容許可證;所述更新包括生成、刪除和修改三項(xiàng)內(nèi)容;曰志管理模塊,用于對(duì)代理許可證管理單元提交的曰志進(jìn)行完整性檢測,以及對(duì)代理許可證管理單元的搡作進(jìn)行審核;所述曰志管理模塊支持在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。其中,所述代理許可證管理模塊,進(jìn)一步用于遵循代理許可證的生成原則生成所述代理許可證;所述代理許可證的生成原則為對(duì)于根許可證采用沒有限制默認(rèn)為允許的原則;對(duì)于二級(jí)許可證以及其下級(jí)許可證采用沒有允許的就是禁止的原則。其中,所述內(nèi)容許可證管理模塊,進(jìn)一步用于遵循內(nèi)容許可證的生成原則生成所述內(nèi)容許可證;所述內(nèi)容許可證的生成原則為對(duì)于全部權(quán)利都沒有的釆用默認(rèn)為全部不禁止的原則;對(duì)于存在的一項(xiàng)權(quán)利采用沒有允許的就是禁止的原則;生成的所述內(nèi)容許可證是權(quán)利人的權(quán)限信息的子集,同時(shí)是本級(jí)代理許可證中權(quán)限信息的子集。一種許可證多級(jí)管理方法,該方法包括代理許可證管理單元向許可證管理單元申請(qǐng)?jiān)S可證;代理許可證管理單元獲取到申請(qǐng)的許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。其中,該方法具體包括以下步驟Al、許可證管理單元生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給加密機(jī);A2、加密機(jī)生成密鑰標(biāo)識(shí),并根據(jù)所述密鑰標(biāo)識(shí)和種子生成CEK;加密機(jī)將內(nèi)容的權(quán)限信息返回所述許可證管理單元;加密機(jī)將用所述CEK加密后的數(shù)字內(nèi)容發(fā)送到內(nèi)容管理中心;A3、代理許可證管理單元向許可證管理單元上報(bào)曰志并申請(qǐng)所述許可證,許可證管理單元審核通過所述日志后,將更新的許可證下發(fā)給所述代理許可證管理單元;A4、內(nèi)容管理中心將加密后的數(shù)字內(nèi)容通過代理內(nèi)容管理中心發(fā)送給終端;代理許可證管理單元發(fā)送解密機(jī)需要的內(nèi)容許可證給終端,所述解密機(jī)需要的內(nèi)容許可證包括解密機(jī)使用的權(quán)限信息和所述CEK;A5、終端驗(yàn)證所述權(quán)限信息,根據(jù)所述CEK對(duì)所述加密后的數(shù)字內(nèi)容解密。其中,步驟A2中還包括加密機(jī)向所述許可證管理單元申請(qǐng)并獲得內(nèi)容標(biāo)識(shí),建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表并返回許可證管理單元;步驟A3中還包括許可證管理單元將選擇的數(shù)字內(nèi)容及所述內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表下發(fā)給代理許可證管理單元,代理許可證管理單元根據(jù)所述選擇的數(shù)字內(nèi)容相對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),以及內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表獲取到密鑰標(biāo)識(shí),根據(jù)種子和密鑰標(biāo)識(shí)生成CEK提供給解密機(jī)解密,完成在所述加密機(jī)和所述解密機(jī)兩側(cè)的加密/解密同步。其中,當(dāng)所述許可證為代理許可證時(shí),步驟A3中,所述代理許可證的生成過程具體包括以下步驟A311、所述許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書的合法性和有效性;A312、許可證管理單元檢測安全日志,并檢測終端提供的安全日志的合法性和完整性;A313、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放給所述代理許可證管理單元的數(shù)字內(nèi)容,提供與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表;A314、許可證管理單元審核權(quán)限,并核實(shí)代理許可證管理單元的權(quán)限;A315、許可證管理單元加密種子,并用代理許可證管理單元數(shù)字證書中的公鑰對(duì)種子進(jìn)行加密;A316、許可證管理單元按照開放的數(shù)字權(quán)利語言模板生成代理許可證。其中,當(dāng)所述許可證為內(nèi)容許可證時(shí),步驟A3中,所述內(nèi)容許可證的生成過程具體包括以下步驟A321、所述許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書或權(quán)限密鑰的合法性和有效性;A322、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放內(nèi)容許可證的數(shù)字內(nèi)容;A323、許可證管理單元審核權(quán)限,并根據(jù)內(nèi)容許可證的生成原則審核權(quán)限;A324、許可證管理單元生成CEK,并根據(jù)與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),檢索到對(duì)應(yīng)的密鑰標(biāo)識(shí),生成CEK,根據(jù)終端數(shù)字證書中的公鑰或終端的權(quán)限密鑰加密CEK;A325、許可證管理單元按照開放的數(shù)字權(quán)利語言模板生成內(nèi)容許可證。針對(duì)本發(fā)明的系統(tǒng)而言,許可證管理單元通過將許可證下發(fā)給增加的代理許可證管理單元,由該代理許可證管理單元對(duì)局域網(wǎng)內(nèi)的多個(gè)終端進(jìn)行多樣化管理,并提供多樣化的服務(wù),以滿足用戶多樣化和個(gè)性化的需求。具體來說,在局域網(wǎng)內(nèi)部署代理許可證管理單元和多個(gè)終端,終端脫離許可證管理單元的直接管理,由代理許可證管理單元在許可證代理的相應(yīng)管理權(quán)限內(nèi)接管對(duì)終端的管理,可以實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)多個(gè)終端的統(tǒng)一管理,則在代理許可證管理單元的控制下多個(gè)終端之間的數(shù)字內(nèi)容可以拷貝,實(shí)現(xiàn)了數(shù)字內(nèi)容的遷移。并且,終端可以脫離許可證管理單元的管理,在隔離的局域網(wǎng)內(nèi)由代理許可證管理單元管理,則代理許可證管理單元可以為終端提供除了在線許可證服務(wù)以外的離線許可證服務(wù)。由于增加的代理許可證管理單元實(shí)現(xiàn)了許可證的下發(fā),則數(shù)字內(nèi)容的使用權(quán)利可以繼承、轉(zhuǎn)讓或二次分發(fā)。這里,使用權(quán)利轉(zhuǎn)讓后仍受控,并可以實(shí)現(xiàn)使用權(quán)利的追溯;二次分發(fā)是代理許可證管理單元向其下級(jí)的代理許可證管理單元再次下發(fā)許可證和授權(quán)。另外,可以在許可證管理單元以及多個(gè)不同級(jí)別的代理許可證管理單元之間實(shí)現(xiàn)多級(jí)許可證的下發(fā)。對(duì)比本發(fā)明和現(xiàn)有技術(shù)可知,由于現(xiàn)有技術(shù)是許可證管理單元直接對(duì)終端進(jìn)行管理,因此,采用現(xiàn)有技術(shù),當(dāng)面向局域網(wǎng)比如企業(yè)局域網(wǎng)或小區(qū)局域網(wǎng)內(nèi)部的終端進(jìn)行許可證管理時(shí),數(shù)字內(nèi)容使用權(quán)利的繼承、遷移、轉(zhuǎn)讓和多級(jí)許可分發(fā)等一系列問題無法解決。而本發(fā)明通過在局域網(wǎng)內(nèi)增加的代理許可證管理單元,在獲得許可證管理單元下發(fā)的許可證情況下,使局域網(wǎng)內(nèi)的終端脫離許可證管理單元的直接管理,并由代理許可證管理單元統(tǒng)一管理。采用本發(fā)明,解決了數(shù)字內(nèi)容使用權(quán)利的繼承、遷移、轉(zhuǎn)讓和多級(jí)許可分發(fā)的一系列問題,同時(shí)也解決了在隔離的局域網(wǎng)中由代理許可證管理單元對(duì)終端的許可證管理等問題,比如可以通過對(duì)日志的控制和管理,為終端提供額外的離線許可證服務(wù),也就是說,當(dāng)代理許可證管理單元申請(qǐng)更新許可證時(shí),先提交日志,許可證管理單元通過審核日志對(duì)DRM代理服務(wù)水平進(jìn)行監(jiān)控,并以此實(shí)現(xiàn)對(duì)代理許可證管理單元的控制。而且,采用本發(fā)明,適合于統(tǒng)一數(shù)字版權(quán)的管理以及對(duì)企業(yè)局域網(wǎng)或小區(qū)局域網(wǎng)內(nèi)終端的數(shù)字版權(quán)管理,方便企業(yè)在企業(yè)局域網(wǎng)內(nèi)使用許可證和內(nèi)部管理。由于企業(yè)局域網(wǎng)或小區(qū)局域網(wǎng)內(nèi)部部署代理許可證管理單元,許可證管理單元授予代理許可證管理單元許可證代理的相應(yīng)管理權(quán)限,因此,企業(yè)最終用戶即企業(yè)局域網(wǎng)的終端可以不與許可證管理單元實(shí)時(shí)聯(lián)線,仍可保證數(shù)字版權(quán)的控制。并且代理許可證管理單元授予給終端使用的許可權(quán)限只能是許可證管理單元授予給該代理許可證管理單元許可權(quán)限的子集,不能超出。通過代理許可證管理單元,企業(yè)可以自主管理企業(yè)局域網(wǎng)的終端以及終端使用的許可權(quán)限。圖1為現(xiàn)有許可證管理系統(tǒng)的組成結(jié)構(gòu)示意圖2為本發(fā)明系統(tǒng)的組成結(jié)構(gòu)示意圖3為本發(fā)明曰志記錄的組成結(jié)構(gòu)示意圖4為本發(fā)明系統(tǒng)一實(shí)施例的組成結(jié)構(gòu)示意圖5為本發(fā)明方法的實(shí)現(xiàn)流程示意圖。具體實(shí)施例方式本發(fā)明的核心思想是許可證管理單元通過將許可證下發(fā)給增加的代理許可證管理單元,由該代理許可證管理單元對(duì)局域網(wǎng)內(nèi)的多個(gè)終端進(jìn)行多樣化管理,并提供多樣化的服務(wù),以滿足用戶多樣化和個(gè)性化的需求。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下舉實(shí)施例并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。如圖2所示,一種許可證多級(jí)管理系統(tǒng),該系統(tǒng)包括許可證管理單元、內(nèi)容打包單元中的加密機(jī)和終端中的解密機(jī),該系統(tǒng)還包括代理許可證管理單元。其中,許可證管理單元、內(nèi)容打包單元中的加密機(jī)和終端中的解密機(jī)都是現(xiàn)有的部件,區(qū)別于現(xiàn)有技術(shù),本發(fā)明增加的代理許可證管理單元,用于向許可證管理單元申請(qǐng)并獲取到許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。這里,代理許可證管理單元部署在局域網(wǎng)比如企業(yè)局域網(wǎng)或小區(qū)局域網(wǎng)內(nèi),代理許可證管理單元為一個(gè)或多個(gè)。由代理許可證管理單元與許可證管理單元構(gòu)成的多級(jí)管理體系為以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布管理體系。其中,以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布管理體系中,許可證管理單元為根節(jié)點(diǎn),上級(jí)代理許可證管理單元為父節(jié)點(diǎn),下級(jí)代理許可證管理單元為子節(jié)點(diǎn);同屬于多級(jí)分布管理體系中一個(gè)父節(jié)點(diǎn)的代理許可證管理單元之間互為兄節(jié)點(diǎn);同屬于多級(jí)分布管理體系中一層的代理許可證管理單元之間互為表兄節(jié)點(diǎn)。這里,代理許可證管理單元,進(jìn)一步用于將許可證中的權(quán)限信息授予給終端,且當(dāng)前代理許可證管理單元授予給終端使用的權(quán)限信息為許可證管理單元授予給當(dāng)前代理許可證管理單元使用的權(quán)限信息的子集。這里需要指出的是,雖然,除增加的許可證管理單元之外,系統(tǒng)中的其他部件都是現(xiàn)有的,但是,由于增加的許可證管理單元需要在與系統(tǒng)中的其他部件交互,才能實(shí)現(xiàn)許可證的多級(jí)管理。因此,系統(tǒng)中現(xiàn)有的部件實(shí)際上功能和作用效果上也隨之發(fā)生了變化,并與增加的許可證管理單元配合作用,來實(shí)現(xiàn)許可證的多級(jí)管理。以下對(duì)系統(tǒng)中各部件包括功能和作用效果上發(fā)生變化的現(xiàn)有部件及增加的許可證管理單元進(jìn)行具體闡述。許可證的多級(jí)管理體系為以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布管理體系。舉例來說,在該多級(jí)分布管理體系中,通常包括許可證管理單元,以及存在上、下級(jí)關(guān)系的代理許可證管理單元。當(dāng)上級(jí)代理許可證管理單元為二級(jí)代理許可證管理單元,其下級(jí)代理許可證管理單元為三級(jí)代理許可證管理單元。那么,其中的許可證管理單元,進(jìn)一步用于發(fā)布根許可證給二級(jí)代理許可證管理單元;二級(jí)代理許可證管理單元,進(jìn)一步用于發(fā)布二級(jí)許可證給三級(jí)代理許可證管理單元。具體來說,許可證管理單元定義為一級(jí),用于發(fā)布根許可證,也可以稱為根許可證管理單元;向根許可證管理單元申請(qǐng)?jiān)S可證的代理許可證管理單元定義為二級(jí)代理許可證管理單元,向二級(jí)代理許可證管理單元申請(qǐng)?jiān)S可證的代理許可證管理單元定義為三級(jí)代理許可證管理單元,依次類推。從而,根許可證管理單元發(fā)布根許可證給二級(jí)代理許可證管理單元,二級(jí)代理許可證管理單元發(fā)放二級(jí)許可證給三級(jí)代理許可證管理單元,依次類推。各級(jí)別的許可證的發(fā)布釆取鏈?zhǔn)浇Y(jié)構(gòu),且按照發(fā)布次序順延。如圖2所示,系統(tǒng)進(jìn)一步包括內(nèi)容管理中心和代理內(nèi)容管理中心。其中,許可證管理單元,具體用于生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給加密機(jī);生成許可證并發(fā)送給代理許可證管理單元。加密機(jī),具體用于向許可證管理單元申請(qǐng)并獲取到密鑰的種子和內(nèi)容標(biāo)識(shí);生成密鑰標(biāo)識(shí);建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表;根據(jù)密鑰標(biāo)識(shí)和種子生成CEK;將加密后的數(shù)字內(nèi)容發(fā)送到內(nèi)容管理中心,將密鑰標(biāo)識(shí)、內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表以及內(nèi)容的權(quán)限信息返回許可證管理單元。該建立的內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表用于保證在加密機(jī)和解密機(jī)兩側(cè)實(shí)現(xiàn)加密/解密同步。代理許可證管理單元,具體用于從上一級(jí)許可證管理單元獲取到許可證,發(fā)送解密機(jī)需要的內(nèi)容許可證;內(nèi)容許可證包括使用的權(quán)限信息和CEK。內(nèi)容管理中心,具體用于將加密后的數(shù)字內(nèi)容推送給代理內(nèi)容管理中心。代理內(nèi)容管理中心,具體用于將加密后的數(shù)字內(nèi)容推送給終端中的解密機(jī)。解密機(jī),具體用于驗(yàn)證所述權(quán)限信息,根據(jù)CEK對(duì)加密后的數(shù)字內(nèi)容解密。這里,代理許可證管理單元,還用于上報(bào)日志,并向許可證管理單元申請(qǐng)?jiān)S可證更新,許可證管理單元還用于審核通過上報(bào)的日志,并下發(fā)許可證更新。許可證管理單元為注冊(cè)終端或代理許可證管理單元提供在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。具體來說,針對(duì)加密機(jī)而言,加密機(jī)位于內(nèi)容打包單元中,是對(duì)數(shù)字內(nèi)容進(jìn)行加密,對(duì)數(shù)字內(nèi)容加密是實(shí)現(xiàn)許可證管理的源頭,是實(shí)現(xiàn)數(shù)字內(nèi)容有效管理的關(guān)鍵。加密機(jī)對(duì)數(shù)字內(nèi)容加密前,加密機(jī)內(nèi)部的安全模塊首先基于數(shù)字證書或權(quán)限密鑰驗(yàn)證加密機(jī)的身份,通過后驗(yàn)證設(shè)備的安全。在通過安全驗(yàn)證的安全環(huán)境中對(duì)數(shù)字內(nèi)容進(jìn)行加密。為了數(shù)字內(nèi)容加解密同步,需要對(duì)加密數(shù)字內(nèi)容所使用的CEK進(jìn)行有效管理。加密機(jī)需要向許可證管理單元申請(qǐng)內(nèi)容標(biāo)識(shí);加密機(jī)從許可證管理單元獲取種子,并且種子是需要保密的;加密機(jī)生成密鑰標(biāo)識(shí);建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表,并將密鑰標(biāo)識(shí)以及內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表返回許可證管理單元;根據(jù)種子和密鑰標(biāo)識(shí)生成加密數(shù)字內(nèi)容,并對(duì)數(shù)字內(nèi)容進(jìn)行加密;同時(shí)將內(nèi)容的權(quán)限信息發(fā)送給許可證管理單元。內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表用以保證在加密機(jī)和解密機(jī)兩側(cè)實(shí)現(xiàn)加密/解密同步。這里,分別對(duì)密鑰標(biāo)識(shí),內(nèi)容標(biāo)識(shí)和CEK進(jìn)行闡述。針對(duì)密鑰標(biāo)識(shí)而言,密鑰標(biāo)識(shí)是用于生成密鑰并標(biāo)識(shí)密鑰的一個(gè)字符串,長度為16字節(jié),采用全局唯一標(biāo)識(shí)(UUID,UniversallyUniqueIdentifier)編碼規(guī)范。如果兩個(gè)數(shù)字內(nèi)容采用相同的CEK加密,只要指定相同的密鑰標(biāo)識(shí),一個(gè)數(shù)字內(nèi)容可以使用多個(gè)CEK進(jìn)行加密,加密時(shí)標(biāo)識(shí)使用的密鑰標(biāo)識(shí)即可區(qū)分出是用哪個(gè)CEK加密的。針對(duì)內(nèi)容標(biāo)識(shí)而言,內(nèi)容標(biāo)識(shí)是用于唯一標(biāo)識(shí)一個(gè)文件即數(shù)字內(nèi)容的,采用UUID編碼規(guī)范或數(shù)字對(duì)象唯一標(biāo)識(shí)(DOI,DigitalObjectIdentifier)。針對(duì)CEK而言,CEK是用于加密數(shù)字內(nèi)容的,在加密機(jī)的安全模塊內(nèi)生成,以確保CEK的安全。由種子的個(gè)數(shù)及密鑰標(biāo)識(shí)通過模數(shù)同余發(fā)生器生成CEK。且同一個(gè)密鑰標(biāo)識(shí)可以得到唯一的CEK,反之不成立,即從CEK不能推導(dǎo)出密鑰標(biāo)識(shí)。這樣,為了安全起見,不需要保存CEK,只需要保存密鑰標(biāo)識(shí)以及保密種子即可獲得CEK。許可證管理單元生成代理許可證和內(nèi)容許可證時(shí),根據(jù)內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表,可以從保存的密鑰標(biāo)識(shí)和保密的種子計(jì)算出CEK。這樣,可以始終保持加密/解密的同步,實(shí)現(xiàn)了CEK的追溯性和安全性。CEK生成采用模數(shù)同余算法,具體算法如下intGenRndKey(unsignedchar*buf,intkeylen,intseed,unsignedchar*keyid)這里,通過加密機(jī)對(duì)數(shù)字內(nèi)容進(jìn)行的加密是釆用對(duì)稱密碼技術(shù),在加密機(jī)的安全模塊內(nèi)進(jìn)行,加密完成后立即清除CEK,以確保加密安全?;谒惴ň幪?hào)提供不同加密算法和不同模式的加密接口,以滿足不同安全的需要。具體接口如下staticintArith(constunsignedinta—iArithID,constunsignedchar*a_pInData,constunsignedinta—iInDataLen,unsignedchar*a_pOutData,unsignedint*a_pOutLen,constunsignedchar*a_pKey=NULL,constunsignedinta—iKeyLen=0);針對(duì)許可證管理單元而言,許可證管理單元是多級(jí)許可證管理的核心,采用開放的數(shù)字權(quán)利語言(ODRL,OpenDigitalRightsLanguageInitiative)模板。許可證管理單元主要負(fù)責(zé)向加密機(jī)提供內(nèi)容標(biāo)識(shí)、生成密鑰的種子、向代理許可證管理單元提供許可證等。許可證管理單元中包括安全管理器、代理許可證管理模塊、密鑰標(biāo)識(shí)管理模塊、內(nèi)容標(biāo)識(shí)管理模塊、內(nèi)容許可證管理模塊和曰志管理模塊。這里,代理許可證管理模塊用于保存及更新代理許可證,并用于依據(jù)業(yè)務(wù)策略或下級(jí)代理許可證管理單元的許可證更新請(qǐng)求,向其下級(jí)的代理許可證管理單元下發(fā)更新的代理許可證。這里,內(nèi)容許可證管理模塊用于保存及更新內(nèi)容許可證,并用于依據(jù)業(yè)務(wù)策略或下級(jí)代理許可證管理單元的許可證更新請(qǐng)求,向其下級(jí)的代理許可證管理單元下發(fā)更新的內(nèi)容許可證。其中,所謂更新包括生成、刪除和修改三項(xiàng)內(nèi)容。而且,許可證管理單元向注冊(cè)的終端或代理許可證管理單元提供數(shù)字內(nèi)容服務(wù),并基于終端或代理許可證管理單元的數(shù)字證書或權(quán)限密鑰,提供內(nèi)容許可證服務(wù)和代理許可證服務(wù)。當(dāng)CA數(shù)字證書驗(yàn)證通過后,或權(quán)限密鑰驗(yàn)證通過后,使用數(shù)字證書中的公鑰或權(quán)限密鑰加密許可證中的種子或CEK,下發(fā)許可證給代理許可證管理單元。這里,許可證管理單元進(jìn)一步包括安全管理器、內(nèi)容標(biāo)識(shí)管理模塊、密鑰標(biāo)識(shí)管理模塊、代理許可證管理模塊、內(nèi)容許可證管理模塊和曰志管理模塊。其中,安全管理器,用于負(fù)責(zé)許可證管理單元的安全和對(duì)外的安全通信,完成身份認(rèn)證、訪問控制、版權(quán)控制與解析、設(shè)備安全控制和數(shù)字內(nèi)容的加解密。而且,安全管理器是基于PKI數(shù)字證書的安全體系,許可證管理單元擁有自己的數(shù)字證書、根數(shù)字證書、以及安全管理器的開發(fā)者的數(shù)字證書,開發(fā)者對(duì)安全管理器的核心模塊進(jìn)行數(shù)字簽名,許可證管理單元先驗(yàn)證簽名確保安全后安全管理器才能正常工作。內(nèi)容標(biāo)識(shí)管理模塊,用于管理內(nèi)容標(biāo)識(shí)。密鑰標(biāo)識(shí)管理模塊,用于管理密鑰標(biāo)識(shí)。密鑰標(biāo)識(shí)管理模塊和內(nèi)容標(biāo)識(shí)管理模塊的源頭是加密機(jī),二者分別與加密機(jī)相連。代理許可證管理模塊,用于保存和更新代理許可證。內(nèi)容許可證管理模塊,用于保存和更新內(nèi)容許可證。代理許可證管理模塊和內(nèi)容許可證管理模塊分別與代理許可證管理單元相連,分別用于依據(jù)業(yè)務(wù)策略或下級(jí)代理許可證管理單元的許可證更新請(qǐng)求,下發(fā)許可證管理單元所更新的代理許可證和內(nèi)容許可證。其中,所述更新包括生成、刪除和修改三項(xiàng)內(nèi)容。日志管理模塊,用于對(duì)代理許可證管理單元提交的日志進(jìn)行完整性檢測,以及對(duì)代理許可證管理單元的搡作進(jìn)行審核。曰志管理模塊也與代理許可證管理單元相連,用于根據(jù)代理許可證管理單元上報(bào)的日志和許可證更新請(qǐng)求,通過調(diào)用代理許可證管理管理模塊和內(nèi)容許可證管理模塊,使許可證管理單元依據(jù)下級(jí)代理許可證管理單元的許可證更新請(qǐng)求,來分發(fā)內(nèi)容許可證和代理許可證。其中,日志管理模塊支持在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。支持在線許可證服務(wù)時(shí),許可證管理單元通過網(wǎng)絡(luò)獲取代理許可證管理單元的日志;支持離線許可證服務(wù)時(shí),提供導(dǎo)入接口。多級(jí)許可證的管理中,針對(duì)許可證管理單元管理和下發(fā)的許可證而言,許可證的種類包括代理許可證和內(nèi)容許可證。代理許可證中包含生成密鑰的種子和代理權(quán)限信息;內(nèi)容許可證中包含加密數(shù)字內(nèi)容的CEK和內(nèi)容權(quán)限信息。這里需要指出的是針對(duì)權(quán)限信息而言,權(quán)限信息包括權(quán)利信息和限制信息,許可證中的權(quán)利信息包括播放、使用或復(fù)制。許可證中的限制信息包括:時(shí)間或次數(shù)。其中,時(shí)間又分為起始時(shí)間或終止時(shí)間。許可證中的權(quán)利信息和限制信息參照如下的表1和表2所示。以下分別對(duì)許可證管理單元的代理許可證管理模塊中代理許可證的生成原則,以及許可證管理單元的內(nèi)容許可證管理模塊中內(nèi)容許可證的生成原則進(jìn)行闡述。代理許可證管理模塊進(jìn)一步用于遵循代理許可證的生成原則生成代理許可證;代理許可證的生成原則為對(duì)于根許可證采用沒有限制默認(rèn)為允許的原則;對(duì)于二級(jí)許可證以及其下級(jí)許可證采用沒有允許的就是禁止的原則。針對(duì)代理許可證的生成原則,舉例來說,根許可證管理單元生成根許可證給二級(jí)代理許可證管理單元,二級(jí)代理許可證管理單元生成二級(jí)許可證給三級(jí)代理許可證管理單元,那么代理許可證的生成原則是一方面,根許可證即一級(jí)許可證其實(shí)不存在,如果該一級(jí)許可證假設(shè)存在,則任何權(quán)利都是允許的,并且沒有任何限制。也就是說,采用沒有限制默認(rèn)為允許的原則。另一方面,二級(jí)許可證以及其下級(jí)許可證是實(shí)際存在的,釆用沒有允許的就是禁止的原則。也就是說,只能執(zhí)行許可證中允許的權(quán)利信息,并且嚴(yán)格按照限制信息的要求去執(zhí)行。如表l所示,為各級(jí)許可證相應(yīng)的權(quán)利信息和限制信息。這里需要指出的是,下級(jí)許可證的權(quán)利信息和限制信息只能是本級(jí)許可證權(quán)利信息和限制信息的子集。<table>tableseeoriginaldocumentpage19</column></row><table><table>tableseeoriginaldocumentpage20</column></row><table>表1內(nèi)容許可證管理模塊,進(jìn)一步用于遵循內(nèi)容許可證的生成原則生成內(nèi)容許可證;內(nèi)容許可證的生成原則為對(duì)于全部權(quán)利都沒有的采用默認(rèn)為全部不禁止的原則;對(duì)于存在的一項(xiàng)權(quán)利釆用沒有允許的就是禁止的原則。生成的內(nèi)容許可證是權(quán)利人的權(quán)限信息的子集,同時(shí)是本級(jí)代理許可證中權(quán)限信息的子集。其中,權(quán)利人的權(quán)限信息是指內(nèi)容權(quán)利人的權(quán)利主張中所要求的權(quán)利信息和限制信息。針對(duì)內(nèi)容許可證的生成原則具體來說,每個(gè)內(nèi)容都有自己權(quán)利人的權(quán)利和限制要求,那么內(nèi)容許可證的生成原則是一方面,如果全部權(quán)利都沒有,默認(rèn)為全部不禁止。另一方面,只要有一項(xiàng)權(quán)利,則采用沒有允許的就是禁止的原則。如表2所示,為一個(gè)內(nèi)容許可證的權(quán)限信息。生成內(nèi)容許可證的根許可證管理單元以及各級(jí)代理許可證管理單元都有各自自身的本級(jí)代理許可證,本級(jí)代理許可證中有權(quán)限信息,生成的內(nèi)容許可證既是權(quán)利人的權(quán)限信息的子集,同時(shí)又是本級(jí)代理許可證中權(quán)限信息的子集。且內(nèi)容許可證中包含權(quán)利信息、限制信息和加密具體數(shù)字內(nèi)容的CEK,內(nèi)容許可證具有兩種狀態(tài),即允許本地保存狀態(tài)和不允許本地保存狀態(tài)。<table>tableseeoriginaldocumentpage20</column></row><table><table>tableseeoriginaldocumentpage21</column></row><table>表2針對(duì)代理許可證管理單元而言,代理許可證管理單元主要負(fù)責(zé)向許可證管理單元或上級(jí)的代理許可證管理單元申請(qǐng)?jiān)S可證、密鑰標(biāo)識(shí),向下級(jí)的代理許可證管理單元或終端的解密機(jī)提供許可證等。代理許可證管理單元與許可證管理單元的構(gòu)造類似,包括安全管理器、下級(jí)代理許可證管理模塊、密鑰標(biāo)識(shí)管理模塊、內(nèi)容標(biāo)識(shí)管理模塊、內(nèi)容許可證管理模塊和日志管理模塊。其中,代理許可證管理單元的安全管理器主要進(jìn)行安全通信、身份認(rèn)證、訪問控制、時(shí)鐘檢測、安全日志、CEK生成和內(nèi)容許可證生成等。代理許可證管理單元的安全管理器區(qū)別于許可證管理單元的安全管理器,增加了時(shí)鐘檢測和安全日志,除此之外,其他的功能與許可證管理中心的安全管理器一致。這里,用于時(shí)鐘檢測的時(shí)鐘檢測模塊有自己的時(shí)鐘管理,防止終端修改系統(tǒng)時(shí)鐘。安全日志不同于日志管理模塊的日志,安全日志是安全管理器的一個(gè)功能,是對(duì)本地產(chǎn)生的日志在存儲(chǔ)和傳輸中進(jìn)行的安全保護(hù),以防止日志記錄被更改或刪除。如圖3所示,圖3為本發(fā)明日志記錄的組成結(jié)構(gòu)示意圖,該曰志記錄的組成結(jié)構(gòu)是釆用哈希鏈的方法來提供曰志記錄完整性的控制。圖3中,日志記錄的組成結(jié)構(gòu)需要包含以下信息以確保每個(gè)曰志記錄的完整性和所有曰志記錄的連續(xù)性。內(nèi)容節(jié)點(diǎn)哈希值報(bào)頭節(jié)點(diǎn)要包含一個(gè)內(nèi)容節(jié)點(diǎn)的哈希值。這個(gè)哈希值可以用于驗(yàn)證內(nèi)容節(jié)點(diǎn)。曰志系列號(hào)報(bào)頭節(jié)點(diǎn)要包含一個(gè)序列號(hào)。每個(gè)代理按序排列它的曰志以便檢測和刪除日志記錄。前一個(gè)日志記錄的哈希值報(bào)頭節(jié)點(diǎn)要包含同一個(gè)代理前一個(gè)日志記錄報(bào)頭節(jié)點(diǎn)的哈希值。這個(gè)數(shù)據(jù)允許是簽名鏈,這樣,一旦一個(gè)日志記錄通過驗(yàn)證,那么所有先前的曰志記錄都只需比較每個(gè)報(bào)頭里包含的前一個(gè)曰志記錄的哈希值與前一個(gè)曰志記錄報(bào)頭計(jì)算出來的哈希值是否匹配就可以通過驗(yàn)證。數(shù)字簽名數(shù)字簽名要用產(chǎn)生曰志的代理許可證管理中心的私鑰計(jì)算出來,并用代理許可證管理單元數(shù)字證書中的公鑰校驗(yàn)。針對(duì)解密機(jī)而言,解密機(jī)的主要模塊是安全管理器,安全管理器負(fù)責(zé)時(shí)鐘檢測、內(nèi)容許可證管理和數(shù)字內(nèi)容解密。這里,針對(duì)時(shí)鐘檢測而言,解析許可證前,先與代理許可證管理單元進(jìn)行時(shí)鐘同步檢測,防止終端修改系統(tǒng)時(shí)鐘。這里,針對(duì)內(nèi)容許可證管理而言,包括請(qǐng)求內(nèi)容許可證,并向代理許可證管理單元申請(qǐng)并接收內(nèi)容許可證;檢測內(nèi)容許可證,并驗(yàn)證內(nèi)容許可證是否存在和有效性;清除內(nèi)容許可證,并將過期的內(nèi)容許可證清除;驗(yàn)證權(quán)限,并從內(nèi)容許可證中取出權(quán)限信息,驗(yàn)證是否有效;從內(nèi)容許可證中取出CEK并對(duì)數(shù)字內(nèi)容解密,解密完成后立即清除CEK。針對(duì)內(nèi)容管理中心而言,內(nèi)容管理中心對(duì)加密機(jī)加密后的內(nèi)容進(jìn)行管理,并提供多種分發(fā)途徑。針對(duì)代理內(nèi)容管理中心而言,代理內(nèi)容管理中心對(duì)上級(jí)內(nèi)容管理中心提供的加密后的內(nèi)容進(jìn)行管理,并提供多種分發(fā)途徑。圖4為本發(fā)明系統(tǒng)一實(shí)施例的組成結(jié)構(gòu)示意圖,圖4是一級(jí)許可證下發(fā)系統(tǒng)的組成結(jié)構(gòu)示意圖。圖4中,包括運(yùn)營商運(yùn)營中心的許可證管理單元、CA服務(wù)器、內(nèi)容打包單元、部署在小區(qū)局域網(wǎng)或企業(yè)局域網(wǎng)內(nèi)的代理許可證管理單元和多個(gè)終端。其中,許可證管理單元作為根許可證管理單元用于向代理許可證管理單元下發(fā)一級(jí)許可證,并由代理許可證管理單元向終端下發(fā)二級(jí)許可證,完成對(duì)多個(gè)終端的統(tǒng)一管理。這里,代理許可證管理單元在其收到的一級(jí)許可證的基礎(chǔ)上授予終端所使用的權(quán)限信息,且授予給終端使用的權(quán)限信息為許可證管理單元授予給代理許可證管理單元使用的一級(jí)許可證權(quán)限信息的子集。總之,終端可以脫離許可證管理單元的控制,無需從許可證管理單元獲取在線許可證;而是與許可證管理單元離線,轉(zhuǎn)由代理許可證管理單元控制并獲取到許可證,相當(dāng)于從許可證管理單元獲取到離線許可證。CA服務(wù)器完成CA數(shù)字證書,向許可證管理單元提供證書服務(wù)。終端、代理許可證管理單元和內(nèi)容打包單元分別向CA服務(wù)器申請(qǐng)并獲得證書服務(wù)。位于內(nèi)容打包單元的加密機(jī)對(duì)數(shù)字內(nèi)容加密后發(fā)送給終端,并且將加密該數(shù)字內(nèi)容的密鑰和權(quán)利信息返回許可證管理單元,這里,加密數(shù)字內(nèi)容的密鑰即為CEK;終端收到許可證和加密后的數(shù)字內(nèi)容,利用位于終端的解密機(jī),從許可證中提取出CEK,對(duì)加密后的數(shù)字內(nèi)容解密。如圖5所示,一種許可證多級(jí)管理方法,該方法包括以下步驟步驟101、代理許可證管理單元向許可證管理單元申請(qǐng)?jiān)S可證。步驟102、代理許可證管理單元獲取到申請(qǐng)的許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。該方法進(jìn)一步包括以下步驟步驟201、許可證管理單元生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給加密機(jī);加密機(jī)生成密鑰標(biāo)識(shí),并根據(jù)密鑰標(biāo)識(shí)和種子生成CEK;加密機(jī)將內(nèi)容的權(quán)限信息返回許可證管理單元;同時(shí)加密機(jī)向許可證管理單元申請(qǐng)并獲得內(nèi)容標(biāo)識(shí),建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表并返回許可證管理單元。這里,內(nèi)容的權(quán)限信息包括權(quán)利信息和限制信息。其中,權(quán)利信息包括播放、使用或復(fù)制。限制信息包括時(shí)間或次數(shù),并且時(shí)間包括起始時(shí)間或終止時(shí)間。步驟202、加密機(jī)將加密后的數(shù)字內(nèi)容傳送到內(nèi)容管理中心。步驟203、代理許可證管理單元向許可證管理單元通過網(wǎng)絡(luò)或其他傳送方式上報(bào)日志并申請(qǐng)?jiān)S可證,許可證管理單元對(duì)日志審核通過后,將更新的許可證通過網(wǎng)絡(luò)或其他傳送方式傳送給代理許可證管理單元;同時(shí)許可證管理單元將選擇的數(shù)字內(nèi)容及內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)關(guān)系通過網(wǎng)絡(luò)或其他傳送方式傳送給代理許可證管理單元,代理許可證管理單元根據(jù)選擇的數(shù)字內(nèi)容相對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),以及內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表獲取到密鑰標(biāo)識(shí),根據(jù)種子和密鑰標(biāo)識(shí)生成CEK,提供給解密機(jī)解密。這里,總而言之,內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表保證了加密機(jī)和解密機(jī)兩側(cè)的加密/解密同步。這里,許可證包括代理許可證和內(nèi)容許可證。其中,代理許可證包括代理的權(quán)限信息和生成密鑰的種子。其中種子使用代理許可證管理單元數(shù)字證書中的公鑰進(jìn)行加密;內(nèi)容許可證包括加密數(shù)字內(nèi)容的CEK和內(nèi)容的權(quán)限信息。步驟204、內(nèi)容管理中心將加密后的數(shù)字內(nèi)容推送給代理內(nèi)容管理中心。步驟205、代理許可證管理單元發(fā)送解密機(jī)需要的內(nèi)容許可證給終端,解密機(jī)需要的內(nèi)容許可證中包括解密機(jī)使用的權(quán)限信息和CEK。這里,CEK使用解密機(jī)的公鑰或權(quán)限密鑰進(jìn)行加密。步驟206、內(nèi)容管理中心將加密后的數(shù)字內(nèi)容通過代理內(nèi)容管理中心發(fā)送給終端;代理許可證管理單元發(fā)送解密機(jī)需要的內(nèi)容許可證給終端,解密機(jī)需要的內(nèi)容許可證包括解密機(jī)使用的權(quán)限信息和CEK。步驟207、終端驗(yàn)證權(quán)限信息,根據(jù)CEK對(duì)加密后的數(shù)字內(nèi)容解密。這里,許可證包括代理許可證和內(nèi)容許可證,對(duì)于代理許可證來說,代理許可證的生成流程包括以下步驟步驟301、許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書的合法性和有效性。步驟302、許可證管理單元檢測安全日志,并檢測終端提供的安全日志的合法性和完整性。步驟303、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放給代理許可證管理單元的數(shù)字內(nèi)容,提供與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表。步驟304、許可證管理單元審核權(quán)限,并核實(shí)代理許可證管理單元的權(quán)限。步驟305、許可證管理單元加密種子,并用代理許可證管理單元數(shù)字證書中的公鑰對(duì)種子進(jìn)行加密。步驟306、許可證管理單元按照ODRL模板生成代理許可證。對(duì)于內(nèi)容許可證來說,內(nèi)容許可證的生成流程包括以下步驟步驟401、許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書或權(quán)限密鑰的合法性和有效性。步驟402、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放內(nèi)容許可證的數(shù)字內(nèi)容。步驟403、許可證管理單元審核權(quán)限,并根據(jù)內(nèi)容許可證的生成原則審核權(quán)限。步驟404、許可證管理單元生成CEK,并根據(jù)與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),檢索到對(duì)應(yīng)的密鑰標(biāo)識(shí),生成CEK,根據(jù)終端數(shù)字證書中的公鑰或終端的權(quán)限密鑰加密CEK。'步驟405、許可證管理單元按照ODRL模板生成內(nèi)容許可證。以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。權(quán)利要求1、一種許可證多級(jí)管理系統(tǒng),該系統(tǒng)包括許可證管理單元、內(nèi)容打包單元中的加密機(jī)和終端中的解密機(jī),其特征在于,該系統(tǒng)還包括代理許可證管理單元;其中,代理許可證管理單元,用于向所述許可證管理單元申請(qǐng)并獲取到許可證,根據(jù)所述許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。2、根據(jù)權(quán)利要求l所述的系統(tǒng),其特征在于,所述代理許可證管理單元部署在所述局域網(wǎng)內(nèi),所述代理許可證管理單元為至少一個(gè),由所述代理許可證管理單元與所述許可證管理單元構(gòu)成多級(jí)管理體系,所述多級(jí)管理體系以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布。3、根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述以節(jié)點(diǎn)的方式呈現(xiàn)樹狀結(jié)構(gòu)的多級(jí)分布管理體系中,許可證管理單元為根節(jié)點(diǎn),上級(jí)代理許可證管理單元為父節(jié)點(diǎn),下級(jí)代理許可證管理單元為子節(jié)點(diǎn);同屬于一個(gè)父節(jié)點(diǎn)的代理許可證管理單元之間互為兄節(jié)點(diǎn);同屬于一層的代理許可證管理單元之間互為表兄節(jié)點(diǎn)。4、根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,在所述多級(jí)分布管理體系中,所述許可證管理單元,進(jìn)一步用于發(fā)布根許可證給二級(jí)代理許可證管理單元;二級(jí)代理許可證管理單元,進(jìn)一步用于發(fā)布二級(jí)許可證給三級(jí)代理許可證管理單元;各級(jí)別的許可證的發(fā)布采取鏈?zhǔn)浇Y(jié)構(gòu),且按照發(fā)布次序順延。5、根據(jù)權(quán)利要求l所述的系統(tǒng),其特征在于,所述代理許可證管理單元,進(jìn)一步用于將所述許可證中的權(quán)限信息授予給所述終端,且當(dāng)前代理許可證管理單元授予給終端使用的權(quán)限信息為所述許可證管理單元授予給所述當(dāng)前代理許可證管理單元使用的權(quán)限信息的子集。6、根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的系統(tǒng),其特征在于,所述系統(tǒng)進(jìn)一步包括內(nèi)容管理中心和代理內(nèi)容管理中心;其中,所述許可證管理單元,具體用于生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給所述加密機(jī);生成許可證并發(fā)送給所述代理許可證管理單元;加密機(jī),具體用于向所述許可證管理單元申請(qǐng)并獲取到密鑰的種子和內(nèi)容標(biāo)識(shí);生成密鑰標(biāo)識(shí);建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表;根據(jù)所述密鑰標(biāo)識(shí)和所述種子生成內(nèi)容加密密鑰CEK;將加密后的數(shù)字內(nèi)容發(fā)送到所述內(nèi)容管理中心,將密鑰標(biāo)識(shí)、內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表以及內(nèi)容的權(quán)限信息返回所述許可證管理單元;所述內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表用于保證在所述加密機(jī)和所述解密機(jī)兩側(cè)實(shí)現(xiàn)加密/解密同步;代理許可證管理單元,具體用于從上一級(jí)許可證管理單元獲取到所述許可證,發(fā)送所述解密機(jī)需要的內(nèi)容許可證;所述內(nèi)容許可證包括使用的權(quán)限信息和所述CEK;內(nèi)容管理中心,具體用于將加密后的數(shù)字內(nèi)容推送給所述代理內(nèi)容管理中心;所述代理內(nèi)容管理中心,具體用于將所述加密后的數(shù)字內(nèi)容推送給終端中的所述解密機(jī);所述解密機(jī),具體用于驗(yàn)證所述權(quán)限信息,根據(jù)所述CEK對(duì)所述加密后的數(shù)字內(nèi)容解密。7、根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,代理許可證管理單元,還用于上報(bào)日志,并向所述許可證管理單元申請(qǐng)?jiān)S可證更新,所述許可證管理單元還用于審核通過上報(bào)的日志,并下發(fā)許可證更新;所述許可證管理單元為注冊(cè)終端或代理許可證管理單元提供在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。8、根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述許可證管理單元進(jìn)一步包括安全管理器、內(nèi)容標(biāo)識(shí)管理模塊、密鑰標(biāo)識(shí)管理模塊、代理許可證管理模塊、內(nèi)容許可證管理模塊和曰志管理模塊;其中,安全管理器,用于負(fù)責(zé)許可證管理單元的安全和對(duì)外的安全通信,完成身份認(rèn)證、訪問控制、版權(quán)控制與解析、設(shè)備安全控制和數(shù)字內(nèi)容的加解密;內(nèi)容標(biāo)識(shí)管理模塊,用于管理內(nèi)容標(biāo)識(shí);密鑰標(biāo)識(shí)管理模塊,用于管理密鑰標(biāo)識(shí);代理許可證管理模塊,用于保存和更新代理許可證;內(nèi)容許可證管理模塊,用于保存和更新內(nèi)容許可證;所述更新包括生成、刪除和修改三項(xiàng)內(nèi)容;曰志管理模塊,用于對(duì)代理許可證管理單元提交的日志進(jìn)行完整性檢測,以及對(duì)代理許可證管理單元的操作進(jìn)行審核;所述日志管理模塊支持在線許可證服務(wù)和離線許可證服務(wù)兩種管理方式。9、根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述代理許可證管理模塊,進(jìn)一步用于遵循代理許可證的生成原則生成所述代理許可證;所述代理許可證的生成原則為對(duì)于根許可證釆用沒有限制默認(rèn)為允許的原則;對(duì)于二級(jí)許可證以及其下級(jí)許可證采用沒有允許的就是禁止的原則。10、根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述內(nèi)容許可證管理模塊,進(jìn)一步用于遵循內(nèi)容許可證的生成原則生成所述內(nèi)容許可證;所述內(nèi)容許可證的生成原則為對(duì)于全部權(quán)利都沒有的采用默認(rèn)為全部不禁止的原則;對(duì)于存在的一項(xiàng)權(quán)利釆用沒有允許的就是禁止的原則;生成的所述內(nèi)容許可證是權(quán)利人的權(quán)限信息的子集,同時(shí)是本級(jí)代理許可證中權(quán)限信息的子集。11、一種許可證多級(jí)管理方法,其特征在于,該方法包括代理許可證管理單元向許可證管理單元申請(qǐng)?jiān)S可證;代理許可證管理單元獲取到申請(qǐng)的許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。12、根據(jù)權(quán)利要求11所述的方法,其特征在于,該方法具體包括以下步驟:Al、許可證管理單元生成數(shù)字內(nèi)容加密密鑰的種子,發(fā)送給加密機(jī);A2、加密機(jī)生成密鑰標(biāo)識(shí),并根據(jù)所述密鑰標(biāo)識(shí)和種子生成CEK;加密機(jī)將內(nèi)容的權(quán)限信息返回所述許可證管理單元;加密機(jī)將用所述CEK加密后的數(shù)字內(nèi)容發(fā)送到內(nèi)容管理中心;A3、代理許可證管理單元向許可證管理單元上報(bào)日志并申請(qǐng)所述許可證,許可證管理單元審核通過所述日志后,將更新的許可證下發(fā)給所述代理許可證管理單元;A4、內(nèi)容管理中心將加密后的數(shù)字內(nèi)容通過代理內(nèi)容管理中心發(fā)送給終端;代理許可證管理單元發(fā)送解密機(jī)需要的內(nèi)容許可證給終端,所述解密機(jī)需要的內(nèi)容許可證包括解密機(jī)使用的權(quán)限信息和所述CEK;A5、終端驗(yàn)證所述權(quán)限信息,根據(jù)所述CEK對(duì)所述加密后的數(shù)字內(nèi)容解密。13、根據(jù)權(quán)利要求12所述的方法,其特征在于,步驟A2中還包括加密機(jī)向所述許可證管理單元申請(qǐng)并獲得內(nèi)容標(biāo)識(shí),建立內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表并返回許可證管理單元;步驟A3中還包括許可證管理單元將選擇的數(shù)字內(nèi)容及所述內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表下發(fā)給代理許可證管理單元,代理許可證管理單元根據(jù)所述選擇的數(shù)字內(nèi)容相對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),以及內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表獲取到密鑰標(biāo)識(shí),根據(jù)種子和密鑰標(biāo)識(shí)生成CEK提供給解密機(jī)解密,完成在所述加密機(jī)和所述解密機(jī)兩側(cè)的加密/解密同步。14、根據(jù)權(quán)利要求11至13中任一項(xiàng)所述的方法,其特征在于,當(dāng)所述許可證為代理許可證時(shí),步驟A3中,所述代理許可證的生成過程具體包括以下步驟A311、所述許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書的合法性和有效性;A312、許可證管理單元檢測安全日志,并檢測終端提供的安全日志的合法性和完整性;A313、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放給所述代理許可證管理單元的數(shù)字內(nèi)容,提供與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí)與密鑰標(biāo)識(shí)的對(duì)應(yīng)表;A314、許可證管理單元審核權(quán)限,并核實(shí)代理許可證管理單元的權(quán)限;A315、許可證管理單元加密種子,并用代理許可證管理單元數(shù)字證書中的公鑰對(duì)種子進(jìn)行加密;A316、許可證管理單元按照開放的數(shù)字權(quán)利語言模板生成代理許可證。15、根據(jù)權(quán)利要求11至13中任一項(xiàng)所述的方法,其特征在于,當(dāng)所述許可證為內(nèi)容許可證時(shí),步驟A3中,所述內(nèi)容許可證的生成過程具體包括以下步驟A321、所述許可證管理單元驗(yàn)證身份,并檢測終端的數(shù)字證書或權(quán)限密鑰的合法性和有效性;A322、許可證管理單元選擇數(shù)字內(nèi)容,并選擇發(fā)放內(nèi)容許可證的數(shù)字內(nèi)容;A323、許可證管理單元審核權(quán)限,并根據(jù)內(nèi)容許可證的生成原則審核權(quán)限;A324、許可證管理單元生成CEK,并根據(jù)與當(dāng)前選擇的數(shù)字內(nèi)容所對(duì)應(yīng)的內(nèi)容標(biāo)識(shí),檢索到對(duì)應(yīng)的密鑰標(biāo)識(shí),生成CEK,根據(jù)終端數(shù)字證書中的公鑰或終端的權(quán)限密鑰加密CEK;A325、許可證管理單元按照開放的數(shù)字權(quán)利語言模板生成內(nèi)容許可證。全文摘要本發(fā)明公開了一種許可證多級(jí)管理系統(tǒng),該系統(tǒng)包括許可證管理單元、內(nèi)容打包單元中的加密機(jī)和終端中的解密機(jī),該系統(tǒng)還包括代理許可證管理單元;其中,代理許可證管理單元,用于向許可證管理單元申請(qǐng)并獲取到許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。本發(fā)明還公開了一種許可證多級(jí)管理方法,該方法包括代理許可證管理單元向許可證管理單元申請(qǐng)并獲取到許可證,根據(jù)許可證中的權(quán)限信息對(duì)局域網(wǎng)內(nèi)的至少一個(gè)終端統(tǒng)一管理,并實(shí)現(xiàn)許可證的多級(jí)管理。采用本發(fā)明的系統(tǒng)及方法,能滿足用戶的個(gè)性化需求,并能完成數(shù)字內(nèi)容的使用權(quán)利的繼承、遷移、轉(zhuǎn)讓和多級(jí)許可分發(fā)的一系列問題。文檔編號(hào)H04L9/08GK101442404SQ200810246628公開日2009年5月27日申請(qǐng)日期2008年12月30日優(yōu)先權(quán)日2008年12月30日發(fā)明者肖正秀,陳普貴申請(qǐng)人:北京中企開源信息技術(shù)有限公司