專利名稱:基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)及管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字信息網(wǎng)絡(luò)技術(shù)領(lǐng)域,涉及數(shù)字媒體管理技術(shù)���,特別涉及一 種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)及管理方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,數(shù)字媒體技術(shù)應(yīng)用而生�����。由于數(shù)字媒體技 術(shù)具有傳輸質(zhì)量高、范圍廣�����、傳輸速度快等優(yōu)勢�,且可以在互聯(lián)網(wǎng)、有線電視 網(wǎng)���、無線網(wǎng)絡(luò)等進(jìn)行傳輸��,得到了眾多用戶的喜愛�����,可以預(yù)見�,數(shù)字媒體將越 來越多地走入大眾的日常生活�����,具有非常廣闊的市場前景���。
在數(shù)字媒體的應(yīng)用中����,出于對數(shù)字媒體服務(wù)提供商的利益的考慮,應(yīng)當(dāng)只 有合法的用戶����,例如經(jīng)過數(shù)字媒體服務(wù)商許可的用戶,才能獲得和接收該數(shù)字 媒體服務(wù)提供商所提供的數(shù)字媒體內(nèi)容�,現(xiàn)有技術(shù)中是通過采用"賬號+密碼" 的方式將數(shù)字^^某體內(nèi)容提供給指定的某些用戶,然而���,由于網(wǎng)絡(luò)的開放性��,非 法的用戶可能截取在網(wǎng)絡(luò)中傳輸?shù)臄?shù)字媒體數(shù)據(jù)���,侵害該數(shù)字媒體服務(wù)提供商 以及合法用戶的利益,此外��,非法的入侵者可能通過在互聯(lián)網(wǎng)等有線網(wǎng)絡(luò)以及 無線網(wǎng)絡(luò)中通過偽造成數(shù)字媒體服務(wù)器�����、插入分發(fā)非法的數(shù)字媒體來侵害合法 用戶的利益�,而用戶無法得知向其提供數(shù)字媒體資源服務(wù)的數(shù)字媒體服務(wù)器的 合法性,甚至于可能影響用戶對從網(wǎng)絡(luò)獲取數(shù)字媒體資源的信任程度�,影響數(shù) 字媒體技術(shù)領(lǐng)域的長遠(yuǎn)發(fā)展����。另外�,目前的數(shù)字媒體應(yīng)用尚未規(guī)?���;F(xiàn)有技 術(shù)中的這種對數(shù)字媒體的管理方式雖然能夠在一定程度上解決數(shù)字媒體資源在 分發(fā)����、傳輸中的管理,但是不具有對大規(guī)模數(shù)字媒體網(wǎng)絡(luò)的管理能力�����,在規(guī)模 化的數(shù)字媒體網(wǎng)絡(luò)中�����,將存在不同的數(shù)字媒體服務(wù)提供商建立的不同的數(shù)字媒 體服務(wù)器��,從長遠(yuǎn)發(fā)展趨勢而言��,數(shù)字媒體提供服務(wù)器的增多勢必會(huì)在一定程 度上增加監(jiān)管機(jī)構(gòu)的監(jiān)管難度���,因此���,建立一個(gè)統(tǒng)一的管理機(jī)構(gòu)對各個(gè)數(shù)字媒 體服務(wù)提供商和用戶進(jìn)行統(tǒng)一的認(rèn)證和管理成為一種發(fā)展趨勢����,現(xiàn)有技術(shù)中尚未有一個(gè)統(tǒng)一的數(shù)字媒體管理系統(tǒng)及管理方法對各個(gè)數(shù)字媒體服務(wù)提供商和各 個(gè)用戶進(jìn)行統(tǒng)一管理�。
發(fā)明內(nèi)容
針對上述現(xiàn)有技術(shù)中存在的問題,本發(fā)明的目的在于提供一種基于數(shù)字證 書的數(shù)字媒體管理系統(tǒng)以及管理方法�����,其可以實(shí)現(xiàn)用戶端與々某體提供服務(wù)器之 間的相互���、雙向的認(rèn)證鑒別�,提高用戶端與媒體提供服務(wù)器之間的數(shù)字媒體應(yīng) 用的安全性�����,且可以實(shí)現(xiàn)對用戶端與媒體提供服務(wù)器的統(tǒng)一認(rèn)證過程����。
為達(dá)到上述目的,本發(fā)明采用以下技術(shù)方案
一種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)����,包括鑒別服務(wù)器���、媒體提供服務(wù) 器�����、以及用戶端
對應(yīng)的媒體提供服務(wù)器證書私鑰�,為所述用戶端頒發(fā)用戶端證書及對應(yīng)的用戶 端證書私鑰,將對應(yīng)的媒體提供服務(wù)器身份信息��、用戶端身份信息予以儲(chǔ)存��, 接收所述媒體提供服務(wù)器發(fā)送的鑒別請求消息�,生成鑒別響應(yīng)消息,用鑒別服 務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向所述媒體提供服務(wù)器發(fā)送���,所述媒體
息����,所述用戶端證書包括用戶端證書公鑰和所述用戶端身^f分信息���;
所述用戶端��,用于根據(jù)所述用戶端證書��、所生成的用戶端新鮮性標(biāo)識構(gòu)建 接入請求消息�����,用所述用戶端證書私鑰對該接入請求消息簽名后向所述媒體提 供服務(wù)器發(fā)送����,接收所述媒體提供服務(wù)器發(fā)送的接入響應(yīng)消息,根據(jù)所述接入 響應(yīng)消息中的主密鑰�、所述用戶端新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識產(chǎn) 生消息鑒別密鑰和業(yè)務(wù)密鑰�,根據(jù)所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù) 器新鮮性標(biāo)識生成接入確認(rèn)消息����,根據(jù)所述消息鑒別密鑰、所述接入確認(rèn)消息 計(jì)算接入確認(rèn)消息的消息鑒別碼���,并將該接入確認(rèn)消息的消息鑒別碼附加在所 述接入確認(rèn)消息后向所述媒體提供服務(wù)器發(fā)送�����;
所述媒體提供服務(wù)器�,用于接收所述接入請求消息,根據(jù)所述用戶端證書�����、所述媒體提供服務(wù)器證書�����、所述用戶端新鮮性標(biāo)識���、生成的所述^某體提供服務(wù) 器新鮮性標(biāo)識構(gòu)建所述鑒別請求消息,并用所述媒體提供服務(wù)器證書私鑰對該 鑒別請求消息簽名后向所述鑒別服務(wù)器發(fā)送���,接收所述鑒別響應(yīng)消息�,根據(jù)所 述鑒別響應(yīng)消息���、所述媒體提供服務(wù)器證書�����、所述主密鑰構(gòu)建接入響應(yīng)消息��, 并用所述媒體提供服務(wù)器證書私鑰對該接入響應(yīng)消息簽名后向所述用戶端發(fā) 送��,接收所述接入確認(rèn)消息����,并驗(yàn)證所述接入確認(rèn)消息的有效性。
一種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)的管理方法���,所述數(shù)字媒體管理系 統(tǒng)包括鑒別服務(wù)器����、媒體提供服務(wù)器以及用戶端���,所述管理方法包括步驟
所述鑒別服務(wù)器為所述媒體提供服務(wù)器頒發(fā)媒體提供服務(wù)器證書���、媒體提
供服務(wù)器證書私鑰,為所述用戶端頒發(fā)用戶端證書�����、用戶端i正書私鑰��;
所述用戶端產(chǎn)生用戶端新鮮性標(biāo)識并予以儲(chǔ)存��,并根據(jù)用戶端信息�����、所述 用戶端證書、所述用戶端新鮮性標(biāo)識生成接入請求消息�����,并用所述用戶端證書 私鑰對該接入請求消息簽名后向所述媒體提供服務(wù)器發(fā)送��;
所述媒體提供服務(wù)器接收用所述用戶端證書私鑰簽名的所述接入請求消 息���,產(chǎn)生媒體提供服務(wù)器新鮮性標(biāo)識并予以儲(chǔ)存,根據(jù)所述用戶端證書����、所述 媒體提供服務(wù)器證書、所述用戶端新鮮性標(biāo)識���、所述媒體提供服務(wù)器新鮮性標(biāo) 識組成鑒別請求消息��,并用所述媒體提供服務(wù)器證書私鑰對所述鑒別請求消息 簽名后向所述鑒別服務(wù)器發(fā)送���;
所述鑒別服務(wù)器接收用所述服務(wù)器證書私鑰簽名的所述鑒別請求消息,驗(yàn) 證所述鑒別請求消息的有效性���,根據(jù)驗(yàn)證結(jié)果構(gòu)建鑒別響應(yīng)消息�����,并用所述鑒 別服務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向所述媒體提供服務(wù)器發(fā)送�����;
所述媒體提供服務(wù)器接收所述鑒別響應(yīng)消息�����,驗(yàn)證所述鑒別響應(yīng)消息的有 效性���,產(chǎn)生隨機(jī)數(shù)主密鑰�,根據(jù)所述主密鑰�、所述鑒別響應(yīng)消息、所述媒體提 供服務(wù)器證書構(gòu)造接入響應(yīng)消息��,并用所述媒體提供服務(wù)器證書私鑰對該接入 響應(yīng)消息簽名后向所述用戶端發(fā)送���;所述用戶端接收所述接入響應(yīng)消息��,驗(yàn)證所述接入響應(yīng)消息的有效性��,并 根據(jù)所述主密鑰����、所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識推 導(dǎo)生成消息鑒別密鑰和業(yè)務(wù)密鑰�����,構(gòu)建接入確認(rèn)消息��,使用所述消息鑒別密鑰�����、 所述接入確認(rèn)消息計(jì)算4妻入確認(rèn)消息的消息鑒別碼�����,并將該接入確認(rèn)消息的消
息鑒別碼附于所述接入確認(rèn)消息后向所述媒體提供服務(wù)器發(fā)送�����;
所述媒體提供服務(wù)器接收所述接入確認(rèn)消息���,根據(jù)所述主密鑰���、所述用戶 端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識推導(dǎo)生成所述消息鑒別密鑰和 所述業(yè)務(wù)密鑰����,并根據(jù)所述消息鑒別密鑰、所述用戶端新鮮性標(biāo)識���、所述媒體 提供服務(wù)器新鮮性標(biāo)識�����、所述主密鑰信息判斷所述接入確認(rèn)消息的有效性���。
根據(jù)上述本發(fā)明的方案,其由第三方機(jī)構(gòu)鑒別服務(wù)器統(tǒng)一為各用戶端��、媒 體提供服務(wù)器頒發(fā)證書及對應(yīng)的證書私鑰���,用戶端根據(jù)鑒別服務(wù)器為其頒發(fā)的 證書���,可以以同 一個(gè)身份訪問不同的數(shù)字媒體服務(wù)提供商的媒體提供服務(wù)器, 無需在每次訪問一個(gè)新的i某體提供服務(wù)器時(shí)都進(jìn)行注冊�����,因此,用戶可以在不 進(jìn)行多余的注冊操作的情況下即可享受不同的媒體提供服務(wù)器所提供的數(shù)字媒 體服務(wù)��,此外�����,在用戶端接入網(wǎng)絡(luò)時(shí)�,由鑒別服務(wù)器對用戶端與媒體提供服務(wù) 器的身份進(jìn)行認(rèn)證,實(shí)現(xiàn)統(tǒng)一認(rèn)證過程�����,使得用戶端�、媒體提供服務(wù)器二者的 身份均得到了認(rèn)證,避免了非法的數(shù)字媒體服務(wù)提供者向用戶提供非法的數(shù)字 媒體內(nèi)容�,并避免了非法的用戶獲得合法的數(shù)字媒體內(nèi)容,提高了用戶端與媒
體提供服務(wù)器之間的數(shù)字媒體應(yīng)用的安全性����,另外��,根據(jù)本發(fā)明的方案��,媒體 提供服務(wù)器具有獨(dú)立的身份,從而使得媒體提供服務(wù)器的身份可被區(qū)分�����,方便 管理機(jī)構(gòu)的監(jiān)管�����,同時(shí)�,用戶端、媒體提供服務(wù)器�、鑒別服務(wù)器之間在接入和 鑒別過程中的通信無需經(jīng)過額外的安全信道,這相對于日益廣泛的數(shù)字々某體技 術(shù)領(lǐng)域來說����,是管理以及運(yùn)營模式上的改進(jìn)和突破。
圖1是本發(fā)明的數(shù)字媒體管理系統(tǒng)實(shí)施例一的總體結(jié)構(gòu)示意圖���; 圖2是本發(fā)明的數(shù)字媒體管理系統(tǒng)實(shí)施例二的總體結(jié)構(gòu)示意圖���;圖3是本發(fā)明具體實(shí)施例 一 中的數(shù)字媒體管理系統(tǒng)的結(jié)構(gòu)示意圖; 圖4是本發(fā)明具體實(shí)施例二中的數(shù)字媒體管理系統(tǒng)的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
本發(fā)明的基于凄t字證書的數(shù)字媒體管理系統(tǒng),通過鑒別服務(wù)器統(tǒng)一實(shí)現(xiàn)對 用戶端�����、媒體提供服務(wù)器的證書以及與該證書對應(yīng)的證書私鑰的頒發(fā),實(shí)現(xiàn)對 用戶端��、媒體提供服務(wù)器的狀態(tài)維護(hù)��、證書驗(yàn)證以及用戶端和媒體提供服務(wù)器 的身份有效性的管理���。
參見圖l所示�����,是本發(fā)明的基于數(shù)字證書的數(shù)字々某體管理系統(tǒng)實(shí)施例一中 的總體結(jié)構(gòu)示意圖��,其包括有鑒別服務(wù)器����、與該鑒別服務(wù)器連接的媒體提供服 務(wù)器以及與該媒體提供服務(wù)器連接的用戶端���,其中����,媒體提供服務(wù)器可通過互 聯(lián)網(wǎng)或者專用網(wǎng)絡(luò)接入鑒別服務(wù)器��,該媒體提供服務(wù)器主要用于為用戶端提供
相關(guān)數(shù)字媒體資源并進(jìn)行控制��,用戶端可通過有線或者無線網(wǎng)絡(luò)方式連接到媒 體提供服務(wù)器���,該用戶端可以是手機(jī)�����、PC機(jī)���、筆記本電腦等設(shè)備或軟件。
參見圖2所示����,是本發(fā)明的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)實(shí)施例二的 總體結(jié)構(gòu)示意圖,其包括有鑒別服務(wù)器�、與該鑒別服務(wù)器相連接的多個(gè)媒體提 供服務(wù)器、以及與各^某體提供服務(wù)器連接的至少一個(gè)用戶端�,其中,媒體提供 服務(wù)器可通過互聯(lián)網(wǎng)或者專用網(wǎng)絡(luò)接入鑒別服務(wù)器�����,該媒體提供服務(wù)器主要用
于為用戶端提供相關(guān)數(shù)字媒體資源并進(jìn)行控制,用戶端可通過有線或者無線網(wǎng) 絡(luò)方式連接到々某體提供服務(wù)器����,且用戶端可以接入多個(gè)不同的媒體提供服務(wù)器, 該用戶端可以是手機(jī)�、PC機(jī)、筆記本電腦等設(shè)備或軟件����。
根據(jù)本發(fā)明的數(shù)字媒體管理系統(tǒng),其中
鑒別服務(wù)器�,用于為媒體提供服務(wù)器頒發(fā)用鑒別服務(wù)器證書私鑰簽名的媒 體提供服務(wù)器證書及對應(yīng)的媒體提供服務(wù)器證書私鑰,為用戶端頒發(fā)用鑒別服 務(wù)器證書私鑰簽名的用戶端證書及對應(yīng)的用戶端證書私鑰��,并將該々某體提供月良 務(wù)器證書對應(yīng)的媒體提供服務(wù)器身份信息�、該用戶端證書對應(yīng)的用戶端身份信 息予以儲(chǔ)存,該身份信息可以是證書頒發(fā)者信息�、證書持有者信息、該證書編碼等信息����,并根據(jù)鑒別服務(wù)器證書私鑰、媒體提供服務(wù)器證書�����、用戶端證書對 媒體提供服務(wù)器所發(fā)送的鑒別請求消息進(jìn)行有效性驗(yàn)證,生成鑒別響應(yīng)消息��, 并用鑒別服務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向媒體提供服務(wù)器發(fā)送�,其 中�,媒體提供服務(wù)器證書中包括有媒體提供服務(wù)器證書公鑰以及上述媒體提供 服務(wù)器身份信息,用戶端證書中包括有用戶端證書公鑰以及上迷用戶端身份信
息����;
用戶端,用于產(chǎn)生用戶端新鮮性標(biāo)識信息��,該用戶端新鮮性標(biāo)識可以是時(shí) 戳���、隨機(jī)數(shù)或順序號等可以用來標(biāo)識是新發(fā)起的請求的標(biāo)識性信息���,通常可以 將隨機(jī)數(shù)作為該用戶端新鮮性標(biāo)識���,并根據(jù)用戶端信息��、用戶端證書���、該用戶 端新鮮性標(biāo)識生成接入請求信息,并在使用用戶端證書私鑰對該接入請求消息 簽名后向媒體提供服務(wù)器發(fā)送,同時(shí)���,該用戶端還接收媒體提供服務(wù)器發(fā)送的 接入響應(yīng)消息�����,根據(jù)鑒別服務(wù)器證書公鑰���、媒體提供服務(wù)器證書公鑰以及上述 用戶端新鮮性標(biāo)識判斷該接入響應(yīng)消息的有效性,并根據(jù)媒體提供服務(wù)器產(chǎn)生 的主密鑰和媒體提供服務(wù)器新鮮性標(biāo)識��、以及用戶端新鮮性標(biāo)識產(chǎn)生消息鑒別 密鑰和業(yè)務(wù)密鑰��,根據(jù)用戶端身份信息�����、媒體提供服務(wù)器身份信息�、用戶端新 鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識���、接入響應(yīng)消息中的主密鑰信息生成接 入確認(rèn)消息��,根據(jù)所述消息鑒別密鑰����、該接入確認(rèn)消息計(jì)算接入確認(rèn)消息的消 息鑒別碼,并將該接入確認(rèn)消息的消息鑒別碼附加于所述接入確認(rèn)消息后向所 述媒體提供服務(wù)器發(fā)送�����;
媒體提供服務(wù)器�,用于接收并解析用戶端發(fā)送的所述接入請求消息�,根據(jù) 用戶端證書公鑰、鑒別服務(wù)器證書公鑰驗(yàn)證該接入請求消息簽名的有效性�����,生 成媒體提供服務(wù)器新鮮性標(biāo)識�,該媒體提供服務(wù)器新鮮性標(biāo)識可以是時(shí)戳、隨 機(jī)數(shù)或順序號等可以用來標(biāo)識是新發(fā)起的請求的標(biāo)識性信息�����,通?����?梢詫㈦S機(jī) 數(shù)作為該媒體提供服務(wù)器新鮮性標(biāo)識�,并根據(jù)用戶端證書��、媒體提供服務(wù)器證 書��、用戶端新鮮性標(biāo)識����、該媒體提供服務(wù)器新鮮性標(biāo)識構(gòu)建鑒別請求消息���,并 用媒體提供服務(wù)器證書私鑰對該鑒別請求消息簽名后向鑒別服務(wù)器發(fā)送����,同時(shí)����, 該媒體提供服務(wù)器還接收鑒別服務(wù)器發(fā)送的鑒別響應(yīng)消息,根據(jù)鑒別服務(wù)器證 書公鑰�、用戶端新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識驗(yàn)證鑒別服務(wù)器所發(fā)送的該鑒別響應(yīng)消息的有效性�����,產(chǎn)生主密鑰���,使用用戶端證書公鑰對該主密鑰 加密形成主密鑰密文��,根據(jù)該鑒別響應(yīng)消息����、媒體提供服務(wù)器證書����、該主密鑰 密文、相關(guān)主密鑰信息構(gòu)建接入響應(yīng)消息��,并在用媒體提供服務(wù)器證書私鑰對 該接入響應(yīng)消息簽名后向用戶端發(fā)送���,接收用戶端發(fā)送的接入確認(rèn)消息,并根 據(jù)主密鑰�、用戶端新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識����、主密鑰信息-瞼證
該接入確認(rèn)消息的有效性;
參見圖3所示�,是本發(fā)明具體實(shí)施例一中的基于數(shù)字證書的數(shù)字媒體管理 系統(tǒng)的具體結(jié)構(gòu)示意圖,如圖所示��,在本實(shí)施例中
本實(shí)施例中的鑒別服務(wù)器具體包括
第三注冊模塊���,用于接收所述媒體提供服務(wù)器����、所述用戶端的注冊請求消 息,為所述i某體提供服務(wù)器頒發(fā)用鑒別服務(wù)器證書私鑰簽名的所述媒體提供服 務(wù)器證書以及對應(yīng)的所述々某體提供服務(wù)器證書私鑰����,為所述用戶端頒發(fā)用鑒別 服務(wù)器證書私鑰簽名的所述用戶端證書以及對應(yīng)的所述用戶端證書私鑰;
與所述第三注冊模塊連接的第三存儲(chǔ)模塊�����,用于儲(chǔ)存所述鑒別服務(wù)器證書��、 所述鑒別服務(wù)器證書私鑰����、所述媒體提供服務(wù)器證書、所述用戶端證書���、所述 媒體提供服務(wù)器身份信息���、所述用戶端身份信息、以及注冊請求消息中的相關(guān) 信息�����,例如用戶端身份信息、媒體提供服務(wù)器身份信息等等����;
與所述第三存儲(chǔ)模塊、所述媒體提供服務(wù)器連接的有效性驗(yàn)證模塊���,用于 接收所述媒體提供服務(wù)器發(fā)送的所述鑒別請求消息,根據(jù)所述鑒別服務(wù)器證書 私鑰�、所述媒體提供服務(wù)器證書、所述用戶端證書對所述鑒別請求消息進(jìn)行有 效性驗(yàn)證�����,生成鑒別響應(yīng)消息���,并用所述鑒別服務(wù)器證書私鑰對所述鑒別響應(yīng) 消息簽名后向所述媒體提供服務(wù)器發(fā)送;
本實(shí)施例中的媒體提供服務(wù)器具體包括
第二存儲(chǔ)模塊�,用于儲(chǔ)存所述鑒別服務(wù)器證書、所述媒體提供服務(wù)器證書�、 所述媒體提供服務(wù)器證書私鑰、所述用戶端證書���、所述主密鑰���、所述消息鑒別密鑰�����、所述用戶端新鮮性標(biāo)識�、所述媒體提供服務(wù)器新鮮性標(biāo)識����、業(yè)務(wù)密鑰、 數(shù)字媒體資源等信息���;
與所述鑒別服務(wù)器��、所述用戶端���、所述第二存儲(chǔ)模塊連接的第二接入處理 模塊,用于接收并解析所述用戶端發(fā)送的所述接入請求消息����,構(gòu)建鑒別請求消 息并向所述鑒別服務(wù)器發(fā)送,接收并解析所述鑒別服務(wù)器發(fā)送的所述鑒別響應(yīng) 消息,構(gòu)建接入響應(yīng)消息��,接收并解析所述用戶端發(fā)送的所述接入確認(rèn)消息�����, 根據(jù)所述主密鑰�、所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識����、 生成所述消息鑒別密鑰和業(yè)務(wù)密鑰,并向業(yè)務(wù)管理;漠塊發(fā)送向用戶端打開數(shù)字
媒體資源平臺的消息�����;
與所述用戶端�、所述第二存儲(chǔ)模塊、所述第二接入處理模塊連接的業(yè)務(wù)管 理模塊���,用于接收向用戶端打開數(shù)字媒體資源平臺的消息�����,向所述用戶端打開 數(shù)字i某體資源平臺,接收并處理用戶端發(fā)送的業(yè)務(wù)請求消息;
與所述用戶端��、所述第二存儲(chǔ)模塊����、所述業(yè)務(wù)管理模塊連接的資源發(fā)送模 塊,用于從所述第二存儲(chǔ);漠塊中讀取數(shù)字媒體資源�,并用所述業(yè)務(wù)密鑰對該數(shù) 字媒體資源加密后向所述用戶端發(fā)送。
本實(shí)施例中的用戶端具體包括
第一存儲(chǔ)模塊��,用于儲(chǔ)存所述鑒別服務(wù)器證書�、所述媒體提供服務(wù)器證書、 所述用戶端證書��、所述用戶端證書私鑰�、所述主密鑰、所述消息鑒別密鑰���、業(yè) 務(wù)密鑰���、所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識等信息�;
與所述媒體提供服務(wù)器、所述第一存儲(chǔ)模塊連接的第一接入處理模塊��,用 于向所述媒體提供服務(wù)器發(fā)送所述接入請求消息,接收并解析所述媒體提供服 務(wù)器發(fā)送的所述接入響應(yīng)消息���,根據(jù)接入響應(yīng)消息構(gòu)建接入確認(rèn)消息����,根據(jù)所 述主密鑰����、所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識推導(dǎo)生成 所述消息鑒別密鑰和業(yè)務(wù)密鑰�,根據(jù)所述消息鑒別密鑰、所述接入確認(rèn)消息計(jì) 算接入確認(rèn)消息的消息鑒別碼���,并將該接入確認(rèn)消息的消息鑒別碼附加于所述 接入確認(rèn)消息后向媒體提供服務(wù)器發(fā)送���;與所述媒體提供服務(wù)器、所述第一存儲(chǔ)模塊連接的業(yè)務(wù)請求模塊����,用于根 據(jù)用戶所選擇的相關(guān)媒體資源信息構(gòu)建業(yè)務(wù)請求消息,并將該業(yè)務(wù)請求消息向 媒體提供服務(wù)器發(fā)送���;
與所述媒體提供服務(wù)器�、所述第一存儲(chǔ)模塊連接的資源接收模塊����,用于接 收所述媒體提供服務(wù)器發(fā)送的所述加密的數(shù)字媒體資源,并對該加密的數(shù)字々某 體資源進(jìn)行解密�,解密后的數(shù)字媒體資源提供給用戶進(jìn)行使用。
參見圖4所示���,是本發(fā)明具體實(shí)施例二中的基于數(shù)字證書的數(shù)字媒體管理
系統(tǒng)的具體結(jié)構(gòu)示意圖�。
在本實(shí)施例中�,考慮到對于不同的數(shù)字媒體的服務(wù)提供商而言,所采用的
安全性策略可能有所不同���,可以采用不同的注冊方式�����,例如對于某些數(shù)字媒 體的服務(wù)提供商而言�,其要求具備相當(dāng)高的安全性����,因此,其可能需要要求用 戶人工到相應(yīng)的注冊機(jī)構(gòu)進(jìn)行注冊����,獲得相關(guān)的用戶端證書以及對應(yīng)的證書私 鑰�,而對于其他的某些數(shù)字媒體的服務(wù)提供商而言�,可能只要求用戶通過網(wǎng)絡(luò) 進(jìn)行注冊獲得相關(guān)的用戶端證書及對應(yīng)的證書私鑰即可,因此�����,本實(shí)施例中���, 在媒體提供服務(wù)器中增加了第二注冊模塊���,在用戶端增加了第一注冊模塊,以 滿足這類數(shù)字媒體服務(wù)提供商的注冊需求����。
基于上述考慮,如圖所示���,在本實(shí)施例中��,與上述實(shí)施例一中的不同之處 主要在于
本實(shí)施例中的i某體提供服務(wù)器還包括
與所述用戶端���、所述鑒別服務(wù)器��、所述第二存儲(chǔ)模塊連接的第二注冊模塊�����, 用于向所述鑒別服務(wù)器發(fā)送媒體提供服務(wù)器注冊請求消息,向所述鑒別服務(wù)器 申請媒體提供服務(wù)器證書�、媒體提供服務(wù)器證書私鑰,并將所述鑒別服務(wù)器所 頒發(fā)的媒體提供服務(wù)器證書�、媒體提供服務(wù)器證書私鑰發(fā)送至所述第二存儲(chǔ)模 塊予以儲(chǔ)存,
所述媒體提供服務(wù)器的第二注冊模塊還用于將接收到的所述用戶端發(fā)送的用戶端注冊請求消息向所述鑒別服務(wù)器轉(zhuǎn)發(fā)���; 本實(shí)施例中的用戶端還包括
與所述媒體提供服務(wù)器�����、所述第一存儲(chǔ)模塊連接的第一注冊模塊�����,用于通 過所述士某體提供服務(wù)器向所述鑒別服務(wù)器發(fā)送用戶端注冊請求消息����,并將鑒別 服務(wù)器所頒發(fā)的所述用戶端證書���、所述用戶端證書私鑰發(fā)送至所述第 一存儲(chǔ)件莫 塊予以儲(chǔ)存����。
本實(shí)施例中的其他技術(shù)特征與上迷實(shí)施例一中的相同,在此不予贅述����。
以下針對本發(fā)明的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)的管理流程進(jìn)行詳細(xì) 描述。
在具體應(yīng)用本發(fā)明的數(shù)字媒體管理系統(tǒng)進(jìn)行管理時(shí)����,各々某體提供服務(wù)器、 各用戶端應(yīng)首先向婆別服務(wù)器申請頒發(fā)證書及對應(yīng)的證書私鑰�。其中,該鑒別 服務(wù)器本地持有一個(gè)鑒別服務(wù)器證書����,該鑒別服務(wù)器證書的私鑰用于對頒發(fā)給 媒體提供服務(wù)器、用戶端的證書進(jìn)行簽名���,并維護(hù)證書有效性的相關(guān)信息��,例 如吊銷列表等等�。
在進(jìn)行具體注冊時(shí),如上所述��,由于各數(shù)字媒體的服務(wù)提供商所采用的安 全性策略的不同�����,可以采用不同的注冊方式���,例如對于某些數(shù)字媒體的服務(wù) 提供商而言�����,其可能會(huì)要求用戶人工到相應(yīng)的注冊機(jī)構(gòu)進(jìn)行注冊,獲得相關(guān)的 證書以及對應(yīng)的證書私鑰�����,對于這一類型的注冊方式在此不予多加贅述�,而對 于其他的某些數(shù)字媒體的服務(wù)提供商而言,可能只要求直接通過網(wǎng)絡(luò)進(jìn)行相關(guān) 的注冊即可�。
下面以上述實(shí)施例二中、附圖4中所示的本發(fā)明的基于數(shù)字證書的數(shù)字媒 體管理系統(tǒng)為例對通過網(wǎng)絡(luò)進(jìn)行注冊的流程進(jìn)行說明�����。
在媒體提供服務(wù)器向鑒別服務(wù)器申請注冊獲得媒體提供服務(wù)器證書及對應(yīng) 的私鑰時(shí)媒體提供服務(wù)器通過第二注冊模塊向鑒別服務(wù)器發(fā)送媒體提供服務(wù)器注冊 請求消息,該媒體提供服務(wù)器注冊請求消息中可包括有媒體提供服務(wù)器身份信
息等信息���;
鑒別服務(wù)器的第三注冊模塊接收到該媒體提供服務(wù)器注冊請求消息后��,為 該媒體提供服務(wù)器頒發(fā)用鑒別服務(wù)器證書私鑰簽名的媒體提供服務(wù)器證書及對
應(yīng)的媒體提供服務(wù)器證書私鑰�,該媒體提供服務(wù)器證書中包括有媒體提供服務(wù) 器證書公鑰以及對應(yīng)的媒體提供服務(wù)器身份信息����,該媒體提供服務(wù)器身份信息 中包括有證書頒發(fā)者、證書持有者���、證書編號等信息�,并將媒體提供服務(wù)器注 冊請求消息中的相關(guān)注冊信息��、以及媒體提供服務(wù)器身份信息發(fā)送至第三存儲(chǔ) 模塊予以儲(chǔ)存�����,并將上述媒體提供服務(wù)器證書以及對應(yīng)的媒體提供服務(wù)器證書
私鑰�����、鑒別服務(wù)器證書等信息向媒體提供服務(wù)器發(fā)送����;
媒體提供服務(wù)器的第二注冊模塊接收到鑒別服務(wù)器發(fā)送的上述媒體提供服 務(wù)器證書����、媒體提供服務(wù)器證書私鑰以及鑒別服務(wù)器證書等信息后�,發(fā)送至第 二存儲(chǔ)模塊予以儲(chǔ)存。
在用戶端向筌別服務(wù)器申請注冊獲得用戶端證書及對應(yīng)的私鑰時(shí)
用戶端的第一注冊模塊向媒體提供服務(wù)器發(fā)送用戶端注冊請求消息�,該用 戶端注冊請求消息中可包括有用戶端身份信息等信息;
媒體提供服務(wù)器的第二注冊模塊接收到所述用戶端注冊請求消息后�����,將該 用戶端注冊請求消息向鑒別iE務(wù)器轉(zhuǎn)發(fā)�����;
鑒別服務(wù)器的第三注冊模塊接收到該用戶端注冊請求消息后��,為該用戶端 頒發(fā)用鑒別服務(wù)器證書私鑰簽名的用戶端證書及對應(yīng)的用戶端證書私鑰����,該用 戶端證書中包括有用戶端證書公鑰��,并將用戶端注冊請求消息中的相關(guān)注冊信 息���、以及對應(yīng)的用戶端身份信息發(fā)送至第三存儲(chǔ)模塊予以儲(chǔ)存����,并將上述用戶 端證書以及對應(yīng)的用戶端證書私鑰、鑒別服務(wù)器證書等信息向媒體提供服務(wù)器 發(fā)送����;媒體提供服務(wù)器的第二注冊模塊接收到上述信息后,向用戶端轉(zhuǎn)發(fā)���,用戶 端的第 一注冊模塊接收后發(fā)送至第 一存儲(chǔ)模塊予以儲(chǔ)存���。
在各媒體提供服務(wù)器、用戶端已向鑒別服務(wù)器申請獲得了相應(yīng)的證書及對 應(yīng)的證書私鑰之后�,即可進(jìn)行后續(xù)的接入鑒別、身份驗(yàn)-i正����、建立業(yè)務(wù)連接等過 程。
以下以上述實(shí)施例一中�����、附圖3中所示的本發(fā)明的基于數(shù)字證書的數(shù)字媒 體管理系統(tǒng)為例對后續(xù)過程中的接入鑒別�、身份驗(yàn)證����、建立業(yè)務(wù)連接等管理流 程進(jìn)行詳細(xì)舉例說明����。
在用戶端與媒體提供服務(wù)器之間進(jìn)行數(shù)字媒體業(yè)務(wù)內(nèi)容的傳輸之前,用戶 端需要接入到媒體提供服務(wù)器����,用戶端接入媒體提供服務(wù)器的過程是一個(gè)媒體 提供服務(wù)器、用戶端以及鑒別服務(wù)器之間進(jìn)行消息交互的過程�,其主要過程為
用戶端接入媒體提供服務(wù)器網(wǎng)絡(luò),用戶端的第 一接入處理模塊產(chǎn)生一個(gè)用 戶端新鮮性標(biāo)識�����,該用戶端新鮮性標(biāo)識可用于標(biāo)識當(dāng)前所發(fā)送的請求是新發(fā)起 的請求�,該用戶端新鮮性標(biāo)識可以是時(shí)戳、隨機(jī)數(shù)���、或者是順序號等信息,通 ?����?梢赃x用隨枳4t來表示,并#4居用戶端信息�����、用戶端"^正書���、該用戶端新鮮性 標(biāo)識等信息生成接入請求消息�,并用用戶端證書私鑰對該4妾入請求消息簽名后 發(fā)送給需要向其提供數(shù)字媒體內(nèi)容服務(wù)的媒體提供服務(wù)器�;
媒體提供服務(wù)器的第二接入處理模塊接收到用戶端發(fā)送的上述接入請求消 息后
使用用戶端證書公鑰驗(yàn)證該接入請求消息簽名的有效性,并從第二存儲(chǔ)才莫 塊中讀取鑒別服務(wù)器證書���,使用鑒別服務(wù)器證書公鑰驗(yàn)證該接入請求消息中用 戶端證書簽名的有效性�,若任意一個(gè)驗(yàn)證失敗��,則該用戶端的接入過程失?�?��;若上述驗(yàn)證均通過��,則媒體提供服務(wù)器根據(jù)用戶端信息確定該用戶端的業(yè) 務(wù)權(quán)限以及使用規(guī)則����,確定用戶端的相關(guān)信息有效,并將用戶端新鮮性標(biāo)識發(fā) 送至第二存儲(chǔ)模塊予以儲(chǔ)存��,產(chǎn)生媒體提供服務(wù)器新鮮性標(biāo)識并將該媒體提供 服務(wù)器新鮮性標(biāo)識發(fā)送至第二存儲(chǔ)模塊予以儲(chǔ)存����,該媒體提供服務(wù)器新鮮性標(biāo) 識可用于標(biāo)識當(dāng)前所發(fā)送的消息是新發(fā)起的消息,該々某體提供服務(wù)器新鮮性標(biāo) 識可以是時(shí)戳��、隨機(jī)數(shù)或順序號等信息���,通?��?梢赃x用隨機(jī)數(shù)來進(jìn)行表示,并 根據(jù)用戶端證書���、媒體提供服務(wù)器證書���、用戶端新鮮性標(biāo)識、媒體提供服務(wù)器 新鮮性標(biāo)識生成鑒別請求消息���,并用媒體提供服務(wù)器證書私鑰對該鑒別請求消
息簽名后向鑒別服務(wù)器發(fā)送;
鑒別服務(wù)器接收到上述媒體提供服務(wù)器發(fā)送的上述鑒別請求消息后
鑒別服務(wù)器的有效性驗(yàn)證模塊使用媒體提供服務(wù)器證書公鑰驗(yàn)證該鑒別請 求消息的簽名的有效性�,從第三存儲(chǔ)模塊中讀取鑒別服務(wù)器證書私鑰��,使用鑒 別服務(wù)器證書私鑰驗(yàn)證々某體提供服務(wù)器證書以及用戶端證書的簽名的有效性��, 并通過判斷媒體提供服務(wù)器證書以及用戶端證書的有效期�����、吊銷信息���、使用用 途、使用策略等信息��,判斷對應(yīng)的證書的有效性�;
鑒別服務(wù)器的有效性驗(yàn)證模塊根據(jù)上述的驗(yàn)證結(jié)果,構(gòu)造媒體提供服務(wù)器 證書驗(yàn)證結(jié)果����、用戶端證書驗(yàn)證結(jié)果,并使用^ 某體提供服務(wù)器證書驗(yàn)證結(jié)果�����、 用戶端證書驗(yàn)證結(jié)果�、媒體提供服務(wù)器新鮮性標(biāo)識、用戶端新鮮性標(biāo)識���、用戶 端身份信息��、媒體提供服務(wù)器身份信息等信息構(gòu)建鑒別響應(yīng)消息����,并用鑒別服 務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向媒體提供服務(wù)器發(fā)送�;
媒體提供服務(wù)器的第二接入處理模塊接收到上述鑒別服務(wù)器發(fā)送的鑒別響 應(yīng)消息后
從第二存儲(chǔ)模塊中讀取鑒別服務(wù)器證書,使用鑒別服務(wù)器證書公鑰驗(yàn)證鑒別響應(yīng)消息的簽名的有效性�����,判斷鑒別響應(yīng)消息中對媒體提供服務(wù)器證書��、用 戶端證書的驗(yàn)證結(jié)果是否為驗(yàn)證有效����,從第二存儲(chǔ)模塊中讀取所存儲(chǔ)的用戶端 新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識����,并與鑒別響應(yīng)消息中的用戶端新鮮 性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識進(jìn)行比較����,判斷一致性�����,并判斷鑒別響應(yīng) 消息中的媒體提供服務(wù)器身份信息、用戶端身份信息與所儲(chǔ)存的媒體提供服務(wù) 器身份信息��、用戶端身份信息是否相同��,若上述任意一項(xiàng)驗(yàn)證未通過��,則用戶
端的接入過程失?�?;
若上述驗(yàn)證均通過,該媒體提供服務(wù)器的第二接入處理模塊產(chǎn)生隨機(jī)數(shù)主 密鑰���,使用用戶端證書公鑰對該主密鑰進(jìn)行加密得到主密鑰密文����,并將該主密 鑰或者主密鑰密文與主密鑰信息進(jìn)行綁定�����,主密鑰信息包括有主密鑰的索引等 信息,并使用鑒別響應(yīng)消息�����、媒體提供服務(wù)器證書��、主密鑰密文�����、主密鑰信息 等信息構(gòu)造接入響應(yīng)消息�,并用媒體提供服務(wù)器證書私鑰對該接入響應(yīng)消息簽
名后向用戶端發(fā)送;
用戶端的第一接入處理模塊在接收到上述媒體提供服務(wù)器發(fā)送的上迷接入 響應(yīng)消息后
從第一存儲(chǔ)模塊中讀取鑒別服務(wù)器證書�����,使用鑒別服務(wù)器證書公鑰驗(yàn)證該 接入響應(yīng)消息中鑒別響應(yīng)消息的簽名的有效性�,使用媒體提供服務(wù)器證書公鑰 驗(yàn)證該接入響應(yīng)消息的簽名的有效性,其中���,在該步驟中�,在不要求較高的驗(yàn) 證效率的情況下���,也可以是先驗(yàn)證接入響應(yīng)消息的簽名的有效性���,再驗(yàn)證筌別 響應(yīng)消息的簽名的有效性��,該第一接入處理模塊還判斷鑒別響應(yīng)消息中用戶端 證書�、媒體提供服務(wù)器證書的驗(yàn)證結(jié)果是否為有效��,從第一存儲(chǔ)模塊中讀取用 戶端新鮮性標(biāo)識�,判斷其與接入響應(yīng)消息中的用戶端新鮮性標(biāo)識是否一致����,判 斷鑒別響應(yīng)消息中的用戶端身份信息、媒體提供服務(wù)器身份信息與所存儲(chǔ)的用 戶端身份信息����、媒體提供服務(wù)器身份信息是否一致,是上述任意一項(xiàng)的驗(yàn)證未 通過�,則接入過程失敗��;若上述驗(yàn)證均通過����,則用戶端的第 一接入處理模塊從第 一存儲(chǔ)模塊中讀取 用戶端證書私鑰,使用用戶端證書私鑰對所述主密鑰密文進(jìn)行解密���,獲得所述 主密鑰�,并將對應(yīng)的主密鑰信息發(fā)送至第一存儲(chǔ)模塊予以儲(chǔ)存,該第一接入處 理模塊根據(jù)主密鑰�����、用戶端新鮮性標(biāo)識�、媒體提供服務(wù)器新鮮性標(biāo)識推導(dǎo)出消 息鑒別密鑰和業(yè)務(wù)密鑰,使用用戶端身份信息����、J!某體提供服務(wù)器身份信息、用 戶端新鮮性標(biāo)識�、^某體提供服務(wù)器新鮮性標(biāo)識以及主密鑰信息等信息構(gòu)建接入 確認(rèn)消息,并使用上述消息鑒別密鑰���、該接入確認(rèn)消息計(jì)算得出接入確認(rèn)消息 的消息鑒別碼�,并將該接入確認(rèn)消息的消息鑒別碼附加在所述接入確認(rèn)消息后
向媒體提供服務(wù)器發(fā)送����;
其中,上述根據(jù)主密鑰�����、用戶端新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識 推導(dǎo)出消息鑒別密鑰和業(yè)務(wù)密鑰的過程可以是通過預(yù)先設(shè)定的函數(shù)來進(jìn)行����,根 據(jù)所選用的函數(shù)的不同,可以有不同的推導(dǎo)方式�,此外,該所選用的函數(shù)應(yīng)當(dāng) 是不可逆(單向)函數(shù)���,使得推導(dǎo)出消息鑒別密鑰的過程是不可逆(單向)的��, 以避免非法侵入用戶根據(jù)消息鑒別密鑰和業(yè)務(wù)密鑰反推導(dǎo)出對應(yīng)的相關(guān)信息,
提高安全性�;
媒體提供服務(wù)器的第二接入處理模塊接收到上述用戶端發(fā)送的上述接入確 認(rèn)消息后
利用主密鑰、用戶端新鮮性標(biāo)識���、媒體提供服務(wù)器新鮮性標(biāo)識推導(dǎo)出消息 鑒別密鑰和業(yè)務(wù)密鑰����,根據(jù)該消息鑒別密鑰����、所接收的上述接入確認(rèn)消息計(jì)算 得出接入確認(rèn)消息的消息鑒別碼,并比較該計(jì)算出的接入確認(rèn)消息的消息鑒別 碼與附加于接入確認(rèn)消息中的接入確認(rèn)消息的消息鑒別碼的一致性�����,若不一致, 則接入過程失敗�,若一致,第二接入處理模塊從第二存儲(chǔ)才莫塊讀取所存儲(chǔ)的用 戶端新鮮性標(biāo)識��、媒體提供服務(wù)器新鮮性標(biāo)識�����,并將其分別與接入確認(rèn)消息中 的用戶端新鮮性標(biāo)識�、々某體提供服務(wù)器新鮮性標(biāo)識進(jìn)行比較,確定一致性���,并 判斷媒體提供服務(wù)器的身份信息��、用戶端的身份信息與第二存儲(chǔ)模塊所存儲(chǔ)的是否一致�����、主密鑰信息與第二存儲(chǔ)模塊中所存儲(chǔ)的是否相同��,若上述任意一項(xiàng) 驗(yàn)證未通過����,則接入過程失敗����;
若上迷驗(yàn)證均通過,則第二接入模塊向業(yè)務(wù)管理模塊發(fā)送打開數(shù)字媒體資 源平臺的消息�。
至此,用戶端成功接入至媒體提供服務(wù)器����,完成了用戶端與媒體提供服務(wù) 器二者之間的雙向的身份鑒別,同時(shí)也完成了用戶端與媒體提供服務(wù)器之間的 主密鑰的同步�����。
在上迷媒體提供服務(wù)器向用戶端打開了數(shù)字媒體資源平臺之后�����,用戶端即
可根據(jù)自己的需求選才奪相應(yīng)的數(shù)字i某體資源
用戶端的業(yè)務(wù)請求模塊根據(jù)所選擇的數(shù)字媒體資源信息���,構(gòu)造生成使用所 述業(yè)務(wù)密鑰加密的業(yè)務(wù)請求消息,并使用該業(yè)務(wù)請求消息�����、所述消息鑒別密鑰 計(jì)算業(yè)務(wù)請求消息的消息鑒別碼,并將該業(yè)務(wù)請求消息的消息鑒別碼附于所述 業(yè)務(wù)請求消息后向所述々某體提供服務(wù)器發(fā)送���;
媒體提供服務(wù)器的業(yè)務(wù)管理模塊接收到上述業(yè)務(wù)請求消息后�,根據(jù)所述消 息鑒別密鑰��、所接收到的業(yè)務(wù)請求消息計(jì)算業(yè)務(wù)請求消息的消息鑒別碼��,判斷 該計(jì)算所得的業(yè)務(wù)請求消息的消息鑒別碼與附加于所述業(yè)務(wù)請求消息的業(yè)務(wù)請
求消息的消息鑒別碼的一致性����,若不一致,則丟棄該業(yè)務(wù)請求消息�,若一致, 讀取第二存儲(chǔ)模塊中的業(yè)務(wù)密鑰���,使用該業(yè)務(wù)密鑰對業(yè)務(wù)請求消息進(jìn)行解密���, 并解析獲得解密后的業(yè)務(wù)請求消息中的數(shù)字媒體資源信息,并根據(jù)該數(shù)字媒體 資源信息在所述第二存儲(chǔ)模塊中搜索對應(yīng)的數(shù)字媒體資源��;
媒體提供服務(wù)器的第二存儲(chǔ)模塊搜索得到對應(yīng)的數(shù)字媒體資源后����,將搜索 得到的數(shù)字媒體資源發(fā)送給資源發(fā)送模塊���,資源發(fā)送模塊使用業(yè)務(wù)密鑰對該數(shù) 字媒體資源進(jìn)行加密后,向用戶端發(fā)送���;
用戶端的資源接收模塊接收上述媒體提供服務(wù)器發(fā)送的加密的數(shù)字媒體資源����,從第一存儲(chǔ)模塊中讀取業(yè)務(wù)密鑰����,并使用該業(yè)務(wù)密鑰對該加密的數(shù)字媒體 資源進(jìn)行解密,隨后即可使用該解密后的數(shù)字媒體資源�����。
其中����,在上述流程中���,在媒體提供服務(wù)器的業(yè)務(wù)管理模塊解析獲得業(yè)務(wù)數(shù)
字媒體資源信息后��,還可以向資源發(fā)送模塊發(fā)送相關(guān)的消息�,例如將第二存 儲(chǔ)模塊搜索所得的數(shù)字媒體資源發(fā)送給對應(yīng)的客戶端,或者是在指定時(shí)刻將數(shù) 字媒體資源發(fā)送給對應(yīng)的客戶端�,或者是搜索所得的數(shù)字媒體資源所處的位置 等等,根據(jù)選擇方式的不同��,所發(fā)送的消息不盡相同�����。
此外��,根據(jù)需要�����,用戶端的資源接收模塊在接收到上述^ 某體提供服務(wù)器發(fā) 送的數(shù)字媒體資源后����,還可以將該數(shù)字媒體資源發(fā)送至第一存儲(chǔ)模塊予以儲(chǔ)存。
根據(jù)以上闡述��,本發(fā)明的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)����,其由鑒別服 務(wù)器統(tǒng)一為各用戶端、媒體提供服務(wù)器頒發(fā)證書及對應(yīng)的證書私鑰,用戶端根 據(jù)鑒別服務(wù)器為其頒發(fā)的證書可以訪問不同的媒體提供服務(wù)器�����,無需在每次訪 問一個(gè)新的媒體提供服務(wù)器時(shí)都進(jìn)行注冊過程���,因此���,用戶可以在不進(jìn)行多余 的注冊操作即可獲得不同的媒體提供服務(wù)器所提供的數(shù)字媒體資源,此外���,在 用戶端與媒體提供服務(wù)器通過鑒別服務(wù)器驗(yàn)證了雙方的身份之后�,在二者之間 生成業(yè)務(wù)密鑰��,建立數(shù)字媒體數(shù)據(jù)傳輸?shù)陌踩ǖ?��,通過該業(yè)務(wù)密鑰實(shí)現(xiàn)媒體 提供服務(wù)器數(shù)據(jù)在安全通道中的加密傳輸����,避免了數(shù)字媒體數(shù)據(jù)被網(wǎng)絡(luò)的非法 入侵者截獲并使用����。
另外,根據(jù)本發(fā)明的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)����,媒體提供服務(wù)器 具有獨(dú)立的身份,從而使得媒體提供服務(wù)器的身份可被區(qū)分��,方便管理機(jī)構(gòu)的 監(jiān)管�����,同時(shí)���,用戶端�����、媒體提供服務(wù)器��、鑒別服務(wù)器之間在接入和鑒別過程中 的通信無需經(jīng)過額外的安全信道����,這相對于日益廣泛的數(shù)字媒體技術(shù)領(lǐng)域來說����, 在管理以及運(yùn)營模式上進(jìn)行了改進(jìn)以及突破�����。
此外���,根據(jù)上述本發(fā)明的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng),本發(fā)明還提供一種基于數(shù)字證書的數(shù)字媒體管理方法�,該數(shù)字媒體管理方法的具體實(shí)施方 式可如上所述的數(shù)字々某體管理系統(tǒng)的管理流程所述,在此不予多加贅述����。
以上所述的本發(fā)明實(shí)施方式,并不構(gòu)成對本發(fā)明保護(hù)范圍的限定��。任何在 本發(fā)明的精神和原則之內(nèi)所作的修改�、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明 的權(quán)利要求保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1�����、一種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)����,包括鑒別服務(wù)器��、媒體提供服務(wù)器、以及用戶端所述鑒別服務(wù)器���,用于為所述媒體提供服務(wù)器頒發(fā)媒體提供服務(wù)器證書及對應(yīng)的媒體提供服務(wù)器證書私鑰����,為所述用戶端頒發(fā)用戶端證書及對應(yīng)的用戶端證書私鑰�,將對應(yīng)的媒體提供服務(wù)器身份信息、用戶端身份信息予以儲(chǔ)存�,接收所述媒體提供服務(wù)器發(fā)送的鑒別請求消息,生成鑒別響應(yīng)消息���,用鑒別服務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向所述媒體提供服務(wù)器發(fā)送���,所述媒體提供服務(wù)器證書包括媒體提供服務(wù)器證書公鑰和所述媒體提供服務(wù)器身份信息,所述用戶端證書包括用戶端證書公鑰和所述用戶端身份信息���;所述用戶端���,用于根據(jù)所述用戶端證書�����、所生成的用戶端新鮮性標(biāo)識構(gòu)建接入請求消息���,用所述用戶端證書私鑰對該接入請求消息簽名后向所述媒體提供服務(wù)器發(fā)送,接收所述媒體提供服務(wù)器發(fā)送的接入響應(yīng)消息�,根據(jù)所述接入響應(yīng)消息中的主密鑰、媒體提供服務(wù)器新鮮性標(biāo)識����、所述用戶端新鮮性標(biāo)識產(chǎn)生消息鑒別密鑰和業(yè)務(wù)密鑰,根據(jù)所述用戶端新鮮性標(biāo)識�、所述媒體提供服務(wù)器新鮮性標(biāo)識生成接入確認(rèn)消息,根據(jù)所述消息鑒別密鑰�、所述接入確認(rèn)消息計(jì)算接入確認(rèn)消息的消息鑒別碼,并將該接入確認(rèn)消息的消息鑒別碼附加在所述接入確認(rèn)消息后向所述媒體提供服務(wù)器發(fā)送���;所述媒體提供服務(wù)器�����,用于接收所述接入請求消息���,根據(jù)所述用戶端證書���、所述媒體提供服務(wù)器證書、所述用戶端新鮮性標(biāo)識�、生成的所述媒體提供服務(wù)器新鮮性標(biāo)識構(gòu)建所述鑒別請求消息,并用所述媒體提供服務(wù)器證書私鑰對該鑒別請求消息簽名后向所述鑒別服務(wù)器發(fā)送�,接收所述鑒別響應(yīng)消息,根據(jù)所述鑒別響應(yīng)消息����、所述媒體提供服務(wù)器證書�、所述主密鑰構(gòu)建接入響應(yīng)消息,并用所述媒體提供服務(wù)器證書私鑰對該接入響應(yīng)消息簽名后向所述用戶端發(fā)送��,接收所述接入確認(rèn)消息�����,并驗(yàn)證所述接入確認(rèn)消息的有效性�。
2、根據(jù)權(quán)利要求1所述的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)���,其特征在于所述媒體提供服務(wù)器�,還用于向所述鑒別服務(wù)器發(fā)送媒體提供服務(wù)器注冊請求消息���,將所述鑒別服務(wù)器所頒發(fā)的媒體提供服務(wù)器證書�、媒體提供服務(wù)器 證書私鑰予以儲(chǔ)存,并將接收的所述用戶端發(fā)送的用戶端注冊請求消息向所述鑒別服務(wù)器轉(zhuǎn)發(fā)�;所述用戶端還用于通過所述媒體提供服務(wù)器向所述鑒別服務(wù)器發(fā)送所述用 戶端注冊請求消息,并將所述鑒別服務(wù)器頒發(fā)的所述用戶端證書�����、所述用戶端 證書私鑰予以^f諸存�。
3、 根據(jù)權(quán)利要求1或2所述的基于數(shù)字證書的數(shù)字4某體管理系統(tǒng)�,其特征 在于,所述鑒別服務(wù)器具體包括第三注冊模塊�����,用于為所述媒體提供服務(wù)器頒發(fā)所述媒體提供服務(wù)器證書 以及對應(yīng)的所述媒體提供服務(wù)器證書私鑰�,為所述用戶端頒發(fā)所述用戶端證書 以及對應(yīng)的所述用戶端證書私鑰;與所述第三注冊模塊連接的第三存儲(chǔ)模塊���,用于儲(chǔ)存所述鑒別服務(wù)器證書�����、 所述鑒別服務(wù)器證書私鑰�、所述媒體提供服務(wù)器身份信息、所述用戶端身份信 息����;與所述第三存儲(chǔ)模塊、所述媒體提供服務(wù)器連接的有效性驗(yàn)證模塊��,用于 接收所述媒體提供服務(wù)器發(fā)送的所述鑒別請求消息�����,根據(jù)所述鑒別服務(wù)器證書 私鑰�����、所述媒體提供服務(wù)器證書���、所述用戶端證書對所述鑒別請求消息進(jìn)行有 效性驗(yàn)證,生成鑒別響應(yīng)消息��,并用所述鑒別服務(wù)器證書私鑰對所述鑒別響應(yīng) 消息簽名后向所述媒體提供服務(wù)器發(fā)送����。
4、 根據(jù)權(quán)利要求1所述的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)��,其特征在于, 所述媒體提供服務(wù)器具體包括第二存儲(chǔ)模塊����,用于儲(chǔ)存所述鑒別服務(wù)器證書、所述々某體提供服務(wù)器證書�、 所述媒體提供服務(wù)器證書私鑰、所述用戶端證書�、所述主密鑰、所述消息鑒別 密鑰���、所述用戶端新鮮性標(biāo)識����、所述媒體提供服務(wù)器新鮮性標(biāo)識����、所述業(yè)務(wù)密 鑰、數(shù)字媒體資源����;與所述鑒別服務(wù)器、^^'用盧端�����、所述第二存儲(chǔ)模塊連接的第二接入處理模塊,用于接收并解析所述用戶端發(fā)送的所述接入請求消息�,構(gòu)建鑒別請求消 息并向所述鑒別服務(wù)器發(fā)送,接收并解析所述鑒別響應(yīng)消息����,構(gòu)建接入響應(yīng)消 息,接收并解析所述接入確認(rèn)消息�����,根據(jù)所述主密鑰����、所述用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識生成所述消息鑒別密鑰和所述業(yè)務(wù)密鑰���;與所述用戶端、所述第二存儲(chǔ)模塊�����、所述第二接入處理模塊連接的業(yè)務(wù)管理模塊�,用于接收并處理所述用戶端發(fā)送的業(yè)務(wù)請求消息;與所述用戶端、所述第二存儲(chǔ)模塊���、所述業(yè)務(wù)管理模塊連接的資源發(fā)送模 塊���,用于從所述第二存儲(chǔ)模塊中讀取數(shù)字^ 某體資源,并用所述業(yè)務(wù)密鑰對所述 數(shù)字々某體資源加密后向所述用戶端發(fā)送���。
5�����、根據(jù)權(quán)利要求1或4所述的數(shù)字媒體管理系統(tǒng)�����,其特征在于�����,所述用戶 端具體包括第一存儲(chǔ)模塊���,用于儲(chǔ)存所述鑒別服務(wù)器證書、所述媒體提供服務(wù)器證書���、 所述用戶端證書���、所述用戶端證書私鑰�����、所述主密鑰�����、所述消息鑒別密鑰��、所 述業(yè)務(wù)密鑰��、所述用戶端新鮮性標(biāo)識��、所述媒體提供服務(wù)器新鮮性標(biāo)識���;與所述J;某體提供服務(wù)器、所述第一存儲(chǔ)模塊連接的第一接入處理模塊�,用 于向所述媒體提供服務(wù)器發(fā)送所述接入請求消息��,接收并解析所述々某體提供服 務(wù)器發(fā)送的所述接入響應(yīng)消息��,構(gòu)建接入確認(rèn)消息并將該接入確認(rèn)消息向所述 媒體提供服務(wù)器發(fā)送,根據(jù)所述主密鑰�、所述用戶端新鮮性標(biāo)識、所述媒體提 供服務(wù)器新鮮性標(biāo)識推導(dǎo)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰�����;與所述媒體提供服務(wù)器���、所述第一存儲(chǔ)模塊連接的業(yè)務(wù)請求模塊�����,用于向 所述媒體提供服務(wù)器發(fā)送所述業(yè)務(wù)請求消息���;與所述媒體提供服務(wù)器、所述第一存儲(chǔ)模塊連接的資源接收模塊���,用于接 收所述媒體提供服務(wù)器發(fā)送的用所述業(yè)務(wù)密鑰加密的數(shù)字媒體資源���,并用所述 業(yè)務(wù)密鑰進(jìn)行解密。
6�����、 根據(jù)權(quán)利要求5所述的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng),其特征在于 所述媒體提供服務(wù)器還包括與所述用戶端����、所述鑒別服務(wù)器、所述第二存儲(chǔ)模塊連接的第二注冊模塊�, 用于向所述鑒別服務(wù)器發(fā)送媒體提供服務(wù)器注冊請求消息,將所述鑒別服務(wù)器 頒發(fā)的媒體提供服務(wù)器證書�、媒體提供服務(wù)器證書私鑰發(fā)送至所述第二存儲(chǔ)模 塊予以儲(chǔ)存,還用于將接收到的所述用戶端發(fā)送的用戶端注冊請求消息向所述 鑒別服務(wù)器轉(zhuǎn)發(fā)�;所述用戶端還包括與所述媒體提供服務(wù)器連接的第一注冊模塊,用于向所述媒體提供服務(wù)器 發(fā)送用戶端注冊請求消息��,并將所述鑒別服務(wù)器頒發(fā)的所述用戶端證書�����、所述 用戶端證書私鑰發(fā)送至所述第一存儲(chǔ)模塊予以儲(chǔ)存��。
7����、 根據(jù)權(quán)利要求1或2所述的基于數(shù)字證書的數(shù)字媒體管理系統(tǒng),其特征 在于所述媒體提供服務(wù)器新鮮性標(biāo)識���、和/或用戶端新鮮性標(biāo)識是時(shí)戳����、隨機(jī)數(shù) 或順序號���;和/或所述根據(jù)主密鑰����、用戶端新鮮性標(biāo)識��、媒體提供服務(wù)器新鮮性標(biāo)識產(chǎn)生消 息鑒別密鑰和所述業(yè)務(wù)密鑰的過程為不可逆操作�。
8、 一種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)的管理方法����,所述數(shù)字媒體管理 系統(tǒng)包括鑒別服務(wù)器、媒體提供服務(wù)器以及用戶端�,所述管理方法包括步驟所述鑒別服務(wù)器為所述媒體提供服務(wù)器頒發(fā)媒體提供服務(wù)器證書、媒體提 供服務(wù)器證書私鑰���,為所述用戶端頒發(fā)用戶端證書���、用戶端i正書私鑰;所述用戶端產(chǎn)生用戶端新鮮性標(biāo)識并予以儲(chǔ)存�,并根據(jù)所述用戶端證書��、所述用戶端新鮮性標(biāo)識生成接入請求消息�����,并用所述用戶端證書私鑰對該接入請求消息簽名后向所迷媒體提供服務(wù)器發(fā)送�;所述媒體提供服務(wù)器接收用所述用戶端證書私鑰簽名的所述接入請求消 息�����,產(chǎn)生媒體提供服務(wù)器新鮮性標(biāo)識并予以儲(chǔ)存����,才艮據(jù)所述用戶端證書、所迷 媒體提供服務(wù)器證書���、所述用戶端新鮮性標(biāo)識��、所述媒體提供服務(wù)器新鮮性標(biāo) 識組成鑒別請求消息���,并用所述媒體提供服務(wù)器證書私鑰對所述鑒別請求消息 簽名后向所述鑒別服務(wù)器發(fā)送;證所述鑒別請求消息的有效性�,根據(jù)驗(yàn)證結(jié)果構(gòu)建鑒別響應(yīng)消息,并用所述鑒 別服務(wù)器證書私鑰對該鑒別響應(yīng)消息簽名后向所述々某體提供服務(wù)器發(fā)送;所述媒體提供服務(wù)器接收所述鑒別響應(yīng)消息�����,驗(yàn)證所述鑒別響應(yīng)消息的有 效性����,產(chǎn)生隨機(jī)數(shù)主密鑰�,根據(jù)所述主密鑰、所述鑒別響應(yīng)消息�����、所述媒體提 供服務(wù)器證書構(gòu)造接入響應(yīng)消息��,并用所述媒體提供服務(wù)器證書私鑰對該接入 響應(yīng)消息簽名后向所迷用戶端發(fā)送�; '所述用戶端接收所述接入響應(yīng)消息,驗(yàn)證所述接入響應(yīng)消息的有效性�����,并 根據(jù)所述主密鑰�、所迷用戶端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識推 導(dǎo)生成消息鑒別密鑰和業(yè)務(wù)密鑰���,構(gòu)建接入確認(rèn)消息����,使用所述消息鑒別密鑰、 所述接入確認(rèn)消息計(jì)算接入確認(rèn)消息的消息鑒別碼���,并將該接入確認(rèn)消息的消 息鑒別碼附于所述接入確認(rèn)消息后向所述媒體提供服務(wù)器發(fā)送���;所述媒體提供服務(wù)器接收所述接入確認(rèn)消息,根據(jù)所述主密鑰����、所述用戶 端新鮮性標(biāo)識、所述媒體提供服務(wù)器新鮮性標(biāo)識推導(dǎo)生成所述消息鑒別密鑰和 所述業(yè)務(wù)密鑰��,并根據(jù)所述消息鑒別密鑰��、所述用戶端新鮮性標(biāo)識���、所述媒體 提供服務(wù)器新鮮性標(biāo)識���、所述主密鑰信息判斷所述接入確認(rèn)消息的有效性。
9��、根據(jù)權(quán)利要求8所述的基于數(shù)字證書的數(shù)字媒體管理方法,其特征在于�, 還包括步驟所述媒體提供服務(wù)器向所述鑒別服務(wù)器發(fā)送媒體提供服務(wù)器注冊請求消 息,所述鑒別服務(wù)器根據(jù)所述媒體提供服務(wù)器注冊請求消息為所述媒體提供服 務(wù)器頒發(fā)所述媒體提供服務(wù)器證書���、所述媒體提供服務(wù)器證書私鑰�����;所述用戶端向所述媒體提供服務(wù)器發(fā)送用戶端注冊請求消息���,所述媒體提 供服務(wù)器接收所述用戶端注冊請求消息并向所述鑒別服務(wù)器轉(zhuǎn)發(fā)�,所述鑒別服 務(wù)器根據(jù)所述用戶端注冊請求消息為所述用戶端頒發(fā)所述用戶端證書、所述用 戶端證書私鑰�����。
10��、根據(jù)權(quán)利要求8或9所述的基于數(shù)字證書的數(shù)字々某體管理方法�,其特 征在于,所述媒體提供服務(wù)器新鮮性標(biāo)識�����、和/或用戶端新鮮性標(biāo)識是時(shí)戳、隨機(jī)數(shù)或順序號�����; 和/或所述根據(jù)主密鑰�、用戶端新鮮性標(biāo)識、媒體提供服務(wù)器新鮮性標(biāo)識產(chǎn)生消 息鑒別密鑰和所述業(yè)務(wù)密鑰的過程為不可逆操作�。
全文摘要
一種基于數(shù)字證書的數(shù)字媒體管理系統(tǒng)及管理方法,其由鑒別服務(wù)器為各用戶端����、媒體提供服務(wù)器頒發(fā)證書及對應(yīng)的證書私鑰,用戶端根據(jù)鑒別服務(wù)器為其頒發(fā)的證書可以訪問不同的媒體提供服務(wù)器�,無需在每次訪問一個(gè)新的媒體提供服務(wù)器時(shí)都進(jìn)行注冊,此外��,在用戶端與媒體提供服務(wù)器通過鑒別服務(wù)器驗(yàn)證了雙方的身份之后�����,由媒體提供服務(wù)器向用戶端分發(fā)主密鑰���,并推導(dǎo)得到二者之間通信的業(yè)務(wù)密鑰�����,建立數(shù)字媒體數(shù)據(jù)傳輸?shù)陌踩ǖ?���,通過該業(yè)務(wù)密鑰實(shí)現(xiàn)數(shù)字媒體數(shù)據(jù)在安全通道中的加密傳輸,本發(fā)明方案中�,用戶端、媒體提供服務(wù)器�、鑒別服務(wù)器之間在接入和鑒別過程中的通信無需經(jīng)過額外的安全信道,是管理以及運(yùn)營模式上的改進(jìn)和突破�。
文檔編號H04L29/06GK101547097SQ200910037149
公開日2009年9月30日 申請日期2009年2月11日 優(yōu)先權(quán)日2009年2月11日
發(fā)明者張永強(qiáng), 凡 林 申請人:廣州杰賽科技股份有限公司