CN101094062B - 利用存储卡实现数字内容安全分发和使用的方法 - Google Patents
利用存储卡实现数字内容安全分发和使用的方法 Download PDFInfo
- Publication number
- CN101094062B CN101094062B CN200610086852.2A CN200610086852A CN101094062B CN 101094062 B CN101094062 B CN 101094062B CN 200610086852 A CN200610086852 A CN 200610086852A CN 101094062 B CN101094062 B CN 101094062B
- Authority
- CN
- China
- Prior art keywords
- digital content
- terminal
- storage card
- card
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000009826 distribution Methods 0.000 title claims description 22
- 238000003860 storage Methods 0.000 claims description 170
- 230000004044 response Effects 0.000 claims description 12
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 230000001186 cumulative effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006386 memory function Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种利用存储卡实现数字内容安全分发和使用的方法,数字内容使用权限保存在存储卡中,加密的数字内容保存在终端中;存储卡与终端之间进行身份认证,同时在存储卡和终端内产生双方共享的会话密钥;终端向存储卡请求数字内容使用权限;存储卡找到相应的数字内容使用权限,用自己产生的会话密钥对其进行加密,并将加密后的数字内容使用权限发送给终端;终端用自己产生的会话密钥对存储卡发送过来的数字内容使用权限进行解密,恢复出数字内容使用权限明文;终端用数字内容使用权限中包含的解密密钥对加密的数字内容进行解密,恢复出数字内容明文;终端使用数字内容。本发明既保护了数字内容提供商的利益又方便了用户对数字内容的使用。
Description
技术领域
本发明涉及一种数据内容安全管理的方法,尤其涉及利用存储卡实现数字内容安全分发和使用的方法。
背景技术
数字内容的特点是易于复制、分发和处理,但数字内容提供商生产数字内容是需要一定成本的,如果数字内容未经允许就被复制、分发和使用,那么数字内容提供商的利益就可能遭受损失。
传统地,商业数字内容的保护是禁止非法用户对数字内容的访问,只允许已付费用户访问相应的数字内容,然而,如果已付费用户将数字内容分发给其他用户,那这些用户不需要付费就可以使用数字内容了,这样就造成了对数字内容版权的侵犯,没有达到保护数字内容提供商的目的。为了解决这个问题,现有技术中提出了基于加密的数字内容保护技术,采用这种技术,数字内容是被加密的,任何人都可以自由访问加密的数字内容,但如果要使用数字内容就必须购买数字内容使用权限,才能使用数字内容,数字内容的使用是严格按照购买的使用权限来执行的,用户不能做到越权使用。
现在越来越多的用户通过网络下载数字内容到自己的终端设备上,如果下载的数字内容是受版权保护的,那么用户还必须购买数字内容使用权限并将该权限下载到终端设备上才能使用数字内容。既然用户已经购买了数字内容的使用权限,用户自然希望自由地使用该数字内容,通常的情况是,用户希望在不同终端上使用该数字内容。如果不借助一个中间媒介,用户很难实现这些愿望,因为数字内容可以自由传播,但数字内容使用权限不能随意转发。用户要想在其他终端设备上使用数字内容,就必须重新下载数字内容使用权限才能使用该数字内容。因此,基于加密的数字内容保护技术虽然保护了数字内容提供商的利益,但是对于用户使用数字内容却很不方便。
发明内容
因此本发明所要解决的技术问题是提供一种利用存储卡实现数字内容安全分发和使用的方法,该方法能够在保护数字内容提供商利益的同时方便用户对数字内容的使用。本发明具体是这样实现的:
一种利用存储卡实现数字内容安全分发和使用的方法,数字内容使用权限保存在存储卡中,加密的数字内容保存在终端中,本方法包括如下步骤:
存储卡向终端发送认证请求,请求信息包括:卡的身份号码和卡证书,卡证书中包含有卡的公钥;
终端接收所述请求信息,并在证书吊销列表中查找是否有卡证书存在,若有,判定卡证书无效,终止认证,否则判定所述卡证书有效,向存储卡发送请求应答,应答信息包括:终端的身份号码、终端证书、证书吊销列表和用卡公钥加密的随机数,终端证书中包含有终端的公钥;
存储卡接收所述应答信息,并在证书吊销列表中查找是否有终端证书存在,若有,则证明终端证书无效,终止认证,并清除证书吊销列表;若没有,则判定所述终端证书有效,存储卡用卡私钥解密终端发送来的随机数,并产生另一随机数,利用终端证书中包含的终端的公钥加密产生的随机数,并对两个随机数进行处理产生会话密钥后,清除所述证书吊销列表,向终端发送终止认证请求,请求信息是用终端公钥加密的随机数;
终端接收终止认证的请求信息,用终端私钥解密存储卡发送来的随机数,并对两个随机数进行处理产生会话密钥,终端利用该会话密钥加密由存储卡产生的随机数后,向存储卡发送终止请求应答,应答信息是用终端产生的会话密钥加密的上述由存储卡产生的随机数;
终端用存储卡产生的会话密钥解密用终端产生的会话密钥加密的由存储卡产生的随机数,并验证解密后的随机数是否与存储卡产生的随机数相同,如果相同,证明存储卡和终端产生了一致的会话密钥,验证成功;
终端向存储卡请求欲使用数字内容的数字内容使用权限;存储卡根据终端的请求找到相应的数字内容使用权限,用自己产生的会话密钥对其进行加密,并将加密后的数字内容使用权限发送给终端;终端用自己产生的会话密钥对存储卡发送过来的加密的数字内容使用权限进行解密,恢复出数字内容使用权限明文;终端用数字内容使用权限中包含的解密密钥对加密的数字内容进行解密,恢复出数字内容明文;终端使用数字内容。
按上述方案,所述判定卡证书有效后还进行以下操作:终端产生随机数;终端利用卡证书中包含的卡的公钥加密上述随机数。
按上述方案,所述存储卡对两个随机数进行处理采用模2运算。
按上述方案,所述终端对两个随机数进行处理采用模2运算。
按上述方案,所述方法还包括:终端验证解密后的随机数与存储卡产生的随机数不相同时,存储卡和终端要重新产生会话密钥,直到产生一致的会话密钥为止。
按上述方案,数字内容使用权限的结构如下表:
按上述方案,终端向存储卡请求欲使用数字内容的数字内容使用权限包括如下步骤:终端读取欲使用数字内容的内容标识符,将其发送给存储卡。
按上述方案,存储卡根据终端的请求找到相应的数字内容使用权限包括如下步骤:存储卡根据终端发送的内容标识符找到与该内容标识符相对应的数字内容使用权限。
按上述方案,终端使用数字内容按照数字内容使用权限中的内容使用权限及其约束条件进行。
按上述方案,数字内容使用结束后,终端用数字内容使用权限中包含的加密密钥对数字内容进行加密。
按上述方案,存储卡将加密后的数字内容使用权限发送给终端后,对该数字内容使用权限中的约束条件进行修改,即从约束条件中扣除终端请求的使用权限的量值。
按上述方案,如果存储卡内某数字内容相应的数字内容使用权限中约束条件相应的量值减少到为0,那么下次终端再向存储卡请求该数字内容的数字内容使用权限就会被存储卡拒绝,只有在用户重新购买了该数字内容的数字内容使用权限之后,才能恢复对该数字内容的使用。
由于采用了上述处理步骤,本发明与现有技术相比,具有以下优点:
通过采用本发明的技术方案,用户可以将下载的受版权保护的数字内容及数字内容使用权限转移到存储卡内,通过存储卡将数字内容安全转移到其他终端设备上使用,存储卡既能保护数字内容的版权不受侵犯又便于携带。因此,利用存储卡分发和使用数字内容既保护了数字内容提供商的利益又方便了用户对数字内容的使用。
附图说明
图1是本发明中存储卡内的功能模块结构图;
图2是本发明中终端内的功能模块结构图;
图3是本发明的存储卡与终端设备之间身份认证的流程图;
图4是身份认证的步骤(2)中终端对请求信息进行处理的流程图;
图5是身份认证的步骤(3)中存储卡对应答信息进行处理的流程图;
图6是身份认证的步骤(4)中终端对终止认证的请求信息进行处理的流程图;
图7是身份认证的步骤(5)中存储卡对终止请求应答信息进行处理的流程图;
图8是本发明的终端向存储卡请求数字内容使用权限并使用数字内容的流程图。
具体实施方式
为了更好地理解本发明的实质内容,在详细描述本发明的具体实施过程之前,首先简要介绍与本发明相关的几个概念。
公开密码算法:又称为非对称密码算法。有两个不同的密钥用于加密、解密,其中的一个密钥被公开,称为公钥;另一个密钥要严格保密,称为私钥。公钥和私钥都可以用于数据加、解密,公钥可以放在数字证书中以证书的形式向外公布。公开密码算法主要用于密钥分发和数字签名。
对称密码算法:用于数据加密、解密的是同一个密钥。
PKI体系:是一组建立在公开密码算法基础上的硬件、软件、人员和应用程序的集合,它采用证书管理公钥,通过第三方可信任机构CA(Certificate Authority,数字证书认证中心)把用户的公钥和用户的其他标识信息(如名称、身份证号等)绑定在一起,用以在互联网上验证用户的身份,PKI体系把公钥密码和对称密码有机的结合在一起,实现密钥的自动管理,保证网上数据的机密性、完整性。
CA(Certificate Authority,数字证书认证中心):CA是一个独立于所有用户之外的可信任的第三方,是整个PKI体系的核心。CA负责为PKI体系中所有的实体(用户、软件、机器等)发放数字证书,更新证书和废止过期证书。通过一个完整的CA认证体系,可以有效地实现对数字证书的验证。
数字证书:是由CA签发的用于标明用户身份的电子文档,包含用户的公钥、可以唯一标识用户身份的基本信息(用户ID)以及CA对上述信息的签名等,CA将签发的证书发送给最终用户,并将该证书公布出去。
证书吊销列表(Certificate Revocation List,简称CRL):用户证书因用户私钥遗失、泄漏或被破解等原因必须被吊销,吊销的证书信息要及时发布出去,一般CA通过发布CRL来完成,CRL是由CA签名的一组电子文档,包含了被吊销证书的唯一标识(证书序列号),证书验证方利用CRL来验证证书持有者的证书是否有效。
数字签名:是由用户私钥加密的消息数据,通过利用用户公钥解密签名数据来验证消息数据的来源以及数据的完整性。
以下结合附图对本发明的具体实施过程作进一步的说明:
为了实现数字内容的安全分发和使用,本发明对现有存储卡和终端在配置和功能上进行了以下扩展:
如图1所示,为了实现上述目的,存储卡在提供简单的数据存储、与终端交换数据等原有功能的基础上,还必须增加安全、RO(Rights Object,权限对象)存储、控制管理等功能。安全功能用于对数字内容、RO等受保护数据的加解密;RO存储功能用于存放加密的RO;控制管理功能用于协调控制其他功能的执行。
因此,存储卡内必须实现包括:密码算法模块、会话密钥生成模块、RO存储模块、接口模块以及控制模块等功能模块,其中,除接口模块外,其他功能模块都是为实现本发明目的新增加的功能模块。下面对每个模块实现的功能作详细地描述:
(1)密码算法模块用于执行存储卡内数据的加、解密,该模块接受控制模块的请求执行加、解密操作,该模块内又包含两类模块:公钥密码算法模块和对称密码算法模块。在存储卡与终端设备的身份认证过程中,公钥密码算法模块可用于密钥交换和/或数字签名,常用的公钥密码算法有如:RSA、椭圆曲线等等;对称密码算法模块用于执行存储卡内数据的对称加密,常用的对称密码算法有:DES/3DES、AES等等,对称密码算法模块用于加密存储卡发送到终端的重要数据,比如,加密RO中的数字内容使用权限。
(2)会话密钥生成模块用于存储卡内产生随机数,并利用终端发送来的随机数与存储卡内产生的随机数进行模2运算产生会话密钥。
(3)RO存储模块用于存储RO,RO中存储数字内容使用权限。
(4)接口模块用于存储卡与终端之间建立通信连接,存储卡通过接口模块与终端交换信息。
(5)控制模块用于执行对上述其他模块之间的数据流动的操作和控制,以实现数字内容使用权限的管理。
如图2所示,为了实现上述目的,终端在提供简单的数据存储、网络传输、内容使用、与存储卡或其他终端交换数据等原有功能的基础上,还必须增加安全、RO存储、控制管理等功能。安全功能用于对数字内容、RO等受保护数据的加解密;RO存储功能用于存放加密的RO;控制管理功能用于协调控制其他功能的执行。
因此,终端内必须实现包括:密码算法模块、会话密钥生成模块、内容存储模块、使用模块、接口模块、传输模块以及控制模块等功能模块,其中,除接口模块、传输模块和使用模块外,其他功能模块都是为实现本发明目的新增加的功能模块。下面对每个模块实现的功能作详细地描述:
(1)密码算法模块用于执行终端内数据的加、解密,该模块接受控制模块的请求执行加、解密操作,该模块内又包含两类模块:公钥密码算法模块和对称密码算法模块。在存储卡与终端设备的身份认证过程中,公钥密码算法模块可用于密钥交换和/或数字签名,常用的公钥密码算法有如:RSA、椭圆曲线等等;对称密码算法模块用于执行终端内数据的对称加密,常用的对称密码算法有:DES/3DES、AES等等,采用终端内产生的会话密钥作为加、解密密钥,对称密码算法模块用于加密终端发送到存储卡的重要数据。
(2)会话密钥生成模块用于终端内产生随机数,并利用存储卡发送来的随机数与终端内产生的随机数进行模2运算产生会话密钥。
(3)内容存储模块用于存储受保护的数字内容,受保护的数字内容是加密的。
(4)使用模块用于使用数字内容,要使用受保护的内容必须先获得授权,并且严格按照RO中规定的使用权限使用。
(5)接口模块用于终端与存储卡之间建立通信连接,终端通过接口模块与存储卡交换信息。
(6)传输模块用于终端与网络上其他设备建立通信,如内容分发服务器、权限分发服务器等。
(7)控制模块用于执行对上述其他模块之间的数据流动的操作和控制,以实现数字内容使用权限的管理。
RO(Rights Object,权限对象)保存在存储卡内RO存储模块中,RO中存储数字内容使用权限,数字内容使用权限的结构如下表所示,包括以下部分:内容标识符(内容ID)、内容使用权限、约束条件以及内容加解密密钥等。内容ID用于标识数字内容,存储卡按照终端发送来的内容ID在RO中查找相应的数字内容使用权限;内容使用权限包括:播放、显示、执行、打印、输出等,“播放”表示音/视频形式的数字内容的使用权限,“显示”表示文本或图象类数字内容在可视装置上再现的权限,“执行”表示软件类数字内容的使用权限,“打印”表示文本或图象类数字内容的硬拷贝权限,“输出”表示允许数字内容从一个终端转发到另一个终端的权限;每个内容使用权限都带有约束条件,约束条件用于描述对内容使用权限的约束,约束条件包括:计次、起止时间、累计时间等等,计次表示数字内容许可使用的次数,具有正整数值或0,随着数字内容使用权限的执行,对应的计次值逐渐减少,当计次值减少为0时,该使用权限变得不可用;起止时间包括开始时间和终止时间,用于指定使用权限的时间约束,在开始时间之前和终止时间之后数字内容都被禁止使用;累计时间表示数字内容使用权限允许执行的最大时间,随着数字内容使用权限的执行,对应的累计时间值逐渐减少,当累计时间减少为0时,该使用权限变得不可用。
以下是本发明的具体实现过程:
1.存储卡与终端之间的身份认证
为了实现将存储卡的数字内容使用权限安全转移到终端,存储卡与终端之间必须先进行身份认证。通过身份认证,存储卡、终端可以分别确认对方身份是否合法和可信,同时在存储卡和终端内产生双方共享的会话密钥。存储卡采用会话密钥加密数字内容使用权限,再将加密后的数字内容使用权限发送到终端,终端用会话密钥解密加密后的数字内容使用权限,恢复数字内容使用权限明文。存储卡与终端之间的身份认证采用验证证书有效性的方式进行。以下所述仅为本发明存储卡与终端身份认证过程的一个具体实施例,并不用以限制本发明。因此,凡在上述精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
首先设置相互传输身份认证数据的存储卡和终端设备,其中,存储卡端安装有卡的ID(Identity,身份号码)、数字证书认证中心(Certificate Authority,简称CA)的证书、卡证书;终端设备安装有终端的ID、CA的证书、终端证书、证书吊销列表(Certificate Revocation List,简称CRL)。卡的ID是在存储卡生产时由CA分配给存储卡的用于标识其身份的唯一的身份号;CA的证书中包含有CA的公钥。CRL中包含CA的签名,这里,CA的签名是指用CA的私钥加密CRL得到的签名。认证过程中,存储卡与终端相互进行身份认证,图3是本发明的存储卡与终端设备之间身份认证流程图,具体认证流程如下:
(1)存储卡向终端发送认证请求,请求信息包括:卡的ID(Identity,身份号码)、卡证书,卡证书中包含有卡的公钥、CA的签名,这里,CA的签名是指用CA的私钥加密卡的公钥和卡ID得到的签名;
(2)终端对请求信息进行预处理,预处理过程是本领域的常规技术,因此以下仅从原理上对其进行简要说明:终端用CA的证书中CA的公钥解密卡证书中CA的签名,恢复出卡ID的明文,与存储卡发送来的卡的ID对比,如果两者不同,证明存储卡不是CA域内的合法用户,终端终止与存储卡的认证;如果两者相同,证明存储卡是合法用户。然后,终端对请求信息进行处理。然后,终端向存储卡发送请求应答,应答信息包括:终端的ID、终端证书、终端CRL和用卡公钥加密的随机数RH,终端证书中包含有终端的公钥、CA的签名,这里,CA的签名是指用CA的私钥加密终端的公钥和终端ID得到的签名;
(3)存储卡对应答信息进行预处理,预处理过程是本领域的常规技术,因此以下仅从原理上对其进行简要说明:存储卡用CA的证书中CA的公钥解密终端证书中CA的签名,恢复出终端ID的明文,与终端发送来的终端的ID对比,如果两者不同,证明终端不是CA域内的合法用户,存储卡终止与终端的认证;如果两者相同,证明终端是合法用户。为了防止终端发送伪造的CRL,存储卡要对终端发送过来的CRL进行验证,存储卡利用卡内CA证书中的CA的公钥解密CRL中CA的签名,恢复出CRL的明文,将该明文与终端发送来的CRL对比,如果两者不同,说明终端发送的CRL是伪造的,存储卡就此终止与终端的认证;如果两者相同,说明终端发送的CRL是真实可信的,存储卡可以依据该CRL验证终端证书的有效性。然后,存储卡对应答信息进行处理。然后,存储卡向终端发送终止认证请求,请求信息是用终端公钥加密的随机数RS;
(4)终端对终止认证的请求信息进行处理后,向存储卡发送终止请求应答,应答信息是用终端产生的会话密钥加密的由卡产生的随机数RS;
(5)存储卡对终止请求应答信息进行处理以验证会话密钥的唯一性。
图4是步骤(2)中终端对请求信息进行处理的流程图,所包括的步骤具体流程如下:
(2a)终端在终端CRL中查找是否有卡证书存在,如果没有,说明卡证书有效,转到(2b);如有,证明卡证书无效,终止认证;
(2b)终端产生随机数RH;
(2c)终端利用卡证书中包含的卡的公钥加密随机数RH。
图5是步骤(3)中存储卡对应答信息进行处理的流程图,所包括的步骤具体流程如下:
(3a)存储卡在终端CRL中查找是否有终端证书存在,如果没有,说明终端证书有效,转到(3b);如有,证明终端证书无效,终止认证,然后转到(3f);
(3b)用卡私钥解密终端发送来的随机数RH;
(3c)存储卡产生随机数RS;
(3d)存储卡利用终端证书中包含的终端的公钥加密随机数RS;
(3e)存储卡对随机数RH、RS进行模2运算产生会话密钥;
(3f)存储卡清除由终端发送来的终端CRL。
图6是步骤(4)中终端对终止认证的请求信息进行处理的流程图,所包括的步骤具体流程如下:
(4a)用终端私钥解密存储卡发送来的随机数RS;
(4b)终端对随机数RH、RS进行模2运算产生会话密钥;
(4c)终端利用会话密钥加密由卡产生的随机数RS。
图7是步骤(5)中存储卡对终止请求应答信息进行处理的流程图,所包括的步骤具体流程如下:
(5a)用卡产生的会话密钥解密用终端产生的会话密钥加密的由卡产生的随机数RS;
(5b)验证解密后的随机数是否与(3c)中卡产生的随机数RS相同,如果相同,证明存储卡和终端产生了一致的会话密钥,验证成功,整个身份认证过程结束;否则,存储卡和终端要重新产生会话密钥,直到产生一致的会话密钥为止。
如果存储卡与终端之间相互身份认证成功并且双方产生了相同的会话密钥,那么终端就可以向存储卡请求数字内容使用权限。
数字内容提供商将数字内容用对称加密算法加密后放在内容分发服务器上供用户自由下载,用于加密数字内容的密钥放在RO的数字内容使用权限中并将RO放在权限分发服务器上,用户下载加密的数字内容到自己的终端后,如果想在终端中使用该数字内容,就必须先购买数字内容使用权限并通过权限分发服务器下载包含数字内容使用权限的RO到终端并保存在存储卡中,如果用户希望在其他终端设备上使用下载的数字内容,用户可以将加密的数字内容拷贝或通过其他方式转移到其他终端设备并保存在内容存储模块中,当用户要在其他终端设备上使用数字内容,用户可以将存储卡插到欲使用数字内容的终端设备上,用户通过终端向存储卡发送数字内容使用权限请求来获取数字内容使用权限。
2.终端向存储卡请求数字内容使用权限并使用数字内容
当终端要使用加密的数字内容时,它必须先向存储卡请求该数字内容的数字内容使用权限,数字内容使用权限保存在存储卡内的RO中。图8是本发明的终端向存储卡请求数字内容使用权限并使用数字内容的流程图。具体流程描述如下:
(1)当用户想要使用终端的某个数字内容时,用户可以通过点击终端中的该数字内容或其他方式,向终端发送使用数字内容的请求命令,终端的控制模块接收到请求后,读取该数字内容的内容标识符(内容ID)、通过终端的接口模块将内容ID发送给存储卡。
(2)存储卡通过接口模块收到终端发送来的内容ID后,存储卡的控制模块向RO存储模块发送指令,读取与内容ID相对应的数字内容使用权限;同时,控制模块读取会话密钥生成模块在存储卡与终端进行身份认证时产生的会话密钥,将数字内容使用权限和会话密钥发送到密码算法模块;密码算法模块利用会话密钥对数字内容使用权限加密;控制模块指示密码算法模块将加密后的数字内容使用权限传送给存储卡内的接口模块,并指示接口模块将加密后的数字内容使用权限发送给终端。
(3)终端通过接口模块收到存储卡发送来的加密的数字内容使用权限后,终端内的控制模块读取加密的数字内容使用权限,同时向会话密钥生成模块读取终端与存储卡进行身份认证时产生的会话密钥;然后,控制模块将加密的数字内容使用权限和会话密钥发送给密码算法模块,并指示密码算法模块用会话密钥对加密的数字内容使用权限进行解密,恢复出数字内容使用权限明文,数字内容使用权限中包含了解密加密的数字内容的密钥。
(4)终端的控制模块指示内容存储模块将其中的加密的数字内容传送给密码算法模块,同时指示密码算法模块用数字内容使用权限中包含的解密加密的数字内容的密钥对加密的数字内容进行解密,恢复出数字内容明文。
(5)终端的控制模块指示密码算法模块将明文的数字内容使用权限和明文的数字内容发送到使用模块,并指示使用模块根据用户的要求并按照明文的数字内容使用权限中的内容使用权限及其约束条件使用数字内容。
(6)数字内容使用结束后,终端的控制模块指示使用模块将数字内容传送给密码算法模块,并指示密码算法模块用数字内容使用权限中包含的加密数字内容的密钥对数字内容进行加密;然后,控制模块指示密码算法模块将加密的数字内容发送到内容存储模块进行保存。
(7)存储卡在向终端发送数字内容使用权限之后,要对存储卡内相应内容的数字内容使用权限进行更新,更新是依据用户的要求也即终端请求的使用权限进行的。因此,终端在将数字内容的内容ID发送给存储卡的同时,还将请求的使用权限发送给存储卡。存储卡内控制模块在读取RO存储模块中的数字内容使用权限之后,会对其中的相应内容进行修改,即从约束条件中扣除终端请求的使用权限的量值。比如,终端请求的使用权限是播放某内容1次,那么存储卡就将约束条件中的播放次数减少1次。如果存储卡内某数字内容相应的数字内容使用权限中约束条件相应的量值减少到为0,那么下次终端再向存储卡请求该数字内容的数字内容使用权限就会被存储卡内的控制模块拒绝,只有在用户重新购买了该数字内容的数字内容使用权限之后,才能恢复对该数字内容的使用。
通过存储卡与终端的上述交互过程,可以实现数字内容的安全分发和使用。
Claims (12)
1.一种利用存储卡实现数字内容安全分发和使用的方法,数字内容使用权限保存在存储卡中,加密的数字内容保存在终端中,本方法包括如下步骤:
存储卡向终端发送认证请求,请求信息包括:卡的身份号码和卡证书,卡证书中包含有卡的公钥;
终端接收所述请求信息,并在证书吊销列表中查找是否有卡证书存在,若有,判定卡证书无效,终止认证,否则判定所述卡证书有效,向存储卡发送请求应答,应答信息包括:终端的身份号码、终端证书、证书吊销列表和用卡公钥加密的随机数,终端证书中包含有终端的公钥;
存储卡接收所述应答信息,并在证书吊销列表中查找是否有终端证书存在,若有,则证明终端证书无效,终止认证,并清除证书吊销列表;若没有,则判定所述终端证书有效,存储卡用卡私钥解密终端发送来的随机数,并产生另一随机数,利用终端证书中包含的终端的公钥加密产生的随机数,并对两个随机数进行处理产生会话密钥后,清除所述证书吊销列表,向终端发送终止认证请求,请求信息是用终端公钥加密的随机数;
终端接收终止认证的请求信息,用终端私钥解密存储卡发送来的随机数,并对两个随机数进行处理产生会话密钥,终端利用该会话密钥加密由存储卡产生的随机数后,向存储卡发送终止请求应答,应答信息是用终端产生的会话密钥加密的上述由存储卡产生的随机数;
终端用存储卡产生的会话密钥解密用终端产生的会话密钥加密的由存储卡产生的随机数,并验证解密后的随机数是否与存储卡产生的随机数相同,如果相同,证明存储卡和终端产生了一致的会话密钥,验证成功;
终端向存储卡请求欲使用数字内容的数字内容使用权限;
存储卡根据终端的请求找到相应的数字内容使用权限,用自己产生的会话密钥对其进行加密,并将加密后的数字内容使用权限发送给终端;
终端用自己产生的会话密钥对存储卡发送过来的加密的数字内容使用权限进行解密,恢复出数字内容使用权限明文;
终端用数字内容使用权限中包含的解密密钥对加密的数字内容进行解密,恢复出数字内容明文;
终端使用数字内容。
2.如权利要求1所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,所述判定卡证书有效后还进行以下操作:
终端产生随机数;
终端利用卡证书中包含的卡的公钥加密上述随机数。
3.如权利要求1所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,所述存储卡对两个随机数进行处理采用模2运算。
4.如权利要求1所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,所述终端对两个随机数进行处理采用模2运算。
5.如权利要求1所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,所述方法还包括:
终端验证解密后的随机数与存储卡产生的随机数不相同时,存储卡和终端要重新产生会话密钥,直到产生一致的会话密钥为止。
6.如权利要求1所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,数字内容使用权限的结构如下表:
7.如权利要求6所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,终端向存储卡请求欲使用数字内容的数字内容使用权限包括如下步骤:
终端读取欲使用数字内容的内容标识符,将其发送给存储卡。
8.如权利要求7所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,存储卡根据终端的请求找到相应的数字内容使用权限包括如下步骤:
存储卡根据终端发送的内容标识符找到与该内容标识符相对应的数字内容使用权限。
9.如权利要求6所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,终端使用数字内容按照数字内容使用权限中的内容使用权限及其约束条件进行。
10.如权利要求6所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,数字内容使用结束后,终端用数字内容使用权限中包含的加密密钥对数字内容进行加密。
11.如权利要求6所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,存储卡将加密后的数字内容使用权限发送给终端后,对该数字内容使用权限中的约束条件进行修改,即从约束条件中扣除终端请求的使用权限的量值。
12.如权利要求6所述的利用存储卡实现数字内容安全分发和使用的方法,其特征在于,如果存储卡内某数字内容相应的数字内容使用权限中约束条件相应的量值减少到为0,那么下次终端再向存储卡请求该数字内容的数字内容使用权限就会被存储卡拒绝,只有在用户重新购买了该数字内容的数字内容使用权限之后,才能恢复对该数字内容的使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610086852.2A CN101094062B (zh) | 2006-06-21 | 2006-06-21 | 利用存储卡实现数字内容安全分发和使用的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610086852.2A CN101094062B (zh) | 2006-06-21 | 2006-06-21 | 利用存储卡实现数字内容安全分发和使用的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101094062A CN101094062A (zh) | 2007-12-26 |
| CN101094062B true CN101094062B (zh) | 2011-03-23 |
Family
ID=38992117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610086852.2A Expired - Fee Related CN101094062B (zh) | 2006-06-21 | 2006-06-21 | 利用存储卡实现数字内容安全分发和使用的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101094062B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771538B (zh) * | 2008-12-26 | 2012-10-10 | 同方股份有限公司 | 一种适用于非连通系统的信息保护方法 |
| CN101789863B (zh) * | 2009-01-22 | 2013-01-23 | 深圳市文鼎创数据科技有限公司 | 数据信息安全传输方法 |
| KR101167938B1 (ko) | 2009-09-22 | 2012-08-03 | 엘지전자 주식회사 | 컨텐츠에 대한 권리 이용 방법 |
| CN101719205B (zh) * | 2009-12-25 | 2012-05-23 | 国家广播电影电视总局电影数字节目管理中心 | 一种数字版权管理方法及系统 |
| CN101958969B (zh) * | 2010-07-28 | 2014-02-05 | 中兴通讯股份有限公司 | 无线通信终端及其与ui绑定方法 |
| CN101977113B (zh) * | 2010-11-05 | 2013-05-08 | 四川长虹电器股份有限公司 | 数字版权管理中进行设备认证的方法 |
| CN102542698B (zh) * | 2011-12-27 | 2014-03-12 | 浙江省电力公司 | 一种电力移动缴费终端安全防护方法 |
| CN103258176B (zh) * | 2012-02-20 | 2017-06-30 | 普天信息技术研究院有限公司 | 一种便携式装置 |
| CN103227944B (zh) * | 2013-04-18 | 2016-04-13 | 中国联合网络通信集团有限公司 | 解密预置资源的处理方法和装置 |
| WO2015061941A1 (zh) | 2013-10-28 | 2015-05-07 | 华为终端有限公司 | 一种密钥配置方法和装置 |
| CN107529167A (zh) * | 2016-06-21 | 2017-12-29 | 普天信息技术有限公司 | 一种认证方法 |
| CN107835172A (zh) * | 2017-11-07 | 2018-03-23 | 中铁程科技有限责任公司 | 票据信息验证方法及系统、服务器和计算机可读存储介质 |
| CN112532629B (zh) * | 2020-11-30 | 2023-01-24 | 航天信息股份有限公司 | 一种数据传输方法、装置、设备和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6523115B1 (en) * | 1998-02-18 | 2003-02-18 | Matsushita Electric Industrial Co., Ltd. | Encryption device, decryption device, encryption method, decryption method, cryptography system, computer-readable recording medium storing encryption program, and computer-readable recording medium storing decryption program which perform error diagnosis |
| CN1842759A (zh) * | 2004-03-29 | 2006-10-04 | 三星电子株式会社 | 便携式存储装置以及在便携式存储装置中管理文件的方法 |
-
2006
- 2006-06-21 CN CN200610086852.2A patent/CN101094062B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6523115B1 (en) * | 1998-02-18 | 2003-02-18 | Matsushita Electric Industrial Co., Ltd. | Encryption device, decryption device, encryption method, decryption method, cryptography system, computer-readable recording medium storing encryption program, and computer-readable recording medium storing decryption program which perform error diagnosis |
| CN1842759A (zh) * | 2004-03-29 | 2006-10-04 | 三星电子株式会社 | 便携式存储装置以及在便携式存储装置中管理文件的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 贾可等.基于USB key技术的电子政务安全模式.绵阳师范学院学报26 2.2006,26(2),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101094062A (zh) | 2007-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101094062B (zh) | 利用存储卡实现数字内容安全分发和使用的方法 | |
| US7200230B2 (en) | System and method for controlling and enforcing access rights to encrypted media | |
| CN101872399B (zh) | 基于双重身份认证的动态数字版权保护方法 | |
| CN101902611B (zh) | 一种iptv数字版权保护的实现方法 | |
| US8694783B2 (en) | Lightweight secure authentication channel | |
| CN101977190B (zh) | 数字内容加密传送方法以及服务器端 | |
| US20040019801A1 (en) | Secure content sharing in digital rights management | |
| JP4847145B2 (ja) | クライアントドメイン内でデジタルコンテンツの消費を管理する方法、および該方法を具現化する装置 | |
| CN101464932B (zh) | 硬件安全单元间协作方法、系统及其应用设备 | |
| EP1984889A2 (en) | Secure digital content management using mutating identifiers | |
| TW200541285A (en) | A secure key authentication and ladder system | |
| CN101090316A (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| CN102802036A (zh) | 一种数字电视认证的系统及方法 | |
| CN104243439A (zh) | 文件传输处理方法、系统及终端 | |
| JP2002300158A (ja) | 総合データ配信サービスにおける権利保護方法 | |
| CN103237011A (zh) | 数字内容加密传送方法以及服务器端 | |
| KR20100114321A (ko) | 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법 | |
| CN103546428A (zh) | 文件的处理方法及装置 | |
| KR100875341B1 (ko) | 퍼블릭 네트워크를 이용한 가상 프라이비트 네트워크 생성방법 | |
| CN102236753A (zh) | 版权管理方法及系统 | |
| KR100524646B1 (ko) | 브로드캐스트 메시지 암호화 방법 | |
| KR100989371B1 (ko) | 개인 홈 도메인을 위한 디지털 저작권 관리방법 | |
| KR20130096575A (ko) | 공개키 기반 그룹 키 분배 장치 및 방법 | |
| KR100831726B1 (ko) | Drm 시스템에서의 보안 방법 및 시스템 | |
| EP2299379A1 (en) | Digital rights management system with diversified content protection process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA POTEVIO CO., LTD. Free format text: FORMER OWNER: PUTIAN IT TECH INST CO., LTD. Effective date: 20130917 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130917 Address after: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee after: China Potevio Information Industry Co., Ltd. Address before: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee before: Putian IT Tech Inst Co., Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: PUTIAN IT TECH INST CO., LTD. Free format text: FORMER OWNER: CHINA POTEVIO CO., LTD. Effective date: 20140106 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20140106 Address after: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee after: Putian IT Tech Inst Co., Ltd. Address before: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee before: China Potevio Information Industry Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110323 Termination date: 20150621 |
|
| EXPY | Termination of patent right or utility model |