CN101184087A - 域变换的方法、设备及系统 - Google Patents
域变换的方法、设备及系统 Download PDFInfo
- Publication number
- CN101184087A CN101184087A CNA2007101425390A CN200710142539A CN101184087A CN 101184087 A CN101184087 A CN 101184087A CN A2007101425390 A CNA2007101425390 A CN A2007101425390A CN 200710142539 A CN200710142539 A CN 200710142539A CN 101184087 A CN101184087 A CN 101184087A
- Authority
- CN
- China
- Prior art keywords
- territory
- domain
- manager
- information
- domain manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种合并域的方法,该方法包括:第一域的域管理器向第二域的域管理器发起域合并请求;第一域的域管理器和第二域的域管理器中的一个域管理器获取另一个域的域信息;接收到域信息的域管理器合并本域的域信息和接收到的域信息。本发明同时公开一种拆分域和转移域许可的方法,一种域管理器、许可服务器和通信系统。采用本发明可以简便易行地实现域合并和拆分处理,并且可以确保处理时域信息的完整性和处理后域许可在新域的可用性。
Description
技术领域
本发明涉及数字版权管理技术领域,尤其涉及域变换的方法、设备及系统。
背景技术
数字版权管理(Digital Rights Management,DRM)主要通过权利限制和内容保护方案控制数字内容的使用,保护内容所有者的合法权益。数字内容的发行者(Content Issuer,CI)用内容加密密钥(Content Encryption Key,CEK)对数字内容进行加密后打包为内容数据包。许可服务器(Rights Issuer,RI)负责分发与数字内容相对应的许可(Rights Object,RO),其中包括加密的CEK和对应的权利及限制。DRM终端(DRM Agent)只有同时拥有内容数据包和许可,才能按照许可中的权利和限制消费所购买的数字内容。
为了方便进行许可的分发和管理,OMA(Open Mobile Alliance,开放移动联盟)DRM2.0中引入了域的概念。域是RI管理的一组DRM Agent的集合,同一个域中的DRM Agent共享一些域信息,包括一个唯一的域标识符、用来解密域许可中敏感信息的域密钥等等。RI发行域许可时,利用域密钥对许可中的敏感信息(如许可加密密钥等)进行封装,从而使域内成员在获取域许可后,可以借助域密钥获得内容加密密钥,消费对应的数字内容,而非域内的成员由于无法获得域密钥,则不能访问对应的数字内容。
为了方便用户管理自己的设备,不必在每个RI处建立同样的域,OMA SCE(Secure Content Exchange,安全内容交换)标准中提出了用户域的概念,设置了独立于RI的域管理中心(Domain Authority,DA)用于生成用户域并制定域策略,以及域管理器DEA(Domain Enforcement Agent)用于根据域策略执行具体的域管理功能,包括控制DRM Agent加入/离开用户域。其中域策略为一组用于管理域中成员关系的规则,包括但不限于:域中最多允许的DRMAgent个数(DomainSize)、域生命周期(DomainLifeTime)、该域是否允许合并/拆分、合并/拆分后域中成员关系如何改变等。目前SCE 1.0标准中将DA与DEA看作一个整体,记为DA/DEA。
图1所示为OMA SCE标准中的系统架构图,用户可以在DA/DEA建立一个用户域,DA/DEA向RI和本地许可管理器(Local Rights Manager,LRM)提供域密钥用于RI和LRM为用户域生成许可。其中LRM用于将非OMA保护内容导入到OMA DRM系统中。LRM可以为单个设备导入许可,也可以为2.0域或用户域导入许可。
发明人在实现本发明的过程中,发现在某些场景下,现有的域策略可能不能满足用户的需要,例如用户原先拥有4个设备,建立了一个DomainSize为5的域,用户新购买了2个设备,无法都加入域。因此用户希望将DomainSize增加到10,并且以前购买的域许可可以继续在所有设备上使用。或者,用户希望延长域的有效期。
另外,用户可能需要将某些已经存在的域合并为同一个域,合并后的域包括之前各域的DRM Agent,并且以前各域的内容和许可可以在合并后的域中使用。例如,有两个宿舍一开始建立了两个独立的域:域A和域B,后来两个宿舍的关系比较好,因此想要能够相互访问对方的内容。为了实现类似的场景,现有技术中的一种方法是将域B的设备逐一加入域A,将域A的设备逐一加入域B,显然,该方法的不足之处在于,操作起来非常繁琐。并且,在某些内容保护系统中,设备只允许属于一个域,因此域B的设备加入域A后,就丢失了域B的信息,从而不能访问域B原有的内容。
或者,用户可能需要拆分某个域,域内成员被划分到多个域中,原域的内容和许可在拆分后的各域中均可使用。例如,某个家庭建立了域,家中所有设备共享一些域许可。孩子上大学后,打算和宿舍的同学建立一个合并域,包含同宿舍同学的所有设备,且家庭域的许可可以在合并域中使用。而其他家庭成员的设备仍然留在原域中,可继续使用原域的许可。
上述场景中,用户需要将域许可从一个原域转移到一个新域中,转移后,原域的许可可能需要删除,也可能继续保留并有效。由于域策略发生改变,RI需要判断是否支持新的域策略或者加收额外的费用。
发明内容
本发明实施例提供一种域变换的方法及系统,用以简便易行地实现域合并和拆分处理,并且可以确保处理时域信息的完整性和处理后域许可在新域的可用性。
本发明实施例提供一种合并域的方法,该方法包括步骤:
第一域的域管理器向第二域的域管理器发起域合并请求;
第一域的域管理器和第二域的域管理器中的一个域管理器获取另一个域的域信息;
接收到域信息的域管理器合并本域的域信息和接收到的域信息。
本发明实施例还提供一种合并域的方法,该方法包括:
第一域管理器获取第一域和第二域的域信息;
第一域管理器合并第一域和第二域的域信息,并将合并后的域信息发送给域管理中心。
本发明实施例还提供一种拆分域的方法,该方法包括:
第一域管理器将其管理的第一域的域信息进行拆分,并将拆分后的域信息提供给管理拆分域的域管理器;
管理拆分域的域管理器根据拆分后的域信息建立拆分域。
本发明实施例还提供一种拆分域的方法,该方法包括:
第一域管理器将其管理的第一域的域信息进行拆分;
第一域管理器将拆分后的域信息发送给域管理中心。
本发明实施例还提供一种转移域许可的方法,该方法包括:
终端设备向许可服务器发送转移域许可的请求消息,所述请求消息包括所述域许可所在原域的域信息和转移后新域的域信息;
许可服务器根据所述原域和新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转移到新域,并根据原域的域许可生成新域的域许可;
许可服务器将新域的域许可返回给终端设备。
本发明实施例还提供一种域管理器,包括:
发送单元,用于向另一域的域管理器发起域合并请求;
获取单元,用于获取另一域的域信息;
处理单元,用于合并本域的域信息和接收到的域信息。
本发明实施例还提供一种通信系统,包括:
多个域管理器,用于管理对应域的域成员,其中一个域的域管理器向另一个域的域管理器发起域合并请求;所述两个域管理器中的一个域管理器获取另一个域的域信息,接收到域信息的域管理器合并本域的域信息和接收到的域信息。
本发明实施例还提供一种域管理器,包括:
获取单元,用于获取第一域和第二域的域信息;
合并单元,用于合并第一域和第二域的域信息;
发送单元,用于将合并后的域信息发送给域管理中心。
本发明实施例还提供一种通信系统,包括:
第一域管理器,用于获取第一域和第二域的域信息;合并第一域和第二域的域信息,并将合并后的域信息发送给其它设备;
域管理中心,用于接收合并后的域信息,以及,建立合并域。
本发明实施例还提供一种域管理器,包括:
拆分单元,用于将其管理的第一域的域信息进行拆分;
发送单元,用于将拆分后的域信息提供给其它设备;
建立单元,用于根据拆分后的域信息建立拆分域。
本发明实施例还提供一种通信系统,包括:
多个域管理器,用于管理对应域的域成员,其中第一域管理器将其管理的第一域的域信息进行拆分,并将拆分后的域信息提供给管理拆分域的域管理器;管理拆分域的域管理器根据拆分后的域信息建立拆分域。
本发明实施例还提供一种域管理器,包括:
拆分单元,用于将其管理的第一域的域信息进行拆分;
发送单元,用于将拆分后的域信息发送给域管理中心。
本发明实施例还提供一种通信系统,包括:
第一域管理器,用于将其管理的第一域的域信息进行拆分;将拆分后的域信息发送给其它设备;
域管理中心,用于接收拆分后的域信息,以及,建立拆分域。
本发明实施例还提供一种许可服务器,包括:
接收单元,用于接收转移域许可的请求消息,所述请求消息包括所述域许可所在原域的域信息和转移后新域的域信息;
处理单元,用于根据所述原域和新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转移到新域,并根据原域的域许可生成新域的域许可;
发送单元,用于发送新域的域许可。
本发明实施例还提供一种通信系统,包括:
终端设备,用于发送转移域许可的请求消息,所述请求消息包括所述域许可所在原域的域信息和转移后新域的域信息;以及,接收新域的域许可;
许可服务器,用于接收所述请求消息,根据所述原域和新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转移到新域,并根据原域的域许可生成新域的域许可;以及,将新域的域许可返回给终端设备。
本发明实施例中,一个域管理器通过另一域的域管理器获取所述另一域的域信息,并在获取到所述域信息后,合并本域的域信息与获取到的域信息,从而使两个域的设备能够共享两个域的内容,避免了信息丢失,另外,采用本发明方法无需将设备逐一加入对方域,操作简单方便,实用性强。
本发明实施例中,可以简便易行地实现单级域管理器系统和两级域管理器系统下的域合并和域拆分处理,并且可以确保处理时域信息的完整性和处理后域许可在新域的可用性。
附图说明
图1为背景技术中OMA SCE标准中的系统架构图;
图2为本发明实施例一中通信系统的结构示意图;
图3为本发明实施例一中域管理器的结构示意图;
图4、图5、图6为本发明实施例一中将域管理器B对应域合并到域管理器A对应域的处理流程图;
图7为本发明实施例一中域管理器通知域成员更新合并后的域信息的处理流程图;
图8为本发明实施例一中域成员向域管理器请求获取合并后的域信息的处理流程图;
图9为本发明实施例一中将域管理器A对应域合并到域管理器B对应域的处理流程图;
图10为本发明实施例一中将域管理器A对应域和域管理器B对应域合并成新域的处理流程图;
图11为本发明实施例二中通信系统的结构示意图;
图12为本发明实施例二中域管理器的结构示意图;
图13为本发明实施例二中用户向域管理中心DA请求合并DEA1管理的域A和DEA2管理的域B的处理流程图;
图14为本发明实施例二中DEA同时触发设备退出原域并加入新域的处理流程图;
图15为本发明实施例二中由DEA直接将合并域的信息发送给DRM Agent以进行域合并的处理流程图;
图16A、图16B为本发明实施例二中由用户向DEA请求发起域合并的处理流程图;
图17为本发明实施例三中域管理器的结构示意图;
图18为本发明实施例三中用户向DEA1请求拆分DEA1管理的域A为两个域的处理流程图;
图19为本发明实施例三中域管理器触发DRM Agent进行域拆分的处理流程图;
图20为本发明实施例四中域管理器的结构示意图;
图21为本发明实施例四中用户向DA请求拆分DEA1管理的域A的处理流程图;
图22为本发明实施例四中由用户向DEA请求拆分DEA1管理的域A的处理流程图;
图23为本发明实施例五中通信系统的结构示意图;
图24为本发明实施例五中域管理器的结构示意图;
图25为本发明实施例五中域执行相关操作变换后DRM Agent通过RI对许可进行转移的处理流程图;
图26为本发明实施例五中由RI接收到DRM Agent1的转移许可请求后向原域的域管理器请求撤销该原域许可的处理流程图;
图27为本发明实施例五中DRM Agent在加入新域前撤销所有原域许可的处理流程图;
图28为本发明实施例五中具体实例中转移域许可的处理流程图。
具体实施方式
为了清楚的说明本发明实施例方法,下面提供实施例一和实施例二,分别说明单级域管理器系统和两级域管理器系统中域合并的具体实施。
实施例一、单级域管理器系统中的域合并
参阅图2所示,本实施例中一种通信系统包括:多个域管理器201及对应域的域成员设备202;所述域管理器201用于管理对应域的域成员设备202,其中,一个域的域管理器向另一个域的域管理器发起域合并请求;所述两个域管理器中的一个域管理器获取另一个域的域信息,接收到域信息的域管理器合并本域的域信息和接收到的域信息。
参阅图3所示,本实施例中的域管理器具体包括:发送单元301、获取单元302、处理单元303;所述发送单元301,用于向另一域的域管理器发起域合并请求;所述获取单元302,用于获取另一域的域信息;所述处理单元303,用于合并本域的域信息和接收到的域信息。在所述处理单元303合并域信息后,所述发送单元还向合并后的域成员设备或所述另一域的域管理器发送合并后的域信息。
下面以将域管理器A对应的域和域管理器B对应的域进行合并为例进行说明。
用户通过域管理器A向域管理器B请求合并域管理器A对应的域和域管理器B对应的域时,若用户知道域管理器B的地址,则直接操作两个域管理器相互通信,若用户不知道域管理器B的地址,则通过域管理器A查询周围其他域的信息,如由域管理器A广播发送一个查询消息,其他域的域管理器收到后向域管理器A返回响应消息,并携带一些本域的信息,如域名等。域管理器A将一段时间内收到的响应消息通过人机接口展现给用户看,由用户选择某个需要合并的域(在本实施例中为域B),后续由域管理器A与域管理器B进行通信。
域管理器A通过人机接口提示用户选择将域管理器A对应的域和域管理器B对应的域进行合并的方式,用户可以选择将域管理器B对应的域合并到域管理器A对应的域,也可以选择将域管理器A对应的域合并到域管理器B对应的域,还可以选择将域管理器A对应的域与域管理器B对应的域合并成一个新域。
参阅图4所示,本实施例中合并域管理器A对应的域和域管理器B对应的域的处理流程如下:
步骤401、用户通过域管理器A向域管理器B请求将域管理器B对应的域合并到域管理器A对应的域。在域管理器A向域管理器B发送的请求消息中,还携带域管理器A对应的域的标识符,用以表明域管理器A的身份。
步骤402、域管理器B在收到域管理器A的请求消息后,通过人机接口提示用户确认是否同意将两域合并,若如果用户同意将两域合并,则域管理器B将本域的一些域信息通知域管理器A,所述域信息包括:域管理器B对应域的标识符、当前的域成员数目、域密钥、域当前的成员列表其中之一或任意组合。
步骤403、域管理器A在接收到域管理器B发送的域信息后,将接收到的域信息合并到本域的域信息中以更新本域的域信息。
在步骤403中,域管理器A执行更新本域的域信息的操作包括:域管理器A根据域管理器B对应域的成员数目更新本域的成员数目,则本域当前的成员数目应等于本域合并前的成员数目加上域管理器B对应域合并前的成员数目;域管理器A在本地保存域管理器B对应域的域信息,如标记域管理器B对应域为本域的父域,并保存域管理器B对应域的域密钥。在执行上述更新操作之前,域管理器A需要检查本域和域管理器B对应域是否满足合并的条件,如检查合并后的域成员数目是否超过了本域所允许的最大的成员数目,若满足合并的条件则进行合并,若不满足合并的条件则不进行合并,不执行上述更新操作。
图4所示流程中收发的消息可以通过HTTP来承载。一般地,为了保证两个域管理器交互时域信息的有效性,当两个域管理器进行域合并时,需要在消息交互期间暂时锁定自己某些的域管理功能,如在这段时间其他设备无法通过该域管理器加入域或离开域,在交互结束后,再重新激活域管理功能。若域合并成功,其中某个域管理器(一般是被合并掉的域的域管理器,在图4所示流程中即域管理器B)可能不再执行域管理功能,而成为一个普通的域成员或者域网关。所谓的域网关即指由于一个域的设备可能不在一个本地的局域网中,因此在某些域管理系统中,每个本地网存在一个域网关,用以执行部分和域相关的操作,如当设备需要查找本地是否存在域时,域网关会响应设备的广播消息,并将一些域信息告诉设备。
图4所示流程中,通过一条简单的响应消息获取域管理器B对应域的域信息,这里也可以通过若干条消息来获取域管理器B对应域的域信息,参阅图5所示,处理流程如下:
步骤501、域管理器A向域管理器B发送域合并请求,请求将域管理器B对应域合并到域管理器A对应域。
步骤502、域管理器A和域管理器B协商会话过程所需密钥以建立一安全通道,保证后续敏感信息传送的安全性和机密性,所述密钥可用于加密后续消息或消息中的一些敏感信息,也可用于对消息进行完整性保护。这里建立所述安全通道可采用多种方式,如双方分别产生一个随机数,并且用对方的公钥加密传给对方,双方利用所述两个随机数和规定的算法生成相同的会话密钥。当然,此步骤也可以在步骤501之前完成。
步骤503、域管理器B向域管理器A返回一些规定的域信息,所述域信息包括域管理器B对应域当前的成员数目、域密钥、域标识、域当前的成员列表其中之一或任意组合。域管理器B可以用会话密钥对消息做完整性保护,域管理器A在收到消息后,可以通过所述会话密钥检查消息是否被篡改,进而确定消息中的成员数目是否可靠。
步骤504、域管理器A根据两个域当前的域信息判断是否允许两个域合并,如判断两个域的域成员数目之和是否超过了规定的最大数目,若不允许合并,则结束该流程。
步骤505、域管理器在确定两个域满足合并的条件时,向域管理器B发送确认合并消息。
步骤506、域管理器B收到确认消息后,将对应域的域密钥返回给域管理器A,该域密钥可以用所述会话密钥加密,以保证没有第三方能够窃听获取该域密钥。域管理器B也可以用所述会话密钥对消息做完整性保护。
步骤507、域管理器A收到域管理器B对应域的域密钥后,更新本域的域信息,包括在本地保存该域密钥,并且标记域管理器B对应域为本域的父域。域管理器A可以根据域管理器B对应域的成员数目来更新本域的成员数目,当然,这一工作也可以在步骤504完成。
步骤508、域管理器A将合并后的域信息通知域管理器B,所述通知消息包括本域的标识符、本域更新后的成员数目和本域的域密钥。域管理器B在本地记录这些信息。
图5所示流程中,由域管理器B向域管理器A发送域信息,由域管理器A判断是否允许合并,而在某些内容保护系统中可能需要合并的双方都检查是否允许这两个域进行合并,只有通过双方检查,才能进行合并。因此,域管理器B也需要获取域管理器A对应域的成员数目等信息,参阅图6所示,处理流程如下:
步骤601、域管理器A向域管理器B发送域合并请求,请求将域管理器B对应域合并到域管理器A对应域。
步骤602、域管理器A和域管理器B协商用于加密和/或完整性保护的会话密钥以建立一安全通道。
步骤603、域管理器A和域管理器B相互交换各自的成员数目等信息。此交换操作可通过多种方式完成,如域管理器B收到合并请求后,向域管理器A请求获取域管理器A对应域的成员数目,域管理器A通过响应消息将该成员数目信息通知域管理器B,这里域管理器A可以用会话密钥对所述响应消息做完整性保护。
步骤604、域管理器A和域管理器B各自判断是否允许两域合并,如由域管理器B判断域管理器A对应域的成员数目加上本域的成员数目是否超过了本域规定最大值,若超过,则不允许合并,若没有超过,则域管理器B向域管理器A返回自己当前的成员数目,由域管理器A来继续判断是否允许合并。
步骤605、当域管理器A和域管理器B判断双方可以合并时,各自向对方发送一个确认合并消息。
步骤606、域管理器A和域管理器B相互交换域密钥。在双方通信时,可以用会话密钥加密域密钥,从而防止第三方非法窃听并获取该密钥。,如域管理器A判断可以合并后,将自己的域密钥返回给域管理器B,域管理器B在响应消息中将本域的域密钥返回给域管理器A,从而使双方都获取到了对方的域密钥。该交换域密钥的步骤可以和交换域成员数目等信息的步骤603合并,即在携带成员数目等信息的消息中同时携带本域的密钥。
步骤607、域管理器A和域管理器B各自根据获取到的对方域信息,进行域信息的更新操作,包括更新合并后的域成员数目,标记本域为域管理器A的对应域,标记域管理器B对应域为域管理器A对应域的父域,保存两域的域密钥。
参阅图7所示,在域管理器A生成新的域信息后,可以主动的将该信息通知域内成员,所述域内成员包括原域管理器A对应域和域管理器B对应域的成员。
步骤701至703为域合并流程,前述图4到图6所示流程已对其进行了详细说明,这里不再赘述。
步骤704、域管理器A在生成最新的域信息后,通知原域管理器A对应域的成员域信息已更新。
一般地,域管理器A向网络广播一条更新消息,该消息至少包括域A的标识符以及域A最新的域信息。若域管理器A对应域的成员不在同一个本地网中,则域管理器A还需要通过点对点的方式将该消息发送给另外的本地网的域网关,由域网关负责向其所在的本地网广播该消息。收到该广播消息的设备通过判断消息中的域标识符来判断是否需要处理该消息。若设备不属于该消息中域标识符所对应的域,则直接丢弃该消息,否则设备根据该消息更新本地保存的域信息。所述域信息包括当前域成员数目。所述域信息也可以包括域管理器B对应域的标识符、域密钥、域当前的成员列表,设备保存该信息并表示域管理器B对应域为本域的父域,从而该设备可以访问域管理器B对应域的内容。域管理器A用本域的域密钥对域更新消息做完整性保护,设备同样用本域的域密钥对消息进行验证,从而可以确认该消息是本域的一个域成员发起的并且该消息在传播过程中没有被篡改。域管理器A也可以对消息中的一些重要消息做加密处理。在另外的实现中,域管理器A也可以用自己的私钥对消息做机密性和完整性保护,设备用域管理器A的公钥来对消息进行验证。
步骤705、域管理器B通知原域管理器B对应域的成员加入域管理器A对应域。
一般地,域管理器B向网络广播一条更新消息,该消息中包含:域管理器A对应域的标识符、域管理器B对应域的标识符、域管理器A对应域的域密钥和/或当前的成员数目等。域管理器B同样也可以通过点对点通道向域网关发送该消息。域管理器B可以用本域的域密钥对消息做完整性和/或机密性保护。域管理器B对应域的成员收到该消息后,根据该消息更新域信息,包括:标记自己为域管理器A对应域的成员、保存域管理器A对应域的域密钥、标记域管理器B对应域为域管理器A对应域的父域、保存域管理器B对应域的域密钥等等。
原域管理器B对应域的成员可以搜索自己本地保存的许可证,将许可证用原本域的域密钥解封装后,重新用新的域密钥进行封装,这样保证了在域合并后,所有绑定到域的许可证都是用同样的域密钥进行封装的。域管理器B可以从域管理器A处获取合并后的域信息,如图5所示流程的步骤508,域管理器A将域信息通知域管理器B;域管理器B也可以自己生成合并后的域信息,如图6所示流程的步骤606,域管理器B通过交互获取了足够的信息后自己生成合并后的最新域信息。
图7所示流程中,通知消息携带足够的更新信息,如新的域密钥等,域成员根据该消息更新域。当然,该消息也可能仅仅是一条简单的通知消息,域成员收到该消息后,需要向域管理器请求获取域信息。
图7所示流程中,域管理器B负责通知域管理器B对应域的成员更新域信息,另一种实现是域管理器A同时也负责通知域管理器B对应域的成员更新域信息,由于域管理器A也知道域管理器B对应域的域密钥,因此该消息和步骤705所述的消息基本一致,区别仅在于消息的发起方不同。
图7所示流程中,若一个域成员不在线,那么该成员就无法获得所述通知消息,无法正确的更新域信息。参阅图8所示,上述不在线的域成员重新连接到网络后及时获取合并后的域信息的处理流程如下:
步骤801、没有收到域更新通知消息的原域管理器B对应域的成员重新连接到网络上时,首先向所在本地网络广播一条更新请求消息,所述消息至少包括当前域的标识符。
步骤802、域管理器或域网关根据消息中携带的域标识符,判断该请求设备是否为合并前的域的成员,即该请求设备和域管理器/域网关所在的域相同或其中一个设备所在的域是另一个设备所在域的父域。此时,网络中的所有设备都会收到该消息,但只有域管理器或域网关会处理该消息。
步骤803、域管理器或域网关在确定请求设备为合并前的域的成员时,向所述请求设备返回一响应消息,该消息包括:域管理器A对应域的标识符、域管理器B对应域的标识符、域管理器A对应域的域密钥和/或当前的成员数目。域管理器或域网关可以用域管理器B对应域的域密钥对消息做完整性和机密性保护。
图8所示流程,原域管理器B对应域的成员获取合并后的域信息,类似的,原域管理器A对应域的成员也可以通过更新请求消息来获取合并后的域信息,此时域管理器或域网关需要用域管理器A对应域的域密钥来对消息做完整性和机密性保护。
图4至图6所示流程为由合并的一方向被合并的一方发起合并请求,即域管理器A向域管理器B请求将域管理器B对应域合并到域管理器A对应域,这里也可以由用户选择由被合并的一方向合并的一方发起请求合并,参阅图9所示,处理流程如下:
步骤901、域管理器A向域管理器B发送域合并请求消息,请求将域管理器A对应域合并到域管理器B对应域。
步骤902、域管理器B收到请求消息后,向域管理器A获取对应的域信息,所述域信息包括域管理器A对应域的域密钥及当前的成员数目等。一种实现方式是,域管理器B向域管理器A返回一条请求域信息的消息,而域管理器A将上述的域信息放在响应消息中传给域管理器B。当然,为了安全性,两个域管理器之间可以先建立一条安全通道,并且也可用多条消息来获取域管理器A对应域的域信息,传递域密钥之前可先根据双方当前的域信息判断是否允许合并等,类似于图5和图6所示的相应流程,在此不作赘述。
步骤903、域管理器B获取所需的域信息,在判断两个域可以进行合并后,更新本域的信息,所作更新操作包括更新当前域的成员数目、记录域管理器A对应域为域管理器B对应域的父域、保存域管理器A对应域的域密钥等。
步骤904、域管理器B在本域更新后将合并后的域信息通知域管理器B对应域和/或域管理器A对应域的成员,具体的通知方法在参阅图7和图8所示流程,在此不作赘述。
参阅图10所示,用户也可以选择将域管理A对应域和域管理器B对应域合并成一个新域,处理流程如下:
步骤1001、域管理器A向域管理器B发送请求消息,请求将域管理A对应域和域管理器B对应域合并成一个新域。
步骤1002、域管理器A获取域管理器B对应域的域信息。
步骤1003、域管理器A为新域生成域信息,该域信息包括新域的域标识符、域密钥等。域管理器A在新域的域信息中还记录新域的两个父域即域管理器A对应域和域管理器B对应域的域标识符,以及记录两个域的域密钥。
步骤1004、域管理器A生成新域后,将新域的域信息通知域管理器A对应域和域管理器B对应域的成员(包括域管理器B),域管理器可以主动的向域内成员发送通知消息,类似于图7所示流程相应的步骤;也可等待域内成员的更新请求,通过响应消息将通知信息发送给请求设备,类似图8所示流程相应的步骤。
图10所示流程中,也可以由域管理器B获取域管理器A对应域的域信息,并将两域的域信息合并为一个新域的域信息,处理流程与上述流程类似。
实施例二、两级域管理器系统中的域合并
参阅图11所示,本实施例中一种通信系统包括:域管理中心1101、域管理器1102、域成员设备1103;其中,域管理中心1101用于建立域并制定域的域策略;域管理器1102,用于管理域成员设备1103,获取第一域和第二域的域信息;合并第一域和第二域的域信息,并将合并操作通知域管理中心1101。
参阅图12所示,本实施例中一种域管理器包括:获取单元1201、合并单元1202、发送单元1203;其中,获取单元1201,用于获取第一域和第二域的域信息;合并单元1202,用于合并第一域和第二域的域信息;发送单元1203,用于将合并合并操作通知域管理中心。
下面以将域管理器DEA1管理的域和域管理器DEA2管理的域进行合并为例进行说明。
如图13所示,用户向域管理中心DA请求合并DEA1管理的域A和DEA2管理的域B的处理流程如下:
步骤1301、用户向DA请求合并DEA1管理的域A和DEA2管理的域B。用户可以通过浏览器登录DA的portal进行选择,或者可以通过DEA或其他设备向DA发送请求消息。合并域可以是一个新域,也可以是将各原域的设备和/或许可合并到某个原域中,或者可以延用某个原域的一些信息,如域标识、域密钥等。下面假设合并域为一个新域。可选的,用户可以选择域合并的规则,例如合并域的域策略、合并域的成员设备、原域的许可是否需要绑定到合并域、合并后原域是否仍然存在并有效等。这些规则也可在域A和域B的域策略中定义。
步骤1302、DA根据域A和域B的策略判断是否允许合并,如果允许合并则执行步骤1303,否则中止域合并。
步骤1303、DA建立合并域并制定合并域的域策略。合并域的域策略可以由用户选择,也可以由域A和域B的域策略得出,如合并域的DomainSize为域A和域B的DomainSize之和。
步骤1304、DA根据用户选择或者根据域A和域B的策略确定合并域的域管理器为DEA1,向DEA1发送建立合并域请求,请求消息中包含合并域的域标识、域策略等,还包括各原域的信息(标识和/或别名等)以及管理各原域的DEA信息(标识、别名和地址等中的一项或多项)。
步骤1305、DEA1根据DA提供的信息获知需要合并DEA2管理的域B,向DEA2请求域B的信息(包括当前设备数、设备列表等)。请求消息中包含域B的域标识。可选的,请求消息中还包含合并域的信息(标识和/或策略等),和域合并的规则,如请求满足什么条件的设备,例如需要与DEA1满足一定程度的临近限制。
为了向DEA2证明域合并的合法性,DEA1可向DEA2提供DA对域合并信息的签名数据,其中域合并信息包括合并域的标识、管理合并域的DEA、原域的标识等。也可以由DA直接向DEA2发送域合并请求,请求消息中包含合并域的信息和管理合并域的DEA。DEA2收到该消息后,可以等待DEA1向其请求域B的信息,也可以主动将域B的信息提供给DEA1。
步骤1306、DEA2向DEA1返回域B的相关信息。如果请求消息中包含对设备的条件限制,则本消息中返回满足条件限制的设备列表。
步骤1307、DEA1根据获取的各原域的信息判断是否可以合并,如检查各原域设备数量之和是否满足要合并域的DomainSize限制。如果可以,则DEA1将域A的信息与域B的信息合并,并向DA返回成功的合并域响应,继续执行步骤1308,否则DEA1向DA返回失败的合并域响应,后续DA根据该失败的合并域响应,可以与用户交互由用户调整合并域的规则,如进一步限定加入合并域的设备,或者中止合并域过程。
步骤1308、DEA1根据用户选择或者根据域A和域B的策略确定哪些DRMAgent需要退出域A和/或加入合并域,并触发这些DRM Agent执行相应加入和/或退出域的操作。DEA1可以先触发DRM Agent离开原域,然后触发DRMAgent加入合并域,或者相反。也可以同时触发设备退出原域并加入新域。DEA2触发域B中的DRM Agent退出域B。DRM Agent离开原域后删除原域信息,或者将其置为不可用。DEA在DRM Agent离开原域或加入合并域的过程中将原域和合并域的关系通知DRM Agent,DRM Agent将原域和合并域的关系保存在本地,用于DRM Agent将许可转移到合并域后继续使用许可。
为了保证不在线的DRM Agent及时更新域信息,可要求DRM Agent每次上线时向域管理器发送上线通知消息,域管理器触发DRM Agent进行加入域和/或退出域过程。
步骤1309、管理各原域的DEA根据用户选择或者根据原域的策略判断其管理的原域是否仍然保留,如果不再保留则删除原域。
域合并过程中DEA可以锁定原域的某些功能,例如不允许DRM Agent加入/离开域等。域合并成功或异常中止后,如果某些原域仍然保留,则DEA可恢复被锁定的原域功能。
步骤1307中,根据域A和域B的当前信息判断是否允许合并也可以由DA在步骤1302执行,如果DA本地不保存域的最新信息,则在步骤1302之前需要向管理各原域的DEA请求域的最新信息。步骤1307中DEA1向DA返回合并域响应也可以在步骤1304后立即执行。
步骤1302中根据域策略判断能否合并的操作也可以由DEA执行,例如DEA1在步骤1304之后判断域A是否允许合并,并根据判断结果决定后续是否继续域合并操作,DEA2在步骤1305之后判断域B是否允许合并,并根据判断结果向DEA1返回响应。当然,也可以由DEA1从DA或DEA2处获取域B的策略后自行判断。合并域的域策略可由DEA1在步骤1307中上报给DA。
图13所示流程也适用于合并多个域的情况。如果所有的原域均由DEA1管理,则无需步骤1305和1306请求和返回设备列表的操作。
如果DEA2管理多个要合并的原域,则步骤1305的请求消息中可包含多个要合并的域标识,步骤1306中可以返回多个域的信息,或者执行多次步骤1305和1306分别获取各原域信息。
如果用户请求合并的域由不同的DA管理,则在步骤1302之前DA需要与其他DA交互域信息,包括域策略等。
如果合并域延用某个原域的域标识和域密钥,如域A,仅修改域策略,则步骤1308中域A的DRM Agent无需重新加入域即可成为合并域的成员。另外,也可以触发不再属于合并域的DRM Agent退出域。为了防止属于域A而不再属于合并域的DRM Agent继续使用合并域的新许可,可以进行域升级,更新域密钥。
如果合并域为原域之一,如域A,则步骤203中DA无需重新制定合并域的域策略,步骤1308中域A的DRM Agent无需重新加入域即可成为合并域的成员。另外,也可以触发不再属于合并域的DRM Agent退出域。为了防止属于域A而不再属于合并域的DRM Agent继续使用合并域的新许可,可以进行域升级,更新域密钥。
较佳的,步骤1308中DEA同时触发设备退出原域并加入新域的处理流程如图14所示,包括:
步骤1401、DEA向DRM Agent发送域合并触发器,触发器包含合并域的信息,如域标识、域别名、合并到该域的原域等。另外DEA还可根据用户定义的规则或原域的策略确定DRM Agent是否需要加入合并域以及需要退出的原域,并在触发器中包含这些原域的信息,如域标识、域别名、管理该域的DEA的信息(DEA标识、别名、地址等)。
步骤1402、DRM Agent接收到触发器后,可以通过界面与用户交互,由用户选择是否加入合并域,以及是否退出DRM Agent所在的原域,当然,也可以不与用户交互,而是直接根据触发器中的DRM Agent是否需要加入合并域以及需要退出的原域信息,自动执行相应加入域/退出域操作。DRM Agent删除本地保存的要退出的原域的信息,或者将本地保存的原域的信息标记为不可用,并保存原域和合并域的关系。DRM Agent向DEA发送域合并请求,请求消息中包含DRM Agent要加入的合并域的信息和要退出的原域的信息。域信息包含域标识、域别名等。
步骤1403、DEA根据DRM Agent的请求将DRM Agent信息从DEA保存的原域信息中删除,并添加到合并域的信息中,向DRM Agent返回处理结果,以及合并域的信息,其中包含域密钥、域有效期等。DRM Agent将接收到的合并域的信息保存在本地,并记录合并到该域的各原域的信息,包含域标识、域别名、管理该域的DEA的信息(DEA标识、别名、地址等)。
图14所示流程中,由DEA向DRM Agent发送触发器触发DRM Agent进行域合并,由DRM Agent根据触发器向DEA请求合并域的信息(域密钥、域有效期等);另一实施例中,也可以由DEA直接将合并域的信息(域密钥、域有效期等)发送给DRM Agent,而无需DRM Agent再向DEA请求合并域的信息,如图15所示,处理流程如下:
步骤1501、DEA向DRM Agent发送域合并请求,请求包含合并域的信息,如域标识、域别名、域密钥、域有效期、合并到该域的原域等。另外DEA还可根据用户定义的规则或原域的策略确定DRM Agent是否需要加入合并域以及需要退出的原域,并在请求消息中包含这些原域的信息,如域标识、域别名、管理该域的DEA的信息(DEA标识、别名、地址等)。
步骤1502、DRM Agent接收到请求后,可以通过界面与用户交互由用户选择是否加入合并域,是否退出DRM Agent所在的原域,也可以不与用户交互直接根据请求消息中的DRM Agent是否需要加入合并域以及需要退出的原域信息,自动执行相应加入域/退出域操作。DRM Agent删除本地保存的要退出的原域的信息,或者将本地保存的原域的信息标记为不可用,并保存原域和合并域的关系。DRM Agent将接收到的合并域的信息保存在本地,并记录合并到该域的各原域的信息,包含域标识、域别名、管理该域的DEA的信息(DEA标识、别名、地址等)。DRM Agent向DEA返回响应消息,包括DRM Agent要加入的合并域的信息和要退出的原域的信息。域信息包含域标识、域别名等。
DEA根据DRM Agent的响应将DRM Agent信息从DEA保存的原域信息中删除,并添加到合并域的信息中。
图13所示域合并的流程为用户向DA请求合并域发起,另一实施例中,也可由用户向DEA请求发起,DEA接收到用户请求后可以转发给DA,进行域合并处理。DEA也可以自行判断能否合并域并生成合并域的域策略,向DA请求建立新域。如图16A所示,具体处理流程如下:
步骤1601、用户向DEA1请求合并DEA1管理的域A和DEA2管理的域B。用户可以通过DEA1的人机界面进行选择,也可以通过浏览器登录DEA1的portal进行选择,或者可以通过DA或其他设备向DEA1发送请求消息。合并域可以是一个新域,也可以是将各原域的设备和/或许可合并到某个原域中,或者可以延用某个原域的某些信息,如域标识、域密钥等。下面的流程假设合并域为一个新域。可选的,用户可以选择域合并的规则,例如合并域的域策略、合并域的成员设备、原域的许可是否需要绑定到合并域、合并后原域是否仍然存在并有效等。这些规则也可在域A和域B的域策略中定义。
步骤1602、DEA1根据用户输入的信息向DEA2请求域B的信息。请求消息中包含域B的域标识。可选的,请求消息还可以包含合并域的信息(标识和/或策略等),和/或域合并的规则,如请求满足什么条件的设备,例如满足某种临近限制。
步骤1603、DEA2通过域B的策略或者与用户交互判断是否允许合并,如果允许则向DEA1返回域B的策略及域B的设备列表。如果请求消息中包含选择条件,则本消息中返回满足条件限制的设备列表。
步骤1604、DEA1根据DEA2返回的域B的信息和域A的策略判断是否允许合并,如果允许合并则执行步骤1605,否则中止域合并。
步骤1605、DEA1根据用户选择或域A和域B的策略制定合并域的域策略。
步骤1606、DEA1向DA请求建立合并域,请求消息中包含合并域标识,域策略,原域的标识。
步骤1607、DA返回响应,表示处理状态是否成功。如果成功则DEA1执行步骤1608,否则中止合并流程。可选的,DA通知DEA2域合并。
步骤1 608、DEA1根据用户选择或者根据域A的策略触发域A中的DRMAgent退出域A和/或触发域A和域B中的DRM Agent加入新域。DEA2根据用户选择或者根据域B的策略触发域B中的DRM Agent退出域B。DRM Agent将原域和合并域的关系保存在本地。
步骤1609、管理各原域的DEA根据用户选择或者根据原域的策略判断其管理的原域是否仍然保留,如果不再保留则删除原域的信息。
DEA1可以在步骤1602中判断域A的策略是否允许合并,如果允许合并则继续后续步骤,否则中止域合并。
如果合并域延用某个原域的域标识和域密钥,如域A,仅修改域策略,则步骤1608中域A的DRM Agent无需重新加入域即可成为合并域的成员。可以触发不再属于合并域的DRM Agent退出域。为了防止属于域A而不再属于合并域的DRM Agent继续使用合并域的新许可,可以进行域升级,更新域密钥。
如果合并域为原域之一,如域A,则DEA1无需执行步骤1605生成合并域的域策略。如果DA无需保存原域和合并域的关系,则无需执行步骤1606中DEA1向DA请求建立合并域及步骤1607中DA返回响应的操作。此种情况下,DEA2删除域B前需要向DA发送请求,DA删除本地保存的域B的信息并返回响应,如图16B所示的步骤1606’及步骤1607’。
为了清楚的说明本发明实施例方法,下面提供实施例三和实施例四,分别说明单级域管理器系统和两级域管理器系统中域拆分的具体实施。
实施例三、单级域管理器系统中的域拆分
本实施例中通信系统的结构与图2所示通信系统的结构相同,此时域管理器201,用于管理对应域的域成员,其中第一域管理器将其管理的第一域的域信息进行拆分,并将拆分后的域信息提供给管理拆分域的域管理器;管理拆分域的域管理器根据拆分后的域信息建立拆分域。
如图17所示,本发明实施例中一种域管理器包括:拆分单元1701、发送单元1702、建立单元1703;其中,拆分单元1701,用于将其管理的第一域的域信息进行拆分;发送单元1702,用于将拆分后的域信息提供给其它设备;建立单元1703,用于根据拆分后的域信息建立拆分域。
下面以将域管理器1对应的域进行拆分为例进行说明。
如图18所示,用户向域管理器1请求拆分域管理器1管理的域A为两个域的处理流程如下:
步骤1801、用户向域管理器1请求拆分域管理器1管理的域A为两个域。可以拆分出两个新域,也可以将某些设备从域A中独立出来形成一个新域,或者某个拆分域可以延用域A的某些信息,如域标识、域密钥等。用户可以直接操作域管理器1的人机界面进行选择,也可以通过浏览器登录域管理器1的portal进行选择,或者可以通过其他设备向域管理器1发送请求消息。可选的,用户可以选择域拆分的规则,例如拆分域的域策略、拆分域的域成员设备、原域的域许可是否需要绑定到拆分域、拆分后原域是否仍然存在并有效等。这些规则也可在域A的域策略中定义。
步骤1802、域管理器1根据域A的域策略判断是否允许拆分。如果允许则执行步骤1803,否则中止域拆分。
步骤1803、域管理器1根据用户选择或根据域A的策略选择管理拆分域的域管理器,例如,由域管理器2管理其中一个拆分域B。域管理器1向域管理器2发送建立拆分域请求,请求消息中包含域B的域标识、域策略、成员设备列表。可选的,域管理器2返回响应。
步骤1804、各拆分域的域管理器分别建立拆分域。例如域管理器1建立域C,域管理器2建立域B。
步骤1805、域管理器1根据用户选择或者根据域A的策略触发DRM Agent退出域A和/或加入域C。域管理器2根据用户选择或者根据域A的策略触发DRM Agent加入域B。DRM Agent将原域和拆分域的关系保存在本地。
步骤1806、域管理器1根据用户选择或者根据域A的策略判断域A是否仍然保留,如果不再保留则删除域A的信息。
图18所示流程同样也适用于各拆分域均由域管理器1管理的情形,此时无需执行步骤1803的操作。
在域拆分过程中,原域的部分功能需要暂时锁定,例如不允许DRM Agent加入/离开域等。域拆分成功或异常中止后,如果域A仍然保留,域管理器1可恢复被锁定的原域功能。
一个实施例中,步骤1805中域管理器触发DRM Agent进行域拆分的处理流程如图19所示,包括:
步骤1901、域管理器向DRM Agent发送域拆分触发器,触发器包含各拆分域的信息和原域的信息。域信息包含域标识、域别名、管理该域的域管理器的信息(域管理器标识、别名、地址等)。触发器中可包含DRM Agent是否需要退出原域以及需要加入哪些拆分域的标识信息。
步骤1902、DRM Agent接收到触发消息后,可以通过界面与用户交互,由用户选择是否加入拆分域,以及是否退出原域;也可以不与用户交互,而是直接根据触发器中的DRM Agent是否需要退出原域以及需要加入的拆分域信息,自动执行相应的加入域/退出域操作。DRM Agent删除本地保存的要退出的原域的信息,或者将本地保存的原域的信息标记为不可用,并保存原域和拆分域的关系。DRM Agent向域管理器发送域拆分请求,请求消息中包含DRMAgent要加入的拆分域的信息和要退出的原域的信息。域信息包含域标识、域别名等。
步骤1903、域管理器根据DRM Agent的请求,将DRM Agent信息从域管理器保存的原域信息中删除,并添加到拆分域的信息中,向DRM Agent返回处理结果,以及拆分域的信息,其中包含域密钥、域有效期等。DRM Agent将接收到的拆分域的信息保存在本地,并记录拆分为该域的原域的信息,包含域标识、域别名、管理该域的域管理器的信息(域管理器标识、别名、地址等)。
图19所示流程中,由域管理器向DRM Agent发送触发器触发DRM Agent进行域拆分,由DRM Agent根据触发器向域管理器请求拆分域的信息(域密钥、域有效期等);另一实施例中,也可以由域管理器直接将拆分域的信息(域密钥、域有效期等)通过域拆分请求消息发送给DRM Agent,这里不再赘述。
实施例四、两级域管理器系统中的域拆分
本实施例中通信系统的结构与图11所示通信系统的结构相同,其中,域管理器1102用于将其管理的第一域的域信息进行拆分;将拆分操作通知域管理中心1101。
如图20所示,本实施例中一种域管理器包括拆分单元2001、发送单元2002;其中,拆分单元2001,用于将其管理的第一域的域信息进行拆分;发送单元2002,用于将拆分操作通知域管理中心。
仍以将域管理器DEA1对应的域进行拆分为例进行说明。
如图21所示,用户向DA请求拆分DEA1管理的域A的处理流程如下:
步骤2101、用户向DA请求拆分DEA1管理的域A。可以拆分出两个新域,也可以将某些设备从域A中独立出来形成一个新域,或者某个拆分域可以延用域A的某些信息,如域标识、域密钥等。用户可以通过浏览器登录DA的portal进行选择,或者可以通过其他设备向DA发送请求消息。可选的,用户可以选择域拆分的规则,例如拆分域的域策略、拆分域的成员设备、原域的许可是否需要绑定到拆分域、拆分后原域是否仍然存在并有效等。这些规则也可在域A的域策略中定义。
步骤2102、DA根据域A的策略判断是否允许拆分,如果允许拆分则执行步骤2103,否则中止域拆分。
步骤2103、DA建立拆分域并制定拆分域的域策略。拆分域的域策略可以由用户选择,也可以由域A的域策略得出。
步骤2104、DA根据用户选择或者根据域A的策略确定拆分域的域管理器,例如由DEA1管理域B,DEA2管理域C。DA向管理各拆分域的DEA发送建立拆分域请求,请求消息中包含拆分域的信息(域标识、域别名、域策略、管理拆分域的DEA等),还包括原域的信息(标识和/或别名等)和管理原域的DEA信息(标识、别名和地址等中的一项或多项)。可选的,DEA1和DEA2返回响应。
步骤2105、DEA2向DEA1请求域A的设备列表。请求消息中包含域A的域标识。可选的包含域C的信息(标识和/或策略等),和/或域拆分的规则,如请求满足什么条件的设备,例如满足某种临近限制。也可以由DEA1在步骤2104后主动将域A的设备列表发送给DEA2,可选的DEA2返回响应。
步骤2106、DEA1向DEA2返回域A的设备列表。如果请求消息中包含选择条件,则本消息中返回满足条件限制的设备列表。
步骤2107、DEA1根据用户选择或者根据域A的策略触发DRM Agent退出域A和/或加入域C。DEA2根据用户选择或者根据域A的策略触发DRMAgent加入域B。DRM Agent将原域和拆分域的关系保存在本地,用于DRMAgent将许可转移到拆分域中继续使用。
步骤2108、DEA1根据用户选择或者根据域A的策略判断域A是否仍然保留,如果不再保留则删除域A的信息。
图21所示流程中,DA将域C的信息发给DEA2,由DEA2向DEA1请求域A的设备列表。可选的,DA也可以将所有拆分域的信息均发给DEA1,由DEA1向DEA2发送域B的信息和设备列表。此时,为了证明拆分域信息的有效性,DA可以对其签名。
如果拆分域均由DEA1管理,则无需执行步骤2105和步骤2106请求和返回设备列表的操作。
如果DEA2管理多个拆分域,则步骤2105的请求消息中可包含多个拆分域标识,步骤2106返回多个域的设备列表,或者执行多次步骤2105和步骤2106分别获取各拆分域设备列表,也可以获取域A的设备列表后自行根据条件进行选择。如果管理拆分域的DEA有多个,则其他DEA同样向DEA1请求各域的设备列表。
图21所示流程中,由用户向DA请求拆分域,另一实施例中,也可由用户向DEA请求拆分域,DEA接收到用户请求后可以将拆分域请求转发给DA,执行拆分域的处理流程。DEA也可以自行判断能否拆分域并生成拆分域的域策略,向DA请求建立新域。如图22所示,具体处理流程如下:
步骤2201、用户向DEA1请求拆分域A为两个域。可以拆分出两个新域,也可以将某些设备从域A中独立出来形成一个新域,或者某个拆分域可以延用域A的某些信息,如域标识、域密钥等。用户可以通过DEA1的人机界面进行选择,也可以通过浏览器登录DEA1的portal进行选择,或者可以通过其他设备向DEA1发送请求消息。可选的,用户可以选择域拆分的规则,例如拆分域的域策略、拆分域的成员设备、原域的许可是否需要绑定到拆分域、拆分后原域是否仍然存在并有效等。这些规则也可在域A的域策略中定义。
步骤2202、DEA1根据域A的策略判断是否允许拆分,如果允许拆分则执行步骤2205,否则中止域拆分。
步骤2203、DEA1根据用户选择或域A的策略生成拆分域的域策略并确定管理各拆分域的DEA,例如由DEA1管理域B,DEA2管理域C。
步骤2204、DEA1向DA请求建立拆分域,请求消息中包含各拆分域的标识、域策略和DEA,原域的标识。
步骤2205、DA返回响应,表示是否允许拆分域。如果允许拆分则执行步骤2206,否则中止域拆分。
步骤2206、DEA1向管理拆分域的DEA2发送建立拆分域请求,请求消息中包含域C的信息,包括域标识、域别名、域策略和设备列表等中的一项或多项。可选的,DEA2向DEA1返回响应。为了向DEA2证明域拆分的合法性,DEA1可提供DA对域拆分信息的签名数据。也可以由DA直接向DEA2发送建立拆分域请求,请求消息中包括拆分域的标识、域策略、原域的标识、管理原域的DEA等。DEA2收到请求后可以等待DEA1向DEA2发送原域的信息,如设备列表,也可以主动向DEA1请求。
步骤2207、DEA1根据用户选择或者根据域A的策略触发DRM Agent退出域A和/或加入域B。DEA2根据用户选择或者根据域A的策略触发DRMAgent加入域B。DRM Agent将原域和拆分域的关系保存在本地。
步骤2208、DEA1根据用户选择或者根据域A的策略判断域A是否仍然保留,如果不再保留则删除域A的信息。
图22所示流程中,如果拆分域均由DEA1管理,则无需步骤2206发送设备列表的过程。
如果DEA2管理多个拆分域,则步骤2206中可包含多个拆分域信息,或者执行多次步骤2205和步骤2206分别发送各拆分域信息。如果管理拆分域的DEA有多个,则DEA1同样向其他DEA发送各拆分域的设备列表。
为了清楚的说明本发明实施例方法,下面提供实施例五,说明对域执行相关操作(合并、拆分、更新域策略等)后,原域的许可可以在新域内继续使用和传播的具体实施。
实施例五、域变换后在新域中使用原域许可
本实施例中,一种通信系统的结构如图23所示,包括:许可服务器2301、终端设备2302;其中,许可服务器2301,用于根据域许可所在原域的域信息和转换后新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转换到新域,生成新域的域许可;以及,发送新域的域许可;终端设备2302,用于接收许可服务器2301发送的新域的域许可。
本实施例中的一种许可服务器如图24所示,包括:处理单元2401、发送单元2402;其中,处理单元2401,用于根据域许可所在原域的域信息和转换后新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转换到新域,生成新域的域许可;发送单元2402,用于发送新域的域许可。一个实施例中,许可服务器还可包括一接收单元(图中未示出),用于接收转移域许可的请求消息,请求消息包括域许可所在原域的域信息和转移后新域的域信息;或,用于接收域管理器或域管理中心提供的原域和新域的域信息。
域变换(合并、拆分、更新域策略等)后,DRM Agent通过RI对许可进行转移的过程如图25所示。若原域许可转移到新域之后,不允许原域许可继续使用和传播,则需要在转移域许可之前撤销域内其他DRM Agent上的许可。撤销许可可以通过域管理器或者本地许可管理器执行。下面以域管理器执行域许可撤销为例说明本实施例方法。
步骤2501、各域管理器通过交互对域执行相关操作,如域合并、域拆分、更新域策略等。
步骤2502、域管理器将原域和新域的关系通知DRM Agent。如果DRMAgent加入新域,可以由新域的域管理器通过加入域响应消息将该关系通知DRM Agent,如DRM Agent1。如果DRM Agent退出原域,可以由原域的域管理器通过退出域响应消息将该关系通知DRM Agent,如DRM Agent2。域管理器也可以通过单独的消息将该关系通知DRM Agent。DRM Agent将原域和新域的关系保存在本地。
步骤2503、如果原域已删除,用户希望继续使用原域许可,或者用户希望将许可共享给新域的其他设备,用户操作DRM Agent1将原域许可转移到新域中,为了使原域的DRM Agent不能再使用原域许可,DRM Agent1向原域的域管理器请求撤销该原域许可。消息中包含许可标识、域标识等。如果在步骤2501中已保证原域的DRM Agent不能再使用原域许可,则无需向域管理器请求撤销许可,直接执行步骤2507。
步骤2504、原域的域管理器向该原域中的所有DRM Agent发送撤销域许可请求。消息中包含许可标识。DRM Agent1可以在步骤2503后撤销本地的域许可,此时域管理器无需向DRM Agent1发送撤销域许可请求。
步骤2505、原域中的DRM Agent撤销本地的域许可,例如将其删除,并向原域的域管理器返回响应。如果该域许可为有状态许可,例如有次数限制、累积时间限制等,则DRM Agent可能需要在响应中返回许可的状态信息,即DRM Agent消费该许可的情况,可以表示为许可的权限用了多少,或者表示为剩余多少。
步骤2506、原域的域管理器收到所有DRM Agent的撤销响应后,向DRMAgent1返回响应消息。消息中包含处理结果,如表示成功或者失败。如果该域许可为有状态许可,则域管理器可能在响应中返回该域许可的总状态信息,该总状态信息由步骤2505中域内各DRM Agent返回的许可状态信息综合得到。为了向RI证实该信息的真实性,域管理器可能需要对信息进行签名。原域的域管理器可以设置时间限制,如果超过时间限制仍未收到所有DRM Agent的响应,则返回失败信息给DRM Agent1。或者可以提示用户,由用户选择中止许可转移操作还是操作未响应的DRM Agent撤销许可并返回响应。
步骤2507、DRM Agent1向RI请求将该原域的许可绑定到新域。请求消息中包含许可标识、许可需要绑定的新域的标识、新域的域管理器标识和/或地址等信息。如果RI不保存曾经下发的许可,则DRM Agent1必须在请求消息中携带原许可。如果该许可为有状态许可,则消息中可能包含该域许可的总状态信息,可选的包含域管理器对其的签名。
步骤2508、如果RI没有新域的信息,则从新域的域管理器获取新域的信息。请求消息中包含域标识,表示需要获取哪个域的信息,可选的包含标志位,表示需要获取该域的哪些信息,例如域密钥、域策略、原域信息、域变换时间等。如果RI没有与该域管理器相互认证或认证已经过期,则在步骤2508前先执行相互认证过程。
步骤2509、新域的域管理器向RI返回新域的信息,如域密钥,用于RI重新封装许可;域策略,用于RI判断是否允许进行许可转换及是否需要额外收费等;原域信息,用于RI判断用户请求的新域是否由许可绑定的域转换而来;域变换时间,用于RI判断许可生成时间是否在域变换之前。
步骤2510、RI根据DRM Agent1的请求和域管理器返回的信息判断用户请求是否合法,如判断许可绑定的原域是否在域管理器返回的原域信息中,若是则执行后续判断,否则向DRM Agent1返回错误码。RI判断是否支持该新域的策略,如果支持则用新域的域密钥对许可重新封装后返回给DRM Agent1,否则返回错误码。RI对许可重新封装前可以根据原域和新域的策略、原域许可的总状态信息对用户进行收费,或者在许可中增加附加限制,如限制可使用该许可的设备数。
图25所示流程中,RI可在步骤2508中包含许可绑定的原域标识,向新域的域管理器查询该原域是否与新域有关。新域的域管理器在步骤2509中向RI返回查询结果。
在步骤2507之后,RI可能已经从域管理器获取了新域的最新信息并已保存在本地,则RI无需执行步骤2508和步骤2509从域管理器获取和返回域信息的过程,而直接执行步骤2510。
如果原域的DRM Agent可以继续使用原域许可,为了防止DRM Agent拥有两份同样的许可而造成权限扩散的问题,可以采用上述撤销原域许可的方法进行实施,也可以采用RI为新域许可保留原域许可的标识,DRM Agent为收到的域许可设置防重放列表的方法进行实施,以使DRM Agent继续使用原域许可。但是对于有状态许可,原域中的DRM Agent继续使用以前的剩余许可,而不能使用新域许可。
为了保证许可等值,RI可以在新域许可中增加限制。例如原域DomainSize为5,而新域DomainSize为10,则RI生成新域许可时可以限制只可以发给5个DRM Agent。
在两级域管理器系统中,步骤2508和2509中RI可能向域管理中心请求获取域信息。
图25所示流程中,由DRM Agent1向原域的域管理器请求撤销所述域许可,另一实施例中,也可以由RI接收到DRM Agent1的转移许可请求后,向原域的域管理器请求撤销该原域许可,如图26所示,处理流程如下:
步骤2601、各域管理器通过交互对域执行相关操作,如域合并、域拆分、更新域策略等。
步骤2602、域管理器将原域和新域的关系通知DRM Agent。
步骤2603、用户通过DRM Agent1向RI请求将该原域的许可绑定到新域。请求消息中包含许可标识、许可需要绑定的新域的标识、新域的域管理器标识和/或地址等信息。可选的包含许可。
步骤2604至步骤2605、如果RI没有新域的信息,则从新域的域管理器获取新域的信息。
步骤2606、RI根据新域的域管理器返回的信息判断用户请求是否合法以及是否支持该新域的策略,如果是则根据DRM Agent1提供的信息或者RI本地保存的许可中的信息向原域的域管理器请求撤销该原域许可。消息中包含许可标识、域标识等。
步骤2607、原域的域管理器向该原域中的成员发送撤销域许可请求。
步骤2608、原域中的DRM Agent撤销本地的域许可,例如将其删除,并向原域的域管理器返回响应。如果是有状态许可,则DRM Agent可能需要在响应中返回许可的状态信息。
步骤2609、原域的域管理器收到所有DRM Agent的撤销响应后,向RI返回响应消息。消息中包含处理结果,如表示成功或者失败。如果该域许可为有状态许可,则域管理器可能在响应中返回该域许可的总状态信息。原域的域管理器可以设置时间限制,如果超过时间限制仍未收到所有DRM Agent的响应,则返回失败信息给RI。或者可以提示用户进行处理。
步骤2610、RI使用新域的域密钥对许可重新封装后返回给DRM Agent1。
在两级域管理器系统中,步骤2604和2605中RI可能向域管理中心请求获取域信息。
图25和图26所示流程中,由DRM Agent向RI请求转移域许可,同样的,也可以由域管理器或本地许可管理器向RI发起请求。
图25和图26所示流程中,在用户请求转移域许可时,撤销原域内所有DRM Agent本地的许可,用户等待时间可能会较长。另一实施例中,要求DRMAgent在加入新域前撤销所有原域许可,并可选的将许可的状态信息发送给RI,或经过域管理器或本地许可管理器汇总后发送给RI。RI在收集到所有DRMAgent的撤销许可信息和/或许可的状态信息后生成新域的许可,并触发新域的DRM Agent来获取许可。如图27所示,其处理流程如下:
步骤2701、各域管理器通过交互对域执行相关操作,如域合并、域拆分、更新域策略等。
步骤2702、原域的域管理器将原域的设备列表通知新域的域管理器。
步骤2703、新域的域管理器触发DRM Agent加入新域,并要求DRM Agent在加入新域前撤销原域许可。可选的可以指定需要撤销的许可标识。
步骤2704、原域的DRM Agent撤销本地的原域许可,如将其删除。
步骤2705、原域中的DRM Agent向新域的域管理器请求加入域,并确定已经撤销本地的原域许可。如果是有状态许可,则DRM Agent可能需要上报许可的状态信息。
步骤2706、新域的域管理器收到所有DRM Agent的撤销响应后,向RI发送转换许可消息。消息中可选的包含各DRM Agent上报的许可状态信息汇总。原域的域管理器可以设置时间限制,如果超过时间限制仍未收到所有DRMAgent的响应,则将已获得的许可状态信息汇总上报给RI请求转换许可。此后,如果原域中的DRM Agent请求加入新域,则要求删除原域许可。或者原域的域管理器可以在未收到所有DRM Agent的响应时提示用户进行处理,由用户选择将已获得的许可状态信息汇总上报或者操作未发送响应的DRM Agent进行响应处理,由此避免某些DRM Agent不在线而不能及时处理的问题,因保证域许可转移的成功执行。
步骤2707、RI根据新域的域管理器的请求将原域的许可绑定到新域。
步骤2708、RI触发新域的DRM Agent获取新域许可。
图25、图26、图27所示流程同样适用于本地许可管理器导入的许可,实施时将其处理流程与图25、图26、图27所示流程类似。
下面给出域许可转移的一个具体实例:
假设学生甲、乙各自建立了个人域,甲的域Domain1包括甲的PC、手机、mp3,由甲的PC作为域管理器,DomainSize为5,乙的域Domain2包括乙的PC、手机、mp3等,由乙的PC作为域管理器,DomainSize为5。他们各自购买了大量歌曲相关的许可。例如,甲拥有的许可RO1的片断如下:
<ro id=″RO1″domainRO=″true″> //表示许可的标识
<riID>RI1</riID> //表示生成许可的许可服务器的标识
<rights> //表示该许可包含的权限
<agreement>
<asset>
<context>
<uid>mp3_1</uid> //表示许可关联的内容的标识
</context>
</asset>
<permission>
<play>
<constraint>
<count>10</count> //表示该许可关联的内容可被播放10次
</constraint>
</play>
</permission>
</agreement>
…
</rights>
…
<encKey Id=″K_MAC_and_K_REK″>
<KeyInfo>
<domainID>Domainl</domainID> //表示许可绑定的域标识
</KeyInfo>
</encKey>
</ro>
学生甲、乙希望将他们的设备合并为一个域,可以在任意的设备上共享以前所购买的内容。因此建立一个域Domain3,包括甲、乙的所有设备,由乙的PC作为域管理器,DomainSize为10。
如图28所示,域许可转移的处理流程如下:
步骤2801、甲的PC和乙的PC进行交互建立Domain3。
步骤2802、甲的PC和乙的PC向甲、乙所有的设备发送消息,将这些设备加入Domain3,并在消息中表示Domain3由Domain1和Domain2合并而来。
步骤2803、甲想将RO1转移到新域中,则操作手机向RI1请求将RO1绑定到Domain3。
步骤2804、RI1向乙的PC请求Domain1的域密钥、域策略和原域信息。
步骤2805、RI1从乙的PC获取Domain3的域密钥,并获知DomainSize为10,且Domain3的原域为Domain1和Domain2。
步骤2806、RI1判断RO1绑定的Domain1在Domain3的原域信息中,则向Domain1的域管理器甲的PC请求撤销RO1。
步骤2807、甲的PC向甲的手机、mp3发送请求撤销RO1。
步骤2808、甲的手机、mp3分别向甲的PC返回响应,手机返回已播放3次,mp3返回已播放5次。
步骤2809、甲的PC向RI返回响应,表示RO1已撤销,且已播放8次。
步骤2810、RI根据甲的PC返回的许可状态信息对用户额外收费,并使用Domain3的密钥将RO1重新封装为RO2并返回给甲的手机。RO2片断如下:
<ro id=″RO2″domainRO=″true″> //表示许可的标识
<riID>RI1</riID> //表示生成许可的许可服务器的标识
<rights> //表示该许可包含的权限
<agreement>
<asset>
<context>
<uid>mp3_1</uid> //表示许可关联的内容的标识
</context>
</asset>
<permission>
<play>
<constraint>
<count>10</count> //表示该许可关联的内容可被播放10次
</constraint>
</play>
</permission>
</agreement>
…
</rights>
…
<encKey Id=″K_MAC_and_K_REK″>
<KeyInfo>
<domainID>Domain3</domainID> //表示许可绑定的域标识
</KeyInfo>
</encKey>
</ro>
经过上述处理,甲可以在手机上继续收听mp3_1且可以将RO1共享给乙的设备。
本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
本发明实施例中,一个域管理器通过另一域的域管理器获取所述另一域的域信息,并在获取到所述域信息后,合并本域的域信息与获取到的域信息,从而使两个域的设备能够共享两个域的内容,避免了信息丢失,另外,采用本发明方法无需将设备逐一加入对方域,操作简单方便,实用性强。
本发明实施例中,可以简便易行地实现单级域管理器系统和两级域管理器系统下的域合并和域拆分处理,并且可以确保处理时域信息的完整性和处理后域许可在新域的可用性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (81)
1.一种合并域的方法,其特征在于,该方法包括步骤:
第一域的域管理器向第二域的域管理器发起域合并请求;
第一域的域管理器和第二域的域管理器中的一个域管理器获取另一个域的域信息;
接收到域信息的域管理器合并本域的域信息和接收到的域信息。
2.如权利要求1所述的方法,其特征在于,第一域的域管理器向第二域的域管理器发起域合并请求前,第一域的域管理器和第二域的域管理器协商用于加密和/或完整性保护的会话密钥;或者,第一域的域管理器向第二域的域管理器发起域合并请求后,第一域的域管理器和第二域的域管理器协商用于加密和/或完整性保护的会话密钥。
3.如权利要求1所述的方法,其特征在于,第一域的域管理器和第二域的域管理器中的一个域管理器获取另一个域的域信息是指第一域的域管理器获取第二域的域信息和/或第二域的域管理器获取第一域的域信息。
4.如权利要求3所述的方法,其特征在于,所述域信息包括域标识符、域密钥、域当前的成员数目、域当前的成员列表其中一项或任意组合。
5.如权利要求1所述的方法,其特征在于,接收到域信息的域管理器进行合并时,先判断本域和接收到的域信息所对应的域是否满足合并的条件,并在满足合并的条件时合并本域的域信息和接收到的域信息。
6.如权利要求5所述的方法,其特征在于,所述合并的条件为本域和接收到的域信息所对应的域的域成员数目之和不超过允许的范围。
7.如权利要求1所述的方法,其特征在于,接收到域信息的域管理器进行合并时,将接收到的域信息合并到本域的域信息中;或者,将本域的域信息合并到接收到的域信息中;或者,将接收到的域信息和本域的域信息合并为一个新域的域信息。
8.如权利要求7所述的方法,其特征在于,接收到域信息的域管理器将接收到的域信息合并到本域的域信息中或将本域的域信息合并到接收到的域信息中时,在本地保存接收到的域信息所对应的域的域密钥和域标识符。
9.如权利要求8所述的方法,其特征在于,接收到域信息的域管理器将接收到的域信息合并到本域的域信息中或将本域的域信息合并到接收到的域信息中时,在本地记录本次合并。
10.如权利要求9所述的方法,其特征在于,所述在本地记录本次合并是指将被合并的域信息所对应的域的域标识符记录为合并后的域信息所对应的父域的域标识符。
11.如权利要求7所述的方法,其特征在于,接收到域信息的域管理器将接收到的域信息和本域的域信息合并为一个新域的域信息时,生成新域的域密钥和域标识符并在本地保存。
12.如权利要求7所述的方法,其特征在于,接收到域信息的域管理器将接收到的域信息和本域的域信息合并为一个新域的域信息时,在本地保存接收到的域信息所对应的域及原本域的域密钥和域标识符。
13.如权利要求12所述的方法,其特征在于,接收到域信息的域管理器将接收到的域信息和本域的域信息合并为一个新域的域信息时,在本地记录本次合并。
14.如权利要求13所述的方法,其特征在于,所述在本地记录本次合并是指将接收到的域信息所对应的域及原本域的域标识符记录为新域的父域的域标识符。
15.如权利要求1所述的方法,其特征在于,接收到域信息的域管理器进行合并时,所述接收到的域信息所对应的域管理器转换为域成员或域网关。
16.如权利要求1至15任一项所述的方法,其特征在于,接收到域信息的域管理器将合并后的域信息通知域成员,或者,域成员请求接收到域信息的域管理器向其发送合并后的域信息。
17.如权利要求16所述的方法,其特征在于,所述合并后的域信息用域成员合并前所属域的域密钥进行加密和/或完整性保护。
18.如权利要求16所述的方法,其特征在于,所述合并后的域信息为合并后的域的域标识符、合并后的域的域密钥、父域的域标识符、父域的域密钥和/或合并后的域的成员数目。
19.如权利要求16所述的方法,其特征在于,接收到的域信息所对应域的域成员在接收到合并后的域信息后,将本地许可证用原本域的域密钥解封装,用接收到的合并后的域的域密钥重新封装。
20.一种合并域的方法,其特征在于,该方法包括:
第一域管理器获取第一域和第二域的域信息;
第一域管理器合并第一域和第二域的域信息,并将合并操作结果通知域管理中心。
21.如权利要求20所述的方法,其特征在于,该方法进一步包括:由域管理中心向第一域管理器请求合并第一域和第二域,第一域管理器根据域管理中心的请求获取第一域和第二域的域信息。
22.如权利要求21所述的方法,其特征在于,域管理中心向第一域管理器请求合并第一域和第二域时,还提供合并域、第一域、第二域、管理第一域的域管理器、管理第二域的域管理器的相关信息其中一项或任意组合。
23.如权利要求21所述的方法,其特征在于,域管理中心向第一域管理器请求合并第一域和第二域之前,先根据第一域和第二域的域策略确定是否允许第一域与第二域进行合并,并在确定允许时,向第一域管理器请求合并第一域和第二域。
24.如权利要求20或21所述的方法,其特征在于,第一域和第二域由第一域管理器管理,第一域管理器从本地获取第一域和第二域的域信息;
或,第一域由第一域管理器管理,第二域由第二域管理器管理,第一域管理器从本地获取第一域的域信息,从域管理中心和/或第二域管理器获取第二域的域信息。
25.如权利要求24所述的方法,其特征在于,第一域管理器从第二域管理器获取第二域的域信息包括:
第一域管理器向第二域管理器发送域合并请求消息,第二域管理器根据所述域合并请求消息,向第一域管理器返回域合并响应消息,并在所述域合并响应消息中携带第二域的域信息;
或,第二域管理器直接向第一域管理器发送第二域的域信息。
26.如权利要求25所述的方法,其特征在于,第一域管理器向第二域管理器发送所述域合并请求消息时,提供域管理中心的签名数据。
27.如权利要求25所述的方法,其特征在于,由域管理中心触发第二域管理器直接向第一域管理器发送第二域的域信息。
28.如权利要求20所述的方法,其特征在于,该方法进一步包括:第一域管理器在确定第一域和第二域满足合并的条件时,合并第一域和第二域的域信息。
29.如权利要求28所述的方法,其特征在于,第一域管理器确定第一域和第二域满足合并的条件包括:第一域管理器确定第一域和第二域的域成员设备数目之和不超过允许的范围。
30.如权利要求20所述的方法,其特征在于,第一域和第二域的域信息包括:第一域和第二域的域策略、域成员设备数目、域成员设备列表之一或任意组合。
31.如权利要求20所述的方法,其特征在于,该方法进一步包括:
第一域和第二域由第一域管理器管理,第一域和第二域的设备通过第一域管理器加入合并域和/或退出原域;
或,第一域由第一域管理器管理,第二域由第二域管理器管理,第一域的设备通过第一域管理器加入合并域和/或退出第一域,第二域的设备通过第二域管理器加入合并域和/或退出第二域。
32.如权利要求31所述的方法,其特征在于,该方法进一步包括:第一域和第二域的设备在接收到域管理器发送的触发消息后,通过向域管理器请求加入合并域和/或退出原域,获得合并域的域信息;
或,第一域和第二域的设备直接接收域管理器发送的合并域的域信息。
33.如权利要求31所述的方法,其特征在于,该方法进一步包括:第一域和第二域的设备在加入合并域和/或退出原域时,保存合并域和原域的关系。
34.如权利要求33所述的方法,其特征在于,该方法进一步包括:第一域和第二域的设备根据所述合并域和原域的关系,将原域的许可绑定到合并域。
35.如权利要求20所述的方法,其特征在于,第一域管理器将合并操作结果通知域管理中心时,在通知消息中携带合并后的域信息。
36.如权利要求20所述的方法,其特征在于,该方法进一步包括:域管理中心和域管理器在域合并之后,删除第一域和/或第二域的域信息。
37.一种拆分域的方法,其特征在于,该方法包括:
第一域管理器将其管理的第一域的域信息进行拆分,并将拆分后的域信息提供给管理拆分域的域管理器;
管理拆分域的域管理器根据拆分后的域信息建立拆分域。
38.如权利要求37所述的方法,其特征在于,管理拆分域的域管理器与第一域管理器为相同的域管理器;或,管理拆分域的域管理器与第一域管理器为不同的域管理器。
39.如权利要求38所述的方法,其特征在于,由第二域管理器管理拆分域,第一域管理器向第二域管理器发送拆分域的域信息。
40.如权利要求37所述的方法,其特征在于,第一域的域信息包括第一域的域策略、域成员设备数目、域成员设备列表之一或任意组合。
41.如权利要求37所述的方法,其特征在于,该方法进一步包括:第一域管理器触发第一域的设备退出第一域和/或加入拆分域。
42.如权利要求37所述的方法,其特征在于,该方法进一步包括:第一域的设备在退出第一域或加入拆分域时,保存第一域和拆分域的关系。
43.如权利要求42所述的方法,其特征在于,该方法进一步包括:第一域的设备根据所述第一域和拆分域的关系将第一域的许可绑定到拆分域。
44.一种拆分域的方法,其特征在于,该方法包括:
第一域管理器将其管理的第一域的域信息进行拆分;
第一域管理器将拆分操作结果通知域管理中心。
45.如权利要求44所述的方法,其特征在于,该方法进一步包括:由域管理中心向第一域管理器请求拆分第一域,第一域管理器根据域管理中心的请求将第一域的域信息进行拆分。
46.如权利要求45所述的方法,其特征在于,域管理中心向第一域管理器请求拆分第一域时,提供拆分域、原域、管理拆分域的域管理器的相关信息中的一项或任意组合。
47.如权利要求44或45所述的方法,其特征在于,由第二域管理器管理拆分域,第二域管理器从第一域管理器和/或域管理中心获取拆分域的域信息。
48.如权利要求47所述的方法,其特征在于,第二域管理器从第一域管理器获取拆分域的域信息包括:
第二域管理器向第一域管理器发送获取拆分域的域信息的请求消息,第二域管理器根据所述请求消息,向第一域管理器返回响应消息,并在所述响应消息中携带拆分域的域信息;
或,第一域管理器直接向第二域管理器发送拆分域的域信息。
49.如权利要求48所述的方法,其特征在于,由域管理中心触发第二域管理器向第一域管理器发送获取拆分域的域信息的请求消息。
50.如权利要求49所述的方法,其特征在于,域管理中心触发第二域管理器向第一域管理器发送获取拆分域的域信息的请求消息时,提供拆分域、原域、管理原域的域管理器的相关信息中的一项或任意组合。
51.如权利要求44所述的方法,其特征在于,第一域的域信息包括第一域的域策略、域成员设备数目、域成员设备列表之一或任意组合。
52.如权利要求44所述的方法,其特征在于,该方法进一步包括:第一域管理器触发第一域的设备退出第一域和/或加入拆分域。
53.如权利要求44所述的方法,其特征在于,该方法进一步包括:第一域的设备在退出第一域或加入拆分域时,保存第一域和拆分域的关系。
54.如权利要求53所述的方法,其特征在于,该方法进一步包括:第一域的设备根据所述第一域和拆分域的关系将第一域的许可绑定到拆分域。
55.如权利要求44所述的方法,其特征在于,第一域管理器将拆分操作结果通知域管理中心时,在通知消息中携带拆分后的域信息。
56.如权利要求44所述的方法,其特征在于,该方法进一步包括:域管理中心和第一域管理器在域拆分后,删除第一域的域信息。
57.一种转换域许可的方法,其特征在于,该方法包括:
许可服务器根据域许可所在原域的域信息和新域的域信息,确定所述新域由原域经过域变换得到时,将原域许可转换到新域,生成新域的域许可;
许可服务器将新域的域许可发送给终端设备。
58.如权利要求57所述的方法,其特征在于,该方法进一步包括:许可服务器接收终端设备、域管理器或本地许可管理器发送的转换域许可的请求消息,所述请求消息包括所述原域的域信息和新域的域信息。
59.如权利要求58所述的方法,其特征在于,所述请求消息进一步包括原域许可。
60.如权利要求58所述的方法,其特征在于,终端设备根据本地保存的所述域许可所在原域和转换后新域的对应关系,向许可服务器请求将域许可转换到新域。
61.如权利要求60所述的方法,其特征在于,由所述域许可所在原域的域管理器或转换后新域的域管理器将所述对应关系提供给终端设备。
62.如权利要求57所述的方法,其特征在于,所述域变换是指所述新域由所述原域经过合并、拆分或更改域策略而得。
63.如权利要求57所述的方法,其特征在于,所述许可服务器根据域许可所在原域的域信息和新域的域信息,确定所述新域由原域经过域变换得到包括:
许可服务器向新域的域管理器或域管理中心查询新域相关的原域的域信息,并在确定所述原域的域信息与查询到的原域的域信息一致时,确定所述新域由原域经过域变换得到;
或者,许可服务器将所述原域的域信息发送给新域的域管理器或域管理器中心,新域的域管理器或域管理中心将所述原域的域信息与本地保存的新域相关的原域的域信息一致时,通知许可服务器确定所述新域由原域经过域变换得到。
64.如权利要求57所述的方法,其特征在于,所述许可服务器根据原域的域许可生成新域的域许可包括:许可服务器用新域的域密钥对域许可重新进行封装。
65.如权利要求57所述的方法,其特征在于,向许可服务器请求转换域许可时,由终端设备、许可服务器或原域的域管理器触发原域内的各设备撤销所述域许可;或,在原域转换为新域时,由终端设备、许可服务器或原域的域管理器触发原域内的各设备撤销所述域许可。
66.如权利要求65所述的方法,其特征在于,撤销所述域许可包括删除所述域许可或将所述域许可置为不可用状态。
67.如权利要求65所述的方法,其特征在于,原域内的各设备撤销域许可后,向许可服务器返回所述域许可的状态信息;许可服务器根据所述域许可的状态信息转换所述域许可。
68.如权利要求57所述的方法,其特征在于,许可服务器将新域的域许可发送给终端设备包括:许可服务器触发终端设备获取新域的域许可;或,许可服务器直接将新域的域许可发送给终端设备。
69.一种域管理器,其特征在于,包括:
发送单元,用于向另一域的域管理器发起域合并请求;
获取单元,用于获取另一域的域信息;
处理单元,用于合并本域的域信息和接收到的域信息。
70.一种通信系统,其特征在于,包括:
多个域管理器,用于管理对应域的域成员,其中一个域的域管理器向另一个域的域管理器发起域合并请求;所述两个域管理器中的一个域管理器获取另一个域的域信息,接收到域信息的域管理器合并本域的域信息和接收到的域信息。
71.如权利要求70所述的系统,其特征在于,一个域的域管理器向另一域的域管理器发起域合并请求前,所述两个域管理器协商用于加密和/或完整性保护的会话密钥;或者,一个域的域管理器向另一域的域管理器发起域合并请求后,所述两个域管理器协商用于加密和/或完整性保护的会话密钥。
72.如权利要求70所述的系统,其特征在于,接收到域信息的域管理器进行合并时,将接收到的域信息合并到本域的域信息中;或者,将本域的域信息合并到接收到的域信息中;或者,将接收到的域信息和本域的域信息合并为一个新域的域信息。
73.一种域管理器,其特征在于,包括:
获取单元,用于获取第一域和第二域的域信息;
合并单元,用于合并第一域和第二域的域信息;
发送单元,用于将合并操作通知域管理中心。
74.一种通信系统,其特征在于,包括:
第一域管理器,用于获取第一域和第二域的域信息;合并第一域和第二域的域信息,并将合并操作通知其它设备;
域管理中心,用于接收所述第一域管理器发送的合并操作通知,以及,建立合并域。
75.一种域管理器,其特征在于,包括:
拆分单元,用于将其管理的第一域的域信息进行拆分;
发送单元,用于将拆分后的域信息提供给其它设备;
建立单元,用于根据拆分后的域信息建立拆分域。
76.一种通信系统,其特征在于,包括:
多个域管理器,用于管理对应域的域成员,其中第一域管理器将其管理的第一域的域信息进行拆分,并将拆分后的域信息提供给管理拆分域的域管理器;管理拆分域的域管理器根据拆分后的域信息建立拆分域。
77.一种域管理器,其特征在于,包括:
拆分单元,用于将其管理的第一域的域信息进行拆分;
发送单元,用于将拆分操作通知域管理中心。
78.一种通信系统,其特征在于,包括:
第一域管理器,用于将其管理的第一域的域信息进行拆分;将拆分操作通知其它设备;
域管理中心,用于接收所述第一域管理器的拆分操作通知,以及,建立拆分域。
79.一种许可服务器,其特征在于,包括:
处理单元,用于根据域许可所在原域的域信息和转换后新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转换到新域,生成新域的域许可;
发送单元,用于发送新域的域许可。
80.如权利要求79所述的许可服务器,其特征在于,进一步包括:
接收单元,用于接收转移域许可的请求消息,所述请求消息包括所述域许可所在原域的域信息和转移后新域的域信息;或,用于接收域管理器或域管理中心提供的原域和新域的域信息。
81.一种通信系统,其特征在于,包括:
许可服务器,用于根据域许可所在原域的域信息和转换后新域的域信息,确定所述原域和新域存在对应关系时,将所述域许可转换到新域,生成新域的域许可;以及,发送新域的域许可;
终端设备,用于接收许可服务器发送的新域的域许可。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101425390A CN101184087A (zh) | 2006-11-16 | 2007-08-15 | 域变换的方法、设备及系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610145747.1 | 2006-11-16 | ||
CN200610145747 | 2006-11-16 | ||
CNA2007101425390A CN101184087A (zh) | 2006-11-16 | 2007-08-15 | 域变换的方法、设备及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101184087A true CN101184087A (zh) | 2008-05-21 |
Family
ID=39449169
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101425390A Pending CN101184087A (zh) | 2006-11-16 | 2007-08-15 | 域变换的方法、设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101184087A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012146103A1 (zh) * | 2011-04-25 | 2012-11-01 | 中兴通讯股份有限公司 | 个人网的合并方法及装置、个人网的拆分方法及装置 |
CN104685829A (zh) * | 2013-09-27 | 2015-06-03 | 华为技术有限公司 | 数据通信网络分域方法、装置及系统 |
WO2016004635A1 (zh) * | 2014-07-11 | 2016-01-14 | 华为技术有限公司 | 一种域合并的方法、域主节点及节点 |
CN105577623A (zh) * | 2014-10-17 | 2016-05-11 | 中国电信股份有限公司 | 一种联网终端安全域建立的方法及系统 |
WO2016197322A1 (zh) * | 2015-06-09 | 2016-12-15 | 华为技术有限公司 | 域合并方法及媒介间桥接器、节点 |
-
2007
- 2007-08-15 CN CNA2007101425390A patent/CN101184087A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012146103A1 (zh) * | 2011-04-25 | 2012-11-01 | 中兴通讯股份有限公司 | 个人网的合并方法及装置、个人网的拆分方法及装置 |
CN104685829A (zh) * | 2013-09-27 | 2015-06-03 | 华为技术有限公司 | 数据通信网络分域方法、装置及系统 |
CN104685829B (zh) * | 2013-09-27 | 2017-08-25 | 华为技术有限公司 | 数据通信网络分域方法、装置及系统 |
WO2016004635A1 (zh) * | 2014-07-11 | 2016-01-14 | 华为技术有限公司 | 一种域合并的方法、域主节点及节点 |
CN105453500A (zh) * | 2014-07-11 | 2016-03-30 | 华为技术有限公司 | 一种域合并的方法、域主节点及节点 |
CN105577623A (zh) * | 2014-10-17 | 2016-05-11 | 中国电信股份有限公司 | 一种联网终端安全域建立的方法及系统 |
CN105577623B (zh) * | 2014-10-17 | 2019-05-10 | 中国电信股份有限公司 | 一种联网终端安全域建立的方法及系统 |
WO2016197322A1 (zh) * | 2015-06-09 | 2016-12-15 | 华为技术有限公司 | 域合并方法及媒介间桥接器、节点 |
CN106464576A (zh) * | 2015-06-09 | 2017-02-22 | 华为技术有限公司 | 域合并方法及媒介间桥接器、节点 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110032865B (zh) | 一种权限管理方法、装置和存储介质 | |
KR101013686B1 (ko) | Drm에서 유저 도메인 내의 장치 관리 방법 및 시스템 | |
CN101036098B (zh) | 用于drm系统的基于用户的内容密钥加密 | |
CN101529412B (zh) | 数据文件访问控制 | |
CN101573936B (zh) | 使用可信处理技术的数字版权管理 | |
CN101375309B (zh) | 临时使用drm内容的方法和设备 | |
US20090217036A1 (en) | Digital rights management | |
US8719956B2 (en) | Method and apparatus for sharing licenses between secure removable media | |
CN101321056B (zh) | 转发许可的方法、设备及系统 | |
CN102057382A (zh) | 用于内容共享的临时域成员资格 | |
CN100471110C (zh) | 使用便携式存储装置用于管理数字权限的方法和设备 | |
US20090180621A1 (en) | Adaptive secure authenticated channels for direct sharing of protected content between devices | |
US20080313085A1 (en) | System and method to share a guest version of rights between devices | |
CN106127888A (zh) | 智能锁操作方法和智能锁操作系统 | |
EP1843274B1 (en) | Digital rights management system | |
CN101184087A (zh) | 域变换的方法、设备及系统 | |
CN101252432B (zh) | 一种基于域的数字权限管理方法、域管理服务器及系统 | |
CN101218587B (zh) | 用于数字内容保护的方法、系统与设备 | |
CN103069767B (zh) | 交付认证方法 | |
CN101465845A (zh) | 转移许可的方法及设备 | |
CN101089865B (zh) | 一种域许可转移的方法、装置及系统 | |
CN101364871B (zh) | 域管理器对用户设备进行域管理的方法、系统及装置 | |
CN101359988A (zh) | 获取域许可的方法、设备及系统 | |
CN101261662A (zh) | 共享许可的方法、设备及系统 | |
CN101286189A (zh) | 传送许可权限信息的方法、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080521 |