CN101278296A - 改进的drm系统 - Google Patents
改进的drm系统 Download PDFInfo
- Publication number
- CN101278296A CN101278296A CNA2006800360142A CN200680036014A CN101278296A CN 101278296 A CN101278296 A CN 101278296A CN A2006800360142 A CNA2006800360142 A CN A2006800360142A CN 200680036014 A CN200680036014 A CN 200680036014A CN 101278296 A CN101278296 A CN 101278296A
- Authority
- CN
- China
- Prior art keywords
- licence
- territory
- owner
- client computer
- relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 15
- 230000000644 propagated effect Effects 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims description 88
- 238000012797 qualification Methods 0.000 claims description 46
- 230000008569 process Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 42
- 230000008859 change Effects 0.000 description 32
- 230000008520 organization Effects 0.000 description 22
- 240000000233 Melia azedarach Species 0.000 description 15
- 230000009471 action Effects 0.000 description 10
- 238000011156 evaluation Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 230000001568 sexual effect Effects 0.000 description 6
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 238000009792 diffusion process Methods 0.000 description 5
- 230000001681 protective effect Effects 0.000 description 5
- 102000020897 Formins Human genes 0.000 description 4
- 108091022623 Formins Proteins 0.000 description 4
- 230000002349 favourable effect Effects 0.000 description 4
- 125000004122 cyclic group Chemical group 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000004308 accommodation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008450 motivation Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000004438 eyesight Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/105—Arrangements for software license management or administration, e.g. for managing licenses at corporate level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1015—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1012—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
Abstract
一种用于数字权利管理的方法和系统,其中按照由许可证拥有者拥有的许可证而准予作为域成员的客户机访问一条内容。这需要成功地验证:在客户机与域之间存在成员资格关系,如在第一状态变量中被反映的;以及在许可证拥有者与域之间存在关联关系,如在第二状态变量中被反映的。通过执行在相互关系中的双方之间的在线协议而撤销这两种相互关系,此后双方都去除相应的状态变量。域控制器把与该域有关的状态管理机构传播到客户机,以使得客户机可以更新它的状态管理机构。
Description
引言
近年来,可得到的内容保护系统的数目已快速地增长。这些系统中的某一些仅仅保护内容免遭非授权的拷贝,而其它一些则限制用户访问该内容的能力。这些系统常常被称为数字权利管理(DRM)系统。
消费者想要没有麻烦且尽可能少受限制地欣赏内容。他们想要联网他们的设备,以使得能进行所有类型的不同的应用,并且易于访问任何类型的内容。他们也想要能够不受限制地在他们的家庭环境下共享/转移内容。
授权域
授权域(AD)的概念试图找到既为内容拥有者(其想要保护他们的知识产权)又为内容消费者(其想要不受限制地使用内容)的利益服务的解决方案。基本原则是具有一个受控的网络环境,在其中内容可以相对自由地被使用,只要它不跨越授权域的边界即可。典型地,授权域是以家庭环境为中心,也称为家庭网络。
当然,其它上下文也是可能的。用户例如可以在旅途中随身携带具有有限内容量的、用于音频和/或视频的便携式设备,并且在他的旅馆房间内使用它来访问或下载被存储在家中他的个人音频和/或视频系统中的附加内容。虽然便携式设备是在家庭网络之外,但它是用户授权域的一部分。这样,授权域(AD)是一种允许由域中的设备、而不是任何其它设备访问内容的系统。
授权域需要着手解决诸如授权域标识、设备检入(check-in)、设备检出(check-out)、权利检入、权利检出、内容检入、内容检出、以及域管理的问题。对于授权域的使用等的更详尽的介绍,参阅S.A.F.A van denHeuvel,W.Jonker,F.L.A.J.Kamperman,P.J.Lenoir的“Secure ContentManagement in Authorised Domains(授权域中的安全内容管理)”,Philips Research,The Netherlands,IBC 2002 conference publication,467-474页,2002年9月12-16日召开,或Paul Koster,Frank Kamperman,Peter Lenoir和Koen Vrielink的“Identity based DRM:PersonalEntertainment Domain(基于身份的DRM:个人娱乐域)”,Conference onCommunications and Multimedia Security(CMS)2005,LNCS 3677,pp.42-54,Salzburg,Austria,2005年9月19-21日。
授权域的某些形式
存在有把授权域的概念实施到某种程度的各种建议。在所谓的基于设备的AD中,域由一组特定的硬件设备或软件应用(此后一起称为客户机)和内容形成。域管理器或控制器—它可以是客户机中的一个或多个、智能卡或另一个设备—控制哪些客户机可以参加所述域。仅仅在该域中的一组特定的客户机(成员)才被允许利用那个域的内容,例如打开、复制、播放或输出它。这样的基于设备的AD的例子在同一个申请人的国际专利申请WO 03/098931(代理人案号PHNL020455)、国际专利申请WO 2005/088896(代理人案号PHNL040288)、和国际专利申请WO 04/027588(代理人案号PHNL030283)中给出,所有这些专利申请在此引入以供参考。
一种类型的基于设备的AD允许被绑定到一个域的一组客户机去访问被绑定到那个域的内容。这种双重绑定保证所有的成员可以访问该内容。这种结构经常是通过经由共享的秘密密钥实施所述绑定而被建立的。这个密钥由域管理器选择,并被分发到所有的成员。当内容被绑定到该域时,许可证(license)籍助于利用该共享密钥的加密术而被以密码方式链接到该域。替换地,内容可以直接被绑定到一个客户机,以及各客户机仍旧绑定到该AD。
另一种类型的AD是所谓的基于人的AD,其中所述域是基于人而不是设备。这样的系统的例子在同一个申请人的国际专利申请WO 04/038568(代理人案号PHNL021063)中被描述,该专利申请在此引入以供参考,在其中内容与人相耦联,这些人然后被分组到一个域中。
所谓的基于混合授权域的DRM系统把内容束缚到(tie)一个可以包含设备和人的群。这个群典型地限于一个家庭,以使得:
1.内容可以在属于该家庭的任何成员(例如,在起居室中的电视机、在卧室中的电视机、PC)上观看
2.内容可以由属于该家庭的任何用户在他们于任何客户机(诸如,在旅馆房间中的电视机)上鉴权自己之后观看。这样的鉴权通常牵涉到用户鉴权设备,诸如智能卡。
混合AD系统的例子可以在国际专利申请WO 2005/010879(代理人案号PHNL030926)和国际专利申请WO 2005/093544(代理人案号PHNL040315)中找到,这两个专利申请在此引入以供参考。
一般地说,AD包括一群客户机。客户机一般地说是这样的功能实体,其可以获取和分析许可证和链接(link),以便根据在那些许可证和链接中表示的权利而得到对内容实例的访问。典型地,客户机可以被体现为一个或多个软件应用和/或硬件部件。例如,客户机作为在诸如移动电话或便携式音乐播放器那样的设备上的软件应用被提供。客户机通常包括用来执行必要的操作的处理器,并且装备有用来存储内容和/或要被处理器执行的指令的存储器。被包括在AD中的客户机被称为成员客户机或只简称为成员。
内容被一个或多个许可证拥有者(LO)做成对成员客户机可得到。许可证拥有者一般地说是代表域环境中的用户的实体。用户是与系统交互的个体。用户可以被授予对于内容实例的权利。在系统中这样的许可证授予可以通过提供一个把内容(的特定实例)链接到许可证拥有者的许可证来表示。许可证拥有者可以通过提供数据结构中的信息、数据库中的记录、或是软件对象而被实现。与用户的关系在系统中没有明确地定义,但例如可以由具有包含那个信息的设备的用户来实现。
许可证包含对于所牵涉到的内容项目特定的容许(permission)和限制(restriction)。应当指出,在域配置中可以有许多,例如15000个许可证,而发布它们和把它们传送到客户机会花费相当大量的资源。
打算访问一条内容的客户机必须被许可这样做。为了确定客户机是否被许可,必须证明:
·访问一条内容的权利是由一个许可证拥有者“拥有”的,以及
·那个许可证拥有者与一个域相关联,以及
·该客户机是那个域的成员。
换句话说,许可证拥有者应当有权利访问该内容,以及应当与该域相关联。客户机访问内容的能力暗示了整个授权链
客户机→域→许可证拥有者→内容
是适当的,以及每个关系是有效的。在所建立的关系配置中作出的改变可以要求使关系无效,以保持一致性。在分割开的系统中,在链中的所有实体可被部署在不同主机上,所述主机不需要在任何时间都互相连接。
图1示意地示出这样的从客户机到内容的授权链,其中每个相互关系可以具有在每个方向上大于1的多重性(multiplicity),正如用符号“*”表示的。在域配置中的实体客户机、域、许可证拥有者和内容之间的关系可以在证明(attest)中表示或用证明来使之合格,该证明有时也称为(数字)证书。可以使用以下的证明:
·特定的许可证拥有者对一条内容拥有的权利在一个许可证中被表示,该许可证注明该许可证拥有者以及所牵涉的该条内容。许可证典型地被实现为数字签名的对象,包括具有机器可读格式的相关信息。这样的许可证还包括特定的容许和限制法则,其以可执行的控制代码表示、被存储在许可证中所谓的控制对象内、在想要访问内容的时刻将被评估(应当指出,容许和限制也可以由例如象XrML那样的正式权利语言来表示)。在我们于此使用的肯定准予(positive grant)模型中,容许是一个个体(individual)权利,例如,“播放”或“复制”,它们可以受限于一个或多个限制,例如“仅仅10次”或“不在20:00pm之前”或“仅仅在星期六”。与容许相组合使用的限制提供了限制一个容许的使用的条件。每个容许可以具有不同的限制。应当指出,每个许可证具有它自己的容许组和对于那些容许的限制(在控制中)。原始内容服务供应商在许可证中定义容许,可能被扩展以多个限制。系统的用户,即消费者,可能希望对“他的”域中使用的许可证加上另外的有限制力的限制。原始内容服务供应商没有设置例如亲代的(parental)控制限制,但将其得到的内容释放到域的许可证拥有者可能想要这样做。作为例子,许可证拥有者对于多个内容项目定义:它们不应当在22:00pm之前可访问,或者在操作客户机的用户没有某适当鉴权的情况下内容项目是不可访问的。这导致不同的控制区:一个用于服务供应商,而一个用于许可证拥有者(用户),它们带有稍微不同的特征。服务供应商的设置多半不改变;许可证将在需要时被整个撤销,从而产生对于撤销许可证的需求。另一方面,许可证拥有者(用户)可能想要改变他以前定义的限制,从而产生能够把许可证的改变传播到系统中的需求。
·在许可证拥有者与域之间的关联关系以从域到许可证拥有者的定向链接—所谓的LinkLO—来表示。这样的链接可包含限制法则,其以可执行的控制代码表示、被存储在链接中所谓的控制对象内、使链接的有效性合格,这必须在要使用链接的时刻进行评估。这样的链接优选地通过使用数字签名的对象而被创建,在该数字签名的对象中域与许可证拥有者被标识。
·在客户机与域之间的成员资格关系以从客户机到域的定向链接—所谓的LinkC—来表示。这样的链接可包含约束法则,其以可执行的控制代码表示、被存储在链接中所谓的控制对象内、使链接的有效性合格,这必须在要使用链接的时刻进行评估。这样的链接优选地通过使用数字签名的对象而被创建,在该数字签名的对象中客户机与域被标识。
属性可被加到许可证中,以及加到链接中,以支持有效性评估并用于信息输送目的。
作为域成员的每个客户机可以访问内容(的拷贝)和包括时间中某个时刻的域配置的证明,这例如通过按需要下载这样的内容和证明来进行,尽管此数据的某些或全部也可以被广播或相反被分发。
当客户机打算访问一条内容时,它将评估用于那个内容的许可证,检验在那个许可证中定义的容许和限制。为此,客户机被提供以许可证评估模块,该模块可以被实现为例如在智能卡上的安全芯片和/或软件组件。
在每个许可证中有限制:通过使用客户机可得到的不同链接,必须存在从评估的客户机到许可证拥有者的有效路径(链接的链)。在这个路径评估期间,必须也评估作为限制链接有效性的条件的、在组成该路径的链接中存在的任何限制。结果,只有当在评估的客户机与一条内容之间发现证明的路径、而在每个证明中的所有条件都满足时,才可以访问该条内容。如果找到了这个路径,则许可证评估模块将使内容访问模块能够以所请求的方式访问该内容。随后,该内容可以按照使用法则被再现、复制和/或分发。
这个系统对于根据域配置授予客户机权利是工作得很好的。在所建立的关系配置中改变或完全解除对客户机的以前授予的权利需要使关系和它们的关联的证明无效,以便在系统中保持一致性。在链中的实体可被部署在不同的设备中,它们不需要在所有时间都互相连接。未连接的客户机不能简单地被“告知”:证明不再是有效的。证明的另一个问题在于,即使当它在一个客户机上被删除时,证明的另一个拷贝也可以从系统中的另一个主机或从备份系统(重新)出现在那个客户机上。这给恶意用户一个机会去得以访问客户机上他们没有资格访问的内容。
在给出以下事实,即:通过删除要被撤销的证明的所有实例(拷贝)而在系统中撤销证明是不可行的之后,需要其它的撤销方式以便能够减少客户机对内容具有的权利。
发明概要
概略地,在诸如以上描述的系统中,是按照由许可证拥有者拥有的许可证而准予作为域成员的客户机访问一条内容。这需要成功地验证:在客户机与域之间存在成员资格关系,如在由客户机和由域控制器两者维持(maintain)的第一状态变量中被反映的;以及在许可证拥有者与域之间存在关联关系,如在由域控制器和由与许可证拥有者相关联的许可证拥有者控制器两者维持的第二状态变量中被反映的。
这两个验证步骤证明客户机对于域的成员资格关系,以及许可证拥有者—且因此还有他的许可证—与域的关联。结果,可准予访问内容。在两方之间的关系优选地以其中标识出这两方的证明来表示。这样的证明—其典型地由一个受信任方进行数字签名—的存在于是被用在关系的验证中。
在这样的域中,禁止访问一条特定内容的可能性可以利用许可证中的限制或通过把许可证的有效性传送到客户机而安排。在这样的域中,禁止访问特定许可证拥有者的任何内容的可能性可以利用域→许可证拥有者链接(LinkLO)中的限制或通过把该链接的有效性传向客户机而安排。为了禁止单个客户机访问任何域内容,可以执行对于设备→域链接(LinkC)的类似操作。
对于系统来说以下情况是有益的,即:当有可能把证明输送到客户机、提供关于域配置的新信息时,该新信息可以即刻被使用于内容访问,而不需要双方之间的在线协议。一个应用是:当一个新的许可证拥有者与域相关联-在LinkLO中表示-并且他释放内容到该域中-在许可证中表示-时,使用某些媒介把这些证明连同内容一起输送到未连接的客户机,会使该客户机能够访问该内容而不需要连接到另一方。
另一个甚至更想要的应用是:当现有的关联的许可证拥有者获得内容并且把它释放到域时,可以使用某些媒介把许可证连同内容一起输送到未连接的客户机,使得该客户机能够访问内容而不需要连接到另一方。
在这样的状况下,对于证明通常使用的限制是有效性周期的定义;在该有效性周期后,该证明自己禁止。在链接中的有效性周期的情形下,没有与系统中的链接发布者联系以刷新它的链接的客户机最终将不再能访问内容。在许可证中的有效性周期,当没有被重新发布时,将及时导致在客户机上访问一条特定内容的可能性的结束。
与证明中的有效性周期关联的缺点是:
1.证明必须定期地更新,以重新确认有效性,这需要在线发布器、生成网络业务量以及需要生成和签署更新的证明;
2.不是客户机上所有的证明都将在客户机上同时超时,这给出不期望的用户体验,特别是当许可证在不同的时刻超时时;
3.为了在系统中保持一致性,对于某些操作必须引入等待时间,以便确保所发布的证明的有效性周期已消逝;
4.当长时间(>有效性周期)未连接时,客户机将不能访问内容,虽然域配置中没有改变什么。
以上方面的问题之一是,如何可靠地撤销或禁止一个链接并从而撤销或禁止一个相互关系。删除证明会撤销相互关系,但如果证明可被复制和分发,则具有恶意企图的人可以仅仅事先复制证明,并在它被删除后恢复它。在安全存储器中存储和管理证明是一个选项,但安全存储器是昂贵的,特别是当处理大量的证明时。
本发明的目的是提供一种更有效的撤销成员资格关系和关联关系的手段。
这通过包括以下步骤的方法来达到:
通过执行在域控制器与客户机之间的在线协议而撤销成员资格关系,此后二者去除第一状态变量,以及
通过在许可证拥有者控制器与域控制器之间执行在线协议而撤销关联关系,此后域控制器去除第二状态变量,以及此后把与该域有关的状态管理机构(adminiatration)传播到客户机,以使得该客户机去除该第二状态变量。
一般地说,本发明通过让被标识的各方在链接中维持有关它们关系的状态,使得它们能简单地去除状态变量以撤销该链接,而解决了这个问题。客户机例如是被配置成访问和播放内容的设备,并且它必须是能够访问域内容的域成员。所述域由域控制器管理,该域控制器典型地是在家庭网络中的中心设备(尽管许多其它配置当然也是可能的)。
许可证拥有者是代表这样的用户的实体,所述用户的内容对于在“他的”域中的设备可用。这需要在许可证拥有者与域之间的关联关系。该关联的许可证拥有者一侧由控制器设备照管,该控制器设备可以例如被实现为由用户拥有的智能卡,或实现为由第三方例如通过互联网提供的服务器。
域控制器和客户机维持关于在该域中客户机的成员资格的各个状态变量。需要有效状态变量的存在以成功地验证存在成员资格关系。当两个实体都删除这些状态变量时(当在在线协议中同意这样做以后),可以不再验证该相互关系。
同样的情形也适用于关联关系,虽然这里域控制器还需要把与域有关的状态管理机构传播到客户机,以便客户机可以更新它的状态管理机构并去除反映该关联关系的状态变量。
在一个实施例中,关联关系和成员资格关系的验证包括:评估由状态信息表示的、所讨论的关系的有效性周期,以及只有当有效性周期没有期满时才成功地验证所讨论的关联。具有基于时间的有效性期满是有利的。通过使用状态信息来表示这一点,有效性周期可以被容易地检验。
在另一个实施例中,域控制器和客户机保持第三状态变量来守护(guard)许可证的状态。这有利地将本发明的机制也使用于许可证,而不仅使用于成员资格关系和关联关系。这个实施例允许通过去除第三状态变量而使许可证无效。这防止了通过恢复拷贝而恢复已期满的或否则已无效的许可证,因为状态变量不能被这样操纵。现在也不需要限制许可证的复制,因为它们将仅仅被具有有效的第三状态变量的一方接受。
优选地,在本实施例中,许可证拥有者的控制器创建第三状态变量,并把第三状态变量传播到域控制器,域控制器把第三状态变量传播到客户机。这有利地需要仅仅使得许可证拥有者控制器能够创建第三状态变量,因为其它控制器可以简单地(直接或间接地)从这个控制器接收它。因为许可证拥有者的控制器优选地被实施为安全的模块,例如智能卡,所以不管怎样,不需要采取特殊的措施来保护状态变量的创建。
本发明可以在诸如以下的领域中找到应用,即:用于IT和CE设备的授权域系统、在具有可能断开连接的设备的环境中的内容保护系统以及对于消费设备具有资源共享的共同体系统。
优选实施例的详细说明
图2示意地示出示例性系统100,包括形成授权域(AD)的设备101-105和个人130、131。目的是代表典型的数字家庭网络的系统100包括多个设备,例如无线电接收机、调谐器/解码器、CD播放器、一对扬声器、电视机、VCR、数字记录器、移动电话、磁带机、个人计算机、个人数字助理、便携式显示单元等等。这些设备通过网络110互连,允许一个设备,例如电视机,去控制另一个设备,例如VCR。诸如象调谐器/解码器或机顶盒(STB)的设备通常是中心设备,提供对其它设备的中央控制。
内容典型地包括如音乐、歌曲、电影、电视节目、图片、游戏、书等等那样的东西,但也可以包括交互的服务,其通过住宅网关或机顶盒101被接收。内容也可以经由其它源,诸如存储媒体(如盘)或使用便携式设备进入家庭。源可以是到宽带电缆网络的连接、互联网连接、卫星下行链接等等。内容然后可以通过网络110被转送到用于再现的接收器(sink)。接收器例如可以是电视显示器102、便携式显示设备103、移动电话104和/或音频回放设备105。
内容项目被再现的精确方式依赖于设备的类型和内容的类型。例如,在无线电接收机中,再现包括生成音频信号和把它们馈送到扬声器。对于电视接收机,再现通常包括生成音频和视频信号并把它们馈送到显示屏幕和扬声器。对于其它类型的内容,必须采取类似的适当行动。再现还可包括操作,诸如解密或解扰接收的信号,同步音频和视频信号等等。
机顶盒101或系统100中的任何其它设备可包括存储介质S1,诸如适当大的硬盘,以允许记录和稍后回放所接收的内容。存储介质S1可以是某种个人数字记录器(PDR),例如与机顶盒101连接的DVD+RW记录器。内容也可以进入系统100,存储在诸如压密盘(CD)或数字通用盘(DVD)那样的载体120上。
便携式显示设备103和移动电话104通过使用无线接入点111,例如通过使用蓝牙或IEEE 802.11b/g而被无线地连接到网络110。其它设备通过使用传统的有线连接被连接。为了允许设备101-105交互,几种互操作性标准是可得到的,这允许不同的设备交换消息和信息以及互相控制。一种熟知的标准是通用的即插即用(http://www.upnp.org)。
在一个示例性情景中,除了设备101-105中的一个或多个以外,用户130、131的至少之一被绑定到授权域。任选地,多个内容项目(未示出)也可以被绑定到授权域。用户和/或内容的这种绑定可以以在国际专利申请WO 04/038568(代理人案号PHNL021063)中公开的方式、在国际专利申请WO 2005/010879(代理人案号PHNL030926)中公开的方式、或在国际专利申请序列号IB 2005/050910(代理人案号PHNL040315)中公开的方式完成。
保证家庭网络中的设备101-105不制作内容的未授权拷贝常常是重要的。为了做到这一点,安全框架—典型地称为数字权利管理(DRM)系统—是必须的。保护数字数据形式的内容的一个方式是保证内容将仅仅在下述情况下在设备101-105之间转送,即如果:
·接收设备已被鉴权为是一个依从(compliant)设备,以及
·内容的用户具有转送(移动和/或复制)那个内容到另一个设备的权利。
如果内容的转送被允许,则这将典型地以加密的方式执行,以确保该内容不会从输送通道,诸如在CD-ROM驱动器与个人计算机(主机)之间的总线,以有用的格式被非法捕获。
AD成员鉴权
内容保护系统,特别是作为某种形式的授权域设立的那些内容保护系统,通常牵涉到在成员之间的基于某些秘密的受保护的通信,其中该秘密仅仅由被测试和被证明具有安全实现的设备知道。秘密的知识通过使用鉴权协议被测试。通常这些协议利用公钥密码术,它使用一对两个不同的密钥。于是要被测试的秘密是这对密钥中的秘密密钥(有时称为私钥),而公钥可被使用来验证测试的结果。
为了保证公钥的正确性和为了检验密钥对是否为一个经检定设备的合法密钥对,公钥伴随有一份证书,该证书由认证机构(CA)进行数字签名,该组织管理所有设备的公钥/私钥对的分发。每个人都知道CA的公钥并可以使用它来验证证书上的CA的签名。在简单的实现中,CA的公钥被硬编码到设备的实现之中。
为了使以上内容可行,每个客户机持有若干秘密密钥。这些密钥和使用这些密钥的控制流应当被很好地保护,因为这些密钥或控制流的操控的知识将允许黑客绕开内容保护系统。
控制流确定是否应当准予一个成员客户机访问一条内容。控制流的结果是关于内容是否可被访问的决定。当然,这样的访问应当是按照对于该内容可应用的许可证的,该许可证是由许可证拥有者拥有的。用于那个决定的信息由在系统实体之间的关系的存在组成。
于是评估控制流便牵涉到验证在客户机与域之间存在成员资格关系和在许可证拥有者与域之间存在关联关系。这个验证牵涉到对被称为链接的证明的评估以及对反映这些证明的有效性的状态变量的验证。
客户机-例如设备102-105的任一个,和域控制器-例如机顶盒101,都维持反映客户机与域的成员资格关系的第一状态变量。同样地,域控制器和与许可证拥有者关联的许可证拥有者控制器都维持反映在许可证拥有者与域之间的关联关系的第二状态变量。许可证拥有者控制器例如是作为由许可证拥有者代表的用户拥有的智能卡。
在某些实施例中,域控制器和客户机维持用来守护许可证的状态的第三状态变量。在这样的实施例中,许可证拥有者控制器创建这个第三状态变量,并把它传播到域控制器,该域控制器把该第三状态变量传播到客户机。
域控制器管理和服务于多个(零、一或更多)域。然而,一个域可以仅仅由单个域控制器管理。这个控制器负责发布有关客户机的成员资格关系的证明到它管理的域。该控制器可以位于一个嵌入的以及开放的平台上。对于创建、去除和控制一个域的组成成分的授权可以服从由域政策施加的某些法则或限制。
许可证拥有者控制器管理和服务于多个(零、一或更多)许可证拥有者。然而,一个许可证拥有者可以仅仅由单个许可证拥有者控制器管理。这个控制器负责发布有关在域与许可证拥有者之间的关联关系的证明,以及负责将这些链接和相关的状态变量分发到域控制器。该控制器可以位于一个嵌入的以及开放的平台上。许可证拥有者控制器可以被准予去授权,以便把许可证拥有者与域相关联和从域中解除关联,获取许可证,把内容输入到AD中,与域或个体客户机共享所获取的或输入的内容。这个授权可以服从由域政策施加的某些法则或限制。
应当指出,各种实体,诸如客户机、域控制器和许可证拥有者控制器可以被实施为在单个设备中的硬件和/或软件模块。机顶盒101例如在以上被描述为域控制器,但当然,当它需要访问某内容时它也可以用作为客户机。
每个实体确切地在哪里实施是取决于这种技术系统要支持的期望的商业模型,以及安全性考虑、关于可用的设备的技术制约等等。在一个简明的实施例中,客户机被实现在最终用户设备上,诸如移动电话或便携式音乐播放器上,以及域控制器和许可证拥有者控制器被部署在通过互联网可用的中心服务器上。这给这种服务器的操作员提供了对于域和内容递送的最完全的控制。
在另一个实施例中,域控制器和许可证拥有者控制器都被实现在家中的(中心)设备,例如机顶盒101中。任选地,这两个控制器可以实现为两个分开的设备。家中的其它设备102-105作为客户机操作。在这种情景下,内容一旦被获取就处在用户的控制下,当然是在由许可证设置的限度内和由AD中的链接施加的任何限制内。
在又一个实施例中,许可证拥有者控制器被提供在第一互联网服务器上,以及域控制器被实现在家中的(中心)设备上。相反的情形也是可能的。许可证拥有者控制器可以实现在智能卡上,尽管取决于所需要的功能性,这并不总是可行的。智能卡也可以被使用来授权或识别用户,以便使用适当的许可证拥有者。
本发明依赖的机制将在第1节中详细阐述,因为它们将以不同的组合被应用。要使用机制的哪种组合取决于系统设计者为平衡对系统的复杂性、计算资源、(安全的)存储容量和可用性要求所做的估计。
在第2节中描述的实施例不是穷举的;给出的机制的其它组合也将是有利的。
1.本发明中使用的机制
1.1关系的个体状态(individual state)
通过授权链中的实体,一个关系的状态的安全管理机构得以维持。状态值以安全在线协议在各方(实体)之间交换。这个管理机构确定是否存在关系,以及任选地,关系定义被扩展以版本号,以便支持改变检测。证明(许可证和链接)也表示相同的关系。被安全地管理的状态信息现在可被使用来确定关系的存在,以及通过它确定对于相同关系的任何证明的有效性。当这个机制被使用来守护证明的有效性时,证明中的控制代码将被扩展以一个检验,即检验该证明所要求代表的关系是否在评估的实体(典型地是客户机)的状态管理机构中作为现有的和有效的来被管理。在证明中设置的任何其它条件,如有效性周期,将仍旧被评估。在认可证明是有效的之前,必须满足包括状态检验在内的所有条件。在不同实体的状态管理机构中消除该关系便可以立刻在该系统中撤销该关系。
状态的最简单形式是仅仅该实体的自己关系的管理机构在链中带有邻居。双方(实体)可以一起在在线协议中决定断开它们的关系,这立即被反映在它们的管理机构中,使得对有关双方的那个关系的所有证明无效。链中的其它方(实体)将稍后被告知这个状态改变,那么将仍旧认为该证明是有效的。有效性周期可以在状态信息中被指示,以便迫使去扩散更新的状态信息。该状态机制可被使用于撤销。新关系的创建将牵涉到证明的生成和状态变量的创建,其中状态变量必须使用安全在线协议来传送。证明可以以任何适当的方式来输送。
对于个体状态机制的最普通的情形是客户机与域的成员资格关系,其中客户机是该撤销协议中的一方,且它也是证明的评估者。当客户机和域在在线协议中同意结束它们的关系时,这被反映在客户机的状态管理机构中。客户机将立即认定对于该关系的任何证明是不合格的,以及在该客户机上不再有域相关的内容是可访问的。在更一般的情形下,这里当结束关系时评估者(客户机)不参加协议,存在有传送状态改变到评估者的等待时间的问题。
1.2链接的有效性周期
链接中的控制代码将验证链接的有效性周期没有期满。当期满时,链接被认为是无效的。除了任选的附加状态机制之外,使用链接来确定链中的关系是否存在的各方将被催促去联络链中的其它方,以接收带有延长的有效性周期的链接的换新(renewal),以及任选地接收状态信息更新。
1.3附着到许可证的域链接到未连接的客户机的扩散(proliferation)
当域中链接的有效性没有通过关系的个体状态来防护时,链接(证明)自己可以提供有效性证据。各描述域配置的一部分的这样的链接可当它们被发布时被附着到许可证。当关于域配置的这个潜在的新信息到达客户机并可以被立即使用于内容访问而不需要双方之间的在线协议时,对系统来说是有利的。这个机制例如可被使用来把用于许可证拥有者的LinkLO附着到由那个许可证拥有者发布的许可证。
当客户机已经具有链接或链接的更新版本时,该信息不被使用。在一个包(package)中,客户机可以接收用于一条内容的许可证和进行发布的许可证拥有者与域的链接。这个许可证包可以在某些媒质上伴随内容本身,使得客户机能够访问内容而不需要连接系统中的任何一方。当域配置中的链接没有一个被通过关系的个体状态来防护时,所有的链接可被附着到许可证,从而提供访问相关内容所需要的整组证明。
这个机制在将机制1.1-“关系的个体状态”用于链接时不起作用,但它可以与机制1.4-“相关于状态的关系(relation by state)的配置号”和1.5-“相关于链接的关系(relation by link)的配置号”一起工作。
1.4相关于状态的关系的配置号
在状态机制1.1-关系的个体状态中,状态值代表单个关系。配置号代表就撤销而言被同样地对待的关系的明显集合。仅仅当从集合中去除一个关系时配置号才被递增,指示并不是做为该集合的以前部分的所有关系都仍有效。把新的关系加到该集合将不会递增该号,因为我们只对撤销感兴趣。所涉关系的证明被赋以(attribute with)在它们被发布时刻的配置号的实际值,并且在它们的控制代码中加上一个条件,规定该证明的配置号的值等于或大于评估实体(典型地是客户机)的状态管理机构中的配置号的值。当这个条件不满足时,关系被认为无效。
这个机制并不要求当增加新关系时在系统中的状态更新;仅仅是证明的传送便将足以有效地引入新关系。这个机制的缺点在于,当仅仅要撤销一个关系时,集合中所有的其它关系都必须通过以下方式来被重新确认,即:用新递增的配置号作为属性来进行它们的证明的换新。改变的状态信息的扩散类似于用于个体关系的状态机制的情形。
这个机制可以对于授权链中不同级别的关系级联地使用,任选地是与机制1.5-“相关于链接的关系的配置号”机制相组合地被使用。
1.5相关于链接的关系的配置号
配置号的定义以及用于添加关系到隐含集合和从该隐含集合中去除关系的法则是与对于机制1.4-“相关于状态的关系的配置号”所描述的相同的。差别在于在链中朝向客户机实体的实际配置号的扩散和所涉关系的证明被测试有效性的方式。所涉关系的证明被赋以在它们被发布时刻的配置号的实际值,但用于有效性检验的条件未被加入它们的控制。配置号的实际值作为属性加到授权链的线路中朝向客户机方向的下一个链接。
对照配置号的实际值来检验被赋给所涉关系的证明的配置号的条件被加到链接的控制代码。这个链接将及时到达客户机,这是由为该链接设置的有效性周期强迫的。当在客户机上对到许可证所瞄准(target)的许可证拥有者的路径进行评估期间,将对该链接进行评估,以及将把该链接中的配置号值与所涉关系的证明(典型地是许可证)中的那个进行比较。证明的号码必须等于或大于链接中号码的值。应当指出,这个机制不会遭受以下情况,即:在客户机未被连接的情况下没有能力在客户机上通过证明而引入关系,因为这里没有牵涉到状态操作。
这个机制可以在授权链中对于不同级别的关系级联地使用,任选地是与机制1.4-“相关于状态的关系的配置号”机制相组合地被使用。
1.6相关于状态的关系的版本号
某些关系,典型地是在内容与许可证拥有者之间的关系,不是仅仅需要全部被撤销,而是确实需要被调整。例如在对于现有的许可证必须改变用户定义的限制时便是这种情形。为了支持版本控制(撤销以前的版本)而引入了版本号。当关系中发生本质改变时这个版本号被递增。
版本号的当前值必须被传送到客户机,以便检验版本条件。给关系的状态赋以版本号的实际值做到了这一点,且这种组合将通过使用在线安全协议、经由实体的链被输送到进行评估的客户机,正如对于其它状态机制已描述的。
所涉关系的证明被赋以在它被发布时刻的版本号的实际值,并且在它的控制代码中加上一个条件,规定证明的版本号值等于或大于在评估实体(典型地是客户机)的状态管理机构中关系的版本号值。
这个机制的先决条件是将机制1.1-“关系的个体状态”机制用于版本控制的关系。
1.7相关于链接的关系的版本号
版本号的定义以及用于改变关系的法则是与对于机制1.6-“相关于状态的关系的版本号”所描述的相同的。差别在于在链中朝向客户机实体的实际版本号的扩散和所涉关系的证明被测试有效性的方式。
所涉关系的证明被赋以在它被发布时刻的版本号的实际值,但用于有效性检验的条件不加入它的控制。版本号的实际值和所涉关系的标识作为属性被加到授权链的线路中朝向客户机方向的下一个链接。应当指出,这个链接将潜在地包含关系-版本号组合的整个列表—在授权链中更高一个级别的每个关系一个。
对照版本号的实际值来检验被赋给所涉关系的证明的版本号的条件被加到链接的控制代码。这个链接将及时到达客户机,这是由为该链接设置的有效性周期强迫的。当在客户机上对到许可证所瞄准的许可证拥有者的路径进行评估期间,将对链接进行评估,以及将把该链接中被评估的关系的版本号值与所涉关系的证明(典型地是许可证)中的版本号值进行比较。应当指出,这个机制不会遭受以下情况,即:在客户机未被连接的情况下没有能力在客户机上通过证明而引入关系,因为这里没有牵涉到状态操作。
1.8用于分离控制区的并行许可证链接
在基本概念中,必须证明到许可证拥有者的有效路径,并且瞄准许可证拥有者的许可证中的容许和限制必须被满足。附加的用户定义的限制在这个概念中必须被加到许可证中的控制。通过使用并行许可证链接,把这些用户定义的限制与在许可证的控制中设置的限制分开。当获取到许可证时,瞄准许可证拥有者的许可证明显地通过一个从许可证拥有者到许可证的“新”链接LinkLic来链接。应当指出,LinkLic不需要处理内容-许可证关系的多重性,许可证却必须这样。
在许可证中的检验现在变为必须存在从评估的客户机到许可证的有效路径(链接的链)。当为了安全性原因必须检验在到许可证的路径中存在的特定许可证拥有者时,还可以加上对从评估的客户机到许可证拥有者的有效路径的原始检验。用户定义的限制现在被加到LinkLic中的控制代码,而不是加到许可证的控制。结果,当用户想要添加或改变用户定义的限制时,许可证的控制不需要被改变,从而分离开控制区并解决了在所有限制被组合在单个控制中时所引发的安全性问题。
内容-许可证拥有者关系的撤销可以通过可用的撤销机制之一或组合来完成。应当指出,对于单个关系现在有2个证明(许可证和LinkLic)。为了能够在客户机上访问内容,这些并行的证明两个都必须是可得到的和有效的。当其中一个证明被禁止时,该关系被撤销。版本控制典型地是用户定义的限制所必需的,它现在可以被选择性地应用于包含用户定义的限制的LinkLic。
1.9用于分离控制区的串行许可证链接
在基本概念中,必须证明到许可证拥有者的有效路径,并且在瞄准许可证拥有者的许可证中的容许和限制必须被满足。附加的用户定义的限制在本概念中必须被加到许可证中的控制。通过使用串行许可证链接,把这些用户定义的限制与在许可证的控制中设置的限制分开。许可证不再瞄准许可证拥有者;它仅仅注明内容项目并包含由原始内容服务供应商设置的容许和限制。许可证不再代表在内容与许可证拥有者之间的全部关系。当许可证拥有者被准予访问内容时,与许可证拥有者的关系通过一个从许可证拥有者到许可证的“新”链接LinkLic来建立和代表。应当指出,LinkLic不需要处理内容-许可证相互关系的多重性;这仍旧由许可证来完成。在许可证中的检验现在将变为必须存在从评估的客户机到许可证的有效路径(链接的链)。用户定义的限制现在被加到LinkLic中的控制代码,而不是许可证的控制。结果,当用户想要添加或改变用户定义的限制时,不需要改变许可证的控制,从而分离开控制的区域并解决了在所有的限制被组合在单个控制中时所引发的安全性问题。
内容-许可证拥有者关系的撤销可以通过作用在LinkLic证明上的可用撤销机制之一或组合被完成。
应当指出,对于单个关系现在需要有2个证明(许可证和LinkLic),其中许可证处置该关系的内容部分而LinkLic处置该关系的许可证拥有者部分。为了能够在客户机上访问内容,这些串行证明两个都必须是可得到的和有效的。当其中的一个证明被禁止时,该关系被撤销。版本控制典型地是用户定义的限制所必需的,它现在可以被选择性地应用于包含用户定义的限制的LinkLic。
在以前的解决方案中,内容被瞄准到许可证中的许可证拥有者,更具体地在许可证的控制代码中具有这样的检验:许可证拥有者必须是经由链接的路径可到达的。在具有这个机制的解决方案中,许可证拥有者耦联是在LinkLic中完成的。向特定的许可证拥有者授予访问权并没有被嵌入到许可证中。于是当权利要被移动到另一个许可证拥有者时,便不需要改变许可证中的控制;新的许可证拥有者可以重复使用它。新的许可证拥有者必须与旧许可证拥有者协作来建立一个注明他自己的新的LinkLic,必须撤销现有的关系(LinkLic)。
1.10用于分离控制区的许可证重定义
通过机制1.8-用于分离控制区的并行许可证链接和1.9-用于分离控制区的串行许可证链接,描述了通过使用现有的单元许可证和链接来分离控制区的方法。这个办法的替换例是定义一个新单元,其组合了所描述的许可证和LinkLic的性状(behaviour)。由于许可证和LinkLic总是组合地出现,所以这个新单元可以是对另外两个的组合的替代。这个替换例也可以被介绍为许可证单元的重定义,即用两个不同的控制区内部地支持两个控制;一个包含由原始内容服务供应商设置的容许和限制,而一个用于可以由用户添加的限制。在这种情形下,将使用原先的检验:到许可证拥有者的链接的有效路径必须存在。这个替换例包容了两个机制,因为并行以及串行图案可以由单个新单元代替。
2.优选实施例
给出的实施例使用以下的起始点:
·在个体许可证上没有有效性周期;
·需要使用链接;
·证明可以从任何源提供给客户机,但典型地许可证将由许可证拥有者提供,以及域链接LinkC和LinkLO由域提供;
·证明的有效性状态在各方之间在在线协议中严格地与授权链一致地输送;
·使用链接的有效性周期,其中用于LinkLO的有效性周期被假设为,但不一定必须,大于用于LinkC的有效性周期。
应当指出,所述机制也可以在不同于这里给出的域配置的其它域配置中使用;典型地也可在具有2个以上的分布式实体、带有从属性链的所有配置中使用。
机制也可以在不使用上述选择的实施例中被使用。例如:
·在给定所提供的机制后,很容易定义带有为释放到域的许可证定义的有效性周期的解决方案,但它们很受以上在本发明概要中讨论的缺点的影响。然而,在其中许可证数目较低或其中资源没有限制的情形下,对许可证施加有效性周期可以是有利的;
·当关系被通过个体状态守护时,通过把给出的解决方案中使用的链接的某些或所有属性移入实体的状态管理机构中,可以完全消除或至少在功能性上缩减链接;
·当许可证拥有者,而不是域,发布LinkLO时,其中信息被加到LinkLO的某些解决方案必须稍微调整,以使信息能流动到发布链接的实体。
所给出的实施例在图上使用以下的符号约定来图解:
·授权链中的实体由圆圈表示,以及可被赋以由椭圆表示的多重嵌套的状态变量(id,配置号,有效性周期)。这些属性由实体安全地管理;
·授权链中的实体之间的实线代表它们之间的关系;其它实线表示属性关联;
·虚线表示关系的证明代表;
·属性的多重性用‘*’表示,而关系的多重性在图上没有表示;
·代表关系的证明用矩形表示,且可被赋以由椭圆表示的多重(状态)变量(id,配置号,有效性周期)。这些属性安全地与证明相耦联。
·许可证可被赋以链接(把LinkC和LinkLO耦联到许可证)。这些链接属性是有信息的,不需要被安全地耦联到证明。
·这些耦联的链接(拷贝)载送与代表相应关系的、所发布的链接相同的信息(属性)。然而这些属性现在被显示在附图上。
·在实体的主机上存在的/必须存在的、但不一定必须被安全地管理的证明(拷贝)没有在附图上表示。
·ClientId(客户机Id),DomainId(域Id),LicenseOwnerId(许可证拥有者Id)和LicenseId(许可证Id)被用作为状态变量,以注明它们的相应的实体,但在附图上它们没有被显示为那些实体的属性。
2.1没有相关于有效性周期的强制执行
这个实施例被图示于图3中。所应用的机制是:
机制 | 用于 |
1.3-附着到许可证的域链接到未连接的客户机的扩散 | 把在域配置中的所有LinkLO和LinkC传送到客户机 |
1.5-相关于链接的关系的配置号 | 守护LinkC、LinkLO和许可证拥有者的所有许可证的状态。(两次级联) |
许可证拥有者具有licenseConfigNr,它在瞄准该许可证拥有者的任何许可证被改变或被去除时递增,以表示对于许可证之一的改变。
这个licenseConfigNr必须在协议中被传送到为每个关联的许可证拥有者安全地管理最新近的licenseConfigNr的域。该域管理domainConfigNr,当域配置中任何关系改变时它被递增。这些改变是:与该域相关联的任何许可证拥有者的licenseConfigNr的递增、许可证拥有者与该域的任何关联的改变或去除、以及客户机与该域的任何成员资格的改变或去除。
domainConfigNr的当前值由域与LinkC和LinkLO相关联,并且关联到由许可证拥有者新释放给域的许可证,例如通过把这个值记录在代表LinkC和LinkLO的已签名的对象中。
domainConfigNr首先必须在协议中被传送到为每个关联的域安全地管理最新近的domainConfigNr的许可证拥有者,以便能够用更新的domainConfigNr来发布新的许可证。
在许可证拥有者中的licenseConfigNr递增后,许可证拥有者需要等待与域通信,以便在可以发布新的许可证之前,接收最新近的domainConfigNr,连同域的最新近的链接。
许可证拥有者已知的所有LinkLO以及所有LinkC当被释放到域时被附着到许可证。许可证拥有者在与域的协议中接收这些链接。
域的链接现在可以通过在域与客户机之间的直接通信或经由客户机所获取的许可证而到达客户机。客户机按每个它做为其成员的域来管理用于客户机已知的最新近domainConfigNr的状态变量。这个domainConfigNr表示链接和许可证的有效性。当这些证明之一载送一个domainConfigNr作为属性、而该属性具有比起由客户机安全地管理的值更低的值时,该证明被看作为无效且必须在可能时被换新。这个检验在路径评估期间由链接的控制中的代码执行,要求被评估的许可证中的domainConfigNr的值和被评估的链接中的domainConfigNr的值必须不低于由客户机管理的值。
当在由域发送的链接中或在许可证中遇到更高的值时,客户机将调整它的domainConfigNr,仅仅递增它。所有的关系可以通过domainConfigNr机制在系统中撤销,但没有强制客户机联络域或解译新的许可证。仅有的动机让客户机去接受这个撤销信息,当它想要访问内容、而对于该内容的许可证是在系统中已经发生撤销之后发布时。
许可证拥有者给许可证赋以在许可证拥有者的管理机构中已知的domainConfigNr。然而,没有动机让许可证拥有者联络域来接收新的域配置信息,其中licenseConfigNr被增加且在允许释放许可证之前需要通信的情形除外。结果,被附着到新释放的许可证的域配置信息(LinkLO,LinkC和domainConfigNr)可能滞后于该域所知的域配置中的当前状况。这可以通过以下方式来规避,即:每次在许可证被释放到域之前要求许可证拥有者与域的通信,以确保具有最新近的域配置信息。
这个解决方案不实现在客户机上的证明的立即撤销,但当域内容到达时,客户机将及时地依从。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者 | 所有附着到许可证的链接被扩散到客户机,而不需要在线的域或许可证拥有者。决不需要在客户机与域之 |
的到客户机的新链接 | 间的连接。 |
未连接的许可证拥有者 | 从许可证拥有者的观点来看,关联关系将永远保留(在域决定结束它以后)。从客户机观点来看,关联可以通过遇到由与该域相关联的另一个许可证拥有者释放、具有更高domainConfigNr的许可证而结束。在客户机处不保证结束内容访问。 |
未连接的客户机 | 从客户机观点来看,成员资格关系将(在域决定结束它以后)保留,直至许可证用更高的domainConfigNr被解译为止。在客户机处不保证结束内容访问。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。所有的剩余链接必须被换新。 |
将许可证拥有者从域中解除关联 | 直到客户机联络该域或它们遇到由与该域相关联的另一个许可证拥有者释放、具有更高domainConfigNr的许可证,解除关联的许可证拥有者的内容才将是可访问的。所有的剩余链接必须被换新。 |
从许可证拥有者去除许可证 | 直到许可证拥有者联络该域且随后客户机联络该域或者它们遇到由进行去除的许可证拥有者或与该域相关联、在该去除后联络该域的另一个许可证拥有者释放、具有更高的domainConfigNr的许可证,该被去除的许可证的内容才将是可访问的。所有许可证拥有者的所有剩余的链接必须被换新。所有的链接必须被换新。 |
改变许可证(用户定义的限制) | 如同许可证被去除那样去递增licenseConfigNr。 |
客户机安全状态管理机构的大小 | #域*(DomainId+domainConfigNr) |
2.2在客户机上无状态
这个实施例被图示于图4中。所应用的机制是:
机制 | 用于 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,以及强制执行licenseConfigNr的传播。 |
1.3-附着到许可证的域链接扩散到未连接的客户机 | 把许可证拥有者的LinkLO和在域配置中的所有LinkC传送到客户机。 |
1.5-相关于链接的关系的配置号 | 守护许可证拥有者的所有许可证的状态。 |
许可证拥有者具有licenseConfigNr,它在瞄准该许可证拥有者的任何许可证被改变或被去除时递增,以表示对于许可证之一的改变。当许可证拥有者释放一个许可证到一个域时,许可证拥有者给许可证赋以licenseConfigNr的当前值。licenseConfigNr的当前值也被赋给LinkLO。这个licenseConfigNr应当首先在协议中被传送到为每个关联的许可证拥有者安全地管理最新近licenseConfigNr的域,以便能够用更新的licenseConfigNr发布新的LinkLO。在路径评估期间,LinkLO中的控制将执行赋给许可证的licenseConfigNr与赋给LinkLO的那个的检验。
许可证拥有者已知的LinkLO和所有的LinkC在被释放到域时被附着到许可证。许可证拥有者在与域的协议中接收这些链接。由于被附着到许可证的链接的分发是在从域到客户机的标准分发之上的可选的可替换分发,所以在许可证拥有者中的licenseConfigNr递增后,许可证拥有者是否需要等待与域的通信以便接收带有更新的licenseConfigNr的LinkLO是任选的。被附着到释放的许可证的LinkC可能滞后于该域所知的域配置中的当前状况。
应当指出,当LinkLO不是由域发布,而是由许可证拥有者发布时,许可证拥有者不需要把licenseConfigNr传送到域,以及域不需要管理licenseConfigNr。在那种情形下,许可证拥有者直接发布带有当前的licenseConfigNr的LinkLO。
LinkLO和LinkC上的有效性周期迫使客户机和许可证拥有者定期地通信、重新确认它们与域的相互关系以及接收更新的域配置信息。这些有效性周期在图上分别被表示为LO-validityperiod(LO-有效性周期)和C-validityperiod(C-有效性周期)。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 附着到许可证的单个LinkLO和所有的LinkC被扩散到客户机,不需要在线的域或许可证拥有者。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 等待,直到让域内容变为可访问的当前C-validityperiod期满。 |
将许可证拥有者从域中解除关联 | 在客户机将不再访问被解除关联的许可证拥有者的任何域内容之前,等待当前LO-validityperiod的剩余部分。不需要链接的换新。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待当前LO-validityperiod的剩余部分。许可证拥有者的所有剩余的许可证必须被换新。仅仅LinkLO必须被换新。 |
改变许可证(用户定义的限制) | 如同许可证被去除那样让licenseConfigNr递增。 |
客户机安全状态管理机构的尺寸 | 0 |
2.3 LinkC的个体状态
本实施例被图示于图5中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行licenseConfigNr的传播、且强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息 |
交换。 | |
1.3-附着到许可证的域链接扩散到未连接的客户机 | 把用于许可证拥有者的LinkLO传送到客户机。 |
1.5-相关于链接的关系的配置号 | 守护许可证拥有者的所有许可证的状态。 |
应当指出,在许可证拥有者与域之间有本地状态,但这并不导致由客户机管理的个体状态。关联关系可以在域与许可证拥有者之间的在线协议中被撤销,这里它们都同意结束关联并且各自从它们的管理机构中去除所涉及的状态变量。
licenseConfigNr被使用来守护许可证拥有者的所有许可证的状态,以及LinkLO上的有效性周期守护LinkLO的有效性,正如在解决方案2.2在客户机上无状态中描述的。
仅仅是许可证拥有者已知的LinkLO在被释放到域时被附着到许可证。许可证拥有者在与域的协议中接收这个链接。由于被附着到许可证的LinkLO的分发是一个在从域到客户机的标准分发之上的任选的可替换分发,所以在许可证拥有者中的licenseConfigNr递增后,许可证拥有者是否需要等待与域的通信以便接收带有更新的licenseConfigNr的LinkLO是任选的。
由于与解决方案2.2在客户机上无状态相比较,现在由客户机中的个体状态变量来守护成员资格关系,所以把LinkC加到许可证是没有用处的,因为获取许可证的客户机不能自己使用LinkC来建立成员资格;这只能用在线协议来完成。
在客户机与域之间的成员资格关系由个体状态机制来确定。成员资格只能使用在双方之间的协议来建立,以及它们都在状态变量(对于客户机是DomainId)中管理这个事实。LinkC带有有效性周期地被发布。LinkC现在仅仅当有效性周期没有期满且客户机中的与成员资格LinkC有关的状态变量DomainId仍旧存在时才是有效的。这在评估LinkC时在LinkC的控制的代码中被检验,搜索在评估中的许可证中需要的许可证拥有者的路径。成员资格关系可以在域与客户机之间的在线协议中被撤销,这里它们都同意结束成员资格并且各自从它们的管理机构中去除所涉及的状态变量。结果,LinkC在客户机上被禁止,因为不再有相关的状态变量。
LinkLO带有有效性周期地被发布。LinkLO现在仅仅当有效性周期没有期满且客户机中的与成员资格有关的状态变量DomainId仍旧存在时才是有效的。这在评估LinkLO时在LinkLO的控制的代码中被检验,搜索到许可证拥有者的路径。在路径评估期间,LinkLO中的控制将执行赋给许可证的licenseConfigNr与赋给LinkLO的licenseConfigNr的检验。
应当指出,域链接的DomainId可以从它们的隐含的指导(direction)管理机构得出,但更鲁棒的解决方案是给用于域的每个链接赋以DomainId。然而,这在图上未示出。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 附着到许可证的LinkLO被扩散到客户机,不需要在线的域或许可证拥有者。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。 |
将许可证拥有者从域中解除关联 | 在客户机将不再访问被解除关联的许可证拥有者的任何内容之前,等待当前的LO-validityperiod的剩余部分。不需要链接的换新。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待当前的LO-validityperiod的剩余部分。许可证拥有者的所有剩余的链接必须被换新。仅仅LinkLO必须被换新。 |
改变许可证(用户定义的限制) | 如同许可证被去除那样使licenseConfigNr递增。 |
客户机安全状态管理机构的尺寸 | #域*DomainId |
2.4 LinkC的个体状态和对于LinkLO的域状态
本实施例被图示于图6中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行licenseConfigNr的传播、且强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
1.3-附着到许可证的域链接扩散到未连接的客户机 | 把用于许可证拥有者的LinkLO传送到客户机。 |
1.4-相关于状态的关系的配置号 | 通过domainConfigNr守护LinkLO和LinkC的状态。 |
1.5-相关于链接的关系的配置号 | 守护许可证拥有者的所有许可证的状态。 |
应当指出,在许可证拥有者与域之间有本地状态,但这并不导致由客户机管理的个体状态;仅仅导致组合的domainConfigNr状态。关联关系可以在域与许可证拥有者之间的在线协议中被撤销,这里它们都同意结束该关联并且各自从它们的管理机构中去除所涉及的状态变量。
许可证拥有者具有licenseConfigNr,它在瞄准那个许可证拥有者的任何许可证被改变或被去除时递增,以表示对于许可证之一的改变。当许可证拥有者把一个许可证释放到一个域时,许可证拥有者给许可证赋以licenseConfigNr的当前值。licenseConfigNr的当前值也被赋给LinkLO。由于我们假设域发布LinkLO,所以这个licenseConfigNr必须首先在协议中被传送到为每个关联的许可证拥有者安全地管理最新近licenseConfigNr的域,以便能够用更新的licenseConfigNr发布新的LinkLO。在路径评估期间,LinkLO中的控制将执行赋给许可证的licenseConfigNr与赋给LinkLO的licenseConfigNr的检验。
许可证拥有者已知的LinkLO在被释放到域时被附着到许可证。许可证拥有者在与域的协议中接收这个链接。由于被附着到许可证的LinkLO的分发是一个在从域到客户机的标准分发之上的任选的可替换分发,所以在许可证拥有者中的licenseConfigNr递增后,许可证拥有者是否需要等待与域的通信以便接收带有更新的licenseConfigNr的LinkLO是任选的。
在客户机与域之间的成员资格关系由个体状态机制来确定。成员资格只能使用在双方之间的协议来建立,以及它们都在状态变量(对于客户机是DomainId)中管理这个事实。LinkC带有有效性周期地被发布。LinkC现在仅仅当有效性周期没有期满且客户机中的与成员资格LinkC有关的状态变量DomainId仍旧存在时才是有效的。这在评估LinkC时在LinkC的控制的代码中被检验,搜索在评估中的许可证中需要的许可证拥有者的路径。
成员资格关系可以在域与客户机之间的在线协议中被撤销,这里它们都同意结束成员资格并且各自从它们的管理机构中去除相关的状态变量。结果,LinkC在客户机上被禁止,因为不再有相关的状态变量。
所述域管理domainConfigNr,当域配置中任何关系改变时它被递增。这些改变是:与该域相关联的任何许可证拥有者的licenseConfigNr的递增、许可证拥有者与该域的任何关联的改变或去除、以及客户机与该域的任何成员资格的改变或去除。所述域把domainConfigNr的当前值赋给LinkC和LinkLO。
域的链接可以通过在域与客户机之间的直接通信而到达客户机,以及LinkLO可以经由客户机所获取的许可证而到达客户机。客户机按每个它是其成员的域来管理用于客户机已知的最新近domainConfigNr的状态变量。这个domainConfigNr表示链接的有效性。当这些链接之一载送一个domainConfigNr作为属性,而该属性具有比起由客户机安全地管理的属性更低的值时,该链接被看作为无效且必须在可能时被换新。这个检验在路径评估期间由链接的控制中的代码执行,要求被评估的链接中的domainConfigNr的值必须不低于由客户机管理的那个。
客户机为它们是其成员的每个域管理domainConfigNr状态变量。这个状态变量在客户机与域之间的在线协议中被更新。
客户机上的链接现在仅仅当它们的有效性周期没有期满、且客户机中的与成员资格LinkC有关的状态变量DomainId仍旧存在、且它们的domainConfigNr值不低于客户机状态管理机构中的那个时才是有效的。这在评估链接时在链接的控制的代码中被检验,搜索在被评估的许可证中需要的许可证拥有者的路径。LinkLO中的控制也将执行赋给许可证的licenseConfigNr与赋给LinkLO的licenseConfigNr的检验。
应当指出,现在对于LinkC有双状态管理机构:一个利用个体状态(客户机中的DomainId),以及一个经由domainConfigNr。替换的配置可以是不带有domainConfigNr作为属性的LinkC,以及不对照在客户机的状态管理机构中的domainConfigNr来测试LinkC。性状是类似的,但LinkC不需要随domainConfigNr的每个改变而被发布。
应当指出,域链接的DomainId可以从它们的隐含的指导管理机构得出,但更鲁棒的解决方案是给用于域的每个链接赋以DomainId。然而,这在图上未示出。
LinkLO和LinkC上的有效性周期迫使客户机和许可证拥有者定期地通信、重新确认它们与域的相互关系以及接收更新的域配置信息。这些有效性周期在图上分别被表示为LO-validityperiod和C-validityperiod。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 附着到许可证的LinkLO被扩散到客户机,不需要在线的域或许可证拥有者。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。所有剩余的链接必须被换新。 |
将许可证拥有者从域中解除关联 | 在所有的客户机将不再访问被解除关联的许可证拥有者的任何内容之前,等待min(当前LO-validityperiod的剩余部分,max(当前C-validityperiod的剩余部分))。所有剩余的链接必须被换新(替换地仅仅所有的LinkLO)。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待(如果许可证拥有者和域被连接:min(当前LO-validityperiod的剩余部分,max(当前C-validityperiod的剩余部分)),否则当前LO-validityperiod的剩余部分)。许可证拥有者的 |
所有剩余的许可证必须被换新。所有的链接必须被换新(替换地仅仅所有的LinkLO)。 | |
改变许可证(用户定义的限制) | 如同许可证被去除那样使licenseConfigNr递增。 |
客户机安全状态管理机构的尺寸 | #域*(DomainId+doaminConfigNr) |
2.5 LinkC和LinkLO的个体状态
本实施例被图示于图7中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC和LinkLO的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行licenseConfigNr的传播、且强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
1.4-相关于状态的关系的配置号 | 通过在域的状态和客户机的状态中的licenseConfigNr来守护许可证拥有者的所有许可证的状态。 |
许可证拥有者具有licenseConfigNr,它在瞄准那个许可证拥有者的任何许可证被改变或被去除时递增,以表示对于许可证之一的改变。当许可证拥有者释放许可证到域时,许可证拥有者给许可证赋以licenseConfigNr的当前值。
LicenseConfigNr的当前值在协议中被传送到为每个关联的许可证拥有者来安全地管理最新近的licenseConfigNr的域。
在许可证拥有者与域之间的关联关系由个体状态机制来确定。关联关系只能通过使用在双方之间的协议来建立,且它们都在状态变量(对于许可证拥有者的DomainId和对于域的LicenseOwnerId)中管理这个事实。关联关系可以在域与许可证拥有者之间的在线协议中被撤销,这里它们都同意结束该关联并各自从它们的管理机构中去除相关的状态变量。当域和客户机处于联络中或者当它们变为互相联络时,域的状态管理机构被传播到客户机。
在客户机与域之间的成员资格关系由个体状态机制来确定。成员资格只能通过使用在双方之间的协议来建立,以及它们都在状态变量(对于客户机的DomainId和对于域的ClientId)中管理这个事实。
对于客户机是其成员的每个域,其将持有该域相关于与该域相关联的许可证拥有者的状态管理机构的拷贝。成员资格关系可以在域与客户机之间的在线协议中被撤销,这里它们都同意结束成员资格并各自从它们的管理机构中去除相关的状态变量。
域的链接可以通过在域与客户机之间的直接通信而到达客户机。客户机上的链接现在仅仅当它们的有效性周期没有期满且与客户机状态管理机构中的成员资格有关的状态变量DomainId仍旧存在时才是有效的。这在评估链接时在链接的控制的代码中被检验,搜索在被评估的许可证中需要的许可证拥有者的路径。LinkLO的控制代码将执行附加检验:对于LinkLO的LicenseOwnerId在客户机的状态管理机构中仍旧被登记为是关联的,以及被评估的许可证的licenseConfigNr的值等于或大于在客户机的状态管理机构中的那个。
应当指出,域链接的DomainId可以从它们的隐含的指导管理机构得出,但更鲁棒的解决方案是给域的每个链接赋以DomainId。同样的情形对于把明显的LicenseOwnerId添加到LinkLO也成立。然而,这在图上未示出。
LinkLO和LinkC上的有效性周期迫使客户机和许可证拥有者定期地通信、重新确认它们与域的相互关系以及接收更新的域配置信息。这些有效性周期在图上分别被表示为LO-validityperiod和C-validityperiod。
与解决方案2.4 LinkC的个体状态和对于LinkLO的域状态相比较,由于关联关系(LinkLO)现在由客户机中的个体状态变量守护,所以把LinkLO加到许可证是没有用处的,因为获取许可证的客户机不能自己使用LinkLO来建立该关联的证明;这只能用在线协议来完成。
应当指出,对于这个解决方案的可替换的部署可以是:把链接的有效性周期属性(和其它未示出的属性)转送到状态管理机构。这意味着,成员资格或关联关系的验证包括评估由状态信息表示的、所讨论的关系的有效性周期,以及只有在有效性周期没有期满时才成功地验证所讨论的关联。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 在客户机中没有状态的离线创建。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。 |
将许可证拥有者从域中解除关联 | 在所有的客户机将不再访问被解除关联的许可证拥有者的任何内容之前,等待min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分))。不需要链接的换新。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待(如果许可证拥有者和域被连接:min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分)),否则当前的LO-validityperiod的剩余部分)。许可证拥有者的所有剩余的许可证必须被换新。不需要链接的换新。 |
改变许可证(用户定义的限制) | 如同许可证被去除那样使licenseConfigNr递增。 |
客户机安全状态管理机构的尺寸 | #域*(DomainId+#LO*(LicenseOwnerId+licenseConfigNr)) |
2.6 LinkC、LinkLO和许可证的个体状态
本实施例被图示于图8中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC、LinkLO和许可证的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行在许可证 |
拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
这个解决方案在以下事实中不同于解决方案2.5-LinkC和LinkLO的个体状态,即:不是使用licenseConfigNr机制来守护瞄准许可证拥有者的所有许可证的状态,而是所有的许可证各自得到在域与客户机的状态管理机构中的个体状态变量。现在客户机上的每个证明都需要客户机的状态管理机构中的相应状态变量在许可证评估中被认做为是有效的。
域的链接可以通过在域与客户机之间的直接通信而到达客户机。客户机上的链接现在仅仅当它们的有效性周期没有期满且在客户机状态管理机构中的与成员资格有关的状态变量DomainId仍旧存在时才是有效的。这在评估链接时在链接的控制的代码中被检验,搜索在被评估的许可证中需要的许可证拥有者的路径。LinkLO的控制代码将执行附加检验:对于LinkLO的LicenseOwnerId在客户机的状态管理机构中仍旧被登记为是关联的,以及被评估的许可证的LicenseId仍旧在客户机的状态管理机构中登记。应当指出,这个最后的对于LicenseId的检验也可以被分配在许可证本身的控制代码中。在后者的情形下,这具有如下的后果:解决方案系统特定的检验要被加到由原始内容供应商签名的控制,或释放的许可证被许可证拥有者改变和签名。
应当指出,许可证的LicenseId必须是在许可证中可得到的。然而,这没有在图上示出,正如实体的其它Id的情形一样。
用于管理实体的(在安全存储器中的)状态变量并把它们在个体的基础上传送到其它实体以便更新它们的内部状态结构的替换例是:定义经签名的和版本化的证明,该证明包含定义状态的整个结构。这些证明可以被自由地分布在实体中间,正像其它证明那样,以及仅仅对于这样一个证明的版本的单个状态变量需要由实体安全地管理。
作为在这个解决方案中的例子,域可以发布证明,带有与该域相关联的所有LicenseOwnerId、连同瞄准相应许可证拥有者且被释放到该域的许可证的每个LicenseOwnerId的所有LicenseId的列表。客户机管理这样的白列表的版本号,该白列表包含安全地与状态管理机构一致的有效的许可证id。尺寸可以较大的证明不需要被安全地存储,以及不需要通过在线安全协议传送到客户机。
相对于版本变量的状态管理机构的这样一个机制的性状已经在解决方案2.1-没有相关于有效性周期的强制执行中相对于domainConfigNr被描述。在那里该技术被用于一组链接;在这里它可被使用于任何结构中的一组状态变量。对于本发明,该技术没有被作为单独机制进行描述,但它当然也可以与大多数其它解决方案相组合地被应用。
应当指出,用于此解决方案的可替换部署可以是:把链接的有效性周期属性(和其它未示出的属性)转送到状态管理机构。这意味着,成员资格或关联关系以及许可证的有效性的验证包括:评估用状态信息表示的、所讨论的关系的有效性周期,以及只在有效性周期没有期满时才成功地验证所讨论的关联。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 在客户机中没有状态的离线创建。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前的LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。 |
将许可证拥有者从域中解除关联 | 在所有的客户机将不再访问被解除关联的许可证拥有者的任何内容之前,等待min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分))。不需要链接的换新。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待(如果许可证拥有者和域被连接:min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分)),否则当前的LO-validityperiod的剩余部分)。不需要许可证的换新。不需要链接的换新。 |
改变许可证(用户定义的限制) | 不支持。 |
客户机安全状态管理机构的尺寸 | #域*(DomainId+#LO*(LicenseOwnerId+#Lics*LicenseId)) |
2.7带有对许可证的版本控制的所有关系的个体状态
本实施例被图示于图9中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC、LinkLO和许可证的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
1.6-相关于状态的关系的版本号 | 守护许可证的版本的状态。 |
这个解决方案与解决方案2.6-LinkC、LinkLO和许可证的个体状态的不同之处在于,在状态中支持许可证的版本。许可证拥有者现在在他的状态管理机构对于瞄准它的每个许可证具有一个LicControlVersionNr。由许可证拥有者释放到域的许可证被赋以LicControlVersionNr的实际值,以及LicControlVersionNr被传送到域,并从那里传送到客户机,以便被合并到它们的状态管理机构中。
当对许可证做出实质改变时,许可证拥有者将使它的LicControlVersionNr递增。被释放到域的许可证的以前版本将结束而成为无用的(及时),因为它们载送比起在客户机的状态管理机构中登记的版本号更老的版本号。
在客户机的状态管理机构中对于评估中的许可证的LicenseId作为LicenseOwnerId的元素作为DomainId的元素的存在的检验被扩展以:检验对于LicenseOwnerId的所登记的LicControlVersionNr值不高于被赋给许可证的LicControlVersionNr值。
再次地,任选地,把这个检验分配在LinkLO的控制代码中或者许可证本身的控制代码中。
应当指出,用于这个解决方案的可替换部署可以是:把链接的有效性周期属性(和其它未示出的属性)转送到状态管理机构。
解决方案的特征:
方面/行动 | |
对于离线的域和/或许可证拥有者的到客户机的新链接 | 在客户机中没有状态的离线创建。 |
未连接的许可证拥有者 | 在当前的LO-validityperiod期满后,断开关系和不访问内容。 |
未连接的客户机 | 在每个许可证拥有者的当前的LO-validityperiod或C-validityperiod期满后,断开关系和不访问内容。 |
从域中撤销客户机的登记 | 客户机将立刻不访问任何域内容。 |
将许可证拥有者从域中解除关联 | 在所有的客户机将不再访问被解除关联的许可证拥有者的任何内容之前,等待min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分))。不需要链接的换新。 |
从许可证拥有者去除许可证 | 在客户机将不再访问被去除的许可证的内容之前,等待(如果许可证拥有者和域被连接:min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分)),否则当前的LO-validityperiod的剩余部分)。不需要许可证的换新。不需要链接的换新。 |
改变许可证(用户定义的限制) | 在客户机将不再使用许可证的以前版本之前,等待(如果许可证拥有者和域被连接:min(当前的LO-validityperiod的剩余部分,max(当前的C-validityperiod的剩余部分)),否则当前的LO-validityperiod的剩余部分)。改变的许可证必须被换新。 |
客户机安全状态管理机构的尺寸 | #域*(DomainId+#LO*(LicenseOwnerId+#Lics*(LicenseId+LicControlVersionNr))) |
2.8并行的许可证链接
本实施例被图示于图10中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC、LinkLO和许可证的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
1.6-相关于状态的关系的版本号 | 守护LinkLic的版本的状态。 |
1.8-用于分离控制区的并行许可证链接 | 在LinkLic的控制中隔离用户定义的限制。 |
这个解决方案示范了在如解决方案2.7-带有对许可证的版本控制的用于所有关系的个体状态中描述的配置之上的并行许可证链接机制的用法。参见作为此解决方案参考的并行机制的说明。LinkLic是从许可证拥有者到瞄准该许可证拥有者的许可证的链接。LicControlVersionNr现在被使用于在LinkLic的状态中的版本控制,该控制比起带有原始内容供应商的控制的许可证更可能改变。当同样对于许可证也需要版本化时,可以在LicControlVersionNr之后马上使用附加版本nr,并且其独立于LicControlVersionNr地操作。
与对于解决方案2.7-带有对许可证的版本控制的用于所有关系的个体状态相同的特征,带有分离开的控制区的附加优点,这里在不改变许可证的情况下,用户定义的限制可被改变。
2.9串行许可证链接
本实施例被图示于图11中。所应用的机制是:
机制 | 用于 |
1.1-关系的个体状态 | 守护LinkC、LinkLO和许可证的状态。 |
1.2-链接的有效性周期 | 守护LinkC和LinkLO,强制执行在许可证拥有者与域之间的信息交换、以及强制执行在客户机与域之间的域配置信息交换。 |
1.6-相关于状态的关系的版本号 | 守护LinkLic的版本的状态。 |
1.9-用于分离控制区的串行 | 在LinkLic的控制中隔离用户定义的限 |
许可证链接 | 制。 |
这个解决方案示范了在如解决方案2.7-带有对许可证的版本控制的用于所有关系的个体状态中描述的配置之上的串行许可证链接机制的用法。参见作为用于此解决方案的参考的串行机制的说明。LinkLic是从许可证拥有者到不瞄准该许可证拥有者的许可证的链接。LinkLic完成内容到许可证拥有者的耦联,使得这个链接成为内容获取和移动过程中的必要元素。现在LicControlVersionNr被使用于在LinkLic的状态中的版本控制,该控制比起具有原始内容供应商的控制的许可证更可能改变。当同样对于许可证也要求版本化时,可以在LicControlVersionNr之后马上使用附加版本nr,并且其独立于LicControlVersionNr地操作。
解决方案的特征:
与对于解决方案2.7-带有对许可证的版本控制的用于所有关系的个体状态相同的特征,具有以下附加优点:
·分离开的控制区,这里在不改变许可证的情况下,用户定义的限制可被改变;
·不需要在由原始内容供应商签名的许可证的控制中重新瞄准(retarget)。
进一步的改进
用户定义的限制可以按照在国际专利申请WO 05/111760(代理人案号PHNL040536)中公开的方法被加上。
在以上的某些实施例中,将许可证拥有者从域中解除关联需要客户机在客户机将不再访问被解除关联的许可证拥有者的任何域内容之前等待某个时段,通常是当前的LO-validityperiod的剩余部分。这个时段然后充当宽限期,在该宽限期内来自那个域的域内容仍旧是可访问的。在这个宽限期后,域关联被取消。
系统可以实施可能同时存在的(活动域)最大数目的域关联。通常,这将通过计数器来完成,在一个域被创建时计数器增加,以及如果域关联被取消,则它被减小。如果这个计数器等于最大值,且用户将一个许可证拥有者从他的域之一中解除关联,则在宽限期结束之前将不允许创建新的域关联,因为仅仅在那时计数器才被减小。这对于用户是不方便的,因为他们期待能够在将许可证拥有者从现有域中解除关联的行动之后马上创建新的域关联。
为了对以上方面进行改进,系统应当实现一个用于在宽限期内的多个域的分开的计数器(老域计数器)。在将许可证拥有者从域中解除关联之后,活动域计数器马上被减小1。这允许立即创建新的域关联。
除了减小活动域计数器以外,老域计数器被增加。在宽限期期满后,老域计数器被减小。这样,活动域与处在其宽限期内的域被分开地跟踪。
如果活动域计数器已达到它的最大值,则不能创建新的域关联。因为现在只要用户将许可证拥有者从域中解除关联,活动域计数器就被减小,所以上述的不便性减小。
用户可能仍旧不能够在将许可证拥有者解除关联之后马上创建新的域关联。这将在老域计数器已达到它的最大值以及活动域计数器也已达到它的最大值时发生。然而,这是非常极端的情形:用户将必须不仅具有最大数目的活动域,而且有最大数目的仍处在其宽限期内的域。
通过细心地选择两个最大值,这种可能性会大大地减小。
最后的注释
在上面,语句“min(A,B)”应当被解译为A和B中的较小者,以及语句“max(A,B)”应当被解译为A和B中的较大者。
在本文档中,使用以下的定义:
术语 | 定义 |
关联 | 在许可证拥有者与域之间建立相互关系的结果。 |
客户机 | 功能性实体,其可以获取和分析许可证和链接,以便根据在这些许可证和链接中表示的权利来获得对内容实例的访问。 |
内容 | 由域依从系统安全地管理的、打算被访问以供人消费的任何数据。 |
控制对象 | 通过准予或拒绝将内容密钥使用于它们控制的内容而掌管内容访问的法则的代表。它们也可以被使用来代表对它们嵌入其中的链接对象的有效性的制约。它们也可以被用作为以另一个实体名义(诸如以代理或代表的形式)运行的独立的程序容器。控制包含元数据和字节代码程序,其实施特定的交互协议。 |
设备 | 能够作为客户机宿主的软件应用和/或硬件部件。 |
域 | 客户机和许可证拥有者的被独特地标识的集合。 |
域配置 | 构成域的各关系的格局,其中个体关系可以在证明中被表示。 |
域内容 | 已经为域释放的内容。 |
许可证 | 一个主体(principal)具有的、对特定的内容实例的权利的表达。 |
许可证拥有者 | 在域环境下可被授予对于内容实例的权利的用户的代表。 |
成员资格 | 在客户机与域之间建立相互关系的结果。 |
成员客户机 | 作为特定域的成员的客户机。 |
主体 | 其身份可被鉴权的系统实体。 |
释放 | 授予对于内容实例的全部或一个子集的权利以便在域内使用的处理过程。 |
瞄准 | 在许可证与许可证拥有者之间建立相互关系。 |
用户 | 与系统、设备和服务交互的个体。许可证拥有者的集合代表系统内的用户。 |
使用法则 | 掌管受守护内容的使用的一组权利。注:使用法则可能在许可证中被明显地表示,或在其它地方例如通过规章或在应用级别的容许中被确定。 |
应当指出,上述的实施例是举例说明而不是限制本发明,以及本领域技术人员将能够设计出许多替换实施例而不背离所附权利要求的范围。
在所有的图上,相同的参考标号表示相似的或相应的特征。在附图上表示的某些特征典型地用软件实施,并从而代表软件实体,诸如软件模块或对象。
在权利要求中,置于括号之间的任何参考符号不应当被看作为限制权利要求。单词“包括”不排除不同于权利要求中所列出的那些的单元或步骤的存在。在单元之前的单词“一”或“一个”不排除多个这样的单元的存在。本发明可以藉助于包括几个不同单元的硬件和藉助于适当地编程的计算机而被实施。
在枚举几个装置的设备或系统权利要求中,这些装置的某一些或全部可以用同一个硬件项来体现。单单是某些措施在互相不同的从属权利要求中被记载的事实,并不表示这些措施的组合不能被使用来获益。
Claims (9)
1.一种数字权利管理的方法,其中以成功地验证的步骤为条件,而按照由许可证拥有者拥有的许可证来准予作为域成员的客户机访问一条内容,所述步骤为成功地验证:
在客户机与域之间存在成员资格关系,如在由客户机和由域控制器两者维持的第一状态变量中被反映的,
以及在许可证拥有者与域之间存在关联关系,如在由域控制器和由与该许可证拥有者相关联的许可证拥有者控制器两者维持的第二状态变量中被反映的,
所述方法包括:
通过执行在域控制器和客户机之间的在线协议而撤销成员资格关系,此后两者都去除第一状态变量,以及
通过执行在许可证拥有者控制器和域控制器之间的在线协议而撤销关联关系,此后域控制器去除第二状态变量,以及此后与该域有关的状态管理机构被传播到客户机以使得该客户机去除该第二状态变量。
2.权利要求1的方法,其中关联关系和成员资格关系的验证包括:评估由状态信息表示的、所讨论的关系的有效性周期,以及仅仅在有效性周期没有期满时才成功地验证所讨论的关联。
3.权利要求1的方法,其中域控制器和客户机还保持第三状态变量,以便守护守护许可证的状态。
4.权利要求3的方法,其中该第三状态变量包含用于许可证的标识符的代表。
5.权利要求3的方法,其中许可证拥有者的控制器创建所述第三状态变量,并把该第三状态变量传播到域控制器,域控制器把该第三状态变量传播到客户机。
6.权利要求1的方法,其中在许可证拥有者与域之间的关联关系被表示在标识出许可证拥有者和域的证明中。
7.权利要求1或4的方法,其中在客户机与域之间的成员资格关系被表示在标识出客户机和域的证明中。
8.权利要求4和/或5的方法,其中所述证明载送它的有效性周期的标识。
9.一种用于数字权利管理的系统,被配置成以成功地验证为条件,而按照由许可证拥有者拥有的许可证来准予作为域成员的客户机访问一条内容,所述条件为成功地验证:
在客户机与域之间存在成员资格关系,如在第一状态变量中被反映的;和在许可证拥有者与域之间存在关联关系,如在第二状态变量中被反映的,
客户机和域控制器被配置成都维持第一状态变量,以及被配置成通过执行在它们之间的在线协议而撤销成员资格关系,此后两者都去除第一状态变量,
域控制器和与许可证拥有者相关联的许可证拥有者控制器被配置成都维持第二状态变量,以及被配置成通过执行在它们之间的在线协议而撤销关联关系,此后两者都去除第二状态变量,域控制器还被配置成把与该域有关的状态管理机构传播到客户机,以便使客户机去除该第二状态变量。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05109043 | 2005-09-30 | ||
EP05109043.9 | 2005-09-30 | ||
PCT/IB2006/053339 WO2007036831A2 (en) | 2005-09-30 | 2006-09-18 | Improved drm system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101278296A true CN101278296A (zh) | 2008-10-01 |
CN101278296B CN101278296B (zh) | 2010-12-01 |
Family
ID=37900140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800360142A Active CN101278296B (zh) | 2005-09-30 | 2006-09-18 | 数字权利管理的方法和系统 |
Country Status (10)
Country | Link |
---|---|
US (3) | US8595853B2 (zh) |
EP (1) | EP1938237B1 (zh) |
JP (1) | JP5172681B2 (zh) |
KR (1) | KR101315082B1 (zh) |
CN (1) | CN101278296B (zh) |
BR (1) | BRPI0616713B1 (zh) |
ES (1) | ES2711873T3 (zh) |
RU (1) | RU2419867C2 (zh) |
TR (1) | TR201902756T4 (zh) |
WO (1) | WO2007036831A2 (zh) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006107185A1 (en) * | 2005-04-08 | 2006-10-12 | Electronics And Telecommunications Research Intitute | Domain management method and domain context of users and devices based domain system |
US20090133129A1 (en) | 2006-03-06 | 2009-05-21 | Lg Electronics Inc. | Data transferring method |
CA2636002C (en) | 2006-03-06 | 2016-08-16 | Lg Electronics Inc. | Data transfer controlling method, content transfer controlling method, content processing information acquisition method and content transfer system |
US8429300B2 (en) | 2006-03-06 | 2013-04-23 | Lg Electronics Inc. | Data transferring method |
KR20080022476A (ko) * | 2006-09-06 | 2008-03-11 | 엘지전자 주식회사 | 논컴플라이언트 컨텐츠 처리 방법 및 디알엠 상호 호환시스템 |
KR101319491B1 (ko) * | 2006-09-21 | 2013-10-17 | 삼성전자주식회사 | 도메인 정보를 설정하기 위한 장치 및 방법 |
US8520850B2 (en) | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
US8150662B2 (en) * | 2006-11-29 | 2012-04-03 | American Express Travel Related Services Company, Inc. | Method and computer readable medium for visualizing dependencies of simulation models |
US8918508B2 (en) | 2007-01-05 | 2014-12-23 | Lg Electronics Inc. | Method for transferring resource and method for providing information |
US8621540B2 (en) * | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
WO2008100120A1 (en) | 2007-02-16 | 2008-08-21 | Lg Electronics Inc. | Method for managing domain using multi domain manager and domain system |
US20080222044A1 (en) * | 2007-03-05 | 2008-09-11 | Microsoft Corporation | Protected content renewal |
US7971261B2 (en) * | 2007-06-12 | 2011-06-28 | Microsoft Corporation | Domain management for digital media |
MX2009014173A (es) | 2007-07-05 | 2010-03-04 | Fraunhofer Ges Forschung | Metodo y dispositivo para manejo de derechos digitales. |
JP5009832B2 (ja) * | 2008-02-25 | 2012-08-22 | ソニー株式会社 | コンテンツ利用管理システム、情報処理装置、および方法、並びにプログラム |
US9491184B2 (en) * | 2008-04-04 | 2016-11-08 | Samsung Electronics Co., Ltd. | Method and apparatus for managing tokens for digital rights management |
US10007768B2 (en) * | 2009-11-27 | 2018-06-26 | Isaac Daniel Inventorship Group Llc | System and method for distributing broadcast media based on a number of viewers |
US8478693B1 (en) * | 2012-02-13 | 2013-07-02 | Google Inc. | Framework for specifying access to protected content |
US9189643B2 (en) * | 2012-11-26 | 2015-11-17 | International Business Machines Corporation | Client based resource isolation with domains |
WO2014129922A1 (ru) * | 2013-02-21 | 2014-08-28 | Общество С Ограниченной Ответственностью "Протекшен Технолоджи Ресеч" | Способ управлениями лицензиями в drm-системе |
US10929551B2 (en) * | 2013-03-13 | 2021-02-23 | Comcast Cable Communications, Llc | Methods and systems for managing data assets |
KR20150090437A (ko) * | 2014-01-29 | 2015-08-06 | 한국전자통신연구원 | 자동 종속 감시 자료 보호 방법 및 그 시스템 |
US10681031B2 (en) * | 2015-11-02 | 2020-06-09 | International Business Machines Corporation | Federating devices to improve user experience with adaptive security |
EP3455763B1 (en) * | 2016-05-12 | 2020-12-30 | Koninklijke Philips N.V. | Digital rights management for anonymous digital content sharing |
US10467429B2 (en) * | 2016-09-14 | 2019-11-05 | Faraday & Future Inc. | Systems and methods for secure user profiles |
US11334852B2 (en) * | 2016-12-08 | 2022-05-17 | Airwatch Llc | Secured attachment management |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7020781B1 (en) * | 2000-05-03 | 2006-03-28 | Hewlett-Packard Development Company, L.P. | Digital content distribution systems |
KR20010105705A (ko) | 2000-05-17 | 2001-11-29 | 정문술 | 다중 인터넷 서비스에 대한 통합 사용자 관리환경 제공방법 및 이를 위한 시스템 |
US8606684B2 (en) * | 2000-11-10 | 2013-12-10 | Aol Inc. | Digital content distribution and subscription system |
US8001053B2 (en) | 2001-05-31 | 2011-08-16 | Contentguard Holdings, Inc. | System and method for rights offering and granting using shared state variables |
US7096203B2 (en) * | 2001-12-14 | 2006-08-22 | Duet General Partnership | Method and apparatus for dynamic renewability of content |
CN1656803B (zh) | 2002-05-22 | 2012-06-13 | 皇家飞利浦电子股份有限公司 | 数字权利管理方法和系统 |
SE0202451D0 (sv) * | 2002-08-15 | 2002-08-15 | Ericsson Telefon Ab L M | Flexible Sim-Based DRM agent and architecture |
CN1685706A (zh) | 2002-09-23 | 2005-10-19 | 皇家飞利浦电子股份有限公司 | 基于证书授权的域 |
RU2352985C2 (ru) | 2002-10-22 | 2009-04-20 | Конинклейке Филипс Электроникс Н.В. | Способ и устройство для санкционирования операций с контентом |
US20040199471A1 (en) | 2003-04-01 | 2004-10-07 | Hardjono Thomas P. | Rights trading system |
JP4424465B2 (ja) * | 2003-06-09 | 2010-03-03 | ソニー株式会社 | 情報機器、情報サーバおよび情報処理プログラム |
JP4694482B2 (ja) * | 2003-07-24 | 2011-06-08 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 複合型の装置及び個人に基づく認可されたドメインのアーキテクチャ |
US7008600B2 (en) | 2003-08-01 | 2006-03-07 | The Clorox Company | Disinfecting article and cleaning composition with extended stability |
US7831515B2 (en) * | 2003-08-05 | 2010-11-09 | Intraware. Inc. | Method and system for subscription-based, entitlement-driven license key generation and distribution for digital goods |
WO2005036854A1 (en) * | 2003-10-14 | 2005-04-21 | Telecom Italia S.P.A. | Method, system and computer program for managing usage of digital contents. |
EP2284645B1 (en) * | 2003-12-04 | 2015-02-25 | Koninklijke Philips N.V. | Connection linked rights protection |
US7551187B2 (en) * | 2004-02-10 | 2009-06-23 | Microsoft Corporation | Systems and methods that utilize a dynamic digital zooming interface in connection with digital inking |
US8843413B2 (en) * | 2004-02-13 | 2014-09-23 | Microsoft Corporation | Binding content to a domain |
WO2005088896A1 (en) | 2004-03-11 | 2005-09-22 | Koninklijke Philips Electronics N.V. | Improved domain manager and domain device |
CA2561229A1 (en) | 2004-03-26 | 2005-10-06 | Koninklijke Philips Electronics N.V. | Method of and system for generating an authorized domain |
EP2933746A1 (en) | 2004-05-17 | 2015-10-21 | Koninklijke Philips N.V. | Processing rights in drm systems |
-
2006
- 2006-09-18 ES ES06821102T patent/ES2711873T3/es active Active
- 2006-09-18 JP JP2008532920A patent/JP5172681B2/ja active Active
- 2006-09-18 CN CN2006800360142A patent/CN101278296B/zh active Active
- 2006-09-18 US US12/088,006 patent/US8595853B2/en active Active
- 2006-09-18 EP EP06821102.8A patent/EP1938237B1/en active Active
- 2006-09-18 RU RU2008117173/08A patent/RU2419867C2/ru active
- 2006-09-18 TR TR2019/02756T patent/TR201902756T4/tr unknown
- 2006-09-18 BR BRPI0616713A patent/BRPI0616713B1/pt active IP Right Grant
- 2006-09-18 KR KR1020087010343A patent/KR101315082B1/ko active IP Right Grant
- 2006-09-18 WO PCT/IB2006/053339 patent/WO2007036831A2/en active Application Filing
-
2013
- 2013-10-21 US US14/058,492 patent/US8776259B2/en active Active
-
2014
- 2014-07-03 US US14/323,508 patent/US9460271B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US8776259B2 (en) | 2014-07-08 |
US20080229387A1 (en) | 2008-09-18 |
JP2009510583A (ja) | 2009-03-12 |
EP1938237A2 (en) | 2008-07-02 |
US20150013017A1 (en) | 2015-01-08 |
BRPI0616713B1 (pt) | 2018-09-25 |
RU2008117173A (ru) | 2009-11-10 |
WO2007036831A3 (en) | 2007-11-01 |
TR201902756T4 (tr) | 2019-03-21 |
EP1938237B1 (en) | 2018-12-12 |
CN101278296B (zh) | 2010-12-01 |
ES2711873T3 (es) | 2019-05-08 |
RU2419867C2 (ru) | 2011-05-27 |
KR101315082B1 (ko) | 2013-11-21 |
US20140130181A1 (en) | 2014-05-08 |
WO2007036831A2 (en) | 2007-04-05 |
KR20080057322A (ko) | 2008-06-24 |
US9460271B2 (en) | 2016-10-04 |
BRPI0616713A2 (pt) | 2011-06-28 |
JP5172681B2 (ja) | 2013-03-27 |
US8595853B2 (en) | 2013-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101278296B (zh) | 数字权利管理的方法和系统 | |
CN102057382B (zh) | 用于内容共享的临时域成员资格 | |
CN1890618B (zh) | 与连接相关的权利保护 | |
US8805742B2 (en) | Method and system for providing DRM license | |
RU2352985C2 (ru) | Способ и устройство для санкционирования операций с контентом | |
CN100353273C (zh) | 在授权域内划分的权利 | |
US20080195548A1 (en) | License Data Structure and License Issuing Method | |
US20070192276A1 (en) | Method and apparatus for temporarily using DRM contents | |
JP2008052735A (ja) | デジタル権限管理において権限発行者とドメイン権限附与者を登録する方法及びこの方法を利用して保安コンテンツ交換機能を実行する方法 | |
JP2007293859A (ja) | ユーザードメインの管理方法 | |
CN101778096A (zh) | 在重叠多服务器网络环境中用于访问控制的方法和装置 | |
US9237310B2 (en) | Method and system digital for processing digital content according to a workflow | |
CN100539681C (zh) | 在重叠多服务器网络环境中用于访问控制的方法和装置 | |
WO2007085989A2 (en) | Improved certificate chain validation | |
WO2008149319A2 (en) | Vouching for source authorization | |
CN101131724B (zh) | 注册版权发行者和域权限及实施安全内容交换功能的方法 | |
CN101939752B (zh) | 用于在数字权限管理中管理权限对象的授权的方法和装置 | |
Koster et al. | Digital Rights Management | |
Liu et al. | Protecting Privacy of Personal Content on an OMA DRM Platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |