CN101350718A - 一种基于用户识别模块的播放内容权限范围的保护方法 - Google Patents
一种基于用户识别模块的播放内容权限范围的保护方法 Download PDFInfo
- Publication number
- CN101350718A CN101350718A CNA2008101193561A CN200810119356A CN101350718A CN 101350718 A CN101350718 A CN 101350718A CN A2008101193561 A CNA2008101193561 A CN A2008101193561A CN 200810119356 A CN200810119356 A CN 200810119356A CN 101350718 A CN101350718 A CN 101350718A
- Authority
- CN
- China
- Prior art keywords
- extent
- competence
- message
- status word
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于用户识别模块的播放内容权限范围的保护方法,属于数字版权保护技术领域。本发明方法包括用户身份认证过程,权限范围获取过程和权限范围存储和管理过程。其中权限范围存储和管理过程包括用户识别模块存储权限范围状态字,客户端数字版权代理模块获取权限范围密钥,更新权限范围状态字和删除权限范围状态字。本发明方法的优点是:在权限范围的整个生命周期内提供完整性检查机制;基于用户识别模块,由于用户识别模块和移动通信终端设备的结合性,非常适合移动环境;利用了用户识别模块本身提供的安全机制,确保方法中各个密钥的安全性,最终达到保护权限范围的目的。
Description
技术领域
本发明涉及一种基于用户识别模块(Subscriber Identity Module,以下简称SIM卡)的播放内容权限范围的保护方法,属于数字版权保护技术领域。
背景技术
数字化播放内容的权限范围定义了播放内容的使用规则,数字内容由于其特殊性,没有版权保护机制极易被复制、修改,造成非法传播。
数字版权管理(Digital Rights Management,以下简称DRM)是防止数字内容产品在未经授权的情况下被使用或被复制的一种管理方法,它不仅为数字内容产品提供版权保护,而且使内容提供商有权决定并控制用户以何种方式使用该产品。
一个数字内容产品可能存在不同的版权,内容提供商可以对其制定不同的使用规则并置于权限范围(Rights Object,以下简称RO)中,不同RO对应不同价格,用户通过支付并购买RO来使用该产品,并且只能在RO定义的使用规则内进行操作。即DRM系统中内容分发和版权控制成为相互独立的两个流程。
随着无线网络传输速率和带宽的提高,移动网络逐渐成为分发各种数字内容的主要渠道。移动网络中分发的各种数字内容的版权需要进行保护,并针对移动内容的分发流程进行有效管理。
由于上述原因,如何保证RO的完整性在移动数字版权保护技术中处于核心地位。现有的RO完整性保护技术多是基于公钥基础设施(Public Key Infrastructure,以下简称PKI)的版权保护机制,要求从权限发布服务器(Rights Issuer,以下简称RI)到每个移动终端设备上的客户端数字版权代理模块(以下简称DRM Agent)都拥有相应的数字证书,并且RI和DRM Agent需要通过认证机构(Certification Authority,以下简称CA)的身份认证,利用PKI的公钥理论和技术保护RO,但是PKI的使用增加了版权提供商和用户的负担,需要额外的数字证书申请与发放;增加了RI和DRM Agent间的数据流量和通信时间,降低了用户体验。
发明内容
本发明的目的是提出一种基于用户识别模块的播放内容权限范围的保护方法,达到在移动网络中保证权限范围完整性的目的。
本发明提出的基于用户识别模块的播放内容权限范围的保护方法,包括以下步骤:
1)用户身份认证过程:
(1)客户端数字版权代理模块设定一个随机数m,并根据该随机数和用户识别模块内的鉴权密钥Ki生成第一密钥K1;
(2)客户端数字版权代理模块设定另一个随机数n,获得系统当前时间t,使用上述第一密钥K1,对随机数n和当前时间t一起进行加密,得到密文;
(3)客户端数字版权代理模块从用户识别模块获取国际移动用户识别码,将上述随机数n、当前时间t、随机数m、国际移动用户识别码和密文一起进行哈希运算,得到一个哈希值h1,最后将上述随机数n、当前时间t、随机数m、国际移动用户识别码、密文和哈希值h1一起发送至权限发布服务器;
(4)权限发布服务器接收上述信息,将其中的随机数n、当前时间t、随机数m、国际移动用户识别码、密文一起进行哈希运算,得到一个哈希值h1’,与接收到的哈希值h1进行比较,若两个哈希值不相同,则认证失败,若两个哈希值相同,则从接收信息的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,根据其中的随机数m和获取的鉴权密钥Ki生成第二密钥K2,并解密其中的密文,将解密后的内容与随机数n和当前时间t进行比较,若一致,则认证成功,若不一致,则认证失败,最后将认证状态发送至客户端数字版权代理模块;
2)权限范围获取过程:
(5)客户端数字版权代理模块设定一个随机数r,从用户识别模块获取国际移动用户识别码,并将随机数r和国际移动用户识别码一起发送至权限发布服务器;
(6)权限发布服务器接收上述信息,从其中的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,并根据其中的随机数r和获取的鉴权密钥Ki生成权限范围密钥Kr;
(7)权限发布服务器利用上述权限范围密钥Kr对来自播放内容提供者的播放内容密钥Kc进行加密,得到播放内容密钥的密文,将该密文与权限发布服务器中存储的使用权限信息一起生成权限范围,对权限范围进行基于哈希的消息验证代码运算,生成权限范围的校验信息,对上述权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2,最后将权限范围、权限范围校验信息和哈希值h2一起发送至客户端数字版权代理模块;
(8)客户端数字版权代理模块接收上述信息,将其中的权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2’,将哈希值h2’与接收到的哈希值h2进行比较,若两个哈希值不相同,则获取权限范围失败,若两个哈希值相同,则对权限范围进行基于哈希的消息验证代码运算,验证权限范围的完整性,若完整,则将权限范围保存到客户端存储器中,若不完整,则获取权限范围失败;
3)权限范围存储和管理过程:
当客户端数字版权代理模块将权限范围保存到客户端存储器中时,用户识别模块存储权限范围状态字,其过程如下:
(9)客户端数字版权代理模块从步骤(8)得到的权限范围中,获得权限范围标识符i和随机数r,然后对权限范围进行哈希运算,得到一个权限范围状态字h,将获得的权限范围标识符i、随机数r和权限范围状态字h打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i,随机数r,权限范围状态字h和报文响应返回的最大长度Le;
(10)用户识别模块接收上述信息,从报文中获得权限范围标识符i、随机数r和权限范围状态字h,并存储权限范围标识符i、随机数r和权限范围状态字h,存储上述信息后,设置一个权限范围状态字存储状态Data,生成一个新的符合应用协议数据单元格式的报文,并发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字存储状态Data,报文返回状态字SW1和报文返回状态字SW2;
(11)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字存储状态Data与设定的权限范围状态字存储成功状态值相比较,若一致,则存储权限范围状态字成功,若不一致,则存储权限范围状态字失败;
当客户端数字版权代理模块需要获取播放内容密钥时,客户端数字版权代理模块从用户识别模块获取权限范围密钥,其过程如下:
(12)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,对权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;
(13)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(14),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,然后比较权限范围状态字h’和权限范围状态字h,若不一致,则转至步骤(14),若一致,则根据随机数r和用户识别模块内的鉴权密钥Ki生成权限范围密钥Kr’;
(14)用户识别模块设置一个权限范围密钥获取状态Flag,生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围密钥获取状态Flag,权限范围密钥Kr’,报文返回状态字SW1和报文返回状态字SW2;
(15)客户端数字版权代理模块接收上述信息,将其中的权限范围密钥获取状态Flag与设定的权限范围密钥获取成功状态值比较,若不一致,则获取权限范围密钥失败,若一致,则利用其中的权限范围密钥Kr’,解密权限范围中的播放内容密钥密文,获得播放内容密钥Kc;
当客户端数字版权代理模块更新权限范围,并保存到客户端存储器中时,用户识别模块更新权限范围状态字,其过程如下:
(16)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,然后更新权限范围中的使用权限信息,并将权限范围保存到客户端存储器中,最后对更新后的权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;
(17)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(18),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,将权限范围状态字h更新为权限范围状态字h’,并存储;
(18)用户识别模块设置一个权限范围状态字更新状态Data,生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字更新状态Data,报文返回状态字SW1和报文返回状态字SW2;
(19)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字更新状态Data与设定的权限范围状态字更新成功状态值比较,若一致,则更新权限范围状态字成功,若不一致,则更新权限范围状态字失败;
当客户端数字版权代理模块从客户端存储器中删除权限范围时,用户识别模块删除权限范围状态字,其过程如下:
(20)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,将获得的权限范围标识符i’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’和报文响应返回的最大长度Le;
(21)用户识别模块接收上述信息,从报文中获得权限范围标识符i’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(22),若找到,则删除权限范围标识符i,以及和权限范围标识符i对应的随机数r和权限范围状态字h;
(22)用户识别模块设置一个权限范围状态字删除状态Data,并生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字删除状态Data,报文返回状态字SW1和报文返回状态字SW2;
(23)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字删除状态Data与设定的权限范围状态字删除成功状态值比较,若一致,则删除权限范围状态字成功,若不一致,则删除权限范围状态字失败。
本发明提出的基于用户识别模块的播放内容权限范围的保护方法中,SIM卡是保存移动终端设备上用户身份识别数据的智能卡。SIM卡内部具有Authentication key(以下简称Ki),Ki唯一存在于SIM卡和移动运营商的数据库中,并且无法直接获得,只能通过特定的输入输出接口参与运算。本发明利用SIM卡的上述特性保证RO的完整性,具有以下优点:
1)本发明方法包括用户身份认证过程,RO获取过程以及RO存储和管理过程,在RO的整个生命周期内提供完整性检查机制。
2)本发明方法基于SIM卡,由于SIM卡和移动通信终端设备的结合性,这种方式非常适合移动环境。与常见的PKI相比,本方法不需要额外的RI和DRM Agent数字证书申请与发放,不会增加RI和DRM Agent间的数据流量和通信时间,提供了良好的用户体验。
3)本发明方法中涉及的密钥有SIM卡内鉴权密钥Ki,播放内容密钥Kc,权限范围密钥Kr,基于哈希的消息验证代码(Keyed-Hash Message Authentication Code,以下简称HMAC)算法密钥,加密认证信息的对称加密算法密钥。后三个密钥的安全性依赖于Ki的安全,Kc则是最终保护目标。
本发明方法利用了SIM卡本身提供的安全机制,即SIM卡内的Ki是安全的,Ki不会读出到SIM卡之外,而是利用SIM卡内访问Ki的接口,通过随机数与Ki计算出所需的各种密钥。SIM卡和DRM Agent之间通过应用协议数据单元(ApplicationProtocol Data Unit,以下简称APDU)交互,这个接口是非公开的,保证了第三方不可能通过ADPU获得Kr。Kc被Kr加密后包含在RO中传输,由于上述机制保证了Kr的安全,因此Kc也是安全的,最终保证了RO的安全性。
附图说明
图1是本发明方法中用户身份认证过程的流程图。
图2是本发明方法中权限范围获取过程的流程图。
图3是本发明方法中权限范围RO的示例文件。
图4是本发明方法中权限范围存储和管理过程的四种操作方式下的流程图,其中:
图4(a)是存储RoSW过程的流程图;
图4(b)是获取RO密钥过程的流程图;
图4(c)是更新RoSW过程的流程图;
图4(d)是删除RoSW过程的流程图。
具体实施方式
以下结合附图详细介绍本发明的内容。
本发明提出的基于用户识别模块的播放内容权限范围的保护方法,包括以下步骤:
1)用户身份认证过程,如图1所示。
(1)DRM Agent设定一个4字节的随机数m,并根据m和SIM卡内的鉴权密钥Ki生成16字节的第一密钥K1;
(2)DRM Agent设定另一个随机数n,获得系统当前时间t,并使用高级加密标准(Advanced Encryption Standard,以下简称AES)对称加密算法,将K1作为密钥,加密随机数n和系统当前时间t首尾相接组成的字符串,加密后得到密文AuthText。上述n是由DRMAgent设定的20字节随机数,t是用户发起身份认证请求时的时间,格式为YYYY-MM-DDTHH:MM:SSZ;
(3)DRM Agent从SIM卡获取国际移动用户识别码(International MobileSubscriber Identity,以下简称IMSI),将上述n,t,m,IMSI和AuthText一起进行SHA-1哈希运算,得到一个哈希值h1,最后上述信息一起发送至RI;
(4)RI接收上述信息,将其中的n,t,m,IMSI和AuthText一起进行SHA-1哈希运算,得到一个哈希值h1’,与接收到的哈希值h1进行比较,若两个哈希值不相同,则认证失败,若两个哈希值相同,则通过IMSI获取RI的Ki,并根据其中的m和获取的Ki生成16字节的第二密钥K2,然后使用AES对称加密算法解密AuthText,将解密后的内容与接收到的随机数n和当前时间t首尾相接组成的字符串比较,若一致,则认证成功,表明DRMAgent的身份可信,若不一致,则认证失败,最后将认证状态发送至客户端数字版权代理模块;
2)权限范围获取过程,如图2所示。
(5)DRMAgent设定一个4字节的随机数r,从SIM卡获得IMSI,并将r和IMSI一起发送至RI;
(6)RI接收上述信息,通过其中的IMSI获取Ki,并根据其中的r和获取的Ki生成16字节的权限范围密钥Kr;
(7)RI使用AES对称加密算法,并将Kr作为密钥,加密播放内容密钥Kc,得到播放内容密钥的密文,将该密文与RI中存储的使用权限信息一起生成RO,然后通过HMAC-SHA-1算法生成RO的校验信息,将RO和HMAC一起进行SHA-1哈希运算,得到一个哈希值h2,最后将RO,HMAC和h2一起发送至DRM Agent。上述Kc是来自播放内容提供者的16字节的播放内容密钥,权限范围RO以XML形式表示,示例文件如图3所示,RO中的权限通过权限描述语言(Rights Expression Language,以下简称REL)描述;
(8)DRMAgent接收上述信息,将其中的RO和HMAC一起进行SHA-1哈希运算,得到一个哈希值h2’,与接收到的哈希值h2进行比较,若两个哈希值不相同,则获取RO失败,若两个哈希值相同,则用HMAC-SHA-1算法验证RO的完整性,若完整,则将RO保存到客户端存储器中,若不完整,则获取RO失败;
3)权限范围存储和管理过程:
在SIM卡中存储的权限信息包括三个部分:权限范围标识符i(以下简称RoID),随机数r(以下简称Rand),权限范围状态字h(以下简称RoSW)。上述RoID是4字节的RO标识符;Rand是4字节的随机数,用来生成密钥Kr,Kr可以解密RO得到其中的Kc;RoSW是8字节的RO哈希值,通过SHA-1哈希算法得到,用来验证RO的完整性。下面使用roid,rand和rosw表示具体实施时对应上述三个部分的具体数据。
RoSW在SIM卡中的存储和管理包括四种操作方式,分别为:存储RoSW,获取RO密钥,更新RoSW,删除RoSW。以上操作由DRMAgent和SIM卡通过APDU交互完成,APDU的参数以16进制数表示,四种操作方式的APDU分别描述如下:
从DRMAgent到SIM卡的APDU
a)APDU结构:
| 参数 | CLA | INS | P1 | P2 | Lc | Data | Le |
| 长度(Byte) | 1 | 1 | 1 | 1 | 1 | N | 1 |
b)存储RoSW(Create_RoSW):
c)获取RO密钥(Request_RoKey):
d)更新RoSW(Update_RoSW):
e)删除RoSW(Delete_RoSW):
从SIM卡到DRM Agent的APDU
f)APDU结构:
| 参数 | Data | SW1 | SW2 |
| 长度(Byte) | N | 1 | 1 |
g)存储RoSW响应(Create_RoSW_resp):
| 参数 | Data | SW1 | SW2 |
| 长度 | 1 | 1 | 1 |
| 取值 | 0x01 or 0x00 | sw1 | sw2 |
h)获取RO密钥响应(Request_RoKey_resp):
i)更新RoSW响应(Update_RoSW_resp):
| 参数 | Data | SW1 | SW2 |
| 长度 | 1 | 1 | 1 |
| 取值 | 0x01 or 0x00 | sw1 | sw2 |
j)删除RoSW响应(Delete_RoSW_resp)
| 参数 | Data | SW1 | SW2 |
| 长度 | 1 | 1 | 1 |
| 取值 | 0x01 or 0x00 | sw1 | sw2 |
存储RoSW的过程发生在DRM Agent将RO保存到客户端存储器中时。
(9)DRM Agent解析从步骤(8)中得到的RO,获得权限范围标识符为4字节的roid和4字节的rand,然后通过SHA-1哈希算法得到8字节的rosw,将获得的roid,rand和rosw打包成符合APDU定义的Create_RoSW报文,发送至SIM卡;
(10)SIM卡接收上述报文,获得roid,rand和rosw并存储在SIM卡内,存储上述信息后,设置RoSW存储状态Data,若存储成功,则设置Data为0x01,若存储失败,则设置Data为0x00,然后生成新的符合APDU定义的Create_ROSW_resp报文,发送至DRM Agent;
(11)DRM Agent接收上述报文,通过RoSW存储状态Data判断存储RoSW的结果,若为0x01,则存储RoSW成功,若为0x00,则存储RoSW失败,此过程结束。获取RO密钥的过程发生在DRM Agent需要获取RO中的Kc,并解密受保护的播放内容时。
(12)DRM Agent读取已经保存到客户端存储器中的RO,获得4字节的roid’,
然后通过SHA-1哈希算法得到8字节的rosw’,将获得的roid’和rosw’打包成符合APDU定义的Request_RoKey报文,发送至SIM卡;
(13)SIM卡接收上述报文,获得roid’和rosw’,在已存储的RoSW中查找与roid’相同的roid,若没有找到,则转至步骤(14),若找到,则获取与roid对应的随机数rand和权限范围状态字rosw,然后比较rosw’和rosw,若不一致,则转至步骤(14),若一致,则通过与步骤(6)中RI相同的算法,根据查找获得的rand和SIM卡内的Ki生成16字节的密钥Kr’;
(14)SIM卡设置RO密钥获取状态Flag,若获取成功,则设置Flag为0x01,若获取失败,则设置Flag为0x00,然后生成新的符合APDU定义的Request_RoKey_resp报文,发送至DRM Agent;
(15)DRM Agent接收上述报文,通过RO密钥获取状态Flag判断获取RO密钥的结果,若为0x01,则获取RO密钥成功,然后使用得到的Kr解密RO得到Kc,若为0x00,则获取RO密钥失败,此过程结束。
更新RoSW的过程发生在DRM Agent更新RO中使用权限信息,并再次保存到客户端存储器中时。
(16)DRM Agent读取已经保存到客户端存储器中的RO,获得4字节的roid’,然后根据用户使用情况更新RO中的使用权限信息,包括播放次数和播放时间,并保存更新后的RO到客户端存储器,最后通过SHA-1哈希算法得到更新后RO的8字节rosw’,将获得的roid’和rosw’打包成符合APDU定义的Update_RoSW报文,发送至SIM卡;
(17)SIM卡接收上述报文,获得roid’和rosw’,在已存储的RoSW中查找与roid’相同的roid,若没有找到,则转至步骤(18),若找到,则获取与roid对应的rand和rosw,然后将权限范围状态字为rosw更新为rosw’,并存储;
(18)SIM卡设置RoSW更新状态Data,若更新成功,则设置Data为0x01,若更新失败,则设置Data为0x00,然后生成新的符合APDU定义的Update_RoSW_resp报文,发送至DRM Agent;
(19)DRM Agent接收上述报文,通过RoSW更新状态Data判断更新RoSW的结果,若为0x01,则更新RoSW成功,若为0x00,则更新RoSW失败,此过程结束。
删除RoSW的过程发生在DRM Agent将权限使用完毕的RO从客户端存储器中删除时。
(20)DRM Agent读取已经保存到客户端存储器中的RO,获得4字节的roid’,然后将获得的roid’打包成符合APDU定义的Delete_RoSW报文,发送至SIM卡;
(21)SIM卡接收上述报文,获得roid’,在已存储的RoSW中查找与roid’相同的roid,若没有找到,则转至步骤(22),若找到,则删除rosw以及与它对应的rand和rosw;
(22)SIM卡设置RoSW删除状态Data,若删除成功,则设置Data为0x01,若删除失败,则设置Data为0x00,然后生成新的符合APDU定义的Delete_RoSW_resp报文,发送至DRM Agent;
(23)DRM Agent接收上述报文,通过RoSW删除状态Data判断删除RoSW的结果,若为0x01,则删除RoSW成功,若为0x00,则删除RoSW失败,此过程结束。
Claims (1)
1、一种基于用户识别模块的播放内容权限范围的保护方法,其特征在于包括以下步骤:
1)用户身份认证过程:
(1)客户端数字版权代理模块设定一个随机数m,并根据该随机数和用户识别模块内的鉴权密钥Ki生成第一密钥K1;
(2)客户端数字版权代理模块设定另一个随机数n,获得系统当前时间t,使用上述第一密钥K1,对随机数n和当前时间t一起进行加密,得到密文;
(3)客户端数字版权代理模块从用户识别模块获取国际移动用户识别码,将上述随机数n、当前时间t、随机数m、国际移动用户识别码和密文一起进行哈希运算,得到一个哈希值h1,最后将上述随机数n、当前时间t、随机数m、国际移动用户识别码、密文和哈希值h1一起发送至权限发布服务器;
(4)权限发布服务器接收上述信息,将其中的随机数n、当前时间t、随机数m、国际移动用户识别码、密文一起进行哈希运算,得到一个哈希值h1’,与接收到的哈希值h1进行比较,若两个哈希值不相同,则认证失败,若两个哈希值相同,则从接收信息的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,根据其中的随机数m和获取的鉴权密钥Ki生成第二密钥K2,并解密其中的密文,将解密后的内容与随机数n和当前时间t进行比较,若一致,则认证成功,若不一致,则认证失败,最后将认证状态发送至客户端数字版权代理模块;
2)权限范围获取过程:
(5)客户端数字版权代理模块设定一个随机数r,从用户识别模块获取国际移动用户识别码,并将随机数r和国际移动用户识别码一起发送至权限发布服务器;
(6)权限发布服务器接收上述信息,从其中的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,并根据其中的随机数r和获取的鉴权密钥Ki生成权限范围密钥Kr;
(7)权限发布服务器利用上述权限范围密钥Kr对来自播放内容提供者的播放内容密钥Kc进行加密,得到播放内容密钥的密文,将该密文与权限发布服务器中存储的使用权限信息一起生成权限范围,对权限范围进行基于哈希的消息验证代码运算,生成权限范围的校验信息,对上述权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2,最后将权限范围、权限范围校验信息和哈希值h2一起发送至客户端数字版权代理模块;
(8)客户端数字版权代理模块接收上述信息,将其中的权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2’,将哈希值h2’与接收到的哈希值h2进行比较,若两个哈希值不相同,则获取权限范围失败,若两个哈希值相同,则对权限范围进行基于哈希的消息验证代码运算,验证权限范围的完整性,若完整,则将权限范围保存到客户端存储器中,若不完整,则获取权限范围失败;
3)权限范围存储和管理过程:
当客户端数字版权代理模块将权限范围保存到客户端存储器中时,用户识别模块存储权限范围状态字,其过程如下:
(9)客户端数字版权代理模块从步骤(8)得到的权限范围中,获得权限范围标识符i和随机数r,然后对权限范围进行哈希运算,得到一个权限范围状态字h,将获得的权限范围标识符i、随机数r和权限范围状态字h打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i,随机数r,权限范围状态字h和报文响应返回的最大长度Le;
(10)用户识别模块接收上述信息,从报文中获得权限范围标识符i、随机数r和权限范围状态字h,并存储权限范围标识符i、随机数r和权限范围状态字h,存储上述信息后,设置权限范围存储状态数据域Data,生成一个新的符合应用协议数据单元格式的报文,并发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字存储状态Data,报文返回状态字SW1和报文返回状态字SW2;
(11)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字存储状态Data与设定的权限范围状态字存储成功状态值相比较,若一致,则存储权限范围状态字成功,若不一致,则存储权限范围状态字失败;
当客户端数字版权代理模块需要获取播放内容密钥时,客户端数字版权代理模块从用户识别模块获取权限范围密钥,其过程如下:
(12)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,对权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;
(13)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(14),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,然后比较权限范围状态字h’和权限范围状态字h,若不一致,则转至步骤(14),若一致,则根据随机数r和用户识别模块内的鉴权密钥Ki生成权限范围密钥Kr’;
(14)用户识别模块设置一个权限范围密钥获取状态数据域Flag,生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围密钥获取状态Flag,权限范围密钥Kr’,报文返回状态字SW1和报文返回状态字SW2;
(15)客户端数字版权代理模块接收上述信息,将其中的权限范围密钥获取状态Flag与设定的权限范围密钥获取成功状态值比较,若不一致,则获取权限范围密钥失败,若一致,则利用其中的权限范围密钥Kr’,解密权限范围中的播放内容密钥密文,获得播放内容密钥Kc;
当客户端数字版权代理模块更新权限范围,并保存到客户端存储器中时,用户识别模块更新权限范围状态字,其过程如下:
(16)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,然后更新权限范围中的使用权限信息,并将权限范围保存到客户端存储器中,最后对更新后的权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;
(17)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(18),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,将权限范围状态字h更新为权限范围状态字h’,并存储;
(18)用户识别模块设置权限范围更新状态数据域Data,生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字更新状态Data,报文返回状态字SW1和报文返回状态字SW2;
(19)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字更新状态Data与设定的权限范围状态字更新成功状态值比较,若一致,则更新权限范围状态字成功,若不一致,则更新权限范围状态字失败;
当客户端数字版权代理模块从客户端存储器中删除权限范围时,用户识别模块删除权限范围状态字,其过程如下:
(20)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,将获得的权限范围标识符i’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’和报文响应返回的最大长度Le;
(21)用户识别模块接收上述信息,从报文中获得权限范围标识符i’,在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(22),若找到,则删除权限范围标识符i,以及和权限范围标识符i对应的随机数r和权限范围状态字h;
(22)用户识别模块设置权限范围状态字删除状态Data,并生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字删除状态Data,报文返回状态字SW1和报文返回状态字SW2;
(23)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字删除状态Data与设定的权限范围状态字删除成功状态值比较,若一致,则删除权限范围状态字成功,若不一致,则删除权限范围状态字失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101193561A CN101350718B (zh) | 2008-09-05 | 2008-09-05 | 一种基于用户识别模块的播放内容权限范围的保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101193561A CN101350718B (zh) | 2008-09-05 | 2008-09-05 | 一种基于用户识别模块的播放内容权限范围的保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101350718A true CN101350718A (zh) | 2009-01-21 |
| CN101350718B CN101350718B (zh) | 2010-09-15 |
Family
ID=40269319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101193561A Active CN101350718B (zh) | 2008-09-05 | 2008-09-05 | 一种基于用户识别模块的播放内容权限范围的保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101350718B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834867A (zh) * | 2010-05-07 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种客户端安全保护方法及其装置 |
| CN102263784A (zh) * | 2011-06-16 | 2011-11-30 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| CN102638721A (zh) * | 2011-02-11 | 2012-08-15 | 索尼公司 | 用于通过多个设备浏览和播放内容的界面 |
| CN102668450A (zh) * | 2009-12-02 | 2012-09-12 | 微软公司 | 基于身份的网络策略实现 |
| CN102932343A (zh) * | 2012-10-26 | 2013-02-13 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| CN103401683A (zh) * | 2013-07-30 | 2013-11-20 | 成都卫士通信息产业股份有限公司 | 一种密钥包裹方法及基于该方法的密钥安全管理方法 |
| CN103514012A (zh) * | 2012-06-20 | 2014-01-15 | 株式会社理光 | 网络系统和信息处理方法 |
| CN104915858A (zh) * | 2015-06-03 | 2015-09-16 | 无锡天脉聚源传媒科技有限公司 | 一种线上视频产品开店方法及装置 |
| CN106415632A (zh) * | 2014-02-24 | 2017-02-15 | 汉索知识产权私人有限公司 | 便携式基于生物特征的身份设备 |
| WO2017092688A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的数字版权管理(drm)方法和系统 |
| CN107507434A (zh) * | 2016-06-14 | 2017-12-22 | 北京数码视讯科技股份有限公司 | 一种交通控制方法、装置及交通管理系统 |
| CN111010670A (zh) * | 2019-12-19 | 2020-04-14 | 广州赛特智能科技有限公司 | 一种基于多设备协作的遥控方法、装置及处理终端 |
-
2008
- 2008-09-05 CN CN2008101193561A patent/CN101350718B/zh active Active
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102668450B (zh) * | 2009-12-02 | 2014-11-26 | 微软公司 | 基于身份的网络策略实现方法 |
| CN102668450A (zh) * | 2009-12-02 | 2012-09-12 | 微软公司 | 基于身份的网络策略实现 |
| CN101834867A (zh) * | 2010-05-07 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种客户端安全保护方法及其装置 |
| CN102638721A (zh) * | 2011-02-11 | 2012-08-15 | 索尼公司 | 用于通过多个设备浏览和播放内容的界面 |
| CN102263784A (zh) * | 2011-06-16 | 2011-11-30 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
| WO2012171419A1 (zh) * | 2011-06-16 | 2012-12-20 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| CN103514012B (zh) * | 2012-06-20 | 2017-07-11 | 株式会社理光 | 网络系统和信息处理方法 |
| CN103514012A (zh) * | 2012-06-20 | 2014-01-15 | 株式会社理光 | 网络系统和信息处理方法 |
| CN102932343B (zh) * | 2012-10-26 | 2015-01-14 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| CN102932343A (zh) * | 2012-10-26 | 2013-02-13 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| CN103401683A (zh) * | 2013-07-30 | 2013-11-20 | 成都卫士通信息产业股份有限公司 | 一种密钥包裹方法及基于该方法的密钥安全管理方法 |
| CN106415632A (zh) * | 2014-02-24 | 2017-02-15 | 汉索知识产权私人有限公司 | 便携式基于生物特征的身份设备 |
| CN104915858A (zh) * | 2015-06-03 | 2015-09-16 | 无锡天脉聚源传媒科技有限公司 | 一种线上视频产品开店方法及装置 |
| CN106845160A (zh) * | 2015-12-03 | 2017-06-13 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的数字版权管理(drm)方法和系统 |
| WO2017092688A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的数字版权管理(drm)方法和系统 |
| CN106845160B (zh) * | 2015-12-03 | 2018-04-20 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的数字版权管理(drm)方法和系统 |
| US10685094B2 (en) | 2015-12-03 | 2020-06-16 | Beijing Novel-Super Digital Tv Technology Co., Ltd | Digital rights management (DRM) method and system for intelligent operating system |
| CN107507434A (zh) * | 2016-06-14 | 2017-12-22 | 北京数码视讯科技股份有限公司 | 一种交通控制方法、装置及交通管理系统 |
| CN111010670A (zh) * | 2019-12-19 | 2020-04-14 | 广州赛特智能科技有限公司 | 一种基于多设备协作的遥控方法、装置及处理终端 |
| CN111010670B (zh) * | 2019-12-19 | 2021-09-21 | 广州赛特智能科技有限公司 | 一种基于多设备协作的遥控方法、装置及处理终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101350718B (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350718B (zh) | 一种基于用户识别模块的播放内容权限范围的保护方法 | |
| US9866376B2 (en) | Method, system, and device of provisioning cryptographic data to electronic devices | |
| US10454674B1 (en) | System, method, and device of authenticated encryption of messages | |
| CN1939028B (zh) | 从多个设备存取网络存储器上的保护数据 | |
| JP2022507151A (ja) | 安全な無線ファームウェアアップグレード | |
| CN103138939B (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| CN105103488A (zh) | 借助相关联的数据的策略施行 | |
| CN101300841B (zh) | 保证多媒体处理装置及安全模块之间数据交换安全的方法 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN105025019A (zh) | 一种数据安全分享方法 | |
| CN110855616B (zh) | 一种数字钥匙生成系统 | |
| KR20170047717A (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
| CN100354788C (zh) | 一种数字版权保护系统及方法 | |
| KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
| CN104868998A (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
| JP5781678B1 (ja) | 電子データ利用システム、携帯端末装置、及び電子データ利用システムにおける方法 | |
| CN110572454A (zh) | 一种保障广告投放过程安全的广告投放系统 | |
| KR20100114321A (ko) | 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법 | |
| CN110287725B (zh) | 一种设备及其权限控制方法、计算机可读存储介质 | |
| CN111507712A (zh) | 一种基于区块链的用户隐私数据管理方法、系统及终端 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| CN102842002A (zh) | 智能终端的数字媒体版权保护方法 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| CN108235807B (zh) | 软件加密终端、支付终端、软件包加密及解密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |