发明内容
本发明实施例提供了一种数字内容授权方法、系统及装置,用以提高数字内容的授权效率。
本发明实施例提供的一种数字内容授权方法包括:
服务器通过对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分;
所述服务器利用所述相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用所述不同部分生成所述数字内容的授权客户端范围;
所述服务器利用所述加密密钥加密后的保护密钥和所述授权客户端范围生成授权证书,并根据客户端对所述数字内容的请求,将所述授权证书下发给该客户端。
本发明实施例提供的一种数字内容获取方法包括:
客户端根据用户要求访问数字内容的指示,从服务器下发的授权证书中获取数字内容的授权客户端范围和经过加密后的用于对所述数字内容解密的保护密钥;
当所述客户端利用自身标识中的第一部分标识判定自身属于所述授权客户端范围时,所述客户端利用自身标识中的第二部分标识生成密钥,并利用该密钥对经过加密后的保护密钥解密;
所述客户端利用所述解密后得到的保护密钥对服务器下发的数字内容解密,得到用户需要的数字内容。
本发明实施例提供的一种服务器包括:
标识提取单元,用于通过对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分;
授权证书单元,用于利用所述相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;利用所述不同部分生成所述数字内容的授权客户端范围;利用所述加密密钥加密后的保护密钥和所述授权客户端范围生成授权证书;
下发单元,用于根据客户端对所述数字内容的请求,将所述授权证书下发给该客户端。
本发明实施例提供的一种客户端包括:
授权证书处理单元,用于根据用户要求访问数字内容的指示,从服务器下发的授权证书中获取数字内容的授权客户端范围和经过加密后的用于对所述数字内容解密的保护密钥;
授权判定单元,用于当利用所述客户端的标识中的第一部分标识判定所述客户端属于所述授权客户端范围时,触发保护密钥单元;
保护密钥单元,用于接收到所述授权判定单元的触发时,利用所述客户端的标识中的第二部分标识生成密钥,并利用该密钥对经过加密后的保护密钥解密;
解密数字内容单元,用于利用解密后得到的保护密钥对所述数字内容解密,得到用户需要的数字内容。
本发明实施例提供的一种数字版权保护系统包括:
服务器,用于通过对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分;利用所述相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用所述不同部分生成所述数字内容的授权客户端范围;利用所述加密密钥加密后的保护密钥和所述授权客户端范围生成授权证书,并根据客户端对所述数字内容的请求,将所述授权证书下发给该客户端;
客户端,用于根据用户要求访问数字内容的指示,从服务器下发的授权证书中获取数字内容的授权客户端范围和经过加密后的用于对所述数字内容解密的保护密钥;当利用自身标识中的第一部分标识判定自身属于所述授权客户端范围时,利用自身标识中的第二部分标识生成密钥,并利用该密钥对经过加密后的保护密钥解密;利用解密后得到的保护密钥对所述数字内容解密,得到用户需要的数字内容。
本发明实施例,通过服务器通过对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分;所述服务器利用所述相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用所述不同部分生成所述数字内容的授权客户端范围;所述服务器利用所述加密密钥加密后的保护密钥和所述授权客户端范围生成授权证书,并根据客户端对所述数字内容的请求,将所述授权证书下发给该客户端,从而使得对多个客户端的数字内容授权操作可以一次完成,生成的授权证书可以在这些客户端之间通用,因此大大提高了数字内容的授权效率。
具体实施方式
本发明实施例提供了一种数字内容授权方法、系统及装置,用以提高数字内容的授权效率,避免现有技术需要对每个客户端单独进行数字内容的授权操作,使得同一数字内容的授权证书可以在多个客户端之间通用。
下面结合附图对本发明实施例进行详细说明。
参见图1,本发明实施例提供的一种数字版权保护系统包括:服务器11和多个客户端12。
服务器11,用于分析多个客户端12的标识,得到多个客户端12的标识的相同部分和不同部分;利用相同部分的标识生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用不同部分的标识生成数字内容的授权客户端范围;利用加密密钥加密后的保护密钥和授权客户端范围生成授权证书,并根据客户端12对数字内容的请求,将授权证书下发给该客户端12。
较佳地,服务器11将数字内容和授权证书同时下发给客户端12,其中,数字内容是经过保护密钥加密后的数字内容,而保护密钥又是利用多个客户端12的标识的相同部分生成的加密密钥加密后的保护密钥。
因此,如果客户端用户想要查看到真正的数字内容,首先需要得到用于加密保护密钥的加密密钥,然后利用该加密密钥对保护密钥进行解密,得到保护密钥,再利用保护密钥对数字内容解密,从而得到真正的数字内容。
相应地,客户端12用于根据用户指示向服务器11发送下载数字内容的请求;接收服务器11发送的授权证书和经过加密后的数字内容,并且在用户每次需要访问数字内容时,从该数字内容的授权证书中获取数字内容的授权客户端范围和经过加密后的用于对数字内容解密的保护密钥;当利用自身标识中的第一部分标识判定自身属于所述授权客户端范围时,利用自身标识中的第二部分标识生成密钥,并利用该密钥对保护密钥解密;利用解密后得到的保护密钥对数字内容解密,得到用户需要的数字内容。
较佳地,服务器11生成的授权证书中还包括多个客户端12的标识的相同部分和/或不同部分的字段提示信息,用于提示客户端12利用该客户端12标识的特定部分生成解密保护密钥的密钥,以及用于客户端12判断自身是否属于可授权的客户端范围,例如,客户端标识由九位符号组成,客户端利用相同部分的字段提示信息,得知需要利用自身标识的前五位符号(可以包括数字、字母等符号)生成解密保护密钥的密钥,并且,从而得知利用剩余的后四位符号判断自身是否属于可授权的客户端范围。
另外,服务器11和客户端12还可以预先约定好利用哪一特定部分的客户端标识生成用于保护密钥的密钥,从而使得授权证书中不需要携带上述字段提示信息。
较佳地,服务器11首先利用消息摘要算法对多个客户端12的标识的相同部分进行变换,利用变换后得到的标识生成所述加密密钥。
下面分别给出上述服务器11和客户端12的具体结构说明。
较佳的,参见图2,所述服务器11包括:
标识提取单元21,用于通过对多个客户端12的标识的分析,得到多个客户端12的标识的相同部分和不同部分。
以下将多个客户端12的标识的相同部分简称为相同部分,将多个客户端12的标识的不同部分简称为不同部分。
授权证书单元22,用于利用相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;利用不同部分生成数字内容的授权客户端范围;利用相同部分生成字段提示信息,该字段指示信息用于提示客户端12利用该客户端12的标识的特定部分生成解密保护密钥的密钥;利用授权客户端范围、字段提示信息以及加密密钥加密后的保护密钥生成授权证书。
下发单元23,用于根据客户端12对数字内容的请求,将授权证书下发给该客户端12。
较佳地,所述授权证书单元22包括:
加密密钥单元221,用于利用相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密。
授权客户端范围单元222,用于利用不同部分生成数字内容的授权客户端范围。
字段提示信息单元223,用于利用相同部分生成字段提示信息。
生成单元224,用于利用授权客户端范围、字段提示信息以及加密密钥加密后的保护密钥生成授权证书。
较佳地,加密密钥单元221利用消息摘要算法对相同部分进行变换后生成加密密钥。
较佳地,参见图3,所述客户端12包括:
发送请求单元31,用于根据用户指示向服务器11发送下载数字内容的请求。
存储单元32,用于存储服务器11发送的授权证书和经过加密后的数字内容。
授权证书处理单元33,用于根据用户要求访问数字内容的指示,从服务器11下发的授权证书中获取数字内容的授权客户端范围、经过加密后的用于对所述数字内容解密的保护密钥以及客户端标识的字段提示信息。
授权判定单元34,用于当利用客户端12的标识中的第一部分标识判定客户端12属于授权客户端范围时,触发保护密钥单元35。
保护密钥单元35,用于接收到授权判定单元34的触发时,根据字段提示信息从所述客户端12的标识中提取第二部分标识,利用第二部分标识生成密钥,并利用该密钥对保护密钥解密。
解密数字内容单元36,用于利用解密后的保护密钥对数字内容解密,得到用户需要的数字内容。
较佳地,所述保护密钥单元35包括:
标识提取单元351,用于接收到所述授权判定单元34的触发时,根据字段提示信息从客户端12的标识中提取第二部分标识。
解密保护密钥单元353,用于利用第二部分标识生成密钥,并利用该密钥对保护密钥解密。
较佳地,所述保护密钥单元35还包括:
变换单元352,用于利用消息摘要算法对第二部分标识进行变换。此时,所述解密保护密钥单元353,利用变换后的第二部分标识生成对保护密钥解密的密钥。
例如,一电子书阅读器生产厂商需要在一批设备(即客户端)中预置一本受DRM系统保护的电子书,该批设备的特征设备号(标识)分别从AD0011234到AD0013000,则采用本发明实施例提供的技术方案:首先,授权服务器获取需要授权的硬件设备的特征设备号范围:起始号为“AD0011234”,终止号为“AD0013000”;然后,通过分析该特征设备号范围,提取出其中的相同部分符号片段“AD001”和不同部分符号片段的范围,即“1234”至“3000”;授权服务器用消息摘要算法对相同部分的符号片段“AD001”进行变换后作为加密密钥,用于加密保护密钥——电子书内容的解密密钥;授权服务器在授权证书中添加已加密的保护密钥以及解密该保护密钥的字段提示,即为特征设备号的前五个符号,如图4中所示的“XXXXX”;并且,授权服务器在授权证书中还添加使用该电子书的设备约束条件,即将特征设备号的不同部分符号片段构成的范围作为约束值添加到授权证书中,如图4中所示的“[1234-3000]”。
用户通过这批客户端设备访问电子书的内容时,客户端DRM代理(agent)检测授权服务器下发的授权证书;DRM代理提取自身的特征设备号,如为AD0011333;DRM代理根据预先配置或者根据解密电子书内容的保护密钥的字段提示,获取自身特征设备号中的后四位“1333”,判断“1333”属于范围“[1234-3000]”,则DRM代理根据解密电子书内容的保护密钥的字段提示,提取出自身特征设备号中的前五位“AD001”,用消息摘要算法对“AD001”进行变换后作为解密保护密钥的密钥,获得保护密钥,从而利用该保护密钥解密获得电子书的内容,提供给用户使用。
下面结合附图对本发明实施例提供的方法进行说明。
为了使得一批客户端对同一数字内容具有相同的访问权限,并且,这批客户端可以使用同一授权证书,服务器需要预先获取到这批客户端的标识(ID)范围,包括起始标识和终止标识,在获取了这些客户端标识后,参见图5,本发明实施例提供的一种数字内容授权方法包括步骤:
S501、服务器通过对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分。
S502、服务器利用相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用不同部分生成数字内容的授权客户端范围。
需要说明的是,服务器可以利用相同部分的全部生成加密密钥,也可以利用相同部分的一部分生成加密密钥。例如,多个客户端标识的相同部分为“AD001”,则可以利用整个“AD001”生成加密密钥,也可以利用其中的“AD”、“AD0”、“001”等等来生成加密密钥。
S503、服务器利用加密密钥加密后的保护密钥和授权客户端范围生成授权证书,并根据客户端对数字内容的请求,将授权证书下发给该客户端。
客户端首先根据用户指示向服务器发送下载数字内容的请求,然后接收并存储服务器发送的授权证书和经过加密后的数字内容,客户端在每次接收到用户要求访问该数字内容的指示时,参见图6,本发明实施例提供的一种数字内容获取方法包括步骤:
S601、客户端根据用户要求访问数字内容的指示,从服务器下发的授权证书中获取数字内容的授权客户端范围和经过加密后的用于对该数字内容解密的保护密钥。
S602、当客户端利用自身标识中的第一部分标识判定自身属于授权客户端范围时,该客户端利用自身标识中的第二部分标识生成密钥,并利用该密钥对该数字内容的保护密钥解密。
S603、客户端利用解密后得到的保护密钥对服务器下发的数字内容解密,得到用户需要的数字内容。
当利用该第一部分标识判定自身不属于授权客户端范围时,则鉴权失败,拒绝用户请求访问数字内容的请求。
当多个客户端标识的不同部分为任意数据,并且这些客户端都在可授权的范围内时,授权客户端范围的约束条件可省略。
如果利用解密后得到的保护密钥无法对数字内容解密,则解密失败,拒绝用户请求访问数字内容的请求。
综上所述,本发明实施例通过服务器对多个客户端标识的分析,得到多个客户端标识的相同部分和不同部分;服务器利用相同部分生成加密密钥,采用该加密密钥对用于解密数字内容的保护密钥加密;并且,利用不同部分生成数字内容的授权客户端范围;服务器利用加密密钥加密后的保护密钥和授权客户端范围生成授权证书,并根据客户端对数字内容的请求,将授权证书下发给该客户端,从而使得对多个客户端的数字内容授权操作可以一次完成,生成的授权证书可以在这些客户端之间通用,因此大大提高了数字内容的授权效率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发也意图包含这些改动和变型在内。