CN101459507B - 一种数字版权管理中的密钥管理系统及其方法 - Google Patents

一种数字版权管理中的密钥管理系统及其方法 Download PDF

Info

Publication number
CN101459507B
CN101459507B CN 200810177162 CN200810177162A CN101459507B CN 101459507 B CN101459507 B CN 101459507B CN 200810177162 CN200810177162 CN 200810177162 CN 200810177162 A CN200810177162 A CN 200810177162A CN 101459507 B CN101459507 B CN 101459507B
Authority
CN
China
Prior art keywords
request
cek
registration
subsystem
rds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN 200810177162
Other languages
English (en)
Other versions
CN101459507A (zh
Inventor
周玉洁
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Hangxin Electronic Technology Co ltd
Original Assignee
SHANGHAI AISINO CHIP ELECTRONIC TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI AISINO CHIP ELECTRONIC TECHNOLOGY Co Ltd filed Critical SHANGHAI AISINO CHIP ELECTRONIC TECHNOLOGY Co Ltd
Priority to CN 200810177162 priority Critical patent/CN101459507B/zh
Publication of CN101459507A publication Critical patent/CN101459507A/zh
Application granted granted Critical
Publication of CN101459507B publication Critical patent/CN101459507B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

一种DRM的密钥管理系统及其方法,涉及数字版权管理技术领域;所要解决的是完善CEK管理的技术问题;该密钥管理系统,包括注册子系统、RO处理子系统和CEK生成子系统,所述注册子系统用于响应至少一个客户端设备的注册请求,并完成对具有DRM Agent的客户端设备的注册;RO处理子系统响应RO请求,根据请求的类型做出RO生成、撤销、更新等处理;密钥生成子系统响应来自中间件CEK请求,生成相应的CEK并作加密保护;三个子系统分别通过通信接口Interface与外部包括版权发布系统RDS、中间件MWS等其它DRM模块进行通信。本发明具有能同时响应并完成多个客户端设备注册请求,有效管理CEK,安全传输CEK,灵活管理RO的特点。

Description

一种数字版权管理中的密钥管理系统及其方法
技术领域
本发明涉及数字版权管理(DRM)领域,特别是涉及DRM系统中用于密钥管理的方法和系统。
背景技术
随着互联网技术的发展,信息的传输与共享变的非常便利。但是信息共享的便利带来了一个很大的问题,就是信息的版权管理变得异常困难。如何进行信息的版权进行管理,保障内容发布者CI(Content Issuer)的合法权益就成为一个重大课题。数字版权管理DRM(Digital Right Management)就是应这样一个背景而生的。
目前,DRM的核心思想是加密后的内容和版权相分离的思想。在DRM系统中,数字信息产品采用内容加密密钥CEK(Content Encryption Key)加密,加密后的内容表现为加密过的信息流或者加密后的文件形式;而版权表现为版权对象RO(Right Object)的形式,包括关于数字信息产品使用方式、使用次数、使用时间等控制信息,还包括采用客户终端设备公钥加密保护的CEK。经过加密保护的数字信息产品和RO一般经过两条不同的途径到达客户端设备。DRM系统一般由后台服务系统和DRM终端代理DRM Agent构成,DRM后台服务系统完成对客户端设备的注册、数字信息产品的加密、RO的生成发布等操作;DRM Agent(DRM终端代理)驻留在客户端设备,用于向DRM后台服务系统发出设备注册请求、完成RO和加密后的数字版权信息的请求与接收、加密后的数字信息产品解密,并控制客户端设备以RO赋予的权限使用数字信息产品。这就是DRM系统的基本思想。
从上述DRM的基本思想可以看出,客户端设备的注册、RO生成以及CEK的管理在整个DRM系统中具有重要作用。在目前的DRM系统中,对客户端设备的注册已经有了较为完善的定义;对RO的请求、生成与接收机制定义过于简单,缺少的必要RO撤销与更新机制;没有明确的CEK生成机制;也没有一个有效的机制来保证CEK在RO处理模块与CEK生成模块之间的安全传输。这样容易造成CEK管理不善、易泄漏等问题;对RO的管理也缺乏灵活性,不能很好的满足市场和客户的需求。
发明内容
针对上述现有技术中存在的缺陷,本发明所要解决的技术问题是提供一种能同时响应并完成多个客户端设备注册请求的,有效管理CEK的,安全传输CEK的,灵活管理RO的数字版权管理中的密钥管理系统(Key Management System简称KMS)及其方法。
为了解决上述技术问题,本发明所提供的一种数字版权管理中的密钥管理系统,其特征在于,包括注册子系统、RO处理子系统和CEK生成子系统,所述注册子系统用于响应至少一个客户端设备的注册请求,并完成对具有DRM Agent的客户端设备的注册;RO处理子系统响应RO请求,根据请求的类型做出RO生成、撤销、更新等处理;密钥生成子系统响应来自中间件CEK请求,生成相应的CEK并作加密保护;三个子系统分别通过通信接口Interface与外部包括版权发布系统RDS、中间件MWS等其它DRM模块进行通信。
进一步的,所述注册子系统的注册包括由客户为了使用DRM系统保护的数字信息产品而主动发起的和DRM Agent在客户端设备开机自检时发现没有RI Context而发起的;所述RI Context是指存储在客户端设备上的关于版权发型者RI(RightsIssuer)的信息,包括RI ID、RI Certificate和RI URL;其中所述RI ID是指RI在DRM系统的唯一标示,所述RI Certificate是指RI的公钥证书,所述RI URL是指RI的网络地址址。这些信息对于客户端设备申请RO至关重要。
进一步的,所述注册过程完成后,KMS通知版权发布系统RDS(RightDistribution System)将Device ID、Device Certificate等客户端设备相关信息存储到设备数据库DDB(Device Database)、公钥数据库PKDB(Public Key Database)等数据库中;DRM Agent在客户端设备本地生成RI Context,其中所述Device ID是指客户端设备在DRM系统中的唯一标示,所述Device Certificate是指客户端设备的公钥证书。
进一步的,所述注册子系统采用4-pass注册协议。
本发明所述的一种数字版权管理中的密钥管理系统中,注册子系统响应并完成注册的方法,其特征在于,处理过程如下:
1)DRM Agent通过RDS向KMS发出注册预请求Device Hello,其中包含DeviceID等相关信息,提出预审请;
2)KMS收到Device Hello后,为了支持对一个以上的客户端设备并发注册,KMS将每个注册流程标记为一个会话,并为其分配一个Session ID;同时生成一具有安全意义的随机数RI Nonce,通过RDS向DRM Agent发出注册预请求响应RI Hello;所述RI Hello中除了包括Session ID、RI Nonce等参数外,还包括RI ID等相关信息;
3)DRM Agent根据接收到的RI Hello判断,若预申请成功,继续向KMS发出注册请求Registration Request,其中包含Session ID、一个具有安全意义随机数Device Nonce、注册申请时间Request time;若DRM后台服务器系统没有客户端设备的公钥证书,Registration Request还要包含客户端设备的公钥证书;Registration Request还包括采用客户端设备私钥对Device Hello、RI Hello以及Registration Request中其它部分进行的签名。
4)KMS接到Registration Request后,进行相应的处理,并发出相应的注册响应Registration Response;Registration Response中包含RI URL重要信息;若客户端设备没有RI的公钥证书,Registration Response中还要包括RI的公钥证书;Registration Response还包含采用RI私钥对Registration Request和Registration Response中其它部分进行的签名。
本发明所述的一种数字版权管理中的密钥管理系统中,RO处理子系统响应RO请求的处理方法,其特征在于,其中:
所述RO处理子系统响应DRM Agent的RO请求RO Request并作出相应处理的流程如下:
1)DRM Agent通过RDS向KMS提出RO Request,
本步骤中RO Request请求的RO有两种情况,其一,DRM Agent请求的是All RO,也即请求内容既包括使用权限,也包括CEK;其二,DRM Agent请求的是只包含CEK的CRO;
2)KMS中的RO处理子系统通过RDS向DRM Agent发出增加RO响应Add ROResponse
根据1)中请求RO的不同,本步骤中KMS作出的处理也不尽相同;当请求的RO为步骤1)中所述的第一种情况时,即请求内容既包括使用权限,也包括CEK,RO处理子系统根据请求的权限信息生成PRO;根据RO Request所请求的节目内容和RDS一并发送过来的加密策略,为其生成CRO;然后,将PRO和CRO一并通过RDS发送给DRM Agent。当请求的RO为步骤1)中所述的第二种情况时,即请求内容只包含CEK的CRO,RO处理子系统只需像上述那样根据RO Request所请求的节目内容和RDS一并发送过来的加密策略,生成CRO,无需生成PRO;此后,将CRO通过RDS发送给DRM Agent;
所述RO处理子系统响应RDS请求生成RO的流程如下:
RO处理子系统直接从RDS得到生成RO所需的信息;当请求内容既包括使用权限,也包括CEK,RO处理子系统根据请求的权限信息生成PRO;根据RO Request所请求的节目内容和RDS一并发送过来的加密策略,为其生成CRO;然后,将PRO和CRO一并发送给RDS;当请求内容只包含CEK的CRO,RO处理子系统只需像上述那样根据RO Request所请求的节目内容和RDS一并发送过来的加密策略,生成CRO,无需生成PRO;此后,将CRO发送给RDS;
所述RO处理子系统根据RDS请求做出撤销客户终端设备RO响应的流程如下:根据RDS的请求信息,做出相应处理,通过RDS向DRM Agent发出撤销客户端设备RO的响应RO Delete Response。这里与Add RO Response不同是,RO Delete Response中无需包含PRO或CRO,只要包含足够的信息就可以。这些信息可以是RO ID、DeviceID、Content ID、RO Type等或其中几项,只要确且地指明所要删除RO(可以是一个或一组)即可。这里,RO ID是RO的唯一标示;Content ID是数字信息产品在DRM系统中的唯一标示;RO Type表明RO的类型,是PRO还是CRO;
所述RO处理子系统根据RDS请求做出更新客户端设备RO响应的流程如下:根据RDS的请求信息,生成新的PRO或CRO,通过RDS向DRM Agent发出更新客户端设备RO的响应RO Update Response。DRM Agent接到更新RO的响应后,用新的RO覆盖旧RO。
进一步的,所述RO处理子系统响应DRM Agent的RO Request的处理流程的步骤1)中,RDS向KMS转发RO Request时,会对其进行封装;经封装后的RO Request不仅包括DRM Agent发出的RO Request,还包括KMS为了对RO Request响应而必需的加密策略。所述加密策略包括DRM Agent所申请RO对应数字信息产品的CEK的相关信息,当然所述的CEK是采用KMS的公钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护加密保护的。
进一步的,所述RO处理子系统将RO分为PRO(Permission RO,权限RO)和CRO(CEK RO,密钥RO),其中PRO只包含数字信息产品使用控制权限,CRO只包含数字信息产品CEK,CRO中的CEK采用客户端设备公钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护;CRO和PRO相关联,一个以上的CRO可以公用一个PRO。这样,当只有CEK更换时,只需更新CRO;当只更新权限时,只需更新PRO。RO分为PRO和CRO对减轻DRM后台服务系统和DRM Agent负担、减轻对网络的压力有显著作用。
本发明所述的一种数字版权管理中的密钥生成子系统响应中间件CEK请求做出处理方法,其特征在于,处理过程如下:
1)中间件向KMS发送密钥请求,
中间件向KMS发送的密钥请求有以下两种情况:其一,中间件向KMS请求新的CEK,此时请求信息中包括所请求密钥的长度、请求CEK设备的公钥证书;其二,中间件向KMS请求旧CEK,此时请求信息中要包括采用KEKKMS加密保护的CEK和请求CEK设备的公钥证书;
2)KMS对中间件的密钥请求作出响应,
针对步骤1)中请求信息两种不同的情况,KMS作出的响应不尽相同。当步骤1)中请求为上述第一种情况即请求新的CEK时,KMS中的密钥生成子系统生成新的密钥,采用KEKKMS对新生成的密钥进行对称加密保护得到Key1;采用密钥请求中的公钥对新生成的密钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护得到Key2;将Key1和Key2一并发送给中间件;当步骤1)中请求为上述第二种情况即请求旧CEK时,密钥生成子系统无需生成新密钥,只需将KEKKMS加密保护的CEK的解密出来,并用请求信息中公钥信息对CEK进行加密保护即可,当然加密仍是依据[X.944]和[IETF-EKM]中定义的密钥交换算法,将得到的Key发送给中间件。
进一步的,所述CEK的产生包括随机数发生器产生和软件产生两种方法;所述CEK的加密保护依据[X.944]和[IETF-EKM]中定义的密钥交换算法,所述KEKKMS是该算法中采用的KEK(Key Encryption Key)。
以上所述就是KMS各个模块的功能和处理流程。当然KMS作为一个完整的系统,对外部其它系统来说只有一个接口,KMS内部的三个子系统通过这个接口与外部其它系统通信。KMS通过对该接口接收到的请求进行判断,然后分别交给相应的子系统进行处理。
采用本发明提出的数字版权管理中的密钥管理系统及其方法,可以同时响应多个客户端设备的注册请求,并完成对多个客户端的注册;响应RO的生成、撤销、更新请求并作出相应的处理,实现对RO的灵活有效管理;响应CEK请求生成相应的CEK并作加密保护,保证CEK在DRM系统内各模块之间安全传输。
附图说明
图1是本发明实施例密钥管理系统KMS整体结构框图;
图2是本发明实施例密钥管理系统KMS工作的总体流程图;
图3是本发明实施例KMS中注册子系统完成对客户端设备注册的流程图;
图4是本发明实施例KMS中RO处理子系统处理DRM Agent RO Request的流程图;
图5是本发明实施例KMS中RO处理子系统处理RDS关于RO相关操作请求的流程图;
图6是本发明实施例KMS中密钥生成子系统处理中间件CEK请求的流程图。
具体实施方式
以下结合附图说明对本发明的实施例作进一步详细描述,但本实施例并不用于限制本发明,凡是采用本发明的相似结构、方法及其相似变化,均应列入本发明的保护范围。
本发明提出的KMS,用来响应客户端设备的注册请求,并根据请求完成对客户端设备的注册;响应RO的生成、撤销、更新请求并作出相应的处理,实现对RO的灵活有效管理;响应CEK请求,生成相应的CEK并作加密保护,保证CEK在DRM系统内各模块之间安全传输。其特征有以下四个方面:第一,KMS由注册子系统、RO处理子系统和密钥生成子系统构成;第二,注册子系统可以对多个客户端设备进行并发注册;第三,对RO的请求、生成、撤销与更新机制做了完善的定义;第四,对CEK的生成与加密保护机制做了明确的定义。
所述RO处理子系统主要解决RO生成、撤销、更新等问题;具体来说完成以下三个功能:其一,应DRM Agent或者RDS版权请求RO Request,生成新的RO,通过RDS向DRM Agent发出Add RO Response;其二,应RDS撤销客户端设备RO请求,做出相应处理,通过RDS向DRM Agent发出RO Delete Response;其三,应RDS更新客户端设备RO请求,做出相应处理,通过RDS向DRM Agent发出RO UpdateResponse;上述三项功能中,目前的DRM系统对第一项功能有了较为完善的定义;而第二项功能则是本发明出于实际应用中有可能要撤销已发放RO而提出的;第三项功能则是本发明考虑到CEK更换(包括定期更换和应急更换)或者使用权限更新而提出的。
图1是本发明提出的密钥管理系统的整体结构图,该图也表明了KMS在DRM系统中的位置。如图1所示,KMS由注册子系统、RO处理子系统、密钥生成子系统构成。KMS还包含一个通信接口Interface,三个子系统分别通过Interface与外部其它DRM模块通信;Interface还具有根据通信协议对接收到的信息进行解封装、对发送信息进行封装的作用。图1还说明KMS与DRM系统中的版权发布系统RDS、中间件之间有通信联系,表明了KMS在整个DRM系统中的位置。
图2是本发明实施例KMS的整体流程图。总体处理流程如下:KMS Interface从RDS、中间件接收请求信息;通过判断消息类型将请求信息分别交给注册子系统、RO处理子系统、密钥生成子系统进行处理;处理完成后,KMS Interface将处理结果发送给RDS、中间件。
图3是本发明实施例中注册子系统完成客户端设备注册的流程图,其中EDN是指边缘发布节点(Edge Distribution Note)的英文缩写,EDN只对请求与响应信息起转发作用,不对请求与响应信息作修改;RDS会根据通信协议对注册请求与响应信息做一些封装与处理。如图3所示,KMS完成对客户端设备注册的流程如下:
步骤1)DRM Agent通过RDS向KMS发出Device Hello,其中包含Device ID等相关信息,提出预审请。
步骤2)KMS收到Device Hello后,为其分配一个Session ID;同时生成一具有安全意义的随机数RI Nonce,通过RDS向DRM Agent发出RI Hello;RI Hello中除了包括Session ID、RI Nonce等参数外,还包括RI ID等相关信息。
步骤3)DRM Agent根据接收到的RI Hello判断,若预申请成功,继续向KMS发出Registration Request,其中包含Session ID、一个具有安全意义随机数DeviceNonce、注册申请时间Request time;若DRM后台服务器系统没有客户端设备的公钥证书,Registration Request还要包含客户端设备的公钥证书;RegistrationRequest还包括采用客户端设备私钥对Device Hello、RI Hello以及RegistrationRequest中其它部分进行的签名。
步骤4)KMS接到Registration Request后,进行相应的处理,并发出相应的Registration Response;Registration Response中包含RI URL重要信息;若客户端设备没有RI的公钥证书,Registration Response中还要包括RI的公钥证书;Registration Response还包含采用RI私钥对Registration Request和Registration Response中其它部分进行的签名。
由于KMS可以同时接收多个客户端设备的注册请求,因此在某一具体时刻注册子系统需要判断接收到的注册请求信息是Device Hello还是RegistrationRequest,然后分别做出相应处理。
图4是本发明实施例中RO处理子系统响应DRM Agent RO Request的流程图。图4中的RO请求包括All RO请求与CRO请求两种情况。具体处理流程如下所述:
步骤1)DRM Agent通过RDS向KMS提出RO Request
本步骤中RO Request请求的RO有All RO与CRO两种情况,All RO请求同时请求PRO与CRO。RDS向KMS转发RO Request时,会对其进行封装。经封装后的RORequest不仅包括DRM Agent发出的RO Request,还包括KMS为了对RO Request响应而必需的加密策略。这里的加密策略主要包括DRM Agent所申请RO对应数字信息产品的CEK的相关信息,当然这里的CEK是采用KMS的公钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护的。
步骤2)KMS中的RO处理子系统通过RDS向DRM Agent发出Add RO Response
当步骤1)中请求All RO时,RO处理子系统根据请求的权限信息生成PRO,同时根据RO Request所请求的节目内容和RDS一并发送过来的加密策略为其生成CRO;然后,将PRO和CRO一并通过RDS发送给DRM Agent。当步骤1)中只请求CRO时,RO处理子系统只需像上述那样生成CRO,无需生成PRO;此后,将CRO通过RDS发送给DRM Agent。RDS在转发Add RO Response时,会根据通信协议对其进行一些封装处理。
CEK定期更换或者应急更换对于保护CEK的安全性、保证RI的合法权益是必要的。为了便于RO更新,本发明提出数字信息产品使用控制权限与数字信息产品CEK相分离的思想,将RO分为PRO(Permission RO)和CRO(CEK RO),其中PRO只包含数字信息产品使用控制权限,CRO只包含数字信息产品CEK,CRO中的CEK采用客户端设备公钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护。CRO和PRO相关联,多个CRO可以公用一个PRO。这样,当只有CEK更换时,只需更新CRO;当只更新权限时,只需更新PRO。RO分为PRO和CRO对减轻DRM后台服务系统和DRMAgent负担、减轻对网络的压力有显著作用。
图5是本发明实施例中RO处理子系统响应RDS请求向DRM Agent发出Add/Delete/Update RO Response响应的流程图。图5与图4不同之处在于图5中的Add/Delete/Update RO Response无需DRM Agent的请求,是RDS以推的方式发送给终端的。图5中的Add RO Response用于RO预发布;Delete RO Response用于通知DRM Agent撤销客户端设备上的RO;Update RO Response用于通知DRM Agent更新客户端设备上的RO。
RO处理子系统根据RDS请求生成RO的流程与图4中流程基本相似;不同的是RO处理子系统根据RDS请求生成RO的流程中没有上述的步骤1),RO处理子系统直接从RDS得到生成RO所需的信息,并采用上述步骤2)中的方式生成相应的RO。
RO处理子系统根据RDS请求做出撤销客户终端设备RO响应的流程如下:根据RDS的请求信息,作出处理,通过RDS向DRM Agent发出撤销客户端设备RO的响应RO Delete Response。这里请求信息与RO Delete Response中均无需包含PRO或CRO,只要包含足够的信息就可以。这些信息可以是RO ID、Device ID、Content ID、RO Type等或其中几项,只要确且地指明所要删除RO(可以是一个或一组)即可。
RO处理子系统根据RDS请求做出更新客户端设备RO响应的流程如下:根据RDS的请求信息,生成新的PRO或CRO,通过RDS向DRM Agent发出更新客户端设备RO的响应RO Update Response。
图6是本发明实施例中密钥生成子系统处理中间件MWS(Middleware System)CEK请求的流程图,这里的CEK包括新CEK和旧CEK两种情况。本实施例中密钥采用随机数发生器产生;CEK的加密保护依据[X.944]和[IETF-EKM]中定义的密钥交换算法,下面所述的KEKKMS就是该算法中采用KEK(Key Encryption Key)。密钥生成子系统处理CEK请求的流程如下:
步骤1)中间件向KMS发送密钥请求New/Old CEK Request,
New CEK Request请求信息中包括所请求密钥的长度、请求CEK设备的公钥证书;Old CEK Request请求信息中要包括采用KEKKMS加密保护的CEK和请求CEK设备的公钥证书。
步骤2)KMS对中间件的密钥请求作出响应New/Old CEK Response,
当请求为New CEK Request时,KMS中的密钥生成子系统生成新的密钥,采用KEKKMS对新生成的密钥进行对称加密保护得到Key1;采用密钥请求中的公钥对新生成的密钥依据[X.944]和[IETF-EKM]中定义的密钥交换算法加密保护得到Key2;将Key1和Key2一并发送给中间件。当请求为Old CEK Response时,密钥生成子系统无需生成新密钥,只需将KEKKMS加密保护的CEK的解密出来,并用请求信息中公钥信息对CEK进行加密保护即可,当然仍是依据[X.944]和[IETF-EKM]中定义的密钥交换算法,将得到的Key发送给中间件。

Claims (4)

1.一种DRM中的密钥管理系统中的注册子系统响应并完成注册的方法,所述DRM中的密钥管理系统包括注册子系统、RO处理子系统和CEK生成子系统,所述注册子系统用于响应至少一个客户端设备的注册请求,并完成对具有DRM Agent的客户端设备的注册;RO处理子系统响应RO请求,根据请求的类型做出RO生成、撤销、更新处理;CEK生成子系统响应来自中间件CEK请求,生成相应的CEK并作加密保护;三个子系统分别通过通信接口与外部包括版权发布系统RDS、中间件MWS、其它DRM模块进行通信;
所述的完成注册方法的特征在于,处理过程如下:
1)DRM Agent通过RDS向KMS发出注册预请求,其中包含DeviceID相关信息,提出预审请;
2)KMS收到Device Hello后,为了支持对一个以上的客户端设备并发注册,KMS为每个注册流程分配一个Session ID;同时生成一具有安全意义的随机数RINonce,通过RDS向DRM Agent发出注册预请求响应;
3)DRM Agent根据接收到的RI Hello判断,若预申请成功,继续向KMS发出注册请求,其中包含Session ID、一个具有安全意义随机数Device Nonce、注册申请时间Request time;若DRM后台服务器系统没有客户端设备的公钥证书,注册请求还应包含客户端设备的公钥证书;注册请求还应包括采用客户端设备私钥对Device Hello、RI Hello以及注册请求中其它部分进行的签名;
4)KMS接到注册请求后,进行处理,并发出注册响应;注册响应中包含RI URL重要信息;若客户端设备没有RI的公钥证书,注册响应中还应包括RI的公钥证书;注册响应还应包含采用RI私钥对注册请求和注册响应中其它部分进行的签名。
2.一种DRM中的密钥管理系统中的RO处理子系统的处理方法,所述DRM中的密钥管理系统包括注册子系统、RO处理子系统和CEK生成子系统,所述注册子系统用于响应至少一个客户端设备的注册请求,并完成对具有DRM Agent的客户端设备的注册;RO处理子系统响应RO请求,根据请求的类型做出RO生成、撤销、更新处理;CEK生成子系统响应来自中间件CEK请求,生成相应的CEK并作加密保护;三个子系统分别通过通信接口与外部包括版权发布系统RDS、中间件MWS、其它DRM模块进行通信;
所述的处理方法的特征在于,其中:
所述RO处理子系统响应DRM Agent的RO请求并作出相应处理的流程:
1)DRM Agent通过RDS向KMS提出RO请求,
本步骤中RO请求请求的RO有两种情况,其一,DRM Agent请求的是All RO,也即请求内容既包括使用权限,也包括CEK;其二,DRM Agent请求的是只包含CEK的CRO;
2)KMS中的RO处理子系统通过RDS向DRM Agent发出Add RO Response,
当请求的RO为步骤1)中所述的请求内容既包括使用权限,也包括CEK时,RO处理子系统根据请求的权限信息生成PRO;根据RO请求所请求的节目内容和RDS一并发送过来的加密策略,为其生成CRO;然后,将PRO和CRO一并通过RDS发送给DRM Agent;当请求的RO为步骤1)中所述的请求内容只包含CEK的CRO时,RO处理子系统只需像上述那样根据RO请求所请求的节目内容和RDS一并发送过来的加密策略,生成CRO,无需生成PRO;此后,将CRO通过RDS发送给DRM Agent;
所述RO处理子系统响应RDS请求生成RO的流程如下:
RO处理子系统直接从RDS得到生成RO所需的信息;当请求内容既包括使用权限,也包括CEK,RO处理子系统根据请求的权限信息生成PRO;根据RO请求所请求的节目内容和RDS一并发送过来的加密策略,为其生成CRO;然后,将PRO和CRO一并发送给RDS;当请求内容只包含CEK的CRO,RO处理子系统只需像上述那样根据RO请求所请求的节目内容和RDS一并发送过来的加密策略,生成CRO,无需生成PRO;此后,将CRO发送给RDS;
所述RO处理子系统根据RDS请求做出撤销客户终端设备RO响应的流程如下:
根据RDS的请求信息,做出处理,通过RDS向DRM Agent发出撤销客户端设备RO的响应RO Delete Response;这些信息包括RO ID、Device ID、Content ID、RO Type,只要确且地指明所要删除RO即可;
所述RO处理子系统根据RDS请求做出更新客户端设备RO响应的流程如下:
根据RDS的请求信息,生成新的PRO或CRO,通过RDS向DRM Agent发出更新客户端设备RO的响应RO Update Response;DRM Agent接到更新RO的响应后,用新的RO覆盖旧RO。
3.根据权利要求2所述的RO处理子系统的处理方法,其特征在于,所述RO处理子系统响应DRM Agent的RO请求的处理流程的步骤1)中,RDS向KMS转发RO请求时,会对其进行封装;经封装后的RO请求不仅包括DRM Agent发出的RO请求,还包括KMS为了对RO请求响应而必需的加密策略。
4.一种DRM中的密钥管理系统中的密钥生成子系统响应中间件CEK请求做出处理方法,所述DRM中的密钥管理系统包括注册子系统、RO处理子系统和CEK生成子系统,所述注册子系统用于响应至少一个客户端设备的注册请求,并完成对具有DRM Agent的客户端设备的注册;RO处理子系统响应RO请求,根据请求的类型做出RO生成、撤销、更新处理;CEK生成子系统响应来自中间件CEK请求,生成相应的CEK并作加密保护;三个子系统分别通过通信接口与外部包括版权发布系统RDS、中间件MWS、其它DRM模块进行通信;
所述的处理方法的特征在于,处理过程如下:
1)中间件向KMS发送密钥请求,
中间件向KMS发送的密钥请求有以下两种情况:其一,中间件向KMS请求新的CEK,此时请求信息中包括所请求密钥的长度、请求CEK设备的公钥证书;其二,中间件向KMS请求旧CEK,此时请求信息中要包括采用KEKKMS加密保护的CEK和请求CEK设备的公钥证书;
2)KMS对中间件的密钥请求作出响应,
当步骤1)中请求为新的CEK时,KMS中的CEK生成子系统生成新的密钥,采用KEKKMS对新生成的密钥进行对称加密保护得到Key1;采用密钥请求中的公钥对新生成的密钥加密保护得到Key2;将Key1和Key2一并发送给中间件;当步骤1)中请求为旧CEK时,CEK生成子系统只需将KEKKMS加密保护的CEK的解密出来,并用请求信息中公钥信息对CEK进行加密保护,将得到的Key发送给中间件。
CN 200810177162 2007-12-12 2008-12-04 一种数字版权管理中的密钥管理系统及其方法 Active CN101459507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 200810177162 CN101459507B (zh) 2007-12-12 2008-12-04 一种数字版权管理中的密钥管理系统及其方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200710172123.3 2007-12-12
CN200710172123 2007-12-12
CN 200810177162 CN101459507B (zh) 2007-12-12 2008-12-04 一种数字版权管理中的密钥管理系统及其方法

Publications (2)

Publication Number Publication Date
CN101459507A CN101459507A (zh) 2009-06-17
CN101459507B true CN101459507B (zh) 2013-05-01

Family

ID=40770152

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200810177162 Active CN101459507B (zh) 2007-12-12 2008-12-04 一种数字版权管理中的密钥管理系统及其方法

Country Status (1)

Country Link
CN (1) CN101459507B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109117606B (zh) * 2018-08-08 2020-10-09 瑞芯微电子股份有限公司 设备客户端的drm标准适配方法、装置及硬件保护中间件
CN114614985B (zh) * 2022-05-12 2022-08-05 施维智能计量系统服务(长沙)有限公司 通信秘钥更新方法、秘钥服务器及可读存储介质
CN114760501A (zh) * 2022-06-16 2022-07-15 鹏城实验室 数字版权保护方法、系统、服务器、模块、播放器及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119194A (zh) * 2007-08-29 2008-02-06 北京数码视讯科技有限公司 一种对数字内容及授权进行加密和解密的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119194A (zh) * 2007-08-29 2008-02-06 北京数码视讯科技有限公司 一种对数字内容及授权进行加密和解密的方法

Also Published As

Publication number Publication date
CN101459507A (zh) 2009-06-17

Similar Documents

Publication Publication Date Title
CN114024710B (zh) 一种数据传输方法、装置、系统及设备
JPH0581204A (ja) 分散型コンピユータシステムにおけるアクセス制御
US20210028931A1 (en) Secure distributed key management system
CN103581118A (zh) 一种资源汇聚网关及跨平台授权方法与系统
CN101094062A (zh) 利用存储卡实现数字内容安全分发和使用的方法
CN112507296B (zh) 一种基于区块链的用户登录验证方法及系统
US11258601B1 (en) Systems and methods for distributed digital rights management with decentralized key management
CN101500008A (zh) 用于加入用户域的方法和用于在用户域中交换信息的方法
CN112511295B (zh) 接口调用的认证方法、装置、微服务应用和密钥管理中心
CN111585753A (zh) 一种业务数据集中加密系统及方法
CN111181719A (zh) 云环境下基于属性加密的分层访问控制方法及系统
CN113312655A (zh) 基于重定向的文件传输方法、电子设备及可读存储介质
CN101459507B (zh) 一种数字版权管理中的密钥管理系统及其方法
CN111988260B (zh) 一种对称密钥管理系统、传输方法及装置
CN114372242A (zh) 密文数据的处理方法、权限管理服务器和解密服务器
CN114050915A (zh) 隔离网络下细粒度权限访问同步方法、装置及设备
CN109905377A (zh) 一种防止非法访问服务器的方法及系统
CN111901335B (zh) 基于中台的区块链数据传输管理方法及系统
JP5178128B2 (ja) 通信システム
CN101458744A (zh) 一种基于可信计算思想的数字版权管理代理系统及其方法
KR100989371B1 (ko) 개인 홈 도메인을 위한 디지털 저작권 관리방법
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质
JP5139045B2 (ja) コンテンツ配信システム、コンテンツ配信方法およびプログラム
CN100483435C (zh) 数字版权管理系统中换取版权对象的方法及系统
EP2299379A1 (en) Digital rights management system with diversified content protection process

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 200233 Room 704, Building 2, No. 2570 Hechuan Road, Minhang District, Shanghai

Patentee after: Shanghai Hangxin Electronic Technology Co.,Ltd.

Address before: 200241, building 5, building 555, No. 1, Dongchuan Road, Shanghai, Minhang District

Patentee before: SHANGHAI AISINOCHIP ELECTRONIC TECHNOLOGY Co.,Ltd.