CN101883100A - 一种数字内容分布式授权方法 - Google Patents
一种数字内容分布式授权方法 Download PDFInfo
- Publication number
- CN101883100A CN101883100A CN201010204604XA CN201010204604A CN101883100A CN 101883100 A CN101883100 A CN 101883100A CN 201010204604X A CN201010204604X A CN 201010204604XA CN 201010204604 A CN201010204604 A CN 201010204604A CN 101883100 A CN101883100 A CN 101883100A
- Authority
- CN
- China
- Prior art keywords
- content
- devolution
- digital
- server
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种数字内容分布式授权方法,属于数字版权保护技术领域。本发明的方法为:1)内容使用者注册时,服务器为其计算重加密密钥;2)授权代理初始化时从服务器获得代理资质证书;3)数字内容授权时,授权代理用内容使用者的重加密密钥对内容密钥密文进行重加密操作,得到重加密的内容密钥密文,并根据其创建数字许可证;然后授权代理将自己的代理资质证书和创建的数字许可证发送给内容使用者。与现有技术相比,本发明具有授权安全、高效,系统开销平衡、可扩展性强的特点,且拓宽了用户获得许可证的途径。
Description
技术领域
本发明属于数字版权保护技术(Digital Rights Management,DRM)领域,涉及一种数字内容分布式授权方法。
背景技术
在互联网用户自主性和活跃度颇高的今天,每一位网民都可能是数字作品的创作者和使用者,P2P文件共享系统以其低成本、灵活性和高扩展性成为个人用户之间共享数字内容的重要途径。然而,由于缺乏版权保护机制,P2P文件共享系统中大量数字内容被非法传播和使用,将DRM功能引入P2P文件共享系统以保护数字版权的需求日益强烈。
现阶段最常见的DRM系统包括内容服务器、许可证服务器和安全客户端三个模块。其中内容服务器的主要功能是加密数字内容,设置权利信息,将数字内容的密文及其唯一标识封装成DRM数字内容产品,并将权利信息和数字内容解密密钥发送给许可证服务器。许可证服务器供第三方清算中心使用,主要负责许可证的生成和发放,许可证中包括数字内容标识,数字内容解密密钥以及许可证服务器的签名信息。安全客户端由DRM控制器和数字内容使用工具两部分组成。DRM控制器负责向许可证服务器申请许可证,解密数字内容和控制内容的合法使用。数字内容使用工具主要用来辅助用户使用数字内容。这种DRM系统结构是在传统的客户端-服务器网络环境下提出的,数字内容可以通过超级分发或内容服务器分发的方式传播,所有的授权和证书颁发工作由许可证服务器负责,如果把这种结构直接应用于P2P文件共享系统,许可证服务器容易成为系统瓶颈,不能保持P2P文件共享系统的高效性和高度可扩展性。
目前针对P2P文件共享系统提出的DRM方案中,大多数只是依赖P2P文件共享进行数字内容的传输,授权功能仍然集中在服务器或内容拥有者单个节点上,用户若要使用加密的内容,必须从由服务器或内容拥有者获得用用户信息加密的内容密钥。文献“Digital Rights Protection in BitTorrent-like P2P Systems”(Songqing Chen;Xinwen Zhang,United States Patent Application Publication,No.US2009/0210697A1)依赖检索服务器进行密钥管理,每当数字内容在两个节点之间转移时,都需要服务器计算重加密密钥供源节点对数字内容进行重加密,并向目标节点提供内容解密密钥。这种方法中,检索服务器在每次授权过程中都需要计算和分配密钥,计算和存储开销大,容易成为系统瓶颈,存在单点失效问题,没有维持P2P文件共享系统原有的灵活性和高度可扩展性。为了实现P2P文件共享系统中数字内容的分布式授权,文献“DRM Enabled P2P Architecture”(Jae-Youn Sung;Jeong-Yeon Jeong;Ki-Song Yoon,The 8th International Conference on Advanced Communication Technology,2006,Volume 1,Page(s):487-490)提出一种无须服务器参与的分布式授权模型,许可证签发权可以通过交易在节点之间转移或拷贝,从而P2P网络中的任何节点都可以签发许可证,但是这种在没有任何有效控制下允许任意节点签发许可证的方案是不可靠的。恶意节点可以在获得许可证签发权后,在网络中随意签发许可证,或拷贝许可证签发权,而正常不收取费用,造成权利管理的失控。文献“Integrated Copyright Protection in Peer-to-Peer Networks”(Xiaosong Lou;Kai Hwang;Runfang Zhou,The 27th International Conference on Distributed Computing Systems Workshops,2007,Page(s):28-28)提出的方案中,P2P网络中一组可信的代理节点负责向授权用户传播数字内容明文并防止数字内容明文传向未授权的用户,但是该方案只能够在P2P系统内部保护数字内容的版权,无法防止用户购买数字内容后把数字内容明文发布到P2P系统之外的情况。
发明内容
针对现有技术中的不足之处,本发明的目的在于提供一种数字内容分布式授权方法。
代理重加密技术使得代理能够把被代理人加密的信息密文转化为目标用户能够解密的形式而不暴露信息明文。本发明利用代理重加密技术,提出了一种新颖实用的数字内容分布式授权方法,使得P2P网络中的授权代理能够完成数字内容授权和数字许可证颁发的工作,而无需服务器在数字内容授权过程中进行密钥的加密封装以及许可证的生成和颁发操作;授权代理由P2P网络的普通节点担当,无需改变P2P网络原有的结构;多个授权代理存在于系统中,不但能够平衡系统开销,提升系统的可扩展性,还能够减少用户授权请求的响应时间,提高数字许可证的颁发效率。
本发明的系统参与者包括内容拥有者、授权代理、内容使用者、检索节点和一台可信的注册/交易服务器。其中内容拥有者、授权代理和内容使用者都安装了安全的DRM客户端软件,这三种角色由P2P系统中的普通节点担当,一个节点可能同时担任多种角色。检索节点是P2P网络中负责进行资源检索的节点,根据P2P网络的拓扑结构,检索节点可能是P2P网络中普通节点、超级节点或P2P服务器,在本系统中检索节点还负责检索可用的授权代理地址。内容传播和许可证颁发在P2P网络内部进行,只有涉及节点注册、内容注册、授权代理管理和交易管理时才需要与服务器通信。
1)内容拥有者负责对数字内容加密,上传内容密文、权利信息和内容密钥密文到服务器。
2)授权代理负责响应内容使用者的授权申请,对内容使用者授权并颁发许可证。所有的授权代理共享由服务器生成的代理密钥。
3)内容使用者申请许可证并使用数字内容。
4)检索节点在P2P网络中的职责是维护资源列表,并向请求节点提供资源下载地址。在本系统中,检索节点还负责维护授权代理列表,并向请求节点提供授权代理的地址。
5)服务器主要负责节点注册、内容注册、授权代理管理和交易管理,它运行着网络站点和数据库。
本发明包括以下步骤,其中步骤(1)最先完成,步骤(4)在步骤(2)、(3)之后完成,步骤(5)在步骤(4)之后完称,步骤(2)(3)之间没有先后关系:
(1)节点注册:P2P网络中参与DRM系统的节点设置唯一的用户标识,在服务器注册帐户。注册节点可以担任内容拥有者、内容使用者和授权代理中的一个或多个角色。对于注册的内容使用者节点,服务器根据所采用的代理重加密算法,用自己的私钥和内容使用者的公钥或私钥为其计算重加密密钥,用代理密钥对称加密重加密密钥得到重加密密钥密文。其中代理密钥由服务器在节点注册之前生成。
(2)授权代理初始化:服务器给授权代理颁发代理密钥和代理资质证书,并把授权代理的地址信息发送给P2P网络中的检索节点。其中代理资质证书中包含授权代理的公钥和服务器的数字签名信息。
(3)数字内容注册:内容拥有者利用DRM客户端软件为数字内容随机生成内容密钥,用内容密钥对称加密数字内容得到数字内容的密文,再用服务器的公钥加密内容密钥得到内容密钥密文,然后把数字内容的密文、内容密钥密文和权利信息上传到服务器。服务器可以用自己的私钥解密内容密钥密文得到内容密钥,然后用内容密钥解密数字内容的密文得到数字内容的明文,以便根据系统确定的内容审查规则对内容进行审查,确保数字内容的合法性。然后,服务器为数字内容生成唯一的数字内容标识,并保存数字内容的基本信息,包括数字内容标识、数字内容的密文、内容密钥密文、内容拥有者的标识和权利信息。然后服务器封装数字内容包,被封装的信息包含数字内容标识、数字内容的密文、检索节点地址、权利信息和服务器的签名信息。数字内容包可以通过P2P文件共享的形式传播。
(4)数字内容授权:内容使用者收到数字内容包后,提取出数字内容包中的检索节点地址,向检索节点请求授权代理的地址,收到检索节点返回的授权代理地址后,向授权代理提交授权请求,授权请求中包含数字内容标识。授权代理根据授权请求生成交易处理请求,所述交易处理请求中包含数字内容标识和内容使用者的标识,请求服务器处理交易。服务器检查内容使用者是否履行该数字内容包对应的权利信息所要求的义务(例如付费、称为会员或扣除积分),若内容使用者未能成功履行所述义务,服务器向授权代理返回交易处理失败消息;若内容使用者成功履行所述义务,服务器向授权代理返回交易处理成功消息。
交易处理成功消息中包含所述内容使用者的唯一标识、数字内容标识和服务器的数字签名信息。收到交易处理成功消息后,授权代理利用内容密钥密文和重加密密钥密文(可以如下述“方法一”从服务器发送的交易成功消息中获取,或者如下述“方法二”从内容使用者发送的授权请求中获取)进行如下操作:首先,用代理密钥对重加密密钥密文解密,得到内容使用者的重加密密钥;再用内容使用者的重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文,所述重加密的内容密钥密文可以用内容使用者的私钥解密;然后授权代理为内容使用者创建数字许可证,所述数字许可证包含内容使用者的唯一标识、数字内容标识、重加密的内容密钥密文和授权代理的数字签名信息;最后,授权代理将数字许可证和自己的代理资质证书发送给内容使用者。
交易处理失败消息中包含内容使用者的唯一标识、数字内容标识、错误说明信息和服务器的数字签名信息。收到交易失败消息后,授权代理的DRM客户端软件首先验证服务器的签名,然后向内容使用者转发交易处理失败消息,此次交易以失败结束。
上述授权代理获得交易处理成功消息后进行重加密操作所用的内容密钥密文和重加密密钥密文可以通过两种方法获取:
方法一从服务器返回的交易处理成功消息中获取
服务器向授权代理返回的交易处理成功消息中,除了包含所述内容使用者的唯一标识、数字内容标识和服务器的数字签名信息外,还包含服务器保存的所述内容使用者的重加密密钥密文,以及所述数字内容的内容密钥密文。
授权代理在获得服务器返回的交易处理成功消息时,可以从所述交易处理成功消息中获得所述内容密钥密文和所述重加密密钥密文。
对应这种方法,在步骤“(1)节点注册”中,服务器为内容使用者生成重加密密钥,并用授权代理共享的代理密钥对称加密重加密密钥得到重加密密钥密文后,保存所述重加密密钥密文。
方法二从内容使用者提交的授权请求中获取
内容使用者向授权代理提交的授权请求中除了包含数字内容标识外,还包含所述内容使用者注册时从服务器获得的重加密密钥密文信息,和从数字内容包中提取的内容密钥密文信息。
授权代理在获得内容使用者提交的授权请求后,在生成交易处理请求,请求服务器处理交易之前,从授权请求中提取出重加密密钥密文信息和内容密钥密文信息,分别验证其中服务器的签名信息,验证通过后,分别从重加密密钥密文信息和内容密钥密文信息中提取出重加密密钥密文和内容密钥密文。
对应这种方法,在步骤“(1)节点注册”中,服务器为内容使用者生成重加密密钥,并用授权代理共享的代理密钥对称加密重加密密钥得到重加密密钥密文后,生成重加密密钥密文信息并将所述重加密密钥密文信息发送给注册节点。所述重加密密钥密文信息包含所述内容使用者的唯一标识、所述重加密密钥密文、以及服务器的签名信息。在步骤“(3)数字内容注册”中,服务器封装数字内容包,被封装的信息除了包含数字内容标识、数字内容的密文、检索节点地址、权利信息和服务器的签名信息外,还包含内容密钥密文信息。所述内容密钥密文信息包含所述数字内容标识、内容密钥密文和服务器的签名信息。
(5)数字内容使用:收到数字许可证和授权代理的代理资质证书后,内容使用者的DRM客户端软件首先验证代理资质证书中的服务器签名是否有效,若无效,内容使用者的DRM客户端拒绝使用该授权代理所签发的数字许可证;若有效,内容使用者的DRM客户端软件从授权代理的代理资质证书中提取出授权代理的公钥,验证授权代理在数字许可证中的签名,然后提取出数字许可证中的内容密钥密文,用内容使用者的私钥对其解密得到内容密钥,再用内容密钥解密数字内容的密文,得到数字内容的明文供内容使用者使用。
与现有技术相比,本发明的效果在于:
本发明通过可信的服务器和安全的DRM客户端软件保证只有获得授权的合法内容使用者能够根据许可证使用数字内容,从而保护数字作品的版权;通过一组授权代理节点分别完成系统中的授权任务,实现了分布式授权,平衡了系统开销,提升了系统的可扩展性,拓宽了用户获得许可证的途径,提升了授权的效率;通过只有拥有有效代理资质证书的授权代理才能够创建能够被内容使用者接受的数字许可证,且授权代理的DRM客户端软件只有在服务器返回交易处理成功消息时,才能按照规定的流程进行重加密操作并创建许可证,确保授权的安全。另外,本发明能为P2P网络中的节点提供成为内容拥有者或者授权代理以赚取佣金的机会,对于数字内容交易市场的健康发展具有积极的推动作用。
附图说明
图1为本发明提供的系统结构图;
图2为本发明的流程图;
图3为本发明提供的方法一授权过程交互图;
图4为本发明提供的第一实施例节点注册流程图;
图5为本发明提供的第一、第二、第三实施例授权代理初始化流程图;
图6为本发明提供的第一、第二实施例数字内容注册流程图;
图7为本发明提供的第一、第二实施例数字内容授权流程图;
图8为本发明提供的第二实施例节点注册流程图;
图9为本发明提供的第三实施例节点注册流程图;
图10为本发明提供的第三实施例数字内容注册流程图;
图11为本发明提供的方法二授权过程交互图;
图12为本发明提供的第三实施例数字内容授权流程图。
具体实施方式
下面结合附图和实施方式,对本发明进行进一步详细描述:
第一实施例
本实施例针对P2P网络中数字内容交易的应用场景提出数字内容分布式授权方法,可以采用多种代理重加密算法,这类算法的特点是重加密密钥根据被代理人(服务器)的私钥和用户(内容使用者)的私钥计算而成。
下面以文献“Proxy Cryptography Revisited”(Anca Ivan;Yevgeniy Dodis,Proc.10th annual Network and Distributed System Security Symposium(NDSS),2003)提出的基于El Gamal算法的代理重加密算法为例,说明实施方法。重加密运算记为RE(r,c),表示用重加密密钥r对密文c进行重加密。
参见图1,本系统的参与者包括内容拥有者A、内容使用者B、授权代理P、检索节点X和可信的注册/交易服务器S。A、B和P都是P2P系统中的普通节点,安装了安全的DRM客户端软件。根据P2P网络的拓扑结构,X能可能是P2P网络中的普通节点、超级节点或P2P服务器。服务器维护内容使用者的授权记录,授权记录中记录已经付费的授权情况,每条记录中包括内容使用者的唯一标识和数字内容标识。
素数n和小于n的随机数g是系统参数,服务器S选择小于n的随机数s作为自己的私钥sks=s,并计算相应的公钥pkS=gs mod n。
本实施例对应发明内容中的方法一,总体流程参见图2:服务器S为注册的内容使用者B计算重加密密钥,并用代理密钥加密重加密密钥生成重加密密钥密文,保存之。S向授权代理P颁发代理资质证书和代理密钥。当获得包含加密内容的数字内容包时,B向授权代理P提交授权请求。P请求S进行交易处理,S收费成功后,P收到S返回的交易处理成功消息,其中包含内容密钥密文和B的重加密密钥密文。P用代理密钥解密重加密密钥密文,得到B的重加密密钥,然后用B的重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文。最后,P根据重加密的内容密钥密文创建数字许可证,将自己的代理资质证书和创建的数字许可证发送给B。B收到许可证后,在DRM客户端软件中根据许可证中的权利描述解密并使用数字内容。
本实施例的具体步骤为:
(1)节点注册
本实施例的节点注册流程如图4所示。P2P网络中参与DRM系统的节点,包括A和B,需要到服务器注册。对于内容使用者节点,服务器还要为其计算重加密密钥。以节点B为例,B登录服务器S提供的网站注册账户,设置唯一的标识IDB,密码为“123”。S为B分配私钥skB,值为在系统中唯一的随机数b,计算相应的公钥pkB=gb mod n,并安全地把skB和pkB传送给B。B的DRM客户端安全地保存skB和pkB。
下一步,S根据采用的代理重加密算法用自己的私钥skS和B的私钥skB计算重加密密钥rS→B=(s-b),为s减b之差,用授权代理共享的代理密钥aKey对称加密rS→B得到重加密密钥密文EaKey(rS→B)。
之后,S在数据库中保存B的注册信息,包括IDB、skB、pkB和EaKey(rS→B)。
(2)授权代理初始化
本实施例的授权代理初始化流程如图5所示。服务器S在P2P网络中选择注册节点P作为授权代理,并为其设置恰当的代理有效期。服务器在数据库中查找P的注册信息,在所述注册信息中补充P的代理有效期信息,更新后的P的注册信息包括P的标识IDP、P的私钥skP、P的公钥pkP和P的代理有效期。S采用非对称加密算法,用pkP非对称加密授权代理共享的代理密钥aKey得到代理密钥密文E(pkP,aKey),这里假设S采用El Gamal加密算法加密代理密钥,那么代理密钥密文E(pkP,aKey)的值为二元组(gk mod n,aKey×gpk mod n),其中k为随机数;然后给P颁发代理密钥信息APKey(P)和代理资质证书QC(P)。其中APKey(P)中包含代理密钥密文E(pkP,aKey)和S的数字签名信息;QC(P)中包括IDP、pkP、P的代理有效期和服务器S的数字签名信息。P验证APKey(P)和QC(P)中S的签名后,保存APKey(P)和QC(P)。
另外,S还要把P的地址、P的代理有效期和自己的数字签名信息发送给P2P网络中的检索节点X,X验证S的签名后,保存P的地址和代理有效期信息。
(3)数字内容注册
本实施例的数字内容注册流程如图6所示。数字内容M的拥有者A利用DRM客户端软件随机生成内容密钥CEK,用CEK对称加密数字内容M,得到内容密文C=ECEK(M);然后A采用El Gamal加密算法,用服务器的公钥pkS加密CEK得到内容密钥密文E(pkS,CEK),值为二元组(gk mod n,CEK×gsk mod n),其中k为随机数;最后A把数字内容的密文C、内容密钥密文E(pkS,CEK)和内容的权利信息上传到服务器S。
S首先采用El Gamal算法,用私钥s解密内容密钥密文E(pkS,CEK)得到内容密钥CEK:令E(pkS,CEK)=(gk mod p,CEK×gsk mod p)=(α,β),那么CEK的值为β×α-s;然后用CEK对内容密文C进行解密得到内容明文M:M=DCEK(C)=DCEK(ECEK(M))。S根据系统的内容审查规则审查M:
a)若审查不通过,给A返回失败消息;
b)若审查通过,给M设定唯一的数字内容标识CID,并在数据库的资源列表中添加内容CID的信息,包括数字内容标识CID、数字内容的密文C、内容密钥密文E(pkS,CEK)、内容拥有者A的标识IDA和权利信息。S将审核通过的数字内容封装,嵌入检索节点X的地址,得到数字内容包,其中包含CID、C、X的地址、内容的权利信息和S对上述信息做摘要后的数字签名。之后,S给A返回数字内容注册成功消息,把内容CID的介绍信息和数字内容包公布在网站上,供用户任意下载数字内容包,一旦数字内容包进入P2P系统,就可以通过P2P文件共享的方式在系统中传播。
(4)数字内容授权
数字内容授权过程的交互情况如图3所示,流程如图7所示。
第一步:申请授权
当获得CID的数字内容包后,内容使用者B的DRM客户端软件在本地搜索CID对应的数字许可证,若没有搜索到对应的许可证,从内容包中提取出X的地址,并向X请求授权代理的地址,X提供当前可用、且在代理有效期内的授权代理P的地址给B。
B向P申请内容CID的使用权利rights。P根据B的授权请求生成交易处理请求,请求S处理交易,所述交易处理请求包括P的标识IDP、B的标识IDB、内容标识CID、rights以及P对上述信息做摘要后的数字签名。
第二步:交易处理
S收到P发送的交易处理请求后,在数据库中查找P的信息,确认当前时间在P的代理有效期内,提取P的公钥,验证P的数字签名。验证通过后,S从交易信息中提取出IDB及其申请的内容使用权利信息CID和rights,查看B的授权记录:
a)若B之前没有获得对CID的rights授权,S根据资源列表中保存的内容CID的权利信息向B收取相应的费用后,在B的授权记录中增加当前授权的信息,包括CID和rights,并按比例支付佣金到P的帐户,向P返回交易处理成功消息。
b)若B之前已经获得对CID的rights授权,S不做收费和授权记录更新的处理,向P返回交易处理成功消息。
c)其他情况,如收费不成功或请求权利无效,S返回交易处理失败消息。
S给P返回的交易处理成功消息中包括状态值Status、内容标识CID、权利信息rights、时间戳、状态值Status为1,还包含S从数据库中提取的CID的内容密钥密文E(pkS,CEK)和B的重加密密钥密文EaKey(rS→B)以及S对上述信息的数字签名信息;交易处理失败消息中包括状态值Status、内容标识CID、权利信息rights、时间戳、状态值Status为0以及S对上述信息的数字签名信息。
若收到S的交易处理失败消息,P首先验证消息时间和S的签名,然后将交易处理失败消息转发给B,此次交易以失败结束。否则,进行下一步。
第三步:颁发证书
S返回交易处理成功消息后,P的DRM客户端软件验证消息时间和S的数字签名信息,由S的交易处理成功消息(Status=1)触发,用P的私钥p解密APKey(P)中的代理密钥密文E(pkP,aKey)得到代理密钥aKey:令E(pkP,aKey)=(gk mod n,aKey×gpk mod n)=(μ,ε),那么aKey的值为ε×μ-p;再用aKey对交易处理成功消息中的EaKey(rS→B)解密,得到重加密密钥rS→B=DaKey(EaKey(rS→B))=(s-b),然后根据重加密运算RE,利用rS→B对成功消息中的E(pkS,CEK)进行重加密,得到能够被B解密的内容密钥密文:RE(rS→B,E(pkS,CEK))=(α,β×α-(s-b))=(gk mod n,CEK×gbk mod n)=E(pkB,CEK)。进一步,P提取成功消息中的CID和rights为B创建数字许可证L,L中包含IDB,CID,B获得的授权rights、能够被B解密的内容密钥密文E(pkB,CEK)和授权代理P对上述信息做摘要后的数字签名。最后P把数字许可证L和自己的代理资质证书QC(P)发送给B。
(5)数字内容使用
B的DRM客户端软件收到数字许可证L和代理资质证书QC(P)后,先验证QC(P)中S的签名和P的代理有效期,再从QC(P)中提取P的公钥,验证P在L中的签名。验证通过后,B的DRM客户端软件提取B的私钥b,用b解密L中的E(pkB,CEK)得到CEK:令E(pkB,CEK)=(μ,ε),CEK的值为ε×μ-b;最后根据L中的权利描述,用CEK解密数字内容的密文C得到数字内容的明文M供B使用。
第二实施例
上述第一实施例要求服务器知道内容使用者的私钥,重加密密钥根据服务器的私钥和内容使用者的私钥生成。本实施例针对P2P网络中数字内容交易的应用场景提出数字内容分布式授权方法,可以采用多种代理重加密算法,这类算法的特点是重加密密钥根据被代理人(服务器)的私钥和用户(内容使用者)的公钥计算而成。通过采用这类算法,服务器无需知道内容使用者的私钥,重加密密钥根据服务器的私钥和内容使用者的公钥生成。
下面以文献“Improved proxy re-encryption schemes with applications to secure distributed storage”(Giuseppe Ateniese;Kevin Fu;Matthew Green;Susan Hohenberger,Feb.ACM Transactions on Information and System Security(TIS SEC),2006,Volume 9,Issue 1)提出的基于双线性映射的代理重加密算法为例,说明实施方法。
参见图1,本系统的参与者包括内容拥有者A、授权代理P、内容使用者B、检索节点X和一台可信的注册/交易服务器S。A、P和B都是P2P系统中的普通节点,安装了安全的DRM客户端软件。根据P2P网络的拓扑结构,检索节点X能可能是P2P网络中的普通节点、超级节点或P2P服务器。服务器维护内容使用者的授权记录,授权记录中记录已经付费的授权情况,每条记录中包括内容使用者的唯一标识和数字内容标识。
g和Z是系统参数,它们是这样得到的:G1,G2是两个序为素数q的群,e:G1×G1→G2是一个可计算的双线性映射,对任意u,v εG1和任意整数a,b,满足e(ua,vb)=e(u,v)ab。g是G1的任意生成元,Z=e(g,g)是G2的生成元。服务器S拥有私钥skS=s,公钥pkS=Zs,并把pkS公布。系统的任意用户U的客户端能够根据U在P2P网络中的唯一标识或U的硬件设备标识生成U的私钥skU=u,并得到U的公钥pkU=gu,为系统参数g的u次幂。
本实施例中重加密运算记为RE(r,c),表示用重加密密钥r对密文c进行重加密。所用的代理重加密算法涉及两种非对称加密运算:E1和E2。非对称加密E1得到的密文是可以被重加密的,例如,用服务器的公钥pkS=Zs对明文M做E1的加密运算,可以表示为E1(pkS,M),其值为二元组(gk,M×Zsk),其中k为随机数;令U为系统中的任一用户,根据U的公钥gu和S的私钥s可以得到S到U的重加密密钥rS→U=gsu,利用rS→U可以把用S的公钥加密的M的密文,即E1(pkS,M),重加密为用U的私钥能够解密的形式,重加密的结果可以用非对称加密E2(pkU,M)表示:RE(rS→U,E1(pkS,M))=E2(pkU,M)=(Zsuk,M×Zsk)=(Zuk’,M×Zk’),其中Zsuk由e(gk,gsu)计算而得,k’等于s乘以k。E2的密文不能被再用来重加密,即本实施例所用的重加密算法是不可传递的。E1和E2得到的密文都能用对应的私钥解密。例如,令E1(pkS,M)=(α,β),可以用S的私钥s解密得到M的值为β/e(α,g)s;又如,令E2(pkU,M)=(σ,γ),可以用U的私钥u解密得到M的值为γ/(σ1/u)。
本实施例对应发明内容中的方法一,总体流程参见图2:服务器S为注册的内容使用者B计算重加密密钥,并用代理密钥加密重加密密钥生成重加密密钥密文,保存之。S向授权代理P颁发代理资质证书和代理密钥。当获得包含加密内容的数字内容包时,B向授权代理P提交授权请求。P请求S进行交易处理,S收费成功后,P收到S返回的交易处理成功消息,其中包含内容密钥密文和B的重加密密钥密文。P用代理密钥解密重加密密钥密文,得到B的重加密密钥,然后用B的重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文。最后,P根据重加密的内容密钥密文创建数字许可证,将自己的代理资质证书和创建的数字许可证发送给B。B收到许可证后,在DRM客户端软件中根据许可证中的权利描述解密并使用数字内容。本实施例的具体步骤为:
(1)节点注册
本实施例的节点注册流程如图8所示。在P2P网络中,参与DRM系统的节点,包括A和B,需要到服务器注册。对于内容使用者节点,服务器还要为其计算重加密密钥。以节点B为例,B登录服务器S提供的网站注册账户,设置唯一的标识IDB,密码为123。B的DRM客户端保存IDB,用IDB或B的硬件设备标识生成B的私钥skB为b,B的公钥pkB为gb,即系统参数g的b次幂,并上传公钥pkB。S根据B的公钥gb和自己的私钥s计算得到重加密密钥rS→B=gsb,用授权代理共享的代理密钥aKey对称加密重加密密钥得到重加密密钥密文EaKey(rS→B)。最后,S在数据库中保存B的注册信息,包括IDB、pkB和EaKey(rS→B)。
(2)授权代理初始化
本实施例的授权代理初始化流程如图5所示。系统中的注册节点向S提出代理申请,S根据系统的代理资质标准选择P作为授权代理,并设置恰当的代理有效期。S在数据库中查找P的注册信息,在所述注册信息中补充P的代理有效期信息,更新后的P的注册信息包括P的标识IDP、P的公钥pkP和P的代理有效期。S采用非对称加密算法(例如ElGamal算法),用P的公钥非对称加密授权代理共享的代理密钥aKey得到代理密钥密文E(pkP,aKey),给P颁发代理密钥信息APKey(P)和代理资质证书QC(P)。其中APKey(P)中包含代理密钥密文E(pkP,aKey)和S的签名信息;QC(P)中包括IDP、pkP、P的代理有效期和服务器的签名信息。P验证APKey(P)和QC(P)中S的签名后,保存APKey(P)和QC(P)。
另外,S还要把P的地址、P的代理有效期和自己的签名信息发送给P2P网络中的检索节点X,X验证S的签名后,保存P的地址和代理有效期信息。
(3)数字内容注册
本实施例的数字内容注册流程如图6所示。数字内容M的拥有者A利用DRM客户端软件随机生成内容密钥CEK,用CEK对称加密数字内容M,得到内容密文C=ECEK(M);然后A采用E1,用服务器的公钥pkS加密CEK得到内容密钥密文E1(pkS,CEK),值为(gk,CEK×Zsk),其中k为随机数,并把内容密文C、内容密钥密文E1(pkS,CEK)和内容的权利信息上传到服务器S。
S首先用私钥s解密内容密钥密文E1(pkS,CEK)得到内容密钥CEK:令E1(pkS,CEK)=(α,β),那么CEK的值为β/e(α,g)s;然后用CEK对内容密文C进行解密得到内容明文M:M=DCEK(C)=DCEK(ECEK(M))。S根据系统的内容审查规则审查M:
a)若审查不通过,则给A返回失败消息;
b)若审查通过,给M设定唯一的内容标识CID,并在数据库的资源列表中添加内容CID的信息,包括内容标识CID、内容密文C、内容密钥密文E1(pkS,CEK)、内容拥有者A的标识IDA和内容的权利信息。S将审核通过的数字内容封装,嵌入检索节点X的地址,得到数字内容包,数字内容包中的信息包括CID、C、X的地址、内容的权利信息和S对上述信息做摘要后的签名。之后,S给A返回数字内容注册成功消息,把内容CID的介绍信息和数字内容包公布在网站上,供用户任意下载数字内容包,一旦数字内容包进入P2P系统,就可以通过P2P文件共享的方式在系统中传播。
(4)数字内容授权
数字内容授权过程的交互情况如图3所示,流程如图7所示。
第一步:申请授权
当获得CID的数字内容包后,内容使用者B的DRM客户端软件在本地搜索CID对应的许可证,若没有搜索到对应的许可证,从内容包中提取出X的地址,并向X请求授权代理地址,X提供当前可用、且在代理有效期内的授权代理P的地址给B。
B向P申请内容CID的使用权利rights。P根据B的授权请求生成交易处理请求,请求S处理交易,所述交易处理请求包括IDP、IDB、CID、rights以及P对上述信息做摘要后的签名。
第二步:交易处理
S收到P发送的交易处理请求后,在数据库中查找P的注册信息,确认当前时间在P的代理有效期内,提取P的公钥,验证P的签名。验证通过后,S从交易信息中提取出IDB及其申请的内容使用权利信息CID和rights,查看B的授权记录:
a)若B之前没有获得对CID的rights授权,S根据资源列表中保存的内容CID的权利信息向B收取相应的费用后,在B的授权记录中增加当前授权的信息,包括CID和rights,并按比例支付佣金到P的帐户,向P返回交易处理成功消息。
b)若B之前已经获得对CID的rights授权,S不做收费和授权记录更新的处理,直接返回交易处理成功消息。
c)其他情况,如收费不成功或请求权利无效,S返回交易处理失败消息。
S给P返回的交易处理成功消息中包括状态值Status、内容标识CID、权利信息rights、时间戳、状态值Status为1,还包含S从数据库中提取的CID的内容密钥密文E(pkS,CEK)和B的重加密密钥密文EaKey(rS→B)以及S对上述信息的数字签名信息;交易处理失败消息中包括状态值Status、内容标识CID、权利信息rights、时间戳、状态值Status为0以及S对上述信息的数字签名信息。
若收到S的交易处理失败消息,P首先验证消息时间和S的签名,然后将交易处理失败消息转发给B,此次交易以失败结束。否则,进行下一步。
第三步:颁发证书
S返回交易处理成功消息后,P的DRM客户端软件验证消息时间和S的数字签名,由S的交易处理成功消息(Status=1)触发,用P的私钥skP解密APKey(P)中的代理密钥密文E(pkP,aKey)得到代理密钥aKey,再用aKey对交易处理成功消息中的EaKey(rS→B)解密,得到重加密密钥rS→B=DaKey(EaKey(rS→B))=gsb,然后提取成功消息中的E1(pkS,CEK),令E1(pkS,CEK)=(gk,CEK×Zsk)=(α,β),用rS→B对E1(pkS,CEK)进行重加密计算,得到能够被B解密的内容密钥密文:RE(rS→B,E1(pkS,CEK))=E2(pkB,CEK)=(e(rS→B,α),β)=(Zsbk,CEK×Zsk),即(Zbk’,CEK×Zk’),其中k’=s×k,Zsbk=e(gk,gsb)。进一步,P提取成功消息中的CID和rights为B创建数字许可证L,L中包含IDB,CID,B获得的授权rights、B能够解密的内容密钥密文E2(pkB,CEK)和授权代理P对上述信息做摘要后的数字签名。最后P把许可证L和自己的代理资质证书QC(P)发送给B。
(5)数字内容使用
B的DRM客户端软件收到数字许可证L和QC(P)后,先验证QC(P)中S的签名和P的代理有效期,再从QC(P)中提取P的公钥,验证P在L中的签名。验证通过后,B的DRM客户端软件计算B的私钥b,用b解密L中的E2(pkB,CEK)得到CEK:令E2(pkB,CEK)=(σ,γ),CEK的值为γ/(σ1/b),然后根据L中的权利描述,用CEK解密数字内容的密文C得到数字内容的明文M供B使用。
第三实施例
上述第一、第二实施例要求服务器在数字内容授权过程中读取数据库信息,向授权代理传送内容密钥密文和重加密密钥密文。为了进一步减轻服务器在授权过程中的开销,本实施例针对P2P网络中数字内容交易的应用场景提出数字内容分布式授权方法:内容密钥密文和重加密密钥密文由内容使用者在提交授权请求的时候发送给授权代理,无需服务器在交易处理成功后读取数据库,然后向授权代理发送。
另外,类似第一、第二实施例,为了防止内容使用者在申请授权时对已经付费获得的授权重复付费,引入了授权记录,只有授权记录中没有对应项的授权请求才需要由服务器收费。不同的是,在本实施例中,授权记录由授权代理维护和共享,只有所处理的授权请求需要付费时,授权代理才向服务器发送交易处理请求,并在收到交易处理成功消息后更新授权记录,这样避免了服务器查看和更新授权记录的操作。这种授权记录的维护方法是为了迎合本实施例进一步减轻服务器开销的指导思想,具体实施中也可以采用第一、第二实施例所用的授权记录维护方法。
本实施例采用文献“Improved proxy re-encryption schemes with applications to secure distributed storage”(Giuseppe Ateniese;Kevin Fu;Matthew Green;Susan Hohenberger,Feb.ACM Transactions on Information and System Security(TIS SEC),2006,Volume 9,Issue 1)提出的基于双线性映射的代理重加密算法。
参见图1,本系统的参与者包括内容拥有者A、授权代理P、内容使用者B、检索节点X和一台可信的注册/交易服务器S。A、P和B都是P2P系统中的普通节点,安装了安全的DRM客户端软件。根据P2P网络的拓扑结构,检索节点X能可能是P2P网络中的普通节点、超级节点或P2P服务器。授权代理通过P2P文件共享的方式共同维护内容使用者的授权记录,授权记录中记录已经付费的授权情况,每条记录中包括内容使用者的唯一标识、数字内容标识和添加该条记录的授权节点的签名信息。
g和Z是系统参数,它们是这样得到的:G1,G2是两个序为素数q的群,e:G1×G1→G2是一个可计算的双线性映射,对任意u,v εG1和任意整数a,b,满足e(ua vb)=e(u,v)ab。g是G1的任意生成元,Z=e(g,g)是G2的生成元。服务器S拥有私钥skS=s,公钥pkS=Zs,并把pkS公布。系统的任意用户U的客户端能够根据U在P2P网络中的唯一标识或U的硬件设备标识生成U的私钥skU=u,并得到U的公钥pkU=gu,为系统参数g的u次幂。
本实施例中重加密运算记为RE(r,c),表示用重加密密钥r对密文c进行重加密。所用的代理重加密算法涉及两种非对称加密运算:E1和E2。非对称加密E1得到的密文是可以被重加密的,例如,用服务器的公钥pkS=Zs对明文M做E1的加密运算,可以表示为E1(pkS,M),其值为二元组(gk,M×Zsk),其中k为随机数;令U为系统中的任一用户,根据U的公钥gu和S的私钥s可以得到S到U的重加密密钥rS→U=gsu,利用rS→U可以把用S的公钥加密的M的密文,即E1(pkS,M),重加密为用U的私钥能够解密的形式,重加密的结果可以用非对称加密E2(pkU,M)表示:RE(rS→U,E1(pkS,M))=E2(pkU,M)=(Zsuk,M×Zsk)=(Zuk’,M×Zk’),其中Zsuk由e(gk,gsu)计算而得,k’等于s乘以k。E2的密文不能被再用来重加密,即本实施例所用的重加密算法是不可传递的。E1和E2得到的密文都能用对应的私钥解密。例如,令E1(pkS,M)=(α,β),可以用S的私钥s解密得到M的值为β/e(α,g)s;又如,令E2(pkU,M)=(σ,γ),可以用U的私钥u解密得到M的值为γ/(σ1/u)。
本实施例对应发明内容中的方法二,总体流程参见图2:服务器S为注册的内容使用者B计算重加密密钥,并用代理密钥加密重加密密钥生成重加密密钥密文,将重加密密钥密文发送给B。S向授权代理P颁发代理资质证书和代理密钥。S将内容密钥密文封装在数字内容包中。当获得包含加密内容和内容密钥密文的数字内容包时,B向授权代理P提交授权请求,其中包含B的重加密密钥密文和内容包中的内容密钥密文。P请求S进行交易处理,S收费成功后,P用代理密钥解密重加密密钥密文,得到B的重加密密钥,然后用B的重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文。最后,P根据重加密的内容密钥密文创建数字许可证,将自己的代理资质证书和创建的数字许可证发送给B。B收到许可证后,在DRM客户端软件中根据许可证中的权利描述解密并使用数字内容。
本实施例的具体步骤为:
(1)节点注册
本实施例的节点注册流程如图9所示。在P2P网络中,参与DRM系统的节点,包括A和B,需要到服务器注册。对于内容使用者节点,服务器还要为其计算重加密密钥。以节点B为例,B登录服务器S提供的网站注册账户,设置唯一的标识IDB,密码为123。B的DRM客户端保存IDB,用IDB或B的硬件设备标识生成B的私钥skB为b,B的公钥pkB为gb,即系统参数g的b次幂,并上传公钥pkB。S根据B的公钥gb和自己的私钥s计算得到重加密密钥rS→B=gsb,用授权代理共享的代理密钥aKey对称加密重加密密钥得到重加密密钥密文EaKey(rS→B)。下一步,S生成重加密密钥密文信息RKI,其中包含IDB,EaKey(rS-B)和S对消息摘要的签名,并把RKI发送给B。最后,S在数据库中保存B的注册信息,包括IDB、和pkB。
(2)授权代理初始化
本实施例的授权代理初始化流程如图5所示。系统中的注册节点向S提出代理申请,S根据系统的代理资质标准选择P作为授权代理,并设置恰当的代理有效期。S在数据库中查找P的注册信息,在所述注册信息中补充P的代理有效期信息,更新后的P的注册信息包括P的标识IDP、P的公钥pkP和P的代理有效期。S采用非对称加密算法(例如E1Gamal算法),用P的公钥非对称加密授权代理共享的代理密钥aKey得到代理密钥密文E(pkP,aKey),给P颁发代理密钥信息APKey(P)和代理资质证书QC(P)。其中APKey(P)中包含代理密钥密文E(pkP,aKey)和S的签名信息;QC(P)中包括IDP、pkP、P的代理有效期和服务器的签名信息。P验证APKey(P)和QC(P)中S的签名后,保存APKey(P)和QC(P)。
另外,S还要把P的地址、P的代理有效期和自己的签名信息发送给P2P网络中的检索节点X,X验证S的签名后,保存P的地址和代理有效期信息。
(3)数字内容注册
本实施例的数字内容注册流程如图10所示。数字内容M的拥有者A利用DRM客户端软件随机生成内容密钥CEK,用CEK对称加密数字内容M,得到内容密文C=ECEK(M);然后A采用E1,用服务器的公钥pkS加密CEK得到内容密钥密文E1(pkS,CEK),值为(gk,CEK×Zsk),其中k为随机数,并把内容密文C、内容密钥密文E1(pkS,CEK)和内容的权利信息上传到服务器S。
S首先用私钥s解密内容密钥密文E1(pkS,CEK)得到内容密钥CEK:令E1(pkS,CEK)=(α,β),那么CEK的值为β/e(α,g)s;然后用CEK对内容密文C进行解密得到内容明文M:M=DCEK(C)=DCEK(ECEK(M))。S根据系统的内容审查规则审查M:
a)若审查不通过,则给A返回失败消息;
b)若审查通过,给M设定唯一的内容标识CID,并在数据库的资源列表中添加内容CID的信息,包括内容标识CID、内容密文C、内容密钥密文E1(pkS,CEK)、内容拥有者A的标识IDA和内容的权利信息。S将审核通过的数字内容封装,得到数字内容包,数字内容包中的信息包括CID、C、X的地址、内容的权利信息、内容密钥密文信息CKI和S对上述信息做摘要后的签名,其中CKI中包含CID、E1(pkS,CEK)和S的签名信息。之后,S给A返回数字内容注册成功消息,把内容CID的介绍信息和数字内容包公布在网站上,供用户任意下载数字内容包,一旦数字内容包进入P2P系统,就可以通过P2P文件共享的方式在系统中传播。
(4)数字内容授权
数字内容授权过程的交互情况如图11所示,流程如图12所示。
第一步:申请授权
当获得CID的数字内容包后,内容使用者B的DRM客户端软件在本地搜索CID对应的许可证,若没有搜索到对应的许可证,从内容包中提取出X的地址,并向X请求授权代理地址,X提供当前可用、且在代理有效期内的授权代理P的地址给B。
B向P申请内容CID的使用权利rights,提交的授权请求包括B从内容包中提取内容密钥密文信息CKI,B在注册时从服务器获得的重加密密钥密文信息RKI和CID。P验证S在CKI和RKI中的签名信息,验证通过后,分别从CKI和RKI中提取出E1(pkS,CEK)和EaKey(rS→B),并暂存。然后,P查看授权记录:
若授权记录中没有B当前申请的授权信息,即B之前没有对所申请授权进行过付费,P根据B的授权请求生成交易处理请求,请求S处理交易(进入下述“第二步:交易处理”),所述交易处理请求包括IDP、IDB、CID、rights以及P对上述信息做摘要后的签名;
若授权记录中有B当前申请的授权信息,即B之前已经对所申请授权进行过付费,实施流程跳过下述“第二步:交易处理”,直接进入下述“第三步:颁发证书”。
第二步:交易处理
S收到P发送的交易处理请求后,在数据库中查找P的注册信息,确认当前时间在P的代理有效期内,提取P的公钥,验证P的签名。验证通过后,S根据资源列表中保存的内容CID的权利信息向B收取相应的费用后并按比例支付佣金到P的帐户,向P返回交易处理成功消息。若收费失败或请求的权利无效,S给B返回交易处理失败消息。
S给P返回的交易处理结果消息中包括状态值Status、内容使用者的标识、内容标识CID、权利信息rights、时间戳以及S对上述信息的数字签名信息。其中交易处理成功消息中状态值Status为1,交易处理失败消息中状态值Status为0。
若收到S的交易处理失败消息,P首先验证消息时间和S的签名,然后将交易处理失败消息转发给B,此次交易以失败结束。
否则,进行下一步。
第三步:颁发证书
若收到S返回交易处理成功消息,P的DRM客户端软件验证消息时间和S的数字签名,然后在授权记录中增加一条当前的授权信息,包括IDB、CID、rights和P的签名信息。
P用私钥skP解密APKey(P)中的代理密钥密文E(pkP,aKey)得到代理密钥aKey,再用aKey对暂存的EaKey(rS→B)解密,得到重加密密钥rS→B=DaKey(EaKey(rS→B))=gsb。令E1(pkS,CEK)=(gk,CEK×Zsk)=(α,β),然后P用rS→B对暂存的E1(pkS,CEK)进行重加密计算,得到能够被B解密的内容密钥密文:RE(rS→B,E1(pkS,CEK))=E2(pkB,CEK)=(e(rS→B,α),β)=(Zsbk,CEK×Zsk),即(Zbk’,CEK×Zk’),其中k’=s×k,Zsbk=e(gk,gsb)。进一步,P提取成功消息中的CID和rights为B创建数字许可证L,L中包含IDB,CID,B获得的授权rights、B能够解密的内容密钥密文E2(pkB,CEK)和授权代理P对上述信息做摘要后的数字签名。最后P把许可证L和自己的代理资质证书QC(P)发送给B。
(5)数字内容使用
B的DRM客户端软件收到数字许可证L和QC(P)后,先验证QC(P)中S的签名和P的代理有效期,再从QC(P)中提取P的公钥,验证P在L中的签名。验证通过后,B的DRM客户端软件计算B的私钥b,用b解密L中的E2(pkB,CEK)得到CEK:令E2(pkB,CEK)=(σ,γ),CEK的值为γ/(σ1/b),然后根据L中的权利描述,用CEK解密数字内容的密文C得到数字内容的明文M供B使用。
Claims (15)
1.一种数字内容分布式授权方法,其步骤为:
1)节点注册:P2P网络中的内容拥有者节点、内容使用者节点和授权代理节点在服务器注册帐户;服务器根据所采用的代理重加密算法为注册的内容使用者节点计算重加密密钥,用授权代理共享的代理密钥加密重加密密钥得到重加密密钥密文,并保存所述重加密密钥密文;
2)授权代理初始化:服务器将代理密钥和代理资质证书发送给授权代理,并把授权代理的地址信息发送给P2P网络中的检索节点;其中代理资质证书中包含授权代理的公钥和服务器的数字签名信息;
3)数字内容注册:服务器为数字内容生成数字内容标识,然后将数字内容标识、数字内容的密文、检索节点地址、权利信息、服务器的签名信息封装数字内容包;
4)数字内容授权:内容使用者根据收到的数字内容包向授权代理提交授权请求;授权代理根据授权请求生成交易处理请求并将其发送给服务器;当内容使用者成功履行该数字内容包对应的权利信息所要求的义务,服务器向授权代理返回交易处理成功消息;
所述交易处理成功消息包含:内容使用者标识、数字内容标识、内容使用者的重加密密钥密文、数字内容的内容密钥密文、服务器的数字签名信息;
5)收到交易处理成功消息后,授权代理进行重加密操作,得到重加密的内容密钥密文;然后授权代理为内容使用者创建数字许可证,最后授权代理将数字许可证和自己的代理资质证书发送给内容使用者。
2.如权利要求1所述的方法,其特征在于所述服务器根据所采用的代理重加密算法为注册的内容使用者节点计算重加密密钥的方法为:服务器用自己的私钥和内容使用者的公钥或私钥计算所述重加密密钥。
3.如权利要求1或2所述的方法,其特征在于所述授权代理进行重加密操作的方法为:授权代理利用代理密钥对重加密密钥密文解密,得到内容使用者的重加密密钥;再用该重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文。
4.如权利要求1或2所述的方法,其特征在于所述数字内容的密文是用内容密钥加密数字内容的明文生成;所述内容密钥密文是用服务器的公钥加密内容密钥生成。
5.如权利要求1所述的方法,其特征在于所述内容使用者根据收到的数字内容包向授权代理提交授权请求的过程为:内容使用者从数字内容包中提取检索节点地址,向检索节点请求授权代理的地址;收到检索节点返回的授权代理地址后,向授权代理提交授权请求;所述授权请求中包含所述内容使用者从数字内容包中提取的数字内容标识。
6.如权利要求5所述的方法,其特征在于所述交易处理请求中包含数字内容标识和内容使用者的标识;
7.如权利要求1所述的方法,其特征在于所述数字许可证包含:内容使用者的标识、数字内容标识、重加密的内容密钥密文、授权代理的数字签名信息。
8.如权利要求1所述的方法,其特征在于内容拥有者对数字内容加密,并上传内容密文、权利信息和内容密钥密文到服务器。
9.一种数字内容分布式授权方法,其步骤为:
1)节点注册:P2P网络中的内容拥有者节点、内容使用者节点和授权代理节点在服务器注册帐户;服务器根据所采用的代理重加密算法为注册的内容使用者节点计算重加密密钥,用授权代理共享的代理密钥加密重加密密钥得到重加密密钥密文,并将所述重加密密钥密文发送给内容使用者;
2)授权代理初始化:服务器将代理密钥和代理资质证书发送给授权代理,并把授权代理的地址信息发送给P2P网络中的检索节点;其中代理资质证书中包含授权代理的公钥和服务器的数字签名信息;
3)数字内容注册:服务器为数字内容生成数字内容标识,然后将数字内容标识、数字内容的密文、内容密钥密文、检索节点地址、权利信息、服务器的签名信息封装数字内容包;
4)数字内容授权:内容使用者根据收到的数字内容包向授权代理提交授权请求;当内容使用者成功履行该数字内容包对应的权利信息所要求的义务,授权代理从所述授权请求中提取出重加密密钥密文和内容密钥密文,然后进行重加密操作,得到重加密的内容密钥密文;然后授权代理为内容使用者创建数字许可证,最后授权代理将数字许可证和自己的代理资质证书发送给内容使用者。
10.如权利要求9所述的方法,其特征在于所述服务器根据所采用的代理重加密算法为注册的内容使用者节点计算重加密密钥的方法为:服务器用自己的私钥和内容使用者的公钥或私钥计算所述重加密密钥。
11.如权利要求9或10所述的方法,其特征在于数字内容的密文是用内容密钥加密数字内容的明文生成;所述内容密钥密文是用服务器的公钥加密内容密钥生成。
12.如权利要求9所述的方法,其特征在于所述内容使用者根据收到的数字内容包向授权代理提交授权请求的过程为:内容使用者从数字内容包中提取检索节点地址,然后向检索节点请求授权代理的地址;收到检索节点返回的授权代理地址后,向授权代理提交授权请求;所述授权请求中包含所述内容使用者的重加密密钥密文、所述内容使用者从数字内容包中提取的数字内容标识和内容密钥密文。
13.如权利要求9所述的方法,其特征在于所述授权代理进行重加密操作的方法为:授权代理利用代理密钥对重加密密钥密文解密,得到内容使用者的重加密密钥;再用该重加密密钥对内容密钥密文进行重加密,得到重加密的内容密钥密文。
14.如权利要求13所述的方法,其特征在于所述数字许可证包含:内容使用者的标识、数字内容标识、重加密的内容密钥密文、授权代理的数字签名信息。
15.如权利要求11所述的方法,其特征在于内容拥有者对数字内容加密,并上传内容密文、权利信息和内容密钥密文到服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010204604XA CN101883100B (zh) | 2010-06-11 | 2010-06-11 | 一种数字内容分布式授权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010204604XA CN101883100B (zh) | 2010-06-11 | 2010-06-11 | 一种数字内容分布式授权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101883100A true CN101883100A (zh) | 2010-11-10 |
| CN101883100B CN101883100B (zh) | 2013-01-23 |
Family
ID=43054988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010204604XA Active CN101883100B (zh) | 2010-06-11 | 2010-06-11 | 一种数字内容分布式授权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101883100B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546600A (zh) * | 2011-12-20 | 2012-07-04 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
| CN102622540A (zh) * | 2011-12-15 | 2012-08-01 | 北京邮电大学 | 基于代理重加密的安全drm互操作架构 |
| CN102693386A (zh) * | 2012-05-28 | 2012-09-26 | 北京网尚数字电影院线有限公司 | 一种影视文件加密保护的方法和系统 |
| CN103442059A (zh) * | 2013-08-27 | 2013-12-11 | 华为终端有限公司 | 一种文件共享方法及装置 |
| US8873754B2 (en) | 2011-12-20 | 2014-10-28 | Huawei Technologies Co., Ltd. | Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system |
| CN105790936A (zh) * | 2016-04-28 | 2016-07-20 | 东莞市华睿电子科技有限公司 | 一种数据传输方法 |
| CN106878327A (zh) * | 2017-03-22 | 2017-06-20 | 江苏金易达供应链管理有限公司 | 面向贸易服务平台的登录方法 |
| CN107086911A (zh) * | 2017-03-31 | 2017-08-22 | 西安电子科技大学 | 一种cca安全的可委托验证的代理重加密方法 |
| CN107683488A (zh) * | 2015-04-05 | 2018-02-09 | 数字资产控股公司 | 数字资产中介电子结算平台 |
| CN109450648A (zh) * | 2018-12-27 | 2019-03-08 | 石更箭数据科技(上海)有限公司 | 密钥生成装置、数据处理设备及数据流转系统 |
| CN109831435A (zh) * | 2019-01-31 | 2019-05-31 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
| CN110381012A (zh) * | 2018-04-12 | 2019-10-25 | 万事达卡国际公司 | 用于促进加密数据的广播的方法和系统 |
| CN110688627A (zh) * | 2019-08-30 | 2020-01-14 | 华为技术有限公司 | 一种3d素材保护的方法及装置 |
| CN111314077A (zh) * | 2020-04-16 | 2020-06-19 | 丝链(常州)控股有限公司 | 一种基于代理重加密的私有数据分发方法 |
| CN111404895A (zh) * | 2020-03-06 | 2020-07-10 | 湖南智慧政务区块链科技有限公司 | 一种共享数据可读权限分配与回收方法、设备及存储介质 |
| CN114944915A (zh) * | 2022-06-10 | 2022-08-26 | 敏于行(北京)科技有限公司 | 非交互式动态代理的门限代理重加密方法及相关装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009550A (zh) * | 2006-01-26 | 2007-08-01 | 中国科学院计算技术研究所 | 用于数字版权管理的数据传输系统 |
| CN101187966A (zh) * | 2007-12-26 | 2008-05-28 | 北大方正集团有限公司 | 数字版权保护方法及系统 |
| US20090313353A1 (en) * | 2007-10-15 | 2009-12-17 | University Of Southern California | Copyrighted content delivery over p2p file-sharing networks |
-
2010
- 2010-06-11 CN CN201010204604XA patent/CN101883100B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009550A (zh) * | 2006-01-26 | 2007-08-01 | 中国科学院计算技术研究所 | 用于数字版权管理的数据传输系统 |
| US20090313353A1 (en) * | 2007-10-15 | 2009-12-17 | University Of Southern California | Copyrighted content delivery over p2p file-sharing networks |
| CN101187966A (zh) * | 2007-12-26 | 2008-05-28 | 北大方正集团有限公司 | 数字版权保护方法及系统 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622540B (zh) * | 2011-12-15 | 2018-08-24 | 北京邮电大学 | 基于代理重加密的安全drm互操作方法 |
| CN102622540A (zh) * | 2011-12-15 | 2012-08-01 | 北京邮电大学 | 基于代理重加密的安全drm互操作架构 |
| CN102546600B (zh) * | 2011-12-20 | 2014-12-03 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
| WO2013091348A1 (zh) * | 2011-12-20 | 2013-06-27 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
| CN102546600A (zh) * | 2011-12-20 | 2012-07-04 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
| US8873754B2 (en) | 2011-12-20 | 2014-10-28 | Huawei Technologies Co., Ltd. | Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system |
| CN102693386A (zh) * | 2012-05-28 | 2012-09-26 | 北京网尚数字电影院线有限公司 | 一种影视文件加密保护的方法和系统 |
| CN103442059A (zh) * | 2013-08-27 | 2013-12-11 | 华为终端有限公司 | 一种文件共享方法及装置 |
| US9825924B2 (en) | 2013-08-27 | 2017-11-21 | Huawei Device (Dongguan) Co., Ltd. | File sharing method and apparatus |
| CN107683488A (zh) * | 2015-04-05 | 2018-02-09 | 数字资产控股公司 | 数字资产中介电子结算平台 |
| CN107683488B (zh) * | 2015-04-05 | 2023-09-05 | 数字资产(瑞士)股份有限公司 | 数字资产中介电子结算平台 |
| CN105790936A (zh) * | 2016-04-28 | 2016-07-20 | 东莞市华睿电子科技有限公司 | 一种数据传输方法 |
| CN106878327A (zh) * | 2017-03-22 | 2017-06-20 | 江苏金易达供应链管理有限公司 | 面向贸易服务平台的登录方法 |
| CN107086911A (zh) * | 2017-03-31 | 2017-08-22 | 西安电子科技大学 | 一种cca安全的可委托验证的代理重加密方法 |
| CN107086911B (zh) * | 2017-03-31 | 2020-04-07 | 西安电子科技大学 | 一种cca安全的可委托验证的代理重加密方法 |
| CN110381012A (zh) * | 2018-04-12 | 2019-10-25 | 万事达卡国际公司 | 用于促进加密数据的广播的方法和系统 |
| CN110381012B (zh) * | 2018-04-12 | 2022-08-12 | 万事达卡国际公司 | 用于促进加密数据的广播的方法和系统 |
| CN109450648B (zh) * | 2018-12-27 | 2022-01-28 | 石更箭数据科技(上海)有限公司 | 密钥生成装置、数据处理设备及数据流转系统 |
| CN109450648A (zh) * | 2018-12-27 | 2019-03-08 | 石更箭数据科技(上海)有限公司 | 密钥生成装置、数据处理设备及数据流转系统 |
| CN109831435A (zh) * | 2019-01-31 | 2019-05-31 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
| CN110688627A (zh) * | 2019-08-30 | 2020-01-14 | 华为技术有限公司 | 一种3d素材保护的方法及装置 |
| CN110688627B (zh) * | 2019-08-30 | 2023-11-10 | 华为技术有限公司 | 一种3d素材保护的方法及装置 |
| CN111404895A (zh) * | 2020-03-06 | 2020-07-10 | 湖南智慧政务区块链科技有限公司 | 一种共享数据可读权限分配与回收方法、设备及存储介质 |
| CN111314077B (zh) * | 2020-04-16 | 2022-06-07 | 丝链(常州)控股有限公司 | 一种基于代理重加密的私有数据分发方法 |
| CN111314077A (zh) * | 2020-04-16 | 2020-06-19 | 丝链(常州)控股有限公司 | 一种基于代理重加密的私有数据分发方法 |
| CN114944915A (zh) * | 2022-06-10 | 2022-08-26 | 敏于行(北京)科技有限公司 | 非交互式动态代理的门限代理重加密方法及相关装置 |
| CN114944915B (zh) * | 2022-06-10 | 2023-03-10 | 敏于行(北京)科技有限公司 | 非交互式动态代理的门限代理重加密方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101883100B (zh) | 2013-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101883100B (zh) | 一种数字内容分布式授权方法 | |
| CN109144961B (zh) | 授权文件共享方法及装置 | |
| Wang et al. | A blockchain-based framework for data sharing with fine-grained access control in decentralized storage systems | |
| CN109845220B (zh) | 用于提供区块链参与者身份绑定的方法和装置 | |
| EP3404891B1 (en) | Method and system for distributing digital content in peer-to-peer network | |
| WO2022199290A1 (zh) | 多方安全计算 | |
| EP2494486B1 (en) | System for protecting an encrypted information unit | |
| KR100895462B1 (ko) | 디지털 저작권 관리 시스템에서의 콘텐츠 유통 관리 방법 | |
| CN101535948A (zh) | 保护分布式应用程序信息传递 | |
| US20220407701A1 (en) | Processing of requests to control information stored at multiple servers | |
| JP2007226470A (ja) | 権限管理サーバ、権限管理方法、権限管理プログラム | |
| Gaber et al. | Privdrm: A privacy-preserving secure digital right management system | |
| Guo et al. | Using blockchain to control access to cloud data | |
| Zhang et al. | Cerberus: Privacy-preserving computation in edge computing | |
| Ahmed et al. | Toward fine‐grained access control and privacy protection for video sharing in media convergence environment | |
| JP7475492B2 (ja) | 機密情報を保護するためのマルチパーティ計算およびk-匿名性技法の使用 | |
| Ramachandran et al. | Secure and efficient data forwarding in untrusted cloud environment | |
| Noh et al. | A Novel User Collusion‐Resistant Decentralized Multi‐Authority Attribute‐Based Encryption Scheme Using the Deposit on a Blockchain | |
| CN111314059A (zh) | 账户权限代理的处理方法、装置、设备及可读存储介质 | |
| KR100989371B1 (ko) | 개인 홈 도메인을 위한 디지털 저작권 관리방법 | |
| Hahn et al. | Verifiable outsourced decryption of encrypted data from heterogeneous trust networks | |
| Keerthi et al. | Code Certificate a verification technique for secure data transmission | |
| Wu et al. | Verified CSAC-based CP-ABE access control of cloud storage in SWIM | |
| Bkakria et al. | Secure and robust cyber security threat information sharing | |
| Davidson et al. | Content sharing schemes in DRM systems with enhanced performance and privacy preservation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: GOODOING HOLDINGS LTD. Free format text: FORMER OWNER: BEIJING UNIV. Effective date: 20140901 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100871 HAIDIAN, BEIJING TO: 100080 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140901 Address after: 100080, fangzheng building, No. 298, Fu Cheng Road, Beijing, Haidian District 304 Patentee after: Industrial Road Holdings Limited Address before: 100871 Haidian District the Summer Palace Road,, No. 5, Peking University Patentee before: Peking University |
|
| ASS | Succession or assignment of patent right |
Owner name: NANJING PEKING UNIVERSITY GOODING SOFTWARE TECHNOL Free format text: FORMER OWNER: GOODOING HOLDINGS LTD. Effective date: 20150609 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150609 Address after: 210012, Jiangsu, Nanjing province Yuhuatai District 17 tulip Road, Nanjing (Yuhua) International Software Outsourcing Industry Park, C building, 6 floor Patentee after: Nanjing Peking University Gooding Innovation Co., Ltd. Address before: 100080, fangzheng building, No. 298, Fu Cheng Road, Beijing, Haidian District 304 Patentee before: Industrial Road Holdings Limited |