CN105553662A - 基于标识密码的动态数字版权保护方法和系统 - Google Patents
基于标识密码的动态数字版权保护方法和系统 Download PDFInfo
- Publication number
- CN105553662A CN105553662A CN201410594569.5A CN201410594569A CN105553662A CN 105553662 A CN105553662 A CN 105553662A CN 201410594569 A CN201410594569 A CN 201410594569A CN 105553662 A CN105553662 A CN 105553662A
- Authority
- CN
- China
- Prior art keywords
- password
- user
- private key
- usbkey
- key pair
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种基于标识密码的动态数字版权保护方法和系统。该方法主要包括:KGC生成用户的标识密码公私钥对并设置到USBKEY中;客户端根据用户输入的个人识别密码PIN口令激活USBKEY,获取USBKEY中设置的用户的标识密码私钥;利用用户的标识密码私钥对报文实施数字签名操作,得到签名信息,将报文和签名信息传输到版权管理平台服务器;版权管理平台服务器通过KGC得到用户的标识密码公钥,对签名信息进行验签操作,验签通过后,再根据用户的权限在线处理媒体文件。本发明实施例通过利用用户的标识密码公私钥对进行动态数字版权安全保护的身份认证和数据加密操作,客户端不采用数字证书,避免了繁琐的数字证书管理问题,提高了系统运行速度。
Description
技术领域
本发明涉及数字版权保护技术领域,尤其涉及一种基于标识密码的动态数字版权保护方法和系统。
背景技术
DRM(DigitalRightManagement,数字版权保护)是目前对网络中传播的数字作品进行版权保护的主要手段。DRM是采取信息安全技术手段在内的系统解决方案,在保证合法的、具有权限的用户对数字信息(如数字图像、音频、视频等)正常使用的同时,保护数字信息创作者和拥有者的版权信息,根据版权信息获得合法收益,并在版权受到侵害时能够鉴别数字信息的版权归属及版权信息的真伪。
目前,现有的DRM安全方案主要基于PKI(PublicKeyInfrastructure,公钥基础设施)技术和数字证书,这些现有的DRM安全方案的主要问题是:数字证书管理繁琐,系统运营成本高;系统负荷重,特别在用户数量庞大的情况下,直接导致系统运行速度缓慢,影响用户的收视效果。
现有技术中的一种密码体制为基于身份的公钥密码体制,其主要特性是在这一密码体制下,公钥可以为任意字符串。于是我们可以将某一实体的身份信息直接作为其公钥因子,从而绕开了公钥和其持有者身份的绑定问题,这会极大地减化了传统PKI中CA(CertificationAuthority,认证管理机构)对用户证书进行的复杂管理。虽然公钥密码体制中提出了基于身份加密的思想,但是,目前还没有一种有效、可证安全的基于身份的数字版权保护方案。
发明内容
本发明的实施例提供了一种基于标识密码的动态数字版权保护方法和系统,实现了利用用户的身份信息进行动态数字版权安全保护的身份认证和数据加密操作。
本发明提供了如下方案:
一种基于标识密码的动态数字版权保护方法,包括:
密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;
所述客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将所述报文和签名信息传输到版权管理平台服务器;
所述版权管理平台服务器根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
所述的密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中,包括:
用户的客户端经过安全通道向版权管理平台服务器发送携带用户的身份标识符ID的标识密码公私钥对申请,所述版权管理平台服务器对用户的身份信息进行审核,审核通过后,将用户申请日期、USBKEY序列号及所述携带用户的身份标识符ID的标识密码公私钥对申请发送到KGC;
所述KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到所述用户的标识密码私钥;
所述KGC将用户的标识密钥公私钥对通过安全通道传输到版权管理平台服务器,并将用户的USBKEY序列号、用户申请日期,以及为用户的USBKEY分配的媒体下载和播放权限进行存储;
所述版权管理平台服务器经过安全通道将用户的标识密码公私钥对下载并安装到内置有随机数发生器的USBKEY中。
所述的KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到用户的标识密码私钥,包括:
所述KGC中的系统参数生成模块生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,ê:G1×G1→G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法:H1,H2,H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1,G2,ê,H1,H2,H3,H4,P,sP)公开;
所述KGC中的用户标识密码密钥生成模块利用用户的唯一身份标识ID、USBKEY序列号、用户申请日期以及密钥有效期拼接成用户的公钥字串PKS,则生成所述用户的标识密码公钥为Q=H1(PKS),在加密机中计算得到用户的标识密码私钥为dID=sQ。
所述的将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥,包括:
所述USBKEY中的标识密码密钥管理子模块将用户的标识密钥公私钥对存储在加密保护的EPROM单元中;
在用户登录客户端,USBKEY的硬件设备管理子模块中的USB识别控制单元识别出USBKEY插入客户端操作后,硬件设备管理子模块中的PIN码鉴别CPU单元判断用户输入的PIN码口令次数是否超过规定次数,若是,结束;若否,继续下一步;
待用户输入PIN码口令后,USB识别控制单元控制客户端的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元判断输入的PIN码口令是否正确,若是,继续下一步;若否,提示用户PIN码口令错误;
所述客户端判断USBKEY中的EPROM单元中是否存在有效的有效期内的标识密码公私钥对,如若存在,则提取所述EPROM单元中的标识密码公私钥对。
所述的客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将报文和签名信息传输到版权管理平台服务器,包括:
所述客户端利用所述USBKEY中的随机数发生器产生随机数序列,将随机数序列、所述用户的标识密码公钥a,以及媒体播放或下载的相关信息打包成报文m,所述客户端通过所述USBKEY中的标识密码运算子模块利用所述用户的标识密码私钥对所述报文m实施数字签名操作得到签名信息,设k∈RZq *;T=ê(sQ,P)k;h=H2(m,T);S=(k-h)sQ,针对m的签名为(h,S);
所述客户端根据所述USBKEY中的算法管理子模块选择的加密算法,通过所述USBKEY中的标识密码运算子模块利用接收方的标识密码公钥Q对所述报文m加密得到密文C,通过安全通道将所述签名信息和密文C一同发送至版权管理平台服务器。
所述的版权管理平台服务器根据设定的密钥机制通过KGC得到用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,包括:
所述版权管理平台服务器接收到所述签名信息和密文C后,利用自己的私钥解密所述密文C恢复出报文m;所述版权管理平台服务器从报文m中提取用户的标识密码公钥a,判断用户的标识密码公钥a在有效期内后,将报文和签名信息转发到KGC;
所述KGC获得所述用户的唯一身份标识ID,根据所述ID查询数据库得到所述用户的USBKEY序列号、用户申请日期和密钥更新周期,通过所述用户的USBKEY序列号、用户申请日期和密钥更新周期计算得到所述用户的标识密码公钥b,比较所述标识密码公钥a和所述标识密码公钥b是否一致;
当所述标识密码公钥a和所述标识密码公钥b一致,并且所述标识密码公钥a在有效期内,则所述版权管理平台服务器利用所述标识密码公钥a对所接收的签名信息进行验签操作,计算T=ê(S,P)ê(Q,sP)h,判断h是否等于H2(m,T),若相等,则验签通过,若不相等,则验签失败。
所述的方法还包括:
所述用户的客户端向版权管理平台服务器发送标识密码公私钥对更新请求或作废请求后,所述版权管理平台服务器对用户的身份信息进行审核,当审核通过后,通过所述用户对随机数序列进行签名操作,所述版权管理平台服务器对签名进行验签操作,验签通过后,所述版权管理平台服务器向KGC申请更新标识密码公私钥对或撤销标识密码公私钥对;
所述KGC更新所述用户的标识密码公私钥对,并将更新后的标识密码公私钥对通过版权管理平台服务器发送至USBKEY;或者,所述KGC撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY;
所述的USBKEY通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
一种基于标识密码的动态数字版权保护系统,包括:KGC、客户端和版权管理平台服务器;
所述的KGC,用于生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
所述的客户端,用于置入所述USBKEY,根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,将所述报文和签名信息传输到版权管理平台服务器;
所述的版权管理平台服务器,用于根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
所述的KGC包括:系统参数生成模块、用户标识密码密钥生成模块和验签模块
所述的系统参数生成模块,用于生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,ê:G1×G1→G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法:H1,H2,H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1,G2,ê,H1,H2,H3,H4,P,sP)公开;
所述的用户标识密码密钥生成模块,用于利用用户的唯一身份标识ID、USBKEY序列号、用户申请日期以及密钥有效期拼接成用户的公钥字串PKS,则生成所述用户的标识密码公钥为Q=H1(PKS),在加密机中计算得到用户的标识密码私钥为dID=sQ;
所述的验签模块,用于获得所述用户的唯一身份标识ID,根据所述ID查询数据库得到所述用户的USBKEY序列号、用户申请日期和密钥更新周期,通过所述用户的USBKEY序列号、用户申请日期和密钥更新周期计算得到所述用户的标识密码公钥b,比较从报文m中提取的用户的标识密码公钥a和所述标识密码公钥b是否一致。
所述的USBKEY包括:标识密码密钥管理子模块、硬件设备管理子模块、算法管理子模块和标识密码运算子模块;
所述的标识密码密钥管理子模块,用于包括密钥下载安装单元,密钥使用更新单元和密钥存储撤销单元,所述的密钥下载安装单元用于将用户的标识密钥公私钥对存储在加密保护的硬件设备管理子模块中的EPROM单元中;
所述的硬件设备管理子模块,用于包括USB识别控制单元、PIN码鉴别CPU单元和EPROM单元,在用户登录客户端,所述USB识别控制单元识别出USBKEY插入客户端操作后,所述PIN码鉴别CPU单元判断用户输入的PIN码口令次数是否超过规定次数,若是,结束;若否,继续下一步;待用户输入PIN码口令后,USB识别控制单元控制客户端的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元判断输入的PIN码口令是否正确,若是,继续下一步;若否,提示用户PIN码口令错误;
所述的算法管理子模块,用于包括随机数发生器、加密算法选择单元和算法库管理单元,所述随机数发生器用于产生随机数序列,所述算法库管理单元用于存储各种加密算法,所述加密算法选择单元用于选择对报文进行加密的加密算法;
所述的标识密码运算子模块,用于包括数据加密实现单元、数据解密实现单元、数据签名实现单元和数据验签实现单元,所述数据签名实现单元用于利用用户的标识密码私钥对报文m实施数字签名操作得到签名信息,设k∈RZq *;T=ê(sQ,P)k;h=H2(m,T);S=(k-h)sQ,针对m的签名为(h,S);所述的数据加密实现单元用于根据所述USBKEY中的算法管理子模块选择的加密算法,利用接收方的标识密码公钥Q对所述报文m加密得到密文C。
所述的客户端,用于判断USBKEY中的EPROM单元中是否存在有效的有效期内的标识密码公私钥对,如若存在,则提取所述EPROM单元中的标识密码公私钥对;将随机数序列、所述用户的标识密码公钥a,以及媒体播放或下载的相关信息打包成报文m;通过安全通道将所述签名信息和密文C一同发送至版权管理平台服务器。
所述的版权管理平台服务器,用于接收到客户端发送过来的携带用户的身份标识符ID的标识密码公私钥对申请后,用户的身份信息进行审核,审核通过后,将用户申请日期、USBKEY序列号及所述携带用户的身份标识符ID的标识密码公私钥对申请发送到KGC;经过安全通道将用户的标识密码公私钥对下载并安装到内置有随机数发生器的USBKEY中;接收到签名信息和密文C后,利用自己的私钥解密所述密文C恢复出报文m,从报文m中提取用户的标识密码公钥a,判断用户的标识密码公钥a在有效期内后,将报文m和签名信息转发到KGC;利用用户的标识密码公钥a对所接收的签名信息进行验签操作,计算T=ê(S,P)ê(Q,sP)h,判断h是否等于H2(m,T),若相等,则验签通过,若不相等,则验签失败;根据所述用户的权限在线处理媒体文件。
所述的客户端,用于向版权管理平台服务器发送标识密码公私钥对更新请求或作废请求后;
所述的版权管理平台服务器,用于对用户的身份信息进行审核,当审核通过后,通过所述用户对随机数序列进行签名操作,对签名进行验签操作,验签通过后,向KGC申请更新标识密码公私钥对或撤销标识密码公私钥对;
所述的KGC,用于通过更新所述用户的标识密码公私钥对,并将更新后的标识密码公私钥对通过版权管理平台服务器发送至USBKEY;或者,撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY;
所述的USBKEY,用于通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过利用用户的唯一标识作为公钥字串因子,生成用户的标识密码公私钥对,进行动态数字版权安全保护的身份认证和数据加密操作,客户端不采用数字证书,避免了繁琐的数字证书管理问题,系统运营成本降低,系统负荷减轻,提高了系统运行速度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于标识密码的动态数字版权保护方法的流程图。
图2为图1所示基于标识密码的动态数字版权保护方法涉及的系统架构图。
图3为图1所示基于标识密码的动态数字版权保护方法所采用标识密码算法的模块组成框图。
图4为图1所示基于标识密码的动态数字版权保护方法中标识密码USBKEY的组成框图。
图5为图1所示基于标识密码的动态数字版权保护方法中实现的在线播放或下载的流程图。
图6为图1所示基于标识密码的动态数字版权保护方法中为用户颁发标识密码公私钥对的流程图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
本发明实施例提供了一种基于标识密码的动态数字版权保护方法,利用系统中用户的唯一标识ID作为公钥字串因子,生成用户的标识密码公私钥对,进行动态数字版权安全保护的身份认证和数据加密操作,不采用数字证书的概念。
本发明提供了一种基于标识密码的动态数字版权保护方法,包括如下步骤:
步骤(1)、KGC(KeyGenerationCenter,密钥生成中心)通过安全通道将用户标识密码公私钥对下载到内置有随机数发生器的USBKEY(智能密码钥匙)中;
步骤(2)、当用户登录时,在USBKEY置入客户端后,根据输入的PIN(PersonalIdentificationNumber,个人识别密码)码口令激活USBKEY,进而获取USBKEY内的用户标识密码私钥,USBKEY内的随机数发生器产生随机数序列,利用该私钥对包含随机数序列的报文实施数字签名操作,得到签名信息;
步骤(3)、客户端将报文和签名信息传输到服务器端;
步骤(4)、服务器根据数据库里存储的相关信息以及设定的密钥机制得到用户标识密码公钥,然后利用该用户标识密码公钥对所接收的签名信息进行验签操作,验签通过后再根据用户权限在线播放或在线下载媒体作品文件。
在本发明的一个实施例中,所述步骤(1)具体包括:
(11)用户利用其注册时系统自动生成的唯一身份标识ID作为密钥要素,向版权管理平台服务器申请标识密码公私钥对;
(12)版权管理平台服务器对用户的身份进行审核,审核通过后,在电脑中置入空白USBKEY,将用户申请日期、USBKEY序列号、以及用户标识密码公私钥对申请等相关信息传输到KGC;
(13)KGC根据接收到的信息以及系统设定好的密钥机制,生成用户的标识密码公私钥对,传输给版权管理平台服务器,并将用户申请日期、USBKey序列号和设定的用户权限存储至数据库,版权管理平台服务器将该公私钥对下载并安装到USBKEY中,发放给所有者或消费者。
在本发明的另一实施例中,步骤(2)中所述的PIN码具体为:(21)智能密码钥匙USBKey出厂时,需要下载COS(CardOperatingSystem,卡操作系统)和格式化,在格式化时可以设定初始PIN码(如“11111111”)和PIN码重试次数;(22)用户拿到包含自己的标识密码公私钥对的USBKEY时,可以通过管理工具重置PIN码;(23)在用户登录并将智能密码钥匙置入客户端后,当输入的PIN码口令次数未超过PIN码重试次数时,输入PIN码口令,当输入的PIN码口令与智能密码钥匙的PIN码相同时,激活智能密码钥匙。
在本发明的再一实施例中,所述标识密码公私钥对的密钥更新机制为密钥更新的周期,具体可设定为“月”、“年”、“三年”等时间有效期,如若设定密钥更新周期为“年”,用户申请标识密码的日期为2014年5月4日,则KGC为其生成的标识密码公私钥对在2014年5月4日到2015年5月3日之间有效。
在本发明的又一实施例中,所述的智能密码钥匙,其密钥更新分为两种情况:(31)用户到期续费的密钥更新,可使用USBKEY中已有标识密码公私钥对作为身份认证,申请新一期的密钥对。(32)USBKEY损坏或丢失,则按权利要求2的步骤,使用一个新空白USBKEY重新下载用户的标识密码公私钥对,并更新数据库中保存的USBKEY序列号信息。
在本发明的再又一实施例中,所述的标识密码算法可以采用国际上公开的安全算法,或者是国家密码管理局未公开的SM9算法。
通过以下的描述并结合后边第(六)部分的附图,本发明将变得更加清晰,这些附图用于解释本发明的实施例。
参考图1和图2,本实施例基于标识密码的动态数字版权保护方法包括如下步骤:
步骤S1,KGC210通过安全通道将用户标识密码公私钥对下载到内置有随机数发生器的USBKEY500中,转步骤S2;
步骤S2,当用户420登录时,将USBKEY500置入客户端(用户PC机)410后,根据输入的PIN码口令激活USBKEY500,进而获取USBKEY500内的用户标识密码私钥,USBKEY500中的随机数发生器533产生随机数序列,利用用户标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,转步骤S3;
步骤S3,客户端410将报文和签名信息传输到版权管理平台服务器240,转步骤S4;
步骤S4,版权管理平台服务器240将报文和签名信息转发到KGC210,KGC210根据数据库220里存储的相关信息以及设定的密钥机制得到用户公钥,然后利用用户公钥对所接收的签名信息进行验签操作,验签通过后再根据用户权限在线播放或在线下载媒体作品文件。
标识密码算法(IBC)100包括系统参数生成模块(Setup)110,用户标识密码密钥生成模块(Extract)120,加密模块(Encrypt)130,解密模块(Decrypt)140,签名模块(Signature)150和验签模块(Verify)160。
Setup110的主要步骤为:生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,ê:G1×G1→G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法:H1,H2,H3,和H4,产生域上随机的大数s作为系统主密钥,如图2所示,s秘密存储在用户密钥管理系统200的加密机230中,从不出加密机230。将(E,G1,G2,ê,H1,H2,H3,H4,P,sP)公开。
Extract120实现计算用户的标识公私钥对,步骤为:通过用户的唯一身份标识ID、用户申请日期、标识密码USBKEY序列号以及密钥有效期拼接成用户的公钥字串PKS(PublicKeyString),则用户标识密码公钥Q=H1(PKS);用户标识密码私钥dID=sQ。
Encrypt130实现利用接收方的标识密码公钥Q对报文m加密得到密文C,步骤为:σ∈R{0,1}*,为一随机数;r=H3(σ,m);gID=ê(Q,sP);密文C=(U,V,W)=(rP,σ⊕H2((gID)r),m⊕H4(σ))。
Decrypt140即是信息接收方利用自己的私钥解密密文C恢复出报文m,步骤为:σ=V⊕H2(ê(sQ,U));m=W⊕H4(σ));r=H3(σ,m);如果U=rP,返回报文m,否则返回错误。
标识密码的签名验签算法的方案如下:
Signature150实现信息发送方利用自己的标识密码私钥对报文消息m进行数字签名,步骤为:k∈RZq *;T=ê(sQ,P)k;h=H2(m,T);S=(k-h)sQ,针对m的签名为(h,S)。
Verify160实现利用签名者的公钥对签名的信息进行验签,步骤为:T=ê(S,P)ê(Q,sP)h;判断h是否等于H2(m,T),若相等,验签通过,若不等,则验签失败。
如图2所示,密钥生成中心KGC210包含标识密码算法IBC100的全部六个模块,其中Extract120在加密机230内进行。USBKEY500只包含IBC100的Encrypt130、Decrypt140、Signature150、和Verify160四个模块,如图4所示,这四个模块分别对应USBKEY500中的标识密码运算子模块540中的数字加密实现单元541、数字解密实现单元542、数据签名实现单元543和数据验签实现单元544。
密钥更新机制即为密钥更新的周期,具体可设定为“月”、“年”、“三年”等时间有效期。现举例说明,如若设定密钥更新周期为“年”,版权管理平台服务器240为用户“张三”分配的唯一标识ID为:1101009082467,申请标识密码的日期为2014年5月4日,为其分配的USBKEY500的唯一序列号为:6147538699,则该用户包含唯一标识ID的公钥字串PKS(PublicKeyString)为:1101009082467||6147538699||20140504||20150503,然后通过Extract120在加密机230中计算得到用户的标识密码私钥,用户标识密码私钥存储在USBKEY500当中。
如图4所示,所述USBKEY500包括硬件设备管理子模块510、标识密码密钥管理子模块520、算法管理子模块530和标识密码运算子模块540。下面对USBKEY500内的各组成部分进行详细说明。
所述硬件设备管理子模块510包括PIN码鉴别CPU单元511、USB识别控制单元512、和加密保护的EPROM513。所述USB识别控制单元512用于识别USBKEY500插入或拔出客户端(用户PC机)410的操作,在识别出USBKEY500插入操作时控制客户端410的CPU(CentralProcessingUnit,中央处理器)读取用户输入的PIN码口令。所述PIN码鉴别CPU单元511用于判断CPU读取的PIN码口令的正误以及判断输入PIN码的次数。所述EPROM单元513用于存储用户密钥等秘密数据,对该EPROM单元513的读写操作通过程序实现,用户无法直接读取,其中用户标识密码私钥不可导出。
所述标识密码密钥管理子模块520用于将KGC210计算生成的用户标识密钥公私钥对存储在加密保护的EPROM单元;密钥分为对称密钥和非对称密钥,并且均有有效期(密钥不能无限期使用,因为密钥使用时间越长,它泄露的机会就越大,引起的损失将越大)。在密钥有效期内,用户利用标识密码公私钥对中的标识密码公钥加密报文,接收方利用标识密码私钥解密恢复出报文,当密钥有效期满时,利用EPROM单元的标识密码公私钥对进行身份认证,重新通过版权管理平台服务器230向KGC210申请新一期的标识密码公私钥对,根据重新生成的标识密码公私钥对更新密钥。具体地,所述标识密码密钥管理子模块520包括密钥下载安装单元521、密钥使用更新单元522、以及密钥存储撤销单元523。密钥下载安装单元521用于将KGC210计算生成的用户标识密码公私钥对存储在加密保护的EPROM单元513中;密钥使用更新单元522用于读取EPROM单元513中的标识密码公私钥对以及更新失效的标识密码公私钥对;密钥存储撤销单元523用于将生成的标识密码公私钥对保存到EPROM单元513中或删除EPROM单元513中的标识密码公私钥对。
所述算法管理子模块530用于对每个算法标注一个ID进而存储和识别各个算法,在各个算法中选择进行加密的算法。其中,算法有ECC和标识密码IBC等非对称密码算法,3DES、RC6、AES、SM1和SMS4等对称密钥算法,SHA-1、MD5和SM3等杂凑哈希算法,标注ID进行算法存储的方式能实现算法的合理存储,更好地解决USBKEY空间存储问题。具体地,所述算法管理子模块530包括算法库管理单元531、加密算法选择单元532、以及随机数发生器533。算法库管理单元531负责管理非对称密码算法、对称密钥算法、杂凑哈希算法;加密算法选择单元532负责根据任务要求调度每个算法;随机数发生器533负责产生随机数序列。
所述标识密码运算子模块540用于根据算法管理子模块530选择的加密算法进行数据的加密签名操作,并根据算法管理子模块530选择的加密算法进行数据的解密验签操作。具体地,所述标识密码运算子模块540包括数据加密实现单元541、数据解密实现单元542、数据签名实现单元543、以及数字验签实现单元544。数据加密实现单元541负责Encrypt130加密模块的运算;数据解密单元542负责Decrypt140解密模块的运算;数据签名实现单元543负责Signature150签名模块的运算;数字验签实现单元544负责Verify160验签模块的运算。
参照图4,加密机230与USBKEY500在功能上仅有微小变动,只要将图4中的PIN码鉴别CPU单元511去掉,即为加密机230的功能模块图,另外一个不同点就是:针对标识密码密钥管理子模块,USBKEY500管理的是用户标识密码公私钥对,而加密机230管理的是系统主密钥,其他二者在功能上是雷同的,这里不再赘述。
如图5,并结合图2和图4,所述步骤S2具体为:
步骤S21,在用户登录后,USBKEY500的硬件设备管理子模块510的USB识别控制单元512识别出USBKEY500插入客户端(用户PC机)410操作时,PIN码鉴别CPU单元511判断输入的PIN码口令次数是否超过规定次数,若是,结束(封锁用户口令,防止了非本人使用),若否,继续下一步;
步骤S22,待用户输入PIN码口令后,USB识别控制单元512控制客户端410的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元511判断输入的PIN码口令是否正确,若是,继续下一步,若否,转步骤S21;
步骤S23,客户端410初步判断USBKEY500中是否存在有效的标识密码公私钥对,如若存在,判断标识密码公私钥对是否在有效期内,如若存在有效期内的标识密码公私钥对,继续下一步,若否,结束。
步骤S24,USBKEY500的随机数发生器533产生随机数序列,客户端410将随机数序列、存储在EPROM单元513中的标识密码公钥,以及媒体播放或下载的相关信息打包成报文,利用数据签名实现单元543和EPROM单元513中的用户标识密码私钥,对该报文实施数字签名操作得到签名信息,客户端410将签名信息和报文一同发送至服务器端,继续下一步。
较佳的,客户端和服务器端的通讯可以采用单向SSL(SecureSocketsLayer,安全套接层)的方式,即服务器端安装有服务器证书,而客户端采用标识密码公私钥对,不用数字证书,这种PKI+IBC的融合机制,既发挥了IBC轻量级密码的优势,同时也能保证签名信息和报文以密文方式在互联网上传输,最大限度地保证了网络安全。
步骤S25,服务器端(版权管理平台服务器240)接收到签名信息和报文后,提取报文中的用户的标识密码公钥a,判断标识密码公钥a是否在有效期内,若在有效期内,则进而获得系统为用户分配的唯一身份标识,通过查询后台数据库220,得到为用户颁发的USBKEY500的唯一序列号,用户申请日期,以及系统设定的密钥更新周期,通过这些拼接得到用户的标识密码公钥b,比较标识密码公钥a和标识密码公钥b是否一致,如若标识密码公钥a与标识密码公钥b相一致,并在有效期内,则标识密码公钥a有效,继续下一步,若否,结束。
步骤S26,版权管理平台服务器240提取报文和签名信息,通过步骤S25得到的有效标识密码公钥a,利用数据验签实现单元544进行验签操作,如若验签通过,继续下一步,若否,结束。
步骤S27,查询数据库,判断用户是否有在线播放或下载媒体文件的权限,若是,继续下一步,若否,结束。
步骤S28,服务器端允许用户在线播放或下载媒体文件。
由上可以看出,当用户在线播放或下载媒体文件时,采用PIN码口令和标识密码公私钥对双重认证用户的身份,实现了身份认证的高度可信性,采用随机数发生器产生随机数序列,每次用户的身份认证的随机数序列均不相同,实现了身份认证的动态性。
在本实施例中,用户标识密码公私钥对是由用户密钥管理系统200颁发的。如图2所示,用户密钥管理系统200包括KGC210、数据库220、加密机230、以及版权管理平台服务器240,则如图6所示,所述基于标识密码的动态数字版权保护方法还包括以下步骤:
步骤S31:用户通过安全的方式将用户注册时系统自动生成的唯一身份标识符作为密钥要素,向版权管理平台服务器240申请标识密码公私钥对,版权管理平台服务器240对用户的身份信息进行审核,审核通过后,将用户的身份标识符、USBKEY序列号及标识密码公私钥对申请等相关信息发送到KGC210。
步骤S32:KGC210根据设定的密钥机制、用户的身份标识符、USBKEY序列号和申请日期得到用户的标识密码公钥,然后根据KGC210的系统公开参数和存储在加密机230中的系统主密钥在加密机230中计算得到用户标识密码私钥,并将该标识密钥公私钥对通过安全通道传输到版权管理平台服务器240,并将用户USBKEY序列号、申请日期以及为其分配的媒体下载和播放权限保存或更新(若用户首次申请为保存;若用户因为USBKEY损坏或丢失,则为更新)到数据库220中。
步骤S33:版权管理平台服务器240将用户的标识密码公私钥对下载并安装到用户的USBKEY500中。
由上可以看出,版权管理平台服务器240负责审核用户的身份,KGC210负责签发用户标识密码公私钥对。
另外,所述基于标识密码的动态数字版权保护方法还包括步骤:
步骤S101,当用户向版权管理平台服务器240发送标识密码公私钥对更新请求或作废请求后,版权管理平台服务器240对用户的身份信息进行审核,当审核通过后,通过用户对随机数序列进行签名操作,版权管理平台服务器对签名进行验签操作,验签通过后,版权管理平台服务器240向KGC210申请更新标识密码公私钥对或撤销标识密码公私钥对。
步骤S102,KGC210更新用户标识密码公私钥对并将更新后的密钥对通过版权管理平台服务器发送至USBKEY;或者,所述KGC撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY;将数据库220当中对应的状态修改为“已撤销”。
所述的USBKEY通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
由上可以看出,版权管理平台服务器240负责处理对于用户标识密码公私钥对的更新请求或作废请求,密钥生成中心KGC210负责更新用户标识密码公私钥对或撤销标识密码公私钥对。
此外,所述基于标识密码的动态数字版权保护方法还包括步骤:
步骤S201,当用户支付媒体文件的新使用权的费用后,版权管理平台服务器240向密钥生成中心KGC210申请更新用户的标识密码公私钥对的权限和有效期;
步骤S202,KGC210更新标识密码公私钥对后,版权管理平台服务器240将更新的标识密码公私钥对下载到USBKEY500中替代原有标识密码公私钥对,并更新数据库220中用户下载或播放权限等相关信息。
由上可以看出,当标识密码公私钥对到期、无效后,KGC210可以根据用户的要求在支付了新使用权费用的前提下,更新标识密码公私钥对,用户可以继续使用更新了标识密码公私钥对的USBKEY500进行在线播放在线下载操作。
综上所述,本发明实施例通过利用用户的唯一标识作为公钥字串因子,生成用户的标识密码公私钥对,进行动态数字版权安全保护的身份认证和数据加密操作,客户端不采用数字证书,避免了繁琐的数字证书管理问题,系统运营成本降低,系统负荷减轻,提高了系统运行速度。
本发明实施例当用户在线播放或下载媒体文件时,采用PIN码口令和标识密码公私钥对双重认证用户的身份,实现了身份认证的高度可信性,采用随机数发生器产生随机数序列,每次用户的身份认证的随机数序列均不相同,实现了身份认证的动态性。
本发明实施例在不改变安全性的前提下,提供了一种全新的轻量级DRM安全方法。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (13)
1.一种基于标识密码的动态数字版权保护方法,其特征在于,包括:
密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;
所述客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将所述报文和签名信息传输到版权管理平台服务器;
所述版权管理平台服务器根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
2.根据权利要求1所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的密钥生成中心KGC生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中,包括:
用户的客户端经过安全通道向版权管理平台服务器发送携带用户的身份标识符ID的标识密码公私钥对申请,所述版权管理平台服务器对用户的身份信息进行审核,审核通过后,将用户申请日期、USBKEY序列号及所述携带用户的身份标识符ID的标识密码公私钥对申请发送到KGC;
所述KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到所述用户的标识密码私钥;
所述KGC将用户的标识密钥公私钥对通过安全通道传输到版权管理平台服务器,并将用户的USBKEY序列号、用户申请日期,以及为用户的USBKEY分配的媒体下载和播放权限进行存储;
所述版权管理平台服务器经过安全通道将用户的标识密码公私钥对下载并安装到内置有随机数发生器的USBKEY中。
3.根据权利要求2所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的KGC根据设定的密钥机制、用户的身份标识符ID、USBKEY序列号和申请日期得到用户的标识密码公钥,根据KGC的系统公开参数和存储在加密机中的系统主密钥在加密机中计算得到用户的标识密码私钥,包括:
所述KGC中的系统参数生成模块生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,ê:G1×G1→G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法:H1,H2,H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1,G2,ê,H1,H2,H3,H4,P,sP)公开;
所述KGC中的用户标识密码密钥生成模块利用用户的唯一身份标识ID、USBKEY序列号、用户申请日期以及密钥有效期拼接成用户的公钥字串PKS,则生成所述用户的标识密码公钥为Q=H1(PKS),在加密机中计算得到用户的标识密码私钥为dID=sQ。
4.根据权利要求1所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的将所述USBKEY置入用户的客户端后,所述客户端根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥,包括:
所述USBKEY中的标识密码密钥管理子模块将用户的标识密钥公私钥对存储在加密保护的EPROM单元中;
在用户登录客户端,USBKEY的硬件设备管理子模块中的USB识别控制单元识别出USBKEY插入客户端操作后,硬件设备管理子模块中的PIN码鉴别CPU单元判断用户输入的PIN码口令次数是否超过规定次数,若是,结束;若否,继续下一步;
待用户输入PIN码口令后,USB识别控制单元控制客户端的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元判断输入的PIN码口令是否正确,若是,继续下一步;若否,提示用户PIN码口令错误;
所述客户端判断USBKEY中的EPROM单元中是否存在有效的有效期内的标识密码公私钥对,如若存在,则提取所述EPROM单元中的标识密码公私钥对。
5.根据权利要求4所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的客户端利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,所述客户端将报文和签名信息传输到版权管理平台服务器,包括:
所述客户端利用所述USBKEY中的随机数发生器产生随机数序列,将随机数序列、所述用户的标识密码公钥a,以及媒体播放或下载的相关信息打包成报文m,所述客户端通过所述USBKEY中的标识密码运算子模块利用所述用户的标识密码私钥对所述报文m实施数字签名操作得到签名信息,设k∈RZq*;T=ê(sQ,P)k;h=H2(m,T);S=(k-h)sQ,针对m的签名为(h,S);
所述客户端根据所述USBKEY中的算法管理子模块选择的加密算法,通过所述USBKEY中的标识密码运算子模块利用接收方的标识密码公钥Q对所述报文m加密得到密文C,通过安全通道将所述签名信息和密文C一同发送至版权管理平台服务器。
6.根据权利要求5所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的版权管理平台服务器根据设定的密钥机制通过KGC得到用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,包括:
所述版权管理平台服务器接收到所述签名信息和密文C后,利用自己的私钥解密所述密文C恢复出报文m;所述版权管理平台服务器从报文m中提取用户的标识密码公钥a,判断用户的标识密码公钥a在有效期内后,将报文和签名信息转发到KGC;
所述KGC获得所述用户的唯一身份标识ID,根据所述ID查询数据库得到所述用户的USBKEY序列号、用户申请日期和密钥更新周期,通过所述用户的USBKEY序列号、用户申请日期和密钥更新周期计算得到所述用户的标识密码公钥b,比较所述标识密码公钥a和所述标识密码公钥b是否一致;
当所述标识密码公钥a和所述标识密码公钥b一致,并且所述标识密码公钥a在有效期内,则所述版权管理平台服务器利用所述标识密码公钥a对所接收的签名信息进行验签操作,计算T=ê(S,P)ê(Q,sP)h,判断h是否等于H2(m,T),若相等,则验签通过,若不相等,则验签失败。
7.根据权利要求1至6任一项所述的基于标识密码的动态数字版权保护方法,其特征在于,所述的方法还包括:
所述用户的客户端向版权管理平台服务器发送标识密码公私钥对更新请求或作废请求后,所述版权管理平台服务器对用户的身份信息进行审核,当审核通过后,通过所述用户对随机数序列进行签名操作,所述版权管理平台服务器对签名进行验签操作,验签通过后,所述版权管理平台服务器向KGC申请更新标识密码公私钥对或撤销标识密码公私钥对;
所述KGC更新所述用户的标识密码公私钥对,并将更新后的标识密码公私钥对通过版权管理平台服务器发送至USBKEY;或者,所述KGC撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY;
所述的USBKEY通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
8.一种基于标识密码的动态数字版权保护系统,其特征在于,包括:KGC、客户端和版权管理平台服务器;
所述的KGC,用于生成用户的标识密码公私钥对,经过安全通道将用户的标识密码公私钥对设置到智能密码钥匙USBKEY中;
所述的客户端,用于置入所述USBKEY,根据用户输入的个人识别密码PIN口令激活所述USBKEY,获取所述USBKEY中设置的用户的标识密码私钥;利用所述用户的标识密码私钥对包含随机数序列的报文实施数字签名操作,得到签名信息,将所述报文和签名信息传输到版权管理平台服务器;
所述的版权管理平台服务器,用于根据设定的密钥机制通过KGC得到所述用户的标识密码公钥,利用所述标识密码公钥对所述签名信息进行验签操作,验签通过后,再根据所述用户的权限在线处理媒体文件。
9.根据权利要求8所述的基于标识密码的动态数字版权保护系统,其特征在于,所述的KGC包括:系统参数生成模块、用户标识密码密钥生成模块和验签模块
所述的系统参数生成模块,用于生成附合安全要求的椭圆曲线E,G1是一个加法群,G2是一个乘法群,ê:G1×G1→G2为一个双线性配对,P是G1的生成元,定义四种杂凑哈希算法:H1,H2,H3,和H4,产生域上随机的大数s作为系统主密钥,将所述s存储在加密机中,将(E,G1,G2,ê,H1,H2,H3,H4,P,sP)公开;
所述的用户标识密码密钥生成模块,用于利用用户的唯一身份标识ID、USBKEY序列号、用户申请日期以及密钥有效期拼接成用户的公钥字串PKS,则生成所述用户的标识密码公钥为Q=H1(PKS),在加密机中计算得到用户的标识密码私钥为dID=sQ;
所述的验签模块,用于获得所述用户的唯一身份标识ID,根据所述ID查询数据库得到所述用户的USBKEY序列号、用户申请日期和密钥更新周期,通过所述用户的USBKEY序列号、用户申请日期和密钥更新周期计算得到所述用户的标识密码公钥b,比较从报文m中提取的用户的标识密码公钥a和所述标识密码公钥b是否一致。
10.根据权利要求9所述的基于标识密码的动态数字版权保护系统,其特征在于,所述的USBKEY包括:标识密码密钥管理子模块、硬件设备管理子模块、算法管理子模块和标识密码运算子模块;
所述的标识密码密钥管理子模块,用于包括密钥下载安装单元,密钥使用更新单元和密钥存储撤销单元,所述的密钥下载安装单元用于将用户的标识密钥公私钥对存储在加密保护的硬件设备管理子模块中的EPROM单元中;
所述的硬件设备管理子模块,用于包括USB识别控制单元、PIN码鉴别CPU单元和EPROM单元,在用户登录客户端,所述USB识别控制单元识别出USBKEY插入客户端操作后,所述PIN码鉴别CPU单元判断用户输入的PIN码口令次数是否超过规定次数,若是,结束;若否,继续下一步;待用户输入PIN码口令后,USB识别控制单元控制客户端的CPU读取用户输入的PIN码口令,PIN码鉴别CPU单元判断输入的PIN码口令是否正确,若是,继续下一步;若否,提示用户PIN码口令错误;
所述的算法管理子模块,用于包括随机数发生器、加密算法选择单元和算法库管理单元,所述随机数发生器用于产生随机数序列,所述算法库管理单元用于存储各种加密算法,所述加密算法选择单元用于选择对报文进行加密的加密算法;
所述的标识密码运算子模块,用于包括数据加密实现单元、数据解密实现单元、数据签名实现单元和数据验签实现单元,所述数据签名实现单元用于利用用户的标识密码私钥对报文m实施数字签名操作得到签名信息,设k∈RZq *;T=ê(sQ,P)k;h=H2(m,T);S=(k-h)sQ,针对m的签名为(h,S);所述的数据加密实现单元用于根据所述USBKEY中的算法管理子模块选择的加密算法,利用接收方的标识密码公钥Q对所述报文m加密得到密文C。
11.根据权利要求10所述的基于标识密码的动态数字版权保护系统,其特征在于:
所述的客户端,用于判断USBKEY中的EPROM单元中是否存在有效的有效期内的标识密码公私钥对,如若存在,则提取所述EPROM单元中的标识密码公私钥对;将随机数序列、所述用户的标识密码公钥a,以及媒体播放或下载的相关信息打包成报文m;通过安全通道将所述签名信息和密文C一同发送至版权管理平台服务器。
12.根据权利要求11所述的基于标识密码的动态数字版权保护系统,其特征在于:
所述的版权管理平台服务器,用于接收到客户端发送过来的携带用户的身份标识符ID的标识密码公私钥对申请后,用户的身份信息进行审核,审核通过后,将用户申请日期、USBKEY序列号及所述携带用户的身份标识符ID的标识密码公私钥对申请发送到KGC;经过安全通道将用户的标识密码公私钥对下载并安装到内置有随机数发生器的USBKEY中;接收到签名信息和密文C后,利用自己的私钥解密所述密文C恢复出报文m,从报文m中提取用户的标识密码公钥a,判断用户的标识密码公钥a在有效期内后,将报文m和签名信息转发到KGC;利用用户的标识密码公钥a对所接收的签名信息进行验签操作,计算T=ê(S,P)ê(Q,sP)h,判断h是否等于H2(m,T),若相等,则验签通过,若不相等,则验签失败;根据所述用户的权限在线处理媒体文件。
13.根据权利要求8至12任一项所述的基于标识密码的动态数字版权保护系统,其特征在于:
所述的客户端,用于向版权管理平台服务器发送标识密码公私钥对更新请求或作废请求后;
所述的版权管理平台服务器,用于对用户的身份信息进行审核,当审核通过后,通过所述用户对随机数序列进行签名操作,对签名进行验签操作,验签通过后,向KGC申请更新标识密码公私钥对或撤销标识密码公私钥对;
所述的KGC,用于通过更新所述用户的标识密码公私钥对,并将更新后的标识密码公私钥对通过版权管理平台服务器发送至USBKEY;或者,撤销所述用户的标识密码公私钥对,通过版权管理平台服务器将撤销所述用户的标识密码公私钥对的消息发送至USBKEY;
所述的USBKEY,用于通过标识密码密钥管理子模块中的密钥使用更新单元用更新后的标识密码公私钥对替换原先存储的标识密码公私钥对;接收到撤销所述用户的标识密码公私钥对的消息后,通过标识密码密钥管理子模块中的密钥存储撤销单元撤销所述用户的标识密码公私钥对。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410594569.5A CN105553662B (zh) | 2014-10-29 | 2014-10-29 | 基于标识密码的动态数字版权保护方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410594569.5A CN105553662B (zh) | 2014-10-29 | 2014-10-29 | 基于标识密码的动态数字版权保护方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105553662A true CN105553662A (zh) | 2016-05-04 |
CN105553662B CN105553662B (zh) | 2019-01-08 |
Family
ID=55832605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410594569.5A Active CN105553662B (zh) | 2014-10-29 | 2014-10-29 | 基于标识密码的动态数字版权保护方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105553662B (zh) |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106452764A (zh) * | 2016-12-02 | 2017-02-22 | 武汉理工大学 | 一种标识私钥自动更新的方法及密码系统 |
CN106452763A (zh) * | 2016-12-01 | 2017-02-22 | 中孚信息股份有限公司 | 一种通过远程虚拟usb设备使用密码钥匙方法 |
CN107743132A (zh) * | 2017-11-28 | 2018-02-27 | 江苏信源久安信息科技有限公司 | 基于标识密码的物联网可信身份识别与控制方法 |
CN107944234A (zh) * | 2017-11-20 | 2018-04-20 | 上海闻泰电子科技有限公司 | 一种Android设备的刷机控制方法 |
CN108134790A (zh) * | 2017-12-21 | 2018-06-08 | 知而行(上海)营销咨询有限公司 | 一种用户识别信息处理方法 |
CN108900311A (zh) * | 2018-08-15 | 2018-11-27 | 江苏恒宝智能系统技术有限公司 | 一种无证书蓝牙key签名方法及系统 |
CN109005036A (zh) * | 2017-06-06 | 2018-12-14 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
CN109388931A (zh) * | 2018-09-12 | 2019-02-26 | 航天信息股份有限公司 | 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置 |
CN109412799A (zh) * | 2018-12-21 | 2019-03-01 | 北京思源互联科技有限公司 | 一种生成本地密钥的系统及其方法 |
CN109583219A (zh) * | 2018-11-30 | 2019-04-05 | 国家电网有限公司 | 一种数据签名、加密及保存的方法、装置和设备 |
CN110096685A (zh) * | 2019-04-28 | 2019-08-06 | 新华三信息安全技术有限公司 | 一种设备标识生成方法及装置 |
CN110943845A (zh) * | 2019-11-25 | 2020-03-31 | 武汉大学 | 一种轻量级两方协同产生sm9签名的方法及介质 |
CN111600948A (zh) * | 2020-05-14 | 2020-08-28 | 北京安御道合科技有限公司 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
CN111923863A (zh) * | 2020-08-25 | 2020-11-13 | 东信和平科技股份有限公司 | 一种基于数字车钥匙的车辆控制方法 |
CN112118105A (zh) * | 2019-06-19 | 2020-12-22 | 深圳法大大网络科技有限公司 | 电子文件签名的方法、装置及终端设备 |
CN112422507A (zh) * | 2020-10-19 | 2021-02-26 | 北京电子科技学院 | 一种基于标识算法的国密ssl加密方法 |
CN112637836A (zh) * | 2020-12-18 | 2021-04-09 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
CN112749401A (zh) * | 2020-12-31 | 2021-05-04 | 河南华北水电工程监理有限公司 | 一种监理工作管理方法、系统、计算机装置及存储介质 |
CN112910867A (zh) * | 2021-01-21 | 2021-06-04 | 四三九九网络股份有限公司 | 一种受信任的设备访问应用的双重验证方法 |
CN113014393A (zh) * | 2021-02-20 | 2021-06-22 | 中易通科技股份有限公司 | 一种基于硬件加密的密码保险箱系统及应用方法 |
CN113497712A (zh) * | 2020-04-04 | 2021-10-12 | 重庆傲雄在线信息技术有限公司 | 一种kgc数据处理系统 |
CN113726830A (zh) * | 2020-05-25 | 2021-11-30 | 网联清算有限公司 | 一种报文标识生成方法及装置 |
CN114978596A (zh) * | 2022-04-24 | 2022-08-30 | 捷德(中国)科技有限公司 | 数字资产所有权的登记、处理方法及装置 |
CN115580402A (zh) * | 2022-12-09 | 2023-01-06 | 蓝象智联(杭州)科技有限公司 | 一种用于安全多方计算的数据隐匿查询方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101393628A (zh) * | 2008-11-12 | 2009-03-25 | 北京飞天诚信科技有限公司 | 一种新型的网上安全交易系统和方法 |
CN101714195A (zh) * | 2009-07-22 | 2010-05-26 | 北京创原天地科技有限公司 | 一种基于数字证书的新型数字版权保护方法和装置 |
CN101872399A (zh) * | 2010-07-01 | 2010-10-27 | 武汉理工大学 | 基于双重身份认证的动态数字版权保护方法 |
CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及系统 |
-
2014
- 2014-10-29 CN CN201410594569.5A patent/CN105553662B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101393628A (zh) * | 2008-11-12 | 2009-03-25 | 北京飞天诚信科技有限公司 | 一种新型的网上安全交易系统和方法 |
CN101714195A (zh) * | 2009-07-22 | 2010-05-26 | 北京创原天地科技有限公司 | 一种基于数字证书的新型数字版权保护方法和装置 |
CN101872399A (zh) * | 2010-07-01 | 2010-10-27 | 武汉理工大学 | 基于双重身份认证的动态数字版权保护方法 |
CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及系统 |
Non-Patent Citations (1)
Title |
---|
李雷: "基于USB+Key和属性证书的动态安全许可研究", 《中国学位论文全文数据库》 * |
Cited By (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106452763A (zh) * | 2016-12-01 | 2017-02-22 | 中孚信息股份有限公司 | 一种通过远程虚拟usb设备使用密码钥匙方法 |
CN106452763B (zh) * | 2016-12-01 | 2019-07-30 | 中孚信息股份有限公司 | 一种通过远程虚拟usb设备使用密码钥匙方法 |
CN106452764B (zh) * | 2016-12-02 | 2020-02-18 | 武汉理工大学 | 一种标识私钥自动更新的方法及密码系统 |
CN106452764A (zh) * | 2016-12-02 | 2017-02-22 | 武汉理工大学 | 一种标识私钥自动更新的方法及密码系统 |
CN109005036A (zh) * | 2017-06-06 | 2018-12-14 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
CN109005036B (zh) * | 2017-06-06 | 2023-04-07 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
CN107944234A (zh) * | 2017-11-20 | 2018-04-20 | 上海闻泰电子科技有限公司 | 一种Android设备的刷机控制方法 |
CN107944234B (zh) * | 2017-11-20 | 2021-07-16 | 上海闻泰电子科技有限公司 | 一种Android设备的刷机控制方法 |
CN107743132A (zh) * | 2017-11-28 | 2018-02-27 | 江苏信源久安信息科技有限公司 | 基于标识密码的物联网可信身份识别与控制方法 |
CN108134790A (zh) * | 2017-12-21 | 2018-06-08 | 知而行(上海)营销咨询有限公司 | 一种用户识别信息处理方法 |
CN108900311A (zh) * | 2018-08-15 | 2018-11-27 | 江苏恒宝智能系统技术有限公司 | 一种无证书蓝牙key签名方法及系统 |
CN109388931A (zh) * | 2018-09-12 | 2019-02-26 | 航天信息股份有限公司 | 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置 |
CN109583219A (zh) * | 2018-11-30 | 2019-04-05 | 国家电网有限公司 | 一种数据签名、加密及保存的方法、装置和设备 |
CN109412799A (zh) * | 2018-12-21 | 2019-03-01 | 北京思源互联科技有限公司 | 一种生成本地密钥的系统及其方法 |
CN109412799B (zh) * | 2018-12-21 | 2021-07-16 | 北京思源理想控股集团有限公司 | 一种生成本地密钥的系统及其方法 |
CN110096685B (zh) * | 2019-04-28 | 2023-06-20 | 新华三信息安全技术有限公司 | 一种设备标识生成方法及装置 |
CN110096685A (zh) * | 2019-04-28 | 2019-08-06 | 新华三信息安全技术有限公司 | 一种设备标识生成方法及装置 |
CN112118105A (zh) * | 2019-06-19 | 2020-12-22 | 深圳法大大网络科技有限公司 | 电子文件签名的方法、装置及终端设备 |
CN112118105B (zh) * | 2019-06-19 | 2024-03-01 | 深圳法大大网络科技有限公司 | 电子文件签名的方法、装置及终端设备 |
CN110943845A (zh) * | 2019-11-25 | 2020-03-31 | 武汉大学 | 一种轻量级两方协同产生sm9签名的方法及介质 |
CN113497712A (zh) * | 2020-04-04 | 2021-10-12 | 重庆傲雄在线信息技术有限公司 | 一种kgc数据处理系统 |
CN111600948B (zh) * | 2020-05-14 | 2022-11-18 | 北京安御道合科技有限公司 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
CN111600948A (zh) * | 2020-05-14 | 2020-08-28 | 北京安御道合科技有限公司 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
CN113726830B (zh) * | 2020-05-25 | 2023-09-12 | 网联清算有限公司 | 一种报文标识生成方法及装置 |
CN113726830A (zh) * | 2020-05-25 | 2021-11-30 | 网联清算有限公司 | 一种报文标识生成方法及装置 |
CN111923863B (zh) * | 2020-08-25 | 2021-09-17 | 东信和平科技股份有限公司 | 一种基于数字车钥匙的车辆控制方法 |
CN111923863A (zh) * | 2020-08-25 | 2020-11-13 | 东信和平科技股份有限公司 | 一种基于数字车钥匙的车辆控制方法 |
CN112422507A (zh) * | 2020-10-19 | 2021-02-26 | 北京电子科技学院 | 一种基于标识算法的国密ssl加密方法 |
CN112422507B (zh) * | 2020-10-19 | 2023-04-07 | 北京电子科技学院 | 一种基于标识算法的国密ssl加密方法 |
CN112637836A (zh) * | 2020-12-18 | 2021-04-09 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
CN112637836B (zh) * | 2020-12-18 | 2023-08-11 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
CN112749401A (zh) * | 2020-12-31 | 2021-05-04 | 河南华北水电工程监理有限公司 | 一种监理工作管理方法、系统、计算机装置及存储介质 |
CN112910867B (zh) * | 2021-01-21 | 2022-11-04 | 四三九九网络股份有限公司 | 一种受信任的设备访问应用的双重验证方法 |
CN112910867A (zh) * | 2021-01-21 | 2021-06-04 | 四三九九网络股份有限公司 | 一种受信任的设备访问应用的双重验证方法 |
CN113014393A (zh) * | 2021-02-20 | 2021-06-22 | 中易通科技股份有限公司 | 一种基于硬件加密的密码保险箱系统及应用方法 |
CN114978596A (zh) * | 2022-04-24 | 2022-08-30 | 捷德(中国)科技有限公司 | 数字资产所有权的登记、处理方法及装置 |
CN114978596B (zh) * | 2022-04-24 | 2023-04-18 | 捷德(中国)科技有限公司 | 数字资产所有权的登记、处理方法及装置 |
CN115580402A (zh) * | 2022-12-09 | 2023-01-06 | 蓝象智联(杭州)科技有限公司 | 一种用于安全多方计算的数据隐匿查询方法 |
CN115580402B (zh) * | 2022-12-09 | 2023-03-17 | 蓝象智联(杭州)科技有限公司 | 一种用于安全多方计算的数据隐匿查询方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105553662B (zh) | 2019-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105553662A (zh) | 基于标识密码的动态数字版权保护方法和系统 | |
US11552792B2 (en) | Systems and methods for generating signatures | |
EP3349393B1 (en) | Mutual authentication of confidential communication | |
CN106548345B (zh) | 基于密钥分割实现区块链私钥保护的方法及系统 | |
US20110145576A1 (en) | Secure method of data transmission and encryption and decryption system allowing such transmission | |
EP1775879A2 (en) | Method and Apparatus for Securely Transmitting and Receiving Data in Peer-to-Peer Manner | |
CN101515319B (zh) | 密钥处理方法、密钥密码学服务系统和密钥协商方法 | |
CN101464932B (zh) | 硬件安全单元间协作方法、系统及其应用设备 | |
CN105635049A (zh) | 基于客户端标识密码的防伪税控方法和装置 | |
CN103636161A (zh) | 基于非交互式身份的密钥协商派生的、具有认证加密的秘密密钥的使用 | |
EP2721765A1 (en) | Key generation using multiple sets of secret shares | |
CN108632296B (zh) | 一种网络通信的动态加密与解密方法 | |
CN102281300A (zh) | 数字版权管理许可证分发方法和系统、服务器及终端 | |
GB2398713A (en) | Anonymous access to online services for users registered with a group membership authority | |
EP3506560A1 (en) | Secure provisioning of keys | |
CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
CN114697040B (zh) | 一种基于对称密钥的电子签章方法和系统 | |
CN109478214A (zh) | 用于证书注册的装置和方法 | |
CN109005184A (zh) | 文件加密方法及装置、存储介质、终端 | |
JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
CN101808100B (zh) | 一种解决信息安全设备远程升级重放性的方法和系统 | |
US20210044435A1 (en) | Method for transmitting data from a motor vehicle and method for another vehicle to receive the data through a radio communication channel | |
CN113922958B (zh) | 基于生物识别和sm2协同密码算法的密码保护方法及装置 | |
CN114760053B (zh) | 一种对称密钥的分发方法、装置、设备及介质 | |
CN116192409A (zh) | 一种数字资产的发行方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |