CN117318954A

CN117318954A - 一种设备证书生成方法、数字化内容呈现方法及相关设备

Info

Publication number: CN117318954A
Application number: CN202311246212.3A
Authority: CN
Inventors: 刘姗; 周亚桥; 陈赫
Original assignee: Beijing QIYI Century Science and Technology Co Ltd
Current assignee: Beijing QIYI Century Science and Technology Co Ltd
Priority date: 2023-09-25
Filing date: 2023-09-25
Publication date: 2023-12-29

Abstract

本发明实施例提供了一种设备证书生成方法、数字化内容呈现方法及相关设备。其中，设备证书生成方法应用于服务器端，该方法包括：响应于客户端发送的设备证书发放请求；基于客户端的标识信息生成客户端的设备证书；其中，设备证书至少包括客户端的设备私钥；将设备证书发送至客户端，以使客户端将设备证书作为信任根。本发明通过基于客户端的标识信息生成设备证书，并将设备证书作为信任根，解决了不能在设备出厂就配备DRM客户端证书而无法实现设备绑定的问题。

Description

一种设备证书生成方法、数字化内容呈现方法及相关设备

技术领域

本发明涉及数字版权管理技术领域，特别是涉及一种设备证书生成方法、数字化内容呈现方法及相关设备。

背景技术

DRM(Digital Rights Management，数字版权管理)可以实现被保护对象的权利保护、使用控制及管理。被保护对象可以为数字化内容(如软件、音乐、电影)，也可以为硬件。对于硬件DRM系统来说，在设备注册时，利用设备中嵌入的信任根生成一个非对称密钥对，在设备出厂前，将该非对称密钥对的私钥烧录至设备中，将该非对称密钥对的公钥作为该设备的设备证书。该设备证书可以体现设备的唯一性，以实现硬件DRM系统与设备的绑定。

然而，对于软件DRM系统来说，由于出厂时的软件安装包是统一的，不能在软件出厂时配备仅属于某一设备的设备证书，因此，如何生成设备证书以实现软件DRM系统与设备的绑定是十分必要的。

发明内容

本发明实施例的目的在于提供一种设备证书生成方法、数字化内容呈现方法及相关设备，可以将设备证书作为软件DRM系统的信任根，从而达到设备绑定的目的。具体技术方案如下：

本发明提供一种设备证书生成方法，应用于服务器端，所述方法包括：

响应于客户端发送的设备证书发放请求；其中，所述设备证书发放请求中携带有所述客户端的标识信息；

基于所述客户端的标识信息生成所述客户端的设备证书；其中，所述设备证书至少包括所述客户端的设备私钥；

将所述设备证书发送至所述客户端，以使所述客户端将所述设备证书作为信任根。

可选的，所述基于所述客户端的标识信息生成所述客户端的设备证书，包括：

基于所述客户端的标识信息生成白盒组件和/或虚拟机的字节码；其中，所述白盒组件为实现白盒密码算法所需的组件，所述虚拟机的字节码为实现所述白盒密码算法的程序，所述虚拟机的字节码在运行过程中调用所述白盒组件；

将所述白盒组件和所述虚拟机的字节码作为所述客户端的设备私钥。

可选的，基于所述客户端的标识信息生成所述白盒组件，包括：

基于所述客户端的标识信息生成所述白盒密码算法所需的密钥；

基于所述密钥生成所述白盒组件；

基于所述客户端的标识信息生成所述虚拟机的字节码，包括：

基于所述客户端的标识信息获得程序运行次数；

基于所述程序运行次数生成所述虚拟机的字节码。

可选的，还包括：

接收设备证书更换指令；

在所述设备私钥变更时，更新所述虚拟机的字节码，获得更新后的虚拟机的字节码；其中，所述更新后的虚拟机的字节码为实现变更后的白盒密码算法的程序，所述更新后的虚拟机的字节码在运行过程中调用所述白盒组件；

将所述更新后的虚拟机的字节码和所述白盒组件作为更新后的设备私钥。

本发明还提供一种设备证书生成系统，应用于服务器端，所述系统包括：

请求响应模块，被配置为响应于客户端发送的设备证书发放请求；其中，所述设备证书发放请求中携带有所述客户端的标识信息；

设备证书生成模块，被配置为基于所述客户端的标识信息生成所述客户端的设备证书；其中，所述设备证书至少包括所述客户端的设备私钥；

设备证书发送模块，被配置为将所述设备证书发送至所述客户端，以使所述客户端将所述设备证书作为信任根。

本发明还提供一种数字化内容呈现方法，应用于客户端，所述客户端存储有设备证书，所述设备证书包括设备公钥和设备私钥，所述设备私钥与所述设备公钥为非对称密钥对，所述设备私钥是所述服务器端基于所述客户端的标识信息生成的，所述方法包括：

向服务器端发送数字化内容许可证申请信息；其中，所述数字化内容许可证申请信息至少包括所述设备公钥；

获取所述服务器端发送的数字化内容许可证；其中，所述数字化内容许可证为所述服务器端基于所述设备公钥对目标数字化内容进行加密得到的；

基于所述设备私钥对所述数字化内容许可证进行解密，得到并呈现所述目标数字化内容。

可选的，所述设备私钥包括虚拟机的字节码和白盒组件，所述白盒组件为实现白盒密码算法所需的组件，所述虚拟机的字节码为实现所述白盒密码算法的程序，所述虚拟机的字节码在运行过程中调用所述白盒组件；

所述基于所述设备私钥对所述数字化内容许可证进行解密，得到所述目标数字化内容，包括：

在虚拟机运行时，所述虚拟机的字节码使用所述白盒组件对所述数字化内容许可证进行解密，得到所述目标数字化内容。

本发明还提供一种数字化内容呈现系统，应用于客户端，所述客户端存储有设备证书，所述设备证书包括设备公钥和设备私钥，所述设备私钥与所述设备公钥为非对称密钥对，所述设备私钥是所述服务器端基于所述客户端的标识信息生成的，所述系统包括：

申请信息发送模块，被配置为向服务器端发送数字化内容许可证申请信息；其中，所述数字化内容许可证申请信息至少包括所述设备公钥；

许可证获取模块，被配置为获取所述服务器端发送的数字化内容许可证；其中，所述数字化内容许可证为所述服务器端基于所述设备公钥对目标数字化内容进行加密得到的；

数字化内容呈现模块，被配置为基于所述设备私钥对所述数字化内容许可证进行解密，得到并呈现所述目标数字化内容。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有程序，所述程序被处理器执行时实现如上所述的设备证书生成方法和/或如上所述的数字化内容呈现方法。

本发明还提供一种电子设备，包括：

至少一个处理器、以及与所述处理器连接的至少一个存储器、总线；

所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如上所述的设备证书生成方法和/或如上所述的数字化内容呈现方法。

本发明实施例提供的一种设备证书生成方法、数字化内容呈现方法及相关设备，通过基于客户端的标识信息生成客户端的设备证书，并将设备证书作为信任根，由于客户端标识信息可以体现设备唯一性，通过客户端标识信息生成的设备证书实现了软件DRM系统与设备绑定，解决了软件DRM系统不能在设备出厂就配备DRM客户端证书而无法实现设备绑定的问题。

当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一个实施例的设备证书生成方法流程图；

图2为本发明实施例提供的信任根示意图；

图3为本发明实施例提供的设备证书生成方法的一个实施例的信令图；

图4为本发明实施例提供的一个实施例的数字化内容呈现方法流程图；

图5为本发明实施例提供的数字化内容呈现方法的一个实施例的信令图；

图6为本发明实施例提供的一个实施例的设备证书生成系统结构图；

图7为本发明实施例提供的一个实施例的数字化内容呈现系统结构图；

图8为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种设备证书生成方法，应用于服务器端，该服务器端可以为设备证书服务器，如图1所示，该方法，包括：

步骤101：响应于客户端发送的设备证书发放请求；其中，设备证书发放请求中携带有客户端的标识信息。

对于软件DRM系统客户端，为了实现设备与软件DRM系统的绑定关系，可以申请设备证书，该设备证书为DMR客户端证书，该设备证书可以描述设备唯一性，客户端可以将该设备证书作为整个设备的信任根，以便于实现数字版权管理。当客户端具有该设备证书后，可以利用该设备证书获得具有数字版权的数字化内容的使用权，该数字化内容包括但不限于应用程序、音频、视频等。

在设备注册时，客户端会向服务器端发送设备证书发放请求，请求中携带有客户端的标识信息。该客户端的标识信息可以为设备ID(Identity Document，身份标识号码)。不同设备的设备ID不同，该标识信息可以体现设备的唯一性，服务器端可以利用该标识信息生成客户端的设备证书。

步骤102：基于客户端的标识信息生成客户端的设备证书；其中，设备证书至少包括客户端的设备私钥。

该设备证书还可以包括设备公钥，该设备公钥和设备私钥可以为非对称密钥对。即该设备证书可以为一组非对称密钥对，该非对称密钥对包括公钥和私钥，公钥即为设备证书中含有的设备公钥，私钥即为设备证书中含有的设备私钥，公钥可公开，私钥为设备私有不公开。服务器端可以通过设备公钥对数字化内容进行加密，当设备公钥与设备私钥相匹配时，客户端可以通过设备私钥对加密后的数字化内容进行解密，当其他客户端利用自身设备私钥对加密后的数字化内容进行解密，设备公钥与设备私钥不匹配，则无法得到数字化内容。

该设备私钥可以通过客户端的标识信息生成，不同的客户端，由于客户端的标识信息不同，则通过不同客户端的标识信息生成的设备私钥也不同，保证不同客户端的设备证书的多样性。

由于设备公钥可公开，为了保证客户端标识信息的安全性，可以不通过客户端的标识信息生成设备公钥，生成设备公钥的方式可以包括但不限于RSA算法、ECC算法等，采用这些算法生成的设备公钥需要与利用客户端标识信息生成的设备私钥匹配。

作为一可选的实施方式，基于客户端的标识信息生成客户端的设备证书，包括：

基于客户端的标识信息生成白盒组件和/或虚拟机的字节码；其中，白盒组件为实现白盒密码算法所需的组件，虚拟机的字节码为实现白盒密码算法的程序，虚拟机的字节码在运行过程中调用白盒组件；

将白盒组件和虚拟机的字节码作为客户端的设备私钥。

该白盒组件为实现白盒密码算法所需的组件，该白盒组件可以包括白盒密码算法运行过程中所需的密钥，或者白盒密码算法运行过程中生成的白盒查找表。该虚拟机的字节码可以实现白盒功能，在虚拟机字节码运行过程中调用白盒组件实现设备私钥的解密功能或签名功能。

在基于客户端的标识信息生成设备证书时，可以生成设备证书的设备私钥，为了保证该设备私钥不被破解，通过客户端的标识信息生成的设备私钥可以使用白盒非对称密码与虚拟机相结合。在实际应用中，一种方式可以基于客户端的标识信息生成白盒组件，另一种方式可以基于客户端的标识信息生成虚拟机字节码，还有一种方式可以基于客户端的标识信息生成白盒组件和字节码。

在生成白盒组件与虚拟机字节码的方式互不影响的情况下，白盒组件可以与虚拟机字节码同时生成。在生成虚拟机字节码受白盒组件影响的情况下，也可以先生成白盒组件后生成虚拟机字节码，具体可以首先生成白盒组件，确定白盒组件的版本号，根据该白盒组件的版本号确定与白盒组件具有对应关系的白盒密码算法，然后根据该白盒密码算法确定虚拟机字节码。

可选的，基于客户端的标识信息生成白盒组件，包括：

基于客户端的标识信息生成白盒密码算法所需的密钥；

基于密钥生成白盒组件。

在基于客户端的标识信息生成白盒密码算法所需的密钥时，可以直接将该客户端的标识信息作为白盒密码算法所需的密钥，可以对该客户端的标识信息进行扩展后作为白盒密码算法所需的密钥。在实际应用中可以根据需要对客户端标识信息进行相应处理，本发明在此不作限定。

生成白盒密码算法所需的密钥后，可以基于该密钥生成白盒组件，具体可以根据该密钥生成白盒查找表。其中，对密钥采用白盒化处理处理生成白盒查找表的方法可以为：对密钥进行扩展，得到扩展后密钥，生成密钥与扩展后密钥的对应关系，将该对应关系进行混淆处理，得到混淆后的对应关系，将该混淆后的对应关系用查找表的方式进行表示，得到白盒查找表。其中，对密钥进行扩展的方法可以为分组密码算法。

本发明通过客户端的标识信息生成白盒组件，由白盒组件得到的设备私钥具有唯一性。在客户端获得服务器端发送的采用与设备私钥配套的设备公钥加密的数字化内容时，仅可以用该由客户端的标识信息生成白盒组件得到的设备私钥进行解密，从而获得数字化内容，而其他客户端因标识信息不同，生成的白盒组件不同，设备私钥也不同，则不能解密获得该数字化内容，从而保证了具有数字版权的数字化内容不能被其他客户端使用。

可选的，基于客户端的标识信息生成虚拟机的字节码，包括：

基于客户端的标识信息获得程序运行次数；

基于程序运行次数生成虚拟机的字节码。

该程序运行次数为实现白盒密码算法的程序运行次数。在基于客户端的标识信息获得程序运行次数时，可以对客户端的标识信息进行哈希运算，得到的哈希值去整后可以作为程序运行次数，虚拟机的字节码每次运行一遍后得到的结果不同，当虚拟机的字节码运行了基于客户端的标识信息获得的程序运行次数后，可以得到设备私钥的解密结果。当虚拟机的字节码运行次数与基于客户端的标识信息获得程序运行次数不同时，不能得到设备私钥的解密结果。

本发明通过客户端的标识信息生成虚拟机的字节码，由虚拟机的字节码得到的设备私钥具有唯一性。在客户端获得服务器端发送的采用与设备私钥配套的设备公钥加密的数字化内容时，仅可以用该由客户端的标识信息生成虚拟机的字节码得到的设备私钥进行解密，从而获得数字化内容，而其他客户端因标识信息不同，生成的虚拟机字节码不同，设备私钥也不同，则不能解密获得该数字化内容，从而保证了具有数字版权的数字化内容不能被其他客户端使用。

当然，在客户端的标识信息为设备ID时，服务器端可以利用设备ID作为随机数的种子从而生成白盒组件，或者将设备ID内嵌到虚拟机字节码中作为虚拟机的字节码的一部分。该设备ID可以作为整个设备信任根的钥匙，只有当前设备才可以使用白盒组件和虚拟机的字节码。该白盒组件和虚拟机的字节码仅属于具有该客户端的标识信息的客户端，与该标识信息不同的客户端无法使用白盒组件和虚拟机的字节码作为其设备私钥，即不同客户端具有的白盒组件和虚拟机的字节码均不同。本发明使用白盒非对称密码与虚拟机技术相结合，使得生成的设备证书不易被破解，提高了设备证书的安全性。

步骤103：将设备证书发送至客户端，以使客户端将设备证书作为信任根。

该设备证书包括设备公钥和设备私钥，设备公钥与设备私钥为非对称密钥对。将该设备证书作为信任根，信任根是密码系统中可以信任的来源。如图2所示，该信任根包括设备私有的白盒组件和虚拟机的字节码，该信任根还包括可公开的设备公钥。由于设备私钥使用白盒非对称密码与虚拟机技术相结合，不容易被破解，因此可以作为整个设备的信任根。

服务器端将设备证书发送给客户端，客户端可以将该设备证书进行存储，从而完成设备的注册。本发明通过基于客户端的标识信息生成设备证书，并将设备证书作为信任根，由于客户端标识信息可以体现设备唯一性，通过客户端标识信息生成的设备证书实现了软件DRM系统与设备绑定，解决了软件DRM系统不能在设备出厂就配备DRM客户端证书而无法实现设备绑定的问题。

作为一可选的实施方式，本发明提供的设备证书生成方法，还包括：

接收设备证书更换指令；

在设备私钥变更时，更新虚拟机的字节码，获得更新后的虚拟机的字节码；其中，更新后的虚拟机的字节码为实现变更后的白盒密码算法的程序，更新后的虚拟机的字节码在运行过程中调用白盒组件；

将更新后的虚拟机的字节码和白盒组件作为更新后的设备私钥。

客户端可以请求服务器端修改设备证书，客户端向服务器端发送设备证书更换指令，服务器端接收到该设备证书更换指令后可以对设备证书进行修改。由于设备证书包括设备公钥和设备私钥，对设备证书的修改可以仅修改设备私钥而不修改设备公钥，只要修改后的设备私钥与未修改的设备公钥仍为非对称密钥对即可。对设备私钥的修改可以仅更换设备私钥的验证方式，在更换过设备私钥验证方式后解密得到的内容与更换设备私钥验证方式前解密得到的内容是一致的。

为了实现修改后的设备私钥与修改前的设备私钥解密得到的内容的一致性，本发明可以仅修改设备私钥中的虚拟机字节码，保持白盒组件不变。由于白盒组件可以有一种或多种验证方式，即相同白盒组件可以对应多种白盒密码算法，不同白盒密码算法对应的虚拟机字节码不同，而虚拟机的字节码可以随时更换，因此，可以保证在白盒组件不变的情况下更换虚拟机的字节码，在需要更换设备证书时，可以通过更新虚拟机的字节码实现，即更新虚拟机的字节码可以实现加解密算法的更换或者设备证书验证流程的更换。

在更新虚拟机的字节码之前，获取与更新前的设备私钥中白盒组件对应的多种白盒密码算法，选取一种白盒密码算法作为变更后的白盒密码算法。然后根据变更后的白盒密码算法更新虚拟机的字节码，以使更新后的虚拟机的字节码实现变更后的白盒密码算法的程序。

本发明通过变更虚拟机字节码的方式实现设备证书验证方式的更换，提高了设备证书变更的灵活性，增强了设备证书的安全性。

当然，更换设备证书的方法还可以包括更换设备私钥的白盒组件及虚拟机的字节码但不更换设备公钥。更换设备证书的方法还可以包括同时更换设备公钥和设备私钥，当设备公钥发生变化后，设备私钥的处理结果也会相应发生变化，此时需要对设备私钥的白盒组件和虚拟机的字节码同时更换。在变更白盒组件或虚拟机的字节码时，同样可以基于客户端的标识信息生成，在此不再赘述。

图3是根据本申请的设备证书生成方法的一个实施例的信令图，如图3所示，在步骤301中，客户端向服务器端发送设备证书发放请求；其中，设备证书发放请求中携带有客户端的标识信息。在步骤302中，服务器端基于客户端的标识信息生成设备证书；其中，设备证书至少包括客户端的设备私钥，当然还可以包括设备公钥。设备私钥的生成方式可以包括但不限于基于客户端的标识信息生成白盒组件和/或虚拟机的字节码，将白盒组件和虚拟机的字节码作为客户端的设备私钥。在步骤303中，服务器端向客户端发送设备证书。在在步骤304中，客户端将设备证书作为信任根，从而实现了软件DRM系统与设备绑定。在步骤305中，客户端向服务器端发送设备证书更换指令。在步骤306中，服务器端更新设备证书，具体可以对设备证书的设备私钥进行更换，也可以对设备公钥和设备私钥同时进行更换。在对设备私钥进行更换时可以仅更换设备私钥的虚拟机字节码，也可以同时更换白盒组件和虚拟机的字节码。在步骤307中，服务器端将更新后的设备证书发送至客户端。在步骤308中，客户端将更新后的设备证书作为信任根，从而完成设备证书的更换操作。

本发明的设备证书生成方法，通过客户端的标识信息可以生成具有设备唯一性的设备证书，实现了软件DRM系统与设备的绑定，并且设备证书更换灵活，可以通过客户端的标识信息对设备证书进行更换，增强了设备证书的安全可靠性。

在设备证书生成后，客户端可以利用该设备证书实现数字化内容呈现。

具体的，本发明还提供一种数字化内容呈现方法，应用于客户端，客户端存储有设备证书，设备证书包括设备公钥和设备私钥，设备私钥与设备公钥为非对称密钥对，设备私钥是服务器端基于客户端的标识信息生成的。该设备私钥可以采用图1所示的设备证书生成方法得到。

如图4所示，该数字化内容呈现方法，包括：

步骤401：向服务器端发送数字化内容许可证申请信息；其中，数字化内容许可证申请信息至少包括设备公钥。

当客户端需要呈现目标数字化内容时，可以向服务器端发送数字化内容许可证申请信息，该目标数字化内容可以为应用程序，也可以为视频，还可以为音频。该数字化内容许可证申请信息中含有设备证书的设备公钥，以便服务器端利用该设备公钥对目标数字化内容进行加密，并将加密信息发送给客户端，客户端再利用设备证书的设备私钥对加密信息进行解密，获得目标数字化内容，从而实现目标数字化内容的呈现。

该数字化内容许可证申请信息中除了携带有设备公钥外，还可以带有客户端的标识信息，服务器端根据该客户端的标识信息可以判断客户端是否具有目标数字化内容的播放权限，若具有目标数字化内容的播放权限，则确定具体播放权限有哪些，利用设备公钥对该数字化内容权限信息进行加密，并将加密的数字化内容和加密的数字化内容权限发送至客户端，从而使得客户端利用设备私钥解密获得目标数字化内容和数字化内容权限，按照数字化内容权限对目标数字化内容进行呈现。

步骤402：获取服务器端发送的数字化内容许可证；其中，数字化内容许可证为服务器端基于设备公钥对目标数字化内容进行加密得到的。

该数字化内容许可证可以包括加密后的目标数字化内容，该数字化内容许可证还可以包括加密后的数字化内容权限。

步骤403：基于设备私钥对数字化内容许可证进行解密，得到并呈现目标数字化内容。

当数字化内容许可证包括加密后的目标数字化内容时，客户端利用设备私钥对该数字化内容许可证进行解密可以得到目标数字化内容。当数字化内容许可证还包括加密后的数字化内容权限时，客户端利用设备私钥对该数字化内容许可证进行解密还可以得到数字化内容权限，客户端可以依据数字化内容权限对目标数字化内容进行呈现。

该设备私钥可以包括虚拟机的字节码和白盒组件，白盒组件为实现白盒密码算法所需的组件，虚拟机的字节码为实现白盒密码算法的程序，虚拟机的字节码在运行过程中调用白盒组件。

可选的，基于设备私钥对数字化内容许可证进行解密，得到目标数字化内容，包括：

在虚拟机运行时，虚拟机的字节码使用白盒组件对数字化内容许可证进行解密，得到目标数字化内容。

当然，若数字化内容许可证中还包括加密后的数字化内容权限，则在虚拟机运行时，虚拟机的字节码使用白盒组件对数字化内容许可证进行解密，得到数字化内容权限。

图5是根据本申请的数字化内容呈现方法的一个实施例的信令图，该数字化内容呈现方法为视频呈现方法。如图5所示，在步骤501中，客户端向服务器端发送视频许可证申请信息。该视频许可证申请信息至少包括设备公钥，该设备公钥与客户端存储的设备私钥为非对称密钥对，该设备私钥是服务器端基于客户端的标识信息生成的，设备私钥具体可以为基于客户端的标识信息生成的白盒组件和虚拟机字节码。在步骤502中，服务器端根据视频许可证申请信息对视频内容加密，得到播放内容许可证。可选的，服务器端还可以根据视频许可证申请信息对视频播放权限进行加密。在服务器端根据视频许可证申请信息对视频内容和视频播放权限进行加密时，可以基于设备公钥对对视频内容和视频播放权限进行加密。在步骤503中，服务器端向客户端发送播放内容许可证。在步骤504中，客户端根据虚拟机的字节码和白盒组件对播放内容许可证进行解密，得到视频内容。当然，若播放许可证中还包括加密后的视频播放权限，则客户端根据虚拟机的字节码和白盒组件对播放内容许可证进行解密，还可以得到视频播放权限。在步骤505中，客户端对视频内容进行播放。若客户端解密得到视频播放权限，则客户端可以依据该视频播放权限对视频内容进行播放。

本发明的数字化内容呈现方法，通过设备证书的设备公钥对数字化内容加密，设备私钥对加密后的数字化内容解密，可以实现数字化内容呈现，由于设备证书通过客户端的标识信息可以生成具有设备唯一性的证书，其他客户端无法解密获得数字化内容，保证了具有数字版权的数字化内容不能被其他客户端使用。

本发明还提供一种设备证书生成系统，应用于服务器端，如图6所示，该系统包括：

请求响应模块601，被配置为响应于客户端发送的设备证书发放请求；其中，设备证书发放请求中携带有客户端的标识信息。

设备证书生成模块602，被配置为基于客户端的标识信息生成客户端的设备证书；其中，设备证书至少包括客户端的设备私钥。

设备证书发送模块603，被配置为将设备证书发送至客户端，以使客户端将设备证书作为信任根。

可选的，设备证书生成模块602，具体包括：

设备私钥生成单元，被配置为基于客户端的标识信息生成白盒组件和/或虚拟机的字节码；其中，白盒组件为实现白盒密码算法所需的组件，虚拟机的字节码为实现白盒密码算法的程序，虚拟机的字节码在运行过程中调用白盒组件；将白盒组件和虚拟机的字节码作为客户端的设备私钥。

可选的，设备私钥生成单元，包括：

白盒组件生成子单元，被配置为基于客户端的标识信息生成白盒密码算法所需的密钥；基于密钥生成白盒组件。

虚拟机的字节码生成子单元，被配置为基于客户端的标识信息获得程序运行次数；基于程序运行次数生成虚拟机的字节码。

可选的，本发明提供的设备证书生成系统，还包括：

指令接收模块，被配置为接收设备证书更换指令；

字节码更换模块，被配置为在设备私钥变更时，更新虚拟机的字节码，获得更新后的虚拟机的字节码；其中，更新后的虚拟机的字节码为实现变更后的白盒密码算法的程序，更新后的虚拟机的字节码在运行过程中调用白盒组件；

设备私钥更新模块，被配置为将更新后的虚拟机的字节码和白盒组件作为更新后的设备私钥。

本发明还提供一种数字化内容呈现系统，应用于客户端，客户端存储有设备证书，设备证书包括设备公钥和设备私钥，设备私钥与设备公钥为非对称密钥对，设备私钥是服务器端基于客户端的标识信息生成的，如图7所示，该系统包括：

申请信息发送模块701，被配置为向服务器端发送数字化内容许可证申请信息；其中，数字化内容许可证申请信息至少包括设备公钥；

许可证获取模块702，被配置为获取服务器端发送的数字化内容许可证；其中，数字化内容许可证为服务器端基于设备公钥对目标数字化内容进行加密得到的；

数字化内容呈现模块703，被配置为基于设备私钥对数字化内容许可证进行解密，得到并呈现目标数字化内容。

可选的，设备私钥包括虚拟机的字节码和白盒组件，白盒组件为实现白盒密码算法所需的组件，虚拟机的字节码为实现白盒密码算法的程序，虚拟机的字节码在运行过程中调用白盒组件。

数字化内容呈现模块703，具体被配置为：

本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述设备证书生成方法和/或数字化内容呈现方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述设备证书生成方法和/或数字化内容呈现方法。

本发明实施例提供了一种电子设备80，如图8所示，设备80包括至少一个处理器801、以及与处理器801连接的至少一个存储器802、总线803；其中，处理器801、存储器802通过总线803完成相互间的通信；处理器801用于调用存储器802中的程序指令，以执行上述的设备证书生成方法和/或数字化内容呈现方法。本文中的电子设备可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在字幕处理设备上执行时，适于执行初始化有上述的设备证书生成方法和/或数字化内容呈现方法包括的步骤的程序。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程字幕处理设备的处理器以产生一个机器，使得通过计算机或其他可编程字幕处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

在一个典型的配置中，设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、字幕结构、程序的模块或其他字幕。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的字幕信号和载波。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种设备证书生成方法，其特征在于，应用于服务器端，所述方法包括：

2.根据权利要求1所述的设备证书生成方法，其特征在于，所述基于所述客户端的标识信息生成所述客户端的设备证书，包括：

3.根据权利要求2所述的设备证书生成方法，其特征在于，基于所述客户端的标识信息生成所述白盒组件，包括：

基于所述密钥生成所述白盒组件；

基于所述客户端的标识信息获得程序运行次数；

基于所述程序运行次数生成所述虚拟机的字节码。

4.根据权利要求2所述的设备证书生成方法，其特征在于，还包括：

接收设备证书更换指令；

5.一种设备证书生成系统，其特征在于，应用于服务器端，所述系统包括：

6.一种数字化内容呈现方法，其特征在于，应用于客户端，所述客户端存储有设备证书，所述设备证书包括设备公钥和设备私钥，所述设备私钥与所述设备公钥为非对称密钥对，所述设备私钥是所述服务器端基于所述客户端的标识信息生成的，所述方法包括：

7.根据权利要求6所述的数字化内容呈现方法，其特征在于，所述设备私钥包括虚拟机的字节码和白盒组件，所述白盒组件为实现白盒密码算法所需的组件，所述虚拟机的字节码为实现所述白盒密码算法的程序，所述虚拟机的字节码在运行过程中调用所述白盒组件；

8.一种数字化内容呈现系统，其特征在于，应用于客户端，所述客户端存储有设备证书，所述设备证书包括设备公钥和设备私钥，所述设备私钥与所述设备公钥为非对称密钥对，所述设备私钥是所述服务器端基于所述客户端的标识信息生成的，所述系统包括：

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有程序，所述程序被处理器执行时实现权利要求1-4任一项所述的设备证书生成方法和/或权利要求6-7所述的数字化内容呈现方法。

10.一种电子设备，其特征在于，包括：

所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行权利要求1-4任一项所述的设备证书生成方法和/或权利要求6-7所述的数字化内容呈现方法。