專利名稱:數(shù)字權利管理系統(tǒng)的制作方法
技術領域:
本發(fā)明總的來說涉及數(shù)字權利管理����,更具體的,涉及執(zhí)行數(shù)字權利管理的方法���、設備以及系統(tǒng)。
背景技術:
有價值的數(shù)字內(nèi)容(例如音樂����、游戲、視頻、圖片和書籍)易于被復制和共享對于內(nèi)容所有者來說是令人不安的�。關鍵在于內(nèi)容所有者能被公平的補償。鑒于此����,要求內(nèi)容發(fā)行人執(zhí)行安全措施防止盜版。數(shù)字權利管理(DRM)是用于描述此種權利保護的流行詞匯����,還是涉及訪問和處理數(shù)字內(nèi)容的管理規(guī)則。內(nèi)容所有人希望使用用安全的��、防篡改的電子裝置實施的DRM來保護他們有價值的數(shù)字內(nèi)容����。
現(xiàn)有技術中的DRM保護方案使用密碼或憑證將內(nèi)容鎖到單個裝置或用戶,然而不道德的消費者趨向于在用戶中共享密碼/憑證�,從而所有人都參與內(nèi)容的使用。為解決該問題�,現(xiàn)有技術方案允許個人僅在共享共同特征(trait)的裝置域共享內(nèi)容。該特征(例如組ID��,密碼或加密密鑰)是必須安全存儲在該域每個裝置內(nèi)的一段數(shù)據(jù)�,從而不能與該域之外的裝置共享。通常���,識別一個域的該段數(shù)據(jù)是DRM私人/公共密鑰對��。DRM私人密鑰保密并存儲在該域的每個裝置內(nèi)���,DRM公共密鑰用于將內(nèi)容和域內(nèi)裝置加密捆綁����。稱為密鑰發(fā)行人(KI)的服務器�����,通過安全的管理DRM密鑰的分發(fā)來管理裝置到某域的注冊或刪除�����。裝置內(nèi)部軟件以及裝置和KI之間的協(xié)議會使用DRM密鑰實施DRM規(guī)則���。
即使使用上述DRM方案����,DRM系統(tǒng)也總是潛在的攻擊目標�����。不論是鬧著玩或為獲取利益�����,攻擊者留意DRM服務器(例如KI)或電子裝置����,嘗試并尋找弱點。分配的特征�,例如域密鑰,是潛在的弱點區(qū)域����,并因此是攻擊的潛在途徑。例如�,KI可以通過跟蹤裝置的公共密鑰來監(jiān)測欺詐。然而��,由于密鑰是分配的并且無需永遠不變��,該方法有潛在缺陷���。因此�����,當基于分配的特征(例如密鑰)時�����,域管理和DRM實施都更脆弱��。因此����,需要一種減少不道德用戶訪問權利發(fā)行人希望保密的內(nèi)容的數(shù)字權利管理方案。
圖1是根據(jù)本發(fā)明優(yōu)選實施例的數(shù)字權利管理系統(tǒng)的框圖��。
圖2是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1數(shù)字權利管理系統(tǒng)操作的流程圖�����。
圖3是根據(jù)本發(fā)明優(yōu)選實施例的圖1的用戶設備的框圖���。
圖4是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖3的用戶設備操作的流程圖�����。
圖5是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1密鑰發(fā)行人操作的流程圖�。
圖6是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1內(nèi)容提供者或權利發(fā)行人操作的流程圖���。
圖7是顯示根據(jù)本發(fā)明替換實施例在圖1的多個用戶設備以及圖1密鑰發(fā)行人之間的交互的框圖���。
圖8是顯示根據(jù)本發(fā)明替換實施例在圖1的多個用戶設備以及圖1密鑰發(fā)行人之間的交互的框圖。
具體實施例方式
為滿足防篡改的數(shù)字權利管理方案的需求�����,在此提供一種執(zhí)行DRM的方法����、設備以及系統(tǒng)。根據(jù)本發(fā)明優(yōu)選實施例�����,給裝置分配用作該裝置“電子”生物計量(biometric)的唯一的�����、不變的標識或序列號(SN)(標識屬性)��。由密鑰發(fā)行人創(chuàng)建的任何證書都包含該裝置分配的DRM公共密鑰和該裝置的電子生物計量數(shù)據(jù)�。當消費者希望從內(nèi)容提供者(權利發(fā)行人)購買新的內(nèi)容時,消費者會發(fā)送包含自身DRM公共密鑰和生物計量的證書�����。然后權利發(fā)行人以僅允許具有該特定生物計量和DRM公共密鑰的裝置再現(xiàn)該內(nèi)容的方式創(chuàng)建分配內(nèi)容的許可證。
因為各個裝置包含自己的唯一的電子生物計量和DRM密鑰�,并且因為分配內(nèi)容的許可證僅允許具有特定生物計量和DRM密鑰的裝置運行該內(nèi)容,所以大大降低了不道德用戶訪問受保護內(nèi)容的機會��。
本發(fā)明包括一種用于設備運行數(shù)字內(nèi)容的方法����。該方法包括步驟確定該設備內(nèi)具有的標識屬性是否和數(shù)字權利管理(DRM)證書內(nèi)具有的標識屬性匹配,解密被加密的加密密鑰以獲得解密的加密密鑰�,并用該加密密鑰解密數(shù)字內(nèi)容。然后運行該數(shù)字內(nèi)容����。
本發(fā)明還包括一種發(fā)布數(shù)字內(nèi)容的方法。該方法包括步驟接收提供數(shù)字內(nèi)容到用戶設備的請求����,并隨該請求一起接收DRM證書。在本發(fā)明優(yōu)選實施例中��,該DRM證書包括識別接收數(shù)字內(nèi)容的設備的標識屬性�����。本發(fā)明還包括步驟根據(jù)標識屬性確定該設備性能,用內(nèi)容加密密鑰加密該數(shù)字內(nèi)容�,加密該內(nèi)容加密密鑰,并傳送加密的數(shù)字內(nèi)容和加密的內(nèi)容加密密鑰到該用戶設備����。
本發(fā)明還包括一種提供DRM和DRM私人密鑰到用戶設備的方法�。該方法包括步驟從用戶設備接收單元證書,該單元證書包括該用戶設備內(nèi)存在的標識屬性以及單元公共密鑰����,創(chuàng)建DRM證書,該DRM證書包括標識屬性以及DRM公共密鑰�����,創(chuàng)建DRM私人密鑰����,并傳送DRM證書和DRM私人密鑰到該用戶設備。
本發(fā)明還包括一種設備����,該設備包括唯一的不變的標識屬性、加密的數(shù)字內(nèi)容��、加密的內(nèi)容加密密鑰、DRM私人密鑰�����、DRM證書���、以及邏輯電路��。在本發(fā)明優(yōu)選實施例中���,該邏輯電路分析標識屬性以確定該標識屬性是否和包含在DRM證書內(nèi)的標識屬性匹配,如果匹配�����,則使用DRM私人密鑰來解密該加密的內(nèi)容加密密鑰�����,并使用該內(nèi)容加密密鑰來解密該數(shù)字內(nèi)容��。
最后�,本發(fā)明包括一種DRM系統(tǒng)。該DRM系統(tǒng)包括屬于一個用戶組的第一用戶設備,該第一用戶設備包括唯一的不變的標識屬性��、在用戶組中共享的加密數(shù)字內(nèi)容�、在用戶組中共享的加密的內(nèi)容加密密鑰、在用戶組中共享的DRM私人密鑰���、DRM證書��、以及邏輯電路�����。如所述的,該邏輯電路分析標識屬性以確定該標識屬性是否和包含在DRM證書內(nèi)的標識屬性匹配����,如果匹配,則使用DRM私人密鑰來解密該加密的內(nèi)容加密密鑰�,并使用該內(nèi)容加密密鑰來解密該數(shù)字內(nèi)容。
在說明根據(jù)本發(fā)明優(yōu)選實施例的DRM系統(tǒng)之前����,提供以下定義,從而為本發(fā)明優(yōu)選實施例的使用設定必要背景�。
●公共密鑰加密使用一對密鑰,即公共和私人密鑰的加密技術。私人密鑰用于解密數(shù)據(jù)或產(chǎn)生數(shù)字簽名�,公共密鑰用于加密數(shù)據(jù)或驗證數(shù)字簽名。
●證書數(shù)字證書是由可信任的證明權威發(fā)布的數(shù)據(jù)塊�。它包含超時日期以及證書持有人公共密鑰和標識數(shù)據(jù)(例如地址或序列號)的副本。證書發(fā)布權威簽署該數(shù)字證書���,從而接收方可以驗證該證書是有效的�,并由此鑒別證書持有人���。某些數(shù)字證書遵從標準X.509����。
●數(shù)字簽名數(shù)字簽名(不要和數(shù)字證書相混淆)是可用于驗證消息發(fā)送者或文件簽署者身份的電子簽名���,能夠確保發(fā)送的消息或文件的原始內(nèi)容未被改動��。
●數(shù)字簽署對象包括被數(shù)字簽署的數(shù)據(jù)的數(shù)字對象���。數(shù)字簽名被附加到該對象。
●驗證確定某人或某物實際上是否是宣稱的那個人或物的處理過程�����。裝置或用戶的驗證要求使用數(shù)字證書以及涉及使用公共密鑰加密的詢問響應協(xié)議。證書的驗證要求鑒定該證書的數(shù)字簽名�����。
現(xiàn)在轉到附圖�,其中相同數(shù)字表示相同組件,圖1是根據(jù)本發(fā)明優(yōu)選實施例的DRM系統(tǒng)的框圖���。如圖所示�,DRM系統(tǒng)100包括用戶設備101��,密鑰發(fā)行人103���,權利發(fā)行人105��,以及網(wǎng)絡107。
用戶設備101包括能運行再現(xiàn)數(shù)字內(nèi)容的應用程序的那些裝置�,例如計算機、蜂窩電話���、個人數(shù)字助理......等���。例如�,用戶設備101可以是配備有播放MPEG AUDIO LAYER 3(MP3)文件的應用程序�����、配備有諸如標準MP3播放器的應用程序的計算機����。類似的,用戶設備101可包括配備用于播放MPEG VIDEO LAYER 4文件�,具有標準MPEG視頻編解碼器的蜂窩電話。用戶設備101的其他可能實施例包括(但不限于)機頂盒����,汽車無線電設備,聯(lián)網(wǎng)MP3播放器��,無線PDA......等�����。數(shù)字內(nèi)容的其他可能實施例包括(但不限于)音樂����,游戲,視頻�,圖片�����,書籍����,地圖���,軟件等����。
密鑰發(fā)行人105包括和用戶設備101建立已驗證通信然后給用戶設備101提供DRM證書的應用程序�。用戶設備101使用DRM證書從權利發(fā)行人103獲取權利對象。權利發(fā)行人103使用DRM證書驗證設備101��,并隨和該內(nèi)容(許可證)相關的權利一起傳送數(shù)字內(nèi)容到用戶設備101����。
根據(jù)本發(fā)明的優(yōu)選實施例,裝置之間的所有通信都在網(wǎng)絡107上發(fā)生����。網(wǎng)絡107可采用不同形式���,例如(但不限于)蜂窩網(wǎng)絡���,局域網(wǎng)����,廣域網(wǎng)......等���。例如用戶設備101可包括標準的蜂窩電話���,網(wǎng)絡107包括蜂窩網(wǎng)絡,例如碼分多址通信系統(tǒng)��。
不考慮用戶設備101���、網(wǎng)絡107以及權利發(fā)行人106所采用的形式�����,期望DRM系統(tǒng)100內(nèi)的這些組件以公知方式配置�,具有處理器�����、存儲器、指令集等����,以任何適當方式運行以執(zhí)行在此說明的功能。
如上所述����,設備101包括識別特定設備101的唯一的不變的標識屬性(例如唯一的序列號(SN)和型號(MN))。例如�,SN可唯一識別設備101,MN可指示和該設備101相關的性能(例如它支持的DRM軟件的版本)�����。優(yōu)選的����,在制造期間將該序列號提供給設備101,并且不能被設備101的用戶以任何方式改變��。用戶設備101還包括用于建立和密鑰發(fā)行人105的已驗證通信的單元私人密鑰/公共密鑰對�。更具體的,用戶設備101包含第一單元證書���,該證書包含設備的型號和序列號以及單元公共密鑰�����。期望在任何驗證之前使用該單元證書�����,驗證處理會使用戶設備101鑒別該單元證書并檢查它自己的序列號以證實用于驗證的單元證書也包含用戶設備101的序列號���。從而DRM系統(tǒng)100的操作如下進行用戶設備101被制造為具有唯一不變的序列號、型號�����、單元證書以及單元私人密鑰��。當用戶購買設備101時��,用戶必須獲取下載/訪問數(shù)字內(nèi)容的權利�。為獲得這些權利,密鑰發(fā)行人105將DRM證書和DRM私人密鑰授與設備101���,允許設備101獲取并訪問數(shù)字內(nèi)容�����。為獲得DRM證書和私人密鑰�,用戶設備101必須首先使用單元證書和單元私人密鑰向密鑰發(fā)行人105驗證。
當向密鑰發(fā)行人105驗證時�,用戶設備101首先使用鑒別處理驗證自己的單元證書。該處理應當確保鑒別單元證書簽名�,相對于安裝在設備101內(nèi)的SN和MN來檢查SN和MN,并檢驗單元私人密鑰以察看該密鑰和單元證書內(nèi)的單元公共密鑰是否形成有效的公共密鑰對��。如果是����,則驗證處理成功,將單元證書提供給密鑰發(fā)行人105,在驗證協(xié)議中使用單元私人密鑰,例如無線傳輸層安全(WTLS)協(xié)議��。密鑰發(fā)行人105驗證單元證書,確定來自單元證書的型號和序列號����,并創(chuàng)建包含該序列號、型號以及公共密鑰的DRM證書���。密鑰發(fā)行人105然后發(fā)送DRM證書和私人密鑰(DRM私人密鑰)到設備101���。
當用戶希望從權利發(fā)行人103購買數(shù)字內(nèi)容時�,它向權利發(fā)行人103提供DRM證書�����。因此根據(jù)本發(fā)明的優(yōu)選實施例��,包含設備101的序列號�、DRM公共密鑰以及可能其型號的DRM證書被提供給權利發(fā)行人103�。權利發(fā)行人會檢查該DRM證書的真實性,并可能處理序列號和型號��。例如���,權利發(fā)行人103可以檢查欺詐列表以確保具有給定序列號的設備101不在列表中����,或權利發(fā)行人103可以使用型號來確定設備101的性能從而它知道該設備101能提供哪種類型的DRM保護�����。
權利發(fā)行人103然后和數(shù)字簽署許可證(權利對象)一起提供加密的數(shù)字內(nèi)容����。根據(jù)本發(fā)明優(yōu)選實施例�,該許可證包含再現(xiàn)(運行)該數(shù)字內(nèi)容所需的加密的加密密鑰(內(nèi)容加密密鑰)�。僅可通過應用DRM私人密鑰解密該內(nèi)容加密密鑰來獲得該內(nèi)容加密密鑰。再次的��,在使用DRM私人密鑰解密該內(nèi)容加密密鑰之前��,用戶設備101首先使用鑒別處理來驗證自身的DRM證書���。例如��,該鑒別處理能確保該DRM證書簽名已核實����,相對于安裝在設備101內(nèi)的SN和MN來檢查SN和MN�,檢驗DRM私人密鑰以察看該密鑰和DRM證書內(nèi)的DRM公共密鑰是否形成有效公共密鑰對。僅當該鑒別處理成功��,才允許UE使用自己的DRM私人密鑰來訪問內(nèi)容�����。
注意�����,為了購買內(nèi)容,提供的DRM證書不必是用于設備101的DRM證書����,這很重要。因為在某些情況中�����,用戶可能購買內(nèi)容并將其作為給別人的禮物���。在此情形中,用戶提供用于其他裝置或到它的鏈路的DRM證書�����。因為內(nèi)容購買者沒有內(nèi)容的DRM私人密鑰��,購買者不能再現(xiàn)該內(nèi)容��。僅有禮物的接收者(例如其DRM證書被用于購買該內(nèi)容的裝置的所有人)才能訪問該內(nèi)容����。當禮物接收者想要運行該數(shù)字內(nèi)容(例如播放MP3文件)時��,接收者的設備101驗證它的DRM證書(使用上述處理)以確保它的序列號和型號與DRM證書內(nèi)的序列號和型號相同���。如果鑒別處理成功,該設備訪問DRM私人密鑰以解密權利對象(許可證)中加密的內(nèi)容加密密鑰�,并獲取解密數(shù)字內(nèi)容所需的內(nèi)容加密密鑰。一旦解密�,就運行該內(nèi)容。
圖2是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1的數(shù)字權利管理系統(tǒng)的操作流程圖����。邏輯流程在步驟201開始,在此用戶設備101從密鑰發(fā)行人105獲得DRM證書和DRM私人密鑰����。如上所述,用戶設備101包含由設備制造商提供給它的單元證書����。為獲得DRM證書,如上所述�,步驟201需要建立和密鑰發(fā)行人105的已驗證通信。作為建立該已驗證通信的一部分�����,設備101首先使用鑒別處理驗證自身證書。一旦完成�����,通過使用標準驗證協(xié)議進行驗證���,所述標準驗證協(xié)議例如是無線傳輸層安全(WTLS)協(xié)議��。該標準驗證協(xié)議使用單元私人密鑰/公共密鑰對�。僅在建立了和密鑰發(fā)行人105的已驗證通信之后�,密鑰發(fā)行人105才會給設備101提供DRM證書和DRM私人密鑰。
除了根據(jù)本發(fā)明優(yōu)選實施例之外�����,DRM證書包括本領域公知的標準證書��;DRM證書包含序列號�、型號和公共密鑰����。如果將DRM證書發(fā)布到加入一個裝置組或裝置域的裝置,則DRM證書可以另外包括指示該證書用于某裝置域的屬性����,還可以在DRM證書內(nèi)指示該域內(nèi)允許使用的裝置的最大數(shù)目�。還發(fā)送DRM私人密鑰到用戶設備101���。
在步驟203���,用戶設備101使用DRM證書從權利發(fā)行人103獲得內(nèi)容。更具體的�����,向權利發(fā)行人103提供DRM證書��。權利發(fā)行人103使用該DRM證書創(chuàng)建和數(shù)字簽署許可證(權利對象)一起的加密數(shù)字內(nèi)容����。如上所述,該許可證包含再現(xiàn)該數(shù)字內(nèi)容所需的加密的內(nèi)容加密密鑰��。僅通過應用DRM私人密鑰才能獲得內(nèi)容加密密鑰�����。
最后�,在步驟205���,用戶設備101再現(xiàn)數(shù)字內(nèi)容。數(shù)字內(nèi)容的再現(xiàn)是通過運行專門設計用于解密該內(nèi)容的應用程序以及運行對應內(nèi)容來進行的�����。更具體的����,該應用程序首先驗證自己的DRM證書并確保它的序列號和型號與不變的序列號和型號一致,檢驗DRM私人密鑰以察看它和DRM證書內(nèi)的DRM公共密鑰是否形成有效公共密鑰對�����。如果是��,則設備訪問它的DRM私人密鑰以解密包含在權利對象(許可證)中的內(nèi)容加密密鑰�。然后使用該密鑰解密并運行數(shù)字內(nèi)容���。
圖3是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1的用戶設備101的框圖�����。如圖所示���,用戶設備101包括存儲器311��,用于存儲單元證書301��、單元私人密鑰307����、DRM證書302�、應用程序303、數(shù)字內(nèi)容304��、DRM私人密鑰305以及許可證306�����。如本領域已知的�,存儲器311可以包括任何數(shù)目的存儲裝置,包括(但不限于)硬盤存儲器���,隨機訪問存儲器(RAM)�����,智能卡(例如蜂窩電話中使用的無線識別模塊)等�。用戶設備101還包括邏輯電路309,在本發(fā)明優(yōu)選實施例中��,該電路包括微處理器控制器����,例如(但不限于)摩托羅拉MC68328DragonBall集成微處理器或TI OMAP1510處理器。最后���,用戶設備101包括不變的序列號/型號�。在本發(fā)明優(yōu)選實施例中���,型號優(yōu)選的存儲在只讀存儲器(ROM)中�����,使用激光蝕刻處理將唯一的序列號永久的嵌入到裝置內(nèi)��,然而�,用于存儲序列號/型號的其他方法包括(但不限于)在一次可編程存儲器或閃存中存儲這些號碼����。
圖4是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖3用戶設備的操作流程圖。更具體的�,以下步驟顯示從權利發(fā)行人獲取數(shù)字內(nèi)容并再現(xiàn)數(shù)字內(nèi)容所必需的步驟。邏輯流程在步驟401開始��,其中邏輯電路309確定是否需要DRM證書����。更具體的,一旦將DRM證書發(fā)布給用戶設備101�����,用戶設備可對所有事務處理使用該DRM證書����,無需獲取新的DRM證書。因此��,在步驟401�,如果不需要DRM證書,則邏輯流程繼續(xù)到步驟407����,否則邏輯流程進行到步驟403。在步驟403����,單元證書301和序列號��、型號經(jīng)歷鑒別處理(如上所述�,檢查單元證書真實性���,檢查單元私人密鑰和單元公共密鑰的配對�,并檢查包含在單元證書301內(nèi)的序列號和型號)��。如果鑒別失敗����,則邏輯流程在步驟419結束。如果在步驟403鑒別成功���,則邏輯流程進行到步驟405��,在此單元證書301被提供給密鑰發(fā)行人105���。在步驟407,隨DRM私人密鑰305一起�����,從密鑰發(fā)行人105獲得DRM證書302,并將其存儲在存儲器311中���。然后流程返回到步驟401。
一旦獲得DRM證書302����,現(xiàn)在就可以從權利發(fā)行人103獲得數(shù)字內(nèi)容。該處理過程在步驟407開始���,其中和數(shù)字內(nèi)容請求一起提供DRM證書302到權利發(fā)行人103�����。作為響應��,在步驟409�����,用戶設備101接收數(shù)字內(nèi)容304以及許可證306���。這些存儲在存儲器311中。
為運行數(shù)字內(nèi)容����,用戶設備101必須首先對自己的DRM證書302執(zhí)行鑒別處理�����,這涉及檢查序列號313和DRM證書302內(nèi)的序列號匹配(步驟411)��。如果鑒別處理成功�,則邏輯單元309訪問DRM私人密鑰305并用其解密來自許可證306的內(nèi)容加密密鑰(步驟413)����。在步驟415解密內(nèi)容,然后在步驟417由應用程序303再現(xiàn)該內(nèi)容�。
圖5是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1的密鑰發(fā)行人的操作流程圖。邏輯流程在步驟501開始����,在此驗證用戶設備101和密鑰發(fā)行人105之間的通信。作為該驗證的一部分�,向密鑰發(fā)行人105提供單元證書301。從單元證書301��,密鑰發(fā)行人105確定用戶設備101的型號和序列(識別)號(步驟503)�。在步驟505,密鑰發(fā)行人105創(chuàng)建DRM證書302����,以及DRM私人密鑰305����。最后���,在步驟507,DRM證書302和DRM私人密鑰305被傳送到用戶設備101����。
圖6是顯示根據(jù)本發(fā)明優(yōu)選實施例的圖1的內(nèi)容提供者或權利發(fā)行人的操作流程圖。邏輯流程在步驟601開始���,在此權利發(fā)行人103建立和用戶設備101的通信����。在步驟603����,權利發(fā)行人103接收提供內(nèi)容304到用戶設備101的請求。隨該請求一起���,權利發(fā)行人103接收DRM證書302��。在步驟605�����,權利發(fā)行人103分析DRM證書以確定DRM公共密鑰��、序列號和型號313����。權利發(fā)行人103然后加密內(nèi)容304并創(chuàng)建許可證306(步驟607),以僅有訪問DRM私人密鑰305的裝置才能再現(xiàn)內(nèi)容304的方式分配內(nèi)容304�。更具體的,許可證306包括解密內(nèi)容304所需的加密的內(nèi)容加密密鑰����。用于加密內(nèi)容的密鑰可通過應用DRM私人密鑰305解密。最后���,在步驟609��,內(nèi)容304和許可證306被傳送到用戶設備101���。
本發(fā)明還用于實現(xiàn)基于域的DRM系統(tǒng),其中多個用戶可以形成共享訪問同一數(shù)字內(nèi)容的組��。圖7是根據(jù)本發(fā)明優(yōu)選實施例的圖1的多個用戶設備101和圖1的密鑰發(fā)行人105之間交互的框圖。在圖7中����,設備701、702和703是圖1用戶設備101獨立的不同的實施例��。用戶設備701��、702和703都是裝置域700的一部分�����,該域可包含有限數(shù)目的裝置�����?��?扇缟蠀⒖紙D5所述建立裝置域。這些步驟要求傳送證書和密鑰�,如圖7所示。即����,用戶設備701安全發(fā)送自己的單元證書704到密鑰發(fā)行人105�����。然后�����,密鑰發(fā)行人105安全的發(fā)送DRM證書708和DRM私人密鑰706到用戶設備701���。類似的,用戶設備703安全發(fā)送自己的單元證書705到密鑰發(fā)行人105���。然后�����,密鑰發(fā)行人105安全的發(fā)送DRM證書709和DRM私人密鑰706到用戶設備703����。由于用戶設備701和703現(xiàn)在共享相同的DRM私人密鑰706�����,它們在相同的裝置域700內(nèi),并且它們可以共享分配給該域的內(nèi)容(例如它們可以使用共同的DRM私人密鑰706來解密內(nèi)容加密密鑰)�����。實際上��,圖7顯示了密鑰發(fā)行人105可以作為域管理者���,并允許給多個但有限數(shù)目的裝置提供相同的DRM私人密鑰706�。
圖8是是根據(jù)本發(fā)明優(yōu)選實施例的圖1的多個用戶設備101和圖1的權利發(fā)行人103之間交互的框圖��。在圖8中����,用戶設備701��、702和703都是裝置域700的一部分并共享公共的DRM私人密鑰706(來自圖7)��??扇鐖D6所述獲得用于某數(shù)字產(chǎn)品的權利對象或許可證。這些步驟要求對象的傳輸�,如圖8所示。即�����,用戶設備701發(fā)送自己的DRM證書808到權利發(fā)行人103。權利發(fā)行人103然后發(fā)送許可證810到用戶設備701�。如圖8所示,許可證810可被用戶設備702和703共享����。由于用戶設備701,702����,和703共享相同的DRM私人密鑰706(即它們在相同的裝置域中),每個裝置都可以解密包含在許可證810內(nèi)的加密的內(nèi)容加密密鑰���。因此����,在本發(fā)明優(yōu)選實施中說明的密鑰���、證書��、以及許可證實現(xiàn)了允許裝置域700的DRM系統(tǒng)�����。
雖然參考特定實施例顯示并說明了本發(fā)明���,本領域技術人員應當理解�,可以做出形式上和細節(jié)上的不同改變而不背離本發(fā)明的精神和范圍��。例如��,雖然以上說明是關于使用唯一不變的序列號/型號給出的��,本領域技術人員能認識到可以使用任何嵌入式號碼執(zhí)行以上DRM方案��。期望此種變化包含在下面的權利要求的范圍內(nèi)����。
權利要求
1.一種用于設備運行數(shù)字內(nèi)容的方法,該方法包括步驟確定所述設備內(nèi)具有的標識屬性是否和數(shù)字權利管理(DRM)證書內(nèi)存在的標識屬性匹配��;對加密的加密密鑰進行解密以獲得解密的加密密鑰��;用所述加密密鑰解密數(shù)字內(nèi)容����;以及運行所述數(shù)字內(nèi)容����。
2.如權利要求1所述的方法�,其中����,所述確定標識屬性是否和DRM證書內(nèi)存在的標識屬性匹配的步驟包括確定所述設備內(nèi)具有的唯一不變的序列號和DRM證書內(nèi)存在的序列號是否匹配。
3.如權利要求1所述的方法��,其中����,所述解密加密的加密密鑰的步驟包括只有當所述設備內(nèi)具有的標識屬性和數(shù)字權利管理(DRM)證書內(nèi)存在的標識屬性匹配時才對加密的加密密鑰進行解密。
4.一種發(fā)布數(shù)字內(nèi)容的方法����,該方法包括步驟接收提供數(shù)字內(nèi)容到用戶設備的請求;隨所述請求一起接收DRM證書����,所述DRM證書包括識別接收所述數(shù)字內(nèi)容的設備的標識屬性;根據(jù)所述標識屬性確定所述設備的性能���;用內(nèi)容加密密鑰加密所述數(shù)字內(nèi)容��;加密所述內(nèi)容加密密鑰�����;傳送所述加密的數(shù)字內(nèi)容以及加密的內(nèi)容加密密鑰到所述用戶設備�����。
5.如權利要求4所述的方法�����,其中����,所述接收DRM證書的步驟包括步驟接收包括DRM公共密鑰的DRM證書,并且所述加密所述內(nèi)容加密密鑰的步驟包括步驟使用所述DRM公共密鑰來加密所述內(nèi)容加密密鑰����。
6.一種提供數(shù)字權利管理(DRM)證書以及DRM私人密鑰到用戶設備的方法,該方法包括步驟從所述用戶設備接收單元證書�����,所述單元證書包括存在于所述用戶設備內(nèi)的標識屬性以及單元公共密鑰���;創(chuàng)建DRM證書���,所述DRM證書包括所述標識屬性以及DRM公共密鑰;創(chuàng)建DRM私人密鑰��;以及傳送所述DRM證書以及所述DRM私人密鑰到所述用戶設備�。
7.如權利要求6所述的方法,其中���,所述接收單元證書的步驟包括接收包含唯一����、不變的序列號的單元證書的步驟���,所述序列號存在于所述用戶設備中����。
8.一種設備�����,包括唯一�、不變的標識屬性(313);加密的數(shù)字內(nèi)容(304)�����;加密的內(nèi)容加密密鑰(306);DRM私人密鑰(306)�����;DRM證書(302)�����;以及邏輯電路(309)��,其中�����,所述邏輯電路分析所述標識屬性以確定所述標識屬性是否和包含在DRM證書(302)內(nèi)的標識屬性匹配�,并且如果匹配,則使用所述DRM私人密鑰(306)來解密所述加密的內(nèi)容加密密鑰�����,并使用所述內(nèi)容加密密鑰來解密所述數(shù)字內(nèi)容���。
9.如權利要求8所述的設備�����,進一步包括運行所述解密的數(shù)字內(nèi)容的應用程序(303)��。
10.如權利要求9所述的設備��,其中���,所述唯一、不變的標識屬性包括唯一�����、不變的序列號�����。
11.如權利要求9所述的設備�����,其中����,所述唯一�、不變的標識屬性包括唯一�、不變的序列號和型號。
12.一種數(shù)字權利管理(DRM)系統(tǒng)�����,該DRM系統(tǒng)包括屬于一個用戶組的第一用戶設備����,該第一用戶設備包括唯一、不變的標識屬性(313)�����;在所述用戶組中共享的加密的數(shù)字內(nèi)容(304)����;在所述用戶組中共享的加密的內(nèi)容加密密鑰(306);在所述用戶組中共享的DRM私人密鑰(306)����;DRM證書(302);以及邏輯電路(309)���,其中��,所述邏輯電路分析所述標識屬性以確定所述標識屬性是否和包含在DRM證書(302)內(nèi)的標識屬性匹配�,并且如果匹配,則使用所述DRM私人密鑰(306)來解密所述加密的內(nèi)容加密密鑰�,并使用所述內(nèi)容加密密鑰來解密所述數(shù)字內(nèi)容。
13.如權利要求12所述的DRM系統(tǒng)����,進一步包括屬于所述用戶組的第二用戶設備���,該第二用戶設備包括唯一���、不變的標識屬性(313);在所述用戶組中共享的加密的數(shù)字內(nèi)容(304)����;在所述用戶組中共享的加密的內(nèi)容加密密鑰(306);在所述用戶組中共享的DRM私人密鑰(306)���;第二DRM證書(302)���;以及邏輯電路(309),其中,所述邏輯電路分析所述標識屬性以確定所述標識屬性是否和包含在DRM證書(302)內(nèi)的標識屬性匹配����,并且如果匹配,則使用所述DRM私人密鑰(306)來解密所述加密的內(nèi)容加密密鑰����,并使用所述內(nèi)容加密密鑰來解密所述數(shù)字內(nèi)容。
全文摘要
給裝置(101)分配用作該裝置“電子”生物計量的唯一��、不變的標識或序列號(313)��。由密鑰發(fā)行人創(chuàng)建的任何證書(302)都包含該裝置分配的DRM公共密鑰和該裝置的電子生物計量數(shù)據(jù)���。當消費者希望從內(nèi)容提供者(103)購買新的內(nèi)容(304)時�,消費者要發(fā)送包含其DRM公共密鑰和生物計量的DRM證書�����。權利發(fā)行人然后創(chuàng)建許可(306)����,并以僅允許具有特定生物計量和DRM私人密鑰的裝置再現(xiàn)該內(nèi)容的方式分配內(nèi)容。
文檔編號G06F21/00GK1708941SQ200380102483
公開日2005年12月14日 申請日期2003年10月28日 優(yōu)先權日2002年11月1日
發(fā)明者托馬斯·麥瑟基斯, 伊扎特·A·戴彼士, 拉里·普爾, 迪安·沃格勒 申請人:摩托羅拉公司