專(zhuān)利名稱(chēng):一種硬件安全單元的數(shù)字水印產(chǎn)生方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及硬件安全單元,尤指一種硬件安全單元的數(shù)字水印產(chǎn)生方法及系統(tǒng)��。
背景技術(shù):
數(shù)字版權(quán)管理(DRM)是指運(yùn)用各種加密手段保證數(shù)字對(duì)象(包括文字����、圖像、音
頻��、視頻等各種形式)在傳輸和使用過(guò)程中的安全���,通過(guò)授權(quán)認(rèn)證機(jī)制�����,防止非法用戶(hù)使
用����。DRM用于保護(hù)和管理數(shù)字資源,保障版權(quán)所有者及傳播者等各方的利益�����。 簡(jiǎn)單而言���,DRM可以讓所有用戶(hù)傳播密文,但密鑰被DRM授權(quán)系統(tǒng)掌握�����,只有授權(quán)
用戶(hù)才會(huì)被準(zhǔn)許拿出密鑰��。當(dāng)一個(gè)授權(quán)用戶(hù)想要閱讀受保護(hù)的媒體內(nèi)容時(shí)�����,必須向DRM中
心申請(qǐng)�,獲得批準(zhǔn)后,才會(huì)得到密鑰授權(quán)�。在DRM單一終端的使用模式下�,授權(quán)用戶(hù)使用該
密鑰解密該用戶(hù)已下載到本地的密文媒體文件��,生成可以閱讀的明文信息����。 如果用戶(hù)去音像店買(mǎi)CD,然后自行轉(zhuǎn)錄成MP3�����,在自己的MP3設(shè)備播放一樣��,法律
并不禁止用戶(hù)的這種行為���。 同樣的�����,高清片源容量巨大(30GB 50GB —部片子)�,并不能在用戶(hù)所有的設(shè)備 上播放���。比如用戶(hù)希望可以在自己的MP4播放器上播放已經(jīng)付費(fèi)并下載的電影���,但用戶(hù)的 MP4只支持MPGE4格式的電影�����,且MP4只有4G容量�。這就不可避免的牽扯到用戶(hù)的轉(zhuǎn)錄行 為�����。 因此��,如何有效地識(shí)別用戶(hù)的轉(zhuǎn)錄行為�����,防止侵權(quán)現(xiàn)象的發(fā)生����,是本領(lǐng)域技術(shù)人員 亟需解決的技術(shù)問(wèn)題�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種硬件安全單元的數(shù)字水印產(chǎn)生方法和系統(tǒng)�,用于產(chǎn)生數(shù) 字水印,有效地識(shí)別用戶(hù)的轉(zhuǎn)錄行為。 —方面���,本發(fā)明提供一種硬件安全單元的數(shù)字水印產(chǎn)生方法����,所述方法包括
接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰��;
獲得硬件安全單元平臺(tái)信息�; 依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印。 優(yōu)選地��,在依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印的步驟
之前包括 獲得用數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)��; 使用所述認(rèn)證中心證書(shū)對(duì)所述第一密鑰和所述硬件安全單元平臺(tái)信息簽名�,獲得 簽名結(jié)果; 依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印的步驟��,具體為
依據(jù)所述第一密鑰�,所述硬件安全單元平臺(tái)信息和所述簽名結(jié)果生成數(shù)字水印。
優(yōu)選地���,所述依據(jù)所述第一密鑰�,所述硬件安全單元平臺(tái)信息和所述簽名結(jié)果生 成數(shù)字水印的步驟�����,具體為
將硬件安全單元表示平臺(tái)唯一信息和用戶(hù)信息的數(shù)據(jù)作為數(shù)字水印的平臺(tái)信息 部分; 提取所述第一密鑰的特征值作為數(shù)字水印的原有密鑰信息部分�; 將數(shù)字水印的平臺(tái)信息部分和原有密鑰部分信息部分用數(shù)字版權(quán)管理服務(wù)器發(fā)
布的CA (Certification Authority)認(rèn)證中心證書(shū)簽名,得到的簽名結(jié)果作為數(shù)字水印的
第三部分�����。 優(yōu)選地��,所述第一密鑰包括第一密鑰實(shí)體�,所述第一密鑰是否允許參與數(shù)字水 印,第一密鑰存儲(chǔ)條件和第一密鑰使用條件����。 優(yōu)選地,所述方法還包括向數(shù)字版權(quán)管理服務(wù)器注冊(cè)數(shù)字水印����。 優(yōu)選地,所述向數(shù)字版權(quán)管理服務(wù)器注冊(cè)數(shù)字水印的步驟之后包括 獲取并通過(guò)所述數(shù)字版權(quán)管理服務(wù)器的所述平臺(tái)代表的用戶(hù)賬戶(hù)狀態(tài)驗(yàn)證�; 獲取數(shù)字版權(quán)關(guān)系服務(wù)器的數(shù)字水印激活授權(quán)��。 優(yōu)選地�,所述方法還包括 對(duì)所述第一密鑰和所述數(shù)字水印的使用情況進(jìn)行記錄。 優(yōu)選地,所述對(duì)所述第一密鑰和所述數(shù)字水印的使用情況進(jìn)行記錄的步驟以后���, 包括 接收所述數(shù)字版權(quán)關(guān)系服務(wù)器對(duì)于所述第一密鑰和所述數(shù)字水印的使用情況的 查詢(xún)和管理�; 并向所述數(shù)字版權(quán)關(guān)系服務(wù)器發(fā)送所述第一密鑰和所述數(shù)字水印的使用情況�。
另一方面,本發(fā)明提供一種硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)�,所述系統(tǒng)包括硬 件安全單元,數(shù)字版權(quán)管理服務(wù)器�;
所述硬件安全單元包括 通訊單元,用于接收來(lái)自所述數(shù)字版權(quán)管理服務(wù)器的第一密鑰����; 數(shù)字水印生成單元,依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水
?���。?數(shù)字版權(quán)管理服務(wù)器包括密鑰存儲(chǔ)單元���,用于存儲(chǔ)第一密鑰���。 優(yōu)選地,數(shù)字版權(quán)管理服務(wù)器還包括證書(shū)存儲(chǔ)單元�����,用于存儲(chǔ)認(rèn)證中心證書(shū); 數(shù)字水印生成單元�����,依據(jù)所述硬件安全單元平臺(tái)信息和所述第一密鑰�,以及用數(shù)
字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)簽名所述硬件安全單元平臺(tái)信息和第一密鑰得到
的結(jié)果生成數(shù)字水印。 優(yōu)選地�����,所述第一密鑰包括第一密鑰實(shí)體�,所述第一解密密鑰是否允許參與數(shù)字 水印,第一存儲(chǔ)條件和第一使用條件����。 優(yōu)選地,所述數(shù)字版權(quán)管理服務(wù)器還包括與密鑰存儲(chǔ)單元相連的水印檢查記錄單 元�����,用于記錄所述第一密鑰和所述數(shù)字水印的使用情況��。 本發(fā)明實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法��,硬件安全單元接收來(lái)自數(shù) 字版權(quán)管理服務(wù)器的第一密鑰���,并對(duì)所述第一密鑰進(jìn)行存儲(chǔ)管理����。硬件安全單元可以將包 含所述硬件安全單元平臺(tái)信息和所述第一密鑰���,以及用數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中 心證書(shū)簽名所述硬件安全單元平臺(tái)信息和所述第一密鑰得到的結(jié)果共同作為數(shù)字水印���。
當(dāng)用戶(hù)希望在自己的使用范圍內(nèi)進(jìn)行數(shù)字水印形式的媒體文件轉(zhuǎn)錄時(shí),可以在取得硬件安全單元的使用權(quán)���,由硬件安全單元對(duì)存儲(chǔ)的第一密鑰進(jìn)行檢查���,將本發(fā)明所述方 法生成的包括了硬件安全單元平臺(tái)信息、第一密鑰和認(rèn)證中心證書(shū)簽名的數(shù)字水印�����。由于 數(shù)字水印包括了硬件安全單元平臺(tái)信息���、第一密鑰和認(rèn)證中心證書(shū)簽名的結(jié)構(gòu)三部分��,當(dāng) 用戶(hù)向超越自身使用范圍的地方轉(zhuǎn)錄時(shí)���,就無(wú)法使用帶有數(shù)字水印的載體文件���,可以有效 地防止用戶(hù)在超越自身的范圍內(nèi)轉(zhuǎn)錄。
圖1是本發(fā)明所述硬件安全單元
圖2是本發(fā)明所述硬件安全單元
圖3是本發(fā)明所述硬件安全單元
圖4是本發(fā)明所述硬件安全單元
圖5是本發(fā)明所述硬件安全單元
的數(shù)字水印產(chǎn)生方法第一實(shí)施例流程圖; 的數(shù)字水印產(chǎn)生方法第二實(shí)施例流程圖; 的數(shù)字水印產(chǎn)生方法第三實(shí)施例流程圖; 的數(shù)字水印產(chǎn)生系統(tǒng)第一實(shí)施例結(jié)構(gòu)圖; 的數(shù)字水印產(chǎn)生系統(tǒng)第二實(shí)施例結(jié)構(gòu)圖��。
具體實(shí)施例方式
本發(fā)明提供一種硬件安全單元的數(shù)字水印產(chǎn)生方法���,用于產(chǎn)生數(shù)字水印����,有效地 控制用戶(hù)的轉(zhuǎn)錄行為��。 參見(jiàn)圖l���,該圖為本發(fā)明所述硬件安全單元的數(shù)字水印產(chǎn)生方法第一實(shí)施例流程 圖����。 本發(fā)明第一實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法����,包括
S101���、接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰。 用戶(hù)擁有一個(gè)����,基于PC或者HomeServer的硬件安全單元�����,硬件安全單元可以為 TPM\TCM\MTM�����。硬件安全單元可以用于表征平臺(tái)身份�����。 在密鑰授權(quán)的初始階段��,DRMServer會(huì)向硬件安全單元所處的平臺(tái)�,發(fā)布解密密鑰 Key即第一密鑰,同時(shí)會(huì)發(fā)布該密鑰的屬性��。 第一密鑰屬性可以包括第一密鑰實(shí)體���,第一密鑰是否允許參與數(shù)字水印���,第一密 鑰存儲(chǔ)條件和第一密鑰使用條件����。 Key及其屬性被下載后���,要被硬件安全單元保護(hù)��,具體可以存儲(chǔ)在硬件安全單元內(nèi)
部或者加密保護(hù)存儲(chǔ)在硬件安全單元外部�����。 S102��、獲得硬件安全單元平臺(tái)信息���。 S103、依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印����。 硬件安全單元可以抽取第一密鑰的特征值,如KeyID, Key屬性作為數(shù)字水印的原
DRM密鑰信息部分��。硬件安全單元可以將上述平臺(tái)信息和原DRM密鑰信息兩部分結(jié)合為新
的串信息作為數(shù)字水印�����。 當(dāng)然�,硬件安全單元可以將上述平臺(tái)信息和原DRM密鑰信息兩部分結(jié)合為新的串
信息后,在進(jìn)行預(yù)定的計(jì)算或者加密后作為數(shù)字水印����。 步驟S103之前還可以包括 獲得用數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)�; 使用所述認(rèn)證中心證書(shū)對(duì)所述第一密鑰和所述硬件安全單元平臺(tái)信息簽名,獲得 簽名結(jié)果��;
6
那么����,步驟S103具體為 依據(jù)所述第一密鑰,所述硬件安全單元平臺(tái)信息和所述簽名結(jié)果生成數(shù)字水印���。
當(dāng)用戶(hù)希望在自己的使用范圍內(nèi)進(jìn)行數(shù)字水印形式的媒體文件轉(zhuǎn)錄時(shí)����,可以在取 得硬件安全單元的使用權(quán),由硬件安全單元對(duì)存儲(chǔ)的第一密鑰進(jìn)行檢查�����,按照本發(fā)明第一 實(shí)施例所述方法生成的包括了硬件安全單元平臺(tái)信息和第一密鑰的數(shù)字水印���。由于數(shù)字水 印包括了硬件安全單元平臺(tái)信息和第一密鑰�,當(dāng)用戶(hù)向超越自身使用范圍的地方轉(zhuǎn)錄時(shí)����, 數(shù)字版權(quán)管理服務(wù)器就可以得知是哪個(gè)平臺(tái)信息對(duì)應(yīng)的平臺(tái)進(jìn)行的轉(zhuǎn)錄,從而可以有效地 防止用戶(hù)在超越自身的范圍內(nèi)轉(zhuǎn)錄�。 用戶(hù)可以直接使用本發(fā)明實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法生成的 數(shù)字水印,也可以將所述數(shù)字水印再次計(jì)算后得到加密文件對(duì)數(shù)字版權(quán)管理服務(wù)器授權(quán)的 文件進(jìn)行處理���。 參見(jiàn)圖2�����,該圖為本發(fā)明所述硬件安全單元的數(shù)字水印產(chǎn)生方法第二實(shí)施例流程 圖�����。 本發(fā)明第二實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法��,包括 S110����、硬件安全單元接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰,并對(duì)所述第一密
鑰進(jìn)行存儲(chǔ)管理�����。 用戶(hù)擁有一個(gè)����,基于PC或者HomeServer的硬件安全單元,硬件安全單元可以為 TPM\TCM\MTM��。硬件安全單元可以用于表征平臺(tái)身份���。 硬件安全單元可以預(yù)先內(nèi)置有DRM CA(數(shù)字版權(quán)管理服務(wù)器認(rèn)證中心)頒布的電 子證書(shū)。且硬件安全單元已經(jīng)到DRM服務(wù)器注冊(cè)�,被DRM服務(wù)器認(rèn)可。
在密鑰授權(quán)的初始階段����,DRMServer會(huì)向硬件安全單元所處的平臺(tái),發(fā)布解密密鑰 Key即第一密鑰���,同時(shí)會(huì)發(fā)布該密鑰的屬性�����。 第一密鑰屬性可以包括第一密鑰實(shí)體��,第一密鑰是否允許參與數(shù)字水印�����,第一密 鑰存儲(chǔ)條件和第一密鑰使用條件�����。 Key及其屬性被下載后����,要被硬件安全單元保護(hù),具體可以存儲(chǔ)在硬件安全單元內(nèi) 部或者加密保護(hù)存儲(chǔ)在硬件安全單元外部���。 S120�����、硬件安全單元將包含所述硬件安全單元平臺(tái)信息和所述第一密鑰����,以及用 數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)簽名所述硬件安全單元平臺(tái)信息和所述第一密 鑰得到的結(jié)果共同作為數(shù)字水印。 數(shù)字水印可以包括平臺(tái)信息��、原DRM密鑰信息和簽名可保證�。 服務(wù)提供商可以通過(guò)數(shù)字水印的反算,了解藏有數(shù)字水印的載體文件�����,識(shí)別出是 哪個(gè)PC平臺(tái)的��,哪個(gè)原有DRMServer���,哪個(gè)用戶(hù)轉(zhuǎn)錄的�。 硬件安全單元會(huì)將平臺(tái)信息(PCR)�、證書(shū)信息(EK、AIK��、PIK��、CA證書(shū))等唯一表示 平臺(tái)身份和用戶(hù)信息的數(shù)據(jù)作為數(shù)字水印的平臺(tái)信息部分��。 硬件安全單元可以抽取第一密鑰的特征值����,如KeyID, Key屬性作為數(shù)字水印的 原DRM密鑰信息部分��。硬件安全單元可以將上述平臺(tái)信息和原DRM密鑰信息兩部分使用 DRMServer發(fā)布的CA證書(shū)進(jìn)行簽名��,得到的簽名結(jié)果作為數(shù)字水印的第三部分����。
當(dāng)用戶(hù)希望在自己的使用范圍內(nèi)進(jìn)行數(shù)字水印形式的媒體文件轉(zhuǎn)錄時(shí),可以在取 得硬件安全單元的使用權(quán)����,由硬件安全單元對(duì)存儲(chǔ)的第一密鑰進(jìn)行檢查,按照本發(fā)明第二
7實(shí)施例所述方法生成的包括了硬件安全單元平臺(tái)信息���、第一密鑰和認(rèn)證中心證書(shū)簽名的數(shù) 字水印���。由于數(shù)字水印包括了硬件安全單元平臺(tái)信息、第一密鑰和認(rèn)證中心證書(shū)簽名的結(jié) 構(gòu)三部分�,當(dāng)用戶(hù)向超越自身使用范圍的地方轉(zhuǎn)錄時(shí),就無(wú)法使用帶有數(shù)字水印的載體文 件��,可以有效地防止用戶(hù)在超越自身的范圍內(nèi)轉(zhuǎn)錄����。 參見(jiàn)圖3�����,該圖為本發(fā)明所述硬件安全單元的數(shù)字水印產(chǎn)生方法第三實(shí)施例流程 圖����。 本發(fā)明第三實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法��,相對(duì)第二實(shí)施例�,增 加了向DRMServer注冊(cè)數(shù)字水印的步驟。 本發(fā)明第二實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生方法�,包括 S100、硬件安全單元接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰����,并對(duì)所述第一密
鑰進(jìn)行存儲(chǔ)管理。 硬件安全單元可以用于表征平臺(tái)身份���。硬件安全單元可以預(yù)先內(nèi)置有DRM CA(數(shù) 字版權(quán)管理服務(wù)器認(rèn)證中心)頒布的電子證書(shū)�。且硬件安全單元已經(jīng)到DRM服務(wù)器注冊(cè)���, 被DRM服務(wù)器認(rèn)可���。 在密鑰授權(quán)的初始階段,DRMServer會(huì)向硬件安全單元所處的平臺(tái)�,發(fā)布解密密鑰 Key即第一密鑰,同時(shí)會(huì)發(fā)布該密鑰的屬性����。 第一密鑰屬性可以包括Key是否允許參與數(shù)字水印,Key保護(hù)的文件是否允許翻 錄后加入數(shù)字水印等等�����。 Key及其屬性被下載后���,要被硬件安全單元保護(hù)�,具體可以存儲(chǔ)在硬件安全單元內(nèi) 部或者加密保護(hù)存儲(chǔ)在硬件安全單元外部���。 S200��、硬件安全單元將包含所述硬件安全單元平臺(tái)信息和所述第一密鑰�,以及用 數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)簽名所述硬件安全單元平臺(tái)信息和所述第一密 鑰得到的結(jié)果共同作為數(shù)字水印�。 數(shù)字水印可以包括平臺(tái)信息、原DRM密鑰信息和簽名可保證。 在第一密鑰授權(quán)的初始階段�,DRMServer會(huì)向硬件安全單元所處的平臺(tái),發(fā)布解密 密鑰Key即第一密鑰���,同時(shí)會(huì)發(fā)布該密鑰的屬性�����。 Key及其屬性被下載后����,要被硬件安全單元保護(hù)�。由硬件安全單元對(duì)所保護(hù)的Key 進(jìn)行檢查。如果條件允許���,硬件安全單元會(huì)用平臺(tái)信息(PCR)�、證書(shū)信息(EK�、AIK、PIK�、 CA (Certification Authority)證書(shū))等唯一表示平臺(tái)和用戶(hù)的信息的數(shù)據(jù)作為數(shù)字水印 的平臺(tái)信息部分。硬件安全單元抽取Key的特征值(KeyID���, Key屬性)作為數(shù)字水印的原 有密鑰部分信息����。再將兩部分信息用DRMServer發(fā)布的CA證書(shū)簽名�����,得到的簽名結(jié)果作為 數(shù)字水印的第三部分����。 S300 、硬件安全單元向DRMServer注冊(cè)數(shù)字水印�����。 S400�、硬件安全單元獲取并通過(guò)所述數(shù)字版權(quán)管理服務(wù)器的所述平臺(tái)代表的用戶(hù) 賬戶(hù)狀態(tài)驗(yàn)證。 DRMServer檢查該平臺(tái)代表的用戶(hù)帳戶(hù)狀態(tài)�����,如通過(guò)���,向硬件安全單元發(fā)布數(shù)字水 印的激活授權(quán)��。 S500��、硬件安全單元獲取數(shù)字版權(quán)關(guān)系服務(wù)器的數(shù)字水印激活授權(quán)����。 上層軟件可以從硬件安全單元獲得數(shù)字水印和第一密鑰Key,解密原有DRM�����,轉(zhuǎn)換
8格式�,再加入數(shù)字水印,進(jìn)行存儲(chǔ)��。 硬件安全單元還可以對(duì)第一密鑰Key和數(shù)字水印的使用情況進(jìn)行記錄�����,同時(shí)可以
接收所述數(shù)字版權(quán)關(guān)系服務(wù)器對(duì)于所述第一密鑰和所述數(shù)字水印的使用情況的查詢(xún)和管
理��;并向所述數(shù)字版權(quán)關(guān)系服務(wù)器發(fā)送所述第一密鑰和所述數(shù)字水印的使用情況���。 硬件安全單元可以允許用戶(hù)在數(shù)字水印的屬性范圍內(nèi)���,進(jìn)一步設(shè)定數(shù)字水印的屬
性。例如可見(jiàn)或者不可見(jiàn)的數(shù)字水印���,個(gè)人圖章等����。 本發(fā)明還提供一種硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng),用于產(chǎn)生數(shù)字水印��,有效 地控制用戶(hù)的轉(zhuǎn)錄行為�����。 參見(jiàn)圖4��,該圖為本發(fā)明所述硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)第一實(shí)施例結(jié)構(gòu) 圖����。 本發(fā)明還提供一種硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)�����,具體可以包括硬件安全單
元1�����,數(shù)字版權(quán)管理服務(wù)器2�。
所述硬件安全單元1包括 通訊單元11���,用于接收來(lái)自所述數(shù)字版權(quán)管理服務(wù)器2的第一密鑰。 數(shù)字水印生成單元13���,依據(jù)所述硬件安全單元平臺(tái)信息和所述第一密鑰生成數(shù)字水印����。 數(shù)字水印生成單元13可以抽取第一密鑰的特征值�,如KeyID,Key屬性作為數(shù)字水 印的原DRM密鑰信息部分��。數(shù)字水印生成單元13可以將上述平臺(tái)信息和原DRM密鑰信息 兩部分結(jié)合為新的串信息作為數(shù)字水印����。 當(dāng)然,數(shù)字水印生成單元13可以將上述平臺(tái)信息和原DRM密鑰信息兩部分結(jié)合為
新的串信息后�����,在進(jìn)行預(yù)定的計(jì)算或者加密后作為數(shù)字水印����。 數(shù)字版權(quán)管理服務(wù)器2包括密鑰存儲(chǔ)單元21,用于存儲(chǔ)第一密鑰����。 本發(fā)明實(shí)施例所述硬件安全單元1還可以包括用于存儲(chǔ)管理所述第一密鑰的存
儲(chǔ)單元12���。 當(dāng)用戶(hù)希望在自己的使用范圍內(nèi)進(jìn)行數(shù)字水印形式的媒體文件轉(zhuǎn)錄時(shí),可以在取 得硬件安全單元的使用權(quán)�����,由硬件安全單元對(duì)存儲(chǔ)的第一密鑰進(jìn)行檢查���,數(shù)字水印生成單 元13可以生成包括硬件安全單元平臺(tái)信息和第一密鑰的數(shù)字水印。由于數(shù)字水印包括了 硬件安全單元平臺(tái)信息和第一密鑰����,當(dāng)用戶(hù)向超越自身使用范圍的地方轉(zhuǎn)錄時(shí),數(shù)字版權(quán) 管理服務(wù)器就可以得知是哪個(gè)平臺(tái)信息對(duì)應(yīng)的平臺(tái)進(jìn)行的轉(zhuǎn)錄�,從而可以有效地防止用戶(hù) 在超越自身的范圍內(nèi)轉(zhuǎn)錄。 用戶(hù)可以直接使用本發(fā)明實(shí)施例所述硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)生成的 數(shù)字水印��,也可以將所述數(shù)字水印生成單元13生成的數(shù)字水印再次計(jì)算后得到加密文件 對(duì)數(shù)字版權(quán)管理服務(wù)器授權(quán)的文件進(jìn)行處理����。 數(shù)字版權(quán)管理服務(wù)器2還包括證書(shū)存儲(chǔ)單元(圖中未示出),用于存儲(chǔ)認(rèn)證中心證 書(shū)���。 數(shù)字水印生成單元13可以將包含所述硬件安全單元平臺(tái)信息和所述第一密鑰���, 以及用數(shù)字版權(quán)管理服務(wù)器2發(fā)布的認(rèn)證中心證書(shū)簽名所述硬件安全單元平臺(tái)信息和第 一密鑰得到的結(jié)果共同作為數(shù)字水印��。 所述第一密鑰可以包括第一密鑰實(shí)體��,所述第一解密密鑰是否允許參與數(shù)字水印����,第一存儲(chǔ)條件和第一使用條件����。 由于數(shù)字水印生成單元13生成的數(shù)字水印包括了硬件安全單元平臺(tái)信息、第一
密鑰和認(rèn)證中心證書(shū)簽名的結(jié)構(gòu)三部分���,當(dāng)用戶(hù)向超越自身使用范圍的地方轉(zhuǎn)錄時(shí)����,就無(wú)
法使用帶有數(shù)字水印的載體文件���,可以有效地防止用戶(hù)在超越自身的范圍內(nèi)轉(zhuǎn)錄����。 參見(jiàn)圖5,該圖為本發(fā)明所述硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)第二實(shí)施例結(jié)構(gòu)圖���。 所述數(shù)字版權(quán)管理服務(wù)器2還包括與密鑰存儲(chǔ)單元21相連的水印檢查記錄單元 22�,用于記錄所述第一密鑰和所述數(shù)字水印的使用情況��。 由于硬件安全單元1可以對(duì)第一密鑰Key和數(shù)字水印的使用情況進(jìn)行記錄��,同時(shí)
可以接收所述數(shù)字版權(quán)關(guān)系服務(wù)器對(duì)于所述第一密鑰和所述數(shù)字水印的使用情況的查詢(xún)
和管理;并向所述數(shù)字版權(quán)關(guān)系服務(wù)器發(fā)送所述第一密鑰和所述數(shù)字水印的使用情況。水
印檢查記錄單元22可以用于記錄所述第一密鑰和所述數(shù)字水印的使用情況��。 以上所述僅為本發(fā)明的優(yōu)選實(shí)施方式,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定。任何
在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等����,均應(yīng)包含在本發(fā)明的權(quán)
利要求保護(hù)范圍之內(nèi)�。
權(quán)利要求
一種硬件安全單元的數(shù)字水印產(chǎn)生方法����,其特征在于,所述方法包括接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰�;獲得硬件安全單元平臺(tái)信息;依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印���。
2. 根據(jù)權(quán)利要求l的數(shù)字水印產(chǎn)生方法��,其特征在于����,在依據(jù)所述第一密鑰和所述硬 件安全單元平臺(tái)信息生成數(shù)字水印的步驟之前包括獲得用數(shù)字版權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū);使用所述認(rèn)證中心證書(shū)對(duì)所述第一密鑰和所述硬件安全單元平臺(tái)信息簽名�����,獲得簽名 結(jié)果��;依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印的步驟�,具體為 依據(jù)所述第一密鑰,所述硬件安全單元平臺(tái)信息和所述簽名結(jié)果生成數(shù)字水印��。
3. 根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述依據(jù)所述第一密鑰�,所述硬件安全單 元平臺(tái)信息和所述簽名結(jié)果生成數(shù)字水印的步驟,具體為將硬件安全單元表示平臺(tái)唯一信息和用戶(hù)信息的數(shù)據(jù)作為數(shù)字水印的平臺(tái)信息部分�����;提取所述第一密鑰的特征值作為數(shù)字水印的原有密鑰信息部分;將數(shù)字水印的平臺(tái)信息部分和原有密鑰部分信息部分用數(shù)字版權(quán)管理服務(wù)器發(fā)布的 CA (Certification Authority)認(rèn)證中心證書(shū)簽名��,得到的簽名結(jié)果作為數(shù)字水印的第三 部分�。
4. 根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述第一密鑰包括第一密鑰實(shí)體����,所述 第一密鑰是否允許參與數(shù)字水印,第一密鑰存儲(chǔ)條件和第一密鑰使用條件�����。
5. 根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述方法還包括向數(shù)字版權(quán)管理服務(wù)器 注冊(cè)數(shù)字水印�。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于�����,所述向數(shù)字版權(quán)管理服務(wù)器注冊(cè)數(shù)字水 印的步驟之后包括獲取并通過(guò)所述數(shù)字版權(quán)管理服務(wù)器的所述平臺(tái)代表的用戶(hù)賬戶(hù)狀態(tài)驗(yàn)證�; 獲取數(shù)字版權(quán)關(guān)系服務(wù)器的數(shù)字水印激活授權(quán)。
7. 根據(jù)權(quán)利要求6所述的方法�,其特征在于,所述方法還包括 對(duì)所述第一密鑰和所述數(shù)字水印的使用情況進(jìn)行記錄��。
8. 根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述對(duì)所述第一密鑰和所述數(shù)字水印的 使用情況進(jìn)行記錄的步驟以后����,包括接收所述數(shù)字版權(quán)關(guān)系服務(wù)器對(duì)于所述第一密鑰和所述數(shù)字水印的使用情況的查詢(xún) 和管理;并向所述數(shù)字版權(quán)關(guān)系服務(wù)器發(fā)送所述第一密鑰和所述數(shù)字水印的使用情況��。
9. 一種硬件安全單元的數(shù)字水印產(chǎn)生系統(tǒng)����,其特征在于,所述系統(tǒng)包括硬件安全單元����, 數(shù)字版權(quán)管理服務(wù)器;所述硬件安全單元包括通訊單元����,用于接收來(lái)自所述數(shù)字版權(quán)管理服務(wù)器的第一密鑰;數(shù)字水印生成單元,依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水?��?�;數(shù)字版權(quán)管理服務(wù)器包括密鑰存儲(chǔ)單元����,用于存儲(chǔ)第一密鑰���。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于���,數(shù)字版權(quán)管理服務(wù)器還包括證書(shū)存儲(chǔ)單 元�����,用于存儲(chǔ)認(rèn)證中心證書(shū)�;數(shù)字水印生成單元����,依據(jù)所述硬件安全單元平臺(tái)信息和所述第一密鑰,以及用數(shù)字版 權(quán)管理服務(wù)器發(fā)布的認(rèn)證中心證書(shū)簽名所述硬件安全單元平臺(tái)信息和第一密鑰得到的結(jié) 果生成數(shù)字水印�����。
11. 根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其特征在于��,所述第一密鑰包括第一密鑰實(shí)體���,所 述第一解密密鑰是否允許參與數(shù)字水印����,第一存儲(chǔ)條件和第一使用條件��。
12. 根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于,所述數(shù)字版權(quán)管理服務(wù)器還包括與密 鑰存儲(chǔ)單元相連的水印檢查記錄單元��,用于記錄所述第一密鑰和所述數(shù)字水印的使用情 況�。
全文摘要
一種硬件安全單元的數(shù)字水印產(chǎn)生方法,包括接收來(lái)自數(shù)字版權(quán)管理服務(wù)器的第一密鑰���;獲得硬件安全單元平臺(tái)信息��;依據(jù)所述第一密鑰和所述硬件安全單元平臺(tái)信息生成數(shù)字水印���。本發(fā)明提供一種硬件安全單元的數(shù)字水印產(chǎn)生方法和系統(tǒng)���,用于產(chǎn)生數(shù)字水印,有效地識(shí)別用戶(hù)的轉(zhuǎn)錄行為���。
文檔編號(hào)G06F21/00GK101789059SQ20091007787
公開(kāi)日2010年7月28日 申請(qǐng)日期2009年1月23日 優(yōu)先權(quán)日2009年1月23日
發(fā)明者劉娜, 李希喆 申請(qǐng)人:聯(lián)想(北京)有限公司