專利名稱:采用2級(jí)架構(gòu)的分布式數(shù)字版權(quán)管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)絡(luò)和互動(dòng)電視領(lǐng)域,涉及數(shù)字版權(quán)管理(DRM���, Digital Rights Management),內(nèi)容安全保護(hù)�,��,尤其涉及支持分布式服務(wù)的DRM系統(tǒng)及其實(shí)現(xiàn)方法。
背景技術(shù):
近些年�����,互聯(lián)網(wǎng)的迅猛發(fā)展有力地推動(dòng)了數(shù)字商品���,諸如書籍�、論文�����、音樂和視頻等媒 體內(nèi)容電子版的銷售和服務(wù)��。但數(shù)字商品可以在無任何品質(zhì)損傷的情況下被輕易拷貝和再分 發(fā)的特性又使得互聯(lián)網(wǎng)成為非法使用�����、傳播有版權(quán)媒體內(nèi)容的溫床����。各個(gè)公司都在研制防止 盜版的技術(shù)。數(shù)字版權(quán)管理(DRM)產(chǎn)業(yè)引起了人們高度的關(guān)注����。
DRM應(yīng)用的范圍非常廣����。從互聯(lián)網(wǎng)上的數(shù)字音樂�����、手機(jī)上彩鈴�����、視頻的下載和播放保護(hù) 等到各種增值業(yè)務(wù)的傳播限制���。數(shù)字版權(quán)保護(hù)技術(shù)就是以數(shù)字加密技術(shù)為基礎(chǔ),結(jié)合一系列 軟硬件技術(shù)�����,實(shí)現(xiàn)對(duì)數(shù)字內(nèi)容的保護(hù)����,使數(shù)字內(nèi)容的購買者在指定的授權(quán)范圍內(nèi)使用并從技 術(shù)上防止數(shù)字內(nèi)容的非法復(fù)制。其中的數(shù)字內(nèi)容包括電子書���、數(shù)字電影����、數(shù)字音樂、圖片����、 軟件等。DRM涉及的主要技術(shù)包括數(shù)字標(biāo)識(shí)技術(shù)�����、安全和加密技術(shù)�、存儲(chǔ)技術(shù)、電子交易技 術(shù)等����。
傳統(tǒng)的DRM都是以單點(diǎn)運(yùn)營為主,采用集中式部署和服務(wù)的方式��。隨著數(shù)字內(nèi)容�,特別 是網(wǎng)絡(luò)視頻運(yùn)營的發(fā)展,以及用戶規(guī)模的急劇增長��,這就要求DRM支持靈活的運(yùn)營模式�����,特 別是中央集中內(nèi)容引入、制作���、加密和權(quán)限定義���,區(qū)域分布式授權(quán)和服務(wù)的運(yùn)營模式。
發(fā)明內(nèi)容
本發(fā)明的目的在于在數(shù)字內(nèi)容服務(wù)系統(tǒng)里���,提供一個(gè)支持大規(guī)模�、分布式的2級(jí)架構(gòu)的 DRM系統(tǒng)���,該系統(tǒng)在中央一級(jí)完成內(nèi)容集中引入���、制作�、加密、權(quán)限定義��、業(yè)務(wù)定義�����,并將 相應(yīng)的內(nèi)容密鑰和權(quán)限以及業(yè)務(wù)定義分發(fā)到區(qū)域服務(wù)節(jié)點(diǎn)����,區(qū)域服務(wù)節(jié)點(diǎn)進(jìn)行分布式授權(quán)和 服務(wù)�����。
在本發(fā)明中����,中央DRM系統(tǒng)并不負(fù)責(zé)在線授權(quán)服務(wù)�,而是主要完成內(nèi)容引入的相關(guān)功能, 包括對(duì)內(nèi)容的制作和加密�,跟每個(gè)內(nèi)容相關(guān)的權(quán)限定義,和各種業(yè)務(wù)的定義����,并采用安全的 方式將密鑰、權(quán)限�、業(yè)務(wù)等分發(fā)到各個(gè)區(qū)域服務(wù)節(jié)點(diǎn)。同時(shí)���,中央DRM系統(tǒng)還完成各區(qū)域D謂 節(jié)點(diǎn)的認(rèn)證���,保證區(qū)域DRM節(jié)點(diǎn)的合法性和安全性,最終的目的是保證內(nèi)容密鑰和權(quán)限的安 全性��。
區(qū)域DRM節(jié)點(diǎn)的主要功能包括以下幾個(gè)同步獲取中央節(jié)點(diǎn)分發(fā)的內(nèi)容密鑰、權(quán)限��、和 業(yè)務(wù)的定義����,并存入到數(shù)據(jù)庫中;本地內(nèi)容的引入���、制作�����、加密��、權(quán)限和業(yè)務(wù)的定義���;向中央DRM系統(tǒng)進(jìn)行合法性和安全性認(rèn)證,獲取與中央DRM系統(tǒng)通信的令牌����;用戶及其訂購信息 管理���;終端和DRM客戶端的安裝�、注冊(cè)登記和認(rèn)證;以及對(duì)終端和DRM客戶端的業(yè)務(wù)請(qǐng)求進(jìn) 行授權(quán)����。
因此,在本發(fā)明中��,整個(gè)采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)��,包括以下主要子系統(tǒng) 一個(gè) 用于集中的內(nèi)容引入、加密制作����、密鑰的生成����、內(nèi)容權(quán)限的定義、業(yè)務(wù)的定義��、密鑰和權(quán)限 的管理和下發(fā)以及對(duì)邊緣節(jié)點(diǎn)認(rèn)證的中央DRM系統(tǒng)����; 一組完成用戶、終端���、訂購管理��,并實(shí) 時(shí)為用戶提供授權(quán)服務(wù)的區(qū)域節(jié)點(diǎn)DRM系統(tǒng)�����;若干完成業(yè)務(wù)授權(quán)請(qǐng)求以及授權(quán)信息的解碼�, 并根據(jù)授權(quán)信息解密加密內(nèi)容并為用戶提供正確的內(nèi)容服務(wù)的終端和DRM客戶端; 一個(gè)對(duì)加 密內(nèi)容進(jìn)行存儲(chǔ)�����,分發(fā)和服務(wù)的系統(tǒng)����; 一個(gè)產(chǎn)生用戶信息,訂購信息的內(nèi)容業(yè)務(wù)和服務(wù)的運(yùn) 營支撐系統(tǒng)���。
本發(fā)明中的中央DRM系統(tǒng)由以下主要功能和模塊組成 一個(gè)內(nèi)容引入與權(quán)限定義子系 統(tǒng),完成內(nèi)容相關(guān)的權(quán)限定義����,并將內(nèi)容導(dǎo)入到系統(tǒng)中����;密鑰和權(quán)限管理�����,管理所有內(nèi)容的密 鑰和權(quán)限,并隨著內(nèi)容的發(fā)布而將密鑰和權(quán)限通過加密的方式向區(qū)域節(jié)點(diǎn)DRM發(fā)布���;內(nèi)容加 密��,對(duì)引入系統(tǒng)的內(nèi)容加密�����,并將密鑰傳遞給秘鑰和權(quán)限管理系統(tǒng)管理���,同時(shí)將加密內(nèi)容發(fā) 布給內(nèi)容存儲(chǔ)、分發(fā)和服務(wù)系統(tǒng)以便對(duì)用戶進(jìn)行內(nèi)容服務(wù)�;CP管理,管理CP的權(quán)限����,CP可 以通過該系統(tǒng)進(jìn)行內(nèi)容相關(guān)數(shù)據(jù)的錄入,比如內(nèi)容權(quán)限�,授權(quán)時(shí)間窗口等;業(yè)務(wù)管理����,完成 內(nèi)容的業(yè)務(wù)定義與發(fā)布�,包括內(nèi)容的打包�,產(chǎn)品的定義,產(chǎn)品的訂購權(quán)限��,生命周期等����;節(jié) 點(diǎn)認(rèn)證中心,完成對(duì)邊緣節(jié)點(diǎn)的認(rèn)證����。
本發(fā)明中的區(qū)域節(jié)點(diǎn)DRM系統(tǒng)由以下主要功能和模塊組成授權(quán)中心,根據(jù)用戶的權(quán) 限��,用戶請(qǐng)求內(nèi)容和業(yè)務(wù)的權(quán)限定義����,對(duì)DRM Client進(jìn)行授權(quán),并對(duì)授權(quán)信息進(jìn)行加密后����, 傳遞給終端及DRM客戶端;密鑰/權(quán)限/用戶和訂購信息管理��,管理內(nèi)容的密鑰和權(quán)限,同步 中央DRM系統(tǒng)的傳來的內(nèi)容密鑰和權(quán)限并保存在數(shù)據(jù)庫中���,管理用戶信息和訂購信息;用戶 與訂購管理接口����,從外部系統(tǒng)接收和同步用戶信息,以及用戶的定購信息��,并保存到數(shù)據(jù)庫 中���;
客戶端安裝與認(rèn)證�����,完成客戶端第一次與DRM系統(tǒng)通信的安裝和以后每次的開機(jī)認(rèn)證��; 業(yè)務(wù)管理系統(tǒng)�����,完成接收中央DRM系統(tǒng)下發(fā)的業(yè)務(wù)和產(chǎn)品����,以及跟業(yè)務(wù)和產(chǎn)品相關(guān)的一
些權(quán)利描述;將相關(guān)的信息存入數(shù)據(jù)庫中以便授權(quán)����;同時(shí)區(qū)域DRM節(jié)點(diǎn)的業(yè)務(wù)管理系統(tǒng)也能
夠直接進(jìn)行業(yè)務(wù)和產(chǎn)品的定義、管理���、發(fā)布等��;
節(jié)點(diǎn)認(rèn)證�,向中央DRM進(jìn)行節(jié)點(diǎn)認(rèn)證��,保障區(qū)域節(jié)點(diǎn)D脂系統(tǒng)與中央DRM系統(tǒng)之間通
信的安全性����。
在本發(fā)明中,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)的分布式內(nèi)容和權(quán)限引入管理方法���,其中 主要功能包括整個(gè)DRM系統(tǒng)中的內(nèi)容及其權(quán)限�,既可以從中央DRM系統(tǒng)引入��,也可以從區(qū)域DRM節(jié)點(diǎn)引入����;中央DRM系統(tǒng)引入的內(nèi)容的密鑰和權(quán)限描述�,通過加密的方式同步給區(qū)域 DRM節(jié)點(diǎn)中的密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中��;區(qū)域DRM節(jié)點(diǎn)引入的內(nèi)容��,其密鑰 和權(quán)限描述將直接進(jìn)入密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中��;
在本發(fā)明中��,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)的分布式業(yè)務(wù)引入方法整個(gè)DRM系統(tǒng)中 的業(yè)務(wù)�����、產(chǎn)品及其權(quán)限����,既可以從中央DRM系統(tǒng)引入���,也可以從區(qū)域DRM節(jié)點(diǎn)引入�����;中央DRM 系統(tǒng)引入的業(yè)務(wù)���、產(chǎn)品和權(quán)限描述����,通過S0AP+XML的方式同步給區(qū)域DRM節(jié)點(diǎn)的業(yè)務(wù)管理系 統(tǒng)�,再由業(yè)務(wù)管理系統(tǒng)存儲(chǔ)密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中;區(qū)域DRM系統(tǒng)引入的 業(yè)務(wù)和產(chǎn)品�����,直接由業(yè)務(wù)管理系統(tǒng)將其定義和權(quán)限描述存儲(chǔ)到密鑰/權(quán)限/用戶和訂購信息安 全數(shù)據(jù)庫中�����。
在本發(fā)明中�����,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)的分布式授權(quán)服務(wù)方法所有用戶及其訂 購信息都由外部系統(tǒng)同步到區(qū)域DRM節(jié)點(diǎn)�,并存儲(chǔ)到密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù) 庫中;對(duì)用戶的業(yè)務(wù)授權(quán)�����,由邊緣DRM節(jié)點(diǎn)的授權(quán)中心完成����;多個(gè)邊緣節(jié)點(diǎn)可以同時(shí)對(duì) 分屬于各自管轄的用戶��,獨(dú)立進(jìn)行業(yè)務(wù)授權(quán)服務(wù)��。
在本發(fā)明中��,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)的內(nèi)容密鑰和權(quán)利描述信息的加密同步方 法���,其中主要步驟包括采用Kerberos的機(jī)制,邊緣節(jié)點(diǎn)的認(rèn)證模塊向中央D腿的認(rèn)證中 心進(jìn)行身份認(rèn)證��;邊緣節(jié)點(diǎn)通過認(rèn)證后����,獲得與中央DRM系統(tǒng)通信的token;中央DRM系統(tǒng) 產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后���,同步給區(qū)域節(jié)點(diǎn)DRM系統(tǒng)��;區(qū)域節(jié)點(diǎn)DRM 系統(tǒng)解密后�,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中��。
在本發(fā)明中����,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)的采用兩級(jí)架構(gòu)的集中加分布的方式網(wǎng)絡(luò) 組網(wǎng)部署方法��,其主要方法為中央DRM系統(tǒng)部署在中心節(jié)點(diǎn)�,為集中部署的方式��,包 括CP管理系統(tǒng)���,中央業(yè)務(wù)管理系統(tǒng)��,中央內(nèi)容引入與權(quán)限定義系統(tǒng)����,中央內(nèi)容加密系統(tǒng)����, 中央密鑰和權(quán)限管理系統(tǒng),中央節(jié)點(diǎn)認(rèn)證中心等模塊��;區(qū)域DRM節(jié)點(diǎn)盡量部署在靠近用 戶側(cè)的系統(tǒng)邊緣節(jié)點(diǎn)����,采用分布式的部署方式,包括區(qū)域業(yè)務(wù)管理系統(tǒng)����,客戶端安裝與 認(rèn)證系統(tǒng)��,區(qū)域內(nèi)容加密系統(tǒng)���,密鑰/權(quán)限/用戶和訂購信息管理系統(tǒng),授權(quán)中心�,區(qū)域 節(jié)點(diǎn)認(rèn)證系統(tǒng),用戶與訂購管理系統(tǒng)等模塊��;區(qū)域DRM節(jié)點(diǎn)既可以采用物理上分布���,也 可以采用邏輯上分布而物理集中在中心節(jié)點(diǎn)的方式�����;
本發(fā)明有效地解決了存在多個(gè)區(qū)域節(jié)點(diǎn)時(shí)的DRM服務(wù)運(yùn)營模式需求�,內(nèi)容主要在中央DRM
系統(tǒng)集中引入���,區(qū)域節(jié)點(diǎn)采用分布式部署和服務(wù)。運(yùn)營支撐系統(tǒng)將用戶信息和訂購信息同步 給區(qū)域DRM系統(tǒng)���,區(qū)域節(jié)點(diǎn)結(jié)合用戶訂購信息和內(nèi)容的權(quán)限給DRM客戶端授權(quán)���,客戶端根據(jù) 授權(quán)信息即可正確解出加密內(nèi)容���。當(dāng)然,區(qū)域節(jié)點(diǎn)也支持內(nèi)容的引入�,使得整個(gè)DRM系統(tǒng)能 夠支持更靈活的運(yùn)營模式。本發(fā)明特別適用于IPTV�����,互聯(lián)網(wǎng)視頻服務(wù)等存在大量內(nèi)容服務(wù)���,大規(guī)模用戶量和大并發(fā) 服務(wù)的情況�,通過2級(jí)分布式服務(wù)����,能夠有效地將用戶和服務(wù)分配到不同的節(jié)點(diǎn)上,減輕了 每個(gè)節(jié)點(diǎn)的服務(wù)壓力����,降低了對(duì)系統(tǒng)性能的要求。
圖1為本發(fā)明實(shí)施例采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)示意圖�。 圖2為本發(fā)明實(shí)施例分布式DRM組網(wǎng)模式示意圖。
圖3為DRM/Dispatcher以SOAP協(xié)議+ XML指令文檔的方式主動(dòng)向DRM發(fā)布內(nèi)容的流程圖�。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的說明。
1. 總體架構(gòu)
在圖l的架構(gòu)中,采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)主要由中央DRM系統(tǒng)���,區(qū)域節(jié)點(diǎn)DRM 系統(tǒng)���,終端及DRM客戶端,以及業(yè)務(wù)運(yùn)營支撐系統(tǒng)��,內(nèi)容管理��、分發(fā)�����、存儲(chǔ)和服務(wù)系統(tǒng)組成����。 終端及DRM客戶端向區(qū)域節(jié)點(diǎn)DRM系統(tǒng)進(jìn)行認(rèn)證、請(qǐng)求和獲取授權(quán)�,并利用授權(quán)信息對(duì)獲取 的加密內(nèi)容進(jìn)行節(jié)目并得到最終的服務(wù)。
在本發(fā)明中��,內(nèi)容的加密制作在中央DRM系統(tǒng)����,內(nèi)容加密后發(fā)布給內(nèi)容管理、分發(fā)��、存 儲(chǔ)和服務(wù)系統(tǒng)�,并最終服務(wù)給用戶。而內(nèi)容密鑰和權(quán)利描述在中央系統(tǒng)生成和管理�,并采用 加密的方式同步給各個(gè)區(qū)域節(jié)點(diǎn)DRM系統(tǒng)。區(qū)域節(jié)點(diǎn)DRM系統(tǒng)采用分布式部署并為用戶服務(wù)����。
2. 中央DRM系統(tǒng)
中央DRM系統(tǒng)包含內(nèi)容引入與權(quán)限定義,密鑰和權(quán)限管理���,內(nèi)容加密���,CP (content provide:內(nèi)容合作伙伴)管理,業(yè)務(wù)管理和節(jié)點(diǎn)認(rèn)證中心等子系統(tǒng)和模塊��。中央DRM系統(tǒng)主 要完成內(nèi)容的引入與權(quán)限定義�����,內(nèi)容的加密�����,以及密鑰和權(quán)限的管理。內(nèi)容提供商通過CP管 理系統(tǒng)��,將需要加密或者已經(jīng)加密的內(nèi)容上載到DRM系統(tǒng)中��,并定義內(nèi)容的權(quán)限�����。若內(nèi)容是 沒有加密的�����,則通過內(nèi)容加密系統(tǒng)進(jìn)行加密�,并產(chǎn)生相應(yīng)的密鑰。內(nèi)容的密鑰和權(quán)限最終保 存到采用安全機(jī)制的密鑰和權(quán)限數(shù)據(jù)庫中�����。業(yè)務(wù)管理系統(tǒng)完成跟內(nèi)容相關(guān)的業(yè)務(wù)定義�����,包括 內(nèi)容的打包��,服務(wù)時(shí)間窗口�����,服務(wù)權(quán)限等的定義���。
3. 區(qū)域節(jié)點(diǎn)DRM系統(tǒng)
區(qū)域節(jié)點(diǎn)DRM包含授權(quán)中心�,密鑰/權(quán)限/用戶和訂購信息管理�,用戶與訂購管理接口, 客戶端安裝與認(rèn)證���,業(yè)務(wù)管理系統(tǒng)和節(jié)點(diǎn)認(rèn)證等子系統(tǒng)和模塊����。用戶信息及其訂購的業(yè)務(wù)�����, 由外部其他的運(yùn)營支撐系統(tǒng)通過接口的方式����,實(shí)時(shí)同步給區(qū)域DRM系統(tǒng)。終端及DRM客戶端 在第一次與DRM系統(tǒng)通信時(shí)���,需要進(jìn)行安裝�����,以驗(yàn)證和保證終端及DRM客戶端的合法性�����。以 后終端每一次上電時(shí)�,終端及DRM客戶端需要到DRM區(qū)域節(jié)點(diǎn)進(jìn)行認(rèn)證,以獲取雙方通信的 token (權(quán)標(biāo)���,局域網(wǎng)中數(shù)據(jù)站間傳遞的一種象征權(quán)限的標(biāo)記���,起控制作用),保證雙方通信
的安全性����。授權(quán)中心主要完成在用戶請(qǐng)求業(yè)務(wù)和內(nèi)容時(shí),根據(jù)用戶的信息及其已經(jīng)訂購的業(yè)務(wù)�,進(jìn)行授權(quán)。并對(duì)授權(quán)信息進(jìn)行加密后����,傳遞給終端及DRM客戶端。當(dāng)然�,在區(qū)域節(jié)點(diǎn)中��, 也可以引入內(nèi)容并對(duì)業(yè)務(wù)進(jìn)行定義�����,且區(qū)域節(jié)點(diǎn)引入的內(nèi)容的密鑰和權(quán)限也可以向上同步到 中央DRM系統(tǒng)中。
4. 內(nèi)容密鑰和權(quán)利描述信息的加密同步方法
區(qū)域節(jié)點(diǎn)DRM系統(tǒng)和中央DRM系統(tǒng)均向中央的身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證���,獲取相互間通信 的token�。在本發(fā)明中�,對(duì)中央DRM系統(tǒng)和區(qū)域節(jié)點(diǎn)DRM系統(tǒng)的身份認(rèn)證,采用Kerberos的 認(rèn)證機(jī)制����。中央DRM系統(tǒng)產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后,同步給區(qū)域節(jié) 點(diǎn)DRM系統(tǒng)��,區(qū)域節(jié)點(diǎn)DRM系統(tǒng)解密后�,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中。
5. 內(nèi)容與業(yè)務(wù)管理接口
內(nèi)容分發(fā)與業(yè)務(wù)管理接口采用SOAP協(xié)議+XML指令文檔的方式��。其中�����,SOAP消息是與具 體指令內(nèi)容無關(guān)的通用消息,僅僅用于表達(dá)命令請(qǐng)求�。而具體的命令及參數(shù)利用獨(dú)立的XML 文檔來描述。采用與具體指令無關(guān)的通用SOAP消息有利于指令擴(kuò)展及在異步環(huán)境中實(shí)現(xiàn)通用 的可靠消息傳遞機(jī)制����。
如圖3所示,DRM/Dispatcher以SOAP協(xié)議+ XML指令文檔的方式主動(dòng)向DRM發(fā)布內(nèi)容��, DRM根據(jù)SOAP消息中的文件URL獲取XML并解析執(zhí)行����。
6. 用戶與訂購信息接口
本發(fā)明中,我們提供了一個(gè)與外部其他的運(yùn)營支撐系統(tǒng)之間業(yè)務(wù)集成開放接口�。第三方 系統(tǒng)需實(shí)現(xiàn)相關(guān)的邏輯控制,并與DRM系統(tǒng)建立安全的通訊連接�,完成DRM相關(guān)的消息處理。 DRM服務(wù)器根據(jù)第三方系統(tǒng)的消息請(qǐng)求返回相應(yīng)的處理結(jié)果����。接口采用TCP/IP Socket+XML 的方式。主要消息處理包括用戶和機(jī)頂盒的增/刪����,用戶的授權(quán)等。主要的接口包括 創(chuàng)建用戶AddSubscriber 停機(jī)用戶SuspendSubscriber
激活用戶ReactiveSubscriber 刪除用戶RemoveSubscriber
添加終端AddClient 終端失效DeactiveClient
激活終端ReactiveClient 刪除終端DeleteClient
終端和用戶綁定Bonding 終端和用戶解綁CancelBonding
業(yè)務(wù)訂購0rderService 訂購業(yè)務(wù)取消CancelService
7. 組網(wǎng)模式
如圖2所示,本發(fā)明的組網(wǎng)模式采用分布式的兩級(jí)架構(gòu)組網(wǎng)方法�����。中央DRM系統(tǒng)部署在運(yùn) 營中心���,由中心統(tǒng)一運(yùn)營和管理����。區(qū)域DRM系統(tǒng)部署在區(qū)域節(jié)點(diǎn)�,實(shí)時(shí)為用戶提供DRM授權(quán)服 務(wù)����,并與外部業(yè)務(wù)系統(tǒng)的運(yùn)營支撐系統(tǒng)進(jìn)行接口,獲取相關(guān)的用戶和業(yè)務(wù)訂購信息�。區(qū)域DRM 系統(tǒng)既可以物理分布式部署于區(qū)域節(jié)點(diǎn),又可以采用邏輯上分布而物理上集中部署于中央節(jié) 占���。
'���、、���、o
上述的對(duì)實(shí)施例的描述是為便于該技術(shù)領(lǐng)域的普通技術(shù)人員能理解和應(yīng)用本發(fā)明�����。熟悉 本領(lǐng)域技術(shù)的人員顯然可以容易地對(duì)這些實(shí)施例做出各種修改����,并把在此說明的一般原理應(yīng) 用到其他實(shí)施例中而不必經(jīng)過創(chuàng)造性的勞動(dòng)。因此�����,本發(fā)明不限于這里的實(shí)施例�,本領(lǐng)域技 術(shù)人員根據(jù)本發(fā)明的揭示,對(duì)于本發(fā)明做出的改進(jìn)和修改都應(yīng)該在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1、一種數(shù)字版權(quán)管理系統(tǒng)�����,其特征在于采用2級(jí)架構(gòu)的分布式DRM系統(tǒng)�����,該系統(tǒng)在中央一級(jí)完成內(nèi)容集中引入、制作����、加密、權(quán)限定義�、業(yè)務(wù)定義,并將相應(yīng)的內(nèi)容密鑰和權(quán)限以及業(yè)務(wù)定義分發(fā)到區(qū)域服務(wù)節(jié)點(diǎn)����,區(qū)域服務(wù)節(jié)點(diǎn)進(jìn)行分布式授權(quán)和服務(wù)。
2����、 如權(quán)利要求l所述的數(shù)字版權(quán)管理系統(tǒng)����,其特征在于包括以下子系統(tǒng)-一個(gè)用于集中的內(nèi)容引入、加密制作����、密鑰的生成、內(nèi)容權(quán)限的定義����、業(yè)務(wù)的定義、密鑰和權(quán)限的管理和下發(fā)以及對(duì)邊緣節(jié)點(diǎn)認(rèn)證的中央DRM系統(tǒng);一組完成用戶�、終端、訂購管理����,并實(shí)時(shí)為用戶提供授權(quán)服務(wù)的區(qū)域節(jié)點(diǎn)DRM系統(tǒng);若干完成業(yè)務(wù)授權(quán)請(qǐng)求以及授權(quán)信息的解碼��,并根據(jù)授權(quán)信息解密加密內(nèi)容并為用戶提 供正確的內(nèi)容服務(wù)的終端和DRM客戶端一個(gè)對(duì)加密內(nèi)容進(jìn)行存儲(chǔ)�,分發(fā)和服務(wù)的系統(tǒng);一個(gè)產(chǎn)生用戶信息����,訂購信息的內(nèi)容業(yè)務(wù)和服務(wù)的運(yùn)營支撐系統(tǒng);在整個(gè)數(shù)字版權(quán)管理系統(tǒng)中����,采用分布式內(nèi)容和權(quán)限引入方法;在整個(gè)數(shù)字版權(quán)管理系統(tǒng)中�,采用分布式授權(quán)服務(wù)方法;在整個(gè)數(shù)字版權(quán)管理系統(tǒng)中���,內(nèi)容密鑰和權(quán)利描述信息采用加密同步方法進(jìn)行同步�����; 整個(gè)數(shù)字版權(quán)管理系統(tǒng)���,采用兩級(jí)架構(gòu)的集中加分布的方式網(wǎng)絡(luò)組網(wǎng)部署方法�����。
3�、 如權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)��,其特征在于所述的中央DRM系統(tǒng)包括 以下功能模塊一個(gè)內(nèi)容引入與權(quán)限定義子系統(tǒng)��,完成內(nèi)容相關(guān)的權(quán)限定義���,并將內(nèi)容導(dǎo)入到系統(tǒng)中���; 密鑰和權(quán)限管理,管理所有內(nèi)容的密鑰和權(quán)限�����,并隨著內(nèi)容的發(fā)布而將密鑰和權(quán)限通過加密的方式向區(qū)域節(jié)點(diǎn)DRM發(fā)布�;內(nèi)容加密����,對(duì)引入系統(tǒng)的內(nèi)容加密�����,并將密鑰傳遞給秘鑰和權(quán)限管理系統(tǒng)管理�,同時(shí)將加密內(nèi)容發(fā)布給內(nèi)容存儲(chǔ)��、分發(fā)和服務(wù)系統(tǒng)以便對(duì)用戶進(jìn)行內(nèi)容服務(wù)�����;CP管理�����,管理CP的權(quán)限��,CP可以通過該系統(tǒng)進(jìn)行內(nèi)容相關(guān)數(shù)據(jù)的錄入���;業(yè)務(wù)管理�,完成內(nèi)容的業(yè)務(wù)定義與發(fā)布����,包括內(nèi)容的打包��,產(chǎn)品的定義�,產(chǎn)品的訂購權(quán)限����,生命周期;節(jié)點(diǎn)認(rèn)證中心�,完成對(duì)邊緣節(jié)點(diǎn)的認(rèn)證。
4��、 如權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)���,其特征在于所述的區(qū)域節(jié)點(diǎn)DRM系統(tǒng) 包括以下功能模塊授權(quán)中心����,根據(jù)用戶的權(quán)限����,用戶請(qǐng)求內(nèi)容和業(yè)務(wù)的權(quán)限定義,對(duì)DRM Client進(jìn)行授權(quán)����, 并對(duì)授權(quán)信息進(jìn)行加密后����,傳遞給終端及DRM客戶端���;密鑰/權(quán)限/用戶和訂購信息管理,管理內(nèi)容的密鑰和權(quán)限���,同步中央DRM系統(tǒng)的傳來的 內(nèi)容密鑰和權(quán)限并保存在數(shù)據(jù)庫中����,管理用戶信息和訂購信息�����;用戶與訂購管理接口����,從外部系統(tǒng)接收和同步用戶信息,以及用戶的定購信息���,并保存 到數(shù)據(jù)庫中���;客戶端安裝與認(rèn)證,完成客戶端第一次與DRM系統(tǒng)通信的安裝和以后每次的開機(jī)認(rèn)證�����; 業(yè)務(wù)管理系統(tǒng),完成接收中央DRM系統(tǒng)下發(fā)的業(yè)務(wù)和產(chǎn)品����,以及跟業(yè)務(wù)和產(chǎn)品相關(guān)的一些權(quán)利描述;將相關(guān)的信息存入數(shù)據(jù)庫中以便授權(quán)��;同時(shí)區(qū)域DRM節(jié)點(diǎn)的業(yè)務(wù)管理系統(tǒng)也能夠直接進(jìn)行業(yè)務(wù)和產(chǎn)品的定義�����、管理����、發(fā)布;節(jié)點(diǎn)認(rèn)證�����,向中央DRM進(jìn)行節(jié)點(diǎn)認(rèn)證�,保障區(qū)域節(jié)點(diǎn)DRM系統(tǒng)與中央DRM系統(tǒng)之間通信的安全性。
5�����、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式內(nèi)容和權(quán)限引入方法���,其特征在于包括整個(gè)DRM系統(tǒng)中的內(nèi)容及其權(quán)限��,既可以從中央DRM系統(tǒng)引入��,也可以從區(qū)域DRM節(jié)點(diǎn) 引入�����;中央DRM系統(tǒng)引入的內(nèi)容的密鑰和權(quán)限描述�����,通過加密的方式同步給區(qū)域DRM節(jié)點(diǎn)中的 密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中��;區(qū)域DRM節(jié)點(diǎn)引入的內(nèi)容���,其密鑰和權(quán)限描述將直接進(jìn)入密鑰/權(quán)限/用戶和訂購信息安 全數(shù)據(jù)庫中。
6����、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式業(yè)務(wù)引入方法,其特征在于 整個(gè)DRM系統(tǒng)中的業(yè)務(wù)、產(chǎn)品及其權(quán)限��,既可以從中央DRM系統(tǒng)引入��,也可以從區(qū)域DRM節(jié)點(diǎn)引入�;中央DRM系統(tǒng)引入的業(yè)務(wù)、產(chǎn)品和權(quán)限描述����,通過SOAP+XML的方式同步給區(qū)域DRM節(jié)點(diǎn) 的業(yè)務(wù)管理系統(tǒng),再由業(yè)務(wù)管理系統(tǒng)存儲(chǔ)密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中����;區(qū)域DRM系統(tǒng)引入的業(yè)務(wù)和產(chǎn)品,直接由業(yè)務(wù)管理系統(tǒng)將其定義和權(quán)限描述存儲(chǔ)到密鑰/ 權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中�。
7、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式授權(quán)服務(wù)方法�,其特征在于 所有用戶及其訂購信息都由外部系統(tǒng)同步到區(qū)域DRM節(jié)點(diǎn),并存儲(chǔ)到密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中�;對(duì)用戶的業(yè)務(wù)授權(quán),由邊緣DRM節(jié)點(diǎn)的授權(quán)中心完成����;多個(gè)邊緣節(jié)點(diǎn)可以同時(shí)對(duì)分屬于各自管轄的用戶,獨(dú)立進(jìn)行業(yè)務(wù)授權(quán)服務(wù)����。
8��、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的內(nèi)容密鑰和權(quán)利描述信息的加密同步方法�,其特征在于包括采用Kerberos的機(jī)制����,邊緣節(jié)點(diǎn)的認(rèn)證模塊向中央DRM的認(rèn)證中心進(jìn)行身份認(rèn)證�; 邊緣節(jié)點(diǎn)通過認(rèn)證后,獲得與中央DRM系統(tǒng)通信的token;中央DRM系統(tǒng)產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后����,同步給區(qū)域節(jié)點(diǎn)DRM 系統(tǒng);區(qū)域節(jié)點(diǎn)DRM系統(tǒng)解密后�,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中。
9�����、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的采用兩級(jí)架構(gòu)的集中加分布的方式網(wǎng)絡(luò)組網(wǎng) 部署方法����,其特征在于中央DRM系統(tǒng)部署在中心節(jié)點(diǎn),為集中部署的方式�����,包括CP管理系統(tǒng),中央業(yè)務(wù)管 理系統(tǒng)�����,中央內(nèi)容引入與權(quán)限定義系統(tǒng)���,中央內(nèi)容加密系統(tǒng)�,中央密鑰和權(quán)限管理系統(tǒng)��, 中央節(jié)點(diǎn)認(rèn)證中心等模塊����;區(qū)域DRM節(jié)點(diǎn)盡量部署在靠近用戶側(cè)的系統(tǒng)邊緣節(jié)點(diǎn),采用分布式的部署方式����,包括 區(qū)域業(yè)務(wù)管理系統(tǒng),客戶端安裝與認(rèn)證系統(tǒng)���,區(qū)域內(nèi)容加密系統(tǒng)�����,密鑰/權(quán)限/用戶和訂 購信息管理系統(tǒng)��,授權(quán)中心��,區(qū)域節(jié)點(diǎn)認(rèn)證系統(tǒng)����,用戶與訂購管理系統(tǒng)等模塊;區(qū)域DRM節(jié)點(diǎn)既可以采用物理上分布�����,也可以采用邏輯上分布而物理集中在中心節(jié) 點(diǎn)的方式�����;中央DRM系統(tǒng)與區(qū)域D腹節(jié)點(diǎn)組成兩級(jí)架構(gòu)的集中加分布的方式網(wǎng)絡(luò)組網(wǎng)部署方法�。
10��、 權(quán)利要求1-9中任一所述的數(shù)字版權(quán)管理系統(tǒng)及方法的應(yīng)用���,其特征在于將其 用于存在大量內(nèi)容服務(wù)和或大規(guī)模用戶量和或大并發(fā)服務(wù)的情況����,包括IPTV、互聯(lián)網(wǎng)視頻服 務(wù)��。
全文摘要
一種采用2級(jí)架構(gòu)的分布式數(shù)字版權(quán)管理(DRM)系統(tǒng)�,目的在于提供一個(gè)支持大規(guī)模內(nèi)容和用戶,分布式授權(quán)和服務(wù)的2級(jí)架構(gòu)的DRM系統(tǒng)����,該系統(tǒng)在中央一級(jí)完成內(nèi)容集中引入、制作���、加密�、權(quán)限定義���、業(yè)務(wù)定義���,并將相應(yīng)的內(nèi)容密鑰和權(quán)限以及業(yè)務(wù)定義分發(fā)到區(qū)域服務(wù)節(jié)點(diǎn),區(qū)域服務(wù)節(jié)點(diǎn)進(jìn)行分布式授權(quán)和服務(wù)�。在本發(fā)明中,完全支持靈活的運(yùn)營模式��,保障數(shù)據(jù)庫的安全��,系統(tǒng)的可靠性��,以滿足電信級(jí)的運(yùn)營需求。本發(fā)明特別適用于IPTV�����,互聯(lián)網(wǎng)視頻服務(wù)等存在大量內(nèi)容服務(wù)���,大規(guī)模用戶量和大并發(fā)服務(wù)的情況�����,通過2級(jí)分布式服務(wù)���,能夠有效地將用戶和服務(wù)分配到不同的節(jié)點(diǎn)上,減輕了每個(gè)節(jié)點(diǎn)的服務(wù)壓力�,降低了對(duì)系統(tǒng)性能的要求�����。
文檔編號(hào)H04H60/23GK101447842SQ20081020068
公開日2009年6月3日 申請(qǐng)日期2008年9月27日 優(yōu)先權(quán)日2008年9月27日
發(fā)明者張大鐘, 李懷宇, 黃勝明, 文 黎 申請(qǐng)人:百視通網(wǎng)絡(luò)電視技術(shù)發(fā)展有限責(zé)任公司