基于標識密碼的動態(tài)數(shù)字版權(quán)保護方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)字版權(quán)保護技術(shù)領(lǐng)域�,尤其涉及一種基于標識密碼的動態(tài)數(shù)字版權(quán)保護方法和系統(tǒng)。
【背景技術(shù)】
[0002]DRM(Digital Right Management,數(shù)字版權(quán)保護)是目前對網(wǎng)絡(luò)中傳播的數(shù)字作品進行版權(quán)保護的主要手段�����。DRM是采取信息安全技術(shù)手段在內(nèi)的系統(tǒng)解決方案�,在保證合法的、具有權(quán)限的用戶對數(shù)字信息(如數(shù)字圖像��、音頻�、視頻等)正常使用的同時,保護數(shù)字信息創(chuàng)作者和擁有者的版權(quán)信息����,根據(jù)版權(quán)信息獲得合法收益,并在版權(quán)受到侵害時能夠鑒別數(shù)字信息的版權(quán)歸屬及版權(quán)信息的真?zhèn)巍?br>[0003]目前���,現(xiàn)有的DRM安全方案主要基于PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)和數(shù)字證書�����,這些現(xiàn)有的DRM安全方案的主要問題是:數(shù)字證書管理繁瑣���,系統(tǒng)運營成本高;系統(tǒng)負荷重�����,特別在用戶數(shù)量龐大的情況下,直接導(dǎo)致系統(tǒng)運行速度緩慢���,影響用戶的收視效果���。
[0004]現(xiàn)有技術(shù)中的一種密碼體制為基于身份的公鑰密碼體制,其主要特性是在這一密碼體制下�����,公鑰可以為任意字符串��。于是我們可以將某一實體的身份信息直接作為其公鑰因子��,從而繞開了公鑰和其持有者身份的綁定問題���,這會極大地減化了傳統(tǒng)PKI中CA (Certificat1n Authority,認證管理機構(gòu))對用戶證書進行的復(fù)雜管理。雖然公鑰密碼體制中提出了基于身份加密的思想��,但是���,目前還沒有一種有效����、可證安全的基于身份的數(shù)字版權(quán)保護方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的實施例提供了一種基于標識密碼的動態(tài)數(shù)字版權(quán)保護方法和系統(tǒng)�����,實現(xiàn)了利用用戶的身份信息進行動態(tài)數(shù)字版權(quán)安全保護的身份認證和數(shù)據(jù)加密操作�。
[0006]本發(fā)明提供了如下方案:
[0007]—種基于標識密碼的動態(tài)數(shù)字版權(quán)保護方法,包括:
[0008]密鑰生成中心KGC生成用戶的標識密碼公私鑰對���,經(jīng)過安全通道將用戶的標識密碼公私鑰對設(shè)置到智能密碼鑰匙USBKEY中�����;
[0009]將所述USBKEY置入用戶的客戶端后����,所述客戶端根據(jù)用戶輸入的個人識別密碼PIN 口令激活所述USBKEY����,獲取所述USBKEY中設(shè)置的用戶的標識密碼私鑰;
[0010]所述客戶端利用所述用戶的標識密碼私鑰對包含隨機數(shù)序列的報文實施數(shù)字簽名操作�����,得到簽名信息,所述客戶端將所述報文和簽名信息傳輸?shù)桨鏅?quán)管理平臺服務(wù)器�����;
[0011]所述版權(quán)管理平臺服務(wù)器根據(jù)設(shè)定的密鑰機制通過KGC得到所述用戶的標識密碼公鑰���,利用所述標識密碼公鑰對所述簽名信息進行驗簽操作����,驗簽通過后���,再根據(jù)所述用戶的權(quán)限在線處理媒體文件���。
[0012]所述的密鑰生成中心KGC生成用戶的標識密碼公私鑰對,經(jīng)過安全通道將用戶的標識密碼公私鑰對設(shè)置到智能密碼鑰匙USBKEY中�����,包括:
[0013]用戶的客戶端經(jīng)過安全通道向版權(quán)管理平臺服務(wù)器發(fā)送攜帶用戶的身份標識符ID的標識密碼公私鑰對申請����,所述版權(quán)管理平臺服務(wù)器對用戶的身份信息進行審核,審核通過后�����,將用戶申請日期����、USBKEY序列號及所述攜帶用戶的身份標識符ID的標識密碼公私鑰對申請發(fā)送到KGC ;
[0014]所述KGC根據(jù)設(shè)定的密鑰機制����、用戶的身份標識符ID、USBKEY序列號和申請日期得到用戶的標識密碼公鑰�,根據(jù)KGC的系統(tǒng)公開參數(shù)和存儲在加密機中的系統(tǒng)主密鑰在加密機中計算得到所述用戶的標識密碼私鑰;
[0015]所述KGC將用戶的標識密鑰公私鑰對通過安全通道傳輸?shù)桨鏅?quán)管理平臺服務(wù)器�����,并將用戶的USBKEY序列號�����、用戶申請日期��,以及為用戶的USBKEY分配的媒體下載和播放權(quán)限進行存儲�;
[0016]所述版權(quán)管理平臺服務(wù)器經(jīng)過安全通道將用戶的標識密碼公私鑰對下載并安裝到內(nèi)置有隨機數(shù)發(fā)生器的USBKEY中�。
[0017]所述的KGC根據(jù)設(shè)定的密鑰機制����、用戶的身份標識符ID、USBKEY序列號和申請日期得到用戶的標識密碼公鑰�����,根據(jù)KGC的系統(tǒng)公開參數(shù)和存儲在加密機中的系統(tǒng)主密鑰在加密機中計算得到用戶的標識密碼私鑰���,包括:
[0018]所述KGC中的系統(tǒng)參數(shù)生成模塊生成附合安全要求的橢圓曲線E����,G1是一個加法群�����,G2是一個乘法群�����,LG1XG1 — G2為一個雙線性配對���,P是G1的生成元,定義四種雜湊哈希算法=H1, H2, H3,和H4,產(chǎn)生域上隨機的大數(shù)s作為系統(tǒng)主密鑰,將所述s存儲在加密機中��,將(E����,G1, G2, e, H1, H2, H3, H4, P,sP)公開�����;
[0019]所述KGC中的用戶標識密碼密鑰生成模塊利用用戶的唯一身份標識ID�、USBKEY序列號、用戶申請日期以及密鑰有效期拼接成用戶的公鑰字串PKS��,則生成所述用戶的標識密碼公鑰為Q = H1 (PKS)�����,在加密機中計算得到用戶的標識密碼私鑰為dID = sQ�。
[0020]所述的將所述USBKEY置入用戶的客戶端后,所述客戶端根據(jù)用戶輸入的個人識別密碼PIN 口令激活所述USBKEY����,獲取所述USBKEY中設(shè)置的用戶的標識密碼私鑰,包括:[0021 ] 所述USBKEY中的標識密碼密鑰管理子模塊將用戶的標識密鑰公私鑰對存儲在加密保護的EPROM單元中�����;
[0022]在用戶登錄客戶端,USBKEY的硬件設(shè)備管理子模塊中的USB識別控制單元識別出USBKEY插入客戶端操作后���,硬件設(shè)備管理子模塊中的PIN碼鑒別CPU單元判斷用戶輸入的PIN碼口令次數(shù)是否超過規(guī)定次數(shù)����,若是����,結(jié)束;若否��,繼續(xù)下一步����;
[0023]待用戶輸入PIN碼口令后,USB識別控制單元控制客戶端的CPU讀取用戶輸入的PIN碼口令����,PIN碼鑒別CPU單元判斷輸入的PIN碼口令是否正確,若是�,繼續(xù)下一步;若否��,提示用戶PIN碼口令錯誤;
[0024]所述客戶端判斷USBKEY中的EPROM單元中是否存在有效的有效期內(nèi)的標識密碼公私鑰對���,如若存在,則提取所述EPROM單元中的標識密碼公私鑰對�。
[0025]所述的客戶端利用所述用戶的標識密碼私鑰對包含隨機數(shù)序列的報文實施數(shù)字簽名操作,得到簽名信息�,所述客戶端將報文和簽名信息傳輸?shù)桨鏅?quán)管理平臺服務(wù)器,包括:
[0026]所述客戶端利用所述USBKEY中的隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列����,將隨機數(shù)序列、所述用戶的標識密碼公鑰a�,以及媒體播放或下載的相關(guān)信息打包成報文m,所述客戶端通過所述USBKEY中的標識密碼運算子模塊利用所述用戶的標識密碼私鑰對所述報文m實施數(shù)字簽名操作得到簽名信息��,設(shè)k e RZ����; ;T = e(sQ, P)k �;h = H2 (m, T) ;S = (k_h)sQ��,針對m的簽名為(h��,S);
[0027]所述客戶端根據(jù)所述USBKEY中的算法管理子模塊選擇的加密算法�����,通過所述USBKEY中的標識密碼運算子模塊利用接收方的標識密碼公鑰Q對所述報文m加密得到密文C�����,通過安全通道將所述簽名信息和密文C 一同發(fā)送至版權(quán)管理平臺服務(wù)器��。
[0028]所述的版權(quán)管理平臺服務(wù)器根據(jù)設(shè)定的密鑰機制通過KGC得到用戶的標識密碼公鑰���,利用所述標識密碼公鑰對所述簽名信息進行驗簽操作�,包括:
[0029]所述版權(quán)管理平臺服務(wù)器接收到所述簽名信息和密文C后��,利用自己的私鑰解密所述密文C恢復(fù)出報文m ;所述版權(quán)管理平臺服務(wù)器從報文m中提取用戶的標識密碼公鑰a����,判斷用戶的標識密碼公鑰a在有效期內(nèi)后,將報文和簽名信息轉(zhuǎn)發(fā)到KGC ���;
[0030]所述KGC獲得所述用戶的唯一身份標識ID�,根據(jù)所述ID查詢數(shù)據(jù)庫得到所述用戶的USBKEY序列號、用戶申請日期和密鑰更新周期����,通過所述用戶的USBKEY序列號、用戶申請日期和密鑰更新周期計算得到所述用戶的標識密碼公鑰b�,比較所述標識密碼公鑰a和所述標識密碼公鑰b是否一致;
[0031]當所述標識密碼公鑰a和所述標識密碼公鑰b —致����,并且所述標識密碼公鑰a在有效期內(nèi)���,則所述版權(quán)管理平臺服務(wù)器利用所述標識密碼公鑰a對所接收的簽名信息進行驗簽操作����,計算T = e(S, P) e (Q, sP)h,判斷h是否等于H2 (m, T),若相等,則驗簽通過,若不相等����,則驗簽失敗。
[0032]所述的方法還包括:
[0033]所述用戶的客戶端向版權(quán)管理平臺服務(wù)器發(fā)送標識密碼公私鑰對更新請求或作廢請求后���,所述版權(quán)管理平臺服務(wù)器對用戶的身份信息進行審核����,當審核通過后��,通過所述用戶對隨機數(shù)序列進行簽名操作,所述版權(quán)管理平臺服務(wù)器對簽名進行驗簽操作�,驗簽通過后,所述版權(quán)管理平臺服務(wù)器向KGC申請更新標識密碼公私鑰對或撤銷標識密碼公私鑰對�����;
[0034]所述KGC更新所述用戶的標識密碼公私鑰對�,并將更新后的標識密碼公私鑰對通過版權(quán)管理平臺服務(wù)器發(fā)送至USBKEY ;或者,所述KGC撤銷所述用戶的標識密碼公私鑰對��,通過版權(quán)管理平臺服務(wù)器將撤銷所述用戶的標識密碼公私鑰對的消息發(fā)送至USBKEY �;
[0035]所述的USBKEY通過標識密碼密鑰管理子模塊中的密鑰使用更新單元用更新后的標識密碼公私鑰對替換原先存儲的標識密碼公私鑰對;接收到撤銷所述用戶的標識密碼公私鑰對的消息后���,通過標識密碼密鑰管理子模塊中的密鑰存儲撤銷單元撤銷所述用戶的標識密碼公私鑰對�。
[0036]一種基于標識密碼的動態(tài)數(shù)字版權(quán)保護系統(tǒng)��,包括:KGC��、客戶端和版權(quán)管理平臺服務(wù)器��;
[0037]所述的KGC���,用于生成用戶的標識密碼公私鑰對���,經(jīng)過安全通道將用戶的標識密碼公私鑰對設(shè)置到智能密碼鑰匙USBKEY中�����;
[0038]所述的客戶端�����,用于置入所述USBKEY���,根據(jù)用戶輸入的個人識別密碼PIN 口令激活所述USBKEY���,獲取所述USBKEY中設(shè)置的用戶的標識密碼私鑰�����;利用所述用戶的標識密碼私鑰對包含隨機數(shù)序列的報文實施數(shù)字簽名操作���,得到簽名信息,將所述報文和簽名信息傳輸?shù)桨鏅?quán)管理平臺服務(wù)器�;
[0039]所述的版權(quán)管理平臺服務(wù)器,用于根據(jù)設(shè)定的密鑰機制通過KGC得到所述用戶的標識密碼公鑰,利用所述標識密碼公鑰對所述簽名信息進行驗簽操作�����,驗簽通過后���,再根據(jù)所述用戶的權(quán)限在線處理媒體文件����。
[0040]所述的KGC包括:系統(tǒng)參數(shù)生成模塊�����、用戶標識密碼密鑰生成模塊和驗簽?zāi)K
[0041]所述的系統(tǒng)參數(shù)生成模塊����,用于生成附合安全要求的橢圓曲線E,G1是一個加法群���,G2是一個乘法群��,LG1XG1 — G2為一個雙線性配對��,P是G1的生成元�����,定義四種雜湊哈希算法=H1, H2, H3,和H4,產(chǎn)生域上隨機的大數(shù)s作為系統(tǒng)主密鑰�����,將所述s存儲在加密機中����,將(E,G1, G2, e, H1, H2, H3, H4, P�����,sP)公開���;
[0042]所述的用戶標識密碼密鑰生成模塊,用于利用用戶的唯一身份標識ID�����、USBKEY序