專利名稱:基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�,涉及數(shù)字版權(quán)保護和身份認證,特別涉及一種基于雙 重身份認證的動態(tài)數(shù)字版權(quán)保護方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)傳輸和通信技術(shù)的飛速發(fā)展���,網(wǎng)絡(luò)多媒體文件的分發(fā)�����、復制與編輯變得 越來越普遍���,與此同時,服務提供商越來越強烈地要求保護其數(shù)字內(nèi)容���,版權(quán)問題得到了越 來越多的關(guān)注�。由此而產(chǎn)生的數(shù)字版權(quán)管理技術(shù)(Digital Rights Management����,以下簡稱 DRM)可以實現(xiàn)版權(quán)的保護����,其結(jié)合硬件和軟件的存取機制���,對數(shù)字多媒體內(nèi)容在其生命周 期內(nèi)的存取進行有效地控制�。目前�,眾多學者已經(jīng)對DRM技術(shù)進行了深入廣泛的研究。Steve K等人提出了一種隱私可保護的版權(quán)管理模式�,該模式可以在線進行用戶 隱私受保護的身份認證許可,但是離線狀態(tài)下無法定位版權(quán)用戶的身份�。Andreaux JP等 人提出了一種用于數(shù)字家庭網(wǎng)絡(luò)的版權(quán)保護系統(tǒng),該系統(tǒng)將屬性證書和許可證進行分離操 作����,從而實現(xiàn)了數(shù)字媒體的安全發(fā)放。但是受所在網(wǎng)絡(luò)的限制�,還沒有推廣到廣域網(wǎng)的范 疇����。ShiHao等人則設(shè)計了一種用于協(xié)同的點對點對等網(wǎng)絡(luò)的數(shù)字版權(quán)管理方案,該方案采 用動態(tài)許可證技術(shù)���,但是不支持版權(quán)受控內(nèi)容的物理空間的遷移����。雖然近年來的科研成果和實踐經(jīng)驗已經(jīng)取得了矚目的成績,但是版權(quán)管理平臺上 仍然存在著亟待解決的問題��,具體表現(xiàn)在(1)雖然在線狀態(tài)下的身份認證技術(shù)很好地解決了用戶的合法身份問題���,但是�����,不 能正確地約束用戶的使用權(quán)限和清晰地劃分用戶的權(quán)限范圍�。(2)由于目前還沒有離線狀態(tài)下的用戶身份認證機制�����,用戶在版權(quán)管理平臺上通 過身份認證后��,下載到本地計算機上的數(shù)字多媒體文件可以通過常用的媒體播放器進行直 接播放�,這樣就會導致數(shù)字多媒體作品被惡意地篡改或者竊取,不能有效地防止離線擴散����。因此,有必要提供一種改進的數(shù)字版權(quán)保護方法來克服現(xiàn)有技術(shù)的缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法���,USBKEY內(nèi) 的PIN碼和數(shù)字證書能解決Steve K等人提出的版權(quán)管理模式中離線狀態(tài)下無法定位版權(quán) 用戶的身份的問題����、Andreaux JP等人提出的數(shù)字家庭網(wǎng)絡(luò)的版權(quán)保護系未推廣到廣域網(wǎng) 的范疇的問題�、以及Shi Hao等人設(shè)計的用于協(xié)同的點對點對等網(wǎng)絡(luò)的數(shù)字版權(quán)管理方案 中不支持版權(quán)受控內(nèi)容的物理空間的遷移的問題,并且數(shù)字證書的擴展項能在在線狀態(tài)下 正確約束用戶的使用權(quán)限和清晰劃分用戶的權(quán)限范圍��,PIN碼和數(shù)字證書能在離線狀態(tài)下 對用戶身份進行認證�,避免媒體作品被惡意地篡改或者竊取,有效防止離線擴散�。為了實現(xiàn)上述目的,本發(fā)明提供了一種基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方 法�����,包括如下步驟(1)將用戶的數(shù)字證書下載到內(nèi)置有隨機數(shù)發(fā)生器的USBKEY中����;(2) 當用戶登錄時,在USBKEY置入客戶端后����,根據(jù)輸入的PIN碼口令激活USBKEY,進而獲取USBKEY內(nèi)的數(shù)字證書�,當數(shù)字證書有效時,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列�����,當用戶對隨機數(shù) 序列簽名的簽名信息正確時�,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限在線播放或在線下 載媒體作品文件;(3)當用戶未登錄時�,在USBKEY置入客戶端后,根據(jù)輸入的PIN碼口令激 活USBKEY���,進而獲取USBKEY內(nèi)的數(shù)字證書���,當數(shù)字證書有效時,根據(jù)數(shù)字證書的擴展項所 規(guī)定的使用權(quán)限離線播放媒體作品文件�。在本發(fā)明的一個實施例中,所述方法還包括(11)當用戶將用戶設(shè)定的PIN碼和 用戶注冊時系統(tǒng)自動生成的用戶唯一標識符作為密鑰要素��,并利用密鑰要素產(chǎn)生非對稱密 鑰對后�,CA代理中心對非對稱密鑰對的公鑰中用戶的身份信息進行審核,待用戶的身份信 息通過審核后��,將非對稱密鑰對中的公鑰和用戶的身份信息發(fā)送至CA權(quán)威認證中心�,(12) CA權(quán)威認證中心在用戶的身份信息與公鑰中的用戶的身份信息信息一致時產(chǎn)生數(shù)字證書���, 將數(shù)字證書發(fā)送至CA代理中心;(13) CA代理中心將數(shù)字證書頒發(fā)給所有者或消費者�,并將 數(shù)字證書存儲至數(shù)據(jù)庫。在本發(fā)明的另一實施例中����,所述數(shù)字證書包括用戶的身份信息、公鑰信息���、CA權(quán)威 認證中心的身份信息�����、CA權(quán)威認證中心對數(shù)字證書的簽名�����、擴展項�����、以及有效期��,其中用戶 的身份信息包含數(shù)字證書序列號����、用戶注冊時提交的用戶名稱��、以及系統(tǒng)平臺為用戶生成 的唯一標識符���,并由CA權(quán)威認證中心100來確定����,擴展項包含在線播放����、在線下載、離線播 放媒體作品文件的權(quán)限信息�����。在本發(fā)明的又一實施例中���,所述步驟(2)具體為(21)在用戶登錄并將USBKEY置 入客戶端后���,當輸入的PIN碼口令次數(shù)未超過規(guī)定次數(shù)時,輸入PIN碼口令���,當輸入的PIN 碼口令與USBKEY的PIN碼相同時����,激活USBKEY ; (22)獲取USBKEY內(nèi)的數(shù)字證書��,當數(shù)字證 書有效時��,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列����;(23)在用戶對由隨機數(shù)發(fā)生器根據(jù)非對稱密鑰 對中的私鑰作為初始化種子產(chǎn)生的隨機數(shù)、證書有效時間����、以及目標接收者組成的報文簽 名以及簽名信息通過私鑰加密后,利用數(shù)字證書的公鑰對加密的簽名信息進行解密����,將報 文進行數(shù)字簽名,根據(jù)簽名的報文與解密的簽名信息判斷用戶的簽名是否正確����;(24)當簽 名正確時,判斷服務器是否為信息的接收者���,數(shù)字證書的時間戳是否為當前時間��;(25)當 服務器是信息的接收者��,數(shù)字證書的時間戳是當前時間時����,根據(jù)數(shù)字證書的擴展項所規(guī)定 的使用權(quán)限在線播放或下載媒體作品文件���。在本發(fā)明的再一實施例中����,所述步驟(3)具體為(31)在用戶未登錄并將USBKEY 置入客戶端后�����,當輸入的PIN碼口令次數(shù)未超過規(guī)定次數(shù)時����,輸入PIN碼口令,當輸入的PIN 碼口令與USBKEY的PIN碼相同時����,激活USBKEY ���; (32)獲取USBKEY內(nèi)的數(shù)字證書,當數(shù)字證 書有效時����,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限離線播放媒體作品文件。在本發(fā)明的又一實施例中��,所述方法還包括當用戶支付媒體作品文件的新使用 權(quán)的費用后���,更新用戶的數(shù)字證書的擴展項和有效期����;將更新的數(shù)字證書下載到USBKEY中 以替代原有數(shù)字證書����。與現(xiàn)有技術(shù)相比,本發(fā)明基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法具有如下優(yōu)占.(1)在在線狀態(tài)和離線狀態(tài)�����,均采用PIN碼口令和數(shù)字證書來驗證用戶身份����,這 種雙重身份驗證避免了所有用戶操作媒體文件�,這樣在離線狀態(tài)下可以定位版權(quán)用戶的身 份�����,本發(fā)明家庭網(wǎng)絡(luò)服務器組成一個域�����,通過向管理家庭網(wǎng)絡(luò)和提供數(shù)字內(nèi)容的服務器端申請相應的證書��,服務器端將域作為一個整體管理��,域中設(shè)備所申請的數(shù)字內(nèi)容均被當作 是域所申請�,服務器端只與此用戶域通信�����,而不與域中各設(shè)備直接通信�����,可將數(shù)字家庭網(wǎng)絡(luò) 的版權(quán)保護推廣到廣域網(wǎng)的范疇�����;通過秘密共享思想將數(shù)字證書的公鑰分發(fā)給點對點對等 網(wǎng)絡(luò)中的可信任節(jié)點,為網(wǎng)絡(luò)的數(shù)字版權(quán)管理中數(shù)字內(nèi)容的分發(fā)提供了必要的安全保障����, 版權(quán)受控內(nèi)容的物理空間可以遷移。(2)數(shù)字證書的擴展項規(guī)定了數(shù)字多媒體作品的使用權(quán)限�,能實現(xiàn)在線下載、在線 播放�、離線播放的使用權(quán)限約束和權(quán)限范圍劃分。(3)在在線狀態(tài)時���,采用隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列要求用戶簽名�����,用戶每次簽 名的隨機數(shù)序列均不相同����,實現(xiàn)了身份認證的動態(tài)性�。通過以下的描述并結(jié)合附圖,本發(fā)明將變得更加清晰�����,這些附圖用于解釋本發(fā)明 的實施例。
圖1為本發(fā)明基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法的流程圖�����。圖2是圖1所示基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法涉及的系統(tǒng)的架構(gòu) 圖���。圖3為圖1所示基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法中USBKEY的組成框 圖���。圖4為圖1所示基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法中實現(xiàn)在線播放或下 載的流程圖。圖5為圖1所示基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法中實現(xiàn)離線播放的流 程圖����。圖6為圖1所示基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法中為用戶頒發(fā)數(shù)字證 書的流程圖。
具體實施例方式現(xiàn)在參考附圖描述本發(fā)明的實施例�,附圖中類似的元件標號代表類似的元件。參考圖1和圖2��,本實施例基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法包括如下 步驟步驟Si�����,服務提供商將用戶的數(shù)字證書下載到內(nèi)置有隨機數(shù)發(fā)生器的USBKEY(智 能密碼鑰匙)500中�,轉(zhuǎn)步驟S2或步驟S3 ���;步驟S2�,當用戶登錄時,在USBKEY 500置入客戶端(用戶PC機)410后���,動態(tài)身份 認證模塊根據(jù)輸入的PIN碼口令激活USBKEY 500�����,進而獲取USBKEY 500內(nèi)的數(shù)字證書���,當 數(shù)字證書有效時,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列����,當用戶對隨機數(shù)序列簽名的簽名信息正 確時,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限在線播放或在線下載媒體作品文件��;步驟S3�,當用戶未登錄時,在USBKEY 500置入客戶端(用戶PC機)410后�����,離線播 放模塊根據(jù)輸入的PIN碼口令激活USBKEY 500����,進而獲取USBKEY 500內(nèi)的數(shù)字證書�����,當數(shù) 字證書有效時���,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限離線播放媒體作品文件。由上可以看出���,本實施例基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法具有如下優(yōu)點�����。(1)在在線狀態(tài)和離線狀態(tài)���,均采用PIN碼口令和數(shù)字證書來驗證用戶身份,這種 雙重身份驗證避免了所有用戶操作媒體文件����。(2)數(shù)字證書的擴展項規(guī)定了數(shù)字多媒體作品的使用權(quán)限�,能實現(xiàn)在線下載、在線 播放�、離線播放的使用權(quán)限約束和權(quán)限范圍劃分���。(3)在在線狀態(tài)時,采用隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列要求用戶簽名��,用戶每次簽 名的隨機數(shù)序列均不相同�,實現(xiàn)了身份認證的動態(tài)性,即使黑客截獲數(shù)字簽名��,也無法仿冒 合法用戶的身份��。見圖3���,所述USBKEY 500包括硬件設(shè)備管理子模塊510��、非對稱密鑰管理子模塊 520�����、算法管理子模塊530��、數(shù)據(jù)加密管理子模塊540�、以及服務提供商下載的用戶的數(shù)字證 書550�。下面對USBKEY 500內(nèi)的各組成部分進行詳細說明。所述硬件設(shè)備管理子模塊510包括USB識別控制單元511��、PIN碼鑒別CPU單元 512、以及加密保護的EPROM 513����。所述USB識別控制單元511用于識別USBKEY 500插入 或拔出客戶端(用戶PC機)410的操作,在識別出USBKEY 500插入操作時控制客戶端410 的CPU (CentralProcessing Unit���,中央處理器)讀取用戶輸入的PIN碼口令���。所述PIN碼 鑒別CPU單元512用于判斷CPU讀取的PIN碼口令的正誤以及判斷輸入PIN碼的次數(shù)。所 述EPROM單元513用于存儲數(shù)字證書550����、密鑰等秘密數(shù)據(jù),對該EPROM單元513的讀寫操 作通過程序?qū)崿F(xiàn)����,用戶無法直接讀取,其中用戶私鑰是不可導出的�����,杜絕了復制用戶數(shù)字證 書或身份信息的可能性��。所述非對稱密鑰管理子模塊520用于將用戶設(shè)定的PIN碼和用戶注冊時系統(tǒng)自動 生成的用戶唯一標識符(ID)作為密鑰要素,利用密鑰要素采用RSA算法生成非對稱密鑰 對����,將非對稱密鑰對和數(shù)字證書550存儲在加密保護的EPROM單元����;密鑰分為對稱密鑰和非 對稱密鑰,并且均有有效期(密鑰不能無限期使用���,因為密鑰使用時間越長��,它泄露的機會 就越大���,引起的損失將越大)。在密鑰有效期內(nèi)�����,用戶利用非對稱密鑰中的私鑰加密報文���,接 收方利用數(shù)字證書中的公鑰解密報文�,當密鑰有效期滿時����,利用密鑰要素采用RSA算法重 新生成非對稱密鑰對�����,根據(jù)重新生成的非對稱密鑰對更新密鑰�。具體地��,所述非對稱密鑰管 理子模塊520包括密鑰安裝生成單元521����、密鑰使用更新單元522、以及密鑰存儲撤銷單元 523�����。密鑰安裝生成單元521用于將用戶設(shè)定的PIN碼和用戶注冊時系統(tǒng)自動生成的用戶 唯一標識符(ID)作為密鑰要素���,利用密鑰要素采用RSA算法生成非對稱密鑰對�;密鑰使用 更新單元522用于讀取EPROM單元511中的非對稱密鑰對以及更新失效的非對稱密鑰對����; 密鑰存儲撤銷單元523用于將生成的非對稱密鑰對保存到EPROM單元511中或刪除EPROM 單元511中中的非對稱密鑰對。所述算法管理子模塊530用于對每個算法標注一個ID進而存儲和識別各個算法�, 在各個算法中選擇進行加密的算法。其中,算法有RSA�、DSA等非對稱密鑰算法,DES��、RC6��、 RC5等對稱密鑰算法��,SHA-U MD5等數(shù)據(jù)散列算法����,標注ID進行算法存儲的方式能實現(xiàn)算 法的合理存儲����,更好地解決USBKEY空間存儲問題。具體地���,所述算法管理子模塊530包括 算法庫管理單元531��、加密算法選擇單元532����、以及隨機數(shù)發(fā)生器533��。算法庫管理單元531 負責管理非對稱密鑰算法、對稱密鑰算法���、數(shù)據(jù)散列算法����;加密算法選擇單元532負責根據(jù) 任務要求調(diào)度每個算法��;隨機數(shù)發(fā)生器533有一個輸入?yún)?shù)���,即初始化種子��,初始化種子不同���,據(jù)此可產(chǎn)生每次不一樣的隨機數(shù)序列。所述數(shù)據(jù)加密管理子模塊540用于根據(jù)算法管理子模塊530選擇的加密算法進行 數(shù)據(jù)的加密�����,并根據(jù)根據(jù)算法管理子模塊530選擇的加密算法進行數(shù)據(jù)的解密����。具體地,所 述數(shù)據(jù)加密管理子模塊540包括數(shù)據(jù)加密實現(xiàn)單元541�、數(shù)據(jù)解密實現(xiàn)單元542����、以及數(shù)據(jù) 文件簽名單元543��。數(shù)據(jù)加密實現(xiàn)單元541負責加密算法的操作�;數(shù)據(jù)解密單元542負責 解密算法的操作;數(shù)據(jù)文件簽名單元543負責數(shù)字簽名的操作��。由上可以看出�,所述USBKEY 500可以看作是智能卡和讀卡器的聯(lián)合體�。如圖4并結(jié)合圖2和圖3,所述步驟S2具體為步驟S21�����,在用戶登錄后����,USBKEY 500的硬件設(shè)備管理子模塊510的USB識別控 制單元511識別出USBKEY 500插入客戶端(用戶PC機)410操作時,PIN碼鑒別CPU單元 512判斷輸入的PIN碼口令次數(shù)是否超過規(guī)定次數(shù)���,若是�,結(jié)束(封鎖用戶口令��,防止了非本 人使用),若否����,繼續(xù)下一步;步驟S22����,待用戶輸入PIN碼口令后,USB識別控制單元511控制客戶端410的CPU 讀取用戶輸入的PIN碼口令��,PIN碼鑒別CPU單元512判斷輸入的PIN碼口令是否正確��,若 是���,繼續(xù)下一步�����,若否�����,轉(zhuǎn)步驟S21 ����;步驟S23,服務器端(版權(quán)管理平臺服務器)230通過網(wǎng)絡(luò)獲取USBKEY 500的數(shù)字 證書550��,判斷USBKEY 500的EPR0M單元513存儲的數(shù)字證書550是否有效����,若是,繼續(xù)下
一步��,若否���,結(jié)束��;步驟S24,USBKEY 500的非對稱密鑰管理子模塊520中的密鑰安裝生成單元521 將用戶設(shè)定的PIN碼和用戶注冊時系統(tǒng)自動生成的用戶唯一標識符(ID)作為密鑰要素�,采 用RSA算法生成非對稱密鑰對(公鑰+私鑰);算法管理子模塊530中的隨機數(shù)發(fā)生器533 根據(jù)非對稱密鑰對中的私鑰作為初始化種子產(chǎn)生隨機數(shù)r�。,并將隨機數(shù)r�����。��、證書有效時間 tc�����、以及目標接收者s。作為報文�;數(shù)據(jù)加密管理子模塊540的數(shù)據(jù)文件簽名單元543通過用 戶對報文進行簽名,得到簽名信息S(r�。,t��。�����,sc)���;數(shù)據(jù)加密管理子模塊540的數(shù)據(jù)加密實現(xiàn) 單元541利用非對稱密鑰對中的私鑰對簽名信息S(r�。���,t��。���,s。)進行加密�,將加密的簽名信息 和報文一起發(fā)送至服務器端230����,其中����,數(shù)字簽名是對整個報文進行的單向函數(shù),是一組代 表報文特征的定長代碼����,若僅改變報文中的一處,數(shù)字簽名就完全不同��。步驟S25���,服務器端230從數(shù)字證書550中提取用戶的公鑰�,利用用戶的公鑰對數(shù) 據(jù)加密管理子模塊540發(fā)送的加密的簽名信息進行解密����,得到一個數(shù)字簽名的明文�,另外, 服務器端230將數(shù)據(jù)加密管理子模塊540發(fā)送的報文進行相同的數(shù)字簽名���,并與數(shù)字簽名 的明文比對一致性來驗證數(shù)據(jù)文件簽名單元543簽名是否正確��;步驟S26����,當簽名正確時,服務器端230驗證服務器是否為信息的接收者�����,數(shù)字證 書550的時間戳是否為當前時間(這樣任何擁有用戶公鑰的人都可根據(jù)驗證結(jié)果接收或拒 絕接收報文��,同時實現(xiàn)禁止偽造數(shù)字簽名及對報文的修改)��;步驟S27,當服務器230是信息的接收者且數(shù)字證書的時間戳是當前時間時�,服務 器端230根據(jù)數(shù)字證書550的擴展項內(nèi)容判斷用戶是否具有在線播放或在線下載媒體文件 的權(quán)限,若是�,繼續(xù)下一步,若否�,結(jié)束;步驟S28��,服務器端230允許在線播放或在線下載媒體文件�����。由上可以看出,當用戶在線播放或在線下載媒體文件時��,采用PIN碼口令和數(shù)字證書雙重認證用戶的身份�,實現(xiàn)了身份認證的高度可信性,采用隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù) 序列���,每次用戶的身份認證的隨機數(shù)序列均不相同�����,實現(xiàn)了身份認證的動態(tài)性�����。此外�����,數(shù)字 證書的擴展項明確規(guī)定了被授權(quán)多媒體文件與用戶之間的權(quán)限關(guān)系���,解決了在線觀看和下 載權(quán)限分配問題。如圖5以及圖2�、圖3�,所述步驟S3具體為步驟S31,在用戶登錄后��,USBKEY 500的硬件設(shè)備管理子模塊510的USB識別控 制單元511識別出USBKEY 500插入客戶端(用戶PC機)410操作時,PIN碼鑒別CPU單元 512判斷輸入的PIN碼口令次數(shù)是否超過規(guī)定次數(shù)����,若是,結(jié)束(封鎖用戶口令��,防止了非本 人使用)���,若否��,繼續(xù)下一步�;步驟S32����,待用戶輸入PIN碼口令后,USB識別控制單元511控制客戶端410的CPU 讀取用戶輸入的PIN碼口令�����,PIN碼鑒別CPU單元512判斷輸入的PIN碼口令是否正確���,若 是��,繼續(xù)下一步����,若否,轉(zhuǎn)步驟S31 ��;步驟S33,客戶端410獲取USBKEY 500的數(shù)字證書550���,判斷USBKEY 500的EPR0M 單元513存儲的數(shù)字證書550是否有效���,若是,繼續(xù)下一步�,若否,結(jié)束�;步驟S34,客戶端410根據(jù)數(shù)字證書550的擴展項內(nèi)容判斷用戶是否具有離線播放 媒體文件的權(quán)限��,若是���,繼續(xù)下一步�,若否��,結(jié)束��;步驟S35,客戶端410允許離線播放媒體文件�。由上可以看出�,當用戶離線播放媒體文件時,采用PIN碼口令和數(shù)字證書550雙重 認證用戶的身份����,實現(xiàn)了身份認證的高度可信性;數(shù)字證書的擴展項明確規(guī)定了被授權(quán)多 媒體文件與用戶之間的權(quán)限關(guān)系���,解決了離線播放權(quán)限分配問題�����。在本實施例中����,所述數(shù)字證書550是由CA權(quán)威認證中心100和數(shù)字證書管理模塊 200簽發(fā)的�����。如圖2���,所述數(shù)字證書管理模塊200包括CA代理中心210�、數(shù)據(jù)庫220以及服 務器端(版權(quán)管理平臺服務器)230,則如圖6���,所述基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護 方法還包括步驟步驟S61�,當用戶將用戶設(shè)定的PIN碼和用戶注冊時系統(tǒng)自動生成的用戶唯一標 識符(ID)作為密鑰要素�����,利用密鑰要素采用RSA算法通過USBKEY500的非對稱密鑰管理子 模塊520產(chǎn)生非對稱密鑰對(公鑰+私鑰)并通過版權(quán)管理平臺服務器230發(fā)送所述非對 稱密鑰對中的公鑰至CA代理中心210����,CA代理中心210對公鑰中用戶的身份信息進行審 核,待用戶的身份信息通過審核后���,將非對稱密鑰對中的公鑰和用戶的身份信息發(fā)送至CA 權(quán)威認證中心100 �;步驟S62��,CA權(quán)威認證中心100在用戶的身份信息與公鑰中的用戶的身份信息信 息一致時產(chǎn)生數(shù)字證書550���,所述數(shù)字證書550的格式是以X. 509數(shù)字證書格式作為標準��, 其包括用戶的身份信息�����、公鑰信息����、CA權(quán)威認證中心100的身份信息、CA權(quán)威認證中心100 對數(shù)字證書550的簽名���、以及數(shù)字證書的擴展項、時間戳和有效期�����,其中所述用戶的身份信 息包含證書序列號�����、用戶注冊時提交的用戶名稱����、系統(tǒng)平臺為用戶生成的唯一標識符(ID), 并由CA權(quán)威認證中心100來確定����,所述數(shù)字證書的擴展項包含在線播放、在線下載�����、離線播 放媒體作品文件的權(quán)限信息(只有數(shù)字證書在有效期范圍內(nèi),同時數(shù)字證書的擴展項表明 了在線播放�、在線下載、離線播放權(quán)限���,用戶才能進行對應的操作)�,數(shù)字證書中的用戶的身 份信息表明用戶的身份是否合法��,公鑰用于解密密文�����,擴展項用于限定用戶權(quán)限�����,時間戳保證實時傳輸�,有效期監(jiān)控數(shù)字證書的有效性;步驟S63��,CA權(quán)威認證中心100將數(shù)字證書550發(fā)送至CA代理中心210�����,CA代理 中心210將數(shù)字證書550頒發(fā)給用戶,并將數(shù)字證書存儲在數(shù)據(jù)庫220中����。
由上可以看出,CA代理中心210負責審核用戶的身份���,CA權(quán)威認證中心100負責 簽發(fā)數(shù)字證書���。另外����,所述基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法還包括步驟步驟S101,當用戶通過版權(quán)管理平臺服務器230向CA代理中心210發(fā)送更新證書 請求或作廢證書請求后���,CA代理中心210對更新證書請求或作廢證書請求中包含的用戶身 份信息進行審核��,當用戶身份信息審核通過后��,CA代理中心210將用戶的私鑰作為初始化 種子產(chǎn)生定長代碼的隨機數(shù)序列����,待用戶對隨機數(shù)序列簽名后���,向CA權(quán)威認證中心100申 請更新證書或撤銷證書��;步驟S102���,CA權(quán)威認證中心100更新數(shù)字證書550并將更新后的數(shù)字證書通過CA 代理中心210發(fā)送至用戶���,或撤銷數(shù)字證書并將撤銷的數(shù)字證書加入證書撤銷列表CRL中。由上可以看出��,CA代理中心210負責處理對于數(shù)字證書的更新請求或作廢請求���, CA權(quán)威認證中心100負責更新數(shù)字證書或撤銷數(shù)字證書��。此外�����,所述基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法還包括步驟步驟S201�,在用戶通過版權(quán)管理平臺服務器230向CA代理中心210提出證書狀態(tài) 查詢請求后�,CA代理中心210對證書狀態(tài)查詢請求中包含的用戶身份信息進行審核;步驟S202���,當用戶身份信息審核通過后����,CA權(quán)威認證中心100查詢數(shù)字證書550 中的時間戳或查詢證書撤銷列表CRL,當時間戳是當前時間時�,確定證書550的狀態(tài)是在有 效期內(nèi),當數(shù)字證書550位于證書撤銷列表CRL時�����,確定證書的狀態(tài)是已被撤銷����。由上可以看出,CA代理中心210負責處理對于數(shù)字證書的狀態(tài)查詢請求����,CA權(quán)威 認證中心100負責查詢數(shù)字證書的狀態(tài)��。在本實施例中�,所述基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法還包括步驟步驟S301,當用戶支付媒體文件的新使用權(quán)的費用后���,CA代理中心210向CA權(quán)威 認證中心100申請更新用戶的數(shù)字證書550的擴展項和有效期����;步驟S302,在CA權(quán)威認證中心100更新數(shù)字證書550后����,服務提供商將更新的數(shù) 字證書下載到USBKEY 500中以替代原有數(shù)字證書550。由上可以看出���,當數(shù)字證書到期���、無效后,CA代理中心210可以根據(jù)用戶的要求 在支付了新使用權(quán)費用的前提下��,更新數(shù)字證書��,用戶可以繼續(xù)使用更新了數(shù)字證書的 USBKEY 500進行在線播放����、在線下載、離線播放操作����。以上結(jié)合最佳實施例對本發(fā)明進行了描述,但本發(fā)明并不局限于以上揭示的實施 例��,而應當涵蓋各種根據(jù)本發(fā)明的本質(zhì)進行的修改、等效組合�����。
權(quán)利要求
一種基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法���,包括如下步驟(1)將用戶的數(shù)字證書下載到內(nèi)置有隨機數(shù)發(fā)生器的智能密碼鑰匙中�;(2)當用戶登錄時��,在智能密碼鑰匙置入客戶端后����,根據(jù)輸入的PIN碼口令激活智能密碼鑰匙,進而獲取智能密碼鑰匙內(nèi)的數(shù)字證書�,當數(shù)字證書有效時,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列����,當用戶對隨機數(shù)序列簽名的簽名信息正確時�,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限在線播放或在線下載媒體作品文件;(3)當用戶未登錄時�,在智能密碼鑰匙置入客戶端后,根據(jù)輸入的PIN碼口令激活智能密碼鑰匙���,進而獲取智能密碼鑰匙內(nèi)的數(shù)字證書����,當數(shù)字證書有效時,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限離線播放媒體作品文件�����。
2.如權(quán)利要求1所述的基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法�,其特征在于,還 包括(11)當用戶將用戶設(shè)定的PIN碼和用戶注冊時系統(tǒng)自動生成的用戶唯一標識符作為 密鑰要素��,并利用密鑰要素產(chǎn)生非對稱密鑰對后���,CA代理中心對非對稱密鑰對的公鑰中用 戶的身份信息進行審核��,待用戶的身份信息通過審核后�,將非對稱密鑰對中的公鑰和用戶 的身份信息發(fā)送至CA權(quán)威認證中心���;(12)CA權(quán)威認證中心在用戶的身份信息與公鑰中的用戶的身份信息信息一致時產(chǎn)生 數(shù)字證書�,將數(shù)字證書發(fā)送至CA代理中心��;(13)CA代理中心將數(shù)字證書頒發(fā)給所有者或消費者�����,并將數(shù)字證書存儲至數(shù)據(jù)庫。
3.如權(quán)利要求2所述的基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法��,其特征在于�����,所 述數(shù)字證書包括用戶的身份信息��、公鑰信息����、時間戳、CA權(quán)威認證中心的身份信息�、CA權(quán)威 認證中心對數(shù)字證書的簽名、擴展項����、以及有效期,其中用戶的身份信息包含數(shù)字證書序列 號��、用戶注冊時提交的用戶名稱�����、以及系統(tǒng)平臺為用戶生成的唯一標識符�����,并由CA權(quán)威認 證中心100來確定��,擴展項包含在線播放�����、在線下載�����、離線播放媒體作品文件的權(quán)限信息����。
4.如權(quán)利要求1所述的基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法,其特征在于��,所 述步驟(2)具體為(21)在用戶登錄并將智能密碼鑰匙置入客戶端后�����,當輸入的PIN碼口令次數(shù)未超過規(guī) 定次數(shù)時�,輸入PIN碼口令�����,當輸入的PIN碼口令與智能密碼鑰匙的PIN碼相同時���,激活智 能密碼鑰匙;(22)獲取智能密碼鑰匙內(nèi)的數(shù)字證書��,當數(shù)字證書有效時�����,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù) 序列�����;(23)在用戶對由隨機數(shù)發(fā)生器根據(jù)非對稱密鑰對中的私鑰作為初始化種子產(chǎn)生的隨 機數(shù)�、證書有效時間、以及目標接收者組成的報文簽名以及簽名信息通過私鑰加密后���,利用 數(shù)字證書的公鑰對加密的簽名信息進行解密��,將報文進行數(shù)字簽名��,根據(jù)簽名的報文與解 密的簽名信息判斷用戶的簽名是否正確�;(24)當簽名正確時,判斷服務器是否為信息的接收者�,數(shù)字證書的時間戳是否為當前 時間�����;(25)當服務器是信息的接收者����,數(shù)字證書的時間戳是當前時間時,根據(jù)數(shù)字證書的擴 展項所規(guī)定的使用權(quán)限在線播放或下載媒體作品文件���。
5.如權(quán)利要求1所述的基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法�,其特征在于�,所述步驟(3)具體為(31)在用戶未登錄并將智能密碼鑰匙置入客戶端后,當輸入的PIN碼口令次數(shù)未超過 規(guī)定次數(shù)時�,輸入PIN碼口令,當輸入的PIN碼口令與智能密碼鑰匙的PIN碼相同時�,激活 智能密碼鑰匙;(32)獲取智能密碼鑰匙內(nèi)的數(shù)字證書�,當數(shù)字證書有效時,根據(jù)數(shù)字證書的擴展項所 規(guī)定的使用權(quán)限離線播放媒體作品文件�����。
6.如權(quán)利要求1所述的基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法,其特征在于���,還 包括當用戶支付媒體作品文件的新使用權(quán)的費用后�����,更新用戶的數(shù)字證書的擴展項和有效期��;將更新的數(shù)字證書下載到智能密碼鑰匙中���。
全文摘要
本發(fā)明公開了一種基于雙重身份認證的動態(tài)數(shù)字版權(quán)保護方法,包括如下步驟將用戶的數(shù)字證書下載到內(nèi)置有隨機數(shù)發(fā)生器的USBKEY中�;當用戶登錄時,在USBKEY置入客戶端后�����,根據(jù)輸入的PIN碼口令激活USBKEY���,進而獲取USBKEY內(nèi)的數(shù)字證書���,當數(shù)字證書有效時,隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)序列,當用戶對隨機數(shù)序列簽名的簽名信息正確時�,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限在線播放或在線下載媒體作品文件;當用戶未登錄時���,在USBKEY置入客戶端后���,根據(jù)輸入的PIN碼口令激活USBKEY�����,進而獲取USBKEY內(nèi)的數(shù)字證書�����,當數(shù)字證書有效時�����,根據(jù)數(shù)字證書的擴展項所規(guī)定的使用權(quán)限離線播放媒體作品文件����。本方法能約束用戶使用權(quán)限和劃分用戶權(quán)限范圍,對離線狀態(tài)用戶身份進行認證���,防止離線擴散����。
文檔編號G06F21/00GK101872399SQ201010214589
公開日2010年10月27日 申請日期2010年7月1日 優(yōu)先權(quán)日2010年7月1日
發(fā)明者劉泉, 李雷, 江雪梅 申請人:武漢理工大學