專利名稱:數(shù)字權限管理結構����、便攜式存儲裝置以及使用該便攜式存儲裝置的內(nèi)容管理方法
技術領域:
本發(fā)明涉及一種數(shù)字權限管理(DRM)結構、一種便攜式存儲裝置以及一種使用該便攜式存儲裝置的內(nèi)容管理方法�。更具體地說,涉及一種通過其使權限對象或加密的內(nèi)容的移動變得容易的數(shù)字權限管理(DRM)結構���、便攜式存儲裝置以及使用該便攜式存儲裝置的內(nèi)容管理方法��。
背景技術:
近來����,數(shù)字權限管理(DRM)已被積極地研究和開發(fā)。使用DRM的商用業(yè)務已經(jīng)或?qū)⒈皇褂?���。因為?shù)字內(nèi)容的以下各種特性,所以需要使用DRM��。
也就是說���,與模擬信號不同的是�����,數(shù)字內(nèi)容可被無損地復制并可被容易地再使用�、處理和分發(fā)�����,并且復制和分發(fā)數(shù)字內(nèi)容僅需少量的成本�。
然而,制作數(shù)字內(nèi)容需要大量的成本�、勞力和時間。因此,當數(shù)字內(nèi)容未經(jīng)許可而被復制和分發(fā)時��,數(shù)字內(nèi)容的制作者可能會損失利益����,創(chuàng)作的熱情可能受到損害。結果����,妨害了數(shù)字內(nèi)容商業(yè)的發(fā)展。
有一些努力來保護數(shù)字內(nèi)容�。傳統(tǒng)地��,數(shù)字內(nèi)容保護已經(jīng)集中在防止對數(shù)字內(nèi)容的未允許訪問���,僅允許付費的人訪問數(shù)字內(nèi)容����。
因此�,允許為數(shù)字內(nèi)容付費的人而不允許未付費的人訪問未加密的數(shù)字內(nèi)容。然而����,在此情形中,當付費的人故意向其它人分發(fā)數(shù)字內(nèi)容時,人們可無需付費就使用數(shù)字內(nèi)容���。
引入DRM來解決這個問題����。在DRM中�����,允許任何人自由地訪問編碼的數(shù)字內(nèi)容��,但需要被稱為權限對象(right object)的許可證來解碼并執(zhí)行數(shù)字內(nèi)容����。
因此,通過使用DRM可更有效地保護數(shù)字內(nèi)容�。
將參照圖1描述DRM的概念。DRM涉及對使用諸如加密或加擾的方法保護的內(nèi)容(以下稱為加密的內(nèi)容)以及允許訪問加密的內(nèi)容的權限對象的管理�����。
參照圖1�����,DRM系統(tǒng)包括期望訪問由DRM保護的內(nèi)容的用戶終端11和12、發(fā)放內(nèi)容的內(nèi)容發(fā)放器13�����、發(fā)放包括訪問內(nèi)容的權限的權限對象的權限發(fā)放器14���、以及發(fā)放證書的認證中心15����。
在操作中�,用戶終端11可按由DRM保護的加密的格式來從內(nèi)容發(fā)放器13獲得期望的內(nèi)容。用戶終端11可根據(jù)從權限發(fā)放器14接收的權限對象獲得許可證以播放加密的內(nèi)容����。
其后����,用戶終端11可播放加密的內(nèi)容。由于加密的內(nèi)容可自由地流通或分發(fā)����,所以用戶終端11可將加密的內(nèi)容自由地發(fā)送到用戶終端12。
用戶終端12需要權限對象以播放加密的內(nèi)容�����。可從權限發(fā)放器14獲得權限對象����。
同時,認證中心15發(fā)放指示內(nèi)容發(fā)放器13是可信的并且用戶終端11和12被授權的證書����。當裝置被制造時,證書可被嵌入由用戶終端11和12使用的裝置�,并可在預定持續(xù)時間過去之后由認證中心15再次發(fā)放。
DRM保護了制作或提供數(shù)字內(nèi)容的人的利益���,因此對激活數(shù)字內(nèi)容產(chǎn)業(yè)是有益的�����。
發(fā)明內(nèi)容
技術問題然而����,雖然可使用移動裝置在用戶終端11和12之間轉(zhuǎn)發(fā)權限對象或加密的內(nèi)容�,但這實際上是不方便的。
因此����,需要在裝置之間容易地移動權限對象或加密的內(nèi)容��。當使用便攜式存儲裝置時����,可在裝置之間容易地移動權限對象和加密的內(nèi)容����。
技術方案本發(fā)明提供一種通過非易失性存儲器使權限對象和加密的內(nèi)容的移動變得容易的DRM結構、一種便攜式存儲裝置��、以及一種使用該便攜式存儲裝置的內(nèi)容管理方法��。
根據(jù)本發(fā)明的一方面��,提供一種數(shù)字權限管理結構�����,其包括安全部分���,包括對已由主機裝置加密的信息進行解密所需的私鑰信息和密碼方法;限制部分��,包括與主機裝置認證所需的認證信息以及關于內(nèi)容的權限對象信息;以及數(shù)據(jù)部分�����,包括主機裝置嘗試訪問的加密的內(nèi)容�。
該數(shù)字權限管理結構可還包括系統(tǒng)部分,其包括主機裝置對連接到其的便攜式存儲裝置進行標識的標識符信息��。
認證信息可包括認證中心的公鑰信息���、與主機裝置連接的便攜式存儲裝置的公鑰信息����、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息以及證書撤銷列表信息中的至少一個��。
認證中心的公鑰信息可用于對主機裝置的證書進行解密����。
便攜式存儲裝置的公鑰信息可由主機裝置用來對將被發(fā)送到便攜式存儲裝置的信息進行加密。
便攜式存儲裝置的證書信息和證書撤銷列表信息可用于檢驗在主機裝置和便攜式存儲裝置之間的認證期間主機裝置和便攜式存儲裝置是否是可信的��。
權限對象信息可包括對加密的內(nèi)容的權限的定義�、對權限的約束、以及權限對象自身的權限中的至少一個����。
根據(jù)本發(fā)明的另一方面�����,提供一種便攜式存儲裝置����,其包括非易失性存儲器��,存儲加密的內(nèi)容��、關于該內(nèi)容的權限對象信息�、以及與主機裝置認證所需的認證信息;以及訪問控制器����,根據(jù)認證的結果,有選擇地允許主機裝置訪問非易失性存儲器�����。
便攜式存儲裝置可還包括工作處理器����,處理涉及與主機裝置的認證以及主機裝置的訪問的全部工作。
非易失性存儲器可包括系統(tǒng)部分���,包括主機裝置標識便攜式存儲裝置的標識符信息����;安全部分�,包括對由主機裝置加密的信息進行解密所需的私鑰信息和密碼方法信息;限制部分��,包括與主機裝置認證所需的認證信息和關于內(nèi)容的權限對象信息����;以及數(shù)據(jù)部分,包括主機裝置嘗試訪問的加密的內(nèi)容�。
根據(jù)本發(fā)明的另一方面,提供一種使用便攜式存儲裝置來管理內(nèi)容的方法���,該方法包括在便攜式存儲裝置和主機裝置之間執(zhí)行認證����;以及根據(jù)認證的結果有選擇地允許主機裝置對包括在便攜式存儲裝置中的非易失性存儲器的訪問����。
有選擇地允許訪問的步驟可包括在完成認證之后��,從主機裝置接收對訪問預定的加密的內(nèi)容�����、關于該內(nèi)容的權限對象以及認證信息中的至少一個的訪問的請求��。
主機裝置可基于存儲在便攜式存儲裝置的非易失性存儲器中的加密的內(nèi)容的列表和預定的加密的內(nèi)容的ID來請求預定的加密的內(nèi)容��。
在主機裝置可正訪問預定的加密的內(nèi)容��、關于該內(nèi)容的權限對象信息以及認證信息中的至少一個的同時允許訪問非易失性存儲器����。
根據(jù)本發(fā)明的另一方面���,提供一種使用便攜式存儲裝置來管理內(nèi)容的方法���,該方法包括在便攜式存儲裝置和主機裝置之間執(zhí)行認證;在完成認證之后����,從主機裝置接收更新認證信息和權限對象信息的請求;以及在更新認證信息和權限對象信息的同時允許主機裝置的訪問。
更新的認證信息可包括認證中心的公鑰信息����、與主機裝置連接的便攜式存儲裝置的公鑰信息�����、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息以及證書撤銷列表信息中的至少一個����。
所述管理內(nèi)容的方法可還包括在進行更新之后,將用于主機裝置的訪問的模式轉(zhuǎn)換為只讀模式����。
通過參照附圖詳細描述其示例性實施例,本發(fā)明的上述和其他方面將會變得更加清楚�,其中圖1是普通數(shù)字權限管理(DRM)的概念性示圖;圖2是根據(jù)本發(fā)明示例性實施例的DRM的概念性示圖���;圖3是根據(jù)本發(fā)明示例性實施例的便攜式存儲裝置的框圖����;圖4是根據(jù)本發(fā)明示例性實施例的非易失性存儲器的DRM結構���;圖5是根據(jù)本發(fā)明示例性實施例的使用便攜式存儲裝置的內(nèi)容管理方法的流程圖����;圖6是示出根據(jù)本發(fā)明示例性實施例的認證過程的示圖;以及圖7是根據(jù)本發(fā)明示例性實施例的更新認證信息的方法的流程圖�。
具體實施例方式
參照下面的示例性實施例的詳細描述及附圖,本發(fā)明及實現(xiàn)本發(fā)明的方法可更容易理解����。然而,本發(fā)明可按多種不同形式實施��,而不應理解為受限于在此闡釋的示例性實施例�。此外,提供實施例從而該公開將是徹底和完整的�,并將把本發(fā)明的構思完整地傳達給本領域技術人員,本發(fā)明將由所附權利要求定義�����。在整個說明書中�,相同的標號指的是相同的部件。
現(xiàn)將參照本發(fā)明的示例性實施例在其中被示出的附圖來更完整地描述本發(fā)明��。
圖2是根據(jù)本發(fā)明示例性實施例的數(shù)字權限管理(DRM)的概念性示圖�。
參照圖2�,用戶終端21可從內(nèi)容發(fā)放器22獲得加密的內(nèi)容�。
加密的內(nèi)容是通過DRM保護的內(nèi)容。為了播放加密的內(nèi)容���,需要用于加密的內(nèi)容的權限對象�。
權限對象包括內(nèi)容的權限的定義或權限的約束以及權限對象自身的權限��。內(nèi)容的權限的一個示例可以是回放����。約束的一個示例可以是回放的數(shù)量�����、回放時間以及回放持續(xù)時間�����。權限對象的權限的一個示例可以是移動或復制�����。換句話說��,包括移動或復制的權限的權限對象可通過便攜式存儲裝置26被移動或復制到另一裝置。
在本發(fā)明示例性實施例中使用的便攜式存儲裝置26包括諸如可讀���、寫���、擦除數(shù)據(jù)的閃存存儲器的非易失性存儲器,其表示可與裝置連接的存儲裝置����。
便攜式存儲裝置26可以是智能媒體卡、存儲器棒���、壓縮閃速(CF)卡�����、XD-圖像卡或多媒體卡���,但不受限于此。
獲得加密的內(nèi)容的用戶終端21可從權限發(fā)放器23請求權限對象以獲得播放的權限����。當用戶終端21從權限發(fā)放器23接收到權限對象和權限對象響應時,用戶終端21可使用該權限對象播放加密的內(nèi)容�����。
同時,用戶終端21可經(jīng)由便攜式存儲裝置26將權限對象發(fā)送到具有相應的加密的對象的用戶終端25���。
例如���,便攜式存儲裝置26可以是具有DRM功能的安全多媒體卡。在此情形中���,在相互認證之后��,用戶終端21將權限對象發(fā)送到安全多媒體卡。
當播放加密的內(nèi)容時���,用戶終端21可從便攜式存儲裝置26請求播放的權限并從便攜式存儲裝置26接收播放的權限����,即內(nèi)容加密密鑰�。其后,用戶終端21可使用內(nèi)容加密密鑰播放加密的內(nèi)容���。
同時�,在執(zhí)行與用戶終端25的認證之后,便攜式存儲裝置26可將權限對象移動到用戶終端25或使用戶終端25能夠播放加密的內(nèi)容�。
圖3是根據(jù)本發(fā)明示例性實施例的便攜式存儲裝置200的框圖。
如圖3所示�����,便攜式存儲裝置200包括工作處理器210���,處理涉及與預定的主機裝置100的認證以及主機裝置100對加密的內(nèi)容的訪問的全部工作�����;非易失性存儲器220��,存儲加密的內(nèi)容和認證所需的認證信息�;以及訪問控制器230�,由工作處理器210控制以訪問主機裝置100中的加密的內(nèi)容。
此外��,便攜式存儲裝置200可還包括用于存儲運行便攜式存儲裝置200所需的驅(qū)動程序的程序存儲器240����。
詳細地說,程序存儲器240可存儲用于驅(qū)動各種加密方法��,例如RSA、先進加密標準(AES)以及數(shù)據(jù)加密標準(DES)的驅(qū)動程序��。
程序存儲器240可還存儲用于除了加密方法的驅(qū)動程序之外的諸如可由便攜式存儲裝置200執(zhí)行的加密的內(nèi)容的移動和復制的其它操作的驅(qū)動程序����。
工作處理器210可包括控制處理器(CPU)、權限對象和輸入/輸出單元����。工作處理器210可用于在主機裝置100和訪問控制器230之間轉(zhuǎn)發(fā)信息。
訪問控制器230可限制性地允許主機裝置100訪問存儲在非易失性存儲器220中的加密的內(nèi)容�����。
詳細地說�,訪問控制器230可根據(jù)通過便攜式存儲裝置200和主機裝置100之間的認證確定主機裝置100是否是可信的這樣的結果來確定是否允許主機裝置100的訪問�����。
參照圖4����,非易失性存儲器220包括系統(tǒng)部分221,其包括標識符信息221a����,通過其主機裝置100標識便攜式存儲裝置200���;安全部分222,包括便攜式存儲裝置200的私鑰信息222a和密碼方法信息222b���;限制部分223����,包括與主機裝置100認證所需的認證信息����;以及數(shù)據(jù)部分224,存儲加密的內(nèi)容224a����。
限制部分223可包括與主機裝置100認證所需的認證中心的公鑰信息223a、便攜式存儲裝置的公鑰信息223b�、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息223c、證書撤銷列表(CRL)信息223d���、以及權限對象信息223e���。
認證中心的公鑰信息223a用于對主機裝置100的證書進行解密���。
主機裝置100使用便攜式存儲裝置的公鑰信息223b對將被發(fā)送到便攜式存儲裝置200的信息進行加密。
便攜式存儲裝置的證書信息223c和CRL信息223d用于檢驗在認證期間主機裝置100和便攜式存儲裝置200是否是可信的�。
權限對象信息223e包括加密的內(nèi)容224a的權限的定義、權限的約束�����、以及權限對象自身的權限��。
可由訪問控制器230有選擇地限制對限制部分223的訪問�����。
例如����,包括在系統(tǒng)部分221中的標識符221a和包括在安全部分222中的便攜式存儲裝置的私鑰信息222a以及密碼方法信息222b是由便攜式存儲裝置200擁有的特有信息。因此�����,為了安全����,主機裝置100對特有信息的訪問可能被中斷。另外����,特有信息可被存儲在分離的存儲器中。
另一方面�����,當由于過期而需要更新便攜式存儲裝置的證書信息223c時��,或當需要更新CRL信息223d時���,可有選擇地允許主機裝置100的訪問����。
通常�����,為了防止CRL信息223d和權限對象信息223e被另一裝置修改或刪除�,可完全中斷主機裝置100對其的訪問。
對于這樣的訪問的中斷����,CRL信息223d和權限對象信息223e可被加密和存儲�����。
同時���,由于便攜式存儲裝置的公鑰信息223b可被公開,所以其可被設置為只讀��。
數(shù)據(jù)部分224是主機裝置100實際期望訪問的加密的內(nèi)容224a被存儲的區(qū)域����。
與包括在便攜式存儲裝置200中的部件210、220����、230以及240相同的部件可被包括在主機裝置100中。
因此����,在主機裝置100和便攜式存儲裝置200之間的認證成為可能。
下面的描述涉及根據(jù)本發(fā)明示例性實施例的使用便攜式存儲裝置200的內(nèi)容管理方法���。
參照圖5�����,在操作S310��,便攜式存儲裝置200與主機裝置100連接�����。
當便攜式存儲裝置200與主機裝置100連接時����,便攜式存儲裝置200的接口單元與主機裝置100的接口單元進行電連接�����。然而����,這僅是一個示例,“連接”簡單地表示兩個裝置可按非接觸狀態(tài)通過無線介質(zhì)彼此通信��。
在操作S320���,主機裝置100和便攜式存儲裝置200執(zhí)行認證過程��。將參照圖6詳細描述認證過程����。
認證是這樣一個過程主機裝置100和便攜式存儲裝置200認證彼此的真實性(genuineness)并交換用于生成會話密鑰的隨機數(shù)?����?墒褂迷谡J證期間獲得的隨機數(shù)來生成會話密鑰���。
在圖6中��,在箭頭線上面的說明涉及請求另一裝置執(zhí)行特定操作的命令�����,在箭頭線下面的說明涉及執(zhí)行傳輸?shù)拿罨驍?shù)據(jù)所需的參數(shù)�。對象的下標“D”表示該對象由裝置擁有或由裝置生成�����,對象的下標“M”表示該對象由便攜式存儲裝置擁有或由便攜式存儲裝置生成�����。
在本發(fā)明示例性實施例中,主機裝置100發(fā)放用于認證的所有命令����,便攜式存儲裝置200執(zhí)行運行命令所需的操作�����。
例如�����,主機裝置100可將諸如認證響應的命令發(fā)送到便攜式存儲裝置200�����。其后�,便攜式存儲裝置200響應于該認證響應而將證書M和加密的隨機數(shù)M發(fā)送到主機裝置100。
在本發(fā)明另一示例性實施例中���,主機裝置100和便攜式存儲裝置200兩者都可發(fā)放命令�。
例如�����,便攜式存儲裝置200可將認證響應與證書M和加密的隨機數(shù)M一起發(fā)送到主機裝置100。下面將闡釋認證過程的詳細說明��。
在操作S10�����,主機裝置100將認證請求發(fā)送到便攜式存儲裝置200�。
當請求認證時,主機裝置100將主機裝置公鑰D發(fā)送到便攜式存儲裝置200���。
例如��,可通過由認證中心發(fā)送發(fā)放到主機裝置100的主機裝置證書D來發(fā)送主機裝置公鑰D���。
主機裝置證書D以認證中心的數(shù)字簽名被簽署,并且包含主機裝置ID的主機裝置公鑰D�。
基于主機裝置證書D,便攜式存儲裝置200可對主機裝置100進行認證并獲得主機裝置公鑰D�。
在操作S20,便攜式存儲裝置200使用CRL檢驗主機裝置證書D是否有效����。
如果主機裝置證書D被注冊在CRL中,則便攜式存儲裝置200可拒絕與主機裝置100的認證�����。
如果主機裝置證書D未被注冊在CRL中,則便攜式存儲裝置200可使用主機裝置證書D來獲得主機裝置公鑰D��。
在操作S30�����,便攜式存儲裝置200生成隨機數(shù)M����。在操作S40�����,使用主機裝置公鑰D來對隨機數(shù)M進行加密���。
在操作S50�,通過從主機裝置100將認證響應發(fā)送到便攜式存儲裝置200或從便攜式存儲裝置200將認證響應發(fā)送到主機裝置100來執(zhí)行認證響應過程�����。
在認證響應過程期間��,便攜式存儲裝置200將便攜式存儲裝置公鑰M和加密的隨機數(shù)M發(fā)送到主機裝置100。
在本發(fā)明示例性實施例中���,可將便攜式存儲裝置證書M而不是便攜式存儲裝置公鑰M發(fā)送到主機裝置100����。
在本發(fā)明另一示例性實施例中����,便攜式存儲裝置200可將其自身的數(shù)字簽名M與加密的隨機數(shù)M和便攜式存儲裝置證書M一起發(fā)送到主機裝置100。
在操作S60���,主機裝置100接收便攜式存儲裝置證書M和加密的隨機數(shù)M����,通過檢驗便攜式存儲裝置證書M來對便攜式存儲裝置200進行認證�,獲得便攜式存儲裝置公鑰M,并對通過使用主機裝置公鑰D加密的隨機數(shù)M進行解密來獲得隨機數(shù)M��。
在操作S70�,主機裝置100生成隨機數(shù)D。在操作S80����,使用便攜式存儲裝置公鑰M來對隨機數(shù)D進行加密���。
其后,在主機裝置100將加密的隨機數(shù)D發(fā)送到便攜式存儲裝置200的情況下��,在操作S90執(zhí)行認證結束過程���。
在本發(fā)明示例性實施例中�,主機裝置100可將其數(shù)字簽名D和加密的隨機數(shù)D一起發(fā)送到便攜式存儲裝置200���。
在操作S100��,便攜式存儲裝置200接收加密的隨機數(shù)D并對其進行解密。
在示例性實施例中�����,由于主機裝置100和便攜式存儲裝置200兩者都生成其自身的隨機數(shù)并使用彼此的隨機數(shù)���,所以可大大提高隨機性并使安全交互認證成為可能��。換句話說�,即使主機裝置100和便攜式存儲裝置200中的一個具有弱的隨機性�����,它們中的另一個也可補充隨機性。
在本發(fā)明示例性實施例中��,可使用隨機數(shù)生成模塊(未示出)來生成隨機數(shù)���。另外���,隨機數(shù)可以是從存儲在裝置或安全MMC中的多個數(shù)中選擇的一個數(shù),或是從其中選擇的多個數(shù)的組合��。此外��,隨機數(shù)不僅可以是數(shù)字�,而且可以是字符串。因此��,隨機數(shù)可表示使用隨機數(shù)生成模塊生成的數(shù)字���、數(shù)字的組合或字符串���,或可以表示從先前存儲的多個數(shù)字或字符串中選擇的一個數(shù)字、多個數(shù)字的組合、一個字符串��、或多個字符串的組合���。
在操作S110和S120���,共享彼此的隨機數(shù)的主機裝置100和便攜式存儲裝置200使用它們的兩個隨機數(shù)來生成它們的會話密鑰。
為了使用兩個隨機數(shù)來生成會話密鑰�,可使用已經(jīng)公開的算法。最簡單的算法是執(zhí)行兩個隨機數(shù)的異或操作��。
一旦生成會話密鑰����,就可以在主機裝置100與便攜式存儲裝置200之間執(zhí)行由DRM保護的多種操作。
當在操作S330已經(jīng)完成認證時���,主機裝置100將對訪問預定的加密的內(nèi)容的請求發(fā)送到便攜式存儲裝置200。
這里���,主機裝置100可搜索存儲在數(shù)據(jù)部分224中的加密的內(nèi)容�,其后請求期望的加密的內(nèi)容���。另外��,主機裝置100可使用預先知道的期望的加密的內(nèi)容的ID來請求對期望的加密的內(nèi)容的訪問����。
在操作S350,主機裝置100的內(nèi)容訪問請求被發(fā)送到訪問控制器230����。
在操作S360,訪問控制器230從數(shù)據(jù)部分240檢索與內(nèi)容訪問請求相應的加密的內(nèi)容��。
在步驟S370��,主機裝置100對加密的內(nèi)容執(zhí)行操作�。
在主機裝置100完成對加密的內(nèi)容的操作之后,訪問控制器230可限制主機裝置100的訪問����。
在另一示例性實施例中,可更新存儲在便攜式存儲裝置200中的信息��,下面就描述該實施例�����。
圖7是根據(jù)本發(fā)明示例性實施例的更新在便攜式存儲裝置200中存儲的信息中包括在限制部分223中的認證信息的方法的流程圖。
參照圖7�,在操作S410,便攜式存儲裝置200與主機裝置100連接����。在操作S420,主機裝置100和便攜式存儲裝置200執(zhí)行認證過程�����。這里����,可執(zhí)行在圖6中示出的認證過程。
當在操作S430已經(jīng)完成認證時��,主機裝置100在操作S440生成信息更新請求��。其后���,在操作S450��,工作處理器210將信息更新請求發(fā)送到訪問控制器230。
在操作S460�,響應于信息更新請求����,訪問控制器230將限制部分223的訪問設置從只讀模式轉(zhuǎn)換為更新模式�����。
其后�,在操作S470,主機裝置100訪問限制部分223并更新便攜式存儲裝置的證書信息223c���。
當在操作S480完成便攜式存儲裝置的證書信息223c的更新時�����,訪問控制器230在操作S490將訪問設置轉(zhuǎn)換為只讀模式以防止其它主機裝置在沒有允許的情況下訪問限制部分223�����。
工業(yè)上的可用性如上所述�����,根據(jù)本發(fā)明�,可通過便攜式存儲裝置來容易地移動權限對象和加密的內(nèi)容����,因此�,增加了使用加密的內(nèi)容的用戶的方便性����。
雖然已參照其示例性實施例描述了根據(jù)本發(fā)明的數(shù)字權限管理結構、便攜式存儲裝置以及使用該便攜式存儲裝置管理內(nèi)容的方法��,但應理解�����,本發(fā)明不受限于其細節(jié)��。此外�,在上面的描述中已示出各種替換和修改,對本領域普通技術人員將會出現(xiàn)其它的替換和修改�。因此,所有的這些替換和修改被包含在由所附權利要求定義的本發(fā)明的范圍中�。
權利要求
1.一種數(shù)字權限管理結構,包括安全部分����,包括私鑰信息和密碼方法信息,其被用于對已由主機裝置加密的信息進行解密�;限制部分���,包括用于與主機裝置認證的認證信息和關于內(nèi)容的權限對象信息���;以及數(shù)據(jù)部分�,包括主機裝置嘗試訪問的加密的內(nèi)容�。
2.如權利要求1所述的數(shù)字權限管理結構,還包括系統(tǒng)部分�,其包括由主機裝置使用以標識連接到主機裝置的便攜式存儲裝置的標識符信息。
3.如權利要求2所述的數(shù)字權限管理結構�,其中,認證信息包括認證中心的公鑰信息����、與主機裝置連接的便攜式存儲裝置的公鑰信息、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息以及證書撤銷列表信息中的至少一個�。
4.如權利要求3所述的數(shù)字權限管理結構,其中���,認證中心的公鑰信息用于對主機裝置的證書進行解密����。
5.如權利要求4所述的數(shù)字權限管理結構���,其中��,由主機裝置使用便攜式存儲裝置的公鑰信息以對將被發(fā)送到便攜式存儲裝置的信息進行加密��。
6.如權利要求5所述的數(shù)字權限管理結構��,其中���,便攜式存儲裝置的證書信息和證書撤銷列表信息用于在主機裝置和便攜式存儲裝置之間的認證期間檢驗主機裝置和便攜式存儲裝置是否是可信的�。
7.如權利要求6所述的數(shù)字權限管理結構��,其中�����,權限對象信息包括加密的內(nèi)容的權限的定義����、加密的內(nèi)容的權限的約束、以及權限對象的權限中的至少一個��。
8.一種便攜式存儲裝置����,包括非易失性存儲器���,存儲加密的內(nèi)容、關于內(nèi)容的權限對象信息以及用于與主機裝置認證的認證信息�;以及訪問控制器,根據(jù)認證的結果有選擇地允許主機裝置訪問非易失性存儲器�����。
9.如權利要求8所述的便攜式存儲裝置���,還包括工作處理器,處理涉及與主機裝置認證以及主機裝置的訪問的工作���。
10.如權利要求9所述的便攜式存儲裝置�,其中�����,非易失性存儲器包括系統(tǒng)部分�,包括由主機裝置使用以標識便攜式存儲裝置的標識符信息;安全部分�,包括用于對由主機裝置加密的信息進行解密的私鑰信息和密碼方法信息;限制部分,包括用于與主機裝置認證的認證信息和關于內(nèi)容的權限對象信息��;以及數(shù)據(jù)部分�����,包括主機裝置嘗試訪問的加密的內(nèi)容����。
11.如權利要求10所述的便攜式存儲裝置,其中���,認證信息包括認證中心的公鑰信息���、與主機裝置連接的便攜式存儲裝置的公鑰信息、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息以及證書撤銷列表信息中的至少一個��。
12.如權利要求11所述的便攜式存儲裝置�����,其中��,認證中心的公鑰信息用于對主機裝置的證書進行解密��。
13.如權利要求12所述的便攜式存儲裝置,其中�����,便攜式存儲裝置的公鑰信息由主機裝置使用以對將被發(fā)送到便攜式存儲裝置的信息進行加密�����。
14.如權利要求13所述的便攜式存儲裝置�,其中,便攜式存儲裝置的證書信息和證書撤銷列表信息用于在主機裝置和便攜式存儲裝置之間的認證期間檢驗主機裝置和便攜式存儲裝置是否是可信的���。
15.如權利要求14所述的便攜式存儲裝置,其中�,權限對象信息包括加密的內(nèi)容的權限的定義、加密的內(nèi)容的權限的約束�����、以及權限對象的權限中的至少一個�。
16.一種使用便攜式存儲裝置管理內(nèi)容的方法,該方法包括以下步驟在便攜式存儲裝置和主機裝置之間執(zhí)行認證��;以及根據(jù)認證的結果有選擇地允許主機裝置對包括在便攜式存儲裝置中的非易失性存儲器的訪問����。
17.如權利要求16所述的方法����,其中���,所述有選擇地允許訪問包括在完成認證之后��,從主機裝置接收用于訪問預定的加密的內(nèi)容����、關于內(nèi)容的權限對象信息以及認證信息中的至少一個的請求�。
18.如權利要求17所述的方法,其中���,主機裝置基于存儲在便攜式存儲裝置的非易失性存儲器中的加密的內(nèi)容的列表以及預定的加密的內(nèi)容的ID來請求預定的加密的內(nèi)容����。
19.如權利要求18所述的方法�����,其中�����,在主機裝置正在訪問預定的加密的內(nèi)容、關于內(nèi)容的權限對象信息以及認證信息中的至少一個的同時允許訪問非易失性存儲器�����。
20.一種使用便攜式存儲裝置管理內(nèi)容的方法���,該方法包括以下步驟在便攜式存儲裝置和主機裝置之間執(zhí)行認證��;在完成認證之后����,從主機裝置接收對更新認證信息和權限對象信息的請求�����;以及在更新認證信息和權限對象信息的同時允許主機裝置的訪問����。
21.如權利要求20所述的方法���,其中�����,更新的認證信息包括認證中心的公鑰信息�、與主機裝置連接的便攜式存儲裝置的公鑰信息、以認證中心的數(shù)字簽名簽署的便攜式存儲裝置的證書信息以及證書撤銷列表信息中的至少一個�����。
22.如權利要求21所述的方法��,還包括�,在更新之后,將用于主機裝置的訪問的模式轉(zhuǎn)換為只讀模式�����。
全文摘要
提供一種數(shù)字權限管理(DRM)結構���、一種便攜式存儲裝置以及一種使用該便攜式存儲裝置的內(nèi)容管理方法以使權限對象或加密的內(nèi)容的移動變得容易����。該數(shù)字權限管理結構包括安全部分��,包括對已由主機裝置進行加密的信息進行解密所需的私鑰信息和密碼方法�����;限制部分,包括與主機裝置認證所需的認證信息和關于內(nèi)容的權限對象信息�;以及數(shù)據(jù)部分,包括主機裝置嘗試訪問的加密的內(nèi)容���。
文檔編號H04L9/00GK1860471SQ200580001106
公開日2006年11月8日 申請日期2005年2月28日 優(yōu)先權日2004年3月22日
發(fā)明者李炳來, 金泰成, 鄭勍任, 吳潤相 申請人:三星電子株式會社