專利名稱:采用2級架構(gòu)的分布式數(shù)字版權(quán)管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)絡和互動電視領(lǐng)域��,涉及數(shù)字版權(quán)管理(DRM��, Digital Rights Management),內(nèi)容安全保護�����,�����,尤其涉及支持分布式服務的DRM系統(tǒng)及其實現(xiàn)方法�����。
背景技術(shù):
近些年�,互聯(lián)網(wǎng)的迅猛發(fā)展有力地推動了數(shù)字商品,諸如書籍����、論文、音樂和視頻等媒 體內(nèi)容電子版的銷售和服務����。但數(shù)字商品可以在無任何品質(zhì)損傷的情況下被輕易拷貝和再分 發(fā)的特性又使得互聯(lián)網(wǎng)成為非法使用、傳播有版權(quán)媒體內(nèi)容的溫床���。各個公司都在研制防止 盜版的技術(shù)��。數(shù)字版權(quán)管理(DRM)產(chǎn)業(yè)引起了人們高度的關(guān)注�����。
DRM應用的范圍非常廣���。從互聯(lián)網(wǎng)上的數(shù)字音樂、手機上彩鈴、視頻的下載和播放保護 等到各種增值業(yè)務的傳播限制�����。數(shù)字版權(quán)保護技術(shù)就是以數(shù)字加密技術(shù)為基礎����,結(jié)合一系列 軟硬件技術(shù),實現(xiàn)對數(shù)字內(nèi)容的保護���,使數(shù)字內(nèi)容的購買者在指定的授權(quán)范圍內(nèi)使用并從技 術(shù)上防止數(shù)字內(nèi)容的非法復制。其中的數(shù)字內(nèi)容包括電子書����、數(shù)字電影、數(shù)字音樂���、圖片���、 軟件等。DRM涉及的主要技術(shù)包括數(shù)字標識技術(shù)���、安全和加密技術(shù)���、存儲技術(shù)�、電子交易技 術(shù)等���。
傳統(tǒng)的DRM都是以單點運營為主�,采用集中式部署和服務的方式�����。隨著數(shù)字內(nèi)容�,特別 是網(wǎng)絡視頻運營的發(fā)展,以及用戶規(guī)模的急劇增長��,這就要求DRM支持靈活的運營模式��,特 別是中央集中內(nèi)容引入�����、制作�、加密和權(quán)限定義,區(qū)域分布式授權(quán)和服務的運營模式����。
發(fā)明內(nèi)容
本發(fā)明的目的在于在數(shù)字內(nèi)容服務系統(tǒng)里��,提供一個支持大規(guī)模��、分布式的2級架構(gòu)的 DRM系統(tǒng)���,該系統(tǒng)在中央一級完成內(nèi)容集中引入、制作����、加密、權(quán)限定義�����、業(yè)務定義�����,并將 相應的內(nèi)容密鑰和權(quán)限以及業(yè)務定義分發(fā)到區(qū)域服務節(jié)點�����,區(qū)域服務節(jié)點進行分布式授權(quán)和 服務����。
在本發(fā)明中,中央DRM系統(tǒng)并不負責在線授權(quán)服務�,而是主要完成內(nèi)容引入的相關(guān)功能, 包括對內(nèi)容的制作和加密����,跟每個內(nèi)容相關(guān)的權(quán)限定義,和各種業(yè)務的定義���,并采用安全的 方式將密鑰�、權(quán)限�����、業(yè)務等分發(fā)到各個區(qū)域服務節(jié)點��。同時�,中央DRM系統(tǒng)還完成各區(qū)域D謂 節(jié)點的認證,保證區(qū)域DRM節(jié)點的合法性和安全性���,最終的目的是保證內(nèi)容密鑰和權(quán)限的安 全性���。
區(qū)域DRM節(jié)點的主要功能包括以下幾個同步獲取中央節(jié)點分發(fā)的內(nèi)容密鑰、權(quán)限����、和 業(yè)務的定義�,并存入到數(shù)據(jù)庫中�;本地內(nèi)容的引入、制作�����、加密��、權(quán)限和業(yè)務的定義���;向中央DRM系統(tǒng)進行合法性和安全性認證�����,獲取與中央DRM系統(tǒng)通信的令牌��;用戶及其訂購信息 管理;終端和DRM客戶端的安裝��、注冊登記和認證�����;以及對終端和DRM客戶端的業(yè)務請求進 行授權(quán)。
因此�,在本發(fā)明中,整個采用2級架構(gòu)的分布式DRM系統(tǒng)��,包括以下主要子系統(tǒng) 一個 用于集中的內(nèi)容引入����、加密制作、密鑰的生成�、內(nèi)容權(quán)限的定義、業(yè)務的定義����、密鑰和權(quán)限 的管理和下發(fā)以及對邊緣節(jié)點認證的中央DRM系統(tǒng); 一組完成用戶���、終端�����、訂購管理�,并實 時為用戶提供授權(quán)服務的區(qū)域節(jié)點DRM系統(tǒng)�;若干完成業(yè)務授權(quán)請求以及授權(quán)信息的解碼, 并根據(jù)授權(quán)信息解密加密內(nèi)容并為用戶提供正確的內(nèi)容服務的終端和DRM客戶端����; 一個對加 密內(nèi)容進行存儲����,分發(fā)和服務的系統(tǒng)�����; 一個產(chǎn)生用戶信息�,訂購信息的內(nèi)容業(yè)務和服務的運 營支撐系統(tǒng)。
本發(fā)明中的中央DRM系統(tǒng)由以下主要功能和模塊組成 一個內(nèi)容引入與權(quán)限定義子系 統(tǒng),完成內(nèi)容相關(guān)的權(quán)限定義��,并將內(nèi)容導入到系統(tǒng)中����;密鑰和權(quán)限管理,管理所有內(nèi)容的密 鑰和權(quán)限�,并隨著內(nèi)容的發(fā)布而將密鑰和權(quán)限通過加密的方式向區(qū)域節(jié)點DRM發(fā)布;內(nèi)容加 密�����,對引入系統(tǒng)的內(nèi)容加密��,并將密鑰傳遞給秘鑰和權(quán)限管理系統(tǒng)管理��,同時將加密內(nèi)容發(fā) 布給內(nèi)容存儲����、分發(fā)和服務系統(tǒng)以便對用戶進行內(nèi)容服務;CP管理����,管理CP的權(quán)限,CP可 以通過該系統(tǒng)進行內(nèi)容相關(guān)數(shù)據(jù)的錄入�,比如內(nèi)容權(quán)限,授權(quán)時間窗口等���;業(yè)務管理�����,完成 內(nèi)容的業(yè)務定義與發(fā)布�,包括內(nèi)容的打包����,產(chǎn)品的定義,產(chǎn)品的訂購權(quán)限���,生命周期等����;節(jié) 點認證中心,完成對邊緣節(jié)點的認證�����。
本發(fā)明中的區(qū)域節(jié)點DRM系統(tǒng)由以下主要功能和模塊組成授權(quán)中心���,根據(jù)用戶的權(quán) 限��,用戶請求內(nèi)容和業(yè)務的權(quán)限定義����,對DRM Client進行授權(quán)����,并對授權(quán)信息進行加密后, 傳遞給終端及DRM客戶端�;密鑰/權(quán)限/用戶和訂購信息管理,管理內(nèi)容的密鑰和權(quán)限�,同步 中央DRM系統(tǒng)的傳來的內(nèi)容密鑰和權(quán)限并保存在數(shù)據(jù)庫中,管理用戶信息和訂購信息�;用戶 與訂購管理接口����,從外部系統(tǒng)接收和同步用戶信息�����,以及用戶的定購信息�,并保存到數(shù)據(jù)庫 中�����;
客戶端安裝與認證�,完成客戶端第一次與DRM系統(tǒng)通信的安裝和以后每次的開機認證; 業(yè)務管理系統(tǒng)����,完成接收中央DRM系統(tǒng)下發(fā)的業(yè)務和產(chǎn)品,以及跟業(yè)務和產(chǎn)品相關(guān)的一
些權(quán)利描述����;將相關(guān)的信息存入數(shù)據(jù)庫中以便授權(quán);同時區(qū)域DRM節(jié)點的業(yè)務管理系統(tǒng)也能
夠直接進行業(yè)務和產(chǎn)品的定義����、管理、發(fā)布等;
節(jié)點認證�����,向中央DRM進行節(jié)點認證����,保障區(qū)域節(jié)點D脂系統(tǒng)與中央DRM系統(tǒng)之間通
信的安全性。
在本發(fā)明中����,采用2級架構(gòu)的分布式DRM系統(tǒng)的分布式內(nèi)容和權(quán)限引入管理方法,其中 主要功能包括整個DRM系統(tǒng)中的內(nèi)容及其權(quán)限����,既可以從中央DRM系統(tǒng)引入,也可以從區(qū)域DRM節(jié)點引入��;中央DRM系統(tǒng)引入的內(nèi)容的密鑰和權(quán)限描述����,通過加密的方式同步給區(qū)域 DRM節(jié)點中的密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中;區(qū)域DRM節(jié)點引入的內(nèi)容�,其密鑰 和權(quán)限描述將直接進入密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中;
在本發(fā)明中�����,采用2級架構(gòu)的分布式DRM系統(tǒng)的分布式業(yè)務引入方法整個DRM系統(tǒng)中 的業(yè)務、產(chǎn)品及其權(quán)限�����,既可以從中央DRM系統(tǒng)引入�����,也可以從區(qū)域DRM節(jié)點引入�����;中央DRM 系統(tǒng)引入的業(yè)務��、產(chǎn)品和權(quán)限描述����,通過S0AP+XML的方式同步給區(qū)域DRM節(jié)點的業(yè)務管理系 統(tǒng)�,再由業(yè)務管理系統(tǒng)存儲密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中;區(qū)域DRM系統(tǒng)引入的 業(yè)務和產(chǎn)品���,直接由業(yè)務管理系統(tǒng)將其定義和權(quán)限描述存儲到密鑰/權(quán)限/用戶和訂購信息安 全數(shù)據(jù)庫中�。
在本發(fā)明中,采用2級架構(gòu)的分布式DRM系統(tǒng)的分布式授權(quán)服務方法所有用戶及其訂 購信息都由外部系統(tǒng)同步到區(qū)域DRM節(jié)點����,并存儲到密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù) 庫中;對用戶的業(yè)務授權(quán)�,由邊緣DRM節(jié)點的授權(quán)中心完成;多個邊緣節(jié)點可以同時對 分屬于各自管轄的用戶����,獨立進行業(yè)務授權(quán)服務。
在本發(fā)明中�����,采用2級架構(gòu)的分布式DRM系統(tǒng)的內(nèi)容密鑰和權(quán)利描述信息的加密同步方 法����,其中主要步驟包括采用Kerberos的機制,邊緣節(jié)點的認證模塊向中央D腿的認證中 心進行身份認證����;邊緣節(jié)點通過認證后,獲得與中央DRM系統(tǒng)通信的token;中央DRM系統(tǒng) 產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后�,同步給區(qū)域節(jié)點DRM系統(tǒng);區(qū)域節(jié)點DRM 系統(tǒng)解密后���,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中����。
在本發(fā)明中,采用2級架構(gòu)的分布式DRM系統(tǒng)的采用兩級架構(gòu)的集中加分布的方式網(wǎng)絡 組網(wǎng)部署方法�,其主要方法為中央DRM系統(tǒng)部署在中心節(jié)點,為集中部署的方式��,包 括CP管理系統(tǒng)�,中央業(yè)務管理系統(tǒng),中央內(nèi)容引入與權(quán)限定義系統(tǒng)���,中央內(nèi)容加密系統(tǒng), 中央密鑰和權(quán)限管理系統(tǒng)�����,中央節(jié)點認證中心等模塊��;區(qū)域DRM節(jié)點盡量部署在靠近用 戶側(cè)的系統(tǒng)邊緣節(jié)點�����,采用分布式的部署方式���,包括區(qū)域業(yè)務管理系統(tǒng)�����,客戶端安裝與 認證系統(tǒng)��,區(qū)域內(nèi)容加密系統(tǒng)����,密鑰/權(quán)限/用戶和訂購信息管理系統(tǒng),授權(quán)中心���,區(qū)域 節(jié)點認證系統(tǒng)�����,用戶與訂購管理系統(tǒng)等模塊�;區(qū)域DRM節(jié)點既可以采用物理上分布�����,也 可以采用邏輯上分布而物理集中在中心節(jié)點的方式����;
本發(fā)明有效地解決了存在多個區(qū)域節(jié)點時的DRM服務運營模式需求���,內(nèi)容主要在中央DRM
系統(tǒng)集中引入,區(qū)域節(jié)點采用分布式部署和服務���。運營支撐系統(tǒng)將用戶信息和訂購信息同步 給區(qū)域DRM系統(tǒng)��,區(qū)域節(jié)點結(jié)合用戶訂購信息和內(nèi)容的權(quán)限給DRM客戶端授權(quán)��,客戶端根據(jù) 授權(quán)信息即可正確解出加密內(nèi)容��。當然�����,區(qū)域節(jié)點也支持內(nèi)容的引入,使得整個DRM系統(tǒng)能 夠支持更靈活的運營模式�����。本發(fā)明特別適用于IPTV����,互聯(lián)網(wǎng)視頻服務等存在大量內(nèi)容服務,大規(guī)模用戶量和大并發(fā) 服務的情況����,通過2級分布式服務���,能夠有效地將用戶和服務分配到不同的節(jié)點上,減輕了 每個節(jié)點的服務壓力�,降低了對系統(tǒng)性能的要求。
圖1為本發(fā)明實施例采用2級架構(gòu)的分布式DRM系統(tǒng)示意圖���。 圖2為本發(fā)明實施例分布式DRM組網(wǎng)模式示意圖����。
圖3為DRM/Dispatcher以SOAP協(xié)議+ XML指令文檔的方式主動向DRM發(fā)布內(nèi)容的流程圖����。
具體實施例方式
以下結(jié)合附圖對本發(fā)明作進一步的說明。
1. 總體架構(gòu)
在圖l的架構(gòu)中�,采用2級架構(gòu)的分布式DRM系統(tǒng)主要由中央DRM系統(tǒng),區(qū)域節(jié)點DRM 系統(tǒng)�,終端及DRM客戶端,以及業(yè)務運營支撐系統(tǒng)���,內(nèi)容管理��、分發(fā)��、存儲和服務系統(tǒng)組成���。 終端及DRM客戶端向區(qū)域節(jié)點DRM系統(tǒng)進行認證�����、請求和獲取授權(quán)�����,并利用授權(quán)信息對獲取 的加密內(nèi)容進行節(jié)目并得到最終的服務���。
在本發(fā)明中,內(nèi)容的加密制作在中央DRM系統(tǒng)����,內(nèi)容加密后發(fā)布給內(nèi)容管理、分發(fā)����、存 儲和服務系統(tǒng)�����,并最終服務給用戶。而內(nèi)容密鑰和權(quán)利描述在中央系統(tǒng)生成和管理�����,并采用 加密的方式同步給各個區(qū)域節(jié)點DRM系統(tǒng)����。區(qū)域節(jié)點DRM系統(tǒng)采用分布式部署并為用戶服務。
2. 中央DRM系統(tǒng)
中央DRM系統(tǒng)包含內(nèi)容引入與權(quán)限定義��,密鑰和權(quán)限管理��,內(nèi)容加密���,CP (content provide:內(nèi)容合作伙伴)管理�,業(yè)務管理和節(jié)點認證中心等子系統(tǒng)和模塊�。中央DRM系統(tǒng)主 要完成內(nèi)容的引入與權(quán)限定義,內(nèi)容的加密��,以及密鑰和權(quán)限的管理����。內(nèi)容提供商通過CP管 理系統(tǒng)��,將需要加密或者已經(jīng)加密的內(nèi)容上載到DRM系統(tǒng)中�����,并定義內(nèi)容的權(quán)限���。若內(nèi)容是 沒有加密的,則通過內(nèi)容加密系統(tǒng)進行加密����,并產(chǎn)生相應的密鑰。內(nèi)容的密鑰和權(quán)限最終保 存到采用安全機制的密鑰和權(quán)限數(shù)據(jù)庫中���。業(yè)務管理系統(tǒng)完成跟內(nèi)容相關(guān)的業(yè)務定義���,包括 內(nèi)容的打包,服務時間窗口�����,服務權(quán)限等的定義�����。
3. 區(qū)域節(jié)點DRM系統(tǒng)
區(qū)域節(jié)點DRM包含授權(quán)中心�����,密鑰/權(quán)限/用戶和訂購信息管理���,用戶與訂購管理接口����, 客戶端安裝與認證����,業(yè)務管理系統(tǒng)和節(jié)點認證等子系統(tǒng)和模塊。用戶信息及其訂購的業(yè)務�����, 由外部其他的運營支撐系統(tǒng)通過接口的方式���,實時同步給區(qū)域DRM系統(tǒng)���。終端及DRM客戶端 在第一次與DRM系統(tǒng)通信時,需要進行安裝���,以驗證和保證終端及DRM客戶端的合法性�����。以 后終端每一次上電時�����,終端及DRM客戶端需要到DRM區(qū)域節(jié)點進行認證���,以獲取雙方通信的 token (權(quán)標��,局域網(wǎng)中數(shù)據(jù)站間傳遞的一種象征權(quán)限的標記����,起控制作用)��,保證雙方通信
的安全性����。授權(quán)中心主要完成在用戶請求業(yè)務和內(nèi)容時,根據(jù)用戶的信息及其已經(jīng)訂購的業(yè)務��,進行授權(quán)����。并對授權(quán)信息進行加密后����,傳遞給終端及DRM客戶端��。當然��,在區(qū)域節(jié)點中���, 也可以引入內(nèi)容并對業(yè)務進行定義,且區(qū)域節(jié)點引入的內(nèi)容的密鑰和權(quán)限也可以向上同步到 中央DRM系統(tǒng)中����。
4. 內(nèi)容密鑰和權(quán)利描述信息的加密同步方法
區(qū)域節(jié)點DRM系統(tǒng)和中央DRM系統(tǒng)均向中央的身份認證系統(tǒng)進行認證,獲取相互間通信 的token��。在本發(fā)明中��,對中央DRM系統(tǒng)和區(qū)域節(jié)點DRM系統(tǒng)的身份認證�,采用Kerberos的 認證機制。中央DRM系統(tǒng)產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后���,同步給區(qū)域節(jié) 點DRM系統(tǒng)�,區(qū)域節(jié)點DRM系統(tǒng)解密后,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中�����。
5. 內(nèi)容與業(yè)務管理接口
內(nèi)容分發(fā)與業(yè)務管理接口采用SOAP協(xié)議+XML指令文檔的方式�����。其中�����,SOAP消息是與具 體指令內(nèi)容無關(guān)的通用消息��,僅僅用于表達命令請求����。而具體的命令及參數(shù)利用獨立的XML 文檔來描述。采用與具體指令無關(guān)的通用SOAP消息有利于指令擴展及在異步環(huán)境中實現(xiàn)通用 的可靠消息傳遞機制���。
如圖3所示�����,DRM/Dispatcher以SOAP協(xié)議+ XML指令文檔的方式主動向DRM發(fā)布內(nèi)容�, DRM根據(jù)SOAP消息中的文件URL獲取XML并解析執(zhí)行。
6. 用戶與訂購信息接口
本發(fā)明中��,我們提供了一個與外部其他的運營支撐系統(tǒng)之間業(yè)務集成開放接口����。第三方 系統(tǒng)需實現(xiàn)相關(guān)的邏輯控制,并與DRM系統(tǒng)建立安全的通訊連接�,完成DRM相關(guān)的消息處理��。 DRM服務器根據(jù)第三方系統(tǒng)的消息請求返回相應的處理結(jié)果����。接口采用TCP/IP Socket+XML 的方式。主要消息處理包括用戶和機頂盒的增/刪����,用戶的授權(quán)等。主要的接口包括 創(chuàng)建用戶AddSubscriber 停機用戶SuspendSubscriber
激活用戶ReactiveSubscriber 刪除用戶RemoveSubscriber
添加終端AddClient 終端失效DeactiveClient
激活終端ReactiveClient 刪除終端DeleteClient
終端和用戶綁定Bonding 終端和用戶解綁CancelBonding
業(yè)務訂購0rderService 訂購業(yè)務取消CancelService
7. 組網(wǎng)模式
如圖2所示�,本發(fā)明的組網(wǎng)模式采用分布式的兩級架構(gòu)組網(wǎng)方法。中央DRM系統(tǒng)部署在運 營中心��,由中心統(tǒng)一運營和管理���。區(qū)域DRM系統(tǒng)部署在區(qū)域節(jié)點���,實時為用戶提供DRM授權(quán)服 務���,并與外部業(yè)務系統(tǒng)的運營支撐系統(tǒng)進行接口,獲取相關(guān)的用戶和業(yè)務訂購信息�����。區(qū)域DRM 系統(tǒng)既可以物理分布式部署于區(qū)域節(jié)點����,又可以采用邏輯上分布而物理上集中部署于中央節(jié) 占。
'���、�����、��、o
上述的對實施例的描述是為便于該技術(shù)領(lǐng)域的普通技術(shù)人員能理解和應用本發(fā)明。熟悉 本領(lǐng)域技術(shù)的人員顯然可以容易地對這些實施例做出各種修改���,并把在此說明的一般原理應 用到其他實施例中而不必經(jīng)過創(chuàng)造性的勞動�。因此,本發(fā)明不限于這里的實施例�����,本領(lǐng)域技 術(shù)人員根據(jù)本發(fā)明的揭示����,對于本發(fā)明做出的改進和修改都應該在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1�����、一種數(shù)字版權(quán)管理系統(tǒng)����,其特征在于采用2級架構(gòu)的分布式DRM系統(tǒng)�,該系統(tǒng)在中央一級完成內(nèi)容集中引入、制作�����、加密�����、權(quán)限定義、業(yè)務定義�����,并將相應的內(nèi)容密鑰和權(quán)限以及業(yè)務定義分發(fā)到區(qū)域服務節(jié)點�����,區(qū)域服務節(jié)點進行分布式授權(quán)和服務���。
2��、 如權(quán)利要求l所述的數(shù)字版權(quán)管理系統(tǒng)�,其特征在于包括以下子系統(tǒng)-一個用于集中的內(nèi)容引入�、加密制作、密鑰的生成����、內(nèi)容權(quán)限的定義、業(yè)務的定義�、密鑰和權(quán)限的管理和下發(fā)以及對邊緣節(jié)點認證的中央DRM系統(tǒng);一組完成用戶�、終端��、訂購管理��,并實時為用戶提供授權(quán)服務的區(qū)域節(jié)點DRM系統(tǒng)����;若干完成業(yè)務授權(quán)請求以及授權(quán)信息的解碼�,并根據(jù)授權(quán)信息解密加密內(nèi)容并為用戶提 供正確的內(nèi)容服務的終端和DRM客戶端一個對加密內(nèi)容進行存儲,分發(fā)和服務的系統(tǒng)�;一個產(chǎn)生用戶信息,訂購信息的內(nèi)容業(yè)務和服務的運營支撐系統(tǒng)��;在整個數(shù)字版權(quán)管理系統(tǒng)中�����,采用分布式內(nèi)容和權(quán)限引入方法��;在整個數(shù)字版權(quán)管理系統(tǒng)中�,采用分布式授權(quán)服務方法����;在整個數(shù)字版權(quán)管理系統(tǒng)中,內(nèi)容密鑰和權(quán)利描述信息采用加密同步方法進行同步���; 整個數(shù)字版權(quán)管理系統(tǒng)���,采用兩級架構(gòu)的集中加分布的方式網(wǎng)絡組網(wǎng)部署方法�����。
3���、 如權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng),其特征在于所述的中央DRM系統(tǒng)包括 以下功能模塊一個內(nèi)容引入與權(quán)限定義子系統(tǒng)���,完成內(nèi)容相關(guān)的權(quán)限定義�,并將內(nèi)容導入到系統(tǒng)中����; 密鑰和權(quán)限管理,管理所有內(nèi)容的密鑰和權(quán)限�����,并隨著內(nèi)容的發(fā)布而將密鑰和權(quán)限通過加密的方式向區(qū)域節(jié)點DRM發(fā)布�����;內(nèi)容加密,對引入系統(tǒng)的內(nèi)容加密�,并將密鑰傳遞給秘鑰和權(quán)限管理系統(tǒng)管理,同時將加密內(nèi)容發(fā)布給內(nèi)容存儲�、分發(fā)和服務系統(tǒng)以便對用戶進行內(nèi)容服務;CP管理���,管理CP的權(quán)限����,CP可以通過該系統(tǒng)進行內(nèi)容相關(guān)數(shù)據(jù)的錄入����;業(yè)務管理,完成內(nèi)容的業(yè)務定義與發(fā)布�����,包括內(nèi)容的打包��,產(chǎn)品的定義�����,產(chǎn)品的訂購權(quán)限����,生命周期;節(jié)點認證中心��,完成對邊緣節(jié)點的認證��。
4�����、 如權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)����,其特征在于所述的區(qū)域節(jié)點DRM系統(tǒng) 包括以下功能模塊授權(quán)中心,根據(jù)用戶的權(quán)限���,用戶請求內(nèi)容和業(yè)務的權(quán)限定義��,對DRM Client進行授權(quán)�, 并對授權(quán)信息進行加密后��,傳遞給終端及DRM客戶端�;密鑰/權(quán)限/用戶和訂購信息管理,管理內(nèi)容的密鑰和權(quán)限����,同步中央DRM系統(tǒng)的傳來的 內(nèi)容密鑰和權(quán)限并保存在數(shù)據(jù)庫中��,管理用戶信息和訂購信息����;用戶與訂購管理接口�,從外部系統(tǒng)接收和同步用戶信息,以及用戶的定購信息����,并保存 到數(shù)據(jù)庫中;客戶端安裝與認證�����,完成客戶端第一次與DRM系統(tǒng)通信的安裝和以后每次的開機認證����; 業(yè)務管理系統(tǒng),完成接收中央DRM系統(tǒng)下發(fā)的業(yè)務和產(chǎn)品�,以及跟業(yè)務和產(chǎn)品相關(guān)的一些權(quán)利描述;將相關(guān)的信息存入數(shù)據(jù)庫中以便授權(quán)�;同時區(qū)域DRM節(jié)點的業(yè)務管理系統(tǒng)也能夠直接進行業(yè)務和產(chǎn)品的定義、管理、發(fā)布���;節(jié)點認證,向中央DRM進行節(jié)點認證�,保障區(qū)域節(jié)點DRM系統(tǒng)與中央DRM系統(tǒng)之間通信的安全性。
5����、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式內(nèi)容和權(quán)限引入方法,其特征在于包括整個DRM系統(tǒng)中的內(nèi)容及其權(quán)限�,既可以從中央DRM系統(tǒng)引入,也可以從區(qū)域DRM節(jié)點 引入���;中央DRM系統(tǒng)引入的內(nèi)容的密鑰和權(quán)限描述�����,通過加密的方式同步給區(qū)域DRM節(jié)點中的 密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中�;區(qū)域DRM節(jié)點引入的內(nèi)容���,其密鑰和權(quán)限描述將直接進入密鑰/權(quán)限/用戶和訂購信息安 全數(shù)據(jù)庫中�。
6����、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式業(yè)務引入方法����,其特征在于 整個DRM系統(tǒng)中的業(yè)務��、產(chǎn)品及其權(quán)限�,既可以從中央DRM系統(tǒng)引入,也可以從區(qū)域DRM節(jié)點引入��;中央DRM系統(tǒng)引入的業(yè)務��、產(chǎn)品和權(quán)限描述�����,通過SOAP+XML的方式同步給區(qū)域DRM節(jié)點 的業(yè)務管理系統(tǒng)����,再由業(yè)務管理系統(tǒng)存儲密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中;區(qū)域DRM系統(tǒng)引入的業(yè)務和產(chǎn)品��,直接由業(yè)務管理系統(tǒng)將其定義和權(quán)限描述存儲到密鑰/ 權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中����。
7、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的分布式授權(quán)服務方法,其特征在于 所有用戶及其訂購信息都由外部系統(tǒng)同步到區(qū)域DRM節(jié)點���,并存儲到密鑰/權(quán)限/用戶和訂購信息安全數(shù)據(jù)庫中����;對用戶的業(yè)務授權(quán)�����,由邊緣DRM節(jié)點的授權(quán)中心完成���;多個邊緣節(jié)點可以同時對分屬于各自管轄的用戶,獨立進行業(yè)務授權(quán)服務�����。
8��、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的內(nèi)容密鑰和權(quán)利描述信息的加密同步方法�,其特征在于包括采用Kerberos的機制,邊緣節(jié)點的認證模塊向中央DRM的認證中心進行身份認證����; 邊緣節(jié)點通過認證后,獲得與中央DRM系統(tǒng)通信的token;中央DRM系統(tǒng)產(chǎn)生的內(nèi)容密鑰和權(quán)利描述信息通過token加密后,同步給區(qū)域節(jié)點DRM 系統(tǒng)�;區(qū)域節(jié)點DRM系統(tǒng)解密后,將內(nèi)容密鑰和權(quán)利描述信息存入安全數(shù)據(jù)庫中��。
9��、 權(quán)利要求2所述的數(shù)字版權(quán)管理系統(tǒng)的采用兩級架構(gòu)的集中加分布的方式網(wǎng)絡組網(wǎng) 部署方法�����,其特征在于中央DRM系統(tǒng)部署在中心節(jié)點���,為集中部署的方式�����,包括CP管理系統(tǒng)���,中央業(yè)務管 理系統(tǒng),中央內(nèi)容引入與權(quán)限定義系統(tǒng)��,中央內(nèi)容加密系統(tǒng)���,中央密鑰和權(quán)限管理系統(tǒng)�����, 中央節(jié)點認證中心等模塊�;區(qū)域DRM節(jié)點盡量部署在靠近用戶側(cè)的系統(tǒng)邊緣節(jié)點,采用分布式的部署方式�,包括 區(qū)域業(yè)務管理系統(tǒng),客戶端安裝與認證系統(tǒng)���,區(qū)域內(nèi)容加密系統(tǒng),密鑰/權(quán)限/用戶和訂 購信息管理系統(tǒng)����,授權(quán)中心,區(qū)域節(jié)點認證系統(tǒng)���,用戶與訂購管理系統(tǒng)等模塊���;區(qū)域DRM節(jié)點既可以采用物理上分布,也可以采用邏輯上分布而物理集中在中心節(jié) 點的方式�;中央DRM系統(tǒng)與區(qū)域D腹節(jié)點組成兩級架構(gòu)的集中加分布的方式網(wǎng)絡組網(wǎng)部署方法。
10��、 權(quán)利要求1-9中任一所述的數(shù)字版權(quán)管理系統(tǒng)及方法的應用��,其特征在于將其 用于存在大量內(nèi)容服務和或大規(guī)模用戶量和或大并發(fā)服務的情況,包括IPTV���、互聯(lián)網(wǎng)視頻服 務�。
全文摘要
一種采用2級架構(gòu)的分布式數(shù)字版權(quán)管理(DRM)系統(tǒng)����,目的在于提供一個支持大規(guī)模內(nèi)容和用戶,分布式授權(quán)和服務的2級架構(gòu)的DRM系統(tǒng)�,該系統(tǒng)在中央一級完成內(nèi)容集中引入、制作�����、加密�、權(quán)限定義、業(yè)務定義����,并將相應的內(nèi)容密鑰和權(quán)限以及業(yè)務定義分發(fā)到區(qū)域服務節(jié)點,區(qū)域服務節(jié)點進行分布式授權(quán)和服務�����。在本發(fā)明中���,完全支持靈活的運營模式��,保障數(shù)據(jù)庫的安全����,系統(tǒng)的可靠性,以滿足電信級的運營需求��。本發(fā)明特別適用于IPTV���,互聯(lián)網(wǎng)視頻服務等存在大量內(nèi)容服務��,大規(guī)模用戶量和大并發(fā)服務的情況���,通過2級分布式服務�,能夠有效地將用戶和服務分配到不同的節(jié)點上,減輕了每個節(jié)點的服務壓力��,降低了對系統(tǒng)性能的要求����。
文檔編號H04H60/23GK101447842SQ20081020068
公開日2009年6月3日 申請日期2008年9月27日 優(yōu)先權(quán)日2008年9月27日
發(fā)明者張大鐘, 李懷宇, 黃勝明, 文 黎 申請人:百視通網(wǎng)絡電視技術(shù)發(fā)展有限責任公司