專(zhuān)利名稱(chēng):基于標(biāo)識(shí)的數(shù)字媒體管理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字信息網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,尤其涉及一種基于標(biāo)識(shí)的數(shù)字媒體管理方法及系統(tǒng)�。
背景技術(shù):
數(shù)字媒體技術(shù)具有傳輸質(zhì)量高、范圍廣�����、用戶(hù)端多�、速度快等優(yōu)勢(shì),可以在互聯(lián)網(wǎng)�����、有線(xiàn)電視網(wǎng)����、甚至是無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行傳輸,可以預(yù)見(jiàn)�����,數(shù)字媒體將逐漸取代傳統(tǒng)的媒體�����,擁有非常廣闊的市場(chǎng)前景�。數(shù)字媒體作為一種新興的媒體應(yīng)用模式,其分發(fā)�����、傳輸、管理和保護(hù)的方法與傳統(tǒng)媒體相比���,需要解決以下問(wèn)題
(I)����、如何實(shí)現(xiàn)條件接收����,也就是只有合法用戶(hù)端才能接收數(shù)字媒體內(nèi)容,非合法用戶(hù)不能接收���。這里的合法用戶(hù)端是指已經(jīng)經(jīng)過(guò)數(shù)字媒體相關(guān)管理結(jié)構(gòu)認(rèn)定的具有數(shù)字媒體播放許可的用戶(hù)端�。(2)�、如何防止非法入侵者通過(guò)控制互聯(lián)網(wǎng)等有線(xiàn)方式,或者衛(wèi)星等傳送網(wǎng)絡(luò)插入非法的數(shù)字媒體�����。(3)�、目前數(shù)字媒體的應(yīng)用還沒(méi)有形成規(guī)模化�����,似乎很多手段都能解決數(shù)字媒體的在分發(fā)、傳輸中的管理��,但是普遍不具有對(duì)大規(guī)模數(shù)字媒體網(wǎng)絡(luò)的管理能力�����。在規(guī)?���;臄?shù)字媒體應(yīng)用網(wǎng)絡(luò)中����,將存在不同服務(wù)提供商建立的不同的數(shù)字媒體提供服務(wù)器。從長(zhǎng)遠(yuǎn)來(lái)看�,對(duì)于監(jiān)管機(jī)構(gòu)來(lái)說(shuō),建立一個(gè)第三方數(shù)字媒體管理機(jī)構(gòu)對(duì)各個(gè)服務(wù)提供商和用戶(hù)端進(jìn)行統(tǒng)一的認(rèn)證和管理�����,是必然的趨勢(shì)����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種基于標(biāo)識(shí)的數(shù)字媒體管理方法及系統(tǒng),對(duì)媒體提供服務(wù)器和用戶(hù)端進(jìn)行統(tǒng)一認(rèn)證�,實(shí)現(xiàn)媒體提供服務(wù)器和用戶(hù)端間的數(shù)字媒體資源的保密傳輸�����。本發(fā)明實(shí)施例提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法����,包括
在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中�����,鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)���,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū)���,對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后�,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰;
所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰�����,進(jìn)行數(shù)字媒體資源的保密傳輸��。本發(fā)明實(shí)施例提供的數(shù)字媒體系統(tǒng)���,包括用戶(hù)端����、媒體提供服務(wù)器和鑒別服務(wù)器;
在所述用戶(hù)端接入所述媒體提供服務(wù)器的過(guò)程中���,所述鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)���,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū)�����,對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證�,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰�;所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰,進(jìn)行數(shù)字媒體資源的保密傳輸���。本發(fā)明實(shí)施例提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法及系統(tǒng)��,適用于大規(guī)模數(shù)字媒體網(wǎng)絡(luò)�����,鑒別服務(wù)器為接入數(shù)字媒體網(wǎng)絡(luò) 中的每個(gè)用戶(hù)端和每個(gè)媒體提供服務(wù)器頒發(fā)證書(shū)��,并保存證書(shū)�����、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�。在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中,鑒別服務(wù)器根據(jù)用戶(hù)端和媒體提供服務(wù)器的身份標(biāo)識(shí)����,獲取用戶(hù)端和媒體提供服務(wù)器的證書(shū),對(duì)媒體提供服務(wù)器和用戶(hù)端進(jìn)行統(tǒng)一認(rèn)證�,使用戶(hù)端能夠以同一身份標(biāo)識(shí)訪(fǎng)問(wèn)不同媒體提供服務(wù)器,為用戶(hù)帶來(lái)很大的便利���;而且���,用戶(hù)端和媒體提供服務(wù)器通過(guò)鑒別服務(wù)器驗(yàn)證雙方的身份標(biāo)識(shí)后,媒體提供服務(wù)器向用戶(hù)端分發(fā)消息鑒別密鑰和業(yè)務(wù)密鑰���,用于進(jìn)行視頻數(shù)據(jù)的保密傳輸���,避免了網(wǎng)絡(luò)非法入侵者截獲數(shù)據(jù)并使用�。此外�,在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中,使用身份標(biāo)識(shí)代替證書(shū)描述各個(gè)角色的身份信息��,減少了接入過(guò)程中傳遞消息的報(bào)文長(zhǎng)度�����,可以降低通信負(fù)荷��,極大地提高通信效率�。
圖I是本發(fā)明提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法的一個(gè)實(shí)施例的流程示意圖; 圖2是本發(fā)明提供的數(shù)字媒體系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例?����;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�。參見(jiàn)圖1,是本發(fā)明提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法的一個(gè)實(shí)施例的流程示意圖����。本實(shí)施例提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法,包括
在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中�����,鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)�,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū),對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證��,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰����;
所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰,進(jìn)行數(shù)字媒體資源的保密傳輸���。其中�����,在所述用戶(hù)端接入所述媒體提供服務(wù)器之前�,還包括
所述鑒別服務(wù)器對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器進(jìn)行注冊(cè)��,發(fā)放證書(shū)和對(duì)應(yīng)的私鑰�。所述鑒別服務(wù)器綁定并維護(hù)所述用戶(hù)端的證書(shū)、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��,以及所述媒體提供服務(wù)器的證書(shū)��、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系����。所述鑒別服務(wù)器在本地保存所述鑒別服務(wù)器的證書(shū)����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)����,所述用戶(hù)端的證書(shū)�����、注冊(cè)信息和身份標(biāo)識(shí)����,以及所述媒體提供服務(wù)器的證書(shū)、注冊(cè)信息和身份標(biāo)識(shí)�。所述媒體提供服務(wù)器在本地保存所述媒體提供服務(wù)器的證書(shū)、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)����,所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí),以及所述用戶(hù)端的證書(shū)和身份標(biāo)識(shí)��。所述用戶(hù)端在本地保存所述用戶(hù)端的證書(shū)����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí),所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí)��,以及所述媒體提供服務(wù)器的證書(shū)和身份標(biāo)識(shí)。具體實(shí)施時(shí)�,當(dāng)一個(gè)媒體提供服務(wù)器接入到數(shù)字媒體系統(tǒng)中時(shí),需要向鑒別服務(wù)器申請(qǐng)頒發(fā)一個(gè)媒體提供服務(wù)器證書(shū)和對(duì)應(yīng)的私鑰��,并綁定身份標(biāo)識(shí)�����。此外����,媒體提供服務(wù)器在本地緩存鑒別服務(wù)器證書(shū)及其身份標(biāo)識(shí)。同理�,當(dāng)用戶(hù)端接入到數(shù)字媒體系統(tǒng)中時(shí),同
樣需要鑒別服務(wù)器頒發(fā)一個(gè)用戶(hù)端證書(shū)和對(duì)應(yīng)的私鑰���,并綁定身份標(biāo)識(shí)���。此外,用戶(hù)端在本地緩存鑒別服務(wù)器證書(shū)及其身份標(biāo)識(shí)�。其中,用戶(hù)端的身份標(biāo)識(shí)����、媒體提供服務(wù)器的身份標(biāo)識(shí)和鑒別服務(wù)器的身份標(biāo)識(shí)是唯一的,分別用于描述用戶(hù)端����、媒體提供服務(wù)器和鑒別服務(wù)器的身份。所述身份標(biāo)識(shí)可以是從證書(shū)中提取出的證書(shū)持有者�、證書(shū)頒發(fā)者和證書(shū)序列號(hào)等信息,或者是對(duì)上述信息進(jìn)行組合后獲得的信息����,或者其他可以描述其唯一性的信息。如圖I所示���,在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中�,所述用戶(hù)端和所述媒體提供服務(wù)器通過(guò)鑒別服務(wù)器驗(yàn)證雙方的身份標(biāo)識(shí)��,并獲得消息鑒別密鑰����,具體包括以下步驟SI S6
SI、所述用戶(hù)端接入媒體提供服務(wù)器時(shí)�,構(gòu)建接入請(qǐng)求消息,使用用戶(hù)端證書(shū)私鑰對(duì)所述接入請(qǐng)求消息進(jìn)行簽名后�����,發(fā)送給媒體提供服務(wù)器;所述接入請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)�。具體的,用戶(hù)端接入數(shù)字媒體系統(tǒng)時(shí)��,產(chǎn)生一個(gè)用戶(hù)端隨機(jī)數(shù)�����,即第一隨機(jī)數(shù)�。然后根據(jù)用戶(hù)端信息、用戶(hù)端證書(shū)公鑰(從證書(shū)中提取)�、用戶(hù)端身份標(biāo)識(shí)、第一隨機(jī)數(shù)等字段構(gòu)建接入請(qǐng)求消息���,并使用用戶(hù)端證書(shū)私鑰對(duì)所述接入請(qǐng)求消息進(jìn)行簽名后���,發(fā)送給媒體提供服務(wù)器。S2��、所述媒體提供服務(wù)器接收所述接入請(qǐng)求消息����,使用用戶(hù)端證書(shū)公鑰驗(yàn)證所述接入請(qǐng)求消息的簽名的有效性;在簽名驗(yàn)證通過(guò)后�,保存所述接入請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)��,且構(gòu)建鑒別請(qǐng)求消息,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述鑒別請(qǐng)求消息進(jìn)行簽名后��,發(fā)送給鑒別服務(wù)器����;所述鑒別請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)、第一隨機(jī)數(shù)�����、媒體提供服務(wù)器身份標(biāo)識(shí)和第二隨機(jī)數(shù)�����。具體的�,媒體提供服務(wù)器接收到所述接入請(qǐng)求消息后,進(jìn)行如下處理
5201��、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取用戶(hù)端證書(shū)�����,使用用戶(hù)端證書(shū)公鑰驗(yàn)證所述接入請(qǐng)求消息的簽名的有效性����,若簽名驗(yàn)證失敗���,則接入過(guò)程失敗�����;若簽名驗(yàn)證通過(guò)�,則執(zhí)行S202 S204 ;
5202�、根據(jù)所述接入請(qǐng)求消息中的用戶(hù)端信息,確定用戶(hù)端的業(yè)務(wù)權(quán)限和服務(wù)規(guī)則�;
5203、確定用戶(hù)端相關(guān)信息有效后�����,在媒體提供服務(wù)器本地保存所述接入請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)����;并且,產(chǎn)生媒體提供服務(wù)器隨機(jī)數(shù)���,即第二隨機(jī)數(shù)���,在媒體提供服務(wù)器本地保存所述第二隨機(jī)數(shù)��;
5204�、根據(jù)用戶(hù)端身份標(biāo)識(shí)�、媒體提供服務(wù)器身份標(biāo)識(shí)��、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)構(gòu)建鑒別請(qǐng)求消息�,并使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述鑒別請(qǐng)求消息進(jìn)行簽名后,發(fā)送給鑒別服務(wù)器�����。S3����、所述鑒別服務(wù)器接收所述鑒別請(qǐng)求消息,根據(jù)所述鑒別請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù) 器身份標(biāo)識(shí)�����,獲取對(duì)應(yīng)的用戶(hù)端證書(shū)和媒體提供服務(wù)器證書(shū)��;使用所述媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別請(qǐng)求消息的簽名的有效性,以及驗(yàn)證所述用戶(hù)端證書(shū)和所述媒體提供服務(wù)器證書(shū)的有效性����,獲得身份驗(yàn)證結(jié)果;構(gòu)建鑒別響應(yīng)消息��,使用鑒別服務(wù)器證書(shū)私鑰對(duì)所述鑒別響應(yīng)消息進(jìn)行簽名后��,發(fā)送給所述媒體提供服務(wù)器�����;所述鑒別響應(yīng)消息包含身份驗(yàn)證結(jié)果����、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)�����、用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)��。具體的����,鑒別服務(wù)器接收到所述鑒別請(qǐng)求消息后,進(jìn)行如下處理
5301、根據(jù)所述鑒別請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)���,查詢(xún)到與所述身份標(biāo)識(shí)綁定的證書(shū)信息�,進(jìn)而從鑒別服務(wù)器的本地存儲(chǔ)器中讀取對(duì)應(yīng)的用戶(hù)端證書(shū)和媒體提供服務(wù)器證書(shū)����,并執(zhí)行S302飛303 ;若無(wú)法查詢(xún)或無(wú)法獲取證書(shū),則接入過(guò)程失?。?br>
5302�����、提取媒體提供服務(wù)器證書(shū)公鑰���,使用所述媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別請(qǐng)求消息的簽名的有效性,并驗(yàn)證媒體提供服務(wù)器證書(shū)和用戶(hù)端證書(shū)的有效期���、吊銷(xiāo)信息和策略等信息�,判斷證書(shū)的有效性��,獲得媒體提供服務(wù)器和用戶(hù)端的身份驗(yàn)證結(jié)果���;
5303�����、根據(jù)身份驗(yàn)證結(jié)果��、第一隨機(jī)數(shù)����、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)構(gòu)建鑒別響應(yīng)消息����,使用鑒別服務(wù)器證書(shū)私鑰對(duì)所述鑒別響應(yīng)消息進(jìn)行簽名后,發(fā)送給所述媒體提供服務(wù)器�����。S4��、所述媒體提供服務(wù)器接收所述鑒別響應(yīng)消息����,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別響應(yīng)消息的簽名的有效性;在簽名驗(yàn)證通過(guò)后�����,判斷所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效���,若任意一項(xiàng)無(wú)效�,則接入失?。蝗裘恳豁?xiàng)都有效����,則產(chǎn)生主密鑰,使用用戶(hù)端證書(shū)公鑰對(duì)所主密鑰進(jìn)行加密�����,獲得主密鑰密文����,且構(gòu)建接入響應(yīng)消息��,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述接入響應(yīng)消息進(jìn)行簽名后���,發(fā)送給所述用戶(hù)端��;所述接入響應(yīng)消息包含所述鑒別響應(yīng)消息����、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)�����、用戶(hù)端身份標(biāo)識(shí)�����、媒體提供服務(wù)器身份標(biāo)識(shí)和主密鑰密文����。具體的,媒體提供服務(wù)器接收到所述鑒別響應(yīng)消息后���,進(jìn)行如下處理
5401��、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取鑒別服務(wù)器證書(shū)�,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別響應(yīng)消息的簽名�,判斷簽名是否有效;
5402����、根據(jù)所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果�����,判斷所述媒體提供服務(wù)器和所述用戶(hù)端的身份是否有效��;
5403�、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取第一隨機(jī)數(shù)和第二隨機(jī)數(shù)����,分別對(duì)應(yīng)地與所述鑒別響應(yīng)消息中的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行比較,判斷隨機(jī)數(shù)是否一致���;
5404�、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí)����,分別對(duì)應(yīng)地與所述鑒別響應(yīng)消息中的媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí)進(jìn)行比較�����,判斷身份標(biāo)識(shí)是否一致�;
如果上述S401 S404任意一項(xiàng)的判斷結(jié)果為否����,則接入失?��?����;如果上述S401 S404的判斷結(jié)果全部為是����,則執(zhí)行S405 S406 ��;
5405�����、實(shí)時(shí)產(chǎn)生或者預(yù)先產(chǎn)生主密鑰(例如隨機(jī)數(shù)主密鑰)�����,并保存所述主密鑰�;使用用戶(hù)端證書(shū)公鑰對(duì)所述主密鑰進(jìn)行加密,獲得主密鑰密文��;同時(shí)將所述主密鑰綁定到主密鑰信息中;其中����,所述主密鑰信息除了包含主密鑰,還包含主密鑰的索引等信息���;
S406�、根據(jù)所述鑒別響應(yīng)消息��、第一隨機(jī)數(shù)�、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)�����、媒體提供服務(wù)器身份標(biāo)識(shí)�����、主密鑰密文和主密鑰信息構(gòu)建接入響應(yīng)消息���,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述接入響應(yīng)消息進(jìn)行簽名后,發(fā)送給所述用戶(hù)端��。S5、所述用戶(hù)端接收所述接入響應(yīng)消息�����,使用媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息的簽名的有效性����,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息中的鑒別響應(yīng)消息的簽名;在簽名驗(yàn)證通過(guò)后����,判斷所述接入響應(yīng)消息中的身份驗(yàn)證結(jié)果、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效����,若任意一項(xiàng)無(wú)效,則接入失?�?��;若每一項(xiàng)都有效���,則使用用戶(hù)端證書(shū)私鑰解密所述接入響應(yīng)消息中的主密鑰密文,獲得主密鑰;根據(jù)所述主密鑰��、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算出消息鑒別密鑰����、業(yè)務(wù)密鑰和消息鑒別碼,且構(gòu)建接入確認(rèn)消息�����,發(fā)送給所述媒體提供服務(wù)器����;所述接入確認(rèn)消息包含第一隨機(jī)數(shù)、第二隨機(jī)數(shù)�、用戶(hù)端身份標(biāo)識(shí)、媒體提供服務(wù)器身份標(biāo)識(shí)��、主密鑰和消息鑒別碼��。
具體的�����,用戶(hù)端接收到所述接入響應(yīng)消息后����,進(jìn)行如下處理
5501�����、從用戶(hù)端的本地存儲(chǔ)器中讀取媒體提供服務(wù)器證書(shū)和鑒別服務(wù)器證書(shū),使用媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息的簽名�,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息中的鑒別響應(yīng)消息的簽名,判斷簽名是否有效���;
5502�、根據(jù)所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果�,判斷所述媒體提供服務(wù)器和所述用戶(hù)端的身份驗(yàn)證是否有效;
5503�、從用戶(hù)端的本地存儲(chǔ)器中讀取第一隨機(jī)數(shù)和第二隨機(jī)數(shù),分別對(duì)應(yīng)地與所述接入響應(yīng)消息中的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行比較�,判斷隨機(jī)數(shù)是否一致;
5504��、從用戶(hù)端的本地存儲(chǔ)器中讀取媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí)�����,分別對(duì)應(yīng)地與所述接入響應(yīng)消息中的媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí)進(jìn)行比較�,判斷身份標(biāo)識(shí)是否一致;
如果上述S501 S504任意一項(xiàng)的判斷結(jié)果為否,則接入失?���。蝗绻鲜鯯501 S504的判斷結(jié)果全部為是���,則執(zhí)行S505 S507 �;
5505�����、從用戶(hù)端的本地存儲(chǔ)器中讀取用戶(hù)端證書(shū)私鑰���,使用所述用戶(hù)端證書(shū)私鑰解密所述接入響應(yīng)消息中的主密鑰密文����,獲得主密鑰�,并在本地保存所述主密鑰以及所述接入響應(yīng)消息中的主密鑰信息;
5506����、根據(jù)所述主密鑰、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)推導(dǎo)出消息鑒別密鑰和業(yè)務(wù)密鑰���,并在本地保存所述消息鑒別密鑰和業(yè)務(wù)密鑰���;
5507��、根據(jù)第一隨機(jī)數(shù)��、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)�����、媒體提供服務(wù)器身份標(biāo)識(shí)和主密鑰信息構(gòu)建接入確認(rèn)消息�,使用消息鑒別密鑰計(jì)算得到消息鑒別碼,將該消息鑒別碼附在所述接入確認(rèn)消息中����,然后發(fā)送給所述媒體提供服務(wù)器。S6��、所述媒體提供服務(wù)器接收所述接入確認(rèn)消息��,根據(jù)本地保存的主密鑰�、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算消息鑒別密鑰、業(yè)務(wù)密鑰和消息鑒別碼�����,當(dāng)計(jì)算出的消息鑒別碼與所述接入確認(rèn)消息的消息鑒別碼相同時(shí),判斷所述接入確認(rèn)消息中的隨機(jī)數(shù)���、身份標(biāo)識(shí)和主密鑰是否有效����,若任意一項(xiàng)無(wú)效�����,則接入失?�?��;若每一項(xiàng)都有效�,則保存所述消息鑒別密鑰和業(yè)務(wù)密鑰����,并打開(kāi)數(shù)字媒體資源平臺(tái)。
具體的����,媒體提供服務(wù)器接收到所述接入確認(rèn)消息后��,進(jìn)行如下處理
5601��、根據(jù)媒體提供服務(wù)器本地保存的主密鑰����、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算消息鑒別密鑰和業(yè)務(wù)密鑰�,并根據(jù)所述消息鑒別密鑰計(jì)算出消息鑒別碼,判斷計(jì)算出來(lái)的消息鑒別碼與所述接入確認(rèn)消息的消息鑒別碼是否相同�����;若相同�,則保存所述消息鑒別密鑰��,并執(zhí)行S602 S604 ;若不同����,則接入失敗�����;
5602�����、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取第一隨機(jī)數(shù)和第二隨機(jī)數(shù),分別對(duì)應(yīng)地與所述接入確認(rèn)消息中的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行比較����,判斷隨機(jī)數(shù)是否一致;
5603�、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí),分別對(duì)應(yīng)地與所述接入確認(rèn)消息中的媒體提供服務(wù)器身份標(biāo)識(shí)和用戶(hù)端身份標(biāo)識(shí)進(jìn)行比較���,判斷身份標(biāo)識(shí)是否一致��;
5604��、從媒體提供服務(wù)器的本地存儲(chǔ)器中讀取主密鑰信息����,與所述接入確認(rèn)消息中的主密鑰信息進(jìn)行比較,判斷是否一致���;
如果上述S602 S604任意一項(xiàng)的判斷結(jié)果為否���,則接入失?���?��;如果上述S602 S604的判斷結(jié)果全部為是����,則執(zhí)行S605;
5605、保存所述消息鑒別密鑰和業(yè)務(wù)密鑰��,并打開(kāi)數(shù)字媒體資源平臺(tái)。至此���,用戶(hù)端成功接入媒體提供服務(wù)器��,完成了基于身份標(biāo)識(shí)的雙向身份鑒別�����,同時(shí)完成用戶(hù)端和媒體提供服務(wù)器間密鑰的同步。用戶(hù)端和媒體提供服務(wù)器執(zhí)行上述步驟Sf S6���,完成相互的身份驗(yàn)證和密鑰同步����,且媒體提供服務(wù)器打開(kāi)數(shù)字媒體資源平臺(tái)后,用戶(hù)端和媒體提供服務(wù)器之間即可進(jìn)行數(shù)字媒體資源的保密傳輸�。如圖I所示,用戶(hù)端和媒體提供服務(wù)器之間的數(shù)據(jù)傳輸�����,具體包括以下步驟S7 SlO
S7���、所述用戶(hù)端根據(jù)業(yè)務(wù)需求進(jìn)行數(shù)字媒體資源的選擇�����,生成包含有用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息的業(yè)務(wù)請(qǐng)求消息���;使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息進(jìn)行加密,獲得業(yè)務(wù)請(qǐng)求消息密文���;使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算���,獲得消息驗(yàn)證碼���;將所述消息驗(yàn)證碼綁定在所述業(yè)務(wù)請(qǐng)求消息密文中,并發(fā)送給所述媒體提供服務(wù)器�。其中,所述數(shù)字媒體資源信息用于表示所述用戶(hù)端需要選擇的數(shù)字媒體資源�。S8、所述媒體提供服務(wù)器接收所述業(yè)務(wù)請(qǐng)求消息密文��,使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算�����,獲得消息驗(yàn)證碼����;判斷本地計(jì)算出的消息驗(yàn)證碼和所述業(yè)務(wù)請(qǐng)求消息密文中綁定的消息驗(yàn)證碼是否相同,若相同��,則使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行解密�,獲得用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息;根據(jù)所述業(yè)務(wù)請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)���,判斷所述用戶(hù)端是否通過(guò)身份驗(yàn)證�����。S9����、所述媒體提供服務(wù)器在所述用戶(hù)端通過(guò)身份驗(yàn)證時(shí)���,根據(jù)所述數(shù)字媒體資源信息從存儲(chǔ)器中讀取對(duì)應(yīng)的數(shù)字媒體資源���,且在所述數(shù)字媒體資源中綁定媒體提供服務(wù)器標(biāo)識(shí),使用業(yè)務(wù)密鑰對(duì)設(shè)有身份標(biāo)識(shí)的數(shù)字媒體資源進(jìn)行加密��,生成數(shù)字媒體資源數(shù)據(jù)包�����,并發(fā)送給所述用戶(hù)端����;若所述用戶(hù)端未通過(guò)身份驗(yàn)證,則不向所述用戶(hù)端提供數(shù)字媒體資源�。S10、所述用戶(hù)端接收所述數(shù)字媒體資源數(shù)據(jù)包���,使用本地保存的業(yè)務(wù)密鑰對(duì)所述數(shù)字媒體資源包進(jìn)行解密���,獲得數(shù)字媒體資源和媒體提供服務(wù)器身份標(biāo)識(shí)����;根據(jù)所述媒體提供服務(wù)器身份標(biāo)識(shí)判斷所述媒體提供服務(wù)器是否通過(guò)身份驗(yàn)證���,若通過(guò)身份驗(yàn)證�,則使用所述數(shù)字媒體資源����;若未通過(guò)身份驗(yàn)證,則丟棄所述數(shù)字媒體資源����。此外,所述媒體提供服務(wù)器還保存數(shù)字媒體資源���,以及接入過(guò)程中的隨機(jī)數(shù)�����、主密鑰�����、消息鑒別密鑰和業(yè)務(wù)密鑰���。所述用戶(hù)端還保存接收到的數(shù)字媒體資源�����,以及接入過(guò)程中的隨機(jī)數(shù)、主密鑰���、消息鑒別密鑰和業(yè)務(wù)密鑰�。本發(fā)明實(shí)施例提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法�����,適用于大規(guī)模數(shù)字媒體網(wǎng)絡(luò)����,鑒別服務(wù)器為接入數(shù)字媒體網(wǎng)絡(luò)中的每個(gè)用戶(hù)端和每個(gè) 媒體提供服務(wù)器頒發(fā)證書(shū),并保存證書(shū)��、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��。在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中��,鑒別服務(wù)器根據(jù)用戶(hù)端和媒體提供服務(wù)器的身份標(biāo)識(shí),獲取用戶(hù)端和媒體提供服務(wù)器的證書(shū)�����,對(duì)媒體提供服務(wù)器和用戶(hù)端進(jìn)行統(tǒng)一認(rèn)證����,使用戶(hù)端能夠以同一身份標(biāo)識(shí)訪(fǎng)問(wèn)不同媒體提供服務(wù)器,為用戶(hù)帶來(lái)很大的便利�;而且,用戶(hù)端和媒體提供服務(wù)器通過(guò)鑒別服務(wù)器驗(yàn)證雙方的身份標(biāo)識(shí)后���,媒體提供服務(wù)器向用戶(hù)端分發(fā)消息鑒別密鑰和業(yè)務(wù)密鑰�,用于進(jìn)行視頻數(shù)據(jù)的保密傳輸�,避免了網(wǎng)絡(luò)非法入侵者截獲數(shù)據(jù)并使用。此外����,在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中,使用身份標(biāo)識(shí)代替證書(shū)描述各個(gè)角色的身份信息���,減少了接入過(guò)程中傳遞消息的報(bào)文長(zhǎng)度��,可以降低通信負(fù)荷���,極大地提高通信效率����。本發(fā)明實(shí)施例還提供一種數(shù)字媒體系統(tǒng)��,能夠?qū)崿F(xiàn)上述的基于標(biāo)識(shí)的數(shù)字媒體管理方法的所有處理流程��。參見(jiàn)圖2�,是本發(fā)明提供的數(shù)字媒體系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����。本實(shí)施例提供的數(shù)字媒體系統(tǒng),包括用戶(hù)端3���、媒體提供服務(wù)器2和鑒別服務(wù)器
I;
在用戶(hù)端3接入所述媒體提供服務(wù)器2的過(guò)程中����,鑒別服務(wù)器I根據(jù)用戶(hù)端3和媒體提供服務(wù)器2的身份標(biāo)識(shí)��,獲取用戶(hù)端3和媒體提供服務(wù)器2的證書(shū)���,對(duì)用戶(hù)端3和媒體提供服務(wù)器2的身份進(jìn)行驗(yàn)證��,且在用戶(hù)端3和媒體提供服務(wù)器2的身份驗(yàn)證通過(guò)后��,用戶(hù)端3和媒體提供服務(wù)器2協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰��;
用戶(hù)端3和媒體提供服務(wù)器2根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰�����,進(jìn)行數(shù)字媒體資源的保密傳輸��。具體的��,所述媒體提供服務(wù)器2包括第一接入處理單元21����,所述用戶(hù)端3包括第二接入處理單元31,所述鑒別服務(wù)器I包括有效性驗(yàn)證單元11�����。所述用戶(hù)端3的第二接入處理單元31��,用于在所述用戶(hù)端接入媒體提供服務(wù)器時(shí)構(gòu)建接入請(qǐng)求消息�,使用用戶(hù)端證書(shū)私鑰對(duì)所述接入請(qǐng)求消息進(jìn)行簽名后,發(fā)送給媒體提供服務(wù)器;所述接入請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)��。所述媒體提供服務(wù)器2的第一接入處理單元21��,用于接收所述接入請(qǐng)求消息�,使用用戶(hù)端證書(shū)公鑰驗(yàn)證所述接入請(qǐng)求消息的簽名的有效性;在簽名驗(yàn)證通過(guò)后�����,保存所述接入請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)���,且構(gòu)建鑒別請(qǐng)求消息���,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述鑒別請(qǐng)求消息進(jìn)行簽名后��,發(fā)送給鑒別服務(wù)器�;所述鑒別請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)、第一隨機(jī)數(shù)����、媒體提供服務(wù)器身份標(biāo)識(shí)和第二隨機(jī)數(shù)。所述鑒別服務(wù)器I的有效性驗(yàn)證單元11���,用于接收所述鑒別請(qǐng)求消息����,根據(jù)所述鑒別請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí),獲取對(duì)應(yīng)的用戶(hù)端證書(shū)和媒體提供服務(wù)器證書(shū)�;使用所述媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別請(qǐng)求消息的簽名的有效性,以及驗(yàn)證所述用戶(hù)端證書(shū)和所述媒體提供服務(wù)器證書(shū)的有效性��,獲得身份驗(yàn)證結(jié)果���;構(gòu)建鑒別響應(yīng)消息��,使用鑒別服務(wù)器證書(shū)私鑰對(duì)所述鑒別響應(yīng)消息進(jìn)行簽名后�,發(fā)送給所述媒體提供服務(wù)器�;所述鑒別響應(yīng)消息包含身份驗(yàn)證結(jié)果、第一隨機(jī)數(shù)����、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)��。所述媒體提供服務(wù)器2的第一接入處理單元21����,還用于接收所述鑒別響應(yīng)消息����,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別響應(yīng)消息的簽名的有效性����;在簽名驗(yàn)證通過(guò)后,判斷所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果���、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效�����,若任意一項(xiàng)無(wú)效�����,則接入失?�。蝗裘恳豁?xiàng)都有效����,則產(chǎn)生主密鑰,使用用戶(hù)端證書(shū)公鑰對(duì)所主密鑰進(jìn)行加密�����,獲得主密鑰密文,且構(gòu)建接入響應(yīng)消息��,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述接入響應(yīng)消息進(jìn)行簽名后���,發(fā)送給所述用戶(hù)端���;所述接入響應(yīng)消息包含所述鑒別響應(yīng)消息、第一隨機(jī)數(shù)���、 第二隨機(jī)數(shù)��、用戶(hù)端身份標(biāo)識(shí)���、媒體提供服務(wù)器身份標(biāo)識(shí)和主密鑰密文。所述用戶(hù)端3的第二接入處理單元31�����,還用于接收所述接入響應(yīng)消息��,使用媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息的簽名的有效性�,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息中的鑒別響應(yīng)消息的簽名��;在簽名驗(yàn)證通過(guò)后�����,判斷所述接入響應(yīng)消息中的身份驗(yàn)證結(jié)果���、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效,若任意一項(xiàng)無(wú)效��,則接入失?�?����;若每一項(xiàng)都有效��,則使用用戶(hù)端證書(shū)私鑰解密所述接入響應(yīng)消息中的主密鑰密文����,獲得主密鑰;根據(jù)所述主密鑰����、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算出消息鑒別密鑰、業(yè)務(wù)密鑰和消息鑒別碼���,且構(gòu)建接入確認(rèn)消息���,發(fā)送給所述媒體提供服務(wù)器;所述接入確認(rèn)消息包含第一隨機(jī)數(shù)�����、第二隨機(jī)數(shù)���、用戶(hù)端身份標(biāo)識(shí)��、媒體提供服務(wù)器身份標(biāo)識(shí)���、主密鑰和消息鑒別碼。所述媒體提供服務(wù)器2的第一接入處理模塊21����,還用于接收所述接入確認(rèn)消息,根據(jù)本地保存的主密鑰�、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算消息鑒別密鑰、業(yè)務(wù)密鑰和消息鑒別碼�����,當(dāng)計(jì)算出的消息鑒別碼與所述接入確認(rèn)消息的消息鑒別碼相同時(shí),判斷所述接入確認(rèn)消息中的隨機(jī)數(shù)����、身份標(biāo)識(shí)和主密鑰是否有效,若任意一項(xiàng)無(wú)效��,則接入失?。蝗裘恳豁?xiàng)都有效���,則保存所述消息鑒別密鑰和業(yè)務(wù)密鑰��,并打開(kāi)數(shù)字媒體資源平臺(tái)���。進(jìn)一步的,所述鑒別服務(wù)器I還包括注冊(cè)單元12����、身份標(biāo)識(shí)管理單元13和第一存儲(chǔ)單元14。所述注冊(cè)單元12����,用于對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器進(jìn)行注冊(cè)���,發(fā)放證書(shū)和對(duì)應(yīng)的私鑰����。所述身份標(biāo)識(shí)管理單元13,用于綁定并維護(hù)所述用戶(hù)端的證書(shū)���、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��,以及所述媒體提供服務(wù)器的證書(shū)����、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�����。所述第一存儲(chǔ)單元14����,用于保存所述鑒別服務(wù)器的證書(shū)、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)���,所述用戶(hù)端的證書(shū)�、注冊(cè)信息和身份標(biāo)識(shí),以及所述媒體提供服務(wù)器的證書(shū)�����、注冊(cè)信息和身份標(biāo)識(shí)��。所述媒體提供服務(wù)器2還包括第二存儲(chǔ)單元22�,用于保存所述媒體提供服務(wù)器的證書(shū)、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)�����,所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí)��,以及所述用戶(hù)端的證書(shū)和身份標(biāo)識(shí)����。所述用戶(hù)端還包括第三存儲(chǔ)單元32,用于保存所述用戶(hù)端的證書(shū)��、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)�,所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí),以及所述媒體提供服務(wù)器的證書(shū)和身份標(biāo)識(shí)�����。再進(jìn)一步的,所述媒體提供服務(wù)器2還包括業(yè)務(wù)管理單元23和資源發(fā)送單元24 ��;所述用戶(hù)端3還包括業(yè)務(wù)請(qǐng)求單元33和資源接收單元34�。所述用戶(hù)端3的業(yè)務(wù)請(qǐng)求單元33,用于根據(jù)業(yè)務(wù)需求進(jìn)行數(shù)字媒體資源的選擇�,生成包含有用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息的業(yè)務(wù)請(qǐng)求消息���;使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息進(jìn)行加密�,獲得業(yè)務(wù)請(qǐng)求消息密文��;使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算���,獲得消息驗(yàn)證碼�����;將所述消息驗(yàn)證碼綁定在所述業(yè)務(wù)請(qǐng)求消息密文中���,并發(fā)送給所述媒體提供服務(wù)器。所述媒體提供服務(wù)器2的業(yè)務(wù)管理單元23���,用于接收所述業(yè)務(wù)請(qǐng)求消息密文��,使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算�,獲得消息驗(yàn)證碼;判斷本地計(jì)算出的消息驗(yàn)證碼和所述業(yè)務(wù)請(qǐng)求消息密文中綁定的消息驗(yàn)證碼是否相同����,若相同,則使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行解密�����,獲得用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息����;根據(jù)所述業(yè)務(wù)請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí),判斷所述用戶(hù)端是否通過(guò)身份驗(yàn)證��。所述媒體提供服務(wù)器2的資源發(fā)送單元24��,用于在所述用戶(hù)端通過(guò)身份驗(yàn)證時(shí)�����,根據(jù)所述數(shù)字媒體資源信息從存儲(chǔ)器中讀取對(duì)應(yīng)的數(shù)字媒體資源�����,且在所述數(shù)字媒體資源中綁定媒體提供服務(wù)器標(biāo)識(shí),使用業(yè)務(wù)密鑰對(duì)設(shè)有身份標(biāo)識(shí)的數(shù)字媒體資源進(jìn)行加密����,生成數(shù)字媒體資源數(shù)據(jù)包,并發(fā)送給所述用戶(hù)端�;若所述用戶(hù)端未通過(guò)身份驗(yàn)證,則不向所述用戶(hù)端提供數(shù)字媒體資源�����。所述用戶(hù)端3的資源接收單元34����,用于接收所述數(shù)字媒體資源數(shù)據(jù)包��,使用本地保存的業(yè)務(wù)密鑰對(duì)所述數(shù)字媒體資源包進(jìn)行解密��,獲得數(shù)字媒體資源和媒體提供服務(wù)器身份標(biāo)識(shí)�����;根據(jù)所述媒體提供服務(wù)器身份標(biāo)識(shí)判斷所述媒體提供服務(wù)器是否通過(guò)身份驗(yàn)證��,若通過(guò)身份驗(yàn)證,則使用所述數(shù)字媒體資源��;若未通過(guò)身份驗(yàn)證�,則丟棄所述數(shù)字媒體資源。此外���,所述第二存儲(chǔ)單元22還用于保存數(shù)字媒體資源��,以及接入過(guò)程中的隨機(jī)數(shù)����、主密鑰���、消息鑒別密鑰和業(yè)務(wù)密鑰�����。所述第三存儲(chǔ)單元32還用于保存接收到的數(shù)字媒體資源���,以及接入過(guò)程中的隨機(jī)數(shù)、主密鑰���、消息鑒別密鑰和業(yè)務(wù)密鑰����。本發(fā)明實(shí)施例提供的基于標(biāo)識(shí)的數(shù)字媒體管理方法及系統(tǒng),具有如下有益效果
(I)����、鑒別服務(wù)器為接入數(shù)字媒體網(wǎng)絡(luò)中的每個(gè)用戶(hù)端和每個(gè)媒體提供服務(wù)器頒發(fā)證
書(shū),并保存證書(shū)���、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系����;在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中����,鑒別服務(wù)器根據(jù)用戶(hù)端和媒體提供服務(wù)器的身份標(biāo)識(shí)���,獲取用戶(hù)端和媒體提供服務(wù)器的證書(shū)��,對(duì)媒體提供服務(wù)器和用戶(hù)端進(jìn)行統(tǒng)一認(rèn)證��,使用戶(hù)端能夠以同一身份標(biāo)識(shí)訪(fǎng)問(wèn)不同媒體提供服務(wù)器�。(2)���、在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中���,使用身份標(biāo)識(shí)代替證書(shū)描述各個(gè)角色的身份信息�,減少了接入過(guò)程中傳遞消息的報(bào)文長(zhǎng)度��,可以降低通信負(fù)荷�,極大地提高通
信效率。(3)�����、用戶(hù)端和媒體提供服務(wù)器通過(guò)鑒別服務(wù)器驗(yàn)證雙方的身份標(biāo)識(shí)后�,媒體提供、服務(wù)器向用戶(hù)端分發(fā)消息鑒別密鑰����,用于進(jìn)行視頻數(shù)據(jù)的保密傳輸,避免了網(wǎng)絡(luò)非法入侵者截獲數(shù)據(jù)并使用���。(4)��、本發(fā)明賦予媒體提供服務(wù)器以獨(dú)立的身份標(biāo)識(shí)��,基于媒體提供服務(wù)器身份標(biāo)識(shí)的可區(qū)分性�����,方便監(jiān)管�����,同時(shí)用戶(hù)端�����、媒體提供服務(wù)器以及鑒別服務(wù)器之間在接入過(guò)程中的通信無(wú)需經(jīng)過(guò)額外的安全信道��,節(jié)約了使用成本���。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程��,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成���,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����,該程序在執(zhí)行時(shí)����,可包括如上述各方法的實(shí)施例的流程����。其中����,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)��、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory, RAM)等�。以上所述是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出��,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員 來(lái)說(shuō)�,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾���,這些改進(jìn)和潤(rùn)飾也視為本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.一種基于標(biāo)識(shí)的數(shù)字媒體管理方法�,其特征在于,包括 在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中,鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)��,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū)�,對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后���,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰和業(yè)務(wù)密鑰�����; 所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰�����,進(jìn)行數(shù)字媒體資源的保密傳輸��。
2.如權(quán)利要求I所述的基于標(biāo)識(shí)的數(shù)字媒體管理方法����,其特征在于���,所述在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中�,鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)����,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū),對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證���,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后����,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰����,包括. 51、所述用戶(hù)端接入媒體提供服務(wù)器時(shí)����,構(gòu)建接入請(qǐng)求消息,使用用戶(hù)端證書(shū)私鑰對(duì)所述接入請(qǐng)求消息進(jìn)行簽名后����,發(fā)送給媒體提供服務(wù)器;所述接入請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)���;. 52��、所述媒體提供服務(wù)器接收所述接入請(qǐng)求消息�����,使用用戶(hù)端證書(shū)公鑰驗(yàn)證所述接入請(qǐng)求消息的簽名的有效性��;在簽名驗(yàn)證通過(guò)后��,保存所述接入請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)�����,且構(gòu)建鑒別請(qǐng)求消息�,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述鑒別請(qǐng)求消息進(jìn)行簽名后,發(fā)送給鑒別服務(wù)器��;所述鑒別請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)�、第一隨機(jī)數(shù)、媒體提供服務(wù)器身份標(biāo)識(shí)和第二隨機(jī)數(shù)��; . 53����、所述鑒別服務(wù)器接收所述鑒別請(qǐng)求消息,根據(jù)所述鑒別請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)��,獲取對(duì)應(yīng)的用戶(hù)端證書(shū)和媒體提供服務(wù)器證書(shū)�����;使用所述媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別請(qǐng)求消息的簽名的有效性,以及驗(yàn)證所述用戶(hù)端證書(shū)和所述媒體提供服務(wù)器證書(shū)的有效性����,獲得身份驗(yàn)證結(jié)果���;構(gòu)建鑒別響應(yīng)消息����,使用鑒別服務(wù)器證書(shū)私鑰對(duì)所述鑒別響應(yīng)消息進(jìn)行簽名后�,發(fā)送給所述媒體提供服務(wù)器;所述鑒別響應(yīng)消息包含身份驗(yàn)證結(jié)果���、第一隨機(jī)數(shù)�����、第二隨機(jī)數(shù)����、用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)��;. 54、所述媒體提供服務(wù)器接收所述鑒別響應(yīng)消息���,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別響應(yīng)消息的簽名的有效性�����;在簽名驗(yàn)證通過(guò)后��,判斷所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果��、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效��,若任意一項(xiàng)無(wú)效����,則接入失?��?;若每一項(xiàng)都有效��,則產(chǎn)生主密鑰�����,使用用戶(hù)端證書(shū)公鑰對(duì)所主密鑰進(jìn)行加密,獲得主密鑰密文�,且構(gòu)建接入響應(yīng)消息,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述接入響應(yīng)消息進(jìn)行簽名后���,發(fā)送給所述用戶(hù)端��;所述接入響應(yīng)消息包含所述鑒別響應(yīng)消息、第一隨機(jī)數(shù)��、第二隨機(jī)數(shù)����、用戶(hù)端身份標(biāo)識(shí)、媒體提供服務(wù)器身份標(biāo)識(shí)和主密鑰密文���;. 55�、所述用戶(hù)端接收所述接入響應(yīng)消息����,使用媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息的簽名的有效性,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息中的鑒別響應(yīng)消息的簽名��;在簽名驗(yàn)證通過(guò)后����,判斷所述接入響應(yīng)消息中的身份驗(yàn)證結(jié)果��、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效���,若任意一項(xiàng)無(wú)效,則接入失?���。蝗裘恳豁?xiàng)都有效��,則使用用戶(hù)端證書(shū)私鑰解密所述接入響應(yīng)消息中的主密鑰密文�,獲得主密鑰;根據(jù)所述主密鑰�、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算出消息鑒別密鑰、業(yè)務(wù)密鑰和消息鑒別碼�,且構(gòu)建接入確認(rèn)消息,發(fā)送給所述媒體提供服務(wù)器��;所述接入確認(rèn)消息包含第一隨機(jī)數(shù)���、第二隨機(jī)數(shù)����、用戶(hù)端身份標(biāo)識(shí)、媒體提供服務(wù)器身份標(biāo)識(shí)�����、主密鑰和消息鑒別碼��; S6����、所述媒體提供服務(wù)器接收所述接入確認(rèn)消息,根據(jù)本地保存的主密鑰��、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算消息鑒別密鑰����、業(yè)務(wù)密鑰和消息鑒別碼���,當(dāng)計(jì)算出的消息鑒別碼與所述接入確認(rèn)消息的消息鑒別碼相同時(shí)���,判斷所述接入確認(rèn)消息中的隨機(jī)數(shù)、身份標(biāo)識(shí)和主密鑰是否有效����,若任意一項(xiàng)無(wú)效���,則接入失敗���;若每一項(xiàng)都有效�,則保存所述消息鑒別密鑰和業(yè)務(wù)密鑰,并打開(kāi)數(shù)字媒體資源平臺(tái)����。
3.如權(quán)利要求2所述的基于標(biāo)識(shí)的數(shù)字媒體管理方法,其特征在于����,在所述用戶(hù)端接入所述媒體提供服務(wù)器之前,還包括 所述鑒別服務(wù)器對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器進(jìn)行注冊(cè)��,發(fā)放證書(shū)和對(duì)應(yīng)的私 鑰�����; 所述鑒別服務(wù)器綁定并維護(hù)所述用戶(hù)端的證書(shū)��、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系���,以及所述媒體提供服務(wù)器的證書(shū)��、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�; 所述鑒別服務(wù)器在本地保存所述鑒別服務(wù)器的證書(shū)、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)�,所述用戶(hù)端的證書(shū)、注冊(cè)信息和身份標(biāo)識(shí)��,以及所述媒體提供服務(wù)器的證書(shū)���、注冊(cè)信息和身份標(biāo)識(shí)�; 所述媒體提供服務(wù)器在本地保存所述媒體提供服務(wù)器的證書(shū)����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí),所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí)�����,以及所述用戶(hù)端的證書(shū)和身份標(biāo)識(shí)��; 所述用戶(hù)端在本地保存所述用戶(hù)端的證書(shū)�����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)�,所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí),以及所述媒體提供服務(wù)器的證書(shū)和身份標(biāo)識(shí)�。
4.如權(quán)利要求r3任一項(xiàng)所述的基于標(biāo)識(shí)的數(shù)字媒體管理方法,其特征在于��,所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰�,進(jìn)行數(shù)字媒體資源的保密傳輸,包括 所述用戶(hù)端根據(jù)業(yè)務(wù)需求進(jìn)行數(shù)字媒體資源的選擇�����,生成包含有用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息的業(yè)務(wù)請(qǐng)求消息���;使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息進(jìn)行加密���,獲得業(yè)務(wù)請(qǐng)求消息密文;使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算�����,獲得消息驗(yàn)證碼���;將所述消息驗(yàn)證碼綁定在所述業(yè)務(wù)請(qǐng)求消息密文中���,并發(fā)送給所述媒體提供服務(wù)器�����; 所述媒體提供服務(wù)器接收所述業(yè)務(wù)請(qǐng)求消息密文����,使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算���,獲得消息驗(yàn)證碼�;判斷本地計(jì)算出的消息驗(yàn)證碼和所述業(yè)務(wù)請(qǐng)求消息密文中綁定的消息驗(yàn)證碼是否相同����,若相同,則使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行解密�����,獲得用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息��;根據(jù)所述業(yè)務(wù)請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)���,判斷所述用戶(hù)端是否通過(guò)身份驗(yàn)證���; 所述媒體提供服務(wù)器在所述用戶(hù)端通過(guò)身份驗(yàn)證時(shí),根據(jù)所述數(shù)字媒體資源信息從存儲(chǔ)器中讀取對(duì)應(yīng)的數(shù)字媒體資源����,且在所述數(shù)字媒體資源中綁定媒體提供服務(wù)器標(biāo)識(shí),使用業(yè)務(wù)密鑰對(duì)設(shè)有身份標(biāo)識(shí)的數(shù)字媒體資源進(jìn)行加密���,生成數(shù)字媒體資源數(shù)據(jù)包�����,并發(fā)送給所述用戶(hù)端��;若所述用戶(hù)端未通過(guò)身份驗(yàn)證���,則不向所述用戶(hù)端提供數(shù)字媒體資源; 所述用戶(hù)端接收所述數(shù)字媒體資源數(shù)據(jù)包��,使用本地保存的業(yè)務(wù)密鑰對(duì)所述數(shù)字媒體資源包進(jìn)行解密���,獲得數(shù)字媒體資源和媒體提供服務(wù)器身份標(biāo)識(shí)���;根據(jù)所述媒體提供服務(wù)器身份標(biāo)識(shí)判斷所述媒體提供服務(wù)器是否通過(guò)身份驗(yàn)證�����,若通過(guò)身份驗(yàn)證����,則使用所述數(shù)字媒體資源���;若未通過(guò)身份驗(yàn)證���,則丟棄所述數(shù)字媒體資源。
5.如權(quán)利要求4所述的基于標(biāo)識(shí)的數(shù)字媒體管理方法�,其特征在于,所述媒體提供服務(wù)器還保存數(shù)字媒體資源����,以及接入過(guò)程中的隨機(jī)數(shù)、主密鑰����、消息鑒別密鑰和業(yè)務(wù)密鑰; 所述用戶(hù)端還保存接收到的數(shù)字媒體資源����,以及接入過(guò)程中的隨機(jī)數(shù)、主密鑰�、消息鑒別密鑰和業(yè)務(wù)密鑰。
6.一種數(shù)字媒體系統(tǒng)����,其特征在于,包括用戶(hù)端����、媒體提供服務(wù)器和鑒別服務(wù)器; 在所述用戶(hù)端接入所述媒體提供服務(wù)器的過(guò)程中��,所述鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)���,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū)����,對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證�,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰��;所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰��,進(jìn)行數(shù)字媒體資源的保密傳輸����。
7.如權(quán)利要求6所述的數(shù)字媒體系統(tǒng)��,其特征在于��,所述媒體提供服務(wù)器包括第一接入處理單元�,所述用戶(hù)端包括第二接入處理單元�,所述鑒別服務(wù)器包括有效性驗(yàn)證單元; 所述用戶(hù)端的第二接入處理單元����,用于在所述用戶(hù)端接入媒體提供服務(wù)器時(shí)構(gòu)建接入請(qǐng)求消息,使用用戶(hù)端證書(shū)私鑰對(duì)所述接入請(qǐng)求消息進(jìn)行簽名后���,發(fā)送給媒體提供服務(wù)器�����;所述接入請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)�����; 所述媒體提供服務(wù)器的第一接入處理單元����,用于接收所述接入請(qǐng)求消息,使用用戶(hù)端證書(shū)公鑰驗(yàn)證所述接入請(qǐng)求消息的簽名的有效性�;在簽名驗(yàn)證通過(guò)后,保存所述接入請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和第一隨機(jī)數(shù)����,且構(gòu)建鑒別請(qǐng)求消息�����,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述鑒別請(qǐng)求消息進(jìn)行簽名后����,發(fā)送給鑒別服務(wù)器;所述鑒別請(qǐng)求消息包含用戶(hù)端身份標(biāo)識(shí)��、第一隨機(jī)數(shù)�、媒體提供服務(wù)器身份標(biāo)識(shí)和第二隨機(jī)數(shù); 所述鑒別服務(wù)器的有效性驗(yàn)證單元�,用于接收所述鑒別請(qǐng)求消息,根據(jù)所述鑒別請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)���,獲取對(duì)應(yīng)的用戶(hù)端證書(shū)和媒體提供服務(wù)器證書(shū)��;使用所述媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別請(qǐng)求消息的簽名的有效性��,以及驗(yàn)證所述用戶(hù)端證書(shū)和所述媒體提供服務(wù)器證書(shū)的有效性���,獲得身份驗(yàn)證結(jié)果�;構(gòu)建鑒別響應(yīng)消息�����,使用鑒別服務(wù)器證書(shū)私鑰對(duì)所述鑒別響應(yīng)消息進(jìn)行簽名后�,發(fā)送給所述媒體提供服務(wù)器;所述鑒別響應(yīng)消息包含身份驗(yàn)證結(jié)果�����、第一隨機(jī)數(shù)����、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)和媒體提供服務(wù)器身份標(biāo)識(shí)��; 所述媒體提供服務(wù)器的第一接入處理單元�,還用于接收所述鑒別響應(yīng)消息,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述鑒別響應(yīng)消息的簽名的有效性�����;在簽名驗(yàn)證通過(guò)后,判斷所述鑒別響應(yīng)消息中的身份驗(yàn)證結(jié)果��、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效����,若任意一項(xiàng)無(wú)效,則接入失?����?�;若每一項(xiàng)都有效���,則產(chǎn)生主密鑰,使用用戶(hù)端證書(shū)公鑰對(duì)所主密鑰進(jìn)行加密���,獲得主密鑰密文����,且構(gòu)建接入響應(yīng)消息�����,使用媒體提供服務(wù)器證書(shū)私鑰對(duì)所述接入響應(yīng)消息進(jìn)行簽名后,發(fā)送給所述用戶(hù)端�����;所述接入響應(yīng)消息包含所述鑒別響應(yīng)消息����、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)����、用戶(hù)端身份標(biāo)識(shí)、媒體提供服務(wù)器身份標(biāo)識(shí)和主密鑰密文���;所述用戶(hù)端的第二接入處理單元����,還用于接收所述接入響應(yīng)消息����,使用媒體提供服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息的簽名的有效性,使用鑒別服務(wù)器證書(shū)公鑰驗(yàn)證所述接入響應(yīng)消息中的鑒別響應(yīng)消息的簽名���;在簽名驗(yàn)證通過(guò)后�,判斷所述接入響應(yīng)消息中的身份驗(yàn)證結(jié)果、隨機(jī)數(shù)和身份標(biāo)識(shí)是否有效���,若任意一項(xiàng)無(wú)效�����,則接入失?�?;若每一項(xiàng)都有效����,則使用用戶(hù)端證書(shū)私鑰解密所述接入響應(yīng)消息中的主密鑰密文�,獲得主密鑰;根據(jù)所述主密鑰��、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算出消息鑒別密鑰�、業(yè)務(wù)密鑰和消息鑒別碼,且構(gòu)建接入確認(rèn)消息�����,發(fā)送給所述媒體提供服務(wù)器;所述接入確認(rèn)消息包含第一隨機(jī)數(shù)����、第二隨機(jī)數(shù)、用戶(hù)端身份標(biāo)識(shí)���、媒體提供服務(wù)器身份標(biāo)識(shí)���、主密鑰和消息鑒別碼; 所述媒體提供服務(wù)器的第一接入處理模塊��,還用于接收所述接入確認(rèn)消息���,根據(jù)本地保存的主密鑰�、第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算消息鑒別密鑰��、業(yè)務(wù)密鑰和消息鑒別碼���,當(dāng)計(jì)算出的消息鑒別碼與所述接入確認(rèn)消息的消息鑒別碼相同時(shí)��,判斷所述接入確 認(rèn)消息中的隨機(jī)數(shù)��、身份標(biāo)識(shí)和主密鑰是否有效�����,若任意一項(xiàng)無(wú)效�����,則接入失?��?���;若每一項(xiàng)都有效��,則保存所述消息鑒別密鑰和業(yè)務(wù)密鑰�,并打開(kāi)數(shù)字媒體資源平臺(tái)。
8.如權(quán)利要求7所述的數(shù)字媒體系統(tǒng)����,其特征在于�,所述鑒別服務(wù)器還包括注冊(cè)單元、 身份標(biāo)識(shí)管理單元和第一存儲(chǔ)單元��; 所述注冊(cè)單元�,用于對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器進(jìn)行注冊(cè)����,發(fā)放證書(shū)和對(duì)應(yīng)的私鑰��; 所述身份標(biāo)識(shí)管理單元�����,用于綁定并維護(hù)所述用戶(hù)端的證書(shū)�、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,以及所述媒體提供服務(wù)器的證書(shū)��、注冊(cè)信息和身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�; 所述第一存儲(chǔ)單元,用于保存所述鑒別服務(wù)器的證書(shū)����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí),所述用戶(hù)端的證書(shū)���、注冊(cè)信息和身份標(biāo)識(shí)�����,以及所述媒體提供服務(wù)器的證書(shū)����、注冊(cè)信息和身份標(biāo)識(shí); 所述媒體提供服務(wù)器還包括第二存儲(chǔ)單元���,用于保存所述媒體提供服務(wù)器的證書(shū)��、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí)�����,所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí)�����,以及所述用戶(hù)端的證書(shū)和身份標(biāo)識(shí)���; 所述用戶(hù)端還包括第三存儲(chǔ)單元,用于保存所述用戶(hù)端的證書(shū)����、對(duì)應(yīng)的私鑰和身份標(biāo)識(shí),所述鑒別服務(wù)器的證書(shū)和身份標(biāo)識(shí)��,以及所述媒體提供服務(wù)器的證書(shū)和身份標(biāo)識(shí)���。
9.如權(quán)利要求61任一項(xiàng)所述的數(shù)字媒體系統(tǒng)�,其特征在于��,所述媒體提供服務(wù)器還包括業(yè)務(wù)管理單元和資源發(fā)送單元���;所述用戶(hù)端還包括業(yè)務(wù)請(qǐng)求單元和資源接收單元�; 所述用戶(hù)端的業(yè)務(wù)請(qǐng)求單元���,用于根據(jù)業(yè)務(wù)需求進(jìn)行數(shù)字媒體資源的選擇����,生成包含有用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息的業(yè)務(wù)請(qǐng)求消息��;使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息進(jìn)行加密�����,獲得業(yè)務(wù)請(qǐng)求消息密文����;使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算,獲得消息驗(yàn)證碼;將所述消息驗(yàn)證碼綁定在所述業(yè)務(wù)請(qǐng)求消息密文中����,并發(fā)送給所述媒體提供服務(wù)器; 所述媒體提供服務(wù)器的業(yè)務(wù)管理單元�,用于接收所述業(yè)務(wù)請(qǐng)求消息密文,使用本地保存的消息鑒別密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行計(jì)算��,獲得消息驗(yàn)證碼�����;判斷本地計(jì)算出的消息驗(yàn)證碼和所述業(yè)務(wù)請(qǐng)求消息密文中綁定的消息驗(yàn)證碼是否相同��,若相同�����,則使用本地保存的業(yè)務(wù)密鑰對(duì)所述業(yè)務(wù)請(qǐng)求消息密文進(jìn)行解密�,獲得用戶(hù)端身份標(biāo)識(shí)和數(shù)字媒體資源信息;根據(jù)所述業(yè)務(wù)請(qǐng)求消息中的用戶(hù)端身份標(biāo)識(shí)����,判斷所述用戶(hù)端是否通過(guò)身份驗(yàn)證;所述媒體提供服務(wù)器的資源發(fā)送單元���,用于在所述用戶(hù)端通過(guò)身份驗(yàn)證時(shí)��,根據(jù)所述數(shù)字媒體資源信息從存儲(chǔ)器中讀取對(duì)應(yīng)的數(shù)字媒體資源����,且在所述數(shù)字媒體資源中綁定媒體提供服務(wù)器標(biāo)識(shí)�,使用業(yè)務(wù)密鑰對(duì)設(shè)有身份標(biāo)識(shí)的數(shù)字媒體資源進(jìn)行加密,生成數(shù)字媒體資源數(shù)據(jù)包�,并發(fā)送給所述用戶(hù)端;若所述用戶(hù)端未通過(guò)身份驗(yàn)證�����,則不向所述用戶(hù)端提供數(shù)字媒體資源����; 所述用戶(hù)端的資源接收單元,用于接收所述數(shù)字媒體資源數(shù)據(jù)包��,使用本地保存的業(yè)務(wù)密鑰對(duì)所述數(shù)字媒體資源包進(jìn)行解密���,獲得數(shù)字媒體資源和媒體提供服務(wù)器身份標(biāo)識(shí)�;根據(jù)所述媒體提供服務(wù)器身份標(biāo)識(shí)判斷所述媒體提供服務(wù)器是否通過(guò)身份驗(yàn)證���,若通過(guò)身份驗(yàn)證��,則使用所述數(shù)字媒體資源�����;若未通過(guò)身份驗(yàn)證����,則丟棄 所述數(shù)字媒體資源。
10.如權(quán)利要求9所述的數(shù)字媒體系統(tǒng)����,其特征在于,所述第二存儲(chǔ)單元還用于保存數(shù)字媒體資源�����,以及接入過(guò)程中的隨機(jī)數(shù)���、主密鑰�、消息鑒別密鑰和業(yè)務(wù)密鑰�����; 所述第三存儲(chǔ)單元還用于保存接收到的數(shù)字媒體資源,以及接入過(guò)程中的隨機(jī)數(shù)���、主密鑰�����、消息鑒別密鑰和業(yè)務(wù)密鑰�。
全文摘要
本發(fā)明公開(kāi)了一種基于標(biāo)識(shí)的數(shù)字媒體管理方法,該方法包括在用戶(hù)端接入媒體提供服務(wù)器的過(guò)程中�,鑒別服務(wù)器根據(jù)所述用戶(hù)端和所述媒體提供服務(wù)器的身份標(biāo)識(shí)��,獲取所述用戶(hù)端和所述媒體提供服務(wù)器的證書(shū)�,對(duì)所述用戶(hù)端和所述媒體提供服務(wù)器的身份進(jìn)行驗(yàn)證���,且在所述用戶(hù)端和所述媒體提供服務(wù)器的身份驗(yàn)證通過(guò)后����,所述用戶(hù)端和所述媒體提供服務(wù)器協(xié)商獲得消息鑒別密鑰和業(yè)務(wù)密鑰�;所述用戶(hù)端和所述媒體提供服務(wù)器根據(jù)所述消息鑒別密鑰和所述業(yè)務(wù)密鑰,進(jìn)行數(shù)字媒體資源的保密傳輸��。本發(fā)明還公開(kāi)一種數(shù)字媒體系統(tǒng)�����。本發(fā)明實(shí)施例對(duì)媒體提供服務(wù)器和用戶(hù)端進(jìn)行統(tǒng)一認(rèn)證,實(shí)現(xiàn)媒體提供服務(wù)器和用戶(hù)端間的數(shù)字媒體資源的保密傳輸��。
文檔編號(hào)H04L9/32GK102752306SQ20121023533
公開(kāi)日2012年10月24日 申請(qǐng)日期2012年7月9日 優(yōu)先權(quán)日2012年7月9日
發(fā)明者杜文元, 林凡, 黃建青 申請(qǐng)人:廣州杰賽科技股份有限公司