專(zhuān)利名稱(chēng):一種驗(yàn)證許可的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別是涉及驗(yàn)證許可的方法及系統(tǒng)。
技術(shù)背景為了保護(hù)數(shù)字內(nèi)容所有者的合法權(quán)益,現(xiàn)已提出數(shù)字版權(quán)管理(Digital Rights Management, DRM)的解決方案,通過(guò)包含加密的內(nèi)容加密密鑰(Content Encryption Key, CEK)和該內(nèi)容對(duì)應(yīng)的使用權(quán)利及限制的許可(Rights Object, RO)來(lái)控制對(duì)數(shù)字內(nèi)容的使用,具有數(shù)字版權(quán)管理功能的數(shù)字版權(quán)管理終端 (Digital Rights Management Agent, DRM Agent)只有同時(shí)擁有內(nèi)容數(shù)據(jù)包和 許可,才能按照許可中的權(quán)限和限制消費(fèi)所購(gòu)買(mǎi)的數(shù)字內(nèi)容。其中驗(yàn)證許可的 有效性為保證數(shù)字內(nèi)容安全性的主要環(huán)節(jié)之一。下面簡(jiǎn)述現(xiàn)有技術(shù)驗(yàn)證許可的過(guò)程,參見(jiàn)圖l所示的結(jié)構(gòu)圖。用戶在域管理器建立域,其中包含DRM Agentl和DRM Agent2。許可服 務(wù)器(Rights Issuer, RI)為域生成許可之前必須獲得域管理器的授權(quán)。域管理 器對(duì)RI的公鑰(RIPublicKey)和域管理器允許RI為域發(fā)布許可的有效期 (ExpiresAfter)進(jìn)行簽名得到授權(quán)聲明(Validation Token, VT),并將VT發(fā) 送給RI。 RI將VT和許可一起發(fā)送給DRM Agentl 。 DRM Agentl使用域管理 器的公鑰對(duì)VT的簽名進(jìn)行驗(yàn)證,并驗(yàn)證該許可是否在有效期內(nèi)。如果域管理 器在有效期之前中止對(duì)RI的授權(quán),而RI失信,則RI可能在被中止授權(quán)后仍 然使用原VT向DRM Agentl發(fā)送許可,由于DRM Agentl無(wú)法獲知RI已被中 止授權(quán),所以仍然可以安裝許可,導(dǎo)致數(shù)字內(nèi)容被非法使用。DRM Agentl需要向DRM Agent2發(fā)送許可時(shí),使用域密鑰(Domain Key Diversification, KD)計(jì)算RO的MAC (即DeviceMAC ),并將DeviceMAC、 RO和VT —起發(fā)送給DRM Agent2。DRM Agent2使用域管理器的公鑰驗(yàn)證VT簽名,使用域密鑰驗(yàn)證DeviceMAC,驗(yàn)證都通過(guò)后可安裝許可。DRM Agentl 每次發(fā)送許可時(shí)都需要計(jì)算出MAC,操作較為繁瑣。并且,由于DRMAgent2 不對(duì)許可的有效期進(jìn)行驗(yàn)證,導(dǎo)致非法許可在域內(nèi)無(wú)限傳播。綜上,由于RI失信及未對(duì)來(lái)自DRM Agentl的許可的有效期進(jìn)行驗(yàn)證, 導(dǎo)致非法許可在域內(nèi)無(wú)限傳播,數(shù)字內(nèi)容被非法使用。并且,通過(guò)以上描述可 知,在RI每次向DRM Agentl發(fā)送許可及DRM Agentl每次向DRM Agent2 發(fā)送許可時(shí)均要同時(shí)發(fā)送VT, VT被多次重復(fù)傳輸,造成傳輸上的冗余。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種驗(yàn)證許可的方法及系統(tǒng),用于保證及提高數(shù)字內(nèi)容 的安全性。一種4企證許可的方法,包括以下步驟 數(shù)字版權(quán)管理終端接收許可;根據(jù)域管理器中生成或?qū)胨鲈S可的許可生成設(shè)備的相關(guān)信息對(duì)所述 許可進(jìn)行驗(yàn)證,并且,在通過(guò)驗(yàn)證后數(shù)字版權(quán)管理終端安裝所述許可。 一種域管理器,包括存儲(chǔ)模塊,用于存儲(chǔ)生成或?qū)朐S可的許可生成設(shè)備的相關(guān)信息; 接收模塊,用于接收驗(yàn)證許可的請(qǐng)求消息,所述請(qǐng)求消息包括需要驗(yàn)證的 化息5驗(yàn)證模塊,用于根據(jù)所述請(qǐng)求消息、及所述存儲(chǔ)模塊中生成或?qū)胨鲈S 可的許可生成設(shè)備的相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)時(shí)生成表示允許安裝許可的驗(yàn)證結(jié)果;發(fā)送模塊,用于向所述數(shù)字版權(quán)管理終端發(fā)送所述驗(yàn)證結(jié)果。 一種數(shù)字版權(quán)管理終端,包括接收模塊,用于接收許可,以及接收域管理器發(fā)送的生成或?qū)胨鲈S可 的許可生成設(shè)備的相關(guān)信息;控制模塊,用于在收到許可時(shí)指示驗(yàn)證模塊對(duì)所述許可進(jìn)行驗(yàn)證,并根據(jù)所述驗(yàn)證模塊做出的驗(yàn)證結(jié)果進(jìn)行相應(yīng)的操作;驗(yàn)證模塊,用于根據(jù)所述相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后 生成表示允許安裝許可的驗(yàn)證結(jié)果。一種數(shù)字版權(quán)管理終端,包括接收模塊,用于接收許可;發(fā)送模塊,用于向外部設(shè)備發(fā)送消息;控制模塊,用于在收到所述許可時(shí)指示所述發(fā)送模塊向域管理器發(fā)送用于 驗(yàn)證所述許可的請(qǐng)求,該請(qǐng)求包括需要驗(yàn)證的信息;判斷模塊,用于判斷所述接收模塊接收到的域管理器返回的驗(yàn)證結(jié)果是否 為允許安裝所述許可,并通知所述控制模塊進(jìn)行相應(yīng)的操作。一種數(shù)字版權(quán)管理系統(tǒng),包括增加的許可生成設(shè)備授權(quán)時(shí),確定并保存該許可生成設(shè)備的相關(guān)信息;數(shù)字版權(quán)管理終端,用于接收許可,并根據(jù)從所述域管理器獲得的生成或?qū)朐撛S可的許可生成設(shè)備的相關(guān)信息對(duì)該許可進(jìn)行-^i正,以及在通過(guò)驗(yàn)證后安裝該許可。一種數(shù)字版權(quán)管理系統(tǒng),包括數(shù)字版權(quán)管理終端,用于接收許可,并發(fā)送用于驗(yàn)證該許可的請(qǐng)求,以及 根據(jù)接收到的驗(yàn)證結(jié)果進(jìn)行相應(yīng)的操作;其中,所述請(qǐng)求包括需要驗(yàn)證的信息;域管理器,用于根據(jù)所述數(shù)據(jù)版權(quán)管理終端的請(qǐng)求及本地保存的生成或?qū)?入所述許可的許可生成設(shè)備的相關(guān)信息對(duì)該許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后生 成并向所述數(shù)字版權(quán)管理終端發(fā)送允許安裝許可的驗(yàn)證結(jié)果。本發(fā)明實(shí)施例中,根據(jù)域管理器保存的用于生成或?qū)朐S可的許可生成設(shè) 備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,避免了 DRM Agent在許可生成設(shè)備已被中止 授權(quán)后安裝該許可生成設(shè)備發(fā)布的許可的情況,保證且提高了數(shù)字內(nèi)容的安全 性。
圖1為現(xiàn)有技術(shù)中驗(yàn)證許可的示意圖;圖2為本發(fā)明實(shí)施例中驗(yàn)證許可的主要方法流程圖;圖3為本發(fā)明實(shí)施例中系統(tǒng)的結(jié)構(gòu)圖;圖4為本發(fā)明實(shí)施例中由DRM Agent驗(yàn)證許可時(shí)域管理器的結(jié)構(gòu)圖;圖5為本發(fā)明實(shí)施例中由DRM Agent驗(yàn)證許可時(shí)DRM Agent的結(jié)構(gòu)圖;圖6為本發(fā)明實(shí)施例中第一種驗(yàn)證許可的具體方法流程圖;圖7為本發(fā)明實(shí)施例中第二種驗(yàn)證許可的具體方法流程圖;圖8為本發(fā)明實(shí)施例中第三種驗(yàn)證許可的具體方法流程圖;圖9為本發(fā)明實(shí)施例中第四種驗(yàn)證許可的具體方法流程圖;圖10為本發(fā)明實(shí)施例中第五種驗(yàn)證許可的具體方法流程圖;圖IIA為本發(fā)明實(shí)施例中由域管理器驗(yàn)證許可時(shí)域管理器的結(jié)構(gòu)圖;圖11B為本發(fā)明實(shí)施例中由域管理器驗(yàn)證許可時(shí)DRM Agent的結(jié)構(gòu)圖;圖12為本發(fā)明實(shí)施例中第六種驗(yàn)證許可的方法流程圖;圖13為本發(fā)明實(shí)施例中域管理器-瞼證許可的流程圖。
具體實(shí)施方式
在本發(fā)明實(shí)施例中,域管理器存有許可生成設(shè)備的相關(guān)信息,由域管理器 根據(jù)本地保存的或DRM Agent根據(jù)從域管理器獲取的許可生成設(shè)備的相關(guān)信 息對(duì)許可進(jìn)行驗(yàn)證,以保證數(shù)字內(nèi)容的安全性。本實(shí)施例中域管理器負(fù)責(zé)管理用戶域(本實(shí)施例中簡(jiǎn)稱(chēng)域),包括控制 DRM Agent加入/離開(kāi)用戶域、授權(quán)許可生成設(shè)備為域管理器管理的用戶域或 設(shè)備生成或?qū)朐S可等。本實(shí)施例中許可生成設(shè)備包括許可服務(wù)器(Rights Issuer, RI)和/或本地 許可管理器(Local Rights Manager, LRM),其中,RI負(fù)責(zé)生成并分發(fā)與數(shù)字 內(nèi)容相對(duì)應(yīng)的許可,許可包括加密的內(nèi)容加密密鑰(Content Encryption Key, CEK)和該內(nèi)容對(duì)應(yīng)的使用權(quán)利及限制;LRM用于導(dǎo)入其它DRM系統(tǒng)保護(hù)的內(nèi)容和許可。LRM可為單個(gè)設(shè)備導(dǎo)入內(nèi)容和許可,也可為域?qū)雰?nèi)容和許可。 本實(shí)施例中的許可為RI生成的許可或由LRM導(dǎo)入的許可,下面以RI生成的 許可為例進(jìn)行說(shuō)明。本實(shí)施例中許可生成設(shè)備的相關(guān)信息包括許可生成設(shè)備的標(biāo)識(shí)、公鑰、用 于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表(本實(shí)施例中標(biāo)記為DomainIDList )、用于記錄設(shè) 備標(biāo)識(shí)的設(shè)備標(biāo)識(shí)列表(本實(shí)施例中標(biāo)記為DeviceIDList )、用于控制許可生成 設(shè)備發(fā)布許可的有效期(本實(shí)施例中稱(chēng)TSCreateRO)和用于控制安裝許可生 成設(shè)備生成的許可的有效期(本實(shí)施例中標(biāo)記為T(mén)SInstallRO),可還包括證 書(shū)鏈(包括證書(shū),證書(shū)包括公鑰)和證書(shū)招i銷(xiāo)狀態(tài)等。其中,DomainIDList 中的域標(biāo)識(shí)表示允許或禁止許可生成設(shè)備為該域標(biāo)識(shí)對(duì)應(yīng)的域生成或發(fā)布許 可。DeviceIDList中的設(shè)備標(biāo)識(shí)表示允許或禁止許可生成設(shè)備為該設(shè)備標(biāo)識(shí)對(duì) 應(yīng)的設(shè)備生成或發(fā)布許可。TSCreateRO表示在該有效期內(nèi)允許或禁止許可生 成設(shè)備生成或發(fā)布許可。TSInstallRO表示在該有效期內(nèi)允許或禁止安裝許可生 成設(shè)備生成或發(fā)布的許可。關(guān)于上述的DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO,本實(shí)施例以表示允許發(fā)布許可為例進(jìn)行說(shuō)明。一個(gè)許可生成設(shè)備對(duì)應(yīng)一個(gè)或多個(gè)DomainIDList和/或DeviceIDList,不同 的DomainIDList或DeviceIDList可以對(duì)應(yīng)不同的TSCreateRO和/或 TSInstallRO。其中,TSCreateRO和TSInstallRO可以用單一終止時(shí)刻表示,如 2007/6/1,也可以用一個(gè)起始時(shí)刻和一個(gè)終止時(shí)刻表示,如2007/1/1, 2007/6/1。本實(shí)施例中域管理器在與許可生成設(shè)備進(jìn)行相互認(rèn)證時(shí)獲知該許可生成 設(shè)備的公鑰和證書(shū)鏈等信息。在許可生成設(shè)備的授權(quán)發(fā)生變化時(shí),其相關(guān)信息 (公鑰、證書(shū)、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO)由 域管理器自行確定,和/或由域管理器與許可生成設(shè)備協(xié)商后確定。其中,域管 理器在與許可生成設(shè)備進(jìn)行相互認(rèn)證的過(guò)程可以為許可生成設(shè)備在域管理器 注冊(cè)的過(guò)程或者為域管理器在許可生成設(shè)備注冊(cè)的過(guò)程。域管理器與許可生成 設(shè)備協(xié)商的過(guò)程可以有多種,如一種實(shí)現(xiàn)方式是域管理器設(shè)置并發(fā)送上述相關(guān)信息給許可生成設(shè)備,由許可生成設(shè)備確認(rèn)并發(fā)送響應(yīng)消息給域管理器;如另 一種實(shí)現(xiàn)方式是許可生成設(shè)備設(shè)置并發(fā)送上述相關(guān)信息給域管理器,由域管理 器確認(rèn)并發(fā)送響應(yīng)消息給許可生成設(shè)備。域管理器和許可生成設(shè)備均存有上述 相關(guān)信息。參見(jiàn)圖2,本實(shí)施例中驗(yàn)證許可的主要方法流程如下 步驟201: DRM Agent從許可生成設(shè)備或其它DRM Agent處接收許可。 步驟202:根據(jù)域管理器中生成所述許可的許可生成設(shè)備的相關(guān)信息對(duì)所 述許可進(jìn)行驗(yàn)證,若通過(guò)對(duì)許可的驗(yàn)證,則繼續(xù)步驟203,否則繼續(xù)步驟204; 步驟203: DRM Agent安裝所述許可。 步驟204:拒絕DRMAgent安裝所述許可。其中,許可生成設(shè)備的相關(guān)信息包括許可生成設(shè)備的公鑰/證書(shū)、 TSCreateRO、 TSInstallRO、 DomainIDList和DeviceIDList中的一項(xiàng)或多項(xiàng)。具 體-瞼i正方式為當(dāng)所述相關(guān)信息包含所述許可生成設(shè)備的公鑰時(shí),根據(jù)許可生成設(shè)備的公 鑰驗(yàn)證許可中許可生成設(shè)備為該許可設(shè)置的簽名是否正確,若正確,則此項(xiàng)驗(yàn) 證通過(guò),否則不通過(guò)。其中,該公鑰可以直接包含在許可生成設(shè)備的相關(guān)信息 中,或包含在證書(shū)中。所述簽名包括所述許可生成設(shè)備對(duì)所述許可的權(quán)限的簽 名,還可包括所述許可生成設(shè)備對(duì)所述許可的發(fā)布時(shí)間的簽名。在相關(guān)信息包括TSCreateRO時(shí),判斷許可的發(fā)布時(shí)間是否在TSCreateRO 內(nèi),若是,則此項(xiàng)-驗(yàn)證通過(guò),否則不通過(guò)。在相關(guān)信息包括TSInstallRO時(shí),判斷當(dāng)前時(shí)間是否在TSInstallRO內(nèi),若 是,則此項(xiàng)駘3正通過(guò),否則不通過(guò)。在相關(guān)信息包括DomainIDList且許可為域許可時(shí),判斷許可綁定的域ID 是否在DomainIDList內(nèi),若是,則此項(xiàng)驗(yàn)證通過(guò),否則不通過(guò)。在相關(guān)信息包括DeviceIDList且許可為設(shè)備許可時(shí),判斷許可綁定的設(shè)備 ID是否在DeviceIDList內(nèi),若是,則此項(xiàng)驗(yàn)證通過(guò),否則不通過(guò)。其中,根據(jù)相關(guān)信息中的所有信息驗(yàn)證許可通過(guò)后允許安裝許可。 域管理器在中止許可生成設(shè)備為域或設(shè)備發(fā)布許可的授權(quán)時(shí),可從DomainIDList或DeviceIDList中刪除相應(yīng)的標(biāo)識(shí)。當(dāng)域管理器或DRM Agent僅根據(jù)TSInstallRO驗(yàn)證所述許可時(shí), TSInstallRO的范圍與域管理器為所述許可生成設(shè)備授權(quán)的期限一致。在域管理器通過(guò)許可生成設(shè)備的公鑰控制對(duì)許可生成設(shè)備授權(quán)的情況下, 域管理器當(dāng)中止許可生成設(shè)備的授權(quán)時(shí)將該許可生成設(shè)備的公鑰從本地刪除。 其驗(yàn)證許可的方式為判斷域管理器提供的所述許可生成設(shè)備的相關(guān)信息是否 包含所述許可生成設(shè)備的公鑰,若包含,則根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可 中許可生成設(shè)備為該許可設(shè)置的簽名是否正確,若正確,則此項(xiàng)驗(yàn)證通過(guò),否 則不通過(guò);若不包含,則不通過(guò)。其中,該公鑰可以直接包含在許可生成設(shè)備 的相關(guān)信息中,或包含在證書(shū)中。本實(shí)施例中根據(jù)公鑰驗(yàn)證許可與根據(jù)證書(shū)驗(yàn) 證許可的實(shí)現(xiàn)方式相似,下面以根據(jù)公鑰驗(yàn)證許可為例進(jìn)行說(shuō)明。本實(shí)施例提供多種驗(yàn)證許可的具體實(shí)現(xiàn)方式,如第一種實(shí)現(xiàn)方式是DRM Agent根據(jù)本地保存的許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,其中許可生 成設(shè)備的相關(guān)信息僅包括一項(xiàng)用于驗(yàn)證許可的信息,參見(jiàn)圖2所示。如第二種 實(shí)現(xiàn)方式是DRM Agent根據(jù)本地保存的許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行 驗(yàn)證,其中許可生成設(shè)備的相關(guān)信息僅包括兩項(xiàng)用于驗(yàn)證許可的信息;如第三 種實(shí)現(xiàn)方式是根據(jù)本地保存的許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,其 中許可生成設(shè)備的相關(guān)信息僅包括三項(xiàng)用于驗(yàn)證許可的信息;如第四種實(shí)現(xiàn)方 式是DRM Agent根據(jù)保存的許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,相關(guān) 信息包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO;如 第五種實(shí)現(xiàn)方式是DRM Agent在驗(yàn)證許可時(shí)從域管理器獲取許可生成設(shè)備的 相關(guān)信息,并對(duì)許可進(jìn)行驗(yàn)證;如第六種實(shí)現(xiàn)方式是DRM Agent在驗(yàn)證許可 時(shí)從域管理器獲取生成許可的許可生成設(shè)備的相關(guān)信息,包括DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO中的一項(xiàng)或多項(xiàng),并對(duì)許可進(jìn)行驗(yàn)證,以及根據(jù)相應(yīng)的許可生成設(shè)備的公鑰對(duì)許可進(jìn)行驗(yàn)證;如第七種實(shí)現(xiàn)方式 是域管理器本地存有許可生成設(shè)備的相關(guān)信息,包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO中的一項(xiàng)或多項(xiàng),DRM Agent在接 收許可后請(qǐng)求域管理器根據(jù)許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證。參見(jiàn)圖3,本實(shí)施例中由DRM Agent對(duì)許可進(jìn)行驗(yàn)證時(shí)的系統(tǒng)包括域管理 器301 、許可生成設(shè)備302和DRM Agent303。域管理器301從一個(gè)或多個(gè)許可生成設(shè)備302處接收并保存許可生成設(shè)備 的公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等,自行確定或與各許可生成設(shè)備302協(xié)商后 確定許可生成設(shè)備302的相關(guān)信息,包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO,以及主動(dòng)或者在收到DRM Agent303的請(qǐng)求時(shí), 將許可生成設(shè)備的相關(guān)信息發(fā)送給DRM Agent303??梢杂扇斯せ蛴蚬芾砥?01 為不同的許可生成設(shè)備302設(shè)置不同的用于驗(yàn)證許可的相關(guān)信息項(xiàng)(包括公鑰、 DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO中的一項(xiàng)或多項(xiàng)), 并且可以以列表等形式保存。許可生成設(shè)備302向域管理器301發(fā)送公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信 息;接收域管理器301確定并發(fā)送的其它相關(guān)信息(包括DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO),或者自行確定其它相關(guān)信息并發(fā) 送給域管理器301;向DRM Agent303發(fā)送許可,可進(jìn)一步根據(jù)DRM Agent303 的請(qǐng)求向其發(fā)送公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。許可生成設(shè)備302根據(jù) 自身的相關(guān)信息生成及分發(fā)許可。DRM Agent303接收并保存域管理器301發(fā)送的許可生成設(shè)備的相關(guān)信息, 以及接收許可生成設(shè)備302或其它DRM Agent303發(fā)送的許可,并根據(jù)域管理 器301提供的許可生成設(shè)備的相關(guān)信息對(duì)收到的許可進(jìn)行驗(yàn)證,以及根據(jù)驗(yàn)證 結(jié)果進(jìn)行相應(yīng)的操作。DRM Agent303在需要時(shí)可從許可生成設(shè)備302處獲得 公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。參見(jiàn)圖4,本實(shí)施例中域管理器301包括接收模塊401、信息模塊402、存儲(chǔ)模塊403、控制模塊404和發(fā)送模塊405。接收模塊401接收許可生成設(shè)備302發(fā)送的許可生成設(shè)備的相關(guān)信息,接 收DRM Agent303發(fā)送的各種請(qǐng)求,包括注冊(cè)請(qǐng)求、加入i或-清求和獲取許可生 成設(shè)備的相關(guān)信息的請(qǐng)求(以下簡(jiǎn)稱(chēng)獲取請(qǐng)求)等。控制模塊404負(fù)責(zé)管理用戶域,負(fù)責(zé)與許可生成設(shè)備302的認(rèn)證、控制對(duì) 許可生成設(shè)備302的授權(quán)、注冊(cè)管理和確定各許可生成設(shè)備302對(duì)應(yīng)的用于驗(yàn) 證許可的相關(guān)信息項(xiàng)等,當(dāng)變更對(duì)許可生成設(shè)備302的授權(quán)或?qū)W(wǎng)絡(luò)中增加的 許可生成設(shè)備302進(jìn)行授權(quán)時(shí)觸發(fā)并指示信息模塊進(jìn)行相應(yīng)的操作;在收到 DRM Agent303發(fā)送的請(qǐng)求時(shí),根據(jù)該請(qǐng)求查詢(xún)存儲(chǔ)模塊403,并指示發(fā)送模 塊405將查詢(xún)到的信息發(fā)送給DRM Agent303,可進(jìn)一步在信息模塊402進(jìn)行 信息更新后向DRMAgent303發(fā)送觸發(fā)器,觸發(fā)DRM Agent303發(fā)送請(qǐng)求,或 者觸發(fā)發(fā)送模塊405將許可生成設(shè)備的相關(guān)信息發(fā)送給DRM Agent303。信息模塊402根據(jù)控制模塊404的指示自行確定許可生成設(shè)備的相關(guān)信 息,或者通過(guò)接收模塊401和發(fā)送模塊405與許可生成設(shè)備302協(xié)商后確定其 相關(guān)信息,如刪除公鑰、變更DomainIDList和DeviceIDList中的標(biāo)識(shí)、變更 TSCreateRO和TSInstallRO的時(shí)限等。存儲(chǔ)模塊403保存接收模塊401接收到的和信息模塊402確定的許可生成 設(shè)備的相關(guān)信息。本實(shí)施例中的各存儲(chǔ)模塊可以為緩存、硬盤(pán)、磁帶等存儲(chǔ)介 質(zhì)。發(fā)送模塊405在信息模塊402與許可生成設(shè)備302協(xié)商過(guò)程中發(fā)送確定的 相關(guān)信息或響應(yīng)消息,以及根據(jù)控制模塊404的指示向DRM Agent303發(fā)送觸 發(fā)器及許可生成設(shè)備的相關(guān)信息。參見(jiàn)圖5,本實(shí)施例中DRMAgent303包括接收模塊501、控制模塊502、 驗(yàn)證模塊503、存儲(chǔ)模塊504和發(fā)送模塊505。接收模塊501接收域管理器301發(fā)送的許可生成設(shè)備的相關(guān)信息以及觸發(fā) 器,接收許可生成設(shè)備302或其它DRM Agent303發(fā)送的許可。控制模塊502生成各種請(qǐng)求消息,包括注冊(cè)請(qǐng)求、加入域請(qǐng)求和獲取許可 生成設(shè)備的相關(guān)信息的請(qǐng)求等,并指示驗(yàn)證模塊503對(duì)接收到的許可進(jìn)行驗(yàn)證, 當(dāng)通過(guò)驗(yàn)證后安裝該許可,如果未通過(guò)驗(yàn)證則拒絕安裝該許可。存儲(chǔ)模塊504存儲(chǔ)許可生成設(shè)備的相關(guān)信息和許可等。驗(yàn)證模塊503根據(jù)許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,并生成驗(yàn)證 結(jié)果,通知控制模塊502進(jìn)行相應(yīng)的操作。在接收模塊501接收許可前,未從 域管理器301接收各許可生成設(shè)備的相關(guān)信息情況下,驗(yàn)證模塊503當(dāng)查詢(xún)存 儲(chǔ)模塊504未存有需要的許可生成設(shè)備的相關(guān)信息時(shí),通知控制模塊502,使 其生成相應(yīng)的請(qǐng)求。發(fā)送模塊505根據(jù)控制模塊502的指示發(fā)送各種請(qǐng)求消息。第二種實(shí)現(xiàn)方式為DRM Agent303根據(jù)本地保存的許可生成設(shè)備的相關(guān) 信息對(duì)許可進(jìn)行驗(yàn)證,其中許可生成設(shè)備的相關(guān)信息僅包括兩項(xiàng)用于驗(yàn)證許可 的信息。本實(shí)施例以TSCreateRO和公鑰為例進(jìn)行說(shuō)明,具體流程參見(jiàn)圖6所 示步驟601: DRM Agent303向域管理器301發(fā)送請(qǐng)求,請(qǐng)求獲取用于驗(yàn)證 許可的許可生成設(shè)備的相關(guān)信息,或者進(jìn)一步請(qǐng)求獲取證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài) 等信息。DRM Agent303可以主動(dòng)向域管理器301發(fā)送請(qǐng)求,也可以在收到域 管理器301發(fā)送的觸發(fā)器后發(fā)送相應(yīng)的請(qǐng)求。所述請(qǐng)求為注冊(cè)請(qǐng)求、加入域請(qǐng)求或獲取請(qǐng)求。所述觸發(fā)器為注冊(cè)觸發(fā)器、 加入域觸發(fā)器或用于獲取許可生成設(shè)備的相關(guān)信息的觸發(fā)器(以下簡(jiǎn)稱(chēng)獲取觸 發(fā)器)。DRMAgent303可以定期的主動(dòng)向域管理器301發(fā)送獲取請(qǐng)求,或者域 管理器301定期或在需要時(shí)向DRM Agent303發(fā)送獲取觸發(fā)器。步驟602:域管理器301根據(jù)收到的請(qǐng)求進(jìn)行相應(yīng)的操作,該操作至少包 括將所有許可生成設(shè)備的相關(guān)信息發(fā)送給DRM Agent303,或者進(jìn)一步向其發(fā) 送證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。域管理器301可以在收到獲取許可生成設(shè)備 的相關(guān)信息的請(qǐng)求時(shí)將許可生成設(shè)備的相關(guān)信息在響應(yīng)消息中返回。域管理器301也可以在收到注冊(cè)請(qǐng)求或加入域請(qǐng)求時(shí),在注冊(cè)響應(yīng)或加入域響應(yīng)消息中 向DRMAgent303發(fā)送許可生成設(shè)備的相關(guān)信息。重復(fù)步驟601和602,實(shí)現(xiàn)當(dāng)域管理器授權(quán)的許可生成設(shè)備的相關(guān)信息發(fā) 生變化,或者域管理器新增了授權(quán)的許可生成設(shè)備302,或者不再允許某些許 可生成設(shè)備302為具體的域或設(shè)備生成許可時(shí),DRM Agent303可以根據(jù)準(zhǔn)確 可信的許可生成設(shè)備的相關(guān)信息驗(yàn)證許可,較好的對(duì)安裝許可進(jìn)行控制。如果域管理器301在許可生成設(shè)備的相關(guān)信息發(fā)生變化時(shí)主動(dòng)向在本地注 冊(cè)的DRM Agent303發(fā)送許可生成設(shè)備的相關(guān)信息,則可跳過(guò)步驟601。DRM Agent303可以在收到許可生成設(shè)備的相關(guān)信息后向域管理器301返 回響應(yīng)消息。本實(shí)施例中,DRMAgent303在接收許可前獲得許可生成設(shè)備的相關(guān)信息, 不需要在每次傳輸許可時(shí)均攜帶許可生成設(shè)備的相關(guān)信息,減少了傳輸上的冗 余。步驟603: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent303處接收到的設(shè)備許可或域許可;并根據(jù)許可中許可生成 設(shè)備的標(biāo)識(shí),從本地保存的信息中查找與標(biāo)識(shí)對(duì)應(yīng)的許可生成設(shè)備302的相關(guān) 信息。該許可生成設(shè)備302對(duì)應(yīng)的用于驗(yàn)證許可的相關(guān)信息包括公鑰和 TSCreateRO。一個(gè)許可的實(shí)例片^a如下<ro id="DomainROr domainRO="true">〃表示許可的標(biāo)識(shí),并標(biāo)記出該許可為域許可 <LRMID>LRM1 </LRMID> 〃表示許可生成設(shè)備的標(biāo)識(shí)<rights> //表示該許可包含的權(quán)限</rights><timestamp>2007年3月1日</timestamp> 〃表示許可的發(fā)布時(shí)間 <signature> //表示許可生成設(shè)備為該許可做出的簽名<SignatureValue>j61wx3rvEPO0vKtMup4NbeVu8nk=</SignatureValue> </ signature ><encKey Id="K—MAC—and—K一REK"〉 〈ds:Keylnfo〉<roap:domainID>Domain-XYZ-001</roap:domainID>〃表示;或才示"i只,也可證 明該許可為域許可,如果是設(shè)備許可,此處則為設(shè)備標(biāo)識(shí) </ds:KeyInfo> </encKey> </roap:ro>步驟604: DRMAgent303判斷許可的發(fā)布時(shí)間是否在TSCreateRO內(nèi),若 是,則繼續(xù)步驟605,否則繼續(xù)步驟607。本實(shí)施例通過(guò)較為準(zhǔn)確的TSCreateRO 控制許可的生成和安裝,保證了數(shù)字內(nèi)容的安全性。為了保證許可的發(fā)布時(shí)間 和權(quán)限的完整性,可以通過(guò)許可生成設(shè)備302對(duì)其進(jìn)行簽名。步驟605: DRM Agent303判斷本地是否存有生成該許可的許可生成設(shè)備 的公鑰,若有,則根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可生成設(shè)備的簽名是否正確, 若是,則繼續(xù)步驟606,否則繼續(xù)步驟607;若沒(méi)有,則繼續(xù)步驟607。步驟606: DRMAgent303安裝該許可。步驟607: DRMAgent303拒絕安裝該許可。本實(shí)施例中步驟604和步驟605是兩個(gè)獨(dú)立的操作,執(zhí)行的先后順序無(wú)嚴(yán) 格的規(guī)定。第三種實(shí)現(xiàn)方式為DRM Agent303根據(jù)本地保存的許可生成設(shè)備的相關(guān) 信息對(duì)許可進(jìn)行驗(yàn)證,其中許可生成設(shè)備的相關(guān)信息僅包括三項(xiàng)用于驗(yàn)證許可 的信息。本實(shí)施例以公鑰、TSCreateRO和TSInstallRO對(duì)許可進(jìn)行驗(yàn)證為例進(jìn) 行說(shuō)明,具體流程參見(jiàn)圖7所示步驟701: DRM Agent303向域管理器301發(fā)送請(qǐng)求,請(qǐng)求獲取用于驗(yàn)證 許可的許可生成設(shè)備的相關(guān)信息,或者進(jìn)一步請(qǐng)求獲取證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài) 等信息。DRM Agent303可以主動(dòng)向域管理器301發(fā)送請(qǐng)求,也可以在收到域 管理器301發(fā)送的觸發(fā)器后發(fā)送相應(yīng)的請(qǐng)求。步驟702:域管理器301根據(jù)收到的請(qǐng)求進(jìn)行相應(yīng)的操作,該操作至少包 括將所有許可生成設(shè)備的相關(guān)信息發(fā)送給DRM Agent30,還可向其發(fā)送證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。如果域管理器301在許可生成設(shè)備的相關(guān)信息發(fā)生變化時(shí)主動(dòng)向在本地注 冊(cè)的DRM Agent303發(fā)送許可生成設(shè)備的相關(guān)信息,則可跳過(guò)步驟701。DRM Agent303可以在收到許可生成設(shè)備的相關(guān)信息后向域管理器301返 回響應(yīng)消息。步驟703: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent303處接收到的設(shè)備許可或域許可;并從本地保存的信息中 查找生成該許可的許可生成設(shè)備302的相關(guān)信息。該許可生成設(shè)備302對(duì)應(yīng)的 用于驗(yàn)證許可的信息包括公鑰、TSCreateRO和TSInstallRO。步驟704: DRM Agent303判斷許可的發(fā)布時(shí)間是否在TSCreateRO內(nèi),若 是,則繼續(xù)步驟705,否則繼續(xù)步驟708。本實(shí)施例通過(guò)較為準(zhǔn)確的TSCreateRO 控制許可的生成、發(fā)布和安裝,保證了數(shù)字內(nèi)容的安全性。步驟705: DRMAgent303判斷當(dāng)前的時(shí)間是否在TSInstallRO內(nèi),若是, 則繼續(xù)步驟706,否則繼續(xù)步驟708。本實(shí)施例通過(guò)TSInstallRO限制在 TSCreateRO之前生成并發(fā)布的許可在TSCreateRO之后的安裝,提高了數(shù)字內(nèi) 容的安全性,并且更靈活的控制許可的安裝。步驟706: DRM Agent303根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可中的簽名是 否正確,若是,則繼續(xù)步驟707,否則繼續(xù)步驟708。步驟707: DRM Agent303安裝該許可。步驟708: DRMAgent303拒絕安裝該許可。本實(shí)施例中步驟704、步驟705和步驟706是相互獨(dú)立的操作,執(zhí)行的先 后順序無(wú)嚴(yán)格的規(guī)定。第四種實(shí)現(xiàn)方式為DRM Agent303根據(jù)最新保存的許可生成設(shè)備的相關(guān) 信息對(duì)許可進(jìn)行驗(yàn)證,相關(guān)信息包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO。具體流程參見(jiàn)圖8所示步驟801: DRM Agent303向域管理器301發(fā)送請(qǐng)求,請(qǐng)求獲取用于驗(yàn)證許可的許可生成設(shè)備的相關(guān)信息,或者進(jìn)一步請(qǐng)求獲取證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。DRM Agent303可以主動(dòng)向域管理器301發(fā)送請(qǐng)求,也可以在收到域 管理器301發(fā)送的觸發(fā)器后發(fā)送相應(yīng)的請(qǐng)求。步驟802:域管理器301根據(jù)收到的請(qǐng)求進(jìn)行相應(yīng)的操作,該操作至少包 括將所有許可生成設(shè)備的相關(guān)信息發(fā)送給DRM Agent303,還可向其發(fā)送證書(shū) 鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。如果域管理器301在許可生成設(shè)備的相關(guān)信息發(fā)生變化時(shí)主動(dòng)向在本地注 冊(cè)的DRM Agent303發(fā)送許可生成設(shè)備的相關(guān)信息,則可跳過(guò)步驟801。DRM Agent303可以在收到許可生成設(shè)備的相關(guān)信息后向域管理器301返 回響應(yīng)消息。步驟803: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent303處接收到的設(shè)備許可或域許可;并從本地保存的信息中 查找生成該許可的許可生成設(shè)備302的相關(guān)信息。該許可生成設(shè)備302對(duì)應(yīng)的 用于驗(yàn)證許可的相關(guān)信息包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO 和TSInstallRO。例如接收許可的時(shí)間為2007年5月1日。步驟804: DRM Agent303根據(jù)許可中的信息獲知該許可為域許可或設(shè)備 許可,并在相應(yīng)的各DomainIDList或DeviceIDList中查找許可綁定的域標(biāo)識(shí)或 設(shè)備標(biāo)識(shí),若查詢(xún)到,則繼續(xù)步驟805,否則繼續(xù)步驟809。本實(shí)施例通過(guò) DomainIDList和DeviceIDList控制許可生成設(shè)備302發(fā)布許可,使許可生成設(shè) 備302為特定的域或設(shè)備發(fā)布許可,更加靈活的對(duì)許可生成設(shè)備302進(jìn)行控制, 提高了數(shù)字內(nèi)容的安全性。步驟805: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSCreateRO,并判斷許可的發(fā)布時(shí)間是否在TSCreateRO 內(nèi),若是,則繼續(xù)步驟806,否則繼續(xù)步驟809。本實(shí)施例通過(guò)較為準(zhǔn)確的 TSCreateRO控制許可的安裝,保證了數(shù)字內(nèi)容的安全性。例如,許可的發(fā)布 時(shí)間為2007年3月1日,TSCreateRO為2007年4月1日,可通過(guò)驗(yàn)證。步驟806: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSInstallRO,并判斷當(dāng)前的時(shí)間是否在TSInstallRO內(nèi), 若是,則繼續(xù)步驟807,否則繼續(xù)步驟809。本實(shí)施例通過(guò)TSInstallRO更靈活 的控制許可的安裝,提高了數(shù)字內(nèi)容的安全性。例如TSInstallRO為2007年6 月1日,接收許可的時(shí)間2007年5月1日在2007年6月1日之前,可通過(guò)驗(yàn) 證。步驟807: DRM Agent303根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可生成設(shè)備的 簽名是否正確,若是,則繼續(xù)步驟808,否則繼續(xù)步驟809。 步驟808: DRM Agent303安裝該許可。 步驟809: DRMAgent303拒絕安裝該許可。本實(shí)施例中步驟807相對(duì)于步驟804、 805和806是獨(dú)立的操作,步驟807 與步驟804、 805和806之間無(wú)嚴(yán)格的執(zhí)行順序。步驟805和806是相互獨(dú)立 的操作,執(zhí)行的先后順序也無(wú)嚴(yán)格的規(guī)定。第五種實(shí)現(xiàn)方式為DRM Agent303在驗(yàn)證許可時(shí)從域管理器獲取生成所 述許可的許可生成設(shè)備302的相關(guān)信息,并對(duì)許可進(jìn)行驗(yàn)證,本實(shí)施例以該許 可生成設(shè)備302對(duì)應(yīng)的用于驗(yàn)證許可的全部相關(guān)信息為例進(jìn)行說(shuō)明,具體流程 參見(jiàn)圖9所示步驟901: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent203處接收到的設(shè)備許可或域許可。步驟902: DRM Agent303向域管理器301發(fā)送獲取請(qǐng)求,請(qǐng)求獲取生成 所述許可的許可生成設(shè)備的相關(guān)信息,則在獲取請(qǐng)求中攜帶該許可中的許可生 成設(shè)備的標(biāo)識(shí)。DRM Agent303還可以進(jìn)一步請(qǐng)求獲取證書(shū)鏈和證書(shū)招《銷(xiāo)狀態(tài) 等信息。步驟903:域管理器301接收獲取請(qǐng)求,并根據(jù)請(qǐng)求中的參數(shù)查找相應(yīng)的 相關(guān)信息并發(fā)送給DRM Agent303。其中,該許可生成設(shè)備302對(duì)應(yīng)的相關(guān)信 息包括7〉鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO。域管理器301如果未查詢(xún)到相應(yīng)的信息,則向DRM Agent303返回錯(cuò)誤碼。 DRM Agent303發(fā)現(xiàn)接收到的是錯(cuò)誤碼時(shí),繼續(xù)步驟909。步驟904: DRM Agent303接收域管理器301發(fā)送的許可生成設(shè)備的相關(guān) 信息,以及根據(jù)許可中的信息獲知該許可為域許可或設(shè)備許可,并在相應(yīng)的各 DomainIDList或DeviceIDList中查找許可綁定的域標(biāo)識(shí)或設(shè)備標(biāo)識(shí),若查詢(xún)到, 則繼續(xù)步驟卯5,否則繼續(xù)步驟909。本實(shí)施例通過(guò)DomainIDList和 DeviceIDList控制許可生成設(shè)備302發(fā)布許可,使許可生成設(shè)備302為特定的 域或設(shè)備發(fā)布許可,更加靈活的對(duì)許可生成設(shè)備302進(jìn)行控制,提高了數(shù)字內(nèi) 容的安全性。步驟905: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSCreateRO,并判斷許可的發(fā)布時(shí)間是否在TSCreateRO 內(nèi),若是,則繼續(xù)步驟906,否則繼續(xù)步驟909。本實(shí)施例通過(guò)較為準(zhǔn)確的 TSCreateRO控制許可的安裝,保證了數(shù)字內(nèi)容的安全性。步驟906: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSInstallRO,并判斷當(dāng)前的時(shí)間是否在TSInstallRO內(nèi), 若是,則繼續(xù)步驟907,否則繼續(xù)步驟909。本實(shí)施例通過(guò)TSInstallRO更靈活 的控制許可的安裝,提高了數(shù)字內(nèi)容的安全性。并且本實(shí)施例將DomainIDList 或DeviceIDList與TSCreateRO或TSInstallRO結(jié)合,使對(duì)許可和許可生成設(shè)備 302的控制更靈活。步驟907: DRM Agent303根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可生成設(shè)備的 簽名是否正確,若是,則繼續(xù)步驟908,否則繼續(xù)步驟909。步驟908: DRMAgent303安裝該許可。步驟909: DRMAgent303拒絕安裝該許可。本實(shí)施例中驗(yàn)證簽名與驗(yàn)證DomainIDList、 DeviceIDList、 TSCreateRO和 TSInstallRO是獨(dú)立的操作,驗(yàn)證簽名與驗(yàn)證DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO的執(zhí)行順序無(wú)嚴(yán)格的要求。步驟905和906也是相互獨(dú)立的操作,執(zhí)行的先后順序也無(wú)嚴(yán)格的規(guī)定。第六種實(shí)現(xiàn)方式為DRM Agent303在驗(yàn)證許可時(shí)從域管理器獲取生成許 可的許可生成設(shè)備的相關(guān)信息,包括DomainIDList、 DeviceIDList、 TSCreateRO 和TSInstallRO中的一項(xiàng)或多項(xiàng),并對(duì)許可進(jìn)行-瞼證,以及才艮據(jù)相應(yīng)的許可生 成設(shè)備的公鑰對(duì)許可進(jìn)行驗(yàn)證,具體流程參見(jiàn)圖IO所示步驟1001: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent303處接收到的設(shè)備許可或域許可。步驟1002: DRMAgent303判斷本地是否存有與收到的許可對(duì)應(yīng)的許可生 成設(shè)備302的信息,該信息主要包括許可生成設(shè)備的公鑰,還可以包括證書(shū)鏈 和證書(shū)撤銷(xiāo)狀態(tài)等,若是,則繼續(xù)步驟1005,否則繼續(xù)步驟1003或步驟1006。步驟1003: DRM Agent303選擇從許可生成設(shè)備302獲取許可生成設(shè)備的 公鑰,判斷是否聯(lián)系到許可生成設(shè)備302,若是,則繼續(xù)步驟1004,否則繼續(xù) 步驟1006。DRM Agent303也可以選擇從其它設(shè)備獲取許可生成設(shè)備的公鑰并繼續(xù)步 驟1005。其它設(shè)備如證書(shū)認(rèn)證中心(Certificate Authority, CA)或DRM Agent等。步驟1004: DRM Agent303從許可生成設(shè)備302獲得公鑰,并繼續(xù)步驟 1005。步驟1005: DRMAgent303向域管理器301發(fā)送獲取請(qǐng)求,請(qǐng)求獲取用于 驗(yàn)證許可的許可生成設(shè)備的相關(guān)信息,并且通過(guò)標(biāo)志位表示不需要獲取公鑰。 其中,獲取請(qǐng)求中還包含該許可攜帶的許可生成設(shè)備的標(biāo)識(shí)。步驟1006: DRM Agent303向域管理器301發(fā)送獲取請(qǐng)求,請(qǐng)求獲取用于 驗(yàn)證許可的許可生成設(shè)備的相關(guān)信息及許可生成設(shè)備的公鑰等。其中,獲取請(qǐng) 求中還包含許可生成設(shè)備的標(biāo)識(shí)。步驟1007:域管理器301根據(jù)收到的獲取請(qǐng)求查找相應(yīng)的信息,并向DRM Agent303返回查詢(xún)結(jié)果。本實(shí)施例中域管理器301未通過(guò)公鑰控制許可生成設(shè)備302的授權(quán),因此域管理器301提供的該許可生成設(shè)備302對(duì)應(yīng)的用于驗(yàn)證 許可的信息項(xiàng)包括DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO。 步驟1008: DRMAgent303對(duì)接收到的查詢(xún)結(jié)果進(jìn)行判斷,查詢(xún)結(jié)果如果 是許可生成設(shè)備的相關(guān)信息,則繼續(xù)步驟1009;如果是錯(cuò)誤碼或空信息,則繼 續(xù)步驟1014。步驟1009: DRM Agent303根據(jù)許可中的信息獲知該許可為域許可或設(shè)備 許可,并在相應(yīng)的各DomainIDList或DeviceIDList中查找許可綁定的域標(biāo)識(shí)或 設(shè)備標(biāo)識(shí),若查詢(xún)到,則繼續(xù)步驟1010,否則繼續(xù)步驟1014。如果該許可為 設(shè)備許可,而域管理器301僅授權(quán)許可生成設(shè)備302為域分發(fā)許可,則 DeviceIDList的內(nèi)容為空,或者相關(guān)信息不包括DeviceIDList,則DRM Agent303 查詢(xún)不到DeviceIDList或在DeviceIDList中未查詢(xún)到i殳備標(biāo)識(shí)時(shí)繼續(xù)步驟 1014。本實(shí)施例通過(guò)DomainIDList和DeviceIDList控制許可生成設(shè)備302發(fā)布 許可,更加靈活的對(duì)許可生成設(shè)備302進(jìn)行控制,提高了數(shù)字內(nèi)容的安全性。步驟1010: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSCreateRO,并判斷許可的發(fā)布時(shí)間是否在TSCreateRO 內(nèi),若是,則繼續(xù)步驟1011,否則繼續(xù)步驟1014。本實(shí)施例通過(guò)較為準(zhǔn)確的 TSCreateRO控制許可的安裝,保證了數(shù)字內(nèi)容的安全性。步驟1011: DRM Agent303查詢(xún)?cè)S可綁定的標(biāo)識(shí)所在的DomainIDList或 DeviceIDList對(duì)應(yīng)的TSInstallRO,并判斷當(dāng)前的時(shí)間是否在TSInstallRO內(nèi), 若是,則繼續(xù)步驟1012,否則繼續(xù)步驟1014。本實(shí)施例通過(guò)TSInstallRO更靈 活的控制許可的安裝,提高了數(shù)字內(nèi)容的安全性。步驟1012: DRMAgent303根據(jù)許可生成設(shè)備的公鑰驗(yàn)證許可生成設(shè)備的 簽名是否正確,若是,則繼續(xù)步驟1013,否則繼續(xù)步驟1014。步驟1013: DRMAgent303安裝該許可。步驟1014: DRM Agent303拒絕安裝該許可。在步驟1005和1006中,DRM Agent303可以在發(fā)送的請(qǐng)求中攜帶許可綁定的標(biāo)識(shí),域管理器301接收到域標(biāo)識(shí)時(shí),只需向DRMAgent303發(fā)送包含該 域標(biāo)識(shí)的DomainIDList及對(duì)應(yīng)的TSInstallRO和TSCreateRO;如果接收到設(shè)備 標(biāo)識(shí)時(shí),只需向DRM Agent303發(fā)送包含該設(shè)備標(biāo)識(shí)的DeviceIDList及對(duì)應(yīng)的 TSInstallRO和TSCreateRO;并且可以跳過(guò)步驟1009。本實(shí)施例中驗(yàn)證簽名相對(duì)于驗(yàn)證DomainIDList、 DeviceIDList、 TSCreateRO 和TSInstallRO是獨(dú)立的操作,所以判斷本地是否有許可生成設(shè)備的公鑰與請(qǐng) 求獲取相關(guān)信息也是兩個(gè)獨(dú)立的操作。DRM Agent303可以先請(qǐng)求獲取相關(guān)信 息,根據(jù)該相關(guān)信息驗(yàn)證許可,再判斷本地是否有許可生成設(shè)備的公鑰,最后 對(duì)許可的簽名進(jìn)行驗(yàn)證;或者在請(qǐng)求獲取相關(guān)信息后判斷本地是否有許可生成 設(shè)備的公鑰,然后再進(jìn)行各驗(yàn)證操作。步驟1010和1011也是相互獨(dú)立的操作, 執(zhí)行的先后順序也無(wú)嚴(yán)格的規(guī)定。本實(shí)施例中由域管理器301對(duì)許可進(jìn)行驗(yàn)證時(shí)的系統(tǒng)包括域管理器301、 許可生成設(shè)備302和DRM Agent303,參見(jiàn)圖3所示。域管理器301從一個(gè)或多個(gè)許可生成設(shè)備302處接收并保存許可生成設(shè)備 的公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等,自行確定或與各許可生成設(shè)備302協(xié)商后 確定許可生成設(shè)備302的相關(guān)信息,包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO;以及在收到DRM Agent303發(fā)送的安裝許可請(qǐng)求 時(shí)根據(jù)本地的許可生成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,判斷是否允許DRMAgent303安裝許可??梢杂扇斯せ蛴蚬芾砥?01為不同的許可生成設(shè)備302 設(shè)置不同的用于驗(yàn)證許可的相關(guān)信息項(xiàng)(包括公鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO中的一項(xiàng)或多項(xiàng)),并且可以以列表等形式保存。許可生成設(shè)備302向域管理器301發(fā)送公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信 息;接收域管理器301確定并發(fā)送的其它相關(guān)信息(包括DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO),或者自行確定其它相關(guān)信息并發(fā) 送給域管理器301;向DRM Agent303發(fā)送許可,可進(jìn)一步根據(jù)DRM Agent303的請(qǐng)求向其發(fā)送公鑰、證書(shū)鏈和證書(shū)撤銷(xiāo)狀態(tài)等信息。許可生成設(shè)備302根據(jù) 自身的相關(guān)信息生成及分發(fā)許可。請(qǐng)求域管理器301對(duì)許可進(jìn)行驗(yàn)證,詢(xún)問(wèn)是否允許安裝許可,并根據(jù)域管理器 301的返回結(jié)果安裝或拒絕安裝許可。參見(jiàn)圖IIA,本實(shí)施例中域管理器301需要對(duì)許可進(jìn)行驗(yàn)證時(shí)包括接收模 塊401、信息模塊402、存儲(chǔ)模塊403、控制模塊404、發(fā)送模塊405和驗(yàn)證模 塊歡接收模塊401接收許可生成設(shè)備302發(fā)送的許可生成設(shè)備的信息,接收 DRM Agent303發(fā)送的各種請(qǐng)求,包括注冊(cè)請(qǐng)求、加入域請(qǐng)求、安裝許可請(qǐng)求控制模塊404負(fù)責(zé)管理用戶域,與許可生成設(shè)備302的認(rèn)證、控制對(duì)許可 生成設(shè)備302的授權(quán)、注冊(cè)管理和確定各許可生成設(shè)備302對(duì)應(yīng)的用于驗(yàn)證許 可的信息項(xiàng)等,當(dāng)變更對(duì)許可生成設(shè)備302的授權(quán)或?qū)W(wǎng)絡(luò)中增加的許可生成 設(shè)備302進(jìn)行授權(quán)時(shí)觸發(fā)并指示信息模塊進(jìn)行相應(yīng)的操作;在收到DRM Agent303發(fā)送的安裝許可請(qǐng)求時(shí),指示驗(yàn)證模塊406對(duì)許可進(jìn)行驗(yàn)證。信息模塊402根據(jù)控制模塊404的指示自行確定許可生成設(shè)備的相關(guān)信 息,或者通過(guò)接收模塊401和發(fā)送模塊405與許可生成設(shè)備302協(xié)商后確定其 相關(guān)信息,如刪除z〉鑰、變更DomainIDList和DeviceIDList中的標(biāo)識(shí)、變更 TSCreateRO和TSInstallRO的時(shí)限等。存儲(chǔ)模塊403保存接收模塊401接收到的和信息模塊402確定的許可生成 設(shè)備的相關(guān)信息。驗(yàn)證模塊406收到控制模塊404的指示后,根據(jù)存儲(chǔ)模塊403中存儲(chǔ)的許 可生成設(shè)備的相關(guān)信息及安裝許可請(qǐng)求對(duì)DRM Agent303收到的許可進(jìn)行驗(yàn) 證,并將驗(yàn)證結(jié)果通過(guò)發(fā)送模塊405發(fā)送給DRM Agent303 。發(fā)送模塊405在信息模塊402與許可生成設(shè)備302協(xié)商過(guò)程中發(fā)送確定的許可生成設(shè)備的相關(guān)信息或響應(yīng)消息,以及向DRM Agent303發(fā)送驗(yàn)證模塊406 做出的驗(yàn)證結(jié)果。
本實(shí)施例中由域管理器301對(duì)許可進(jìn)行驗(yàn)證時(shí),DRM Agent303包括接收 模塊501、控制模塊502、判斷模塊506、存儲(chǔ)模塊504和發(fā)送模塊505,參見(jiàn) 圖IIB所示。
接收模塊501接收許可生成設(shè)備302或其它DRM Agent303發(fā)送的許可, 接收域管理器301發(fā)送的驗(yàn)證許可的結(jié)果。
控制模塊502生成安裝許可請(qǐng)求等,并指示判斷模塊506對(duì)域管理器301 返回的驗(yàn)證結(jié)果進(jìn)行判斷,當(dāng)通過(guò)驗(yàn)證后安裝該許可,如果未通過(guò)驗(yàn)證則拒絕 安裝該許可。
存儲(chǔ)模塊504存儲(chǔ)許可等。
判斷模塊506判斷域管理器301返回的驗(yàn)證結(jié)果為允許安裝許可的通知還 是錯(cuò)誤碼,并通知控制模塊502進(jìn)行相應(yīng)的操作。
發(fā)送模塊505根據(jù)控制模塊502的指示發(fā)送安裝許可請(qǐng)求等消息。
第七種實(shí)現(xiàn)方式為域管理器301根據(jù)DRM Agent303在接收許可后發(fā)送 的請(qǐng)求及本地存有許可生成設(shè)備的相關(guān)信息(包括/>鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO中的一項(xiàng)或多項(xiàng))對(duì)許可進(jìn)行驗(yàn)證, 具體流程參見(jiàn)圖12所示
步驟1201: DRM Agent303接收許可,該許可可以是從許可生成設(shè)備302 或其它DRMAgent203處接收到的設(shè)備許可或域許可。
步驟1202: DRMAgent303向域管理器301發(fā)送安裝許可請(qǐng)求,請(qǐng)求域管 理器301對(duì)許可進(jìn)行驗(yàn)證,安裝許可請(qǐng)求中包含需要進(jìn)行驗(yàn)證的信息,如許可 生成設(shè)備的標(biāo)識(shí)、許可綁定的標(biāo)識(shí)、許可的發(fā)布時(shí)間和簽名等。
步驟1203:域管理器301在收到安裝許可請(qǐng)求后,根據(jù)本地存儲(chǔ)的許可生 成設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,并向DRMAgent303返回驗(yàn)證結(jié)果。
步驟1204: DRMAgent303對(duì)接收到的驗(yàn)證結(jié)果進(jìn)行判斷,驗(yàn)證結(jié)果如果是允許安裝許可,則繼續(xù)步驟1205;如果是錯(cuò)誤碼,則繼續(xù)步驟1206。 步驟1205: DRMAgent303安裝該許可。 步驟1206: DRMAgent303拒絕安裝該許可。 域管理器301驗(yàn)證許可的具體流程如下,參見(jiàn)圖13所示 步驟A:域管理器301接收DRM Agent303發(fā)送的安裝許可請(qǐng)求。 步驟B:域管理器301根據(jù)本地保存的許可生成設(shè)備的相關(guān)信息,判斷本 地是否存有與請(qǐng)求中攜帶的許可生成設(shè)備標(biāo)識(shí)對(duì)應(yīng)的相關(guān)信息,若有,則根據(jù) 該相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證,繼續(xù)步驟C,否則繼續(xù)步驟K。本實(shí)施例以相關(guān) 信息包括7^鑰、DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO為例 進(jìn)行說(shuō)明。
步驟C:域管理器301根據(jù)許可綁定的標(biāo)識(shí),判斷許可是域許可還是設(shè)備 許可,若是域許可則繼續(xù)步驟D,若是設(shè)備許可則繼續(xù)步驟E。
步驟D:域管理器301在許可生成設(shè)備302對(duì)應(yīng)的DomainIDList中查找域 標(biāo)識(shí)所在的DomainIDList,若查詢(xún)到DomainIDList,則繼續(xù)步驟F,否則繼續(xù) 步驟K。
步驟E:域管理器301在許可生成設(shè)備302對(duì)應(yīng)的DeviceIDList中查找設(shè) 備標(biāo)識(shí)所在的DeviceIDList,若查詢(xún)到DeviceIDList,則繼續(xù)步驟F,否則繼續(xù) 步驟K。
步驟F:域管理器301查找確定的DomainIDList或DeviceIDList對(duì)應(yīng)的 TSCreateRO和TSInstallRO。
步驟G:域管理器301判斷當(dāng)前的時(shí)間是否在TSInstallRO內(nèi),若是,則 繼續(xù)步驟H,否則繼續(xù)步驟K。
步驟H:域管理器301判斷許可的發(fā)布時(shí)間是否在TSCreateRO內(nèi),若是, 則繼續(xù)步驟I,否則繼續(xù)步驟K。
步驟I:域管理器301根據(jù)許可生成設(shè)備的公鑰驗(yàn)證簽名是否正確,若是, 則繼續(xù)步驟J,否則繼續(xù)步驟K。步驟J:域管理器301向DRM Agent303返回響應(yīng)消息,表示允許DRM Agent303安裝許可。
步驟K:域管理器301向DRM Agent303返回4普誤碼,表示不允許DRM Agent303安裝許可。
當(dāng)所有的許可生成設(shè)備對(duì)應(yīng)的用于驗(yàn)證許可的信息項(xiàng)相同時(shí),通過(guò)對(duì) DRM Agent303進(jìn)行配置,使DRM Agent303發(fā)送的安裝許可請(qǐng)求可以只包含 需要驗(yàn)證的信息。例如只需根據(jù)TSCreateRO對(duì)許可進(jìn)行驗(yàn)證,安裝許可請(qǐng)求 可以只包含許可生成設(shè)備的標(biāo)識(shí)和許可的發(fā)布時(shí)間,域管理器301只需要驗(yàn)證 該發(fā)布時(shí)間是否在相應(yīng)的TSCreateRO內(nèi)。
本發(fā)明實(shí)施例提供了分別由DRM Agent303或域管理器301根據(jù)許可生成 設(shè)備的相關(guān)信息對(duì)許可進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)方式,也可以由DRMAgent303和 域管理器301根據(jù)許可生成設(shè)備的相關(guān)信息共同對(duì)許可進(jìn)行驗(yàn)證,例如由DRM Agent303驗(yàn)證許可的發(fā)布時(shí)間是否在TSCreateRO內(nèi),由域管理器301驗(yàn)證當(dāng) 前的時(shí)間是否在TSInstallRO內(nèi)。
本發(fā)明實(shí)施例中,僅根據(jù)域管理器中的一項(xiàng)信息對(duì)許可進(jìn)行驗(yàn)證便可實(shí)現(xiàn) 對(duì)許可安裝的有效控制,避免了 DRM Agent在許可生成設(shè)備中止授權(quán)后仍可 安裝該許可生成設(shè)備發(fā)布的許可的情況,以及限制了在許可生成設(shè)備被中止授 權(quán)后對(duì)來(lái)自其它DRM Agent的許可的安裝,保證且提高了數(shù)字內(nèi)容的安全性。 本發(fā)明實(shí)施例還通過(guò)DomainIDList、 DeviceIDList、 TSCreateRO和TSInstallRO 對(duì)生成、發(fā)布及安裝許可進(jìn)行靈活控制,并且進(jìn)一步提高了數(shù)字內(nèi)容的安全性。
許可生成設(shè)備發(fā)布許可的有效期等信息,減少了網(wǎng)絡(luò)傳輸上的冗余,并且提高 了網(wǎng)絡(luò)的安全性。而且,其它DRM Agent在發(fā)送許可時(shí),不再需要計(jì)算并傳 輸MAC,節(jié)省了設(shè)備及網(wǎng)絡(luò)資源。
顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍。這樣,倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1、一種驗(yàn)證許可的方法,其特征在于,包括以下步驟數(shù)字版權(quán)管理終端接收許可;根據(jù)域管理器中生成或?qū)胨鲈S可的許可生成設(shè)備的相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并且,在通過(guò)驗(yàn)證后數(shù)字版權(quán)管理終端安裝所述許可。
2、 如權(quán)利要求1所述的驗(yàn)證許可的方法,其特征在于,所述數(shù)字版權(quán)管 理終端在接收所述許可前從域管理器處獲取所述相關(guān)信息,并由該數(shù)字版權(quán)管 理終端進(jìn)行驗(yàn)證;或數(shù)字版權(quán)管理終端在接收所述許可后通過(guò)發(fā)送請(qǐng)求消息從域管理器處獲 取所述相關(guān)信息,并驗(yàn)證許可。
3、 如權(quán)利要求2所述的驗(yàn)證許可的方法,其特征在于,數(shù)字版權(quán)管理終 端在接收所述許可前從域管理器處獲取所述相關(guān)信息具體包括數(shù)字版權(quán)管理終端主動(dòng)請(qǐng)求域管理器發(fā)送所述相關(guān)信息;或者 數(shù)字版權(quán)管理終端在收到域管理器發(fā)送的觸發(fā)器后向域管理器發(fā)送請(qǐng)求, 以從域管理器獲得所述相關(guān)信息;或者域管理器主動(dòng)向數(shù)字版權(quán)管理終端發(fā)送所述相關(guān)信息。
4、 如權(quán)利要求3所述的驗(yàn)證許可的方法,其特征在于,數(shù)字版權(quán)管理終 端發(fā)送的請(qǐng)求包括在域管理器上注冊(cè)時(shí)發(fā)送的注冊(cè)請(qǐng)求、加入域時(shí)發(fā)送的加入 域請(qǐng)求和用于獲取所述許可生成設(shè)備的相關(guān)信息的請(qǐng)求中的一個(gè)或多個(gè);相應(yīng) 的,所述觸發(fā)器包括注冊(cè)觸發(fā)器、加入域觸發(fā)器和觸發(fā)數(shù)字版權(quán)管理終端獲取 所述許可生成設(shè)備的相關(guān)信息的觸發(fā)器中的一個(gè)或多個(gè)。
5、 如權(quán)利要求1所述的驗(yàn)證許可的方法,其特征在于,數(shù)字版權(quán)管理終 端請(qǐng)求域管理器對(duì)所述許可進(jìn)行驗(yàn)證并將需要驗(yàn)證的信息發(fā)送給域管理器,以 及在收到域管理器發(fā)送的所述許可通過(guò)驗(yàn)證的通知時(shí)安裝所述許可。
6、 如權(quán)利要求1至5中任一項(xiàng)所述的驗(yàn)證許可的方法,其特征在于,所 述相關(guān)信息包括許可生成設(shè)備的公鑰/證書(shū)、用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表、用于記錄設(shè)備標(biāo)識(shí)的設(shè)備標(biāo)識(shí)列表、用于控制許可生成設(shè)備發(fā)布許可的第一有效 期和用于控制安裝許可生成設(shè)備生成的許可的第二有效期中的一項(xiàng)或多項(xiàng)。
7、 如權(quán)利要求6所述的驗(yàn)證許可的方法,其特征在于,域管理器或數(shù)字標(biāo)識(shí)后,進(jìn)一步根據(jù)該域標(biāo)識(shí)列表或設(shè)備標(biāo)識(shí)列表對(duì)應(yīng)的所述第 一有效期和所 述第二有效期驗(yàn)證許可。
8、 如權(quán)利要求1至5中任一項(xiàng)所述的驗(yàn)證許可的方法,其特征在于,所 述相關(guān)信息至少包含用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表、用于記錄設(shè)備標(biāo)識(shí)的設(shè)備 標(biāo)識(shí)列表、用于控制許可生成設(shè)備發(fā)布許可的第一有效期和用于控制安裝許可 生成設(shè)備生成的許可的第二有效期中的一項(xiàng);數(shù)字版權(quán)管理終端在需要根據(jù)所 述許可生成設(shè)備的公鑰驗(yàn)證許可時(shí),判斷本地是否存有所述許可生成設(shè)備的公 鑰,以及在確定本地未存有所述許可生成設(shè)備的公鑰時(shí),進(jìn)一步根據(jù)從所述許 可生成設(shè)備、其它數(shù)字版權(quán)管理終端或證書(shū)認(rèn)證中心處獲得所述許可生成設(shè)備 的公鑰并驗(yàn)證許可。
9、 如權(quán)利要求1至5中任一項(xiàng)所述的驗(yàn)證許可的方法,其特征在于,根 據(jù)所述相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證的步驟具體包括在域管理器通過(guò)所述許可生成設(shè)備的公鑰控制所述許可生成設(shè)備的授權(quán) 情況下,根據(jù)所述許可生成設(shè)備的公鑰對(duì)所述許可中的簽名進(jìn)行驗(yàn)證,并在確 定所述相關(guān)信息包含所述許可生成設(shè)備的公鑰且根據(jù)該公鑰驗(yàn)證簽名正確時(shí) 確定此項(xiàng)-驗(yàn)i正通過(guò);在域管理器未通過(guò)所述許可生成設(shè)備的公鑰控制所述許可生成設(shè)備的授 權(quán)情況下,當(dāng)所述相關(guān)信息包含所述許可生成設(shè)備的公鑰時(shí),根據(jù)所述許可生 成設(shè)備的公鑰對(duì)所述許可中的簽名進(jìn)行驗(yàn)證,并在驗(yàn)證簽名正確時(shí)確定此項(xiàng)驗(yàn) 證通過(guò);當(dāng)所述相關(guān)信息包含允許許可生成設(shè)備發(fā)布許可的第一有效期時(shí),根據(jù)所 述第一有效期對(duì)所述許可的發(fā)布時(shí)間進(jìn)行驗(yàn)證,并在確定該發(fā)布時(shí)間在所述第一有效期內(nèi)時(shí)確定此項(xiàng)驗(yàn)證通過(guò);當(dāng)所述相關(guān)信息包含允許安裝許可生成設(shè)備生成的許可的第二有效期時(shí), 根據(jù)所述第二有效期對(duì)驗(yàn)證所述許可時(shí)的當(dāng)前時(shí)間進(jìn)行驗(yàn)證,并在確定該當(dāng)前 時(shí)間在所述第二有效期內(nèi)時(shí)確定此項(xiàng)驗(yàn)證通過(guò);當(dāng)所述許可為域許可、所述相關(guān)信息包含用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表且 該域標(biāo)識(shí)列表表示允許許可生成設(shè)備為記錄的域標(biāo)識(shí)所對(duì)應(yīng)的域生成或?qū)?許可時(shí),根據(jù)所述域標(biāo)識(shí)列表對(duì)所述許可綁定的標(biāo)識(shí)進(jìn)行驗(yàn)證,并在所述域標(biāo) 識(shí)列表中查詢(xún)到所述許可綁定的標(biāo)識(shí)時(shí)確定此項(xiàng)驗(yàn)證通過(guò);當(dāng)所述許可為設(shè)備許可、所述相關(guān)信息包含用于記錄設(shè)備標(biāo)識(shí)的設(shè)備標(biāo)識(shí) 列表且該域標(biāo)識(shí)列表表示允許許可生成設(shè)備為記錄的設(shè)備標(biāo)識(shí)所對(duì)應(yīng)的設(shè)備 生成或?qū)朐S可時(shí),根據(jù)所述設(shè)備標(biāo)識(shí)列表對(duì)所述許可綁定的標(biāo)識(shí)進(jìn)行驗(yàn)證, 并在所述設(shè)備標(biāo)識(shí)列表中查詢(xún)到所述許可綁定的標(biāo)識(shí)時(shí)確定此項(xiàng)驗(yàn)證通過(guò)。
10、 如權(quán)利要求9所述的驗(yàn)證許可的方法,其特征在于,所述簽名包括所 述許可生成設(shè)備對(duì)所述許可的權(quán)限的簽名,或者,包括所述許可生成設(shè)備對(duì)所 述許可的權(quán)限的簽名和對(duì)所述許可的發(fā)布時(shí)間的簽名。
11、 一種域管理器,其特征在于,包括存儲(chǔ)模塊,用于存儲(chǔ)生成或?qū)朐S可的許可生成設(shè)備的相關(guān)信息; 接收模塊,用于接收驗(yàn)證許可的請(qǐng)求消息,所述請(qǐng)求消息包括需要驗(yàn)證的 信息;驗(yàn)證模塊,用于根據(jù)所述請(qǐng)求消息、及所述存儲(chǔ)模塊中生成或?qū)胨鲈S 可的許可生成設(shè)備的相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)時(shí)生成表示 允許安裝許可的驗(yàn)證結(jié)果;發(fā)送模塊,用于向所述數(shù)字版權(quán)管理終端發(fā)送所述-瞼證結(jié)果。
12、 如權(quán)利要求11所述的域管理器,其特征在于,還包括 信息模塊,用于在生成或?qū)胨鲈S可的許可生成設(shè)備的授權(quán)發(fā)生變化時(shí),確定該許可生成設(shè)備的相關(guān)信息,或者通過(guò)所述接收模塊和所述發(fā)送模塊與該許可生成設(shè)備協(xié)商后確定其相關(guān)信息,并將確定的相關(guān)信息保存在所述存儲(chǔ)模塊;其中,所述相關(guān)信息包括公鑰/證書(shū)、用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表、 用于記錄設(shè)備標(biāo)識(shí)的設(shè)備標(biāo)識(shí)列表、用于控制許可生成設(shè)備發(fā)布許可的有效期 和用于控制安裝許可生成i殳備生成的許可的有效期的一項(xiàng)或多項(xiàng)。
13、 一種數(shù)字版權(quán)管理終端,其特征在于,包括接收模塊,用于接收許可,以及接收域管理器發(fā)送的生成或?qū)胨鲈S可 的許可生成設(shè)備的相關(guān)信息;控制模塊,用于在收到許可時(shí)指示驗(yàn)證模塊對(duì)所述許可進(jìn)行驗(yàn)證,并根據(jù) 所述驗(yàn)證模塊做出的驗(yàn)證結(jié)果進(jìn)行相應(yīng)的操作;驗(yàn)證模塊,用于根據(jù)所述相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后 生成表示允許安裝許可的驗(yàn)證結(jié)果。
14、 如權(quán)利要求13所述的數(shù)字版權(quán)管理終端,其特征在于,所述相關(guān)信 息包括許可生成設(shè)備的公鑰/證書(shū)、用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表、用于記錄設(shè) 備標(biāo)識(shí)的設(shè)備標(biāo)識(shí)列表、用于控制許可生成設(shè)備發(fā)布許可的有效期和用于控制 安裝許可生成設(shè)備生成的許可的有效期中的一項(xiàng)或多項(xiàng)。
15、 一種數(shù)字版權(quán)管理終端,其特征在于,包括 接收模塊,用于接收許可;發(fā)送模塊,用于向外部設(shè)備發(fā)送消息;控制模塊,用于在收到所述許可時(shí)指示所述發(fā)送模塊向域管理器發(fā)送用于 驗(yàn)證所述許可的請(qǐng)求,該請(qǐng)求包括需要驗(yàn)證的信息;判斷模塊,用于判斷所述接收模塊接收到的域管理器返回的驗(yàn)證結(jié)果是否 為允許安裝所述許可,并通知所述控制模塊進(jìn)行相應(yīng)的操作。
16、 一種數(shù)字版權(quán)管理系統(tǒng),其特征在于,包括域管理器,用于在變更對(duì)用于生成或?qū)朐S可的許可生成設(shè)備的授權(quán)或?qū)?增加的許可生成設(shè)備授權(quán)時(shí),確定并保存該許可生成設(shè)備的相關(guān)信息;數(shù)字版權(quán)管理終端,用于接收許可,并根據(jù)從所述域管理器獲得的生成或?qū)朐撛S可的許可生成設(shè)備的相關(guān)信息對(duì)該許可進(jìn)行驗(yàn)證,以及在通過(guò)驗(yàn)證后 安裝該許可。
17、 如權(quán)利要求16所述的數(shù)字版權(quán)管理系統(tǒng),其特征在于,所述相關(guān)信 息包括許可生成設(shè)備的公鑰/證書(shū)、用于記錄域標(biāo)識(shí)的域標(biāo)識(shí)列表、用于記錄設(shè) 備標(biāo)識(shí)的設(shè)備標(biāo)識(shí)列表、用于控制許可生成設(shè)備發(fā)布許可的有效期和用于控制 安裝許可生成設(shè)備生成的許可的有效期中的一項(xiàng)或多項(xiàng)。
18、 一種數(shù)字版權(quán)管理系統(tǒng),其特征在于,包括數(shù)字版權(quán)管理終端,用于接收許可,并發(fā)送用于驗(yàn)證該許可的請(qǐng)求,以及 根據(jù)接收到的發(fā)〖正結(jié)果進(jìn)行相應(yīng)的操作;其中,所述請(qǐng)求包括需要驗(yàn)證的信息;域管理器,用于根據(jù)所述數(shù)據(jù)版權(quán)管理終端的請(qǐng)求及本地保存的生成或?qū)?入所述許可的許可生成設(shè)備的相關(guān)信息對(duì)該許可進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后生 成并向所述數(shù)字版權(quán)管理終端發(fā)送允許安裝許可的驗(yàn)證結(jié)果。
全文摘要
本發(fā)明公開(kāi)了一種驗(yàn)證許可的方法,用于保證及提高網(wǎng)絡(luò)安全性。所述方法為數(shù)字版權(quán)管理終端接收許可;根據(jù)域管理器中生成或?qū)胨鲈S可的許可生成設(shè)備的相關(guān)信息對(duì)所述許可進(jìn)行驗(yàn)證,并且,在通過(guò)驗(yàn)證后數(shù)字版權(quán)管理終端安裝所述許可。本發(fā)明還公開(kāi)了多種域管理器、數(shù)字版權(quán)管理終端和系統(tǒng)。
文檔編號(hào)G06F21/00GK101315654SQ200710105898
公開(kāi)日2008年12月3日 申請(qǐng)日期2007年6月1日 優(yōu)先權(quán)日2007年6月1日
發(fā)明者沛 黨, 馮雯潔, 周志鵬, 周皓雋, 張仁宙, 陳大港, 晨 黃 申請(qǐng)人:華為技術(shù)有限公司