專利名稱:基于標識的數字媒體管理方法及系統的制作方法
技術領域:
本發(fā)明涉及數字信息網絡技術領域���,尤其涉及一種基于標識的數字媒體管理方法及系統�����。
背景技術:
數字媒體技術具有傳輸質量高�����、范圍廣���、用戶端多�����、速度快等優(yōu)勢�,可以在互聯網����、有線電視網、甚至是無線網絡進行傳輸���,可以預見,數字媒體將逐漸取代傳統的媒體�,擁有非常廣闊的市場前景�����。數字媒體作為一種新興的媒體應用模式���,其分發(fā)、傳輸����、管理和保護的方法與傳統媒體相比,需要解決以下問題
(I)���、如何實現條件接收�����,也就是只有合法用戶端才能接收數字媒體內容���,非合法用戶不能接收。這里的合法用戶端是指已經經過數字媒體相關管理結構認定的具有數字媒體播放許可的用戶端��。(2)�����、如何防止非法入侵者通過控制互聯網等有線方式,或者衛(wèi)星等傳送網絡插入非法的數字媒體����。(3)、目前數字媒體的應用還沒有形成規(guī)?��;?����,似乎很多手段都能解決數字媒體的在分發(fā)�、傳輸中的管理��,但是普遍不具有對大規(guī)模數字媒體網絡的管理能力�。在規(guī)模化的數字媒體應用網絡中�,將存在不同服務提供商建立的不同的數字媒體提供服務器。從長遠來看�,對于監(jiān)管機構來說,建立一個第三方數字媒體管理機構對各個服務提供商和用戶端進行統一的認證和管理���,是必然的趨勢�。
發(fā)明內容
本發(fā)明實施例提出一種基于標識的數字媒體管理方法及系統�,對媒體提供服務器和用戶端進行統一認證,實現媒體提供服務器和用戶端間的數字媒體資源的保密傳輸��。本發(fā)明實施例提供的基于標識的數字媒體管理方法��,包括
在用戶端接入媒體提供服務器的過程中�����,鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識���,獲取所述用戶端和所述媒體提供服務器的證書����,對所述用戶端和所述媒體提供服務器的身份進行驗證�����,且在所述用戶端和所述媒體提供服務器的身份驗證通過后�����,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰��;
所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰,進行數字媒體資源的保密傳輸��。本發(fā)明實施例提供的數字媒體系統���,包括用戶端�、媒體提供服務器和鑒別服務器����;
在所述用戶端接入所述媒體提供服務器的過程中,所述鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識����,獲取所述用戶端和所述媒體提供服務器的證書,對所述用戶端和所述媒體提供服務器的身份進行驗證�,且在所述用戶端和所述媒體提供服務器的身份驗證通過后,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰����;所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰,進行數字媒體資源的保密傳輸�����。本發(fā)明實施例提供的基于標識的數字媒體管理方法及系統���,適用于大規(guī)模數字媒體網絡���,鑒別服務器為接入數字媒體網絡 中的每個用戶端和每個媒體提供服務器頒發(fā)證書�����,并保存證書、注冊信息和身份標識的對應關系���。在用戶端接入媒體提供服務器的過程中�,鑒別服務器根據用戶端和媒體提供服務器的身份標識����,獲取用戶端和媒體提供服務器的證書,對媒體提供服務器和用戶端進行統一認證���,使用戶端能夠以同一身份標識訪問不同媒體提供服務器�,為用戶帶來很大的便利����;而且,用戶端和媒體提供服務器通過鑒別服務器驗證雙方的身份標識后�����,媒體提供服務器向用戶端分發(fā)消息鑒別密鑰和業(yè)務密鑰,用于進行視頻數據的保密傳輸�,避免了網絡非法入侵者截獲數據并使用。此外��,在用戶端接入媒體提供服務器的過程中���,使用身份標識代替證書描述各個角色的身份信息����,減少了接入過程中傳遞消息的報文長度���,可以降低通信負荷��,極大地提高通信效率���。
圖I是本發(fā)明提供的基于標識的數字媒體管理方法的一個實施例的流程示意圖; 圖2是本發(fā)明提供的數字媒體系統的一個實施例的結構示意圖���。
具體實施例方式下面將結合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術方案進行清楚、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例���?�;诒景l(fā)明中的實施例���,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍。參見圖1����,是本發(fā)明提供的基于標識的數字媒體管理方法的一個實施例的流程示意圖。本實施例提供的基于標識的數字媒體管理方法��,包括
在用戶端接入媒體提供服務器的過程中����,鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識��,獲取所述用戶端和所述媒體提供服務器的證書�����,對所述用戶端和所述媒體提供服務器的身份進行驗證����,且在所述用戶端和所述媒體提供服務器的身份驗證通過后��,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰�����;
所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰����,進行數字媒體資源的保密傳輸。其中���,在所述用戶端接入所述媒體提供服務器之前��,還包括
所述鑒別服務器對所述用戶端和所述媒體提供服務器進行注冊�����,發(fā)放證書和對應的私鑰����。所述鑒別服務器綁定并維護所述用戶端的證書、注冊信息和身份標識的對應關系��,以及所述媒體提供服務器的證書��、注冊信息和身份標識的對應關系���。所述鑒別服務器在本地保存所述鑒別服務器的證書、對應的私鑰和身份標識�,所述用戶端的證書、注冊信息和身份標識��,以及所述媒體提供服務器的證書�����、注冊信息和身份標識����。所述媒體提供服務器在本地保存所述媒體提供服務器的證書�����、對應的私鑰和身份標識����,所述鑒別服務器的證書和身份標識�����,以及所述用戶端的證書和身份標識���。所述用戶端在本地保存所述用戶端的證書����、對應的私鑰和身份標識�����,所述鑒別服務器的證書和身份標識�,以及所述媒體提供服務器的證書和身份標識。具體實施時�,當一個媒體提供服務器接入到數字媒體系統中時,需要向鑒別服務器申請頒發(fā)一個媒體提供服務器證書和對應的私鑰,并綁定身份標識�。此外,媒體提供服務器在本地緩存鑒別服務器證書及其身份標識�。同理,當用戶端接入到數字媒體系統中時����,同
樣需要鑒別服務器頒發(fā)一個用戶端證書和對應的私鑰,并綁定身份標識����。此外,用戶端在本地緩存鑒別服務器證書及其身份標識����。其中,用戶端的身份標識��、媒體提供服務器的身份標識和鑒別服務器的身份標識是唯一的�,分別用于描述用戶端���、媒體提供服務器和鑒別服務器的身份���。所述身份標識可以是從證書中提取出的證書持有者、證書頒發(fā)者和證書序列號等信息,或者是對上述信息進行組合后獲得的信息���,或者其他可以描述其唯一性的信息��。如圖I所示��,在用戶端接入媒體提供服務器的過程中����,所述用戶端和所述媒體提供服務器通過鑒別服務器驗證雙方的身份標識�����,并獲得消息鑒別密鑰��,具體包括以下步驟SI S6
SI�����、所述用戶端接入媒體提供服務器時���,構建接入請求消息��,使用用戶端證書私鑰對所述接入請求消息進行簽名后���,發(fā)送給媒體提供服務器���;所述接入請求消息包含用戶端身份標識和第一隨機數。具體的�,用戶端接入數字媒體系統時,產生一個用戶端隨機數����,即第一隨機數。然后根據用戶端信息�、用戶端證書公鑰(從證書中提取)、用戶端身份標識����、第一隨機數等字段構建接入請求消息,并使用用戶端證書私鑰對所述接入請求消息進行簽名后����,發(fā)送給媒體提供服務器。S2�、所述媒體提供服務器接收所述接入請求消息,使用用戶端證書公鑰驗證所述接入請求消息的簽名的有效性���;在簽名驗證通過后����,保存所述接入請求消息中的用戶端身份標識和第一隨機數����,且構建鑒別請求消息,使用媒體提供服務器證書私鑰對所述鑒別請求消息進行簽名后��,發(fā)送給鑒別服務器���;所述鑒別請求消息包含用戶端身份標識���、第一隨機數、媒體提供服務器身份標識和第二隨機數���。具體的�,媒體提供服務器接收到所述接入請求消息后�,進行如下處理
5201、從媒體提供服務器的本地存儲器中讀取用戶端證書�����,使用用戶端證書公鑰驗證所述接入請求消息的簽名的有效性���,若簽名驗證失敗����,則接入過程失敗�;若簽名驗證通過,則執(zhí)行S202 S204 ���;
5202���、根據所述接入請求消息中的用戶端信息,確定用戶端的業(yè)務權限和服務規(guī)則���;
5203�����、確定用戶端相關信息有效后���,在媒體提供服務器本地保存所述接入請求消息中的用戶端身份標識和第一隨機數;并且��,產生媒體提供服務器隨機數�,即第二隨機數��,在媒體提供服務器本地保存所述第二隨機數;
5204����、根據用戶端身份標識、媒體提供服務器身份標識����、第一隨機數和第二隨機數構建鑒別請求消息,并使用媒體提供服務器證書私鑰對所述鑒別請求消息進行簽名后����,發(fā)送給鑒別服務器。S3�����、所述鑒別服務器接收所述鑒別請求消息�����,根據所述鑒別請求消息中的用戶端身份標識和媒體提供服務 器身份標識���,獲取對應的用戶端證書和媒體提供服務器證書�;使用所述媒體提供服務器證書公鑰驗證所述鑒別請求消息的簽名的有效性,以及驗證所述用戶端證書和所述媒體提供服務器證書的有效性�,獲得身份驗證結果;構建鑒別響應消息�,使用鑒別服務器證書私鑰對所述鑒別響應消息進行簽名后,發(fā)送給所述媒體提供服務器����;所述鑒別響應消息包含身份驗證結果、第一隨機數����、第二隨機數、用戶端身份標識和媒體提供服務器身份標識����。具體的,鑒別服務器接收到所述鑒別請求消息后����,進行如下處理
5301、根據所述鑒別請求消息中的用戶端身份標識和媒體提供服務器身份標識�����,查詢到與所述身份標識綁定的證書信息,進而從鑒別服務器的本地存儲器中讀取對應的用戶端證書和媒體提供服務器證書�����,并執(zhí)行S302飛303 ;若無法查詢或無法獲取證書����,則接入過程失?����?;
5302、提取媒體提供服務器證書公鑰���,使用所述媒體提供服務器證書公鑰驗證所述鑒別請求消息的簽名的有效性��,并驗證媒體提供服務器證書和用戶端證書的有效期���、吊銷信息和策略等信息,判斷證書的有效性��,獲得媒體提供服務器和用戶端的身份驗證結果�����;
5303、根據身份驗證結果��、第一隨機數�����、第二隨機數�、用戶端身份標識和媒體提供服務器身份標識構建鑒別響應消息,使用鑒別服務器證書私鑰對所述鑒別響應消息進行簽名后����,發(fā)送給所述媒體提供服務器。S4��、所述媒體提供服務器接收所述鑒別響應消息�����,使用鑒別服務器證書公鑰驗證所述鑒別響應消息的簽名的有效性�����;在簽名驗證通過后�,判斷所述鑒別響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效�,則接入失敗��;若每一項都有效�,則產生主密鑰,使用用戶端證書公鑰對所主密鑰進行加密����,獲得主密鑰密文,且構建接入響應消息���,使用媒體提供服務器證書私鑰對所述接入響應消息進行簽名后,發(fā)送給所述用戶端���;所述接入響應消息包含所述鑒別響應消息�、第一隨機數�、第二隨機數、用戶端身份標識�、媒體提供服務器身份標識和主密鑰密文。具體的���,媒體提供服務器接收到所述鑒別響應消息后��,進行如下處理
5401��、從媒體提供服務器的本地存儲器中讀取鑒別服務器證書�,使用鑒別服務器證書公鑰驗證所述鑒別響應消息的簽名,判斷簽名是否有效��;
5402���、根據所述鑒別響應消息中的身份驗證結果�����,判斷所述媒體提供服務器和所述用戶端的身份是否有效���;
5403、從媒體提供服務器的本地存儲器中讀取第一隨機數和第二隨機數�,分別對應地與所述鑒別響應消息中的第一隨機數和第二隨機數進行比較,判斷隨機數是否一致���;
5404��、從媒體提供服務器的本地存儲器中讀取媒體提供服務器身份標識和用戶端身份標識��,分別對應地與所述鑒別響應消息中的媒體提供服務器身份標識和用戶端身份標識進行比較��,判斷身份標識是否一致�;
如果上述S401 S404任意一項的判斷結果為否,則接入失?���。蝗绻鲜鯯401 S404的判斷結果全部為是���,則執(zhí)行S405 S406 �����;
5405��、實時產生或者預先產生主密鑰(例如隨機數主密鑰),并保存所述主密鑰�����;使用用戶端證書公鑰對所述主密鑰進行加密���,獲得主密鑰密文��;同時將所述主密鑰綁定到主密鑰信息中��;其中����,所述主密鑰信息除了包含主密鑰,還包含主密鑰的索引等信息����;
S406、根據所述鑒別響應消息�����、第一隨機數�����、第二隨機數�����、用戶端身份標識����、媒體提供服務器身份標識、主密鑰密文和主密鑰信息構建接入響應消息����,使用媒體提供服務器證書私鑰對所述接入響應消息進行簽名后�����,發(fā)送給所述用戶端���。S5、所述用戶端接收所述接入響應消息��,使用媒體提供服務器證書公鑰驗證所述接入響應消息的簽名的有效性�,使用鑒別服務器證書公鑰驗證所述接入響應消息中的鑒別響應消息的簽名;在簽名驗證通過后�,判斷所述接入響應消息中的身份驗證結果、隨機數和身份標識是否有效��,若任意一項無效�,則接入失敗���;若每一項都有效,則使用用戶端證書私鑰解密所述接入響應消息中的主密鑰密文�,獲得主密鑰;根據所述主密鑰�、第一隨機數和第二隨機數計算出消息鑒別密鑰�、業(yè)務密鑰和消息鑒別碼���,且構建接入確認消息���,發(fā)送給所述媒體提供服務器;所述接入確認消息包含第一隨機數�、第二隨機數、用戶端身份標識���、媒體提供服務器身份標識����、主密鑰和消息鑒別碼�。
具體的,用戶端接收到所述接入響應消息后���,進行如下處理
5501�����、從用戶端的本地存儲器中讀取媒體提供服務器證書和鑒別服務器證書�,使用媒體提供服務器證書公鑰驗證所述接入響應消息的簽名��,使用鑒別服務器證書公鑰驗證所述接入響應消息中的鑒別響應消息的簽名,判斷簽名是否有效�;
5502、根據所述鑒別響應消息中的身份驗證結果���,判斷所述媒體提供服務器和所述用戶端的身份驗證是否有效�;
5503��、從用戶端的本地存儲器中讀取第一隨機數和第二隨機數�,分別對應地與所述接入響應消息中的第一隨機數和第二隨機數進行比較,判斷隨機數是否一致�;
5504、從用戶端的本地存儲器中讀取媒體提供服務器身份標識和用戶端身份標識�,分別對應地與所述接入響應消息中的媒體提供服務器身份標識和用戶端身份標識進行比較,判斷身份標識是否一致�;
如果上述S501 S504任意一項的判斷結果為否,則接入失?���。蝗绻鲜鯯501 S504的判斷結果全部為是����,則執(zhí)行S505 S507 ����;
5505�����、從用戶端的本地存儲器中讀取用戶端證書私鑰�,使用所述用戶端證書私鑰解密所述接入響應消息中的主密鑰密文����,獲得主密鑰,并在本地保存所述主密鑰以及所述接入響應消息中的主密鑰信息��;
5506���、根據所述主密鑰�、第一隨機數和第二隨機數推導出消息鑒別密鑰和業(yè)務密鑰�����,并在本地保存所述消息鑒別密鑰和業(yè)務密鑰�����;
5507、根據第一隨機數�、第二隨機數、用戶端身份標識��、媒體提供服務器身份標識和主密鑰信息構建接入確認消息��,使用消息鑒別密鑰計算得到消息鑒別碼���,將該消息鑒別碼附在所述接入確認消息中�����,然后發(fā)送給所述媒體提供服務器��。S6��、所述媒體提供服務器接收所述接入確認消息�,根據本地保存的主密鑰���、第一隨機數和第二隨機數計算消息鑒別密鑰�����、業(yè)務密鑰和消息鑒別碼�����,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時����,判斷所述接入確認消息中的隨機數�����、身份標識和主密鑰是否有效��,若任意一項無效���,則接入失?���?����;若每一項都有效���,則保存所述消息鑒別密鑰和業(yè)務密鑰�����,并打開數字媒體資源平臺��。
具體的�����,媒體提供服務器接收到所述接入確認消息后��,進行如下處理
5601�、根據媒體提供服務器本地保存的主密鑰、第一隨機數和第二隨機數計算消息鑒別密鑰和業(yè)務密鑰���,并根據所述消息鑒別密鑰計算出消息鑒別碼�,判斷計算出來的消息鑒別碼與所述接入確認消息的消息鑒別碼是否相同�����;若相同��,則保存所述消息鑒別密鑰�����,并執(zhí)行S602 S604 ;若不同,則接入失?��?��;
5602、從媒體提供服務器的本地存儲器中讀取第一隨機數和第二隨機數��,分別對應地與所述接入確認消息中的第一隨機數和第二隨機數進行比較�,判斷隨機數是否一致�;
5603、從媒體提供服務器的本地存儲器中讀取媒體提供服務器身份標識和用戶端身份標識�,分別對應地與所述接入確認消息中的媒體提供服務器身份標識和用戶端身份標識進行比較,判斷身份標識是否一致�����;
5604���、從媒體提供服務器的本地存儲器中讀取主密鑰信息����,與所述接入確認消息中的主密鑰信息進行比較�,判斷是否一致�����;
如果上述S602 S604任意一項的判斷結果為否��,則接入失??����;如果上述S602 S604的判斷結果全部為是�����,則執(zhí)行S605;
5605�、保存所述消息鑒別密鑰和業(yè)務密鑰,并打開數字媒體資源平臺���。至此���,用戶端成功接入媒體提供服務器,完成了基于身份標識的雙向身份鑒別���,同時完成用戶端和媒體提供服務器間密鑰的同步��。用戶端和媒體提供服務器執(zhí)行上述步驟Sf S6��,完成相互的身份驗證和密鑰同步��,且媒體提供服務器打開數字媒體資源平臺后�����,用戶端和媒體提供服務器之間即可進行數字媒體資源的保密傳輸����。如圖I所示��,用戶端和媒體提供服務器之間的數據傳輸�,具體包括以下步驟S7 SlO
S7、所述用戶端根據業(yè)務需求進行數字媒體資源的選擇�,生成包含有用戶端身份標識和數字媒體資源信息的業(yè)務請求消息;使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息進行加密��,獲得業(yè)務請求消息密文�����;使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算�,獲得消息驗證碼�����;將所述消息驗證碼綁定在所述業(yè)務請求消息密文中���,并發(fā)送給所述媒體提供服務器。其中���,所述數字媒體資源信息用于表示所述用戶端需要選擇的數字媒體資源��。S8�、所述媒體提供服務器接收所述業(yè)務請求消息密文��,使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算���,獲得消息驗證碼�;判斷本地計算出的消息驗證碼和所述業(yè)務請求消息密文中綁定的消息驗證碼是否相同��,若相同�,則使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息密文進行解密,獲得用戶端身份標識和數字媒體資源信息����;根據所述業(yè)務請求消息中的用戶端身份標識�,判斷所述用戶端是否通過身份驗證��。S9���、所述媒體提供服務器在所述用戶端通過身份驗證時�����,根據所述數字媒體資源信息從存儲器中讀取對應的數字媒體資源�,且在所述數字媒體資源中綁定媒體提供服務器標識����,使用業(yè)務密鑰對設有身份標識的數字媒體資源進行加密,生成數字媒體資源數據包�����,并發(fā)送給所述用戶端���;若所述用戶端未通過身份驗證,則不向所述用戶端提供數字媒體資源���。S10�����、所述用戶端接收所述數字媒體資源數據包����,使用本地保存的業(yè)務密鑰對所述數字媒體資源包進行解密,獲得數字媒體資源和媒體提供服務器身份標識�����;根據所述媒體提供服務器身份標識判斷所述媒體提供服務器是否通過身份驗證���,若通過身份驗證����,則使用所述數字媒體資源�����;若未通過身份驗證���,則丟棄所述數字媒體資源�����。此外�,所述媒體提供服務器還保存數字媒體資源,以及接入過程中的隨機數���、主密鑰��、消息鑒別密鑰和業(yè)務密鑰����。所述用戶端還保存接收到的數字媒體資源��,以及接入過程中的隨機數�、主密鑰、消息鑒別密鑰和業(yè)務密鑰���。本發(fā)明實施例提供的基于標識的數字媒體管理方法�,適用于大規(guī)模數字媒體網絡����,鑒別服務器為接入數字媒體網絡中的每個用戶端和每個 媒體提供服務器頒發(fā)證書�����,并保存證書、注冊信息和身份標識的對應關系�。在用戶端接入媒體提供服務器的過程中,鑒別服務器根據用戶端和媒體提供服務器的身份標識��,獲取用戶端和媒體提供服務器的證書��,對媒體提供服務器和用戶端進行統一認證���,使用戶端能夠以同一身份標識訪問不同媒體提供服務器����,為用戶帶來很大的便利����;而且,用戶端和媒體提供服務器通過鑒別服務器驗證雙方的身份標識后�,媒體提供服務器向用戶端分發(fā)消息鑒別密鑰和業(yè)務密鑰,用于進行視頻數據的保密傳輸�����,避免了網絡非法入侵者截獲數據并使用�����。此外,在用戶端接入媒體提供服務器的過程中�����,使用身份標識代替證書描述各個角色的身份信息�,減少了接入過程中傳遞消息的報文長度,可以降低通信負荷��,極大地提高通信效率��。本發(fā)明實施例還提供一種數字媒體系統�����,能夠實現上述的基于標識的數字媒體管理方法的所有處理流程����。參見圖2,是本發(fā)明提供的數字媒體系統的一個實施例的結構示意圖��。本實施例提供的數字媒體系統��,包括用戶端3����、媒體提供服務器2和鑒別服務器
I;
在用戶端3接入所述媒體提供服務器2的過程中,鑒別服務器I根據用戶端3和媒體提供服務器2的身份標識�����,獲取用戶端3和媒體提供服務器2的證書�,對用戶端3和媒體提供服務器2的身份進行驗證,且在用戶端3和媒體提供服務器2的身份驗證通過后�����,用戶端3和媒體提供服務器2協商獲得消息鑒別密鑰和業(yè)務密鑰�;
用戶端3和媒體提供服務器2根據所述消息鑒別密鑰和所述業(yè)務密鑰,進行數字媒體資源的保密傳輸�。具體的,所述媒體提供服務器2包括第一接入處理單元21���,所述用戶端3包括第二接入處理單元31�����,所述鑒別服務器I包括有效性驗證單元11�����。所述用戶端3的第二接入處理單元31���,用于在所述用戶端接入媒體提供服務器時構建接入請求消息�����,使用用戶端證書私鑰對所述接入請求消息進行簽名后��,發(fā)送給媒體提供服務器�;所述接入請求消息包含用戶端身份標識和第一隨機數�。所述媒體提供服務器2的第一接入處理單元21,用于接收所述接入請求消息�,使用用戶端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后����,保存所述接入請求消息中的用戶端身份標識和第一隨機數,且構建鑒別請求消息��,使用媒體提供服務器證書私鑰對所述鑒別請求消息進行簽名后����,發(fā)送給鑒別服務器;所述鑒別請求消息包含用戶端身份標識�、第一隨機數����、媒體提供服務器身份標識和第二隨機數����。所述鑒別服務器I的有效性驗證單元11��,用于接收所述鑒別請求消息����,根據所述鑒別請求消息中的用戶端身份標識和媒體提供服務器身份標識,獲取對應的用戶端證書和媒體提供服務器證書��;使用所述媒體提供服務器證書公鑰驗證所述鑒別請求消息的簽名的有效性�,以及驗證所述用戶端證書和所述媒體提供服務器證書的有效性,獲得身份驗證結果�;構建鑒別響應消息,使用鑒別服務器證書私鑰對所述鑒別響應消息進行簽名后�����,發(fā)送給所述媒體提供服務器����;所述鑒別響應消息包含身份驗證結果�、第一隨機數��、第二隨機數���、用戶端身份標識和媒體提供服務器身份標識�。所述媒體提供服務器2的第一接入處理單元21����,還用于接收所述鑒別響應消息,使用鑒別服務器證書公鑰驗證所述鑒別響應消息的簽名的有效性�����;在簽名驗證通過后����,判斷所述鑒別響應消息中的身份驗證結果、隨機數和身份標識是否有效�,若任意一項無效,則接入失?����。蝗裘恳豁椂加行?��,則產生主密鑰�����,使用用戶端證書公鑰對所主密鑰進行加密��,獲得主密鑰密文��,且構建接入響應消息,使用媒體提供服務器證書私鑰對所述接入響應消息進行簽名后�����,發(fā)送給所述用戶端��;所述接入響應消息包含所述鑒別響應消息�、第一隨機數、 第二隨機數���、用戶端身份標識����、媒體提供服務器身份標識和主密鑰密文����。所述用戶端3的第二接入處理單元31�,還用于接收所述接入響應消息���,使用媒體提供服務器證書公鑰驗證所述接入響應消息的簽名的有效性�,使用鑒別服務器證書公鑰驗證所述接入響應消息中的鑒別響應消息的簽名����;在簽名驗證通過后,判斷所述接入響應消息中的身份驗證結果����、隨機數和身份標識是否有效,若任意一項無效���,則接入失?��。蝗裘恳豁椂加行?��,則使用用戶端證書私鑰解密所述接入響應消息中的主密鑰密文�����,獲得主密鑰�;根據所述主密鑰、第一隨機數和第二隨機數計算出消息鑒別密鑰���、業(yè)務密鑰和消息鑒別碼�����,且構建接入確認消息�����,發(fā)送給所述媒體提供服務器;所述接入確認消息包含第一隨機數�����、第二隨機數����、用戶端身份標識、媒體提供服務器身份標識����、主密鑰和消息鑒別碼���。所述媒體提供服務器2的第一接入處理模塊21,還用于接收所述接入確認消息�����,根據本地保存的主密鑰�、第一隨機數和第二隨機數計算消息鑒別密鑰、業(yè)務密鑰和消息鑒別碼���,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時��,判斷所述接入確認消息中的隨機數��、身份標識和主密鑰是否有效�����,若任意一項無效���,則接入失敗��;若每一項都有效,則保存所述消息鑒別密鑰和業(yè)務密鑰�,并打開數字媒體資源平臺。進一步的���,所述鑒別服務器I還包括注冊單元12�����、身份標識管理單元13和第一存儲單元14����。所述注冊單元12����,用于對所述用戶端和所述媒體提供服務器進行注冊,發(fā)放證書和對應的私鑰�。所述身份標識管理單元13,用于綁定并維護所述用戶端的證書�����、注冊信息和身份標識的對應關系�����,以及所述媒體提供服務器的證書���、注冊信息和身份標識的對應關系�����。所述第一存儲單元14��,用于保存所述鑒別服務器的證書�、對應的私鑰和身份標識����,所述用戶端的證書、注冊信息和身份標識�,以及所述媒體提供服務器的證書、注冊信息和身份標識�����。所述媒體提供服務器2還包括第二存儲單元22����,用于保存所述媒體提供服務器的證書、對應的私鑰和身份標識����,所述鑒別服務器的證書和身份標識���,以及所述用戶端的證書和身份標識。所述用戶端還包括第三存儲單元32����,用于保存所述用戶端的證書、對應的私鑰和身份標識����,所述鑒別服務器的證書和身份標識,以及所述媒體提供服務器的證書和身份標識�。再進一步的,所述媒體提供服務器2還包括業(yè)務管理單元23和資源發(fā)送單元24 �;所述用戶端3還包括業(yè)務請求單元33和資源接收單元34。所述用戶端3的業(yè)務請求單元33��,用于根據業(yè)務需求進行數字媒體資源的選擇��,生成包含有用戶端身份標識和數字媒體資源信息的業(yè)務請求消息��;使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息進行加密��,獲得業(yè)務請求消息密文�;使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算,獲得消息驗證碼�;將所述消息驗證碼綁定在所述業(yè)務請求消息密文中,并發(fā)送給所述媒體提供服務器��。所述媒體提供服務器2的業(yè)務管理單元23�,用于接收所述業(yè)務請求消息密文,使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算����,獲得消息驗證碼;判斷本地計算出的消息驗證碼和所述業(yè)務請求消息密文中綁定的消息驗證碼是否相同����,若相同,則使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息密文進行解密��,獲得用戶端身份標識和數字媒體資源信息��;根據所述業(yè)務請求消息中的用戶端身份標識�����,判斷所述用戶端是否通過身份驗證���。所述媒體提供服務器2的資源發(fā)送單元24�,用于在所述用戶端通過身份驗證時,根據所述數字媒體資源信息從存儲器中讀取對應的數字媒體資源���,且在所述數字媒體資源中綁定媒體提供服務器標識����,使用業(yè)務密鑰對設有身份標識的數字媒體資源進行加密�����,生成數字媒體資源數據包���,并發(fā)送給所述用戶端����;若所述用戶端未通過身份驗證����,則不向所述用戶端提供數字媒體資源。所述用戶端3的資源接收單元34�,用于接收所述數字媒體資源數據包,使用本地保存的業(yè)務密鑰對所述數字媒體資源包進行解密��,獲得數字媒體資源和媒體提供服務器身份標識;根據所述媒體提供服務器身份標識判斷所述媒體提供服務器是否通過身份驗證�,若通過身份驗證,則使用所述數字媒體資源���;若未通過身份驗證,則丟棄所述數字媒體資源���。此外�����,所述第二存儲單元22還用于保存數字媒體資源����,以及接入過程中的隨機數���、主密鑰�����、消息鑒別密鑰和業(yè)務密鑰���。所述第三存儲單元32還用于保存接收到的數字媒體資源,以及接入過程中的隨機數、主密鑰�、消息鑒別密鑰和業(yè)務密鑰。本發(fā)明實施例提供的基于標識的數字媒體管理方法及系統�����,具有如下有益效果
(I)�、鑒別服務器為接入數字媒體網絡中的每個用戶端和每個媒體提供服務器頒發(fā)證
書,并保存證書����、注冊信息和身份標識的對應關系;在用戶端接入媒體提供服務器的過程中���,鑒別服務器根據用戶端和媒體提供服務器的身份標識��,獲取用戶端和媒體提供服務器的證書���,對媒體提供服務器和用戶端進行統一認證,使用戶端能夠以同一身份標識訪問不同媒體提供服務器�。(2)、在用戶端接入媒體提供服務器的過程中��,使用身份標識代替證書描述各個角色的身份信息�����,減少了接入過程中傳遞消息的報文長度,可以降低通信負荷����,極大地提高通
信效率。(3)�����、用戶端和媒體提供服務器通過鑒別服務器驗證雙方的身份標識后���,媒體提供、服務器向用戶端分發(fā)消息鑒別密鑰�,用于進行視頻數據的保密傳輸,避免了網絡非法入侵者截獲數據并使用���。(4)�、本發(fā)明賦予媒體提供服務器以獨立的身份標識�����,基于媒體提供服務器身份標識的可區(qū)分性���,方便監(jiān)管����,同時用戶端、媒體提供服務器以及鑒別服務器之間在接入過程中的通信無需經過額外的安全信道��,節(jié)約了使用成本����。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成����,所述的程序可存儲于一計算機可讀取存儲介質中,該程序在執(zhí)行時����,可包括如上述各方法的實施例的流程。其中��,所述的存儲介質可為磁碟����、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等�。以上所述是本發(fā)明的優(yōu)選實施方式���,應當指出,對于本技術領域的普通技術人員 來說����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾��,這些改進和潤飾也視為本發(fā)明的保護范圍��。
權利要求
1.一種基于標識的數字媒體管理方法�,其特征在于�����,包括 在用戶端接入媒體提供服務器的過程中���,鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識�,獲取所述用戶端和所述媒體提供服務器的證書���,對所述用戶端和所述媒體提供服務器的身份進行驗證����,且在所述用戶端和所述媒體提供服務器的身份驗證通過后,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰和業(yè)務密鑰���; 所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰���,進行數字媒體資源的保密傳輸。
2.如權利要求I所述的基于標識的數字媒體管理方法����,其特征在于,所述在用戶端接入媒體提供服務器的過程中�,鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識,獲取所述用戶端和所述媒體提供服務器的證書�����,對所述用戶端和所述媒體提供服務器的身份進行驗證��,且在所述用戶端和所述媒體提供服務器的身份驗證通過后����,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰,包括. 51�����、所述用戶端接入媒體提供服務器時,構建接入請求消息�,使用用戶端證書私鑰對所述接入請求消息進行簽名后,發(fā)送給媒體提供服務器�;所述接入請求消息包含用戶端身份標識和第一隨機數;. 52�、所述媒體提供服務器接收所述接入請求消息,使用用戶端證書公鑰驗證所述接入請求消息的簽名的有效性�����;在簽名驗證通過后�����,保存所述接入請求消息中的用戶端身份標識和第一隨機數��,且構建鑒別請求消息����,使用媒體提供服務器證書私鑰對所述鑒別請求消息進行簽名后�����,發(fā)送給鑒別服務器�;所述鑒別請求消息包含用戶端身份標識����、第一隨機數���、媒體提供服務器身份標識和第二隨機數��; . 53�����、所述鑒別服務器接收所述鑒別請求消息�����,根據所述鑒別請求消息中的用戶端身份標識和媒體提供服務器身份標識�����,獲取對應的用戶端證書和媒體提供服務器證書�����;使用所述媒體提供服務器證書公鑰驗證所述鑒別請求消息的簽名的有效性�,以及驗證所述用戶端證書和所述媒體提供服務器證書的有效性��,獲得身份驗證結果;構建鑒別響應消息�����,使用鑒別服務器證書私鑰對所述鑒別響應消息進行簽名后����,發(fā)送給所述媒體提供服務器;所述鑒別響應消息包含身份驗證結果���、第一隨機數����、第二隨機數�、用戶端身份標識和媒體提供服務器身份標識;. 54�����、所述媒體提供服務器接收所述鑒別響應消息�,使用鑒別服務器證書公鑰驗證所述鑒別響應消息的簽名的有效性��;在簽名驗證通過后���,判斷所述鑒別響應消息中的身份驗證結果�����、隨機數和身份標識是否有效���,若任意一項無效����,則接入失?���。蝗裘恳豁椂加行?���,則產生主密鑰,使用用戶端證書公鑰對所主密鑰進行加密���,獲得主密鑰密文����,且構建接入響應消息,使用媒體提供服務器證書私鑰對所述接入響應消息進行簽名后���,發(fā)送給所述用戶端��;所述接入響應消息包含所述鑒別響應消息��、第一隨機數����、第二隨機數�、用戶端身份標識、媒體提供服務器身份標識和主密鑰密文��;. 55��、所述用戶端接收所述接入響應消息���,使用媒體提供服務器證書公鑰驗證所述接入響應消息的簽名的有效性��,使用鑒別服務器證書公鑰驗證所述接入響應消息中的鑒別響應消息的簽名��;在簽名驗證通過后����,判斷所述接入響應消息中的身份驗證結果���、隨機數和身份標識是否有效����,若任意一項無效�����,則接入失?��?����;若每一項都有效�,則使用用戶端證書私鑰解密所述接入響應消息中的主密鑰密文��,獲得主密鑰��;根據所述主密鑰、第一隨機數和第二隨機數計算出消息鑒別密鑰�、業(yè)務密鑰和消息鑒別碼,且構建接入確認消息�����,發(fā)送給所述媒體提供服務器�;所述接入確認消息包含第一隨機數、第二隨機數���、用戶端身份標識��、媒體提供服務器身份標識�����、主密鑰和消息鑒別碼����; S6��、所述媒體提供服務器接收所述接入確認消息���,根據本地保存的主密鑰�����、第一隨機數和第二隨機數計算消息鑒別密鑰��、業(yè)務密鑰和消息鑒別碼�,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時,判斷所述接入確認消息中的隨機數�����、身份標識和主密鑰是否有效�,若任意一項無效�����,則接入失?。蝗裘恳豁椂加行?,則保存所述消息鑒別密鑰和業(yè)務密鑰,并打開數字媒體資源平臺。
3.如權利要求2所述的基于標識的數字媒體管理方法���,其特征在于���,在所述用戶端接入所述媒體提供服務器之前,還包括 所述鑒別服務器對所述用戶端和所述媒體提供服務器進行注冊�����,發(fā)放證書和對應的私 鑰; 所述鑒別服務器綁定并維護所述用戶端的證書���、注冊信息和身份標識的對應關系����,以及所述媒體提供服務器的證書���、注冊信息和身份標識的對應關系���; 所述鑒別服務器在本地保存所述鑒別服務器的證書、對應的私鑰和身份標識���,所述用戶端的證書�、注冊信息和身份標識�����,以及所述媒體提供服務器的證書�、注冊信息和身份標識; 所述媒體提供服務器在本地保存所述媒體提供服務器的證書����、對應的私鑰和身份標識��,所述鑒別服務器的證書和身份標識���,以及所述用戶端的證書和身份標識; 所述用戶端在本地保存所述用戶端的證書���、對應的私鑰和身份標識,所述鑒別服務器的證書和身份標識�,以及所述媒體提供服務器的證書和身份標識。
4.如權利要求r3任一項所述的基于標識的數字媒體管理方法��,其特征在于���,所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰����,進行數字媒體資源的保密傳輸����,包括 所述用戶端根據業(yè)務需求進行數字媒體資源的選擇,生成包含有用戶端身份標識和數字媒體資源信息的業(yè)務請求消息��;使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息進行加密����,獲得業(yè)務請求消息密文���;使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算,獲得消息驗證碼����;將所述消息驗證碼綁定在所述業(yè)務請求消息密文中,并發(fā)送給所述媒體提供服務器��; 所述媒體提供服務器接收所述業(yè)務請求消息密文�,使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算,獲得消息驗證碼�����;判斷本地計算出的消息驗證碼和所述業(yè)務請求消息密文中綁定的消息驗證碼是否相同���,若相同����,則使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息密文進行解密�����,獲得用戶端身份標識和數字媒體資源信息;根據所述業(yè)務請求消息中的用戶端身份標識�����,判斷所述用戶端是否通過身份驗證�; 所述媒體提供服務器在所述用戶端通過身份驗證時,根據所述數字媒體資源信息從存儲器中讀取對應的數字媒體資源����,且在所述數字媒體資源中綁定媒體提供服務器標識,使用業(yè)務密鑰對設有身份標識的數字媒體資源進行加密����,生成數字媒體資源數據包��,并發(fā)送給所述用戶端����;若所述用戶端未通過身份驗證,則不向所述用戶端提供數字媒體資源�����; 所述用戶端接收所述數字媒體資源數據包�,使用本地保存的業(yè)務密鑰對所述數字媒體資源包進行解密�����,獲得數字媒體資源和媒體提供服務器身份標識����;根據所述媒體提供服務器身份標識判斷所述媒體提供服務器是否通過身份驗證�����,若通過身份驗證����,則使用所述數字媒體資源;若未通過身份驗證���,則丟棄所述數字媒體資源�����。
5.如權利要求4所述的基于標識的數字媒體管理方法����,其特征在于,所述媒體提供服務器還保存數字媒體資源�����,以及接入過程中的隨機數����、主密鑰、消息鑒別密鑰和業(yè)務密鑰�����; 所述用戶端還保存接收到的數字媒體資源�,以及接入過程中的隨機數、主密鑰����、消息鑒別密鑰和業(yè)務密鑰����。
6.一種數字媒體系統,其特征在于�����,包括用戶端、媒體提供服務器和鑒別服務器����; 在所述用戶端接入所述媒體提供服務器的過程中,所述鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識���,獲取所述用戶端和所述媒體提供服務器的證書����,對所述用戶端和所述媒體提供服務器的身份進行驗證����,且在所述用戶端和所述媒體提供服務器的身份驗證通過后,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰�����;所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰���,進行數字媒體資源的保密傳輸�。
7.如權利要求6所述的數字媒體系統�����,其特征在于,所述媒體提供服務器包括第一接入處理單元��,所述用戶端包括第二接入處理單元����,所述鑒別服務器包括有效性驗證單元; 所述用戶端的第二接入處理單元�,用于在所述用戶端接入媒體提供服務器時構建接入請求消息,使用用戶端證書私鑰對所述接入請求消息進行簽名后���,發(fā)送給媒體提供服務器�;所述接入請求消息包含用戶端身份標識和第一隨機數�����; 所述媒體提供服務器的第一接入處理單元�����,用于接收所述接入請求消息���,使用用戶端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后�����,保存所述接入請求消息中的用戶端身份標識和第一隨機數,且構建鑒別請求消息�����,使用媒體提供服務器證書私鑰對所述鑒別請求消息進行簽名后��,發(fā)送給鑒別服務器����;所述鑒別請求消息包含用戶端身份標識、第一隨機數�����、媒體提供服務器身份標識和第二隨機數���; 所述鑒別服務器的有效性驗證單元�,用于接收所述鑒別請求消息�,根據所述鑒別請求消息中的用戶端身份標識和媒體提供服務器身份標識,獲取對應的用戶端證書和媒體提供服務器證書��;使用所述媒體提供服務器證書公鑰驗證所述鑒別請求消息的簽名的有效性��,以及驗證所述用戶端證書和所述媒體提供服務器證書的有效性,獲得身份驗證結果�;構建鑒別響應消息,使用鑒別服務器證書私鑰對所述鑒別響應消息進行簽名后���,發(fā)送給所述媒體提供服務器��;所述鑒別響應消息包含身份驗證結果���、第一隨機數、第二隨機數��、用戶端身份標識和媒體提供服務器身份標識��; 所述媒體提供服務器的第一接入處理單元��,還用于接收所述鑒別響應消息���,使用鑒別服務器證書公鑰驗證所述鑒別響應消息的簽名的有效性��;在簽名驗證通過后���,判斷所述鑒別響應消息中的身份驗證結果、隨機數和身份標識是否有效��,若任意一項無效�����,則接入失?。蝗裘恳豁椂加行?,則產生主密鑰,使用用戶端證書公鑰對所主密鑰進行加密�,獲得主密鑰密文,且構建接入響應消息��,使用媒體提供服務器證書私鑰對所述接入響應消息進行簽名后���,發(fā)送給所述用戶端�����;所述接入響應消息包含所述鑒別響應消息��、第一隨機數��、第二隨機數�、用戶端身份標識�����、媒體提供服務器身份標識和主密鑰密文;所述用戶端的第二接入處理單元���,還用于接收所述接入響應消息�,使用媒體提供服務器證書公鑰驗證所述接入響應消息的簽名的有效性��,使用鑒別服務器證書公鑰驗證所述接入響應消息中的鑒別響應消息的簽名��;在簽名驗證通過后�����,判斷所述接入響應消息中的身份驗證結果�����、隨機數和身份標識是否有效����,若任意一項無效,則接入失?。蝗裘恳豁椂加行В瑒t使用用戶端證書私鑰解密所述接入響應消息中的主密鑰密文�,獲得主密鑰;根據所述主密鑰���、第一隨機數和第二隨機數計算出消息鑒別密鑰���、業(yè)務密鑰和消息鑒別碼���,且構建接入確認消息��,發(fā)送給所述媒體提供服務器���;所述接入確認消息包含第一隨機數、第二隨機數��、用戶端身份標識�����、媒體提供服務器身份標識��、主密鑰和消息鑒別碼�����; 所述媒體提供服務器的第一接入處理模塊,還用于接收所述接入確認消息��,根據本地保存的主密鑰����、第一隨機數和第二隨機數計算消息鑒別密鑰、業(yè)務密鑰和消息鑒別碼�,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時,判斷所述接入確 認消息中的隨機數��、身份標識和主密鑰是否有效����,若任意一項無效,則接入失?�?�;若每一項都有效�,則保存所述消息鑒別密鑰和業(yè)務密鑰,并打開數字媒體資源平臺�����。
8.如權利要求7所述的數字媒體系統,其特征在于����,所述鑒別服務器還包括注冊單元、 身份標識管理單元和第一存儲單元��; 所述注冊單元��,用于對所述用戶端和所述媒體提供服務器進行注冊���,發(fā)放證書和對應的私鑰; 所述身份標識管理單元�����,用于綁定并維護所述用戶端的證書�����、注冊信息和身份標識的對應關系�,以及所述媒體提供服務器的證書、注冊信息和身份標識的對應關系��; 所述第一存儲單元�����,用于保存所述鑒別服務器的證書、對應的私鑰和身份標識�,所述用戶端的證書、注冊信息和身份標識�,以及所述媒體提供服務器的證書、注冊信息和身份標識����; 所述媒體提供服務器還包括第二存儲單元,用于保存所述媒體提供服務器的證書��、對應的私鑰和身份標識�,所述鑒別服務器的證書和身份標識,以及所述用戶端的證書和身份標識����; 所述用戶端還包括第三存儲單元,用于保存所述用戶端的證書��、對應的私鑰和身份標識�,所述鑒別服務器的證書和身份標識,以及所述媒體提供服務器的證書和身份標識�����。
9.如權利要求61任一項所述的數字媒體系統,其特征在于��,所述媒體提供服務器還包括業(yè)務管理單元和資源發(fā)送單元����;所述用戶端還包括業(yè)務請求單元和資源接收單元; 所述用戶端的業(yè)務請求單元����,用于根據業(yè)務需求進行數字媒體資源的選擇,生成包含有用戶端身份標識和數字媒體資源信息的業(yè)務請求消息�;使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息進行加密,獲得業(yè)務請求消息密文����;使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算�����,獲得消息驗證碼���;將所述消息驗證碼綁定在所述業(yè)務請求消息密文中����,并發(fā)送給所述媒體提供服務器; 所述媒體提供服務器的業(yè)務管理單元��,用于接收所述業(yè)務請求消息密文��,使用本地保存的消息鑒別密鑰對所述業(yè)務請求消息密文進行計算�,獲得消息驗證碼;判斷本地計算出的消息驗證碼和所述業(yè)務請求消息密文中綁定的消息驗證碼是否相同��,若相同���,則使用本地保存的業(yè)務密鑰對所述業(yè)務請求消息密文進行解密�,獲得用戶端身份標識和數字媒體資源信息�;根據所述業(yè)務請求消息中的用戶端身份標識,判斷所述用戶端是否通過身份驗證�;所述媒體提供服務器的資源發(fā)送單元,用于在所述用戶端通過身份驗證時���,根據所述數字媒體資源信息從存儲器中讀取對應的數字媒體資源�����,且在所述數字媒體資源中綁定媒體提供服務器標識��,使用業(yè)務密鑰對設有身份標識的數字媒體資源進行加密���,生成數字媒體資源數據包���,并發(fā)送給所述用戶端;若所述用戶端未通過身份驗證��,則不向所述用戶端提供數字媒體資源�; 所述用戶端的資源接收單元,用于接收所述數字媒體資源數據包���,使用本地保存的業(yè)務密鑰對所述數字媒體資源包進行解密����,獲得數字媒體資源和媒體提供服務器身份標識��;根據所述媒體提供服務器身份標識判斷所述媒體提供服務器是否通過身份驗證�,若通過身份驗證,則使用所述數字媒體資源�����;若未通過身份驗證��,則丟棄 所述數字媒體資源��。
10.如權利要求9所述的數字媒體系統��,其特征在于�����,所述第二存儲單元還用于保存數字媒體資源�,以及接入過程中的隨機數、主密鑰����、消息鑒別密鑰和業(yè)務密鑰; 所述第三存儲單元還用于保存接收到的數字媒體資源�����,以及接入過程中的隨機數����、主密鑰、消息鑒別密鑰和業(yè)務密鑰�。
全文摘要
本發(fā)明公開了一種基于標識的數字媒體管理方法,該方法包括在用戶端接入媒體提供服務器的過程中����,鑒別服務器根據所述用戶端和所述媒體提供服務器的身份標識����,獲取所述用戶端和所述媒體提供服務器的證書�,對所述用戶端和所述媒體提供服務器的身份進行驗證,且在所述用戶端和所述媒體提供服務器的身份驗證通過后���,所述用戶端和所述媒體提供服務器協商獲得消息鑒別密鑰和業(yè)務密鑰��;所述用戶端和所述媒體提供服務器根據所述消息鑒別密鑰和所述業(yè)務密鑰�����,進行數字媒體資源的保密傳輸���。本發(fā)明還公開一種數字媒體系統。本發(fā)明實施例對媒體提供服務器和用戶端進行統一認證�,實現媒體提供服務器和用戶端間的數字媒體資源的保密傳輸。
文檔編號H04L9/32GK102752306SQ20121023533
公開日2012年10月24日 申請日期2012年7月9日 優(yōu)先權日2012年7月9日
發(fā)明者杜文元, 林凡, 黃建青 申請人:廣州杰賽科技股份有限公司