專利名稱:虛擬專用網絡上的數字權利管理系統的制作方法
技術領域:
本發(fā)明涉及虛擬專用網絡,更具體地說�����,涉及其中的數字權利的管理���。
背景技術:
分組數據網絡��,比如因特網已成為數字內容或軟件的最有效的發(fā)行渠道之一�����。但是��,分組數據網絡的使其適合于分發(fā)數字內容和軟件的特征也提供盜用和誤用數字內容和軟件的大量機會�。鑒于在具有桌上型PC等的分組數據網絡內�,易于發(fā)生數字內容和軟件的復制����、改變����、毀損和分發(fā)�����,必需保護數字內容和軟件���。要求數字權利管理(DRM)解決該問題�。
圖1圖解說明了分布在諸如因特網主干網之類分組數據網絡內的虛擬專用網絡(VPN)的方框圖�����。如圖所示�,VPN-A由用長虛線表示的隧道(tunnel)連接,所述長虛線代表處理器A1��、A2和A3之間的安全通信�����。類似地���,VPN-B由用處理器B1���、B2和B3之間的短虛線表示的安全隧道連接����。
VPN網絡A和B位于公司或機構中��,所述公司或機構位于不同的位置��。圖1中圖解說明的VPN體系結構允許公司或機構的雇員或成員在通過主干分組數據網絡��,由安全隧道連接到公司或機構的VPN之后�����,跨越公司或機構的局域網(LAN)工作��。
由于數字權利和包括視頻����、音頻文檔和文件的數字內容在VPN中和VPN之間傳輸,因此VPN���,例如圖1中圖解說明的VPN的操作需要DRM��。VPN中和VPN之間對DRM的要求有兩方面�����,即(1)VPN及它們的應用的部署�,和(2)DRM的部署對諸如因特網之類分組數據網絡中的主干網的影響���。
實際上���,在它們的部署中,DRM和VPN相互作用����。例如,公司或機構可能需要保持在VPN內產生和/或使用的內部數字內容(IDC)的秘密���。另一個例子是當公司或機構向客戶銷售包含數字權利(例如使用軟件的許可證)的產品����,并希望監(jiān)視在客戶的VPN中�,該許可證的使用時。目前���,本領域的狀態(tài)是還沒有令人滿意地解決VPN中和VPN之間的DRM�����。
目前�,VPN的IDC的數字保護不足,這導致易于發(fā)生濫用��。此外���,在一些情況下����,IDC要求VPN內的特殊數字保護���,例如當只允許少數頂級管理員訪問高度機密的文檔時�。在沒有恰當的數字保護的情況下����,高度機密的文檔易于被其它人看到,并流出VPN之外�����。
對VPN中數字權利的使用的限制一般過于嚴格或者過于寬松。例如����,VPN的操作員可能希望從數字權利頒發(fā)者(issuer)購買某一產品的許多許可證�,并想把許可證安裝在VPN的任意一臺機器中。特別地���,該操作員不想要數字權利頒發(fā)者知道VPN的結構�。但是��,在數字權利頒發(fā)者一般提供只可安裝在用戶的VPN的特定機器上的許可證的情況下��,數字權利頒發(fā)者不得不確保在VPN中用戶遵守許可協議����。在特定機器上安裝的要求必定向數字權利頒發(fā)者提供關于用戶網絡的一些信息。此外�����,如果用戶想把許可證從某一特定機器轉移到另一特定機器上��,那么用戶必須通報頒發(fā)者�����,以獲得許可。該程序對用戶來說是不想要的�。從而,對用戶來說�,對數字權利的使用的限制過于嚴格。另一方面�����,數字權利頒發(fā)者會試圖勸說用戶購買可安裝在VPN中的任意地方的許多無限制許可證���。這種情況下����,用戶可能同意有可能更昂貴的許可條款�。但是,數字權利頒發(fā)者實際上不能明確地管理數字權利的使用���,這意味著大量的許可證可能被安裝在VPN中����,并且許可證能夠容易地散布到VPN外面,這是對數字權利的使用的控制過于寬松的典型����。
VPN的操作員通常不能有效地管理VPN中數字權利的使用,尤其當VPN包含大量的客戶機和多種數字權利時更是如此���。這導致易于忽視關于數字權利的限制的情形���。
發(fā)明內容
本發(fā)明是一種VPN之內和之間的DRM系統�,所述DRM系統管理數字權利用戶(DRU)和數字權利頒發(fā)者的VPN之內和之間的數字權利。本發(fā)明利用VPN內結合在一起的數字權利策略管理器(DRPM)�,數字權利部署服務器(DRDS),和數字權利倉庫(DRR)或存儲器��,內部和外部地為DRU和數字權利頒發(fā)者管理數字權利���。內部DRU在包含DRPM的VPN之內�����,所述DRPM管理向DRU的數字權利的分發(fā)����,外部DRU在包含DRPM的VPN之外,所述DRPM管理向DRU的數字權利的分發(fā)�����。外部DRU可以在VPN之內�,或者在任意VPN之外,并且可通過安全鏈路與包含內部DRU的VPN連接�����。
DRPM管理的數字權利或者由DRPM產生���,或者從另一VPN的DRR中的存儲器或獨立于任意DRPM工作的外部數字權利來源輸入����。DRPM控制DRR中數字權利的存儲���。DRPM從數字內容和至少一個控制數字權利的策略產生數字權利�����,并把產生的數字權利存儲在DRR中��。數字內容包括(但不限于)視頻�、音頻、文檔或文件至少之一�。數字權利可從IDC產生,并且由內部DRU使用����。
DRPM還產生與數字權利的管理、產生�、再生、分發(fā)和使用相關的策略�。例如(但不限于),數字權利的產生和分發(fā)可以是基于時間的���,即定期地����,例如每月發(fā)布數字權利���。但是,顯然DRPM可被編程為執(zhí)行不同形式的數字權利的管理����、產生、再生����、分發(fā)和使用�����,以及產生數字權利內的內容���,以詳細指示如何使用數字內容。
內部或外部DRU可與DRDS連接����,并請求數字權利的下載。為了具有足夠的安全性���,DRU到DRDS的連接要求DRU的驗證�����?��?砂凑詹煌姆绞綀?zhí)行驗證,例如通過安全連接��,或者由在VPN之內或者之外的認證機構(CA)頒發(fā)給DRU的證書�。內部或外部CA根據不構成本發(fā)明的一部分的公知程序�,應DRU的請求提供證書��。DRDS把DRU的證書請求傳送給CA���,并把從CA接收的證書發(fā)送給DRU����。在DRDS和外部DRU之間的連接的情況下���,保證連接的安全�����,例如借助諸如安全套接字層(SSL)之類的隧道效應技術���,但是顯然本發(fā)明并不局限于使連接安全的任意特定技術。此外��,最好根據VPN內的安全要求���,使DRDS和內部DRU之間的連接安全可靠。
在未被提供諸如許可證之類正確的數字權利的情況下��,DRU不能使用數字內容,例如IDC�����。數字權利規(guī)定使用的條件�����,例如哪里和誰能使用數字權利�����,數字權利可被使用多長時間���,在數字權利被使用之后做什么���。借助數字權利規(guī)定的條件,防止DRU濫用數字權利��。
本發(fā)明的網絡包括至少一個數字權利用戶����,每個數字權利用戶是數字權利的用戶;和至少一個虛擬專用網絡��,每個虛擬專用網絡包括數字權利的存儲器,與至少一個數字權利用戶以及與所述存儲器耦接��、把數字權利分發(fā)給至少一個數字權利用戶的服務器��,以及與所述服務器和與所述存儲器耦接����、控制保存在所述存儲器中的數字權利向至少一個數字權利用戶的提供的數字權利管理器。所述至少一個數字權利用戶可以在至少一個虛擬專用網絡之外或之內�。所述至少一個數字權利用戶可以是一個以上的數字權利用戶,其中至少一個數字權利用戶在至少一個虛擬專用網絡之內���,并且至少一個數字權利用戶在至少一個虛擬專用網絡之外�。每個管理器可管理網絡之內的數字內容���,包括數字權利����。數字內容可包括視頻�����、音頻�����、文檔或文件至少之一���。管理器可從數字內容和至少一個控制數字權利的策略產生數字權利���,并把產生的數字權利存儲在存儲器中。至少一個策略還可包括和保存在存儲器中的數字權利的管理����、產生、再生�、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件���。策略可以是管理何時����、如何產生����、再生、分發(fā)����、使用或管理數字權利至少之一的一組規(guī)則����。關于數字權利的管理��、產生��、再生�、使用或分發(fā)的條件可能取決于至少一個用戶請求數字權利的時間。在把數字權利分發(fā)給用戶之前�����,每個用戶可由服務器驗證為數字權利的合法用戶���。認證機構可向至少一個用戶中的每個用戶提供證書���;其中至少一個用戶中的每個用戶的證書可被呈遞給服務器,當用戶呈遞的證書證明該用戶是所請求的數字權利的合法用戶時���,在管理器的控制下���,所述服務器把數字權利分發(fā)給呈遞用戶證書的每個用戶����。認證機構可以在至少一個虛擬專用網絡之內或之外��。在至少一個虛擬專用網絡之外的至少一個數字權利用戶可以在另一虛擬專用網絡中�,并且虛擬專用網絡可由至少一個安全鏈路連接起來��。在至少一個虛擬專用網絡之外的外部數字權利來源可向其提供數字權利;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器可控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供��。外部數字權利來源可與至少一個數字網絡的操作無關地工作���。
在包括至少一個數字權利用戶(每個數字權利用戶是數字權利的用戶)和至少一個虛擬專用網絡的網絡中�,所述虛擬專用網絡包括數字權利的存儲器��,與至少一個數字權利用戶以及與所述存儲器耦接、把數字權利分發(fā)給至少一個數字權利用戶的服務器���,以及與所述服務器和所述存儲器耦接的數字權利管理器�,根據本發(fā)明的數字權利的分發(fā)方法包括所述至少一個用戶中的至少一個用戶向服務器請求數字權利���;響應來自至少一個用戶的請求,管理器可控制從存儲器向服務器的數字權利的提供��,所述服務器把數字權利分發(fā)給請求數字權利的至少一個用戶。所述至少一個數字權利用戶可以在至少一個虛擬專用網絡之外或之內��。所述至少一個數字權利用戶可以是一個以上的數字權利用戶�����,其中至少一個數字權利用戶在至少一個虛擬專用網絡之內�,并且至少一個數字權利用戶在至少一個虛擬專用網絡之外���。管理器可管理網絡之內的數字內容���,包括數字權利�����。數字內容可包括視頻���、音頻、文檔或文件至少之一�。管理器可根據數字內容和至少一個控制數字權利的策略產生數字權利�����,并把產生的數字權利存儲在存儲器中��。所述至少一個策略還可包括和保存在存儲器中的數字權利的管理�����、產生���、再生�、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件��。策略可以是管理何時����、如何產生�、再生����、分發(fā)��、使用或管理數字權利�,和在數字權利中應定義什么內容中的至少之一的一組規(guī)則。關于數字權利的管理����、產生�、再生、使用或分發(fā)的條件可能取決于至少一個用戶請求數字權利的時間��。在把數字權利分發(fā)給用戶之前�����,每個用戶可由服務器驗證為數字權利的合法用戶�����。認證機構可向至少一個用戶中的每個用戶提供證書����;其中至少一個用戶中的每個用戶的證書可被呈遞給服務器,當用戶呈遞的證書證明該用戶是所請求的數字權利的合法用戶時,在管理器的控制下����,所述服務器把數字權利分發(fā)給呈遞用戶證書的每個用戶。外部數字權利來源可在至少一個虛擬專用網絡之外����,所述外部數字權利來源可向所述至少一個專用網絡提供數字權利�;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器可控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供。認證機構可以在虛擬專用網絡之內或之外。外部數字權利來源可與至少一個數字網絡的操作無關地工作����。
在包括至少一個數字權利用戶(每個數字權利用戶是數字權利的用戶)���、頒發(fā)數字權利的數字權利頒發(fā)者虛擬專用網絡和包括至少一個數字權利用戶的數字權利用戶虛擬專用網絡的網絡中�����,每個虛擬專用網絡包括數字權利的存儲器����,與至少一個數字權利用戶以及與所述存儲器耦接����、把數字權利分發(fā)給至少一個數字權利用戶的服務器,和與所述服務器以及與所述存儲器耦接的數字權利管理器����,根據本發(fā)明的數字權利的分發(fā)方法包括所述至少一個用戶中的至少一個用戶向數字權利用戶虛擬專用網絡的服務器請求數字權利����;數字權利用戶虛擬專用網絡的數字權利管理器向數字權利頒發(fā)者虛擬專用網絡請求數字權利���;數字權利頒發(fā)者虛擬專用網絡把數字權利傳送給數字權利用戶虛擬專用網絡;數字權利用戶虛擬專用網絡把數字權利傳送給數字權利的至少一個用戶����。響應從數字權利頒發(fā)者虛擬專用網絡收到數字權利�����,數字權利用戶虛擬專用網絡可把數字權利從數字權利管理器傳送給存儲器,從存儲器傳送給服務器����,并從服務器傳送給數字權利的至少一個用戶��。響應關于數字權利的請求���,數字權利頒發(fā)者虛擬專用網絡可把所述請求從服務器傳送給產生數字權利的管理器;管理器產生的數字權利從管理器被傳送給存儲器��;數字權利可從存儲器傳送給服務器��;并且數字權利可從服務器傳送給數字權利用戶虛擬專用網絡的管理器����。
圖1圖解說明其中可實踐本發(fā)明的那種現有VPN���。
圖2圖解說明根據本發(fā)明的包括VPN的網絡的方框圖�。
圖3圖解說明根據本發(fā)明的,具有根據本發(fā)明的數字權利頒發(fā)者VPN和用戶VPN的網絡���。
圖4圖解說明根據本發(fā)明的�����,向內部DRU分發(fā)數字權利的VPN的操作。
圖5圖解說明根據圖3的網絡的操作��。
附圖中�,相同的附圖標記表示相同的部分。
具體實施例方式
圖2圖解說明根據本發(fā)明的網絡10�����。網絡10由在本發(fā)明的實踐中使用的一組(#s 1-N)VPN 12組成。VPN 12經由安全隧道16��,通過分組數據網絡14互連�,分組數據網絡14可以是任意已知設計,例如因特網����。
網絡10實現DRU之間的數字權利的分發(fā),所述DRU或者是位于具有控制數字權利的分發(fā)的DRPM 34的VPN 12內的內部DRU 18,或者是位于另一VPN 12內的或在任意VPN之外并通過外部網絡22與具有控制數字權利的分發(fā)的DRPM 34的VPN 12連接的外部DRU20����。在具有控制數字權利的分發(fā)的DRPM 34的VPN之外的DRU 20之間的連接經由安全鏈路24實現,安全鏈路24可使用任何已知的安全措施�����,例如(但不限于)安全套接字層(SSL)����。
主要關于#1 VPN 12����,參考圖2說明本發(fā)明提供的DRM�����。但是,應明白#s 2-N VPN 12可具有相同的體系結構。每個VPN 12可包含至少一個內部DRU 18。DRR 30保存由內部DRU 18和外部DRU 20使用的數字權利。DRDS 32與DRR 30和DRPM耦接�����,并在DRPM 34的控制下,把數字權利分發(fā)給至少一個內部DRU 18或外部DRU 20�����。
DRPM 34實現DRM的提供方面的多種功能����。首先,DRPM 34控制通過DRDS 32��,保存在DRR 30中的數字權利向內部和外部DRU18和20的提供。其次,DRPM 34從數字內容,例如(但不限于)IDC40產生數字權利���,IDC 40可以是(但不限于)包含在VPN 12內的任意地方或者來自外部的數字內容來源的音頻�、視頻����、文檔或文件���。第三���,DRPM 34建立并實現至少一個控制數字權利的策略��。最后���,所述至少一個策略包含和數字權利的管理、產生���、再生���、使用或分發(fā)相關的條件。
DRPM 34進行的數字權利的分發(fā)是一種控制功能��,所述控制功能包括控制如何及何時從DRR 30中的存儲器向DRDS 32提供數字權利的條件��,在請求DRU的驗證之后���,數字權利從DRDS 32被分發(fā)給內部DRU 18或者外部DRU 20��。在推送(push)操作中����,如同下面涉及數字權利的使用參考圖3和4說明的那樣��,或者內部DRU 18或者外部DRU 20連接DRDS���,并向請求DUR 18或20請求數字權利的下載�。在數字權利的拖拉(pull)操作中,如同參考圖5所述那樣����,從數字權利頒發(fā)者VPN 12到用戶VPN 12中的外部DRU 20,用戶VPN向DRPM 34發(fā)送關于數字權利的請求。
內部DRU 18或外部DRU 20與提供數字權利的DRDS 32的連接要求驗證����。在請求數字權利的時候����,由DRDS 32借助安全的方式進行驗證�,例如使用加密或呈公共密鑰形式的有效證書的呈遞,或者任意其它已知的驗證機制���。
當證書被用于驗證時�����,DRDS 32利用內部認證機構42或者外部認證機構44驗證請求數字權利的單獨DRU 18和DRU 20���。只要請求DRU 18或20呈遞有效證書和有效的數字簽名(由從CA獲得的公共密鑰核實),就完成驗證����。該驗證程序基于公共密鑰基礎結構。于是匹配公共密鑰��,從CA獲得的保存在每個DRU 18中的專用密鑰允許完成驗證����。
當DRU 18或20發(fā)送請求時,DRU把其證書(包含公共密鑰)和數字簽名(被簽署DRU專用密鑰)附在所述請求上�。DRDS 32接收請求���,并利用呈遞的證書(即公共密鑰)核實數字簽名���。如果通過核實,那么在DRDS 32必須連接到CA,以確保DRU發(fā)送的證書是有效證書(例如未到期)之前��,DRU被驗證。該驗證程序基于公共密鑰基礎結構。
如上所述��,保存在DRR 30中的數字權利一般由DRPM 34根據IDC 40產生�����。但是,另一方面���,保存在DRR 30中的數字權利可從#2-NVPN 12,或者從獨立的數字權利來源50獲得���,所述獨立的數字權利來源50可以是獨立于任意DRPM 34��,許可、產生或者以其它方式提供數字權利�����,以便存儲在DRR 30中的任意數字權利發(fā)行實體。
保存在DRR 30中的數字權利具有相關的使用條件。使用條件是(但不限于)哪里和誰可使用數字權利����,數字權利可使用多長時間,以及在數字權利被使用之后發(fā)生什么事��。使用條件防止DRU 18和20濫用所定義并保存在DRR 30中的數字權利。
本發(fā)明有許多優(yōu)點�����。數字權利管理和VPN安全管理和網絡操作結合在一起���。數字權利頒發(fā)者和DRPM 34一道工作�����,產生并控制由DRU 18和20使用的數字權利���。VPN的操作員被賦予通過與DRPM 34一道工作,管理數字權利��,以及通過VPN把數字權利分發(fā)給客戶機的能力��。與保存在DRR 30中的數字權利相關的IDC 40在VPN 12之內和之間受到保護。
本發(fā)明的網絡提供不同情況下的操作��。首先��,數字權利的頒發(fā)者�,例如數字權利來源50和DRU 20不必具有VPN��。其次��,數字權利來源不必與VPN相關,例如與所有VPN分離的獨立的數字權利來源50�����,并且至少一些DRU在VPN 12之內���,例如DRU 18�。第三,數字權利頒發(fā)者可在具有控制數字權利的存儲�、產生�、再生(recreation)����、分發(fā)和使用條件等的DRPM 34的VPN之內�,而DRU只是外部DRU 20(當在VPN不存在任何DRU 18時存在這種情形)����。最后����,數字權利頒發(fā)者可與VPN 12相關聯,至少一些DRU是內部DRU 18���。
本發(fā)明可被實踐成以致不是所有VPN都包含圖2的#1 VPN 12的所有實體����。此外�,本發(fā)明的部署是一件簡單的事情���,它利用了現有的VPN,例如圖1的現有技術中的VPN����。
圖3圖解說明了根據本發(fā)明在兩個VPN 12之間的數字權利分發(fā)的例子。數字權利頒發(fā)者VPN 12起給用戶VPN 12的數字權利的來源的作用����。如圖所示����,在數字權利頒發(fā)者VPN的DRPM 34的控制下�,從DRR 30中的存儲器中取回保存在數字權利頒發(fā)者VPN 12的DRR30中的數字權利����,并由DRDS 32通過網絡14中的安全鏈路16,將其分發(fā)給用戶VPN的DRPM 34。當在數字權利頒發(fā)者VPN的DRPM的控制下�����,用戶VPN的DRDS 32收到數字權利時����,所述數字權利被保存在用戶VPN 12的DRR 30中���,以便由用戶VPN的DRU使用�����。
在利用任意已知的驗證機制驗證用戶VPN 12中的請求DRU 18之后�����,在DRDS 32的控制下取回保存在用戶VPN 12的DRR 30中的數字權利����。如圖所示��,數字權利頒發(fā)者VPN 12的CA 42產生用于驗證數字權利頒發(fā)者和用戶VPN中的每個DRU 18的證書�。數字權利頒發(fā)者VPN的DRPM 34產生并管理給數字權利頒發(fā)者VPN 12內的DRU 18和給用戶VPN 12內的實際DRU 18(用戶VPN 12在數字權利頒發(fā)者VPN之外)的數字權利�����。數字權利頒發(fā)者VPN的DRPM 34產生并管理用于保護數字權利頒發(fā)者VPN的IDC(未示出)的數字權利。用戶VPN 12的DRPM 34產生并管理保護用戶VPN的IDC的數字權利��。于是看出數字權利頒發(fā)者VPN向用戶VPN 12中的一組DRU 18提供數字權利����。
圖4圖解說明根據本發(fā)明�����,關于推送操作的VPN的操作,所述推送操作把數字權利分發(fā)給內部DRU 18����。第一步是DRR 30向DRPM34發(fā)送數字權利的再生請求,根據當前發(fā)出請求的內部DRU數字權利探測時間���,發(fā)生所述再生�����。第二步是控制數字權利產生/再生策略的DRPM 34根據權限和產生策略�����,產生給內部DRU 18的數字權利���,并把數字權利保存在DRR 30中����。第三步是DRR 30把數字權利傳送給DRDS 32��。驗證之后�,DRDS 32把數字權利傳送給內部DRU 18���。
圖5圖解說明根據圖3的網絡的操作�,所述操作涉及從數字權利頒發(fā)者VPN到用戶VPN中的外部DRU的數字權利的拖拉�。在步驟1�����,用戶VPN的DRR向DRPM 34發(fā)送數字權利的再生請求(根據,例如當前發(fā)出請求的內部DRU 18數字權利探測時間)。在步驟2,頒發(fā)者VPN的DRPM 34把請求轉發(fā)給頒發(fā)者VPN的DRDS。在第三步��,頒發(fā)者VPN 12的DRDS 32把請求轉發(fā)給它的DRPM 34。在第四步���,頒發(fā)者VPN 12的DRPM 34(持有數字權利和數字權利頒發(fā)者VPN的再生策略)根據數字權利產生策略����,產生用于用戶VPN的外部DRU 18的數字權利,并把數字權利保存在數字權利頒發(fā)者VPN的DRR 30中。在步驟5,頒發(fā)者VPN 12的DRR 30把數字權利傳送給數字權利頒發(fā)者VPN 12的DRDS 32�。在步驟6�,頒發(fā)者VPN 12的DRDS 32把數字權利發(fā)送給用戶VPN 12的DRPM 34。在步驟7����,用戶VPN 30的DRPM 34把數字權利保存在用戶VPN 12的DRR 30中���。在步驟8���,用戶VPN 12的DRR 30把數字權利傳送給用戶VPN的DRDS 32���。在步驟9��,在驗證用戶VPN中的請求數字權利的DRU 18之后,用戶VPN 12的DRDS 32把數字權利發(fā)送給其中的DRU 18��。
作為一種備選方案��,用戶VPN的DRPM 34也可代替頒發(fā)者VPN的DRPM 34發(fā)布新的數字權利�,從而節(jié)省通信費用。這種情況下����,不需要步驟2-6���。
可用不同的方式實現DRR 30���、DRDS 32和DRPM。例如,借助不構成本發(fā)明的一部分的適當編程�,單個處理器和相關的存儲器可實現DRR 30��、DRDS 32和DRPM 34��。
雖然關于優(yōu)選實施例說明了本發(fā)明��,但是在不脫離本發(fā)明的精神和范圍的情況下����,顯然可對其做出許多修改�����。所有這些修改落入附加權利要求的范圍之內��。
權利要求
1.一種網絡,包括至少一個數字權利用戶���,每個數字權利用戶是數字權利的用戶���;和至少一個虛擬專用網絡����,每個虛擬專用網絡包括數字權利的存儲器�,與至少一個數字權利用戶以及與所述存儲器耦接��、把數字權利分發(fā)給至少一個數字權利用戶的服務器��,以及與所述服務器和所述存儲器耦接、控制保存在所述存儲器中的數字權利向至少一個數字權利用戶的提供的數字權利管理器��。
2.按照權利要求1所述的網絡���,其中所述至少一個數字權利用戶在至少一個虛擬專用網絡之外。
3.按照權利要求1所述的網絡��,其中所述至少一個數字權利用戶在至少一個虛擬專用網絡之內�����。
4.按照權利要求1所述的網絡,其中所述至少一個數字權利用戶是一個以上的數字權利用戶��,其中至少一個數字權利用戶在至少一個虛擬專用網絡之內�,并且至少一個數字權利用戶在至少一個虛擬專用網絡之外。
5.按照權利要求1所述的網絡����,其中每個管理器管理網絡內的數字內容�����,包括數字權利���。
6.按照權利要求2所述的網絡,其中每個管理器管理網絡內的數字內容��,包括數字權利�����。
7.按照權利要求3所述的網絡�,其中每個管理器管理網絡內的數字內容�,包括數字權利���。
8.按照權利要求4所述的網絡��,其中每個管理器管理網絡內的數字內容�,包括數字權利��。
9.按照權利要求1所述的網絡���,其中數字內容包括視頻�����、音頻、文檔或文件至少之一�����。
10.按照權利要求5所述的網絡���,其中管理器從數字內容和至少一個控制數字權利的策略產生數字權利�,并把產生的數字權利存儲在存儲器中���。
11.按照權利要求6所述的網絡��,其中管理器從數字內容和至少一個控制數字權利的頒發(fā)的策略產生數字權利����,并控制把產生的數字權利存儲在存儲器中。
12.按照權利要求7所述的網絡�����,其中管理器從數字內容和至少一個控制數字權利的策略產生數字權利�����,并把產生的數字權利存儲在存儲器中���。
13.按照權利要求8所述的網絡����,其中管理器從數字內容和至少一個控制數字權利的策略產生數字權利��,并把產生的數字權利存儲在存儲器中�����。
14.按照權利要求10所述的網絡,其中至少一個策略還包括和保存在存儲器中的數字權利的管理���、產生���、再生、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件�。
15.按照權利要求11所述的網絡,其中至少一個策略還包括和保存在存儲器中的數字權利的管理�����、產生����、再生、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件��。
16.按照權利要求12所述的網絡�,其中至少一個策略還包括和保存在存儲器中的數字權利的管理��、產生�、再生、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件����。
17.按照權利要求13所述的網絡�����,其中至少一個策略還包括和保存在存儲器中的數字權利的管理���、產生、再生����、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件。
18.按照權利要求10所述的網絡���,其中策略是管理下述至少之一的一組規(guī)則何時�����、如何產生��、再生����、分發(fā)��、使用或管理數字權利,和什么使用條件應被包括在數字權利中�。
19.按照權利要求14所述的網絡,其中關于數字權利的管理�����、產生����、再生、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間����。
20.按照權利要求15所述的網絡,其中關于數字權利的管理����、產生、再生���、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間�����。
21.按照權利要求16所述的網絡���,其中關于數字權利的管理、產生��、再生���、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間����。
22.按照權利要求16所述的網絡���,其中關于數字權利的管理��、產生��、再生�、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間���。
23.按照權利要求1所述的網絡�����,其中在把數字權利分發(fā)給用戶之前�,每個用戶由服務器驗證為數字權利的合法用戶。
24.按照權利要求1所述的網絡����,包括向至少一個用戶中的每個用戶提供證書的認證機構;其中至少一個用戶中的每個用戶的證書被呈遞給服務器�,當用戶呈遞的證書證明該用戶是所請求的數字權利的合法用戶時,在管理器的控制下����,所述服務器把數字權利分發(fā)給呈遞用戶證書的每個用戶。
25.按照權利要求24所述的網絡�����,其中認證機構在至少一個虛擬專用網絡之內��。
26.按照權利要求24所述的網絡�,其中認證機構在至少一個虛擬專用網絡之外。
27.按照權利要求2所述的網絡�����,其中在至少一個虛擬專用網絡之外的至少一個數字權利用戶在另一虛擬專用網絡中�����,并且虛擬專用網絡由至少一個安全鏈路連接起來�����。
28.按照權利要求4所述的網絡�,其中在至少一個虛擬專用網絡之外的至少一個數字權利用戶在另一虛擬專用網絡中,并且虛擬專用網絡由至少一個安全鏈路連接起來�����。
29.按照權利要求1所述的網絡����,包括在至少一個虛擬專用網絡之外的外部數字權利來源,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利��;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供��。
30.按照權利要求2所述的網絡���,包括在至少一個虛擬專用網絡之外的外部數字權利來源���,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供。
31.按照權利要求3所述的網絡����,包括在至少一個虛擬專用網絡之外的外部數字權利來源,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利��;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供�����。
32.按照權利要求4所述的網絡����,包括在至少一個虛擬專用網絡之外的外部數字權利來源,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利�����;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供�。
33.按照權利要求5所述的網絡,包括在至少一個虛擬專用網絡之外的外部數字權利來源����,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供����。
34.按照權利要求10所述的網絡�����,包括在至少一個虛擬專用網絡之外的外部數字權利來源,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利�;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供。
35.按照權利要求14所述的網絡�����,包括在至少一個虛擬專用網絡之外的外部數字權利來源��,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利���;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供�����。
36.按照權利要求19所述的網絡��,包括在至少一個虛擬專用網絡之外的外部數字權利來源�����,所述外部數字權利來源可向所述至少一個虛擬專用網絡提供數字權利�����;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供��。
37.按照權利要求29所述的網絡����,其中外部數字權利來源與至少一個數字網絡的操作無關地工作。
38.在包括至少一個數字權利用戶和至少一個虛擬專用網絡的網絡中的一種數字權利分發(fā)方法���,其中所述每個數字權利用戶是數字權利的用戶�����,所述虛擬專用網絡包括數字權利的存儲器�,與至少一個數字權利用戶以及所述存儲器耦接���、把數字權利分發(fā)給至少一個數字權利用戶的服務器�����,以及與所述服務器和所述存儲器耦接的數字權利管理器�����,所述數字權利分發(fā)方法包括所述至少一個用戶中的至少一個用戶向服務器請求數字權利����;和響應來自至少一個用戶的請求,管理器控制從存儲器向服務器的數字權利的提供��,所述服務器把數字權利分發(fā)給請求數字權利的至少一個用戶�����。
39.按照權利要求38所述的方法�,其中所述至少一個數字權利用戶在至少一個虛擬專用網絡之外�。
40.按照權利要求38所述的方法,其中所述至少一個數字權利用戶在至少一個虛擬專用網絡之內���。
41.按照權利要求38所述的方法�,其中所述至少一個數字權利用戶是一個以上的數字權利用戶�,其中至少一個數字權利用戶在至少一個虛擬專用網絡之內,并且至少一個數字權利用戶在至少一個虛擬專用網絡之外�����。
42.按照權利要求38所述的方法,包括管理器管理網絡內的數字內容�����,包括數字權利����。
43.按照權利要求39所述的方法,其中管理器管理網絡內的數字內容�,包括數字權利。
44.按照權利要求40所述的方法�����,包括管理器管理網絡內的數字內容��,包括數字權利��。
45.按照權利要求41所述的方法��,包括管理器管理網絡內的數字內容�����,包括數字權利����。
46.按照權利要求42所述的方法�,其中數字內容包括視頻��、音頻�、文檔或文件至少之一。
47.按照權利要求42所述的方法����,包括管理器從數字內容和至少一個控制數字權利的策略產生數字權利,并把產生的數字權利存儲在存儲器中�����。
48.按照權利要求43所述的方法����,包括管理器從數字內容和至少一個控制數字權利的策略產生數字權利���,并把產生的數字權利存儲在存儲器中���。
49.按照權利要求44所述的方法,包括管理器從數字內容和至少一個控制數字權利的策略產生數字權利�����,并把產生的數字權利存儲在存儲器中。
50.按照權利要求45所述的方法�����,包括管理器從數字內容和至少一個控制數字權利的策略產生數字權利��,并把產生的數字權利存儲在存儲器中����。
51.按照權利要求47所述的方法,包括至少一個策略還包括和保存在存儲器中的數字權利的管理����、產生、再生�����、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件���。
52.按照權利要求48所述的方法��,包括至少一個策略還包括和保存在存儲器中的數字權利的管理����、產生、再生�����、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件�。
53.按照權利要求49所述的方法,包括至少一個策略還包括和保存在存儲器中的數字權利的管理�、產生、再生�����、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件���。
54.按照權利要求50所述的方法��,包括至少一個策略還包括和保存在存儲器中的數字權利的管理、產生����、再生、使用相關或和服務器把所述數字權利分發(fā)給至少一個用戶相關的條件��。
55.按照權利要求51所述的方法,其中策略是管理下述至少之一的一組規(guī)則何時��、如何產生�、再生、分發(fā)���、使用或管理數字權利�����,和什么使用條件應被包括在數字權利中��。
56.按照權利要求51所述的方法���,包括關于數字權利的管理、產生�、再生、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間�����。
57.按照權利要求52所述的方法�,包括關于數字權利的管理、產生、再生���、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間�。
58.按照權利要求53所述的方法��,包括關于數字權利的管理�、產生、再生���、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間���。
59.按照權利要求54所述的方法,包括關于數字權利的管理����、產生、再生�����、使用或分發(fā)的條件取決于至少一個用戶請求數字權利的時間����。
60.按照權利要求38所述的方法,包括在把數字權利分發(fā)給用戶之前�,每個用戶由服務器驗證為數字權利的合法用戶。
61.按照權利要求38所述的方法���,包括向至少一個用戶中的每個用戶提供證書的認證機構����;其中至少一個用戶中的每個用戶的證書被呈遞給服務器�,當用戶呈遞的證書證明該用戶是所請求的數字權利的合法用戶時,在管理器的控制下�����,所述服務器把數字權利分發(fā)給呈遞用戶證書的每個用戶�。
62.按照權利要求38所述的方法,其中在至少一個虛擬專用網絡之外的外部數字權利來源��,所述外部數字權利來源向所述至少一個虛擬專用網絡提供數字權利����;并且其中外部數字權利來源與之耦接的至少一個虛擬專用網絡的至少一個管理器控制從外部數字權利來源接收的數字權利的保存和向至少一個用戶的外部數字權利的提供。
63.按照權利要求62所述的方法����,包括認證機構在虛擬專用網絡之內�。
64.按照權利要求62所述的方法���,包括認證機構在虛擬專用網絡之外�����。
65.按照權利要求64所述的方法���,包括外部數字權利來源與至少一個數字網絡的操作無關地工作。
66.網絡中的一種數字權利分發(fā)方法�����,所述網絡包括至少一個數字權利用戶�、頒發(fā)數字權利的數字權利頒發(fā)者虛擬專用網絡和包括至少一個數字權利用戶的數字權利用戶虛擬專用網絡,其中所述每個數字權利用戶是數字權利的用戶�,所述每個虛擬專用網絡包括數字權利的存儲器,與至少一個數字權利用戶以及所述存儲器耦接���、把數字權利分發(fā)給至少一個數字權利用戶的服務器����,以及與所述服務器和所述存儲器耦接的數字權利管理器���,所述數字權利分發(fā)方法包括所述至少一個用戶中的至少一個用戶向數字權利用戶虛擬專用網絡的服務器請求數字權利���;數字權利用戶虛擬專用網絡的數字權利管理器向數字權利頒發(fā)者虛擬專用網絡請求數字權利;數字權利頒發(fā)者虛擬專用網絡把數字權利傳送給數字權利用戶虛擬專用網絡�;和數字權利用戶虛擬專用網絡把數字權利傳送給數字權利的至少一個用戶。
67.按照權利要求66所述的方法�,其中響應從數字權利頒發(fā)者虛擬專用網絡收到數字權利,數字權利用戶虛擬專用網絡把數字權利從數字權利管理器傳送給存儲器�����,從存儲器傳送給服務器�,并從服務器傳送給數字權利的至少一個用戶。
68.按照權利要求66所述的方法��,其中響應關于數字權利的請求�,數字權利頒發(fā)者虛擬專用網絡把請求從服務器傳送給產生數字權利的管理器;管理器產生的數字權利從管理器被傳送給存儲器��;數字權利從存儲器傳送給服務器����;和數字權利從服務器傳送給數字權利用戶虛擬專用網絡的管理器。
69.按照權利要求67所述的方法�,其中響應關于數字權利的請求�,數字權利頒發(fā)者虛擬專用網絡把請求從服務器傳送給產生數字權利的管理器�����;管理器產生的數字權利從管理器被傳送給存儲器�����;數字權利從存儲器傳送給服務器�;和數字權利從服務器傳送給數字權利用戶虛擬專用網絡的管理器。
全文摘要
本發(fā)明是一種提供一個或多個VPN(12)之內��,數字權利的有效和可控DRM的方法和網絡�����。根據本發(fā)明的網絡(10)包括至少一個數字權利用戶(18和20)�����,每個數字權利用戶是數字權利的用戶�����,數字權利的DRR(30)��,VPN(12),與至少一個DRU耦接����,并與存儲器耦接,把數字權利分發(fā)給至少一個DRU的DRDS(32)�����,和與DRDS耦接����、控制向至少一個DRU提供保存在DRR中的數字權利的DRPM(34)��。
文檔編號G06F21/00GK1662868SQ03814679
公開日2005年8月31日 申請日期2003年4月11日 優(yōu)先權日2002年5月28日
發(fā)明者張鵬, 閆崢, 帕特里克·達爾 申請人:諾基亞公司