專利名稱:數(shù)字版權管理中進行設備認證的方法
技術領域:
本發(fā)明涉及數(shù)字版權管理的技術,特別涉及數(shù)字版權管理中設備認證的技術�。
背景技術:
基于數(shù)字化信息的特點決定了必須有另一種獨特的技術���,來加強保護這些數(shù) 字化的音視頻節(jié)目內(nèi)容的版權�,該技術就是數(shù)字版權管理技術——DRM(digital right management)����,DRM技術的工作原理是首先建立數(shù)字節(jié)目授權中心���,編碼壓縮數(shù)字節(jié)目內(nèi) 容,利用密鑰(key)可以加密保護(lock)編碼壓縮后的數(shù)字節(jié)目內(nèi)容����,加密的編碼壓縮后 的數(shù)字節(jié)目頭部存放著KeyID和數(shù)字節(jié)目授權中心的URL�����,用戶在點播時�����,根據(jù)加密的編碼 壓縮后的數(shù)字節(jié)目頭部存放的KeyID和URL信息����,就可以通過數(shù)字節(jié)目授權中心的驗證授 權后送出的相關密鑰進行解密(unlock)����,節(jié)目方可播放����,因為需要保護的節(jié)目被加密�,因此 即使被用戶下載保存,若沒有得到數(shù)字節(jié)目授權中心的驗證授權也無法播放�,從而嚴密的 保護了節(jié)目的版權���,但是現(xiàn)在的DRM技術的側(cè)重點主要集中在用戶認證和授權等方面,在 設備認證方面主要有以下問題1)未對設備進行認證�����,可能會出現(xiàn)非該DRM系統(tǒng)的設備假 冒�����,從而留下安全隱患���;2)采用離線認證的方式�,事先將設備認證所需數(shù)據(jù)存儲在用戶計 算機上����,設備通過用戶計算機完成認證,這樣可能會因為認證數(shù)據(jù)無法及時更新或被篡改 而造成認證結果不正確�;3)采用在線認證的方式����,其步驟主要是首先通過根證書認證終端 設備二級CA證書和終端設備證書,通過后使用終端設備證書加密隨機數(shù)���,再用終端設備證 書私鑰解密�,若得到的結果和原隨機數(shù)相同則認證成功����,這樣只是設備認證服務器對終端 設備進行認證,而終端設備并不對設備認證服務器進行認證����,設備認證服務器有可能被假 冒��,從而留下安全隱患�����,并且需要額外采用智能卡、USBKey等外部介質(zhì)�����,增加成本����。
發(fā)明內(nèi)容
本發(fā)明的目的是克服目前數(shù)字版權管理技術中設備認證在線認證方式只進行單 向認證的缺點����,提供一種數(shù)字版權管理中進行設備認證的方法��。本發(fā)明解決其技術問題�����,采用的技術方案是數(shù)字版權管理中進行設備認證的方 法��,其特征在于�����,包括以下步驟a.由DRM系統(tǒng)的證書管理系統(tǒng)發(fā)布根證書����,用該根證書生成設備二級CA(數(shù)字證 書認證中心)證書及服務器二級CA證書,使用設備二級CA證書和服務器二級CA證書分別 生成終端設備證書和設備認證服務器證書���;b.將根證書���、設備二級CA證書、終端設備證書及其私鑰存儲在終端設備中���;c.將根證書、服務器二級CA證書��、設備認證服務器證書及其私鑰存儲在設備認證 服務器中��;d.設備認證時���,終端設備與設備認證服務器建立網(wǎng)絡連接�����,終端設備向設備認證 服務器發(fā)起認證請求�,該認證請求中包括終端設備ID���、終端設備證書序列號����;e.設備認證服務器收到終端設備發(fā)送來的認證請求����,回復設備認證服務器ID �;
f.終端設備向設備認證服務器發(fā)送終端二級CA證書及終端設備證書;g.設備認證服務器驗證接收到的終端設備證書及終端二級CA證書得到服務器驗 證結果���,并向終端設備發(fā)送服務器二級CA證書及設備認證服務器證書;h.終端設備驗證接收到的服務器二級CA證書及設備認證服務器證書得到終端驗 證結果�,并生成一個隨機數(shù)NA,用設備認證服務器證書的公鑰加密后將終端驗證結果一起 發(fā)送給設備認證服務器���;i.設備認證服務器生成一個隨機數(shù)NB���,用終端設備證書的公鑰加密后將服務器 驗證結果一起發(fā)送給終端設備;j.終端設備根據(jù)接收到的服務器驗證結果判斷終端設備證書及終端二級CA證書 是否通過驗證�����,若不是則驗證失敗�,結束認證,若是則使用終端設備證書的私鑰解密接收到 的加密后的隨機數(shù)NB得到NB����,,并與隨機數(shù)NA進行某種運算得到一個交易號f (NA��,NB�����,)��, 并將該交易號f(NA�,NB’ )發(fā)送給設備認證服務器�����,進入下一步�����;k.設備認證服務器根據(jù)接收到的終端驗證結果判斷服務器二級CA證書及設備認 證服務器證書是否通過驗證,若不是則向終端設備發(fā)送驗證失敗�����,結束認證���,若是則使用設 備認證服務器證書的私鑰解密接收到的加密后的隨機數(shù)NA得到NA’,并與隨機數(shù)NB進行j 步驟所述某種運算得到一個服務器交易號f (NA’��,NB)�,比較接收到的交易號f (NA���,NB')與 服務器交易號f(NA’,NB)是否相同�����,若是則設備認證成功�,并將比較結果發(fā)送給終端設備, 進入下一步�����,若不是則設備認證不成功,并將比較結果發(fā)送給終端設備����,進入下一步����;1.終端設備接收到比較結果,斷開與設備認證服務器的網(wǎng)絡連接�����,根據(jù)接收到的 比較結果判斷交易號f(NA�����,NB��,)與服務器交易號f(NA��,����,NB)是否相同,若是則認為設備認 證成功�����,若不是則認為設備認證不成功�。具體的,步驟b包括以下步驟bl.判斷該DRM系統(tǒng)是否有證書吊銷列表����,若是則進入b2步驟���,若不是則進入b3 步驟�����;b2.將該證書吊銷列表作為終端吊銷列表與根證書、設備二級CA證書�、終端設備 證書及其私鑰一起存儲在終端設備中,進入c步驟����;b3.將根證書��、設備二級CA證書、終端設備證書及其私鑰存儲在終端設備中����,進入 c步驟;步驟c包括以下步驟cl.判斷該DRM系統(tǒng)是否有證書吊銷列表����,若是則進入c2步驟,若不是則進入c3 步驟�����;c2.將該證書吊銷列表作為服務器吊銷列表與根證書���、服務器二級CA證書、設備 認證服務器證書及其私鑰一起存儲在設備認證服務器中�,且服務器吊銷列表根據(jù)該DRM系 統(tǒng)的運行時刻進行更新,進入d步驟���;c3.將根證書��、服務器二級CA證書�、設備認證服務器證書及其私鑰存儲在設備認 證服務器中�����,進入d步驟����;步驟d包括以下步驟dl.設備認證時,終端設備與設備認證服務器建立網(wǎng)絡連接�;d2.終端設備向設備認證服務器發(fā)起認證請求,該認證請求中包括終端設備ID�����、終端設備證書序列號及終端吊銷列表版本號�,若無終端吊銷列表版本號����,可以不發(fā)送或?qū)?終端吊銷列表版本號置為0 ;步驟e包括以下步驟el.設備認證服務器收到終端設備發(fā)送來的認證請求��,回復設備認證服務器ID及 服務器吊銷列表版本號����,若無服務器吊銷列表版本號�,可以不發(fā)送或?qū)⒎掌鞯蹁N列表版 本號置為0,判斷接收到的終端吊銷列表版本號是否小于服務器吊銷列表版本號�����,若是則向 終端設備發(fā)送該服務器吊銷列表�����,進入e2步驟��,若不是則不進行處理直接進入f步驟�����;e2.終端設備根據(jù)接收到的服務器吊銷列表版本號及服務器吊銷列表作為新的終 端吊銷列表版本號及終端吊銷列表更換之前存儲的終端吊銷列表版本號及終端吊銷列表����, 進入f步驟�����;步驟g包括以下步驟gl.設備認證服務器驗證接收到的終端設備證書及終端二級CA證書得到服務器 驗證結果����,并從終端設備證書中獲取終端設備證書序列號��,判斷該終端設備證書序列號是 否存在于服務器吊銷列表中��,若是則進入g2步驟����,若不是則進入g3步驟�;g2.向終端設備發(fā)送證書已被吊銷的信息�����,設備認證失?�?����;g3.向終端設備發(fā)送服務器二級CA證書及設備認證服務器證書����。進一步的,步驟j所述某種運算為哈希運算或MD5運算或SHA128運算或SHA256 運算��。本發(fā)明的有益效果是�,通過上述數(shù)字版權管理中進行設備認證的方法����,由于每次 設備認證的時候均通過設備認證服務器,能保證設備認證數(shù)據(jù)是最新的且正確的��,所需數(shù) 字證書事先燒制在終端設備內(nèi)����,不需要額外增加設備,不會增加成本��,且終端設備與設備認 證服務器之間采用雙向認證的方式����,避免安全隱患�。
具體實施例方式下面結合實施例,詳細描述本發(fā)明的技術方案���。本發(fā)明所述數(shù)字版權管理中進行設備認證的方法為首先由DRM系統(tǒng)的證書管理 系統(tǒng)發(fā)布根證書���,用該根證書生成設備二級CA(數(shù)字證書認證中心)證書及服務器二級CA 證書,使用設備二級CA證書和服務器二級CA證書分別生成終端設備證書和設備認證服務 器證書�,再將根證書、設備二級CA證書�、終端設備證書及其私鑰存儲在終端設備中,將根證 書�、服務器二級CA證書、設備認證服務器證書及其私鑰存儲在設備認證服務器中���,在設備 認證時��,終端設備與設備認證服務器建立網(wǎng)絡連接,終端設備首先向設備認證服務器發(fā)起 認證請求����,該認證請求中包括終端設備ID、終端設備證書序列號�,然后設備認證服務器收到 終端設備發(fā)送來的認證請求后,回復設備認證服務器ID���,終端設備再向設備認證服務器發(fā) 送終端二級CA證書及終端設備證書���,設備認證服務器驗證接收到的終端設備證書及終端 二級CA證書得到服務器驗證結果�,并向終端設備發(fā)送服務器二級CA證書及設備認證服務 器證書���,然后終端設備驗證接收到的服務器二級CA證書及設備認證服務器證書得到終端 驗證結果,并生成一個隨機數(shù)NA�,用設備認證服務器證書的公鑰加密后將終端驗證結果一 起發(fā)送給設備認證服務器,設備認證服務器同時生成一個隨機數(shù)NB����,用終端設備證書的公 鑰加密后將服務器驗證結果一起發(fā)送給終端設備��,然后終端設備根據(jù)接收到的服務器驗證
6結果判斷終端設備證書及終端二級CA證書是否通過驗證�����,若不是則驗證失敗����,結束認證��, 若是則使用終端設備證書的私鑰解密接收到的加密后的隨機數(shù)NB得到NB’�,并與隨機數(shù)NA 進行某種運算得到一個交易號f(NA,NB�,),并將該交易號f(NA��,NB')發(fā)送給設備認證服 務器��,設備認證服務器根據(jù)接收到的終端驗證結果判斷服務器二級CA證書及設備認證服 務器證書是否通過驗證����,若不是則向終端設備發(fā)送驗證失敗,結束認證����,若是則使用設備認 證服務器證書的私鑰解密接收到的加密后的隨機數(shù)NA得到NA’,并與隨機數(shù)NB進行與終 端設備使用的某種運算相同的運算得到一個服務器交易號f(NA’��,NB)�,比較接收到的交易 號f (NA����,NB')與服務器交易號f (NA,�����,NB)是否相同���,若是則設備認證成功��,并將比較結果 發(fā)送給終端設備��,若不是則設備認證不成功��,并將比較結果發(fā)送給終端設備�,終端設備接收 到比較結果����,斷開與設備認證服務器的網(wǎng)絡連接��,根據(jù)接收到的比較結果判斷交易號f(NA��, NB’ )與服務器交易號f (ΝΑ’�,NB)是否相同,若是則認為設備認證成功�,若不是則認為設備 認證不成功�����。實施例本例采用的某種運算為哈希運算或MD5運算或SHA128運算或SHA256運算����。首先由DRM系統(tǒng)的證書管理系統(tǒng)發(fā)布根證書��,用該根證書生成設備二級CA(數(shù)字 證書認證中心)證書及服務器二級CA證書��,使用設備二級CA證書和服務器二級CA證書分 別生成終端設備證書和設備認證服務器證書���,再判斷該DRM系統(tǒng)是否有證書吊銷列表�,若 是則將該證書吊銷列表作為終端吊銷列表與根證書、設備二級CA證書�����、終端設備證書及其 私鑰一起存儲在終端設備中�,并將該證書吊銷列表作為服務器吊銷列表與根證書、服務器 二級CA證書����、設備認證服務器證書及其私鑰一起存儲在設備認證服務器中,且服務器吊銷 列表根據(jù)該DRM系統(tǒng)的運行時刻進行更新��,若不是則將根證書��、設備二級CA證書�����、終端設 備證書及其私鑰存儲在終端設備中����,將根證書、服務器二級CA證書���、設備認證服務器證書 及其私鑰存儲在設備認證服務器中����,在設備認證時���,終端設備與設備認證服務器建立網(wǎng)絡 連接���,終端設備首先向設備認證服務器發(fā)起認證請求����,該認證請求中包括終端設備ID�����、終端 設備證書序列號及終端吊銷列表版本號��,若無終端吊銷列表版本號,可以不發(fā)送或?qū)⒔K端 吊銷列表版本號置為0���,設備認證服務器收到終端設備發(fā)送來的認證請求,回復設備認證服 務器ID及服務器吊銷列表版本號�,若無服務器吊銷列表版本號,可以不發(fā)送或?qū)⒎掌鞯?銷列表版本號置為0�,判斷接收到的終端吊銷列表版本號是否小于服務器吊銷列表版本號, 若是則向終端設備發(fā)送該服務器吊銷列表��,終端設備根據(jù)接收到的服務器吊銷列表版本號 及服務器吊銷列表作為新的終端吊銷列表版本號及終端吊銷列表更換之前存儲的終端吊 銷列表版本號及終端吊銷列表��,若不是則不進行處理�,然后終端設備再向設備認證服務器 發(fā)送終端二級CA證書及終端設備證書�,設備認證服務器驗證接收到的終端設備證書及終 端二級CA證書得到服務器驗證結果,并在具有服務器吊銷列表時����,從終端設備證書中獲取 終端設備證書序列號,判斷該終端設備證書序列號是否存在于服務器吊銷列表中��,若是則 向終端設備發(fā)送證書已被吊銷的信息��,設備認證失敗�,若不是則向終端設備發(fā)送服務器二 級CA證書及設備認證服務器證書�,然后終端設備驗證接收到的服務器二級CA證書及設備 認證服務器證書得到終端驗證結果���,并生成一個隨機數(shù)NA,用設備認證服務器證書的公鑰 加密后將終端驗證結果一起發(fā)送給設備認證服務器�,設備認證服務器同時生成一個隨機數(shù) NB,用終端設備證書的公鑰加密后將服務器驗證結果一起發(fā)送給終端設備�,然后終端設備
7根據(jù)接收到的服務器驗證結果判斷終端設備證書及終端二級CA證書是否通過驗證,若不 是則驗證失敗�,結束認證,若是則使用終端設備證書的私鑰解密接收到的加密后的隨機數(shù) NB得到NB�����,���,并與隨機數(shù)NA進行某種運算(哈希運算或MD5運算或SHA128運算或SHA256 運算����,這些運算方式均為常用的加密運算方式)得到一個交易號f(NA,NB’)�,并將該交易號 f(NA,NB’ )發(fā)送給設備認證服務器��,設備認證服務器根據(jù)接收到的終端驗證結果判斷服務 器二級CA證書及設備認證服務器證書是否通過驗證,若不是則向終端設備發(fā)送驗證失敗��, 結束認證��,若是則使用設備認證服務器證書的私鑰解密接收到的加密后的隨機數(shù)NA得到 NA’���,并與隨機數(shù)NB進行與終端設備使用的某種運算相同的運算(即與終端設備使用相同 的哈希運算或MD5運算或SHA128運算或SHA256運算,例如若終端設備使用哈希運算�,則此 時設備認證服務器也采用相同的哈希運算)得到一個服務器交易號f(NA’,NB)�����,比較接收 到的交易號f (NA�,NB')與服務器交易號f (NA’�,NB)是否相同,若是則設備認證成功�����,并將 比較結果發(fā)送給終端設備���,若不是則設備認證不成功����,并將比較結果發(fā)送給終端設備,終端 設備接收到比較結果��,斷開與設備認證服務器的網(wǎng)絡連接�����,根據(jù)接收到的比較結果判斷交 易號f (NA�,NB')與服務器交易號f (NA’���,NB)是否相同�,若是則認為設備認證成功��,若不是 則認為設備認證不成功�。
8
權利要求
數(shù)字版權管理中進行設備認證的方法,其特征在于����,包括以下步驟a.由DRM系統(tǒng)的證書管理系統(tǒng)發(fā)布根證書�����,用該根證書生成設備二級CA證書及服務器二級CA證書��,使用設備二級CA證書和服務器二級CA證書分別生成終端設備證書和設備認證服務器證書��;b.將根證書����、設備二級CA證書、終端設備證書及其私鑰存儲在終端設備中��;c.將根證書�、服務器二級CA證書、設備認證服務器證書及其私鑰存儲在設備認證服務器中����;d.設備認證時�����,終端設備與設備認證服務器建立網(wǎng)絡連接����,終端設備向設備認證服務器發(fā)起認證請求��,該認證請求中包括終端設備ID�����、終端設備證書序列號�;e.設備認證服務器收到終端設備發(fā)送來的認證請求��,回復設備認證服務器ID����;f.終端設備向設備認證服務器發(fā)送終端二級CA證書及終端設備證書���;g.設備認證服務器驗證接收到的終端設備證書及終端二級CA證書得到服務器驗證結果��,并向終端設備發(fā)送服務器二級CA證書及設備認證服務器證書���;h.終端設備驗證接收到的服務器二級CA證書及設備認證服務器證書得到終端驗證結果,并生成一個隨機數(shù)NA���,用設備認證服務器證書的公鑰加密后將終端驗證結果一起發(fā)送給設備認證服務器����;i.設備認證服務器生成一個隨機數(shù)NB,用終端設備證書的公鑰加密后將服務器驗證結果一起發(fā)送給終端設備���;j.終端設備根據(jù)接收到的服務器驗證結果判斷終端設備證書及終端二級CA證書是否通過驗證����,若不是則驗證失敗,結束認證�,若是則使用終端設備證書的私鑰解密接收到的加密后的隨機數(shù)NB得到NB’,并與隨機數(shù)NA進行某種運算得到一個交易號f(NA����,NB’),并將該交易號f(NA�,NB’)發(fā)送給設備認證服務器,進入下一步����;k.設備認證服務器根據(jù)接收到的終端驗證結果判斷服務器二級CA證書及設備認證服務器證書是否通過驗證���,若不是則向終端設備發(fā)送驗證失敗��,結束認證��,若是則使用設備認證服務器證書的私鑰解密接收到的加密后的隨機數(shù)NA得到NA’����,并與隨機數(shù)NB進行j步驟所述某種運算得到一個服務器交易號f(NA’,NB)�,比較接收到的交易號f(NA,NB’)與服務器交易號f(NA’�,NB)是否相同���,若是則設備認證成功���,并將比較結果發(fā)送給終端設備,進入下一步����,若不是則設備認證不成功,并將比較結果發(fā)送給終端設備���,進入下一步����;l.終端設備接收到比較結果����,斷開與設備認證服務器的網(wǎng)絡連接,根據(jù)接收到的比較結果判斷交易號f(NA��,NB’)與服務器交易號f(NA’�,NB)是否相同����,若是則認為設備認證成功,若不是則認為設備認證不成功�。
2.根據(jù)權利要求1所述數(shù)字版權管理中進行設備認證的方法,其特征在于����,步驟b包括 以下步驟bl.判斷該DRM系統(tǒng)是否有證書吊銷列表,若是則進入b2步驟���,若不是則進入b3步驟�����;b2.將該證書吊銷列表作為終端吊銷列表與根證書���、設備二級CA證書�、終端設備證書 及其私鑰一起存儲在終端設備中���,進入c步驟���;b3.將根證書、設備二級CA證書��、終端設備證書及其私鑰存儲在終端設備中���,進入c步驟;步驟c包括以下步驟cl.判斷該DRM系統(tǒng)是否有證書吊銷列表����,若是則進入c2步驟,若不是則進入c3步驟��; c2.將該證書吊銷列表作為服務器吊銷列表與根證書�����、服務器二級CA證書�����、設備認證 服務器證書及其私鑰一起存儲在設備認證服務器中,且服務器吊銷列表根據(jù)該DRM系統(tǒng)的 運行時刻進行更新�,進入d步驟;c3.將根證書����、服務器二級CA證書�����、設備認證服務器證書及其私鑰存儲在設備認證服 務器中�����,進入d步驟�;步驟d包括以下步驟dl.設備認證時���,終端設備與設備認證服務器建立網(wǎng)絡連接����;d2.終端設備向設備認證服務器發(fā)起認證請求�����,該認證請求中包括終端設備ID、終端 設備證書序列號及終端吊銷列表版本號�����,若無終端吊銷列表版本號��,可以不發(fā)送或?qū)⒔K端 吊銷列表版本號置為0 �����; 步驟e包括以下步驟el.設備認證服務器收到終端設備發(fā)送來的認證請求�����,回復設備認證服務器ID及服務 器吊銷列表版本號�,若無服務器吊銷列表版本號����,可以不發(fā)送或?qū)⒎掌鞯蹁N列表版本號 置為0,判斷接收到的終端吊銷列表版本號是否小于服務器吊銷列表版本號����,若是則向終端 設備發(fā)送該服務器吊銷列表,進入e2步驟����,若不是則不進行處理直接進入f步驟;e2.終端設備根據(jù)接收到的服務器吊銷列表版本號及服務器吊銷列表作為新的終端吊 銷列表版本號及終端吊銷列表更換之前存儲的終端吊銷列表版本號及終端吊銷列表�,進入 f步驟;步驟g包括以下步驟gl.設備認證服務器驗證接收到的終端設備證書及終端二級CA證書得到服務器驗證 結果��,并從終端設備證書中獲取終端設備證書序列號��,判斷該終端設備證書序列號是否存 在于服務器吊銷列表中��,若是則進入g2步驟��,若不是則進入g3步驟���; g2.向終端設備發(fā)送證書已被吊銷的信息����,設備認證失敗���; g3.向終端設備發(fā)送服務器二級CA證書及設備認證服務器證書�����。
3.根據(jù)權利要求1或2所述數(shù)字版權管理中進行設備認證的方法�����,其特征在于��,步驟j 所述某種運算為哈希運算或MD5運算或SHA128運算或SHA256運算��。
全文摘要
本發(fā)明涉及數(shù)字版權管理的技術�。本發(fā)明解決了現(xiàn)有數(shù)字版權管理技術中設備認證在線認證方式只進行單向認證的問題�����,提供了一種數(shù)字版權管理中進行設備認證的方法�,其技術方案可概括為將終端設備的各種證書及私鑰保存在終端設備中,將設備認證服務器的各種證書及私鑰保存在設備認證服務器中��,采用終端設備與設備認證服務器雙向認證的方式進行終端設備的認證�����。本發(fā)明的有益效果是�����,避免安全隱患,適用于數(shù)字版權管理中的設備認證���。
文檔編號H04L9/32GK101977113SQ20101053392
公開日2011年2月16日 申請日期2010年11月5日 優(yōu)先權日2010年11月5日
發(fā)明者劉賢洪, 張新法, 胡皓 申請人:四川長虹電器股份有限公司