專利名稱:多密鑰內(nèi)容處理系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字內(nèi)容處理的系統(tǒng)和方法,更具體地說�,本發(fā)明涉及對具有多密鑰的數(shù)字內(nèi)容進(jìn)行有效管理的系統(tǒng)和方法。
背景技術(shù):
隨著信息的數(shù)字化��,人們可以通過數(shù)字方式獲得諸如視頻��、音頻和數(shù)據(jù)等各種類型的數(shù)字信息�。出于版權(quán)保護(hù)的目的�,在從特定的媒體(例如,因特網(wǎng)或諸如光盤��、磁盤之類的物理存儲介質(zhì))上獲取這些信息時���,需要擁有相應(yīng)的密鑰���,這通常稱為“數(shù)字權(quán)利管理”(DRM)����。在DRM領(lǐng)域中��,所述數(shù)字信息也稱為數(shù)字內(nèi)容或數(shù)字資產(chǎn)����,每個所述數(shù)字內(nèi)容都由一個內(nèi)容密鑰CK進(jìn)行保護(hù)。
2003年4月22日提交的中國專利申請03123222.1提出了一種分層的內(nèi)容密鑰管理系統(tǒng)(該申請的全部內(nèi)容收錄于此���,以供參考)�。在該系統(tǒng)中�,假定每個內(nèi)容在密鑰樹中應(yīng)當(dāng)有一個唯一的位置,該位置對應(yīng)于一個授權(quán)密鑰AK�。也就是說,每個內(nèi)容應(yīng)當(dāng)有一個能夠唯一標(biāo)識該內(nèi)容在分層密鑰樹中的位置的內(nèi)容名(或路徑)�����。該系統(tǒng)可以很好地適用于一個內(nèi)容對應(yīng)于一個位置(即��,一個內(nèi)容僅具有一個授權(quán)密鑰AK)的情況。
但是在實際使用該系統(tǒng)時���,人們發(fā)現(xiàn)有時需要將一個內(nèi)容放置在若干位置上�。例如�����,電影《星球大戰(zhàn)II》可以位于“星球大戰(zhàn)系列\(zhòng)星球大戰(zhàn)II”路徑中�����,也可以位于“電影\美國\2002\星球大戰(zhàn)II”路徑中��。對于前述的分層內(nèi)容密鑰管理系統(tǒng)�,一方面,由位置決定內(nèi)容的授權(quán)密鑰����,于是,一個內(nèi)容將具有兩個不同的授權(quán)密鑰����;而另一方面��,理想的是用戶應(yīng)當(dāng)有這兩個密鑰之一就可解密該內(nèi)容。這兩方面顯然是矛盾的�。
解決這一多路徑(或說多名稱、多位置)內(nèi)容的問題的簡單方法當(dāng)然可以是對內(nèi)容進(jìn)行多份不同加密的拷貝���,每一份分別有一個授權(quán)密鑰����,但這會消耗大量的存儲資源��,同時為內(nèi)容管理帶來困難�。
發(fā)明內(nèi)容
為了有效解決上述多路徑內(nèi)容的問題,提出了本發(fā)明的系統(tǒng)和方法��。
本發(fā)明提出了一種數(shù)字內(nèi)容處理方法��,用于對具有至少一個分發(fā)目標(biāo)位置的內(nèi)容進(jìn)行處理���,所述至少一個分發(fā)目標(biāo)位置中的每個分別對應(yīng)于一個授權(quán)密鑰�,該方法包括用一個內(nèi)容密鑰對所述內(nèi)容進(jìn)行加密��;根據(jù)所述內(nèi)容密鑰和所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰來形成密鑰鏈接���;以及將所述密鑰鏈接附加于內(nèi)容��。
本發(fā)明提出了一種數(shù)字內(nèi)容處理系統(tǒng)�,用于對具有至少一個分發(fā)目標(biāo)位置的內(nèi)容進(jìn)行處理,所述至少一個分發(fā)目標(biāo)位置中的每個分別對應(yīng)于一個授權(quán)密鑰����,該系統(tǒng)包括用于用一個內(nèi)容密鑰對所述內(nèi)容進(jìn)行加密的加密裝置;用于根據(jù)所述內(nèi)容密鑰和所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰來形成密鑰鏈接的密鑰鏈接形成裝置����;以及用于將所述密鑰鏈接附加于內(nèi)容的附加裝置。
通過本發(fā)明的方法和系統(tǒng)��,可以在加密端將內(nèi)容與其各分發(fā)目標(biāo)位置��,或說其各授權(quán)密鑰���,在邏輯上和計算上關(guān)聯(lián)起來�����,從而用戶擁有其中任何一個授權(quán)密鑰����,均可解密該內(nèi)容。這樣��,無需針對每個分發(fā)目標(biāo)位置復(fù)制所述內(nèi)容��,只需內(nèi)容的一份拷貝即可滿足所有位置的需求���。
此外,本發(fā)明還公開了在解密端的相應(yīng)操作�。
本發(fā)明提出了一種用于一個分發(fā)目標(biāo)位置的數(shù)字內(nèi)容處理方法,所述一個分發(fā)目標(biāo)位置具有一個授權(quán)密鑰�,所述內(nèi)容具有對其進(jìn)行加密的內(nèi)容密鑰(CK)以及密鑰綁定數(shù)據(jù),所述密鑰綁定數(shù)據(jù)包括對應(yīng)于至少一個分發(fā)目標(biāo)位置的密鑰鏈接���,所述密鑰鏈接將內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)�,該方法包括獲取所述內(nèi)容���;將所述授權(quán)密鑰與所述密鑰綁定數(shù)據(jù)中的密鑰鏈接進(jìn)行對照��,以判定所述授權(quán)密鑰是否可用于任何密鑰鏈接��;在所述授權(quán)密鑰可用于某個密鑰鏈接時��,根據(jù)該授權(quán)密鑰計算所述內(nèi)容密鑰�,以用于解密內(nèi)容。
本發(fā)明提出了一種用于一個分發(fā)目標(biāo)位置的數(shù)字內(nèi)容處理系統(tǒng)�����,所述一個分發(fā)目標(biāo)位置具有一個授權(quán)密鑰����,所述內(nèi)容具有對其進(jìn)行加密的內(nèi)容密鑰以及密鑰綁定數(shù)據(jù),所述密鑰綁定數(shù)據(jù)包括對應(yīng)于至少一個分發(fā)目標(biāo)位置的密鑰鏈接�����,所述密鑰鏈接將內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)�����,該系統(tǒng)包括一個獲取裝置���,用于獲取所述內(nèi)容��;一個分析裝置��,用于將所述授權(quán)密鑰與所述密鑰綁定數(shù)據(jù)中的密鑰鏈接進(jìn)行對照�����,以判定所述授權(quán)密鑰是否可用于任何密鑰鏈接���;以及一個解密裝置�,用于在所述授權(quán)密鑰可用于某個密鑰鏈接時�,根據(jù)該授權(quán)密鑰計算所述內(nèi)容密鑰����,以用于解密內(nèi)容。
圖1示出了根據(jù)本發(fā)明的方法在內(nèi)容加密端的流程圖�����;圖2示出了根據(jù)本發(fā)明的系統(tǒng)在內(nèi)容加密端的框圖��;圖3示出了根據(jù)本發(fā)明方法的優(yōu)選實施方式在內(nèi)容加密端的流程圖���;圖4示出了采用根據(jù)本發(fā)明方法的內(nèi)容的一種示例結(jié)構(gòu)���;圖5示出了根據(jù)本發(fā)明的方法在內(nèi)容解密端的流程圖;圖6示出了根據(jù)本發(fā)明的系統(tǒng)在內(nèi)容解密端的框圖����。
具體實施例方式
以下,將參照附圖對本發(fā)明的各種實施方式進(jìn)行說明。
應(yīng)當(dāng)指出����,盡管以下將主要以在因特網(wǎng)上分發(fā)的內(nèi)容(例如,音頻��、視頻或數(shù)據(jù)信息等)為例對本發(fā)明進(jìn)行詳細(xì)描述�,但本領(lǐng)域技術(shù)人員可以理解,本發(fā)明并不局限于此����。本發(fā)明所關(guān)心的是對一個內(nèi)容對應(yīng)于多個授權(quán)密鑰的情形進(jìn)行處理,其適用于任何需要進(jìn)行這種處理的場合���,而與內(nèi)容的分發(fā)方式�����、分發(fā)媒介等無關(guān)��,因此本發(fā)明同樣適用于例如從光盤���、磁盤之類的物理存儲介質(zhì)上訪問的內(nèi)容。
首先�����,參照圖1描述根據(jù)本發(fā)明的方法在內(nèi)容加密端的總體流程圖。
該方法從步驟S10開始�,隨后進(jìn)入步驟S12,其中使用一個內(nèi)容密鑰CK對一個內(nèi)容����,例如電影《星球大戰(zhàn)II》,進(jìn)行加密�����。按照傳統(tǒng)方式��,將內(nèi)容加密后即準(zhǔn)備將該內(nèi)容分發(fā)到一個需要放置它的分發(fā)目標(biāo)位置上�����,例如因特網(wǎng)上的路徑“星球大戰(zhàn)系列\(zhòng)星球大戰(zhàn)”中���。但是,根據(jù)本發(fā)明的方法在所述加密步驟后加入了一個密鑰鏈接形成步驟S14���,用于根據(jù)所述內(nèi)容密鑰CK和該分發(fā)目標(biāo)位置的授權(quán)密鑰形成一個密鑰鏈接KL�����,由此實現(xiàn)內(nèi)容的統(tǒng)一����、緊湊管理。以下將對密鑰鏈接形成步驟S14進(jìn)行詳細(xì)說明�����。
如前所述�,對于中國專利申請03123222.1提出的分層的內(nèi)容密鑰管理系統(tǒng),一個分發(fā)目標(biāo)位置具有一個相應(yīng)的授權(quán)密鑰AK�,該授權(quán)密鑰AK具有一個標(biāo)識出該授權(quán)密鑰屬于哪個分發(fā)目標(biāo)位置的標(biāo)識符AK_ID。典型地���,該AK_ID例如可以是該分發(fā)目標(biāo)位置的URL��,不過也可以是能夠標(biāo)識該分發(fā)目標(biāo)位置的其他參數(shù)(例如�,對于物理存儲媒介���,該標(biāo)識符可以是文件路徑)��。所述AK和AK_ID構(gòu)成關(guān)于該分發(fā)目標(biāo)位置的授權(quán)密鑰信息�。
在本發(fā)明的方法中,在將內(nèi)容分發(fā)到分發(fā)目標(biāo)位置前�����,先形成一個密鑰鏈接�,所述密鑰鏈接用于將內(nèi)容與其分發(fā)目標(biāo)位置(即,該分發(fā)目標(biāo)位置的AK)關(guān)聯(lián)起來���。當(dāng)存在多個所述密鑰鏈接時���,只要有其中任何一個正確的授權(quán)密鑰AK即可計算內(nèi)容密鑰CK,從而對內(nèi)容進(jìn)行解密���。一個典型的密鑰鏈接可以包括1)所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰AK與所述內(nèi)容密鑰CK的映射關(guān)系以及2)對所述授權(quán)密鑰AK對應(yīng)的分發(fā)目標(biāo)位置的標(biāo)識。例如���,在本發(fā)明的一個實施方式中��,通過將一個用于將所述分發(fā)目標(biāo)位置的授權(quán)密鑰AK映射到所述內(nèi)容密鑰CK的參數(shù)與所述授權(quán)密鑰標(biāo)識符AK_ID組合起來�����,形成密鑰鏈接�。
以下描述密鑰鏈接的形成方式。
首先��,可通過將用授權(quán)密鑰AK對內(nèi)容密鑰CK進(jìn)行加密的密文與授權(quán)密鑰標(biāo)識符AK_ID組合起來����,形成密鑰鏈接。這時����,用于將所述分發(fā)目標(biāo)位置的授權(quán)密鑰AK映射到所述內(nèi)容密鑰CK的參數(shù)是所述密文。
另外���,還可通過如下等式形成密鑰鏈接KL=AK_ID+(MD(AK)^CK)(1)其中^表示異或(模2加)計算�����,MD(x)是任何一種散列算法(單向算法)�。這時�,用于將所述分發(fā)目標(biāo)位置的授權(quán)密鑰AK映射到所述內(nèi)容密鑰CK的參數(shù)是所述單向算法結(jié)果的一個修正值KLmod,即等式(1)中加號后面的部分����。本領(lǐng)域技術(shù)人員知道,對于KLmod=(MD(AK)^CK)��,可以計算CK=MD(AK)^KLmod,這是因為單向算法的結(jié)果不可能直接等于CK(因為單向算法的結(jié)果不可預(yù)知)����,所以需要再異或一個數(shù)值(即,KLmod)����,以便能夠計算出CK。
此外�����,還可通過簡單的對所述AK和CK進(jìn)行異或運(yùn)算����,并將異或運(yùn)算的修正值與授權(quán)密鑰標(biāo)識符AK_ID組合起來,形成密鑰鏈接����。
以上只是給出了密鑰鏈接形成方式的示例�����,但本領(lǐng)域技術(shù)人員可以理解��,本發(fā)明并不局限于上述方式。實際上�����,具體采用怎樣的AK-CK映射參數(shù)與本發(fā)明的實施不相關(guān)�����,只要能實現(xiàn)AK到CK的轉(zhuǎn)換并能隨后在解密端計算出CK即可�����。
此外�����,作為備選實施方式����,本發(fā)明也可以應(yīng)用于除前述分層內(nèi)容密鑰管理系統(tǒng)之外的系統(tǒng)。在這樣的實施方式中����,一個授權(quán)密鑰AK可以不必象在前述分層內(nèi)容密鑰管理系統(tǒng)中那樣,與其標(biāo)識符AK_ID緊密關(guān)聯(lián)。換言之����,一個授權(quán)密鑰AK可以不具備用于標(biāo)識其所屬分發(fā)目標(biāo)位置的標(biāo)識符AK_ID,相反�����,可以通過其他方式容易地獲知該授權(quán)密鑰所屬位置的信息�����,例如可以對授權(quán)密鑰進(jìn)行編號并通過所述編號的順序獲知該位置信息�,或者簡單地通過將授權(quán)密鑰與各分發(fā)目標(biāo)位置逐個嘗試進(jìn)行匹配的方式。因此����,在這樣的備選實施方式中,生成密鑰鏈接可以不需要授權(quán)密鑰AK的標(biāo)識符AK_ID�����。
在步驟S14對內(nèi)容形成了上述密鑰鏈接后���,本發(fā)明的方法進(jìn)入步驟S16,將該密鑰鏈接附加到內(nèi)容上,以準(zhǔn)備對所述具有密鑰鏈接的內(nèi)容進(jìn)行分發(fā)����。隨后,根據(jù)本發(fā)明的方法在步驟S18中結(jié)束�����。
根據(jù)本發(fā)明的上述方法可以通過圖2所示的系統(tǒng)實現(xiàn)�����。所述系統(tǒng)包括一個加密裝置20�����,用于利用一個內(nèi)容密鑰CK對內(nèi)容進(jìn)行加密���。經(jīng)過加密后的內(nèi)容進(jìn)入密鑰鏈接形成裝置22�,在這里根據(jù)所述內(nèi)容密鑰CK和該內(nèi)容的分發(fā)目標(biāo)位置的授權(quán)密鑰形成一個密鑰鏈接KL����。然后,在一個附加裝置24中���,將所述密鑰鏈接KL附加于內(nèi)容����,以供后續(xù)分發(fā)過程使用。本領(lǐng)域技術(shù)人員可以理解���,本發(fā)明的上述系統(tǒng)可以有多種方式實現(xiàn)�,例如采用計算機(jī)軟件例程實現(xiàn)����,采用硬件分立元件方式實現(xiàn),或者采用軟件例程和硬件元件二者相結(jié)合實現(xiàn)���。
本領(lǐng)域技術(shù)人員能夠理解����,當(dāng)內(nèi)容只有一個分發(fā)目標(biāo)位置時�,只需形成一個密鑰鏈接KL。隨后���,當(dāng)內(nèi)容有更多的分發(fā)目標(biāo)位置時�,對每個位置都形成一個密鑰鏈接KL�,再將各KL組合起來形成密鑰綁定數(shù)據(jù)KBD��。本領(lǐng)域技術(shù)人員還能夠容易地理解���,在廣義上講����,一個KL也可看作一個KBD(即,綁定了一個KL的KBD)�����。通過這種方式�,即可實現(xiàn)對多密鑰內(nèi)容的統(tǒng)一、緊湊管理���,如下文所述����。
以下將參照圖3對本發(fā)明的一個優(yōu)選實施方式進(jìn)行說明�����,此優(yōu)選實施方式涉及一個內(nèi)容將被分發(fā)到多個分發(fā)目標(biāo)位置的情形���,其中每個分發(fā)目標(biāo)位置分別對應(yīng)于一個授權(quán)密鑰AK1�����,AK2�,......AKn。
如圖3所示���,根據(jù)本發(fā)明的方法在步驟S30中開始并進(jìn)入步驟S31���,在此用一個內(nèi)容密鑰CK對一個內(nèi)容進(jìn)行加密。
接下來�,在步驟S32中,通過如前所述的任一方式對一個第一分發(fā)目標(biāo)位置的授權(quán)密鑰AK1形成密鑰鏈接KLI���。
此后�����,操作進(jìn)入步驟S33���,由一個判斷裝置(未示出)判斷所述內(nèi)容是否還將被放到一個第二分發(fā)目標(biāo)位置。如果在步驟S33的判斷結(jié)果為“是”����,即內(nèi)容還將被放置在一個第二位置上����,則操作返回步驟S32���,通過如前所述的任一方式對該第二分發(fā)目標(biāo)位置的授權(quán)密鑰AK2形成密鑰鏈接KL2。
每次針對一個分發(fā)目標(biāo)位置形成了密鑰鏈接后�,都在步驟S33中由判斷裝置判斷是否還有其他分發(fā)目標(biāo)位置,如果判斷結(jié)果為“是”�����,則重復(fù)步驟S32的操作��。
如果步驟S33的判斷結(jié)果為“否”���,即����,已對所有n個分發(fā)目標(biāo)位置形成了密鑰鏈接KL1����,KL2�����,......KLn��,則操作進(jìn)入步驟S34�,在這里通過組合各密鑰鏈接形成一個密鑰綁定數(shù)據(jù)KBD�,如下式所示KBD=KLI+KL2+......+KLn (2)在根據(jù)本發(fā)明的方法中,所述KL或KBD應(yīng)當(dāng)與內(nèi)容綁定�,例如,KL或KBD可以是內(nèi)容的頭�,也可以是內(nèi)容的一個單獨的索引文件。圖4示意的顯示了作為內(nèi)容的頭的KBD����。
然后,操作進(jìn)入步驟S35中�����,在這里將上述密鑰綁定數(shù)據(jù)附加于內(nèi)容���,以用于進(jìn)行分發(fā)�。根據(jù)本發(fā)明的方法在步驟S36中結(jié)束���。
對于圖3所示的方法���,如果最初只有一個或幾個分發(fā)目標(biāo)位置�����,而隨后不斷出現(xiàn)其他分發(fā)目標(biāo)位置����,則可先對該一個或幾個分發(fā)目標(biāo)位置形成密鑰鏈接或密鑰綁定數(shù)據(jù)�,再隨著后續(xù)分發(fā)目標(biāo)位置的不斷出現(xiàn)�,將后續(xù)形成的密鑰鏈接逐個添加到先前形成的密鑰鏈接或密鑰綁定數(shù)據(jù)上形成新的密鑰綁定數(shù)據(jù)。
通過本發(fā)明提出的密鑰綁定�����,可使內(nèi)容與其各分發(fā)目標(biāo)位置相互關(guān)聯(lián)��,由此用戶具有任何一個授權(quán)密鑰均可解密該內(nèi)容����,而無須針對每個內(nèi)容分發(fā)目標(biāo)位置物理的存儲內(nèi)容的拷貝,節(jié)省了存儲空間����,并且便于進(jìn)行內(nèi)容的有效���、統(tǒng)一管理。
具有授權(quán)密鑰AKI的用戶可以使用AKI對KLI進(jìn)行解密����,由此獲得內(nèi)容密鑰CK來解密該內(nèi)容。而具有授權(quán)密鑰AK2或AK3的用戶同樣也可以解密該內(nèi)容���。在這種情況下��,為了增強(qiáng)內(nèi)容的管理�����,還可以對密鑰鏈接KL附加權(quán)限語句�,如下式所示KL1=AK_LD1+(MD(AK1)^CK)+RIGHTS1KL2=AK_LD2+(MD(AK2)^CK)+RIGHTS2KL3=AK_LD3+(MD(AK3)^CK)+RIGHTS3---(3)]]>通過附加上述權(quán)限語句��,具有不同AK的用戶可以具有不同的權(quán)限���。例如����,具有AKI的用戶能夠查看和修改內(nèi)容,AK2的用戶只能查看內(nèi)容�,而AK3的用戶可以查看和打印內(nèi)容(如果內(nèi)容為文檔)。不同的權(quán)限語句可以增強(qiáng)許可證管理����。
根據(jù)中國專利申請03123222.1提出的方法,一個密鑰管理樹中的一個節(jié)點(對應(yīng)于一個授權(quán)密鑰)可以覆蓋其所有子代節(jié)點的權(quán)限��,即用戶只要獲得了該節(jié)點的授權(quán)密鑰��,則無須再獲得其每個子代節(jié)點的密鑰��,即可訪問該節(jié)點的所有子代節(jié)點的內(nèi)容�����。這一點在本發(fā)明中同樣適用��。因此�����,本發(fā)明的另一個關(guān)鍵之處在于后綁定����,即,授權(quán)密鑰AK的傳遞可以早于內(nèi)容傳遞����,甚至是早于內(nèi)容生成,從而后綁定過程可以使內(nèi)容在被分發(fā)時�,對具有不同AK的用戶是可解密的。
以上對本發(fā)明在內(nèi)容加密端的操作進(jìn)行了詳細(xì)描述�,以下將對在內(nèi)容解密端執(zhí)行的操作進(jìn)行描述。
如上所述具有密鑰綁定數(shù)據(jù)的內(nèi)容在被分發(fā)到某個分發(fā)目標(biāo)位置(對應(yīng)于一個AK)后�,需要進(jìn)行解密,以使用戶能夠?qū)?nèi)容進(jìn)行訪問�����。圖5示出了解密端的操作的總體流程圖��。
解密端的操作從步驟S50開始�,并進(jìn)入步驟S52。在步驟S52中�����,一個分發(fā)目標(biāo)位置獲得分發(fā)的內(nèi)容��,所述內(nèi)容具有根據(jù)本發(fā)明的密鑰綁定數(shù)據(jù)KBD。接下來在步驟S54中�,該分發(fā)目標(biāo)位置通過將其授權(quán)密鑰AK與內(nèi)容的密鑰綁定數(shù)據(jù)KBD中的各KL進(jìn)行對照,以確定KBD中是否存在該AK���。
本領(lǐng)域技術(shù)人員能夠理解���,這里的對照操作只是逐步比較解密端擁有的AK是否能用于某個KL,因此可采用任何適用的方式執(zhí)行����。
如果判定存在該AK(步驟S54中的結(jié)果為“是”),則操作進(jìn)入步驟S56中��,根據(jù)所述AK從密鑰綁定數(shù)據(jù)中獲得CK以解密內(nèi)容��,如前所述���。然后�����,操作進(jìn)入步驟S58,根據(jù)本發(fā)明的方法結(jié)束����。如果步驟S54判定不存在該AK(結(jié)果為“否”)�����,則操作直接進(jìn)入步驟S58�。
所述解密端的操作可通過如圖6所示的系統(tǒng)實現(xiàn)�����。
在圖6所示的系統(tǒng)中�����,位于一個分發(fā)目標(biāo)位置處的獲取裝置60用于獲取被分發(fā)的內(nèi)容�,所述內(nèi)容具備根據(jù)本發(fā)明的密鑰綁定數(shù)據(jù)。隨后����,所述獲取的內(nèi)容進(jìn)入一個分析裝置62,用于將所述分發(fā)目標(biāo)位置的授權(quán)密鑰AK與內(nèi)容的密鑰綁定數(shù)據(jù)KBD中的各KL進(jìn)行對照��,以確定KBD中是否存在該AK���。如果分析裝置62的判斷結(jié)果為“是”�����,則將結(jié)果告知解密裝置64����。在解密裝置64中,根據(jù)該AK從密鑰綁定數(shù)據(jù)中獲得CK以解密內(nèi)容��。如果判斷裝置62的判斷結(jié)果為“否”���,則不進(jìn)行解密����。本領(lǐng)域技術(shù)人員可以理解��,本發(fā)明的上述系統(tǒng)可以有多種方式實現(xiàn)���,例如采用計算機(jī)軟件例程實現(xiàn)�,采用硬件分立元件方式實現(xiàn)�����,或者采用軟件例程和硬件元件二者相結(jié)合實現(xiàn)�����。
如果在加密方已對不同的AK(即�����,分發(fā)目標(biāo)位置)設(shè)置了不同的權(quán)限�,分析裝置62還會推導(dǎo)出該位置所具有的權(quán)限,由此使得用戶以應(yīng)當(dāng)具有的權(quán)限對內(nèi)容進(jìn)行訪問�����。
通過以上對本發(fā)明的描述可以看出���,本發(fā)明通過在需要將內(nèi)容分發(fā)到多個位置時��,將各分發(fā)目標(biāo)位置的授權(quán)密鑰與內(nèi)容密鑰關(guān)聯(lián)起來��,從而在邏輯上和計算上將內(nèi)容與各個位置關(guān)聯(lián)起來��,因而無須將內(nèi)容實際復(fù)制到每個位置上�����。這樣�,可以實現(xiàn)內(nèi)容的統(tǒng)一、緊湊�����、簡便管理���,并且節(jié)省了存儲資源���。
以上對本發(fā)明的優(yōu)選實施方式進(jìn)行了說明,但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解����,本發(fā)明給出的各優(yōu)選實施方式只是為了說明的目的,不應(yīng)理解為對本發(fā)明的任何限制����。本發(fā)明可以采用軟件、硬件或二者結(jié)合的形式實現(xiàn)�。本領(lǐng)域技術(shù)人員可以根據(jù)上述描述獲得有關(guān)本發(fā)明的任何變形和改進(jìn),但這些變形和改進(jìn)都包括在隨附權(quán)利要求書中所限定的本發(fā)明的范圍和精神內(nèi)�����。
權(quán)利要求
1.一種數(shù)字內(nèi)容處理方法,用于對具有至少一個分發(fā)目標(biāo)位置的內(nèi)容進(jìn)行處理���,所述至少一個分發(fā)目標(biāo)位置中的每個分別對應(yīng)于一個授權(quán)密鑰(AK)���,該方法包括用一個內(nèi)容密鑰(CK)對所述內(nèi)容進(jìn)行加密���;根據(jù)所述內(nèi)容密鑰和所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰來形成密鑰鏈接(KL)�;以及將所述密鑰鏈接附加于內(nèi)容��。
2.根據(jù)權(quán)利要求1所述的方法��,其中所述密鑰鏈接用于使內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)�,包括所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰與所述內(nèi)容密鑰的映射關(guān)系,以及對所述授權(quán)密鑰對應(yīng)的分發(fā)目標(biāo)位置的標(biāo)識�����。
3.根據(jù)權(quán)利要求1所述的方法�,還包括將用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)與授權(quán)密鑰標(biāo)識符(AK_ID)組合起來,以形成密鑰鏈接��。
4.根據(jù)權(quán)利要求3所述的方法��,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括用授權(quán)密鑰對內(nèi)容密鑰進(jìn)行加密的密文����。
5.根據(jù)權(quán)利要求3所述的方法���,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括對授權(quán)密鑰進(jìn)行單向算法的修正值。
6.根據(jù)權(quán)利要求3所述的方法�,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括對授權(quán)密鑰和內(nèi)容密鑰進(jìn)行異或運(yùn)算的修正值。
7.根據(jù)權(quán)利要求3所述的方法�,其中所述授權(quán)密鑰標(biāo)識符是該分發(fā)目標(biāo)位置的URL。
8.根據(jù)權(quán)利要求1所述的方法�����,還包括如果在形成密鑰鏈接的步驟中針對所述至少一個分發(fā)目標(biāo)位置中的兩個或多個位置形成了密鑰鏈接��,則將這些密鑰鏈接組合起來��,形成密鑰綁定數(shù)據(jù)����。
9.根據(jù)權(quán)利要求7所述的方法,還包括如果在已針對至少一個分發(fā)目標(biāo)位置中的每個形成了密鑰綁定數(shù)據(jù)后����,出現(xiàn)新的分發(fā)目標(biāo)位置,則為該新的分發(fā)目標(biāo)位置形成新的密鑰鏈接,并將所述新的密鑰鏈接附加于所述密鑰綁定數(shù)據(jù)�����。
10.根據(jù)前述任一權(quán)利要求所述的方法��,其中分發(fā)目標(biāo)位置的授權(quán)密鑰的傳遞可以早于內(nèi)容本身的傳遞或生成���。
11.根據(jù)前述任一權(quán)利要求所述的方法,還包括在形成密鑰鏈接時對每個所述密鑰鏈接附加不同的內(nèi)容訪問權(quán)限����。
12.根據(jù)前述任一權(quán)利要求所述的方法,其中所述密鑰鏈接或密鑰綁定數(shù)據(jù)可以作為內(nèi)容的頭�,或者作為內(nèi)容的一個單獨的索引文件。
13.一種數(shù)字內(nèi)容處理系統(tǒng)���,用于對具有至少一個分發(fā)目標(biāo)位置的內(nèi)容進(jìn)行處理���,所述至少一個分發(fā)目標(biāo)位置中的每個分別對應(yīng)于一個授權(quán)密鑰(AK),該系統(tǒng)包括用于用一個內(nèi)容密鑰(CK)對所述內(nèi)容進(jìn)行加密的加密裝置�����;用于根據(jù)所述內(nèi)容密鑰(CK)和所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰(AK)來形成密鑰鏈接(KL)的密鑰鏈接形成裝置;以及用于將所述密鑰鏈接附加于內(nèi)容的附加裝置����。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其中所述密鑰鏈接用于使內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)����,包括所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰與所述內(nèi)容密鑰的映射關(guān)系,以及對所述授權(quán)密鑰對應(yīng)的分發(fā)目標(biāo)位置的標(biāo)識���。
15.根據(jù)權(quán)利要求13所述的系統(tǒng)����,密鑰鏈接形成裝置將用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)與授權(quán)密鑰標(biāo)識符(AK_ID)組合起來�,以形成密鑰鏈接。
16.根據(jù)權(quán)利要求15所述的系統(tǒng)����,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括用授權(quán)密鑰對內(nèi)容密鑰進(jìn)行加密的密文。
17.根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括對授權(quán)密鑰進(jìn)行單向算法的修正值���。
18.根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其中用于將所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰映射到所述內(nèi)容密鑰的參數(shù)包括對授權(quán)密鑰和內(nèi)容密鑰進(jìn)行異或運(yùn)算的修正值����。
19.根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述授權(quán)密鑰標(biāo)識符可以是該分發(fā)目標(biāo)位置的URL�。
20.根據(jù)權(quán)利要求13所述的系統(tǒng),密鑰鏈接形成裝置在針對所述至少一個分發(fā)目標(biāo)位置中的兩個或多個位置形成了密鑰鏈接時�,將這些密鑰鏈接組合起來,形成密鑰綁定數(shù)據(jù)�����,以附加于內(nèi)容���。
21.根據(jù)前述任一權(quán)利要求所述的系統(tǒng),其中分發(fā)目標(biāo)位置的授權(quán)密鑰的傳遞可以早于內(nèi)容本身的傳遞或生成�。
21.根據(jù)前述任一權(quán)利要求所述的系統(tǒng),其中密鑰鏈接形成裝置對每個所述密鑰鏈接附加不同的內(nèi)容訪問權(quán)限����。
23.根據(jù)前述任一權(quán)利要求所述的系統(tǒng)�����,其中所述附加裝置將所述密鑰鏈接或密鑰綁定數(shù)據(jù)作為內(nèi)容的頭����、或者作為內(nèi)容的一個單獨的索引文件附加于內(nèi)容�。
24.一種用于一個分發(fā)目標(biāo)位置的數(shù)字內(nèi)容處理方法,所述一個分發(fā)目標(biāo)位置具有一個授權(quán)密鑰(AK)��,所述內(nèi)容具有對其進(jìn)行加密的內(nèi)容密鑰(CK)以及密鑰綁定數(shù)據(jù)(KBD)�����,所述密鑰綁定數(shù)據(jù)包括對應(yīng)于至少一個分發(fā)目標(biāo)位置的密鑰鏈接(KL)���,所述密鑰鏈接將內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)�,該方法包括獲取所述內(nèi)容��;將所述授權(quán)密鑰與所述密鑰綁定數(shù)據(jù)中的密鑰鏈接進(jìn)行對照��,以判定所述授權(quán)密鑰是否可用于任何密鑰鏈接��;在所述授權(quán)密鑰可用于某個密鑰鏈接時���,根據(jù)該授權(quán)密鑰計算所述內(nèi)容密鑰��,以用于解密內(nèi)容�����。
25.一種用于一個分發(fā)目標(biāo)位置的數(shù)字內(nèi)容處理系統(tǒng)����,所述一個分發(fā)目標(biāo)位置具有一個授權(quán)密鑰(AK),所述內(nèi)容具有對其進(jìn)行加密的內(nèi)容密鑰(CK)以及密鑰綁定數(shù)據(jù)(KBD)���,所述密鑰綁定數(shù)據(jù)包括對應(yīng)于至少一個分發(fā)目標(biāo)位置的密鑰鏈接(KL)��,所述密鑰鏈接將內(nèi)容與所述至少一個分發(fā)目標(biāo)位置相關(guān)聯(lián)���,該系統(tǒng)包括一個獲取裝置�,用于獲取所述內(nèi)容;一個分析裝置����,用于將所述授權(quán)密鑰與所述密鑰綁定數(shù)據(jù)中的密鑰鏈接進(jìn)行對照,以判定所述授權(quán)密鑰是否可用于任何密鑰鏈接�����;一個解密裝置,用于在所述授權(quán)密鑰可用于某個密鑰鏈接時����,根據(jù)該授權(quán)密鑰計算所述內(nèi)容密鑰,以用于解密內(nèi)容�����。
全文摘要
本發(fā)明公開了一種多密鑰內(nèi)容處理系統(tǒng)和方法���,用于對具有至少一個分發(fā)目標(biāo)位置的內(nèi)容進(jìn)行處理�,所述至少一個分發(fā)目標(biāo)位置中的每個分別對應(yīng)于一個授權(quán)密鑰(AK)����,該方法包括用一個內(nèi)容密鑰(CK)對所述內(nèi)容進(jìn)行加密;根據(jù)所述內(nèi)容密鑰和所述至少一個分發(fā)目標(biāo)位置的授權(quán)密鑰來形成密鑰鏈接(KL)����;以及將所述密鑰鏈接附加于內(nèi)容。
文檔編號G06F21/00GK1674494SQ20041003151
公開日2005年9月28日 申請日期2004年3月22日 優(yōu)先權(quán)日2004年3月22日
發(fā)明者張健, 邵凌, 謝東 申請人:國際商業(yè)機(jī)器公司