專利名稱:一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字媒體版權(quán)保護(hù)技術(shù)領(lǐng)域���,尤其涉及一種實(shí)現(xiàn)實(shí)時(shí)媒體 版權(quán)保護(hù)的系統(tǒng)及方法。
背景技術(shù):
隨著信息社會(huì)的不斷發(fā)展�����,數(shù)字媒體變得極其豐富����。但是���,由于數(shù)字 媒體內(nèi)容的特點(diǎn),拷貝的副本與原件完全相同�,數(shù)字內(nèi)容的拷貝和傳播成本極低,所以數(shù)字媒體內(nèi)容的網(wǎng)絡(luò)盜版和非法傳播問題成為了長期困擾網(wǎng) 絡(luò)運(yùn)營商和內(nèi)容提供商的問題��,進(jìn)而版權(quán)保護(hù)的問題也越來越受到廣大網(wǎng) 絡(luò)運(yùn)營商和內(nèi)容提供商的關(guān)注�。隨著版權(quán)保護(hù)的問題不斷升溫, 一度點(diǎn)對點(diǎn)對等傳輸(Peer to Peer, P2P)技術(shù)的出現(xiàn)引發(fā)了版權(quán)保護(hù)的狂熱討論��?�?梢哉f�����,版權(quán)保護(hù)是個(gè)綜 合問題�,涉及到政策、法律���、經(jīng)濟(jì)和技術(shù)等多個(gè)層面��,而技術(shù)的不斷進(jìn)步 為解決版權(quán)保護(hù)問題提供了更好的條件���。目前�����,數(shù)字版權(quán)保護(hù)(Digital Right Management, DRM)已經(jīng)獲得較 快發(fā)展���。而伴隨網(wǎng)絡(luò)電視(IP Television, IPTV)、視頻點(diǎn)播(Video on Demand, VOD)和數(shù)字電視的科技更新浪潮�,DRM系統(tǒng)需要不斷地演進(jìn) 才可以適應(yīng)發(fā)展需要。目前版權(quán)保護(hù)領(lǐng)域主要的標(biāo)準(zhǔn)和實(shí)現(xiàn)方案主要針對文件下載的方式�, 如圖片文件、視頻短片和音樂文件的下載等�����。對于實(shí)時(shí)媒體方面的保護(hù)還 處于研究的起步階段���,還無法在IPTV直播、手機(jī)電視直播和數(shù)字電視系 統(tǒng)等數(shù)字媒體直播環(huán)境下實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)��。因此�����,如何在IPTV直播���、手機(jī)電視直播和數(shù)字電視系統(tǒng)等數(shù)字媒體 直播環(huán)境下對實(shí)時(shí)節(jié)目流進(jìn)行版權(quán)保護(hù)�,實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù),成為了 目前急需解決的重要問題
發(fā)明內(nèi)容
(一) 要解決的技術(shù)問題有鑒于此���,本發(fā)明的一個(gè)主要目的在于提供一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保 護(hù)的系統(tǒng)����,以解決在數(shù)字媒體直播環(huán)境下對實(shí)時(shí)節(jié)目流的版權(quán)保護(hù)問題�����, 實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)����。本發(fā)明的另一個(gè)主要目的在于提供一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方 法,以解決在數(shù)字媒體直播環(huán)境下對實(shí)時(shí)節(jié)目流的版權(quán)保護(hù)問題�,實(shí)現(xiàn)實(shí) 時(shí)媒體版權(quán)保護(hù)。(二) 技術(shù)方案為達(dá)到上述目的��,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)��,該系統(tǒng)包括內(nèi)容發(fā)行單元�,用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理、水印插入和加密 操作生成加密內(nèi)容��,并對自身生成的內(nèi)容加密密鑰CEK進(jìn)行加密生成密 鑰加密信息,然后對生成的加密內(nèi)容���、密鑰加密信息和輔助信息進(jìn)行封裝 生成媒體數(shù)據(jù)包DCP����,并將生成的DCP下發(fā)給終端代理單元����;授權(quán)發(fā)行單元,用于對接收自終端代理單元的授權(quán)請求進(jìn)行解密及授 權(quán)認(rèn)證���,在確保授權(quán)有效后生成授權(quán)信息��,并對生成的授權(quán)信息和自身生成的授權(quán)加密密鑰REK進(jìn)行加密生成加密授權(quán)對象RO,然后將加密RO 下發(fā)給終端代理單元�;終端代理單元,用于分解接收自內(nèi)容發(fā)行單元的DCP,根據(jù)分解出的 輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO�����,對獲取的加密RO進(jìn)行解密生 成授權(quán)信息和REK�,并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解 密生成CEK,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒 體源內(nèi)容���。所述內(nèi)容發(fā)行單元包括:媒體源內(nèi)容處理單元��,用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印插入 操作��,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容進(jìn)行 加密生成加密內(nèi)容���,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元���;CEK生成單元,用于根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周期變化 的CEK��,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理單元��;CEK加密單元��,用于根據(jù)接收自授權(quán)發(fā)行單元的REK對接收自CEK 生成單元的CEK進(jìn)行加密����,生成密鑰加密信息�,并將生成的密鑰加密信 息發(fā)送給媒體封裝單元����;媒體封裝單元���,用于對接收自媒體源內(nèi)容處理單元的加密內(nèi)容和接收 自CEK加密單元的密鑰加密信息,以及輔助信息進(jìn)行封裝生成DCP�����,并 將生成的DCP下發(fā)給終端代理單元�。所述CEK生成單元生成的按照一定時(shí)間周期變化的CEK為按照5至 20秒周期變化的CEK。所述授權(quán)發(fā)行單元包括主處理單元���,用于對接收自終端代理單元的授權(quán)請求進(jìn)行解密�,將解 密后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元���,并對接收自授權(quán)認(rèn)證單元的授權(quán)信 息和接收自REK生成單元的REK進(jìn)行加密生成加密RO�,然后將加密RO 下發(fā)給終端代理單元�����;授權(quán)認(rèn)證單元�����,用于對接收自主處理單元的授權(quán)請求進(jìn)行授權(quán)認(rèn)證��, 在確保授權(quán)有效后生成授權(quán)信息�,并將生成的授權(quán)信息發(fā)送給主處理單 元;REK生成單元���,用于根據(jù)業(yè)務(wù)需要生成按照一定時(shí)間周期變化的 REK��,并將生成的REK發(fā)送給主處理單元和內(nèi)容發(fā)行單元的CEK加密單 元�����;密鑰信息存儲(chǔ)單元���,用于保存對授權(quán)請求進(jìn)行解密及對授權(quán)信息與 REK進(jìn)行加密時(shí)所利用的密鑰信息,所述密鑰信息為有效的證書�����、與該證 書對應(yīng)的��、終端代理單元的公鑰和授權(quán)發(fā)行單元的私鑰����,或者為對授權(quán)請 求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰。所述REK生成單元生成的按照一定時(shí)間周期變化的REK為按照3至 5天周期變化的REK����。所述授權(quán)發(fā)行單元進(jìn)一步包括數(shù)據(jù)管理單元���,用于保存用戶數(shù)據(jù)信息,授權(quán)認(rèn)證單元在對授權(quán)請求 進(jìn)行授權(quán)認(rèn)證時(shí)����,從數(shù)據(jù)管理單元中獲取用戶數(shù)據(jù)信息,然后根據(jù)獲取的 用戶數(shù)據(jù)信息對授權(quán)請求進(jìn)行授權(quán)認(rèn)證����。
所述終端代理單元包括
主處理單元,用于分解接收自內(nèi)容發(fā)行單元的DCP,根據(jù)分解出的輔
助信息中的內(nèi)容標(biāo)識信息獲取加密RO����,如果能夠從授權(quán)對象存儲(chǔ)單元中 査找到加密RO,則對査找到的加密RO進(jìn)行解密生成授權(quán)信息和REK�, 并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK,然后根 據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�;否則,主 處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單 元發(fā)送授權(quán)請求����,獲取授權(quán)發(fā)行單元返回的加密RO,并對獲取的加密RO 進(jìn)行解密生成授權(quán)信息和REK�����,根據(jù)生成的REK對分解出的密鑰加密信 息進(jìn)行解密生成CEK��,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解 密生成媒體源內(nèi)容�����;
授權(quán)對象存儲(chǔ)單元��,用于存儲(chǔ)接收自授權(quán)發(fā)行單元的加密RO���,并在 接收到主處理單元査詢加密RO的請求后�,向主處理單元返回査詢結(jié)果�����;
密鑰信息存儲(chǔ)單元��,用于保存對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行 加密時(shí)所利用的密鑰信息����,所述密鑰信息為有效的證書、與該證書對應(yīng)的���、 授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰�,或者為對加密RO進(jìn)行解密 及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰。
所述終端代理單元至少包括以下存在形式以軟件模塊嵌入操作系 統(tǒng)�;或集成于MMC或SIM專用卡;或采用專用的集成電路芯片�。
當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的 證書、與該證書對應(yīng)的�����、終端代理單元的公鑰和授權(quán)發(fā)行單元的私鑰時(shí)�����, 所述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的證書���、與 該證書對應(yīng)的�、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰��;
當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)����,所 述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對加密RO進(jìn)行解 密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰,且二者保存的對稱密鑰相 同����。
一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法���,該方法包括
A����、內(nèi)容發(fā)行單元對媒體源內(nèi)容進(jìn)行處理生成加密內(nèi)容,并對自身生
成的CEK進(jìn)行加密生成密鑰加密信息�����,然后對生成的加密內(nèi)容����、密鑰加 密信息和輔助信息進(jìn)行封裝生成DCP,并將生成的DCP下發(fā)給終端代理 單元����;
B、 終端代理單元將接收自內(nèi)容發(fā)行單元的DCP分解為加密內(nèi)容����、密 鑰加密信息和輔助信息,根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信息獲取加密
C�、 終端代理單元對獲取的加密RO進(jìn)行解密生成授權(quán)信息和REK��, 并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK��,然后根 據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�。
所述內(nèi)容發(fā)行單元至少包括媒體源內(nèi)容處理單元��、媒體封裝單元�、 CEK生成單元和CEK加密單元,所述步驟A包括
A1 ��、媒體源內(nèi)容處理單元對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印插入操 作�����,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容進(jìn)行加 密生成加密內(nèi)容�,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元;
A2����、 CEK生成單元根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周期變化 的CEK,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理單元���;
A3�、 CEK加密單元根據(jù)接收自授權(quán)發(fā)行單元生成的REK對接收自 CEK生成單元的CEK進(jìn)行加密,生成密鑰加密信息���,并將生成的密鑰加 密信息發(fā)送給媒體封裝單元��;
A4�、媒體封裝單元對接收的加密內(nèi)容��、密鑰加密信息和輔助信息進(jìn)行 封裝生成DCP�����,并將生成的DCP實(shí)時(shí)下發(fā)給終端代理單元�����。
步驟A2中所述CEK生成單元生成按照一定時(shí)間周期變化的CEK時(shí)�����, 所述變化周期為5至20秒;步驟Al中所述媒體源內(nèi)容處理單元根據(jù)CEK 對處理后的媒體源內(nèi)容進(jìn)行加密的加密周期為步驟A4中所述媒體封裝單 元封裝生成DCP周期的整數(shù)倍����。
所述終端代理單元至少包括主處理單元���、授權(quán)對象存儲(chǔ)單元和密鑰信 息存儲(chǔ)單元����,所述授權(quán)發(fā)行單元至少包括主處理單元、授權(quán)認(rèn)證單元��、REK 生成單元和密鑰信息存儲(chǔ)單元�,步驟B中所述終端代理單元根據(jù)分解出的 輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO包括
Bl、終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信
息從授權(quán)對象存儲(chǔ)單元中査找加密RO��,如果能夠査找到����,則執(zhí)行步驟C; 否則,終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取 鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求�,并執(zhí)行步驟B2;
B2、授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密��,將解密
后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元��;
B3����、授權(quán)認(rèn)證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證,在確保授權(quán)有 效后生成授權(quán)信息��,并將生成的授權(quán)信息發(fā)送給授權(quán)發(fā)行單元的主處理單 元;
B4��、授權(quán)發(fā)行單元的主處理單元對接收自授權(quán)認(rèn)證單元的授權(quán)信息和 接收自REK生成單元的REK進(jìn)行加密生成加密RO;
B5��、授權(quán)發(fā)行單元的主處理單元將加密RO下發(fā)給終端代理單元�����,終 端代理單元獲取加密RO����。
所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書、與該證書對應(yīng)的�����、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰����,步 驟Bl中所述終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授 權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元 的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的公鑰 對授權(quán)請求進(jìn)行加密生成加密的授權(quán)請求��,并對生成加密授權(quán)請求進(jìn)行簽 名���,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元 發(fā)送加密的授權(quán)請求���。
所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰���,步驟Bl中所述 終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接 信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單 元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對稱密鑰對授權(quán)請求進(jìn)行加密生 成加密的授權(quán)請求,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息 向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求����。
所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書、與該證書對應(yīng)的��、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰�����,步 驟B2中所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密包
括授權(quán)發(fā)行單元的主處理單元先核對接收的授權(quán)請求中的簽名����,簽名核 對通過后再根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的私鑰對授
權(quán)請求進(jìn)行解密;步驟B4中所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息 和REK進(jìn)行加密包括授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元 中獲取終端代理單元的公鑰�,然后根據(jù)獲取的公鑰對授權(quán)信息和REK進(jìn) 行加密。
所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰�����,步驟 B2中所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密包括 授權(quán)發(fā)行單元的主處理單元根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對稱密鑰 對授權(quán)請求進(jìn)行解密���;步驟B4中所述授權(quán)發(fā)行單元的主處理單元對授權(quán) 信息和REK進(jìn)行加密包括授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ) 單元中獲取對稱密鑰����,然后根據(jù)獲取的對稱密鑰對授權(quán)信息和REK進(jìn)行 加密。
所述授權(quán)發(fā)行單元進(jìn)一步包括數(shù)據(jù)管理單元���,步驟B3中所述授權(quán)認(rèn) 證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證包括授權(quán)認(rèn)證單元從數(shù)據(jù)管理 單元中獲取用戶數(shù)據(jù)信息��,然后根據(jù)獲取的用戶數(shù)據(jù)信息對授權(quán)請求進(jìn)行 授權(quán)認(rèn)證��;
步驟B4中所述接收自REK生成單元的REK為按照3至5天周期變 化的REK;
步驟B5中所述授權(quán)發(fā)行單元的主處理單元將生成的加密RO下發(fā)給 終端代理單元采用點(diǎn)對點(diǎn)鏈接的方式或采用廣播的方式實(shí)現(xiàn)�����。
所述終端代理單元至少包括主處理單元和密鑰信息存儲(chǔ)單元���,所述步 驟C包括
Cl��、終端代理單元的主處理單元接收到授權(quán)發(fā)行單元發(fā)送的加密RO�����, 從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息���,然后根據(jù)獲取的密鑰信息對加 密RO進(jìn)行解密生成授權(quán)信息和REK;
C2���、終端代理單元的主處理單元根據(jù)生成的REK對分解出的密鑰加 密信息進(jìn)行解密生成CEK;
C3�、終端代理單元的主處理單元根據(jù)生成的CEK對分解出的加密內(nèi)
容進(jìn)行解密生成媒體源內(nèi)容����。
所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書、與該證書對應(yīng)的����、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰,步 驟Cl中所述終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取
密鑰信息���,然后根據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和 REK包括終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取終 端代理單元的私鑰����,然后根據(jù)獲取的終端代理單元的私鑰對加密RO進(jìn)行 解密生成授權(quán)信息和REK�����。
所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰���,步驟Cl中所述 終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息���,然 后根據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和REK包括-終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取對稱密鑰�,然 后根據(jù)獲取的對稱密鑰對加密RO進(jìn)行解密生成授權(quán)信息和REK���。
所述授權(quán)信息至少包括完整的授權(quán)及控制信息�����、授權(quán)起始時(shí)間和授權(quán) 結(jié)束時(shí)間�����,用于實(shí)現(xiàn)授權(quán)的自動(dòng)過期�����,靈活的授權(quán)發(fā)送策略��,支持單授權(quán)�����、 組合授權(quán)、分段授權(quán)����、高級尋址授權(quán)和自定義尋址授權(quán)��;
步驟B中所述終端代理單元在將接收自內(nèi)容發(fā)行單元的DCP分解為 加密內(nèi)容��、密鑰加密信息和輔助信息后��,根據(jù)所述授權(quán)起始時(shí)間對密鑰加 密信息的解密���, 一旦授權(quán)到期,即到達(dá)所述授權(quán)結(jié)束時(shí)間���,終止步驟C中 所述終端代理單元對密鑰加密信息的解密�����,同時(shí)該授權(quán)信息所屬的加密 RO失效�。
(三)有益效果 從上述技術(shù)方案可以看出��,本發(fā)明具有以下有益效果 1����、利用本發(fā)明,通過內(nèi)容發(fā)行單元對媒體源內(nèi)容進(jìn)行處理生成加密 內(nèi)容�����,并對自身生成的內(nèi)容加密密鑰(Content Encryption Message, CEK) 進(jìn)行加密生成密鑰加密信息,然后對生成的加密內(nèi)容����、密鑰加密信息和輔 助信息進(jìn)行封裝生成數(shù)字版權(quán)保護(hù)內(nèi)容包(Digital Right Management Content Package, DCP),并將生成的DCP下發(fā)給終端代理單元���;終端代理 單元將接收自內(nèi)容發(fā)行單元的DCP分解為加密內(nèi)容�、密鑰加密信息和輔 助信息�����,根據(jù)分解出的密鑰加密信息獲取加密授權(quán)對象(Right Object, R0)�, 并對獲取的加密R0進(jìn)行解密生成授權(quán)信息和授權(quán)加密密鑰(Right Encryption Message, REK),根據(jù)生成的REK對分解出的密鑰加密信息進(jìn) 行解密生成CEK����,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生 成媒體源內(nèi)容,解決了在數(shù)字媒體直播環(huán)境下對實(shí)時(shí)節(jié)目流的版權(quán)保護(hù)問 題��,實(shí)現(xiàn)了實(shí)時(shí)媒體版權(quán)保護(hù)��。2、 本發(fā)明針對實(shí)時(shí)媒體的特點(diǎn)�,考慮在媒體打包周期(即封裝周期) 的整數(shù)倍時(shí)間內(nèi)采用一個(gè)固定的CEK來對內(nèi)容進(jìn)行加密���,使得CEK滿足 按照一定的周期變化��,同時(shí)又不至于變化太快加重前端加密服務(wù)器的負(fù) 荷�。 一般可以將CEK的變化周期設(shè)定為媒體打包周期的5倍(僅做假設(shè)�, 可以根據(jù)實(shí)際情況選擇),最終生成DCP包時(shí)����,除了每個(gè)包的視頻、音頻 和數(shù)據(jù)外�����,還封裝了對應(yīng)的密鑰加密信息和輔助信息�����。這樣�,每個(gè)最終的 DCP包就構(gòu)成了相對獨(dú)立的一個(gè)實(shí)體,完全滿足了實(shí)時(shí)媒體的播放要求�。3、 本發(fā)明提供的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)及方法,不僅僅適用 于移動(dòng)多媒體領(lǐng)域��,而且適用于非移動(dòng)多媒體領(lǐng)域��,非常有利于本發(fā)明的 推廣和應(yīng)用�。
圖1為本發(fā)明提供的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)系統(tǒng)的結(jié)構(gòu)框圖;圖2為本發(fā)明實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)總體技術(shù)方案的實(shí)現(xiàn)流程圖��;圖3為本發(fā)明實(shí)施例中實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法流程圖��。
具體實(shí)施方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合具體實(shí) 施例���,并參照附圖,對本發(fā)明進(jìn)一步詳細(xì)說明����。如圖1所示,圖1為本發(fā)明提供的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)系統(tǒng)的結(jié)構(gòu) 框圖�,該系統(tǒng)包括內(nèi)容發(fā)行單元IO、授權(quán)發(fā)行單元20和終端代理單元30���。
其中�����,內(nèi)容發(fā)行單元10用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理��、水印插 入和加密操作生成加密內(nèi)容���,并對自身生成的CEK進(jìn)行加密生成密鑰加 密信息,然后對生成的加密內(nèi)容和密鑰加密信息���,以及輔助信息進(jìn)行封裝 生成DCP����,并將生成的DCP下發(fā)給終端代理單元30�。所述輔助信息主要 包括內(nèi)容授權(quán)獲取鏈接信息和內(nèi)容標(biāo)識信息。終端代理單元30根據(jù)輔助 信息中的內(nèi)容標(biāo)識信息從授權(quán)對象存儲(chǔ)單元32中查找加密RO�����,終端代理 單元30根據(jù)輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元20發(fā)送授 權(quán)請求��。授權(quán)發(fā)行單元20用于對接收自終端代理單元30的授權(quán)請求進(jìn)行解密 及授權(quán)認(rèn)證�����,在確保授權(quán)有效后生成授權(quán)信息,并對生成的授權(quán)信息和自 身生成的授權(quán)加密密鑰REK進(jìn)行加密生成加密RO�,然后將加密RO下發(fā) 給終端代理單元30。終端代理單元30用于分解接收自內(nèi)容發(fā)行單元10的DCP�����,將接收自 內(nèi)容發(fā)行單元10的DCP分解為加密內(nèi)容��、密鑰加密信息和輔助信息��,根 據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信息獲取加密RO��,對獲取的加密RO進(jìn) 行解密生成授權(quán)信息和REK��,并根據(jù)生成的REK對分解出的密鑰加密信 息進(jìn)行解密生成CEK�,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解 密生成媒體源內(nèi)容。上述內(nèi)容發(fā)行單元IO包括媒體源內(nèi)容處理單元11�、CEK生成單元12、 CEK加密單元13和媒體封裝單元14�。其中,媒體源內(nèi)容處理單元11用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和 水印插入操作����,然后根據(jù)接收自CEK生成單元12的CEK對處理后的媒 體源內(nèi)容進(jìn)行加密生成加密內(nèi)容��,并將生成的加密內(nèi)容發(fā)送給媒體封裝單 元14��。CEK生成單元12用于根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周期變 化的CEK�,并將生成的CEK發(fā)送給CEK加密單元13和媒體源內(nèi)容處理 單元11�。在媒體源內(nèi)容處理單元11根據(jù)接收的CEK對處理后的媒體源內(nèi) 容進(jìn)行加密時(shí),為了確保系統(tǒng)的安全�,采用的CEK —般以很短的時(shí)間周 期進(jìn)行變化, 一般變化周期為5至20秒���,即所述CEK生成單元12生成
的按照一定時(shí)間周期變化的CEK為按照5至20秒周期變化的CEK。CEK加密單元13用于根據(jù)接收自授權(quán)發(fā)行單元20的REK對接收自 CEK生成單元12的CEK進(jìn)行加密���,生成密鑰加密信息����,并將生成的密鑰 加密信息發(fā)送給媒體封裝單元14�。媒體封裝單元14用于對接收自媒體源內(nèi)容處理單元11的加密內(nèi)容和 接收自CEK加密單元13的密鑰加密信息、以及輔助信息進(jìn)行封裝生成 DCP�����,并將生成的DCP下發(fā)給終端代理單元30����。針對實(shí)時(shí)媒體的特點(diǎn)���,考慮在媒體打包周期(即封裝周期)的整數(shù)倍 時(shí)間內(nèi)采用一個(gè)固定的CEK來對內(nèi)容進(jìn)行加密,使得CEK滿足按照一定 的周期變化�����,同時(shí)又不至于變化太快加重前端加密服務(wù)器的負(fù)荷�����。 一般可 以將CEK的變化周期設(shè)定為媒體打包周期的5倍(僅做假設(shè)�����,可以根據(jù) 實(shí)際情況選擇)��,最終生成DCP包時(shí)����,除了每個(gè)包的視頻、音頻和數(shù)據(jù)外����, 還封裝了對應(yīng)的密鑰加密信息和輔助信息��。這樣����,每個(gè)最終的DCP包就 構(gòu)成了相對獨(dú)立的一個(gè)實(shí)體��,完全滿足了實(shí)時(shí)媒體的播放要求����。上述授權(quán)發(fā)行單元20至少包括主處理單元21 、授權(quán)認(rèn)證單元22���、REK 生成單元23和密鑰信息存儲(chǔ)單元24�。其中����,主處理單元21用于對接收自終端代理單元30的授權(quán)請求進(jìn)行 解密����,將解密后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元22,并對接收自授權(quán)認(rèn)證 單元22的授權(quán)信息和接收自REK生成單元23的REK進(jìn)行加密生成加密 RO����,然后將加密RO下發(fā)給終端代理單元30����。授權(quán)認(rèn)證單元22用于對接收自主處理單元21的授權(quán)請求進(jìn)行授權(quán)認(rèn) 證�,在確保授權(quán)有效后生成授權(quán)信息,并將生成的授權(quán)信息發(fā)送給主處理 單元21�。REK生成單元23用于根據(jù)業(yè)務(wù)需要生成按照一定時(shí)間周期變化的 REK,并將生成的REK發(fā)送給主處理單元21和內(nèi)容發(fā)行單元10的CEK 加密單元13��。上述CEK加密單元13在根據(jù)接收自REK生成單元23的REK對CEK 進(jìn)行加密時(shí)��,為了確保系統(tǒng)的安全���,相對CEK而言�����,采用的REK—般以 較長的時(shí)間周期進(jìn)行變化���, 一般變化周期為3至5天,即所述REK生成
單元生成的按照一定時(shí)間周期變化的REK為按照3至5天周期變化的 REK���。密鑰信息存儲(chǔ)單元24�����,用于保存對授權(quán)請求進(jìn)行解密及對授權(quán)信息與 REK進(jìn)行加密時(shí)所利用的密鑰信息�,所述密鑰信息為有效的證書、與該證 書對應(yīng)的��、終端代理單元30的公鑰和授權(quán)發(fā)行單元20的私鑰���,或者為對 授權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰��, 或者為對授權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的加 密算法��。進(jìn)一步的�����,所述授權(quán)發(fā)行單元20可以進(jìn)一步包括數(shù)據(jù)管理單元25�����, 用于保存用戶數(shù)據(jù)信息,授權(quán)認(rèn)證單元22在對授權(quán)請求進(jìn)行授權(quán)認(rèn)證時(shí)��, 從數(shù)據(jù)管理單元25中獲取用戶數(shù)據(jù)信息���,然后根據(jù)獲取的用戶數(shù)據(jù)信息 對授權(quán)請求進(jìn)行授權(quán)認(rèn)證���。上述終端代理單元30至少包括主處理單元31�、授權(quán)對象存儲(chǔ)單元32 和密鑰信息存儲(chǔ)單元33�。其中,主處理單元31用于分解接收自內(nèi)容發(fā)行單元的DCP�����,將接收 自內(nèi)容發(fā)行單元10的DCP分解為加密內(nèi)容�、密鑰加密信息和輔助信息, 根據(jù)分解出的輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO���,如果能夠從授權(quán) 對象存儲(chǔ)單元32中査找到加密RO���,則對查找到的加密RO進(jìn)行解密生成 授權(quán)信息和REK,并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密 生成CEK��,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體 源內(nèi)容�;否則,主處理單元31根據(jù)從DCP中分解出的輔助信息中內(nèi)容授 權(quán)獲取鏈接信息向授權(quán)發(fā)行單元20發(fā)送授權(quán)請求��,獲取授權(quán)發(fā)行單元20 返回的加密RO����,并對獲取的加密RO進(jìn)行解密生成授權(quán)信息和REK,根 據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK���,然后根據(jù)生 成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容。授權(quán)對象存儲(chǔ)單元32用于存儲(chǔ)接收自授權(quán)發(fā)行單元20的加密RO��, 并在接收到主處理單元31査詢加密RO的請求后�,向主處理單元31返回 査詢結(jié)果。密鑰信息存儲(chǔ)單元33�����,用于保存對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)
行加密時(shí)所利用的密鑰信息�����,所述密鑰信息為有效的證書�����、與該證書對應(yīng)的��、授權(quán)發(fā)行單元20的公鑰和終端代理單元30的私鑰���,或者為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰,或者為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的加密算法。上述終端代理單元30至少包括以下存在形式以軟件模塊嵌入其他 的操作系統(tǒng)����;或集成于MMC或SIM等專用卡;或采用專用的集成電路芯 片等�。為實(shí)現(xiàn)本發(fā)明的目的,授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元和終端代理 單元的密鑰信息存儲(chǔ)單元應(yīng)保存相對應(yīng)的密鑰信息��。當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的 證書�、與該證書對應(yīng)的、終端代理單元的公鑰和授權(quán)發(fā)行單元的私鑰時(shí)��, 所述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的證書�、與 該證書對應(yīng)的、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰���;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)��,所 述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對加密RO進(jìn)行解 密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰�����,且二者保存的對稱密鑰相 同�����;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的加密算法時(shí)���,所 述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對加密RO進(jìn)行解 密及對授權(quán)請求進(jìn)行加密時(shí)所利用的加密算法�����,且二者保存的加密算法相 同����?����;趫Dl所示的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)系統(tǒng)的結(jié)構(gòu)框圖�,圖2示出了 本發(fā)明實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)總體技術(shù)方案的實(shí)現(xiàn)流程圖,該方法包括以 下步驟步驟201:內(nèi)容發(fā)行單元對媒體源內(nèi)容進(jìn)行處理生成加密內(nèi)容���,并對 自身生成的CEK進(jìn)行加密生成密鑰加密信息�����,然后對生成的加密內(nèi)容��、 密鑰加密信息和輔助信息進(jìn)行封裝生成DCP���,并將生成的DCP下發(fā)給終
端代理單元�����;步驟202:終端代理單元將接收自內(nèi)容發(fā)行單元的DCP分解為加密內(nèi) 容、密鑰加密信息和輔助信息����,根據(jù)分解出的輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO;步驟203:終端代理單元對獲取的加密RO進(jìn)行解密生成授權(quán)信息和 REK,并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK�, 然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容。所述內(nèi)容發(fā)行單元至少包括媒體源內(nèi)容處理單元����、媒體封裝單元、 CEK生成單元和CEK加密單元�,上述步驟201包括步驟2011:媒體源內(nèi)容處理單元對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印 插入操作,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容 進(jìn)行加密生成加密內(nèi)容�����,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元����;在本步驟中��,所述CEK生成單元生成按照一定時(shí)間周期變化的CEK 時(shí)���,所述變化周期為5至20秒。步驟2012: CEK生成單元根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周 期變化的CEK��,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理 單元�。步驟2013: CEK加密單元根據(jù)接收自授權(quán)發(fā)行單元生成的REK對接 收自CEK生成單元的CEK進(jìn)行加密,生成密鑰加密信息���,并將生成的密鑰加密信息發(fā)送給媒體封裝單元�����。步驟2014:媒體封裝單元對接收的加密內(nèi)容���、密鑰加密信息和輔助信 息進(jìn)行封裝生成DCP,并將生成的DCP實(shí)時(shí)下發(fā)給終端代理單元����。上述步驟2011中所述媒體源內(nèi)容處理單元根據(jù)CEK對處理后的媒體 源內(nèi)容進(jìn)行加密的加密周期為步驟2014中所述媒體封裝單元封裝生成 DCP周期的整數(shù)倍。所述終端代理單元至少包括主處理單元����、授權(quán)對象存儲(chǔ)單元和密鑰信 息存儲(chǔ)單元�,所述授權(quán)發(fā)行單元至少包括主處理單元�、授權(quán)認(rèn)證單元、REK 生成單元和密鑰信息存儲(chǔ)單元�,步驟202中所述終端代理單元根據(jù)分解出
的輔助信息中內(nèi)容標(biāo)識信息獲取加密RO包括步驟2021:終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信息從授權(quán)對象存儲(chǔ)單元中査找加密RO,如果能夠査找到��,則執(zhí)行 步驟203;否則�,終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求��,并執(zhí)行步驟2022;在本步驟中���,當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰 信息為有效的證書��、與該證書對應(yīng)的��、授權(quán)發(fā)行單元的公鑰和終端代理單 元的私鑰時(shí)��,所述終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的 公鑰對授權(quán)請求進(jìn)行加密生成加密的授權(quán)請求����,并對生成加密授權(quán)請求進(jìn) 行簽名�,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求;當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)�����,所述終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對稱密鑰對授權(quán)請求進(jìn)行加密生成加 密的授權(quán)請求,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授 權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求�。當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的加密算法時(shí),所述終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單元先 根據(jù)從密鑰信息存儲(chǔ)單元中獲取的加密算法對授權(quán)請求進(jìn)行加密生成加 密的授權(quán)請求�����,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授 權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求�����。步驟2022:授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密����, 將解密后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元;
在本步驟中���,當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰 信息為有效的證書����、與該證書對應(yīng)的���、授權(quán)發(fā)行單元的公鑰和終端代理單 元的私鑰時(shí)��,所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密 包括授權(quán)發(fā)行單元的主處理單元先核對接收的授權(quán)請求中的簽名���,在簽 名核對通過后再根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的私鑰 對授權(quán)請求進(jìn)行解密�����;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)�����,所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密包括授權(quán)發(fā)行單元的主處理單元根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對稱密鑰對授權(quán)請求進(jìn)行解密;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授 權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的加密算法時(shí)�����,所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密包括授權(quán)發(fā)行單元的主處理單元根據(jù)從密鑰信息存儲(chǔ)單元中獲取的加密算法對授權(quán) 請求進(jìn)行解密���。步驟2023:授權(quán)認(rèn)證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證��,在確保 授權(quán)有效后生成授權(quán)信息�����,并將生成的授權(quán)信息發(fā)送給授權(quán)發(fā)行單元的主 處理單元�����;在本步驟中�,所述授權(quán)發(fā)行單元進(jìn)一步包括數(shù)據(jù)管理單元,所述授權(quán)認(rèn)證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證包括授權(quán)認(rèn)證單元從數(shù)據(jù)管理單元中獲取用戶數(shù)據(jù)信息���,然后根據(jù)獲取的用戶數(shù)據(jù)信息對授權(quán)請求進(jìn) 行授權(quán)認(rèn)證���。步驟2024:授權(quán)發(fā)行單元的主處理單元對接收自授權(quán)認(rèn)證單元的授權(quán) 信息和接收自REK生成單元的REK進(jìn)行加密生成加密RO;在本步驟中,當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰 信息為有效的證書�����、與該證書對應(yīng)的�、授權(quán)發(fā)行單元的公鑰和終端代理單 元的私鑰時(shí),所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息和REK進(jìn)行加密包括授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取終端代理單元的公鑰�����,然后根據(jù)獲取的公鑰對授權(quán)信息和REK進(jìn)行加密�;所述接
收自REK生成單元的REK為按照3至5天周期變化的REK;所述授權(quán)發(fā) 行單元的主處理單元對生成的加密RO進(jìn)行簽名符合開放移動(dòng)聯(lián)盟的數(shù)字 版權(quán)管理標(biāo)準(zhǔn);當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授 權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)��, 所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息和REK進(jìn)行加密包括授權(quán) 發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取對稱密鑰,然后根據(jù)獲 取的對稱密鑰對授權(quán)信息和REK進(jìn)行加密��;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授 權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的加密算法時(shí)�����, 所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息和REK進(jìn)行加密包括授權(quán) 發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取加密算法���,然后根據(jù)獲 取的加密算法對授權(quán)信息和REK進(jìn)行加密�����。步驟2025:授權(quán)發(fā)行單元的主處理單元將加密RO下發(fā)給終端代理單 元���,終端代理單元獲取加密RO;在本步驟中,所述授權(quán)發(fā)行單元的主處理單元將生成的加密RO下發(fā) 給終端代理單元采用點(diǎn)對點(diǎn)鏈接的方式實(shí)現(xiàn)或采用廣播的方式實(shí)現(xiàn)��。所述終端代理單元至少包括主處理單元和密鑰信息存儲(chǔ)單元��,所述步 驟203包括步驟2031:終端代理單元的主處理單元接收到授權(quán)發(fā)行單元發(fā)送的加 密RO��,從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息�����,然后根據(jù)獲取的密鑰 信息對加密RO進(jìn)行解密生成授權(quán)信息和REK;在本步驟中����,當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰 信息為有效的證書、與該證書對應(yīng)的�、授權(quán)發(fā)行單元的公鑰和終端代理單 元的私鑰時(shí),所述終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中 獲取密鑰信息�,然后根據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信 息和REK包括終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中 獲取終端代理單元的私鑰,然后根據(jù)獲取的終端代理單元的私鑰對加密 RO進(jìn)行解密生成授權(quán)信息和REK;
當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)����,所述終端 代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息,然后根 據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和REK包括終端 代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取對稱密鑰�,然后根 據(jù)獲取的對稱密鑰對加密RO進(jìn)行解密生成授權(quán)信息和REK;當(dāng)所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加 密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的加密算法時(shí),所述終端 代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息����,然后根 據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和REK包括終端 代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取加密算法,然后根 據(jù)獲取的加密算法對加密RO進(jìn)行解密生成授權(quán)信息和REK�。步驟2032:終端代理單元的主處理單元根據(jù)生成的REK對分解出的 密鑰加密信息進(jìn)行解密生成CEK。步驟2033:終端代理單元的主處理單元根據(jù)生成的CEK對分解出的 加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容����。所述授權(quán)信息至少包括完整的授權(quán)及控制信息、授權(quán)起始時(shí)間和授權(quán) 結(jié)束時(shí)間����,用于實(shí)現(xiàn)授權(quán)的自動(dòng)過期���,靈活的授權(quán)發(fā)送策略,支持單授權(quán)���、 組合授權(quán)��、分段授權(quán)�、高級尋址授權(quán)和自定義尋址授權(quán)�;步驟202中所述 終端代理單元在將接收自內(nèi)容發(fā)行單元的DCP分解為加密內(nèi)容、密鑰加 密信息和輔助信息后���,根據(jù)所述授權(quán)起始時(shí)間對密鑰加密信息的解密�����,一 旦授權(quán)到期�,即到達(dá)所述授權(quán)結(jié)束時(shí)間�����, 一旦授權(quán)到期���,即到達(dá)所述授權(quán) 結(jié)束時(shí)間�,終止步驟203中所述終端代理單元對密鑰加密信息的解密���,同 時(shí)該授權(quán)信息所屬的加密RO失效���。基于圖2所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)總體技術(shù)方案的實(shí)現(xiàn)流程圖���, 以下結(jié)合具體的實(shí)施例對本發(fā)明實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法進(jìn)一步詳 細(xì)說明�����。
實(shí)施例在本實(shí)施例中���,授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息 為有效的證書、與該證書對應(yīng)的�����、終端代理單元的公鑰和授權(quán)發(fā)行單元的 私鑰�����;終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的證 書、與該證書對應(yīng)的��、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰���。如圖3所示�����,圖3為本發(fā)明實(shí)施例中實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法流 程圖���,該方法包括以下步驟步驟301:媒體源內(nèi)容處理單元對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印 插入操作,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容 進(jìn)行加密生成加密內(nèi)容�����,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元�����。步驟302: CEK生成單元根據(jù)加密業(yè)務(wù)的需要生成按照5至20秒周 期變化的CEK�,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理 單元。步驟303: CEK加密單元根據(jù)接收自授權(quán)發(fā)行單元的REK對接收自 CEK生成單元的CEK進(jìn)行加密�,生成密鑰加密信息,并將生成的密鑰加 密信息發(fā)送給媒體封裝單元���。步驟304:媒體封裝單元對接收的加密內(nèi)容和密鑰加密信息����、以及輔 助信息進(jìn)行封裝生成DCP���,并將生成的DCP實(shí)時(shí)下發(fā)給終端代理單元����。上述步驟301媒體源內(nèi)容處理單元根據(jù)CEK對處理后的媒體源內(nèi)容 進(jìn)行加密的加密周期為步驟304中所述媒體封裝單元封裝生成DCP周期 的整數(shù)倍����。步驟305:終端代理單元的主處理單元接收到媒體封裝單元下發(fā)的 DCP后,將接收的DCP分解為加密內(nèi)容�����、密鑰加密信息和輔助信息�,并 根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信息從授權(quán)對象存儲(chǔ)單元中查找加密 RO,如果能夠査找到��,則執(zhí)行步驟310;否則�����,終端代理單元的主處理單 元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送 加密的授權(quán)請求,并執(zhí)行步驟306;在本步驟中�,所述終端代理單元的主處理單元根據(jù)分解出的輔助信息 中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求進(jìn)一步包括終端代理單元的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)
發(fā)行單元的公鑰對授權(quán)請求進(jìn)行加密生成加密的授權(quán)請求,并對生成加密授權(quán)請求進(jìn)行簽名����,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息 向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求。步驟306:授權(quán)發(fā)行單元的主處理單元先核對接收的授權(quán)請求中的簽 名�,簽名核對通過后再根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的 私鑰對授權(quán)請求進(jìn)行解密。步驟307:授權(quán)認(rèn)證單元從數(shù)據(jù)管理單元中獲取用戶數(shù)據(jù)信息�����,然后 根據(jù)獲取的用戶數(shù)據(jù)信息對授權(quán)請求進(jìn)行授權(quán)認(rèn)證��,在確保授權(quán)有效后生 成授權(quán)信息��,并將生成的授權(quán)信息發(fā)送給授權(quán)發(fā)行單元的主處理單元����。步驟308:授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取終 端代理單元的公鑰,然后根據(jù)獲取的公鑰對授權(quán)信息和REK進(jìn)行加密生 成加密RO;在本步驟中�����,所述接收自REK生成單元的REK為按照3至5天周期 變化的REK���。步驟309:授權(quán)發(fā)行單元的主處理單元對加密RO進(jìn)行數(shù)字簽名�����,采 用點(diǎn)對點(diǎn)鏈接的方式或采用廣播的方式將進(jìn)行數(shù)字簽名后的加密RO下發(fā) 給終端代理單元,終端代理單元獲取加密RO�����。步驟310:終端代理單元的主處理單元接收到授權(quán)發(fā)行單元發(fā)送的加 密RO�����,核對加密RO的簽名����,簽名核對通過后從自身密鑰信息存儲(chǔ)單元 中獲取終端代理單元的私鑰,然后根據(jù)獲取的私鑰對加密RO進(jìn)行解密生 成授權(quán)信息和REK�����。步驟311:終端代理單元的主處理單元根據(jù)生成的REK對分解出的密 鑰加密信息進(jìn)行解密生成CEK;步驟312:終端代理單元的主處理單元根據(jù)生成的CEK對分解出的加 密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�。在本發(fā)明所舉的這個(gè)實(shí)施例中,授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中 保存的密鑰信息為有效的證書、與該證書對應(yīng)的��、終端代理單元的公鑰和 授權(quán)發(fā)行單元的私鑰����;終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信 息為有效的證書、與該證書對應(yīng)的����、授權(quán)發(fā)行單元的公鑰和終端代理單元在實(shí)際應(yīng)用中,授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息也可以為對授權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的 對稱密鑰�,此時(shí)終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對 加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰,且二者所 保存的對稱密鑰相同����;授權(quán)發(fā)行單元利用自身保存的對稱密鑰對授權(quán)請求 進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密,終端代理單元利用自身保存的 對稱密鑰對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密��;另外�,授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息還可以為 對授權(quán)請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的加密算法,此時(shí)終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密RO進(jìn) 行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的加密算法�,且二者所保存的加密 算法相同;授權(quán)發(fā)行單元利用自身保存的加密算法對授權(quán)請求進(jìn)行解密及 對授權(quán)信息與REK進(jìn)行加密�,終端代理單元利用自身保存的加密算法對 加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密;上述技術(shù)方案與本發(fā)明提供的技術(shù)方案在技術(shù)思路上是一致的�,應(yīng)包 含在本發(fā)明的保護(hù)范圍之內(nèi)。在本發(fā)明所舉這個(gè)實(shí)施例的步驟302中,CEK生成單元根據(jù)加密業(yè)務(wù) 的需要生成按照5至20秒周期變化的CEK���。在實(shí)際應(yīng)用中�����,CEK生成單 元也可以根據(jù)加密業(yè)務(wù)的實(shí)際需要改變CEK的變化周期����,例如生成按照 25至50秒周期變化的CEK�����。這樣的技術(shù)方案與本發(fā)明提供的技術(shù)方案在 技術(shù)思路上是一致的�����,應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。在本發(fā)明所舉這個(gè)實(shí)施例的步驟304中����,媒體封裝單元對接收的加密 內(nèi)容和密鑰加密信息���、以及輔助信息進(jìn)行封裝生成DCP����,并將生成的DCP 實(shí)時(shí)下發(fā)給終端代理單元。在實(shí)際應(yīng)用中����,所述媒體封裝單元還可以進(jìn)一 步將其他信息與加密內(nèi)容、密鑰加密信息和輔助信息封裝在一起�����,生成 DCP����,使每個(gè)最終的DCP包構(gòu)成相對獨(dú)立的一個(gè)實(shí)體,完全滿足實(shí)時(shí)媒 體的播放要求���。這樣的技術(shù)方案與本發(fā)明提供的技術(shù)方案在技術(shù)思路上是
一致的�����,應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。在本發(fā)明所舉這個(gè)實(shí)施例的步驟308中��,授權(quán)發(fā)行單元的主處理單元 接收REK生成單元的REK為按照3至5天周期變化的REK。在實(shí)際應(yīng)用 中����,REK生成單元可以根據(jù)實(shí)際需要改變REK的變化周期,只要保證REK 的變化周期大于上述CEK的變化周期即可�����,例如生成按照5至10天周期 變化的REK��。這樣的技術(shù)方案與本發(fā)明提供的技術(shù)方案在技術(shù)思路上是一 致的��,應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。以上所述的具體實(shí)施例��,對本發(fā)明的目的����、技術(shù)方案和有益效果進(jìn)行 了進(jìn)一步詳細(xì)說明�����,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實(shí)施例而 已�,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修 改、等同替換�����、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1����、一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),其特征在于�,該系統(tǒng)包括內(nèi)容發(fā)行單元,用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理����、水印插入和加密操作生成加密內(nèi)容,并對自身生成的內(nèi)容加密密鑰CEK進(jìn)行加密生成密鑰加密信息����,然后對生成的加密內(nèi)容�、密鑰加密信息和輔助信息進(jìn)行封裝生成媒體數(shù)據(jù)包DCP�,并將生成的DCP下發(fā)給終端代理單元;授權(quán)發(fā)行單元���,用于對接收自終端代理單元的授權(quán)請求進(jìn)行解密及授權(quán)認(rèn)證��,在確保授權(quán)有效后生成授權(quán)信息���,并對生成的授權(quán)信息和自身生成的授權(quán)加密密鑰REK進(jìn)行加密生成加密授權(quán)對象RO,然后將加密RO下發(fā)給終端代理單元�����;終端代理單元����,用于分解接收自內(nèi)容發(fā)行單元的DCP����,根據(jù)分解出的輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO,對獲取的加密RO進(jìn)行解密生成授權(quán)信息和REK�����,并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�����。
2��、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)�,其特征在 于,所述內(nèi)容發(fā)行單元包括媒體源內(nèi)容處理單元�����,用于對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印插入 操作�����,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容進(jìn)行 加密生成加密內(nèi)容����,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元;CEK生成單元���,用于根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周期變化 的CEK�,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理單元����;CEK加密單元�����,用于根據(jù)接收自授權(quán)發(fā)行單元的REK對接收自CEK 生成單元的CEK進(jìn)行加密����,生成密鑰加密信息��,并將生成的密鑰加密信 息發(fā)送給媒體封裝單元��;媒體封裝單元�����,用于對接收自媒體源內(nèi)容處理單元的加密內(nèi)容和接收 自CEK加密單元的密鑰加密信息�,以及輔助信息進(jìn)行封裝生成DCP,并 將生成的DCP下發(fā)給終端代理單元��。
3���、 根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),其特征在 于�,所述CEK生成單元生成的按照一定時(shí)間周期變化的CEK為按照5至 20秒周期變化的CEK�。
4�、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),其特征在 于�����,所述授權(quán)發(fā)行單元包括主處理單元��,用于對接收自終端代理單元的授權(quán)請求進(jìn)行解密��,將解 密后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元�����,并對接收自授權(quán)認(rèn)證單元的授權(quán)信 息和接收自REK生成單元的REK進(jìn)行加密生成加密RO��,然后將加密RO 下發(fā)給終端代理單元�;授權(quán)認(rèn)證單元,用于對接收自主處理單元的授權(quán)請求進(jìn)行授權(quán)認(rèn)證����, 在確保授權(quán)有效后生成授權(quán)信息,并將生成的授權(quán)信息發(fā)送給主處理單 元���;REK生成單元�,用于根據(jù)業(yè)務(wù)需要生成按照一定時(shí)間周期變化的 REK,并將生成的REK發(fā)送給主處理單元和內(nèi)容發(fā)行單元的CEK加密單 元�����;密鑰信息存儲(chǔ)單元�,用于保存對授權(quán)請求進(jìn)行解密及對授權(quán)信息與 REK進(jìn)行加密時(shí)所利用的密鑰信息,所述密鑰信息為有效的證書�����、與該證 書對應(yīng)的���、終端代理單元的公鑰和授權(quán)發(fā)行單元的私鑰�����,或者為對授權(quán)請 求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰���。
5、 根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)����,其特征在 于�,所述REK生成單元生成的按照一定時(shí)間周期變化的REK為按照3至 5天周期變化的REK��。
6��、 根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)����,其特征在 于�����,所述授權(quán)發(fā)行單元進(jìn)一步包括-數(shù)據(jù)管理單元�����,用于保存用戶數(shù)據(jù)信息����,授權(quán)認(rèn)證單元在對授權(quán)請求 進(jìn)行授權(quán)認(rèn)證時(shí),從數(shù)據(jù)管理單元中獲取用戶數(shù)據(jù)信息����,然后根據(jù)獲取的 用戶數(shù)據(jù)信息對授權(quán)請求進(jìn)行授權(quán)認(rèn)證。
7�����、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),其特征在 于�,所述終端代理單元包括主處理單元,用于分解接收自內(nèi)容發(fā)行單元的DCP�����,根據(jù)分解出的輔 助信息中的內(nèi)容標(biāo)識信息獲取加密RO��,如果能夠從授權(quán)對象存儲(chǔ)單元中 査找到加密RO���,則對査找到的加密RO進(jìn)行解密生成授權(quán)信息和REK���, 并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK,然后根 據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�����;否則��,主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單 元發(fā)送授權(quán)請求�,獲取授權(quán)發(fā)行單元返回的加密RO,并對獲取的加密RO 進(jìn)行解密生成授權(quán)信息和REK�,根據(jù)生成的REK對分解出的密鑰加密信 息進(jìn)行解密生成CEK����,然后根據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解 密生成媒體源內(nèi)容����;授權(quán)對象存儲(chǔ)單元��,用于存儲(chǔ)接收自授權(quán)發(fā)行單元的加密RO���,并在 接收到主處理單元查詢加密RO的請求后��,向主處理單元返回査詢結(jié)果��;密鑰信息存儲(chǔ)單元���,用于保存對加密RO進(jìn)行解密及對授權(quán)請求進(jìn)行 加密時(shí)所利用的密鑰信息,所述密鑰信息為有效的證書����、與該證書對應(yīng)的、 授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰�����,或者為對加密RO進(jìn)行解密 及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰。
8����、 根據(jù)權(quán)利要求7所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),其特征在 于��,所述終端代理單元至少包括以下存在形式以軟件模塊嵌入操作系統(tǒng)�;或 集成于MMC或SIM專用卡;或 采用專用的集成電路芯片�。
9、 根據(jù)權(quán)利要求4或7所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng)����,其特 征在于,當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的 證書�����、與該證書對應(yīng)的�、終端代理單元的公鑰和授權(quán)發(fā)行單元的私鑰時(shí), 所述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為有效的證書�����、與 該證書對應(yīng)的���、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰�����;當(dāng)所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰時(shí)�����,所 述終端代理單元的密鑰信息存儲(chǔ)單元保存的密鑰信息為對加密RO進(jìn)行解 密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰�,且二者保存的對稱密鑰相 同���。
10�����、 一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法�����,其特征在于���,該方法包括A、 內(nèi)容發(fā)行單元對媒體源內(nèi)容進(jìn)行處理生成加密內(nèi)容���,并對自身生成的CEK進(jìn)行加密生成密鑰加密信息�,然后對生成的加密內(nèi)容、密鑰加 密信息和輔助信息進(jìn)行封裝生成DCP���,并將生成的DCP下發(fā)給終端代理 單元�;B���、 終端代理單元將接收自內(nèi)容發(fā)行單元的DCP分解為加密內(nèi)容����、密鑰加密信息和輔助信息����,根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信息獲取加密 RO;C、 終端代理單元對獲取的加密RO進(jìn)行解密生成授權(quán)信息和REK���, 并根據(jù)生成的REK對分解出的密鑰加密信息進(jìn)行解密生成CEK�����,然后根 據(jù)生成的CEK對分解出的加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容����。
11、 根據(jù)權(quán)利要求10所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法����,其特征 在于,所述內(nèi)容發(fā)行單元至少包括媒體源內(nèi)容處理單元�����、媒體封裝單元�����、 CEK生成單元和CEK加密單元���,所述步驟A包括Al 、媒體源內(nèi)容處理單元對媒體源內(nèi)容進(jìn)行元數(shù)據(jù)處理和水印插入操 作�����,然后根據(jù)接收自CEK生成單元的CEK對處理后的媒體源內(nèi)容進(jìn)行加 密生成加密內(nèi)容���,并將生成的加密內(nèi)容發(fā)送給媒體封裝單元��;A2���、 CEK生成單元根據(jù)加密業(yè)務(wù)的需要生成按照一定時(shí)間周期變化 的CEK����,并將生成的CEK發(fā)送給CEK加密單元和媒體源內(nèi)容處理單元�����;A3����、 CEK加密單元根據(jù)接收自授權(quán)發(fā)行單元生成的REK對接收自 CEK生成單元的CEK進(jìn)行加密,生成密鑰加密信息�����,并將生成的密鑰加 密信息發(fā)送給媒體封裝單元���;A4���、媒體封裝單元對接收的加密內(nèi)容、密鑰加密信息和輔助信息進(jìn)行 封裝生成DCP�����,并將生成的DCP實(shí)時(shí)下發(fā)給終端代理單元。
12����、 根據(jù)權(quán)利要求11所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法,其特征 在于���,步驟A2中所述CEK生成單元生成按照一定時(shí)間周期變化的CEK 時(shí)�����,所述變化周期為5至20秒���;步驟Al中所述媒體源內(nèi)容處理單元根據(jù)CEK對處理后的媒體源內(nèi)容 進(jìn)行加密的加密周期為步驟A4中所述媒體封裝單元封裝生成DCP周期的 整數(shù)倍。
13����、 根據(jù)權(quán)利要求10所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法,其特征 在于�,所述終端代理單元至少包括主處理單元����、授權(quán)對象存儲(chǔ)單元和密鑰 信息存儲(chǔ)單元,所述授權(quán)發(fā)行單元至少包括主處理單元、授權(quán)認(rèn)證單元�、 REK生成單元和密鑰信息存儲(chǔ)單元,步驟B中所述終端代理單元根據(jù)分 解出的輔助信息中的內(nèi)容標(biāo)識信息獲取加密RO包括Bl�、終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容標(biāo)識信 息從授權(quán)對象存儲(chǔ)單元中查找加密RO,如果能夠査找到���,則執(zhí)行步驟C; 否則���,終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取 鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求,并執(zhí)行步驟B2;B2�、授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密,將解密 后的授權(quán)請求發(fā)送給授權(quán)認(rèn)證單元�;B3、授權(quán)認(rèn)證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證�����,在確保授權(quán)有 效后生成授權(quán)信息���,并將生成的授權(quán)信息發(fā)送給授權(quán)發(fā)行單元的主處理單 元���;B4、授權(quán)發(fā)行單元的主處理單元對接收自授權(quán)認(rèn)證單元的授權(quán)信息和 接收自REK生成單元的REK進(jìn)行加密生成加密RO;B5�、授權(quán)發(fā)行單元的主處理單元將加密RO下發(fā)給終端代理單元����,終 端代理單元獲取加密RO����。
14、 根據(jù)權(quán)利要求13所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法����,其特征 在于,所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書���、與該證書對應(yīng)的�、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰����,步 驟Bl中所述終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授 權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授 權(quán)發(fā)行單元的公鑰對授權(quán)請求進(jìn)行加密生成加密的授權(quán)請求,并對生成加 密授權(quán)請求進(jìn)行簽名�,然后根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接信 息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求。
15�、 根據(jù)權(quán)利要求13所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法,其特征 在于�,所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰,步驟Bl中所述 終端代理單元的主處理單元根據(jù)分解出的輔助信息中內(nèi)容授權(quán)獲取鏈接 信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求包括終端代理單元的主處理單元先根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對 稱密鑰對授權(quán)請求進(jìn)行加密生成加密的授權(quán)請求����,并根據(jù)分解出的輔助信 息中內(nèi)容授權(quán)獲取鏈接信息向授權(quán)發(fā)行單元發(fā)送加密的授權(quán)請求。
16�����、 根據(jù)權(quán)利要求13所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法�����,其特征 在于�����,所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書��、與該證書對應(yīng)的�、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰,步驟B2中所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解密包括授權(quán)發(fā)行單元的主處理單元先核對接收的授權(quán)請求中的簽名���,簽 名核對通過后再根據(jù)從密鑰信息存儲(chǔ)單元中獲取的授權(quán)發(fā)行單元的私鑰對授權(quán)請求進(jìn)行解密���;步驟B4中所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息和REK進(jìn)行加密包括授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取終端代理 單元的公鑰,然后根據(jù)獲取的公鑰對授權(quán)信息和REK進(jìn)行加密��。
17、 根據(jù)權(quán)利要求13所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法���,其特征 在于����,所述授權(quán)發(fā)行單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對授權(quán) 請求進(jìn)行解密及對授權(quán)信息與REK進(jìn)行加密時(shí)所利用的對稱密鑰��,步驟B2中所述授權(quán)發(fā)行單元的主處理單元對接收的授權(quán)請求進(jìn)行解 密包括授權(quán)發(fā)行單元的主處理單元根據(jù)從密鑰信息存儲(chǔ)單元中獲取的對 稱密鑰對授權(quán)請求進(jìn)行解密����;步驟B4中所述授權(quán)發(fā)行單元的主處理單元對授權(quán)信息和REK進(jìn)行加 密包括授權(quán)發(fā)行單元的主處理單元從密鑰信息存儲(chǔ)單元中獲取對稱密 鑰,然后根據(jù)獲取的對稱密鑰對授權(quán)信息和REK進(jìn)行加密����。
18、 根據(jù)權(quán)利要求13所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法�����,其特征 在于�,所述授權(quán)發(fā)行單元進(jìn)一步包括數(shù)據(jù)管理單元,步驟B3中所述授權(quán)認(rèn) 證單元對解密后的授權(quán)請求進(jìn)行授權(quán)認(rèn)證包括授權(quán)認(rèn)證單元從數(shù)據(jù)管理 單元中獲取用戶數(shù)據(jù)信息�����,然后根據(jù)獲取的用戶數(shù)據(jù)信息對授權(quán)請求進(jìn)行 授權(quán)認(rèn)證; 步驟B4中所述接收自REK生成單元的REK為按照3至5天周期變 化的REK;步驟B5中所述授權(quán)發(fā)行單元的主處理單元將生成的加密RO下發(fā)給 終端代理單元釆用點(diǎn)對點(diǎn)鏈接的方式或采用廣播的方式實(shí)現(xiàn)����。
19�、 根據(jù)權(quán)利要求10所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法,其特征 在于����,所述終端代理單元至少包括主處理單元和密鑰信息存儲(chǔ)單元,所述 步驟C包括-Cl ��、終端代理單元的主處理單元接收到授權(quán)發(fā)行單元發(fā)送的加密RO, 從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息��,然后根據(jù)獲取的密鑰信息對加 密RO進(jìn)行解密生成授權(quán)信息和REK;C2�、終端代理單元的主處理單元根據(jù)生成的REK對分解出的密鑰加 密信息進(jìn)行解密生成CEK;C3、終端代理單元的主處理單元根據(jù)生成的CEK對分解出的加密內(nèi) 容進(jìn)行解密生成媒體源內(nèi)容����。
20、 根據(jù)權(quán)利要求19所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法�,其特征 在于,所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為有效的 證書�、與該證書對應(yīng)的、授權(quán)發(fā)行單元的公鑰和終端代理單元的私鑰�,步 驟Cl中所述終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取 密鑰信息��,然后根據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和 REK包括終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取終端代 理單元的私鑰�,然后根據(jù)獲取的終端代理單元的私鑰對加密RO進(jìn)行解密 生成授權(quán)信息和REK���。
21�、 根據(jù)權(quán)利要求19所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法����,其特征 在于,所述終端代理單元的密鑰信息存儲(chǔ)單元中保存的密鑰信息為對加密 RO進(jìn)行解密及對授權(quán)請求進(jìn)行加密時(shí)所利用的對稱密鑰�����,步驟Cl中所述 終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取密鑰信息�,然 后根據(jù)獲取的密鑰信息對加密RO進(jìn)行解密生成授權(quán)信息和REK包括終端代理單元的主處理單元從自身密鑰信息存儲(chǔ)單元中獲取對稱密 鑰,然后根據(jù)獲取的對稱密鑰對加密RO進(jìn)行解密生成授權(quán)信息和REK�。
22、根據(jù)權(quán)利要求10所述的實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法��,其特征 在于�,所述授權(quán)信息至少包括完整的授權(quán)及控制信息、授權(quán)起始時(shí)間和授權(quán) 結(jié)束時(shí)間���,用于實(shí)現(xiàn)授權(quán)的自動(dòng)過期��,靈活的授權(quán)發(fā)送策略�,支持單授權(quán)、 組合授權(quán)���、分段授權(quán)����、高級尋址授權(quán)和自定義尋址授權(quán)��;步驟B中所述終端代理單元在將接收自內(nèi)容發(fā)行單元的DCP分解為 加密內(nèi)容�����、密鑰加密信息和輔助信息后�����,根據(jù)所述授權(quán)起始時(shí)間對密鑰加 密信息的解密���, 一旦授權(quán)到期,即到達(dá)所述授權(quán)結(jié)束時(shí)間���,終止步驟C中 所述終端代理單元對密鑰加密信息的解密��,同時(shí)該授權(quán)信息所屬的加密 RO失效�。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的系統(tǒng),包括內(nèi)容發(fā)行單元�,用于對媒體源內(nèi)容進(jìn)行處理生成加密內(nèi)容,對CEK進(jìn)行加密生成密鑰加密信息����,對生成的加密內(nèi)容、密鑰加密信息和輔助信息進(jìn)行封裝生成DCP�����,將生成的DCP下發(fā)給終端代理單元�����;授權(quán)發(fā)行單元�,用于對授權(quán)請求進(jìn)行解密及授權(quán)認(rèn)證,在確保授權(quán)有效后生成授權(quán)信息��,對授權(quán)信息和REK進(jìn)行加密生成加密RO����,將加密RO下發(fā)給終端代理單元;終端代理單元,用于分解接收的DCP�����,根據(jù)分解出的內(nèi)容標(biāo)識信息獲取加密RO�����,對獲取的加密RO進(jìn)行解密生成授權(quán)信息和REK��,根據(jù)REK對分解出的密鑰加密信息進(jìn)行解密生成CEK����,根據(jù)CEK對加密內(nèi)容進(jìn)行解密生成媒體源內(nèi)容�����。本發(fā)明同時(shí)公開了一種實(shí)現(xiàn)實(shí)時(shí)媒體版權(quán)保護(hù)的方法�。
文檔編號G06F21/00GK101118576SQ20061008907
公開日2008年2月6日 申請日期2006年8月2日 優(yōu)先權(quán)日2006年8月2日
發(fā)明者成 戴, 健 楊, 彬 熊, 牛張力, 鄭力錚, 陳德權(quán) 申請人:北京數(shù)碼視訊科技有限公司