專利名稱:基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字權(quán)限管理(DRM,Digital Rights Management)領(lǐng)域�,特別是涉及 一種基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法。
背景技術(shù):
數(shù)字資源��,如計算機文件��、數(shù)字出版物等���,其訪問資源權(quán)限的控制及保護(hù)����,是知識 產(chǎn)權(quán)保護(hù)中的重要問題?���,F(xiàn)有的數(shù)字資源權(quán)限控制方法通常分別加密及數(shù)字水印等類型。其中�����,數(shù)字水印 對于跟蹤數(shù)字資源的出處具有優(yōu)勢��,而加密則對保護(hù)數(shù)字資源的機密性及實際的權(quán)限控制 具有優(yōu)勢?,F(xiàn)有的加密型數(shù)字資源權(quán)限控制方法中����,通常其密鑰本身由用戶在數(shù)字資源控制 服務(wù)上的帳號(用戶名/密碼)或其終端設(shè)備的唯一標(biāo)識進(jìn)行保護(hù)���。即只有在被保護(hù)數(shù)字 資源的使用者在該資源控制服務(wù)處擁有帳號并正確提供用戶名/密碼��,或該使用者所使用 的終端設(shè)備的唯一標(biāo)識在該資源控制服務(wù)處有所登記并得到其認(rèn)可的情況下�����,該使用者才 能順利得到密鑰����,并對被保護(hù)的數(shù)字資源進(jìn)行解密得到原文進(jìn)行使用��。但是�����,這些加密型數(shù)字資源權(quán)限控制方法均有一個共同的缺點如果使用者需要 將該被保護(hù)的數(shù)字資源在一定范圍內(nèi)進(jìn)行合法的傳播時��,該使用者不得不將其帳號/密碼 等信息共享給這些人���,從而可能導(dǎo)致該帳號下的其他資源被泄漏��。如果該被保護(hù)資源是由普通密碼派生的密鑰進(jìn)行加密����,則傳播時可以直接將該密 碼與被保護(hù)文檔一起傳與他人��,但是由于傳播過程中的風(fēng)險��,該密碼有可能被中間人截獲���, 從而使被保護(hù)的文檔的數(shù)據(jù)也被泄露����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種 基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法���。本發(fā)明的目的可以通過以下技術(shù)方案來實現(xiàn)基于身份聯(lián)合的數(shù)字資源權(quán)限控制 方法����,其特征在于����,包括以下步驟a.數(shù)字權(quán)限控制服務(wù)器分別從多個第三方身份提供服務(wù)器請求得到信任證書;b.數(shù)字資源發(fā)送端電子裝置對需發(fā)送的數(shù)字資源進(jìn)行安全保護(hù)處理���,生成被保護(hù) 數(shù)字資源文件以及數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)�;c.通過數(shù)字權(quán)限控制服務(wù)器將數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)寫入數(shù)字權(quán)限控制數(shù)據(jù) 庫;d.被保護(hù)數(shù)字資源文件通過傳播渠道傳播給接收端電子裝置����;e.接收端電子裝置通過一個第三方身份提供服務(wù)器向數(shù)字權(quán)限控制服務(wù)器驗證 身份后,從數(shù)字權(quán)限控制服務(wù)器得到相應(yīng)的數(shù)字資源使用權(quán)限����。所述的信任證書為相應(yīng)第三方身份提供服務(wù)器的公有信任證書,該公有信任證書用于驗證經(jīng)相應(yīng)第三方身份提供服務(wù)器私有信任證書數(shù)字簽名后的身份證明文件��。所述的數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)包括資源標(biāo)識��、數(shù)字權(quán)限控制服務(wù)器標(biāo)識以及保 護(hù)類型��。所述的步驟b進(jìn)一步包括bl.檢查當(dāng)前數(shù)字資源是否已進(jìn)行過安全保護(hù)處理�����,若是�,則執(zhí)行步驟b2,若否����, 則執(zhí)行b3 ���;b2.向數(shù)字權(quán)限控制服務(wù)器驗證當(dāng)前操作用戶是否擁有該數(shù)字資源的管理權(quán)限, 若是����,則執(zhí)行步驟b5�����,若否��,則執(zhí)行步驟b8 ��;b3.為該資源生成數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及密鑰����;b4.在數(shù)字資源中寫入數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù),并通過密鑰進(jìn)行加密����;b5.讀入當(dāng)前操作用戶指定的接受方信息;b6.通過數(shù)字權(quán)限控制服務(wù)器將接受方信息�����,以及密鑰寫入數(shù)字權(quán)限控制數(shù)據(jù) 庫;hi.安全保護(hù)處理結(jié)束���。所述的接受方信息包括接收方身份標(biāo)識以及權(quán)限標(biāo)識��。所述的步驟e進(jìn)一步包括el.檢測數(shù)字資源是否為被保護(hù)數(shù)字資源���,若是,則執(zhí)行e2����,若否,則執(zhí)行步驟 el5 �;e2.從數(shù)字資源中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù);e3.根據(jù)數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)向數(shù)字權(quán)限控制服務(wù)器請求相應(yīng)的政策���、規(guī)則 文件(Policy)��;e4.根據(jù)獲得的政策��、規(guī)則文件�����,接收端電子裝置提示用戶選擇相應(yīng)的第三方身份 提供服務(wù)器�;e5.根據(jù)選擇將接收端電子裝置接入該第三方身份提供服務(wù)器;e6.接收端電子裝置在第三方身份提供服務(wù)器上進(jìn)行用戶身份驗證�;e7.第三方身份提供服務(wù)器檢測是否通過驗證,若是�,則執(zhí)行步驟e8,若否��,則執(zhí) 行步驟e 15 ��;e8.獲得第三方身份提供服務(wù)器返回的身份證明文件���;e9.接收端電子裝置將該身份證明文件以及權(quán)限請求提交給權(quán)限控制服務(wù)器;elO.數(shù)字權(quán)限控制服務(wù)器根據(jù)相應(yīng)信任證書驗證身份證明文件的合法性�;ell.若步驟elO返回的結(jié)果為非法,則執(zhí)行步驟el5 ���;若合法���,則檢測數(shù)字權(quán)限控 制數(shù)據(jù)庫中是否具有數(shù)字資源標(biāo)識、接受方身份標(biāo)識�����、請求權(quán)限信息均對應(yīng)的記錄,若是�, 則執(zhí)行步驟e 12,若否�,則執(zhí)行步驟e 15。el2.數(shù)字權(quán)限控制服務(wù)器返回包含有密鑰的授權(quán)文件給接收端電子裝置��;el3.接收端電子裝置使用授權(quán)文件對被保護(hù)數(shù)字資源文件進(jìn)行解密����,執(zhí)行步驟 el5 ;el4.拒絕權(quán)限請求����;e 15 步驟e結(jié)束。所述的步驟e進(jìn)一步包括
el.檢測數(shù)字資源是否為被保護(hù)數(shù)字資源��,若是����,則執(zhí)行e2,若否����,則執(zhí)行步驟 el4 ;e2.從數(shù)字資源或接收端電子裝置中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及相應(yīng)的政 策����、規(guī)則文件(Policy)�;e3.根據(jù)獲得的政策����、規(guī)則文件,接收端電子裝置提示用戶選擇相應(yīng)的第三方身份 提供服務(wù)器���;e4.根據(jù)選擇將接收端電子裝置接入該第三方身份提供服務(wù)器�����;e5.接收端電子裝置在第三方身份提供服務(wù)器上進(jìn)行用戶身份驗證�;e6.第三方身份提供服務(wù)器檢測是否通過驗證����,若是�����,則執(zhí)行步驟e7�����,若否,則執(zhí) 行步驟e 14 ���;e7.獲得第三方身份提供服務(wù)器返回的身份證明文件����;e8.接收端電子裝置將該身份證明文件以及權(quán)限請求提交給權(quán)限控制服務(wù)器����;e9.數(shù)字權(quán)限控制服務(wù)器根據(jù)相應(yīng)信任證書驗證身份證明文件的合法性;elO.若步驟e9返回的結(jié)果為非法�,則執(zhí)行步驟el4 ;若合法����,則檢測數(shù)字權(quán)限控制 數(shù)據(jù)庫中是否具有數(shù)字資源標(biāo)識、接受方身份標(biāo)識�、請求權(quán)限信息均對應(yīng)的記錄,若是���,則 執(zhí)行步驟el 1�����,若否����,則執(zhí)行步驟el4。ell.數(shù)字權(quán)限控制服務(wù)器返回包含有密鑰的授權(quán)文件給接收端電子裝置��;el2.接收端電子裝置使用授權(quán)文件對被保護(hù)數(shù)字資源文件進(jìn)行解密�,執(zhí)行步驟 el5 ;el3.拒絕權(quán)限請求��;e 14 步驟e結(jié)束���。所述的第三方身份提供服務(wù)器為Windows Live ID身份驗證服務(wù)器��、Gmail ID身 份驗證服務(wù)器或Microsoft Active Directory Federation Service身份驗證服務(wù)器���。與現(xiàn)有技術(shù)相比,本發(fā)明使文件的傳播更加安全���,易用性也得到了大幅的提高;用 戶可以在控制數(shù)字資源權(quán)限時�����,直接指定不同第三方身份系統(tǒng)的用戶的權(quán)限�,并對其實行 有限的控制����,這在現(xiàn)有的技術(shù)中都是很難實現(xiàn)的��;其次�����,本發(fā)明由于引入了多方身份提供 者�����,為不同網(wǎng)絡(luò)服務(wù)的進(jìn)一步合作提供了契機��。
圖1為本發(fā)明的流程圖�����;圖2為本發(fā)明的原理圖�;圖3為本發(fā)明的安全保護(hù)處理的流程圖;圖4為本發(fā)明的一個驗證解密流程圖����;圖5為本發(fā)明的另一個驗證解密流程圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明作進(jìn)一步說明。如圖1所示��,基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法����,包括以下步驟a.數(shù)字權(quán)限控制服務(wù)器分別從多個第三方身份提供服務(wù)器請求得到信任證書;
b.數(shù)字資源發(fā)送端電子裝置對需發(fā)送的數(shù)字資源進(jìn)行安全保護(hù)處理��,生成被保護(hù) 數(shù)字資源文件以及數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)�;c.通過數(shù)字權(quán)限控制服務(wù)器將數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)寫入數(shù)字權(quán)限控制數(shù)據(jù) 庫;d.被保護(hù)數(shù)字資源文件通過傳播渠道傳播給接收端電子裝置�;e.接收端電子裝置通過一個第三方身份提供服務(wù)器向數(shù)字權(quán)限控制服務(wù)器驗證 身份后,從數(shù)字權(quán)限控制服務(wù)器得到相應(yīng)的數(shù)字資源使用權(quán)限��。所述的信任證書為相應(yīng)第三方身份提供服務(wù)器的公有信任證書����,該公有信任證書 用于驗證經(jīng)相應(yīng)第三方身份提供服務(wù)器私有信任證書數(shù)字簽名后的身份證明文件。所述的數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)包括資源標(biāo)識���、數(shù)字權(quán)限控制服務(wù)器標(biāo)識以及保 護(hù)類型等��。如圖2�,本實施例通過與網(wǎng)絡(luò)身份提供者(Identity Provider)的互操作��,實現(xiàn) 權(quán)限指定時�����,指定者可以直接使用接收者的網(wǎng)絡(luò)身份(如Hotmail�����,Gmail帳號)做為權(quán)限 指定的受體����,從而避免了接收者必須在同樣的網(wǎng)絡(luò)權(quán)限服務(wù)處注冊、或必須或者被保護(hù)文 檔的密碼等過程����,減少了可能暴露秘密的步驟,從而提高了安全性���,同時提高了易用性��。其 中數(shù)字資源文件11為待保護(hù)的數(shù)字文件����,如JPG�,DOC, PDF等文件;數(shù)字資源發(fā)送端電子裝置12對數(shù)字資源進(jìn)行保護(hù)處理;保護(hù)處理后的被保護(hù)數(shù)字資源文件13�����,可以在網(wǎng)絡(luò)上安全傳輸����;數(shù)字權(quán)限控制服務(wù)器14,通常以網(wǎng)絡(luò)服務(wù)的方式提供���;實際存儲數(shù)字資源權(quán)限控制描述�����、密鑰等的數(shù)字權(quán)限控制數(shù)據(jù)庫15 ���;接收方用于打開被保護(hù)數(shù)字文件的接收端電子裝置16 ;實際證明接收方身份的第三方身份提供者(Identity Provider)服務(wù)器17�,如 Windows Live ID.Gmail ID等;當(dāng)然���,該身份服務(wù)亦可為數(shù)字權(quán)限控制服務(wù)自身所提供���;在 此情況下���,該系統(tǒng)將要求接收方也在數(shù)字權(quán)限控制服務(wù)上擁有帳號����。數(shù)字資源發(fā)送端電子裝置12、數(shù)字權(quán)限控制服務(wù)器14以及第三方身份提供服務(wù) 器17均可為計算機��,接收端電子裝置16可以是手機�、計算機、掌上電腦等��。如圖3����,本實施例的步驟b進(jìn)一步包括bl.檢查當(dāng)前數(shù)字資源是否已進(jìn)行過安全保護(hù)處理,若是���,則執(zhí)行步驟b2���,若否, 則執(zhí)行b3 �����;b2.向數(shù)字權(quán)限控制服務(wù)器驗證當(dāng)前操作用戶是否擁有該數(shù)字資源的管理權(quán)限, 若是���,則執(zhí)行步驟b5����,若否�,則執(zhí)行步驟b8 ;b3.為該資源生成數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及密鑰��;b4.在數(shù)字資源中寫入數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)�,并通過密鑰進(jìn)行加密;b5.讀入當(dāng)前操作用戶指定的接受方信息�����;b6.通過數(shù)字權(quán)限控制服務(wù)器將接受方信息�����,以及密鑰寫入數(shù)字權(quán)限控制數(shù)據(jù) 庫��;hi.安全保護(hù)處理結(jié)束�。如圖4所示,本實施例的步驟e進(jìn)一步包括
7
el.檢測數(shù)字資源是否為被保護(hù)數(shù)字資源����,若是���,則執(zhí)行e2,若否�����,則執(zhí)行步驟 el5 �����;e2.從數(shù)字資源中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)�;e3.根據(jù)數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)向數(shù)字權(quán)限控制服務(wù)器請求相應(yīng)的政策����、規(guī)則 文件(Policy);e4.根據(jù)獲得的政策�����、規(guī)則文件�,接收端電子裝置提示用戶選擇相應(yīng)的第三方身份 提供服務(wù)器;e5.根據(jù)選擇將接收端電子裝置接入該第三方身份提供服務(wù)器�����;e6.接收端電子裝置在第三方身份提供服務(wù)器上進(jìn)行用戶身份驗證;e7.第三方身份提供服務(wù)器檢測是否通過驗證���,若是�,則執(zhí)行步驟e8�����,若否��,則執(zhí) 行步驟e 15 �;e8.獲得第三方身份提供服務(wù)器返回的身份證明文件;e9.接收端電子裝置將該身份證明文件以及權(quán)限請求提交給權(quán)限控制服務(wù)器����;elO.數(shù)字權(quán)限控制服務(wù)器根據(jù)相應(yīng)信任證書驗證身份證明文件的合法性;ell.若步驟elO返回的結(jié)果為非法����,則執(zhí)行步驟el5 ;若合法��,則檢測數(shù)字權(quán)限控 制數(shù)據(jù)庫中是否具有數(shù)字資源標(biāo)識����、接受方身份標(biāo)識�����、請求權(quán)限信息均對應(yīng)的記錄���,若是, 則執(zhí)行步驟e 12�,若否,則執(zhí)行步驟e 15����。el2.數(shù)字權(quán)限控制服務(wù)器返回包含有密鑰的授權(quán)文件給接收端電子裝置��;el3.接收端電子裝置使用授權(quán)文件對被保護(hù)數(shù)字資源文件進(jìn)行解密����,執(zhí)行步驟 el5 ;el4.拒絕權(quán)限請求����;e 15.步驟e結(jié)束。其中�,政策���、規(guī)則文件(Policy)也可以直接設(shè)置于數(shù)字資源文件或預(yù)設(shè)于接收端 電子裝置中,這樣就不需要向數(shù)字權(quán)限控制服務(wù)器請求了��,而是直接從數(shù)字資源或接收端 電子裝置中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及相應(yīng)的政策�、規(guī)則文件,如圖5��。所述的第三方身份提供服務(wù)器為Windows Live ID身份驗證服務(wù)器�����、Gmail ID身 份驗證服務(wù)器或Microsoft Active Directory Federation Service身份驗證服務(wù)器等�。
權(quán)利要求
基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法,其特征在于�,包括以下步驟a.數(shù)字權(quán)限控制服務(wù)器分別從多個第三方身份提供服務(wù)器請求得到信任證書;b.數(shù)字資源發(fā)送端電子裝置對需發(fā)送的數(shù)字資源進(jìn)行安全保護(hù)處理��,生成被保護(hù)數(shù)字資源文件以及數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)�����;c.通過數(shù)字權(quán)限控制服務(wù)器將數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)寫入數(shù)字權(quán)限控制數(shù)據(jù)庫���;d.被保護(hù)數(shù)字資源文件通過傳播渠道傳播給接收端電子裝置�;e.接收端電子裝置通過一個第三方身份提供服務(wù)器向數(shù)字權(quán)限控制服務(wù)器驗證身份后,從數(shù)字權(quán)限控制服務(wù)器得到相應(yīng)的數(shù)字資源使用權(quán)限�。
2.根據(jù)權(quán)利要求1所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法,其特征在于��,所述 的信任證書為相應(yīng)第三方身份提供服務(wù)器的公有信任證書��,該公有信任證書用于驗證經(jīng)相 應(yīng)第三方身份提供服務(wù)器私有信任證書數(shù)字簽名后的身份證明文件�����。
3.根據(jù)權(quán)利要求1或2所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法�,其特征在于,所 述的數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)包括資源標(biāo)識����、數(shù)字權(quán)限控制服務(wù)器標(biāo)識以及保護(hù)類型��。
4.根據(jù)權(quán)利要求3所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法����,其特征在于,所述 的步驟b進(jìn)一步包括bl.檢查當(dāng)前數(shù)字資源是否已進(jìn)行過安全保護(hù)處理�,若是,則執(zhí)行步驟b2,若否�����,則執(zhí) 行b3 ����;b2.向數(shù)字權(quán)限控制服務(wù)器驗證當(dāng)前操作用戶是否擁有該數(shù)字資源的管理權(quán)限,若是�, 則執(zhí)行步驟b5,若否���,則執(zhí)行步驟b8 ����;b3.為該資源生成數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及密鑰���;b4.在數(shù)字資源中寫入數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)��,并通過密鑰進(jìn)行加密�����;b5.讀入當(dāng)前操作用戶指定的接受方信息��;b6.通過數(shù)字權(quán)限控制服務(wù)器將接受方信息���,以及密鑰寫入數(shù)字權(quán)限控制數(shù)據(jù)庫����; b7.安全保護(hù)處理結(jié)束�。
5.根據(jù)權(quán)利要求4所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法,其特征在于��,所述 的接受方信息包括接收方身份標(biāo)識以及權(quán)限標(biāo)識�����。
6.根據(jù)權(quán)利要求5所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法���,其特征在于�,所述 的步驟e進(jìn)一步包括el.檢測數(shù)字資源是否為被保護(hù)數(shù)字資源�,若是,則執(zhí)行e2�����,若否����,則執(zhí)行步驟el5 ; e2.從數(shù)字資源中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)���;e3.根據(jù)數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)向數(shù)字權(quán)限控制服務(wù)器請求相應(yīng)的政策�、規(guī)則文件�����;e4.根據(jù)獲得的政策�����、規(guī)則文件�,接收端電子裝置提示用戶選擇相應(yīng)的第三方身份提供 服務(wù)器;e5.根據(jù)選擇將接收端電子裝置接入該第三方身份提供服務(wù)器���; e6.接收端電子裝置在第三方身份提供服務(wù)器上進(jìn)行用戶身份驗證�; e7.第三方身份提供服務(wù)器檢測是否通過驗證���,若是�����,則執(zhí)行步驟e8�,若否,則執(zhí)行步 驟 el5 �;e8.獲得第三方身份提供服務(wù)器返回的身份證明文件;e9.接收端電子裝置將該身份證明文件以及權(quán)限請求提交給權(quán)限控制服務(wù)器����; elO.數(shù)字權(quán)限控制服務(wù)器根據(jù)相應(yīng)信任證書驗證身份證明文件的合法性; ell.若步驟elO返回的結(jié)果為非法�,則執(zhí)行步驟el5 ;若合法���,則檢測數(shù)字權(quán)限控制數(shù) 據(jù)庫中是否具有數(shù)字資源標(biāo)識�����、接受方身份標(biāo)識��、請求權(quán)限信息均對應(yīng)的記錄����,若是����,則執(zhí) 行步驟el2,若否��,則執(zhí)行步驟el5���。el2.數(shù)字權(quán)限控制服務(wù)器返回包含有密鑰的授權(quán)文件給接收端電子裝置���; el3.接收端電子裝置使用授權(quán)文件對被保護(hù)數(shù)字資源文件進(jìn)行解密,執(zhí)行步驟el5 ���; el4.拒絕權(quán)限請求�����; el5.步驟e結(jié)束����。
7.根據(jù)權(quán)利要求5所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法��,其特征在于�,所述 的步驟e進(jìn)一步包括el.檢測數(shù)字資源是否為被保護(hù)數(shù)字資源,若是���,則執(zhí)行e2��,若否�,則執(zhí)行步驟el4 ; e2.從數(shù)字資源或接收端電子裝置中提取數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)以及相應(yīng)的政策����、 規(guī)則文件;e3.根據(jù)獲得的政策�����、規(guī)則文件�����,接收端電子裝置提示用戶選擇相應(yīng)的第三方身份提供 服務(wù)器����;e4.根據(jù)選擇將接收端電子裝置接入該第三方身份提供服務(wù)器; e5.接收端電子裝置在第三方身份提供服務(wù)器上進(jìn)行用戶身份驗證����; e6.第三方身份提供服務(wù)器檢測是否通過驗證,若是����,則執(zhí)行步驟e7�����,若否,則執(zhí)行步 驟 el4 ����;e7.獲得第三方身份提供服務(wù)器返回的身份證明文件; e8.接收端電子裝置將該身份證明文件以及權(quán)限請求提交給權(quán)限控制服務(wù)器���; e9.數(shù)字權(quán)限控制服務(wù)器根據(jù)相應(yīng)信任證書驗證身份證明文件的合法性����; elO.若步驟e9返回的結(jié)果為非法�,則執(zhí)行步驟el4 ;若合法��,則檢測數(shù)字權(quán)限控制數(shù)據(jù) 庫中是否具有數(shù)字資源標(biāo)識�、接受方身份標(biāo)識、請求權(quán)限信息均對應(yīng)的記錄�,若是,則執(zhí)行 步驟e 11����,若否�����,則執(zhí)行步驟e 14����。ell.數(shù)字權(quán)限控制服務(wù)器返回包含有密鑰的授權(quán)文件給接收端電子裝置����; el2.接收端電子裝置使用授權(quán)文件對被保護(hù)數(shù)字資源文件進(jìn)行解密,執(zhí)行步驟el5 ���; el3.拒絕權(quán)限請求��; el4.步驟e結(jié)束����。
8.根據(jù)權(quán)利要求6或7所述的基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法���,其特征在于����,所 述的第三方身份提供服務(wù)器為Windows Live ID身份驗證服務(wù)器、GmailID身份驗證服務(wù) 器或 Microsoft Active Directory Federation Service 身份驗i正月艮務(wù)器�����。
全文摘要
本發(fā)明涉及基于身份聯(lián)合的數(shù)字資源權(quán)限控制方法�����,包括以下步驟數(shù)字權(quán)限控制服務(wù)器分別從多個第三方身份提供服務(wù)器請求得到信任證書��;數(shù)字資源發(fā)送端電子裝置對需發(fā)送的數(shù)字資源進(jìn)行安全保護(hù)處理���,生成被保護(hù)數(shù)字資源文件以及數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù);通過數(shù)字權(quán)限控制服務(wù)器將數(shù)字資源保護(hù)相關(guān)元數(shù)據(jù)寫入數(shù)字權(quán)限控制數(shù)據(jù)庫��;被保護(hù)數(shù)字資源文件通過傳播渠道傳播給接收端電子裝置�;接收端電子裝置通過一個第三方身份提供服務(wù)器向數(shù)字權(quán)限控制服務(wù)器驗證身份后,從數(shù)字權(quán)限控制服務(wù)器得到相應(yīng)的數(shù)字資源使用權(quán)限��。本發(fā)明使文件的傳播更加安全����,易用性也得到了大幅的提高;可直接指定不同第三方身份系統(tǒng)用戶的權(quán)限�����,并對其實行有效的控制。
文檔編號H04L29/06GK101833615SQ20091004732
公開日2010年9月15日 申請日期2009年3月10日 優(yōu)先權(quán)日2009年3月10日
發(fā)明者王忱 申請人:上海盈哲信息科技有限公司