專利名稱:基于機頂盒的數(shù)字版權(quán)保護方法及系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及DRM系統(tǒng)��,特別是一種具有很強安全性的機頂盒平臺的數(shù)字版權(quán)保護方法及系統(tǒng)。
背景技術(shù):
DRM指的是出版者用來控制被保護對象的使用權(quán)的一些技術(shù)�,這些技術(shù)保護的有數(shù)位化內(nèi)容(例如軟件���、音樂����、電影)以及硬件�����,處理數(shù)字化產(chǎn)品的某個實例的使用限制���。本術(shù)語容易和版權(quán)保護混淆。版權(quán)保護指的是應用在消費電子產(chǎn)品上的數(shù)字化媒體內(nèi)容上的技術(shù),版權(quán)保護技術(shù)使用以后可以控制和限制這些數(shù)字化媒體內(nèi)容的使用權(quán)�����。DRM技術(shù)的工作原理是����,首先建立數(shù)字節(jié)目授權(quán)中心����。編碼壓縮后的數(shù)字節(jié)目內(nèi)容�����,可以利用密鑰(Key)進行加密保護(lock)���,加密的數(shù)字節(jié)目頭部存放著KeyID和節(jié)目授權(quán)中心的URL��。用戶在點播時����,根據(jù)節(jié)目頭部的KeyID和URL信息,就可以通過數(shù)字節(jié)目授權(quán)中心的驗證授權(quán)后送出相關(guān)的密鑰解密(unlock)�,節(jié)目方可播放����。需要保護的節(jié)目被加密,即使被用戶下載保存���,沒有得到數(shù)字節(jié)目授權(quán)中心的驗證授權(quán)也無法播放���,從而嚴密地保護了節(jié)目的版權(quán)。密鑰一般有兩把����,一把公鑰(public key), 一把私鑰(private key)��。公鑰用于加密節(jié)目內(nèi)容本身����,私鑰用于解密節(jié)目����,私鑰還可以防止當節(jié)目頭部有被改動或破壞的情況,利用密鑰就可以判斷出來����,從而阻止節(jié)目被非法使用���。上述這種加密的方法���,有一個明顯的缺陷�,就是當解密的密鑰在發(fā)送給用戶時���,一旦被黑客獲得密鑰�,即可方便解密節(jié)目�,從而不能真正確保節(jié)目內(nèi)容提供商的實際版權(quán)利益����。另一種更加安全的加密方法是使用三把密鑰,即把密鑰分成兩把,一把存放在用戶的Pc機上,另一把放在驗證站(access ticket)���。要解密數(shù)字節(jié)目���,必須同時具備這兩把密鑰���,方能解開數(shù)字節(jié)目����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于機頂盒的數(shù)字版權(quán)保護方法。本發(fā)明基于機頂盒的數(shù)字版權(quán)保護方法��,在機頂盒內(nèi)預置硬件序列號�����、證書和私鑰���,該數(shù)字版權(quán)保護方法具體包括以下步驟
51.內(nèi)容提供商將內(nèi)容加密���、打包、簽名后存入內(nèi)容服務器��,并發(fā)布內(nèi)容的信息和種子文件���;
52.用戶獲取所需內(nèi)容的種子文件�����,存入機頂盒����,機頂盒通過p2p網(wǎng)絡下載種子文件對應的內(nèi)容包;
53.機頂盒解析所述內(nèi)容包得到內(nèi)容ID號�、內(nèi)容密鑰ID號、web服務器URL以及內(nèi)容提供商的證書和數(shù)字簽名����,并用內(nèi)容提供商的證書和數(shù)字簽名認證內(nèi)容包,通過OSD將認證結(jié)果告知用戶����,進而查看機頂盒內(nèi)是否已擁有該內(nèi)容的許可��,如有則轉(zhuǎn)至步驟S6 ���;否則��, 用所述內(nèi)容ID號�、內(nèi)容密鑰ID號以及機頂盒的硬件序列號生成許可申請消息�����,簽名后通過所述URL發(fā)送給web服務器�����;
54.web服務器確認該用戶對該內(nèi)容擁有的權(quán)限后,用該權(quán)限以及解析許可申請消息得到的內(nèi)容ID號��、內(nèi)容密鑰ID號�、機頂盒的硬件序列號和機頂盒IP地址生成許可發(fā)放消息, 簽名后發(fā)送給許可服務器�;
55.許可服務器認證許可發(fā)放消息后,用其中的內(nèi)容ID號�、權(quán)限和機頂盒硬件序列號生成權(quán)限對象,用其中的內(nèi)容密鑰ID號和預置的種子密鑰作為輸入����,通過偽隨機函數(shù)生成內(nèi)容密鑰,然后用機頂盒的公鑰加密該內(nèi)容密鑰���,再與內(nèi)容提供商證書�����、所述權(quán)限對象結(jié)合在一起�����,用內(nèi)容提供商的私鑰簽名后生成許可���,發(fā)送給機頂盒��;
56.機頂盒解析許可���,用機頂盒的私鑰解密內(nèi)容密鑰,進而用內(nèi)容密鑰解密內(nèi)容�。本發(fā)明還提供一種基于機頂盒的數(shù)字版權(quán)保護系統(tǒng),該系統(tǒng)包括內(nèi)容服務器�、許可服務器和客戶端模塊,所述內(nèi)容服務器用于加密和打包內(nèi)容��、存儲內(nèi)容包�����、以及作為p2p 網(wǎng)絡的Peer節(jié)點����,為機頂盒下載內(nèi)容包提供穩(wěn)定的上傳服務����;所述許可服務器與web服務器連接,用于根據(jù)web服務器的指令向機頂盒發(fā)放許可��;所述客戶端模塊設置于機頂盒內(nèi)����, 用于解析內(nèi)容包�����、向web服務器申請許可����、解析獲取的許可��、用自身的私鑰對解析許可得到的內(nèi)容密鑰進行解密�����、以及用解密后的內(nèi)容密鑰解密內(nèi)容�����?��!N較佳方案中��,所述內(nèi)容服務器與所述web服務器連接���,用于將內(nèi)容包的種子文件����、元數(shù)據(jù)信息�、內(nèi)容ID號發(fā)送給web服務器,實現(xiàn)內(nèi)容信息和種子文件的自動發(fā)布����。本基于機頂盒的數(shù)字版權(quán)保護方法及系統(tǒng)安全性較高,數(shù)字簽名的引入����,提高了內(nèi)容的可追蹤性,能很好的抵制產(chǎn)品盜版���。其采用統(tǒng)一的web服務器和認證服務器�����,便于系統(tǒng)的維護和升級。
圖1為本基于機頂盒的數(shù)字版權(quán)保護系統(tǒng)的系統(tǒng)框圖��。圖2為生成的內(nèi)容包的結(jié)構(gòu)圖�。圖3為用戶獲取內(nèi)容包的流程圖。圖4為許可服務器生成許可的流程圖。圖5為許可服務器發(fā)放給機頂盒的許可的結(jié)構(gòu)圖�����。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明做進一步說明����。參照圖1,本基于機頂盒的數(shù)字版權(quán)保護系統(tǒng)(也稱為DRM系統(tǒng))由內(nèi)容服務器1��、 許可服務器2����、客戶端模塊組成,客戶端模塊設置在機頂盒3內(nèi)�����。內(nèi)容服務器1的主要功能包括1)加密內(nèi)容���,生成包頭���,打包內(nèi)容,存儲內(nèi)容包�����、以及作為P2p網(wǎng)絡的Peer節(jié)點,為機頂盒下載內(nèi)容包提供穩(wěn)定的上傳服務��。2����、與Web服務器 4交互。典型實施例中內(nèi)容服務器模塊以SDK的形式提供���。許可服務器2的主要功能包括1)生成并發(fā)放許可�。2)與Web服務器4交互���。典型實施例中許可服務器模塊以可執(zhí)行程序的形式提供��?����?蛻舳四K的主要功能包括1)解析內(nèi)容包�,向web服務器申請許可���。2)解析獲取的許可、用自身的私鑰對解析許可得到的內(nèi)容密鑰進行解密、以及用解密后的內(nèi)容密鑰解密內(nèi)容���。典型實施例中客戶端模塊以SDK的形式提供��。為了與本DRM系統(tǒng)有機的結(jié)合在一起�����,機頂盒的原系統(tǒng)應當具備以下條件1)有功能完善的Web服務器4(含數(shù)據(jù)庫)���,作為用戶界面,基本功能包括a)發(fā)布內(nèi)容信息���,提供種子下載服務����。b)記錄賬戶信息���。c)支持網(wǎng)上支付��。2���、有一個根證書服務器�����,用來給各內(nèi)容提供商和機頂盒頒發(fā)證書和私鑰�����。如果內(nèi)容提供商能夠給自己頒發(fā)證書和私鑰�,生產(chǎn)商能夠給機頂盒內(nèi)置證書和私鑰�,那么可以省略所述根證書服務器。3)機頂盒3功能完善�,預置必要的信息,包括硬件序列號����、證書、私鑰����,基本功能包括a)通過OSD和用戶交互。b) 能夠解析種子文件�����,并通過p2p網(wǎng)絡下載對應的內(nèi)容包�,該功能也可以由設置在機頂盒3內(nèi)的客戶端模塊實現(xiàn)。c)播放程序能夠解碼常見格式的內(nèi)容��,并輸出到電視機5��。參照圖2-5��,基于上述DRM系統(tǒng)的數(shù)字版權(quán)保護方法��,包括以下步驟
Si.內(nèi)容提供商將內(nèi)容加密�����、打包���、簽名后存入內(nèi)容服務器1���,并根據(jù)內(nèi)容屬性編輯相應的元數(shù)據(jù)信息用以描述內(nèi)容,利用BT軟件(例如BitComet��、BitTorrent)生成內(nèi)容包的種子文件���,然后以手動或自動方式發(fā)布內(nèi)容的信息和種子文件���。S2.用戶獲取所需內(nèi)容的種子文件�����,存入機頂盒3���,機頂盒3通過p2p網(wǎng)絡下載種子文件對應的內(nèi)容包。典型實施例中��,用戶通過電腦6登錄Web服務器4下載種子文件�����,并將其存入機頂盒3���。也可以直接用機頂盒3從Web服務器4下載種子文件���。S3.當用戶使用已經(jīng)下載完的內(nèi)容包時,機頂盒3中的播放程序會調(diào)用SDK解析內(nèi)容包�,得到內(nèi)容ID號、內(nèi)容密鑰ID號�、web服務器URL以及內(nèi)容提供商的證書和數(shù)字簽名,并用內(nèi)容提供商的證書和數(shù)字簽名認證內(nèi)容包��,通過OSD將認證結(jié)果告知用戶,進而查看機頂盒3內(nèi)是否已擁有該內(nèi)容的許可���,如有則轉(zhuǎn)至步驟S6�,否則生成許可申請消息��,簽名后通過所述URL發(fā)送給web服務器4��。其中�����,簽名后的許可申請消息包括以下內(nèi)容許可申請消息=< 內(nèi)容ID號����、內(nèi)容密鑰ID號���、機頂盒信息(包括硬件序列號���、證書)>。S4. web服務器4確認該用戶對該內(nèi)容擁有的權(quán)限后�����,生成許可發(fā)放消息,簽名后發(fā)送給許可服務器2�����,通知其向用戶發(fā)放許可��。簽名后的許可發(fā)放消息包括以下內(nèi)容許可發(fā)放消息=〈內(nèi)容ID號�、內(nèi)容密鑰ID號、機頂盒信息��、權(quán)限����、機頂盒IP地址>。S5.許可服務器2認證許可發(fā)放消息后��,用其中的內(nèi)容ID號��、權(quán)限和機頂盒硬件序列號生成權(quán)限對象�����,用其中的內(nèi)容密鑰ID號和預置的種子密鑰作為輸入�����,通過偽隨機函數(shù)生成內(nèi)容密鑰,然后用機頂盒的公鑰加密該內(nèi)容密鑰����,再與內(nèi)容提供商證書、所述權(quán)限對象結(jié)合在一起�����,用內(nèi)容提供商的私鑰簽名后生成許可�,發(fā)送給機頂盒3���,然后響應Web服務器 4�����。步驟S5中生成的許可的結(jié)構(gòu)如圖5所示��。S6.機頂盒3中的播放程序調(diào)用SDK����,解析許可���,如果用戶處于權(quán)限范圍之內(nèi)�����,則用機頂盒3的私鑰解密內(nèi)容密鑰����,進而用內(nèi)容密鑰解密內(nèi)容。
上述步驟S4中�,web服務器4通過以下步驟確認該用戶對該內(nèi)容擁有的權(quán)限web服務器4解析來自機頂盒3的許可申請消息,認證�,然后查詢賬戶信息,根據(jù)賬戶信息中的權(quán)限項確認該用戶對該內(nèi)容擁有的權(quán)限���,如果賬戶信息中沒有該內(nèi)容的使用權(quán)���,則web服務器4 調(diào)用網(wǎng)銀系統(tǒng),根據(jù)用戶購買的使用權(quán)限收取費用�,用戶付費成功后,網(wǎng)銀系統(tǒng)會將此次交易記錄在其帳戶信息中��,改變賬戶信息中該內(nèi)容對應的權(quán)限��。上述步驟Sl中����,內(nèi)容的信息和種子文件可以由內(nèi)容服務器1通過以下方法自動發(fā)布內(nèi)容服務器1用內(nèi)容ID號�����、內(nèi)容的元數(shù)據(jù)信息和種子文件生成種子發(fā)布消息��,簽名后發(fā)送給web服務器4 ;web服務器4解析����、認證所述種子發(fā)布消息后����,向提供種子下載服務的數(shù)據(jù)庫注冊相關(guān)內(nèi)容信息,然后響應內(nèi)容服務器1��。上述步驟Sl中�,內(nèi)容服務器1也可以不和Web服務器4交互��,由內(nèi)容提供商手動發(fā)布內(nèi)容信息和種子�。上述步驟Sl中,通過以下步驟實現(xiàn)內(nèi)容加密和打包為每個內(nèi)容生成一個全局唯一的內(nèi)容ID號和內(nèi)容密鑰ID號��;用生成的內(nèi)容密鑰ID號和預置的種子密鑰作為輸入����,通過偽隨機函數(shù)生成內(nèi)容密鑰���;用生成的內(nèi)容密鑰加密內(nèi)容,生成包體�����;將內(nèi)容ID號���、內(nèi)容密鑰ID號�、web服務器URL以及內(nèi)容提供商的證書結(jié)合在一起��,生成包頭���;將所述包頭和包體結(jié)合在一起��,用內(nèi)容提供商的私鑰簽名后��,生成最終發(fā)布的內(nèi)容包����。步驟S5中的偽隨機函數(shù)和種子密鑰與此處的偽隨機函數(shù)和種子密鑰相同�。上述實施例中,由機頂盒3自動向Web服務器4申請許可�����。本發(fā)明中,用戶也可以用電腦登錄Web服務器4手動申請許可��,由于許可與硬件綁定�����,因此采用這種方式申請許可時���,需要發(fā)送帶機頂盒信息的簽名消息��,具體說��,手動發(fā)送的許可申請消息的結(jié)構(gòu)如下 許可申請消息=〈內(nèi)容ID號�、內(nèi)容密鑰ID號���、機頂盒信息、機頂盒IP地址>�。與現(xiàn)有技術(shù)相比,本基于機頂盒的數(shù)字版權(quán)保護方法及系統(tǒng)安全性較高�,數(shù)字簽名的引入,提高了內(nèi)容的可追蹤性����,能很好的抵制產(chǎn)品盜版�����。采用統(tǒng)一的web服務器和認證服務器����,便于系統(tǒng)的維護和升級����。系統(tǒng)采用流行的P2p架構(gòu),有效的解決網(wǎng)絡傳輸瓶頸��,減輕常用DRM系統(tǒng)內(nèi)容服務器下載時的沉重負擔��??蛻舳朔矫鎰t可以適應各種條件網(wǎng)絡,減少網(wǎng)絡服務供應商引起的下載問題����。
權(quán)利要求
1.基于機頂盒的數(shù)字版權(quán)保護方法,其特征在于���,在機頂盒內(nèi)預置硬件序列號���、證書和私鑰�,該數(shù)字版權(quán)保護方法包括以下步驟51.內(nèi)容提供商將內(nèi)容加密���、打包��、簽名后存入內(nèi)容服務器����,并發(fā)布內(nèi)容的信息和種子文件�;52.用戶獲取所需內(nèi)容的種子文件,存入機頂盒��,機頂盒通過p2p網(wǎng)絡下載種子文件對應的內(nèi)容包��;53.機頂盒解析所述內(nèi)容包得到內(nèi)容ID號�����、內(nèi)容密鑰ID號�、web服務器URL以及內(nèi)容提供商的證書和數(shù)字簽名,并用內(nèi)容提供商的證書和數(shù)字簽名認證內(nèi)容包�,通過OSD將認證結(jié)果告知用戶��,進而查看機頂盒內(nèi)是否已擁有該內(nèi)容的許可,如有則轉(zhuǎn)至步驟S6 �����;否則���, 用所述內(nèi)容ID號�����、內(nèi)容密鑰ID號以及機頂盒的硬件序列號生成許可申請消息��,簽名后通過所述URL發(fā)送給web服務器�;54.web服務器確認該用戶對該內(nèi)容擁有的權(quán)限后����,用該權(quán)限以及解析許可申請消息得到的內(nèi)容ID號、內(nèi)容密鑰ID號�����、機頂盒的硬件序列號和機頂盒IP地址生成許可發(fā)放消息�, 簽名后發(fā)送給許可服務器;55.許可服務器認證許可發(fā)放消息后,用其中的內(nèi)容ID號����、權(quán)限和機頂盒硬件序列號生成權(quán)限對象,用其中的內(nèi)容密鑰ID號和預置的種子密鑰作為輸入����,通過偽隨機函數(shù)生成內(nèi)容密鑰,然后用機頂盒的公鑰加密該內(nèi)容密鑰��,再與內(nèi)容提供商證書����、所述權(quán)限對象結(jié)合在一起,用內(nèi)容提供商的私鑰簽名后生成許可���,發(fā)送給機頂盒�����;56.機頂盒解析許可��,用機頂盒的私鑰解密內(nèi)容密鑰�,進而用內(nèi)容密鑰解密內(nèi)容�����。
2.根據(jù)權(quán)利要求1所述的數(shù)字版權(quán)保護方法�����,其特征在于�,步驟S4中,web服務器通過以下步驟確認該用戶對該內(nèi)容擁有的權(quán)限解析來自機頂盒的許可申請消息���,認證�,然后查詢賬戶信息��,根據(jù)賬戶信息中的權(quán)限項確認該用戶對該內(nèi)容擁有的權(quán)限����,如果賬戶信息中沒有該內(nèi)容的使用權(quán),則web服務器調(diào)用網(wǎng)銀系統(tǒng)�,根據(jù)用戶購買的使用權(quán)限收取費用,然后改變所述賬戶信息中該內(nèi)容對應的權(quán)限�����。
3.根據(jù)權(quán)利要求1所述的數(shù)字版權(quán)保護方法�,其特征在于,步驟Sl中,內(nèi)容的信息和種子文件由內(nèi)容服務器通過以下方法自動發(fā)布內(nèi)容服務器用內(nèi)容ID號�、內(nèi)容的元數(shù)據(jù)信息和種子文件生成種子發(fā)布消息,簽名后發(fā)送給web服務器����;web服務器解析、認證所述種子發(fā)布消息后��,向提供種子下載服務的數(shù)據(jù)庫注冊相關(guān)內(nèi)容信息��。
4.根據(jù)權(quán)利要求1所述的數(shù)字版權(quán)保護方法���,其特征在于��,步驟Sl中���,通過以下步驟實現(xiàn)內(nèi)容加密和打包為每個內(nèi)容生成一個全局唯一的內(nèi)容ID號和內(nèi)容密鑰ID號;用生成的內(nèi)容密鑰ID號和預置的種子密鑰作為輸入�,通過偽隨機函數(shù)生成內(nèi)容密鑰;用生成的內(nèi)容密鑰加密內(nèi)容��,生成包體��;將內(nèi)容ID號�、內(nèi)容密鑰ID號�、web服務器URL以及內(nèi)容提供商的證書結(jié)合在一起����,生成包頭;將所述包頭和包體結(jié)合在一起����,用內(nèi)容提供商的私鑰簽名后���,生成最終發(fā)布的內(nèi)容包��。
5.基于機頂盒的數(shù)字版權(quán)保護系統(tǒng)�,其特征在于包括內(nèi)容服務器�����、許可服務器和客戶端模塊�����,所述內(nèi)容服務器用于加密和打包內(nèi)容�、存儲內(nèi)容包、以及作為p2p網(wǎng)絡的Peer節(jié)點����,為機頂盒下載內(nèi)容包提供穩(wěn)定的上傳服務����;所述許可服務器與web服務器連接�����,用于根據(jù)web服務器的指令向機頂盒發(fā)放許可�;所述客戶端模塊設置于機頂盒內(nèi),用于解析內(nèi)容包����、向web服務器申請許可、解析獲取的許可�、用自身的私鑰對解析許可得到的內(nèi)容密鑰進行解密、以及用解密后的內(nèi)容密鑰解密內(nèi)容��。
6.根據(jù)權(quán)利要求5所述的數(shù)字版權(quán)保護系統(tǒng)��,其特征在于所述內(nèi)容服務器與所述web 服務器連接��,用于將內(nèi)容包的種子文件�����、元數(shù)據(jù)信息、內(nèi)容ID號發(fā)送給web服務器����,實現(xiàn)內(nèi)容信息和種子文件的自動發(fā)布。
7.根據(jù)權(quán)利要求5所述的數(shù)字版權(quán)保護系統(tǒng)�,其特征在于所述機頂盒內(nèi)預置硬件序列號、證書和私鑰�����,機頂盒內(nèi)的所述客戶端模塊還用于解析種子文件���,以及通過p2p網(wǎng)絡下載對應的內(nèi)容包。
全文摘要
一種基于機頂盒的數(shù)字版權(quán)保護方法��,含以下步驟S1.內(nèi)容提供商加密內(nèi)容��、打包�、簽名后存入內(nèi)容服務器,發(fā)布其信息和種子文件����;S2.用戶獲取所需內(nèi)容的種子文件,通過機頂盒�����、p2p網(wǎng)絡下載對應的內(nèi)容包;S3.機頂盒解析內(nèi)容包后��,如有許可轉(zhuǎn)至S6�����,否則生成許可申請消息�,發(fā)送給web服務器;S4.web服務器確認權(quán)限后�����,向許可服務器發(fā)送許可發(fā)放消息��;S5.許可服務器生成許可發(fā)送給機頂盒��;S6.機頂盒解析許可���,用機頂盒的私鑰解密內(nèi)容密鑰��,進而用內(nèi)容密鑰解密內(nèi)容�。本發(fā)明還提供一種基于機頂盒的數(shù)字版權(quán)保護系統(tǒng)�,該系統(tǒng)包括內(nèi)容服務器�、許可服務器和客戶端模塊����。本系統(tǒng)安全性高,可追蹤性好�����。
文檔編號H04N21/8352GK102316378SQ20111028486
公開日2012年1月11日 申請日期2011年9月23日 優(yōu)先權(quán)日2011年9月23日
發(fā)明者劉烈, 張峣, 袁春, 郭宇光 申請人:清華大學深圳研究生院