著录项信息
专利名称 | 数字版权管理系统及其实现方法 |
申请号 | CN200810044171.9 | 申请日期 | 2008-12-24 |
法律状态 | 暂无 | 申报国家 | 中国 |
公开/公告日 | 2010-06-30 | 公开/公告号 | CN101763469A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | G06F21/10 | IPC分类号 | G;0;6;F;2;1;/;1;0;;;H;0;4;L;2;9;/;0;6查看分类表>
|
申请人 | 盛大计算机(上海)有限公司 | 申请人地址 | 上海市泥城镇新城路2号24幢N2025室
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 上海连尚网络科技有限公司 | 当前权利人 | 上海连尚网络科技有限公司 |
发明人 | 王立 |
代理机构 | 上海浦一知识产权代理有限公司 | 代理人 | 顾继光 |
摘要
本发明公开了一种数字版权管理系统,包括一个或多个电子终端和至少一个服务器;其中,所述电子终端包括动态密码生成模块和存储模块;其中,所述服务器内置或连接数据库,所述数据库包括电子资料和所有动态密码生成模块的序列号;所述服务器中具有所述动态密码生成算法和至少一种非对称加密算法。本发明还公开了上述数字版权管理系统的实现方法,包括电子终端向服务器注册的过程,电子终端从服务器下载电子资料的过程,电子终端访问已下载的电子资料的过程。本发明数字版权管理系统及其实现方法可以有效地保护电子资料在下载和访问过程中的安全。
1.一种数字版权管理系统,其特征是:所述数字版权管理系统包括一个或多个电子终端和至少一个服务器;
其中,所述电子终端包括:
动态密码生成模块,内置动态密码生成算法,所述动态密码生成算法为动态密码生成模块的输入与输出之间的计算规则;每个动态密码生成模块具有各不相同的序列号,但具有相同的动态密码生成算法;所述动态密码生成模块将服务器依据数据库中的动态密码生成模块序列号产生的随机挑战码和/或动态密码生成模块的序列号作为输入,经计算后输出密码;
存储模块,包括允许用户访问的公共存储区和禁止用户访问的限制存储区;所述限制存储区存储着服务器采用非对称加密算法生成的一对非对称密钥中的公钥;
其中,所述服务器内置或连接数据库,所述数据库包括多个电子资料,所述电子资料包括电子形式的书籍、图片、动画、音频和/或视频,每个电子资料具有各不相同的编号;
所述数据库还包括所有动态密码生成模块的序列号;
所述服务器中具有所述动态密码生成算法和至少一种非对称加密算法。
2.如权利要求1所述的数字版权管理系统的实现方法,其特征是:所述电子终端只有在服务器注册之后,才能从服务器下载电子资料;
所述电子终端在服务器注册包括如下步骤:
第1步,电子终端向服务器发出注册请求,所述注册请求中包括该电子终端的动态密码生成模块的序列号;
第2步,服务器接收所述注册请求,并在所述数据库中查询所述注册请求中的序列号;
如数据库中有该序列号,服务器随机产生一挑战码,并向该电子终端发送该挑战码;
如数据库中无该序列号,服务器停止操作;
第3步,该电子终端接收该挑战码,该电子终端的动态密码生成模块将该挑战码和/或该动态密码生成模块的序列号作为输入经计算后输出密码,该电子终端向服务器发送该密码;
第4步,服务器接收该密码,并与服务器自身根据所述动态密码生成算法计算的结果相比较;
如两者相同,服务器采用非对称加密算法生成一对非对称密钥,并将私钥存储于所述数据库,将公钥发给该电子终端;
如两者不同,服务器停止操作;
第5步,该电子终端接收所述公钥,并将所述公钥存储在限制存储区。
3.如权利要求1所述的数字版权管理系统的实现方法,其特征是:所述电子终端从服务器下载电子资料包括如下步骤:
第1步,电子终端向服务器发出下载请求,所述下载请求中包括该电子终端的动态密码生成模块的序列号;
第2步,服务器接收所述下载请求,并在所述数据库中查询所述下载请求中的序列号;
如数据库中有该序列号,服务器随机产生一挑战码,并向该电子终端发送该挑战码;
如数据库中无该序列号,服务器停止操作;
第3步,该电子终端接收该挑战码,该电子终端的动态密码生成模块将该挑战码和/或该动态密码生成模块的序列号作为输入经计算后输出密码,该电子终端向服务器发送该密码和请求下载的电子资料的编号;
第4步,服务器接收该密码和请求下载的电子资料的编号,并将该密码与服务器自身根据所述动态密码生成算法计算的结果相比较;
如两者相同,服务器根据所述请求下载的电子资料的编号在数据库中查询所述请求下载的电子资料,服务器还根据该电子终端的动态密码生成模块的序列号在数据库中查询该电子终端对应的私钥,并将所述请求下载的电子资料压缩和加密;加密时服务器随机产生一访问证书,所述加密包括以访问证书为密钥对所述请求下载的电子资料加密,还包括以该电子终端对应的私钥为密钥对所述访问证书加密;服务器将加密后的电子资料和访问证书发给该电子终端;
如两者不同,服务器停止操作;
第5步,该电子终端接收加密后的电子资料和访问证书,并将加密后的访问证书存储在限制存储区。
4.根据权利要求3所述的数字版权管理系统的实现方法,其特征是:所述电子终端从服务器下载电子资料的第4步中,当服务器根据所述请求下载的电子资料的编号在数据库中查询不到所述请求下载的电子资料时,服务器向该电子终端返回错误信息;当服务器根据该电子终端的动态密码生成模块的序列号在数据库中查询不到该电子终端对应的私钥时,服务器向该电子终端返回“更新证书”的信息。
5.根据权利要求3所述的数字版权管理系统的实现方法,其特征是:所述电子终端从服务器下载电子资料的第5步中,电子终端计算加密后的电子资料的校验和,并将该校验和与该加密后的电子资料对应的加密后的访问证书相对应,并一起存储在限制存储区。
6.如权利要求1所述的数字版权管理系统的实现方法,其特征是:所述电子终端访问已下载的电子资料包括如下步骤:
第1步,电子终端根据用户请求访问的电子资料,在该电子终端的限制存储区中寻找该电子资料对应的访问证书;
第2步,该电子终端使用限制存储区中的公钥对所述访问证书解密;
第3步,该电子终端使用解密后的访问证书为密钥加载所述请求访问的电子资料,加载点在限制存储区中,电子终端自动对所述请求访问的电子资料进行解密和解压缩,解密和解压缩后的电子资料明文仅挂载在内存区;
第4步,用户使用该电子终端访问所述电子资料明文;
第5步,用户退出访问电子资料,该电子终端将所述电子资料明文从内存区中抹除,并从限制存储区中卸载所述请求访问的电子资料。
7.根据权利要求6所述的数字版权管理系统的实现方法,其特征是:所述电子终端访问己下载的电子资料的第1步中,当电子终端在限制存储区中寻找不到该请求访问的电子资料对应的访问证书时,该电子终端向用户显示错误信息。
8.根据权利要求6所述的数字版权管理系统的实现方法,其特征是:所述电子终端访问已下载的电子资料的第1步中,电子终端先计算请求访问的电子资料的校验和,再根据该校验和在限制存储区中寻找对应的访问证书。
9.根据权利要求6所述的数字版权管理系统的实现方法,其特征是:所述电子终端访问已下载的电子资料的第2步中,解密后的访问证书仅在内存中,使用完毕后所述电子终端将解密后的访问证书从内存中抹除。
数字版权管理系统及其实现方法\n技术领域\n[0001] 本发明涉及一种数字版权管理的系统及方法。\n背景技术\n[0002] 随着电子媒体的发展,用户仅仅通过网络访问电子资料(如阅读电子读物等)已不能满足要求。现在比较普遍的电子资料访问方法为网络在线访问,但其受限于网络,同时读者需坐在电脑前阅读,不便于随时随地进行。现在还有一些终端设备,比如手机、PDA等,可以随身携带,访问相关的电子资料,但这类电子终端一般直接连接网络即可下载并访问电子资料,属于自由的阅读状态,对于电子资料的版权不能进行有效的保护和管理。\n[0003] 在这种情况下出现了数字版权管理(Digital Rights Management,DRM)的概念。\n目前的数字版权管理多应用于流媒体传播以及加密产品的应用,不能满足单个硬件终端(如电子阅读装置)下载和访问各类电子资料(如书籍、图片等)时对版权的保护和管理需求。\n[0004] 如今的电子资料供应商及版权所有者,并没有自己行之有效的方法,以保证自己的电子资料被盗用,因此亟需一种数字版权管理的系统及方法。\n发明内容\n[0005] 本发明所要解决的技术问题是提供一种数字版权管理系统,该系统可在终端设备下载和使用电子资料时,对终端设备进行身份验证,从而使电子资料仅限于由被许可的终端设备下载和访问。为此,本发明还提供了上述数字版权管理系统的实现方法。\n[0006] 为解决上述技术问题,本发明数字版权管理系统包括一个或多个电子终端和至少一个服务器;\n[0007] 其中,所述电子终端包括:\n[0008] 动态密码生成模块,内置动态密码生成算法,所述动态密码生成算法为动态密码生成模块的输入与输出之间的计算规则;每个动态密码生成模块具有各不相同的序列号,但具有相同的动态密码生成算法;所述动态密码生成模块将服务器依据数据库中的动态密码生成模块序列号产生的随机挑战码和/或动态密码生成模块的序列号作为输入,经计算后输出密码;\n[0009] 存储模块,包括允许用户访问的公共存储区和禁止用户访问的限制存储区;所述限制存储区存储着服务器采用非对称加密算法生成的一对非对称密钥中的公钥;\n[0010] 其中,所述服务器内置或连接数据库,所述数据库包括多个电子资料,所述电子资料包括电子形式的书籍、图片、动画、音频和/或视频,每个电子资料具有各不相同的编号;\n[0011] 所述数据库还包括所有动态密码生成模块的序列号;\n[0012] 所述服务器中具有所述动态密码生成算法和至少一种非对称加密算法。\n[0013] 本发明数字版权管理系统及其实现方法可以有效地保护电子资料在下载和访问过程中的安全。\n附图说明\n[0014] 下面结合附图和实施例对本发明作进一步详细的说明:\n[0015] 图1是本发明数字版权管理系统的示意图;\n[0016] 图2是本发明数字版权管理系统的实现方法的示意图一;\n[0017] 图3是本发明数字版权管理系统的实现方法的示意图二;\n[0018] 图4是本发明数字版权管理系统的实现方法的示意图三。\n具体实施方式\n[0019] 请参阅图1,本发明数字版权管理系统包括多个电子终端和一个服务器。(电子终端为一个或多个,服务器至少为一个)\n[0020] 其中,所述电子终端包括:\n[0021] 动态密码生成模块,内置动态密码生成算法。所述动态密码生成算法为动态密码生成模块的输入与输出之间的计算规则。每个动态密码生成模块都具有序列号,不同的动态密码生成模块的序列号各不相同,但具有相同的动态密码生成算法。\n[0022] 存储模块,类似于计算机系统的硬盘,电子终端的存储模块可以采用SD卡、Flash等存储介质。所述存储模块包括允许用户访问的公共存储区和禁止用户访问的限制存储区。公共存储区和限制存储区的划分可由电子终端的固件实现,或者由电子终端的软件系统实现。所述限制存储区是指,电子终端的固件或软件系统既不向用户提供按文件/文件夹访问的手段,也不向用户提供免密码的登录/调试手段。\n[0023] 其中,所述服务器连接数据库(也可以是服务器内置数据库)。所述数据库包括多个电子资料(电子资料至少为一个),所述电子资料包括电子形式的书籍、图片、动画、音频和/或视频,每个电子资料具有各不相同的编号。\n[0024] 所述数据库还包括所有动态密码生成模块的序列号。\n[0025] 所述服务器中具有所述动态密码生成算法和至少一种非对称加密算法。\n[0026] 除此之外,所述电子终端还包括有内存,类似于计算机系统的内存。电子终端的内存中,不同进程之间无法访问其他进程的内存,因此可以认为正在使用的内存是安全可靠的。\n[0027] 所述电子终端还包括有软件系统,例如可采用类Linux的嵌入式操作系统。该软件系统负责电子终端的各方面使用、操作。\n[0028] 上述数字版权管理系统的实现方法包括三方面,一是电子终端向服务器注册,二是电子终端从服务器下载电子资料,三是电子终端访问已下载的电子资料。所述电子终端只有在服务器注册之后,才能从服务器下载电子资料。所述电子终端只有从服务器下载电子资料之后,才能在电子终端本地访问已下载的电子资料。\n[0029] 请参阅图2,所述电子终端在服务器注册包括如下步骤:\n[0030] 第1步,电子终端向服务器发出注册请求,所述注册请求中包括该电子终端的动态密码生成模块的序列号。所述序列号为一串数字的组合。例如,该序列号可采用9位十进制数。\n[0031] 第2步,服务器接收所述注册请求,并在所述数据库中查询所述注册请求中的序列号。\n[0032] 如数据库中有该序列号,服务器随机产生一挑战码,并向该电子终端发送该挑战码。\n[0033] 所述挑战码是服务器随机生成的一串数字、字母和/或符号的组合。例如,挑战码可采用64位的二进制数。\n[0034] 如数据库中无该序列号,服务器停止操作。\n[0035] 第3步,该电子终端接收该挑战码,该电子终端的动态密码生成模块将该挑战码和/或该动态密码生成模块的序列号作为输入经计算后输出密码,该电子终端向服务器发送该密码。\n[0036] 所述密码是动态密码生成模块计算生成的一串数字的组合。例如,密码可采用64位的二进制数。\n[0037] 不同的动态密码生成模块的序列号不同,而序列号是动态密码生成算法的输入项之一,因此不同的动态密码生成模块经计算输出的密码总是不同的。对同一个动态密码生成模块而言,由于服务器产生的挑战码是随机的,而挑战码也是动态密码生成算法的输入项之一,因此同一个动态密码生成模块经计算输出的密码也总是不同的。\n[0038] 第4步,服务器接收该密码,并与服务器自身根据所述动态密码生成算法将所述挑战码和/或序列号作为输入进行计算的结果相比较。\n[0039] 如该密码和服务器的计算结果相同,服务器采用非对称加密算法生成一对非对称密钥,所述非对称密钥包括一个私钥和一个公钥。服务器将私钥存储于所述数据库,将公钥发给该电子终端。\n[0040] 如该密码和服务器的计算结果不同,服务器停止操作。\n[0041] 第5步,该电子终端接收所述公钥,并将所述公钥存储在限制存储区。\n[0042] 上述电子终端在服务器注册的过程中,具体可采用如下方式:一、电子终端通过https协议连接服务器,并与服务器进行通讯。二、所述注册请求、挑战码、密码、公钥均以XML格式在电子终端和服务器之间传输。三、所述非对称加密算法采用RSA算法。\n[0043] 请参阅图3,所述电子终端从服务器下载电子资料包括如下步骤:\n[0044] 第1步,电子终端向服务器发出下载请求,所述下载请求中包括该电子终端的动态密码生成模块的序列号。\n[0045] 第2步,服务器接收所述下载请求,并在所述数据库中查询所述下载请求中的序列号。\n[0046] 如数据库中有该序列号,服务器随机产生一挑战码,并向该电子终端发送该挑战码。\n[0047] 如数据库中无该序列号,服务器停止操作。\n[0048] 第3步,该电子终端接收该挑战码,该电子终端的动态密码生成模块将该挑战码和/或该动态密码生成模块的序列号作为输入经计算后输出密码,该电子终端向服务器发送该密码和请求下载的电子资料的编号。\n[0049] 第4步,服务器接收该密码和请求下载的电子资料的编号,并将该密码与服务器自身根据所述动态密码生成算法将所述挑战码作为输入进行计算的结果相比较。\n[0050] 如两者相同,服务器根据所述请求下载的电子资料的编号在数据库中查询所述请求下载的电子资料。当服务器根据所述请求下载的电子资料的编号在数据库中查询不到所述请求下载的电子资料时,服务器向该电子终端返回错误信息。\n[0051] 服务器还根据该电子终端的动态密码生成模块的序列号在数据库中查询该电子终端对应的私钥。当服务器根据该电子终端的动态密码生成模块的序列号在数据库中查询不到该电子终端对应的私钥时,服务器向该电子终端返回“提示注册”或“更新证书”的信息。\n[0052] 然后服务器将所述请求下载的电子资料压缩和加密(可以是先压缩再加密,也可以是压缩和加密同时进行)。压缩时,服务器随机产生一访问证书。所述访问证书是服务器随机生成的一串数字的组合。例如,访问证书可采用2080个字节的二进制数。\n[0053] 所述加密包括以访问证书为密钥对所述请求下载的电子资料加密,还包括以该电子终端对应的私钥为密钥对所述访问证书加密。服务器将加密后的电子资料和访问证书发给该电子终端。\n[0054] 如两者不同,服务器停止操作。\n[0055] 第5步,该电子终端接收加密后的电子资料和访问证书,并将加密后的访问证书存储在限制存储区,加密后的电子资料可以存储在公共存储区和/或限制存储区。\n[0056] 上述电子终端从服务器下载电子资料的过程中,具体可采用如下方式:一、电子终端通过https协议与服务器进行连接和通讯。二、所述下载请求、挑战码、密码和请求下载的电子资料的编号、错误信息、“提示注册”或“更新证书”的信息、加密后的电子资料和访问证书均以XML格式在电子终端和服务器之间传输。三、电子资料通常为一个文件或目录,如果服务器为Linux/Unix或类似系统,对电子资料的压缩和压缩可以先用mkcramfs命令将电子资料压缩为cramfs文件系统,再用loop-aes块设备(block device,是一种软件)对该cramfs文件系统加密,从而得到压缩和加密后的电子资料。loop-aes块设备可采用AES128、multikey-v3方式加密,loop-aes块设备使用的加密密钥(encryption key)就是所述访问证书。接着服务器再用RSA算法中的私钥对所述访问证书加密。\n[0057] 请参阅图4,所述电子终端访问已下载的电子资料包括如下步骤:\n[0058] 第1步,电子终端根据用户请求访问的电子资料,在该电子终端的限制存储区中寻找该电子资料对应的访问证书。当电子终端在限制存储区中寻找不到该请求访问的电子资料对应的访问证书时,该电子终端向用户显示错误信息。\n[0059] 第2步,该电子终端使用限制存储区中的公钥对所述访问证书解密。解密后的访问证书仅在内存,使用完毕后电子终端将解密后的访问证书从内存中抹除。\n[0060] 第3步,该电子终端以解密后的访问证书为密钥加载所述请求访问的电子资料,加载点在限制存储区中,电子终端自动对所述请求访问的电子资料进行解密和解压缩,解密和解压缩后的电子资料明文仅挂载在内存区。\n[0061] 所述加载,是将设备、文件或文件夹作为一个文件系统,并将该文件系统挂在某目录下,加载后该目录的内容就是该文件系统的内容。加载点在限制存储区,就是指该文件系统所挂的目录是在限制存储区的目录。\n[0062] 第4步,用户使用该电子终端访问解密和解压缩后的电子资料明文。\n[0063] 第5步,用户退出访问电子资料,该电子终端将解密后的电子资料明文从内存区中抹除,并从限制存储区中卸载所述请求访问的电子资料。\n[0064] 所述卸载,是将某文件系统从某目录下去除,卸载后该目录的内容不包括该文件系统的内容。\n[0065] 上述电子终端访问已下载的电子资料的过程中,具体可采用如下方式:一、电子资料和对应的访问证书之间以校验和的方式相关联,例如采用SHAl校验和。电子终端中可能存储有多个电子资料和多个访问证书。在接收解密后的电子资料和加密后的访问证书时,电子终端先对每个加密后的电子资料计算校验和,并将该校验和与该加密后的电子资料的加密后的访问证书相对应,并一起存储在限制存储区中。当电子终端需要根据电子资料寻找对应的访问证书时,先计算该请求访问的电子资料(加密状态)的校验和,再从限制存储区中根据校验和寻找相应的访问证书。二、如果加密后的电子资料是Linux/Unix或类似系统中以loop-aes块设备加密的cramfs文件系统,那么只需要一个mount命令将该cramfs文件系统加载,该Linux/Unix或类似系统会自动对加载后的文件系统进行解密和解压缩。\n三、如果电子终端为Linux/Unix或类似系统,解密和解压缩后的电子资料明文仅挂载在电子终端的ramfs(内存文件系统)文件系统中。\n[0066] 上述数字版权管理系统及其实现方法的优势包括:一、对电子资料以访问证书加密,对访问证书以私钥加密,从而实现对电子资料的双重加密,加强了电子资料的安全性。\n二、电子资料的加解密密钥是访问证书,访问证书通常比密码要长很多,较长的访问证书有利于加强电子资料的安全性。三、访问证书的加解密密钥是非对称密钥,电子终端仅有公钥,密钥仅在数据库中,加强了访问证书的安全性。四、电子资料通常比访问证书要大很多,电子终端的限制存储区通常在存储模块中是较小的。本发明将访问证书存储在限制存储区,通过对较小的访问证书的保护实现对较大的电子资料的保护,提高了限制存储区的利用率,并可降低限制存储区的大小。五、通过采用适当的电子资料压缩和加密手段,可在对电子资料的解压缩和解密时仅需一个命令,提高了对电子资料的访问速度。六、解密和解压缩后的访问证书和电子资料明文仅挂载在内存中,用户使用或访问完毕后即从内存中抹除访问证书明文和电子资料明文,不会在存储模块上留有任何访问证书和电子资料明文,从而进一步提高了电子资料的安全性。
法律信息
- 2017-04-05
专利权的转移
登记生效日: 2017.03.15
专利权人由上海掌门科技有限公司变更为上海连尚网络科技有限公司
地址由201203 上海市浦东新区张衡路666弄1号7楼变更为200000 上海市泥城镇新城路2号24幢N2025室
- 2016-07-13
专利权的转移
登记生效日: 2016.06.21
专利权人由上海盛轩网络科技有限公司变更为上海掌门科技有限公司
地址由201203 上海市张江高科技园区郭守敬路356号3幢126室变更为201203 上海市浦东新区张衡路666弄1号7楼
- 2014-06-25
- 2013-03-27
专利申请权的转移
登记生效日: 2013.03.01
申请人由上海果壳电子有限公司变更为上海盛轩网络科技有限公司
地址由201203 上海市浦东新区郭守敬路356号变更为201203 上海市张江高科技园区郭守敬路356号3幢126室
- 2012-08-08
专利申请权的转移
登记生效日: 2012.07.06
申请人由盛大计算机(上海)有限公司变更为上海果壳电子有限公司
地址由201203 上海市浦东新区郭守敬路356号变更为201203 上海市浦东新区郭守敬路356号
- 2012-02-01
实质审查的生效
IPC(主分类): G06F 21/00
专利申请号: 200810044171.9
申请日: 2008.12.24
- 2010-06-30
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| | 暂无 |
2007-04-04
| | |
2
| |
2007-07-04
|
2005-12-29
| | |
3
| |
2008-04-16
|
2007-08-10
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |