[发明专利]虚拟专用网络上的数字权利管理系统

说明书

相关申请的交叉引用

本申请是中国专利申请03814679.7的分案申请，原申请的申请日是2003年4月11日，发明名称是“虚拟专用网络上的数字权利管理系统”。

技术领域

本发明涉及虚拟专用网络，更具体地说，涉及其中的数字权利的管理。

背景技术

分组数据网络，比如因特网已成为数字内容或软件的最有效的发行渠道之一。但是，分组数据网络的使其适合于分发数字内容和软件的特征也提供盗用和误用数字内容和软件的大量机会。鉴于在具有桌上型PC等的分组数据网络内，易于发生数字内容和软件的复制、改变、毁损和分发，必需保护数字内容和软件。要求数字权利管理(DRM)解决该问题。

图1图解说明了分布在诸如因特网主干网之类分组数据网络内的虚拟专用网络(VPN)的方框图。如图所示，VPN-A由用长虚线表示的隧道(tunnel)连接，所述长虚线代表处理器A1、A2和A3之间的安全通信。类似地，VPN-B由用处理器B1、B2和B3之间的短虚线表示的安全隧道连接。

VPN网络A和B位于公司或机构中，所述公司或机构位于不同的位置。图1中图解说明的VPN体系结构允许公司或机构的雇员或成员在通过主干分组数据网络，由安全隧道连接到公司或机构的VPN之后，跨越公司或机构的局域网(LAN)工作。

由于数字权利和包括视频、音频文档和文件的数字内容在VPN中和VPN之间传输，因此VPN，例如图1中图解说明的VPN的操作需要DRM。VPN中和VPN之间对DRM的要求有两方面，即：(1)VPN及它们的应用的部署，和(2)DRM的部署对诸如因特网之类分组数据网络中的主干网的影响。

实际上，在它们的部署中，DRM和VPN相互作用。例如，公司或机构可能需要保持在VPN内产生和/或使用的内部数字内容(IDC)的秘密。另一个例子是当公司或机构向客户销售包含数字权利(例如使用软件的许可证)的产品，并希望监视在客户的VPN中，该许可证的使用时。目前，本领域的状态是还没有令人满意地解决VPN中和VPN之间的DRM。

目前，VPN的IDC的数字保护不足，这导致易于发生滥用。此外，在一些情况下，IDC要求VPN内的特殊数字保护，例如当只允许少数顶级管理员访问高度机密的文档时。在没有恰当的数字保护的情况下，高度机密的文档易于被其它人看到，并流出VPN之外。

对VPN中数字权利的使用的限制一般过于严格或者过于宽松。例如，VPN的操作员可能希望从数字权利颁发者(issuer)购买某一产品的许多许可证，并想把许可证安装在VPN的任意一台机器中。特别地，该操作员不想要数字权利颁发者知道VPN的结构。但是，在数字权利颁发者一般提供只可安装在用户的VPN的特定机器上的许可证的情况下，数字权利颁发者不得不确保在VPN中用户遵守许可协议。在特定机器上安装的要求必定向数字权利颁发者提供关于用户网络的一些信息。此外，如果用户想把许可证从某一特定机器转移到另一特定机器上，那么用户必须通报颁发者，以获得许可。该程序对用户来说是不想要的。从而，对用户来说，对数字权利的使用的限制过于严格。另一方面，数字权利颁发者会试图劝说用户购买可安装在VPN中的任意地方的许多无限制许可证。这种情况下，用户可能同意有可能更昂贵的许可条款。但是，数字权利颁发者实际上不能明确地管理数字权利的使用，这意味着大量的许可证可能被安装在VPN中，并且许可证能够容易地散布到VPN外面，这是对数字权利的使用的控制过于宽松的典型。

VPN的操作员通常不能有效地管理VPN中数字权利的使用，尤其当VPN包含大量的客户机和多种数字权利时更是如此。这导致易于忽视关于数字权利的限制的情形。

发明内容

本发明是一种VPN之内和之间的DRM系统，所述DRM系统管理数字权利用户(DRU)和数字权利颁发者的VPN之内和之间的数字权利。本发明利用VPN内结合在一起的数字权利策略管理器(DRPM)，数字权利部署服务器(DRDS)，和数字权利仓库(DRR)或存储器，内部和外部地为DRU和数字权利颁发者管理数字权利。内部DRU在包含DRPM的VPN之内，所述DRPM管理向DRU的数字权利的分发，外部DRU在包含DRPM的VPN之外，所述DRPM管理向DRU的数字权利的分发。外部DRU可以在VPN之内，或者在任意VPN之外，并且可通过安全链路与包含内部DRU的VPN连接。