[发明专利]用于在数字权限管理中管理权限对象的授权的方法和装置

说明书

技术领域

本申请要求分别于2008年2月19日、2008年2月21日和2008年4月11日提交的美国临时专利申请No.61/029,838、61/030,551和61/044,461，以及于2008年6月13日在韩国提交的韩国专利申请No.10-2008-0055959的优先权。这些申请的全部内容通过引用结合于此。

本发明涉及数字权限管理(DRM)，更具体地涉及一种用于管理对在DRM系统中的装置(实体)间发行域权限对象(域RO)的授权的方法和装置。

背景技术

数字权限管理(DRM)系统是一种安全地保护和系统地管理数字内容的授权对象的技术，并且提供涉及防止非法复制数字内容和取得数字内容的权限对象，生成并流通数字内容的一系列保护和管理系统，并提供利用数字内容的规程。

图1是数字权限管理系统的示意图。数字权限管理系统控制由内容供应商供应给用户的数字内容以使用户能够在授予用户的权限对象的范围内最大限度地使用数字内容。在此，内容供应者是对应于内容发行器(CI)和/或权限发行器(RI)的实体。

内容发行器(CI)发行使用特定编码密钥保护的内容，以便于保护内容不被无访问权的用户获取，且权限发行器(RI)发行使用受保护内容所需的权限对象(RO)。

安装于装置(或者终端)中的DRM代理接收受保护内容和权限对象，并且通过分析权限对象中所包含的许可并将受保护内容转换成适合在相应终端中使用的形式来控制内容的使用。

域授权机构/域执行代理(DA/DEA)是用于管理和控制用户域的实体。即，DA为用户域定义域策略，而DEA是执行DA所定义的域策略的实体，且可置于网络中或者域内的装置中。

图2是示出DRM中的示例性用户域架构的概况图。图2示出用于用户域密钥管理方案中的共享密钥管理的示例性框架。

不同于在相关OMA DRM技术中域的概念，此用户域被配置成使RI只执行发行域权限对象的功能，而使DA/DEA执行管理域成员的功能。用户域成员(即连接到用户域的装置)可通过复制、移动等方式共享不同服务供应商所发行的权限对象。

参考图2，如果装置(或DRM代理)通过加入域请求消息请求加入相应用户域，则DA/DEA验证(检查)此装置(DRM代理)并向终端安全地传递主域密钥(MDK)。在此，DA/DEA利用装置的公钥对MDK进行加密。连接到特定用户域的所有装置可共享同一MDK。

DA/DEA将从MDK导出的多样化域密钥(DDK)安全地发行到RI。DDK用于对域权限对象的权限对象加密密钥(REK)进行加密。另外DA/DEA发行确认令牌(称作V-令牌)以使已收到RO的用户域成员验证该RI的可靠性。此V-令牌包括DA/DEA与RI间的合同的条款或者条件等信息。因此，装置(如图2的装置1)可以通过此类信息验证从RI传递过来的RO是否有效(可用)。

该装置可获取由DA/DEA所发行的MDK所导出的DDK，且可用该DDK来使用从RI发行的RO(即域RO)。在此，在使用RO之前，装置可通过V-令牌验证该RO是否有效。同时，如果终端(例如装置1)希望与作为用户域成员的另一终端(例如装置2)共享该RO，则终端(即装置1)可向所述另一终端(例如装置2)传递DRM内容格式(DCF)、RO和V-令牌以供共享。

图3是用户域中由RI创建域RO的过程的示意性框图。

参考图3，如果装置1(或者DRM代理1)向RI请求RO(S1)，则RI检查相应用户域的ID(例如图3中装置1、2和3所加入的域)，且向DEA请求域信息、V-令牌(或者用户域令牌)和密钥(DDK或者DDK组)(图3中的使用域请求)(S2)。RI从DEA接收对请求的响应(图3中的使用域响应)(S3)。在根据从步骤(S3)的响应收到的信息，即DDK和V-令牌，创建(生成)用户域RO之后，RI向装置1发行所生成的RO(图3中的RO响应)(S4)。

发明内容

技术方案

因此，本发明的一个目的是定义RDP使用域协议和RDP撤消域协议的具体参数。RDP使用域协议指DEA与RI之间的协议，其中DEA向RI传递相应的授权、域信息、生成域RO所需的密钥材料(例如DDK或者DDK集合)等，以使RI创建RO。RDP撤消域协议指DEA与特定RI之间的协议，其用于限制对发行已发行给RI的RO的授权(权限)，以使得RI不能创建域RO。

为了达到上述目的，根据本发明提供了一种用于在数字权限管理中管理授权的方法，包括：