专利名称:基于双重身份认证的动态数字版权保护方法
技术领域:
本发明涉及信息安全领域,涉及数字版权保护和身份认证,特别涉及一种基于双 重身份认证的动态数字版权保护方法。
背景技术:
随着网络传输和通信技术的飞速发展,网络多媒体文件的分发、复制与编辑变得 越来越普遍,与此同时,服务提供商越来越强烈地要求保护其数字内容,版权问题得到了越 来越多的关注。由此而产生的数字版权管理技术(Digital Rights Management,以下简称 DRM)可以实现版权的保护,其结合硬件和软件的存取机制,对数字多媒体内容在其生命周 期内的存取进行有效地控制。目前,众多学者已经对DRM技术进行了深入广泛的研究。Steve K等人提出了一种隐私可保护的版权管理模式,该模式可以在线进行用户 隐私受保护的身份认证许可,但是离线状态下无法定位版权用户的身份。Andreaux JP等 人提出了一种用于数字家庭网络的版权保护系统,该系统将属性证书和许可证进行分离操 作,从而实现了数字媒体的安全发放。但是受所在网络的限制,还没有推广到广域网的范 畴。ShiHao等人则设计了一种用于协同的点对点对等网络的数字版权管理方案,该方案采 用动态许可证技术,但是不支持版权受控内容的物理空间的迁移。虽然近年来的科研成果和实践经验已经取得了瞩目的成绩,但是版权管理平台上 仍然存在着亟待解决的问题,具体表现在(1)虽然在线状态下的身份认证技术很好地解决了用户的合法身份问题,但是,不 能正确地约束用户的使用权限和清晰地划分用户的权限范围。(2)由于目前还没有离线状态下的用户身份认证机制,用户在版权管理平台上通 过身份认证后,下载到本地计算机上的数字多媒体文件可以通过常用的媒体播放器进行直 接播放,这样就会导致数字多媒体作品被恶意地篡改或者窃取,不能有效地防止离线扩散。因此,有必要提供一种改进的数字版权保护方法来克服现有技术的缺陷。
发明内容
本发明的目的是提供一种基于双重身份认证的动态数字版权保护方法,USBKEY内 的PIN码和数字证书能解决Steve K等人提出的版权管理模式中离线状态下无法定位版权 用户的身份的问题、Andreaux JP等人提出的数字家庭网络的版权保护系未推广到广域网 的范畴的问题、以及Shi Hao等人设计的用于协同的点对点对等网络的数字版权管理方案 中不支持版权受控内容的物理空间的迁移的问题,并且数字证书的扩展项能在在线状态下 正确约束用户的使用权限和清晰划分用户的权限范围,PIN码和数字证书能在离线状态下 对用户身份进行认证,避免媒体作品被恶意地篡改或者窃取,有效防止离线扩散。为了实现上述目的,本发明提供了一种基于双重身份认证的动态数字版权保护方 法,包括如下步骤(1)将用户的数字证书下载到内置有随机数发生器的USBKEY中;(2) 当用户登录时,在USBKEY置入客户端后,根据输入的PIN码口令激活USBKEY,进而获取USBKEY内的数字证书,当数字证书有效时,随机数发生器产生随机数序列,当用户对随机数 序列签名的签名信息正确时,根据数字证书的扩展项所规定的使用权限在线播放或在线下 载媒体作品文件;(3)当用户未登录时,在USBKEY置入客户端后,根据输入的PIN码口令激 活USBKEY,进而获取USBKEY内的数字证书,当数字证书有效时,根据数字证书的扩展项所 规定的使用权限离线播放媒体作品文件。在本发明的一个实施例中,所述方法还包括(11)当用户将用户设定的PIN码和 用户注册时系统自动生成的用户唯一标识符作为密钥要素,并利用密钥要素产生非对称密 钥对后,CA代理中心对非对称密钥对的公钥中用户的身份信息进行审核,待用户的身份信 息通过审核后,将非对称密钥对中的公钥和用户的身份信息发送至CA权威认证中心,(12) CA权威认证中心在用户的身份信息与公钥中的用户的身份信息信息一致时产生数字证书, 将数字证书发送至CA代理中心;(13) CA代理中心将数字证书颁发给所有者或消费者,并将 数字证书存储至数据库。在本发明的另一实施例中,所述数字证书包括用户的身份信息、公钥信息、CA权威 认证中心的身份信息、CA权威认证中心对数字证书的签名、扩展项、以及有效期,其中用户 的身份信息包含数字证书序列号、用户注册时提交的用户名称、以及系统平台为用户生成 的唯一标识符,并由CA权威认证中心100来确定,扩展项包含在线播放、在线下载、离线播 放媒体作品文件的权限信息。在本发明的又一实施例中,所述步骤(2)具体为(21)在用户登录并将USBKEY置 入客户端后,当输入的PIN码口令次数未超过规定次数时,输入PIN码口令,当输入的PIN 码口令与USBKEY的PIN码相同时,激活USBKEY ; (22)获取USBKEY内的数字证书,当数字证 书有效时,随机数发生器产生随机数序列;(23)在用户对由随机数发生器根据非对称密钥 对中的私钥作为初始化种子产生的随机数、证书有效时间、以及目标接收者组成的报文签 名以及签名信息通过私钥加密后,利用数字证书的公钥对加密的签名信息进行解密,将报 文进行数字签名,根据签名的报文与解密的签名信息判断用户的签名是否正确;(24)当签 名正确时,判断服务器是否为信息的接收者,数字证书的时间戳是否为当前时间;(25)当 服务器是信息的接收者,数字证书的时间戳是当前时间时,根据数字证书的扩展项所规定 的使用权限在线播放或下载媒体作品文件。在本发明的再一实施例中,所述步骤(3)具体为(31)在用户未登录并将USBKEY 置入客户端后,当输入的PIN码口令次数未超过规定次数时,输入PIN码口令,当输入的PIN 码口令与USBKEY的PIN码相同时,激活USBKEY ; (32)获取USBKEY内的数字证书,当数字证 书有效时,根据数字证书的扩展项所规定的使用权限离线播放媒体作品文件。在本发明的又一实施例中,所述方法还包括当用户支付媒体作品文件的新使用 权的费用后,更新用户的数字证书的扩展项和有效期;将更新的数字证书下载到USBKEY中 以替代原有数字证书。与现有技术相比,本发明基于双重身份认证的动态数字版权保护方法具有如下优占.(1)在在线状态和离线状态,均采用PIN码口令和数字证书来验证用户身份,这 种双重身份验证避免了所有用户操作媒体文件,这样在离线状态下可以定位版权用户的身 份,本发明家庭网络服务器组成一个域,通过向管理家庭网络和提供数字内容的服务器端申请相应的证书,服务器端将域作为一个整体管理,域中设备所申请的数字内容均被当作 是域所申请,服务器端只与此用户域通信,而不与域中各设备直接通信,可将数字家庭网络 的版权保护推广到广域网的范畴;通过秘密共享思想将数字证书的公钥分发给点对点对等 网络中的可信任节点,为网络的数字版权管理中数字内容的分发提供了必要的安全保障, 版权受控内容的物理空间可以迁移。(2)数字证书的扩展项规定了数字多媒体作品的使用权限,能实现在线下载、在线 播放、离线播放的使用权限约束和权限范围划分。(3)在在线状态时,采用随机数发生器产生随机数序列要求用户签名,用户每次签 名的随机数序列均不相同,实现了身份认证的动态性。通过以下的描述并结合附图,本发明将变得更加清晰,这些附图用于解释本发明 的实施例。
图1为本发明基于双重身份认证的动态数字版权保护方法的流程图。图2是图1所示基于双重身份认证的动态数字版权保护方法涉及的系统的架构 图。图3为图1所示基于双重身份认证的动态数字版权保护方法中USBKEY的组成框 图。图4为图1所示基于双重身份认证的动态数字版权保护方法中实现在线播放或下 载的流程图。图5为图1所示基于双重身份认证的动态数字版权保护方法中实现离线播放的流 程图。图6为图1所示基于双重身份认证的动态数字版权保护方法中为用户颁发数字证 书的流程图。
具体实施例方式现在参考附图描述本发明的实施例,附图中类似的元件标号代表类似的元件。参考图1和图2,本实施例基于双重身份认证的动态数字版权保护方法包括如下 步骤步骤Si,服务提供商将用户的数字证书下载到内置有随机数发生器的USBKEY(智 能密码钥匙)500中,转步骤S2或步骤S3 ;步骤S2,当用户登录时,在USBKEY 500置入客户端(用户PC机)410后,动态身份 认证模块根据输入的PIN码口令激活USBKEY 500,进而获取USBKEY 500内的数字证书,当 数字证书有效时,随机数发生器产生随机数序列,当用户对随机数序列签名的签名信息正 确时,根据数字证书的扩展项所规定的使用权限在线播放或在线下载媒体作品文件;步骤S3,当用户未登录时,在USBKEY 500置入客户端(用户PC机)410后,离线播 放模块根据输入的PIN码口令激活USBKEY 500,进而获取USBKEY 500内的数字证书,当数 字证书有效时,根据数字证书的扩展项所规定的使用权限离线播放媒体作品文件。由上可以看出,本实施例基于双重身份认证的动态数字版权保护方法具有如下优点。(1)在在线状态和离线状态,均采用PIN码口令和数字证书来验证用户身份,这种 双重身份验证避免了所有用户操作媒体文件。(2)数字证书的扩展项规定了数字多媒体作品的使用权限,能实现在线下载、在线 播放、离线播放的使用权限约束和权限范围划分。(3)在在线状态时,采用随机数发生器产生随机数序列要求用户签名,用户每次签 名的随机数序列均不相同,实现了身份认证的动态性,即使黑客截获数字签名,也无法仿冒 合法用户的身份。见图3,所述USBKEY 500包括硬件设备管理子模块510、非对称密钥管理子模块 520、算法管理子模块530、数据加密管理子模块540、以及服务提供商下载的用户的数字证 书550。下面对USBKEY 500内的各组成部分进行详细说明。所述硬件设备管理子模块510包括USB识别控制单元511、PIN码鉴别CPU单元 512、以及加密保护的EPROM 513。所述USB识别控制单元511用于识别USBKEY 500插入 或拔出客户端(用户PC机)410的操作,在识别出USBKEY 500插入操作时控制客户端410 的CPU (CentralProcessing Unit,中央处理器)读取用户输入的PIN码口令。所述PIN码 鉴别CPU单元512用于判断CPU读取的PIN码口令的正误以及判断输入PIN码的次数。所 述EPROM单元513用于存储数字证书550、密钥等秘密数据,对该EPROM单元513的读写操 作通过程序实现,用户无法直接读取,其中用户私钥是不可导出的,杜绝了复制用户数字证 书或身份信息的可能性。所述非对称密钥管理子模块520用于将用户设定的PIN码和用户注册时系统自动 生成的用户唯一标识符(ID)作为密钥要素,利用密钥要素采用RSA算法生成非对称密钥 对,将非对称密钥对和数字证书550存储在加密保护的EPROM单元;密钥分为对称密钥和非 对称密钥,并且均有有效期(密钥不能无限期使用,因为密钥使用时间越长,它泄露的机会 就越大,引起的损失将越大)。在密钥有效期内,用户利用非对称密钥中的私钥加密报文,接 收方利用数字证书中的公钥解密报文,当密钥有效期满时,利用密钥要素采用RSA算法重 新生成非对称密钥对,根据重新生成的非对称密钥对更新密钥。具体地,所述非对称密钥管 理子模块520包括密钥安装生成单元521、密钥使用更新单元522、以及密钥存储撤销单元 523。密钥安装生成单元521用于将用户设定的PIN码和用户注册时系统自动生成的用户 唯一标识符(ID)作为密钥要素,利用密钥要素采用RSA算法生成非对称密钥对;密钥使用 更新单元522用于读取EPROM单元511中的非对称密钥对以及更新失效的非对称密钥对; 密钥存储撤销单元523用于将生成的非对称密钥对保存到EPROM单元511中或删除EPROM 单元511中中的非对称密钥对。所述算法管理子模块530用于对每个算法标注一个ID进而存储和识别各个算法, 在各个算法中选择进行加密的算法。其中,算法有RSA、DSA等非对称密钥算法,DES、RC6、 RC5等对称密钥算法,SHA-U MD5等数据散列算法,标注ID进行算法存储的方式能实现算 法的合理存储,更好地解决USBKEY空间存储问题。具体地,所述算法管理子模块530包括 算法库管理单元531、加密算法选择单元532、以及随机数发生器533。算法库管理单元531 负责管理非对称密钥算法、对称密钥算法、数据散列算法;加密算法选择单元532负责根据 任务要求调度每个算法;随机数发生器533有一个输入参数,即初始化种子,初始化种子不同,据此可产生每次不一样的随机数序列。所述数据加密管理子模块540用于根据算法管理子模块530选择的加密算法进行 数据的加密,并根据根据算法管理子模块530选择的加密算法进行数据的解密。具体地,所 述数据加密管理子模块540包括数据加密实现单元541、数据解密实现单元542、以及数据 文件签名单元543。数据加密实现单元541负责加密算法的操作;数据解密单元542负责 解密算法的操作;数据文件签名单元543负责数字签名的操作。由上可以看出,所述USBKEY 500可以看作是智能卡和读卡器的联合体。如图4并结合图2和图3,所述步骤S2具体为步骤S21,在用户登录后,USBKEY 500的硬件设备管理子模块510的USB识别控 制单元511识别出USBKEY 500插入客户端(用户PC机)410操作时,PIN码鉴别CPU单元 512判断输入的PIN码口令次数是否超过规定次数,若是,结束(封锁用户口令,防止了非本 人使用),若否,继续下一步;步骤S22,待用户输入PIN码口令后,USB识别控制单元511控制客户端410的CPU 读取用户输入的PIN码口令,PIN码鉴别CPU单元512判断输入的PIN码口令是否正确,若 是,继续下一步,若否,转步骤S21 ;步骤S23,服务器端(版权管理平台服务器)230通过网络获取USBKEY 500的数字 证书550,判断USBKEY 500的EPR0M单元513存储的数字证书550是否有效,若是,继续下
一步,若否,结束;步骤S24,USBKEY 500的非对称密钥管理子模块520中的密钥安装生成单元521 将用户设定的PIN码和用户注册时系统自动生成的用户唯一标识符(ID)作为密钥要素,采 用RSA算法生成非对称密钥对(公钥+私钥);算法管理子模块530中的随机数发生器533 根据非对称密钥对中的私钥作为初始化种子产生随机数r。,并将随机数r。、证书有效时间 tc、以及目标接收者s。作为报文;数据加密管理子模块540的数据文件签名单元543通过用 户对报文进行签名,得到签名信息S(r。,t。,sc);数据加密管理子模块540的数据加密实现 单元541利用非对称密钥对中的私钥对签名信息S(r。,t。,s。)进行加密,将加密的签名信息 和报文一起发送至服务器端230,其中,数字签名是对整个报文进行的单向函数,是一组代 表报文特征的定长代码,若仅改变报文中的一处,数字签名就完全不同。步骤S25,服务器端230从数字证书550中提取用户的公钥,利用用户的公钥对数 据加密管理子模块540发送的加密的签名信息进行解密,得到一个数字签名的明文,另外, 服务器端230将数据加密管理子模块540发送的报文进行相同的数字签名,并与数字签名 的明文比对一致性来验证数据文件签名单元543签名是否正确;步骤S26,当签名正确时,服务器端230验证服务器是否为信息的接收者,数字证 书550的时间戳是否为当前时间(这样任何拥有用户公钥的人都可根据验证结果接收或拒 绝接收报文,同时实现禁止伪造数字签名及对报文的修改);步骤S27,当服务器230是信息的接收者且数字证书的时间戳是当前时间时,服务 器端230根据数字证书550的扩展项内容判断用户是否具有在线播放或在线下载媒体文件 的权限,若是,继续下一步,若否,结束;步骤S28,服务器端230允许在线播放或在线下载媒体文件。由上可以看出,当用户在线播放或在线下载媒体文件时,采用PIN码口令和数字证书双重认证用户的身份,实现了身份认证的高度可信性,采用随机数发生器产生随机数 序列,每次用户的身份认证的随机数序列均不相同,实现了身份认证的动态性。此外,数字 证书的扩展项明确规定了被授权多媒体文件与用户之间的权限关系,解决了在线观看和下 载权限分配问题。如图5以及图2、图3,所述步骤S3具体为步骤S31,在用户登录后,USBKEY 500的硬件设备管理子模块510的USB识别控 制单元511识别出USBKEY 500插入客户端(用户PC机)410操作时,PIN码鉴别CPU单元 512判断输入的PIN码口令次数是否超过规定次数,若是,结束(封锁用户口令,防止了非本 人使用),若否,继续下一步;步骤S32,待用户输入PIN码口令后,USB识别控制单元511控制客户端410的CPU 读取用户输入的PIN码口令,PIN码鉴别CPU单元512判断输入的PIN码口令是否正确,若 是,继续下一步,若否,转步骤S31 ;步骤S33,客户端410获取USBKEY 500的数字证书550,判断USBKEY 500的EPR0M 单元513存储的数字证书550是否有效,若是,继续下一步,若否,结束;步骤S34,客户端410根据数字证书550的扩展项内容判断用户是否具有离线播放 媒体文件的权限,若是,继续下一步,若否,结束;步骤S35,客户端410允许离线播放媒体文件。由上可以看出,当用户离线播放媒体文件时,采用PIN码口令和数字证书550双重 认证用户的身份,实现了身份认证的高度可信性;数字证书的扩展项明确规定了被授权多 媒体文件与用户之间的权限关系,解决了离线播放权限分配问题。在本实施例中,所述数字证书550是由CA权威认证中心100和数字证书管理模块 200签发的。如图2,所述数字证书管理模块200包括CA代理中心210、数据库220以及服 务器端(版权管理平台服务器)230,则如图6,所述基于双重身份认证的动态数字版权保护 方法还包括步骤步骤S61,当用户将用户设定的PIN码和用户注册时系统自动生成的用户唯一标 识符(ID)作为密钥要素,利用密钥要素采用RSA算法通过USBKEY500的非对称密钥管理子 模块520产生非对称密钥对(公钥+私钥)并通过版权管理平台服务器230发送所述非对 称密钥对中的公钥至CA代理中心210,CA代理中心210对公钥中用户的身份信息进行审 核,待用户的身份信息通过审核后,将非对称密钥对中的公钥和用户的身份信息发送至CA 权威认证中心100 ;步骤S62,CA权威认证中心100在用户的身份信息与公钥中的用户的身份信息信 息一致时产生数字证书550,所述数字证书550的格式是以X. 509数字证书格式作为标准, 其包括用户的身份信息、公钥信息、CA权威认证中心100的身份信息、CA权威认证中心100 对数字证书550的签名、以及数字证书的扩展项、时间戳和有效期,其中所述用户的身份信 息包含证书序列号、用户注册时提交的用户名称、系统平台为用户生成的唯一标识符(ID), 并由CA权威认证中心100来确定,所述数字证书的扩展项包含在线播放、在线下载、离线播 放媒体作品文件的权限信息(只有数字证书在有效期范围内,同时数字证书的扩展项表明 了在线播放、在线下载、离线播放权限,用户才能进行对应的操作),数字证书中的用户的身 份信息表明用户的身份是否合法,公钥用于解密密文,扩展项用于限定用户权限,时间戳保证实时传输,有效期监控数字证书的有效性;步骤S63,CA权威认证中心100将数字证书550发送至CA代理中心210,CA代理 中心210将数字证书550颁发给用户,并将数字证书存储在数据库220中。
由上可以看出,CA代理中心210负责审核用户的身份,CA权威认证中心100负责 签发数字证书。另外,所述基于双重身份认证的动态数字版权保护方法还包括步骤步骤S101,当用户通过版权管理平台服务器230向CA代理中心210发送更新证书 请求或作废证书请求后,CA代理中心210对更新证书请求或作废证书请求中包含的用户身 份信息进行审核,当用户身份信息审核通过后,CA代理中心210将用户的私钥作为初始化 种子产生定长代码的随机数序列,待用户对随机数序列签名后,向CA权威认证中心100申 请更新证书或撤销证书;步骤S102,CA权威认证中心100更新数字证书550并将更新后的数字证书通过CA 代理中心210发送至用户,或撤销数字证书并将撤销的数字证书加入证书撤销列表CRL中。由上可以看出,CA代理中心210负责处理对于数字证书的更新请求或作废请求, CA权威认证中心100负责更新数字证书或撤销数字证书。此外,所述基于双重身份认证的动态数字版权保护方法还包括步骤步骤S201,在用户通过版权管理平台服务器230向CA代理中心210提出证书状态 查询请求后,CA代理中心210对证书状态查询请求中包含的用户身份信息进行审核;步骤S202,当用户身份信息审核通过后,CA权威认证中心100查询数字证书550 中的时间戳或查询证书撤销列表CRL,当时间戳是当前时间时,确定证书550的状态是在有 效期内,当数字证书550位于证书撤销列表CRL时,确定证书的状态是已被撤销。由上可以看出,CA代理中心210负责处理对于数字证书的状态查询请求,CA权威 认证中心100负责查询数字证书的状态。在本实施例中,所述基于双重身份认证的动态数字版权保护方法还包括步骤步骤S301,当用户支付媒体文件的新使用权的费用后,CA代理中心210向CA权威 认证中心100申请更新用户的数字证书550的扩展项和有效期;步骤S302,在CA权威认证中心100更新数字证书550后,服务提供商将更新的数 字证书下载到USBKEY 500中以替代原有数字证书550。由上可以看出,当数字证书到期、无效后,CA代理中心210可以根据用户的要求 在支付了新使用权费用的前提下,更新数字证书,用户可以继续使用更新了数字证书的 USBKEY 500进行在线播放、在线下载、离线播放操作。以上结合最佳实施例对本发明进行了描述,但本发明并不局限于以上揭示的实施 例,而应当涵盖各种根据本发明的本质进行的修改、等效组合。
权利要求
一种基于双重身份认证的动态数字版权保护方法,包括如下步骤(1)将用户的数字证书下载到内置有随机数发生器的智能密码钥匙中;(2)当用户登录时,在智能密码钥匙置入客户端后,根据输入的PIN码口令激活智能密码钥匙,进而获取智能密码钥匙内的数字证书,当数字证书有效时,随机数发生器产生随机数序列,当用户对随机数序列签名的签名信息正确时,根据数字证书的扩展项所规定的使用权限在线播放或在线下载媒体作品文件;(3)当用户未登录时,在智能密码钥匙置入客户端后,根据输入的PIN码口令激活智能密码钥匙,进而获取智能密码钥匙内的数字证书,当数字证书有效时,根据数字证书的扩展项所规定的使用权限离线播放媒体作品文件。
2.如权利要求1所述的基于双重身份认证的动态数字版权保护方法,其特征在于,还 包括(11)当用户将用户设定的PIN码和用户注册时系统自动生成的用户唯一标识符作为 密钥要素,并利用密钥要素产生非对称密钥对后,CA代理中心对非对称密钥对的公钥中用 户的身份信息进行审核,待用户的身份信息通过审核后,将非对称密钥对中的公钥和用户 的身份信息发送至CA权威认证中心;(12)CA权威认证中心在用户的身份信息与公钥中的用户的身份信息信息一致时产生 数字证书,将数字证书发送至CA代理中心;(13)CA代理中心将数字证书颁发给所有者或消费者,并将数字证书存储至数据库。
3.如权利要求2所述的基于双重身份认证的动态数字版权保护方法,其特征在于,所 述数字证书包括用户的身份信息、公钥信息、时间戳、CA权威认证中心的身份信息、CA权威 认证中心对数字证书的签名、扩展项、以及有效期,其中用户的身份信息包含数字证书序列 号、用户注册时提交的用户名称、以及系统平台为用户生成的唯一标识符,并由CA权威认 证中心100来确定,扩展项包含在线播放、在线下载、离线播放媒体作品文件的权限信息。
4.如权利要求1所述的基于双重身份认证的动态数字版权保护方法,其特征在于,所 述步骤(2)具体为(21)在用户登录并将智能密码钥匙置入客户端后,当输入的PIN码口令次数未超过规 定次数时,输入PIN码口令,当输入的PIN码口令与智能密码钥匙的PIN码相同时,激活智 能密码钥匙;(22)获取智能密码钥匙内的数字证书,当数字证书有效时,随机数发生器产生随机数 序列;(23)在用户对由随机数发生器根据非对称密钥对中的私钥作为初始化种子产生的随 机数、证书有效时间、以及目标接收者组成的报文签名以及签名信息通过私钥加密后,利用 数字证书的公钥对加密的签名信息进行解密,将报文进行数字签名,根据签名的报文与解 密的签名信息判断用户的签名是否正确;(24)当签名正确时,判断服务器是否为信息的接收者,数字证书的时间戳是否为当前 时间;(25)当服务器是信息的接收者,数字证书的时间戳是当前时间时,根据数字证书的扩 展项所规定的使用权限在线播放或下载媒体作品文件。
5.如权利要求1所述的基于双重身份认证的动态数字版权保护方法,其特征在于,所述步骤(3)具体为(31)在用户未登录并将智能密码钥匙置入客户端后,当输入的PIN码口令次数未超过 规定次数时,输入PIN码口令,当输入的PIN码口令与智能密码钥匙的PIN码相同时,激活 智能密码钥匙;(32)获取智能密码钥匙内的数字证书,当数字证书有效时,根据数字证书的扩展项所 规定的使用权限离线播放媒体作品文件。
6.如权利要求1所述的基于双重身份认证的动态数字版权保护方法,其特征在于,还 包括当用户支付媒体作品文件的新使用权的费用后,更新用户的数字证书的扩展项和有效期;将更新的数字证书下载到智能密码钥匙中。
全文摘要
本发明公开了一种基于双重身份认证的动态数字版权保护方法,包括如下步骤将用户的数字证书下载到内置有随机数发生器的USBKEY中;当用户登录时,在USBKEY置入客户端后,根据输入的PIN码口令激活USBKEY,进而获取USBKEY内的数字证书,当数字证书有效时,随机数发生器产生随机数序列,当用户对随机数序列签名的签名信息正确时,根据数字证书的扩展项所规定的使用权限在线播放或在线下载媒体作品文件;当用户未登录时,在USBKEY置入客户端后,根据输入的PIN码口令激活USBKEY,进而获取USBKEY内的数字证书,当数字证书有效时,根据数字证书的扩展项所规定的使用权限离线播放媒体作品文件。本方法能约束用户使用权限和划分用户权限范围,对离线状态用户身份进行认证,防止离线扩散。
文档编号G06F21/00GK101872399SQ201010214589
公开日2010年10月27日 申请日期2010年7月1日 优先权日2010年7月1日
发明者刘泉, 李雷, 江雪梅 申请人:武汉理工大学