【摘要】 本发明涉及一种基于用户识别模块的播放内容权限范围的保护方法,属于数字版权保护技术领域。本发明方法包括用户身份认证过程,权限范围获取过程和权限范围存储和管理过程。其中权限范围存储和管理过程包括用户识别模块存储权限范围状态字,客户端数字版权代理模块获取权限范围密钥,更新权限范围状态字和删除权限范围状态字。本发明方法的优点是:在权限范围的整个生命周期内提供完整性检查机制;基于用户识别模块,由于用户识别模块和移动通信终端设备的结合性,非常适合移动环境;利用了用户识别模块本身提供的安全机制,确保方法中各个密钥的安全性,最终达到保护权限范围的目的。 【专利类型】发明授权 【申请人】清华大学 【申请人类型】学校 【申请人地址】100084 北京市海淀区清华园 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810119356.1 【申请日】2008-09-05 【申请年份】2008 【公开公告号】CN101350718B 【公开公告日】2010-09-15 【公开公告年份】2010 【授权公告号】CN101350718B 【授权公告日】2010-09-15 【授权公告年份】2010.0 【IPC分类号】H04W12/04; H04W12/06; H04W88/02; G06F21/00; G06F21/10; H04W12/041; H04W12/069 【发明人】王建民; 王朝坤; 何申; 何显波; 刘璋 【主权项内容】一种基于用户识别模块的播放内容权限范围的保护方法,其特征在于该方法包括以下步骤:1)用户身份认证过程:(1)客户端数字版权代理模块设定一个随机数m,并根据该随机数和用户识别模块内的鉴权密钥Ki生成第一密钥K1;(2)客户端数字版权代理模块设定另一个随机数n,获得系统当前时间t,使用上述第一密钥K1,对随机数n和当前时间t一起进行加密,得到密文;(3)客户端数字版权代理模块从用户识别模块获取国际移动用户识别码,将上述随机数n、当前时间t、随机数m、国际移动用户识别码和密文一起进行哈希运算,得到一个哈希值h1,最后将上述随机数n、当前时间t、随机数m、国际移动用户识别码、密文和哈希值h1一起发送至权限发布服务器;(4)权限发布服务器接收上述信息,将其中的随机数n、当前时间t、随机数m、国际移动用户识别码、密文一起进行哈希运算,得到一个哈希值h1’,与接收到的哈希值h1进行比较,若两个哈希值不相同,则认证失败,若两个哈希值相同,则从接收信息的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,根据其中的随机数m和获取的鉴权密钥Ki生成第二密钥K2,并解密其中的密文,将解密后的内容与随机数n和当前时间t进行比较,若一致,则认证成功,若不一致,则认证失败,最后将认证状态发送至客户端数字版权代理模块;2)权限范围获取过程:(5)客户端数字版权代理模块设定一个随机数r,从用户识别模块获取国际移动用户识别码,并将随机数r和国际移动用户识别码一起发送至权限发布服务器;(6)权限发布服务器接收上述信息,从其中的国际移动用户识别码中获取权限发布服务器的鉴权密钥Ki,并根据其中的随机数r和获取的鉴权密钥Ki生成权限范围密钥Kr;(7)权限发布服务器利用上述权限范围密钥Kr对播放内容提供者的播放内容密钥Kc进行加密,得到播放内容密钥的密文,将该密文与权限发布服务器中存储的使用权限信息一起生成权限范围,对权限范围进行基于哈希的消息验证代码运算,生成权限范围的校验信息,对上述权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2,最后将权限范围、权限范围校验信息和哈希值h2一起发送至客户端数字版权代理模块;(8)客户端数字版权代理模块接收上述信息,将其中的权限范围和权限范围校验信息一起进行哈希运算,得到一个哈希值h2’,将哈希值h2’与接收到的哈希值h2进行比较,若两个哈希值不相同,则获取权限范围失败,若两个哈希值相同,则对权限范围进行基于哈希的消息验证代码运算,验证权限范围的完整性,若完整,则将权限范围保存到客户端存储器中,若不完整,则获取权限范围失败;3)权限范围存储和管理过程:当客户端数字版权代理模块将权限范围保存到客户端存储器中时,用户识别模块存储权限范围状态字,其过程如下:(9)客户端数字版权代理模块从步骤(8)得到的权限范围中,获得权限范围标识符i和随机数r,然后对权限范围进行哈希运算,得到一个权限范围状态字h,将获得的权限范围标识符i、随机数r和权限范围状态字h打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i,随机数r,权限范围状态字h和报文响应返回的最大长度Le;(10)用户识别模块接收上述信息,从报文中获得权限范围标识符i、随机数r和权限范围状态字h,并存储权限范围标识符i、随机数r和权限范围状态字h,存储上述信息后,设置一个权限范围状态字存储状态Data,生成一个新的符合应用协议数据单元格式的报文,并发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字存储状态Data,报文返回状态字SW1和报文返回状态字SW2;(11)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字存储状态Data与设定的权限范围状态字存储成功状态值相比较,若一致,则存储权限范围状态字成功,若不一致,则存储权限范围状态字失败;当客户端数字版权代理模块需要获取播放内容密钥时,客户端数字版权代理模块从用户识别模块获取权限范围密钥,其过程如下:(12)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,对权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;(13)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(14),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,然后比较权限范围状态字h’和权限范围状态字h,若不一致,则转至步骤(14),若一致,则根据随机数r和用户识别模块内的鉴权密钥Ki生成权限范围密钥Kr’;(14)用户识别模块设置一个权限范围密钥获取状态数据域Flag,若获取权限范围密钥Kr’成功,则设置Flag为0x01,报文结构依次为:权限范围密钥获取状态Flag,权限范围密钥Kr’,报文返回状态字SW1和报文返回状态字SW2,若获取权限范围密钥Kr’失败,则设置Flag为0x00,报文结构依次为:权限范围密钥获取状态Flag,权限范围密钥Kr’,报文返回状态字SW1和报文返回状态字SW2;并将生成的新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块;(15)客户端数字版权代理模块接收上述信息,将其中的权限范围密钥获取状态Flag与设定的权限范围密钥获取成功状态值比较,若不一致,则获取权限范围密钥失败,若一致,则利用其中的权限范围密钥Kr’,解密权限范围中的播放内容密钥密文,获得播放内容密钥Kc;当客户端数字版权代理模块更新权限范围,并保存到客户端存储器中时,用户识别模块更新权限范围状态字,其过程如下:(16)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,然后更新权限范围中的使用权限信息,并将权限范围保存到客户端存储器中,最后对更新后的权限范围进行哈希运算,得到一个权限范围状态字h’,将获得的权限范围标识符i’和权限范围状态字h’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’,权限范围状态字h’和报文响应返回的最大长度Le;(17)用户识别模块接收上述信息,从报文中获得权限范围标识符i’和权限范围状态字h’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(18),若找到,则获取与权限范围标识符i相对应的随机数r和权限范围状态字h,将权限范围状态字h更新为权限范围状态字h’,并存储;(18)用户识别模块设置一个权限范围状态字更新状态Data,生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字更新状态Data,报文返回状态字SW1和报文返回状态字SW2;(19)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字更新状态Data与设定的权限范围状态字更新成功状态值比较,若一致,则更新权限范围状态字成功,若不一致,则更新权限范围状态字失败;当客户端数字版权代理模块从客户端存储器中删除权限范围时,用户识别模块删除权限范围状态字,其过程如下:(20)客户端数字版权代理模块从客户端存储器中读取权限范围,获得权限范围标识符i’,将获得的权限范围标识符i’打包成符合应用协议数据单元格式的报文,发送至用户识别模块,报文结构依次为:报文类型CLA,报文代码INS,报文数据域长度Lc,权限范围标识符i’和报文响应返回的最大长度Le;(21)用户识别模块接收上述信息,从报文中获得权限范围标识符i’,然后在已存储的权限范围状态字中查找与权限范围标识符i’相同的权限范围标识符i,若没有找到,则转至步骤(22),若找到,则删除权限范围标识符i,以及和权限范围标识符i对应的随机数r和权限范围状态字h;(22)用户识别模块设置一个权限范围状态字删除状态Data,并生成一个新的符合应用协议数据单元格式的报文,发送至客户端数字版权代理模块,报文结构依次为:权限范围状态字删除状态Data,报文返回状态字SW1和报文返回状态字SW2;(23)客户端数字版权代理模块接收上述信息,将其中的权限范围状态字删除状态Data与设定的权限范围状态字删除成功状态值比较,若一致,则删除权限范围状态字成功,若不一致,则删除权限范围状态字失败。 【当前权利人】清华大学 【当前专利权人地址】北京市海淀区清华园 【专利权人类型】公立 【统一社会信用代码】12100000400000624D 【家族被引证次数】21
