收藏
下载资源 加入会员免费下载

适用多类终端设备的高可信数字内容服务方法.pdf

上传人:000****221 文档编号:1104664 上传时间:2018-03-31 格式:PDF 页数:10 大小:467.15KB
返回 下载 相关 举报
摘要
申请专利号:

CN201010501135.8

 申请日:

2010.10.09
公开号:

CN101977183A

 公开日:

2011.02.16
当前法律状态:

授权

 有效性:

有权
法律详情:

专利权人的姓名或者名称、地址的变更 IPC(主分类):H04L 29/06变更事项:专利权人变更前:江苏博智软件科技有限公司变更后:江苏博智软件科技股份有限公司变更事项:地址变更前:210000 江苏省南京市雨花台区宁南大道310号雨花软件园大A楼A幢4层变更后:210012 江苏省南京市雨花台区软件大道168号3栋5层|||授权|||专利申请权的转移IPC(主分类):H04L 29/06变更事项:申请人变更前权利人:南京博智软件科技有限公司变更后权利人:江苏博智软件科技有限公司变更事项:地址变更前权利人:210019 江苏省南京市建邺区江东中路311号中泰国际广场五座519室变更后权利人:210000 江苏省南京市雨花台区宁南大道310号雨花软件园大A楼A幢4层登记生效日:20120209|||实质审查的生效IPC(主分类):H04L 29/06申请日:20101009|||公开
IPC分类号:

H04L29/06; H04L29/08; H04L9/32

 主分类号:

H04L29/06
申请人:

南京博智软件科技有限公司
发明人:

傅涛; 陈志军; 张敏
地址:

210019 江苏省南京市建邺区江东中路311号中泰国际广场五座519室
优先权:

专利代理机构:

南京天翼专利代理有限责任公司 32112

 代理人:

朱戈胜
PDF下载: PDF下载
内容摘要

本发明提出一种适用多类终端设备的高可信数字内容服务方法,该技术是基于可信计算技术,通过采集用户终端设备的唯一参数,生成用户终端设备标识,与用户身份信息结合生成可信根,基于可信根实现应用终端组件的运行环境的安全性验证;通过数字内容应用终端组件,基于WEB服务器实现跨平台的数字内容使用管理与控制,从而保护数字内容以合法的方式被使用,确保数字内容资源的所有者权益不受侵犯。

权利要求书

1: 一种适用多类终端设备的高可信数字内容服务方法, 其特征是本方法是基于 WEB 架 构, 该 WEB 架构的构成包括 : 高可信数字内容应用终端组件的分发 WEB 服务器、 数字内容服 务器、 数字内容票证服务器、 身份认证与验证服务器和数字内容费用结算服务器 ; 本方法的 步骤包括 : 1) 用户访问所述分发 WEB 服务器, 从该服务器中下载其设备终端类型所对应的应用终 端组件, 进行安装 ; 2) 应用终端组件安装时, 采集用户终端设备各项参数, 生成唯一标识码, 将唯一标识码 上传至身份认证与验证服务器, 该服务器根据唯一标识码生成可信根非对称加密密钥对, 同时将用户身份信息、 生成的用户票证加密密钥对信息, 唯一标识码进行加密生成可信根, 将可信根及其加密公钥发送至应用终端组件 ; 3) 应用终端组件在接收到可信根及其加密公钥之后, 开始安装虚拟机及其伴随进程, 初始化用户票证存储空间, 在用户设备系统内核安装数字内容使用监控探针, 最终完成应 用终端组件的安装及初始化过程 ; 4) 应用终端组件被使用时, 应用终端启动虚拟机及其伴随进程, 将可信根及其加密公 钥读入虚拟机内存空间, 利用该加密密钥解开可信根, 获取用户唯一标识码等可信根信息, 同时采集用户终端设备参数生成标识码与可信根中存储的标识码进行比对, 验证用户终端 设备 ; 5) 验证通过后, 数字内容应用终端将读入用户的加密票证信息, 读入可信根存储的票 证信息的, 依据其中存储的用户使用数字资源权限, 监控用户使用数字内容的行为 ; 同时使 用票证中数字内容的对称加密密钥解密数字内容, 提供用户使用 ; 6) 当用户搜索到其需要的数字内容后, 将向数字内容费用结算服务器发出请求, 付款 后获得该服务器加密的费用结算票证, 用户将此票证加上自己的身份认证信息发送给数字 内容票证服务器 ; 7) 数字内容票证服务器在接收到用户提供的信息后, 对用户的身份及费用结算票证验 证之后, 生成数字内容使用票证, 其中包括数字内容的对称加密密钥, 数字内容使用身份信 息, 数字内容使用权限信息 ; 8) 用户在收到票证之后, 向通过数据内容服务器向数字资源代理服务器发送请求, 直 接下载由数字内容代理加密后的数字内容资源 ; 9) 用户在接收到数字内容资源后, 由用户设备上的应用终端软件, 执行数字内容解密, 并根据票证中描述的用户使用数字内容权限, 监视用户使用数字内容的行为, 确保数字内 容安全, 不被违规使用。
2: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是所 述 WEB 架构中还包括安全事件日志服务器, 用于记录数据内容的使用权限授予、 用户违规 使用数字内容等安全事件, 以备日后对数字内容使用的安全审计。
3: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是所 述应用终端组件提供基于 WEB 服务的统一功能接口 ; 所述应用终端组件面向的终端设备包括 : 桌面终端、 WEB 网页终端和移动设备终端。
4: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是对 于用户使用数字内容的行为审计, 是基于用户终端所在的操作系统内核实现的, 通过对用 2 户操作系统内核的调用监控, 依据票根中描述的用户使用权限控制用户使用数字内容的行 为。
5: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是所 述用户的唯一标识是本技术实现高可信的数字内容保护基础, 是针对不同的用户终端, 利 用采集的用户终端设备信息, 生成的唯一标识 ; 对于桌面终端, 它是网卡的 MAC 地址与硬盘参数等相关设备参数 ; 对于移动设备, 它是 基于 PIN 码等参数 ; 对于 WEB 网页, 它是基于网页组件实现对用户设备数据采集, 生成用户 唯一标识。
6: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是所 述可信根, 是提供给用户终端启动与初始化时, 对其所位于的用户终端的环境是否安全的 验证基础 ; 它是通过用户身份认证与授权服务器, 根据用户唯一标识生成的一对非对称加密密钥 对, 该密钥对的公钥, 以及通过该密钥对的私钥加密的用户唯一标识码, 用户身份信息, 用 户票证数据加密密钥的数据块所组成的。
7: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是所 述数字内容票证服务器进行数字内容权限描述, 包括数字内容的使用方式, 使用期限与次 数等 ; 同时与用户身份认证与验证服务器、 费用结算服务器的交互, 生成用户最终获取的数 字内容使用票证, 作为用户使用数字内容的依据。
8: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是在 数字内容应用终端, 对票证的安全保护方法是, 票证中记录了用户所获得的数字内容使用 权限, 数字内容的解密密钥, 是应用终端实现用户使用数字内容控制的依据 ; 通过位于用户 身份认证与验证服务器端的用户可信根对应的私钥进行加密。
9: 根据权利要求 1 所述的适用多类终端设备的高可信数字内容服务方法, 其特征是在 数字内容应用终端, 对数字内容进程保护采用虚拟机, 所述虚拟机进程中包含自有的内存 分配与映射算法, 该算法是在虚拟机掌握的内存中划分出堆、 栈以及程序代码空间三个部 分, 由虚拟机内存管理功能模块实现动态的内存空间管理与分配, 从而实现进程内存空间 的保护, 虚拟机进程还伴随保护进程, 监视系统内核对该进程空间的访问行为, 从而确保的 内存安全。

说明书


适用多类终端设备的高可信数字内容服务方法

    技术领域 :
     本发明涉及到一种适用多类终端设备的高可信数字内容服务技术, 该技术是以可 信计算技术为核心, 通过 WEB 服务器提供的各类数字内容应用终端组件, 实现面向多类终 端设备的统一数字内容使用管理与控制, 从而保护数字内容以合法的方式被使用, 本技术 所涉及的技术领域主要包括 : 基于 WEB 服务的统一功能接口, 可信计算技术, 数字认证, 数 据对称与非对称加解密技术, 进程的安全保护, 服务器代理与负载均衡技术, 基于操作系统 内核的进程行为的审计与控制。 背景技术 :
     数字内容的安全保护一直为信息产业所关注的重要问题, 采用技术手段实现数字 内容版权控制与管理也是信息安全研究领域的研究热点。 目前数字内容的安全管理主要的 技术有数字内容加 / 解密、 数字水印和数字权限管理技术 (DRM) 等。其中, 最为基础的是 数字内容的加 / 解密技术, 最为简单, 但其对于用户使用数字内容的行为控制也最为薄弱 ; 而数字水印技术可以实现对数字内容进行验证, 但其只能作为数字内容使用过程监控的依 据, 不具备直接的数字内容保护能力 ; DRM 技术是多家信息产业巨头联合提出一种数字内 容使用权限管理技术, 提供了一整套的数字内容权限管理、 数字内容发布框架 ; DRM 技术利 用加密机制、 密钥管理机制和 DRM 客户端来实现数字权限的管理和实现数字资源的发布与 权限分离, 通过密钥管理和 DRM 客户端的监控, 将数字资源的使用权限从资源发布商扩展 到每个用户的每台设备上, 确保数字资源的使用安全。但 DRM 技术的对于多类终端设备兼 容性等不很理想。 发明内容 :
     本发明的目的在于 : 提出一种适用多类终端设备的高可信数字内容服务方法, 该 技术是基于可信计算技术, 通过采集用户终端设备的唯一参数, 生成用户终端设备标识, 与 用户身份信息结合生成可信根, 基于可信根实现应用终端组件的运行环境的安全性验证 ; 通过数字内容应用终端组件, 基于 WEB 服务器实现跨平台的数字内容使用管理与控制, 从 而保护数字内容以合法的方式被使用, 确保数字内容资源的所有者权益不受侵犯。
     本发明的具体技术方案如下
     一种适用多类终端设备的高可信数字内容服务方法, 本方法是基于 WEB 架构, 该 WEB 架构的构成包括 : 高可信数字内容应用终端组件的分发 WEB 服务器、 数字内容服务器、 数字内容票证服务器、 身份认证与验证服务器和数字内容费用结算服务器 ; 本方法的步骤 包括 :
     1) 用户访问所述分发 WEB 服务器, 从该服务器中下载其设备终端类型所对应的应 用终端组件, 进行安装 ;
     2) 应用终端组件安装时, 采集用户终端设备各项参数, 生成唯一标识码, 将唯一标 识码上传至身份认证与验证服务器, 该服务器根据唯一标识码生成可信根非对称加密密钥对, 同时将用户身份信息、 生成的用户票证加密密钥对信息, 唯一标识码进行加密生成可信 根, 将可信根及其加密公钥发送至应用终端组件 ;
     3) 应用终端组件在接收到可信根及其加密公钥之后, 开始安装虚拟机及其伴随进 程, 初始化用户票证存储空间, 在用户设备系统内核安装数字内容使用监控探针, 最终完成 应用终端组件的安装及初始化过程 ;
     4) 应用终端组件被使用时, 应用终端启动虚拟机及其伴随进程, 将可信根及其加 密公钥读入虚拟机内存空间, 利用该加密密钥解开可信根, 获取用户唯一标识码等可信根 信息, 同时采集用户终端设备参数生成标识码与可信根中存储的标识码进行比对, 验证用 户终端设备 ;
     5) 验证通过后, 数字内容应用终端将读入用户的加密票证信息, 读入可信根存储 的票证信息的, 依据其中存储的用户使用数字资源权限, 监控用户使用数字内容的行为 ; 同 时使用票证中数字内容的对称加密密钥解密数字内容, 提供用户使用 ;
     6) 当用户搜索到其需要的数字内容后, 将向数字内容费用结算服务器发出请求, 付款后获得该服务器加密的费用结算票证, 用户将此票证加上自己的身份认证信息发送给 数字内容票证服务器 ;
     7) 数字内容票证服务器在接收到用户提供的信息后, 对用户的身份及费用结算票 证验证之后, 生成数字内容使用票证, 其中包括数字内容的对称加密密钥, 数字内容使用身 份信息, 数字内容使用权限信息 ;
     8) 用户在收到票证之后, 向通过数据内容服务器向数字资源代理服务器发送请 求, 直接下载由数字内容代理加密后的数字内容资源 ;
     9) 用户在接收到数字内容资源后, 由用户设备上的应用终端软件, 执行数字内容 解密, 并根据票证中描述的用户使用数字内容权限, 监视用户使用数字内容的行为, 确保数 字内容安全, 不被违规使用。
     所述 WEB 架构中还包括安全事件日志服务器, 用于记录数据内容的使用权限授 予、 用户违规使用数字内容等安全事件, 以备日后对数字内容使用的安全审计。
     所述应用终端组件提供基于 WEB 服务的统一功能接口 ; 所述应用终端组件面向的 终端设备包括 : 桌面终端、 WEB 网页终端和移动设备终端。
     对于用户使用数字内容的行为审计, 是基于用户终端所在的操作系统内核实现 的, 通过对用户操作系统内核的调用监控, 依据票根中描述的用户使用权限控制用户使用 数字内容的行为。
     所述用户的唯一标识是本技术实现高可信的数字内容保护基础, 是针对不同的用 户终端, 利用采集的用户终端设备信息, 生成的唯一标识 ;
     对于桌面终端, 它是网卡的 MAC 地址与硬盘参数等相关设备参数 ; 对于移动设备, 它是基于 PIN 码等参数 ; 对于 WEB 网页, 它是基于网页组件实现对用户设备数据采集, 生成 用户唯一标识 ;
     所述可信根, 是提供给用户终端启动与初始化时, 对其所位于的用户终端的环境 是否安全的验证基础 ;
     它是通过用户身份认证与授权服务器, 根据用户唯一标识生成的一对非对称加密 密钥对, 该密钥对的公钥, 以及通过该密钥对的私钥加密的用户唯一标识码, 用户身份信息, 用户票证数据加密密钥的数据块所组成的。
     所述数字内容票证服务器进行数字内容权限描述, 包括数字内容的使用方式, 使 用期限与次数等 ; 同时与用户身份认证与验证服务器、 费用结算服务器的交互, 生成用户最 终获取的数字内容使用票证, 作为用户使用数字内容的依据。
     在数字内容应用终端, 对票证的安全保护方法是, 票证中记录了用户所获得的数 字内容使用权限, 数字内容的解密密钥, 是应用终端实现用户使用数字内容控制的依据 ; 通 过位于用户身份认证与验证服务器端的用户可信根对应的私钥进行加密。
     在数字内容应用终端, 对数字内容进程保护采用虚拟机, 所述虚拟机进程中包含 自有的内存分配与映射算法, 该算法借鉴现有的虚拟机内存管理机制, 在虚拟机掌握的内 存中划分出堆、 栈以及程序代码空间三个部分, 由虚拟机内存管理功能模块实现动态的内 存空间管理与分配, 从而实现进程内存空间的保护, 虚拟机进程还伴随保护进程, 监视系统 内核对该进程空间的访问行为, 从而确保的内存安全。
     本发明针对目前数字内容易于被窃取、 盗版、 非法使用等问题, 基于 WEB 服务技 术, 可信计算技术、 数字内容加 / 解密、 位于系统内核的行为监控等安全技术, 实现了一种 适用多类终端设备的高可信数字内容服务方法。本方法通过 WEB 服务架构, 向数字内容用 户提供适用各类终端的高可信数字内容应用终端组件, 利用数字加密技术实现数字内容的 分发、 使用权限的授予以及数字内容使用费用的结算, 通过数字内容应用终端组件实现了 用户使用数字内容的行为及权限审计, 达到对数字内容安全保护的目标。 本发明的有益效果如下 :
     1. 基于 WEB 服务的统一服务接口 ; 本技术中使用到的各类服务器提供的服务功能 都是基于 WEB 服务架构实现的, 通过 WEB 服务架构实现面向多类数字内容应用终端的统一 服务接口, 使得后台的数字内容服务器无需作任何变更, 即面向多类用户终端设备, 提供跨 平台的数字内容服务 ;
     2. 多类的数字内容应用终端组件 : 本技术中针对桌面终端、 移动终端与网页终端 实现不同的数字内容应用终端组件, 这些组件可以实现同一数字内容适用于不同类别的用 户终端设备, 不仅拓宽了数字内容的使用范围, 也使得数字内容的提供方无需关心数字内 容的具体使用环境 ;
     3. 虚拟机的内存映射保护机制 : 本技术中使用的虚拟机采用自定义的进程内存 映射机制, 由虚拟机将可信根读入其特定的内存空间中, 通过自定义的内存映射算法实现 对信任根以及自身核心代码的访问, 从而实现对数字内容应用终端的可信根与数字内容应 用环境可靠性验证代码的保护 ;
     4. 虚拟机的伴随进程监控 ; 在技术中虚拟机除了通过自定义的进程内存映射机 制来实现对自身核心代码与可信根的保护外, 还通过位于系统内核的虚拟机伴随进程监控 系统进程对虚拟机进程内存空间的访问与操作行为, 确保虚拟机进程的内存空间不会泄 露。
     5. 基于不对称加密与用户终端唯一标识的可信根 ; 本技术通过用户终端唯一标 识的采集与生成, 利用位于用户身份认证与授权服务器的算法对唯一标识的处理, 生成不 对称加密密钥对, 其公钥传送到用户数字内容应用终端中保存, 并利用私钥加密用户使用 的票证加密密钥、 用户终端的唯一标识、 用户身份信息, 生成可信根。
     6. 基于虚拟机内存保护与可信根的可信计算保障 : 在本技术中, 可信根由加密后 用户身份、 唯一标识、 票证加密密钥组成, 由于使用的加密私钥位于认证服务器中, 用户无 法获取, 因此用户也无法修改或自生成可信根, 因此该可信根可以作为应用终端可信计算 的依据, 而票证加密密钥也同样是公钥, 只能用于解密票证, 无法生成或修改票证, 因此保 护了票证的可信性。 再结合虚拟机的自定义内存映射算法, 实现对用户唯一标识采集生成、 验证代码的保护, 实现了虚拟机验证应用终端环境可信性的保障, 由此两方面实现了本技 术的可信计算环境保障。
     7. 数字内容代理架构 ; 数字内容代理架构屏蔽了数字内容的真实来源, 且通过数 字内容代理实现对数字内容的对称加密及加密密钥的存储与管理, 解耦了数字内容提供方 与本技术架构的耦合度, 此外代理架构也实现了用户对数字内容的搜索, 以及负载均衡等 多项功能, 进一步提高了系统的可靠性与性能。 附图说明 ;
     图 1 本发明的 WEB 架构图 ;
     图 2 本发明的数字内容应用终端组件结构图 ;
     图 3 本发明的数字内容发布与购买流程图。具体实施方式 :
     下面结合附图与具体实施方式对本发明进行说明 : 。本发明的实现包括步骤 :
     步骤 1 : 创建适应于不同终端设备的高可信数字内容应用终端组件, 主要包括三 类终端 : 桌面终端、 WEB 网页终端、 移动设备终端, 基于数字内容应用终端初始化生成的可 信根实现数字内容管理环境的安全性验证 ;
     步骤 2 : 创建高可信数字内容应用终端的分发 WEB 服务器, 通过该服务器提供的 WEB 服务, 基于网络或无线网络向用户终端提供高可信数字内容应用终端组件, 基于多类终 端的数字内容应用管理组件, 以及 WEB 服务使得本技术实现跨平台性 ;
     步骤 3 : 创建数字内容服务器 : 该服务器即可以是数字内容的存储、 维护与管理服 务器, 也可是其它数字内容来源的代理服务器, 数字内容服务器是本技术的底层数据服务 器, 提供数字内容资源 ;
     步骤 4 : 数字资源代理服务器, 该服务器基于 WEB 服务架构, 提供数字内容的搜索, 以及数字内容的实时加密, 负载均衡等任务, 向用户提交使用对称加密密钥加密后的数字 内容, 以实现数字资源不会在传递中被泄露。
     步骤 5 : 创建数字内容票证服务器, 该服务器验证用户提交的购买数字内容的费 用结算凭证, 用户申请的使用权限, 用户身份认证信息等相关信息, 向用户提供包含有数字 内容使用权限授权、 数字内容对称加密密钥的票证。
     步骤 6 : 身份认证与授权服务器 : 该服务器实现对高可信数字内容应用终端的身 份认证与授权, 用于应用终端初始化时的加密密钥注册, 应用终端的身份重建与恢复, 向票 证服务器提供用户身份认证服务等 ;
     步骤 7 : 安全事件日志服务器 : 用于记录数据内容的使用权限授予、 用户违规使用 数字内容等安全事件, 以备日后对数字内容使用的安全审计。在本方法的过程中,
     1. 首先用户要访问本技术架构中的 WEB 服务器, 通过该服务器采用无线网络或有 线网络的方式, 下载其设备终端类型所对应的应用终端组件, 进行安装 ;
     2. 应用终端组件开始安装, 采集用户终端设备各项参数, 生成唯一标识码, 将唯一 标识码上传至本技术的身份认证与验证服务器, 该服务器根据用户唯一标识码生成可信根 非对称加密密钥对, 同时将用户提供的身份信息、 生成的用户票证加密密钥对信息, 唯一标 识码进行加密生成可信根, 将可信根与可信根加密公钥发送至应用终端组件 ;
     3. 应用终端组件在接收到可信根及其加密公钥之后, 开始安装虚拟机及其伴随进 程, 初始化用户票证存储空间, 在用户设备系统内核安装数字内容使用监控探针, 最终完成 应用终端组件的安装及初始化过程 ;
     4. 当用户开始使用数字内容应用终端组件时, 应用终端将启动虚拟机及其伴随进 程, 将可信根及其加密公钥读入虚拟机内存空间, 利用加密密钥解开可信根, 获取用户唯一 标识码等可信根信息, 同时采集用户终端设备参数生成标识码与可信根中存储的标识码进 行比对, 验证用户终端设备 ;
     5. 验证通过后, 应用终端将读入用户的加密票证信息, 读入可信根存储的票证信 息的, 依据其中存储的用户使用数字资源权限, 监控用户使用数字内容的行为, 同时使用票 证中数字内容的对称加密密钥, 解密数字内容, 提供用户使用 ; 6. 当用户搜索到其需要的数字内容后, 将向数字内容费用结算服务器发出请求, 付款后获得该服务器加密的费用结算票证, 用户将此票证加上自己的身份认证信息发送给 数字内容票证服务器 ;
     7. 数字内容票证服务器在接收到用户提供的信息后, 对用户的身份及费用结算票 证验证之后, 生成数字内容使用票证, 其中包括数字内容的对称加密密钥, 数字内容使用身 份信息, 数字内容使用权限信息 ;
     8. 用户在收到票证之后, 向数字内容代理发送请求, 直接下载由数字内容代理加 密后的数字内容资源 ;
     9. 用户在接收到数字内容后, 由用户设备上的应用终端软件, 执行数字内容解密, 并根据票证中描述的用户使用数字内容权限, 监视用户使用数字内容的行为, 确保数字内 容安全, 不被违规使用。
    

适用多类终端设备的高可信数字内容服务方法.pdf_第1页
第1页 / 共10页
适用多类终端设备的高可信数字内容服务方法.pdf_第2页
第2页 / 共10页
适用多类终端设备的高可信数字内容服务方法.pdf_第3页
第3页 / 共10页
点击查看更多>>
资源描述

《适用多类终端设备的高可信数字内容服务方法.pdf》由会员分享,可在线阅读,更多相关《适用多类终端设备的高可信数字内容服务方法.pdf(10页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN101977183A43申请公布日20110216CN101977183ACN101977183A21申请号201010501135822申请日20101009H04L29/06200601H04L29/08200601H04L9/3220060171申请人南京博智软件科技有限公司地址210019江苏省南京市建邺区江东中路311号中泰国际广场五座519室72发明人傅涛陈志军张敏74专利代理机构南京天翼专利代理有限责任公司32112代理人朱戈胜54发明名称适用多类终端设备的高可信数字内容服务方法57摘要本发明提出一种适用多类终端设备的高可信数字内容服务方法,该技术是基于可信计算。

2、技术,通过采集用户终端设备的唯一参数,生成用户终端设备标识,与用户身份信息结合生成可信根,基于可信根实现应用终端组件的运行环境的安全性验证;通过数字内容应用终端组件,基于WEB服务器实现跨平台的数字内容使用管理与控制,从而保护数字内容以合法的方式被使用,确保数字内容资源的所有者权益不受侵犯。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书5页附图2页CN101977188A1/2页21一种适用多类终端设备的高可信数字内容服务方法,其特征是本方法是基于WEB架构,该WEB架构的构成包括高可信数字内容应用终端组件的分发WEB服务器、数字内容服务器、数字内容票证服务。

3、器、身份认证与验证服务器和数字内容费用结算服务器;本方法的步骤包括1用户访问所述分发WEB服务器,从该服务器中下载其设备终端类型所对应的应用终端组件,进行安装;2应用终端组件安装时,采集用户终端设备各项参数,生成唯一标识码,将唯一标识码上传至身份认证与验证服务器,该服务器根据唯一标识码生成可信根非对称加密密钥对,同时将用户身份信息、生成的用户票证加密密钥对信息,唯一标识码进行加密生成可信根,将可信根及其加密公钥发送至应用终端组件;3应用终端组件在接收到可信根及其加密公钥之后,开始安装虚拟机及其伴随进程,初始化用户票证存储空间,在用户设备系统内核安装数字内容使用监控探针,最终完成应用终端组件的安。

4、装及初始化过程;4应用终端组件被使用时,应用终端启动虚拟机及其伴随进程,将可信根及其加密公钥读入虚拟机内存空间,利用该加密密钥解开可信根,获取用户唯一标识码等可信根信息,同时采集用户终端设备参数生成标识码与可信根中存储的标识码进行比对,验证用户终端设备;5验证通过后,数字内容应用终端将读入用户的加密票证信息,读入可信根存储的票证信息的,依据其中存储的用户使用数字资源权限,监控用户使用数字内容的行为;同时使用票证中数字内容的对称加密密钥解密数字内容,提供用户使用;6当用户搜索到其需要的数字内容后,将向数字内容费用结算服务器发出请求,付款后获得该服务器加密的费用结算票证,用户将此票证加上自己的身份。

5、认证信息发送给数字内容票证服务器;7数字内容票证服务器在接收到用户提供的信息后,对用户的身份及费用结算票证验证之后,生成数字内容使用票证,其中包括数字内容的对称加密密钥,数字内容使用身份信息,数字内容使用权限信息;8用户在收到票证之后,向通过数据内容服务器向数字资源代理服务器发送请求,直接下载由数字内容代理加密后的数字内容资源;9用户在接收到数字内容资源后,由用户设备上的应用终端软件,执行数字内容解密,并根据票证中描述的用户使用数字内容权限,监视用户使用数字内容的行为,确保数字内容安全,不被违规使用。2根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是所述WEB架构中还包括。

6、安全事件日志服务器,用于记录数据内容的使用权限授予、用户违规使用数字内容等安全事件,以备日后对数字内容使用的安全审计。3根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是所述应用终端组件提供基于WEB服务的统一功能接口;所述应用终端组件面向的终端设备包括桌面终端、WEB网页终端和移动设备终端。4根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是对于用户使用数字内容的行为审计,是基于用户终端所在的操作系统内核实现的,通过对用权利要求书CN101977183ACN101977188A2/2页3户操作系统内核的调用监控,依据票根中描述的用户使用权限控制用户使用。

7、数字内容的行为。5根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是所述用户的唯一标识是本技术实现高可信的数字内容保护基础,是针对不同的用户终端,利用采集的用户终端设备信息,生成的唯一标识;对于桌面终端,它是网卡的MAC地址与硬盘参数等相关设备参数;对于移动设备,它是基于PIN码等参数;对于WEB网页,它是基于网页组件实现对用户设备数据采集,生成用户唯一标识。6根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是所述可信根,是提供给用户终端启动与初始化时,对其所位于的用户终端的环境是否安全的验证基础;它是通过用户身份认证与授权服务器,根据用户唯一标识生成的。

8、一对非对称加密密钥对,该密钥对的公钥,以及通过该密钥对的私钥加密的用户唯一标识码,用户身份信息,用户票证数据加密密钥的数据块所组成的。7根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是所述数字内容票证服务器进行数字内容权限描述,包括数字内容的使用方式,使用期限与次数等;同时与用户身份认证与验证服务器、费用结算服务器的交互,生成用户最终获取的数字内容使用票证,作为用户使用数字内容的依据。8根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是在数字内容应用终端,对票证的安全保护方法是,票证中记录了用户所获得的数字内容使用权限,数字内容的解密密钥,是应用终端实。

9、现用户使用数字内容控制的依据;通过位于用户身份认证与验证服务器端的用户可信根对应的私钥进行加密。9根据权利要求1所述的适用多类终端设备的高可信数字内容服务方法,其特征是在数字内容应用终端,对数字内容进程保护采用虚拟机,所述虚拟机进程中包含自有的内存分配与映射算法,该算法是在虚拟机掌握的内存中划分出堆、栈以及程序代码空间三个部分,由虚拟机内存管理功能模块实现动态的内存空间管理与分配,从而实现进程内存空间的保护,虚拟机进程还伴随保护进程,监视系统内核对该进程空间的访问行为,从而确保的内存安全。权利要求书CN101977183ACN101977188A1/5页4适用多类终端设备的高可信数字内容服务方。

10、法技术领域0001本发明涉及到一种适用多类终端设备的高可信数字内容服务技术,该技术是以可信计算技术为核心,通过WEB服务器提供的各类数字内容应用终端组件,实现面向多类终端设备的统一数字内容使用管理与控制,从而保护数字内容以合法的方式被使用,本技术所涉及的技术领域主要包括基于WEB服务的统一功能接口,可信计算技术,数字认证,数据对称与非对称加解密技术,进程的安全保护,服务器代理与负载均衡技术,基于操作系统内核的进程行为的审计与控制。背景技术0002数字内容的安全保护一直为信息产业所关注的重要问题,采用技术手段实现数字内容版权控制与管理也是信息安全研究领域的研究热点。目前数字内容的安全管理主要的技。

11、术有数字内容加/解密、数字水印和数字权限管理技术DRM等。其中,最为基础的是数字内容的加/解密技术,最为简单,但其对于用户使用数字内容的行为控制也最为薄弱;而数字水印技术可以实现对数字内容进行验证,但其只能作为数字内容使用过程监控的依据,不具备直接的数字内容保护能力;DRM技术是多家信息产业巨头联合提出一种数字内容使用权限管理技术,提供了一整套的数字内容权限管理、数字内容发布框架;DRM技术利用加密机制、密钥管理机制和DRM客户端来实现数字权限的管理和实现数字资源的发布与权限分离,通过密钥管理和DRM客户端的监控,将数字资源的使用权限从资源发布商扩展到每个用户的每台设备上,确保数字资源的使用安。

12、全。但DRM技术的对于多类终端设备兼容性等不很理想。发明内容0003本发明的目的在于提出一种适用多类终端设备的高可信数字内容服务方法,该技术是基于可信计算技术,通过采集用户终端设备的唯一参数,生成用户终端设备标识,与用户身份信息结合生成可信根,基于可信根实现应用终端组件的运行环境的安全性验证;通过数字内容应用终端组件,基于WEB服务器实现跨平台的数字内容使用管理与控制,从而保护数字内容以合法的方式被使用,确保数字内容资源的所有者权益不受侵犯。0004本发明的具体技术方案如下0005一种适用多类终端设备的高可信数字内容服务方法,本方法是基于WEB架构,该WEB架构的构成包括高可信数字内容应用终端。

13、组件的分发WEB服务器、数字内容服务器、数字内容票证服务器、身份认证与验证服务器和数字内容费用结算服务器;本方法的步骤包括00061用户访问所述分发WEB服务器,从该服务器中下载其设备终端类型所对应的应用终端组件,进行安装;00072应用终端组件安装时,采集用户终端设备各项参数,生成唯一标识码,将唯一标识码上传至身份认证与验证服务器,该服务器根据唯一标识码生成可信根非对称加密密钥说明书CN101977183ACN101977188A2/5页5对,同时将用户身份信息、生成的用户票证加密密钥对信息,唯一标识码进行加密生成可信根,将可信根及其加密公钥发送至应用终端组件;00083应用终端组件在接收到。

14、可信根及其加密公钥之后,开始安装虚拟机及其伴随进程,初始化用户票证存储空间,在用户设备系统内核安装数字内容使用监控探针,最终完成应用终端组件的安装及初始化过程;00094应用终端组件被使用时,应用终端启动虚拟机及其伴随进程,将可信根及其加密公钥读入虚拟机内存空间,利用该加密密钥解开可信根,获取用户唯一标识码等可信根信息,同时采集用户终端设备参数生成标识码与可信根中存储的标识码进行比对,验证用户终端设备;00105验证通过后,数字内容应用终端将读入用户的加密票证信息,读入可信根存储的票证信息的,依据其中存储的用户使用数字资源权限,监控用户使用数字内容的行为;同时使用票证中数字内容的对称加密密钥解。

15、密数字内容,提供用户使用;00116当用户搜索到其需要的数字内容后,将向数字内容费用结算服务器发出请求,付款后获得该服务器加密的费用结算票证,用户将此票证加上自己的身份认证信息发送给数字内容票证服务器;00127数字内容票证服务器在接收到用户提供的信息后,对用户的身份及费用结算票证验证之后,生成数字内容使用票证,其中包括数字内容的对称加密密钥,数字内容使用身份信息,数字内容使用权限信息;00138用户在收到票证之后,向通过数据内容服务器向数字资源代理服务器发送请求,直接下载由数字内容代理加密后的数字内容资源;00149用户在接收到数字内容资源后,由用户设备上的应用终端软件,执行数字内容解密,并。

16、根据票证中描述的用户使用数字内容权限,监视用户使用数字内容的行为,确保数字内容安全,不被违规使用。0015所述WEB架构中还包括安全事件日志服务器,用于记录数据内容的使用权限授予、用户违规使用数字内容等安全事件,以备日后对数字内容使用的安全审计。0016所述应用终端组件提供基于WEB服务的统一功能接口;所述应用终端组件面向的终端设备包括桌面终端、WEB网页终端和移动设备终端。0017对于用户使用数字内容的行为审计,是基于用户终端所在的操作系统内核实现的,通过对用户操作系统内核的调用监控,依据票根中描述的用户使用权限控制用户使用数字内容的行为。0018所述用户的唯一标识是本技术实现高可信的数字内。

17、容保护基础,是针对不同的用户终端,利用采集的用户终端设备信息,生成的唯一标识;0019对于桌面终端,它是网卡的MAC地址与硬盘参数等相关设备参数;对于移动设备,它是基于PIN码等参数;对于WEB网页,它是基于网页组件实现对用户设备数据采集,生成用户唯一标识;0020所述可信根,是提供给用户终端启动与初始化时,对其所位于的用户终端的环境是否安全的验证基础;0021它是通过用户身份认证与授权服务器,根据用户唯一标识生成的一对非对称加密密钥对,该密钥对的公钥,以及通过该密钥对的私钥加密的用户唯一标识码,用户身份信说明书CN101977183ACN101977188A3/5页6息,用户票证数据加密密钥。

18、的数据块所组成的。0022所述数字内容票证服务器进行数字内容权限描述,包括数字内容的使用方式,使用期限与次数等;同时与用户身份认证与验证服务器、费用结算服务器的交互,生成用户最终获取的数字内容使用票证,作为用户使用数字内容的依据。0023在数字内容应用终端,对票证的安全保护方法是,票证中记录了用户所获得的数字内容使用权限,数字内容的解密密钥,是应用终端实现用户使用数字内容控制的依据;通过位于用户身份认证与验证服务器端的用户可信根对应的私钥进行加密。0024在数字内容应用终端,对数字内容进程保护采用虚拟机,所述虚拟机进程中包含自有的内存分配与映射算法,该算法借鉴现有的虚拟机内存管理机制,在虚拟机。

19、掌握的内存中划分出堆、栈以及程序代码空间三个部分,由虚拟机内存管理功能模块实现动态的内存空间管理与分配,从而实现进程内存空间的保护,虚拟机进程还伴随保护进程,监视系统内核对该进程空间的访问行为,从而确保的内存安全。0025本发明针对目前数字内容易于被窃取、盗版、非法使用等问题,基于WEB服务技术,可信计算技术、数字内容加/解密、位于系统内核的行为监控等安全技术,实现了一种适用多类终端设备的高可信数字内容服务方法。本方法通过WEB服务架构,向数字内容用户提供适用各类终端的高可信数字内容应用终端组件,利用数字加密技术实现数字内容的分发、使用权限的授予以及数字内容使用费用的结算,通过数字内容应用终端。

20、组件实现了用户使用数字内容的行为及权限审计,达到对数字内容安全保护的目标。0026本发明的有益效果如下00271基于WEB服务的统一服务接口;本技术中使用到的各类服务器提供的服务功能都是基于WEB服务架构实现的,通过WEB服务架构实现面向多类数字内容应用终端的统一服务接口,使得后台的数字内容服务器无需作任何变更,即面向多类用户终端设备,提供跨平台的数字内容服务;00282多类的数字内容应用终端组件本技术中针对桌面终端、移动终端与网页终端实现不同的数字内容应用终端组件,这些组件可以实现同一数字内容适用于不同类别的用户终端设备,不仅拓宽了数字内容的使用范围,也使得数字内容的提供方无需关心数字内容的。

21、具体使用环境;00293虚拟机的内存映射保护机制本技术中使用的虚拟机采用自定义的进程内存映射机制,由虚拟机将可信根读入其特定的内存空间中,通过自定义的内存映射算法实现对信任根以及自身核心代码的访问,从而实现对数字内容应用终端的可信根与数字内容应用环境可靠性验证代码的保护;00304虚拟机的伴随进程监控;在技术中虚拟机除了通过自定义的进程内存映射机制来实现对自身核心代码与可信根的保护外,还通过位于系统内核的虚拟机伴随进程监控系统进程对虚拟机进程内存空间的访问与操作行为,确保虚拟机进程的内存空间不会泄露。00315基于不对称加密与用户终端唯一标识的可信根;本技术通过用户终端唯一标识的采集与生成,利。

22、用位于用户身份认证与授权服务器的算法对唯一标识的处理,生成不对称加密密钥对,其公钥传送到用户数字内容应用终端中保存,并利用私钥加密用户使用的票证加密密钥、用户终端的唯一标识、用户身份信息,生成可信根。说明书CN101977183ACN101977188A4/5页700326基于虚拟机内存保护与可信根的可信计算保障在本技术中,可信根由加密后用户身份、唯一标识、票证加密密钥组成,由于使用的加密私钥位于认证服务器中,用户无法获取,因此用户也无法修改或自生成可信根,因此该可信根可以作为应用终端可信计算的依据,而票证加密密钥也同样是公钥,只能用于解密票证,无法生成或修改票证,因此保护了票证的可信性。再结。

23、合虚拟机的自定义内存映射算法,实现对用户唯一标识采集生成、验证代码的保护,实现了虚拟机验证应用终端环境可信性的保障,由此两方面实现了本技术的可信计算环境保障。00337数字内容代理架构;数字内容代理架构屏蔽了数字内容的真实来源,且通过数字内容代理实现对数字内容的对称加密及加密密钥的存储与管理,解耦了数字内容提供方与本技术架构的耦合度,此外代理架构也实现了用户对数字内容的搜索,以及负载均衡等多项功能,进一步提高了系统的可靠性与性能。附图说明;0034图1本发明的WEB架构图;0035图2本发明的数字内容应用终端组件结构图;0036图3本发明的数字内容发布与购买流程图。具体实施方式0037下面结合。

24、附图与具体实施方式对本发明进行说明。本发明的实现包括步骤0038步骤1创建适应于不同终端设备的高可信数字内容应用终端组件,主要包括三类终端桌面终端、WEB网页终端、移动设备终端,基于数字内容应用终端初始化生成的可信根实现数字内容管理环境的安全性验证;0039步骤2创建高可信数字内容应用终端的分发WEB服务器,通过该服务器提供的WEB服务,基于网络或无线网络向用户终端提供高可信数字内容应用终端组件,基于多类终端的数字内容应用管理组件,以及WEB服务使得本技术实现跨平台性;0040步骤3创建数字内容服务器该服务器即可以是数字内容的存储、维护与管理服务器,也可是其它数字内容来源的代理服务器,数字内容。

25、服务器是本技术的底层数据服务器,提供数字内容资源;0041步骤4数字资源代理服务器,该服务器基于WEB服务架构,提供数字内容的搜索,以及数字内容的实时加密,负载均衡等任务,向用户提交使用对称加密密钥加密后的数字内容,以实现数字资源不会在传递中被泄露。0042步骤5创建数字内容票证服务器,该服务器验证用户提交的购买数字内容的费用结算凭证,用户申请的使用权限,用户身份认证信息等相关信息,向用户提供包含有数字内容使用权限授权、数字内容对称加密密钥的票证。0043步骤6身份认证与授权服务器该服务器实现对高可信数字内容应用终端的身份认证与授权,用于应用终端初始化时的加密密钥注册,应用终端的身份重建与恢复。

26、,向票证服务器提供用户身份认证服务等;0044步骤7安全事件日志服务器用于记录数据内容的使用权限授予、用户违规使用数字内容等安全事件,以备日后对数字内容使用的安全审计。说明书CN101977183ACN101977188A5/5页80045在本方法的过程中,00461首先用户要访问本技术架构中的WEB服务器,通过该服务器采用无线网络或有线网络的方式,下载其设备终端类型所对应的应用终端组件,进行安装;00472应用终端组件开始安装,采集用户终端设备各项参数,生成唯一标识码,将唯一标识码上传至本技术的身份认证与验证服务器,该服务器根据用户唯一标识码生成可信根非对称加密密钥对,同时将用户提供的身份信。

27、息、生成的用户票证加密密钥对信息,唯一标识码进行加密生成可信根,将可信根与可信根加密公钥发送至应用终端组件;00483应用终端组件在接收到可信根及其加密公钥之后,开始安装虚拟机及其伴随进程,初始化用户票证存储空间,在用户设备系统内核安装数字内容使用监控探针,最终完成应用终端组件的安装及初始化过程;00494当用户开始使用数字内容应用终端组件时,应用终端将启动虚拟机及其伴随进程,将可信根及其加密公钥读入虚拟机内存空间,利用加密密钥解开可信根,获取用户唯一标识码等可信根信息,同时采集用户终端设备参数生成标识码与可信根中存储的标识码进行比对,验证用户终端设备;00505验证通过后,应用终端将读入用户。

28、的加密票证信息,读入可信根存储的票证信息的,依据其中存储的用户使用数字资源权限,监控用户使用数字内容的行为,同时使用票证中数字内容的对称加密密钥,解密数字内容,提供用户使用;00516当用户搜索到其需要的数字内容后,将向数字内容费用结算服务器发出请求,付款后获得该服务器加密的费用结算票证,用户将此票证加上自己的身份认证信息发送给数字内容票证服务器;00527数字内容票证服务器在接收到用户提供的信息后,对用户的身份及费用结算票证验证之后,生成数字内容使用票证,其中包括数字内容的对称加密密钥,数字内容使用身份信息,数字内容使用权限信息;00538用户在收到票证之后,向数字内容代理发送请求,直接下载由数字内容代理加密后的数字内容资源;00549用户在接收到数字内容后,由用户设备上的应用终端软件,执行数字内容解密,并根据票证中描述的用户使用数字内容权限,监视用户使用数字内容的行为,确保数字内容安全,不被违规使用。说明书CN101977183ACN101977188A1/2页9图1图2说明书附图CN101977183ACN101977188A2/2页10图3说明书附图CN101977183A。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1