随着移动数字增值业务的发展，通过网络下载、传输自己喜爱的图片、音乐和视频已经逐渐成为人们日常生活的一部分。由于数字信息的固有特性，如何对数字版权提供有效的保护，防止数字内容被随意传播成为一个必须关注的问题。数字版版管理(Digital Rights Management，简称：DRM)是一种对数字内容的使用和传播进行控制的版权保护机制，内容提供商(ContentProvider，简称：CP)可以通过DRM控制用户在移动终端、个人数码助理(Personal Digital Assistant，简称：PDA)等设备上使用数字内容的权限。
最初的开放移动联盟(Open Mobile Alliance，简称：OMA)由无线应用协议(Wireless Application Protocol，简称：WAP)论坛和开放式移动体系结构两个标准化组织通过合并成立，发展至今，OMA已经发展的成员公司超过了350家，包括了世界上主要的移动运营商、设备和网络供应商、信息技术公司、应用发展商和内容提供商。整个价值链上的成员共同协作，以确保为全世界的终端用户提供无缝的移动业务。OMA从2001年开始研究与开发DRM规范，多媒体数字服务通过采用OMA DRM的规范来开发相应的DRM集成芯片，提供对受保护的数字内容进行加密与解析服务。基于公钥密码体制的加密与解析服务(例如：RSA(Rivest、Shamirh、Adleman)需要设置证书授权中心(Certificate Authority，简称：CA)，CA作为管理和签发安全凭证和加密信息安全密钥的网络机构，CA验证申请者所提供的数字证书后向申请者签发证书，数字证书作为网上身份证明的依据，数字证书的内容包括申请者的个人信息、公钥和认证有效期限。
现有技术中的公钥密码体制需要借助于CA中心颁发的公钥证书才能实现，适用于用户群较少的简单系统。随着信息化的不断发展，用户群的规模不断扩大，CA中心对公钥证书的管理、获取变得日益复杂，基于公钥证书的传统公钥密码体制已难以满足信息化社会的发展对公钥密码体制的需求。

本发明实施例的目的在于提供一种数字版权管理方法及系统，无须通过公钥证书捆绑用户的公钥和用户的身份信息，简化公钥的管理。
本发明实施例提供一种数字版权管理方法，包括：
私钥生成服务器为数字版权管理DRM代理服务器分发所述DRM代理服务器的私钥；
内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包，将加密打包后的数字内容发送给所述DRM代理服务器，将所述加密密钥发送给所述授权发布服务器；
所述授权发布服务器根据所述DRM代理服务器的公钥将所述加密密钥进行加密封装，并将所述加密封装后的加密密钥发送给所述DRM代理服务器；
所述DRM代理服务器根据所述DRM代理服务器的私钥提取所述加密封装后的加密密钥，并根据所述加密密钥以预设权限使用解密后的数字内容。
本发明实施例提供一种数字版权管理系统，包括：私钥生成服务器、内容发布服务器、授权发布服务器、数字版权管理DRM代理服务器；
所述私钥生成服务器在所述DRM代理服务器初次加入DRM系统时为所述DRM代理服务器分发所述DRM代理服务器的私钥；
所述内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包，将加密打包后的数字内容发送给所述DRM代理服务器，将所述加密密钥发送给所述授权发布服务器；
所述授权发布服务器根据所述DRM代理服务器的公钥将所述加密密钥进行加密封装，并将所述加密封装后的加密密钥发送给所述DRM代理服务器；
所述DRM代理服务器根据所述DRM代理服务器的私钥提取所述加密封装后的加密密钥，并根据所述加密密钥以预设权限使用解密后的数字内容。
本发明实施例提供的数字版权管理方法及系统，通过私钥生成服务器生成内容发布服务器的私钥，并在内容发布服务器初次加入该DRM系统时为内容发布服务器分发私钥，内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包后，将加密密钥发送给授权发布服务器，授权发布服务器根据DRM代理服务器的公钥将该加密密钥进行加密封装后发送给DRM代理服务器，使得DRM代理服务器根据DRM代理服务器的私钥提取加密封装后的加密密钥，从而根据该加密密钥以预设权限使用解密后的数字内容，由于不再需要通过公钥证书捆绑用户的公钥和用户的身份信息，简化了DRM系统对公钥的管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为本发明数字版权管理方法一个实施例的流程示意图；
图2为本发明数字版权管理方法又一个实施例的流程示意图；
图3为本发明数字版权管理系统一个实施例的结构示意图；
图4为本发明数字版权管理系统又一个实施例的结构示意图；
图5为本发明实施例所适用版权管理系统体系结构的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
图1为本发明数字版权管理方法一个实施例的流程示意图，如图1所示，本发明实施例包括如下步骤：
步骤101、私钥生成服务器在DRM代理服务器初次加入DRM系统时为DRM代理服务器分发DRM代理服务器的私钥；
步骤102、内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包，并将加密打包后的数字内容发送给DRM代理服务器，将加密密钥发送给授权发布服务器；
步骤103、授权发布服务器根据DRM代理服务器的公钥将加密密钥进行加密封装，并将加密封装后的加密密钥发送给DRM代理服务器；
步骤104、DRM代理服务器根据DRM代理服务器的私钥提取加密封装后的加密密钥，并根据加密密钥以预设权限使用解密后的数字内容。
本发明实施例提供的数字版权管理方法，通过私钥生成服务器生成内容发布服务器的私钥，并在内容发布服务器初次加入该DRM系统时为内容发布服务器分发私钥，内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包后，将加密密钥发送给授权发布服务器，授权发布服务器根据DRM代理服务器的公钥将该加密密钥进行加密封装后发送给DRM代理服务器，使得DRM代理服务器根据DRM代理服务器的私钥提取加密封装后的加密密钥，从而根据该加密密钥以预设权限使用解密后的数字内容，由于不再需要通过公钥证书捆绑用户的公钥和用户的身份信息，简化了DRM系统对公钥的管理。
图2为本发明数字版权管理方法又一个实施例的流程示意图，如图2所示，本发明实施例包括如下步骤：
步骤201、私钥生成服务器根据系统参数得到系统私钥与系统的公开密钥；
其中，该系统参数包括：椭圆曲线E：y2＝x3+ax+b、第一有限群G1和第二有限群G2、Tate配对函数t、第一哈希函数H1和第二哈希函数H2；可以由DRM系统的安全强度确定选取合适的系统参数，在安全强度达到160比特(bits)时，可以采用现有的各种椭圆曲线生成该系统参数，例如：生成椭圆曲线E，在椭圆曲线E上选取两个不同的子群分别作为第一有限群G1和第二有限群G2，并在第一有限群G1和第二有限群G2上定义一种数据变换作为Tate配对函数t，同时根据第一有限群G1和第二有限群G2定义第一哈希函数和第二哈希函数其中，Zq*表示集合{1，2，...，q-1}，q表示从椭圆曲线E上的点的个数；私钥生成服务器从第一有限群G1中随机地选取一个非零元的元素作为公开密钥(P，QTA)中的P，从Zq*选取一个随机数作为系统私钥s，私钥生成服务器计算P与系统私钥s做点乘运算获得公钥密钥(P，QTA)中的QTA。
步骤202、私钥生成服务器在DRM代理服务器和授权发布服务器初次加入DRM系统时为DRM代理服务器和授权发布服务器分发各自的私钥；
具体地，DRM代理服务器与授权发布服务器在初次加入DRM系统时将各自的防伪公钥发送给私钥生成服务器；私钥生成服务器根据DRM代理服务器的防伪公钥生成DRM代理服务器的私钥，根据授权发布服务器的防伪公钥生成授权发布服务器的私钥，并将DRM代理服务器的私钥发送给DRM代理服务器，将授权发布服务器的私钥发送给授权发布服务器。
步骤203、内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包，并将加密打包后的数字内容发送给DRM代理服务器，将加密密钥发送给授权发布服务器；
具体地，内容发布服务器本地随机生成容加密密钥CEK；内容发布服务器使用加密密钥CEK将原始数字内容通过对称密码方法进行加密打包后发布给DRM代理服务器，并将加密密钥CEK提供给授权发布服务器；例如：DRM代理服务器和授权发布服务器首次进入数字内容管理系统时，DRM代理服务器随机选取作为DRM代理服务器的防伪造私钥，授权发布服务器随机选取作为授权发布服务器的防伪造私钥，DRM代理服务器QfDA＝SfDAP作为DRM代理服务器的防伪公钥，授权发布服务器计算QfRI＝SfRIP作为授权发布服务器的防伪公钥，DRM代理服务器将DRM代理服务器的防伪公钥QfDA发送给私钥生成服务器，授权发布服务器将授权发布服务器的防伪公钥QfRI发送给私钥生成服务器。
步骤204、授权发布服务器根据DRM代理服务器的公钥将加密密钥进行加密封装，并将加密封装后的加密密钥发送给DRM代理服务器；
具体地，授权发布服务器根据原始数字内容的预设权限生成包括有加密密钥的版权对象，该版权对象供用户订购；授权发布服务器根据DRM代理服务器的公钥对版权对象(Right Object，简称：RO)中的加密密钥进行加密封装；授权发布服务器根据用户定购该原始数据内容的权限要求生成版权对象(RO)，并用DRM代理服务器的公钥QDA对RO中的加密密钥CEK进行加密封装；DRM代理服务器通过版权对象获得协议(Rights ObjectAequisition Protocol，简称：ROAP)登记注册到授权发布服务器，并向授权发布服务器请求获取版权对象。
步骤205、DRM代理服务器通过版权对象获得协议在授权发布服务器进行注册登记后，向授权发布服务器发送用于获取所述版权对象的请求；
具体地，DRM代理服务器从内容发布服务器下载获取加密封装后的数字内容，由于解密该数字内容所需的加密密钥CEK包含在该用户定购的版权对象(RO)中，授权发布服务器根据DRM代理服务器的身份信息和DRM代理服务器的防伪公钥QfDA在本地直接计算得到DRM代理服务器的公钥QDA；
步骤206、授权发布服务器对用于获取版权对象的请求进行数字签名；
具体地，授权发布服务器通过如下过程实现数字签名：授权发布服务器随机选取一个整数根据授权发布服务器的公钥QRI与公开密钥中的QTA计算二者的tate配对函数f＝t(QRI，QTA)r，进一步根据配对函数f以及版权对象得到签名对σ＝(u，v)中的v＝H2(RO，f)，进一步根据签名对σ＝(u，v)中v的得到签名对σ＝(u，v)中的u＝rSRI-vSfRIQRI，从而得到签名对σ＝(u，v)，其中，SRI为授权发布服务器的私钥，SfRI为授权发布服务器的防伪造私钥，QRI为授权发布服务器的公钥；授权发布服务器向DRM代理服务器发送版权对象、授权发布服务器的防伪公钥QfRI及签名对σ＝(u，v)。
步骤207、在数字签名通过后，授权发布服务器向DRM代理服务器发送版权对象、授权发布服务器的防伪公钥、签名对；
步骤208、DRM代理服务器根据授权发布服务器的身份信息和授权发布服务器的防伪公钥在本地计算得到授权发布服务器的公钥；
上述步骤207和步骤208中，DRM代理服务器接收到来自授权发布服务器的版权对象、授权发布服务器的防伪公钥QfRI及签名对σ＝(u，v)，DRM代理服务器根据授权发布服务器的身份信息和授权发布服务器的防伪公钥QfRI在本地直接计算得到授权发布服务器的公钥QRI。
步骤209、DRM代理服务器根据DRM代理服务器的私钥提取加密封装后的加密密钥，并根据加密密钥以预设权限使用解密后的数字内容；
DRM代理服务器采用DRM代理服务器的私钥SDA解密提取内容密钥CEK以及使用该内容的预设权限；DRM代理服务器采用版权对象RO中的内容密钥对数字内容进行解密，并按相应的预设权限使用解密后的数字内容。
本发明实施例提供的数字版权管理方法，通过私钥生成服务器生成内容发布服务器的私钥，并在内容发布服务器初次加入该DRM系统时为内容发布服务器分发私钥，内容发布服务器根据本地生成的加密密钥对原始数字内容进行加密打包后，将加密密钥发送给授权发布服务器，授权发布服务器根据DRM代理服务器的公钥将该加密密钥进行加密封装后发送给DRM代理服务器，使得DRM代理服务器根据DRM代理服务器的私钥提取加密封装后的加密密钥，从而根据该加密密钥以预设权限使用解密后的数字内容，由于不再需要通过公钥证书捆绑用户的公钥和用户的身份信息，简化了DRM系统对公钥的管理。
进一步地，在上述图2所示实施例的基础上，若授权发布服务器获知私钥生成服务器伪造授权发布服务器的身份信息进行签名，则授权发布服务器根据私钥生成服务器伪造的签名与授权发布服务器的防伪公钥获取仲裁结果；具体地，当身份为ID的版权对象发现有虚假签名者伪造其签名时，身份为ID的版权对象可以向可信任的仲裁设备(Judgment)提供有效的证据并指出伪造的私钥生成服务器。
仲裁流程如下：授权发布服务器发送将授权发布服务器的防伪公钥QfRI给仲裁设备；授权发布服务器利用知识证明使仲裁设备(Judgment)确信授权发布服务器拥有授权发布服务器的私钥SRI＝sH1(ID，QfRI)；仲裁设备选取随机数计算随机数α与公开密钥(P，QTA)中的P的乘积αP，并将乘积αP并发送给授权发布服务器；授权发布服务器计算t(SID，αP)发送给仲裁设备；仲裁设备计算t(SID，αP)和t(QID，QTA)α，若t(SID，αP)＝t(QID，QTA)α成立，仲裁设备认定私钥生成服务器伪造了签名，若t(SID，αP)＝t(QID，QTA)α不成立，仲裁设备认定私钥生成服务器没有伪造签名。通过上述过程可知，仲裁设备可有效防范基于身份密码体制中存在的私钥生成服务器欺诈问题。
图3为本发明数字版权管理系统一个实施例的结构示意图，如图3所示，本实施例包括：私钥生成服务器31、内容发布服务器32、授权发布服务器33、DRM代理服务器34；
其中，私钥生成服务器31在DRM代理服务器34初次加入DRM系统时为DRM代理服务器34分发DRM代理服务器34的私钥；内容发布服务器32根据本地生成的加密密钥对原始数字内容进行加密打包，将加密打包后的数字内容发送给DRM代理服务器34，将加密密钥发送给授权发布服务器33；授权发布服务器33根据DRM代理服务器34的公钥将加密密钥进行加密封装，并将所述加密封装后的加密密钥发送给DRM代理服务器34；DRM代理服务器34根据DRM代理服务器的私钥提取所述加密封装后的加密密钥，并根据所述加密密钥以预设权限使用解密后的数字内容。
本发明实施例提供的数字版权管理系统，通过私钥生成服务器31生成内容发布服务器的私钥，并在内容发布服务器32初次加入该DRM系统时为内容发布服务器32分发私钥，内容发布服务器32根据本地生成的加密密钥对原始数字内容进行加密打包后，将加密密钥发送给授权发布服务器33，授权发布服务器33根据DRM代理服务器34的公钥将该加密密钥进行加密封装后发送给DRM代理服务器34，使得DRM代理服务器34根据DRM代理服务器的私钥提取加密封装后的加密密钥，从而根据该加密密钥以预设权限使用解密后的数字内容，由于不再需要通过公钥证书捆绑用户的公钥和用户的身份信息，简化了DRM系统对公钥的管理。
图4为本发明数字版权管理系统又一个实施例的结构示意，如图4所示，本实施例包括：私钥生成服务器41、内容发布服务器42、授权发布服务器43、DRM代理服务器44、仲裁设备45；
私钥生成服务器41在DRM代理服务器44初次加入DRM系统时为DRM代理服务器44分发DRM代理服务器的私钥；内容发布服务器42根据本地生成的加密密钥对原始数字内容进行加密打包，将加密打包后的数字内容发送给DRM代理服务器44，将加密密钥发送给授权发布服务器43；授权发布服务器43根据DRM代理服务器44的公钥将加密密钥进行加密封装，并将所述加密封装后的加密密钥发送给DRM代理服务器44；DRM代理服务器44根据DRM代理服务器的私钥提取所述加密封装后的加密密钥，并根据所述加密密钥以预设权限使用解密后的数字内容；
私钥生成服务器41在授权发布服务器43初次加入DRM系统时为授权发布服务器43分发授权发布服务器的私钥；授权发布服务器43根据DRM代理服务器44的身份信息在本地计算得到DRM代理服务器44的公钥；授权发布服务器43根据所述原始数字内容的预设权限生成版权对象，所述版权对象中包括加密密钥；内容发布服务器42根据DRM代理服务器44的公钥对所述版权对象中的加密密钥进行加密封装；DRM代理服务器44通过版权对象获得协议向授权发布服务器43进行注册登记后，向授权发布服务器43发送用于获取版权对象的请求；授权发布服务器43对所述用于获取所述版权对象的请求进行数字签名；在所述数字签名通过后，授权发布服务器43向DRM代理服务器44发送所述版权对象、所述授权发布服务器的防伪公钥、签名对；DRM代理服务器44根据授权发布服务器43的身份信息和授权发布服务器43的防伪公钥在本地计算得到授权发布服务器43的公钥；若授权发布服务器43获知伪造授权发布服务器43的身份信息进行签名，则授权发布服务器43根据伪造的签名与授权发布服务器43的防伪公钥获取仲裁结果。
当身份为ID的版权对象发现有虚假签名者伪造其签名时，身份为ID的版权对象可以向可信任的仲裁设备45(Judgment)提供有效的证据并指出伪造的私钥生成服务器。
仲裁流程如下：授权发布服务器43将授权发布服务器43的防伪公钥QfRI发送给仲裁设备45；授权发布服务器43利用知识证明使仲裁设备45(Judgment)确信授权发布服务器43拥有授权发布服务器43的私钥SRI＝sH1(ID，QfRI)，其中，s为系统私钥；仲裁设备选取随机数Zq*表示集合{1，2，...，q-1}，q表示从椭圆曲线E上的点的个数，计算随机数α与公开密钥(P，QTA)中的P的乘积αP，并将乘积αP并发送给授权发布服务器；授权发布服务器43计算t(SID，αP)发送给仲裁设备45；仲裁设备45计算t(SID，αP)和t(QID，QTA)α，若t(SID，αP)＝t(QID，QTA)α成立，仲裁设备45认定私钥生成服务器41伪造了签名，若t(SID，αP)＝t(QID，QTA)α不成立，仲裁设备45认定私钥生成服务器41没有伪造签名。通过上述过程可知，仲裁设备45可有效防范基于身份密码体制中存在的私钥生成服务器欺诈问题。
本发明实施例提供的数字版权管理系统，通过私钥生成服务器41生成内容发布服务器的私钥，并在内容发布服务器42初次加入该DRM系统时为内容发布服务器42分发私钥，内容发布服务器42根据本地生成的加密密钥对原始数字内容进行加密打包后，将加密密钥发送给授权发布服务器43，授权发布服务器43根据DRM代理服务器44的公钥将该加密密钥进行加密封装后发送给DRM代理服务器44，使得DRM代理服务器44根据DRM代理服务器的私钥提取加密封装后的加密密钥，从而根据该加密密钥以预设权限使用解密后的数字内容，由于不再需要通过公钥证书捆绑用户的公钥和用户的身份信息，简化了DRM系统对公钥的管理。
图5为本发明实施例所适用版权管理系统体系结构的结构示意图，如图5所示，DRM代理服务器51(DRM Agent，简称：DA)、内容发布服务器52(Content Issuer，简称：CI)、授权发布服务器53(Right Issuer，简称：RI)、私钥生成服务器54(Private Key Generation，简称：PKG)、仲裁设备55(Judgment)。
其中，DRM代理服务器51为系统架构中负责执行DRM客户端功能的可信赖功能实体，强制执行附带在DRM内容上的访问权限控制功能，实现对DRM内容的可控访问，在DRM代理服务器51中包含有计算模块(CAL)，用于根据授权发布服务器53获取的身份信息计算得到授权发布服务器53的公钥；使用DRM内容的用户(User)仅能通过DRM代理服务器51访问DRM内容。
内容发布服务器52为负责DRM内容分发的逻辑功能实体，由于OMADRM规范定义了发送给DRM代理服务器51的DRM内容格式(DRM ContentFormat，简称：DCF)，因此可以采用多种传输机制将DRM内容由内容发布服务器52发送到DRM代理服务器51；内容发布服务器52根据OMA DCF定义的DRM内容打包格式对原始数字内容进行加密打包，并通过多种承载和传送方式将加密打包后的内容传送到DRM代理服务器51。
授权发布服务器53为负责设置DRM内容权限的逻辑功能实体，为DRM内容指定许可和约束，并生成授权对象(Right Object，简称：RO)。RO是一个用来表示DRM内容的使用许可和约束的XML文档，是符合OMA REL标准的XML文档；版权对象控制着DRM内容如何被使用DRM内容无法脱离授权对象而单独使用，只能按照授权对象指定的方式来使用。授权发布服务器53包含一个计算模块(CAL)，用于通过DRM代理服务器51获取到的身份信息计算DA的公钥。
私钥生成服务器54是整个系统的安全根基，主要负责选取系统的各公开参数和系统的私钥，为系统中的各用户生成私钥并在用户初次加入系统时分发私钥，并且在以后的公钥加密及签名过程中私钥生成服务器54不再参与加密与签名过程。
仲裁设备55为可信任的第三仲裁方，当授权发布服务器53怀疑私钥生成服务器54冒充其身份伪造签名时，根据授权发布服务器53的请求对私钥生成服务器54是否可信任进行仲裁；仲裁设备55不参与版权保护过程，在私钥生成服务器54不可信任伪造授权发布服务器53的签名时进行仲裁以对私钥生成服务器54伪造的签名进行认定。
上述本发明实施例，由于在数字版权保护的过程中仅需DRM代理服务器51、内容发布服务器52和授权发布服务器53参与，在版权保护的过程中不需要再次访问私钥生成服务器54，因此简化了DRM系统对公钥的管理；在验证签名的过程中，无须通过公钥证书捆绑用户的公钥和用户的身份信息，不需要访问证书服务器CA，简化了公钥的管理和分发，避免了建立证书服务器CA的公共密钥数据库，极大的减少了金融成本和由此而引发的安全问题。
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、设备、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
本领域普通技术人员可以理解：实现上述实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。