DRM是实现具有版权的数字信息产品通过网络销售的前提条件，采用数字 版权保护技术可有效地防止通过网络和计算机非法复制、拷贝、传送数字信息 产品。数字信息产品的版权发行者(Rights Issuer，RI)将数字信息加密后上传 到网络，用户将加密的数字信息下载到终端设备上的版权代理(DRM Agent) 服务器中，用户如果要使用下载的数字信息，再通过网络向RI请求该数字信息 产品的版权对象(Rights Object，RO)，RO中包括解密数据的密钥，如果是一 次性付费的产品，DRM Agent利用该密钥解密数字信息后，用户就可以使用了， 如果需要对用户操作权限进行控制，RO中还包括该数字信息的权限管理信息， DRM Agent根据这些限制条件管理用户对数字信息的具体使用，现有技术中， 对数字产品的限制控制一般包括：使用的次数、预览次数、每一预览的限定时 间以及使用期限等。
由于移动通信技术的发展，越来越多的用户开始使用移动终端从网络下载 数字信息，现有的移动通信系统中有关DRM的协议中，尽管在4-pass注册协议 规定的终端开户和注册流程中，为防止非法终端和非法RI，要求移动终端和RI 必须进行双向的证书认证，即DRM Agent与RI相互提供本方证书，也同时认证 对方证书的正确性与有效性，并使用在线证书状态协议(Online Certificate Status Protocol，OCSP)来鉴别RI证书的有效性。但是在终端向RI取得RO的 2-pass协议流程和1-pass协议流程中，以及加入域的2-pass协议流程中，没有涉 及对双方证书有效性(即证书重发状态)的验证，详细说明如下：
如图1所示，为移动终端主动向RI获取RO的2-pass协议流程，包括如下步 骤：
S11、DRM Agent向RI发送RO请求(RO Request)消息；
RO请求消息中携带了移动终端用户选择数字信息的标识信息和使用方 式。
S12、RI向移动终端的DRM Agent返回RO响应(RO Response)消息；
RO响应消息中携带了RI根据移动终端用户选择的使用方式生成对应的 RO，DRM Agent收到RO后，根据该RO控制对应的数字信息的使用。
有时，RI推行优惠活动或根据终端用户的使用累计情况进行赠送时，RI 希望向移动终端主动派发RO，同时提示用户下载对应数字信息的具体地址， 1-pass协议规定了相应的流程，如图2所示，该流程仅包括如下一个步骤：
S21、RI向移动终端的DRM Agent发送RO响应消息，该响应消息中携带了 被派发的RO；RI一般通过短信方式向用户发送下载对应数字信息的具体地址， 也可采用其他任何通讯方式通知用户。
移动终端用户还可以通过2-pass协议规定的流程请求加入到一个域中，该 域是RI为某个类似团购的行为建立的成员组，具有唯一的域标识，移动终端用 户如果是该成员组的组员，则可以通过加入域取得特定数字信息的RO，如图3 所示，移动终端通过如下步骤请求加入到一个域中：
S31、DRM Agent向RI发送加入域请求(Join Domain Request)消息；
移动终端用户通过DRM Agent选择加入域的操作并根据提示输入域标识， DRM Agent向RI发送加入域请求消息，该请求消息中携带了移动终端用户的标 识信息和加入域的域标识。
S32、RI向移动终端的DRM Agent返回加入域响应(Join Domain Response) 消息；
RI根据移动终端用户的标识信息验证该用户是否为加入域的成员，如果 是，将该成员标识为已经成功加入域的成员，并在加入域响应消息中携带该域 密码，如果该用户不是加入域的成员则在加入域响应消息中携带拒绝信息。域 密码由RI在建立域时对应生成并保存，用户收到域密码后，再通过发起的2-pass 协议流程向RI取得对应数字信息的RO，具体包括如下步骤：
S33、DRM Agent向RI发送RO请求消息，该请求消息中携带了域标识；
S34、RI向移动终端的DRM Agent返回加入域RO响应消息；
RI判断该终端用户是否已经成功加入域中，如果是则在RO响应消息中携 带利用域密码加密的加入域RO，DRM Agent收到RO后，利用域密码解密加入 域RO，并根据该加入域RO控制移动终端用户使用对应的数字信息；否则在加 入域RO响应消息中携带拒绝信息。
在上述三个流程中，移动终端和RI都不能验证对方证书的有效性，造成证 书有效性验证不完整，无法实现完整的安全体系，造成系统安全漏洞，并且存 在废弃证书接入RI获得RO的可能。

本发明提供一种移动终端获取版权对象和加入域的方法、系统和相关设 备，以解决现有DRM系统中安全性较差的问题。
一种移动终端获取版权对象的方法，包括如下步骤：
A1、版权发行者RI向在线证书状态协议OCSP响应器发送包括RI证书的 认证请求消息；
A2、OCSP响应器向RI返回包括RI证书有效性认证结果和OCSP响应器 数字签名的认证响应消息；
A3、RI向移动终端的版权代理DRM Agent发送包括版权对象RO并携带 全部所述认证响应消息的RO响应消息；
A4、DRM Agent接收所述RO响应消息，根据OCSP响应器数字签名确认 OCSP响应器合法，并根据所述RI证书有效性认证结果确认RI证书有效后， 获取所述RO对象。
所述方法还包括步骤：
A0、DRM Agent向RI发送包括DRM Agent证书、移动终端用户选择的数 字信息的标识信息和使用方式的RO请求消息。
所述步骤A1、所述认证请求消息中同时包括所述DRM Agent证书；
所述步骤A2、所述认证响应消息中同时包括所述DRM Agent证书的有效 性认证结果；以及
所述步骤A3、RI根据所述DRM Agent证书的有效性认证结果确认DRM Agent证书有效后，再发送所述RO响应消息。
所述步骤A0和A1之间还包括如下步骤：
RI向OCSP响应器发送包括DRM Agent证书的认证请求消息；
OCSP响应器向RI返回包括DRM Agent证书有效性认证结果的认证响应 消息；
RI根据所述DRM Agent证书有效性认证结果确认终端合法后，执行步骤 A1。
一种移动终端用户加入域的方法，包括如下步骤：
B1、移动终端的DRM Agent向RI发送包括移动终端用户标识和加入域标 识的加入域请求消息；
B2、RI根据所述用户标识和加入域标识确认该用户为该加入域的成员后， 向OCSP响应器发送包括RI证书的认证请求消息，并将该用户标识为加入成 员；
B3、OCSP响应器向RI返回包括RI证书有效性认证结果和OCSP响应器 数字签名的认证响应消息；
B4、RI向DRM Agent将域密码写入加入域响应消息，并将携带OCSP数 字签名的OCSP认证响应消息作为参数写入加入域响应消息后发送加入域响应 消息；
B5、DRM Agent接收所述加入域响应消息，根据OCSP响应器数字签名 确认OCSP响应器合法，并根据所述RI证书有效性认证结果确认RI证书有效 后，获取所述域密码。
所述步骤B1、所述加入域请求消息中同时包括所述DRM Agent证书。
所述步骤B2、所述认证响应消息中同时包括所述DRM Agent证书的有效 性认证结果；以及
所述步骤B3、RI根据所述DRM Agent证书的有效性认证结果确认DRM Agent证书有效后，再发送所述加入域响应消息。
所述步骤B1和B2之间还包括如下步骤：
RI向OCSP响应器发送包括DRM Agent证书的认证请求消息；
OCSP响应器向RI返回包括DRM Agent证书有效性认证结果的认证响应 消息；
RI根据所述DRM Agent证书有效性认证结果确认DRM Agent合法后，执 行步骤B2。
步骤B5之后还包括如下步骤：
DRM Agent向RI发送包括域标识和用户标识的加入域RO请求消息；
RI确认该用户为加入成员后，向DRM Agent返回加入域RO响应消息， 该加入域RO响应消息包括利用域密码加密了的加入域RO；
DRM Agent接收所述加入域RO响应消息，获取所述加入域RO并利用所 述域密码解密。
或者步骤B5之后还包括如下步骤：
B6、DRM Agent向RI发送包括域标识、用户标识和DRM Agent证书的加 入域RO请求消息；
B7、RI确认该用户为加入成员后，向OCSP响应器发送包括RI证书的认 证请求消息；
B8、OCSP响应器向RI返回包括RI证书的有效性认证结果和OCSP响应 器数字签名的认证响应消息；
B9、RI向DRM Agent返回加入域RO响应消息，该RO响应消息包括利 用域密码进行加密的加入域RO并携带完整的所述认证响应消息；
B10、DRM Agent接收所述加入域RO响应消息，根据OCSP响应器数字 签名确认OCSP响应器合法，并根据所述RI证书有效性认证结果确认RI证书 有效后，获取所述加入域RO并利用所述域密码解密。
所述步骤B7、所述认证请求消息中同时包括所述DRM Agent证书；
所述步骤B8、所述认证响应消息中同时包括所述DRM Agent证书的有效 性认证结果；以及
所述步骤B9、RI根据所述DRM Agent证书的有效性认证结果确认DRM Agent证书有效后，再发送所述RO响应消息。
所述步骤B6和步骤B7之间还包括步骤：
RI向OCSP响应器发送包括DRM Agent证书的认证请求消息；
OCSP响应器向RI返回包括DRM Agent证书有效性认证结果的认证响应 消息；
RI根据所述DRM Agent证书有效性认证结果确认终端合法后，执行步骤 B7。
一种数字信息版权管理系统，包括设置在移动终端上的版权代理DRM Agent服务器、通过移动通信网络连接所述DRM Agent服务器的RI服务器和 通过移动通信网络连接所述RI服务器的OCSP响应器；其中：
所述DRM Agent包括：
代理安全模块，用于为发送给所述RI服务器的消息进行数字签名；以及， 验证来自所述RI服务器并带有数字签名的消息的合法性；
用于收发消息的代理接口模块和执行数字信息版权管理的代理控制模块， 分别连接所述代理安全模块；所述代理控制模块将发给所述RI服务器的消息 送入所述代理安全模块进行数字签名后，通过所述代理接口模块发送；以及， 所述代理接口模块将从所述RI服务器接收的带有数字签名的消息送入所述代 理安全模块，所述代理安全权模块根据所述数字签名确认该数字签名的生成方 身份合法后，将所述消息送入所述代理控制模块进行处理；
所述RI服务器包括：
RI安全模块，用于为发送给所述DRM Agent服务器或所述OCSP响应器 的消息进行数字签名；以及，验证来自所述DRM Agent服务器或所述OCSP 响应器并带有数字签名的消息的合法性；
用于收发消息的RI接口模块和执行RO或加入域管理的RI控制模块，分 别连接所述RI安全模块；所述RI控制模块将发给所述RI服务器或所述OCSP 响应器的消息送入所述RI安全模块进行数字签名后，通过所述RI接口模块发 送；以及，所述RI接口模块将从所述RI服务器或所述OCSP响应器接收的带 有数字签名的消息送入所述RI安全模块，所述RI安全权模块根据所述数字签 名确认该数字签名的生成方身份合法后，将所述消息送入所述RI控制模块进 行处理；
所述OCSP响应器包括：
OCSP安全模块；用于为发送给所述RI服务器的消息进行数字签名；以及， 验证来从所述RI服务器并带有数字签名的消息的合法性；
用于收发消息的OCSP接口模块和认证RI证书有效性的OCSP认证模块， 分别连接所述OCSP安全模块；所述OCSP控制模块将发给所述RI服务器的 消息送入所述OCSP安全模块进行数字签名后，通过所述OCSP接口模块发送； 以及，所述OCSP接口模块将从所述RI服务器接收的带有数字签名的消息送 入所述OCSP安全模块，所述OCSP安全权模块根据所述数字签名确认该数字 签名的生成方身份合法后，将所述消息送入所述OCSP控制模块进行处理。
一种移动终端，包括DRM Agent服务器，所述DRM Agent服务器包括代 理接口模块，所述DRM Agent服务器还包括：
代理安全模块，用于为代理接口模块发送给RI服务器的消息进行数字签 名；以及，验证代理接口模块接收的来自所述RI服务器并带有数字签名的消 息的合法性；
执行数字信息版权管理的代理控制模块，所述代理接口模块将从所述RI 服务器接收的带有数字签名的消息送入所述代理安全模块，所述代理安全权模 块根据所述数字签名确认该数字签名的生成方身份合法后，将所述消息送入所 述代理控制模块进行处理。
一种RI服务器，包括RI接口模块，所述RI服务器还包括：
RI安全模块，用于为通过所述RI接口模块发送给所述DRM Agent服务器 或所述OCSP响应器的消息进行数字签名；以及，验证所述RI接口模块接收 的来自所述DRM Agent服务器或所述OCSP响应器并带有数字签名的消息的 合法性；
执行RO或加入域管理的RI控制模块，所述RI接口模块将从所述RI服 务器或所述OCSP响应器接收的带有数字签名的消息送入所述RI安全模块， 所述RI安全权模块根据所述数字签名确认该数字签名的生成方身份合法后， 将所述消息送入所述RI控制模块进行处理。
一种OCSP响应器，包括OCSP接口模块，所述OCSP响应器还包括：
OCSP安全模块，用于为通过所述OCSP接口模块发送给所述RI服务器的 消息进行数字签名；以及，验证所述OCSP接口模块接收的来从所述RI服务 器并带有数字签名的消息的合法性；
认证RI证书有效性的OCSP认证模块，所述OCSP接口模块将从所述RI 服务器接收的带有数字签名的消息送入所述OCSP安全模块，所述OCSP安全 权模块根据所述数字签名确认该数字签名的生成方身份合法后，将所述消息送 入所述OCSP控制模块进行处理。
所述OCSP认证模块中还包括认证用的RI证书撤销列表。
所述OCSP认证模块中还包括认证用的DRM Agent证书撤销列表。
本发明的有益效果如下：
本发明针对DRM系统中，在申请RO的2-pass，1-pass以及加入域的2-pass 协议规定的流程中，增加RI证书的认证流程，并进一步增加了DRM Agent证 书有效性认证流程，消除了DRM系统的安全漏洞，完善了整个安全体系。
附图说明
图1为现有由移动终端发起的向RI请求RO的2-pass协议流程；
图2为现有由RI主动发起的向移动终端派发RO的1-pass协议流程；
图3为现有的由移动终端发起的向RI请求加入域的2-pass协议流程；
图4为本发明所述由移动终端发起的向RI请求RO的方法流程，其中， RI向移动终端发送RO之前，请求OCSP响应器请求验证RI证书的有效性；
图5为本发明所述由RI主动发起的向移动终端派发RO的方法流程，其 中，RI向移动终端派发RO之前，请求OCSP响应器请求验证RI证书的有效 性；
图6为本发明所述由移动终端发起的向RI请求加入域的方法流程，其中， RI向移动终端发送域密码之前，请求OCSP响应器请求验证RI证书的有效性；
图7为实施例四所述的一种DRM系统结构示意图。

本发明所述方法的目的在于优化DRM系统中，移动终端发起向RI中请 RO的2-pass协议流程、由RI主动发起的向移动终端派发RO的1-pass以及由 移动终端发起的加入域的2-pass协议流程，在这三个流程中增加RI证书和/或 DRM Agent证书的有效性认证。
为实现该方法，本发明使用OCSP认证方式，在上述三个流程中加入RI 请求OCSP响应器(Responder)验证RI证书有效性的步骤，以保证RI的合法 行。进一步，还增加了RI请求OCSP响应器验证移动DRM Agent证书有效性 的步骤，以保证移动终端的合法性，从而在上述三个流程中实现完整的证书验 证体系。
首先，说明本发明所述方法涉及到的几个概念：
1、DRM Agent证书
DRM Agent证书，也称为终端证书、终端用户证书等，是移动终端用户合 法身份的唯一证明，其中包括一个唯一的用户私钥，该用户私钥对应一个公开 的用户公钥。
2、RI证书
RI证书是每一个RI合法身份的唯一证明，其中包括一个唯一RI私钥和证 书标识，该RI私钥对应一个公开的RI公钥。
3、OCSP响应器证书
OCSP响应器证书是OCSP响应器合法身份的证明，其中包括一个唯一响 应器私钥，该响应器私钥对应一个公开的响应器公钥。
4、OCSP认证方法
是指利用OCSP响应器认证RI证书有效性的方法，OCSP响应器上建立有 RI证书撤销列表并及时进行更新，RI证书撤销列表用于登记被撤销而失效的 RI证书标识，OCSP响应器查询当前的RI证书撤销列表来验证RI证书的有效 性。
5、利用数字签名进行身份验证
数字签名可以用于信息接收方对信息发送方的身份进行合法性认证，例 如：信息发送方利用自己的私钥和要发送的完整信息生成数字签名，将数字签 名和信息一起发送给接收方，接收方利用公开的公钥解密数字签名，从中得到 验证信息，如果验证信息和接收到的信息相同，则表明信息的发送方是合法可 信的。
下面以具体实施例并结合附图详细说明本发明。
实施例一：
如图4所示，实施例一以现有由移动终端发起的向RI请求RO的2-pass 协议流程为基础，增加了RI请求OCSP响应器验证RI证书有效性的步骤：
S41、DRM Agent向RI发送RO请求消息；
RO请求消息中携带了DRM Agent证书、移动终端用户选择的数字信息的标 识信息和使用方式，以及DRM Agent利用用户私钥和完整的RO请求消息生成用 户数字签名。
S42、RI向OCSP响应器发送OCSP请求(OCSP Request)消息请求验证RI 证书的有效性；
RI收到移动终端发送的RO请求消息后，先利用用户公钥和用户数字签名 验证终端身份是否合法，验证方法为：利用用户公钥解密数字签名，得到验证 的完整消息，并与实际接收到的消息进行比较，如果不相同则认为该RO请求 消息来自非法终端，不予回复。反之如果相同则认为RO请求消息来自合法终 端，然后向OCSP响应器发送OCSP请求消息，该消息中携带了RI证书和利用RI 私钥和完整的OCSP请求消息生成的RI数字签名。
S43、OCSP响应器向RI返回OCSP认证响应(OCSP Response)消息；
OCSP响应器仍然首先利用RI公钥验证RI数字签名，来判断RI的合法性， 拒绝回复不合法的RI，对合法的RI则再根据RI证书撤销列表对该RI证书的有效 性进行认证。
OCSP将认证结果写入OCSP Response认证响应消息，再利用响应器私钥和 完整的OCSP认证响应消息生成OCSP数字签名并写入该OCSP认证响应消息 中，然后将携带有认证结果和OCSP数字签名的OCSP认证响应消息发送给RI。
S44、RI向移动终端的DRM Agent返回RO响应消息；
RI收到OCSP认证响应消息后，完成下列操作：
1)、生成DRM Agent请求的RO并写入RO响应消息；
2)、将携带OCSP数字签名的OCSP认证响应消息作为一个参数直接写入 RO响应消息；
3)、利用RI私钥和完整的RO响应消息再生成RI数字签名，并将RI数字签 名写入RO响应消息，然后将RO响应消息发送给DRM Agent。
DRM Agent收到RO响应消息后，完成如下操作：
1)、利用RI公钥和RI数字签名验证RI身份，如果合法则继续，否则结束；
2)、利用响应器公钥和OCSP数字签名验证OCSP响应器身份的合法性，如 果合法则继续，否则结束；
3)、判断RI证书的认证结果是否为有效，如果证书有效，则从RO响应消 息中获取RO，否则结束。
从上述步骤中，移动终端侧的DRM Agent只有确认了RO响应消息来自合法 的RI，并且RI证书有效的认证结果来自合法的OCSP响应器，才允许终端用户 使用下载的数字信息，保证了数字信息来源的合法性和安全性。
进一步在步骤S42中，RI发送给OCSP响应器的认证请求消息中还可以携带 终端证书，请求OCSP响应器对DRM Agent证书进行认证，同样，OCSP响应器 将DRM Agent证书的认证结果携带在OCSP认证响应消息中返回给RI，RI再根 据DRM Agent证书的认证结果决定是否向该终端发送RO响应消息。
或者，RI在完成步骤S42之前，先向OCSP响应器发送携带终端证书的认证 请求消息，请求OCSP响应器对DRM Agent证书进行认证，OCSP响应器将DRM Agent证书的认证结果携带在OCSP认证响应消息中返回给RI，如果DRM Agent 证书的认证结果为有效，RI再进行步骤S42进行RI证书的认证。
为实现上述DRM Agent证书的认证，OCSP响应器侧需要建立DRM Agent 证书撤销列表并及时进行更新。
实施例二
如图5所示，实施例二是以现有RI向移动终端派发RO的1-pass协议流程为 基础，增加了验证RI有效性的步骤，与实施例一相比，不需要DRM Agent向RI 发送RO请求消息，其它步骤和实施例一中相同，具体为：
S51、RI向OCSP响应器发送OCSP请求消息请求验证RI证书的有效性；
RI向OCSP响应器发送OCSP请求消息，该消息中携带了RI证书，以及利用 RI私钥生成的RI数字签名。
S52、OCSP响应器向RI返回OCSP Response认证响应消息；
OCSP响应器首先利用RI公钥和RI数字签名对RI身份进行合法性认证，如 果合法再根据RI证书撤销列表判断该RI证书的有效性，反之不予回复。
OCSP响应器将认证结果写入OCSP Response认证响应消息，再利用响应器 私钥生成OCSP数字签名并写入该OCSP认证响应消息中，然后将携带有认证结 果和OCSP数字签名的OCSP认证响应消息发送给RI。
S44、RI向DRM Agent发送RO响应消息；
RI收到携带OCSP数字签名的OCSP认证响应消息后，完成下列操作：
1)、将要派发的RO写入RO响应消息；
2)、将携带OCSP数字签名的OCSP认证响应消息作为一个参数直接写入 RO响应消息；
3)、利用RI私钥和完整的RO响应消息生成的RI数字签名写入RO响应消息， 然后将RO响应消息发送给移动终端的DRM Agent。
DRM Agent收到RO响应消息后，完成下列操作：
1)、利用RI公钥和RI数字签名验证RI身份，如果合法则继续，否则结束；
2)、利用响应器公钥和OCSP数字签名验证OCSP响应器身份的合法性，如 果合法则继续，否则结束；
3)、判断RI证书的认证结果是否为有效，如果证书有效，则从RO响应消 息中获取派发的RO，否则结束。
本实施例中，由于是RI主动向移动终端派发RO，不需要增加验证DRM Agent证书是否有效的步骤。
实施例三
如图6所示，实施例三以现有的移动终端向RI请求加入域的2-pass协议 流程为基础，增加RI证书的认证步骤，具体包括：
S61、DRM Agent向RI发送加入域请求消息；
移动终端用户通过DRM Agent选择加入域的操作并根据提示输入加入域 标识，DRM Agent则向RI发送加入域请求消息，该请求消息中携带了移动终端 用户的标识信息、加入域标识以及利用用户私钥和完整的加入域请求消息生成 的用户数字签名。
S62、RI向OCSP响应器发送OCSP请求消息，请求验证RI证书的有效性；
RI收到移动终端发送的加入域请求消息后，利用用户公钥和用户数字签名 验证终端用户身份的合法性，拒绝回复非法终端，对于通过验证的合法终端用 户，RI根据移动终端用户的标识信息验证该用户是否对应的加入域的成员，如 果是，将该成员标识为已经成功加入域的成员，然后向OCSP响应器发送OCSP 请求消息，该消息中携带了RI证书和生成的RI数字签名。
S63、OCSP响应器向RI返回OCSP Response认证响应消息；
OCSP响应器首先利用RI公钥和RI数字签名验证RI合法后，再根据RI证书 列表判断该RI证书的有效性，并将认证结果写入OCSP认证响应消息，将OCSP 数字签名后该OCSP认证响应消息中发送给RI。
S64、RI向移动终端的DRM Agent返回加入域响应消息；
RI收到携带第三数字签名的加入域响应消息后，完成下列操作：
1)、将要域密码写入加入域响应消息；
2)、将携带OCSP数字签名的OCSP认证响应消息作为参数直接写入加入域 响应消息；
3)、利用RI私钥和该加入域响应消息再生成RI数字签名写入加入域响应消 息，然后将加入域响应消息发送给DRM Agent。
DRM Agent收到加入域响应消息后，完成下列操作：
1)、利用RI公钥和RI数字签名验证RI身份，如果合法则继续，否则结束；
2)、利用响应器公钥和OCSP数字签名验证OCSP响应器身份的合法性，如 果合法则继续，否则结束；
3)、判断RI证书的认证结果是否为有效，如果证书有效，则从RO响应消 息中获取域密码，否则结束。
至此，DRM Agent确认RI证书有效的认证结果来自合法的OCSP响应器时， 才从RO响应消息中获取域密码，保证了域密码来源的合法性和安全性。
DRM Agent收到域密码后，再通过发起2-pass协议流程向RI取得对应的加 入域RO，具体包括如下步骤：
S65、DRM Agent向RI发送RO请求消息，该请求消息中携带了域标识；
S66、RI向移动终端的DRM Agent返回RO响应消息；
RI判断该移动终端用户是否已经被标识为对应域的加入成员，如果是则在 RO响应消息中携带利用与密码加密了的加入域RO，DRM Agent收到RO后，利 用与密码解密获取加入域RO，用来控制用户对数字信息的使用；如果RI判断 该移动终端用户还没有成功加入，则在RO响应消息中携带拒绝信息。
上述步骤S65和步骤S66利用现有2-pass协议流程，为进一步增加安全性， 还可以利用本发明所述的实施例一，再次增加对RI证书和/或DRM Agent证书进 行有效性验证的步骤，具体实现细节和实施例一中相同，这里不再赘述。
本发明针对DRM系统中，在申请RO的2-pass，1-pass以及加入域的2-pass 协议规定的流程中，增加RI证书的认证流程，补充了证书有效性认证的完整 性，消除了DRM系统的安全漏洞，并进一步增加了DRM Agent证书有效性认 证流程，完善了整个安全体系。
实施例四
为实现本发明方法，本发明还公开一种DRM系统，如图7所示，现有移 动通信领域的DRM系统包括：设置在移动终端上的版权代理服务器(DRM Agent)、通过移动通信网络连接DRM Agent的RI服务器和通过移动通信网络 连接RI服务器的OCSP响应器；其中：DRM Agent包括用于收发消息的代理 (Agent)接口模块和代理(Agent)控制模块；RI服务器包括用于收发消息的 RI接口模块和RI控制模块；OCSP响应器包括用于收发消息的OCSP接口模 块和OCSP认证模块；
为实现本发明所述方法，需要分别在DRM Agent、RI服务器和OCSP响 应器上设置用于生成数字签名或验证数字签名的安全模块，安全模块中存储有 加解密数字签名的私钥和对应的公钥，在接口模块发送消息时，为消息生成数 字签名后发送给接口模块；在接口模块接收到消息时，负责验证RI和/或OCSP 响应器身份的合法性，以保证消息来源的可靠性和安全性。分别描述如下：
DRM Agent的Agent安全模块连接在Agent接口模块和Agent控制模块之 间；Agent控制模块将发给RI服务器的消息送入Agent安全模块进行数字签名 后，通过Agent接口模块发送；或者，Agent接口模块将从RI服务器接收的带 有数字签名的消息送入Agent安全模块，Agent安全模块根据数字签名确认该 数字签名的生成方身份合法后，将消息送入Agent控制模块进行处理；Agent 控制模块连接到移动终端的显示模块，用以显示操作界面。
RI服务器的RI安全模块连接在RI接口模块和RI控制模块之间；RI控制 模块将发给RI服务器或OCSP响应器的消息送入RI安全模块进行数字签名后， 通过RI接口模块发送；或者，RI接口模块将从RI服务器或OCSP响应器接收 的带有数字签名的消息送入RI安全模块，RI安全权模块根据数字签名确认该 数字签名的生成方身份合法后，将消息送入RI控制模块进行处理；
OCSP响应器的OCSP安全模块连接在OCSP接口模块和OCSP认证模块 之间；OCSP控制模块将发给RI服务器的消息送入OCSP安全模块进行数字签 名后，通过OCSP接口模块发送；或者，OCSP接口模块将从RI服务器接收的 带有数字签名的消息送入OCSP安全模块，OCSP安全模块根据数字签名确认 该数字签名的生成方身份合法后，将消息送入OCSP控制模块进行处理。OCSP 认证模块中还包括认证用的RI证书撤销列表和DRM Agent证书撤销列表。
具体实现细节在实施例一、实施例二和实施例三中都有详细描述，这不再 赘述。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。