数字权利管理(DRM)是提供用来控制数字内容比如铃声、屏保、 Java游戏、视频或一首音乐的分配和消费的依据的一组技术。为了增 强DRM的接受性，DRM技术的标准已经成为重要课题。开放移动 联盟(OMA)例如已经制定了OMA DRM 2.0标准用于在移动电话 和其他设备上的多媒体数据的保护。
按照OMA DRM 2.0标准，数字内容通过加密并且通过封装成特 定的DRM格式(DRM内容格式，比如DCF或PDCF)而被保护。 解密该数字内容的密钥在所谓的权利对象中被传送。该权利对象由授 权中心发给，该授权中心也可以分配该权利对象给具有DRM能力 (DRM capable)的设备。权利对象通过使用存储在DRM证书中的 设备特定公钥加密而被保护。除了它的公钥之外，每个具有DRM能 力的设备还具有私钥，用于解密为这个设备单独加密的权利对象。
在授权中心可以分配权利对象给设备之前，授权中心和设备必须 相互注册。为此，在OMA DRM 2.0标准中规定权利对象获取协议 (ROAP)。ROAP包括在授权中心和具有DRM能力的设备之间执 行的若干DRM安全机制。由ROAP规定的那些安全机制之一是交互 式4步注册协议。该注册协议通常仅在设备和授权中心之间的第一次 联系时执行，但是也可以在第一次联系之后执行一次或多次(例如， 当有必要更新交换的信息时)。在OMA DRM 2.0标准中规定的注册 协议包括协议参数和协议版本的协商、密码算法、证书偏好的交换、 证书的任意交换、等等。
图1显现了按照OMA DRM 2.0方法在设备10和授权中心服务 器12之间的4步注册协议。在第一步骤中，设备10发送DeviceHello (设备问好)消息给授权中心服务器12来发起注册。该DeviceHello 消息包括设备信息(比如设备ID和设备支持的密码算法)和设备偏 好。响应于DeviceHello消息的接收，授权中心服务器12发回RIHello (授权中心问好)消息给设备10。该RIHello消息表达了授权中心的 偏好以及由授权中心基于由DeviceHello消息提供的信息执行的决定。 在第三步骤中，设备10发送RegistrationRequest(注册请求)消息 给授权中心服务器12。使用这个消息，另外的信息被提供给授权中心 服务器12比如请求时间(即，由设备10测定的当前DRM时间)和 证书链参数。注册协议以从授权中心服务器12发送到设备10的 RegistrationResponse(注册应答)消息结束。RegistrationResponse 消息包括状态信息、授权中心服务器12的统一资源定位器(URL) 以及另外的信息比如在线证书状态协议(OCSP)信息。在2步握手 过程期间(图1中的步骤a和b)使用业务网络中的OCSP应答服务 器14从授权中心服务器12获得OCSP信息。执行OCSP握手过程来 检验是否由设备10提供给授权中心服务器12的证书仍然有效(OCSP 应答服务器保存被撤销证书的列表)。
在OMA DRM 2.0标准中，在上下文中执行注册协议，其中生成 授权中心上下文，所述授权中心上下文使得设备10能够成功地参与 ROAP组的另外协议，包括用于请求和获取权利对象的协议，权利对 象包括解密被加密的数字内容所需要的信息。仅在图1的4步注册协 议成功结束之后，授权中心服务器12才可以保护设备10的权利对象。 注册协议的成功完成因此向设备10提供与授权中心服务器12协商的 并且使用(例如播放、聆听或者观看)被保护内容(其可能已经从不 同于授权中心服务器12的网络部件被接收到)所需要的注册信息。
尽管参照图1描述的注册协议可靠地允许在设备10中建立授权 中心上下文，但是这种注册方法的若干缺点很明显。例如，虽然数字 内容可以在仅下行链路信道上分配给设备10，但是图1中示出的注册 过程总是要求从设备10到授权中心服务器12进行交互式通信(以及 因此的上行链路信道)。为此，图1的注册协议不能结合仅具有下行 链路信道的系统(例如，广播系统如数字视频广播，或DVB)来使用。
在Pekka Lahtinen、Maarten Muijen的“IPDC Services Purchase and Protection.Joint Response to the DVB CfT by Digita，Elisa，MTV Oy，NEC，Nokla，Phillips，Siemens，Swelcom，Telecom Italia Lab， TeliaSonera，T-System and Vodafone(由Digita、Elisa、MTV Oy、 NEC、Nokla、Phillips、Siemens、Swelcom、Telecom Italia Lab、 TeliaSonera、T-System和Vodafone对于DVB CfT的联合响应：IPDC 业务购买与保护的版本1.0)”中，建议了向授权中心注册OMA DRM 2.0兼容设备的1步ROAP。根据这个建议，注册信息由设备自己来 构造。
因此，仍然需要一种注册技术，其不必要求交互式通信以便向设 备提供利用被保护内容所需要的注册信息，并且不使用过度的DRM 处理操作来加重设备的负担。

根据本发明的第一方面，提供了一种在数字权利管理上下文中向 授权中心系统注册设备的方法，该方法包括生成注册信息的步骤，该 步骤包括获取授权中心信息、接收设备信息和从授权中心信息和设备 信息生成注册信息，其中注册信息包括使用被保护内容(直接或间接 地)所需要的信息。注册信息然后被向设备传送。
设备信息可以单独地为特定设备接收，注册信息为该特定设备生 成或者它可以当作与不同设备类型有关的一批信息而被接收。所接收 的设备信息可以被临时或者长时间存储(例如，在数据库中)。
注册信息可以被直接地传送到所述设备或者它可以通过一个或多 个安排在注册信息的发送者和所述设备之间的中间网络部件传送到所 述设备。根据第一变例，注册信息在与设备的在线会话期间或者在广 播模式下被传送。这可能要求设备在线或者为工作模式。根据第二变 例，当设备为离线、待用和关闭中的至少之一时，向设备传送注册信 息。
因为本发明可以(甚至)当设备离线、待用和/或关闭时被实施， 所以设备信息可能由生成注册信息的部件从不同于所述设备的信息源 接收。这个信息源可能是由已经被提供了设备信息的设备制造商或者 是网络运营商所操作的专用服务器。
本发明可以由不同的网络实体来实施。根据第一选择，该方法由 授权中心服务器或者网络运营商服务器来执行。根据另一个选择，该 方法由安排在授权中心服务器和所述设备之间的中间网络部件来执 行。中间网络部件可能要求来自授权中心服务器或者来自任何另外的 网络部件的授权中心信息。
如果注册信息已经由授权中心服务器生成，那么注册信息可能通 过传输注册信息给中间网络部件而向所述设备传送。中间网络部件因 此被使能来转发注册信息给设备。如果中间网络部件没有接收到完整 的注册信息而是仅接收到授权中心信息，则它可以另外要求设备信息 和基于设备信息和授权中心信息自己生成注册信息。
注册信息可以被利用不同技术来从中间网络部件传送到所述设 备。根据第一变例，注册信息通过可以是有线(即电缆)或者无线(例 如，通过蓝牙、WLAN或者红外线(IR)技术)的短距离传输技术 传送到所述设备。这样的短距离传输技术还可以用于从所述设备到中 间网络部件传输用于生成注册信息所需要的设备信息。代替使用短距 离传输技术，可移动的并且任选地可重写的存储介质(比如硬盘驱动 器或者SIM卡、SD卡或者任何其它存储卡)可以用于传送注册信息 给所述设备。为此，注册信息可以在第一步骤中被存储在可移动存储 介质上，并且在第二步骤中可以为设备提供到可移动存储介质的接 入。
可替代地或者另外地，可移动存储介质可以用于传送设备信息。 换言之，生成注册信息所需要的设备信息可以被存储在可移动存储介 质上并且从可移动存储介质读取。这个方法可以包括从可移动存储介 质传输设备信息到网络部件(例如，到用户操作的个人计算机和/或授 权中心服务器)用于生成注册信息、从这个网络部件接收所生成的注 册信息、并且将所接收的注册信息写到可移动存储介质上。当然，设 备信息可以另外或者可替代地通过键盘或者任何其它用户操作输入设 备而被输入。
向所述设备传送注册信息的步骤可以在设备寿命周期的各个阶段 上来执行。例如，注册信息可以在设备交付给终端用户之前被传送。 因此，注册信息可以在所述设备的制造中或者在将该设备交付给终端 用户之前不久(例如通过将其闪速存储(flash)到设备软件中或者通 过将其写入到与设备一起或者随后被交付的可移动存储介质上)被传 递到设备。用于向设备传送注册信息的其它变例包括通过下行链路传 输(例如，以非交互方式)或者通过单向通信链路(例如在广播会话 期间)提供注册信息。
向设备传送的注册信息可以被签名和/或加密。为此，可以利用授 权中心的私钥或者与设备有关的公钥。
因为实施本发明不必要求设备和授权中心服务器之间的交互，所 以用于设置或同步DRM定时信息(例如DRM时间和/或OCSP时间) 的机制将是有用的。为此，授权中心服务器(或者任何中间网络部件) 可以从另外的网络服务器比如受托的OCSP应答服务器接收DRM定 时信息。所接收的DRM定时信息可以被本地利用并且可以另外地被 转发到设备用于时间同步或者是时间设置的目的。
本发明可以在各种DRM上下文中被执行。这样的上下文可以包 括加密内容的广播或者加密内容通过单向或者双向通信链路到设备的 传送。加密的内容可以从授权中心服务器、从其中不同的网络部件、 或者通过任何其它装置(包括可移动存储介质比如DVD或者CD- ROM)接收。
注册信息可以与由授权中心服务器命令的设备设置有关。在一个 变例中，注册信息可以包括授权中心的URL、授权中心的标识符、所 选协议版本、所选算法、证书缓存标志、以及终止时间中的一个、多 个、或者全部。设备信息可以包括设备证书、设备身份、以及设备性 能标志中的一个、多个或者全部。
本发明可以实现为一个硬件、一个软件或者其组合。至于软件实 现，本发明提供计算机程序产品，该程序产品包括程序代码部分，其 用来当计算机程序产品在一个或多个计算设备上运行时执行这里描述 的方法的步骤。计算机程序产品可以被存储在计算机可读记录介质 上。
在又一个变例中，本发明被实现为一种装置，用于在数字权利管 理上下文中向授权中心系统注册设备，该装置包括具有存储部件的注 册信息生成器，该存储部件用于至少临时存储授权中心信息，所述设 备包括用于接收设备信息的接口，包括用于从授权中心信息生成注册 信息和设备信息的处理器，其中注册信息包括允许使用被保护内容的 信息。该装置进一步包括用于向所述设备传送注册信息的接口。
附图说明
下面，本发明将参照附图中所示出的典型实施例加以描述，其中：
图1是示出了根据OMA DRM 2.0标准的交互式4步注册协议的 的示意信令图；
图2是示出了本发明的方法实施例的方法流程图；
图3是示出了本发明的系统实施例的示意图；
图4是示出了本发明的设备实施例的示意图；
图5是示出了根据本发明的另一实施例的关于注册信息传送的技 术的第一信令图；以及
图6是示出了根据本发明的又一实施例的关于注册信息传送的技 术的第二信令图。
具体实施例
在下面的描述中，为了解释而不是限制的目的，阐述了特定细节 比如特定信号格式、消息传送协议等等，目的是提供对当前发明的全 面理解。本领域的技术人员应当理解，当前发明可以被实施在背离这 些特定细节的其它实施例中。例如，技术人员将理解本发明可以结合 不同于OMA DRM 2.0标准的DRM标准(或者其后来的版本)而被 利用，下面将讨论以示例本发明。而且，本领域的技术人员将还可以 理解这里下面所解释的功能可以使用单独的硬件电路来实现、使用结 合了编程微处理器或通用计算机的软件功能来实现、使用专用集成电 路(ASIC)来实现、和/或使用一个或多个数字信号处理器(DSP) 来实现。还应当理解。虽然本发明主要被描述为一种方法，但是它也 可以实现为一种系统，该系统包括计算机处理器和耦合到该处理器的 存储器，其中使用可以执行这里所公开的方法的一个或多个程序来对 于存储器进行编码。
参照图2，流程图200示出了用于在数字权利管理上下文中向授 权中心系统注册设备的方法实施例的各个步骤。在第一步骤202中， 获取授权中心信息。获取该授权中心信息可以包括在通信网络上接收 授权中心信息。可替代地，或者另外地，它可以包括本地生成(或者 确定)授权中心信息(例如，从数据库读取它)。授权中心信息可以 包括关于特定授权中心的细节比如授权中心的URL、授权中心的标识 符、授权中心支持的密码算法、等等。
在下一步骤204中，接收到设备信息。设备信息可以包括信息， 该信息是比如包括路由证书链的设备专有证书、设备标识符(比如编 码的设备公钥的散列)、以及关于设备性能的信息(包括关于设备支 持的密码算法的信息)。步骤204可以被如此执行使得设备信息仅为 一个或多个单独设备接收。可替代地，更多种类的设备类型的设备信 息可以在步骤204中被接收(并且可以当在本地数据库中接收之后被 存储)。步骤202和204可以以任何次序或者同时地被执行。
一旦接收到设备信息，就在步骤206中基于在步骤202中获取的 授权中心信息和在步骤204中接收的设备信息生成注册信息。在步骤 206中生成的注册信息包括设备使用被保护内容所需要的信息。在典 型的OMA DRM 2.0情形中，注册信息可以包括或者包含具有授权中 心的URL的授权中心上下文、授权中心的标识符、所选协议版本、 所选密码算法、证书缓存标识(表示授权中心是否已经存储设备证书) 以及授权中心上下文终止时间(除了在OMA DRM 2.0标准中规定的 所谓的“未连接设备”之外，对于其该终止时间是无穷大)。任选地， 授权中心上下文可以另外包括授权中心证书有效数据以及OCSP应答 器密钥以及OCSP应答的当前设置。
在替代的情形中，注册信息可以包括一个或多个解密被加密的数 字内容所需要的密码密钥。在又一个兼容UMA DRM 2.0情形的情形 中，注册信息包括由授权中心服务器12命令的设备设置。
在另一个(最终)步骤208中，注册信息(比如授权中心上下文) 被传送到该设备。步骤208可以在各种变例中执行。根据第一变例， 该设备在其制造时被提供注册信息。作为例子，注册信息可以是硬编 码(hard coded)到设备的ROM或者固件中并且可以因此在整个设 备寿命期间保持不变。注册信息还可以在制造期间被闪速存储到设备 中。
根据又一变例，步骤208在该设备已经被制造之后但在设备被交 付给到终端用户之前执行。在这种情况下，注册信息可以被包括到被 闪速存储到设备中用于为终端用户定做的软件图像中。这个选择对于 无论如何都要定制分配给终端用户的设备(比如移动电话)的软件的 网络运营商来说具有特定好处。
根据第三变例，注册信息通过可移动存储介质(比如迷你硬盘驱 动、SIM卡或者任何其它存储卡)或者通过短距离传输技术比如电缆 或者无线技术(包括蓝牙、WLAN或IR)被提供给设备。在这样的 情况下，用户可以通过通信网络在远端网络部件(如网络运营商或者 授权中心的web服务器/web入口)上开始生成注册信息。用户在本 地中间网络部件(比如个人计算机)上下载为他/她的设备生成的注册 信息并且将它通过可移动存储介质或者短距离传输技术传送到设备上 去。如果使用了可移动存储介质，那么不要求与该设备的任何在线连 接。该设备可以甚至是关闭的。
用于生成注册信息所需要的设备信息可以从设备(通过中间网络 部件)传送到授权中心服务器、网络运营商服务器或安排在通信网络 中的任何其它服务器。为此，用户可以先从设备通过短距离传输技术 或者可移动存储介质传送有关设备信息到他/她的本地中间网络部件， 通过通信网络连接到服务器、传输设备信息到服务器并且接收(已经 由服务器生成的)注册信息。在最终步骤中，用户从本地中间网络部 件传送注册信息到设备上去。可替代地，用户可以(通过通信网络从 授权中心服务器)接收授权中心信息以及(例如，从设备)接收设备 信息到他/她的本地中间网络部件上去并且本地生成注册信息。
向设备传送注册信息的上述变例不必要求设备是工作、开启或者 在线。存在其他的变例，要求设备是在线模式或者接通。在在线情况 中，注册信息可以通过允许(例如，在设备管理交互期间)注册信息 的下行链路传输的单向或者双向连接而被向设备传送。设备管理 (DM)协议(不同于ROAP)比如Sync ML DM协议V.1.1.2或者 OMA“Firmware Update Management Object(固件更新管理对象)” 方法可以用于在设备上在线安装注册信息。
根据又一个变例，步骤208包括通过单向通信链路比如广播信道 提供注册信息给设备。这个变例还要求一个可到达的设备(即，至少 是接通的设备)。因为在广播情形下，所有工作设备可以接收(通常 设备特定的)注册信息，所以广播注册信息可以被保护使得仅单个合 法接收设备可以使用它。为此，广播注册信息可以(例如，使用设备 的公钥)被加密。
在上述所有变例中，在图1中描述的4步注册协议的内在安全性 不能得到充分保证。安全方面的任何损失可以通过保护向设备传送的 注册信息来至少部分地得到补偿。保护注册信息可以以各种方式来执 行。一种选择是将具有授权中心的私钥(其可以由设备使用授权中心 的公钥证书来检验)的签名应用到注册信息上。此外，可以利用上面 描述的加密技术的任何一种。
通常，被保护数字内容的有效性(和可用性)被链接到DRM时 间(例如，被保护内容的使用可以限于有限时段)。取代如OMA DRM 2.0标准中规定的4步注册协议在DRM时间在设备和授权中心服务器 之间偏离的情况下可能要求新的机制来设置或同步该DRM时间。为 了虑及时间设置和/或授权中心服务器(或具有类似功能性的任何其它 服务器)与设备之间的定时同步，OCSP时间可以被包括在注册信息 (而不是仅授权中心DRM时间，其可能不安全并且有可能不准确) 中。OCSP时间可以然后由授权中心服务器和设备使用来用于设置 DRM时间以及因此用于同步DRM定时。
图3示出了上述方法可以在其中实施的DRM系统300。DRM系 统300包括具有DRM能力的设备10(比如移动电话、个人数字助理、 或者具有DVB能力的电视机)、授权中心服务器12、OCSP应答服 务器14、内容提供商服务器16、中间网络部件18(比如可以与设备 10协同放置的个人计算机)、以及DRM性能服务器20。DRM性能 服务器20为专用服务器，其被配置来提供关于设备10的设备信息给 中间网络部件18和授权中心服务器12中的一者或两者。应当指出， 在某些实施例中，并非图3所示的所有部件都将被需要来实施本发明。
设备10与内容提供商服务器16和授权中心服务器12通过网络 连接(例如，通过互联网)进行通信。设备10和内容提供商服务器16 之间的通信可以致力于传送数字内容24(其可以是加密的)给设备10。 在设备10和授权中心服务器12之间的通信期间，可以传送使用数字 内容24所需要的注册信息26。
设备10和中间网络部件18之间的通信可以通过可移动存储介质 22比如SIM卡、通过电缆或者通过短距离传输技术来执行。一方面 的中间网络部件18与另一方面的DRM性能服务器20和授权中心服 务器12中的一个或两个之间的通信可以通过网络连接(例如，通过 互联网)进行。授权中心服务器12可以与DRM性能服务器20和OCSP 应答服务器14中的一者或两者协同放置，或者它可以与这些部件的 一者或两者通过网络连接(例如，互联网或者内联网)进行通信。
授权中心服务器12或中间网络部件18(或者两者)可以具有如 图4中所示的内部配置。在图4中，描绘了用于向授权中心服务器12 注册设备10的装置400。装置400包括具有用于至少临时存储授权中 心信息的存储部件42的注册信息生成器40、用于接收设备信息的接 口44、以及用于从授权中心信息和设备信息生成注册信息的处理器 46。设备400进一步包括接口48，该接口能够向设备10传送注册信 息。注册信息包括允许使用被保护内容的信息(例如，设备10的授 权中心上下文)。
下面，将更具体地讨论涉及图3中所示的部件的子组的若干典型 注册消息传送的情况。
图5描绘了涉及设备10、授权中心服务器12和DRM性能服务 器20的注册消息传送情况。在第一消息传送步骤中，授权中心服务 器12传输设备10的设备标识符给DRM性能服务器20。基于所接收 的设备标识符，DRM性能服务器20查找设备信息(比如设备证书和 设备性能)。由DRM性能服务器20查找的设备信息通过第二消息返 回给授权中心服务器12。基于已经可用于授权中心服务器12的该授 权中心信息和从DRM性能服务器20接收的设备信息，授权中心服务 器12生成注册信息(步骤3)。在步骤4中，使用上面所述的传送技 术之一向设备10传送注册信息。
在第五步骤中，设备10本地存储注册信息。如果设备10与OMA DRM 2.0标准兼容，那么存储注册信息生成或建立授权中心上下文。 一旦授权中心上下文已经建立，设备10就准备接收包括解密和使用 被保护内容所需要的密钥的权利对象(步骤6)。使用包括在步骤6 中接收的权利对象中的密钥，设备10被使能来解密可以在步骤7中 从内容提供商服务器16(未示出)或任何其它内容源中接收的被保护 内容。
图6示出了用于向授权中心服务器12注册具有DRM能力的设备 10的另外的消息传送的情况。图6中示出了的情况另外还涉及中间网 络部件18而不是图5中所示的DRM性能服务器。
在第一步骤中，通过上面描述的技术的任何一种(例如，使用可 移动存储介质、电缆或短距离无线技术)将设备信息从设备10传送 到中间网络部件18。设备信息由中间网络部件18转发给授权中心服 务器12(步骤2)。在下一个步骤中，授权中心服务器12基于所接 收的设备信息和本地可用的授权中心信息生成注册信息。因此获得的 注册信息然后从授权中心服务器12向设备10传送。这个传送包括在 授权中心服务器12和中间网络部件18之间的第一分步骤(步骤4) 和在中间网络部件18和设备10之间的第二分步骤(步骤5)。在另 一个步骤中，设备10存储所接收的注册信息。接着可以是进一步的 步骤(未示出)，象传输密钥来解密被保护内容以及传输使用那个密 钥加密的被保护内容。
为了增强DRM安全性(例如，用来抵抗重播、中间人入侵、和 非最新会话的保护)，被发送到设备10的注册信息(图5中的步骤4 和图6中的步骤4与5)可以被保护。为此，注册信息可以使用私钥 (例如授权中心的私钥)来签名，所述私钥可以使用对应的公钥证书 由设备10来验证。另外地，或者可替代地，可以使用加密技术。为 了DRM定时同步或者设置目的，还可以另外设想来在单独的消息中 或者与注册信息一起传递OCSP时间(其可以由授权中心服务器12 从OCSP应答服务器14获得)给设备10。
从上面可以明显看到，本发明允许在不需要与所述设备的交互式 注册过程的情况下，为具有DRM能力的设备提供考虑设备特定能力 而生成的注册信息。这允许在不支持交互式反馈信道的设备和系统或 者在其中使用这样的信道用于DRM注册不可行或者不优选的上下文 中，使用OMA DRM 2.0标准或者任何其它DRM标准。特别地，OMA DRM 2.0标准或类似标准可以因此被延伸到广播情形中。而且，注册 信息可以在设备被交付到终端用户之前(例如，为了特定网络运营商 web入口)预安装。
虽然本发明已经关于其优选实施例加以描述，但是应当理解本公 开仅是示例性。因此，本发明仅由其所附权利要求的范围来限定。