一种数字版权保护系统中终端设备可信认证方法及其系统技术方案

一种数字版权保护系统中终端设备可信认证方法及其系统，涉及信息安全领域。本发明专利技术系统由设备认证授权管理系统、设备注册管理系统、设备身份管理与可信认证系统以及设备身份认证管理系统组成。所述设备认证授权管理系统由设备授权管理器、设备认证管理器组成。所述设备注册管理系统由设备注册管理器构成。所述设备身份管理与可信认证系统由设备身份授权管理器和设备可信认证管理器组成。所述设备身份认证管理系统由身份注册管理器和身份认证管理器组成。本发明专利技术综合运用非对称密码技术和可信认证技术，实现终端设备的合法性授权和身份可信验证的统一管理，为数字内容的版权保护构建一个安全可信的终端设备环境。

【技术实现步骤摘要】
一种数字版权保护系统中终端设备可信认证方法及其系统
本专利技术涉及信息安全领域，特别是数字版权保护系统中终端设备可信认证方法及其系统。
技术介绍
数字版权保护系统中的终端设备是数字内容的呈现设备，它负责控制用户端的数字内容的合法使用，防止数字内容的非法复制，保证用户只能按照授予的使用权利使用数字内容。所以，终端设备是数字版权保护技术成功实施的关键部分，它自身的设备合法性和身份可信性是数字版权保护系统的重要基础。在数字版权保护系统中，终端设备的设备合法性表现为经过数字版权保护系统的合法授权，终端设备的身份可信性表现为设备是经过认证的合法用户的合法设备。所以，数字版权保护系统中的终端设备的可信认证具有多层次认证的特点。在现有的数字版权保护系统中，对终端设备的可信认证主要是采用基于PKI（PublicKeyInfrastructure）技术的认证方式保证终端设备的合法性。而由于数字技术的飞速发展，这种单一的设备可信认证方法已不能满足当前种类繁多的数字内容及应用的数字版权保护需求，所以，需要综合运用可信认证技术，实现统一的终端设备的设备合法性和身份可信性的可信认证和管理。
技术实现思路
针对上述现有技术中存在的问题，本专利技术的目的是提供一种数字版权保护系统中终端设备可信认证方法及其系统。它综合运用非对称密码技术和可信认证技术，实现终端设备的合法性授权和身份可信验证的统一管理，为数字内容的版权保护构建一个安全可信的终端设备环境。为了实现上述专利技术目的，本专利技术的技术方案以如下方式实现：一种数字版权保护系统中终端设备可信认证方法，它使用由第三方设备认证机构使用的设备认证授权管理系统、终端设备生产厂商使用的设备注册管理系统、数字版权保护系统运营服务端系统使用的设备身份管理与可信认证系统和数字版权保护系统终端设备端系统使用的设备身份认证管理系统组成的终端设备可信认证系统。设备认证授权管理系统由设备授权管理器和设备认证管理器组成。设备注册管理系统由设备注册管理器构成。设备身份管理与可信认证系统由设备身份授权管理器和设备可信认证管理器组成。设备身份认证管理系统由身份注册管理器和身份认证管理器组成。其主要实施步骤为：1）设备信息注册与授权处理：①设备注册管理系统中的设备注册管理器从终端设备获取设备特征信息，生成设备信息注册申请数据块，设备信息注册申请数据块中包含设备特征信息、设备公钥和使用设备私钥签名的设备信息注册申请数据块的数字签名。②设备信息注册申请数据块通过设备注册管理系统和设备认证授权管理系统之间的网络安全传输通道传递到设备认证授权管理系统。③设备认证授权管理系统中的设备授权管理器使用设备信息注册申请数据块中的设备公钥验证设备信息注册申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，则生成设备唯一标识DevID和与DevID一一对应的加密密钥Kd，并使用加密密钥Kd和对称加密算法对设备信息注册申请数据块中的设备特征信息进行加密处理，得到设备特征信息密文。设备唯一标识DevID和加密密钥Kd保存在设备认证授权管理系统中；④设备认证授权管理系统中的设备授权管理器生成终端设备的设备证书，设备证书包含设备唯一标识DevID、设备公钥、设备特征信息密文、授权系统公钥和使用授权系统私钥签名的设备证书的数字签名。⑤终端设备的设备证书将通过设备注册管理系统和设备认证授权管理系统之间的网络安全传输通道传递到终端设备，并存储在终端设备上。2）设备身份注册与授权处理：①设备身份认证管理系统的身份注册管理器从数字版权保护系统终端设备端系统获取设备的用户身份信息、设备特征信息和设备证书，使用设备证书中的授权系统公钥验证设备证书的数字签名，确认设备证书的合法性和完整性；如通过数字签名验证，生成设备身份注册申请数据块，设备身份注册申请数据块内包含用户身份信息、设备特征信息、设备证书和使用设备私钥签名的设备身份注册申请数据块的数字签名。②设备身份注册申请数据块通过设备身份认证管理系统和设备身份管理与可信认证系统之间的网络安全传输通道传递到设备身份管理与可信认证系统。③设备身份管理与可信认证系统中的设备身份授权管理器使用设备身份注册申请数据块内设备证书中的设备公钥验证设备身份注册申请数据块的数字签名，确认设备身份注册申请数据块的合法性和完整性；如通过数字签名验证，设备身份授权管理器从数字版权保护系统运营端系统获取设备的用户身份信息，与设备身份注册申请数据块中的用户身份信息进行比对，如果数据一致，生成设备信息认证申请数据块，设备信息认证申请数据块包含设备身份注册申请数据块中的设备特征信息、设备证书、运营系统公钥和使用运营系统私钥签名的设备信息认证申请数据块的数字签名。④设备信息认证申请数据块将通过设备身份管理与可信认证系统和设备认证授权管理系统之间的网络安全传输通道传递到设备认证授权管理系统。⑤设备认证授权管理系统的设备认证管理器使用设备信息认证申请数据块中的运营系统公钥验证设备信息认证申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，使用保存在设备认证授权管理系统中的与设备证书中设备唯一标识DevID对应的加密密钥Kd对设备证书中的设备特征信息密文进行解密处理，得到设备特征信息明文，将设备特征信息明文与设备信息认证申请数据块中的设备特征信息进行比对，如果数据一致，生成设备身份注册应答数据块，设备身份注册应答数据块内包含设备特征信息、设备证书和使用授权系统私钥签名的设备身份注册应答数据块的数字签名。⑥设备身份注册应答数据块将通过设备身份管理与可信认证系统和设备认证授权管理系统之间的网络安全传输通道传递到设备身份管理管理与可信认证系统。⑦设备身份管理与可信认证系统中的设备身份授权管理器使用设备身份注册应答数据块内容及设备证书中的授权系统公钥验证设备身份注册应答数据块的数字签名，确认设备信息注册应答数据块的合法性和完整性；如通过数字签名验证，则生成唯一的设备身份标识DevUID和与DevUID一一对应的加密密钥Ku，并使用加密密钥Ku和对称加密算法分别对设备身份注册申请数据块中的设备特征信息和用户身份信息进行加密处理，得到设备特征信息密文和用户身份信息密文。设备身份标识DevUID和加密密钥Ku保存在设备身份管理与可信认证系统中；⑧设备身份管理与可信认证系统中的设备身份授权管理器生成设备身份凭证，设备身份凭证包含身份标识DevUID、设备证书、设备特征信息密文、用户身份信息密文、运营系统公钥和使用运营系统私钥签名的设备身份凭证的数字签名。⑨设备身份凭证通过设备身份管理与可信认证系统和设备身份认证管理系统之间的网络安全传输通道传递到终端设备，并存储在终端设备上。3）终端设备的可信认证处理：①设备身份认证管理系统的身份认证管理器从数字版权保护系统终端设备端系统获取设备的用户身份信息、设备特征信息和设备身份凭证，使用设备身份凭证中的运营系统公钥验证设备身份凭证的数字签名，确认设备身份凭证的合法性和完整性；如通过数字签名验证，生成设备身份认证凭证数据块，设备身份认证凭证数据块内包含用户身份信息、设备特征信息、设备身份凭证和使用设备私钥签名的设备身份认证凭证数据块的数字签名。②设备身份认证凭证本文档来自技高网...

【技术保护点】
一种数字版权保护系统中终端设备可信认证方法，它使用由第三方设备认证机构使用的设备认证授权管理系统（A）、终端设备生产厂商使用的设备注册管理系统(B)、数字版权保护系统运营服务端系统使用的设备身份管理与可信认证系统(C)和数字版权保护系统终端设备端系统使用的设备身份认证管理系统(D)组成的终端设备可信认证与管理系统；所述设备认证授权管理系统（A）由设备授权管理器（1）和设备认证管理器（2）组成；所述设备注册管理系统(B)由设备注册管理器（3）组成；所述设备身份管理与可信认证系统(C)由设备身份授权管理器（4）和设备可信认证管理器（5）组成；所述设备身份认证管理系统(D)由身份注册管理器（6）和身份认证管理器（7）组成；其主要实施步骤为：

【技术特征摘要】
1.一种数字版权保护系统中终端设备可信认证方法，它使用由第三方设备认证机构使用的设备认证授权管理系统（A）、终端设备生产厂商使用的设备注册管理系统(B)、数字版权保护系统运营服务端系统使用的设备身份管理与可信认证系统(C)和数字版权保护系统终端设备端系统使用的设备身份认证管理系统(D)组成的终端设备可信认证与管理系统；所述设备认证授权管理系统（A）由设备授权管理器（1）和设备认证管理器（2）组成；所述设备注册管理系统(B)由设备注册管理器（3）组成；所述设备身份管理与可信认证系统(C)由设备身份授权管理器（4）和设备可信认证管理器（5）组成；所述设备身份认证管理系统(D)由身份注册管理器（6）和身份认证管理器（7）组成；其主要实施步骤为：1）设备信息注册与授权处理：①设备注册管理系统(B)中的设备注册管理器（3）从终端设备获取设备特征信息，生成设备信息注册申请数据块，设备信息注册申请数据块中包含设备特征信息、设备公钥和使用设备私钥签名的设备信息注册申请数据块的数字签名；②设备信息注册申请数据块通过设备注册管理系统(B)和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备认证授权管理系统（A）；③设备认证授权管理系统（A）中的设备授权管理器（1）使用设备信息注册申请数据块中的设备公钥验证设备信息注册申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，则生成设备唯一标识DevID和与DevID一一对应的加密密钥Kd，并使用加密密钥Kd和对称加密算法对设备信息注册申请数据块中的设备特征信息进行加密处理，得到设备特征信息密文；设备唯一标识DevID和加密密钥Kd保存在设备认证授权管理系统（A）中；④设备认证授权管理系统（A）中的设备授权管理器（1）生成终端设备的设备证书（8），设备证书（8）包含设备唯一标识DevID、设备公钥、设备特征信息密文、授权系统公钥和使用授权系统私钥签名的设备证书（8）的数字签名；终端设备的设备证书（8）将通过设备注册管理系统(B)和设备认证授权管理系统（A）之间的网络安全传输通道传递到终端设备，并存储在终端设备上；2）设备身份注册与授权处理：①设备身份认证管理系统（D）的身份注册管理器（6）从数字版权保护系统终端设备端系统获取设备的用户身份信息、设备特征信息和设备证书（8），使用设备证书（8）中的授权系统公钥验证设备证书（8）的数字签名，确认设备证书（8）的合法性和完整性；如通过数字签名验证，生成设备身份注册申请数据块，设备身份注册申请数据块内包含用户身份信息、设备特征信息、设备证书和使用设备私钥签名的设备身份注册申请数据块的数字签名；②设备身份注册申请数据块通过设备身份认证管理系统（D）和设备身份管理与可信认证系统（C）之间的网络安全传输通道传递到设备身份管理与可信认证系统（C）；③设备身份管理与可信认证系统（C）中的设备身份授权管理器（4）使用设备身份注册申请数据块内设备证书（8）中的设备公钥验证设备身份注册申请数据块的数字签名，确认设备身份注册申请数据块的合法性和完整性；如通过数字签名验证，设备身份授权管理器（4）从数字版权保护系统运营端系统获取设备的用户身份信息，与设备身份注册申请数据块中的用户身份信息进行比对，如果数据一致，生成设备信息认证申请数据块，设备信息认证申请数据块包含设备身份注册申请数据块中的设备特征信息、设备证书、运营系统公钥和使用运营系统私钥签名的设备信息认证申请数据块的数字签名；④设备信息认证申请数据块将通过设备身份管理与可信认证系统（C）和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备认证授权管理系统（A）；⑤设备认证授权管理系统（A）的设备认证管理器（2）使用设备信息认证申请数据块中的运营系统公钥验证设备信息认证申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，使用保存在设备认证授权管理系统（A）中的与设备证书（8）中设备唯一标识DevID对应的加密密钥Kd对设备证书中的设备特征信息密文进行解密处理，得到设备特征信息明文，将设备特征信息明文与设备信息认证申请数据块中的设备特征信息进行比对，如果数据一致，生成设备身份注册应答数据块，设备身份注册应答数据块内包含设备特征信息、设备证书（8）和使用授权系统私钥签名的设备身份注册应答数据块的数字签名；⑥设备身份注册应答数据块将通过设备身份管理与可信认证系统（C）和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备身份管理管理与可信认证系统（C）；⑦设备身份管理与可信认证系统（C）中的设备身份授权管理器(4)使用设备身份注册应答数据块内容及设备证书（8）中的授权系统公钥验证设备身份注册应答数据块的数字签名，确认设备信息注册应答数据块的合法性和完整性；如通过数字签名验证，则生成唯一的设备身份标识DevUID和与DevUID一一对应的加密密钥Ku，并使用加密密钥Ku和对称加密算法分别对设备身份注册申请数据块中的设备特征信息和用户身...

【专利技术属性】
技术研发人员：石晶，陆驿，孙照焱，陆达，
申请(专利权)人：同方股份有限公司，中国新闻出版研究院，
类型：发明
国别省市：北京,11