[发明专利]一种数字版权保护系统中终端设备可信认证方法

说明书

一种数字版权保护系统中终端设备可信认证方法，涉及信息安全领域。本发明方法的主要实施步骤为：1）设备信息注册与授权处理；2）设备身份注册与授权处理；3）终端设备的可信认证处理。本发明综合运用非对称密码技术和可信认证技术，实现终端设备的合法性授权和身份可信验证的统一管理，为数字内容的版权保护构建一个安全可信的终端设备环境。

技术领域

本发明涉及信息安全领域，特别是数字版权保护系统中终端设备可信认证方法。

背景技术

数字版权保护系统中的终端设备是数字内容的呈现设备，它负责控制用户端的数字内容的合法使用，防止数字内容的非法复制，保证用户只能按照授予的使用权利使用数字内容。所以，终端设备是数字版权保护技术成功实施的关键部分，它自身的设备合法性和身份可信性是数字版权保护系统的重要基础。

在数字版权保护系统中，终端设备的设备合法性表现为经过数字版权保护系统的合法授权，终端设备的身份可信性表现为设备是经过认证的合法用户的合法设备。所以，数字版权保护系统中的终端设备的可信认证具有多层次认证的特点。

在现有的数字版权保护系统中，对终端设备的可信认证主要是采用基于PKI（Public Key Infrastructure）技术的认证方式保证终端设备的合法性。而由于数字技术的飞速发展，这种单一的设备可信认证方法已不能满足当前种类繁多的数字内容及应用的数字版权保护需求，所以，需要综合运用可信认证技术，实现统一的终端设备的设备合法性和身份可信性的可信认证和管理。

发明内容

针对上述现有技术中存在的问题，本发明的目的是提供一种数字版权保护系统中终端设备可信认证方法。它综合运用非对称密码技术和可信认证技术，实现终端设备的合法性授权和身份可信验证的统一管理，为数字内容的版权保护构建一个安全可信的终端设备环境。

为了实现上述发明目的，本发明的技术方案以如下方式实现：

一种数字版权保护系统中终端设备可信认证方法，它使用由第三方设备认证机构使用的设备认证授权管理系统、终端设备生产厂商使用的设备注册管理系统、数字版权保护系统运营服务端系统使用的设备身份管理与可信认证系统和数字版权保护系统终端设备端系统使用的设备身份认证管理系统组成的终端设备可信认证系统。设备认证授权管理系统由设备授权管理器和设备认证管理器组成。设备注册管理系统由设备注册管理器构成。设备身份管理与可信认证系统由设备身份授权管理器和设备可信认证管理器组成。设备身份认证管理系统由身份注册管理器和身份认证管理器组成。其实施步骤为：

①设备注册管理系统中的设备注册管理器从终端设备获取设备特征信息，生成设备信息注册申请数据块，设备信息注册申请数据块中包含设备特征信息、设备公钥和使用设备私钥签名的设备信息注册申请数据块的数字签名。

②设备信息注册申请数据块通过设备注册管理系统和设备认证授权管理系统之间的网络安全传输通道传递到设备认证授权管理系统。

③设备认证授权管理系统中的设备授权管理器使用设备信息注册申请数据块中的设备公钥验证设备信息注册申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，则生成设备唯一标识DevID和与DevID一一对应的加密密钥Kd，并使用加密密钥Kd和对称加密算法对设备信息注册申请数据块中的设备特征信息进行加密处理，得到设备特征信息密文。设备唯一标识DevID和加密密钥Kd保存在设备认证授权管理系统中；

④设备认证授权管理系统中的设备授权管理器生成终端设备的设备证书，设备证书包含设备唯一标识DevID、设备公钥、设备特征信息密文、授权系统公钥和使用授权系统私钥签名的设备证书的数字签名。

5终端设备的设备证书将通过设备注册管理系统和设备认证授权管理系统之间的网络安全传输通道传递到终端设备，并存储在终端设备上。