[发明专利]DRM客户端证书的防克隆方法、存储介质及电子设备

说明书

本申请提供一种DRM客户端证书的防克隆方法、存储介质及电子设备，方法应用于DRM前端系统，包括：接收DRM客户端发送的请求报文，请求报文中包括DRM客户端证书指纹和表征DRM客户端的运行情况的运行环境参数；在DRM客户端证书指纹验证成功且确定运行环境参数较之初始环境参数发生变更时，确定出与DRM客户端关联的合法个人身份，并向DRM客户端发送验证请求；接收DRM客户端基于验证请求发送的验证信息，以及，根据合法个人身份验证验证信息对应的个人身份是否合法。在检测DRM客户端的运行环境参数变更时，对用户的个人身份进行验证，可以确保使用DRM客户端证书的用户的个人身份是合法的，尽可能避免数字证书克隆的情况，进一步提升数字证书的安全性。

技术领域

本申请涉及数据通信领域，具体而言，涉及一种DRM客户端证书的防克隆方法、存储介质及电子设备。

背景技术

DRM(Digital Rights Management，数字版权管理)系统包括前端系统和客户端，前端系统主要负责视频加密、向客户端分发数字证书(包括私钥和签名证书链)、向客户端分发许可证，运行于终端上的客户端主要负责向前端系统请求数字证书及许可证，以及视频解密。

DRM系统使用DRM客户端证书来证明终端的身份并且保护终端与前端系统之间的通信；客户端在向前端系统申请数字证书时，请求报文中带有客户端唯一标识，前端系统根据客户端唯一标识分配一个未使用的DRM客户端证书，并将客户端唯一标识和DRM客户端证书的证书指纹作一对一绑定。DRM客户端获取到数字证书后，加密并保存在终端的存储器中。为了防止DRM客户端证书泄露，数字证书加密后保存，加密密钥一般由客户端唯一标识派生。

攻击DRM客户端证书的常用方法是证书克隆，即将合法终端上的DRM客户端证书拷贝到非法终端上使用。由于证书使用了DRM客户端标识进行加密，如果非法终端和合法终端的DRM的客户端标识相同，则非法终端能正常的使用合法终端的DRM客户端证书。要防止证书克隆，主要依赖于DRM客户端标识的唯一性。

当前普遍使用的方法是使用终端的标识信息，例如MAC(Media Access Control，介质访问控制)地址、智能终端的设备序列号中的一种或两种，作为客户端唯一标识。由于MAC地址和终端的设备序列号在芯片或终端生产阶段固化到终端的存储器中，篡改难度较大，因此较好的保证了DRM客户端标识的唯一性。但现有方法在终端克隆(即将非法终端的MAC地址或设备序列号篡改为合法终端的对应值)的情况下，将合法终端保存的DRM客户端证书拷贝到克隆终端上，就实现了证书克隆。目前，篡改MAC地址及设备序列号的攻击技术在黑客群体中已经较为常见，比如“MAC地址修改器”、“XX机顶盒序列号修改器”等等。

因此，如何进一步提升数字证书的安全性，尽可能避免数字证书克隆的情况，也是一个需要解决的问题。

发明内容

本申请实施例的目的在于提供一种DRM客户端证书的防克隆方法、存储介质及电子设备，以进一步提升数字证书的安全性，避免数字证书克隆的情况。

为了实现上述目的，本申请的实施例通过如下方式实现：

第一方面，本申请实施例提供一种DRM客户端证书的防克隆方法，应用于服务器上安装的DRM前端系统，所述方法包括：接收终端上安装的DRM客户端发送的请求报文，所述请求报文中包括DRM客户端证书指纹和用于表征所述DRM客户端的运行情况的运行环境参数；在所述DRM客户端证书指纹验证成功且确定所述运行环境参数较之初始环境参数发生变更时，确定出与所述DRM客户端关联的合法个人身份，并向所述DRM客户端发送用于验证个人身份的验证请求；接收所述DRM客户端基于所述验证请求发送的验证信息，以及，根据所述合法个人身份验证所述验证信息对应的个人身份是否合法。