[发明专利]基于身份联合的数字资源权限控制方法

说明书

技术领域

本发明涉及数字权限管理(DRM，Digital Rights Management)领域，特别是涉及一种基于身份联合的数字资源权限控制方法。

背景技术

数字资源，如计算机文件、数字出版物等，其访问资源权限的控制及保护，是知识产权保护中的重要问题。

现有的数字资源权限控制方法通常分别加密及数字水印等类型。其中，数字水印对于跟踪数字资源的出处具有优势，而加密则对保护数字资源的机密性及实际的权限控制具有优势。

现有的加密型数字资源权限控制方法中，通常其密钥本身由用户在数字资源控制服务上的帐号(用户名/密码)或其终端设备的唯一标识进行保护。即只有在被保护数字资源的使用者在该资源控制服务处拥有帐号并正确提供用户名/密码，或该使用者所使用的终端设备的唯一标识在该资源控制服务处有所登记并得到其认可的情况下，该使用者才能顺利得到密钥，并对被保护的数字资源进行解密得到原文进行使用。

但是，这些加密型数字资源权限控制方法均有一个共同的缺点：如果使用者需要将该被保护的数字资源在一定范围内进行合法的传播时，该使用者不得不将其帐号/密码等信息共享给这些人，从而可能导致该帐号下的其他资源被泄漏。

如果该被保护资源是由普通密码派生的密钥进行加密，则传播时可以直接将该密码与被保护文档一起传与他人，但是由于传播过程中的风险，该密码有可能被中间人截获，从而使被保护的文档的数据也被泄露。

发明内容

本发明所要解决的技术问题就是为了克服上述现有技术存在的缺陷而提供一种基于身份联合的数字资源权限控制方法。

本发明的目的可以通过以下技术方案来实现：基于身份联合的数字资源权限控制方法，其特征在于，包括以下步骤：

a.数字权限控制服务器分别从多个第三方身份提供服务器请求得到信任证书；

b.数字资源发送端电子装置对需发送的数字资源进行安全保护处理，生成被保护数字资源文件以及数字资源保护相关元数据；

c.通过数字权限控制服务器将数字资源保护相关元数据写入数字权限控制数据库；

d.被保护数字资源文件通过传播渠道传播给接收端电子装置；

e.接收端电子装置通过一个第三方身份提供服务器向数字权限控制服务器验证身份后，从数字权限控制服务器得到相应的数字资源使用权限。

所述的信任证书为相应第三方身份提供服务器的公有信任证书，该公有信任证书用于验证经相应第三方身份提供服务器私有信任证书数字签名后的身份证明文件。

所述的数字资源保护相关元数据包括资源标识、数字权限控制服务器标识以及保护类型。

所述的步骤b进一步包括：

b1.检查当前数字资源是否已进行过安全保护处理，若是，则执行步骤b2，若否，则执行b3；

b2.向数字权限控制服务器验证当前操作用户是否拥有该数字资源的管理权限，若是，则执行步骤b5，若否，则执行步骤b8；

b3.为该资源生成数字资源保护相关元数据以及密钥；

b4.在数字资源中写入数字资源保护相关元数据，并通过密钥进行加密；

b5.读入当前操作用户指定的接受方信息；

b6.通过数字权限控制服务器将接受方信息，以及密钥写入数字权限控制数据库；

b7.安全保护处理结束。

所述的接受方信息包括接收方身份标识以及权限标识。

所述的步骤e进一步包括：

e1.检测数字资源是否为被保护数字资源，若是，则执行e2，若否，则执行步骤e15；

e2.从数字资源中提取数字资源保护相关元数据；

e3.根据数字资源保护相关元数据向数字权限控制服务器请求相应的政策、规则文件(Policy)；

e4.根据获得的政策、规则文件，接收端电子装置提示用户选择相应的第三方身份提供服务器；

e5.根据选择将接收端电子装置接入该第三方身份提供服务器；

e6.接收端电子装置在第三方身份提供服务器上进行用户身份验证；

e7.第三方身份提供服务器检测是否通过验证，若是，则执行步骤e8，若否，则执行步骤e15；

e8.获得第三方身份提供服务器返回的身份证明文件；

e9.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器；

e10.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性；