[发明专利]一种数字版权保护系统中终端设备可信认证方法

摘要

一种数字版权保护系统中终端设备可信认证方法，涉及信息安全领域。本发明方法的主要实施步骤为：1）设备信息注册与授权处理；2）设备身份注册与授权处理；3）终端设备的可信认证处理。本发明综合运用非对称密码技术和可信认证技术，实现终端设备的合法性授权和身份可信验证的统一管理，为数字内容的版权保护构建一个安全可信的终端设备环境。

主权项

一种数字版权保护系统中终端设备可信认证方法，它使用由第三方设备认证机构使用的设备认证授权管理系统（A）、终端设备生产厂商使用的设备注册管理系统(B)、数字版权保护系统运营服务端系统使用的设备身份管理与可信认证系统(C)和数字版权保护系统终端设备端系统使用的设备身份认证管理系统(D)组成的终端设备可信认证与管理系统；所述设备认证授权管理系统（A）由设备授权管理器（1）和设备认证管理器（2）组成；所述设备注册管理系统(B)由设备注册管理器（3）组成；所述设备身份管理与可信认证系统(C)由设备身份授权管理器（4）和设备可信认证管理器（5）组成；所述设备身份认证管理系统(D)由身份注册管理器（6）和身份认证管理器（7）组成；其主要实施步骤为：1）设备信息注册与授权处理：①设备注册管理系统(B)中的设备注册管理器（3）从终端设备获取设备特征信息，生成设备信息注册申请数据块，设备信息注册申请数据块中包含设备特征信息、设备公钥和使用设备私钥签名的设备信息注册申请数据块的数字签名；②设备信息注册申请数据块通过设备注册管理系统(B)和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备认证授权管理系统（A）；③设备认证授权管理系统（A）中的设备授权管理器（1）使用设备信息注册申请数据块中的设备公钥验证设备信息注册申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，则生成设备唯一标识DevID和与DevID一一对应的加密密钥Kd，并使用加密密钥Kd和对称加密算法对设备信息注册申请数据块中的设备特征信息进行加密处理，得到设备特征信息密文；设备唯一标识DevID和加密密钥Kd保存在设备认证授权管理系统（A）中；④设备认证授权管理系统（A）中的设备授权管理器（1）生成终端设备的设备证书（8），设备证书（8）包含设备唯一标识DevID、设备公钥、设备特征信息密文、授权系统公钥和使用授权系统私钥签名的设备证书（8）的数字签名；终端设备的设备证书（8）将通过设备注册管理系统(B)和设备认证授权管理系统（A）之间的网络安全传输通道传递到终端设备，并存储在终端设备上；2）设备身份注册与授权处理：①设备身份认证管理系统（D）的身份注册管理器（6）从数字版权保护系统终端设备端系统获取设备的用户身份信息、设备特征信息和设备证书（8），使用设备证书（8）中的授权系统公钥验证设备证书（8）的数字签名，确认设备证书（8）的合法性和完整性；如通过数字签名验证，生成设备身份注册申请数据块，设备身份注册申请数据块内包含用户身份信息、设备特征信息、设备证书和使用设备私钥签名的设备身份注册申请数据块的数字签名；②设备身份注册申请数据块通过设备身份认证管理系统（D）和设备身份管理与可信认证系统（C）之间的网络安全传输通道传递到设备身份管理与可信认证系统（C）；③设备身份管理与可信认证系统（C）中的设备身份授权管理器（4）使用设备身份注册申请数据块内设备证书（8）中的设备公钥验证设备身份注册申请数据块的数字签名，确认设备身份注册申请数据块的合法性和完整性；如通过数字签名验证，设备身份授权管理器（4）从数字版权保护系统运营端系统获取设备的用户身份信息，与设备身份注册申请数据块中的用户身份信息进行比对，如果数据一致，生成设备信息认证申请数据块，设备信息认证申请数据块包含设备身份注册申请数据块中的设备特征信息、设备证书、运营系统公钥和使用运营系统私钥签名的设备信息认证申请数据块的数字签名；④设备信息认证申请数据块将通过设备身份管理与可信认证系统（C）和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备认证授权管理系统（A）；⑤设备认证授权管理系统（A）的设备认证管理器（2）使用设备信息认证申请数据块中的运营系统公钥验证设备信息认证申请数据块的数字签名，确认设备信息注册申请数据块的合法性和完整性；如通过数字签名验证，使用保存在设备认证授权管理系统（A）中的与设备证书（8）中设备唯一标识DevID对应的加密密钥Kd对设备证书中的设备特征信息密文进行解密处理，得到设备特征信息明文，将设备特征信息明文与设备信息认证申请数据块中的设备特征信息进行比对，如果数据一致，生成设备身份注册应答数据块，设备身份注册应答数据块内包含设备特征信息、设备证书（8）和使用授权系统私钥签名的设备身份注册应答数据块的数字签名；⑥设备身份注册应答数据块将通过设备身份管理与可信认证系统（C）和设备认证授权管理系统（A）之间的网络安全传输通道传递到设备身份管理管理与可信认证系统（C）；⑦设备身份管理与可信认证系统（C）中的设备身份授权管理器(4)使用设备身份注册应答数据块内容及设备证书（8）中的授权系统公钥验证设备身份注册应答数据块的数字签名，确认设备信息注册应答数据块的合法性和完整性；如通过数字签名验证，则生成唯一的设备身份标识DevUID和与DevUID一一对应的加密密钥Ku，并使用加密密钥Ku和对称加密算法分别对设备身份注册申请数据块中的设备特征信息和用户身份信息进行加密处理，得到设备特征信息密文和用户身份信息密文；设备身份标识DevUID和加密密钥Ku保存在设备身份管理与可信认证系统（C）中；⑧设备身份管理与可信认证系统（C）中的设备身份授权管理器（4）生成设备身份凭证（9），设备身份凭证（9）包含身份标识DevUID、设备证书、设备特征信息密文、用户身份信息密文、运营系统公钥和使用运营系统私钥签名的设备身份凭证的数字签名；⑨设备身份凭证（9）通过设备身份管理与可信认证系统（C）和设备身份认证管理系统（D）之间的网络安全传输通道传递到终端设备，并存储在终端设备上；3）终端设备的可信认证处理：①设备身份认证管理系统（D）的身份认证管理器（7）从数字版权保护系统终端设备端系统获取设备的用户身份信息、设备特征信息和设备身份凭证（9），使用设备身份凭证（9）中的运营系统公钥验证设备身份凭证（9）的数字签名，确认设备身份凭证（9）的合法性和完整性；如通过数字签名验证，生成设备身份认证凭证数据块，设备身份认证凭证数据块内包含用户身份信息、设备特征信息、设备身份凭证（9）和使用设备私钥签名的设备身份认证凭证数据块的数字签名；②设备身份认证凭证数据块通过设备身份认证管理系统（D）和设备身份管理与可信认证系统（C）之间的网络安全传输通道传递到设备身份管理与可信认证系统（C）；③设备身份管理与可信认证系统（C）中的设备可信认证管理器（5）使用设备身份认证凭证数据块内设备证书中的设备公钥验证设备身份认证申请数据块的数字签名，确认设备身份认证凭证数据块的合法性和完整性；如通过数字签名验证，使用保存在设备身份管理与可信认证系统（C）中的与设备身份凭证（9）中设备身份标识DevUID对应的加密密钥Ku，分别对设备身份凭证（9）中的设备特征信息密文和用户身份信息密文进行解密处理，得到设备特征信息明文和用户身份信息明文，将设备特征信息明文和用户身份信息明文分别与设备身份信息认证凭证数据块中的设备特征信息和用户身份信息进行比对，如果数据一致，设备身份管理与可信认证系统（C）实现了对终端设备的设备身份的可信认证。