在DRM结构中登记/子登记数字权利管理(DRM)服务器

摘要

一种具有多个执行DRM功能的DRM服务器的数字权利管理(DRM)系统，登记DRM－R服务器将进入DRM－E服务器登记到系统中，使得进入DRM－E服务器在系统内被信任。DRM－E服务器发送到DRM－R服务器的登记请求包括提供标识和公钥(PU－E)。DRM－R服务器确认提供标识，如果尊敬该请求，则为DRM－E服务器产生一个数字登记证书，将该DRM－E服务器登记到DRM系统中。具有已产生的登记证书的当前登记的DRM－E服务器能够使用证书在DRM系统内发布DRM文件。

说明书

相关申请的交叉引用

下列U.S.专利申请公开的主题与本申请的主题相关，并在此引入其全文作为参考：

2002年6月28日申请的U.S.专利申请No.10/185527，律师案卷号MSFT-1330，题目为“Obtaining a Signed Rights Label(SRL)for Digital Content and Obtaining aDigital License Corresponding to the Content Based on the SRL in a Digital RightsManagement System”；

2002年6月28日申请的U.S.专利申请No.10/185528，律师案卷号MSFT-1333，题目为“Using a Rights Template to Obtain a Signed Rights Label(SRL)for DigitalContent in a Digital Rights Management System”；

2002年6月28日申请的U.S.专利申No.10/185511，律师案卷号MSFT-1343，题目为“Systems And Methods For Issuing Usage Licenses For Digital Content AndServices”；

＿＿＿＿＿＿申请的U.S.专利申请No＿＿＿＿＿＿，律师案卷号MSFT-1498，题目为“Publishing Digital Content Within an Organization in Accordance with a DigitalRights Management(DRM)System；

＿＿＿＿＿＿申请的U.S.专利申请No＿＿＿＿＿＿，律师案卷号MSFT-1569，题目为“Publishing Digital Content Within an Organization in Accordance with aDigital Rights Management(DRM)System；和

与本申请同时在＿＿＿＿＿＿申请的U.S.专利申请No＿＿＿＿＿＿的，律师案卷号MSFT-1537，题目为“Issuing a Publisher Use License Off-Line in a DigitalRights Management(DRM)System”。

技术领域

本发明涉及一种数字权利管理(DRM)系统。尤其是，本发明涉及根据相应的使用和许可有效期，使用DRM系统在诸如办公室或公司或类似的组织中公开数字内容，以便再现和使用在组织中受约束的内容。更特别地，本发明涉及一种实现这种DRM系统的DRM服务器网络，和一种在该网络中登记或子登记DRM服务器的方法。

发明背景

与数字内容，诸如数字音频、数字视频、数字文本、数字数据、数字多媒体等有关的数字权利管理和实施是非常值得期待的，在此这些数字内容被分配给一个或多个用户。数字内容可以是静态的，诸如文本文件，或者例如它可以是流动的，诸如实况过程的流音频/视频。典型的分配方式包括有形设备，诸如磁(软)盘、磁带、光(只读)盘(CD)等，和有形介质，诸如电子公告板、电子网络、因特网等。当被用户接收时，用户借助于适合的再现设备，诸如个人计算机上的媒体播放器或类似设备，再现或播放该数字内容。

在一种情况中，内容所有者或权利所有者，诸如作者、出版者、广播电台等希望根据许可证费或一些其它补偿交换方式将这样的数字内容分配给每个用户或接受者。在这种情况下，这样的内容可以是歌曲、歌曲唱片、电影等，并且分配的目的是产生许可证费。如果有选择，这样的内容所有者希望限制用户对被分配的数字内容做处理。例如，该内容所有者希望限制用户复制和再分配该内容给第二用户，至少以一种拒绝内容所有者从第二用户获得许可证费的方式。

另外，该内容所有者希望提供给用户使用不同许可证费购买不同类型使用许可证的灵活性，而同时保持该用户实际可以购买任何类型许可证的条件。例如，该内容所有者希望允许仅在有限的次数，确定的总时间，特定类型的机器，特定类型的媒体播放器，通过特定类型的用户播放被分配的数字内容。

在其它情况中，内容开发者，诸如组织的成员或职员，希望将该数字内容分配给组织中的一个或多个其它职员或成员，或组织以外的其它个人，但是希望阻止他人再现该内容。这里，相对于以许可证费或其它补偿作为交换方式进行的无限分配，该内容的分配更类似于基于组织的内容以机密或限制方式共享。

在该情况中，该内容可以是文件图像、电子表格、数据库、电子邮件、或类似的诸如可以在办公环境中交换的内容，该内容开发者希望确保该内容保留在组织或办公环境中，并且不能被未授权的个人，诸如竞争者或对手再现。再者，该内容开发者希望限制接受者对被分配的数字内容所作的动作。例如，内容所有者希望限制该用户复制和再分配该内容给第二用户，至少以一种将该内容暴露在应当被允许再现该内容的个人范围之外的方式。

另外，该内容开发者希望给各种接受者提供不同级别的再现权利。例如，该内容开发者希望允许受保护的内容对于一种类型的个人来说可视但是不可打印的，而对于其它类型的个人是可视和可打印的。

然而，在任何情况下，当分配已经发生之后，这种内容所有者/开发者对数据内容的控制即便有也是很小的程度，考虑到实际上每台个人计算机包含造成该数字内容的精确数字副本，将精确的数字副本下载到可写入的磁或光盘中，或者通过网络，诸如因特网发送该精确的数据副本给任何目的地所必须的软件和硬件，这是一个很特别的问题。

当然，作为分配内容处理的一部分，内容所有者/开发者可以要求数字内容的用户/接受者承诺不会以不受欢迎的方式再次分配该数字内容。然而，该承诺容易做出也容易违反。内容所有者/开发者尝试通过若干已知的保密设备中的任何一种，通常包括加密和解密来阻止再分配。然而，阻止一个和善的已确定用户解密已加密的数字内容，以未加密形式存储该数字内容，之后再次分配该内容的可能性很小。

因而存在提供一种允许受控的再现或播放任意形式数字内容的数字权利管理(DRM)和实施结构及方法的需要，这种控制是灵活的并且可由数字内容的内容所有者/开发者定义。特别地，需要存在该结构，尤其是在定义的个人组或一类个人中共享文件的办公室或组织环境或类似的环境中，允许和有利于这种受控再现的结构。更特别地，存在对用于将批准授权服务器登记到该结构中的方法的需要。

发明概述

通过本发明可至少部分地满足上述需求，在本发明中数字权利管理(DRM)系统具有多个执行DRM功能的DRM服务器，和一个输入DRM-E服务器，通过登记DRM-R服务器将输入DRM-E服务器登记到系统中，以便其在系统内得到信任。在本发明中，该DRM-E服务器获得用于在DRM系统内识别DRM-E服务器的公共传用密钥对(PU-E，PR-E)，获得其提供的标识，并且向DRM-R服务器发送包括提供的标识和(PU-E)的登记请求。

该DRM-R服务器确认该提供的标识，并且如果该请求被重视，该服务器为DRM-E服务器产生数字登记证书，以将DRM-E服务器登记到DRM系统中。已产生的登记证书至少部分地基于(PU-E)。该DRM-R服务器将已产生的登记证书返回到请求DRM-E服务器，并且目前登记的DRM-E服务器将返回的登记证书存储在适合的位置用于以后使用。具有登记证书的DRM-E服务器能够使用登记证书以在DRM系统内发布DRM文件。

附图描述

当结合附图来阅读时，前面的概述以及下面的本发明实施例的详细描述将得到更好的理解。为了描述该发明的目的，在附图中显示了目前优选的实施例。然而，应当理解，本发明不限于所示的明确的结构和手段。在该附图中：

图1表示了可以实施本发明的示范性非限制计算环境的框图；

图2是表示可以实施本发明的示范性网络环境的框图，该环境具有各种计算设备；

图3是根据本发明用于公布数字内容的系统和方法的优选实施例的功能框图；

图4是根据本发明用于公布数字内容管理权利的方法的优选实施例流程图；

图4A显示了如图4的方法产生的被签名的权利标签的结构框图；

图5是根据本发明用于许可权利管理的数字内容的系统和方法的优选实施例框图；

图6A和6B是根据本发明用于许可权利管理的数字内容的方法的优选实施例流程图；

图7根据本发明优选实施例显示了由DRM服务器发布给用户以允许用户执行离线公布的的证书框图；

图8根据本发明一个实施例显示图7所示的证书和允许出版用户再现离线公布的内容的出版者许可证的框图；

图9根据本发明的一个实施例显示了出版用户为获得图8所示的出版许可证而执行的关键步骤的流程图；

图10根据本发明的一个实施例显示了出版用户使用已获得的图9所示的出版许可证所执行的关键步骤的流程图；

图11显示了基于信任的系统实例的实施结构框图；

图12表示多个DRM服务器的框图，该服务器诸如可以存在于本发明的结构中，通过其它(登记)DRM服务器发布相同的登记证书，将每个(输入)DRM服务器登记或子登记到该结构中；

图13显示了图12所示的登记证书和担保证书的框图，至少在一些情况中，该担保证书通过输入DRM服务器被输入到登记DRM服务器；

图14和15显示了由图13和14所示的登记和输入DRM服务器登记(图14)或子登记(图15)该输入DRM服务器所执行的关键步骤的流程图。

发明的详细描述

计算机环境

图1和下面的讨论意图提供一种对适合实施本发明的计算环境的简单通用的描述。然而，应当理解，各种手持的、便携式和其它各种计算设备都打算用于本发明。尽管以下描述了通用计算机，但其仅仅是一个范例，本发明只要求一种具有网络服务器互操作性和交互作用的瘦客户机。因此，本发明可以在网络化的主机服务的环境中实施，其中包含很少或最小的客户资源，例如网络环境，在该环境中客户设备服务器仅作为万维网的浏览器或接口服务。

尽管没有要求，本发明可以通过应用程序接口(API)实施，用于开发者使用和/或被包含在通用的计算机可执行指令上下文中描述的网络浏览软件中，诸如由一个或多个计算机，如客户工作站、服务器、或其他设备执行的程序模块。通常，程序模块包括执行特殊任务或执行特殊抽象数据类型的例程、程序、目标、成分、数据结构等等。典型地，程序模块的功能性可以如在各种实施例中所希望的那样被结合或被分布。而且，本领域技术人员将清楚本发明可以通过其它计算机系统配置实施。其它众所周知的可以适用于本发明的计算系统、环境、和/或配置包括、但不限于个人计算机(PC)，自动播音机器、服务器计算机、手持或膝上型设备、多处理器系统、基于微处理器的系统、可编程用户电子设备、网络PC、小型计算机、大型计算机等等。本发明也可以在分布式计算环境中实施，其中通过通信网络或其它数据传输介质连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括记忆体储存器设备的本地或远程计算机的存储介质中。

因此图1描述一种可以实施本发明的适合的计算系统环境100的范例，尽管如上面解释，但计算系统环境100仅仅是一个适合的计算环境的范例，并且不去建议对本发明的功能性和使用范围作任何限制。计算环境100不解释为相对于在示范性操作环境100中描述的任何一个部件或部件组合具有任何相关性或必需性。

参考图1，用于实施本发明的示范性系统包括以计算机110形式出现的通用计算设备。计算机110的部件可以包括、但不限于处理单元120、系统存储器130、以及将包括系统存储器的各种系统部件连接到处理单元120的系统总线121。该系统总线121可以是任何一种总线结构类型，该总线结构包括存储器总线或存储控制器、外围总线、和利用任何各种总线结构的局域总线。通过举例，这种结构包括工业标准结构(ISA)总线、微通道结构(MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局域总线、和外设部件互连(PCI)总线(也称作中层总线)，但不限于此。

计算机110典型地包括各种计算机可读介质。计算机可读介质可以是能被计算机110访问的任何可用介质，并且包括易失和非易失性介质，可移动或不可移动介质。通过举例，计算机可读介质可以包括计算机存储介质和通信介质，但不限于此。计算机存储介质包括以任何方法或技术执行的用于信息存储的易失和非易失性、移动性或非移动性介质，该信息诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括RAM、ROM、EEPROM、快速存储器或其它存储技术、CDROM、数字化通用磁盘(DVD)或其它光盘存储器、磁带盒、磁带、磁盘存储器、或其它磁盘存储设备、或其它任何可以用于存储想要的数据并且可以被计算机110访问的介质，但不限于此。通信介质典型地包括计算机可读指令、数据结构、程序模块或其它在已调制的数据信号诸如载波或其它传送机制中的数据，并且该通信介质包括任何信息传送介质。术语“已调制的数据信号”意味着该信号具有一个或多个它的特征集或者以某种方式变化以便编码信号中的信息。通过举例，通信介质包括有线介质，诸如有线网络或单线连接，以及无线介质，诸如声音、RF、红外线、和其它无线介质，不限于此。上述任何介质的组合应当包含在计算机可读介质的范围内。

系统存储器130包括计算机存储介质，该存储介质呈现为诸如只读存储器(ROM)131和随机存取存储器(RAM)132的易失和/或非易失存储器的形式。包含帮助在计算机110内部的元件之间传递信息的基本例程，诸如在起动期间的基本输入/输出系统133(BIOS)被典型地存储在ROM131中。RAM132典型地包含由处理单元120直接访问和/或目前在处理单元上操作的数据和/或程序模块。通过举例，图1描述了操作系统134、应用程序135、其它程序模块136和程序数据137，且不限于此。

计算机110还可以包括其它可移动/非可移动、易失/非易失性计算机存储介质。仅通过举例，图1描述了硬盘驱动器141，它读取或写入非可移动性、非易失性磁性介质，磁盘驱动器151读取或写入可移动性、非易失性磁盘152，以及光盘驱动器155，它读取或写入可移动性、非易失性光盘156，诸如CD ROM或其它光介质。其它可移动性/非可移动性，易失性/非易失性计算机存储介质可以用于示范性操作环境，该环境包括磁带盒、闪存卡、数字通用盘、数字录像磁带、固态RAM、固态ROM等等，但不限于此。硬盘驱动器141典型地通过非可移动性存储接口诸如接口140连接系统总线121，磁盘驱动器151和光盘驱动器155典型地通过可移动性存储接口，诸如接口150连接系统总线121。

上述讨论的并在图1显示的驱动器和与它们相关的计算机存储介质用于存储计算机可读指令、数据结构、程序模块和其它用于计算机110的数据。在图1中，例如，硬盘驱动器141被示意为存储操作系统144、应用程序145、其它程序模块146、和程序数据147。注意到这些组成部分可以相同或不同于操作系统134、应用程序135、其它程序模块136、和程序数据137。在这里操作系统144、应用程序145、其它程序模块146、和程序数据147被指定不同的编号以最小程度地说明它们是不一样的拷贝。用户可以通过输入设备，诸如被通称为鼠标、跟踪球或键盘162和点击设备161将命令或信息输入到计算机110中。其它输入设备(未示出)也可以包括麦克风、操纵杆、游戏键盘、圆盘式卫星天线、扫描仪或类似的设备。这些和其它的输入设备经常通过耦合到系统总线121的用户输入接口160连接处理单元120，但是也可以通过其它接口和总线结构，诸如并行端口、游戏端口、或通用串行总线(USB)进行连接。

监视器191或其它类型的显示设备也通过接口，诸如视频接口190连接系统总线121。图形接口182，诸如北桥(Northbridge)，也可以连接系统总线121。北桥(Northbridge)是与CPU或主机处理单元120通信的芯片组，并假设响应加速图形接口(AGP)通信。一个或多个图形处理单元(GPU)184可以与图形接口182通信。在这方面，GPU184通常包括芯片内记忆存储器，诸如与视频存储器186通信的寄存存储器和GPU184。然而，GPU184只是协处理器的一个范例，因此各种协处理器设备可以包含在计算机110内。监视器191或其它类型的显示设备也通过接口连接系统总线121，该接口诸如视频接口190，其可以轮流与视频存储器186通信。除了监视器191，计算机也可以包括其它外围输出设备，诸如扬声器197和打印机196，其可以通过输出外围接口195连接。

计算机110可以在利用逻辑连接一个或多个远程计算机，诸如远程计算机180的网络环境中进行操作。尽管只有记忆存储设备181在图1中描述，该远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它公共网络节点，并典型地包括多个或所有上述与计算机110有关的元件。在图1中描绘的逻辑连接包括局域网(LAN)171和广域网(WAN)173，但是也可以包括其它网络。该网络环境通常出现在办公室中，企业广域计算机网络、内部网和因特网。

当在LAN网络环境使用时，计算机110通过网络接口或适配器170连接LAN171。当在WAN网络环境使用时，该计算机110典型地包括调制解调器172或其它在WAN173上建立通信的设备，诸如因特网。调制解调器172可以是内部的或外部的，可以通过用户输入接口160，或其它适合的机构连接系统总线121。在网络环境中，已描绘的与计算机110相关的程序模块或其一部分，可以被存储在远程记忆存储设备中。通过举例，图1描述了驻留在存储器设备181中的远程应用程序185，但不限于此。将意识到所示的网络连接是示范性的，可以使用其它设备在计算机之间建立通信链路。

本领域普通技术人员将意识到计算机110或其它用户设备可以用作计算机网络的一部分。在这点上，本发明适合任何具有许多记忆或存储单元的计算机系统，并且贯穿许多存储单元和容积，发生许多应用程序和过程。本发明可以应用到具有在网络环境中使用的，具有远程或局部存储器的服务器计算机和客户计算机的环境中。本发明也可以应用到具有编程语言功能、再现和处理能力的独立计算设备中。

通过计算设备和系统之间的直接交换，分布式计算便于共享计算机资源和服务。这些资源和服务包括对于文件的信息交换、超高速缓存和磁盘存储。分布式计算利用网络连接性，允许客户利用它们的集体力量使整个企业受益。在这点上，各种设备可以具有相互作用以暗示本发明用于可信任的图形流水线的鉴别技术的应用程序、目标或资源。

图2提供示范网络或分布式计算环境的示意图。该分布式计算环境包括计算对象10a、10b等，以及计算对象或设备110a、110b、110c等。这些对象可以包括程序、方法、数据存储、可编程逻辑等。对象可以包括部分相同的或不同的设备，诸如PDA、电视、MP3播放器、电视、个人计算机等。每个对象通过通信网络14可以与其它对象通信。该网络本身可以包括向图2中的系统提供服务的其它计算对象和计算设备。根据本发明的一个方面，每个对象10或110可以包含应用程序，其能够请求本发明用于被信任的图形流水线的鉴别技术。

同样应当清楚，一个对象，诸如110c，可以是另一个计算设备10或110的主机。因此，尽管描绘的物理环境可以显示已连接的设备，如计算机，但该描述仅仅是示范性的，被描绘或描述的物理环境可以选择性地包括各种数字设备，诸如PDA、电视、MP3播放器等，软件对象诸如接口、COM对象等等。

存在各种支持分布式计算环境的系统、部件、和网络配置。例如，计算系统通过有线或无线系统，通过局部网络或广泛分布式网络连接在一起。普遍地，许多网络连接到提供用于广泛分布式计算的基础结构，并拥有许多不同网络的因特网。

在家庭网络环境中，至少存在四种完全不同的网络传送媒体，每种媒体支持唯一的协议，诸如电力线、数据(包括无线和有线)、声音(例如，电话)和娱乐媒体。大多数家庭控制设备，诸如照明开关和器具可以使用电力线连接。数据服务可以作为宽带(即，DSL或电缆调制解调器)进入家庭并且在家庭内部利用无线(例如，家庭射频或802.11b)或有线(例如，家庭PNA、Cat5、甚至电力线)连接进行访问。电话业务可以作为有线(例如，Cat3)或无线(例如，蜂窝电话)进入家庭，并且可以利用Cat3配线在家庭中分布。娱乐媒体可以通过卫星或电缆进入家庭，并且典型地利用同轴电缆分布在家庭中。IEEE1394和DVI正出现作为介质设备群的数字互连方式。作为协议标准出现的所有这些和其它的网络环境可以互连以形成内部网，该内部网通过因特网连接到外面的世界。简而言之，各种完全不同的资源存在于存储器和数据传输中，因此，在向前移动中，数据处理流水线所有部分的计算设备将需要内容保护的方法。

在计算机连网的领域中已知的“因特网”通常涉及利用TCP/IP协议组的网络集合和网关。TCP/IP是“Transport Control Protocol/Interface Program”的首字母缩写。因特网可以被描述为一种由计算机执行允许用户通过网络相互作用并共享信息的网络协议，互连地理分布的远程计算机网络的系统。由于这种广泛的信息共享，远程网络诸如因特网由此更广泛地被发展为开放系统，其中开发者可以设计软件应用程序用于实质上没有限制地执行专用的操作或服务。

因此，该网络基础结构使能网络拓扑诸如客户/服务器、对等式或混合结构的主机。该“客户”是使用其它无关的类或组的服务的类或组的成员。因此，在计算中，一个客户是一个过程，即粗略地说是一组指令或任务，其请求由其它程序提供的服务。该客户进程利用该请求的服务，不必“知道”任何与其它程序或服务本身有关的工作细节。在客户/服务器结构中，尤其是网络系统，客户通常是访问由其它计算机，例如服务器提供的共享网络资源的计算机。在图2的例子中，计算机110a、110b等可以被看作客户，计算机10a、10b等可以被看作服务器，在客户计算机110a、110b中保持被复制的数据。

服务器典型地是可通过远程计算机网络诸如因特网访问的远程计算机系统。该客户进程可以在第一计算机系统中激活，并且服务器进程可以在第二计算机系统中激活，并通过通信介质彼此互相通信，因此提供分布式功能并允许多个客户利用服务器的信息采集能力。

客户和服务器利用协议层提供的功能相互通信。例如，超文本传输协议(HTTP)是用于连接万维网(WWW)的公共协议。典型地，计算机网络地址诸如通用资源定位器(URL)或网际协议(IP)地址被用于服务器或客户的相互识别。网络地址可以被称作通用资源定位地址。例如，可以通过通信媒体来提供通信。实际上，客户和服务器可以通过大容量通信的TCP/IP连接互相耦合。

因此，图2描述了可以使用本发明的网络或分布式环境的实例，其中服务器通过网络/总线与客户计算机通信。更详细地，根据本发明，多个服务器10a、10b等，通过可以是LAN、WAN、内联网、因特网等的通信网络/总线14与多个客户或远程计算设备110a、110b、110c、110d、110e等互连，该客户或远程计算设备诸如编写计算机、手持计算机、客户机、联网设备、或其它设备，诸如VCR、TV、烤箱、灯、加热器及其类似的设备。由此注意到本发明可以应用于任何希望来处理、存储或再现来自可信资源的保密内容的计算设备。

在一种通信网络/总线14是因特网的网络环境中，例如，该服务器10可以是通过任何一个知名协议诸如HTTP与客户110a、110b、110c、110d、110e等通信的Web服务器。服务器10还可以充当客户110，这是分布式计算环境的特征。通信根据适合的地点，可以是有线或无线的。客户设备110可以是或不必通过通信网络/总线140通信，并且可具有与此相关的独立通信。例如，就TV或VCR来说，对于控制方面，它们可以是或不必是联网的。每个客户计算机110和服务计算机10可以配备各种应用程序模块或目标135，并且连接或访问各种类型的存储元件或目标，越过被存储的文件，或者被下载或移植的文件的部分。因此，本发明可以应用在计算机网络环境中，该环境具有可以访问和连接计算机网络/总线14的客户计算机110a、110b等，和可以连接客户计算机110a、110b等的服务器计算机10a、10b等，以及其它设备111和数据库20。

数字权利管理(DRM)概述

如所了解的，并参考图11，与数字内容12诸如数字音频、数字视频、数字文本、数字数据、数字多媒体等相关的数字权利管理(DRM)和实施是非常值得期待的，在此将数字内容12被分配给用户。当被用户接收时，该用户通过适合的再现设备诸如在个人计算机14上的媒体播放器或类似设备再现或‘播放’该数字内容。

典型地，分配该数字内容12的内容所有者或开发者(以下称作“所有者“)希望限制用户对该分配的数字内容12所进行的处理。例如，该内容所有者希望限制用户向第二用户复制和再分配该数字内容12，或希望允许只在有限的次数内，只在特定的总时间内，只在特定类型的机器上，只在特定类型的媒体播放器上，只有特定类型的用户播放该分配的数字内容12。

然而，分配已经发生之后，该内容所有者对数字内容12的控制非常小。那么DRM系统10允许受控地再现或播放任意类型的数字内容12，该控制是灵活的并且由该数字内容的内容所有者定义。典型地，通过任何适合的分配信道以一个包13的形式将数字内容12分配给用户。分配的数字内容包13可以包括具有对称加密/解密密钥(KD)(即，(KD(内容))的加密数字内容12，以及识别该内容的其他信息，怎样获得用于该内容的许可证等等。

该基于信任的DRM系统10允许数字内容12的所有者指定数字内容12被允许在用户的计算设备14上再现之前必须满足的许可证规则。该许可证规则可以包括前述的暂时的要求，并且可以体现在数字许可证或使用文件(以下称作“许可证”)16之内，用户/用户计算设备14(以下，除非情况需要，否则该术语可互换)必须从内容所有者或其代理中获得该数字许可证。该许可证16也包括用于解密该数字内容的解密密钥(KD)，或许由用户计算设备根据可解密的密钥来加密。

一段数字内容12的内容所有者必须信任用户的计算设备14将遵守该内容所有者在许可证16中指定的规则和要求，即，除非在许可证16中的规则和要求得到满足，否则将不能再现该数字内容12。优选地，该用户的计算设备14具有信任部件或机制18，除非根据体现在与内容有关的许可证16中并由用户获得的许可证规则，否则它将不再现该数字内容12。

该信任部件18典型地具有许可证鉴别器20，其确定许可证16是否有效，检查在该有效许可证16中的许可证规则和要求，并基于已检查到的许可证规则和要求确定其中请求用户是否有权利以寻找的方式再现请求的数字内容12。应当理解，许可证鉴别器20被信任在DRM系统10中，根据许可证16中的规则和请求去实施数字内容20所有者的希望，并且该用户不应当为任何目的，邪恶或其他方式，容易地改变该信任元件。

应当理解，在许可证16中的规则和要求能指定在基于任何因素，包括用户是谁、用户的位置在哪、用户使用什么类型计算设备、什么再现申请正在呼叫DRM系统、数据、时间等用户是否有权利再现该数字内容12。另外，许可证16的规则和要求可以限制该许可证16，例如，播放的预定次数、预定播放时间。

根据任何适合的语言和语法，可以指定许可证16中的规则和要求。例如，该语言可以仅仅指定必须满足的属性和值(例如，日期必须迟于X)，或者可以根据指定脚本执行功能(例如，如果日期大于X，然后执行...)。

当许可证鉴别器20确定许可证16是有效的，并且用户满足其中的规则和要求，则再现该数字内容12。实际上，为了再现该内容12，从许可证12中获得解密密钥(KD)，并且将其应用到来自内容包13的(KD(内容))中，以产生实际内容12，事实上该实际内容12被再现。

出版数字内容

图3是用于出版数字内容的系统和方法的功能性框图。作为在此使用的术语“出版”涉及一种过程，一种应用或服务跟随该过程通过信任机构来建立一组该机构可以为此内容公布的权利和条件，以及那些权利和要求可以发布给谁。根据本发明，出版处理包括加密该数字内容并结合一系列内容的作者打算提供所有可能的内容用户使用的不变的可实施的权利。这个处理可以以一种安全的方式执行，除非是内容的作者希望的，否则阻止访问任何权利或者内容。

实际上，三个机构用于出版保密的数字内容：内容准备应用302，在客户300上执行并准备用于出版的内容，数据权利管理(DRM)应用程序接口(API)306也驻留在客户设备300中，并且DRM服务器320通过通信网络330，诸如因特网、局域或广域网络、或上述的组合可通信地耦合到客户300上。

该内容准备应用302可以是任何产生数字内容的应用。例如，应用302可以是文字处理器或其他产生数字文本文件、数字音乐、视频或其他内容的出版者。该内容也可以包括流动的内容，诸如实况或录像事件的音频/视频流，或类似的。该应用302具有密钥来加密数字内容，因此形成加密的数字内容文件304，并且用户提供与在数字内容文件304中的加密内容联系紧密的权利数据。该权利数据包括识别在数字内容中具有权利的每个机构，以及用于每个已识别机构的一组权利和条件。

例如，这种机构可以是个体、一类个体或一个设备。这个权利可以包括读取、编辑、复制、打印等等数字内容的权利。条件可以包括最小系统要求、数据和时间限制、播放计数等。

该客户API306向DRM服务器320传送加密的数字内容和权利数据。使用将在下面详细描述的过程，DRM服务器320确定它是否能实施该权利数据，并且如果是这样，该DRM服务器320标记该权利数据以形成标记的权利标签(SRL)308。然而，通常，任何信任机构可以标记该权利数据，优选利用DRM服务器320信任的密钥。例如，客户可以利用由DRM服务器320提供的密钥来标记该权利数据。

该权利标签308可以包括表示权利说明的数据，加密的内容密钥，权利说明和加密内容密钥之上的数字签名。如果DRM服务器320标记该权利标签，它通过客户API306将签名的权利标签308传送回客户，在客户设备300上存储签名的权利标签308。之后，内容准备应用302将签名的权利标签308与加密的数字内容文件304结合，诸如例如通过级联以形成权利管理内容文件310。注意，虽然SRL308被存储在已知的与内容文件304分开的位置，根据SRL308连接该内容文件304以形成内容文件310。

现在参考图4，显示了一种用于出版权利管理的数字内容的方法。在步骤402，应用302产生用于加密数字内容的内容密钥(CK)。尽管任何密钥可以用来加密该数字内容，但内容密钥(CK)典型地是对称密钥。众所周知，通过对称密钥算法将对称密钥用于加密和解密。因此，当在发送者和接收者之间共享时，应当很好的隐藏(CK)。

在步骤404，应用302用(CK)加密该数字内容以形成加密的数字内容304(即，(CK(内容)))。另外，通过内容的出版者或通过其他机构产生相应于(CK(内容))的权利数据。注意这种权利数据可以是自定义权利数据或者从预定模板中获得权利数据。如上述所讨论的，权利数据可以包括被授权消费该内容的一列机构，每个机构具有相对于内容的特殊权利，和可以附加在这些权利上的任何条件。

在步骤406，该API306产生用于加密该内容密钥(CK)的第二加密密钥(K2)。优选地，(K2)也是对称密钥。在步骤408，该API306用(K2)加密(CK)以产生(K2(CK))。在步骤410，API306丢弃(CK)，结果是可以仅通过解密(K2(CK))来获得(CK)。为了确保(CK(内容))被中心DRM服务器320保护，并根据权利数据确保用于内容的所有“许可证请求”在中心完成，在步骤412，该API306联系该提供的DRM服务器320并查找其公钥(PU-DRM)。在步骤414，该API306用(PU-DRM)加密(K2)，产生(PU-DRM(K2))。因此，(CK)可以被(PU-DRM)保护，以确保当要求解密(CK(内容))时，DRM服务器320是能够访问(CK)的唯一实体。在步骤416，API306用(K2)加密权利数据(即，一列授权的机构和对应于列表中每个授权的机构的各个权利和条件)以产生(K2(权利数据))。

在可选择的实施例中，(CK)可用来直接加密该权利数据以产生(CK(权利数据))，(PU-DRM)可用来直接加密(CK)以产生(PU-DRM(CK))，因此上述完全使用(K2)。然而，利用(K2)加密该权利数据并且(CK)允许该(K2)遵照任何可以服从DRM服务器的特殊算法，然而独立于DRM的实体可以指定(CK)，并且可以不服从该指定。

在步骤418，内容保护应用302向DRM服务器320提交(PU-DRM(K2))和(K2(权利数据))作为用于签名的权利标签。可选择地，该客户本身能以下述的方式签名该权利数据。如果向服务器提交权利数据用于签名，那么，在步骤420，该DRM服务器320访问该权利数据并验证它能实施在提交的权利标签中的权利和条件。为了验证它能实施该权利数据，DRM服务器320将对应于(PU-DRM)的私钥(PR-DRM)应用到(PU-DRM(K2))以产生(K2)，然后将(K2)应用到(K2(权利数据))以产生不用密码的权利数据。然后，该服务器320可以进行任何策略检查以验证在权利数据中指定的用户、权利、和条件都位于由服务器320实施的任何策略中。服务器320签名该最初提交的包含(PU-DRM(K2))和(K2(权利数据))的权利标签，以产生被签名的权利标签(SRL)308，这里该签名基于DRM服务器320的私钥(PR-DRM)，并且将SRL308返回给API306，其表示SRL308返回到客户应用302。

SRL308是数字签名文件，这使得它抗干扰。另外，SRL308与实际用于加密内容的密钥类型和算法无关，而是保持与所保护的内容严格的一对一的关系。现在参考图4A，在本发明的一个实施例中，SRL308可以包含属于SRL308的基础内容的信息，或许包含内容的ID；在签名SRL308的DRM服务器上的信息，包含(PU-DRM(k2))和参考信息，诸如用于在网络中定位DRM服务器的URL，以及如果URL失效的后退信息；描述SRL308自身的信息；(K2(权利数据))；(K2(CK))；以及数字签名(S(PR-DRM))，除此以外。

通过确保信任机构签名权利数据以产生已签名的权利标签308，如在权利标签308的权利数据中描述的，DRM服务器320根据出版者提出的内容声明它将发布内容的许可证。应当清楚，尤其是由于当该许可证包含内容密钥(CK)时，用户要求获得许可证以再现该内容。当用户想获得用于加密内容的许可证时，该用户可以向DRM服务器320或其它证书发行机构提出包含对于内容的SRL308以及验证用户证书的许可证请求。之后，证书发行机构能解密(PU-DRM(K2))和(K2(权利数据))以产生权利数据，向证书请求机构列出所有由作者(若有的话)授予的权利，并且构造仅有这些指定权利的证书。

如上所述，当应用302收到SRL308时，这种应用302将已签名的权利标签308和对应的(CK(内容))304连接以形成权利管理的数字内容。可选择地，权利数据被存储在已知的具有加密数字内容的位置。因此，DRM-激活的再现应用能通过再现应用试图再现的一段内容发现已签名的权利标签308。该发现触发再现应用相对于DRM许可服务器320初始化许可证请求。出版应用302可以将URL存储到DRM许可服务器320，例如，或者在数字化签名之前，DRM许可服务器320能将它自己的URL作为一段元数据嵌入到权利标签，以便由再现应用呼叫的DRM客户API306能够识别正确的DRM许可服务器320。

获得出版内容的许可证

现在参考图5，显示了用于许可权利管理的数字内容的系统和方法。“许可”作为在此使用的术语，涉及一种过程，一种应用和服务跟随该过程以请求和接收许可证，该许可证使得在许可证中指定的机构根据在许可证中指定的项目消费内容。向许可过程的输入可以包括与被请求的许可证内容有关的签名的权利标签(SRL)308，和被请求的许可证机构的公钥证书。注意到请求许可证的机构不必是被请求的许可证的机构。典型地，许可证包括来自SRL308的权利描述，能解密加密内容的加密密钥，以及权利描述和加密密钥中声明合法性并防止窜改的数字签名。

预先地，客户API306经由通信网络330将权利管理内容310的签名权利标签308发送到DRM服务器320。如上所述，权利标签308包含根据DRM服务器320的公钥(PU-DRM)加密的内容密钥(CK)(即，(PU-DRM(CK))。在发行许可证的过程中，DRM服务器320将(PR-DRM)应用于(PU-DRM(CK))以获得(CK)。然后，使用在被许可证书请求拒绝的公钥证书中的公钥(PU-ENTITY)重加密(CK)(即，(PU-ENTITY(CK)))。然后将重新加密的(PU-ENTITY(CK))放置在许可证中。因为只有对应于(PU-ENTITY)的私钥(PR-ENTITY)持有者能从(PU-ENTITY(CK))中恢复(CK)，因此，可在不暴露(CK)的风险下将许可证返回给呼叫者。客户API306使用(CK)解密被加密的内容以形成解密的数字内容312。客户应用302根据在许可证中提供的权利能使用该解密的数字内容321。

可选择地，并且在下面详细阐明的，客户诸如出版客户能够例如为自己发行用户许可证以消费内容。

现在转向图6A和6B，显示了用于许可权利管理数字内容的方法。在步骤602，一个许可证发行机构，诸如DRM服务器320接收包括公钥证书或者一个或多个被请求许可证的每一个的身份的许可证请求。大概地，如果身份被指定，DRM服务器320能从目录、数据库、或类似内容中获取对应的公钥证书。如果只为一个获得许可证者请求许可证，只指定一个证书或身份。如果为多个获许可证者请求许可证，可以为每个潜在的获许可证者指定证书或身份。在步骤604，如果希望的话，请求机构(即，产生许可证请求的机构)被确认。在步骤606，如果再次希望的话，确定该机构是否被允许请求许可证。

在步骤608，如果发行机构确定公钥证书不包含在许可证请求中，那么发行机构使用指定的身份在关于适合的公钥证书的目录服务和数据库中执行查询。在步骤610，如果发行机构确定证书在目录中，那么在步骤612，该证书被查找到。如果在请求中或在目录中没有发现为一个给定的潜在获得许可证者的证书，许可证服务器不会为潜在的获得许可证者产生许可证，并且在步骤614，将错误返回给请求机构。

假设DRM服务器320具有关于至少一个潜在获得许可证者的公钥证书，那么，在步骤616，这个DRM服务器320确认信任每个获得许可证者的证书。如果不确认，DRM服务器320确定获得许可证者证书的发行者不在信任的发行者之列，然后对该获得许可证者的请求失败，并且步骤614产生错误。因此，对于任何证书不是由信任的发行者发行的潜在的获得许可证者将不接收许可证。

另外，DRM服务器320优选地执行对证书链中的所有机构上的数字签名确认，该证书链从信任的发行者证书到单个的获得许可证者的公钥证书。在链中确认数字签名的过程是一种已知的算法。如果没有确认对于指定的潜在获得许可证者的公钥证书，或者在链中的证书没被确认，不信任该潜在的获得许可证者，因此，不给该潜在的获得许可证者发行证书。否则，在步骤618发行许可证。在步骤620重复该过程，直到已经被请求许可证的所有机构被处理完。

如图6B所示，该DRM服务器320继续确认在许可证请求中收到的标记权利标签308。在一个实施例中，该DRM服务器320具有每个因此被标记的权利标签的主副本。然后，在许可证时间(在步骤622)，该DRM服务器320可以收回主权利标签的副本。该主权利标签可以比在许可证请求中发送的权利标签的副本更新，并由此成为被用来产生请求的许可证的权利标签。如果没有发现主权利标签，在步骤624，DRM服务器320根据预定策略，基于请求中的权利标签来确定是否发行许可证。如果策略不允许，该许可证请求在步骤626失败，并且在步骤608将错误返回给API306。

在步骤630，该DRM服务器320确认SRL308并特别地确认其数字签名。如果没有确认SRL308，该许可证请求在步骤626失败，并且在步骤608将错误返回给API306。

在所有的确认已经发生后，该DRM服务器基于SRL308对于每个批准的许可证构造一个许可证。在步骤632，对于要被发给每个许可证持有者的许可证，DRM服务器320产生一个相应的权利描述。对于每个许可证持有者，该DRM服务器320相对于在权利标签中的权利描述中指定的身份，来估计那个许可证持有者的公钥证书中指定的身份。在步骤636，该DRM服务器320从SRL308中获得(PU-DRM(K2))和(K2(CK))，并应用(PR-DRM)以获得(CK)。然后该发行机构利用来自许可证持有者的公钥证书的(PU-ENTITY(CK))来再加密(CK)以导致(PU-ENTITY(CK))。在步骤638，DRM服务器320连接产生的权利描述和(PU-ENTITY(CK))，并且利用(PR-DRM)(即，S(PR-DRM))来数字化签名产生的数据结构。因此，签名的数据结构是对于这个特定的许可证持有者的许可证。

在步骤640，DRM服务器320确定对于特定的请求没有产生更多的许可证。然后在步骤642，产生的许可证被返回给请求机构，且连同捆绑该许可证的适合的证书链一起被返回给信任的管理局。

自行出版签名的权利标签308

在本发明的一个实施例中，可以通过请求/出版用户本身来签名SRL308。因此，对于有关的内容片断，这样的用户不需要联系DRM服务器320以获得SRL308。结果，自行出版也可以称作离线出版。在这种实施例中，出版用户也应该能够向自己发行出版者许可证，尤其是因为自行出版的内容现在被DRM保护，并且需要这样的一个出版者许可证允许出版用户再现现在保护的内容。也应当理解为出版用户能够发行许可证给其它用户。

实际上，现在参考图7，在实施例中，通过从DRM服务器320接收一个包括公钥(PU-OPL)和相应的私钥(PR-OLP)的离线出版(OLP)证书810，一个离线出版用户被首先规定离线出版，其中的私钥依照可直接或间接地访问用户(PU-ENTITY)的信任部件18(图11)的公钥来加密以产生(PU-ENTITY(PR-CERT)。注意(PU-ENTITY)例如可以是信任部件18的公钥，或者可以是用户的公钥，该公钥可以通过信任部件18的公钥被访问。应当通过DRM服务器320的私钥(PR-DRM)来签名OLP证书810，以便这种DRM服务器320可以验证这种OLP证书，如下面将详细讨论的那样。

另外，该OLP证书810应当包含被返回给信任的管理局的来自(PU-DRM)的证书链，它被出版用户或者其它用户的信任部件18所信任，所以该信任部件18能验证该OLP证书810和任何其它证书或与这种OLP证书810有关的许可证，如下将要讨论的。简要的，如应当理解的，证书链首先具有由信任的管理局的私钥签名的根证书，并具有链中的下个证书的公钥。然后，链中的每个中间证书通过相应于链中的前一个证书的公钥的私钥来被签名，并且具有链中的下个证书的公钥。最终，通过相应于链中的最后一个证书的公钥的私钥来签名附在链上的证书或许可证。

因此，为了验证该链上附有的证书或许可证，要获得相应于信任的管理局的私钥的公钥的知识，并且使用信任的管理局的公钥来验证链中的根证书的签名。假设验证了根证书的签名，然后获得了来自根证书的公钥，并使用该公钥来验证链中的第一中间证书的签名。连续地重复该过程通过该链，直到验证完其中的每个签名，然后获得来自链中的最后中间证书的公钥，并使用该公钥来验证附在链上的证书或许可证的签名。

应当清楚，OLP证书810在将被离线出版的内容305和将为内容304发行许可证的DRM服务器320之间的可信任链中创建链接。该OLP证书810可以基于XML/XrML语言或任何其他适合的语言来创建。

同样应当清楚，OLP证书810和附加的证书链批准出版用户进行自行出版。可以进一步清楚，密钥对(PU-OLP，PR-OLP)与(PU-ENTITY，PR-ENTITY)是分离的，并特别用于自行出版。注意可以免除该密钥对(PU-OLP，PR-OLP)，在该情况下，DRM证书810只包含用户的公钥(PU-ENTITY)，并且被DRM服务器320的私钥(PR-DRM)所签名，所以该DRM服务器320能验证相同内容。

自行出版与图4所示的出版区别在于，对于由此执行的步骤来说用户实质上替代了DRM服务器320。重要地，用户使用从DRM服务器810中获得的(PR-OLP)(即，S(PR-OLP))签名被提交的权利标签，该权利标签包含(PU-DRM(K2))和(K2(权利数据))或者包含(PU-DRM(CK))和(CK(权利数据))(后面在图7和8中显示)以产生被签名的权利标签(SRL)308。使用OLP证书810的信任部件18客户典型的基于附加的证书链来验证同样的内容。应当清楚，用户的信任部件18通过从该OLP证书810获得(PU-ENTITY(PR-OLP)并对其应用(PR-ENTITY)，从OLP证书810中获得(PR-OLP)。注意，尽管该出版用户不能验证DRM服务器320，但是能实施在自行出版SRL308中的权利。因此，DRM服务器320自身应当执行该验证，同时基于自行出版的SRL308请求许可证。

一旦出版用户自行出版SRL308，用户连接用于产生与内容304相同内容的自行出版的SRL308和OLP证书810，这种具有SRL308和DRM证书810的内容304被作为权利管理内容分配给其他用户。此后，其它用户实质上以图6A和6B所示的相同方式请求并获得对于DRM服务器320的内容304/310的许可证。在此，尽管许可证请求用户提交给DRM服务器320自行出版的SRL308和OLP证书810作为到内容304的链接。DRM服务器320基于对应的(PU-DRM)验证OLP证书810中的S(PR-DRM)，并从DRM证书810中获得(PU-OLP)。DRM服务器320则基于获得的(PU-CERT)验证SRL308中的S(PR-OLP)，并如前所述继续进行。注意，尽管，由于出版用户没有验证DRM服务器320能实施SRL308中的权利，但是如上所述，这时DRM服务器320自己应当执行验证。

还应注意，因为假设信任自己，DRM服务器320只需要验证OLP证书810中的S(PR-DRM)。因此，来自OLP证书810的相关证书链连同该OLP证书810不必发送给DRM服务器320，当然除非该链是另外必须的，诸如例如如果链自身至少部分地是S(PR-DRM)的基础。

重要地，出版用户应当能够再现目前保护的内容304/310，而不必因为许可证进入DRM服务器320。另一方面，基于OLP证书810而不进入DRM服务器320的离线出版内容304/310的出版用户，同样应当能够以不进入DRM服务器320的离线方式发行自己的许可证，所以该用户能再现离线出版的内容304/310。因此，出版用户能继续用自行出版的内容310工作，而与DRM服务器320没有任何联系。

转向图8，在本发明的一个实施例中，基于自行出版的SRL308，出版用户自己发行由(PR-OLP)签名的离线出版者许可证820，并包括OLP证书810和其证书链。推测起来，尽管也可以准许较少的访问，但该出版者许可证820准许出版用户完全访问自行出版内容310。如其它的DRM许可证的情况那样，出版者许可证820可以用XML/XrML语言或其它语言撰写。应当清楚，出版者许可证820包括根据(PU-ENTITY)加密的内容密钥(CK)，其可以通过用户的计算设备14的信任部件18获得，以形成(PU-ENTITY(CK))。

因此，出版者许可证820的链从该许可证820到OLP证书810，然后或许借助于一个或多个中间证书，返回到被信任的管理局的根证书。由于用户的信任部件18预测能获得对应于被信任的管理局私钥的公钥，该管理局被用于签名根证书，所以信任部件18能够通过证书链自行验证出版者许可证820，然后根据验证能从中获得(PU-ENTITY(CK))，对其应用(PR-ENTITY)以获得(CK)，并将(CK)应用到(CK(内容))以产生内容304用于再现的目的。结果，该出版用户能够在保持离线的时候继续用离线出版的内容310工作。

参考图9，根据上述的，一个出版用户离线出版内容304/310，并以下列方式自己发行关于内容304/310的离线出版者许可证820。

预先的，应当清楚，内容304以一种适合的方式展开，并根据一个内容密钥(CK)加密(步骤901)，出版用户用适合的信息{例如，(PU-DRM(CK))和(CK(权利数据))}为内容304创建一个权利标签(步骤903)。此后，估计出版用户已经占有DRM服务器320中的一个OLP证书810，获得这种OLP证书810(步骤905)并且基于其签名和带回到根权限的证书链验证OLP证书(步骤907)。应当清楚，这种验证实际上由在出版用户计算设备14中的信任部分18执行。假设验证成功，那么出版用户/信任部分18(下文为出版用户’)从OLP证书810中检索(PU-ENTITY(PR-OLP))(步骤909)，将(PR-ENTITY)施加到(PU-ENTITY(PR-OLP))以获得(PR-OLP)(步骤911)，然后，用该(PR-OLP)标记已产生的权利标签以产生一个SRL308(步骤913)。

此后，出版用户连接这种SRL308和用于产生与内容304相同内容的OLP证书810以形成自行出版的内容310(步骤915)，因此这种权利管理内容310能够分配给其它的用户。然而，为了出版用户继续使用或者再现该内容310，这种出版用户必须自己发行一个对应的离线出版者许可证820。

因此，出版用户通过为其自身定义一个合适的权利数据和根据内容密钥(CK)加密权利数据得到(CK(权利数据))来创建一个出版许可证820(步骤917)。这里注意，这种权利数据可以从内容310的SRL308中获得，可以从授权出版用户部分地或者完全地访问自行出版的内容310的权利数据的一些默认设置中获得，或者可以从其它的源中获得。此外，出版用户根据(PU-ENTITY)加密内容密钥(CK)以形成(PU-ENTITY(CK))(步骤19)。这种(CK(权利数据))和(PU-ENTITY(CK))则被格式化为出版许可证820(步骤921)，附加OLP证书810和其证书链(步骤923)，基于在步骤911中获得的(PR-OLP)标记这种出版许可证820(步骤925)。这里注意内容304(即是(CK(内容)))，出版许可证820，和OLP证书结合以形成返回信任权限的数字项目链830。

为了出版用户再现出版的内容310，现在参看图10，这种出版用户不需要接触DRM服务器320，而是代替为获得对应于用来标记根证书的信任权限的私钥的公钥(步骤1001)，验证根证书(步骤1003)，然后验证在链中的每个中间证书(步骤1005)，对于每个中间证书，从先前证书中获得公钥以及采用公钥验证该证书的签名。此后，使用链中最后一个证书的(PU-DRM)验证OLP证书810的签名(即，S(PR-DRM))(步骤1007)，从OLP证书810中获得(PR-OLP)，使用这种(PU-OLP)验证出版许可证820的签名(即，S(PR-OLP))(步骤1010)。

当出版许可证820被验证，则从出版许可证中检索(CK(权利数据))和(PU-ENTITY(CK))(步骤1011)，将(PR-ENTITY)应用到(PU-ENTITY(CK))以得到(CK)(步骤1013)，将(CK)应用到(CK(权力数据))以得到权利数据(步骤1015)。现在应当清楚，从出版用户计算设备14的信任部分18中检查该权利数据，确定这种权利数据允许以查找的方式再现(步骤1017)，因此信任部分18将(CK)应用到内容310的(CK(内容))中得到内容(步骤1019)，然后将这种内容发送到一个合适的再现应用程序进行实际的再现(步骤1021)。因此，实际上图10中的步骤从信任权限到内容304贯穿了该数字项目链830。

注意到，信任部分18能够想象到不必首先检查权利数据也不管权利数据允许还是不允许，而将(CK)应用到(CK(内容))以得到内容，但是事实上，信任部分被信任并且被配置为仅仅在检查权利数据之后并且其自身满足权利数据允许再现这种内容时才产生内容。再次，由于具有出版许可证820，因此当由于DRM服务器320不需要联系而保持离线的时候，出版用户可以继续处理离线出版内容310。

DRM服务器的登记与子登记

在图3的结构中仅显示单个DRM服务器320。然而，应当清楚，这种结构可以并很可能包括多个DRM服务器320。特别地，在本发明的一个实施方式中，这种结构包括DRM服务器320的分布式网络。每个这种DRM服务器320可以具有任何特定功能，所有的DRM服务器320可以在不偏离本发明的精神和范围的情况下以任何合适的方式构成。

例如，现在参看图12，一个特殊组织为了标记权利标签以产生SRL308，发布许可证16，授权出版许可证320，向用户发布证书，向计算设备14发布证书，等目的可以包括一个或者多个用户级DRM服务器320。例如，每个用户级DRM服务器320可以在地理上进行分配，或者基于功能或者负载进行分配。同样，为了监视多个用户级DRM服务器320，一个组织可以具有一个或者多个管理DRM服务器320。如果希望，这种基于组织的DRM服务器320被放置在防火墙结构之后。

除了基于组织的DRM服务器320，还包括有利于交互组织DRM功能性的贯穿组织DRM服务器320。例如，这种贯穿组织DRM服务器320可以允许两个组织共享确定的DRM内容12。同样，还存在一个监视DRM服务器320的网络能启动所有其它的DRM服务器320。例如，这种监视DRM服务器320可以监视并且保持所有其它的DRM服务器320，为所有其它的DRM服务器320提供适合地连接，从而返回到根或以先前陈述的证书链为基础的信任权限。这种基于非组织的DRM服务器320可能不位于任何组织防火墙之后。

关键的，在图12结构中的每个DRM服务器320必须能够证明其将被信任。因此，应当从以上证书链的讨论中清楚，如从图13中看到，每个DRM服务器320根据进入该结构而具有一个登记证书1310。重要地，在本发明的一个实施方式中，登记证书1310通过另一个已经存在于结构中的‘登记’DRM服务器320(下文为“DRM-R服务器320”)提供给进入DRM服务器320(下文为“DRM-E服务器320”)。同样重要地，证书链1320附加到已提供的来自登记DRM-R服务器320的登记证书1310中，该证书链包括DRM服务器320的登记证书1310，登记该登记DRM-R服务器320的DRM服务器320的登记证书1310，等等所有返回到根DRM服务器320的途径。该根DRM服务器320表示根或者信任权限，或者延伸超越到达根或者信任权限的证书链1320。应当清楚，如图8所示，这种登记证书1310结合证书链1320形成的证书链被附加到由登记或者进入DRM-E服务器320提供的OLP证书810，从而附加给出版用户。

在本发明的一个实施方式中，由DRM-R服务器320提供给DRM-E服务器320的登记证书1310是诸如XrML1.2基础证书的形式。如可以理解，这种类型的证书不能独立地被第三方提供，因此这种类型的证书1310不表示由第三方为该证书1310的持有者提供的任何类型的独立担保。

在本发明的实施方式中，该方法中将特殊的DRM-E服务器320登记到该结构中取决于登记DRM-R服务器320是否知道或者有理由信任进入DRM-E服务器320。如果否，DRM-E服务器320被要求证明DRM-R服务器320是值得信任的并将实施DRM结构。如果是，DRM-E服务器320不被要求证明DRM-R服务器320是值得信任的，至少不是同一级别。因此，一个不信任/不知道的DRM-R服务器320‘登记’一个DRM-E服务器320，而一个信任/知道的DRM-R服务器320‘子登记’一个DRM-E服务器320。

典型地，尽管在不偏离本发明的精神和范围的情况下，了解/信任也产生于其它情况，如果都被相同的组织操作或者为了相同组织的利益，一个DRM-R服务器320信任/知道一个DRM-E服务器320。因此，该方法中将特殊的DRM-E服务器320登记在结构中典型地取决于登记DRM-R服务器320是基于组织的还是基于非组织的。因此，基于非组织的DRM-R服务器320‘登记’DRM-E服务器320，而基于组织的DRM-R服务器320‘子登记’DRM-E服务器320。

登记

现在参见图14，在本发明的一个实施方式中，一个不知道/不信任的DRM-R服务器320按照以下方式登记一个DRM-E服务器320。

初步的，应当理解希望被不知道/不信任的DRM-R服务器320登记的DRM-E服务器320可能不知道这种DRM-R服务器320。因此，在本发明的一个实施方式中，DRM-E服务器320必须从自愿担保该DRM-E服务器320的第三方中取得一个担保证书1330(步骤1401)。典型地，这种第三方是被DRM-R服务器320信任的执行这种担保的独立证书发布代理，正如像VERISIGN Corporation of Mountainview，California。这种担保证书1330可以是例如X.509证书形式。注意，在依靠信任的第三方担保DRM-E服务器320的DRM-R服务器320中，减轻了这种DRM-R服务器320对于DRM-E服务器320任何坏行为的责任。

如应当理解的并且典型地，同时可以在图13中看到的，担保证书1330结合其中的公钥(PU-V)和对应的私钥(PR-V)，被信任的第三方签名，并且为了确认可由通向已知根的证书链伴随。同样典型的，担保证书1330中的(PR-V)以访问用于担保的DRM-E服务器320的方式被保护，该服务器是担保证书1330的基础。例如，如在图13中所示的，(PR-V)可以按照合适的公钥加密。

在DRM结构中，进入DRM-E服务器320必须具备唯一身份。这里应当理解在不偏离本发明的精神和范围的情况下，尽管DRM身份可以与(PU-V，PR-V)一致，但DRM身份可能在(PU-V，PR-V)之外。因此，为了建立这种身份，该DRM-E服务器320产生或获得新的公/私钥对(PU-E，PR-E)(步骤1403)。同样，在DRM结构中，登记DRM-E服务器320应当确定哪个实体能撤销其参与的权限。因此，这种DRM-E服务器320或许借助于其公钥识别在列表中的每个撤销实体(步骤1405)。

该DRM-E服务器320应该能够建立DRM-R服务器320，该DRM-E服务器320事实上拥有在步骤1401中获得的担保证书1330。因此，DRM-E服务器320既使用担保证书1330中的(PR-V)来加密(PU-E)以得到作为所有权标志的(PR-V(PU-E))，也可以用(PR-V)签名(PU-E)以得到作为所有权标志的(PU-E)S(PR-V)(步骤1407)。在任何一个情况下，应用(PU-V)解密(PU-E)或者验证签名来确定(PR-V)的和由此担保证书1330的所有权。

迄今，DRM-E服务器320具有作为所有权标志的担保证书1330，(PU-E)和(PR-E)，撤销权限列表，和(PR-V(PU-E))或者(PU-E)S(PR-V)。为了请求登记，该DRM-E服务器320将作为所有权标志的担保证书1330，(PU-E)，撤销权限列表，和(PR-V(PU-E))或者(PU-E)S(PR-V)发送到DRM-R服务器320(步骤1409)，DRM-R服务器320继续登记该请求DRM-E服务器320。注意，该请求或者请求的其中一部分可以是一种被(PR-E)签名的证书的形式。

特别地，DRM-R服务器320基于信任的第三方的签名和通向已知根的证书链确认担保证书1330(步骤1411)。因此，DRM-R服务器320确定DRM-E服务器320已经被担保。而且，DRM-R服务器320通过应用请求中的(PU-V)或者解密(PU-E)或者验证签名来验证所有权标志，因此建立请求中的(PR-V)和由此的担保证书1330的所有权(步骤1410)。此外重要地，DRM-R服务器320执行确定是否尊敬请求所需的任何客户逻辑(步骤1413)。这种客户逻辑可以是任何不偏离本发明的精神和范围的合适的逻辑，例如可以包括在DRM-E服务器320和/或其操作员上后台检查，确定DRM-E服务器320是否具有通用的信任部分18和/或操作系统等等，确定DRM-E服务器320在撤销列表还是在其它的监视列表中，等等。

假设客户逻辑允许尊敬该请求，那么在本发明的一个实施方式中，DRM-R服务器320产生用于DRM-E服务器320的登记证书1310(步骤1415)。特别地，如图13中所示，DRM-R服务器320内部结合登记证书1310：

-DRM-R服务器320的标识符，例如其公钥(PU-R)；

-DRM-E服务器320的标识符，例如(PU-E)；

-担保证书1330的识别标记包括公布相同标记的信任的第三方，来自担保证书1330的序列号，以及在担保证书1330中识别的号；

-任何在登记证书1310有效的期间指定范围的有效性范围信息，例如，一个日期范围；

-撤销权限列表；

-基于对应于(PU-R)的DRM-R服务器320私钥(PR-R)的签名；

-任何其它合适的信息。

这种其它适合的信息可以包括但是不局限于：证书被发布的时间；允许一个被登记服务器执行例如所有的活动的DRM活动类型的指示，该活动例如仅计算活动，仅标记权利标签，仅发布内容许可证，上述的结合；一个允许执行DRM活动的时间范围。注意，因为当前时间必须位于有效的范围内以尊敬任何包括证书链中的登记证书1310的证书，所以允许的时间范围不同于有效的范围。相反，子证书的发布时间必须落在父证书被允许的时间范围中以执行DRM活动。

应当理解，在产生登记证书1310的过程中，DRM-R服务器320可以首先产生证书信息，然后允许客户逻辑产生附加的信息或者修改现有信息。这种客户逻辑可以例如确保DRM-R服务器320包含适合的信息，或者执行预定义的DRM结构政策。该用户逻辑可以例如确保DEM-R服务器320包括合适的信息，或可以实施预定的DRM结构策略。当然，登记证书1310的签名是在任何这种客户逻辑被执行之后产生的。如还应当理解的，DRM-R服务器320将带回到信任根权限的证书链1310附加到产生的登记证书1310中，使得产生的登记证书1310基于这种证书链1320可以被确认。

特别注意，来自位于登记证书1310中的担保证书1330的识别标志将一直游历该登记证书1310，并充当担保证书1330的桥梁。因此，再次，这种识别标记向外界表示的是DRM-R服务器320依靠信任的担保证书的第三方发行人担保DRM-E服务器320，减轻了这种DRM-R服务器320对DRM-E服务器320任何坏行为的责任。

一旦DRM-R服务器320已经成功地产生具有附带的证书链1320的登记证书1310时，DRM-R服务器320则将相同的证书返回到请求DRM-E服务器320(步骤1417)，当前登记的DRM-E服务器320在适合的位置存储证书以备将来使用(步骤1419)。如上面暗示的，登记证书1310中的(PU-E)和对应的(PR-E)是当标记权利标签以产生SRL308，发布OLP证书810，及其它参与到DRM结构中时，DRM-E服务器320使用作为(PU-DRM)和(PR-DRM)的公/私钥对。因此，这种登记证书1310结合证书链1320形成附加到OLP证书810及其类似上的证书链。

子登记

现在参考图15，在本发明的一个实施方式中，一个知道/信任的DRM-R服务器320按照以下的方式子登记一个DRM-E服务器320。

初步地，应当理解，因为知道和信任不是完全的，所以希望被知道/信任的DRM-R服务器320子登记的DRM-E服务器320仍然要求对该DRM-R服务器320识别自身。然而，因为DRM-R服务器320具有一些DRM-E服务器320的知道/信任，所以这种识别要求不必上升到由信任的第三方提供的级别。因此，在本发明的一个实施方式中，DRM-E服务器320获得或者具有一些被DRM-R服务器320承认的并希望被DRM-R服务器320尊敬的，以及识别使DRM-R服务器320满意的DRM-E服务器320(步骤1501)的某种证书1340(图13)。

如果DRM-R和DRM-E服务器320同属于一个组织，这种证书1340可以是基于组织的证书，正如例如如果两个服务器同在一个公用网中的网络ID，如果两个服务器320共享公用域的域ID，等等。如果DRM-R和DRM-E服务器320不属于一个组织，这种证书1340仍然可以是如果两个服务器同在一个公用网中的网络ID，如果两个服务器320共享一个公用域的域ID，等等，或者可以是其它证书，例如由第三方发布的和由DRM-R服务器320承认的证书。

注意，在该情况下，DRM-R服务器320不依靠信任的第三方担保DRM-E服务器320，因此不会减少该DRM-R服务器320对于DRM-E服务器320任何坏行为的责任。尽管如此，DRM-R服务器320仍愿意冒险知道或者信任DRM-E服务器320实际上不执行坏的动作。

如上述，在DRM结构中，进入DRM-E服务器320必须具有唯一的身份。这里被理解为在不偏离本发明的精神和范围的情况下尽管DRM身份也可以与证书1340相符，但是DRM身份可能在证书1340之外。因此，为了建立该身份，该DRM-E服务器320产生或者获得一个新的公/私钥对(PU-E，PR-E)(步骤1503)。同样如上述，在DRM结构中，子登记DRM-E服务器320应当确定哪个实体能够撤销其参与的权限。因此，该DRM-E服务器320或许借助于其公钥识别在列表中的每个撤销实体(步骤1505)。

迄今，DRM-E服务器320具有证书1340，(PU-E)和(PR-E)，和撤销权限列表。为了请求子登记，该DRM-E服务器320将证书1340，(PU-E)，和撤销权限列表发送到DRM-R服务器320(步骤1507)，DRM-R服务器320继续子登记该请求DRM-E服务器320。如上述应注意，该请求或者请求的一部分可以是被(PR-E)签名的证书形式。

特别地，DRM-R服务器320基于任何必需的逻辑或者资源和现有的确认来确认该证书1340(步骤1509)。因此，DRM-R服务器320基于确认的证书1340确定DRM-E服务器320被信任和尊敬并服从DRM结构。此外，如前所述，DRM-R服务器320执行任何所需的客户逻辑以确定是否尊敬该请求(步骤1511)。

假设客户逻辑允许尊敬该请求，那么在本发明的一个实施方式中，DRM-R服务器320为DRM-E服务器320产生一个子登记证书1310(步骤1513)。特别地，如在图13中所示，DRM-R服务器320内部结合子登记证书1310：

-DRM-R服务器320的标识符，例如其公钥(PU-R)；

-DRM-E服务器320的标识符，例如(PU-E)；

-证书1340或者其参考；

-任何在子登记证书1310有效的期间指定范围的有效性范围信息，例如，日期范围；

-撤销权限列表；

-基于对应于(PU-R)的DRM-R服务器320的私钥(PR-R)的签名；

-任何其它适合的信息。

如前所述，在产生子登记证书1310的过程中，DRM-R服务器320首先产生证书信息，然后允许客户逻辑产生附加的信息或修改现有的信息。此外，子登记证书1310的签名是在执行任何客户逻辑之后创建的。如前所述，DRM-R服务器320将带回到信任根权限的证书链1310附加到已产生的子登记证书1310中，使得已产生的子登记证书1310基于这种证书链1320可被确认。

注意不认为证书1340或者其参考是非常必要的，但是尽管如此，为了完整性将包括上述内容。还应注意，因为在当前的子登记方案中不需要担保证书，所以子登记证书1310不包含来自担保证书1330的识别标志。

一旦DRM-R服务器320成功地产生具有附带的证书链1320的子登记证书1310时，DRM-R服务器320将相同的证书返回给请求DRM-E服务器320(步骤1515)，并且当前子登记的DRM-E服务器320在适合的位置存储证书以备将来使用(步骤1517)。如前所述，子登记证书1310中的(PU-E)和对应的(PR-E)是当标记该权利标签以产生SRL308，发布OLP证书810，及其它参与到DRM结构中时，DRM-E服务器320使用的作为(PU-DRM)和(PR-DRM)的公/私钥对。因此，这种子登记证书1310结合证书链1320形成了附加到该OLP证书810及类似上的证书链。

结论

实现有关本发明所执行的处理的必要程序设计是相对直接的，并对有关的程序设计公众来说是显而易见的。因此，这种程序设计并不附加于此。可以在不偏离本发明精神和范围的基础上可使用任何特殊的程序设计实现本发明。

在本发明中，数字权利管理(DRM)，实施结构和方法允许受控的再现或者播放任意形式的数字内容，该内容是灵活的并且可以被该数字内容的内容所有者/开发者定义。该结构允许并有利于这种受控的再现，尤其是在办公室或者组织环境或类似环境中，在此文件在已定义的个体组或者个体类中被共享。这种结构包括将同意授权的DRM服务器320登记/子登记到结构中的机制。

应当理解，在不偏离本发明精神和范围的基础上能对上述的实施方式作出改变。例如，如果许可证或者权利标签基于其中的权利数据被签名，那么这种权利数据不必被加密。此外，在请求和构造登记或者子登记证书1310的过程中，撤销权限列表和其它相似的信息不是必须被使用。因此，应当理解，本发明不局限于公开的特殊实施方式，但是意图覆盖属于本发明精神和范围之内的如附加的权利要求所定义的修改。