PlayReady-Domänen

Sie können den Inhaltszugriff für mehrere Clients über eine einzige Entität verwalten, die als PlayReady-Domäne bezeichnet wird. Da PlayReady einen vereinfachten Lizenzerwerb für mobile und eingebettete Clients einführt, ist das Szenario, in dem Clients den Zugriff auf den Dienst teilen, heutzutage häufiger. Domänen bieten einen vereinfachten und robusteren Dienstzugriff für mehrere Clients, einschließlich mobiler Geräteclients.

PlayReady bietet die Möglichkeit für Clients, erweiterbare Clientidentitäten zu haben. Diese erweiterte Identität wird auf einem Zertifikat auf dem Client gespeichert und einer Entität (einer Domäne) zugeordnet. PlayReady betrachtet Clients mit Anmeldeinformationen für eine bestimmte Domäne als Mitglieder dieser Domäne und gewährt ihnen Rechte im Zusammenhang mit der Mitgliedschaft in dieser Domäne.

Ein PlayReady-Domänencontroller verwaltet die Domänenmitgliedschaft. Der Domänencontroller bestimmt, was die Domäne darstellt (z. B. ein Benutzer, eine Familie oder eine Gruppe von Benutzern), und enthält eine Liste der Entitäten, die ihr zugeordnet sind.

Domänenverwaltung

Bevor Sie eine Domäne erstellen können, muss der Domänencontroller ein Stammzertifikat von einer Zertifizierungsstelle abrufen. Sobald der Domänencontroller über ein Rootzertifikat verfügt, kann er Zertifikate für jede Domäne erstellen, die das CA-Zertifikat als Vertrauensstamm verwendet.

Wenn ein Client einer Domäne beitritt, empfängt der Client ein Domänenzertifikat für diese Domäne. Wenn ein Zertifikat in der Domänenzertifikatkette kompromittiert wird, werden Zertifikate in der Inhaltskette ungültig. Nachdem die vorhandenen Zertifikate ungültig wurden, muss ein neues Stammzertifikat von der Zertifizierungsstelle erworben werden, und der Domänencontroller muss Domänenzertifikate erneut aufstellen.

Domänenbindung

In einigen Szenarien werden Inhaltsschlüssel, die durch private Domänenschlüssel geschützt sind, nur an Entitäten übertragen, die einer Domäne für diesen bestimmten Inhalt zugeordnet oder "verbunden" sind. Bevor der Zielclient Schlüssel für Inhalte empfangen kann, muss der Client der Domäne für diesen Inhalt beigetreten sein. Zielclients können direkt einer Domäne beitreten (typisch für Telefone mit Webkonnektivität).

Die folgende Abbildung zeigt einen Domänenbeitritt.

In der obigen Abbildung sendet der Zielclient eine Domänenbeitrittsabfrage (1), und der Domänencontroller antwortet dann direkt auf den Zielclient (2). PlayReady Server Software Development Kit (SDK) enthält die Schnittstellen zum Behandeln von Beitrittsanforderungsnachrichten.

PlayReady Server SDK bietet die Funktionalität zum Verwalten von Clients, die einer Domäne beigetreten sind. Beispielsweise kann PlayReady ein Gerät aus einer Domäne entfernen, wenn der Benutzer ein neues Gerät erworben hat und sein älteres Gerät aus der Domäne entfernen möchte. Entwickler können ein Geräteverwaltungsportal entweder mithilfe eines Webdiensts oder einer Anwendung erstellen, die diese Funktionalität aktivieren kann.

Erneuerbarkeit

Durch die Domänenerneuerung können Domänenzertifikate aktualisiert werden, ohne zuvor erworbene Inhalte ungültig zu machen. Ohne Erneuerbarkeit würde bei einem Inhaltsverstoß einer Entität auf einer Domain erforderlich, dass alle Entitäten auf der Domain ihre geschützten Inhalte erneut erwerben müssen. Die Verlängerung wird aktiviert, indem alle aktuellen Zertifikate in einer Domäne ungültig werden, wenn die Version überarbeitet wird, und dann ein neueres, versioniertes Zertifikat hinzugefügt wird, das einem neuen privaten Schlüssel zugeordnet ist. Wenn neue Inhalte abgerufen werden, muss der Client eine Bindung an die neue Version erstellen.