Condividi tramite

Domini PlayReady

  • Articolo

È possibile gestire l'accesso al contenuto per più client tramite una singola entità, denominata dominio PlayReady. Poiché PlayReady introduce l'acquisizione semplificata delle licenze per i client mobili e incorporati, lo scenario in cui i client condividono l'accesso al servizio è oggi più comune. I domini offrono un accesso ai servizi semplificato e più affidabile per più client, inclusi i client di dispositivi mobili.

PlayReady consente ai client di avere identità client estendibili. Questa identità estesa viene archiviata in un certificato nel client ed è associata a un'entità (un dominio). PlayReady considera i client con credenziali per un determinato dominio come membri di tale dominio e concede loro i diritti associati all'appartenenza a tale dominio.

Un controller di dominio PlayReady gestisce l'appartenenza al dominio. Il controller di dominio determina cosa rappresenta il dominio (un utente, una famiglia o un gruppo di utenti, ad esempio) e contiene un elenco di entità associate.

Nota

Un dominio PlayReady non corrisponde a quello dei domini Web o di rete.

Gestione dei domini

Prima di poter creare un dominio, il controller di dominio deve acquisire un certificato radice da un'autorità di certificazione (CA). Una volta che il controller di dominio ha un certificato radice, può creare certificati per ogni dominio che usa il certificato della CA come radice di attendibilità.

Quando un client aggiunge un dominio, il client riceve un certificato di dominio per tale dominio. Nel caso in cui un certificato nella catena di certificati del dominio venga compromesso, i certificati nella catena di contenuto vengono invalidati. Dopo aver invalidato i certificati esistenti, è necessario acquisire un nuovo certificato radice dalla CA e il controller di dominio deve eseguire nuovamente i certificati di dominio.

Associazione di dominio

In alcuni scenari, le chiavi simmetriche protette dalle chiavi private del dominio vengono trasmesse solo alle entità associate o "aggiunte a" a un dominio per quel particolare contenuto. Prima che il client di destinazione possa ricevere le chiavi per il contenuto, il client deve essere aggiunto al dominio per tale contenuto. I client di destinazione possono aggiungere direttamente un dominio (tipico per i telefoni con connettività Web).

La figura seguente illustra un'aggiunta a un dominio.

Direct Domain Join

Nella figura precedente, il client di destinazione invia una richiesta di aggiunta a un dominio (1) e il controller di dominio risponde direttamente al client di destinazione (2). PlayReady Server Software Development Kit (SDK) contiene le interfacce per la gestione dei messaggi di richiesta di join.

PlayReady Server SDK offre la funzionalità per gestire i client aggiunti a un dominio. Ad esempio, PlayReady può rimuovere un dispositivo da un dominio se l'utente ha acquistato un nuovo dispositivo e vuole rimuovere il dispositivo precedente dal dominio. Gli sviluppatori possono creare un portale di gestione dei dispositivi usando un servizio Web o un'applicazione in grado di abilitare questa funzionalità.

Rinnovo

Il rinnovo del dominio consente l'aggiornamento dei certificati di dominio senza invalidare il contenuto acquisito in precedenza. Senza rinnovabilità, le violazioni del contenuto di un'entità in un dominio richiederebbero che tutte le entità nel dominio riacquidano il contenuto protetto. La rinnovabilità è abilitata invalidando tutti i certificati correnti in un dominio quando la versione viene modificata e quindi aggiungendo un certificato con versione più recente associato a una nuova chiave privata. Ogni volta che viene acquisito un nuovo contenuto, il client deve eseguire l'associazione alla nuova versione.

Nota

La rinnovabilità è diversa dalla revoca perché il contenuto per i certificati invalidati viene ancora riprodotto nei dispositivi associati al dominio e i dispositivi continuano a funzionare.