林 丽,李 艳,关德君
(1.沈阳广播电视大学,辽宁沈阳110003;2.辽宁省交通高等专科学校)
数字版权管理系统中安全模型的研究与设计
林 丽1,李 艳2,关德君1
(1.沈阳广播电视大学,辽宁沈阳110003;2.辽宁省交通高等专科学校)
数字版权管理已成为网络环境下保护数据内容的合法交易、传播和使用的一种重要技术手段.针对目前数字版权管理系统的安全需求,采用密码学相关技术分析并设计了一套安全保证机制,给出了该机制的总体实现方案,并设计了加密打包子系统和认证服务子系统.该机制在保护数字媒体机密性的同时还实现了有效的认证机制,从而为数字版权管理系统提供了安全保证.
数字版权管理;流媒体;数字证书;身份认证
数字版权管理(Digital rights management,DRM)是保护多媒体内容免受未经授权的播放和复制的一种方法[1,2].它为内容提供者保护他们的私有视频、音乐或其他数据免受非法复制和使用提供了一种手段.DRM技术通过对数字内容进行加密和附加使用规则对数字内容进行保护,其中,使用规则可以断定用户是否符合播放数字内容的条件,防止内容被复制或者限制内容的播放次数.操作系统和多媒体中间件负责强制实行这些规则.数字版权管理是一个系统框架,而不仅仅是一种技术.它是由各种相关技术按照特定的方式组合而成,在数字版权管理这个系统框架中,涉及许多方面的技术,主要包括密码技术[3],水印技术[4],数字权利描述语言[5],用户控制和使用控制.
对DRM的研究主要是在近些年,互联网的迅猛发展有力地推动了数字商品,诸如流媒体内容的销售.但数字商品可以在无任何品质损伤的情况下被轻易拷贝和再分发的特性又使得互联网成为非法使用、传播有版权媒体内容的温床.各个公司都在研制防止盗版的技术.数字版权管理产业引起了人们高度的关注.数字版权管理应用的范围非常广.从互联网上的数字音频、视频的下载保护到手机上彩铃等各种增值业务的传播限制,从生产者到发布者到消费者,以及从消费者到其它消费者的过程中,保护数字内容作品的生产者,发布者以及消费者的权益.
本文首先介绍了DRM的安全模型,以及DRM的流程,分析了DRM系统中的安全特性.在结合DRM系统的实际安全需求的基础上,设计了DRM系统安全机制框架,以及加密子系统和认证子系统.
一个完整的DRM系统应该由以下几个部分构成:Web服务器,流媒体服务器,认证服务器,文件服务器,以及数据库服务器.如图1所示.
图1 DRM系统模型
(1)Web服务器上的网站提供对媒体信息的发放,管理功能;提供注册,登陆,点播和浏览媒体信息等功能.
(2)流媒体服务器提供媒体文件的发放,传输服务以及管理媒体文件.
(3)数据库服务器用于存放用户的各种信息,媒体文件信息,密钥种子等信息.
(4)认证服务器提供认证功能,当服务器接收到来自客户端的认证请求以后会根据请求信息,先认证客户端用户的身份,然后通过分析媒体播放发送的媒体信息产生相应的密钥打包到License中发送给客户端的安全播放器,安全播放器得到认证服务器发送过来的License,取出密钥就可以通过密钥解密播放媒体文件.在证书的生成过程中,认证服务器需要访问数据库服务器,从中取出密钥种子Key-Seed来动态的生成密钥.
(5)在文件服务器上还有一个打包加密过程的程序,通过这个程序可以打包加密媒体文件,加密之后如果想要播放媒体文件就必须通过认证服务器的认证之后才可以播放.
一个DRM安全框架应包含了打包器,流媒体服务器,证书服务器,安全播放器.当用户接收到媒体文件以后不能直接收看,必须有系统身份认证并得到解密密钥后才能正常收看流媒体文件,如图2所示.
图2 DRM安全框架
(1)用户想要收听流媒体节目,DRM客户端意识到该内容是受保护的.
(2)客户端发送认证申请:如果没有合适的证书,DRM客户端播放器会向认证服务器发送一个请求.
(3)认证服务器通过用户使用的认证方式进行用户身份认证,从而确认用户的合法性.
(4)认证服务器生成用户请求媒体文件的权限信息.
(5)认证服务器把权限信息和流媒体的解密密钥发送给客户端.
(6)流媒体服务器开始向客户端发送用户请求的流媒体文件,客户端受到证书中包含的密钥对媒体文件进行解密从而收看到媒体节目.
在打包器中涉及到的加密技术有对称加密和非对称加密.对媒体文件的对称加密采用的是DES加密方法.DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码.每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来.DES用软件进行解码需要用很长时间,而用硬件解码速度非常快.采用非对称加密方法RSA生成的私有钥匙签名打包加密的媒体文件的头文件进行签名.
在认证服务器采用的是与加密时刚好相反的方法来对请求进行认证.首先通过请求信息使用公钥进行验证,验证通过以后通过头文件信息中的密钥ID生成密钥,将密钥放入证书中生成可以用来播放媒体文件的数字证书发放到客户端,当用户接收到数字证书以后就可以通过密钥进行解密播放受保护的媒体文件.
内容打包程序用一个许可密钥种子和一个密钥ID生成一个密钥.许可密钥种子是在内容打包程序和许可证书分发程序之间共享的秘密,它是一个不少于5字节长的随机值.密钥标识是一个全局唯一标识符.此系统的密钥种子和密钥ID采用自动生成,存放方式.然后程序使用密钥加密内容,并把密钥标识和用于版权许可分发的互联网地址置入内容头.然后内容打包程序把内容头和加密内容一起打包到一个媒体文件中.密钥种子和密钥ID存入数据库中.如图3所示.
用户的播放器请求媒体版权管理服务器确定其所请求的媒体文件是否可以播放,之后媒体版权管理服务器搜索版权库以获得播放内容的合法版权许可.如果媒体版权管理服务器搜索所需的版权许可失败,它会从版权许可分发程序申请一个版权许可.质询(challenge)用于请求内容头中包含的版权许可及与用户电脑相关的信息.版权许可分发程序使用共享版权许可密钥和密钥标识生成与内容打包程序生成的相同的密钥.然后版权许可分发程序加密该密钥.
图3 加密和认证过程
版权许可分发程序生成了一个版权许可,并将加密的内容密钥添加到版权许可中,再添加一个从媒体版权许可服务中获得的证书,然后使用证书中的公有密钥对版权许可进行签名.版权许可分发程序将签名后的版权许可传送到客户电脑的Windows媒体版权管理器上.最后媒体版权管理器进行解密,并将所请求的多媒体内容包发送到播放器.
认证程序必须先确认用户状态,然后再通过客户端传送过来的信息动态的生成密钥,将密钥放入证书提供给客户端使用,业务流程图如图4所示.
在流媒体认证过程中,服务器段接收端接收客户端发送信息后,如何通过对信息的处理来完成对用户的身份验证和生成播放许可证是整个认证过程的关键技术.在服务器端接收到客户端发送的信息后,服务器会进行解析信息的工作,从所得信息中获取流媒体文件的密码和编号,内容编号和用户信息.结合数据库分析用户信息判断其是否为合法用户,非法用户则不进行许可证生成操作,并向客户端返回失败信息.确认身份之后,服务器会根据内容编号与用户信息以及数据库中的信息生成权限对象;根据密码编号和数据库信息产生密钥.最后服务器会根据密码编号、密钥、权限对象,客户端信息等创建签发用户指定的播放的流媒体文件的许可证,从而完成整个流媒体认证过程.
图4 认证流程图
图5 打包加密流程图
打包加密需要选择加密文件,设定认证服务器地址,之后打包器会自动在后台生成密钥进行加密.整个业务流程如图4所示.
图5 中,打包加密子系统,当运行程序的时候先选择加密文件所在的文件夹,再选择加密文件,最后点击确定按钮就可以加密文件了.加密过后的文件放在原目录下,动态生成的密钥ID和密钥种子写入了数据库中.
随着网络的进一步发展,尤其是宽带网络的普及,文化产品正越来越多地以数字形式在网上发行.因此,构建安全可靠的数字版权管理系统已成为一个十分重要的研究课题.本文针对当前DRM系统所面临的主要问题,设计一个具有实用性的DRM安全管理机制,其中主要包括打包加密子系统和认证子系统.由于该安全机制考虑了DRM系统的实际应用特性,因此具有一定的应用和推广价值.
[1]邓坷,邢春晓,周立柱.数字版权管理中安全机制研究[J].计算机科学,2004,31(4):89-91.
[2]范科峰,莫玮,曹山,赵新华,裴庆祺.数字版权管理技术及应用研究进展[J].电子学报,2007,35(6):1139-1147.
[3]徐日,毛明.一个基于可信密码模块的数字版权管理方案[J].北京电子科技学院学报,2008,16(4):9-13.
[4]尹浩,林闯,邱锋,丁嵘.数字水印技术综述[J].计算机研究与发展,2005,42(7):1093 -1099.
[5]王健宗,庄超,蒋文超.学习资源权利描述模型及执行策略研究[J].计算机与数字工程,2007,38(6):4-6.
Research and Design of Security Model in Digital Rights Management System
LIN Li1,LI Yan2,GUAN De- jun1
(1.Shenyang Radio and TV University,Shenyang,Liaoning 110003,China;2.Liaoning Provincial College of Communications)
Digital rights management has become an important technical means to protect the data content's legitimate trade,dissemination and use under a network environment.In view of the demand for security of digital rights management system,using correlation technique of cryptology to analyze and design a set of safety assurance mechanism,giving the overall implementation of the mechanism,and designing encryption package subsystem and authentication service subsystem.While protecting the confidentiality of digital media,the mechanism also achieved an effective authentication mechanism,so as to provide a safety assurance for digital rights management system.
digital rights management;streaming media;digital certificate;ID authentication
TP31
A
1008-7974(2011)10-0014-03
2011-07-18
林丽(1979-),女,辽宁营口人,沈阳广播电视大学讲师.
(责任编辑:王前)