數字版權管理系統中安全模型的研究與設計

林 麗，李 艷，關德君

(1.沈陽廣播電視大學，遼寧沈陽110003;2.遼寧省交通高等專科學校)

數字版權管理系統中安全模型的研究與設計

林 麗1，李 艷2，關德君1

(1.沈陽廣播電視大學，遼寧沈陽110003;2.遼寧省交通高等專科學校)

數字版權管理已成為網絡環境下保護數據內容的合法交易、傳播和使用的一種重要技術手段.針對目前數字版權管理系統的安全需求，采用密碼學相關技術分析并設計了一套安全保證機制，給出了該機制的總體實現方案，并設計了加密打包子系統和認證服務子系統.該機制在保護數字媒體機密性的同時還實現了有效的認證機制，從而為數字版權管理系統提供了安全保證.

數字版權管理;流媒體;數字證書;身份認證

1 引言

數字版權管理(Digital rights management，DRM)是保護多媒體內容免受未經授權的播放和復制的一種方法［1，2］.它為內容提供者保護他們的私有視頻、音樂或其他數據免受非法復制和使用提供了一種手段.DRM技術通過對數字內容進行加密和附加使用規則對數字內容進行保護，其中，使用規則可以斷定用戶是否符合播放數字內容的條件，防止內容被復制或者限制內容的播放次數.操作系統和多媒體中間件負責強制實行這些規則.數字版權管理是一個系統框架，而不僅僅是一種技術.它是由各種相關技術按照特定的方式組合而成，在數字版權管理這個系統框架中，涉及許多方面的技術，主要包括密碼技術［3］，水印技術［4］，數字權利描述語言［5］，用戶控制和使用控制.

對DRM的研究主要是在近些年，互聯網的迅猛發展有力地推動了數字商品，諸如流媒體內容的銷售.但數字商品可以在無任何品質損傷的情況下被輕易拷貝和再分發的特性又使得互聯網成為非法使用、傳播有版權媒體內容的溫床.各個公司都在研制防止盜版的技術.數字版權管理產業引起了人們高度的關注.數字版權管理應用的范圍非常廣.從互聯網上的數字音頻、視頻的下載保護到手機上彩鈴等各種增值業務的傳播限制，從生產者到發布者到消費者，以及從消費者到其它消費者的過程中，保護數字內容作品的生產者，發布者以及消費者的權益.

本文首先介紹了DRM的安全模型，以及DRM的流程，分析了DRM系統中的安全特性.在結合DRM系統的實際安全需求的基礎上，設計了DRM系統安全機制框架，以及加密子系統和認證子系統.

2 DRM模型

一個完整的DRM系統應該由以下幾個部分構成:Web服務器，流媒體服務器，認證服務器，文件服務器，以及數據庫服務器.如圖1所示.

圖1 DRM系統模型

(1)Web服務器上的網站提供對媒體信息的發放，管理功能;提供注冊，登陸，點播和瀏覽媒體信息等功能.

(2)流媒體服務器提供媒體文件的發放，傳輸服務以及管理媒體文件.

(3)數據庫服務器用于存放用戶的各種信息，媒體文件信息，密鑰種子等信息.

(4)認證服務器提供認證功能，當服務器接收到來自客戶端的認證請求以后會根據請求信息，先認證客戶端用戶的身份，然后通過分析媒體播放發送的媒體信息產生相應的密鑰打包到License中發送給客戶端的安全播放器，安全播放器得到認證服務器發送過來的License，取出密鑰就可以通過密鑰解密播放媒體文件.在證書的生成過程中，認證服務器需要訪問數據庫服務器，從中取出密鑰種子Key-Seed來動態的生成密鑰.

(5)在文件服務器上還有一個打包加密過程的程序，通過這個程序可以打包加密媒體文件，加密之后如果想要播放媒體文件就必須通過認證服務器的認證之后才可以播放.

3 DRM安全機制

3.1 DRM系統的安全框架

一個DRM安全框架應包含了打包器，流媒體服務器，證書服務器，安全播放器.當用戶接收到媒體文件以后不能直接收看，必須有系統身份認證并得到解密密鑰后才能正常收看流媒體文件，如圖2所示.

圖2 DRM安全框架

(1)用戶想要收聽流媒體節目，DRM客戶端意識到該內容是受保護的.

(2)客戶端發送認證申請:如果沒有合適的證書，DRM客戶端播放器會向認證服務器發送一個請求.

(3)認證服務器通過用戶使用的認證方式進行用戶身份認證，從而確認用戶的合法性.

(4)認證服務器生成用戶請求媒體文件的權限信息.

(5)認證服務器把權限信息和流媒體的解密密鑰發送給客戶端.

(6)流媒體服務器開始向客戶端發送用戶請求的流媒體文件，客戶端受到證書中包含的密鑰對媒體文件進行解密從而收看到媒體節目.

在打包器中涉及到的加密技術有對稱加密和非對稱加密.對媒體文件的對稱加密采用的是DES加密方法.DES使用56位密鑰對64位的數據塊進行加密，并對64位的數據塊進行16輪編碼.每輪編碼時，一個48位的“每輪”密鑰值由56位的完整密鑰得出來.DES用軟件進行解碼需要用很長時間，而用硬件解碼速度非常快.采用非對稱加密方法RSA生成的私有鑰匙簽名打包加密的媒體文件的頭文件進行簽名.

在認證服務器采用的是與加密時剛好相反的方法來對請求進行認證.首先通過請求信息使用公鑰進行驗證，驗證通過以后通過頭文件信息中的密鑰ID生成密鑰，將密鑰放入證書中生成可以用來播放媒體文件的數字證書發放到客戶端，當用戶接收到數字證書以后就可以通過密鑰進行解密播放受保護的媒體文件.

3.2 DRM系統的加密和認證過程

內容打包程序用一個許可密鑰種子和一個密鑰ID生成一個密鑰.許可密鑰種子是在內容打包程序和許可證書分發程序之間共享的秘密，它是一個不少于5字節長的隨機值.密鑰標識是一個全局唯一標識符.此系統的密鑰種子和密鑰ID采用自動生成，存放方式.然后程序使用密鑰加密內容，并把密鑰標識和用于版權許可分發的互聯網地址置入內容頭.然后內容打包程序把內容頭和加密內容一起打包到一個媒體文件中.密鑰種子和密鑰ID存入數據庫中.如圖3所示.

用戶的播放器請求媒體版權管理服務器確定其所請求的媒體文件是否可以播放，之后媒體版權管理服務器搜索版權庫以獲得播放內容的合法版權許可.如果媒體版權管理服務器搜索所需的版權許可失敗，它會從版權許可分發程序申請一個版權許可.質詢(challenge)用于請求內容頭中包含的版權許可及與用戶電腦相關的信息.版權許可分發程序使用共享版權許可密鑰和密鑰標識生成與內容打包程序生成的相同的密鑰.然后版權許可分發程序加密該密鑰.

圖3 加密和認證過程

版權許可分發程序生成了一個版權許可，并將加密的內容密鑰添加到版權許可中，再添加一個從媒體版權許可服務中獲得的證書，然后使用證書中的公有密鑰對版權許可進行簽名.版權許可分發程序將簽名后的版權許可傳送到客戶電腦的Windows媒體版權管理器上.最后媒體版權管理器進行解密，并將所請求的多媒體內容包發送到播放器.

3.3 認證子系統

認證程序必須先確認用戶狀態，然后再通過客戶端傳送過來的信息動態的生成密鑰，將密鑰放入證書提供給客戶端使用，業務流程圖如圖4所示.

在流媒體認證過程中，服務器段接收端接收客戶端發送信息后，如何通過對信息的處理來完成對用戶的身份驗證和生成播放許可證是整個認證過程的關鍵技術.在服務器端接收到客戶端發送的信息后，服務器會進行解析信息的工作，從所得信息中獲取流媒體文件的密碼和編號，內容編號和用戶信息.結合數據庫分析用戶信息判斷其是否為合法用戶，非法用戶則不進行許可證生成操作，并向客戶端返回失敗信息.確認身份之后，服務器會根據內容編號與用戶信息以及數據庫中的信息生成權限對象;根據密碼編號和數據庫信息產生密鑰.最后服務器會根據密碼編號、密鑰、權限對象，客戶端信息等創建簽發用戶指定的播放的流媒體文件的許可證，從而完成整個流媒體認證過程.

3.4 打包加密子系統

圖4 認證流程圖

圖5 打包加密流程圖

打包加密需要選擇加密文件，設定認證服務器地址，之后打包器會自動在后臺生成密鑰進行加密.整個業務流程如圖4所示.

圖5 中，打包加密子系統，當運行程序的時候先選擇加密文件所在的文件夾，再選擇加密文件，最后點擊確定按鈕就可以加密文件了.加密過后的文件放在原目錄下，動態生成的密鑰ID和密鑰種子寫入了數據庫中.

4 結論

隨著網絡的進一步發展，尤其是寬帶網絡的普及，文化產品正越來越多地以數字形式在網上發行.因此，構建安全可靠的數字版權管理系統已成為一個十分重要的研究課題.本文針對當前DRM系統所面臨的主要問題，設計一個具有實用性的DRM安全管理機制，其中主要包括打包加密子系統和認證子系統.由于該安全機制考慮了DRM系統的實際應用特性，因此具有一定的應用和推廣價值.

［1］鄧坷，邢春曉，周立柱.數字版權管理中安全機制研究［J］.計算機科學，2004，31(4):89－91.

［2］范科峰，莫瑋，曹山，趙新華，裴慶祺.數字版權管理技術及應用研究進展［J］.電子學報，2007，35(6):1139－1147.

［3］徐日，毛明.一個基于可信密碼模塊的數字版權管理方案［J］.北京電子科技學院學報，2008，16(4):9－13.

［4］尹浩，林闖，邱鋒，丁嶸.數字水印技術綜述［J］.計算機研究與發展，2005，42(7):1093 －1099.

［5］王健宗，莊超，蔣文超.學習資源權利描述模型及執行策略研究［J］.計算機與數字工程，2007，38(6):4－6.

Research and Design of Security Model in Digital Rights Management System

LIN Li1，LI Yan2，GUAN De－ jun1
(1.Shenyang Radio and TV University，Shenyang，Liaoning 110003，China;2.Liaoning Provincial College of Communications)

Digital rights management has become an important technical means to protect the data content＇s legitimate trade，dissemination and use under a network environment.In view of the demand for security of digital rights management system，using correlation technique of cryptology to analyze and design a set of safety assurance mechanism，giving the overall implementation of the mechanism，and designing encryption package subsystem and authentication service subsystem.While protecting the confidentiality of digital media，the mechanism also achieved an effective authentication mechanism，so as to provide a safety assurance for digital rights management system.

digital rights management;streaming media;digital certificate;ID authentication

TP31

A

1008－7974(2011)10－0014－03

2011－07－18

林麗(1979－)，女，遼寧營口人，沈陽廣播電視大學講師.

(責任編輯:王前)