基于手機智能卡的DRM系統的設計與實現
文章出處:http://5052h112.com 作者:李炳蔚 劉杰 人氣: 發表時間:2011年09月28日
1 引言
隨著互聯網的飛速發展,人們可以很容易地在互聯網上找到各種盜版的軟件和影音作品。這種盜版行為不僅侵害了作者的知識產權,而且極大地損害了作者的經濟利益。在互聯網和移動通信緊密結合的今天,使用手機上網看電影聽音樂也變得越來越流行,隨之而來的版權保護問題也日益突出,為了保護內容提供商的利益,促進移動增值業務的良性發展,我們設計了一個在手機上使用的,基于智能卡的DRM數字版權保護系統。手機用戶可以通過付費,有償使用數字資源,同時該系統可以限定用戶的權限(比如一部電影只能播放幾次,不允許和其它用戶共享等),從而最大限度地保護數字版權。
2 基于智能卡的DRM系統的關鍵技術
2.1 OMA DRM
DRM(Digital Rights Management,數字版權管理)是一項加強對音頻、視頻數字化產品內容版權保護的技術。其基本工作原理是將音頻、視頻等文件進行加密編碼處理,再建立一個證書授權服務中心;當用戶使用這些加密文件時,應用軟件會根據其包含在頭文件中的有關屬性自動鏈接到相應的站點(證書授權服務中心)獲取相應的證書;只有通過授權中心的驗證并獲得授權,才能使用這些音、視頻等文件,從而有效的保護了這些數字多媒體產品的版權和使用權限。
OMA DRM 是OMA(Open Mobile Alliance)開發移動聯盟制定的可用于移動通信終端的DRM協議;作為一個開放的標準,它的最大特點在于平臺接口的標準化和開放性。因此它得到了眾多運營商和設備提供商的支持和應用, 目前歐美和我國的大多數運營商都在其數字版權保護系統中使用了OMA DRM。本系統采用的是OMA DRM2.1版本的標準,它在DRM基本原理的前提下進行了一定程度的變化,其主要特點在于:將加密內容和版權同時發送給用戶,而不是播放加密內容時再去相應站點獲取。
2.2 PKI體系
公鑰基礎設施(PKI,Public Key Infrastructure)是利用公鑰概念和加密技術為網上通信提供的符合標準的一整套安全基礎平臺。PKI體系中的2個關鍵技術是對稱密鑰密碼技術和非對稱密鑰密碼技術。對稱密鑰技術使用同一個密鑰進行文件的加解密,即只要知道了加密密鑰就可以用它來解密文件。非對稱密鑰技術使用2個密鑰:公鑰和私鑰,文件可以使用公鑰加密私鑰解密,也可以使用私鑰加密公鑰解密。公私鑰一一對應,公鑰向公眾公開,私鑰則由私人唯一擁有。本系統使用了DES對稱密鑰技術和RSA非對稱密鑰技術。
2.3智能卡技術
智能卡(smart Card),也口L{IC卡,它是一個帶有中,智能卡核實版權中的權限,如果權限確實屬于該用戶,且沒有使用完,卡上的密碼處理器使用卡中的用戶私鑰解密出對稱密鑰,并將對稱密鑰發送給手機中的合法播放器,播放器使用該密鑰解密數字內容進行播放。為了防止非法的播放軟件竊取對稱密鑰,智能卡設有訪問口令,只有合法的播放器才可以進行訪微處理器和存儲器等微型集成電路芯片的、具有標準規格的卡片,如圖1所示。智能卡已應用到銀行、電信、交通、社會保險、電子商務等領域,本系統中使用的手機SIM 卡即屬于智能卡的范疇。對于應用于PKI體系的智能卡,一般都帶有硬件仿真隨機數發生器、RSA協處理器,可以用硬件實現RSA的運算。另外,還具有DES和SHA一1等密碼算法,保證在硬件內部產生密鑰對,并在硬件內部完成加、解密運算。本系統將用戶私鑰存放在智能卡存儲器中,利用硬件運算RSA,完成解密工作。
3 基于智能卡的DRM系統的設計與實現
3.1 系統的原理及組成
本系統的基本原理是:首先使用對稱密鑰加密數字內容,當用戶請求下載時,再使用用戶的公鑰加密對稱密鑰,將加密后的密鑰和相應的權限包含在版權中,然后將加密內容和版權一起傳給用戶。用戶得到版權后,使用自己的私鑰即可解密出對稱密鑰,并用它解密數字內容進行欣賞。
因此整個系統可以由2個模塊組成:客戶端模塊和后臺服務模塊。客戶端模塊包括用戶瀏覽器Browser,下載代理DL Agent和版權代理DRM Agent。后臺服務模塊包括服務器Presentation Server,版權提供商Right Issuer和內容提供商Content Issuer。
3.2 系統的模塊功能設計
后臺服務模塊負責數字內容的加密。內容提供商使用對稱密鑰加密原始的數字內容,并把對稱密鑰和該數字內容的標識發送給版權提供商,以便日后生成版權??蛻舳四K負責數字內容的解密和播放??蛻舳耸盏郊用艿膬热莺桶鏅嗪?,版權被發送到手機智能卡中,智能卡核實版權中的權限,如果權限確實屬于該用戶,且沒有使用完,卡上的密碼處理器使用卡中的用戶私鑰解密出對稱密鑰,并將對稱密鑰發送給手機中的合法播放器,播放器使用該密鑰解密數字內容進行播放。為了防止非法的播放軟件竊取對稱密鑰,智能卡設有訪問口令,只有合法的播放器才可以進行訪問,如圖1所示。
圖1 數字內容的加密和解密過程
3.3 系統的安全架構
基于智能卡的DRM 系統的安全架構由參與實體,網絡安全協議和安全基礎設施3個部分組成。各部分在系統中起著不同的作用,PKI作為安全基礎設施是安全協議有效實施的基礎,一切基于身份鑒權認證的應用都需要PKI的支持;ROAP是一種安全傳輸協議,它與PKI相結合實現了身份認證,公鑰發放等功能;在此基礎上,各參與實體相互通信完成了內容和版權的生成,傳輸下載和播放,如圖2所示。
圖2 系統的安全架構
3.4 系統的無線傳輸過程
手機客戶端通過GPRS無線信道和后臺服務模塊交互,獲取數字內容和版權,考慮到無線信道傳輸收到加密的內容和版權后,版權被發送到手機智能卡 的不安全性,為了防止其他人非法冒充竊取相關內容,本系統使用了OMA DRM 標準中的ROAP協議進行數字內容和版權的傳輸。ROAP (Rights ObjectAcquisition Protoco1)是OMA DRM 中的一個傳輸協議標準;在該協議中,版權提供商和版權代理經過一系列的相互認證,確認彼此的合法性,在傳輸過程中采用嚴格的請求響應機制,因此可以保證數字內容不會被非法的竊取使用和傳播。
ROAP協議分成2個過程:登記識別和下載內容版權。
3.4.1登記識別
登記識別是為了讓用戶和服務器相互確定對方的合法性,如果用戶首次登陸將執行登記過程,否則執行識別過程,如圖3所示。
首先客戶端瀏覽器Browser發送一個HTTP登記請求,版權提供商RI收到后生成一個登記觸發Registration ROAP Trigger并把它傳送給服務器Presentation Server,服務器將帶有下載描述符DD和ROAP Trigger的HTTP響應返回給下載代理DL Agent,下載代理讀取后把ROAP Trigger傳給版權代理DRM Agent,版權代理啟動與版權提供商的4-pass Registration ROAP 會話。執行完畢后,下載代理將指向Next URL,以供下次使用。服務器返回給用戶登記成功的響應。
4-pass Registration ROAP會話是本過程的關鍵,通過該會話,用戶和服務器交換了各自的公鑰和數字證書,從而確定了彼此的身份和合法性。識別過程與此基本相同,只是把4-pass Registration ROAP會話改為2-pass Identification ROAP會話。
3.4.2下載內容和版權
登記識別成功后,用戶將確定自己需要的數字內容的使用權限并連同支付的電子貨幣一起通過HTTP發送給服務器。服務器確認后,和版權提供商RI交互生成一個相應的版權RO, 同時RI生成一個ROAcquisition ROAP Trigger并傳給服務器,服務器將帶有下載描述符DD 和ROAP Trigger的HTTP響應返回給下載代理。下載代理讀取后將ROAPTrigger傳給版權代理,版權代理發送下載請求至RI,RI將版權RO連同從內容提供商CI處獲得的內容CO一起傳送過來(版權RO和內容CO在邏輯上相互分離,也可以采用分開傳送的方式)。
版權代理安裝好內容和版權后,通知下載代理安裝成功(或失敗),下載代理將安裝狀態發送給RI,RI收到后回復。之后,下載代理將指向NEXTURL,以供下次使用。
通過以上2個過程,加密內容和版權被安全地傳輸到了合法的用戶手中,客戶端采用圖4的步驟就可以解密出數字內容進行欣賞。
3.4.3版權的組成
下載的版權由rilD,right,signature,timeStamp,encKey,version,id,stateful, domainRO,riURL等屬性組成。其中right為用戶權限,包含了用戶的信息和使用的次數。stateful負責記錄權限使用的情況,當權限使用完后,該版權失效。encKey包括用于驗證版權完整性的MAC KEY和加密后的對稱密鑰,如圖5所示。
圖3 登記識別
通過合理設置版權中的屬性,保證了版權只能按照相應的權限進行使用,防止合法用戶無限制使用版權和非法傳播共享的現象發生。
圖4 下載內容和版權
4 結論
在手機上網日益普及的今天,為了保護無線下載內容的數字版權,基于手機智能卡的DRM 數字版權保護技術應運而生,許多基于 了內容提供商的利益,越來越多的商家參與到無線下該技術的產品已經投入使用。由于該技術有效地保護 載內容的創造和發布中,為廣大手機上網用戶提供了
圖5 版權的組成
越來越多的優質數字影音資源,同時它還促進了移動增值業務的發展,為運營商產生了巨大的經濟效益。
(文/北京郵電大學電子工程學院 李炳蔚 劉杰)