（计算机应用技术专业论文）基于数字水印的弹性动态d2rm研究与实现.pdf

摘要 摘要 随着计算机网络的普及，越来越多的资源以数字形式在网络上传播，随之而 来的是日益严重的盗版问题。保护版权所有者的利益，使得数字作品发行能够 持续健康地发展是一个亟需解决的问题。在这背景下，出现了大量数字版权管 理方案。然而目前绝大多数d r m 方案之间互不兼容，而且基于安全性的考虑， 对作品的使用方式作了很多限定，这与用户日益增长的多样化需求产生了巨大 的矛盾，有的时候这些矛盾还会激化，使得消费者对d r m 技术产生抵触情绪。 本文首先对当前主流的d i t m 系统进行了调查，分析了当前的数字版权管理 领域的现状和发展趋势，并对消费者的日常消费习惯进行研究，提出了数字作 品转借的概念，建立了转借传播模型。同时基于目前d r m 现状和广泛存在于出 版商和消费者之间的矛盾，提出了d r m 系统设计的两个重要思想：动态和弹性， 并对这两个思想进行深入研究，提出实现过程中应达到的目标。然后在以上模 型和思想的指导下提出了一个数字版权管理系统的方案d 2 r m 。在d 2 i t m 中，设 计了数字作品转借方案，加入了传播追踪机制，体现了弹性的思想。还设计了 安全策略更新和应用程序更新机制，体现了动态的思想。最后在翰林蜃v 2 平台实 现了d 2 i u 订方案，通过对系统的评估，验证了方案的可行性和安全性，证明基 于d 2 r m 的版权管理系统是值得大力推广的。 关键词：数字水印数字版权管理转借动态本质安全手持阅读屏幕打印 a b s t r a c t a b s t r a c t w i t ht h ep o p u l 撕z a t i o no fc o m p u t e rn e t w o r k ，m o r ea i l dm o r er e s o u r c e s d i s s e m i n a t eb yt l l ed 培i t a lf o n l li nm en e t w o r k ni sau r g e mp r o b l e mt l l a tp r o t e c t i i l g t l l ec 叩y r i g h to w n e b e n e f i t ，a 1 1 de n a b l e st l l ec o n t i n u eh e a l m yd e v e l o p m e n to f d i g i t a lw o r kp u b l i s h i n g u n d e rt h i sb a c k g r o l l l l d ，m a i l yd i g i t a ld g h t sm a i l a g e m e m s y s t e m 、v a sd e s i g n e d h o w e v e r ，m o s td r ms y s t e 【n si si n c o i i l p a t i b l e ，a n dt 1 1 el l s i n g w a yo fd i g i t a l 、o r k si sl i n l i t e dc o n s i d e r e dt l l es e c l l r i t yf a c t o r ，t l l i sm a k e sah u g e c o n t r a d i c t i o n 谢t 1 1 也ed i v e r s i f i e d 孕。谢n gd e m a n do fu s e r s ， s o m e 血n e s 也e c o n n a d i c t i o nc o u l di n t e n s i 甄c a i l s et l l ec o n s 呦e rt or e s i s tt l l e 工己mt e c l l i l o l o g y f i r s t ，t 1 1 ea n i c l ei i e s t i g a t e dm em a i l l s t r e 锄d r ms y s t e m s ，a i l a l y z e dt h ep r e s e n t s i t i l a t i o na i l d 血ed e v e l o p m e n tt e n d e n c yo fd i 己mf i e l d ，c o n d u c t e dt l l er c s e a r c ht o c o i l s 岫e r sd a i l ye x p e n s ec u s t o m ，p m p o s e dt 1 1 ed i g i t a lw o r ks l l b t e n 锄c yc o n c 印t ， e s t a b l i s h e dt h es u b t e n a l l c yd i s s e m i l l a t i q nm o d e l m e a i l w l l i l e ，b a s e do nt l l ep r e s e n t d i 己ms i t l i a t i o na i l d 、v i d e l ye x i s t sc o n 位【d j c t i o nb e t w e e nm ep u b l i s h e ra 1 1 dc 0 1 1 s 眦e r ， w ep m p o s e dt w oi i n p o n a l l tt l l o u 曲to nd i 蝴d e s i g i l i n g ，d ) ，i l a m i c 柚de l a s t i c i 吼觚d c o n d u c t e dt h et h o m u g hr e s e a r c hi nt h e s et w om o u g h t ，p m p o s e dt h eg o a l sw l l i c h s h o u l db ea c h i e v e di l lt l l er e a l i z a t i o np r o c e s s t h e np m p o s e dad i 己mp l a i l1 1 l l d e r 也e i i l s t m c t i o no ft l l em o d e la i l dt h et h o u g h t ，w l l i c hn 锄e dd 2 r m i i l1 h i sp l 锄，w e d e s i g n e dt h ed i 西t a lw o r ks u b t e n a i l c yp l a l l ，锄dr e a l i 乃e d t l l ed i s s e m i n a d o n 廿a c i l l g m e c h a i l i s m ，w i l i c hm a n i f e s t e dt 1 1 ee l a s t i c i t ) rt l l o u g h t w ba l s od e s i 朗e ds c c 谢t yp o l i c y r e n e wm e c l l a i l i s m 趾d 印p l i c a 畸o nr e n 酬m c c l l a | l i s d l ，w i l i c hm a n i f e s i 甜t h e d y n 锄i ct h o u g h t f i n a l l y ，w er e a l i z c dt l l cd 2 i u 订i l lt h eh a i l l i nv 2p l 甜i o r i n ，t h r o u g l l t l l ea p p m i s a lt ot l l es ) r s t e m ，t l l ef e i b i l i t ya n d1 1 l es e c 谢t yo f t l l ep l a ni sc 锄m e d n i sp m v e dm a tt l l ed 哆r mr i g l i t sm a l l a g 锄c n ts y 咖mi s 、v o 曲p m m o t i n gv i g o r 0 璐1 y k e y 订o r d s ：w a t e 舢a r k j n g ，d i g i t a li h g h t sm a n a g e m e n l ，s u b t e 眦l c y ，d y n 锄i c ， i n 仃i n s i cs e c l l r i 饥h 锄d l l e l dr e a d i n g ，s c r e e np r m t i l 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、己公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均己在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名： 毛艰庞 舫年厂月多，日 南开大学学位论文版权使用授权书 本天完全了解裔开大学关予收集、绦存、经雳学位论文鹩援定，同京如下各 项内释：按照学校鼹求提交学位论文的印刷本和电子版本；学校有权保存学位 论文的印刷本和电子版，并采用影印、缩印、扫擒、数字纯或其它手段保存论 文：学校有权提供辩录裣索隘及裰供本擘像论文全文或嚣部分懿阕箍缀务：学 校有椒按有关规定嗣匿家有关部门或者机构邀交论文的震鞫僻和壤予版；在不 以赢利为目的豹魏爨下，学校可以透当复制论文熬部分域全部内容用乎学术活 动。 学位论文作者签名： 毛夺券 纱6 辱 e 秘密l o 年( 最长l o 年，珂少予l o 年) p 瓠密2 0 年( 最嵌2 0 年，可少予，2 0 年) 第一章引言 1 1 1 论文研究的背景 第一章引言 第一节研究背景 人类社会是一个信息社会，人们无时无刻不在接受并处理信息。可以说， 谁掌握的信息多，谁在竞争中就将处于优势。如何加快信息的传播，并保护信 息的安全，一直以来就是人们非常关注的问题。 如果时间倒退十年，人们获取信息的方式大部分是通过报纸，书籍，磁带， 电台，电视台。这些信息都是通过某种受控的媒介传递到用户手中，盗版比较 困难，版权保护的矛盾并不突出。 随着以i n t e m e t 为代表的网络技术的发展普及，越来越多的人开始通过网络 下载并消费电子书籍、音乐、视频等数字作品，这样就形成了一个巨大的市场， 并吸引了大量的服务提供商加入进来。如何管理这些数字作品的版权，既能使 数字作品有效传播，又能够减少盗版和不合理使用的产生；既保障消费者的权 益，又能够让服务商得到合理的回报：使得数字作品出版良性健康地向前发展， 是一个亟待解决的问题。 研究当前数字作品出版现状，可以发现很多特点： 1 传统作品数字化趋势越来越来强烈 a ) 大量的书籍作品被制作成电子文档在网络上提供下载 b ) 宽带网的普及使得音乐、视频等多媒体资源在网上流行 c ) 以b l o g 为代表的大众媒体极大丰富了数字作品的来源 d ) 为提高效率，大量的公文以数字形式在网上流转 2 数字作品传播方式逐渐多样化 a ) 门户和专业网站模式提供出版服务的模式仍然是主流 b ) p 2 p 技术的发展使得用户间资源共享变得非常普遍 c ) 以手机，无线网络为代表的数字作品传播方式开始进入人们的生活 3 数字作品极易复制的特点使得它很难受到现有版权制度的保护 第一章引言 a ) 廉价的复制，使得数字作品的盗版成本极低 b ) 发生盗版时，司法鉴定的困难 c ) 篡改方便 1 1 2 作品出版发行模式 传统的数字作品出版模式包括作者、出版商、发行商、零售商、用户五个 对象。它们之间是一种层层传递的关系。 数字作品的出版模式由于利用了计算机和网络技术，可以大大简化流通的 环节，提高流通的效率。一个典型的数字作品出版模型可以包括作者、出版商、 发行商、用户四个方面，他们中的一部分角色还可以重合。当前数字作品出版 发行模式有四种：书店模式，图书馆模式，捆绑模式和会员制模式。书店模式 是当前大多数数字作品服务提供商采用的模式，用户购买作品以后能够永久使 用。图书馆模式实际上是租赁模式，用户下载的数字作品具有一定期限，当作 品过期时只要续费就能够继续使用。捆绑模式是随设备发行的数字作品，用户 可以永久使用。会员制是一种新的数字作品发行模式，用户购买数字作品的方 式和书店模式比较类似，但会员内部可以在离线状态下相互转借数字作品。 1 2 1 概念 第二节d f u 啊 d i t m p i g i t a l 翔曲t s m a n a g 锄e n t ) 是数字版权管理的缩写，对于d r m 的定义， 不同的人有不同的见解，有的人认为d r m 纯粹是一个技术工具，有的人认为它 是一个社会、法律、技术的一个综合体制。 我们认为，d r m 是一个数字作品版权管理的综合系统，它由一系列的技术、 工具、流程和处理方法组成。是一个跨越众多领域的综合管理系统。它的主要 目的是保护数字作品内容，维护版权所有者和用户的合法权益。 1 2 2 架构 d r m 的架构有很多人研究，下面列举一些比较有代表性的体系结构。 2 第一章引言 在数字权益管理一文中，张晓林教授提出的d r m 架构如下图所示： 图1 1d r m 架构 这是一个分层协议，它把整个架构分为6 层，最顶层是系统的安全核心，是 身份确认的标志，第二层是数据表达层，第三层是算法引擎，第四层是权力表一 达层，第五层是安全协议层，第六层是应用层。整个模型中上层为下层提供服 务，下层封装上层的接口，并提供高层应用的实现。这种架构模式从技术的角。 度来归纳，比较贴近终端实现，对一个实用的d r m 系统的分层设计有指导意义。： o d r l ( 0 p e nd i g i t a lm 曲t sm a i l a g e m e n t ) 的核心人物，r e n a t oi 锄e l l a 提出的j d r m 架构如图1 2 所示： 这个功能架构分为三个部分：第一部分是资产创建，它用于数字作品内容 的生成；第二部分是资产管理，它用于管理数字作品，主要包括数字作品的加 入和交易第三部分是资产使用，它用于保证数字作品交易后在规定范围内使 用这种架构从系统流程的角度出发来归纳，对整个d r m 系统的模块设计有理 论指导意义 3 第一章引言 1 2 3 应用领域 图1 2 0 d r l 的d r m 功能架构 d i t m 应用领域非常广，下面介绍一下它的应用领域： 1 电子书的出版发行 2 流媒体在线点播 3 数字音乐商店 4 影视作品网上发行 5 传统影像制品发行 1 2 4 技术现状 在d r m 需求越来越大，技术逐渐成熟，方案越来越多的同时，很多问题也 开始暴露出来，有时甚至会激化服务商和用户之间的矛盾。正确认识目前的现 状，改进d i t m 方案是一件非常重要的事情。下面是目前d r m 技术的现状。 1 新兴技术，不成熟 虽然d r m 的概念已经提出了一段时间了，但真正使用的产品却是近期 4 第一章引言 才出现的，这与产业的需求有关。目前应用规模比较大的d r m 产品包括微 软w i n d o w sm e d i ad r m 、苹果公司的f a i r p l a y 和r e a l n e t 、0 r k s 公司的h e l i x ， 然而它们的方案也是在摸索中前进，期间也出现了很多问题，例如苹果公司 的f a i r p l a y 曾经被一个开源项目攻破过，由于容易引起计算机系统的不稳定， s o n y 的c d 版权保护方案x c p 被迫流产，这说明目前的d r m 方案还很不 成熟。 2 方案很多，不兼容 市面上的d r m 方案非常多，而且各有各的侧重点和应用领域，然而， 它们之间几乎互不兼容。r e a l n e t 、o r k s 公司曾经开发出一个叫做h a r n l o n y 的软件来支持各种d r m 资源之间的转化，但却遭到苹果公司的强烈反对。 由于缺乏兼容性，用户在苹果公司购买的数字作品不能在非苹果公司的设备 上播放，这大大损害了消费者的利益。 3 限制很多，不灵活 目前的d r m 方案为用户设定了重重限制，例如用户只能在特定的机器 上使用数字作品，不能随意拷贝到别的机器上使用，不能对数字作品进行编 辑修改，这极大的阻止了用户的个性化需求。 4 方案保密，不透明 绝大多数d r m 方案采用了方案保密的方法来提高自己系统的安全性， 并通过保密来禁止别人开发与之交换的产品。然而这种做法不仅阻碍了d r m 技术的进步，而且使很多漏洞不能及时地暴露出来，实际上增加了系统的危 险性。 1 3 1 微软d 刚 第三节主流d r m 方案 m n d o w sm e d i a d r m 是微软开发的数字版权管理系统，让内容提供商以一 种安全的方式在互联网上分发他们的歌曲、视频和其它数字媒体内容。w i n d o w s m e d i a 版权管理通过打包加密的方式来完成对文件的保护。一个打包好的文件 包含用特殊秘钥加密的原始数据以及一些内容提供商提供的附加信息。采用这 5 第一章引言 种方式的好处就是保证那些能够播放这些加密媒体内容的人都是经过授权并获 取正确的许可证的消费者。 微软的d r m 的发展主要经历了三个阶段，第一阶段是w i n d o w sm e d i ad l t m l ，主要用加密的方法来实现，用户必须清楚的知道流程才能够使用：第二阶段 是w i n d o w sm e d i ad r m 版本7 x 和版本9 ，这一阶段加入了很多个性化的设置 选项，使得控制粒度非常细，而且流程很多都是后台自动完成，主要针对的是 p c 端的多媒体应用：第三阶段是w i n d o w sd r m1 0 ，这个版本增加了很多对便 携式设备支持的功能，还增加了证书吊销和排除机制，成为一个跨越p c 和便携 式设备端的完整方案。下面主要介绍的是w i n d o w sd i t m1 0 的功能。 微软的d r m 有着很强的自定义和灵活应用的特性，可以根据用户的不同需 要提供不同复杂程度的数字版权服务。它所支持的商业模式包括加密直播，数 字媒体文件的预览和付费，按次收费的电影，订阅模式，保护敏感资料，远程 学习。 w i n d o w sm e d i ad r m 的架构包括网络和终端两部分，其中网络部分又可分 为出版商和发行商两个部分，出版商部分有媒体服务器，负责制作打包媒体资 源；发行商部分包括网页服务器、流媒体服务器和证书服务器，负责为终端用 户提供服务；终端部分包括支持w i n d o w sd r m 的m e d i ap l a y e r 播放器和移动设 备。整个系统的架构如图1 3 所示： 图l t 3 w i n d o w s d r m 架构 微软d r m 的操作步骤包括： 1 打包 2 分发 6 第一章引言 3 连接到许可证服务器 4 获取许可证 5 播放媒体文件 内容提供商用特殊的秘钥对文件进行加密，然后对这些加密以后的文件进 行分发。而用户在获取这些文件以后，如果要播放就必须获取相应的秘钥来进 行解密。许可证交换过程生成这样的许可证并包含相应的解密用的秘钥，用户 从许可证交换所获取相应的许可证授权以后就可以播放对应的媒体文件了，图 1 4 说明了w i n d o w sm e d i a 版权管理系统的秘钥建立和分发的过程。 图1 4w i n d o w s 许可管理方案 用户播放器 打包文件 许可证 用户播敲音乐 每个许可证除了包含对加密内容进行解密的秘钥以外，还包含对文件播放 的控制信息。内容提供者通过这里的限制来区分不同许可证和播放权限的不同。 w i n d o w sm e d i a 版权管理可以支持很灵活的权限控制，包括以下商业模式： 1 文件可以被播放的次数限制 2 文件可以被播放和传输的设备限制 3 文件可以被播放的日期和失效的日期限制 7 霭+ 蕊+ 月 第一章引言 4 文件是否可以被烧录到c d 上 5 用户是否可以备份和恢复许可证 6 用户播放该加密文件所需要的安全级别 7 其它应用模式 微软的w i n d o w s m e d i a d r m 是目前用的最广泛的d i t m 系统，利用它在操 作系统上的优势，微软不断向服务商和便携式设备制造商推销它的w i n d o w s d i t m 方案，目前很多小的便携式设备都开始内置支持w i n d o w sd r m 的芯片。 1 3 2o 卧讲m 0 m a ( o p e nm o b i l em a l l a g e m e n t ) 是开放移动联盟的缩写，它是移动行业最主 要的标准化论坛。它们制定的数字版权管理标准“o m ad r m ”被广泛用来管理 手机上数字多媒体数据。 0 m ad i t m 是一个保护移动设备上数字资源的一种版权保护方案，它为内容 提供者提供一种手段，让其有权决定用户使用数字内容的方式，使得他们的作 品免受非法复制和使用。 0 m ad r m 通过对数字作品进行加密和附加使用规则实现对数字作品内容 的保护，这些规则包括能否保存数字作品、使用次数、使用时间、转发许可、 修改许可等一系列规则，这些规则的实现是通过移动设备中的d i t m 代理来实现 的，这个代理是一个硬件设备，服务商可以完全信赖这个d r m 代理。 0 m a d r m 的功能体系结构如图1 5 所示。它在服务器端包括内容服务器和 权限服务器，在用户端包括数字设备和d r m 代理。 o m ad r m 有自己的权限描述语言，这种语言是基于开放数字权限语言 ( o p e nd i g i t a l 砌曲t sl a i l g i l a g e ，o d r l ) 的。 0 m a d r m 中的权限既可以和数字作品捆绑下载，有可以分离下载，这样就 产生了三种管理模式：禁止转发、合并方式和分离方式。 1 禁止转发 禁止转发方式中没有权限部分，只有数字内容，实际上这种方式的权限 已经事先都规定好了，那就是“禁止转发”。实际上它与合并方式有些类似， 都可以认为是权限和数字内容捆绑在一起，只不过这里权限是默认禁止转发 的，分离方式中权限是由内容提供商自己定义的。 8 第一章引言 2 合并方式 合并方式中，权限和数字内容虽然是两个部分，但是两者捆绑在一起下 载到用户的终端中。权限可以由内容提供商根据实际情况自己定义，当然定 义要使用d r m 代理能够识别的权限描述语言。 3 分离方式 分离方式中，权限和数字内容虽然有关联关系，但是这是两个独立的部 分，可以被用户分别下载，只有两部分都被下载到手机中，用户才能使用数 字内容，这种方式实现起来要比合并方式复杂，起码要想办法记录权限和数 字内容的关联关系，不过这种方式方便了用户，提供了更好的灵活性、可靠 性和安全性。 由于o m a d r m 标准是开放的，因此任何人都可以根据它的标准进行实现， 因此d i t m 代理的标准显得非常必要。目前已有很多大公司开发出了支持这种 代理的硬件。 d 衄系统 簟 网络存储 便携媒介 图1 5 0 m a d r m 架构 1 3 3 主流d 髓方案的比较 萝 用户 除了微软d r m 和0 m ad r m ，还有一些比较常用的d i t m 技术，它们各有 的特点和应用领域，如苹果公司f a i r p l a y ，主要用于i t u n e s 和i p o d 上的音乐、 9 鞋勰僦 令瓣 第一章引言 视频资源的保护：r e a l n e t w o r k s 公司的h e l i x ，主要用于在线音视频的点播；s u n 公司的d r e a m ( d r me v e r y w h e r e ) ，一个开源的d r m 项目，主要用于通用数字作 品的保护，并影响未来d r m 标准的制定。 还有一些与d r m 相关的技术，例如d i s c r e t i x 主要提供通用d r m 方案的硬 件支撑：r e a l n e t w o r k s 公司的h 锄o n y 用于各种d r m 的互连。 表1 1 对这些d r m 方案比较，比较的内容包括客户端和服务器类型，应用 场合，开放性情况和安全核心。 各种d r m 方案应用场合不同，其运行环境和安全核心也不同。例如微软主 要针对p c 和便携式设备，它的安全核心是w i n d o w s 操作系统和d i t m 芯片， f a i r p l a y 主要针对便携设备，它的安全核心是i p o d 设备，h e l i x 主要针对流媒体， 它的安全核心是服务器和r e a d p l a y 应用程序。 对于用户的资源共享问题，微软目前是不支持的。然而微软通过许可用户支 持数个终端，可以达到有限的共享，这些数量由服务器控制，任何终端必须在 线申请自己的许可证，因此用这种方法实现共享操作非常麻烦。而其它的d r m 方案也大同小异，如何解决这个问题是后面讨论的重点。 表1 1d r m 方案比较 客户端服务器端 应用场合开放性安全核心 w i d o w s m e d i a p l a y e r w i n d o w s 数字作品销授权使用w i n d o w s m e d i a 便携设备 m e d i a售 不开放d r m 芯片 d r md r m 服务器 f a i r p l a vl t i 】i l e si t i l i l e s音乐商店封闭i n m e s i p o di p o d 设备 h e l i xi 沁a l p l a v e r r h 印s o d y 流媒体服务通过 r h 印s o d y h a 兀n o n vr e a l p l a v e r 兼容 0 m a 移动设备电信增值 数字作品销 开放d r m 代理 d i t m服务商 隹 d 2 i 讣d 便携设备d 2 r m 服务数字作品销开放授权版权卡 器售 1 0 第一章引言 第四节问题提出 从当前的d r m 现状可以看出，消费者希望的是一个没有d r m 产品的世界， 但是服务商有保护自己版权的需求，要使两方面都满意，就必须在这之间提供 一个可调机制。此外，服务商希望这个d i t m 方案安全性高，策略设置灵活，发 生问题时有追溯机制。用户希望方案不妨碍自己合理使用、编辑、传播数字产 口 。 口日。 综上所述，可以提出两个d r m 方案要解决的主要问题。这也是论文中要解 决的两个主要问题。 1 如何提供一种控制机制，使得服务商和用户之间可以进行公平的博弈， 在不损害服务商利益的情况下，让用户个性化的需求得到最大程度的满 足。 2 如何保证d i t m 系统在复杂多变的外部环境下的安全，让d i t m 系统不会 因为一点漏洞而变得形同虚设。 第二章d 2 r m 设计思想 第二章d 砸m 设计思想 d 2 r m 是动态数字版权管理y n a i l l i cd i g i t a lr i 曲t sm a l l a g e m e n t ) 的缩写，是 一个具有数字作品版权管理功能的综合系统和安全保障体系，为数字内容的存 储传播和使用提供了一种本质安全的孕育土壤和技术支撑体系。d 2 r m 设计的主 要思想包括弹性和动态。这里的弹性指的是服务商和用户之问可调的权限控制， 而动态指的是可更迭的安全策略。 2 1 1 弹性 第一节主要设计思想 d 2 r m 的弹性控制思想指的是在用户和服务商之间在资源的控制使用方面 提供一种可调的机制，使得用户和服务商之间可以进行公平的博弈，平衡各方 利益，最终达到社会利益的最大化。在这里对资源的控制使用主要指传播数字 作品，当然也包括使用等其它行为。 为什么需要弹性昵，这要从d r m 的使用者服务商和用户的角度来研究。对 服务商来说，由于数字作品极易复制的特性，他们需要d i t m 来保护自己的利益 不受盗版的损害，因此如何尽可能地禁止购买数字作品的合法用户向外传播数 字作品是他们首要考虑的问题。然而，由于市场竞争的存在，他们需要提供不 同于同行业者的差异化服务，因此，在可控的范围内开放一些传播途径也是他 们期待的功能。 对绝大多数用户来说，他们是排斥d i t m 系统的，因为在没有d r m 的时代， 他们可以随便使用、修改和传播他们购买的产品，而有了d i u 讧之后，这一切的 便利都消失了，就连自己使用这些产品都受到了严格的限制，用户觉得d r m 损 害了自己的利益，因此极力反对这些技术。这从s o n y 在传统c d 上使用的x c p 技术的失败可以看出来。 目前的情况是，为了保护出版商的利益，在数字作品的出版发行环节使用 d i t m 技术是大势所趋，然而，由于用户的抵制，d r m 方案又无法立刻被用户 1 2 第二章d 2 r m 设计思想 所接受。因此，如何在保护好出版商利益的基础上不妨碍用户的个人体验，使 得用户合理使用和传播的需求得到满足，是d r m 技术必须要解决的一个问题。 那么，一个弹性的d r m 系统需要支持什么样的功能呢，从当前的d r m 系 统运营情况来看，参考无d i t m 情况用户的使用习惯，可以总结出以下几点需求： 1 提供灵活的权限设置功能 2 支持用户的再加工需求 3 支持受控的离线资源共事 4 支持传播追踪，可以对各种交易进行审计 5 支持统计信息反馈，提供策略修改的依据 总之，弹性是一种d 2 r m 设计的指导思想，它从博弈论的角度出发，为出 版商、发行商和用户提供一个公平角力的平台，利用经济杠杆最终达到社会利 益的最大化，是一种理论上的创新。 2 1 2 动态 d i t m 出现的最初目的是保护出版商的利益，因此安全性是它必须要考虑的 一个问题。然而，怎样的系统是安全的呢，这一点并没有定论。可以说一个加 密算法在目前是安全的，例如a e s ，d e a ，因为以目前掌握的数学工具以及计算 机的运算能力，还无法在一个可接受的时间用穷举法攻破它。然而具体到一个 具体的系统，任何一个环节的疏漏都是致命的，一个系统的安全性取决于它最 薄弱的环节，这就是有名的木桶理论。 为了提高系统的安全性，很多公司做了很多详尽的方案，它们对每个可能 出问题的环节都进行了仔细的设计，并作了大量的攻击测试，这其中有相当一 些方案是用硬件的手段来解决问题。然而，在当今这个世界，没有永远的安全。 首先，系统的承载介质不可能是绝对安全的；其次系统不可能没有任何漏洞， 人们只能尽量做到安全；第三，由于外部条件的变化，系统安全性也在变化， 例如十几年前，以当时的计算能力，d e s 是足够安全的，然而到今天，人们已 经能够在可接受的时间内对d e s 进行穷举攻击了。所以一成不变的安全方案是 永远没有的，要想提高系统的安全性能，就必须支持系统安全方案的自动更新。 d 2 i t m 的动态安全策略指的是一个安全的d i t m 系统不能是一成不变的，必 须有一种安全策略更迭的机制，使得系统发现漏洞时能够立刻转换到另一个安 1 3 第二章0 2 r m 设计思想 全的模式。 根据对目前已有的d i t m 方案的研究，可总结出，对一个安全的d r m 系统 需要支持以下几点： 1 一个可以更新的安全核心 2 可信的硬件基础 3 软件的更新机制 4 安全策略的更新机制 一 5 安全更新的触发机制 6 证书吊销机制 2 2 1 版权卡技术 第二节相关技术 任何一个d r m 方案都有一个安全核心，d 2 i t m 的安全核心是版权卡，任何 操作都必须经过版权卡授权。 版权卡是一种拥有内部操作系统的智能卡，能够提供硬件级的安全。在电 信行业被广泛使用，例如手机经常使用的s i m 卡。版权卡拥有认证机制，只有 认证合法才能够对里面的内容进行存取，版权卡拥有自毁机制，当非法用户对 其进行暴力攻击时能自动锁定，以保证整个系统的安全。 2 2 2 多重i d 交叉认证 在d i u d 终端中涉及到了大量的硬件和软件对象，例如版权卡、硬件设备、 安全策略、数字作品、证书和程序都是系统中存在的对象，如何对这些实体对 象进行标识，并对它们进行认证是一个非常重要的问题。 d 2 i u 订在手持终端内部采用多重m 来标识每一个对象，用多重i d 交叉认证 技术来保证系统的安全性。多重m 具有多种权限，相互交叉制约，大大提高整 个体系的安全性能。防止单一d ，单一权限出现问题便可危害系统整体安全性 能的现象发生。在系统安全性能下降时，将几何乘积效应弱化为简单的累加效 应。 1 4 第二章d 2 r m 设计思想 2 2 3 个性化l d 与证书授权 每个独立的用户或者服务商都拥有自身的个性化i d 。这样在进行版权追踪 时能够唯一的定位目标，而不会产生重复误判。 d 2 r m 的授权通过证书来进行，证书具有唯一性，即使是相同的数字作品， 不同的用户i d 也需要不同的证书来验证权限。从而有效避免了大量简单复制的 盗版行为。 2 2 4 关联数字水印 在保证数据有效载荷的基础上，向数字作品内强制嵌入水印信息。不同时间， 不同人员嵌入的水印之间保持一定的独立。可以在任何时刻进行提取。并且数 字水印将根据被添加的先后次序进行有序显示，解决版权追踪问题。实现了对 于用户的动态权限控制，对于数字作品传播过程的追踪，审计和监控。 2 2 5 格式封装 d 2 r m 支持对任何格式的文档实施版权保护。这里分两种情况： 专门针对d 2 i u d 设计的文档格式内置d 2 r m 的支持，例如w b l 格式，这种 格式内部包含有唯一的对象i d ，并在文档格式中支持d 2 i t m 的些操作需求， 这里不详细解释。 对于市面上已存在的普通格式文档，由于里面未添加对d 2 r m 的支持，因此 需要用格式封装的办法来解决问题。d 2 r m 为普通文档生成一个具有唯一i d 的 压缩包和一个随机密码，把普通格式文档用密码加密后添加到压缩包的末尾， 对文件内容进行数字签名以保证文档的完整性，这样作品格式封装包就制作完 毕。用数字作品d 和刚才生成的随机密钥生成数字作品的证书，这个证书可以 附加在格式封装包的尾部，也可以独立传输。 1 5 第三章弹性：具备审计特征的转借 第三章弹性：具备审计特征的转借 第一节用户问转借传播模型 3 1 1 传统转借传播模型 传统转借的定义是书籍的拥有者将书籍暂时交给他人使用的行为。转借期 间，书籍的使用权暂时从借出方转移到借入方，但书籍所有权不变。会员制用 户间转借和传统书籍的转借类似，但由于数字作品的特殊性，转借过程中作品 使用权可以不发生转移，仅仅通过限制借入方的权限控制传播规模。 下面对传统转借传播模型进行分析，这里使用图论中的概念来描述。 传统作品的个人间转借类似于图论中的路径，如图3 1 所示。例如a 转借给 b ，b 转借给c ，c 转借给d ，这样一直传递下去。传统转借有一个还的概念， 所以归还也是一条路径，这条路径可以和转借路径相同，也可以不同，但是归 还路径的终点和转借路径的起点相同。下图实线箭头表示转借路径，虚线箭头 表示一条可能的归还路径，点划线表示另一条归还路径。 p c 愈。 图3 1 传统作品传播模型 3 1 2 数字作品转借传播模型 数字作品转借时不伴随使用权的转移，因此转借过程更加灵活。用户可以同 时向多个人转借同一个作品，这样转借将不再是单一路径，同时采用作品过期 来替代归还，这样可以简化转借手续，也就省掉了传统转借中的归还路径。将 这个模型抽象一下，用图论中的树来表示，如图3 2 。作品拥有者a 将作品同时 转借给b ，c ，d ，而b 又继续向下转借。当a 将作品转借出去的时候，只是产 1 6 第三章弹性：具备审计特征的转借 生了一个受控副本，a 仍然拥有原始作品，因此，这里的箭头不再代表作品使用 权的转移，这点和传统转借是不同的。把整个的转借关系看成一颗树，作品所 有者是树的根，把用户横向转借的最大数量称为转借节点的度，纵向的传播层 级称为树的高。这样就建立了一个用户问转借的传播模型。通过限制转借节点 的度和整颗树的高，可以限制树的最大叶节点数量。如果加上一个过期时间的 概念，就可以限制任何时间点上树的最大叶节点数，并且能够在时间过期后进 行新的转借。 时问 z- 一一 ，o 、 横向传播 o ，愈 、 、- 横向传播 j b 。， o 图3 2 数字作品传播模型 3 2 1 传播控制与用户体验关系 通过传播控制来改善用户体验是d 2 r m 设计过程中主要考虑的一个问题。设 计过程中采用了会员制发行模式下的用户间转借来实现弹性安全强度控制。通 过设定转借的权限，可以控制转借树的规模，以得到不同的传播策略。 如果控制调到最严，即树没有分支，则等同与传统d i t m ：如果转借控制调 到最松，即树的规模不受限制，则等同于简单复制；如果规定任何一个节点只 能有一个子节点，则等同于传统转借。图3 3 是控制强度与用户体验关系图。 1 7 第三章弹性：具备审计特征的转借 图3 _ 3d i 洲系统控制强度和用户体验关系 一般来说，转借强度的控制在出版商和用户之间有一个折中。这种折中将使 得服务商和用户综合利益最大化。 3 2 2 传播控制目标 利用第一节的转借模型，可以研究数字作品的传播控制。传播控制的主要目 标是让转借树在规定的条件下生长，使得在任何一个时间点上，树的规模在预 设的安全范围之内。 设定这个安全范围的原因是为了禁止数字作品无限制的拷贝，保证出版商和 发行商利益。而这个安全范围能够被用户接受的原因是一般来说转借只是在朋 友之间进行，因此绝大多数用户的转借需求是有限的，只要对这部分人进行支 持就能够极大的提高用户体验。那种无限制拷贝的需求由于有盗版的嫌疑，因 此必须进行限制。 3 2 3 控制指标选择 根据第一节的用户问转借传播模型，可以总结出来的几个控制选项，这些控 制选项是最基本的指标，通过设置这些指标，可以得到各种不同的传播控制策 略： 1 横向转借数量 2 纵向传播层级 3 使用期限限制 4 使用次数限制 5 许可操作 通过控制横向转借数量和纵向传播层级，可以控制到树的生长规模。这两个 指标代表用户向下授权的控制，每个用户又可以看成一颗子树的根。通过层层 1 8 第三章弹性：具备审计特征的转借 传递实现控制。 通过限定副本使用期限，可以不考虑还书的过程，而仅仅让副本自然过期。 同时，加入副本使用期限控制后，如果转借树满了，可以等待一个有限的周期 就可以重新进行新的转借。 通过限定使用次数，可以控制一定时间内转借作品的最大使用次数。 许可操作可以限制转借用户对数字作品的权限，以体现出转借品和原始作品 的不同。 3 2 4 传播控制效果 利用上面的几个传播控制选项，可以得到不同的传播效果。 假定最多允许n 个副本在外流传，横向转借的最大数量为r ，纵向传播层级 为l ( 初始为0 ) ，每个副本的最长生命期限为t 天，转借产生副本数的平均速 度限定为s 个天。 现在要限制转借的最大副本数n ，考虑某个时间点的情况，则符合条件的l ， r 应该满足式f 3 1 ) 。 l y 月( 3 1 ) 百 这个公式可能有很多组解，实际上只要选择最符合要求的一组解即可。 如果已经定了转借最大副本数n ，要控制转借的平均速度，则可以列出转借 和过期达到平衡的公式( 3 2 ) 。 s + r = ( 3 2 ) 通过选择合适的过期时间t ，可以得到合适的转借速度。 第三节转借追踪 3 3 1 转借追踪目标 转借追踪是对用户的转借行为进行记录，当某个环节出现问题的时候，可以 通过这些记录进行审计，找出问题点和问题路径，为调查提供线索。对转借行 为进行记录是基于人们可以伪造实体，但很难伪造传播踪迹的思想。 1 9 第三章弹性：具备审计特征的转借 3 3 2 追踪技术 目前的追踪技术主要分为两类，一类是用传统的交易记录来实现转借追踪， 这些交易记录一般存在于服务器端，安全性问题很小。如果在客户端使用这种 技术，就必须用密码学算法对它们进行加密，并存放在一个可靠的地方，如果 攻击者发现这个位置，就有可能通过简单的删除来毁灭转借踪迹。另外一类是 用数字水印技术来实现转借追踪，数字水印嵌入在作品实体中，由于可以采用 有损嵌入算法，因此几乎无法被分离出来。嵌入规则必须使用关联数字水印， 这主要是因为它能够在隐蔽空间以极小的干扰嵌入关联操作数据，而且能够在 传统密码学算法失效的情况下提供最后一层保护。由于数字水印和数字作品结 合在一起，因此攻击者如果不知道攻击方法很难只破坏追踪记录而不破坏原始 作品的完整性，因此这种技术有比较高的安全性。下面介绍一下用于转借追踪 的数字水印技术。 数字水印是以可感知或不可感知的形式永久镶嵌在其它宿主数据中，具有可 鉴别性，用于版权保护、内容检验或提供其它信息的数字信号或模式，并且不 影响宿主数据的可用性。 数字水印的算法与嵌入载体有关，主要分为文本数字水印、图像数字水印、 声音数字水印和视频数字水印等。因此必须针对资源类型来选择相应水印算法。 数字水印还可分为可见数字水印和不可见数字水印，这主要根据使用场合来 进行选择。 在选择数字水印算法的时候，需要定一些指标的，只有符合要求的数字水印 才能够在实际中使用，主要的指标包括安全性、鲁棒性、保真度、数据有效载 荷、嵌入有效性、是否支持盲检测、是否能重复嵌入水印等指标。 在实际的转借追踪系统中，需要记录一系列的转借记录，因此必须支持多重 水印嵌入，并且这些水印之问需要满足某些关系。这样，就要用到关联数字水 印。 关联数字水印是对水印嵌入过程进行约束，即在同一宿主中多次嵌入水印信 息时，即使嵌入过程相互独立，也能够通过某种方法区分同一传播路径上各个 水印的嵌入的先后顺序，并能够通过提取的信息判断各个传播节点的上下游关 系。 关联数字水印的模型如图3 4 所示： 2 0 第三章弹性：具备审计特征的转借 p 伊 7 谚 垒憋a