无线通信安全报告.ppt

移动版权保护 章节目录 1 1数字版权管理系统 1 2OMADRM2 0标准 1 3移动版权保护的发展趋势 1 1 1数字版权管理系统分析 数字版权管理 DRM 是结合硬件和软件的存取机制 对数字化信息内容在其生存周期内的存取进行控制 它包含了对版权使用的描述 识别 交易 监控 对有形和无形资产的各种权限的跟踪和对版权所有人关系的管理等内容 DRM系统的基本要素 加密的内容 内容密钥 内容使用权限 DRM终端 DRM系统的基本要素 DRM系统的功能结构 内容服务器除了要保证内容安全地到达客户端外 还要保证内容的完整性和机密性 在颁发数字内容之前 内容服务器要先使用内容加密密钥 CEK 对原始数字内容进行加密 再把加密后的数字内容与一些相关的描述信息打包封闭在一起 典型的DRM系统结构 一个典型DRM系统应该包括内容服务器 许可证服务器和客户端三个主要部分 DRM系统的功能结构 典型的DRM系统结构 一个典型DRM系统应该包括内容服务器 许可证服务器和客户端三个主要部分 许可证服务器主要是根据用户提供的信息和使用权限需求 生成相应的使用许可证 其中 CEK是唯一能够正确解密DRM内容的密钥 并且只能从许可证中读取 禁止复制等 DRM系统的功能结构 典型的DRM系统结构 一个典型DRM系统应该包括内容服务器 许可证服务器和客户端三个主要部分 客户端主要负责下载DRM内容 并与许可证服务器进行交互来获得DRM内容的使用许可证 其主要功能实体是用户设备 DRM基本功能需求 数字版权管理 DRM 的基本原理是使用技术手段 对数字内容在分发 传输和使用等各个环节进行控制 使得数字内容只能被授权使用的人 按照授权方式 在授权使用的期限内使用 因此 DRM系统的基本功能需求是安全需求 即要求DRM系统能够抵御数字内容在生存周期内所遇到的各种风险 DRM基本功能需求 在一个数字内容生存周期中 可能存在如下风险 1 内容提供商非法提供数字内容 即内容提供商并不拥有该数字内容的版权 2 内容服务器非法发布数字内容 即内容服务器发布的数字内容未经内容拥有者授权 3 非法内容服务器或非法用户发布数字内容 4 非法用户从内容服务器和许可证服务器获得数字内容及相应的使用权限 DRM基本功能需求 5 合法用户不按照许可证规定的使用权限使用内容 6 合法用户非法修改或传播使用权限 7 合法用户非法传播数字内容给其他用户 8 合法用户在数字内容达到销毁条件时不销毁数字内容 DRM基本功能需求 DRM系统基本的功能需求 1 保证正确 合法的数字内容及其DRM权限被分配给正确 合法的用户 即需要内容服务器 许可证服务器和用户之间进行身份的交互认证 2 防止数字内容被非法修改和传播 即满足数字内容的保密性需求和完整性保护需求 3 保证用户严格遵循DRM权限来对数字内容进行操作 禁止非法的复制和存储 即用户设备具备DRM功能的需求 1 1 2数字版权管理技术 1 加密技术 2 数字签名 3 数字水印 4 身份认证 加密技术 加密就是使用数学方法来重新组织数据 使得除了合法的接收者外 任何其他人要想恢复原先的 报文 或读懂变化后的 报文 是非常困难的 在DRM系统中 数字内容一般采用对称加密算法加密 内容加密密钥一般采用非对称加密算法加密 数字签名 对文件进行加密只解决了传送信息的保密问题 而数字签名技术可防止他人对传输的文件进行破坏 以及确定文件版权作者或者发信人的身份 通过数字签名能够实现对原始报文的鉴别与验证 保证报文的完整性 真实性 机密性和发送者对所发报文的不可抵赖性 数字水印 数字水印侧重于对数字内容的真伪鉴别和对盗版数字内容的来源追踪 其实现原理是利用数字作品中普遍存在的冗余数据与随机性 通过一定的算法把版权信息或一些标志性信息嵌入在数字作品本身 从而达到保护数字作品版权的目的 身份认证 身份认证的本质是被认证方拥有一些信息 秘密信息 特殊硬件或特有生物学信息 除被认证方外 任何网络用户 认证权威除外 都不能伪造 身份认证 身份认证的实现方式有 1 基于口令核对的认证方式 系统核对用户输入的用户名和口令与系统内已有的合法用户的用户名和口令是否匹配来验证用户的身份 2 基于硬件唯一标志的认证方式 用户只有在特定硬件存在的情况下才能使用系统资源 身份认证 3 基于智能卡的认证方式 智能卡是由一个或多个集成电路芯片组成的集成电路卡 集成电路中具有的微处理器和存储器使智能卡具有数据存储和处理的能力 智能卡可存储用户的个人化参数和秘密信息 如ID Password和密钥 用户访问系统时必须持有该智能卡 4 基于人体生物特征的认证方式 基于生物学信息的身份认证就是利用用户所特有的生物学特征来区分和确认用户的身份 1 2OMADRM2 0标准 2004年7月 OMA组织发布了OMADRM2 0草案 并于2006年3月发布了OMADRM2 0标准 相比于OMADRM1 0 OMADRM2 0拥有独立的体系结构 面向的是更高价值的数字内容和更强大的移动终端 在技术与机制方面提供了更强大 更完整 更可靠的DRM保护 1 2 1DRM2 0技术框架组成 OMADRM2 0规范主要包括DRM系统 数字内容封装和版权描述3大部分 1 系统部分 关注消息交互 秘钥交换以及设备管理等 2 数字内容封装部分 定义数字内容的封装格式和一些与使用相关的头信息 3 版权描述语言部分 定义对数字内容使用的限制 许可信息和对应的密钥信息等 1 2 2OMADRM2 0功能体系结构 移动终端上的数字版权管理客户端 是一个可信赖功能实体 强制执行附带在DRM内容上的访问权限 控制对数字内容的访问与使用 OMA2 0体系架构图 1 2 2OMADRM2 0功能体系结构 OMA2 0体系架构图 对DRM内容进行分发的功能实体 按照规范中定义的格式 加密封装数字内容 并通过多种传送方式 将封装后的数字内容传送到DRM代理 1 2 2OMADRM2 0功能体系结构 OMA2 0体系架构图 负责产生权限信息的功能实体 权限信息是一个XML文档 符合OMAREL标准 包含解密密朗 用于对数字内容进行解密 并规定了用户使用或访问数字内容的权限 对数字内容的使用与访问进行控制 1 2 2OMADRM2 0功能体系结构 OMA2 0体系架构图 DRM内容可能存储于用户的远端设备上 如PC 移动存储设备 网络存储等 1 2 2OMADRM2 0功能体系结构 OMA2 0体系架构图 能通过DA并有权限访问与使用数字内容的合法用户 1 2 3OMADRM2 0的安全架构 OMADRM2 0的安全架构由公钥基础设施体系 版权对象获取协议 DRM内容格式 版权描述语言4个部分构成 各个部分在实现DRM系统应用的安全中起着不同的作用 公钥基础设施体系PKI PKI体系作为安全基础设施平台是安全协议能有效实行的基础 一切基于身份验证的应用都需要PKI的支持 它可与ROAP TCP IP REL相互结合实现身份认证 私钥签名等功能 基于数字证书和加密密钥 PKI系统提供一种在分布式网络中高度规模化 可管理的用户验证手段 版权对象获取协议ROAP ROAP是OMADRM2 0中新增加并定义的关于安全获得版权对象的一整套安全协议 是版权发布中心和DRM代理之间的一组DRM安全协议的通用名称 用来完成版权发布中心 内容发布中心和设备之间的注册 版权对象获取 入域或离域操作 DRM内容格式DCF OMADRM2 0将数字媒体对象加密 打包为一种特定格式的文件即一种MIME类型加密文件包 该文件除包括加密的内容外 还包括一些附加信息 如对DRM内容的描述 RI的URL等 版权描述语言REL OMADRM2 0版权描述语言是在开放的数字版权描述语言的基础上 对RO进行了语法和语义的定义 REL以XML方式定义了对DRM内容的各种访问许可权和限制 1 2 4OMADRM2 0的内容分发和内容保护 1 内容分发 2 内容保护 内容分发的基本步骤 1 内容打包 2 DRM代理认证 3 生成RO 4 保护RO 5 分发 内容保护机制 1 内容加密 2 内容完整性 3 DA与RI身份认证 4 RO可靠与完整性 5 内容与RO安全分发 6 域RO机制 1 2 5OMADRM2 0和OMADRM1 0的区别 1 OMADRM1 0的规范是针对简单 低成本的移动终端设备设计的 而OMADRM2 0则是针对功能更强大的终端设备设计的 这些终端设备拥有较多的内存和更强大的处理能力 2 OMADRM1 0技术主要用于内容的保护 而OMADRM2 0技术则在完全兼容OMADRM1 0技术的基础上 主要加强了对通信和密钥的保护 3 在安全方面 OMADRM1 0的安全级别较低 而OMADRM2 0的安全级别较高 4 版权对象获得协议是OMADRM2 0中新增加并定义的关于安全获得版权对象的一整套安全协议 5 OMADRM2 0规范引入了域的概念 允许RI通过域密钥把权限和内容加密密钥绑定到一组DRM代理上 而不是只绑定到一个DRM代理上 6 OMADRM1 0规范不支持流媒体业务 而OMADRM2 0规范则支持分组交换流媒体服务 7 OMADRM1 0规范不支持针对超级分发的即时预览 而OMADRM2 0规范的DRM内容格式的普通内容头内 含有支持即时预览功能的预览头 1 3移动版权保护的发展趋势 数字内容以及应用场景的多样化 促进了数字版权管理技术的多样化 目前 数字版权管理技术的发展趋势主要体现在以下两点 1 以加密授权为核心的数字版权管理 以加密授权为核心的数字版权管理技术室目前有效保护内容提供者和发布者利益的技术手段 数字内容按照一定的格式进行加密封装 只有授权用户才能获取加密的数字内容 并且只能在规定的浏览器中按照授权规