DRM技术简介.doc

DRM技术简介2009-8-12LeeDRM技术简介一、DRM简介DRM（Digital Rights Management），通常翻译为数字版权保护或数字版权管理，是用来保护数字产品版权的一种技术手段。主要分为两类：一类是多媒体保护，如加密电影、音乐、音视频或流媒体文件；另外一类是加密文档，如DOC、XLS、PPT和PDF等。同样的，电子文件的安全，主要也有两方面问题：一是非法用户对电子文件的获取和使用；二是文档中敏感信息被恶意传播泄密。可以看出，DRM技术可以解决上述问题，实现对电子文件的控制。数字版权管理（DRM）技术的核心是通过安全和加密技术锁定和限制数字内容及其分发途径，从而防范对数字产品无授权的复制。DRM技术在电子文件管理中的应用，通过对数字内容进行加密和附加使用规则，将有效地解决电子文件分发和使用过程中的安全性和控制性保护问题，这也对电子文件的安全性同样具有重要意义。二、现有的数字版权保护分类、对于电子书的DRM保护国外有Microsoft DAS 、Adobe Content Server等等，国内的eBook DRM 系统有方正 Apabi 数字版权保护技术、书生的SEP技术、超星的PDG等。1.Microsoft 的Digital Asset Server版权保护方案微软的电子图书DRM系统主要包括服务器端的Digital Asset Server（简称DAS）和客户端的Microsoft Reader。DAS有两个组件：DAS Server，包括repository（内容服务器数据库）和packager（完成DRM封装功能）；DAS电子商务组件，集成到零售商的电子商务网站。DAS可被服务提供者或电子图书零售商部署。微软电子图书技术的DRM模型是一种非常紧密的集成，不仅包括DAS和Microsoft Reader，而且包括微软的Passport用户标识和注册系统。2.Adobe 公司用于PDF 格式的Adobe Content Server（ACS ）电子书籍的版权保护方案Adobe在传统印刷出版领域内一直有着深刻的影响，Adobe的可移植文档格式(PDF)早已成为电子版文档分发的公开实用标准。Adobe软件在出版业的使用传统以及PDF格式的流行，共同造就了Adobe在电子书领域的先天优势。Adobe Content Server则是Adobe的后天优势。Content Server 4.0是Adobe公司为电子书版权保护和图书发行而开发的软件，是一种保障 eBook 销售安全的易用集成系统。出版商可以利用Content Server的打包服务(Packagine Services)功能对可移植文档格式(PDF)的电子书进行权限设置(打印次数、阅读时限等)，从而建立数字版权管理(Digital Rights Management，简称DRM)。Adobe Acrobat 9.0是建立可移植文档格式(PDF)电子书的最重要的转换工具。使用 Adobe Acrobat几乎可将任何文档转换成 Adobe可移植文档格式(PDF)。Adobe PDF文件可以在众多硬件上和软件中可靠地再现，而且外观与原文件一模一样，页面设置、格式和图像完好无损。3书生公司的SureDRM 版权保护系统（即SEP系统）我国的书生公司，是与方正并驾齐驱的DRM技术厂商。书生公司一直跟踪国际DRM 技术的发展，并自主研发了一套完整的DRM 技术核心。SureDRM 以安全和加密技术为基础，包括版权描述语言，身份标识系统，设备标识绑定技术等等。SureDRM 为书生各种产品包括文档共享管理系统，数字图书馆系统，公文服务器等提供了文档保护的技术基础。作为一套整体解决方案，SureDRM 提供不同安全级别，不同粒度，不同形式的版权管理机制，既有离线的数据绑定，也有在线的数据 DRM 。SureDRM 的开放的版权描述接口支持 XrML 等技术标准。 SureDRM 提供对各种应用数据和应用系统自身的版权保护，支持对各种数字媒体，文字，图形，图像，流媒体等的保护。4方正的Apabi 数字版权保护技术方正的Apabi数字版权保护技术一直走在国内前列，且已经形成一个完整的系统。在Apabi系统中，主要有以下产品：Apabi Maker：是将多种格式的电子文档转化成Ebook的格式，该格式是一种“文字图象的格式，可以完全保留原文件中字符和图象的所有信息，不受操作系统，网络环境的限制。Apabi Rights Server：实现数据版权的管理和保护，电子图书加密和交易的安全鉴定，从网上书店登录实现定货。用在出版社端服务器。Apabi Retail Server：是实现数据版权的管理保护。电子图书加密和交易的安全鉴定，从网上书店登录实现定货。用在书店端服务器。Apabi Reader：是用来阅读电子图书的工具，通过浏览器，您可以在网上买书，读书，下载，建立自己的电子图书馆，实现分类管理。方正阿帕比整套方案的核心是版权保护，在其中采用了168位的加密。 、对于流媒体的DRM保护技术对于流媒体的DRM 主要有IBM 的EMMS和Microsoft Windows Media DRM。1. Apple公司的FairPlay系统FairPlay系统可说是当今占统治地位的数字音乐DRM版权管理系统。对于那些热衷购买iPod播放器的用户而言，用户从苹果iTunes站点上购买的音乐被其允许一次可最多在5台经授权的电脑上进行播放，此外，任一款iPod播放器也在其许可播放硬件之列。但是，要是你想在iPod上播放一段WMA格式的视频，或是在诺基亚手机上欣赏一首来自iTunes的音乐，就会被限制，而iPod也不能播放从其它音乐服务上购买的音乐。 这一系统使得苹果在美国数码音乐市场占有垄断地。位iTunes在美国的合法歌曲下载市场上独揽88%的份额，iPods则占领了美国数位(数字)音乐播放器市场的75%。2Microsoft Windows Media DRM数字版权管理技术微软在Windows媒体播放器Windows Media 10里面集成了DRM技术，这一技术最大的改进代码名为“Janus”。Janus可以跨设备工作，也可以工作在下一代的Windows媒体中心版操作系统上，还可以定制支持付费音乐服务和某些流媒体。当消费者从网站下载到经过加密以后的媒体文件以后，他同时需要获取一个包含解锁秘钥的许可证来播放这个媒体文件。内容的所有者可以方便的通过Windows Media 数字版权管理程序来管理这些许可证和秘钥的分发。通过Windows Media DRM技术, 网上的音乐零售网站可以在消费者购买音乐前提供对音乐的预览。消费者在网站注册以后可以下载到完整的音乐并且可以在电脑上播放两次。而当消费者第三次播放该文件的时候，就会被引导到网站的销售页面，在这里他可以付费进行音乐播放许可证的购买。无论是用于企业的培训或者是大学的教学活动，Windows Media版权管理都能极大的发挥其特殊作用。所有的课程都被加密打包，然后提供给员工或者学生在网上进行下载，当播放时，会自动连接服务器进行验证并获取相应的播放许可！这可以保证企业和学校对学生的学习进行方便的监控，同时保证相关的培训资源不会被用于非法用途。3IBM 的EMMS数字版权保护方案EMMS是IBM开发的电子媒体管理系统，该系统可以让用户在网站下载音乐的同时保护音乐的版权。EMMS是全面的电子媒体发行和数字授权管理系统，具有开放式体系结构，可以在声频压缩、加密、格式化、水印、终端用户设备和应用程序集成等方面不断改进。EMMS工具将使零售商或最终用户可以将被保护的内容发送给多个用户(比如将音乐附在一个发送给多个接收者的电子邮件上)。最初的接收者可以具有全部的使用权，但是如果相同的音乐文件或电子书籍被再次发送的话，发布链中的下一个接收者只有使用这些数据的有限权力，除非他从原始发布人那里购买全部的使用权。从盗版音乐站点下载或通过电子邮件传送的歌曲拷贝可能不能完整地播放，或者只能播放一次，或者完全不能播放。这项技术还使发布者可以根据接收者的地理位置在同一个歌曲或图书文件上附加上不同的权力。IBM公司的EMMS已经被全球众多企业采用，例如MusicMatch公司的 MusicMatch Jukebox和RealNetworks公司的Real Jukebox，并得到了索尼和BMG Entertainment公司的支持。 、对于电子文档的DRM保护常见的基于DRM技术的电子文档格式主要有两大类型：一种是非固定版式的文件格式。 这方面的DRM产品，常见的有对Office文档的保护和对Html格式的保护。例如微软的Office2003就带有含DRM技术的IRM服务，保护对象是Word、Excel、PowerPoint文档。然而，由于非固定版式文件格式的可编辑特性在安全性上往往带来更多的缺陷和风险。同时，常用的非固定版式文件的浏览器都是相当流行的桌面软件，例如微软的Office系列软件和IE浏览器，这些软件为了支持其他各种各样的应用要求，公布的开放接口非常多，也带来了很多的安全漏洞和安全隐患。因此，在安全电子文档产品中，基于固定版式的产品往往占有较大的优势。 另一种类型的电子文档格式是版式文件。 版式文件是指版面排版比较规范的文件。其特点是在任何环境下阅读，其版式都不会变化，而且通常版式文件的内容都是成型的内容，不再允许更改。常见的支持DRM应用的版式文件格式有PDF、CEB、WDL等。电子文档的 DRM，国外有微软的RMS系统、 SealedMedia Enterprise License Server 、Authentica Active Rights Management，国内有书生的SEP系统、方正的CEB 系统等等。1微软的RMS版权保护系统 Rights Management Services（RMS，权限管理服务）是适用于企业内部的数字内容管理系统。在企业内部有各种各样的数字内容。常见的是与项目相关的文案、市场计划、产品资料等，这些内容通常仅允许在企业内部使用。企业主管还使用市场分析报告、业绩考核报告、财务报告等，这些内容大多有很高的保密要求，仅允许由相关主管中使用。在企业内部，这些数字内容大多通过电子邮件传送。微软RMS是针对企业数字内容管理的解决方案。微软RMS系统分为服务器和客户端两部分，客户端按角色不同又分为权限授予者和接受者两种。RMS服务上存放并维护由企业确定的信任实体数据库。按微软的定义，信任实体包括可信任的电脑、个人、用户组和应用程序。对数字内容的授权包括读、复制、打印、存储、传送、编辑等。授权还可附加一些约束条件，比如权限的作用时间和持续时间等。比如，一份财务报表可限定仅能在某一时刻由某人在某台电脑上打开，且只能读，不能打印，不能屏幕复制，不能存储，不能修改，不能转发，到另一时刻自动销毁。2Authentica公司的Secure Documents for PDF系统此系统的核心采用RC4算法进行内容加密，使用PDF公开的Plug-in技术进行PDF文件控制，由Policy Server服务器进行授权分配和管理，在英文版式市场上拥有较高的地位。3书生的SEP DRM数字权限管理技术我国的书生是中国IT业极个别掌握国际核心技术的公司之一，该系统最大的特点是攻克了防止有权接触信息的人扩散该信息的世界级难题，提供了全方位、细粒度的管理权限。它可以根据用户需求选择的8种目录及文档权限，可实现细粒度、多层次的权限设置，并可提供更多的权限支持。书生SEP保护系统由客户端、服务器端及数据库组成。客户端包含SEP Writer、SEP Reader及商业机密保护系统客户端。服务器端由SEP文档服务器及数据库组成。其中数据库包含存放管理信息的管理信息库及存放SEP文件的SEP文档库、存放可编辑源文件的源文件库。SEP Writer： SEP文档格式转换工具，可将各种可打印文档转换为不可篡改的SEP格式。SEP Reader： SEP文件的专用阅读器，也是唯一能够阅读SEP格式文件的阅读器。SDP客户端：书生文档共享管理系统的客户端软件，可实现目录浏览、文档提交、阅读、权限管理等客户端操作。SEP文档服务器：管理所有提交到服务器端的SEP文件，同时实现其他所有的服务器端管理功能。书生SEP保护系统通过文档的集中管理，在应用传统的存储加密、传输加密技术的基础上，采用书生自有知识产权的全球领先的数字权限管理技术、页交换技术，将阅读权限与下载、修改、摘录、打印等操作权限分离，从而达到在保证信息安全的前提下实现信息的最大限度的共享。4方正的CEB 系统CEB格式在版式描述方面与PDF的能力比较一致，而且在立足于DRM技术的基础上进行设计，在DRM体系方面有较好的支持，方正的Aapbi系列产品在电子图书、电子文档、电子政务等领域都支持DRM技术，目前在国内都有较大范围的应用。例如Apabi重要文档防扩散系统（Apabi CEB DRM）产品就是针对电子文档的DRM产品。 CEB DRM产品以3DES算法为内容加密算法核心，使用自主开发的阅读器Apabi Reader对自主拥有的CEB版式文件进行使用控制，并由DRM Server服务器分配和管理权限、对于图像的DRM保护目前已有的保护图像的方法是数字水印技术。数字水印技术通过一些算法，把重要的信息隐藏在图像中，同时使图像基本保持原状（肉眼很难察觉变化）。把版权信息通过数字水印技术加入图像后，如果发现有人未经许可而使用该图像，可以通过软件检测图像中隐藏的版权信息，来证明该图像的版权。目前国外的数字水印技术开发商有美国的 Digimarc Corp及英国的High Water Signum Ltd。Digimarc提供的版权管理服务属于前述的第一种方式，它利用数字水印技术在静止图像中嵌入版权信息。High Water Signum基本上也提供相同的服务。这些服务被用来将摄影师、出版商及业内其它单位联结起来，作为专业人员之间信息传递的手段，其目的是防止未授权的拷贝。随着因特网的推广与普及，也有专为在因特网上处置图像数据而开发的版权管理软件，如日本 NEC及美国的Fraunhofer计算机图形研究中心 (CRCG)所开发的软件。前者使用原先由美国的 NEC研究院开发的数字水印技术，而后者可以使用三种不同的ID信息以提高安全性。国内现有的以华旗公司自主研发的数字水印系统“爱国者版神”较为知名。爱国者数字水印技术作为新一代数字水印技术，集成抗攻击、抗压缩、易损性和抗重复添加等最新的信息隐藏技术于一体，已经于2002年分别成功应用于新华社多媒体数据库图片版权保护系统和中国图片总社的版权保护项目，并且在新华社国家招标项目上中标。此外，这一版权保护和基于影像内容搜索技术也已经成功应用于新浪网2004奥运报道，2005年又为中国外交部提供完整的数字版权保护与数据安全解决方案。、移动DRM随着移动数据增值业务的迅猛发展，内容提供商通过大量下载类业务及MMS等信息类业务传播的音视频和应用软件、游戏等数字内容越来越多，其版权及相关利益必须得到保证。将DRM技术引入移动增值业务，可以确保数字内容在移动网内传播，保证内容提供商的利益。移动DRM已成为目前全球范围内移动业务研究的热点之一。由于移动设备和移动网络的特点，移动DRM的实施较一般DRM容易一些。目前，国际上针对移动DRM开展了大量的研究工作。其中，OMA制定的移动DRM标准得到了广泛的支持和认同。2005年6月14日，OMA公布了最新的OMA DRM V2.0，制定了基于PKI的安全信任模型，给出了移动DRM的功能体系结构、权利描述语言标准、DRM数字内容格式（DCF）和权利获取协议（ROAP）。通过OMA DRM，用户能够通过超级分发等各种方式获得受保护的数字内容，数字内容使用权利通过ROAP协议获取，使用权利与一个或者一组DRM Agent绑定，数字内容的使用受到严格的控制。当前，已经出现了支持OMA DRM的移动设备，如Nokia 6220手机。但是，就目前的下载速度和下载费用而言，移动DRM产品的普及使用还存在一定的困难。随着3G移动技术以及OMA DRM的发展，DRM在移动领域的应用研究将更进一步，市场上将会出现更多的移动DRM系统和产品。国内的移动DRM做的不错的由掌上书院。掌上书院是目前使用最为广泛的手机电子书阅读软件之一，它使用的电子书格式为.UMD，这种格式的压缩比很高，10万字的书籍体积只有100KB左右，支持DRM版权保护。三、电子文档应用DRM技术DRM技术是一套比较完整的技术体系，从技术上保障文件在整个生命周期内的合理使用，因此DRM技术的覆盖面也就涉及到电子文档应用的各个方面。 1电子文档的内容加密 内容加密是电子文档DRM应用的基础。只有内容加密了，才可以保障没有权限的用户无法阅读文件内容。电子文档的内容加密通常采用对称密钥算法加密，密钥随机产生，由服务器负责分发和管理。一般来说，从安全角度而言，密钥不会存储在电子文档内，以避免得到文件后进行强制破解。 2电子文档的密钥管理 电子文档的密钥一般由服务器统一存储，统一管理，存储时避免明文存储，在认可文件访问者的身份和权限以后，才向客户机发送内容密钥。 3电子文档的权限管理 电子文档的权限管理是为了保证能在任何时刻，都可以获得访问者对被访问文档的确切权限。对于权限设置和权限管理的模式，一般根据实际的系统需要选用恰当的授权模式。 常见的权限管理模式包括：角色管理模式、项目管理模式、独立授权模式等。 在电子文档应用中，与其他领域有一个较为显著的区别，就是为了满足电子文档办公应用的效率性和合作性，文档的权限管理可能需要由每个文档编写者所控制。 例如Office2003的IRM服务主要支持创建者控制的授权管理机制，方正的Apabi CEB DRM系统可以同时支持多种灵活的授权管理机制。 4电子文档的证书派发 电子文档的证书派发是将从服务器获取使用权限详情的描述方式。 证书的主要目的是描述用户对电子文件的使用权力。因此良好的证书派发机制，需要拥有恰当的权利描述方式。在DRM领域中，一般使用基于XML的格式规范来进行权利描述，如常用的有EBX、Xrml、Odrl等。对于电子文档的DRM描述，一般包含以下要素： （1）证书授予的对象，如用户、组织或者某台机器等。（2）证书作用的对象，例如具体的电子文件、某一项目的所有文件等。 （3）上述对象之间的权限关系。 文件的操作动作权利，如阅读、打印、拷贝文字等。 文件的使用模式权利，如是否可以在线阅读，是否可以离线阅读等。 文件权利的时间约束，例如权利有效起始时间、权利有效终止时间等。 文件权利的次数约束，例如可阅读次数、可打印份数、可拷贝字数等。 文件权利的其他扩展，例如水印内容展示、文件权限变更、文件转发等。 （4）保障上述信息可靠性、完整性、安全性的附加手段及数据。常用的手段包括数据加密、数字水印、摘要、添加时间戳等。 证书的派发同时需要满足派发的安全性和可信性。因此证书派发的传输经常采用加密传输以及与客户机硬件信息绑定相结合的方式，确保证书不被截获和窃取。 5 电子文档的权限控制 电子文档的权限控制是电子文档DRM效果的实际体现。从权利证书获得的权限约束信息都需要通过阅读器的相应控制才得以体现。权限控制通常需要通过几个层次的认证： 使用者身份的确认。根据不同的环境需要可以选择不同的确认方式。例如用户名/密钥认证、CA身份证书认证、硬件信息认证、与其他系统关联的身份认证等。 电子文档标记的确认。要将授权与文档关联起来，需要对文档建立DRM应用的标识，可以惟一确认文档对象。 当前权利的认证。一方面确认权利证书的可信，另一方面根据已经确认的使用者身份和电子文档标记，从权利证书中解析出当前时刻的合法权利，使应用得到有效控制。 6电子文档的安全通信 电子文档的安全通信主要包括如下几个方面： 文件内容通信的安全，确保加密文件的网络传输不被非法截获，或者即使被截取也无法打开使用。 文件权利证书通信的安全，确保权利证书不被他人截获或窃取，至少被复制后也不能有效使用。 电子文档DRM认证和通信的安全，例如电子文档的权利证书获取请求等，这些请求需要采用良好的加密机制和校验机制，防止冒充身份或截取通信获得非法的权利。 7电子文档的追踪审计 电子文档的应用环境比较复杂