无线通信安全报告

1、移动版权保护移动版权保护章节目录 1.1 数字版权管理系统数字版权管理系统 1.2 OMA DRM 2.0 标准标准 1.3 移动版权保护的发展趋势移动版权保护的发展趋势1.1.1 数字版权管理系统分析 数字版权管理（数字版权管理（DRMDRM）是结合硬件和软）是结合硬件和软件的存取机制，对数字化信息内容在其生件的存取机制，对数字化信息内容在其生存周期内的存取进行控制，它包含了对版存周期内的存取进行控制，它包含了对版权使用的描述、识别、交易、监控，对有权使用的描述、识别、交易、监控，对有形和无形资产的各种权限的跟踪和对版权形和无形资产的各种权限的跟踪和对版权所有人关系的管理等内容所有人关系的管

2、理等内容。DRM系统的基本要素加密的内容加密的内容内容密钥内容密钥内容使用权限内容使用权限DRM终端终端DRM系统的基本要素系统的基本要素DRM系统的功能结构内容服务器除了要保证内容服务器除了要保证内容安全地到达客户端内容安全地到达客户端外，还要保证内容的完外，还要保证内容的完整性和机密性。在颁发整性和机密性。在颁发数字内容之前，内容服数字内容之前，内容服务器要先使用内容加密务器要先使用内容加密密钥密钥(CEK)对原始数字内对原始数字内容进行加密，再把加密容进行加密，再把加密后的数字内容与一些相后的数字内容与一些相关的描述信息打包封闭关的描述信息打包封闭在一起。在一起。典型的典型的DRM系统结

3、构系统结构 一个典型一个典型DRMDRM系统应该包括内容服务器、许可证服务器和客户系统应该包括内容服务器、许可证服务器和客户端三个主要部分。端三个主要部分。DRM系统的功能结构典型的典型的DRM系统结构系统结构 一个典型一个典型DRMDRM系统应该包括内容服务器、许可证服务器和客户系统应该包括内容服务器、许可证服务器和客户端三个主要部分。端三个主要部分。许可证服务器主要是根许可证服务器主要是根据用户提供的信息和使据用户提供的信息和使用权限需求，生成相应用权限需求，生成相应的使用许可证。其中，的使用许可证。其中，CEK是唯一能够正确解是唯一能够正确解密密DRM内容的密钥，并内容的密钥，并且只能从

4、许可证中读取，且只能从许可证中读取，禁止复制等。禁止复制等。DRM系统的功能结构典型的典型的DRM系统结构系统结构 一个典型一个典型DRMDRM系统应该包括内容服务器、许可证服务器和客户系统应该包括内容服务器、许可证服务器和客户端三个主要部分。端三个主要部分。客户端主要负责下载客户端主要负责下载DRM内容，并与许可证内容，并与许可证服务器进行交互来获得服务器进行交互来获得DRM内容的使用许可证，内容的使用许可证，其主要功能实体是用户其主要功能实体是用户设备。设备。DRM基本功能需求 数字版权管理（数字版权管理（DRMDRM）的）的基本原理基本原理是使是使用技术手段，对数字内容在分发、传输和用技

5、术手段，对数字内容在分发、传输和使用等各个环节进行控制，使得数字内容使用等各个环节进行控制，使得数字内容只能被授权使用的人，按照授权方式，在只能被授权使用的人，按照授权方式，在授权使用的期限内使用。因此，授权使用的期限内使用。因此，DRMDRM系统的系统的基本功能需求是安全需求，即要求基本功能需求是安全需求，即要求DRMDRM系统系统能够抵御数字内容在生存周期内所遇到的能够抵御数字内容在生存周期内所遇到的各种风险。各种风险。DRM基本功能需求 在一个数字内容生存周期中，可能存在如在一个数字内容生存周期中，可能存在如下风险：下风险： （1 1）内容提供商非法提供数字内容，即内容提）内容提供商非法

6、提供数字内容，即内容提供商并不拥有该数字内容的版权。供商并不拥有该数字内容的版权。 （2 2）内容服务器非法发布数字内容，即内容服）内容服务器非法发布数字内容，即内容服务器发布的数字内容未经内容拥有者授权。务器发布的数字内容未经内容拥有者授权。 （3 3）非法内容服务器或非法用户发布数字内容。）非法内容服务器或非法用户发布数字内容。 （4 4）非法用户从内容服务器和许可证服务器获）非法用户从内容服务器和许可证服务器获得数字内容及相应的使用权限。得数字内容及相应的使用权限。DRM基本功能需求（5 5）合法用户不按照许可证规定的使用）合法用户不按照许可证规定的使用权限使用内容。权限使用内容。（6

7、6）合法用户非法修改或传播使用权限。）合法用户非法修改或传播使用权限。（7 7）合法用户非法传播数字内容给其他）合法用户非法传播数字内容给其他用户。用户。（8 8）合法用户在数字内容达到销毁条件）合法用户在数字内容达到销毁条件时不销毁数字内容。时不销毁数字内容。DRM基本功能需求 DRM DRM系统基本的功能需求：系统基本的功能需求：（1 1）保证正确、合法的数字内容及其）保证正确、合法的数字内容及其DRMDRM权限被权限被分配给正确、合法的用户，即需要内容服务器分配给正确、合法的用户，即需要内容服务器/ /许许可证服务器和用户之间进行身份的交互认证。可证服务器和用户之间进行身份的交互认证。（

8、2 2）防止数字内容被非法修改和传播，即满足）防止数字内容被非法修改和传播，即满足数字内容的保密性需求和完整性保护需求。数字内容的保密性需求和完整性保护需求。（3 3）保证用户严格遵循）保证用户严格遵循DRMDRM权限来对数字内容进权限来对数字内容进行操作，禁止非法的复制和存储，即用户设备具备行操作，禁止非法的复制和存储，即用户设备具备DRMDRM功能的需求。功能的需求。1.1.2 数字版权管理技术（1）加密技术（2）数字签名（3）数字水印（4）身份认证加密技术 加密就是使用数学方法来重新组织数加密就是使用数学方法来重新组织数据据, ,使得除了合法的接收者外，任何其他人使得除了合法的接收者外，

9、任何其他人要想恢复原先的要想恢复原先的“报文报文” 或读懂变化后的或读懂变化后的“报文报文” 是非常困难的。是非常困难的。 在在DRMDRM系统中，数字内容一般采用对称系统中，数字内容一般采用对称加密算法加密，内容加密密钥一般采用非加密算法加密，内容加密密钥一般采用非对称加密算法加密。对称加密算法加密。数字签名 对文件进行加密只解决了传送信息的对文件进行加密只解决了传送信息的保密问题，而数字签名技术可防止他人对保密问题，而数字签名技术可防止他人对传输的文件进行破坏，以及确定文件版权传输的文件进行破坏，以及确定文件版权作者或者发信人的身份。通过数字签名能作者或者发信人的身份。通过数字签名能够实现

10、对原始报文的鉴别与验证，保证报够实现对原始报文的鉴别与验证，保证报文的完整性、真实性、机密性和发送者对文的完整性、真实性、机密性和发送者对所发报文的不可抵赖性。所发报文的不可抵赖性。数字水印 数字水印侧重于对数字内容的真伪鉴数字水印侧重于对数字内容的真伪鉴别和对盗版数字内容的来源追踪，其实现别和对盗版数字内容的来源追踪，其实现原理是利用数字作品中普遍存在的冗余数原理是利用数字作品中普遍存在的冗余数据与随机性，通过一定的算法把版权信息据与随机性，通过一定的算法把版权信息或一些标志性信息嵌入在数字作品本身，或一些标志性信息嵌入在数字作品本身，从而达到保护数字作品版权的目的。从而达到保护数字作品版权

11、的目的。身份认证 身份认证的本质是被认证方拥有一些身份认证的本质是被认证方拥有一些信息信息( (秘密信息、特殊硬件或特有生物学信秘密信息、特殊硬件或特有生物学信息息) )，除被认证方外，任何网络用户，除被认证方外，任何网络用户( (认证认证权威除外权威除外) )都不能伪造。都不能伪造。身份认证 身份认证的实现方式有：身份认证的实现方式有： 1. 1. 基于口令核对的认证方式。系统核基于口令核对的认证方式。系统核对用户输入的用户名和口令与系统内已有对用户输入的用户名和口令与系统内已有的合法用户的用户名和口令是否匹配来验的合法用户的用户名和口令是否匹配来验证用户的身份。证用户的身份。2. 2. 基

12、于硬件唯一标志的认证方式。用户基于硬件唯一标志的认证方式。用户只有在特定硬件存在的情况下才能使用系只有在特定硬件存在的情况下才能使用系统资源。统资源。身份认证3. 3. 基于智能卡的认证方式。智能卡是由基于智能卡的认证方式。智能卡是由一个或多个集成电路芯片组成的集成电路一个或多个集成电路芯片组成的集成电路卡。集成电路中具有的微处理器和存储器卡。集成电路中具有的微处理器和存储器使智能卡具有数据存储和处理的能力。智使智能卡具有数据存储和处理的能力。智能卡可存储用户的个人化参数和秘密信息能卡可存储用户的个人化参数和秘密信息( (如如IDID、PasswordPassword和密钥和密钥) )，用户访

13、问系统，用户访问系统时必须持有该智能卡。时必须持有该智能卡。4. 4. 基于人体生物特征的认证方式。基于基于人体生物特征的认证方式。基于生物学信息的身份认证就是利用用户所特生物学信息的身份认证就是利用用户所特有的生物学特征来区分和确认用户的身份。有的生物学特征来区分和确认用户的身份。1.2 OMA DRM 2.0 标准标准 20042004年年7 7月，月，OMAOMA组织发布了组织发布了 OMA DRM OMA DRM 2.02.0草案，并于草案，并于20062006年年3 3月发布了月发布了 OMA DRM OMA DRM 2.02.0标准。相比于标准。相比于OMA DRM1.0OMA D

14、RM1.0，OMA DRM OMA DRM 2.02.0拥有独立的体系结构，面向的是更高价拥有独立的体系结构，面向的是更高价值的数字内容和更强大的移动终端，在技值的数字内容和更强大的移动终端，在技术与机制方面提供了更强大、更完整、更术与机制方面提供了更强大、更完整、更可靠的可靠的DRMDRM保护。保护。1.2.1 DRM2.0技术框架组成 OMA DRM 2.0 OMA DRM 2.0 规范主要包括规范主要包括DRMDRM系统，系统，数字内容封装和版权描述数字内容封装和版权描述3 3大部分：大部分：（1 1） 系统部分：关注消息交互、秘钥交换系统部分：关注消息交互、秘钥交换以及设备管理等。以及

15、设备管理等。（2 2）数字内容封装部分：定义数字内容的封）数字内容封装部分：定义数字内容的封装格式和一些与使用相关的头信息。装格式和一些与使用相关的头信息。（3 3）版权描述语言部分：定义对数字内容使）版权描述语言部分：定义对数字内容使用的限制、许可信息和对应的密钥信息等。用的限制、许可信息和对应的密钥信息等。1.2.2 OMA DRM 2.0 功能体系结构移动终端上的数字版权管理移动终端上的数字版权管理客户端，是一个可信赖功能客户端，是一个可信赖功能实体，强制执行附带在实体，强制执行附带在DRM内容上的访问权限，控制对内容上的访问权限，控制对数字内容的访问与使用。数字内容的访问与使用。 OM

16、A 2.0体系架构图体系架构图1.2.2 OMA DRM 2.0 功能体系结构 OMA 2.0体系架构图体系架构图对对DRM内容进行分发的功能内容进行分发的功能实体，按照规范中定义的格实体，按照规范中定义的格式，加密封装数字内容，并式，加密封装数字内容，并通过多种传送方式，将封装通过多种传送方式，将封装后的数字内容传送到后的数字内容传送到DRM代代理。理。1.2.2 OMA DRM 2.0 功能体系结构 OMA 2.0体系架构图体系架构图负责产生权限信息的功能实负责产生权限信息的功能实体。权限信息是一个体。权限信息是一个XML文档，文档，符合符合OMAREL标准，包含解密标准，包含解密密朗，用

17、于对数字内容进行密朗，用于对数字内容进行解密，并规定了用户使用或解密，并规定了用户使用或访问数字内容的权限，对数访问数字内容的权限，对数字内容的使用与访问进行控字内容的使用与访问进行控制。制。1.2.2 OMA DRM 2.0 功能体系结构 OMA 2.0体系架构图体系架构图DRM内容可能存储于用户的内容可能存储于用户的远端设备上，如远端设备上，如PC、移动存、移动存储设备、网络存储等。储设备、网络存储等。1.2.2 OMA DRM 2.0 功能体系结构 OMA 2.0体系架构图体系架构图能通过能通过DA并有权限访问与使并有权限访问与使用数字内容的合法用户。用数字内容的合法用户。1.2.3 O

18、MA DRM 2.0 的安全架构 OMA DRM 2.0 OMA DRM 2.0 的安全架构由公钥基础的安全架构由公钥基础设施体系、版权对象获取协议、设施体系、版权对象获取协议、DRMDRM内容格内容格式、版权描述语言式、版权描述语言4 4个部分构成，各个部分个部分构成，各个部分在实现在实现DRMDRM系统应用的安全中起着不同的作系统应用的安全中起着不同的作用用。公钥基础设施体系PKI PKI PKI体系作为安全基础设施平台是安全体系作为安全基础设施平台是安全协议能有效实行的基础，一切基于身份验协议能有效实行的基础，一切基于身份验证的应用都需要证的应用都需要PKIPKI的支持。它可与的支持。它

19、可与ROAPROAP，TCP/IPTCP/IP，RELREL相互结合实现身份认证、私钥相互结合实现身份认证、私钥签名等功能。基于数字证书和加密密钥，签名等功能。基于数字证书和加密密钥，PKIPKI系统提供一种在分布式网络中高度规模系统提供一种在分布式网络中高度规模化、可管理的用户验证手段。化、可管理的用户验证手段。版权对象获取协议ROAP ROAP ROAP是是OMA DRM 2.0 OMA DRM 2.0 中新增加并定义中新增加并定义的关于安全获得版权对象的一整套安全协的关于安全获得版权对象的一整套安全协议，是版权发布中心和议，是版权发布中心和DRMDRM代理之间的一组代理之间的一组DRMD

20、RM安全协议的通用名称，用来完成版权发安全协议的通用名称，用来完成版权发布中心布中心/ /内容发布中心和设备之间的注册、内容发布中心和设备之间的注册、版权对象获取、入域或离域操作。版权对象获取、入域或离域操作。DRM内容格式DCF OMA DRM 2.0 OMA DRM 2.0 将数字媒体对象加密、将数字媒体对象加密、打包为一种特定格式的文件即一种打包为一种特定格式的文件即一种MIMEMIME类类型加密文件包，该文件除包括加密的内容型加密文件包，该文件除包括加密的内容外，还包括一些附加信息，如对外，还包括一些附加信息，如对DRMDRM内容的内容的描述、描述、RIRI的的URLURL等。等。版权

21、描述语言REL OMA DRM 2.0 OMA DRM 2.0 版权描述语言是在开放版权描述语言是在开放的数字版权描述语言的基础上，对的数字版权描述语言的基础上，对RORO进行进行了语法和语义的定义。了语法和语义的定义。RELREL以以XMLXML方式定义方式定义了对了对DRMDRM内容的各种访问许可权和限制。内容的各种访问许可权和限制。1.2.4 OMA DRM 2.0 的内容分发和内容保护（1 1）内容分发）内容分发（2 2）内容保护）内容保护内容分发的基本步骤 （1）内容打包 （2）DRM代理认证 （3）生成RO （4）保护RO （5）分发内容保护机制 （1）内容加密 （2）内容完整性

22、（3）DA与RI身份认证 （4）RO可靠与完整性 （5）内容与RO安全分发 （6）域RO机制1.2.5 OMA DRM 2.0和 OMA DRM 1.0 的区别 （1 1）OMA DRM 1.0 OMA DRM 1.0 的规范是针对简单、的规范是针对简单、低成本的移动终端设备设计的，而低成本的移动终端设备设计的，而OMA DRM OMA DRM 2.02.0则是针对功能更强大的终端设备设计的，则是针对功能更强大的终端设备设计的，这些终端设备拥有较多的内存和更强大的这些终端设备拥有较多的内存和更强大的处理能力。处理能力。 （2 2）OMA DRM 1.0 OMA DRM 1.0 技术主要用于内容

23、技术主要用于内容的保护，而的保护，而 OMA DRM 2.0 OMA DRM 2.0 技术则在完全兼技术则在完全兼容容 OMA DRM 1.0 OMA DRM 1.0 技术的基础上，主要加强技术的基础上，主要加强了对通信和密钥的保护。了对通信和密钥的保护。 （3 3）在安全方面，）在安全方面，OMA DRM 1.0 OMA DRM 1.0 的安的安全级别较低，而全级别较低，而 OMA DRM 2.0 OMA DRM 2.0 的安全级别的安全级别较高。较高。 （4 4）版权对象获得协议是）版权对象获得协议是 OMA DRM OMA DRM 2.0 2.0 中新增加并定义的关于安全获得版权中新增加

24、并定义的关于安全获得版权对象的一整套安全协议。对象的一整套安全协议。 （5 5）OMA DRM 2.0 OMA DRM 2.0 规范引入了域的概规范引入了域的概念，允许念，允许RIRI通过域密钥把权限和内容加密通过域密钥把权限和内容加密密钥绑定到一组密钥绑定到一组DRMDRM代理上，而不是只绑定代理上，而不是只绑定到一个到一个DRMDRM代理上。代理上。 （6 6）OMA DRM 1.0 OMA DRM 1.0 规范不支持流媒体规范不支持流媒体业务，而业务，而 OMA DRM 2.0 OMA DRM 2.0 规范则支持分组交规范则支持分组交换流媒体服务。换流媒体服务。 （7 7）OMA DRM 1.0 OMA DRM 1.0 规范不支持针对超级规范不支持针对超级分发的即时预览；而分发的即时预览；而 OMA DRM 2.0 OMA