專利名稱:一種基于對等網絡的數字版權保護方法
技術領域:
本發明是一種網格環境下保護數字音視頻作品版權的解決方案,尤其涉及到對等 網絡環境下的數字版權保護問題,屬于多媒體數字版權保護領域。
背景技術:
數字版權管理(Digital Rights Management,簡稱DRM),是指數字化內容在生產、 傳播、銷售和使用過程中知識產權保護與管理的技術工具。其具體的應用可以包括ebook、 視頻、音頻、圖片等數字內容的保護。它通過在數字空間里,不可偽造地認證用戶,授予用戶 的權利范圍、規范用戶的行為方式來保障數字化信息的所有者和經營者的權利及利益。DRM 的目標是運用技術手段遏制盜版,保護數字化內容的知識產權,保證數字化產品市場銷售 渠道的暢通,保障作者、出版商、分銷商的利益和用戶的合法使用權利,從而求得各方利益 的實現與平衡,促進電子出版業的繁榮。對等網絡的作為一種應用技術是上世紀90年代末提出的,它能利用hternet中 的各個節點進行對等計算,充分挖掘了 hternet上空閑資源,在利用率、擴展性、容錯等方 面具有潛在的巨大優勢,并在文件共享、分布式計算、協同工作、hternet存儲等方面已經 取得了初步的良好應用。如果把對等網絡引入到數字多媒體服務網絡中,就可以充分發揮 以往被忽略的眾多客戶機的作用,讓客戶機緩存一部分信息,充當一部分服務器的功能,使 服務分散化,從而減輕服務器的負載和網絡帶寬的占用。對等網絡數字多媒體為互聯網的 音視頻傳播帶來巨大便利的同時,由于其自身數字媒體內容的特點,它的副本與原件完全 相同,所以很容易被網絡盜版和非法傳播。終端用戶無意或有意地對數字內容進行任意的 復制粘貼甚至是二次傳播(如磁盤復制等),以幾何級數的速度非法向外分發有效資源, 從而損害了流媒體擁有者的合法權益,這已成為長期困擾網絡運營商和內容提供商的頭疼 問題。再加上對等網絡的分布式特性,使得對等網絡模式下的數字多媒體版權更加難于管 理,因此很大程度上制約了對等網絡數字多媒體應用的進一步發展。現在,市場上已經有很 多的DRM產品,但它們大多數都是基于Client/Server模式的,并不適用于對等網絡這樣一 種比較松散的網絡結構,因此,在對等網絡模式下怎樣實施有效版權保護是目前亟待解決 的一個熱點問題。
發明內容
技術問題本發明需要解決的技術問題是,首先,當前的數字版權保護系統對被保 護文件采取的加密保護方案大多是將整個文件進行加密,之后將整個加密文件發送至目的 客戶端,而這種文件傳輸方案是與p2p網絡的分布式特性相悖的,無法發揮p2p網絡的特點 和優勢。其次,大多數DRM系統將受保護文件的密鑰直接置于到戶播放許可證中發給客戶 端,無法保證許可證中的密鑰不被惡意的用戶破解,另外,現有DRM方案都是讓獲得播放許 可證的用戶首先利用播放許可證先解密得到原始媒體文件,之后進行播放,這幾乎失去了 版權保護的意義,因為如果該用戶把解密的多媒體文件進行非法傳播,那么其他用戶即使沒有播放許可證仍然可以播放該擁有版權的多媒體文件,而這一問題在P2p網絡中將更加 突出,這顯然需要新的可行方案來解決p2p環境下的版權保護應用。技術方案本發明的方法是一種策略性的方法,通過引入文件分片加密與許可 證密鑰動態解密機制,解決對等網絡環境下的系統應用問題,具體是通過以下方案來實現 的一、體系結構本方案的實現主要分為兩部分應用節點用戶端應用和服務器端應用。服務器端 應用這里的服務器端應用泛指的是多個不同功能的服務器相互聯接組成的服務器集群, 對外表現為一個整體,相互配合共同完成相應功能,包括數字證書服務器、多媒體內容分發 服務器、節點索引服務器、許可證發放服務器和用戶注冊服務器。客戶端應用以一個多媒體 內容播放器插件的形式提供給用戶節點。下面我們給出幾個具體部分的說明數字證書服務器主要功能為作為可信的第三方對系統中的服務器和用戶節點進 行認證并頒發相應的)(509標準的公鑰證書和私鑰,方便此后相關信息的傳遞和認證。多媒體內容分發服務器主要功能為對具有版權的多媒體數據進行分類、標記和 保存,同時還負責對請求下載的文件進行分片和加密的功能。節點索引服務器為對等網絡環境下的下載用戶提供擁有已下載文件分片的節點 的索引信息。許可證服務器用于按照選定的版權策略為用戶生成相應的許可證書。用戶注冊服務器作為門戶,負責與用戶端節點應用的交互,引導用戶進行注冊及 許可證等的下載操作。客戶端應用完成與服務器的交互及對等網絡環境下文件分片的共享下載功能。二、方法流程步驟1 用戶從用戶注冊服務器下載播放器插件,選擇多媒體文件并發送包含節 點要購買媒體文件信息的請求報文;步驟2 當用戶完成網上支付后,得到許可證服務器發送的播放許可證信息;步驟3 用戶通過對等網絡共享并下載加密的多媒體文件分片;步驟4:用戶將多媒體文件的加密分片及許可證申請書中的內容密鑰信息讀入內 存中;步驟5 用戶端應用在內存中解密內容密鑰,用解密的內容密鑰解密已下載的多 媒體加密分片從而播放多媒體文件,同時進行多媒體文件的共享操作。其中步驟1中所發送的所要購買媒體文件的請求報文中包含有用戶本機的硬件信息 及用于加密內容密鑰的哈希算法ID、節目標識ID與用戶ID信息。步驟2中收到的播放許可證信息中所含有的多媒體文件分片的解密密鑰,這一密 鑰是以加密后的形式提供給用戶的,即許可證中的內容密鑰是加密的。步驟3中用戶通過對等網絡共享并下載加密的多媒體文件分片是請求相同媒體 文件的對等節點初始時從多媒體內容服務器下載到的是不同的加密文件分片,在之后下載 其他對等網絡中節點的文件分片的同時,也共享自身已下載而其它節點沒有的文件分片,這兩者是同時并發進行的。步驟4中所讀入的多媒體文件分片及許可證中的內容密鑰信息都是加密后的密 文形式。步驟5中,節點已下載的加密媒體文件分片被依次按序讀入內存,內容密鑰也在 內存中進行解密,然后用解密后的內容密鑰器解密讀入的文件分片信息,進而播放多媒體 分片,下一個讀入的文件分片將覆蓋前一個讀入的已播放的文件分片,用內存中解密后的 內容密鑰進行解密。有益效果本發明方法提出了基于對等網絡的多媒體數據版權保護方案,主要用 于保護在對等網絡環境下分發的具有版權的數字多媒體數據的目的。下面我們給出具體的 說明。1.安全性由于采取了非對稱密鑰進行身份的認證以及完整性認證,因此可靠的保證了傳輸 的信息的真實,防止了信息被篡改以及冒充其他用戶交易,保證了對交易的不可否認性,同 時其中的挑戰值的使用也有效的防止了中間人重放攻擊。2.保密性在本方法中,無論是用戶播放許可證中的內容密鑰信息,還是文件的分片信息,都 是以密文的形式發放給用戶的,即使是已經獲得媒體文件的用戶無論是播放前還是播放 后,始終都沒有解密過的多媒體文件出現,多媒體文件的解密是在內存中動態執行的,播放 過后內存中的解密過后的多媒體文件以及內容密鑰信息都動態去除了,因此最大限度的保 證了多媒體數據的保密性,杜絕了用戶進行違反版權的共享行為,確保了版權文件收到保 護。3.高效性本系統在分發文件分片時不是針對每個用戶單獨分發,而是將已下載文件分片的 用戶作為一個整體去對待,充分利用了對等網絡系統在文件分發時高效性,在分享自己的 文件分片的同時也從其他節點那里下載自身沒有的分片,因此最大限度的提高了文件分享 的效率,同時文件分片都是加密的,因此不會因分享而造成版權的泄漏。
圖1為系統整體架構圖。圖2為系統工作的整體流程圖。圖3為對等網絡文件共享原理示意圖。圖4為播放器播放多媒體加密分片原理示意圖。
具體實施例方式系統的主要工作流程如下1.用戶首先到注冊服務器網址免費下載用戶端節點應用程序,運行后會自動與用 戶端本地默認播放器進行綁定,之后節點應用會在本地生成一對RSA非對稱密鑰,然后將 公鑰信息提交數字證書服務器,通過數字證書服務器認證過后生成數字證書并發送給申請 節點,之后節點用戶端應用自動轉向節目表單頁面。
2.當用戶選定所要觀看的多媒體內容后,應該選擇相應的版權策略,如按照多媒 體文件的播放時間還是播放次數獲得多媒體文件的版權等。3.生成用戶節目申請書,其內容包括用戶所請求節目的ID號、用戶選擇的版權策 略識別號、用戶ID號、以及用戶本地電腦唯一硬件標識(如CPU編號)、哈希算法標識、加密 算法標識、以及為了防止網絡中間人重放攻擊而設置的隨機挑戰值信息,注意,這其中的加 密算法標識是指加密內容密鑰的加密算法。4.將用戶節目申請書信息用個人私鑰進行數字簽名,這既可以作為驗證數據完整 性的標識,又保證了交易雙方的不可抵賴性。將節目申請書信息用用戶注冊服務器的公鑰 進行加密后,連同數字簽名信息一起發送至用戶注冊服務器。5.用戶注冊服務器在收到用戶節目申請書及數字簽名信息后,首先用自己的私 鑰解密用戶申請數信息,按照其中的哈希算法對用戶申請信息進行運算,之后與數字簽名 信息進行比較,從而驗證信息完整性,驗證數據完整后,提示用戶通過網上交易平臺進行支 付,確認用戶完成支付后,將用戶信息發送給許可證服務器以及多媒體文件服務器保存起 來,然后為用戶生成并發放播放許可證及提供多媒體文件的下載業務,否則終止此次業務。6.其中許可證發放及多媒體文件下載的具體流程為(1)若多媒體數據文件是首次被請求,多媒體內容分發服務器首先根據用戶請求 的多媒體文件標識找到要發放的多媒體文件,然后對多媒體文件進行分片操作,其中每個 文件分片都包含有一個固定的文件頭部信息,包含了某個文件分片在所有分片中的順序以 及文件分片的標識信息。(2)對每個分片進行加密,其中加密所用的密鑰是通過一個與許可證服務器所共 享的密鑰種子seed生成的,密鑰種子seed是內容服務器和許可證服務器之間共享的秘密, 具體為將用戶請求的節目文件的標識號與密鑰種子seed異或運算生成內容密鑰,用內容 密鑰進行文件分片的加密。(3)于此同時,許可證服務器會基于相同的密鑰種子seed和用戶信息生成與媒體 內容服務器相同的內容密鑰,然后將用戶發送過來的唯一硬件信息利用用戶節木申請書中 選擇的哈希算法進行哈希,然后將此哈希值作為密鑰,采用用戶在節目申請書中隨機選擇 的對稱加密算法對許可證中的內容密鑰進行加密,之后將包含用戶版權策略描述的播放許 可證內容用許可證服務器自己的私鑰進行簽名,將挑戰值進行加一操作后連同生成好的許 可證用用戶公鑰進行加密,然后發送給用戶端應用。(4)用戶端接收到播放許可證及挑戰值信息并用自己私鑰進行解密后,先通過許 可證服務器公鑰驗證許可證信息完整性,然后驗證挑戰值是否正確,此處注意雖然獲得的 許可證中包含媒體文件分片數據的內容密鑰,但這個內容密鑰即使對已獲得該許可證的用 戶來講仍然是加密過的,這點很重要,也是一個創新點。(5)然后進行的是文件分片的下載過程,媒體內容服務器首先將播放順序中的第 一個文件分片發放給用戶端,然后通過索引服務器獲得當前對等網絡中所有文件分片的發 放情況,然后選擇一個用戶端應用已擁有數量最少的文件分片(除去第一個以外)分發給 當前請求用戶,之后將索引服務器所維護的一個擁有已下載過的文件分片的所有節點的信 息的表格發送給用戶端,用戶節點跟其他的節點分享自己的文件分片(不是第一個),由于 自己所擁有的文件分片比較稀有,會有很多其他節點分享,故同時可以從分享自己文件分片的節點那里下載自己所沒有的文件分片,兩者并發執行(6)當獲得第一個文件分片后,用戶即可將加密過的多媒體文件分片內容密鑰數 據讀入內存,然后根據節點的當前信息和本地用戶硬件信息(如CPUID)使用節目申請書中 選定的哈希算法進行哈希運算,從而得到內容密鑰的解密密鑰,解密得到內容密鑰,然后將 文件分片數據讀入內存,用內容密鑰進行解密,然后就可以對解密后的文件分片進行播放, 同時可以對其他的文件分片數據進行并行下載,當當前文件分片播放完時,將下載好的下 一個文件分片數據讀入內存,覆蓋掉已讀入內存的上一個文件分片的數據。(7)播放完成后根據用戶的版權策略修改許可證服務器中用戶相關信息,如記錄 當前播放時間或允許的媒體播放次數減一,下次播放前首先檢驗用戶的播放許可證是否過 期或已經達到規定的播放次數,如果超過預先設定的播放次數或許可證已過期,則通知用 戶充值,否則許可證作廢,拒絕播放多媒體文件。為了方便描述,我們假定有如下基于對等網絡的數字版權保護系統應用實例假定用戶Alice希望通過本系統獲得多媒體視頻文件的播放權,下載過程中與 Bob通信,具體實施方式
如下步驟1 :Alice首先下載并安裝應用端插件,之后自動進入節目表單頁面,選擇自 己想要收看的節目及版權方案,假設選擇的是按時間對多媒體文件進行分享。用戶端應 用在本地生成一個公鑰及私鑰對,并將公鑰信息發送給數字證書服務器,通過認證后獲得 X509格式數字證書。步驟2 客戶端應用跟據用戶選擇信息為用戶生成節目申請書,其中包括所請求 節目的ID號、用戶選擇的版權策略識別號、用戶ID號、以及用戶本地電腦唯一硬件標識 (如CPU編號)、哈希算法標識、加密算法標識、以及為了防止網絡中間人重放攻擊而設置的 隨機挑戰值,將節目申請書信息用用戶注冊服務器的公鑰進行加密后,連同數字簽名信息 一起發送至用戶注冊服務器。步驟3 用戶注冊服務器在收到用戶節目申請書及數字簽名信息后,首先用自己 的私鑰解密用戶申請數信息,按照其中的哈希算法對用戶申請信息進行運算,之后與數字 簽名信息進行比較,從而驗證信息完整性,若驗證信息正確則查詢許可證服務器,若沒有用 戶ID對應的賬戶信息,則提示用戶注冊網上支付賬戶進行支付,并轉到網上支付交易平臺。步驟4:若用戶注冊了賬戶并支付了播放此次視頻多媒體文件所需費用,則將用 戶信息發往許可證服務器進行下步操作,否則終止此次操作。步驟5 許可證服務器為用戶建立賬戶信息,包括用戶ID,用戶請求媒體文件剩余 播放時間信息,同時根據獲得的用戶ID信息與文件內容密鑰種子seed進行異或,得到文件 分片加密密鑰,然后根據證書申請書中的哈希算法對CPUID信息哈希,假設采用SHA-I算 法,當然不局限如此,生成的數據作為文件分片的內容密鑰的加密密鑰放入用戶的許可證 中,之后將包含用戶版權策略描述及加密過的內容密鑰的播放許可證內容用許可證服務器 自己的私鑰進行簽名,將挑戰值進行加一操作后連同生成好的許可證用用戶端公鑰進行加 密,然后發送給用戶端應用。步驟6 用戶端接收到后先用自身私鑰進行解密操作,之后進行完整性驗證,方法 與上同,驗證挑戰值及完整性無誤后保存許可證信息。
步驟7 之后進行的是文件分片及下載過程,具體如下 (1)若多媒體數據文件是首次被請求,多媒體內容分發服務器首先根據用戶請求 的多媒體文件ID找到要發放的多媒體文件,然后對多媒體文件進行分片操作,其中每個文 件分片都包含有一個固定的文件頭部信息,包含了某個文件分片在所有分片中的順序以及 文件分片的標識信啟、(2)對每個分片進行加密,其中加密所用的密鑰是通過一個與許可證服務器所共 享的密鑰種子seed生成的,密鑰種子seed是內容服務器和許可證服務器之間共享的秘密, 內容密鑰生成方法與許可證服務器相同,用內容密鑰進行文件分片的加密。(3)媒體內容服務器首先將播放順序中的第一個文件分片發放給用戶端,然后通 過索引服務器獲得當前對等網絡中所有文件分片的發放情況,然后選擇一個用戶端應用已 擁有數量最少的文件分片(除去第一個以外)分發給當前請求用戶,之后將索引服務器所 維護的一個擁有已下載過的文件分片的所有節點的信息的文件發送給用戶端Alice,用戶 節點跟其他的節點分享自己的文件分片(不是第一個),由于自己所擁有的文件分片比較 稀有,會有很多其他節點分享,故同時可以從分享自己文件分片的節點那里下載自己所沒 有的文件分片,兩者并發執行,假設Bob擁有分片B,Alice擁有分片A,兩者則按照圖3所 示進行文件分片的共享。(4)當獲得第一個文件分片后,用戶即可將加密過的多媒體文件分片內容密鑰數 據讀入內存,然后客戶端應用進程根據節點的用戶ID和本地用戶硬件信息(如CPUID)讀 入內存,使用節目申請書中選定的哈希算法進行哈希運算,從而得到內容密鑰的解密密鑰, 在內存中解密得到內容密鑰,然后將文件分片數據依次讀入內存,用內容密鑰進行解密,然 后就對解密后的文件分片進行播放,在播放時同時對其他的文件分片數據進行下載和分 享,當當前文件分片播放完時,將下載好的下一個順序的加密過的文件分片數據讀入內存, 覆蓋掉已讀入內存的上一個文件分片的數據,整個過程如圖4所示。步驟8 =Alice播放完成后將此次播放時間返回給許可證服務器,許可證服務器對 相應用戶賬戶信息進行修改,在本實例中即為減去此次播放時間,之后用戶端得到并記錄 用戶賬戶信息到許可證中。
權利要求
1.一種基于對等網絡的數字版權保護方法,其特征在于該方法所包含的步驟為 步驟1 用戶從用戶注冊服務器下載播放器插件,選擇多媒體文件并發送包含節點要購買媒體文件信息的請求報文;步驟2 當用戶完成網上支付后,得到許可證服務器發送的播放許可證信息;步驟3 用戶通過對等網絡共享并下載加密的多媒體文件分片;步驟4:用戶將多媒體文件的加密分片及許可證申請書中的內容密鑰信息讀入內存中;步驟5:用戶端應用在內存中解密內容密鑰,用解密的內容密鑰解密已下載的多媒體 加密分片從而播放多媒體文件,同時進行多媒體文件的共享操作。
2.根據權利要求1所述的基于對等網絡的數字版權保護方法,其特征在于,步驟1中所 發送的所要購買媒體文件的請求報文中包含有用戶本機的硬件信息及用于加密內容密鑰 的哈希算法ID、節目標識ID與用戶ID信息。
3.根據權利要求1所述的基于對等網絡的數字版權保護方法,其特征在于,步驟2中收 到的播放許可證信息中所含有的多媒體文件分片的解密密鑰,這一密鑰是以加密后的形式 提供給用戶的,即許可證中的內容密鑰是加密的。
4.根據權利要求1所述的基于對等網絡的數字版權保護方法,其特征在于,步驟3中用 戶通過對等網絡共享并下載加密的多媒體文件分片是請求相同媒體文件的對等節點初始 時從多媒體內容服務器下載到的是不同的加密文件分片,在之后下載其他對等網絡中節點 的文件分片的同時,也共享自身已下載而其它節點沒有的文件分片,這兩者是同時并發進 行的。
5.根據權利要求1所述的基于對等網絡的數字版權保護方法,其特征在于步驟4中所 讀入的多媒體文件分片及許可證中的內容密鑰信息都是加密后的密文形式。
6.根據權利要求1所述的基于對等網絡的數字版權保護方法,其特征在于步驟5中,節 點已下載的加密媒體文件分片被依次按序讀入內存,內容密鑰也在內存中進行解密,然后 用解密后的內容密鑰器解密讀入的文件分片信息,進而播放多媒體分片,下一個讀入的文 件分片將覆蓋前一個讀入的已播放的文件分片,用內存中解密后的內容密鑰進行解密。
全文摘要
基于對等網絡的多媒體文件版權保護方案是一種對等網絡環境下面向多媒體應用的數字版權解決方案。主要用于解決復雜對等網絡環境下的數字版權保護問題,同時又充分發揮對等網絡在文件共享方面的獨特優勢,從而充分發揮出二者的優點,為協同文件分片下載及版權保護應用集成提供可行方案,與過去使用的方法不同,本方法是一種策略性方法,通過使用本發明提出的方法可以達到在對等網絡環境下有效保護多媒體數字作品版權的目標。
文檔編號H04L29/08GK102143232SQ201110085730
公開日2011年8月3日 申請日期2011年4月2日 優先權日2011年4月2日
發明者李致遠, 林巧民, 王汝傳, 邵星, 閆輝, 韓志杰, 顧翔, 饒元 申請人:南京郵電大學