数字版权综合管理系统的设计及其实现.doc

《数字版权综合管理系统的设计及其实现.doc》由会员分享，可在线阅读，更多相关《数字版权综合管理系统的设计及其实现.doc（15页珍藏版）》请在咨信网上搜索。

IPTV中数字版权管理系统设计和实现 基于IPTV媒体内容版权保护技术进行分析和研究基础上，设计并实现了一个基于数据库系统在线认证IPTV版权管理系统。系统由后台数据库系统、前台公布和认证系统、用户接收系统三部分组成。 具体叙述了IPTV系统中DRM版权管理技术，并分析了该技术实现机制和工作步骤。提出了基于数据库系统在线认证IPTV版权管理系统，包含系统体系结构、工作步骤，并具体划分了系统模块。 wrV(Internet ProtocolTv，或网络电视1作为电信业和传媒业全新融合业务。 伴随运行商iFrv业务不停开展、业务范围不停扩大和用户数量逐步增多，ipⅣ服务系统在服务能力、扩展性、资源利用率、实时性等方面存在很多问题，投入成原来越大、系统复杂度不停增加、运行和维护难度越来越高，往往影响大面积规模业务统一快速布署。为了适应现在IFIN领域竞争态势，P2P技术以其良好对等性、扩展性、开放性等优点得到了广泛研究探索、赢得了很多厂商大力支持和用户广泛接收l_”。然而，新技术出现又会带来新问题，信息安全性和版权问题成为最大隐患，所以，我们提出了firl'V 中数字版权管理DRM(Digital Right Management)技术。 IPlv关键特点：实现媒体提供者和媒体消费者实质性互动。IFrv采取播放平台将是新一代家庭数字媒体终端经典代表，它能依据用户选择配置多个多媒体服务功效，包含数字电视节目，可视m电话，DVD／VCD播放，互联网游览，电子邮件，和多个在线信息咨询、娱乐、教育及商务功效。 DRM管理和保护从内容制作到发行再到消费这一整个是自产品价值链中全部参与者权利，从而发挥出是自产品价值链中最大社会效应。DRM不仅仅能够阻止非授权用户访问和共享数字资源，更关键是许可授权用户能便捷访问更多高质量数字资源。 P2P技术将影响IFrv未来下一代互联网结构。现在旷Ⅳ网络体系结构大全部基于dS模式，无法支持口Ⅳ数据流量爆炸式增加需求。P2P特 点是将网络上各终端主机系统之问经过直接互连来共享计算机资源和服务。全部信息交换直接在两个对等点之间完成，不再依靠于服务器性能和带宽，根本消除了因服务器本身条件造成网络通讯瓶颈。 因为P2P技术含有有点使得基于P2P组播技术能够有效支撑带宽流媒体传输。是未来互联网最能发挥优势方法。不过怎样即满足P2P技术又能够对它进行有效版权管理，成为了下一步研究焦点。 IPTV中数字版权管理DRM系统设计，这部分完成了媒体文件打包服务器工作步骤和接口及后台数据库系统、许可证授权服务器、播放认证子系统设计，和DRM系统每个服务器子系统具体步骤和设计需求。打包服务器负责加密媒体文件和产生密钥，后台数据库系统用来存放媒体文件、密钥、用户数据，权利信息，许可证授权证书给用户发放非激活署名证书，认证服务器则激活署名证书。 DRM技术工作原理是：首先建立数字节目授权中心(RightsIssuer)，编码已压缩数字节目内容，然后利用密钥对内容进行加密保护，加密数字节目头部存放着KeylD和节目授权中心统一资源定位器(URL)地址。用户在点播时，依据节日头部KeyID和URL信息，经过数字节目授权中心验证授权后送出相关密钥解密(unlock)，节目方可播放。需要保护节目是被加密，即使被用户下载保留并散播给她人，没有得到数字节目授权中心验证授权也无法播 放，从而严密地保护了节目标 DRM体系结构包含了功效、信息、模块等。 功效： 信息： 模块： 标注：标识包含很多标准如DOI等。这些标准有利于实现开放式DRM系统：权限表示关键是提供一个广泛接收权限表示语言(gEL)，从而为DRM提供互操作能力。现在存在标准关键有XrML和0DRL。 一个完整DRM框架关键由数字内容服务器、许可证发放服务器和用户端(内容消费)三个部分组成。内容服务器充当了内容公布角色，需要DRM数据打包、加密功效。DRM打包器和流媒体数据和其它信息共同放在内容服务器中，组成多媒体数字版权管理数据产生和加密部分；许可证发放服务器关键用来产生许可证(1icense)，进行用户判别C又称认证)和发放许可证，它包含了权限数据库和密钥库，并结适用户身份信息。利用许可证生成程序(关键算法)产生许可证，从而组成了数字版权管理许可证产生和分发部分。在这一部分中，一个license唯一对应了一个用户信息和一套权限集合，并包含了打开相关媒体文件密钥。至于用户端(即内容消费者)，接收服务器发送加密数据。经过DRM在用户端控制程序，取得许可证后得到密钥。在对应权限范围内能够解密数据，最终经过用户界面进行个性化数字内容播放。这3个部分工作过程是：数字内容服务器将打包加密数据发送给用户端，同时DRM打包器还会将基于内容权限发给许可证发放服务器，用于产生权限集合一部分：许可证发放服务器和内容服务器是相互独立，它将产生license发送给用户端，并和用户端经过类似于认证系统、计费系统之类程序进行认证和交互：用户端接收DRM打包器加密数据，也将收到license分别送到DRM控制器和密钥、权限库中用于版权管理和数字内容解密。 加密：内容加密是DRM系统基础。DRM系统要求节日内容只能在加密状态下在信道中传输，同时要求内容加密必需含有足够加密强度，以确保攻击者不能经过截取加密内容取得利益。对于含有海量数据流媒体应用，采取对称加密算法对内容加密是唯一选择。经典对称加密算法包含DES、3DES和AES在现在计算条件下，采取64位内容密钥DES算法因为无法为节目提供足够加密强度而正在逐步退出。3DES采取三组不一样密钥对每个加密单元进行3次DES加密，强度等于112位内容密钥DEs算法，能够满足节目加密需求。AES采取128，192或256位内容密钥，但加密单元总为128位。和3DES算法相比，AES算法含有更高加密强度和更低运算开销，所以将在以后几年内逐步替换3DES算法。 因为公钥算法效率比对称密钥算法低得多，所以在内容加密时，需使用对称密钥算法。现在关键对称密钥算法包含DES，3DES，AES等。 在一个加密系统中，最复杂部分是密钥管理系统。密钥管理系统是DRM系统关键，它负责分发和管理DRM系统使用多种密钥。现在在市场上有不少私有密钥管理系统。而对于电信运行商比较适宜，基于公开标准密钥管理系统是OMADRM。 授权:数字权限授权语言现在有不少国际标准，如XrML(可扩展权限标识语言)，OOaL(开放数字版权语言)。XrML标准在互操作性方面含有很多内在优势，为数字属性提供了一个易于使用通用方法，来表示和数字信息使用和保护相关权限。 基于PMKerberos统一认证授权系统设计和实现 PKI（Public Key Infrastructure ） 即"公钥基础设施"，是一个遵照既定标准密钥管理平台,它能够为全部网络应用提供加密和数字署名等密码服务及所必需密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立提供安全服务基础设施。PKI技术是信息安全技术关键，也是电子商务关键和基础技术。 PKI基础技术包含加密、数字署名、数据完整性机制、数字信封、双重数字署名等。 研究和实现了一个统一认证授权系统，利用公开密钥基础设施优点Kerberos认证有效性，对基于对称密码体制Kerberos协议进行了改造，并在改造过程中加入了统一授权功效，以实现统一认证授权。 现在常见认证协议有:基于共享秘密密钥认证协议、基于KDC(KeyDistributionCenter，密钥分发中心)认证协议、Kerberos认证协议和基于公开密钥密码体制认证协议，其中比著名而且被广泛使用协议是KerberoS协议。 Kerberos存在这些问题，现在中国外存在两类改善方案:一类是经过引入设备来提升Kerberos协议安全性，如采取智能卡或USBKEY，智能卡或USBKEY这些设备引入会造成系统成本提升;另一类是对Kerberos协议本身进行改善，如采取公钥密码体制改造Kerberos协议10llvllsl。基于公钥密码体制Kerberos认证模型，能够充足利用公钥密码体制优点和Kerberos协议优点，即利用公钥密码体制安全性、可扩展性和Kerberos模型认证有效性和灵活性，使得KDC数据库不再存放用户秘密密钥这些敏感信息。 认证授权系统相关技术介绍 加密： 数字署名： 公开密钥基础设施PKI： 为了便于管理全世界数字证书，大家引入了公开密钥基础设施Pki(PublicKeyInfrastruct)，它是提供公钥加解密服务器及数字署名服务平台，是管理数字证书一套基础设施。它是基于公钥密码技术，由公开密钥密码技术、数字证书、证书权威机构及系统安全策略组成。公开密钥基础设施关键为CA。一个机构可部署公开密钥基础设施来管理证书，作为其所拥有保障网络安全基础设施。CA利用数字证书将用户身份和用户所持有公钥进行绑定，一旦绑定问题处理，则可确定证书拥有者是否真正拥有证书对应公钥。 认证协议： 在KerberoS认证协议中，类似基于密钥分发中心认证协议，每个实体均和可信任一个中心预共享一个私密密钥。KerberoS既是认证协议，也是密钥分发中心，KerberoS使用对称密钥密码体制进行加解密运算。 Kerberos协议步骤为:用户在访问应用服务器服务前，需要向TGS取得访问该应用服务器服务许可，不过用户在和TGS通信前，必需首先向AS证实它身份并获取一张票据许可票据 TGT(TieketGrantingTieket)，TGT使得用户能够向TGS请求服务票据。TGT用用户秘密密钥加密后发给用户，用户成功接收到该票据后将其展示给TGS，TGS验证用户请求，若正当，则回复用户一张服务票据以供用户访问其所请求应用服务器服务，假如用户身份经过，则应用服务器便许可用户访问其服务。Ketheros协议第四版认证过程由以下 六个步骤组成: (1)用户向AS请求TGT，假如没有进行预先验证话，则该请求是用明文发送，明文中含有用户身份信息。 (2)AS收到该请求后，用密钥分发中心KDC数据库验证用户身份，AS本身就是一个KDC，只有验证经过，才许可用户和TGS联络，验证经过后AS向用户回复用用户秘密密钥加密报文，该报文中含有用户和TGS通信会话密钥和AS要发给TGS票据，该票据用TGS秘密密钥加密，用户是无法获知该票据对应明文内容。 (3)用户收到认证服务器回复报文后，用自己秘密密钥解密AS回复内容并从中解析出其和TGS会话密钥，然后向TGS发送报文以请求服务票据，发送报文包含:AS生成TGT、要访问应用服务器标识及用用户和TGS之间会话密钥加密时间戳。 (4)TGS验证经过用户请求后，向用户回复两个票据，这两个票据均含有由TGS生成供用户和应用服务器加密通信使用会话密钥，一张票据用用户秘密密钥加密生成，另一张票据用应用服务器秘密密钥加密生成，该票据能够使应用服务器判别持有该票据用户身份。 (5)用户收到TGS回复后，将TGS给应用服务器票据及用用户和应用服务器间会话密钥加密时间戳并发送给应用服务器。 (6)应用服务器利用自己秘密密钥解密用户发来报文并从中获取其和用户通信会话密钥，并将用户发送过来时间戳加1后回复给用户，该回复用用户和应用服务器会话密钥加密。 若以上这些步骤均验证经过，用户和应用服务器就能够利用TGS为它们生成会话密钥安全地进行加密通信了 基于PKI统一认证授权： 分析KetheroS认证过程可知在认证第四步中，AS可回复用户更丰富信息，则可将授权结合到认证过程中。本文设计和实现统一授权系统就是基于此将授权结合到Kerberos认证过程中。授权采取RBAC(Role BasedAeeess Conirol，基于角色访问控制)授权模型，利用RBAC模型可实现统一授权，统一授权是指将网络中授权进行统一管理，经过定义应用服务器权限进而定义并划分对应角色，然后将应用服务器划分好角色集中在某个中心服务器，可实现授权统一管理，应用服务器角色集中需要在中心服务器进行注册，然后中心服务器经过文件方法或数据库方法一统计应用服务器角色信息。 综合考虑认证和统一授权过程，本文设计统一认证授权系统由认证授权服务器、CA、用户和应用服务器组成，其中认证授权服务器负责处理认证请求和授权请求，在认证过程中担任AS、TGS及担任权限授予者;CA负责证书生成、分发和吊销;用户是请求服务实体;应用服务器为处理用户服务请求实体。 认证授权步骤以下所表示： 系统整体图： 基于背包问题可纠错数字署名算法: 二次背包问题也叫矩阵覆盖问题(即MC问题)，它是一个已知NPC问题，能够用来结构陷门单向函数，所以能够用来结构二次背包体制。实际上一次背包也是二次背包特例。即使大部分一次背包体制均被破译了，但背包体制以其加密、解密速度快，易于软件实现特点，仍然吸引大家极大爱好。利用二次背包问题结构二次背包体制含有很强安全性，能够有力地对抗了己有破译一次背包体制方法。用矩阵替换一维向量而做成矩阵覆盖方案，因破译计算量比背包向量大得多，且密文中不仅含有单个单元信息，还含有两两之间关系信息，所以破译复杂性加强。 要处理DRM系统中证书单次使用问题，将用到时下流行PZP技术。 基于P2P数字版权管理系统体系及协议研究： 和传统用户/服务器(C/S)模式网络相比,P2P网络(P2Pnetwork)含有直接、快速、灵活数字内容传输优势。和此同时,P2P技术发展也引发了一系列争议,关键集中在它对现有版权体系巨大冲击和它带来信息控制上困难等方面。和C/S网络架构相反，PZP网络架构在进行媒体通信时不存在中心节点，节点之间 (Peer)是对等，即每一个节点能够进行对等通信，各节点同时含有媒体内容(Content)接收、存放、发送和集成及其对媒体元数据(Metadata)搜索和被搜索功效等。 这种网络架构所带来优点是PZP网络各节点能力和资源能够共享，理论上来说网络能力和资源是PZP各节总和。内容不再集中在网络中央Server，而是分布在靠近用户网络边缘各PZP节点上。PZP技术应用使得业务系统从集中向分布演化，尤其是服务器公布化，克服了业务节点集中造成瓶颈，大大降低系统建设和使用成本。 依据现在P2P发展,P2P网络能够划分为纯分布式P2P网络和混合式P2P网络两大类。纯分布式P2P网络中取消了服务器,链状节点之间组成一个分散式网络;混合式P2P网络中各节点之间能够直接建立连接,但网络构建需要服务器,经过集中认证,建立索引机制。DRM系统服务器分为内容服务器和证书服务器，不管是内容服务器和证书服务器，只要接收了过多用户署名和传输请求，肯定造成系统瓶颈出现。为了达成降低系统服务器压力要求，数字内容和数字证书最好不要全部由服务器进行分发。这也是传统C/S模式带来弊病。所以，本系统借鉴了PZP技术原理。 本文提出基于P2P模式DRM系统体系是以混合式P2P网络为基础,由可信中心服务器和P2P服务网络组成。其中,可信中心服务器是一个瘦服务器,提供可信数字内容版权控制管理技术支持;P2P服务网络是分布式P2P网络,由基于点对点网状拓扑结构若干节点主机组成,任意节点之间以对等方法进行通信。可信中心服务器和P2P 服务网络中节点主机建立普遍通信链路,经过特定传输协议实现对各节点有效控制和管理。 功效框架 DRM( digital rights management)技术体系基础功效包含:数字内容加密,阻止非法内容注册,用户环境检测,用户行为监控,认证机制,付费机制和存放管理。经过合理地分配DRM处理到体系两端,形成系统功效框架,图1所表示。 在体系中,可信中心服务器提供基础数字内容提供商版权标识、公布、认证、授权和付费机制管理,同时提供秘密数据管理机制,包含索引信息、密钥和元数据等;P2P服务网络实现数字内容 分布式存放、搜索和下载和节点滞留内容进入网络流通范围支持(包含分布式许可证、当地水印判别、分布式指纹识别、质量控制等),同时,协同可信中心服务器建立认证机制。