一種應對非法拷貝的數字版權管理方法
2023-09-17 12:48:15 1
一種應對非法拷貝的數字版權管理方法
【專利摘要】本發明公開了一種應對非法拷貝的數字版權管理方法,涉及信息安全【技術領域】。本方法是:①內容伺服器對原始數據進行按需加密、打包成經處理的保護文件後掛載至網際網路上供用戶下載;②用戶安裝客戶端軟體;③用戶在用戶終端使用客戶端軟體,若本地驗證通過,則用戶可以在不聯網的情況下使用保護文件;④當本地驗證失敗時,用戶需要進行聯網驗證;⑤本地驗證通過或是聯網驗證通過後,使用原始數據。本發明利用用戶終端的硬體信息生成加密和解密的對稱密鑰來對許可證進行加密和解密,從而實現本地驗證,一經授權,用戶可以在沒有聯網的情況下打開文件;用戶無法不經過聯網重新授權而正常打開,從而有效地應對了非法拷貝。
【專利說明】一種應對非法拷貝的數字版權管理方法
【技術領域】
[0001]本發明涉及信息安全【技術領域】,尤其涉及一種應對非法拷貝的數字版權管理方法。
【背景技術】
[0002]數字版權管理(Digital Rights Management,簡稱DRM)是指內容出版者為了控制數字內容的使用權和保護數字文件的版權,基於信息安全技術採取的綜合性解決方案。隨著Internet的飛速發展和流媒體壓縮技術的提高,各種數字文件在網絡中被廣泛、隨意地分發,使內容出版商蒙受了巨大的損失。因此,確保數字文件合法使用和傳播顯得尤為重要。
[0003]數字文件作為商品被用戶購買後,我們很難控制其不被複製和傳播,因為無法實現數字文件與用戶的直接捆綁,用戶的信息(用戶名、密碼等)如許多實物商品一樣可供除購買人以外其他的人使用,為此,我們應該另外尋找一種實質的綁定關係來將不可直接捆綁的數字文件與用戶聯繫在一起,從而加強對版權的管理。
[0004]在傳統DRM的工作流程中,用戶在打開數字文件前必須先獲得對應的許可證,通過合法的許可證,用戶才能正常打開數字文件。其中,部分DRM方法要求用戶每次打開數字文件前都要通過網絡進行驗證以獲得許可證,且使用後立刻對許可證進行銷毀;而另一部分DRM方法只要求在第一次使用數字文件時獲取許可證,獲取後將許可證以文件形式進行保存,往後使用數字文件時直接從文件讀取。前一類DRM方法可以很安全、很方便地實現對許可證的管理,但一旦用戶不能聯網便不能使用受保護的數字文件,同時授權伺服器的負擔也十分繁重;後一類DRM方法允許用戶能夠在離線狀態下使用受保護的數字文件,很好地提升了戶體驗,但許可證的管理成為了新的問題,一旦許可證與數字文件一同被拷貝和傳播,就會使得其他未授權的用戶也能使用數字文件。所以,儘可能地提升靈活性和可靠性是後續DRM方法所不能忽視的關鍵。
【發明內容】
[0005]本發明的目的就在於克服現有技術存在的缺點和不足,提供一種應對非法拷貝的數字版權管理方法。
[0006]本發明的目的是這樣實現的:
一種應對非法拷貝的數字版權管理方法(簡稱方法)
本方法包括下列步驟:
①內容伺服器對原始數據進行按需加密、打包成經處理的保護文件後掛載至網際網路上供用戶下載,同時,內容伺服器將保護文件的產品信息、權利信息和密鑰發送至授權伺服器,由其存入資料庫;
②用戶安裝客戶端軟體,並通過網際網路下載或是從其他設備上拷貝內容伺服器發布的保護文件至用戶終端上; ③用戶在用戶終端使用客戶端軟體打開保護文件時,客戶端軟體內DRM控制器首先對保護文件進行本地驗證,若本地驗證通過,則用戶可以在不聯網的情況下使用保護文件;
④當本地驗證失敗時,用戶需要進行聯網驗證,否則不能使用保護文件,當本地驗證成功的用戶想獲得更多保護文件的使用權限時,也需要進行聯網驗證;
⑤本地驗證通過或是聯網驗證通過後,DRM控制器根據初始權利和許可證當前的狀態提取保護文件內的原始數據,根據初始權利和許可證包含的權利信息約束內置應用程式使用原始數據。
[0007]本發明具有下列優點和積極效果:
①利用用戶終端的硬體信息生成加密和解密的對稱密鑰來對許可證進行加密和解密,從而實現本地驗證,一經授權,用戶可以在沒有聯網的情況下打開文件;
②用戶即使將攜有合法許可證的保護文件拷貝到其他設備上,也無法不經過聯網重新授權而正常打開(在同終端上自由拷貝不在此列),從而有效地應對了非法拷貝。
【專利附圖】
【附圖說明】
[0008]圖1是數字版權管理系統的結構方框圖;
10—用戶終端,
11一保護文件數據包,
12—客戶端軟體,
121一DRM控制器,122—內置應用程式,123—許可證數據包;
20—內容伺服器
21—內容倉庫,22—廣品{目息庫, 23 —DRM打包器;
30—授權伺服器,
31 一權利資料庫,32—密鑰和產品資料庫,
33 — DRM許可證發生器,34—用戶資料庫。
[0009]圖2是元數據的結構方框圖;
圖3是本地驗證流程圖;
圖4是聯網驗證流程圖。
【具體實施方式】
[0010]下面結合附圖和實施例詳細說明:
一、系統
1、總體
如圖1,本系統包括相互連接的用戶終端10、內容伺服器20和授權伺服器30 ;
本系統的工作機理:
內容伺服器20負責生成保護文件和設定保護文件的初始權利;用戶終端10從內容伺服器20獲取保護文件;內容伺服器20將產品信息、權利信息和密鑰發送給授權伺服器30,由其保存;內容伺服器20通過網絡向授權伺服器30發送授權申請,授權伺服器30經驗證後向用戶終端10授予許可證。
[0011]2、功能塊 I)用戶終端10
用戶終端10是用戶使用保護文件的硬體設備,主要包括各類可攜式電子產品,如:電腦、手機、iPOD (蘋果公司的音樂播放器產品)和iPAD (蘋果公司的平板電腦產品)等。
[0012]用戶終端10包括保護文件數據包11和客戶端軟體12 ;客戶端軟體12包括DRM控制器121、內置應用程式122和許可證數據包123 ;
保護文件數據包11由元數據和經加密的原始數據打包而成,內置應用程式122用來打開和使用保護文件內的原始數據;
如圖2,元數據201由授權地址202、初始權利203、許可證204和產品信息205四部分的數據構成,許可證又由哈希驗證碼206、權利207和密鑰208構成。
[0013]2)內容伺服器20
內容伺服器20是對數字內容進行加密和打包生成保護文件的場所。
[0014]內容伺服器20包括內容倉庫21、產品信息庫22和DRM打包器23 ;
內容倉庫21和產品信息庫22分別與DRM打包器23連接。
[0015]3)授權伺服器30
授權伺服器30,又稱許可證伺服器,主要負責對用戶身份的驗證以及數字內容使用許可證的生成和分發。
[0016]授權伺服器30包括權利資料庫31、密鑰和產品資料庫32、DRM許可證發生器33和用戶資料庫34;
權利資料庫31、密鑰和產品資料庫32和用戶資料庫34分別與DRM許可證發生器33連接。
[0017]二、本方法的具體實施步驟
1、所述步驟①細分為以下步驟:
A、內容提供商將元數據與原始內容文件,記為Filel,上傳至內容伺服器,元數據中的許可證欄位全用空字符填充,初始權利欄位則根據實際情況填充,若保護文件允許用戶免費擁有部分權限,則初始權利欄位記錄免費使用的權限,否則,初始權利欄位也用空字符填充;
B、內容伺服器按照元數據中的初始權利對Filel進行加密,可供用戶免費使用或瀏覽的部分不加密,其餘部分全部加密,若初始權利欄位為空則對原始內容文件全部加密,加密使用的密鑰和解密密鑰由內容伺服器臨時生成;
C、內容伺服器中的DRM打包器將元數據和Filel進行打包,同時,將權利要求、解密密鑰與產品信息發送至授權伺服器,存入授權伺服器的資料庫中;
D、內容伺服器將打包好的保護文件,記為File2,掛載至網際網路上供用戶自由下載;
E、內容伺服器將保護文件File2的產品信息、權利信息和密鑰發送至授權伺服器,由其存入資料庫,供用戶聯網驗證時使用。
[0018]2、如圖3,所述步驟③細分為以下步驟:
本地驗證開始301 ;
a、DRM控制器讀取保護文件File2頭部的元數據欄位302;
b、判斷元數據中的許可證欄位是否為存在303,是則進入步驟C,否則跳轉到步驟g; 許可證欄位存在則意味著File2尚未經歷過聯網授權,否則表明File2此刻存在許可 證;
C、DRM控制器提取用戶終端的硬體信息,並根據硬體信息通過函數KeyGeneration來計算許可證的對稱密鑰,同時,DRM控制器根據硬體信息通過函數ConputeHash計算哈希值H 304 ;
d、DRM控制器讀取許可證欄位,此時讀取的許可證信息處於加密狀態,不能直接獲取到許可證的內部信息,於是先用對讀取出的許可證欄位進行解密,得到許可證的明文,然後用檢測哈希值H與解密後的許可證欄位中的哈希驗證碼是否相等的方式來判斷許可證是否合法305 ;
e、判斷許可證是否合法306,是則進入步驟f,否則跳轉到步驟g;
哈希值H與解密後的許可證欄位中的哈希驗證碼相等,則表明File2中的許可證確實是該用戶終端通過聯網驗證由授權伺服器發布的合法的許可證,否則意味著保護文件File2是從其他設備拷貝而來,其內包含的許可證是不合法的;
f> DRM控制器提取保護文件File2元數據中的初始權利欄位307,步驟⑤中會根據初始權利的有無來提取保護文件中的原始數據,至此,本地驗證成功,且無需再進行聯網驗證308,本地驗證結束313 ;
g、DRM控制器提取保護文件File2元數據中的初始權利欄位309;
h、判斷初始權利是否存在310,是則本地驗證成功,但用戶若想獲得更多權限則還是需要進行聯網驗證311,本地驗證結束313 ;
否則本地驗證失敗,需要進一步進行聯網驗證312,表明初始權限存在,同時也表示本地驗證結束313。
[0019]3、如圖4,所述步驟④細分為以下步驟:
聯網驗證開始401 ;
1、DRM控制器讀取保護文件File2元數據中的產品信息、授權地址欄位中的授權伺服器地址和客戶端當前登錄用戶的用戶信息,並提取用戶終端的硬體信息,然後向授權伺服器發送授權申請402:11、授權伺服器檢測用戶是否購買了保護文件File2在該用戶終端上的使用權403;
II1、判斷用戶是否購買權限404,是則進入步驟IV,否則跳轉至步驟VDI;
IV、授權伺服器根據用戶在終端上使用保護文件File2的使用權限和原始內容文件Filel的解密密鑰生成許可證405:
V、授權伺服器根據用戶終端的硬體信息通過函數KeyGeneration計算許可證的對稱密鑰,並用密鑰對許可證進行加密406 ;
V1、授權伺服器將加密後的許可證發送至客戶端407; νπ、聯網驗證成功408,至此,聯網驗證結束412 ;
珊、授權伺服器通過客戶端提示用戶購買權限409 ;
IX、判斷用戶是否購買權限410,是則跳轉至步驟IV,否則進入步驟X;
X、授權伺服器拒絕授權,聯網驗證失敗,至此,聯網驗證結束412。
[0020]4、所述步驟⑤細分為以下步驟:
I)本地驗證和聯網驗證其中一個通過後,DRM控制器根據內置應用程式的請求和當前初始權利和許可證的狀態提取原始數據明文和權利信息,初始權利和許可證可能的狀態有如下3種:
狀態1:初始權利信息不存在,許可證存在且合法;
狀態2:初始權利信息存在,許可證不存在或是雖然存在但不合法;
狀態3:初始權利信息存在,許可證也存在且合法;
當初始權利和許可證的狀態為狀態I時:DRM控制器先用對稱密鑰對許可證進行解密,獲取許可證中的權利信息和原始數據的解密密鑰,再根據內置應用程式的請求用密鑰對原始數據中對應的密文部分進行解密從而獲得原始數據的明文信息;
當初始權利和許可證的狀態為狀態2時:DRM控制器提取初始權利信息,根據初始權利信息記錄未加密的原始數據區域,然後依內置應用程式的請求直接提取未加密的原始數據明文,若內置應用程式請求的原始內容超出記錄的區域,則拒絕提供數據並提示用戶購買相應權限;
當初始權利和許可證的狀態為狀態3時:DRM控制器首先提取初始權利信息,並根據初始權利信息記錄未加密的原始數據區域,其次,DRM控制器用對稱密鑰對許可證進行解密,獲取許可證中的權利信息和原始數據的解密密鑰,最後,DRM控制器根據內置應用程式當前所需要的原始數據判斷該區域內的原始數據是否處於加密狀態,若屬於所記錄的未加密的區域,則直接提取,否則先用密鑰對所需原始數據部分進行解密再提取解密出的原始數據明文;
2)DRM控制器將提取出的原始數據明文傳輸給內置應用程式供其使用和操作,同時,DRM控制器根據初始權利和許可證包含的權利信息約束內置應用程式對原始數據操作。
【權利要求】
1.一種應對非法拷貝的數字版權管理方法,其特徵在於: ①內容伺服器對原始數據進行按需加密、打包成經處理的保護文件後掛載至網際網路上供用戶下載,同時,內容伺服器將保護文件的產品信息、權利信息和密鑰發送至授權伺服器,由其存入資料庫; ②用戶安裝客戶端軟體,並通過網際網路下載或是從其他設備上拷貝內容伺服器發布的保護文件至用戶終端上; ③用戶在用戶終端使用客戶端軟體打開保護文件時,客戶端軟體內DRM控制器首先對保護文件進行本地驗證,若本地驗證通過,則用戶可以在不聯網的情況下使用保護文件; ④當本地驗證失敗時,用戶需要進行聯網驗證,否則不能使用保護文件,當本地驗證成功的用戶想獲得更多保護文件的使用權限時,也需要進行聯網驗證; ⑤本地驗證通過或是聯網驗證通過後,DRM控制器根據初始權利和許可證當前的狀態提取保護文件內的原始數據,根據初始權利和許可證包含的權利信息約束內置應用程式使用原始數據。
2.按權利要求1所述的一種應對非法拷貝的數字版權管理方法,其特徵在於所述步驟①細分為以下步驟: A、內容提供商將元數據與原始內容文件,記為Filel,上傳至內容伺服器,元數據中的許可證欄位全用空字符填充,初始權利欄位則根據實際情況填充,若保護文件允許用戶免費擁有部分權限,則初始 權利欄位記錄免費使用的權限,否則,初始權利欄位也用空字符填充; B、內容伺服器按照元數據中的初始權利對Filel進行加密,可供用戶免費使用或瀏覽的部分不加密,其餘部分全部加密,若初始權利欄位為空則對原始內容文件全部加密,加密使用的密鑰和解密密鑰由內容伺服器臨時生成; C、內容伺服器中的DRM打包器將元數據和Filel進行打包,同時,將權利要求、解密密鑰與產品信息發送至授權伺服器,存入授權伺服器的資料庫中; D、內容伺服器將打包好的保護文件,記為File2,掛載至網際網路上供用戶自由下載; E、內容伺服器將保護文件File2的產品信息、權利信息和密鑰發送至授權伺服器,由其存入資料庫,供用戶聯網驗證時使用。
3.按權利要求1所述的一種應對非法拷貝的數字版權管理方法,其特徵在於所述步驟③細分為以下步驟: 本地驗證開始(301); a、DRM控制器讀取保護文件File2頭部的元數據欄位(302 ); b、判斷元數據中的許可證欄位是否為存在(303),是則進入步驟C,否則跳轉到步驟g; 許可證欄位存在則意味著File2尚未經歷過聯網授權,否則表明File2此刻存在許可證; C、DRM控制器提取用戶終端的硬體信息,並根據硬體信息通過函數KeyGeneration來計算許可證的對稱密鑰,同時,DRM控制器根據硬體信息通過函數ConputeHash計算哈希值H (304); d、DRM控制器讀取許可證欄位,此時讀取的許可證信息處於加密狀態,不能直接獲取到許可證的內部信息,於是先用對讀取出的許可證欄位進行解密,得到許可證的明文,然後用檢測哈希值H與解密後的許可證欄位中的哈希驗證碼是否相等的方式來判斷許可證是否合法(305); e、 判斷許可證是否合法(306),是則進入步驟f,否則跳轉到步驟g; 哈希值H與解密後的許可證欄位中的哈希驗證碼相等,則表明File2中的許可證確實是該用戶終端通過聯網驗證由授權伺服器發布的合法的許可證,否則意味著保護文件File2是從其他設備拷貝而來,其內包含的許可證是不合法的; f、DRM控制器提取保護文件File2元數據中的初始權利欄位(307),步驟⑤中會根據初始權利的有無來提取保護文件中的原始數據,至此,本地驗證成功,且無需再進行聯網驗證(308),本地驗證結束(313); g、DRM控制器提取保護文件File2元數據中的初始權利欄位(309); h、判斷初始權利是否存在(310),是則本地驗證成功,但用戶若想獲得更多權限則還是需要進行聯網驗證(311),本地驗證結束(313); 否則本地驗證失敗,需要進一步進行聯網驗證(312),表明初始權限存在,同時也表示本地驗證結束(313)。
4.按權利要求1所述的一種應對非法拷貝的數字版權管理方法,其特徵在於所述步驟④細分為以下步驟: 聯網驗證開始(401); 1、DRM控制器讀取保護文件File2元數據中的產品信息、授權地址欄位中的授權伺服器地址和客戶端當前登錄用戶的用戶信息,並提取用戶終端的硬體信息,然後向授權伺服器發送授權申請(402):11、授權伺服器檢測用戶是否購買了保護文件File2在該用戶終端上的使用權(403); II1、判斷用戶是否購買權限(404),是則進入步驟IV,否則跳轉至步驟VDI; IV、授權伺服器根據用戶在終端上使用保護文件File2的使用權限和原始內容文件Filel的解密密鑰生成許可證(405): V、授權伺服器根據用戶終端的硬體信息通過函數KeyGeneration計算許可證的對稱密鑰,並用密鑰對許可證進行加密(406); V1、授權伺服器將加密後的許可證發送至客戶端(407); νπ、聯網驗證成功(408),至此,聯網驗證結束(412); 珊、授權伺服器通過客戶端提示用戶購買權限(409); IX、判斷用戶是否購買權限(410),是則跳轉至步驟IV,否則進入步驟X; X、授權伺服器拒絕授權,聯網驗證失敗,至此,聯網驗證結束(412)。
5.按權利要求1所述的一種應對非法拷貝的數字版權管理方法,其特徵在於所述步驟⑤細分為以下步驟: I)本地驗證和聯網驗證其中一個通過後,DRM控制器根據內置應用程式的請求和當前初始權利和許可證的狀態提取原始數據明文和權利信息,初始權利和許可證可能的狀態有如下3種: 狀態1:初始權利信息不存在,許可證存在且合法; 狀態2:初始權利信息存在,許可證不存在或是雖然存在但不合法; 狀態3:初始權利信息存在,許可證也存在且合法;當初始權利和許可證的狀態為狀態I時:DRM控制器先用對稱密鑰對許可證進行解密,獲取許可證中的權利信息和原始數據的解密密鑰,再根據內置應用程式的請求用密鑰對原始數據中對應的密文部分進行解密從而獲得原始數據的明文信息; 當初始權利和許可證的狀態為狀態2時:DRM控制器提取初始權利信息,根據初始權利信息記錄未加密的原始數據區域,然後依內置應用程式的請求直接提取未加密的原始數據明文,若內置應用程式請求的原始內容超出記錄的區域,則拒絕提供數據並提示用戶購買相應權限; 當初始權利和許可證的狀態為狀態3時:DRM控制器首先提取初始權利信息,並根據初始權利信息記錄未加密的原始數據區域,其次,DRM控制器用對稱密鑰對許可證進行解密,獲取許可證中的權利信息和原始數據的解密密鑰,最後,DRM控制器根據內置應用程式當前所需要的原始數據判斷該區域內的原始數據是否處於加密狀態,若屬於所記錄的未加密的區域,則直接提取,否則先用密鑰對所需原始數據部分進行解密再提取解密出的原始數據明文; 2)DRM控制器將提取出的原始數據明文傳輸給內置應用程式供其使用和操作,同時,DRM控制器根據初始權利和許可證包含的權利信息約束內置應用程式對原始數據操作。
【文檔編號】G06F21/10GK103971033SQ201410219153
【公開日】2014年8月6日 申請日期:2014年5月23日 優先權日:2014年5月23日
【發明者】郭亞軍, 蔣鵬, 張維, 馬慶, 宋建華, 朱欣欣, 汪見晗, 王唯 申請人:武漢華亞興通信息技術有限公司