VOD中可扩展DRM的分析与设计

VOD中可扩展DRM的分析与设计摘要：VOD由于其灵活性和方便性日益得到广泛的应用，但是节目内容容易被非法复制和传播。本文通过对DRM技术的研究，在VOD中集成了一种可扩展的DRM模型。实际应用表明，该模型不仅能够获得良好的安全性，而且还具有良好的实用性和可扩展性。关键词：视频点播；数字版权管理；身份认证AnalysisandDesignofScalableDRMinVODYANGGe-Lan1,LIUKang-Zhen2,ZHANGJie-Liang3,XIAOHe-Ping3(1.ComputerDepartment,HunanCityUniversity,Yiyang,413049,China;2.HunanInstituteoftheHumanities,ScienceandTechnology,Loudi,417000,China;3.SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha,410073,China)Abstract:VODsystembecomesmoreandmorepopularduetoitsflexibilityandconvenience,butitsprogramispronetobecopiedanddiffusedillegally.ThroughresearchingontheDRMtechnology,thispaperincorporatesascalableDRMsysteminVOD.Bypracticalapplication,ThisDRMmodelnotonlyhasgoodsecurity,butalsohasgoodpracticabilityandscalability.Keywords:videoondemand;digitalrightsmanagement;identitycertification0引言目前，VOD（VideoOnDemand）在各行各业中获得了广泛的应用，不仅仅在商业领域，而且在政府、军事、情报、教育等部门也获得了广泛的应用，内容也不只局限于娱乐，在教育、情报、资料方面也存在大量的应用。因此，对其节目源的防护提出了更高的要求，能够防止用户非法观看、下载、复制或者分发节目内容。数字版权管理（DRM）技术正是为实现这种目的而设计的系统，它可以有效地防止节目源被非法观看、下载、复制和分发。但是，一般的DRM系统没有考虑可扩展性问题，只是集成了一种或者多种认证方式，如果要加入新的认证方式，则需要对DRM系统彻底重写。本文讨论了VOD系统中的DRM模型，并且设计了一种可扩展的DRM系统，从而无须修改DRM系统，只需提供一个插件就可以对DRM系统增加新的认证方式。1DRM技术概述DRM即数字版权管理，是指在网络及数字化环境下，借助加密与封装技术、PKI（公钥基础设施）认证、权限管理技术等，使数字内容的权利主体获得对其客体的控制权，从而防止非授权使用，保护权利所有人利益的一种综合性技术体制[1]。DRM技术包括以下内容：数字内容的加密、数字内容的管理和数字内容的使用。DRM技术的关键点有二：一是直接对数字内容加密，而非仅仅对传输信道加密或进行简单的身份验证，这样就使得数字内容始终处于受保护的状态；二是采用数字权利描述语言（DREL）与特定的客户端软件结合，来描述、限定用户对数字内容的操作权限[1]。数字版权保护方法主要有两类[2-4]，一类是采用数字水印技术；另一类是以数据加密为核心的防拷贝技术。（1）数字水印技术数字水印（Digitalwatermark）技术是在数字内容中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测工具才能提取：数字水印可以用于图片、音乐和电影的版权保护，在基本不损害原作品质量的情况下，把著作权信息隐藏在图片、音乐或电影中，而产生的变化通过人的视觉或听觉是发现不了的。但是，目前市场上的数字水印产品在技术上还不成熟，容易被破坏或破解，而且这种方法，只能在发现盗版后用于取证，不能在事前防止盗版。（2）数据加密为核心的防拷贝技术数据加密为核心的防拷贝技术，是把数字内容进行加密，只有授权用户才能得到解密的密钥，而且密钥是与用户的硬件信息绑定的。加密技术加上硬件绑定技术，防止了非法拷贝，这种技术能有效地达到版权保护的目的。当前国内外大部分计算机公司的DRM技术采用这种方法。就加密技术而言，DRM一般采用对称加密算法来对数字内容进行加密，而用非对称加密算法传递用于加密数字内容的对称密钥。2VOD系统DRM模型设计在对VOD系统和DRM技术深入研究的基础上，我们在VOD系统中设计了一个灵活、安全的数字版权管理系统，涉及了从节目内容打包、分发，到请求License、播放节目内容的整个过程。2.1系统模型在VOD中，DRM系统负责对VOD中的节目内容进行加密和打包，然后存储在视频服务器中，由分发服务器进行发布。用户要收看节目，必须先经过系统进行身份认证并得到解密密钥后才能正常收看节目，其系统模型如图1所示，主要包括以下几个组成部分：HeaderMediaContentpackageControllerKeyRightidentifierRender用户端ContentIdentityLicensegeneratorLicense服务器视频服务器节目制作服务器打包器分发服务器节目源图1VOD系统DRM框架模型（1）节目制作服务器：将无保护的节目内容制作成有DRM保护的节目内容，为节目内容准备相应的元数据（metadata）文件，然后将节目内容存储到视频服务器上，在分发服务器上指定节目信息，并将密钥和元数据文件中的信息存入License服务器；（2）视频服务器：存储加密后的节目内容，负责节目内容的发送，视频服务器接受分发服务器的调度，向用户端发送节目内容；（3）分发服务器：负责节目内容的管理和视频服用器的调度管理，分发服务器接受用户端的请求，调度视频服务器向用户端发送节目内容；（4）License服务器：负责用户注册、用户身份验证、根据用户的请求发放license；（5）用户端：集成了下载、解密、播放等功能的多媒体终端。2.2用户请求处理流程在该模型中，用户请求节目的具体处理流程为：（1）用户向分发服务器请求节目；（2）DRM客户端判断节目内容是不是受保护的：如果节目内容是公开的，则直接转至第（7）步，否则继续下一步；（3）DRM客户端发送认证请求：如果本地已经拥有合适的license，则转至第（7）步，否则DRM客户端向License服务器发送一个请求；（4）License服务器通过用户使用的认证方式进行用户身份认证，从而确认用户的合法性；（5）License服务器搜寻用户请求节目的权限信息；（6）License服务器把权限信息和流媒体的解密密钥发送给客户端；（7）分发服务器定位到视频服务器，视频服务器开始向用户端发送请求的节目内容；（8）客户端用收到的（或者已有的）license中包含的密钥对节目内容进行解密（或者不用解密），从而开始收看节目。2.3认证/解密流程节目内容的保护过程如图2所示。用户端Header加密的会话密钥加密的帧密钥Media帧密钥节目内容会话密钥帧密钥主密钥会话密钥用户密钥License服务器视频服务器图2节目内容的保护过程用户从视频服务器上读取的节目内容（包括Header和Media），在本地完成认证和解密后，节目内容才能进行播放，以保证只有授权用户以播放媒体。解密流程如下：（1）用户获得节目文件后，用户终端的DRM控制器从Header部分查找到主密钥；（2）DRM控制器使用主密钥和设备所存储的用户密钥一起。将Header中包含的会话密钥解开，完成客户身份验证的过程；（3）DRM控制器用会话密钥解开帧密钥；（4）DRM控制器用帧密钥解开加密的节目内容。3可扩展性设计3.1可扩展概述可扩展的DRM系统意味着DRM不必考虑具体认证技术的复杂性，能够方便地采用新的认证技术，而且系统还不必重新进行设计，只需为具体的认证技术提供一个相应的插件就能够完成DRM的扩展。为了实现可扩展的DRM系统，我们采用了ProviderModel设计模式[5,6]。ProviderModel模式是一种实现可扩展性的设计模式，该模式无需更改核心代码即可完成核心功能的替换，为应用程序提供可扩展性和灵活性设计。3.2模型设计在该系统中，License服务器是系统的关键所在，License服务器负责用户注册、用户身份验证、根据用户的请求发放license。下面我们以发放license身份认证为例探讨DRM的可扩展性设计。目前，身份认证技术多种多样，例如用户口令核对、硬件唯一标志、智能卡和指纹识别等，有效利用这些技术的关键是提供一个灵活、可扩展的身份认证模型。其模型如图3所示。应用程序认证核心层APISPIASP1ASP4ASP3ASP2图3身份认证模型我们将身份认证模块设计成一个两层的系统：系统向应用程序开放API接口，应用程序调用API时指定相应的策略，由认证核心层调用相应的认证服务提供者（ASP）完成认证，认证服务层提供身份认证的细节和实施具体的认证过程。在该模型中，应用程序不必关心具体认证技术的复杂性，因此能方便地采用新的认证技术。API接口向上层应用提供一个统一的接口，隐藏了认证服务提供者（ASP）的细节。SPI接口是认证服务提供者需要实现的接口。认证核心层提供了“信使”服务，接收上层请求，调用特定的ASP。这四个模块是相互独立的，每一个模块都有一个唯一的ID来标志该认证技术。4实现中的关键方面本文针对DRM技术只给出了原理性的基本框架，在VOD系统中根据实际问题设计DRM时，我们还应该注意以下几个关键方面：（1）可靠性：对于控制信息采用双向控制通道传输，采用TCP连接完成；（2）及时性：对于节目内容采用单向的数据通道，采用RTP/RTCP协议传输，保证节目传输的及时；（3）透明性：采用DRM技术不能影响节目的正常播放，所有活动都需要自动进行，及时完成；（4）完整性：远程播放节目内容需要考虑缓冲、网络丢包等情况，保证节目播放的流畅、完整；（5）有效性：即权限表达的有效性，既能完整表示权限，又能得到有效的处理；（6）安全性：根据实际应用环境，结合需求，选择合理的加密机制。5结束语DRM技术是一门综合技术，它融合了数字签名技术、加密/解密技术、密钥管理技术等与信息安全相关的技术。基于DRM技术的VOD系统可以为节目内容提供信息安全保障，本文探讨的方案有效地解决了节目内容的非法使用和传播问题，避免了敏感信息的泄密。与其他方案相比，具有效率高、易用、易扩展的特点。随着网络技术和VOD技术的深入发展，特别是VOD系统的应用日益广泛，DRM技术必定会在其中得到广泛深入的应用。参考文献[1].张晓林.数字权益管理技术[J].现代图书情报技术,2003,(5)[2].方言.数字版权管理技术（DRM）在网络出版中的应用[J].出版与印刷,2004.02.[3].MandalP,ThakralA,VermaS.Watermarkbaseddigitalrightsmanagement[C].ProceedingsoftheInternationalConferenceonInformationTechnology:CodingandComputing(ITCC’05).2005.[4].LinET,EskiciogluAM,LagendijkRL,eta1.Advancesindigitalvideocontentprotection[J].ProceedingsoftheIEEE,2005,93(1).[5].PopescuBC.ADRMSecurityArchitectureforHomeNetworks.ComputerBasedLearningUnit.UniversityofLeeds,2004.09.[6].ShaunWalker,JoeBrinkman,B