三未信安DRM系统白皮书V13.docx
《三未信安DRM系统白皮书V13.docx》由会员分享,可在线阅读,更多相关《三未信安DRM系统白皮书V13.docx(17页珍藏版)》请在冰豆网上搜索。
三未信安DRM系统白皮书V13
三未信安数字版权管理系统
技术白皮书V1.3
北京三未信安科技发展有限公司
1、前言
1.1应用背景
随着互联网的发展,图书、音乐、电影、图片等数字内容在互联网上的传播日益广泛,这一方面方便了数字内容产品的传播,另一方面,由于数字内容很容易被复制和修改,网上传播的数字内容存在大量的盗版和侵权问题。
盗版侵犯了作者、产品经销商的利益,给网络出版业的发展带来巨大阻力。
在这种情况下,数字版权管理(DRM:
DataRightsManagement)技术应运而生。
数字版权管理技术的原理是:
使用加密、以及密钥的管理分发等技术,对数字产品在分发、传输和使用等各个环节进行控制,使得数字产品只能被授权使用的人、按照授权的方式、在授权使用的期限内使用。
网络数字内容产品的使用依赖于网络终端上的软件,过去,在PC机平台上的主流终端软件厂商如Microsoft、RealNetworks、Adobe、Apple等公司都有基于自己产品的数字版权管理系统解决方案,没有统一的标准。
近年来,随着3G等无线移动网络技术的发展,移动互联网成为互联网越来越重要的组成部分,无所不到的覆盖性使得移动无线网络比有线网络更有吸引力。
当前出现了各种各样的移动设备,如手机、PDA、电子阅读器、平板电脑等,虽然形态不一,但它们的共同特点是携带方便、支持无线网络、采用嵌入式操作系统,嵌入式设备和PC机比较,实施DRM系统有更高的安全性,因此移动DRM更有生命力。
目前,国际上针对移动DRM开展了大量的研究工作,其中,OMA(OpenMobileAlliance开放移动联盟)制定的DRM标准得到了广泛的支持和认同。
北京三未信安科技发展有限公司技术团队长期从事密码技术研究和密码产品研制,一直追踪OMADRM相关标准的制定过程,并率先在国内推出了支持最新的OMADRM2.1标准的数字版权管理系统软件。
1.2名词解释
在本文档采用了一些业内通用的术语和缩写,列表如下:
词汇和缩写
解释
PKI
PublicKeyInfrastructure:
公开密钥基础设施
OMA
OpenMobileAlliance:
开放移动联盟
DRM
DataRightsManagement:
数字版权管理
ROAP
RightsObjectacquisitionprotocol:
权利对象获取协议
DCF
DRMContentFormat:
DRM内容封装格式
REL
DRMRightsExpressionLanguage:
权利对象表述语言
CO
ContentObject:
数字媒体内容
RO
RightsObject:
权利对象
CI
ContentIssuer:
内容发布者
RI
RightsIssuer:
数字版权发布者
SDKEY
SD密码卡,是基于手机SD接口的智能密码钥匙
2、数字版权管理技术概述
数字版权管理技术,简称DRM技术,是随着数字图书和音视频节目在互联网上的广泛传播而发展起来的一种新技术。
DRM技术首先在互联网音视频节目传播上得到应用并逐步扩展到其他固定和移动数据业务领域。
应用DRM技术的目的是保护数字内容的版权,从技术上防止对数字内容的非法使用或复制,或在一定程度上提高非法使用的技术门槛,使侵权行为变得非常困难。
DRM提供了对数字内容进行权限授予控制和运营管理的能力,使得数字内容相关权益方能通过对数字内容定义不同的使用权限、不同权限对应不同的商业价格而获取收益。
其基本的工作原理是建立数字内容版权授权中心,将文档、音频、视频等文件进行加密编码处理,并将密钥信息存放在专门的版权授权服务中心;当用户使用这些加密的文件时,应用软件会根据其包含在头文件中的密钥标识等有关属性自动链接到版权授权中心获取相应的版权证书;只有通过授权中心的验证并获得授权,才能使用这些文件,从而严密有效的保护了这些数字产品的版权和使用权限。
基于对DRM重要性的关注,全球许多标准组织和厂商纷纷独立或联合进行了DRM技术研究,推出了各自的技术标准。
开放移动联盟(OMA)是一个由世界范围内移动通信业的400多个成员组成的独立组织,在开发全球DRM标准的工作中,它起着关键作用。
在2002年11月,OMA发布了OMADRM1.0,这是数字版权管理的首个开放式标准。
为了保证DRM的安全性,OMA组织在2004年7月,又发布了OMADRM2.0。
在1.0的基础上,OMADRM2.0中引人了以公钥体系为基础的安全机制,提供了更为安全的DRM管理体系,陆续发布了DRM2.0和DRM2.1。
OMADRM2.1是目前业界最成熟、参与者最多、影响力最大的主流DRM标准。
2.1OMADRM2.1组成部分
OMADRM2.1的安全架构主要由公共密钥基础设施PKI系统、权利对象获取协议(ROAP),DRM内容格式(DCF)、权利对象表述语言(REL)四个部分构成。
各个部分在实现DRM系统中起着不同的作用。
●公开密钥PKI系统:
是数字证书的产生、使用、安全通信协议的构成等的集合。
作为安全基础设施平台,是整个体系安全有效运行的基础,它渗透进其它模块,实现安全的身份认证、数据加解密、数据的完整性校验等功能。
●权利对象获取协议(ROAP):
安全获得版权对象的一整套安全协议。
该协议包含两个层次,一是在注册交互过程中,按照公钥交换体系,交互双方的公钥,为采用公钥加密传输版权对象作准备,另一部分是简单的请求应答协议设计,主要目的就是将相关的版权对象下载到本地。
●数字内容封装部分(DCF):
定义数字内容的封装格式和一些与使用相关的头信息。
●版权描述语言部分(REL):
定义对数字内容使用的限制许可信息和对应的密钥信息等。
2.2OMADRM2.1安全模型
OMADRM2.1详细定义权利对象的安全模型,该安全模型首先确认了数字媒体内容(CO)和权利对象(RO)的安全,因为它们都被加密。
如果用户要使用CO,就必须获得相对应的RO。
RO中包含了解密数字媒体内容所需要的密钥。
分发权利对象的过程,OMADRM安全模型则采用了以PKI为基础的ROAP协议。
在该协议中,版权发行者(RI)和使用RO的设备经过相互认证,从而保证应用设备的合法性,在版权对象的传输过程中也采用标准的公钥加密传输体系,因此保证RO不能被非法的使用和传播。
OMADRM2.1的安全模型显示了数字版权管理中数字媒体对象和版权对象安全保护的全过程。
第一步:
内容提供商(CI)对没有被DRM系统保护的数字媒体(文档、音视频文件等)进行处理,DRM系统保护的数字媒体不受数字媒体格式的限制。
该过程包含了对数字媒体加密,一般来说采用的加密方法是AES对称加密算法,也可以采用其他加密算法。
处理之后,没有受DRM系统保护的数字媒体转化为DRM内容格式(DCF)的DRM对象(CO)。
此过程中密钥Key不会同CO一起下载到客户端,而是将其写人该CO对应的权利对象(RO)。
CO的完整性保护,采用标准的HASH算法进行鉴别。
第二步:
客户端设备下载权利对象(RO)。
RO由版权对象发行者(RI)产生并管理,权利对象包括密钥key,CO的使用权限(可读、播放、执行)、CO的使用限制(时间,次数)等信息。
客户端在下载版权对象时,必须与版权对象发行者进行相互验证,该验证过程采用ROAP协议,该协议基于标准公钥验证方式。
相互验证成功之后,版权发行者在发送权利对象文件之前,采用客户端设备公钥对关键数据进行加密(Key值),并采用HASH算法,对报文进行完整性鉴别,最后采用自己的私钥对该报文进行签名。
客户端收到版权对象文件之后,采用版权发行者的公钥对签名进行鉴别,并采用相同的HASH算法,对报文的完整性进行检查,最后利用自身的私钥对RO中的关键数据进行解密,得到Key值和相应的使用权限和限制信息。
在实际的商业应用中,RO的发放过程就是收取使用费用的阶段。
在OMADRM2.1中,对权利对象的描述语言REL进行大规模的改进,OMADRM2.1将支持更加灵活的商业运营模式。
第三步:
对数字媒体对象进行安全的使用。
完成上述两步操作之后,客户端的应用媒体软件通过DRMAgent就可以获得密钥key,解密CO并进行操作。
同时DRMAgent也会记录下收到的相关权限和限制信息,每当媒体应用软件在使用CO时,DRM客户端会对该CO对应的权限和限制进行检查,并在相应的权利规定范围内,授权媒体应用软件操控CO。
对于整个OMADRM2.1系统来说,加入了PKI设施,整体安全性得到了很大的提高。
2.3OMADRM2.1标准的优势
1)OMADRM是一个开放的标准,并且是一个不断发展完善的标准,其使用局限性小。
而一些特定厂商的私有标准具有一定的局限性,使得数字版权保护应用依赖于私有标准的提供厂商,无论是扩展性还是可替代性都比较差。
2)OMADRM标准开始就是针对互联网应用、特别是移动互联网应用制定的,因此其架构非常适合互联网应用模式,适合互联网的内容发布形式、用户发展模式、以及计费等需求,可以更好地支持手机、电子阅读器、平板电脑等依赖于3G网络的终端应用。
3)OMADRM2.1有很好的可扩展性。
OMADRM提供了一个很好的架构,这个架构可以涵盖许多数字内容格式,并使这些应用在一个系统中共存。
这使得在移动终端中以统一的DRM架构支持多种文档格式、多种音视频格式成为可能。
4)OMADRM2.1有很好的安全性。
其整体架构基于PKI安全信任模型,这是在网络应用中经过验证的、成熟的安全模型。
3、三未信安DRM系统特点
1)支持多种网络终端
融合了有线网络、无线移动网络的互联网中,有微机、手机、电子阅读器、平板电脑等多种终端,三未信安DRM系统通过提供不同平台下的API(应用程序编程接口)接口可以支持多种类型的终端和终端软件。
数字内容、版权文件可以在不同终端间移动。
2)具有良好的可扩展性
本系统设计为电信级应用,是一个平台的架构,从功能模块的组合上是一个开放可扩展的架构,因此可以支持大容量的用户。
系统的扩展性体现在以下几点:
我们采用的数字证书系统是经过了实际应用验证的,可以支持大用户量的成熟系统。
系统中采用了服务器集群,加密机集群,预生成密钥缓冲池,密钥管理和证书签发分离等技术,可以有效地保证支持大量用户。
数据库中保留了资源等级、权限,用户权限,计费等信息,因此数据库也是决定用户量的一个关键点。
本系统支持Oracle大型数据库。
在设计数据库结构时,为将来用户量扩展做好准备,比如在设计数据库时预先考虑了索引和分表、数据库分区等问题,以便为将来的扩展保留空间。
在用户量及数字资源量很大时,版权许可的生成会面临很大的并发压力。
压力主要来自数字证书的处理和密码运算,以及数据库访问。
对于数字证书的处理和密码运算,解决途径是采用高性能加密机以及加密机多机并行。
我们在软件设计中预先为支持加密机多机并行技术保留了扩展空间。
3)版权发放服务器支持多机负载均衡
在版权许可量很大时,版权许可的分发会面临并发处理的压力。
本系统支持通过硬件负载均衡设备,把并发会话分配到多台授权服务器上来完成。
这个过程对用户来讲是透明的,不会影响到用户的使用。
4)基于OMADRM2.1国际标准做了一定的裁剪,以减少复杂度和提高系统效率
系统基于OMADRM2.1的架构使系统基于较高的技术起点,但一套完整的OMADRM2.1技术要求在内容提供商和移动终端之间建立非常安全的通道,其实现比较复杂,这将造成业务开通复杂度及建设成本的上升。
因此,本系统在遵循其基本原则的基础上,在不降低其安全特性的基础上,对标准进行裁剪。
例如OMADRM2.1的版权描述语言(REL)为用户定义了3类12种许可权和8类34种限制,在本系统中用不到这么多,如果全部实现就增加了系统不必要的复杂性和实现代价,并影响运行的效率。
5)各功能模块子系统相对独立,耦合度低
本系统分为内容发布者使用的内容处理子系统、版权发行者使用的认证与授权子系统、网络终端的用户DRM代理子系统,以及设备数字证书管理子系统。
这些系统物理上可以独立、功能上明确、使用者不同,组合起来构成整个DRM系统。
相对独立、耦合度低的设计可以提高系统的健壮性,并方便部署。
6)内容处理子系统适应多种类型内容提供商
本系统作为一个平台,为众多的内容提供商提供电子媒介的版权认证服务。
这些内容提供商有报社、出版社、图书馆、音视频发行公司等,他们需要处理的数字媒介类型不同、面对的消费者用户不同、商务模式也不同。
从数字媒介类型看,有离散的文档(如报社的新闻)、电子书籍、音频文件、视频文件等,这些文件的数据打包格式不同、权限定义不同,内容处理子系统必须能处理这些众多的文件格式。
7)用户终端支持软件数字证书、硬件数字证书两种方式
本系统按照OMADRM2.1的要求以PKI技术为基础构建安全的体系,使用数字证书进行设备、人员的身份识别,用户的私有密钥和数字证书标志了用户的身份,它们在不同终端中的移动可以实现文档对象和版权在不同终端中的移动。
考虑到系统的安全性和成本因素,系统支持硬件和软件数字证书两种方式。
硬件方案采用SDKEY作为用户端的数字证书载体。
SDKEY是支持SD接口、集存储功能和密码运算功能为一体的硬件,可以提供更高的安全级别,也可以作为不同终端之间安全共享数字内容数据的载体。
8)系统支持普通软件算法和国产硬件密码算法,重要数据内容的发行可以使用国产硬件密码算法
按照国家的法规,信息系统中使用的对称密码算法应该是国产密码算法SM1,和国际通用的算法相比,SM1要更高的安全性。
我们的系统同时支持国产的SM1对称算法(硬件)和国际通用的AES算法(软件),对重要文档资料的发布采用SM1算法。
这种设计符合国家的密码政策,使得一些政府机关可以使用电子阅读器、平板电脑、手机等下发内参资料。
在服务器端,我们通过使用密码机支持国产密码算法,在用户端通过使用SDKEY支持国产密码算法。
9)与其他系统独立、接口明晰,这使得本系统可以很容易嵌入已有的网上书城、网上电子商务网站
为了系统维护简单、运行健壮、部署方便,本子系统和其他系统相对独立,没有进程间的通信和交互。
和其他子系统,如网站系统、内部管理信息系统、计费收费系统之间通过标准的WebService接口方式进行通信。
这样接口明晰,没有干扰,一些已有的电子商务平台可以很容易加入本系统,从而实现版权控制、版权收费。
4、典型系统网络架构
系统逻辑结构说明如下:
在本系统中有四类节点:
版权授权中心、内容处理节点、设备证书发放节点、终端设备用户。
版权授权中心的中心,数据库系统、数字证书系统、认证授权系统位于中心机房,中心机房至少有三个网段,分成三个层次,这三个层次分别是外网、非军事区、内部网络,中间通过防火墙分割。
数据库系统作为至关重要的系统位于最内层网络中,为各系统提供数据库支持;认证授权系统、数字证书系统位于非军事区,它们需要被外部网络访问。
内容处理节点位于出版社、图书馆等,这些节点可以有很多,而且随着业务的开展会不断增多。
内容处理系统位于这些节点,并通过VPN网关连接到中心机房的数据库访问服务器,通过其服务代理程序访问中心机房内网中的数据库系统。
这种通过中间件代理的访问方式保证了数据库系统的安全。
设备证书发放节点主要有两种。
第一种针对软件数字证书,这种证书是在阅读器硬件生产时烧录到阅读器硬件中。
而阅读器生产厂商的生产线是不可以连接到公共网络上的。
为处理这种情况,数字证书管理系统提供了成批签发数字的功能,可以一次签发一批数字证书(比如一万个),打包加密以后传送给生产商的生产线接口机。
然后我们为生产线接口机提供提取证书的API接口,供生产线脱机调用。
第二种针对SDKey的硬件数字证书。
电子发行平台中心机房的数字证书系统服务器可以为SDKey硬件签发数字证书,用户可以购买已签发证书的SDKey然后插到终端设备上使用。
第四类节点就是用户的电子阅读器了,它通过移动公司的3G网络连接到电子媒介发布网点下载电子媒体,并通过其DRM代理获版权证书文件(RO),然后进行DRM的认证、权限处理、解密等操作,最终解密出明文内容提供给合法的用户。
4子系统软件功能模块说明
4.1设备数字证书管理子系统
1)系统概述
在数字发行系统中,对用户身份进行认证是业务的基础。
没有用户身份的识别和认证,就无法进行版权、收费、阅读权限等业务的控制。
因此,设备数字证书管理子系统(以下简称数字证书系统)是一个重要的组成部分。
为了提供足够高的安全性,本系统以X.509V3数字证书进行身份认证,证书载体支持软件证书及带PKI芯片的SDKey两种格式。
数字证书系统负责为本系统用户签发数字证书。
2)软件模块结构图
3)模块功能说明
本系统主要包括四大部分:
密钥管理子系统、证书签发子系统、RA子系统、证书导入子系统。
●密钥管理子系统
密钥管理子系统主要解决密钥自产生到最终销毁的整个生命周期中的相关问题。
采用密钥管理中心进行密钥管理,可以为用户提供安全、有效、规范、统一的密钥管理服务,实现用户密钥的生成、存储、保护、恢复、分配、注册、注销和归档,以及对密钥申请的授权和证实、归档密钥的恢复、密钥管理的审计和跟踪、密钥管理系统的访问控制等功能,大大提高密钥管理的安全性和有效性。
●证书/证书黑名单签发子系统
证书签发子系统根据不同的证书模板签发和发布各种证书和证书黑名单。
该子系统会根据不同的请求类型,向KMC申请加密密钥或恢复历史加密密钥。
该系统还负责配置具体的CA运营策略,如签发证书黑名单的周期等。
●RA子系统
完成证书申请的受理,包含RA客户端与RA服务端,RA客户端采用B/S(WEBRA系统)模式。
主要作用为证书发放的审核。
包括处理设备信息的录入、设备信息的审核、证书申请、审核证书注销、证书更新、证书恢复等业务的请求。
同时将请求信息经过SSL通道发送CA中心。
●证书导入子系统
本数字证书系统不同于一般面向用户发证的证书系统,它为电子阅读器设备发证。
考虑到电子阅读器的生产在生产企业内网中完成,我们提供了专门的证书导入工具。
该工具可以完成单个或批量的证书导入。
而且该工具可以导入软证书,也可以导入到SDKey中。
4.2内容处理子系统
1)系统概述
内容提供者(可以是新华社内部,也可以是加盟该平台的其它报社,出版社,书店等)在发布数字内容时,通过内容处理子系统来进行。
其基本的处理流程如下所述。
2)软件模块结构图
3)模块功能说明
内容提供者发布一个(或一批)数字内容时,首先生成一个密钥标识(KeyID),再由加密机内部的硬件随机数发生器产生一个数字内容加解密密钥(Key)。
此密钥是在内容提供服务者和License发放服务器之间共享的秘密。
密钥标识是一个全局唯一标识符。
内容提供者使用生成的Key,调用加密机内的对称加密算法加密数字内容,并把KeyID和用于License分发的互联网地址(URL)置入内容头。
然后把内容头和加密内容一起打包到一个DCF文件中。
对称加密算法可以采用AES或国密局指定的SM1算法。
当用户对安全性要求不高时,可以采用AES算法,采用此算法的好处是客户端可以用软件实现解密。
对于安全性要求高的内容,采用国密局指定的SM1算法。
SM1算法在内容提供者和客户端都需要相应的硬件支持。
考虑到成批发布数字内容时的方便性和效率,本系统提供了模板、批处理等功能:
●模板功能:
模板是一组权限的集合,将文档的不同访问权限赋予不同的人员,这些权限控制的集合保存成一个模板,这样对文档授权时,选择模板,系统自动将一组权限的集合授予文档,方便授权过程中的操作。
●目录功能:
同一目录下的文档享有相同的权限,由权限管理员设定好目录权限后,通过本系统上传到该目录下的文件自动授权。
目录可以是虚拟目录(网页上的栏目)和实际的目录(文件服务器上的共享目录)。
●批处理工具:
将一批文档自动的加密、授权、上载,这批文档自动具有授权模板的权限设置。
4.3版权中心子系统
1)系统概述
版权中心的主要功能是管理所有数字资源的密钥、密级信息,所有用户的基本信息及权限,权限的应用规则,计费信息,并根据这些信息来根据用户请求进行许可证的发放。
重点在于许可证发放过程中的安全问题。
对许可证信息进行保护的方法基于公私钥密码体制。
双方交换公钥后,版权中心用客户证书的公钥对许可证加密,并用自己的私钥签名后发送给阅读器。
2)软件模块结构图
3)模块功能说明
ROAP协议的实现是许可证发放的主要业务逻辑和功能。
考虑到需要保存用户的公钥和证书等信息,因此添加了用户管理模块,提供用户信息的管理。
这个模块会与数字证书系统联动,在签发证书和注册用户时会取得用户的相关信息。
考虑到用户有不同的等级和权限,因此添加了密级管理模块。
这个模块会在签发许可证前,根据用户等级、数字资源等级、密级映射规则来判断是否满足权限条件,如果满足才会签发许可证。
这个模块会与内容处理子系统联动,取得数字资源的加密等级和密级映射规则。
同时也与用户管理模块联动,取得用户加密等级。
生成和签发许可证由许可证管理模块来处理。
这个模块根据内容处理子系统提供的许可证模板、密级等信息,进行分析和处理,进行许可证的签发和管理。
签发许可证时用到加密等密码运算操作,由加密机来提供,以充分保证安全性。
ROAP模块即版权中心子系统中完成DRMROAP协议的功能模块.负责完成ROAP注册协议,许可证分发协议,是主要的业务逻辑。
在ROAP协议中,需要维护阅读器和许可证服务器端的会话,同时,考虑到可能同时处理多个用户请求的情况,并发量可能会比较大,因此设计了会话管理模块,以处理大量用户并发访问的问题。
由于本系统用户量较大,并会在以后不断地扩充。
因此,版权中心子系统需要采用服务器集群的技术来支持大量的并发访问。
负载均衡模块,配合服务器集群和会话管理模块,来达到这个目的。
计费管理模块,这个模块根据业务模式的定义,来保存和管理计费相关的信息,并提供与内容提供商的接口。
4.4终端DRM代理子系统
1)终端DRM代理子系统概述
终端DRM代理子系统位于电子阅读器终端中,它是整个版权管理系统功能在终端中实现的代理实体。
终端通过网络通道或文件拷贝方式得到经过版权控制处理的内容对象(CO),DRM代理子系统通过ROAP或其它方式得到RO对象,并完成RO的解析、CO对象的解密,和阅读器软件配合完成电子文档的使用权限控制。
对终端中的其他应用程序而言,终端DRM代理子系统屏蔽了DRM系统的复杂性,它以接口库的形式为阅读器软件提供服务。
2)软件模块结构图
3)模块功能说明
终端得到受保版权保护的数字资源后,由于数字资源是经过加密的,所以阅读器软件直接打开一个文件是无法进行阅读的。
在阅读时,必须调用DRM代理子系统的接口函数。
版权管理软件对许可证进行检查,如果没有许可证,则通过ROAP协议去版权中心获取许可。
如果有许可证,则对许可证进行验证,用设备的私钥进行解密,解析XML文档提取对称密钥密钥来解密文档。
然后对解密后的文件进行处理,去掉文件头,然后传递给阅读器软件进行阅读。
终端DRM子系统以DRM访问接口库的方式为阅读器软件提供服务。
ROAP协议模块是独立的后台进程,在需要时和版权中心子系统交互,即时获得RO对象。
它由内容数据读取模块驱动。
内容数据读取模块解密数据内容,它为阅读器软件听过解密的数据流。
它首先通过调用DCF文件头解析模块获取资源唯一标识符、版权对象URL;然后通过ROAP协议模块获得RO;再通过RO解析模块解析出文档的权限集和文档加密密钥,将权限提供
升级会员 