数字影院版权管理系统的关键技术研究

摘要:构建庞大的数字影院系统,版权安全问题是其中的重中之重。文章基于不断发展的数字版权管理核心技术,提出了一套构建数字影院版权管理系统的完整解决方案,并对其中的关键技术进行一一剖析。

关键词:数字版权管理;数字影院;对称加密;非对称加密;数字签名

中图分类号:TP312文献标识码:A

文章编号:1009-2374 (2010)27-0015-03

0绪论

数字影院是由投影设备、数字播放服务器、音响设备以及其他周边数字设备组成的播放数字片源的影院系统。从电影制作工艺、制作方式、到发行及传播方式上全面实现数字化,以数字文件形式发行或通过网络、卫星直接传送到影院、家庭等终端用户。数字技术带来的优质画面、出色的音效,带给观众的是良好的视觉、听觉效果。同时大大减少了发行时间,方便了发行工作,降低了成本。凭借这些优势,近年来数字影院发展迅速,成为了未来影院发展的必然趋势。

然而,在享受数字技术带来的巨大便利的同时,数字影院系统的建设也面临着一些挑战。而首当其冲的是影片内容安全问题。影片资料数字化在方便发行的同时,也带来了版权管理问题。因此建设一个安全管理,即版权管理系统,有效地保证对影片内容的使用是在获得片商许可的条件下,防止任何试图入侵系统、窃取资料的行为,防止任何未经授权的对内容的访问、复制、传播,从而有效地保护知识产权,是数字影院发展的一大核心难点。

1数字版权管理简介

数字版权管理(Digital Rights Management)是保护数字多媒体内容免遭盗版的一种方法。具体来说就是防止非法用户在未经授权许可的情况下,就随意的播放、复制并且传播多媒体内容。数字版权管理为多媒体内容提供者保护他们的私有媒体数据免受非法复制和使用提供了一种手段。这项技术通过对数字内容进行加密和附加使用规则对数字内容进行保护其中,使用规则可以判断用户是否有具有权限播放此内容。数字版权管理涉及数字内容使用权限的描述、认证、交易、保护、监测、追踪,以及对使用权拥有者之间关系的管理。

数字版权管理通过应用其所包含的一些核心技术如数据加密技术、信息隐藏技术等手段,实现数字内容的安全传递,防止数字内容被非法访问、复制、传播。数字版权管理是一种保护多媒体内容免遭盗版的一种方法,它为内容提供商保护多媒体数字内容不被未经授权情况下的访问复制提供了一种保护手段,同时也在版权发生纠纷、追踪泄露内容的源头等方面提供了技术上的支持。

2构建数字影院版权管理系统

作为数字版权管理体系中最核心的技术,数据加密技术在构建数字影院系统中起到轴心的作用。为了阐述加密技术如何构建针对影片资料的安全管理系统,首先必须了解数字影院内部的各个数字播放设备间的物理关系,如图1所示:

在数字影院内部,影片资料一般采用AES对称加密后的形式存储于本地或是中央数据库中。当临近一场电影播放时间时,由安全管理系统向中央数据库申请传输以密文形式存储的影片资料。数字影院系统通过校验播放设备的身份合法性,决定是否派发影片资料以及解密密钥。当影片资料以及解密密钥传输至安全管理系统时,安全管理系统校验各播放设备是否合法,以及当前时间是否落在合法播放时间窗口内。一切就绪后,安全管理系统将影片以及密钥交由解密媒体设备(MD),由解密媒体设备进行硬件级别的实时解密,以达到播放效果。

为了达到上述的影片资料安全管理效果,必须运用数据加密技术构建安全管理系统中的以下几个关键部分:

2.1基于SSL技术的安全连接建立

安全管理系统负责管理相应放映室内与安全相关的一切事务。在同一个放映室内,设备间的通信也是靠网络。一般意义上,网络被认为是不安全,可能还要面对的是一些别有用心者的监听、盗取情报、伪造身体与他人对话等问题。如果通话内容涉及到与密钥管理相关的操作,则可能会导致密钥被窃取从而带来严重的后果。

为了防止这一情况出现,安全管理系统在与各设备间建立了基本的TCP连接的基础上,进一步采用SSL(Security Socket Layer,安全套接字层)技术以确保通信安全。SSL就是为了加密这些数据而产生的协议,可以这么理解,它是位与应用层和TCP/IP之间的一层,数据经过它流出的时候被加密,再往TCP/IP送出,而数据从TCP/IP流入之后先进入它这一层被解密,同时它也能够验证网络连接两端的身份。它有两个功能:加密解密在网络中传输的数据包,同时保护这些数据不被修改和伪造;验证网络对话中双方的身份。

2.2基于数字证书技术的设备身份认证

不仅仅是上节提到的安全连接的建立时涉及到的验证通信双方身份,包括在进行播放校验确认各个播放设备合法性等情况下,均需要一种能确认设备身份的技术。在安全管理系统中,采用于的是基于X.509标准的数字证书标记设备身份的技术。

数字证书采用的是非对称加解密公私钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。

在系统安装的初期,为各个设备使用OPENSSL工具生成一对配对的公私钥。公钥则传递给上一级认证中心(CA),由CA用自己的私钥为该设备签发证书。在一个数字影院系统中,可选用同一个CA,如Digital Cinema CA。所有设备都信任该CA并认为由该CA签发的证书获得者也是可信的。这样就构成了信任关系。

在各方均获取了自己的数字证书后,便将从根证书一直到自己的证书的顺序拼接成一个证书链。这样就可以开始一些操作。首先是在本地进行一些配置,将自己信任的CA证书存放在指定目录下。当SSL连接要建立时,获得对方的证书链后,便要验证对方的身份。这时候从对方证书底部开始递归查找,一直找到证书链中某个CA证书与自己信任列表里的某张CA证书相同。当然了,在验证的过程中,每一次递归,都要会上级CA的公钥来验证该证书的签名,判断该证书是否确实为上级CA所签发。这样可以有效地防止一些别有用心者伪造证书链。

如上所述,如果验证证书链一直至ROOT CA仍没有找到任何可信任CA,则认为该设备不可信,认证过程失败。

2.3基于数字签名技术密钥验证

建立在数据加密技术基础上的安全管理系统的首要目标是保证影片资料的安全性,而密钥则是通往影片解密的唯一大门。因此内容密钥的管理与校验成了整个系统的核心工作。

在数字影院系统内部,密钥以XML文件形式存放,密钥作为XML文件结点下一个元素,自身以RSA非称加密的形式,用安全管理系统的公钥加以加密后存放。在密钥文件中,还包含了授权播放设备身份,播放的时间窗口等内容。在密钥通过上文所述的安全连接传送至安全管理系统后,由安全管理系统对密钥文件的完整性与合法性进行校验。这一过程主要运用了数字签名技术,主要流程如图2所示:

图2数字签名与验证过程图

通过数字签名验证后,安全管理系统保证了密钥文件的两个结论:(1)密钥是由信任设备签发,该设备持有指定CA签发的数字证书以证明身份;(2)密钥在整个传输、存储过程中,未被进行任何篡改操作,因此文件内关于时间窗口以及可信任播放设备的描述是可靠的。

2.4基于JavaCard的私钥管理

在进立安全连接、数字设备身份校验等场合中都需要用到RSA非对称加解密。非对称加解密技术要求设备必须保证自身私钥不对外开放,否则一旦私钥被窃取,则一切安全前提也不复存在。因此在系统内部,必须采用一种有效的安全技术来保证私钥安全存储,不流出设备范围之外。

为此数字影院采用了JavaCard技术。JavaCard作为一种智能卡被运用在了许多领域。在安全管理系统中,JavaCard内部存储了安全管理系统的私钥,它主要由三个部分组成:JavaCard虚拟机规范,定义了用于智能卡的Java程序语言的一个子集和虚拟机;JavaCard运行时环境规范,进一步定义了用于基于Java的智能卡的运行期行为;JavaCard应用编程接口规范,定义了用于智能卡应用程序核心框架和扩展Java程序包和类。

在行为上,JavaCard对外提供了一组操作接口供外部程序调用,实现基于私钥的加解密功能。但JavaCard却不暴露任何内部存储细节,也不会将密钥流出卡外。由于在物理上,JavaCard独立内嵌在板上,只有特定几个通信接口,因此这样既实现了RSA非对称加解密,又保证私钥的绝对安全。

3总结与展望

文章立足于数字影院系统内的版权安全问题,利用数字版权管理各种核心技术,遵守数字影院系统规范,为解决系统中涉及的各种安全问题而设计实现了一套安全管理系统框架。利用该系统,可有效防止任何对影片内容未经授权下的访问、复制、播放、传播等操作,有效地保护了制片商的合法

权益。

数字影院是未来影院的发展的必然趋势。而数字版权管理技术则为数字影院安全问题保驾护航。它有效地保护了产业链上各方利益,保护了知识产权。当前数字影院正处速发展阶段,系统也从单一的播入功能逐步发展为今天这样一个庞大的体系。随着更多功能的加入,更多新技术的使用,数字影院系统也将变得愈发强大易用,自动化程度更高。安全问题的良好解决为数字影院的发展提供了保障。未来随着新技术的加入,安全系统也必将更加健壮。

参考文献

[1] Digital Cinema Initiatives. LLC. Digital Cinema System Specifi-cation. Version 1.1. April 12, 2007.

[2] Digital Cinema Initiatives. LLC. Digital Cinema System Specification Compliance Test Plan. Version 1.0. October 16,2007.

[3] J. Schaad, B. Kaliski, R. Housley. Additional Algorithms and Identifiers for RSA Cryptography for Use in the Internet X.509 Public Key Infrastructure. /rfc/rfc4055.txt.June,2005.

[4] Peter Gutmann. X.509 Style Guide. www.cs.auckland.ac.nz/%7Epgut001/pubs/x509guide.txt. October,2000.

[5] 《数字版权管理》编写组.数字版权管理[M].人民邮电出版社,2007.

作者简介:马美榕(1984-),男,福建长乐人,同济大学软件学院计算机应用技术专业硕士研究生,研究方向:嵌入式系统。