专利名称:一种数字版权保护方法及系统的制作方法
技术领域:
本发明涉及一种数字版权保护方法及装置,特别涉及一种流媒体数字版权保护方法及装置。
背景技术:
近几年来,基于宽带有线网络的流媒体技术应用获得了长足发展,基于移动通信网络的流媒体技术也日益走向成熟。
流媒体是采用流式传输方式在网络上传输的媒体格式。流媒体在播放前不需要下载整个文件,只将开始部分内容存入内存,在用户终端中对数据包进行缓存并使媒体数据正确地输出。在流式传输方中,用户不必等到整个媒体文件全部下载完毕,而只需几秒或几十妙的启动延时即可观看,文件的剩余部分将在后台从服务器内继续下载,让用户可以边接收边播放。
流媒体的传输过程中需要考虑的一个重要方面就是版权问题。数字版权DRM(Digital Right Management)是为了保护数字媒体(如游戏、铃声、图像、音频、视频等)不被非法复制和非法使用应运而生的一门技术。在有线网络中,DRM的使用已经很普遍。
目前,国际上针对移动DRM开展了大量的研究工作。其中,开放移动联盟OMA(OPEN MOBILE ALLIANCE)制定的移动DRM标准得到了广泛的支持和认同。2005年6月14日,OMA公布了最新的OMA DRM V2.0,制定了基于PKI的安全信任模型,给出了移动DRM的功能体系结构、权利描述语言标准、DRM数字内容格式(DCF)和权利获取协议(ROAP)。
OMA DRM包括终端DRM代理程序(DRM Agent)、内容中心CI(ContentIssuer)、授权中心RI(Rights Issuer)等。在OMA的流媒体数字版权方案中,流媒体存放在流媒体服务器中。对媒体流加密,将解密密钥放在版权对象RO(Right Object)中,如图1所示,RO中包含版权使用规则和媒体流解密密钥CEK。设备的DRM Agent获取RO后,在下载流的同时,用RO中的解密密钥解密媒体流后观看。具体交互过程见图2步骤11,用户设备连接上内容中心CI的网页,找到并请求下载感兴趣的流媒体;步骤12,CI产生该流媒体的地址信息Token;步骤13,CI向RI和用户设备发送Token;步骤14,流媒体服务器与RI协商产生RO;步骤15,用户设备向RI请求RO,请求中需携带Token;步骤16,RI向用户设备发送RO;步骤17,流媒体服务器与用户设备建立会话后,向用户设备传递经CEK加密的DRM保护媒体流。
用户设备获取该DRM保护的媒体流后使用RO中的CEK解密媒体流,并播放该媒体文件。
从上述过程可以看出,媒体流的解密过程由用户设备的应用层完成,这对于用户设备的要求比较高。
安全互联网协议IPSec(Internet Protocol Security)是使用强密码学来提供认证以及加密服务。认证保证了数据包来自于正确的发送方而且在传输过程中没有被更改过。加密则防止了对数据包的未经授权的阅读。这些服务允许你建立不可信任网络中的安全隧道。IPSEC在网络协议栈的IP(InternetProtocol)层提供加密和认证服务。在IP层工作,IPSEC可以保护任何由IP所负载的通信。
发明内容
本发明的目的在于克服现有媒体流的解密过程由用户设备的应用层完成而增加用户设备开销的问题,提供一种基于IPSec的流媒体数字版权保护方法。
为实现上述目的,本发明提供了一种流媒体数字版权保护方法,该方法具体包括流媒体服务器与版权中心协商产生版权对象RO,RO中携带版权使用规则和建立加密通信信道的信息;用户设备接收到RO后,通过RO中携带的建立加密通信信道的信息与流媒体服务器建立起加密通信信道;流媒体服务器通过所述加密通信信道向用户设备发送媒体流。
流媒体服务器与用户设备通过互联网安全协议IPSec建立所述的加密通信信道。
所述RO中携带的建立加密通信信道的信息为用户设备和流媒体服务器建立IPSec通道的认证信息。
用户设备与流媒体服务器协商建立IPSec第一阶段安全关联SA时,使用RO中携带的建立IPSec通道的认证信息完成用户设备与流媒体服务器的身份验证过程。
建立的所述加密通信信道为隧道模式或传输模式。
或者,所述RO中携带的建立加密通信信道的信息为版权使用的确认信息,用户设备向流媒体服务器请求下载流媒体服务器上的内容时,向流媒体服务器提供所述的版权使用的确认信息。
流媒体服务器对用户设备提供的版权使用确认信息进行认证,在认证通过后再与用户设备协商建立加密通信信道。
本发明方法所述的用户设备是移动通信系统中的移动终端。
为实现发明目的,本发明还提供了一种流媒体数字版权保护系统,该系统包括流媒体服务器、版权中心、用户设备,其中流媒体服务器,用于存放流媒体内容,并根据用户设备的请求,向用户设备提供受版权保护的媒体流;
版权中心,用于与流媒体服务器协商产生RO,并将RO发送到用户设备。
用户设备,用来接收流媒体服务器提供的媒体流和版权中心提供的RO,并按照RO中的版权使用规则播放媒体流;所述流媒体服务器中含有IPSec驱动,用于监视、筛选和保护IP通信,查看数据包是否需要受保护以及需要受到何种保护;所述用户设备中含有IPSec驱动,用于监视、筛选和保护IP通信,查看数据包是否需要受保护以及需要受到何种保护;流媒体服务器与用户设备通过IPSec通道建立连接。
所述系统还包括内容中心,用于向用户设备提供流媒体信息,并在用户设备请求下载感兴趣的流媒体时,向用户设备提供流媒体的地址信息Token,并将Token发送给版权中心。
版权中心还用于根据内容中心发来的Token,与流媒体服务器建立连接。
所述的用户设备中还包含DRM Agent,用于按照RO中的要求使用DRM保护的流媒体;流媒体播放器,用于播放媒体流。
所述的RO中包含版权使用规则和建立加密通信信道的信息。
所述的的用户设备是移动通信系统中的移动终端。
由上述方案可以看出,本发明通过对逻辑通道加密,而非对媒体流本身加密,从而避免了客户端应用层解密媒体流所需要的额外开销,降低了对终端设备性能的要求,提高了用户感受。通过在客户端设备和流媒体服务器之间建立专有的逻辑通道,降低了第三方实体拦截偷取媒体流的风险,提高了端到端通信的安全性。
图1为现有技术RO的构成示意图;图2为现有技术流媒体DRM交互过程示意图;图3为本发明第一实施例RO的构成示意图;
图4为本发明流媒体DRM交互过程示意图;图5为IPSec第一阶段SA过程图;图6为本发明DRM系统示意图。
具体实施例方式
以下结合附图进一步说明本发明的具体实施方式
。
本发明提供了一种基于IPSec的流媒体数字版权管理方案,在此方案中,不是对媒体流加密,而是对流媒体服务器与用户设备之间的逻辑通道进行加密。在此方案中,RO中存放的不是逻辑通道密钥本身,而是用户设备和流媒体服务器建立IPSec通道的认证信息,如图3所示。
具体交互过程见图4。
步骤41,用户设备连接上内容中心CI的网页,找到并请求下载感兴趣的流媒体;步骤42,CI产生Token;步骤43,CI向RI和用户设备发送Token;步骤44,流媒体服务器与RI协商产生RO;在此步骤中,流媒体服务器与RI协商产生的RO中携带了用户设备和流媒体服务器建立IPSec通道的认证信息。
步骤45,用户设备向RI请求RO,请求中需携带Token;步骤46,RI向用户设备发送RO;步骤47A、用户设备与流媒体服务器协商建立第一阶段安全关联SA(Security Association),协商创建一个通信信道,并对该信道进行认证,双方使用RO中携带的认证信息进行认证;步骤47B、用户设备与流媒体服务器协商建立第二阶段SA,建立IPSec通信;步骤48,流媒体服务器向用户设备传递媒体流。
在步骤44中,产生RO后通知流媒体服务器建立IPSec的认证信息,并在建立IPSec时认证使用。该认证信息用于在步骤47A,协商建立SA过程中,发起对方身份和验证数据时使用。只有该认证通过,通信才会继续下去,进行IPSec第二阶段的SA,协商加密IP数据包的密钥。
IPSec的第一阶段SA的主要包括三个步骤第一步策略协商在此步骤中,就四个强制性参数值进行协商(1)加密算法选择DES或3DES(2)Hash算法选择MD5或SHA(3)认证方法选择证书认证、预置共享密钥认证或Kerberos v5认证(4)Diffie-Hellman组的选择第二步密钥交换虽然名为密钥交换,但事实上在任何时候,两台通信主机之间都不会交换真正的密钥,它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换,可以是公开的,也可以受保护。在彼此交换过密钥生成材料后,两端主机可以各自生成出完全一样的共享主密钥,保护紧接其后的认证过程。
第三步认证DH交换需要得到进一步认证,如果认证不成功,通信将无法继续下去。主密钥结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。在这一步中,整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的主密钥提供机密性和完整性保证。
在步骤47A中,用户设备与流媒体服务器建立第一阶段SA的具体过程如图5所示首先,用户设备向流媒体服务器发起本地密钥交换解决IKE(InternetKey Exchange)策略;流媒体服务器确认对方使用的算法,查找本地匹配的策略,向用户设备发送流媒体服务器确认的策略;
用户设备接收到对端的确认策略后,向流媒体服务器发起密钥生成信息;流媒体服务器和用户设备分别交换密钥生成信息并各自生成密钥;用户设备向流媒体服务器发起身份和验证数据,身份和验证数据中包含了RO中携带的认证信息;流媒体服务器完成对用户设备的身份验证后,向用户设备发送流媒体服务器的身份和验证数据;用户设备与流媒体服务器完成身份验证和交换过程验证后,第一阶段的SA完成。
本发明方法的的另外一种实现方式是在步骤44中,流媒体服务器与RI协商产生的RO中携带了用户设备的版权使用确认信息;步骤47中,用户设备请求下载流媒体服务器上的内容时,向流媒体服务器提供RO中携带的版权使用确认信息,流媒体服务器对版权使用确认信息进行认证,在认证通过后,流媒体服务器与用户设备按照现有技术的方法进行SA协商并建立IPSec通信。
流媒体服务器与用户设备之间建立起IPSec通信后,媒体流经保密通道从流媒体服务器传输到用户设备上,DRM Agent根据RO中的版权使用规则播放媒体流。
本发明建立的IPSec通信为IPSec隧道模式,当然也可以采取其他的模式,例如传输模式。
在用户设备能力允许的情况下,本发明的方法也可以与现有技术的流媒体DRM方法结合使用。即,对流媒体内容本身和流媒体传输通道同时加密,RO中即含有建立IPSec所需的信息,也含有CEK。
实现本发明的方法的DRM系统如图6所示,该系统包括用户设备,用户设备中包含浏览器,用于浏览内容中心提供的内容;DRMAgent,用于按照RO中的要求使用DRM保护的流媒体;流媒体播放器,用于播放媒体流。
流媒体服务器,用于存放流媒体内容,并根据用户设备的请求,向用户设备提供受版权保护的媒体流。
内容中心,用于向用户设备提供流媒体信息,并在用户设备请求下载感兴趣的流媒体时,向用户设备提供Token,并将Token发送给版权中心。
版权中心,用于根据内容中心发来的Token,与流媒体服务器建立连接,协商产生RO,和将RO发送到用户设备。
在本发明的DRM系统中,流媒体服务器和用户设备中来需要增加IPSec驱动,用于监视、筛选和保护IP通信,查看数据包是否需要受保护以及需要受到何种保护。
以上所述,为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种流媒体数字版权保护方法,其特征在于,包括流媒体服务器与版权中心协商产生版权对象RO,RO中携带建立加密通信信道的信息;用户设备接收到RO后,通过RO中携带的建立加密通信信道的信息与流媒体服务器建立起加密通信信道;流媒体服务器通过所述加密通信信道向用户设备发送媒体流。
2.如权利要求1所述的流媒体数字版权保护方法,其特征在于,通过互联网安全协议IPSec建立所述的加密通信信道。
3.如权利要求2所述的流媒体数字版权保护方法,其特征在于,所述RO中携带的建立加密通信信道的信息为用户设备和流媒体服务器建立IPSec通道的认证信息。
4.如权利要求3所述的流媒体数字版权保护方法,其特征在于,用户设备与流媒体服务器协商建立IPSec第一阶段安全关联SA时,使用RO中携带的建立IPSec通道的认证信息完成用户设备与流媒体服务器的身份验证过程。
5.如权利要求1-4所述的任一流媒体数字版权保护方法,其特征在于,建立的所述加密通信信道为隧道模式或传输模式。
6.如权利要求1或2所述的流媒体数字版权保护方法,其特征在于,所述RO中携带的建立加密通信信道的信息为版权使用的确认信息。
7.如权利要求6所述的流媒体数字版权保护方法,其特征在于,流媒体服务器对用户设备提供的版权使用确认信息进行认证。
8.一种流媒体数字版权保护系统,包括流媒体服务器、版权中心、用户设备,其特征在于,所述流媒体服务器中含有IPSec驱动,用于监视、筛选和保护IP通信,查看数据包是否需要受保护以及需要受到何种保护;所述用户设备中含有IPSec驱动,用于监视、筛选和保护IP通信,查看数据包是否需要受保护以及需要受到何种保护;流媒体服务器与用户设备通过IPSec通道建立连接。
9.如权利要求8所述的流媒体数字版权保护系统,其特征在于,还包括内容中心,用于向用户设备提供流媒体信息,并在用户设备请求下载感兴趣的流媒体时,向用户设备提供流媒体的地址信息Token,并将Token发送给版权中心。版权中心还用于根据内容中心发来的Token,与流媒体服务器建立连接。
10.如权利要求8所述的流媒体数字版权保护系统,其特征在于,所述的用户设备中还包含DRM Agent,用于按照RO中的要求使用DRM保护的流媒体;流媒体播放器,用于播放媒体流。
11.如权利要求8-10所述的任一流媒体数字版权保护系统,其特征在于,所述的RO中包含版权使用规则和建立加密通信信道的信息。
12.如权利要求8-10所述的任一流媒体数字版权保护系统,其特征在于,所述的用户设备是移动通信系统中的移动终端。
全文摘要
本发明公开了一种流媒体数字版权保护方法,该方法包括流媒体服务器与版权中心协商产生版权对象RO,RO中携带版权使用规则和建立加密通信信道的信息;用户设备接收到RO后,通过RO中携带的建立加密通信信道的信息与流媒体服务器建立起加密通信信道;流媒体服务器通过所述加密通信信道向用户设备发送媒体流。本发明通过对逻辑通道加密,而非对媒体流本身加密,从而避免了客户端应用层解密媒体流所需要的额外开销,降低了对终端设备性能的要求,提高了用户感受。而且,通过在客户端设备和流媒体服务器之间建立专有的逻辑通道,降低了第三方实体拦截偷取媒体流的风险,提高了端到端通信的安全性。
文档编号G06F21/00GK1859414SQ20061003479
公开日2006年11月8日 申请日期2006年3月29日 优先权日2006年3月29日
发明者杨健, 赵琴 申请人:华为技术有限公司