专利名称:用于检测引入保密域的非法内容的装置和方法
技术领域:
本发明一般涉及保密通信,尤其涉及在放映算法中防止攻击的技术。
背景技术:
在互联网等全球通信网络中对音乐及其它类型内容的传递过程中保密受到越来越多的重视。特别地,这些基于网络的内容传递系统的成功实现在很大程度上依赖于确保内容提供商受到适当的版权保护并且传递的内容不被盗版或者非法使用。
关于音乐内容的传递,最近由主要唱片业和科技公司形成了一个联合开发力量称为保密数字音乐组织(SDMI)。SDMI的目标是为数字音乐保密开发一个开放的、能互操作的结构。这将很方便地满足消费者对高质量数字音乐的需求,又能提供版权保护以保护在内容开发和传送环节上的投资。SDMI已经提出了一套用于便携式音乐装置的标准规范,《SDMI便携式装置规范》,第一部分,1.0版,1999年,另外又在当年晚些时候发布了一个修正案,两者都包括在这里作为参考。
正版材料的非法销售剥夺了版权所有者对该材料的合法使用权,而且能够为非法传播该材料的供货商带来收益从而鼓励继续非法销售。由于互联网带来的信息传输的方便性,那些试图被写保护的内容,例如艺术表演或其它限制了传播权的材料,就很容易被大规模地非法传播。例如,用于存储并传输压缩声音文件的MP3格式就使得声音唱片的大规模传播变得可行,因为一首歌30到40兆字节的数字音频唱片可以被压缩到一个3到4兆的MP3文件。使用典型的56kbps的互联网拨号连接,该MP3文件能够在几分钟之内下载到用户的计算机上。这样,有恶意的一方就能够从原来的正版CD中读出歌曲,将歌曲编码成MP3格式,然后将MP3编码后的歌曲放到互联网上进行大规模传播。另外,有恶意的一方还可以为下载MP3编码过的歌曲提供直接下载服务。然后MP3编码过的歌曲的非法版本被软件或硬件装置播放,或者也可以解压缩并被存储到可刻录的CD中在传统的CD播放器上回放。
为了限制对写保护内容的复制,已经提出了许多方案。SDMI和其它组织提倡使用“数字水印”来识别授权的内容。1997年7月16日授予约翰.P.利纳兹的美国专利第5,933,798号,“检测嵌入在信息系统中的水印”公开了一种用于对电子内容打水印的技术,这里引用它作为参考。就像纸上的水印一样,数字水印被嵌入在内容当中以被检测,但它是不可见的。例如,含有水印的数字音乐唱片的回放,从没有水印的相同唱片进行回放时是分辨不出的。但是水印检测设备能够基于水印的存在与否区别这两种唱片。因为有些内容可能没有被写保护因而不会包含水印,没有水印不能被用于从非法材料中区别合法材料。
还有其它写保护方案。例如,2000年3月8日授予约翰.P.利纳兹和约翰.C.泰尔斯特拉的欧洲专利第EP983687A2号,“写保护数字材料的写保护方案”提出了一种通过使用控制被保护材料播放次数的水印“票”来保护正版材料的技术,这里也将其作为参考。
对打水印内容的精确复制将使得水印被复制到打水印内容的副本中。然而,对打水印内容的不精确的、或者说有损耗的复制不会在内容的副本中形成水印的复制。许多保护方案,包括SDMI的那些,都利用了有损耗复制的这一特点,基于适当水印的存在与否来辨别合法内容与非法内容。在SDMI的方法中,定义了两类水印“鲁棒型”水印和“易损型”水印。鲁棒型水印能够在用于保存原有内容基本部分的有损耗复制品中存在,例如音频唱片的MP3编码。也就是说,如果复制品保留了充足的信息允许原有唱片的合理播放,鲁棒型水印也会被保留。另一方面,易损型水印会被有损耗复制或其它非法篡改破坏。
在SDMI方案中,鲁棒型水印的存在意味着内容是写保护的,当鲁棒型水印存在时,相应易损型水印的存在或损坏表示写保护的内容已经被以某种方式篡改了。配置一个符合SDMI的装置,以拒绝播放有缺失水印的打有水印的材料或者检测到有鲁棒型水印但没有易损型水印的材料,除非水印的损坏或缺失被“SDMI鉴定”过程证明是正当的,例如为便携式播放器而对写保护内容的SDMI压缩。为便于参考和理解,术语“再现”这里包括对内容的任何处理或传递,例如播放、录音、转换、确认、存储、加载等。该方案可以限制通过MP3或其它压缩技术的传播,但是不影响对内容材料假冒的未转换(压缩)复制的传播。这种有限的保护在商业上被认为是可行的,因为下载一个超大文件来获得一首歌的开销和不方便性会阻碍对未压缩内容的偷窃。
发明内容
尽管有SDMI和其它正在付出的努力,现有的用于音乐及其它内容安全传递的技术有很多重大缺陷。例如,SDMI最近提出了一种称为SDMI莱特的放映算法。SDMI莱特算法只放映具有预定义固定持续时间的内容片断。这一有限的放映数量使得SDMI莱特和其它基于内容的放映算法很容易受到成功的攻击,只要其中的非法内容被分成比放映算法设定的预定义持续时间短的片断。然后,分段的内容就可以在SDMI莱特算法将内容接收进SDMI保密域之后被重新组合。
这样,当攻击者试图通过将内容分成小块来包围放映算法时,就需要一种方法防止对内容放映算法的攻击。
本发明提供检测引入保密域的非法内容的装置和方法,从而防止对放映算法的攻击。本发明旨在降低攻击者在SDMI域内成功使用非法内容的机会,同时平衡减少的播放时间和由放映算法的增强带来的有效性之间的关系。
根据本发明的一个方面,防止对放映算法攻击的方法包含决定提交给放映算法的内容是否含有指示内容受下载保护的标记,如果判定内容中不包含指明下载保护的指示则允许将内容放入保密域的隔离区域,并监视隔离区域内的内容,以检测是否有对内容的任何编辑活动。该方法也包含一个步骤,用于判决被编辑内容是否包含有指明检测到编辑活动后内容被保护下载的标记。如果在检测到编辑活动之后内容包含指明内容被保护下载的标记,该内容将被拒绝进入SDMI域,否则内容将获准进入SDMI域。
本非明的这些和其它特点和优势将由于附图和下面的详细描述而变得更加明显。
图1是一个示意性的图,示出了本发明的总体情况;图2是一个流程图,结合本发明的一个实施例示出了用于检测引入保密域的非法内容的方法的步骤;图3是一个流程图,结合本发明的另一个实施例示出了用于检测引入保密域的非法内容的方法的步骤;图4是一个流程图,结合本发明更进一步的实施例示出了用于检测引入保密域的非法内容的方法的步骤。
具体实施例详细描述本发明提供检测正在或已经被引入保密域(例如SDMI域)的非法内容的装置和方法,从而防止对放映算法的攻击。典型地,非法内容是通过水印的存在与否检测到的。本发明旨在降低攻击者在SDMI域内成功使用非法内容的机会,同时平衡减少的播放时间和由放映算法的增强带来的有效性之间的关系。
方便地讲,本发明防止对基于内容的保密放映算法的攻击。根据本发明对放映算法成功攻击的防止将对所有内容提供商提供方便、有效而经济的保护。
SDMI的一个目标就是防止内容在互联网上的非法传播。为了实现这一目标,SDMI已经提出了几种放映被标记下载内容的方法。其中一种方法就是先前提到过的SDMI莱特放映算法。
总体上讲,放映算法随机放映被标记内容预定义数量的片段来决定内容是否合法。放映的片段数少则一个或两个片断,多则内容的所有片断都将被放映。然而,既使当全部内容被放映时,典型情况下放映算法只放映那些具有预定义持续时间的片断。也就是说,放映算法不会放映长度不超过一定门限值(例如,片断必须有至少15秒钟的长度来满足门限值才能被放映算法处理)的内容片断。这样,长度少于15秒钟的内容就不会触发放映算法。这些内容会自动被允许进入SDMI保密域。所以,放映算法容易被那些内容被分成小于预定持续时间的片断而后又被重新组合成原先内容的攻击所攻破。
放映算法容易被这种攻击所攻破的原因是双重的。其一,如上所述,当内容被分成短时间间隔的片段时,放映算法根本就不会被发起而且内容轻易被允许进入SDMI域。原因之二是不包含水印的内容轻易被允许进入SDMI域。所以,通过将内容分成这么小的片断,水印没有被放映算法检测到而且被允许进入SDMI域。根据本发明的新放映算法对现有放映算法的弱点提供了一种有效的解决方案。
成功实现对基于内容的放映算法的攻击的一种方法是通过将内容分割成小片断,其中每个片断的持续时间小于由放映算法设定的门限值。所以,当已经被分成许多片断的内容被放映算法处理时,至少内容的一部分将获准通过放映算法,因为单个片断没有足够的持续时间来发起放映算法。另外,即使片断被检测到了,分割过程也已经破坏了水印以至于放映算法还会将片断进行正确验证。
这里描述的放映算法包括SDMI莱特算法和其它基于内容的放映算法,例如CDSafe算法。CDSafe算法在正在申请的美国专利第09/536,944中有更完整的描述,该专利于2000年3月28日提交,发明人为托尼.斯泰林、麦克尔.艾普斯汀和马丁.罗斯纳,标题为“通过自参考片断完整数据集存在性的校样来保护内容免受非法复制”,这里引用该专利作为参考。
现参考图1,一种攻击建议SDMI莱特放映算法和CDSafe算法的方法就是将被识别出来并将从诸如互联网10之类的外部数据源下载的内容进行分割。该攻击方法在美国专利“基于内容分割的攻击放映算法的装置和方法”中有更完整的描述,该专利有诉讼事件号US010203要求对美国临时专利申请第60/283,323号的优先权,这里也引用该专利作为参考。
如前所述,述语“分割”是指将攻击者知道为非法的内容12分成若干片断18,就像所示的N个片断,以使得非法内容12通过放映算法14。也就是说,如果内容12被分成足够小的片断,以至于不能被放映算法14检测到(也就是说不满足放映算法要求的持续时间门限值),那么这样的片断18将获准通过放映算法14。另外,通过分割内容12,攻击者事实上破坏了内容12中的水印,因而使得放映算法检测不到它。还有,即使放映算法检测到了水印的一小部分,内容的这部分也不会被拒绝,因为辨识水印可能已经被改变成不能被分割过程识别的样子了。
虽然图中所示的是一个分立的单元,但是放映算法14也可以驻留在个人电脑16的存储器中,并被个人电脑16的处理器执行。一旦内容被下载,它就可以被写入压缩碟片、个人数字助理(PDA)或其它装置,例如与个人电脑16并存或依附于个人电脑的存储器。
为了完成攻击,一旦所有的片段18都通过了放映算法,就在个人计算机16中重新组装被划分的片段,以恢复整个非法内容。
个人电脑16是可以用于执行所述放映算法攻击方法的处理设备的示例。总的来说,这样的处理装置包括一个处理器和一个通过至少一部分系统总线进行通信的内存。装置16可以代表任何类型的处理设备,用于实现根据本发明的攻击放映算法的至少一部分方法。装置16的单元可以对应于这种装置的传统单元。
例如,上面提到的处理器可以代表一个微处理器、中央处理单元(CPU)、数字信号处理器(DSP)或专用集成电路(ASIC),也可以是这些处理装置与其它处理装置的部分或组合。典型情况下存储器是电子存储器,但是也可以包含或包括其它类型的存储装置,例如基于碟片的光或磁存储器。
这里描述的技术可以全部或部分用软件存储并用装置16的各个存储器或处理器单元来执行。应该注意到装置16可以包括其它未知单元,或者能够提供这里所述攻击功能的其它类型的单元。
因为只有那些持续时间大于放映算法设定的门限值的内容片断才能被以前的放映算法所放映,所以这里描述的攻击方法就成为可能。如果没有门限值的限制而且被标记内容的每个片断都被放映以保证被标记内容是合法内容,这种攻击就是不可能的。然而,放映每一个片断将严重影响放映算法的性能,因为放映算法是会消耗时间的。此外,当内容被分成这么小的片段时很难,如果不是不可能的话,在给定的片断中检测水印。所以,上面提到的放映算法很容易被这里描述的攻击所攻破。
现在参考图2,该流程图结合本发明的一个示意性的实施例示出了用于检测引入保密域的非法内容的方法的步骤。
因为内容要被识别出来供放映算法播放,所以第一个步骤100用于决定内容是否包含水印。如果内容包含水印,该内容将根据发现的水印进行播放,如步骤150所示。基于水印的属性,内容将在如图所示的步骤155和160分别被拒绝或允许进SDMI域。嵌入在内容中的水印指明内容是被保护的而且应该根据SDMI规则放映。
如果内容不包含水印,就被允许进入SDMI域的一个隔离区域,如步骤110所示。一旦进入SDMI域,内容就会被认为是“被下载的”,正如这里所用的术语。本发明承认这样一个事实,因为内容可能已经被分成小片断,所以即使内容在它原先的聚集态配置中有水印它也可能获准进入。因而,为了防止由将内容分割成小片断而导致水印不能被识别的成功攻击,在SDMI域建立了一个单独的保密区域以便从无限制进入SDMI域的内容(例如免费内容)中将有问题的内容分离出来。
一旦内容被确定为属于隔离区域,该内容就会被继续监视以决定是否有任何对内容进行的编辑功能,如步骤120和170所示。编辑可以包括将内容的两个或多个片断合在一起或者假造至少内容的一部分,例如以数字方式改变嵌入在内容中的水印。其它类型的编辑包括诸如重新安排内容中片断顺序之类的操作。可以想到即使在内容第一次被提交给放映算法时没有检测到水印,在一些编辑活动之后仍可能在内容中检测到水印。例如在提交给放映算法之前,水印可能已经被巧妙地放到了它第一次通过放映算法时没有被检测到的那一点上。这样,如果对内容进行了编辑,被编辑内容就会被重新放映以决定它是否包含水印。如果被编辑内容真的包含水印,而它以前不包含水印,这就意味着它受到了一次攻击。在这种情况下,现在有水印的被编辑内容根据SDMI规则被重新放映,如步骤150所示。也可以设想不拒绝步骤155中识别的内容,而是以一种方式除去或修改内容以使得用户不能访问或播放这些内容。如果被编辑内容不包含水印,就将其当做免费内容来处理,将其返回给如步骤110所示的SDMI域的隔离区域,并进一步监视如步骤120所示的任何编辑活动。
现在参考图3,该流程图结合本发明另一个示意性的实施例示出了用于检测引入保密域的非法内容的方法的步骤。
因为内容要被识别出来供放映算法播放,所以第一个步骤300用于决定内容是否包含水印。如果内容包含水印,该内容将根据SDMI规则进行播放,如步骤350所示。如果内容不包含水印,内容将被允许进入前述SDMI隔离区域,如步骤310所示。
一旦内容被确定为属于隔离区域,该内容就会被继续监视以判断是否有两个或更多内容片断被合在一起,如步骤320和370所示。如果有合并片断的企图,就获取与两个片断相关的识别号并比较两者是否相同。如果识别号相同,就认为攻击者试图模仿片断中已经被允许进入SDMI域的内容。所以,如步骤360所示,当识别号相同时就拒绝内容。相反,当识别号不同时,内容将获准进入SDMI域中的非隔离区域,如步骤340所示。
图4示出了参考图3描述的实施例的另一种选择。图4中的参考号400、410、420、430、440、450和470大体上分别对应于图3的300、310、320、330、340、350和370。然而,在该实施例中,如果被提出合在一起的两个或更多片断的内容识别号相同,就不拒绝新合起来的内容,而是将新合在一起的内容重新提交给放映算法,如步骤430到440的箭头所示。
本发明的上述实施例只是示例而已。例如,虽然本发明是参考SDMI放映算法和SDMI域来描述的,但是本发明可以应用于任何放映算法和保密域。在如下权利要求范围之内的这些以及众多其它的实施例对本领域内的专业技术人员而言是显然的。
权利要求
1.一种防止对放映算法攻击的方法,该方法包含步骤判断提交给放映算法的内容中是否包含指明内容受保护的标记(100、300、400);如果判定内容中不包含指明内容受保护的标记,就允许内容进入保密域的隔离区域(110、310、410);以及监视隔离区域的内容以检测是否对内容执行了任何编辑活动(120、320、420)。
2.如权利要求1所述的防止对放映算法攻击的方法进一步包含一个步骤,如果在监视步骤(100、300、400)中检测到编辑活动,就判断隔离区域的内容是否包含水印。
3.如权利要求1所述的防止对放映算法攻击的方法,其中标记包含水印。
4.如权利要求1所述的防止对放映算法攻击的方法,其中编辑活动包括将内容的至少两个片断合在一起。
5.如权利要求4所述的防止对放映算法攻击的方法,进一步包含一个步骤判断被合在一起的内容片断的识别号是否相同(330)。
6.如权利要求5所述的防止对放映算法攻击的方法,进一步包含一个步骤,如果被合在一起的内容片断的识别号相同则拒绝被编辑的内容。
7.如权利要求1所述的防止对放映算法攻击的方法,进一步包含一个步骤判断被编辑内容中是否包含指明内容在检测到编辑活动之后会受到保护的标记。
8.如权利要求7所述的防止对放映算法攻击的方法进一步包含一个步骤,如果判定内容中不包含指明内容在检测到编辑活动之后会受到保护的标记,则允许内容进入保密域的非隔离区域(340)。
9.如权利要求7所述的防止对放映算法攻击的方法,进一步包含一个步骤,如果判定内容中包含指明内容在检测到编辑活动之后会受到保护的标记,则拒绝内容进入保密域的非隔离区域。
10.如权利要求7所述的防止对放映算法攻击的方法,进一步包含一个步骤,如果判定内容中包含指明内容在执行编辑活动之后会受到保护的标记,就将内容删除。
11.如权利要求1所述的防止对放映算法攻击的方法,其中放映算法是保密数字音乐组织放映算法。
12.如权利要求1所述的防止对放映算法攻击的方法,其中判断、允许、和监视的步骤由处理装置执行。
13.一种防止对放映算法攻击的装置包含有处理器和内存的处理装置,该处理装置可进行如下操作-决定内容是否包括水印-如果判定水印未指示内容受保护,就允许不含水印的内容进入保密域的隔离区域,以及-监视隔离区域是否有与内容有关的编辑活动。
14.如权利要求13所述的防止对放映算法攻击的装置,其中配置与处理装置关联的存储器,用于当内容被放映算法允许进入保密域时来保存内容。
15.一种防止对放映算法攻击的制造品,该物品包含机器可读的介质,介质包含一个或多个程序,当程序被执行时实现下列步骤判断提交给放映算法的内容是否包含指明内容受下载保护的标记(100、300、400);如果判定内容不包含指明内容受保护的标记,就允许内容进入保密域的隔离区域(110、310、410);以及监视隔离区域的内容以检测是否对内容执行了任何编辑活动(120、320、420)。
全文摘要
用于检测引入保密域的非法内容的装置和方法,藉此防止对放映算法的攻击。防止对放映算法攻击的方法包含步骤判断提交给放映算法的内容是否包含指明内容受保护的标记,如果判定内容不包含指明内容受保护的标记就允许内容进入保密域的隔离区域,并监视隔离区域的内容以检测是否对内容执行了任何编辑活动。仅当判定内容不包含指明内容受保护的标记时才允许内容进入隔离区域。该方法也包含相应步骤在检测到编辑活动之后判断被编辑内容是否包含指明内容受保护的标记。
文档编号H04L29/06GK1602525SQ02824455
公开日2005年3月30日 申请日期2002年11月20日 优先权日2001年12月6日
发明者M·C·罗斯纳, R·克拉辛斯基, M·A·埃普斯泰恩, A·A·M·斯塔林 申请人:皇家飞利浦电子股份有限公司