数字权利管理(DRM)的核心技术

8.4.2　数字权利管理(DRM)的核心技术

(1)数据加密技术。

数据加密技术主要是指DRM技术提供者采用一定的数学模型，对原始信息进行重新加工，使用者必须提供密码，才能提取到正确的原始信息。加密过程要求首先建立数字内容文件授权中心，对压缩后的数字内容文件进行编码，利用密钥加密保护，加密的数字内容文件头部存放着KeyID和内容授权中心的URL。当用户请求使用该数字内容文件时，根据数字内容节目头部的KeyID和URL信息，向数字内容文件授权中心请求与授权相关的密钥解密之后才能使用该数字内容。

加密技术的实现程序是:首先发送者必须产生一个“密钥对”，由一把公共密钥(Public key)和一把私人密钥(Private key)组成，公私密钥之间具有唯一的对应关系，但是由公共密钥无法推知私人密钥的内容。发送时，发送者用加密钥对信息加密，然后将加密后的密文发送给接收者，接收者利用发送人的公共密钥核查发送人的电子签名，并通过解密运算得到作品信息。采用加密方法创建和核查算法函数产生“公共密钥”和“私人密钥”这两套不同但在数学上相关的对应互补的“非对称密码系统”，他人很难在可靠的非对称密码系统的管制下通过公共密钥推知私人密钥，从而起到保护版权的作用。

因此，以数据加密和防拷贝为核心的DRM技术基本上是以密码学理论为基础，采用的是将文件加密成密文的密钥系统或公钥系统的传统方法，提高加密、解密系统密级的方法是不断增加密钥的长度，只有授权用户才能得到解密的密钥，而且密钥是与用户的硬件信息绑定的。加密技术加上硬件绑定技术，防止了非法拷贝，这种技术能有效地达到版权保护的目的。当前国内外大部分计算机公司和研究机构的DRM技术都采用这种以数据加密和防拷贝为核心的DRM技术方法，针对各个应用领域，有不同的DRM系统，但是，这种方法在实际应用中变得越来越不安全，在加密视频数据方面存在着缺陷:一个问题是密文脆弱，必须从头到尾无误地解密，如果密文被修改或传输丢失，那么在解密过程中即使使用正确的私钥也无法恢复密文;另一个问题是加解密的费用计算，这在实际应用和低造价的消费电子设备中尤其重要。另外这种将文件加密成密文的方法，在将密文解开后就失去了保密意义，加密的密文还容易引起许多好事者的兴趣，触发他们积极破译的激情。

(2)数字水印。

数字水印(DigitalWatermark)技术是在数字内容中嵌入一组数据，在基本不损害原作品质量的情况下(即一般情况下，嵌入的数据通过人的视觉或听觉发现不了)，把著作权相关信息隐藏在数字文本、图片、音乐或电影中。与加密技术不同，数字水印技术并不能直接阻止非法拷贝行为，但它可以通过验证产品的所有权来揭露盗版、监视被保护数字内容的传播，以法律的手段对其进行制裁，间接地打消盗版者非法复制的企图，起到保护知识产权的作用。

一般认为数字水印具有以下特点:①不易察觉性:数字产品引入数字水印后，应不易被接收者察觉，也不能影响原作的质量。②安全性:数字水印应能对抗非法的探测和解码，面对非法攻击也能以极低的差错率识别作品的所有权，同时数字水印应该很难被他人复制和伪造。③鲁棒性:数字水印应该能够承受大量的、不同的物理和几何失真，包括在恶意攻击或无意操作的情况下，仍能保持水印的完整性和鉴别的准确性。(www.xing528.com)

在水印技术里有三个基本模块:①水印的生成，即生成想要嵌入到原始图像中的信息;②水印的嵌入，即把生成的水印嵌入到原始图像中，主要利用人的视觉或听觉系统的特性;③水印的恢复，数字水印从可见性上分，可分为可见水印和不可见水印，或称做可感知水印与不可感知水印。从技术上分，可以分为鲁棒水印和脆弱水印;从检验性分，可以分为私有水印和公共水印。可见水印与不可见水印的区别是:可见水印很容易由观察者监测到，而不可见水印则设计成对观察者透明，要使用信号处理技术来监测。嵌入水印要求修改原始媒体数字，例如，在数据里插入一定量的失真，恢复这个失真允许一个人识别数据的所有者;不可见或者透明水印使用人的视觉系统的属性来在嵌入水印的数据里最小化可感知的失真。鲁棒水印和脆弱水印的区别则在于:鲁棒水印设计成用于抵抗那些试图移除或者破坏水印的有意的或者无意的攻击，如有损压缩、滤波、几何放缩等;而脆弱水印则是设计用来能够高概率检测已嵌入水印数据的轻微改动，脆弱水印的主要应用是在内容认证方面。

(3)身份认证技术。

身份认证是一方证明另一方身份的过程，是证实被认证对象是否属实和有效的一个过程，其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。身份认证是DRM系统的一个重要组成部分，是实施权限管理的基础。身份认证技术多种多样，从最简单的用户名密码、硬件标志技术到公钥基础设施(PKI)技术，甚至生物识别技术。在复杂性、实时性和安全性方面，不同的身份认证技术差异很大。在单机或封闭环境下，身份认证相对简单，被认证对象的属性主要有口令、智能卡或者声音、指纹、虹膜等生物特征识别技术。

①口令核对法是鉴别用户身份最常用的方法，系统核对用户输入的用户名和口令与系统内已有的合法用户的用户名和口令是否匹配来验证用户的身份，它实现方便，使用简单，但是安全性低，网络环境下，口令被明文传输会使身份认证极不安全。

②硬件唯一标志认证技术也被称为硬件绑定技术，用户只有在特定硬件存在的情况下才能使用系统资源，获取硬件唯一标志的方法有很多，例如CPU的硬盘ID，但是只有一部分CPU可以获取硬盘ID、网卡硬件地址、USB设备ID绑定等。

③智能卡是由一个或多个集成电路芯片组成的集成电路卡，智能卡可存储用户的个人化参数和秘密信息。基于智能卡的认证方式是一种双因子的认证方式，若没有智能卡用户就不能访问系统资源，即使智能卡丢失，入侵者仍需猜测个人身份识别码(PIN)，才能从智能卡中读取秘密信息，进而利用该秘密信息与主机之间进行认证。

④数字指纹技术具有隐形性、鲁棒性、确定性、数据量大和抗合谋攻击能力等特点。所谓合谋攻击是由于数字指纹系统为每个用户分发各不相同的数据拷贝，几个用户有可能会联合起来查找标记的位置，以达到删除指纹或者陷害其他无辜的目的。目前抗合谋攻击的数字指纹方案有叛逆者跟踪、非对称指纹、匿名指纹、统计指数等。数字指纹技术多用于网络服务中的版权保护，它主要是为那些需要向多个用户提供数字产品，同时希望确保该产品不会被不诚实的用户非法再分发的发行者所采用。