繁荣发展的影音市场需要强有力的媒体版权保护技术对著作人及发行 商的利益进行保护。传统的基于加密的媒体保护技术将加密的密钥放置于 媒体载体之上，这样难以根据实际情况动态调整保护策略，且一旦一份拷 贝被非法破解，则可批量制作非法拷贝。现有比较强的保护方案需要通过 Internet更新版权控制信息或解密密钥，或者通过在线收费播放的方式进 行保护，这就要求必须拥有Internet环境，给用户造成极大的不便，也大 大限制了现有媒体的适应性。下面，介绍几个与本发明接近的对比文献。
一、记录再生装置、控制方法以及防止非法系统(申请号02107749.5， 公开号1379377)提供一种保护著作权的记录再生装置，它在有非法使用具 有著作权的信息时，检测到该非法使用，根据需要使有非法使用记录的机 器失效。
二、数字数据复制控制系统及其方法以及光盘播放装置和存储介质(申 请号01103457.2，公开号1308331)，该方案在数字数据记录介质埋入数据 形式以及数字数据形式的复制控制管理信息，在向其他记录介质复制时， 解读暗号读出复制控制管理信息，由上述复制控制管理信息进行播放控制。
三、信息处理系统、介质、设备、方法以及相应的存储介质(申请号 02104700.6，公开号1372197)通过使用一种取样程序，嵌入一种数字内容 的版权信息总是能够被取样，且数字内容的版权能够得到可靠的保护，该 取样程序被自动激活并从该数字内容取样该版权信息。
以上公开的发明均侧重在用户本地实现媒体版权的识别和访问控制， 由于对于盗版者而言版权标识的破解和伪造是可以做到的，因此上述方案 无法从根本上杜绝盗版行为，从而难以有效保护媒体内容的版权。

本发明的目的在于克服上述不足之处，提供一种基于在线受控访问技 术的数字存储媒体保护方法及其系统；本发明可以有效地杜绝盗版行为， 从而强有力地保护数字存储媒体的权益。
本发明提供的一种基于在线受控访问技术的数字存储媒体保护方法， 包括以下步骤：
(1).媒体受控访问设备读取身份识别卡上的用户账号和数字媒体存储 介质上的加密的媒体内容；
(2).媒体受控访问设备提取媒体版权信息和账户标识，并通过网络将 媒体版权信息、账户标识和用户访问请求类型作为访问请求发送到指定的 媒体访问控制服务器；
(3).媒体访问控制服务器对接收的访问请求中媒体版权信息和账户标 识进行认证，如果确认媒体内容和账户合法，则访问账户数据库执行收费， 将媒体发行商账户和用户账户信息发送给媒体访问控制服务器，并从媒体 信息数据库调出媒体密钥，生成媒体访问许可证，该许可证包括媒体密钥、 收费回执和访问控制命令，否则发出拒绝访问的控制命令；
(4)媒体访问控制服务器将媒体访问许可证返回给媒体受控访问设备， 媒体受控访问设备依据访问控制命令执行或中断访问操作。
实现上述方法的系统，其特征在于：该系统包括媒体访问控制服务器、 媒体受控访问设备、账户数据库和媒体信息数据库；其中，
账户数据库用于存储用户认证信息和收支情况，它向媒体访问控制服 务器提供用户认证的账户信息，并存储用户的收支情况；
媒体信息数据库用于存储版权信息、密钥等媒体信息，它向媒体访问 控制服务器提供媒体认证所需的媒体信息，以及向媒体访问控制服务器提 供解密媒体的密钥；
媒体访问控制服务器是控制媒体受控访问设备执行媒体访问的服务 器；媒体访问控制服务器接收媒体受控访问设备发送的用户的各种访问请 求并进行处理，负责生成并返回相应的媒体访问许可证并对账户进行计费， 或发出拒绝访问的控制命令；
媒体受控访问设备为装有媒体受控访问模块的媒体播放器，用于在版 权保护的控制下进行媒体的受控访问；媒体受控访问模块用于将用户请求 发送给媒体访问控制模块，并接收媒体访问控制模块发送的媒体访问许可 证或拒绝访问的控制命令，利用媒体访问许可证解密媒体，执行用户访问 请求或中断访问操作。
上述媒体访问控制模块包括媒体信息数据库管理子模块、账户数据库 管理子模块、访问控制子模块、计费子模块、认证子模块和许可证生成子 模块；
媒体访问控制服务器从媒体受控访问设备获取账户标识、访问请求类型 及媒体信息，并将其提供给认证子模块；账户数据库管理子模块和媒体信 息数据库管理子模块分别提供账户数据库和媒体信息数据库的安全访问接 口，账户数据库管理子模块从账户数据库读取媒体发行商账户信息和用户 账户信息，媒体信息数据库管理子模块从媒体信息数据库读取媒体密钥； 访问控制子模块负责向媒体受控访问设备发送媒体访问许可证和收费回 执；认证子模块根据媒体版权信息与账户标识以及账户数据库管理子模块 发送的媒体发行商账户信息与用户账户信息，判断账户和媒体是否合法； 验证通过后将账户信息、访问请求类型和媒体信息传递给许可证生成子模 块，该子模块根据以上内容，结合从媒体信息数据库获得的媒体密钥以及 当前时间，生成媒体访问许可证并发送给媒体受控访问设备和访问控制子 模块；计费子模块同时根据账户标识、访问请求类型及媒体信息判断所应 收取费用，在账户数据库上做相应收费记录，并将收费回执发送给访问控 制子模块；访问控制子模块将媒体访问许可证和收费回执返回给媒体受控 访问设备。
上述媒体受控访问模块包括媒体介质访问模块、身份识别卡读取模块、 网络通信模块、解密模块、解码输出模块和中央控制模块；
媒体介质访问模块负责读取媒体介质上的信息，执行对媒体的读写操 作；身份识别卡读取模块负责从身份识别卡中读取用户账号，提供给中央 控制模块；网络通信模块负责提供网络接入，将中央控制模块发出的用户 请求发送给服务器，接收服务器发布的媒体访问许可证并返回给中央控制 模块；解密模块从服务器发送的媒体访问许可证中提取访问必需的媒体密 钥，解密媒体内容；解码输出模块则负责解码输出解密后的影音文件；中 央控制模块总体负责访问控制的逻辑操作，终端播放设备的控制，并调度 各子模块协同工作。
本发明利用灵活的网络接入方式，配置灵活的收费策略，控制媒体内 容在安全的环境下被访问。它将缴费过程从碟片的购买推向访问权限的获 取，实现播放即付费(play and pay)。内容提供商通过和网络服务提供商 的协议，由媒体内容访问的次数决定收益。获利方式主要通过在线访问计 费实现，而不是通过实现贩卖光盘等媒体存储介质来实现。从而从根本上 应对比特复制(bit-to-bit)的盗版，使破解者无利可图。实现对数字影 音媒体的播放、复制等灵活多样的访问控制。具体而言，本发明具有以下 技术效果：
(1)为媒体制作商/发布商提供更加灵活的盈利模式，收费策略可以 在媒体访问控制服务器端进行灵活的配置。
(2)为媒体内容提供更强的保护措施，加密密钥存放于媒体访问服务 器上，而不再存放于媒体存储介质上，同时密钥经过网络传输时，可采用 多重加密措施以确保机密性。
(3)切断媒体的非法复制者的利益来源。采用“播放即付费”机制使 得媒体拷贝的销售价格可以降至足够低，使得媒体非法拷贝无利可图。
附图说明
图1为本发明的在线受控访问控制流程图；
图2为本发明方法的内容访问流程图；
图3为基于本地数据库的模块层次图；
图4为基于远端数据库的模块层次图；
图5为媒体访问控制模块的结构示意图。

为更清楚地表述本发明的内容，首先对一些术语加以说明。
网络接入提供商(ISP)：提供网络接入技术的厂商，既作为网络通信环 境的提供商，同时作为认证结算中心，负责内容访问的认证和计费。
媒体内容提供商：负责提供数字存储媒体内容，通过网络接入提供商 的网络渠道分发影音产品，并按照和网络接入提供商的事前协议进行利润 分成。
终端用户：影音产品终端消费者。通过网络接入提供商提供的身份识 别卡标记身份。网络接入提供商根据访问方式和次数在该用户账户上进行 计费。终端用户通过预存、结算等多种方式定期或不定期地按照账户数据 库上收费记录交纳费用。
本发明基于以下原理实现：
经过加密的数字媒体存储介质通过灵活的销售渠道为用户获得，该媒 体只能通过媒体受控访问设备被用户访问，并受到控制；用户访问媒体前 需要采用身份识别卡在线提交有效的账户信息；访问控制服务器对账户信 息和嵌入媒体中的版权信息进行认证后，实施收费，并授予用户访问许可 证；用户获得许可证后方能获得媒体相应访问权限。
下面先对数字媒体存储介质和身份识别卡加以介绍。
1.数字媒体存储介质
数字媒体存储介质采用一种新的数字媒体安全存储标准来记录数字内容和 版权信息的媒质。
本发明所访问的数字存储媒体存储介质是一种采用新的数字存储媒体 安全存储格式来记录数字内容和版权信息的介质。数字存储媒体的存储形 式及发布方式可以灵活多样。一个完整的数字存储媒体包含两部分：加密 后的数字存储媒体内容及媒体的版权信息。
媒体内容提供商为发行的数字存储媒体版本选定一个媒体密钥，该版 本的所有拷贝将使用这个密钥。媒体内容的加密可选用对称的序列密码加 密方法等方法进行。解密的过程在媒体受控访问模块中执行。
媒体的版权信息包括内容标识(content identifier)和访问控制标 记(access control mark)两类。
1)内容标识
内容标识用于唯一地标记数字存储媒体。不同的数字存储媒体其内容 标识不同。内容包括发行日期、内容提供商标识和内容拷贝的发行批号等。 内容标识以明文形式作为文件头位于影音文件之前。对这些信息任何的篡 改将导致服务器端身份认证的错误，从而无法获取媒体密钥。
2)访问控制标记
访问控制标记采用受版权保护媒体所允许的访问操作。存放于存储介 质的只读区域，只能在制作存储介质时一次性写入，普通用户无法修改该 区内容。(例如，DVD光盘就存在这样的只读区域，只能在压制母盘时写入 信息，普通用户无法通过刻录设备再次写入信息)。用户发出媒体访问请求 后，将该请求首先和访问版权控制标示进行对比。若用户操作超出该标识 所允许的权限，则无法执行访问操作。
2.身份识别卡
身份识别卡用于标识在系统中终端用户唯一的身份。
身份识别卡可外置，也可内置于用户端的媒体受控访问设备中，由媒 体受控访问设备中的身份识别卡读取模块读取其中的信息，以标识在系统 中终端用户唯一的身份。用户可通过购买身份识别卡来使用新的账号。在 媒体受控访问设备向服务器发送用户访问请求中，包含从该卡上读取出的 账户标识。服务器据此判断用户身份，进行可否进行分发媒体访问许可证 的判断及对该账户计费的操作。
下面结合附图对本发明的工作流程作进一步详细的说明。
用户获得加密的媒体拷贝，只能在符合本体系定义的技术规范的媒体 受控访问设备上访问媒体内容，其媒体访问流程如图1所示。
(1).用户将身份识别卡上的用户账号a1和数字媒体存储介质上的加 密的媒体内容a2输入到媒体受控访问设备1.1中，例如插入用户身份识别 卡以及媒体光盘。
(2).媒体受控访问设备1.1提取媒体版权信息b1和账户标识b2，并 通过网络(例如公共移动通信网、公共电话网或者因特网)将媒体版权信 息b1、账户标识b2和用户访问请求类型b3作为访问请求发送到指定的媒 体访问控制服务器1.2。
(3).媒体访问控制服务器1.2对接收的访问请求中媒体版权信息和账 户标识进行认证，如果确认媒体内容和账户合法，则访问账户数据库2.2 执行收费，将媒体发行商账户c2和用户账户信息c3发送给媒体访问控制 服务器1.2，并从媒体信息数据库2.1调出媒体密钥c1，否则发出拒绝访 问的控制命令。
(4).媒体访问控制服务器1.2将媒体访问许可证d1(包括媒体密钥、 收费回执和访问控制命令)返回给媒体受控访问设备1.1，媒体受控访问设 备1.1依据访问控制命令执行或中断访问操作。
其详细的访问过程如图2所示。
系统组成
该系统包括四个部分：媒体访问控制服务器1.2、媒体受控访问设备1.1、 账户数据库2.2和媒体信息数据库2.1。
1、账户数据库
账户数据库2.2存储用户认证信息和收支情况的数据库，它向媒体访 问控制服务器提供用户认证的账户信息，并存储用户的收支情况。
2.媒体信息数据库
媒体信息数据库2.1存储版权信息、密钥等媒体信息的数据库，它向 媒体访问控制服务器提供媒体认证所需的媒体信息，以及向媒体访问控制 服务器提供解密媒体的密钥。
媒体信息数据库和账户数据库可位于媒体访问控制服务器本地，也可 位于远端，由专门的单位(如媒体发行商、银行等)负责管理和维护。所 有分布于各地的媒体信息数据库和账户数据库均采用统一的媒体信息存储 格式和账户存储格式，以便于和媒体访问控制服务器通信。
3、媒体访问控制服务器
媒体访问控制服务器1.2是控制媒体受控访问设备1.1执行媒体访问 的服务器。媒体访问控制服务器负责处理用户提出的访问各种请求，根据 不同的请求，生成并返回相应的媒体访问许可证，并对账户进行计费。
如图3所示，媒体访问控制模块包括媒体信息数据库管理子模块3.1、 账户数据库管理子模块3.2、访问控制子模块3.3、计费子模块4.1、认证 子模块4.2和许可证生成子模块4.3。按照实现功能和步骤，媒体访问控制 服务器可自下而上分为三层：网络接入层，信息访问与控制层和应用服务 层。其中下层为上层提供服务。
网络接入层提供各种类型网络的接入，与媒体受控访问设备的网络接 口2.3负责从媒体受控访问设备1.1接收账户标识、访问请求类型及媒体 信息，并将其直接提供给应用服务层的认证子模块4.2；信息访问与控制层 的账户数据库管理子模块3.2和媒体信息数据库管理子模块3.1分别提供 账户数据库和媒体信息数据库的访问接口，账户数据库管理子模块3.2从 账户数据库2.2读取媒体发行商账户信息c2和用户账户信息c3，媒体信息 数据库管理子模块3.1从媒体信息数据库2.1读取媒体密钥c1。访问控制 子模块3.3则负责向媒体受控访问设备的网络接口2.3发送媒体访问许可 证d1和收费回执d2。应用服务层的认证子模块4.2根据媒体受控访问设备 的网络接口2.3发送的媒体版权信息b1与账户标识b2以及账户数据库管 理子模块3.2发送的媒体发行商账户信息c2与用户账户信息c3，判断账户 和媒体是否合法。验证通过后将账户信息、访问请求类型和媒体信息传递 给许可证生成子模块4.3，该子模块根据以上内容，结合从媒体信息数据库 获得的媒体密钥以及当前时间，生成媒体访问许可证d1，并发送给访问控 制子模块3.3。计费子模块4.1同时根据账户标识、访问请求类型及媒体信 息判断所应收取费用，在账户数据库上做相应收费记录，并将收费回执d2 发送给访问控制子模块3.3。最后，访问控制子模块3.3将媒体访问许可证 d1和收费回执d2返回给媒体受控访问设备的网络接口2.3。
随着账户数据库2.2和媒体信息数据库2.1的位置不同，媒体访问控 制模块的层次结构也可以灵活配置。图3中，账户数据库2.2和媒体信息 数据库2.1均位于本地，则媒体访问控制服务器1.2同时实现账户和媒体 信息的管理。图4中，账户数据库和媒体信息数据库均位于远端，故而， 网络接入子模块2.4还负责对远端账户数据库和媒体信息数据库的接入。 这时，对账户数据库和媒体信息数据库的管理可分别交由电子银行和媒体 提供商负责。
本方案的体系结构未对媒体访问控制服务器的构架及运营方式进行定 义和约束。一个恰当的(典型的)运营模式是终端用户通过预存、结算等 多种方式定期或不定期地按照账户数据库上收费记录交纳费用。提供媒体 访问控制服务地网络运营商则按照与内容提供商的约定进行利润分成。在 上述体系结构亦未对网络接入方式做定义。收费标准及策略亦可根据媒体 内容提供商和网络接入提供商的协议以及市场销售状况进行动态调整。
4、媒体受控访问设备
媒体受控访问设备是指装有媒体受控访问模块的媒体播放器，用于在 版权保护的控制下进行媒体的受控访问，访问方式包括读取、播放等。媒 体受控访问模块的功能包括将用户请求发送给媒体访问控制模块；利用媒 体访问许可证解密媒体；执行用户访问请求等。
媒体受控访问模块负责在受控的环境下进行媒体访问。访问方式包括 读取、播放等。受控访问的实现方式是通过将用户请求发送给媒体访问控 制模块服务器，获得相应媒体访问许可证后，解密媒体并进行访问。如图5 所示，媒体受控访问模块从功能上可划分为：媒体介质访问模块7、身份识 别卡读取模块8、网络通信模块9、解密模块6、解码输出模块10和中央控 制模块5。
媒体介质访问模块7负责读取媒体介质上的信息，执行对媒体的读写 操作；身份识别卡读取模块8负责从身份识别卡中读取用户账号a1，提供 给中央控制模块5；网络通信模块9负责提供网络接入，将中央控制模块5 发出的用户请求发送给服务器，接收服务器发布的媒体访问许可证并返回 给中央控制模块5；解密模块6从服务器发送的媒体访问许可证d1中提取 访问必需的媒体密钥c1，解密媒体内容；解码输出模块10则负责解码输出 解密后的影音文件；中央控制模块5总体负责访问控制的逻辑操作，终端 播放设备的控制，并调度各子模块协同工作。身份识别卡读取模块8用于 标识在系统中终端用户唯一的身份。身份识别卡读取模块8内置于用户端 媒体受控访问设备中，用于标识在系统中终端用户唯一的身份。用户可通 过购买身份识别卡来使用新的账号。在媒体受控访问设备向服务器发送用 户访问请求中，包含从该卡上读取出的账户标识。服务器据此判断用户身 份，进行可否进行分发媒体访问许可证的判断及对该账户计费的操作。
用户发出访问媒体的请求后，中央控制模块5首先将请求和存储介质 上的访问控制标记进行比对(参见对数字媒体存储介质的描述)。在请求允 许的前提下，选取当前时间，身份识别卡上相关信息及用户访问请求生成 标准的用户访问请求(access request)。
在收到服务器发送的媒体访问许可证后，中央控制模块5首先确认媒 体访问许可证的合理性，确认通过后将媒体解密密钥从中提取出来，执行 用户所要求的访问。
实例：
在此实例中，我们通过公共移动通信网实现在线受控访问，借助移动 电话使用的SIM卡作为用户身份识别卡，从而实现移动支付；采用DVD光 碟存储媒体内容。
本发明可广泛适用于数字存储媒体的保护，下面以一个典型实例来说 明本发明的实施流程。
某用户购买了一张符合本发明定义的数据存储标准的影音光碟，他希 望在自己购买的符合本发明定义的受控访问光碟机上放映。流程如下：
1用户将DVD光碟放入光碟机，并按下播放键，要求播放影音内容。
2光碟机中媒体受控访问模块读取影碟媒体文件头中的访问权限控制 标记，并判断用户的访问请求类型是否在媒体内容所允许的访问权限之内， 如果是，则进入下一步，否则拒绝用户的访问请求。
3媒体受控访问模块检查光碟机内是否存在可用的媒体访问许可证，如 果有，则提取密钥，解密媒体内容，实现用户操作请求。否则转入下一步。
4光碟机从内置的SIM卡中获得账户标识，从DVD光碟中获得媒体信息 及访问请求类型，并生成标准格式的访问请求(access request)，通过公 共移动通信网发送给媒体访问控制服务器。
5媒体访问控制服务器的网络接入层接收到用户访问请求后，将请求 中包含的账户标识和媒体信息提交给认证子模块。
6媒体访问控制服务器访问账户数据库，对账户标识进行认证，若认 证失败则拒绝访问，若认证成功则进入下一步。
7媒体访问控制服务器访问媒体信息数据库，对媒体内容进行认证， 核实媒体内容是否合法。若认证失败则拒绝访问，若认证成功则进入下一 步。
8媒体访问控制服务器根据账户标识、访问请求类型及媒体信息对用 户账户计费。
9媒体访问控制服务器根据媒体内容的版本查询媒体信息数据库获得 媒体密钥，结合用户的访问请求类型生成媒体访问许可证(license)。
10媒体访问控制服务器通过公共移动通信网向光碟机返回媒体访问许 可证。(详细过程参见媒体访问控制模块)。
12光碟机收到媒体访问许可证后，提取其中解密密钥，解密加密媒体 内容，播放DVD光碟内容。
13根据媒体访问控制服务器的计费日志，网络服务提供商和媒体内容 提供商定期分红。