基于射频手机的OMA DRM Agent及其RO设计方法
技术领域
[0001] 本
发明涉及数字
版权管理(DRM)领域,尤其是涉及OMA DRM系统中驻留在手机客户端设备的OMA DRM Agent以及其RO设计方法。
背景技术
[0002] 随着信息化时代的到来,交互式网络电视IPTV、
电子出版社、网络教育等以提供数字信息产品使用服务的产业取得长足的发展,这些产业具有越来越大的价值。在这样一个时期,有效保护数字信息产品的版权比以往任何一个时期都显得非常必要,数字
版权管理DRM(Digital Rights Management)就是在这样一个背景的产生的。在目前所有DRM技术标准中,开放移动联盟所制定的OMA(Open Mobie Alliance)DRM系列最具影响
力。 [0003] DRM技术主要是通过数字信息产品内容加密、授权管理等技术来实现数字版权的保护的。它的三个基本要素是加密后的数字信息产品、授权信息和内容加密密钥CEK(Content Encryption Key),客户端只有同时具有以上三个要素才能正常使用数字信息产品。数字信息产品内容加密采用对称加密
算法,密钥为CEK;授权信息主要包括关于数字信息产品使用方式、使用次数、使用时间等控制信息;为了保证CEK安全传输,CEK一般采用客户端设备公钥加密保护,这样只有具有相应私钥的客户端设备才能正确解密出CEK,并正常使用数字信息产品。授权信息与经过加密的CEK相结合,成为
版权对象RO(Right Object)。
[0004] 目前,OMA DRM系统通常由OMA DRM后台服务系统和手机客户端代理OMA DRM Agent组成,后台服务系统主要完成数字信息产品内容加密、RO生成与发布等,手机DRM Agent则负责控制客户端设备按照RO中授权的方式使用数字信息产品。在目前OMA DRM技术中,关于OMA DRM后台服务系统的技术比较多,而关于OMA DRM Agent的技术则比较少,没 有一个完整有效的OMA DRM Agent技术方案;到目前为止,OMA DRM已经发布了OMA DRM1.0与OMA DRM 2.0两个版本,同时,在2.0版本的
基础上,增加了一些新的应用,产生了2.1和2.2版本。OMA DRM 1.0主要支持禁止转发、组合发送、分别发送与
超级分发四种应用模型,业务模式单一,安全性也较低;OMA DRM 2.0针对OMA DRM 1.0进行了扩充和改进。但是OMA DRM 2.0仍存在一些问题,虽然提出了RO超级分发模式,但该模式要求Child Device在得到加密的数字内容后,需要重新向RI
申请版权,该模式只算是数字内容共享,称不上RO共享;对于属于同一域下的终端Devices,提出了离线存储和转发模型,虽然实现RO的共享,但该模型的前提是Devices仍然要事先在RI处注册到同一域下,而现实中,部分Device是不具有无线上网功能的,也就是通常所说处于离线状态;此外,ROAP对数据包丢失问题也未给予考虑,而现实中出现这种问题的概率并非很低。
发明内容
[0005] 针对上述
现有技术中的不足和问题,本发明提出了一种完整有效的手机客户端OMA DRM Agent RO设计的实现方法与解决方案。
[0006] 本发明提出基于手机平台的OMA DRM Agent的各个模
块,给出了完整有效的OMADRM Agent手机客户端实现方案,并深入研究了DRM Agent初始化,提出了RO共享模型,设计了使用于共享的RO,同时,改进了ROAP协议,使其适应RO共享和解决数据包丢失问题。 [0007] 本发明提出的基于手机平台的OMA DRM Agent手机客户端OMA DRM Agent RO设计整体方案包括,无线射频收发处理模块、认证与登录模块、版权信息管理模块、内容处理模块、可信计算模块和守护
进程与共享数据模块组成。其中,无线收发模块实现了离线手机之间的通信,既可用于接收RO和加密后的数字信息产品,同时在域中可以对Child Devices进行广播,以通知有RO更新或者过期。认证登录模块主 要完成终端设备的ROAP注册,以及EDN登录等;版权信息管理模块负责版权对象RO的
请求与接收、版权信息处理、RO的本地管理等;内容处理模块负责完成播放控制和数字内容的解密,播放控制主要包括播前控制、实时控制播后处理;可信计算模块TCM用来完成存储关键信息,如用户私钥、所有涉及到用户设备私钥的签名以及加解密算法等机密信息,并负责检查OMA DRM Agent核心代码的完整性;
守护进程与共享数据模块负责完成OMA DRM Agent初始化,开辟共享存储区并创建共享数据,是OMA DRM Agent各模块完成数据交互,最终完成OMA DRM Agent的各项工作。基于本发明主要针对手机OMA DRM Agent的RO设计方法的改进,故而对不涉及的模块不再赘述。
[0008] 下面针对本发明主要涉及到的RO设计模块的具体结构与实现作详细描述。 [0009] 认证与登录模块主要完成客户端设备的注册和EDN登录。
[0010] 第一.OMA DRM Agent注册
[0011] 当客户欲通过OMA DRM系统使用数字作品时,需要先在手机终端安装OMA DRM Agent程序并进行注册,通过注册后方能进行版权内容RO的获取以及数字内容的获取。注册过程中用到的协议是指ROAP注册协议。
[0012] OMA DRM Agent在两种情况下发起注册协议,其一,当客户端备安装OMA DRM Agent后,首次入网使用时;其二,客户在使用过程中,RI Context由于意外原因被清空或损坏。这里RI Context是注册成功后存储在设备的文件,其中包括ROAP的版本号、RI ID、加密算法、RI URL等。
[0013] 第二.EDN登陆
[0014] 当用户每次开启OMA DRM Agent时,将向EDN发出登陆请求,登陆成功与否,都会收到EDN发来的登录信息结果,其中,登陆请求用到协议为Login Request,登陆应答协议为Login Response。
[0015] 边缘发布
节点EDN是OMA DRM Agent请求RO与数字信息产品的直接来源,OMA DRMAgent开启后会发起登录EDN请求,只有登录EDN后,OMA DRM Agent才能申请RO。EDN收到OMA DRM Agent登录请求后,判断该OMA DRM Agent是不是属于本EDN所支持的范围内;如果属于本EDN,则发出登录成功应答,且把需要预发布的RO响应信息发送给OMADRM Agent;如果不属于本EDN,则发出登录失败应答,且应答信息中包括OMA DRM Agent所属EDN的URL。OMA DRM Agent收到EDN的应答后,判断是否登录成功;若登录成功,则保持连接,并且根据预发布的RO响应信息进行处理;若登录不成功,OMA DRM Agent使用新的EDN URL进一步发起登录EDN请求。
[0016] 手机OMA DRM Agent完成EDN注册和登陆成功后,即要对开启时的RO进行初始化的工作。
[0017] OMA DRM Agent初始化过程中进行代码完整性验证是为了保证OMA DRM Agent只有在其代码是完整的情况下才可以工作,否则停止OMA DRM Agent运行;OMA DRMAgent代码完整性验证是通过调用TCM中的OMA DRM Agent追踪系统实现的。初始化过程中的RO有效性查询是为了保证在OMA DRM Agent开启时就清除无效的RO,保证过期的RO不被重新利用。RI Context检查是检查客户端设备本地是否存在RI Context,如果没有则要调用认证与登录模块发起注册请求,注册完成后在OMA DRM Agent本地生成RI Context。边缘发布节点EDN是OMA DRM Agent请求RO与数字信息产品的直接来源,因此OMA DRM Agent初始化过程要进行边缘发布节点登录。登录到EDN后,EDN会根据OMA DRM Agent的权限情况为其预发布RO响应信息,OMA DRM Agent根据接收到响应信息进行相应处理。 [0018] 版权信息管理模块是OMA DRM Agent的核心模块,是
版权保护的基础,也是本发明研究的重点,主要具有以下功能:
[0019] 1)版权对象RO请求与接收;
[0020] 2)版权对象RO的本地管理;
[0021] 3)版权信息处理。
[0022] 版权信息管理模块又由RO请求/接收、RO
数据库、版权信息处理三个子模块组成。
[0023] 版权信息请求与接收子模块主要完成RO的请求与接收。当客户端设备欲使用OMA DRM系统保护的数字信息产品而本地又没有该节目有效的RO时,OMA DRM Agent就会发起RO请求;OMA DRM后台服务系统对RO请求信息处理后将RO返回或者返回出错信息,OMA DRM Agent对该信息进行接收,并进行处理。在有些情况下,OMA DRM后台服务系统会以推的方式进行RO预发布或者发出RO撤销与更新消息,此时不需要OMA DRM Agent的请求信息,OMA DRM Agent会对接收到的信息进行相应处理。
[0024] RO数据库子模块主要对接收到的RO进行管理,该子模块包括RO数据库实体与RO数据库操作两部分。
[0025] 版权信息处理子模块是基于RO数据库及其相关操作的,用来完成RO有效性查询、RO使用次数控制、权限验证与CEK获取四项功能,这些功能又是数字信息产品内容解密与使用控制的基础。
[0026] 本发明通过理解OMA DRM基本原理及相关技术知识,并深入研究了OMADRMAgent初始化,提出了以下RO设计的思想:
[0027] 第一.改进RO结构,适应版权的灵活应用。
[0028] 针对经典RO的不方便性;本文将RO模块化,具体分为四个模块,根据需要可以快捷组成RO、PRO和CRO,且均采取签名措施,四个模块分别为标示RO自身信息的模块RO Info模块,版权模块Rights,加密密钥模块Enkey,以及对以上信息的签名Signature。对于RO,是对上面的三个模块的联合签名,对于PRO和CRO,只对其中的两个模块进行联合签名。以上是物理层面的概念,同时,根据RO共享的需要,在概念上又分为不同的RO,与前者共同构成九种不同的RO,通过设置RO Type加以区分。
[0029] 第二.提出了一个新的RO离线共享模式
[0030] 在同一域下的Devices中,选出一个具有无线上网功能的Device来充当该域的管理者,称为Parent Device,其他的Devices若想使用RO共享功能,则需要通过射频接收模块向Parent Device注册并加入域,这些RO也成为域RO,相应的Devices称为Child Device。当Parent Device申请到加密的数字内容和对应的RO(此时称为域RO)后,可以将该RO的使用次数分成数份,并生成新的RO(此时称为子RO),然后将子RO和加密的数字内容一起转发给Child Device,这样,Child Device就可以根据子RO对应的权限,来使用数字内容;对于没有使用次数限制的域RO,系统会规定可以转发的终端数量。 [0031] 第三.改进ROAP协议,适应RO离线共享,并防止数据丢失情况
[0032] 通过在ROAP协议中,设置Domain Status和各种Type,构成不同组合,以区分不同的RO注册、请求和申请。其中,注册过程中,通过Parent Device代理Child Device进行注册,后者无需在线联网,只需与Parent Device进行连接即可;在Parent Device和Child Device加入域后,前者首先通过改进RO Request申请到域RO,然后供后者通过同样的协议申请子RO,以实现RO的离线共享。
[0033] 通过设置会话ID及发送次数NO,解决数据丢失问题。
服务器首先保存会话ID,在RO Request中加入Session ID,在数据库中存储每个RO最后一次传送给终端的Session ID。如果用户在发送RO request一定时间后,因数据包丢失导致无法接收RO Response,终端将再次向RI提出申请,不过,此次申请仍使用上次的Session ID,RI验证上次的Session ID以及用户身份(必须和上次通信信息相同)后,将原RO发送给终端;通过NO的设置,可以防止重复注册、请求和发放,提高系统的效率
[0034] 本发明提出的基于手机平台的OMA DRM Agent RO设计方法,其特征在于以下六个方面:第一:设计了基于基于手机平台的OMA DRM Agent的成功运行的四大功能模块,并设计了用于RO离线共享的无线射频模块。第二,在手机OMA DRM Agent的 基础上,改进RO结构,适应版权的灵活应用;第三,本发明提出了一个新的RO离线共享模式;第四,改进ROAP协议,适应RO离线共享,并防止数据丢失情况。
附图说明
[0035] 图1是本发明提出的手机OMA DRM Agent的整体结构图;
[0036] 图2是本发明
实施例手机OMA DRM Agent初始化的
流程图;
[0037] 图3是本发明提出的RO/PRO/CRO结构示意图;
[0038] 图4是本发明实施例中RO数据库的结构示意图
[0039] 图5是本发明实施例中RO数据库的RO Type单元参数及含义列表; [0040] 图6是本发明提出的手机OMA DRM Agent的RO离线共享模型;
[0041] 图7是本发明实施例中RO离线共享流程图;
[0042] 图8是本发明实施例中改进型ROAP的流程图;
具体实施方式
[0043] 以下结合附图说明对本发明的实施例作进一步详细描述,但本实施例并不用于限制本发明,凡是采用本发明的相似结构及其相似变化,均应列入本发明的保护范围。 [0044] 图1是本发明提出的手机OMA DRM Agent的整体结构图,该图也表明了手机OMA DRM Agent在整个OMA OMA DRM系统中的
位置。从图1中可以看出,手机OMA DRM Agent由无线射频收发处理模块、可信计算模块TCM、认证与登录模块、版权信息管理模块、内容处理模块和守护进程与共享数据等五个模块构成。在OMA DRM整个系统中,手机OMA DRM Agent与边缘发布节点EDN通信,所有的注册请求、RO请求与接受、数字版权信息的请求与接受都是通过EDN与OMA DRM后台服务系统进行信息交互的。
[0045] 在图1中,认证与登录模块主要完成客户端设备的注册和边缘发布节点EDN(Edge Distribution Node)登陆,这是手机OMA DRM Agent获得RO以及经过加密的数字信息产品的前提条件;版权信息管理模块主要完成RO的请求、接收与管理; 内容处理模块主要完成加密过的数字信息产品解密以及使用控制;TCM保存客户端设备私钥等重要信息,并对OMA DRM Agent代码完整性进行校验;守护进程指的是OMA DRM代理在启动之后,一直运行的程序,共享数据指的是在整个OMA DRM Agent系统内部各模块都可以
访问的数据,便于各个模块之间的数据交互。
[0046] 本发明提出OMA DRM Agent,其整体安全思想如下:客户端设备欲要使用数字信息产品,必须先进行注册,并且取得RO和经过加密的数字信息产品,进而在内容处理模块的控制下使用该数字信息产品;而这一流程安全进行的保障是TCM保证OMADRM Agent的代码是完整的;守护进程与共享数据则完成OMA DRM Agent初始化、实时监控,并协调各个模块协同工作。
[0047] 图2是本发明实施例手机OMA DRM Agent初始化的流程图,该图只是说明手机OMA DRM Agent初始化过程顺序完成的各步操作,而对于每一步中具体操作没有进行说明,详见下面所述。
[0048] 步骤1.可信计算模块TCM中OMA DRM Agent追踪系统对OMA DRM Agent代码完整性进行校验,如果OMA DRM Agent代码是完整的,则继续进行后续操作;否则停止OMA DRM Agent运行,并提示客户更换OMA DRM Agent。
[0049] 步骤2.调用版权信息管理模块,进行终端开机RO有效性查询,保证在OMA DRMAgent开启时就清除无效的RO,防止过期的RO被重新利用。
[0050] 步骤3.检查客户端设备本地是否存在RI Context,如果没有则要调用认证与登录子模块发起注册请求,注册流程如图2所示。
[0051] 步骤4.按照图2所示的边缘发布节点EDN登录流程登录EDN,OMA DRM Agent判断是否登陆成功,成功则继续进行后续操作;否则登陆
中间件询问EDUURL。 [0052] 步骤5.检查EDU恢复的Login Response中是否含有新的RO Response,如果有则调用Add_RO_Response将RO数据库内容加一,否则调用Add_RO_Response将RO数据库内容加0,即不做改变。
[0053] 完成上述五个步骤后,对于实时性要求较高且终端具有相关RO的数字信息产品,OMA DRM Agent初始化还要建立一个数字信息产品与其对应CEK密钥列表。 [0054] 对于整个手机OMA DRM Agent初始化完成之后,则将要对RO更高效率的超级分发及共享进一步的设计。RO共享是指根据RO的权限
许可,RO可以供多个用户使用。在提出离线RO共享模型前,需要首先对RO结构进行一定的改造。
[0055] RO在存储结构上,分为PRO(Permission RO)和CRO(CEK RO);其中,同一个RO下的CRO需要PRO负责,即只有当PRO有效时,对应的CRO才可用;对于本发明中讲述的RO共享,从RO的级别上,在概念上又可分为父RO和子RO,其中,父RO是有Parent Device向RI申请到的适用于本域的可以再次派生的RO,子RO是由Parent Device从父RO中派生出并发送给Child Device的RO,父RO和子RO均可以同时包括PRO和CRO,或二者之一。 [0056] RI生成RO后,被封装为Protected RO形式,经典的Protected RO包括RO及RO签名Signature,签名可以防止RO被终端Device非法篡改,因为,终端Device在每次使用RO前,都要先验证该RO的签名是否成立,这点由终端代理OMA DRM Agent来保证,而OMADRMAgent的安全性,则由可信计算模块TCM的完整性验证来保证。
[0057] 但经典RO在使用过程具有较大的不方便性,其一,用户不一定每次都需要完整的RO,有可能只需要PRO和CRO中的一个,这点在在RO域共享中表现尤为突出,这时只能采取对PRO进行签名的方法,而CRO没有签名,无法保证信息的安全;其二,RO不具有模块化,对相同信息重复生成,效率较低;本发明针对以上问题,如图3所示将RO模块化,具体分为四个模块,根据需要可以快捷组成RO、PRO和CRO,且均采取签名措施,四个模块分别为标示RO自身信息的模块RO Info模块,版权模块Rights,加密密钥模块Enkey,以及对以上信息的签名Signature。对于RO,是对上面的三个模块的联合签名,对于PRO和CRO,只对其中的两个模块进行联合签名。签名后则成为Protected 型,这也是存储在终端的最终形式。 [0058] RO数据库是客户端设备本地RO管理的基础,包括RO数据库实体与RO数据库操作两部分。RO数据库用来存储RO,在本实施例中是一个以结构体的形式存储RO的文件。RO数据库的结构形式如图4所示。
[0059] 其中本发明增加了一个新的RO Tpye参数类型,如图5所示。以Domain Status来区分设备是否为域设备。Domain Status为1时,代表设备为域中设备。DomainStatus为0时,代表设备为常规设备。如图5所示,以三位二进制码来具体区分父设备的RO,PRO或者CRO,还是子设备的RO,PRO或者CRO。
[0060] 通过上述新增的RO Type参数类型等组成的RO数据库为基础,针对OMA OMADRM2.0中,虽然提出了超级分发模式,但该模式要求Child Device在得到加密的数字内容后,需要重新向RI申请版权,该模式只算是数字内容共享,称不上RO共享;对于属于同一域下终端Devices,提出了离线存储和转发模型,基于此,已经有相关的研究虽然实现RO的共享,但该模型的前提是Devices仍然要事先在RI处注册到同一域下,而现实中,部分Device是不具有无线上网功能的,此时,就无法实现在RI处注册。故而本发明提出的新的手机OMADRMAgent的RO离线共享模型,如图6所示。
[0061] 从图6中可以看到,域中的Parent Device具有代那些离线手机注册并且代其入域的功能。显示了Parent Devices,Child Devices和CI以及RI在整个系统中离线共享的模型。从对子Device是否有在线要求的
角度看,RO的共享可以分为在线共享和离线共享,其中,在线共享的复杂度低于离线共享,且离线共享对在线共享具有兼容性,故本发明主要研究了RO离线共享模式。
[0062] RO离线共享流程如图7所述:
[0063] 步骤1:在所有Device完成OMA DRM Agent代码安装及完整性验证之后,各Child Device通过RO注册协议RORP向Parent Device申请注册。注册成功后, ParentDevice端保存注册成功信息,主要包括各Child Device IDi和完整性信息,Child Device端生成RI Context。转到步骤2。
[0064] 步骤2:Parent Device携各Child Device注册信息及自身信息,同样按照RORP向RI申请注册。注册成功后,Parent Device端生成RI Context。转到步骤3。 [0065] 步骤3:注册成功后,ParentDevice通过Join Domain协议向RI申请加入域,RI会为ParentDevice分配一个Domain ID,并生成Domain Context发送给Parent Device,然后存储到本地。若不是首次申请加入,即已经加入该域,则跳过此步,否则,若未加入,或申请再次加入新的域,则执行此步。转向步骤4。
[0066] 步骤4:注册成功后,Child Device按照同样的协议向ParentDevice申请加入域,成功后生成Domain Context并发送给Child Device,转向步骤5。对于未注册的新Child Device,在其申请加入域前,需先转到步骤1。
[0067] 步骤5:Parent Device注册和加入域后,则通过RO Request向RI申请(Domain)RO,RI通过RO Request把生成的RO返回。此处,RO是否具有域功能,取决于请求协议RO Response中域参数的选择,参数设置详见图5所示。若该RO具有域属性,则转向Step6,否则,RO的请求与获取结束,此时为普通的RO申请。
[0068] 步骤6:在步骤5中,若申请的RO具有域属性,即可以共享,则Child Device同样通过RO Request和RO Response向Parent Device申请和获取子RO,但具体参数要有所变化。
[0069] 步骤7:若Child Device需要退出域时,则可通过LeaveDomain Request申请退出,Parent Device通过Leave Domain Response给予退出域的答复。此处,Parent Device也可以不经过Child Device离域申请,单方面使其退出。
[0070] 在进行离线共享过程中,不可避免需要多次进行ROAP协议的通信。ROAP Right Object Access Protocol的缩写,ROAP协议目的是完成终端设备注册,版权对 象的分发,撤销以及更新。它可以分为注册协议RO Registration、请求协议RO Request和获取协议RO Response。
[0071] OMA DRM2.0中的ROAP没有考虑终端在RO注册和RO获取的过程中,数据包丢失[34]或因其他因素而中断的情况 。本发明基于OMA ROAP协议,针对此问题进行了改进。图
8是改进后的ROAP流程图。
[0072] 改进的ROAP通过设置会话Session ID和发送次数NO,在RI与终端Device通话时,将Session ID和NO一并发送给Device,若是该会话的首次发送信息,则将NO设置为0,第二次则设置为1,以此类推;同时,在系统数据库中存储该Session ID和NO。如果Device在发送Registration Request和RO request一定时间后仍无法收到相应的Registration Reponse和RO Response,那么,终端Device将再次向RI提出相应的申请Request,不过,此次申请仍使用中断前的Session ID和NO,且将NO在上次申请的基础上进行加一,以表示是第几次申请,当RI检验到非首次申请信息后,继而验证本次申请的Session ID是否在服务器端的数据库中,若存在且该会话在有效期(可设置成几秒)内,且确定此NO是该会话中最大的,即最新的申请,则找出该Session ID所对应的Response再次发送给Device;终端系统收到Response后,检验该Response是否有效在效期内,若有效的话,且在确保NO是该会话最大的情况下,则接受相应的Response,若该Response是RO Response,则将相同的RO删除。下文所谈到的ROAP,均指本发明中改进的ROAP。
[0073] 对NO有一点需要说明,倘若终端在一定时间内无法收到RI的Response,则立刻再次申请并收到Response,但上次申请的有可能仍然会收到,那么,终端则接受NO较大的Response,删除其他的。
[0074] 利用本实施例方法基于Windows Mobile 6.0,在手机
模拟器上,对上述的RO共享中的改进型ROAP,域的加入与离开,以及终端使用时的RO验证和RO管理,给予了实现。
