本发明涉及一种数字版权保护方法及系统、用户设备、多媒体服务器。

近几年来，基于宽带有线网络的流媒体技术应用获得了长足发展，基 于移动通信网络的流媒体技术也日益走向成熟。
流媒体是采用流式传输方式在网络上传输的媒体格式。流媒体在播放 前不需要下载整个文件，只将开始部分内容存入内存，在用户终端中对数 据包进行缓存并使媒体数据正确地输出。在流式传输方式中，用户不必等 到整个媒体文件全部下载完毕，而只需几秒或几十妙的启动延时即可观看， 文件的剩余部分将在后台从服务器内继续下载，让用户可以边接收边播放。
流媒体的传输过程中需要考虑的一个重要方面就是版权问题。数字版 权DRM(Digital Right Management)是为了保护数字媒体(如游戏、铃声、 图像、音频、视频等)不被非法复制和非法使用而产生的一门技术。在有 线网络中，DRM的使用已经很普遍。
目前，国际上针对移动DRM开展了大量的研究工作。其中，开放移动 联盟OMA(OPEN MOBILE ALLIANCE)制定的移动DRM标准得到了广泛 的支持和认同。2005年6月14日，OMA公布了最新的OMA DRM V2.0，制 定了基于公钥基础设施PKI(Public Key Infrastructure)的安全信任模型， 给出了移动DRM的功能体系结构、权利描述语言标准、DRM数字内容格式 (DCF，DRM Content Format)和权利获取协议(ROAP，Rights Object Acquisition Protocol)。
OMA DRM系统包括终端DRM代理程序(DRM Agent)、内容中心CI (Content Issuer)、版权中心RI(Rights Issuer)等。在OMA的流媒体数字 版权方案中，流媒体存放在流媒体服务器中。对媒体流加密，将解密密钥 放在版权对象RO(Right Object)中，如图1所示，RO中包含版权使用规则 110和媒体流解密密钥CEK(Content Encryption Key)120。用户设备的DRM
Agent获取RO后，在下载流的同时，用RO中的解密密钥解密媒体流后观看。 具体交互过程见图2：
步骤11，用户设备连接上内容中心CI的网页，找到并请求下载感兴趣 的流媒体；
步骤12，CI产生该流媒体的地址信息Token；
步骤13A和13B，CI分别向用户设备和RI发送Token；
步骤14，流媒体服务器与RI协商产生RO；
步骤15，用户设备向RI请求RO，请求中需携带Token；
步骤16，RI向用户设备发送RO；
步骤17，流媒体服务器与用户设备建立会话后，向用户设备传递经CEK 加密的DRM保护媒体流。
用户设备获取该DRM保护媒体流后使用RO中的CEK解密媒体流，并播 放该媒体文件。
发明人在研究过程中，发现现有技术中媒体流的解密过程由用户设备 的应用层完成，这对于用户设备的要求比较高，需要增加用户设备的额外 开销。
此外，在手机电视、文件下载等多媒体业务实现的过程中，现有技术 的数字版权保护方法和系统对用户设备的要求也比较高，需要增加用户设 备的额外开销。
安全互联网协议IPSec(Internet Protocol Security)使用强密码学来提 供认证以及加密服务。认证保证了数据包来自于正确的发送方而且在传输 过程中没有被更改过。加密则防止对数据包的未经授权的阅读。这些服务 允许建立不可信任网络中的安全隧道。IPSEC在网络协议栈的IP(Internet Protocol)层提供加密和认证服务。在IP层工作，IPSEC可以保护任何由IP 所负载的通信。

本发明的实施例提供一种数字版权保护方法及系统、多媒体服务器，可以 降低用户设备的开销。
本发明的实施例还提供一种用户设备，可以通过较小的开销实现数字版权 保护。
本发明实施例提供的一种流媒体数字版权保护方法，包括：
流媒体服务器与版权中心协商产生版权对象RO，RO中携带建立加密通 信信道的信息；
用户设备接收到RO后，通过RO中携带的建立加密通信信道的信息与流 媒体服务器建立加密通信信道；
流媒体服务器通过所述加密通信信道向用户设备发送媒体流。
本发明另一实施例提供的一种数字版权保护方法，包括：
多媒体服务器与版权中心协商产生版权对象RO，RO中携带建立加密通 信信道的信息；
用户设备接收到RO后，通过RO中携带的建立加密通信信道的信息与多 媒体服务器建立加密通信信道；
多媒体服务器通过所述加密通信信道向用户设备发送媒体数据。
本发明的又一实施例提供的一种数字版权保护系统，包括多媒体服务器、 版权中心和内容中心；
所述多媒体服务器，用于存放媒体数据，与版权中心协商产生携带建 立加密通信信道的信息的版权对象RO，并通过所述信息与用户设备协商建 立加密通信信道，经由所述加密通信信道向用户设备提供受版权保护的媒 体数据；
所述版权中心，用于与多媒体服务器协商产生携带建立加密通信信道 的信息的RO，将所述RO发送到用户设备；
所述内容中心，用于向用户设备提供媒体信息，并在用户设备请求下 载媒体数据时，通知多媒体服务器和版权中心协商产生RO。
本发明的再一实施例提供的一种数字版权保护系统，包括多媒体服务 器、版权中心、内容中心；
所述多媒体服务器，用于存放媒体数据，与版权中心协商产生携带建 立加密通信信道的信息的版权对象RO，并通过所述信息与用户设备协商建 立加密通信信道，经由所述加密通信信道向用户设备提供受版权保护的媒 体数据；
所述版权中心，用于与多媒体服务器协商产生携带建立加密通信信道 的信息的RO；
所述内容中心，用于向用户设备提供媒体信息，并在用户设备请求下 载媒体数据时，通知多媒体服务器和版权中心协商产生RO；将所述RO发 送给用户设备。
本发明另外一实施例提供的一种多媒体服务器，包括：
媒体数据存放单元，用于存放媒体数据；
RO协商单元，用于与版权中心协商产生携带建立加密通信信道的信息的 RO；
信道协商单元，用于通过所述信息与用户设备协商建立加密通信信道；
媒体数据提供单元，用于经由所述加密通信信道向用户设备提供受版权保 护的媒体数据。
本发明的又一实施例提供的一种用户设备，包括：
浏览器，用于浏览内容中心提供的媒体信息，请求下载媒体数据；
DRM Agent，用于获取接收到的RO中携带的建立加密通信信道的信息； 所述信息用于与多媒体服务器建立加密通信信道；
IPsec驱动，用于在所述DRMAgent的调用下，通过所述建立加密通信信 道的信息与多媒体服务器的IPSec驱动建立加密通信信道；
媒体播放器，用于播放经由所述加密通信信道传输的媒体数据。
本发明的实施例通过对逻辑通道加密，而非对媒体数据本身加密，从 而避免了客户端应用层解密媒体数据所需要的额外开销，降低了对终端设 备性能的要求，提高了用户感受。通过在客户端设备和多媒体服务器之间 建立专有的逻辑通道，降低了第三方实体拦截偷取媒体数据的风险，提高 了端到端通信的安全性。

图1为现有技术RO的构成示意图；
图2为现有技术流媒体DRM交互过程示意图；
图3为本发明第一实施例RO的构成示意图；
图4为本发明实施例的流媒体DRM方法的交互过程示意图；
图5为图4所示的IPSec第一阶段SA过程图；
图6为本发明实施例的DRM系统示意图；
图7为本发明的数字版权保护方法的第二实施例的流程图；
图8为本发明第二实施例的数字版权保护系统的框图。

以下结合附图进一步说明本发明的具体实施方式。
本发明实施例提供了一种基于IPSec的流媒体数字版权管理方案，在此 方案中，对流媒体服务器与用户设备之间的逻辑通道进行加密。在此方案 中，RO中存放的不是逻辑通道密钥本身，而是用户设备和流媒体服务器建 立IPSec通信信道的认证信息310，如图3所示。
本发明实施例的一种具体交互过程见图4。
步骤41，用户设备连接上内容中心CI的网页，找到并请求下载感兴趣 的流媒体；
步骤42，CI产生Token；
步骤43A和43B，CI分别向用户设备和RI发送Token；
步骤44，流媒体服务器与RI协商产生RO；
在此步骤44中，流媒体服务器与RI协商产生的RO中携带了用户设备和 流媒体服务器建立IPSec通信信道的认证信息。
步骤45，用户设备向RI请求RO，请求中需携带Token；
步骤46，RI向用户设备发送RO；
步骤47A、用户设备与流媒体服务器协商建立第一阶段安全关联SA (Security Association)，并对后续待协商建立的通信信道进行认证；所述 认证由双方使用RO中携带的认证信息进行；
步骤47B、用户设备与流媒体服务器协商建立第二阶段SA，建立IPSec 通信信道；
步骤48，流媒体服务器经所述通信信道向用户设备传递媒体流。
用户设备根据RO中的版权使用规则播放媒体流。
在步骤44中，产生RO时流媒体服务器与RI协商建立IPSec通信信道的认 证信息，该认证信息在步骤47A协商建立SA的过程中，发起对方身份和验 证数据时使用。只有该步骤47A的认证通过，才会继续进行IPSec第二阶段 的SA，协商加密IP数据包的密钥。
IPSec的第一阶段SA主要包括三个步骤：
第一步策略协商
在此步骤中，就四个强制性参数值进行协商：
(1)加密算法：选择DES或3DES；
(2)Hash算法：选择MD5或SHA；
(3)认证方法：选择证书认证、预置共享密钥认证或Kerberos v5认证；
(4)Diffie-Hellman组的选择。
第二步密钥交换
虽然名为密钥交换，但事实上在任何时候，用户设备与流媒体服务器 之间都不会交换真正的密钥，它们之间交换的只是一些生成共享密钥所需 要的基本材料信息。所述交换可以是公开的，也可以受保护。在彼此交换 密钥生成材料后，用户设备与流媒体服务器可以各自生成完全一样的共享 主密钥，保护紧接其后的认证过程。
第三步认证
结合共享主密钥和在第一步中确定的协商算法，对通信实体和通信信 道进行认证。在第三步中，整个待认证的实体载荷，包括实体类型、端口 号和协议，均由前一步生成的共享主密钥提供机密性和完整性保证。
具体到本发明的实施例，在步骤47A中，用户设备与流媒体服务器建立 第一阶段SA的具体过程如图5所示：
步骤51，用户设备向流媒体服务器发送本地密钥交换IKE(Internet Key Exchange)策略；
步骤52，流媒体服务器确认对方使用的算法，查找本地匹配的策略， 向用户设备发送流媒体服务器确认的策略；
步骤53A和53B，用户设备接收到对端(即流媒体服务器)的确认策略 后，向流媒体服务器发起密钥生成信息；流媒体服务器和用户设备分别交 换密钥生成信息并各自生成密钥；
步骤54，用户设备向流媒体服务器发起身份和验证数据，身份和验证 数据中包含了RO中携带的认证信息；流媒体服务器完成对用户设备的身份 验证后，向用户设备发送流媒体服务器的身份和验证数据；
步骤55，用户设备与流媒体服务器完成身份验证和交换过程验证后， 第一阶段的SA完成。
本发明方法实施例的另外一种实现方式可以是：
在步骤44中，流媒体服务器与RI协商产生的RO中携带用户设备的版权 使用确认信息；步骤47中，用户设备请求下载流媒体服务器上的内容时， 向流媒体服务器提供RO中携带的版权使用确认信息，流媒体服务器对版权 使用确认信息进行认证；在认证通过后，流媒体服务器与用户设备进行SA 协商并建立IPSec通信信道。所述SA协商和建立IPSec通信的过程可以采用 现有技术来实现，此不赘述。
流媒体服务器与用户设备之间建立IPSec通信信道后，媒体流经所述通 信信道从流媒体服务器传输到用户设备上，用户设备根据RO中的版权使用 规则播放媒体流。
本发明实施例建立的IPSec通信信道为IPSec隧道模式，当然也可以采取 其他的模式，例如传输模式。
此外，在用户设备能力允许的情况下，本发明实施例的方法也可以与 现有技术的流媒体DRM方法结合使用。即，对流媒体内容本身和流媒体传 输通道同时加密，RO中既含有建立IPSec通信信道所需的信息，也含有CEK。 本发明实施例的用户设备和DRM系统如图6所示。该系统包括流媒体服务 器620、内容中心630和版权中心640。用户设备610中包含浏览器611，用于 浏览内容中心630提供的流媒体信息，请求下载流媒体；DRM Agent 612， 用于获取接收到的RO中携带的建立加密通信信道的信息；通过所述信息与 流媒体服务器620建立加密通信信道；流媒体播放器613，用于播放经由所 述加密通信信道传输的媒体流。
流媒体服务器620，用于存放流媒体内容，与版权中心640协商产生携 带建立加密通信信道的信息的RO，并通过所述信息与用户设备610协商建 立加密通信信道，经由所述加密通信信道向用户设备610提供受版权保护的 媒体流。
内容中心630，用于向用户设备610提供流媒体信息，并在用户设备610 请求下载流媒体时，向用户设备610提供Token，并将Token发送给版权中心 640。
版权中心640，用于根据内容中心630发来的Token，与流媒体服务620 器协商产生携带建立加密通信信道的信息的RO，将RO发送到用户设备 610。
在本发明实施例的一种具体实现形式中，采用IPsec来建立所述加密通 信信道。此种场景下，流媒体服务器620和用户设备610分别包括IPSec驱动 621和614，所述IPSec驱动614用于在DRM Agent 612的调用下，通过所述建 立加密通信信道的信息与流媒体服务器620的IPSec驱动621建立加密通信 信道。
请参阅图7，是本发明的数字版权保护方法的第二实施例的流程图。
步骤71，用户设备向CI请求下载媒体数据；
步骤72，CI在接收到所述请求后，通知多媒体服务器与RI协商产生RO；
在此步骤42中，多媒体服务器与RI协商产生的RO中携带了用户设备和 多媒体服务器建立加密通信信道的信息。
步骤73，RO产生后，CI向用户设备发送消息，该消息中携带与RO对 应的指示信息，例如RUL等。
步骤74，用户设备向RI请求RO，请求中需携带前述指示信息；
步骤75，RI向用户设备发送RO；
步骤76，用户设备与多媒体服务器通过RO中携带的建立加密通信信道 的信息协商建立加密通信信道。
步骤77，多媒体服务器经所述加密通信信道向用户设备传递媒体数据。
用户设备根据RO中的版权使用规则对所述媒体数据进行处理。党所述 媒体数据为媒体流时，所述处理具体可以是播放媒体流。也就是说，流媒 体播放器只是媒体数据处理器的一种可能的实现形式。
在上述第二实施例中，由CI将RO产生的消息通知用户设备，用户设备 向RI请求获得RO。还可以采用其他的方式来使得用户设备可以获得RO， 例如在RO产生后，CI将RO主动发送给用户设备。
此外，所述多媒体服务器可以是流媒体服务器，也可以是提供手机电 视、文件下载业务的服务器等其他类型的多媒体服务器。
步骤76中的协商建立加密通信信道的过程可以通过IPSec进行，也可以 建立其他的逻辑通道，此不赘述。
请参阅图8，是本发明第二实施例的数字版权保护系统的框图。
所述数字版权保护系统包括多媒体服务器620、内容中心630和版权中 心640。
多媒体服务器620，用于存放媒体数据，与版权中心640协商产生携带 建立加密通信信道的信息的RO，并通过所述信息与用户设备协商建立加密 通信信道，经由所述加密通信信道向用户设备提供受版权保护的媒体数据。
内容中心630，用于向用户设备提供媒体信息，并在用户设备请求下载 媒体数据时，通知多媒体服务器620和版权中心640协商产生RO，所述RO 中携带建立加密通信信道的信息；将所述RO对应的指示信息发送给用户设 备。
版权中心640，用于根据内容中心630的通知，与多媒体服务器620协商 产生携带建立加密通信信道的信息的RO，根据来自用户的指示信息将RO 发送到用户设备。
其中，所述多媒体服务器620可以是流媒体服务器，也可以是提供其他 媒体服务，如手机电视、文件下载业务的其他媒体服务器。
在一种具体实现方式中，所述多媒体服务器620包括：
媒体数据存放单元622，用于存放媒体数据；
RO协商单元623，用于与版权中心640协商产生携带建立加密通信信道 的信息的RO；
信道协商单元624，用于通过所述信息与用户设备协商建立加密通信信 道；
媒体数据提供单元625，用于经由所述加密通信信道向用户设备提供受版 权保护的媒体数据。
其中，所述多媒体服务器可以与用户设备采用IPsec建立加密通信信道， 此时，所述信道协商单元624可以为IPsec驱动。
以上所述，为本发明的具体实施方式，但本发明的保护范围并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变 化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该 以权利要求的保护范围为准。