CN101123496A - 数字内容保护方法 - Google Patents

Abstract

本发明涉及一种数字内容保护方法，用于将声音/影像数据从一内容服务器通过不安全的通讯频道安全传送至一内容客户端，此内容保护方法在每一个联机阶段(session)都包括两个阶段(phase)，第一个阶段为客户端－服务器互相认证并建立联机阶段金钥，在此阶段中，内部服务器及内容客户端验证彼此的正当性，并在同一时间交换信息，使服务器及客户端两者都可计算或取得相同的联机阶段金钥；在第二阶段中，声音/影像数据在内容服务器中以该联机阶段金钥加密，接着内容客户端以相同的联机阶段金钥将其解密。若服务器或客户端的版本被发现会产生危害，则其识别码(ID)将被放入一黑名单中。

Description

数字内容保护方法

技术领域

本发明涉及一种数字内容保护方法，尤其指一种可让声音及影像数据从内容服务器安全传送至内容客户端的数字内容保护方法。

背景技术

随着因特网的强健性日趋增强，为使用者提供多媒体内容的服务商数量正在增加，使用者能够以串流格式来浏览这些多媒体，而不是下载整个文件，然而这种内容传送的方式具有许多缺点并且面临许多挑战。

举例而言，因特网联机必须具有足够的频宽来提供数据传输，不足的频宽通常会使视频播放出现延迟现象。

此外，如果使用一个不安全的通讯频道，攻击者可以拦截所有介于内容服务器和内容客户端的通讯。回放攻击是指攻击者侧录下在一段联机阶段内所有的通讯数据，之后攻击者假扮内容服务器并且将之前侧录的数据传送至另一个联机阶段内的内容客户端。

若攻击者成功侧录媒体内容且能够伪装成内容服务器，内容提供者将会损失一般将媒体内容传送至客户端所应得的可能利润。

此外，这些媒体内容中可能存在敏感、机密信息、私人数据、商业机密，或是预期给特定客户端浏览的内容，缺乏适当的保护程序可能会让媒体内容落入不适当的他人手中。

另外，一旦这些媒体内容不受到内容提供者的控制，这些媒体能够轻易的重新传播。

因此，当多媒体数据通过一个不安全的通道传送时，有必要以一个方法来保护多媒体内容。

发明内容

为达到本发明的目的，以克服传统方法的缺点，以下将对本发明的目的加以详细描述，本发明提供了一套内容保护方法使声音/影像数据能够通过不安全的通道从内容服务器安全传送至内容客户端。

内容服务器和内容客户端可以是硬件或是软件模块。若信道并非一个安全的通道，攻击者可以拦截介于内容服务器与内容客户端之间所有的通讯，本发明的方法不仅可阻止攻击者取得明文数据，也可防止回放攻击。

对于每个联机阶段来说，本发明的内容保护方法由两个步骤组合而成，第一阶段是客户端-服务器端相互认证并建立联机阶段金钥。在此步骤，内容服务器与内容客户端验证彼此的合法性，并且同时间交换信息，由此服务器和客户端都能计算/取得同样的联机阶段金钥。第二个步骤中，声音/影像数据在内容服务器端使用此联机阶段金钥进行加密，并在内容客户端使用该联机阶段金钥进行解密。

本发明采用了对称式加解密算法作为其组件，该套内容保护方法的优点是采用已知的加解密算法而非设计一个新的算法。举例而言，可使用一套128位的AES加解密算法，由于其安全性已经得到广泛证实，而且它能够以软件实现并能进行高速运算，也能以低逻辑闸数量的硬件实现。此外，这项加解密算法也能够以其它区块加解密算法取代，如DES、Blowfish或RC4等等。

此外，如果某个版本的服务器或是客户端被发现能被成功攻击，它的识别号码将会被放到黑名单中，每个服务器和客户端均拥有这项黑名单，这个名单将会定期进行更新，若一台服务器发现一台客户端的识别号码在这个黑名单中，它将会终结这个联机阶段；若一台客户端发现服务器的识别号码在这个黑名单中，它会终结这个联机阶段。

与现有技术相比，本发明的优点在于：

本发明采用现有的对称式加解密算法作为组件，结合客户端-服务器的相互认证并建立联机阶段金钥以及利用该金钥进行加密/解密的步骤，有效防止了攻击者对内容客户端-服务器通讯的拦截，可以快速地实现将声音/影像数据通过不安全的通道从内容服务器安全传送至内容客户端。

附图说明

图1A为本发明中客户端和服务器端的通讯流方块图；

图1B为本发明中一认证流程的流程图；

图1C为本发明中一联机阶段金钥建立流程的流程图；

图2A至图2C为本发明中数字内容加密/解密流程的流程图；

图3为本发明中一销毁流程的流程图；

图号说明如下：

50服务器

60客户端

具体实施方式

以下通过具体实施例结合附图详加说明，以使本发明的目的、技术内容、特点及其所达成的功效更易于了解。

参照图1A所示，为本发明中客户端和服务器端的通讯流实施例示意图，同时参照图1B所示，其为本发明中认证流程的一实施例流程图。

本发明内容保护方法的第一步骤是由客户端-服务器端互相认证产生和联机阶段金钥组合而成，挑战/响应流程与描述相同，由服务器50和客户端60进行彼此之间的互相验证，并且也建立一个联机阶段金钥。用在这个流程中的符号根据以下叙述来定义：

‖    连接

    XOR

R₁    一串由服务器产生的128位随机数。

R₂    一串由客户端产生的128位随机数。

K_X1， K_X2  一组128位的秘密金钥，服务器与客户端将使用其在相互认证与联机阶段金钥产生期间保护之间的数据交换。服务器和客户端都会将这组金钥内建于其中。

ID_S一串128位的服务器识别号码，服务器提供这个号码给客户端，使客户端获知进行通讯的服务器。服务器的每个版本都有一个独特的识别号码，所有同版本的服务器都共享同一组识别号码。

ID_C   一串128位的客户端识别号码，客户端提供这个号码给服务器，使服务器获知使用的秘密金钥。客户端的每个版本都有一个独特的识别号码，所有同版本的客户端都共享同一组识别号码。

E_Kx1()  使用K_X1的AES加密流程。

E_Kx2()  使用K_X2的AES加密流程。

E_C()    使用共通金钥的AES加密流程，共通金钥为一串所有版本的服务器与客户端都已知的固定128位长度的金钥。

K_S1    一串由服务器产生的128位随机数，用来作为一部分的联机阶段金钥。

K_S2    一串由客户端产生的128位随机数，用来作为一部分的联机阶段金钥。

K_S     联机阶段金钥。

如图1A及图1B所示，认证流程100的步骤包括：

步骤105服务器50通知客户端60开始认证流程；

步骤110服务器50传送随机数R₁与E_C(ID_SR₁)至客户端60；

步骤112客户端60使用共通金钥来解密E_C(ID_SR₁)为(ID_SR₁)，然后取出ID_S；

步骤113客户端60使用ID_S来查询秘密金钥组K_X1与K_X2；

步骤115客户端60产生随机数R₂与K_S2，客户端60使用AES加密来产生序列R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)，并将其传送至服务器50；

步骤120服务器50使用共通金钥来将E_C(ID_CR₂)解密成(ID_CR₂)，接着取出ID_C；

步骤125服务器50使用ID_C来查询秘密金钥组K_X1与K_X2；

步骤130服务器50使用K_X2来将E_Kx2(R₁‖K_S2)解密成(R₁’‖K_S2’)；

步骤135若R₁’不等于R₁，则认证失败，且服务器50会终结此联机阶段；

步骤140服务器50产生一组随机数K_S1；

步骤145服务器50使用AES加密流程来加密(R₂‖K_S1)为E_Kx1(R₂‖K_S1)，并将其送至客户端60；

步骤150客户端60使用秘密金钥K_X1来将E_Kx1(R₂‖K_S1)解密为(R₂’‖K_S1’)；

步骤155若R₂’不等于R₂，则认证失败且客户端60会终结此联机阶段。

参照图1C所示，其为本发明中联机阶段金钥建立流程160的一实施例流程图，在图1B所述的流程结束之后，此联机阶段并未被服务器或是客户端终结，相互认证已经成功，为了要建立联机阶段金钥，服务器和客户端会执行下列步骤：

步骤165服务器计算联机阶段金钥为K_S＝K_S1K_S2’；

步骤170客户端计算联机阶段金钥为K_S’＝K_S1’K_S2，K_S’应与K_S相等。

或者，服务器可以K_S＝E_Ks1(K_S2’)计算联机阶段金钥，并且客户端可以K_S’＝E_Ks1’(K_S2)计算联机阶段金钥，K_S’应该要与K_S相等。

图2A为本发明中数字内容的加密/解密流程200的一实施例流程图。

在图1B和图1C所述的认证流程100以及联机阶段金钥建立流程160成功完成之后，可开始进行声音/影像的传输，加密/解密的流程200根据以下步骤共同组合而成：

步骤205服务器使用联机阶段金钥K_S与128位AES加解密算法加密声音/影像数据；

步骤210客户端使用联机阶段金钥K_S’将声音/影像数据解密。

为了提供高质量的影像，例如HDTV，必须可以提供如1920×1080×30fps的相当高分辨率影像，在此情况下，未压缩的影像串流的使用频宽(bitrate)将会很高，大约为120MByte/sec。因此，在图2A中所描述的封包内容加密方法将会要求服务器端与客户端具有强大的运算能力，使用AES解密法来解密每秒120Mbytes的资料，只有快速的CPU可能不够，显示卡上的GPUS可能也不够快。

因此在本发明的实施例中，使用另一种方式来加密影像封包内容，对每个影像帧而言，根据以下方法来产生一个128位的数字K_Fi，而K_Fi将会作为用来加密第i个影像帧的帧金钥。

${K_F}_1=E_{\mathrm{Ks}}\left(1\right),$ for    i＝1

${K_F}_i={K_F}_{i-1}\⊕E_{\mathrm{Ks}}\left({K_F}_{i-1}\right),$ for    i＞1

在图2B中描述的加密/解密方法220由下列步骤组合而成：

步骤225决定i；

步骤230对每个i值，若i＝1，服务器使用K_F1加密整个影像帧；

步骤235若i＞1，服务器使用K_Fi加密整个影像帧。

在实施例中，使用K_Fi加密影像帧的方法为RC4串流加解密算法，用来加密整个影像帧，RC4要比AES快数倍，本方法的优点在于RC4是经广泛使用并且相当完善的加解密算法。

此外，为了避免使用RC4的方法还不够快，本发明采用了另一种方法来加密一个影像帧。

如图2C所示，为本发明中数字内容的加密/解密流程240的一实施例流程图，在此方法中，影像帧被切割为多个宏块(macro-blocks)，每个宏块具有16×16像素。在实施例中，下列符号定义如下：

M_i在此影像帧中第i个宏块。

W 该影像帧的宽度，以像素为单位。

H 该影像帧的高度，以像素为单位。

P 一个质数，其也与(W/16)互质。

S(M_i)使用一个轻量级的算法打乱M_i，例如3 CPUcycle/byte。

加密的方法240由以下步骤组合而成：

步骤245决定i；

步骤250对每个i值，若i(mod P)＝1，使用RC4加密M_i；

步骤255若i(mod P)≠1，则将M_i加密为：

S(M_{(i-1)/P×P+1})M_i

这个方法将比全部使用RC4来加密影像的方法速度提高约P倍。

参照图3所示，为本发明中数字内容销毁流程300的实施例流程图。

若服务器或客户端的版本被认定为会产生危害，其识别号码将会被放入一黑名单中，每个服务器和客户端都具有这张黑名单，这份名单将会被定时更新，图3所述的销毁流程300由以下步骤组合而成：

步骤305客户端自服务器端收到ID_S；

步骤310客户端判断该ID_S是否在黑名单中；

步骤315若该ID_S在黑名单中，客户端结束此联机阶段；

步骤320服务器自客户端接收到ID_C；

步骤325服务器端判断该ID_C是否在黑名单中；

步骤330若该ID_C在黑名单中，服务器结束此联机阶段。

客户端在传送数据给服务器前将查验黑名单，如图1B中的步骤115所述，而服务器在传送数据给客户端前将查验黑名单，如图1B中的步骤140所述。

本发明采用对称式加解密算法作为其构成组件，但须注明的是本发明可使用多种加解密算法，举例而言，使用128位AES加解密算法是由于其安全性，而且它能够以软件实现并能进行高速运算，也能以低逻辑闸数量的硬件实现。此外，这项加解密算法也能够以其它加解密算法取代，如DES、Blowfish或RC4等等。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (15)

1.一种数字内容保护方法，其特征在于，包括：

一客户端与服务器互相认证流程，其包括以下步骤：

服务器通知客户端开始该认证流程；

服务器送出随机数R₁与E_C(ID_SR₁)至客户端，其中E_C利用一公共金钥进行加密，而ID_S为该服务器的一个识别号码；

客户端使用该公共金钥将E_C(ID_SR₁)解密为(ID_SR₁)，并从中取得ID_S；

客户端通过ID_S找出加密金钥对K_X1及K_X2；

客户端产生随机数R₂与K_S2；

该客户端利用加密方法产生要送至服务器的R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)，ID_C为该客户端的一个识别号码，E_Kx2则利用秘密金钥K_X2加密；

服务器使用该公共金钥将E_C(ID_CR₂)解密为(ID_CR₂)，并从中取得ID_C；

服务器通过ID_C找出加密金钥对K_X1与K_X2；

服务器利用K_X2将E_Kx2(R₁‖K_S2)解密得到(R₁’‖K_S2’)；

其中，若R₁’不等于R₁，则认证流程失败，且服务器终止；

服务器产生随机数K_S1；

该服务器利用加密方法将R₂‖K_S1加密得到要送至服务器的E_Kx1(R₂‖K_S1)，此E_Kx1利用秘密金钥K_X1加密；

服务器利用秘密金钥K_X1将E_Kx1(R₂‖K_S1)解密得到(R₂’‖K_S1’)；

其中，若R₂’不等于R₂，则认证流程失败，且客户端终止；以及一联机阶段金钥建立流程，其包括以下步骤：

服务器计算K_S1K_S2得到联机阶段金钥K_S；以及

客户端计算K_S1’K_S2’得到联机阶段金钥K_S’；

其中，K_S’即为K_S。

2.如权利要求1所述的数字内容保护方法，其特征在于，还包括：

一数据加解密流程，其包括以下步骤：

服务器利用联机阶段金钥K_S及一密码将该影音数据加密；以及

客户端利用联机阶段金钥K_S’将该声音/影像数据解密。

3.如权利要求1所述的数字内容保护方法，其特征在于，该客户端利用AES加密来产生R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)。

4.如权利要求1所述的数字内容保护方法，其特征在于，该服务器利用AES加密将(R₂||K_S1)加密为E_Kx1(R₂‖K_S1)。

5.如权利要求2所述的数字内容保护方法，其特征在于，该声音/影像数据使用下列步骤进行加密：

每一影像帧中的一个128位号码K_Fi是由下式产生：

$K_{F_1}=E_{\mathrm{Ks}}\left(1\right),$   for  i＝1

$K_{F_i}=K_{F_{i-1}}\⊕E_{\mathrm{Ks}}\left(K_{F_{i-1}}\right),$   for  i＞1

其中该第i_th个帧的一个帧金钥为K_Fi，且第i_th个帧利用K_Fi来加密。

6.如权利要求2所述的数字内容保护方法，其特征在于，该声音/影像数据利用下列步骤进行加密：

将一影像帧分割成多个宏块；

对每一i值而言，若i(mod P)＝1，则利用RC4将M_i加密；以及

若i(mod P)≠1，则将M_i以下式加密：

S(M_{(i-1)/P×P+1})M_i

该M_i为该影像帧中第i_th个宏块，W为该影像帧的宽度，以像素为单位，H为该影像帧的高度，以像素为单位；P为一质数，其也与(W/16)互质，以及S(M_i)利用一轻量级算法打乱M_i。

7.如权利要求1所述的数字内容保护方法，其特征在于，还包括：

一销毁流程，利用一个会产生危害的服务器及客户端的黑名单，该销毁流程包括下列步骤：

客户端接收服务器的ID_S；

客户端判断该ID_S是否在该黑名单中；

若该ID_S在该黑名单中，则客户端中止与服务器的联机；

服务器接收客户端的ID_C；

服务器判断该ID_C是否在该黑名单中；以及

若该ID_C在该黑名单中，则服务器中止与客户端的联机。

8.一种数字内容保护方法，其特征在于，包括：

一客户端与服务器互相认证流程，其包括以下步骤：

服务器通知客户端开始该认证流程；

服务器送出随机数R₁与E_C(ID_SR₁)至客户端，其中E_C利用一公共金钥进行加密，而ID_S为该服务器的一个识别号码；

客户端产生随机数R₂与K_S2；

该客户端利用加密方法产生要送至服务器的R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)，ID_C为该客户端的一个识别号码，E_Kx2则利用秘密金钥K_X2加密；

服务器使用该公共金钥将E_C(ID_CR₂)解密为(ID_CR₂)，并从中取得ID_C；

服务器通过ID_C找出加密金钥对K_X1与K_X2；

服务器利用K_X2将E_Kx2(R₁‖K_S2)解密得到(R₁’‖K_S2’)；

其中，若R₁’不等于R₁，则认证流程失败，且服务器终止；

服务器产生随机数K_S1；

该服务器利用加密方法将R₂‖K_S1加密得到要送至服务器的E_Kx1(R₂‖K_S1)，此E_Kx1利用秘密金钥K_x1加密；

服务器利用秘密金钥K_X1将E_Kx1(R₂‖K_S1)解密得到(R₂’‖K_S1’)；

其中，若R₂’不等于R₂，则认证流程失败，且客户端终止；以及

一联机阶段金钥建立流程，其包括以下步骤：

服务器计算K_S1K_S2得到联机阶段金钥K_S；

客户端计算K_S1’K_S2’得到联机阶段金钥K_S’；

其中，K_S’即为K_S；以及

一数据加解密流程，其包括以下步骤：

服务器将声音/影像数据以联机阶段金钥K_S及电子密码本模式electroniccode book mode中的一个密码加密；以及

客户端利用联机阶段金钥K_S’将该声音/影像数据解密。

9.如权利要求8所述的数字内容保护方法，其特征在于，该客户端利用AES加密来产生R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)。

10.如权利要求8所述的数字内容保护方法，其特征在于，该服务器利用AES加密将(R₂‖K_S1)加密成E_Kx1(R₂‖K_S1)。

11.如权利要求8所述的数字内容保护方法，其特征在于，该声音/影像数据使用下列步骤进行加密：

每一影像帧中的一个128位号码K_Fi由下式产生：

$K_{F_1}=E_{\mathrm{Ks}}\left(1\right),$   for  i＝1

$K_{F_i}=K_{F_{i-1}}\⊕E_{\mathrm{Ks}}\left(K_{F_{i-1}}\right),$   for  i＞1

其中该第i_th个帧的一个帧金钥为K_Fi，且第i_th个帧利用K_Fi来加密。

12.如权利要求8所述的数字内容保护方法，其特征在于，该声音/影像数据利用下列步骤进行加密：

将一影像帧分割成多个宏块；

对每一i值而言，若i(mod P)＝1，则利用RC4将M_i加密；以及

若i(mod P)≠1，则将M_i以下式加密：

S(M_{(i-1)/P×P+1})M_i

该M_i为该影像帧中第i_th个宏块，W为该影像帧的宽度，以像素为单位，H为该影像帧的高度，以像素为单位；P为一质数，其也与(W/16)互质，以及S(M_i)利用一轻量级算法打乱M_i。

13.如权利要求8所述的数字内容保护方法，其特征在于，还包括：

一销毁流程，利用一个会产生危害的服务器及客户端的黑名单，该销毁流程包括以下步骤：

服务器接收客户端的ID_C；

服务器判断该ID_C是否在该黑名单中；

若该ID_C在该黑名单中，则服务器中止与该客户端的联机；

客户端接收服务器的ID_S；

客户端判断该ID_S是否在该黑名单中；以及

若该ID_S在该黑名单中，则客户端中止与该服务器的联机。

14.一种数字内容保护方法，其特征在于，包括：

一客户端与服务器互相认证流程，其包括以下步骤：

服务器通知客户端开始该认证流程；

服务器送出随机数R₁与E_C(ID_SR₁)至客户端，其中E_C利用一公共金钥进行加密动作，而ID_S为该服务器的一个识别号码；

客户端产生随机数R₂与K_S2；

该客户端利用加密方法产生要送至服务器的R₂‖E_C(ID_CR₂)‖E_Kx2(R₁‖K_S2)，ID_C为该客户端的一个识别号码，E_Kx2则利用秘密金钥K_X2加密；

服务器使用该公共金钥将E_C(ID_CR₂)解密为(ID_CR₂)，并从中取得ID_C；

服务器通过ID_C找出加密金钥对K_X1与K_X2；

服务器利用K_X2将E_Kx2(R₁‖K_S2)解密得到(R₁’‖K_S2’)；

其中，若R₁’不等于R₁，则认证流程失败，且服务器终止；

服务器产生随机数K_S1；

该服务器利用加密方法将R₂‖K_S1加密得到要送至服务器的E_Kx1(R₂‖K_S1)，此E_Kx1利用秘密金钥K_X1加密；

客户端利用秘密金钥K_X1将E_Kx1(R₂‖K_S1)解密得到(R₂’‖K_S1’)；

其中，若R₂’不等于R₂，则认证流程失败，且客户端终止；

一联机阶段金钥建立流程，其包括以下步骤：

服务器计算K_S1K_S2得到联机阶段金钥K_S；以及

客户端计算K_S1’K_S2’得到联机阶段金钥K_S’；

其中，K_S’即为K_S；

一数据加解密流程，其包括以下步骤：

服务器将声音/影像数据以联机阶段金钥K_S及电子密码本模式electroniccode book mode中的一个密码加密；以及

客户端利用联机阶段金钥K_S’将该声音/影像数据解密；以及

一销毁流程，利用一个会产生危害的服务器及客户端的黑名单，该销毁流程包括以下步骤：

服务器接收客户端的ID_C；

服务器判断该ID_C是否在该黑名单中；

若该ID_C在该黑名单中，则服务器中止与该客户端的联机：

客户端接收服务器的ID_S；

客户端判断该ID_S是否在该黑名单中；以及

若该ID_S在该黑名单中，则客户端中止与该服务器的联机。

15.如权利要求14所述的数字内容保护方法，其特征在于，该声音/影像数据使用下列步骤进行加密：

每一影像帧中的一个128位号码K_Fi由下式产生：

$K_{F_1}=E_{\mathrm{Ks}}\left(1\right),$   for    i＝1

$K_{F_i}=K_{F_{i-1}}\⊕E_{\mathrm{Ks}}\left(K_{F_{i-1}}\right),$   for    i＞1

其中该第i_th个帧的一帧金钥为K_Fi，且第i_th个帧利用K_Fi来加密。

Images