WO2010012175A1

WO2010012175A1 - 一种文件检测方法和装置

Info

Publication number: WO2010012175A1
Application number: PCT/CN2009/071977
Authority: WO
Inventors: 陈建; 胡新宇; 周洪
Original assignee: 华为技术有限公司
Priority date: 2008-07-31
Filing date: 2009-05-26
Publication date: 2010-02-04
Also published as: CN101639880A

Description

一种文件检测方法和装置

本申请要求于 2008 年 07 月 31 日提交中国专利局、申请号为 200810144076.6、发明名称为 "一种文件检测方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，具体涉及一种文件检测方法和装置。

背景技术

随着计算机和网络的普及，在互联网上传播盗版的文件变的越来越容易，人们可以通过计算机和互联网方便的交换文件，如在 peer to peer (—种点到点的协议和用这种协议组成的网络,以下筒称 P2P)网络中，任意两个客户端计算机之间都可以直接发起文件传输；发现盗版文件的传播就会 ^艮困难。

一般情况下，数字化的版权文件的保护方法有： 1、对需要保护的版权文件进行加密，终端使用时必须先向某个服务器申请密钥进行解密； 2、对需要保护的版权文件加上数字水印，使用时检测水印是否存在或是否过了有效期，如果不存在或过了有效期，则不能使用； 3、对需要进行版权保护的文件抽取一些内容分片，进行高度压缩后存成一个列表；在实际播放某媒体文件前，比较文件某部分内容与该分片列表的表项是否有相同的匹配，有则意味该文件需要进行版权检查；随后对需要进行版权检查的进行相应的操作，如检查文件的许可证书是否有效等等。

在对现有技术的研究和实践过程中，本发明的发明人发现，如果被保护文件的原始文件被某种手段破解了，如文件被解密了或被去除水印了，当正在传输的文件为破解后的文件，以上几种方法无法检测出正在传输的文件是否为盗版文件，从而不能继续对文件进行保护。

发明内容

本发明实施例提供一种文件检测方法和装置，在不修改现有终端的情况下可以更好的判断文件是否为盗版文件。

本发明实施例提供的文件检测方法，包括：

获取文件的文件特征信息；

比较所述文件特征信息与存储的对应的文件特征信息；根据比较结果判断文件的属性。

本发明实施例提供的文件检测装置，包括：

获取单元，用于获取文件的文件特征信息；

比较单元，用于比较所述文件特征信息与存储的对应的文件特征信息，根据比较结果判断文件属性。

本发明实施例采用比较文件的特征信息，包括与正版文件特征信息、可疑文件特征信息以及盗版特征信息的比较，可以判断出文件为正版文件、可疑文件或者盗版文件，同时只要获取到文件的文件特征信息即可利用已保存的特征信息进行比较，不需要对现有终端设备做任何修改。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储（ROM, Read Only Memory )、随机存取存储器（RAM, Random Access Memory ), 磁盘或光盘等。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明一种文件检测方法的一个实施例的信令流程图；

图 2是本发明一种文件检测方法第二个实施例的信令流程图；

图 3是本发明一中文件检测装置的一个实施例的结构图。

具体实施方式

本发明实施例提供一种文件检测方法，本发明实施例还提供相应的文件检测装置。

本实施例中需要将受版权保护的且已经采取数字版权管理（ DRM, Digital

Rights Management )、数字水印等方式保护的文件的文件名、文件长度和文件特征信息如某段内容的特征信息存储在一个正版文件特征信息数据库中。具体步骤包括： A、获取文件的文件特征信息； B、比较所述文件特征信息与存储的对应的文件特征信息； C、根据比较结果判断文件的属性。获取待检测文件的文件特征信息后在正版文件特征信息数据库中查找对应的正版文件特征信息进行比较。当在正版文件特征信息数据库中找不到匹配的文件特征信息的时征信息记录在可疑文件数据库中，后续比较文件特征信息也到所述可疑文件数据库中查找文件特征信息。当在正版文件特征信息数据库中找不到匹配的文件特征信息的时候，还可以在盗版文件特征信息数据库中查找对应的盗版文件特征信息进行比较，如果查到相应的条目，就可以判断为盗版文件。判断为可疑文件或盗版文件后还可以对正在传输的文件采取取证或停止文件使用等后续步骤。

本发明技术方案采用比较文件的特征信息，包括与正版文件特征信息、可疑文件特征信息以及盗版特征信息的比较，可以判断出文件为正版文件、可疑文件或者盗版文件，同时只要获取到文件的文件特征信息即可利用已保存的特征信息进行比较，不需要对现有终端设备做任何修改。

图 1是本发明一种文件检测方法的一个实施例的流程图。

本实施例以 P2P网络中传输文件的检测为例进行描述。对于有版权保护的文件来说，要使用盗版，必需对文件的加密进行解密，或对版权保护的文件的标识部分进行修改，这样必然会使文件内容产生一些变化。只要找到一种方法，发现被破解的文件和原正版文件的不同，即可判断该文件已经被盗版，至少是可疑的。

深度才艮文检测（ DPI , Deep Packet Inspection )技术为检查文件内容提供了一个工具：

DPI设备可以对网络上的流量进行深度分析，如果网络上正在传输文件的话，也可以对这个文件的内容进行分析；

DPI设备一般都部署在网络的关键节点上，因此可以对所有网络流量进行检查处理；

只要利用 DPI技术，再加上一个用来比较的正版文件特征信息数据库，即可对网络中正在传输的文件进行特征信息比较，如果二者特征一致，则证明该文件未被破解，是正版文件；如果不一致，则被传输的文件有盗版的可能，即判断为可疑文件，进而可以采取更进一步的行动。本实施例中需要将受版权保护的且已经采取了 DRM、数字水印等方式保护了的文件的文件名、长度和文件特征信息如全部内容或特定部分内容的 Hash值 (以下筒称文件 Hash值 )存储在一个正版文件特征信息数据库中。

步骤 101、请求节点向 P2P服务器发送文件搜索请求消息；

所述文件搜索请求消息携带文件名称、文件大小等文件的描述信息。步骤 102、 P2P服务器回复文件搜索结果消息给请求节点；

所述文件搜索结果消息包括一个或多个可选择的文件。

步骤 103、 DPI设备截获所述文件搜索结果消息； DPI设备根据截获的所述文件搜索结果消息提取其中的文件描述信息和文件特征信息。

步骤 104、 DPI设备向请求节点转发文件搜索结果消息；

步骤 105、请求节点从所述文件搜索结果消息所包含的文件中选择一个文件，并向 P2P服务器发送具体文件源地址请求消息；

步骤 106、 P2P服务器向请求节点回复具体文件源地址消息；

步骤 107、 DPI设备截获所述具体文件源地址消息；

步骤 108、DPI设备结合所述截获的文件搜索结果消息和具体文件源地址消息，比较具体文件的特征信息和存储的对应的文件特征信息；

步骤 109、 DPI设备根据比较结果判断具体文件源地址消息中选择的文件的属性；

在步骤 107至步骤 109中， DPI设备截获具体文件源地址消息，提取其中的文件名、文件大小信息等描述信息在正版文件特征信息数据库中进行模糊匹配，同时提取文件 Hash值在正版文件特征信息数据库中进行精确匹配，具体可以采用以下操作：

A根据文件列表中提取的文件特征信息查找正版文件特征信息数据库中的对应条目；如果查找到对应条目，则表示现在正在传输的是正版文件，且没有被破坏；

B 根据提取的文件名、文件大小等描述信息在正版文件特征信息数据库中进行模糊匹配时，如果查找到对应的条目，但文件特征信息与正版文件特征信息数据库中的模糊匹配出的条目中的特征信息都不相同，则表示正在传输的文件可能为被破解的文件即判断为可疑文件，后续可以将可疑文件采用其他方式验证是否为盗版文件，例如将截获的可疑文件的文件特征信息发往发行商进行验证以确认是否为盗版文件；判断为盗版文件的文件特征信息可以记录到盗版文件特征信息数据库中；

C如果根据任何一个文件信息都不能在文件特征信息数据库中找到对应条目，则表示正在传输的文件可能是一个未被录入的版权文件或是一个自由文件，这时可以根据设置记录该文件名、文件大小信息或不做处理。

在本实施例中，也可储存一些已经判断为盗版文件的盗版文件特征信息，当截获文件信息后可以与盗版文件特征信息进行比较，如果根据文件的文件名、文件大小等描述信息在盗版文件特征信息数据库中查找到相应的条目，则可判断该文件为盗版文件；如果判断为盗版文件后可以继续后续取证步骤。

步骤 110、 DPI设备提取所述具体源地址消息中文件特征信息、源地址中的网际协议 (IP , Internet Protocol)地址和端口号，准备取证；

由于所述具体源地址消息的文件特征信息和具体源地址请求消息的文件特征信息一样，因此可以提取其中 IP地址作为可能传输数据的对端源。

步骤 111、 DPI设备向请求节点转发具体文件源地址消息；

步骤 112、 DPI设备截获数据传输内容以收集证据进行取证。

当请求节点根据具体文件源地址消息选择服务节点建立连接开始文件传输后， DPI设备可以记录文件传输的地址信息、文件信息、时间信息中的一种或多种进行取证。

本实施例中由于采用 DPI技术对网络传输文件进行检测，可以发现在网络中传输的盗版文件，并为采取相应行动提供基础；并且由于采用 DPI技术，只需要在相应的 DPI设备中增加功能，不需要专门的网站来验证每个文件，因此速度快，效率高，也不需要修改终端设备。

图 2为本发明一种文件检测方法的第二个实施例的流程图；

非 P2P网络传输的盗版文件，也可以采用本发明的方法进行检测，例如采用了 DRM保护的文件实际上是被加密了的，除非向服务器获取解密密钥才能播放。而破解一般将解密后文件版本直接送给播放器播放，两种文件就会在内容上有不同，如果提取文件的头部的 DRM加密信息，根据所述 DRM加密信息是否完好即可判断是否盗版。本实施例中需要将大量受版权保护的且已经采取 DRM、数字水印等方式保护的文件的文件名、长度等描述信息和文件特征信息存储在一个正版文件特征信息数据库中。具体可采用以下步骤：

步骤 201、客户端向服务器发送文件请求消息；

步骤 202、 DPI设备截获所述文件请求消息；

DPI设备截获文件请求消息后提取其中的文件描述信息准备查找正版文件特征信息数据库，提取数据流标识准备截获后续文件传输数据流；

步骤 203、 DPI设备转发文件请求消息到服务器；

步骤 204、服务器回复文件请求消息给客户端；

步骤 205、服务器发送文件数据流到客户端；

步骤 206、 DPI设备根据所述数据流标识，截获文件数据流，从数据流中提取文件特征信息，并与正版文件特征信息数据库中的对应条目进行比较；步骤 207、 DPI设备判断正在传输的文件的属性；

例如： DPI设备截获服务器提供的文件数据流比较正在传输的文件 DRM加密头部分内容和正版文件特征信息数据库中对应的正版文件 DRM加密头部分内容是否一致；当正在传输的文件 DRM加密头部分内容和正版文件特征信息数据库中对应的正版文件 DRM加密头部分内容不一致时，则表示正在传输的文件为可疑文件；对可疑文件，后续可以将可疑文件采用其他方式进一步验证是否为盗版文件，例如将截获的可疑文件的文件特征信息发往发行商进行验证以确定是否为盗版文件；进一步验证后如果判断正在传输的文件为盗版文件，根据设置可以采取记录取证或终止传输等方式操作。当正在传输的文件 DRM 加密头部分内容和正版文件特征信息数据库中对应的正版文件 DRM加密头部分内容一致或 DPI设备不终止传输时进行步骤 208;也可在盗版文件特征信息数据库中记录下确定为盗版文件的盗版特征信息，当再次进行文件比较时，可以依据文件描述信息在盗版文件特征信息数据库中查找相应条目，若发现相同条目即可判断当前文件为盗版文件。

步骤 208、 DPI设备向客户端转发文件数据流。

如果判断为盗版文件后， DPI设备可以记录文件传输的地址信息、文件信息、时间信息中的一种或多种进行取证。

图 3为本发明一种文件检测装置的一个实施例的结构图；获取单元 31 , 用于获取文件的文件特征信息；

所述文件特征信息可以包括：对文件某一段或多段内容进行 Hash运算的结果、对文件某一段或多段内容进行抽样运算的结果、文件某一段或多段内容的一种或多种。

所述获取单元 31还可以包括：

网络截取单元 311 , 用于截取网络中的文件传输信息；

提取单元 312 , 用于提取所述文件传输信息中的文件特征信息。

比较单元 32, 用于比较所述文件特征信息与存储的对应的文件特征信息，根据比较结果判断文件属性；

根据提取的文件名、文件大小等描述信息在正版文件特征信息数据库中进行模糊匹配时，如果查找到对应的条目，但文件特征信息与正版文件特征信息数据库中的模糊匹配出的条目中的特征信息都不相同，则表示正在传输的文件可能为被破解的文件即为可疑文件，后续可以将可疑文件采用其他方式验证是否为盗版文件，例如将截获的可疑文件的文件信息发往发行商进行验证以确认是否为盗版文件。

所述比较单元 32还可以包括：

查找单元 321 , 用于根据文件的文件名和文件大小信息查找存储的对应的正版文件特征信息；

特征比较单元 322,用于将文件特征信息与所述查找单元 321查找到的正版文件特征信息进行比较。

所述文件检测装置还可以包括存储单元 33 , 用于存储文件特征信息；所述存储单元 33可以在本实施例提供的文件检测装置内部，也可以为独立于文件检测装置之外的单独存储装置。

需要将大量受版权保护的且已经采取了 DRM、数字水印等方式保护了的文件的文件名、文件长度和文件特征信息如某段内容的特征信息存储在存储单元 33中；获取待检测文件的文件特征信息后在存储单元 33中查找对应的正版文步的确认，如果判定为盗版文件，则可以将所述盗版文件的盗版特征信息记录在存储单元 33中，后续也可以到所述存储单元 33中查找盗版文件特征信息数据库进行文件特征信息的比较，如果查到相应的条目，就可以判断为盗版。在具体实施中也可采用将正版文件特征信息与盗版文件特征信息分别存储在两个存储单元中。

所述文件检测装置还可以包括记录单元 34, 用于记录文件传输的地址信息、文件信息、时间信息中的一种或多种；记录网络传输的盗版文件的各种信息，例如请求节点和服务节点的 IP地址，请求节点和服务节点之间传输的文件信息以及传输时间等作为证据。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括： ROM、 RAM, 磁盘或光盘等。

明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种文件检测方法，其特征在于，包括：

获取文件的文件特征信息；

比较所述文件特征信息与存储的对应的文件特征信息；

根据比较结果判断文件的属性。

2、根据权利要求 1所述的文件检测方法，其特征在于，所述获取文件的文件特征信息具体为：

截取网络传输中的文件信息；

提取所述文件信息中的文件特征信息和文件的描述信息。

3、根据权利要求 2所述的文件检测方法，其特征在于，比较所述文件特征信息与存储的对应的文件特征信息具体为：

根据文件的描述信息查找存储的对应的正版文件特征信息，所述描述信息包括文件名、文件大小信息、文件类型信息以及文件编码格式中的一种或多种；比较所述获取的文件特征信息与正版文件特征信息。

4、根据权利要求 3所述的文件检测方法，其特征为，所述根据比较结果判断文件属性具体为：

当所述文件特征信息与存储的文件特征信息中的正版文件特征信息不一致时，判断所述文件为可疑文件。

5、根据权利要求 4所述的文件检测方法，其特征为，判断文件为可疑文件后还包括：

将可疑文件的文件特征信息记录在可疑文件特征信息数据库中。

6、根据权利要求 4所述的文件检测方法，其特征在于，判断所述文件为可疑文件后还包括：

记录传输的地址信息、文件信息、时间信息中的一种或多种，或终止文件的传输。

7、根据权利要求 1或 2所述的文件检测方法，其特征为，所述比较所述文件特征信息与存储的对应的文件特征信息，根据比较结果判断文件属性具体为：

比较所述文件特征信息与存储已经确定为盗版文件的盗版文件特征信息；当所述文件特征信息与存储的所述盗版文件特征信息一致时，判断所述文件为盗版文件。

8、根据权利要求 1所述的文件检测方法，其特征为，所述文件特征信息包括：

对文件某一段或多段的内容进行散列 Hash运算的结果、对文件某一段或多段内容进行抽样运算的结果、文件某一段或多段原始内容的一种或多种。

9、一种文件检测装置，其特征在于，包括：

获取单元，用于获取文件的文件特征信息；

10、根据权利要求 9所述的文件检测装置，其特征在于，所述文件检测装置还包括：

存储单元，用于存储文件特征信息。

11、根据权利要求 9所述的文件检测装置，其特征在于，所述获取单元进一步包括：

截取单元，用于截取网络中传输的文件信息；

提取单元，用于提取所述文件信息中的文件特征信息。

12、根据权利要求 9或 11所述的文件检测装置，其特征在于，所述比较单元进一步包括：

查找单元，用于根据文件描述信息查找存储的对应的正版文件特征信息；特征比较单元，用于将文件特征信息与所述查找单元查找到的正版文件特征信息进行比较。

13、根据权利要求 11所述的文件检测装置，其特征在于，所述文件检测装置进一步包括：

记录单元，用于记录文件传输的地址信息、文件信息、时间信息中的一种或多种。