專利名稱:用于檢測引入保密域的非法內容的裝置和方法
技術領域:
本發(fā)明一般涉及保密通信����,尤其涉及在放映算法中防止攻擊的技術���。
背景技術:
在互聯(lián)網等全球通信網絡中對音樂及其它類型內容的傳遞過程中保密受到越來越多的重視�����。特別地�,這些基于網絡的內容傳遞系統(tǒng)的成功實現在很大程度上依賴于確保內容提供商受到適當的版權保護并且傳遞的內容不被盜版或者非法使用。
關于音樂內容的傳遞�����,最近由主要唱片業(yè)和科技公司形成了一個聯(lián)合開發(fā)力量稱為保密數字音樂組織(SDMI)�����。SDMI的目標是為數字音樂保密開發(fā)一個開放的���、能互操作的結構�。這將很方便地滿足消費者對高質量數字音樂的需求����,又能提供版權保護以保護在內容開發(fā)和傳送環(huán)節(jié)上的投資。SDMI已經提出了一套用于便攜式音樂裝置的標準規(guī)范��,《SDMI便攜式裝置規(guī)范》��,第一部分��,1.0版�����,1999年����,另外又在當年晚些時候發(fā)布了一個修正案,兩者都包括在這里作為參考��。
正版材料的非法銷售剝奪了版權所有者對該材料的合法使用權����,而且能夠為非法傳播該材料的供貨商帶來收益從而鼓勵繼續(xù)非法銷售。由于互聯(lián)網帶來的信息傳輸的方便性�,那些試圖被寫保護的內容,例如藝術表演或其它限制了傳播權的材料��,就很容易被大規(guī)模地非法傳播����。例如,用于存儲并傳輸壓縮聲音文件的MP3格式就使得聲音唱片的大規(guī)模傳播變得可行���,因為一首歌30到40兆字節(jié)的數字音頻唱片可以被壓縮到一個3到4兆的MP3文件���。使用典型的56kbps的互聯(lián)網撥號連接��,該MP3文件能夠在幾分鐘之內下載到用戶的計算機上��。這樣�����,有惡意的一方就能夠從原來的正版CD中讀出歌曲�,將歌曲編碼成MP3格式���,然后將MP3編碼后的歌曲放到互聯(lián)網上進行大規(guī)模傳播���。另外,有惡意的一方還可以為下載MP3編碼過的歌曲提供直接下載服務�����。然后MP3編碼過的歌曲的非法版本被軟件或硬件裝置播放��,或者也可以解壓縮并被存儲到可刻錄的CD中在傳統(tǒng)的CD播放器上回放����。
為了限制對寫保護內容的復制,已經提出了許多方案。SDMI和其它組織提倡使用“數字水印”來識別授權的內容�。1997年7月16日授予約翰.P.利納茲的美國專利第5,933,798號,“檢測嵌入在信息系統(tǒng)中的水印”公開了一種用于對電子內容打水印的技術���,這里引用它作為參考���。就像紙上的水印一樣�����,數字水印被嵌入在內容當中以被檢測�,但它是不可見的。例如��,含有水印的數字音樂唱片的回放����,從沒有水印的相同唱片進行回放時是分辨不出的。但是水印檢測設備能夠基于水印的存在與否區(qū)別這兩種唱片���。因為有些內容可能沒有被寫保護因而不會包含水印����,沒有水印不能被用于從非法材料中區(qū)別合法材料。
還有其它寫保護方案�����。例如���,2000年3月8日授予約翰.P.利納茲和約翰.C.泰爾斯特拉的歐洲專利第EP983687A2號���,“寫保護數字材料的寫保護方案”提出了一種通過使用控制被保護材料播放次數的水印“票”來保護正版材料的技術,這里也將其作為參考�。
對打水印內容的精確復制將使得水印被復制到打水印內容的副本中。然而����,對打水印內容的不精確的、或者說有損耗的復制不會在內容的副本中形成水印的復制�。許多保護方案,包括SDMI的那些�����,都利用了有損耗復制的這一特點����,基于適當水印的存在與否來辨別合法內容與非法內容����。在SDMI的方法中��,定義了兩類水印“魯棒型”水印和“易損型”水印���。魯棒型水印能夠在用于保存原有內容基本部分的有損耗復制品中存在�����,例如音頻唱片的MP3編碼�����。也就是說,如果復制品保留了充足的信息允許原有唱片的合理播放����,魯棒型水印也會被保留。另一方面��,易損型水印會被有損耗復制或其它非法篡改破壞����。
在SDMI方案中,魯棒型水印的存在意味著內容是寫保護的,當魯棒型水印存在時���,相應易損型水印的存在或損壞表示寫保護的內容已經被以某種方式篡改了�����。配置一個符合SDMI的裝置�����,以拒絕播放有缺失水印的打有水印的材料或者檢測到有魯棒型水印但沒有易損型水印的材料�����,除非水印的損壞或缺失被“SDMI鑒定”過程證明是正當的�����,例如為便攜式播放器而對寫保護內容的SDMI壓縮�。為便于參考和理解�,術語“再現”這里包括對內容的任何處理或傳遞,例如播放���、錄音�、轉換、確認���、存儲���、加載等。該方案可以限制通過MP3或其它壓縮技術的傳播�,但是不影響對內容材料假冒的未轉換(壓縮)復制的傳播。這種有限的保護在商業(yè)上被認為是可行的����,因為下載一個超大文件來獲得一首歌的開銷和不方便性會阻礙對未壓縮內容的偷竊。
發(fā)明內容
盡管有SDMI和其它正在付出的努力�����,現有的用于音樂及其它內容安全傳遞的技術有很多重大缺陷���。例如,SDMI最近提出了一種稱為SDMI萊特的放映算法����。SDMI萊特算法只放映具有預定義固定持續(xù)時間的內容片斷。這一有限的放映數量使得SDMI萊特和其它基于內容的放映算法很容易受到成功的攻擊���,只要其中的非法內容被分成比放映算法設定的預定義持續(xù)時間短的片斷�。然后,分段的內容就可以在SDMI萊特算法將內容接收進SDMI保密域之后被重新組合����。
這樣,當攻擊者試圖通過將內容分成小塊來包圍放映算法時�����,就需要一種方法防止對內容放映算法的攻擊���。
本發(fā)明提供檢測引入保密域的非法內容的裝置和方法��,從而防止對放映算法的攻擊����。本發(fā)明旨在降低攻擊者在SDMI域內成功使用非法內容的機會���,同時平衡減少的播放時間和由放映算法的增強帶來的有效性之間的關系����。
根據本發(fā)明的一個方面�,防止對放映算法攻擊的方法包含決定提交給放映算法的內容是否含有指示內容受下載保護的標記�����,如果判定內容中不包含指明下載保護的指示則允許將內容放入保密域的隔離區(qū)域���,并監(jiān)視隔離區(qū)域內的內容,以檢測是否有對內容的任何編輯活動����。該方法也包含一個步驟,用于判決被編輯內容是否包含有指明檢測到編輯活動后內容被保護下載的標記����。如果在檢測到編輯活動之后內容包含指明內容被保護下載的標記,該內容將被拒絕進入SDMI域����,否則內容將獲準進入SDMI域。
本非明的這些和其它特點和優(yōu)勢將由于附圖和下面的詳細描述而變得更加明顯�。
圖1是一個示意性的圖,示出了本發(fā)明的總體情況���;圖2是一個流程圖,結合本發(fā)明的一個實施例示出了用于檢測引入保密域的非法內容的方法的步驟�����;圖3是一個流程圖,結合本發(fā)明的另一個實施例示出了用于檢測引入保密域的非法內容的方法的步驟����;圖4是一個流程圖,結合本發(fā)明更進一步的實施例示出了用于檢測引入保密域的非法內容的方法的步驟����。
具體實施例詳細描述本發(fā)明提供檢測正在或已經被引入保密域(例如SDMI域)的非法內容的裝置和方法,從而防止對放映算法的攻擊����。典型地,非法內容是通過水印的存在與否檢測到的���。本發(fā)明旨在降低攻擊者在SDMI域內成功使用非法內容的機會�,同時平衡減少的播放時間和由放映算法的增強帶來的有效性之間的關系���。
方便地講���,本發(fā)明防止對基于內容的保密放映算法的攻擊。根據本發(fā)明對放映算法成功攻擊的防止將對所有內容提供商提供方便����、有效而經濟的保護�����。
SDMI的一個目標就是防止內容在互聯(lián)網上的非法傳播�����。為了實現這一目標�����,SDMI已經提出了幾種放映被標記下載內容的方法����。其中一種方法就是先前提到過的SDMI萊特放映算法����。
總體上講,放映算法隨機放映被標記內容預定義數量的片段來決定內容是否合法�����。放映的片段數少則一個或兩個片斷��,多則內容的所有片斷都將被放映���。然而�����,既使當全部內容被放映時���,典型情況下放映算法只放映那些具有預定義持續(xù)時間的片斷。也就是說�,放映算法不會放映長度不超過一定門限值(例如,片斷必須有至少15秒鐘的長度來滿足門限值才能被放映算法處理)的內容片斷�����。這樣����,長度少于15秒鐘的內容就不會觸發(fā)放映算法。這些內容會自動被允許進入SDMI保密域����。所以,放映算法容易被那些內容被分成小于預定持續(xù)時間的片斷而后又被重新組合成原先內容的攻擊所攻破。
放映算法容易被這種攻擊所攻破的原因是雙重的���。其一��,如上所述����,當內容被分成短時間間隔的片段時�,放映算法根本就不會被發(fā)起而且內容輕易被允許進入SDMI域。原因之二是不包含水印的內容輕易被允許進入SDMI域����。所以,通過將內容分成這么小的片斷���,水印沒有被放映算法檢測到而且被允許進入SDMI域�。根據本發(fā)明的新放映算法對現有放映算法的弱點提供了一種有效的解決方案���。
成功實現對基于內容的放映算法的攻擊的一種方法是通過將內容分割成小片斷���,其中每個片斷的持續(xù)時間小于由放映算法設定的門限值。所以�����,當已經被分成許多片斷的內容被放映算法處理時,至少內容的一部分將獲準通過放映算法��,因為單個片斷沒有足夠的持續(xù)時間來發(fā)起放映算法��。另外���,即使片斷被檢測到了,分割過程也已經破壞了水印以至于放映算法還會將片斷進行正確驗證�����。
這里描述的放映算法包括SDMI萊特算法和其它基于內容的放映算法���,例如CDSafe算法�。CDSafe算法在正在申請的美國專利第09/536,944中有更完整的描述��,該專利于2000年3月28日提交���,發(fā)明人為托尼.斯泰林�����、麥克爾.艾普斯汀和馬丁.羅斯納�,標題為“通過自參考片斷完整數據集存在性的校樣來保護內容免受非法復制”,這里引用該專利作為參考���。
現參考圖1����,一種攻擊建議SDMI萊特放映算法和CDSafe算法的方法就是將被識別出來并將從諸如互聯(lián)網10之類的外部數據源下載的內容進行分割�。該攻擊方法在美國專利“基于內容分割的攻擊放映算法的裝置和方法”中有更完整的描述,該專利有訴訟事件號US010203要求對美國臨時專利申請第60/283,323號的優(yōu)先權����,這里也引用該專利作為參考。
如前所述����,述語“分割”是指將攻擊者知道為非法的內容12分成若干片斷18,就像所示的N個片斷�,以使得非法內容12通過放映算法14。也就是說�,如果內容12被分成足夠小的片斷,以至于不能被放映算法14檢測到(也就是說不滿足放映算法要求的持續(xù)時間門限值)���,那么這樣的片斷18將獲準通過放映算法14����。另外,通過分割內容12���,攻擊者事實上破壞了內容12中的水印�,因而使得放映算法檢測不到它�����。還有�,即使放映算法檢測到了水印的一小部分����,內容的這部分也不會被拒絕,因為辨識水印可能已經被改變成不能被分割過程識別的樣子了�����。
雖然圖中所示的是一個分立的單元���,但是放映算法14也可以駐留在個人電腦16的存儲器中���,并被個人電腦16的處理器執(zhí)行���。一旦內容被下載,它就可以被寫入壓縮碟片�����、個人數字助理(PDA)或其它裝置�����,例如與個人電腦16并存或依附于個人電腦的存儲器�。
為了完成攻擊,一旦所有的片段18都通過了放映算法����,就在個人計算機16中重新組裝被劃分的片段,以恢復整個非法內容����。
個人電腦16是可以用于執(zhí)行所述放映算法攻擊方法的處理設備的示例??偟膩碚f,這樣的處理裝置包括一個處理器和一個通過至少一部分系統(tǒng)總線進行通信的內存��。裝置16可以代表任何類型的處理設備�,用于實現根據本發(fā)明的攻擊放映算法的至少一部分方法�����。裝置16的單元可以對應于這種裝置的傳統(tǒng)單元�����。
例如�����,上面提到的處理器可以代表一個微處理器�����、中央處理單元(CPU)、數字信號處理器(DSP)或專用集成電路(ASIC)��,也可以是這些處理裝置與其它處理裝置的部分或組合��。典型情況下存儲器是電子存儲器�����,但是也可以包含或包括其它類型的存儲裝置�,例如基于碟片的光或磁存儲器�。
這里描述的技術可以全部或部分用軟件存儲并用裝置16的各個存儲器或處理器單元來執(zhí)行���。應該注意到裝置16可以包括其它未知單元�����,或者能夠提供這里所述攻擊功能的其它類型的單元�����。
因為只有那些持續(xù)時間大于放映算法設定的門限值的內容片斷才能被以前的放映算法所放映����,所以這里描述的攻擊方法就成為可能�����。如果沒有門限值的限制而且被標記內容的每個片斷都被放映以保證被標記內容是合法內容�����,這種攻擊就是不可能的�����。然而,放映每一個片斷將嚴重影響放映算法的性能�����,因為放映算法是會消耗時間的�����。此外�����,當內容被分成這么小的片段時很難���,如果不是不可能的話��,在給定的片斷中檢測水印。所以��,上面提到的放映算法很容易被這里描述的攻擊所攻破����。
現在參考圖2,該流程圖結合本發(fā)明的一個示意性的實施例示出了用于檢測引入保密域的非法內容的方法的步驟���。
因為內容要被識別出來供放映算法播放��,所以第一個步驟100用于決定內容是否包含水印�。如果內容包含水印,該內容將根據發(fā)現的水印進行播放�,如步驟150所示?���;谒〉膶傩裕瑑热輰⒃谌鐖D所示的步驟155和160分別被拒絕或允許進SDMI域����。嵌入在內容中的水印指明內容是被保護的而且應該根據SDMI規(guī)則放映。
如果內容不包含水印����,就被允許進入SDMI域的一個隔離區(qū)域,如步驟110所示���。一旦進入SDMI域��,內容就會被認為是“被下載的”����,正如這里所用的術語。本發(fā)明承認這樣一個事實����,因為內容可能已經被分成小片斷,所以即使內容在它原先的聚集態(tài)配置中有水印它也可能獲準進入���。因而��,為了防止由將內容分割成小片斷而導致水印不能被識別的成功攻擊�����,在SDMI域建立了一個單獨的保密區(qū)域以便從無限制進入SDMI域的內容(例如免費內容)中將有問題的內容分離出來��。
一旦內容被確定為屬于隔離區(qū)域�,該內容就會被繼續(xù)監(jiān)視以決定是否有任何對內容進行的編輯功能�����,如步驟120和170所示��。編輯可以包括將內容的兩個或多個片斷合在一起或者假造至少內容的一部分�����,例如以數字方式改變嵌入在內容中的水印�����。其它類型的編輯包括諸如重新安排內容中片斷順序之類的操作��?�?梢韵氲郊词乖趦热莸谝淮伪惶峤唤o放映算法時沒有檢測到水印����,在一些編輯活動之后仍可能在內容中檢測到水印。例如在提交給放映算法之前�����,水印可能已經被巧妙地放到了它第一次通過放映算法時沒有被檢測到的那一點上��。這樣�,如果對內容進行了編輯,被編輯內容就會被重新放映以決定它是否包含水印����。如果被編輯內容真的包含水印�,而它以前不包含水印���,這就意味著它受到了一次攻擊�����。在這種情況下�����,現在有水印的被編輯內容根據SDMI規(guī)則被重新放映����,如步驟150所示�。也可以設想不拒絕步驟155中識別的內容,而是以一種方式除去或修改內容以使得用戶不能訪問或播放這些內容�����。如果被編輯內容不包含水印�,就將其當做免費內容來處理,將其返回給如步驟110所示的SDMI域的隔離區(qū)域����,并進一步監(jiān)視如步驟120所示的任何編輯活動���。
現在參考圖3�,該流程圖結合本發(fā)明另一個示意性的實施例示出了用于檢測引入保密域的非法內容的方法的步驟。
因為內容要被識別出來供放映算法播放�,所以第一個步驟300用于決定內容是否包含水印。如果內容包含水印���,該內容將根據SDMI規(guī)則進行播放���,如步驟350所示。如果內容不包含水印��,內容將被允許進入前述SDMI隔離區(qū)域���,如步驟310所示��。
一旦內容被確定為屬于隔離區(qū)域����,該內容就會被繼續(xù)監(jiān)視以判斷是否有兩個或更多內容片斷被合在一起���,如步驟320和370所示�����。如果有合并片斷的企圖�����,就獲取與兩個片斷相關的識別號并比較兩者是否相同���。如果識別號相同��,就認為攻擊者試圖模仿片斷中已經被允許進入SDMI域的內容�����。所以��,如步驟360所示��,當識別號相同時就拒絕內容�����。相反�,當識別號不同時���,內容將獲準進入SDMI域中的非隔離區(qū)域�����,如步驟340所示���。
圖4示出了參考圖3描述的實施例的另一種選擇。圖4中的參考號400��、410���、420�、430�、440、450和470大體上分別對應于圖3的300�、310、320����、330、340��、350和370���。然而�����,在該實施例中���,如果被提出合在一起的兩個或更多片斷的內容識別號相同�,就不拒絕新合起來的內容����,而是將新合在一起的內容重新提交給放映算法,如步驟430到440的箭頭所示��。
本發(fā)明的上述實施例只是示例而已���。例如���,雖然本發(fā)明是參考SDMI放映算法和SDMI域來描述的,但是本發(fā)明可以應用于任何放映算法和保密域�。在如下權利要求范圍之內的這些以及眾多其它的實施例對本領域內的專業(yè)技術人員而言是顯然的。
權利要求
1.一種防止對放映算法攻擊的方法�,該方法包含步驟判斷提交給放映算法的內容中是否包含指明內容受保護的標記(100、300、400)����;如果判定內容中不包含指明內容受保護的標記,就允許內容進入保密域的隔離區(qū)域(110�����、310�、410);以及監(jiān)視隔離區(qū)域的內容以檢測是否對內容執(zhí)行了任何編輯活動(120���、320、420)�����。
2.如權利要求1所述的防止對放映算法攻擊的方法進一步包含一個步驟����,如果在監(jiān)視步驟(100、300��、400)中檢測到編輯活動�����,就判斷隔離區(qū)域的內容是否包含水印。
3.如權利要求1所述的防止對放映算法攻擊的方法����,其中標記包含水印。
4.如權利要求1所述的防止對放映算法攻擊的方法���,其中編輯活動包括將內容的至少兩個片斷合在一起��。
5.如權利要求4所述的防止對放映算法攻擊的方法���,進一步包含一個步驟判斷被合在一起的內容片斷的識別號是否相同(330)。
6.如權利要求5所述的防止對放映算法攻擊的方法���,進一步包含一個步驟��,如果被合在一起的內容片斷的識別號相同則拒絕被編輯的內容�����。
7.如權利要求1所述的防止對放映算法攻擊的方法���,進一步包含一個步驟判斷被編輯內容中是否包含指明內容在檢測到編輯活動之后會受到保護的標記。
8.如權利要求7所述的防止對放映算法攻擊的方法進一步包含一個步驟,如果判定內容中不包含指明內容在檢測到編輯活動之后會受到保護的標記�,則允許內容進入保密域的非隔離區(qū)域(340)。
9.如權利要求7所述的防止對放映算法攻擊的方法����,進一步包含一個步驟,如果判定內容中包含指明內容在檢測到編輯活動之后會受到保護的標記�,則拒絕內容進入保密域的非隔離區(qū)域。
10.如權利要求7所述的防止對放映算法攻擊的方法���,進一步包含一個步驟����,如果判定內容中包含指明內容在執(zhí)行編輯活動之后會受到保護的標記���,就將內容刪除。
11.如權利要求1所述的防止對放映算法攻擊的方法�,其中放映算法是保密數字音樂組織放映算法。
12.如權利要求1所述的防止對放映算法攻擊的方法��,其中判斷���、允許��、和監(jiān)視的步驟由處理裝置執(zhí)行�。
13.一種防止對放映算法攻擊的裝置包含有處理器和內存的處理裝置,該處理裝置可進行如下操作-決定內容是否包括水印-如果判定水印未指示內容受保護��,就允許不含水印的內容進入保密域的隔離區(qū)域��,以及-監(jiān)視隔離區(qū)域是否有與內容有關的編輯活動�����。
14.如權利要求13所述的防止對放映算法攻擊的裝置����,其中配置與處理裝置關聯(lián)的存儲器,用于當內容被放映算法允許進入保密域時來保存內容���。
15.一種防止對放映算法攻擊的制造品���,該物品包含機器可讀的介質,介質包含一個或多個程序�,當程序被執(zhí)行時實現下列步驟判斷提交給放映算法的內容是否包含指明內容受下載保護的標記(100、300�、400);如果判定內容不包含指明內容受保護的標記�,就允許內容進入保密域的隔離區(qū)域(110���、310、410)�;以及監(jiān)視隔離區(qū)域的內容以檢測是否對內容執(zhí)行了任何編輯活動(120、320��、420)����。
全文摘要
用于檢測引入保密域的非法內容的裝置和方法,藉此防止對放映算法的攻擊���。防止對放映算法攻擊的方法包含步驟判斷提交給放映算法的內容是否包含指明內容受保護的標記�,如果判定內容不包含指明內容受保護的標記就允許內容進入保密域的隔離區(qū)域����,并監(jiān)視隔離區(qū)域的內容以檢測是否對內容執(zhí)行了任何編輯活動。僅當判定內容不包含指明內容受保護的標記時才允許內容進入隔離區(qū)域�����。該方法也包含相應步驟在檢測到編輯活動之后判斷被編輯內容是否包含指明內容受保護的標記�。
文檔編號H04L29/06GK1602525SQ02824455
公開日2005年3月30日 申請日期2002年11月20日 優(yōu)先權日2001年12月6日
發(fā)明者M·C·羅斯納, R·克拉辛斯基, M·A·埃普斯泰恩, A·A·M·斯塔林 申請人:皇家飛利浦電子股份有限公司