电子图书数字权限管理系统比较研究

随着互联网的发展。网上数字化信息日益增加。由于数字信息很容易复制，修改、重新分发，网络上进行数字内容传播存在大量的盗版和侵权问题，从而导致许多内容提供者不愿把有价值的数字内容放在因特网上发布。数字权限管理（Digital Rights Management，简称DRM）就是运用技术手段遏制盗版，保护数字化内容的知识产权，保证数字化产品市场销售渠道的畅通，保障作者、出版商、分销商的利益和用户的合法使用权利，从而求得各方利益的实现与平衡，推动电子出版业的繁荣[1]。目前，DRM技术在电子图书服务中的应用比较普遍。本文首先对DRM技术的产生与发展进行综述，然后对几种典型电子图书DRM系统进行比较研究，最后对不同DRM系统的互操作机制进行了简单探讨。
1  DRM技术的产生与发展
在数字图书馆中最早采用的著作权技术保护措施是基于用户认证的传统访问管理方式，针对的是一种封闭系统中所有用户已知的情况，主要是利用一种服务器端的参考监控器进行用户的认证和授权。包括强制访问控制（MAC）、自主访问控制（DAC）、基于角色的访问控制（RBAC）几类，但是它们在面对当前的数字环境时显得力不从心。原因之一是传统访问控制是对封闭系统环境中的数字资源进行访问控制，它不能在数字信息被访问并传播到其它系统时持久地保护数字信息。另外，传统的访问控制仅仅处理预先知道用户的情况，这对于目前的网络环境也是不够的。
信任管理的引入解决了开放网络环境中未知用户的授权问题。信任管理去掉了传统访问管理中的已知用户约束，允许基于未知用户的凭证控制他们对数字信息的访问。然而，信任管理仍然不能对已经传播的数字对象进行使用控制。传统的访问控制和信任管理都主要关注敏感信息保护，忽略了现在直接面向用户的B2C系统。
DRM技术的出现就是为了克服上述不足，在高度分布、网络互联的开放数字环境中对数字内容生产、传播、销售、使用的整个生命周期所有过程提供持久的知识产权保护。在2001年1月，美国麻省理工学院在《Technology Review》杂志上将DRM技术评选为改变未来世界的10大创新技术之一。
早在上个世纪90年代随着因特网的普及，人们就意识到在网络上进行数字内容分发存在运用技术手段进行知识产权保护的必要。在学术研究领域，Dartmouth大学的John S.Erickson在1995年的硕士论文中提出一种针对网络化交互多媒体的一种版权保护系统，在1997年的博士论文中提出针对网络版权管理的增强属性[2]；斯坦福计算机系的R.Martin R？scheisen在1997年的博士论文中提出FIRM（一种互操作权限管理框架）-斯坦福数字图书馆项目开发的基础设施原型Infobus的协议之一，用来将因特网协议扩展为更高层的信息管理协议[3]；George Mason大学信息技术学院的Jaehong Park在2003年的博士论文中提出一种统一的使用控制框架，从理论上探讨各种权限管理方式的统一建模问题[4]。在产业领域，美国的InterTrust是最早进行DRM技术研究和开发的公司，现在具有一整套解决方案；其它如微软、Adobe、RealNetworks等都提出了较为成熟的投入实际应用的方案。关于DRM技术的研究和开发起源于国外，国内很快也开始涉足这个领域，中科院计算所的庄超、沙瀛、白硕等对Internet内容的安全分发与版权保护问题进行了较为深入的研究，并作了一定的系统设计和实现，其基本思路与目前应用中的成熟DRM系统是一致的[5]；华东师范大学计算机系的胡志远等进行了关于安全容器的数字信息版权保护机制的相关研究，得出了一些类似的结论[6]。方正、超星、书生等商业公司开发了基于DRM技术的成熟系统并已经投入应用。
最近几年，进行DRM研究的科研人员和实际开发的方案及其相关应用逐渐增多，为此，美国计算机协会从2001年开始，每年举办一次ACM DRM会议“ACM Workshop on Digital Rights Management”，涉及的研究内容包括多个方面，主要有DRM系统的体系结构、DRM中对数字内容使用的跟踪和审核、数字内容交易的商业模式及其安全性需求、多媒体数据的加密、身份识别、DRM系统中的密钥管理、数字权利的转移问题、数字版权描述等等。同时，众多DRM系统的存在要求存在相关的标准以实现互操作，为此，若干标准组织如W3C、MPEG、OASIS、OEB都开始涉及该领域，着手相关标准的制定工作。
2  针对电子图书的典型DRM系统比较研究
下面比较分析微软、Adobe、方正推出的3种典型电子图书DRM方案。为了使得它们具有可比性，我们对于类似组件使用了相同的符号，并且将每个系统结构划分为5个交互方面，即DRM平台，内容提供者，电子商务系统，结算中心，客户端。
2.1  微软针对电子图书的DRM方案
微软的电子图书DRM系统主要包括服务器端的Digital Asset Server（简称DAS）和客户端的Microsoft Reader。DAS有两个组件：DAS Server，包括repository（内容服务器数据库）和packager（完成DRM封装功能）；DAS电子商务组件，集成到零售商的电子商务网站。DAS可被服务提供者或电子图书零售商部署。微软电子图书技术的DRM模型是一种非常紧密的集成，不仅包括DAS和Microsoft Reader，而且包括微软的Passport用户标识和注册系统[7]。系统结构如图1所示。
附图
图1  Microsoft DRM系统结构
2.1.1  工作流程
（1）微软DAS的封装模块封装电子图书内容文件。（2）封装的文件部署到内容服务器。（3）设置License条款，建立一个License服务器。电子图书内容文件和Licenses的发送和存储分开。（4）用户请求和接收电子图书。（5）用户联系零售商的电子商务网站，请求打开封装电子图书的一个License。（6）用户通过DAS电子商务组件提供一些个人信息或者付费，然后从License服务器获取产生的License，并能够根据License中规定的规则或者权限使用电子图书。（7）授权用户具有超级分发功能，但是接收用户仍然需要获取使用权限。流程同（5）～（6）。
2.1.2  功能模块
（1）DRM平台。微软DAS封装电子图书文件。封装的文件被加密，使用一个钥匙锁住。钥匙存储在一个单独分发的加密License中。其它信息添加到电子图书文件，如License能够获得的URL。封装的电子图书文件以Microsoft Reader格式（.LIT）保存。
（2）内容提供者。封装的文件以多种方式发送，如置于一个网站或者VIP服务器以供下载，甚至光盘、Email方式发送等。微软DAS允许用户进行超级分发。
（3）License服务器，内容提供者选择一个Li-cense服务器，存储License的特定权限或者规则，实施微软DAS的License服务。它的角色是认证用户的License请求。电子图书文件和Licenses的发送和存储分开，方便整个系统的管理和服务。
（4）电子商务系统。要使用一个封装的电子图书文件，用户必须首先获得一个License钥匙来打开文件。当用户试图获取被保护内容并获取相应的License，或者第一次打开文件时，获得一个License的过程自动开始。微软DAS发送用户到一个注册页面，在这儿要求提供一些个人信息或者付费，或者直接从一个License服务器检索一个License。
（5）客户端。用户需要对应的客户端软件Microsoft Reader，并且使用自己的用户ID激活它，然后根据License中规定的规则或者权限使用电子图书文件。Licenses可具有不同权限，但它是不可转让的。如果一个用户发送一个封装的电子图书文件给别人，他们必须获取自己的License以使用文件。这种许可体系确保封装的电子图书内容文件仅仅能够在授予相应License钥匙的设备上使用。
2.2  Adobe针对电子图书的DRM方案
Adobe的电子图书DRM系统主要包括服务器端的Adobe Content Server和客户端的Adobe eBook reader。Adobe Content Server是Adobe原来的PDF merchant和Glassbook的Content Server技术的结合，它的主要组件包括：一个repository（内容服务器数据库），packager（封装模块），一个fulfillment Server（在用户购买时分发内容使用许可），一个称为GBLink的模块，用来链接电子商务网站和fulfillment Server[7-8]。系统结构如图2所示。
附图
图2  Adobe DRM系统结构
2.2.1  工作流程
（1）在内容转换为Adobe PDF后，Adobe Content Server加密Adobe PDF文件，与图书封面的一个缩微图一起封装为一本电子图书，设置使用规则。（2）被保护内容被部署到一个网络服务器。（3）内容ID和使用规则保存在一个电子图书数据库，能够通过一个fulfillment服务器（Bights Server）访问。（4）用户从一个零售商的电子商务网站请求一本电子图书的授权（License，Voucher）。（5）用户通过一些支付机制进行电子图书付费。（6）在接收到来自特定GBLink模块的一些订购URL后，电子商务服务器发送订购URL，图书ID和其它必要信息给fulfillment Server。（7）用户也接收到订购URL。（8）用户发送电子图书请求到包含订购URL的fulfillment Server。（9）在fulfillment Server接收到请求后，它针对用户的eBook reader产生一个fulfillment文档，规定请求的电子图书和一个购买授权。（10）eBook reader发送fulfillment文档到fulfillment Server。（11）fulfillment Server现在发送回一个能够与实际电子图书文件永久联系的一个License。（12）这个完成后，eBook reader最后能够下载电子图书内容。（13）fulfillment Server发送一些结算信息给电子商务服务器，整个过程成功完成。（14）授权用户具有超级分发功能，但是接收用户仍然需要获取权限。内容能够自由分发，但是它总是被保护，并且规则总是被执行。
2.2.2  功能模块
（1）DPM平台。在Adobe Content Server中的封装由packager（封装模块）完成。封装要求图书封面的一个缩微图，以方便电子商务网站的使用。封装模块能够创建两种类型的封装电子图书：PDF merchant（使用Adobe私有DRM）、EBX（由开放电子图书论坛提出但最终放弃的假定标准）。两种类型封装的权限规定有所不同，但它们都是在封装的时候产生Li-cense。在EBX中将License称为Voucher。在购买完成后License发送给用户。
（2）内容提供者。repository（内容服务器数据库）能够是任何标准（ODBC兼容）数据库，但是它在使用前必须被Adobe证明。Adobe从一个认证权威处产生数字证书，安装在内容服务器上。
（3）电子商务系统。为了销售电子图书，Adobe Content Server遵循如图2所示的过程。这个过程的复杂性是必要的，因为它允许电子商务网站和fulfillment Server的解耦，它们可以是独立的实体。
GBLink模块通过提供标识被封装电子图书的查询字符串来集成电子商务网站和fulfillment Server。电子商务服务器传给GBLink关于销售电子图书的信息和标识销售网站的一个公钥，GBLink返回包含fulfillment Server位置的一个订购入口URL。然后电子商务服务器发送给fulfillment Server如下信息：订购URL和销售网站的钥匙、电子图书ID（可以是ISBN、DOI或者其它类型）、信息的时间和日期、电子图书的类型（PDF merchant或者EBX）、一个数字签名（防窜改）、其它信息。然后通过fulfillment Server与DRM客户端的一系列交互产生针对用户的授权文件。
（4）客户端。与Adobe Content Server协同工作的客户端软件是Adobe eBook reader。当一个用户直接从一个电子商务网站购买一本Adobe PDF电子图书时，它自动下载到用户的个人Adobe eBook reader库以便立刻观看。Adobe eBook reader使用对应voucher中的密钥打开电子图书。现在电子图书连接到用户的Adobe reader，不能传给其它地方，除非给予出借或者赠送许可。
2.3  方正针对电子图书的DRM方案
方正的电子图书DRM系统主要包括服务器端的Apabi Packager、Apabi Rights Server、Apabi Retail Server、Apabi content server和客户端的Apabi Reader。系统结构如图3所示。
附图
图3  方正Apabi DRM系统结构
2.3.1  工作流程
①在内容转换为CEB后，Apabi Packager加密Ababi CEB文件，制定版权授权信息。②加密的内容文件和配套信息（元数据和封面）部署到内容服务器。③内容ID、元数据信息、版权授权信息和加密密钥信息存储到License服务器。元数据和出版信息部署到零售商的电子商务服务器。④用户从一个零售商的电子商务网站请求一本电子图书的授权。⑤用户通过一些支付机制进行电子图书付费。⑥电子商务服务器发送订购URL，图书ID和其它必要信息给License服务器，接收到取货单。⑦用户接收到取货单。⑧通过客户端的DRM程序和取货单上指定URL地址的License服务器共同完成授权过程。⑨客户端下载电子图书，按照授权文件中的权限规定使用内容。⑩授权用户具有超级分发功能，但是接收用户仍然需要获取使用权限。
2.3.2  功能模块
（1）DRM平台。在方正Apabi DRM系统中，封装是通过Apabi Packager完成。在内容通过Apabi Maker转换为CEB格式后，使用Apabi Packager（通过随机产生的一个对称密钥）进行内容文件加密，生成加密的图书包，制定版权授权信息。内容ID、其它配套的图书信息文件（元数据、封面）、版权授权信息和加密密钥信息（使用出版商的公钥和标识信息加密）一同存储到License服务器的某个位置，作为根据零售商要求产生内容文件License的基础。
License服务器是由Apabi Rights Server实现，用于出版商服务器，它通过交易授权接口与零售商服务器进行通信，实现数字版权管理和保护，防止非法拷贝和传播电子图书，并进行安全分发和销售电子图书。
（2）电子商务系统。电子商务系统是由Apabi Retail Server实现，用于零售商服务器，图书元数据信息和出版信息自动发布到此处。当用户在网络书店选定图书并且完成支付后，网络书店就开始向零售商服务器发出订单要求，要求得到版权授权，订单又可能需要分别请求不同的License服务器，零售商服务器负责解析订单。向不同的License服务器请求。License服务器接到请求以后，记录订单，通过客户端的DRM程序和服务器共同完成授权过程。零售商服务器将多个取货单合并为一个取货单后，返回到电子书店，然后电子书店将这个取货单送给用户。如果取货单上文档类型和用户机器上安装的电子图书阅读器发生了关联，电子阅读器会自动打开并解析这个取货单，取货单上有取货的URL地址和相应的参数。电子阅读器调用DRM软件的版权授权接口，向位于这个URL的License服务器地址发送自己的标识和取货单信息，通过一系列的安全握手协议，License服务器认证了取货请求的身份之后，生成一个基于XML格式的授权文件发给用户[9]。
（3）内容提供者，加密的内容文件和配套信息（元数据和封面）能够部署到内容服务器Apabi content server中，内容服务器用来存储大量的图书内容文件，实际使用中可以使用FTP或者Web服务器进行内容下载服务。由于内容被加密，具有可任意分发的特性。在内容的组织上采用冗余的方案，在零售商的服务器上一般有备份，所以受带宽、服务器性能和物理稳定性的影响比较小。不管内容怎样分发，它仅仅能够使用发给单个客户端（设备绑定）的一个有效License解密使用。
（4）客户端。浏览过程由用户机器上的电子书阅读器（Apabi Reader）及其内置的DRM软件共同完成。电子书阅读器的DRM软件主要完成的功能有权限校验和内容解密两项，权限校验用来验证版权授权的标识，电子图书在客户机上仍然是加密存储的，只有在阅读时才会被解密，从而保护数据的安全。电子图书阅读器还具有一定程度的防破解功能和权限控制功能。通过License文件中的版权控制信息，决定许可的操作权限等，电子图书阅读器采用了一定的手段来防止恶意破坏版权规则的情况。
2.4  安全机制
一个DRM系统要求提供持久的内容保护，意味着保护必须与内容在一起，在DRM系统中要求的安全等级超过简单地授予数字Licenses给授权用户-即在内容发送到终端用户后还必须维护内容使用权限的限制。
在DRM系统中的基本安全要求包括：数据保护以防非授权截取和修改，接收方的唯一标识以便数字内容的访问控制，有效的防窜改机制以处理保护数据和执行内容使用权限[10]。
2.4.1  加密和水印技术的应用
网络对于希望与他人共享自己数字内容的消费者提供了一种开放的传播渠道，所以上述3种DRM系统的信任模型都是假定不可能区分诚实和不诚实的用户，系统构建于已经研究了许多年的各种对称和不对称加密方案。为了防止数字内容的非法拷贝，内容一般使用一种对称钥匙算法加密。包含内容解密钥匙的数字Licenses必须使用接收方的公钥加密。因此，仅仅拥有正确私钥的接收方能够解密数字Licenses，获得内容解密钥匙，从而打开并访问内容。在这几种DRM系统中加密技术的使用还包括：内容验证（防窜改）的数字摘要，身份验证的数字证书，内容和身份同时验证的数字签名等。它们也通过水印探测来跟踪内容的使用。
2.4.2  用户身份的标识
这是DRM方案中的一个关键问题，一个用户必须建立一个身份标识以获得对内容实施某种权限的许可。本质上，这几种DRM方案都采用唯一标识用户设备的方式。每个License绑定到一个唯一的使用设备，所以存储在一个设备上的License不能转移或者应用到另外一个设备，在DRM的环境中，这样能够减少由于系统攻破带来的危害，因为如果在一台用户计算机上的DRM模块被损害，仅仅那台终端受到影响。
针对权限可移植性的问题，微软和方正的DRM方案使用了类似的混合用户和设备的标识方案，以模拟一个用户拥有多个设备、多个用户共用一个设备的情况。即将用户的唯一ID与使用该用户ID激活的不同设备上的多个客户端软件实例关联，以实现一个用户拥有多个设备的情况；在同一设备上使用不同用户ID激活多个客户端软件实例，以实现多个用户使用同一个设备，同时保持其内容互相独立。我们感觉这种方案较好地模拟了现实世界中的实际情况。
2.4.3  自我保护的容器
在这几种DRM系统普遍使用的另外一个安全机制是自我保护容器技术，一种自我保护的容器是一种使用加密，数字签名和数字证书以确保数据机密性和完整性的电子信息或者内容的加密载体。使用这种技术作为DRM系统中的关键元素，来防止对于保护数字内容的非授权访问。自我保护容器技术能够支持几乎任何网络拓扑和任意数量的网络参与方，并且提供了灵活的权限控制，所以它被视为一种真正的超级分发手段。为了能够部署这种技术，要求具有一种用于容器处理的安全环境。因此，防窜改技术普遍深入的部署是必要的。
2.5  电子图书内容的标识
每个内容项唯一可标识是必要的，内容标识是任何DRM系统的最基本元素。目前的DOI系统主要是为了保护作者和出版商在因特网上的知识产权而设计的，它最有可能成为电子图书DRM系统中内容标识的一种开放标准。但是，DOI的使用需要付费和注册过程，这使得DOI对于一个DRM服务提供商来说不是一种非常经济的方案，目前它们大多采用了私有的内容标识体系。
2.6  权限元数据方案
权限元数据提供表达权限信息和使用控制政策的基础，是DRM技术的核心，也是DRM系统互操作的关键[11]。目前，发展比较成熟并且有一定应用基础的权限元数据方案主要有ODRL、XrML等。
从纯技术的观点来看，ODRL是一种轻量级的适当标准，可以开放源代码的精神免费获取。而XrML太重量级，难于实施，并且ContentGuard公司拥有XrML的专利，不是完全开放。但是目前OASIS、MPEG、OEB等标准组织都初步选定XrML作为基础，来定义权限表达语言的工业标准；〈INDECS〉2rdd作为基础，来定义权限数据字典的工业标准。所以，XrML和〈INDECS〉2rdd很有可能成为DRM领域权限元数据的推荐标准。
目前，微软和方正的DRM方案都采用了XrML，Adobe目前是采用的私有方案，以后可能实施ODRL。
2.7  支持的商业模型
DRM系统不只是需要有效地保护数字内容的知识产权，更重要的是能够灵活地支持开放网络环境下数字内容服务的各种商业模型。这与系统采用的权限元数据方案紧密相关。目前，上述3种系统都支持许多灵活的商业模型，如付费下载、订阅、每次观看付费、使用计量、P2P、超级分发等。
通过对上述3种典型电子图书DRM系统的比较研究，可以看出它们在系统的基本结构、采用的安全机制、支持的商业模型方面表现出一些相似性，但是具体的处理流程、内容标识体系、权限元数据方案不同。它们都允许内容和权限的分开发送，并且都绑定到特定的文件格式。
3  不同DBM系统之间的互操作机制
目前采用不同DRM系统进行保护的电子图书内容文件需要安装不同的客户端软件进行使用，这就自然地引发了不同DRM系统之间的互操作性问题。在一种理想情况下，DRM系统中的每个组件应该可由不同方面提供，组件之间的互操作通过标准化接口实现，这样内容提供方可针对具体情况选择合适组件来构建完整的DRM系统，同时由于功能相同的组件能够相互替换，用户也免除了安装不同客户端的不便，但这在目前还不太可能。
从现有情况来看，DRM系统之间的互操作要求集中在两个方面：不同系统之间权限信息的正确交换、识别、解析；DRM系统与格式不绑定。对于前一个问题，从目前的相关研究来看，发展数字内容标识符和权限元数据的相关标准并在DRM系统中加以应用是一种可行的方案[11-12]。对于DRM系统与格式松绑的问题还在探索中，可能需要文件格式发展方开放有关的接口。John S.Erickson提出一种基于数字对象模型的DRM互操作机制，核心思想是在现有DRM技术之上构建一个通用的信息对象服务抽象层，并开放信息对象的数据结构，通过调用不同的格式转换接口产生各种需要的格式，并通过调用底层的具体DRM技术接口进行权限控制[13-14]。微软计划通过解耦自己的DRM技术和文件格式，开放相关接口，全面支持XrML，并采用开放的Kerberos用户认证技术，来构建一种内容类型无关的统一DRM方案[7]，目前还未推出最终的产品。