云計(jì)算數(shù)字內(nèi)容保護(hù)軟件設(shè)計(jì)方案

1、云計(jì)算數(shù)字內(nèi)容保護(hù)系統(tǒng)軟件設(shè)計(jì)方案云計(jì)算技術(shù)以移動(dòng)設(shè)備為切入點(diǎn)，以移動(dòng)互聯(lián)網(wǎng)為通信鏈路，為移動(dòng)設(shè)備用戶提供服務(wù)，最終發(fā)展形成移動(dòng)云服務(wù)產(chǎn)業(yè)。在移動(dòng)云計(jì)算環(huán)境中，移動(dòng)云用戶將個(gè)人數(shù)據(jù)資源存儲在云服務(wù)器中，失去了對云中數(shù)據(jù)的直接控制權(quán)力，因此提供一個(gè)可由數(shù)據(jù)提供者管控個(gè)人數(shù)據(jù)的訪問控制方案己成為移動(dòng)云環(huán)境下保護(hù)數(shù)據(jù)安全的發(fā)展趨勢。據(jù)調(diào)查顯示，在使用云服務(wù)時(shí)，用戶首先關(guān)注的是安全性問題。訪問控制作為信息安全管理體系的重要組成部分，對移動(dòng)云計(jì)算環(huán)境下的數(shù)據(jù)安全保護(hù)起著至關(guān)重要的作用。訪問控制的主要目的是解決移動(dòng)云服務(wù)系統(tǒng)中的資源和服務(wù)的正確授權(quán)問題，一方面阻止主體訪問或者獲取經(jīng)權(quán)限驗(yàn)證受保護(hù)的而未授權(quán)

2、或權(quán)限過期的資源或服務(wù)，另一方面保證主體可以正常、流暢的使用或訪問己被授權(quán)的資源或服務(wù)，最重要的是防止授權(quán)主體對受保護(hù)的服務(wù)或資源執(zhí)行越權(quán)操作。傳統(tǒng)的訪問控制機(jī)制適用于權(quán)限集中式系統(tǒng)，為滿足動(dòng)態(tài)性、分布性和可擴(kuò)展的移動(dòng)云計(jì)算訪問控制需求并實(shí)現(xiàn)基于IP、GPS 、設(shè)備及賬戶等各類屬性的訪問控制模型，本文提出了一種新型的訪問控制模型用于解決移動(dòng)云環(huán)境下的數(shù)據(jù)安全問題。一、功能設(shè)計(jì)DCU和DCP之間的數(shù)字內(nèi)容共享可通過購買交易實(shí)現(xiàn)。本系統(tǒng)為DCP和DCU提供一個(gè)公平、自由的交易平臺。DCP有將數(shù)字內(nèi)容上載至系統(tǒng)內(nèi)的需求，DCU有從系統(tǒng)平臺中查找了解各數(shù)字內(nèi)容詳細(xì)信息的需求，系統(tǒng)應(yīng)當(dāng)所有數(shù)字內(nèi)容提供統(tǒng)

3、一的管理機(jī)制，便于所有用戶安全方便的獲取數(shù)字內(nèi)容相關(guān)服務(wù)。所以系統(tǒng)的功能設(shè)計(jì)如下：系統(tǒng)初試化：KA需要完成系統(tǒng)內(nèi)密鑰的初始化功能，并從CA處注冊申請公鑰證書。將部署在系統(tǒng)服務(wù)器中，在系統(tǒng)部署運(yùn)行時(shí)，服務(wù)器應(yīng)當(dāng)初始化完成的公鑰參數(shù)生成功能。為代理服務(wù)器分配代理密鑰，為DCP分配公鑰參數(shù)和生成主密鑰（不公開）。數(shù)字內(nèi)容管理：系統(tǒng)應(yīng)當(dāng)建立數(shù)字內(nèi)容有效管理機(jī)制，保證數(shù)字內(nèi)容在系統(tǒng)內(nèi)各實(shí)體用戶間流轉(zhuǎn)時(shí)的安全性、完整性和有效性。該模塊分為數(shù)字內(nèi)容文件管理、數(shù)字內(nèi)容基本信息錄入、基本信息展示和數(shù)字內(nèi)容文件交付模塊。詳細(xì)功能為：（1）對于DCP提供的數(shù)字內(nèi)容文件，系統(tǒng)應(yīng)提供良好的文件管理機(jī)制，便于對數(shù)字內(nèi)容文

4、件的查詢、更新。（2）DCP除提供數(shù)字內(nèi)容實(shí)體文件外，還需要提供數(shù)字內(nèi)容的基本信息，便于服務(wù)器對數(shù)字內(nèi)容統(tǒng)一管理。（3）DCU有對數(shù)字內(nèi)容的基本信息進(jìn)行詳細(xì)了解的需求，系統(tǒng)應(yīng)當(dāng)為各用戶提供數(shù)字內(nèi)容基本信息的展示服務(wù)。（4）數(shù)字內(nèi)容的托管和請求獲取過程中，系統(tǒng)應(yīng)當(dāng)為DCU建立安全可信的數(shù)據(jù)傳輸通道，保證數(shù)字內(nèi)容傳輸過程中的完整性和機(jī)密性。在用戶購買數(shù)字內(nèi)容后，系統(tǒng)能夠及時(shí)將數(shù)字內(nèi)容推送至用戶注冊設(shè)備中，便于用戶在授權(quán)范圍內(nèi)執(zhí)行授權(quán)內(nèi)容。交易管理：系統(tǒng)應(yīng)當(dāng)為所有用戶提供關(guān)于數(shù)字內(nèi)容的交易服務(wù)，實(shí)現(xiàn)數(shù)字內(nèi)容的價(jià)值分享和合法利益獲取。DCU通過服務(wù)器提供的數(shù)字內(nèi)容展示功能，查找需要的產(chǎn)品。選定產(chǎn)品后，

5、選擇購買方式和支付方式。服務(wù)器接收到用戶DCP的購買請求后，進(jìn)行資金流管理。用戶支付成功后，將用戶購買的數(shù)字內(nèi)容打包DCP發(fā)送至用戶注冊的設(shè)備。DCP在上載數(shù)字內(nèi)容時(shí)設(shè)置DCU購買策略方便DCUDCP購買。通過交易，DCP可以通過本平臺獲取數(shù)字內(nèi)容的經(jīng)濟(jì)價(jià)值，DCU可以獲DCP得數(shù)字內(nèi)容的使用價(jià)值，為DCP和DCU搭建合理有序的數(shù)字內(nèi)容分享平臺，實(shí)DCP現(xiàn)數(shù)字內(nèi)容的有價(jià)分享。交易過程中保證DCU的數(shù)字內(nèi)容資金流正確及時(shí)的送DCP達(dá)DCP的資金管理賬戶中。DCP賬戶管理：系統(tǒng)應(yīng)當(dāng)為系統(tǒng)內(nèi)具有行為能力的用戶提供統(tǒng)一高效的管理機(jī)DCP制，保證系統(tǒng)內(nèi)用戶在合法合理范圍內(nèi)進(jìn)行各項(xiàng)操作。用戶在系統(tǒng)注冊后，

6、獲得DCP一個(gè)獨(dú)立的賬戶資料，資料中包含用戶基本信息、角色信息以及權(quán)限信息等。通DCP過賬戶管理功能，用戶可執(zhí)行賬戶內(nèi)授權(quán)操作并使用系統(tǒng)服務(wù)。用戶需要在服務(wù)DCP器注冊成為系統(tǒng)用戶，獲取系統(tǒng)為其分配的唯一標(biāo)識信息，角色信息，權(quán)限信息。DCP根據(jù)實(shí)際需求，各類型用戶需要提供系統(tǒng)驗(yàn)證身份所需信息。用戶可以根據(jù)個(gè)人DCP需要，隨時(shí)增加或刪除注冊設(shè)備信息。二、數(shù)據(jù)庫設(shè)計(jì)MCCAC-DRM系統(tǒng)中應(yīng)當(dāng)包含用戶信息類，權(quán)限信息類，數(shù)字內(nèi)容信息類和聯(lián)合表類信息等數(shù)據(jù)。具體劃分為如下數(shù)據(jù)庫：1.限息類數(shù)據(jù)庫：記錄屬性權(quán)限詳情信息，各用戶的權(quán)限詳情信息以及各數(shù)字內(nèi)容的權(quán)限詳情信息等。包含權(quán)限基本信息表、權(quán)限屬性信

7、息表、權(quán)限屬性約束信息表、公鑰信息表、私鑰信息表、代理密鑰信息表。權(quán)限信息類數(shù)據(jù)庫詳細(xì)表信息如圖1所示。2.用戶信息類數(shù)據(jù)庫：記錄用戶賬戶基本信息，角色信息，賬戶密鑰信息，密鑰屬性信息以及賬戶下的產(chǎn)品信息。包含用數(shù)字內(nèi)容版權(quán)信息表、私鑰信息表、證書信息表、私鑰集合信息表、用戶信息表、角色信息表、設(shè)備信息表、用戶屬性信息表、屬性信息表。用戶信息類數(shù)據(jù)庫詳細(xì)表信息如圖2所示。3.數(shù)字內(nèi)容信息類數(shù)據(jù)庫：記錄系統(tǒng)內(nèi)所有數(shù)字內(nèi)容基本信息以及數(shù)字內(nèi)容相關(guān)屬性信息等。包含數(shù)字內(nèi)容基本信息表、數(shù)字內(nèi)容文件信息表、作者信息表、實(shí)體策略關(guān)聯(lián)表、數(shù)字內(nèi)容權(quán)限信息表、加密策略、加密策略屬性。數(shù)字內(nèi)容信息類詳細(xì)表信息如

8、圖3所示。圖1權(quán)限數(shù)據(jù)庫數(shù)據(jù)表設(shè)計(jì)圖2 用戶數(shù)據(jù)庫數(shù)據(jù)表設(shè)計(jì)圖3 數(shù)字內(nèi)容數(shù)據(jù)庫數(shù)據(jù)表設(shè)計(jì)系統(tǒng)流程設(shè)計(jì)用戶注冊與登錄用戶提交身份信息至服務(wù)器，進(jìn)行用戶注冊。服務(wù)器查詢數(shù)據(jù)庫，如果數(shù)據(jù)庫中不存在相同用戶名的用戶信息，則用戶可設(shè)置登錄密碼并提交服務(wù)器保存。用戶首次登錄時(shí)系統(tǒng)為用戶分發(fā)私鑰，流程圖如圖所示。圖4 用戶注冊與登錄流程圖數(shù)字內(nèi)容發(fā)布DCP選定要發(fā)布的數(shù)字內(nèi)容文件，根據(jù)文件格式選擇加密算法mp3和MP4格式的文件采用RC4加密算法，dpf格式的文件采用AES加密算法，生成密文E1。同時(shí)DCP將制定的訪問控制策略和對稱密鑰發(fā)送至EPS進(jìn)行處理生成密文E2，DCP將E1和E2打包為文件以及與數(shù)

9、字內(nèi)容相關(guān)的描述性信息發(fā)送至CSP。CSP提取數(shù)字內(nèi)容描述性信息和文件E1，E2分別進(jìn)行保存。圖5 數(shù)字內(nèi)容發(fā)布流程圖數(shù)字內(nèi)容交易系統(tǒng)提供將已發(fā)布的數(shù)字內(nèi)容集中展示和搜索查詢的功能，DCU在系統(tǒng)內(nèi)選定數(shù)字內(nèi)容后，根據(jù)提示購買權(quán)限并支付；支付成功后，系統(tǒng)記錄用戶己購買的數(shù)字內(nèi)容和相關(guān)權(quán)限，組織數(shù)字內(nèi)容文件進(jìn)行推送。圖6 數(shù)字內(nèi)容交易流程圖數(shù)字內(nèi)容使用DCU進(jìn)入系統(tǒng)后，可查看到已購買數(shù)字內(nèi)容列表。用戶在使用數(shù)字內(nèi)容時(shí)，DCP有以下流程需要處理：判斷數(shù)字內(nèi)容是否存在或者為最新版本，否則將從CSPDCP下載數(shù)字內(nèi)容；獲取到數(shù)字內(nèi)容的密文和對稱密鑰的密文后，調(diào)用DPS解密DCP獲取對稱密鑰；DCU使用解密數(shù)字內(nèi)容密文得到數(shù)字內(nèi)容明文；以上這DCP些流程用戶是不可感知的，用戶得到的反饋只有一個(gè)：可使用或者不可使用。在DCPDCU使用數(shù)字