云計(jì)算數(shù)字內(nèi)容保護(hù)軟件設(shè)計(jì)方案

1、云計(jì)算數(shù)字內(nèi)容保護(hù)系統(tǒng)軟件設(shè)計(jì)方案云計(jì)算技術(shù)以移動(dòng)設(shè)備為切入點(diǎn)，以移動(dòng)互聯(lián)網(wǎng)為通信鏈路，為移動(dòng)設(shè)備用戶(hù)提供服務(wù)，最終發(fā)展形成移動(dòng)云服務(wù)產(chǎn)業(yè)。在移動(dòng)云計(jì)算環(huán)境中，移動(dòng)云用戶(hù)將個(gè)人數(shù)據(jù)資源存儲(chǔ)在云服務(wù)器中，失去了對(duì)云中數(shù)據(jù)的直接控制權(quán)力，因此提供一個(gè)可由數(shù)據(jù)提供者管控個(gè)人數(shù)據(jù)的訪問(wèn)控制方案己成為移動(dòng)云環(huán)境下保護(hù)數(shù)據(jù)安全的發(fā)展趨勢(shì)。據(jù)調(diào)查顯示，在使用云服務(wù)時(shí)，用戶(hù)首先關(guān)注的是安全性問(wèn)題。訪問(wèn)控制作為信息安全管理體系的重要組成部分，對(duì)移動(dòng)云計(jì)算環(huán)境下的數(shù)據(jù)安全保護(hù)起著至關(guān)重要的作用。訪問(wèn)控制的主要目的是解決移動(dòng)云服務(wù)系統(tǒng)中的資源和服務(wù)的正確授權(quán)問(wèn)題，一方面阻止主體訪問(wèn)或者獲取經(jīng)權(quán)限驗(yàn)證受保護(hù)的而未授權(quán)

2、或權(quán)限過(guò)期的資源或服務(wù)，另一方面保證主體可以正常、流暢的使用或訪問(wèn)己被授權(quán)的資源或服務(wù)，最重要的是防止授權(quán)主體對(duì)受保護(hù)的服務(wù)或資源執(zhí)行越權(quán)操作。傳統(tǒng)的訪問(wèn)控制機(jī)制適用于權(quán)限集中式系統(tǒng)，為滿(mǎn)足動(dòng)態(tài)性、分布性和可擴(kuò)展的移動(dòng)云計(jì)算訪問(wèn)控制需求并實(shí)現(xiàn)基于IP、GPS 、設(shè)備及賬戶(hù)等各類(lèi)屬性的訪問(wèn)控制模型，本文提出了一種新型的訪問(wèn)控制模型用于解決移動(dòng)云環(huán)境下的數(shù)據(jù)安全問(wèn)題。一、功能設(shè)計(jì)DCU和DCP之間的數(shù)字內(nèi)容共享可通過(guò)購(gòu)買(mǎi)交易實(shí)現(xiàn)。本系統(tǒng)為DCP和DCU提供一個(gè)公平、自由的交易平臺(tái)。DCP有將數(shù)字內(nèi)容上載至系統(tǒng)內(nèi)的需求，DCU有從系統(tǒng)平臺(tái)中查找了解各數(shù)字內(nèi)容詳細(xì)信息的需求，系統(tǒng)應(yīng)當(dāng)所有數(shù)字內(nèi)容提供統(tǒng)

3、一的管理機(jī)制，便于所有用戶(hù)安全方便的獲取數(shù)字內(nèi)容相關(guān)服務(wù)。所以系統(tǒng)的功能設(shè)計(jì)如下：系統(tǒng)初試化：KA需要完成系統(tǒng)內(nèi)密鑰的初始化功能，并從CA處注冊(cè)申請(qǐng)公鑰證書(shū)。將部署在系統(tǒng)服務(wù)器中，在系統(tǒng)部署運(yùn)行時(shí)，服務(wù)器應(yīng)當(dāng)初始化完成的公鑰參數(shù)生成功能。為代理服務(wù)器分配代理密鑰，為DCP分配公鑰參數(shù)和生成主密鑰（不公開(kāi)）。數(shù)字內(nèi)容管理：系統(tǒng)應(yīng)當(dāng)建立數(shù)字內(nèi)容有效管理機(jī)制，保證數(shù)字內(nèi)容在系統(tǒng)內(nèi)各實(shí)體用戶(hù)間流轉(zhuǎn)時(shí)的安全性、完整性和有效性。該模塊分為數(shù)字內(nèi)容文件管理、數(shù)字內(nèi)容基本信息錄入、基本信息展示和數(shù)字內(nèi)容文件交付模塊。詳細(xì)功能為：（1）對(duì)于DCP提供的數(shù)字內(nèi)容文件，系統(tǒng)應(yīng)提供良好的文件管理機(jī)制，便于對(duì)數(shù)字內(nèi)容文

4、件的查詢(xún)、更新。（2）DCP除提供數(shù)字內(nèi)容實(shí)體文件外，還需要提供數(shù)字內(nèi)容的基本信息，便于服務(wù)器對(duì)數(shù)字內(nèi)容統(tǒng)一管理。（3）DCU有對(duì)數(shù)字內(nèi)容的基本信息進(jìn)行詳細(xì)了解的需求，系統(tǒng)應(yīng)當(dāng)為各用戶(hù)提供數(shù)字內(nèi)容基本信息的展示服務(wù)。（4）數(shù)字內(nèi)容的托管和請(qǐng)求獲取過(guò)程中，系統(tǒng)應(yīng)當(dāng)為DCU建立安全可信的數(shù)據(jù)傳輸通道，保證數(shù)字內(nèi)容傳輸過(guò)程中的完整性和機(jī)密性。在用戶(hù)購(gòu)買(mǎi)數(shù)字內(nèi)容后，系統(tǒng)能夠及時(shí)將數(shù)字內(nèi)容推送至用戶(hù)注冊(cè)設(shè)備中，便于用戶(hù)在授權(quán)范圍內(nèi)執(zhí)行授權(quán)內(nèi)容。交易管理：系統(tǒng)應(yīng)當(dāng)為所有用戶(hù)提供關(guān)于數(shù)字內(nèi)容的交易服務(wù)，實(shí)現(xiàn)數(shù)字內(nèi)容的價(jià)值分享和合法利益獲取。DCU通過(guò)服務(wù)器提供的數(shù)字內(nèi)容展示功能，查找需要的產(chǎn)品。選定產(chǎn)品后，

5、選擇購(gòu)買(mǎi)方式和支付方式。服務(wù)器接收到用戶(hù)DCP的購(gòu)買(mǎi)請(qǐng)求后，進(jìn)行資金流管理。用戶(hù)支付成功后，將用戶(hù)購(gòu)買(mǎi)的數(shù)字內(nèi)容打包DCP發(fā)送至用戶(hù)注冊(cè)的設(shè)備。DCP在上載數(shù)字內(nèi)容時(shí)設(shè)置DCU購(gòu)買(mǎi)策略方便DCUDCP購(gòu)買(mǎi)。通過(guò)交易，DCP可以通過(guò)本平臺(tái)獲取數(shù)字內(nèi)容的經(jīng)濟(jì)價(jià)值，DCU可以獲DCP得數(shù)字內(nèi)容的使用價(jià)值，為DCP和DCU搭建合理有序的數(shù)字內(nèi)容分享平臺(tái)，實(shí)DCP現(xiàn)數(shù)字內(nèi)容的有價(jià)分享。交易過(guò)程中保證DCU的數(shù)字內(nèi)容資金流正確及時(shí)的送DCP達(dá)DCP的資金管理賬戶(hù)中。DCP賬戶(hù)管理：系統(tǒng)應(yīng)當(dāng)為系統(tǒng)內(nèi)具有行為能力的用戶(hù)提供統(tǒng)一高效的管理機(jī)DCP制，保證系統(tǒng)內(nèi)用戶(hù)在合法合理范圍內(nèi)進(jìn)行各項(xiàng)操作。用戶(hù)在系統(tǒng)注冊(cè)后，

6、獲得DCP一個(gè)獨(dú)立的賬戶(hù)資料，資料中包含用戶(hù)基本信息、角色信息以及權(quán)限信息等。通DCP過(guò)賬戶(hù)管理功能，用戶(hù)可執(zhí)行賬戶(hù)內(nèi)授權(quán)操作并使用系統(tǒng)服務(wù)。用戶(hù)需要在服務(wù)DCP器注冊(cè)成為系統(tǒng)用戶(hù)，獲取系統(tǒng)為其分配的唯一標(biāo)識(shí)信息，角色信息，權(quán)限信息。DCP根據(jù)實(shí)際需求，各類(lèi)型用戶(hù)需要提供系統(tǒng)驗(yàn)證身份所需信息。用戶(hù)可以根據(jù)個(gè)人DCP需要，隨時(shí)增加或刪除注冊(cè)設(shè)備信息。二、數(shù)據(jù)庫(kù)設(shè)計(jì)MCCAC-DRM系統(tǒng)中應(yīng)當(dāng)包含用戶(hù)信息類(lèi)，權(quán)限信息類(lèi)，數(shù)字內(nèi)容信息類(lèi)和聯(lián)合表類(lèi)信息等數(shù)據(jù)。具體劃分為如下數(shù)據(jù)庫(kù)：1.限息類(lèi)數(shù)據(jù)庫(kù)：記錄屬性權(quán)限詳情信息，各用戶(hù)的權(quán)限詳情信息以及各數(shù)字內(nèi)容的權(quán)限詳情信息等。包含權(quán)限基本信息表、權(quán)限屬性信

7、息表、權(quán)限屬性約束信息表、公鑰信息表、私鑰信息表、代理密鑰信息表。權(quán)限信息類(lèi)數(shù)據(jù)庫(kù)詳細(xì)表信息如圖1所示。2.用戶(hù)信息類(lèi)數(shù)據(jù)庫(kù)：記錄用戶(hù)賬戶(hù)基本信息，角色信息，賬戶(hù)密鑰信息，密鑰屬性信息以及賬戶(hù)下的產(chǎn)品信息。包含用數(shù)字內(nèi)容版權(quán)信息表、私鑰信息表、證書(shū)信息表、私鑰集合信息表、用戶(hù)信息表、角色信息表、設(shè)備信息表、用戶(hù)屬性信息表、屬性信息表。用戶(hù)信息類(lèi)數(shù)據(jù)庫(kù)詳細(xì)表信息如圖2所示。3.數(shù)字內(nèi)容信息類(lèi)數(shù)據(jù)庫(kù)：記錄系統(tǒng)內(nèi)所有數(shù)字內(nèi)容基本信息以及數(shù)字內(nèi)容相關(guān)屬性信息等。包含數(shù)字內(nèi)容基本信息表、數(shù)字內(nèi)容文件信息表、作者信息表、實(shí)體策略關(guān)聯(lián)表、數(shù)字內(nèi)容權(quán)限信息表、加密策略、加密策略屬性。數(shù)字內(nèi)容信息類(lèi)詳細(xì)表信息如

8、圖3所示。圖1權(quán)限數(shù)據(jù)庫(kù)數(shù)據(jù)表設(shè)計(jì)圖2 用戶(hù)數(shù)據(jù)庫(kù)數(shù)據(jù)表設(shè)計(jì)圖3 數(shù)字內(nèi)容數(shù)據(jù)庫(kù)數(shù)據(jù)表設(shè)計(jì)系統(tǒng)流程設(shè)計(jì)用戶(hù)注冊(cè)與登錄用戶(hù)提交身份信息至服務(wù)器，進(jìn)行用戶(hù)注冊(cè)。服務(wù)器查詢(xún)數(shù)據(jù)庫(kù)，如果數(shù)據(jù)庫(kù)中不存在相同用戶(hù)名的用戶(hù)信息，則用戶(hù)可設(shè)置登錄密碼并提交服務(wù)器保存。用戶(hù)首次登錄時(shí)系統(tǒng)為用戶(hù)分發(fā)私鑰，流程圖如圖所示。圖4 用戶(hù)注冊(cè)與登錄流程圖數(shù)字內(nèi)容發(fā)布DCP選定要發(fā)布的數(shù)字內(nèi)容文件，根據(jù)文件格式選擇加密算法mp3和MP4格式的文件采用RC4加密算法，dpf格式的文件采用AES加密算法，生成密文E1。同時(shí)DCP將制定的訪問(wèn)控制策略和對(duì)稱(chēng)密鑰發(fā)送至EPS進(jìn)行處理生成密文E2，DCP將E1和E2打包為文件以及與數(shù)

9、字內(nèi)容相關(guān)的描述性信息發(fā)送至CSP。CSP提取數(shù)字內(nèi)容描述性信息和文件E1，E2分別進(jìn)行保存。圖5 數(shù)字內(nèi)容發(fā)布流程圖數(shù)字內(nèi)容交易系統(tǒng)提供將已發(fā)布的數(shù)字內(nèi)容集中展示和搜索查詢(xún)的功能，DCU在系統(tǒng)內(nèi)選定數(shù)字內(nèi)容后，根據(jù)提示購(gòu)買(mǎi)權(quán)限并支付；支付成功后，系統(tǒng)記錄用戶(hù)己購(gòu)買(mǎi)的數(shù)字內(nèi)容和相關(guān)權(quán)限，組織數(shù)字內(nèi)容文件進(jìn)行推送。圖6 數(shù)字內(nèi)容交易流程圖數(shù)字內(nèi)容使用DCU進(jìn)入系統(tǒng)后，可查看到已購(gòu)買(mǎi)數(shù)字內(nèi)容列表。用戶(hù)在使用數(shù)字內(nèi)容時(shí)，DCP有以下流程需要處理：判斷數(shù)字內(nèi)容是否存在或者為最新版本，否則將從CSPDCP下載數(shù)字內(nèi)容；獲取到數(shù)字內(nèi)容的密文和對(duì)稱(chēng)密鑰的密文后，調(diào)用DPS解密DCP獲取對(duì)稱(chēng)密鑰；DCU使用解密數(shù)字內(nèi)容密文得到數(shù)字內(nèi)容明文；以上這DCP些流程用戶(hù)是不可感知的，用戶(hù)得到的反饋只有一個(gè)：可使用或者不可使用。在DCPDCU使用數(shù)字