周自飛，譚小彬，牛玉坤，鄒長(zhǎng)春

（1.中國(guó)科學(xué)技術(shù)大學(xué)中國(guó)科學(xué)院地理空間信息處理技術(shù)和應(yīng)用系統(tǒng)重點(diǎn)實(shí)驗(yàn)室 合肥 230027；2.美國(guó)中佛羅里達(dá)大學(xué)電氣工程與計(jì)算機(jī)科學(xué)系 美國(guó)佛羅里達(dá)州奧蘭多 32816）

1 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和各種視頻服務(wù)的興起以及智能終端的迅速發(fā)展，用戶對(duì)網(wǎng)絡(luò)視頻的訪問需求日益增長(zhǎng)。根據(jù)思科公司的分析報(bào)告[1]，2012年全球消費(fèi)者互聯(lián)網(wǎng)視頻流量占消費(fèi)者互聯(lián)網(wǎng)流量的57%，而到2017年這一比例將達(dá)到69%。思科公司預(yù)計(jì)，到2017年每秒鐘將有近百萬分鐘的視頻內(nèi)容通過互聯(lián)網(wǎng)進(jìn)行傳輸，直播視頻流量將增加3倍；另外，到2014年，視頻內(nèi)容將占全球移動(dòng)數(shù)據(jù)流量的66%[2]。在網(wǎng)絡(luò)視頻業(yè)務(wù)中，需要面對(duì)大并發(fā)量的用戶以及他們多樣化的需求，這就需要高效的視頻內(nèi)容分發(fā)和傳輸技術(shù)。傳統(tǒng)基于TCP/IP的互聯(lián)網(wǎng)架構(gòu)存在一些根深蒂固的問題，以IP地址為核心、以傳輸為目的、按照端到端原理設(shè)計(jì)，使得它難以應(yīng)付大規(guī)模的數(shù)據(jù)流量和針對(duì)多用戶的視頻內(nèi)容分發(fā)。

TCP/IP架構(gòu)的局限性促進(jìn)了其他網(wǎng)絡(luò)技術(shù)的發(fā)展，相繼產(chǎn)生了一些數(shù)據(jù)分發(fā)技術(shù)，如P2P（peer to peer，對(duì)等網(wǎng)絡(luò)）[3]、CDN（content delivery network，內(nèi)容分發(fā)網(wǎng)絡(luò)）[4]、Web cache （網(wǎng)頁(yè)緩存）[5]、Pub/Sub（publication/subscription，發(fā)布/訂閱）[6]等。這些數(shù)據(jù)分發(fā)技術(shù)有助于互聯(lián)網(wǎng)中內(nèi)容的訪問，能夠提高數(shù)據(jù)傳輸效率，然而它們通常在網(wǎng)絡(luò)應(yīng)用層進(jìn)行操作，不能利用底層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信息使網(wǎng)絡(luò)達(dá)到最佳性能，使得網(wǎng)絡(luò)中資源的利用率不高，造成了網(wǎng)絡(luò)資源的浪費(fèi)。

為了解決目前互聯(lián)網(wǎng)在可擴(kuò)展性、移動(dòng)性、安全性以及效率等方面存在的問題，一種解決方案就是采用新型的通信模式。ICN（information-centric networking，信息中心網(wǎng)絡(luò)）就是在這一背景下產(chǎn)生的，ICN對(duì)內(nèi)容及其物理位置進(jìn)行解耦，因?yàn)槿藗兏雨P(guān)心的是內(nèi)容本身，而不再關(guān)心內(nèi)容在哪里。ICN的網(wǎng)絡(luò)通信模式由傳統(tǒng)的 “推”改為“拉”，安全機(jī)制直接構(gòu)建在信息上而不是主機(jī)上。另外，它還支持主機(jī)移動(dòng)[7]。

ICN的另一個(gè)重大改變是增加了內(nèi)網(wǎng)緩存功能，網(wǎng)絡(luò)中的路由器可以緩存數(shù)據(jù)，這一重要特征可以提供快速而且有效的內(nèi)容獲取，解決海量信息高效傳輸?shù)膯栴}，目前關(guān)于ICN路由器緩存已有廣泛的研究[8～10]。ICN將會(huì)給網(wǎng)絡(luò)視頻行業(yè)帶來巨大的好處，但也帶來了新的安全和隱私問題，例如在授權(quán)視頻訪問控制方面的版權(quán)保護(hù)問題，將變得更加復(fù)雜。網(wǎng)絡(luò)中具有版權(quán)的視頻只有在用戶被授權(quán)后才能觀看，如何保護(hù)這些授權(quán)視頻的版權(quán)，對(duì)于內(nèi)容出版商使用互聯(lián)網(wǎng)進(jìn)行可靠的視頻內(nèi)容分發(fā)來說是一個(gè)十分關(guān)鍵的問題。

在傳統(tǒng)的P2P網(wǎng)絡(luò)和CDN中，數(shù)字水印是一種最常見的保護(hù)視頻版權(quán)的技術(shù)，目前在這方面進(jìn)行了許多研究工作[11～13]。然而，內(nèi)網(wǎng)緩存機(jī)制使得授權(quán)視頻訪問控制中的版權(quán)保護(hù)在ICN中變得更加復(fù)雜。當(dāng)授權(quán)視頻被緩存在路由器中后，將不再受到視頻發(fā)布者的控制，任何人都能夠在不需要視頻發(fā)布者允許的情況下從路由器的緩存中獲取授權(quán)視頻并觀看。由于視頻發(fā)布者失去對(duì)授權(quán)視頻的控制，P2P網(wǎng)絡(luò)和CDN中的方法只能夠用來驗(yàn)證視頻屬于該視頻發(fā)布者，而不能用來保護(hù)視頻的版權(quán)。另外，目前ICN中的加密方案也不能夠很好地保護(hù)授權(quán)視頻的版權(quán)，因?yàn)楫?dāng)某個(gè)用戶泄露解密密鑰后，無法判斷是誰泄露了密鑰，仍然存在所謂的版權(quán)保護(hù)問題。因此，需要設(shè)計(jì)一個(gè)視頻版權(quán)保護(hù)的訪問控制系統(tǒng)，使得在ICN中，雖然任何人都能夠從路由器中獲取授權(quán)視頻，但只有已授權(quán)用戶才能夠觀看視頻。

ICN在路由器中緩存數(shù)據(jù)，大大提高了視頻分發(fā)效率，特別適合視頻內(nèi)容的傳輸，但存在訪問控制問題，針對(duì)該問題，本文提出一種ICN中基于分割和數(shù)字水印的訪問控制方案，用來保護(hù)授權(quán)視頻的版權(quán)，從而實(shí)現(xiàn)高效安全的視頻訪問控制?；驹硎牵横槍?duì)一個(gè)授權(quán)視頻（用V表示），將它分割成兩個(gè)部分，分別是 PCB（public content block，公開內(nèi)容塊）和 CKB（content key block，內(nèi)容密鑰塊），PCB內(nèi)容大小遠(yuǎn)遠(yuǎn)大于CKB內(nèi)容大小。PCB可以被緩存在路由器中，任何人都能夠從路由器中獲取它，這樣可以提高傳輸效率。但如果沒有獲得CKB，任何人都不能夠恢復(fù)出V，只有被授權(quán)的用戶才能夠從視頻發(fā)布者那里獲取CKB。用唯一且不同的CKB對(duì)應(yīng)不同的已授權(quán)用戶，而且這些不同的CKB都能和PCB結(jié)合在一起恢復(fù)出原始的授權(quán)視頻內(nèi)容。針對(duì)第i個(gè)已授權(quán)用戶，CKB用Ci表示，在Ci中，加入唯一標(biāo)志該用戶的數(shù)字水印，利用非對(duì)稱加密的方式將Ci發(fā)送給該用戶，從而實(shí)現(xiàn)授權(quán)視頻版權(quán)保護(hù)的訪問控制。該方案不僅能實(shí)現(xiàn)高效的視頻分發(fā)，而且能夠保護(hù)授權(quán)視頻的版權(quán)。

舉一個(gè)簡(jiǎn)單的例子，針對(duì)一個(gè)大小為2 GB（2 048 MB）的視頻，視頻發(fā)布者首先利用基于分割和數(shù)字水印的方案將其分割成 PCB（如 2 000 MB）和 CKB（48 MB），并且保證分割后當(dāng)用戶只獲取PCB時(shí)仍然無法觀看電影。PCB可以被緩存在路由器中，結(jié)合互聯(lián)網(wǎng)的特點(diǎn)和用戶的分布情況，大部分用戶從路由器中獲取特定內(nèi)容的時(shí)間小于從視頻發(fā)布者那里獲取該內(nèi)容的時(shí)間，這樣該授權(quán)電影有大約97.66%的內(nèi)容可以被用戶以更快的速率訪問。另外，由于已授權(quán)用戶離可以獲取授權(quán)電影的路由器的距離比離授權(quán)電影發(fā)布者的距離更短，內(nèi)容傳輸失敗的幾率更低，而且重連更快，從而大大提高了數(shù)據(jù)的傳輸效率。然后，針對(duì)不同的已授權(quán)用戶，視頻發(fā)布者在CKB中加入不同的數(shù)字水印，這些數(shù)字水印對(duì)用戶是不可見和不可更改的，當(dāng)已授權(quán)用戶請(qǐng)求該電影的CKB時(shí)，視頻發(fā)布者利用RSA加密的方法將其傳給該用戶。只有已授權(quán)用戶才能夠解密CKB，當(dāng)已授權(quán)用戶泄露該解密后的CKB時(shí)，通過分析其中加入的水印就可以知道是誰泄露了該視頻內(nèi)容。

另外，不考慮在所有網(wǎng)絡(luò)架構(gòu)中都存在的一種侵犯版權(quán)的行為：當(dāng)一個(gè)授權(quán)用戶獲得授權(quán)視頻后便可觀看該視頻，可以通過某種方法（如錄制）將該視頻保存下來，然后傳給其他用戶，這樣授權(quán)視頻的版權(quán)就受到了侵害。這種行為完全由用戶決定，針對(duì)這種行為的版權(quán)保護(hù)方案是技術(shù)上難以實(shí)現(xiàn)的。本文主要內(nèi)容集中在信息中心網(wǎng)絡(luò)中的版權(quán)保護(hù)的訪問控制上。

首先對(duì)P2P網(wǎng)絡(luò)和CDN以及ICN中的授權(quán)視頻訪問控制進(jìn)行調(diào)研，然后提出基于分割和數(shù)字水印的訪問控制方案，最后對(duì)本文進(jìn)行總結(jié)。

2 現(xiàn)有授權(quán)視頻訪問控制方法

2.1 P2P和CDN中授權(quán)視頻的訪問控制

授權(quán)視頻的訪問控制問題主要是指保護(hù)授權(quán)視頻的版權(quán)，防止非法用戶在沒有授權(quán)的情況下觀看視頻內(nèi)容。網(wǎng)絡(luò)視頻行業(yè)的迅速發(fā)展給授權(quán)視頻的版權(quán)保護(hù)帶來嚴(yán)峻的挑戰(zhàn)。關(guān)于這個(gè)問題，研究人員進(jìn)行了大量研究。參考文獻(xiàn)[14]基于對(duì)不同P2P文件分發(fā)技術(shù)主要類型的討論和中國(guó)P2P版權(quán)保護(hù)問題，從直接侵權(quán)、輔助侵權(quán)和技術(shù)中立3個(gè)方面分析了目前中國(guó)版權(quán)保護(hù)的狀態(tài)，然后預(yù)測(cè)了中國(guó)未來P2P文件分發(fā)技術(shù)的前景。提出關(guān)于P2P分發(fā)技術(shù)的文件版權(quán)保護(hù)應(yīng)該得到重視，并提到議事日程上，進(jìn)而提高信息共享的水平。下面介紹一些P2P網(wǎng)絡(luò)和CDN中關(guān)于版權(quán)保護(hù)的具體技術(shù)。

DRM（digital rights management，數(shù)字版權(quán)管理）技術(shù)是一種保護(hù)多媒體內(nèi)容使用權(quán)的技術(shù)。針對(duì)數(shù)字媒體，DRM技術(shù)能夠用來保護(hù)授權(quán)視頻免遭未經(jīng)授權(quán)的播放或者非法復(fù)制，從而達(dá)到保護(hù)數(shù)字媒體版權(quán)的目的，已經(jīng)有一些DRM系統(tǒng)用來保護(hù)分布式數(shù)字多媒體內(nèi)容的版權(quán)[15,16]。數(shù)字水印技術(shù)是一種將一些標(biāo)識(shí)信息直接嵌入數(shù)字載體中的信息隱藏技術(shù)，而且數(shù)字水印的嵌入不影響原始載體的使用價(jià)值，有些數(shù)字水印甚至不容易被人察覺。通過在數(shù)字媒體中隱藏這些數(shù)字水印，能夠判斷數(shù)字媒體是否被篡改，還能夠確認(rèn)出內(nèi)容創(chuàng)建者和購(gòu)買者，也可以用來傳送隱秘信息。

[17]提出了一種在互聯(lián)網(wǎng)中針對(duì)大規(guī)模內(nèi)容交付的集成的數(shù)字版權(quán)保護(hù)方案，該框架集成了匿名對(duì)等身份驗(yàn)證、內(nèi)容中毒、同行串通檢測(cè)和聲譽(yù)聚集4個(gè)部分，并且對(duì)4個(gè)部分進(jìn)行了詳細(xì)討論。在P2P網(wǎng)絡(luò)下進(jìn)行研究，使用DRM和數(shù)字水印技術(shù)對(duì)P2P網(wǎng)絡(luò)進(jìn)行版權(quán)保護(hù)，關(guān)于視頻的版權(quán)保護(hù)也進(jìn)行了相關(guān)分析。文中的增強(qiáng)信任機(jī)制、流言傳播協(xié)議和實(shí)驗(yàn)結(jié)果對(duì)未來網(wǎng)絡(luò)應(yīng)用具有廣泛的影響，這些將擴(kuò)大P2P網(wǎng)絡(luò)中的合法應(yīng)用規(guī)模。

參考文獻(xiàn)[12]提出了一種新穎的針對(duì)基于多分辨率小波分解的視頻數(shù)字水印方法，用來對(duì)視頻的版權(quán)進(jìn)行保護(hù)。所用的數(shù)字水印是一個(gè)二值圖像，通過量化被嵌入第二小波分解級(jí)的LH、HL和HH頻帶的小波系數(shù)中，并且使用一個(gè)密鑰將水印的每一位分散至多個(gè)系數(shù)中。使用9種不同的攻擊方法對(duì)不同的視頻進(jìn)行攻擊，實(shí)驗(yàn)結(jié)果表明該方案和算法對(duì)攻擊具有頑健性，而且嵌入的數(shù)字水印是不可見的。本文方案中需要的也是用戶不可見和不可篡改的數(shù)字水印。

參考文獻(xiàn) [18]提出了一個(gè)PCP（P2P based content protection）系統(tǒng)，這個(gè)系統(tǒng)基于一個(gè)可信模型，專注于解決P2P網(wǎng)絡(luò)中的內(nèi)容安全、權(quán)限管理和訪問控制問題。系統(tǒng)采用加密、數(shù)字水印和包裝技術(shù)來保護(hù)內(nèi)容的機(jī)密性和完整性，并且支持權(quán)限認(rèn)證和盜版跟蹤。針對(duì)訪問控制，認(rèn)證被分為證書、身份和信用3個(gè)方面。PCP主要用來為P2P網(wǎng)絡(luò)中的內(nèi)容交付提供一種知識(shí)產(chǎn)權(quán)保護(hù)解決方案。

在P2P網(wǎng)絡(luò)和CDN中，DRM和數(shù)字水印是兩種主要用來保護(hù)授權(quán)視頻版權(quán)的技術(shù)，關(guān)于這方面的研究還有很多。但由于ICN的新特征（主要是內(nèi)網(wǎng)緩存機(jī)制和“拉”的傳輸模式），上述技術(shù)不能直接用于ICN中來保護(hù)授權(quán)視頻的版權(quán)。由于內(nèi)網(wǎng)緩存機(jī)制，當(dāng)一個(gè)已授權(quán)的用戶請(qǐng)求一個(gè)授權(quán)視頻并獲取視頻后，該授權(quán)視頻將會(huì)緩存在路由器中，這時(shí)，路由器上緩存的視頻已經(jīng)不受授權(quán)視頻發(fā)布者控制，其他任何人都能夠從路由器中獲取該視頻并觀看。這樣即使在授權(quán)視頻中加入數(shù)字水印，也難以判斷授權(quán)視頻的版權(quán)是否遭到破壞，因?yàn)橐曨l發(fā)布者失去了對(duì)視頻的控制，任何人都可以像合法用戶一樣從路由器中獲取想要觀看的內(nèi)容并觀看，數(shù)字水印起到的作用僅僅是確認(rèn)授權(quán)視頻的擁有者而已。當(dāng)采用DRM方法使用加密技術(shù)時(shí)，用戶將密鑰公布以后，任何人都能獲取并解密該授權(quán)視頻，而且視頻發(fā)布者無法判斷是誰公布了該密鑰。采用DRM和數(shù)字水印技術(shù)兩者結(jié)合的方法，也會(huì)因?yàn)樯厦嫠龅娜秉c(diǎn)而不能很好地保護(hù)授權(quán)視頻的版權(quán)。因此針對(duì)ICN中授權(quán)視頻的版權(quán)保護(hù)，需要研究并設(shè)計(jì)新的訪問控制方案。

2.2 ICN中現(xiàn)有的授權(quán)視頻訪問控制方法

通過上面的分析，知道P2P網(wǎng)絡(luò)和CDN中保護(hù)授權(quán)視頻版權(quán)的訪問控制方案不能直接用于ICN中。經(jīng)過調(diào)研，目前關(guān)于ICN訪問控制的研究還很少，尤其是在保護(hù)授權(quán)視頻版權(quán)方面，更是少之又少，采用加密技術(shù)是ICN中保護(hù)內(nèi)容版權(quán)的主要方法。

參考文獻(xiàn)[19]使用 UCONABC（usage controlauthorizations，obligations，conditions，控制核心模型）這種通用和概念上的訪問控制方案，提供一個(gè)最佳的和安全的以數(shù)據(jù)為中心的訪問控制模型。以NDN（named data networking，命名數(shù)據(jù)網(wǎng)絡(luò)）的網(wǎng)絡(luò)架構(gòu)為例進(jìn)行討論，在此方案中，數(shù)據(jù)通過加密進(jìn)行保護(hù)，它的訪問過程由一個(gè)集中的訪問控制列表來管理。但目前這種方案只能在NDN中實(shí)現(xiàn)；另外，用這種方案保護(hù)授權(quán)視頻的版權(quán)時(shí)，若密鑰被泄露，任何其他人都能夠觀看視頻，而且無法查出是誰泄露了密鑰；再者，這種方案是圍繞著命名空間原則[20]組織的，而ICN命名有3種方式，分別是基于屬性的命名、扁平命名和垂直命名，故這種方案不適合ICN所有框架。

參考文獻(xiàn)[21]使用加密的訪問控制方法來保護(hù)內(nèi)容。對(duì)內(nèi)容用密鑰K進(jìn)行加密，加密后的內(nèi)容可以被緩存在路由器中，任何人都能夠從路由器中獲取加密后的內(nèi)容。然而只有已授權(quán)的用戶才能得到對(duì)稱加密的解密密鑰K，或者非對(duì)稱加密的解密密鑰K′，這樣已授權(quán)用戶就可以通過解密得到可觀看的視頻。但該方案一個(gè)最大的缺點(diǎn)就是針對(duì)一個(gè)授權(quán)視頻，所有已授權(quán)用戶都使用同一個(gè)解密密鑰，如果一個(gè)已授權(quán)用戶故意泄露該解密密鑰，或者不經(jīng)意間泄露了該密鑰，那么所有用戶都可以從網(wǎng)絡(luò)中獲取該密鑰，然后觀看視頻。

為了利用ICN內(nèi)網(wǎng)緩存這個(gè)能夠給授權(quán)視頻分發(fā)帶來很大益處的特征，提出一種基于分割和數(shù)字水印的訪問控制方案來保護(hù)授權(quán)視頻的版權(quán)，從而為授權(quán)視頻提供一個(gè)安全高效的訪問控制方案。

3 基于分割的方案

研究的場(chǎng)景如圖1所示。在ICN中，授權(quán)視頻發(fā)布者（authorized video producer，AVP）發(fā)布授權(quán)視頻（V），其中用戶1和用戶2是已授權(quán)用戶，用戶3是未授權(quán)用戶。在本文的方案中，視頻發(fā)布者將V分割成兩個(gè)部分，分別是PCB和CKB，如圖2所示。其中PCB一般比較大，可被緩存在路由器中用來提高視頻分發(fā)效率，而CKB需要進(jìn)行訪問控制，相當(dāng)于一個(gè)廣義的密鑰，將PCB和CKB結(jié)合在一起能夠恢復(fù)出原始視頻。任何用戶必須同時(shí)獲取PCB和CKB后才能觀看視頻，即使用戶獲取了PCB，若沒有獲取CKB，仍然不能夠觀看視頻。采用不同的方法分別傳輸PCB和CKB，PCB可以公開傳輸，并可以被緩存在它被傳輸時(shí)所經(jīng)過的所有路由器中，任何用戶都可以在不經(jīng)過AVP同意的情況下從路由器中獲取PCB。

圖1 基于分割和數(shù)字水印方案的場(chǎng)景

圖2 將授權(quán)視頻V分割成兩個(gè)部分

用戶1請(qǐng)求PCB時(shí)，既可以從AVP獲取，也可以從路由器中獲取。然而，只有已授權(quán)用戶才能從AVP獲取CKB，而且CKB的傳輸是秘密進(jìn)行的。例如，當(dāng)用戶1請(qǐng)求CKB時(shí)，AVP利用用戶1的公鑰對(duì)CKB進(jìn)行加密，然后將加密后的CKB發(fā)送給用戶1。當(dāng)用戶1收到該內(nèi)容后，利用自己的私鑰對(duì)其進(jìn)行解密便可得到CKB。這樣當(dāng)用戶1獲得PCB和CKB后就可以觀看授權(quán)視頻。由于授權(quán)視頻大部分內(nèi)容都被緩存在路由器中，該方案能夠極大地提高互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)男阅?，尤其在擁有海量?shù)據(jù)的未來網(wǎng)絡(luò)中，能夠給授權(quán)視頻傳輸帶來很大的好處。

為了保護(hù)授權(quán)視頻的版權(quán)，使不同的已授權(quán)用戶擁有不同的CKB，每個(gè)用戶的CKB都能夠唯一標(biāo)識(shí)該用戶，針對(duì)第i個(gè)已授權(quán)用戶，CKB用Ci表示。任何用戶必須同時(shí)獲得PCB和CKB后才能觀看視頻，而只有已授權(quán)用戶才能夠獲取CKB，當(dāng)某個(gè)已授權(quán)用戶泄露CKB后會(huì)使得授權(quán)視頻的版權(quán)遭到破壞，利用本文的方案，通過分析CKB，便可以知道是誰泄露了CKB。在參考文獻(xiàn)[21]中，無法判斷是誰故意泄露該解密密鑰，或者不經(jīng)意間泄露該密鑰，這樣仍然存在版權(quán)保護(hù)問題，基于分割的方案能夠很好地解決參考文獻(xiàn)[21]中存在的問題。將V分割一次后，如何使得到的CKB對(duì)應(yīng)不同的用戶？采用在CKB中加入不同數(shù)字水印的方法來解決這個(gè)問題，下面將討論基于分割和數(shù)字水印的訪問控制方案。

4 基于分割和數(shù)字水印的訪問控制方案

在基于分割的方案中，需要產(chǎn)生不同的CKB來唯一標(biāo)識(shí)已授權(quán)用戶，這也是本文方案能夠提供高效安全的訪問控制的關(guān)鍵之處。在本文中，采用數(shù)字水印來解決這個(gè)問題，針對(duì)不同的用戶，在CKB中加入唯一標(biāo)識(shí)該用戶的數(shù)字水印，加入的數(shù)字水印是用戶不可見和不可篡改的。

如圖3所示，將V分割后得到CKB，利用數(shù)字水印嵌入算法在CKB中加入第i個(gè)用戶的數(shù)字水印，得到Ci，假設(shè)i的最大值為N1，即CKB能夠?qū)?yīng)N1個(gè)用戶。每個(gè)用戶的數(shù)字水印各不相同，這樣所產(chǎn)生的CKB也各不相同。

圖3 利用數(shù)字水印產(chǎn)生不同的CKB

一個(gè)視頻V被分割一次后，得到一個(gè)PCB和一個(gè)CKB，在該CKB中加入不同的數(shù)字水印后，能夠?qū)?yīng)不同的授權(quán)用戶，但在CKB中能夠加入的不同數(shù)字水印的數(shù)量是有限的，即一次分割后得到的CKB對(duì)應(yīng)的用戶數(shù)量是有限的。一些授權(quán)視頻對(duì)應(yīng)的用戶可能很多，超過了單次分割CKB所能夠?qū)?yīng)的用戶數(shù)量，這時(shí)可重復(fù)采用基于分割和數(shù)字水印的方案，得到不同的CKB，從而對(duì)應(yīng)更多的用戶。例如，針對(duì)一個(gè)2 GB的電影，假設(shè)擁有的已授權(quán)用戶數(shù)量為N1+N2,可以分割成2 000 MB的PCB和48 MB的CKB，假設(shè)48 MB的CKB能夠?qū)?yīng)N1個(gè)用戶，再次將電影分割成2 010 MB的PCB和38 MB的CKB，假設(shè)38 MB的CKB能夠?qū)?yīng)N2個(gè)用戶，這樣就能夠?qū)?yīng)N1+N2個(gè)用戶。當(dāng)然，也可以分割成其他情況。

數(shù)字水印的幾個(gè)重要特點(diǎn)是：安全性、隱蔽性和頑健性。數(shù)字水印應(yīng)該是安全的，難以被篡改和偽造的；加入的數(shù)字水印應(yīng)該不影響原數(shù)據(jù)內(nèi)容的正常使用，是不可知覺的；數(shù)字水印是具有頑健性的，當(dāng)經(jīng)過有意或無意的信號(hào)處理后，仍然能夠保持部分完整性，并能夠被準(zhǔn)確鑒別。本文方案中加入的數(shù)字水印也應(yīng)該是安全的，并具有隱蔽性和頑健性。

在本文中，不討論在CKB中加入數(shù)字水印的具體算法，可以采用目前存在的一些數(shù)字水印加入算法，對(duì)其進(jìn)行優(yōu)化改進(jìn)，這也是未來工作的主要內(nèi)容，例如可以借鑒參考文獻(xiàn)[12]中基于小波變換的數(shù)字水印方法。不過所采用的數(shù)字水印算法要能使得加入不同數(shù)字水印后的CKB能夠唯一標(biāo)識(shí)每一位用戶，并且具有安全性、隱蔽性和頑健性；所加入的數(shù)字水印是用戶不可見的，不影響用戶觀看視頻時(shí)的用戶體驗(yàn)。每個(gè)已授權(quán)用戶的數(shù)字水印都是難以篡改和偽造的，這樣，一個(gè)已授權(quán)用戶將自己的數(shù)字水印篡改成其他用戶的數(shù)字水印是行不通的，這使得已授權(quán)用戶無法偽造成其他用戶發(fā)布CKB。由于具有頑健性，任何已授權(quán)用戶想要破壞自己的數(shù)字水印然后發(fā)布CKB是困難的，而且當(dāng)CKB遭到嚴(yán)重破壞后，無法和PCB結(jié)合在一起恢復(fù)出視頻V。當(dāng)已授權(quán)用戶發(fā)布自己的CKB后，通過分析CKB中的數(shù)字水印，就能夠判斷是誰泄露了CKB。加入數(shù)字水印后的基于分割和數(shù)字水印的訪問控制方法如圖4所示。在第5節(jié)，將從安全性和網(wǎng)絡(luò)資源優(yōu)化兩個(gè)方面對(duì)本文的方案進(jìn)行具體的分析。

AVP保存所有用戶的數(shù)字水印，當(dāng)?shù)趇個(gè)用戶泄露自己的Ci后，AVP通過將Ci中的數(shù)字水印與AVP保存的所有數(shù)字水印相比較，便可以知道是哪個(gè)用戶泄露了Ci，其簡(jiǎn)單的工作原理如圖5所示。

圖4 基于分割和數(shù)字水印的訪問控制方案

圖5 數(shù)字水印簡(jiǎn)單的工作原理

5 方案分析

5.1 安全性

結(jié)合圖4，首先，AVP生產(chǎn)一個(gè)授權(quán)視頻V，將V分割成PCB和CKB，由于PCB可被緩存在路由器中，所采用的分割方法要使得用戶必須同時(shí)獲得PCB和CKB后才能觀看視頻V。AVP在CKB中加入數(shù)字水印，使得它們能夠唯一標(biāo)識(shí)每一個(gè)已授權(quán)用戶。AVP利用自己的私鑰PRb和隱私敏感信息m通過數(shù)字水印產(chǎn)生算法產(chǎn)生數(shù)字水印，然后利用數(shù)字水印嵌入算法將水印嵌入CKB中。

當(dāng)已授權(quán)用戶請(qǐng)求CKB時(shí)，AVP用已授權(quán)用戶的公鑰PUa加密嵌入水印后的CKB，得到ECKB，有：

接著AVP通過ICN將ECKB發(fā)送給請(qǐng)求的已授權(quán)用戶。使用專用播放器來播放視頻，先用已授權(quán)用戶的私鑰PRa對(duì)ECKB進(jìn)行解密得到CKB，有：

因?yàn)橐咽跈?quán)用戶的私鑰對(duì)用戶來講是十分重要的，一旦私鑰泄露，該用戶的隱私就受到侵犯，所以只有已授權(quán)用戶才能得到解密后的CKB。專用播放器通過敏感信息分析CKB中的數(shù)字水印是否被篡改，然后結(jié)合PCB和CKB播放視頻。利用RSA加密傳輸CKB使得基于分割和數(shù)字水印的訪問控制方案更加安全可靠。

方案中加入的數(shù)字水印具有安全性、隱蔽性和頑健性。所加入的數(shù)字水印是用戶不可見的，不影響用戶體驗(yàn)。每個(gè)已授權(quán)用戶的數(shù)字水印都是難以篡改和偽造的，這使得已授權(quán)用戶無法偽造成其他用戶發(fā)布CKB。頑健性使得任何已授權(quán)用戶想要破壞自己的數(shù)字水印然后發(fā)布CKB是困難的，而且當(dāng)CKB遭到嚴(yán)重破壞后，將無法和PCB結(jié)合在一起恢復(fù)出視頻V。當(dāng)已授權(quán)用戶發(fā)布自己的CKB后，視頻發(fā)布者通過將被發(fā)布的CKB中的數(shù)字水印與視頻發(fā)布者保存的所有用戶的數(shù)字水印進(jìn)行對(duì)比分析，就能夠判斷是誰泄露了CKB。

由此可知，本文方案能夠很好地解決參考文獻(xiàn)[21]中存在的問題，提供了一個(gè)安全的授權(quán)視頻訪問控制方案，能夠很好地保護(hù)授權(quán)視頻的版權(quán)。

5.2 網(wǎng)絡(luò)資源優(yōu)化

信息中心網(wǎng)絡(luò)利用內(nèi)網(wǎng)緩存能夠極大地提高視頻的分發(fā)效率，這對(duì)擁有海量視頻數(shù)據(jù)流量的未來網(wǎng)絡(luò)來說是極其重要的。在本文方案里，從授權(quán)視頻中分割出來的PCB可以被緩存在路由器中，任何用戶都能夠從距離自己更近的路由器中獲取該內(nèi)容，減少了網(wǎng)絡(luò)帶寬的使用和用戶獲取授權(quán)視頻的時(shí)間。另外，當(dāng)傳輸失敗時(shí)，不必像傳統(tǒng)網(wǎng)絡(luò)中那樣需要重新從源處獲取，而只要從傳輸失敗附近緩存了該內(nèi)容的路由器中獲取，使得內(nèi)容重新獲取變得更加高效，對(duì)網(wǎng)絡(luò)性能進(jìn)行了極大的優(yōu)化。下面在內(nèi)容獲取時(shí)間方面進(jìn)行具體分析。

假設(shè)Tr是用戶從鄰接路由器中獲取特定內(nèi)容的時(shí)間，Tm(d)是用戶從中間路由器中獲取特定內(nèi)容的時(shí)間，參數(shù)d是中間路由器離用戶的距離，Ts是用戶從AVP獲取特定內(nèi)容的時(shí)間。在本文中，假設(shè)所有用戶都離AVP比較遠(yuǎn)，能夠從路由器中更快地獲取內(nèi)容，有Ts>Tm(d)>Tr，針對(duì)授權(quán)視頻有Ts>>Tr。

設(shè)有N個(gè)已授權(quán)用戶請(qǐng)求視頻V，其中有M(0≤M≤N)個(gè)用戶可以從鄰接路由器中獲取PCB，其他用戶可以從中間路由器中獲取PCB，所有用戶都從AVP中獲取CKB。視頻V的大小為SV，PCB的大小為SPCB，CKB的大小為SCKB，則有：

T是所有已授權(quán)用戶都獲得視頻V所花費(fèi)的時(shí)間，則T為：

其中，Tsi（SCKB）表示第 i個(gè)用戶從 AVP處獲得 CKB所需要的時(shí)間，Tr（SPCB）表示用戶從鄰接路由器中獲取PCB所需要的時(shí)間，Tm（d,i）（SPCB）表示第 i個(gè)用戶從中間路由器中獲取PCB所需要的時(shí)間，該時(shí)間還與參數(shù)d有關(guān)。

當(dāng)所有已授權(quán)用戶都從AVP那里獲取視頻V時(shí)，所用時(shí)間為 T0，則：

其中，Tsi（SV）表示第i個(gè)用戶從AVP獲取視頻 V所需要的時(shí)間。

利用本文方案對(duì)授權(quán)視頻V進(jìn)行傳輸，所節(jié)省的時(shí)間為 ΔT，則：

化簡(jiǎn)得：

利用內(nèi)網(wǎng)緩存，用戶能夠從路由器中而不是從AVP處獲取內(nèi)容，則ΔT≥0，針對(duì)授權(quán)視頻，有T>>T0，這樣能夠極大地減少內(nèi)容獲取的時(shí)間。例如，將2 GB的電影分割成2 000 MB和48 MB時(shí)，有97.66%的內(nèi)容能夠被快速有效地訪問。另外，互聯(lián)網(wǎng)中一些授權(quán)視頻對(duì)應(yīng)的用戶可能很多，可以重復(fù)采用基于分割和數(shù)字水印的方案，得到不同的CKB，從而能夠?qū)?yīng)更多的用戶。

通過以上分析知，和其他方案相比，基于分割和數(shù)字水印的訪問控制方案能夠提供快速而且有效的視頻內(nèi)容分發(fā)，對(duì)網(wǎng)絡(luò)資源具有極大的優(yōu)化功能，而且還能夠很好地解決ICN授權(quán)視頻的版權(quán)保護(hù)問題，是一個(gè)快速高效而又安全的授權(quán)視頻訪問控制方案。

6 結(jié)束語(yǔ)

保護(hù)授權(quán)視頻版權(quán)是一個(gè)非常重要的挑戰(zhàn)，這關(guān)系到視頻行業(yè)的發(fā)展，在傳統(tǒng)的TCP/IP架構(gòu)中已經(jīng)有許多這方面的工作，但在ICN中這方面的研究還不多。信息中心網(wǎng)絡(luò)中內(nèi)網(wǎng)緩存這個(gè)重要特征能夠給視頻分發(fā)帶來很大的好處，用戶能夠從離自己更近的路由器中獲取視頻，極大地提高了視頻傳輸效率。但內(nèi)網(wǎng)緩存也帶來了新的訪問控制問題，當(dāng)授權(quán)視頻被緩存在路由器中后，視頻發(fā)布者便失去了對(duì)它的控制，未授權(quán)用戶可以從路由器中獲取視頻并觀看。

針對(duì)這個(gè)問題，提出了一個(gè)基于分割和數(shù)字水印的訪問控制方案，將一個(gè)授權(quán)視頻分割成PCB和CKB，PCB可緩存在路由器中來提高傳輸效率，通過在CKB中加入數(shù)字水印來唯一標(biāo)識(shí)每一個(gè)已授權(quán)用戶，只有已授權(quán)用戶才能從視頻發(fā)布者那里獲取CKB，只有同時(shí)獲得CKB和PCB后才能觀看視頻。通過分析，本文方案不僅能夠提高授權(quán)視頻的傳輸效率，而且能夠很好地保護(hù)授權(quán)視頻的版權(quán)，提供了一種有效的訪問控制技術(shù)。

針對(duì)采用什么樣的技術(shù)將一個(gè)授權(quán)視頻分割成兩個(gè)部分以及怎樣在CKB中加入數(shù)字水印，將是未來工作中研究的重點(diǎn)。

參考文獻(xiàn)

1 CiscoVisualNetworking Index:Forecastand Methodology,2012-2017.http://www.cisco.com/c/en/us/solutions/collateral/service-provider/ip-ngn-ip-next-generation-network/white_paper_c11-481360.html,2014

2 Cisco Systems,Inc.Cisco Networks,Cisco’s Visual Networking Index Global IP Traffic Forecast 2010-2015.http://www.cisco.com/en/US/netsol/ns827/networking_solutions_sub solution.html,2014

3 Rhea S,Godfrey B,Karp B,et al.OpenDHT:a public DHT service and its uses.ACM SIGCOMM Computer Communication Review,2005,35(4):73～84

4 Liste M.Content Delivery Networks(CDNs)-A Reference Guide.Cisco World,White Papers,2001

5 Davison B D.A web caching primer.IEEE Internet Computing,2001,5(4):38～45

6 Eugster P T,Felber P A,Guerraoui R,et al.The many faces of publish/subscribe.ACM Computing Surveys(CSUR),2003,35(2):114～131

7 夏春梅，徐明偉.信息中心網(wǎng)絡(luò)研究綜述.計(jì)算機(jī)科學(xué)與探索,2013,7(6):481～493

8 Ahlgren B,Dannewitz C,Imbrenda C,et al.A survey of information-centric networking.IEEE Communications Magazine,2012,50(7):26～36

9 Wang S,Bi J,Wu J,et al.Could in-network caching benefit information-centric networking.Proceedings of the 7th Asian Internet Engineering Conference,ACM,Phuket,Thailand,2011:112～115

10 Psaras I,Chai W K,Pavlou G.Probabilistic in-network caching for information-centric networks. Proceedings of the Second Edition of the ICN Workshop on Information-Centric Networking,Helsinki,2012:55～60

11 Chung T Y,Hong M S,Oh Y N,et al.Digital watermarking for copyright protection of MPEG2 compressed video.IEEE Transactions on Consumer Electronics,1998,44(3):895～901

12 Preda R O,Vizireanu D N.A robust digital watermarking scheme for video copyright protection in the wavelet domain.Measurement,2010,43(10):1720～1726

13 Lin E T,Eskicioglu A M,Lagendijk R L,et al.Advances in digital video content protection.Proceedings of the IEEE,2005,93(1):171～183

14 Chen C,Ran C.P2P copyright protection:current states and future prospective with particular on China.Proceedings of International Conference on Mobile Ubiquitous Computing,Systems,Services and Technologies (UBICOMM’07),Kyoto,Japan,2007:57～62

15 Djekic P,Loebbecke C.Software piracy prevention through digital rights management systems.Proceedings of Seventh IEEE International Conference on E-Commerce Technology（CEC 2005）,München,Germany,2005:504～507

16 Fetscherin M,Schmid M.Comparing the usage of digital rights management systems in the music,film,and print industry.Proceedings of the 5th International Conference on Electronic Commerce,Newport Beach,CA,USA,2003:316～325

17 Lou X,Hwang K,Zhou R.Integrated copyright protection in peer-to-peer networks. Proceedings of 27th International Conference on Distributed Computing Systems Workshops(ICDCSW’07),Toronto,Canada,2007

18 Yang C,Liu J,Zhang Y,et al.The implementation architecture of content protection in P2P network. Proceedings of International Conference on Computational Intelligence and Security Workshops（CISW 2007）,Harbin,China,2007:455～458 19 Hamdane B,Msahli M,Serhrouchni A,et al.Data-based access control in named data networking. Proceedings of 9th International Conference on Collaborative Computing:Networking,Applications and Worksharing (Collaboratecom),Austin,Texas,USA,2013:531～536

20 Smetters D,Golle P,Thornton J.CCNx Access Control Specifications.Technical Report,PARC,2010

21 Jacobson V,Smetters D K,Thornton J D,et al.Networking named content.Proceedings of the 5th International Conference on Emerging Networking Experiments and Technologies,Yangzhou,China,2009:1～12