数字图书馆版权保护的技术措施及其进展研究

1数字图书馆版权保护的技术措施及其发展趋势研究张立彬（南开大学外国教材中心，天津300071）贾鑫、董亚男（南开大学软件学院，天津300071）【内容摘要】数字化信息易受到非法复制传播、内容篡改、机密破解的威胁，致使数字信息的安全变得越来越重要。鉴于此，本文对数字图书馆建设与利用中版权保护的安全需求进行了概述，对数字作品的版权保护问题提出了技术解决方案和完善性建议。本文以技术应用顺序为主线，对多种防护手段进行了重点分析，譬如：采用基于网络设备的ACL技术、VPN技术限定访问区域；采用基于PKI/CA体系的数字证书技术限定访问主体；采用访问控制技术限定主体权限；采用混合数字加密、“安全容器”技术防止非法复制；采用只读文件技术、数字摘要技术防止非法修改；采用HTTPS技术、SSL技术保证安全传输；采用数字水印技术进行版权证明；采用数字指纹技术进行分发追踪。在此基础上，本文进一步对版权保护技术的发展趋势进行了展望。【关键词】数字图书馆；版权保护；安全需求；技术措施；技术发展引言随着信息技术和网络技术的飞速发展和广泛应用，数字资源的存储、传播、交流和编辑都达到了前所未有的深度和广度，作为信息资源重要提供者的图书馆也进入了全新的数字化时代。为了能更好地实现知识共享，为广大读者提供更加便捷的信息服务，高校图书馆希望以数字化形式使用数字信息资源的愿望也日益强烈。但是数字化的信息资源在给人们带来全新阅读体验以及便利的同时，也带来了一系列的问题：数字作品的非法复制与传播、内容的非法篡改、加密信息的破解等都会对数字作品的版权安全造成严重威胁。如何在法律允许的范围内，在不侵犯知识产权的前提下，合理地使用数字作品已逐渐成为高校甚至社会亟待解决的现实问题。目前，即使在相关法律比较健全的美国，网络版权之争的案例也是层出不穷，事实表明在防不胜防网络侵权问题面前，法律手段仍显得相对滞后与软弱，采用必要的技术措施是保护数字作品版权的最直接有效的手段。目前，国内外对数字作品版权保护技术已经得到了越来越多关注，从现有法律手段的基础上得出版权保护的安全需求，进行版权保护技术手段的研究具有极其重要的社会意义。1数字图书馆建设与利用中版权保护的安全需求及其技术解决方案针对数字作品在制作、传输、处理、复制、分发等过程中可能涉及的问题，国内外的科技人员已经开展了广泛深入的研究，提出了大量的安全机制和解决方案[1]。在数字图书馆的建设与利用中可以借鉴、利用现有的技术手段保护数字作品的版权。数字图书馆的版权问题既是一个涉及多个层面的综合问题，也是一个多种保护技术综合应用的问题，需要结合法律要求版权保护的安全需求，对技术手段的实施指引方向。本文对数字图书馆建设与利用中版权保护的安全需求及其技术解决方案综述如下，见表1。序号版权保护的安全需求主要技术方案1将“本馆馆舍内”的服务范围，适度扩大到校园局域网范围内基于网络设备的ACL技术、VPN技术2对阅读者的访问主体资格进行认定基于PKI/CA体系的数字证书技术3运用避风港规则远离纠纷，限制访问人数与访问权限访问控制技术4防止复制使用原版作品混合加密技术、安全容器技术5防止修改数字作品，保护作者版权只读文件技术、数字摘要技术26防止通过非法数据拦截途径获得数字作品HTTPS技术、SSL技术7数字作品版权证明数字水印技术8数字作品分发追踪数字指纹技术表1：版权保护的安全需求与技术解决方案这些技术存在于数字图书馆版权保护的方方面面，本文将在下一部分对表中每一种解决方案详细具体地进行分析与阐述。2数字图书馆版权保护技术2.1限定访问区域技术2.1.1应用背景在信息时代，为平衡读者与著作者的权利，数字图书馆按理说可以适度扩张馆舍服务范围，通过信息网络为读者提供数字化作品。现行的法律明确强调服务对象范围必须“在本馆馆舍内”，此条规定虽为图书馆在数字环境下的信息服务提供了保障，但同时作了严格的区域限定，这也限制了图书馆信息服务的范围，不利于馆舍外读者利用图书馆的数字资源。笔者也认为，网络信息环境下，在概念和观念上我们可以适度合理地扩张馆舍服务的范围，如“在高校等校园局域网内的服务”应该被尝试纳入“本馆馆舍内”的服务范围中[2]。由此，在逻辑、物理范围内，我们对数字图书馆的访问范围应重新进行界定，可适度扩大到校园局域网范围内。2.1.2技术应用与思考通常通过路由器、防火墙等网络设备针对校园网IP地址分布将访问范围限定在校园网内，可避免外网的非法访问。网络路由设备采用的ACL（访问控制列表）技术就可以实现这一应用需求。ACL技术在路由器、防火墙中被广泛采用，它是一种基于包过滤的控制技术。标准访问控制列表通过把源地址、目的地址及端口作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL可以过滤网络中的流量，是一种网络技术的控制访问手段[3]。技术思考：有时候在实际应用中仅采取ACL技术还是不够的，需要采取其他的技术手段进行辅助。例如学校有多个校区，每个校区的校园网通过Internet连接，对于通过Inernet的网络流量往往无法保证真实性与安全性，通过简单的代理技术就可以突破ACL的限制获得合法访问地址。对于这种需求可以辅助采用VPN（虚拟私有网络）技术，VPN的核心就是利用公共网络建立虚拟私有网，即建立一个稳定的隧道、安全的连接，达到安全使用互联网的目的，Internet的非法访问无法加入到虚拟私有网络中也就不再构成威胁。2.2访问用户识别技术2.2.1应用背景通过硬件设置访问控列表可以将访问控制在一定范围内，除此之外还要对访问主体的资格进行认定，只有合法的用户才能够浏览、使用数字图书馆中的数字作品。采用“用户”机制可以将没有资格的访问者排除在外，将其潜在威胁降到最低。传统方法是通过用户名密码方式对主体身份进行确认。采用这种方式进行用户身份验证，往往存在密码失窃、破译的问题，而且没有其他附加功能，很难与其它安全技术集成使用。2.2.2技术应用与思考采用基于PKI/CA体系的数字证书技术是理想的解决方案。PKI是英文PublicKeyInfrastructure的缩写，意思是公钥基础设施，主要功能是提供身份验证、机密性、完整性、和不可否认服务。在PKI体系中，CA（CertificateAuthority，认证中心）和数字证书是密不可分的两个部分。CA是负责产生、分配并管理数字证书的可信赖的机构。数字证3书是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份，在数字证书中包含用户唯一的解密私钥是身份识别的关键[4]。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。从总体构架来看，PKI/CA主要由最终用户、认证中心和注册机构来组成。采用基于PKI/CA体系的数字证书技术，对每一个合法用户分发“数字证书”，既能弥补用户名密码形式的不足，又能在证书中存放更多信息，为数字图书馆集成使用其他技术提供了便利条件。在数字图书馆在PKI/CA体系应用中可以成立自己的认证中心（CA）并提供注册服务，对阅读主体进行实体资格认定，这样就能保证阅读主体的真实性。技术思考：该技术的安全性在于数字证书的安全性，如果数字证书被窃取则该用户的身份被非法使用。为了防止用户证书的泄露可以采用两种方案对用户证书进行保护。一是增加一个验证密钥，并将它放在专用的授权服务器中[5]。当用户在PC中使用私钥时，PC会自动连上授权服务器核对数字证书的合法性，只有通过验证才能够继续使用受保护的内容。即便某些用户的数字证书被泄漏，通过授权服务器的更新也能够及时将盗用的数字证书封杀。这种方案应用成本相对较低，但是需要在联网的环境中实现，而且不能起到预防作用，只能事后处理。二是使用USBKEY设备。USBKEY采用了和USB接口相同的方式设计的硬件设备，其外形与我们常见的U盘很相似，由于它内置了存储器、CPU、芯片操作系统，使得它可以保存用户的资料如密钥或者数字证书等。USBKEY最常用的功能就是身份认证，因为每一个USBKEY都有硬件PIN码保护，硬件和硬件PIN码构成了用户使用USBKEY的两个必要因素。用户只有同时取得了USBKEY和用户PIN码，才可以打开USBKEY，进而达到身份认证。由于用户密钥不可以导出，同时必须通过程序接口才能完成存储空间的读写操作，而用户无法直接读取，从而杜绝其他人复制或者假冒合法用户获得数字证书可能性。USBKEY内置的CPU可以让加密解密运算都在USBKEY的内部进行，而不需要将密钥导入到电脑的内存中，从而杜绝了用户密钥被黑客盗取[6]。有些网上银行的数字证书就采用USBKEY设备进行保存，也是目前使用较为广泛的技术，但是这种技术相对成本比较高，需要购买硬件设备。2.3访问权限控制技术2.3.1应用背景在数字图书馆阅读主体对数字作品进行浏览时往往需要对浏览人数做出限制、对用户浏览权限做出限制，或是运用“避风港”规则，及时、准确的对待和处理权利人意见，对有争议的数字作品停止开放公共下载阅读，制止侵权后果得以继续扩大[7]。在用户访问数字图书馆的过程中往往需要遵守必要的行为规则，例如：对用户每日的数字作品下载量做限制，针对不同用户提供不同等级的服务等等。这些规则作为技术手段的必要补充为数字作品的合理使用提供了有力支持。2.3.2技术应用与思考对使用规则提出的具体要求可以采用适合的访问控制技术进行解决。这里的访问控制技术并不是指某一种具体技术，而是一种控制概念。访问控制是指按用户身份、角色来限制用户对信息的访问，或限制对某些控制功能的使用。在数字图书馆业务领域对访问控制技术的实现需要体现在业务逻辑中，访问控制一般包含用户识别与用户权限控制两部分。对于身份识别利用上文介绍的“数字证书”进行确认。权限控制将根据具体业务需求，使用软件工程的方法进行规划设计，通过服务器端编程的形式进行解决。复杂的业务应用逻辑往往直接在web应用服务器进行部署，就可以完成具体的权限控制。对于人数限制可以通过服务器变量与客户端变量，例如Application、Session、Cookie等进行灵活控制。技术思考：有时在处理服务器业务时比较复杂，用户需求可能存在变化，业务需求与用4户权限控制存在较大的耦合度。为了更加灵活配置使用访问控制需要在逻辑与技术上进行优化设计。在逻辑上采用基于用户的角色模型，给每个角色分配不通的权限，给每个用户分配适当的角色，如果有新的访问控制需求只需要增加新的角色即可，不需要更改已经存在业务逻辑。从技术角度分析，访问控制操作分布于业务逻辑操作的前后两端，采用面向切面的编程技术将有效解决耦合问题，该技术通过动态代理的方法，在业务逻辑前后“插入”访问控制操作，使得业务与控制互不影响。2.4数字作品防复制技术2.4.1应用背景复制内容对原版权作品可构成实质性侵害。数字作品的非法复制将导致严重后果，如果数字作品在合理范围外被大范围传播将直接损害作者的权益，数字图书馆作为服务的提供者也要负一定的法律责任。在应用中需要采取一定技术措施防止数字作品的非法复制或者增加复制成本，使其复制效果降低，促使更多的人转而购买原版作品。数字作品的防复制技术是版权保护的核心技术，是数字图书馆版权保护技术体系中的重点、难点，往往采用多种技术综合应用防止、阻碍数字作品被复制。2.4.2技术应用与思考防复制技术可以与基于PKI/CA体系的数字证书技术相结合使用。数字证书有两个作用：一是用于确定使用者身份；二是用于数字作品的解密。数字作品使用公钥进行加密后分发给用户进行阅览，只有使用该用户数字证书内的私钥才能进行解密查看，即使数字作品被非法拷贝，对于没有该证书的人来说也不能看到作品内容。防复制技术的核心是加密技术，采用公钥机密的方法解决了用户阅读的安全性问题，但是也存在一些弊端。一是非对称加密技术算法计算量很大，速度很慢，只适应于小规模的加密行为[8]；二是不可能针对每一个用户加密公钥进行一次加密，这样将耗费大量的存储空间用于存储冗余数据。从