论文部分内容阅读
以技术的角度来看,电子书与纸本书籍最主要的不同,在于它以数字内容的形式存在,本质上就是很容易拷贝的,若未经过特别处理,档案很容易被无限量地完全复制,而且内容质量可以不受影响,若再透过无国界的因特网,更可轻易传送交换,实务上也难以追踪盗拷者的身份与盗拷途径。而传统纸本书籍虽然也会面临影印、扫瞄等盗版手段,但通常需倚赖耗时的人工,不只面临被查缉的危险,也较不方便,翻印质量也受到影响,例如彩色页面在翻印时的失真,因此相对之下比电子书更能保护其版权。
但是,随着各种随身阅读装置的演化进步,面临众多挑战的电子书市场仍然是日益蓬勃,此时,如何保障版权就变成出版者最关心的问题之一,获利与否,关键可能就在于发布电子书时能否有效管理相关权限与流通,以避免受盗版或非授权使用的侵害。为了这个目的,相关的技术也就应运而生,也就是所谓的数字权限管理(DigitalRights Management,DRM)。其实电子书的格式繁多,当前市面上较热门、基于开放标准、而且可以跨平台的电子书格式,主要是国际数字出版论坛(IDPF)在2007年正式提出的EPUB(Elect ronicPubIication之缩写)与存在已久的PDF(Adobe PortableDocument),他们也是Google Books对于免费下载的电子书所提供的唯一格式。EPUB除了有许多电子书阅读器陆续提供支持外,它的特色是页面排版的呈现方式是弹性编排的,可依据各种大小的随身阅读装置之屏幕尺寸而改变段落呈现,这与PDF的固定页面呈现是截然不同的,不过,PDF的固定页面却提供了出版者对于页面内容呈现的完全控制,包括图片在文字段落中的位置、段落分行等等,两种格式各有特色,相同的是都可以配合DRM保护,本文将简要介绍这两种电子书格式与DRM的配合方式。
EPUB与DRM
在透过ZIP压缩打包的EPUB档案中,使用数个XML记录DRM相关信息,XML目前已是一个十分普及的信息记录格式,也很容易搭配不同出版商的DRM保护机制。电子书系统可以依照使用情境的不同,弹性选用slgnatures xml、encryptlon.xml与rights.xml三个档案以分别记录EPUB内容的数字签名、加密信息与版权控制信息,也可以只选用部分功能、或全不使用。这三个档案的格式与用途分别简介如后。
首先介绍负责记录数字签名的signatures xml,对于DRM来说,若取得加密的电子书内容(DRMContent)时尚未取得数字权限(DRM Right),在后续购买权限之前可先透过验证signatures.xml确认电子书内容无误,以避免买了版权后却只看到不完整或被窜改的内容。这个XML档案中存放着EPUB包裹中全部或任意多个数字内容档案(包括文字内容或图片等)的数字签名信息,藉以让阅读装置验证EPUB中数字内容的发布来源和内容是否正确。而该XML档案本身是否也要被签章,则依照使用目的再进一步区分。该XML档案的内容范例如图1,里面记录着一个数字签名值,并且指明被签章的对象是这个EPUB包裹内的book,htmI和cover jpeg两个档案,除此之外也记载了产生签章所使用的正规化方法与签章算法。signatures xml的语法需参考W3C的“XML signatureSyntax and Processing”,这里囿于版面则不进一步详谈各种变化。
接着介绍enc ryptlon.xml,对于DRM来说,除了需先验证内容无误之外,确保数字内容不会受到非法复制也是它最主要的目的之一,为了达成这个目的,必须将数字内容预先加密,使得未取得解密密钥(通常来自购买授权)的装置无法阅读或使用这些数字内容,而取得授权的装置由于持有解密密钥,则得以还原明文内容,并在设定的权限范围(参考后述的right.xml)内使用受保护的数字内容,而这个encryption.xmI档案即是记载着EPUB内容中关于加(解)密的信息。以图表2的范例来看,记载了EPUB包裹中的一个或多个数字内容是如何地被加密,它记录了加密密钥,与这把密钥被加密保护时所使用的算法,则是描述被加密的内容档案(以密文形式存在EPUB包裹中的某个档案),包括其文件名、透过哪一个密钥(指向某个)加密与该内容档案被加密时所使用的算法。这个encrypuon xml能弹性记载多种加密方式,但它和signatures,xml与rights,xml本身都是不允许被加密的。在图2的范例中说明,image jpeg这个档案被AES算法加密,使用的加密密钥“EK”再使用John Smlth的RSA公钥(Public Key)加密,只有JohnSmith的装置可以用对应的私有密钥(Private Key)解出这个加密密钥“EK”,再用密钥“EK”配合AES算法将image]。peg解密,然后交给阅读软件呈现。这样,就达到了出版者得以控制这些内容“只授权给John Smith(的装置)”之目的,其他阅读装置即使取得这些加密档案,但由于没有对应的密钥,也无法使用这些内容。本文因版面限制暂时不进一步详谈关于encryption xmI的详细格式,可参考W3C的”XML Encryption Syntax and Processing”一文。
除了对于数字内容的电子签章与加密,DRM也需要指明授权的权限为何,这个记载在rights.xml档案里,但在目前EPUB的规范中(OCF 1.0),只规定该档案必须是正常可解析的XML档案,并未明确指明该包含哪些内容。因此出版者可以视情况加入阅读次数、阅读时限、打印区域、汇出次数等各种权限制,再由阅读装置检视这些限制条文,并确实控制数字内容的使用。
PDF与DRM
除了EPUB之外,PDF也是目前常见的电子书格式,例如行政院研究发展考核委员会委托民间单位统筹营运的“国家书店”,即采用PDF作为其电子书格式,它目前也是全球应用最广泛的跨平台电子文件格式,几乎各个计算机作业平台都可透过一般的PDF阅读软件正常地(以原貌)浏览这种电子书,而几乎没有受限于特定阅读软件的困扰。
目前PDF的DRM有许多作法,内嵌的基本权限控制其保护能力相当有限,甚至谣传可被破解或规避控制,因此得配合许多种商用方案对PDF增加保护。以国家图书馆的方案为例,它使用LiveCycIe Rights Management Es作为PDF的DRM解决方案,限制使用者转寄、复制与打印等权限,但较特别的一点是,这是以服务器控制为基础的保护,因此读者欲阅览电子 书时必须连上服务器认证,若欲脱机阅览则有7天限制,超过就必须重新联机否则无法开启档案,这在有连接网络的个人计算机上或许不是大问题,但对于便携式的电子书阅读器来说,却是有些不便,毕竟移动上网仍须额外的成本。除了这种方式之外,LockLlzard、Haihaisoft、Drumlin Security和Armjisoft等公司也提出了保护PDF权限的机制,一样也可支持脱机阅读、打印复制控制或使用时限等保护,但其PDF必须用特定的软件才能解密及阅读。除了这些公司之外,FileOpen与Vitrium两家公司也提出了PDF DRM的解决方案,他们使用标准格式的PDF档案,可以用Adobe Reader这类的软件开启,或是只需额外安装plug-ln,使用上较为方便,但对使用权的控制及保护能力可能-相对来说较为有限。
电子书DRM的安全问题
其实,“没有百分之百的安全”,这是信息安全界普遍流传的一句话,在2009年圣诞节前,新闻爆出Amazon Kindle电子书阅读器遭到有心人士宣称已经破解其DRM保护,这让电子书业界再次思考电子书是否真能具备版权保护能力。其实,电子书不仅仅是单纯加密的问题而已,计算机或阅读装置中的变量相当多,确实的使用权控制需倚赖从上到下众多软硬件的配合,只要在档案解密到屏幕显示的步骤中出了一点漏洞,就让盗版的人有机会撷取数字内容,规避DRM控制机制,甚至散布于各地。就技术上来看,DRM保护显然不是万能的,但也并非无用,它可能得配合其他机制,以增加非法复制的难度或不便,例如打上水印,或是配合其他商业模式以多重管道获利,例如透过内嵌在电子书中的广告获得收入,诸如此类。目前配合DRM的电子书技术可能还在发展中,无论是在个人计算机平台、手机或专用电子书阅读器各种平台上,都吸引着各家电信业者、出版商以及软硬件开发者的高度关注与投入,只是目前对电子书格式或DRM的实现方式,尚未出现一个各家共通的作法,虽然国外已有OMA DRM 2.0的标准,但由于其实现的高复杂度和投资风险不明等因素,即使国内市场上询问度颇高,或许还是需要一段时间的酝酿,盼望在可预见的未来,读者们与出版商都可以在成熟的电子书市场中各蒙其利,不必再过于担心版权的保护问题。
但是,随着各种随身阅读装置的演化进步,面临众多挑战的电子书市场仍然是日益蓬勃,此时,如何保障版权就变成出版者最关心的问题之一,获利与否,关键可能就在于发布电子书时能否有效管理相关权限与流通,以避免受盗版或非授权使用的侵害。为了这个目的,相关的技术也就应运而生,也就是所谓的数字权限管理(DigitalRights Management,DRM)。其实电子书的格式繁多,当前市面上较热门、基于开放标准、而且可以跨平台的电子书格式,主要是国际数字出版论坛(IDPF)在2007年正式提出的EPUB(Elect ronicPubIication之缩写)与存在已久的PDF(Adobe PortableDocument),他们也是Google Books对于免费下载的电子书所提供的唯一格式。EPUB除了有许多电子书阅读器陆续提供支持外,它的特色是页面排版的呈现方式是弹性编排的,可依据各种大小的随身阅读装置之屏幕尺寸而改变段落呈现,这与PDF的固定页面呈现是截然不同的,不过,PDF的固定页面却提供了出版者对于页面内容呈现的完全控制,包括图片在文字段落中的位置、段落分行等等,两种格式各有特色,相同的是都可以配合DRM保护,本文将简要介绍这两种电子书格式与DRM的配合方式。
EPUB与DRM
在透过ZIP压缩打包的EPUB档案中,使用数个XML记录DRM相关信息,XML目前已是一个十分普及的信息记录格式,也很容易搭配不同出版商的DRM保护机制。电子书系统可以依照使用情境的不同,弹性选用slgnatures xml、encryptlon.xml与rights.xml三个档案以分别记录EPUB内容的数字签名、加密信息与版权控制信息,也可以只选用部分功能、或全不使用。这三个档案的格式与用途分别简介如后。
首先介绍负责记录数字签名的signatures xml,对于DRM来说,若取得加密的电子书内容(DRMContent)时尚未取得数字权限(DRM Right),在后续购买权限之前可先透过验证signatures.xml确认电子书内容无误,以避免买了版权后却只看到不完整或被窜改的内容。这个XML档案中存放着EPUB包裹中全部或任意多个数字内容档案(包括文字内容或图片等)的数字签名信息,藉以让阅读装置验证EPUB中数字内容的发布来源和内容是否正确。而该XML档案本身是否也要被签章,则依照使用目的再进一步区分。该XML档案的内容范例如图1,里面记录着一个数字签名值,并且指明被签章的对象是这个EPUB包裹内的book,htmI和cover jpeg两个档案,除此之外也记载了产生签章所使用的正规化方法与签章算法。signatures xml的语法需参考W3C的“XML signatureSyntax and Processing”,这里囿于版面则不进一步详谈各种变化。
接着介绍enc ryptlon.xml,对于DRM来说,除了需先验证内容无误之外,确保数字内容不会受到非法复制也是它最主要的目的之一,为了达成这个目的,必须将数字内容预先加密,使得未取得解密密钥(通常来自购买授权)的装置无法阅读或使用这些数字内容,而取得授权的装置由于持有解密密钥,则得以还原明文内容,并在设定的权限范围(参考后述的right.xml)内使用受保护的数字内容,而这个encryption.xmI档案即是记载着EPUB内容中关于加(解)密的信息。以图表2的范例来看,
除了对于数字内容的电子签章与加密,DRM也需要指明授权的权限为何,这个记载在rights.xml档案里,但在目前EPUB的规范中(OCF 1.0),只规定该档案必须是正常可解析的XML档案,并未明确指明该包含哪些内容。因此出版者可以视情况加入阅读次数、阅读时限、打印区域、汇出次数等各种权限制,再由阅读装置检视这些限制条文,并确实控制数字内容的使用。
PDF与DRM
除了EPUB之外,PDF也是目前常见的电子书格式,例如行政院研究发展考核委员会委托民间单位统筹营运的“国家书店”,即采用PDF作为其电子书格式,它目前也是全球应用最广泛的跨平台电子文件格式,几乎各个计算机作业平台都可透过一般的PDF阅读软件正常地(以原貌)浏览这种电子书,而几乎没有受限于特定阅读软件的困扰。
目前PDF的DRM有许多作法,内嵌的基本权限控制其保护能力相当有限,甚至谣传可被破解或规避控制,因此得配合许多种商用方案对PDF增加保护。以国家图书馆的方案为例,它使用LiveCycIe Rights Management Es作为PDF的DRM解决方案,限制使用者转寄、复制与打印等权限,但较特别的一点是,这是以服务器控制为基础的保护,因此读者欲阅览电子 书时必须连上服务器认证,若欲脱机阅览则有7天限制,超过就必须重新联机否则无法开启档案,这在有连接网络的个人计算机上或许不是大问题,但对于便携式的电子书阅读器来说,却是有些不便,毕竟移动上网仍须额外的成本。除了这种方式之外,LockLlzard、Haihaisoft、Drumlin Security和Armjisoft等公司也提出了保护PDF权限的机制,一样也可支持脱机阅读、打印复制控制或使用时限等保护,但其PDF必须用特定的软件才能解密及阅读。除了这些公司之外,FileOpen与Vitrium两家公司也提出了PDF DRM的解决方案,他们使用标准格式的PDF档案,可以用Adobe Reader这类的软件开启,或是只需额外安装plug-ln,使用上较为方便,但对使用权的控制及保护能力可能-相对来说较为有限。
电子书DRM的安全问题
其实,“没有百分之百的安全”,这是信息安全界普遍流传的一句话,在2009年圣诞节前,新闻爆出Amazon Kindle电子书阅读器遭到有心人士宣称已经破解其DRM保护,这让电子书业界再次思考电子书是否真能具备版权保护能力。其实,电子书不仅仅是单纯加密的问题而已,计算机或阅读装置中的变量相当多,确实的使用权控制需倚赖从上到下众多软硬件的配合,只要在档案解密到屏幕显示的步骤中出了一点漏洞,就让盗版的人有机会撷取数字内容,规避DRM控制机制,甚至散布于各地。就技术上来看,DRM保护显然不是万能的,但也并非无用,它可能得配合其他机制,以增加非法复制的难度或不便,例如打上水印,或是配合其他商业模式以多重管道获利,例如透过内嵌在电子书中的广告获得收入,诸如此类。目前配合DRM的电子书技术可能还在发展中,无论是在个人计算机平台、手机或专用电子书阅读器各种平台上,都吸引着各家电信业者、出版商以及软硬件开发者的高度关注与投入,只是目前对电子书格式或DRM的实现方式,尚未出现一个各家共通的作法,虽然国外已有OMA DRM 2.0的标准,但由于其实现的高复杂度和投资风险不明等因素,即使国内市场上询问度颇高,或许还是需要一段时间的酝酿,盼望在可预见的未来,读者们与出版商都可以在成熟的电子书市场中各蒙其利,不必再过于担心版权的保护问题。