基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案_第1頁
基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案_第2頁
基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案_第3頁
基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案_第4頁
基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

精品文檔-下載后可編輯基于DRM的雙向DTV安全解決方案的設(shè)計(jì)-技術(shù)方案引言

隨著數(shù)字電視網(wǎng)絡(luò)雙向化改造的快速發(fā)展,傳統(tǒng)單向廣播網(wǎng)絡(luò)環(huán)境下的條件接收體系已無法滿足新的雙向網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)模式的增長需求。為了加速數(shù)字電視產(chǎn)業(yè)的推廣和發(fā)展,設(shè)計(jì)出能夠適應(yīng)雙向DTV網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)模式的安全解決方案就是一項(xiàng)迫在眉睫的任務(wù)了。

在雙向DTV網(wǎng)絡(luò)環(huán)境中,內(nèi)容發(fā)布者和終端用戶之間存在兩條傳輸信道,一條傳輸信道是傳統(tǒng)的單向廣播HFC信道,另一條是數(shù)字電視網(wǎng)絡(luò)雙向化改造后增加的雙向IP信道,如圖1所示。

本文基于數(shù)字版權(quán)管理(DRM)技術(shù)提出了一種雙向DTV安全解決方案,可以實(shí)現(xiàn)對雙向DTV數(shù)字內(nèi)容端到端的安全傳輸和存儲,并能實(shí)現(xiàn)對數(shù)字內(nèi)容權(quán)限的使用控制。

1DRM技術(shù)簡介

DRM技術(shù)通過數(shù)字內(nèi)容描述、識別、保護(hù)、監(jiān)控和跟蹤,來保護(hù)整個(gè)生命周期內(nèi)的數(shù)字內(nèi)容的知識產(chǎn)權(quán),實(shí)現(xiàn)對數(shù)字內(nèi)容端到端的安全傳輸和存儲,并達(dá)到對數(shù)字內(nèi)容權(quán)限的使用控制的目的。

實(shí)現(xiàn)DRM主要通過數(shù)字水印技術(shù)和數(shù)據(jù)加密技術(shù),數(shù)字水印技術(shù)在現(xiàn)在發(fā)展得還不夠成熟,并且只能在發(fā)現(xiàn)盜版后用于取證或追蹤,不能在事前防止盜版。以數(shù)據(jù)加密為的DRM技術(shù),把數(shù)字內(nèi)容進(jìn)行加密,只有授權(quán)用戶才能得到密鑰。

本文采用基于數(shù)據(jù)加密技術(shù),結(jié)合數(shù)字簽名和證書等相關(guān)技術(shù),提出了一種有效地雙向DTV業(yè)務(wù)的版權(quán)保護(hù)安全解決方案,可以實(shí)現(xiàn)對雙向DTV業(yè)務(wù)數(shù)字內(nèi)容的管理控制和版權(quán)保護(hù)。

2系統(tǒng)結(jié)構(gòu)

本文提出的雙向DTVDRM安全方案的系統(tǒng)架構(gòu)如圖2所示:

安全方案由下列模塊組成:

2.1證書中心

證書中心為前端授權(quán)管理系統(tǒng)和終端簽發(fā)數(shù)字證書,建立基于PKI的信任體系;終端和授權(quán)管理系統(tǒng)通過證書交換和密鑰協(xié)商完成雙向身份和安全通道建立;

2.2授權(quán)管理系統(tǒng)

生成終端的許可證,其身份,并為終端安全授權(quán);

2.3密碼管理系統(tǒng)

生成各種密鑰,對內(nèi)容加密;對于直播內(nèi)容則實(shí)時(shí)在線加密;對于點(diǎn)播內(nèi)容,實(shí)現(xiàn)離線預(yù)加密;

2.4DRM代理

DRM代理是設(shè)備中的可信實(shí)體,實(shí)施對內(nèi)容的許可和限制,以控制內(nèi)容使用。使得嚴(yán)格按照權(quán)限對數(shù)字內(nèi)容進(jìn)行操作,不會產(chǎn)生誤操作。

2.5內(nèi)容分發(fā)服務(wù)器

其職責(zé)是存儲、管理加密的數(shù)字內(nèi)容,并且按照不同業(yè)務(wù)模式分發(fā)內(nèi)容。

3密鑰體系

本文的安全解決方案結(jié)合了PKI非對稱密碼體系,建立了多層密鑰體系。

密鑰體系的上面兩層是設(shè)備公私鑰對和用戶密鑰。對于諸如機(jī)頂盒的終端設(shè)備,在初始化時(shí)生成公私鑰對,私鑰在終端安全存儲,公鑰通過安全通道送到前端CA中心申請終端證書,這樣服務(wù)端就維護(hù)著終端的設(shè)備公鑰或證書。在為用戶分發(fā)智能卡時(shí)需要初始化智能卡,并在智能卡內(nèi)寫入用戶密鑰或域密鑰,并且服務(wù)端也維護(hù)用戶密鑰/域密鑰和智能卡的對應(yīng)關(guān)系。

對于直接加密內(nèi)容的密鑰,根據(jù)內(nèi)容類型的不同,采用不同的密鑰體系:

a當(dāng)數(shù)據(jù)內(nèi)容是TS流或流文件時(shí),密鑰方案采用類CAS的實(shí)時(shí)加擾的密鑰體系:首先使用控制字(CW)加擾內(nèi)容,再使用業(yè)務(wù)密鑰(SK)加密傳輸CW,加密的CW和節(jié)目控制數(shù)據(jù)被封裝在ECM中,隨內(nèi)容數(shù)據(jù)一起廣播。業(yè)務(wù)密鑰被用戶密鑰(PK)/域密鑰(DK)加密,可以封裝在EMM中廣播下發(fā),或者通過雙向IP信道端對端下發(fā),如圖3所示。

b對于非TS流數(shù)據(jù),如圖像、動畫數(shù)據(jù)等,本方案采用對稱密鑰加密的密鑰體系,使用內(nèi)容加密密鑰(CEK)直接加密內(nèi)容數(shù)據(jù),內(nèi)容加密密鑰被封裝在權(quán)限對象中使用用戶密鑰(PK)/域密鑰(DK)加密,通過雙向IP通道端對端下發(fā),如圖4所示。

4數(shù)據(jù)封裝

本方案針對不同的內(nèi)容類型,采用不同的數(shù)據(jù)加密及封裝方式。對于TS流媒體內(nèi)容,逐個(gè)TS報(bào)文加密,并只加密TS報(bào)文負(fù)荷的184字節(jié),并且直接與其它TS流復(fù)用進(jìn)行廣播分發(fā);對于非TS流文件(如動畫、圖片內(nèi)容),應(yīng)連續(xù)加密,打包成TS流循環(huán)廣播。

5業(yè)務(wù)流程

以點(diǎn)播業(yè)務(wù)為例,簡單說明下業(yè)務(wù)的處理流程:

數(shù)字內(nèi)容在密碼管理系統(tǒng)被預(yù)加密,同時(shí)把加密密鑰發(fā)送給授權(quán)管理系統(tǒng)生成權(quán)限許可證,并把加密的數(shù)字內(nèi)容發(fā)送給內(nèi)容分發(fā)服務(wù)器;用戶在終端點(diǎn)播數(shù)字內(nèi)容時(shí),首先向授權(quán)管理系統(tǒng)請求此數(shù)字內(nèi)容的權(quán)限許可證。此時(shí)需要對終端和授權(quán)管理系統(tǒng)進(jìn)行雙向身份,并協(xié)商會話密鑰,以建立雙方的安全連接;授權(quán)管理系統(tǒng)通過連接保護(hù)向終端下發(fā)點(diǎn)播內(nèi)容的授權(quán)許可證,同時(shí)要求內(nèi)容分發(fā)服務(wù)器向終端廣播所點(diǎn)播內(nèi)容;終端DRM代理驗(yàn)證授權(quán)許可證有效性,嚴(yán)格按照許可證中的權(quán)限許可和限制對內(nèi)容進(jìn)行操作,為用戶提供服務(wù)。

6安全性分析

6.1信任模型

本文提出的雙向DTVDRM安全解決方案采用基于PKI的證書體系,每個(gè)終端設(shè)備初始化時(shí)都需要向證書中心申請證書。前端服務(wù)器通過驗(yàn)證終端代理的證書的有效性來終端代理的身份,可以實(shí)現(xiàn)系統(tǒng)實(shí)體之間的可信任性;

6.2內(nèi)容安全和授權(quán)安全

在雙向DTV系統(tǒng)中,數(shù)字內(nèi)容是通過廣播信道下發(fā)到終端的,所有終端都能得到這些數(shù)字內(nèi)容。所以為了保障數(shù)字內(nèi)容不被非授權(quán)方訪問,只有被已鑒別和已授權(quán)的用戶按照權(quán)限適當(dāng)?shù)亟鹦窃L問。本文提出的方案中,對數(shù)字內(nèi)容進(jìn)行加密,并且加密密鑰對每個(gè)內(nèi)容對象是的,而且版權(quán)對象攜帶的加密密鑰也被加密之后進(jìn)行封裝,只能被指定的終端所訪問。這樣可以實(shí)現(xiàn)內(nèi)容安全和授權(quán)安全,有效地防止媒體內(nèi)容被非授權(quán)破解,從而保護(hù)內(nèi)容提供商和用戶的合法權(quán)益。

6.3安全連接

在雙向DTV業(yè)務(wù)中,終端需要在線向授權(quán)管理系統(tǒng)請求獲取權(quán)限許可證,這就需要避免非法冒充終端或授權(quán)管理系統(tǒng),以避免造成授權(quán)給非法終端,或用戶敏感信息丟失。本方案中,終端和授權(quán)管理系統(tǒng)建立安全連接,可以實(shí)現(xiàn)防止這種攻擊。安全連接的建立過程首先是雙向身份,就是通過數(shù)字證書交換,雙方分別驗(yàn)證對方數(shù)字證書的有效性,來驗(yàn)證對方身份的合法性,這樣可以避免冒充終端或授權(quán)管理系統(tǒng)的攻擊。然后雙方協(xié)商一個(gè)臨時(shí)會話密鑰,如使用DH密鑰協(xié)商協(xié)議,這樣權(quán)限許可證被加密傳輸?shù)浇K端,攻擊者不能獲得終端用戶的許可證。這樣保障了終端向授權(quán)管理系統(tǒng)在線請求獲取權(quán)限許可證的安全性。

7結(jié)論

各種互聯(lián)網(wǎng)公網(wǎng)業(yè)務(wù),如網(wǎng)絡(luò)視頻、互聯(lián)網(wǎng)電視、視頻化的互聯(lián)網(wǎng)服務(wù)等,已經(jīng)逐漸滲透到廣電網(wǎng)絡(luò)中。這些互聯(lián)網(wǎng)視音頻業(yè)務(wù)大多提供給廣大用戶的,它們并不以內(nèi)容或節(jié)目授權(quán)作為盈利,因而缺乏相關(guān)的業(yè)務(wù)保護(hù)和內(nèi)容保護(hù),內(nèi)容的端對端安全保障

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論