IPTV直播系統(tǒng)中DRM解決方案的研究與設(shè)計(jì)

2．1 加解密系統(tǒng)
加解密系統(tǒng)的目的是對(duì)節(jié)目?jī)?nèi)容進(jìn)行加密保護(hù)，并保證合法用戶在終端可以正常解密收看節(jié)目。加解密技術(shù)包括對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密算法使用起來簡(jiǎn)單快捷，密鑰較短，且破譯困難。目前，使用比較普遍的主要對(duì)稱加密算法多為國(guó)外算法，包括DES，3DES，IDEA，AES等。與對(duì)稱加密算法不同，非對(duì)稱加密算法需要兩個(gè)密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對(duì)，用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密。非對(duì)稱加密算法的保密性比較好，但加解密速度慢，不適于對(duì)數(shù)據(jù)量較大的文件進(jìn)行加密而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。目前，在數(shù)字電視領(lǐng)域使用比較普遍的非對(duì)稱加密算法為RSA，其應(yīng)用已非常成熟，在市場(chǎng)上有其各類產(chǎn)品，此外還可以采用ECC加密算法。
在本方案中，加解密系統(tǒng)采用四層密鑰體系，其中一層非對(duì)稱密鑰和三層對(duì)稱密鑰，非對(duì)稱密鑰為用戶ECC公私密鑰對(duì)、服務(wù)端ECC公私密鑰對(duì)(其中服務(wù)端ECC公私密鑰對(duì)只用于身份認(rèn)證的簽名／驗(yàn)證，對(duì)稱密鑰分別為個(gè)人密鑰PK(Personal Key)、業(yè)務(wù)密鑰SK(Service Key)、內(nèi)容密鑰CK(Contend Key)。采用四層密鑰體系的原因是為了更好地服務(wù)于IPTV直播業(yè)務(wù)，用戶ECC私鑰綁定了用戶硬件信息，個(gè)人密鑰與用戶信息捆綁，業(yè)務(wù)密鑰則對(duì)應(yīng)于節(jié)目信息(如一個(gè)節(jié)目或節(jié)目段)，內(nèi)容密鑰對(duì)應(yīng)于TS包。如圖2所示，在前端服務(wù)系統(tǒng)，用戶ECC公鑰加密個(gè)人密鑰PK，個(gè)人密鑰加密業(yè)務(wù)密鑰SK，PK密文與SK密文均以權(quán)利對(duì)象的方式發(fā)送給用戶終端；業(yè)務(wù)密鑰SK加密內(nèi)容密鑰CK，內(nèi)容密鑰CK用于音視頻內(nèi)容的加擾，CK密文與TS流復(fù)用后通過組播的形式發(fā)送到用戶終端。用戶終端系統(tǒng)首先解析權(quán)利對(duì)象獲取PK密文與SK密文并儲(chǔ)存，采用與服務(wù)前端系統(tǒng)對(duì)應(yīng)的解密過程獲取SK明文，其中PK的解密使用用戶ECC私鑰；然后對(duì)TS流組播數(shù)據(jù)進(jìn)行解析，獲取音視頻內(nèi)容密文流與CK密文流，采用SK解密CK，再通過CK對(duì)音視頻內(nèi)容進(jìn)行解擾，最后對(duì)音視頻內(nèi)容進(jìn)行解碼播放。
2．2 密鑰管理系統(tǒng)
密鑰管理系統(tǒng)是DRM系統(tǒng)的重要組成部分，它負(fù)責(zé)生成、分發(fā)和管理DRM系統(tǒng)使用的各種密鑰，同時(shí)密鑰管理系統(tǒng)維護(hù)節(jié)目(或節(jié)目分段)與內(nèi)容密鑰的映射關(guān)系，并為節(jié)目的加密提供內(nèi)容密鑰。密鑰管理系統(tǒng)不直接與用戶終端系統(tǒng)交互，前端通過授權(quán)管理系統(tǒng)發(fā)送權(quán)利對(duì)象為用戶發(fā)布密鑰。為支持IPTV直播業(yè)務(wù)對(duì)密鑰使用的特殊限制，密鑰管理系統(tǒng)將根據(jù)權(quán)利對(duì)象確定業(yè)務(wù)密鑰的有效使用時(shí)間，并將有效使用時(shí)間附在權(quán)利對(duì)象中。
非對(duì)稱密鑰也由密鑰管理系統(tǒng)生成，包括用戶ECC公私鑰對(duì)和服務(wù)端ECC公私鑰對(duì)。服務(wù)端ECC私鑰保存于前端服務(wù)系統(tǒng)，用戶ECC私鑰與硬件信息綁定(如儲(chǔ)存于智能卡中)，用戶ECC私鑰使用離線方式分發(fā)，即用戶到運(yùn)營(yíng)商處注冊(cè)獲取。ECC公鑰則通過認(rèn)證系統(tǒng)的CA中心以數(shù)字證書的方式發(fā)送給對(duì)方，用戶與服務(wù)端均發(fā)送自己的公鑰至CA中心，由CA中心生成數(shù)字發(fā)送給對(duì)方。
2．3 身份認(rèn)證系統(tǒng)
IPTV系統(tǒng)中的身份認(rèn)證是指運(yùn)營(yíng)商(前端服務(wù)系統(tǒng))和用戶(終端系統(tǒng))相互確認(rèn)身份的過程，即如何保證他們的物理身份與數(shù)字身份相對(duì)應(yīng)。身份認(rèn)證體系主要包括Kerberos及PKI(公鑰基礎(chǔ)設(shè)施)兩種主要的標(biāo)準(zhǔn)。Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別，其特點(diǎn)是用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)訪問多個(gè)服務(wù)。由于在每個(gè)客戶端和服務(wù)端之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩?。PKI是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。