IPTV直播系統(tǒng)中DRM解決方案的研究與設計

2．1 加解密系統(tǒng)
加解密系統(tǒng)的目的是對節(jié)目內容進行加密保護，并保證合法用戶在終端可以正常解密收看節(jié)目。加解密技術包括對稱加密技術和非對稱加密技術。對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。目前，使用比較普遍的主要對稱加密算法多為國外算法，包括DES，3DES，IDEA，AES等。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密。非對稱加密算法的保密性比較好，但加解密速度慢，不適于對數(shù)據(jù)量較大的文件進行加密而只適用于對少量數(shù)據(jù)進行加密。目前，在數(shù)字電視領域使用比較普遍的非對稱加密算法為RSA，其應用已非常成熟，在市場上有其各類產(chǎn)品，此外還可以采用ECC加密算法。
在本方案中，加解密系統(tǒng)采用四層密鑰體系，其中一層非對稱密鑰和三層對稱密鑰，非對稱密鑰為用戶ECC公私密鑰對、服務端ECC公私密鑰對(其中服務端ECC公私密鑰對只用于身份認證的簽名／驗證，對稱密鑰分別為個人密鑰PK(Personal Key)、業(yè)務密鑰SK(Service Key)、內容密鑰CK(Contend Key)。采用四層密鑰體系的原因是為了更好地服務于IPTV直播業(yè)務，用戶ECC私鑰綁定了用戶硬件信息，個人密鑰與用戶信息捆綁，業(yè)務密鑰則對應于節(jié)目信息(如一個節(jié)目或節(jié)目段)，內容密鑰對應于TS包。如圖2所示，在前端服務系統(tǒng)，用戶ECC公鑰加密個人密鑰PK，個人密鑰加密業(yè)務密鑰SK，PK密文與SK密文均以權利對象的方式發(fā)送給用戶終端；業(yè)務密鑰SK加密內容密鑰CK，內容密鑰CK用于音視頻內容的加擾，CK密文與TS流復用后通過組播的形式發(fā)送到用戶終端。用戶終端系統(tǒng)首先解析權利對象獲取PK密文與SK密文并儲存，采用與服務前端系統(tǒng)對應的解密過程獲取SK明文，其中PK的解密使用用戶ECC私鑰；然后對TS流組播數(shù)據(jù)進行解析，獲取音視頻內容密文流與CK密文流，采用SK解密CK，再通過CK對音視頻內容進行解擾，最后對音視頻內容進行解碼播放。
2．2 密鑰管理系統(tǒng)
密鑰管理系統(tǒng)是DRM系統(tǒng)的重要組成部分，它負責生成、分發(fā)和管理DRM系統(tǒng)使用的各種密鑰，同時密鑰管理系統(tǒng)維護節(jié)目(或節(jié)目分段)與內容密鑰的映射關系，并為節(jié)目的加密提供內容密鑰。密鑰管理系統(tǒng)不直接與用戶終端系統(tǒng)交互，前端通過授權管理系統(tǒng)發(fā)送權利對象為用戶發(fā)布密鑰。為支持IPTV直播業(yè)務對密鑰使用的特殊限制，密鑰管理系統(tǒng)將根據(jù)權利對象確定業(yè)務密鑰的有效使用時間，并將有效使用時間附在權利對象中。
非對稱密鑰也由密鑰管理系統(tǒng)生成，包括用戶ECC公私鑰對和服務端ECC公私鑰對。服務端ECC私鑰保存于前端服務系統(tǒng)，用戶ECC私鑰與硬件信息綁定(如儲存于智能卡中)，用戶ECC私鑰使用離線方式分發(fā)，即用戶到運營商處注冊獲取。ECC公鑰則通過認證系統(tǒng)的CA中心以數(shù)字證書的方式發(fā)送給對方，用戶與服務端均發(fā)送自己的公鑰至CA中心，由CA中心生成數(shù)字發(fā)送給對方。
2．3 身份認證系統(tǒng)
IPTV系統(tǒng)中的身份認證是指運營商(前端服務系統(tǒng))和用戶(終端系統(tǒng))相互確認身份的過程，即如何保證他們的物理身份與數(shù)字身份相對應。身份認證體系主要包括Kerberos及PKI(公鑰基礎設施)兩種主要的標準。Kerberos協(xié)議主要用于計算機網(wǎng)絡的身份鑒別，其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)訪問多個服務。由于在每個客戶端和服務端之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩?。PKI是通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。