基于DRM技術的雙向DTV安全解決方案

　　本文提出的雙向DTV DRM安全解決方案結(jié)合PKI非對稱密碼體系，建立了多層密鑰體系。

　　密鑰體系的最上面兩層是設備公私鑰對和用戶密鑰。對于諸如機頂盒的終端設備，在初始化時生成公私鑰對，私鑰在終端安全存儲，公鑰通過安全通道送到前端CA中心申請終端證書，這樣服務端就維護著終端的設備公鑰或證書。在為用戶分發(fā)智能卡時需要初始化智能卡，并在智能卡內(nèi)寫入用戶密鑰或域密鑰，并且服務端也維護用戶密鑰/域密鑰和智能卡的對應關系。

　　對于直接加密內(nèi)容的密鑰，根據(jù)內(nèi)容類型的不同，采用不同的密鑰體系：

　　當數(shù)據(jù)內(nèi)容是TS流或流文件時，密鑰方案采用類CAS的實時加擾的密鑰體系：首先使用控制字(CW)加擾內(nèi)容，再使用業(yè)務密鑰(SK)加密傳輸CW，加密的CW和節(jié)目控制數(shù)據(jù)被封裝在ECM中，隨內(nèi)容數(shù)據(jù)一起廣播。業(yè)務密鑰被用戶密鑰(PK)/域密鑰(DK)加密，可以封裝在EMM中廣播下發(fā)，或者通過雙向IP信道端對端下發(fā)，如圖3所示。

　　圖3 流媒體的密鑰體系

　　對于非TS流數(shù)據(jù)，如圖像、動畫數(shù)據(jù)等，本方案采用對稱密鑰加密的密鑰體系，使用內(nèi)容加密密鑰(CEK)直接加密內(nèi)容數(shù)據(jù)，內(nèi)容加密密鑰被封裝在權限對象中使用用戶密鑰(PK)/域密鑰(DK)加密，通過雙向IP通道端對端下發(fā)，如圖4所示。

　　圖4 非流媒體的密鑰體系

　　數(shù)據(jù)封裝

　　本方案針對不同的內(nèi)容類型，采用不同的數(shù)據(jù)加密及封裝方式。對于TS流媒體內(nèi)容，逐個TS報文加密，并只加密TS報文負荷的184字節(jié)，并且直接與其它TS流復用進行廣播分發(fā);對于非TS流文件(如動畫、圖片內(nèi)容)，應連續(xù)加密，打包成TS流循環(huán)廣播。