專利名稱:一種iptv數(shù)字版權(quán)保護的實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IPTV數(shù)字版權(quán)保護技術(shù)����,特別涉及一種IPTV數(shù)字版權(quán)保護的實現(xiàn)方 法,應(yīng)用于IPTV網(wǎng)絡(luò)電視領(lǐng)域����。
背景技術(shù):
IPTV是基于寬帶互聯(lián)網(wǎng)的一種以數(shù)字音視頻資源為主體,以電視機�、計算機等為 顯示終端的媒體服務(wù),是互聯(lián)網(wǎng)業(yè)務(wù)和傳統(tǒng)電視業(yè)務(wù)融合后產(chǎn)生的新業(yè)務(wù)����。IPTV是基于內(nèi) 容管理的��、開放的��、交互的音視頻內(nèi)容和業(yè)務(wù)經(jīng)營系統(tǒng)�,由于IP網(wǎng)絡(luò)上數(shù)字化的節(jié)目內(nèi)容 播發(fā)過程中存在許多安全隱患����,因此,有效的版權(quán)管理能夠?qū)崿F(xiàn)音視頻節(jié)目的版權(quán)保護和 合法消費��。保護IPTV數(shù)字媒體內(nèi)容版權(quán)的安全���,需要建立起一套包括加密��、認(rèn)證和權(quán)限管 理的安全機制���,通過采用媒體內(nèi)容加密、身份認(rèn)證���、頒發(fā)用戶權(quán)利許可證等安全手段��,使得 只有授權(quán)的用戶才能消費特定的節(jié)目�,只有允許的節(jié)目才能播出,防止非法收看�����、傳播或篡 改����。數(shù)字版權(quán)保護(DRM)技術(shù)的目的是保護數(shù)字內(nèi)容的版權(quán)�,它從技術(shù)上防止數(shù)字內(nèi)容的 非法使用或復(fù)制,最終使得用戶必須得到授權(quán)才能夠使用數(shù)字內(nèi)容���。IPTV電視業(yè)務(wù)通常為用戶提供兩類使用方式直播和點播����。在IPTV系統(tǒng)中���,不同 的業(yè)務(wù)模式����,數(shù)字版權(quán)保護的實現(xiàn)方法存在著一定的差別�����。本發(fā)明結(jié)合IPTV平臺特性�、安 全需求以及直播業(yè)務(wù)和點播業(yè)務(wù)各自的業(yè)務(wù)特點,提出適用于IPTV直播業(yè)務(wù)和點播業(yè)務(wù) 的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法����。
發(fā)明內(nèi)容
本發(fā)明的目的在于�����,解決現(xiàn)有IPTV業(yè)務(wù)中的數(shù)字版權(quán)保護(DRM)技術(shù)中不同業(yè)務(wù) 模式需要不同實現(xiàn)方法的技術(shù)問題����。為達(dá)到上述目的����,本發(fā)明提供一種IPTV數(shù)字版權(quán)保護的實現(xiàn)方法,所述方法用于 一 IPTV數(shù)字版權(quán)保護系統(tǒng)��,在IPTV業(yè)務(wù)中����,服務(wù)端完成以下步驟步驟1,服務(wù)端的一授權(quán)管理系統(tǒng)根據(jù)用戶請求向所述服務(wù)端的一密鑰管理系統(tǒng) 請求相應(yīng)的密鑰�����,所述服務(wù)端的一加解密系統(tǒng)進(jìn)行密鑰加密處理,所述授權(quán)管理系統(tǒng)將所 述密鑰密文與相應(yīng)的業(yè)務(wù)權(quán)利信息綁定�,組成權(quán)利對象,下發(fā)給所述用戶終端�����;步驟2�����,所述服務(wù)端的一內(nèi)容加擾系統(tǒng)從所述密鑰管理系統(tǒng)獲取所述播放內(nèi)容的 加擾密鑰��,對播放節(jié)目采用所述密鑰進(jìn)行加擾��;步驟3�����,在接到所述用戶終端的播放請求后�����,所述服務(wù)端將加擾后的節(jié)目內(nèi)容下發(fā) 給所述用戶終端��;用戶終端完成以下步驟步驟1��,用戶終端獲得所述播放業(yè)務(wù)的權(quán)利對象����,所述用戶終端的一加解密模塊進(jìn) 行密鑰解密處理,解密所述密鑰���,存儲在用戶終端的一密鑰存儲與管理模塊中���;步驟2,所述用戶終端的一內(nèi)容解擾模塊對接收的節(jié)目流數(shù)據(jù)進(jìn)行解析�,獲取音視 頻內(nèi)容密文流,然后采用所述加擾密鑰�,對音視頻內(nèi)容進(jìn)行解擾。
在所述服務(wù)端的步驟1中�����,所述授權(quán)管理系統(tǒng)向所述密鑰管理系統(tǒng)請求所需的相 關(guān)密鑰����,如果用戶請求為注冊請求,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求用戶個人密鑰PK �; 如果用戶請求為點播節(jié)目授權(quán)請求,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求內(nèi)容加密密鑰 CEK;如果用戶請求為直播節(jié)目授權(quán)請求,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求業(yè)務(wù)密鑰 SK�。本發(fā)明的有益效果在于,所述方法通過內(nèi)容加密(擾)保護�����、身份認(rèn)證�、密鑰加密 保護、權(quán)限管理等措施確保只有授權(quán)用戶才能收看節(jié)目�。所述方法充分考慮了 IPTV的平臺 特點以及業(yè)務(wù)特點,充分利用了 IPTV良好的交互性��,分別對直播業(yè)務(wù)和點播業(yè)務(wù)進(jìn)行了不 同的設(shè)計�����,有良好的擴展性�����。
圖1為IPTV數(shù)字版權(quán)保護系統(tǒng)結(jié)構(gòu)圖�����;圖2為密鑰體系示意圖�;圖3為服務(wù)端系統(tǒng)的密鑰工作原理圖;圖4為服務(wù)端系統(tǒng)的工作流程圖�;圖5為用戶終端的密鑰工作原理圖;圖6為用戶終端的工作流程圖�����。附圖標(biāo)記說明1-服務(wù)端系統(tǒng)�;11-密鑰管理系統(tǒng);12-加解密系統(tǒng)�����;13-授權(quán)管理系統(tǒng)���;14-身 份認(rèn)證系統(tǒng)�;15-內(nèi)容加擾系統(tǒng)�;16-節(jié)目內(nèi)容管理系統(tǒng);17-網(wǎng)絡(luò)分發(fā)系統(tǒng)��;2-用戶終端�; 21-數(shù)據(jù)收發(fā)模塊;22-解碼播放模塊�;23-內(nèi)容解擾模塊;24-授權(quán)代理模塊����;25-認(rèn)證代理 模塊��;26-加解密模塊��;27-密鑰存儲與管理模塊���;3-認(rèn)證中心。
具體實施例方式下面通過具體實施方式
并結(jié)合附圖對本發(fā)明做進(jìn)一步詳細(xì)的描述��。本發(fā)明提供的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法通過內(nèi)容加密(擾)保護����、身份認(rèn) 證、密鑰加密保護���、權(quán)限管理等措施確保只有授權(quán)用戶才能收看節(jié)目����。本發(fā)明應(yīng)用于圖1所示的IPTV數(shù)字版權(quán)保護系統(tǒng)����,由服務(wù)端1���,用戶終端2和認(rèn)證 (Certificate Authority���,CA) 3 ���。其中,服務(wù)端1包括密鑰管理系統(tǒng)11��、加解密系統(tǒng)12����、授權(quán)管理系統(tǒng)13、身份認(rèn)證 系統(tǒng)14����、內(nèi)容加擾系統(tǒng)15、節(jié)目內(nèi)容管理系統(tǒng)16����、和網(wǎng)絡(luò)分發(fā)系統(tǒng)17。密鑰管理系統(tǒng)11產(chǎn)生存儲�、分發(fā)和管理系統(tǒng)使用的各種密鑰,包括個人密鑰 PK (Personal Key)����、業(yè)務(wù)密鑰 SK(Service Key)����、控制字CW(Control Word)和內(nèi)容加密密鑰 CEK(Content Encryption Key)��。密鑰管理系統(tǒng) 11 存儲和管理用戶 ECC(Elliptic Curve Cryptosystems��,橢圓曲線密碼體制)公鑰(s · P)���;維護點播節(jié)目與內(nèi)容加密密鑰CEK的映 射關(guān)系�,并為點播節(jié)目的加擾提供內(nèi)容加密密鑰CEK ����;維護直播節(jié)目與業(yè)務(wù)密鑰SK的映射 關(guān)系,并為直播節(jié)目的加擾提供控制字CW��。加解密系統(tǒng)12對發(fā)送給用戶終端2的各種密鑰及權(quán)利信息進(jìn)行加密����;使用服務(wù)端 私鑰y對用戶上行信息進(jìn)行解密。
授權(quán)管理系統(tǒng)13負(fù)責(zé)權(quán)限管理和權(quán)限交付���,根據(jù)業(yè)務(wù)需求制定相應(yīng)的策略,產(chǎn)生 權(quán)利管理消息�����,與各種密鑰捆綁以權(quán)利對象(R0,Right Object)的方式分發(fā)給用戶終端2�����。 權(quán)限管理通過定義權(quán)限��,并將其同特定的內(nèi)容部分相關(guān)聯(lián)���。權(quán)限交付對用戶終端2的許可 請求進(jìn)行處理����,對通過身份認(rèn)證后的用戶終端2進(jìn)行相關(guān)權(quán)限審查�����,根據(jù)審查的結(jié)果進(jìn)行 授權(quán)交付或拒絕授權(quán)�,授權(quán)交付生成相關(guān)許可信息并向用戶終端2交付許可。授權(quán)管理系 統(tǒng)13對所有用戶終端2的權(quán)限進(jìn)行管理與保護��,負(fù)責(zé)按照用戶終端2訂購或權(quán)利申請信息 產(chǎn)生相應(yīng)的權(quán)利信息�,然后與密鑰組成權(quán)利對象,在加密及簽名后分發(fā)給用戶終端2�。服務(wù)端1的身份認(rèn)證系統(tǒng)14與用戶終端2的認(rèn)證代理模塊25采用ECC簽名驗證 實現(xiàn)用戶終端2與服務(wù)端1之間的身份認(rèn)證��。身份認(rèn)證系統(tǒng)14對分發(fā)的權(quán)利對象信息進(jìn) 行簽名��,對接收到的用戶終端2的上行信息進(jìn)行驗證�。內(nèi)容加擾系統(tǒng)15對數(shù)字節(jié)目內(nèi)容進(jìn)行加擾�����,采用對稱加密算法��,直播節(jié)目采用控 制字CW進(jìn)行實時加擾���,控制字CW由業(yè)務(wù)密鑰SK進(jìn)行加密保護��,控制字CW密文隨實時節(jié)目 流以授權(quán)控制信息ECM的形式實時分發(fā)給用戶���;點播節(jié)目采用內(nèi)容加密密鑰CEK進(jìn)行預(yù)加 擾,CEK以權(quán)利對象的形式分發(fā)給用戶����。節(jié)目內(nèi)容管理系統(tǒng)16負(fù)責(zé)對預(yù)加擾的點播節(jié)目內(nèi)容文件進(jìn)行存儲和管理,同時 響應(yīng)用戶終端2對點播節(jié)目的播放請求���,為合法的用戶終端2分發(fā)加擾的點播節(jié)目內(nèi)容�。用戶終端2包括數(shù)據(jù)收發(fā)模塊21���、解碼播放模塊22����、內(nèi)容解擾模塊23���、授權(quán)代理模 塊24���、認(rèn)證代理模塊25、加解密模塊26��、密鑰存儲與管理模塊27�。內(nèi)容解擾模塊23對接收到的數(shù)字節(jié)目內(nèi)容密文進(jìn)行解擾,發(fā)送給解碼播放模塊 22對數(shù)字節(jié)目解碼并播放�����,保證合法的用戶終端2正常解密收看節(jié)目�����。授權(quán)代理模塊24在接收到權(quán)利對象后�,對權(quán)限信息進(jìn)行解析���,執(zhí)行權(quán)限管理的功 能。權(quán)限管理功能包括驗證權(quán)限的有效性�、通過權(quán)限信息控制用于解密內(nèi)容密鑰的使用等。 存儲每個節(jié)目的權(quán)限信息���,并根據(jù)權(quán)限內(nèi)容控制是否可以對節(jié)目進(jìn)行消費����。同時����,授權(quán)代理 模塊24自動記錄或修改該節(jié)目的使用時間、使用次數(shù)等相關(guān)信息�,以供下次選播節(jié)目時判 定其使用權(quán)限。認(rèn)證代理模塊25對上行的傳輸數(shù)據(jù)(如在線注冊��、節(jié)目訂購��、權(quán)限申請等信息) 進(jìn)行簽名��,對接收的權(quán)利對象信息進(jìn)行身份驗證�。加解密模塊26對用戶終端2向服務(wù)端1發(fā)送的上行申請信息進(jìn)行加密,在獲取權(quán) 利對象后對其進(jìn)行解密,獲取相應(yīng)的密鑰及權(quán)利信息��。密鑰存儲與管理模塊27實現(xiàn)各種密鑰的存儲與管理�����,不直接與服務(wù)端1的密鑰管 理系統(tǒng)11交互�����;在授權(quán)代理模塊24的控制下響應(yīng)內(nèi)容解擾模塊23�����、加解密模塊26和認(rèn)證 代理模塊25對相應(yīng)密鑰的請求�����。認(rèn)證中心3發(fā)放和管理公鑰證書�,用于在用戶終端2與服務(wù)端1之間進(jìn)行身份認(rèn) 證�����。服務(wù)端1和用戶終端2各自生成自己的ECC公私密鑰對��,然后將公鑰發(fā)送給認(rèn)證中心3, 由認(rèn)證中心3生成公鑰證書并對證書進(jìn)行管理和分發(fā)��。其中��,服務(wù)端ECC公私密鑰對為(y����、 y · P),y為服務(wù)端ECC私鑰�,y · P為服務(wù)端ECC公鑰;用戶ECC公私密鑰對為(S�����、S · P)�,S 為用戶ECC私鑰,s · P為用戶ECC公鑰���,P為ECC橢圓曲線基點�����。用戶終端2向認(rèn)證中心3申請下載服務(wù)端1的公鑰證書��;服務(wù)端1向認(rèn)證中心3 申請下載用戶終端2的公鑰證書���。
如圖2所示���,本發(fā)明的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法在數(shù)字媒體內(nèi)容的加密保護 中,針對IPTV直播業(yè)務(wù)采用四層安全密鑰體系�����,對點播業(yè)務(wù)采用三層安全密鑰體系�。
IPTV直播業(yè)務(wù)采用四層密鑰體系,包括一層非對稱密鑰和三層對稱密鑰�,其中����,非 對稱密鑰為用戶ECC公私密鑰對(S、S · P)����,對稱密鑰分別為個人密鑰PK、業(yè)務(wù)密鑰SK��、控 制字CW�。用戶ECC公私密鑰對(s、s· P)綁定了用戶硬件信息���,個人密鑰PK與用戶個人信 息捆綁�,業(yè)務(wù)密鑰SK則對應(yīng)于一路直播節(jié)目的節(jié)目信息,控制字CW則對應(yīng)于一段節(jié)目流數(shù) 據(jù)包�,Cff在節(jié)目流中會實時更換。在直播業(yè)務(wù)情況下�,用戶終端2的非對稱密鑰對(s,s ·Ρ)主要用于保護用戶個人 密鑰PK的在線分發(fā)��;用戶個人密鑰PK用于實現(xiàn)用戶的授權(quán)管理和保護SK在線分發(fā)�����;業(yè)務(wù) 密鑰SK用于實現(xiàn)分類業(yè)務(wù)����、獨立業(yè)務(wù)或業(yè)務(wù)組的控制授權(quán)和保護CW實時發(fā)放;控制字CW 用于實現(xiàn)媒體內(nèi)容的加密(擾)保護�����,并隨節(jié)目流以授權(quán)控制信息ECM的形式實時分發(fā)��。IPTV點播業(yè)務(wù)采用三層密鑰體系���,包括一層非對稱密鑰和兩層對稱密鑰�����,其中�, 非對稱密鑰為用戶ECC公私密鑰對(s、s · P)�,對稱密鑰分別為個人密鑰ΡΚ、內(nèi)容加密密鑰 CEK0用戶ECC公私密鑰對(s���、s*P)綁定了用戶硬件信息��,個人密鑰PK與用戶個人信息捆 綁�,內(nèi)容加密密鑰CEK則對應(yīng)于一個點播節(jié)目的節(jié)目信息�����。在點播業(yè)務(wù)情況下��,用戶終端2的非對稱密鑰與直播業(yè)務(wù)中的非對稱密鑰(s�����, s · P)共用����,主要用于保護用戶個人密鑰PK的在線分發(fā);用戶個人密鑰與直播業(yè)務(wù)中的個 人密鑰PK共用����,用于實現(xiàn)用戶授權(quán)管理和保護內(nèi)容加密密鑰CEK在線分發(fā);內(nèi)容加密密鑰 CEK用于實現(xiàn)點播媒體內(nèi)容的加密(擾)保護���。CEK獨立于媒體內(nèi)容以權(quán)利對象的形式分 發(fā)到用戶���。在IPTV業(yè)務(wù)中,服務(wù)端完成以下步驟步驟1���,服務(wù)端的一授權(quán)管理系統(tǒng)根據(jù)用戶請求向所述服務(wù)端的一密鑰管理系統(tǒng) 請求相應(yīng)的密鑰����,所述服務(wù)端的一加解密系統(tǒng)進(jìn)行密鑰加密處理����,所述授權(quán)管理系統(tǒng)將所 述密鑰密文與相應(yīng)的業(yè)務(wù)權(quán)利信息綁定,組成權(quán)利對象����,下發(fā)給所述用戶終端;步驟2�����,所述服務(wù)端的一內(nèi)容加擾系統(tǒng)從所述密鑰管理系統(tǒng)獲取所述播放內(nèi)容的 加擾密鑰,對播放節(jié)目采用所述密鑰進(jìn)行加擾���;步驟3�����,在接到所述用戶終端的播放請求后��,所述服務(wù)端將加擾后的節(jié)目內(nèi)容下發(fā) 給所述用戶終端���;用戶終端完成以下步驟步驟1,用戶終端獲得所述播放業(yè)務(wù)的權(quán)利對象���,所述用戶終端的一加解密模塊進(jìn) 行密鑰解密處理����,解密所述密鑰�,存儲在用戶終端的一密鑰存儲與管理模塊中��;步驟2���,所述用戶終端的一內(nèi)容解擾模塊對接收的節(jié)目流數(shù)據(jù)進(jìn)行解析����,獲取音視 頻內(nèi)容密文流,然后采用所述加擾密鑰對音視頻內(nèi)容進(jìn)行解擾����。下面將以上方法結(jié)合附圖進(jìn)行詳細(xì)說明。圖3為服務(wù)端系統(tǒng)的密鑰工作原理圖��,圖4所示為IPTV服務(wù)端1的工作流程步驟401 :IPTV服務(wù)端1進(jìn)行初始化����。初始化工作為密鑰管理系統(tǒng)11進(jìn)行各類密 鑰的生成、存儲及管理����,包括服務(wù)端1的ECC公私密鑰對(y、y · P)�、用戶終端2的個人密鑰 PK、直播節(jié)目的業(yè)務(wù)密鑰SK���、點播節(jié)目的內(nèi)容加密密鑰CEK等�。步驟402 初始化工作還包括��,密鑰管理系統(tǒng)11向認(rèn)證中心3發(fā)送服務(wù)端公鑰(y· P),并由認(rèn)證中心3生成服務(wù)端公鑰(yP)證書供用戶終端2下載使用��,同時向認(rèn)證 中心3申請用戶公鑰(s · P)證書并下載保存在密鑰管理系統(tǒng)11中��。步驟403 身份認(rèn)證系統(tǒng)14接收用戶終端2的用戶上行請求信息(如在線注冊����、 節(jié)目訂購、權(quán)限申請等信息)����,并由身份認(rèn)證系統(tǒng)14使用用戶公鑰(s· P)對用戶終端2的 身份進(jìn)行驗證,以確定用戶的合法性����。步驟404 身份認(rèn)證系統(tǒng)14將通過身份認(rèn)證的信息發(fā)送給加解密系統(tǒng)12,使用服 務(wù)端私鑰y對用戶上行信息進(jìn)行解密����。步驟405 加解密系統(tǒng)12將解密后的用戶上行信息發(fā)送給授權(quán)管理系統(tǒng)13,由授 權(quán)管理系統(tǒng)13對用戶請求進(jìn)行處理���,按照用戶注冊、節(jié)目訂購或權(quán)利申請等請求信息產(chǎn)生 相應(yīng)的權(quán)利信息���。步驟406 授權(quán)管理系統(tǒng)13向密鑰管理系統(tǒng)11請求并存儲所需的相關(guān)密鑰��。如 果用戶請求為注冊請求���,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求用戶個人密鑰PK �����;如果用戶 請求為點播節(jié)目�,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求內(nèi)容加密密鑰CEK;如果用戶請求 為直播節(jié)目�����,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求業(yè)務(wù)密鑰SK����。步驟407 授權(quán)管理系統(tǒng)13將下發(fā)給用戶終端2的密鑰提交加解密系統(tǒng)12進(jìn)行 加密。對于用戶注冊請求�����,加解密系統(tǒng)12使用用戶ECC公鑰(s · P)加密用戶個人密鑰 PK,授權(quán)管理系統(tǒng)13將用戶個人密鑰PK密文與相應(yīng)的權(quán)利信息綁定�,組成用戶注冊的權(quán)利 對象RO。對于直播業(yè)務(wù)請求,加解密系統(tǒng)12使用用戶個人密鑰PK加密直播業(yè)務(wù)密鑰SK�、直 播業(yè)務(wù)密鑰SK加密控制字CW。授權(quán)管理系統(tǒng)13將直播的業(yè)務(wù)密鑰SK密文與相應(yīng)的權(quán)利 信息綁定��,組成直播業(yè)務(wù)的權(quán)利對象R0�����。對于點播業(yè)務(wù)請求�,加解密系統(tǒng)12使用用戶個人密鑰PK加密點播內(nèi)容加密密鑰 CEK0授權(quán)管理系統(tǒng)13將點播的內(nèi)容加密密鑰CEK的密文與相應(yīng)的權(quán)利信息綁定,組成點 播業(yè)務(wù)的權(quán)利對象RO����。步驟408 授權(quán)管理系統(tǒng)13將用戶注冊、直播業(yè)務(wù)或點播業(yè)務(wù)的權(quán)利對象RO發(fā)送 給身份認(rèn)證系統(tǒng)14�,采用服務(wù)端ECC私鑰y進(jìn)行簽名。步驟409 身份認(rèn)證系統(tǒng)14將簽名后的權(quán)利對象下發(fā)給用戶終端2���。步驟410 獲得權(quán)限的用戶終端2向服務(wù)端系統(tǒng)1發(fā)送直播節(jié)目和點播節(jié)目的播 放請求�。用戶終端2的節(jié)目播放請求信息首先經(jīng)過身份認(rèn)證系統(tǒng)14采用用戶公鑰(s · P) 證書進(jìn)行身份驗證����。步驟411 身份認(rèn)證系統(tǒng)14將通過身份驗證的播放請求信息發(fā)送給授權(quán)管理系統(tǒng) 13,由授權(quán)管理系統(tǒng)13來判斷節(jié)目的播放權(quán)限��。步驟412 內(nèi)容加擾系統(tǒng)15從密鑰管理系統(tǒng)11獲取控制字CW或者內(nèi)容加密密鑰 CEK對節(jié)目內(nèi)容進(jìn)行加擾。直播節(jié)目采用控制字CW進(jìn)行實時加擾��,控制字CW由業(yè)務(wù)密鑰SK進(jìn)行加密保護�; 點播節(jié)目采用內(nèi)容加密密鑰CEK進(jìn)行預(yù)加擾���,CEK以權(quán)利對象的形式分發(fā)給用戶�����,并將加擾 后的節(jié)目內(nèi)容文件存儲在節(jié)目內(nèi)容管理系統(tǒng)16中��。步驟413��,在接到所述用戶終端2的播放請求后���,所述服務(wù)端1將加擾后的節(jié)目內(nèi)容下發(fā)給所述用戶終端2。在接到所述用戶終端2的點播請求后�����,所述服務(wù)端1將預(yù)加擾的點播節(jié)目內(nèi)容下 發(fā)給所述用戶終端2 ����;在接到所述用戶終端2的直播請求后����,所述服務(wù)端1將加擾后的直播 節(jié)目內(nèi)容與授權(quán)控制信息ECM下發(fā)給所述用戶終端�����,控制字CW密文隨實時節(jié)目流以授權(quán)控 制信息ECM的形式實時分發(fā)給用戶����。圖5為用戶終端的密鑰工作原理圖,圖6所示為IPTV用戶終端2的工作流程步驟601 :IPTV用戶終端2進(jìn)行初始化��。初始化工作為�,密鑰存儲與管理模塊27 生成用戶ECC公私密鑰對(s、s · P)��,并將密鑰存儲在密鑰存儲與管理模塊27中���。步驟602 初始化工作還包括��,密鑰存儲與管理模塊27向認(rèn)證中心3發(fā)送用戶公 鑰(s · P)并由認(rèn)證中心3生成用戶公鑰(s · P)證書供服務(wù)端1下載使用�,同時向認(rèn)證中 心3申請服務(wù)端公鑰(y · P)證書并下載保存在密鑰存儲與管理模塊27中�����。步驟603 加解密模塊26使用服務(wù)端的ECC公鑰y · P對用戶上行請求信息(如 在線注冊、節(jié)目訂購���、權(quán)限申請等信息)進(jìn)行加密���。步驟604 認(rèn)證代理模塊25使用用戶ECC私鑰s對加密后的用戶上行請求信息進(jìn) 行簽名,然后向服務(wù)端1提交請求����。步驟605 服務(wù)端1向合法的用戶發(fā)送權(quán)利對象R0�����。用戶終端2的認(rèn)證代理模塊 25使用服務(wù)端ECC公鑰(y · P)對用戶注冊���、直播業(yè)務(wù)或點播業(yè)務(wù)的權(quán)利對象進(jìn)行身份驗 證��。步驟606 認(rèn)證代理模塊25將通過驗證的權(quán)利對象發(fā)送給加解密模塊26進(jìn)行解
Γ t [ O對于用戶注冊的權(quán)利對象����,加解密模塊26使用用戶ECC私鑰s解密用戶個人密鑰 PK,并存儲在加解密模塊26中���。對于直播業(yè)務(wù)的權(quán)利對象����,加解密模塊26使用用戶個人密鑰PK解密直播業(yè)務(wù)密 鑰SK,并存儲在加解密模塊26中��。對于點播業(yè)務(wù)的權(quán)利對象�,加解密模塊26使用用戶個人密鑰PK解密點播內(nèi)容加 密密鑰CEK,并存儲在加解密模塊26中���。步驟607 認(rèn)證代理模塊25將通過驗證的節(jié)目權(quán)限信息發(fā)送給授權(quán)代理模塊24����, 由授權(quán)代理模塊24進(jìn)行存儲和管理�。授權(quán)代理模塊24執(zhí)行權(quán)限管理的功能,包括驗證權(quán) 限的有效性�����、通過權(quán)限信息控制用于解密內(nèi)容密鑰的使用等�����。授權(quán)代理模塊24存儲每個節(jié) 目的權(quán)限信息���,并根據(jù)權(quán)限內(nèi)容控制是否可以對節(jié)目進(jìn)行消費��。同時����,授權(quán)代理模塊24將 自動記錄或修改該節(jié)目的使用時間、使用次數(shù)等相關(guān)信息�,以供下次選播節(jié)目時判定其使 用權(quán)限。步驟608 加解密模塊26將解密出的各密鑰發(fā)送給密鑰存儲與管理模塊27�����,由密 鑰存儲與管理模塊27進(jìn)行存儲和管理����。步驟609 用戶終端2發(fā)送點播或者直播節(jié)目的播放請求����,接收服務(wù)端系統(tǒng)1發(fā)送 的節(jié)目流數(shù)據(jù),并由內(nèi)容解擾模塊23進(jìn)行解擾�。對直播業(yè)務(wù),內(nèi)容解擾模塊23首先對節(jié)目流數(shù)據(jù)進(jìn)行解析��,獲取音視頻內(nèi)容密文 流與CW密文流(包含于授權(quán)控制信息ECM中)����,內(nèi)容解擾模塊23從密鑰存儲與管理模塊 27中獲取SK明文����,采用SK解密CW�����,再通過CW對音視頻內(nèi)容進(jìn)行解擾���。
對點播業(yè)務(wù)��,內(nèi)容解擾模塊23首先對節(jié)目流數(shù)據(jù)進(jìn)行解析�����,獲取音視頻內(nèi)容密文 流�����,然后內(nèi)容解擾模塊23從密鑰存儲與管理模塊27中獲取CEK明文���,采用CEK對音視頻內(nèi) 容進(jìn)行解擾。步驟610 內(nèi)容解擾模塊23將解擾得到的音視頻內(nèi)容明文發(fā)送給解碼播放模塊 22����,并由解碼播放模塊22對音視頻內(nèi)容進(jìn)行解碼播放�。本發(fā)明中所傳輸各種密鑰及權(quán)利信息均采用密文傳輸?shù)姆绞?�,服?wù)端對分發(fā)的各 種密鑰及權(quán)限信息進(jìn)行加密�����,用戶終端對接收到的權(quán)利對象信息數(shù)據(jù)進(jìn)行解析并解密��,從 權(quán)利對象信息中分離出各個密鑰數(shù)據(jù)和相應(yīng)的權(quán)限信息����,并分別解密保存。使得只有合法 的���、具備授權(quán)的用戶終端才能收看節(jié)目,保證IPTV數(shù)字媒體內(nèi)容的安全�����,實現(xiàn)IPTV音視頻 節(jié)目的版權(quán)保護和合法消費���。以上對本發(fā)明的描述是說明性的����,而非限制性的,本專業(yè)技術(shù)人員理解��,在權(quán)利要 求限定的精神與范圍之內(nèi)可對其進(jìn)行許多修改�����、變化或等效�����,但是它們都將落入本發(fā)明的 保護范圍內(nèi)�����。
權(quán)利要求
一種IPTV數(shù)字版權(quán)保護的實現(xiàn)方法�����,所述方法用于一IPTV數(shù)字版權(quán)保護系統(tǒng)��,其特征在于��,在IPTV業(yè)務(wù)中��,服務(wù)端完成以下步驟步驟1,服務(wù)端的一授權(quán)管理系統(tǒng)根據(jù)用戶請求向所述服務(wù)端的一密鑰管理系統(tǒng)請求相應(yīng)的密鑰�����,所述服務(wù)端的一加解密系統(tǒng)進(jìn)行密鑰加密處理�����,所述授權(quán)管理系統(tǒng)將所述密鑰密文與相應(yīng)的業(yè)務(wù)權(quán)利信息綁定���,組成請求業(yè)務(wù)的權(quán)利對象���,下發(fā)給所述用戶終端;步驟2��,所述服務(wù)端的一內(nèi)容加擾系統(tǒng)從所述密鑰管理系統(tǒng)獲取所述節(jié)目內(nèi)容的加擾密鑰�����,對節(jié)目內(nèi)容采用所述密鑰進(jìn)行加擾�����;步驟3����,在接到所述用戶終端的播放請求后,所述服務(wù)端將加擾后的節(jié)目內(nèi)容下發(fā)給所述用戶終端�����;用戶終端完成以下步驟步驟1�,用戶終端獲得所述請求業(yè)務(wù)的權(quán)利對象,所述用戶終端的一加解密模塊進(jìn)行密鑰解密處理��,解密所述密鑰���,存儲在用戶終端的一密鑰存儲與管理模塊中����;步驟2�,所述用戶終端的一內(nèi)容解擾模塊對接收的節(jié)目流數(shù)據(jù)進(jìn)行解析,獲取音視頻內(nèi)容密文流�,然后采用所述加擾密鑰對音視頻內(nèi)容進(jìn)行解擾。
2.如權(quán)利要求1所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法��,其特征在于�����,在所述服務(wù)端的 步驟1中,所述授權(quán)管理系統(tǒng)向所述密鑰管理系統(tǒng)請求所需的相關(guān)密鑰�,如果用戶請求為 注冊請求,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求用戶個人密鑰PK �����;如果用戶請求為點播節(jié) 目授權(quán)請求����,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求內(nèi)容加密密鑰CEK ;如果用戶請求為直 播節(jié)目授權(quán)請求���,則授權(quán)管理系統(tǒng)向密鑰管理系統(tǒng)請求業(yè)務(wù)密鑰SK��。
3.如權(quán)利要求2所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法�����,其特征在于�,進(jìn)一步包括用戶 注冊的步驟所述服務(wù)端完成以下步驟步驟all�,所述服務(wù)端的加解密系統(tǒng)進(jìn)行密鑰加密處理,使用一用戶ECC公鑰(s*P)加 密一用戶個人密鑰PK�,所述服務(wù)端的授權(quán)管理系統(tǒng)將所述用戶個人密鑰PK的密文與相應(yīng) 的權(quán)利信息綁定,組成用戶注冊的權(quán)利對象��,下發(fā)給所述用戶終端�; 所述用戶終端完成以下步驟步驟a21,所述用戶終端獲得所述用戶注冊的權(quán)利對象�����,所述加解密模塊進(jìn)行密鑰解密 處理�,使用一用戶ECC私鑰s解密所述用戶個人密鑰PK,存儲在所述密鑰存儲與管理模塊 中��。
4.如權(quán)利要求2所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法����,其特征在于,在IPTV點播業(yè)務(wù) 中���,所述方法采用三層安全密鑰體系�,所述服務(wù)端完成以下步驟步驟bll�,所述服務(wù)端的加解密系統(tǒng)進(jìn)行密鑰加密處理,使用用戶ECC公鑰(s ·Ρ)加密 用戶個人密鑰ΡΚ����,所述用戶個人密鑰PK加密一內(nèi)容加密密鑰CEK ;所述服務(wù)端的授權(quán)管理 系統(tǒng)將所述內(nèi)容加密密鑰CEK的密文與相應(yīng)的點播業(yè)務(wù)權(quán)利信息綁定�,組成點播業(yè)務(wù)的權(quán) 利對象�����,下發(fā)給所述用戶終端��;步驟bl2�����,所述服務(wù)端的內(nèi)容加擾系統(tǒng)從所述密鑰管理系統(tǒng)獲取所述內(nèi)容加密密鑰 CEK,對點播節(jié)目采用所述內(nèi)容加密密鑰CEK進(jìn)行預(yù)加擾����,并將加擾后的節(jié)目內(nèi)容文件存儲 于一節(jié)目內(nèi)容管理系統(tǒng)中����;步驟bl3,在接到所述用戶終端的點播請求后����,所述服務(wù)端將預(yù)加擾的點播節(jié)目內(nèi)容下發(fā)給所述用戶終端;所述用戶終端完成以下步驟步驟b21�,所述用戶終端獲得所述點播業(yè)務(wù)的權(quán)利對象,加解密模塊進(jìn)行密鑰解密處 理��,使用用戶ECC私鑰s解密所述用戶個人密鑰PK���,所述用戶個人密鑰PK解密所述內(nèi)容加 密密鑰CEK�,存儲在所述密鑰存儲與管理模塊中;步驟b22�����,所述內(nèi)容解擾模塊對接收的節(jié)目流數(shù)據(jù)進(jìn)行解析���,獲取音視頻內(nèi)容密文流, 然后從所述密鑰存儲與管理模塊中獲取所述內(nèi)容加密密鑰CEK明文��,采用所述內(nèi)容加密密 鑰CEK對音視頻內(nèi)容進(jìn)行解擾�����。
5.如權(quán)利要求2所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法��,其特征在于�����,在IPTV直播業(yè)務(wù) 中�,所述方法采用四層安全密鑰體系,所述服務(wù)端完成以下步驟步驟cll�����,所述服務(wù)端的加解密系統(tǒng)進(jìn)行密鑰加密處理,使用所述用戶ECC公鑰(s ·Ρ) 加密所述用戶個人密鑰ΡΚ��,所述用戶個人密鑰PK加密一直播業(yè)務(wù)密鑰SK��、所述直播業(yè)務(wù)密 鑰SK加密一控制字CW�����,所述服務(wù)端的授權(quán)管理系統(tǒng)將所述直播業(yè)務(wù)密鑰SK密文與相應(yīng)的 權(quán)利信息綁定�����,組成直播業(yè)務(wù)的權(quán)利對象��,下發(fā)給所述用戶終端�;步驟C12,所述服務(wù)端的內(nèi)容加擾系統(tǒng)從所述密鑰管理系統(tǒng)獲取所述控制字CW��,對直 播節(jié)目進(jìn)行加擾��;步驟cl3���,在接到所述用戶終端的直播請求后����,所述服務(wù)端將加擾后的直播節(jié)目內(nèi)容與 授權(quán)控制信息ECM下發(fā)給所述用戶終端;所述控制字CW密文隨實時節(jié)目流以授權(quán)控制信息 ECM的形式實時分發(fā)給用戶����; 所述用戶終端完成以下步驟步驟c21,所述用戶終端獲得所述直播業(yè)務(wù)的權(quán)利對象���,加解密模塊進(jìn)行密鑰處理,使 用所述用戶ECC私鑰s解密所述用戶個人密鑰PK�����,所述用戶個人密鑰PK解密所述直播業(yè)務(wù) 密鑰SK��,存儲在所述密鑰存儲與管理模塊中�����;步驟c22���,所述用戶終端的內(nèi)容解擾模塊對接收的節(jié)目流數(shù)據(jù)進(jìn)行解析��,獲取音視頻內(nèi) 容密文流與所述控制字CW密文流�����;所述內(nèi)容解擾模塊從所述密鑰存儲與管理模塊中獲取 所述直播業(yè)務(wù)密鑰SK明文���,采用所述直播業(yè)務(wù)密鑰SK解密所述控制字CW���,再通過所述控制 字CW對音視頻內(nèi)容進(jìn)行解擾。
6.如權(quán)利要求3����、4或5所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法,其特征在于��,在所述步 驟all中��,所述服務(wù)端的授權(quán)管理系統(tǒng)將所述用戶注冊的權(quán)利對象發(fā)送給所述身份認(rèn)證系 統(tǒng)���,使用一服務(wù)端ECC私鑰y進(jìn)行簽名��,再發(fā)送給所述用戶終端�;在所述步驟a21中���,所述用戶終端的認(rèn)證代理模塊使用服務(wù)端ECC公鑰(y ·Ρ)對所述 用戶注冊的權(quán)利對象進(jìn)行身份驗證��;在所述步驟bll中���,所述服務(wù)端的授權(quán)管理系統(tǒng)將所述點播業(yè)務(wù)的權(quán)利對象發(fā)送給所 述身份認(rèn)證系統(tǒng)��,使用一服務(wù)端ECC私鑰y進(jìn)行簽名����,再發(fā)送給所述用戶終端�;在所述步驟b21中,所述用戶終端的認(rèn)證代理模塊使用服務(wù)端ECC公鑰(yP)對所述 點播業(yè)務(wù)的權(quán)利對象進(jìn)行身份驗證�;在所述步驟cll中���,所述服務(wù)端的授權(quán)管理系統(tǒng)將所述直播業(yè)務(wù)的權(quán)利對象發(fā)送給所 述身份認(rèn)證系統(tǒng)���,使用一服務(wù)端ECC私鑰y進(jìn)行簽名,再發(fā)送給所述用戶終端�����;在所述步驟c21中���,所述用戶終端的認(rèn)證代理模塊使用服務(wù)端ECC公鑰(y ·Ρ)對所述直播業(yè)務(wù)的權(quán)利對象進(jìn)行身份驗證�����。
7.如權(quán)利要求3��、4或5所述的所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法���,其特征在于���, 在所述步驟a21、步驟b21或步驟c21之前��,用戶終端的加解密模塊使用服務(wù)端的ECC公鑰 (y · P)對用戶上行請求信息進(jìn)行加密��,所述用戶終端的認(rèn)證代理模塊使用用戶ECC私鑰s 對加密后的用戶上行請求信息進(jìn)行簽名���,然后向所述服務(wù)端提交請求�;在所述步驟all��、步驟bll或步驟cll之前�����,所述服務(wù)端接收用戶終端的用戶上行請求 信息,所述服務(wù)端的身份認(rèn)證系統(tǒng)使用用戶公鑰(s · P)對用戶終端的身份進(jìn)行驗證����,所述 服務(wù)端加解密系統(tǒng)使用服務(wù)端私鑰y對用戶上行信息進(jìn)行解密。
8.如權(quán)利要求7所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法���,其特征在于���,在所述步驟all、 步驟bll或步驟cll之前����,所述服務(wù)端的加解密系統(tǒng)將解密后的用戶上行信息發(fā)送給所述 授權(quán)管理系統(tǒng),由所述授權(quán)管理系統(tǒng)對用戶請求進(jìn)行處理�,按照用戶注冊、節(jié)目訂購或權(quán)利 申請請求產(chǎn)生相應(yīng)的權(quán)利信息���,并向所述密鑰管理系統(tǒng)請求所需的相關(guān)密鑰。
9.如權(quán)利要求1所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法���,其特征在于����,進(jìn)一步包括服務(wù) 端和用戶終端初始化的步驟所述服務(wù)端的密鑰管理系統(tǒng)進(jìn)行各類密鑰的生成、存儲及管理�����,包括所述服務(wù)端的ECC 公私密鑰對(y���、y · P)��、用戶終端的個人密鑰PK����、直播節(jié)目的業(yè)務(wù)密鑰SK��、點播節(jié)目的內(nèi)容 加密密鑰CEK �����;所述用戶終端的生成用戶ECC公私密鑰對(s��、s · P)����。
10.如權(quán)利要求9所述的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法,其特征在于�����,所述初始化的步驟進(jìn)一步包括,服務(wù)端的密鑰管理系統(tǒng)向所述認(rèn)證中心發(fā)送服務(wù)端公鑰(y · P)�,并由所述認(rèn)證中心生 成服務(wù)端公鑰(y · P)證書供用戶終端下載使用,同時向認(rèn)證中心申請用戶公鑰(s · P)證 書并下載保存在所述服務(wù)端的密鑰管理系統(tǒng)中�;用戶終端的密鑰存儲與管理模塊向所述認(rèn)證中心發(fā)送用戶公鑰(s · P),并由認(rèn)證中心 生成用戶公鑰(s · P)證書供服務(wù)端下載使用�����,同時向認(rèn)證中心申請服務(wù)端公鑰(y · P)證 書并下載保存在所述用戶終端的密鑰存儲與管理模塊中�����。
全文摘要
本發(fā)明為一種IPTV數(shù)字版權(quán)保護的實現(xiàn)方法��,通過媒體內(nèi)容加密(擾)保護�����、身份認(rèn)證�����、權(quán)限管理����、密鑰加密保護等措施確保只有授權(quán)用戶才能收看節(jié)目。所述方法針對IPTV不同的業(yè)務(wù)采用不同的安全密鑰體系�����,在直播業(yè)務(wù)中采用四層安全密鑰體系���,在點播業(yè)務(wù)中采用三層安全密鑰體系���。本發(fā)明的IPTV數(shù)字版權(quán)保護的實現(xiàn)方法可用于IPTV的直播、點播等業(yè)務(wù)����,充分考慮了IPTV的平臺特點以及業(yè)務(wù)特點,充分利用了IPTV良好的交互性�����,分別對直播業(yè)務(wù)和點播業(yè)務(wù)進(jìn)行了不同的設(shè)計���,有良好的擴展性���。
文檔編號H04N7/167GK101902611SQ20091008604
公開日2010年12月1日 申請日期2009年6月1日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者丁瑤, 于志強, 葉松, 吳淵, 唐凌, 張飚, 王杰斌, 郭寶安, 魯昱 申請人:航天信息股份有限公司