基于DRM技術(shù)的雙向DTV安全解決方案

　引言

　　隨著(zhù)數字電視網(wǎng)絡(luò )雙向化改造的快速發(fā)展，傳統單向廣播網(wǎng)絡(luò )環(huán)境下的條件接收體系已不能適應于新的雙向網(wǎng)絡(luò )環(huán)境和業(yè)務(wù)模式。為進(jìn)一步推進(jìn)數字電視產(chǎn)業(yè)的快速發(fā)展，迫切需要研發(fā)出適應于雙向DTV網(wǎng)絡(luò )環(huán)境和業(yè)務(wù)模式的安全解決方案，滿(mǎn)足數字電視雙向DTV業(yè)務(wù)的運營(yíng)需求和安全需求。

　　在雙向DTV網(wǎng)絡(luò )環(huán)境中，內容發(fā)布者和終端用戶(hù)之間存在兩條傳輸信道，一條傳輸信道是傳統的單向廣播HFC信道，另一條是數字電視網(wǎng)絡(luò )雙向化改造后增加的雙向IP信道，如圖1所示。雙向DTV的業(yè)務(wù)實(shí)現中，節目?jì)热荽虬蒑PEG TS流以廣播方式發(fā)送給終端用戶(hù)，終端用戶(hù)與內容提供者之間通過(guò)IP通道完成認證授權及許可證申請。

　　本文基于數字版權管理(DRM)技術(shù)提出了一種雙向DTV安全解決方案，可以實(shí)現對雙向DTV數字內容端到端的安全傳輸和存儲，并能實(shí)現對數字內容權限的使用控制。

　　圖1 雙向DTV網(wǎng)絡(luò )結構

　　DRM簡(jiǎn)介

　　DRM技術(shù)可以實(shí)現對數字內容進(jìn)行描述、識別、保護、監控和跟蹤，以達到在數字內容知識產(chǎn)權的整個(gè)生命周期內對其進(jìn)行保護，可以實(shí)現對數字內容端到端的安全傳輸和存儲，并能實(shí)現對數字內容權限的使用控制。

　　實(shí)現DRM主要有兩類(lèi)技術(shù)：一類(lèi)是數字水印技術(shù)，另一類(lèi)是數據加密技術(shù)。數字水印技術(shù)尚不成熟，并且只能在發(fā)現盜版后用于取證或追蹤，不能在事前防止盜版。以數據加密為核心的DRM 技術(shù)，核心思想是把數字內容進(jìn)行加密，只有授權用戶(hù)才能得到內容解密的密鑰。

　　當前國內外多數公司和研究結構的DRM系統都采用基于數據加密的技術(shù)。本文也基于數據加密技術(shù)，結合數字簽名和證書(shū)認證等技術(shù)，提出了一種有效地雙向DTV業(yè)務(wù)的版權保護安全解決方案，可以實(shí)現對雙向DTV業(yè)務(wù)數字內容的管理控制和版權保護。

　　解決方案

　　本文提出的雙向DTV DRM安全解決方案，結合證書(shū)認證系統(PKI/CA)，通過(guò)為終端設備和前端服務(wù)器簽發(fā)數字證書(shū)，并使用數字證書(shū)標識和認證系統中各實(shí)體身份，在運營(yíng)商和用戶(hù)之間，以及用戶(hù)與用戶(hù)之間建立可信的信任體系;并設計實(shí)現多層密鑰體系，使用非對稱(chēng)密碼算法進(jìn)行身份認證、內容密鑰的安全分發(fā)和協(xié)商，使用對稱(chēng)密碼算法把數字內容加密為媒體文件密文，并通過(guò)直播、點(diǎn)播等業(yè)務(wù)模式，分發(fā)給終端用戶(hù)，并控制保障數字內容在終端的合理使用。

　　系統結構

　　本文提出的雙向DTV DRM安全方案的系統架構如圖2所示：

　　圖2 雙向DTV DRM系統架構

　　本文提出的雙向DTV DRM安全方案由下列模塊組成：

　　證書(shū)中心(CA)：為前端授權管理系統和終端簽發(fā)數字證書(shū)，建立基于PKI的信任體系;終端和授權管理系統通過(guò)證書(shū)交換和密鑰協(xié)商完成雙向身份認證和安全通道建立;

　　授權管理系統：為終端生成許可證，并認證終端的身份，并為終端安全授權;

　　密碼管理系統：生成各種密鑰，并實(shí)現內容加密;對于直播內容在線(xiàn)實(shí)時(shí)加密;對于點(diǎn)播內容，實(shí)現離線(xiàn)預加密;

　　DRM代理：設備中的可信實(shí)體，實(shí)施對內容的許可和限制，控制內容使用。嚴格按照權限對數字內容進(jìn)行操作;

　　內容分發(fā)服務(wù)器：存儲并管理加密的數字內容，并按照不同業(yè)務(wù)模式分發(fā)內容;

　　密鑰體系