基于DRM技術(shù)的雙向DTV安全解決方案

　　本文提出的雙向DTV DRM安全解決方案結合PKI非對稱(chēng)密碼體系，建立了多層密鑰體系。

　　密鑰體系的最上面兩層是設備公私鑰對和用戶(hù)密鑰。對于諸如機頂盒的終端設備，在初始化時(shí)生成公私鑰對，私鑰在終端安全存儲，公鑰通過(guò)安全通道送到前端CA中心申請終端證書(shū)，這樣服務(wù)端就維護著(zhù)終端的設備公鑰或證書(shū)。在為用戶(hù)分發(fā)智能卡時(shí)需要初始化智能卡，并在智能卡內寫(xiě)入用戶(hù)密鑰或域密鑰，并且服務(wù)端也維護用戶(hù)密鑰/域密鑰和智能卡的對應關(guān)系。

　　對于直接加密內容的密鑰，根據內容類(lèi)型的不同，采用不同的密鑰體系：

　　當數據內容是TS流或流文件時(shí)，密鑰方案采用類(lèi)CAS的實(shí)時(shí)加擾的密鑰體系：首先使用控制字(CW)加擾內容，再使用業(yè)務(wù)密鑰(SK)加密傳輸CW，加密的CW和節目控制數據被封裝在ECM中，隨內容數據一起廣播。業(yè)務(wù)密鑰被用戶(hù)密鑰(PK)/域密鑰(DK)加密，可以封裝在EMM中廣播下發(fā)，或者通過(guò)雙向IP信道端對端下發(fā)，如圖3所示。

　　圖3 流媒體的密鑰體系

　　對于非TS流數據，如圖像、動(dòng)畫(huà)數據等，本方案采用對稱(chēng)密鑰加密的密鑰體系，使用內容加密密鑰(CEK)直接加密內容數據，內容加密密鑰被封裝在權限對象中使用用戶(hù)密鑰(PK)/域密鑰(DK)加密，通過(guò)雙向IP通道端對端下發(fā)，如圖4所示。

　　圖4 非流媒體的密鑰體系

　　數據封裝

　　本方案針對不同的內容類(lèi)型，采用不同的數據加密及封裝方式。對于TS流媒體內容，逐個(gè)TS報文加密，并只加密TS報文負荷的184字節，并且直接與其它TS流復用進(jìn)行廣播分發(fā);對于非TS流文件(如動(dòng)畫(huà)、圖片內容)，應連續加密，打包成TS流循環(huán)廣播。