IPTV直播系统中DRM解决方案的研究与设计
扫描二维码
随时随地手机看文章
0 引 言
IPTV是基于宽带互联网的一项以数字音视频资源为主体,以电视机、计算机等为显示终端的媒体服务,是互联网业务和传统电视业务融合后产生的新业务。IPTV是基于内容管理的、开放的、交互的音视频内容和业务经营系统,由于IP网络上数字化的节目内容播发过程中存在许多安全隐患,使得非法分子可方便地进行节目盗版和扩散,损害了节目制作商和运营商的利益,影响音视频产业的健康发展。因此,保护IPTV媒体内容安全,实施IPTV系统的访问控制和播放控制,是IPTV健康发展的重要保证。
保护IPTV系统的安全和IPTV媒体内容版权的安全,需要建立起一套包括加密、认证和权限管理的安全机制,通过采用媒体内容加密、数字证书认证、颁发用户权利许可证等安全手段,使得只有授权的用户才能消费特定的节目,只有合法的密码设备才能用于IPTV系统,只有允许的节目才能播出,防止非法播放、非法收视和非法传播,使IPTV网络成为一个可以信任的安全社区。数字版权保护(DRM)技术的目的是保护数字内容的版权,它从技术上防止数字内容的非法复制,或者在一定程度上使复制很困难,最终使得用户必须得到授权才能够使用数字内容。DRM技术能够实现IPTV音视频节目的版权保护和合法消费。
该文结合IPTV直播业务的安全需求,提出一种有效的DRM应用解决方案,为DRM在IPTV中的应用提供参考。
1 DRM技术
DRM技术就是以一定的计算方法实现对数字内容的保护,包括电子书、视频、音频、图片等数字内容。DRM技术能够有效地保护数字内容的版权,保护数字内容所有者的合法收益,提高数字内容创作者的热情,刺激数字内容的发展。DRM提供了灵活的计费策略和运营方式,能够在数字内容分发的过程中为创作者提供收益,满足用户个性化消费内容的需求,提供了激励消费的手段。DRM技术的出现,使得版权所有者不再耗费大量的时间与精力与客户进行谈判,确定数字媒体内容能够被合法地使用。DRM有效地保护了知识产权,因此能激励各个平台的内容提供商提供更多的内容,无论是因特网、流媒体还是交互式数字电视。
DRM技术的基本原理:使用技术手段对数字产品的分发、传输和使用等各个环节进行控制,使得数字产品只能被授权使用的人按照授权的方式在授权使用的期限内使用。根据实现机理不同,数字版权保护技术主要有两类:一类是数字水印技术,另一类是以数据加密和防拷贝为核心的DRM技术。数字水印技术是在数字内容中嵌入隐蔽的标记,在基本不损害原作品质量的情况下,把著作权相关的信息隐藏在数字内容中,只有通过专用的检测工具才能提取,实现对数字内容的版权保护。但是,目前市场上的数字水印技术在应用方面还不成熟,容易被破坏或破解,而且数字水印方法只能在发现盗版后用于取证或追踪,不能在事前防止盗版。以数据加密和防拷贝为核心的DRM技术是把数字内容进行加密,只有授权用户才能得到解密的密钥,而且密钥是与用户的硬件信息绑定的,加密技术加上硬件绑定技术防止了非法拷贝,这种技术能有效地达到版权保护的目的,当前国内外大部分公司和研究机构的DRM系统都采用这种技术。本文也是基于数据加密和防拷贝为核心的技术提出了DRM系统方案。
2 IPTV DRM系统方案设计
IPTV DRM系统主要是使用加密技术来确保数字媒体信息在整个传输链中可控制方面的安全问题。IPTV DRM系统应满足IPTV中的媒体内容安全需求、传输安全需求、存储与使用安全需求、服务端系统安全需求、终端系统安全需求、服务端与终端之间的身份
认证需求等。
本文提出的IPTV DRM系统方案整体框架如图1所示,灰色框图部分为DRM的主要安全功能模块。
DRM系统通过对数字内容进行加密实现对数字内容的保护,同时采用多层密钥的加密方式,并引入了完善的密钥管理措施;为了传输安全,服务端与客户端之间要进行双向认证;为了适应灵活的商业策略,DRM还应需对客户端进行授权。因此,IPTV DRM系统主要包括加解密系统、密钥管理系统、授权管理系统、身份认证系统四个主要功能模块。[!--empirenews.page--]
IPTV DRM系统的业务流程如图2所示。在直播系统中,媒体数据以TS流的形式传播,TS是活动图像专家组在制定MPEG-2系统标准时定义的复用一个或多个音频、视频和数据元素流的方法,TS流采用固定长度的包结构,具有较强的抵抗传输误码的能力。下面对IPTV DRM系统中的加解密系统、密钥管理系统、身份认证系统、授权管理系统四个功能模块进行详细介绍。
2.1 加解密系统
加解密系统的目的是对节目内容进行加密保护,并保证合法用户在终端可以正常解密收看节目。加解密技术包括对称加密技术和非对称加密技术。对称加密算法使用起来简单快捷,密钥较短,且破译困难。目前,使用比较普遍的主要对称加密算法多为国外算法,包括DES,3DES,IDEA,AES等。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对,用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。非对称加密算法的保密性比较好,但加解密速度慢,不适于对数据量较大的文件进行加密而只适用于对少量数据进行加密。目前,在数字电视领域使用比较普遍的非对称加密算法为RSA,其应用已非常成熟,在市场上有其各类产品,此外还可以采用ECC加密算法。
在本方案中,加解密系统采用四层密钥体系,其中一层非对称密钥和三层对称密钥,非对称密钥为用户ECC公私密钥对、服务端ECC公私密钥对(其中服务端ECC公私密钥对只用于身份认证的签名/验证,对称密钥分别为个人密钥PK(Personal Key)、业务密钥SK(Service Key)、内容密钥CK(Contend Key)。采用四层密钥体系的原因是为了更好地服务于IPTV直播业务,用户ECC私钥绑定了用户硬件信息,个人密钥与用户信息捆绑,业务密钥则对应于节目信息(如一个节目或节目段),内容密钥对应于TS包。如图2所示,在前端服务系统,用户ECC公钥加密个人密钥PK,个人密钥加密业务密钥SK,PK密文与SK密文均以权利对象的方式发送给用户终端;业务密钥SK加密内容密钥CK,内容密钥CK用于音视频内容的加扰,CK密文与TS流复用后通过组播的形式发送到用户终端。用户终端系统首先解析权利对象获取PK密文与SK密文并储存,采用与服务前端系统对应的解密过程获取SK明文,其中PK的解密使用用户ECC私钥;然后对TS流组播数据进行解析,获取音视频内容密文流与CK密文流,采用SK解密CK,再通过CK对音视频内容进行解扰,最后对音视频内容进行解码播放。
2.2 密钥管理系统
密钥管理系统是DRM系统的重要组成部分,它负责生成、分发和管理DRM系统使用的各种密钥,同时密钥管理系统维护节目(或节目分段)与内容密钥的映射关系,并为节目的加密提供内容密钥。密钥管理系统不直接与用户终端系统交互,前端通过授权管理系统发送权利对象为用户发布密钥。为支持IPTV直播业务对密钥使用的特殊限制,密钥管理系统将根据权利对象确定业务密钥的有效使用时间,并将有效使用时间附在权利对象中。
非对称密钥也由密钥管理系统生成,包括用户ECC公私钥对和服务端ECC公私钥对。服务端ECC私钥保存于前端服务系统,用户ECC私钥与硬件信息绑定(如储存于智能卡中),用户ECC私钥使用离线方式分发,即用户到运营商处注册获取。ECC公钥则通过认证系统的CA中心以数字证书的方式发送给对方,用户与服务端均发送自己的公钥至CA中心,由CA中心生成数字发送给对方。
2.3 身份认证系统
IPTV系统中的身份认证是指运营商(前端服务系统)和用户(终端系统)相互确认身份的过程,即如何保证他们的物理身份与数字身份相对应。身份认证体系主要包括Kerberos及PKI(公钥基础设施)两种主要的标准。Kerberos协议主要用于计算机网络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据访问多个服务。由于在每个客户端和服务端之间建立了共享密钥,使得该协议具有相当的安全性。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。[!--empirenews.page--]
本文的IPTV DRM方案采用PKI数字证书来实现身份认证。PKI采用各参与方都信任一个同一认证中心CA,由该CA来核对和验证各参与方身份的身份这种信任机制。通过公钥基础设施PKI,交易双方共同信任签发其数字证书的认证中心CA。遵循PKI基础设施的方法来获得安全的好处有很多。单个应用程序随时可以从基础设施得到安全服务,增强并简化了登录过程,对终端用户透明,在整个环境中提供全面的安全。实施PKI公开密钥基础设施的商业驱动包括了节省费用、互操作性、简化管理,真正安全的可能性。
PKI的数字证书通过“数字签名”保证证书不被冒仿,所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。本系统中的数字证书采用X.509国际标准的证书格式,以便实现多PKI运行系统的证书兼容。
在IPTV DRM中,前端服务系统与用户终端系统分别将自己的ECC公钥发送给CA中心,由CA中心生成数字证书。初始化时,服务端系统和用户终端分别向CA证书中心申请对方的公钥证书,并存储在各自的系统中,用于后续交互信息的验证。在身份认证过程中,首先由用户向服务端提出节目申请,并使用用户ECC私钥进行签名,然后服务端使用用户ECC公钥进行验证;服务端在下发权利对象前使用服务端ECC私钥进行签名,在用户端使用服务端的ECC公钥进行验证。
2.4 授权管理系统
授权指利用数字权利表示语言指定给予用户的许可,以及可以行使这些许可的条件与义务。数字权利管理包含复杂的内容,从法律约束到电子商务模型和可用性。数字权利授权语言准确定义和描述了谁拥有何种数字信息产品的什么权限、按照何种协议和交易方式将哪些权限在什么范围授予给谁。这些信息必须用标准的、开放的、计算机可识别的方式描述和标记,DRM系统才可能自动进行相应的记录、识别、解析和解释,并据此进行权限控制。数字权限授权语言目前有不少的国际标准,如XrML及0DRL。
IPTV DRM中的授权管理包括权限管理和权限交付。权限管理通过定义权限,并将其同特定的内容部分相关联。权限交付对许可请求进行处理,对通过身份认证后的客户端用户进行相关权限审查,根据审查的结果进行授权交付或拒绝授权,授权交付生成相关许可信息并向用户交付许可。同时,授权管理系统需要对所有用户的权限进行管理与保护,负责按照用户注册、订购或权利申请信息产生相应的密钥和权利信息,然后组成权利对象,并进行加密及签名发送给用户终端。
3 结 语
本文采用软件的方式对IPTV DRM解决方案进行了实验验证,搭建了试验演示系统,其中信源采用AVS编码,内容加密及对称密钥加密采用3DES加密算法,非对称加密以及签名/验证采用ECC加密算法。试验系统运行良好,充分验证了该方案的可行性。但从安全的角度出发,只有使用硬件的方式来实现才能最大可能的保证安全。
随着信息技术和通信技术的不断进步,互联网和宽带通信网得到极大的发展,IPTV的市场潜力巨大。而有效的DRM应用解决方案是加速IPTV发展的前提条件。文章首先介绍了DRM的基本原理,然后结合IPTV直播系统的业务需求提出了IPTV DRM应用解决方案,相信本文的研究工作对DRM技术在IPTV中的应用有一定的借鉴意义。