IPTV直播系統中DRM解決方案的研究與設計

2．1 加解密系統
加解密系統的目的是對節目內容進行加密保護，并保證合法用戶在終端可以正常解密收看節目。加解密技術包括對稱加密技術和非對稱加密技術。對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。目前，使用比較普遍的主要對稱加密算法多為國外算法，包括DES，3DES，IDEA，AES等。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密。非對稱加密算法的保密性比較好，但加解密速度慢，不適于對數據量較大的文件進行加密而只適用于對少量數據進行加密。目前，在數字電視領域使用比較普遍的非對稱加密算法為RSA，其應用已非常成熟，在市場上有其各類產品，此外還可以采用ECC加密算法。
在本方案中，加解密系統采用四層密鑰體系，其中一層非對稱密鑰和三層對稱密鑰，非對稱密鑰為用戶ECC公私密鑰對、服務端ECC公私密鑰對(其中服務端ECC公私密鑰對只用于身份認證的簽名／驗證，對稱密鑰分別為個人密鑰PK(Personal Key)、業務密鑰SK(Service Key)、內容密鑰CK(Contend Key)。采用四層密鑰體系的原因是為了更好地服務于IPTV直播業務，用戶ECC私鑰綁定了用戶硬件信息，個人密鑰與用戶信息捆綁，業務密鑰則對應于節目信息(如一個節目或節目段)，內容密鑰對應于TS包。如圖2所示，在前端服務系統，用戶ECC公鑰加密個人密鑰PK，個人密鑰加密業務密鑰SK，PK密文與SK密文均以權利對象的方式發送給用戶終端；業務密鑰SK加密內容密鑰CK，內容密鑰CK用于音視頻內容的加擾，CK密文與TS流復用后通過組播的形式發送到用戶終端。用戶終端系統首先解析權利對象獲取PK密文與SK密文并儲存，采用與服務前端系統對應的解密過程獲取SK明文，其中PK的解密使用用戶ECC私鑰；然后對TS流組播數據進行解析，獲取音視頻內容密文流與CK密文流，采用SK解密CK，再通過CK對音視頻內容進行解擾，最后對音視頻內容進行解碼播放。
2．2 密鑰管理系統
密鑰管理系統是DRM系統的重要組成部分，它負責生成、分發和管理DRM系統使用的各種密鑰，同時密鑰管理系統維護節目(或節目分段)與內容密鑰的映射關系，并為節目的加密提供內容密鑰。密鑰管理系統不直接與用戶終端系統交互，前端通過授權管理系統發送權利對象為用戶發布密鑰。為支持IPTV直播業務對密鑰使用的特殊限制，密鑰管理系統將根據權利對象確定業務密鑰的有效使用時間，并將有效使用時間附在權利對象中。
非對稱密鑰也由密鑰管理系統生成，包括用戶ECC公私鑰對和服務端ECC公私鑰對。服務端ECC私鑰保存于前端服務系統，用戶ECC私鑰與硬件信息綁定(如儲存于智能卡中)，用戶ECC私鑰使用離線方式分發，即用戶到運營商處注冊獲取。ECC公鑰則通過認證系統的CA中心以數字證書的方式發送給對方，用戶與服務端均發送自己的公鑰至CA中心，由CA中心生成數字發送給對方。
2．3 身份認證系統
IPTV系統中的身份認證是指運營商(前端服務系統)和用戶(終端系統)相互確認身份的過程，即如何保證他們的物理身份與數字身份相對應。身份認證體系主要包括Kerberos及PKI(公鑰基礎設施)兩種主要的標準。Kerberos協議主要用于計算機網絡的身份鑒別，其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據訪問多個服務。由于在每個客戶端和服務端之間建立了共享密鑰，使得該協議具有相當的安全性。PKI是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份的一種體系。