專利名稱:一種多媒體廣播內(nèi)容授權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于多媒體廣播領(lǐng)域,尤其涉及一種多媒體廣播內(nèi)容授權(quán)方法。
背景技術(shù):
數(shù)字電視在國(guó)內(nèi)正在進(jìn)行大規(guī)模整體平移,由于經(jīng)過(guò)數(shù)字化的節(jié)目存在容 易竊取、易保存、方便盜版、非法傳播等特點(diǎn),如何保障數(shù)字節(jié)目流在傳輸和 使用過(guò)程中的安全,及有效杜絕這些非法行為已成為電視運(yùn)營(yíng)商和內(nèi)容提供商 關(guān)注的重點(diǎn)。
目前數(shù)字電視實(shí)時(shí)節(jié)目流的保護(hù)授權(quán)一般都是采用歐洲D(zhuǎn)VB規(guī)范,但該規(guī) 范只是對(duì)節(jié)目流加擾方法和加擾算法進(jìn)行了規(guī)定,并沒(méi)有完整的用戶認(rèn)證、用 戶授權(quán)、密鑰管理等技術(shù)規(guī)范,并且該規(guī)范采用的加擾算法具有高額的授權(quán)使 用費(fèi)。
目前市場(chǎng)上應(yīng)用的數(shù)字電視實(shí)時(shí)節(jié)目流授權(quán)系統(tǒng)(CA系統(tǒng))由于缺乏有效 完整的認(rèn)證、授權(quán)、密鑰管理等技術(shù)規(guī)范,使得現(xiàn)有CA系統(tǒng)在安全上存在諸多 缺陷,部分CA系統(tǒng)存在被攻破的事例。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種多4某體廣播內(nèi)容授權(quán)方法,旨在解決現(xiàn)有的 CA系統(tǒng)由于缺乏有效完整的認(rèn)證、授權(quán)、密鑰管理等技術(shù)規(guī)范而易被攻破的問(wèn)題。
本發(fā)明的目的是這樣實(shí)現(xiàn)的
一種多媒體廣播內(nèi)容授權(quán)方法,所述方法包括下述步驟
4A、 用戶在成功申請(qǐng)開(kāi)通多媒體廣播業(yè)務(wù)時(shí)獲取身份憑證,所述憑證中至少
攜帶有該用戶的身份密鑰(TIK)及多媒體廣播前端系統(tǒng)的身份密鑰(SIK)信
息;
B、 用戶終端通過(guò)所述身份憑證向前端系統(tǒng)申請(qǐng)注冊(cè),雙方相互一瞼證對(duì)方的 合法性,完成注冊(cè)和業(yè)務(wù)定購(gòu);
C、 前端系統(tǒng)向指定的用戶終端廣播分發(fā)相應(yīng)的個(gè)人密鑰/組密鑰(PK/GK ), 所述PK/GK采用TIK進(jìn)行加密;
D、 前端系統(tǒng)對(duì)獲取相關(guān)業(yè)務(wù)授權(quán)的用戶終端發(fā)送業(yè)務(wù)授權(quán)消息,所述業(yè)務(wù) 授權(quán)消息攜帶有采用與該用戶對(duì)應(yīng)的PK/GK加密后的業(yè)務(wù)密鑰(SK)信息;
E、 前端系統(tǒng)產(chǎn)生流控制消息,所述流控制消息攜帶有用于加密相關(guān)實(shí)時(shí)節(jié) 目流的傳輸加密密鑰(TEK),并采用所述SK加密該TEK,將流控制消息和加 密后的實(shí)時(shí)節(jié)目流一并發(fā)送給用戶終端;
F、 用戶終端通過(guò)TIK解密獲取所述PK/GK,通過(guò)該P(yáng)K/GK解密獲取所述SK, 通過(guò)該SK解密獲取所述TEK,通過(guò)該TEK解密并收看所述實(shí)時(shí)節(jié)目流。
所述TIK和SIK均為基于公開(kāi)密鑰體制生成的非對(duì)稱密鑰,所述步驟A包 括下述步驟
前端系統(tǒng)和用戶終端分別產(chǎn)生并存儲(chǔ)SIK密鑰對(duì)(SIKpri, SIKpub )和TIK 密鑰對(duì)(TIKpri, TIKpub);
前端系統(tǒng)將TIKpub導(dǎo)出并存儲(chǔ)至本地服務(wù)器中,并將SIKpub離線寫(xiě)入用 戶的身份憑證中;
前端系統(tǒng)將攜帶有TIK密鑰對(duì)和SI Kpub信息的身份憑證分發(fā)給用戶。 所述PK/GK采用TIKpub進(jìn)行加密,用戶終端采用TIKpri解密獲取PK/GK。 所述PK/GK還采用SIKpri簽名保護(hù)后再傳輸給用戶終端,用戶終端將采用 SIKpub對(duì)簽名進(jìn)行一瞼證。
所述業(yè)務(wù)授權(quán)消息和流控制消息中,還分別包括SK和TEK明文的散列運(yùn)算值。用戶根據(jù)需求可申請(qǐng)一個(gè)PK和/或一個(gè)GK,也可同時(shí)擁有多個(gè)GK。 對(duì)個(gè)人用戶授權(quán)時(shí)使用PK對(duì)SK進(jìn)行加密,對(duì)組用戶授權(quán)時(shí)使用GK對(duì)SK 進(jìn)行加密。
一個(gè)SK授與單個(gè)業(yè)務(wù),或者多個(gè)業(yè)務(wù)共同擁有同一個(gè)SK。 所述PK/GK、 SK和TEK均是基于對(duì)稱密鑰體制生成的對(duì)稱密鑰。 本發(fā)明的突出優(yōu)點(diǎn)是本發(fā)明通過(guò)采用對(duì)稱和非對(duì)稱相結(jié)合的混合密碼體 制,并采用四層密鑰體系和基于密鑰的用戶授權(quán),有利于簡(jiǎn)化密鑰管理的復(fù)雜 性,更易于實(shí)現(xiàn)終端身份認(rèn)證和數(shù)據(jù)源識(shí)別。同時(shí),將個(gè)人用戶與組用戶區(qū)分、 將用戶授權(quán)與業(yè)務(wù)授權(quán)分開(kāi),帶來(lái)更為靈活的授權(quán)服務(wù),降低業(yè)務(wù)管理的復(fù)雜 性。
圖1是本發(fā)明實(shí)施例提供的多媒體廣播內(nèi)容授權(quán)方法的時(shí)序圖。
具體實(shí)施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí) 施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅 僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
圖1示出了本發(fā)明實(shí)施例提供的多々某體廣播內(nèi)容授權(quán)方法的實(shí)現(xiàn)時(shí)序,詳 述如下
1、 用戶申請(qǐng)開(kāi)通多媒體廣播業(yè)務(wù)。
2、 多媒體廣播前端系統(tǒng)以離線方式向申請(qǐng)成功的用戶分發(fā)身份憑證,該憑 證中包含有用戶的身份密鑰(TIK)信息、前端系統(tǒng)的身份密鑰(SIK)信息, 以及其它相關(guān)控制參數(shù)信息。
3、 用戶終端通過(guò)所述身份憑證在線/離線向前端系統(tǒng)注冊(cè),雙方相互-瞼證 對(duì)方身份的合法性。4、前端系統(tǒng)對(duì)合法用戶產(chǎn)生與之對(duì)應(yīng)的個(gè)人密鑰/組密鑰(PK/GK),并采 用TIK對(duì)PK/GK進(jìn)行加密。
5 、前端系統(tǒng)將加密后的PK/GK數(shù)據(jù)發(fā)送給用戶終端。
6、 用戶終端通過(guò)身份憑證中的TIK解密獲得PK/GK信息,并存儲(chǔ)。
7、 前端系統(tǒng)產(chǎn)生業(yè)務(wù)密鑰(SK),并采用相應(yīng)用戶對(duì)應(yīng)的PK/GK加密該SK。
8、 前端系統(tǒng)將攜帶有所述加密后的SK信息的業(yè)務(wù)授權(quán)消息發(fā)送給用戶終
二山 ^而。
9、 用戶終端采用PK/GK解密獲得SK,并存儲(chǔ)。
10、 前端系統(tǒng)產(chǎn)生流控制消息,該消息中攜帶有用于實(shí)時(shí)加密相關(guān)實(shí)時(shí)節(jié) 目流的傳輸加密密鑰(TEK),并采用SK加密TEK。
11 、前端系統(tǒng)將流控制消息和加密后節(jié)目流一并實(shí)時(shí)發(fā)送至用戶終端。 12、用戶終端先通過(guò)SK解密獲得TEK,再利用TEK對(duì)收到的節(jié)目數(shù)據(jù)進(jìn)行 實(shí)時(shí)解密后播放收看。
在本發(fā)明實(shí)施例中,上述TIK和SIK均是基于橢圓曲線(ECC )算法或其它 公開(kāi)密鑰算法生成的非對(duì)稱密鑰,由用戶終端和前端系統(tǒng)分別產(chǎn)生和保存。前 端系統(tǒng)在用戶終端生成TIK密鑰對(duì)(TIKpri, TIKpub)時(shí),將TIKpub導(dǎo)出并存 儲(chǔ)至本地服務(wù)器中,并將本地生成的SIK密鑰對(duì)(SIKpri, SIKpub)中的SIKpub 離線寫(xiě)入用戶的身份憑證中。TIK/SIK的更新間隔時(shí)間可以比較長(zhǎng)(例如2年)。 上述PK/GK、 SK和TEK均是基于對(duì)稱密鑰體制生成的對(duì)稱密鑰。 PK/GK代表用戶所擁有的授權(quán),其中,PK密鑰針對(duì)個(gè)人用戶授權(quán),GK密鑰 針對(duì)用戶組授權(quán), 一個(gè)組的所有用戶將擁有一致的GK。用戶只有獲得了相應(yīng)授 權(quán)即成為運(yùn)營(yíng)商信任的客戶,才有資格成為合法的PK/GK授權(quán)客戶。用戶根據(jù) 需求既可單獨(dú)申請(qǐng)PK或GK,也可同時(shí)擁有多個(gè)GK。 PK/GK隨用戶或用戶組收 視權(quán)限(由付費(fèi)情況決定)的存在而有效,在權(quán)利連續(xù)期內(nèi)其更新間隔時(shí)間為 1-2年。PK/GK的分發(fā)是在用戶身份公鑰(TIKpub )的加密保護(hù)下從前端系統(tǒng)在線或離線發(fā)送到用戶終端,用戶終端采用TIKpri解密而獲得PK/GK。
SK代表業(yè)務(wù)授權(quán),不同的節(jié)目或節(jié)目組可以有不同的SK, 一個(gè)SK可以授 與單個(gè)業(yè)務(wù),也可采用多個(gè)業(yè)務(wù)共同擁有同一個(gè)SK。 SK可以隨業(yè)務(wù)變化,也可 以隨時(shí)間變化。SK可在節(jié)目^番;改前和節(jié)目插-;改周期內(nèi)定時(shí)發(fā)送。
TEK分發(fā)給擁有相應(yīng)直播業(yè)務(wù)SK的用戶,TEK在SK加密保護(hù)下從服務(wù)端系 統(tǒng)隨媒體流在線實(shí)時(shí)發(fā)送到用戶終端,并將保持適當(dāng)?shù)母路职l(fā)頻率(如以 60-120秒為更新間隔時(shí)間),從而, 一方面可以確保合法終端用戶能夠在任何 時(shí)間打開(kāi)終端設(shè)備都能快速收到通信密鑰,同時(shí)一次分發(fā)中沒(méi)有正確接收到的 終端用戶也能夠很快獲取到新的傳輸加密密鑰;另 一方面可以禁止非法用戶盜 取TEK。
無(wú)論需要有多少業(yè)務(wù),每個(gè)用戶只能持有唯一的TIK、 PK(針對(duì)個(gè)人用戶), 但由于所服務(wù)業(yè)務(wù)的不同,每個(gè)用戶的GK (針對(duì)組用戶)、SK、 TEK卻可以申 請(qǐng)多個(gè),這是根據(jù)用戶享有的權(quán)利決定。
作為本發(fā)明的一個(gè)優(yōu)選實(shí)施例,在上述步驟4中,PK/GK除了采用TIKpub 加密外,還采用SIKpri簽名保護(hù)后再傳輸給用戶終端,用戶終端也將采用 SIKpub對(duì)簽名進(jìn)行驗(yàn)證。同樣的,發(fā)送給用戶終端的業(yè)務(wù)授權(quán)消息和實(shí)時(shí)節(jié)目 流數(shù)據(jù)中,除了分別包括加密后的SK和TEK密文,還分別包括SK和TEK明文 的散列運(yùn)算值,以使接收方可據(jù)此驗(yàn)證接收密鑰的機(jī)密性、完整性和來(lái)源可靠 性。
本發(fā)明實(shí)施例提供的多媒體廣播內(nèi)容授權(quán)方法通過(guò)結(jié)合國(guó)內(nèi)數(shù)字電視等業(yè) 務(wù)的特點(diǎn),采用四層密鑰體系和基于密鑰的用戶授權(quán),并采用對(duì)稱和非對(duì)稱混 合密碼體制,所有密鑰都是采用逐層保護(hù)方式授權(quán)分發(fā),可以有效地解決目前 多媒體廣播節(jié)目流面臨的一些風(fēng)險(xiǎn),可靠的保護(hù)多々某體內(nèi)容運(yùn)營(yíng)商和內(nèi)容提供 商的合法利益,同時(shí)可以大大降低CA系統(tǒng)開(kāi)發(fā)商的開(kāi)發(fā)成本。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā) 明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明
8的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述方法包括下述步驟A、用戶在成功申請(qǐng)開(kāi)通多媒體廣播業(yè)務(wù)時(shí)獲取身份憑證,所述憑證中至少攜帶有該用戶的身份密鑰(TIK)及多媒體廣播前端系統(tǒng)的身份密鑰(SIK)信息;B、用戶終端通過(guò)所述身份憑證向前端系統(tǒng)申請(qǐng)注冊(cè),雙方相互驗(yàn)證對(duì)方的合法性,完成用戶注冊(cè)和業(yè)務(wù)定購(gòu);C、前端系統(tǒng)對(duì)注冊(cè)用戶終端分發(fā)用戶授權(quán)消息,所述用戶授權(quán)消息攜帶有相應(yīng)用戶的個(gè)人密鑰或組密鑰(PK或GK),所述PK或GK采用相應(yīng)用戶的TIK進(jìn)行加密;D、前端系統(tǒng)對(duì)獲取相關(guān)業(yè)務(wù)授權(quán)的用戶終端發(fā)送業(yè)務(wù)授權(quán)消息,所述業(yè)務(wù)授權(quán)消息攜帶有采用與該用戶對(duì)應(yīng)的PK/GK加密后的業(yè)務(wù)密鑰(SK)信息;E、前端系統(tǒng)產(chǎn)生流控制消息,所述流控制消息攜帶有用于加密相關(guān)實(shí)時(shí)節(jié)目流的傳輸加密密鑰(TEK),并采用所述SK加密該TEK,將流控制消息和加密后的實(shí)時(shí)節(jié)目流一并發(fā)送給用戶終端;F、用戶終端通過(guò)TIK解密獲取所述PK/GK,通過(guò)該P(yáng)K/GK解密獲取所述SK,通過(guò)該SK解密獲取所述TEK,通過(guò)該TEK解密并收看所述實(shí)時(shí)節(jié)目流。
2、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述TIK 和SIK均為基于公開(kāi)密鑰體制生成的非對(duì)稱密鑰,所述步驟A包括下述步驟前端系統(tǒng)和用戶終端分別產(chǎn)生并存儲(chǔ)SIK密鑰對(duì)(SIKpr i, SIKpub )和TIK 密鑰對(duì)(TIKpri, TIKpub);前端系統(tǒng)將TIKpub導(dǎo)出并存儲(chǔ)至本地服務(wù)器中,并將SIKpub離線寫(xiě)入用 戶的身份憑證中;前端系統(tǒng)將攜帶有TIK密鑰對(duì)和SIKpub信息的身份憑證分發(fā)給用戶。
3、 如權(quán)利要求2所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述PK/GK 采用TIKpub進(jìn)行加密,用戶終端采用TIKpri解密獲取PK/GK。
4、 如權(quán)利要求2所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述PK/GK 還采用SIKpri簽名保護(hù)后再傳輸給用戶終端,用戶終端將采用SIKpub對(duì)簽名 進(jìn)行驗(yàn)證。
5、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述業(yè)務(wù) 授權(quán)消息和流控制消息中,還分別包括SK和TEK明文的散列運(yùn)算值。
6、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,用戶根據(jù) 需求可申請(qǐng)一個(gè)PK和/或一個(gè)GK,也可同時(shí)擁有多個(gè)GK。
7、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,對(duì)個(gè)人用 戶授權(quán)時(shí)使用PK對(duì)SK進(jìn)行加密,對(duì)組用戶4臾權(quán)時(shí)使用GK對(duì)SK進(jìn)行加密。
8、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于, 一個(gè)SK 授與單個(gè)業(yè)務(wù),或者多個(gè)業(yè)務(wù)共同擁有同一個(gè)SK。
9、 如權(quán)利要求1所述的多媒體廣播內(nèi)容授權(quán)方法,其特征在于,所述PK/GK、 SK和TEK均是基于對(duì)稱密鑰體制生成的對(duì)稱密鑰。
全文摘要
本發(fā)明適用于多媒體廣播領(lǐng)域,提供了一種多媒體內(nèi)容授權(quán)方法,所述方法采用身份密鑰(包含系統(tǒng)身份密鑰SIK和終端身份密鑰TIK)、用戶授權(quán)密鑰(包含個(gè)人密鑰PK/組密鑰GK)、業(yè)務(wù)密鑰(SK)和傳輸加密密鑰(TEK)的四層密鑰體系,所有密鑰都是采用逐層保護(hù)方式授權(quán)分發(fā),并采用對(duì)稱和非對(duì)稱混合密碼體制,可以有效地解決目前多媒體內(nèi)容分發(fā)面臨的一些安全風(fēng)險(xiǎn),最大化保護(hù)內(nèi)容運(yùn)營(yíng)商和內(nèi)容提供商的合法利益。
文檔編號(hào)H04L29/06GK101521668SQ20091005876
公開(kāi)日2009年9月2日 申請(qǐng)日期2009年3月31日 優(yōu)先權(quán)日2009年3月31日
發(fā)明者周明權(quán), 王孫谷, 肖紅躍 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司