專利名稱:Iptv用戶安全終端的制作方法
技術領域:
本發(fā)明涉及IPTV(Internet Protocol Television)安全應用技術��,特別涉及一種 IPTV用戶安全終端。
背景技術:
IPTV是基于寬帶互聯(lián)網的一種以數(shù)字音視頻資源為主體���,以電視機��、計算機等為 顯示終端的媒體服務���,是互聯(lián)網業(yè)務和傳統(tǒng)電視業(yè)務融合后產生的新業(yè)務。IPTV是基于內 容管理的����、開放的、交互的音視頻內容和業(yè)務經營系統(tǒng)���,由于IP網絡上數(shù)字化的節(jié)目內容 播發(fā)過程中存在許多安全隱患�,因此�����,有效的版權管理能夠實現(xiàn)音視頻節(jié)目的版權保護和 合法消費��。保護IPTV數(shù)字媒體內容版權的安全�����,需要建立起一套包括加密、認證和權限管 理的安全機制����,通過采用媒體內容加密、身份認證���、頒發(fā)用戶權利許可證等安全手段�����,使得 只有授權的用戶才能消費特定的節(jié)目�����,只有允許的節(jié)目才能播出���,防止非法播放、非法收視 和非法傳播�。IPTV用戶終端的安全性和可靠性是確保IPTV數(shù)字媒體內容安全的一個關鍵環(huán) 節(jié),關乎IPTV整體系統(tǒng)安全的成敗�。本發(fā)明結合IPTV的平臺特性����、業(yè)務特點��、安全需求��,提 出適用于IPTV直播業(yè)務和點播業(yè)務的用戶安全終端系統(tǒng)�����。
發(fā)明內容
本發(fā)明的目的在于�����,解決IPTV用戶終端安全隱患的技術問題����。為達到上述目的�,本發(fā)明提供一種IPTV安全終端,包括身份認證模塊����、授權信息 解密模塊、授權存儲與管理模塊���、密鑰存儲與管理模塊�����、密鑰解密模塊���、內容解擾模塊���、上 行信息加密模塊、解碼模塊和用戶輸入模塊����。其中,所述身份認證模塊包括ECC(Elliptic Curve Cryptosystems�,橢圓曲線密碼體制)簽名模塊和ECC驗證模塊。所述ECC驗證模塊負責對接收的授權發(fā)放信息進行身份驗證�,所述ECC簽名模塊 負責上傳數(shù)據(jù)的簽名,所述上傳數(shù)據(jù)為加密后的用戶注冊����、訂購或權限申請等上行信息。所述授權信息解密模塊負責對接收到的權利對象(R0�����,Right Object)信息數(shù)據(jù)進 行解密�,解密出的密鑰送至所述密鑰存儲與管理模塊保存���,解出的權限信息送至所述授權 存儲與管理模塊保存��。所述授權存儲與管理模塊負責對接收的權限信息進行解析�����,執(zhí)行權限管理的功 能�����,包括驗證權限的有效性��、通過權限信息控制用于解密內容的密鑰的使用等�����。存儲每個節(jié) 目的權限信息�����,并根據(jù)權限內容控制是否可以對節(jié)目進行消費��、復制或轉發(fā)等����。所述密鑰存儲與管理模塊配合所述授權存儲與管理模塊實現(xiàn)各種密鑰的存儲與 管理�,包括確保密鑰的安全存儲���,并提供合理的密鑰存儲地址/空間管理與調度�����、密鑰查詢 /調用管理等功能��。所述密鑰解密模塊負責對內容密鑰進行解密���,如果對應節(jié)目的權限在許可范圍 內,則解密內容密鑰�,并把內容密鑰送給所述內容解擾模塊,解擾節(jié)目內容�����。
3
所述內容解擾模塊負責對服務前端發(fā)放的數(shù)字媒體內容���,即傳輸?shù)墓?jié)目流進行解 擾�����,然后傳送給所述解碼模塊進行解碼播放�����。所述用戶輸入模塊負責將上行信息(包括用戶注冊��、節(jié)目訂購��、權限申請等相關 業(yè)務請求信息和用戶標志)按規(guī)定格式進行封裝�,然后發(fā)送給所述上行信息加密模塊��。所述上行信息加密模塊負責對所述用戶輸入模塊接收的用戶在線注冊��、節(jié)目訂 購�����、權限申請等上行信息進行加密���,生成所述上傳數(shù)據(jù)��。本發(fā)明的有益效果在于���,充分考慮了 IPTV的平臺特點以及業(yè)務特點��,利用IPTV良 好的交互性�,通過身份認證���、權限管理��、密鑰加密保護���、內容加密保護等方法確保只有授權 用戶才能收看節(jié)目。本發(fā)明的用戶安全終端具有良好的擴展性���,可滿足IPTV的直播���、點播 等業(yè)務,能有效地保護IPTV的數(shù)字媒體內容安全�。
圖1為本發(fā)明IPTV安全終端整體框圖;圖2為用戶終端授權申請的工作流程圖�����;圖3為用戶終端播放節(jié)目的工作流程圖��。附圖標記說明I-IPTV用戶安全終端�;10-身份認證模塊�;101-ECC簽名模塊�����;102-ECC驗證模塊��; 11-授權信息解密模塊�;12-授權存儲與管理模塊;13-密鑰存儲與管理模塊��;14-密鑰解密 模塊�����;15-內容解擾模塊���;16-上行信息加密模塊;17-解碼模塊�;18-用戶輸入模塊;2-服 務前端��;3-認證中心�。
具體實施例方式下面通過具體實施方式
并結合附圖對本發(fā)明做進一步詳細的描述。如圖1所示����,本發(fā)明提供的IPTV用戶安全終端1包括身份認證模塊10����、授權信息 解密模塊11���、授權存儲與管理模塊12�����、密鑰存儲與管理模塊13�、密鑰解密模塊14���、內容解擾 模塊15�、上行信息加密模塊16�����、解碼模塊17和用戶輸入模塊18��。其中�����,身份認證模塊10包 ECC(Elliptic Curve Cryptosystems,橢圓曲線密碼體制)簽名模塊101和ECC驗證模 塊 102���。身份認證模塊10中的ECC驗證模塊102負責對接收的授權發(fā)放信息進行身份驗 證��,ECC簽名模塊101負責上傳數(shù)據(jù)的簽名����,所述上傳數(shù)據(jù)為加密后的用戶注冊�����、訂購或權 限申請信息和用戶標志�����。授權信息解密模塊11負責對接收到的權利對象(R0����,Right Object)信息數(shù)據(jù)進 行解密���,解密出的密鑰送密鑰存儲與管理模塊13保存��,解出的權限信息送授權存儲與管理 模塊12保存����。授權存儲與管理模塊12負責對接收的權限信息進行解析,執(zhí)行權限管理的功能�����, 包括驗證權限的有效性��、通過權限信息控制用于解密內容的密鑰的使用等��。存儲每個節(jié)目 的權限信息��,并根據(jù)權限內容控制是否可以對節(jié)目進行消費��、復制或轉發(fā)等�����。密鑰存儲與管理模塊13配合授權存儲與管理模塊12實現(xiàn)各種密鑰的存儲與管 理�����,包括確保密鑰的安全存儲��,并提供合理的密鑰存儲地址/空間管理與調度、密鑰查詢/調用管理等功能���。密鑰解密模塊14負責對內容密鑰進行解密�����,如果對應節(jié)目的權限在許可范圍內���, 則解密內容密鑰,并把內容密鑰送給內容解擾模塊15解擾節(jié)目內容�。直播節(jié)目的內容密鑰 隨節(jié)目流實時分發(fā),先對接收的節(jié)目流進行解析分離出內容密鑰的密文流��,然后解密獲得 內容密鑰����,再把內容密鑰送給內容解擾模塊15 ;點播節(jié)目的內容密鑰以權利對象(RO)的形 式分發(fā)�����,直接解密內容密鑰并發(fā)送給內容解擾模塊15��。內容解擾模塊15負責對服務前端2發(fā)放的數(shù)字媒體內容�����,即傳輸?shù)墓?jié)目流進行解 擾�,然后傳送給解碼模塊17進行解碼播放。用戶輸入模塊I8負責將上行信息(包括用戶注冊��、節(jié)目訂購����、權限申請等相關業(yè) 務請求信息和用戶標志)按規(guī)定格式進行封裝,然后發(fā)送給上行信息加密模塊16��。上行信息加密模塊16負責對用戶輸入模塊18接收的用戶在線注冊��、節(jié)目訂購��、權 限申請等上行信息進行加密��,生成所述上傳數(shù)據(jù)����。圖2所示為IPTV用戶安全終端在申請權利信息時的主要工作流程步驟201 :IPTV用戶安全終端1初始化工作。在系統(tǒng)工作前首先要對用戶終端進 行初始化�����,初始化工作包括用戶終端1生成ECC公私密鑰對,向認證中心3 (Certificate Authority, CA)申請服務前端2公鑰證書并下載保存在密鑰存儲與管理模塊13中�,向認證 中心3發(fā)送用戶端公鑰并由認證中心3生成用戶端公鑰證書供服務前端2下載使用,等等��。步驟202:用戶輸入模塊18將上行信息(包括用戶注冊��、節(jié)目訂購�����、權限申請等相 關業(yè)務請求信息和用戶標志)按規(guī)定格式進行封裝�����,然后發(fā)送給上行信息加密模塊16�。步驟203 上行信息加密模塊16對部分私有信息(需要保護的用戶信息)進行加 密,然后發(fā)送給身份認證模塊10的ECC簽名模塊101進行簽名����。步驟204 由身份認證模塊10的ECC簽名模塊101對上行信息進行簽名,經加密 及簽名后的申請信息發(fā)送給服務前端2�����。步驟205 服務前端2對用戶的申請信息進行簽名驗證并確定用戶身份����,同時對用 戶的申請信息進行解密,為合法的用戶發(fā)放相應的授權信息��。授權信息以權利對象(RO)的 形式發(fā)送�����,其中包括了各類業(yè)務相關的密鑰密文以及權利信息等�。步驟206 用戶終端1在接收到權利對象RO后,首先由ECC驗證模塊102驗證服 務前端2系統(tǒng)的身份�����,通過驗證的權利對象RO發(fā)送給授權信息解密模塊11���。步驟207 授權信息解密模塊11將接收到權利對象RO分離出權限管理信息和密 鑰信息�,并分別進行解密�����。將解密后的權限管理信息送給授權存儲與管理模塊12處理和保 存��。步驟208 授權信息解密模塊11將解密后的密鑰信息送給密鑰存儲管理模塊13 保存�。IPTV用戶安全終端1在接收到相關業(yè)務的權利信息并解密出相應的密鑰后就可 以在權限許可的范圍內觀看對應的節(jié)目內容�����。用戶終端的節(jié)目權利管理信息由權利對象RO定義�����,當用戶選播節(jié)目或打開節(jié)目 文件時�,授權存儲與管理模塊12將根據(jù)電子節(jié)目單向導EPG(ElectriCPr0gram Guide)中 解析出的節(jié)目標識CID (Content Identifier) /密鑰標識KID (Key Identifier)來獲取該 節(jié)目的權利信息����。
圖3給出了 IPTV用戶安全終端1在播放節(jié)目的工作流程圖,用戶播放節(jié)目的基本 操作過程如下步驟301 用戶按照EPG選播節(jié)目����。步驟302 授權存儲與管理模塊12檢查該用戶是否有權消費所選節(jié)目,即根據(jù)節(jié) 目的CID/KID查詢本地是否已存有對應的權利信息��。如果已存有權利信息��,且符合播放權 限要求(有效期�����、使用時間���、使用次數(shù)等相關權利信息)���,則執(zhí)行步驟305 ;如果用戶終端中 沒有該節(jié)目的權利信息(或權利信息已失效)����,則執(zhí)行步驟303。步驟303 轉入業(yè)務訂購/權限申請程序��,用戶安全終端1向服務前端2訂購或申 請該節(jié)目的權利信息��,以獲取其消費權限及其解密密鑰���。步驟304 授權存儲與管理模塊12檢查該用戶是否獲得該節(jié)目的消費權限����。如獲 得權限則執(zhí)行步驟305 ���;如未獲得消費權限則執(zhí)行步驟308���。步驟305 由密鑰解密模塊14解密內容密鑰,同時�,授權存儲與管理模塊12自動 記錄或修改該節(jié)目的使用時間���、使用次數(shù)等相關信息,以供下次選播節(jié)目時判定其使用權 限�����。步驟306 將解密出的內容密鑰送給內容解擾模塊15��,進行內容解擾�����。步驟307 由解碼模塊17對節(jié)目解碼����,播放節(jié)目。步驟308 用戶判斷是否繼續(xù)選播節(jié)目��,如繼續(xù)選播則執(zhí)行步驟301 �;如不再選播 節(jié)目,則結束�����。以上對本發(fā)明的描述是說明性的,而非限制性的���,本專業(yè)技術人員理解���,在權利要 求限定的精神與范圍之內可對其進行許多修改、變化或等效���,但是它們都將落入本發(fā)明的 保護范圍內。
權利要求
一種IPTV用戶安全終端�����,其特征在于�,該終端包括身份認證模塊、授權信息解密模塊��、授權存儲與管理模塊�、密鑰存儲與管理模塊、密鑰解密模塊����、內容解擾模塊、上行信息加密模塊�����、解碼模塊和用戶輸入模塊;所述身份認證模塊包括橢圓曲線密碼體制簽名模塊和橢圓曲線密碼體制驗證模塊��;所述橢圓曲線密碼體制驗證模塊負責對接收的授權發(fā)放信息進行身份驗證���,所述橢圓曲線密碼體制簽名模塊負責對上傳的數(shù)據(jù)進行簽名���;所述授權信息解密模塊負責對接收到的權利對象信息數(shù)據(jù)進行解密,解密出的密鑰送至所述密鑰存儲與管理模塊保存�����,解出的權限信息送至所述授權存儲與管理模塊保存�;所述授權存儲與管理模塊負責對接收的權限信息進行解析,執(zhí)行權限管理的功能���,存儲每個節(jié)目的權限信息�����,并根據(jù)權限內容控制是否可以對節(jié)目進行消費�、復制或轉發(fā)����;所述密鑰存儲與管理模塊配合所述授權存儲與管理模塊實現(xiàn)密鑰的存儲與管理��;所述密鑰解密模塊負責對內容密鑰進行解密���;所述內容解擾模塊負責對服務前端發(fā)放的數(shù)字媒體內容進行解擾,然后傳送給所述解碼模塊進行解碼播放��;所述用戶輸入模塊負責將上行信息按規(guī)定格式進行封裝���,然后發(fā)送給所述上行信息加密模塊;所述上行信息加密模塊負責對所述上行信息進行加密��,生成所述上傳數(shù)據(jù)���。
2.如權利要求1所述的IPTV用戶安全終端�����,其特征在于����,所述密鑰存儲與管理模塊確 保密鑰的安全存儲�,并提供合理的密鑰存儲地址/空間管理與調度、密鑰查詢/調用管理功 能。
3.如權利要求1所述的IPTV用戶安全終端��,其特征在于����,所述授權存儲與管理模塊執(zhí) 行的權限管理功能,包括驗證權限的有效性�、通過權限信息控制用于解密內容的密鑰的使用。
4.如權利要求1所述的IPTV用戶安全終端����,其特征在于,所述上行信息為用戶輸入模 塊接收的用戶在線注冊���、節(jié)目訂購����、權限申請和用戶標志等信息�����。
5.如權利要求1所述的IPTV用戶安全終端��,其特征在于����,所述終端的初始化工作包括 用戶終端生成橢圓曲線密碼體制公私密鑰對�����,向認證中心申請服務前端公鑰證書并下載保 存在所述密鑰存儲與管理模塊中����,向認證中心發(fā)送用戶端公鑰并由認證中心生成用戶端公 鑰證書供服務前端下載使用���。
6.如權利要求1所述的IPTV用戶安全終端��,其特征在于�����,所述授權存儲與管理模塊自 動記錄或修改用戶點播節(jié)目的使用時間、使用次數(shù)的相關信息����,以供下次選播節(jié)目時判定 使用權限��。
全文摘要
本發(fā)明為一種IPTV用戶安全終端���,該終端包括身份認證模塊����、授權信息解密模塊、授權存儲與管理模塊���、密鑰存儲與管理模塊�����、密鑰解密模塊�����、內容解擾模塊����、上行信息加密模塊�、解碼模塊和用戶輸入模塊;所述身份認證模塊包括橢圓曲線密碼體制簽名模塊和橢圓曲線密碼體制驗證模塊���。利用IPTV良好的交互性�,通過身份認證�、權限管理�����、密鑰加密保護�����、內容加密保護等方法確保只有授權用戶才能收看節(jié)目��。本發(fā)明的用戶安全終端具有良好的擴展性�,可滿足IPTV的直播����、點播等業(yè)務,能有效地保護IPTV的數(shù)字媒體內容安全����。
文檔編號H04N5/00GK101895393SQ20091008545
公開日2010年11月24日 申請日期2009年5月22日 優(yōu)先權日2009年5月22日
發(fā)明者丁瑤, 于志強, 葉松, 吳淵, 唐凌, 張飚, 王杰斌, 郭寶安, 魯昱 申請人:航天信息股份有限公司