IPTV直播系统中DRM解决方案的研究与设计

2．1 加解密系统
加解密系统的目的是对节目内容进行加密保护，并保证合法用户在终端可以正常解密收看节目。加解密技术包括对称加密技术和非对称加密技术。对称加密算法使用起来简单快捷，密钥较短，且破译困难。目前，使用比较普遍的主要对称加密算法多为国外算法，包括DES，3DES，IDEA，AES等。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥和私有密钥。公开密钥与私有密钥是一对，用公开密钥对数据进行加密，只有用对应的私有密钥才能解密。非对称加密算法的保密性比较好，但加解密速度慢，不适于对数据量较大的文件进行加密而只适用于对少量数据进行加密。目前，在数字电视领域使用比较普遍的非对称加密算法为RSA，其应用已非常成熟，在市场上有其各类产品，此外还可以采用ECC加密算法。
在本方案中，加解密系统采用四层密钥体系，其中一层非对称密钥和三层对称密钥，非对称密钥为用户ECC公私密钥对、服务端ECC公私密钥对(其中服务端ECC公私密钥对只用于身份认证的签名／验证，对称密钥分别为个人密钥PK(Personal Key)、业务密钥SK(Service Key)、内容密钥CK(Contend Key)。采用四层密钥体系的原因是为了更好地服务于IPTV直播业务，用户ECC私钥绑定了用户硬件信息，个人密钥与用户信息捆绑，业务密钥则对应于节目信息(如一个节目或节目段)，内容密钥对应于TS包。如图2所示，在前端服务系统，用户ECC公钥加密个人密钥PK，个人密钥加密业务密钥SK，PK密文与SK密文均以权利对象的方式发送给用户终端；业务密钥SK加密内容密钥CK，内容密钥CK用于音视频内容的加扰，CK密文与TS流复用后通过组播的形式发送到用户终端。用户终端系统首先解析权利对象获取PK密文与SK密文并储存，采用与服务前端系统对应的解密过程获取SK明文，其中PK的解密使用用户ECC私钥；然后对TS流组播数据进行解析，获取音视频内容密文流与CK密文流，采用SK解密CK，再通过CK对音视频内容进行解扰，最后对音视频内容进行解码播放。
2．2 密钥管理系统
密钥管理系统是DRM系统的重要组成部分，它负责生成、分发和管理DRM系统使用的各种密钥，同时密钥管理系统维护节目(或节目分段)与内容密钥的映射关系，并为节目的加密提供内容密钥。密钥管理系统不直接与用户终端系统交互，前端通过授权管理系统发送权利对象为用户发布密钥。为支持IPTV直播业务对密钥使用的特殊限制，密钥管理系统将根据权利对象确定业务密钥的有效使用时间，并将有效使用时间附在权利对象中。
非对称密钥也由密钥管理系统生成，包括用户ECC公私钥对和服务端ECC公私钥对。服务端ECC私钥保存于前端服务系统，用户ECC私钥与硬件信息绑定(如储存于智能卡中)，用户ECC私钥使用离线方式分发，即用户到运营商处注册获取。ECC公钥则通过认证系统的CA中心以数字证书的方式发送给对方，用户与服务端均发送自己的公钥至CA中心，由CA中心生成数字发送给对方。
2．3 身份认证系统
IPTV系统中的身份认证是指运营商(前端服务系统)和用户(终端系统)相互确认身份的过程，即如何保证他们的物理身份与数字身份相对应。身份认证体系主要包括Kerberos及PKI(公钥基础设施)两种主要的标准。Kerberos协议主要用于计算机网络的身份鉴别，其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据访问多个服务。由于在每个客户端和服务端之间建立了共享密钥，使得该协议具有相当的安全性。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。