基于DRM技术的双向DTV安全解决方案

　引言

　　随着数字电视网络双向化改造的快速发展，传统单向广播网络环境下的条件接收体系已不能适应于新的双向网络环境和业务模式。为进一步推进数字电视产业的快速发展，迫切需要研发出适应于双向DTV网络环境和业务模式的安全解决方案，满足数字电视双向DTV业务的运营需求和安全需求。

　　在双向DTV网络环境中，内容发布者和终端用户之间存在两条传输信道，一条传输信道是传统的单向广播HFC信道，另一条是数字电视网络双向化改造后增加的双向IP信道，如图1所示。双向DTV的业务实现中，节目内容打包成MPEG TS流以广播方式发送给终端用户，终端用户与内容提供者之间通过IP通道完成认证授权及许可证申请。

　　本文基于数字版权管理(DRM)技术提出了一种双向DTV安全解决方案，可以实现对双向DTV数字内容端到端的安全传输和存储，并能实现对数字内容权限的使用控制。

　　图1 双向DTV网络结构

　　DRM简介

　　DRM技术可以实现对数字内容进行描述、识别、保护、监控和跟踪，以达到在数字内容知识产权的整个生命周期内对其进行保护，可以实现对数字内容端到端的安全传输和存储，并能实现对数字内容权限的使用控制。

　　实现DRM主要有两类技术：一类是数字水印技术，另一类是数据加密技术。数字水印技术尚不成熟，并且只能在发现盗版后用于取证或追踪，不能在事前防止盗版。以数据加密为核心的DRM 技术，核心思想是把数字内容进行加密，只有授权用户才能得到内容解密的密钥。

　　当前国内外多数公司和研究结构的DRM系统都采用基于数据加密的技术。本文也基于数据加密技术，结合数字签名和证书认证等技术，提出了一种有效地双向DTV业务的版权保护安全解决方案，可以实现对双向DTV业务数字内容的管理控制和版权保护。

　　解决方案

　　本文提出的双向DTV DRM安全解决方案，结合证书认证系统(PKI/CA)，通过为终端设备和前端服务器签发数字证书，并使用数字证书标识和认证系统中各实体身份，在运营商和用户之间，以及用户与用户之间建立可信的信任体系;并设计实现多层密钥体系，使用非对称密码算法进行身份认证、内容密钥的安全分发和协商，使用对称密码算法把数字内容加密为媒体文件密文，并通过直播、点播等业务模式，分发给终端用户，并控制保障数字内容在终端的合理使用。

　　系统结构

　　本文提出的双向DTV DRM安全方案的系统架构如图2所示：

　　图2 双向DTV DRM系统架构

　　本文提出的双向DTV DRM安全方案由下列模块组成：

　　证书中心(CA)：为前端授权管理系统和终端签发数字证书，建立基于PKI的信任体系;终端和授权管理系统通过证书交换和密钥协商完成双向身份认证和安全通道建立;

　　授权管理系统：为终端生成许可证，并认证终端的身份，并为终端安全授权;

　　密码管理系统：生成各种密钥，并实现内容加密;对于直播内容在线实时加密;对于点播内容，实现离线预加密;

　　DRM代理：设备中的可信实体，实施对内容的许可和限制，控制内容使用。严格按照权限对数字内容进行操作;

　　内容分发服务器：存储并管理加密的数字内容，并按照不同业务模式分发内容;

　　密钥体系