引言

隨著數(shù)字電視網(wǎng)絡雙向化改造的快速發(fā)展，傳統(tǒng)單向廣播網(wǎng)絡環(huán)境下的條件接收體系已不能適應于新的雙向網(wǎng)絡環(huán)境和業(yè)務模式。為進一步推進數(shù)字電視產(chǎn)業(yè)的快速發(fā)展，迫切需要研發(fā)出適應于雙向DTV網(wǎng)絡環(huán)境和業(yè)務模式的安全解決方案，滿足數(shù)字電視雙向DTV業(yè)務的運營需求和安全需求。

在雙向DTV網(wǎng)絡環(huán)境中，內(nèi)容發(fā)布者和終端用戶之間存在兩條傳輸信道，一條傳輸信道是傳統(tǒng)的單向廣播HFC信道，另一條是數(shù)字電視網(wǎng)絡雙向化改造后增加的雙向IP信道，如圖1所示。雙向DTV的業(yè)務實現(xiàn)中，節(jié)目內(nèi)容打包成MPEG TS流以廣播方式發(fā)送給終端用戶，終端用戶與內(nèi)容提供者之間通過IP通道完成認證授權(quán)及許可證申請。

本文基于數(shù)字版權(quán)管理（DRM）技術(shù)提出了一種雙向DTV安全解決方案，可以實現(xiàn)對雙向DTV數(shù)字內(nèi)容端到端的安全傳輸和存儲，并能實現(xiàn)對數(shù)字內(nèi)容權(quán)限的使用控制。

圖1 雙向DTV網(wǎng)絡結(jié)構(gòu)

DRM簡介

DRM技術(shù)可以實現(xiàn)對數(shù)字內(nèi)容進行描述、識別、保護、監(jiān)控和跟蹤，以達到在數(shù)字內(nèi)容知識產(chǎn)權(quán)的整個生命周期內(nèi)對其進行保護，可以實現(xiàn)對數(shù)字內(nèi)容端到端的安全傳輸和存儲，并能實現(xiàn)對數(shù)字內(nèi)容權(quán)限的使用控制。

實現(xiàn)DRM主要有兩類技術(shù)：一類是數(shù)字水印技術(shù)，另一類是數(shù)據(jù)加密技術(shù)。數(shù)字水印技術(shù)尚不成熟，并且只能在發(fā)現(xiàn)盜版后用于取證或追蹤，不能在事前防止盜版。以數(shù)據(jù)加密為核心的DRM 技術(shù)，核心思想是把數(shù)字內(nèi)容進行加密，只有授權(quán)用戶才能得到內(nèi)容解密的密鑰。

當前國內(nèi)外多數(shù)公司和研究結(jié)構(gòu)的DRM系統(tǒng)都采用基于數(shù)據(jù)加密的技術(shù)。本文也基于數(shù)據(jù)加密技術(shù)，結(jié)合數(shù)字簽名和證書認證等技術(shù)，提出了一種有效地雙向DTV業(yè)務的版權(quán)保護安全解決方案，可以實現(xiàn)對雙向DTV業(yè)務數(shù)字內(nèi)容的管理控制和版權(quán)保護。

解決方案

本文提出的雙向DTV DRM安全解決方案，結(jié)合證書認證系統(tǒng)（PKI/CA），通過為終端設(shè)備和前端服務器簽發(fā)數(shù)字證書，并使用數(shù)字證書標識和認證系統(tǒng)中各實體身份，在運營商和用戶之間，以及用戶與用戶之間建立可信的信任體系；并設(shè)計實現(xiàn)多層密鑰體系，使用非對稱密碼算法進行身份認證、內(nèi)容密鑰的安全分發(fā)和協(xié)商，使用對稱密碼算法把數(shù)字內(nèi)容加密為媒體文件密文，并通過直播、點播等業(yè)務模式，分發(fā)給終端用戶，并控制保障數(shù)字內(nèi)容在終端的合理使用。

系統(tǒng)結(jié)構(gòu)

本文提出的雙向DTV DRM安全方案的系統(tǒng)架構(gòu)如圖2所示：

圖2  雙向DTV DRM系統(tǒng)架構(gòu)

本文提出的雙向DTV DRM安全方案由下列模塊組成：

證書中心(CA)：為前端授權(quán)管理系統(tǒng)和終端簽發(fā)數(shù)字證書，建立基于PKI的信任體系；終端和授權(quán)管理系統(tǒng)通過證書交換和密鑰協(xié)商完成雙向身份認證和安全通道建立；

授權(quán)管理系統(tǒng)：為終端生成許可證，并認證終端的身份，并為終端安全授權(quán)；

密碼管理系統(tǒng)：生成各種密鑰，并實現(xiàn)內(nèi)容加密；對于直播內(nèi)容在線實時加密；對于點播內(nèi)容，實現(xiàn)離線預加密；

DRM代理：設(shè)備中的可信實體，實施對內(nèi)容的許可和限制，控制內(nèi)容使用。嚴格按照權(quán)限對數(shù)字內(nèi)容進行操作；

內(nèi)容分發(fā)服務器：存儲并管理加密的數(shù)字內(nèi)容，并按照不同業(yè)務模式分發(fā)內(nèi)容；

密鑰體系

本文提出的雙向DTV DRM安全解決方案結(jié)合PKI非對稱密碼體系，建立了多層密鑰體系。

密鑰體系的最上面兩層是設(shè)備公私鑰對和用戶密鑰。對于諸如機頂盒的終端設(shè)備，在初始化時生成公私鑰對，私鑰在終端安全存儲，公鑰通過安全通道送到前端CA中心申請終端證書，這樣服務端就維護著終端的設(shè)備公鑰或證書。在為用戶分發(fā)智能卡時需要初始化智能卡，并在智能卡內(nèi)寫入用戶密鑰或域密鑰，并且服務端也維護用戶密鑰/域密鑰和智能卡的對應關(guān)系。

對于直接加密內(nèi)容的密鑰，根據(jù)內(nèi)容類型的不同，采用不同的密鑰體系：

當數(shù)據(jù)內(nèi)容是TS流或流文件時，密鑰方案采用類CAS的實時加擾的密鑰體系：首先使用控制字(CW)加擾內(nèi)容，再使用業(yè)務密鑰(SK)加密傳輸CW，加密的CW和節(jié)目控制數(shù)據(jù)被封裝在ECM中，隨內(nèi)容數(shù)據(jù)一起廣播。業(yè)務密鑰被用戶密鑰（PK）/域密鑰（DK）加密，可以封裝在EMM中廣播下發(fā)，或者通過雙向IP信道端對端下發(fā)，如圖3所示。

圖3  流媒體的密鑰體系

對于非TS流數(shù)據(jù)，如圖像、動畫數(shù)據(jù)等，本方案采用對稱密鑰加密的密鑰體系，使用內(nèi)容加密密鑰（CEK）直接加密內(nèi)容數(shù)據(jù)，內(nèi)容加密密鑰被封裝在權(quán)限對象中使用用戶密鑰（PK）/域密鑰（DK）加密，通過雙向IP通道端對端下發(fā)，如圖4所示。

圖4  非流媒體的密鑰體系

數(shù)據(jù)封裝

本方案針對不同的內(nèi)容類型，采用不同的數(shù)據(jù)加密及封裝方式。對于TS流媒體內(nèi)容，逐個TS報文加密，并只加密TS報文負荷的184字節(jié)，并且直接與其它TS流復用進行廣播分發(fā)；對于非TS流文件（如動畫、圖片內(nèi)容），應連續(xù)加密，打包成TS流循環(huán)廣播。

業(yè)務流程

文本提出的雙向DTV DRM安全方案可以支持直播、點播等多種業(yè)務模式。不同的業(yè)務模式，具體的業(yè)務流程不同；對于直播業(yè)務，加密方式和業(yè)務流程皆類似于傳統(tǒng)的單向網(wǎng)絡下的電視廣播業(yè)務，其中數(shù)字內(nèi)容實時加擾，加擾控制字CW加密封裝在ECM中，業(yè)務密鑰加密封裝EMM中，加擾的數(shù)字內(nèi)容和ECM、EMM一起廣播分發(fā)。當然，EMM也可通過雙向IP網(wǎng)絡在線分發(fā)。

本文以點播業(yè)務為例，簡單說明業(yè)務的處理流程：

數(shù)字內(nèi)容在密碼管理系統(tǒng)被預加密，同時把加密密鑰發(fā)送給授權(quán)管理系統(tǒng)生成權(quán)限許可證，并把加密的數(shù)字內(nèi)容發(fā)送給內(nèi)容分發(fā)服務器；用戶在終端點播數(shù)字內(nèi)容時，首先向授權(quán)管理系統(tǒng)請求此數(shù)字內(nèi)容的權(quán)限許可證。此時需要對終端和授權(quán)管理系統(tǒng)進行雙向身份認證，并協(xié)商會話密鑰，以建立雙方的安全連接；授權(quán)管理系統(tǒng)通過連接保護向終端下發(fā)點播內(nèi)容的授權(quán)許可證，同時要求內(nèi)容分發(fā)服務器向終端廣播所點播內(nèi)容；終端DRM代理驗證授權(quán)許可證有效性，嚴格按照許可證中的權(quán)限許可和限制對內(nèi)容進行操作，為用戶提供服務。

安全性分析

信任模型

本文提出的雙向DTV DRM安全解決方案采用基于PKI的證書認證體系，每個終端設(shè)備初始化時都需要向證書中心申請證書。前端服務器通過驗證終端代理的證書的有效性來認證終端代理的身份，可以實現(xiàn)系統(tǒng)實體之間的可信任性；

內(nèi)容安全和授權(quán)安全

在雙向DTV系統(tǒng)中，數(shù)字內(nèi)容是通過廣播信道下發(fā)到終端的，所有終端都可以得到這些數(shù)字內(nèi)容。所以必須保障數(shù)字內(nèi)容不被非授權(quán)方訪問，只能被已鑒別和已授權(quán)的用戶按照權(quán)限適當?shù)卦L問。本文提出的方案中，對數(shù)字內(nèi)容進行加密，如流媒體內(nèi)容使用CW加擾，非流媒體內(nèi)容使用內(nèi)容加密密鑰加密，并且加密密鑰對每個內(nèi)容對象是唯一的，而且版權(quán)對象攜帶的加密密鑰也被加密之后進行封裝，只能被指定的終端所訪問。這樣可以實現(xiàn)內(nèi)容安全和授權(quán)安全，有效地防止媒體內(nèi)容被非授權(quán)破解，從而保護內(nèi)容提供商和用戶的合法權(quán)益。

安全連接

在雙向DTV業(yè)務中，終端需要在線向授權(quán)管理系統(tǒng)請求獲取權(quán)限許可證，這就需要避免非法冒充終端或授權(quán)管理系統(tǒng)，以避免造成授權(quán)給非法終端，或用戶敏感信息丟失。本方案中，終端和授權(quán)管理系統(tǒng)建立安全連接，可以實現(xiàn)防止這種攻擊。安全連接的建立過程首先是雙向身份認證，就是通過數(shù)字證書交換，雙方分別驗證對方數(shù)字證書的有效性，來驗證對方身份的合法性，這樣可以避免冒充終端或授權(quán)管理系統(tǒng)的攻擊。然后雙方協(xié)商一個臨時會話密鑰，如使用DH密鑰協(xié)商協(xié)議，這樣權(quán)限許可證被加密傳輸?shù)浇K端，攻擊者不能獲得終端用戶的許可證。這樣保障了終端向授權(quán)管理系統(tǒng)在線請求獲取權(quán)限許可證的安全性。

結(jié)論

本文提出的雙向DTV DRM安全方案，安全性分析表明可以滿足雙向DTV數(shù)字內(nèi)容保護的安全性需求。但隨著雙向DTV系統(tǒng)中業(yè)務類型的增加，尤其是大量增值業(yè)務的部署運營，雙向DTV系統(tǒng)具有更復雜的安全需求，應該要進一步考慮雙向DTV安全解決方案對全業(yè)務的支持，盡可能實現(xiàn)統(tǒng)一的業(yè)務安全保障。

隨著三網(wǎng)融合的快速發(fā)展，各種互聯(lián)網(wǎng)公網(wǎng)業(yè)務，如網(wǎng)絡視頻、互聯(lián)網(wǎng)電視、視頻化的互聯(lián)網(wǎng)服務等，將逐漸滲透到廣電網(wǎng)絡。這些互聯(lián)網(wǎng)視音頻業(yè)務多是免費提供給廣大用戶，不以內(nèi)容或節(jié)目授權(quán)作為獲利手段，所以缺乏完備的業(yè)務保護和內(nèi)容保護，就不能實現(xiàn)對內(nèi)容的端對端的安全保障。但在廣電網(wǎng)絡下中，數(shù)字電視作為重要的宣傳窗口，必須實現(xiàn)對其中的視音頻內(nèi)容實現(xiàn)全面的安全控制，需要達到NGB所提倡的“可管可控”，所以進入廣電網(wǎng)絡的視音頻業(yè)務必須遵循廣電專網(wǎng)下的安全體系，營造安全和諧的電視播放環(huán)境。