专利名称:Iptv业务平台数字版权管理系统的密钥管理方法
技术领域:
本发明涉及面向大规模电信级IPTV业务平台的数字版权管理系统,即在IPTV系统用户终端的内容密钥管理机制。
背景技术:
大规模电信级IPTV业务平台为终端用户提供高质量的音视频服务,并为内容提供商和运营商赢得足够的利益。对于大规模电信级IPTV业务平台,安全性与低成本、高性能、高可靠性、良好的可管理性、网络友好性和用户友好性等需求有着同等重要的地位。IPTV业务平台的安全性要求1)只有注册用户才能请求收费音视频服务;2)合法用户只能在规定的权限范围内使用各种音视频服务;3)能够抵御攻击者采用数字或模拟的方法盗版音视频内容。IPTV业务平台依靠用户认证系统满足需求1,依靠MacroVision或CGMS/SCMS技术保证模拟音视频内容的盗版问题。对于需求2和需求3中的数字音视频内容的防盗版问题,IPTV业务平台需要数字版权管理系统(DRMS)的支持。
数字版权管理系统由内容制作、密钥管理和授权管理三个子系统构成。内容制作子系统完成内容的加密、所有加密内容的内容密钥由密钥管理子系统维护。授权管理子系统分为服务器端的授权服务器和客户端的授权控制器两个部分,其中服务器端确定用户的权限并生成权利对象,客户端根据权利对象控制用户按照授权许可的方式使用加密内容。
权利对象定义了媒体内容的使用规则。权利对象由权利对象本身和权利属性组成。权利对象本身定义了用户对内容的处理方式。根据处理方式的不同,权利对象分为使用、交换和派生。权利对象的属性分别是使用权利的代价、使用权利的次数和时间、使用权利的用户类型。权利对象中还包含用户的个人信息,因此权利对象只能由特定的用户或用户组使用。授权控制器用于解析权利对象,并控制用户按照权利对象定义的规则使用媒体内容。
内容密钥的发放与授权相关。在传统的IPTV业务平台中,媒体内容和内容密钥均由运营商掌握,因此内容密钥被嵌在权利对象中。授权控制器获得权利对象,并按照权利对象定义的规则使用内容密钥。内容运营商的出现给数字版权管理系统带来了新的需求,即媒体内容由运营商掌握,而内容密钥由内容提供商掌握以从根本上控制媒体内容。目前的数字版权管理系统不能为上述需求提供足够的支持。此外,权利对象由最终用户的播放设备控制和更新在安全性上存在较大漏洞,因为攻击者可以在关闭设备后采用各种方式攻击存储在设备中的权利对象,如修改权利对象的属性或获取内容密钥。
由于现有的权利对象发放和使用机制存在的不足,我们提出了一种面向终端的简单密钥管理机制。依靠这种方法,IPTV用户终端不再接收和使用权利对象,而是通过密钥对象中包含的时间信息决定内容密钥在终端的有效期。
发明内容
根据本发明的数字版权管理系统的密钥管理方法,包括用户终端向密钥服务器发送内容密钥申请,密钥服务器向用户终端返回密钥对象,密钥对象在用户终端进行解密,其中密钥对象经解密后获得内容密钥,该内容密钥经过预定时间后即失效。
优选地,前述密钥对象是在密钥代理(Key agent)中生成,密钥代理计算权利对象中定义的密钥使用时限与当前时刻的差值,并将内容密钥和该差值一同用用户公钥加密。
有益的是,前述密钥对象经解密获得前述内容密钥和差值,内容密钥经过该差值的时间后即失效。
进一步优选地,所述解密后的内容密钥存在于用户终端的内存空间中。
根据另一改进方案,在所述密钥对象中预留64位,以增加服务器端的控制标记位。
具体讲,本发明具有以下主要特点1.本发明支持将权利对象与内容密钥分离,权利对象仅存在于IPTV系统的服务器端,密钥对象(包括内容密钥和时间信息)在被用户公钥加密后交给用户终端;2.在用户终端上,解密后的内容密钥仅存在于解密模块的私有内存空间中,并将在媒体内容播放完毕或超过有效期后被放弃;3.本发明在密钥对象中预留64位,因此服务器端能够增加新的控制标记位;4.本发明支持LiveTV、VoD、Time Shift TV、PPV和TVoD等业务。
图1给出了密钥对象的获取流程图,图2给出了密钥对象在用户终端的管理和使用流程,以及图3给出了密钥时间队列的示例。
具体实施例方式
图1给出了密钥对象的获取流程图。用户设备向EPGServer(Electronic Program Guides Server,电子程序向导服务器)发送内容密钥申请,申请中包含节目ID、用户ID、权利对象ID和用户公钥;EPG Server将请求转发至USC(User Session Controller,用户会话控制器);USC将权利对象ID对应的权利对象和用户公钥组成密钥申请消息,并将消息发往Key Agent Mgnt(密钥代理管理);KeyAgent Mgnt将密钥申请消息转发至Key Agent(密钥代理);如果KeyAgent缓存有所需密钥,则计算权利对象中定义的密钥使用时限与当前时刻的差值(以秒为单位),并将内容密钥和差值一同用用户公钥加密;如果Key Agent没有缓存所需的内容密钥,则向Key Server(密钥服务器)申请相应的密钥;Key Agent在获得Key Server的返回后生成密钥对象;密钥对象通过Key Agent Mgnt、USC、EPG Server返回用户设备。
图2给出了密钥对象在用户终端的管理和使用流程。Controller(控制器)从Browser(浏览器)获得密钥对象;Controller利用RSAModule(RSA模块)从密钥对象中获得内容密钥及其有效期,并将其交给Key Mgnt(密钥管理);Key Mgnt计算内容密钥在密钥时间队列Key TimeQueue(例如参考图3所示的密钥时间队列)中的位置,具体算法如下Key Mgnt获取Key_Time_Queue的第一个表项,定义为item。只要item的delta_time小于等于密钥对象的deadline_time,则密钥对象的deadline_time等于密钥对象的deadline_time减去item的deadline_time。如果item不是Key_Time_Queue的最后一个表项,则Key Mgnt取下一个item,并重复上述操作。如果item的delta_time大于密钥对象的deadline_time,则item的delta_time等于item的delta_time减去密钥对象的deadline_time。
内容密钥的有效期是Key Time Queue中,该密钥对象与当前时刻之间所有密钥对象的deadline_time(即Delta_Time)的和;Key Mgnt对Key_1的Delta_Time倒计数,并在Delta_Time等于0时将密钥对象抛弃。所有内容密钥仅存在于内存中。
Key Agent的密钥对象的具体格式如下<?xml version=″1.0″encoding=″utf-8″?>
<Key_Object>
<Version>1.0</Version>
<Right_ID>right_id_1</Right_ID>
<User_ID>user_id</User_ID>
<Content_ID>content_id</Content_ID>
<Status>0x01</Status>
<Markup>0x01</Markup>
<Key_Num>0x02</Key_Num>
<Key_Info>
<List>
<Encrypt_Algorithm>AES</Encrypt_Algorithm>
<Key_Length>0x80</Encrypt_Algorithm>
<Pub_Key_Algorithm>RSA</Pub_Key_Algorithm>
<Key>XXXX</Key>
</List>
<List>
<Encrypt_Algorithm>AES</Encrypt_Algorithm>
<Key_Length>0x80</Encrypt_Algorithm>
<Pub_Key_Algorithm>RSA</Pub_Key_Algorithm>
<Key_Value>XXXX</Key_Value>
</List>
</Key_Info>
<Deadline_Time>XXXX</Deadline_Time>
<Extend_Flag>XXXX</Extend_Flag>
</Key_object>
密钥对象的属性声明如下
权利要求
1.一种数字版权管理系统的密钥管理方法,包括用户终端向密钥服务器发送内容密钥申请,密钥服务器向用户终端返回密钥对象,密钥对象在用户终端进行解密,其特征在于密钥对象经解密后获得内容密钥,该内容密钥经过预定时间后即失效。
2.如权利要求1所述的数字版权管理系统的密钥管理方法,其特征在于前述密钥对象是在密钥代理中生成,密钥代理计算权利对象中定义的密钥使用时限与当前时刻的差值,并将内容密钥和该差值一同用用户公钥加密。
3.如权利要求2所述的数字版权管理系统的密钥管理方法,其特征在于前述密钥对象经解密获得前述内容密钥和差值,内容密钥经过该差值的时间后即失效。
4.如权利要求3所述的数字版权管理系统的密钥管理方法,其特征在于所述解密后的内容密钥存在于用户终端的内存空间中。
5.如权利要求1所述的数字版权管理系统的密钥管理方法,其特征在于在所述密钥对象中预留64位,以增加服务器端的控制标记位。
全文摘要
本发明涉及一种数字版权管理系统的密钥管理方法,包括用户终端向密钥服务器发送内容密钥申请,密钥服务器向用户终端返回密钥对象,密钥对象在用户终端进行解密。根据本发明,密钥对象经解密后获得内容密钥,该内容密钥经过预定时间后即失效。由此克服了现有的权利对象发放和使用机制存在的不足,IPTV用户终端不再接收和使用权利对象,而是通过密钥对象中包含的时间信息决定内容密钥在终端的有效期,从而进一步增强了安全性。
文档编号G06F1/00GK1863046SQ20051006879
公开日2006年11月15日 申请日期2005年5月11日 优先权日2005年5月11日
发明者陈宇, 李强, 黎文, 范存志 申请人:Ut斯达康通讯有限公司