专利名称:多媒体广播系统及方法
技术领域:
本发明涉及数字电视技术,尤其涉及一种数字电视广播系统及方法。
背景技术:
随着科学技术的发展,数字电视技术因其具有传输质量高、范围广、速度快等优 势,而逐渐得到广泛的应用。然而,伴随着数字电视技术出现的问题是如何保证信息的安全 性、完整性以及实时性。 数字签名是目前较为常见的用来加强信息安全性的技术。数字签名技术,是指对 消息进行数学变换,产生一组特定数据。当这组数据和消息一起传送时,接收者可以验证消 息发送者的身份,达到类似传统意义上签名的作用。常见数字签名技术一般利用非对称密 码算法实现。非对称密码算法,是指加密消息和解密消息使用不同的密钥。数字签名技术 利用了这一个特点签名者使用秘密的加密密钥对消息或消息特征进行加密,得到的密文 作为数字签名和消息本身一起发送。同时签名者将解密密钥公开提供给接收者使用。验证 签名时,如果解密签名得到的结果和消息一致,那么证明签名确由掌握加密密钥的签名者 产生;如果不一致,则证明签名并不来自号称的签名者。 数字签名这种非对称的特点一般基于单向的数学难题。由于这些数学问题的困难 性,由解密密钥或其他公开信息无法恢复出加密密钥,因此在缺少加密密钥时,无法对经过 篡改的消息伪造数字签名。所以,数字签名除了传统意义上的身份证明功能以外,还可以保 证消息的完整性。 在多媒体广播系统中,如果需要鉴别广播内容,广播系统的发送端(或前端)可以 对广播内容,例如视频流、音频流进行数字签名,再将数字签名与广播内容复用后发送到用 户终端,用户终端在验证数字签名后方可正常播放广播内容。但是由于广播电视系统对于 实时性有很高的要求,如果要对广播内容进行数字签名,那么必须使用高性能的处理设备 来完成数字签名过程中的大量数据运算,从而使得整个多媒体广播系统的成本偏高、稳定 性降低。再者,由于数字签名对误码十分敏感,在使用误码率较高的无线广播信道传输多媒 体内容时,容易因正常信道误码导致终端无法播放。 鉴于此,有必要提供一种能够减少数字签名的计算量以及对误码不敏感的多媒体 广播鉴别保护系统。
发明内容
为解决上述问题,本发明提供一种多媒体广播系统与方法,其对误码较不敏感且 不需要进行大数据量的数据签名运算。 本发明提供一种在多媒体广播系统中提供安全广播的方法,包括利用前端子系 统自多媒体广播信息中提取广播信道控制信息以及业务的内容特征,依据所述内容特征产 生业务内容特征签名信息,依据所述广播信道控制信息以及所述业务内容特征签名信息产 生安全广播签名信息,组合所述安全广播签名信息以及业务内容特征签名信息产生所述安全广播信息,以及将所述安全广播信息以一定规则插入所述多媒体广播信息中;以及利用终端接收承载所述多媒体广播信息的信道码流,并对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的合法性与完整性。 本发明还提供一种在多媒体广播信息中提供并验证安全广播信息的广播系统,其包括前端子系统和终端。前端子系统包括安全广播签名信息产生模块,用于对接收的广播信道控制信息施加签名以产生安全广播签名信息;业务内容特征签名信息产生模块,用于自接收到的多媒体广播信息中提取业务内容特征,并对所述业务内容特征施加签名以产生业务内容特征签名信息;以及安全广播信息组合模块,用于组合所述安全广播签名信息以及业务内容特征签名信息以产生所述安全广播信息。终端,用于接收承载所述多媒体广播信息的信道码流,并对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的合法性与完整性。 本发明只需要对广播内容的特征信息进行数字签名,有效减少数据签名的数据计算量,有利于降低鉴别系统对广播信道误码的 敏感程度,以及减小前端和终端的计算复杂度。
图1显示的是本发明一实施例的传输帧结构示意图; 图2显示的是本发明一实施例的复用子帧结构示意图; 图3显示的是本发明一实施例的时间戳的格式示意图; 图4显示的是依据本发明一实施例产生安全广播信息的流程图; 图5显示的是依据本发明一实施例提取和验证安全广播信息的流程图; 图6显示的是本发明一实施例的多媒体广播系统的前端子系统的示意性框图;以
及 图7显示一是本发明一实施例的多媒体广播系统的终端的示意性框图。
具体实施例方式
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举出较佳实施例,并配合所附图式,详细说明如下。 本发明一实施例的多媒体广播系统的前端子系统通过对业务的内容特征进行数字签名获得业务内容特征签名信息。另一方面,前端子系统还会对广播信道的控制信息进行签名以获得一安全广播签名信息。该安全广播签名信息以及业务内容特征签名信息由前端子系统按照一定的规律插入到广播信道的传输帧中。在多媒体广播系统的终端设有相应的提取和检验设备,以通过安全广播签名信息以及业务内容特征签名信息验证广播内容的合法性和完整性。由于本发明仅需要对信道的控制信息以及业务变化的内容特征进行签名运算,而非业务内容本身(例如视频、音频或数据本身),因而可以减低运算量以及误码敏感度。 图1显示的是一种用于承载多媒体广播内容的传输帧TF的结构。传输侦TF可包括多个复用帧MF0至MFn,每个复用帧MF0-MFn均包括复用帧头MFH、复用帧净荷MFP及填充单元MFS,如复用帧MF0包括复用帧头MFH0、复用帧净荷MFP 0及填充单元MFS 0,复用帧MFi包括复用帧头MFH i、复用帧净荷MFP i及填充单元MFS i,其余复用帧的结构以此类推。 多媒体广播内容的控制信息,例如广播信道控制信息,一般存储在复用帧MFO的控制信息表CITO至CITk-1中,而具体广播内容(业务内容)则放在其余复用帧(也可以称为业务帧)中。举例来说,本实施的控制信息表可以包括网络信息表、持续业务复用配置表、持续业务配置表、短时间业务复用配置表以及短时间业务配置表。如本领域一般技术人员所了解的,上述控制信息表中包含了广播信道的信道与复用的控制信息,终端若需要正常播放广播内容,必须使用控制信息表中的信道与复用控制信息来解调制和解复用前端发送的广播信息。本发明所产生的安全广播信息,可作为一种特殊的控制信息表在复用帧MFO中进行传输,如放在第h个控制信息表CITh中,也可通过其他复用帧进行传输,如放在复用帧净荷MFPi的复用子帧SMFi中。 由于传输帧TF中除复用帧MFO之外的复用帧(即复用帧MF1 MFn)的结构均相同,因而以下仅以复用帧MFi为例说明。复用帧MFi由复用帧头MFHi、复用帧静荷MFPi以及填充MFSi构成,而复用帧静荷MFPi包含有多个复用子帧,例如复用子帧MFHO MFHn。图2所示为本发明一实施例的复用子帧的结构示意图。以图l所示的复用子帧SMFn为例,复用子帧SMFn包含子帧头ZZH,视频数据段ZZV、音频数据段ZZA以及数据段ZZD。其中子帧头ZZH可以包含起始播放时间、视频段指示、音频段指示、数据段指示以及CRC等字段。视频段指示、音频段指示以及数据段指示分别用于标识该复用子帧是否包含视频信息、音频信息或纯数据信息。视频数据段ZZV由视频段头VH以及承载视频数据的视频单元VD构成,音频数据段ZZA由音频段头AH以及承载音频数据的音频单元AD组成,数据段ZZD则包含数据段头DH以及承载纯数据内容(例如条件接收信息)的数据单元DD。视频单元VD、音频单元AD以及数据单元DD均有可能由多个子单元构成。举例来说,视频单元VD可以包含有视频子单元VDO VDn。进一步来说,视频段头VH包含标识视频段头的长度的视频段长度VH0、视频单元的参数VH1以及CRC(循环冗余校验码)字段VH2。视频单元的参数VH1中至少包含有标识视频单元VD的长度值的视频单元长度VH10以及其他用于标识视频单元的属性的参数VHll。音频段头AH包含有用来标识音频单元AD所包含的子单元的数目的音频子单元数AH0、音频单元的参数AH1以及CRC字段AH2。其中,音频单元的参数AH1至少包括音频单元长度AHIO以及用来描述音频段AH1的其他属性的其他参数AHll。与音频段头AH相类似,数据段头DH包含有数据子单元数DHO、数据单元的参数DH1以及CRC字段DH2。数据单元的参数DH1包含有数据单元长度DHIO以及其他参数DHll。
于本实施例中,传输帧TF所包含的复用子帧可分别用于承载广播内容的相应业务。举例来说,复用帧MFi的复用子帧SMFO SMF2,分别用于承载广播内容中的业务0 2,例如CCTV1、CCTV2以及CCTV3的电视节目。因此,本实施例的传输帧TF的每一个用来承载广播内容的业务都可以有一个相应的业务内容特征签名信息,这些业务内容特征签名信息可以分散放在对应的复用子帧中,也可以将对应于同一个复用帧的复用子帧的多个业务内容特征签名信息集合在一起作为一个特殊业务独占一个复用子帧,或是将所有的业务内容特征签名信息集合在一起放在安全广播信息中传输。业务内容特征签名信息的具体位置可在控制信息表中定义,或是可以通过标准或行业规范来明确规范,使得终端可以依据规范到指定位置提取待播业务的业务内容特征签名信息。由于依据上述各种方式放置业务内
8容特征签名信息相对于本领域一般技术人员来说是公知的,因此不再详细叙述。需要说明
的是的,无论业务内容特征签名信息是否与安全广播签名信息放置在一起,安全广播信息
都可以在逻辑上理解为包含业务内容特征签名信息和安全广播签名信息。 于本发明一实施例中,为方便终端提取和验证业务内容特征签名,前端子系统组
合业务的业务内容特征签名信息以产生广播内容特征保护信息,并将该广播内容特征保护
信息放在安全广播信息的附加数据段中传输。下面将对本发明一实施例的安全广播信息、
广播内容特征保护信息以及业务内容特征签名对象进行示例性的说明,以更好的理解本发
明的技术内容。 于本发明一实施例中,安全广播信息包含由时间戳、安全广播配置信息、附加数据段属性信息和安全广播签名组成的安全广播签名信息以及附加数据段。 其中,时间戳用于标识安全广播数据的产生时间,具体结构如图3所示。其中,年份从2000年开始计算;序列号标识同一秒内时间戳的顺序,终端可使用该时间戳防止重放攻击。 安全广播配置信息用于描述该安全广播信息的属性以及控制信息,例如可以包括标志,用于标识安全广播信息;版本号,用于标识安全广播信息数据结构的版本号;网络信息表保护标识,表示计算数字签名时应包括网络信息表,如果为O,则表示不包括;持续业务复用配置表保护标识,如果该参数为l,表示计算数字签名时应包括持续业务复用配置表,如果为O,则表示不包括;持续业务配置表保护标识,如果该参数为l,表示计算数字签名时应包括持续业务配置表,如果为O,则表示不包括;短时间业务复用配置表保护标识,如果该参数为l,表示计算数字签名时应包括短时间业务复用配置表,如果为O,则表示不包括;短时间业务配置表保护标识,如果该参数为l,表示计算数字签名时应包括短时间业务配置表,如果为O,则表示不包括。 附加数据段通常位于安全广播信息的最后一部分,用来承载除安全广播配置信息以及时间戳之外的其他信息,例如广播内容特征保护信息。附加数据段属性信息可以包括用来指示附加信息段的总数的附加信息段数量、用来标识附加信息段的类型的附加信息段标识以及用来指示附加信息段的长度的附加信息段长度。 安全广播签名是对控制信息表、安全广播配置信息、时间戳以及附加数据段属性信息签名的结果。具体需要对哪些控制信息表进行签名可以通过安全广播配置信息来具体规定,例如只需要对网络信息表、持续业务复用配置表进行签名,则安全广播配置信息中的网络信息表保护标识以及持续业务保护标识为l,而另外三个配置表的保护标识为0。
于本发明一实施例中,包含有多个业务内容特征签名信息的广播内容特征保护信息是作为一个附加数据段放入安全广播信息中传输。具体来说,请参阅表1所示,广播内容特征保护信息可以由系统保护配置信息、业务保护配置信息以及业务内容特征签名组成。其中,业务保护配置信息和业务内容特征签名共同构成业务内容特征签名信息。于本实施例中,系统保护配置信息包含传输帧延迟,标识本广播内容特征保护信息段所包含的业务内容特征签名信息所对应的传输帧,例如,如果为l,则标识此信息段为前一传输帧的特征,该传输帧延迟的值可由配置服务器在控制信息中设定;以及业务数量,表示业务数量,该信息可由复用帧MFO的控制信息表中获得。业务保护配置信息则用于分别描述对应业务的属性信息,其可以包括业务标识,标识其后各字段所描述的信息对应于哪一个业务;起始播
9放时间,表示该业务对应的复用子帧的起始播放时间;如复用子帧帧头不包括起始播放时间,此字段应为O,此字段用于同步广播内容和业务的内容特征信息;视频保护标识,标识计算对应于该业务的业务内容特征签名时是否包括视频单元长度列表,1表示包括,O表示不包括;以及音频保护标识,标识计算对应于该业务的业务内容特征签名时是否包括音频单元长度列表,1表示包括,O表示不包括。表1所示为本发明一实施例的广播内容特征保护信息的组成。 表l广播内容特征保护信息
语法位数
广播内容特征保护信息0
保留
传输帧延迟
业务数量(n)for (i = 0; i<n;
业务标识
起始播放时间
:枧频保护标识
音频保护标识
保留
++)
if (视频保护标识==1
音频保护
标识==1)
业务内容特征签名
448
16
32
1
1
6
可变
10
业务内容特征签名是用来在终端验证对应业务内容特征的数据完整性的。于本发
明一实施例中,如表2所示,业务的业务内容特征签名的对象可以包括用于同步安全广播
信息与广播内容特征签名的时间戳、系统保护配置信息、业务保护配置信息以及该业务的
内容特征。举例来说,系统保护配置信息包含传输帧延迟以及业务数量,业务保护配置信息
包含业务标识、起始播放时间、视频保护标识以及音频保护标识。业务的内容特征应为可以
体现该业务的内容实时变化的属性的信息,例如起始播放时间、特定字段的长度或是特定
字段的内容等,具体选择对哪些属性信息进行签名可根据需要设定。于本实施例中,业务
的内容特征包含有视频子单元数量,表示业务标识对应的复用子帧中视频子单元的总数;
音频子单元数量,表示业务标识对应的复用子帧中音频子单元的总数;视频单元长度,表示
视频单元的长度,单位为字节;以及音频单元长度,表示音频单元的长度,单位为字节。如图
2所示,上述各项信息可通过读取该业务对应的复用子帧的视频段头、音频段头获得或是依
据视频段头和音频段头的信息进行简单运算即可获得。表2所示为本发明一实施例的业务
内容特征签名的签名对象。 表2业务内容特征签名对象
语法位数
签名对象() 时间戳
40
保留4
传输帧延迟4
业务数量(n)8
业务标识16
起始播放时间32
视频保护标识1
音频保护标识1
保留6
if (视频保护标识== 视频单元数量(Vn)1)
8
for (j=0; j<Vn;
视频单元长度16
12if (音频保护标识==1)
音频单元数量(An)8
for (j=0; j<An; j++)
音频单元长度16 需要说明的是,上述有关安全广播信息、广播内容特征保护信息以及业务内容特 征签名对象的描述均为示例性的,在实际的应用中,可根据使用情形重新配置或者做适应 性的增加或删减。举例来说,业务内容特征签名对象可以不包括起始播放时间、时间戳,也 可以添加数据子单元数以及音频单元长度等可以代表或反映相应业务不管变化的内容特 征的信息。另一方面,若各个业务的业务内容特征签名信息都分开放置在相应的复用子帧 中,则业务内容特征签名信息中可以包含系统保护配置信息也可以不包含系统保护配置信 息。若不包含,则系统保护配置信息可以放在安全广播信息的附加数据段中或是放在控制 信息表中。 以下将结合图4与图5说明本发明一实施例产生以及验证安全广播信息的流程。
图4为说明前端子系统在广播业务内容中插入安全广播信息的步骤的流程图。首 先,在步骤S401中,前端子系统依据系统实时时钟产生图3所示的时间戳,以标识安全广播 数据的产生时间。接着,在步骤S402中,前端子系统接收广播信道控制信息(即前面提到 的承载于复用帧MFO中的控制信息表)。随后,在步骤S403中,根据存储于前端子系统的第 一前端私钥对时间戳以及广播信道控制信息进行签名运算以产生安全广播签名。当然,安 全广播签名对象也可以包含有安全广播配置信息,例如标志、版本号以及相应控制信息表 的保护标识。若是采用可变的前端私钥来进行签名运算,则安全广播配置信息还应该包括 标识终端在验证安全广播签名时应使用的公钥的前端公钥索引,前端公钥通常是以前端证 书的形式传输给终端。于本实施例中,前端证书可以承载于附加数据段中传输至终端。由 于在本实施例的后续步骤中产生安全广播信息时还需要组合业务内容特征签名,因而安全 广播签名对象还可以包括附加数据段的属性信息,例如附加数据段数量、附加数据段长度 以及附加数据段标识。再者,若业务内容特征签名信息与安全广播签名信息分开放置,则安 全广播签名对象可以包含表示业务内容特征签名信息是否封装于附加数据段中的存在标 识以及表示业务内容特征信息长度的字段。在获得安全广播签名后,执行步骤S404,前端 子系统自广播业务内容中提取各个业务的内容特征,例如该业务的视频子单元数量、音频 子单元数量、视频单元长度、以及音频单元长度。接着,在步骤S405中,根据存储于前端子
13系统的第二前端私钥分别对各个业务的内容特征进行签名运算以产生多个业务内容特征 签名。事实上,如前所述,业务内容特征签名的签名对象除业务的内容特征外还可以包括步 骤S401中产生的时间戳、系统保护配置信息,例如传输帧延迟和业务数量、以及业务保护 配置信息,例如业务标识、起始播放时间、视频保护标识、视频保护标识等。在步骤S405之 后,前端子系统执行步骤S406,组合时间戳、安全广播签名信息以及业务内容特征签名信息 以产生安全广播信息。对于本领域一般技术人员来说,很容易了解若在步骤S403和步骤 S405产生安全广播签名以及业务内容特征签名时的签名对象包括有附加数据段属性信息 以及配置信息,即安全广播配置信息、系统保护配置信息以及业务保护配置信息,则在产生 安全广播信息时也应组合上述配置信息,以使终端可以验证安全广播签名和业务内容特征 签名。在步骤S406之后,前端子系统执行步骤S407,复用并发射控制信息、安全广播信息以 及广播业务内容。 请参阅图5,图5为说明终端提取和验证安全广播信息的步骤的流程图。
首先,在步骤S501中,终端对接收到的信道码流进行解复用操作,以提取广播信 道控制信息(步骤S502)以及安全广播信息(S503)。当然,广播信道控制信息有可能不是 经常变化的,因而可以预置在终端或是在启动后将接收到的第一个传输帧的广播信道控制 信息存储下来,而不用再次从信道码流中提取。接着,终端执行步骤S504,判断安全广播信 息是否存在且合法。于本实施例中,终端会从以下几个方面判断安全广播签名信息是否存 在且合法复用帧中的频点信息和实际接收频点是否一致;安全广播信息是否存在且格式 正确;安全广播信息中的时间戳是否晚于已接收到的时间戳;两次时间戳的接收时间间隔 和时间戳本身间隔一致;时间戳和终端系统时间没有较大误差;以及安全广播签名正确。 若上述任何一项校验失败,则认为安全广播信息未通过校验。在校验安全广播签名是否正 确时,终端会利用包含有第一前端公钥的第一前端证书来验证安全广播签名是否与安全广 播签名对象(即广播信道控制信息以及提取到的安全广播信息)相匹配。具体如何通过 上述三项信息来验证安全广播签名,属于本领域一般技术人员的公知常识,此处不再详述。 若通过上述几项校验判断出安全广播信息存在且合法,则执行步骤S505,反之,则执行步骤 S513,停止播放广播内容。在步骤S505中,终端自安全广播信息或是其他信息段中提取出 业务内容特征签名信息。在步骤S506中,终端判断提取出的业务内容特征签名信息(若包 含多个业务/节目,则应将这些业务的业务内容特征签名信息都提取出来)是否包含待播 放业务(节目)的业务内容特征签名信息,即判断业务内容特征签名信息中是否有待播放 业务的业务标识与/或与该业务标识相对应的业务内容特征签名。若提取出来的业务内容 特着签名信息包含有待播放业务的业务内容特征签名信息,则执行步骤S507,否则执行步 骤S513,停止播放节目。在步骤S507中,终端自接收的广播业务内容中提取出待播放节目 的内容特征,例如视频子单元数量、音频子单元数量、视频单元长度以及音频单元长度等前 端子系统在产生业务内容特征签名时也需要提取的内容特征。随后,终端执行步骤S508、 S512以及S509,以验证对应于待播放节目的业务内容特征签名信息。具体来说,终端在步 骤S508中,对相应于该待播放节目的内容特征进行CRC校验,即对复用子帧头、视频段头、 音频段头和数据段头进行CRC校验以判断待播放节目的内容特征中是否存在传输误码。若 CRC校验错误,则认为该业务的内容特征中存在传输误码,并执行步骤S512,继续判断是否 出现连续一定时间(例如3秒)的误码,若是,则执行步骤S513停止播放节目。若在步骤S512中,尚未出现连续一定时间的误码,则执行步骤S511,正常播放节目。若在步骤S518 中,终端接收到的待播放业务的内容特征并不存在传输误码,则执行步骤S509,利用存储 于终端的包含有第二前端公钥的第二前端证书、业务内容特征签名以及业务内容特征签名 对象(即待播节目的内容特征、系统保护配置信息以及对应于待播节目的业务保护配置信 息)来判断业务内容特征签名是否通过验证,若验证通过则播放节目(步骤S511),否则停 止播放节目(步骤S513)。需要说明的是,本发明一实施例所述的终端在停止播放节目时可 以不显示或播放任何来自广播信息的内容。 以下将结合图6与图7说明本发明一实施例的多媒体广播系统的前端子系统以及 终端的结构框图。 于本实施例中,多媒体广播系统IOO由前端子系统600、信道(未图示)以及耦接 至信道的终端700组成。如图6所示,本发明一实施例的前端子系统600包括安全广播签 名信息产生模块610、业务内容特征签名信息产生模块620、证书控制模块630、安全广播信 息组合模块640以及复用单元650。 证书控制模块630用于提供第一前端证书与第二前端证书以及第一、第二前端证 书的相关控制信息(更新与撤销)给安全广播签名信息产生模块612以及安全广播信息组 合模块640。为简化说明,本实施例中假设用于验证安全广播签名的第一前端公钥可以更新 或撤销,而用于验证业务内容特征签名的第二前端公钥不需要更新,前端子系统600广播 一次即可。这样一来,当第一前端证书需要更新或撤销时,证书控制模块630需要将第一前 端证书与/或第二前端证书的相关控制信息(例如前端标识以及前端公钥索引)输出至安 全广播签名信息产生模块610以及安全广播信息组合模块640。 安全广播签名信息产生模块610由时间戳产生单元612、安全广播签名产生单元 614以及第一私钥存储单元616组成。时间戳产生单元612根据实时时钟产生一时间戳, 并将该时间戳发送给安全广播签名产生单元614。时间戳的格式如图3所示,且已在前叙 述,因而此处略去。安全广播签名产生单元614不仅接收时间戳产生单元612送出的时间 戳,还需要接收私钥存储单元616送出的第一前端私钥以及时间戳之外的其他的安全广播 签名对象,例如广播信道控制信息(即前面所述的承载于复用帧MFO中的控制信息表)、安 全广播配置信息、证书控制模块630送出的第一、第二前端证书与/或证书控制信息以及业 务内容特征签名信息产生模块620送出的业务内容特征签名信息,以产生安全广播签名信 息。 业务内容特征签名信息产生模块620包含有第二私钥存储单元622、特征签名信 息产生单元624以及内容特征提取单元626。第二私钥存储单元622用于存储并输出第二 前端私钥给特征签名信息产生单元624。内容特征提取单元626用于自接收的广播业务内 容中提取每个业务(节目)的能够表现出内容快速变化的属性的内容特征,例如视频子单 元数量、音频子单元数量、视频单元长度、音频单元长度等等。特征签名信息产生单元624
用于依据第二前端私钥对业务内容特征签名对象进行签名运算以产生相应业务的业务内 容特征签名,并组合这些业务内容特征签名以及特征信息保护配置以产生业务内容特征签 名信息。于本实施例中,业务内容特征签名对象为业务内容特征以及特征信息保护配置。特 征信息保护配置即前面提到的系统保护配置信息,如传输帧延迟、业务数量,以及对应到每 个业务的业务保护配置信息,如业务标识、起始播放时间、视频保护标识、音频保护标识等
15CN 101729501 A
说明书
11/12页 信息。业务数量也可以由内容特征提取单元626自广播业务内容中获得。 安全广播信息组合模块640用于将接收的证书、安全广播签名信息以及业务内容
特征签名信息组合为安全广播信息,其中业务内容特征签名信息以及证书置于安全广播信
息的附加数据段中。 复用单元650用于接收广播业务内容以及安全广播信息,以按照一定规则复用并 发射广播业务内容和安全广播信息。 图7所示为本发明一实施例的接收终端的示意性框图。如图7所示,终端700包 含解复用单元710以及校验模块727。解复用单元710用于自信道接收前端子系统600发 射的信道码流,并自信道码流中提取出各个业务的业务内容特征签名信息、安全广播信息 以及广播业务内容。校验模块720用于校验业务内容特征签名信息以及安全广播信息,并 依据校验结果决定是否播放广播业务内容。 校验模块720包含安全广播信息验证单元721、证书存储单元722、特征签名信息 验证单元723、特征提取单元724、第一开关单元726以及第二开关单元727。证书存储单元 722用于输出第一前端证书以及第二前端证书给安全广播信息验证单元721和特征签名信 息验证单元723,第一前端证书中包含与第一前端私钥对应的第一前端公钥,第二前端证书 中包含与第二前端私钥对应的第二前端公钥。安全广播信息验证单元721用于接收第一前 端证书,广播信道控制信息以及安全广播信息,并判断安全广播签名信息是否存在且合法, 具体验证的步骤请参图5的相应说明。安全广播信息验证单元721还依据验证结果发送一 第一控制信号来控制第一开关单元726的状态。举例来说,若安全广播信息不存在或是不 合法,则发出值为"l"的第一控制信号使第一开关单元726处于关断状态,以阻止终端700 播出任何来自广播信道的内容。若安全广播信息通过了验证,则安全广播信息验证单元721 会发出值为"0"的第一控制信号,使得特征提取单元724可以自广播业务内容中提取待播 放业务/节目的内容特征,例如视频子单元数量、音频子单元数量、视频单元长度以及音频 单元长度。特征签名信息验证单元723用于接收第二前端证书、待播业务的内容特征以及 各业务的业务内容特征签名信息,并判断待播业务的内容特征签名信息是否存在且正确无 误。进一步来说,特征签名信息验证单元723包含特征签名验证单元725以及策略控制单 元726。特征签名验证单元725用于判断接收到的业务内容特征签名信息中是否包含待播 放节目的业务内容特征签名信息,以及利用证书存储单元722发出的第二前端证书验证待 播放业务的业务内容特征签名是否与签名对象(待播放业务的内容特征以及特征信息保 护配置)相匹配。其具体的验证步骤已在图5中的相应段落有说明,此处不再复述。策略 控制单元726用于对待播业务的内容特征进行CRC校验,即读取待播放业务的复用子帧头、 视频段头、音频段头和数据段头,并进行CRC校验。策略控制单元726将根据CRC校验结果 以及特征签名验证单元725输出的验证结果控制第二开关单元727的状态。举例来说,若 业务内容特征签名信息中未包含待播放业务的特征签名信息,则送出值为"l"的第二控制 信号使第二开关单元727处于关断状态,避免终端700播出广播业务内容;若业务内容特征
签名信息中包含待播放业务的相关特征签名信息且与待播放业务的内容特征相匹配,则输 出值为"0"的第二控制信号使第二开关单元727处于闭合状态,促使终端700播出广播节 目;若业务内容特征签名信息中包含待播放业务的相关特征签名信息但与待播放业务的内 容特征不匹配,且待播业务的内容特征CRC校验成功,则输出值为"l"的第二控制信号至开
16关727,使终端700停止播放广播节目;以及业务内容特征签名信息中包含待播放业务的相 关特征签名信息但与待播放业务的内容特征不匹配,若上述CRC校验错误,且此种情形已 连续出现一定时间(例如3秒),则输出值为"l"的第二控制信号使开关727关断,若上述 CRC校验错误,但此种情形并未持续该一定时间,则输出值为"O"的第二控制信号来闭合开 关727,使终端700可以播放节目内容。 以上所述仅为本发明较佳实施例,然其并非用以限定本发明的范围,任何熟悉本 项技术的人员,在不脱离本发明的精神和范围内,可在此基础上做进一步的改进和变化,因 此本发明的保护范围当以本申请的权利要求书所界定的范围为准。
权利要求
一种在多媒体广播系统中提供安全广播的方法,其特征在于,包括利用前端子系统自多媒体广播信息中提取广播信道控制信息以及业务的内容特征,依据所述内容特征产生业务内容特征签名信息,依据所述广播信道控制信息以及所述业务内容特征签名信息产生安全广播签名信息,组合所述安全广播签名信息以及业务内容特征签名信息产生所述安全广播信息,以及将所述安全广播信息以一定规则插入所述多媒体广播信息中;以及利用终端接收承载所述多媒体广播信息的信道码流,并对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的合法性与完整性。
2. 如权利要求1所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 业务的内容特征包含所述业务的起始播放时间、视频子单元数量、音频子单元数量、视频单 元长度和音频单元长度中的任意一个或多个。
3. 如权利要求1所述的在多媒体广播系统中提供安全广播的方法,其特征在于,步骤 依据所述业务的内容特征产生业务内容特征签名信息进一步包括接收特征信息保护配置;对所述特征信息保护配置与内容特征施加数字签名以产生业务内容特征签名; 组合所述业务内容特征签名以及所述特征信息保护配置以产生所述业务内容特征签 名信息。
4. 如权利要求3所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 步骤对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的 合法性与完整性进一步包括对所述安全广播信息中包含的业务内容特征签名信息进行验 证以确定所述多媒体广播信息的完整性。
5. 如权利要求4所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 步骤对所述业务内容特征签名信息进行验证以确定所述多媒体广播信息的完整性进一步 包括提取待播放业务的内容特征;判断所述业务内容特征签名信息是否包含所述待播放业务的业务标识,若否,则停止 播放所述多媒体广播信息;判断所述待播放业务的内容特征是否存在传输误码;若所述待播放业务的内容特征存在传输误码,且所述情形持续一特定时间,则停止播 放所述多媒体广播信息;以及若所述待播放业务的内容特征不存在传输误码,判断所述业务内容特征签名是否正 确,若所述业务内容特征签名不正确,则停止播放所述多媒体广播信息。
6. 如权利要求5所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 步骤判断所述业务内容特征签名是否正确进一步包括获取第二前端证书;以及利用所述第二前端证书验证待播放业务的内容特征是否与所述业务内容特征签名相 匹配。
7. 如权利要求3所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述业务特征信息保护配置包含下列各项中的一个或多个传输帧延迟,用于标识所述安全广播信息所包含的业务内容特征签名信息所对应的传 输帧;业务数量,用于表示所述传输帧所承载的业务的数目; 业务标识,用于标识所述业务内容特征签名所对应的业务;视频保护标识,用于标识在计算所述业务内容特征签名时是否包含视频单元长度信 息;以及音频保护标识,用于标识在计算所述业务内容特征签名时是否包含音频单元长度信息。
8. 如权利要求1所述的在多媒体广播系统中提供安全广播的方法,其特征在于,步骤 依据所述广播信道控制信息以及所述业务内容特征签名信息产生安全广播签名信息进一 步包括依据实时时钟产生时间戳,用于标识所述安全广播信息产生的时间; 接收安全广播配置信息; 获得所述业务内容特征签名信息的长度;对所述广播信道控制信息、时间戳、安全广播配置信息以及特征签名信息段的长度进 行签名运算以产生安全广播签名;以及组合所述安全广播签名、时间戳、安全广播配置信息、以及特征签名信息段长度以产生 所述安全广播签名信息。
9. 如权利要求8所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 步骤对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的 合法性与完整性进一步包括对所述安全广播签名信息进行验证以确定所述多媒体广播信 息的合法性。
10. 如权利要求9所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 步骤对所述安全广播签名信息进行验证以确定所述多媒体广播信息的合法性包括判断所述安全广播签名信息是否存在; 判断所述时间戳是否晚于已接收到的时间戳;以及 判断所述安全广播签名是否正确,其中,若上述三项判断中有任何一项为否,则认为所述安全广播签名信息未通过验证, 并停止播放所述多媒体广播信息。
11. 如权利要求io所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述步骤判断所述安全广播签名是否正确进一步包括 获得第一前端证书;自所述多媒体广播信息中提取广播信道控制信息;以及利用所述第一前端证书验证所述广播信道控制信息是否与所述安全广播签名匹配。
12. 如权利要求8所述的在多媒体广播系统中提供安全广播的方法,其特征在于,所述 安全广播配置信息包含下列各项中的一个或多个标志,用于标识所述安全广播信息; 版本号,用于标识所述安全广播信息的版本号;控制信息表保护标识,用于标识在计算所述安全广播签名时应包括的广播信道控制信息。
13. —种在多媒体广播信息中提供并验证安全广播信息的广播系统,其特征在于,包括 前端子系统,其包括安全广播签名信息产生模块,用于对接收的广播信道控制信息施加签名以产生安全广 播签名信息;业务内容特征签名信息产生模块,用于自接收到的多媒体广播信息中提取业务内容特 征,并对所述业务内容特征施加签名以产生业务内容特征签名信息;以及安全广播信息组合模块,用于组合所述安全广播签名信息以及业务内容特征签名信息 以产生所述安全广播信息;以及终端,用于接收承载所述多媒体广播信息的信道码流,并对所述信道码流中包含的安 全广播信息进行校验以判断所接收的多媒体广播信息的合法性与完整性。
14. 如权利要求13所述的广播系统,其特征在于,所述业务的内容特征包含所述业务的起始播放时间、视频子单元数量、音频子单元数量、视频单元长度和音频单元长度中的任 意一个或多个。
15. 如权利要求13所述的广播系统,其特征在于,所述终端包括解复用单元,用于自所述多媒体广播信息中提取安全广播信息,其中所述安全广播信 息包含安全广播签名信息、业务内容特征签名信息以及广播信道控制信息;安全广播信息验证单元,用于对所述安全广播签名信息进行验证以确定所述多媒体广 播信息的合法性;以及特征签名信息验证单元,用于对所述业务内容特征签名信息进行验证以确定所述多媒 体广播信息的完整性。
16. 如权利要求15所述的广播系统,其特征在于,所述安全广播签名信息包含时间戳、 安全广播配置信息以及安全广播签名。
17. 如权利要求16所述的广播系统,其特征在于,所述终端的安全广播信息验证单元 通过以下三项判断来确定所述多媒体广播信息的合法性判断所述安全广播签名信息是否存在; 判断所述时间戳是否晚于已接收到的时间戳;以及 判断所述安全广播签名是否正确,其中,若上述三项判断中有任何一项为否,则认为所述安全广播签名信息未通过验证, 并停止播放所述多媒体广播信息。
18. 如权利要求16所述的广播系统,其特征在于,所述终端还包括第一开关单元,耦接于所述安全广播信息验证单元,用于依据所述安全广播签名信息 的验证结果决定是否播放所述多媒体广播信息;特征提取单元,耦接于所述第一开关单元以及所述特征签名信息验证单元,用于自所 述多媒体广播信息中提取待播放业务的内容特征;以及第二开关单元,耦接于所述特征签名信息验证单元,其中,所述特征签名信息验证单元根据其验证结果控制所述第二开关单元的状态。
19. 如权利要求18所述的广播系统,其特征在于,所述业务内容特征签名信息单元用于判断所述业务内容特征签名信息是否包含所述待播放业务的业务标识,若否,则关断 所述第二开关单元,以停止播放所述多媒体广播信息;判断所述待播放业务的内容特征是否存在传输误码,若所述待播放业务的内容特征存 在传输误码,且所述情形持续一特定时间,则关断所述第二开关单元,以停止播放所述多媒 体广播信息;以及若所述待播放业务的内容特征不存在传输误码,判断所述业务内容特征签名是否正 确,若所述业务内容特征签名不正确,则关断所述第二开关单元,以停止播放所述多媒体广播信息。
全文摘要
本发明提供一种在多媒体广播系统中提供安全广播的方法,其包括利用前端子系统自多媒体广播信息中提取广播信道控制信息以及业务的内容特征,依据所述内容特征产生业务内容特征签名信息,依据所述广播信道控制信息以及所述业务内容特征签名信息产生安全广播签名信息,组合所述安全广播签名信息以及业务内容特征签名信息产生所述安全广播信息,以及将所述安全广播信息以一定规则插入所述多媒体广播信息中;以及利用终端接收承载所述多媒体广播信息的信道码流,并对所述信道码流中包含的安全广播信息进行校验以判断所接收的多媒体广播信息的合法性与完整性。
文档编号H04L29/06GK101729501SQ20081017270
公开日2010年6月9日 申请日期2008年11月3日 优先权日2008年11月3日
发明者解伟, 陈国源 申请人:国家广播电影电视总局广播科学研究院;解伟;陈国源