专利名称:一种数字多媒体文件下载或节目点播授权方法
技术领域:
本发明属于数字多媒体非实时传播领域,尤其涉及一种数字多媒体文件下载或节目点播授权方法。
背景技术:
随着节目制作、节目传输、节目存储数字化后,节目内容的安全一直是内容提供商关心的问题。特别是高清数字节目的播出,内容安全问题更加突出,只有保护节目内容安全,才能维护内容提供商的合法利益,才能提高内容制作者的创作积极性。
目前存在的多媒体文件保护技术都是针对某一种应用,与应用环境和应用协议结合非常紧密,并且缺乏完整独立的安全框架,在实施上也比较复杂。
发明内容
本发明的目的在于提供一种数字多媒体文件下载或节目点播授权方法,旨在解决现有技术缺乏对点播/下载的多媒体文件提供一个完整、独立、实施简单的安全保护框架的问题
本发明的目的是这样实现的
一种数字多媒体文件下载或节目点播授权方法,所述方法包括下述步骤
A、 多媒体服务端预先产生内容加密密钥(CEK),所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器;
B、 用户在成功申请开通多媒体非实时业务时获取身份凭证,所述凭证中至少携带有该用户的终端身份密钥(TIK)及服务端的系统身份密钥(SIK)信息;
c、用户终端通过所述身份凭证向服务端申请注册,双方相互验证对方的合法性,完成
用户注册和业务定购,服务端向注册用户终端分发用户授权消息,所述用户授权消息携带有相应用户的个人密钥或组密钥(PK或GK),所述PK或GK采用相应用户的TIK进行加密;
D、 用户终端通过节目菜单选择所要点播或下载的节目,并向服务端发送点播/下载节目申请;
E、 用户终端向服务端请求所选多媒体文件的内容授权消息,服务端对所述用户终端进行身份认证,并向通过认证的用户终端发送携带有与该用户终端点播或下载的多媒体文件对应的并经该用户对应的PK/GK加密后的CEK信息的内容授权消息;
F、 用户终端通过TIK解密获取所述PK/GK,通过该PK/GK解密获取所述CEK,通过该CEK解密并收看点播的节目流或下载的媒体文件。
所述TIK和SIK均为基于公开密钥体制生成的非对称密钥,所述步骤B包括下述步骤服务端和用户终端分别产生并存储SIK的公开/私有密钥对(SIKpri/SIKpub)和TIK的公
开/私有密钥对(TIKpri/TIKpub);
服务端将TIKpub导出并存储至本地服务器中,并将SIKpub离线写入用户的身份凭证中;服务端将携带有TIK的公开/私有密钥对(SIKpri/SIKpub)和SIKpub信息的身份凭证分
发给用户。
所述PK/GK采用TIKpub进行加密,用户终端采用TIKpri解密获取PK/GK。所述PK/GK还采用SIKpri签名保护后再传输给用户终端,用户终端采用SIKpub对签名进行验证。
所述授权消息中,还包括所述用户终端选择的点播或下载媒体文件的权限信息,以及CEK明文的散列运算值。
CEK随点播/下载的节目内容一起分发,或者在节目点播前、下载前/后独立分发。用户根据需求可申请一个PK和/或一个GK,也可同时拥有多个GK。对个人用户授权时使用PK对CEK进行加密,对组用户授权时使用GK对CEK进行加密。一个点播媒体或一个下载媒体文件有独立的CEK或者采用多个CEK加密。所述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
本发明的突出优点是本发明通过采用三层密钥体系和基于密钥的用户授权,并采用对称和非对称混合密码体制,所有密钥都是采用逐层保护方式授权分发,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
图l是本发明实施例提供的数字多媒体文件下载或节目点播授权方法的时序图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图l示出了本发明实施例提供的数字多媒体文件下载或点播授权方法的实现时序,详述如下
1、 用户申请开通多媒体非实时业务(点播和/或下载多媒体)。
2、 多媒体服务端以离线方式向申请成功的用户分发身份凭证,该凭证中包含有用户的终端身份密钥(TIK)信息、服务端的系统身份密钥(SIK)信息,以及其它相关控制参数信息。
3、 用户终端通过所述身份凭证在线/离线向服务端注册,双方相互验证对方身份的合法性,完成用户注册和业务定购。
4、 服务端对合法用户产生与之对应的个人密钥/组密钥(PK/GK),并采用TIK对PK/GK进行加密。
5、 服务端向用户终端发送用户授权消息,所述用户授权消息中携带有加密后的PK/GK信息。
6、 用户终端通过身份凭证中的TIK解密获得PK/GK信息,并存储。
7、 服务端预先产生内容加密密钥(CEK),所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器。
8、 用户终端可以通过节目菜单选择所要点播或下载的节目,并可以随意申请点播或下载上述加密后的多媒体文件。
9、 用户终端向服务端请求与所点播或下载的多媒体文件对应的内容授权消息。
10、 服务端对用户终端进行身份认证,并向通过认证的用户终端发送内容授权消息,该消息中携带有与该用户终端所选的多媒体文件对应的并采用与该用户对应的PK/GK加密后的CEK信息,以及该用户终端使用点播或下载的媒体文件的权限(如播放次数、播放时间等控制信息)。
11、 用户终端采用PK/GK解密获得所述CEK,再使用CEK解密收看下载的多媒体文件或点播的多媒体节目流。
在本发明实施例中,上述TIK和SIK均是基于椭圆曲线(ECC)算法或其它公开密钥算法生成的非对称密钥,由用户终端和服务端分别产生和保存。服务端在用户终端生成TIK密钥对(TIKpri, TIKpub)时,将TIKpub导出并存储至本地服务器中,并将本地生成的SIK密钥对(SIKpri, SIKpub)中的SIKpub离线写入用户的身份凭证中。TIK/SIK的更新间隔时间可以比较长(例如2年)。
上述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
PK/GK代表用户所拥有的授权,其中,PK密钥针对个人用户授权,GK密钥针对用户组授权, 一个组的所有用户将拥有一致的GK。用户只有获得了相应授权即成为运营商信任的客户,才有资格成为合法的PK/GK授权客户。用户根据需求既可单独申请PK或GK,也可同时拥有多个GK。 PK/GK随用户或用户组收视权限(由付费情况决定)的存在而有效,在权利连续期内其更新间隔时间为l-2年。PK/GK的分发是在用户身份公钥(TIKpub)的加密保护下从前端系统在线或离线发送到用户终端,用户终端采用TIKpri解密而获得PK/GK。
CEK用于实现点播媒体流和下载媒体内容的加密。 一个点播媒体节目流或一个下载媒体文件有独立的CEK,也可一个点播媒体节目流或一个下载媒体文件采用多个CEK加密。CEK只分发给拥有点播或下载业务的PK/GK授权的用户, 一般不需要时常变换。CEK在分发前由用户完成业务申请、身份认证、权限确认等规范流程之后才进行。对合法用户分发CEK时,CEK在PK或GK密钥加密保护下以授权消息文件的形式从服务端授权系统分发给用户,CEK的分发是一次性的,但可多次申请。CEK可以随节目内容一起分发,也可以在内容发布以后独立分发
无论需要有多少业务,每个用户只能持有唯一的TIK、 PK (针对个人用户),但由于所服务业务的不同,每个用户的GK (针对组用户)、CEK却可以申请多个,这是根据用户享有的权利决定。
作为本发明的一个优选实施例,在上述步骤4中,PK/GK除了采用TIKpub加密外,还采用SIKpri签名保护后再传输给用户终端,用户终端也将采用SIKpub对签名进行验证。同样的,发送给用户终端的授权消息中,除了包括加密后的CEK密文,还包括CEK明文的散列运算值,以使接收方可据此验证接收密钥的机密性、完整性和来源可靠性。
本发明实施例通过采用三层密钥体系和基于密钥的用户授权,并采用对称和非对称混合密码体制,所有密钥都是采用逐层保护方式授权分发,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种数字多媒体文件下载或节目点播授权方法,其特征在于,所述方法包括下述步骤A、多媒体服务端预先产生内容加密密钥(CEK),所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器;B、用户在成功申请开通多媒体非实时业务时获取身份凭证,所述凭证中至少携带有该用户的终端身份密钥(TIK)及服务端的系统身份密钥(SIK)信息;C、用户终端通过所述身份凭证向服务端申请注册,双方相互验证对方的合法性,完成用户注册和业务定购,服务端向注册用户终端分发用户授权消息,所述用户授权消息携带有相应用户的个人密钥或组密钥(PK或GK),所述PK或GK采用相应用户的TIK进行加密;D、用户终端通过节目菜单选择所要点播或下载的节目,并向服务端发送点播/下载节目申请;E、用户终端向服务端请求所选多媒体文件的内容授权消息,服务端对所述用户终端进行身份认证,并向通过认证的用户终端发送携带有与该用户终端点播或下载的多媒体文件对应的并经该用户对应的PK/GK加密后的CEK信息的内容授权消息;F、用户终端通过TIK解密获取所述PK/GK,通过该PK/GK解密获取所述CEK,通过该CEK解密并收看点播的节目流或下载的媒体文件。
2.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其 特征在于,所述TIK和SIK均为基于公开密钥体制生成的非对称密钥,所述步骤B包括下述步 骤服务端和用户终端分别产生并存储SIK的公开/私有密钥对(SIKpri/SIKpub)和TIK的 公开/私有密钥对(TIKpri/TIKpub);服务端将TIKpub导出并存储至本地服务器中,并将SIKpub离线写入用户的身份凭证中服务端将携带有TIK的公开/私有密钥对(SIKpri/SIKpub)和SIKpub信息的身份凭证分发给用户。
3.如权利要求2所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK采用TIKpub进行加密,用户终端采用TIKpri解密获取PK/GK。
4.如权利要求2所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK还采用SIKpri签名保护后再传输给用户终端,用户终端采用SIKpub对签名进行验证。
5.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述授权消息中,还包括所述用户终端选择的点播或下载媒体文件的权限信息,以及CEK明文的散列运算值。
6.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于,CEK随点播/下载的节目内容一起分发,或者在节目点播前、下载前/后独立分发
7.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于,用户根据需求可申请一个PK和/或一个GK,也可同时拥有多个GK。
8.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于,对个人用户授权时使用PK对CEK进行加密,对组用户授权时使用GK对CEK进行加密
9.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于, 一个点播媒体或一个下载媒体文件有独立的CEK或者采用多个CEK加密。
10.如权利要求l所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
全文摘要
本发明适用于数字多媒体非实时传播领域,提供了一种数字多媒体文件下载或节目点播授权方法,所述方法采用身份密钥(包含系统身份密钥SIK和终端身份密钥TIK)、用户授权密钥(包含个人密钥PK/组密钥GK)和内容加密密钥(CEK)的三层密钥体系,所有密钥都是采用逐层保护方式授权分发,并采用对称和非对称混合密码体制,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
文档编号H04L9/32GK101552793SQ200910301939
公开日2009年10月7日 申请日期2009年4月29日 优先权日2009年4月29日
发明者周明权, 王孙谷, 肖红跃 申请人:成都卫士通信息产业股份有限公司