专利名称:数据流的加密、解密方法和装置的制作方法
技术领域:
本发明涉及数据加密技术,特别涉及数据流的加密和解密方法,以及加密和解密装置。
背景技术:
随着音频和视频信息的数字化,以及计算机和网络技术的发展,通过网络将数字化的音频和视频作品以数据流(例如,MPEG、MP3等格式的数据流)的形式分发给用户的方式被广泛采用,并且可以预计在今后还将继续发展。随之产生的是,对于这些在网络环境中传播的数据流的保护问题。
这种对于网络环境中传播的数据流的保护,通常是通过加密的方法实现的。目前,人们已经提出了多种对于MPEG数据流的加密方法,例如,朴实算法(Naive Algorithm)、选择性算法(Selective Algorithm)、曲折排列算法(ZigZag-Permutation Algorithm)等。这些算法提出了一系列,由简单到复杂的针对数据流的加密方法。
但是,这些以往的数据流的加密方法,对于一个数据流,通常采用一个单一的策略进行加密,并没有考虑在数据流加密和传输过程中接收方、发送方或者接收和发送方之间的信道的情况。这往往会导致资源浪费或者信息再现质量的劣化。
首先,由于加密和解密操作是非常消耗系统资源的,包括,发送方和接收方的处理器的计算能力、存储器的空间以及带宽等。因此,如果不能适时地调整加密和解密的强度以适应当时系统资源消耗的情况,则要么会导致没有充分利用资源得到最佳的保护,要么会导致数据流无法实时地加密和解密从而影响再现质量。
进而,由于网络环境会随时间不断变化从而导致信道质量也会不断变化,例如,信道的误码率、丢包率以及时延等会发生改变,特别是在无线通讯网络环境和因特网这样的广域网络环境中等,这种变化会更大、更显著。因此,如果始终采用同一种加密策略,很有可能会由于无法及时接收足够的用于解密的数据而导致再现质量的劣化。
发明内容
为了解决以上所述现有技术中的问题,根据本发明的一个方面,提供了一种数据流的加密方法,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述方法包括在传输过程中,调整加密属性;根据所述调整后的加密属性,对该数据流进行加密;以及将所述加密的数据流和所述加密属性的信息传送给所述接收方。
根据本发明的另一个方面,提供了一种数据流的解密方法,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述方法包括在接受加密的数据的过程中,接收调整的加密属性;以及根据所述调整的加密属性,对该数据流进行解密。
根据本发明的再另一个方面,提供了一种数据流的加密装置,该数据流至少一部分被加密后经信道从发送方传输到接收方,所述加密装置包括加密属性调整装置,用于在数据流加密和传输的过程中,调整加密属性,生成加密属性信息;以及加密器,用于根据所述加密属性调整装置设定的加密属性,将所述数据流的至少一部分数据执行加密处理。
根据本发明的再另一个方面,提供了一种数据流的解密装置,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述装置包括加密调整信息接收单元,用于接收来自发送方的加密属性信息;以及解密器,用于根据由加密调整信息接收单元接收的加密属性信息,对所述加密的数据流执行解密处理。
根据本发明的再另一个方面,提供了一种数据流的安全发送装置,其特征在于,包括前面所述的加密装置。
根据本发明的再另一个方面,提供了一种数据流的安全接收装置,其特征在于,包括前面所述的解密装置。
根据本发明的再另一个方面,提供了一种数据流的安全传输系统,其特征在于,包括前面所述的安全发送装置、前面所述的安全接收装置以及连接所述安全发送装置和所述安全接收装置的信道。
相信通过以下结合附图对本发明具体实施方式
的说明,能够使人们更好地了解本发明上述的特点、优点和目的。
图1是根据本发明的一个实施例的数据流的加密方法的流程图;图2是根据本发明的另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图;图3是根据本发明的另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图;图4是根据本发明的再另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图;图5是根据本发明的再另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图;图6是现有技术中实现数据流安全传输的系统的结构示意图;图7是根据本发明的一个实施例的数据流安全传输的系统的结构示意图。
具体实施例方式
下面就结合附图对本发明的各个优选实施例进行详细的说明。
图1是根据本发明的一个实施例的数据流的加密方法的流程图。
以往的数据流的加密和解密处理过程,通常是,首先预定一个加密策略;然后发送方按照该策略对全部数据流(朴实算法,Naive Algorithm)或者部分数据流(选择性算法,Selective Algorithm)进行加密,并通过连接发送方与接收方的信道传送给接收方;接收方则按照该预定的加密策略进行解密,并将数据流所传的信息再现。
如图1所示,按照本发明该实施例,在数据流的加密和传输过程中,判断当前复杂性(complexity)是否大于一个预定的上限阈值,步骤105。在本实施例中,当前复杂性是发送方资源消耗和接收方资源消耗的一方或者两方的计量。根据本实施例,当前复杂性可以是发送方的处理器的负载或者存储器的占用情况等,或者是接收方的处理器的负载或者存储器的占用情况等,或者是考虑了接收方和发送方双方的处理器的负载或者存储器的占用情况的一个综合计量。
如果当前复杂性的计量包含了接受方的资源消耗情况时,则需要将接收方的资源消耗信息,例如,上述的处理器负载和存储器占用情况的信息,从接收方反馈给发送方。本领域技术人员,可以想到多种反馈这种信息的方式,例如,利用确认数据包、单独的反向链路、信道等,在此本发明并没有特别限制,只要是发送方能够获得接受方的资源消耗信息即可。
在接收方是处理能力相对弱和存储容量相对小的终端设备的情况下,例如,机顶盒、移动通信终端等,在本实施例中,优选地,当前复杂性应当着重考虑接收方的资源消耗情况,例如接收方的处理器负载情况。因此,相应地,预定的上限阈值,例如可以是80%处理器负载。
接着,如果在步骤105中的判断结果为“是”(例如,接收方的处理器负载超过了80%),则进行步骤110,调整加密属性从而降低资源消耗。在本发明中的加密属性,是指加密算法、加密模式以及加密参数等与加密处理过程相关的可调整属性。已有的数据加密的算法很多,例如,DES、3DES、AES、RC4等;并且,每种算法又包含有不同的加密模式,例如,ECB、CBC、OFB等;另外,对于一些加密算法还包含一些加密参数,例如RC4加密算法通过调整加密参数可以选择不同的密钥长度。不同的加密算法的加密强度是不一样的,进而,相同的加密算法在不同的加密模式或者加密参数下加密强度也是不一样的,相应地,他们对于系统资源的消耗(例如,处理能力、存储空间等)也是不一样的。
本实施例正是利用调整这些加密属性,来调整加密强度,进而使得数据流的加密适应接收方和发送方资源消耗情况和传输信道情况(后面描述),由此实现系统资源、数据安全性(加密强度)以及传输信息再现质量的平衡。具体地,例如,在步骤110中,可以通过将加密算法从“3DES”调整到“DES”,或者通过降低密钥长度等方式,来降低加密和解密所需的计算量,从而降低资源消耗。
接着,如果在步骤105中的判断结果为“否”,则进行步骤115,判断当前复杂性是否小于一个预定的下限阈值。在这里假设,下限域值是50%处理器负载。
接着,如果判断步骤115的判断结果为“是”,则进行步骤120,调整加密属性从而提高加密强度。
本实施例通过步骤115和120,充分利用系统资源来保证数据的安全性,具体地讲,当系统资源的消耗得到了缓解,例如,接收方处理器负载降低到了50%以下,则调整加密属性提高加密强度。
接着,如果在步骤115中的判断结果为“否”,或者经过步骤110或120之后,进行步骤125,判断信道误码率是否增大了一个预定的量。如果步骤125的判断结果为“是”,则进行步骤130,调整加密属性,降低由加密导致的误码扩散。
如果步骤125的判断结果为“否”,则进行步骤135,判断信道误码率是否下降了一个预定的量。如果步骤135的判断结果为“是”,则进行步骤140,调整加密属性,增加由加密导致的误码扩散。
在本申请中,由加密导致的误码扩散是指加密数据中的误码对于解密数据的影响范围。通常,通过调整加密模式可以调整误码扩散,例如,电子密码本模式(ECB,Electronic Code Book),是将加密的数据分成若干块,每块的大小跟加密密钥长度相同,然后每块都用相同的密钥进行加密,因此,误码扩散相当于加密密钥的长度,即一个块。加密块链模式(CBC,Cipher Block Chaining),首先也是将明文分成固定长度(例如64位)的块,然后将前面一个加密块输出的密文与下一个要加密的明文块进行XOR(异或)操作计算,将计算结果再用密钥进行加密得到密文,因此误码扩散相当于两个块。另外,类似地还有加密反馈模式(CFB,Cipher FeedbackMode)、输出反馈模式(OFB,Output Feedback Mode)等等其他的加密模式,他们的误码扩散特性也各不相同。除了加密模式以外,不同的加密算法也可能影响误码扩散,例如,如果采用RC4这样的加密算法,则误码扩散就很小,只相当于误码本身。
一般情况下,误码扩散越大,也就是说,加密数据块之间的关联性越强,破解越困难、安全性越好;但是同时对于信道质量的要求也越高。本实施例的方法,在传输过程中根据当前的信道质量调整误码扩散,从而实现信道质量、数据安全性以及传输信息再现质量的平衡。
可替代地,在步骤135以及步骤130和140中,也可以通过将信道误码率与一组预定的阈值进行比较,来调整加密模式,例如,当信道误码率为10E-4时,采用CBC模式加密,而当信道质量下降,信道误码率上升为10E-3时,采用ECB模式加密以降低误码在加密层的扩散。
如图1所示,如果步骤135的判断为否,或者经过步骤130或140之后,进行步骤145,将调整后的加密属性,与加密的数据流对应地传送到接收方。如果对加密属性进行了调整,则需要将这些调整信息告知接收方,以便接收方能够正确解密。在本实施例中,是将加密属性信息以元数据(metadata)的形式记录在数据包的头段(header)中,并且优选地,该加密属性信息也是被加密的。下面的表1示例性地示出了根据本实施例加密属性信息中包含的内容。
表1,加密属性信息内容
当然,将加密属性信息从发送方传送到接收方的方式有很多,本发明并不限于上述实施例的方式,例如,也可以以单独的数据包的方式或者甚至可以通过另外的信道传送到接收方。
通过上述本发明的方法,由于可以在加密、传输的过程中,根据资源消耗情况和信道质量调整加密策略,在保证发送和接收方系统正常运行的条件下充分地对数据流进行加密,因而可以达到系统性能、数据安全性和数据再现质量的最佳平衡状态。
另外,根据本发明的另一个实施例,提供了一种适用于压缩视频数据流的加密方法。目前使用的视频压缩方法,通常将视频数据以三种类型的帧数据来记载,即,I帧(I-frame)、P帧(P-frame)和B帧(B-frame)。其中,I帧(Intraframe),记录一张完全独立之完整画面;P帧(PredictionFrame),只储存该帧画面与之前已解压的画面之间的分别。B帧(Bi-directional Prediction Frame),与P-Frame原理一样,但除了参考之前解压了的画面外,亦会参考后面未解压的画面。由于不需要储存整幅画面,故所需空间减少了很多。一般MPEG数据流的画面排列次序为IBBPBBPBBPBBPBBIBBPBBP....
从数据安全性的角度考虑,这三种类型的帧数据的相对重要性依次为I帧>P帧>B帧。这是因为,如果没有正确的解密I帧数据,而只获得了P帧或B帧数据,对于整个视频数据流来说也无法正常地再现。在本实施例中,利用了压缩视频数据流的这个特点,分别针对上述三种帧数据调整加密属性,从而更高效率地加密数据流。
图2是根据本发明的另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图。本实施例与前面所述的实施例的区别在于,调整加密属性降低资源消耗的步骤(即,图1中的步骤110)和调整加密属性提高加密强度的步骤(即,图1中的步骤120)。图2示出了本实施的数据流加密方法中调整加密属性降低资源消耗的步骤(步骤110)的详细流程。
如图2所示,如果步骤105(图1)的判断结果为“是”,则首先在步骤205判断B帧数据的加密强度是否已经是最低加密强度。如果步骤205的判断结果为“否”,则进行步骤210,降低B帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤215,判断P帧数据的加密强度是否已经是最低加密强度。
接着,如果步骤215的判断结果为“否”,则进行步骤220,降低P帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤225,判断I帧数据的加密强度是否已经是最低加密强度。
然后,如果步骤225的判断结果为“否”,则进行步骤230,降低I帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则说明对于所有类型帧数据的加密强度都已经降到最低了,这时可以等待系统资源恢复后再进行加密传输,或者以这种最低强度加密的状态继续进行后续的处理过程。
在此,加密强度是指,按照特定加密属性,加密后的数据被破解的困难程度,通常与加密算法的复杂程度、加密模式的复杂程度、密钥的复杂程度等相关联,并且,通常加密强度的提高会导致系统资源消耗的增加。下面的表2示例性地列举了一些现有技术中常用的加密算法和加密模式组合的加密强度的比较。
表2,加密强度比较
在本实施例中,上述最低加密强度可以针对不同类型的帧数据分别设定,并且,优选地,I帧、P帧、B帧的最低加密强度依次降低。另外,最低加密强度也可以是零,即,不加密。例如,根据一个优选实施例的设定,对于I帧的最低加密强度是DES(CBC),对于P帧的最低加密强度是DES(ECB),对于B帧的最低加密强度是“不加密”。这样在系统资源消耗较大的情况下,按照本实施例的方法将针对各个类型的帧的加密强度都调整到最低时,也能够保证重要性高的I帧数据能够得到足够的保护,从而保证整个视频数据流的安全性,同时,由于降低了P帧和B帧数据的加密强度,可以大量地节省系统资源的消耗,保证再现质量。
图3是根据本发明的该另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图,具体地说,示出了本实施的数据流加密方法中调整加密属性提高加密强度的步骤(步骤120)的详细流程。
如图3所示,如果步骤115(图1)的判断结果为“是”,则首先在步骤305判断I帧数据的加密强度是否已经是最高加密强度。如果步骤305的判断结果为“否”,则进行步骤310,提高I帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤315,判断P帧数据的加密强度是否已经是最高加密强度。
接着,如果步骤315的判断结果为“否”,则进行步骤320,提高P帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤325,判断B帧数据的加密强度是否已经是最高加密强度。
然后,如果步骤325的判断结果为“否”,则进行步骤330,提高B帧数据的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则说明对于所有类型帧数据的加密强度都已经是最高了,这时可以继续进行后续的处理过程。
同样,上述最高加密强度也可以针对各个类型的帧数据分别设定,但是在本实施例中,对于所有类型的帧数据设定了相同的最高加密强度,例如,AES(CBC)。
相应地,下面的表3示例性地示出了根据本实施例加密属性信息中包含的内容。
表3,加密属性信息内容
按照本实施例,当系统资源的消耗有所缓解时,则可以按照I帧、P帧和B帧的顺序,依次提高加密强度,从而在系统资源允许的情况下,将数据流加密的安全性最大化。
虽然在本实施例中是对不同类型的图像帧采用不同的加密算法,但实际上对同一类型的图像帧也可以根据其重要性采用不同的加密算法。比如对于P帧,处于一个GOP(Group of pictures)较前位置的P帧比处于一个GOP较后位置的P帧更加重要,所以我们在对处于一个GOP较前位置的P帧加密时可以使用更高的加密强度。
另外,虽然在本实施例中,按照I帧、P帧、B帧的相对重要性的顺序进行加密属性的调整,但是并不仅限于此,例如也可以按照其他的顺序调整。例如,将I帧的最低加密强度设置为“不加密”,将P帧的最低加密强度设置为DES(ECB),将B帧的最低加密强度设置为DES(CBC);将I帧的最高加密强度设置为“不加密”,将P帧的最高加密强度设置为3DES(CBC),将B帧的最高加密强度设置为AES(CBC);同时在图2所示的步骤中按照I帧>P帧>B帧的顺序降低加密强度,在图3所示的步骤中按照B帧>P帧>I帧的顺序提高加密强度。这样,那些没有合法获得许可的接收方,可以看到间歇的画面,即I帧的图像,但是无法看到完整的视频,这对于那些希望吸引更多用户又想得到可靠保护的服务商来说是有利的。
通过以上本实施例的方法,可以跟精确地调整数据流中不同数据部分的加密强度,从而可以更合理地平衡资源消耗和安全性。由于利用了压缩数据流中各种帧数据本身的依赖关系,可以大大节省压缩数据量或者大大降低很大比例的数据的压缩强度,从而可以大大节省接收方和发送方的系统资源。并且,通过对于各种帧类型的数据选择不同的最低加密强度和最高加密强度,还可以达到有利于数据流的提供商的各种不同效果。
根据本发明的再另一个实施例,提供了一种适用于分层的数据流的加密方法。对于压缩数据流分层的技术,在本领域中也被广泛采用。例如,MPEG-2及其以后的标准,将压缩的视频数据流划分为基本层(base layer)和一个或多个加强层(enhancement layer)。其中基本层提供较低的解像度,可以被独立的解码再现,加强层提供较高的解像度,需要在基本层的基础上解码再现。在具有多个加强层(例如,第一加强层、第二加强层等)的情况下,提供较高解像度的加强层在解码时依赖于提供较低解像度的加强层。也就是说,基本层可以独立解码再现低质量图像;在基本层的基础上,可以解码第一加强层,得到高一些的解像度;进而,再在第一加强层的基础上,可以解码第二加强层,得到更高的图像再现质量,依此类推。因此,从数据安全性的角度考虑,基本层的重要性最高,然后依次是第一加强层、第二加强层等。本实施例的数据流加密方法,利用了上述分层的数据流的特性,分别针对不同层调整加密强度。
本实施例与前面结合图1所述的实施例的区别在于,调整加密属性降低资源消耗的步骤(即,图1中的步骤110)和调整加密属性提高加密强度的步骤(即,图1中的步骤120)。
图4是根据本发明的再另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图,具体地说,示出了本实施的数据流加密方法中调整加密属性降低资源消耗的步骤(步骤110)的详细流程。在本实施例中,假设数据流具有三层结构,即,基本层、第一加强层和第二加强层。
如图4所示,如果步骤105(图1)的判断结果为“是”,则首先在步骤405判断第二加强层的加密强度是否已经是最低加密强度。如果步骤405的判断结果为“否”,则进行步骤410,降低第二加强层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤415,判断第一加强层的加密强度是否已经是最低加密强度。
接着,如果步骤415的判断结果为“否”,则进行步骤420,降低第一加强层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤425,判断基本层的加密强度是否已经是最低加密强度。
然后,如果步骤425的判断结果为“否”,则进行步骤430,降低基本层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则说明对于所有层的加密强度都已经降到最低了,这时可以等待系统资源恢复后再进行加密传输,或者以这种最低强度加密的状态继续进行后续的处理过程。
在本实施例中,上述最低加密强度可以针对不同层分别设定,并且,优选地,基本层的最低加密强度设定为最高、第一加强层的最低加密强度为次高和第二加强层的最低加密强度最低。另外,最低加密强度也可以是零,即,不加密。例如,对于基本层的最低加密强度是DES(CBC),对于第一加强层的最低加密强度是DES(ECB),对于第二加强层的最低加密强度是“不加密”。这样在系统资源消耗较大的情况下,按照本实施例的方法将针对各个层的加密强度都调整到最低时,也能够保证重要性高的基本层能够得到足够的保护,从而保证整个视频数据流的安全性,同时,由于降低了第一加强层和第二加强层的加密强度,可以大量地节省系统资源的消耗,保证再现质量。
图5是根据本发明的该再另一个实施例的数据流的加密方法中调整加密属性的步骤的流程图,具体地说,示出了本实施的数据流加密方法中调整加密属性提高加密强度的步骤(步骤120)的详细流程。
如图5所示,如果步骤515(图1)的判断结果为“是”,则首先在步骤505判断基本层的加密强度是否已经是最高加密强度。如果步骤505的判断结果为“否”,则进行步骤510,提高基本层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤515,判断第一加强层的加密强度是否已经是最高加密强度。
接着,如果步骤515的判断结果为“否”,则进行步骤520,提高第一加强层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则进行步骤525,判断第二加强层的加密强度是否已经是最高加密强度。
然后,如果步骤525的判断结果为“否”,则进行步骤530,提高第二加强层的加密强度,并继续进行本方法的后续步骤(图1的步骤125);如果为“是”,则说明对于所有层的加密强度都已经是最高了,这时可以继续进行后续的处理过程。
同样,上述最高加密强度也可以针对各个层分别设定,但是在本实施例中,对于所有层设定了相同的最高加密强度,例如,AES(CBC)。
相应地,下面的表4示例性地示出了根据本实施例加密属性信息中包含的内容。
表4,加密属性信息内容
按照本实施例,当系统资源的消耗有所缓解时,则可以基本层、第一加强层和第二加强层的顺序,依次提高加密强度,从而在系统资源允许的情况下,将数据流加密的安全性最大化。
另外,根据本发明的一个变形例,在图4所示的步骤中,按照基本层、第一加强层和第二加强层的顺序,降低加密强度;在图5所示的步骤中,按照第二加强层、第一加强层和基本层的顺序,提高加密强度;将基本层、第一加强层和第二加强层的最低加密强度分别设定为不加密、DES(ECB)和3DES(CBC);并且,将基本层、第一加强层和第二加强层的最高加密强度分别设定为不加密、AES(CBC)和AES(CBC)。这样,没有得到授权的用户,可以看到解像度很低的再现图像,同时,对于可以提供高质量再现图像的加强层进行了可靠的保护。这对于那些希望吸引更多用户又想得到可靠保护的服务商来说是有利的。
另外,根据本发明的还一个实施例,提供了一种适用于分层的压缩视频数据流的加密方法。例如,MPEG-2的视频数据流,包含基本层和一个或多个加强层,同时,每一层的数据又是由I帧、P帧、B帧数据组成。因此,本实施例将前面参照图2、3和图4、5说明的实施例结合起来,提供了一种既能够分别针对不同层调整加密强度,又能够在同一层中针对不同类型的帧数据调整加密强度。
具体地说,在图4所示的步骤410、420和430,分别针对基本层、第一加强层和第二加强层中的各类型帧数据,执行图2所示的处理过程;在图5所示的步骤510、520和530,分别针对基本层、第一加强层和第二加强层中的各类型帧数据,执行图3所示的处理过程;另外,当某一层中所有类型的帧数据的加密强度达到最低时,则判断该层的加密强度是最低加密强度(步骤405、415、425),反之,当某一层中所有类型的帧数据的加密强度达到最高时,则判断该层的加密强度是最高加密强度(步骤505、515、525)。
本实施例的加密方法,对于分层的压缩视频数据流,不仅能够分别针对不同层调整加密强度,还能够在同一层中针对不同类型的帧数据调整加密强度,因此可以更加灵活、更加精确地调整加密属性,实现系统资源、数据安全性以及传输信息再现质量的平衡,提高系统的运行效率,保证再现质量。
另外,根据本发明的其他方面,还提供了数据流的加密、解密装置,数据流的安全发送装置和数据流的安全接收装置,以及用于实现数据流安全传输的系统。下面就结合图6和7,进行详细说明。
图6是现有技术中实现数据流安全传输的系统的结构示意图。如图6所示,该系统包括发送装置(发送方)600、接收装置(接收方)700和连接接收方和发送方的信道800。其中,发送装置600包含信源编码器601、加密装置602和信道编码器603;接收装置700包含信源解码器701、解密装置702和信道解码器703。
以往的数据流安全传输过程大致为在发送方,首先由信源编码器601对原始数据(音频、视频等的数据)进行信源编码,具体地说,例如将原始视频数据压缩编码为MPEG2格式的数据流,或者将原始语音数据压缩编码为MP3格式的数据流等。在此,原始数据流可以来自视频捕捉卡等数据采集装置,也可以来自于数据记录介质读取装置,例如CD驱动器、DVD驱动器、硬盘驱动器等,并且当在记录介质中已经保存有适当格式的数据时,信源解码器601可以省略。接着,加密装置602按照某种加密策略,对数据流进行加密,在此,加密策略可以事先约定或者在加密传输之前通过“握手”过程确定。最后,由信道编码器603对加密后的数据流进行信道编码,经由信道800传送到接收装置700。
在接收方,首先由信道解码器703对接收到的数据进行信道解码,形成接收数据流。然后,解密装置702根据上述加密策略,对该接收数据流进行解密。最后信源解码器701对解密后的数据流进行信源解码,形成再现数据。
图7是根据本发明的一个实施例的数据流安全传输的系统的结构示意图。如图7所示,本发明该实施例的用于数据流安全传输的系统包括,发送装置(发送方)600、接收装置(接收方)700和连接接收方和发送方的信道800。其中,发送装置600包含信源编码器601、加密装置610和信道编码器603;接收装置700包含信源解码器701、解密装置710和信道解码器703。
按照该实施例,在发送装置600中,加密装置610在对来自信源编码器601或者从记录介质读取装置(未图示)的数据流进行加密并将加密后的数据流传递给信道编码器602的过程中,即,在数据流的加密、传输过程中,根据资源消耗情况和信道质量情况调整加密策略。
加密装置610包括加密机614,用于按照特定的加密属性,对数据流进行加密;复杂性计算单元611,用于根据发送方或者接收方的资源消耗情况,计算复杂性(对于复杂性在前面关于方法的描述中已经作了说明);信道质量检测单元613,用于检测用于传输数据流的信道800当前的质量,例如,误码率(BER)、丢包率(PLR)、带宽等,并将获得的信道质量数据交给判断调整单元612;判断调整单元612,用于根据来自复杂性计算单元611和信道质量检测单元613的信息,判断是否需要调整加密属性,并且如果需要,则调整对数据流的加密属性,并且将调整后的加密属性传递给加密机614,从而控制加密机614的加密执行。具体地说,判断调整单元612进行上述图1的流程图中的判断调整步骤。本实施例中的判断调整单元612,可以与所述流程中的步骤对应,以硬件或者软件的形式实现,这对于本领域技术人员是熟知的。
以上的判断调整单元612、复杂性计算单元611和信道质量检测单元613共同构成了本发明的加密属性调整装置,从而实现在数据流的加密、传输过程中,根据资源消耗情况和信道质量情况调整加密策略。
按照该实施例,调整后的属性信息以元数据(metadata)的形式记录在数据包的头段(header)中,与数据流一起传送给接收方(接收装置700),并且优选地,该加密属性信息也是被加密的。本实施例加密属性信息中包含的内容在上面描述的表1中示例性地示出。
在接收装置700中,由信道解码器703对接收到的数据进行信道解码,形成接收数据流。在数据流的数据包头段中的加密属性信息,被传递给加密调整信息接收单元711提取出来,并将其传递给解密机712,从而控制解密机712以适当的方式解密相应的数据流的数据。
需要指出,对于加密属性信息的传送方法并不限于上述的元数据的形式,也可以通过单独的安全信道来进行加密属性的传送,相应地,加密调整信息接收单元711就需要从该安全信道接收加密属性信息,这也是在本进而,根据本发明的另一个实施例,当加密、传输的数据流是包含I帧、P帧和B帧数据的压缩视频数据流时,判断调整单元612分别为所述I帧、P帧和B帧的数据调整加密属性;加密器614,根据加密属性信息,分别对所述I帧、P帧和B帧的数据进行加密。具体地说,判断调整单元612进行图2和图3中所示的判断调整步骤。本实施例的加密属性信息中包含的内容在上面描述的表3中示例性地示出。
相应地,本实施例的加密调整信息接收单元711,分别接收用于I帧、P帧和B帧数据的加密属性信息;解密器712,根据该加密属性信息,分别对I帧、P帧和B帧的数据进行解密。
进而,根据本发明的再另一个实施例,当加密、传输的数据流是包含基本层、第一加强层和第二加强层数据的压缩视频数据流时,判断调整单元612分别为所述基本层、第一加强层和第二加强层的数据调整加密属性;加密器614,根据加密属性信息,分别对所述基本层、第一加强层和第二加强层的数据进行加密。具体地说,判断调整单元612进行图4和图5中所示的判断调整步骤。本实施例的加密属性信息中包含的内容在上面描述的表4中示例性地示出。
相应地,本实施例的加密调整信息接收单元711,分别接收用于基本层、第一加强层和第二加强层数据的加密属性信息;解密器712,根据该加密属性信息,分别对基本层、第一加强层和第二加强层的数据进行解密。
本领域技术人员应当理解,以上各个实施例中,构成加密、解密装置和发送、接收装置的组成部分,例如,信源编码器601、加密装置610和信道编码器603、信源解码器701、解密装置710和信道解码器703等,是可以以软件或者硬件的方式实现的。
另外,在图7所示的系统中虽然示出了一个发送装置600和一个接收装置700,但是本领域技术人员可以容易地想到一个发送装置和多个接收装置的情况,例如在VOD系统中一个VOD服务器为多个VOD终端提供服务的情况。
以上虽然通过一些示例性的实施例对本发明的加密、解密方法,加密、解密装置,数据流的安全发送装置和数据流的安全接收装置,以及用于实现数据流安全传输的系统进行了详细的描述,但是以上这些实施例并不是穷举的,本领域技术人员可以在本发明的精神和范围内实现各种变化和修改。因此,本发明并不限于这些实施例,本发明的范围仅由所附权利要求为准。
权利要求
1.一种数据流的加密方法,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述方法包括在传输过程中,调整加密属性;根据所述调整后的加密属性,对该数据流进行加密;以及将所述加密的数据流和所述加密属性的信息传送给所述接收方。
2.根据权利要求1所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括根据发送方当前资源消耗和接收方当前资源消耗的一方或者两方,判断是否需要调整所述加密属性;如果需要,则调整加密属性。
3.根据权利要求2所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括判断当前复杂性是否大于一个第一预定阈值,所述当前复杂性是发送方资源消耗和接收方资源消耗的一方或者两方的计量;以及如果所述当前复杂性大于所述第一预定阈值,则调整加密属性从而降低所述发送方或者接收方的资源消耗。
4.根据权利要求3所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括判断所述当前复杂性是否小于一个第二预定阈值,该第二预定阈值小于所述第一预定阈值;以及如果所述当前复杂性小于所述第二预定阈值,则调整加密属性从而增加所述发送方或者接收方的资源消耗。
5.根据权利要求1所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括根据所述信道的质量,判断是否需要调整所述加密属性;如果需要,则调整加密属性。
6.根据权利要求5所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括判断当前信道误码率是否增大一个第一预定量;如果所述当前信道误码率增大了一个第一预定量,则调整加密属性从而降低由加密导致的误码扩散;判断当前信道误码率是否减小一个第二预定量;以及如果所述当前信道误码率减小了一个第二预定量,则调整加密属性从而加大由加密导致的误码扩散。
7.根据权利要求5所述的加密方法,其特征在于,所述调整加密属性信息的步骤包括判断当前信道误码率是否大于第一预定阈值;如果所述当前信道误码率大于第一预定阈值,则调整加密属性从而降低由加密导致的误码扩散;判断当前信道误码率是否小于第二预定阈值;以及如果所述当前信道误码率小于第二预定阈值,则调整加密属性从而加大由加密导致的误码扩散。
8.根据权利要求1所述的加密方法,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流,所述调整加密属性的步骤分别为所述I帧、P帧和B帧的数据调整加密属性。
9.根据权利要求3所述的加密方法,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流;其中,所述调整加密属性从而降低所述发送方或者接收方的资源消耗的步骤,包括,按照B帧、P帧和I帧的顺序,依次调整加密属性。
10.根据权利要求4所述的加密方法,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流;其中,所述调整加密属性从而增加所述发送方或者接收方的资源消耗的步骤,包括,按照I帧、P帧和B帧的顺序,依次调整加密属性。
11.根据权利要求1所述的加密方法,其特征在于,所述数据流包含基本层和至少一个加强层,所述调整加密属性的步骤分别为所述基本层和至少一个加强层的数据调整加密属性。
12.根据权利要求3所述的加密方法,其特征在于,所述数据流包含基本层和至少一个加强层,其中,所述调整加密属性从而降低所述发送方或者接收方的资源消耗的步骤,包括,按照加强层至基本层的顺序,依次调整加密属性。
13.根据权利要求4所述的加密方法,其特征在于,所述数据流包含基本层和至少一个加强层,其中,所述调整加密属性从而增加所述发送方或者接收方的资源消耗的步骤,包括,按照基本层至加强层的顺序,依次调整加密属性。
14.一种数据流的解密方法,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述方法包括在接受加密的数据的过程中,接收调整的加密属性;以及根据所述调整的加密属性,对该数据流进行解密。
15.根据权利要求14所述的解密方法,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流;所述解密的步骤,包括,根据所述加密属性,分别对所述I帧、P帧和B帧的数据进行解密。
16.根据权利要求14所述的解密方法,其特征在于,所述数据流包含基本层和至少一个加强层;所述解密的步骤,包括,根据所述加密属性,分别对所述基本层和至少一个加强层的数据进行解密。
17.一种数据流的加密装置,该数据流至少一部分被加密后经信道从发送方传输到接收方,所述加密装置包括加密属性调整装置,用于在数据流加密和传输的过程中,调整加密属性,生成加密属性信息;以及加密器,用于根据所述加密属性调整装置设定的加密属性,将所述数据流的至少一部分数据执行加密处理。
18.根据权利要求17所述的加密装置,其特征在于,所述加密属性调整装置包括复杂性计算单元,用于根据发送方当前资源消耗和接收方当前资源消耗的一方或者两方,计算当前复杂性;以及判断调整单元,用于根据所述复杂性计算单元计算出的当前复杂性,调整加密属性,生成加密属性信息。
19.根据权利要求18所述的加密装置,其特征在于,所述加密属性调整装置进一步包括,信道质量检测单元,用于检测当前信道的质量,并将信道质量信息传递给所述判断调整单元;并且,所述判断调整单元,进一步根据来自所述信道质量检测单元的信道质量信息,调整加密属性。
20.根据权利要求17所述的加密装置,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流;所述加密属性调整装置,分别为所述I帧、P帧和B帧的数据调整加密属性;所述加密器,根据加密属性信息,分别对所述I帧、P帧和B帧的数据进行加密。
21.根据权利要求17所述的加密装置,其特征在于,所述数据流包含基本层和至少一个加强层;所述加密属性调整装置,为所述基本层和至少一个加强层的数据调整加密属性;所述加密器,根据加密属性信息,分别对所述基本层和至少一个加强层的数据进行加密。
22.一种数据流的解密装置,所述数据流至少一部分被加密后经信道从发送方传输到接收方,其特征在于,所述装置包括加密调整信息接收单元,用于接收来自发送方的加密属性信息;以及解密器,用于根据由加密调整信息接收单元接收的加密属性信息,对所述加密的数据流执行解密处理。
23.根据权利要求22所述的解密装置,其特征在于,所述数据流是包含I帧、P帧和B帧的压缩视频数据流;所述加密调整信息接收单元,分别接收用于I帧、P帧和B帧数据的加密属性信息;所述解密器,根据所述加密属性信息,分别对所述I帧、P帧和B帧的数据进行解密。
24.根据权利要求22所述的解密装置,其特征在于,所述数据流包含基本层和至少一个加强层;所述加密调整信息接收单元,分别接收用于基本层和至少一个加强层数据的加密属性信息;所述解密器,根据所述加密属性信息,分别对基本层和至少一个加强层数据进行解密。
25.一种数据流的安全发送装置,其特征在于,包括根据权利要求17至21所述的加密装置。
26.一种数据流的安全接收装置,其特征在于,包括根据权利要求22至24所述的解密装置。
27.一种数据流的安全传输系统,其特征在于,包括根据权利要求25所述的安全发送装置、根据权利要求26所述的安全接收装置以及连接所述安全发送装置和所述安全接收装置的信道。
全文摘要
本发明提供了一种数据流的加密、解密方法和装置,数据流的安全发送装置和数据流的安全接收装置,以及用于实现数据流安全传输的系统。所述数据流至少一部分被加密后经信道从发送方传输到接收方,所述加密方法包括在传输过程中,调整加密属性;根据所述调整后的加密属性,对该数据流进行加密;以及将所述加密的数据流和所述加密属性的信息传送给所述接收方。
文档编号H04N7/167GK1549491SQ0312341
公开日2004年11月24日 申请日期2003年5月6日 优先权日2003年5月6日
发明者蓉 阎, 阎蓉, 张健, 谢东 申请人:国际商业机器公司