专利名称:一种保护宽带视音频广播内容的方法
技术领域:
本发明涉及电信网络中的宽带视音频技术,尤其涉及一种保护宽带视音频广播内容的方法。
背景技术:
在有线电视网中,视音频流在广播到网络之前进行加密或加扰,然后通过网络发送到用户,用户端从网络获取密钥并完成节目流的解密或解扰。为保证用户只能收看被授权收看的频道,不同的频道或频道组要使用不同的密钥加密或加扰;密钥被广播到所有终端,为保证密钥不易被破解,需要复杂的密钥管理和加密算法,并且密钥需要频繁实时更新。这种方案期望通过端到端加密/加扰的方式同时解决2个问题(1)频道授权接收,用户只能收看收听被授权的节目内容;(2)防止数字拷贝。
上述方法存在以下缺点(1)无论是否授权用户,都可以收到所有的频道内容。尽管这些内容是加密或加扰的,但只要终端非法获取密钥,就可以非法收看节目。
(2)密钥必须在网上传送,容易被破解。
(3)密钥需要频繁更新,占用大量网络带宽。
(4)加解密和密钥管理算法复杂,成本高昂。
(5)加密或加扰算法与具体的视音频编码格式相关,适应性差。
(6)加解密算法一旦被攻破,缺少有效的解决措施。
目前以数字用户环路(DSL)为代表的宽带接入技术不仅可以提供互联网访问之类的数据业务,还可以提供包括宽带电视业务、音频广播业务、点播业务在内的视频和音频业务。视音频业务通常基于机顶盒或计算机开展,机顶盒或计算机接入网络后,可通过网络获取视音频内容;通常点播类业务由单播流承载,电视类和音频广播类业务由组播流承载,其网络模型如图1所示。
在宽带网上开展电视业务和音频广播业务的一个重点是要保证内容安全,所谓内容安全有两层含义,一层是保证用户只能收看/收听自己有权接收的频道,称为频道的授权接收;第二层是保证用户不能随意对频道内容进行非法的数字拷贝,称为防数字拷贝。而目前在宽带网上对视音频广播内容还没有采用保护措施,无法保证内容安全,因此其安全性较差,从而也造成了视音频广播业务难于在宽带网上运营。
发明内容
本发明提供一种保护宽带视音频广播内容的方法,以解决现有技术中宽带视音频广播内容存在安全性较差的问题。
为解决上述问题,本发明提供如下技术方案一种保护宽带视音频广播内容的方法,所述视音频广播内容由视音频广播源产生,并采用IP报文格式通过宽带网络和宽带接入设备传送到用户终端;该方法包括设置步骤,用于在宽带接入设备中设置用户权限表,该用户权限表中包含有用户标识与接收组播组内容的权限之间的对应关系;加入步骤,用于在宽带接入设备接收到用户申请接收频道时,根据用户标识查询所述用户权限表判断该用户是否具有接收权限,并在判断结果为是时将所述用户加入对应的组播组;转发步骤,用于当宽带接入设备接收到各频道的视/音频内容时,仅向已加入该频道所对应的组播组的用户转发该内容。
所述方法还包括加扰步骤,用于在网络中传输视/音频IP报文前,利用密钥和预定的加扰算法对报文中指定位置的净荷进行加扰处理;解扰步骤,用于在用户终端接收到所述视/音频IP报文后,利用密钥和与加扰步骤中的加扰算法相对应的解扰算法对所述指定位置的净荷进行解扰处理。
本发明具有以下有益效果1、频道授权接收利用宽带接入设备完成组播权限控制功能,保证用户只能获取被授权访问的频道的内容,无法获取非授权的频道内容;即使数字加扰算法被攻破,用户也因无法获取非授权的频道内容而无法收看。因此能够保证频道不被盗看,保护运营商的收益。
2、防数字拷贝利用数字加扰技术,视音频流以加扰的方式传送,保证只有合法的终端才能够解码收看,用户无法直接获取视音频流的数字拷贝供其他通用终端收看。利用这种数字加扰技术,可避免密钥在网络上的传播,降低密钥被破解的风险、并减少额外的网络带宽占用;算法与具体的视频频编码技术无关,直接对IP包的净荷进行加扰,可适用于不同的视音频编码技术;不需要复杂的密钥管理技术和加密算法,不增加终端机顶盒的实现难度和成本、降低局端成本;另外如果加扰算法被攻破,可通过网络同步更新局端和终端算法/密钥及时补救。
3、结合运用宽带接入设备的组播权限控制功能和数字加扰技术,在基本不增加额外投资、不占用额外的网络带宽的前提下,提供了一种高效、安全的宽带电视和宽带数字广播内容保护手段。
图1为现有技术中宽带视音频应用的组网示意图;图2为权限表的组织结构示意图;图3为本发明实现宽带视音频广播内容保护的组网示意图;图4为加扰和解扰的示意图。
具体实施例方式
本发明采用不同的网络功能实体解决内容保护的2个关键问题频道的授权接收和防数字拷贝,而不是象数字电视的条件接收系统那样由一个系统解决所有问题。其中,频道的授权接收利用宽带接入设备的组播控制功能实现,防数字拷贝利用数字加扰技术实现;在频道授权接收的基础上再结合防数字拷贝,形成一种高可靠性、高效、低成本的宽带电视和宽带数字广播内容保护技术。
由于宽带电视或宽带数字广播的内容是由宽带接入设备采用组播的方式发送到用户的,而且宽带网是一个双向的网络,因此本发明利用宽带接入设备完成组播权限控制功能,控制用户是否可以获得某个频道(在网络设备上对应为组播组)的内容,从而实现频道的授权接收。
参阅图1,整个系统中视音频广播源用于产生各频道的视音频广播内容;用户终端用于接收一个或多个频道的视音频广播内容;宽带网络传输所述视音频广播源输出的广播内容;宽带接入设备将所述宽带网络传送来的各频道的广播内容组播到所述用户终端。
本发明在宽带接入设备上保存有用户的权限表(或称组播权限表),当用户申请接收某个频道(对应某个组播组)时,宽带接入设备根据用户的权限表判断该用户是否允许接收该频道,只有用户有相应权限时,宽带接入设备才将用户加入该组播组,并仅向该组播组内的用户转发该组播组的内容。因此,用户必须具有某频道的接收权限才能收到该频道的视音频流。
在用户的权限表中,以用户端口、用户端口的永久虚拟连接/虚拟局域网(PVC/VLAN)或者其组合作为索引,记录该用户允许访问的组播组信息,具体的组织方式包括但不限于以下两种一种方式如图2所示,每条只记录允许用户访问的频道组(对应1系列组播组)信息。如用户ADSL0授权访问的频道组为Group1,而该频道组包括组播组1、组播组2和组播组3;如用户ADSL1授权访问的频道组为Group2和Group3等。
另外一种方式如下表所示,每条记录所有的组播组和用户是否有权访问该组。如用户ADSL0仅对组播组1、2、3具有接收权限,而对组播组4、5、6、7、8则没有接收权限。
以上表为例宽带接入设备在接收到用户ADSL0、ADSL1、ADSL2申请接收频道1(假设频道1对应组播组1)时,通过查询则该表可知用户ADSL0、ADSL2具有接收该频道的权限,因此,仅将用户ADSL0、ADSL2加入到组播组1中,而拒绝用户ADSL1的申请。宽带接入设备在接收到频道1的视音频流时,仅向组播组1中的用户ADSL0、ADSL2转发,而用户ADSL1则接收不到频道1的内容。
因此,从上可知,利用宽带接入设备的组播权限控制功能,可以有效的解决用户授权接收的问题,防止用户非法收看/收听未被授权接收的频道。由于宽带接入设备是根据接收到组播请求的物理端口(如某个DSL端口、或DSL端口+VLAN)来判断这个请求是来自哪个用户,并根据用户的组播权限信息判断是否允许访问,所以其它端口下的用户终端无法通过仿冒的方式非法获取频道内容,有非常高的安全性,可完全杜绝非授权的频道接收。
为了更好地保证内容安全,本发明在授权接收的基础上采用数字加扰技术对内容进行处理,以防止数字拷贝。
参阅图3所示,在网络系统中增加加扰器,该加扰器接收所述视音频广播源输出的视音频广播内容,并进行加扰后传送到所述宽带网络。由所述用户终端对接收到的加扰的视音频广播内容进行解扰。
数字加扰技术核心思路为(1)只对IP报文的净荷进行加扰,加密技术与具体的净荷内容无关;(2)IP报文净荷的开始部分可能用于传递某些协议信息,不做加扰处理,其长度可设置;(3)加扰器和终端上实现特定的加扰位置生成算法、密钥种子索引生成算法、密钥生成算法和加解扰算法,加扰器和用户终端上分别保存一个相同的密钥种子库。
加扰位置生成算法可采用私有算法,如异或、HASH等算法的组合算法;密钥种子索引生成算法和密钥生成算法可采用私有算法,如Haval+MD5组合算法;加解扰算法可用3DES、3DES或AES算法。
参阅图4所示,加扰的具体处理过程如下(1)加扰器通过加扰位置生成算法和密钥种子索引生成算法提取IP报文净荷的开始部分的某些内容。这些内容是随包内容改变而变化的内容,而非固定内容。
(2)通过加扰位置生成算法计算出相应的加扰位置信息,即报文加扰段的开始/结束位置,通过密钥种子索引生成算法生成密钥种子索引。
(3)加扰器根据密钥种子索引从本地的密钥种子库中查询到对应的密钥种子。
(4)加扰器根据密钥种子,通过密钥生成算法计算出密钥。
(5)加扰器根据生成的密钥和加扰位置信息对IP报文的指定段,采用预定加扰算法进行加扰处理。
解扰的具体处理过程如下(1)用户终端收到加扰报文后,使用与加扰器相同的加扰位置生成算法和密钥种子索引生成算法提取IP报文净荷的开始部分的某些内容,这些内容与加扰步骤(1)中的内容相同。
(2)通过加扰位置生成算法计算出相应的加扰位置信息,即报文加扰段的开始/结束位置,通过密钥种子索引生成算法生成密钥种子索引。
(3)用户终端根据密钥种子索引在本地密钥种子库种找到对应的密钥种子。
(4)用户终端根据密钥种子,通过密钥生成算法计算出密钥。
(5)用户终端根据密钥和加扰位置信息,采用预定的解扰算法对指定的加扰段进行解扰。
对上述加扰和解扰的另一种变化是,在加扰器和用户终端直接保存相同的密钥,用于密钥索引生成算法代替密钥索引种子生成算法来生成密钥索引,然后利用密钥索引从密钥库中直接获取密钥进行加扰或解扰处理。
上述数字加扰技术具有以下特点(1)对IP报文净荷加扰,与具体的视音频编码技术无关;(2)没有占用任何额外的带宽;(3)多层加密、多加密算法;(4)根据包内容动态加扰,加扰信息动态交换;(5)密钥不在网络上进行传递;(6)加扰器和终端实现技术难度低,成本也较低;(7)高安全性,用户要破解该算法需要同时获取以下信息加解扰算法、加扰位置生成算法、密钥种子索引生成算法、密钥种子库中所有的密钥种子、密钥生成算法;(8)通过在线升级终端软件的方式,可实现算法、密钥种子的及时更新。
权利要求
1.一种保护宽带视音频广播内容的方法,所述视音频广播内容由视音频广播源产生,并采用IP报文格式通过宽带网络和宽带接入设备传送到用户终端;其特征在于该方法包括设置步骤,用于在宽带接入设备中设置用户权限表,该用户权限表中包含有用户标识与接收组播组内容的权限之间的对应关系;加入步骤,用于在宽带接入设备接收到用户申请接收频道时,根据用户标识查询所述用户权限表判断该用户是否具有接收权限,并在判断结果为是时将所述用户加入对应的组播组;转发步骤,用于当宽带接入设备接收到频道的视/音频内容时,仅向已加入该频道所对应的组播组的用户转发该内容。
2.如权利要求1所述的方法,其特征在于,该方法还包括加扰步骤,用于在网络中传输视音频IP报文前,利用密钥和预定的加扰算法对报文中指定位置的净荷进行加扰处理;解扰步骤,用于在用户终端接收到所述视音频IP报文后,利用密钥和与加扰步骤中的加扰算法相对应的解扰算法对所述指定位置的净荷进行解扰处理。
3.如权利要求2所述的方法,其特征在于,在加扰侧和解扰侧分别保存相同的密钥库,在加扰和解扰时采用相同的算法对报文的相同部分内容计算出密钥索引,通过该密钥索引从所述密钥库获取密钥;或者,在加扰侧和解扰侧分别保存相同的密钥种子库,在加扰和解扰时采用相同的算法对报文的相同部分内容计算出密钥种子索引,根据该密钥种子索引从所述密钥种子库获取密钥种子,并利用该密钥种子生成密钥。
4.如权利要求3所述的方法,其特征在于,当加扰侧和解扰侧分别保存相同的密钥库时,所述加扰步骤具体包括如下步骤提取IP报文中净荷开始部分的内容,并计算出加扰位置信息和密钥索引信息;利用所述密钥索引信息从本地的密钥库中获取密钥;利用获取的密钥和所述加扰位置信息对IP报文中不包含所述开始部分内容的指定段内容进行加扰处理;
5.如权利要求4所述的方法,其特征在于,解扰步骤具体包括如下步骤提取已加扰的IP报文中净荷开始部分的内容,并采用与加扰步骤中相同的算法计算出加扰位置信息和密钥索引信息;利用所述密钥索引信息从本地的密钥库中获取密钥;根据所述加扰位置信息和密钥对IP报文的加扰段进行解扰处理。
6.如权利要求3所述的方法,其特征在于,当加扰侧和解扰侧分别保存相同的密钥种子库时,所述加扰步骤具体包括如下步骤提取IP报文中净荷开始部分的内容,并计算出加扰位置信息和密钥种子索引信息;利用所述密钥种子索引信息从本地的密钥种子库中获取密钥种子,并根据该密钥种子生成密钥;利用生成的密钥和所述加扰位置信息对IP报文中不包含所述开始部分内容的指定段内容进行加扰处理。
7.如权利要求6所述的方法,其特征在于,解扰步骤具体包括如下步骤提取已加扰的IP报文中净荷开始部分的内容,并采用与加扰步骤中相同的算法计算出加扰位置信息和密钥种子索引信息;利用所述密钥种子索引信息从本地的密钥种子库中获取密钥种子,并根据该密钥种子生成密钥;根据所述加扰位置信息和密钥对IP报文的加扰段进行解扰处理。
8.如权利要求3到7任一所述的方法,其特征在于,所述开始部分的内容是指随IP报文内容改变而变化的内容。
9.如权利要求1所述的方法,其特征在于,所述用户标识采用用户端口标识、用户端口的永久虚拟连接(PVC)、虚拟局域网标识(VLAN)或者其组合。
全文摘要
本发明公开了一种保护宽带视音频广播内容的方法,以解决现有技术中宽带视音频广播内容存在安全性较差的问题。该方法在宽带接入设备上保存有用户的权限表,当用户申请接收某个频道时,宽带接入设备根据用户的权限表判断该用户是否允许接收该频道,只有用户有相应权限时,宽带接入设备才将用户加入该组播组,并仅向该组播组内的用户转发该组播组的内容。
文档编号H04N7/167GK1744706SQ20041007534
公开日2006年3月8日 申请日期2004年9月1日 优先权日2004年9月1日
发明者李军 申请人:华为技术有限公司