一种基于ott数字版权的管理系统的制作方法
【专利摘要】本发明提供了一种基于OTT数字版权的管理系统,包括用户管理系统、媒体授权系统、媒体加密处理及分发系统、用户端,本发明的有益效果在于:结构简单,成本低廉,设计巧妙,操作简单,IP网络的DRM系统安全性高、MPEG?4数据包加密方式精密,视频传输模式很安全。
【专利说明】一种基于OTT数字版权的管理系统
[0001]
【技术领域】
本发明涉及一种互联网视频信息技术领域,尤其涉及一种基于OTT数字版权的管理系统。
[0002]
【【背景技术】】
目前IP网络的DRM系统安全性较差、MPEG-4数据包加密方式普通,视频传输模式不很安全。
[0003]
【
【发明内容】
】
本发明目的为了解决目前IP网络的DRM系统安全性较差、MPEG-4数据包加密方式普通,视频传输模式不很安全,提供了一种基于OTT数字版权的管理系统。
[0004]本发明是通过以下技术方案来实现的:一种基于OTT数字版权的管理系统,包括用户管理系统、媒体授权系统、媒体加密处理及分发系统、用户端,所述用户端通过网络向用户管理系统申请用户ID,所述用户管理系统为用户产生一对非对称密钥,即用户密钥UK,其私钥存储在智能卡中分发给用户,公钥由用户管理系统保管,当用户端向服务器请求媒体播放时,首先要向媒体授权系统请求播放许可,所述媒体授权系统将用户端信息提交给用户管理系统;
所述用户管理系统验证用户的合法性,若验证为合法则将该用户的UK的公钥反馈给媒体授权系统,所述媒体加密处理及分发系统是DRM系统的一个核心部分,它包括一个产生流式密码CW(Contrc)I word)的控制字发生器(随机序列发生器),在这个子系统中,用CW加密媒体源,用SK来加密CW加密后的ECM(Entitlement Control Message),然后将ECM与用CW加密后的媒体进行复用,形成供下载的流媒体数据流,用户端将接受到的许可证信息存储到智能卡中,用智能卡解密得到CW;最后用CW解密媒体数据得到可以播放的源媒体流;
控制字发生器是该系统中一个至关重要的信息,它被用作DRM系统中媒体加密解密的直接密钥,随机序列发生器厨师字序列发生器输出的随机字备用来堆码流数据进行加解密操作,在每个控制字的有效区间内加密端和解密端的随机序列发生器都以该控制字为初始种子字来同步产生每一瞬间码流加密的密钥,由于媒体码流的数据量很大,如果一个控制字被长时间用来对码流进行操作势必会给攻击者提供大量的分析样本,这难免会影响到系统的安全性,因此该系统的控制字都会几秒或者十几秒改变一次。很显然,控制字序列的随机性越高攻击者就越难进行攻击,离线的控制字发生器莫过于真随机序列发生器,这种发生器无论运行多久攻击者都不可能通过所有的控制字来推测下一次的控制字,事实上,目前通过计算机或者微处理器所进行的数学运算无法产生真正意义上的随机数,他们所产生的序列不论有多少种状态,但仍然是有限的并且是循环的,因此,该DRM系统中并不必得到一个真正的随机序列,只要它的循环周期足够长就可以满足系统需要;
业务密钥SK是用来对CW进行加密产生授权控制信息ECM的,业务密钥SK的更新速度不必很快,该系统中的SK可以使一个月更新一次,发送端可根据不同的媒体源授权情况的改变来调整SK,每个媒体源可采用不同的SK,这使得灵活多样的授权方式成为可能;
用户密钥UK是一对非对称密钥,公钥存储在服务端的用户信息管理系统中,而私钥被存储在服务端的用户信息管理系统中,而私钥被存储在用户所拥有的智能卡中,因为智能卡本身的防篡改性,避免了用户与密钥的直接交互,保证了用户私钥的安全。
[0005]进一步地,所述用户管理系统是一个数据库系统,存放着用户信息、媒体信息,通过用户管理系统为新注册的用户提供一个密钥文件,其中包含用户的个人信息(用户ID、所拥有智能卡的ID、预定媒体编号)、经过加密的用户密钥UK(RSA密钥对)以及有效期限。
[0006]进一步地,所述媒体授权系统是一个RSA加密程序,用用户密钥UK的公钥加密业务密钥SK。
[0007]进一步地,所述媒体加密处理及分发系统为服务端的核心部分系统,所述服务端的核心部分系统包括控制字发生器模块、加密、复用模块、源文件模块、IP网络、发送模块、发送缓冲模块,所述服务端的核心部分系统中要进行源文件模块的MPEG-4数据的流化、加密和发送模块,对源文件模块的加密应该以数据包为单位进行,所述发送模块中的发送线程每次将一个数据包从文件缓冲区读到发送缓冲模块区中,源文件模块的加密过程及复用模块过程以及发送过程共享发送缓冲模块区,在服务端和用户端启动数据传输后,就开始了对数据包的加密、复用模块和发送模块,直至播放完毕。
[0008]进一步地,所述用户端应用程序主要由接收模块、解复用模块、解密模块、播放模块,所述接收模块把从IP网络收到的数据包读到接收缓冲区,所述解复用模块将ECM信息从该缓冲区中的数据包中奋力出来,用智能卡的解密,除去ECM信息的数据包被读到缓冲队列中,用CW将其解密,最后播放模块从缓冲队列中取得数据得以播放。
[0009]进一步地,所述媒体授权系统的具体实现方法包括如下步骤:
(1)用户端向媒体授权系统预定媒体,请求授权;
(2)媒体授权系统将用户信息提交给用户管理系统;用户管理系统验证用户的合法性,如果验证为合法则将该用户的UK的公钥反馈给媒体授权系统;
(3)媒体授权系统将用户所预定的媒体信息以及该业务的业务秘钥SK发给媒体加密处理及分发系统,同时媒体授权系统将SK用的UK公钥加密制作成播放许可信息发送给用户。
[0010]进一步地,所述媒体加密处理及分发系统的具体实现方法包括如下步骤:
(1)将文件的数据包读入发送缓冲模块区,同时使用控制字发生器模块产生的CW在发送缓冲模块区加密其中的明文文件;
(2)将得到密文文件同样写入该缓冲区,然后再将加密CW得到的ECM读到该缓冲区中并与该缓冲区中的密文文件进行复用模块;
(3)最后再由发送模块将它传至IP网络。
[0011]本发明的有益效果在于:结构简单,成本低廉,设计巧妙,操作简单,IP网络的DRM系统安全性高、MPEG-4数据包加密方式精密,视频传输模式很安全。
[0012]
【【附图说明】】
图1为本发明基于OTT数字版权的管理系统结构示意图;
图2为本发明媒体加密处理及分发系统结构示意图;
图3为本发明用户端结构示意图; 附图标记:1、用户管理系统;2、媒体授权系统;3、媒体加密处理及分发系统;31、控制字发生器模块;32、加密;33、复用模块;34、源文件模块;35、IP网络;36、发送模块;37、发送缓冲模块;4、用户端;41、接收模块;42、解复用模块;43、解密模块;44、播放模块。
[0013]【【具体实施方式】】
下面结合附图及【具体实施方式】对本发明做进一步描述:
如图1、图2、图3所示,一种基于OTT数字版权的管理系统,包括用户管理系统1、媒体授权系统2、媒体加密处理及分发系统3、用户端4,所述用户端4通过网络向用户管理系统I申请用户ID,所述用户管理系统I为用户产生一对非对称密钥,即用户密钥UK,其私钥存储在智能卡中分发给用户,公钥由用户管理系统I保管,当用户端向服务器请求媒体播放时,首先要向媒体授权系统2请求播放许可,所述媒体授权系统2将用户端4信息提交给用户管理系统I;
所述用户管理系统I验证用户的合法性,若验证为合法则将该用户的UK的公钥反馈给媒体授权系统2,媒体授权系统2将用户端4所预定的媒体信息以及该业务的业务密钥SK发给媒体加密处理及分发系统3,同时媒体授权系统2将SK用的UK公钥加密制作成播放许可信息发送给用户端4;
所述媒体加密处理及分发系统3是DRM系统的一个核心部分,它包括一个产生流式密码CffCControl word)的控制字发生器(随机序列发生器),在这个子系统中,用CW加密媒体源,用SK来加密CW加密后的ECM(Entitlement Control Message),然后将ECM与用CW加密后的媒体进行复用,形成供下载的流媒体数据流,用户端将接受到的许可证信息存储到智能卡中,用智能卡解密得到CW;最后用CW解密媒体数据得到可以播放的源媒体流;
控制字发生器是该系统中一个至关重要的信息,它被用作DRM系统中媒体加密解密的直接密钥,随机序列发生器厨师字序列发生器输出的随机字备用来堆码流数据进行加解密操作,在每个控制字的有效区间内加密端和解密端的随机序列发生器都以该控制字为初始种子字来同步产生每一瞬间码流加密的密钥,由于媒体码流的数据量很大,如果一个控制字被长时间用来对码流进行操作势必会给攻击者提供大量的分析样本,这难免会影响到系统的安全性,因此该系统的控制字都会几秒或者十几秒改变一次。很显然,控制字序列的随机性越高攻击者就越难进行攻击,离线的控制字发生器莫过于真随机序列发生器,这种发生器无论运行多久攻击者都不可能通过所有的控制字来推测下一次的控制字,事实上,目前通过计算机或者微处理器所进行的数学运算无法产生真正意义上的随机数,他们所产生的序列不论有多少种状态,但仍然是有限的并且是循环的,因此,该DRM系统中并不必得到一个真正的随机序列,只要它的循环周期足够长就可以满足系统需要;
业务密钥SK是用来对CW进行加密产生授权控制信息ECM的,业务密钥SK的更新速度不必很快,该系统中的SK可以使一个月更新一次,发送端可根据不同的媒体源授权情况的改变来调整SK,每个媒体源可采用不同的SK,这使得灵活多样的授权方式成为可能;
用户密钥UK是一对非对称密钥,公钥存储在服务端的用户信息管理系统中,而私钥被存储在服务端的用户信息管理系统中,而私钥被存储在用户所拥有的智能卡中,因为智能卡本身的防篡改性,避免了用户与密钥的直接交互,保证了用户私钥的安全。
[0014]优选地,所述用户管理系统I是一个数据库系统,存放着用户信息、媒体信息,通过用户管理系统为新注册的用户提供一个密钥文件,其中包含用户的个人信息(用户ID、所拥有智能卡的ID、预定媒体编号)、经过加密的用户密钥UK(RSA密钥对)以及有效期限。
[0015]优选地,所述媒体授权系统2是一个RSA加密程序,用用户密钥UK的公钥加密业务密钥SK。
[0016]优选地,所述媒体加密处理及分发系统3为服务端的核心部分系统,所述服务端的核心部分系统包括控制字发生器模块31、加密32、复用模块33、源文件模块34、IP网络35、发送模块36、发送缓冲模块37,所述服务端的核心部分系统中要进行源文件模块34的MPEG-4数据的流化、加密32和发送模块36,对源文件模块34的加密32应该以数据包为单位进行,所述发送模块36中的发送线程每次将一个数据包从文件缓冲区读到发送缓冲模块区中,源文件模块34的加密32过程及复用模块33过程以及发送过程共享发送缓冲模块37区,在服务端和用户端4启动数据传输后,就开始了对数据包的加密32、复用模块33和发送模块36,直至播放完毕。
[0017]优选地,所述用户端4应用程序主要由接收模块41、解复用模块42、解密模块43、播放模块44,所述接收模块41把从IP网络35收到的数据包读到接收缓冲区,所述解复用42模块将ECM信息从该缓冲区中的数据包中奋力出来,用智能卡的解密,除去ECM信息的数据包被读到缓冲队列中,用CW将其解密,最后播放模块从缓冲队列中取得数据得以播放。
[0018]优选地,所述媒体授权系统的具体实现方法包括如下步骤:
(1)用户端向媒体授权系统预定媒体,请求授权;
(2)媒体授权系统2将用户信息提交给用户管理系统I;用户管理系统I验证用户的合法性,如果验证为合法则将该用户的UK的公钥反馈给媒体授权系统2;
(3)媒体授权系统2将用户所预定的媒体信息以及该业务的业务秘钥SK发给媒体加密处理及分发系统,同时媒体授权系统2将SK用的UK公钥加密制作成播放许可信息发送给用户端4。
[0019]优选地,所述媒体加密处理及分发系统的具体实现方法包括如下步骤:
(1)将文件的数据包读入发送缓冲模块37区,同时使用控制字发生器模块31产生的CW在发送缓冲模块37区加密其中的明文文件;
(2)将得到密文文件同样写入该缓冲区,然后再将加密CW得到的ECM读到该缓冲区中并与该缓冲区中的密文文件进行复用模块33 ;
(3)最后再由发送模块36将它传至IP网络35。
[0020]根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行适当的变更和修改。因此,本发明并不局限于上面揭示和描述的【具体实施方式】,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。
【主权项】
1.一种基于OTT数字版权的管理系统,其特征在于:包括用户管理系统、媒体授权系统、媒体加密处理及分发系统、用户端,所述用户端通过网络向用户管理系统申请用户ID,所述用户管理系统为用户产生一对非对称密钥,即用户密钥UK,其私钥存储在智能卡中分发给用户,公钥由用户管理系统保管,当用户端向服务器请求媒体播放时,首先要向媒体授权系统请求播放许可,所述媒体授权系统将用户端信息提交给用户管理系统; 所述用户管理系统验证用户的合法性,若验证为合法则将该用户的UK的公钥反馈给媒体授权系统,所述媒体加密处理及分发系统是DRM系统的一个核心部分,它包括一个产生流式密码CW(Contrc)I word)的控制字发生器(随机序列发生器),在这个子系统中,用CW加密媒体源,用SK来加密CW加密后的ECM(Entitlement Control Message),然后将ECM与用CW加密后的媒体进行复用,形成供下载的流媒体数据流,用户端将接受到的许可证信息存储到智能卡中,用智能卡解密得到CW;最后用CW解密媒体数据得到可以播放的源媒体流。2.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述用户管理系统是一个数据库系统,存放着用户信息、媒体信息,通过用户管理系统为新注册的用户提供一个密钥文件,其中包含用户的个人信息(用户ID、所拥有智能卡的ID、预定媒体编号)、经过加密的用户密钥UK(RSA密钥对)以及有效期限。3.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述媒体授权系统是一个RSA加密程序,用用户密钥UK的公钥加密业务密钥SK。4.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述媒体加密处理及分发系统为服务端的核心部分系统,所述服务端的核心部分系统包括控制字发生器模块、加密、复用模块、源文件模块、IP网络、发送模块、发送缓冲模块,所述服务端的核心部分系统中要进行源文件模块的MPEG-4数据的流化、加密和发送模块,对源文件模块的加密应该以数据包为单位进行,所述发送模块中的发送线程每次将一个数据包从文件缓冲区读到发送缓冲模块区中,源文件模块的加密过程及复用模块过程以及发送过程共享发送缓冲模块区,在服务端和用户端启动数据传输后,就开始了对数据包的加密、复用模块和发送模块,直至播放完毕。5.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述用户端应用程序主要由接收模块、解复用模块、解密模块、播放模块,所述接收模块把从IP网络收到的数据包读到接收缓冲区,所述解复用模块将ECM信息从该缓冲区中的数据包中奋力出来,用智能卡的解密,除去ECM信息的数据包被读到缓冲队列中,用CW将其解密,最后播放模块从缓冲队列中取得数据得以播放。6.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述媒体授权系统的具体实现方法包括如下步骤: (1)用户端向媒体授权系统预定媒体,请求授权; (2)媒体授权系统将用户信息提交给用户管理系统;用户管理系统验证用户的合法性,如果验证为合法则将该用户的UK的公钥反馈给媒体授权系统; (3)媒体授权系统将用户所预定的媒体信息以及该业务的业务秘钥SK发给媒体加密处理及分发系统,同时媒体授权系统将SK用的UK公钥加密制作成播放许可信息发送给用户。7.根据权利要求1所述的基于OTT数字版权的管理系统,其特征在于:所述媒体加密处理及分发系统的具体实现方法包括如下步骤: (1)将文件的数据包读入发送缓冲模块区,同时使用控制字发生器模块产生的CW在发送缓冲模块区加密其中的明文文件; (2)将得到密文文件同样写入该缓冲区,然后再将加密CW得到的ECM读到该缓冲区中并与该缓冲区中的密文文件进行复用模块; (3)最后再由发送模块将它传至IP网络。
【文档编号】H04N21/258GK105847890SQ201610193309
【公开日】2016年8月10日
【申请日】2016年3月30日
【发明人】郭俊峰, 李文祥
【申请人】深圳市宽宏科技有限公司