ＩＰＴＶ直播系統中ＤＲＭ解決方案的研究與設計

葉　松　于志強　羅世新　唐　凌　丁　瑤　王杰斌

摘 要：數字版權保護(DRM)技術是IPTV系統中的一項關鍵技術，它能有效地保護IPTV系統的安全和媒體內容版權的安全。首先介紹了DRM的基本原理，然后結合IPTV直播業務的安全需求提出一種有效的DRM應用解決方案，包括系統體系結構、工作流程，并詳細描述了IPTV DRM中的加解密系統、密鑰管理系統、身份認證系統和授權管理系統，最后通過軟件試驗系統驗證了設計方案的可行性。

關鍵詞：DRM；IPTV；加解密；密鑰管理；身份認證；授權管理

中圖分類號：TP393.08文獻標識碼：A

文章編號：1004-373X(2009)03-093-04

Research and Design of DRM Scheme for IPTV Direct Broadcast System

YE Song1,2,YU Zhiqiang LUO Shixin TANG Ling DING Yao WANG Jiebin1

(1.Institute of Digital Technology,AISINO Corporation,Beijing,100195,China；2.University of Science and Technology of China,Hefei,230027,China)

Abstract：Digital Right Management (DRM) is a key technology in IPTV which can effectively protect IPTV system security and media content copyright.In this paper,the basic principle of DRM is briefly summarized,a DRM scheme in IPTV direct broadcast system is put forward,including system structure and work flow.The main components of IPTV DRM are introduced in detail,including encryption and decryption system,key management system,identity authentication system and authorization management system.At last,the feasibility of proposed scheme of IPTV DRM is verified by testing software system.

Keywords：DRM;IPTV;encryption and decryption;key management;identity authentication;authorization management

0 引 言

IPTV是基于寬帶互聯網的一項以數字音視頻資源為主體，以電視機、計算機等為顯示終端的媒體服務，是互聯網業務和傳統電視業務融合后產生的新業務。IPTV是基于內容管理的、開放的、交互的音視頻內容和業務經營系統，由于IP網絡上數字化的節目內容播發過程中存在許多安全隱患，使得非法分子可方便地進行節目盜版和擴散，損害了節目制作商和運營商的利益，影響音視頻產業的健康發展。因此，保護IPTV媒體內容安全，實施IPTV系統的訪問控制和播放控制，是IPTV健康發展的重要保證。

保護IPTV系統的安全和IPTV媒體內容版權的安全，需要建立起一套包括加密、認證和權限管理的安全機制，通過采用媒體內容加密、數字證書認證、頒發用戶權利許可證等安全手段，使得只有授權的用戶才能消費特定的節目，只有合法的密碼設備才能用于IPTV系統，只有允許的節目才能播出，防止非法播放、非法收視和非法傳播，使IPTV網絡成為一個可以信任的安全社區。數字版權保護(DRM)技術的目的是保護數字內容的版權，它從技術上防止數字內容的非法復制，或者在一定程度上使復制很困難，最終使得用戶必須得到授權才能夠使用數字內容［1-5］。DRM技術能夠實現IPTV音視頻節目的版權保護和合法消費。

該文結合IPTV直播業務的安全需求，提出一種有效的DRM應用解決方案，為DRM在IPTV中的應用提供參考。

1 DRM技術

DRM技術就是以一定的計算方法實現對數字內容的保護，包括電子書、視頻、音頻、圖片等數字內容。DRM技術能夠有效地保護數字內容的版權，保護數字內容所有者的合法收益，提高數字內容創作者的熱情，刺激數字內容的發展。DRM提供了靈活的計費策略和運營方式，能夠在數字內容分發的過程中為創作者提供收益，滿足用戶個性化消費內容的需求，提供了激勵消費的手段。DRM技術的出現，使得版權所有者不再耗費大量的時間與精力與客戶進行談判，確定數字媒體內容能夠被合法地使用。DRM有效地保護了知識產權，因此能激勵各個平臺的內容提供商提供更多的內容，無論是因特網、流媒體還是交互式數字電視。

DRM技術的基本原理：使用技術手段對數字產品的分發、傳輸和使用等各個環節進行控制，使得數字產品只能被授權使用的人按照授權的方式在授權使用的期限內使用。根據實現機理不同，數字版權保護技術主要有兩類：一類是數字水印技術，另一類是以數據加密和防拷貝為核心的DRM技術。數字水印技術是在數字內容中嵌入隱蔽的標記，在基本不損害原作品質量的情況下，把著作權相關的信息隱藏在數字內容中，只有通過專用的檢測工具才能提取，實現對數字內容的版權保護［6］。但是，目前市場上的數字水印技術在應用方面還不成熟，容易被破壞或破解，而且數字水印方法只能在發現盜版后用于取證或追蹤，不能在事前防止盜版。以數據加密和防拷貝為核心的DRM技術是把數字內容進行加密，只有授權用戶才能得到解密的密鑰，而且密鑰是與用戶的硬件信息綁定的，加密技術加上硬件綁定技術防止了非法拷貝，這種技術能有效地達到版權保護的目的，當前國內外大部分公司和研究機構的DRM系統都采用這種技術［7］。本文也是基于數據加密和防拷貝為核心的技術提出了DRM系統方案。

2 IPTV DRM系統方案設計

IPTV DRM系統主要是使用加密技術來確保數字媒體信息在整個傳輸鏈中可控制方面的安全問題。IPTV DRM系統應滿足IPTV中的媒體內容安全需求、傳輸安全需求、存儲與使用安全需求、服務端系統安全需求、終端系統安全需求、服務端與終端之間的身份認證需求等。

本文提出的IPTV DRM系統方案整體框架如圖1所示，灰色框圖部分為DRM的主要安全功能模塊。DRM系統通過對數字內容進行加密實現對數字內容的保護，同時采用多層密鑰的加密方式，并引入了完善的密鑰管理措施；為了傳輸安全，服務端與客戶端之間要進行雙向認證；為了適應靈活的商業策略，DRM還應需對客戶端進行授權。因此，IPTV DRM系統主要包括加解密系統、密鑰管理系統、授權管理系統、身份認證系統四個主要功能模塊。

IPTV DRM系統的業務流程如圖2所示。在直播系統中，媒體數據以TS流的形式傳播，TS是活動圖像專家組在制定MPEG-2系統標準時定義的復用一個或多個音頻、視頻和數據元素流的方法，TS流采用固定長度的包結構，具有較強的抵抗傳輸誤碼的能力［8,9］。下面對IPTV DRM系統中的加解密系統、密鑰管理系統、身份認證系統、授權管理系統四個功能模塊進行詳細介紹。

2.1 加解密系統

加解密系統的目的是對節目內容進行加密保護，并保證合法用戶在終端可以正常解密收看節目。加解密技術包括對稱加密技術和非對稱加密技術。對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。目前，使用比較普遍的主要對稱加密算法多為國外算法，包括DES，3DES，IDEA，AES等。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密。非對稱加密算法的保密性比較好，但加解密速度慢，不適于對數據量較大的文件進行加密而只適用于對少量數據進行加密。目前，在數字電視領域使用比較普遍的非對稱加密算法為RSA，其應用已非常成熟，在市場上有其各類產品，此外還可以采用ECC加密算法。

在本方案中，加解密系統采用四層密鑰體系，其中一層非對稱密鑰和三層對稱密鑰，非對稱密鑰為用戶ECC公私密鑰對、服務端ECC公私密鑰對(其中服務端ECC公私密鑰對只用于身份認證的簽名/驗證，對稱密鑰分別為個人密鑰PK(Personal Key)、業務密鑰SK(Service Key)、內容密鑰CK(Contend Key)。采用四層密鑰體系的原因是為了更好地服務于IPTV直播業務，用戶ECC私鑰綁定了用戶硬件信息，個人密鑰與用戶信息捆綁，業務密鑰則對應于節目信息(如一個節目或節目段)，內容密鑰對應于TS包。如圖2所示，在前端服務系統，用戶ECC公鑰加密個人密鑰PK，個人密鑰加密業務密鑰SK，PK密文與SK密文均以權利對象的方式發送給用戶終端；業務密鑰SK加密內容密鑰CK，內容密鑰CK用于音視頻內容的加擾，CK密文與TS流復用后通過組播的形式發送到用戶終端。用戶終端系統首先解析權利對象獲取PK密文與SK密文并儲存，采用與服務前端系統對應的解密過程獲取SK明文，其中PK的解密使用用戶ECC私鑰；然后對TS流組播數據進行解析，獲取音視頻內容密文流與CK密文流，采用SK解密CK，再通過CK對音視頻內容進行解擾，最后對音視頻內容進行解碼播放。

2.2 密鑰管理系統

密鑰管理系統是DRM系統的重要組成部分，它負責生成、分發和管理DRM系統使用的各種密鑰，同時密鑰管理系統維護節目(或節目分段)與內容密鑰的映射關系，并為節目的加密提供內容密鑰。密鑰管理系統不直接與用戶終端系統交互，前端通過授權管理系統發送權利對象為用戶發布密鑰。為支持IPTV直播業務對密鑰使用的特殊限制，密鑰管理系統將根據權利對象確定業務密鑰的有效使用時間，并將有效使用時間附在權利對象中。

非對稱密鑰也由密鑰管理系統生成，包括用戶ECC公私鑰對和服務端ECC公私鑰對。服務端ECC私鑰保存于前端服務系統，用戶ECC私鑰與硬件信息綁定(如儲存于智能卡中)，用戶ECC私鑰使用離線方式分發，即用戶到運營商處注冊獲取。ECC公鑰則通過認證系統的CA中心以數字證書的方式發送給對方，用戶與服務端均發送自己的公鑰至CA中心，由CA中心生成數字發送給對方。

2.3 身份認證系統

IPTV系統中的身份認證是指運營商(前端服務系統)和用戶(終端系統)相互確認身份的過程，即如何保證他們的物理身份與數字身份相對應。身份認證體系主要包括Kerberos及PKI(公鑰基礎設施)兩種主要的標準。Kerberos協議主要用于計算機網絡的身份鑒別，其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據訪問多個服務。由于在每個客戶端和服務端之間建立了共享密鑰，使得該協議具有相當的安全性。PKI是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份的一種體系。

本文的IPTV DRM方案采用PKI數字證書來實現身份認證。PKI采用各參與方都信任一個同一認證中心CA，由該CA來核對和驗證各參與方身份的身份這種信任機制。通過公鑰基礎設施PKI，交易雙方共同信任簽發其數字證書的認證中心CA。遵循PKI基礎設施的方法來獲得安全的好處有很多。單個應用程序隨時可以從基礎設施得到安全服務，增強并簡化了登錄過程，對終端用戶透明，在整個環境中提供全面的安全。實施PKI公開密鑰基礎設施的商業驅動包括了節省費用、互操作性、簡化管理，真正安全的可能性。

PKI的數字證書通過“數字簽名”保證證書不被冒仿，所謂“數字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證而無法比擬的。“數字簽名”是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它采用了規范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。本系統中的數字證書采用X.509國際標準的證書格式，以便實現多PKI運行系統的證書兼容。

在IPTV DRM中，前端服務系統與用戶終端系統分別將自己的ECC公鑰發送給CA中心，由CA中心生成數字證書。初始化時，服務端系統和用戶終端分別向CA證書中心申請對方的公鑰證書，并存儲在各自的系統中，用于后續交互信息的驗證。在身份認證過程中，首先由用戶向服務端提出節目申請，并使用用戶ECC私鑰進行簽名，然后服務端使用用戶ECC公鑰進行驗證；服務端在下發權利對象前使用服務端ECC私鑰進行簽名，在用戶端使用服務端的ECC公鑰進行驗證。

2.4 授權管理系統

授權指利用數字權利表示語言指定給予用戶的許可，以及可以行使這些許可的條件與義務。數字權利管理包含復雜的內容，從法律約束到電子商務模型和可用性。數字權利授權語言準確定義和描述了誰擁有何種數字信息產品的什么權限、按照何種協議和交易方式將哪些權限在什么范圍授予給誰。這些信息必須用標準的、開放的、計算機可識別的方式描述和標記，DRM系統才可能自動進行相應的記錄、識別、解析和解釋，并據此進行權限控制。數字權限授權語言目前有不少的國際標準，如XrML及ODRL。

IPTV DRM中的授權管理包括權限管理和權限交付。權限管理通過定義權限，并將其同特定的內容部分相關聯。權限交付對許可請求進行處理，對通過身份認證后的客戶端用戶進行相關權限審查，根據審查的結果進行授權交付或拒絕授權，授權交付生成相關許可信息并向用戶交付許可。同時，授權管理系統需要對所有用戶的權限進行管理與保護，負責按照用戶注冊、訂購或權利申請信息產生相應的密鑰和權利信息，然后組成權利對象，并進行加密及簽名發送給用戶終端。

3 結 語

本文采用軟件的方式對IPTV DRM解決方案進行了實驗驗證，搭建了試驗演示系統，其中信源采用AVS編碼，內容加密及對稱密鑰加密采用3DES加密算法，非對稱加密以及簽名/驗證采用ECC加密算法。試驗系統運行良好，充分驗證了該方案的可行性。但從安全的角度出發，只有使用硬件的方式來實現才能最大可能的保證安全。

隨著信息技術和通信技術的不斷進步，互聯網和寬帶通信網得到極大的發展，IPTV的市場潛力巨大。而有效的DRM應用解決方案是加速IPTV發展的前提條件。文章首先介紹了DRM的基本原理，然后結合IPTV直播系統的業務需求提出了IPTV DRM應用解決方案，相信本文的研究工作對DRM技術在IPTV中的應用有一定的借鑒意義。

參考文獻

［1］王美華,范科峰,王占武.IPTV中的數字版權管理方案研究［J］.中國有線電視，2006(8):754-757.

［2］張志彬,崔曉斐.IPTV內容安全關鍵技術分析［J］.深圳信息職業技術學院學報，2007,5(2):36-40.

［3］馬晉,周安民,吳少華,等.基于DRM技術的IPTV版權保護模型研究［J］.微計算機信息，2007,23(24):34-36.

［4］陳宏.IPTV的數字版權技術(DRM)(上篇)［J］.信息通信,2006(1):15-16.

［5］陳宏,葉凡.IPTV的數字版權技術(DRM)(下篇)［J］.信息通信,2006(2):14-16.

［6］Mandal P,Thakral A,Verma S.Watermark-based Digital Rights Management［A］.IEEE Information Technology:Coding and Computing,2005.ITCC2005.International Conference on.2005,1:74-78.

［7］Yusei Nishimoto,Akitsugu Baba,Tatsuya Kurioka,et al.A Digital Rights Management System for Digital Broadcasting Based on Home Servers［J］.IEEE Trans.on Broadcasting,2006,52(2):167-172.

［8］李二健.在IPTV平臺上集成有條件接收系統的研究［J］.現代電子技術，2006,29(24):4-7.

［9］吳鑫焱,周玉潔.OMA協議下的TS節目DRM解決方案［J］.信息安全與通信保密,2006(12):115-117.

［10］郭輝,葛建華.一種流媒體DRM系統及音視頻加解密模塊的研究與設計［J］.現代電子技術,2006,29(22):110-112.

作者簡介 葉 松 男，1979年出生，廣西橫縣人，博士后，2007年畢業于中國科學院合肥物質科學研究院，獲博士學位，現為航天信息股份有限公司博士后工作站(中國科學技術大學博士后流動站)在站博士后。研究方向為信息安全。

于志強 男，1976年出生，黑龍江大慶人，航天信息股份有限公司數字技術研究院工程師。研究方向為信息安全。

羅世新 男，1979年出生，湖北宜昌人，航天信息股份有限公司數字技術研究院工程師。研究方向為信息安全。