基于DRM技术的双向DTV安全解决方案

本文提出的双向DTV DRM安全方案由下列模块组成：

证书中心(CA)：为前端授权管理系统和终端签发数字证书，建立基于PKI的信任体系;终端和授权管理系统通过证书交换和密钥协商完成双向身份认证和安全通道建立;

授权管理系统：为终端生成许可证，并认证终端的身份，并为终端安全授权;

密码管理系统：生成各种密钥，并实现内容加密;对于直播内容在线实时加密;对于点播内容，实现离线预加密;

DRM代理：设备中的可信实体，实施对内容的许可和限制，控制内容使用。严格按照权限对数字内容进行操作;

内容分发服务器：存储并管理加密的数字内容，并按照不同业务模式分发内容;

密钥体系

本文提出的双向DTV DRM安全解决方案结合PKI非对称密码体系，建立了多层密钥体系。

密钥体系的最上面两层是设备公私钥对和用户密钥。对于诸如机顶盒的终端设备，在初始化时生成公私钥对，私钥在终端安全存储，公钥通过安全通道送到前端CA中心申请终端证书，这样服务端就维护着终端的设备公钥或证书。在为用户分发智能卡时需要初始化智能卡，并在智能卡内写入用户密钥或域密钥，并且服务端也维护用户密钥/域密钥和智能卡的对应关系。

对于直接加密内容的密钥，根据内容类型的不同，采用不同的密钥体系：

当数据内容是TS流或流文件时，密钥方案采用类CAS的实时加扰的密钥体系：首先使用控制字(CW)加扰内容，再使用业务密钥(SK)加密传输CW，加密的CW和节目控制数据被封装在ECM中，随内容数据一起广播。业务密钥被用户密钥(PK)/域密钥(DK)加密，可以封装在EMM中广播下发，或者通过双向IP信道端对端下发，如图3所示。

图3 流媒体的密钥体系

对于非TS流数据，如图像、动画数据等，本方案采用对称密钥加密的密钥体系，使用内容加密密钥(CEK)直接加密内容数据，内容加密密钥被封装在权限对象中使用用户密钥(PK)/域密钥(DK)加密，通过双向IP通道端对端下发，如图4所示。

图4 非流媒体的密钥体系

来源：21IC电子网