專利名稱:發送、接收流式媒體的方法及流式媒體認證系統的制作方法
技術領域:
本發明涉及流式媒體技術,尤其涉及發送、接收流式媒體的方法及流式媒體認證系統。
背景技術:
流式媒體是指使用流式傳輸技術的連續時基媒體,如音頻、視頻或其他多媒體文件。流式媒體在播放前并不下載整個文件,只將開始部分內容存入內存,流式媒體的數據流隨時傳送隨時播放,只是在開始時有一些延遲。與傳統的下載方式相比,流式媒體技術一方面可大大縮短用戶的等待時延,并降低客戶端系統對緩存容量的需求,另一方面又可適用于諸如現場直播等形式的實時媒體傳播。流式媒體實現的關鍵技術就是流式傳輸。流式傳輸主要指通過網絡傳送媒體(如視頻、音頻)的技術。
數字簽名是確認信息來源和完整性的基本手段。對任意大小的輸入數據,數字簽名技術使用私鑰生成一個相對短小且固定長度的字節字符串,即簽名。簽名具有兩個屬性一是如果提供了與生成簽名的私鑰相對應的公鑰,就可以驗證輸入的真實性和完整性;二是簽名和公鑰不會泄露私鑰的相關信息。
隨著網絡化、數字化的發展,流式媒體技術得到了廣泛應用。如,在數字電視廣播領域得到廣泛應用的傳輸(Transport Stream,簡稱TS)流和網絡電視(Internet Protocol Television,簡稱IPTV)領域里采用的實時傳輸(Real-time Transport Protocol,簡稱RTP)流。除此之外,流式媒體還以不同的格式應用于視頻點播(Video on Demand,簡稱VOD)、可視電話、視頻會議、視頻監控、遠程教育和遠程醫療等領域。
在用戶獲取流式媒體越來越容易的情況下,對用戶來說,能夠確認流式媒體來源的真實性和流式媒體內容的完整性是十分重要的。出于安全考慮,用戶需要對節目來源進行認證,以確保消費的節目確實來自可信任的業務提供商(Service Provider)。
但對于業務提供商(比如,電視臺),目前普遍采取資質認證的方式,由監管部門頒發紙質的業務許可證。同時,對播出的節目,在各級監控中心,主要以人工的方式對接收到的開路信號的合法性進行辨別。這雖然對廣播電視安全起到了一定的作用,但存在很大的局限性首先是監控網絡很難做到完全覆蓋;其次,人工的方式必然需要一定的反應時間。從根本上說,“監控”很難做到萬無一失,因此應考慮一旦非法信號進入了消費終端,終端應該如何處理。顯然,在目前情況下,難以避免非法信號被合法終端所消費。
現在也有采用數字證書的方式實現業務提供商的身份認證。但其針對的是數字廣播電視領域的視頻流,對于種類繁多的流式媒體的其他應用場景并不能很好適用;另外,其認證辦法是,對視頻幀做簽名和驗證,簽名結果直接附在視頻幀后面或以水印方式嵌入視頻流,這種辦法不太靈活,終端在提取數字簽名時運算量較大(比如,水印檢測)。
發明內容
本發明的目的在于針對現有技術所存在的缺陷,提供一種流式媒體認證方法及系統,實現對流式媒體真實性完整性的認證,滿足監管部門對流式媒體傳播的監管要求和用戶認證流式媒體的需求。
為了實現上述目的,本發明提供了一種發送流式媒體的方法,將流式媒體分割為流式媒體分段;利用私鑰對流式媒體分段進行數字簽名;發送流式媒體及認證信息,所述認證信息中包含數字證書以及數字簽名結果。
可根據簽名模式信息將流式媒體分割為流式媒體分段,并將簽名模式信息加入到認證信息中;可以簽名模式規定的認證單元為單位對流式媒體進行分割,每個流式媒體分段包括一個認證單元。可對流式媒體分段進行全部簽名或部分簽名。在進行數字簽名后,可進一步建立數字簽名結果與流式媒體分段的對應關系,并將該對應關系加入到認證信息中。可將認證信息與流式媒體集成在同一數據流上發送,也可將獲取認證信息的說明信息與流式媒體一同發送。
本發明還提供了一種接收流式媒體的方法,接收流式媒體分段及認證信息;所述認證信息中包含數字證書及數字簽名結果;驗證數字證書;若數字證書合法則驗證流式媒體分段的數字簽名。
接收數據流時,若數據流是包含流式媒體及認證信息的數據流,則從數據流中提取流式媒體及認證信息;若數據流是包含流式媒體及獲取認證信息的說明信息的數據流,則從數據流中提取流式媒體以及該說明信息,并根據說明信息獲取認證信息。在驗證數字簽名時,可根據簽名模式信息和/或數字簽名結果與流式媒體分段的對應關系,從認證信息中提取當前處理的流式媒體分段的數字簽名結果,然后利用數字證書中的公鑰驗證流式媒體分段的數字簽名結果。
本發明又提供了一種流式媒體認證系統,包括前端系統,用于發送匹配有數字證書和數字簽名的流式媒體;該前端系統包括分割模塊,用于將流式媒體分割為流式媒體分段;簽名模塊,用于利用私鑰對流式媒體分段進行數字簽名;發送模塊,用于發送流式媒體及認證信息,所述認證信息中包含數字證書及數字簽名結果;終端系統,用于接收流式媒體并對流式媒體的合法性進行認證;該終端系統包括接收模塊,用于接收流式媒體及認證信息;數字證書驗證模塊,用于驗證數字證書;數字簽名驗證模塊,用于驗證流式媒體分段的數字簽名。
本發明實現了對流式媒體真實性完整性的認證,滿足了權力部門對流式媒體傳播的監管要求和用戶認證流式媒體的需求,即在前端確保只發送合法的流式媒體,在終端確保用戶只消費合法的流式媒體。
下面通過附圖和實施例,對本發明的技術方案做進一步的詳細描述。
圖1為本發明的流式媒體認證系統結構圖;圖2為本發明的發送流式媒體的方法流程圖;圖3為本發明的前端系統一實施例結構示意圖;圖4為本發明的流式媒體接收方法流程圖;圖5為本發明的流式媒體接收方法一實施例流程圖。
具體實施例方式
如圖1所示,為本發明的流式媒體認證系統結構圖。該系統包括前端系統和終端系統兩部分。前端系統用于發送合法的流式媒體,為流式媒體配備合法的數字證書和合法的數字簽名,使其成為合法的流式媒體。終端系統用于接收流式媒體并對流式媒體的合法性進行認證,只有通過終端系統合法性認證的流式媒體才會被解碼播放。
前端系統包括分割模塊、簽名模塊及發送模塊。分割模塊根據簽名模式信息將流式媒體分割為流式媒體分段。簽名模塊利用私鑰對流式媒體分段進行數字簽名。發送模塊發送流式媒體及認證信息,所述認證信息中包含數字證書以及數字簽名結果。
終端系統包括接收模塊,數字證書驗證模塊以及數字簽名驗證模塊。接收模塊接收流式媒體及認證信息。數字證書驗證模塊驗證數字證書。在數字證書合法的情況下,數字簽名驗證模塊驗證流式媒體分段的數字簽名。
如圖2所示,為本發明的發送流式媒體的方法流程圖,包括如下步驟步驟A1、將流式媒體分割為流式媒體分段;步驟A2、利用私鑰對流式媒體分段進行數字簽名;步驟A3、發送流式媒體及認證信息,所述認證信息中包含數字證書、數字簽名結果以及數字簽名結果與流式媒體分段的對應關系。
根據不同的應用場景,傳輸流式媒體的數據流的類型可能有所不同。因此,簽名模式中規定的認證單元也會有所不同。比如,視頻流的認證單元可以是一到多個視頻幀,音頻流的認證單元可以是固定的時間段,傳輸流(Transport Stream,簡稱TS)的認證單元可以是一到多個TS包或PES包(Packetized Elementary Stream,簡稱PES),RTP流的認證單元可以是一到多個RTP包或訪問單元(等同于幀)。而每個流式媒體分段包括一個認證單元。在對流式媒體分段簽名時,可以全簽,即對所有流式媒體分段都簽名,也可以有選擇性的部分簽,比如每10個連續的流式媒體分段簽第1個流式媒體分段。具體采用哪種方式,可以根據相關規定和應用需求在簽名模式中指出。
當有多種簽名模式可供選擇時,需要將簽名模式信息通知終端系統,以使終端系統可以采用相應的方式驗證簽名。簽名模式信息可加入到認證信息中發送至終端系統。終端系統根據簽名模式信息可以得知流式媒體是如何分割,如何簽名的。簽名模式的某些參數甚至可由前端系統和終端系統在流式媒體傳輸前協商確定,比如根據終端系統的運算能力確定認證單元的大小(認證單元越大,所需的簽名驗證次數越少)。
為了與靈活的簽名模式相適應,在對流式媒體分段簽名的同時,還可收集各流式媒體分段的數字簽名結果,并建立數字簽名結果與流式媒體分段的對應關系。從而,終端系統可方便地根據該對應關系提取所需的數字簽名結果。如圖3所示,為本發明的前端系統一實施例結構示意圖,本實施例在圖1所示前端系統的基礎上加入了一個對應關系建立模塊,該模塊專門用于收集各流式媒體分段的數字簽名結果,建立數字簽名結果與流式媒體分段的對應關系,并將該對應關系發送至發送模塊。
認證信息可以采取“帶內”和“帶外”兩種傳送方式。“帶內”即,認證信息與流式媒體集成在同一個數據流上一起傳送;“帶外”即,認證信息與流式媒體分開傳送,這種情況下,數據流中包括流式媒體以及關于如何獲取認證信息的說明信息。
根據具體應用的不同,步驟A1、A2及A3的執行順序會有所不同。若采用預簽名方式,則事先完成對整個流式媒體的分割及簽名,然后再進行傳輸,即先執行步驟A1和A2,然后再執行A3發送;若采用實時簽名方式,則分割出一個流式媒體分段,然后簽名發送,再分割出下一個流式媒體分段,此時,步驟A1、A2及A3構成一個處理循環。
如圖4所示,為本發明的流式媒體接收方法流程圖,包括如下步驟步驟B1、接收流式媒體分段及認證信息;步驟B2、驗證數字證書;步驟B3、若數字證書合法則驗證流式媒體分段的數字簽名。
當認證信息以“帶內”方式發送時,終端系統可以從接收到的數據流中提取出認證信息;當以“帶外”方式發送時,終端系統需要從數據流中提取獲取認證信息的說明信息,然后根據該說明信息獲取認證信息。
若終端系統沒有獲取到業務提供商的數字證書,則表明流式媒體非法,終端系統停止接收該流式媒體,并拋棄已接收的流式媒體分段。若有數字證書,則驗證該數字證書是否合法,若合法則繼續驗證流式媒體的數字簽名,若數字簽名通過驗證,則說明流式媒體分段合法,則可送解碼單元解碼播放。
為了驗證數字證書的合法性,終端系統中要存儲業務提供商的數字證書頒發者的證書,利用該上級證書驗證業務提供商的數字證書是否合法。
如圖5所示,為本發明的流式媒體接收方法一實施例流程圖,包括如下步驟步驟101、接收數據流,從中提取流式媒體分段及認證信息;步驟102、判斷認證信息中是否有數字證書,若沒有,執行步驟103,否則,執行步驟104;步驟103、停止接收該數據流,并拋棄已接收的流式媒體分段;步驟104、用數字證書的上級證書驗證數字證書的合法性,若驗證未通過,說明流式媒體非法,執行步驟103,若驗證通過,說明數字證書合法,執行步驟105;步驟105、根據認證信息中的數字簽名模式、數字簽名結果、數字簽名結果與流式媒體分段的對應關系提取出當前處理的流式媒體分段的數字簽名;步驟106、根據簽名模式,用數字證書中的公鑰驗證流式媒體分段的數字簽名,若驗證未通過,執行步驟107,否則,執行步驟108;步驟107、拋棄該流式媒體分段;步驟108、將流式媒體分段送解碼器解碼播放;步驟109、判斷流式媒體分段是否均處理完畢,若沒有處理完,則繼續處理下一流式媒體分段,執行步驟105。
需要根據簽名模式來進行數字簽名的驗證。例如,若以TS中的PES包或者RTP流中的訪問單元作為簽名的單元,由于PES可能被分配到多個TS包中,而訪問單元也可能被分配到多個RTP包中,因此終端系統在接收到數據報后,需要先進行處理,恢復成PES包或者訪問單元,然后再進行簽名驗證。若以TS包或RTP包等基本傳輸單元為認證單元,那么每接收到一個數據包就可以進行簽名驗證,驗證未通過則丟棄,驗證通過則進行后續的處理。
本發明提供了一種普遍適用的流式媒體認證方法與系統,為流式媒體的安全傳播提供了保障機制。本發明實現了對流式媒體真實性完整性的認證,滿足了權力部門對流式媒體傳播的監管要求和用戶認證流式媒體的需求,即在前端確保只發送合法的流式媒體,在終端確保用戶只消費合法的流式媒體。對流式媒體的不同應用領域(如數字電視廣播、IPTV等)和流式媒體的不同傳播方式(如廣播、點播、P2P等),本發明提供的一種流式媒體認證方法與系統可以直接應用或作為擴展應用的基礎。
最后應當說明的是以上實施例僅用以說明本發明的技術方案而非對其限制;盡管參照較佳實施例對本發明進行了詳細的說明,所屬領域的普通技術人員應當理解,依然可以對本發明的具體實施方式
進行修改或者對部分技術特征進行等同替換;而不脫離本發明技術方案的精神,其均應涵蓋在本發明請求保護的技術方案范圍當中。
權利要求
1.一種發送流式媒體的方法,其特征在于,該方法包括如下步驟將流式媒體分割為流式媒體分段;利用私鑰對流式媒體分段進行數字簽名;發送流式媒體及認證信息,所述認證信息中包含數字證書以及數字簽名結果。
2.根據權利要求1所述的發送流式媒體的方法,其特征在于,所述將流式媒體分割為流式媒體分段的步驟具體為根據簽名模式信息將流式媒體分割為流式媒體分段,并將簽名模式信息加入到認證信息中。
3.根據權利要求1所述的發送流式媒體的方法,其特征在于,所述將流式媒體分割為流式媒體分段的步驟具體為以簽名模式規定的認證單元為單位對流式媒體進行分割,每個流式媒體分段包括一個認證單元。
4.根據權利要求1所述的發送流式媒體的方法,其特征在于,所述利用私鑰對流式媒體分段進行數字簽名的步驟具體為對流式媒體分段進行全部簽名或部分簽名。
5.根據權利要求1所述的發送流式媒體的方法,其特征在于,在進行數字簽名后,建立數字簽名結果與流式媒體分段的對應關系,并將該對應關系加入到認證信息中。
6.根據權利要求1-5任一所述的發送流式媒體的方法,其特征在于,所述發送流式媒體及認證信息的步驟具體為將認證信息與流式媒體集成在同一數據流上發送。
7.根據權利要求1-5任一所述的發送流式媒體的方法,其特征在于,所述的發送流式媒體及認證信息的步驟具體為在不同數據流上發送流式媒體及認證信息,發送流式媒體時攜帶獲取認證信息的說明信息。
8.一種接收流式媒體的方法,其特征在于,所述方法包括如下步驟接收流式媒體分段及認證信息;所述認證信息中包含數字證書及數字簽名結果;驗證數字證書;若數字證書合法則驗證流式媒體分段的數字簽名。
9.根據權利要求8所述的接收流式媒體的方法,其特征在于,所述接收流式媒體分段及認證信息的步驟具體為接收包含流式媒體及認證信息的數據流,從數據流中提取流式媒體及認證信息。
10.根據權利要求8所述的接收流式媒體的方法,其特征在于,所述接收流式媒體分段及認證信息的步驟具體為接收包含流式媒體及獲取認證信息的說明信息的數據流,根據所述說明信息獲取認證信息。
11.根據權利要求8-10任一所述的接收流式媒體的方法,其特征在于,所述驗證數字簽名的步驟具體為從認證信息中提取當前處理的流式媒體分段的數字簽名結果,利用數字證書中的公鑰驗證流式媒體分段的數字簽名結果。
12.根據權利要求11所述的接收流式媒體的方法,其特征在于,所述認證信息中還包括簽名模式信息,所述從認證信息中提取當前處理的流式媒體分段的數字簽名結果的步驟具體為根據簽名模式信息提取認證信息中的當前處理的流式媒體分段的數字簽名結果。
13.根據權利要求11所述的接收流式媒體的方法,其特征在于,所述認證信息還包括數字簽名結果與流式媒體分段的對應關系,所述從認證信息中提取當前處理的流式媒體分段的數字簽名結果的步驟具體為根據數字簽名結果與流式媒體分段的對應關系從認證信息中提取當前處理的流式媒體分段的數字簽名結果。
14.根據權利要求11所述的接收流式媒體的方法,其特征在于,所述利用數字證書中的公鑰驗證流式媒體分段的數字簽名的步驟具體為利用合法數字證書的公鑰,根據簽名模式信息驗證流式分體分段的數字簽名結果。
15.一種流式媒體認證系統,其特征在于,所述系統包括前端系統,用于發送匹配有數字證書和數字簽名的流式媒體;該前端系統包括分割模塊,用于將流式媒體分割為流式媒體分段;簽名模塊,用于利用私鑰對流式媒體分段進行數字簽名;發送模塊,用于發送流式媒體及認證信息,所述認證信息中包含數字證書及數字簽名結果;終端系統,用于接收流式媒體并對流式媒體的合法性進行認證;該終端系統包括接收模塊,用于接收流式媒體及認證信息;數字證書驗證模塊,用于驗證數字證書;數字簽名驗證模塊,用于驗證流式媒體分段的數字簽名。
16.根據權利要求15所述的流式媒體認證系統,其特征在于,所述前端系統還包括對應關系建立模塊,用于收集各流式媒體分段的數字簽名結果,建立數字簽名結果與流式媒體分段的對應關系,并將該對應關系發送至發送模塊。
17.一種流式媒體前端系統,其特征在于,所述系統包括分割模塊,用于根據簽名模式信息將流式媒體分割為流式媒體分段;簽名模塊,用于利用私鑰對流式媒體分段進行數字簽名;發送模塊,用于發送流式媒體及認證信息,所述認證信息中包含數字證書及數字簽名結果。
18.根據權利要求17所述的流式媒體認證系統,其特征在于,所述流式媒體前端系統還包括對應關系建立模塊,用于收集各流式媒體分段的數字簽名結果,建立數字簽名結果與流式媒體分段的對應關系,并將該對應關系發送至發送模塊。
19.一種流式媒體終端系統,其特征在于,所述系統包括接收模塊,用于接收流式媒體及認證信息;所述認證信息中包含數字證書以及數字簽名結果;數字證書驗證模塊,用于驗證數字證書;數字簽名驗證模塊,用于驗證流式媒體分段的數字簽名。
全文摘要
本發明涉及發送流式媒體的方法,將流式媒體分割為流式媒體分段;利用私鑰對流式媒體分段進行數字簽名;發送流式媒體及認證信息,所述認證信息中包含數字證書以及數字簽名結果。本發明還涉及接收流式媒體的方法,接收流式媒體分段及認證信息;所述認證信息中包含數字證書及數字簽名結果;驗證數字證書;若數字證書合法則驗證流式媒體分段的數字簽名。本發明又涉及流式媒體認證系統,包括前端系統和終端系統,其中前端系統包括分割模塊、簽名模塊及發送模塊,終端系統包括接收模塊、數字證書驗證模塊及數字簽名驗證模塊。本發明實現了對流式媒體真實性完整性的認證,即在前端確保只發送合法的流式媒體,在終端確保用戶只消費合法的流式媒體。
文檔編號H04L9/08GK101051906SQ20071009913
公開日2007年10月10日 申請日期2007年5月14日 優先權日2007年5月14日
發明者黃鐵軍, 牟倫田 申請人:北京大學