專利名稱:Iptv用戶安全終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IPTV(Internet Protocol Television)安全應(yīng)用技術(shù),特別涉及一種 IPTV用戶安全終端。
背景技術(shù):
IPTV是基于寬帶互聯(lián)網(wǎng)的一種以數(shù)字音視頻資源為主體��,以電視機��、計算機等為 顯示終端的媒體服務(wù)��,是互聯(lián)網(wǎng)業(yè)務(wù)和傳統(tǒng)電視業(yè)務(wù)融合后產(chǎn)生的新業(yè)務(wù)�����。IPTV是基于內(nèi) 容管理的����、開放的�����、交互的音視頻內(nèi)容和業(yè)務(wù)經(jīng)營系統(tǒng)����,由于IP網(wǎng)絡(luò)上數(shù)字化的節(jié)目內(nèi)容 播發(fā)過程中存在許多安全隱患,因此����,有效的版權(quán)管理能夠?qū)崿F(xiàn)音視頻節(jié)目的版權(quán)保護(hù)和 合法消費�。保護(hù)IPTV數(shù)字媒體內(nèi)容版權(quán)的安全��,需要建立起一套包括加密��、認(rèn)證和權(quán)限管 理的安全機制,通過采用媒體內(nèi)容加密�����、身份認(rèn)證����、頒發(fā)用戶權(quán)利許可證等安全手段�,使得 只有授權(quán)的用戶才能消費特定的節(jié)目��,只有允許的節(jié)目才能播出�����,防止非法播放、非法收視 和非法傳播�。IPTV用戶終端的安全性和可靠性是確保IPTV數(shù)字媒體內(nèi)容安全的一個關(guān)鍵環(huán) 節(jié),關(guān)乎IPTV整體系統(tǒng)安全的成敗����。本發(fā)明結(jié)合IPTV的平臺特性��、業(yè)務(wù)特點�、安全需求�����,提 出適用于IPTV直播業(yè)務(wù)和點播業(yè)務(wù)的用戶安全終端系統(tǒng)。
發(fā)明內(nèi)容
本發(fā)明的目的在于��,解決IPTV用戶終端安全隱患的技術(shù)問題����。為達(dá)到上述目的�����,本發(fā)明提供一種IPTV安全終端,包括身份認(rèn)證模塊��、授權(quán)信息 解密模塊����、授權(quán)存儲與管理模塊��、密鑰存儲與管理模塊����、密鑰解密模塊����、內(nèi)容解擾模塊、上 行信息加密模塊����、解碼模塊和用戶輸入模塊����。其中,所述身份認(rèn)證模塊包括ECC(Elliptic Curve Cryptosystems����,橢圓曲線密碼體制)簽名模塊和ECC驗證模塊。所述ECC驗證模塊負(fù)責(zé)對接收的授權(quán)發(fā)放信息進(jìn)行身份驗證,所述ECC簽名模塊 負(fù)責(zé)上傳數(shù)據(jù)的簽名���,所述上傳數(shù)據(jù)為加密后的用戶注冊�、訂購或權(quán)限申請等上行信息。所述授權(quán)信息解密模塊負(fù)責(zé)對接收到的權(quán)利對象(R0�,Right Object)信息數(shù)據(jù)進(jìn) 行解密��,解密出的密鑰送至所述密鑰存儲與管理模塊保存���,解出的權(quán)限信息送至所述授權(quán) 存儲與管理模塊保存。所述授權(quán)存儲與管理模塊負(fù)責(zé)對接收的權(quán)限信息進(jìn)行解析�,執(zhí)行權(quán)限管理的功 能���,包括驗證權(quán)限的有效性���、通過權(quán)限信息控制用于解密內(nèi)容的密鑰的使用等����。存儲每個節(jié) 目的權(quán)限信息,并根據(jù)權(quán)限內(nèi)容控制是否可以對節(jié)目進(jìn)行消費�����、復(fù)制或轉(zhuǎn)發(fā)等�。所述密鑰存儲與管理模塊配合所述授權(quán)存儲與管理模塊實現(xiàn)各種密鑰的存儲與 管理���,包括確保密鑰的安全存儲�����,并提供合理的密鑰存儲地址/空間管理與調(diào)度�����、密鑰查詢 /調(diào)用管理等功能�����。所述密鑰解密模塊負(fù)責(zé)對內(nèi)容密鑰進(jìn)行解密,如果對應(yīng)節(jié)目的權(quán)限在許可范圍 內(nèi)�,則解密內(nèi)容密鑰����,并把內(nèi)容密鑰送給所述內(nèi)容解擾模塊,解擾節(jié)目內(nèi)容��。
3
所述內(nèi)容解擾模塊負(fù)責(zé)對服務(wù)前端發(fā)放的數(shù)字媒體內(nèi)容�����,即傳輸?shù)墓?jié)目流進(jìn)行解 擾���,然后傳送給所述解碼模塊進(jìn)行解碼播放����。所述用戶輸入模塊負(fù)責(zé)將上行信息(包括用戶注冊���、節(jié)目訂購�����、權(quán)限申請等相關(guān) 業(yè)務(wù)請求信息和用戶標(biāo)志)按規(guī)定格式進(jìn)行封裝,然后發(fā)送給所述上行信息加密模塊��。所述上行信息加密模塊負(fù)責(zé)對所述用戶輸入模塊接收的用戶在線注冊、節(jié)目訂 購、權(quán)限申請等上行信息進(jìn)行加密,生成所述上傳數(shù)據(jù)�����。本發(fā)明的有益效果在于,充分考慮了 IPTV的平臺特點以及業(yè)務(wù)特點�����,利用IPTV良 好的交互性�����,通過身份認(rèn)證���、權(quán)限管理��、密鑰加密保護(hù)�、內(nèi)容加密保護(hù)等方法確保只有授權(quán) 用戶才能收看節(jié)目。本發(fā)明的用戶安全終端具有良好的擴展性,可滿足IPTV的直播��、點播 等業(yè)務(wù),能有效地保護(hù)IPTV的數(shù)字媒體內(nèi)容安全���。
圖1為本發(fā)明IPTV安全終端整體框圖�;圖2為用戶終端授權(quán)申請的工作流程圖��;圖3為用戶終端播放節(jié)目的工作流程圖。附圖標(biāo)記說明I-IPTV用戶安全終端;10-身份認(rèn)證模塊����;101-ECC簽名模塊;102-ECC驗證模塊���; 11-授權(quán)信息解密模塊�;12-授權(quán)存儲與管理模塊��;13-密鑰存儲與管理模塊�;14-密鑰解密 模塊;15-內(nèi)容解擾模塊;16-上行信息加密模塊����;17-解碼模塊���;18-用戶輸入模塊;2-服 務(wù)前端;3-認(rèn)證中心����。
具體實施例方式下面通過具體實施方式
并結(jié)合附圖對本發(fā)明做進(jìn)一步詳細(xì)的描述���。如圖1所示,本發(fā)明提供的IPTV用戶安全終端1包括身份認(rèn)證模塊10�����、授權(quán)信息 解密模塊11�、授權(quán)存儲與管理模塊12、密鑰存儲與管理模塊13���、密鑰解密模塊14、內(nèi)容解擾 模塊15���、上行信息加密模塊16����、解碼模塊17和用戶輸入模塊18����。其中��,身份認(rèn)證模塊10包 ECC(Elliptic Curve Cryptosystems,橢圓曲線密碼體制)簽名模塊101和ECC驗證模 塊 102��。身份認(rèn)證模塊10中的ECC驗證模塊102負(fù)責(zé)對接收的授權(quán)發(fā)放信息進(jìn)行身份驗 證�����,ECC簽名模塊101負(fù)責(zé)上傳數(shù)據(jù)的簽名����,所述上傳數(shù)據(jù)為加密后的用戶注冊、訂購或權(quán) 限申請信息和用戶標(biāo)志���。授權(quán)信息解密模塊11負(fù)責(zé)對接收到的權(quán)利對象(R0���,Right Object)信息數(shù)據(jù)進(jìn) 行解密,解密出的密鑰送密鑰存儲與管理模塊13保存���,解出的權(quán)限信息送授權(quán)存儲與管理 模塊12保存�。授權(quán)存儲與管理模塊12負(fù)責(zé)對接收的權(quán)限信息進(jìn)行解析�����,執(zhí)行權(quán)限管理的功能, 包括驗證權(quán)限的有效性���、通過權(quán)限信息控制用于解密內(nèi)容的密鑰的使用等����。存儲每個節(jié)目 的權(quán)限信息��,并根據(jù)權(quán)限內(nèi)容控制是否可以對節(jié)目進(jìn)行消費、復(fù)制或轉(zhuǎn)發(fā)等����。密鑰存儲與管理模塊13配合授權(quán)存儲與管理模塊12實現(xiàn)各種密鑰的存儲與管 理���,包括確保密鑰的安全存儲�����,并提供合理的密鑰存儲地址/空間管理與調(diào)度��、密鑰查詢/調(diào)用管理等功能。密鑰解密模塊14負(fù)責(zé)對內(nèi)容密鑰進(jìn)行解密����,如果對應(yīng)節(jié)目的權(quán)限在許可范圍內(nèi)���, 則解密內(nèi)容密鑰�,并把內(nèi)容密鑰送給內(nèi)容解擾模塊15解擾節(jié)目內(nèi)容����。直播節(jié)目的內(nèi)容密鑰 隨節(jié)目流實時分發(fā)���,先對接收的節(jié)目流進(jìn)行解析分離出內(nèi)容密鑰的密文流��,然后解密獲得 內(nèi)容密鑰��,再把內(nèi)容密鑰送給內(nèi)容解擾模塊15 ���;點播節(jié)目的內(nèi)容密鑰以權(quán)利對象(RO)的形 式分發(fā)�,直接解密內(nèi)容密鑰并發(fā)送給內(nèi)容解擾模塊15��。內(nèi)容解擾模塊15負(fù)責(zé)對服務(wù)前端2發(fā)放的數(shù)字媒體內(nèi)容,即傳輸?shù)墓?jié)目流進(jìn)行解 擾�����,然后傳送給解碼模塊17進(jìn)行解碼播放�����。用戶輸入模塊I8負(fù)責(zé)將上行信息(包括用戶注冊�、節(jié)目訂購��、權(quán)限申請等相關(guān)業(yè) 務(wù)請求信息和用戶標(biāo)志)按規(guī)定格式進(jìn)行封裝���,然后發(fā)送給上行信息加密模塊16�。上行信息加密模塊16負(fù)責(zé)對用戶輸入模塊18接收的用戶在線注冊���、節(jié)目訂購����、權(quán) 限申請等上行信息進(jìn)行加密����,生成所述上傳數(shù)據(jù)���。圖2所示為IPTV用戶安全終端在申請權(quán)利信息時的主要工作流程步驟201 :IPTV用戶安全終端1初始化工作。在系統(tǒng)工作前首先要對用戶終端進(jìn) 行初始化,初始化工作包括用戶終端1生成ECC公私密鑰對��,向認(rèn)證中心3 (Certificate Authority, CA)申請服務(wù)前端2公鑰證書并下載保存在密鑰存儲與管理模塊13中,向認(rèn)證 中心3發(fā)送用戶端公鑰并由認(rèn)證中心3生成用戶端公鑰證書供服務(wù)前端2下載使用��,等等����。步驟202:用戶輸入模塊18將上行信息(包括用戶注冊����、節(jié)目訂購�、權(quán)限申請等相 關(guān)業(yè)務(wù)請求信息和用戶標(biāo)志)按規(guī)定格式進(jìn)行封裝,然后發(fā)送給上行信息加密模塊16�。步驟203 上行信息加密模塊16對部分私有信息(需要保護(hù)的用戶信息)進(jìn)行加 密,然后發(fā)送給身份認(rèn)證模塊10的ECC簽名模塊101進(jìn)行簽名��。步驟204 由身份認(rèn)證模塊10的ECC簽名模塊101對上行信息進(jìn)行簽名,經(jīng)加密 及簽名后的申請信息發(fā)送給服務(wù)前端2��。步驟205 服務(wù)前端2對用戶的申請信息進(jìn)行簽名驗證并確定用戶身份,同時對用 戶的申請信息進(jìn)行解密�����,為合法的用戶發(fā)放相應(yīng)的授權(quán)信息�。授權(quán)信息以權(quán)利對象(RO)的 形式發(fā)送���,其中包括了各類業(yè)務(wù)相關(guān)的密鑰密文以及權(quán)利信息等。步驟206 用戶終端1在接收到權(quán)利對象RO后�����,首先由ECC驗證模塊102驗證服 務(wù)前端2系統(tǒng)的身份���,通過驗證的權(quán)利對象RO發(fā)送給授權(quán)信息解密模塊11。步驟207 授權(quán)信息解密模塊11將接收到權(quán)利對象RO分離出權(quán)限管理信息和密 鑰信息��,并分別進(jìn)行解密。將解密后的權(quán)限管理信息送給授權(quán)存儲與管理模塊12處理和保 存����。步驟208 授權(quán)信息解密模塊11將解密后的密鑰信息送給密鑰存儲管理模塊13 保存����。IPTV用戶安全終端1在接收到相關(guān)業(yè)務(wù)的權(quán)利信息并解密出相應(yīng)的密鑰后就可 以在權(quán)限許可的范圍內(nèi)觀看對應(yīng)的節(jié)目內(nèi)容�。用戶終端的節(jié)目權(quán)利管理信息由權(quán)利對象RO定義,當(dāng)用戶選播節(jié)目或打開節(jié)目 文件時�,授權(quán)存儲與管理模塊12將根據(jù)電子節(jié)目單向?qū)PG(ElectriCPr0gram Guide)中 解析出的節(jié)目標(biāo)識CID (Content Identifier) /密鑰標(biāo)識KID (Key Identifier)來獲取該 節(jié)目的權(quán)利信息。
圖3給出了 IPTV用戶安全終端1在播放節(jié)目的工作流程圖,用戶播放節(jié)目的基本 操作過程如下步驟301 用戶按照EPG選播節(jié)目�����。步驟302 授權(quán)存儲與管理模塊12檢查該用戶是否有權(quán)消費所選節(jié)目�,即根據(jù)節(jié) 目的CID/KID查詢本地是否已存有對應(yīng)的權(quán)利信息。如果已存有權(quán)利信息�����,且符合播放權(quán) 限要求(有效期�����、使用時間����、使用次數(shù)等相關(guān)權(quán)利信息)���,則執(zhí)行步驟305 �����;如果用戶終端中 沒有該節(jié)目的權(quán)利信息(或權(quán)利信息已失效),則執(zhí)行步驟303����。步驟303 轉(zhuǎn)入業(yè)務(wù)訂購/權(quán)限申請程序�,用戶安全終端1向服務(wù)前端2訂購或申 請該節(jié)目的權(quán)利信息,以獲取其消費權(quán)限及其解密密鑰。步驟304 授權(quán)存儲與管理模塊12檢查該用戶是否獲得該節(jié)目的消費權(quán)限����。如獲 得權(quán)限則執(zhí)行步驟305 �����;如未獲得消費權(quán)限則執(zhí)行步驟308�。步驟305 由密鑰解密模塊14解密內(nèi)容密鑰�����,同時,授權(quán)存儲與管理模塊12自動 記錄或修改該節(jié)目的使用時間����、使用次數(shù)等相關(guān)信息��,以供下次選播節(jié)目時判定其使用權(quán) 限。步驟306 將解密出的內(nèi)容密鑰送給內(nèi)容解擾模塊15���,進(jìn)行內(nèi)容解擾。步驟307 由解碼模塊17對節(jié)目解碼��,播放節(jié)目。步驟308 用戶判斷是否繼續(xù)選播節(jié)目�����,如繼續(xù)選播則執(zhí)行步驟301 ���;如不再選播 節(jié)目�,則結(jié)束。以上對本發(fā)明的描述是說明性的���,而非限制性的��,本專業(yè)技術(shù)人員理解�,在權(quán)利要 求限定的精神與范圍之內(nèi)可對其進(jìn)行許多修改��、變化或等效,但是它們都將落入本發(fā)明的 保護(hù)范圍內(nèi)����。
權(quán)利要求
一種IPTV用戶安全終端����,其特征在于,該終端包括身份認(rèn)證模塊���、授權(quán)信息解密模塊���、授權(quán)存儲與管理模塊���、密鑰存儲與管理模塊��、密鑰解密模塊、內(nèi)容解擾模塊�����、上行信息加密模塊�����、解碼模塊和用戶輸入模塊��;所述身份認(rèn)證模塊包括橢圓曲線密碼體制簽名模塊和橢圓曲線密碼體制驗證模塊����;所述橢圓曲線密碼體制驗證模塊負(fù)責(zé)對接收的授權(quán)發(fā)放信息進(jìn)行身份驗證����,所述橢圓曲線密碼體制簽名模塊負(fù)責(zé)對上傳的數(shù)據(jù)進(jìn)行簽名;所述授權(quán)信息解密模塊負(fù)責(zé)對接收到的權(quán)利對象信息數(shù)據(jù)進(jìn)行解密����,解密出的密鑰送至所述密鑰存儲與管理模塊保存��,解出的權(quán)限信息送至所述授權(quán)存儲與管理模塊保存;所述授權(quán)存儲與管理模塊負(fù)責(zé)對接收的權(quán)限信息進(jìn)行解析,執(zhí)行權(quán)限管理的功能��,存儲每個節(jié)目的權(quán)限信息���,并根據(jù)權(quán)限內(nèi)容控制是否可以對節(jié)目進(jìn)行消費�����、復(fù)制或轉(zhuǎn)發(fā);所述密鑰存儲與管理模塊配合所述授權(quán)存儲與管理模塊實現(xiàn)密鑰的存儲與管理���;所述密鑰解密模塊負(fù)責(zé)對內(nèi)容密鑰進(jìn)行解密����;所述內(nèi)容解擾模塊負(fù)責(zé)對服務(wù)前端發(fā)放的數(shù)字媒體內(nèi)容進(jìn)行解擾����,然后傳送給所述解碼模塊進(jìn)行解碼播放;所述用戶輸入模塊負(fù)責(zé)將上行信息按規(guī)定格式進(jìn)行封裝����,然后發(fā)送給所述上行信息加密模塊;所述上行信息加密模塊負(fù)責(zé)對所述上行信息進(jìn)行加密�����,生成所述上傳數(shù)據(jù)。
2.如權(quán)利要求1所述的IPTV用戶安全終端�����,其特征在于����,所述密鑰存儲與管理模塊確 保密鑰的安全存儲�����,并提供合理的密鑰存儲地址/空間管理與調(diào)度�����、密鑰查詢/調(diào)用管理功 能。
3.如權(quán)利要求1所述的IPTV用戶安全終端����,其特征在于,所述授權(quán)存儲與管理模塊執(zhí) 行的權(quán)限管理功能����,包括驗證權(quán)限的有效性、通過權(quán)限信息控制用于解密內(nèi)容的密鑰的使用。
4.如權(quán)利要求1所述的IPTV用戶安全終端���,其特征在于,所述上行信息為用戶輸入模 塊接收的用戶在線注冊���、節(jié)目訂購��、權(quán)限申請和用戶標(biāo)志等信息。
5.如權(quán)利要求1所述的IPTV用戶安全終端,其特征在于����,所述終端的初始化工作包括 用戶終端生成橢圓曲線密碼體制公私密鑰對���,向認(rèn)證中心申請服務(wù)前端公鑰證書并下載保 存在所述密鑰存儲與管理模塊中�����,向認(rèn)證中心發(fā)送用戶端公鑰并由認(rèn)證中心生成用戶端公 鑰證書供服務(wù)前端下載使用。
6.如權(quán)利要求1所述的IPTV用戶安全終端����,其特征在于�,所述授權(quán)存儲與管理模塊自 動記錄或修改用戶點播節(jié)目的使用時間���、使用次數(shù)的相關(guān)信息�,以供下次選播節(jié)目時判定 使用權(quán)限。
全文摘要
本發(fā)明為一種IPTV用戶安全終端�����,該終端包括身份認(rèn)證模塊、授權(quán)信息解密模塊�、授權(quán)存儲與管理模塊�����、密鑰存儲與管理模塊、密鑰解密模塊、內(nèi)容解擾模塊���、上行信息加密模塊��、解碼模塊和用戶輸入模塊;所述身份認(rèn)證模塊包括橢圓曲線密碼體制簽名模塊和橢圓曲線密碼體制驗證模塊�����。利用IPTV良好的交互性��,通過身份認(rèn)證�����、權(quán)限管理���、密鑰加密保護(hù)��、內(nèi)容加密保護(hù)等方法確保只有授權(quán)用戶才能收看節(jié)目。本發(fā)明的用戶安全終端具有良好的擴展性�,可滿足IPTV的直播�、點播等業(yè)務(wù)����,能有效地保護(hù)IPTV的數(shù)字媒體內(nèi)容安全�。
文檔編號H04N5/00GK101895393SQ20091008545
公開日2010年11月24日 申請日期2009年5月22日 優(yōu)先權(quán)日2009年5月22日
發(fā)明者丁瑤, 于志強, 葉松, 吳淵, 唐凌, 張飚, 王杰斌, 郭寶安, 魯昱 申請人:航天信息股份有限公司