2．1 加解密系統(tǒng)
加解密系統(tǒng)的目的是對節(jié)目內(nèi)容進(jìn)行加密保護(hù)，并保證合法用戶在終端可以正常解密收看節(jié)目。加解密技術(shù)包括對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。目前，使用比較普遍的主要對稱加密算法多為國外算法，包括DES，3DES，IDEA，AES等。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密。非對稱加密算法的保密性比較好，但加解密速度慢，不適于對數(shù)據(jù)量較大的文件進(jìn)行加密而只適用于對少量數(shù)據(jù)進(jìn)行加密。目前，在數(shù)字電視領(lǐng)域使用比較普遍的非對稱加密算法為RSA，其應(yīng)用已非常成熟，在市場上有其各類產(chǎn)品，此外還可以采用ECC加密算法。
在本方案中，加解密系統(tǒng)采用四層密鑰體系，其中一層非對稱密鑰和三層對稱密鑰，非對稱密鑰為用戶ECC公私密鑰對、服務(wù)端ECC公私密鑰對(其中服務(wù)端ECC公私密鑰對只用于身份認(rèn)證的簽名／驗證，對稱密鑰分別為個人密鑰PK(Personal Key)、業(yè)務(wù)密鑰SK(Service Key)、內(nèi)容密鑰CK(Contend Key)。采用四層密鑰體系的原因是為了更好地服務(wù)于IPTV直播業(yè)務(wù)，用戶ECC私鑰綁定了用戶硬件信息，個人密鑰與用戶信息捆綁，業(yè)務(wù)密鑰則對應(yīng)于節(jié)目信息(如一個節(jié)目或節(jié)目段)，內(nèi)容密鑰對應(yīng)于TS包。如圖2所示，在前端服務(wù)系統(tǒng)，用戶ECC公鑰加密個人密鑰PK，個人密鑰加密業(yè)務(wù)密鑰SK，PK密文與SK密文均以權(quán)利對象的方式發(fā)送給用戶終端；業(yè)務(wù)密鑰SK加密內(nèi)容密鑰CK，內(nèi)容密鑰CK用于音視頻內(nèi)容的加擾，CK密文與TS流復(fù)用后通過組播的形式發(fā)送到用戶終端。用戶終端系統(tǒng)首先解析權(quán)利對象獲取PK密文與SK密文并儲存，采用與服務(wù)前端系統(tǒng)對應(yīng)的解密過程獲取SK明文，其中PK的解密使用用戶ECC私鑰；然后對TS流組播數(shù)據(jù)進(jìn)行解析，獲取音視頻內(nèi)容密文流與CK密文流，采用SK解密CK，再通過CK對音視頻內(nèi)容進(jìn)行解擾，最后對音視頻內(nèi)容進(jìn)行解碼播放。
2．2 密鑰管理系統(tǒng)
密鑰管理系統(tǒng)是DRM系統(tǒng)的重要組成部分，它負(fù)責(zé)生成、分發(fā)和管理DRM系統(tǒng)使用的各種密鑰，同時密鑰管理系統(tǒng)維護(hù)節(jié)目(或節(jié)目分段)與內(nèi)容密鑰的映射關(guān)系，并為節(jié)目的加密提供內(nèi)容密鑰。密鑰管理系統(tǒng)不直接與用戶終端系統(tǒng)交互，前端通過授權(quán)管理系統(tǒng)發(fā)送權(quán)利對象為用戶發(fā)布密鑰。為支持IPTV直播業(yè)務(wù)對密鑰使用的特殊限制，密鑰管理系統(tǒng)將根據(jù)權(quán)利對象確定業(yè)務(wù)密鑰的有效使用時間，并將有效使用時間附在權(quán)利對象中。
非對稱密鑰也由密鑰管理系統(tǒng)生成，包括用戶ECC公私鑰對和服務(wù)端ECC公私鑰對。服務(wù)端ECC私鑰保存于前端服務(wù)系統(tǒng)，用戶ECC私鑰與硬件信息綁定(如儲存于智能卡中)，用戶ECC私鑰使用離線方式分發(fā)，即用戶到運營商處注冊獲取。ECC公鑰則通過認(rèn)證系統(tǒng)的CA中心以數(shù)字證書的方式發(fā)送給對方，用戶與服務(wù)端均發(fā)送自己的公鑰至CA中心，由CA中心生成數(shù)字發(fā)送給對方。
2．3 身份認(rèn)證系統(tǒng)
IPTV系統(tǒng)中的身份認(rèn)證是指運營商(前端服務(wù)系統(tǒng))和用戶(終端系統(tǒng))相互確認(rèn)身份的過程，即如何保證他們的物理身份與數(shù)字身份相對應(yīng)。身份認(rèn)證體系主要包括Kerberos及PKI(公鑰基礎(chǔ)設(shè)施)兩種主要的標(biāo)準(zhǔn)。Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別，其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)訪問多個服務(wù)。由于在每個客戶端和服務(wù)端之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩?。PKI是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗證數(shù)字證書持有者身份的一種體系。