CN100472548C - 一种实现实时媒体版权保护的系统及方法 - Google Patents
一种实现实时媒体版权保护的系统及方法 Download PDFInfo
- Publication number
- CN100472548C CN100472548C CN 200610089076 CN200610089076A CN100472548C CN 100472548 C CN100472548 C CN 100472548C CN 200610089076 CN200610089076 CN 200610089076 CN 200610089076 A CN200610089076 A CN 200610089076A CN 100472548 C CN100472548 C CN 100472548C
- Authority
- CN
- China
- Prior art keywords
- unit
- key
- terminal
- authorization
- substitutive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000013475 authorization Methods 0.000 claims abstract description 309
- 238000012545 processing Methods 0.000 claims description 39
- 238000005538 encapsulation Methods 0.000 claims description 36
- 238000013523 data management Methods 0.000 claims description 13
- 238000003780 insertion Methods 0.000 claims description 8
- 230000037431 insertion Effects 0.000 claims description 8
- 238000004321 preservation Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000011218 segmentation Effects 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种实现实时媒体版权保护的系统,包括:内容发行单元,用于对媒体源内容进行处理生成加密内容,对CEK进行加密生成密钥加密信息,对生成的加密内容、密钥加密信息和辅助信息进行封装生成DCP,将生成的DCP下发给终端代理单元;授权发行单元,用于对授权请求进行解密及授权认证,在确保授权有效后生成授权信息,对授权信息和REK进行加密生成加密RO,将加密RO下发给终端代理单元;终端代理单元,用于分解接收的DCP,根据分解出的内容标识信息获取加密RO,对获取的加密RO进行解密生成授权信息和REK,根据REK对分解出的密钥加密信息进行解密生成CEK,根据CEK对加密内容进行解密生成媒体源内容。本发明同时公开了一种实现实时媒体版权保护的方法。
Description
技术领域
本发明涉及数字媒体版权保护技术领域,尤其涉及一种实现实时媒体版权保护的系统及方法。
背景技术
随着信息社会的不断发展,数字媒体变得极其丰富。但是,由于数字媒体内容的特点,拷贝的副本与原件完全相同,数字内容的拷贝和传播成本极低,所以数字媒体内容的网络盗版和非法传播问题成为了长期困扰网络运营商和内容提供商的问题,进而版权保护的问题也越来越受到广大网络运营商和内容提供商的关注。
随着版权保护的问题不断升温,一度点对点对等传输(Peer to Peer,P2P)技术的出现引发了版权保护的狂热讨论。可以说,版权保护是个综合问题,涉及到政策、法律、经济和技术等多个层面,而技术的不断进步为解决版权保护问题提供了更好的条件。
目前,数字版权保护(Digital Right Management,DRM)已经获得较快发展。而伴随网络电视(IP Television,IPTV)、视频点播(Video onDemand,VOD)和数字电视的科技更新浪潮,DRM系统需要不断地演进才可以适应发展需要。
目前版权保护领域主要的标准和实现方案主要针对文件下载的方式,如图片文件、视频短片和音乐文件的下载等。对于实时媒体方面的保护还处于研究的起步阶段,还无法在IPTV直播、手机电视直播和数字电视系统等数字媒体直播环境下实现实时媒体版权保护。
因此,如何在IPTV直播、手机电视直播和数字电视系统等数字媒体直播环境下对实时节目流进行版权保护,实现实时媒体版权保护,成为了目前急需解决的重要问题。
发明内容
(一)要解决的技术问题
有鉴于此,本发明的一个主要目的在于提供一种实现实时媒体版权保护的系统,以解决在数字媒体直播环境下对实时节目流的版权保护问题,实现实时媒体版权保护。
本发明的另一个主要目的在于提供一种实现实时媒体版权保护的方法,以解决在数字媒体直播环境下对实时节目流的版权保护问题,实现实时媒体版权保护。
(二)技术方案
为达到上述目的,本发明的技术方案是这样实现的:
一种实现实时媒体版权保护的系统,该系统包括:
内容发行单元,用于对媒体源内容进行元数据处理、水印插入和加密操作生成加密内容,并对自身生成的内容加密密钥CEK进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成媒体数据包DCP,并将生成的DCP下发给终端代理单元;其中,所述对媒体源内容进行加密操作是使用内容加密密钥CEK实现的,对内容加密密钥CEK进行加密是使用授权加密密钥REK实现的;
授权发行单元,用于对接收自终端代理单元的授权请求进行解密及授权认证,在确保授权有效后生成授权信息,并对生成的授权信息和自身生成的授权加密密钥REK进行加密生成加密授权对象RO,然后将加密RO下发给终端代理单元;
终端代理单元,用于分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;
其中,终端代理单元分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,具体包括:终端代理单元分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息从自身的授权对象存储单元中查找加密RO,如果能够从授权对象存储单元中查找到加密RO,则从授权对象存储单元中获取加密RO;否则,终端代理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求来获取加密RO。
所述内容发行单元包括:
媒体源内容处理单元,用于对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元;
CEK生成单元,用于根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元;
CEK加密单元,用于根据接收自授权发行单元的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元;
媒体封装单元,用于对接收自媒体源内容处理单元的加密内容和接收自CEK加密单元的密钥加密信息,以及辅助信息进行封装生成DCP,并将生成的DCP下发给终端代理单元。
所述CEK生成单元生成的按照一定时间周期变化的CEK为按照5至20秒周期变化的CEK。
所述授权发行单元包括:
主处理单元,用于对接收自终端代理单元的授权请求进行解密,将解密后的授权请求发送给授权认证单元,并对接收自授权认证单元的授权信息和接收自REK生成单元的REK进行加密生成加密RO,然后将加密RO下发给终端代理单元;
授权认证单元,用于对接收自主处理单元的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给主处理单元;
REK生成单元,用于根据业务需要生成按照一定时间周期变化的REK,并将生成的REK发送给主处理单元和内容发行单元的CEK加密单元;
密钥信息存储单元,用于保存对授权请求进行解密及对授权信息与REK进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥,或者为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥。
所述REK生成单元生成的按照一定时间周期变化的REK为按照3至5天周期变化的REK。
所述授权发行单元进一步包括:
数据管理单元,用于保存用户数据信息,授权认证单元在对授权请求进行授权认证时,从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证。
所述终端代理单元包括:
主处理单元,用于分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,如果能够从授权对象存储单元中查找到加密RO,则对查找到的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;否则,主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送授权请求,获取授权发行单元返回的加密RO,并对获取的加密RO进行解密生成授权信息和REK,根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;
授权对象存储单元,用于存储接收自授权发行单元的加密RO,并在接收到主处理单元查询加密RO的请求后,向主处理单元返回查询结果;
密钥信息存储单元,用于保存对加密RO进行解密及对授权请求进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,或者为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥。
所述终端代理单元至少包括以下存在形式:以软件模块嵌入操作系统;或集成于MMC或SIM专用卡;或采用专用的集成电路芯片。
当所述授权发行单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥;
当所述授权发行单元的密钥信息存储单元保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,且二者保存的对称密钥相同。
一种实现实时媒体版权保护的方法,应用于包括内容发行单元、终端代理单元和授权发行单元的实现实时媒体版权保护的系统,该方法包括:
A、内容发行单元使用内容加密密钥CEK对媒体源内容进行处理生成加密内容,并使用授权加密密钥REK对自身生成的CEK进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成媒体数据包DCP,并将生成的DCP下发给终端代理单元;
B、终端代理单元将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的辅助信息中内容标识信息获取加密授权对象RO;
C、终端代理单元对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
所述内容发行单元至少包括媒体源内容处理单元、媒体封装单元、CEK生成单元和CEK加密单元,所述步骤A包括:
A1、媒体源内容处理单元对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元;
A2、CEK生成单元根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元;
A3、CEK加密单元根据接收自授权发行单元生成的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元;
A4、媒体封装单元对接收的加密内容、密钥加密信息和辅助信息进行封装生成DCP,并将生成的DCP实时下发给终端代理单元。
步骤A2中所述CEK生成单元生成按照一定时间周期变化的CEK时,所述变化周期为5至20秒;步骤A1中所述媒体源内容处理单元根据CEK对处理后的媒体源内容进行加密的加密周期为步骤A4中所述媒体封装单元封装生成DCP周期的整数倍。
所述终端代理单元至少包括主处理单元、授权对象存储单元和密钥信息存储单元,所述授权发行单元至少包括主处理单元、授权认证单元、REK生成单元和密钥信息存储单元,步骤B中所述终端代理单元根据分解出的辅助信息中的内容标识信息获取加密RO包括:
B1、终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息从授权对象存储单元中查找加密RO,如果能够查找到,则执行步骤C;否则,终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求,并执行步骤B2;
B2、授权发行单元的主处理单元对接收的授权请求进行解密,将解密后的授权请求发送给授权认证单元;
B3、授权认证单元对解密后的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给授权发行单元的主处理单元;
B4、授权发行单元的主处理单元对接收自授权认证单元的授权信息和接收自REK生成单元的REK进行加密生成加密RO;
B5、授权发行单元的主处理单元将加密RO下发给终端代理单元,终端代理单元获取加密RO。
所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,步骤B1中所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的授权发行单元的公钥对授权请求进行加密生成加密的授权请求,并对生成加密授权请求进行签名,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,步骤B1中所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的对称密钥对授权请求进行加密生成加密的授权请求,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
所述授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,步骤B2中所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元先核对接收的授权请求中的签名,签名核对通过后再根据从密钥信息存储单元中获取的授权发行单元的私钥对授权请求进行解密;步骤B4中所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取终端代理单元的公钥,然后根据获取的公钥对授权信息和REK进行加密。
所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥,步骤B2中所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元根据从密钥信息存储单元中获取的对称密钥对授权请求进行解密;步骤B4中所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对授权信息和REK进行加密。
所述授权发行单元进一步包括数据管理单元,步骤B3中所述授权认证单元对解密后的授权请求进行授权认证包括:授权认证单元从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证;
步骤B4中所述接收自REK生成单元的REK为按照3至5天周期变化的REK;
步骤B5中所述授权发行单元的主处理单元将生成的加密RO下发给终端代理单元采用点对点链接的方式或采用广播的方式实现。
所述终端代理单元至少包括主处理单元和密钥信息存储单元,所述步骤C包括:
C1、终端代理单元的主处理单元接收到授权发行单元发送的加密RO,从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK;
C2、终端代理单元的主处理单元根据生成的REK对分解出的密钥加密信息进行解密生成CEK;
C3、终端代理单元的主处理单元根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,步骤C1中所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:终端代理单元的主处理单元从自身密钥信息存储单元中获取终端代理单元的私钥,然后根据获取的终端代理单元的私钥对加密RO进行解密生成授权信息和REK。
所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,步骤C1中所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:终端代理单元的主处理单元从自身密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对加密RO进行解密生成授权信息和REK。
所述授权信息至少包括完整的授权及控制信息、授权起始时间和授权结束时间,用于实现授权的自动过期,灵活的授权发送策略,支持单授权、组合授权、分段授权、高级寻址授权和自定义寻址授权;
步骤B中所述终端代理单元在将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息后,根据所述授权起始时间对密钥加密信息的解密,一旦授权到期,即到达所述授权结束时间,终止步骤C中所述终端代理单元对密钥加密信息的解密,同时该授权信息所属的加密RO失效。
(三)有益效果
从上述技术方案可以看出,本发明具有以下有益效果:
1、利用本发明,通过内容发行单元对媒体源内容进行处理生成加密内容,并对自身生成的内容加密密钥(Content Encryption Message,CEK)进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成数字版权保护内容包(Digital Right ManagementContent Package,DCP),并将生成的DCP下发给终端代理单元;终端代理单元将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的密钥加密信息获取加密授权对象(Right Object,RO),并对获取的加密RO进行解密生成授权信息和授权加密密钥(RightEncryption Message,REK),根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容,解决了在数字媒体直播环境下对实时节目流的版权保护问题,实现了实时媒体版权保护。
2、本发明针对实时媒体的特点,考虑在媒体打包周期(即封装周期)的整数倍时间内采用一个固定的CEK来对内容进行加密,使得CEK满足按照一定的周期变化,同时又不至于变化太快加重前端加密服务器的负荷。一般可以将CEK的变化周期设定为媒体打包周期的5倍(仅做假设,可以根据实际情况选择),最终生成DCP包时,除了每个包的视频、音频和数据外,还封装了对应的密钥加密信息和辅助信息。这样,每个最终的DCP包就构成了相对独立的一个实体,完全满足了实时媒体的播放要求。
3、本发明提供的实现实时媒体版权保护的系统及方法,不仅仅适用于移动多媒体领域,而且适用于非移动多媒体领域,非常有利于本发明的推广和应用。
附图说明
图1为本发明提供的实现实时媒体版权保护系统的结构框图;
图2为本发明实现实时媒体版权保护总体技术方案的实现流程图;
图3为本发明实施例中实现实时媒体版权保护的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
如图1所示,图1为本发明提供的实现实时媒体版权保护系统的结构框图,该系统包括:内容发行单元10、授权发行单元20和终端代理单元30。
其中,内容发行单元10用于对媒体源内容进行元数据处理、水印插入和加密操作生成加密内容,并对自身生成的CEK进行加密生成密钥加密信息,然后对生成的加密内容和密钥加密信息,以及辅助信息进行封装生成DCP,并将生成的DCP下发给终端代理单元30。所述辅助信息主要包括内容标识信息和内容标识信息。终端代理单元30根据辅助信息中的内容标识信息从授权对象存储单元32中查找加密RO,终端代理单元30根据辅助信息中内容标识信息向授权发行单元20发送授权请求。
授权发行单元20用于对接收自终端代理单元30的授权请求进行解密及授权认证,在确保授权有效后生成授权信息,并对生成的授权信息和自身生成的授权加密密钥REK进行加密生成加密RO,然后将加密RO下发给终端代理单元30。
终端代理单元30用于分解接收自内容发行单元10的DCP,将接收自内容发行单元10的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的辅助信息中内容标识信息获取加密RO,对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
上述内容发行单元10包括媒体源内容处理单元11、CEK生成单元12、CEK加密单元13和媒体封装单元14。
其中,媒体源内容处理单元11用于对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元12的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元14。
CEK生成单元12用于根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元13和媒体源内容处理单元11。在媒体源内容处理单元11根据接收的CEK对处理后的媒体源内容进行加密时,为了确保系统的安全,采用的CEK一般以很短的时间周期进行变化,一般变化周期为5至20秒,即所述CEK生成单元12生成的按照一定时间周期变化的CEK为按照5至20秒周期变化的CEK。
CEK加密单元13用于根据接收自授权发行单元20的REK对接收自CEK生成单元12的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元14。
媒体封装单元14用于对接收自媒体源内容处理单元11的加密内容和接收自CEK加密单元13的密钥加密信息、以及辅助信息进行封装生成DCP,并将生成的DCP下发给终端代理单元30。
针对实时媒体的特点,考虑在媒体打包周期(即封装周期)的整数倍时间内采用一个固定的CEK来对内容进行加密,使得CEK满足按照一定的周期变化,同时又不至于变化太快加重前端加密服务器的负荷。一般可以将CEK的变化周期设定为媒体打包周期的5倍(仅做假设,可以根据实际情况选择),最终生成DCP包时,除了每个包的视频、音频和数据外,还封装了对应的密钥加密信息和辅助信息。这样,每个最终的DCP包就构成了相对独立的一个实体,完全满足了实时媒体的播放要求。
上述授权发行单元20至少包括主处理单元21、授权认证单元22、REK生成单元23和密钥信息存储单元24。
其中,主处理单元21用于对接收自终端代理单元30的授权请求进行解密,将解密后的授权请求发送给授权认证单元22,并对接收自授权认证单元22的授权信息和接收自REK生成单元23的REK进行加密生成加密RO,然后将加密RO下发给终端代理单元30。
授权认证单元22用于对接收自主处理单元21的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给主处理单元21。
REK生成单元23用于根据业务需要生成按照一定时间周期变化的REK,并将生成的REK发送给主处理单元21和内容发行单元10的CEK加密单元13。
上述CEK加密单元13在根据接收自REK生成单元23的REK对CEK进行加密时,为了确保系统的安全,相对CEK而言,采用的REK一般以较长的时间周期进行变化,一般变化周期为3至5天,即所述REK生成单元生成的按照一定时间周期变化的REK为按照3至5天周期变化的REK。
密钥信息存储单元24,用于保存对授权请求进行解密及对授权信息与REK进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、终端代理单元30的公钥和授权发行单元20的私钥,或者为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥,或者为对授权请求进行解密及对授权信息与REK进行加密时所利用的加密算法。
进一步的,所述授权发行单元20可以进一步包括数据管理单元25,用于保存用户数据信息,授权认证单元22在对授权请求进行授权认证时,从数据管理单元25中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证。
上述终端代理单元30至少包括主处理单元31、授权对象存储单元32和密钥信息存储单元33。
其中,主处理单元31用于分解接收自内容发行单元的DCP,将接收自内容发行单元10的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的辅助信息中的内容标识信息获取加密RO,如果能够从授权对象存储单元32中查找到加密RO,则对查找到的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;否则,主处理单元31根据从DCP中分解出的辅助信息中内容标识信息向授权发行单元20发送授权请求,获取授权发行单元20返回的加密RO,并对获取的加密RO进行解密生成授权信息和REK,根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
授权对象存储单元32用于存储接收自授权发行单元20的加密RO,并在接收到主处理单元31查询加密RO的请求后,向主处理单元31返回查询结果。
密钥信息存储单元33,用于保存对加密RO进行解密及对授权请求进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、授权发行单元20的公钥和终端代理单元30的私钥,或者为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,或者为对加密RO进行解密及对授权请求进行加密时所利用的加密算法。
上述终端代理单元30至少包括以下存在形式:以软件模块嵌入其他的操作系统;或集成于MMC或SIM等专用卡;或采用专用的集成电路芯片等。
为实现本发明的目的,授权发行单元的密钥信息存储单元和终端代理单元的密钥信息存储单元应保存相对应的密钥信息。
当所述授权发行单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥;
当所述授权发行单元的密钥信息存储单元保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,且二者保存的对称密钥相同;
当所述授权发行单元的密钥信息存储单元保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的加密算法时,所述终端代理单元的密钥信息存储单元保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的加密算法,且二者保存的加密算法相同。
基于图1所示的实现实时媒体版权保护系统的结构框图,图2示出了本发明实现实时媒体版权保护总体技术方案的实现流程图,该方法包括以下步骤:
步骤201:内容发行单元对媒体源内容进行处理生成加密内容,并对自身生成的CEK进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成DCP,并将生成的DCP下发给终端代理单元;
步骤202:终端代理单元将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的辅助信息中的内容标识信息获取加密RO;
步骤203:终端代理单元对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
所述内容发行单元至少包括媒体源内容处理单元、媒体封装单元、CEK生成单元和CEK加密单元,上述步骤201包括:
步骤2011:媒体源内容处理单元对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元;
在本步骤中,所述CEK生成单元生成按照一定时间周期变化的CEK时,所述变化周期为5至20秒。
步骤2012:CEK生成单元根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元。
步骤2013:CEK加密单元根据接收自授权发行单元生成的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元。
步骤2014:媒体封装单元对接收的加密内容、密钥加密信息和辅助信息进行封装生成DCP,并将生成的DCP实时下发给终端代理单元。
上述步骤2011中所述媒体源内容处理单元根据CEK对处理后的媒体源内容进行加密的加密周期为步骤2014中所述媒体封装单元封装生成DCP周期的整数倍。
所述终端代理单元至少包括主处理单元、授权对象存储单元和密钥信息存储单元,所述授权发行单元至少包括主处理单元、授权认证单元、REK生成单元和密钥信息存储单元,步骤202中所述终端代理单元根据分解出的辅助信息中内容标识信息获取加密RO包括:
步骤2021:终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息从授权对象存储单元中查找加密RO,如果能够查找到,则执行步骤203;否则,终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求,并执行步骤2022;
在本步骤中,当所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥时,所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的授权发行单元的公钥对授权请求进行加密生成加密的授权请求,并对生成加密授权请求进行签名,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求;
当所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥时,所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的对称密钥对授权请求进行加密生成加密的授权请求,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
当所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的加密算法时,所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的加密算法对授权请求进行加密生成加密的授权请求,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
步骤2022:授权发行单元的主处理单元对接收的授权请求进行解密,将解密后的授权请求发送给授权认证单元;
在本步骤中,当所述授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥时,所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元先核对接收的授权请求中的签名,在签名核对通过后再根据从密钥信息存储单元中获取的授权发行单元的私钥对授权请求进行解密;
当所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥时,所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元根据从密钥信息存储单元中获取的对称密钥对授权请求进行解密;
当所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的加密算法时,所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元根据从密钥信息存储单元中获取的加密算法对授权请求进行解密。
步骤2023:授权认证单元对解密后的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给授权发行单元的主处理单元;
在本步骤中,所述授权发行单元进一步包括数据管理单元,所述授权认证单元对解密后的授权请求进行授权认证包括:授权认证单元从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证。
步骤2024:授权发行单元的主处理单元对接收自授权认证单元的授权信息和接收自REK生成单元的REK进行加密生成加密RO;
在本步骤中,当所述授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥时,所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取终端代理单元的公钥,然后根据获取的公钥对授权信息和REK进行加密;所述接收自REK生成单元的REK为按照3至5天周期变化的REK;所述授权发行单元的主处理单元对生成的加密RO进行签名符合开放移动联盟的数字版权管理标准;
当所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥时,所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对授权信息和REK进行加密;
当所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的加密算法时,所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取加密算法,然后根据获取的加密算法对授权信息和REK进行加密。
步骤2025:授权发行单元的主处理单元将加密RO下发给终端代理单元,终端代理单元获取加密RO;
在本步骤中,所述授权发行单元的主处理单元将生成的加密RO下发给终端代理单元采用点对点链接的方式实现。
所述终端代理单元至少包括主处理单元和密钥信息存储单元,所述步骤203包括:
步骤2031:终端代理单元的主处理单元接收到授权发行单元发送的加密RO,从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK;
在本步骤中,当所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥时,所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:终端代理单元的主处理单元从自身密钥信息存储单元中获取终端代理单元的私钥,然后根据获取的终端代理单元的私钥对加密RO进行解密生成授权信息和REK;
当所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥时,所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:终端代理单元的主处理单元从自身密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对加密RO进行解密生成授权信息和REK;
当所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的加密算法时,所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:终端代理单元的主处理单元从自身密钥信息存储单元中获取加密算法,然后根据获取的加密算法对加密RO进行解密生成授权信息和REK。
步骤2032:终端代理单元的主处理单元根据生成的REK对分解出的密钥加密信息进行解密生成CEK。
步骤2033:终端代理单元的主处理单元根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
所述授权信息至少包括完整的授权及控制信息、授权起始时间和授权结束时间,用于实现授权的自动过期,灵活的授权发送策略,支持单授权、组合授权、分段授权、高级寻址授权和自定义寻址授权;步骤202中所述终端代理单元在将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息后,根据所述授权起始时间对密钥加密信息的解密,一旦授权到期,即到达所述授权结束时间,一旦授权到期,即到达所述授权结束时间,终止步骤203中所述终端代理单元对密钥加密信息的解密,同时该授权信息所属的加密RO失效。
基于图2所述的实现实时媒体版权保护总体技术方案的实现流程图,以下结合具体的实施例对本发明实现实时媒体版权保护的方法进一步详细说明。
实施例
在本实施例中,授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥;终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥。
如图3所示,图3为本发明实施例中实现实时媒体版权保护的方法流程图,该方法包括以下步骤:
步骤301:媒体源内容处理单元对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元。
步骤302:CEK生成单元根据加密业务的需要生成按照5至20秒周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元。
步骤303:CEK加密单元根据接收自授权发行单元的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元。
步骤304:媒体封装单元对接收的加密内容和密钥加密信息、以及辅助信息进行封装生成DCP,并将生成的DCP实时下发给终端代理单元。
上述步骤301媒体源内容处理单元根据CEK对处理后的媒体源内容进行加密的加密周期为步骤304中所述媒体封装单元封装生成DCP周期的整数倍。
步骤305:终端代理单元的主处理单元接收到媒体封装单元下发的DCP后,将接收的DCP分解为加密内容、密钥加密信息和辅助信息,并根据分解出的辅助信息中内容标识信息从授权对象存储单元中查找加密RO,如果能够查找到,则执行步骤310;否则,终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求,并执行步骤306;
在本步骤中,所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求进一步包括:终端代理单元的主处理单元先根据从密钥信息存储单元中获取的授权发行单元的公钥对授权请求进行加密生成加密的授权请求,并对生成加密授权请求进行签名,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
步骤306:授权发行单元的主处理单元先核对接收的授权请求中的签名,签名核对通过后再根据从密钥信息存储单元中获取的授权发行单元的私钥对授权请求进行解密。
步骤307:授权认证单元从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给授权发行单元的主处理单元。
步骤308:授权发行单元的主处理单元从密钥信息存储单元中获取终端代理单元的公钥,然后根据获取的公钥对授权信息和REK进行加密生成加密RO;
在本步骤中,所述接收自REK生成单元的REK为按照3至5天周期变化的REK。
步骤309:授权发行单元的主处理单元对加密RO进行数字签名,采用点对点链接的方式将进行数字签名后的加密RO下发给终端代理单元,终端代理单元获取加密RO。
步骤310:终端代理单元的主处理单元接收到授权发行单元发送的加密RO,核对加密RO的签名,签名核对通过后从自身密钥信息存储单元中获取终端代理单元的私钥,然后根据获取的私钥对加密RO进行解密生成授权信息和REK。
步骤311:终端代理单元的主处理单元根据生成的REK对分解出的密钥加密信息进行解密生成CEK;
步骤312:终端代理单元的主处理单元根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
在本发明所举的这个实施例中,授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥;终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥。
在实际应用中,授权发行单元的密钥信息存储单元中保存的密钥信息也可以为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥,此时终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,且二者所保存的对称密钥相同;授权发行单元利用自身保存的对称密钥对授权请求进行解密及对授权信息与REK进行加密,终端代理单元利用自身保存的对称密钥对加密RO进行解密及对授权请求进行加密;
另外,授权发行单元的密钥信息存储单元中保存的密钥信息还可以为对授权请求进行解密及对授权信息与REK进行加密时所利用的加密算法,此时终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的加密算法,且二者所保存的加密算法相同;授权发行单元利用自身保存的加密算法对授权请求进行解密及对授权信息与REK进行加密,终端代理单元利用自身保存的加密算法对加密RO进行解密及对授权请求进行加密;
上述技术方案与本发明提供的技术方案在技术思路上是一致的,应包含在本发明的保护范围之内。
在本发明所举这个实施例的步骤302中,CEK生成单元根据加密业务的需要生成按照5至20秒周期变化的CEK。在实际应用中,CEK生成单元也可以根据加密业务的实际需要改变CEK的变化周期,例如生成按照25至50秒周期变化的CEK。这样的技术方案与本发明提供的技术方案在技术思路上是一致的,应包含在本发明的保护范围之内。
在本发明所举这个实施例的步骤304中,媒体封装单元对接收的加密内容和密钥加密信息、以及辅助信息进行封装生成DCP,并将生成的DCP实时下发给终端代理单元。在实际应用中,所述媒体封装单元还可以进一步将其他信息与加密内容、密钥加密信息和辅助信息封装在一起,生成DCP,使每个最终的DCP包构成相对独立的一个实体,完全满足实时媒体的播放要求。这样的技术方案与本发明提供的技术方案在技术思路上是一致的,应包含在本发明的保护范围之内。
在本发明所举这个实施例的步骤308中,授权发行单元的主处理单元接收REK生成单元的REK为按照3至5天周期变化的REK。在实际应用中,REK生成单元可以根据实际需要改变REK的变化周期,只要保证REK的变化周期大于上述CEK的变化周期即可,例如生成按照5至10天周期变化的REK。这样的技术方案与本发明提供的技术方案在技术思路上是一致的,应包含在本发明的保护范围之内。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (22)
1、一种实现实时媒体版权保护的系统,其特征在于,该系统包括:
内容发行单元,用于对媒体源内容进行元数据处理、水印插入和加密操作生成加密内容,并对自身生成的内容加密密钥CEK进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成媒体数据包DCP,并将生成的DCP下发给终端代理单元;其中,所述对媒体源内容进行加密操作是使用内容加密密钥CEK实现的,对内容加密密钥CEK进行加密是使用授权加密密钥REK实现的;
授权发行单元,用于对接收自终端代理单元的授权请求进行解密及授权认证,在确保授权有效后生成授权信息,并对生成的授权信息和自身生成的授权加密密钥REK进行加密生成加密授权对象RO,然后将加密RO下发给终端代理单元;
终端代理单元,用于分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;
其中,终端代理单元分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,具体包括:终端代理单元分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息从自身的授权对象存储单元中查找加密RO,如果能够从授权对象存储单元中查找到加密RO,则从授权对象存储单元中获取加密RO;否则,终端代理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求来获取加密RO。
2、根据权利要求1所述的实现实时媒体版权保护的系统,其特征在于,所述内容发行单元包括:
媒体源内容处理单元,用于对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元;
CEK生成单元,用于根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元;
CEK加密单元,用于根据接收自授权发行单元的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元;
媒体封装单元,用于对接收自媒体源内容处理单元的加密内容和接收自CEK加密单元的密钥加密信息,以及辅助信息进行封装生成DCP,并将生成的DCP下发给终端代理单元。
3、根据权利要求2所述的实现实时媒体版权保护的系统,其特征在于,所述CEK生成单元生成的按照一定时间周期变化的CEK为按照5至20秒周期变化的CEK。
4、根据权利要求1所述的实现实时媒体版权保护的系统,其特征在于,所述授权发行单元包括:
主处理单元,用于对接收自终端代理单元的授权请求进行解密,将解密后的授权请求发送给授权认证单元,并对接收自授权认证单元的授权信息和接收自REK生成单元的REK进行加密生成加密RO,然后将加密RO下发给终端代理单元;
授权认证单元,用于对接收自主处理单元的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给主处理单元;
REK生成单元,用于根据业务需要生成按照一定时间周期变化的REK,并将生成的REK发送给主处理单元和内容发行单元的CEK加密单元;
密钥信息存储单元,用于保存对授权请求进行解密及对授权信息与REK进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥,或者为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥。
5、根据权利要求4所述的实现实时媒体版权保护的系统,其特征在于,所述REK生成单元生成的按照一定时间周期变化的REK为按照3至5天周期变化的REK。
6、根据权利要求4所述的实现实时媒体版权保护的系统,其特征在于,所述授权发行单元进一步包括:
数据管理单元,用于保存用户数据信息,授权认证单元在对授权请求进行授权认证时,从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证。
7、根据权利要求4所述的实现实时媒体版权保护的系统,其特征在于,所述终端代理单元包括:
主处理单元,用于分解接收自内容发行单元的DCP,根据分解出的辅助信息中的内容标识信息获取加密RO,如果能够从授权对象存储单元中查找到加密RO,则对查找到的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;否则,主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送授权请求,获取授权发行单元返回的加密RO,并对获取的加密RO进行解密生成授权信息和REK,根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容;
授权对象存储单元,用于存储接收自授权发行单元的加密RO,并在接收到主处理单元查询加密RO的请求后,向主处理单元返回查询结果;
密钥信息存储单元,用于保存对加密RO进行解密及对授权请求进行加密时所利用的密钥信息,所述密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,或者为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥。
8、根据权利要求7所述的实现实时媒体版权保护的系统,其特征在于,所述终端代理单元至少包括以下存在形式:
以软件模块嵌入操作系统;或
集成于MMC或SIM专用卡;或
采用专用的集成电路芯片。
9、根据权利要求7所述的实现实时媒体版权保护的系统,其特征在于,
当所述授权发行单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、终端代理单元的公钥和授权发行单元的私钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥;
当所述授权发行单元的密钥信息存储单元保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥时,所述终端代理单元的密钥信息存储单元保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,且二者保存的对称密钥相同。
10、一种实现实时媒体版权保护的方法,应用于权利要求1所述包括内容发行单元、终端代理单元和授权发行单元的实现实时媒体版权保护的系统,其特征在于,该方法包括:
A、内容发行单元使用内容加密密钥CEK对媒体源内容进行处理生成加密内容,并使用授权加密密钥REK对自身生成的CEK进行加密生成密钥加密信息,然后对生成的加密内容、密钥加密信息和辅助信息进行封装生成媒体数据包DCP,并将生成的DCP下发给终端代理单元;
B、终端代理单元将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息,根据分解出的辅助信息中内容标识信息获取加密授权对象RO;
C、终端代理单元对获取的加密RO进行解密生成授权信息和REK,并根据生成的REK对分解出的密钥加密信息进行解密生成CEK,然后根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
11、根据权利要求10所述的实现实时媒体版权保护的方法,其特征在于,所述内容发行单元至少包括媒体源内容处理单元、媒体封装单元、CEK生成单元和CEK加密单元,所述步骤A包括:
A1、媒体源内容处理单元对媒体源内容进行元数据处理和水印插入操作,然后根据接收自CEK生成单元的CEK对处理后的媒体源内容进行加密生成加密内容,并将生成的加密内容发送给媒体封装单元;
A2、CEK生成单元根据加密业务的需要生成按照一定时间周期变化的CEK,并将生成的CEK发送给CEK加密单元和媒体源内容处理单元;
A3、CEK加密单元根据接收自授权发行单元生成的REK对接收自CEK生成单元的CEK进行加密,生成密钥加密信息,并将生成的密钥加密信息发送给媒体封装单元;
A4、媒体封装单元对接收的加密内容、密钥加密信息和辅助信息进行封装生成DCP,并将生成的DCP实时下发给终端代理单元。
12、根据权利要求11所述的实现实时媒体版权保护的方法,其特征在于,步骤A2中所述CEK生成单元生成按照一定时间周期变化的CEK时,所述变化周期为5至20秒;
步骤A1中所述媒体源内容处理单元根据CEK对处理后的媒体源内容进行加密的加密周期为步骤A4中所述媒体封装单元封装生成DCP周期的整数倍。
13、根据权利要求10所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元至少包括主处理单元、授权对象存储单元和密钥信息存储单元,所述授权发行单元至少包括主处理单元、授权认证单元、REK生成单元和密钥信息存储单元,步骤B中所述终端代理单元根据分解出的辅助信息中的内容标识信息获取加密RO包括:
B1、终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息从授权对象存储单元中查找加密RO,如果能够查找到,则执行步骤C;否则,终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求,并执行步骤B2;
B2、授权发行单元的主处理单元对接收的授权请求进行解密,将解密后的授权请求发送给授权认证单元;
B3、授权认证单元对解密后的授权请求进行授权认证,在确保授权有效后生成授权信息,并将生成的授权信息发送给授权发行单元的主处理单元;
B4、授权发行单元的主处理单元对接收自授权认证单元的授权信息和接收自REK生成单元的REK进行加密生成加密RO;
B5、授权发行单元的主处理单元将加密RO下发给终端代理单元,终端代理单元获取加密RO。
14、根据权利要求13所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,步骤B1中所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:
终端代理单元的主处理单元先根据从密钥信息存储单元中获取的授权发行单元的公钥对授权请求进行加密生成加密的授权请求,并对生成加密授权请求进行签名,然后根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
15、根据权利要求13所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,步骤B1中所述终端代理单元的主处理单元根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求包括:
终端代理单元的主处理单元先根据从密钥信息存储单元中获取的对称密钥对授权请求进行加密生成加密的授权请求,并根据分解出的辅助信息中内容标识信息向授权发行单元发送加密的授权请求。
16、根据权利要求13所述的实现实时媒体版权保护的方法,其特征在于,所述授权发行单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,
步骤B2中所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元先核对接收的授权请求中的签名,签名核对通过后再根据从密钥信息存储单元中获取的授权发行单元的私钥对授权请求进行解密;
步骤B4中所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取终端代理单元的公钥,然后根据获取的公钥对授权信息和REK进行加密。
17、根据权利要求13所述的实现实时媒体版权保护的方法,其特征在于,所述授权发行单元的密钥信息存储单元中保存的密钥信息为对授权请求进行解密及对授权信息与REK进行加密时所利用的对称密钥,
步骤B2中所述授权发行单元的主处理单元对接收的授权请求进行解密包括:授权发行单元的主处理单元根据从密钥信息存储单元中获取的对称密钥对授权请求进行解密;
步骤B4中所述授权发行单元的主处理单元对授权信息和REK进行加密包括:授权发行单元的主处理单元从密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对授权信息和REK进行加密。
18、根据权利要求13所述的实现实时媒体版权保护的方法,其特征在于,
所述授权发行单元进一步包括数据管理单元,步骤B3中所述授权认证单元对解密后的授权请求进行授权认证包括:授权认证单元从数据管理单元中获取用户数据信息,然后根据获取的用户数据信息对授权请求进行授权认证;
步骤B4中所述接收自REK生成单元的REK为按照3至5天周期变化的REK;
步骤B5中所述授权发行单元的主处理单元将生成的加密RO下发给终端代理单元采用点对点链接的方式或采用广播的方式实现。
19、根据权利要求10所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元至少包括主处理单元和密钥信息存储单元,所述步骤C包括:
C1、终端代理单元的主处理单元接收到授权发行单元发送的加密RO,从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK;
C2、终端代理单元的主处理单元根据生成的REK对分解出的密钥加密信息进行解密生成CEK;
C3、终端代理单元的主处理单元根据生成的CEK对分解出的加密内容进行解密生成媒体源内容。
20、根据权利要求19所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元的密钥信息存储单元中保存的密钥信息为有效的证书、与该证书对应的、授权发行单元的公钥和终端代理单元的私钥,步骤C1中所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:
终端代理单元的主处理单元从自身密钥信息存储单元中获取终端代理单元的私钥,然后根据获取的终端代理单元的私钥对加密RO进行解密生成授权信息和REK。
21、根据权利要求19所述的实现实时媒体版权保护的方法,其特征在于,所述终端代理单元的密钥信息存储单元中保存的密钥信息为对加密RO进行解密及对授权请求进行加密时所利用的对称密钥,步骤C1中所述终端代理单元的主处理单元从自身密钥信息存储单元中获取密钥信息,然后根据获取的密钥信息对加密RO进行解密生成授权信息和REK包括:
终端代理单元的主处理单元从自身密钥信息存储单元中获取对称密钥,然后根据获取的对称密钥对加密RO进行解密生成授权信息和REK。
22、根据权利要求10所述的实现实时媒体版权保护的方法,其特征在于,
所述授权信息至少包括完整的授权及控制信息、授权起始时间和授权结束时间,用于实现授权的自动过期,灵活的授权发送策略,支持单授权、组合授权、分段授权、高级寻址授权和自定义寻址授权;
步骤B中所述终端代理单元在将接收自内容发行单元的DCP分解为加密内容、密钥加密信息和辅助信息后,根据所述授权起始时间对密钥加密信息的解密,一旦授权到期,即到达所述授权结束时间,终止步骤C中所述终端代理单元对密钥加密信息的解密,同时该授权信息所属的加密RO失效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610089076 CN100472548C (zh) | 2006-08-02 | 2006-08-02 | 一种实现实时媒体版权保护的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610089076 CN100472548C (zh) | 2006-08-02 | 2006-08-02 | 一种实现实时媒体版权保护的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101118576A CN101118576A (zh) | 2008-02-06 |
| CN100472548C true CN100472548C (zh) | 2009-03-25 |
Family
ID=39054688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610089076 Expired - Fee Related CN100472548C (zh) | 2006-08-02 | 2006-08-02 | 一种实现实时媒体版权保护的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100472548C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9137214B2 (en) | 2010-12-15 | 2015-09-15 | Microsoft Technology Licensing, Llc | Encrypted content streaming |
| CN104081786A (zh) * | 2011-12-14 | 2014-10-01 | 汤姆逊许可公司 | 用于自动获得数字电影解密密钥的方法和装置 |
| CN103186731B (zh) * | 2011-12-29 | 2016-06-01 | 北京中文在线数字出版股份有限公司 | 一种混合方式的数字版权保护方法和系统 |
| CN103188621B (zh) * | 2011-12-29 | 2016-01-20 | 北京中文在线数字出版股份有限公司 | 彩信的数字媒体保护系统及方法 |
| CN103873887A (zh) * | 2012-12-13 | 2014-06-18 | 航天信息股份有限公司 | 点播节目的播放方法、装置和系统 |
| CN105848009A (zh) * | 2016-03-31 | 2016-08-10 | 乐视控股(北京)有限公司 | 一种视频直播方法及装置 |
| KR101760092B1 (ko) * | 2016-05-09 | 2017-07-21 | 주식회사에스에이티 | 하드웨어 보안모듈을 이용한 cctv 보안강화 장치 및 그 방법 |
| CN109558702A (zh) * | 2018-11-26 | 2019-04-02 | 紫优科技(深圳)有限公司 | 一种数字化内容保护方法及装置 |
-
2006
- 2006-08-02 CN CN 200610089076 patent/CN100472548C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101118576A (zh) | 2008-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100472548C (zh) | 一种实现实时媒体版权保护的系统及方法 | |
| CN101938468B (zh) | 数字内容保护系统 | |
| US20080065548A1 (en) | Method of Providing Conditional Access | |
| CN102333236B (zh) | 视频内容的加解密系统 | |
| US8296569B2 (en) | Content protection interoperability infrastructure | |
| CN100442835C (zh) | 一种视频节目的数字版权和数字水印保护方法 | |
| WO2005040958A2 (en) | Method and system for content distribution | |
| CN103942470A (zh) | 一种具有溯源功能的电子音像制品版权管理方法 | |
| CN107306254B (zh) | 基于双层加密的数字版权保护方法及系统 | |
| CN103825885A (zh) | 一种互联网内容加密发布方法及系统 | |
| CN103136459B (zh) | 一种加密数字内容的版权标识方法和系统 | |
| CN103873895A (zh) | 一种dvb/iptv双模互动业务保护系统 | |
| CN102075790A (zh) | 一种流媒体分发和加密的方法 | |
| CN101119194A (zh) | 一种对数字内容及授权进行加密和解密的方法 | |
| Lee et al. | A secure and mutual-profitable DRM interoperability scheme | |
| US8737622B2 (en) | Method for importing rights object and rights issuer | |
| CN1968081A (zh) | 一种用于文件传送的数据加密系统和方法 | |
| EP2325774A1 (en) | Method and device for imposing usage constraints of digital content | |
| CN101567782A (zh) | 基于多层加密体系的oma drm流媒体版权管理系统 | |
| CN101145932B (zh) | 一种移动多媒体广播业务中节目流密钥的实现方法及系统 | |
| KR20070061228A (ko) | 콘텐츠 보호를 위한 메타데이터 저작 시스템 및 그 방법 | |
| CN103186731A (zh) | 一种混合方式的数字版权保护方法和系统 | |
| CN102917252A (zh) | Iptv节目流内容保护系统及方法 | |
| CN102143175A (zh) | Drm文件分发方法、移动终端和应用服务器 | |
| CN105407366A (zh) | 一种互联网视频和数据文件硬件加密传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191016 Address after: 101399, Beijing, Shunyi District Korea Camp Town Cultural Camp North (two road, 1) Patentee after: BEIJING SUMAVISION TECHNOLOGIES Co.,Ltd. Address before: 100085 Beijing city Haidian District East Road No. 1 building A2, 6F a power surplus Patentee before: BEIJING SUMAVISION TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090325 Termination date: 20210802 |