CN101552793B - 一种数字多媒体文件下载或节目点播授权方法 - Google Patents
一种数字多媒体文件下载或节目点播授权方法 Download PDFInfo
- Publication number
- CN101552793B CN101552793B CN2009103019390A CN200910301939A CN101552793B CN 101552793 B CN101552793 B CN 101552793B CN 2009103019390 A CN2009103019390 A CN 2009103019390A CN 200910301939 A CN200910301939 A CN 200910301939A CN 101552793 B CN101552793 B CN 101552793B
- Authority
- CN
- China
- Prior art keywords
- key
- cek
- user
- program
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明适用于数字多媒体非实时传播领域,提供了一种数字多媒体文件下载或节目点播授权方法,所述方法采用身份密钥(包含系统身份密钥SIK和终端身份密钥TIK)、用户授权密钥(包含个人密钥PK/组密钥GK)和内容加密密钥(CEK)的三层密钥体系,所有密钥都是采用逐层保护方式授权分发,并采用对称和非对称混合密码体制,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
Description
技术领域
本发明属于数字多媒体非实时传播领域,尤其涉及一种数字多媒体文件下载或节目点播授权方法。
背景技术
随着节目制作、节目传输、节目存储数字化后,节目内容的安全一直是内容提供商关心的问题。特别是高清数字节目的播出,内容安全问题更加突出,只有保护节目内容安全,才能维护内容提供商的合法利益,才能提高内容制作者的创作积极性。
目前存在的多媒体文件保护技术都是针对某一种应用,与应用环境和应用协议结合非常紧密,并且缺乏完整独立的安全框架,在实施上也比较复杂。
发明内容
本发明的目的在于:提供一种数字多媒体文件下载或节目点播授权方法,旨在解决现有技术缺乏对点播/下载的多媒体文件提供一个完整、独立、实施简单的安全保护框架的问题。
本发明的目的是这样实现的:
一种数字多媒体文件下载或节目点播授权方法,所述方法包括下述步骤:
A、多媒体服务端预先产生内容加密密钥CEK,所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器;
B、用户在成功申请开通多媒体非实时业务时获取身份凭证,所述凭证中至少携带有该用户的终端身份密钥TIK及服务端的系统身份密钥SIK信息;
C、用户终端通过所述身份凭证向服务端申请注册,双方相互验证对方的合法性,完成用户注册和业务定购,服务端向注册用户终端分发用户授权消息,所述用户授权消息携带有相应用户的个人密钥PK或组密钥GK,所述PK或GK采用相应用户的TIK进行加密;
D、用户终端通过节目菜单选择所要点播或下载的节目,并向服务端发送点播/下载节目申请;
E、用户终端向服务端请求所选多媒体文件的内容授权消息,服务端对所述用户终端进行身份认证,并向通过认证的用户终端发送携带有与该用户终端点播或下载的多媒体文件对应的并经该用户对应的PK/GK加密后的CEK信息的内容授权消息;
F、用户终端通过TIK解密获取所述PK/GK,通过该PK/GK解密获取所述CEK,通过该CEK解密并收看点播的节目流或下载的媒体文件。
所述TIK和SIK均为基于公开密钥体制生成的非对称密钥,所述步骤B包括下述步骤:
服务端和用户终端分别产生并存储SIK的公开/私有密钥对SIKpub/SIKpri和TIK的公开/私有密钥对TIKpub/TIKpri;
服务端将TIKpub导出并存储至本地服务器中,并将SIKpub离线写入用户的身份凭证中;
服务端将携带有TIK的公开/私有密钥对TIKpri/TIKpub和SIKpub信息的身份凭证分发给用户。
所述PK/GK采用TIKpub进行加密,用户终端采用TIKpri解密获取PK/GK。
所述PK/GK还采用SIKpri签名保护后再传输给用户终端,用户终端采用SIKpub对签名进行验证。
所述授权消息中,还包括所述用户终端选择的点播或下载媒体文件的权限信息,以及CEK明文的散列运算值。
CEK随点播/下载的节目内容一起分发,或者在节目点播前、下载前/后独立分发。
用户根据需求可申请一个PK和/或一个GK,也可同时拥有多个GK。
对个人用户授权时使用PK对CEK进行加密,对组用户授权时使用GK对CEK进行加密。
一个点播媒体或一个下载媒体文件有独立的CEK或者采用多个CEK加密。
所述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
本发明的突出优点是:本发明通过采用三层密钥体系和基于密钥的用户授权,并采用对称和非对称混合密码体制,所有密钥都是采用逐层保护方式授权分发,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
附图说明
图1是本发明实施例提供的数字多媒体文件下载或节目点播授权方法的时序图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明实施例提供的数字多媒体文件下载或点播授权方法的实现时序,详述如下:
1、用户申请开通多媒体非实时业务(点播和/或下载多媒体)。
2、多媒体服务端以离线方式向申请成功的用户分发身份凭证,该凭证中包含有用户的终端身份密钥(TIK)信息、服务端的系统身份密钥(SIK)信息,以及其它相关控制参数信息。
3、用户终端通过所述身份凭证在线/离线向服务端注册,双方相互验证对方身份的合法性,完成用户注册和业务定购。
4、服务端对合法用户产生与之对应的个人密钥/组密钥(PK/GK),并采用TIK对PK/GK进行加密。
5、服务端向用户终端发送用户授权消息,所述用户授权消息中携带有加密后的PK/GK信息。
6、用户终端通过身份凭证中的TIK解密获得PK/GK信息,并存储。
7、服务端预先产生内容加密密钥(CEK),所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器。
8、用户终端可以通过节目菜单选择所要点播或下载的节目,并可以随意申请点播或下载上述加密后的多媒体文件。
9、用户终端向服务端请求与所点播或下载的多媒体文件对应的内容授权消息。
10、服务端对用户终端进行身份认证,并向通过认证的用户终端发送内容授权消息,该消息中携带有与该用户终端所选的多媒体文件对应的并采用与该用户对应的PK/GK加密后的CEK信息,以及该用户终端使用点播或下载的媒体文件的权限(如播放次数、播放时间等控制信息)。
11、用户终端采用PK/GK解密获得所述CEK,再使用CEK解密收看下载的多媒体文件或点播的多媒体节目流。
在本发明实施例中,上述TIK和SIK均是基于椭圆曲线(ECC)算法或其它公开密钥算法生成的非对称密钥,由用户终端和服务端分别产生和保存。服务端在用户终端生成TIK密钥对(TIKpri,TIKpub)时,将TIKpub导出并存储至本地服务器中,并将本地生成的SIK密钥对(SIKpri,SIKpub)中的SIKpub离线写入用户的身份凭证中。TIK/SIK的更新间隔时间可以比较长(例如2年)。
上述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
PK/GK代表用户所拥有的授权,其中,PK密钥针对个人用户授权,GK密钥针对用户组授权,一个组的所有用户将拥有一致的GK。用户只有获得了相应授权即成为运营商信任的客户,才有资格成为合法的PK/GK授权客户。用户根据需求既可单独申请PK或GK,也可同时拥有多个GK。PK/GK随用户或用户组收视权限(由付费情况决定)的存在而有效,在权利连续期内其更新间隔时间为1-2年。PK/GK的分发是在用户身份公钥(TIKpub)的加密保护下从前端系统在线或离线发送到用户终端,用户终端采用TIKpri解密而获得PK/GK。
CEK用于实现点播媒体流和下载媒体内容的加密。一个点播媒体节目流或一个下载媒体文件有独立的CEK,也可一个点播媒体节目流或一个下载媒体文件采用多个CEK加密。CEK只分发给拥有点播或下载业务的PK/GK授权的用户,一般不需要时常变换。CEK在分发前由用户完成业务申请、身份认证、权限确认等规范流程之后才进行。对合法用户分发CEK时,CEK在PK或GK密钥加密保护下以授权消息文件的形式从服务端授权系统分发给用户,CEK的分发是一次性的,但可多次申请。CEK可以随节目内容一起分发,也可以在内容发布以后独立分发。
无论需要有多少业务,每个用户只能持有唯一的TIK、PK(针对个人用户),但由于所服务业务的不同,每个用户的GK(针对组用户)、CEK却可以申请多个,这是根据用户享有的权利决定。
作为本发明的一个优选实施例,在上述步骤4中,PK/GK除了采用TIKpub加密外,还采用SIKpri签名保护后再传输给用户终端,用户终端也将采用SIKpub对签名进行验证。同样的,发送给用户终端的授权消息中,除了包括加密后的CEK密文,还包括CEK明文的散列运算值,以使接收方可据此验证接收密钥的机密性、完整性和来源可靠性。
本发明实施例通过采用三层密钥体系和基于密钥的用户授权,并采用对称和非对称混合密码体制,所有密钥都是采用逐层保护方式授权分发,可以为点播或下载的媒体提供完整、可靠的安全保护,而且该套方法适用于各种多媒体点播或下载应用,且不受应用环境和应用协议的限制,实施起来也非常简单。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种数字多媒体文件下载或节目点播授权方法,其特征在于,所述方法包括下述步骤:
A、多媒体服务端预先产生内容加密密钥CEK,所有供点播和/或下载的媒体文件都预先经CEK加密后存储在服务端点播或下载服务器;
B、用户在成功申请开通多媒体非实时业务时获取身份凭证,所述凭证中至少携带有该用户的终端身份密钥TIK及服务端的系统身份密钥SIK信息;
C、用户终端通过所述身份凭证向服务端申请注册,双方相互验证对方的合法性,完成用户注册和业务定购,服务端向注册用户终端分发用户授权消息,所述用户授权消息携带有相应用户的个人密钥PK或组密钥GK,所述PK或GK采用相应用户的TIK进行加密;
D、用户终端通过节目菜单选择所要点播或下载的节目,并向服务端发送点播/下载节目申请;
E、用户终端向服务端请求所选多媒体文件的内容授权消息,服务端对所述用户终端进行身份认证,并向通过认证的用户终端发送携带有与该用户终端点播或下载的多媒体文件对应的并经该用户对应的PK/GK加密后的CEK信息的内容授权消息;
F、用户终端通过TIK解密获取所述PK/GK,通过该PK/GK解密获取所述CEK,通过该CEK解密并收看点播的节目流或下载的媒体文件。
2.如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述TIK和SIK均为基于公开密钥体制生成的非对称密钥,所述步骤B包括下述步骤:
服务端和用户终端分别产生并存储SIK的公开/私有密钥对SIKpub/SIKpri和TIK的公开/私有密钥对TIKpub/TIKpri;
服务端将TIKpub导出并存储至本地服务器中,并将SIKpub离线写入用户的身份凭证中;
服务端将携带有TIK的公开/私有密钥对TIKpri/TIKpub和SIKpub信息的身份凭证分发给用户。
3、如权利要求2所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK采用TIKpub进行加密,用户终端采用TIKpri解密获取PK/GK。
4、如权利要求2所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK还采用SIKpri签名保护后再传输给用户终端,用户终端采用SIKpub对签名进行验证。
5、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述授权消息中,还包括所述用户终端选择的点播或下载媒体文件的权限信息,以及CEK明文的散列运算值。
6、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,CEK随点播/下载的节目内容一起分发,或者在节目点播前、下载前/后独立分发。
7、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,用户根据需求可申请一个PK和/或一个GK,也可同时拥有多个GK。
8、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,对个人用户授权时使用PK对CEK进行加密,对组用户授权时使用GK对CEK进行加密。
9、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,一个点播媒体或一个下载媒体文件有独立的CEK或者采用多个CEK加密。
10、如权利要求1所述的数字多媒体文件下载或节目点播授权方法,其特征在于,所述PK/GK和CEK均是基于对称密钥体制生成的对称密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009103019390A CN101552793B (zh) | 2009-04-29 | 2009-04-29 | 一种数字多媒体文件下载或节目点播授权方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009103019390A CN101552793B (zh) | 2009-04-29 | 2009-04-29 | 一种数字多媒体文件下载或节目点播授权方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101552793A CN101552793A (zh) | 2009-10-07 |
CN101552793B true CN101552793B (zh) | 2011-12-14 |
Family
ID=41156781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009103019390A Expired - Fee Related CN101552793B (zh) | 2009-04-29 | 2009-04-29 | 一种数字多媒体文件下载或节目点播授权方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101552793B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220141B (zh) * | 2012-01-18 | 2016-07-06 | 中国移动通信集团辽宁有限公司 | 一种基于组密钥策略的敏感数据保护方法和系统 |
CN103873887A (zh) * | 2012-12-13 | 2014-06-18 | 航天信息股份有限公司 | 点播节目的播放方法、装置和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043403A (zh) * | 2007-03-15 | 2007-09-26 | 西安电子科技大学 | 基于域的数字版权保护家庭网络系统 |
CN101059828A (zh) * | 2006-04-20 | 2007-10-24 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
WO2008030759A1 (en) * | 2006-09-07 | 2008-03-13 | Microsoft Corporation | Drm aspects of peer-to-peer digital content distribution |
-
2009
- 2009-04-29 CN CN2009103019390A patent/CN101552793B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101059828A (zh) * | 2006-04-20 | 2007-10-24 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
WO2008030759A1 (en) * | 2006-09-07 | 2008-03-13 | Microsoft Corporation | Drm aspects of peer-to-peer digital content distribution |
CN101043403A (zh) * | 2007-03-15 | 2007-09-26 | 西安电子科技大学 | 基于域的数字版权保护家庭网络系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101552793A (zh) | 2009-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105553662B (zh) | 基于标识密码的动态数字版权保护方法和系统 | |
CN100459697C (zh) | 一种iptv系统、加密数字节目的发布、收看方法 | |
KR100957121B1 (ko) | 키 분배 방법 및 인증 서버 | |
CN101902611B (zh) | 一种iptv数字版权保护的实现方法 | |
CN101903889B (zh) | 数字版权管理的设备和方法 | |
US8458459B2 (en) | Client device and local station with digital rights management and methods for use therewith | |
CN101938468B (zh) | 数字内容保护系统 | |
CN104040939A (zh) | 内容的安全分发 | |
CN1937495A (zh) | 媒体网络应用的数字版权保护方法及系统 | |
JP2008514123A (ja) | デジタルコンテンツへの認可されたアクセスを提供するためのシステム及び方法 | |
WO2007092588A2 (en) | Secure digital content management using mutating identifiers | |
CN101626294A (zh) | 基于身份的认证方法、保密通信方法、设备和系统 | |
CN112187798B (zh) | 一种应用于云边数据共享的双向访问控制方法及系统 | |
CN102742287A (zh) | 管理访问音频/视频数据的至少一组解码器的成员的方法 | |
CN104221023A (zh) | 数字权利管理 | |
CN101207794B (zh) | Iptv系统的数字版权管理加密和解密方法 | |
CN101640785B (zh) | 交互式网络电视的加/解密系统和加/解密方法 | |
CN106797309A (zh) | 使用密钥贡献保护回放设备中与控制模块的通信 | |
CN106803980B (zh) | 加密控制字的保护方法、硬件安全模块、主芯片和终端 | |
CN101521668B (zh) | 一种多媒体广播内容授权方法 | |
US20220171832A1 (en) | Scalable key management for encrypting digital rights management authorization tokens | |
CN101202883B (zh) | 一种iptv系统的数字版权管理系统 | |
CN102917252B (zh) | Iptv节目流内容保护系统及方法 | |
CN101895393A (zh) | Iptv用户安全终端 | |
CN101552793B (zh) | 一种数字多媒体文件下载或节目点播授权方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111214 Termination date: 20170429 |