CN104506503B - 一种基于广电单向传输网络的安全认证系统 - Google Patents
一种基于广电单向传输网络的安全认证系统 Download PDFInfo
- Publication number
- CN104506503B CN104506503B CN201410773737.7A CN201410773737A CN104506503B CN 104506503 B CN104506503 B CN 104506503B CN 201410773737 A CN201410773737 A CN 201410773737A CN 104506503 B CN104506503 B CN 104506503B
- Authority
- CN
- China
- Prior art keywords
- certificate
- module
- data
- encryption
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种基于广电单向传输网络的安全认证系统,包括数据源服务器端、签名加密与证书管理系统、数据接收端,解决广电网络当前面临的几个安全难题。本发明一方面为广电服务器端安全传输数据提供了安全可靠的认证,另一方面有效的防止了单向网络传输过程中文件被篡改,替换,恶意重放等非法操作,同时也遏制了不法分子将电视广告替换成自己的盈利广告。
Description
技术领域
本发明涉及网络安全认证系统,具体地涉及一种基于广电单向传输网络的安全认证系统。
背景技术
目前,基于双向的计算机网络的安全认证方法主要有:数字签名和数字证书两种。
数字签名是非对称密钥加密技术与数字摘要技术的应用,主要包括发送方的签名过程和接收方的验证过程。其中签名过程是发送方用哈希函数将报文文本中生成消息摘要,然后用发送方自己的私钥对这个消息摘要进行加密,加密的结果正是该报文的数字签名。验证过程是接收方首先用与发送方同样的哈希函数从接收到的原始报文中计算出消息摘要,接着再用发送方的公钥来对报文附加的数字签名进行解密,如果这两个消息摘要相同,那么接收方就能确认该数字签名是发送方的,从而验证消息的来源的合法性。数字签名作为一种实现认证的重要技术,它提供身份验证、数据完整性检测、不可抵赖等安全服务。目前,数字签名算法有RSA、DSA(Digital Signature Algorithm)和ECDSA(Elliptic CurveDigital Signature Algorithm)算法Schnorr等。
数字证书是互联网通讯中标志通讯各方身份信息的一串数字,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据。它是由一个由权威机构——CA(CertificateAuthority)证书授权中心发行的,人们在网上用它来识别对方的身份。数字证书的格式通常遵循X.509标准,它包括证书序列号、证书持有者名称、证书持有者公钥、证书颁发者名称、证书有效期、证书颁发者的数字签名等。
在通信接收端为了实现验证消息发送者的真实身份,目前互联网应用比较广泛的安全网络通信协议有SSL、SET协议两种。其中SSL协议是一种在客户端和服务器端之间提供网络通信安全及数据完整性的安全协议,而SET协议主要是为了解决用户,商家,银行之间交易数据的完整性,及交易的不可抵赖性等而设计的安全电子交易协议。
SSL、SET协议均是世界公认的安全网络协议,然而它们最初均是基于双向的计算机网络设计的,这两种协议均要求通信双方经过数次来回握手验证才能建立安全的通信。然而,随着通信技术飞速发展,广电专属网络近年来开始向用户提供互动型的业务,但由于广电网络的特殊性,仍不同于双向的计算机网络,它绝大多时候提供的依然是单向的通信,该网络中的终端(如有线电视,智能机顶盒)往往是被动接收来自广电服务器的所有数据信息。对于单向的通信网络,这两种协议则无法进行部署。因此,这两种方案均无法解决当前广电专属网络安全认证问题。
发明内容
本发明旨在提供一种基于广电单向传输网络的安全认证系统。解决了广电网络当前面临的几个安全难题。一方面为广电服务器端安全传输数据提供了安全可靠的认证,另一方面有效的防止了单向网络传输过程中文件被篡改,替换,恶意重放等非法操作,同时也遏制了不法分子将电视广告替换成自己的盈利广告。
为达到上述目的,本发明的技术方案是:一种基于广电单向传输网络的安全认证系统,包括数据源服务器端、签名加密与证书管理相关系统和数据接收端;所述数据源服务器端包括但不局限于用于提供视音频源的流媒体服务器和用于提供电子节目菜单和广告源的电子节目菜单服务器;
所述签名加密与证书管理系统包括用于将接收的散列值通过约定的签名算法进行数字签名的数字签名模块,用于将当前系统时间通过非对称加密得到加密时间戳的加密时间戳模块,用于生成有效的数字证书,并分配给各台连接的源服务器,同时对证书进行管理的证书管理模块和用于对操作及异常错误的记录的日志记录模块及可扩展模块;
所述数据接收端包括用于验证源数据包的数字签名是否有效的数字签名验证模块,和用于验证数据包加入的时间戳是否在合理范围的时间戳验证模块。
进一步的,所述数据源服务器包括散列值生成模块,用于将发行的数据包转化成固定长度的散列值。
进一步的,所述散列值为非对称加密散列值,相应的数据接收端,源文件仅经过一次哈希算法得到散列值。
进一步的,所述证书管理模块包括根据设定的非对称加密算法生成密钥对,生成的私钥秘密保存在签名加密与证书管理系统中,并且该私钥仅由本系统管理。
本发明还提供了一种基于广电单向传输网络的安全认证方法,包括以下步骤:
数据源服务器端产生的源数据包通过散列值生成模块得到散列值;
数据源服务器端将散列值和数字证书一同发送给签名加密与证书管理系统;
生成数字签名后,记录当前的系统准确时间,通过加密时间戳模块得到经过加密的时间序列;
签名加密与证书管理系统将数字签名和加密时间戳发送给数据源服务器端;
数据源服务器端将源文件包、数字签名和加密时间戳发送给数据接收端;
数据接收端验证数字签名和源数据包加入的时间戳,并接受数据包。
本发明的有益效果是:一方面通过数字签名解决了广电专属网络的数据接收端(智能机顶盒)对信息真实性、完整性的认证,防止非法人员对原文件进行替换、篡改操作,例如将合法文件替换修改成非法的节目内容或者非法的盈利广告。另一方面通过在数据包加入加密时间戳技术避免了合法人员重发的失误操作,或者防止了非法人员实行的恶意重放攻击。普通的数字签名方案的数字签名方案不具备时间验证功能,而本发明提出的方案通过“数字签名+加密时间戳技术”能防止已发的内容重复地播放显示。在本发明中,数据源服务器端传输给签名加密与证书管理系统的不是源数据包本身,而是源数据包对应的散列值,一般散列值的长度较小(MD5、SHA-1算法分别生成的是128bit,160bit),因此该改进的方法大大提高了传输数据的效率。
该方案涉及签名、验证、加密和解密过程均耗时较小,实时性强,因此能适应广播电视实时性要求较高的系统。另一方面算法和数字证书易集成写入到机顶盒内部的芯片中,实现成本低。
附图说明
图1为基于广电单向传输网络认证系统的局部连接示意图;
图2为数据源服务器端生成散列值的流程示意图;
图3为签名加密与证书管理系统进行数字签名的流程示意图;
图4为签名加密与证书管理系统生成加密时间戳的流程示意图;
图5为数据接收端验证数字签名的流程示意图;
图6为数据接收端验证加密时间戳的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明的基于广电单向传输网络的安全认证系统主要由数据源服务器端、签名加密与证书管理系统、数据接收端(智能机顶盒)三部分组成。
数据源服务器端:该数据源服务器端可以是广电网络中的VOD服务器(提供视频源),EPG服务器(提供电子节目菜单和广告源)等等,并且它可以由若干这样的服务器组成。每台数据源服务器都设有散列值生成模块,用于将发行的数据包转化成固定长度的散列值,如图2。
签名加密与证书管理系统:它为本认证系统核心部分,它由一台计算机或专用设备组成。它主要设有数字签名模块、加密时间戳模块、证书管理模块和日志记录模块。数字签名模块可以将接收的散列值通过约定的签名算法进行数字签名,如图3。
加密时间戳生成模块,用于将当前系统时间通过非对称加密得到加密时间戳,如图4。
证书管理模块的功能主要是生成有效的数字证书,并分配给各台连接的源服务器,同时对证书进行维护、备份、更新、销毁。日志记录模块主要负责对所有操作(如数字签名、时间戳加密、证书管理等)及异常错误的记录,以便于后期的维护管理。
数据接收端(智能机顶盒):内部主要设有数字签名验证模块、时间戳验证模块。数字签名验证模块用于验证源数据包的数字签名是否有效,如图5。时间戳验证模块用于验证数据包加入的时间戳是否在合理范围,如图6。主要为了防止重发或者非法的重放攻击。
其中,密钥对和数字证书生成过程如下:
证书管理模块首先根据设定的非对称加密算法生成密钥对(公钥/私钥对),生成的私钥秘密保存在签名加密与证书管理系统中,并且该私钥仅由本系统管理。而生成的公钥根据X.509的格式制作成服务器的数字证书,并颁发给所有连接本系统的数据源服务器,同时该证书也需预先安装在智能机顶盒中。当系统的证书到期,需要对旧私钥,旧数字证书进行销毁,销毁后使用同样的方法生成新私钥和新数字证书。而机顶盒数字证书的更新,可以通过原数字签名认证后,将旧证书替换成新证书。
过程1:数据源服务器端A产生的源数据包通过散列值生成模块得到散列值,如模块采用SHA-1算法可以将任意长度的数据生成160bit的散列值。
过程2:请求数字签名。数据源服务器端A将散列值和数字证书一同发送给签名加密与证书管理系统C。
过程3:C根据A传来的数字证书找到A的签名私钥,通过数字签名模块对A传来的散列值进行数字签名。
过程4:生成数字签名后,记录当前的系统准确时间,通过加密时间戳模块得到经过加密的时间序列(即加密时间戳),该过程使用的私钥与过程3的私钥相同。
过程5:C将过程3和4得到的数字签名和加密时间戳发送给A。
过程6:A将源文件包、数字签名和加密时间戳发送给智能机顶盒端B。
过程7:B通过数字签名验证模块验证源数据包的数字签名是否有效,如图5。若无效,转向过程10,有效则执行过程8。
过程8:B再通过时间戳验证模块用于验证源数据包加入的时间戳是否在合理的范围,如图6,其中范围0<ΔT≤th的阈值th由根据统计得到,例如设在20分钟内,假设时间间隔超过20分钟,认为该数据包被重发或重放,转向过程10,否者认为时间戳合理,执行过程9。
过程9:接收该数据包,解析显示。
过程10:丢弃该数据包。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (4)
1.一种基于广电单向传输网络的安全认证系统,其特征在于,包括数据源服务器端、签名加密与证书管理相关系统和数据接收端;所述数据源服务器端包括用于提供视音频源的流媒体服务器和用于提供电子节目菜单和广告源的电子节目菜单服务器;所述数据源服务器端还包括散列值生成模块,用于将发行的数据包转化成相应的散列值;所述签名加密与证书管理相关系统包括用于将接收的散列值通过约定的签名算法进行数字签名的数字签名模块,用于将当前系统时间通过非对称加密得到加密时间戳的加密时间戳模块,用于生成有效的数字证书,并分配给各台连接的数据源服务器端,同时对证书进行管理的证书管理模块和用于对操作及异常错误的记录的日志记录模块及可扩展模块;所述数据接收端包括用于验证源数据包的数字签名是否有效的数字签名验证模块,和用于验证数据包加入的时间戳是否在合理范围的时间戳验证模块。
2.根据权利要求1所述的基于广电单向传输网络的安全认证系统,其特征在于,所述散列值为非对称加密散列值,相应的数据接收端,源文件仅经过一次哈希算法得到散列值。
3.根据权利要求1所述的基于广电单向传输网络的安全认证系统,其特征在于,所述证书管理模块包括根据设定的非对称加密算法生成密钥对,生成的私钥秘密保存在签名加密与证书管理系统中,并且该私钥仅由签名加密与证书管理相关系统管理。
4.一种基于广电单向传输网络的安全认证方法,其特征在于,包括以下步骤:数据源服务器端产生的源数据包通过散列值生成模块得到散列值;数据源服务器端将散列值和数字证书一同发送给签名加密与证书管理系统;生成数字签名后,记录当前的系统准确时间,通过加密时间戳模块得到经过加密的时间序列;签名加密与证书管理系统将数字签名和加密时间戳发送给数据源服务器端;数据源服务器端将源文件包、数字签名和加密时间戳发送给数据接收端;数据接收端验证数字签名和源数据包加入的时间戳,并接受数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410773737.7A CN104506503B (zh) | 2014-12-08 | 2014-12-08 | 一种基于广电单向传输网络的安全认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410773737.7A CN104506503B (zh) | 2014-12-08 | 2014-12-08 | 一种基于广电单向传输网络的安全认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506503A CN104506503A (zh) | 2015-04-08 |
| CN104506503B true CN104506503B (zh) | 2019-11-05 |
Family
ID=52948218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410773737.7A Expired - Fee Related CN104506503B (zh) | 2014-12-08 | 2014-12-08 | 一种基于广电单向传输网络的安全认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506503B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936578B (zh) * | 2015-12-30 | 2020-02-18 | 航天信息股份有限公司 | 时间戳系统及签发时间戳的方法 |
| ITUA20161809A1 (it) * | 2016-03-18 | 2017-09-18 | Biomed Srl | Sistema e metodo per il trasporto di beni |
| CN106973325A (zh) * | 2017-03-29 | 2017-07-21 | 成都三零凯天通信实业有限公司 | 地面数字电视机顶盒接收信号的安全识别方法 |
| CN107147500A (zh) * | 2017-06-07 | 2017-09-08 | 吉林大学 | 适用于非实时组播数据源认证的改进散列树方法 |
| CN107896224A (zh) * | 2017-12-04 | 2018-04-10 | 宁波升维信息技术有限公司 | 一种基于双链路安全校验的网络信息发布方法 |
| CN110166224B (zh) * | 2019-06-20 | 2022-03-29 | 大连海事大学 | 一种vdes电子海图数据在线更新与保护方法 |
| CN112135165B (zh) * | 2020-08-06 | 2022-07-12 | 河北广电无线传媒有限公司 | 一种iptv模板文件防篡改方法及系统 |
| CN112672192A (zh) * | 2020-12-28 | 2021-04-16 | 上海成思信息科技有限公司 | 一种iptv监管方法 |
| CN113411346A (zh) * | 2021-06-30 | 2021-09-17 | 四川更元科技有限公司 | 一种sdn网络南向控制可信连接方法 |
| CN113473212B (zh) * | 2021-09-03 | 2021-10-29 | 深圳佳力拓科技有限公司 | 兼具单向广播网络和双向通信网络的数字电视显示方法 |
| CN114978694A (zh) * | 2022-05-23 | 2022-08-30 | 深圳云创数安科技有限公司 | 基于数字签名的数据体生成方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002007441A1 (fr) * | 2000-07-13 | 2002-01-24 | Thomson Licensing Sa | Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique. |
| CN1791215A (zh) * | 2005-12-29 | 2006-06-21 | 清华大学 | 一种网络电视内容安全监管方法 |
| CN101009811A (zh) * | 2007-01-26 | 2007-08-01 | 清华大学 | 一种基于标记的网络电视内容监管方法 |
| CN101282222A (zh) * | 2008-05-28 | 2008-10-08 | 胡祥义 | 基于csk的数字签名方法 |
| CN101552672A (zh) * | 2009-04-15 | 2009-10-07 | 胡祥义 | 一种基于标识认证的全球网络实名制实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7103779B2 (en) * | 2003-09-18 | 2006-09-05 | Apple Computer, Inc. | Method and apparatus for incremental code signing |
-
2014
- 2014-12-08 CN CN201410773737.7A patent/CN104506503B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002007441A1 (fr) * | 2000-07-13 | 2002-01-24 | Thomson Licensing Sa | Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique. |
| CN1791215A (zh) * | 2005-12-29 | 2006-06-21 | 清华大学 | 一种网络电视内容安全监管方法 |
| CN101009811A (zh) * | 2007-01-26 | 2007-08-01 | 清华大学 | 一种基于标记的网络电视内容监管方法 |
| CN101282222A (zh) * | 2008-05-28 | 2008-10-08 | 胡祥义 | 基于csk的数字签名方法 |
| CN101552672A (zh) * | 2009-04-15 | 2009-10-07 | 胡祥义 | 一种基于标识认证的全球网络实名制实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506503A (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506503B (zh) | 一种基于广电单向传输网络的安全认证系统 | |
| CN106357396B (zh) | 数字签名方法和系统以及量子密钥卡 | |
| US20200320178A1 (en) | Digital rights management authorization token pairing | |
| CN109257180A (zh) | 一种基于区块链的知识产权文件存证的方法及装置 | |
| CN101378320B (zh) | 一种认证方法和认证系统 | |
| CN102594803B (zh) | 信息安全设备及服务器时间同步方法 | |
| CN109151508A (zh) | 一种视频加密方法 | |
| CN111934884B (zh) | 一种证书管理方法及装置 | |
| JP2009049731A (ja) | 暗号化方法,復号方法,および,鍵管理方法 | |
| WO2010025638A1 (zh) | 点对点直播流传递的方法、装置及系统 | |
| CN104200154A (zh) | 一种基于标识的安装包签名方法及其装置 | |
| CN114697040A (zh) | 一种基于对称密钥的电子签章方法和系统 | |
| CN111049649A (zh) | 一种基于标识密码的零交互密钥协商安全增强协议 | |
| US20220171832A1 (en) | Scalable key management for encrypting digital rights management authorization tokens | |
| TWI593267B (zh) | 具有時戳驗證的免憑證公開金鑰管理方法 | |
| CN102917252A (zh) | Iptv节目流内容保护系统及方法 | |
| CN112583772B (zh) | 一种数据采集存储平台 | |
| JP2006033114A (ja) | メタデータ送信装置及びメタデータ受信装置 | |
| US8699710B2 (en) | Controlled security domains | |
| Ding et al. | Equipping smart devices with public key signatures | |
| CN114244532A (zh) | 终端的计费方法和计费装置 | |
| EP2728791A1 (en) | Method and system of secure service supply to a user | |
| CN116055069B (zh) | 一种基于区块链的分布式ca实现方法 | |
| CN102523232A (zh) | 一种基于数字内容提供商参与的播放许可证书发放方法 | |
| CN101729253B (zh) | 多媒体广播系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice | ||
| DD01 | Delivery of document by public notice |
Addressee: Patent of Beijing Beiyou Guoan Technology Co.,Ltd. The person in charge Document name: Notice of termination of patent right |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191105 Termination date: 20201208 |