CN110012312B - 适于付费电视系统的基于密钥管理的访问控制方法 - Google Patents
适于付费电视系统的基于密钥管理的访问控制方法 Download PDFInfo
- Publication number
- CN110012312B CN110012312B CN201910241045.0A CN201910241045A CN110012312B CN 110012312 B CN110012312 B CN 110012312B CN 201910241045 A CN201910241045 A CN 201910241045A CN 110012312 B CN110012312 B CN 110012312B
- Authority
- CN
- China
- Prior art keywords
- user
- key
- users
- television program
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000007726 management method Methods 0.000 claims abstract description 17
- 238000013500 data storage Methods 0.000 claims abstract description 12
- 238000005516 engineering process Methods 0.000 claims description 11
- 238000004321 preservation Methods 0.000 claims description 9
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- PHTXVQQRWJXYPP-UHFFFAOYSA-N ethyltrifluoromethylaminoindane Chemical compound C1=C(C(F)(F)F)C=C2CC(NCC)CC2=C1 PHTXVQQRWJXYPP-UHFFFAOYSA-N 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 230000006854 communication Effects 0.000 abstract description 17
- 238000004891 communication Methods 0.000 abstract description 15
- 230000006399 behavior Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
- H04N21/2541—Rights Management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25866—Management of end-user data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26606—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/4508—Management of client data or end-user data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4627—Rights management associated to the content
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种适于付费电视系统的基于密钥管理的访问控制方法,将同一视频网站的所有用户构成一个组,再根据用户的喜好将这些用户划分为不同的用户子集,相同用户子集里的用户所订阅的电视节目相同。网站管理者对电视节目和会话密钥进行加密,并把节目的密文和会话密钥的密文分别发给云服务器和相应用户。云服务器根据网站管理者上传的数据更新数据存储表,并根据数据存储表判断用户的请求是否合法。只有合法的用户才能够同时获得会话密钥和电视节目的密文,并进一步通过解密得到电视节目的明文。本发明能够保证用户的隐私数据不会被窃取,支持用户和服务提供者对电视节目的动态操作;节省了用户和服务提供者的计算和通信开销。
Description
技术领域
本发明涉及计算机技术领域,具体而言涉及一种适于付费电视系统的基于密钥管理的访问控制方法。
背景技术
随着无线技术的发展和智能设备的普及,付费电视作为一种新型商业模式迅速被大众所接受。基于订阅的服务作为付费电视系统中最常见的服务模式之一,能够支持用户订阅任意数量的电视节目,同时允许服务提供方(如,视频网站管理者)根据所提供的服务向用户收取一定的费用,以达到用户获得服务、服务方盈利的效果。为保护服务方的利益和用户的隐私数据(如宗教信仰、兴趣爱好等信息),用户所订阅的内容不得以明文的形式在信道上传播。服务方需要利用会话密钥对广播节目进行加密处理,并规定只有同时持有解密密钥和节目密文的付费用户才能获得节目的明文。具体而言,同一视频网站的所有用户构成一个小组。在订阅行为开始时,组内用户共同协商出一个会话密钥和各自的解密密钥。根据用户的请求,服务方利用会话密钥对数据进行加密并把密文发给相应的用户。用户在得到密文后,利用自己的解密密钥对密文进行解密,从而享受服务方提供的服务。
然而,在付费电视系统中,网站管理者需要不断更新节目单以吸引更多潜在用户,用户的喜好也会随时会发生改变。因此,一个良好的访问控制方案应至少满足以下三个条件:首先,它能够保护用户的隐私数据,即除用户自身以外,任何人都无法获知用户的身份和所喜欢的节目等隐私信息;其次,它能够支持视频网站管理者和用户对节目的动态操作,即允许视频网站管理者增加或删除一定数量的节目,同时支持用户增加订阅或取消订阅的行为;最后,它能够保证只有合法用户才能享受服务提供者提供的服务,即需对会话密钥进行不定期更新,以保证访问控制方案的前向安全和后向安全。
由上述分析可得,一旦用户所订阅的电视节目发生改变,就需对会话密钥进行更新以保证非法用户无法获得数据的访问权限。然而,由于付费电视中节目众多,访问控制过程复杂,为服务提供方和用户均带来了巨大的计算开销和通信开销。为解决这一问题,已有很多访问控制方案被提出。现有付费电视中使用的访问控制方案可大致分为两类:基于密钥树结构的访问控制方案和基于密钥协商技术的访问控制方案。基于密钥树结构的访问控制方案能够灵活地支持服务提供者和用户的动态订阅行为,但每一个用户的行为发生改变会导致平均O(logn)个密钥被更新,给用户和服务提供者带来了巨大的开销;基于密钥协商技术的访问控制方案在通信开销方面优于基于密钥树结构的访问控制方案,但不能很好地支持所有地订阅行为。因此,在付费电视系统中设计一个同时满足动态性和密钥管理高效性的访问控制方案是很有必要的。
发明内容
本发明目的在于提供一种适于付费电视系统的基于密钥管理的访问控制方法,能够在满足付费电视系统中对访问控制的需求的前提下,保证用户的隐私数据不会被窃取,在不损害所提方案安全的情况下,支持用户和服务提供者对电视节目的动态操作;同时,本发明仅需进行一次完整的密钥协商操作,当有动态行为发生时,用户和服务提供者需要管理的密钥数从O(logn)降低到O(1),节省了用户和服务提供者的计算和通信开销;另外发明适用于但不仅限于付费电视系统,还可用于多种需要进行访问控制的环境,如无线广播系统、智能电网等。
为达成上述目的,结合图1,本发明提出一种适于付费电视系统的基于密钥管理的访问控制方法,所述访问控制方法包括:
S1:接收用户发送的订阅请求,所述订阅请求中包括加密后的用户身份信息和该用户请求订阅的电视节目的索引。
S2:根据用户请求订阅的电视节目信息对用户进行分类,生成请求汇总表,所述请求汇总表中包括若干个用户子集,每个用户子集包括至少一个用户身份信息。
S3:针对每个用户子集生成其所独有的会话密钥。
S4:采用用户协商出的组加密密钥对每个用户子集的会话密钥进行加密,将会话密钥的密文发送至相应的用户子集所包含的所有用户。
S5:采用会话密钥和对称加密算法对电视节目数据进行加密,将加密后的电视节目数据和该电视节目所对应的合法用户的身份信息上传至云服务器。
进一步的实施例中,步骤S3中,针对每个用户子集生成其所独有的会话密钥是指,针对每个电视节目,生成子会话密钥;根据请求汇总表生成每个用户子集所独有的会话密钥。
进一步的实施例中,所述方法还包括:
当任意一个视频网站的用户信息发生变更时,该视频网站的所有用户采用密钥协商技术协商出新的组加密密钥和各自的解密密钥,公开新的组加密密钥。
进一步的实施例中,所述任意一个视频网站的用户信息发生变更包括:
出现新的订阅用户,和/或任意一个已有订阅用户请求退出。
进一步的实施例中,步骤S5中,所述采用会话密钥和对称加密算法对电视节目数据进行加密,将加密后的电视节目数据和该电视节目所对应的合法用户的身份信息上传至云服务器包括以下步骤:
根据对称加密算法中的密钥生成技术,和云服务器协商生成各自的公钥和私钥。
采用自身私钥和云服务器的公钥,对加密后的电视节目数据和该电视节目所对应的合法用户的身份信息再次进行签名加密,将加密结果上传至服务器。
进一步的实施例中,所述方法还包括:
所述云服务器对加密结果进行解密,获取加密后的电视节目数据的密文和该电视节目所对应的合法用户的身份信息,生成数据存储表。
进一步的实施例中,所述方法还包括:
所述云服务器响应于接收到用户发送的访问请求,所述访问请求中包括请求访问的电视节目数据和用户的身份信息,根据数据存储表以判断该用户是否为该电视节目数据所对应的合法用户,如果是,返回其请求访问的电视节目数据的密文。
进一步的实施例中,所述视频网站的所有用户采用密钥协商技术协商出组加密密钥和各自的解密密钥的过程包括以下步骤:
对系统进行初始化,生成并公开系统参数其中,p为大质数,为所有小于p的正整数的集合,G1,GT为两个p阶的循环群,代表G1,GT之间的双线性映射,P是G1的生成元,H代表不同的哈希函数H1:{0,1}*→G1,H3:GT→G1,m和n分别为电视节目和用户的数量。
每个用户Ui选取两个随机数计算ηi=H2(SP‖UIDi‖yi)和Di=H1(UIDi‖zi),保存ηi为私有,公开Di,其中0<i≤n,UIDi为第i个用户的身份编号,SP为该用户所订阅节目的集合。
每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤nQi+∑0<j≤n,i≠jDKj,i=∑0<i≤nQi+∑0<j≤nDKj,i。
令组加密密钥为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn)),公开组加密密钥GEK。
所述针对每个用户子集生成其所独有的会话密钥的过程包括如下步骤:
进一步的实施例中,所述方法还包括:
当任意一个用户Ut请求退出时,所述视频网站的所有用户采用密钥协商技术协商出新的组加密密钥和各自的解密密钥的过程包括以下步骤:
通知用户对组加密密钥和解密密钥进行更新,接收更新后的组加密密钥。
进一步的实施例中,当出现新的订阅用户Un+1时,所述视频网站的所有用户采用密钥协商技术协商出新的组加密密钥和各自的解密密钥的过程包括以下步骤:
用户Un+1选取随机数计算qn+1=H2(UIDn+1‖xn+1)并公开Qn+1=qn+1·P;选取随机数计算ηn+1=H2(SP‖UIDn+1‖yn+1)和Dn+1=H1(UIDn+1‖zn+1),保存ηn+1为私有,公开Dn+1,0<i≤(n+1)。
每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤n+1Qi+∑0<j≤n+1,i≠jDKj,i=∑0<i≤n+1Qi+∑0<j≤n+1DKj,i。
将组加密密钥更新为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn),(Xn+1,Yn+1,Zn+1)),公开组加密密钥GEK。
本发明提出一种适于付费电视系统的基于密钥管理的访问控制方法,将同一视频网站的所有用户构成一个组,再根据用户的喜好将这些用户划分为不同的用户子集,相同用户子集里的用户所订阅的电视节目相同。如果用户想要订阅某节目,需事先将自己的加密后身份信息和喜欢的节目发给视频网站管理者。在收到用户的请求后,网站管理者根据用户的需求对用户进行分类,并创建请求汇总表。网站管理者对电视节目和会话密钥进行加密,并把节目的密文和会话密钥的密文分别发给云服务器和相应用户。随后,云服务器根据网站管理者上传的数据更新数据存储表,并根据数据存储表判断用户的请求是否合法。只有合法的用户才能够同时获得会话密钥和电视节目的密文,并进一步通过解密得到电视节目的明文。
以上本发明的技术方案,与现有相比,其显著的有益效果在于:
1)能够在满足付费电视系统中对访问控制的需求的前提下,保证用户的隐私数据不会被窃取,在不损害所提方案安全的情况下,支持用户和服务提供者对电视节目的动态操作。
2)本发明仅需进行一次完整的密钥协商操作,当有动态行为发生时,用户和服务提供者需要管理的密钥数从O(logn)降低到O(1),节省了用户和服务提供者的计算和通信开销。
3)另外发明适用于但不仅限于付费电视系统,还可用于多种需要进行访问控制的环境,如无线广播系统、智能电网等。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外,所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1是本发明的一种适于付费电视系统的基于密钥管理的访问控制方法的流程图。
图2是本发明的用户、网站管理者和云服务器三者之间的通信过程示意图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
本发明提及一种适于付费电视系统的基于密钥管理的访问控制方法,所述访问控制方法包括:
S1:接收用户发送的订阅请求,所述订阅请求中包括加密后的用户身份信息和该用户请求订阅的电视节目的索引。
S2:根据用户请求订阅的电视节目信息对用户进行分类,生成请求汇总表,所述请求汇总表中包括若干个用户子集,每个用户子集包括至少一个用户身份信息。
S3:针对每个用户子集生成其所独有的会话密钥。
S4:采用用户协商出的组加密密钥对每个用户子集的会话密钥进行加密,将会话密钥的密文发送至相应的用户子集所包含的所有用户。
S5:采用会话密钥和对称加密算法对电视节目数据进行加密,将加密后的电视节目数据和该电视节目所对应的合法用户的身份信息上传至云服务器。
结合图2,本发明提供的方法涉及用户、网站管理者和云服务器三个部分,其中用户、网站管理者和云服务器三者之间的通信过程如图2所示。
本发明提出了一个适于付费电视系统的基于密钥管理的访问控制方法,该方法可分为用户子集划分、密钥生成、密文生成、密文获取和解密五个阶段。在该方法正式实施前,需对系统进行初始化,生成并公开系统参数其中,p为大质数,G1,GT为两个p阶的循环群,代表G1,GT之间的双线性映射,P是G1的生成元,H代表不同的哈希函数H1:{0,1}*→G1,H3:GT→G1,m和n分别为电视节目和用户的数量。
一、用户子集划分
本步骤的目的在于用户子集划分,具体如下:
步骤1.1,用户对自己的身份进行加密处理,并把自己想要订阅电视节目的索引和身份的密文一起发送给网站管理者。
具体的,如果用户想要在某视频网站订阅相关电视节目,他要先对自己的身份进行加密得到Ri=ri·H1(UIDi),其中ri为只有该用户可知的随机数,UIDi代表该用户的身份编号。然后,再把想要订阅的电视节目的索引SP={…,PIDi,…}(0<i<m)和自己的身份信息以{Ri,SP}的形式发送给视频网站管理者,其中PIDi为第i个节目对应的编号。
步骤1.2,网站管理者在收到用户的订阅请求后,根据用户的需求进行分类,即把具有相同需求的用户分为一个用户子集,并更新请求汇总表如表1所示。
表1 请求汇总表
二、密钥生成
密钥生成包括三个部分,视频网站管理者和云服务器协商生成的用于两者之间数据加密传输的密钥、同一视频网站的用户之间协商出的组加密密钥和各自的解密密钥、视频网站管理者创建的针对每个用户子集的会话密钥。
步骤2.1.视频网站管理者和云服务器各自生成自己的公钥和私钥,用于保证电视节目的安全性和完整性。
为保证视频网站管理者和云服务器之间的通信安全,需对通信数据利用对称加密算法(如RSA)进行签名加密。以根据RSA加密算法中密钥生成原理为例,视频网站管理者生成公钥PUM={eM,nM}和私钥PRM={dM,nM},云服务器生成公钥PUC={eC,nC}和私钥PRM={dC,nC}。
步骤2.2.同一视频网站的用户之间利用密钥协商技术协商出一个组加密密钥和各自的解密密钥,并将组加密密钥公开。
为保证网站管理者和用户之间的通信安全,需对通信数据进行加密。这里,该视频网站中的所有用户共同协商出一个组加密密钥和各自的解密密钥。具体过程如下:首先,每个用户Ui,其中,0<i≤n,选择一个随机数计算qi=H2(UIDi‖xi)并公开Qi=qi·P;其次,用户Ui选取两个随机数基于自己所订阅的节目SP及身份编号UIDi,计算ηi=H2(SP‖UIDi‖yi)和Di=H1(UIDi‖zi),保存ηi为私有,公开Di;随后,对0<j≤n,每个用户Ui选择一个随机数计算DKi,j=ηi·P+αi·Dj,并公开{DKi,1,DKi,2,…,DKi,i-1,DKi,i+1,…,DKi,n};接着,每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤nQi+∑0<j≤n,i≠jDKj,i=∑0<i≤ nQi+∑0<j≤nDKj,i;最后,用户Ui选取随机数计算Xi=(ρi·ηi+(1-ρi)·qi)·P,Yi=((1-ρi)·ηi+ρi·qi)·P和Zi=αi·P,令组加密密钥为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn)),公开组加密密钥GEK。
步骤2.3.视频网站管理者首先生成每个电视节目的子会话密钥,再根据请求汇总表生成每个用户子集的会话密钥。
为保证电视节目在传输过程中不被窃取,需利用会话密钥对节目进行加密。生成会话密钥的具体过程如下:网站管理者首先在G1和里分别选择m+1个随机元素,计算令每个电视节目对应的子会话密钥为再根据请求汇总表,为每个用户子集生成会话密钥Ω=∑i∈(cj)mod m+1,j∈SΩi,其中为只有视频网站管理者可知的大质数,S为与该用户订阅了相同节目的用户的集合。
三、密钥更新
步骤3.1.当用户余额不足或者欠费时,则默认该用户退出。由于用户在退出时并没有删除旧解密密钥,为防止该用户在退出网络后依然能够利用旧密钥正常通信,其它用户需对组加密密钥和解密密钥进行更新。
当用户Ut退出网站时,网站管理者和用户需对通信所用的密钥进行更新。网站管理者首先选择随机数计算并公开其次,两个随机数保存为私有,公开接着,选择一个随机数计算并公开随后,选取随机数计算并公开 和最后,用户对组加密密钥和解密密钥进行更新(如步骤2.2所示)。此外,为保证通信的前向安全,会话密钥被更新为其中为一个新的随机数。
步骤3.2.除老用户退出之外,也会不断有新用户加入。为防止新用户能够解密该用户加入前的通信内容,其它用户也需对组加密密钥和解密密钥进行更新。
当新用户(设为Un+1)加入视频网站时,通信所需密钥也需要被更新。首先,用户Un+1选取随机数计算qn+1=H2(UIDn+1‖xn+1)并公开Qn+1=qn+1·P;其次,选取随机数计算ηn+1=H2(SP‖UIDn+1‖yn+1)和Dn+1=H1(UIDn+1‖zn+1),保存ηn+1为私有,公开Dn+1,0<i≤(n+1);随后,对0<j≤n,用户Un+1选择随机数计算DKn+1,j=ηn+1·P+αn+1·Dj,并公开{DKn+1,1,DKn+1,2,…,DKn+1,n},用户Ui计算并公开DKi,n+1;接着,每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤n+1Qi+∑0<j≤n+1,i≠jDKj,i=∑0<i≤n+1Qi+∑0<j≤n+1DKj,i;最后,用户Un+1选取随机数计算Xn+1=(ρn+1·ηn+1+(1-ρn+1)·qn+1)·P,Yn+1=((1-ρn+1)·ηn+1+ρn+1·qn+1)·P和Zn+1=αn+1·P,将组加密密钥更新为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn),(Xn+1,Yn+1,Zn+1)),公开组加密密钥GEK。
四、密文生成
步骤4.1.网络管理者利用会话密钥和对称加密算法对电视节目进行加密,利用自己的私钥和云服务器的公钥对节目的密文和用户的身份信息进行签名加密,并将加密结果上传到云服务器。
在收到用户的订阅请求后,网站管理者根据用户的需求利用会话密钥算法对电视节目进行加密得到CSP=EncΩ(msp),令DataS-SP={RS,CSP}。此外,为防止恶意用户伪装成网站管理者,并谎称自己是合法的用户,网站管理者需要向云服务器证明自己的身份,即对DataS-SP进行签名加密,得到最后,将上传到云服务器。
步骤4.2.网络管理者根据划分的用户子集,利用用户协商出的组加密密钥对会话密钥进行加密,并将会话密钥的密文发给相应的用户子集。
为保证合法用户能正常收看所订阅的电视节目,视频网站管理者还需将会话密钥以密文形式发送给相应用户。为此,网站管理者选择一个随机数并计算会话密钥CΩ=(C0,C1,C2),其中C0=τ·P,和最后将CΩ发送给相应用户子集里的用户。
五、密文获取
步骤5.1.云服务器在收到网络管理者上传的数据之后,利用自己的私钥和网站管理者的公钥对数据进行验证和解密得到电视节目的密文和用户的身份信息,并更新数据存储表,数据存储表如表2所示。
表2 数据存储表
步骤5.2.用户向云服务器发出访问请求,云服务器判断用户身份是否合法,并将电视节目的密文发给合法用户。
用户Ui为获得电视节目的密文,需要云服务器证明自己的身份是合法的。为此,用户随机选取一个整数计算和并将(ri·Wi·Vi)发给云服务器。云服务器在收到用户的请求后,计算并判断等式是否成立。只有等式成立时,才将CSP发送给该用户。
六、解密
步骤6.1.用户在收到网站管理者发送的会话密钥的密文之后,利用自己的私钥对该密文进行解密,得到会话密钥的明文。
步骤6.2.用户在收到云服务器发送的电视节目的密文之后,利用会话密钥对该密文进行解密,得到电视节目的明文。
用户在解密出会话密钥Ω之后,再利用该会话密钥对节目的密文CSP进行解密,即mSP=DecΩ(Csp)。至此,合法用户才能够获得网站管理者提供的服务。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定义在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (7)
1.一种适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,所述访问控制方法包括:
S1:接收用户发送的订阅请求,所述订阅请求中包括加密后的用户身份信息和该用户请求订阅的电视节目的索引;
S2:根据用户请求订阅的电视节目信息对用户进行分类,生成请求汇总表,所述请求汇总表中包括若干个用户子集,每个用户子集包括至少一个用户身份信息;
S3:针对每个用户子集生成其所独有的会话密钥;
S4:采用用户协商出的组加密密钥对每个用户子集的会话密钥进行加密,将会话密钥的密文发送至相应的用户子集所包含的所有用户;
S5:采用会话密钥和对称加密算法对电视节目数据进行加密,将加密后的电视节目数据和该电视节目所对应的合法用户的身份信息上传至云服务器;
所述方法还包括:
当任意一个视频网站的用户信息发生变更时,该视频网站的所有用户采用密钥协商技术协商出新的组加密密钥和各自的解密密钥,公开新的组加密密钥,并且更新会话密钥;
视频网站的所有用户采用密钥协商技术协商出组加密密钥和各自的解密密钥的过程包括以下步骤:
对系统进行初始化,生成并公开系统参数其中,p为大质数,为所有小于p的正整数的集合,G1,GT为两个p阶的循环群,代表G1,GT之间的双线性映射,P是G1的生成元,H代表不同的哈希函数H1:{0,1}*→G1,H3:GT→G1,m和n分别为电视节目和用户的数量;
每个用户Ui选取两个随机数计算ηi=H2(SP||UIDi||yi)和Di=H1(UIDi||zi),保存ηi为私有,公开Di,其中,0<i≤n,UIDi和SP分别代表第i个用户的身份编号和该用户所订阅节目的集合;
每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤n Qi+∑0<j≤n,i≠jDKj,i=∑0<i≤nQi+∑0<j≤nDKj,i;
令组加密密钥为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn)),公开组加密密钥GEK;
所述针对每个用户子集生成其所独有的会话密钥的过程包括如下步骤:
2.根据权利要求1所述的适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,所述任意一个视频网站的用户信息发生变更包括:
出现新的订阅用户,和/或任意一个已有订阅用户请求退出。
3.根据权利要求1所述的适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,步骤S5中,所述采用会话密钥和对称加密算法对电视节目数据进行加密,将加密后的电视节目数据和该电视节目所对应的合法用户的身份信息上传至云服务器包括以下步骤:
视频网站管理者根据对称加密算法中的密钥生成技术,和云服务器协商生成各自的公钥和私钥;
视频网站管理者采用自身私钥和云服务器的公钥,对加密后的电视节目数据和该电视节目所对应的合法用户的身份信息再次进行签名加密,将加密结果上传至服务器。
4.根据权利要求3所述的适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,所述方法还包括:
所述云服务器对加密结果进行解密,获取加密后的电视节目数据的密文和该电视节目所对应的合法用户的身份信息,生成数据存储表。
5.根据权利要求4所述的适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,所述方法还包括:
所述云服务器响应于接收到用户发送的访问请求,所述访问请求中包括请求访问的电视节目数据和用户的身份信息,根据数据存储表以判断该用户是否为该电视节目数据所对应的合法用户,如果是,返回其请求访问的电视节目数据的密文。
7.根据权利要求1所述的适于付费电视系统的基于密钥管理的访问控制方法,其特征在于,当出现新的订阅用户Un+1时,所述视频网站的所有用户采用密钥协商技术协商出新的组加密密钥和各自的解密密钥的过程包括以下步骤:
用户Un+1选取随机数计算qn+1=H2(UIDn+1||xn+1)并公开Qn+1=qn+1·P;选取随机数计算ηn+1=H2(SP||UIDn+1||yn+1)和Dn+1=H1(UIDn+1||zn+1),保存ηn+1为私有,公开Dn+1,0<i≤(n+1);
每个用户计算自己的解密密钥为DKi=DKi,i+∑0<i≤n+1Qi+∑0<j≤n+1,i≠jDKj,i=∑0<i≤n+1Qi+∑0<j≤n+1DKj,i;
将组加密密钥更新为GEK=((X1,Y1,Z1),(X2,Y2,Z2),…,(Xn,Yn,Zn),(Xn+1,Yn+1,Zn+1)),公开组加密密钥GEK;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910241045.0A CN110012312B (zh) | 2019-03-28 | 2019-03-28 | 适于付费电视系统的基于密钥管理的访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910241045.0A CN110012312B (zh) | 2019-03-28 | 2019-03-28 | 适于付费电视系统的基于密钥管理的访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110012312A CN110012312A (zh) | 2019-07-12 |
CN110012312B true CN110012312B (zh) | 2021-09-28 |
Family
ID=67168563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910241045.0A Active CN110012312B (zh) | 2019-03-28 | 2019-03-28 | 适于付费电视系统的基于密钥管理的访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110012312B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110460438A (zh) * | 2019-08-07 | 2019-11-15 | 南京信息工程大学 | 具有用户隐私保护功能的轻量级通讯方法 |
CN113179425A (zh) * | 2020-11-16 | 2021-07-27 | 北京路安世纪文化发展有限公司 | 一种高速数字电视信号传输方法 |
CN113422680B (zh) * | 2021-06-02 | 2022-12-23 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 数据加密传输系统和数据加密传输方法 |
CN114301651B (zh) * | 2021-12-22 | 2023-07-21 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486315A (zh) * | 2014-12-08 | 2015-04-01 | 北京航空航天大学 | 一种基于内容属性的可撤销密钥外包解密方法 |
CN106612271A (zh) * | 2016-05-20 | 2017-05-03 | 四川用联信息技术有限公司 | 一种用于云存储的加密和访问控制方法 |
CN108111540A (zh) * | 2018-01-30 | 2018-06-01 | 西安电子科技大学 | 一种云存储中支持数据共享的分层访问控制系统及方法 |
CN108200066A (zh) * | 2018-01-04 | 2018-06-22 | 南京邮电大学 | 一种基于属性加密的物流大数据访问控制系统及方法 |
CN108810004A (zh) * | 2018-06-22 | 2018-11-13 | 西安电子科技大学 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
CN108833393A (zh) * | 2018-06-07 | 2018-11-16 | 西安电子科技大学 | 一种基于雾计算的可撤销数据共享方法 |
CN108989026A (zh) * | 2018-07-05 | 2018-12-11 | 华东师范大学 | 一种发布/订阅环境下用户属性可撤销的方法 |
CN109040045A (zh) * | 2018-07-25 | 2018-12-18 | 广东工业大学 | 一种基于密文策略属性基加密的云存储访问控制方法 |
-
2019
- 2019-03-28 CN CN201910241045.0A patent/CN110012312B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486315A (zh) * | 2014-12-08 | 2015-04-01 | 北京航空航天大学 | 一种基于内容属性的可撤销密钥外包解密方法 |
CN106612271A (zh) * | 2016-05-20 | 2017-05-03 | 四川用联信息技术有限公司 | 一种用于云存储的加密和访问控制方法 |
CN108200066A (zh) * | 2018-01-04 | 2018-06-22 | 南京邮电大学 | 一种基于属性加密的物流大数据访问控制系统及方法 |
CN108111540A (zh) * | 2018-01-30 | 2018-06-01 | 西安电子科技大学 | 一种云存储中支持数据共享的分层访问控制系统及方法 |
CN108833393A (zh) * | 2018-06-07 | 2018-11-16 | 西安电子科技大学 | 一种基于雾计算的可撤销数据共享方法 |
CN108810004A (zh) * | 2018-06-22 | 2018-11-13 | 西安电子科技大学 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
CN108989026A (zh) * | 2018-07-05 | 2018-12-11 | 华东师范大学 | 一种发布/订阅环境下用户属性可撤销的方法 |
CN109040045A (zh) * | 2018-07-25 | 2018-12-18 | 广东工业大学 | 一种基于密文策略属性基加密的云存储访问控制方法 |
Non-Patent Citations (2)
Title |
---|
Anonymous and Traceable Group Data;Shen Jian等;《IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY》;20180430 * |
一种适用于多用户子集的广播加密方案;吕立群等;《网络安全技术与应用》;20171015 * |
Also Published As
Publication number | Publication date |
---|---|
CN110012312A (zh) | 2019-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110012312B (zh) | 适于付费电视系统的基于密钥管理的访问控制方法 | |
US10389689B2 (en) | Systems and methods for securely streaming media content | |
CN108418784B (zh) | 一种基于属性密码的分布式跨域授权和访问控制方法 | |
US11785315B2 (en) | Secure provisioning, by a client device, cryptographic keys for exploiting services provided by an operator | |
US20120213364A1 (en) | Combination-based broadcast encryption method | |
CN110995418A (zh) | 云存储认证方法及系统、边缘计算服务器、用户路由器 | |
US20060047976A1 (en) | Method and apparatus for generating a decrpytion content key | |
CN109525388B (zh) | 一种密钥分离的组合加密方法及系统 | |
US20100228972A1 (en) | System and Method for Content Distribution with Broadcast Encryption | |
US20230132485A1 (en) | System for Thin Client Devices in Hybrid Edge Cloud Systems | |
CN111277583B (zh) | 一种移动云计算的监控系统身份认证方法 | |
Vijayakumar et al. | An effective key distribution for secure internet pay‐TV using access key hierarchies | |
JPWO2003094422A1 (ja) | 暗号通信システム、その鍵配布サーバ、端末装置及び鍵共有方法 | |
CN109587115B (zh) | 一种数据文件安全分发使用方法 | |
US20210209236A1 (en) | Multi-phase digital content protection | |
CN112927026A (zh) | 优惠券的处理方法、装置、电子设备及计算机存储介质 | |
CN118077170A (zh) | 使用多方计算和可信执行环境进行安全计算 | |
US8699710B2 (en) | Controlled security domains | |
CN110061836B (zh) | 一种具有前向安全性的组密钥分发方法 | |
Shiny et al. | Decentralized access control technique with multi-tier authentication of user for cloud storage | |
Huang et al. | Enhanced authentication for commercial video services | |
Lin et al. | An attribute-based mutual authentication scheme with time-bounded keys | |
WO2013186274A1 (en) | Obtaining control words using multiple key ladders | |
Rial | A conditional access system with revocation for mobile pay-TV systems revisited | |
SaiRamesh et al. | Trusted multi-owner data sharing among dynamic users in public cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |