-
TECHNISCHES
GEBIET
-
Die
vorliegende Erfindung betrifft die Datenverschlüsselung und insbesondere ein
Verfahren und eine Vorrichtung zur Verschlüsselung und Entschlüsselung
eines Datenstroms und ein System zur sicheren Übertragung eines Datenstroms.
-
STAND DER
TECHNIK
-
Mit
der zunehmenden Digitalisierung von Audio- und Videodaten und der
Entwicklung der Computer- und Netzwerktechnik werden digitalisierte
Audio- und Videodateien über
Netze in Form von weit verbreiteten Datenströmen (wie beispielsweise Datenströmen im MPEG-
oder MP3-Format) an Benutzer verteilt. Bei der Übertragung über eine Netzumgebung tritt
ein Sicherheitsproblem auf.
-
Der
Schutz eines Datenstroms in einem Netz erfolgt üblicherweise durch Verschlüsselung.
Gegenwärtig
gibt es viele Vorschläge
zur Verschlüsselung
von MPEG-Datenströmen,
zum Beispiel Naive Algorithm (naiver Algorithmus), Selective Algorithm
(selektiver Algorithmus), ZigZag-Permutation Algorithm (Zickzack-Permutationsalgorithmus)
usw. Diese Algorithmen liefern eine Reihe von Verschlüsselungsansätzen für Datenströme, die
von einer einfachen bis zu einer komplexen Verschlüsselung
reichen.
-
Bei
diesen herkömmlichen
Ansätzen
zur Datenstromverschlüsselung
wird jedoch ein Datenstrom normalerweise gemäß einer einzigen Strategie
verschlüsselt,
ohne die Situation des Empfängers,
des Absenders und des zwischen beiden liegenden Kanals zu berücksichtigen.
Demzufolge werden entweder Ressourcen vergeudet oder die Qualität der Datenwiedergabe
verschlechtert.
-
In
der US-Patentanmeldung US 2001/053 221 wird ein Verschlüsselungsverfahren
beschrieben, bei dem einfacher Text in Blöcke aufgeteilt und jedem Block
ein Verschlüsselungsattribut
zugewiesen wird. Das Verschlüsselungsattribut
kann somit von Block zu Block variieren.
-
In
erster Linie nehmen Verschlüsselungsoperationen
die Systemressourcen, einschließlich
Prozessorleistung, Speichervolumen und Bandbreiten des Absenders
und des Empfängers,
stark in Anspruch. Wenn daher der Verschlüsselungs- und Entschlüsselungsgrad
nicht zum richtigen Zeitpunkt angepasst werden kann, um den Verbrauch
der Systemressourcen zu steuern, kann weder der Datenstrom bei nicht
vollständiger
Auslastung der Ressourcen bestmöglich
geschützt
werden, noch kann der Datenstrom bei Überlastung der Ressourcen in
Echtzeit ver- und entschlüsselt
werden, sodass die Wiedergabequalität verschlechtert wird.
-
Darüber hinaus
kann sich eine Netzumgebung im Laufe der Zeit verändern, was
zu häufigen Änderungen
der Kanalqualität
führt.
Zum Beispiel können
die Bitfehlerrate (Bit Error Rate, BER), die Paketverlustrate (Packet
Loss Rate, PLR), die Zeitverzögerung
usw. eines Kanals insbesondere bei der drahtlosen Datenübertragung
oder in einem Weitverkehrsnetz wie dem Internet stark variieren.
Wenn daher für
das gesamte Volumen eines Datenstroms ein und dieselbe Verschlüsselungsstrategie
angewendet wird, kann die Wiedergabequalität verschlechtert werden, da
der Empfänger
nicht rechtzeitig genügend
Daten zur Entschlüsselung
empfangen kann.
-
BESCHREIBUNG
DER ERFINDUNG
-
Zur
Lösung
der Probleme bei den oben erwähnten
vorhandenen Verfahren wird gemäß einem
Aspekt der vorliegenden Erfindung ein Verfahren zur Verschlüsselung
eines Datenstroms bereitgestellt, der von einem Absender über einen
Kanal an einen Empfänger übertragen
wird, nachdem zumindest ein Teil des Datenstroms verschlüsselt wurde,
wobei das Verfahren Folgendes umfasst: Anpassen von Verschlüsselungsattributen
während
der Übertragung;
Verschlüsseln
des Datenstroms entsprechend den angepassten Verschlüsselungsattributen;
und Übertragen
des verschlüsselten
Datenstroms und von Daten über
die Verschlüsselungsattribute
an den Empfänger.
-
Gemäß einem
anderen Aspekt der vorliegenden Erfindung wird ein Verfahren zur
Entschlüsselung
eines Datenstroms bereitgestellt, der von einem Absender über einen
Kanal an einen Empfänger übertragen wird,
nachdem zumindest ein Teil des Datenstroms verschlüsselt wurde,
wobei das Verfahren Folgendes umfasst: Empfangen angepasster Verschlüsselungsattribute
während
des Empfangs des verschlüsselten
Datenstroms; und Entschlüsseln
des Datenstroms entsprechend den angepassten Verschlüsselungsattributen.
-
Gemäß einem
weiteren Aspekt wird eine Vorrichtung zur Verschlüsselung
eines Datenstroms bereitgestellt, der von einem Absender über einen
Kanal an Empfänger übertragen
wird, nachdem zumindest ein Teil des Datenstroms verschlüsselt wurde,
wobei die Vorrichtung zur Verschlüsselung Folgendes umfasst:
ein Mittel zum Anpassen von Verschlüsselungsattributen während der Übertragung
des Datenstroms, um Verschlüsselungsattributdaten
zu erzeugen; und eine Verwürfelungseinheit
zum Durchführen
der Verschlüsselung des
mindestens einen Teils des Datenstroms entsprechend den Verschlüsselungsattributen,
die durch das Mittel zum Anpassen von Verschlüsselungsattributen angepasst
wurden.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung
zur Entschlüsselung eines
Datenstroms bereitgestellt, der von einem Absender über einen
Kanal an einen Empfänger übertragen wird,
nachdem zumindest ein Teil des Datenstroms verschlüsselt wurde,
wobei die Vorrichtung zur Verschlüsselung Folgendes umfasst:
eine Empfangseinheit für
Verschlüsselungsanpassungsdaten
zum Empfangen von Verschlüsselungsattributdaten
vom Absender; und eine Entwürfelungseinheit
zum Durchführen
der Entschlüsselung
des Datenstroms entsprechend den von der Verschlüsselungsattributinformationseinheit
empfangenen Verschlüsselungsattributdaten.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung
zum sicheren Senden eines Datenstroms bereitgestellt, welche die
oben erwähnte
Verschlüsselungsvorrichtung
umfasst.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung
zum sicheren Senden eines Datenstroms bereitgestellt, welche die
oben erwähnte
Entschlüsselungsvorrichtung
umfasst.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung wird ein System zur sicheren Übertragung
eines Datenstroms bereitgestellt, welches die oben erwähnte Vorrichtung
zum Senden eines Datenstroms, die oben erwähnte Vorrichtung zum Empfangen
eines Datenstroms und einen Kanal umfasst, der die Vorrichtung zum
Senden eines Datenstroms und die Vorrichtung zum Empfangen eines
Datenstroms miteinander verbindet.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
Die
obigen Merkmale, Vorteile und Aufgaben der vorliegenden Erfindung
werden aus der Beschreibung bevorzugter Ausführungsarten der vorliegenden
Erfindung in Verbindung mit den beiliegenden Zeichnungen klar:
-
1 ist
ein Ablaufdiagramm, das ein Verfahren zur Verschlüsselung
eines Datenstroms gemäß einer Ausführungsart
der vorliegenden Erfindung zeigt;
-
2 ist
ein Ablaufdiagramm, das die Schritte zum Anpassen von Verschlüsselungsattributen
in einem Verfahren gemäß einer
anderen Ausführungsart
der vorliegenden Erfindung zur Verschlüsselung eines Datenstroms zeigt;
-
3 ist
ein Ablaufdiagramm, das die Schritte zum Anpassen von Verschlüsselungsattributen
in einem Verfahren gemäß einer anderen
Ausführungsart
der vorliegenden Erfindung zur Verschlüsselung eines Datenstroms zeigt;
-
4 ist
ein Ablaufdiagramm, das die Schritte zum Anpassen von Verschlüsselungsattributen
in einem Verfahren gemäß einer
weiteren Ausführungsart
der vorliegenden Erfindung zur Verschlüsselung eines Datenstroms zeigt;
-
5 ist
ein Ablaufdiagramm, das die Schritte zum Anpassen von Verschlüsselungsattributen
in einem Verfahren gemäß noch einer
weiteren Ausführungsart
der vorliegenden Erfindung zur Verschlüsselung eines Datenstroms zeigt;
-
6 zeigt
schematisch die Struktur des Systems nach dem Stand der Technik
zur sicheren Übertragung
eines Datenstroms; und
-
7 zeigt
schematisch eine Struktur eines Systems gemäß einer Ausführungsart
der vorliegenden Erfindung zur sicheren Übertragung eines Datenstroms.
-
AUSFÜHRUNGSFORM(EN) DER ERFINDUNG
-
Als
Nächstes
wird eine detaillierte Beschreibung der bevorzugten Ausführungsarten
der vorliegenden Erfindung in Verbindung mit den Zeichnungen gegeben.
-
1 ist
ein Ablaufdiagramm eines Verfahrens gemäß einer Ausführungsart
der vorliegenden Erfindung zur Verschlüsselung eines Datenstroms.
-
Der
Prozess nach dem Stand der Technik zur Verschlüsselung und Entschlüsselung
eines Datenstroms beinhaltet normalerweise folgende Schritte: erstens
wird eine Verschlüsselungsstrategie
festgelegt; zweitens verschlüsselt
der Absender entsprechend einer Strategie den gesamten Datenstrom
(naiver Algorithmus) oder einen Teil des Datenstroms (selektiver
Algorithmus) und sendet den verschlüsselten Datenstrom über einen
Kanal, der den Absender und den Empfänger miteinander verbindet,
an den Empfänger;
und schließlich
entschlüsselt
der Empfänger
den empfangenen Datenstrom entsprechend der festgelegten Strategie
und stellt die durch den Datenstrom übertragene Information wieder
her.
-
1 zeigt,
dass gemäß der Ausführungsart
der vorliegenden Erfindung während
des Prozesses zur Verschlüsselung
und Entschlüsselung
des Datenstroms in Schritt 105 ermittelt wird, ob die aktuelle
Komplexität
einen oberen Schwellenwert überschreitet.
Bei der vorliegenden Ausführungsart
stellt die aktuelle Komplexität
ein Maß für die Ressourcenauslastung
des Absenders, des Empfängers
oder beider dar. Als aktuelle Komplexität kann gemäß der vorliegenden Ausführungsart
die Auslastung des Prozessors oder die Speichernutzung des Absenders
oder die Auslastung des Prozessors oder die Speichernutzung des
Empfängers
oder ein umfassendes Maß dienen,
welches die Auslastung des Prozessors und die Speichernutzung sowohl
des Absenders als auch des Empfängers
berücksichtigt.
-
Wenn
das Maß für die aktuelle
Komplexität
die Ressourcenauslastung des Empfängers beinhaltet, müssen die
Informationen über
die Ressourcenauslastung des Empfängers wie beispielsweise die
oben erwähnte
Auslastung des Prozessors und die Speichernutzung an den Absender
zurückgesendet
werden. Der Fachmann kann zum Zurücksenden dieser Informationen
verschiedene Wege vorsehen, zum Beispiel durch Bestätigungspakete,
eine separate Rückleitung
oder einen Rückkanal
usw., wobei die vorliegende Erfindung jedoch keine speziellen Beschränkungen
auferlegt, solange der Absender die Informationen über die
Ressourcenauslastung des Empfängers
erhalten kann.
-
In
den Fällen,
da als Empfänger
ein Computerterminal mit einem relativ schwachen Prozessor und einem
relativ kleinen Speicher dient, beispielsweise eine Set-Top-Box,
ein mobiles Datenübertragungsendgerät oder Ähnliches,
berücksichtigt
die aktuelle Komplexität
vor allem die Ressourcennutzung des Empfänger, beispielsweise die Auslastung
des Prozessors des Empfängers.
Demzufolge kann der obere Schwellenwert zum Beispiel auf 80% der
maximalen Auslastung der Prozessors festgelegt werden.
-
Wenn
das Ermittlungsergebnis in Schritt 105 „Ja" lautet (zum Beispiel, wenn die Auslastung
des Prozessors des Empfängers
den Wert von 80% überschritten
hat), geht der Prozess weiter zu Schritt 110 und passt
die Verschlüsselungsattribute
an, um die Ressourcennutzung zu verringern. Bei der vorliegenden
Erfindung betreffen die Verschlüsselungsattribute
diejenigen anpassbaren Attribute, die sich auf die Verschlüsselung
beziehen, zum Beispiel den Verschlüsselungsalgorithmus, den Verschlüsselungsmodus,
die Verschlüsselungsparameter
usw. In der Technik sind viele Algorithmen zur Datenverschlüsselung
bekannt, zum Beispiel DES, 3DES, AES, RC4 usw.; jeder dieser Algorithmen
weist verschiedene Verschlüsselungsmodi
auf, beim Verschlüsselungsalgorithmus
RC4 beispielsweise können
durch Anpassen der Verschlüsselungsparameter unterschiedlich
lange Chiffrierschlüssel
gewählt
werden. Verschiedene Verschlüsselungsalgorithmen
weisen unterschiedliche Verschlüsselungsgrade
auf; darüber
hinaus kann ein und dasselbe Verschlüsselungsattribut bei verschiedenen
Verschlüsselungsmodi
oder Verschlüsselungsparametern
unterschiedliche Verschlüsselungsgrade
bewirken. Demzufolge unterscheiden sich Algorithmen mit unterschiedlichem
Verschlüsselungsgrad
in Bezug auf die Auslastung der Systemressourcen (zum Beispiel die
Auslastung des Prozessors, die Speichernutzung usw.).
-
Die
vorliegende Erfindung nutzt diese Verschlüsselungsattribute zum Anpassen
der Verschlüsselungsgrade,
um die Verschlüsselung
des Datenstroms an den Stand der Ressourcenauslastung beim Empfänger oder
Absender sowie an den (später
beschriebenen) Zustand des Kanals anzupassen, sodass ein Gleichgewicht
zwischen den Systemressourcen, der Datensicherheit (Verschlüsselungsgrad)
und der Wiedergabequalität
der übertragenen
Daten erreicht werden kann. In Schritt 110 beispielsweise
können
durch Änderung des
Verschlüsselungsattributs
von „3DES" in „DES" oder durch Verkürzung der
Chiffrierschlüssel
die durch die Verschlüsselung
und Entschlüsselung
in Anspruch genommene Rechenleistung und damit die Ressourcenauslastung
verringert werden.
-
Wenn
das Ermittlungsergebnis in Schritt 105 „Nein" lautet, geht der Prozess weiter zu
Schritt 115 und ermittelt, ob die aktuelle Komplexität einen
vorgegebenen unteren Schwellenwert unterschreitet. Bei dieser Ausführungsart
liegt der untere Schwellenwert bei 50% der maximalen Prozessorauslastung.
-
Wenn
das Ermittlungsergebnis in Schritt 115 „Ja" lautet, geht der Prozess weiter zu
Schritt 120, wo die Verschlüsselungsattribute so angepasst
werden, dass der Verschlüsselungsgrad
erhöht
wird.
-
Unter
Verwendung der Schritte 115 und 120 nutzt das
Verfahren der vorliegenden Erfindung die Systemressourcen voll aus,
um die Datensicherheit zu gewährleisten.
Wenn die Auslastung von Systemressourcen abnimmt, zum Beispiel,
wenn die Auslastung des Prozessors des Empfängers unter 50% gesunken ist, werden
die Verschlüsselungsattribute
so angepasst, dass der Verschlüsselungsgrad
erhöht
wird.
-
Wenn
das Ermittlungsergebnis in Schritt 115 „Nein" lautet, oder nach Schritt 110 oder
Schritt 120, geht der Prozess weiter zu Schritt 125 und
ermittelt, ob die BER des Kanals um einen vorgegebenen Wert zugenommen
hat. Wenn das Ermittlungsergebnis in Schritt 125 „Ja" lautet, werden in
Schritt 130 die Verschlüsselungsattribute
angepasst, um die Fehlerfortpflanzungslänge der Verschlüsselung
zu verringern.
-
Wenn
das Ermittlungsergebnis in Schritt 125 „Nein" lautet, wird Schritt 135 ausgeführt, um
zu ermitteln, ob die BER des Kanals um einen vorgegebenen Wert zugenommen
hat. Wenn das Ermittlungsergebnis in Schritt 135 „Ja" lautet, werden in
Schritt 140 die Verschlüsselungsattribute
so angepasst, dass die Fehlerfortpflanzungslänge der Verschlüsselung
vergrößert wird.
-
Bei
der vorliegende Erfindung bezieht sich die Fehlerfortpflanzungslänge auf
den betreffenden Bereich in den verschlüsselten Daten, der durch einen
Fehler in den verschlüsselten
Daten verursacht wurde. Normalerweise kann die Fehlerfortpflanzungslänge durch Änderung
vom Verschlüsselungsmodus
angepasst werden, zum Beispiel werden beim ECB-Modus (Electronic
Code Book, elektronisches Codebuch) die zu verschlüsselnden
Daten in Blöcke
aufgeteilt, wobei die Größe jedes
Blocks gleich der Länge
des Chiffrierschlüssels
ist, und jeder Block mit demselben Chiffrierschlüssel verschlüsselt, sodass
die Fehlerfortpflanzungslänge beim
ECB-Modus gleich
der Länge
des Chiffrierschlüssels,
d.h. eines Blocks, ist. Beim CBC-Modus (Cipher Block Chaining, Chiffrierblockverkettung)
wird ebenfalls zuerst der Klartext in Blöcke fester Länge (zum
Beispiel 64 Bit) aufgeteilt, dann wird zwischen dem ausgegebenen
verschlüsselten
Code des vorhergehenden verschlüsselten
Blocks und dem nächsten
zu verschlüsselnden
Block des Klartextes eine XOR-Operation durchgeführt und das Ergebnis der XOR-Operation
mit dem Chiffrierschlüssel
verschlüsselt,
um den verschlüsselten
Code zu erzeugen, sodass die Fehlerfortpflanzungslänge gleich
der Länge
von zwei Blöcken
ist. Nebenbei gesagt weisen andere ähnliche Verschlüsselungsmodi,
zum Beispiel der CFB-Modus (Cipher Feedback Mode, Verschlüsselungs-Rückmeldemodus),
der OFB-Modus (Output Feedback Mode, Ausgabe-Rückmeldemodus) usw., unterschiedliche
Fehlerfortpflanzungseigenschaften auf. Außer den Verschlüsselungsmodi
können
auch verschiedene Verschlüsselungsalgorithmen
unterschiedliche Fehlerfortpflanzungslängen erzeugen, zum Beispiel
wäre bei
Verwendung eines Verschlüsselungsalgorithmus
wie des RC4 die Fehlerfortpflanzungslänge, die nur gleich dem Fehler
selbst ist, sehr klein.
-
Je
größer die
Fehlerfortpflanzungslänge
ist, das heißt,
je enger die verschlüsselten
Datenblöcke
miteinander verknüpft
sind, desto schwieriger können
die Daten im Allgemeinen geknackt werden, sodass die Sicherheit
höher ist;
gleichzeitig wird jedoch eine höhere
Kanalqualität
benötigt.
Während
der Übertragung
stellt das Verfahren der vorliegenden Erfindung die Fehlerfortpflanzungslänge entsprechend
der aktuellen Kanalqualität
ein, um ein Gleichgewicht zwischen der Kanalqualität, der Datensicherheit
und der Wiedergabequalität der übertragenen
Daten herzustellen.
-
Alternativ
kann in Schritt 135 und in den Schritten 130 und 140 durch
Vergleich der aktuellen BER des Kanals mit einem Satz vorgegebener
Schwellenwerte der Verschlüsselungsmodus
angepasst werden, zum Beispiel kann, wenn die aktuelle BER gleich
0,0001 ist, der CBC-Modus gewählt
werden, und wenn die Kanalqualität
weiter abnimmt und die aktuelle BER auf 0,001 angestiegen ist, kann
der ECB-Modus gewählt
werden, um die Fehlerfortpflanzung in der Verschlüsselungsschicht
zu verringern.
-
Wenn
gemäß
1 das
Ermittlungsergebnis in Schritt
135 „Nein" lautet, oder nach Schritt
130 oder nach
Schritt
140, werden in Schritt
145 die angepassten
Verschlüsselungsattribute
und der entsprechende verschlüsselte
Datenstrom an den Empfänger übertragen.
Wenn die Verschlüsselungsattribute
angepasst worden sind, muss der Empfänger über die Anpassung informiert
werden, damit er die Entschlüsselung
ordnungsgemäß durchführen kann.
Bei der vorliegenden Erfindung werden die Informationen der Verschlüsselungsattribute
in Form von Metadaten in den Kopfdaten des Datenpakets für den Datenstrom
aufgezeichnet; vorzugsweise werden die Verschlüsselungsattributdaten ebenfalls
verschlüsselt.
Die folgende Tabelle 1 zeigt beispielhaft die Verschlüsselungsattributdaten
gemäß der vorliegenden
Erfindung. Tabelle
1: Inhalt der Verschlüsselungsattributdaten
-
Natürlich können zur Übertragung
der Information des Verschlüsselungsattributs
vom Absender an den Empfänger
viele andere Ansätze
verwendet werden und die vorliegende Erfindung ist nicht auf die
obige Ausführungsart
beschränkt,
zum Beispiel kann die Information des Verschlüsselungsattributs mit einem
separaten Datenpaket oder sogar über
einen anderen Kanal an den Empfänger übertragen
werden.
-
Durch
das obige Verfahren der vorliegenden Erfindung wird die Verschlüsselungsstrategie
während der
Verschlüsselung,
Entschlüsselung
und Übertragung
entsprechend der Ressourcenauslastung und der Kanalqualität angepasst
und der Datenstrom entsprechend verschlüsselt, während gleichzeitig der Routinebetrieb
der Systeme des Absenders und des Empfängers sichergestellt wird,
sodass ein optimales Gleichgewicht zwischen der Systemleistung,
der Datensicherheit und der Qualität der Datenwiedergabe erreicht
werden kann.
-
Gemäß einer
anderen Ausführungsart
der vorliegenden Erfindung wird darüber hinaus ein geeignetes Verfahren
zur Verschlüsselung
eines komprimierten Videodatenstroms bereitgestellt. Die derzeit
verwendeten Komprimierungsverfahren für Videodaten zeichnen Videodaten
normalerweise als drei Arten von Einzelbilddaten auf, d.h. I-Frame-Daten, P-Frame-Daten
und B-Frame-Daten. Dabei zeichnet ein I-Frame (Intraframe) ein unabhängiges vollständiges Bild
auf; ein P-Frame (Vorhersageframe) enthält nur die Differenz zwischen
dem Bild das aktuellen Frames und dem zuvor dekomprimierten Bild;
ein B-Frame (Bidirektionaler Vorhersageframe) folgt demselben Prinzip
wie der P-Frame, bezieht sich jedoch nicht nur auf das vorhergehenden
dekomprimierte Bild, sondern auch auf das nachfolgende unkomprimierte
Bild. Da es nicht erforderlich ist, das gesamte Bild zu speichern,
wird nur sehr wenig Speichervolumen in Anspruch genommen. Im Allgemeinen
ist die Reihenfolge der Einzelbilder in einem MPEG-Datenstrom gleich
IBBPBBPBBPBBPBBIBBPBBP...
-
In
Hinblick auf die Datensicherheit nimmt die relative Bedeutung dieser
drei Arten von Einzelbilddaten in der Reihenfolge I-Frame>P-Frame>B-Frame ab. Das liegt
daran, dass der gesamte Videodatenstrom keinesfalls korrekt entschlüsselt werden
kann, wenn nur P-Frame-Daten oder B-Frame-Daten ohne korrekt verschlüsselte I-Frame-Daten
empfangen werden. Bei der vorliegenden Erfindung werden die Verschlüsselungsattribute
unter Nutzung der Merkmale eines komprimierten Videodatenstroms
jeweils in Bezug auf die drei Arten von Einzelbilddaten angepasst,
sodass der Datenstrom wirksamer verschlüsselt werden kann.
-
2 ist
ein Ablaufdiagramm, das die Schritte beim Anpassen von Verschlüsselungsattributen
bei einem Verfahren zur Verschlüsselung
eines Datenstroms gemäß einer
anderen Ausführungsart
der vorliegenden Erfindung zeigt. Der Unterschied zwischen dieser
und der vorhergehenden Ausführungsart
besteht in dem Schritt des Anpassens der Verschlüsselungsattribute zur Verringerung
der Ressourcenauslastung (d.h. Schritt 110 in 1)
und in dem Schritt des Anpassens der Verschlüsselungsattribute zur Erhöhung des
Verschlüsselungsgrades
(d.h. Schritt 120 in 1). 2 zeigt
detailliert den Ablauf des Schrittes des Anpassens der Verschlüsselungsattribute
zur Verringerung der Ressourcenauslastung (Schritt 110)
bei dem Verfahren zur Verschlüsselung
eines Datenstroms gemäß der vorliegenden
Erfindung.
-
Wenn
das Ermittlungsergebnis in Schritt 105 (1) „Ja" lautet, wird in 2 in
Schritt 205 zuerst ermittelt, ob der Verschlüsselungsgrad
der B-Frame-Daten den niedrigsten Verschlüsselungsgrad erreicht hat. Wenn
das Ermittlungsergebnis von Schritt 205 „Nein" lautet, wird in
Schritt 210 der Verschlüsselungsgrad
der B-Frame-Daten verringert und anschließend der nächste Schritt (Schritt 125 in 1)
des Verfahrens ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 215 ermittelt, ob der Verschlüsselungsgrad der P-Frame-Daten
den niedrigsten Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 215 „Nein" lautet, geht der
Prozess weiter zu Schritt 220, um den Verschlüsselungsgrad
der P-Frame-Daten zu verringern, und anschließend weiter zum nächsten Schritt
(Schritt 125 in 1) des Verfahrens;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 225 ermittelt, ob der Verschlüsselungsgrad der I-Frame-Daten
den niedrigsten Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 225 „Nein" lautet, wird anschließend in
Schritt 230 der Verschlüsselungsgrad
der I-Frame-Daten verringert und dann der nächste Schritt (Schritt 125 in 1)
des Verfahrens ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, bedeutet
dies, dass der Verschlüsselungsgrad für die Daten
aller drei Arten von Einzelbildern den niedrigsten Wert erreicht
hat. In diesem Fall können
die Verschlüsselung
und die Übertragung
so lange warten, bis sich die Systemressourcen erholt haben, oder
der Prozess mit dem niedrigsten Verschlüsselungsgrad durchgeführt werden.
-
Unter
Verschlüsselungsgrad
ist hier der Schwierigkeitsgrad für das Knacken der gemäß bestimmten Verschlüsselungsattributen
verschlüsselten
Daten zu verstehen, der normalerweise mit der Komplexität des Verschlüsselungsalgorithmus,
der Komplexität
des Verschlüsselungsmodus,
der Komplexität
des Chiffrierschlüssels
und dergleichen verbunden ist, wobei ein höherer Verschlüsselungsgrad
normalerweise zu einer stärkeren
Auslastung der Systemressourcen führt. Die folgende Tabelle 2
zeigt beispielhaft in einer Liste eine Gegenüberstellung in der Technik üblicher
Kombinationen aus Verschlüsselungsverfahren
und Verschlüsselungsmodi. Tabelle
2: Vergleich von Verschlüsselungsgraden
-
Bei
der vorliegenden Ausführungsart
kann der niedrigste Verschlüsselungsgrad
jeweils für
verschiedene Arten von Einzelbilddaten eingestellt werden. Vorzugsweise
nimmt der Verschlüsselungsgrad
in der Reihenfolge I-Frame-Daten, P-Frame-Daten und B-Frame-Daten ab. Der
niedrigste Verschlüsselungsgrad
kann aber auch gleich null sein, was „unverschlüsselt" bedeutet. Gemäß den Einstellungen einer bevorzugten
Ausführungsart
kann der niedrigste Verschlüsselungsgrad
für I-Frames
der Kombination DES (CBC), für
P-Frames der Kombination DES (ECB) entsprechen und für B-Frames „unverschlüsselt" sein. Wenn die Verschlüsselungsgrade
bei stark ausgelasteten Ressourcen gemäß dem Verfahren der vorliegenden
Erfindung für
alle drei Einzelbilddaten auf den niedrigsten Wert angepasst sind,
kann auch für
die I-Frames, die eine große
Bedeutung haben, ein ausreichender Schutz sichergestellt und dadurch
der Schutz des gesamten Videodatenstroms gewährleistet werden, wodurch die
Ressourcenauslastung für
die Verschlüsselung
deutlich verringert und die Wiedergabequalität wegen der Verringerung des
Verschlüsselungsgrades
der P-Frames und der B-Frames sichergestellt wird.
-
3 ist
ein Ablaufdiagramm, das Schritte zum Anpassen von Verschlüsselungsattributen
gemäß einem
Verfahren zur Verschlüsselung
eines Datenstroms gemäß der anderen
Ausführungsart
der vorliegenden Erfindung zeigt, insbesondere den detaillierten
Ablauf des Schrittes des Anpassens der Verschlüsselungsattribute zur Erhöhung des
Verschlüsselungsgrades
(Schritt 120) gemäß einem
Verfahren zur Verschlüsselung
eines Datenstroms gemäß der vorliegenden
Erfindung.
-
Wenn
das Ermittlungsergebnis von Schritt 115 (1) „Ja" lautet, wird in
Schritt 305 von 3 zuerst ermittelt, ob der Verschlüsselungsgrad
des I-Frames den höchsten
Verschlüsselungsgrad
erreicht hat. Wenn das Ermittlungsergebnis von Schritt 305 „Nein" lautet, wird in
Schritt 310 der Verschlüsselungsgrad
der I-Frame-Daten erhöht
und anschließend
der nächste
Schritt (Schritt 125 in 1) des Verfahren
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 315 ermittelt, ob der Verschlüsselungsgrad der P-Frame-Daten
den höchsten
Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 315 „Nein" lautet, wird in
Schritt 320 der Verschlüsselungsgrad
der P-Frame-Daten erhöht
und anschließend
der nächste
Schritt (Schritt 125 in 1) des Verfahrens ausgeführt; wenn
das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 325 ermittelt, ob der Verschlüsselungsgrad der B-Frame-Daten
den höchsten
Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 325 „Nein" lautet, wird in
Schritt 330 der Verschlüsselungsgrad
der B-Frame-Daten erhöht
und anschließend
der nächste
Schritt (Schritt 125 in 1) des Verfahrens ausgeführt; wenn
das Ermittlungsergebnis „Ja" lautet, bedeutet
dies, das der Verschlüsselungsgrad
für alle drei
Arten von Einzelbilddaten den höchsten
Wert erreicht hat. In diesem Fall wird der Prozess einfach fortgesetzt.
-
Ebenso
kann für
die Daten der jeweiligen Einzelbilder der höchste Verschlüsselungsgrad
angepasst werden, jedoch wird bei dieser Ausführungsart für alle Einzelbilder derselbe
höchste
Verschlüsselungsgrad
wie beispielsweise AES (CBC) angepasst.
-
Dementsprechend
zeigt die folgende Tabelle 3 beispielhaft den Inhalt der Verschlüsselungsattributdaten
gemäß der vorliegenden
Erfindung. Tabelle
3: Inhalt der Verschlüsselungsattributdaten
-
Wenn
die Auslastung der Systemressourcen nachlässt, können der Verschlüsselungsgrad
gemäß dieser
Ausführungsart
in der Reihenfolge I-Frame>P-Frame>B-Frame und dadurch
die Sicherheit des verschlüsselten
Datenstroms im Rahmen der Systemressourcen auf einen Maximalwert
erhöht
werden.
-
Obwohl
bei der vorliegenden Ausführungsart
für verschiedene
Arten von Videodatenströmen
verschiedene Verschlüsselungsalgorithmen
verwendet werden, können
für dieselbe
Art von Einzelbilddaten entsprechend deren praktischer Bedeutung
verschiedene Verschlüsselungsalgorithmen
verwendet werden. Zum Beispiel ist bei den P-Frames ein an vorderer
Position in einer GOP (Gruppe von Bildern) angeordneter P-Frame wichtiger
als ein anderer P-Frame an einer nachfolgenden Position innerhalb
der GOP, sodass der höhere
Verschlüsselungsgrad
für den
vorhergehenden P-Frame innerhalb einer GOP verwendet werden kann.
-
Obwohl
bei der vorliegenden Ausführungsart
die Verschlüsselungsattribute
entsprechend der relativen Bedeutung der I-Frames, P-Frames und
B-Frames angepasst werden, ist die Anpassung nicht allein auf diese Variante
beschränkt.
Zum Beispiel wird der niedrigste Verschlüsselungsgrad für I-Frames
auf „unverschlüsselt", der niedrigste
Verschlüsselungsgrad
für P-Frames
auf DES (ECB), der niedrigste Verschlüsselungsgrad für B-Frames
auf DES (CBC) eingestellt; und der höchste Verschlüsselungsgrad
für I-Frames
wird auf „unverschlüsselt", der höchste Verschlüsselungsgrad
für P-Frames
auf 3DES (CBC), der höchste
Verschlüsselungsgrad
für B-Frames
auf AES (CBC) eingestellt; gleichzeitig wird durch die in 2 gezeigten Schritte
der Verschlüsselungsgrad
in der Reihenfolge B-Frame>P-Frame>I-Frame erhöht. Somit
können
Empfänger
ohne Berechtigung Zwischenbilder, d.h. I-Frames, aber nicht das
ganze Video sehen, was für
diejenigen Serviceanbieter von Vorteil ist, die das Interesse von
mehr Benutzern wecken möchten
und zugleich einen sicheren Schutz wünschen.
-
Bei
dem Verfahren der vorliegenden Ausführungsart kann der Verschlüsselungsgrad
für unterschiedliche
Teile des Datenstroms genauer angepasst werden, sodass die Ressourcenauslastung
und die Sicherheit optimal aufeinander abgestimmt werden können. Durch
die Nutzung der gegenseitigen Abhängigkeit zwischen den unterschiedlichen
Einzelbildern im komprimierten Videodatenstrom kann das Volumen
der zu verschlüsselnden
Daten oder der Verschlüsselungsgrad
für einen
großen
Teil der Daten deutlich verringert werden, sodass die Systemressourcen
sowohl des Absenders als auch des Empfängers geschont werden. Außerdem können durch
die Auswahl verschiedener höchster
und niedrigster Verschlüsselungsgrade
für die
Daten unterschiedlicher Einzelbildtypen verschiedene Ergebnisse
erzielt werden, die für
die Anbieter des Datenstroms von Nutzen sind.
-
Gemäß einer
weiteren Ausführungsart
der vorliegenden Erfindung wird ein Verfahren bereitgestellt, das
zur Verschlüsselung
eines geschichteten Datenstroms geeignet ist. Das Verfahren zur
Aufteilung des komprimierten Datenstroms in Schichten ist in der
Technik weit verbreitet. Zum Beispiel wird ein komprimierter Datenstrom
gemäß MPEG-2
und nachfolgenden Normen in eine Basisschicht und eine oder mehrere
Erweiterungsschichten aufgeteilt. Dabei liefert die Basisschicht
ein relativ niedrig auflösendes
Video und kann unabhängig
decodiert und wiedergegeben werden, während die Erweiterungsschicht
eine höhere
Auflösung
liefert und in Verbindung mit der Basisschicht decodiert werden
muss. Wenn es eine Vielzahl von Erweiterungsschichten gibt (zum
Beispiel eine erste Erweiterungsschicht, eine zweite Erweiterungsschicht
usw.), hängt
die Decodierung der höherauflösenden Erweiterungsschicht
von der Decodierung der niedriger auflösenden Erweiterungsschicht
ab. Das heißt,
die Basisschicht kann unabhängig
decodiert werden und gibt das Video in geringer Qualität wieder;
die erste Erweiterungsschicht kann in Verbindung mit der decodierten
Basisschicht decodiert werden und liefert eine höhere Auflösung; dann kann die zweite
Erweiterungsschicht in Verbindung mit der decodierten ersten Erweiterungsschicht
decodiert werden und liefert eine noch höhere Wiedergabequalität des Videos
usw. Aus sicherheitstechnischer Sicht ist somit die Basisschicht
am wichtigsten, dann kommt die erste Erweiterungsschicht, die zweite
Erweiterungsschicht usw. Das Verfahren dieser Ausführungsart
nutzt die Merkmale eines solchen geschichteten Datenstroms und passt
den Verschlüsselungsgrad
jeweils für
die verschiedenen Schichten an.
-
Die
Unterschiede zwischen dieser und der vorhergehenden Ausführungsart
von 1 liegen in dem Schritt der Anpassung der Verschlüsselungsattribute
zur Verringerung der Ressourcenauslastung (d.h. Schritt 110 in 1)
und in dem Schritt der Anpassung der Verschlüsselungsattribute zur Erhöhung des
Verschlüsselungsgrades
(d.h. Schritt 120 in 1).
-
4 ist
ein Ablaufdiagramm, das die Schritte der Anpassung von Verschlüsselungsattributen
in einem Verfahren zur Verschlüsselung
eines Datenstroms gemäß noch einer
weiteren Ausführungsart
der vorliegenden Erfindung, insbesondere den detaillierten Ablauf
des Schrittes der Anpassung der Verschlüsselungsattribute zur Verringerung
des Verschlüsselungsgrades
(Schritt 110), zeigt. Dabei wird davon ausgegangen, dass
der Datenstrom drei Schichten aufweist, d.h. eine Basisschicht,
eine erste Erweiterungsschicht und eine zweite Erweiterungsschicht.
-
Wenn
das Ermittlungsergebnis von Schritt 105 (1) „Ja" lautet, wird in
Schritt 405 von 4 ermittelt, ob der Verschlüsselungsgrad
der zweiten Erweiterungsschicht den niedrigsten Verschlüsselungsgrad
erreicht hat. Wenn das Ermittlungsergebnis von Schritt 405 „Nein" lautet, wird Schritt 410 ausgeführt, um
den Verschlüsselungsgrad
der zweiten Erweiterungsschicht zu verringern, und anschließend der
folgende Schritt des Verfahrens (Schritt 125 in 1)
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 415 ermittelt, ob der Verschlüsselungsgrad der ersten Erweiterungsschicht
den niedrigsten Verschlüsselungsgrad erreicht
hat.
-
Wenn
das Ermittlungsergebnis in Schritt 415 „Nein" lautet, wird in Schritt 420 der
Verschlüsselungsgrad
der ersten Erweiterungsschicht verringert und dann der folgende
Schritt des Verfahrens (Schritt 125 in 1)
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 425 ermittelt, ob der Verschlüsselungsgrad der Basisschicht
den niedrigsten Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis in Schritt 425 „Nein" lautet, wird als Nächstes in Schritt 430 der
verschlüsselungsgrad
der Basisschicht verringert und dann der folgende Schritt des Verfahrens
(Schritt 125 in 1) ausgeführt; wenn das Ermittlungsergebnis „Ja" lautet, bedeutet
dies, dass der Verschlüsselungsgrad aller
Schichten den niedrigsten Wert erreicht hat. In diesem Fall kann
der Prozess der Verschlüsselung
und Übertragung
so lange angehalten werden, bis die Systemressourcen durch andere
Anwendungen freigegeben werden, oder mit dem niedrigsten Verschlüsselungsgrad
fortgesetzt werden.
-
Bei
dieser Ausführungsart
kann der niedrigste Verschlüsselungsgrad
jeweils für
verschiedene Schichten eingestellt werden, wobei als niedrigster
Verschlüsselungsgrad
der Basisschicht vorzugsweise der höchste Wert, als niedrigster
Verschlüsselungsgrad
der ersten Erweiterungsschicht der zweithöchste Wert und als niedrigster
Verschlüsselungsgrad
der zweiten Erweiterungsschicht der niedrigste Wert gewählt wird.
Nebenbei bemerkt kann der niedrigste Verschlüsselungsgrad gleich null, d.h.
unverschlüsselt,
sein. Zum Beispiel ist der niedrigste Verschlüsselungsgrad für die Basisschicht
gleich DES (CBC), der niedrigste Verschlüsselungsgrad für die erste
Erweiterungsschicht gleich DES (ECB) und der niedrigste Verschlüsselungsgrad
für die
zweite Erweiterungsschicht gleich „unverschlüsselt". Wenn also der Verschlüsselungsgrad
für alle
Schichten gemäß dem Verfahren
der vorliegenden Erfindung bei relativ hoher Ressourcenauslastung
auf den niedrigsten Wert eingestellt ist, ist der Schutz der besonders
wichtigen Basisschicht immer noch gewährleistet und dadurch die Sicherheit
des gesamten Videodatenstroms sichergestellt, während infolge der Verringerung
des Verschlüsselungsgrades
der ersten und zweiten Erweiterungsschicht die Auslastung der Systemressourcen
deutlich verringert und die Wiedergabequalität sichergestellt werden kann.
-
5 ist
ein Ablaufdiagramm, das die Schritte der Anpassung von Verschlüsselungsattributen
in einem Verfahren zur Verschlüsselung
eines Datenstroms gemäß noch einer
weiteren Ausführungsart
der vorliegenden Erfindung, insbesondere den detaillierten Ablauf
des Schrittes zur Anpassung der Verschlüsselungsattribute zur Erhöhung des
Verschlüsselungsgrades
(Schritt 120) in dem Verfahren zur Verschlüsselung
eines Datenstroms, zeigt.
-
Wenn
das Ermittlungsergebnis in Schritt 115 (1) „Ja" lautet, wird zuerst
in Schritt 505 von 5 ermittelt,
ob der Verschlüsselungsgrad
der Basisschicht den höchsten
Verschlüsselungsgrad
erreicht hat. Wenn das Ermittlungsergebnis in Schritt 505 „Nein" lautet, wird in
Schritt 510 der Verschlüsselungsgrad
der Basisschicht erhöht
und dann der folgende Schritt des Verfahrens (Schritt 125 in 1)
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 515 ermittelt, ob der Verschlüsselungsgrad der ersten Erweiterungsschicht
den höchsten
Verschlüsselung
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 515 „Nein" lautet, wird als
Nächstes
in Schritt 520 der Verschlüsselungsgrad der ersten Erweiterungsschicht
erhöht
und dann der folgende Schritt des Verfahrens (Schritt 125 in 1)
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, wird in
Schritt 525 ermittelt, ob der Verschlüsselungsgrad der zweiten Erweiterungsschicht
den höchsten
Verschlüsselungsgrad
erreicht hat.
-
Wenn
das Ermittlungsergebnis von Schritt 525 „Nein" lautet, wird als
Nächstes
in Schritt 530 der verschlüsselungsgrad der zweiten Erweiterungsschicht
erhöht
und dann der folgende Schritt des Verfahrens (Schritt 125 in 1)
ausgeführt;
wenn das Ermittlungsergebnis „Ja" lautet, bedeutet
dies, dass der Verschlüsselungsgrad
aller Schichten den höchsten
Wert erreicht hat. In diesem Fall kann der Prozess einfach fortgesetzt
werden.
-
Desgleichen
kann jeweils für
verschiedene Schichten der höchste
verschlüsselungsgrad
gewählt
werden, jedoch wird bei der vorliegenden Ausführungsart für alle Schichten derselbe höchste Verschlüsselungsgrad,
zum Beispiel AES (CBC), gewählt.
-
Dementsprechend
zeigt die folgende Tabelle 4 beispielhaft den Inhalt der Verschlüsselungsattributdaten
bei dieser Ausführungsart. Tabelle
4: Inhalt der Verschlüsselungsattributdaten
-
Wenn
die Auslastung der Systemressourcen sinkt, kann der Verschlüsselungsgrad
gemäß der vorliegenden
Erfindung in der Reihenfolge Basisschicht, erste Erweiterungsschicht
und zweite Erweiterungsschicht erhöht werden, sodass eine größtmögliche Sicherheit
des Datenstroms im Rahmen der Systemressourcen erreicht wird.
-
Darüber hinaus
wird gemäß einer
alternativen Ausführungsart
bei den in 4 gezeigten Schritten der Verschlüsselungsgrad
in der Reihenfolge Basisschicht, erste Erweiterungsschicht und zweite
Erweiterungsschicht verringert; bei den in 5 gezeigten
Schritten wird der Verschlüsselungsgrad
in der Reihenfolge zweite Erweiterungsschicht, erste Erweiterungsschicht
und Basisschicht erhöht;
der niedrigste Verschlüsselung
der Basisschicht, der ersten Erweiterungsschicht und der zweiten
Erweiterungsschicht wird auf „unverschlüsselt", DES (ECB) bzw.
3DES (CBC) eingestellt; und der höchste Verschlüsselungsgrad
der Basisschicht, der ersten Erweiterungsschicht und der zweiten
Erweiterungsschicht wird auf „unverschlüsselt", AES (CBC) bzw.
AES (CBC) eingestellt. Somit können
Empfänger
ohne Berechtigung das in geringer Auflösung wiedergegebene Video ansehen,
während
die für
die Videowiedergabe in höherer
Qualität
zuständigen
Erweiterungsschichten ausreichend geschützt sind, was für diejenigen
Serviceanbieter von Vorteil ist, die das Interesse von mehr Benutzern
wecken möchten
und zugleich einen sicheren Schutz wünschen.
-
Gemäß noch einer
weiteren Ausführungsart
wird außerdem
ein Verfahren bereitgestellt, das zur Entschlüsselung eines komprimierten
geschichteten Videodatenstroms geeignet ist. Ein MPEG-2-Videodatenstrom
beinhaltet zum Beispiel eine Basisschicht und eine oder mehrere
Erweiterungsschichten, wobei jede Schicht I-Frame-Daten, P-Frame-Daten
und B-Frame-Daten
enthält.
Deshalb kombiniert die vorliegende Ausführungsart die in Verbindung
mit den 2 und 3 sowie
den 4 und 5 beschriebenen Ausführungsarten
und stellt dadurch ein Verschlüsselungsverfahren
bereit, das in der Lage ist, den Verschlüsselungsgrad für verschiedene
Schichten sowie den Verschlüsselungsgrad
für verschiedene
Einzelbilder in derselben Schicht anzupassen.
-
Im
Einzelnen wird in den in 4 gezeigten Schritten 410, 420 und 430 der
in 2 gezeigte Prozess für die Basisschicht, die erste
Erweiterungsschicht bzw. die zweite Erweiterungsschicht durchgeführt; in
den in 5 gezeigten Schritten 510, 520 und 530 wird
der in 3 gezeigte Prozess für jeden Einzelbildtyp innerhalb
der Basisschicht, der ersten Erweiterungsschicht bzw. der zweiten
Erweiterungsschicht durchgeführt;
außerdem
wird, wenn der Verschlüsselungsgrad
für alle
Einzelbildtypen innerhalb einer Schicht den niedrigsten Wert erreicht
hat, für
diese Schicht der niedrigste Verschlüsselungsgrad festgelegt (Schritte 405, 415 und 425), während, wenn
der Verschlüsselungsgrad
für alle
Einzelbildtypen innerhalb einer Schicht den höchsten Wert erreicht hat, für diese
Schicht der höchste
Verschlüsselungsgrad
festgelegt wird (Schritte 505, 515 und 525).
-
Für den geschichteten
komprimierten Videodatenstrom kann das Verfahren der vorliegenden
Erfindung zur Verschlüsselung
nicht nur den Verschlüsselungsgrad
für verschiedene
Schichten, sondern auch den Verschlüsselungsgrad für verschiedene
Einzelbildtypen innerhalb derselben Schicht anpassen, sodass die Verschlüsselungsattribute
flexibler und genauer angepasst werden können und eine Ausgewogenheit
zwischen den Systemressourcen, der Datensicherheit und der Wiedergabequalität der übertragenen
Daten erreicht wird. Dadurch kann das verfahren der vorliegenden
Ausführungsart
die Leistungsfähigkeit
des Systems steigern und die Wiedergabequalität bestmöglich erhöhen.
-
Gemäß den anderen
Aspekten der vorliegenden Erfindung werden außerdem eine Vorrichtung zur Verschlüsselung
und Entschlüsselung
eines Datenstroms, eine Vorrichtung zum sicheren Senden eines Datenstroms
und eine Vorrichtung zum sicheren Empfangen eines Datenstroms sowie
ein System zur sicheren Übertragung
eines Datenstroms bereitgestellt. Es folgt eine detaillierte Beschreibung
unter Bezug auf die 6 und 7.
-
6 zeigt
schematisch die Struktur des Systems nach dem Stand der Technik
zur sicheren Übertragung
eines Datenstroms. Das System beinhaltet gemäß 6: eine
Sendevorrichtung (Absender) 600, eine Empfangsvorrichtung
(Empfänger) 700 und
einen Kanal 800 zum verbinden des Empfängers und des Absenders. Der
Absender 600 umfasst eine Quellencodiereinrichtung 601,
ein Verschlüsselungsmittel 602 und
eine Kanalcodiereinrichtung 603; der Empfänger 700 umfasst
eine Quellendecodiereinrichtung 701, ein Entschlüsselungsmittel 702 und
eine Kanaldecodiereinrichtung 703.
-
Die
sichere Übertragung
eines Datenstroms nach dem Stand der Technik läuft wie folgt ab: Beim Absender
werden zuerst die Originaldaten (beispielsweise Audio-, Video- oder
andere Daten) an der Quelle durch die Quellencodiereinrichtung 601 codiert,
zum Beispiel werden diese Originalvideodaten zu einem Datenstrom im
MPEG-2-Format komprimiert und codiert, oder diese Sprachdaten werden
zu einem Datenstrom im MP3-Format komprimiert und codiert usw. Der
Originaldatenstrom kann hier von einer Videospeicherkarte oder anderen
Datenerfassungseinrichtungen stammen oder von einer Leseeinrichtung
für ein
Datenaufzeichnungsmedium wie beispielsweise einem CD-Laufwerk, einem
DVD-Laufwerk, einem Diskettenlaufwerk und Ähnlichem. Wenn die Daten auf
dem Aufzeichnungsmedium in einem geeigneten Format gespeichert worden sind,
kann auf die Quellencodiereinrichtung 601 verzichtet werden.
Gemäß einer
bestimmten Verschlüsselungsstrategie
verschlüsselt
dann das Verschlüsselungsmittel 602 den
Datenstrom, wobei hier die Verschlüsselungsstrategie vorgegeben
sein oder vor der Übertragung
und Verschlüsselung
im „Handshakeverfahren" festgelegt werden
kann. Abschließend
wird der verschlüsselte
Datenstrom durch die Kanalcodiereinrichtung 603 für den Kanal codiert
und über
den Kanal 800 an das Empfangsmittel 700 übertragen.
-
Beim
Empfänger
werden die empfangenen Daten zuerst durch die Kanaldecodiereinrichtung 703 für den Kanal
decodiert und bilden so den empfangenen Datenstrom. Dann entschlüsselt das
Entschlüsselungsmittel
gemäß der obigen
Verschlüsselungsstrategie
den empfangenen Datenstrom. Abschließend nimmt die Quellendecodiereinrichtung 701 eine
Quellendecodierung des entschlüsselten
Datenstroms vor und stellt die Daten wieder her.
-
7 zeigt
schematisch die Struktur eines Systems zur sicheren Übertragung
eines Datenstroms gemäß einer
Ausführungsart
der vorliegenden Erfindung. 7 zeigt,
dass das System zur sicheren Übertragung
eines Datenstroms Folgendes umfasst: eine Sendevorrichtung (Absender) 600,
eine Empfangsvorrichtung (Empfänger) 700 und
einen Kanal zum Verbinden des Empfängers und des Absenders. Zusätzlich umfasst
der Absender 600 eine Quellencodiereinrichtung 601,
eine Verschlüsselungsvorrichtung 61D und
eine Kanalcodiereinrichtung 603; der Empfänger 700 umfasst
eine Quellendecodiereinrichtung 701, eine Entschlüsselungsvorrichtung 710 und
eine Kanaldecodiereinrichtung 703.
-
Gemäß der vorliegenden
Ausführungsart
wird im Absender 600 in Abhängigkeit von der Ressourcenauslastung
und der Kanalqualität
die Verschlüsselungsstrategie
angepasst, während
die Verschlüsselungsvorrichtung 610 den
von der Quellencodiereinrichtung 601 oder von einer Leseeinheit
für ein
(nicht gezeigtes) Datenaufzeichnungsmedium kommenden Datenstrom
verschlüsselt
und den verschlüsselten
Datenstrom an die Kanalcodiereinrichtung 602 überträgt, d.h.
während
des Prozesses der Verschlüsselung
und Übertragung
des Datenstroms.
-
Die
Verschlüsselungsvorrichtung 610 beinhaltet
eine Verwürfelungseinheit 614 zur
Verschlüsselung eines
Datenstroms gemäß bestimmten
Verschlüsselungsattributen;
eine Komplexitätsberechnungseinheit 611 zur
Berechnung der Komplexität
gemäß der Ressourcenauslastung
des Absenders und des Empfängers
(der Begriff „Komplexität" ist in der obigen
Beschreibung erläutert
worden); eine Kanalqualitätserkennungseinheit 613 zur
Erkennung der aktuellen Qualität
des zur Übertragung
des Datenstroms verwendeten Kanals 800, wie zum Beispiel
zur Erkennung der Bitfehlerrate (BER), der Paketverlustrate (PLR),
der Bandbreite und dergleichen und zum Senden der erkannten Kanalqualitätsdaten
an eine Ermittlungs- und Anpassungseinheit 612; die Ermittlungs-
und Anpassungseinheit 612 dient zur Ermittlung, ob die
Verschlüsselungsattribute
in Abhängigkeit
von den Informationen von der Komplexitätsberechnungseinheit 611 und
der Kanalqualitätserkennungseinheit 613 angepasst
werden müssen
und, wenn die erforderlich ist, zur Anpassung der Verschlüsselungsattribute
für den
Datenstrom und zur Übertragung
der angepassten Verschlüsselungsattribute
an die Verwürfelungseinheit 614,
wodurch die Ausführung
der Verschlüsselung
in der Verwürfelungseinheit 614 gesteuert
wird. Die Ermittlungs- und Anpassungseinheit 612 führt insbesondere
die oben im Ablaufdiagramm von 1 gezeigten
Ermittlungs- und Anpassungsschritte aus. Dem Fachmann ist bekannt,
dass die Ermittlungs- und Anpassungseinheit 612 entsprechend
den Schritten im Ablaufdiagramm in Form von Hardware oder Software
realisiert werden kann.
-
Bei
dieser Ausführungsart
der vorliegenden Erfindung bilden die Ermittlungs- und Anpassungseinheit 612,
die Komplexitätsberechnungseinheit 611 und
die Kanalqualitätserkennungseinheit 613 das
Verschlüsselungsattributanpassungsmittel
zum Ausführen
der Verschlüsselungsstrategie
in Abhängigkeit
von der Ressourcenauslastung und der Kanalqualität während der Verschlüsselung
und Übertragung
des Datenstroms.
-
Gemäß dieser
Ausführungsart
werden die angepassten Attributdaten in Form von Metadaten in den Kopfdaten
des Datenpakets aufgezeichnet und zusammen mit dem Datenstrom an
den Empfänger
(Empfangsmittel 700) übertragen;
vorzugsweise sind auch die Verschlüsselungsattributdaten verschlüsselt. Der
Inhalt der Verschlüsselungsattributdaten
gemäß dieser
Ausführungsart
ist beispielhaft in der obigen Tabelle 1 dargestellt.
-
Im
Empfänger
führt die
Kanaldecodiereinrichtung 703 die Kanaldecodierung der empfangenen
Daten durch und bildet einen empfangenen Datenstrom. Die Verschlüsselungsattributdaten
in den Kopfdaten der Pakete des Datenstroms werden an die Verschlüsselungsattributdatenempfangseinheit 711 gesendet,
durch diese extrahiert, und die extrahierten Daten werden zur Entwürfelungseinrichtung 712 übertragen,
wobei die ordnungsgemäße Entschlüsselung
der entsprechenden Daten des Datenstroms in der Entwürfelungseinrichtung gesteuert
wird.
-
Es
wird darauf hingewiesen, dass das Verfahren zur Übertragung der Verschlüsselungsattribute
nicht auf die Metadaten in der obigen Ausführungsart beschränkt ist
und die Verschlüsselungsattribute
auch über einen
separaten sicheren Kanal übertragen
werden können,
wobei die Verschlüsselungsanpassungsdatenempfangseinheit 711 die
Verschlüsselungsattributdaten
von dem sicheren Kanal empfangen muss, was ebenfalls im Geltungsbereich
der vorliegenden Erfindung liegt.
-
Wenn
es sich ferner bei dem zu verschlüsselnden und zu übertragenden
Datenstrom um einen komprimierten Videodatenstrom mit I-Frame-Daten,
P-Frame-Daten und B-Frame-Daten
handelt, passt gemäß einer
anderen Ausführungsart
der vorliegenden Erfindung die Ermittlungs- und Anpassungseinheit 612 die
Verschlüsselungsattribute
für die
I-Frame-Daten, P-Frame-Daten
bzw. B-Frame-Daten an; die Verwürfelungseinheit 614 verschlüsselt die
I-Frame-Daten, P-Frame-Daten bzw. B-Frame-Daten entsprechend den Verschlüsselungsattributdaten.
Die Ermittlungs- und Anpassungseinheit 612 führt insbesondere
die in den 2 und 3 gezeigten
Prüf- und
Anpassungsschritte aus. Der Inhalt der Verschlüsselungsattributdaten gemäß der vorliegenden
Ausführungsart
ist beispielhaft in der obigen Tabelle 3 dargestellt.
-
Demzufolge
empfängt
die Verschlüsselungsanpassungsdatenempfangseinheit 711 der
vorliegenden Ausführungsart
die Verschlüsselungsattributdaten
für die
I-Frame-Daten, P-Frame-Daten bzw. B-Frame-Daten; die Entwürfelungseinheit 712 entschlüsselt die
I-Frame-Daten, P-Frame-Daten
bzw. B-Frame-Daten entsprechend den Verschlüsselungsattributdaten.
-
Wenn
es ferner sich bei dem zu verschlüsselnden und zu übertragenden
Datenstrom um einen komprimierten Videodatenstrom mit einer Basisschicht,
einer ersten Erweiterungsschicht und einer zweiten Erweiterungsschicht
handelt, passt gemäß noch einer
weiteren Ausführungsart
der vorliegenden Erfindung die Ermittlungs- und Anpassungseinheit 612 die
Verschlüsselungsattribute
für die
Basisschicht, die erste Erweiterungsschicht bzw. die zweite Erweiterungsschicht
an; die Verwürfelungseinheit 614 verschlüsselt die
Basisschicht, die erste Erweiterungsschicht bzw. die zweite Erweiterungsschicht
entsprechend den Verschlüsselungsattributdaten.
Die Ermittlungs- und Anpassungseinheit 612 führt insbesondere
die in den 4 und 6 dargestellten
Ermittlungs- und Anpassungsschritte aus. Der Inhalt der Verschlüsselungsattributsdaten gemäß der vorliegenden
Ausführungsart
ist in der obigen Tabelle 4 beispielhaft dargestellt.
-
Demzufolge
empfängt
die Verschlüsselungsanpassungsdatenempfangseinheit 711 der
vorliegenden Ausführungsart
die Verschlüsselungsattributdaten
für die
Basisschicht, die erste Erweiterungsschicht bzw. die zweite Erweiterungsschicht;
die Entwürfelungseinheit 712 entschlüsselt die
Basisschicht, die erste Erweiterungsschicht bzw. die zweite Erweiterungsschicht
entsprechend den Verschlüsselungsattributdaten.
-
Dem
Fachmann ist klar, dass in den obigen Ausführungsarten die Komponenten
der Verschlüsselungs-
und Entschlüsselungsvorrichtung
und des Absenders und des Empfängers,
wie beispielsweise die Quellencodiereinrichtung 601, die
Verschlüsselungsvorrichtung 610 und
die Kanalcodiereinrichtung 603, die Quellendecodiereinrichtung 701,
die Entschlüsselungsvorrichtung 710 und
die Kanaldecodiereinrichtung 703 in Form von Hardware oder
Software realisiert werden können.
-
Obwohl
in dem System von 7 ein Absender 600 und
ein Empfänger 700 dargestellt
sind, kann sich der Fachmann auch ein System mit einem Sendemittel
und einer Vielzahl von Empfangsmitteln vorstellen, zum Beispiel
versorgt in einem VOD-System ein VOD-Server eine Vielzahl von VOD-Endgeräten.
-
Obwohl
das Verfahren zur Verschlüsselung
und Entschlüsselung,
die Vorrichtung zur Verschlüsselung und
Entschlüsselung,
die Vorrichtung zum sicheren Senden eines Datenstroms, die Vorrichtung
zum sicheren Empfangen eines Datenstroms und ein System zur sicheren Übertragung
eines Datenstroms der vorliegenden Erfindung für einige beispielhafte Ausführungsarten
detailliert beschrieben wurde, sind die oben erwähnten Ausführungsarten nicht als erschöpfend zu
betrachten, und der Fachmann kann verschiedene Änderungen und Modifikationen
innerhalb des Geltungsbereichs der Erfindung vornehmen. Deshalb
ist die vorliegende Erfindung nicht auf diese Ausführungsarten
beschränkt;
der Geltungsbereich der Erfindung wird nur durch die angehängten Ansprüche definiert.