WO2008131662A1

WO2008131662A1 - Système de mise à jour de clé de chiffrée, procédé associé, terminal de transmission et terminal de réception

Info

Publication number: WO2008131662A1
Application number: PCT/CN2008/070371
Authority: WO
Inventors: Xu Chen
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-04-26
Filing date: 2008-02-28
Publication date: 2008-11-06
Also published as: CN101296358A; CN101296358B; EP2063566A4; EP2063566A1

Description

一种密钥更新系统、方法以 ½送端和接收端

本申请要求于 2007 年 4 月 26 日提交中国专利局、申请号为 200710074227.0、发明名称为 "一种广播加密更新系统及方法，，的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种密钥更新系统、方法以及发送端和接收端。

背景技术

随着电信运营商 IPTV ( Internet Protocol Television,基于 IP网络的互动电视业务）业务的兴起，针对 IPTV内容保护方案变得日益重要。多个 IPTV版权管理的标准化组织已经先后推出针对 IPTV业务的版权管理方案。实时传输协议（ RTP , Real-time Transport Protocol )作为成熟的实时传输协议，广泛应用到 IPTV多媒体业务的数据承载。 RTP是用于 Internet (国际互联网络）上针对多媒体数据流的一种传输协议， RTP提供端对端网络传输功能，适合通过组播和点播传送实时数据，如视频、音频和仿真数据，但 RTP没有涉及资源预订和质量保证等实时服务。安全的实时传输协议（SRTP, Secure Real-time Transport Protocol )是实时传输协议 RTP的一个子集，该协议在 RTP基础上加强了保密性，并定义了消息认证和完整性保护。一个 SRTP会话的建立需要首先生成会话密钥（Session Key ) , 会话密钥包括加密密钥（encr_key ) 、认证密钥（ auth_key )及盐密钥（ salt_key ) ,会话密钥由伪随机函数（ Pseudorandom Function ) 负责生成。伪随机函数的输入参数包括一个主钥（Master Key )和 RTP会话的报文索引。 RTP会话的报文索引釆用 <ROC, Seq #>二元组隐性通告机制，其中 ROC ( Roll Over Counter, 循环计数器 )用来标记 Seq #的循环次数。

目前 IPTV版权管理中，比较流行的方案是扩展有线电视方案中的扰码机制，釆用划分等级的长短效密钥更新机制。多媒体数据通过 SRTP协议加密承载，由组播发送给 SRTP会话接收端，接收端用事先共享的共享会话密钥解密多媒体数据，完成多媒体内容的消耗。该方案的关键问题是向 SRTP协议高效输送密钥生成参数。根据对 SRTP密钥生成算法的分析， SRTP协议生成会话密钥，需要三个参数： <Master Key, ROC, 869 #>三元组，另外用于区分不同的 RTP会话发起者的 SSRC ( Synchronization Source Identifier, 同步资源标识）参数，也必须传送给 SRTP协议。综上所述，版权管理系统需向 SRTP协议传递<881〇， Master Key, ROC, Seq #>四个参数，其中 Master Key就是版权管理系统的短效密钥（STK, Short Term Key ) 。

现有的 EKT ( Encrypted Key Transport,加密密钥传输 )方案，是由 RTCP

( Real-time Transport Control Protocol, 实时传输控制协议）协议承载部分 RTP 协议的控制功能。发明人在实现本发明的过程中发现， EKT 方案的缺点是：为了保障 RTP会话的 QoS ( Quality of Service, 服务质量 ), 通常需要为 RTP 会话预留带宽。而 RTCP报文带宽通常为有效 RTP会话带宽的 5%, 进一步留给会话发送端的 RTCP带宽就只是 RTCP总带宽的 75%。加之 RTCP报文头的开销（约 64 字节），实际的有效的密钥下载带宽非常有限。因此，如果釆用 EKT 方案传送广播加密密钥，必然导致密钥更新文周期超长。此外， EKT 方案继承了 RTCP方案的缺点，在存在防火墙的应用中，需要在防火墙本身开辟 RTCP端口，如果 RTCP本身受限防火墙，不能完成穿越，则运行于其上的密钥传输将不能完成。

发明内容

本发明的实施例提供一种广播加密更新系统、方法以及发送端和接收端 , 能够在一定程度上缩短密钥更新报文的周期时间。

本发明实施例提供一种密钥更新系统，包括处于发送端的加密模块及复用模块，和处于接收端的解复用模块及会话密钥生成模块，其中：所述加密模块，用于将多媒体流通过会话密钥加密形成密文传输到复用模块；所述复用模块，用于将密钥更新报文和密文复用形成复合数据流，并将所述复合数据流发送到所述解复用模块，所述密钥更新报文中包含生成会话密钥所需的参数；所述解复用模块，用于分离接收到的所述复合数据流中的密钥更新报文和密文；所述会话密钥生成模块，用于从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

本发明实施例提供一种实现密钥更新的发送端，包括：加密模块，用于将多媒体流通过会话密钥加密形成密文；复用模块，用于将所述加密模块提供的密文和密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文中包含生成会话密钥所需的参数。

本发明实施例提供一种实现密钥更新的接收端，包括：解复用模块，用于分离接收到的复合数据流中的密钥更新报文和密文；会话密钥生成模块，用于从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

本发明实施例提供一种密钥更新的方法，包括：在发送端釆用会话密钥对多媒体流加密，形成密文；将所述密文与密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文包括生成会话密钥所需的参数所需的参数；在接收端分离所述复合数据流中的密钥更新报文和密文，从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

本发明实施例提供一种密钥更新报文的发送方法，包括：釆用会话密钥对多媒体流加密，形成密文；将所述密文与密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文包括生成会话密钥所需的参数。

本发明实施例提供一种密钥更新报文的接收方法，包括：接收复合数据流，所述复合数据流包括复合在一起的密钥更新报文和密文；分离所述复合数据流中的密钥更新报文和密文；从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

附图说明

图 1是本发明实施例的广播密钥更新系统的结构图；

图 2是本发明实施例的广播密钥更新方法的流程图；

图 3是本发明实施例的密钥更新报文格式图。

具体实施方式

为了使本发明实施例的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明实施例进行进一步详细说明。

请参阅图 1 , 为本发明实施例的广播密钥更新系统的结构图。该广播密钥更新系统包括加密模块、复用模块、解复用模块、解密模块及会话密钥生成模块。加密模块接收多媒体流，将多媒体流通过会话密钥加密形成密文传输到复用模块。复用模块将广播密钥更新报文和密文复用形成复合数据流，利用组播数据信道将整个复合数据流发送到会话客户端的解复用模块，其中，广播密钥更新报文中包含加密的短效密钥 STK和建立实时传输协议 SRTP会话所需的参数。解复用模块分离广播密钥更新报文和密文，解密还原短效密钥 STK, 并将密文传送到解密模块。 STK信息连同建立 SRTP会话的参数通过会话密钥生成模块生成更新的会话密钥，会话密钥生成模块将更新的会话密钥传送至解密模块，用于后续的数据解密。解密模块根据更新的会话密钥解密出多媒体流。该复用模块釆用的 RTP复用技术包含多种方法，在本实施例中釆用基本的版本号字段复用技术。标准的 RTP报文的 Version字段的数值为 RTP版本号 2, 通过一个新的版本号区分 RTP^艮文和广播加密密钥更新 ^艮文。

请参阅图 2, 为本发明实施例的广播密钥更新方法的流程图。该广播密钥更新方法包括以下步骤：

多媒体流通过会话密钥加密形成密文；

密文与广播密钥更新报文经过复用形成复合数据流发送到会话客户端，所述广播密钥更新报文包括加密保护的短效密钥 STK和建立 SRTP会话所需的参数；

由于釆用 RTP复用技术，通过设置报文緩存解决可能存在加密多媒体数据和密钥报文不同步的问题，发明人通过研究发现，不同步问题主要发生在 RTP 会话 Session建立阶段和密钥更新阶段，对于第一种情况，在 RTP会话刚刚开始， RTP的实时多媒体数据可能先于广播加密报文到达，会话接收端需要首先緩存 SRTP的数据报文，等接收到广播加密报文后，解密 SRTP的密钥生成参数，还原 SRTP的会话密钥，解密緩存中的多媒体数据报文，对于第二种情况，即密钥更新阶段，需要緩存密钥更新报文，在密钥更新的过程中， IPTV的客户端需要緩存新旧两套会话密钥信息，客户端可以根据 RTP报文的 Seq #检验是否釆用新的会话密钥解密内容，由于 SSC算法的密钥更新周期通常只有秒级，无论緩存多媒体数据报文或是密钥更新报文都不会产生较大的緩存开销，同时也不会因为緩存多媒体数据导致不可接受的接入延时。

在 RTP的编码实现中，首先对 RTP端口收到的数据进行 RTP协议验证 , 一般包括基于包和基于流的验证。基于包的验证方式首先判断 Version字段，只有 Version = 2的报文交由 RTP协议栈处理。在这里增加一个判断分支，例如 Version = 1的报文，送交广播加密程序处理。

具体的广播加密报文格式釆用类似 EKT的定义方式，包含 SSRC、 SEQ # 、 ROC以及可扩展的密文部分。密文部分包括子集标识符和子集密钥加密后的密文。报文中包含一个验证域，负责广播加密报文的完整性和真实性保护。另外报文中的安全参数索引（Security Parameter Index )用来区分不同周期的密钥更新报文，配合子集标识可以用于密钥更新报文的抗重放保护，具体的报文格式请参阅图 3。

分离广播密钥更新报文和密文，解密还原 STK, 连同建立 SRTP会话的参数生成会话密钥，用于多媒体数据流的解密。

在本发明实施例的广播密钥更新方法中，用户的状态变化将会触发密钥更新过程。在 IPTV系统中，用户加入状态可以通过侦听 RTSP的 Setup报文获得。用户的离开状态主要表现在三个方面：结束 RTP会话，切换频道或退出播放。三个方面都可能独立产生用户离开状态。针对第一种情况，可以通过处理 RTCP BYE报文获得用户离开的信息。针对后两种情况，通过处理 RTSP的 Teardown 消息或者编号为 2103 , 5502, 5401的 Announce消息完成。

本发明实施例的广播密钥更新方法的不同子集信息相互独立，没有依存关系。图 3中的报文格式定义子集 ID信息和加密子集密文信息成对出现。密钥更新报文沿着 IPTV数据通道下发，实际的数据接收用户将逐渐限定到特定的子集。其它不相关的子集密钥更新信息对于下发路径上的用户没有实际意义， IPTV数据传输通道上的中间监测节点将会过滤这些不相关的子集密钥更新信息，并将鉴裁 (Identification and Determination )后的密钥更新报文复用到 RTP 数据信道下发。具体的鉴裁效率和状态的子集覆（Stateful Subset Cover Algorithm ) 算法密钥树的构造相关，同一汇聚节点下的用户尽量集中覆盖在一个子集中可以在一定程度上简化鉴裁算法的运算量。本发明实施例结合终端状态子集覆盖 SSC算法和 SRTP协议的优势，利用 SSC算法在广播加密方面的优势，完成 SRTP主钥的分发。端状态子集覆盖 SSC算法在用户数量为 219, 并且以正弦规律或单调指数递减变化时，广播报文中的子集数量仅为 LKH ( Logical Key Hierarchy )算法（由于 LKH算法的提出早于完备子集概念， LKH 密钥更新报文的子集数通常为 LKH 密钥树上需加密的路径节点数目）和 SSD ( Stateless Subset Different )算法的 1/4左右，并且密钥更新的子集数量和实际的用户数量无关，只与加入的用户数量和召回的用户数量有关，具体的表达式为： # of Total Subsets = Δ added users + 2χ Arevoked users + 1。

本发明实施例中密钥更新的速度可以满足 IPTV版权管理的需求。以带宽受限环境下的 RTP复用方法为例，在模拟环境不变的情况下，由于釆用 RTP信道承载，密钥传送带宽由 5 %增加到 95 %。同时， RTP复用方法不需要引入 RTP 报头开销，所以相比一个 RTCP EKT报文，实际的有效载荷因报头开销减小而增加 64字节。综合以上两点，按照上文例子中的数据计算，总共需要 2.4秒完成密钥更新，这个时间间隔可以满足 IPTV数字版权的需要。

本发明实施例不需要复杂的防火墙穿越技术，就可以完成密钥更新报文的跨防火墙传输，无论 RTP复用技术或者 RTSP承载技术，两种技术分别借用 IPTV 的数据信道和控制信道，防火墙本身不需要建立额外的端口。

本发明实施例减少了对于现有协议的更改，减小具体实施的难度。釆用 RTP复用技术，密钥更新报文釆用 RTP数据信道传送，密钥更新报文可以灵活分段，以适应 RTP传输的 QoS策略。

从以上本发明实施例的述技术方案可以看出，由于釆用 RTP信道承载，能够完成大规模用户组的高频率广播密钥更新；另外，密钥更新报文穿越防火墙不需要建立额外的端口。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种密钥更新系统，其特征在于，包括处于发送端的加密模块及复用模块，和处于接收端的解复用模块及会话密钥生成模块，其中：

所述加密模块，用于将多媒体流通过会话密钥加密形成密文传输到复用模块；

所述复用模块，用于将密钥更新报文和密文复用形成复合数据流，并将所述复合数据流发送到所述解复用模块，所述密钥更新报文中包含生成会话密钥所需的参数；

所述解复用模块，用于分离接收到的所述复合数据流中的密钥更新报文和密文；

所述会话密钥生成模块，用于从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

2、如权利要求 1所述的密钥更新系统，其特征在于，还包括：

解密模块，用于根据所述会话密钥生成模块提供的更新的会话密钥对接收到的密文进行解密，解密出多媒体流。

3、如权利要求 1所述的密钥更新系统，其特征在于，所述复用模块，具体用于釆用实时传输协议 RTP复用技术将密钥更新报文和密文复用形成复合数据流，并将所述复合数据流发送到所述解复用模块，所述密钥更新报文中包含生成会话密钥所需的参数。

4、如权利要求 3所述的密钥更新系统，其特征在于，所述 RTP复用技术具体是基本的版本号字段复用技术，所述复合数据流中所述密文的版本号和所述广播加密密钥更新报文的版本号不同。

5、如权利要求 1至 4中任一项所述的密钥更新系统，其特征在于，所述生成会话密钥所需的参数包括短效密钥 STK以及建立 SRTP会话的参数。

6、一种实现密钥更新的发送端，其特征在于，包括：

加密模块，用于将多媒体流通过会话密钥加密形成密文；

复用模块，用于将所述加密模块提供的密文和密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文中包含生成会话密钥所需的参数。

7、如权利要求 6所述的发送端，其特征在于：

所述复用模块，具体用于釆用 RTP复用技术将所述加密模块提供的密文和密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文中包含生成会话密钥所需的参数。

8、一种实现密钥更新的接收端，其特征在于，包括：

解复用模块，用于分离接收到的复合数据流中的密钥更新报文和密文；会话密钥生成模块，用于从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

9、如权利要求 8所述的接收端，其特征在于：

所述解复用模块，具体用于根据 RTP编码对接收到的复合数据流进行 RTP 协议验证，进而分离所述复合数据流中的密文和密钥更新报文。

10、一种密钥更新的方法，其特征在于，包括：

在发送端釆用会话密钥对多媒体流加密，形成密文；

将所述密文与密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文包括生成会话密钥所需的参数所需的参数；在接收端分离所述复合数据流中的密钥更新报文和密文，从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

11、如权利要求 10所述的密钥更新方法，其特征在于，还包括：釆用所述更新的会话密钥对当前接收到的密文或此前接收到并緩存的密文或后续接收到的密文进行解密，解密出多媒体流。

12、一种密钥更新 >¾文的发送方法，其特征在于，包括：

釆用会话密钥对多媒体流加密，形成密文；

将所述密文与密钥更新报文复用形成复合数据流，并将所述复合数据流发送到接收端，所述密钥更新报文包括生成会话密钥所需的参数。

13、如权利要求 12所述的发送方法，其特征在于，所述将密文与密钥更新报文进行复用包括：

釆用 RTP复用技术将密文与密钥更新报文进行复用。

14、如权利要求 13所述的发送方法，其特征在于，所述将复合数据流发送到接收端包括：

将所述复合数据流利用 IPTV数据通道发送到接收端。

15、如权利要求 14所述的发送方法，其特征在于，所述将复合数据流利用 IPTV数据通道发送到接收端包括：

将所述复合数据流沿着 IPTV数据通道下发，需要密钥更新的用户限定为特定子集，所述 IPTV数据传输通道上的中间节点从所述复合数据流中解复用出密钥更新报文，过滤其它不相关的子集密钥更新信息，重新生成报文完整性保护标签，并将鉴裁后的密钥更新报文重新与所述密文复用后再通过所述 IPTV数据通道下发到接收端。

16、如权利要求 12至 15中任一项所述的发送方法，其特征在于，所述生成会话密钥所需的参数包括短效密钥 STK以及建立 SRTP会话的参数。

17、如权利要求 12至 15中任一项所述的发送方法，其特征在于，引起所述开状态获知用户状态改变。

18、一种密钥更新报文的接收方法，其特征在于，包括：

接收复合数据流，所述复合数据流包括复合在一起的密钥更新报文和密文；

分离所述复合数据流中的密钥更新报文和密文；

从所述密钥更新报文中解密还原出生成会话密钥所需的参数，进而据此生成更新的会话密钥。

19、如权利要求 18所述的接收方法，其特征在于，所述分离复合数据流中的密钥更新 ^艮文和密文包括：

根据 RTP编码对 RTP端口接收到的复合数据流进行 RTP协议验证 , 进而分离所述多媒体流和密钥更新报文。

20、如权利要求 18或 19所述的接收方法，其特征在于，所述生成会话密钥所需的参数包括短效密钥 STK以及建立 SRTP会话的参数。