基於多層加密體系的omadrm流媒體版權管理系統的製作方法

2023-09-20 08:31:15 1

專利名稱：基於多層加密體系的oma drm流媒體版權管理系統的製作方法
技術領域：
本發明涉及單播流媒體業務的移動數字版權管理系統，主要是在兼容OMA (開放移動聯 盟)制定的DRM2.0標準的基礎上，採用多層加密機制和簡單的視頻水印技術，增強移動流 媒體業務內容安全性的數字版權管理系統。
背景技術：
流媒體是在計算機網絡/通信網絡和媒體信息處理技術迅速發展的背景下湧現出的新式 媒體業務，具有邊下載、邊播放的特徵，無需用戶完整下載媒體數據，顯著降低了用戶播放 等待時間和佔用的存儲空間。而隨著移動通信技術發展和智能手持通信終端處理能力的增強， 移動流媒體業務己經成為移動運營商最為重要的增值數據業務之一。
數字版權管理的目的是保護版權所有者對其數字產品的所有權，使數字產品被合法地使 用。對移動流媒體內容的版權保護，確保媒體內容在移動網際網路的合法傳播，保護移動視頻 內容提供商和移動運營商的合法利益，己成為第三代移動通信實施和業務開展中主要關注的 問題。
OMA組織先後制定了 DRM 1.0標準和DRM2.0標準。DRM 2.0規範通過建立一個基 於公鑰基礎設施(PKI)的安全信任模型、擴展所支持的傳送模式而形成的新一代數字版權管 理系統，己成為近期國內外針對行動裝置最主要的數字版權管理解決方案。OMADRM2.0 規範簡單描述了流媒體應用場景，與其他流媒體版權管理解決方案類似，由於在流媒體傳輸 過程中使用唯一不變的內容加密密鑰，存在著在較長的流媒體傳輸時間段內密鑰可能被破解， 內容安全性受到威脅等問題。

發明內容
本發明的目的在於針對需要進行版權管理的移動流媒體業務，提供一種與OMADRM 2.0標準完全兼容，增強了內容安全性的數字版權管理系統。另外，本系統增加了對移動流媒 體內容和密鑰信息是否遭到攻擊進行檢查的功能。
實現本發明目的的技術解決方案為基於多層加密體系的OMADRM流媒體版權管理系 統，該系統由伺服器端和客戶端組成。伺服器端主要由內容分發伺服器和版權分發伺服器構 成，為支持流媒體業務，將內容分發伺服器分為Web伺服器、流媒體伺服器和數據打包服務 器三個邏輯子系統，而將版權分發伺服器分為密鑰管理、版權對象生成和ROAP協議伺服器 三個邏輯子系統。該解決方案的基本思想是借鑑數字廣播領域的條件接收CA原理，完全基於OMA DRM 2.0規範，提出針對流媒體內容的二層時變加密機制內容加密的密鑰每隔20秒改變一次， 為了向客戶端安全地傳遞當前的內容加密密鑰，數據打包伺服器使用RI指定的內容加密二層 密鑰對內容密鑰進行二次加密，並對二次加密後的內容密鑰進行數字摘要運算，將計算出的 數字摘要值通過水印技術嵌入到流媒體中的視頻數據中，起到數字籤名的作用。最後將二次 加密後的內容密鑰與加密後攜帶摘要信息的流媒體數據一起封裝在PDCF包中進行流式傳 輸。
典型的應用場景和交互流程由以下步驟組成(如圖1所示)
1) 內容分發伺服器CI中的流媒體伺服器向Web伺服器和版權分發伺服器RI傳遞流標記 (streaming token)(箭頭1所示)；
2) 客戶端瀏覽Web伺服器，與Web伺服器交互下載感興趣的流標記，並可以同時選擇 支付方式(箭頭2所示)；
3) 客戶端從流標記中獲取對應版權分發伺服器的地址，並通過版權對象獲取協議ROAP 向該伺服器註冊並請求版權對象(箭頭3所示)；
4) 版權分發伺服器RI中的ROAP協議伺服器向密鑰管理模塊和版權對象生成器傳遞用 戶及其訂購信息(箭頭4所示)；
5) 版權分發伺服器RI中的密鑰管理模塊為該用戶及其訂購的媒體流產生對應內容加密 二層密鑰，並將該密鑰發布給CI的數據打包伺服器和RI的版權對象生成模塊(箭頭5所示)；
6) 版權分發伺服器RI中的版權對象生成模塊根據用戶及其訂購信息、內容加密二層密 鑰，生成對應的版權對象，並將版權對象發布給ROAP協議伺服器(箭頭6所示)；
7) 版權分發伺服器RI中的ROAP協議伺服器基於ROAP協議向客戶端發送包含版權對 象的響應(箭頭7所示)；
8) 客戶端存儲收到的版權對象，然後向流媒體伺服器請求流媒體數據(箭頭8所示)；
9) 內容分發伺服器CI中的數據打包伺服器採用後面即將給出的水印嵌入、內容時變加 密和PDCF打包處理過程，對媒體數據進行打包加密處理後，傳遞給流媒體伺服器(箭頭9 所示)；
10) 流媒體伺服器向客戶端以流化傳輸方式發送加密打包後的媒體數據，客戶端根據後 面即將給出的PDCF解封包、內容解密和水印提取處理過程進行相應的處理(箭頭10所示)。
整個系統中的數據打包伺服器端水印嵌入、媒體數據的加密和PDCF打包以及客戶端的 逆處理過程是本發明的核心內容。


圖1系統處理流程
圖2伺服器端媒體數據加密打包過程
圖3客戶端媒體數據解封包解密過程
圖4水印序列結構
圖5水印嵌入過程
圖6水印提取過程
圖7水印移除過程
圖8伺服器端對用戶快進後退命令的處理過程
具體實施例方式
1)伺服器端媒體數據加密打包過程
數據打包伺服器對水印嵌入、媒體數據的加密和PDCF打包的處理過程為(見附圖2):
① 每隔20秒生成一個新的128位內容密鑰，基於RI指定的內容加密二層密鑰採用128 位的AES加密算法對內容密鑰進行加密，形成128位二次加密後的內容密鑰(箭頭1 所示)；
② 採用數字摘要算法(MD5算法)對128位二次加密後的內容密鑰進行摘要運算，形成 128位二次加密後密鑰的摘要(箭頭2所示)；
◎按照圖4所示的結構,基於128位二次加密後密鑰的摘要產生136位的水印序列結構，
其中8位起始標識為0xA7 (主要用於水印信息的起始位置同步)，然後採用水印嵌入
算法將水印序列嵌入到原始媒體數據內(箭頭3所示)； 使用當前的內容加密密鑰，對加入水印後的媒體數據進行128位AES加密，生成加密
後的媒體數據(箭頭4所示)； 將加密後的媒體數據和二次加密後的內容密鑰一起封裝在PDCF數據包中，形成可以
流化傳輸的媒體數據(箭頭5所示)。 水印嵌入算法採用簡單的可移除水印方式，一方面可以起到傳輸認證和數字籤名的作用， 另一方面可以在接收端去除水印，消除嵌入水印對媒體質量的負面影響。具體處理過程如圖 5所示
① 對原始音視頻媒體數據中的壓縮視頻進行變長解碼VLD，獲得I幀亮度分量的各個 16*16宏塊的元組(run, level)(箭頭1所示)；
② 提取出宏塊的高頻分量對應的元組一一最後一個元組(箭頭2所示)；③將該元組的尺度值乘以2，使其最低有效位LSB為O (箭頭3所示)； 將水印序列按比特次序順序放置在各個宏塊最後一個元組的尺度值的LSB位(箭頭4 所示)；
對I幀亮度分量重新進行變長編碼VLC，獲得含水印信息的音視頻數據(箭頭5所示)。 2)客戶端媒體數據解封包解密過程
客戶端對PDCF解封裝、媒體數據解密、水印提取和移除的處理過程為(見附圖3):
① 客戶端在收到版權對象後，進行解析，獲得長度為128比特的內容加密二層密鑰(箭 頭1所示)；
② 從收到的加密打包媒體數據中通過PDCF格式解析分離出二次加密後的長度為128比 特的內容密鑰(如果存在的話)和加密的媒體數據(箭頭2所示)；
③ 利用內容加密二層密鑰對二次加密後的內容密鑰進行AES解密獲得128位的內容解密 密鑰(箭頭3所示)；
利用上一步獲得的內容解密密鑰對加密的媒體數據進行解密，獲取攜帶水印的媒體數 據(箭頭4所示)；
⑤ 進行水印提取和移除操作，獲取對應原始媒體數據和包含二次加密後密鑰摘要的水印 序列(箭頭5所示)；
⑥ 採用數字摘要算法對從PDCF數據包中解析出來的二次加密後的內容密鑰進行摘要運
算，得到本地計算出的摘要(箭頭6所示)；
⑦ 將水印序列中的摘要與本地計算的摘要進行比較，如果兩者相同，則對原始媒體數據
進行解碼和播放；否則停止以後20秒之內的多媒體內容播放，因為這說明二次加密 後的密鑰或媒體數據本身的傳輸出現錯誤或收到攻擊，應停止對這一段時間內的數據 解碼和播放，降低處理複雜度，減少終端功耗(箭頭7所示)。
水印提取操作的具體處理過程如圖6所示
① 對含水印信息的音視頻數據的壓縮視頻進行變長解碼VLD，獲得I幀亮度分量的各個 16*16宏塊的元組(run, level)(箭頭1所示)；
② 提取出宏塊的高頻分量對應的元組一一最後一個元組(箭頭2所示)；
③ 按順序獲取各個宏塊最後一個元組的尺度值的LSB位作為水印序列的1個比特，多個 比特形成客戶端本地提取出的水印序列(箭頭3所示)。
水印移除操作的具體處理過程如圖7所示
①對含水印信息的音視頻數據的壓縮視頻進行變長解碼VLD，獲得I幀亮度分量的各個16*16宏塊的元組(run, level)(箭頭1所示)；
② 提取出宏塊的高頻分量對應的元組一一最後一個元組(箭頭2所示)；
③ 將宏塊最後一個元組的尺度值除以2，並捨去小數部分，恢復為原始尺度值(箭頭3 所示)；
④ 對I幀亮度分量重新進行變長編碼VLC，獲得原始的音視頻媒體數據(箭頭4所示)。 需要指出的是，水印提取和移除操作在客戶端是同時執行的，在得到水印序列之後，接
著可以直接移除水印，重新進行變長編碼後形成原始的、無水印的音視頻媒體數據。 3)伺服器端對用戶快進/後退命令的處理過程
由於流媒體數據的加密密鑰每隔20秒改變一次，因此在處理用戶通過客戶端發出的 RTSP快進/後退指令時，必須考慮快進或後退的時間量，採用特殊的處理過程處理用戶快進/ 後退命令(見附圖8)。
① 伺服器通過RTSP協議獲得用戶指定的快進或後退時間量，首先判斷用戶指定的內容 播放時間是否在當前加密密鑰有效期內，如果是，則將轉移到指定內容播放時間對應 的媒體數據，進行正常的內容加密和數據傳輸操作；否則轉移到步驟2
② 如果指定的內容播放時間對應為以20秒為單位的密鑰更換起始時間，則執行水印嵌 入、內容加密、PDCF打包和數據傳輸操作，否則轉移到步驟3;
③ 將指定的內容播放時間調整為以20秒為單位的密鑰更換起始時間，並執行水印嵌入、 內容加密、PDCF打包和數據傳輸操作。
本發明的主要特點
本發明的基於多層加密體系的OMA DRM流媒體版權管理系統與OMA DRM2.0標準規 定的移動流媒體數字版權管理解決方案和其它時變內容加密方案如條件接收系統相比，其顯 著優點是
1) 相對於OMA DRM2.0規範給出的移動流媒體數字版權管理解決方案採用與普通下載 方式相同的單層固定不變的內容加密方式，本系統採用二層時變內容加密機制，顯著提高了 內容傳輸的安全性；
2) 相對於其它時變內容加密方案如條件接收，本系統完全兼容OMADRM2.0標準，無 須特殊的智慧卡設備，特別適合移動終端，降低了方案實施成本；
3) 相對於其它時變內容加密方案如條件接收，本系統採用水印技術在原始視頻數據中攜 帶二次加密後的內容密鑰的數字摘要，支持有效的二次加密後的密鑰或媒體數據本身傳輸完 整性和正確性驗證，提高了傳輸安全性；本系統將可移除水印序列嵌入到易受攻擊和易發生變化的高頻I幀亮度分量VLC域中， 伺服器嵌入水印、客戶端水印提取和移除的操作複雜度較低，並消除了水印嵌入可能造成的 視頻質量下降。
權利要求
1、一個基於多層加密體系的OMA DRM流媒體版權管理系統，其特徵在於在完全兼容OMADRM 2.0標準基礎上，採用二層內容加密機制，版權分發伺服器RI向DRM客戶端發送二層密鑰；內容分發伺服器CI使用每隔一段時間變換的內容加密密鑰對流化媒體數據進行加密，並使用RI指定的二層密鑰對內容密鑰進行加密後與加密後的媒體數據一起放在PDCF包中傳輸，增強移動流媒體版權管理系統的內容安全性。
2、 根據權利l所述的二層內容加密機制，其特徵是伺服器端的水印嵌入、PDCF打包、 數據加密處理流程。
3、 根據權利l所述的二層內容加密機制，其特徵是客戶端的PDCF解封包、數據解密、 水印提取和移除處理流程。
4、 根據權利l所述的二層內容加密機制，其特徵是採用可移除水印技術在流媒體的視 頻數據中加入用二層密鑰對內容密鑰加密後的二次加密內容密鑰的數字摘要，保證二次加密 內容密鑰的完整性和正確性，完成流媒體傳輸的認證。
5、 根據權利l所述的二層內容加密機制，其特徵是伺服器端對用戶快進、後退指令的處理流程。
全文摘要
本發明涉及單播流媒體業務的移動數字版權管理系統，在兼容OMA DRM 2.0標準的基礎上，採用多層加密機制和視頻水印技術，增強移動流媒體業務內容安全性。伺服器端水印嵌入、媒體數據的加密和PDCF打包以及客戶端的逆處理過程是本發明的核心內容。其優點是1)採用二層時變內容加密機制，提高了內容傳輸的安全性；2)兼容OMADRM 2.0標準，適合移動終端，方案實施成本低；3)採用水印技術在原始視頻數據中攜帶二次加密後的內容密鑰的數字摘要，支持有效的二次加密後的密鑰或媒體數據傳輸完整性和正確性驗證；4)將可移除水印序列嵌入到易受攻擊和易發生變化的高頻I幀亮度分量VLC域中，水印嵌入、提取和移除的操作複雜度低，並消除了水印嵌入可能造成的視頻質量下降。
文檔編號H04L9/18GK101567782SQ200810104640
公開日2009年10月28日 申請日期2008年4月22日 優先權日2008年4月22日
發明者鄭 姚, 鋒 張, 張寶賢, 壯 趙, 雪 高, 奎 黃 申請人:北京銀易通網絡科技有限公司