一種基於數字內容提供商參與的播放許可證書發放方法
2023-05-31 11:52:41
專利名稱:一種基於數字內容提供商參與的播放許可證書發放方法
一種基於數字內容提供商參與的播放許可證書發放方法技術領域
本發明是一種基於數字內容提供商參與的播放許可證書發放方案。主要用於解決數字版權保護中播放許可證書發放的安全問題,屬於軟體技術領域。
背景技術:
基於公鑰密碼體制的公鑰基礎設施H(I,是實現安全電子商務、電子政務、公共信息安全交換的有效基礎設施,是實現信息機密性、鑑別性、完整性和不可否認性的有效技術。PKI的核心是權威認證機構CA,負責證書——捆綁實體身份和公鑰的數據結構——發放與管理。其中,證書的請求與發放是證書管理的重要環節之一,保證證書發放過程的安全性、完整性、可鑑別性是確保證書有效性和過程有效性的關鍵。一般,證書請求與發放的方法有兩種一是「集中式機制」,該機制無需初始鑑別CA/RA,不需在線鑑別請求,密鑰對可以在RA/CA處產生(集中生成),信息傳遞無需確認;另一種是基本鑑別機制」,該機制對初始化、請求和確認的各個環節進行鑑別。公共網絡(Internet/Intranet)充滿了各種潛在的威脅與攻擊,隨時可能有攻擊者截獲、篡改關鍵信息。如用戶證書請求信息或RA/CA籤發的證書遭到截獲並篡改,都會使得證書失去有效性。發明內容
技術問題本發明的目的是提供一種基於數字內容提供商參與的播放許可證書發放方法,基於數字內容提供商參與的播放許可證書發放方案在播放許可證書發放的過程中引入數字內容提供商部署的節點來參與到播放許可證書的發放過程,並通過與數字版權保護伺服器建立安全通信鏈路來提供完整性與機密性保護。
技術方案本發明的基於數字內容提供商參與的播放許可證書發放方法是一種在數字版權保護播放許可證書發放過程中引入數字內容提供商參與的許可證書發放方案,在播放許可證書發放過程中,通過SN-C節點數字版權保護伺服器之間建立安全通信鏈路,並提供完整性和機密性保護來保障播放許可證書發放過程的安全性。
每一個用戶有一個各不相同的名字,一個可信的認證中心給每一個用戶分配一個惟一的名字並籤發一個包含名字和用戶公開密鑰的證書。
如果甲和乙通信,他首先必須從資料庫中取得乙的證書,然後對它進行驗證,同樣乙也要對甲進行證書驗證,這樣交易雙方的身份就可以確認了。驗證完成後,持證人甲向持證人乙傳送數字信息,為了保證信息傳送的真實性、完整性和不可否認性,需要對要傳送的信息進行數字加密和數字籤名,其傳送過程如下
(1)採用數字證書的原理,甲將要發送的信息生成一個摘要。
(2)甲對這個摘要進行數字籤名,即用他的私鑰對這個摘要進行加密,加密後的摘要發送到乙方,如果乙可以用甲的公鑰對加密後的摘要解密,甲就無法否認這個摘要是他發送的,即解決了信息的不可抵賴性。
(3)甲隨機產生一個對稱密鑰,並用此密鑰對要發送的信息(與之前要發送的信息相同)進行加密,加密後生成密文。
(4)甲用乙的公鑰對隨機產生的那把對稱密鑰加密,將加密後的密鑰和密文一同發送到乙方。由於甲是用乙的公鑰對對稱密鑰加密的,因此只有乙用他的私鑰可以對其解密,然後將解開的對稱密鑰將密文解密,這樣就保證了信息的保密性。
(5)乙將密文解開後同樣採用數字證書技術將解開的信息生成一個摘要,將這個新產生的摘要和甲發送給他的摘要相比較,如果這兩個摘要相同,則說明乙收到的信息沒有被修改過,這樣就可以來驗證信息的完整性。
為在播放許可證書發放的過程中引入數字內容提供商部署的節點,來參與到播放許可證書的發放過程,並通過與數字版權保護伺服器建立安全通信鏈路來提供完整性與機密性保護,具體需要部署的節點包括核心超級節點SN-C、緩存伺服器CS、入口伺服器 portal
核心超級節點SN-C 是核心網中用來提供信令服務的節點;
緩存伺服器CS 負責內容的中轉和向用戶UE發送流數據;
入口伺服器portal 提供直播的頻道列表和點播的節目列表,並向用戶提供檢索服務。
基於數字內容提供商參與的播放許可證書發放過程的具體步驟為
1)客戶端向核心超級節點SN-C發起業務請求,核心超級節點SN-C選擇合適的緩存伺服器CS獲得第一個流媒體內容分片,包含打包文件的頭;
2)播放客戶端檢查本地是否擁有該流媒體文件的播放許可證,如已擁有未過期或尚有播放次數的播放許可證,則直接播放;否則,繼續第幻步;
3)播放客戶端將定製服務類型、流媒體文件頭部發送到核心超級節點SN-C ;
4)核心超級節點SN-C與入口伺服器portal進行交互,確定數字版權保護伺服器 DRM的地址,並與數字版權保護伺服器DRM之間建立起一條通信鏈路,提供機密性和完整性保護,將用戶定製服務類型、流媒體文件頭部發送給數字版權保護伺服器DRM ;
5)數字版權保護伺服器DRM用打包器的公鑰對文件頭的籤名進行驗證,查詢解密密鑰,生成播放許可證,證書中包含的信息有流媒體解密密碼、流媒體解密技術、播放次數、 許可證過期時間等;然後生成該播放許可證的加密密鑰,對其進行加密處理;
6)數字版權保護伺服器DRM將加密的播放許可證傳送給核心超級節點SN_C,該核心超級節點SN-C依次進行如下操作
a)首先使用用戶IP多媒體私有標識IMPI號加密流媒體解密密鑰;
b)再使用會話密鑰加密播放許可證;
c)然後與用戶的歸屬核心超級節點SN-C交互扣除用戶費用;
d)最後將播放許可證發放給播放客戶端;
7)客戶端解密播放許可證、流媒體解密密鑰得到流媒體解密相關信息;
至此為止,客戶端已經完成了獲取播放許可證的過程,此後,播放客戶端繼續向流媒體伺服器請求流媒體內容,並進行解密播放。
有益效果本發明提出一種基於數字內容提供商參與的播放許可證書發放方案, 其特徵在於該方案在播放許可證書發放的過程中引入數字內容提供商部署的節點來參與到播放許可證書的發放過程,並通過與數字版權保護伺服器建立安全通信鏈路來提供完整性與機密性保護,保證證書申請與發放全過程的完整、有效。
本方案有效地保證了證書申請中的信息安全要求特性
(1)保密性用戶提交的請求信息、證書返回的響應信息、用戶的確認信息都封裝在數字信封中,保證傳遞信息的機密性。雖然證書最後是公開的,但在正式批准發布前可能不希望信息外漏(如申請信息中可能涉及正式證書中不包括個人隱私)。
(2)鑑別性包括對證書的鑑別和擁有私鑰端用戶的鑑別。用戶在證書請求信息中加入私鑰籤名,證書可驗證請求者擁有有效私鑰。用戶拆解數字信封並私鑰籤名確認信息,表明該證書被用戶正確獲取,因為只有真正擁有有效私鑰者才能拆解證書響應信息,獲得證書中證書籤名,並用用戶私鑰籤名該證書籤名。
(3)完整性在會話的每個過程,使用數字籤名,保證信息的完整性,可以發現傳輸過程中的篡改或傳輸錯誤。
(4)不可否認性證書用私鑰籤發的響應信息,用戶籤發的確認信息都有不可否認性,保證證書源的可靠和用戶獲得並確認證書的不可抵賴性(用戶的不可抵賴來源於他真正擁有私鑰),這裡不涉及法律範疇。
(5)這種鑑別傳輸過程可以有效防止中間人攻擊。首先可以保證端用戶獲得公鑰證書(通過公開媒體、公開散列值)有效性;最後的籤名證書保證證書發放的有效性,中間人在協議的任何一個階段的篡改都將導致全過程的失敗。
圖1是數字版權保護機制總體結構,
圖2是數字版權保護機制的場景設定,
圖3是播放許可證發放過程。
具體實施方式
本發明是一種在數字版權保護播放許可證書發放過程中引入數字內容提供商參與的許可證書發放方案,在播放許可證書發放過程中,通過SN-C節點數字版權保護伺服器之間建立安全通信鏈路,並提供完整性和機密性保護來保障播放許可證書發放過程的安全性。具體方案為
首先,UE需要與SN-T相連並發起業務請求,然後SN-T通過portal的資源查詢確定適合的SN-C,然後再將SN-C的地址告訴UE, UE再與SN-C相連並進行後續動作;
其次,UE與SN-C相連並發起業務請求,然後SN-C聯繫Portal獲取流媒體CS伺服器信息;
接著,SN-C選擇合適的CS伺服器獲得第一個流媒體內容分片(包含打包文件的頭)。
至此,客戶端檢查用戶是否已經擁有播放許可證。若沒有播放許可證或播放許可證已過期,則客戶端將流媒體文件頭部一起發送給SN-C,該SN-C節點再與Portal節點進行交互,獲取DRM伺服器地址,然後SN-C與DRM伺服器之間建立起一條安全通信鏈路,提供機密性和完整性保護,並將用戶定製服務類型,流媒體文件頭部發送給DRM伺服器;DRM伺服器將生成的許可證發送給SN-C ;SN-C聯繫收到播放許可證後,與UE的歸屬SN-C交互扣除用戶費用,加密播放許可證書,並發送給UE。詳細過程描述如下
(1)客戶端向SN-C發起業務請求,SN-C選擇合適的CS伺服器獲得第一個流媒體內容分片(包含打包文件的頭)。
(2)播放客戶端檢查本地是否擁有該流媒體文件的播放許可證,如已擁有未過期或尚有播放次數的播放許可證,則直接播放;否則,繼續第C3)步。
(3)播放客戶端將定製服務類型、流媒體文件頭部等發送到SN-C節點。
(4) SN-C節點與portal節點進行交互,確定DRM伺服器的地址,並與DRM伺服器之間建立起一條通信鏈路,提供機密性和完整性保護,將用戶定製服務類型,流媒體文件頭部發送給DRM伺服器。
(5)DRM伺服器用打包器的公鑰對文件頭的籤名進行驗證,查詢解密密鑰,生成播放許可證(流媒體解密密碼、流媒體解密技術、播放次數、許可證過期時間等);生成播放許可證加密密鑰,加密播放許可證。
(6) DRM伺服器將播放許可證傳送給SN_C,該SN-C依次進行如下操作
1)首先使用用戶IMPI號加密流媒體解密密鑰;
2)再使用會話密鑰加密播放許可證;
3)然後與UE的歸屬SN-C交互扣除用戶費用;
4)最後將播放許可證發放給播放客戶端。
(7)客戶端解密播放許可證、流媒體解密密鑰得到流媒體解密相關信息。
至此為止,客戶端已經完成了獲取播放許可證的過程。此後,播放客戶端繼續向流媒體伺服器請求流媒體內容,並進行解密播放。
權利要求
1. 一種基於數字內容提供商參與的播放許可證書發放方法,其特徵在於該方法在播放許可證書發放的過程中引入數字內容提供商部署的節點,來參與到播放許可證書的發放過程,並通過與數字版權保護伺服器建立安全通信鏈路來提供完整性與機密性保護,具體需要部署的節點包括核心超級節點SN-C、緩存伺服器CS、入口伺服器portal 核心超級節點SN-C 是核心網中用來提供信令服務的節點; 緩存伺服器CS 負責內容的中轉和向用戶UE發送流數據;入口伺服器portal 提供直播的頻道列表和點播的節目列表,並向用戶提供檢索服務;基於數字內容提供商參與的播放許可證書發放過程的具體步驟為1)客戶端向核心超級節點SN-C發起業務請求,核心超級節點SN-C選擇合適的緩存伺服器CS獲得第一個流媒體內容分片,包含打包文件的頭;2)播放客戶端檢查本地是否擁有該流媒體文件的播放許可證,如已擁有未過期或尚有播放次數的播放許可證,則直接播放;否則,繼續第幻步;3)播放客戶端將定製服務類型、流媒體文件頭部發送到核心超級節點SN-C;4)核心超級節點SN-C與入口伺服器portal進行交互,確定數字版權保護伺服器DRM 的地址,並與數字版權保護伺服器DRM之間建立起一條通信鏈路,提供機密性和完整性保護,將用戶定製服務類型、流媒體文件頭部發送給數字版權保護伺服器DRM;5)數字版權保護伺服器DRM用打包器的公鑰對文件頭的籤名進行驗證,查詢解密密鑰,生成播放許可證,證書中包含的信息有流媒體解密密碼、流媒體解密技術、播放次數、許可證過期時間等;然後生成該播放許可證的加密密鑰,對其進行加密處理;6)數字版權保護伺服器DRM將加密的播放許可證傳送給核心超級節點SN-C,該核心超級節點SN-C依次進行如下操作a)首先使用用戶IP多媒體私有標識IMPI號加密流媒體解密密鑰;b)再使用會話密鑰加密播放許可證;c)然後與用戶的歸屬核心超級節點SN-C交互扣除用戶費用;d)最後將播放許可證發放給播放客戶端;7)客戶端解密播放許可證、流媒體解密密鑰得到流媒體解密相關信息;至此為止,客戶端已經完成了獲取播放許可證的過程,此後,播放客戶端繼續向流媒體伺服器請求流媒體內容,並進行解密播放。
全文摘要
一種基於數字內容提供商參與的播放許可證書發放方法來提供播放許可證書發放的過程的完整性與機密性保護。當用戶需要觀看某一個節目時,第一步,UE需要與SN-T相連並發起業務請求,UE再與SN-C相連並進行後續動作;第二步,UE與SN-C相連並發起業務請求,然後SN-C聯繫Portal獲取流媒體CS伺服器信息;第三步,SN-C選擇合適的CS伺服器獲得第一個流媒體內容分片;第四步,在SN-C與DRM伺服器之間建立起一條安全通信鏈路,流媒體文件頭部發送給DRM伺服器;第五步,DRM伺服器將生成的許可證發送給SN-C;第六步,SN-C聯繫收到播放許可證後,與UE的歸屬SN-C交互扣除用戶費用,加密播放許可證書,並發送給UE。
文檔編號H04L29/06GK102523232SQ201110447678
公開日2012年6月27日 申請日期2011年12月28日 優先權日2011年12月28日
發明者孫力娟, 李致遠, 林巧民, 王汝傳, 肖甫, 虞傳明, 韓志傑, 黃海平 申請人:南京郵電大學