DRM中流媒体如何加密

Perface

随着网上流媒体应用的普及，流媒体的数字版权管理已成了一个愈来愈令人关注的问题。流媒体数据量大，实时性要求高，如何实现流媒体内容的安全实时传输，成为数字版权管理的重中之重。

针对流媒体加密安全问题，我们借鉴了应用在CA技术中流媒体加密方案的思想并对其进行了改进，设计了一种新的选择性三级密钥机制DRM加密方案，该方案具有很好的实时性，安全性，可更新性等特点，那接下来，我就给大家介绍。

一、CA对流媒体的加密方法

如图所示，其原理为：将压缩后的数字电视信号加扰，解扰所需的加扰控制字加密传输至用户端，用户端利用机顶盒和IC智能卡解密加扰控制字，用加扰控制字解扰数字电视信号。其核心实际上是对控制字传输的控制。在采用MPEG－2标准的数字电视系统中，与控制字传输相关的有两个数据流：ECM和EMM。节目在播出前需要经过加扰处理，就是将复用后的TS与一个伪随机加扰序列进行模2加，而这个伪随机列就是CW。由业务密钥（SK）加密处理后的CW在ECM中传送，ECM中还包括节目来源、时间、内容分类和节目价格等节目信息。为了保证只有授权用户才可以解出控制字，授权管理信息（EMM）也同时通过TS进行传送。

EMM中包含用户名称、地址、智能卡号等管理信息，它通过用户个人分配密钥（PDK）进行加密传送。在用户端，机顶盒为了再生出解扰随机序列，必须获取相关的条件接收控制信息。首先，机顶盒从TS中找到条件接收表CAT，在CAT中找到相应加密的EMM，然后通过智能卡中的加密系统号和个人分配密钥（PDK）来解出EMM，根据解出的EMM信息来判断本智能卡是否被授权收看该套节目，如果该智能卡已被授权，则启用智能卡中的业务密钥（SK）来解出加密的ECM得到CW，CW送往解扰器和待解扰的TS模2加实现解扰。

在CA的这种加密思想的基础上对其进行改进，在加扰之前先选择需要加扰的TS包，形成了一种选择性三级密钥机制。

二、选择性三级密钥机制DRM框架

1、模块功能

系统主要包含以下四个模块：

流媒体加密模块产生内容密钥，负责对流媒体进行加密；用业务密钥对内容密钥加密，并将业务密钥发送到密钥管理系统。

密钥管理模块从加密模块接收并管理业务密钥；为授权管理系统提供业务密钥查询；任何对业务密钥的操作都要通过密钥管理系统的接口进行。密钥管理不与终端用户交互。

授权管理模块接受DRM代理的请求，确认用户为合法用户后，从密钥管理系统获得业务密钥，打包生成许可证，对许可证加密后发送到DRM代理端。

DRM代理模块确认用户的合法性后，获得许可证，对流媒体数据进行解密，送入播放端播放。

2、工作原理

用户通过DRM代理请求播放某个节目，DRM代理接受请求并验证用户的合法性。如果为合法用户，DRM代理就向授权管理系统发出请求，申请一个许可证。授权管理系统向密钥管理系统申请该节目的业务密钥并打包成许可证，然后发送给DRM代理，此时DRM接收加密后的节目流并对其进行解密，然后送到播放器播放。

三、选择性三级密钥加密机制设计

流媒体加密的安全问题是DRM的重点，流媒体文件加密采用选择性三级密钥加密机制。

该机制使用了三种密钥：内容密钥，业务密钥，许可密钥。在用内容密钥对数据流进行加扰时只选择其中的一部分数据包进行加扰。

1、加密流程

第一级加密，内容密钥生成器生成内容密钥（CK），将CK送入伪随机序列生成器，它将作为生成伪随机序列的根据。用得到的伪随机序列对选中的TS数据包进行加扰（只加扰TS负载部分，不能加扰TS包头）；

第二级加密，生成的内容密钥用业务密钥（SK）加密后，送入密钥管理系统中的密钥管理表中保存。授权系统访问密钥管理表得到SK，将它和用户的观看权限打包到许可证中；

第三级加密，用许可密钥对许可证进行加密，传给用户。

在TS数据流加扰器之前添加了一个新的模块——数据包选择器。数据包选择器根据TS数据包PID号来判定该数据包是否需要加扰。这样，需要加扰的数据可以减少一半，大大减少了加密和解密的时间，提高了加解密的效率。

2、解密流程

用许可密钥解密许可证，得到业务密钥；用业务密钥解密内容密钥；用内容密钥生成伪随机序列，对TS数据流解扰。非法用户即使获得了TS数据流，但是没有DRM代理生成的许可密钥，就无法解密许可证，所以仍然无法正常观看节目。

3、密钥管理

3种密钥的关系如图。

内容密钥用于对TS流加扰；业务密钥用于对内容密钥加密，存放在密钥管理数据库中；许可密钥用于对由业务密钥和用户权限组成的许可证进行加密。

• 1、内容密钥（CK）由内容密钥发生器生成，是一个随机性数列。它是周期性变化的。内容密钥的变化周期即为生命周期。

• 2、业务密钥（SK）收集当前的节目ID，时间等信息经过hash变换，生成一个定长的数列，用这个数列作为业务密钥。业务密钥的生命周期是用户对流媒体节目的使用期限，一旦用户对节目的使用期限过期，业务密钥也随之过期。

• 3、许可密钥（RK）由DRM代理生成并负责分配，分为许可公钥和许可私钥两部分。许可公钥用于加密业务密钥，许可私钥用于解密业务密钥。与前两种密钥相比，生命周期较长。

本文在CA加密思想基础上对实时性方面做了改进，添加了数据包选择器，使需要加密的内容减为原来的一半，从而减少了加扰所需要的时间。

小知识之DRM

DRM，英文全称Digital Rights Management, 可以翻译为：内容数字版权加密保护技术。 由于数字化信息的特点决定了必须有另一种独特的技术，来加强保护这些数字化的音视频节目内容的版权，该技术就是数字权限管理技术—DRM（digital right management）。

参考资料

• 原文资料