互联网知识：持用户认证外是什么？

5.4.2　系统和认证

5.4.2.1　IPTV-CA系统

IPTV属于双向宽带网络上的交互式系统,交互性是它的优势,用户具有极大的参与权,可以根据自己的喜好定制接收节目内容,形成个性化的服务。IPTV要实现其稳定快速的发展,必须建立有条件接收(CA)系统。因为:第一,IPTV作为一种新技术,其发展还面临着很多重要问题需要解决,其中对用户的授权和收费控制是一个关键问题,只有被授权的符合接收条件的用户才允许解密收看来自网络前端的节目内容。运营商需要借此获取合法的收益,更好的管理用户,促进提供商提供更好的节目,使用户也能得到更好的内容体验。第二,IP网络是一个开放的网络,难以实现监控,是不安全的网络,任何个人或团体都可以对网络的信息传输进行跟踪分析,甚至破解、伪造, IPTV-CA是对用户行为和节目内容进行监控的重要手段。第三,IPTV系统的客户端大都提供了硬盘存储能力,给非法复制、篡改提供了可能,因此必须在客户端提供安全机制,对内容的播放、存储等进行严格的控制和安全的设备端到端节目内容传输。

但是由于IPTV的个性化支持,使得网络中存在成千上万个不同的用户点播收看不同的节目内容,传统的基于广播方式的DVB-CA无法适用,无法为每个不同的用户独立加扰,否则将引入巨大的成本和网络带宽消耗。充分利用IP网络的双向互动能力是解决CA问题的关键,可以结合IP网的认证协议,开发出适合于IPTV系统的专用IPTV-CA系统。

IPTV-CA,更准确地说,应该称为IPTV-DRM,因为它不是传统意义上DVB单向网络的条件接收系统,而是建立在双向网络基础上的集用户认证管理、权限控制和版权保护于一体的DRM系统,其中用户认证管理是基础,权限控制和版权保护是目的。

DRM,即数字权限管理,是随着电子音视频节目在互联网上的广泛传播而发展起来的一种新技术。首先在互联网上音视频节目的传播上得到应用,并逐步应用到其他业务领域。DRM技术的目的是保护数字内容的版权,从技术上防止数字内容的非法复制,或在一定程度上提高复制的技术和成本门槛。

IPTV-CA涉及节目内容的封装保护、用户授权和密钥分发三部分内容。IPTV -CA作为解决IPTV发展安全瓶颈的手段,其标准与IPTV本身一样正在制定过程中,各大国内外CA厂商正在其中博弈,以期获得能满足IPTV应用需求和各方面利益的最终标准。

5.4.2.2　IPTV-CA认证

用户认证管理是IPTV-CA系统的重要基础,只有通过认证的用户才可能使用IPTV业务。目前IPTV-CA系统大都建立在Kerberos认证机制和PKI认证机制基础上。

用户认证,即用户身份确认,也称为授权证明系统(AC),其基本原理是:IPTV系统的用户首先提出节目申请,同时向IPTV资源管理系统发送经加密或签名的用户个人信息。IPTV资源管理系统对用户个人信息进行验证确认后,系统将根据内容分发网络中的内容索引服务器,找到为用户提供节目服务的最佳入口,将该入口参数及其时间戳经签名或加密后一同发送给用户。用户接收到入口参数后,就可以建立连接,下载播放节目内容。

1.基于Kerberos认证机制的IPTV-CA

Kerberos除了支持用户认证外,还将作为服务器端网元相互认证的基础。应用服务器、EPG服务器和媒体服务器等功能服务器启动后必须通过认证服务器的认证,并取得申请票据服务的票据。为同另一个功能服务器交互,功能服务器需要首先获得与目标服务器通信的票据。

基于Kerberos认证机制的IPTV-CA系统由内容加密子系统、密钥管理子系统、授权管理子系统、机顶盒的CA插件组成。

内容加密子系统以插件的形式存在于内容制作系统之中。编码器负责将来自节目源的数据编码或转换成规定格式。

密钥管理子系统维护节目与内容密钥(或节目分段和内容密钥)的映射关系,并为节目的加密提供内容密钥。密钥管理子系统不直接与机顶盒系统交互,而是根据应用服务器的版权管理插件发来的权利对象和用户公钥为用户发布密钥对象。应用服务器的版权管理插件的请求包含权利对象和用户的公钥,加密模块利用用户公钥加密的密钥对象,并由密钥管理模块将加密后的密钥对象返回给应用服务器的版权管理插件。

授权管理子系统负责根据用户请求为用户生成权利对象,并利用权利对象从密钥管理子系统获得用户需要的内容密钥。授权管理子系统还将为用户维护尚在有效期内的权利对象,并根据用户对服务的使用情况更新权利对象。

机顶盒中的浏览器是认证管理插件和密钥控制插件与服务器交互的桥梁。浏览器根据用户的请求从认证管理插件和密钥控制插件中获取认证请求和服务请求所需的信息,并将来自EPG的认证响应和密钥对象分别交给认证管理插件和密钥控制插件。认证管理插件维护机顶盒与服务器端各功能服务器的会话密钥,而密钥控制插件将完成以下任务:缓存内容密钥;利用内容密钥解密响应的节目流;控制内容密钥的有效使用时间;生成公钥/私钥对,并用私钥解密由公钥加密的密钥对象。

2.基于PKI认证机制的IPTV-CA

用户终端设备与版权管理系统间的相互认证采用PKI体系。在IPTV-CA系统中,PKI认证功能由证书管理系统CA实现。CA提供证书状态查询、证书状态管理、证书发放和证书管理等功能。

基于PKI认证机制的IPTV-CA系统由内容加密子系统、密钥管理子系统、授权中心、机顶盒的CA插件组成。

内容加密系统在把媒体内容制作成需要的格式文件后,用随机生成的密钥对文件进行加密,加密后的文件再传送到流媒体系统播出。加密的密钥将传送到密钥管理系统管理。

密钥管理系统通过各种加密算法和签名算法实现密钥存储和传输的安全性。密钥管理系统实现以下功能:接收内容加密系统传送的内容密钥;安全存储和管理内容密钥;向版权管理系统提供内容密钥查询服务,安全传递内容密钥;密钥库存储内容标识、内容分类、内容名称、内容密钥、加密算法等信息;为保证安全性,密钥管理子系统不对外开放接口、不与终端用户直接交互;密钥管理与版权对象管理分离。

授权中心负责接受业务管理系统的请求,为用户订购的内容和权限创建版权对象,并以触发器方式通知用户机顶盒注册获取版权对象。创建版权对象所需的内容密钥通过查询密钥管理系统获得。授权中心收到机顶盒注册请求和版权获取请求时,可向证书管理系统发起证书状态查询请求来认证用户机顶盒的合法性。下发的版权对象需经版权管理系统签名以保持版权对象在传递过程中的完整性和不可抵赖性。

机顶盒实现CA的功能需通过浏览器接口模块获得ROAP触发器,通过CA代理从授权中心请求获得版权对象并进行本地存储、使用STB私钥从中解密提取内容密钥、将通过媒体访问接口从内容服务系统得到的实时媒体解密后,提供给媒体播放器按相应权限进行内容受控播放。CA代理从授权中心请求获得版权对象,还要负责机顶盒本地版权对象的安全存储、访问、解析、执行、状态维护以及生命期管理。