加密(CADRM)系统介绍选编.docx

电梯物联网多媒体联播平台  PAGE \* MERGEFORMAT 8 加密（CA/DRM）系统 概述 多媒体联播平台作为一个公共服务平台，其内容的安全性是本项目的关键点，需要解决内容的防篡改、防盗链等问题。永新视博CA/DRM系统可以很好的完成对内容的加密保护，运营商可通过CA/DRM系统对用户进行授权控制及授权管理，使得合法终端能够播放合法的服务或者节目。 系统框图 架构设计 前端系统 前端工作原理： 节目编排器按照与CAS的接口集成规范生成节目单文件（.xml格式）发送给加扰器，其中包括DRM信息，比如：节目时长、过期时间、播放次数、播放流量。 加扰器根据节目单文件从节目源中取对应的节目文件File并使用Blockkey将文件加扰为File＇，再将Blockkey和节目单文件发给CA进行处理。CA使用加密算法将Blockkey加密为Blockkey＇返回给加扰器，加扰器将Bloakkey＇和DRM信息合并为一个权限文件，再将File’文件和权限文件发送给存储设备。播发系统根据自己的播发策略，将存储在存储设备上的加扰节目文件和权限文件推送出去。最后CA系统将根据用户的缴费情况来给用户发送授权指令。 终端系统 现在市场上存在的终端按安全级别可分为两种：高级安全终端(采用高级安全芯片)和普通终端(采用非高级安全芯片)。 高级安全终端利用密钥和算法构筑了一个安全通路，使得解扰明文(BlockKey)仅在硬件电路中存在，具有高安全性。 使用高级安全终端的工作原理： 终端机顶盒接收到push 的加扰节目文件File＇直接存储到硬盘中。当用户有观看授权并点播硬盘里面的节目时，机顶盒将硬盘上存储的权限文件(DRM和BlockKey’)送入终端CA库。 终端CA库将获取到的DRM和BlockKey’送与智能卡进行交互，若智能卡有授权且DRM权限有效，则将解析出Blockkey”和DRM信息返回给终端CA库，并且卡中会记录相应的DRM信息。 终端CA库将Blockkey”送入高级安全芯片的密钥模块，在硬件电路中解析获取到BlockKey，解扰模块使用BlockKey对File＇解扰，解扰为不加扰的节目文件File，送与播出端显示。 高级安全终端具有良好的安全性和可靠性，我方建议本项目使用高级安全芯片。 功能描述 预加扰 预加扰：节目在播放前先进行加扰。 节目在播放前先经过CAS一体机进行预加扰，然后将加扰后的TS流信息和ECM存储在存储系统中，播发服务器对预加扰的节目进行循环广播。 采用预加扰的优点： 降低加扰器等的性能需求，节约系统成本； 加扰节目源，防止用户非法拷贝、传播； 版权控制 版权控制是指控制推送下来的节目的播放权限。版权控制主要有四种：过期时间、播放次数、总播放时长和总播放流量。 过期时间： 过期时间权限是指通过配置当前推送节目所能被观看的最终截止时间达到版权控制的方式。 实现原理：当终端的物理时间大于设定的节目过期时间时，产品不能再被播放。 播放次数： 播放次数权限是指通过设置当前推送节目所能被播放的最大次数达到版权控制的方式。 实现原理：终端节目播放的次数大于设定的节目所能被播放的次数时，产品不能再被播放。 播放看时长： 总播放时长权限是指通过配置当前推送节目所能被播放的总时长达到版权控制的方式。 实现原理：终端节目累计播放的时长达到设定的节目所能被观看的总时长时，产品不能再被播放。 总观看流量： 总观看流量权限是指通过配置当前推送节目所能观看的总流量达到版权控制的方式。 实现原理：终端节目解密的数据流量达到设定的总流量限制时，产品不能再观看。 双向认证 PKI（Public Key Infrastructure）即“公开密钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 永新视博CA系统综合了机顶盒、CA移植库、CA智能卡各自的特点，在系统前端存储用户证书，终端智能卡存储用户私钥，通过智能卡使用私钥对终端回传数据进行签名，前端验证的方式实现证书管理、双向认证、密钥协商、订单签名等PKI功能，确保了双向数据接收方和传输方的合法性，双向数据的私密性和可靠性。 个性加密 加密文件夹 针对不同类型的文件夹进行加密，例如：可以根据推送业务的开展情况，将视频内容所在文件夹进行加密，对相应的片花文件夹不加密。同时针对文件夹下的单个文件也可以设置是否加密。 加密文件 根据运营需要或者文件加密强度的不同，系统支持对文件进行0~100%的加密。在视频文件按照百分比进行加密时，未获得授权的用户可以实现模糊视频的浏览。 同密支持 加扰器应参考DVB同密标准设计，支持多家CAS同密