本文提出的雙向DTV DRM安全解決方案結(jié)合PKI非對(duì)稱(chēng)密碼體系，建立了多層密鑰體系。

　　密鑰體系的最上面兩層是設(shè)備公私鑰對(duì)和用戶(hù)密鑰。對(duì)于諸如機(jī)頂盒的終端設(shè)備，在初始化時(shí)生成公私鑰對(duì)，私鑰在終端安全存儲(chǔ)，公鑰通過(guò)安全通道送到前端CA中心申請(qǐng)終端證書(shū)，這樣服務(wù)端就維護(hù)著終端的設(shè)備公鑰或證書(shū)。在為用戶(hù)分發(fā)智能卡時(shí)需要初始化智能卡，并在智能卡內(nèi)寫(xiě)入用戶(hù)密鑰或域密鑰，并且服務(wù)端也維護(hù)用戶(hù)密鑰/域密鑰和智能卡的對(duì)應(yīng)關(guān)系。

　　對(duì)于直接加密內(nèi)容的密鑰，根據(jù)內(nèi)容類(lèi)型的不同，采用不同的密鑰體系：

　　當(dāng)數(shù)據(jù)內(nèi)容是TS流或流文件時(shí)，密鑰方案采用類(lèi)CAS的實(shí)時(shí)加擾的密鑰體系：首先使用控制字(CW)加擾內(nèi)容，再使用業(yè)務(wù)密鑰(SK)加密傳輸CW，加密的CW和節(jié)目控制數(shù)據(jù)被封裝在ECM中，隨內(nèi)容數(shù)據(jù)一起廣播。業(yè)務(wù)密鑰被用戶(hù)密鑰(PK)/域密鑰(DK)加密，可以封裝在EMM中廣播下發(fā)，或者通過(guò)雙向IP信道端對(duì)端下發(fā)，如圖3所示。

　　圖3 流媒體的密鑰體系

　　對(duì)于非TS流數(shù)據(jù)，如圖像、動(dòng)畫(huà)數(shù)據(jù)等，本方案采用對(duì)稱(chēng)密鑰加密的密鑰體系，使用內(nèi)容加密密鑰(CEK)直接加密內(nèi)容數(shù)據(jù)，內(nèi)容加密密鑰被封裝在權(quán)限對(duì)象中使用用戶(hù)密鑰(PK)/域密鑰(DK)加密，通過(guò)雙向IP通道端對(duì)端下發(fā)，如圖4所示。

　　圖4 非流媒體的密鑰體系

　　數(shù)據(jù)封裝

　　本方案針對(duì)不同的內(nèi)容類(lèi)型，采用不同的數(shù)據(jù)加密及封裝方式。對(duì)于TS流媒體內(nèi)容，逐個(gè)TS報(bào)文加密，并只加密TS報(bào)文負(fù)荷的184字節(jié)，并且直接與其它TS流復(fù)用進(jìn)行廣播分發(fā);對(duì)于非TS流文件(如動(dòng)畫(huà)、圖片內(nèi)容)，應(yīng)連續(xù)加密，打包成TS流循環(huán)廣播。