一种用于对等计算机顶盒的视频数据安全保护方法

文档序号:7744879阅读:239来源:国知局
专利名称:一种用于对等计算机顶盒的视频数据安全保护方法
技术领域
本发明提出了一种用于P2P IPTV系统(基于对等计算技术的交互式网络电视系 统)的视频数据安全保护的技术方法,解决了用户端机顶盒通过P2P网路传输视频数据的 安全性问题,属于对等计算与网络安全交叉技术领域。
背景技术
对等网络,即P2P(Peer-to-Peer)网络,可是使成千上万台计算机之间通过直接 交换,共享计算机资源和服务。在P2P网络中,所有的计算机都处于对等的地位,即网络中 的,每一台计算机既能请求网络服务,又能为其他计算机提供网络服务。这种特性令P2P网 络具有非常良好的可扩展性,可以以较低成本完成资源的聚合和共享,也容许网络中的计 算机在彼此数据的管理和资源共享上拥有较大的自治控制。传统C/S(Client/Server)结 构和B/S(Brower/Server)结构依赖于服务器,不仅对服务器的处理能力和带宽有很高要 求,而且存在单点失效问题,B卩如果服务器崩溃,整个网络就无法继续获得服务。P2P网络一
般来讲不依赖专用服务器,它对各个节点计算机的性能要求很低,整个网络健壮性高,能有 效解决单点失效问题。 P2P IPTV即基于对等计算技术的交互式网络电视,是一种利用宽带有线电视网,
集互联网、多媒体、对等计算等多种技术于一体,向家庭用户提供包括数字电视在内的多种
交互式服务的崭新技术。传统的IPTV系统是基于C/S结构,这使得整个网路中的资源向服
务器聚集,要适应如今海量的多媒体数据和不断增多的用户群体,只有不断提高服务器端
的带宽、加强服务器的性能、增加服务器的数目,从而使运营商必须不断增加人力和物力的
投入。P2P IPTV系统优点在于,服务器和用户端机顶盒的关系是对等的,利用P2P网络的优
良特性,可以大大改善整个网络的流量分布、减轻服务器的负担、克服服务器单点失效的问
题,从而减少服务器数量和维护成本,为运营商节省了大量的人力、物力。 加密技术是利用特殊的手段将重要的原始数据转变为乱码数据,以防止别人窥探
原始数据,在需要使用原始数据时,将乱码数据用相同或不同的手段还原成原始数据。算
法和密钥是加密技术的核心元素,从而加密技术被分为算法加密技术和密钥加密技术。前
者是依靠加密算法的复杂性和隐蔽性来保证加密技术的安全性,而后者的加密算法是公开
的,其安全性取决于加密密钥的隐蔽性。数字图像置乱加密技术是指发送方借助数学或其
他领域的技术,对一幅有意义的数字图像作变换使之变成一幅杂乱无章的图像再用于传
输。在图像传输过程中,非法截获者无法从杂乱无章的图像中获得原图像信息,从而达到图
像加密的目的。接收方经去乱解密,可恢复原图像。为了确保图像的机密性,置乱过程中一
般引入密钥。 P2P IPTV系统是利用P2P网络来传输多媒体数据的,于是出现了安全问题1、非 法用户盗取P2P种子文件,从而加入P2P网络,下载多媒体数据;2、合法用户下载多媒体 数据后,非法拷贝给其他用户或被其他用户盗取。传统的机顶盒系统是利用条件接收系统 来实现对视频数据的保护,条件接收系统利用不断变换的控制字来对视频数据进行实时加扰,在用户机顶盒进行实时解扰、播放,并不保存视频数据。P2P IPTV系统则下载并播放整 个视频文件,播放完成后并不删除视频文件,而是供P2P网络内其他合法用户下载。因此, 不断变化控制字的实时加扰,无法适应P2P IPTV系统。综上可得,P2P IPTV系统目前暂无 适用的视频数据安全保护方案,于是提出一套基于P2P IPTV的视频数据安全保护方案显得 十分重要。

发明内容
技术问题本发明的目的是提出了一种用于对等计算机顶盒的视频数据安全保护 方法,解决了P2P IPTV系统利用P2P网络传输视频数据所面临的安全问题。该方法在不改 变P2P IPTV系统的原有构架的基础上,对P2P IPTV系统进行了扩充,对加密算法以及密钥 的生成、管理、传输和使用进行了设计,具有创新性、安全性、可扩展性和实用性,具有很好 的应用前景和市场价值。 技术方案本发明的方法在P2P IPTV系统的基础之上,引入了数字图像置乱加密 技术、设计了单独的密钥服务器,其目的是对P2P IPTV系统中的视频数据进行安全保护。
图像置乱变换的定义定义2给定图像A二 [a(i, j)]nXm,设变换T是{(x, y): 1《x《n,l《y《m,且x,y均为整数)到自身的1-1映射,即将图像A中位置(x,y)处 的元素变换到位置(x' ,y')处,得到图像B,则称变换T是图像A的置乱变换,仍记为B =TA。从定义可以看出,构造置乱变换就是构造Kx,y) :l《x《n,l《y《m,且x,y均 为整数}到自身的1-1映射。 若C二TB二T(TA) = T2 (A),则称C为A迭代置乱两次的图像。以此类推,可以进 行多次迭代置乱。 置乱变换应该满足以下两个条件 (1)变换是离散点域Kx, y) :0《x, y《N-1}到自身的一一映射; (2)变换是离散点域Kx,y) :0《x,y《N-l}到自身的满映射,即变换是可逆的。
这两个条件是置乱变换可完成有效置乱的必要条件,即是说只有一一对应的,变换结果可
遍历图像所有像素点,而且反变换存在的置乱变换才是实际中有效可用的。 本方法将数字图像置乱加密技术应用于视频加密。图像置乱加密技术是一种专门
针对图像的加密技术,它不同于传统的加密技术,它的加密的时间对待加密数据的规模依
赖性小。图像置乱加密技术在处理大尺寸图像时,对图像进行分区,然后以区域为单位进行
置乱,使得该加密技术可以稳定高速地加密大尺寸图像。由于图像置乱加密技术的快速稳
定,非常适用于性能不高的用户机顶盒。本方法的视频加密不对编码后的PES或复用后的
TS进行加密,而是对原始视频图像序列中的每一帧图像进行数字图像置乱加密,进一步提
高了安全性。 本方法的还专门设置了密钥服务器,用于密钥的发放、管理,并对用户的请求进行 验证。密钥不存储在用户机顶盒,而是播放时向密钥服务器申请,从而提高了密钥的隐蔽 性,消除密钥由于保存在用户机顶盒而带来的安全隐患。其简单流程如下
步骤1密钥生成器生成随机密钥,供加密算法使用; 步骤2根据步骤1生成的密钥,对原始视频图像序列进行逐帧的图像置乱加密,得 到加密的视频图像序列;
步骤3编码器利用视频压縮算法对步骤2的加密视频图像序列进行编码,形成视 频打包基本流,并经复用器与音频打包基本流复用成传输流文件; 步骤4将步骤3的传输流文件发布到对等网络中的媒体服务器,并将传输流文件 信息和对应密钥发送到密钥服务器; 步骤5用户机顶盒加入对等网络,下载步骤3的传输流文件; 步骤6用户机顶盒播放步骤5下载的传输流文件时,先将用户信息和传输流文件 中的媒体信息发送给密钥服务器; 步骤7密钥服务器对步骤6发送来的信息进行验证,当验证通过时,就将包含对应 密钥的验证成功消息回送给用户机顶盒,否则,返回验证失败消息; 步骤8用户机顶盒收到步骤7返回的验证消息,判断是否验证成功如果失败则推 出;如果成功,则从步骤7的验证消息中提取密钥并存入内存; 步骤9用户机顶盒对步骤5的传输流文件进行解复用得到视频打包基本流,再对 视频打包基本流进行解码得到加密的视频图像序列,并利用步骤8的密钥对其进行置乱解 密得到原始视频图像序列; 步骤10当传输流文件播放完成或中途退出时,内存中步骤8的密钥随即消失,下 次要播放此传输流文件时,要重新从密钥服务器获取密钥。 本方法不对原有对等网路机顶盒系统架构进行改变,适用于一般的对等网路机顶 盒系统。 有益效果本发明通过对P2P IPTV系统中的安全问题进行分析,考虑到P2P IPTV
的系统构架、视频数据的特点、用户机顶盒性能等因素,提出了一种用于P2P IPTV系统的视
频数据安全保护方法,并在用户机顶盒采用DM6446芯片的P2P IPTV系统中实现原型系统。
技术的关键点是基于数字图像置乱加密技术的视频加密;采用了专门的密钥服务器管理密
钥;密钥并不保存在用户机顶盒,而是每次播放时向密钥服务器申请密钥。本发明的安全性
高、性能好、对P2P IPTV系统的适应性高且拥有良好的扩展性,下面给出具体说明 安全性高采用数字图像置乱加密技术,该加密技术安全性好、效率高,加密后的
图像近似于白噪声,难于破解。利用该技术对视频的每一帧图像进行加密,然后再合成视频
文件,可以极大的保护视频文件的安全。采用独立的密钥服务器管理密钥,密钥不存储在用
户服务器,而是播放时向密钥服务器申请,从而提高了密钥的隐蔽性,并进一步提高了安全性。 良好的性能由于P2P IPTV系统中用户机顶盒的功能设计和成本考虑,现行的用 户机顶盒性能有限,如果采用传统的加密技术对数据量大的视频进行加密,那么用户机顶 盒的解密时间将是用户无法接受,并且根本无法实现边解密边播放。而采用条件接收系统 中的加扰方法,安全性低,必须不断的变换加扰控制字,不适用于P2P网络。本方法采用了 稳定高速的数字图像置乱加密技术,该加密技术的速度非常快,十分适用于性能有限的用 户机顶盒。由于数字图像置乱加密技术对图像进行分块操作,对图像的大小不敏感,不仅适 用于现在的视频,也适用于以后的高清视频。 对P2P IPTV系统的高适应性本方法没有改变P2P IPTV系统的原有构架,而是对 原有构架进行适当的扩充,在发布服务器添加了密钥生成器和置乱加密器,在用户机顶盒 添加了置乱解密器,并添加了一个密钥服务器,可应用于一般的P2PIPTV系统。并且本方法
5对原有的视频数据的编码、复用、解复用、解码的整个流程没有变动,而只在视频图像的层 面上进行加密,适用性高。 良好的扩展性由于本方法采用模块化的设计方法,系统模块功能层次分明,因此 可以方便的添加新的功能,也可以很容易的升级现有的功能,所以该方法拥有良好的可扩展性。


图l是系统架构图;
图2是加密流程图;
图3是验证流程图;
图4是解密流程图。
具体实施例方式
—、体系结构 本方案主要分为发布服务器、媒体服务器、密钥服务器和用户机顶盒四部分,具体 体系结构如图1。 发布服务器包含了置乱加密器、密钥生成器、视频编码器、音频编码器和复用器。 原始的视频可以看做是每秒25帧的图像序列,即一秒种25幅图像。置乱加密器是一种图 像加密器,利用它一秒种对25幅图像进行加密。密钥生成器生成用于置乱加密和解密的密 钥。由于加密后的视频图像非常的大,无法进行网路传输,所以要使用视频编码器,它利用 视频图像之间极大的关联和冗余,对视频图像进行压縮,压縮后形成打包后的基本流(PES, Program Elementary Stream)文件。原始音频数据也很大,不适合在网络上传输,必需由音 频编码器进行压縮,形成PES文件。复用器将视频PES文件和音频PES文件进行复用,并生 成适于网络传输、抗丢包能力强的传输流(TS, Transport Stream)文件。
媒体服务器时用于存放发布服务器发布的TS文件,供P2P网络中其他用户机顶盒 下载。这里要说明的是P2P网络中的媒体服务器有很多台,发布服务器要向每台媒体服务 器上传TS文件,并且这个过程也可通过P2P网络实现。 密钥服务器主要包括了密钥数据库、用户数据库和验证器。密钥数据库用于存储 发布服务器传送的TS文件信息和对应密钥。用户数据库用于存储用户信息,包括用户的识 别号、权限、身份信息等。验证器的作用是监听用户机顶盒发送的用户信息和媒体信息,并 查找用户数据库以对用户身份和是否对该媒体文件享有访问权限,当验证通过时,验证器 会从密钥数据库中取出对应的密钥并发送给用户机顶盒。 用户机顶盒由解复用器、音频解码器、视频解码器和置乱解密器四大模块组成。解 复用器的作用是将TS文件中的音频和视频分离。音频解码器将解复用器分离出来的音频 PES解码,还原成原始的音频。视频解码器将分离出来的音频PES解码,还原成加密视频图 像。置乱解密器根据密钥服务器传送的密钥,将解码后的加密视频图像解码,还原成原始的 视频。 需要注意的是发布服务器、密钥服务器和用户机顶盒三部分之间的通信,全部由 算法复杂度高,安全性好的RSA加密算法进行加密,以保证整个系统的
二、方法过程 发布服务器加密视频数据、发布TS文件、向密钥服务器传输TS文件信息和密钥; 密钥服务器保存密钥,验证用户请求,传送密钥;用户机顶盒向密钥服务器请求密钥,通过 P2P网络下载TS文件、解复用、解码、解密并播放。整个方案可大体分为三个过程加密过 程、验证过程、解密过程。 加密过程主要是由发布服务器完成的,在原有的发布服务器中添加了密钥生成器 和置乱加密器,整个加密过程如图2。 密钥生成器随机的生成密钥,原始的视频图像序列可来自摄像头,也可由视频文 件解码获得。原始的视频图像序列就相当于一张张连续的图像,置乱加密器利用密钥对每 一张图像进行了置乱加密。置乱加密器的实现方法很多,如伪随机序列置乱加密,混沌矩阵 置乱加密等,这些具体的置乱加密实现方法都可以自由设计算法的复杂度,以适用于用户 机顶盒。置乱加密后,原始的视频图像将变成无法理解的乱像,以保护视频图像。由于每一 帧的视频图像得到了加密,整个视频数据从内容上得到了保护,无论如何传输复制视频数 据,只要加密后视频图像序列没有解密,整个视频数据就是安全的。加密后的视频图像序列 由视频编码器进行编码,编码器的实现方法也是可选的,如MPEG-2、 MPEG-4、 H. 264视频压 縮算法等,不同的压縮算法压縮比和效率各不同,这里选用了 MPEG-2视频编码。在发布服 务器中,视频编码器一般是由专用的数字图像处理卡完成的,现在部分的显卡也支持视频 硬件编码。加密后的视频图像序列经视频编码器编码后,形成数据规模相对小的打包基本 流PES。 音频编码器对输入的音频数据进行编码,这里音频编码器的实现方式可选用MP2、 ACC或MP3等,这里选择了MP2。音频数据经编码后形成音频打包基本流PES。音频编码器 一般是由声卡完成的。 —个打包基本流PES无法同时包含视频和音频,且PES抗丢包能力差,不适于网络 传输,于是复用器就将音频PES和视频PES复用在一起,生成程序流PS或传输流TS。程序 流PS多用于VCD或DVD,而传输流TS普遍用于复杂环境,如网络传输。传输流实际上是由 多个音视频交替的包组成,每个包188字节,即使丢失了部分数据,仍然可以恢复出原始视 频。在形成传输流TS后,可以按流媒体方式发布出去,也可以将所有音视频包保存成单个 文件,即传输流TS文件,这里将形成TS文件。 在形成TS文件之后,发布服务器会根据TS文件制作P2P种子文件,并向P2P网络 发布TS文件,包括向EPG服务器发布种子和TS文件信息、向媒体服务器传输TS文件、更新 P2P网络的Tracker服务器。然后发布服务器会将TS文件信息和对应密钥发送给密钥服务 器。 验证过程是指用户机顶盒和密钥服务器之间的交互过程,如图3。用户机顶盒在播 放TS文件之前,先提取出TS文件中的媒体信息,如TS文件的编号、节目名称等,并将媒体 信息和用户信息加密发送给密钥服务器以获取密钥。 密钥服务器包括了密钥数据库、用户数据库和验证器。在密钥服务器接收到用户 机顶盒发送来的消息后,验证器会从中提取出用户信息,并在用户数据库中进行查找。如果 找不到对应的信息,表明是非法用户,发送验证失败消息。如果找到对应信息,表明是合法 用户,于是验证器会继续提取媒体信息,并根据用户数据库中的信息判断该合法用户是否有访问该媒体的权利。如果没有,发送验证失败消息,如果有权限,验证器就从密钥数据库 中取出相应的密钥,发送给用户。验证失败消息为32位的零,验证成功消息为288位,包括 高32位的一和低256位的密钥。用户可以根据需要自行修改验证消息的数据结构。
用户机顶盒接收到服务器返回的验证消息后,先根据高32位判断验证是否成功。 如果失败,直接退出,如果成功,就提取出密钥并进入解密过程。整个验证过程中用户机顶 盒和密钥服务器的消息交互均由RSA加密算法加密,安全可靠。 解密过程主要描述用户机顶盒在获取到密钥后,处理并播放TS文件的过程,其流 程如图4。解密过程主要由用户机顶盒完成,在原有用户机顶盒模块的基础上,加入置乱解 密器。由于置乱加密是对原始图像序列进行加密,没有影响视频的编码、复用过程,所有无 需改动原有用户机顶盒模块,只需在解码器解码PES后,对生成的视频图像序列进行解密 即可。用户机顶盒通过EPG服务器下载节目信息和种子文件,进而加入P2P网络,下载TS文 件。在播放TS文件前,用户机顶盒先获取TS文件的媒体信息,并向密钥服务器申请密钥。
当用户机顶盒接收密钥服务器传来的密钥后,先将密钥保存在内存中,然后开始 读取TS文件的每一个包,对其进行解复用,得到两个PES。对PES的包头进行分析,以确认 哪个是音频PES,哪个是视频PES。音频PES直接送入音频解码器,通过解密,得到原始音频 数据并写入音频设备的缓存。 视频解码器会分析视频PES,以确认用什么种类的解码器对其进行解码,如 MPEG-2、 MPEG-4、 H. 264等。当确定解码器种类后,用户机顶盒先用相应的初始化函数初始 化DSP,然后将视频PES送入DSP进行解码,得到置乱加密后的视频图像序列。这时,置乱解 密器根据密钥,对每一帧图像进行解密,还原成原始图像,得到原始的视频图像序列。最后 将这些图像处理成YUV格式的图像,写入显示设备的缓存。
权利要求
一种用于对等计算机顶盒的视频数据安全保护方法,其特征在于对对等计算机顶盒系统中的视频数据进行安全保护的整个方法过程如下步骤1密钥生成器生成随机密钥,供加密算法使用;步骤2根据步骤1生成的密钥,对原始视频图像序列进行逐帧的图像置乱加密,得到加密的视频图像序列;步骤3编码器利用视频压缩算法对步骤2的加密视频图像序列进行编码,形成视频打包基本流,并经复用器与音频打包基本流复用成传输流文件;步骤4将步骤3的传输流文件发布到对等网络中的媒体服务器,并将传输流文件信息和对应密钥发送到密钥服务器;步骤5用户机顶盒加入对等网络,下载步骤3的传输流文件;步骤6用户机顶盒播放步骤5下载的传输流文件时,先将用户信息和传输流文件中的媒体信息发送给密钥服务器;步骤7密钥服务器对步骤6发送来的信息进行验证,当验证通过时,就将包含对应密钥的验证成功消息回送给用户机顶盒,否则,返回验证失败消息;步骤8用户机顶盒收到步骤7返回的验证消息,判断是否验证成功如果失败则推出;如果成功,则从步骤7的验证消息中提取密钥并存入内存;步骤9用户机顶盒对步骤5的传输流文件进行解复用得到视频打包基本流,再对视频打包基本流进行解码得到加密的视频图像序列,并利用步骤8的密钥对其进行置乱解密得到原始视频图像序列;步骤10当传输流文件播放完成或中途退出时,内存中步骤8的密钥随即消失,下次要播放此传输流文件时,要重新从密钥服务器获取密钥。
全文摘要
一种用于对等计算机顶盒的视频数据安全保护方法是一种用于P2P IPTV系统(基于对等计算技术的交互式网络电视系统)的视频数据安全保护的技术方法,在P2P IPTV系统的基础之上,引入了数字图像置乱加密技术、设计了单独的密钥服务器,其目的是对P2P IPTV系统中的视频数据进行安全保护。解决了P2P IPTV系统利用P2P网络传输视频数据所面临的安全问题。该方法在不改变P2P IPTV系统的原有构架的基础上,对P2P IPTV系统进行了扩充,对加密算法以及密钥的生成、管理、传输和使用进行了设计,具有创新性、安全性、可扩展性和实用性,具有很好的应用前景和市场价值。
文档编号H04N7/16GK101783925SQ20101013609
公开日2010年7月21日 申请日期2010年3月30日 优先权日2010年3月30日
发明者吴敏, 徐鹤, 支萌萌, 李致远, 王汝传, 邵星, 陈粒, 韩志杰 申请人:南京邮电大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1