内容认证

2024-10-02

内容认证（共4篇）

内容认证篇1

为弥补传统基于密码学认证技术的不足，迫切需要寻求另外一种途径。数字水印作为信息安全领域的一个新方向，目前得到了学术界的广泛的研究，其发展也相当迅速。基于水印的认证系统允许不影响图像内容的操作(如滤波，JPEG压缩等)通过，能提供不同级别的认证，更适合多媒体内容的认证。因此，研究基于数字水印的图像认证技术具有重要的实际意义和应用价值。

1 图像认证水印

图像认证水印是将与图像内容相关或不相关的信息以水印的方式直接嵌入在宿主图像中，水印的嵌入不应引起宿主图像视觉质量的明显下降。图像认证时，将水印提取出来验证图像的真实性和完整性。图像认证水印除了具有数字水印的一般特征，如稳健性、透明性、安全性外，还要求水印本身具备一定程度的脆弱性和敏感性。认证水印与鲁棒水印的不同之处在于当图像内容被改变后，认证水印信息也会随之发生一定程度的改变。目前，认证水印已应用于新闻图片、电子商务、司法举证、军事、医学图像、工程设计等多个领域。

2 图像认证系统的设计要求

图像认证的主要目的就是检测图像是否被篡改，认证系统设计目标和具体的应用相关，没有具体的参照标准，但总的来说，一个有效的认证系统应该同时具备数字水印的一些特性，同时也有自身的特性。

1)不可感知性也即透明性，是指认证水印的嵌入不会导致载体图像明显的降质，所嵌入的水印必须是视觉上不可见的，嵌入的信息不会影响载体图像的欣赏价值、使用价值和商业价值。图像认证水印用于保护多媒体内容的真实性，它比鲁棒水印更注重嵌入水印对原始图像的影响程度。2)鲁棒性也即稳健性，认证系统对经过压缩、滤波、信道噪声等可接受的合法操作是可容忍的，即就是图像在经过这些操作后，认证信息不会发生大的变化，认证系统也不会将正常的操作当作恶意操作产生认证错误。3)对篡改的敏感性，认证系统的基本要求就是当图像遭到恶意篡改后认证系统应能检测到对图像任何非法的篡改，并且能够定位出篡改发生的具体部位，有些时候还要分析图像遭到何种性质的更改。由于认证目的不同，认证系统对篡改敏感性要求也不尽相同。精确认证不允许对图像任何微小的改动，模糊认证将非恶意的图像修改定义为可接受的改动，不会对其做出拒绝判决。4)安全性，评估认证水印抵抗攻击能力的大小。认证水印的安全性除了传统密码学中密钥安全的隐患外，还包括由于篡改定位带来的安全漏洞，以及模糊认证中所提取的图像内容特征不能充分表达图像内容，恶意攻击者便会利用这些漏洞伪造原始图像，欺骗认证系统。5)可靠性，认证系统应具有较小的虚警概率和漏警概率。虚警概率和漏警概率是评价认证系统性能的重要指标，从一定程度上反映出认证系统检测恶意篡改的能力同时确保认证检测结果的准确性和可靠性。6)盲检测性，指的是认证时不需要原始图像参与，对于图像认证水印而言，要认证的即是原始图像的真实性，、因此，需要原始图像参与的认证是没有意义的。而基于版权保护的鲁棒水印在某些应用背景下是需要提供原始图像的。7)篡改定位性，认证系统不但要对恶意篡改足够敏感，并且要能在恶意篡改发生后定位出篡改位置。不过目前存在的一些非主流的认证算法并不具备篡改定位能力，如可逆水印认证算法。

3 脆弱水印的典型算法

基于脆弱水印的图像认证技术对图像内容的修改会造成水印信息自身的改变，因其对图像处理操作异常敏感。脆弱水印能够检测出任何修改图像像素值的操作，哪怕只是一比特像素值的改变。基于脆弱水印的图像认证技术最主要的缺陷是无法区分恶意篡改与非恶意的攻击。根据水印嵌入方式的异同，可将其分为空间域算法和变换域算法两类。

空间域方法大多是直接修改图像的最低有效位(LSB)嵌入水印，这类算法简单并且容易实现，但却对噪声异常敏感，水印容易被破坏且不能容忍对图像的任何微小的改动。校验和(Checksum)算法首先随机选择一些像素，计算所选像素的最高7位的Checksum值作为水印信息(Checksum值为一系列长度固定的二进制序列的模2和)，算法把根据Checksum值随机选取的固定数目的像素的最低有效位(LSB)用校验和中对应的比特替换完成水印嵌入。认证时，再次计算图像的Che cks um值并与水印信息的Che cks um值进行比较，便可确定图像是否遭到篡改。算法优点是原始图像在水印嵌入后只有半数的像素值发生了变化，因而算法具有较高的透明性，但篡改者可以通过替换图像的LSB平面删除水印，算法安全性差并且篡改定位能力弱。

上图是一种基于分块的脆弱水印认证算法，算法将二值图像分为Xi个块后作为水印信息，并将原始图像分成与水印信息大小相等的图像块，将各分块的LSB置零，LSB置零后的图像分块与原始图像的大小利用Hash函数进行杂凑后得到Hr，将杂凑结果与分块水印加密后得到水印信息Sr，将Sr嵌入原始图像各分块的最低有效位得到含水印图像。此类基于分块的算法的主要缺点是由于分块间的独立性造成算法不能抵抗量化攻击。

4 半脆弱水印的典型算法

脆弱水印对图像处理操作敏感，不接受任何改动图像的行为，然而在实际应用中，图像处理软件各有差异，图像格式众多，且数字图像数据量大，冗余度高，通常以压缩方式传输，最终的待认证图像常常是被压缩过的或者经历了其他不影响图像内容的操作，因此，研究基于模糊认证的半脆弱水印更具有现实意义。

通过借鉴鲁棒性水印算法得出的适用于数字相机的半脆弱水印算法，该算法首先把原始图像分为8×8的块，并将每个分块编号，从每个分块中提取m位具有一定鲁棒性的二进制信息，将图像块的序号、提取的二进制信息和数字相机的ID一起进行扩频处理，然后将处理后的信息嵌入在该图像块DCT变换后的中频系数中。当图像需要认证时，从待认证图像中提取二进制水印信息，经过与嵌入阶段同样的扩频处理后，与提取的水印做相关运算，并选取适当的门限值进行认证检测。该算法对常见的图像处理如有损压缩、滤波、对比度调整、直方图均衡等都具有较好的鲁棒性，对恶意攻击能产生报警。通过改进原始图像中提取二进制水印信息的方法，该方法提取出的水印信息对常见的图像处理操作以及旋转、缩放攻击都具有不变性。

参考文献

[1]王颖, 肖俊, 王蕴红.数字水印原理与技术[M].北京:科学出版社, 2007.

[2]王向阳, 陈利科.一种新的自适应半脆弱水印算法[J].自动化学报, 2007.

内容认证篇2

综合管理部：（质量体系类）

1.手册、程序文件、三层次相关制度的编制、签发；

2.手册、程序文件、相关制度的下发，填写《文件发放回收记录》 3.内外部环境及相关方需求分析报告（含环境体系）4.质量风险清单

5.部门目标及目标管理方案（可与环境安全做在一起）6.目标实现情况统计分析表（可与环境安全做在一起）7.目标考核方案（可与环境安全做在一起）

8.受控文件清单及文件（可与环境安全做在一起）9.文件发放回收记录（可与环境安全做在一起）10.记录清单（可与环境安全做在一起）11.员工档案

12.培训计划

知识清单 13.培训记录

14.焊工、电工、起重工证书

15.合格供方清单（与认证范围一致的产品）

16.供方评价记录（与认证范围一致的产品，含外包、运输、表面处理、服务等供方）

17.采购单（与认证范围一致的产品）

18.管理评审计划（可与环境安全做在一起）19.管理评审签到表 20.管理评审综合部汇报 21.管理评审生产部汇报 22.管理评审技术质量部汇报 23.管理评审内审汇报 24.管理评审报告

25.内审计划（可与环境安全做在一起）26.内审员证书 27.内审检查表 28.不符合报告 29.内部审核报告

30.内审首次会签到表 31.内审末次会签到表

（安全环保类）

1.准备守法证明，准备环保局监测报告（噪声、粉尘、水、食堂的油烟和水）、准备作业场所危害监测报告（噪声、粉尘、有毒有害物质）、准备员工职业病体检报告； 2.编制公司环境风险清单

3.本部门本《环境因素识别与评价记录》，收集其他部门的环境因素识别记录 4.本部门本《危险源识别与评价记录》，收集其他部门的危险源识别记录 5.公司本《重要环境因素》、《重大风险记录》 6.公司本《环境管理方案》、《安全管理方案》，落实与本部门相关的职责识别相关法律法规，包括当地政府和上级主管部门； 7.编制合规性评价报告

8.做好办公现场的安全、环保标志，落实办公现场的安全环保各项制度； 9.垃圾分类，危废回收做好记录；

10.办公现场周边消防器具检查、安全通道检查、私拉乱拉电线检查、安全用电检查； 11.办公室5S管理；

12.检查各类文件的编、审、批

13.本安全、环保物资供应商、以及安全环保分包方的《合格供方、分包方名单》，含、安全劳保用品、安全环保设施设备,垃圾清运、危化品处理、化粪池清淘等合作方，要有批准

14.上述供方、分包方中新分包方的新供方调查评价表及各类资质 15.与供方、分包方签订的合同，对分包方施加的安全、环保影响

16.采购申请、采购计划、采购合同、出库单、入库单、帐本，注意计划内容的齐全及计划的批准（含安全劳保用品、安全环保设施设备）

17.明确有职业病相关的岗位，建立员工《职业病健康档案》 18.劳保用品配置标准，劳保用品发放清单 19.垃圾清运记录、化粪池清掏记录； 20.危险废弃物交接记录； 21.应急演练记录 22.安全环保检查记录

23.做好消防检查记录，及消防器具检查记录 24.做好安全防护产品的定期质量抽查；（如安全帽、绝缘鞋、安全带等）25.做好管理方案完成情况检查；

26.安监部门、上级机关检查发出的整改要求落实及检查情况； 27.动火申请与批准

28.与现场施工单位签订的安全环保 29.整改通知 30.事故台账 31.事故分析报告 32.职业病检查报告

33.每月安全会议记录；安监局环保局学习培训记录； 34.安监局、环保局来文登记；文件转发记录； 35.修订本全公司各岗位的职务说明书，明确各岗位任职要求，明确各岗位安全、环保职责； 36.收集保管各类特种作业人员资质；

37.制定培训计划，实施安全、环保、质量的培训，作好培训记录和考核记录；

38.核查新员工，落实新员工三级培训（公司、部门、班组、技能、质量意识、安全、环保）39.核查转岗员工，落实转岗位培训（技能、安全、环保）

40.员工的劳动合同(合同中明确劳动保护、薪酬待遇等，如果有职业病风险要告知)41.员工各类保险；

42.本安全、环保投入明细、总帐 43.本管理方案费用落实情况 44.党政工群

45.员工慰问活动、工会团委集体活动、公司员工大会、……

食堂（如有）

46.食堂员工的健康证； 47.食堂采购物资要索证，（米面油肉）

48.原料库房堆放离地离墙；要有日期先进先出； 49.冰箱冰柜完好不能有损坏；生熟分开存放； 50.菜板和菜刀要生熟分开；

51.要有厨师洗手消毒的专门水池，作到一洗二清三消毒； 52.菜品精加工和精加工要分工；也要作到一洗二清三消毒； 53.餐具消毒记录

54.油烟机要正常使用，下水道要有隔油池； 55.每天要有留样记录；

56.每天倒的剩菜饭和潲水处置要有记录 57.要有杀虫灭鼠记录

58.凉菜制作要有专门的房间，配有空调和单独的冰箱； 59.厨师要戴口罩帽子；

生产部：质量类：

1.与本部门有关的质量风险清单

2.目标实现情况统计分析表（含安全环保）3.受控文件清单及文件（含安全环保）3.设备清单 4.设备检修计划 5设备维修记录

6.生产计划或任务通知 7．生产工票 8．外委申请单

9.生产过程记录

10.顾客财产（毛坯、原材料）台帐 11．焊接过程记录

12．热处理过程记录（如有）13.库房标识 14.现场标识 15材料入库单 16．材料出库单 17．材料台帐

18现场要有图纸、工艺

19.现场消防器具（是否有效）

（安全环保类）

60.收集公司要执行的安全、环保文件及表格，（找综合管理部），61.本部门环境风险清单

62.本部门《环境因素识别与评价记录》 63.本部门《危险源识别与评价记录》 64.公司《重要环境因素》、《重大风险记录》（安全环保部下发）65.公司《环境管理方案》、《安全管理方案》，（安全环保部下发），落实与本部门相关的职责

66.危险化学品清单，危险化学品领用记录 67.危险化学品MSDS 68.库房现场的管理（安全标识、配置消防设备、应急救援物资、化学品库配防爆开关、防爆灯、配备排气通风装置、配置挡鼠板）

69.库房堆码不宜过高；转运车辆不能速度过快；危险化学品搬运不能撞击

70.气瓶堆放不能在露天，必须在房间或棚里，满瓶空瓶分区域并标识不能混放，满气瓶不能倒放，要有固定装置，71.重点：化学品管理、气瓶管理

72.配电房、柜、箱、器的安全检查记录；要有警示标识； 73.电工要有电工证；焊工要有焊工证； 74.检修维修方案中要有安全环保措施； 75.检修维修要有检修维修计划或通知、台帐 76.检修维修前的安全交底记录； 77.检修维修过程中的安全防护、劳保用品穿戴情况；（登高要有安全带、打磨要有防护眼镜和耳塞口罩、焊接要有防护眼镜和口罩，动电要穿绝缘鞋……）78.检修维修过程中的安全区域的划分，安全警示标识的设置； 79.检修维修过程中的动火、动焊申请 80.检修维修过程要把垃圾分类入垃圾箱； 81.检修维修后要有记录； 82.配气站员工必须配耳塞；

83.配气站要有安全操作规程，要有监控运行记录要有交接日记，； 84.配气站员工要有安全培训记录；

实施车间的安全、环保检查，做好检查记录 85.应急演练计划、方案、记录

86.化学品清单及相应的MSDS（安全技术说明书）

87.做好办公现场、库房的安全、环保标志，落实办公现场、库房的安全环保各项制度； 88.垃圾分类，危废回收做好记录；（含油废弃物、乳化液等）

89.办公现场、库房周边消防器具检查记录、安全通道检查、私拉乱拉电线检查、安全用电检查；

90.办公室、库房5S管理；

91.注意各车间生产过程中的安全防护、劳保用品穿戴情况；（登高要有安全带、打磨要有防护眼镜和耳塞口罩、焊接要有防护眼镜和口罩，油漆工要戴口罩、氨气操作要戴口罩、……）

92.生产过程中要注意环境要求，不能有跑、冒、滴、漏；地上不能有切削液、乳化液、润滑油等；垃圾分类存放；环保设施要正常使用，集尘器要有收集记录、油漆漆渣的收集；

93.安全操作规程上墙，严格按规程进行操作； 94.车间要有各类安全警示标识；要有安全逃生图

95.要画出安全逃生线路

96.车间消防器具前不能有物资堆放，器具要定期检查，状态良好

97.车间要有医药箱，配有简单的的药品，如创可贴、碘伏、消毒棉、防暑药品等）98.重点：热处理、油漆、喷丸打磨、配气站、重型机加、如有……

市场营销部（质量类）

1.与本部门有关的质量风险清单

2.目标实现情况统计分析表（含安全环保）3.受控文件清单及文件（含安全环保）4.招标文件评审记录（如有）

5.合同台帐及合同（与认证范围一致的产品）6.顾客要求评审表（与认证范围一致的产品）7.顾客信息沟通记录（与认证范围一致的产品）8.满意度调查表（与认证范围一致的产品）

9.顾客满意度情况分析报告（与认证范围一致的产品）10.产品发货单（与认证范围一致的产品）11.售后服务记录

（安全环保类）

99.收集公司要执行的安全、环保文件及表格，100.部门环境风险清单

101.识别本部门本《环境因素识别与评价记录》 102.识别本部门本《危险源识别与评价记录》 103.公司本《重要环境因素》、《重大风险记录》 104.公司本《环境管理方案》、《安全管理方案》，落实与本部门相关的职责 105.做好办公现场的安全、环保标志，落实办公现场的安全环保各项制度； 106.垃圾分类，危废回收做好记录；

107.办公现场周边消防器具检查、安全通道检查、私拉乱拉电线检查、安全用电检查； 108.办公室5S管理；

技术质量部（质量类）

1.部门目标及目标管理方案 2.部门目标及目标管理方案 3.部门质量风险

4..目标实现情况统计分析表

5.技术文件、产品标准清单及文件

6.设计开发全套资料****（注意在开发中加入环境和安全的要求）6.1 设计开发计划书 6.2 设计开发的输入清单 6.3设计开发的输出清单 6.4评审、验证、确认记录 6.5更改通知 7.收发文记录

8.监视和测量设备台帐、校准计划 9.监视和测量设备校准证书 10.进厂检查记录3月至今***** 11.机加工序检验记录 12.焊接工序检验记录 13.装配检验记录

14.水压检验记录（如果有）15.无损检验记录（如果有）16产品出厂前的检验记录 17试验报告 18..出厂报告

19.不合格品通知单 20.质量情况分析报告

（安全环保类）

109.收集公司要执行的安全、环保文件及表格 110.部门环境风险清单

111.识别本部门本《环境因素识别与评价记录》 112.识别本部门本《危险源识别与评价记录》 113.公司本《重要环境因素》、《重大风险记录》 114.公司本《环境管理方案》、《安全管理方案》，落实与本部门相关的职责 115.做好办公现场的安全、环保标志，落实办公现场的安全环保各项制度； 116.垃圾分类，危废回收做好记录；

内容认证篇3

当今我国的数字电视体系主要包括有线、卫星、地面三种类型, 其核心业务仍然是音视频节目内容的直播和点播。数字电视的内容是指直播或点播过程中, 在广播电视网络中分发的音频、视频以及业务数据等类型的数字信息。

从节目内容播出角度看, 我国数字电视可能存在的非法攻击包括:节目信号截断、节目内容替换、节目内容插播、节目内容重放等。节目信号截断是电视信号人为或者非人为被中断的状况, 用户收不到任何节目。节目内容替换或者节目内容插播是指将正常播出的节目内容替换为非法节目, 或者出于某种利益人为替换为非正常播出的节目, 这种情况的出现对节目的安全播出造成的影响较为严重。节目内容重放是重复播放以前的合法节目, 即使重放的是合法节目内容, 但也会对节目内容的安全播出造成一定影响。因此, 本文主要分析上述情况出现的原因, 并基于数字签名技术, 提出一种适合我国数字电视内容认证的技术方案。

1 我国数字电视内容安全现状

1.1 数字电视码流结构

目前, 我国在数字电视系统遵循的标准均为欧洲DVB标准。国内有线、卫星、地面这三类数字电视标准体系中, 虽然在信道编码方式、信道传输方式、传输网络结构以及运营支撑体系等有所不同, 但是在基带码流的数据封装结构定义上均采用MPEG-2标准系统部分 (ISO/IEC 13818-1) 。数字电视码流的分层封装结构如图1所示。

基带码流复用后为TS层数据封装, 通过进一步解析可以得到PES数据与SECTION数据。PES数据包括:视频ES、音频ES以及其他相关数据。SECTION可以分为PSI表与SI表。PSI表包含:PAT、PMT、EIT、CAT等4类表, 主要用于TS流解析或者条件访问之用。SI表包括:SDT、EIT、TDT、TOT、BAT、RST、SIT、DIT等表信息, 主要是针对数字电视运营系统业务需求设立的表数据。

1.2 CA系统现状

目前, 数字电视节目绝大部分是付费的, 运营商将更多的精力放在如何对付费频道的音视频节目ES以及相关数据进行保护, 通常采用的技术手段为信号加扰, 实际的商业系统为条件接收系统 (CAS) 。CA系统通过控制字 (CW) 对节目内容和相关信息进行加扰。CW与业务密钥一起通过加密运算形成ECM (授权控制信息) , 业务密钥又与用户密钥再通过加密运算形成EMM (授权管理信息) 。CA系统将ECM表和EMM表捆绑, 经过和其它PES数据与SECTION数据进行TS复用, 向终端接收系统进行分发。终端接收系统通过对ECM和EMM的解析, 完成节目内容的解扰。

CA前端系统的加扰方式主要有两种:TS层面的加扰与PES层面的加扰, 虽然加扰方法相同, 但这两种方式一般不同时使用。无论使用哪种加扰方式, 其主要目的是使运营系统在较长的一段时间内受到非法攻击或者系统被破解的可能性降到最低, 因此CA系统在一定程度上可以做到对节目内容的安全保护。

但是从我国数字电视实际运营情况看, DVB数字电视标准对条件接收信息的加密传送没有做出统一规定, 因而不同CA厂商可以采用不同的技术体系, 造成终端接收系统CA种类繁多, 不能进行统一。上述情况虽然可以看做目前CA系统的一个弊端, 但也不足以从根本上影响音视频节目内容的合法性和完整性。

1.3 数字电视内容安全问题

然而, 类似CA的安全系统或者加密系统其自身安全性总会受到一定的挑战。例如基于DVB标准的卫星加密节目传输链路中, 可以运用技术手段将解密信息CW破解, 并通过互联网络或者其他途径进行传播, 这样非法盗用者可以获取一定的商业利益, 同时用户可以较低的成本非法“盗看”节目, 通常将这种现象称为CW共享。面对上述情况, 运营系统往往只能通过对整个卫星电视系统进行升级或者修改密钥的方法来解决问题。但是情况一旦发生, 却不能进行立即监测, 并采取及时有效的措施, 这样会给运营厂商的经济利益带来影响, 同时对数字电视节目内容的安全产生极大威胁。

另一方面, 由于广电运营商出于自身考虑或者政策原因, 在有线数字电视节目直播过程中, 对某些节目内容采用清流方式进行内容分发, 即数字广播或者电视节目内容并未经过CW加扰处理, 直接向用户分发。从技术手段角度看, 只要保证非法攻击节目的相关表、节目号、节目PID等信息与原清流节目保持一致, 就可以对原清流节目进行内容替换或者内容插播, 运营系统很难在整个内容分发网络中发现哪一个节点出现内容插播或者内容替换情况, 甚至根本不能察觉有内容攻击现象的发生。因此, 基于上述原因广播电视内容的安全性确实存在一定技术安全隐患。

针对上述数字电视内容存在的安全问题, 本文提出一种基于数字签名技术的内容认证技术方案, 可以有效监测内容替换、内容插播、内容重放以及信号截断等非法攻击行为, 为数字电视节目的安全播出提供一种技术保障。

2 数字签名技术

2.1 数字签名概念

数字签名在ISO7498-2标准中定义为:“附加在数据单元上的一些数据, 或是对数据单元所作的密码变换, 这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性, 并保护数据, 防止被人 (例如接收者) 进行伪造”。美国电子签名标准 (DSS, FIPS186-2) 对数字签名作了如下解释:“利用一套规则和一个参数对数据计算所得的结果, 用此结果能够确认签名者的身份和数据的完整性”。按上述定义PKI (Public Key Infrastruction, 公钥基础设施) 可以提供数据单元的密码变换, 并能使接收者判断数据来源及对数据进行验证。

2.2 基于数字签名的攻击检测

采用数字签名抵抗非法攻击或者恶意攻击的过程如图2所示。一套数字签名系统通常定义两种互补的运算, 一个用于签名生成, 另一个用于签名验证。前者一般存在于前端系统, 后者存在于用户终端系统。前端系统对原始消息计算签名码, 并将签名码附着在原始消息后进行认证过程的后续处理。如果原始消息在分发网络中被非法恶意篡改, 则在终端端得到消息及附加的数字签名后, 通过数字签名验证算法的计算, 可立即检测出该消息是否被篡改, 从而可以进行攻击检测。

2.3 数字签名算法

目前, 应用较多的数字签名算法为RSA1024, 它的安全性基于大数分解的难度, 公开密钥和私有密钥是一对大素数的函数, 从一个公开密钥和密文恢复出明文的难度等价于分解两个大素数之积。另一方面, 国际上诸多的商业系统也会采用ECC (Elliptic Curves Cryptography, 椭圆曲线密码) 算法, 它的安全性基于椭圆曲线离散对数问题 (ECDLP) 的难解性。从理论分析和应用需求角度看, ECC算法的安全强度要高于RSA算法, 同时密钥长度更短, 系统实现更容易。2010年末, 基于椭圆曲线理论我国密码管理局提出了SM2算法, 并制定国家标准, 因此SM2算法即将成为我国信息安全领域的首选算法。

无论采用何种算法, 数字签名运算过程首先都要对待签名的原始消息进行摘要计算 (摘要算法一般为SHA、MD5等) , 然后对该摘要进行私钥签名, 验证签名使用的是公钥。由此看来, 签名系统需要包含密钥管理系统, 来完成非对称密钥的产生、撤销、更新、销毁等功能, 并且可以认为密钥管理系统是认证系统较为重要的部分。数字签名生成过程如图3所示。

数字签名验证过程如图4所示, 待验证消息指用户终端收到的消息, 包括原始消息 (也有可能为篡改后的消息) 和签名码, 数据整理需要将消息与签名码解析出来, 对消息作摘要计算 (摘要算法与前端系统相同) , 再将摘要和签名码发送给签名验证算法计算部分, 最后得到验证结果, 实现攻击检测。

本文基于数字签名技术, 将其应用到有关的数字电视内容认证系统中。下面给出一种适合我国数字电视内容认证的技术方案。

3 数字电视内容认证技术方案

3.1 技术方案系统需求

从系统结构上考虑, 本文提出的认证方案, 其系统实现分为前端系统和终端系统。前端负责签名的产生, 主要功能为生成认证信息;终端负责签名的验证, 主要功能为验证认证信息, 完成对数字电视内容真实性、合法性与完整性的认证。

从实际运营角度考虑, 依照数字电视基带码流的分层封装结构特点, 认证信息需要进行TS复用, 要求认证信息的数据量、以及对原有节目内容带宽影响尽可能做到最小;同时内容认证前端系统接口简单明确, 对现有数字电视运营平台的前端系统改动做到最小, 甚至不做系统改动;又要求认证终端系统可以进行模块化设计, 尽量对现有用户终端系统做较少的升级换代。

3.2 安全认证前端

数字电视内容认证系统前端如图5所示。深色方框内为认证系统前端模型, 可以看作一类通用模型, 适合多种应用环境和系统实现要求。数字电视内容认证系统的技术核心是数字签名算法。认证信息的产生与验证, 其关键技术除了数字签名外, 还要应用到PKI (Public Key Infrastucture, 公钥基础设施) 技术体系, 其中包括证书管理、密钥管理等。此外考虑到认证系统的完整性与自身安全性, 还需要有用户管理和界面管理部分, 可以方便系统管理员对认证系统各个模块及相关参数进行设置, 保证认证系统工作的正常稳定。

前端模型中的封装解析部分, 主要是对音视频节目TS流进行解析, 得到待签名消息, 本方案主要针对MPEG-2音视频内容的PES封装数据进行摘要运算, 利用密钥管理系统产生的私钥进行数字签名计算, 得到签名码;对计算出的签名码字, 连同密签名密钥对中的公钥一起, 按照一定的证书格式进行封装数字证书封装;再根据TS包封装结构要求, 对上述一系列证书进行TS打包, 形成签名流。这样的签名流, 与原电视节目的内容流一起, 通过运营商的复用设备完成与原节目流的复用, 经调制即可进行分发。

可以注意到, 本文技术方案中待签名消息为音视频内容的PES数据, 而不是TS数据。这是因为对PES数据进行数字签名处理, 可以有效监测某一路节目中内容替换、节目内容篡改等攻击行为。对TS签名虽然可以知道有攻击行为出现, 但是无法明确是哪一路节目受到了攻击。

其中一个问题是:签名前端系统可以对多路PES进行签名, 得到多路节目的签名码字或者证书数据, 最后仅形成单路签名流, 在认证系统终端设备中, 如何对签名码与待认证的节目内容进行索引。一种解决方法是, 可以在证书结构中定义索引信息, 这些信息主要包含待签名节目内容的节目PID、节目号以及音视频内容PES包中的PTS信息等。

另外一个问题是:对于重放攻击, 若只采用上述方案, 是无法检测到的, 因为重放内容和内容签名都是合法且匹配的。一种解决方法是, 可以在前端系统中对签名计算的当前系统时间进行签名, 形成时间戳;在终端系统中, 对时间签名进行验证, 并且比对前端与终端的时间, 若超过一定的间隔或者时间设定阈值, 即可认为有重放攻击行为的出现。

认证系统前端的实现方式可以采用工控机/服务器方式, 也可以采用专用的认证前端设备。无论采用何种实现方式, 认证前端与实际数字电视运营系统的接口只能为:基带码流接收和基带码流发送, 码流接收用于采集运营系统前端的原始节目流, 码流发送用于向运营系统前端复用设备发送签名流。这样的结构可以做到并行独立于运营系统的认证设备部署, 因此可以做到系统接口简单, 无论从硬件设备还是从码流封装结构上看, 对原有运营系统的改动做到最少。

3.3 安全认证终端

认证终端设备的实现方式比较灵活, 可以根据具体的系统需求进行设计, 但是设计思路基本一致, 主要利用数字签名的验证算法, 完成对数字电视音视频内容的真实性、合法性、完整性验证 (图6) 。

系统不可或缺的模块包括:码流接入、码流解析、数字签名验证计算以及验证信息回传。其中, 码流解析与认证前端一样, 需要进行TS到PES的解析, 包含对签名数据及与认证有关信息的解析, 根据特定的证书格式得到签名码字和公钥;而后进行数字签名的验证, 得到认证结果;认证结果信息回传的方式可以灵活选择, 如在有线电视网络双向改造后, 可以选择有线网络的回传信道。从实际效果看, 认证终端与实际的用户终端物理接口只有基带码流接入。从而可以保证对现有用户终端系统改动较小, 如在实际网络中使用分配器, 可以不对现有用户终端做出改动。

4 总结

本文提出的内容安全认证技术方案, 通过原型系统的研发测试, 以及在实际运营环境的实验验证, 证明其可以有效监测数字电视节目信号截断、节目内容替换、节目内容插播、节目内容重放等非法攻击行为。

但是按照数字电视运营支撑平台的系统需求, 本技术方案需要做进一步的技术研究工作, 才能做到认证系统自身的完善性与安全性。其主要研究方向包括:SM2算法实现技术研究、适合我国数字电视内容安全的认证信息技术研究 (包括证书结构、证书管理、证书安全等) 、非对称密钥管理系统实现方案研究、内容认证系统通用模型研究、内容认证系统测试方案研究等。

参考文献

[1]GB/T17975.1-2000.运动图像及其伴音信息的通用编码[S].

[2]钟玉琢.MPEG-2运动图像压缩编码国际标准及MPEG的新进展[M].北京:清华大学出版社.

[3]李建华.公钥基础设施 (PKI) 理论及应用[M].北京:机械工业出版社.

[4]ISO 7498-2-1989.Information processing systems;OpenSystems Interconnection;basis reference model;Part 2:Security architecture[S].