机载娱乐系统媒体内容安全装载研究摘要：机载娱乐系统中媒体的丰富程度直接影响乘客飞行体验。

在提高乘客满意度的同时，媒体内容版权的安全性也非常重要。

本文通过分析媒体内容从订购到装载全过程中所涉及到的关键安全因素，在提高机载娱乐系统媒体内容加载安全性方面给出了建议。

关键词：民用飞机机载娱乐系统媒体内容安全媒体装载由于航空运输市场激烈的竞争，为更好的提高乘客的飞行体验，航空公司越来越重视机载娱乐（In-flight entertainment，IFE）系统。

IFE内容的丰富性及更新的及时性，决定了乘客使用机载娱乐系统的满意度。

因此，航空公司需要频繁的更新媒体内容，以便赢得更高的乘客满意度，提高自身的竞争力。

但是由于媒体内容存在版权限制和知识产权的保护，因此从媒体内容的产生、中途传输到飞机装载的全过程，都需要确保其安全性，防止对其进行未授权的访问。

本文对机载娱乐系统内容流转全过程中的安全性问题进行了研究，针对个别环节中存在的安全隐患提出了建议，这对于提高媒体内容的传输安全具有积极意义。

1 机载娱乐系统媒体安全装载过程本文所述的机载娱乐系统媒体安全装载是一个复杂的过程。

该过程是指从生成安全内容（安全内容是指经过加密的媒体文件）到完成对机载设备的内容装载。

整个过程包括媒体内容加密、密钥管理及授权访问等不同阶段。

图1为机载娱乐系统内容安全装载过程示意图。

全过程可分为9个步骤。

第1步：航空公司向内容提供商发出订单，购买其指定的媒体内容。

第2步：内容提供商将所需的媒体内容发送给后处理试验室（postproduction laboratory，PPL），对内容进行修改、加密处理后，生成相应的安全内容。

第3步：PPL将生成的安全音视频内容存储在安全内容库中，其具体形式是网络文档服务器。

第4步：将PPL生成的安全内容和内容提供商所获的订单信息共同提供给密钥管理系统（Key Management System, KMS）。

第5步：内容提供商和PPL对密钥管理系统授权，让其负责密钥的发放。

第6步：机载娱乐内容集成试验室（IFE Integration Lab）获得安全内容和密钥，将其集成在根据航空公司客户化需求的图形用户界面中（Graphic User Interface，GUI）。

第7步：IFE集成试验室将其所集成的内容提供到航空公司的数据加载设备中。

第8步：航空公司利用数据加载设备将安全内容装载到机载娱乐系统服务器或者航空公司便携式播放终端中。

第9步：根据航空公司的需要可以将机载娱乐系统服务器或便携式播放终端中关于乘客使用情况的统计数据发送回数据加载设备中，以便航空公司后期对其进行分析。

分析机载娱乐系统内容安全装载过程，可知整个过程中涉及到三种信息流的交互。

分别是安全内容的发放、订单信息的流转以及密钥信息的分发。

从图2可以看出，实线表示安全内容的发放，虚线表示订单信息的流转，点线表示密钥信息的分发。

对于实线表示的安全内容，其产生有三种方式。

第一，航空公司订购的媒体内容不在安全内容库中，内容提供商找到相应的媒体资源，将其交给PPL进行数据编码、加密生成安全内容文件，将其存储在安全内容库中。

第二，安全内容库中可以找到航空公司所订购的媒体资源，则可直接利用。

第三，安全内容库中的内容需要进过修改才能利用时，PPL对其解密、修改，满足航空公司的需求后，再次进行编码和加密，生成所需的安全内容。

虚线所示的订单流转是依靠内容提供商的订单管理系统（Order Management System，OMS）进行的。

航空公司的订单中包含被加载的飞机信息及被加载设备的数字版权信息等。

这些信息对安全内容的发放和密钥的分发非常重要。

因此KMS和IFE内容集成试验室通过OMS对订单进行索引，以便于KMS对订单流程和订单信息进行跟踪。

点线所示的密钥信息的分发是依靠KMS进行的。

KMS给航空公司提供密钥。

根据包含在航空公司订单中的被加载设备的数字版权信息，KMS产生密钥分发消息（Key Delivery Message，KDM）。

因此KDM和被加载设备的相关性增加了装载内容的安全性。

因为KDM 也是加密保护的，可以使用安全性不高的方法来传输KDM，例如FTP 等。

2 密钥管理系统密钥管理系统的基本功能是确保安全内容只能被已授权的安全播放设备访问，同时确保在整个媒体安全装载过程中所使用的密钥都是可信的。

为实现其功能，密钥管理系统至少需要支持以下两种操作。

第一，KMS需要注册可信任的设备。

第二，产生密钥分发消息。

密钥管理系统对安全设备进行注册。

这些设备包括安全内容管理设备和安全播放设备。

安全设备的数字证书、拥有者以及设备的地点信息都将被注册。

安全设备的拥有者是指内容提供商、PPL、IFE内容集成试验室、航空公司或者具体某架飞机。

具体的注册操作如下：第一，安全设备要和2048位（bit）的RSA公私密钥对相关联；第二，KMS必须从可信信源处收到数字证书后方可将其注册；第三，KMS 通过可信方法提供数字证书给相关的操作者（如内容提供商，PPL，IFE内容集成试验室或者航空公司）以及相应的地点。

在目前的娱乐系统中，一个数字证书可对应多个安全设备，并且所对应的安全设备数量也不是固定的。

这可能存在安全隐患，因此本文提出一个数字证书应只对应唯一的安全设备，这样私有密钥便不会泄漏到该安全设备之外。

但是由于目前的机载娱乐系统中，采用共享密钥的安全设备数量多，如果完全采用本文提倡的一对一的高安全性方法，则需要对目前的设备进行更新，这可能会产生大量花费。

因此，希望在将来的机载娱乐系统中可采用本文所建议的方法。

密钥管理系统为安全内容库中的安全内容提供KDM，并将KDM 传递给相应的安全设备，最终完成订单。

KDM中要包括KDM的身份识别信息（ID），播放窗口时间以及高级加密规范（Advanced Encryption Specification，AES）内容密钥[2]。

KDM可以被多个安全内容文件索引。

3 IFE媒体内容集成在PPL完成安全内容的制作，将其放入安全内容库后，IFE内容集成试验室则需要将此安全内容进行集成，以便对机载娱乐系统进行装载，完成航空公司更新媒体的需求。

IFE内容集成试验室为航空提供更新存在以下两种情况：第一，PPL产生的安全内容直接符合机载娱乐系统播放要求时，IFE内容集成试验室完成KDM和安全内容的集成；第二，当某些机载娱乐设备对播放格式具有特殊要求，PPL产生的安全内容不能直接在机载娱乐系统中播放时，IFE内容集成试验室需使用KDM对安全内容进行解密，之后重新编码和再加密。

新生成的安全内容将拥有新的ID。

IFE内容集成试验室需向KMS申请新的KDM。

获取新KDM后完成安全内容和KDM的集成。

4 新换设备更新KDM当航空公司新增安全播放设备，或者由于安全播放设备的失效而进行更新后，需要为这些设备更新KDM，以便使其正常访问安全内容。

KDM的更新存在以下两种情况：第一，当原设备和新换设备共享私有密钥时，则使用原来的KDM即可;第二，当原设备和新设备分别拥有不同的私有密钥时，则必须要对KDM进行更新。

目前的机载娱乐系统是通过密钥托管程序将新的KDM传递给安全播放设备的。

但机载娱乐系统正朝着空地宽带实时通信的方向发展。

因此本文提出，在空地宽带实时通信普及后，可以利用该通信链路，实现安全播放设备和密钥管理系统之间的通信，使KDM的更新更加便捷。

5 安全内容所有的安全内容文件都是用AES-128密码进行加密[3]。

AES-128密钥使用密码段链接（cipher-block chaining，CBC）模式。

为了支持节目频道的选择和丢失数据的恢复，要求CBC链在接到指令后0.5秒内启动，以便将数据解密成视频流。

安全密钥的传递是通过使用系数2048位的RSA算法来实现的。

该算法可用来在安全密钥的传递中确定被授权设备及日志信息保存的完整性。

安全内容文件中应包含统一身份标识（Universally Unique Identifier，UUID）[4]或者视听数码国际标准（International StandardAudiovisual Number，ISAN）内容标识[5]。

这些标识符是和相应的KDM关联的。

为了能够重复利用安全内容文件，其中不应包含和订单相关的安全信息。

而和订单相关的数字版权信息，应该通过订单管理系统将其传递给KMS。

KMS将该信息包含在KDM中，并通过安全内容的UUID来索引相关安全内容。

6 媒体安全装载的可靠性考虑到安全设备可能从被授权的地点带到未被授权或者可能存在安全隐患的使用地点。

如航空公司的便携式播放设备会发放给乘客使用，这样就存在安全内容泄漏的可能性。

因此，机载娱乐系统设备生产商应提供可靠的设备确保安全内容不被泄漏。

为提高安全装载的可靠性，本文给出如下建议：第一，对于固定安装在飞机上的机载娱乐设备，机载环境具有较高的安全性，因此对于这种设备可以使用软件密钥而非硬件密钥;第二，对于非固定安装在飞机上的设备，建议使用硬件密钥。

该设备应具有如下功能：存储密钥的部件不能有直接被接触的可能性；设备应具有强行接触保护，即如果存储密钥的部件被强行接触，那么该部件必须损坏或者表现出明显的被破坏过的迹象；用于存储和处理关键参数的硬件电路应设计成不接受任何输出命令，即关键参数不可导出；第三，机载娱乐设备应根据自身的内部时钟来执行相关功能。

对于内部时钟的调整，本文建议最大限度是一年内可以调整10分钟。

其他任何来自外部的时钟调整都被认为是无效操作。

7 结语本文详细讨论了机载娱乐系统媒体安全装载的全过程，并就其中的关键问题，包括密钥管理系统、IFE内容集成、更新KDM、安全内容及装载的可靠性进行了分析。

在数字证书共享方面，本文提出采用一对一的方法以提高安全性。

在为新换设备更新KDM方面，本文结合机载娱乐系统的发展趋势提出了新的更新方法。

最后，针对机载娱乐设备，本文给出提高安全内容装载可靠性的几点建议。

总之，在航空公司越来越注重机载娱乐系统内容丰富性的同时，也不能忽视媒体内容的知识产权和装载过程中的安全性。

参考文献[1] R. Rivest, A. Shamir, and L. Adleman. A method for obtaining digital signatures and public-key cryptosystems [J].Communications of the ACM,1978, 21(2):120-126.[2] Society of Motion Picture and Television Engineers (SMPTE).SMPTE Standard 430.2 D-Cinema Operations–Digital Certificate[EB/OL].2006. .[3] Federal Information Processing Standards Publications (FIPS Publication). Specification for the Advanced Encryption Standard (AES) [EB/OL].26 November 2001. .[4] P. Leach, M. Mealling, R. Salz. A Universally Unique IDentifier (UUID) URN Namespace [EB/OL]. July 2005. .[5] ISO Standard. ISO 15706:2002, Information and Documentation - International Standard Audiovisual Number (ISAN) [S]. November 2002.。