本文提出的雙向DTV DRM安全解決方案結合PKI非對稱密碼體系，建立了多層密鑰體系。

　　密鑰體系的最上面兩層是設備公私鑰對和用戶密鑰。對于諸如機頂盒的終端設備，在初始化時生成公私鑰對，私鑰在終端安全存儲，公鑰通過安全通道送到前端CA中心申請終端證書，這樣服務端就維護著終端的設備公鑰或證書。在為用戶分發智能卡時需要初始化智能卡，并在智能卡內寫入用戶密鑰或域密鑰，并且服務端也維護用戶密鑰/域密鑰和智能卡的對應關系。

　　對于直接加密內容的密鑰，根據內容類型的不同，采用不同的密鑰體系：

　　當數據內容是TS流或流文件時，密鑰方案采用類CAS的實時加擾的密鑰體系：首先使用控制字(CW)加擾內容，再使用業務密鑰(SK)加密傳輸CW，加密的CW和節目控制數據被封裝在ECM中，隨內容數據一起廣播。業務密鑰被用戶密鑰(PK)/域密鑰(DK)加密，可以封裝在EMM中廣播下發，或者通過雙向IP信道端對端下發，如圖3所示。

　　圖3 流媒體的密鑰體系

　　對于非TS流數據，如圖像、動畫數據等，本方案采用對稱密鑰加密的密鑰體系，使用內容加密密鑰(CEK)直接加密內容數據，內容加密密鑰被封裝在權限對象中使用用戶密鑰(PK)/域密鑰(DK)加密，通過雙向IP通道端對端下發，如圖4所示。

　　圖4 非流媒體的密鑰體系

　　數據封裝

　　本方案針對不同的內容類型，采用不同的數據加密及封裝方式。對于TS流媒體內容，逐個TS報文加密，并只加密TS報文負荷的184字節，并且直接與其它TS流復用進行廣播分發;對于非TS流文件(如動畫、圖片內容)，應連續加密，打包成TS流循環廣播。