本文由《广播与电视技术》杂志独家授权。本文刊发于2019年第9期。
王磊(国家广播电视总局广播电视科学研究院)
潘晓菲 (中央广播电视总台)
【摘 要】
近年来,媒体融合、超高清、5G、商用密码等国家战略持续推进,加速广播电视行业全面转型升级。按照国家在商用密码、超高清等领域的战略部署,为保障新形势下广播电视内容版权,2019年7月,国家广播电视总局正式批准GY/T 277-2019《视音频内容分发数字版权管理技术规范》为中华人民共和国广播电视推荐性行业标准。本文对本标准适用范围、应用场景、体系架构、关键技术进行解读。
【关键词】
数字版权管理,超高清,商用密码
0 引言
近年来,媒体融合、超高清、5G、商用密码等国家战略持续推进,加速广播电视行业全面转型升级。在国家战略部署方面,按照国家在商用密码、超高清等领域的战略部署,一方面要求在数字版权保护等广播电视重要领域推进商用密码应用部署;另一方面要求数字版权保护技术与标准体系应能够支持广播电视高清、超高清编码格式等自主编码标准。在行业转型升级需求方面,广播电视制播和服务平台云化、传输覆盖网络宽带化、以及终端智能化的发展,数字电视、IP电视、互联网电视、互联网视频、手机电视等从内容编码格式、传输方式到终端播放的端到端体系升级对数字版权管理技术应用与系统部署提出了新的需求。
在当前广播电视行业端到端转型升级的形势下,有必要按照国家相关战略部署要求,研究广播电视和网络视听等视音频内容数字版权管理新需求,构建新的端到端视音频内容数字版权管理技术标准体系,对GY/T 277-2014《互联网电视数字版权管理技术规范》等行业标准进行修订完善,适应当前广播电视和网络视听IP化、云化发展需要,构建新的端到端视音频内容数字版权管理技术标准体系,引导和规范数字版权管理体系的产业化部署,满足超高清内容在数字电视、IP电视、互联网电视、互联网视频等业务场景下的端到端版权保护要求,为广播电视行业转型升级提供基础支撑,保障广播电视和网络视听产业的健康发展。
为此,国家广播电视总局科技司组织国家广播电视总局广播电视科学研究院、中央广播电视总台、深圳市海思半导体有限公司等21家广播电视行业产学研用相关机构研究当前新的需求,对GY/T 277-2014《互联网电视数字版权管理技术规范》进行了修订,将标准从适用于互联网电视扩大到适用于数字电视、IPTV、互联网电视等的版权管理;参考了GY/T 257.1-2012《广播电视先进音视频编解码 第1部分:视频》、GY/T 299.1-2016《高效音视频编码 第1部分:视频》、GB/T 17964-2008《信息安全技术 分组密码算法的工作模式》、GB/T 32905-2016《信息安全技术 SM3密码杂凑算法》、GB/T 32097-2016《信息安全技术 SM4分组密码算法》、GB/T 32918.1-2016《信息安全技术 SM2椭圆曲线公钥密钥算法 第1部分:总则》、GB/T 32918.2-2016《信息安全技术 SM2椭圆曲线公钥密钥算法 第2部分:数字签名算法》、GB/T 32918.4-2016《信息安全技术 SM2椭圆曲线公钥密钥算法 第4部分:公钥加密算法》、GB/T 32918.5-2016《信息安全技术 SM2椭圆曲线公钥密钥算法 第5部分:参数定义》、GB/T 36322-2018《信息安全技术 密码设备应用接口规范》、GB/T 20518-2018《信息安全技术 公钥基础设施 数字证书格式》等相关文件,形成了GY/T 277-2019《视音频内容分发数字版权管理技术规范》。
1 视音频内容分发数字版权管理技术规范特点
面向当前4K超高清、商用密码等国家战略要求,以及近年来GY/T 277-2014《互联网电视数字版权管理技术规范》实施过程中发现的新情况,《视音频内容分发数字版权管理技术规范》在GY/T 277-2014核心技术基础上进行了修订,新的标准包括体系架构、内容加密、许可证格式、许可证获取协议、DRM服务端、DRM客户端等几个核心部分,并在附录中明确了数字证书格式、在线证书验证协议、证书撤销列表、DRM客户端功能接口和DRM客户端运行环境接口,新标准的主要特点如下。
1. 面向数字电视和IPTV的直播内容版权保护需求,制定了相应的内容加密方法和内容授权机制
在内容加密方法方面,规定了对视频帧的编码数据加密,视频封装信息不加密,由此可实现与现有数字电视直播流程的全面适配,也可支持融合媒体应用时封装转换的需求;同时,在每个加密的视频帧的扩展数据中增加内容加密信息(CEI,Content Encryption Information),CEI数据中包括当前内容加密密钥标识、下一内容加密密钥标识、以及初始向量,实现了对直播加密密钥更新需求的支持。
在内容授权机制方面,客户端在播放直播加密内容时,可根据CEI数据中的当前和下一密钥标识以及本地存储的内容加密密钥数据判断是否需要向服务端申请新的内容授权许可证。同时,内容授权许可证格式支持将直播频道的多个内容加密密钥封装在同一个许可证中发送到客户端,在部署时可根据实际运营情况设置直播密钥更新频率和内容授权许可证中直播内容加密密钥数量,降低直播密钥更新引入的许可证申请并发。这种方式特别适合广播形式下直播内容的授权下发,可通过灵活设置更新频度、错峰授权等方式,有效避免热门节目直播时授权用户数激增可能造成的服务器瘫痪隐患。
在内容授权许可证获取方面,在数字电视传输流的PMT表中增加了ChinaDRM描述子,描述视音频加密方法、视音频原始编码格式、以及许可证获取URL、内容唯一标识等信息,以支持客户端通过该描述子获得加密授权基本信息。
2. 为解决当前数字电视直播分发两级条件接收系统的问题,增加了密钥网关逻辑功能模块,打通内容提供方与节目分发网络之间授权管理系统的互联互通,为DRM加密保护的广播节目在有线电视网络等的实际部署应用提供了技术解决方案
对体系架构进行了升级,增加了密钥网关逻辑功能。密钥网关负责接收内容加密密钥,并提供用DRM客户端公钥加密保护的内容加密密钥给内容授权系统,内容授权系统将加密保护的内容加密密钥与密钥的使用规则封装成内容授权许可证提供给客户端。由此,基于密钥网关管理内容加密密钥、内容授权系统管理授权的逻辑机制,在实际实施过程中通过密钥网关的灵活部署可解决当前数字电视直播分发两级条件接收系统的弊端,实现直播节目多级分发的一次加密、灵活授权。如在各网络运营商部署密钥网关,由电视台进行直播节目的加密,并将直播加密密钥同步到运营商侧的密钥网关,运营商内容授权系统从密钥网关为客户端申请内容加密密钥,密钥网关将内容加密密钥用DRM客户端公钥加密返回给内容授权系统,内容授权系统将DRM客户端公钥加密保护的内容加密密钥与运营商设定的授权规则封装成内容授权许可证发送给DRM客户端,DRM客户端根据运营商设置的授权规则用其私钥解密内容加密密钥,并用解密出的内容加密密钥解密和播放内容。示例见图1。
本标准明确了密钥网关的密钥同步和密钥查询接口协议,确保了密钥网关实际部署时的标准化和互操作。实际部署时,可在电视台部署密钥网关,各有线电视等直播服务提供商可连接电视台部署的密钥网关为其用户请求内容密钥;也可在各有线电视等直播服务提供商部署密钥网关,各电视台将直播内容密钥同步到各服务提供商的密钥网关;未来也可以通过在第三方平台部署密钥网关的方式,为各电视台、各直播服务提供商提供统一的密钥同步和密钥查询服务;目前已对多家厂商的密钥网关产品进行了产品级的部署测试,具备了实际部署的产业化实施条件。
3. 实现了对我国自主视音频编码标准AVS 、AVS2等的支持,统一了AVS 、AVS2、H.264、H.265等编码格式内容的加密方法
在内容加密方面,删除了目前已不再使用的PDCF格式,通过对编码视音频内容基本码流进行加密的方法,实现了AVS 、AVS2、H.264、H.265等编码格式视频内容加密的统一。对编码视音频基本码流进行加密的方法不影响视音频内容封装格式的转换,一次加密可适配不同的内容封装格式,同时兼顾广播方式直播和流媒体方式直播/点播。目前,多家技术提供商研发了支持直播加密、点播加密的内容加密产品,并进行了产品级的部署测试。
4. 标准化DRM服务端各功能模块之间的接口协议、DRM客户端接口API,改变传统内容保护机制私有、封闭、替换难的状况,支持DRM端到端产品的水平化发展,实现端到端功能模块和组件的灵活升级和替换,为构建健康有序的竞争业态提供技术支撑
在DRM服务端部分,标准化了DRM服务端密钥同步、密钥查询接口,推进内容加密、密钥网关、内容授权等DRM服务端各系统产业化过程中的水平化,有利于视音频内容分发数字版权管理系统产品标准化、可替换,实现系统快速部署。
在DRM客户端部分,将DRM客户端分为DRM客户端功能模块和DRM客户端运行环境,标准化了DRM客户端功能接口、DRM客户端运行环境接口,不论是软件安全级别还是硬件安全级别的DRM客户端运行环境,确保DRM客户端功能模块和DRM客户端功能接口的一致性,有效支持DRM客户端各部分独立开发、独立升级,降低DRM客户端集成适配难度。在DRM客户端的产业化部署方面,基于标准规定的DRM客户端功能接口和DRM客户端运行环境接口,ChinaDRM客户端联合开发工作组已完成了统一DRM客户端SDK的研发和部署测试,为DRM客户端的产业化集成部署提供免费许可的DRM客户端SDK,从而降低DRM客户端集成部署难度,将产业界的工作重心转移到提高DRM客户端运行环境安全方面,支撑产业界通过市场竞争进一步提升DRM客户端的安全。
2 视音频内容分发数字版权管理关键技术
2.1 体系架构
视音频内容分发数字版权管理技术体系基于密码技术、PKI技术、授权技术等构建。视音频内容数字分发数字版权管理系统从逻辑上分为DRM服务端和DRM客户端两个部分,如图2所示。DRM服务端系统包括内容加密、密钥管理、密钥网关和内容授权等核心模块。
内容加密模块采用内容加密密钥(CEK)对视音频内容进行加密保护;密钥管理模块负责管理内容加密密钥并负责将该密钥同步给密钥网关;密钥网关模块在接收同步的密钥之后对内容加密密钥进行保密存储,并接收内容授权模块的密钥查询;内容授权模块接收DRM客户端的请求将包含有内容加密密钥和密钥使用规则的许可证安全的发送到合法的DRM客户端。DRM客户端接收到许可证后,按照密钥使用规则合理的解密内容加密密钥,并用内容加密密钥解密内容进行播放。DRM服务端各模块、DRM客户端等基于PKI技术建立信任关系,基于此信任关系进行彼此之间的安全通信。
2.2 内容加密机制
1. 内容封装格式无关的内容加密方法
内容封装格式无关的内容加密方法是视频内容基本码流进行加密,在基本码流的扩展数据中增加内容加密信息CEI用来指明随后的视频是如何被加密的。CEI中包括加密标识符、当前内容加密密钥标识符、下一个内容加密密钥标识符以及当前内容加密密钥对应的初始向量等。在下一个CEI出现之前,所有的视频数据采用当前密钥按照规定的方式进行加密,每个视频帧中需要加密的数据均采用当前CEI中的初始向量。
以广播电视先进音视频编解码、高效音视频编解码内容加密封装为例,在其extension_and_user_data(0)中增加内容加密扩展,在内容加密扩展中包含内容加密信息CEI_DATA,采用CEI_DATA中规定的当前密钥对条块数据进行加密。在对条块数据加密时,仅对其slice data部分加密,对第一个slice_start_code()不加密,确保内容加密不影响封装格式的转换,内容加密封装示意图如图3所示。
2. 通用加密格式CENC
通用加密格式CENC是基于ISO 14496-12:2015的一种加密格式,CENC具体规定见ISO 23001-7:2016。本标准仅对CENC加密算法和加密算法规定等了扩展,其余部分仍沿用CENC关于内容加密的规定。
在ProtectionSystemSpecificHeaderBox (‘PSSH’)中,将16字节长度的SystemID的设置为“3d5e6d35-9b9a-41e8-b843-dd3c6e72c42c”,在Data部分,包含获取许可证的URL;对TrackEncryptionBox (‘tenc’)中的default_IsEncypted或SampleGroupDescriptionBox (‘sgpd’)中的IsEncypted的设置增加对加密算法SM4-CBC的支持,采用SM4_CBC加密时,保护模式信息盒(‘sinf’)中的模式类型盒(‘schm’)中的模式类型scheme_type=‘sm4c’;采用SAMPLE-SM4加密时,保护模式信息盒(‘sinf’)中的模式类型盒(‘schm’)中的模式类型 scheme_type=‘sm4s’。
2.3 内容授权机制
视音频内容分发数字版权管理系统基于层级密钥与密钥使用规则关联的机制实现内容的许可授权。逻辑上,密钥按照其加密保护的顺序可分为多个层级,加密当前密钥的密钥称为上级密钥。每一层级的密钥都有对应的密钥使用规则,当前密钥只能在上级密钥使用规则规定的条件下进行解密;每一个密钥又可能有多个密钥使用规则,密钥只能在满足其所有使用规则的前提下才能够被使用,密钥与密钥使用规则关联的机制如图4所示。
基于此内容授权机制,视音频内容分发数字版权管理系统中可能包含多种类型的密钥,如内容加密密钥、设备密钥、会话密钥、消息验证码密钥:
1. 内容加密密钥
内容加密密钥是加密数字媒体内容的密钥;一个内容可能有多个内容加密密钥。内容加密密钥的密钥使用规则包括:起始时间、截止时间、时间段、次数、累计时间段、输出规则、客户端安全等级要求等。
2. 会话密钥
会话密钥是客户端申请许可证时生成的临时密钥,该密钥用于加密保护内容加密密钥。
3. 消息验证码密钥
消息验证码密钥是生成用于保护许可证完整性的消息验证码的临时密钥。
4. 设备密钥
设备密钥指的是DRM客户端的密钥对,设备密钥应为非对称密钥,采用设备公钥加密的数据只有DRM客户端能够解密。
DRM服务端采用内容加密密钥加密数字媒体内容,将内容加密密钥和其它与内容相关的密钥(如会话密钥、消息验证码密钥等)采用层级密钥加密的方法加密后与各密钥对应的密钥使用规则一起打包成内容授权许可证发送给DRM客户端,DRM客户端按照层级密钥体系中各级密钥的使用规则使用密钥,实现对数字媒体内容的解密播放。视音频内容分发数字版权管理系统的内容授权机制如图5所示。
2.4 安全信任机制
视音频内容数字版权管理系统的信任模型基于PKI体系。DRM系统中DRM服务端各核心组件、DRM客户端等都向认证中心申请获得一个数字证书,作为自己身份的凭证,互相之间的信任关系基于数字证书的有效性。如果DRM客户端的证书被DRM服务端验证有效,则DRM服务端信任该DRM客户端。视音频内容分发数字版权管理系统信任链包括根CA证书、DRM服务端子CA证书、DRM客户端子CA证书、DRM服务端证书、DRM客户端证书、以及OCSP服务器证书。安全信任机制如图6所示。
信任链建立以后,DRM服务端安全的存储DRM服务端证书及私钥、OCSP服务器证书、DRM服务端子CA证书、根CA证书;DRM客户端安全存储DRM客户端证书及私钥、DRM客户端子CA证书、根CA证书。DRM服务端基于DRM客户端证书CRL列表判断DRM客户端证书的有效性,DRM客户端基于OCSP响应判断DRM服务端证书的有效性。
3视音频内容分发数字版权管理系统集成
3.1 DRM服务端
DRM服务端包括:内容加密、密钥管理、密钥网关、内容授权等核心模块。内容加密负责直播或点播内容的加密封装;密钥管理负责接收内容加密的内容加密密钥信息并进行安全存储和发布;密钥网关负责接收各密钥管理同步的内容加密密钥,并接收内容授权的密钥查询;内容授权从密钥网关查询内容加密密钥,封装成许可证发送给DRM客户端。DRM服务端框架如图7所示。
标准中规定了密钥管理与密钥网关之间的密钥同步协议,以及密钥网关与内容授权之间的密钥查询协议。密钥同步和密钥查询协议采用HTTP/HTTPS协议,POST(JSON)接口,证书链全部采用DER编码格式。密钥同步和密钥查询协议的标准化有利于密钥网关产品的标准化,以适应各种应用场景需求下的灵活部署。
3.2 DRM客户端
DRM客户端是设备中的可信实体,负责执行与DRM内容相关的许可和限制。DRM客户端包括:DRM应用模块、DRM功能模块、DRM客户端运行环境,以及DRM功能接口和DRM客户端运行环境接口。DRM应用模块是负责DRM功能与媒体播放等应用集成的模块,DRM客户端应用模块与媒体播放框架集成,实现媒体播放应用对DRM的支持,通过调用DRM功能接口实现DRM功能。DRM功能模块为DRM应用模块提供DRM功能。DRM功能模块运行在DRM客户端运行环境中,通过调用DRM客户端运行环境接口实现DRM客户端的核心功能。DRM客户端运行环境负责为DRM功能模块提供安全能力,为DRM客户端信任与安全体系建立、DRM客户端核心功能等的运行提供基础的安全保障。DRM客户端框架如图8所示。
标准中将DRM客户端功能模块和DRM客户端运行环境从逻辑上分开有利于DRM客户端在终端的集成以及对DRM客户端的安全评估。标准中提到了三个DRM客户端安全级别主要是依赖于DRM客户端运行环境的安全。软件安全级别是指部分或全部DRM客户端运行环境基于软件安全机制实现;硬件安全级别是指DRM客户端运行环境基于硬件安全机制实现;增强硬件安全级别是指在硬件安全级别的基础上,DRM客户端安全运行环境应具备侧信道攻击防御、取证水印等功能。
4 总结与展望
综上,GY/T 277-2019《视音频内容分发数字版权管理技术规范》充分考虑了当前媒体融合、超高清战略等持续推进过程中数字电视、IP电视、互联网电视、以及互联网视频等场景下端到端版权保护体系的设计与部署,降低数字版权管理系统端到端部署难度,更适合于广播电视云化发展情景下的数字版权管理系统集成,DRM服务端和DRM客户端的标准化将推进数字版权管理产业的水平化发展,为有序的产业竞争、保障视音频内容产业生态提供了强有力的支撑。
本文受国家广播电视总局广播电视科学研究院基本科研业务费(No. JBKY2019119)资助。
参考文献
[1] GY/T 277-2019 视音频内容分发数字版权管理技术规范[S].
[2] 王磊,郭沛宇,郭晓霞.中国互联网电视数字版权管理技术规范解读[J].电视技术,2014,38(21):85-89.
王磊,男,1979年生,博士,广播电视科学研究院信息与安全技术研究所副所长,教授级高级工程师,主要从事广播电视数字版权保护,广播电视密码应用,广播电视人工智能应用等领域研究,国家重点研发计划2018年度“网络空间安全”专项课题负责人。
好文共赏请转发 有话要说请留言