1背景與需求
1.1背景介紹
1)獨立運營模式獨立運營模式是目前視訊網站所採用的模式,該模式中網際網路視訊服務提供商通過在網際網路上部署或租用CDN網路向PC、智慧手機、平板電腦等智慧終端提供網際網路視訊服務。獨立運營模式的網際網路視訊服務商自行購買內容版權,自行稽核上線,通過網路瀏覽器、專用客戶端播放器提供服務,擁有自己的終端使用者。
2)整合播控模式整合播控模式是指視訊內容提供商將內容提供給網際網路電視整合播控平臺,由整合播控平臺通過部署在網際網路上的CDN網路將內容提供給網際網路電視機和網際網路電視機頂盒。整合播控模式下,由整合播控平臺對內容進行稽核、上線、統一運營,整合播控平臺擁有終端使用者。
3)視訊服務匯聚模式視訊服務匯聚模式是指由網際網路視訊匯聚平臺匯聚各網際網路視訊服務提供商提供的視訊服務資訊,匯聚整理後以視訊門戶方式為使用者提供服務。使用者在消費視訊內容時,終端會跳轉到對應的網際網路視訊服務提供商的CDN網路去獲取相應內容。該模式下,網際網路視訊匯聚平臺擁有終端使用者和匯聚的視訊節目資訊,視訊內容由各視訊服務提供商通過各自的CDN網路為使用者提供。上述網際網路視訊服務的開展,需要有效的技術手段來保護高質量的視訊內容,為多元化、靈活的視訊服務營銷提供有效的技術保障,確保網際網路視訊服務提供商獲取應得的利益;在引進內容過程中,版權方要求網際網路視訊服務商提供有效的技術手段保護內容的版權;目前在引進影片、電視劇版權過程中,一般都是獨家授權,為保障網際網路視訊服務商獨家授權的權益,需要有技術手段保護視訊內容的版權,防止內容被非法利用、牟利。因此,需要有效的數字版權管理技術支撐,保護運營各方的合法權益,保障網際網路視訊服務運營的可管可控。當前,國際上存在多種DRM技術標準與技術解決方案,包括OMADRM、Marlin、微軟DRM解決方案等;但國外DRM技術標準與解決方案多存在專利授權政策不清晰,專利授權風險大,專利授權政策過於嚴格和授權費用高等種種問題,國外技術標準的等效採用不利於國內視訊服務相關產業的發展。
1.2需求分析
網際網路視訊服務的版權管理需求主要體現在以下幾個方面:
1)在保護內容版權的前提下,支援靈活的商業模式配置,支撐多元化網際網路視訊服務的開展。
2)需要實現網際網路視訊服務的可管可控,確保只有合法的內容通過合法的渠道分發給合法的終端,實現網際網路視訊服務的內容合法、渠道合法、終端合法。
3)數字版權管理技術的實施應該具有較高的效率,不應該影響到使用者的體驗。
4)有必要研究提出具有自主智慧財產權的網際網路電視版權管理技術方案,最大程度上規避國外相關專利,實現自主創新,保護運營各方的合法權益,支撐我國網際網路電視產業的發展。基於此,在國家新聞出版廣電總局的'領導下,中國廣播影視數字版權管理論壇成立網際網路電視數字版權管理技術規範起草特別工作組,著手起草我國自主智慧財產權的網際網路電視數字版權管理技術規範。2014年5月6日,國家新聞出版廣電總局批准GY/T277—2014《網際網路電視數字版權管理技術規範》為中華人民共和國廣播電影電視推薦性行業標準,並予以釋出,該標準自發布之日起實施。該標準以國家新聞出版廣電總局廣播科學研究院、清華大學等單位提出的具有我國自主智慧財產權的核心技術為支撐,實現自主創新,保障網際網路視訊服務的內容、渠道、終端可管可控,擺脫了對國外專利技術的依賴,大大降低網際網路視訊行業版權管理成本,有效保障我國網際網路視訊行業的安全。本文將對該標準的技術框架、關鍵技術等進行解讀分析。
2技術框架
該標準面向網際網路電視業務應用定義了內容封裝格式、權利描述與授權、權利獲取協議和信任與安全體系等數字版權管理基礎格式、技術機制和方法,其中內容封裝格式定義了受保護內容在數字版權保護系統中的基本呈現形式,包括內容標識、加密資訊及獲取許可證必須的資訊;權利描述與授權定義了描述數字版權管理系統權利的方法和向內容使用方進行使用授權的技術機制;權利獲取協議定義了DRM服務端和DRM代理進行安全通訊和傳遞許可證的技術方法;信任與安全體系定義了基於PKI系統的信任技術機制,包括內容保密性、身份鑑別和資料完整性。採用該標準定義的基礎格式、技術機制和方法,能夠構造一個端到端的網際網路電視數字版權管理系統,對網際網路電視內容進行有效的數字版權管理。
3關鍵技術
3.1內容封裝格式
網際網路電視內容分發過程中應分發加密內容。加密後的內容應包含內容標識及獲取許可證所必需的資訊,其中內容標識應遵循GY/T260—2012。根據不同的應用場景,需要定義不同的加密內容封裝格式。標準既支援流式內容封裝格式,也支援儲存類內容封裝格式。標準中定義了基於ISO基礎媒體檔案格式的打包DRM內容格式(PDCF)、用以支援基於HTTP動態自適應流媒體協議(DASH)的內容封裝格式、基於ISO基礎媒體檔案格式的通用加密格式(CENC),以及支援HLS的內容加密封裝格式。
1)基於ISO基礎媒體檔案格式的打包DRM內容格式打包DRM內容格式(PDCF)是在ISO基礎媒體檔案格式基礎上定義的加密內容封裝格式。PDCF內容格式在ISO14496-12中規定的ProtectionSchemeInfoBox(‘sinf’)的SchemeInformationBox(‘schi’)中定義ChinaDRMKMSBox(‘cdkm’),ChinaDRMKMSBox規定ChinaDRM指定的結構和引數。PDCF內容格式的基本資料結構由相應的基礎檔案格式規範定義。上述檔案中的媒體資料是以取樣單元為單位儲存的,一個或多個取樣單元組成一個訪問單元,加密操作是對訪問單元進行的,在加密過程中,應在每個加密的訪問單元之前插入ChinaDRMAUHeader。
2)基於HTTP動態自適應流媒體協議(DASH)的內容封裝格式ISO23009-4規定了MPEGDASH的分段加密與認證,MPEGDASH中媒體分塊如果是加密的,其加密相關資訊通過MPD檔案中的ContentProtection單元來指定。符合該標準的網際網路電視數字版權管理系統在使用ISO23009-4MPD檔案描述時,在ContentProtection的@schemeIdUri屬性中應指定由ChinaDRM申請的唯一編號;在ContentProtection的@Value屬性中應按“ChinaDRM版本/ChinaDRM方案提供商/擴充套件資訊”的方式賦值,通過“/”進行區分,如“ChinaDRMV1.0/CompanyName/ExtendedInformation”。
3)基於ISO基礎媒體檔案格式的通用加密格式通用加密格式CENC是基於ISO/IEC14496-12的一種加密格式,這種加密方式使不同的DRM系統能夠解密同一個檔案,CENC具體規定見ISO23001-7及此文件的補充文件ISO23001-7Amendment1。基於該標準的網際網路電視數字版權管理系統在使用CENC通用加密格式時,在ProtectionSystemSpecificHeaderBox(‘PSSH’)中,將16byte長的SystemID的前8byte設定為“ChinaDRM”,後8byte保留為0x00;在PSSH的Data部分,應包含獲取許可證的URL;對TrackEncryptionBox(‘tenc’)中的default_IsEncypted或SampleGroupDescriptionBox(‘sgpd’)中的IsEncypted的設定增加對加密演算法SM4-CBC的支援。
4)支援HLS的內容加密封裝格式HLS中媒體分塊如果是加密的,其加密金鑰通過#EXT-X-KEY來指定,格式如下:#EXT-X-KEY:屬性包括METHOD,URI,IV,KEYFORMAT,KEYFORMATVERSIONS。URI用來儲存獲取解密媒體分塊的金鑰檔案。金鑰檔案的格式用KEYFORMAT來標識。該標準對HLS的支援規定為:如果KEYFORMAT=“chinadrm”,表示URI中給出的是獲取ChinaDRM許可證的相關資訊。ChinaDRM的不同版本在KEYFORMATVERSIONS中指出,不存在時預設為版本1。
3.2權利描述與授權
網際網路電視數字版權管理的權利描述由內容、被授權物件、權利、金鑰、金鑰使用規則、計算器和數字簽名等邏輯元素構成。權利描述邏輯結構的元素說明如下:
1)內容內容是數字化的事物,例如圖、文、音訊、視訊、動漫及其集合(如檔案、資料庫、軟體、可執行程式碼等)等,一切可以數字化的事物都是內容。
2)被授權物件被授權物件是對指定內容相關權利的承載者。被授權物件通過其唯一標識描述。
3)權利權利是使用內容的權利,如:播放、儲存等。
4)金鑰金鑰是指該許可證中所包含的金鑰資訊,包括金鑰的型別、演算法、金鑰資料等。
5)金鑰使用規則金鑰使用規則包括金鑰索引資訊以及起始時間、截止時間、時間段、次數等相關規則資訊。在使用金鑰時應按照金鑰使用規則中包含的規則合理使用金鑰。
6)計算器計算器是內容許可操作的一種方式,用來描述權利描述單元的邏輯運算方法。支援與、或、非、異或等邏輯運算。許可證中包括計算器單元的情況下,通過內容、被授權物件、金鑰、金鑰使用規則、權利之間的邏輯運算實現對內容的許可。許可證中不包括計算器單元的情況下,內容、被授權方、金鑰、金鑰使用規則、權利之間是邏輯“與”的關係。權利描述編碼由許可證索引單元和一系列的基本單元組成。許可證索引單元描述許可證的版本、許可證ID和基本單元的數量。基本單元包括:內容單元、被授權物件單元、金鑰單元、權利單元、金鑰使用規則單元、計算器單元以及數字簽名單元等。許可證釋出時由許可證索引單元和後續的一個或多個基本單元組成,許可證索引單元應為許可證的第一個單元。許可證中的許可證索引單元和基本單元均由單元標識、長度和資料3個部分組成,單元編碼。標識由2個位元組構成,包括型別和索引,第1個位元組是型別,第2個位元組是該單元在許可證中的索引,用於支援許可證的分段傳輸。單元的索引從0開始,許可證索引單元為許可證的第1個單元,許可證索引單元編碼後的索引始終為0;許可證索引單元后的基本單元的索引依次為1,2,3,…,依此類推。長度是該單元實際資料資訊的長度,由兩個位元組表示。資料是單元的實際資料。一個許可證由多個獨立的不同單元構成,單元的數量和種類由許可證索引單元標識。一個許可證可用一個簽名完整傳輸,同時也可以按單元分別傳輸。
3.3權利獲取協議
權利獲取協議是DRM服務端與DRM代理之間用於交換安全上下文、請求和獲取許可證的安全協議。權利獲取協議包括:DRM服務端與DRM代理之間交換安全上下文的4-pass安全互動協議和DRM代理請求許可證的2-pass許可證獲取協議。
1)4-pass安全互動協議安全互動協議用於DRM服務端與DRM代理之間進行完整的安全資訊互動。一般情況下,安全互動協議只在第一次互動時執行;但如果需要更新安全資訊如DRM代理時間不準確時,需要重新執行安全互動協議。
2)2-pass許可證獲取協議DRM代理與DRM服務端通過4-pass安全互動協議建立安全上下文後,可向DRM服務端發起許可證獲取協議獲取相應的許可證。DRM代理可以根據使用者的互動啟動權利獲取協議,也可以根據其接收到的權利獲取協議觸發器觸發權利獲取協議。權利獲取協議觸發器由DRM服務端或運營系統生成,DRM代理接收到該觸發器後應根據觸發器的內容啟動安全互動協議或許可證獲取協議。權利獲取協議的訊息利用URI的路徑、查詢資訊和http報文的報文體進行傳輸。URI固定為“http”,表示使用http或https協議進行傳輸;URI中的域名為DRM服務端的地址,如“”。http報文體中的訊息以JSON字串進行描述。
3.4信任與安全體系
網際網路電視數字版權管理系統應實現滿足以下安全需求的信任與安全體系:
1)受保護的內容應加密傳輸,許可證應被安全地分發和管理;
2)內容只能被已鑑別和已授權的DRM代理,按照許可證的要求合理地訪問;
3)DRM代理應準確依從於許可證中的權利和金鑰使用規則。網際網路電視數字版權管理系統的信任模型基於PKI體系。DRM系統中的各實體包括內容提供者、DRM伺服器、DRM代理等都向認證中心申請獲得一個數字證書,作為自己身份的憑證。各實體之間的信任關係基於數字證書的有效性。如果DRM代理的證書被DRM伺服器驗證有效,則DRM伺服器信任該DRM代理。相似地,如果DRM伺服器的證書被DRM代理驗證有效,則DRM代理信任該DRM伺服器。
4參考實現
網際網路電視數字版權管理系統參考實現的技術架構。網際網路電視數字版權管理系統分為服務端和客戶端兩個部分。服務端包括認證中心、內容加密和許可證管理;其中認證中心負責為客戶端和服務端許可證管理髮放數字證書,並提供線上證書認證服務;內容加密負責與媒資管理系統對接,提供內容加密服務;許可證管理負責與運營支撐系統對接,為客戶端提供許可證授權服務。客戶端包括網際網路電視機頂盒、智慧電視、手持移動終端以及PC等,在客戶端播放器中整合DRM代理模組與服務端安全互動,實現內容的安全解密與播放。