drm技术对视频内容版权保护的边界

drm技术对视频内容版权保护的边界

1视频/视频传输系统现状传统的广播技术使用条件接收c，以保护传输管道。消费者通过控制砾岩c-t/s网络加密和自我控制要求，以控制视听内容。然而，内容传输给用户终端后的版权保护方法没有被指定为内容传输给用户终端。尽管引入了电子指纹、HDCP等技术作为到用户后的补充安全措施，但随着运营网络的改造升级IP化，特别是移动终端视频需求的快速增长，CA的管道保护方式无法满足各类IP电视运营商对音视频内容全程保护的需求，也不利于IP电视内容的全终端类型覆盖。数字版权保护DRM技术主要针对IP网络，IP网络的视频内容传播通道基本上还未得到保护，DRM首先要对视频内容进行加密，它侧重于保护IP视频内容本身，并有一套更为复杂的权限管理，DRM技术保护的范围包含了内容加密保护、内容权限管理和终端及用户认证授权等。尽管CA技术相对较成熟，但DRM技术的市场更广阔，特别是随着电子水印技术的进一步整合到DRM技术范畴，使得DRM技术对内容版权保护的边界进一步延伸，贯穿数字媒体内容的制作、存储、发行、接收、播放、显示等整个生命周期，内容商和运营商实施对视频内容的数字版权保护方式也逐步在向DRM技术转移。2drm版权保护及教育应用随着互联网和媒体流技术的发展和高清/超高清视频内容逐步占据主流市场，对视频内容版权保护贯穿视频内容的整个生命周期，DRM技术也逐步得到完善。国外广电的IP电视、网络电视企业普遍采用DRM技术进行内容保护，国家广电总局也于2014年颁布了“互联网电视数字版权管理技术规范”的行业推荐标准，DRM版权保护技术及系统产品也在央视、腾讯等IP网络视频业务中得到应用。河北广电无线传媒有限公司作为河北IPTV广电播控平台，在现有IPTV运营过程中为防范单个DRM系统意外技术故障或商务合作中断引起业务运营中断等情况，需要一个类似于CA同密的方法来规避这种服务中断，但这项技术需求却迟迟没有得到解决。本文在考虑已有的DRM版权保护技术现状的基础上，提出了如下一个支持多DRM系统协同工作的版权保护实现方法。2.1网络互通及共享机制的增强标准DRM技术主要包含3个基本要素:内容加密、内容密钥和内容授权。考虑国内实际业务运营和安全要求，DRM系统方案还需要支持但不限于下列情况:(1)内容加密应支持AES与SM算法，以及TS/ES层加密方式，减少二级运营商的落地难度，并可扩展支持不同的媒体流协议的再封装;(2)内容密钥与授权分发，遵循ChinaDRM标准，支持AES,SM2/3/4,SHA1/256,RSA1024/2048多种算法保护方式(3)系统扩展支持启用HDCP接口防录制控制，防止解码后设备数字视频输出的录制;(4)系统支持启用终端设备特征指纹功能和水印技术，增强防止解码后视频输出的录制或拷屏，强化防范录制或拷屏攻击的可追溯技术手段。2.2多drm系统内容加密多DRM协同技术是保证多个DRM系统同时运行于一个业务平台系统中，平台所有视频内容基于统一的内容加密系统进行内容密钥生成和内容加密，并同步内容密钥到多家DRM系统，各家DRM系统使用各自的安全算法和流程对内容密钥进行加密。多DRM系统工作原理简述如下:视频内容经过统一的视频内容加密设备完成对视频内容的加密过程，内容密钥/CK由视频内容加密设备生成，生成的CK同步给多家DRM系统，多家DRM系统分别完成对CK的保护，多家DRM厂商将各自的内容描述信息分别回传给统一的的视频内容加密设备，统一的的视频内容加密设备完成对多家DRM厂商所生成的内容描述信息的插入工作。不同的DRM终端分别向各自的DRM头端申请密钥完成对视音频的解密工作。3加密视频及drm的对接视频内容通过在中心统一编转码和内容加密，该中心可以由内容提供商提供，也可以是一级网络运营商提供，加密后的视频内容，通过指定的网络传送给网络运营商。一级网络运营商接收到加密的视频内容，经过复用器，通过和运营商选用的DRM厂商对接，复用加密视频内容和DRM的配置信息，并通过一级运营商的网络到运营终端，也可以通过指定的网络再次分发给下级网络运营商。下级网络运营商接收到加密的视频内容，经过解复用，剔除上级运营商的DRM信息，再经过二次复用，通过和运营商选用的DRM厂商对接，二次复用加密视频内容和DRM的配置信息，并通过运营商的网络到运营终端。加密内容的密钥在中心统一生成和管理，当网络运营商选中了DRM厂商后，可以直接从中心，通过IP专用网络，加密后同步到DRM厂商的后台密钥管理系统(KMS)，从而实现多DRM协同，满足内容提供商和多级网络运营商对内容版权保护的需求，该方法的实现框图如图1所示。3.1id发送到ecm服务前端TS流内容加密实现流程如图2所示。内容加密流程说明:(1)CW生成模块/CWG负责生成CW,将CW同时送给内容加密模块和ECM生成模块/ECMG。(2)CEK生成模块/CEKG生成的CEK及对应的CEK＿ID发送到DRM服务及ECM生成模块/ECMG。(3)内容加密模块负责接收CW，采用CW进行码流加密，将加密后的码流发送到复用模块;加密采用ES层加密(也可支持TS层加密)，以平滑支持HLS、CENC、DASH等协议，加密算法使用AES-128-CBC、SM4-CBC，在NAL层NALtype后增加一个字节描述奇偶标志(或TS＿Header的加扰/加密奇偶标识位标志)。(4)ECMG接收CWG生成的CW和CEKG生成的CEK，用CEK加密CW后封装到标准的ECM中，并封装成TS包的方式发送到复用模块。(5)复用器复用加密后的音视频码流、ECM数据流，并更新PMT表，增加DRM描述子信息，描述许可证申请URL和ECM包PID等信息。3.2加密视频流和drm的复用和发布网络网络运营商获得加密视频内容，并接入复用器。通过运营商的后台系统，获得需要保护的内容标识(CID)，通知接入的所有DRM后台系统，所有的DRM后台系统生成需要的DRM内容描述信息(ContentDescriptionInformation),按照ChinaDRM的规范定义，同步到复用器，复用器完成对加密视频流和DRM的CDI信息的复用，并转发到运营商的内容发布网络。内容发布网络可以是DVB的网络，也可以是OTT或IPTV的IP网络。运营商的DRM后台系统，根据内容标识(CID)，使用安全的通道，从内容密钥管理系统获取对应内容的内容密钥信息，并存储到DRM后台的KMS数据库，以备后续DRM终端播放加密视频内容时，对应的DRM终端通过自己的DRM后台安全获取内容的密钥(CEK)，实现对内容的解密安全播放。3.3终端设备筛选通过运营商的网络，加密的视频内容到达终端，终端内嵌有内容解密模块和DRM终端代理。终端应用选中某个加密视频内容后，视频内容解密播放的流程如图3所示。内容解密流程说明:(1)终端设备切换频道时，根据PMT表中的DRM描述子信息得到许可证申请URL和ECM＿PID，解析ECM获取CEK＿ID、NEXT＿CEK＿ID。(2)终端设备从许可证申请URL对应的DRM服务器申请Content＿ID、CEK＿ID、NEXT＿CEK＿ID对应的许可证，DRM服务器封装成许可证发送给终端设备。(3)终端设备从许可证中解析出CEK,用CEK解密ECM包中的CW,并将CW发送给解密模块。(4)终端设备解析码流获取加密流数据包并发送给解密模块，解密模块使用CW对加密数据包解密，完成加密节目播放。4技术实现内容密钥的协同保护本文提及的多DRM协同的内容版权保护同密方案的实现方法，目前已经开始在河北IPTV播控平台及其IPTV机顶盒终端中得到部署和应用，在满足各类运营商(内容提供商，网络运营商)