中国移动好看的电视业务作为一个拥有亿级用户的观看平台，存在巨大的4K、8K视频和VR等高质量节目的订购和观看需要潜力。在这个过程中，数字内容的保护成为内容提供方的迫切需要。为了满足这一需要，中国移动建设好看的数字版权管理软件，达成从内容源到机顶盒的端到端数字安全保障，以保护内容方的权益，并提高用户在高质量业务观看体验方面的认可度。

1、数字版权概述

数字版权管理（Digital Rights Management，DRM）是保护数字多媒体内容免受非授权用的一种技术方法，以数字加密技术为基础，结合一系列软硬件技术，达成对数字内容的保护，使数字内容在指定的授权范围内用并从技术上预防数字内容的非法复制。

数字版权旨在保护数字内容的版权，促进创作者的合法权益，同时满足用户对数字内容的合法获得和用需要。伴随数字内容在不同平台上的传播和用方法的变化，数字版权系统不断演进以适应新的需要和环境，历程了三个进步阶段：数字电视阶段、传统网络阶段和互联网+阶段。

为满足复杂的终端应用场景，国内网络服务商渐渐开始使用Multi-DRM策略（支持ChinaDRM/Widevine（Google）/FairPlay（苹果）/PlayReady（Microsoft)等DRM系统），从而满足用户对于国内外高质量内容的观看需要。

2、数字版权重点技术

2.1 密码学技术

对数字化作品进行加密，现在数字版权保护中的加解密技术基于经典的密码学算法，分为对称加密和非对称加密算法两类。

DRM系统中DTA证书通过非对称加密技术达成，从而达成对于会话密钥、内容密钥、消息验证密钥等进行加密。

2.2 数字证书

数字证书是证书认证中心审核签发的一个声明，一般包含证书申请者的名字和信息、申请者的公钥、证书颁发者的数字签名和一组控制信息，比如有效期限，序列号等，现在数字证书常见使用的是X509国际标准格式。

DRM服务端各模块、DRM推广客户端等基于PKI（公钥基础设施）技术打造信赖关系，基于此信赖关系进行彼此之间的安全通信。

2.3 数字对象唯一标识符

数字对象唯一标识符是一个数字字符串，用于唯一标识数字对象（如文档、图像、视频等），为数字互联网上的任一对象提供持久可追溯标志。

数字对象唯一标识符包括多个元数据，包含数字内容的作者、出版日期、版权信息等等，通过将数字对象唯一标识符嵌入到数字内容中，DRM系统可以跟踪和控制数字内容的传输和用，只有经过授权的用户才能获得访问和用数字内容的权限。

2.4 信息隐藏技术

通过嵌入特定标识信息来跟踪和保护版权。对公开信息中所隐藏的机密信息的测试与提取可以作为法庭诉讼的有力证据，信息隐藏的主要技术是数字水印。

DRM完成视频解码将来，通过数字水印技术，根据逐帧/跳帧等方法进行水印生成，数字水印生成需要包括内容方/途径方/用户设施ID等信息，并支持通过水印测试技术提取对应信息，提高版权保护能力。

3、数字版权技术构造

DRM系统包含五大核心技术模块和两大信赖证书机制。

图1 技术构造

3.1 核心功能

系统核心功能从逻辑上分为DRM服务端和DRM推广客户端两个部分，DRM服务端模块包含内容加密、密钥管理、密钥网关和内容授权等核心模块，DRM推广客户端是设施中的可信实体，负责实行与DRM内容有关的许可和限制，模块间通信基于证书达成互信。DRM推广客户端接收到许可证后，根据密钥用规则适当的解密内容加密密钥，并用内容加密密钥解密内容进行播放。

①内容加密

DRM系统对视频内容基本码流进行加密，在基本码流的扩展数据中增加内容加密信息用来指明随后的视频是怎么样被加密的。在下一个内容加密信息出现之前，所有些视频数据根据规定的方法进行加密。

数据内容加密包含点播内容加密与直播内容加密，加密算法使用SM4算法，加密模式使用CBC模式（加密依靠上一加密）。

许可证加密则针对密钥进行加密，主要算法包含SM2、SM3、SM4等，加密模式使用ECB（加密不依靠上一加密）。

②密钥管理

密钥管理管理内容加密密钥并将内容加密密钥同步给密钥网关。

密钥管理模块接收内容加密密钥后，将密钥同步给密钥网关。

确保密钥在全生命周期内以密文形式传输和存储，不以任何方法明文导出。

与内容加密部署在一块，紧耦合。

③密钥网关

密钥网关密钥网关模块安全存储从密钥管理模块接收到的内容加密密钥，并接收内容授权模块的密钥查看。

负责密钥的存储、分发和加密，同意内容授权的密钥查看。

密钥网关接收密钥管理模块同步的密钥之后，对内容加密密钥进行保密存储。

汇聚异地不同加密密钥，可以下沉部署。

④内容授权

授权管理内容授权模块接收DRM推广客户端的请求，从密钥网关模块查看内容加密密钥，将包括有内容加密密钥和密钥用规则的内容授权许可证安全发送到可信的DRM推广客户端，具体功能如下：

响应用户请求并给予有关密钥对用户封装许可证，需针对用户高并发进行设计。

区别源于投屏场景的请求。

接收并管理DTA的数字证书。

⑤DRM推广客户端

DRM推广客户端集成在视音频播放终端中，负责接收 DRM 服务端发送的内容授权许可消息， 根据内容授权许可消息中规定的播放规则解密内容，确保视音频内容在解码、解密、播放过 程中的安全，主要功能如下:

负责接收 DRM 服务端发送的内容授权许可消息。

根据内容授权许可消息中规定的播放规则解密内容。

DRM依据机顶盒的硬件支持状况，分为软件安全级别、硬件安全级别、增强硬件安全级别三个安全等级，并提供不一样的用户观看体验。

图2 推广客户端安全等级

软件安全级别：部分或全部 DRM 推广客户端运行环境基于软件安全机制达成。

硬件安全级别：DRM 推广客户端运行环境全部基于硬件安全机制达成。

增强安全级别：在硬件安全级别的基础上，DRM 推广客户端安全运行环境应具 备侧信道攻击防御、取证水印等功能。

3.2 证信件任

①DTA证书

DTA（DRM Trusted Authority）证书由CDTA（寰宇信赖）系统颁发，通过验证地址可信、文件可信机制，为通信双方打造信赖关系提供信赖机制。

DRM服务端各模块、DRM推广客户端等基于PKI（公钥基础设施）技术打造信赖关系，基于此信赖关系进行彼此之间的安全通信。系统中DRM服务端各核心组件、DRM推广客户端等都向认证中心（CDTA）申请获得一个数字证书，作为自己身份的凭证，互相之间的信赖关系基于数字证书的有效性。假如DRM推广客户端证书被DRM服务端验证有效，则服务端信赖该推广客户端。

图3 证书链

②内容许可证

DRM推广客户端向内容授权组件申请许可证，并根据许可证进行内容的解密播放；当下一个内容加密信息中的密钥ID发生改变时，DRM推广客户端应发起新的内容授权许可证请求，准时更新内容授权许可证。

图4 内容许可证及步骤

4、数字版权标准生态

DRM技术在国内外都是数字内容保护和版权管理的要紧工具，在不同区域和行业中的生态状况存在一些差异，在视频范围中，海外版权标准主要包含苹果公司、Microsoft公司、Google公司，国内主如果ChinaDRM。

中国数字版权在国家广播电视总局指导下，基于ChinaDRM平台构建生态圈，成员单位已达115家，国内DRM已经形成基于ChinaDRM构造的产业链，参与者包含：最基础的芯片制造商、解决方法商、设施制造商，为生态链提供基础的安全设计解决方法、安全的芯片和设施；运营方包含内容提供商、服务提供商、用户；寰宇信赖为产业链各方提供信赖与安全体系的技术服务，ChinaDRM实验室致力于ChinaDRM技术与标准的测试、评估与技术咨询服务。

图5 DRM生态

数字版权管理软件需第一通过数字媒体内容保护技术研究国家广播电视总局实验室（ChinaDRM）合作认证，然后可接入CDTA（China DRM Truseted Authority ，寰宇信赖）生产系统。

5、数字版权展望

中国移动已经建设DRM系统，确保内容的合法用和预防盗版行为，提升版权持有者的收益，并促进更多优质内容的创作和分发，将来将支持更多平台支持、更强安全保护、更强客户体验，同时研究适当的政策和机制平衡版权保护和用户权益，提供更广泛的内容访问和消费方法，满足用户的不同需要。

单位：中国移动智慧家庭运营中心

Tags：科技