DCI數字電影安全體系*

張亞娜，張 遠，張 琦

（中國傳媒大學 信息工程學院，北京 100024）

1 引言

由美國好萊塢7大主要電影公司組成的美國數字電影倡導組織（Digital Cinema Initiatives，DCI）是一個專門起草、制定數字電影技術規(guī)范并進行相關測試、評價的機構。由于好萊塢在全球電影的重要地位，其制定的數字影院技術規(guī)范、符合性測試規(guī)范在全球數字影院發(fā)展中具有廣泛的影響力。2007年4月DCI發(fā)布了數字影院系統(tǒng)規(guī)范1.1版本[1-2]，對數字電影的相關技術制定了詳細的規(guī)定，其中包括發(fā)行母版（包括音視頻格式）、壓縮標準、打包、傳輸、影院系統(tǒng)、投影和安全等。2008年3月DCI發(fā)表了數字影院系統(tǒng)規(guī)范1.2版本[3]。

2 數字電影系統(tǒng)的構成

圖1 數字電影系統(tǒng)框圖

數字電影系統(tǒng)的運作流程[4]一般分為電影母版生成、傳輸、存儲/播放和投影放映，如圖1所示。首先，從數字拍攝或膠片轉數字或計算機制作獲取數字電影節(jié)目源，隨后利用數字中間片（Digital Intermediate，DI）的工藝與技術進行電影節(jié)目的后期制作。在電影的后期制作階段，通常會將影片輸入計算機系統(tǒng)形成數據文件序列。進行動畫特效合成、彩色校正和調光等處理后所形成的數據文件集稱為數字源母版 （Digital Source Master，DSM）。接著將DSM轉換為數字電影發(fā)行母版（Digital Cinema Distribution Master，DCDM）。 DCI規(guī)范中分別定義了DCDM文件的圖像、聲音、字幕和子畫面（疊加圖形）等的特性及數據文件格式[1，3]，然后需要對視頻序列的每一幀圖像進行JPEG2000壓縮[5]。音頻信號不需要壓縮，仍保持原有的PCM形式。為防止影片內容被盜版，壓縮后的圖像序列文件還需經過加密（音頻、字幕及其他輔助數據加密可選），再經過打包，最終構成數字電影數據包（Digital Cinema Package，DCP）。 DCP 中包含了封裝后的視音頻文件、同步工具、素材管理工具、元數據、內容保護和其他必要信息。隨后通過寬帶衛(wèi)星網絡、高速光纖網和物理媒介（硬盤、光盤等）等途徑傳輸DCP。在影院的放映端，服務器對接收到的DCP進行解包、解密和解壓縮從而得到DCDM。最后，放映機將數字圖像轉換為光信號投映到屏幕上，影院的還音系統(tǒng)實現了聲音信號的還原。

3 數字電影安全體系的目標

相對傳統(tǒng)膠片電影，數字化使得高質量的內容更容易復制和分發(fā)。因此，內容安全是數字電影系統(tǒng)的一個重要組成部分，系統(tǒng)中的每一個環(huán)節(jié)都需要充分考慮安全性與可靠性，以防止數字節(jié)目被非法截取或未授權傳播[6]。數字內容保護系統(tǒng)的設計很大程度上取決于其運行的環(huán)境，包括內容的價值曲線、系統(tǒng)中參與者的數目、被盜版內容的再發(fā)行渠道、發(fā)現盜版的難度和破解內容保護措施的成本等。與衛(wèi)星電視訂閱、DVD拷貝保護等內容保護系統(tǒng)不同，數字電影的運行環(huán)境有其獨特之處。首先，內容的價值曲線不同。數字影片在剛剛發(fā)行后的前期，價值最高，隨后就會急速下降。這對影片的前期發(fā)行提出了相當高的安全要求，而對后期相對較低。其次，數字電影系統(tǒng)的參與者相對更具體，數量也少。被盜版的電影目前多通過光盤和因特網進行傳播。

數字電影安全體系的主要目標是保護數字影片內容所有者、影片發(fā)行商和放映影院的正當權益，確保內容的安全發(fā)行和對影片內容的有條件訪問。從商業(yè)需求方面考慮，安全體系應能支持正當放映、內容版權保護和記錄與安全有關的事件；從技術方面考慮，在滿足上述要求的同時，數字電影安全體系的框架應基于一個開放式架構，它不僅支持開放、標準化的安全操作，而且能夠保證數字影院內安全設施之間的互操作性。此外，數字電影安全體系框架的構建還應具有前瞻性、可擴展性和可升級性，從而可根據技術、運營、管理等發(fā)展的要求不斷完善。

4 數字電影安全體系的框架

從本質上來說，數字電影的安全系統(tǒng)是一種許可證管理系統(tǒng)，其功能主要圍繞數字電影放映權利的創(chuàng)建、許可、獲取、使用與管理展開，以保護數字電影發(fā)行者和放映影院的權益[7]。身份認證、權力的控管和影片內容保護是安全系統(tǒng)的核心功能。因此，DCI數字電影安全體系的設計主要解決4個問題：機密性傳輸，版權管理（訪問控制），系統(tǒng)平臺的安全，版權保護[8]。這是DCI數字電影安全體系的四大基本功能，如圖2所示。

4.1 影片內容的加密傳輸

圖2 DCI數字電影安全體系

數字影片內容應使用加密技術進行保護。目前，加密技術主要分為對稱加密和非對稱加密技術兩大類。對稱加密系統(tǒng)中加密和解密均采用相同的密鑰，通信雙方都必須獲得密鑰，加密速度快。對稱加密技術的主要問題是需要傳送密鑰并保證密鑰的安全性和完整性。非對稱加密系統(tǒng)采用的公鑰和私鑰是不同的，私鑰僅為本人所知，公鑰由本人公開并由一組用戶所共享，而且不能彼此推出，算法復雜度高。鑒于對稱加密技術和非對稱加密技術的上述特點，DCI數字電影安全體系中采用的方案是：用對稱加密算法加密影片數據，然后采用非對稱加密算法管理對稱算法的密鑰。這樣就集成了兩類加密算法的優(yōu)點，既實現了加密速度快，又實現了密鑰的安全傳輸和管理。

DCI規(guī)定采用AES（Advanced Encryption Standard）來加密數字電影節(jié)目內容，具有安全性高、抗攻擊能力強、隱蔽性好、吞吐量高等特點，采用CBC（Cipher Block Chaining）模式下128 bit的密鑰長度更加保證了信息的安全性[9]。規(guī)范同時指出加密過程中不得丟失信息，圖像或聲音軌跡文件加密不要求對文件中的全部幀加密，每個軌跡文件必須使用一個唯一密鑰；加密算法應支持對軌跡文件中基本數據任意幀的隨機訪問，允許基本數據每一幀中的通用頭信息是明文數據。

4.2 授權分離的版權管理框架

為了提高數字電影授權許可發(fā)放的靈活性和安全性，方便發(fā)行端對用戶授權許可的存儲和管理，DCI數字電影系統(tǒng)采取將加密后的數字電影與授權許可相分離的分發(fā)機制。授權許可中主要包含AES128節(jié)目密鑰、密鑰有效時間、信任設備列表（Trusted Device List，TDL），通過密鑰傳送消息（Key Delivery Message，KDM）的形式，同已加密的影片內容一起發(fā)送給影院接收方。

為保證只有發(fā)行方認可授權的影院接收方才能對影片內容解密并在授權范圍內使用，通常采用數字證書和數字簽名技術來保障授權許可信息的安全性、真實性和完整性[10]。影院設備制造商和發(fā)行方都使用RSA（Rivest Shamir Adleman）非對稱密鑰技術各自生成一個唯一匹配的公鑰和私鑰的密鑰對，并將公鑰及個人信息傳送給CA（Certificate Authority）中心生成相應的數字證書。

圖3給出了KDM生成、傳輸和使用的完整過程。發(fā)行方使用接收方影院設備的RSA公鑰對授權許可信息進行加密，生成 “密鑰密文”；接收方影院使用對應的RSA私鑰對“密鑰密文”進行解密得到授權許可信息。由于任何其他第三方不能直接獲得私鑰，而又無法從公鑰推導出私鑰，因而即使獲得了“密鑰密文”，也無法從中解密得到AES128節(jié)目密鑰，從而保證了授權許可信息傳輸的安全性。另一方面，發(fā)行方使用SHA-256摘要算法，生成“密鑰密文”的摘要消息，然后使用發(fā)行方RSA私鑰對其進行加密后得到“密鑰密文”的簽名值，該簽名值與“密鑰密文”一同進行傳送；接收方影院使用對應的RSA公鑰解密簽名值，得到“密鑰密文”的摘要消息，同時利用相同的摘要生成算法，從“密鑰密文”直接生成一份摘要消息。如果簽名值能正確被解密，則可保證授權許可信息的真實性；如果本地生成的摘要消息與解密得到的摘要消息相一致，則保證了授權許可信息的完整性。其中，不論接收方影院RSA公鑰還是發(fā)行方RSA公鑰均以數字證書的形式由CA中心發(fā)行。除此以外，AES128節(jié)目密鑰的其他相關信息（如節(jié)目信息等）以明文方式直接進行傳輸，但為保證其真實性和完整性，同樣需要采用數字簽名技術對其進行類似的處理。

總之，授權許可的“密鑰密文”、AES128節(jié)目密鑰相關信息的“密鑰密文”及其各自的簽名值組成了KDM，同DCP一起發(fā)送給影院接收方。接收方收到KDM后，可以解密“密鑰密文”得到授權許可信息，并通過解密和比較分別驗證其真實性和完整性。

4.3 系統(tǒng)平臺安全

在數字電影系統(tǒng)的安全體系中，影院系統(tǒng)本身的安全性尤其需要加強。安全管理器（Securiy Manager，SM）是影院系統(tǒng)安全體系的核心。每家數字影院都必須有其專用的影院安全體系，由安全管理器管理下的多個子系統(tǒng)構成。安全管理器負責管理放映廳的所有安全實體 （媒體解密器和取證標記嵌入器等）和所有安全數據（密鑰、安全日志等）。安全管理器必須確保只有符合DCI規(guī)范的安全設備才能參與安全操作，通過檢查設備的數字證書實現設備身份認證功能。每個安全處理模塊應當至少擁有一個數字證書，由設備制造商提供。數字證書包含設備的公鑰以及設備的構造、模型、通用唯一編號（UUID）和數字證書的序列號，還包括該設備的角色信息，用于描述其在DCI數字電影系統(tǒng)中的作用。數字影院證書應遵守ITU X.509標準第3版，為降低X.509證書的復雜性和模糊性，應用于數字影院的證書標準有相應限制，參見DCI1.2規(guī)范9.5.1節(jié)[3]。

圖3 DKM生成、傳輸和使用流程

安全管理器建立其和安全設備之間的安全通信信道。對于影院服務器與數字電影放映機相分離的數字放映系統(tǒng)，必須在服務器的媒體模塊與數字放映機之間進行鏈路加密，以保護影片明文。鏈路加密是指傳輸數據僅在物理層之上的數據鏈路層進行加密，而不考慮信源和信宿，它用于保證通信節(jié)點之間的數據傳輸安全。信息在每個節(jié)點機內部都要被解密、再加密，依次進行，直至到達目的地。DCI規(guī)定使用加密的Dual-dual Link HD-SDI接口（SMPTE 372M 1.5 Gbit/s Digital Interface for 1 920×1 080 and 2 048×1 080 Picture Formats）來進行鏈路加密，采用128位密鑰的AES加密算法。安全管理器生成會話密鑰，交換參與會話的雙方設備的公鑰或私鑰對。這個過程需確保竊聽者不能獲取被交換的密鑰。會話密鑰接著被用來加密這兩個設備之間的通信。由此，安全管理器對所有的安全實體提供嚴密物理安全保護，并保證其內部信號傳輸通道的安全。

4.4 版權保護機制

版權保護一直是數字電影應用中的一個難點。數字電影可能引起內容泄密的途徑主要有：1）在內容的后期制作和傳輸中出現內容泄漏；2）在影片的分發(fā)中用戶合作共謀盜版；3）在影片的發(fā)布和放映過程中，盜版者通過手持攝像機錄制作品。第3種也是目前最普遍的攻擊方式。數字電影安全系統(tǒng)中的版權管理機制對于這種使用欺騙設備復制節(jié)目內容的問題無能為力，其原因在于DRM是以媒體內容加密為核心，加密的媒體內容在使用前被解密，而一旦解密，媒體內容就離開了DRM的保護范圍。也就是說，盜版者只需作為一個合法的用戶（觀眾），就可以隨意進行節(jié)目內容的復制和再分發(fā)這一非法活動。

為解決這類影院放映中的安全問題，通常采用取證標記（穩(wěn)定性數字水印技術）和嚴格的日志管理實現盜版跟蹤。數字水印是取證標記使用的主要技術，當影院服務器和放映機內部使用數字水印設備后，取證標記將被加入到放映的影像中。當影像被偷拍制作為盜版作品進行傳播時，可以通過提取取證標記精確地定位盜版發(fā)生的源頭。需要指出的是，數字水印并不能直接阻止盜版行為的發(fā)生，而是通過驗證影片的所有權來揭露非法拷貝、傳播行為，以法律手段對其進行制裁，間接地打消盜版者非法復制的企圖，從而起到保護知識產權的作用。DCI規(guī)范中要求所使用的取證水印具有高不可見性、強穩(wěn)定性和安全性，尤其強調取證水印要能抵抗攝像機捕獲攻擊。規(guī)范規(guī)定取證標記設備每5 min嵌入35 bit的水印凈荷，其中16 bit用于驗證放映時間，剩余19 bit用于驗證放映場所。相應地，應在30 min內容片斷上完成水印的檢測和恢復。數字電影通常是在大量的視音頻序列上進行取證標記實時嵌入，而水印提取僅在發(fā)現盜版時進行。為了提高水印穩(wěn)定性和安全性，取證水印提取復雜度可以很高；而水印嵌入的復雜度應較低，側重滿足實時性要求。在DCI 1.2版本中，又特別提出了取證標記的技術實現上應具有開放性、兼容性和良好的可更新性。任何采用預處理的取證水印技術都應使用通用的嵌入器結構和工業(yè)標準化的元數據傳輸格式。通用嵌入器應至少滿足可根據3個以上不同取證水印生產廠商所提供的元數據進行水印嵌入。

DCI數字影院安全體系中，與取證標記共同構成嚴格的盜版追蹤鏈的另一必不可少的組成部分是安全日志。安全日志用于記錄安全實體的安全事件、篡改檢測和安全組件的維護，如設備上電、斷開，傳輸層安全會話的建立和中斷，解密、解碼或取證標記操作的開始和結束等[3]。安全日志報告包含一條或多條時間上連續(xù)的日志記錄，而每則日志記錄包含一個安全事件。日志報告中的日志記錄根據類別組織在一起，而且在發(fā)送之前可以過濾。日志記錄和日志報告均采用標準XML結構。

當發(fā)生盜版事件時，通過檢測盜版影片內容中的取證水印找到影片被盜的影院，利用該影院放映的安全日志加以驗證，獲得有效的證據鏈，因此可以作為追查盜版行為的法律證據。

5 小結

數字電影安全體系是一個端到端的系統(tǒng)，可以劃分為發(fā)行環(huán)節(jié)（包括密鑰與證書管理、打包/加密與發(fā)行管理等）、影院放映環(huán)節(jié)（包括服務器密鑰與證書管理、鏈路加密、取證標記嵌入、安全日志記錄等）和安全追蹤（包括取證標記檢測、提取的管理）。數據加密、數字證書、數字簽名和數字水印等多項技術的綜合應用，最終實現了數字電影安全體系設計的主要目標。

[1]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.1[S].2007.

[2]彭妙顏.數字電影的發(fā)展及其相關標準[J].電視技術，2008，32（8）：83-84.

[3]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.2[S].2008.

[4]彭妙顏.基于信息化音視頻技術的數字電影系統(tǒng)[J].電視技術，2008，32（9）：82－85.

[5]ISO/IEC 15444-1:2000.JPEG2000 Image coding system-Part 1:Core coding system[S].2000.

[6]BLOOM J A.Security and rights management in digital cinema[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1220994.

[7]The National Association of Theatre Owners,Digital cinema system requirements[EB/OL].[2009-06-20].http://www.natoonline.org/NATO%20Digital%20Cinema%20System%20Requirements%20-%20release%201-02.pdf.

[8]KIROVSKI M，PEINADO M，PETITCOLAS F A P.Digital rights management for digital cinema[J].Multimedia Systems， 2003， 9:228-238.

[9]BLOOM J A.Digital cinema content security and the DCI[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F4067758%2F4067759%2F04067984.pdf%3Farnumber%3D4067984&authDecision=-203.

[10]劉茂英.數字影院系統(tǒng)中節(jié)目及密鑰的安全機制及其實現過程[J].現代電影技術，2007（10）：16-20.