關(guān)于數(shù)字版權(quán)管理系統(tǒng)的測試與評估

郭曉霞，王　磊

(國家新聞出版廣電總局 廣播科學研究院，北京 100866)

?

關(guān)于數(shù)字版權(quán)管理系統(tǒng)的測試與評估

郭曉霞，王磊

(國家新聞出版廣電總局 廣播科學研究院，北京 100866)

摘要:2014年5月國家新聞出版廣電總局發(fā)布GY/T 277—2014《互聯(lián)網(wǎng)電視數(shù)字版權(quán)管理技術(shù)規(guī)范》為媒體融合內(nèi)容保護提供了技術(shù)基礎(chǔ)，如何對基于該標準研發(fā)的數(shù)字版權(quán)管理系統(tǒng)進行互操作測試，如何確保系統(tǒng)研發(fā)與部署實施層面的安全成為當前亟需解決的問題。從標準符合性和系統(tǒng)安全性兩個方面探討了數(shù)字版權(quán)管理系統(tǒng)的技術(shù)要求和測試評估方法，以支撐符合行業(yè)標準的數(shù)字版權(quán)管理系統(tǒng)的實施。

關(guān)鍵詞:媒體融合；數(shù)字版權(quán)管理；標準符合性測試；安全性評估

1數(shù)字版權(quán)管理系統(tǒng)

當前，隨著媒體融合、智慧廣電、寬帶中國、三網(wǎng)融合等國家戰(zhàn)略的持續(xù)推進，高清、超高清內(nèi)容業(yè)態(tài)快速發(fā)展，融合媒體內(nèi)容業(yè)態(tài)創(chuàng)新為數(shù)字內(nèi)容版權(quán)管理系統(tǒng)提出了更高的要求。2014年5月，國家新聞出版廣電總局適時的頒布了GY/T 277—2014互聯(lián)網(wǎng)電視數(shù)字版權(quán)管理技術(shù)規(guī)范，規(guī)定了數(shù)字版權(quán)管理系統(tǒng)的關(guān)鍵技術(shù)、協(xié)議、算法，為滿足媒體融合內(nèi)容運營的數(shù)字版權(quán)管理系統(tǒng)實施提供了標準的基礎(chǔ)技術(shù)支撐[1]。為推進符合行業(yè)標準的數(shù)字版權(quán)管理系統(tǒng)的落地實施，需要基于該標準規(guī)范提出數(shù)字版權(quán)管理系統(tǒng)的技術(shù)要求和測試方法，以指導技術(shù)提供商提供符合標準的安全的數(shù)字版權(quán)管理系統(tǒng)解決方案。

數(shù)字版權(quán)管理系統(tǒng)的技術(shù)要求包括標準符合性要求和安全性要求兩個方面。標準符合性要求用于指導技術(shù)提供商研發(fā)符合行業(yè)標準要求的數(shù)字版權(quán)管理系統(tǒng)，保障數(shù)字版權(quán)管理系統(tǒng)之間的互操作，易于運營商對數(shù)字版權(quán)管理系統(tǒng)的靈活替換。安全性要求用于指導技術(shù)提供商研發(fā)符合內(nèi)容提供商、服務提供商提出的內(nèi)容保護強度的數(shù)字版權(quán)管理系統(tǒng)。

2標準符合性測試

數(shù)字版權(quán)管理系統(tǒng)的標準符合性測試主要是提出標準符合性測試要求，并根據(jù)標準符合性測試要求和GY/T277技術(shù)規(guī)范對數(shù)字版權(quán)管理系統(tǒng)進行測試，以測試被測系統(tǒng)的標準符合性，確保數(shù)字版權(quán)管理系統(tǒng)之間的互操作。

2.1標準符合性測試要求

數(shù)字版權(quán)管理系統(tǒng)的標準符合性測試主要是測試內(nèi)容封裝格式、許可證格式、許可證獲取協(xié)議、密鑰算法、信任與安全體系中的數(shù)字證書格式以及相關(guān)協(xié)議是否符合標準規(guī)范的要求。

1)內(nèi)容封裝格式

在內(nèi)容封裝格式方面，符合標準的數(shù)字版權(quán)管理系統(tǒng)應采用GY/T 277—2014第6章規(guī)定的內(nèi)容封裝格式中的一種或多種[2-4]，加密后的內(nèi)容或內(nèi)容描述文件應包含內(nèi)容標識及獲取許可證必須的信息。

2)許可證格式

許可證編碼應遵循GY/T 277—2014第7.2節(jié)的規(guī)定，許可證中必須包含許可證索引單元、內(nèi)容單元、被授權(quán)對象單元、密鑰單元和數(shù)字簽名單元；許可證中的權(quán)利單元應支持播放、按次播放、按時間段播放、連接保護播放、錄制、存儲、連接保護權(quán)利等。

3)許可證獲取協(xié)議

許可證獲取協(xié)議應符合GY/T 277—2014第7章規(guī)定的權(quán)利描述與授權(quán)格式。安全交互請求和許可證獲取請求應能夠獲得符合GY/T 277—2014規(guī)定的預期響應。4-pass安全交互協(xié)議應在DRM代理與DRM服務端第一次交互和校準DRM時間時執(zhí)行；2-pass許可證獲取協(xié)議應在DRM代理與DRM服務端通過4-pass安全交互協(xié)議建立安全上下文之后執(zhí)行；DRM代理發(fā)送非法請求時，DRM服務端應具備異常容錯機制；SessionID及nonce應由隨機數(shù)生成器生成。

4)信任與安全體系

數(shù)字版權(quán)管理系統(tǒng)的信任模型、證書格式和安全機制應符合GY/T277—2014第9章規(guī)定的要求。

5)關(guān)于密鑰算法

數(shù)字版權(quán)管理系統(tǒng)應支持GY/T 277—2014附錄B規(guī)定的密碼算法。

內(nèi)容加密密鑰應是由隨機數(shù)生成器生成的隨機密鑰；內(nèi)容加密應采用AES-128及以上的算法；初始向量IV不允許重復，如果內(nèi)容分塊數(shù)量超過IV的最大數(shù)量應更新密鑰。內(nèi)容加密密鑰在DRM服務端應安全存儲；內(nèi)容加密密鑰應加密后存儲在許可證中傳輸。

許可證應具有時間戳；許可證中的所有密鑰單元應加密保護；許可證應采用GY/T 277—2014附錄B規(guī)定的簽名算法簽名保護。

許可證獲取協(xié)議的消息應采用GY/T 277—2014附錄B規(guī)定的簽名算法保護。

2.2標準符合性測試方法

數(shù)字版權(quán)管理系統(tǒng)標準符合性測試環(huán)境如圖1所示。

圖1　標準符合性測試環(huán)境

測試環(huán)境部署完成后，按照設(shè)計的測試用例進行內(nèi)容消費等相關(guān)操作，標準符合性測試工具將記錄測試過程中的相關(guān)消息，通過對測試工具記錄的消息的分析，實現(xiàn)對內(nèi)容封裝格式、許可證格式、許可證獲取協(xié)議消息、信任與安全體系以及相關(guān)密碼算法的標準符合性測試。

3安全性測試與評估

數(shù)字版權(quán)管理系統(tǒng)僅僅滿足標準符合性要求是不夠的，在具體的實施過程中，尤其是客戶端DRM代理的安全實現(xiàn)更加關(guān)鍵。因此，在標準符合性測試的基礎(chǔ)上，需要對數(shù)字版權(quán)管理系統(tǒng)的研發(fā)與實施提出安全性要求，并能夠提出安全性測試與評估的方法對數(shù)字版權(quán)管理系統(tǒng)的安全性進行測試、評估和安全性分級，以指導內(nèi)容提供商、服務提供商選擇符合其內(nèi)容安全要求的解決方案。

3.1安全性要求

本文對數(shù)字版權(quán)管理系統(tǒng)的安全性要求分為基本安全要求、服務端安全要求和客戶端安全要求3個部分；根據(jù)客戶端的具體實現(xiàn)機制又對客戶端安全要求分為3個級別，以指導對數(shù)字版權(quán)管理系統(tǒng)的安全性進行分級。

1)基本安全要求

(1)內(nèi)容加密密鑰應是由隨機數(shù)生成器生成的隨機密鑰；內(nèi)容加密應采用AES-128及以上的算法；初始向量IV不允許重復，如果內(nèi)容分塊數(shù)量超過IV的最大數(shù)量應更新密鑰；解密內(nèi)容只允許在解碼播放的時候暫存在內(nèi)存，禁止將解密內(nèi)容寫到存儲；下載內(nèi)容應加密保存在當前設(shè)備中；應具有安全機制確保只輸出加密內(nèi)容。

(2)內(nèi)容加密密鑰在DRM服務端應安全存儲，內(nèi)容加密密鑰應加密后存儲在許可證中傳輸。

(3)許可證應具有時間戳；許可證中的所有密鑰單元應加密保護；許可證應采用GY/T 277—2014附錄B規(guī)定的簽名算法簽名保護。

(4)消息協(xié)議的消息應采用GY/T 277—2014附錄B規(guī)定的簽名算法保護。

(5)密鑰應由隨機數(shù)發(fā)生器生成；密鑰應始終被加密保護；服務端密鑰應由硬件加密后安全保護；客戶端應有安全存儲區(qū)存儲數(shù)字證書信息、許可證信息。

(6)應具有時間同步保護機制。

2)服務端安全要求

DRM服務端應保障內(nèi)容、DRM服務端私鑰、內(nèi)容加密密鑰、加密密鑰的密鑰等的安全存儲；應保障客戶端信息、數(shù)字證書、權(quán)利獲取協(xié)議消息、協(xié)議版本、OCSP協(xié)議消息、許可證以及狀態(tài)信息等的完整性和真實性。

DRM服務端應具有拒絕未授權(quán)訪問的機制，應具有日志安全存儲于審計的功能，DRM服務端的實施應符合ISO27002—2013指南的要求。

3)客戶端安全要求

DRM客戶端應滿足客戶端私鑰和其他敏感信息的安全性和完整性；DRM客戶端應按許可證的要求解密和使用內(nèi)容，解密后的內(nèi)容不能為用戶獲?。桓鶕?jù)DRM客戶端的具體實施機制，其安全要求分為基于軟件的安全、基于硬件的安全和增強硬件安全3個等級。

(1)基于軟件的安全

基于軟件的安全是指DRM客戶端全部由軟件實現(xiàn)，客戶端私鑰、許可證信息、內(nèi)容加密密鑰信息等全部采用軟件機制實現(xiàn)安全保護；具體的軟件安全保護機制有代碼擾亂、代碼簽名、代碼運行時防篡改、軟件方式存儲安全、白盒密碼等。

(2)基于硬件的安全

基于硬件的安全是指采用終端硬件芯片中的硬件安全機制實現(xiàn)DRM客戶端核心敏感信息的保護和實施。具體的安全機制包括：可信執(zhí)行環(huán)境(Trusted Execution Environment， TEE)、安全視頻路徑(Secure Video Path，SVP)、硬件信任根(Hardware Root Of Trust，HROT)、安全啟動等。

(3)增強硬件安全的具體要求包括：

①應具有基于硬件的安全存儲；

②所有的加密算法應該由硬件模塊實現(xiàn)；

③應能夠持續(xù)更新DRM客戶端的安全機制；

④應支持基于會話的視頻數(shù)字水印技術(shù)以實現(xiàn)盜

版追溯；

⑤應具有多樣性的內(nèi)容保護機制，如一次一密等。

3.2安全性評估方法

數(shù)字版權(quán)管理系統(tǒng)的安全性評估一般采用問卷和文檔評估的方式進行。數(shù)字版權(quán)管理系統(tǒng)提供商應根據(jù)安全性要求給出點對點技術(shù)應答，并提供詳細的系統(tǒng)設(shè)計與部署方案文檔；同時，提供相關(guān)設(shè)計、開發(fā)文檔，證明設(shè)計研發(fā)過程符合ISO 27043規(guī)定的安全開發(fā)要求。

根據(jù)被測方提供的點對點技術(shù)應答、系統(tǒng)設(shè)計與部署文檔、設(shè)計開發(fā)文檔評估被測系統(tǒng)的安全性。

4總結(jié)與展望

本文探討了數(shù)字版權(quán)管理系統(tǒng)的標準符合性與安全性技術(shù)要求和測試評估方法；在數(shù)字版權(quán)管理系統(tǒng)安全性測試與評估方面僅探討了基于文檔的安全性評估方法，未來對于數(shù)字版權(quán)管理系統(tǒng)的安全性測試與評估還應考慮如何對系統(tǒng)的具體實現(xiàn)進行必要的白盒測試或灰盒測試，通過白盒代碼掃描與分析、灰盒滲透測試與攻擊等方式從技術(shù)上更進一步地測試數(shù)字版權(quán)管理系統(tǒng)的安全性。

參考文獻：

[1]GY/T 277—2014，互聯(lián)網(wǎng)電視數(shù)字版權(quán)管理技術(shù)規(guī)范[S].2014.

[2]ISO 23009-1，信息技術(shù)——基于HTTP的動態(tài)自適應流媒體(DASH) 第1部分：媒體展現(xiàn)描述與分段格式[S].2012.

[3]ISO 23009-4，信息技術(shù)——基于HTTP的動態(tài)自適應流媒體(DASH) 第4部分：分段加密與認證[S].2013.

[4]Internet-draft： HTTP live streaming： draft-pantos-http-live-streaming[S].2012.

責任編輯：時雯

Testing and evaluation of digital rights management system

GUO Xiaoxia，WANG Lei

(AcademyofBroadcastingScience，SARFT，Beijing100866，China)

Abstract:GY/T 277—2014 “Technical Specification of Digital Rights Management for Internet Television” approved by State Administration of Press， Publication， Radio， Film and Television of The People’s Republic of China on May 2014，provides the technical support for the protection of media content. How to test the interoperability between different DRM systems complying with the specification above， ensure the security of development and implement become an urgent problem to be solved. This paper discusses the technical requirements and testing methods of digital rights management for internet television from two aspects of the compliance requirement and security audit.

Key words:media convergence；digital rights management；compliance testing；security audit

中圖分類號：TP37

文獻標志碼:A

DOI：10.16280/j.videoe.2016.05.029

作者簡介：

郭曉霞，女，高級工程師，主要從事廣播影視信息安全、數(shù)字版權(quán)保護技術(shù)等研究工作。

收稿日期：2015-11-03

文獻引用格式：郭曉霞，王磊.關(guān)于數(shù)字版權(quán)管理系統(tǒng)的測試與評估[J].電視技術(shù)，2016，40(5)：141-143.GUO X X，WANG L. Testing and evaluation of digital rights management system[J].Video engineering，2016，40(5)：141-143.