知安视娱·真4K影视版权保护专家,基于10多年的高价值内容技术保护经验,于近期刚刚发布了SVE-PPS(知安视娱·高价值内容版权保护∙多维度主动防御系统),继上期公众号发布的SVE-PPS核心之一“SVE-Chain知安视娱-数字资产版权链”,本次,隆重发布SVE-PPS另一核心主打产品“SVE-MultiDRM知安视娱-多标准DRM”。
当运营商要覆盖多个网络(如IPTV和OTT网络)以及不同类型的终端用户(如Android app、iOS app、手机浏览器、PC浏览器等),不同种类的DRM系统之间的兼容性问题就会凸显出来。通过SVE-MultiDRM产品,知安视娱提供了一套解决方案,使得内容提供商可以让消费者在不同类型的终端上安全方便地观看内容。
知安视娱的SVE-MultiDRM支持微软的PlayReady DRM、谷歌的Widevine DRM、苹果的FairPlay Streaming DRM,以及其他的DRM方案(如ChinaDRM2.0)。
知安视娱SVE-MultiDRM系统
微软 PlayReady是一种内容保护技术,广泛部署在世界各地。PlayReady运行在各种设备和应用程序以及所有操作系统上。全世界成千上万的服务和超过40亿的设备使用PlayReady。微软 PlayReady内容保护是经过验明的、通用的和可扩展的。微软PlayReady的发展是14年多来研究和开发的结果,拥有大量的专利组合和大量的内容保护技术研发投资。微软为来自生态系统各个部分的1000多个许可用户提供了有价值和可靠的IP保护,以提供数百万安全、优质的内容和资产。在一个不断变化的市场中,PlayReady之所以如此有效,是因为微软与媒体行业领袖、内容提供商、原始设备制造商、服务提供商和网络提供商直接合作,为高端娱乐场景开发功能和功能。
PlayReady可以在非Windows平台(如iOS和Android)上工作,目前国际上大多数主要的在线视频服务都使用PlayReady。PlayReady支持所有内容类型和各种用户场景的优质VOD和直播电视。灵活的业务模式支持多种用户场景,包括订阅服务、广告、租赁和单一购买。
微软为Windows、iOS、Android和Linux等高容量平台和移动设备提供安全解决方案;通过浏览器和应用程序实现内容消费;以及使用PR移植工具包的大量消费电子设备;包括实现游戏控制台、蓝光和DVD播放器、智能电视、机顶盒等。PlayReady应用与不同场景的系列产品如图:
SL150 :
开发目的没有提供保护;客户端可以使用任何形式实现;基于任何Playready porting kit版本开发。
SL2000 :
可通过硬件方式提供保护,也可以不适用硬件保护;客户端可以是一个软件应用也可以是一个硬件设备;是否采用TEE保护是可选的;基于任何Playready porting kit版本开发。
SL3000 :
通过硬件方式提供保护;客户端必须是一个设备并采用TEE;同时必须遵从Compliance Rules和Robustness Rules。此方案提供较高的安全性。
苹果FPS安全地将密钥传送到苹果移动设备、Apple TV和OS X上的Safari,使其可以播放加密的视频内容。加密的视频内容使用Http Live Streaming(HLS)通过Web进行传递。FPS拥有让移动设备和Apple TV根据随内容密钥一起发送的过期信息停止播放的功能。此外,在返回的消息中向服务器发送一个恒定的FPS终端设备标识符可以让服务器匿名和私密地标识终端设备。FPS集成到设备操作系统中可在iOS和Apple TV上提供原生支持。OS X上的Safari支持使用EME接口启用FPS。
FPS允许内容提供商从提供商的密钥服务器安全交换AES 128位的内容密钥。内容提供商在获取内容密钥后使用内容密钥对H.264视频内容进行加密。然后,FPS用内容密钥解密加密的视频内容。下图显示了密钥和内容交付的过程。
FPS交换
•FPS框架初始化密钥交付过程以创建与内容提供商密钥服务器的会话。
•内容提供商密钥服务器用会话密钥和反重放机制封装128位AES内容密钥。
•密钥交付过程实现了三重保护解决方案(AES、RSA和派生函数)。
•内容提供商通过使用带有内容密钥和初始化向量的AES-CBC模式,对H.264视频内容进行逐帧加密。
•内容提供商通过使用带有内容密钥和初始化向量的AES-CBC模式,对音频内容进行完全加密。
•FPS支持H.264视频编解码器和AAC-LC、HE-AACV1-2、AC-3和EC-3音频编解码器。对于Safari的FPS,音频编解码器可能会有所不同。
*密钥处理和内容解密发生在iOS设备的内核上。换句话说,内容以及内容密钥被保存在设备内核上用于解密。
*FPS始终为每个受保护的内容块强制执行HDCP。
•对于离线播放,FPS支持安全密钥的有效期功能。
*内容提供商管理内容密钥、关联密钥的初始化向量数据库以及内容的加密模式。
•FPS支持通过AirPlay技术将流媒体投屏到Apple TV。
•FPS提供请求内容密钥的设备的匿名身份识别。
•安全租赁机制,允许内容提供商同时管理每个用户帐户的流媒体内容。
•FPS支持在iOS设备和Apple TV电影租赁的内容密钥过期功能。
Widevine是Google推出的一种DRM,支持从Google指定的服务器上,下载经Google加密的版权文件,如视频、应用等。Widevine DRM解决方案结合以下行业标准,提供强大的多平台内容保护:
1.基于HTTP的动态自适应流技术(DASH)
DASH采用标准HTTP协议,厂商可在现有网络基础设施(网络服务器、内容分发网络、防火墙等)上方便的实施DASH技术。
DASH为不同DRM系统构建了一个简单有效的系统,以共享密钥,密钥标识符,加密算法,参数和信令,以及将专有数据存储在保护系统特定报头(PSSH)中的位置,但将DRM具体实现留给了系统自身。它为ECM中的每个DRM存储此信息——这使得每个DRM能够将其自己的健壮性规则,安全性实施和密钥交换系统应用于相同内容文件的加密内容。通用加密解决方案CENC允许内容提供商每个容器/编解码器加密和打包一次内容,并将其与各种密钥系统,CDM和客户端一起使用:即任何支持公共加密的CDM。例如,使用Playready打包的视频可以使用Widevine CDM在浏览器中播放,从Widevine许可服务器获取密钥。
2.加密媒体扩展(Encrypted Media Extensions,EME)
EME是 W3C 提出的一种规范,用于在 Web 浏览器和 DRM 代理软件之间提供通信通道。EME提供了一个API,使Web应用程序能够与内容保护系统进行交互,以允许播放加密的音频和视频。EME旨在使相同的应用程序和加密文件能够在任何浏览器中使用,而不管底层保护系统如何。前者是通过标准化的API和流程实现的,而后者是通过公共加密的概念实现的。
3.媒体源扩展(Media Source Extensions, MSE)
MSE是一项 W3C 规范,扩展了HTMLMediaElement,支持HTML5视频和音频,允许 JavaScript 生成媒体流以支持回放。这可以用于自适应流(adaptive streaming)及随时间变化的视频直播流(live streaming)等应用场景。
4.内容解密模块(Content Decryption Module, CDM)
CENC 声明了一套标准的加密和密钥映射方法,它可用于在多个 DRM 系统上解密相同的内容,只需要提供相同的密钥即可。DRM 提供商(例如,EME 可用于Edge 平台上的 Playready 和 Chrome 平台上的 Widewine)拥有一套通用的 API,这些 API 能够从 DRM 授权模块读取视频内容加密密钥用于解密。在浏览器内部,基于视频内容的元信息,EME 可以通过识别它使用了哪个 DRM 系统加密,并调用相应的解密模块(Content Decryption Module, CDM)解密 CENC 加密过的内容。解密模块 CDM 则会去处理内容授权相关的工作,获得密钥并解密视频内容。CENC 没有规定授权的发放、授权的格式、授权的存储、以及使用规则和权限的映射关系等细节,这些细节的处理都由 DRM 提供商负责。
Widevine Classic是Google专有的DRM方案,用于直播,点播和下载内容。它要求内容以Google自己的特定格式打包,Widevine Classic已被Widevine Modular取代。与Widevine Classic一起使用的视频内容格式为:Widevine(.WVM)。Widevine Modular支持MPEG-DASH,CMAF,HLS和Smooth Streaming ABR视频格式,以及公共加密(CENC)等开放标准。
Widevine的安全级别:
手机厂商可以通过Google的授权以获取Widevine DRM对应的软件包从而将Widevine DRM集成到自己的产品中。
Widevine DRM代码结构大体可分为三部分:
1、Android中的基本框架。
包括WVMExtractor等。这部分代码在AOSP(Android 开放源代码项目)中可以看到。主要功能实现封装在Widevine专利代码包。
2、Widevine专利代码包。
需要得到Google授权才能得到。该包提供了很多Widevine专用库用于完成Widevine DRM权限检查、解密。它还提供了一些简单App用于测试。Widevine 测试APK:WidevineSamplePlayer.apk测试Widevine Classic,ExoPlayerDemo.apk测试Widevine Modular
3、手机厂商自身的安全认证。
Widevine支持在硬件层与厂商的安全机制绑定,在boot等底层中加入自主研发的安全机制,只有通过可信赖的bootloader才能使用具有正常权限的手机软件,并支持Widevine机制。不同的DRM解决方案通过Plugin的方式集成到Android系统中,以Java API的形式直接暴露给应用层调用,Widevine Crypto Plugin结构如下图:
DRM与ChinaDRM的关系就像社会主义与中国特色社会主义一般,ChinaDRM是以广电行业GY/T 277-2019 视音频内容分发数字版权管理技术规范为代表的中国DRM生态体系。该规范在2019年7月5日由国家广播电视总局正式发布实施。同时,ChinaDRM的标准规范在由中国广播影视数字版权管理(ChinaDRM)论坛的推动和主持下,为适应行业和技术的发展不断的更新。
随着具有双向交互功能的互联网技术的不断更新换代,OTT运营商和IPTV运营商对市场的影响力越来越大,ChinaDRM技术也在互联网内容保护领域逐渐得到应用。近几年ChinaDRM发展突飞猛进,成为主导中国DRM市场的核心力量,同时也是好莱坞内容供应商在中国大陆的必选DRM解决方案。
视音频内容数字分发数字版权管理系统从逻辑上分为DRM服务端和DRM客户端两个部分,如下图所示。
视音频内容分发数字版权管理逻辑架构
DRM服务端系统包括内容加密、密钥管理、密钥网关和内容授权等核心模块。内容加密模块采用内容加密密钥(CEK)对视音频内容进行加密保护;密钥管理模块接收内容加密密钥后负责将该密钥同步给密钥网关;密钥网关模块在接收同步的密钥之后对内容加密密钥进行保密存储,并接收内容授权模块的密钥查询;内容授权模块接收DRM客户端的请求将包含有内容加密密钥和密钥使用规则的许可证安全的发送到合法的DRM客户端。DRM客户端接收到许可证后,按照密钥使用规则合理的解密内容加密密钥,并用内容加密密钥解密内容进行播放。
DRM服务端各模块、DRM客户端等基于PKI技术建立信任关系,基于此信任关系进行彼此之间的安全通信。
知安视娱SVE-MultiDRM提供了:
以统一的方式管理不同DRM形态下的各种类型的设备和网络。
运营商管理接口允许统一地管理内容授权。
方便地处理不同DRM类型的内容注入。
统一处理来自不同类型的终端设备的授权请求。
SVE-MultiDRM-PlayReady DRM提供Microsoft Smooth Streaming或者MPEG-DASH格式的内容,用于向PC浏览器或者Windows Phone客户提供服务。
SVE-MultiDRM-Widevine DRM提供MPEG-DASH格式的内容,用于向chrome浏览器或者android设备客户提供服务。
SVE-MultiDRM-FairPlay Streaming DRM提供HLS格式的内容,用于向safari浏览器、ios、apple tv以及mac os x用户提供服务。
SVE-MultiDRM-ChinaDRM2.0提供HLS/大TS格式的内容,用于向IPTV/OTT大屏设备用户提供直播点播的内容加解密服务。
简单来讲,各DRM系统就是数字媒体内容拥有者(一般是视频服务运营商)先把视频内容通过对应的DRM系统进行处理得到上了锁的视频内容(密钥保护)和开锁的钥匙(加密视频内容的密钥),消费者要想观看上了锁的视频内容的时候就得找数字媒体内容拥有者拿到对应的钥匙才能开锁享受视频服务。知安视娱MultiDRM可以以统一的方式管理不同DRM系统,应用于各种类型的设备。
知安视娱基于自身的内容保护产品技术基础,结合多年来跟好莱坞制片厂建立的信任和友好关系,公司创新地为中国OTT/IPTV业务运营商提供“好莱坞等高价值影视内容分销+DRM和水印等内容保护、IPTV、真4K家庭影院高端”创新的商业和业务模式。
基于知安视娱打造的端到端4K高价值内容保护系统,全球头部IP例如好莱坞头部制片商,可以应用这些DRM、水印及盗版监测系统,实施全世界先进的B2B2C的商业模式,把真4K电影或窗口期影片加密传送到消费者的家里,既保障了内容的安全不被盗版,又有技术手段获得真实的消费者订阅内容的数据。同时,推进IPTV真4K家庭影院高端业务的创新及落地,部署完备的内容保护系统。
点击左侧图片可查看上期发布产品
