1. 概述

DRM领域背景：

数字版权管理（DRM）技术主要用于保护内容拥有者或服务提供商提供给用户消费的内容，这些内容包括音/视频内容、文件等，使得只有获得授权的用户才能够按照内容拥有者或服务提供商设置的权限或商业规则消费这些受保护的内容。当前，DRM技术普遍采用国外专利技术、国外密码算法及产品，不利于我国数字版权保护体系的自主可控。互联网视频运营环境复杂、授权模式多样化、4K/HDR 视频多分辨率编码及HDR 动态元数据编码、VR 多视角编码、终端智能化等对现有的数字版权保护与监管体系提出了新的挑战，满足互联网+环境中4K/HDR、VR 等视频内容运营需求的版权保护与监管体系尚不健全。基于此，迫切需要突破基于国产密码的多媒体版权保护应用与支撑技术，建立基于国产密码的多媒体版权保护与监管体系。

国家及行业在该领域的与安全相关的政策法规主要包括:

（1）《广播电视安全播出管理规定》（国家广播电影电视总局令第62号），国家广播电影电视总局于2009年颁发。该规定从基本保障、日常管理、重要保障期管理、应急管理、监督管理、法律责任等方面，全面规定了安全播出相关运维管理要求，我国所有从事广播电视播出、传输、覆盖等业务的单位均采用该规定进行保障安全播出开展的技术维护、运行管理、应急处置及其他相关活动。

（2）《广播电视相关信息系统安全等级保护基本要求》, 国家广播电影电视总局于2011年颁发。对广播电视相关信息系统安全等级保护基本要求进行规范，规定了不同安全等级的广播电视相关信息系统的基本保护要求,包括技术要求、物理要求和管理要求三部分。

（3）《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

（4）《国家信 息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

（5）《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

（6）《信息安全等级保护管理办法》(公通字[2007]43号)

（7）GB/T 22240-2009 《信息安全技术信息系统安全等级保护定级指南》

（8）GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求 

商用密码应用的意义：

（1）加强国内厂家的开发支持国密算法芯片的技术能力；

（2）培养国产芯片市场，降低芯片生产成本；

（3）有利用建设国家主管部门组织的安全性检测机构；

（4）有利于我国数字版权保护（DRM）体系的自主可控。

2. 需求分析

DRM通常应用于双向网络的端到端内容保护，其系统实施所面临的安全风险包括：

（1）网安全威胁，比如，各种网络攻击、木马等；

（2）设备安全，设备包括头端设备和终端设备，其安全风险包括：硬件威胁，接口安全，操作系统安全，应用软件安全等

（3）内容安全

数字电视内容安全在内容的存储、传输、播放过程中都会面临安全威胁。

 内容在服务端如果明文存储，那么容易收到攻击，从而获取内容明文；

 内容如果明文传输，那么内容容易在传输过程中被非法录制；

 在传输通道上，也容易被非法内容干扰或插播；

 在终端，如果有明文的内容在buffer中或存储设备中，那么内容可能会被录制分发；

 如果设备输出接口不保护，内容也会从接口上被录制；

 在终端，如果内容保护软件安全性不够，也会被破解，从而导致内容或密钥泄露。

解决上述所遇到的安全问题，都需要有密码做基础支撑，来保护网络的安全，设备的安全和内容的安全。本方案全面采用国产密码算法SM2,SM3和SM4来保护音视频内容的安全。

3. 方案架构

3.1 技术架构

图 3 1方案架构图

这是一个端到端的互联网电视数字版权管理系统，主要包括DRM服务器、DRM客户端、PKI系统和DRM内容提供者，对互联网电视内容进行有效的数字版权管理。

内容在DRM内容提供者（服务提供商或内容提供商）处进行了加密（采用SM4算法），加密后的内容送给DRM客户端；DRM服务器产生许可证，它描述了被授权设备和内容的使用权限等信息（许可证采用SM3做信息完整性验证，分别采用SM2和SM4对许可证的不同密钥和数据进行了加密）。权利获取协议定义了DRM服务端和DRM代理进行安全通信和传递许可证的技术方法（采用SM3和SM2做信息完整性验证和数字签名）；信任与安全体系定义了基于PKI系统的信任技术机制，证书采用SM3和SM2算法。 

3.2 产品部署图

图 3 2方案部署图

DRM头端部署在运营商处或云端，与运营后台系统(内容管理，AAA系统等)进行交互。PKI证书可采用第三方提供，也可以由DRM提供商提供。

（1）网络安全

DRM头端系统独立子网，与外部的接口采用硬件防火墙进行隔离，对外部访问进行设备认证等

（2）设备安全

设备的登陆需要访问控制（强口令、权限），所用的OS进行的安全的裁剪并移除不需要的功能、关闭不用的端口，并设置可访问IP和端口/协议等

3.3 主要功能

 内容加密：对直播和点播的音视频内容进行加密（SM4）；

 授权：给播放用户按购买情况授予使用权限。当用户播放加密的内容时，如果终端本地没有授权，那么终端向DRM头端系统申请授权（SM2,SM3,SM4）。

 双向认证：头端和终端在通信的过程中进行相互认证（SM2和SM3）

3.4 主要技术指标

 DRM授权服务器同时支持的终端并发数，可通过集群方式解决。

 授权加密机的效率，可通过多台并行解决。

 直播加密机的实时性，也可通过多台并行解决。

 安全性，通过第三方机构提供的安全测试

4. 方案特色

 针对永新视博的DRM解决方案SecureMax，其特色和优势包括：

 方案全面采用国产密码算法SM2, SM3 和SM4，其中，头端配备硬件加密机，通过了国密测试并获得国密产品型号证书

 DRM系统可根据用户量进行动态自适应（动态负载均衡）

 支持主备和灾备配置

 可进行云端部署

 支持各类终端类型，包括PC，手持设备和机顶盒等

 支持不同安全级别的解决方案，包括软方案、硬件方案和增强硬件方案

 符合ChinaDRM标准，SecureMax系统通过了广电ChinaDRM Lab的标准符合性和安全性测试

 各个安全级别的方案，其安全性均通过了国际第三方Farncombe的测试认证

 具有规模部署的成功案例

5. 适用领域

本方案适用于公共服务领域的数字电视、互联网电视和互联网视频行业。

用于行业中的内容版权管理，以保护运营商/服务提供商和内容提供商的合法权益。

6. 企业分工

方案实施过程中的相关企业包括：

 芯片提供商，终端芯片和安全芯片

 设备提供商：头端专用设备如加密机，终端运营商控制设备如机顶盒

 DRM方案提供商：提供DRM端到端的解决方案供应商

 系统集成合作厂商：运营或提供服务所需要的其它后台系统，比如：运营管理系统，内容管理系统等

 运营商/服务提供商：提供音视频直播或点播等服务提供者

以永新视博DRM系统SecureMax为例，其产品清单包括：

1) 证书加密机

2) 授权服务器

3) 数据库

4) 直播/点播加密机

5) 终端软件/硬件

7. 应用案例

目前国内DRM系统整处于初级阶段，已经出现了一些应用和部署需求。

永新视博DRM系统SecureMax已经有一些应用的案例，但到目前为止，国密算法的DRM系统还没有实施部署。主要原因是一些外部条件不完全成熟，比如，具有国密算法的数字电视终端和机顶盒芯片启动较晚。目前永新视博正在积极推进国密算法的DRM系统的部署。

                                    北京永新视博数字电视技术有限公司

                                     联系人：张晶

                                     电  话：1355292869