DCI数字电影安全体系*

张亚娜，张 远，张 琦

（中国传媒大学 信息工程学院，北京 100024）

1 引言

由美国好莱坞7大主要电影公司组成的美国数字电影倡导组织（Digital Cinema Initiatives，DCI）是一个专门起草、制定数字电影技术规范并进行相关测试、评价的机构。由于好莱坞在全球电影的重要地位，其制定的数字影院技术规范、符合性测试规范在全球数字影院发展中具有广泛的影响力。2007年4月DCI发布了数字影院系统规范1.1版本[1-2]，对数字电影的相关技术制定了详细的规定，其中包括发行母版（包括音视频格式）、压缩标准、打包、传输、影院系统、投影和安全等。2008年3月DCI发表了数字影院系统规范1.2版本[3]。

2 数字电影系统的构成

图1 数字电影系统框图

数字电影系统的运作流程[4]一般分为电影母版生成、传输、存储/播放和投影放映，如图1所示。首先，从数字拍摄或胶片转数字或计算机制作获取数字电影节目源，随后利用数字中间片（Digital Intermediate，DI）的工艺与技术进行电影节目的后期制作。在电影的后期制作阶段，通常会将影片输入计算机系统形成数据文件序列。进行动画特效合成、彩色校正和调光等处理后所形成的数据文件集称为数字源母版 （Digital Source Master，DSM）。接着将DSM转换为数字电影发行母版（Digital Cinema Distribution Master，DCDM）。 DCI规范中分别定义了DCDM文件的图像、声音、字幕和子画面（叠加图形）等的特性及数据文件格式[1，3]，然后需要对视频序列的每一帧图像进行JPEG2000压缩[5]。音频信号不需要压缩，仍保持原有的PCM形式。为防止影片内容被盗版，压缩后的图像序列文件还需经过加密（音频、字幕及其他辅助数据加密可选），再经过打包，最终构成数字电影数据包（Digital Cinema Package，DCP）。 DCP 中包含了封装后的视音频文件、同步工具、素材管理工具、元数据、内容保护和其他必要信息。随后通过宽带卫星网络、高速光纤网和物理媒介（硬盘、光盘等）等途径传输DCP。在影院的放映端，服务器对接收到的DCP进行解包、解密和解压缩从而得到DCDM。最后，放映机将数字图像转换为光信号投映到屏幕上，影院的还音系统实现了声音信号的还原。

3 数字电影安全体系的目标

相对传统胶片电影，数字化使得高质量的内容更容易复制和分发。因此，内容安全是数字电影系统的一个重要组成部分，系统中的每一个环节都需要充分考虑安全性与可靠性，以防止数字节目被非法截取或未授权传播[6]。数字内容保护系统的设计很大程度上取决于其运行的环境，包括内容的价值曲线、系统中参与者的数目、被盗版内容的再发行渠道、发现盗版的难度和破解内容保护措施的成本等。与卫星电视订阅、DVD拷贝保护等内容保护系统不同，数字电影的运行环境有其独特之处。首先，内容的价值曲线不同。数字影片在刚刚发行后的前期，价值最高，随后就会急速下降。这对影片的前期发行提出了相当高的安全要求，而对后期相对较低。其次，数字电影系统的参与者相对更具体，数量也少。被盗版的电影目前多通过光盘和因特网进行传播。

数字电影安全体系的主要目标是保护数字影片内容所有者、影片发行商和放映影院的正当权益，确保内容的安全发行和对影片内容的有条件访问。从商业需求方面考虑，安全体系应能支持正当放映、内容版权保护和记录与安全有关的事件；从技术方面考虑，在满足上述要求的同时，数字电影安全体系的框架应基于一个开放式架构，它不仅支持开放、标准化的安全操作，而且能够保证数字影院内安全设施之间的互操作性。此外，数字电影安全体系框架的构建还应具有前瞻性、可扩展性和可升级性，从而可根据技术、运营、管理等发展的要求不断完善。

4 数字电影安全体系的框架

从本质上来说，数字电影的安全系统是一种许可证管理系统，其功能主要围绕数字电影放映权利的创建、许可、获取、使用与管理展开，以保护数字电影发行者和放映影院的权益[7]。身份认证、权力的控管和影片内容保护是安全系统的核心功能。因此，DCI数字电影安全体系的设计主要解决4个问题：机密性传输，版权管理（访问控制），系统平台的安全，版权保护[8]。这是DCI数字电影安全体系的四大基本功能，如图2所示。

4.1 影片内容的加密传输

图2 DCI数字电影安全体系

数字影片内容应使用加密技术进行保护。目前，加密技术主要分为对称加密和非对称加密技术两大类。对称加密系统中加密和解密均采用相同的密钥，通信双方都必须获得密钥，加密速度快。对称加密技术的主要问题是需要传送密钥并保证密钥的安全性和完整性。非对称加密系统采用的公钥和私钥是不同的，私钥仅为本人所知，公钥由本人公开并由一组用户所共享，而且不能彼此推出，算法复杂度高。鉴于对称加密技术和非对称加密技术的上述特点，DCI数字电影安全体系中采用的方案是：用对称加密算法加密影片数据，然后采用非对称加密算法管理对称算法的密钥。这样就集成了两类加密算法的优点，既实现了加密速度快，又实现了密钥的安全传输和管理。

DCI规定采用AES（Advanced Encryption Standard）来加密数字电影节目内容，具有安全性高、抗攻击能力强、隐蔽性好、吞吐量高等特点，采用CBC（Cipher Block Chaining）模式下128 bit的密钥长度更加保证了信息的安全性[9]。规范同时指出加密过程中不得丢失信息，图像或声音轨迹文件加密不要求对文件中的全部帧加密，每个轨迹文件必须使用一个唯一密钥；加密算法应支持对轨迹文件中基本数据任意帧的随机访问，允许基本数据每一帧中的通用头信息是明文数据。

4.2 授权分离的版权管理框架

为了提高数字电影授权许可发放的灵活性和安全性，方便发行端对用户授权许可的存储和管理，DCI数字电影系统采取将加密后的数字电影与授权许可相分离的分发机制。授权许可中主要包含AES128节目密钥、密钥有效时间、信任设备列表（Trusted Device List，TDL），通过密钥传送消息（Key Delivery Message，KDM）的形式，同已加密的影片内容一起发送给影院接收方。

为保证只有发行方认可授权的影院接收方才能对影片内容解密并在授权范围内使用，通常采用数字证书和数字签名技术来保障授权许可信息的安全性、真实性和完整性[10]。影院设备制造商和发行方都使用RSA（Rivest Shamir Adleman）非对称密钥技术各自生成一个唯一匹配的公钥和私钥的密钥对，并将公钥及个人信息传送给CA（Certificate Authority）中心生成相应的数字证书。

图3给出了KDM生成、传输和使用的完整过程。发行方使用接收方影院设备的RSA公钥对授权许可信息进行加密，生成 “密钥密文”；接收方影院使用对应的RSA私钥对“密钥密文”进行解密得到授权许可信息。由于任何其他第三方不能直接获得私钥，而又无法从公钥推导出私钥，因而即使获得了“密钥密文”，也无法从中解密得到AES128节目密钥，从而保证了授权许可信息传输的安全性。另一方面，发行方使用SHA-256摘要算法，生成“密钥密文”的摘要消息，然后使用发行方RSA私钥对其进行加密后得到“密钥密文”的签名值，该签名值与“密钥密文”一同进行传送；接收方影院使用对应的RSA公钥解密签名值，得到“密钥密文”的摘要消息，同时利用相同的摘要生成算法，从“密钥密文”直接生成一份摘要消息。如果签名值能正确被解密，则可保证授权许可信息的真实性；如果本地生成的摘要消息与解密得到的摘要消息相一致，则保证了授权许可信息的完整性。其中，不论接收方影院RSA公钥还是发行方RSA公钥均以数字证书的形式由CA中心发行。除此以外，AES128节目密钥的其他相关信息（如节目信息等）以明文方式直接进行传输，但为保证其真实性和完整性，同样需要采用数字签名技术对其进行类似的处理。

总之，授权许可的“密钥密文”、AES128节目密钥相关信息的“密钥密文”及其各自的签名值组成了KDM，同DCP一起发送给影院接收方。接收方收到KDM后，可以解密“密钥密文”得到授权许可信息，并通过解密和比较分别验证其真实性和完整性。

4.3 系统平台安全

在数字电影系统的安全体系中，影院系统本身的安全性尤其需要加强。安全管理器（Securiy Manager，SM）是影院系统安全体系的核心。每家数字影院都必须有其专用的影院安全体系，由安全管理器管理下的多个子系统构成。安全管理器负责管理放映厅的所有安全实体 （媒体解密器和取证标记嵌入器等）和所有安全数据（密钥、安全日志等）。安全管理器必须确保只有符合DCI规范的安全设备才能参与安全操作，通过检查设备的数字证书实现设备身份认证功能。每个安全处理模块应当至少拥有一个数字证书，由设备制造商提供。数字证书包含设备的公钥以及设备的构造、模型、通用唯一编号（UUID）和数字证书的序列号，还包括该设备的角色信息，用于描述其在DCI数字电影系统中的作用。数字影院证书应遵守ITU X.509标准第3版，为降低X.509证书的复杂性和模糊性，应用于数字影院的证书标准有相应限制，参见DCI1.2规范9.5.1节[3]。

图3 DKM生成、传输和使用流程

安全管理器建立其和安全设备之间的安全通信信道。对于影院服务器与数字电影放映机相分离的数字放映系统，必须在服务器的媒体模块与数字放映机之间进行链路加密，以保护影片明文。链路加密是指传输数据仅在物理层之上的数据链路层进行加密，而不考虑信源和信宿，它用于保证通信节点之间的数据传输安全。信息在每个节点机内部都要被解密、再加密，依次进行，直至到达目的地。DCI规定使用加密的Dual-dual Link HD-SDI接口（SMPTE 372M 1.5 Gbit/s Digital Interface for 1 920×1 080 and 2 048×1 080 Picture Formats）来进行链路加密，采用128位密钥的AES加密算法。安全管理器生成会话密钥，交换参与会话的双方设备的公钥或私钥对。这个过程需确保窃听者不能获取被交换的密钥。会话密钥接着被用来加密这两个设备之间的通信。由此，安全管理器对所有的安全实体提供严密物理安全保护，并保证其内部信号传输通道的安全。

4.4 版权保护机制

版权保护一直是数字电影应用中的一个难点。数字电影可能引起内容泄密的途径主要有：1）在内容的后期制作和传输中出现内容泄漏；2）在影片的分发中用户合作共谋盗版；3）在影片的发布和放映过程中，盗版者通过手持摄像机录制作品。第3种也是目前最普遍的攻击方式。数字电影安全系统中的版权管理机制对于这种使用欺骗设备复制节目内容的问题无能为力，其原因在于DRM是以媒体内容加密为核心，加密的媒体内容在使用前被解密，而一旦解密，媒体内容就离开了DRM的保护范围。也就是说，盗版者只需作为一个合法的用户（观众），就可以随意进行节目内容的复制和再分发这一非法活动。

为解决这类影院放映中的安全问题，通常采用取证标记（稳定性数字水印技术）和严格的日志管理实现盗版跟踪。数字水印是取证标记使用的主要技术，当影院服务器和放映机内部使用数字水印设备后，取证标记将被加入到放映的影像中。当影像被偷拍制作为盗版作品进行传播时，可以通过提取取证标记精确地定位盗版发生的源头。需要指出的是，数字水印并不能直接阻止盗版行为的发生，而是通过验证影片的所有权来揭露非法拷贝、传播行为，以法律手段对其进行制裁，间接地打消盗版者非法复制的企图，从而起到保护知识产权的作用。DCI规范中要求所使用的取证水印具有高不可见性、强稳定性和安全性，尤其强调取证水印要能抵抗摄像机捕获攻击。规范规定取证标记设备每5 min嵌入35 bit的水印净荷，其中16 bit用于验证放映时间，剩余19 bit用于验证放映场所。相应地，应在30 min内容片断上完成水印的检测和恢复。数字电影通常是在大量的视音频序列上进行取证标记实时嵌入，而水印提取仅在发现盗版时进行。为了提高水印稳定性和安全性，取证水印提取复杂度可以很高；而水印嵌入的复杂度应较低，侧重满足实时性要求。在DCI 1.2版本中，又特别提出了取证标记的技术实现上应具有开放性、兼容性和良好的可更新性。任何采用预处理的取证水印技术都应使用通用的嵌入器结构和工业标准化的元数据传输格式。通用嵌入器应至少满足可根据3个以上不同取证水印生产厂商所提供的元数据进行水印嵌入。

DCI数字影院安全体系中，与取证标记共同构成严格的盗版追踪链的另一必不可少的组成部分是安全日志。安全日志用于记录安全实体的安全事件、篡改检测和安全组件的维护，如设备上电、断开，传输层安全会话的建立和中断，解密、解码或取证标记操作的开始和结束等[3]。安全日志报告包含一条或多条时间上连续的日志记录，而每则日志记录包含一个安全事件。日志报告中的日志记录根据类别组织在一起，而且在发送之前可以过滤。日志记录和日志报告均采用标准XML结构。

当发生盗版事件时，通过检测盗版影片内容中的取证水印找到影片被盗的影院，利用该影院放映的安全日志加以验证，获得有效的证据链，因此可以作为追查盗版行为的法律证据。

5 小结

数字电影安全体系是一个端到端的系统，可以划分为发行环节（包括密钥与证书管理、打包/加密与发行管理等）、影院放映环节（包括服务器密钥与证书管理、链路加密、取证标记嵌入、安全日志记录等）和安全追踪（包括取证标记检测、提取的管理）。数据加密、数字证书、数字签名和数字水印等多项技术的综合应用，最终实现了数字电影安全体系设计的主要目标。

[1]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.1[S].2007.

[2]彭妙颜.数字电影的发展及其相关标准[J].电视技术，2008，32（8）：83-84.

[3]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.2[S].2008.

[4]彭妙颜.基于信息化音视频技术的数字电影系统[J].电视技术，2008，32（9）：82－85.

[5]ISO/IEC 15444-1:2000.JPEG2000 Image coding system-Part 1:Core coding system[S].2000.

[6]BLOOM J A.Security and rights management in digital cinema[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1220994.

[7]The National Association of Theatre Owners,Digital cinema system requirements[EB/OL].[2009-06-20].http://www.natoonline.org/NATO%20Digital%20Cinema%20System%20Requirements%20-%20release%201-02.pdf.

[8]KIROVSKI M，PEINADO M，PETITCOLAS F A P.Digital rights management for digital cinema[J].Multimedia Systems， 2003， 9:228-238.

[9]BLOOM J A.Digital cinema content security and the DCI[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F4067758%2F4067759%2F04067984.pdf%3Farnumber%3D4067984&authDecision=-203.

[10]刘茂英.数字影院系统中节目及密钥的安全机制及其实现过程[J].现代电影技术，2007（10）：16-20.