关于数字版权管理系统的测试与评估

郭晓霞，王　磊

(国家新闻出版广电总局 广播科学研究院，北京 100866)



关于数字版权管理系统的测试与评估

郭晓霞，王磊

(国家新闻出版广电总局 广播科学研究院，北京 100866)

摘要:2014年5月国家新闻出版广电总局发布GY/T 277—2014《互联网电视数字版权管理技术规范》为媒体融合内容保护提供了技术基础，如何对基于该标准研发的数字版权管理系统进行互操作测试，如何确保系统研发与部署实施层面的安全成为当前亟需解决的问题。从标准符合性和系统安全性两个方面探讨了数字版权管理系统的技术要求和测试评估方法，以支撑符合行业标准的数字版权管理系统的实施。

关键词:媒体融合；数字版权管理；标准符合性测试；安全性评估

1数字版权管理系统

当前，随着媒体融合、智慧广电、宽带中国、三网融合等国家战略的持续推进，高清、超高清内容业态快速发展，融合媒体内容业态创新为数字内容版权管理系统提出了更高的要求。2014年5月，国家新闻出版广电总局适时的颁布了GY/T 277—2014互联网电视数字版权管理技术规范，规定了数字版权管理系统的关键技术、协议、算法，为满足媒体融合内容运营的数字版权管理系统实施提供了标准的基础技术支撑[1]。为推进符合行业标准的数字版权管理系统的落地实施，需要基于该标准规范提出数字版权管理系统的技术要求和测试方法，以指导技术提供商提供符合标准的安全的数字版权管理系统解决方案。

数字版权管理系统的技术要求包括标准符合性要求和安全性要求两个方面。标准符合性要求用于指导技术提供商研发符合行业标准要求的数字版权管理系统，保障数字版权管理系统之间的互操作，易于运营商对数字版权管理系统的灵活替换。安全性要求用于指导技术提供商研发符合内容提供商、服务提供商提出的内容保护强度的数字版权管理系统。

2标准符合性测试

数字版权管理系统的标准符合性测试主要是提出标准符合性测试要求，并根据标准符合性测试要求和GY/T277技术规范对数字版权管理系统进行测试，以测试被测系统的标准符合性，确保数字版权管理系统之间的互操作。

2.1标准符合性测试要求

数字版权管理系统的标准符合性测试主要是测试内容封装格式、许可证格式、许可证获取协议、密钥算法、信任与安全体系中的数字证书格式以及相关协议是否符合标准规范的要求。

1)内容封装格式

在内容封装格式方面，符合标准的数字版权管理系统应采用GY/T 277—2014第6章规定的内容封装格式中的一种或多种[2-4]，加密后的内容或内容描述文件应包含内容标识及获取许可证必须的信息。

2)许可证格式

许可证编码应遵循GY/T 277—2014第7.2节的规定，许可证中必须包含许可证索引单元、内容单元、被授权对象单元、密钥单元和数字签名单元；许可证中的权利单元应支持播放、按次播放、按时间段播放、连接保护播放、录制、存储、连接保护权利等。

3)许可证获取协议

许可证获取协议应符合GY/T 277—2014第7章规定的权利描述与授权格式。安全交互请求和许可证获取请求应能够获得符合GY/T 277—2014规定的预期响应。4-pass安全交互协议应在DRM代理与DRM服务端第一次交互和校准DRM时间时执行；2-pass许可证获取协议应在DRM代理与DRM服务端通过4-pass安全交互协议建立安全上下文之后执行；DRM代理发送非法请求时，DRM服务端应具备异常容错机制；SessionID及nonce应由随机数生成器生成。

4)信任与安全体系

数字版权管理系统的信任模型、证书格式和安全机制应符合GY/T277—2014第9章规定的要求。

5)关于密钥算法

数字版权管理系统应支持GY/T 277—2014附录B规定的密码算法。

内容加密密钥应是由随机数生成器生成的随机密钥；内容加密应采用AES-128及以上的算法；初始向量IV不允许重复，如果内容分块数量超过IV的最大数量应更新密钥。内容加密密钥在DRM服务端应安全存储；内容加密密钥应加密后存储在许可证中传输。

许可证应具有时间戳；许可证中的所有密钥单元应加密保护；许可证应采用GY/T 277—2014附录B规定的签名算法签名保护。

许可证获取协议的消息应采用GY/T 277—2014附录B规定的签名算法保护。

2.2标准符合性测试方法

数字版权管理系统标准符合性测试环境如图1所示。

图1　标准符合性测试环境

测试环境部署完成后，按照设计的测试用例进行内容消费等相关操作，标准符合性测试工具将记录测试过程中的相关消息，通过对测试工具记录的消息的分析，实现对内容封装格式、许可证格式、许可证获取协议消息、信任与安全体系以及相关密码算法的标准符合性测试。

3安全性测试与评估

数字版权管理系统仅仅满足标准符合性要求是不够的，在具体的实施过程中，尤其是客户端DRM代理的安全实现更加关键。因此，在标准符合性测试的基础上，需要对数字版权管理系统的研发与实施提出安全性要求，并能够提出安全性测试与评估的方法对数字版权管理系统的安全性进行测试、评估和安全性分级，以指导内容提供商、服务提供商选择符合其内容安全要求的解决方案。

3.1安全性要求

本文对数字版权管理系统的安全性要求分为基本安全要求、服务端安全要求和客户端安全要求3个部分；根据客户端的具体实现机制又对客户端安全要求分为3个级别，以指导对数字版权管理系统的安全性进行分级。

1)基本安全要求

(1)内容加密密钥应是由随机数生成器生成的随机密钥；内容加密应采用AES-128及以上的算法；初始向量IV不允许重复，如果内容分块数量超过IV的最大数量应更新密钥；解密内容只允许在解码播放的时候暂存在内存，禁止将解密内容写到存储；下载内容应加密保存在当前设备中；应具有安全机制确保只输出加密内容。

(2)内容加密密钥在DRM服务端应安全存储，内容加密密钥应加密后存储在许可证中传输。

(3)许可证应具有时间戳；许可证中的所有密钥单元应加密保护；许可证应采用GY/T 277—2014附录B规定的签名算法签名保护。

(4)消息协议的消息应采用GY/T 277—2014附录B规定的签名算法保护。

(5)密钥应由随机数发生器生成；密钥应始终被加密保护；服务端密钥应由硬件加密后安全保护；客户端应有安全存储区存储数字证书信息、许可证信息。

(6)应具有时间同步保护机制。

2)服务端安全要求

DRM服务端应保障内容、DRM服务端私钥、内容加密密钥、加密密钥的密钥等的安全存储；应保障客户端信息、数字证书、权利获取协议消息、协议版本、OCSP协议消息、许可证以及状态信息等的完整性和真实性。

DRM服务端应具有拒绝未授权访问的机制，应具有日志安全存储于审计的功能，DRM服务端的实施应符合ISO27002—2013指南的要求。

3)客户端安全要求

DRM客户端应满足客户端私钥和其他敏感信息的安全性和完整性；DRM客户端应按许可证的要求解密和使用内容，解密后的内容不能为用户获取；根据DRM客户端的具体实施机制，其安全要求分为基于软件的安全、基于硬件的安全和增强硬件安全3个等级。

(1)基于软件的安全

基于软件的安全是指DRM客户端全部由软件实现，客户端私钥、许可证信息、内容加密密钥信息等全部采用软件机制实现安全保护；具体的软件安全保护机制有代码扰乱、代码签名、代码运行时防篡改、软件方式存储安全、白盒密码等。

(2)基于硬件的安全

基于硬件的安全是指采用终端硬件芯片中的硬件安全机制实现DRM客户端核心敏感信息的保护和实施。具体的安全机制包括：可信执行环境(Trusted Execution Environment， TEE)、安全视频路径(Secure Video Path，SVP)、硬件信任根(Hardware Root Of Trust，HROT)、安全启动等。

(3)增强硬件安全的具体要求包括：

①应具有基于硬件的安全存储；

②所有的加密算法应该由硬件模块实现；

③应能够持续更新DRM客户端的安全机制；

④应支持基于会话的视频数字水印技术以实现盗

版追溯；

⑤应具有多样性的内容保护机制，如一次一密等。

3.2安全性评估方法

数字版权管理系统的安全性评估一般采用问卷和文档评估的方式进行。数字版权管理系统提供商应根据安全性要求给出点对点技术应答，并提供详细的系统设计与部署方案文档；同时，提供相关设计、开发文档，证明设计研发过程符合ISO 27043规定的安全开发要求。

根据被测方提供的点对点技术应答、系统设计与部署文档、设计开发文档评估被测系统的安全性。

4总结与展望

本文探讨了数字版权管理系统的标准符合性与安全性技术要求和测试评估方法；在数字版权管理系统安全性测试与评估方面仅探讨了基于文档的安全性评估方法，未来对于数字版权管理系统的安全性测试与评估还应考虑如何对系统的具体实现进行必要的白盒测试或灰盒测试，通过白盒代码扫描与分析、灰盒渗透测试与攻击等方式从技术上更进一步地测试数字版权管理系统的安全性。

参考文献：

[1]GY/T 277—2014，互联网电视数字版权管理技术规范[S].2014.

[2]ISO 23009-1，信息技术——基于HTTP的动态自适应流媒体(DASH) 第1部分：媒体展现描述与分段格式[S].2012.

[3]ISO 23009-4，信息技术——基于HTTP的动态自适应流媒体(DASH) 第4部分：分段加密与认证[S].2013.

[4]Internet-draft： HTTP live streaming： draft-pantos-http-live-streaming[S].2012.

责任编辑：时雯

Testing and evaluation of digital rights management system

GUO Xiaoxia，WANG Lei

(AcademyofBroadcastingScience，SARFT，Beijing100866，China)

Abstract:GY/T 277—2014 “Technical Specification of Digital Rights Management for Internet Television” approved by State Administration of Press， Publication， Radio， Film and Television of The People’s Republic of China on May 2014，provides the technical support for the protection of media content. How to test the interoperability between different DRM systems complying with the specification above， ensure the security of development and implement become an urgent problem to be solved. This paper discusses the technical requirements and testing methods of digital rights management for internet television from two aspects of the compliance requirement and security audit.

Key words:media convergence；digital rights management；compliance testing；security audit

中图分类号：TP37

文献标志码:A

DOI：10.16280/j.videoe.2016.05.029

作者简介：

郭晓霞，女，高级工程师，主要从事广播影视信息安全、数字版权保护技术等研究工作。

收稿日期：2015-11-03

文献引用格式：郭晓霞，王磊.关于数字版权管理系统的测试与评估[J].电视技术，2016，40(5)：141-143.GUO X X，WANG L. Testing and evaluation of digital rights management system[J].Video engineering，2016，40(5)：141-143.