王 磊 ，謝錦輝 ，汪 瑛 ，郭曉霞 ，王 昱

（1.中國傳媒大學(xué) 信息工程學(xué)院，北京 100024；2.國家廣播電影電視總局廣播科學(xué)研究院，北京 100866；3.海軍91917部隊，北京 100000）

1 概述

隨著廣播電視數(shù)字化進(jìn)程的推進(jìn)，以及消費類電子產(chǎn)品的快速更新?lián)Q代，單純依靠條件接收系統(tǒng)的業(yè)務(wù)保護(hù)已經(jīng)不能滿足內(nèi)容保護(hù)的需求。用戶在獲得業(yè)務(wù)授權(quán)觀看數(shù)字電視的同時，可以錄制節(jié)目內(nèi)容，并且可以將內(nèi)容傳輸?shù)紻VD播放器、PC、手機(jī)等其他設(shè)備進(jìn)行再消費。這樣，就不可避免地產(chǎn)生節(jié)目內(nèi)容的再分發(fā)，尤其是在互聯(lián)網(wǎng)上的再分發(fā)，極大地?fù)p害了內(nèi)容提供商和服務(wù)提供商的利益。數(shù)字版權(quán)保護(hù)就是采用內(nèi)容加密、權(quán)利描述、數(shù)字水印等技術(shù)，保證合法用戶在一定的限制條件下合法消費數(shù)字內(nèi)容，防止非法用戶的使用以及合法用戶的非法再分發(fā)，確保內(nèi)容創(chuàng)作者的權(quán)益[1]。

數(shù)字版權(quán)管理（Digital Rights Management，DRM）系統(tǒng)的邏輯主體包括內(nèi)容提供者、內(nèi)容發(fā)布者、內(nèi)容消費者、認(rèn)證中心以及交易中心。廣播電視數(shù)字版權(quán)管理系統(tǒng)的參考模型如圖1所示。該參考模型由中國廣播影視數(shù)字版權(quán)管理技術(shù)論壇（ChinaDRM Forum）于2004年提出。

廣播電視數(shù)字版權(quán)管理的核心包括：內(nèi)容加密打包、權(quán)利描述與許可證管理、消息協(xié)議、信任與安全體系、密鑰管理等。其實現(xiàn)涉及到數(shù)字水印技術(shù)、加密技術(shù)、權(quán)利描述技術(shù)、數(shù)字簽名技術(shù)等。

2 密鑰管理體系

廣播電視數(shù)字版權(quán)管理要實現(xiàn)：從內(nèi)容提供、發(fā)布到消費全流程的內(nèi)容保護(hù)；確保只有授權(quán)用戶根據(jù)對應(yīng)許可和限制的要求合理消費數(shù)字內(nèi)容；防止對有版權(quán)的數(shù)字內(nèi)容進(jìn)行非法訪問、篡改和發(fā)布。

現(xiàn)階段，數(shù)字版權(quán)管理系統(tǒng)以加密授權(quán)為核心，實現(xiàn)對業(yè)務(wù)和內(nèi)容的保護(hù)。內(nèi)容通過內(nèi)容加密密鑰（Content Encryption Key，CEK）加密后發(fā)布；終端用戶獲取消費內(nèi)容的內(nèi)容許可證，許可證中包含有操作內(nèi)容的權(quán)利、限制信息以及CEK；用戶在權(quán)利和限制的條件下使用CEK解密數(shù)字內(nèi)容實現(xiàn)對業(yè)務(wù)的授權(quán)，以及對內(nèi)容的保護(hù)。因此，廣播電視數(shù)字版權(quán)管理的邏輯主體可抽象為：內(nèi)容、權(quán)利和用戶。內(nèi)容指的是有版權(quán)數(shù)字內(nèi)容。權(quán)利是給予用戶的在一定限制條件下對內(nèi)容的一系列操作。這里的用戶是指廣播電視數(shù)字版權(quán)管理體系中涉及到的所有參與者，包括內(nèi)容提供者、內(nèi)容發(fā)布者、權(quán)利發(fā)布者和內(nèi)容消費者。3個邏輯主體之間的關(guān)系如圖2所示。

圖2 內(nèi)容、權(quán)利與用戶

權(quán)利與內(nèi)容之間通過內(nèi)容索引信息對應(yīng)。根據(jù)業(yè)務(wù)模式和用戶需求的不同，一個內(nèi)容可以有多種不同的權(quán)利組合。權(quán)利信息中包括使用權(quán)利、限制條件以及加密內(nèi)容的內(nèi)容加密密鑰。權(quán)利與終端用戶之間通過用戶索引信息對應(yīng)。終端用戶通過權(quán)利信息獲取解密內(nèi)容的密鑰在權(quán)利限制的條件下來解密數(shù)字內(nèi)容。前端用戶根據(jù)終端的授權(quán)請求將權(quán)利信息同內(nèi)容加密密鑰打包后發(fā)布給終端用戶。

為了實現(xiàn)對內(nèi)容的加密、權(quán)利信息的授權(quán)以及用戶的認(rèn)證，需要實現(xiàn)一整套的密鑰管理體系。從密鑰管理的角度來看，廣播電視數(shù)字版權(quán)管理體系可看為一個分層的（3層）密鑰管理體系（見圖3）：1）內(nèi)容使用 CEK加密后發(fā)布；2）CEK使用權(quán)利加密密鑰 （Rights Encryption Key，REK）加密后同內(nèi)容使用權(quán)利信息一起打包形成內(nèi)容使用許可證；3）用戶通過用戶注冊、業(yè)務(wù)購買或業(yè)務(wù)訂購獲取REK。

圖3 密鑰管理體系

上述密鑰管理體系適用于內(nèi)容下載業(yè)務(wù)，一般端到端DRM體系結(jié)構(gòu)都滿足該密鑰管理體系。但在實時播出情況下，如直播和點播業(yè)務(wù)，內(nèi)容加密強(qiáng)度不能過大，否則不能滿足實時播出的要求，為了獲取相應(yīng)的內(nèi)容安全性就必須頻繁更換內(nèi)容加密密鑰，因此在這種情況下，一般采用4層密鑰管理體系，如圖4所示。

在4層密鑰管理體系中：1）實時播出的內(nèi)容流使用頻繁更換的傳輸加密密鑰 （Transmission Encryption Key，TEK）加密傳輸；2）生成的TEK使用業(yè)務(wù)加密密鑰（Service Encryption Key，SEK）或節(jié)目加密密鑰（Program Encryption Key，PEK）加密打包后以加密密鑰流的形式傳輸；3）SEK/PEK由REK加密后，同權(quán)利描述信息一起打包形成內(nèi)容消費許可證發(fā)布給用戶；4）用戶通過注冊、訂購等獲取REK。

在OMA DRM[2]和Marlin[3]技術(shù)體系中，密鑰管理體系也是采用了上述3層和4層管理體系。因此，從密鑰管理的角度來說，目前以加密授權(quán)為核心的版權(quán)管理體系可抽象概括為上述的密鑰管理體系。

3 廣播電視數(shù)字版權(quán)管理體系分層模型

3.1 分層模型概述

文獻(xiàn)[4-6]討論了DRM系統(tǒng)的體系結(jié)構(gòu)以及實現(xiàn)互操作性的各種可能性。通過對這些體系結(jié)構(gòu)的研究，結(jié)合上文對密鑰管理體系的討論，以及對目前廣播電視運(yùn)營模式的分析，筆者認(rèn)為廣播電視數(shù)字版權(quán)管理體系結(jié)構(gòu)可以抽象為圖5描述的分層模型。

圖5 廣播電視數(shù)字版權(quán)管理分層模型

該分層模型分為前端系統(tǒng)分層模型和終端系統(tǒng)分層模型，前終和終端系統(tǒng)都被分為6層：

1）應(yīng)用層是整個框架的頂層，是各種能夠?qū)崿F(xiàn)某種業(yè)務(wù)功能的程序集合。這些程序直接體現(xiàn)了可實現(xiàn)的各種商業(yè)模型和應(yīng)用場景，如點播、下載、按次付費、包月、按頻道付費、互動游戲以及各種交互式服務(wù)等。

2）會話層是實現(xiàn)信任與安全機(jī)制的功能層。用戶在選擇某種業(yè)務(wù)后，會話層負(fù)責(zé)實現(xiàn)用戶與前端系統(tǒng)的各種交互認(rèn)證，如用戶身份認(rèn)證、智能卡身份認(rèn)證、機(jī)頂盒身份認(rèn)證等。通過會話層的各種認(rèn)證協(xié)議，前端與終端系統(tǒng)之間建立起信任關(guān)系或安全通信通道。這種信任關(guān)系或安全通道是終端系統(tǒng)完成業(yè)務(wù)消費的前提。會話層通過安全通道獲取的權(quán)利對象和內(nèi)容對象向底層傳遞，權(quán)利的解析、執(zhí)行及內(nèi)容的消費由下面各層負(fù)責(zé)執(zhí)行。

3）權(quán)利描述層包括各種權(quán)利描述、封裝協(xié)議等。前端系統(tǒng)的權(quán)利協(xié)議層負(fù)責(zé)根據(jù)上層要求描述權(quán)利信息、打包封裝權(quán)利信息到權(quán)利對象；負(fù)責(zé)按照內(nèi)容封裝協(xié)議將權(quán)利對象映射到對應(yīng)的內(nèi)容。終端系統(tǒng)的權(quán)利協(xié)議層負(fù)責(zé)根據(jù)權(quán)利封裝協(xié)議解析權(quán)利對象，負(fù)責(zé)將各種解析出來的權(quán)利項對應(yīng)到相應(yīng)的內(nèi)容項。

4）權(quán)利實施層負(fù)責(zé)執(zhí)行上層傳遞的各種權(quán)利項。前端系統(tǒng)的權(quán)利實施層負(fù)責(zé)按照上層的要求加密內(nèi)容、權(quán)利對象，并打包發(fā)送到下層準(zhǔn)備傳輸。終端系統(tǒng)的權(quán)利實施層接收上層的權(quán)利項及密鑰信息，通過對下層各種接口的調(diào)用管理，具體實現(xiàn)各種權(quán)利項。按照權(quán)利項的具體要求來解密數(shù)字內(nèi)容，限制數(shù)字內(nèi)容的非法消費。如果某個權(quán)利項不允許將內(nèi)容輸出，則該層將禁止在消費某內(nèi)容項時調(diào)用輸出接口，輸出接口驅(qū)動將被設(shè)置為不可用。

5）底層資源層包括系統(tǒng)中各設(shè)備的驅(qū)動程序，如編、解碼設(shè)備，復(fù)用、解復(fù)用設(shè)備，智能卡接口，OSD顯示，紅外遙控接口，各種形式的內(nèi)容輸入輸出接口等。對于終端系統(tǒng)來說，底層資源層還包括嵌入式操作系統(tǒng)。在該層，必須裝有一個實時操作系統(tǒng)（RTOS），決定任務(wù)和線程的調(diào)度，協(xié)調(diào)系統(tǒng)中各線程的運(yùn)行等。

6）硬件層是整個框架的最底層。硬件層指的是系統(tǒng)的硬件設(shè)備，如編、解碼設(shè)備，復(fù)用、解復(fù)用設(shè)備，智能卡接口，OSD顯示，紅外遙控接口，各種形式的內(nèi)容輸入輸出接口等。

分層模型的建立有助于促進(jìn)DRM系統(tǒng)互操作性的實現(xiàn)。DRM分層模型前端與終端系統(tǒng)對應(yīng)層之間通信協(xié)議的標(biāo)準(zhǔn)化以及系統(tǒng)上下層之間通信協(xié)議的標(biāo)準(zhǔn)化是將來數(shù)字版權(quán)管理系統(tǒng)標(biāo)準(zhǔn)化的重點，也是實現(xiàn)各種DRM系統(tǒng)方案互操作性的關(guān)鍵。

由此模型可見，權(quán)利描述層和權(quán)利實施層是整個模型的核心。因此，在廣播電視數(shù)字版權(quán)管理技術(shù)體系設(shè)計過程中，權(quán)利描述及權(quán)利實施機(jī)制是設(shè)計的關(guān)鍵。

3.2 詳細(xì)系統(tǒng)模型

詳細(xì)系統(tǒng)模型如圖6所示。

圖6 詳細(xì)系統(tǒng)模型

廣播電視數(shù)字版權(quán)管理前端和終端系統(tǒng)模型分別可以抽象為圖6中的6個分層。系統(tǒng)上下層之間通過接口進(jìn)行通信；前端系統(tǒng)與終端系統(tǒng)的對應(yīng)層之間通過相應(yīng)的交互協(xié)議進(jìn)行交流。

3.2.1 上下層之間的接口分析

主要分析以下4個關(guān)系：

1）應(yīng)用層與會話層之間

應(yīng)用層與會話層之間通過認(rèn)證接口進(jìn)行通信。應(yīng)用層根據(jù)不同的應(yīng)用場景，將不同的用戶信息、認(rèn)證信息等通過認(rèn)證接口發(fā)送到會話層進(jìn)行認(rèn)證，會話層將認(rèn)證結(jié)果返回給應(yīng)用層的具體應(yīng)用。會話層的功能就是根據(jù)輸入的條件來判斷是否認(rèn)證通過。不同的DRM系統(tǒng)會有不同的用戶認(rèn)證協(xié)議。但是，如果應(yīng)用層與會話層之間的接口是標(biāo)準(zhǔn)的，那么DRM系統(tǒng)就可以實現(xiàn)應(yīng)用層的互操作。比如，運(yùn)營商就可以在標(biāo)準(zhǔn)的認(rèn)證接口上開發(fā)各種應(yīng)用，而不需要考慮具體的用戶認(rèn)證協(xié)議的實現(xiàn)等，在實施過程中可以采用不同的用戶認(rèn)證協(xié)議。

2）會話層與權(quán)利描述層之間

前端系統(tǒng)的會話層與權(quán)利描述層之間通過權(quán)利信息接口進(jìn)行通信。會話層將經(jīng)過認(rèn)證后確認(rèn)的用戶信息、權(quán)利信息、訂購信息以及密鑰信息等傳遞到權(quán)利描述層，由權(quán)利描述層負(fù)責(zé)按照權(quán)利描述協(xié)議打包權(quán)利成為權(quán)利對象，并對應(yīng)具體的內(nèi)容。

終端系統(tǒng)的會話層與權(quán)利描述層之間通過權(quán)利對象接口進(jìn)行通信。會話層經(jīng)過認(rèn)證后，將獲得的權(quán)利對象傳遞到權(quán)利描述層，由該層進(jìn)行權(quán)利對象的解析，得到權(quán)利項、用戶信息、密鑰信息等。

3）權(quán)利描述層與權(quán)利實施層之間

前端系統(tǒng)的權(quán)利描述層與權(quán)利實施層之間通過權(quán)利對象接口交互。權(quán)利描述層將打包的權(quán)利對象通過權(quán)利對象接口傳遞到權(quán)利實施層，由權(quán)利實施層進(jìn)行內(nèi)容加密、權(quán)利對象加密以及內(nèi)容和權(quán)利對象的對應(yīng)封裝。

終端系統(tǒng)正好相反。終端系統(tǒng)的權(quán)利描述層與權(quán)利實施層之間通過權(quán)利信息接口進(jìn)行交互。權(quán)利描述層將解析的權(quán)利信息通過權(quán)利信息接口傳遞到權(quán)利實施層，由權(quán)利實施層根據(jù)權(quán)利項要求，在指定的限制條件下，按照內(nèi)容封裝協(xié)議解密并消費數(shù)字內(nèi)容。

如果權(quán)利信息接口、權(quán)利對象接口標(biāo)準(zhǔn)化，可使得不同的DRM系統(tǒng)之間在進(jìn)行權(quán)利轉(zhuǎn)換時不再存在障礙，大家采用的是同樣的權(quán)利信息，只是描述方式是不一樣的，可能是權(quán)利描述語言，可能是可執(zhí)行代碼等。這樣就使得DRM系統(tǒng)通過互相做接口或者第三方轉(zhuǎn)換等實現(xiàn)互聯(lián)互通成為可能。

接口的標(biāo)準(zhǔn)化，將真正實現(xiàn)系統(tǒng)的模塊化，在DRM系統(tǒng)實施過程中，可以選擇不同提供商的模塊進(jìn)行系統(tǒng)集成，實現(xiàn)DRM系統(tǒng)的有序橫向競爭。

4）權(quán)利實施層與底層資源層之間

前端系統(tǒng)的權(quán)利實施層與底層資源層之間通過加解密接口對內(nèi)容和權(quán)利對象進(jìn)行加密；通過傳輸接口將處理后的數(shù)據(jù)按照通信協(xié)議進(jìn)行發(fā)送。底層資源層具體實現(xiàn)DRM系統(tǒng)所依附的傳輸方式。

終端系統(tǒng)的權(quán)利實施層與底層資源層之間通過加解密接口解密數(shù)字內(nèi)容。根據(jù)權(quán)利項的授權(quán)調(diào)用底層的解復(fù)用、解碼、展現(xiàn)、輸出等接口進(jìn)行內(nèi)容的合理消費。

通過上述分析描述，實現(xiàn)認(rèn)證接口、權(quán)利對象接口、權(quán)利信息接口的標(biāo)準(zhǔn)化，相同功能的DRM模塊就可以實現(xiàn)互換，實現(xiàn)模塊級的互操作。

3.2.2 對應(yīng)層之間的交互協(xié)議分析

應(yīng)用層之間通過不同的協(xié)議實現(xiàn)用戶管理和不同的應(yīng)用場景。

會話層之間通過身份認(rèn)證協(xié)議實現(xiàn)前端和終端的互相認(rèn)證。根據(jù)不同的應(yīng)用場景和安全需求可能會有不同的信任與安全機(jī)制，實現(xiàn)不同的身份認(rèn)證協(xié)議。

權(quán)利描述層之間通過權(quán)利描述協(xié)議實現(xiàn)權(quán)利信息的描述。不同的權(quán)利描述協(xié)議可能將權(quán)利信息描述為XML文件格式的權(quán)利對象，或者也有可能將權(quán)利信息描述為一段可執(zhí)行的代碼等等。權(quán)利是數(shù)字版權(quán)管理的核心，權(quán)利描述是數(shù)字版權(quán)管理系統(tǒng)的核心技術(shù)。

權(quán)利實施層之間的交互協(xié)議有內(nèi)容封裝協(xié)議，根據(jù)不同的系統(tǒng)也可能有其他的協(xié)議。內(nèi)容封裝協(xié)議負(fù)責(zé)權(quán)利與內(nèi)容的對應(yīng)關(guān)系；負(fù)責(zé)將權(quán)利對象與對應(yīng)的內(nèi)容按照一定的格式進(jìn)行打包封裝。

底層資源層通過具體的通信協(xié)議進(jìn)行信息的傳遞，這些通信協(xié)議可能是MPEG-TS，也可能是IP協(xié)議等，視具體應(yīng)用情況而定。

4 小結(jié)

通過建立抽象的廣播電視數(shù)字版權(quán)管理分層模型，可以更深入地理解DRM體系結(jié)構(gòu)，剝離出DRM體系中核心的部分：權(quán)利描述層和其對應(yīng)的接口。通過分析分層模型的各層及層間交互協(xié)議，找到實現(xiàn)DRM系統(tǒng)互操作的途經(jīng)；不同層次的標(biāo)準(zhǔn)化將實現(xiàn)不同程度上的互操作。

[1]王磊，郭沛宇，梁晉春，等.廣播標(biāo)記在數(shù)字電視版權(quán)管理中的應(yīng)用[J].電視技術(shù)，2009，33（3）：15-17.

[2]Open Mobile Alliance.OMA-TS-DRM-REL-V2_0-20060303-A：DRM Rights Expression Language：Approved Version 2.0[S/OL].[2009-10-10].http：//www.openmobilealliance.org/technical/release_program/docs/DRM/V2_0-20060303-A/OMA-TS-DRM-REL-V2_0-20060303-A.pdf.

[3]Marlin architecture overview[EB/OL].[2009-10-10].http：//www.marlin-community.com/public/MarlinArchitectureOverview.pdf.

[4]KOENEN R H，LACY J，MACKAY M，et al.The long march to interoperable digital rights management[J].Proceedings of the IEEE，2004，92（6）：883-897.

[5]SENOH T，UENO T，KOGURE T，et al.DRM renewability and interoperability[C/OL]//Proceedings of 1st IEEE Consumer Communications and Networking Conference，CCNC 2004.[S.l.]：IEEE Press，2004：424-429[2009-09-01].http：//140.118.107.213/personal/master96/james/DRM_Renewability_Interoperability.pdf

[6]JAMKHEDKAR P A，HEILEMAN G L.DRM as a layered system[C/OL]//Proceedings of the 4th ACM Workshop on Digital Rights Management.Washington DC：ACM Press，2004：11-21[2009-11-01].http：//140.118.107.213/personal/master96/james/DRM_Renewability_Interoperability.pdf.