張亞娜，張 遠(yuǎn)，張 琦

（中國(guó)傳媒大學(xué) 信息工程學(xué)院，北京 100024）

1 引言

由美國(guó)好萊塢7大主要電影公司組成的美國(guó)數(shù)字電影倡導(dǎo)組織（Digital Cinema Initiatives，DCI）是一個(gè)專門(mén)起草、制定數(shù)字電影技術(shù)規(guī)范并進(jìn)行相關(guān)測(cè)試、評(píng)價(jià)的機(jī)構(gòu)。由于好萊塢在全球電影的重要地位，其制定的數(shù)字影院技術(shù)規(guī)范、符合性測(cè)試規(guī)范在全球數(shù)字影院發(fā)展中具有廣泛的影響力。2007年4月DCI發(fā)布了數(shù)字影院系統(tǒng)規(guī)范1.1版本[1-2]，對(duì)數(shù)字電影的相關(guān)技術(shù)制定了詳細(xì)的規(guī)定，其中包括發(fā)行母版（包括音視頻格式）、壓縮標(biāo)準(zhǔn)、打包、傳輸、影院系統(tǒng)、投影和安全等。2008年3月DCI發(fā)表了數(shù)字影院系統(tǒng)規(guī)范1.2版本[3]。

2 數(shù)字電影系統(tǒng)的構(gòu)成

圖1 數(shù)字電影系統(tǒng)框圖

數(shù)字電影系統(tǒng)的運(yùn)作流程[4]一般分為電影母版生成、傳輸、存儲(chǔ)/播放和投影放映，如圖1所示。首先，從數(shù)字拍攝或膠片轉(zhuǎn)數(shù)字或計(jì)算機(jī)制作獲取數(shù)字電影節(jié)目源，隨后利用數(shù)字中間片（Digital Intermediate，DI）的工藝與技術(shù)進(jìn)行電影節(jié)目的后期制作。在電影的后期制作階段，通常會(huì)將影片輸入計(jì)算機(jī)系統(tǒng)形成數(shù)據(jù)文件序列。進(jìn)行動(dòng)畫(huà)特效合成、彩色校正和調(diào)光等處理后所形成的數(shù)據(jù)文件集稱為數(shù)字源母版 （Digital Source Master，DSM）。接著將DSM轉(zhuǎn)換為數(shù)字電影發(fā)行母版（Digital Cinema Distribution Master，DCDM）。 DCI規(guī)范中分別定義了DCDM文件的圖像、聲音、字幕和子畫(huà)面（疊加圖形）等的特性及數(shù)據(jù)文件格式[1，3]，然后需要對(duì)視頻序列的每一幀圖像進(jìn)行JPEG2000壓縮[5]。音頻信號(hào)不需要壓縮，仍保持原有的PCM形式。為防止影片內(nèi)容被盜版，壓縮后的圖像序列文件還需經(jīng)過(guò)加密（音頻、字幕及其他輔助數(shù)據(jù)加密可選），再經(jīng)過(guò)打包，最終構(gòu)成數(shù)字電影數(shù)據(jù)包（Digital Cinema Package，DCP）。 DCP 中包含了封裝后的視音頻文件、同步工具、素材管理工具、元數(shù)據(jù)、內(nèi)容保護(hù)和其他必要信息。隨后通過(guò)寬帶衛(wèi)星網(wǎng)絡(luò)、高速光纖網(wǎng)和物理媒介（硬盤(pán)、光盤(pán)等）等途徑傳輸DCP。在影院的放映端，服務(wù)器對(duì)接收到的DCP進(jìn)行解包、解密和解壓縮從而得到DCDM。最后，放映機(jī)將數(shù)字圖像轉(zhuǎn)換為光信號(hào)投映到屏幕上，影院的還音系統(tǒng)實(shí)現(xiàn)了聲音信號(hào)的還原。

3 數(shù)字電影安全體系的目標(biāo)

相對(duì)傳統(tǒng)膠片電影，數(shù)字化使得高質(zhì)量的內(nèi)容更容易復(fù)制和分發(fā)。因此，內(nèi)容安全是數(shù)字電影系統(tǒng)的一個(gè)重要組成部分，系統(tǒng)中的每一個(gè)環(huán)節(jié)都需要充分考慮安全性與可靠性，以防止數(shù)字節(jié)目被非法截取或未授權(quán)傳播[6]。數(shù)字內(nèi)容保護(hù)系統(tǒng)的設(shè)計(jì)很大程度上取決于其運(yùn)行的環(huán)境，包括內(nèi)容的價(jià)值曲線、系統(tǒng)中參與者的數(shù)目、被盜版內(nèi)容的再發(fā)行渠道、發(fā)現(xiàn)盜版的難度和破解內(nèi)容保護(hù)措施的成本等。與衛(wèi)星電視訂閱、DVD拷貝保護(hù)等內(nèi)容保護(hù)系統(tǒng)不同，數(shù)字電影的運(yùn)行環(huán)境有其獨(dú)特之處。首先，內(nèi)容的價(jià)值曲線不同。數(shù)字影片在剛剛發(fā)行后的前期，價(jià)值最高，隨后就會(huì)急速下降。這對(duì)影片的前期發(fā)行提出了相當(dāng)高的安全要求，而對(duì)后期相對(duì)較低。其次，數(shù)字電影系統(tǒng)的參與者相對(duì)更具體，數(shù)量也少。被盜版的電影目前多通過(guò)光盤(pán)和因特網(wǎng)進(jìn)行傳播。

數(shù)字電影安全體系的主要目標(biāo)是保護(hù)數(shù)字影片內(nèi)容所有者、影片發(fā)行商和放映影院的正當(dāng)權(quán)益，確保內(nèi)容的安全發(fā)行和對(duì)影片內(nèi)容的有條件訪問(wèn)。從商業(yè)需求方面考慮，安全體系應(yīng)能支持正當(dāng)放映、內(nèi)容版權(quán)保護(hù)和記錄與安全有關(guān)的事件；從技術(shù)方面考慮，在滿足上述要求的同時(shí)，數(shù)字電影安全體系的框架應(yīng)基于一個(gè)開(kāi)放式架構(gòu)，它不僅支持開(kāi)放、標(biāo)準(zhǔn)化的安全操作，而且能夠保證數(shù)字影院內(nèi)安全設(shè)施之間的互操作性。此外，數(shù)字電影安全體系框架的構(gòu)建還應(yīng)具有前瞻性、可擴(kuò)展性和可升級(jí)性，從而可根據(jù)技術(shù)、運(yùn)營(yíng)、管理等發(fā)展的要求不斷完善。

4 數(shù)字電影安全體系的框架

從本質(zhì)上來(lái)說(shuō)，數(shù)字電影的安全系統(tǒng)是一種許可證管理系統(tǒng)，其功能主要圍繞數(shù)字電影放映權(quán)利的創(chuàng)建、許可、獲取、使用與管理展開(kāi)，以保護(hù)數(shù)字電影發(fā)行者和放映影院的權(quán)益[7]。身份認(rèn)證、權(quán)力的控管和影片內(nèi)容保護(hù)是安全系統(tǒng)的核心功能。因此，DCI數(shù)字電影安全體系的設(shè)計(jì)主要解決4個(gè)問(wèn)題：機(jī)密性傳輸，版權(quán)管理（訪問(wèn)控制），系統(tǒng)平臺(tái)的安全，版權(quán)保護(hù)[8]。這是DCI數(shù)字電影安全體系的四大基本功能，如圖2所示。

4.1 影片內(nèi)容的加密傳輸

圖2 DCI數(shù)字電影安全體系

數(shù)字影片內(nèi)容應(yīng)使用加密技術(shù)進(jìn)行保護(hù)。目前，加密技術(shù)主要分為對(duì)稱加密和非對(duì)稱加密技術(shù)兩大類。對(duì)稱加密系統(tǒng)中加密和解密均采用相同的密鑰，通信雙方都必須獲得密鑰，加密速度快。對(duì)稱加密技術(shù)的主要問(wèn)題是需要傳送密鑰并保證密鑰的安全性和完整性。非對(duì)稱加密系統(tǒng)采用的公鑰和私鑰是不同的，私鑰僅為本人所知，公鑰由本人公開(kāi)并由一組用戶所共享，而且不能彼此推出，算法復(fù)雜度高。鑒于對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)的上述特點(diǎn)，DCI數(shù)字電影安全體系中采用的方案是：用對(duì)稱加密算法加密影片數(shù)據(jù)，然后采用非對(duì)稱加密算法管理對(duì)稱算法的密鑰。這樣就集成了兩類加密算法的優(yōu)點(diǎn)，既實(shí)現(xiàn)了加密速度快，又實(shí)現(xiàn)了密鑰的安全傳輸和管理。

DCI規(guī)定采用AES（Advanced Encryption Standard）來(lái)加密數(shù)字電影節(jié)目?jī)?nèi)容，具有安全性高、抗攻擊能力強(qiáng)、隱蔽性好、吞吐量高等特點(diǎn)，采用CBC（Cipher Block Chaining）模式下128 bit的密鑰長(zhǎng)度更加保證了信息的安全性[9]。規(guī)范同時(shí)指出加密過(guò)程中不得丟失信息，圖像或聲音軌跡文件加密不要求對(duì)文件中的全部幀加密，每個(gè)軌跡文件必須使用一個(gè)唯一密鑰；加密算法應(yīng)支持對(duì)軌跡文件中基本數(shù)據(jù)任意幀的隨機(jī)訪問(wèn)，允許基本數(shù)據(jù)每一幀中的通用頭信息是明文數(shù)據(jù)。

4.2 授權(quán)分離的版權(quán)管理框架

為了提高數(shù)字電影授權(quán)許可發(fā)放的靈活性和安全性，方便發(fā)行端對(duì)用戶授權(quán)許可的存儲(chǔ)和管理，DCI數(shù)字電影系統(tǒng)采取將加密后的數(shù)字電影與授權(quán)許可相分離的分發(fā)機(jī)制。授權(quán)許可中主要包含AES128節(jié)目密鑰、密鑰有效時(shí)間、信任設(shè)備列表（Trusted Device List，TDL），通過(guò)密鑰傳送消息（Key Delivery Message，KDM）的形式，同已加密的影片內(nèi)容一起發(fā)送給影院接收方。

為保證只有發(fā)行方認(rèn)可授權(quán)的影院接收方才能對(duì)影片內(nèi)容解密并在授權(quán)范圍內(nèi)使用，通常采用數(shù)字證書(shū)和數(shù)字簽名技術(shù)來(lái)保障授權(quán)許可信息的安全性、真實(shí)性和完整性[10]。影院設(shè)備制造商和發(fā)行方都使用RSA（Rivest Shamir Adleman）非對(duì)稱密鑰技術(shù)各自生成一個(gè)唯一匹配的公鑰和私鑰的密鑰對(duì)，并將公鑰及個(gè)人信息傳送給CA（Certificate Authority）中心生成相應(yīng)的數(shù)字證書(shū)。

圖3給出了KDM生成、傳輸和使用的完整過(guò)程。發(fā)行方使用接收方影院設(shè)備的RSA公鑰對(duì)授權(quán)許可信息進(jìn)行加密，生成 “密鑰密文”；接收方影院使用對(duì)應(yīng)的RSA私鑰對(duì)“密鑰密文”進(jìn)行解密得到授權(quán)許可信息。由于任何其他第三方不能直接獲得私鑰，而又無(wú)法從公鑰推導(dǎo)出私鑰，因而即使獲得了“密鑰密文”，也無(wú)法從中解密得到AES128節(jié)目密鑰，從而保證了授權(quán)許可信息傳輸?shù)陌踩浴Ａ硪环矫?，發(fā)行方使用SHA-256摘要算法，生成“密鑰密文”的摘要消息，然后使用發(fā)行方RSA私鑰對(duì)其進(jìn)行加密后得到“密鑰密文”的簽名值，該簽名值與“密鑰密文”一同進(jìn)行傳送；接收方影院使用對(duì)應(yīng)的RSA公鑰解密簽名值，得到“密鑰密文”的摘要消息，同時(shí)利用相同的摘要生成算法，從“密鑰密文”直接生成一份摘要消息。如果簽名值能正確被解密，則可保證授權(quán)許可信息的真實(shí)性；如果本地生成的摘要消息與解密得到的摘要消息相一致，則保證了授權(quán)許可信息的完整性。其中，不論接收方影院RSA公鑰還是發(fā)行方RSA公鑰均以數(shù)字證書(shū)的形式由CA中心發(fā)行。除此以外，AES128節(jié)目密鑰的其他相關(guān)信息（如節(jié)目信息等）以明文方式直接進(jìn)行傳輸，但為保證其真實(shí)性和完整性，同樣需要采用數(shù)字簽名技術(shù)對(duì)其進(jìn)行類似的處理。

總之，授權(quán)許可的“密鑰密文”、AES128節(jié)目密鑰相關(guān)信息的“密鑰密文”及其各自的簽名值組成了KDM，同DCP一起發(fā)送給影院接收方。接收方收到KDM后，可以解密“密鑰密文”得到授權(quán)許可信息，并通過(guò)解密和比較分別驗(yàn)證其真實(shí)性和完整性。

4.3 系統(tǒng)平臺(tái)安全

在數(shù)字電影系統(tǒng)的安全體系中，影院系統(tǒng)本身的安全性尤其需要加強(qiáng)。安全管理器（Securiy Manager，SM）是影院系統(tǒng)安全體系的核心。每家數(shù)字影院都必須有其專用的影院安全體系，由安全管理器管理下的多個(gè)子系統(tǒng)構(gòu)成。安全管理器負(fù)責(zé)管理放映廳的所有安全實(shí)體 （媒體解密器和取證標(biāo)記嵌入器等）和所有安全數(shù)據(jù)（密鑰、安全日志等）。安全管理器必須確保只有符合DCI規(guī)范的安全設(shè)備才能參與安全操作，通過(guò)檢查設(shè)備的數(shù)字證書(shū)實(shí)現(xiàn)設(shè)備身份認(rèn)證功能。每個(gè)安全處理模塊應(yīng)當(dāng)至少擁有一個(gè)數(shù)字證書(shū)，由設(shè)備制造商提供。數(shù)字證書(shū)包含設(shè)備的公鑰以及設(shè)備的構(gòu)造、模型、通用唯一編號(hào)（UUID）和數(shù)字證書(shū)的序列號(hào)，還包括該設(shè)備的角色信息，用于描述其在DCI數(shù)字電影系統(tǒng)中的作用。數(shù)字影院證書(shū)應(yīng)遵守ITU X.509標(biāo)準(zhǔn)第3版，為降低X.509證書(shū)的復(fù)雜性和模糊性，應(yīng)用于數(shù)字影院的證書(shū)標(biāo)準(zhǔn)有相應(yīng)限制，參見(jiàn)DCI1.2規(guī)范9.5.1節(jié)[3]。

圖3 DKM生成、傳輸和使用流程

安全管理器建立其和安全設(shè)備之間的安全通信信道。對(duì)于影院服務(wù)器與數(shù)字電影放映機(jī)相分離的數(shù)字放映系統(tǒng)，必須在服務(wù)器的媒體模塊與數(shù)字放映機(jī)之間進(jìn)行鏈路加密，以保護(hù)影片明文。鏈路加密是指?jìng)鬏敂?shù)據(jù)僅在物理層之上的數(shù)據(jù)鏈路層進(jìn)行加密，而不考慮信源和信宿，它用于保證通信節(jié)點(diǎn)之間的數(shù)據(jù)傳輸安全。信息在每個(gè)節(jié)點(diǎn)機(jī)內(nèi)部都要被解密、再加密，依次進(jìn)行，直至到達(dá)目的地。DCI規(guī)定使用加密的Dual-dual Link HD-SDI接口（SMPTE 372M 1.5 Gbit/s Digital Interface for 1 920×1 080 and 2 048×1 080 Picture Formats）來(lái)進(jìn)行鏈路加密，采用128位密鑰的AES加密算法。安全管理器生成會(huì)話密鑰，交換參與會(huì)話的雙方設(shè)備的公鑰或私鑰對(duì)。這個(gè)過(guò)程需確保竊聽(tīng)者不能獲取被交換的密鑰。會(huì)話密鑰接著被用來(lái)加密這兩個(gè)設(shè)備之間的通信。由此，安全管理器對(duì)所有的安全實(shí)體提供嚴(yán)密物理安全保護(hù)，并保證其內(nèi)部信號(hào)傳輸通道的安全。

4.4 版權(quán)保護(hù)機(jī)制

版權(quán)保護(hù)一直是數(shù)字電影應(yīng)用中的一個(gè)難點(diǎn)。數(shù)字電影可能引起內(nèi)容泄密的途徑主要有：1）在內(nèi)容的后期制作和傳輸中出現(xiàn)內(nèi)容泄漏；2）在影片的分發(fā)中用戶合作共謀盜版；3）在影片的發(fā)布和放映過(guò)程中，盜版者通過(guò)手持?jǐn)z像機(jī)錄制作品。第3種也是目前最普遍的攻擊方式。數(shù)字電影安全系統(tǒng)中的版權(quán)管理機(jī)制對(duì)于這種使用欺騙設(shè)備復(fù)制節(jié)目?jī)?nèi)容的問(wèn)題無(wú)能為力，其原因在于DRM是以媒體內(nèi)容加密為核心，加密的媒體內(nèi)容在使用前被解密，而一旦解密，媒體內(nèi)容就離開(kāi)了DRM的保護(hù)范圍。也就是說(shuō)，盜版者只需作為一個(gè)合法的用戶（觀眾），就可以隨意進(jìn)行節(jié)目?jī)?nèi)容的復(fù)制和再分發(fā)這一非法活動(dòng)。

為解決這類影院放映中的安全問(wèn)題，通常采用取證標(biāo)記（穩(wěn)定性數(shù)字水印技術(shù)）和嚴(yán)格的日志管理實(shí)現(xiàn)盜版跟蹤。數(shù)字水印是取證標(biāo)記使用的主要技術(shù)，當(dāng)影院服務(wù)器和放映機(jī)內(nèi)部使用數(shù)字水印設(shè)備后，取證標(biāo)記將被加入到放映的影像中。當(dāng)影像被偷拍制作為盜版作品進(jìn)行傳播時(shí)，可以通過(guò)提取取證標(biāo)記精確地定位盜版發(fā)生的源頭。需要指出的是，數(shù)字水印并不能直接阻止盜版行為的發(fā)生，而是通過(guò)驗(yàn)證影片的所有權(quán)來(lái)揭露非法拷貝、傳播行為，以法律手段對(duì)其進(jìn)行制裁，間接地打消盜版者非法復(fù)制的企圖，從而起到保護(hù)知識(shí)產(chǎn)權(quán)的作用。DCI規(guī)范中要求所使用的取證水印具有高不可見(jiàn)性、強(qiáng)穩(wěn)定性和安全性，尤其強(qiáng)調(diào)取證水印要能抵抗攝像機(jī)捕獲攻擊。規(guī)范規(guī)定取證標(biāo)記設(shè)備每5 min嵌入35 bit的水印凈荷，其中16 bit用于驗(yàn)證放映時(shí)間，剩余19 bit用于驗(yàn)證放映場(chǎng)所。相應(yīng)地，應(yīng)在30 min內(nèi)容片斷上完成水印的檢測(cè)和恢復(fù)。數(shù)字電影通常是在大量的視音頻序列上進(jìn)行取證標(biāo)記實(shí)時(shí)嵌入，而水印提取僅在發(fā)現(xiàn)盜版時(shí)進(jìn)行。為了提高水印穩(wěn)定性和安全性，取證水印提取復(fù)雜度可以很高；而水印嵌入的復(fù)雜度應(yīng)較低，側(cè)重滿足實(shí)時(shí)性要求。在DCI 1.2版本中，又特別提出了取證標(biāo)記的技術(shù)實(shí)現(xiàn)上應(yīng)具有開(kāi)放性、兼容性和良好的可更新性。任何采用預(yù)處理的取證水印技術(shù)都應(yīng)使用通用的嵌入器結(jié)構(gòu)和工業(yè)標(biāo)準(zhǔn)化的元數(shù)據(jù)傳輸格式。通用嵌入器應(yīng)至少滿足可根據(jù)3個(gè)以上不同取證水印生產(chǎn)廠商所提供的元數(shù)據(jù)進(jìn)行水印嵌入。

DCI數(shù)字影院安全體系中，與取證標(biāo)記共同構(gòu)成嚴(yán)格的盜版追蹤鏈的另一必不可少的組成部分是安全日志。安全日志用于記錄安全實(shí)體的安全事件、篡改檢測(cè)和安全組件的維護(hù)，如設(shè)備上電、斷開(kāi)，傳輸層安全會(huì)話的建立和中斷，解密、解碼或取證標(biāo)記操作的開(kāi)始和結(jié)束等[3]。安全日志報(bào)告包含一條或多條時(shí)間上連續(xù)的日志記錄，而每則日志記錄包含一個(gè)安全事件。日志報(bào)告中的日志記錄根據(jù)類別組織在一起，而且在發(fā)送之前可以過(guò)濾。日志記錄和日志報(bào)告均采用標(biāo)準(zhǔn)XML結(jié)構(gòu)。

當(dāng)發(fā)生盜版事件時(shí)，通過(guò)檢測(cè)盜版影片內(nèi)容中的取證水印找到影片被盜的影院，利用該影院放映的安全日志加以驗(yàn)證，獲得有效的證據(jù)鏈，因此可以作為追查盜版行為的法律證據(jù)。

5 小結(jié)

數(shù)字電影安全體系是一個(gè)端到端的系統(tǒng)，可以劃分為發(fā)行環(huán)節(jié)（包括密鑰與證書(shū)管理、打包/加密與發(fā)行管理等）、影院放映環(huán)節(jié)（包括服務(wù)器密鑰與證書(shū)管理、鏈路加密、取證標(biāo)記嵌入、安全日志記錄等）和安全追蹤（包括取證標(biāo)記檢測(cè)、提取的管理）。數(shù)據(jù)加密、數(shù)字證書(shū)、數(shù)字簽名和數(shù)字水印等多項(xiàng)技術(shù)的綜合應(yīng)用，最終實(shí)現(xiàn)了數(shù)字電影安全體系設(shè)計(jì)的主要目標(biāo)。

[1]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.1[S].2007.

[2]彭妙顏.數(shù)字電影的發(fā)展及其相關(guān)標(biāo)準(zhǔn)[J].電視技術(shù)，2008，32（8）：83-84.

[3]Digital Cinema Initiatives，LLC.Digital cinema system specification V1.2[S].2008.

[4]彭妙顏.基于信息化音視頻技術(shù)的數(shù)字電影系統(tǒng)[J].電視技術(shù)，2008，32（9）：82－85.

[5]ISO/IEC 15444-1:2000.JPEG2000 Image coding system-Part 1:Core coding system[S].2000.

[6]BLOOM J A.Security and rights management in digital cinema[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1220994.

[7]The National Association of Theatre Owners,Digital cinema system requirements[EB/OL].[2009-06-20].http://www.natoonline.org/NATO%20Digital%20Cinema%20System%20Requirements%20-%20release%201-02.pdf.

[8]KIROVSKI M，PEINADO M，PETITCOLAS F A P.Digital rights management for digital cinema[J].Multimedia Systems， 2003， 9:228-238.

[9]BLOOM J A.Digital cinema content security and the DCI[EB/OL].[2009-06-20].http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F4067758%2F4067759%2F04067984.pdf%3Farnumber%3D4067984&authDecision=-203.

[10]劉茂英.數(shù)字影院系統(tǒng)中節(jié)目及密鑰的安全機(jī)制及其實(shí)現(xiàn)過(guò)程[J].現(xiàn)代電影技術(shù)，2007（10）：16-20.