數(shù)字內(nèi)容技術(shù)發(fā)展迅猛,但始終面臨非法復(fù)制、現(xiàn)場攝錄、翻錄等盜版風(fēng)險。近日好萊塢電影實驗室(MovieLabs)對數(shù)字版權(quán)管理 (DRM)系統(tǒng)、運營平臺、端對端系統(tǒng)等安全與版權(quán)保護提出規(guī)范建議,用于提高數(shù)字視聽作品的內(nèi)容安全性,降低盜版風(fēng)險,并在多格式母版和多發(fā)行通道條件下保證數(shù)字影片得到最大程度保護。

1 數(shù)字版權(quán)管理(DRM)系統(tǒng)規(guī)范

1.1 加密

系統(tǒng)應(yīng)使用最先進的加密功能,如AES128或更高級別加密。系統(tǒng)應(yīng)能抵抗邊信道攻擊,包括但不限于時序攻擊、簡單功率分析(SPA)、差分功率分析(DPA)、簡單電磁分析(SEMA)和差分電磁分析(DEMA)。系統(tǒng)抗攻擊能力應(yīng)通過測試確定,例如對測試信號的泄露情況進行統(tǒng)計分析。

1.2 連接

發(fā)行商在影片上映前不應(yīng)把授權(quán)密鑰交付給設(shè)備。支持復(fù)制或移動的系統(tǒng)應(yīng)要求,通過使用復(fù)制或移動后客戶端設(shè)備上不存在的密鑰執(zhí)行的在線過程須重新分配授權(quán)。

1.3 安全獨立性

一個平臺的安全性被攻破后,系統(tǒng)應(yīng)將此次破壞限制在該系統(tǒng)內(nèi)部,而不能擴散至其他系統(tǒng)。一部影片被盜版后,系統(tǒng)應(yīng)保證其他影片或同一影片的其他發(fā)行途徑不受影響。

(1)設(shè)備綁定:系統(tǒng)應(yīng)將解密密鑰的能力綁定到特定設(shè)備上(主機或存儲器),以便授權(quán)密鑰加密后,不使用綁定解密密鑰的設(shè)備無法解密。若一組設(shè)備的密鑰被破解,系統(tǒng)需保證被破解的密鑰無法生成其他設(shè)備的密鑰。

(2)軟件多樣性:安全軟件應(yīng)以多種不同方式部署,以便攻擊不能一次性攻破所有軟件保護,這種部署的多樣性因系統(tǒng)版本和平臺而異。

(3)拷貝和影片的多樣性:內(nèi)容保護系統(tǒng)應(yīng)提供拷貝和影片的多樣性功能,以便在一部影片或其一個版本發(fā)生盜版時,其他影片和版本不會被同樣的手段盜版。

(4)完整性和魯棒性 (Robustness):DRM 系統(tǒng)在運行時的完整性檢查須由DRM 系統(tǒng)或平臺實施。系統(tǒng)應(yīng)啟動微處理器體系結(jié)構(gòu)、固件和安全操作系統(tǒng)供應(yīng)商建議的所有邊信道攻擊預(yù)防措施,包括緩存和定時邊信道攻擊。系統(tǒng)應(yīng)對緩存、定時和代碼注入攻擊以及反向手段 (如混淆地址或隨機設(shè)置地址空間分布)實施額外的預(yù)防措施。系統(tǒng)應(yīng)使用下文平臺規(guī)范中規(guī)定的平臺隔離和信任機制。

(5)撤銷與更新:系統(tǒng)應(yīng)能撤銷和更新客戶端組件版本。如果輔助代碼簽名證書被用作系統(tǒng)信任根的一部分,則系統(tǒng)應(yīng)能撤銷這些證書。系統(tǒng)應(yīng)具有撤銷單個設(shè)備或設(shè)備類別的能力,并主動更新安全相關(guān)軟件組件。系統(tǒng)應(yīng)為操作人員提供指定設(shè)備停止接收DRM 相關(guān)安全更新時限制內(nèi)容的能力,例如由DRM 提供商將認證級別適當(dāng)降至低于ECP(超高清增強硬件級保護方案),包括取消認證/吊銷。系統(tǒng)應(yīng)向操作人員安全提供經(jīng)認證的固件版本信息。當(dāng)系統(tǒng)檢測到與內(nèi)容安全相關(guān)的漏洞無法修補時,應(yīng)向DRM 系統(tǒng)提供商提供受影響模型清單,DRM 系統(tǒng)供應(yīng)商應(yīng)根據(jù)要求向運營方提供該清單。

(6)輸出與鏈路保護:系統(tǒng)應(yīng)支持HDCP 2.2或更高版對特定內(nèi)容類型的要求,例如超高清(UHD)或增強高清(Enhanced HD)。當(dāng)內(nèi)容需要HDCP 2.2保護時,必須在下游鏈路保護的設(shè)備實施,即使用HDCP Type 1。系統(tǒng)應(yīng)能獲取鏈路保護撤銷清單和查詢服務(wù)器,以確定何時存在受損或不兼容的鏈路保護設(shè)備,然后安全限制可播放內(nèi)容。系統(tǒng)應(yīng)允許內(nèi)容提供商選擇其他可用輸出及相關(guān)保護。

2 平臺規(guī)范

2.1 加密

平臺應(yīng)支持AES128或更高級別加密。平臺應(yīng)提供必要的支持,使DRM 系統(tǒng)能夠抵抗上述DRM部分規(guī)定的邊信道攻擊。支持符合NIST 800-90C、AIS-31或GM/T 0005-2012的隨機數(shù)生成器。

2.2 安全媒體流程

平臺應(yīng)實施安全媒體通道,提供端到端保護,至少覆蓋解密到受保護輸出。安全媒體流程應(yīng)包括密鑰及其衍生密鑰、壓縮和解壓縮的視頻樣本,以防止任何非授權(quán)源使用隔離和信任機制進行訪問。

2.3 安全計算環(huán)境

平臺應(yīng)支持通過硬件機制隔離的安全處理環(huán)境,該硬件機制僅運行用于執(zhí)行關(guān)鍵操作的經(jīng)驗證代碼。該環(huán)境的安全性須經(jīng)廣泛的測試驗證,例如安全操作系統(tǒng)、媒體流程配置、處理敏感加密。平臺應(yīng)能保護安全執(zhí)行環(huán)境的內(nèi)存免受不可信代碼和設(shè)備的訪問,包括實施微處理器體系結(jié)構(gòu)、固件和安全操作系統(tǒng)提供商建議的緩存邊信道攻擊的所有相關(guān)預(yù)防措施。平臺應(yīng)支持安全應(yīng)用程序在運行時進行完整性檢查。

2.4 硬件信任根

平臺應(yīng)支持在安全環(huán)境中執(zhí)行代碼的安全信任鏈并安全設(shè)置信任根。平臺應(yīng)為DRM 系統(tǒng)提供安全機制,對設(shè)備進行唯一加密并將密鑰存于本地存儲中,如果平臺支持多個可信應(yīng)用程序或DRM,則應(yīng)對每個應(yīng)用程序進行唯一加密,加密須以具有至少128位熵、不可變的設(shè)備唯一值為基礎(chǔ),并防止可信應(yīng)用程序之間相互解密。平臺應(yīng)確定與內(nèi)容安全相關(guān)固件版本。當(dāng)平臺提供商意識到與內(nèi)容安全相關(guān)漏洞無法修補時,應(yīng)向DRM 實施伙伴提供受影響模型清單。

2.5 鏈路控制與保護

鏈路設(shè)備應(yīng)支持寬帶數(shù)字內(nèi)容保護協(xié)議HDCP 2.2。平臺應(yīng)提供一種安全、不可偽造的方法,用于枚舉所有下游鏈路保護接收器設(shè)備的唯一標(biāo)識。平臺應(yīng)確保輸出安全性,只有授權(quán)代碼才能啟用其他輸出。

3 端對端系統(tǒng)規(guī)范

3.1 鏈路控制與保護

鏈路保護接收器組件應(yīng)具有唯一、不可偽造和可追蹤的標(biāo)識,系統(tǒng)應(yīng)能夠?qū)⑾掠捂溌繁Ｗo接收器的唯一標(biāo)識安全地傳輸?shù)皆丛O(shè)備,并重點關(guān)注其完整性和可用性。鏈路保護接收器組件在交付給用戶設(shè)備制造商之前不得運行,運行啟動須由接收器組件制造商以加密方式控制和保護。

3.2 數(shù)字水印

系統(tǒng)應(yīng)能夠在服務(wù)器和客戶端對視頻安全嵌入取證標(biāo)記,以便進行盜版追溯。水印應(yīng)能防止其中的取證信息被損壞,包括合謀攻擊、使內(nèi)容仍然可觀看的轉(zhuǎn)換和獲取技術(shù)。數(shù)字水印應(yīng)確保在整個上映期間持續(xù)嵌入,即使設(shè)備被攻破,也能保證有效嵌入。

3.3 播放控制水印

合規(guī)系統(tǒng)應(yīng)在所有內(nèi)容上實施Cinavia播放控制,但封閉系統(tǒng)中無法訪問未授權(quán)內(nèi)容的設(shè)備不受此限制。

3.4 內(nèi)容泄露響應(yīng)

應(yīng)制定流程和協(xié)議,以便在升級系統(tǒng)的任何受損軟件組件時能夠快速響應(yīng)。

3.5 認證

系統(tǒng)合規(guī)性及穩(wěn)定性由第三方和可信機構(gòu)共同認證。數(shù)字水印由第三方進行魯棒性測試。認證之前可解密影片的設(shè)備數(shù)量應(yīng)盡可能少。應(yīng)防止開發(fā)代碼在制作單元上運行,如通過撤銷簽名證書或使用不同的根證書和硬件信任根。制作代碼應(yīng)在技術(shù)可行范圍內(nèi)限制任何對逆向手段有用的信息,如調(diào)試、跟蹤和符號信息。制作設(shè)備應(yīng)使用物理或同等有效手段禁用所有調(diào)試或跟蹤接口,如聯(lián)合測試工作組(Joint Test Action Group,JTAG)、串行線調(diào)試(Serial Wire Debug,SWD)或移動工業(yè)處理器接口(Mobile Industry Processor Interface,MIPI)。相應(yīng)措施和實施過程應(yīng)形成文件可供審核。