數(shù)字版權(quán)管理技術(shù) 及其在新型網(wǎng)絡(luò)電視臺(tái)中的應(yīng)用

【內(nèi)容摘要】本文針對(duì)數(shù)字視頻網(wǎng)絡(luò)化傳輸趨勢(shì)以及對(duì)版權(quán)保護(hù)的緊迫需求，介紹數(shù)字版權(quán)管理技術(shù)的總體架構(gòu)、系統(tǒng)指標(biāo)、組成模塊、核心技術(shù)，及其在實(shí)際網(wǎng)絡(luò)電視臺(tái)的部署方案，并進(jìn)行性能分析。

【關(guān)鍵詞】DRM（數(shù)字版權(quán)管理）；認(rèn)證中心；密鑰管理

一、引言

隨著電視視頻行業(yè)快速發(fā)展和技術(shù)的更迭，內(nèi)容數(shù)字化、管理自動(dòng)化、存儲(chǔ)播出安全化是總體的趨勢(shì)，相應(yīng)的技術(shù)升級(jí)也是必不可少，隨著我國(guó)對(duì)版權(quán)保護(hù)認(rèn)識(shí)的提高和重視，數(shù)字視頻內(nèi)容的版權(quán)保護(hù)和管理變得越來(lái)越重要。

2014年5月6日，國(guó)家新聞出版廣電總局批準(zhǔn)《互聯(lián)網(wǎng)電視數(shù)字版權(quán)管理技術(shù)規(guī)范》（GY/T277-2014）為中華人民共和國(guó)廣播、電影、電視推薦性行業(yè)標(biāo)準(zhǔn)，并予以發(fā)布，自2014年6月6日起實(shí)施。該標(biāo)準(zhǔn)以具有我國(guó)自主知識(shí)產(chǎn)權(quán)的核心技術(shù)為支撐，保障互聯(lián)網(wǎng)視頻服務(wù)的內(nèi)容、渠道、終端可管可控，擺脫了對(duì)國(guó)外專利技術(shù)的依賴，大大降低互聯(lián)網(wǎng)視頻行業(yè)版權(quán)管理成本，有效保障我國(guó)互聯(lián)網(wǎng)視頻行業(yè)的安全。因此，構(gòu)建基于DRM（數(shù)字版權(quán)管理）的資源底層版權(quán)識(shí)別及管理系統(tǒng)，對(duì)音視頻內(nèi)容提供有效保護(hù)成為當(dāng)務(wù)之急。

本文主要介紹DRM（數(shù)字版權(quán)管理）技術(shù)的組成框架和關(guān)鍵技術(shù)，以及在實(shí)際網(wǎng)絡(luò)電視臺(tái)中的應(yīng)用案例，并進(jìn)行性能分析。

二、系統(tǒng)結(jié)構(gòu)

DRM（數(shù)字版權(quán)管理）系統(tǒng)遵循GY/T 277-2014標(biāo)準(zhǔn)，邏輯上包括：內(nèi)容加密系統(tǒng)、許可證管理系統(tǒng)、客戶端DRM（數(shù)字版權(quán)管理）代理和認(rèn)證中心。（如圖1所示）

內(nèi)容加密系統(tǒng)從媒資管理系統(tǒng)接收內(nèi)容加密任務(wù)，將內(nèi)容加密后存儲(chǔ)到媒資管理系統(tǒng)指定的目錄，任務(wù)完成后，將內(nèi)容加密，密鑰以安全通信的方式同步上傳到許可證管理系統(tǒng)。

許可證管理系統(tǒng)以安全通信的方式從內(nèi)容加密子系統(tǒng)接收內(nèi)容加密密鑰，并安全存儲(chǔ)到本地，從運(yùn)營(yíng)支撐系統(tǒng)獲取用戶、客戶端等的內(nèi)容授權(quán)信息存儲(chǔ)到本地，并能夠及時(shí)更新授權(quán)信息；通過(guò)HTTP服務(wù)為客戶端DRM（數(shù)字版權(quán)管理）代理提供授權(quán)和許可證申請(qǐng)服務(wù)；許可證管理系統(tǒng)在處理客戶端許可證請(qǐng)求時(shí)，需要通過(guò)OCSP服務(wù)器獲取相關(guān)證書(shū)在線認(rèn)證服務(wù)。

客戶端DRM（數(shù)字版權(quán)管理）代理與許可證管理子系統(tǒng)交互，獲取所需要的許可證，通過(guò)與播放器的交互為播放器提供內(nèi)容解密服務(wù)，安全存儲(chǔ)自身的證書(shū)信息、許可證信息、DRM（數(shù)字版權(quán)管理）時(shí)間、以及許可證使用記錄等安全信息。

認(rèn)證中心為內(nèi)容加密系統(tǒng)、許可證管理系統(tǒng)、客戶端DRM（數(shù)字版權(quán)管理）代理等數(shù)字證書(shū)的生成、發(fā)布、存儲(chǔ)和注銷提供服務(wù)，認(rèn)證中心提供的OCSP服務(wù)為許可證管理系統(tǒng)提供在線證書(shū)認(rèn)證服務(wù)。

三、系統(tǒng)方案及關(guān)鍵技術(shù)

（一）系統(tǒng)設(shè)計(jì)

DRM（數(shù)字版權(quán)管理）系統(tǒng)按照《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GD/J 038—2011）三級(jí)標(biāo)準(zhǔn)設(shè)計(jì)，并將配合招標(biāo)方通過(guò)國(guó)家廣播電影電視總局廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)。

DRM（數(shù)字版權(quán)管理）系統(tǒng)一般包括內(nèi)容加密、密鑰管理、許可證授權(quán)、認(rèn)證中心、DRM（數(shù)字版權(quán)管理）客戶端代理等核心子系統(tǒng)，以及系統(tǒng)運(yùn)維管理等子系統(tǒng)。（如圖2所示）

（二）內(nèi)容加密

內(nèi)容加密子系統(tǒng)支持轉(zhuǎn)碼系統(tǒng)加密、DRM（數(shù)字版權(quán)管理）系統(tǒng)加密、第三方內(nèi)容提供商內(nèi)容加密等內(nèi)容加密模式。轉(zhuǎn)碼系統(tǒng)加密是指由轉(zhuǎn)碼系統(tǒng)集成內(nèi)容加密庫(kù)實(shí)現(xiàn)內(nèi)容加密；DRM（數(shù)字版權(quán)管理）系統(tǒng)加密是指由DRM（數(shù)字版權(quán)管理）系統(tǒng)的內(nèi)容加密模塊實(shí)現(xiàn)內(nèi)容轉(zhuǎn)碼加密；第三方內(nèi)容提供商內(nèi)容加密是指DRM（數(shù)字版權(quán)管理）系統(tǒng)支持接入第三方內(nèi)容提供商內(nèi)容，由DRM（數(shù)字版權(quán)管理）系統(tǒng)對(duì)第三方內(nèi)容提供商的內(nèi)容進(jìn)行轉(zhuǎn)碼加密，或者由DRM（數(shù)字版權(quán)管理）系統(tǒng)提供內(nèi)容加密庫(kù)由第三方內(nèi)容提供商實(shí)現(xiàn)內(nèi)容加密功能。

內(nèi)容加密子系統(tǒng)支持主流媒體格式和協(xié)議，支持對(duì)MPEG2-TSFLV等內(nèi)容封裝格式，支持HLS、HDS、RTMP等主流流媒體協(xié)議，支持MPEG-2、H.264、MP3、AAC、AC3、WM等主流音視頻編碼格式。

內(nèi)容加密子系統(tǒng)支持RSA、ECC等國(guó)際通用密碼算法和SM2/3/4等國(guó)密算法，密碼算法全部采用公開(kāi)、標(biāo)準(zhǔn)的算法，不采用沒(méi)有安全保障的私有算法，在有效保障系統(tǒng)安全的前提下實(shí)現(xiàn)算法靈活替換。

內(nèi)容加密子系統(tǒng)的內(nèi)容加密密鑰由密鑰管理子系統(tǒng)生成，通過(guò)HTTPS+SOAP/JSON的方式安全發(fā)送到內(nèi)容加密子系統(tǒng)。內(nèi)容加密完成后由內(nèi)容管理系統(tǒng)推送到CDN網(wǎng)絡(luò)。

（三）密鑰管理

密鑰管理子系統(tǒng)實(shí)現(xiàn)內(nèi)容加密密鑰的生成、分發(fā)、存儲(chǔ)、注銷等功能；包括內(nèi)容加密接口、許可證申請(qǐng)接口、密鑰管理三個(gè)模塊。

密鑰管理子系統(tǒng)支持RSA、ECC等國(guó)際通用密碼算法和SM2/3/4等國(guó)密算法，采用硬件加密機(jī)制保護(hù)本地存儲(chǔ)的內(nèi)容加密密鑰，密碼算法全部采用公開(kāi)、標(biāo)準(zhǔn)的算法，不采用沒(méi)有安全保障的私有算法，在有效保障系統(tǒng)安全的前提下實(shí)現(xiàn)算法靈活替換。

1.內(nèi)容加密接口

內(nèi)容加密接口實(shí)現(xiàn)與轉(zhuǎn)碼系統(tǒng)內(nèi)容加密庫(kù)、DRM（數(shù)字版權(quán)管理）系統(tǒng)內(nèi)容加密模塊的通信，基于HTTPS和JSON實(shí)現(xiàn)內(nèi)容加密密鑰的安全同步。

2.許可證申請(qǐng)接口

許可證申請(qǐng)接口接收許可證授權(quán)子系統(tǒng)的內(nèi)容加密密鑰申請(qǐng)，將內(nèi)容加密密鑰安全發(fā)送給許可證授權(quán)子系統(tǒng)，該接口基于HTTPS和SOAP/JSON，實(shí)現(xiàn)內(nèi)容加密密鑰的安全同步。

3.密鑰管理

密鑰管理是密鑰管理子系統(tǒng)的核心模塊，實(shí)現(xiàn)內(nèi)容加密密鑰的生成、存儲(chǔ)、查詢、注銷、以及密鑰同步任務(wù)的調(diào)度。

（四）認(rèn)證中心

認(rèn)證中心子系統(tǒng)基于PKI/CA技術(shù)實(shí)現(xiàn)DRM（數(shù)字版權(quán)管理）服務(wù)端和DRM（數(shù)字版權(quán)管理）客戶端代理的數(shù)字證書(shū)生成、存儲(chǔ)、發(fā)布以及在線認(rèn)證。

認(rèn)證中心子系統(tǒng)的設(shè)計(jì)遵循CPS規(guī)范。

認(rèn)證中心子系統(tǒng)包括證書(shū)管理和在線證書(shū)認(rèn)證服務(wù)。

證書(shū)管理包括證書(shū)管理系統(tǒng)初始化、證書(shū)服務(wù)功能、證書(shū)管理功能等。

系統(tǒng)初始化功能生成自簽名的根證書(shū)。

證書(shū)服務(wù)功能實(shí)現(xiàn)證書(shū)簽發(fā)、輸出、查詢、注銷等功能，支持DRM（數(shù)字版權(quán)管理）客戶端代理和DRM（數(shù)字版權(quán)管理）服務(wù)端證書(shū)的更新，支持根證書(shū)的更新。

證書(shū)管理功能包括生成證書(shū)申請(qǐng)，證書(shū)審核，證書(shū)輸出，證書(shū)申請(qǐng)查詢，數(shù)據(jù)備份等功能。

證書(shū)管理由認(rèn)證中心子系統(tǒng)實(shí)現(xiàn)，通過(guò)Web界面呈現(xiàn)。

四、系統(tǒng)部署方案和性能分析

（一）部署方案

系統(tǒng)部署數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)，密鑰管理服務(wù)器2臺(tái)，內(nèi)容加密服務(wù)器2臺(tái)，DRM（數(shù)字版權(quán)管理）服務(wù)器2臺(tái)，交換機(jī)2臺(tái)，防火墻1臺(tái)。

數(shù)據(jù)庫(kù)服務(wù)器部署2臺(tái)，磁盤采用RAID0+1配置。數(shù)據(jù)庫(kù)服務(wù)器采用MySQL數(shù)據(jù)庫(kù)，采用Replication復(fù)制模式部署。采用實(shí)時(shí)日志備份、每天增量備份、每周完整備份和異地備份的綜合策略保障系統(tǒng)數(shù)據(jù)的可靠性和安全性。

密鑰管理服務(wù)器部署2臺(tái)，采用LVS負(fù)載均衡配置，磁盤采用RAID1配置，安裝密鑰管理子系統(tǒng)、認(rèn)證中心子系統(tǒng)，提供密鑰同步、密鑰存儲(chǔ)管理，證書(shū)生成與發(fā)布等功能。

內(nèi)容加密服務(wù)器部署2臺(tái)，采用LVS負(fù)載均衡配置，部署內(nèi)容加密子系統(tǒng)和系統(tǒng)運(yùn)維管理子系統(tǒng)，支持第三方內(nèi)容提供商內(nèi)容加密，本地離線內(nèi)容轉(zhuǎn)碼加密和直播內(nèi)容轉(zhuǎn)碼加密，以及內(nèi)容加密庫(kù)接口；同時(shí)，在內(nèi)容加密服務(wù)器部署系統(tǒng)運(yùn)維管理子系統(tǒng)，在系統(tǒng)運(yùn)行前期可降低系統(tǒng)運(yùn)行成本，在未來(lái)根據(jù)系統(tǒng)的負(fù)荷情況，可將系統(tǒng)運(yùn)維管理子系統(tǒng)單獨(dú)部署。

DRM服務(wù)器部署2臺(tái)，磁盤采用RAID1配置，部署許可證授權(quán)管理子系統(tǒng)，提供終端的認(rèn)證及授權(quán)功能。系統(tǒng)采用本地緩存方式，對(duì)終端、證書(shū)、密鑰、授權(quán)記錄等信息采用哈希表方式緩存，將用戶的行為記錄先存儲(chǔ)在內(nèi)存中，定時(shí)或定量將日志記錄保存到數(shù)據(jù)庫(kù)中。

系統(tǒng)中所有服務(wù)器均采用負(fù)載均衡配置，確保系統(tǒng)的可靠性及穩(wěn)定性。

（二）性能分析

系統(tǒng)采用面向?qū)ο蠹軜?gòu)，基于HTTP+SOAP/JSON方式實(shí)現(xiàn)模塊的集成，支持分布式部署，輕量級(jí)的JSON有效提高系統(tǒng)效率，實(shí)現(xiàn)系統(tǒng)各模塊的靈活配置。

數(shù)據(jù)庫(kù)服務(wù)器采用MySQL Replication復(fù)制模式部署，支持讀寫(xiě)分離，有效的提高M(jìn)ySQL的插入、查詢效率，提高系統(tǒng)的并發(fā)處理能力；可通過(guò)增加服務(wù)器、分表、水平分區(qū)方式進(jìn)一步提高數(shù)據(jù)庫(kù)的讀寫(xiě)速度。

系統(tǒng)提供本地緩存機(jī)制，采用鍵值對(duì)存儲(chǔ)，用戶的行為記錄先存儲(chǔ)在內(nèi)存中，采用定時(shí)或定量批量插入數(shù)據(jù)庫(kù)，不影響用戶響應(yīng)速度；此外，可緩存內(nèi)容、密鑰、終端等數(shù)據(jù)信息，無(wú)需查詢數(shù)據(jù)庫(kù)，進(jìn)一步提高了用戶響應(yīng)速度。

通過(guò)以上手段的使用，單臺(tái)DRM服務(wù)器可提供6萬(wàn)以上的并發(fā)處理能力，系統(tǒng)支持300萬(wàn)用戶、10萬(wàn)并發(fā)處理能力；系統(tǒng)發(fā)生故障時(shí)，切換時(shí)間在60秒內(nèi)。

五、結(jié)論

數(shù)字版權(quán)管理可以保護(hù)創(chuàng)新、激勵(lì)原創(chuàng)，可以使網(wǎng)絡(luò)電視臺(tái)獲得更多更好的內(nèi)容。在當(dāng)前的新形勢(shì)下，能否給予節(jié)目?jī)?nèi)容必要的版權(quán)保護(hù)，是開(kāi)展內(nèi)容合作或節(jié)目引進(jìn)的重要指標(biāo)，特別是與先進(jìn)國(guó)家的內(nèi)容供應(yīng)商合作時(shí)，具有可靠的數(shù)字版權(quán)管理系統(tǒng)是簽訂版權(quán)授權(quán)協(xié)議的必備條件。因此，新型網(wǎng)絡(luò)電視臺(tái)建設(shè)數(shù)字版權(quán)管理系統(tǒng)，是網(wǎng)絡(luò)電視臺(tái)提高內(nèi)容管理水平的內(nèi)在要求，也是網(wǎng)絡(luò)電視臺(tái)做大做強(qiáng)的有益探索。