MovieLabs發(fā)布內(nèi)容安全與版權(quán)管理規(guī)范保障數(shù)字影片安全

數(shù)字內(nèi)容技術(shù)發(fā)展迅猛,但始終面臨非法復(fù)制、現(xiàn)場攝錄、翻錄等盜版風(fēng)險(xiǎn)。近日好萊塢電影實(shí)驗(yàn)室(MovieLabs)對數(shù)字版權(quán)管理 (DRM)系統(tǒng)、運(yùn)營平臺(tái)、端對端系統(tǒng)等安全與版權(quán)保護(hù)提出規(guī)范建議,用于提高數(shù)字視聽作品的內(nèi)容安全性,降低盜版風(fēng)險(xiǎn),并在多格式母版和多發(fā)行通道條件下保證數(shù)字影片得到最大程度保護(hù)。

1 數(shù)字版權(quán)管理(DRM)系統(tǒng)規(guī)范

1.1 加密

系統(tǒng)應(yīng)使用最先進(jìn)的加密功能,如AES128或更高級別加密。系統(tǒng)應(yīng)能抵抗邊信道攻擊,包括但不限于時(shí)序攻擊、簡單功率分析(SPA)、差分功率分析(DPA)、簡單電磁分析(SEMA)和差分電磁分析(DEMA)。系統(tǒng)抗攻擊能力應(yīng)通過測試確定,例如對測試信號的泄露情況進(jìn)行統(tǒng)計(jì)分析。

1.2 連接

發(fā)行商在影片上映前不應(yīng)把授權(quán)密鑰交付給設(shè)備。支持復(fù)制或移動(dòng)的系統(tǒng)應(yīng)要求,通過使用復(fù)制或移動(dòng)后客戶端設(shè)備上不存在的密鑰執(zhí)行的在線過程須重新分配授權(quán)。

1.3 安全獨(dú)立性

一個(gè)平臺(tái)的安全性被攻破后,系統(tǒng)應(yīng)將此次破壞限制在該系統(tǒng)內(nèi)部,而不能擴(kuò)散至其他系統(tǒng)。一部影片被盜版后,系統(tǒng)應(yīng)保證其他影片或同一影片的其他發(fā)行途徑不受影響。

(1)設(shè)備綁定:系統(tǒng)應(yīng)將解密密鑰的能力綁定到特定設(shè)備上(主機(jī)或存儲(chǔ)器),以便授權(quán)密鑰加密后,不使用綁定解密密鑰的設(shè)備無法解密。若一組設(shè)備的密鑰被破解,系統(tǒng)需保證被破解的密鑰無法生成其他設(shè)備的密鑰。

(2)軟件多樣性:安全軟件應(yīng)以多種不同方式部署,以便攻擊不能一次性攻破所有軟件保護(hù),這種部署的多樣性因系統(tǒng)版本和平臺(tái)而異。

(3)拷貝和影片的多樣性:內(nèi)容保護(hù)系統(tǒng)應(yīng)提供拷貝和影片的多樣性功能,以便在一部影片或其一個(gè)版本發(fā)生盜版時(shí),其他影片和版本不會(huì)被同樣的手段盜版。

(4)完整性和魯棒性 (Robustness):DRM 系統(tǒng)在運(yùn)行時(shí)的完整性檢查須由DRM 系統(tǒng)或平臺(tái)實(shí)施。系統(tǒng)應(yīng)啟動(dòng)微處理器體系結(jié)構(gòu)、固件和安全操作系統(tǒng)供應(yīng)商建議的所有邊信道攻擊預(yù)防措施,包括緩存和定時(shí)邊信道攻擊。系統(tǒng)應(yīng)對緩存、定時(shí)和代碼注入攻擊以及反向手段 (如混淆地址或隨機(jī)設(shè)置地址空間分布)實(shí)施額外的預(yù)防措施。系統(tǒng)應(yīng)使用下文平臺(tái)規(guī)范中規(guī)定的平臺(tái)隔離和信任機(jī)制。

(5)撤銷與更新:系統(tǒng)應(yīng)能撤銷和更新客戶端組件版本。如果輔助代碼簽名證書被用作系統(tǒng)信任根的一部分,則系統(tǒng)應(yīng)能撤銷這些證書。系統(tǒng)應(yīng)具有撤銷單個(gè)設(shè)備或設(shè)備類別的能力,并主動(dòng)更新安全相關(guān)軟件組件。系統(tǒng)應(yīng)為操作人員提供指定設(shè)備停止接收DRM 相關(guān)安全更新時(shí)限制內(nèi)容的能力,例如由DRM 提供商將認(rèn)證級別適當(dāng)降至低于ECP(超高清增強(qiáng)硬件級保護(hù)方案),包括取消認(rèn)證/吊銷。系統(tǒng)應(yīng)向操作人員安全提供經(jīng)認(rèn)證的固件版本信息。當(dāng)系統(tǒng)檢測到與內(nèi)容安全相關(guān)的漏洞無法修補(bǔ)時(shí),應(yīng)向DRM 系統(tǒng)提供商提供受影響模型清單,DRM 系統(tǒng)供應(yīng)商應(yīng)根據(jù)要求向運(yùn)營方提供該清單。

(6)輸出與鏈路保護(hù):系統(tǒng)應(yīng)支持HDCP 2.2或更高版對特定內(nèi)容類型的要求,例如超高清(UHD)或增強(qiáng)高清(Enhanced HD)。當(dāng)內(nèi)容需要HDCP 2.2保護(hù)時(shí),必須在下游鏈路保護(hù)的設(shè)備實(shí)施,即使用HDCP Type 1。系統(tǒng)應(yīng)能獲取鏈路保護(hù)撤銷清單和查詢服務(wù)器,以確定何時(shí)存在受損或不兼容的鏈路保護(hù)設(shè)備,然后安全限制可播放內(nèi)容。系統(tǒng)應(yīng)允許內(nèi)容提供商選擇其他可用輸出及相關(guān)保護(hù)。

2 平臺(tái)規(guī)范

2.1 加密

平臺(tái)應(yīng)支持AES128或更高級別加密。平臺(tái)應(yīng)提供必要的支持,使DRM 系統(tǒng)能夠抵抗上述DRM部分規(guī)定的邊信道攻擊。支持符合NIST 800-90C、AIS-31或GM/T 0005-2012的隨機(jī)數(shù)生成器。

2.2 安全媒體流程

平臺(tái)應(yīng)實(shí)施安全媒體通道,提供端到端保護(hù),至少覆蓋解密到受保護(hù)輸出。安全媒體流程應(yīng)包括密鑰及其衍生密鑰、壓縮和解壓縮的視頻樣本,以防止任何非授權(quán)源使用隔離和信任機(jī)制進(jìn)行訪問。

2.3 安全計(jì)算環(huán)境

平臺(tái)應(yīng)支持通過硬件機(jī)制隔離的安全處理環(huán)境,該硬件機(jī)制僅運(yùn)行用于執(zhí)行關(guān)鍵操作的經(jīng)驗(yàn)證代碼。該環(huán)境的安全性須經(jīng)廣泛的測試驗(yàn)證,例如安全操作系統(tǒng)、媒體流程配置、處理敏感加密。平臺(tái)應(yīng)能保護(hù)安全執(zhí)行環(huán)境的內(nèi)存免受不可信代碼和設(shè)備的訪問,包括實(shí)施微處理器體系結(jié)構(gòu)、固件和安全操作系統(tǒng)提供商建議的緩存邊信道攻擊的所有相關(guān)預(yù)防措施。平臺(tái)應(yīng)支持安全應(yīng)用程序在運(yùn)行時(shí)進(jìn)行完整性檢查。

2.4 硬件信任根

平臺(tái)應(yīng)支持在安全環(huán)境中執(zhí)行代碼的安全信任鏈并安全設(shè)置信任根。平臺(tái)應(yīng)為DRM 系統(tǒng)提供安全機(jī)制,對設(shè)備進(jìn)行唯一加密并將密鑰存于本地存儲(chǔ)中,如果平臺(tái)支持多個(gè)可信應(yīng)用程序或DRM,則應(yīng)對每個(gè)應(yīng)用程序進(jìn)行唯一加密,加密須以具有至少128位熵、不可變的設(shè)備唯一值為基礎(chǔ),并防止可信應(yīng)用程序之間相互解密。平臺(tái)應(yīng)確定與內(nèi)容安全相關(guān)固件版本。當(dāng)平臺(tái)提供商意識到與內(nèi)容安全相關(guān)漏洞無法修補(bǔ)時(shí),應(yīng)向DRM 實(shí)施伙伴提供受影響模型清單。

2.5 鏈路控制與保護(hù)

鏈路設(shè)備應(yīng)支持寬帶數(shù)字內(nèi)容保護(hù)協(xié)議HDCP 2.2。平臺(tái)應(yīng)提供一種安全、不可偽造的方法,用于枚舉所有下游鏈路保護(hù)接收器設(shè)備的唯一標(biāo)識。平臺(tái)應(yīng)確保輸出安全性,只有授權(quán)代碼才能啟用其他輸出。

3 端對端系統(tǒng)規(guī)范

3.1 鏈路控制與保護(hù)

鏈路保護(hù)接收器組件應(yīng)具有唯一、不可偽造和可追蹤的標(biāo)識,系統(tǒng)應(yīng)能夠?qū)⑾掠捂溌繁Ｗo(hù)接收器的唯一標(biāo)識安全地傳輸?shù)皆丛O(shè)備,并重點(diǎn)關(guān)注其完整性和可用性。鏈路保護(hù)接收器組件在交付給用戶設(shè)備制造商之前不得運(yùn)行,運(yùn)行啟動(dòng)須由接收器組件制造商以加密方式控制和保護(hù)。

3.2 數(shù)字水印

系統(tǒng)應(yīng)能夠在服務(wù)器和客戶端對視頻安全嵌入取證標(biāo)記,以便進(jìn)行盜版追溯。水印應(yīng)能防止其中的取證信息被損壞,包括合謀攻擊、使內(nèi)容仍然可觀看的轉(zhuǎn)換和獲取技術(shù)。數(shù)字水印應(yīng)確保在整個(gè)上映期間持續(xù)嵌入,即使設(shè)備被攻破,也能保證有效嵌入。

3.3 播放控制水印

合規(guī)系統(tǒng)應(yīng)在所有內(nèi)容上實(shí)施Cinavia播放控制,但封閉系統(tǒng)中無法訪問未授權(quán)內(nèi)容的設(shè)備不受此限制。

3.4 內(nèi)容泄露響應(yīng)

應(yīng)制定流程和協(xié)議,以便在升級系統(tǒng)的任何受損軟件組件時(shí)能夠快速響應(yīng)。

3.5 認(rèn)證

系統(tǒng)合規(guī)性及穩(wěn)定性由第三方和可信機(jī)構(gòu)共同認(rèn)證。數(shù)字水印由第三方進(jìn)行魯棒性測試。認(rèn)證之前可解密影片的設(shè)備數(shù)量應(yīng)盡可能少。應(yīng)防止開發(fā)代碼在制作單元上運(yùn)行,如通過撤銷簽名證書或使用不同的根證書和硬件信任根。制作代碼應(yīng)在技術(shù)可行范圍內(nèi)限制任何對逆向手段有用的信息,如調(diào)試、跟蹤和符號信息。制作設(shè)備應(yīng)使用物理或同等有效手段禁用所有調(diào)試或跟蹤接口,如聯(lián)合測試工作組(Joint Test Action Group,JTAG)、串行線調(diào)試(Serial Wire Debug,SWD)或移動(dòng)工業(yè)處理器接口(Mobile Industry Processor Interface,MIPI)。相應(yīng)措施和實(shí)施過程應(yīng)形成文件可供審核。