數字版權管理技術 及其在新型網絡電視臺中的應用

【內容摘要】本文針對數字視頻網絡化傳輸趨勢以及對版權保護的緊迫需求，介紹數字版權管理技術的總體架構、系統指標、組成模塊、核心技術，及其在實際網絡電視臺的部署方案，并進行性能分析。

【關鍵詞】DRM（數字版權管理）；認證中心；密鑰管理

一、引言

隨著電視視頻行業快速發展和技術的更迭，內容數字化、管理自動化、存儲播出安全化是總體的趨勢，相應的技術升級也是必不可少，隨著我國對版權保護認識的提高和重視，數字視頻內容的版權保護和管理變得越來越重要。

2014年5月6日，國家新聞出版廣電總局批準《互聯網電視數字版權管理技術規范》（GY/T277-2014）為中華人民共和國廣播、電影、電視推薦性行業標準，并予以發布，自2014年6月6日起實施。該標準以具有我國自主知識產權的核心技術為支撐，保障互聯網視頻服務的內容、渠道、終端可管可控，擺脫了對國外專利技術的依賴，大大降低互聯網視頻行業版權管理成本，有效保障我國互聯網視頻行業的安全。因此，構建基于DRM（數字版權管理）的資源底層版權識別及管理系統，對音視頻內容提供有效保護成為當務之急。

本文主要介紹DRM（數字版權管理）技術的組成框架和關鍵技術，以及在實際網絡電視臺中的應用案例，并進行性能分析。

二、系統結構

DRM（數字版權管理）系統遵循GY/T 277-2014標準，邏輯上包括：內容加密系統、許可證管理系統、客戶端DRM（數字版權管理）代理和認證中心。（如圖1所示）

內容加密系統從媒資管理系統接收內容加密任務，將內容加密后存儲到媒資管理系統指定的目錄，任務完成后，將內容加密，密鑰以安全通信的方式同步上傳到許可證管理系統。

許可證管理系統以安全通信的方式從內容加密子系統接收內容加密密鑰，并安全存儲到本地，從運營支撐系統獲取用戶、客戶端等的內容授權信息存儲到本地，并能夠及時更新授權信息；通過HTTP服務為客戶端DRM（數字版權管理）代理提供授權和許可證申請服務；許可證管理系統在處理客戶端許可證請求時，需要通過OCSP服務器獲取相關證書在線認證服務。

客戶端DRM（數字版權管理）代理與許可證管理子系統交互，獲取所需要的許可證，通過與播放器的交互為播放器提供內容解密服務，安全存儲自身的證書信息、許可證信息、DRM（數字版權管理）時間、以及許可證使用記錄等安全信息。

認證中心為內容加密系統、許可證管理系統、客戶端DRM（數字版權管理）代理等數字證書的生成、發布、存儲和注銷提供服務，認證中心提供的OCSP服務為許可證管理系統提供在線證書認證服務。

三、系統方案及關鍵技術

（一）系統設計

DRM（數字版權管理）系統按照《廣播電視相關信息系統安全等級保護基本要求》（GD/J 038—2011）三級標準設計，并將配合招標方通過國家廣播電影電視總局廣播電視相關信息系統安全等級保護三級測評。

DRM（數字版權管理）系統一般包括內容加密、密鑰管理、許可證授權、認證中心、DRM（數字版權管理）客戶端代理等核心子系統，以及系統運維管理等子系統。（如圖2所示）

（二）內容加密

內容加密子系統支持轉碼系統加密、DRM（數字版權管理）系統加密、第三方內容提供商內容加密等內容加密模式。轉碼系統加密是指由轉碼系統集成內容加密庫實現內容加密；DRM（數字版權管理）系統加密是指由DRM（數字版權管理）系統的內容加密模塊實現內容轉碼加密；第三方內容提供商內容加密是指DRM（數字版權管理）系統支持接入第三方內容提供商內容，由DRM（數字版權管理）系統對第三方內容提供商的內容進行轉碼加密，或者由DRM（數字版權管理）系統提供內容加密庫由第三方內容提供商實現內容加密功能。

內容加密子系統支持主流媒體格式和協議，支持對MPEG2-TSFLV等內容封裝格式，支持HLS、HDS、RTMP等主流流媒體協議，支持MPEG-2、H.264、MP3、AAC、AC3、WM等主流音視頻編碼格式。

內容加密子系統支持RSA、ECC等國際通用密碼算法和SM2/3/4等國密算法，密碼算法全部采用公開、標準的算法，不采用沒有安全保障的私有算法，在有效保障系統安全的前提下實現算法靈活替換。

內容加密子系統的內容加密密鑰由密鑰管理子系統生成，通過HTTPS+SOAP/JSON的方式安全發送到內容加密子系統。內容加密完成后由內容管理系統推送到CDN網絡。

（三）密鑰管理

密鑰管理子系統實現內容加密密鑰的生成、分發、存儲、注銷等功能；包括內容加密接口、許可證申請接口、密鑰管理三個模塊。

密鑰管理子系統支持RSA、ECC等國際通用密碼算法和SM2/3/4等國密算法，采用硬件加密機制保護本地存儲的內容加密密鑰，密碼算法全部采用公開、標準的算法，不采用沒有安全保障的私有算法，在有效保障系統安全的前提下實現算法靈活替換。

1.內容加密接口

內容加密接口實現與轉碼系統內容加密庫、DRM（數字版權管理）系統內容加密模塊的通信，基于HTTPS和JSON實現內容加密密鑰的安全同步。

2.許可證申請接口

許可證申請接口接收許可證授權子系統的內容加密密鑰申請，將內容加密密鑰安全發送給許可證授權子系統，該接口基于HTTPS和SOAP/JSON，實現內容加密密鑰的安全同步。

3.密鑰管理

密鑰管理是密鑰管理子系統的核心模塊，實現內容加密密鑰的生成、存儲、查詢、注銷、以及密鑰同步任務的調度。

（四）認證中心

認證中心子系統基于PKI/CA技術實現DRM（數字版權管理）服務端和DRM（數字版權管理）客戶端代理的數字證書生成、存儲、發布以及在線認證。

認證中心子系統的設計遵循CPS規范。

認證中心子系統包括證書管理和在線證書認證服務。

證書管理包括證書管理系統初始化、證書服務功能、證書管理功能等。

系統初始化功能生成自簽名的根證書。

證書服務功能實現證書簽發、輸出、查詢、注銷等功能，支持DRM（數字版權管理）客戶端代理和DRM（數字版權管理）服務端證書的更新，支持根證書的更新。

證書管理功能包括生成證書申請，證書審核，證書輸出，證書申請查詢，數據備份等功能。

證書管理由認證中心子系統實現，通過Web界面呈現。

四、系統部署方案和性能分析

（一）部署方案

系統部署數據庫服務器2臺，密鑰管理服務器2臺，內容加密服務器2臺，DRM（數字版權管理）服務器2臺，交換機2臺，防火墻1臺。

數據庫服務器部署2臺，磁盤采用RAID0+1配置。數據庫服務器采用MySQL數據庫，采用Replication復制模式部署。采用實時日志備份、每天增量備份、每周完整備份和異地備份的綜合策略保障系統數據的可靠性和安全性。

密鑰管理服務器部署2臺，采用LVS負載均衡配置，磁盤采用RAID1配置，安裝密鑰管理子系統、認證中心子系統，提供密鑰同步、密鑰存儲管理，證書生成與發布等功能。

內容加密服務器部署2臺，采用LVS負載均衡配置，部署內容加密子系統和系統運維管理子系統，支持第三方內容提供商內容加密，本地離線內容轉碼加密和直播內容轉碼加密，以及內容加密庫接口；同時，在內容加密服務器部署系統運維管理子系統，在系統運行前期可降低系統運行成本，在未來根據系統的負荷情況，可將系統運維管理子系統單獨部署。

DRM服務器部署2臺，磁盤采用RAID1配置，部署許可證授權管理子系統，提供終端的認證及授權功能。系統采用本地緩存方式，對終端、證書、密鑰、授權記錄等信息采用哈希表方式緩存，將用戶的行為記錄先存儲在內存中，定時或定量將日志記錄保存到數據庫中。

系統中所有服務器均采用負載均衡配置，確保系統的可靠性及穩定性。

（二）性能分析

系統采用面向對象架構，基于HTTP+SOAP/JSON方式實現模塊的集成，支持分布式部署，輕量級的JSON有效提高系統效率，實現系統各模塊的靈活配置。

數據庫服務器采用MySQL Replication復制模式部署，支持讀寫分離，有效的提高MySQL的插入、查詢效率，提高系統的并發處理能力；可通過增加服務器、分表、水平分區方式進一步提高數據庫的讀寫速度。

系統提供本地緩存機制，采用鍵值對存儲，用戶的行為記錄先存儲在內存中，采用定時或定量批量插入數據庫，不影響用戶響應速度；此外，可緩存內容、密鑰、終端等數據信息，無需查詢數據庫，進一步提高了用戶響應速度。

通過以上手段的使用，單臺DRM服務器可提供6萬以上的并發處理能力，系統支持300萬用戶、10萬并發處理能力；系統發生故障時，切換時間在60秒內。

五、結論

數字版權管理可以保護創新、激勵原創，可以使網絡電視臺獲得更多更好的內容。在當前的新形勢下，能否給予節目內容必要的版權保護，是開展內容合作或節目引進的重要指標，特別是與先進國家的內容供應商合作時，具有可靠的數字版權管理系統是簽訂版權授權協議的必備條件。因此，新型網絡電視臺建設數字版權管理系統，是網絡電視臺提高內容管理水平的內在要求，也是網絡電視臺做大做強的有益探索。