點(diǎn)播影院系統(tǒng)及設(shè)備安全級別測試分析

張文勝，胡 猛，李維善，韓 東，孫井順

（1.秦皇島美視達(dá)視聽檢測技術(shù)有限公司，河北 秦皇島 066000；2.河北省數(shù)字影像裝備與數(shù)字顯示技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 秦皇島 066000；3.秦皇島視聽機(jī)械研究所有限公司，河北 秦皇島 066000）

0 引 言

點(diǎn)播影院作為一種新型的觀影型式，因提供自由、個性化服務(wù)而深受廣大青年朋友歡迎。國內(nèi)點(diǎn)播影院正處在快速發(fā)展階段，但是發(fā)展無序，盜播、盜版、無放映記錄、放映環(huán)境差等問題飽受詬病[1]。為了促進(jìn)電影產(chǎn)業(yè)健康、繁榮發(fā)展，規(guī)范點(diǎn)播影院市場秩序，國家新聞出版廣電總局于2018年發(fā)布實(shí)施《點(diǎn)播影院、點(diǎn)播院線管理規(guī)定》。為規(guī)范點(diǎn)播影院、保護(hù)版權(quán)，《點(diǎn)播影院暫行技術(shù)規(guī)范》（以下簡稱《規(guī)范》）于2019年頒布實(shí)施。點(diǎn)播影院所使用的系統(tǒng)及設(shè)備都需滿足《規(guī)范》的要求才可進(jìn)入市場。《規(guī)范》的發(fā)布，為點(diǎn)播影院的發(fā)展指明了方向，將促進(jìn)點(diǎn)播影院行業(yè)高質(zhì)量發(fā)展，也為第三方檢測機(jī)構(gòu)進(jìn)行檢測提供了依據(jù)。

1 點(diǎn)播影院系統(tǒng)介紹

點(diǎn)播影院系統(tǒng)主要包括點(diǎn)播影院放映終端和點(diǎn)播院線運(yùn)營平臺，包含電影發(fā)行版制作和分發(fā)、授權(quán)秘鑰制作和分發(fā)、數(shù)字證書管理、計(jì)費(fèi)系統(tǒng)數(shù)據(jù)上報(bào)、影片放映、影院經(jīng)營、節(jié)目存儲以及設(shè)備運(yùn)維等部分[2]。點(diǎn)播影院系統(tǒng)的核心在于三個方面，一是點(diǎn)播影院放映質(zhì)量要求，二是點(diǎn)播院線計(jì)費(fèi)系統(tǒng)數(shù)據(jù)上報(bào)要求，三是點(diǎn)播影院系統(tǒng)和設(shè)備安全級別要求。點(diǎn)播影院系統(tǒng)測試的難點(diǎn)及重點(diǎn)在于系統(tǒng)和設(shè)備安全級別的測試，而《規(guī)范》對于安全級別的檢測方法描述相對比較簡單，沒有具體的檢測方法，第三方機(jī)構(gòu)實(shí)施檢測有一定的難度。

2 安全級別測試要點(diǎn)及難點(diǎn)

點(diǎn)播影院系統(tǒng)和設(shè)備安全級別根據(jù)影片數(shù)字水印、物理安全、顯示設(shè)備鏈路安全、播放器認(rèn)證與授權(quán)、影片打包、影片加密等安全因素分為四個等級[2]。安全級別1是最低安全等級，能夠基本保證設(shè)備安全。安全級別2和安全級別3為相對較高等級，是參考標(biāo)準(zhǔn)影院的安全級別來規(guī)定點(diǎn)播影院系統(tǒng)和設(shè)備的安全要求。安全級別4為最高等級，要求點(diǎn)播影院系統(tǒng)完全符合現(xiàn)行標(biāo)準(zhǔn)影院的安全級別。下面針對每個安全因素進(jìn)行解讀和分析。

2.1 影片內(nèi)容加密

對于影片內(nèi)容加密，安全級別1要求自行選擇加密算法，安全級別2和3要求使用AES加密算法，秘鑰長度為128位，模式為CBC[2]。

AES加密算法是一種對稱加密算法，使用范圍較廣。其加密秘鑰和解密秘鑰相同。秘鑰就是用來加密文件的密碼，一般使用128位、192位或256位長度的秘鑰。AES算法是基于置換和代替的。置換是數(shù)據(jù)的重新組合排列，代替是用一個單元數(shù)據(jù)替代另一個單元數(shù)據(jù)[3]。大部分廠商都采用AES加密算法對視頻進(jìn)行加密。

實(shí)驗(yàn)室檢測影片加解密功能主要有三個方面。一是客戶對影片進(jìn)行加密，導(dǎo)入測試平臺，判定加密影片能否播放，檢查加密功能是否正常。二是使用測試平臺對已加密的影片進(jìn)行解密，查看解密后的視頻能否正常播放。三是使用客戶提供的解密設(shè)備（播放器或軟件）進(jìn)行播放，查看能否正常播放，檢查解密功能是否正常。由于測試過程中需使用測試平臺進(jìn)行測試，客戶需提供影片內(nèi)容加密算法及相關(guān)加密規(guī)則。

2.2 影片打包

對于影片打包，安全級別1要求自行選擇打包方式，安全級別2和3要求點(diǎn)播影院數(shù)字電影包參考ISO 26429系列標(biāo)準(zhǔn)的打包格式，采用HEVC，H.264，JPEG2000等圖像編碼格式[2]。

ISO 26429系列標(biāo)準(zhǔn)規(guī)定的DCP打包格式是標(biāo)準(zhǔn)影院的影片格式。DCP全稱是數(shù)字電影包，是多種文件的集合，包含了音頻文件、視頻文件、資產(chǎn)映射文件、播放列表文件、字幕文件等多個文件[4-5]。對于通過安全級別1的點(diǎn)播影院系統(tǒng)，電影包一般使用的是MP4、MKV等格式，還有部分廠商采用的是自主命名的一種格式。

對于一些常規(guī)格式，可通過實(shí)驗(yàn)室測試平臺識別并分析影片格式及圖像編碼格式。對于一些特殊格式，廠商需提供影片打包的源碼，測試人員對打包源碼進(jìn)行分析，確認(rèn)打包規(guī)則及打包格式。對于DCP打包格式，需將DCP包導(dǎo)入測試平臺，測試平臺可對DCP包中逐個文件進(jìn)行分析，對每個文件的內(nèi)容的相關(guān)規(guī)則逐條進(jìn)行分析，判斷是否符合ISO 26429系列標(biāo)準(zhǔn)，最終統(tǒng)計(jì)有多少內(nèi)容符合ISO 26429系列標(biāo)準(zhǔn)。

2.3 播放器認(rèn)證與授權(quán)

對于播放器認(rèn)證與授權(quán)，安全級別1要求自行選擇授權(quán)機(jī)制，安全級別2和3要求使用KDM秘鑰消息進(jìn)行授權(quán)與認(rèn)證[2]。

KDM全稱為秘鑰傳送消息，是負(fù)責(zé)傳送秘鑰的文件。數(shù)字電影系統(tǒng)是通過KDM進(jìn)行授權(quán)認(rèn)證的。ISO 26430標(biāo)準(zhǔn)規(guī)定的KDM秘鑰格式中包含內(nèi)容解密秘鑰、信任設(shè)備列表及秘鑰授權(quán)時間信息（電影放映檔期）[6]。數(shù)字電影通過AES加密后生成加密后的文件及其秘鑰，AES秘鑰再通過進(jìn)一步的加密處理之后與秘鑰時間窗、受信任設(shè)備列表等相關(guān)信息一起經(jīng)數(shù)字簽名并形成KDM，KDM對放映設(shè)備進(jìn)行認(rèn)證和授權(quán)。

對于自行選擇授權(quán)認(rèn)證機(jī)制的系統(tǒng)，廠商需提供相關(guān)資料文檔，實(shí)驗(yàn)室根據(jù)相關(guān)文檔對播放設(shè)備進(jìn)行驗(yàn)證，認(rèn)證機(jī)制的有效性和準(zhǔn)確性。對于使用KDM秘鑰消息授權(quán)的系統(tǒng)，需將KDM秘鑰消息上傳至測試平臺，對其格式逐項(xiàng)分析驗(yàn)證，判定有多少是符合ISO 26430規(guī)定的KDM秘鑰格式的，同時對RSA加密秘鑰長度進(jìn)行分析。同時，需對播放器授權(quán)功能的正確性、私鑰存儲硬件證書、私鑰存儲/修改/刪除方式等進(jìn)行驗(yàn)證。

2.4 顯示設(shè)備鏈路安全

對于顯示設(shè)備鏈路安全，安全級別1要求“播放器和顯示設(shè)備應(yīng)具備必要的安全保護(hù)措施”，安全級別2和3要求“對于分體機(jī)，需對視頻碼流進(jìn)行加密，同時不準(zhǔn)許具備解密解碼后的視頻輸出接口；對于一體機(jī)，不準(zhǔn)許具備外置視頻鏈路和視頻輸出接口”[2]。

安全級別1要求較低，只要播放器和顯示設(shè)備具備必要的安全保護(hù)措施就可以達(dá)到要求。廠商可采用普通的碼流加密方式，也可采用通用的加密方式。使用高帶寬數(shù)字內(nèi)容保護(hù)技術(shù)（HDCP）加密，也可滿足安全級別1的要求。

如采用分體機(jī)方式，使用HDCP技術(shù)的播放器和顯示設(shè)備，需使用視頻分析儀對播放器接口和顯示設(shè)備的接口進(jìn)行分析，判定是否具備HDCP加密，其他加密方式可通過專用顯示設(shè)備進(jìn)行驗(yàn)證測試。如被測設(shè)備為一體機(jī)，需查看播放設(shè)備硬件圖并拆機(jī)驗(yàn)證，查看設(shè)備內(nèi)部播放模塊與顯示模塊之間是否使用了常規(guī)的標(biāo)準(zhǔn)接口。

2.5 物理安全

物理安全方面，安全級別1和2要求播放器和顯示設(shè)備應(yīng)具有必要的安全保護(hù)方式。安全級別3要求播放器和顯示設(shè)備具備視頻傳輸安全保護(hù)硬件裝置[2]。

對于安全保護(hù)裝置，可以使用安全開關(guān)或其他安全裝置。在斷電狀態(tài)下或者影片播放過程中，只要觸發(fā)了安全裝置，播放器需立即停止播放并鎖定，同時記錄相關(guān)日志。鎖定后，需由相關(guān)授權(quán)人員進(jìn)行解鎖和重置。檢測時，需按照《規(guī)范》要求進(jìn)行功能驗(yàn)證，檢查日志是否有相關(guān)操作記錄。

2.6 數(shù)字水印

數(shù)字水印方面，安全級別1和2不要求具備數(shù)字水印，安全級別3要求播放設(shè)備在播放影片時，應(yīng)實(shí)時載入數(shù)字水印到電影畫面，同時對水印內(nèi)容、水印嵌入頻率、水印長度等做了規(guī)定[1]。

電影行業(yè)的數(shù)字水印，一般是將影院信息、影廳信息、播放場次、播放時間等信息嵌入電影畫面中，用來保護(hù)數(shù)字電影的版權(quán)、完整性、防復(fù)制或去向追蹤的技術(shù)。用于數(shù)字電影的數(shù)字水印一般為魯棒水印，也稱盲水印。檢測時，需使用攝像機(jī)捕捉電影畫面，然后對捕捉的視頻進(jìn)行色彩變換、對比度調(diào)整、二次取樣、壓縮等視頻處理，同時對視頻尺寸進(jìn)行調(diào)整，最后查看水印是否還能被檢測識別[7]。

3 安全級別測試存在的問題

對于安全級別的測試，檢測機(jī)構(gòu)應(yīng)先詳細(xì)了解送檢系統(tǒng)和設(shè)備的整體架構(gòu)設(shè)計(jì)、影片加密方式、播放器授權(quán)方式、播放器和顯示設(shè)備的安全保護(hù)措施等設(shè)計(jì)文件，依據(jù)《規(guī)范》，結(jié)合設(shè)計(jì)文件制定相應(yīng)的詳細(xì)測試方案。

安全級別1對影片加密、打包、播放器認(rèn)證等要求較低，而且沒有明確規(guī)定具體的算法或打包方式，不同的廠商可以使用完全不一樣的算法。對于檢測機(jī)構(gòu)來說，反而不利于檢測的實(shí)施，只能根據(jù)不同的設(shè)備廠商定制檢測方案或檢測工具。安全級別2和安全級別3的影片打包和播放器認(rèn)證與授權(quán)在《規(guī)范》中規(guī)定為“參考ISO 26429系列標(biāo)準(zhǔn)”“參考 ISO 26430系列標(biāo)準(zhǔn)”，使用了“參考”二字，其規(guī)定不明確，沒有進(jìn)行量化。檢測機(jī)構(gòu)在測試過程中不易確定參考量多少才能算是符合要求。當(dāng)然，隨著行業(yè)技術(shù)人員及相關(guān)人員的參與，《規(guī)范》會越來越完善[1]。

4 結(jié) 語

點(diǎn)播影院系統(tǒng)和設(shè)備安全級別是《規(guī)范》中比較重要的內(nèi)容，主要目的是保護(hù)節(jié)目版權(quán)，打擊盜版。市場存量的點(diǎn)播影院系統(tǒng)較多不規(guī)范，安全級別較低。隨著市場的發(fā)展和《規(guī)范》的發(fā)布實(shí)施，存在較明顯安全漏洞的設(shè)備、系統(tǒng)慢慢地將會被淘汰出局，點(diǎn)播影院市場會越來越規(guī)范化。