MovieLabs發布內容安全與版權管理規范保障數字影片安全

數字內容技術發展迅猛,但始終面臨非法復制、現場攝錄、翻錄等盜版風險。近日好萊塢電影實驗室(MovieLabs)對數字版權管理 (DRM)系統、運營平臺、端對端系統等安全與版權保護提出規范建議,用于提高數字視聽作品的內容安全性,降低盜版風險,并在多格式母版和多發行通道條件下保證數字影片得到最大程度保護。

1 數字版權管理(DRM)系統規范

1.1 加密

系統應使用最先進的加密功能,如AES128或更高級別加密。系統應能抵抗邊信道攻擊,包括但不限于時序攻擊、簡單功率分析(SPA)、差分功率分析(DPA)、簡單電磁分析(SEMA)和差分電磁分析(DEMA)。系統抗攻擊能力應通過測試確定,例如對測試信號的泄露情況進行統計分析。

1.2 連接

發行商在影片上映前不應把授權密鑰交付給設備。支持復制或移動的系統應要求,通過使用復制或移動后客戶端設備上不存在的密鑰執行的在線過程須重新分配授權。

1.3 安全獨立性

一個平臺的安全性被攻破后,系統應將此次破壞限制在該系統內部,而不能擴散至其他系統。一部影片被盜版后,系統應保證其他影片或同一影片的其他發行途徑不受影響。

(1)設備綁定:系統應將解密密鑰的能力綁定到特定設備上(主機或存儲器),以便授權密鑰加密后,不使用綁定解密密鑰的設備無法解密。若一組設備的密鑰被破解,系統需保證被破解的密鑰無法生成其他設備的密鑰。

(2)軟件多樣性:安全軟件應以多種不同方式部署,以便攻擊不能一次性攻破所有軟件保護,這種部署的多樣性因系統版本和平臺而異。

(3)拷貝和影片的多樣性:內容保護系統應提供拷貝和影片的多樣性功能,以便在一部影片或其一個版本發生盜版時,其他影片和版本不會被同樣的手段盜版。

(4)完整性和魯棒性 (Robustness):DRM 系統在運行時的完整性檢查須由DRM 系統或平臺實施。系統應啟動微處理器體系結構、固件和安全操作系統供應商建議的所有邊信道攻擊預防措施,包括緩存和定時邊信道攻擊。系統應對緩存、定時和代碼注入攻擊以及反向手段 (如混淆地址或隨機設置地址空間分布)實施額外的預防措施。系統應使用下文平臺規范中規定的平臺隔離和信任機制。

(5)撤銷與更新:系統應能撤銷和更新客戶端組件版本。如果輔助代碼簽名證書被用作系統信任根的一部分,則系統應能撤銷這些證書。系統應具有撤銷單個設備或設備類別的能力,并主動更新安全相關軟件組件。系統應為操作人員提供指定設備停止接收DRM 相關安全更新時限制內容的能力,例如由DRM 提供商將認證級別適當降至低于ECP(超高清增強硬件級保護方案),包括取消認證/吊銷。系統應向操作人員安全提供經認證的固件版本信息。當系統檢測到與內容安全相關的漏洞無法修補時,應向DRM 系統提供商提供受影響模型清單,DRM 系統供應商應根據要求向運營方提供該清單。

(6)輸出與鏈路保護:系統應支持HDCP 2.2或更高版對特定內容類型的要求,例如超高清(UHD)或增強高清(Enhanced HD)。當內容需要HDCP 2.2保護時,必須在下游鏈路保護的設備實施,即使用HDCP Type 1。系統應能獲取鏈路保護撤銷清單和查詢服務器,以確定何時存在受損或不兼容的鏈路保護設備,然后安全限制可播放內容。系統應允許內容提供商選擇其他可用輸出及相關保護。

2 平臺規范

2.1 加密

平臺應支持AES128或更高級別加密。平臺應提供必要的支持,使DRM 系統能夠抵抗上述DRM部分規定的邊信道攻擊。支持符合NIST 800-90C、AIS-31或GM/T 0005-2012的隨機數生成器。

2.2 安全媒體流程

平臺應實施安全媒體通道,提供端到端保護,至少覆蓋解密到受保護輸出。安全媒體流程應包括密鑰及其衍生密鑰、壓縮和解壓縮的視頻樣本,以防止任何非授權源使用隔離和信任機制進行訪問。

2.3 安全計算環境

平臺應支持通過硬件機制隔離的安全處理環境,該硬件機制僅運行用于執行關鍵操作的經驗證代碼。該環境的安全性須經廣泛的測試驗證,例如安全操作系統、媒體流程配置、處理敏感加密。平臺應能保護安全執行環境的內存免受不可信代碼和設備的訪問,包括實施微處理器體系結構、固件和安全操作系統提供商建議的緩存邊信道攻擊的所有相關預防措施。平臺應支持安全應用程序在運行時進行完整性檢查。

2.4 硬件信任根

平臺應支持在安全環境中執行代碼的安全信任鏈并安全設置信任根。平臺應為DRM 系統提供安全機制,對設備進行唯一加密并將密鑰存于本地存儲中,如果平臺支持多個可信應用程序或DRM,則應對每個應用程序進行唯一加密,加密須以具有至少128位熵、不可變的設備唯一值為基礎,并防止可信應用程序之間相互解密。平臺應確定與內容安全相關固件版本。當平臺提供商意識到與內容安全相關漏洞無法修補時,應向DRM 實施伙伴提供受影響模型清單。

2.5 鏈路控制與保護

鏈路設備應支持寬帶數字內容保護協議HDCP 2.2。平臺應提供一種安全、不可偽造的方法,用于枚舉所有下游鏈路保護接收器設備的唯一標識。平臺應確保輸出安全性,只有授權代碼才能啟用其他輸出。

3 端對端系統規范

3.1 鏈路控制與保護

鏈路保護接收器組件應具有唯一、不可偽造和可追蹤的標識,系統應能夠將下游鏈路保護接收器的唯一標識安全地傳輸到源設備,并重點關注其完整性和可用性。鏈路保護接收器組件在交付給用戶設備制造商之前不得運行,運行啟動須由接收器組件制造商以加密方式控制和保護。

3.2 數字水印

系統應能夠在服務器和客戶端對視頻安全嵌入取證標記,以便進行盜版追溯。水印應能防止其中的取證信息被損壞,包括合謀攻擊、使內容仍然可觀看的轉換和獲取技術。數字水印應確保在整個上映期間持續嵌入,即使設備被攻破,也能保證有效嵌入。

3.3 播放控制水印

合規系統應在所有內容上實施Cinavia播放控制,但封閉系統中無法訪問未授權內容的設備不受此限制。

3.4 內容泄露響應

應制定流程和協議,以便在升級系統的任何受損軟件組件時能夠快速響應。

3.5 認證

系統合規性及穩定性由第三方和可信機構共同認證。數字水印由第三方進行魯棒性測試。認證之前可解密影片的設備數量應盡可能少。應防止開發代碼在制作單元上運行,如通過撤銷簽名證書或使用不同的根證書和硬件信任根。制作代碼應在技術可行范圍內限制任何對逆向手段有用的信息,如調試、跟蹤和符號信息。制作設備應使用物理或同等有效手段禁用所有調試或跟蹤接口,如聯合測試工作組(Joint Test Action Group,JTAG)、串行線調試(Serial Wire Debug,SWD)或移動工業處理器接口(Mobile Industry Processor Interface,MIPI)。相應措施和實施過程應形成文件可供審核。