1、 ICS 33.160.60 M 32YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T IPTVIPTV 数字版权管理平台技术要求数字版权管理平台技术要求 第第 4 4 部分:部分:加密系统加密系统 The technical requirements for IPTV digital right management platform Part 4:encryption system (报批稿) - - 发布 - - 实施 中华人民共和国工业和信息化部 发布 目目 次次 1 范围 . 1 2 规范性引用文件 . 1 3 定义和缩略语 . 1 3.1 定义 . 1 3.2 缩
2、略语 . 2 4 加密系统在 IPTV 数字版权管理(DRM)平台中的位置 . 2 5 支持的内容种类 . 3 6 支持的音视频编码方式及文件格式 . 3 6.1 支持的视频编码要求 . 3 6.2 支持的音频内容编码要求 . 4 6.3 支持的内容文件格式要求 . 4 7 加密处理要求 . 4 7.1 通用要求 . 4 7.2 加密方法 . 5 8 内容输入输出协议 . 5 9 内容加密流程 . 5 9.1 点播内容加密流程 . 5 9.2 基于 HLS 的直播内容加密流程. 7 9.3 基于组播的直播内容加密流程 . 9 YD/T 前 言 本文件是IPTV 数字版权管理系统技术要求系列标准
3、之一,本系列标准的名称和结构预计如下: - IPTV数字版权管理系统技术要求 第1部分 总体架构。 - IPTV数字版权管理系统技术要求 第2部分 安全保护等级要求 - IPTV数字版权管理系统技术要求 第3部分 接口和通信流程口及通信流程。 - IPTV数字版权管理系统技术要求 第4部分 加密系统。 - IPTV数字版权管理系统技术要求 第5部分 接口消息和参数。 - IPTV数字版权管理系统技术要求 第6部分 终端处理及显示。 - IPTV数字版权管理系统技术要求 第7部分 DRM客户端。 本文件按照GB/T 1.12020的规定起草。 请注意本文件的某些内容可能涉及专利。 本文件的发布机
4、构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位:中国信息通信研究院、中国电信集团有限公司、中国联合网络通信集团有限公司 本文件主要起草人: 田辉、沈晶歆、陈戈、聂秀英、梁博 YD/T 引 言 IPTV 业务已经成为基础的电信业务之一,在我国拥有了大量的用户。同时我国已经发布了完备的IPTV系列通信行业标准。 在IPTV业务提供过程中, 涉及到大量的数字媒体信息的供给和使用,为保护这些数字媒体信息(特别是高清视频节目)拥有者的版权,需要在提供给IPTV业务时提供相应的版权保护措施。IPTV数字版权管理平台技术要求标准便是为保障IPTV业务所提供的数字媒体信息
5、而起草的,拟由七个部分构成。 本部分是IPTV数字版权管理平台技术要求标准的一部分。 该标准的结构和名称预计如下: 第1部分 总体架构。目的在于规定IPTV数字版权管理平台的总体架构及各组成部分的功能及通信流程。 第2部分 安全保护等级要求。目的在于根据实际使用需求确定安全保护的等级。 第3部分 接口和通信流程 。 目的在于规范IPTV数字版权管理系统各组成部分之间的接口及通信流程。 第4部分 加密系统。目的在于规范IPTV数字版权管理平台中加密系统的相关技术要求及加密流程。 第5部分 接口消息和参数。目的在于规定各个接口交换的消息及所携带的参数。 第6部分 终端处理及显示。目的在于规定使用数
6、字版权管理平台时终端处理及显示的相关要求。 第7部分 DRM客户端。目前在于规定具有数字版权管理的客户端的技术要求。 本部分为该标准的第1部分IPTV 数字版权管理系统技术要求 第4部分 加密系统。主要规定加密系统在IPTV数字版权管理平台中的位置、 支持的加密内容流的种类、 支持的内容音视频编码方式、内容加密处理要求、内容输入和输出协议、加密流程等技术要求。 YD/T IPTVIPTV 数字版权管理平台技术要求数字版权管理平台技术要求 第第 4 4 部分部分 加密系统加密系统 1 范围 本文件规定加密系统在 IPTV 数字版权管理平台中的位置、支持的加密内容流的种类、支持的内容音视频编码方式
7、、内容加密处理要求、内容输入和输出协议、加密流程等技术要求。 本文件适用于 IPTV 系统的 IPTV 数字版权管理平台。 2 规范性引用文件 下列文件对于本文件的应用是必部可少的, 凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包含所有的修改单)适用于本文件。 GB/T 20090.2-2013 信息技术 先进音视频编码 第 2 部分:视频 GB/T 20090.10-2013 信息技术先进音视频编码 第 10 部分:移动语音和音频 GB/T 33475.2-2016 信息技术 高效多媒体编码 第 2 部分:视频 YD/T XXXX-XXXX IPT
8、V 数字版权管理平台技术要求 第 1 部分 总体架构 ISO/IEC 23008-2-2013 Information technology High efficiency coding and media delivery in heterogeneous environments Part 2: High efficiency video coding 3 术语定义和缩略语 3.1 术语和定义 下列术语及定义适用于本文件: 3.1.1 密钥 key 控制密码变换的操作 注:例如:加密、解密、密码校验函数计算、签名生成或签名验证的符号序列。 YD/T 3.2 缩略语 下列缩略语适用于本文件
9、AMR:自适应多码率压缩(Adaptive multi-Rate compression) BMS:商务管理系统(Business Management System ) CA: 证书授权 (Certificate Authority ) CBC:密码分组链接(Cipher Block Chain ) CTR:计数器(Counter) CEI:内容加密信息(Content Encryption Information ) CENC:通用加密方法(Common Encryption) CP:内容提供者(Content Provider) DRM:数字版权管理(Digital Rights Man
10、agement) ES:基础流(Elementary Streams) HEVC:高效率视频编码(High Efficiency Video Coding) HTTP:超文本传输协议(Hyper Text Transfer Protocol) IDR:即时解码刷新(Instantaneous Decoding Refresh) IPTV:Internet (协议电视 Internet Protocol Television) MDS:媒体交付系统(Media Delivery System) MP3:MPEG 音频第 3 层(Moving Picture Experts Group Audio
11、 Layer 3) MP4:MPEG-4 第 14 部分(MPEG-4 Part 14 ) MPEG:运动图像专家组(Moving Picture Experts Group) NAL:网络抽象层(Network Abstract Layer) PSSH:保护系统特定头块(Protection System Specific Header Box) PMT:节目映射表(Program Map Table) TS:传输流(Transport Stream ) URL:统一资源定位符(Uniform Resource locator) 4 加密系统在 IPTV 数字版权管理(DRM)平台中的位置
12、依据 YD/T XXXX-XXXX IPTV 数字版权管理平台技术要求 第 1 部分 总体架构的规定,加密系统在 IPTV 数字版权管理平台架构中位于内容加密功能模块中,如图 1 所示。 YD/T 图1 加密系统在 IPTV 数字版权管理平台中的位置 5 支持的内容种类 内容加密系统应支持对直播内容加密和点播节目内容的加密。对于直播节目内容加密采用实时在线的方式进行,对于点播节目内容的加密采用离线的方式进行。 6 支持的音视频编码方式及文件格式 6.1 支持的视频编码要求 宜支持如下视频编码方式: a) GB/T 20090.2-2013所规定的 AVS 编码方式; b) GB/T 33475
13、.2-2016 所规定的 AVS 2.0 编码方式; c) MPEG-4 Part 10 AVC/H.264 主流配置型等级3 或 高配置型等级3; d) MPEG-4 Part 2 ASP等级3 (SD)/4(HD)); e) ISO/IEC 23008-2-2013 HEVC/H.265 主流配置型等级 3.0 以上。 DRM 平台 内容密 钥管理 内容加密 系统管理 CA 许可证管理 授权 CMS 运营 支撑 BMS TMS MDS 终 端 DRM 客户端 加密内容 加密内容 终端证书 终端密钥 内容密钥 内容许可证 终端 认证 业务策略 未加密内容 内容策略 YD/T 6.2 支持的音
14、频内容编码要求 宜支持如下音频内容编码方式: a) GB/T 20090.10-2013 ;定义的先进音视频编码第 10 部分:移动语音和音频; b) MPEG-2 AAC; c) MPEG-4 AAC; d) MPEG-1 音频第 3 层(MP3); e) MPEG2 音频; f) 杜比 E-AC 3 (包括 2.0、5.1、7.1、Atmos); g) MPEG-1 音频层 2; h) AMR。 6.3 支持的内容文件格式要求 宜支持如下内容文件格式: a) TS; b) MP4。 7 加密处理要求 7.1 通用要求 对加密系统的通用要求如下: a) 加密处理应支持CMS设置的内容标识Co
15、ntent ID; b) 内容加密基于帧结构无损加密的机制,确保文件加密后仍可以查找到IDR帧,以实现播放快进后退功能; c) 支持选择加密,可设置加密强度和选择加密I/B/P帧; d) 加密过程中可加入码流水印,终端DRM代理可检测水印,确保只有添加水印的码流才能授权、解密,防止对码流的非法攻击; e) 加密过程中可控制客户端嵌入水印,终端DRM代理可接收水印嵌入控制信息,确保将水印嵌入码流, 不支持水印的终端将无法解密播放码流, 每个支持水印嵌入的终端在模拟或数字输出时嵌入不可视的唯一的水印信息,具有盗版追踪、举证功能。 YD/T 7.2 加密方法 针对TS封装格式,DRM平台对视频内容E
16、S码流进行加密,加密算法支持AES-128-CBC、SM4-CBC等算法。为使终端播放器能够识别加密流,应在PMT中增加DRM描述符,指明视频编码方式、视频加密方式、许可证获取URI等信息。 为指明随后的视频数据是怎样加密的, 在ES码流的扩展数据中应增加内容加密信息CEI,CEI中包括加密标识符、当前内容加密密钥标识符、下一内容加密密钥标识符以及当前内容加密密钥对应的初始向量等。 在下一个CEI出现之前, 所有视频使用当前内容加密密钥加密,每个视频帧中需要加密的数据采用当前CEI中的初始向量。 对符合GB/T 20090.2-2013和GB/T 33475.2-2016规定的视频码流,CEI
17、数据放在sequence_header后的extension_data中。 对H.264编码的视频码流,在NAL单元类型为6的SEI信息里面包含CEI扩展信息,对nal-unit-type为1或5的NAL单元进行加密,其他NAL单元不加密。 对H.265编码的视频码流,在NAL单元类型为39的SEI信息里面包含CEI扩展信息,对nal-unit-type为0-31的NAL单元进行加密,其他NAL单元不加密。 对符合GB/T 20090.2-2013、GB/T 33475.2-2016、H.264编码、H.265编码格式的视频内容,内容加密支持全加密模式和部分加密模式两种方式。 全加密模式是指对
18、条带的数据部分进行加密,最后小于等于16个字节的部分不加密。 部分加密模式是对条带的数据进行10%加密, 即加密一个16字节块之后, 后面9个16字节块不加密,最后小于等于16个字节的数据不加密。 针对MP4封装格式,采用CENC标准加密,加密算法支持AES-128-CBC、AES-128-CTR、SM4-CBC、 SAMPLE-SM4等算法, 为使终端播放器能够识别加密流, 应在MP4文件头中增加PSSH,PSSH的data部分包含许可证URL。 8 内容输入输出协议 应支持文件、HTTP、组播、HLS等输入协议;应支持文件、HTTP、组播、HLS等输出协议。 9 内容加密流程 9.1 点播
19、内容加密流程 点播内容加密流程如图2所示: YD/T k)同步ContentID和内容加密密钥q)点播内容注入请求应答DRM平台点播CPCMS加密模块密钥管理模块a)点播内容发布请求f)判断是否需要加密g)点播内容加密请求(ContentID)p)点播内容注入请求(ContentID+切片文件地址)MDSn)请求点播内容加密结果(ContentID)l)同步应答b)元数据发布c)点播内容发布请求应答(ContentID)h)点播内容加密请求应答o)请求点播内容加密结果应答i)生成点播内容加密密钥和初始向量j)使用点播内容加密密钥和初始向量对内容加密m)对加密内容切片BMSd)点播业务策略请求e
20、)点播业务策略请求应答 图2 点播加密流程 流程说明: a) 点播CP向CMS系统发送点播内容发布请求; b) CMS进行点播内容元数据发布,生成ContentID; c) CMS向CP返回点播内容发布请求应答,包含ContentID; d) CMS向BMS请求该ContentID对应的业务策略,如是否加密、观看次数、观看有效期等; e) BMS向CMS返回该ContentID对应的业务策略; f) CMS根据业务策略判断该点播内容是否需要进行加密; g) 如该点播内容需要加密,CMS根据该ContentID对应的业务策略向内容加密模块请求点播内容加密,请求参数主要有:ContentID、内容
21、类型、输入文件路径、输出文件路径; YD/T h) 加密模块向CMS返回点播内容加密请求应答,进行点播内容加密处理; i) 加密模块在加密机中根据业务策略生成该ContentID的内容加密密钥; j) 加密模块使用该密钥进行点播内容加密; k) 加密模块向密钥管理模块同步ContentID及点播内容加密密钥; l) 密钥管理模块返回同步结果; m) 加密模块对该点播内容进行内容切片; n) 加密模块向CMS请求该ContentID的点播内容加密结果; o) CMS向加密模块返回点播内容加密结果请求应答; p) CMS向MDS发起加密内容注入请求,请求参数主要有:ContentID、切片文件地址
22、; q) MDS根据文件地址获取内容,完成点播内容注入后向CMS返回点播内容发布结果。 9.2 基于 HLS 的直播内容加密流程 基于HLS的直播内容加密流程如图3所示: YD/T DRM平台直播CPCMS加密模块密钥管理模块a)直播内容发布请求f)直播内容加密请求(ContentID)m)直播内容注入请求(ContentID+直播加密文件地址)n)直播内容注入请求应答MDSj)同步ContentID、当前直播内容加密密钥和初始向量、下一直播内容加密密钥和初始向量k)同步应答b)元数据发布c)直播内容发布请求应答(ContentID)g)直播内容加密请求应答h)生成当前直播内容加密密钥和初始向
23、量、下一直播内容加密密钥和初始向量i)使用当前内容加密密钥和初始向量对直播内容加密BMSd)业务策略请求e)业务策略请求应答l)切片o)当前直播内容加密密钥到期,切换到下一直播内容加密密钥 图3 基于 HLS 的直播加密流程 流程说明: a) 直播服务提供商向CMS系统发送直播内容发布请求; b) CMS进行直播内容元数据发布,生成ContentID; c) CMS向直播服务提供商返回直播内容发布请求应答,包含ContentID; d) CMS向BMS请求该ContentID对应的业务策略,如是否加密、服务有效期等; e) BMS向CMS返回该ContentID对应的业务策略; f) 如该直播
24、内容需要加密,CMS根据该ContentID对应的业务策略向内容加密模块请求直播内容加密,请求参数主要有:ContentID、内容类型、输入文件路径、输出文件路径; YD/T g) 加密模块向CMS返回直播内容加密请求应答,进行直播内容加密处理; h) 加密模块在加密机中根据业务策略生成该ContentID的对应的当前直播内容加密密钥和初始向量,以及下一直播内容加密密钥和初始向量; i) 加密模块使用当前直播内容加密密钥进行直播内容加密; j) 加密模块向密钥管理模块同步ContentID、当前直播内容加密密钥和初始向量以及下一直播内容加密密钥和初始向量; k) 密钥管理模块返回同步结果; l
25、) 加密模块对该直播加密内容进行内容切片; m) 加密模块向MDN请求直播内容注入,请求参数主要有:ContentID、切片文件地址; n) MDS根据文件地址获取内容,完成直播内容注入后向CMS返回点播内容发布结果; o) 如果当前直播内容加密密钥到期,加密模块切换使用下一内容加密密钥作为新的当前内容加密密钥,重复步骤h)-l)。 9.3 基于组播的直播内容加密流程 基于组播的直播加密流程如图4所示: YD/T c)直播内容发布请求应答(ContentID)DRM平台直播CPCMS加密模块密钥管理模块a)直播内容发布请求f)直播内容加密请求(ContentID)l)直播内容注入请求(Cont
26、entID+直播加密文件地址)MDSj)同步ContentID、当前直播内容加密密钥和初始向量、下一直播内容加密密钥和初始向量k)同步应答b)元数据发布g)直播内容加密请求应答h)生成当前直播内容加密密钥和初始向量、下一直播内容加密密钥和初始向量i)使用当前内容加密密钥和初始向量对直播内容加密BMSd)业务策略请求e)业务策略请求应答m)当前直播内容加密密钥到期,切换到下一直播内容加密密钥 图4 基于组播的直播加密流程 流程说明: a) 直播服务提供商向CMS系统发送直播内容发布请求; b) CMS进行直播内容元数据发布,生成ContentID; c) CMS向直播服务提供商返回直播内容发布请
27、求应答,包含ContentID; d) CMS向BMS请求该ContentID对应的业务策略,如是否加密、服务有效期等; e) BMS向CMS返回该ContentID对应的业务策略; f) 如该直播内容需要加密,CMS根据该ContentID对应的业务策略向内容加密模块请求直播内容加密,请求参数主要有:ContentID、内容类型、输入文件路径、输出文件路径; g) 加密模块向CMS返回直播内容加密请求应答,进行直播内容加密处理; YD/T h) 加密模块在加密机中根据业务策略生成该ContentID的对应的当前直播内容加密密钥和初始向量,以及下一直播内容加密密钥和初始向量; i) 加密模块使用当前直播内容加密密钥进行直播内容加密; j) 加密模块向密钥管理模块同步ContentID、当前直播内容加密密钥和初始向量以及下一直播内容加密密钥和初始向量; k) 密钥管理模块返回同步结果; l) 加密模块向MDN请求直播内容注入,请求参数主要有:ContentID、直播加密文件地址; m) 如果当前直播内容加密密钥到期,加密模块切换使用下一内容加密密钥作为新的当前内容加密密钥,重复步骤h)-k)。
浙ICP备2021020529号-1 | 浙B2-20240490 
