Home Technische Artikel BEST Practices für die Bereitstellung von DRM in einem großen OTT-Stack
Applications

BEST Practices für die Bereitstellung von DRM in einem großen OTT-Stack

About The Author

Outline

Digital Rights Management (DRM) ist ein Industriestandard, der Inhaltseigentümern Optionen zum Schutz von Premium-Inhalten bietet. Eine effektive DRM-Lösung muss mit den meisten Wiedergabegeräten kompatibel sein, sich leicht in den Workflow integrieren lassen und für die Benutzer transparent erscheinen. Wenn es erweiterte Funktionen wie die Offline-Wiedergabe unterstützen kann, ist es viel besser. Während DRM für viele Streaming-Service-Betreiber möglicherweise nicht die oberste Priorität hat, kann die Auswirkung auf das Wiedergabeerlebnis des Zuschauers kein Nachdenken sein.

Das Ziel jedes DRM-Systems besteht darin, sicherzustellen, dass Videoinhalte verschlüsselt gespeichert und übertragen werden, sodass nur autorisierte Benutzer und Geräte Inhalte wiedergeben können. DRM wird oft als wenig mehr als AES (Advanced Encryption Standard) 128-Bit-Verschlüsselung auf einer Streaming-Plattform missverstanden. In Wirklichkeit ist DRM ein komplettes System zur Verwaltung des Zugriffs auf Inhalte. DRM bietet die sichere Verteilung von Ver- und Entschlüsselungsschlüsseln in Verbindung mit Backend-Lizenzierungsservern, die Funktionen wie Richtlinienkontrolle zur Verhinderung der Wiedergabe auf nicht autorisierter Hardware und Offline-Wiedergabesteuerung hinzufügen.

DRM kann auf drei Arten bereitgestellt werden. Erstens müssen Sie sich selbst mit der Entwicklung und Integration befassen. Dies ist zwar zeitintensiv, ermöglicht aber maximale Kontrolle und Flexibilität. Zweitens ist ein hybrider Ansatz, bei dem Sie die vorkonfigurierte DRM-Lösung eines Anbieters in Ihren Workflow integrieren. Die dritte Option verwendet eine DRM-Lösung als Teil eines verwalteten Streaming-Service. Die Verizon Media Platform bietet diese Art von DRM-Lösung. Es ist in unseren Video-Workflow integriert und wird durch einen einfachen Serviceauftrag ermöglicht. Wir übernehmen die Entwicklungs- und Integrationslast. Denken Sie daran, dass DRM bei den ersten beiden Optionen mehr als nur ein einmaliges Projekt ist – es erfordert ein fortlaufendes Programm, um mit sich entwickelnden Standards und Technologien Schritt zu halten.

‍Proprietary DRM

Die wichtigsten Video-Streaming-Formate von ‍Today verfügen über eine eigene DRM-Systemintegration. Da DRM-Technologien proprietär sind, werden sie in der Regel nur auf OEM-spezifischen Produkten unterstützt, allerdings mit einer wachsenden Anzahl von Ausnahmen. Apple FairPlay ist beispielsweise hauptsächlich mit dem Apple Safari Webbrowser und anderen Apple Hardware- und Softwareprodukten kompatibel. Aus Sicht eines Streaming-Dienstes bedeutet die fehlende plattformübergreifende Kompatibilität, dass Sie eine Multi-DRM-Strategie anwenden und Inhalte in verschiedenen Formaten bereitstellen müssen, wenn Sie eine umfassende Palette von Geräten abdecken möchten.

Obwohl es viele DRM-Systeme auf dem Markt gibt, müssen sich Streaming-Dienste aus praktischer Sicht nur mit den drei großen Systemen beschäftigen, um Unterstützung für praktisch alle Webbrowser, Geräte und Fernseher zu erhalten:

  • Apple FairPlay Streaming (FPS) – FairPlay-Inhalte können hauptsächlich auf Apple-Geräten abgespielt werden, darunter Safari-, iOS- und Apple TV-Plattformen.
  • Google Widevine – diese DRM-Lösung umfasst alle Chrome- und Firefox-Webbrowser sowie Android- und Chromecast-Geräte.
  • Microsoft PlayReady – Inhalte, die durch diese DRM-Lösung geschützt sind, können auf Roku, Xbox,
  • Microsoft Edge-Browser und eine Reihe anderer Plattformen und Smart-TVs über SDKs.

Die Situation verbessert sich etwas, wenn man sich die zugrunde liegende Verschlüsselung anschaut, wo Standardisierungsbemühungen zur Vereinfachung der Fragmentierung des DRM-Marktes unternommen werden. Sowohl Widevine als auch PlayReady unterstützen Common Encryption (CENC) und MPEG-DASH. Das bedeutet, dass Sie Ihre Inhalte einmal verschlüsseln und verpacken und diese Assets mit einem der DRM-Systeme entschlüsseln können. Fairplay verwendet 128-AES CBCS (oder Cipher Block Chaining Sample Mode) Verschlüsselung und HLS Packaging. CBCS wird auch in einigen neueren DASHWIEDERGABEGERÄTEN unterstützt. Der Markt scheint sich für die gemeinsame Verschlüsselung auf CBCS zu konzentrieren, aber andere Verschlüsselungen müssen noch lange unterstützt werden.

‍Multi-DRM-Herausforderungen

‍In im Fall unserer Plattform verschlüsseln wir Inhalte sofort bei der Aufnahme in mehreren Formaten. Unsere standardmäßige DASH-Verpackung und -Verschlüsselung verwenden die AES-CTR-Vollverschlüsselung, da sie geräteübergreifend am besten kompatibel ist (auch wenn neuere Geräte CBCS unterstützen). Darüber hinaus verwenden wir standardmäßig Transport Stream Packaging und CBCS-Verschlüsselung für Fairplay, da es für die gesamte Gerätepalette am besten kompatibel ist. Sie decken zwar die meisten Geräte und Player weltweit ab, erhöhen aber auch die Komplexität und die Speicherkosten. Denken Sie daran, dass bei der adaptiven Bitrate (ABR) weit mehr als zwei oder drei verschiedene Dateien zur Hand sind – es können 15 oder mehr verschiedene Segmente für jeden Block mit einer Wiedergabedauer von 4 oder 2 Sekunden sein, wenn Sie alle Bitraten berücksichtigen.

Diese Situation verbessert sich langsam. Die Branche entwickelt sich auf die breite Einführung einer Spezifikation namens Common Media Application Format (CMAF) zu, mit der Sie die Bildschirme der meisten Verbraucher mit einem einzigen DRM-fähigen Dateisatz erreichen können. Derzeit funktioniert CMAF bereits auf vielen DASH- und HLS-Geräten und -Playern. Wo es sinnvoll ist, können wir die Logik der dynamischen Manifestgenerierung verwenden, um HLS-Manifeste mit CMAF-konformer Verschlüsselung und CBCS zur Unterstützung zusätzlicher Geräte zu erstellen.

Die Kodierung all dieser Dateigruppen wird zu einem viel größeren Problem. Wir haben dies gelöst, indem wir die Skalierbarkeit der Cloud nutzen. Wenn unser Slicer eine Datei mit der höchsten Bitrate hochlädt, sendet er jeden Bereich an einen Broker, der die Arbeit an einen riesigen Codierungscluster weiterleitet. Durch parallele Codierungsvorgänge können alle erforderlichen Dateien für jede Kombination aus Bitrate, Containerformat und Verschlüsselungsalgorithmus schnell und mit minimaler Latenz erstellt werden.

Das Verständnis der Nuancen von Verschlüsselung, Verpackung und die Überwindung von Speicher- und Verarbeitungsanforderungen ist nur die Spitze des Eisbergs hinsichtlich der Komplexität einer Multi-DRM-Implementierung. Weitere Herausforderungen sind:

  • Gewährleistung einer konsistenten Benutzererfahrung über alle Geräte hinweg durch die verzögerungsfreie Beschaffung von Schlüsseln von DRM-Servern
  • Bleiben Sie stets auf dem Laufenden über sich ständig ändernde Client-Geräte und zugehörige SDKs und Betriebssystemvarianten
  • Einhaltung der ECP-Parameter (Enhanced Content Protection), die von MovieLabs und anderen für Premium- und UHD-Inhalte definiert wurden
  • Überwachung und Einhaltung komplexer Lizenzierungs- und Schutzvereinbarungen wie Zeitverschiebung, Catch-up-Anzeige, Cloud-basierte DVR-Nutzung und Offline-Wiedergabe

Um diese Anforderungen zu erfüllen und sicherzustellen, dass Inhalte während des gesamten Workflows geschützt werden, müssen Sie eine Schlüsselverwaltungslösung entwickeln, Lizenzserver einrichten und Sicherheitsrichtlinien definieren und verwalten, die die Bedingungen festlegen, unter denen die Inhalte wiedergegeben werden dürfen. Unsere Plattform verfügt beispielsweise über eine Reihe von Standardrichtlinien, die für die meisten Umstände geeignet sind. Das Studio DRM-Richtlinienkonfigurationstool kann diese Richtlinien für jeden Benutzer einfach konfigurieren. Richtlinien werden auf Lizenzierungsservern implementiert und können verschiedene Variablen abdecken, wie z. B. die Durchsetzung der Sicherheitsstufe oder Ausgabebeschränkungen, die Dauer der Schlüsselwiedergabe, die Wiedergabedauer und die Zulässigkeit der Offline-Vermietung. Auch die politischen Optionen können je nach DRM erheblich variieren.

‍Key Management ist von entscheidender Bedeutung

Wie bei der Richtlinienverwaltung muss die Plattform alle Aspekte der Schlüsselverwaltung und -Lizenzierung übernehmen, um sicherzustellen, dass Ihre Schlüssel über den gesamten Workflow hinweg geschützt werden. Die vollständig integrierte Plattform von Verizon Media sorgt für Sicherheit. Wenn Sie jedoch separate Dienste verwenden, benötigen Sie eine Möglichkeit, Schlüssel sicher von Encodern an Ihre DRM-Lösung eines Drittanbieters zu übertragen. Dies erfordert erhebliche Arbeit an der Implementierung eines Standards wie Secure Packager and Encoder Key Exchange (SPEKE), damit Schlüssel Inhalte extern codieren und dann an die Lizenzserver übergeben werden können. Durch das Verbleib aller Komponenten im selben Netzwerk wird dieser Schritt vermieden und die Implementierung vereinfacht.

Sobald Sie die DRM-Infrastruktur in Ihren Workflow integriert haben, ist die nächste große Herausforderung die Integration von Spielern. Hier haben wir viel Zeit damit verbracht, das SDK jedes Spielers durchzugehen, um sicherzustellen, dass es keine Schluckauf gab. Eine Herausforderung war die serverseitige Anzeigeneinfügung (SSAI). Da wir eine große Bibliothek von separat kodierten Anzeigen für Live-Events und Live-Kanäle führen, können diese Anzeigen nicht alle denselben Schlüssel zur Verschlüsselung verwenden wie jedes Live-Event und jeder Kanal auf der Plattform. Um dieses Problem zu lösen, müssen Werbeanzeigen mit einzelnen Schlüsseln verschlüsselt werden, die sich von dem Stream unterscheiden, in den sie eingefügt werden, während des Betriebs für jeden einzelnen Stream neu verpackt oder ohne Verschlüsselung in den Stream eingefügt werden.

Diese Varianten erschweren die Live-Stream-Wiedergabe. Einige Player unterstützen beispielsweise nicht das Umschalten von DRM-Schlüsseln im Midstream. Selbst bei dieser Unterstützung kann das Umschalten einen spürbaren Einfluss auf das Wiedergabeerlebnis haben. Möglicherweise muss ein Frame-Puffer vollständig entleert und eine neue Schlüsselinitialisierung durchgeführt werden, bevor Frames mit dem neuen Schlüssel in die Warteschlange gestellt werden können. Dies kann auf einigen Plattformen zu einer sichtbaren Störung führen.

Diese Herausforderungen führten dazu, dass wir Werbeanzeigen unverschlüsselt lassen, um eine bessere Spielerleistung zu gewährleisten und nicht jedes Mal, wenn eine neue Anzeige erscheint, eine wichtige Änderung vorzunehmen. Unverschlüsselte Werbeanzeigen führen zudem zu einer besseren Serverleistung als die sofortige erneute Verschlüsselung von Werbeanzeigen, da wir nicht jede Werbeanzeige mit jeder beliebigen Kombination von Stream-Schlüsseln neu verpacken müssen. Die Verwendung unverschlüsselter Werbung erschwert Spielern etwas mehr als nur die Verwendung desselben Schlüssels. Dennoch haben viele Player-Projekte in den letzten Jahren dafür gesorgt, dass dies ein unterstütztes Wiedergabeszenario ist.

Wir haben auch daran gearbeitet, die Funktionsweise von Lizenz-URLs zu vereinfachen, um sie für bestimmte Spieler bequemer zu machen. Wir haben dies erreicht, indem wir zuerst Lizenzserver-URLs in das Manifest einfügen. Wenn also ein Spieler Unterstützung für das Lesen der URL hat, müssen wir sie nicht separat bereitstellen. Anschließend kodieren wir alle sitzungsspezifischen Daten im Feld PSSH (Protection Scheme Specific Header) im Manifest. Dadurch können Player eine sehr einfache Lizenz-Server-URL für Lizenzanfragen ohne zusätzliche Header-Daten oder URL-Parameter verwenden. Die Verwendung derselben Lizenz-URL für Player und Streams bedeutet, dass die Integration der DASH-Wiedergabe auf unserer Plattform äußerst einfach wird.

‍Toward einfachere DRM-Integration

Eines der übergeordneten Ziele unserer Plattform ist es, das Streaming für Dienstanbieter einfacher und einfacher zu machen. Wir erweitern unsere Nutzung von Open-Source-Playern wie Shaka Player, einer Open-Source-JavaScript-Bibliothek für die ABR-Wiedergabe. Außerdem haben wir eine Partnerschaft mit THEOplayer, einer beliebten universellen Videoplayer-Lösung, geschlossen. Wir entwickeln unsere Plattform kontinuierlich weiter, um mit sich ändernden Verschlüsselungsstandards und DRM-Technologien Schritt zu halten. Wir wissen, dass viele Unternehmen nicht gerne mit DRM arbeiten. Je mehr wir also diese kritische Sicherheitsaufgabe wie jedes andere Element auf einer Checkliste erledigen können, desto besser.