Home Artículos técnicos Mejores prácticas para desplegar DRM en una pila OTT a gran escala
Download
Applications

Mejores prácticas para desplegar DRM en una pila OTT a gran escala

About The Author

Outline

La gestión de derechos digitales (DRM) es un estándar de la industria que ofrece a los propietarios de contenido opciones para proteger el contenido premium. Una solución DRM eficaz debe funcionar con la mayoría de los dispositivos de reproducción, integrarse fácilmente en el flujo de trabajo y parecer transparente para los usuarios. Si puede soportar características avanzadas como la reproducción sin conexión, es mucho mejor. Si bien DRM puede no ser una prioridad para muchos operadores de servicios de streaming, su impacto en la experiencia de reproducción del espectador no puede ser una reflexión posterior.

El objetivo de cualquier sistema DRM es garantizar que el contenido de vídeo se almacene y transmita de forma cifrada para que solo los usuarios y dispositivos autorizados puedan reproducir contenido. DRM a menudo se malinterpreta como poco más que el cifrado AES (Advanced Encryption Standard) de 128 bits en capas en una plataforma de transmisión. En realidad, DRM es un sistema completo para gestionar el acceso al contenido. DRM proporciona la distribución segura de claves de cifrado y descifrado junto con servidores de licencias de backend que agregan funciones como el control de políticas para evitar la reproducción en hardware no autorizado y control de reproducción sin conexión.

DRM se puede implementar de una de tres maneras. La primera es asumir todo el desarrollo y la integración usted mismo. Si bien esto requiere mucho tiempo, permite el máximo control y flexibilidad. En segundo lugar, un enfoque híbrido en el que integra la solución DRM preempaquetada de un proveedor en su flujo de trabajo. La tercera opción utiliza una solución DRM como parte de un servicio de streaming gestionado. Verizon Media Platform ofrece este tipo de solución DRM. Está integrado en nuestro flujo de trabajo de video y habilitado por una simple orden de servicio. Asumimos la carga del desarrollo y la integración. Recuerde que con las dos primeras opciones, DRM es más que un proyecto único: Requiere un programa continuo para mantenerse al día con los estándares y tecnologías en evolución.

‍Proprietary DRMs

Los principales formatos de transmisión de video de ‍Today tienen su propia integración de sistema DRM. Dado que las tecnologías DRM son propietarias, por lo general solo se admiten en productos específicos de OEM, aunque con un número creciente de excepciones. Por ejemplo, Apple FairPlay es principalmente compatible con el navegador web Apple Safari y otros productos de hardware y software de Apple. Desde el punto de vista de un servicio de streaming, la falta de compatibilidad multiplataforma significa que tendrá que adoptar una estrategia multi-DRM y proporcionar contenido empaquetado y cifrado en múltiples formatos si desea cubrir una amplia gama de dispositivos.

Aunque hay muchos sistemas DRM en el mercado, desde un punto de vista práctico, los servicios de streaming solo necesitan preocuparse por los tres grandes para obtener soporte para prácticamente todos los navegadores web, dispositivos y televisores:

  • Apple FairPlay Streaming (FPS): El contenido FairPlay se puede reproducir principalmente en dispositivos Apple, incluidas las plataformas Safari, iOS y Apple TV.
  • Google Widevine: Esta solución DRM abarca todos los navegadores web Chrome y Firefox y dispositivos Android y Chromecast.
  • Microsoft PlayReady: El contenido protegido por esta solución DRM se puede reproducir en Roku, Xbox,
  • Navegadores Microsoft Edge y una gama de otras plataformas y televisores inteligentes a través de SDK.

La situación mejora un poco cuando se observa el cifrado subyacente, donde se están realizando esfuerzos de estandarización para ayudar a simplificar la fragmentación del mercado DRM. Tanto Widevine como PlayReady admiten Common Encryption (CENC) y MPEG-DASH, lo que significa que puede cifrar y empaquetar su contenido una vez y descifrar esos activos utilizando cualquiera de los sistemas DRM. Fairplay utiliza el cifrado 128-AES CBCS (o modo de muestra de encadenamiento de bloques cifrados) y el empaquetado HLS. CBCS también es compatible con algunos dispositivos de reproducción DASH más nuevos. El mercado parece converger en CBCS para el cifrado común, pero otras encriptaciones necesitarán ser soportadas durante mucho tiempo.

Desafíos de ‍Multi-DRM

‍In En el caso de nuestra plataforma, ciframos el contenido inmediatamente al ingerirlo en múltiples formatos. Nuestro empaquetado y cifrado predeterminados utilizan el cifrado completo AES-CTR porque es el más compatible entre dispositivos (aunque los dispositivos más nuevos pueden admitir CBCS). Además, utilizamos el empaquetado del flujo de transporte y el cifrado CBCS por defecto para Fairplay porque es el más compatible en toda la gama de dispositivos. Si bien estos cubren la mayoría de los dispositivos y jugadores en todo el mundo, también añaden complejidad y aumentan los costos de almacenamiento. Tenga en cuenta que con la tasa de bits adaptativa (ABR), tenemos mucho más de dos o tres archivos diferentes a mano: Puede ser de 15 o más segmentos diferentes para cada bloque de 4 o 2 segundos de tiempo de reproducción cuando se tienen en cuenta todas las tasas de bits.

Esta situación está mejorando lentamente. La industria se está moviendo hacia la amplia adopción de una especificación llamada Common Media Application Format (CMAF) que podría permitirle llegar a la mayoría de las pantallas de los consumidores con un solo conjunto de archivos habilitados para DRM. Actualmente, CMAF ya funciona en muchos dispositivos y reproductores DASH y HLS. Cuando tenga sentido, podemos usar la lógica de generación de manifiestos dinámicos para crear manifiestos HLS con cifrado compatible con CMAF y CBCS para admitir dispositivos adicionales.

La codificación de todos estos conjuntos de archivos se convierte en un problema mucho más grande a escala. Resolvimos esto aprovechando la escalabilidad de la nube. Cuando nuestro Slicer carga un archivo a la tasa de bits más alta, envía cada segmento a un bróker que agrupa el trabajo en un gran clúster de codificación. Al realizar operaciones de codificación en paralelo, todos los archivos necesarios para cada velocidad de bits, formato de contenedor y combinación de algoritmos de cifrado se pueden crear rápidamente con una latencia mínima.

Comprender los matices de la codificación de cifrado, el empaquetado y la superación de los requisitos de almacenamiento y procesamiento son solo la punta del iceberg con respecto a las complejidades involucradas con una implementación multi-DRM. Otros desafíos incluyen:

  • Garantizar la coherencia en las experiencias de usuario en todos los dispositivos con la adquisición sin retardo de claves de los servidores DRM
  • Mantenerse al tanto de los dispositivos cliente en constante cambio y SDK asociados, junto con las variaciones del sistema operativo
  • Cumplir con los parámetros de Protección de Contenido Mejorado (ECP) definidos por MovieLabs y otros, para contenido premium y UHD
  • Monitorización y adhesión a acuerdos complejos de licencias y protección, como cambio de tiempo, visualización de datos, uso de DVR basado en la nube y reproducción sin conexión

Para cumplir con este conjunto completo de requisitos y garantizar que el contenido esté protegido durante todo el flujo de trabajo, deberá desarrollar una solución de administración de claves, configurar servidores de licencias y definir y administrar políticas de seguridad que determinen las condiciones en las que se puede reproducir el contenido. Nuestra plataforma, por ejemplo, tiene un conjunto predeterminado de políticas que son apropiadas para la mayoría de las circunstancias. La herramienta de configuración de políticas de Studio DRM puede configurar fácilmente estas políticas para cada usuario. Las políticas se implementan en los servidores de licencias y pueden cubrir varias variables, como la aplicación del nivel de seguridad o las restricciones de salida, la duración de la clave, la duración de la reproducción y si se permite el alquiler sin conexión. Las opciones de actuación también pueden variar considerablemente entre los DRM.

La gestión de ‍Key es clave

Al igual que con la gestión de políticas, la plataforma debe manejar todos los aspectos de la gestión de claves y licencias para garantizar que sus claves estén protegidas en todo el flujo de trabajo. La seguridad se logra fácilmente con la plataforma totalmente integrada de Verizon Media, pero si va a utilizar servicios separados, necesitará una forma de transmitir claves de forma segura desde los codificadores a su solución DRM de terceros. Esto implica un trabajo considerable para implementar un estándar como Secure Packager y Encoder Key Exchange (SPEKE), para que las claves puedan codificar contenido externamente y luego ser entregadas a los servidores de licencias. Mantener todo en la misma red evita este paso y simplifica la implementación.

Una vez que tenga la infraestructura DRM incorporada en su flujo de trabajo, el siguiente gran desafío es la integración del jugador. Aquí es donde pasamos un tiempo significativo revisando el SDK de cada jugador para asegurarnos de que no había contratiempos. Un desafío resultó ser la inserción de anuncios del lado del servidor (SSAI). Dado que mantenemos una gran biblioteca de anuncios codificados por separado para unirlos en eventos en vivo y canales en vivo, estos anuncios no pueden compartir la misma clave de cifrado que cada evento en vivo y canal en la plataforma. Para resolver este problema, los anuncios deben cifrarse con claves individuales diferentes de la secuencia en la que se insertan, reempaquetarse sobre la marcha para cada secuencia única o insertarse en la secuencia sin cifrado.

Estas variaciones complican la reproducción de transmisión en vivo. Por ejemplo, algunos jugadores carecen de soporte para cambiar las teclas DRM midstream. Incluso con ese soporte, el cambio puede introducir un efecto notable en la experiencia de reproducción. Un búfer de fotogramas puede necesitar ser completamente agotado, y una nueva inicialización de clave realizada antes de que los fotogramas con la nueva clave se puedan poner en cola. Hacerlo puede resultar en un fallo visible en algunas plataformas.

Estos desafíos nos llevaron a dejar los anuncios sin encriptar para garantizar un mejor rendimiento del jugador y evitar la necesidad de realizar un cambio clave cada vez que hay un nuevo anuncio. Los anuncios no cifrados también conducen a un mejor rendimiento del servidor que volver a cifrar los anuncios sobre la marcha, ya que no tenemos que volver a empaquetar cada anuncio con cada combinación de claves de transmisión que podamos necesitar. El uso de anuncios no cifrados complica las cosas para los jugadores un poco más que solo usar la misma clave. Aún así, muchos proyectos de jugadores han asegurado que este sea un escenario de reproducción soportado en los últimos años.

También trabajamos para simplificar la forma en que funcionan las URL de licencia para hacerlas más convenientes para jugadores específicos. Logramos esto colocando primero las URL del servidor de licencias en el manifiesto, por lo que si un reproductor tiene soporte para leer la URL, no necesitamos proporcionarla por separado. Luego codificamos todos los datos específicos de la sesión en el cuadro de cabecera específica del esquema de protección (PSSH) en el manifiesto. Esto permite a los jugadores utilizar una URL de servidor de licencias muy simple para solicitudes de licencia sin datos de encabezado adicionales o parámetros de URL. El uso de la misma URL de licencia para jugadores y transmisiones significa que la integración de reproducción de DASH se vuelve extremadamente simple en nuestra plataforma.

‍Toward Integración DRM más fácil

Uno de los objetivos generales de nuestra plataforma es hacer que el streaming sea más simple y fácil para los proveedores de servicios. Seguimos ampliando nuestro uso de reproductores de código abierto como Shaka Player, una biblioteca JavaScript de código abierto para la reproducción de ABR. También nos hemos asociado con THEOplayer, una popular solución universal de reproducción de vídeo. Evolucionamos continuamente nuestra plataforma para seguir el ritmo de los cambiantes estándares de cifrado y las tecnologías DRM. Entendemos que muchas empresas no disfrutan trabajando con DRM, por lo que cuanto más podamos hacer esta tarea de seguridad crítica como cualquier otro elemento en una lista de verificación, mejor.