La gestion des droits numériques (DRM) est une norme de l’industrie qui offre aux propriétaires de contenu des options pour protéger le contenu premium. Une solution DRM efficace doit fonctionner avec la plupart des périphériques de lecture, s’intégrer facilement dans le flux de travail et paraître transparente pour les utilisateurs. S’il peut prendre en charge des fonctionnalités avancées comme la lecture hors ligne, c’est beaucoup mieux. Bien que la DRM ne soit peut-être pas une priorité absolue pour de nombreux opérateurs de services de streaming, son impact sur l’expérience de lecture du spectateur ne peut pas être une réflexion après coup.
L’objectif de tout système DRM est de s’assurer que le contenu vidéo est stocké et transmis sous une forme cryptée afin que seuls les utilisateurs et les appareils autorisés puissent lire le contenu. La DRM est souvent considérée à tort comme un peu plus qu’un cryptage AES (Advanced Encryption Standard) 128 bits sur une plate-forme de streaming. En réalité, DRM est un système complet de gestion de l’accès au contenu. La DRM assure la distribution sécurisée des clés de chiffrement et de déchiffrement associées à des serveurs de licences dorsaux qui ajoutent des fonctions telles que le contrôle des stratégies pour empêcher la lecture sur du matériel non autorisé et le contrôle de la lecture hors ligne.
La DRM peut être déployée de trois façons. La première est de prendre en charge vous-même tout le développement et l’intégration. Bien que cela demande beaucoup de temps, cela permet un contrôle et une flexibilité maximaux. Deuxièmement, une approche hybride dans laquelle vous intégrez la solution DRM préemballée d’un fournisseur dans votre flux de travail. La troisième option utilise une solution DRM dans le cadre d’un service de streaming géré. Verizon Media Platform offre ce type de solution DRM. Il est intégré à notre workflow vidéo et activé par une simple commande de service. Nous assumons le fardeau du développement et de l’intégration. Rappelez-vous qu’avec les deux premières options, la DRM est plus qu’un projet ponctuel – elle nécessite un programme continu pour suivre l’évolution des normes et des technologies.
Proprietary DRMS
Les principaux formats de streaming vidéo de Today ont leur propre intégration de système DRM. Comme les technologies DRM sont propriétaires, elles ne sont généralement prises en charge que sur les produits spécifiques aux OEM, mais avec un nombre croissant d’exceptions. Par exemple, Apple FairPlay est principalement compatible avec le navigateur Web Apple Safari et d’autres produits matériels et logiciels Apple. Du point de vue d’un service de streaming, le manque de compatibilité multi-plateforme signifie que vous devrez adopter une stratégie multi-DRM et fournir du contenu empaqueté et chiffré dans plusieurs formats si vous voulez couvrir une gamme complète d’appareils.
Bien qu’il existe de nombreux systèmes DRM sur le marché, d’un point de vue pratique, les services de streaming ont seulement besoin de se préoccuper des trois grands pour obtenir la prise en charge de pratiquement tous les navigateurs Web, appareils et téléviseurs:
- Apple FairPlay streaming (FPS) – le contenu FairPlay peut être lu principalement sur des appareils Apple, y compris les plateformes Safari, iOS et Apple TV.
- Google Widevine – cette solution DRM couvre tous les navigateurs Web Chrome et Firefox et les appareils Android et Chromecast.
- Microsoft PlayReady – le contenu protégé par cette solution DRM peut être lu sur Roku, Xbox,
- Navigateurs Microsoft Edge et une gamme d’autres plates-formes et téléviseurs intelligents via SDK.
La situation s’améliore quelque peu lorsque vous regardez le chiffrement sous-jacent, où des efforts de normalisation sont en cours pour aider à simplifier la fragmentation du marché des DRM. Widevine et PlayReady prennent en charge Common Encryption (CENC) et MPEG-DASH, ce qui signifie que vous pouvez chiffrer et empaqueter votre contenu une seule fois et déchiffrer ces ressources en utilisant l’un ou l’autre des systèmes DRM. Fairplay utilise le cryptage CBCS 128-AES (ou le mode exemple de chaînage de blocs de chiffrement) et le packaging HLS. CBCS est également pris en charge dans certains nouveaux appareils de lecture DASH. Le marché semble converger vers CBCS pour le cryptage commun, mais d’autres cryptages devront être pris en charge pendant longtemps.
Défis Multi-DRM
Dans le cas de notre plateforme, nous chiffrons immédiatement le contenu lors de In ingestion dans de multiples formats. Notre empaquetage et notre cryptage DASH par défaut utilisent le cryptage complet AES-CTR car il est le plus compatible entre les appareils (même si les appareils plus récents peuvent prendre en charge CBCS). De plus, nous utilisons le packaging de flux de transport et le cryptage CBCS par défaut pour Fairplay car il est le plus compatible sur toute la gamme d’appareils. Bien qu’ils couvrent la plupart des appareils et des lecteurs dans le monde entier, ils ajoutent également de la complexité et augmentent les coûts de stockage. Gardez à l’esprit qu’avec le débit binaire adaptatif (ABR), nous avons beaucoup plus de deux ou trois fichiers différents en main – il peut y avoir 15 segments différents ou plus pour chaque bloc de 4 ou 2 secondes de temps de lecture lorsque vous prenez en compte tous les débits binaires.
Cette situation s’améliore lentement. L’industrie se dirige vers l’adoption à grande échelle d’une spécification appelée Common Media application format (CMAF) qui pourrait vous permettre d’atteindre les écrans de la plupart des consommateurs avec un seul jeu de fichiers DRM. Actuellement, CMAF fonctionne déjà sur de nombreux appareils et lecteurs DASH et HLS. Lorsque cela est logique, nous pouvons utiliser une logique de génération de manifestes dynamiques pour créer des manifestes HLS avec un cryptage conforme CMAF et CBCS pour prendre en charge des périphériques supplémentaires.
L’encodage de tous ces ensembles de fichiers devient un problème beaucoup plus important à l’échelle. Nous avons résolu ce problème en tirant parti de l’évolutivité du cloud. Lorsque notre Slicer télécharge un fichier au débit binaire le plus élevé, il envoie chaque tranche à un courtier qui ferme le travail à un énorme cluster de codage. En effectuant des opérations de codage en parallèle, tous les fichiers nécessaires pour chaque combinaison de débit binaire, format de conteneur et algorithme de cryptage peuvent être créés rapidement avec une latence minimale.
Comprendre les nuances du codage de cryptage, du packaging, et surmonter les exigences de stockage et de traitement ne sont que la pointe de l’iceberg concernant les complexités liées à une implémentation multi-DRM. Parmi les défis supplémentaires, citons :
- Garantir la cohérence des expériences utilisateur sur tous les appareils grâce à l’acquisition sans délai des clés des serveurs DRM
- Rester à la pointe des périphériques clients en constante évolution et des SDK associés, ainsi que des variations des systèmes d’exploitation
- Conformité avec les paramètres ECP (Enhanced Content protection) définis par MovieLabs, et autres, pour le contenu premium et UHD
- Surveiller et respecter des accords de licence et de protection complexes, tels que le décalage horaire, la visualisation de rattrapage, l’utilisation de DVR dans le cloud et la lecture hors ligne
Pour répondre à cet ensemble complet d’exigences et vous assurer que le contenu est protégé tout au long du flux de travail, vous devez développer une solution de gestion des clés, configurer des serveurs de licences et définir et gérer des stratégies de sécurité qui déterminent les conditions dans lesquelles le contenu peut être lu. Notre plateforme, par exemple, dispose d’un ensemble de politiques par défaut qui conviennent à la plupart des circonstances. L’outil de configuration des stratégies DRM Studio peut facilement configurer ces stratégies pour chaque utilisateur. Les stratégies sont mises en œuvre sur les serveurs de licences et peuvent couvrir diverses variables telles que l’application du niveau de sécurité ou les restrictions de sortie, la durée de la clé, la durée de lecture et si la location hors ligne est autorisée. Les options stratégiques peuvent également varier considérablement d’un DRM à l’autre.
La gestion de Key est essentielle
Comme pour la gestion des stratégies, la plate-forme doit gérer tous les aspects de la gestion des clés et des licences afin de garantir que vos clés sont protégées tout au long du workflow. La sécurité est facilement assurée grâce à la plate-forme entièrement intégrée de Verizon Media, mais si vous utilisez des services distincts, vous aurez besoin d’un moyen de transmettre les clés en toute sécurité des encodeurs à votre solution DRM tierce. Cela implique un travail considérable pour mettre en œuvre une norme telle que Secure Packager et Encoder Key Exchange (SPEKE), afin que les clés puissent encoder le contenu en externe, puis être transmises aux serveurs de licences. Conserver tout sur le même réseau évite cette étape et simplifie la mise en œuvre.
Une fois que vous avez intégré l’infrastructure DRM dans votre flux de travail, le prochain grand défi est l’intégration des joueurs. C’est là que nous avons passé beaucoup de temps à parcourir le SDK de chaque joueur pour nous assurer qu’il n’y avait pas de hoquet. Un défi s’est avéré être l’insertion publicitaire côté serveur (SSAI). Étant donné que nous conservons une grande bibliothèque de publicités encodées séparément pour les intégrer dans les événements en direct et les canaux en direct, ces publicités ne peuvent pas toutes partager la même clé de chiffrement de clé que chaque événement en direct et canal sur la plateforme. Pour résoudre ce problème, les annonces doivent être chiffrées avec des clés individuelles différentes du flux dans lequel elles sont insérées, reconditionnées à la volée pour chaque flux unique, ou insérées dans le flux sans chiffrement.
Ces variations compliquent la diffusion en direct. Par exemple, certains joueurs ne prennent pas en charge la commutation des clés DRM en cours de diffusion. Même avec cette prise en charge, la commutation peut introduire un effet notable sur l’expérience de lecture. Un tampon de trame peut nécessiter d’être complètement vidé et une nouvelle initialisation de clé effectuée avant que les trames avec la nouvelle clé puissent être mises en file d’attente. Cela peut entraîner un problème visible sur certaines plates-formes.
Ces défis nous ont amenés à laisser les annonces non chiffrées pour assurer une meilleure performance des joueurs et éviter d’avoir à effectuer un changement de clé à chaque nouvelle annonce. Les publicités non chiffrées conduisent également à de meilleures performances du serveur que le re-chiffrement des publicités à la volée, car nous n’avons pas à reconditionner chaque publicité avec chaque combinaison de clés de flux dont nous pourrions avoir besoin. L’utilisation d’annonces non cryptées complique les choses pour les joueurs un peu plus que simplement l’utilisation de la même clé. Pourtant, de nombreux projets de joueurs ont assuré que ce scénario de lecture est pris en charge au cours des dernières années.
Nous avons également travaillé à simplifier la façon dont les URL de licence fonctionnent pour les rendre plus pratiques pour des joueurs spécifiques. Nous y sommes parvenus en mettant d’abord les URL du serveur de licences dans le manifeste, donc si un lecteur a le support pour lire l’URL, nous n’avons pas besoin de la fournir séparément. Ensuite, nous encodons toutes les données spécifiques à la session dans la case PSSH (protection Scheme Specific Header) du manifeste. Cela permet aux joueurs d’utiliser une URL de serveur de licences très simple pour les demandes de licence sans données d’en-tête ou paramètres d’URL supplémentaires. L’utilisation de la même URL de licence pour les lecteurs et les flux signifie que l’intégration de la lecture DASH devient extrêmement simple sur notre plate-forme.
Toward intégration DRM plus facile
L’un des objectifs principaux de notre plateforme est de rendre le streaming plus simple et plus facile pour les fournisseurs de services. Nous continuons à étendre notre utilisation de lecteurs open-source tels que Shaka Player, une bibliothèque JavaScript open-source pour la lecture ABR. Nous avons également établi un partenariat avec THEOplayer, une solution de lecteur vidéo universelle populaire. Nous faisons continuellement évoluer notre plate-forme pour suivre le rythme de l’évolution des normes de chiffrement et des technologies DRM. Nous comprenons que de nombreuses entreprises n’aiment pas travailler avec DRM, donc plus nous pouvons rendre cette tâche de sécurité critique comme tout autre élément sur une liste de contrôle, mieux c’est.