Home Articles techniques Meilleures pratiques pour le déploiement de DRM dans une pile OTT à grande échelle
Download
Applications

Meilleures pratiques pour le déploiement de DRM dans une pile OTT à grande échelle

About The Author

Outline

La gestion des droits numériques (DRM) est une norme de l’industrie qui offre aux propriétaires de contenu des options pour protéger le contenu premium. Une solution DRM efficace doit fonctionner avec la plupart des appareils de lecture, s’intégrer facilement dans le flux de travail et apparaître transparente pour les utilisateurs. S’il peut prendre en charge des fonctionnalités avancées comme la lecture hors ligne, c’est beaucoup mieux. Bien que la DRM ne soit pas une priorité absolue pour de nombreux opérateurs de services de streaming, son impact sur l’expérience de lecture du spectateur ne peut pas être une réflexion après coup.

L’objectif de tout système DRM est de s’assurer que le contenu vidéo est stocké et transmis sous une forme cryptée afin que seuls les utilisateurs et les appareils autorisés puissent lire le contenu. DRM est souvent mal compris comme un peu plus que le cryptage AES (Advanced Encryption Standard) 128 bits sur une plate-forme de streaming. En réalité, DRM est un système complet de gestion de l’accès au contenu. DRM fournit la distribution sécurisée des clés de cryptage et de décryptage couplées à des serveurs de licences back-end qui ajoutent des fonctions telles que le contrôle des politiques pour empêcher la lecture sur du matériel non autorisé et le contrôle de la lecture hors ligne.

DRM peut être déployé de l’une des trois façons suivantes. La première est de prendre en charge tout le développement et l’intégration vous-même. Bien que ce soit un processus qui demande beaucoup de temps, il permet un contrôle et une flexibilité maximaux. Deuxièmement, une approche hybride dans laquelle vous intégrez la solution DRM pré-packagée d’un fournisseur dans votre flux de travail. La troisième option utilise une solution DRM dans le cadre d’un service de streaming géré. Verizon Media Platform offre ce type de solution DRM. Il est intégré à notre workflow vidéo et activé par une simple commande de service. Nous assumons le fardeau du développement et de l ‘ intégration. Rappelez-vous qu’avec les deux premières options, la gestion des droits numériques est plus qu’un projet ponctuel : elle nécessite un programme continu pour suivre l’évolution des normes et des technologies.

‍Proprietary DRM

Les principaux formats de streaming vidéo de ‍Today ont leur propre intégration de système DRM. Comme les technologies DRM sont propriétaires, elles ne sont généralement prises en charge que sur les produits OEM spécifiques, bien qu’avec un nombre croissant d’exceptions. Par exemple, Apple FairPlay est principalement compatible avec le navigateur Web Apple Safari et d’autres produits matériels et logiciels Apple. Du point de vue d’un service de streaming, le manque de compatibilité inter-plateformes signifie que vous devrez adopter une stratégie multi-DRM et fournir du contenu packagé et crypté dans plusieurs formats si vous souhaitez couvrir une gamme complète d’appareils.

Bien qu’il existe de nombreux systèmes DRM sur le marché, d’un point de vue pratique, les services de streaming n’ont qu’à se préoccuper des trois grands pour obtenir la prise en charge de pratiquement tous les navigateurs Web, appareils et téléviseurs:

  • Apple FairPlay Streaming (FPS) – le contenu FairPlay peut être lu principalement sur les appareils Apple, y compris les plateformes Safari, iOS et Apple TV.
  • Google Widevine – cette solution DRM couvre tous les navigateurs Web Chrome et Firefox et les appareils Android et Chromecast.
  • Microsoft PlayReady – le contenu protégé par cette solution DRM peut être lu sur Roku, Xbox,
  • Navigateurs Microsoft Edge et une gamme d’autres plates-formes et téléviseurs intelligents via SDK.

La situation s’améliore quelque peu lorsque vous regardez le cryptage sous-jacent, où des efforts de normalisation sont en cours pour aider à simplifier la fragmentation du marché DRM. Widevine et PlayReady prennent en charge Common Encryption (CENC) et MPEG-DASH, ce qui signifie que vous pouvez chiffrer et empaqueter votre contenu une fois et déchiffrer ces ressources en utilisant l’un ou l’autre système DRM. Fairplay utilise le cryptage 128-AES CBCS (ou mode d’échantillonnage de chaînage de blocs de chiffrement) et le packaging HLS. CBCS est également pris en charge dans certains appareils de lecture de TABLEAU DE BORD plus récents. Le marché semble converger vers CBCS pour un cryptage commun, mais d’autres cryptages devront être pris en charge pendant longtemps.

Défis ‍Multi-DRM

Dans le cas de notre plateforme, nous chiffrons le contenu immédiatement après ‍In ingestion dans plusieurs formats. Notre packaging et cryptage DASH par défaut utilisent le cryptage complet AES-CTR car il est le plus compatible entre les appareils (même si les appareils plus récents peuvent prendre en charge CBCS). De plus, nous utilisons le packaging de flux de transport et le cryptage CBCS par défaut pour Fairplay car il est le plus compatible sur toute la gamme des appareils. Bien que ceux-ci couvrent la plupart des appareils et des lecteurs dans le monde entier, ils ajoutent également de la complexité et augmentent les coûts de stockage. Gardez à l’esprit qu’avec le débit binaire adaptatif (ABR), nous avons beaucoup plus de deux ou trois fichiers différents à portée de main – il peut s’agir de 15 segments différents ou plus pour chaque bloc de temps de lecture de 4 ou 2 secondes lorsque vous prenez en compte tous les débits binaires.

Cette situation s’améliore lentement. L’industrie se dirige vers l’adoption généralisée d’une spécification appelée Common Media application format (CMAF) qui pourrait vous permettre d’atteindre les écrans de la plupart des consommateurs avec un seul jeu de fichiers DRM. Actuellement, CMAF fonctionne déjà sur de nombreux appareils et lecteurs DASH et HLS. Lorsque cela est logique, nous pouvons utiliser une logique de génération de manifestes dynamiques pour créer des manifestes HLS avec un cryptage conforme à la norme CMAF et CBCS pour prendre en charge des périphériques supplémentaires.

Encoder tous ces jeux de fichiers devient un problème beaucoup plus important à l’échelle. Nous avons résolu ce problème en tirant parti de l’évolutivité du cloud. Lorsque notre Slicer télécharge un fichier au débit binaire le plus élevé, il envoie chaque tranche à un courtier qui exploite le travail vers un énorme cluster de codage. En effectuant des opérations de codage en parallèle, tous les fichiers nécessaires pour chaque combinaison de débit binaire, format de conteneur et algorithme de cryptage peuvent être créés rapidement avec une latence minimale.

Comprendre les nuances de l’encodage de cryptage, de l’emballage et surmonter les exigences de stockage et de traitement ne sont que la pointe de l’iceberg concernant les complexités liées à une implémentation multi-DRM. Parmi les autres défis, citons :

  • Assurer la cohérence des expériences utilisateur sur tous les appareils avec l’acquisition sans délai des clés à partir des serveurs DRM
  • Rester au fait des périphériques clients en constante évolution et des SDK associés, ainsi que des variations du système d’exploitation
  • Se conformer aux paramètres ECP (Enhanced Content protection) définis par MovieLabs, et d’autres, pour le contenu premium et UHD
  • Surveiller et respecter des accords de licence et de protection complexes, tels que le décalage temporel, la visualisation de rattrapage, l’utilisation de DVR dans le cloud et la lecture hors ligne

Pour répondre à cet ensemble complet d’exigences et garantir que le contenu est protégé tout au long du flux de travail, vous devrez développer une solution de gestion des clés, configurer des serveurs de licences et définir et gérer des politiques de sécurité qui déterminent les conditions dans lesquelles le contenu peut être lu. Notre plate-forme, par exemple, dispose d’un ensemble de politiques par défaut qui conviennent à la plupart des circonstances. L’outil de configuration des stratégies DRM de Studio peut facilement configurer ces stratégies pour chaque utilisateur. Les politiques sont implémentées sur les serveurs de licences et peuvent couvrir diverses variables telles que l’application du niveau de sécurité ou les restrictions de sortie, la durée de clé, la durée de lecture et l’autorisation de location hors ligne. Les options stratégiques peuvent également varier considérablement selon les DRM.

‍Key la gestion est essentielle

Comme pour la gestion des stratégies, la plate-forme doit gérer tous les aspects de la gestion des clés et des licences afin de garantir que vos clés sont protégées tout au long du flux de travail. La sécurité est facilement assurée grâce à la plate-forme entièrement intégrée de Verizon Media, mais si vous utilisez des services distincts, vous aurez besoin d’un moyen de transmettre les clés en toute sécurité depuis les encodeurs vers votre solution DRM tierce. Cela implique un travail considérable pour mettre en œuvre une norme telle que Secure Packager et Encoder Key Exchange (SPEKE), de sorte que les clés peuvent encoder le contenu en externe et ensuite être transférées aux serveurs de licences. Garder tout sur le même réseau évite cette étape et simplifie la mise en œuvre.

Une fois que vous avez intégré l’infrastructure DRM dans votre flux de travail, le prochain grand défi est l’intégration des joueurs. C’est là que nous avons passé beaucoup de temps à parcourir le SDK de chaque joueur pour nous assurer qu’il n’y avait pas de hoquet. Un défi s’est avéré être l’insertion publicitaire côté serveur (SSAI). Étant donné que nous conservons une grande bibliothèque d’annonces codées séparément pour les assembler aux événements en direct et aux chaînes en direct, ces annonces ne peuvent pas toutes partager la même clé de cryptage que chaque événement en direct et chaque chaîne sur la plateforme. Pour résoudre ce problème, les annonces doivent être chiffrées avec des clés individuelles différentes du flux dans lequel elles sont insérées, reconditionnées à la volée pour chaque flux unique ou insérées dans le flux sans chiffrement.

Ces variations compliquent la diffusion en direct. Par exemple, certains joueurs ne prennent pas en charge le changement de clés DRM en milieu de flux. Même avec cette prise en charge, la commutation peut introduire un effet notable sur l’expérience de lecture. Un tampon de trame peut avoir besoin d’être complètement vidé et une nouvelle initialisation de clé peut être effectuée avant que les trames avec la nouvelle clé puissent être mises en file d’attente. Cela peut entraîner un pépin visible sur certaines plates-formes.

Ces défis nous ont amenés à laisser les publicités non cryptées pour assurer une meilleure performance des joueurs et éviter d’avoir à effectuer un changement de clé chaque fois qu’il y a une nouvelle publicité. Les publicités non cryptées conduisent également à de meilleures performances du serveur que le re-cryptage des publicités à la volée, car nous n’avons pas à reconditionner chaque publicité avec chaque combinaison de clés de flux dont nous pourrions avoir besoin. L’utilisation d’annonces non cryptées complique les choses pour les joueurs un peu plus que simplement utiliser la même clé. Pourtant, de nombreux projets de joueurs ont fait en sorte que ce scénario de lecture soit pris en charge au cours des dernières années.

Nous avons également travaillé pour simplifier le fonctionnement des URL de licence afin de les rendre plus pratiques pour des joueurs spécifiques. Nous y sommes parvenus en mettant d’abord les URL du serveur de licences dans le manifeste, donc si un joueur a la prise en charge de la lecture de l’URL, nous n’avons pas besoin de la fournir séparément. Ensuite, nous encodons toutes les données spécifiques à la session dans la case PSSH (protection Scheme Specific Header) du manifeste. Cela permet aux joueurs d’utiliser une URL de serveur de licence très simple pour les demandes de licence sans données d’en-tête supplémentaires ou paramètres d’URL. L’utilisation de la même URL de licence pour les lecteurs et les flux signifie que l’intégration de la lecture DASH devient extrêmement simple sur notre plate-forme.

‍Toward intégration DRM plus facile

L’un des objectifs primordiaux de notre plateforme est de rendre le streaming plus simple et plus facile pour les fournisseurs de services. Nous continuons à étendre notre utilisation de lecteurs open-source tels que Shaka Player, une bibliothèque JavaScript open-source pour la lecture ABR. Nous avons également établi un partenariat avec THEOplayer, une solution populaire de lecteur vidéo universel. Nous faisons continuellement évoluer notre plate-forme pour suivre le rythme de l’évolution des normes de cryptage et des technologies DRM. Nous comprenons que de nombreuses entreprises n’aiment pas travailler avec les DRM, donc plus nous pouvons faire de cette tâche de sécurité critique comme n’importe quel autre élément sur une liste de contrôle, mieux c’est.