Home 技術文章 在大規模OTT堆棧中部署DRM的最佳做法
Applications

在大規模OTT堆棧中部署DRM的最佳做法

About The Author

Outline

數字版權管理(DRM)是一種行業標準,它爲內容所有者提供了保護高級內容的選項。 有效的DRM解決方案必須與大多數播放設備配合使用,輕鬆集成到工作流中,並且對用戶來說是透明的。 如果它能支援離線播放等進階功能,就更好了。 雖然DRM可能不是許多流媒體服務營運商的首要任務,但它對觀眾回放體驗的影響是事後考慮的。

任何DRM系統的目標都是確保影片內容以加密形式存儲和傳輸,以便只有授權用戶和設備才能播放內容。 DRM通常被誤解為只不過是串流平台上分層的AES (進階加密標準) 128位元加密。 實際上,DRM是管理內容訪問的完整系統。 DRM提供加密和解密鑰的安全分發,並與後端許可服務器配合使用,後者添加了策略控制等功能,以防止在未經授權的硬件上播放和脫機播放控制。

DRM可以通過三種方式之一部署。 第一是自己承擔所有的發展和整合。 儘管這需要時間,但它確實允許最大程度的控制和靈活性。 第二種方法是將提供商的預打包DRM解決方案集成到您的工作流中。 第三個選項使用DRM解決方案作為受管流服務的一部分。 Verizon Media Platform提供此類DRM解決方案。 它集成到我們的影片工作流程中,並通過簡單的服務訂單實現。 我們承擔著發展和一體化的負擔。 請記住,使用前兩個選項,DRM不僅僅是一次性項目,它需要一個持續的計劃來跟上不斷發展的標準和技術。

‍Proprietary個DRM

n ü ‍Today的主要影片流格式具有自己的DRM系統集成。 由於DRM技術是專有技術,因此通常僅在OEM特定產品上受支援,儘管例外情況越來越多。 例如,Apple FairPlay主要與Apple Safari網頁瀏覽器及其他Apple硬體與軟體產品相容。 從流媒體服務的角度來看,缺乏跨平臺兼容性意味著您需要採用多DRM策略,並提供以多種格式打包和加密的內容,如果您想涵蓋各種設備。

儘管市場上有許多DRM系統,但從實際的角度來看,流媒體服務只需關注三大系統,即可獲得幾乎所有Web瀏攬器,設備和電視的支援:

  • Apple FairPlay串流(FPS)–FairPlay內容主要可在Apple裝置上播放,包括Safari,iOS和Apple TV平台。
  • Google Widevine–此DRM解決方案涵蓋所有Chrome和Firefox Web瀏攬器以及Android和Chromecast設備。
  • Microsoft PlayReady–受此DRM解決方案保護的內容可在Roku,Xbox,
  • Microsoft Edge瀏攬器以及一系列其他平臺和智能電視(通過SDK)。

當您看一看底層加密時,情況會有所改善,目前正在進行標準化工作,以幫助簡化DRM市場的碎片化。 Widevine和PlayReady都支援通用加密(CENC)和MPEG-DASH,這意味著您可以對內容進行一次加密和打包,然後使用任一DRM系統對這些資產進行解密。 Fairplay使用128 CBCS (或密碼塊鍊樣例模式)加密和HLS打包。 某些較新的DASH播放設備也支援CBCS。 市場似乎趨於採用CBCS進行通用加密,但其他加密需要很長一段時間。

‍Multi -DRM挑戰

‍In在我們的平臺中,我們在以多種格式攝取內容時立即加密內容。 我們的預設DASH封裝和加密使用AES-CTR完全加密,因為它是跨設備的最兼容性(即使較新的設備可能支援CBCS)。 此外,我們預設為Fairplay使用傳輸流打包和CBCS加密,因為它是所有設備中兼容性最高的。 雖然這些產品涵蓋全球大多數設備和玩家,但它們也增加了復雜性並增加了存儲成本。 請記住,使用自適應比特率(ABR),我們手上的文件遠遠超過兩個或三個-當您考慮所有比特率時,每個播放時間塊的15個或更多段可以是4秒或2秒的播放時間。

這種情況正在慢慢改善。 業界正朝著廣泛採用一種稱為通用媒體應用程式格式(CMAF)的規範的方向發展,該規範允許您通過一個啟用DRM的文件集訪問大多數消費者的顯示器。 目前,CMAF已在許多DASH和HLS設備和播放器上工作。 在合理的情況下,我們可以使用動態清單生成邏輯來創建具有CMAF兼容加密和CBCS的HLS清單,以支援其他設備。

對所有這些文件集進行編碼已成為一個大規模的更大問題。 我們利用雲的可擴展性解決了這一問題。 當我們的Slicer以最高比特率上載文件時,它會將每個片發送給代理,由代理將工作分區到一個巨大的編碼羣集。 通過並行執行編碼操作,可以快速創建每個比特率,容器格式和加密算法組合所需的所有文件,並將延遲降至最低。

瞭解加密編碼,封裝以及克服儲存與處理需求的細微差別,只是多DRM實作複雜性的冰山一角。 其他挑戰包括:

  • 通過從DRM伺服器無延遲地獲取密鑰,確保所有設備的用戶體驗一致性
  • 隨時掌握不斷變化的客戶端設備和相關SDK以及操作系統變化
  • 符合MovieLabs及其他公司定義的增強型內容保護(ECP)參數,適用於高級和超高畫質內容
  • 監控並遵守復雜的許可和保護協議,例如時間轉換,跟蹤查看,基於雲的DVR使用和脫機播放

要滿足這整套要求並確保內容在整個工作流中得到保護,您需要開發密鑰管理解決方案,設置許可證服務器,以及定義和管理確定播放內容條件的安全策略。 例如,我們的平臺有一組適合大多數情況的預設策略。 Studio DRM策略配置工具可以輕鬆地為每個用戶配置這些策略。 策略在許可伺服器上實施,可以涵蓋各種變量,如安全級別強制或輸出限制,密鑰持續時間,播放持續時間以及是否允許脫機租賃。 政策選擇在各個DRM之間也有很大差異。

‍Key管理是關鍵

與策略管理一樣,該平臺必須處理密鑰管理和許可的所有方面,以確保密鑰在整個工作流中得到保護。 使用Verizon Media的完全集成平臺可以輕鬆實現安全性,但如果您要使用單獨的服務,則需要一種方法將密鑰從編碼器安全地傳輸到第三方DRM解決方案。 這涉及實施安全包裝程序和編碼器密鑰交換(SPEKE)等標準的大量工作,因此密鑰可以對內容進行外部編碼,然後將其移交給許可證伺服器。 將所有內容保持在同一個網路中可以避免此步驟,並簡化實施過程。

將DRM基礎架構整合到工作流程中後,下一個重大挑戰就是播放器整合。 在這方面,我們花了大量的時間瀏攬每個玩家的SDK,以確保沒有出現問題。 一個挑戰是伺服器端廣告插入(SSAI)。 由於我們保留了大量單獨編碼的廣告庫,以便與直播活動和直播頻道拼接,因此這些廣告無法與平臺上的每個直播活動和頻道共享相同的密鑰加密密鑰。 要解決此問題,廣告必須使用不同於其插入的流的單獨密鑰進行加密,每個唯一流的即時重新打包,或在沒有加密的情況下插入到流中。

這些變化使直播節目的播放變得更加復雜。 例如,某些播放器不支持中途切換DRM密鑰。 即使有了這種支援,切換也會對播放體驗產生明顯的影響。 可能需要完全清空幀緩衝區,並在使用新密鑰的幀進入隊列之前執行新密鑰初始化。 這樣做可能會導致某些平臺出現明顯故障。

這些挑戰導致我們不加密廣告,以確保更好的玩家表現,並避免每次出現新廣告時都需要進行密鑰更改。 未加密的廣告也比即時重新加密的廣告更能提升伺服器效能,因為我們不需要使用每個可能需要的串流金鑰組合來重新封裝每個廣告。 使用未加密的廣告會使玩家的事情比使用相同的密鑰更復雜。 儘管如此,在過去幾年中,許多玩家項目都確保了這是受支持的播放方案。

我們還致力於簡化許可證URL的工作方式,使其對特定玩家更為方便。 我們通過首先將許可證伺服器URL放入清單中來實現這一點,因此,如果玩家支援讀取URL,我們就不需要單獨提供它。 然後,我們將所有會話特定數據編碼到清單中的Protection Scheme Specific Header (PSSH)框中。 這使玩家可以使用非常簡單的許可證伺服器URL來處理許可證請求,而無需額外的標題數據或URL參數。 對播放器和流媒體使用相同的許可URL意味著DASH播放集成在我們的平臺上變得極其簡單。

‍Toward更輕鬆的DRM集成

我們平臺的首要目標之一是使服務提供商的流媒體變得更簡單,更輕鬆。 我們將繼續擴大對開放原始碼播放器的使用,例如Shaka Player,這是用於ABR播放的開放原始碼JavaScript庫。 我們還與流行的通用影片播放器解決方案THEOplayer合作。 我們不斷改進我們的平臺,以跟上不斷變化的加密標準和DRM技術的步伐。 我們瞭解許多公司不喜歡使用DRM,因此我們越能像檢查清單上的任何其他項目一樣,執行這項重要的安全性工作,就越好。