GY_T 277-2019视音频内容分发数字版权管理技术规范.pdf

GY中华人民共和国广播电视行业标准GY/T277—2019代替 GY/T 277—2014视音频内容分发数字版权管理技术规范Technical specification of digital rights management for video audiocontentdistribution2019-07-05发布2019-07-05实施国家广播电视总局发布 GY/T 277—2019目次前言II引言范国2规范性引用文件3术语和定义缩略语5体系架构5. 1概述5. 2逆辑架构，5. 3内容授权5. 4密钥管理，5. 5安全机制.5. 6信任模型，6内容加密6. 1概述6. 2内容加密方法6. 3内容封装格式许可证格式7. 1许可证结构7. 2许可证编码8许可证获取协议8. 1概述8. 2许可证获取请求8. 3许可证获取响应8. 4状态信息8. 5消息签名机制9DRMI服务端.9. 1概述9. 2密钥同步协议9. 3密钥查询协议10DRM客户端10. 1概述.3410. 2DRI应用模块.10. 3DRM功能模块10. 4DRM客户端运行环境10. 5DRM功能接口10. 6DRM客户端运行环境接口 GY/T 2772019设备密钥指的是DR客户端的密钥对，设备密钥应为非对称密朗，采用设备公钥加密的数据只有DRM客户端能够解密。DRM服务端采用内容加密密钥加密数字媒体内容，将内容加密密钥和其它与内容相关的密钥（如会话密钥、消息验证码密钥等）采用层级密钥加密的方法加密后与各密钥对应的密钥使用规则一起打包成内容授权许可证发送给DRM客户端，DRI客户端按照层级密钥体系中各级密钥的使用规则使用密钥，实现对数字媒体内容的解密插播放。视音频内容分发数字版权管理系统的内容授权机制如图3所示。受保护内容内容信息许可证CEK受保护CEKH使用规则内容受保护会话密销使用规则DRM客户端被授权公钥对象数字签名图3内睿授权机制5.4密钥管理视音频内容分发数字版权管理系统DRM服务端和DRM客户端拥有各自的非对称密钥对，基于非对称密码算法进行许可证获取。DRM服务端采用对称密码算法进行内容加密，将内容加密密钥加密后封装在许可证中发送给DRM客户端。视音频内容分发数字版权管理系统密钥管理机制如图4所示。 GY/T 277—2019许可证获取DRM服务端4DRM客户端++DRJI客户端DRI客户端公销私钥鲜密许可证会话密钥会话密钥加密解密内容密钥内容密钥内容内容图4密钥管理机制钥.视音频内容采用对称密码算法加密：DRM服务端生成会话密钥，用该会话密钥加密内容加密密钥：DRM服务端用DRM客户端公朗加密会话密朗：如果内容加密密钥需要同步到密钥网关，则采用密钥网关公朗加密：DRM服务端将加密后的会话密钥、加密后的内容加密密钥封装在许可证中发送给DRM客户端：许可证采用消息验证码保障许可证的完整性。DRM客户端接收到许可证后，用DRM客户端私钥解密出会话密钥，然后用解密出的会话密钥解密内容加密密钥：DRM客户端解密得到内容加密密钥后，用内容加密密钥解密内容，实现内容的解码播放。5.5安全机制本标准规定的视音频内容分发数字版权管理安全机制如下：数据机密性数据机密性应通过加密保护敏感数据，敏感数据至少包括受保护内容和内容加密密钥。b)身份鉴别身份鉴别应通过DRM客户端和DRM服务端之间验证对方的数字证书有效性来实现。c)数据先整性数据完整性的检测应通过协议消息数学签名和许可证上的消息验证码进行验证。5.6信任模型视音频内容数字版权管理系统的信任模型基于PKI体系。DRM系统中DRM服务端各核心组件、DRM客户端等都向认证中心申请获得一个数字证书，作为自已身份的凭证，互相之间的信任关系基于数字证书的有效性。如果DRA客户增的证书被DRM服务增验证有效，则DRM服务端信任该DR客户端。7 GY/T 2772019数字证书是DRM系统建立信任体系的基础。DRM客户端需要与数字证书进行关联。每个DRM客户端应至少携带一个数字证书。每个DRM客户端必须有唯一标识符，此唯一标识符应当在数字证书的适当字段载入。视音频内容分发数字版权管理系统信任链包括根CA证书、DRM服务端子CA证书、DRM客户增子CA证书、DRM服务端证书、DRM客户端证书、以及0CSP服务器证书。安全信任机制如图5所示。根CA4DRI服务端子DR客户端CA子CA+OCSP服务器DRM服务端证DROI客户端证证书书图5安全信任机制信任链建立以后，DRM服务端安全的存储DRM服务端证书及私钥、OCSP服务器证书、DRM服务端子CA证书、根CA证书；DRM客户端安全存储DRM客户端证书及私钥、DRM客户端子CA证书、根CA证书。DRM服务端基于DRM客户端证书CRL列表判断DRM客户端证书的有效性，D