DRM 技术是重要的数字版权保护手段

DRM，全称 DigitalRights Management，即数字版权保护，是随着电子音频视频节目在互联网上的广泛传播而发展起来的一种新技术。DRM 技术的目的就是保护数字内容的版权，从技术上防止数字内容的非法复制，或者在一定程度上使复制很困难，最终用户必须得到授权后才能使用数字内容。DRM 技术的核心主要是数字加密和权限控制，前者阻止了数字内容的非法传播，后者则限制了使用数字内容的方式。

ChinaDRM 系统架构由内容提供者、PKI系统、DRM 服务器和 DRM 客户终端组成：

ChinaDRM 系统架构

资料来源：公开资料，立鼎产业研究中心

◆ DRM 内容提供者：对内容进行加密封装。内容加密封装指将未受保护的内容进行加密处理，并在内容中添加加密描述信息，成为运营商服务器中可推送或可供 DRM 客户端下载的受保护内容。ChinaDRM 标准支持存储类、流式这两种内容封装形式，前者主要是基于 ISO 基础媒体文件格式的打包 DRM 内容格式（PCDF）和基于 ISO 基础媒体文件格式的通用加密格式（CENC），后者主要包括了基于 HTTP 的动态自适应流媒体协议（DASH）和基于 HTTP 的直播流媒体协议（HLS）。ChinaDRM 在 PCDF、CENC、DASH 或 HLS 中增加 ChinaDRM 标记和国密算法标记。

◆ PKI 系统：通过管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。ChinaDRM 系统的信任模型基于 PKI 体系。DRM 服务器、DRM 客户端向认证中心申请获得一个数字证书，作为身份凭证。服务器和客户端之间的信任关系建立于数字证书的可靠性。当 DRM 客户端的证书被 DRM 服务器验证有效时，DRM服务器信任该 DRM 客户端，接受该客户端的请求。类似地，当 DRM 服务器的证书被 DRM 客户端验证有效时，DRM 客户端信任该 DRM 服务器，向该服务器发出数据请求。ChinaDRM 的 PKI 系统也称作 TrustAuthority（CDTA），DRM 服务器和 DRM 客户端向 CDTA 申请证书和同步证书吊销列表。

◆ DRM 服务器：响应 BOSS 系统的授权指令，对指定的授权对象生成指定内容的权利描述信息，同时对内容的加密密钥进行多级加密保护，并根据权利描述逻辑结构生成许可证。响应客户端的许可证获取请求，将许可证发送给 DRM 客户端。DRM 服务器在生成许可证数据时使用单向散列算法对原始许可证内容计算摘要信息，再使用非对称密钥算法进行私钥签名运算后附加在原始内容的末尾。（立鼎产业研究网）由于 DRM 服务器私钥的私密性和不可推测性，签名运算可以防范“中间人”攻击，同时防止抵赖，也就是确保了数据的完整和有效。

◆ DRM 客户端：从 DRM 内容提供者获取内容描述信息和加密信息，然后根据这些信息从 DRM 服务器获取许可证。许可证又称作权利描述或授权，ChinaDRM采用了分级密钥体系，许可证中包含了解密内容所需的密钥链，密钥链在 DRM 客户端中被逐级解密，最终得到内容密钥（DRM 内容提供者用来加密内容的密钥），用内容密钥解密出明文内容，再将明文内容传递给解码模块完成播放。

ChinaDRM 内容播放流程

资料来源：公开资料，立鼎产业研究中心

典型的 ChinaDRM 内容播放流程如上图所示：

营商向 PKI 系统申请 DRM 服务器的数字证书，预埋在服务器本地，DRM 客户端厂商向 PKI 系统申请获得DRM 客户端的数字证书，预埋在 DRM 设备中；②DRM 内容提供者对明文内容进行加密，使其成为受保护的DRM内容，DRM 内容提供者先向 DRM 服务器请求内容密钥信息，然后加密并封装内容；③BOSS系统向 DRM 服务器发起用户授权请求，DRM 服务器记录授权信息；④DRM 客户端获取 DRM 内容，可通过拷贝、下载或网络直播等途径获取；⑤DRM客户端向 DRM 服务器请求建立安全上下文。DRM 客户端使用 4-pass 安全交互协议与 DRM 服务器通信，建立安全上下文，安全交互协议只在双方第一次通信时需要；⑥DRM 客户端向 DRM 服务器申请许可证。DRM客户端使用 2-pass 权利获取协议与 DRM 服务器通信；⑦DRM 服务器响应许可证请求，生成许可证信息；⑧DRM 客户端解析许可证，提取密钥，解密内容。