YD T 3866.2-2021 IPTV数字版权管理系统技术要求 第2部分：安全保护等级要求.pdf

1、ICS 33.160.99 M60 YD 中华人民共和国 通信 行业标准 IPTV 数字版权管理系统技术要求 第 2 部分：安全保护等级要求 Technical requirement for IPTV digital right management system part 2- Security level requirements （报批稿） 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发 布 20-发布 20-实施 YD/T YD/T XXXXXXXXX I 目 次 前言 .II 1 范围 .1 2 缩略语 .1 3 基本安全要求 .1 4 DRM 服务端安全要求 .1 5

2、 DRM 代理安全保护等级要求 .2 5.1 DRM 代理安全应用架构 .2 5.2 应用场景 .4 YD/T XXXXXXXXX II 前 言 本标准是针对视频服务用户体验评估系列标准之一，该系列标准名称和结构如下： -IPTV 数字版权管理系统技术要求 第 1 部分 总体架构 -IPTV 数字版权管理系统技术要求 第 2 部分 安全保护等级要求 -IPTV 数字版权管理系统技术要求 第 3 部分 接口和通信流程 -IPTV 数字版权管理系统技术要求 第 4 部分 加密系统 -IPTV 数字版权管理系统技术要求 第 5 部分 接口消息和参数 -IPTV 数字版权管理系统技术要求 第 6 部分

3、 终端处理及显示 本部分按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国通信标准化协会提出并归口。 本部分起草单位： 中国联合网络通信有限公司、中国信息通信研究院 本部分主要起草人：王宇、梁博、张沛、李洁、刘雨涵、聂秀英 YD/T XXXXXXXXX 1 IPTV 数字版权管理系统技术要求 第 2 部分：安全保护等级要求 1 范围 本部分规定了 IPTV数字版权管理系统的 DRM服务端安全要求 ， DRM代理的安全保护等级技术要求和应 用场景。 本部分适用于 IPTV数字版权管理系统。 2 规范性引用

4、文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ISO/IEC 27002:2013 信息技术 .安全技术 .信息安全管理实施规程 3 缩略语 下列缩略语适用于本文件。 DRM 数字版权管理 Digital Rights Management HDR 高动态范围 High-Dynamic Range OCSP 在线证书状态协议 Online Certificate Status Protocol SDR 标准动态范围 Standard Dynamic Range TA

5、 可信应用 Trusted Application 4 基本安全要求 IPTV数字版权管理系统基本安全要求如下： a） 内容加密密钥 1) 需为随机密钥，由随机数生成器生成； 2) 采用 AES-128及以上算法，其中初始向量 IV不允许重复，若内容分块数量超过 IV的最大数 量应更新密钥； 3) 解密内容只能在解码播放时暂存于内存，禁止将解密内容写至存储； 4) 下载内容应加密保存在当前设备中；应具有安全机制确保只输出加密内容； 5) 内容加密密钥在 DRM服务器应安全存储，内容加密密钥应加密后存储在许可证中传输。 b） 许可证 1) 许可证应具有时间戳； 2) 许可证中的所有密钥单元应加密

6、保护； 3) 采用 RSA-SHA1-1024、 RSA-SHA1-2048等签名算法进行签名保护； 4) 消息协议的消息应支持 国 际通用密码算法和国产密码算法进行签名保护； YD/T XXXXXXXXX 2 5) 密钥由随机数发声器生成， 始终被加密保护 ； 服务端密钥应由硬件加密后安全保护 ； 客户 端应有安全存储区存储数字证书信息、许可证信息； 6) 应具有时间同步保护机制。 5 DRM 服务端安全要求 DRM服务端应以硬件密码基础设施为支撑，符合国家密码管理政策；内容加密、密钥管理、许可证 授权等核心功能组件化 ； 支撑数字电视、互联网电视、 IPTV、 互联网视频等多业务场景 ；

7、支持向云平台 过渡。 DRM服务器应保障内容、 DRM服务端私钥、内容加密密钥、 加密密钥的密钥等的安全存储 ； 应保障 客户端信息 、 数字证书 、 权力获取协议消息 、 协议版本 、 OCSP协议消息 、 许可证以及信息等的完整性和 真实性。 参照 ISO/IEC 27002:2013或以上版本要求，制定安全策略以降低风险。包括： a) 应保护服务端私钥、其他敏感信息的安全性和完整性； b) 应有安全机制拒绝非授权访问； c) 对私钥 、 敏感信息的访问应保存日志文件 ， 应保障日志文件完整性并通过审核 ， 将日志安全存 储于审计。 6 DRM 代理安全保护等级要求 6.1 DRM 代理安

8、全应用架构 6.1.1 安全保护级别基本要求 应满足 DRM代理私钥和其他敏感信息的安全性和完整性，按照许可证的要求解密和使用内容，解密 后的内容不能为用户获取。根据 DRM代理服务的不同头端，及 DRM代理本身支持的安全业务级别，将 DRM 代理分为软件级别、硬件级别以及增强型硬件级别。 DRM代理安全要求对比情况如表 1所示。 表 1 安全保护等级基本要求对比 安全级别 安全运行环境 安全播放通路 内容输出保护 加强安全要求 播放内容 软件级别 不要求 不要求 软件实现 不要求 标清 硬件级别 要求 要求 要求 不要求 高清 增强硬件级别 要求 要求 要求 要求 4K 安全运行环境及安全播

9、放通路，能够确保普通 CPU模式无法获取解密后视频数据，保证视频内容安 全。 内容输出保护分为： HDCP控制及模拟输出保护两个部分。 增强安全要求为 4K安全要求所特有，主要包括：防侧通道攻击，水印技术等还未完全确认的技术 。 6.1.2 软件级安全级别 YD/T XXXXXXXXX 3 图 1 软件级别 DRM代理安全业务架构 如图 1所示，软件级别 DRM代理包括 DRM业务应用， DRM框架层，以及 DRM业务层几个部分，另外需要 外部的系统媒体组件将加密流和 DRM服务器信息等数据传送到 DRM系统中。 DRM的核心功能全部或部分基于软件安全机制实现，代理私钥、许可证信息、内容加密密

10、钥信息等 全部采用软件机制实现安全保护，包括： a） 代码扰乱； b） 代码签名； c） 代码运行防篡改； d） 软件方式存储安全； e） 白盒密码。 6.1.3 硬件级安全级别 图 2 硬件级别 DRM代理安全业务架构 如图 2所示 ， 硬件级别 DRM代理的安全性高于软件级别 DRM代理 ， 主要差别在 DRM业务层 ， 硬件级别 DRM 业务层主要负责 TEE侧的数据交互， DRM主要业务处理在 DRM业务层和 DRM TA中。 DRM 业务应用 许可证获取 许可证解析 DRM Client DRM Serivce DRM Plugin 系统媒体组件 媒体解析器 DRM 框架层 DRM

11、业务应用 许可证获取 许可证解析 DRM Client DRM Serivce DRM Plugin DRM 业务层 系统媒体组件 媒体解析器 DRM 框架层 TEE DRM TA 解密 安全存储 输出保护 Cipher HDMI TEE _ API SecureOS YD/T XXXXXXXXX 4 DRM的核心功能全部基于硬件安全机制实现 ， 采用终端硬件芯片中的硬件安全机制实现 DRM代理核心 敏感信息的保护和实施。安全机制包括： a） 可信执行环境； b） 安全视频路径； c） 硬件信任根； d） 安全启动； e） 安全升级； f） 安全时间； g） 安全存储； h） 安全内存； i）

12、 TA隔离； j） TA认证； k） 密码算法与随机数功能。 6.1.4 增强硬件级安全级别 在硬件级安全级别的基础上，增加以下要求： a） 具有基于硬件的安全存储； b） 加密算法应由硬件模块实现； c） 具备持续更新 DRM代理的安全机制； d） 支持基于会话的视频数字水印技术以实现盗版追溯； e） 具有多样的内容保护机制。 6.2 应用场景 6.2.1 全高清视频保护 在全高清视频保护方面，包括以下要求： a） 终端应要求使用软件级的安全保护机制； b） 适用的视频源：分辨率 19201080及以下的视频。 6.2.2 准 4K 视频的保护 在准 4K视频保护方面，包括以下要求： a） 终端应要求使用硬件级的安全保护机制 ; b） 适用的视频源为准 4K类型，分辨率为 38402160，帧率为 30帧 /秒，颜色质量为 8bit，动态范 围为 SDR，色域范围为 BT.709。 6.2.3 全 4K 视频的保护 在全 4K视频保护方面，包括以下要求： a） 终端应要求使用增强硬件级的安全保护机制 ; b） 适用的视频源为全 4K类型 ， 分辨率为 38402160， 帧率为 60帧 /秒 ， 颜色质量为 10bit， 动态范 围为 HDR，色域范围为 BT.2020。