搜索结果: GY/T 336-2020, GY/T336-2020, GYT 336-2020, GYT336-2020
| 标准编号 | GY/T 336-2020 (GY/T336-2020) | | 中文名称 | 视音频内容分发数字版权管理 系统合规性要求 | | 英文名称 | (Video and audio content distribution digital rights management system compliance requirements) | | 行业 | 广播电影电视 行业标准 (推荐) | | 字数估计 | 15,133 | | 发布日期 | 2020-11-09 | | 实施日期 | 2020-11-09 | | 标准依据 | 广电发(2020)76号 | | 发布机构 | 国家广播电视总局 | GY/T 336-2020: 视音频内容分发数字版权管理 系统合规性要求
GY/T 336-2020 英文名称: (Video and audio content distribution digital rights management system compliance requirements)
中华人民共和国广播电视和网络视听行业标准
视音频内容分发数字版权管理 系统合规
性要求
国家广播电视总局 发 布
1 范围
本文件规定了视音频内容分发数字版权管理系统功能、性能、标准符合性测试要求,以及系统集成
和运行维护的安全管理测评要求。
本文件适用于视音频内容分发数字版权管理系统研发、集成、建设及运行维护。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
5 概述
视音频内容分发数字版权管理系统合规性要求包括DRM产品合规性要求和DRM系统实施合规性要求。
DRM产品合规性要求用于指导DRM服务端产品研发集成,以及DRM客户端在终端设备中的集成,主要
包括:功能要求、标准符合性要求和安全要求。
DRM系统实施合规性要求用于指导DRM系统集成建设和运行维护,主要指实施中的安全要求。
6.1 功能要求
DRM服务端产品的功能应包括直播内容加密、点播内容加密、密钥管理、密钥网关和内容授权等五
个方面,具体要求如下:
a) 直播内容加密:
1) 应支持实时 TS、HLS、DASH、CMAF等直播内容加密封装中的一种或多种;
2) 应支持 AVS+、AVS2、H.264、H.265等视频编码格式;
3) 应支持通过密钥管理申请直播内容加密密钥;
4) 应支持直播加密密钥按照可配置的频率更新;
5) 直播加密延时应不高于 500ms;
6) 应支持秒级内容加密密钥更新频率。
b) 点播内容加密:
1) 应支持 TS文件、HLS、DASH、CMAF等内容加密封装中的一种或多种;
2) 应支持 AVS+、AVS2、H.264、H.265等视频编码格式;
3) 应支持通过密钥管理申请点播内容加密密钥。
c) 密钥管理:
1) 应支持接收处理内容加密密钥申请;
2) 应支持安全存储管理内容加密密钥;
3) 应支持同步内容加密密钥到密钥网关。
d) 密钥网关:
1) 应支持接收处理密钥管理的直播/点播内容加密密钥请求;
2) 应支持安全存储管理直播/点播内容加密密钥;
3) 应支持接收处理内容授权直播/点播内容加密密钥请求。
e) 内容授权:
1) 应支持接收处理 DRM客户端直播/点播内容授权许可证请求;
2) 应支持从密钥网关请求直播/点播内容加密密钥。
6.2 标准符合性要求
DRM服务端产品的标准符合性要求包括直播内容加密、点播内容加密、密钥管理、密钥网关和内容
授权等五个方面,具体要求如下:
a) 直播内容加密:
1) 直播内容加密应符合 GY/T 333-2020中 7.1.1和 7.2的规定;
2) 直播内容加密密钥申请应符合 GY/T 333-2020中 8.1的规定。
b) 点播内容加密:
1) 点播内容加密应符合 GY/T 333-2020中 7.1.2和 7.2的规定;
2) 点播内容加密任务管理应符合 GY/T 333-2020中 7.3的规定;
3) 点播内容加密密钥申请应符合 GY/T 333-2020中 8.2的规定。
c) 密钥管理:
1) 直播密钥管理应符合 GY/T 333-2020中 8.1的规定;
2) 点播密钥管理应符合 GY/T 333-2020中 8.2的规定。
d) 密钥网关:
1) 密钥同步应符合 GY/T 277-2019中 9.2的规定;
2) 密钥查询应符合 GY/T 277-2019中 9.3的规定。
e) 内容授权:
1) 内容授权许可证请求/响应应符合 GY/T 277-2019中第 8章的规定;
2) 密钥查询应符合 GY/T 277-2019中 9.3的规定。
6.3 安全要求
6.3.1 基本安全要求
DRM服务端产品基本安全要求如下:
a) 应安全保护附录 A中规定的有保密性要求和完整性要求的值;
b) 应支持基于设备公私钥对生成和存储;
c) 加解密、签名等密码运算功能应在硬件密码模块中实现;
d) 设备私钥、内容加密密钥、会话密钥、临时密钥等不应将明文暴露在硬件密码模块之外;
e) 硬件密码模块应符合 GB/T 37092-2018 规定的二级或更高安全级别,且具备商用密码型号证
书。
6.3.2 软件安全要求
DRM服务端产品软件安全要求如下:
a) DRM服务端软件应具备硬件密码模块识别机制,硬件密码模块移除时应停止服务;
b) DRM服务端软件应具备软件组件完整性校验机制,软件组件被篡改后应停止服务;
c) DRM 服务端软件应支持安全日志记录和日志审查,DRM 服务端任何操作包括软件升级、软件组
件修改、非法篡改、硬件密码模块移除等均应安全记录;
d) DRM服务端应具备安全升级机制,在出现新的安全风险或安全漏洞时应能及时进行安全修复。
7.3 安全要求
7.3.1 基本安全要求
DRM客户端产品基本安全要求如下:
a) DRM客户端功能模块应安全运行在DRM客户端运行环境中,DRM客户端运行环境应具备保护DRM
客户端功能模块完整性的能力,DRM客户端功能模块被篡改后,应能停止其工作;
b) DRM客户端运行环境应安全保护附录A中有保密要求的值和有完整性要求的值,有完整性要求的
值被篡改后应停止DRM客户端功能模块;
c) 受保护内容应在DRM客户端执行环境中按照内容授权许可证的要求安全解密、解码、播放和输
出;
d) 针对有DRM保护要求的内容,终端设备不应绕过DRM客户端功能;
e) 终端设备应具备DRM客户端安全升级能力,当出现新的安全漏洞时应能及时升级DRM客户端,不
应存在官方所公布的6个月之内的漏洞。
7.3.2 软件执行环境(SEE)安全要求
当DRM客户端运行环境为软件执行环境时,安全要求如下:
a) 对已解密的内容数据和有保密要求的值应进行安全保护以抵御未经授权的泄露(例如,在任何
用户可访问总线上对解密的内容数据进行加密、在系统内存中对解密的内容数据和有保密要求
的值进行加密、通过访问控制对驻留在内存中的已解密的内容数据和有保密要求的参数值进行
隔离)。
b) 将与特定设备相关有保密要求的值与该设备进行有效且唯一的关联(例如,使用一个设备里独
有的密钥对值进行加密)。
c) 未加密内容数据或有保密要求的值在从SEE输出前,应确保存储它们的内存或缓冲区被清除。
d) 设备应能确保解密后的视音频数据及后续数据内容通过视频链路进行视频处理。视频链路中可
能包括非混淆处理的硬件加速器,在视频链路中可使用基于软件的安全保护技术进行保护,从
而使不受SEE控制的系统软件和硬件组件无法对已解密的视频数据进行访问。基于软件的安全
保护技术包括混淆技术、根检测、调试检测等。解密后的压缩数据应仅能存储在SEE控制下的
内存当中,且只能由SEE控制下的功能对其进行访问。
e) SEE应实施软件强制执行机制,对DRM客户端中执行核心功能的部分进行完整性验证,并采取其
他可确保该部分完整性的措施来保护DRM客户端中执行核心功能的部分不会遭受到未经授权的
修改。软件强制执行机制在设计时还应能确保,一旦发生未经授权的修改,核心功能将不可被
执行,企图删除、置换或重新编程软件的行为也将失败,否则这些行为将严重危及DRM客户端
的安全保护要求,使DRM客户端无法接收、解密、解码、播放视音频内容。
f) 当DRM客户端运行环境为软件环境时,在安全引导加载程序内应对可更新固件进行签名校验,
检查调试器,检查SEE功能的接口的系统权限控制(如根检测),以及采用混淆技术和白盒加
密技术,有效防范逆向工程攻击。
g) 当DRM客户端运行环境为软件执行环境时,DRM客户端运行环境可能会存在被具备相关专业技能
的人员恶意破解的风险,但通过常用工具或专用工具应无法破解DRM客户端运行环境。
7.3.3 硬件执行环境(HEE)安全要求
当DRM客户端运行环境为硬件执行环境时,安全要求如下:
a) 对解密后的内容数据和有保密要求的值应进行安全保护以防止未经授权的暴露(例如,在任何
用户可访问总线或缓存上对解密后的内容数据进行加密、在系统存储器和缓存中对解密后的内
容数据和有保密要求的值进行加密、通过访问控制对驻留在内存中的已解密的内容数据或有保
密要求的值进行隔离、仅在一个安全处理器内或运行于安全模式下的处理器内使用有保密要求
的值、对特定设备有保密要求的值嵌入到该设备的硅电路或固件当中以防止对其的读取);应
防止运行在HEE之外程序对未加密且有保密要求的值进行访问,除进行解密操作外,有保密要
求的值应保存在HEE内,且不应在HEE内存驻留。
b) 应确保有保密要求的值具备有效性、唯一性,且与设备关联(例如,通过使用某个单个设备的
唯一密钥对值进行加密的方式完成关联)。
c) 未加密的内容数据或有保密要求的值在从硬件执行环境输出前,要确保存储它们的内存或缓冲
区被清空。
d) 设备应能确保解密后的视音频数据及后续数据内容通过视频链路进行视频处理。视频链路中可
能包括非混淆处理的硬件加速器,在视频链路中可使用基于硬件的安全保护技术进行保护,从
而使不受HEE控制的系统软件和硬件组件无法对已解密的视频数据进行访问。解密后的压缩数
据应仅能存储在HEE控制下的内存当中,只能由HEE控制下的解码器功能对其进行访问。解密后
的解压缩数据应只能存储在HEE控制下的内存当中,只能由HEE控制下的功能访问。
e) 安全引导加载要求如下:
1) 任何在 HEE中执行的代码应通过硬件信任根予以验证。设备应始终被引导至一个被定义好
的安全启动流程当中并永远不会引导至一个调试流程;
2) 所有 HEE及与安全性相关的代码应只能通过 HEE的私有资产予以执行;
3) 应防止高级别或一般用途的操作系统对任何与安全性相关的资产(包括任何密钥、安全元
素或受保护的内容)进行访问;
4) 任何用于验证安全性相关的资产是否被授权的密钥数据(例如,公钥和与公钥相关的数据)
应予以保护,防止其被设备上执行的软件修改、置换或重定向;
5) 维持保密性,即调试模式无法对任何与安全性相关的数据进行访问。调试工具应不能损害
安全性数据。
f) HEE通过根植于硬件信任根当中的硬件强制执行机制,对DRM客户端中执行核心功能的部分进行
完整性验证,并采取其他可确保该部分完整性的措施来保护DRM客户端中执行核心功能的部分
不会遭受到未经授权的修改。硬件强制执行机制应包括对执行核心功能的部分的安全引导加载,
并在设计时还应能确保一旦发生未经授权的修改,核心功能将不可被执行,企图删除、置换或
重新编程硬件的行为也将失败,否则这类行为将严重危及DRM客户端的内容安全保护要求,从
而导致DRM客户端无法接收、解密、解码、播放或复制内容数据。在安全引导加载程序内对可
更新固件进行签名校验就是实现上述要求很好的例证。任何在硬件执行环境中使用的未加密的
内存数据在被不可信代码或其他不可信的应用程序读取之前应予以清空。
g) 当DRM客户端运行环境为硬件执行环境时,DRM客户端运行环境可能存在被具备相关专业技能的
人员恶意破解的风险,但通过使用常见工具、专用工具、软件工具(如反编译程序、加载程序、
补丁或其他软件工具)应无法破解DRM客户端运行环境。
7.3.4 DRM时间
DRM客户端可使用任何可用的时间同步机制,但应保证时间源和同步机制合理准确,且能够抵御最
终用户的恶意修改。DRM客户端应能够保持时钟的之前状态并能够检测到丢失DRM时间的记录,例如电源
故障等原因导致的DRM时间的丢失。
为了使用户能够合法地消费受时间约束的内容,在没有其他的同步机制可用时,DRM客户端应能够
基于任何时间源(包括用户可控时钟)设置其自己的DRM时间且DRM客户端应尝试尽快将其DRM时间与一
个已授权的时间源进行同步,在未实现时间同步之前,基于时间的内容授权许可证应处在不可用状态。
DRM客户端在设计时应能够对DRM时间予以保护以防止未经授权的修改。
7.3.5 现场升级
如果DRM的使用者同意,其所有的DRM客户端(不包括PC)均应能进行现场升级。为此,应部署一个
适用于任何现场升级所需的基础构架,使现场升级能够通过在线分发方式或其他与在线分发具有相同功
效的方式部署到DRM客户端当中。当一个DRM客户端在软件中实现核心功能时,该软件应具备现场升级的
能力以修改此核心功能的实现。现场升级应能够有效抵御未经授权的修改或置换企图,且应能够提供安
全更新流程。
用于现场升级的验证机制应达到128位对称安全性级别,或至少达到与2048位RSA非对称安全性级别
相当的级别(例如RSA)。如果当前设备无法达到1024位RSA非对称安全级别,则此条要求可豁免,但2048
位的要求仍保持不变。对下载固件的完整性保护应贯穿固件的整个生命周期,从设计到创建、从签名到
下载并最终安装到设备上。在不限制前述规定的前提下,设备应能够检测和防止所存储信息的回滚。如
果检测到回滚,代码的执行应能够阻止安全的DRM兼容软件、固件进行升级。
7.3.6 取证水印
如果被许可的内容包含取证水印,则DRM客户端不应干扰该标记。如果设备具备向内容中嵌入取证
水印的功能,则这些功能应在HEE的控制下被执行。
7.3.......
|