点播影院系统及设备安全级别测试分析

张文胜，胡 猛，李维善，韩 东，孙井顺

（1.秦皇岛美视达视听检测技术有限公司，河北 秦皇岛 066000；2.河北省数字影像装备与数字显示技术重点实验室，河北 秦皇岛 066000；3.秦皇岛视听机械研究所有限公司，河北 秦皇岛 066000）

0 引 言

点播影院作为一种新型的观影型式，因提供自由、个性化服务而深受广大青年朋友欢迎。国内点播影院正处在快速发展阶段，但是发展无序，盗播、盗版、无放映记录、放映环境差等问题饱受诟病[1]。为了促进电影产业健康、繁荣发展，规范点播影院市场秩序，国家新闻出版广电总局于2018年发布实施《点播影院、点播院线管理规定》。为规范点播影院、保护版权，《点播影院暂行技术规范》（以下简称《规范》）于2019年颁布实施。点播影院所使用的系统及设备都需满足《规范》的要求才可进入市场。《规范》的发布，为点播影院的发展指明了方向，将促进点播影院行业高质量发展，也为第三方检测机构进行检测提供了依据。

1 点播影院系统介绍

点播影院系统主要包括点播影院放映终端和点播院线运营平台，包含电影发行版制作和分发、授权秘钥制作和分发、数字证书管理、计费系统数据上报、影片放映、影院经营、节目存储以及设备运维等部分[2]。点播影院系统的核心在于三个方面，一是点播影院放映质量要求，二是点播院线计费系统数据上报要求，三是点播影院系统和设备安全级别要求。点播影院系统测试的难点及重点在于系统和设备安全级别的测试，而《规范》对于安全级别的检测方法描述相对比较简单，没有具体的检测方法，第三方机构实施检测有一定的难度。

2 安全级别测试要点及难点

点播影院系统和设备安全级别根据影片数字水印、物理安全、显示设备链路安全、播放器认证与授权、影片打包、影片加密等安全因素分为四个等级[2]。安全级别1是最低安全等级，能够基本保证设备安全。安全级别2和安全级别3为相对较高等级，是参考标准影院的安全级别来规定点播影院系统和设备的安全要求。安全级别4为最高等级，要求点播影院系统完全符合现行标准影院的安全级别。下面针对每个安全因素进行解读和分析。

2.1 影片内容加密

对于影片内容加密，安全级别1要求自行选择加密算法，安全级别2和3要求使用AES加密算法，秘钥长度为128位，模式为CBC[2]。

AES加密算法是一种对称加密算法，使用范围较广。其加密秘钥和解密秘钥相同。秘钥就是用来加密文件的密码，一般使用128位、192位或256位长度的秘钥。AES算法是基于置换和代替的。置换是数据的重新组合排列，代替是用一个单元数据替代另一个单元数据[3]。大部分厂商都采用AES加密算法对视频进行加密。

实验室检测影片加解密功能主要有三个方面。一是客户对影片进行加密，导入测试平台，判定加密影片能否播放，检查加密功能是否正常。二是使用测试平台对已加密的影片进行解密，查看解密后的视频能否正常播放。三是使用客户提供的解密设备（播放器或软件）进行播放，查看能否正常播放，检查解密功能是否正常。由于测试过程中需使用测试平台进行测试，客户需提供影片内容加密算法及相关加密规则。

2.2 影片打包

对于影片打包，安全级别1要求自行选择打包方式，安全级别2和3要求点播影院数字电影包参考ISO 26429系列标准的打包格式，采用HEVC，H.264，JPEG2000等图像编码格式[2]。

ISO 26429系列标准规定的DCP打包格式是标准影院的影片格式。DCP全称是数字电影包，是多种文件的集合，包含了音频文件、视频文件、资产映射文件、播放列表文件、字幕文件等多个文件[4-5]。对于通过安全级别1的点播影院系统，电影包一般使用的是MP4、MKV等格式，还有部分厂商采用的是自主命名的一种格式。

对于一些常规格式，可通过实验室测试平台识别并分析影片格式及图像编码格式。对于一些特殊格式，厂商需提供影片打包的源码，测试人员对打包源码进行分析，确认打包规则及打包格式。对于DCP打包格式，需将DCP包导入测试平台，测试平台可对DCP包中逐个文件进行分析，对每个文件的内容的相关规则逐条进行分析，判断是否符合ISO 26429系列标准，最终统计有多少内容符合ISO 26429系列标准。

2.3 播放器认证与授权

对于播放器认证与授权，安全级别1要求自行选择授权机制，安全级别2和3要求使用KDM秘钥消息进行授权与认证[2]。

KDM全称为秘钥传送消息，是负责传送秘钥的文件。数字电影系统是通过KDM进行授权认证的。ISO 26430标准规定的KDM秘钥格式中包含内容解密秘钥、信任设备列表及秘钥授权时间信息（电影放映档期）[6]。数字电影通过AES加密后生成加密后的文件及其秘钥，AES秘钥再通过进一步的加密处理之后与秘钥时间窗、受信任设备列表等相关信息一起经数字签名并形成KDM，KDM对放映设备进行认证和授权。

对于自行选择授权认证机制的系统，厂商需提供相关资料文档，实验室根据相关文档对播放设备进行验证，认证机制的有效性和准确性。对于使用KDM秘钥消息授权的系统，需将KDM秘钥消息上传至测试平台，对其格式逐项分析验证，判定有多少是符合ISO 26430规定的KDM秘钥格式的，同时对RSA加密秘钥长度进行分析。同时，需对播放器授权功能的正确性、私钥存储硬件证书、私钥存储/修改/删除方式等进行验证。

2.4 显示设备链路安全

对于显示设备链路安全，安全级别1要求“播放器和显示设备应具备必要的安全保护措施”，安全级别2和3要求“对于分体机，需对视频码流进行加密，同时不准许具备解密解码后的视频输出接口；对于一体机，不准许具备外置视频链路和视频输出接口”[2]。

安全级别1要求较低，只要播放器和显示设备具备必要的安全保护措施就可以达到要求。厂商可采用普通的码流加密方式，也可采用通用的加密方式。使用高带宽数字内容保护技术（HDCP）加密，也可满足安全级别1的要求。

如采用分体机方式，使用HDCP技术的播放器和显示设备，需使用视频分析仪对播放器接口和显示设备的接口进行分析，判定是否具备HDCP加密，其他加密方式可通过专用显示设备进行验证测试。如被测设备为一体机，需查看播放设备硬件图并拆机验证，查看设备内部播放模块与显示模块之间是否使用了常规的标准接口。

2.5 物理安全

物理安全方面，安全级别1和2要求播放器和显示设备应具有必要的安全保护方式。安全级别3要求播放器和显示设备具备视频传输安全保护硬件装置[2]。

对于安全保护装置，可以使用安全开关或其他安全装置。在断电状态下或者影片播放过程中，只要触发了安全装置，播放器需立即停止播放并锁定，同时记录相关日志。锁定后，需由相关授权人员进行解锁和重置。检测时，需按照《规范》要求进行功能验证，检查日志是否有相关操作记录。

2.6 数字水印

数字水印方面，安全级别1和2不要求具备数字水印，安全级别3要求播放设备在播放影片时，应实时载入数字水印到电影画面，同时对水印内容、水印嵌入频率、水印长度等做了规定[1]。

电影行业的数字水印，一般是将影院信息、影厅信息、播放场次、播放时间等信息嵌入电影画面中，用来保护数字电影的版权、完整性、防复制或去向追踪的技术。用于数字电影的数字水印一般为鲁棒水印，也称盲水印。检测时，需使用摄像机捕捉电影画面，然后对捕捉的视频进行色彩变换、对比度调整、二次取样、压缩等视频处理，同时对视频尺寸进行调整，最后查看水印是否还能被检测识别[7]。

3 安全级别测试存在的问题

对于安全级别的测试，检测机构应先详细了解送检系统和设备的整体架构设计、影片加密方式、播放器授权方式、播放器和显示设备的安全保护措施等设计文件，依据《规范》，结合设计文件制定相应的详细测试方案。

安全级别1对影片加密、打包、播放器认证等要求较低，而且没有明确规定具体的算法或打包方式，不同的厂商可以使用完全不一样的算法。对于检测机构来说，反而不利于检测的实施，只能根据不同的设备厂商定制检测方案或检测工具。安全级别2和安全级别3的影片打包和播放器认证与授权在《规范》中规定为“参考ISO 26429系列标准”“参考 ISO 26430系列标准”，使用了“参考”二字，其规定不明确，没有进行量化。检测机构在测试过程中不易确定参考量多少才能算是符合要求。当然，随着行业技术人员及相关人员的参与，《规范》会越来越完善[1]。

4 结 语

点播影院系统和设备安全级别是《规范》中比较重要的内容，主要目的是保护节目版权，打击盗版。市场存量的点播影院系统较多不规范，安全级别较低。随着市场的发展和《规范》的发布实施，存在较明显安全漏洞的设备、系统慢慢地将会被淘汰出局，点播影院市场会越来越规范化。