江南天安基于国产密码构建ChinaDRM证书分发云服务

1 引言

近年来，随着4K视频业务的发展及国内版权保护意识的提高，版权方和运营商的版权保护需求日益增长。为满足版权保护生态构建的需求，广电总局科技司于2016年9月批示成立ChinaDRM LAB，专业从事数字媒体内容保护技术研究、数字媒体内容保护相关技术标准起草、数字媒体内容保护相关技术与系统安全性评估，ChinaDRM开始了快速的发展。

在2017年6月23日，ChinaDRM实验室和美国MovieLabs公司发表联合声明，ChinaDRM实验室与MovieLabs及其成员单位——好莱坞电影公司就ChinaDRM安全评估方法、安全评估流程达成一致，好莱坞全面认可ChinaDRM标准及ChinaDRM LAB安全评估结果。目前，广电运营商、电信运营商及互联网视频服务商均已开始部署ChinaDRM服务，版权保护云服务需求开始呈现，ChinaDRM LAB也已经开始规划DRM云服务建设标准及安全评测体系。

2 证书分发云服务建设

2.1 ChinaDRM系统架构

ChinaDRM版权保护系统包括内容加密系统、密钥管理系统、内容许可授权系统、DRM客户端证书分发系统等，总体架构如图1所示。

在ChinaDRM生态中，中国广播影视数字版权管理认证中心（简称“CDTA”）是唯一指定的CA中心，受ChinaDRM联盟及好莱坞认可。CDTA为DRM各系统及DRM客户端颁发证书。

由于DRM客户端证书都由CDTA颁发，具备标准的格式，构建一个标准的DRM客户端证书分发云服务，为DRM客户端提供在线申请证书的云服务，是完全可行的，但如何保障安全，需要格外关注。

2.2 云服务安全基础

ChinaDRM LAB已经制定了严格的客户端安全要求及检测标准，本文不做赘述。这里主要参考网络安全等级保护基本要求，对云端服务提出安全保障方案。

在网络安全等级保护基本要求中，对密码技术的使用，主要规定了以下四点：

1.应使用符合国家密码管理规定的密码技术和产品；

2.应按照国家密码管理的要求开展密码技术和产品的应用；

3.应在通信前基于密码技术对通信的双方进行验证或认证；

4.应基于硬件设备对重要通信过程进行加解密运算和密钥管理。

因此，DRM客户端证书分发云服务，应采用支持国产密码的硬件设备作为信任基础，构建安全可靠的云服务。本文提出一种云密码服务架构，为ChinaDRM版权保护云服务提供安全支持。系架构见图2。

使用符合国家密码管理规定的云服务器密码机构建云密码机资源池，云服务器密码机应采用虚拟化技术，在一台硬件密码设备上实现同时运行多个虚拟化的密码机（VSM），可与云密码资源管理系统无缝对接，实现对VSM的独立管理，并支持虚拟化多种密码体系的VSM。

云密码资源管理系统支持标准的密码机接口，管理云密码资源，同时与上层应用系统服务对接，为上层系统服务提供简单可用的接口。

云密码资源管理系统和云密码资源池配合，提供密码生成、密码导入、密码管理、证书导入、证书管理、敏感信息加密、系统配置加密、数据存储加密等安全功能。

DRM云服务中的各个系统及服务，无需做大量的开发和密码设备部署工作，仅需要做少量的接口对接，即可和云上的云密码资源管理系统完成对接，满足网络安全等级保护基本要求，保障系统服务安全。

2.3 证书分发云服务

DRM客户端证书分发云服务，需具备以下基本功能：

1.支持第三方CA中心终端证书及含私钥文件在线或离线导入。例如CDTA离线提供的P12设备证书文件；

2.支持从第三方信任链在线或离线获取终端加密密钥，用于加密下发DRM客户端证书及私钥；例如TVOS信任体系中的模型证书，或移动设备生产时预置的设备证书；

3.支持在线响应终端证书申请，加密下发证书。

DRM客户端证书分发云服务系统架构如图3。

DRM客户端证书分发云服务业务流程见图4。

3 总结

随着ChinaDRM的发展及运营商的视频云平台建设，版权保护服务上云已是大势所趋。随着国家对信息安全的重视日益提升，密评的认证及审查执行力度也会越来越强。如何保障版权保护云服务的安全及合规，需要运营商及云服务商投入更多的关注。

云密码资源管理系统，是江南天安依据在金融、电子商务及公安等行业的经验积累，结合版权保护系统实际业务需求，提出的一套国密云安全服务。推动版权保护云平台建设，并构建合规易用的云安全服务及安全基础设施，有助于国产密码的推广，对版权保护生态的发展具有十分积极的促进作用。