解決DRM 部署所面臨的障礙

標簽：OEM DRM

數字媒體播放器 OEM 廠(chǎng)商在考慮是否支持 DRM 這一爭議性問(wèn)題之前，要首先了解高效實(shí)施 DRM 技術(shù)所面臨的障礙。高效 DRM 實(shí)施技術(shù)不僅限于優(yōu)化的加密庫，要是采用錯誤的實(shí)施方法，就會(huì )導致商業(yè)決策失誤，甚至實(shí)施失敗。本文將深入探討如何減小 DRM 對數字媒體播放器的影響，以幫助那些希望采用 DRM 技術(shù)的 OEM 廠(chǎng)商避免對技術(shù)產(chǎn)生恐慌和不確定性情緒，減少對 DRM 實(shí)施可行性的不確定因素，從而使他們能專(zhuān)心致力于 DRM 的高效實(shí)施問(wèn)題。本文探討的方案能解決 DRM 實(shí)施所面臨的最常見(jiàn)障礙，適用于任何標準或架構。

通常說(shuō)來(lái)，解決 DRM 時(shí)延與性能問(wèn)題的關(guān)鍵在于盡可能減少 DRM 處理任務(wù)對關(guān)鍵路徑的影響。DRM 處理任務(wù)的計劃安排通常是實(shí)現上述目的的關(guān)鍵，我們可以采用預取 (prefetching) 或預處理數據、后臺處理等方案，也可以在用戶(hù)做思考決定、時(shí)延影響不大時(shí)進(jìn)行處理。工程師應側重于解決以下三個(gè)問(wèn)題，一是啟動(dòng)期間，二是播放，三是內容傳輸，這三個(gè)階段均會(huì )對性能、易用性以及電池使用壽命造成影響。

啟動(dòng)時(shí)間

DRM 會(huì )影響啟動(dòng)時(shí)間，這一點(diǎn)相當重要，起初我們可能還難以直觀(guān)地察覺(jué)到。說(shuō)到底，DRM 是一種驗證使用權限的技術(shù)方法，因此就算人們會(huì )問(wèn)，它怎么會(huì )影響設備啟動(dòng)時(shí)間呢，也不足為奇。要了解這一點(diǎn)，我們就要考慮在任何 DRM 規范中都非常重要的一部分要求，那就是穩健性與符合性認證規則 (RCR)。

RCR 是定義著(zhù) OEM 廠(chǎng)商如何避免 DRM 軟、硬件被欺騙或修改的指南。請注意，盡管這些指南根據具體 DRM 標準的不同可能采用不同的名稱(chēng)，但它們的基本目的都是一樣的，即穩健的設備必須能夠識別企圖改變應用代碼的行為，避免 DRM 機制被破解或失效。在對受保護的內容進(jìn)行解鎖或允許存取之前，設備必須先確認 DRM 機制已經(jīng)就緒，沒(méi)有被篡改，而且能正常工作。此外，設備必須避免調試工具的使用，因為這些工具會(huì )讓黑客有機會(huì )破解或更改許可證。

RCR 要求根據特定的系統資產(chǎn)或組件的不同要求采用不同層次的保護機制。舉例來(lái)說(shuō)，在基于證書(shū)的 DRM 方案中，確認播放器能夠播放內容服務(wù)器內容的證書(shū)就是一種高級資產(chǎn)，要求最高級別的保護，因為證書(shū)受損就會(huì )導致設備上的所有內容失去保護。如果特定設備的證書(shū)由具體 OEM 廠(chǎng)商的證書(shū)生成，那么這種證書(shū)受損就會(huì )導致該 OEM 廠(chǎng)商基于該證書(shū)推出的所有設備保護失效。與此相對的是，破譯某首歌曲的密鑰就不是一種特別重要的資產(chǎn)，因為這種密鑰僅保護一項內容。上述資產(chǎn)，不管是證書(shū)、密鑰還是基于其它一些保護機制或秘密機制，都應得到正確的保護?？傮w說(shuō)來(lái)，內容受損的風(fēng)險越大，對穩健性等級的要求就越高，并且對用戶(hù)使用體驗的潛在影響也就越大。

損壞的代碼不見(jiàn)得一定是因為惡意攻擊而損壞的，但這是對 DRM 構成最危險的威脅之一;如果應用本身就能被修改，那么密鑰與內容都可能受損。因此，在執行任何應用代碼之前，設備必須確認應用來(lái)源的可信賴(lài)性。此外，這種驗證必須在每次設備加電時(shí)進(jìn)行，這樣才能確保硬件沒(méi)有被篡改。這里要面臨的挑戰是，確認應用的代碼本身也容易受到破壞，因此它也要在執行前進(jìn)行確認(見(jiàn)圖 1)。

圖 1. 在加電執行任何應用代碼之前，設備必須驗證并確認應用來(lái)自可信賴(lài)的來(lái)源。所面臨的挑戰是，如果驗證并確認應用的代碼本身也容易受到破壞，那么其也要在被執行前進(jìn)行驗證并確認。但是，如果不能修改 ROM 啟動(dòng)加載程序 (ROM Boot Loader)，那么它就不會(huì )受到破壞，因此加電時(shí)毋需確認就可以得到信任。

表 1. 安全啟動(dòng)加載程序技術(shù)確認設備首次加電啟動(dòng)時(shí)軟、硬件都處于已知的可信賴(lài)狀態(tài)。為了盡可能降低時(shí)延，代碼分幾個(gè)階段進(jìn)行驗證并載入。如果檢測到某個(gè)階段遭到破壞，設備會(huì )啟動(dòng)災難恢復模式并進(jìn)行設備再配置，如果沒(méi)有問(wèn)題，設備就會(huì )載入首個(gè)代碼影像，即 ROM 啟動(dòng)加載程序，這是由硅芯片廠(chǎng)商提供的，不能修改，因此能確保驗證有效。將使用散列方法進(jìn)行后續代碼驗證，有時(shí)還會(huì )采用唯一芯片 ID 進(jìn)行驗證，之后進(jìn)行解密。我們將啟動(dòng)進(jìn)程分解為幾個(gè)階段，這使設備能加速與用戶(hù)進(jìn)行互動(dòng)，縮短了用戶(hù)所覺(jué)察到的啟動(dòng)時(shí)延時(shí)間。

安全啟動(dòng)加載程序技術(shù)是避免執行兩難困境的關(guān)鍵，也是成功確認軟、硬件均處于已知可信賴(lài)狀態(tài)的關(guān)鍵(見(jiàn)表 1)。當設備首次加電后，處理器會(huì )執行已知的 ROM 啟動(dòng)加載程序。這個(gè)代碼影像是設備專(zhuān)用的，并只支持最基本的功能，其中包括有限的加密功能，以驗證并確認后續啟動(dòng)加載程序代碼，并在檢測到破壞情況下啟動(dòng)災難恢復模式。該代碼不能修改，這一點(diǎn)至關(guān)重要;換言之，由于其不能被更改，因此不會(huì )遭到損壞，也毋需進(jìn)行確認。請注意，諸如顯示功能等確認故障通知信息等功能可能實(shí)現片外存儲，或在通過(guò) ROM 啟動(dòng)加載程序確認的代碼中有選擇性的執行，不過(guò)在確認已發(fā)生故障的情況下，ROM 啟動(dòng)加載程序不能確保相關(guān)代碼的可用性。

在許多情況下，ROM 啟動(dòng)加載程序由硅芯片廠(chǎng)商提供，除非雙方有特定的協(xié)議規定，否則 OEM 廠(chǎng)商不能修改。其首要任務(wù)就是確認用戶(hù)啟動(dòng)加載程序。用戶(hù)啟動(dòng)加載程序是通過(guò)硅芯片廠(chǎng)商開(kāi)發(fā)工具的可配置框架構建而成，由 OEM 廠(chǎng)商確定。它能提供底層驅動(dòng)程序和連接接口，如顯示屏、USB 接口或硬盤(pán)等，此外還能補充設備的加密功能。在產(chǎn)品設計階段，能夠根據需要對其進(jìn)行更新修改，但通常產(chǎn)品上市后就不能再修改了。

ROM 啟動(dòng)加載程序確認用戶(hù)啟動(dòng)加載程序的常見(jiàn)方法是采用散列來(lái)確認代碼是否被改動(dòng)，隨后再對代碼解密(代碼加密是為了避免有可能導致代碼安全性受影響或者泄露加密信息的逆向工程破解)。一旦 ROM 啟動(dòng)加載程序驗證了用戶(hù)啟動(dòng)加載程序，用戶(hù)啟動(dòng)加載程序就可依次驗證并確認主應用(即應用啟動(dòng)加載程序)，然后用戶(hù)就能開(kāi)始存取受保護的內容。如果處理器采用唯一的硅芯片 ID，只可以讀取但不能修改，那么代碼確認的安全性還能進(jìn)一步提高。此外，OEM 廠(chǎng)商除了能用這種唯一的 ID 作為密鑰根 (root for secret key) 而外，也能用它來(lái)對內容加密，使內容鎖定于特定的播放器。