安全性層級是 PlayReady 用戶端的屬性,而傳遞至用戶端的每個授權都有屬性,指出客戶端允許系結至此授權所需的最低安全性層級。
用戶端的安全性層級
PlayReady 用戶端安全性層級是用戶端 (裝置或應用程式) 的屬性,可定義用戶端對未經授權的使用有多強固。 安全性層級越高,用戶端所聲稱的健全程度就越強。
PlayReady 目前定義三個層級:
| 安全性層級 | 目標 | 用戶端實作 | 版本 |
|---|---|---|---|
| SL150 | 針對開發中或受測試的用戶端。
不適用於商業情境中的商業內容。 |
任何實作都可以接受。 資產、客戶端密碼或內容密碼完全不受未經授權的使用保護。 | 任意 |
| SL2000 | 針對使用商業內容的強化裝置和應用程式。 | 針對裝置和應用程式。 資產、用戶端密碼或內容密碼會透過軟體或硬體方式受到保護。 |
任意 |
| SL3000 | 對於具有最高安全性且使用最高品質商業內容的強化裝置。 | 僅適用於裝置。 資產、用戶端密碼和內容秘密是透過硬體手段保護,並使用處理器的受信任執行環境 (TEE) 保護。 符合合規性與健全性需求的超集。 |
PlayReady 3.0 或更高版本 |
SL2000 裝置或應用程式的圖例。 最終產品經過強化並經過驗證,以防止未經授權的使用。
SL3000 裝置的圖例。 中繼產品會在 TEE 上進行強化和驗證,最終產品則經過强化和驗證,以防止未經授權的使用。
Hardware-DRM 與 Software-DRM
SL2000 用戶端通常稱為「軟體-DRM」客戶端,因為其強固性大部分是以軟體手段支援。 SL3000 用戶端通常稱為「硬體-DRM」客戶端,因為其 PlayReady 堆疊的核心功能必須在處理器的受信任執行環境 (TEE) 中實作,並以硬體方式支援。
越來越多的內容供應商正在採用硬體型保護,以允許在應用程式中播放完整的高價值內容。 已在PlayReady中新增對加密核心硬體實作的強大支援,以滿足此需求。 此支援可在多個裝置平臺上安全地播放更高價值的內容。 密鑰資料(包括私鑰、內容金鑰,以及用來衍生或解除鎖定上述密鑰的任何其他金鑰資料),以及解密壓縮和未壓縮的視訊範例會利用硬體安全性來保護。 許多裝置都支持硬體型 PlayReady,包括 Windows 和非 Windows 裝置,例如電視機、手機和平板電腦。
在授權中使用安全性層級
安全性層級是開發周期期間所定義的客戶端屬性。 這會影響實作的方法,以確保內容秘密和用戶端密碼的安全性,以防止攻擊,以及客戶端開發人員所做的開發和認證計劃。
授權伺服器可以透過兩種方法,根據其安全性等級來調整傳遞給客戶端的授權或授權屬性。
安全性層級是製造時內嵌在用戶端中的用戶端憑證屬性。 當用戶端從授權伺服器取得授權時,它會在授權要求中提供其用戶端憑證的複本。 授權伺服器會收到此要求,而且可以在用戶端傳遞授權之前檢查客戶端的安全性層級。 它可以包含邏輯,為不同的用戶端傳遞不同的授權。 例如,SL3000 用戶端將可存取比 SL2000 Client 更高的解析度,並接收與其他用戶端不同的授權。 或者,它可以存取不同的片庫,包括院線電影。
此外,每個傳遞的授權都包含一個名為 MinimumSecurityLevel 的屬性,此屬性由授權伺服器設定為 150、2000 或 3000。 將授權傳遞給客戶端的授權伺服器會在授權中設定此值。 綁定授權的用戶端會驗證自己的用戶端安全性層級是否等於或高於授權的最低安全層級(MinimumSecurityLevel)值。 如果不是,他們拒絕系結和玩。
