數(shù)字媒體播放器 OEM 廠商在考慮是否支持 DRM 這一爭議性問題之前，要首先了解高效實施 DRM 技術所面臨的障礙。高效 DRM 實施技術不僅限于優(yōu)化的加密庫，要是采用錯誤的實施方法，就會導致商業(yè)決策失誤，甚至實施失敗。本文將深入探討如何減小 DRM 對數(shù)字媒體播放器的影響，以幫助那些希望采用 DRM 技術的 OEM 廠商避免對技術產生恐慌和不確定性情緒，減少對 DRM 實施可行性的不確定因素，從而使他們能專心致力于 DRM 的高效實施問題。本文探討的方案能解決 DRM 實施所面臨的最常見障礙，適用于任何標準或架構。

通常說來，解決 DRM 時延與性能問題的關鍵在于盡可能減少 DRM 處理任務對關鍵路徑的影響。DRM 處理任務的計劃安排通常是實現(xiàn)上述目的的關鍵，我們可以采用預取 (prefetching) 或預處理數(shù)據、后臺處理等方案，也可以在用戶做思考決定、時延影響不大時進行處理。工程師應側重于解決以下三個問題，一是啟動期間，二是播放，三是內容傳輸，這三個階段均會對性能、易用性以及電池使用壽命造成影響。

啟動時間
DRM 會影響啟動時間，這一點相當重要，起初我們可能還難以直觀地察覺到。說到底，DRM 是一種驗證使用權限的技術方法，因此就算人們會問，它怎么會影響設備啟動時間呢，也不足為奇。要了解這一點，我們就要考慮在任何 DRM 規(guī)范中都非常重要的一部分要求，那就是穩(wěn)健性與符合性認證規(guī)則 (R&CR)。

R&CR 是定義著 OEM 廠商如何避免 DRM 軟、硬件被欺騙或修改的指南。請注意，盡管這些指南根據具體 DRM 標準的不同可能采用不同的名稱，但它們的基本目的都是一樣的，即穩(wěn)健的設備必須能夠識別企圖改變應用代碼的行為，避免 DRM 機制被破解或失效。在對受保護的內容進行解鎖或允許存取之前，設備必須先確認 DRM 機制已經就緒，沒有被篡改，而且能正常工作。此外，設備必須避免調試工具的使用，因為這些工具會讓黑客有機會破解或更改許可證。

R&CR 要求根據特定的系統(tǒng)資產或組件的不同要求采用不同層次的保護機制。舉例來說，在基于證書的 DRM 方案中，確認播放器能夠播放內容服務器內容的證書就是一種高級資產，要求最高級別的保護，因為證書受損就會導致設備上的所有內容失去保護。如果特定設備的證書由具體 OEM 廠商的證書生成，那么這種證書受損就會導致該 OEM 廠商基于該證書推出的所有設備保護失效。與此相對的是，破譯某首歌曲的密鑰就不是一種特別重要的資產，因為這種密鑰僅保護一項內容。上述資產，不管是證書、密鑰還是基于其它一些保護機制或秘密機制，都應得到正確的保護?？傮w說來，內容受損的風險越大，對穩(wěn)健性等級的要求就越高，并且對用戶使用體驗的潛在影響也就越大。

損壞的代碼不見得一定是因為惡意攻擊而損壞的，但這是對 DRM 構成最危險的威脅之一；如果應用本身就能被修改，那么密鑰與內容都可能受損。因此，在執(zhí)行任何應用代碼之前，設備必須確認應用來源的可信賴性。此外，這種驗證必須在每次設備加電時進行，這樣才能確保硬件沒有被篡改。這里要面臨的挑戰(zhàn)是，確認應用的代碼本身也容易受到破壞，因此它也要在執(zhí)行前進行確認（見圖 1）。


圖 1. 在加電執(zhí)行任何應用代碼之前，設備必須驗證并確認應用來自可信賴的來源。所面臨的挑戰(zhàn)是，如果驗證并確認應用的代碼本身也容易受到破壞，那么其也要在被執(zhí)行前進行驗證并確認。但是，如果不能修改 ROM 啟動加載程序 (ROM Boot Loader)，那么它就不會受到破壞，因此加電時毋需確認就可以得到信任。




表 1. 安全啟動加載程序技術確認設備首次加電啟動時軟、硬件都處于已知的可信賴狀態(tài)。為了盡可能降低時延，代碼分幾個階段進行驗證并載入。如果檢測到某個階段遭到破壞，設備會啟動災難恢復模式并進行設備再配置，如果沒有問題，設備就會載入首個代碼影像，即 ROM 啟動加載程序，這是由硅芯片廠商提供的，不能修改，因此能確保驗證有效。將使用散列方法進行后續(xù)代碼驗證，有時還會采用唯一芯片 ID 進行驗證，之后進行解密。我們將啟動進程分解為幾個階段，這使設備能加速與用戶進行互動，縮短了用戶所覺察到的啟動時延時間。

 

安全啟動加載程序技術是避免執(zhí)行兩難困境的關鍵，也是成功確認軟、硬件均處于已知可信賴狀態(tài)的關鍵（見表 1）。當設備首次加電后，處理器會執(zhí)行已知的 ROM 啟動加載程序。這個代碼影像是設備專用的，并只支持最基本的功能，其中包括有限的加密功能，以驗證并確認后續(xù)啟動加載程序代碼，并在檢測到破壞情況下啟動災難恢復模式。該代碼不能修改，這一點至關重要；換言之，由于其不能被更改，因此不會遭到損壞，也毋需進行確認。請注意，諸如顯示功能等確認故障通知信息等功能可能實現(xiàn)片外存儲，或在通過 ROM 啟動加載程序確認的代碼中有選擇性的執(zhí)行，不過在確認已發(fā)生故障的情況下，ROM 啟動加載程序不能確保相關代碼的可用性。


在許多情況下，ROM 啟動加載程序由硅芯片廠商提供，除非雙方有特定的協(xié)議規(guī)定，否則 OEM 廠商不能修改。其首要任務就是確認用戶啟動加載程序。用戶啟動加載程序是通過硅芯片廠商開發(fā)工具的可配置框架構建而成，由 OEM 廠商確定。它能提供底層驅動程序和連接接口，如顯示屏、USB 接口或硬盤等，此外還能補充設備的加密功能。在產品設計階段，能夠根據需要對其進行更新修改，但通常產品上市后就不能再修改了。

ROM 啟動加載程序確認用戶啟動加載程序的常見方法是采用散列來確認代碼是否被改動，隨后再對代碼解密（代碼加密是為了避免有可能導致代碼安全性受影響或者泄露加密信息的逆向工程破解）。一旦 ROM 啟動加載程序驗證了用戶啟動加載程序，用戶啟動加載程序就可依次驗證并確認主應用（即應用啟動加載程序），然后用戶就能開始存取受保護的內容。如果處理器采用唯一的硅芯片 ID，只可以讀取但不能修改，那么代碼確認的安全性還能進一步提高。此外，OEM 廠商除了能用這種唯一的 ID 作為密鑰根 (root for secret key) 而外，也能用它來對內容加密，使內容鎖定于特定的播放器。

如果 ROM 啟動加載程序確定用戶啟動加載程序遭到篡改，那么設備將進入災難恢復模式。災難恢復模式是 DRM 的重要組成部分。首先，該設備必須通知用戶設備將不能再回放內容（即沒有損壞設備，但需要再配置），并解釋如何成功地完成設備再配置。不能低估這一步驟的重要性，因為用戶一發(fā)現(xiàn)設備不能回放內容就會撥打技術支持電話并支付昂貴的費用，用戶要是對此不滿，甚至會向經銷商退貨。

此外，設備中存儲的密秘機制還會通過其它方式被破壞。舉例來說，使用的 DRM 標準會提供一定的機制，以使內容提供商能夠“撤銷”設備或者 OEM 廠商，或者通過其它方式禁用用戶使用受損內容或硬件的權限。通過支持災難恢復功能，設備內置了用于固件升級的安全機制，這樣 OEM 廠商就能用新的安全機制來替換設備上未被禁用的機制。當然，設備必須能夠確保任何替換代碼影像或加密機制更新都具有值得信賴的來源。

請注意，災難恢復也許并不是 ROM 啟動加載程序的專屬職責，但除了啟動災難恢復之外，ROM 啟動加載程序的作用有限，比方說其不能通過 USB 下載影像。正是由于此原因，也不應該修改用戶啟動加載程序，這樣才能確保災難恢復代碼不會損壞，從而使設備能從故障中有效恢復。


將啟動進程分為若干個階段有不同的作用。首先，這能讓開發(fā)人員更方便地對設備專用和應用專用代碼進行分組。不過，更重要的是，將啟動過程分為若干階段能減少設備啟動過程中用戶所能感知的時延。我們不妨設想，確認代碼的延遲通常與代碼影像的大小成正比（不過并不僅與影像大小有關），代碼影像越大，確認所需的時間就越長。應用代碼確認時，用戶不得不對著空白的、沒有響應的屏幕發(fā)呆，甚至會懷疑是不是電池沒電了。

采用分散式用戶啟動加載程序并分階段載入應用使設備能更快地與用戶互動。比方說，用戶啟動加載程序完成后，就會立即在屏幕上顯示“醒目”頁面，以便讓用戶總體上感覺到設備的響應要快一些，并確信設備已經開啟。甚至應用啟動影像本身也可分為不同的階段。用戶界面功能可分階段載入執(zhí)行，比方說先載入用戶界面代碼，再載入數(shù)據庫，這樣用戶就能訪問列表中可用的內容，用戶可以在大部分應用啟動加載程序（如現(xiàn)在還不需要的 DRM 功能）不斷確認并進行后臺載入的同時就開始選擇待播放的內容。如果必須同時確認整個應用代碼，那么在應用代碼確認結束、信息顯示在屏幕上之前可能要花上數(shù)十秒鐘的時間。

 

硬盤運行

優(yōu)化加密功能可提高性能，不過，如前所述改善啟動時間時延問題的關鍵在于將啟動功能進行良好的計劃安排，與其它工作同時進行，這樣就能通過后臺啟動。同樣的原理也有助于降低不同操作之間用戶所能感知到的延遲，比方說選歌與聽歌之間的時延就會感到縮短。最小化延遲對改進總體用戶體驗至關重要。

圖 2a 顯示了播放前一般的 DRM 確認內容進程。驗證內容與驗證代碼的不同之處在于，許可證、密鑰或散列信息可能沒有與受保護的內容存儲在一起，而是存儲在數(shù)據庫中。比方說，用戶的許可證限制了某首歌曲能被播放的次數(shù)，超過這個次數(shù)許可證就會過期。這就會增加一系列驗證工作的額外步驟，因為用戶的播放列表可能很龐大（比方說一個文件夾中的音樂容量就達 20GB），因此我們必須生成支持索引功能的數(shù)據庫，這樣才能實現(xiàn)快速查找。

播放前的內容驗證

圖 2a 顯示了播放之前驗證內容的一般 DRM 進程。在本例中，所有 DRM 處理都位于關鍵路徑中，這就會導致時延最大化。

優(yōu)化數(shù)據庫搜索要求開發(fā)人員在性能、存儲器占用以及電池使用壽命之間進行平衡取舍。或許，影響上述因素的最重要考慮就是確定某項操作是否需要對硬盤進行存取。硬盤是便攜式媒體播放器最大的耗電因素，甚至比顯示屏的耗電量還大。不是所有 PMP 都具有硬盤，不過不使用硬盤的設備其存儲空間要小得多，因而其數(shù)據庫也更小，更易于管理。

節(jié)省電量的最佳策略之一就是最大限度地減少硬盤必須加速轉動的次數(shù)。我們可以將硬盤存取集中在一起，而不是播放三首歌曲就要讓硬盤從播放列表中載入三次。系統(tǒng)可以提前預計用戶接下來在播放列表中最可能播放的歌曲，并同時載入三首歌曲。如果預計錯誤（用戶選擇其它歌曲播放），那么預取其它歌曲所用的電量就會被浪費掉。但是，執(zhí)行預取所耗的電量相對于硬盤額外轉動所耗電量來說非常小，從長遠來看還是非常省電的。

上述策略也可應用于數(shù)據庫檢索。根據數(shù)據庫大小的不同，我們有時可以將數(shù)據庫整個都存儲在存儲器中，這樣存取數(shù)據庫就不需要操作硬盤了。在啟動時就將數(shù)據庫存入存儲器，其所發(fā)生的更改都存入存儲器中，隔一段時間才向硬盤傳輸。通常播放器有 10到 20 MB 的預取緩沖器容量，足夠用于 10 到 40 分鐘的音頻。在緩沖器中存儲數(shù)據庫會減少內容播放所需的存儲容量，但這樣無需執(zhí)行硬盤，從而顯著縮短了檢索時間。請注意，由于存儲器中也載入了許可證數(shù)據庫，因此系統(tǒng)能在執(zhí)行硬盤前將數(shù)首歌的加密功能進行排序，而不是在硬盤轉動時進行加密計算，而讓寫入磁頭處于空閑狀態(tài)。但是，將所有許可證都存于 RAM 中會大幅降低設備的安全可靠性，因此這種做法應當避免。

我們不妨設想這樣一種情況，當用戶首次啟動播放器時，閃屏立即出現(xiàn)，然后出現(xiàn)可用的播放列表。用戶考慮先播放哪首歌曲花的時間通常已足夠該應用來完成加載任務。如果用戶快速選擇了播放的歌曲，那么就載入第一首歌的數(shù)據及其許可證，并對這些信息進行評估然后開始操作，這樣就能最大限度地縮短用戶欣賞到音樂所需的時間。

這時，由于設備還沒有機會進行預取，所有 DRM 處理都位于主處理路徑上。不過，在播放第一首歌時，播放器可將許可證數(shù)據庫下載至存儲器，這樣播放器就能為播放列表中接下來的歌曲預先處理許可證密鑰，并預取適當?shù)那?。這樣，大多數(shù) DRM 處理任務都能在后臺得到高效地計劃安排，毫不影響用戶的欣賞體驗，而且還能盡可能減少對硬盤的存取（見圖 2b）。

 

數(shù)據庫的可靠性

根據所采用的 DRM 機制的不同，管理存儲器中的數(shù)據庫比管理硬盤驅動器中的數(shù)據庫更為復雜，因為我們必須防止能量攻擊 (power attack)，至少也要提供適當?shù)谋Ｗo功能。不妨設想，有的歌曲采用“限次播放”的許可證授權方式。每次播放該內容，數(shù)據庫就必須更新，減少授權使用的次數(shù)。用戶可能會企圖繞開這種保護機制，比方說在數(shù)據庫更新從存儲器載入硬盤驅動器之前就關閉設備。

R&CR 可測定數(shù)據庫更新在存儲器中“排隊”的限度，超過了該上限，就必須更新到硬盤上的數(shù)據庫版本中。這個限度通常定義為一定數(shù)量的歌曲或者一定的播放時間。如果系統(tǒng)支持閃存，那么即便發(fā)生斷電更新隊列也可以保存下來。不過，大多數(shù)硬盤驅動媒體播放器都不支持閃存等非易失存儲器。（請注意，數(shù)據庫更新不能緩沖存儲到可移動介質，因為斷電后用戶可能會移動介質，這樣就會刪除更新隊列。）



圖 2b 顯示了普通 DRM 的同一進程，不過 DRM 處理工作已經盡可能避開了關鍵任務路徑，從而避免人們會感到出現(xiàn)操作延遲，且不影響性能。在預取緩沖區(qū)中存儲許可證數(shù)據庫可以在后臺驗證多個許可證，也有助于減少硬盤存取，進而延長電池使用壽命。


我們的目標是避免硬盤因實現(xiàn) DRM 功能而增加轉動頻率。為了盡可能確保數(shù)據庫的一致性，并盡可能減少所需的更新次數(shù)，系統(tǒng)需要監(jiān)視其它硬盤驅動器轉動請求，讓數(shù)據庫更新與這些請求同步進行。舉例來說，播放器每預取一首歌，就能夠且應當自動更新數(shù)據庫。這樣，許可證傳輸就能與數(shù)據傳輸同時進行，而這時用戶是允許有延遲的。此外，如果有排隊的更新，那么就應將數(shù)據庫發(fā)生的變化寫入硬盤驅動器，而不是寫入整個數(shù)據庫。

我們還能通過確定用戶使用模式，預計用戶要使用哪些內容，以此來減少硬盤轉動頻率。舉例來說，如果用戶傾向按照播放列表連續(xù)播放，那么播放器就能利用這種使用傾向。請注意，“隨機”播放實際上并不一定要完全隨機；播放器可以隨機生成一個播放列表。用戶可以預取幾首歌，就像他們一般設定的播放列表一樣，這樣用戶也能搜索此前播放的歌曲。確定用戶的使用模式甚至能分辨出用戶跳過某首歌的頻率；這樣隨機播放期間選中用戶不喜歡的歌曲的頻率就會降低。


許可證傳輸

下載內容文件所需的時間是用戶最不滿意的地方。由于需要傳輸許可證，執(zhí)行安全握手操作，并驗證內容權限，因此 DRM 會影響傳輸時間。此外，降低 DRM 在許可證和內容傳輸方面的開銷的辦法就是在后臺合理安排 DRM 工作任務，要么在其他工作之前執(zhí)行，要么與其它操作同步進行。

處理許可證傳輸問題時還要記住，易用性尤其重要。用戶希望只要選中歌曲就能播放。不過，DRM 的任務就是管理許可證權限，防止歌曲許可證過期后被播放，因此系統(tǒng)在執(zhí)行該任務時必須做到高透明度，尊重用戶。

管理許可證過期有著許多不同的機制，具體取決于使用何種 DRM 標準。在任何情況下，都要明確告訴用戶什么過期了，怎么延期許可證。有時許可證會設定過期日期，即歌曲下載到便攜式媒體播放器后能播放比方說一周的時間，然后繼續(xù)播放就必須讓播放器重新連接到可信的內容服務器（比如通過 PC 在因特網上連接到可信的服務器）。



為了盡可能避免用戶混淆，播放器應能預測可能出現(xiàn)的問題。比如，用戶出門旅行，最近一段時間都沒有連接上網，這樣定時許可證可能就會過期，讓用戶丟失使用權，懊惱不已。這些問題也會對 OEM 廠商實施有關技術提出挑戰(zhàn)，因為 OEM 廠商可能并不能控制許可證更新的頻率。減少上述問題的關鍵在于讓用戶適時了解限制性許可證信息（如在播放歌曲時顯示過期日期或剩余播放次數(shù)等），以減少用戶不必要的詫異。用戶還應可以設定告警，如某個許可證有效期降到一定的閾值以下，系統(tǒng)就發(fā)出通知。無論如何，用戶不能被惱人的告警信息所淹沒 (比方說不用每首歌播放后都提醒)，否則他們就享受不到許可證播放帶來的體驗權利了。

 

從基本走向長遠發(fā)展

DRM 的技術障礙不應影響性能、易用性或電池使用壽命，從而使DRM實施方案對任何希望支持DRM 功能的OEM 廠商都切實可行。盡管 DRM 機制會增加系統(tǒng)的復雜性，但在的情況下，這些主要問題都能得到充分解決且對基本系統(tǒng)架構影響極小。通過全面了解用戶與媒體播放器的互動方式，開發(fā)人員可對 DRM 處理進行安排，確保其對播放器的啟動、播放或許可證傳輸造成的影響盡可能小。

因此，開發(fā)人員面臨的挑戰(zhàn)不是說 DRM 到底能不能高效透明地實施，而在于如何在競爭對手中脫穎而出，讓自己的設計方案超過成套的交鑰匙子系統(tǒng)的基準功能，并為未來技術的發(fā)展做好準備。OEM 廠商應提供更透明的 DRM 功能，減少對啟動、播放和傳輸時間的影響。為了通過實施最靈活的許可證管理方法支持各種的 DRM 協(xié)議，開發(fā)人員需要一種可編程的架構，配合全面加密功能 （如優(yōu)化的加密庫或加速硬件協(xié)處理器），以盡可能減少時延，降低功耗，為OEM 廠商提供盡可能多的選擇機會。

舉例來說，內容分配模型與 DRM 標準一樣多種多樣。有時用戶可以自由彼此共享內容，然后再購買有效許可證，或只需同意通過網上賬戶為每次播放的內容支付許可費即可。超級分配模式下，用戶可在手機等設備間方便地交換內容，還能保障有限的無線帶寬。此外，新興的移動虛擬網絡運營商 (MVNO) 標準使任何公司都能從移動運營商處租賃空間，讓用戶隨處訪問更豐富的內容，今后還將支持所有設備的訪問。

只有掌握最靈活的DRM實施方案的公司才能成為最具競爭力的公司。更重要的是，通過 MVNO 等技術創(chuàng)新，靈活實施DRM 技術的 OEM 廠商除推出播放器以外，還能為進入內容市場本身奠定基礎，從而開創(chuàng)新的應用機遇和未來的增收機會。