EME WTF？加密媒体扩展介绍

加密媒体扩展提供了一个API,允许web应用与内容保护系统交互,允许播放加密的音频和视频。

EME被设计来保证相同的应用和加密文件可以在任何浏览器环境使用,不管底层保护系统。

前者是通过标准API和规则实现,而后者是由通用加密Common Encryption概念实现。

EME得名来自对HTMLMediaElement规范的扩展。

作为一个“扩展”意味着浏览器支持EME:如果浏览器不支持加密媒体,它将无法播放加密媒体,但EME对于HTML规范的依赖不是必须需的。

从EME的规范来看:

这个提议扩展HTMLMediaElement提供api来控制播放受保护的内容。

API支持从简单的密钥解密到高价值的视频(给出一个适当的用户代理实现)的情况。

许可/密钥交换是由应用程序控制,促进开发健壮的播放应用程序支持一系列内容解密和保护技术。

本规范没有定义内容保护或数字版权管理系统。相反，它定义了一个通用的API,可以用来发现、选择或者与这些系统以及简单的内容加密系统交互。数字版权管理的实现不需要遵守此规范:只有Clear Key系统需要实现为一个共同的基准。

通用的API支持一组简单的内容加密功能,而把一些应用程序的功能,比如身份验证和授权留给页面作者。这是通过获取由页面分发的内容保护系统的特的消息而不是假设带外之间的通信加密系统或者许可证或其他服务器的通信。

EME的实现使用以下外部组件:

Key System: 内容保护(DRM)机制。EME不定义key system本身,除了clear key(下面详细说明)。
Content Decryption Module (CDM): 客户端软件或硬件机制,来保证播放加密媒体。和key system一样,EME不定义任何CDMs,但提供了一个接口与CDMs应用程序进行交互。
License (Key) server: 与CDM进行交互，提供密钥解密媒体。与许可服务器交涉是主要责任。
Packaging service: 编码和加密媒体分布/消费

注意应用程序使用EME与一个许可证服务器交互获取密钥来解密,但用户标识和身份验证并不是EME的一部分。

检索键,使媒体播放(可选)之后对用户进行身份验证。

这种服务，例如Netflix必须验证用户在他们的web应用程序:当用户登录应用程序,应用程序决定了用户的身份和特权。

EME如何工作？

EME组件如何交互的,对应下面的代码示例:

如果多种格式和编解码器都是支持的,MediaSource.isTypeSupported(),或HTMLMediaElement.canPlayType()都可以用来选择正确的一个。然而,CDM可能只支持浏览器支持加密的内容的一个子集。最好是在选择一个格式和编解码器之前，使用一个MediaKeys配置。如果应用程序等待加密事件后，然而 MediaKeys显示它无法处理所选的格式/编解码器,它可能是来不及切换而不得不中断播放。推荐的流程是先通过MediaKeys,然后使用MediaKeysSystemAccess.getConfiguration() 获取可靠的配置。如果只有一个格式/编码器去选择，然后就没有必要

getConfiguration(). 然而，最好是先建立MediaKeys。等待加密事件的唯一理由是如果没有办法知道内容是否加密,但实际上这是不可能的。

一个web应用程序试图播放有一个或多个加密流音频或视频。
浏览器认出媒体是加密的(见下面如何发生)，然后会通过从媒体获得的加密元数据即(initData)触发一个加密的事件。
应用程序处理加密事件:
- 如果没有MediaKeys对象与媒体元素关联,首先选择一个可用的密钥系统通过使用navigator.requestMediaKeySystemAccess()检查哪些系统可用,然后通过MediaKeySystemAccess为密钥系统创建为一个可用的MediaKeys对象。注意,MediaKeys对象的初始化应该在第一个加密事件之前。通过选择一个可用的密钥系统，获得许可证服务器的URL是一个独立应用程序。MediaKeys对象代表了所有可用的密钥来解密音频或视频的媒体元素。它代表了CDM实例并提供访问CDM,专门用于创建密钥会话,用于获取密钥从许可证书服务器。
- 一旦MediaKeys对象被创建,将其分配给媒体元素:setMediaKeys()分配给HTMLMediaElement元素,所以可以使用播放期间使用密钥,例如解码的时候。
应用程序建立MediaKeySession通过调用MediaKeys上的createSession()方法。MediaKeySession代表了证书和它密钥的生命周期。
应用程序通过将加密处理中获取的媒体数据传递给CDMl来生成许可证请求。通过MediaKeySession调用generateRequest()方法。
CDM出发一个消息事件：从证书服务器获取密钥的请求。
MediaKeySession 对象接收到消息事件然后应用程序通过(例如xhr)发送消息到证书服务器。
应用程序接收到响应从证书服务器并且传递数据到CDM使用MediaKeySession的update()方法。
CDM解密媒体使用证书中的密钥。一个有效的密钥可能被使用在MediaKeys关联的媒体元素任何会话中。CDM会访问有密钥id索引的密钥和策略。
媒体播放恢复。

浏览器如何知道媒体是加密的？此信息位于媒体容器文件的元数据中，该文件将采用ISO BMFF或WebM等格式。对于ISO BMFF，这意味着标题元数据，称为保护方案信息框。WebM使用Matroska ContentEncryption元素以及一些WebM特定的添加项。在EME特定的注册表中为每个容器提供准则。

请注意，CDM和许可证服务器之间可能存在多个消息，并且此过程中的所有通信对浏览器和应用程序都是不透明的：消息只能由CDM和许可证服务器理解，但应用程序层可以看到什么类型的消息CDM正在发送。许可证请求包含CDM有效性（和信任关系)以及在生成的许可证中加密内容密钥时使用的密钥。

..但CDM实际上做了什么?

EME实现本身并不提供解密媒体的方式：它只是为Web应用提供API来与内容解密模块进行交互。

CDM实际做的不是由EME规范定义的，CDM可以处理媒体的解码（解压缩）以及解密。至少从最强大的角度来看，CDM功能有几种可能的选择：

仅解密，使用普通媒体管道进行播放，例如通过<video>元素。
解密和解码，将视频帧传递给浏览器进行渲染。
解密和解码，直接在硬件（例如GPU）中渲染。

有多种方式可以为Web应用程序提供CDM：

用浏览器捆绑CDM。
分开分配CDM。
在操作系统中构建CDM。
在固件中包含CDM。
在CDM中嵌入硬件。

CDM如何提供并不是由EME规范定义的，但在所有情况下，浏览器负责审核和公开CDM。

EME没有要求特定的关键系统; 在当前的桌面和移动浏览器中，Chrome支持Widevine，IE11支持PlayReady。

从许可证服务器获取密钥

可在线使用，Web客户端就可以从许可证服务器获取密钥（包含在许可证中），并使用该密钥来启用内容的解密和播放。

以下代码（根据规范示例进行了调整）显示了应用程序如何选择适当的密钥系统并从许可证服务器获取密钥。

代码语言：txt复制

var video = document.querySelector('video');

var config = [{initDataTypes: ['webm'],
  videoCapabilities: [{contentType: 'video/webm; codecs="vp9"'}]}];

if (!video.mediaKeys) {
  navigator.requestMediaKeySystemAccess('org.w3.clearkey',
      config).then(
    function(keySystemAccess) {
      var promise = keySystemAccess.createMediaKeys();
      promise.catch(
        console.error.bind(console, 'Unable to create MediaKeys')
      );
      promise.then(
        function(createdMediaKeys) {
          return video.setMediaKeys(createdMediaKeys);
        }
      ).catch(
        console.error.bind(console, 'Unable to set MediaKeys')
      );
      promise.then(
        function(createdMediaKeys) {
          var initData = new Uint8Array([...]);
          var keySession = createdMediaKeys.createSession();
          keySession.addEventListener('message', handleMessage,
              false);
          return keySession.generateRequest('webm', initData);
        }
      ).catch(
        console.error.bind(console,
          'Unable to create or initialize key session')
      );
    }
  );
}

function handleMessage(event) {
  var keySession = event.target;
  var license = new Uint8Array([...]);
  keySession.update(license).catch(
    console.error.bind(console, 'update() failed')
  );
}

通用加密

通用加密解决方案允许内容提供商对每个容器/编解码器的内容进行加密和打包，并将其与各种关键系统，CDM和客户端一起使用：即支持通用加密的任何CDM。例如，使用Playready打包的视频可以使用Widevine CDM在浏览器中播放，从Widevine许可证服务器获取密钥。

这与传统的解决方案形成鲜明对比，传统解决方案只能使用完整的垂直堆栈，包括通常还包含应用程序运行时的单个客户端。

通用加密（CENC）是ISO标准，用于定义ISO BMFF的保护方案; 类似的概念适用于WebM。

清除密钥

尽管EME没有定义DRM功能，但该规范目前要求所有支持EME的浏览器必须实现Clear Key。使用这个系统，媒体可以用一个密钥加密，然后通过提供该密钥简单地回放。清除密钥可以内置到浏览器中：它不需要使用单独的解密模块。

虽然不太可能用于许多类型的商业内容，但Clear Key可在支持EME的所有浏览器中完全互操作。对于测试EME实现和使用EME的应用程序，无需从许可证服务器请求内容密钥也很方便。simpl.info/ck上有一个简单的Clear Key示例。下面是代码的，和上述步骤相似，虽然没有许可证服务器的交互。

代码语言：txt复制

// Define a key: hardcoded in this example
// – this corresponds to the key used for encryption
var KEY = new Uint8Array([
  0xeb, 0xdd, 0x62, 0xf1, 0x68, 0x14, 0xd2, 0x7b,
  0x68, 0xef, 0x12, 0x2a, 0xfc, 0xe4, 0xae, 0x3c
]);

var config = [{
  initDataTypes: ['webm'],
  videoCapabilities: [{
    contentType: 'video/webm; codecs="vp8"'
  }]
}];

var video = document.querySelector('video');
video.addEventListener('encrypted', handleEncrypted, false);

navigator.requestMediaKeySystemAccess('org.w3.clearkey', config).then(
  function(keySystemAccess) {
    return keySystemAccess.createMediaKeys();
  }
).then(
  function(createdMediaKeys) {
    return video.setMediaKeys(createdMediaKeys);
  }
).catch(
  function(error) {
    console.error('Failed to set up MediaKeys', error);
  }
);

function handleEncrypted(event) {
  var session = video.mediaKeys.createSession();
  session.addEventListener('message', handleMessage, false);
  session.generateRequest(event.initDataType, event.initData).catch(
    function(error) {
      console.error('Failed to generate a license request', error);
    }
  );
}

function handleMessage(event) {
  // If you had a license server, you would make an asynchronous XMLHttpRequest
  // with event.message as the body.  The response from the server, as a
  // Uint8Array, would then be passed to session.update().
  // Instead, we will generate the license synchronously on the client, using
  // the hard-coded KEY at the top.
  var license = generateLicense(event.message);

  var session = event.target;
  session.update(license).catch(
    function(error) {
      console.error('Failed to update the session', error);
    }
  );
}

// Convert Uint8Array into base64 using base64url alphabet, without padding.
function toBase64(u8arr) {
  return btoa(String.fromCharCode.apply(null, u8arr)).
      replace(/ /g, '-').replace(///g, '_').replace(/=*$/, '');
}

// This takes the place of a license server.
// kids is an array of base64-encoded key IDs
// keys is an array of base64-encoded keys
function generateLicense(message) {
  // Parse the clearkey license request.
  var request = JSON.parse(new TextDecoder().decode(message));
  // We only know one key, so there should only be one key ID.
  // A real license server could easily serve multiple keys.
  console.assert(request.kids.length === 1);

  var keyObj = {
    kty: 'oct',
    alg: 'A128KW',
    kid: request.kids[0],
    k: toBase64(KEY)
  };
  return new TextEncoder().encode(JSON.stringify({
    keys: [keyObj]
  }));
}

要测试此代码，您需要加密的视频才能播放。根据webm_crypt说明，可以为WebM完成对Clear Key使用的视频加密。商业服务也是可用的（至少对于ISO BMFF / MP4）并且正在开发其他解决方案。

结论

利用网络提供付费视频和音频的速度正在加快。看起来，每个新设备，无论是平板电脑，游戏机，连接电视还是机顶盒，都能够通过HTTP从主要内容提供商流媒体。目前，超过85％的移动和桌面浏览器支持<video>和<audio>，思科预计到 2017年，视频将占全球消费者互联网流量的80％至90％。在此情况下，浏览器对受保护内容分发的支持很可能随着浏览器供应商减少对大多数媒体插件所依赖的API的支持，这一点将变得越来越重要。

进一步阅读

规格和标准

EME规范：最新的编辑草案
通用加密（CENC）
Media Source Extensions
DASH标准（是的，它是一个PDF）
DASH标准概述

参考文章

DTG Webinar (partially obsolete)
What is EME?, by Henri Sivonen
HTML5 Rocks Media Source Extensions article
MPEG-DASH Test Streams: BBC R&D blog post

Demos

Clear Key demo: simpl.info/ck
Media Source Extensions (MSE) demo
Google的Shaka Player实现了一个支持EME的DASH客户端

实时音视频

0 人点赞