Compartir a través de


GPU-Based protección de contenido con vídeo D3D11

En este tema se describen las funcionalidades de protección de contenido de vídeo que puede proporcionar un controlador de gráficos.

Introducción

En el diagrama siguiente se muestra una vista simplificada de cómo viaja el contenido de vídeo protegido a través de la canalización que se va a representar.

un diagrama que muestra el contenido de vídeo protegido.

Nota

La ruta de acceso multimedia protegida (PMP) no se muestra en este diagrama. El flujo de datos que se muestra aquí puede producirse dentro de un proceso PMP o dentro de un proceso de aplicación.

 

El descodificador recibe datos de vídeo cifrados y comprimidos de un origen externo. También se supone que el descodificador también recibe una clave criptográfica para descifrar estos datos. En este tema no se describe el intercambio de claves entre el origen de vídeo y el descodificador, pero el PMP define un mecanismo posible. La GPU no está implicada en esta fase.

Para la descodificación acelerada por hardware, el descodificador de software pasa contenido de vídeo comprimido a la GPU. Para proteger este contenido, el descodificador vuelve a cifrar los datos, normalmente mediante AES-CTR, antes de pasarlos al acelerador de hardware. Se define un mecanismo de intercambio de claves entre el descodificador y el controlador de gráficos.

Los fotogramas de vídeo descodificados se almacenan en la memoria de vídeo, por lo general sin cifrar. En este momento, los fotogramas se procesan y después se presentan. Hay dos opciones principales para la presentación.

  • Al usar la API D3D9, se pueden presentar fotogramas mediante una superposición de hardware. El hardware excesivamente no se admite en D3D11. Para obtener más información, consulte Compatibilidad con la superposición de hardware.
  • Los fotogramas se pueden presentar mediante la administración de ventanas de escritorio (DWM) mediante una superficie compartida.

El último paso es mostrar el marco en el monitor, que puede requerir protección de vínculos entre la tarjeta gráfica y el dispositivo de visualización. Un ejemplo de protección de vínculos es High-Bandwidth Protección de contenido digital (HDCP). La protección de vínculos se configura mediante Output Protection Manager (OPM). En este tema no se describe OPM; para obtener más información, vea Uso del Administrador de protección de salida.

Información general sobre el proceso de descodificación

Durante la descodificación acelerada por hardware, el descodificador de software debe pasar datos de vídeo comprimidos a la tarjeta gráfica. En el caso del contenido premium, estos datos normalmente se deben cifrar, mediante el cifrado de clave simétrica, antes de enviarlos a la GPU.

Para cifrar el vídeo para descodificar, el descodificador de software usa las siguientes interfaces:

  • ID3D11VideoDecoder. Representa el dispositivo descodificador, también denominado acelerador.
  • ID3D11CryptoSession. Representa una sesión criptográfica, que proporciona la clave de cifrado.
  • ID3D11AuthenticatedChannel. Representa un canal autenticado, que permite al descodificador de software asociar la sesión criptográfica al descodificador.

diagrama que muestra las interfaces de descodificación de direct3d9.

Todas estas interfaces se obtienen del dispositivo Direct3D11, como se indica a continuación:

Interfaz Creación
ID3D11VideoDecoder Llame a ID3D11VideoDevice::CreateVideoDecoder. El tipo de descodificador se identifica mediante un GUID de perfil.
ID3D11CryptoSession Llame a ID3D11VideoDevice::CreateCryptoSession.
ID3D11AuthenticatedChannel Llame a ID3D11VideoDevice::CreateAuthenticatedChannel.

 

Nota

Para obtener un puntero a la interfaz ID3D11VideoDevice , llame a QueryInterface en la interfaz ID3D11Device .

 

El canal autenticado proporciona un canal de comunicación de confianza entre el descodificador de software y el controlador. El canal de comunicación funciona de la siguiente manera:

  • El controlador proporciona una cadena de certificados X.509 cuyo certificado raíz está firmado por Microsoft.
  • El certificado contiene una clave pública RSA para el controlador.
  • El descodificador de software usa la clave pública para enviar al controlador una clave de sesión AES de 128 bits.
  • El descodificador de software envía consultas y comandos al canal autenticado.
  • La clave de sesión se usa para calcular los códigos de autenticación de mensajes (MAC) para las consultas y los comandos. El controlador usa los MAC para comprobar la integridad de los datos de consulta o comando, y el descodificador de software los usa para comprobar la integridad de los datos de respuesta del controlador.

Cifrado de búferes de vídeo comprimidos para el descodificador

Esta es una introducción de alto nivel del proceso de cifrado y descodificación:

  1. El descodificador de software recibe una secuencia de datos cifrados del origen de vídeo. El descodificador descifra esta secuencia.

  2. El descodificador de software negocia una clave de sesión con la sesión criptográfica.

  3. El descodificador de software usa el canal autenticado para asociar la sesión criptográfica con el dispositivo descodificador.

  4. El descodificador de software coloca datos comprimidos en búferes que obtiene del dispositivo de descodificador (acelerador). En el caso del contenido protegido, el codificador de software cifra los datos que se colocan en los búferes mediante la clave de sesión para el cifrado.

    Nota

    Algunos controladores usan una clave de contenido, en lugar de la clave de sesión, para el cifrado. La clave de contenido podría cambiar de un fotograma a otro.

     

  5. El descodificador envía los búferes comprimidos cifrados al acelerador. Para AES-CTR, el descodificador también pasa el vector de inicialización. Si se usa una clave de contenido, el descodificador pasa la clave de contenido, cifrada mediante la clave de sesión.

Direct3D11 tiene compatibilidad estándar con AES-CTR de 128 bits, pero está diseñado para ampliarse a tipos de cifrado adicionales.

En las cinco secciones siguientes se proporcionan pasos más detallados.

1. Consultar las funcionalidades de protección de contenido del controlador

Antes de intentar aplicar el cifrado, obtenga las funcionalidades de protección de contenido del controlador.

  1. Obtenga un puntero a la interfaz ID3D11Device.
  2. Llame a QueryInterface para la interfaz ID3D11VideoDevice .
  3. Llame a ID3D11VideoDevice::GetContentProtectionCaps. Este método rellena una estructura de D3D11_VIDEO_CONTENT_PROTECTION_CAPS con las funcionalidades de protección de contenido del controlador.

En concreto, busque las siguientes funcionalidades:

  • Si el miembro Caps contiene la marca D3D11_CONTENT_PROTECTION_CAPS_SOFTWARE o D3D11_CONTENT_PROTECTION_CAPS_HARDWARE , el controlador puede realizar el cifrado.
  • Si el miembro Caps contiene la marca D3D11_CONTENT_PROTECTION_CAPS_CONTENT_KEY, el controlador usa una clave de contenido independiente para el descifrado.
  • Llame a ID3D11VideoDevice::CheckCryptoKeyExchange para determinar qué tipos de intercambio de claves admite el controlador para generar la clave de sesión.

Se indican funcionalidades adicionales en el miembro Caps .

2. Configurar el canal autenticado

El siguiente paso es configurar el canal autenticado.

  1. Llame a ID3D11VideoDevice::CreateAuthenticatedChannel para crear el canal autenticado. Para el parámetro ChannelType , especifique un tipo de canal que coincida con las funciones del controlador.

    • El tipo de canal D3D11_AUTHENTICATED_CHANNEL_DRIVER_SOFTWARE corresponde a D3D11_CONTENT_PROTECTION_CAPS_SOFTWARE.
    • El tipo de canal D3D11_AUTHENTICATED_CHANNEL_DRIVER_HARDWARE corresponde a D3D11_CONTENT_PROTECTION_CAPS_HARDWARE.

    El método CreateAuthenticatedChannel devuelve un puntero a la interfaz ID3D11AuthenticatedChannel .

  2. Llame a ID3D11AuthenticatedChannel::GetCertificateSize para obtener el tamaño del certificado X.509 del controlador. Asigne un búfer del tamaño necesario.

  3. Llame a ID3D11AuthenticatedChannel::GetCertificate para obtener el certificado. El método copia el certificado en el búfer que se asignó en el paso anterior.

  4. Compruebe que Microsoft firmó el certificado del controlador y no se ha revocado.

  5. Obtenga la clave pública del certificado.

  6. Genere una clave de sesión RSA aleatoria. Esta clave de sesión se usa para firmar los datos que se envían al canal autenticado. Cifre la clave de sesión mediante la clave pública del controlador.

  7. Llame a ID3D11VideoContext::NegotiateAuthenticatedChannelKeyExchange para enviar la clave de sesión cifrada al controlador.

  8. Inicialice el canal seguro de la siguiente manera:

    1. Rellene una estructura de D3D11_AUTHENTICATED_CONFIGURE_INITIALIZE_INPUT como se describe en la documentación.
    2. Envíe el comando D3D11_AUTHENTICATED_CONFIGURE_INITIALIZE_INPUT llamando a ID3D11VideoContext::ConfigureAuthenticatedChannel como se describe en la sección Envío de comandos de canal autenticados. Este comando contiene los números de secuencia iniciales de los comandos y las consultas que se envían al canal autenticado.
  9. Compruebe el tipo de canal enviando una consulta de D3D11_AUTHENTICATED_QUERY_CHANNEL_TYPE al canal autenticado, como se describe en la sección Envío de consultas de canal autenticadas. Compruebe que el tipo de canal coincide con lo que especificó en el método CreateAuthenticatedChannel .

3. Configurar la sesión criptográfica

A continuación, configure la sesión criptográfica y establezca la clave de sesión.

  1. Llame a ID3D11VideoDevice::CreateCryptoSession para crear la sesión criptográfica. Este método devuelve un puntero a la interfaz ID3D11CryptoSession .
  2. Llame a ID3D11CryptoSession::GetCertificateSize para obtener el tamaño del certificado X.509 del controlador. Asigne un búfer del tamaño necesario.
  3. Llame a ID3D11CryptoSession::GetCertificate para obtener el certificado. El método copia el certificado en el búfer que se asignó en el paso anterior.
  4. Compruebe que Microsoft firmó el certificado del controlador y no se ha revocado.
  5. Obtenga la clave pública del certificado.
  6. Genere una clave de sesión RSA aleatoria. Se trata de una clave de sesión independiente de la clave de sesión del canal autenticado. Cifre la clave de sesión mediante la clave pública del controlador.
  7. Llame a ID3D11VideoContext::NegotiateCryptoSessionKeyExchange para enviar la clave de sesión cifrada al controlador.
  8. Si las funcionalidades de protección de contenido incluyen 3D11_CONTENT_PROTECTION_CAPS_CONTENT_KEY, cree una clave de contenido RSA aleatoria. Esto se usará más adelante en el proceso de descodificación.

4. Asociar el descodificador a la sesión criptográfica

A continuación, asocie el dispositivo descodificador con el dispositivo Direct3D11 y la sesión criptográfica, como se indica a continuación:

  1. Obtenga un identificador para el dispositivo Direct3D11 mediante el envío de una consulta de D3D11_AUTHENTICATED_QUERY_DEVICE_HANDLE al canal autenticado.
  2. Rellene una estructura de D3D11_AUTHENTICATED_CONFIGURE_CRYPTO_SESSION_INPUT con la siguiente información:
  3. Llame a ID3D11VideoContext::ConfigureAuthenticatedChannel para enviar un comando D3D11_AUTHENTICATED_CONFIGURE_CRYPTO_SESSION al canal autenticado.

En el diagrama siguiente se muestra el intercambio de identificadores:

diagrama que muestra cómo está asociado el descodificador dxva a la sesión criptográfica.

El descodificador de software ahora puede usar la clave de sesión criptográfica para cifrar los búferes de vídeo comprimidos. Cada búfer comprimido tendrá su propio vector de inicialización (IV) especificado en el miembro pIV de la estructura D3D11_VIDEO_DECODER_BUFFER_DESC .

Envío de comandos de canal autenticados

Se define un conjunto de comandos para configurar el canal autenticado y establecer diversas protecciones de contenido. Para obtener una lista de comandos, consulte Comandos de protección de contenido.

Para enviar un comando al canal autenticado, realice los pasos siguientes.

  1. Rellene la estructura de datos de entrada. Esta estructura de datos siempre es una estructura de D3D11_AUTHENTICATED_CONFIGURE_INPUT seguida de campos adicionales. Rellene la estructura D3D11_AUTHENTICATED_CONFIGURE_INPUT como se muestra en la tabla siguiente.
Miembro Descripción
Omac Omita este campo por ahora.
ConfigureType GUID que identifica el comando. Para obtener una lista de comandos, consulte Comandos de protección de contenido.
hChannel Identificador del canal autenticado.
SequenceNumber El número de secuencia global. El primer número de secuencia se especifica enviando un comando D3D11_AUTHENTICATED_CONFIGURE_INITIALIZE . Cada vez que envíe otro comando, incremente este número en 1. El número de secuencia protege contra los ataques de reproducción. Nota: Se usan dos números de secuencia independientes, uno para comandos y otro para consultas.
  1. Calcule la etiqueta OMAC para el bloque de datos que aparece después del miembro omac de la estructura de entrada. A continuación, copie este valor de etiqueta en el miembro omac .
  2. Llame a ID3D11VideoContext::ConfigureAuthenticatedChannel.
  3. El controlador coloca la salida del comando en la estructura D3D11_AUTHENTICATED_CONFIGURE_OUTPUT .
  4. Calcule la etiqueta OMAC para el bloque de datos que aparece después del miembro omac de la estructura de salida. Compare esto con el valor del miembro omac . Se produce un error si no coinciden.
  5. Compare los valores de los miembros ConfigureType, hChannel y SequenceNumber en la estructura de salida con los valores de esos miembros. Se produce un error si no coinciden.
  6. Incremente el número de secuencia para el siguiente comando.

Envío de consultas de canal autenticadas

Se define un conjunto de consultas para recuperar información sobre el canal autenticado. Para obtener una lista de consultas, consulte Consultas de protección de contenido.

Para enviar un comando al canal autenticado, realice los pasos siguientes.

  1. Rellene la estructura de datos de entrada. Esta estructura de datos siempre es una estructura de D3D11_AUTHENTICATED_QUERY_INPUT , posiblemente seguida de campos adicionales. Rellene la estructura D3D11_AUTHENTICATED_QUERY_INPUT como se muestra en la tabla siguiente.
Miembro Descripción
QueryType GUID que identifica la consulta. Para obtener una lista de consultas, consulte Consultas de protección de contenido.
hChannel Identificador del canal autenticado.
SequenceNumber El número de secuencia global. El primer número de secuencia se especifica enviando un comando D3D11_AUTHENTICATED_CONFIGURE_INITIALIZE . Cada vez que envíe otra consulta, incremente este número en 1. El número de secuencia protege contra los ataques de reproducción. Nota: Se usan dos números de secuencia independientes, uno para comandos y otro para consultas.
  1. Llame a ID3D11VideoContext::QueryAuthenticatedChannel.
  2. El controlador coloca la salida de la consulta en una estructura de D3D11_AUTHENTICATED_QUERY_OUTPUT . Esta estructura va seguida de campos adicionales, según el tipo de consulta.
  3. Calcule la etiqueta OMAC para el bloque de datos que aparece después del miembro omac de la estructura de salida. Compare esto con el valor del miembro omac . Se produce un error si no coinciden.
  4. Compare los valores de los miembros ConfigureType, hChannel y SequenceNumber en la estructura de salida con los valores de esos miembros. Se produce un error si no coinciden.
  5. Incremente el número de secuencia de la siguiente consulta.

API de vídeo de Direct3D 11