حماية المحتوى باستخدام التشفير الديناميكي وتسليم المفاتيح

شعار خدمات الوسائط الإصدار 3


تحذير

سيتم إيقاف Azure Media Services في 30 يونيو 2024. لمزيد من المعلومات، راجع دليل إيقاف AMS.

استخدم Azure Media Services لتأمين الوسائط الخاصة بك من الوقت الذي تغادر فيه الكمبيوتر طوال الطريق من خلال التخزين والمعالجة والتسليم. باستخدام Media Services، يمكنك تقديم المحتوى المباشر الخاص بك والمشفّر عند الطلب بشكل ديناميكي باستخدام مقاييس التشفير المتقدمة (AES-128) أو أي من أنظمة إدارة الحقوق الرقمية الثلاثة الرئيسية (DRM): Microsoft PlayReady وGoogle Widevine وApple FairPlay.

FairPlay Streaming هي تقنية Apple متاحة فقط للفيديو المنقول عبر HTTP Live Streaming (HLS) على أجهزة iOS وفي Apple TV وفي Safari على macOS. توفر خدمات الوسائط أيضاً خدمة لتسليم مفاتيح AES وتراخيص DRM (PlayReady وWidevine وFairPlay) للعملاء المصرح لهم. إذا تم تشفير المحتوى باستخدام مفتاح مسح AES وتم إرساله عبر HTTPS، فلن يكون واضحًا حتى يصل إلى العميل.

في Media Services v3، يرتبط مفتاح المحتوى بـ Streaming Locator (راجع هذا المثال). إذا كنت تستخدم خدمة تسليم مفتاح خدمات الوسائط، يمكنك السماح لـ Azure Media Services بإنشاء مفتاح المحتوى لك. يجب إنشاء مفتاح المحتوى بنفسك إذا كنت تستخدم خدمة تسليم المفاتيح الخاصة بك، أو إذا كنت بحاجة إلى معالجة سيناريو قابلية وصول عالية حيث تحتاج إلى أن يكون لديك نفس مفتاح المحتوى في مركزي بيانات.

عندما يطلب المشغل دفقاً، تستخدم خدمات الوسائط المفتاح المحدد لتشفير المحتوى الخاص بك ديناميكياً باستخدام مفتاح مسح AES أو تشفير DRM. لفك تشفير الدفق، يطلب المشغل المفتاح من خدمة تسليم مفتاح خدمات الوسائط أو خدمة تسليم المفتاح التي حددتها. لتحديد ما إذا كان المستخدم مصرحًا له بالحصول على المفتاح، تقوم الخدمة بتقييم نهج مفتاح المحتوى التي حددتها للمفتاح.

نظام حماية المحتوى

يمكنك استخدام واجهة برمجة تطبيقات REST، أو مكتبة عميل خدمات الوسائط لتكوين سياسات التخويل والمصادقة للتراخيص والمفاتيح الخاصة بك.

Widevine غير متوفر بمنطقة GovCloud.

ملاحظة

ستقوم خدمات الوسائط بفرض TLS 1.2 لجميع الطلبات إلى KeyDelivery و RESTv2 و Streaming Endpoint و Live Event streaming origins. سيتم إعفاء الحسابات التي لها استخدام TLS 1.0 أو 1.1 موجود من هذا الإنفاذ. إذا كنت ترغب في فرض TLS 1.2 لجميع طلباتك إلى نقاط نهاية خدمات الوسائط هذه، فالرجاء الاتصال بدعم AMS.

المستعرضات التي تدعم عملاء DRM

تدعم المستعرضات الشائعة عملاء DRM التاليين:

متصفح التشفير
Chrome تقنية Widevine
متصفح Microsoft Edge، Internet Explorer 11 PlayReady
Firefox تقنية Widevine
Opera تقنية Widevine
متصفح Safari FairPlay

التحكم في الوصول إلى المحتوى

يمكنك التحكم في من لديه حق الوصول إلى المحتوى الخاص بك عن طريق تكوين نهج مفتاح المحتوى. تدعم Media Services طرقًا متعددة لتفويض المستخدمين الذين يقدمون طلبات الترخيص أو المفاتيح. يجب على العميل (المشغل) تلبية النهج قبل تسليم المفتاح إلى العميل. يمكن أن يحتوي نهج مفتاح المحتوى على قيود مفتوحة أو رمز مميز .

يمكن استخدام نهج مفتاح محتوى مفتوح التقييد عندما تريد إصدار ترخيص لأي شخص دون تخويل. على سبيل المثال، إذا كانت إيراداتك مستندة إلى الإعلانات وليست مستندة إلى الاشتراك.

من خلال نهج مفتاح المحتوى المقيد بالرمز المميز، يتم إرسال مفتاح المحتوى فقط إلى عميل يقدم رمز JWT صالحًا أو رمز ويب بسيطًا (SWT) في طلب الترخيص/المفتاح. يجب إصدار هذا الرمز المميز بواسطة STS.

استخدام Azure AD ك STS

يمكنك استخدام Azure AD ك STS. يجب تكوينه لإنشاء رمز مميز موقع بالمفتاح المحدد وإصدار المطالبات التي حددتها في تكوين تقييد الرمز المميز. تقوم خدمة تسليم ترخيص/مفتاح Media Services بإرجاع الترخيص أو المفتاح المطلوب إلى العميل إذا كان كلا الشرطين موجودين:

  • الرمز المميز صالح.
  • تتطابق المطالبات في الرمز المميز مع تلك التي تم تكوينها للترخيص أو المفتاح.

عند تكوين النهج المقيد بالرمز المميز، يجب تحديد مفتاح التحقق الأساسي، والمصدر، ومعلمات الجمهور. يحتوي مفتاح التحقق الأساسي على المفتاح الذي تم توقيع الرمز المميز به. مصدر الشهادة هو STS الذي يصدر الرمز المميز. يصف الجمهور، الذي يسمى أحيانا النطاق، هدف الرمز المميز أو المورد الذي يخول الرمز المميز الوصول إليه. تتحقق خدمة ترخيص خدمات الوسائط/تسليم المفاتيح من أن القيم الموجودة في الرمز المميز تتطابق مع القيم الموجودة في القالب.

منع إعادة تشغيل الرمز المميز

تسمح لك ميزة منع إعادة تشغيل الرمز المميز بتعيين حد لعدد المرات التي يمكن فيها استخدام نفس الرمز المميز لطلب مفتاح أو ترخيص. يمكنك إضافة مطالبة من النوع urn:microsoft:azure:mediaservices:maxuses في الرمز المميز، حيث تكون القيمة هي عدد المرات التي يمكن فيها استخدام الرمز المميز للحصول على ترخيص أو مفتاح. سترجع جميع الطلبات اللاحقة التي لها نفس الرمز المميز إلى تسليم المفتاح استجابة غير مصرح بها.

الاعتبارات

  • يجب أن يكون لديك التحكم في إنشاء الرمز المميز. يجب وضع المطالبة في الرمز المميز نفسه.
  • عند استخدام هذه الميزة، يتم رفض الطلبات ذات الرموز المميزة التي يقع وقت انتهاء صلاحيتها على بعد أكثر من ساعة واحدة من وقت تلقي الطلب مع استجابة غير مصرح بها.
  • يتم تعريف الرموز المميزة بشكل فريد من خلال توقيعها. أي تغيير في البيانات الأساسية (على سبيل المثال، التحديث إلى وقت انتهاء الصلاحية أو المطالبة) يغير توقيع الرمز المميز وسيُحسب كرمز مميز جديد لم يصادفه تسليم المفتاح من قبل.
  • يفشل التشغيل إذا تجاوز maxuses الرمز المميز القيمة.
  • يمكن استخدامه لجميع المحتويات المحمية الموجودة (يجب تغيير الرمز المميز الصادر فقط).
  • يعمل مع كل من JWT و SWT.

استخدام STS مخصص

قد تختار استخدام STS مخصص لتوفير الرموز المميزة. وتشمل الأسباب ما يلي:

  • لا يدعم موفر الهوية (IDP) STS.

  • قد تحتاج إلى تحكم أكثر مرونة أو إحكاما لدمج STS مع نظام فوترة المشترك.

    على سبيل المثال، قد يقدم مشغل خدمة OTT حزم مشتركين متعددة، مثل المتميز والأساسي والرياضي. قد يرغب عامل التشغيل في مطابقة المطالبات في رمز مميز مع حزمة المشترك حتى يتم توفير المحتويات الموجودة في حزمة معينة فحسب. في هذه الحالة، يوفر STS المخصص المرونة والتحكم المطلوبين.

  • لتضمين مطالبات مخصصة في الرمز المميز للتحديد بين ContentKeyPolicyOptions المختلفة مع معلمات ترخيص DRM مختلفة، على سبيل المثال، ترخيص اشتراك مقابل ترخيص تأجير.

  • لتضمين مطالبة تمثل معرف مفتاح المحتوى للمفتاح الذي يمنح الرمز المميز حق الوصول إليه.

عند استخدام STS مخصص، يجب إجراء تغييرين:

  • عند تكوين خدمة تسليم ترخيص لأصل، تحتاج إلى تحديد مفتاح الأمان المستخدم للتحقق من قبل STS المخصص بدلا من المفتاح الحالي من Azure AD.
  • عند إنشاء رمز JTW المميز، يتم تحديد مفتاح أمان بدلًا من المفتاح الخاص لشهادة X509 الحالية في Azure AD.

هناك نوعان من مفاتيح الأمان:

  • مفتاح متماثل: يتم استخدام نفس المفتاح لإنشاء و للتحقق من JWT.
  • المفتاح غير المتماثل: يتم استخدام زوج مفاتيح عام-خاص في شهادة X509 مع مفتاح خاص لتشفير/إنشاء JWT ومع المفتاح العام للتحقق من الرمز المميز.

ملاحظة

إذا كنت تستخدم .NET Framework/C# كنظام أساسي للتطوير، يجب أن يكون طول المفتاح لشهادة X509 المستخدمة لمفتاح أمان غير متماثل 2048 على الأقل. طول المفتاح هذا هو شرط من فئة System.IdentityModel.Tokens.X509AsymmetricSecurityKey في .NET Framework. وإلا، يتم طرح الاستثناء التالي: IDX10630: لا يمكن أن يكون 'System.IdentityModel.Tokens.X509AsymmetricSecurityKey' للتوقيع أصغر من '2048' بت.

استخدام خدمة تسليم الترخيص/المفتاح بخلاف Media Services

يمكنك تحرير قوالب نهج المفاتيح إذا كنت تريد استخدام ترخيص/خدمة تسليم مفاتيح مختلفة.

الكيفية والبرامج التعليمية والعينات

يوضح لك نموذج .Net Digital Rights Management كيفية تنفيذ نظام DRM متعدد باستخدام Media Services v3 باستخدام .NET.

هناك عينات إضافية لحماية المحتوى متاحة Node.JS وPython:

Node.JS Python الوصف
Node.JS تحميل وبث HLS و DASH باستخدام PlayReady وWidevine DRM Python Upload وبث HLS و DASH باستخدام PlayReady وWidevine DRM يوضح طريقة التشفير والبث باستخدام Widevine وPlayReady DRM
حماية محتوىNode.JS Basic Playready DRM ودفقه حماية محتوى Python Basic Playready DRM ودفقه يوضح كيفية الترميز والدفق باستخدام PlayReady DRM
Node.JS حماية محتوى Widevine DRM الأساسي ودفقه حماية محتوى Python Basic Widevine DRM ودفقه يوضح كيفية الترميز والدفق باستخدام Widevine DRM

الحصول على التعليمات والدعم

يمكنك الاتصال بخدمات الوسائط مع الأسئلة أو متابعة تحديثاتنا بإحدى الطرق التالية: