Поделиться через

Краткое руководство. Шифрование содержимого с помощью портала

  • Статья

Логотип Служб мультимедиа версии 3

Предупреждение

Поддержка Служб мультимедиа Azure будет прекращена 30 июня 2024 г. Дополнительные сведения см. в руководстве по прекращению поддержки AMS.

Службы мультимедиа Azure помогут вам защитить данные мультимедиа, покидающие ваш компьютер, на всех этапах хранения, обработки и доставки, а также доставлять в режиме реального времени и по требованию содержимое, зашифрованное динамически с помощью Advanced Encryption Standard (AES-128) или трех основных систем управления цифровыми правами (DRM): Microsoft PlayReady, Google Widevine и Apple FairPlay. FairPlay Streaming — это технология Apple, которая доступна только для видео, передаваемого через HTTP Live Streaming (HLS) на устройствах iOS, в Apple TV и в Safari на macOS. Они также обеспечивают службу доставки ключей AES и лицензий DRM (PlayReady, Widevine и FairPlay) авторизованным клиентам.

Чтобы задать параметры шифрования для потока, примените политику потоковой передачи и свяжите ее с указателем потоковой передачи. Создаваемая политика ключа содержимого позволяет настроить способ доставки ключа содержимого (который обеспечивает безопасный доступ к ресурсам) клиентам. Необходимо настроить требования (ограничения) для политики ключа содержимого, которые должны соблюдаться для доставки ключей с указанной конфигурацией.

Примечание

Политика ключа содержимого не требуется при незащищенной потоковой передаче или скачивании.

Когда поток запрашивается проигрывателем, Службы мультимедиа используют указанный ключ для динамического шифрования содержимого с помощью незащищенного ключа AES или DRM. Чтобы расшифровать поток, проигрыватель запросит ключ у службы доставки ключей служб мультимедиа или в указанной вами службе доставки ключей. Чтобы определить, есть ли у пользователя право на получение ключа, служба оценивает политику ключа содержимого, которую вы задали для ключа.

В этом кратком руководстве показано, как создать политику ключа содержимого с указанием шифрования, которое нужно применять к ресурсу при его потоковой передаче. Также в этом кратком руководстве показано, как связать настроенное шифрование с ресурсом.

Рекомендуемые материалы для предварительного ознакомления

Создание политики ключа содержимого

Создайте политику ключа содержимого, чтобы настроить способ доставки ключа содержимого (который обеспечивает безопасный доступ к ресурсам) клиентам.

  1. Войдите на портал Azure.
  2. Перейдите к учетной записи Служб мультимедиа, с которой вы хотите работать.
  3. Выберите Политики ключей содержимого.
  4. Выберите + Добавить политику ключей содержимого. Откроется окно Create a content key policy (Создание политики ключа содержимого).
  5. Выберите варианты шифрования. Для защиты мультимедийного содержимого можно выбрать технологию DRM (управление цифровыми правами) и (или) AES.
  6. Если вы выберете хотя бы один из вариантов (DRM или незащищенный ключ AES-128), вам будет предложено указать способ настройки ограничений. Можно установить ограничение "открытого типа" или "по маркеру". Подробное описание см. в разделе Управление доступом к содержимому.

Добавление ключа содержимого DRM

В качестве средства защиты содержимого вы можете выбрать Microsoft PlayReady и (или) Google Widevine либо Apple FairPlay. Каждый тип доставки лицензий будет проверять ключи содержимого на основе учетных данных в зашифрованном формате.

Шаблоны лицензий

Дополнительные сведения о шаблонах лицензий см. в статье:

Добавление незащищенного ключа AES

Вы также можете добавить шифрование содержимого незащищенным ключом AES-128. Ключ содержимого передается клиенту в незашифрованном формате.

Создание указателя потоковой передачи для ресурса

  1. Перейдите к учетной записи Служб мультимедиа, с которой вы хотите работать.
  2. Выберите Ресурсы.
  3. В списке ресурсов выберите тот, который нужно зашифровать.
  4. В разделе Указатели потоковой передачи для выбранного ресурса выберите + Новый указатель потоковой передачи. Откроется экран Добавление указателя потоковой передачи.
  5. Выберите политику потоковой передачи, которая лучше всего подходит для настроенной политики ключа содержимого.
  6. Выбрав соответствующую политику потоковой передачи, можно выбрать политику ключей содержимого из раскрывающегося списка. Например, чтобы иметь возможность использовать политику AES ClearKey, необходимо выбрать Predefined_ClearKey в раскрывающемся списке Политика потоковой передачи .
  7. Щелкните Добавить, чтобы добавить указатель потоковой передачи в ресурс. Это действие запускает публикацию ресурса и создание URL-адресов потоковой передачи.

Очистка ресурсов

Если вы планируете поработать и с другими краткими руководствами, созданные ресурсы следует сохранить. В противном случае зайдите на портал Azure, откройте список групп ресурсов, выберите группу, в которой работали с этим кратким руководством, и удалите все ресурсы.

Рекомендации по обеспечению безопасности для доставки скрытых субтитров, субтитров и метаданных времени

Функции динамического шифрования и DRM Служб мультимедиа Azure имеют ограничения, которые следует учитывать при попытке защитить доставку содержимого, включая записи в реальном времени, заголовки, субтитры или метаданные времени. Подсистемы DRM, включая PlayReady, FairPlay и Widevine, не поддерживают шифрование и лицензирование текстовых дорожек. Отсутствие шифрования DRM для текстовых дорожек ограничивает возможность защиты содержимого интерактивного транскрибирования, вставленных вручную заголовков, отправленных субтитров или сигналов метаданных времени, которые можно вставить как отдельные дорожки.

Для защиты надписей, субтитров или дорожек с метаданными времени следуйте одному из следующих правил:

  1. Используйте шифрование с незащищенным ключом AES-128. Включив шифрования с незащищенным ключом AES-128, можно настроить шифрование текстовых дорожек с помощью полной методики шифрования типа "конверт", которая соответствует тому же шаблону шифрования, что и сегменты аудио и видео. Затем эти сегменты можно расшифровать с помощью клиентского приложения после запрашивания ключа расшифровки из службы доставки ключей Служб мультимедиа, используя токен JWT, прошедший проверку подлинности. Этот метод поддерживается Проигрывателем мультимедиа Azure, но может поддерживаться не всеми устройствами и требовать выполнения некоторых задач разработки на стороне клиента, чтобы убедиться, что метод работает на всех платформах.
  2. Используйте проверку подлинности на основе маркеров CDN для защиты дорожек текста (субтитров, заголовков, метаданных), доставляемых с помощью сокращенных URL-адресов с маркерами, которые ограничены параметрами географической области, IP-адреса или другими настраиваемыми параметрами на портале CDN. Включите функции безопасности CDN, используя CDN от Verizon Premium или другие сторонние решения CDN, настроенные для подключения к конечным точкам потоковой передачи Служб мультимедиа.

Предупреждение

Если вы не будете следовать одному из описанных выше правил, текст субтитров, заголовков или метаданных времени будет доступен в виде незашифрованного содержимого, которое можно перехватить или к которому можно предоставить общий доступ вне предполагаемого пути доставки клиента. Это может привести к утечке информации. Если вы беспокоитесь о том, что в сценарии безопасной доставки произойдет утечка содержимого заголовков или субтитров, обратитесь в службу технической поддержки Служб мультимедиа, чтобы получить дополнительные сведения об указанных выше правилах защиты доставки содержимого.

Справка и поддержка

Вы можете обратиться к Службам мультимедиа с вопросами или следить за нашими обновлениями одним из следующих способов: