Udostępnij za pośrednictwem


Szybki start: szyfrowanie zawartości przy użyciu portalu

Logo usługi Media Services w wersji 3


Ostrzeżenie

Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.

Użyj usługi Azure Media Services, aby zabezpieczyć nośnik od czasu opuszczenia komputera przez magazyn, przetwarzanie i dostarczanie. Za pomocą usługi Media Services można dynamicznie dostarczać zawartość na żywo i na żądanie za pomocą standardu Advanced Encryption Standard (AES-128) lub dowolnego z trzech głównych systemów zarządzania prawami cyfrowymi (DRM): Technologia PlayReady firmy Microsoft, Google Widevine i Apple FairPlay. Technologia FairPlay Streaming to technologia firmy Apple, która jest dostępna tylko dla wideo przesyłanego za pośrednictwem HTTP Live Streaming (HLS) na urządzeniach z systemem iOS, w usłudze Apple TV i w przeglądarce Safari w systemie macOS. Usługa Media Services udostępnia również usługę dostarczania kluczy AES i licencji DRM (PlayReady, Widevine i FairPlay) autoryzowanym klientom.

Aby określić opcje szyfrowania (jeśli istnieją) w strumieniu, należy użyć zasad przesyłania strumieniowego i skojarzyć je z lokalizatorem przesyłania strumieniowego. Utworzysz zasady klucza zawartości , aby skonfigurować sposób dostarczania klucza zawartości (zapewniającego bezpieczny dostęp do zasobów) klientom końcowym. Należy ustawić wymagania (ograniczenia) dotyczące zasad klucza zawartości, które muszą zostać spełnione, aby klucze z określoną konfiguracją były dostarczane do klientów.

Uwaga

Zasady klucza zawartości nie są potrzebne do czyszczenia przesyłania strumieniowego ani pobierania.

Gdy odtwarzacz zażąda strumienia, usługa Media Services używa określonego klucza do dynamicznego szyfrowania zawartości przy użyciu klucza jasnego AES lub szyfrowania DRM. Aby odszyfrować strumień, odtwarzacz żąda klucza z usługi dostarczania kluczy usługi Media Services lub określonej usługi dostarczania kluczy. Aby zdecydować, czy użytkownik ma autoryzację do pobrania klucza, usługa ocenia zasady klucza zawartości określone dla klucza.

W tym przewodniku Szybki start pokazano, jak utworzyć zasady klucza zawartości, w których określasz, jakie szyfrowanie ma być stosowane do zasobu podczas przesyłania strumieniowego. W przewodniku Szybki start pokazano również, jak ustawić skonfigurowane szyfrowanie dla zasobu.

Sugerowane wstępne czytanie

Tworzenie zasad klucza zawartości

Utwórz zasady klucza zawartości , aby skonfigurować sposób dostarczania klucza zawartości (zapewniającego bezpieczny dostęp do zasobów) klientom końcowym.

  1. Zaloguj się do witryny Azure Portal.
  2. Przejdź do konta usługi Media Services, z którym chcesz pracować.
  3. Wybierz pozycję Zasady klucza zawartości.
  4. Wybierz pozycję + Dodaj zasady klucza zawartości. Zostanie wyświetlone okno Tworzenie zasad klucza zawartości .
  5. Wybierz opcje szyfrowania. Możesz wybrać ochronę nośnika, wybierając opcję zarządzania prawami cyfrowymi (DRM), standardu szyfrowania zaawansowanego (AES) lub obu tych opcji.
  6. Niezależnie od tego, czy wybrano jedną z opcji DRM, czy opcję klucza clear key AES-128, zostanie wyświetlony monit o określenie sposobu konfigurowania ograniczeń. Możesz wybrać ograniczenie dotyczące otwierania lub tokenu. Aby uzyskać szczegółowe wyjaśnienie, zobacz Kontrolowanie dostępu do zawartości.

Dodawanie klucza zawartości DRM

Możesz chronić swoją zawartość za pomocą Technologia PlayReady firmy Microsoft i/lub Google Widevine lub Apple FairPlay. Każdy typ dostarczania licencji zweryfikuje klucze zawartości na podstawie poświadczeń w formacie zaszyfrowanym.

Szablony licencji

Aby uzyskać szczegółowe informacje na temat szablonów licencji, zobacz:

Dodawanie klucza czyszczenia AES

Możesz również dodać szyfrowanie klucza AES-128 do zawartości. Klucz zawartości jest przesyłany do klienta w formacie niezaszyfrowanym.

Tworzenie lokalizatora przesyłania strumieniowego dla zasobu

  1. Przejdź do konta usługi Media Services, z którym chcesz pracować.
  2. Wybierz pozycję Zasoby.
  3. Z listy zasobów wybierz ten, który chcesz zaszyfrować.
  4. W sekcji Lokalizatory przesyłania strumieniowego dla wybranego elementu zawartości wybierz pozycję + Nowy lokalizator przesyłania strumieniowego. Zostanie wyświetlony ekran Dodawanie lokalizatora przesyłania strumieniowego.
  5. Wybierz zasady przesyłania strumieniowego odpowiednie dla skonfigurowanych zasad klucza zawartości .
  6. Po wybraniu odpowiednich zasad przesyłania strumieniowego możesz wybrać zasady klucza zawartości z listy rozwijanej. Aby na przykład móc używać zasad AES ClearKey, należy wybrać Predefined_ClearKey z listy rozwijanej Zasady przesyłania strumieniowego .
  7. Wybierz pozycję Dodaj , aby dodać lokalizator przesyłania strumieniowego do zasobu. Spowoduje to opublikowanie elementu zawartości i wygenerowanie adresów URL przesyłania strumieniowego.

Oczyszczanie zasobów

Jeśli zamierzasz wypróbować inne przewodniki Szybki start, musisz trzymać się utworzonych zasobów. W przeciwnym razie przejdź do Azure Portal, przejdź do grup zasobów, wybierz grupę zasobów, w ramach której uruchomiono ten przewodnik Szybki start, i usuń wszystkie zasoby.

Zagadnienia dotyczące zabezpieczeń dotyczące podpisów, napisów i dostarczania metadanych o czasie

Funkcje szyfrowania dynamicznego i drM usługi Azure Media Services mają ograniczenia do rozważenia podczas próby zabezpieczenia dostarczania zawartości, która obejmuje transkrypcje na żywo, transkrypcje, napisy lub metadane czasowe. Podsystemy DRM, w tym PlayReady, FairPlay i Widevine, nie obsługują szyfrowania i licencjonowania ścieżek tekstowych. Brak szyfrowania DRM do szyfrowania tekstu ogranicza możliwość zabezpieczenia zawartości transkrypcji na żywo, ręcznych wstawionych podpisów, przekazanych napisów lub sygnałów metadanych z czasem, które mogą być wstawione jako oddzielne ścieżki.

Aby zabezpieczyć podpisy, napisy lub ścieżki metadanych w czasie, postępuj zgodnie z następującymi wytycznymi:

  1. Użyj szyfrowania AES-128 Clear Key. Podczas włączania szyfrowania klucza zwykłego AES-128 ścieżki tekstowe można skonfigurować do szyfrowania przy użyciu pełnej techniki szyfrowania "koperta", która jest zgodna z tym samym wzorcem szyfrowania co segmenty audio i wideo. Te segmenty można następnie odszyfrować przez aplikację kliencką po zażądaniu klucza odszyfrowywania z usługi Dostarczania kluczy usługi Media Services przy użyciu uwierzytelnionego tokenu JWT. Ta metoda jest obsługiwana przez usługę Azure Media Player, ale może nie być obsługiwana na wszystkich urządzeniach i może wymagać pewnych prac programistycznych po stronie klienta, aby upewnić się, że zakończy się pomyślnie na wszystkich platformach.
  2. Użyj uwierzytelniania tokenu usługi CDN, aby chronić tekst (napisy, podpisy, metadane) dostarczane przy użyciu krótkich tokenizowanych adresów URL, które są ograniczone do ustawień geograficznych, IP lub innych konfigurowalnych ustawień w portalu usługi CDN. Włącz funkcje zabezpieczeń usługi CDN przy użyciu usługi Verizon Premium CDN lub innej firmy CDN skonfigurowanej do łączenia się z punktami końcowymi przesyłania strumieniowego usługi Media Services.

Ostrzeżenie

Jeśli nie zastosujesz się do jednej z powyższych wytycznych, napisy, napisy lub tekst metadanych o czasie będą dostępne jako niezaszyfrowana zawartość, która może zostać przechwycona lub udostępniona poza zamierzoną ścieżką dostarczania klienta. Może to spowodować wyciek informacji. Jeśli obawiasz się, że zawartość podpisów lub napisów wyciekła w bezpiecznym scenariuszu dostarczania, skontaktuj się z zespołem pomocy technicznej usługi Media Services, aby uzyskać więcej informacji na temat powyższych wytycznych dotyczących zabezpieczania dostarczania zawartości.

Uzyskiwanie pomocy i obsługi technicznej

Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami, korzystając z jednej z następujących metod: