快速入门:使用门户加密内容

媒体服务徽标 v3


警告

Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南

使用 Azure 媒体服务在媒体从计算机离开一直到存储、处理和传送的整个过程中帮助保护其安全。 借助媒体服务,可以传送使用高级加密标准 (AES-128) 或三个主要数字版权管理 (DRM) 系统(Microsoft PlayReady、Google Widevine 和 Apple FairPlay)中任意一个动态加密的实时和请求内容。 FairPlay Streaming 是 Apple 的一项技术,仅适用于在 iOS 设备、Apple TV 和 macOS 上的 Safari 中通过 HTTP Live Streaming (HLS) 传输的视频。 媒体服务还提供了用于向已授权客户端传送 AES 密钥和 DRM(PlayReady、Widevine 和 FairPlay)许可证的服务。

若要在流上指定加密选项(如果有),请使用流式处理策略并将其与流式处理定位符相关联。 可创建内容密钥策略来配置将内容密钥(提供对资产的安全访问)传送给最终客户端的方式 。 需要在内容密钥策略上设置要求(限制),必须满足这些要求才能将具有指定配置的密钥传送给客户端。

注意

清除流式处理或下载时无需使用内容密钥策略。

播放器请求流时,媒体服务将通过 AES 明文密钥或 DRM 加密使用指定的密钥来动态加密内容。 为了解密流,播放器将从媒体服务密钥传送服务或者指定的密钥传送服务请求密钥。 为了确定是否已授权用户获取密钥,服务将评估你为密钥指定的内容密钥策略。

本快速入门介绍如何创建内容密钥策略,你可在此策略中指定在对资产进行流式处理时应对资产采用哪些加密。 此快速入门还介绍了如何在资产上设置配置加密。

建议的读前准备

创建内容密钥策略

创建内容密钥策略来配置将内容密钥(提供对资产的安全访问)传送给最终客户端的方式 。

  1. 登录到 Azure 门户
  2. 导航到要使用的媒体服务帐户。
  3. 选择“内容密钥策略”。
  4. 选择“+ 添加内容密钥策略”。 此时将显示“创建内容密钥策略”窗口。
  5. 选择加密选项。 通过选择数字版权管理 (DRM) 和/或高级加密标准 (AES),选择保护你的媒体。
  6. 无论你选择的是 DRM 选项之一还是 AES-128 明文密钥选项,系统都会要求你指定配置限制的方式。 可选择具有开放或令牌限制。 有关详细说明,请参阅控制内容访问

添加 DRM 内容密钥

可选择使用 Microsoft PlayReady 和/或 Google Widevine 或 Apple FairPlay 保护内容。 每种许可证交付类型都会基于加密格式的凭据来验证内容密钥。

许可证模板

要详细了解许可证模板,请参阅:

添加 AES 明文密钥

还可将 AES-128 明文密钥加密添加到内容中。 内容密钥以未加密的格式传输到客户端。

为资产创建流式处理定位符

  1. 导航到要使用的媒体服务帐户。
  2. 选择“资产”。
  3. 从资产列表中选择要加密的资产。
  4. 在所选资产的“流式处理定位符”部分中,选择“+ 新建流式处理定位符”。 此时会显示“添加流式处理定位符”屏幕。
  5. 选择适用于配置的内容密钥策略的流式处理策略 。
  6. 选择适当的流式处理策略后,可从下拉列表中选择内容密钥策略。 例如,若要能够使用 AES ClearKey 策略,必须从“流式处理策略”下拉列表中选择 Predefined_ClearKey。
  7. 选择“添加”,将流式处理定位符添加到资产。 该操作将发布资产并生成流式处理 URL。

清理资源

如果想学习其他快速入门,请保留创建的资源。 否则,请转到 Azure 门户,浏览到资源组,选择运行本快速入门所用的资源组,并删除所有资源。

隐藏式字幕、副标题和定时元数据传递的安全注意事项

Azure 媒体服务的动态加密和 DRM 功能在尝试保护包含实时听录、隐藏式字幕、字幕或定时元数据的内容传递时存在一些限制。 DRM 子系统(包括 PlayReady、FairPlay 和 Widevine)不支持文本跟踪的加密和许可。 如果文本跟踪缺少 DRM 加密,则对实时听录、手动插入的隐藏式字幕、上传的字幕或可作为单独跟踪插入的定时元数据信号等内容的保护能力将会受限。

若要保护字幕、副标题或定时元数据轨道,请遵循以下准则:

  1. 使用 AES-128 明文密钥加密。 启用 AES-128 明文密钥加密时,可以将文本跟踪配置为使用与音频和视频段遵循相同加密模式的完整“信封”加密技术进行加密。 然后,在使用经过身份验证的 JWT 令牌从媒体服务密钥传送服务请求解密密钥后可以解密这些段。 此方法受 Azure Media Player 支持,但可能并非在所有设备上都受支持,并且可能需要一些客户端开发工作,以确保它在所有平台上都成功。
  2. 使用 CDN 令牌身份验证来保护通过短格式标记的 URL 传递的文本(字幕、隐藏式字幕、元数据)跟踪,这些 URL 仅限 CDN 门户中的地理位置、IP 或其他可配置设置。 启用使用 Verizon 高级 CDN 或已配置为连接到媒体服务流式处理终结点的其他第三方 CDN 的 CDN 安全功能。

警告

如果不遵循上述准则之一,则副标题、字幕或定时元数据文本将作为未加密的内容访问,这些内容可能会在预期的客户端传送路径之外截获或共享。 这可能会导致信息泄漏。 如果担心字幕或副标题的内容在安全交付场景中泄露,请联系媒体服务支持团队,了解有关保护内容传递的上述指南的详细信息。

获得帮助和支持

如果有任何疑问,可以联系媒体服务,或者使用以下方法之一关注我们的更新: