Übersicht über den InhaltsschutzContent protection overview

Media Services-Logomedia services logo


Hinweis

Media Services v2 werden derzeit keine neuen Features oder Funktionen hinzugefügt.No new features or functionality are being added to Media Services v2.
Sehen Sie sich die neuste Version – Media Services v3 – an.Check out the latest version, Media Services v3. Lesen Sie außerdem die Hinweise zur Migration von v2 zu v3.Also, see migration guidance from v2 to v3

Mit Azure Media Services können Sie Ihre Medien ab dem Zeitpunkt, an dem sie Ihren Computer verlassen, während des gesamten Prozesses der Speicherung, Verarbeitung und Übermittlung sichern.You can use Azure Media Services to secure your media from the time it leaves your computer through storage, processing, and delivery. Mit Media Services können Sie Ihre zu übermittelnden Live- und On-Demand-Inhalte dynamisch mit Advanced Encryption Standard (AES-128) oder einem der drei wichtigsten DRM-Systeme verschlüsseln: Microsoft PlayReady, Google Widevine und Apple FairPlay.With Media Services, you can deliver your live and on-demand content encrypted dynamically with Advanced Encryption Standard (AES-128) or any of the three major digital rights management (DRM) systems: Microsoft PlayReady, Google Widevine, and Apple FairPlay. Media Services bietet auch einen Dienst für die Übermittlung von AES-Schlüsseln und DRM-Lizenzen (PlayReady, Widevine und FairPlay) an autorisierte Clients.Media Services also provides a service for delivering AES keys and DRM (PlayReady, Widevine, and FairPlay) licenses to authorized clients.

Die folgende Abbildung veranschaulicht den Media Services-Workflow zum Schutz von Inhalten:The following image illustrates the Media Services content protection workflow:

Schützen mit PlayReady

Dieser Artikel erläutert die relevanten Konzepte und Begriffe für den Inhaltsschutz mit Media Services.This article explains concepts and terminology relevant to understanding content protection with Media Services. Der Artikel enthält auch Links zu Artikeln, in denen es um den Schutz von Inhalten geht.The article also provides links to articles that discuss how to protect content.

Dynamische VerschlüsselungDynamic encryption

Mit Media Services können Sie Ihre zu übermittelnden Inhalte dynamisch mit unverschlüsselten AES-Schlüsseln oder per DRM-Verschlüsselung über Microsoft PlayReady, Google Widevine oder FairPlay verschlüsseln.You can use Media Services to deliver your content encrypted dynamically with AES clear key or DRM encryption by using PlayReady, Widevine, or FairPlay. Inhalt, der mit einem unverschlüsselten AES-Schlüssel verschlüsselt und per HTTPS gesendet wird, bleibt verschlüsselt, bis er den Client erreicht.If content is encrypted with an AES clear key and is sent over HTTPS, it is not in clear until it reaches the client.

Jedes Verschlüsselungsverfahren unterstützt die folgenden Streamingprotokolle:Each encryption method supports the following streaming protocols:

  • AES: MPEG-DASH, Smooth Streaming und HLSAES: MPEG-DASH, Smooth Streaming, and HLS
  • PlayReady: MPEG-DASH, Smooth Streaming und HLSPlayReady: MPEG-DASH, Smooth Streaming, and HLS
  • Widevine: MPEG-DASHWidevine: MPEG-DASH
  • FairPlay: HLSFairPlay: HLS

Die Verschlüsselung für progressive Downloads wird nicht unterstützt.Encryption on progressive downloads is not supported.

Wenn Sie ein Medienobjekt verschlüsseln möchten, müssen Sie dem Medienobjekt einen Inhaltsschlüssel für die Verschlüsselung zuordnen und außerdem eine Autorisierungsrichtlinie für den Schlüssel konfigurieren.To encrypt an asset, you need to associate an encryption content key with your asset and also configure an authorization policy for the key. Inhaltsschlüssel können angegeben oder von Media Services automatisch generiert werden.Content keys can be specified or automatically generated by Media Services.

Außerdem müssen Sie die Übermittlungsrichtlinie des Medienobjekts konfigurieren.You also need to configure the asset's delivery policy. Wenn Sie ein speicherverschlüsseltes Medienobjekt streamen möchten, geben Sie an, wie die Übermittlung erfolgen soll, indem Sie die Richtlinie für die Übermittlung von Medienobjekten konfigurieren.If you want to stream a storage-encrypted asset, make sure to specify how you want to deliver it by configuring the asset delivery policy.

Wenn ein Player einen Stream anfordert, verwendet Media Services den angegebenen Schlüssel, um den Inhalt dynamisch mit einem unverschlüsselten AES-Schlüssel oder per DRM-Verschlüsselung zu verschlüsseln.When a stream is requested by a player, Media Services uses the specified key to dynamically encrypt your content by using AES clear key or DRM encryption. Um den Stream zu entschlüsseln, fordert der Player den Schlüssel vom Media Services-Schlüsselübermittlungsdienst an.To decrypt the stream, the player requests the key from Media Services key delivery service. Um zu entscheiden, ob der Benutzer berechtigt ist, den Schlüssel zu erhalten, wertet der Dienst die Autorisierungsrichtlinien aus, die Sie für den Schlüssel angegeben haben.To decide whether or not the user is authorized to get the key, the service evaluates the authorization policies that you specified for the key.

Unverschlüsselter AES-128-Schlüssel im Vergleich zu DRMAES-128 clear key vs. DRM

Kunden fragen sich oft, ob sie die AES-Verschlüsselung oder ein DRM-System verwenden sollten.Customers often wonder whether they should use AES encryption or a DRM system. Der Hauptunterschied zwischen den beiden Systemen besteht darin, dass bei der AES-Verschlüsselung der Inhaltsschlüssel in unverschlüsseltem Format (als Klartext) an den Client übertragen wird.The primary difference between the two systems is that with AES encryption the content key is transmitted to the client in an unencrypted format ("in the clear"). So kann der Schlüssel zur Verschlüsselung des Inhalts in einer Netzwerkablaufverfolgung auf dem Client als unverschlüsselter Text angezeigt werden.As a result, the key used to encrypt the content can be viewed in a network trace on the client in plain text. Die Verschlüsselung mit einem unverschlüsselten AES-128-Schlüssel eignet sich für Anwendungsfälle, in denen der Betrachter vertrauenswürdig ist (z.B. bei Unternehmensvideos, die innerhalb eines Unternehmens verteilt und von Mitarbeitern angesehen werden).AES-128 clear key encryption is suitable for use cases where the viewer is a trusted party (for example, encrypting corporate videos distributed within a company to be viewed by employees).

PlayReady, Widevine und FairPlay bieten alle eine höhere Verschlüsselungsstufe als die Verschlüsselung mit dem unverschlüsselten AES-128-Schlüssel.PlayReady, Widevine, and FairPlay all provide a higher level of encryption compared to AES-128 clear key encryption. Der Inhaltsschlüssel wird in einem verschlüsselten Format übertragen.The content key is transmitted in an encrypted format. Zusätzlich erfolgt die Entschlüsselung in einer sicheren Umgebung auf Betriebssystemebene, wo ein Angriff durch einen böswilligen Benutzer schwieriger auszuführen ist.Additionally, decryption is handled in a secure environment at the operating system level, where it's more difficult for a malicious user to attack. DRM wird für Anwendungsfälle empfohlen, in denen der Betrachter möglicherweise nicht vertrauenswürdig ist und Sie ein Höchstmaß an Sicherheit benötigen.DRM is recommended for use cases where the viewer might not be a trusted party and you require the highest level of security.

SpeicherverschlüsselungStorage encryption

Sie können die Speicherverschlüsselung verwenden, um Ihre unverschlüsselten Inhalte lokal per AES-Verschlüsselung mit 256 Bit zu verschlüsseln.You can use storage encryption to encrypt your clear content locally by using AES 256-bit encryption. Danach können Sie die Inhalte in Azure Storage hochladen, wo sie im Ruhezustand verschlüsselt gespeichert werden.You then can upload it to Azure Storage, where it's stored encrypted at rest. Medienobjekte, die durch die Speicherverschlüsselung geschützt sind, werden vor der Codierung automatisch entschlüsselt und in einem verschlüsselten Dateisystem platziert.Assets protected with storage encryption are automatically unencrypted and placed in an encrypted file system prior to encoding. Vor dem Hochladen als neue Ausgabemedienobjekte können sie optional erneut verschlüsselt werden.The assets are optionally re-encrypted prior to uploading back as a new output asset. Der primäre Anwendungsfall für Storage Encryption ist, wenn Sie Ihre qualitativ hochwertigen Eingabemediendateien mit starker Verschlüsselung beim Speichern im Ruhezustand auf dem Datenträger sichern möchten.The primary use case for storage encryption is when you want to secure your high-quality input media files with strong encryption at rest on disk.

Um ein speicherverschlüsseltes Medienobjekt zu übermitteln, müssen Sie die Übermittlungsrichtlinie des Medienobjekts konfigurieren und Media Services so mitteilen, wie die Inhalte bereitgestellt werden sollen.To deliver a storage-encrypted asset, you must configure the asset's delivery policy so that Media Services knows how you want to deliver your content. Bevor das Medienobjekt gestreamt werden kann, entschlüsselt und streamt der Streamingserver den Inhalt mithilfe der angegebenen Übermittlungsrichtlinie (z.B. AES, Common Encryption oder unverschlüsselt).Before your asset can be streamed, the streaming server decrypts and streams your content by using the specified delivery policy (for example, AES, common encryption, or no encryption).

Arten der VerschlüsselungTypes of encryption

PlayReady und Widevine nutzen Common Encryption (AES-CTR-Modus).PlayReady and Widevine utilize common encryption (AES CTR mode). FairPlay nutzt die Verschlüsselung im AES-CBC-Modus.FairPlay utilizes AES CBC-mode encryption. Die Verschlüsselung mit unverschlüsseltem AES-128-Schlüssel verwendet die Umschlagverschlüsselung.AES-128 clear key encryption utilizes envelope encryption.

Dienst für die Übermittlung von Lizenzen und SchlüsselnLicenses and keys delivery service

Media Services bietet einen Schlüsselübermittlungsdienst zum Übermitteln von DRM-Lizenzen (PlayReady, Widevine und FairPlay) und unverschlüsselten AES-Schlüsseln an autorisierte Clients.Media Services provides a key delivery service for delivering DRM (PlayReady, Widevine, FairPlay) licenses and AES keys to authorized clients. Zum Konfigurieren von Autorisierungs- und Authentifizierungsrichtlinien für Ihre Lizenzen und Schlüssel können Sie das Azure-Portal, die REST-API oder das Media Services SDK für .NET verwenden.You can use the Azure portal, the REST API, or the Media Services SDK for .NET to configure authorization and authentication policies for your licenses and keys.

Steuern des Zugriffs auf InhalteControl content access

Sie können steuern, wer Zugriff auf Ihre Inhalte hat, indem Sie die Autorisierungsrichtlinie für Inhaltsschlüssel konfigurieren.You can control who has access to your content by configuring the content key authorization policy. Die Autorisierungsrichtlinie für Inhaltsschlüssel unterstützt entweder eine offene oder eine Tokenbeschränkung.The content key authorization policy supports either open or token restriction.

Offene AutorisierungOpen authorization

Bei einer offenen Autorisierungsrichtlinie wird der Inhaltsschlüssel an jeden Client gesendet (keine Einschränkung).With an open authorization policy, the content key is sent to any client (no restriction).

TokenautorisierungToken authorization

Bei einer Autorisierungsrichtlinie mit Tokeneinschränkung wird der Inhaltsschlüssel nur an einen Client gesendet, der in der Schlüssel-/Lizenzanforderung ein gültiges JWT (JSON Web Token) oder SWT (Simple Web Token) präsentiert.With a token-restricted authorization policy, the content key is sent only to a client that presents a valid JSON Web Token (JWT) or simple web token (SWT) in the key/license request. Dieses Token muss von einem Sicherheitstokendienst ausgestellt werden.This token must be issued by a security token service (STS). Sie können Azure Active Directory als Sicherheitstokendienst verwenden oder einen benutzerdefinierten Sicherheitstokendienst bereitstellen.You can use Azure Active Directory as an STS or deploy a custom STS. Der STS muss für die Erstellung eines mit dem angegebenen Schlüssel signierten Tokens und die Ausstellungsansprüche konfiguriert sein, die Sie in der Konfiguration der Tokeneinschränkung angegeben haben.The STS must be configured to create a token signed with the specified key and issue claims that you specified in the token restriction configuration. Der Schlüsselübermittlungsdienst von Media Services gibt den angeforderten Schlüssel bzw. die Lizenz an den Client zurück, wenn das Token gültig ist und die Ansprüche im Token mit den für den Schlüssel bzw. die Lizenz konfigurierten Ansprüchen übereinstimmen.The Media Services key delivery service returns the requested key/license to the client if the token is valid and the claims in the token match those configured for the key/license.

Bei der Konfiguration der Richtlinie mit Tokeneinschränkung müssen die Parameter für den primären Verifizierungsschlüssel (primary verification key), den Aussteller (issuer) und die Zielgruppe (audience) angegeben werden.When you configure the token restricted policy, you must specify the primary verification key, issuer, and audience parameters. Der primäre Verifizierungsschlüssel enthält den Schlüssel, mit dem das Token signiert wurde.The primary verification key contains the key that the token was signed with. Der Aussteller ist der Sicherheitstokendienst, der das Token ausstellt.The issuer is the secure token service that issues the token. „Audience“ (manchmal auch „Scope“) beschreibt den Verwendungszweck des Tokens oder die Ressource, auf die durch das Token Zugriff gewährt wird.The audience, sometimes called scope, describes the intent of the token or the resource the token authorizes access to. Der Schlüsselübermittlungsdienst von Media Services überprüft, ob die Werte im Token mit den Werten in der Vorlage übereinstimmen.The Media Services key delivery service validates that these values in the token match the values in the template.

Verhindern der TokenwiedergabeToken replay prevention

Mit dem Feature zum Verhindern der Tokenwiedergabe können Media Services-Kunden einen Grenzwert festlegen, der bestimmt, wie oft ein Token zum Anfordern eines Schlüssels oder einer Lizenz verwendet werden kann.The Token Replay Prevention feature allows Media Services customers to set a limit on how many times the same token can be used to request a key or a license. Der Kunde kann einen Anspruch vom Typ urn:microsoft:azure:mediaservices:maxuses im Token hinzufügen, wobei der Wert die Häufigkeit ist, mit der das Token für den Erwerb einer Lizenz oder eines Schlüssels verwendet werden kann.The customer can add a claim of type urn:microsoft:azure:mediaservices:maxuses in the token, where the value is the number of times the token can be used to acquire a license or key. Bei allen nachfolgenden Anforderungen mit demselben Token für die Schlüsselbereitstellung wird eine nicht autorisierte Antwort zurückgegeben.All subsequent requests with the same token to Key Delivery will return an unauthorized response. Informationen zum Hinzufügen des Anspruchs finden Sie im DRM-Beispiel.See how to add the claim in the DRM sample.

ÜberlegungenConsiderations

  • Kunden müssen die Kontrolle über die Tokengenerierung haben.Customers must have control over token generation. Der Anspruch muss in das Token selbst eingefügt werden.The claim needs to be placed in the token itself.
  • Bei Verwendung dieser Funktion werden Anforderungen mit Token, deren Ablaufzeit mehr als eine Stunde vor dem Zeitpunkt liegt, zu dem die Anforderung empfangen wird, werden mit der Antwort „nicht autorisiert“ abgelehnt.When using this feature, requests with tokens whose expiry time is more than one hour away from the time the request is received are rejected with an unauthorized response.
  • Token werden durch ihre Signatur eindeutig identifiziert.Tokens are uniquely identified by their signature. Jede Änderung an der Nutzlast (z. B. eine Aktualisierung der Ablaufzeit oder des Anspruchs) ändert die Signatur des Tokens, und es zählt als ein neues Token, das bei der Schlüsselbereitstellung zuvor noch nicht aufgetreten ist.Any change to the payload (for example, update to the expiry time or the claim) changes the signature of the token and it will count as a new token that Key Delivery hasn't come across before.
  • Die Wiedergabe schlägt fehl, wenn das Token den vom Kunden festgelegten maxuses-Wert überschritten hat.Playback fails if the token has exceeded the maxuses value set by the customer.
  • Diese Funktion kann für alle vorhandenen geschützten Inhalte verwendet werden (nur das ausgegebene Token muss geändert werden).This feature can be used for all existing protected content (only the token issued needs to be changed).
  • Diese Funktion kann sowohl mit JWT als auch mit SWT verwendet werden.This feature works with both JWT and SWT.

Streaming-URLsStreaming URLs

Falls Ihr Medienobjekt mit mehreren DRM-Systemen verschlüsselt wurde, verwenden Sie in der Streaming-URL ein Verschlüsselungstag: (format='m3u8-aapl', encryption='xxx').If your asset was encrypted with more than one DRM, use an encryption tag in the streaming URL: (format='m3u8-aapl', encryption='xxx').

Es gelten die folgenden Bedingungen:The following considerations apply:

  • Es kann höchstens ein Verschlüsselungstyp angegeben werden.No more than one encryption type can be specified.

  • Der Verschlüsselungstyp muss nicht in der URL angegeben werden, wenn auf das Medienobjekt nur eine einzelne Verschlüsselung angewendet wurde.Encryption type doesn't have to be specified in the URL if only one encryption was applied to the asset.

  • Beim Verschlüsselungstyp wird die Groß-/Kleinschreibung nicht beachtet.Encryption type is case insensitive.

  • Folgende Verschlüsselungstypen können angegeben werden:The following encryption types can be specified:

    • cenc: Für PlayReady oder Widevine (Common Encryption)cenc: For PlayReady or Widevine (common encryption)
    • cbcs-aapl: Für FairPlay (AES-CBC-Verschlüsselung)cbcs-aapl: For FairPlay (AES CBC encryption)
    • cbc: Für AES-Umschlagverschlüsselungcbc: For AES envelope encryption

Zusätzliche HinweiseAdditional notes

  • Widevine ist ein von Google Inc. bereitgestellter Dienst, der den Vertragsbedingungen und der Datenschutzrichtlinie von Google, Inc. unterliegt.Widevine is a service provided by Google Inc. and subject to the terms of service and Privacy Policy of Google, Inc.

Nächste SchritteNext steps

In den folgenden Artikeln werden die nächsten Schritte für den Einstieg in den Inhaltsschutz beschrieben:The following articles describe next steps to help you get started with content protection: