Présentation de la protection du contenuContent protection overview

Notes

Aucune nouvelle fonctionnalité ni fonction n’est ajoutée à Media Services v2.No new features or functionality are being added to Media Services v2.
Découvrez la dernière version, Media Services v3.Check out the latest version, Media Services v3. Consultez aussi Conseils de migration de v2 vers v3.Also, see migration guidance from v2 to v3

Vous pouvez utiliser Azure Media Services pour sécuriser votre contenu multimédia du moment où il quitte votre ordinateur jusqu’à la remise, en passant par le stockage et le traitement.You can use Azure Media Services to secure your media from the time it leaves your computer through storage, processing, and delivery. Media Services vous permet de transmettre votre contenu dynamique ou à la demande chiffré dynamiquement avec la norme Advanced Encryption Standard (AES-128) ou un des principaux systèmes de gestion des droits numériques (DRM) : Microsoft PlayReady, Google Widevine et Apple FairPlay.With Media Services, you can deliver your live and on-demand content encrypted dynamically with Advanced Encryption Standard (AES-128) or any of the three major digital rights management (DRM) systems: Microsoft PlayReady, Google Widevine, and Apple FairPlay. Media Services fournit également un service de distribution de clés AES et licences (PlayReady, Widevine et FairPlay) DRM aux clients autorisés.Media Services also provides a service for delivering AES keys and DRM (PlayReady, Widevine, and FairPlay) licenses to authorized clients.

L’image suivante illustre le flux de travail de protection du contenu Media Services :The following image illustrates the Media Services content protection workflow:

Protéger avec PlayReady

Cet article explique les concepts et la terminologie pertinents pour comprendre la protection du contenu avec Media Services.This article explains concepts and terminology relevant to understanding content protection with Media Services. Il fournit également des liens aux articles qui abordent la protection du contenu.The article also provides links to articles that discuss how to protect content.

Chiffrement dynamiqueDynamic encryption

Vous pouvez utiliser Media Services pour transmettre du contenu chiffré de manière dynamique avec le chiffrement à clé en clair AES ou DRM en utilisant PlayReady, Widevine ou Apple FairPlay.You can use Media Services to deliver your content encrypted dynamically with AES clear key or DRM encryption by using PlayReady, Widevine, or FairPlay. Actuellement, vous pouvez chiffrer les formats de diffusion en continu HLS (HTTP Live Streaming), MPEG DASH et Smooth Streaming.Currently, you can encrypt the HTTP Live Streaming (HLS), MPEG DASH, and Smooth Streaming formats. Le chiffrement sur des téléchargements progressifs n’est pas pris en charge.Encryption on progressive downloads is not supported. Chaque méthode de chiffrement prend en charge les protocoles de diffusion en continu suivants :Each encryption method supports the following streaming protocols:

  • AES : MPEG-DASH, Smooth Streaming et HLSAES: MPEG-DASH, Smooth Streaming, and HLS
  • PlayReady : MPEG-DASH, Smooth Streaming et HLSPlayReady: MPEG-DASH, Smooth Streaming, and HLS
  • Widevine : MPEG-DASHWidevine: MPEG-DASH
  • FairPlay : HLSFairPlay: HLS

Pour chiffrer un élément, vous devez associer une clé de contenu de chiffrement à votre élément et configurer également une stratégie d'autorisation pour la clé.To encrypt an asset, you need to associate an encryption content key with your asset and also configure an authorization policy for the key. Les clés de chiffrement peuvent être spécifiées ou générées automatiquement par Media Services.Content keys can be specified or automatically generated by Media Services.

Vous devez également configurer la stratégie de remise de l’élément multimédia.You also need to configure the asset's delivery policy. Si vous souhaitez diffuser en continu un élément avec chiffrement de stockage, assurez-vous de spécifier comment vous souhaitez le remettre en configurant la stratégie de remise d’éléments.If you want to stream a storage-encrypted asset, make sure to specify how you want to deliver it by configuring the asset delivery policy.

Lorsqu’un flux est demandé par un lecteur, Media Services utilise la clé spécifiée pour chiffrer dynamiquement votre contenu à l’aide du chiffrement de clé en clair AES ou DRM.When a stream is requested by a player, Media Services uses the specified key to dynamically encrypt your content by using AES clear key or DRM encryption. Pour déchiffrer le flux, le lecteur demande la clé au service de remise des clés Media Services.To decrypt the stream, the player requests the key from Media Services key delivery service. Pour déterminer si l’utilisateur est autorisé à obtenir la clé, le service évalue les stratégies d’autorisation que vous avez spécifiées pour la clé.To decide whether or not the user is authorized to get the key, the service evaluates the authorization policies that you specified for the key.

Clé en clair AES-128 et DRMAES-128 clear key vs. DRM

Les clients se demandent souvent s’ils devraient utiliser un chiffrement AES ou un système DRM.Customers often wonder whether they should use AES encryption or a DRM system. La principale différence entre les deux systèmes est qu’avec le chiffrement AES, la clé de contenu est transmise au client dans un format non chiffré (« en clair »).The primary difference between the two systems is that with AES encryption the content key is transmitted to the client in an unencrypted format ("in the clear"). Par conséquent, la clé utilisée pour chiffrer le contenu peut être affichée dans la trace réseau du client en texte en clair.As a result, the key used to encrypt the content can be viewed in a network trace on the client in plain text. Le chiffrement avec une clé en clair AES-128 convient à des cas d’utilisation dans lesquels l’observateur est fiable (par exemple, le chiffrement de vidéos d’entreprise distribuées dans une société et destinées aux employés).AES-128 clear key encryption is suitable for use cases where the viewer is a trusted party (for example, encrypting corporate videos distributed within a company to be viewed by employees).

PlayReady, Widevine et FairPlay offrent tous un haut niveau de chiffrement comparé au chiffrement à clé en clair AES-128.PlayReady, Widevine, and FairPlay all provide a higher level of encryption compared to AES-128 clear key encryption. La clé de contenu est transmise dans un format chiffré.The content key is transmitted in an encrypted format. De plus, le déchiffrement est pris en charge dans un environnement sécurisé au niveau du système d’exploitation, où il est plus difficile pour un utilisateur malintentionné de commettre une attaque.Additionally, decryption is handled in a secure environment at the operating system level, where it's more difficult for a malicious user to attack. DRM est recommandé dans des cas d’utilisation où l’observateur peut ne pas être fiable et où donc un niveau de sécurité supérieur est requis.DRM is recommended for use cases where the viewer might not be a trusted party and you require the highest level of security.

Chiffrement du stockageStorage encryption

Vous pouvez utiliser le chiffrement de stockage pour chiffrer votre contenu en clair en local en utilisant le chiffrement AES 256 bits.You can use storage encryption to encrypt your clear content locally by using AES 256-bit encryption. Vous pouvez ensuite le télécharger vers le stockage Azure, où il est stocké à l’état chiffré au repos.You then can upload it to Azure Storage, where it's stored encrypted at rest. Les éléments multimédias protégés par le chiffrement de stockage sont automatiquement déchiffrés et placés dans un système de fichiers chiffré avant d’être encodés.Assets protected with storage encryption are automatically unencrypted and placed in an encrypted file system prior to encoding. Les éléments multimédias sont éventuellement rechiffrés avant d’être rechargés sous la forme d’un nouvel élément multimédia de sortie.The assets are optionally re-encrypted prior to uploading back as a new output asset. Le principal cas d'utilisation du chiffrement de stockage concerne la sécurisation de fichiers multimédias d'entrée de haute qualité avec un chiffrement renforcé au repos sur le disque.The primary use case for storage encryption is when you want to secure your high-quality input media files with strong encryption at rest on disk.

Pour fournir un élément multimédia avec chiffrement de stockage, vous devez configurer la stratégie de remise de l'élément multimédia afin que Media Services sache comment vous souhaitez remettre votre contenu.To deliver a storage-encrypted asset, you must configure the asset's delivery policy so that Media Services knows how you want to deliver your content. Pour que votre élément puisse être diffusé en continu, le serveur de diffusion en continu supprime le chiffrement et diffuse en continu votre contenu à l’aide de la stratégie de remise spécifiée (par exemple AES, chiffrement commun ou aucun chiffrement).Before your asset can be streamed, the streaming server decrypts and streams your content by using the specified delivery policy (for example, AES, common encryption, or no encryption).

Types de chiffrementTypes of encryption

PlayReady et Widevine utilisent le chiffrement commun (mode CTR AES).PlayReady and Widevine utilize common encryption (AES CTR mode). FairPlay utilise le chiffrement en mode CBS AES.FairPlay utilizes AES CBC-mode encryption. Le chiffrement à clé en clair AES-128 utilise le chiffrement d’enveloppe.AES-128 clear key encryption utilizes envelope encryption.

Service de remise de licences et de clésLicenses and keys delivery service

Media Services fournit un service de remise de licences DRM (PlayReady, Widevine, FairPlay) et de clés AES aux clients autorisés.Media Services provides a key delivery service for delivering DRM (PlayReady, Widevine, FairPlay) licenses and AES keys to authorized clients. Vous pouvez utiliser le portail Azure, l’API REST ou le kit de développement logiciel (SDK) Media Services pour .NET pour configurer des stratégies d’authentification et d’autorisation pour vos licences et vos clés.You can use the Azure portal, the REST API, or the Media Services SDK for .NET to configure authorization and authentication policies for your licenses and keys.

Contrôle de l’accès au contenuControl content access

Vous pouvez contrôler qui a accès à votre contenu en configurant la stratégie d’autorisation de clé de contenu.You can control who has access to your content by configuring the content key authorization policy. La stratégie d’autorisation de clé de contenu prend en charge la restriction ouverte ou par jeton.The content key authorization policy supports either open or token restriction.

Autorisation ouverteOpen authorization

Avec une stratégie d’autorisation ouverte, la clé de contenu est envoyée à un client, quel qu’il soit (sans restriction).With an open authorization policy, the content key is sent to any client (no restriction).

Autorisation de jetonToken authorization

Avec une stratégie d’autorisation de jeton, la clé de contenu n’est envoyée qu’à un client qui présente un JSON Web Token (JWT) ou Simple Web Token (SWT) valide dans la requête de clé/licence.With a token-restricted authorization policy, the content key is sent only to a client that presents a valid JSON Web Token (JWT) or simple web token (SWT) in the key/license request. Ce jeton doit être émis par un service d’émission de jeton de sécurité (STS).This token must be issued by a security token service (STS). Vous pouvez utiliser Azure Active Directory en tant que STS ou déployer un STS personnalisé.You can use Azure Active Directory as an STS or deploy a custom STS. Le STS doit être configuré pour créer un jeton signé avec la clé spécifiée et émettre les revendications spécifiées dans la configuration de restriction de jeton.The STS must be configured to create a token signed with the specified key and issue claims that you specified in the token restriction configuration. Le service de remise de clé Media Services retourne la clé/licence demandée au client si le jeton est valide et que les revendications du jeton correspondent à celles configurées pour la clé/licence.The Media Services key delivery service returns the requested key/license to the client if the token is valid and the claims in the token match those configured for the key/license.

Quand vous configurez la stratégie de restriction par jeton, vous devez définir les paramètres de clé de vérification, émetteur et audience principaux.When you configure the token restricted policy, you must specify the primary verification key, issuer, and audience parameters. La clé de vérification principale contient le jeton avec lequel la clé a été signée.The primary verification key contains the key that the token was signed with. L’émetteur est le service STS qui émet le jeton.The issuer is the secure token service that issues the token. L’audience, parfois appelé étendue, décrit l’objectif du jeton ou la ressource à laquelle le jeton autorise l’accès.The audience, sometimes called scope, describes the intent of the token or the resource the token authorizes access to. Le service de remise de clé Media Services valide le fait que les valeurs du jeton correspondent aux valeurs du modèle.The Media Services key delivery service validates that these values in the token match the values in the template.

URL de diffusionStreaming URLs

Si votre ressource a été chiffrée avec plusieurs DRM, utilisez une balise de chiffrement dans l’URL de streaming : (format=’m3u8-aapl’, encryption=’xxx’).If your asset was encrypted with more than one DRM, use an encryption tag in the streaming URL: (format='m3u8-aapl', encryption='xxx').

Les considérations suivantes s'appliquent :The following considerations apply:

  • Pas plus d’un seul type de chiffrement peut être spécifié.No more than one encryption type can be specified.
  • Le type de chiffrement ne doit pas être spécifié dans l’URL si un seul chiffrement a été appliqué à la ressource.Encryption type doesn't have to be specified in the URL if only one encryption was applied to the asset.
  • Le type de chiffrement ne tient pas compte de la casse.Encryption type is case insensitive.
  • Les types de chiffrement suivants peuvent être spécifiés :The following encryption types can be specified:
    • cenc : pour PlayReady ou Widevine (chiffrement commun)cenc: For PlayReady or Widevine (common encryption)
    • cbcs-aapl : pour FairPlay (chiffrement CBC AES)cbcs-aapl: For FairPlay (AES CBC encryption)
    • cbc : chiffrement de l'enveloppe AEScbc: For AES envelope encryption

Étapes suivantesNext steps

Les articles ci-dessous décrivent les étapes suivantes que vous pouvez exécuter pour mieux comprendre la protection du contenu :The following articles describe next steps to help you get started with content protection: