Informazioni generali sulla protezione dei contenuti

Servizi multimediali di Microsoft Azure consente di proteggere i file multimediali dal momento in cui escono dal computer fino alle fasi di archiviazione, elaborazione e recapito. Servizi multimediali consente di distribuire contenuti live e on demand crittografati dinamicamente con AES (Advanced Encryption Standard), mediante chiavi di crittografia a 128 bit, o con una delle principali soluzioni DRM: Microsoft PlayReady, Google Widevine e Apple FairPlay. Servizi multimediali offre anche un servizio per la distribuzione di chiavi AES e licenze DRM (PlayReady, Widevine e FairPlay) ai client autorizzati.

L'immagine seguente illustra i flussi di lavoro di protezione del contenuto supportati da AMS.

Protezione con PlayReady

Nota

Quando l'account AMS viene creato, un endpoint di streaming predefinito viene aggiunto all'account con stato Arrestato. Per avviare lo streaming del contenuto e sfruttare i vantaggi della creazione dinamica dei pacchetti e della crittografia dinamica, l'endpoint di streaming da cui si vuole trasmettere il contenuto deve essere nello stato In esecuzione.

Questo argomento illustra concetti e terminologia importanti per comprendere la protezione del contenuto con AMS. Contiene anche collegamenti ad argomenti che illustrano come eseguire attività di protezione del contenuto.

Crittografia dinamica

Servizi multimediali di Microsoft Azure consente di distribuire contenuti crittografati dinamicamente con chiave non crittografata AES (Advanced Encryption Standard) o crittografia DRM: PlayReady, Google Widevine e Apple FairPlay.

Attualmente è possibile crittografare i formati di streaming seguenti: HLS, MPEG DASH e Smooth Streaming. Non è possibile crittografare i download progressivi.

Per consentire a Servizi multimediali di crittografare un asset, è necessario associare una chiave di crittografia (CommonEncryption o EnvelopeEncryption) all'asset e configurare anche i criteri di autorizzazione per la chiave.

È anche necessario configurare i criteri di distribuzione degli asset. Se si vuole trasmettere in streaming un asset crittografato di archiviazione, assicurarsi di specificare come si intende recapitarlo configurando i criteri di distribuzione degli asset.

Quando un flusso viene richiesto da un lettore, Servizi multimediali usa la chiave specificata per crittografare dinamicamente i contenuti mediante la chiave non crittografata AES o la crittografia DRM. Per decrittografare il flusso, il lettore richiederà la chiave dal servizio di distribuzione delle chiavi. Per decidere se l'utente è autorizzato a ottenere la chiave, il servizio valuta i criteri di autorizzazione specificati.

Crittografia di archiviazione

Usare la crittografia di archiviazione per crittografare il contenuto non crittografato localmente tramite crittografia AES a 256 bit, quindi caricarlo nel servizio Archiviazione di Azure dove viene archiviato in forma crittografata. Gli asset protetti con la crittografia di archiviazione vengono decrittografati automaticamente e inseriti in un file system crittografato prima della codifica. Se necessario, inoltre, possono essere ricrittografati prima del successivo caricamento come nuovo asset di output. La crittografia di archiviazione viene usata principalmente per proteggere file multimediali di input di alta qualità archiviati su disco applicando una crittografia avanzata.

Per poter trasmettere l'asset crittografato di archiviazione, è necessario configurare i criteri di distribuzione dell'asset in modo da informare Servizi multimediali della modalità di distribuzione del contenuto. Per potere permettere lo streaming dell'asset, il server di streaming rimuove la crittografia di archiviazione ed esegue lo streaming dei contenuti usando i criteri di recapito specificati (ad esempio, AES, crittografia comune o nessuna crittografia).

Crittografia comune (CENC)

La crittografia comune viene usata per crittografare il contenuto con PlayReady e/o Widewine.

Uso della crittografia cbcs-aapl

La crittografia cbcs-aapl viene usata per crittografare il contenuto con FairPlay.

Crittografia envelope

Usare questa opzione per proteggere i contenuti con chiave non crittografata AES-128. Se si vuole un'opzione più sicura, scegliere una delle soluzioni DRM elencate in questo argomento.

Servizio di distribuzione di licenze e chiavi

Servizi multimediali offre un servizio per la distribuzione di licenze DRM (PlayReady, Widevine, FairPlay) e di chiavi non crittografate AES ai client autorizzati. È possibile usare il portale di Azure, l'API REST o Media Services SDK per .NET per configurare i criteri di autorizzazione e autenticazione per le licenze e le chiavi.

Restrizione Token

I criteri di autorizzazione delle chiavi simmetriche possono avere una o più restrizioni di tipo Open o Token. I criteri con restrizione Token devono essere accompagnati da un token rilasciato da un servizio STS (Secure Token Service, servizio token di sicurezza). Servizi multimediali supporta i token nei formati Simple Web Tokens (SWT) e JSON Web Token (JWT). Servizi multimediali non fornisce servizi token di sicurezza. Per il rilascio di token è possibile creare un servizio token di sicurezza personalizzato oppure usare il Servizio di controllo di accesso di Microsoft Azure. Il servizio token di sicurezza deve essere configurato in modo da creare un token firmato con la chiave specificata e rilasciare le attestazioni specificate nella configurazione della restrizione token. Il servizio di distribuzione di chiavi di Servizi multimediali restituirà al client la chiave o la licenza richiesta se il token è valido e le attestazioni del token corrispondono a quelle configurate per la chiave o la licenza.

Quando si configurano i criteri di restrizione Token, è necessario specificare i parametri primary verification key, issuer e audience. Il parametro primary verification key include la chiave usata per firmare il token. Il parametro issuer è il servizio token di sicurezza che emette il token. Il parametro audience (talvolta denominato scope) descrive l'ambito del token o la risorsa a cui il token autorizza l'accesso. Il servizio di distribuzione delle chiavi di Servizi multimediali verifica che i valori nel token corrispondano ai valori nel modello.

URL di streaming

Se l'asset è stato crittografato con più soluzioni DRM, è necessario usare un tag di crittografia nell'URL di streaming (format='m3u8-aapl', encryption='xxx').

Si applicano le considerazioni seguenti:

  • Può essere specificato solo un tipo di crittografia oppure nessuno.
  • Il tipo di crittografia non deve essere specificato nell'URL se all'asset è stata applicata una sola crittografia.
  • Il tipo di crittografia non fa distinzione tra maiuscole e minuscole.
  • Possono essere specificati i seguenti tipi di crittografia:
    • cenc: crittografia comune (Playready o Widevine)
    • cbcs-aapl: Fairplay
    • cbc: crittografia AES envelope.

Scenari comuni

Gli argomenti seguenti descrivono come proteggere i contenuti nella memoria, distribuire i flussi multimediali crittografati dinamicamente, usare il servizio di distribuzione di licenze e chiavi di AMS

Scenari aggiuntivi

Nota

Uno scenario in cui si usa un server DRM esterno (tecnologia) e un flusso da AMS non è attualmente supportato.

Percorsi di apprendimento di Servizi multimediali

Altre informazioni sui percorsi di apprendimento di Servizi multimediali di Azure:

Fornire commenti e suggerimenti

Usare il forum di suggerimenti degli utenti per fornire commenti e suggerimenti su come migliorare Servizi multimediali di Azure. È anche possibile passare direttamente a una delle categorie seguenti:

Annuncio di PlayReady come servizio e della crittografia dinamica AES con Servizi multimediali di Azure

Prezzi della distribuzione della licenza PlayReady di Servizi multimediali di Azure

Debug del flusso con crittografia AES in Servizi multimediali di Azure

Autenticazione dei token JWT

Integrare l'app basata su OWIN MVC di Servizi multimediali di Azure con Azure Active Directory e limitare la distribuzione di chiavi simmetriche in base ad attestazioni JWT.

Usare il Servizio di controllo di accesso di Azure per il rilascio di token.