Descrição geral da proteção de conteúdoContent protection overview

Nota

Não serão adicionadas novas funcionalidades aos Serviços de Multimédia v2.No new features or functionality are being added to Media Services v2.
Veja a versão mais recente, Serviços de Multimédia v3.Check out the latest version, Media Services v3. Além disso, consulte diretrizes de migração de v2 para v3Also, see migration guidance from v2 to v3

Pode utilizar os serviços de multimédia do Azure para proteger os seus suportes de dados a partir do momento em que deixa seu computador por meio de armazenamento, processamento e entrega.You can use Azure Media Services to secure your media from the time it leaves your computer through storage, processing, and delivery. Com os serviços de multimédia, pode fornecer seu conteúdo ao vivo e sob demanda dinamicamente encriptado com o Advanced Encryption Standard (AES-128) ou qualquer um dos sistemas de gestão (DRM) três direitos digitais principais: Microsoft PlayReady, Widevine da Google e Apple FairPlay.With Media Services, you can deliver your live and on-demand content encrypted dynamically with Advanced Encryption Standard (AES-128) or any of the three major digital rights management (DRM) systems: Microsoft PlayReady, Google Widevine, and Apple FairPlay. Serviços de multimédia também fornecem um serviço para entrega de chaves AES e o DRM (PlayReady, Widevine e FairPlay) licenças para os clientes autorizados.Media Services also provides a service for delivering AES keys and DRM (PlayReady, Widevine, and FairPlay) licenses to authorized clients.

A imagem seguinte ilustra o fluxo de trabalho de proteção de conteúdo de serviços de multimédia:The following image illustrates the Media Services content protection workflow:

Proteger com PlayReady

Este artigo explica os conceitos e terminologia relevante para compreender a proteção de conteúdo com os Media Services.This article explains concepts and terminology relevant to understanding content protection with Media Services. O artigo também fornece links para artigos que discutem como proteger o conteúdo.The article also provides links to articles that discuss how to protect content.

Encriptação dinâmicaDynamic encryption

Pode utilizar os serviços de multimédia para distribuir os seus conteúdos encriptados dinamicamente com a chave não encriptada AES ou encriptação de DRM com o PlayReady, Widevine e FairPlay.You can use Media Services to deliver your content encrypted dynamically with AES clear key or DRM encryption by using PlayReady, Widevine, or FairPlay. Atualmente, pode criptografar os formatos de HTTP Live Streaming (HLS), MPEG DASH e Smooth Streaming.Currently, you can encrypt the HTTP Live Streaming (HLS), MPEG DASH, and Smooth Streaming formats. Não há suporte para a criptografia em downloads progressivos.Encryption on progressive downloads is not supported. Cada método de criptografia dá suporte aos seguintes protocolos de streaming:Each encryption method supports the following streaming protocols:

  • AES: MPEG-DASH, Smooth Streaming e HLSAES: MPEG-DASH, Smooth Streaming, and HLS
  • PlayReady: MPEG-DASH, Smooth Streaming e HLSPlayReady: MPEG-DASH, Smooth Streaming, and HLS
  • Widevine: MPEG-DASHWidevine: MPEG-DASH
  • FairPlay: HLSFairPlay: HLS

Para criptografar um ativo, você precisa associar uma chave de conteúdo de criptografia ao seu ativo e também configurar uma política de autorização para a chave.To encrypt an asset, you need to associate an encryption content key with your asset and also configure an authorization policy for the key. As chaves de conteúdo podem ser especificadas ou geradas automaticamente pelos serviços de mídia.Content keys can be specified or automatically generated by Media Services.

Você também precisa configurar a política de entrega do ativo.You also need to configure the asset's delivery policy. Se você quiser transmitir um ativo criptografado por armazenamento, certifique-se de especificar como deseja entregá-lo Configurando a política de entrega de ativos.If you want to stream a storage-encrypted asset, make sure to specify how you want to deliver it by configuring the asset delivery policy.

Quando um fluxo é solicitado por um jogador, serviços de multimédia utiliza a chave especificada para encriptar dinamicamente o seu conteúdo através da utilização de chave não encriptada AES ou encriptação de DRM.When a stream is requested by a player, Media Services uses the specified key to dynamically encrypt your content by using AES clear key or DRM encryption. Para descriptografar o fluxo, o Player solicita a chave do serviço de distribuição de chaves dos serviços de mídia.To decrypt the stream, the player requests the key from Media Services key delivery service. Para decidir se o usuário está autorizado ou não a obter a chave, o serviço avalia as políticas de autorização que você especificou para a chave.To decide whether or not the user is authorized to get the key, the service evaluates the authorization policies that you specified for the key.

Chave de limpeza AES-128 vs. DRMAES-128 clear key vs. DRM

Os clientes freqüentemente se questionam sobre se deve utilizar encriptação AES ou um sistema DRM.Customers often wonder whether they should use AES encryption or a DRM system. A principal diferença entre os dois sistemas é que, com a encriptação AES, a chave de conteúdo é transmitida para o cliente num formato não encriptado ("em Limpar").The primary difference between the two systems is that with AES encryption the content key is transmitted to the client in an unencrypted format ("in the clear"). Como resultado, a chave utilizada para encriptar o conteúdo pode ser exibida num rastreio de rede no cliente em texto simples.As a result, the key used to encrypt the content can be viewed in a network trace on the client in plain text. Encriptação de chave não encriptada AES-128 é adequada para casos de utilização em que o Visualizador é um confiável (por exemplo, encriptar empresariais vídeos distribuídos dentro de uma empresa sejam visualizados por funcionários).AES-128 clear key encryption is suitable for use cases where the viewer is a trusted party (for example, encrypting corporate videos distributed within a company to be viewed by employees).

Encriptação de chave não PlayReady, Widevine e FairPlay que todos fornecerem um nível mais elevado de encriptação em comparação comparada a AES-128.PlayReady, Widevine, and FairPlay all provide a higher level of encryption compared to AES-128 clear key encryption. A chave de conteúdo é transmitida num formato encriptado.The content key is transmitted in an encrypted format. Além disso, a desencriptação é tratada num ambiente seguro ao nível do sistema operativo, onde é mais difícil para um utilizador mal intencionado a ataques.Additionally, decryption is handled in a secure environment at the operating system level, where it's more difficult for a malicious user to attack. Para casos de utilização em que o Visualizador pode não ser um confiável e requerem o nível mais elevado de segurança, recomenda-se DRM.DRM is recommended for use cases where the viewer might not be a trusted party and you require the highest level of security.

Encriptação do armazenamentoStorage encryption

Você pode usar a criptografia de armazenamento para criptografar seu conteúdo limpo localmente usando a criptografia AES de 256 bits.You can use storage encryption to encrypt your clear content locally by using AES 256-bit encryption. Em seguida, você pode carregá-lo no armazenamento do Azure, onde ele é armazenado criptografado em repouso.You then can upload it to Azure Storage, where it's stored encrypted at rest. Os ativos protegidos com criptografia de armazenamento são descriptografados automaticamente e colocados em um sistema de arquivos criptografados antes da codificação.Assets protected with storage encryption are automatically unencrypted and placed in an encrypted file system prior to encoding. Os ativos são, opcionalmente, criptografados novamente antes de serem carregados novamente como um novo ativo de saída.The assets are optionally re-encrypted prior to uploading back as a new output asset. O caso de uso primário para criptografia de armazenamento é quando você deseja proteger seus arquivos de mídia de entrada de alta qualidade com criptografia forte em repouso no disco.The primary use case for storage encryption is when you want to secure your high-quality input media files with strong encryption at rest on disk.

Para entregar um ativo de armazenamento criptografado, você deve configurar a política de entrega do ativo para que os serviços de mídia saibam como você deseja entregar seu conteúdo.To deliver a storage-encrypted asset, you must configure the asset's delivery policy so that Media Services knows how you want to deliver your content. Antes que o ativo possa ser transmitido, o servidor de streaming descriptografa e transmite o conteúdo usando a política de entrega especificada (por exemplo, AES, criptografia comum ou sem criptografia).Before your asset can be streamed, the streaming server decrypts and streams your content by using the specified delivery policy (for example, AES, common encryption, or no encryption).

Tipos de criptografiaTypes of encryption

PlayReady e Widevine utilizam criptografia comum (modo de CTR do AES).PlayReady and Widevine utilize common encryption (AES CTR mode). O FairPlay utiliza a criptografia do modo CBC do AES.FairPlay utilizes AES CBC-mode encryption. A criptografia de chave não criptografada AES-128 utiliza a criptografia de envelope.AES-128 clear key encryption utilizes envelope encryption.

Serviço de entrega de licenças e chavesLicenses and keys delivery service

Os Media Services fornecem um serviço de entrega de chave para entregar licenças DRM (PlayReady, Widevine, FairPlay) e as chaves AES para os clientes autorizados.Media Services provides a key delivery service for delivering DRM (PlayReady, Widevine, FairPlay) licenses and AES keys to authorized clients. Você pode usar o portal do Azure, a API REST ou o SDK dos serviços de mídia para .net para configurar políticas de autorização e autenticação para suas licenças e chaves.You can use the Azure portal, the REST API, or the Media Services SDK for .NET to configure authorization and authentication policies for your licenses and keys.

Controlar o acesso do conteúdoControl content access

Você pode controlar quem tem acesso ao seu conteúdo Configurando a política de autorização de chave de conteúdo.You can control who has access to your content by configuring the content key authorization policy. A política de autorização de chave de conteúdo dá suporte à restrição de token ou aberta.The content key authorization policy supports either open or token restriction.

Abrir autorizaçãoOpen authorization

Com uma política de autorização aberta, a chave de conteúdo é enviada para qualquer cliente (sem restrição).With an open authorization policy, the content key is sent to any client (no restriction).

Autorização de tokenToken authorization

Com uma política de autorização restrita por token, a chave de conteúdo é enviada somente para um cliente que apresenta um token Web JSON (JWT) ou um token Web simples (SWT) válido na solicitação de licença/chave.With a token-restricted authorization policy, the content key is sent only to a client that presents a valid JSON Web Token (JWT) or simple web token (SWT) in the key/license request. Este token deve ser emitido por um serviço de token de segurança (STS).This token must be issued by a security token service (STS). Pode utilizar o Azure Active Directory como um STS ou implementar um STS personalizado.You can use Azure Active Directory as an STS or deploy a custom STS. O STS deve ser configurado para criar um token assinado com as declarações de chave e o problema especificadas que especificou na configuração de restrição de token.The STS must be configured to create a token signed with the specified key and issue claims that you specified in the token restriction configuration. O serviço de entrega de chave de serviços de multimédia devolve a chave/licença pedida para o cliente se o token é válido e as afirmações no token corresponderem às configuradas para a chave/licença.The Media Services key delivery service returns the requested key/license to the client if the token is valid and the claims in the token match those configured for the key/license.

Ao configurar a política de token restrito, tem de especificar a chave de verificação primária, emissor e parâmetros de público-alvo.When you configure the token restricted policy, you must specify the primary verification key, issuer, and audience parameters. A chave de verificação primária contém a chave de que o token foi assinado com.The primary verification key contains the key that the token was signed with. O emissor é o serviço de token seguro que emite o token.The issuer is the secure token service that issues the token. O público-alvo, às vezes chamado de âmbito, descreve a intenção do token ou o recurso o token de acesso a autoriza.The audience, sometimes called scope, describes the intent of the token or the resource the token authorizes access to. O serviço de entrega de chave de serviços de multimédia valida que estes valores no token correspondem aos valores no modelo.The Media Services key delivery service validates that these values in the token match the values in the template.

URLs de streamingStreaming URLs

Se o ativo foi criptografado com mais de um DRM, use uma marca de criptografia na URL de streaming: (Format = M3U8-AAPL ', Encryption = ' xxx ').If your asset was encrypted with more than one DRM, use an encryption tag in the streaming URL: (format='m3u8-aapl', encryption='xxx').

As seguintes considerações são aplicáveis:The following considerations apply:

  • Não é possível especificar mais de um tipo de criptografia.No more than one encryption type can be specified.
  • O tipo de criptografia não precisa ser especificado na URL se apenas uma criptografia foi aplicada ao ativo.Encryption type doesn't have to be specified in the URL if only one encryption was applied to the asset.
  • O tipo de criptografia não diferencia maiúsculas de minúsculas.Encryption type is case insensitive.
  • Os seguintes tipos de criptografia podem ser especificados:The following encryption types can be specified:
    • Cenc: para PlayReady ou Widevine (criptografia comum)cenc: For PlayReady or Widevine (common encryption)
    • CBCs-AAPL: para Fairplay (criptografia AES CBC)cbcs-aapl: For FairPlay (AES CBC encryption)
    • CBC: para criptografia de envelope AEScbc: For AES envelope encryption

Notas adicionaisAdditional notes

  • O Widevine é um serviço fornecido pela Google Inc. e sujeito aos termos de serviço e à política de privacidade da Google, Inc.Widevine is a service provided by Google Inc. and subject to the terms of service and Privacy Policy of Google, Inc.

Passos seguintesNext steps

Os artigos a seguir descrevem as próximas etapas para ajudá-lo a começar a usar a proteção de conteúdo:The following articles describe next steps to help you get started with content protection: