导出 (0) 打印
全部展开

保护媒体

更新时间: 2014年2月

使用 Azure Media Services,可以在媒体从离开计算机到存储、处理和交付的整个过程中确保其安全。下图说明了如何为内容提供端到端保护。

本主题将讨论以下内容:

以下列表介绍了使用数据保护时有用的术语和概念。

Adaptive bitrate sets - 自适应比特率流式处理是一种在计算机网络中流式处理多媒体时使用的技术。有关详细信息,请参阅 Adaptive bitrate streaming(自适应比特率流式处理)。建议你先将夹层文件编码为 H.264 MP4 自适应比特率集,然后再继续打包、加密或流式处理内容。

AES - 128 - 高级加密标准 (AES) - 128 为使用 128 位密钥和数据块的安全加密算法。AES 信封加密是用于视频流式处理的端对端加密。数据先由服务器加密,然后发送,再由客户端解密观看。这种方式可确保视频数据可以在服务器和客户端之间安全传输,使中途截获视频数据的其他人无法读取。

Azure Media Services 支持创建受 AES-128 传输流加密保护的 HLS 资产。有关详细信息,请参阅生成使用 AES-128 加密的 HLSv3

CBC - 加密块链接 (CBC) 是一种块加密运算模式,它对上一个块执行异或运算,目的是为包含相同纯文本的块生成不同的加密文本。第一个块需要一个初始化向量 (IV)。

Asset encryption options – 根据你要上载、存储和交付的内容的不同类型,Media Services 提供了多个加密选项供你选择。

  • None - 不加密。此选项为默认值。请注意,使用此选项时,你的内容在传送过程中或静态存储过程中都不会受到保护。

    如果要使用渐进式下载交付 MP4,则请使用此选项上载或编码内容。

    Media Services 不支持交付存储加密的资产。你必须解密你希望从源服务进行流式处理的任何存储加密的资产,然后才能进行渐进式下载。此外,MP4 文件的标准渐进式下载不支持 PlayReady DRM。

  • StorageEncrypted - 使用此选项以 AES 256 位加密方法在本地加密明文内容,然后将其上载到 Azure Storage 中以加密形式静态存储相关内容。受存储加密保护的资产将在编码前自动解密并放入经过加密的文件系统中,并可选择在重新上载为新的输出资产前重新加密。存储加密的主要用例是在磁盘上通过静态增强加密来保护高品质的输入媒体文件。Azure Media Services 源服务不支持交付存储加密的资产。有关详细信息,请参阅生成存储加密内容

  • CommonEncryption - 要采用常用加密或 PlayReady DRM 加密(或上载已加密的)内容(例如,受 PlayReady DRM 保护的平滑流)时使用此选项。

  • EnvelopeEncrypted – 要保护(或上载已加密的)采用高级加密标准 (AES) 加密的 HTTP 实时流 (HLS) 时使用此选项。注意:如果上载已采用 AES 加密的 HLS,则该 HLS 必须已经由 Transform Manager 加密。

Access policyAccessPolicy 实体定义了对资产的访问权限(如读取、写入和列出)和持续时间。通常将 AccessPolicy 对象传递给某个定位符,然后使用该定位符来访问资产中包含的文件。

CENC - 常用加密方案 (CENC) 指定标准加密和主要映射方法。CENC 定义解密受保护的流所需的加密相关元数据的常用格式。同时,将权限映射、密钥获取和存储、DRM 相容性规则等内容的管理留给 DRM 系统或支持 CENC 方案的系统负责。PlayReady 支持 CENC。要流式处理 MPEG DASH,必须使用 CENC 选项。有关详细信息,请参阅使用 PlayReady 保护平滑流和 MPEG DASH

HLS - HTTP 实时流式处理 (HLS) 是由 Apple 开发的自适应比特率流式处理技术。Azure Media Services 支持创建受 AES-128 传输流加密保护的 HLS 资产。有关详细信息,请参阅生成使用 AES-128 加密的 HLSv3。传输流加密的媒体必须先解密,然后才能进行媒体处理。媒体和密钥将在播放器内以未加密方式进行处理,播放器不必建立信任,也不必确保为密钥和内容提供保护。与受 DRM 技术(如 PlayReady)保护的内容相比,以这种方式进行保护的内容不太安全。有关如何使用 PlayReady 保护 HLS 的详细信息,请参阅生成使用 PlayReady 加密的 HLSv3

IV – 初始化向量 (IV) 为 CBC 和其他加密模式在加密第一个块时所使用的向量。由于第一个块应对上一个块进行异或运算,而上一个块不存在,因此用 IV 替代上一个块。

Locator定位符提供了访问资产中包含的文件的进入点。Media Services 支持两种类型的定位符:OnDemandOrigin 定位符和访问签名 (SAS) URL 定位符,前者用于流式处理媒体(例如,MPEG DASH、HLS 或平滑流),后者用于下载媒体文件。访问策略用于定义客户端对给定资产具有的访问权限和持续时间。定位符与访问策略的关系可以为多对一的关系,因此,不同定位符可以向不同客户端提供不同的开始时间和连接类型,而全部使用相同的权限和持续时间设置;但是,由于 Azure 存储服务设置的共享访问策略限制,一项给定的资产一次最多只能与五个唯一的定位符相关联。有关详细信息,请参阅 Using a Shared Access Signature (REST API)(使用共享访问签名 (REST API))。

MPEG DASH - MPEG DASH 是一种由动画专家组 (MPEG) 开发的国际标准自适应比特率流式处理协议。有关确保 MPEG DASH 安全的详细信息,请参阅使用 PlayReady 保护平滑流和 MPEG DASH

PlayReady DRM - 可以采用常用加密和 PlayReady DRM 来保护平滑流或 HLS 资产。在播放期间,PlayReady 将使用授权服务器来保护流内容,该服务器用于保护解密媒体流所需的解密密钥。播放器还应提供一个符合 PlayReady 的相容性和可靠性规则、可靠而安全的播放环境。当用户尝试访问受 PlayReady 保护的资产时,该资产会向授权服务器传递播放器 ID 和设备信息。授权服务器将验证用户是否有权访问该流内容,并确定是否可以委派其设备来解密流内容。有关 PlayReady 的详细信息,请参阅 Microsoft PlayReady。Microsoft 当前不为 PlayReady 提供作为 Media Services 一部分的授权交付服务。你可以实施自己的提供程序,或使用 EZDRM http://www.ezdrm.com/(现在可从 Azure Store 获取)等第三方提供程序。有关实施你自己的 PlayReady 授权服务器的详细信息,请参阅:Microsoft PlayReady 概述。有关可用的第三方 PlayReady 提供程序的详细信息,请参阅使用 PlayReady 服务提供程序。有关使用 PlayReady 确保平滑流资产安全的详细信息,请参阅使用 PlayReady 保护平滑流和 MPEG DASH

Smooth Streaming - 平滑流式处理是一种由 Microsoft 开发的自适应比特率流式处理技术。有关使用 PlayReady 确保平滑流式处理资产安全的详细信息,请参阅使用 PlayReady 保护平滑流和 MPEG DASH

下表汇总了 Media Services 目前支持的指定输入和输出格式的加密。

 

源\目标 平滑 + PlayReady MPEG DASH + CENC HLSv3 + PlayReady HLSv3 + AES128 CBC 信封加密

Adaptive bitrate MP4

建议先将夹层文件转换为自适应比特率 MP4 集,然后再进一步处理。

有关详细信息,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH

有关详细信息,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH

有关详细信息,请参阅使用 PlayReady 加密 HLS v3

有关详细信息,请参阅使用 AES -128 CBC 信封加密来加密 HLS v3

Clear Smooth

有关详细信息,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH

有关详细信息,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH

有关详细信息,请参阅使用 PlayReady 加密 HLS v3

有关详细信息,请参阅使用 AES -128 CBC 信封加密来加密 HLS v3

PlayReady Smooth

有关如何上载加密的资产的信息,请参阅上载加密内容

无需进一步处理。

有关详细信息,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH

有关详细信息,请参阅使用 PlayReady 加密 HLS v3

不受支持。

如果已解密内容并希望加密和上载该内容,请使用 StorageEncrypted 选项。此方法将在本地对内容进行加密,然后将其上载到 Azure Storage 中以加密形式存储。当你的重要内容用作媒体处理器管道的输入时,此方案用于为该内容提供静态保护。此方案可用于编码或封装任务。在编码之前,会自动解密使用存储加密进行保护的资产,并将其置于加密文件系统中。目前,Azure Media Services 源服务不支持交付存储加密的资产。处理之后,必须在进行流式处理之前解密存储加密的资产。

有关详细信息,请参阅生成存储加密内容

本部分描述使用 AES - 128 加密 HLS 时可能的工作流。以下示例展示了如何使用 AES - 128 加密 HLS:生成使用 AES-128 加密的 HLSv3

  1. 指定包含一组自适应比特率 MP4 文件的输入资产。

    建议从一组自适应比特率 MP4 文件开始。你可能从一个编码作业获取包含一组自适应比特率 MP4 的资产。例如,如果夹层文件是单个 MP4,则可以使用 Media Services Encoder 将 MP4 文件编码为一组自适应比特率 MP4。有关详细信息,请参阅使用 Media Services 对媒体进行编码

    如果你已有一组现有的自适应比特率 MP4,则可以将文件上载到资产,然后继续处理资产。如果集已使用外部编码器编码,建议对集进行验证。有关详细信息,请参阅验证使用外部编码器编码的多码率 MP4

  2. 使用 Media Services Packager 将 MP4 打包为平滑流。

  3. 使用 Media Services Packager 将平滑流打包为 HLSv3+AES128。确保在打包时设置信封加密参数。

  4. 创建定位符以获取 HLS 流 URL。

  1. 指定包含明文平滑流文件的输入资产。

  2. 使用 Media Services Packager 将平滑流打包为 HLSv3+AES128。确保在打包时设置信封加密参数。

  3. 创建定位符以获取 HLS 流 URL。

本部分描述使用 PlayReady 加密平滑流和/或 MPEG DASH 时可能使用的工作流。

Important重要提示
若要传送使用 PlayReady 加密的 MPEG DASH,必须首先使用 PlayReady 静态封装并加密平滑流,请务必使用 CENC 选项。然后,使用动态封装对 MPEG DASH 进行流式处理。以下示例演示了如何使用 Media Services .NET SDK 通过 PlayReady 加密平滑流和/或 MPEG DASH:使用 PlayReady 保护平滑流和 MPEG DASH

  1. 指定包含一组自适应比特率 MP4 文件的输入资产。

    建议从一组自适应比特率 MP4 文件开始。你可能从一个编码作业获取包含一组自适应比特率 MP4 的资产。例如,如果夹层文件是单个 MP4,则可以使用 Media Services Encoder 将 MP4 文件编码为一组自适应比特率 MP4。有关详细信息,请参阅使用 Media Services 对媒体进行编码

    如果你已有一组现有的自适应比特率 MP4,则可以将文件上载到资产,然后继续处理资产。如果集已使用外部编码器编码,建议对集进行验证。有关详细信息,请参阅验证使用外部编码器编码的多码率 MP4

  2. 使用 Media Services Packager 将 MP4 打包为平滑流。

  3. 使用 Media Services Encryptor 通过 PlayReady 加密平滑流。

  4. 创建 OnDemandOrigin 定位符以获取平滑流和 MPEG DASH 流 URL。

  1. 指定包含明文平滑流文件的输入资产。

  2. 使用 Media Services Encryptor 通过 PlayReady 加密平滑流。

  3. 创建 OnDemandOrigin 定位符以获取平滑流和 MPEG DASH 流 URL。

  1. 指定 PlayReady 平滑流作为输入资产。有关详细信息,请参阅上载加密内容

  2. 创建 OnDemandOrigin 定位符以获取平滑流和 MPEG DASH 流 URL。

有关详细信息,请参阅使用 PlayReady 保护平滑流和 MPEG DASH

要使用 PlayReady 加密 HLS,必须先获取使用 PlayReady 加密的平滑流。要获取 PlayReady 加密的平滑流,请参阅使用 PlayReady 加密平滑流和/或 MPEG DASH部分。

获得包含 PlayReady 平滑流的资产后,即可使用 Media Services Packager 通过 PlayReady 将此资产打包为 HLS。

然后,创建 OnDemandOrigin 定位符以获取 HLS 流 URL。

以下示例演示了如何使用 PlayReady 加密 HLS:生成使用 PlayReady 加密的 HLSv3

有关开发客户端应用程序和使用媒体的详细信息,请参阅开发视频播放器应用程序

另请参阅

显示:
© 2014 Microsoft