Exportar (0) Imprimir
Expandir todo

Protección del contenido multimedia

Actualizado: agosto de 2014

Los Servicios multimedia de Azure permiten proteger contenido multimedia desde el momento en que deja el equipo, durante el almacenamiento, el procesamiento y la entrega. El siguiente diagrama muestra cómo se protege el contenido de un extremo a otro.

Protección del contenido de Servicios multimedia

En este tema se trata lo siguiente:

A continuación se indican algunos conceptos útiles y la terminología relacionada con la protección de datos.

Access policy
La entidad AccessPolicy define los permisos (como lectura, escritura y listado) y la duración del acceso a un recurso. Normalmente pasará un objeto AccessPolicy a un Localizador que después se usará para acceder a los archivos contenidos en un recurso.

Los localizadores proporcionan un punto de entrada para acceder a los archivos que un recurso contiene. Servicios multimedia es compatible con dos tipos de localizadores: Localizadores OnDemandOrigin, que se usan para streaming de multimedia (por ejemplo, MPEG DASH, HLS o Smooth Streaming) y localizadores de URL de firma de acceso (SAS), que se usan para la descarga de archivos multimedia. Para definir los permisos y la duración durante la cual tiene acceso a un recurso el cliente, se usan directivas de acceso. Puede haber muchos localizadores relacionados con una única directiva de acceso, de modo que distintos localizadores pueden proporcionar diferentes horas iniciales y tipos de conexión a varios clientes y compartir la configuración de permisos y duración. Sin embargo, debido a una restricción de la directiva de acceso compartido que definen los servicios de almacenamiento de Azure, no puede tener más de cinco localizadores únicos asociados a un único recurso a la vez. Para obtener más información, consulte el artículo sobre el uso de una firma de acceso compartido (API de REST).

Advanced Encryption Standard (AES)
AES - 128 es un algoritmo de cifrado seguro que usa bloques y claves de 128 bits. El cifrado de sellado de AES es un cifrado integral para streaming de vídeo. El servidor cifrará los datos antes de su envío y el cliente los descifrará para su visualización. Esto permite la transferencia segura de datos de vídeo entre el servidor y el cliente, y hace que los datos de vídeo sean ilegibles por cualquier otra parte que los intercepte durante este proceso.

Tenga en cuenta que con el cifrado de sellado AES, la clave de cifrado está sin cifrar una vez se ha recibido a través de HTTPS. Si necesita una protección de contenido más robusta y segura, use Common Encryption ("CENC"). PlayReady DRM admite CENC.

Asset encryption options
En función del tipo de contenido que desee cargar, almacenar y entregar, los Servicios multimedia ofrecen diversas opciones de cifrado entre las que puede elegir.

  • None: no se utiliza ningún cifrado. Este es el valor predeterminado. Tenga en cuenta que, al usar esta opción, el contenido no está protegido cuando está en tránsito o cuando se encuentra almacenado.

    Si tiene previsto ofrecer un MP4 con una descarga progresiva, use esta opción para cargar o codificar su contenido.

  • StorageEncrypted: use esta opción para cifrar el contenido no cifrado localmente con el cifrado AES de 256 bits y cargarlo después en el almacenamiento de Azure, donde permanecerá cifrado. Los recursos protegidos con cifrado de almacenamiento se descifran automáticamente y se colocan en un sistema de archivos cifrados antes de la codificación y, de forma opcional, se vuelven a cifrar antes de cargarlos de nuevo como un recurso de salida nuevo. El cifrado de almacenamiento se utiliza principalmente para proteger los archivos multimedia de entrada de gran calidad con un cifrado de alta seguridad en el disco.

    Para entregar un recurso cifrado de almacenamiento, debe configurar la directiva de entrega del recurso (IAssetDeliveryPolicy) de manera que los Servicios multimedia sepan de qué manera desea entregar su contenido. Para que el recurso se pueda transmitir en streaming, el servidor de streaming quita el cifrado de almacenamiento y transmite el contenido usando la directiva de entrega que se haya especificado (por ejemplo, AES, PlayReady o sin cifrado).

  • CommonEncryption: use esta opción si desea cifrar contenido (o cargar contenido ya cifrado) con cifrado común o PlayReady DRM (por ejemplo, Smooth Streaming protegido con PlayReady DRM).

  • EnvelopeEncrypted: use esta opción si desea proteger (o cargar una vez protegido) HTTP Live Streaming (HLS) cifrado con Estándar de cifrado avanzado (AES). Tenga en cuenta que si está cargando HLS ya cifrado con AES, se debe haber cifrado con Transform Manager.

noteNota
Debe descifrar los recursos cifrados si desea que estén disponibles para la descarga progresiva.

Cipher-block Chaining (CBC)
CBC es un modo de cifrado en bloque que usa XOR en el bloque anterior, con el objetivo de crear texto cifrado diferente para bloques con el mismo texto no cifrado. Requiere un vector de inicialización (IV) para el primer bloque. Puesto que el primer bloque debería usar XOR en el bloque anterior y no existe ningún bloque anterior, el IV ocupa el lugar de ese bloque anterior.

Common Encryption Scheme (CENC)
CENC especifica el cifrado estándar y los métodos de asignación de claves. CENC define un formato común para los metadatos relacionados con cifrado necesarios para descifrar las secuencias protegidas. Al mismo tiempo, deja la administración de asignaciones de derechos, el almacenamiento y la adquisición de claves, las reglas de cumplimiento DRM, etc. hasta el sistema DRM o sistemas que admiten el esquema 'cenc'. PlayReady admite CENC. Para transmitir en streaming MPEG DASH debe asegurarse de usar las opciones de CENC. Para obtener más información, vea Valores preestablecidos de tarea para Azure Media Encryptor.

Dynamic encryption y Static encryption
En los Servicios multimedia de Azure, puede usar el cifrado dinámico o estático para cifrar el contenido con AES-128, PlayReady DRM o el cifrado de almacenamiento. Se recomienda usar el cifrado dinámico.

Cuando se usa el cifrado y el empaquetado dinámicos, solo tendrá que almacenar y pagar los archivos de un único formato: MP4 de velocidad de bits adaptativa o Smooth Streaming de velocidad de bits adaptativa. El servicio de los Servicios multimedia creará, cifrará y servirá contenido en el formato correcto en función del formato especificado por el cliente en la dirección URL de streaming. Por ejemplo, http://test001.origin.mediaservices.windows.net/fecebb23-46f6-490d-8b70-203e86b0df58/BigBuckBunny.ism/Manifest(format=m3u8-aapl) indica que el cliente quiere la secuencia en formato HLS.

En el blog siguiente se describe el cifrado dinámico y estático: Cifrado dinámico frente a cifrado estático.

Microsoft PlayReady DRM
Los Servicios multimedia permiten proteger su contenido con PlayReady DRM. PlayReady protege la secuencia durante la reproducción usando un servidor de licencias que protege la clave de descifrado necesaria para descifrar la secuencia multimedia. El reproductor también debe proporcionar un entorno de reproducción robusto y seguro que cumpla con las normas y la solidez de PlayReady. Cuando un usuario intenta acceder al recurso protegido con PlayReady, este transfiere el identificador del reproductor y la información del dispositivo a un servidor de licencias. El servidor de licencias comprueba si el usuario tiene permiso para acceder a la secuencia y determina si su dispositivo es de confianza para descifrarla.

Los Servicios multimedia también ofrecen un servicio para entregar licencias de Microsoft PlayReady. Para suscribirse al servicio de entrega de licencias de PlayReady, haga lo siguiente:

Siga las instrucciones descritas en Características de vista previa.

En el Portal de administración de Azure, vaya a la ficha PROTECCIÓN DEL CONTENIDO y agregue una columna a la tabla Informes de marca. El servicio de licencias de PlayReady de los Servicios multimedia se habilitará unos minutos después de que pulse GUARDAR.

Cuando se registre para el servicio de entrega de licencias de PlayReady, puede usar el Portal de administración de Azure para configurar su directiva de servicio de licencia de PlayReady. Servicios multimedia también ofrece API que le permiten configurar los derechos y las restricciones que desea que aplique el motor en tiempo de ejecución de PlayReady DRM cuando un usuario está tratando de reproducir contenido protegido. Para obtener más información, vea Uso del cifrado dinámico y del servicio de entrega de licencias PlayReady.

Tenga en cuenta que también puede elegir implementar su propio proveedor o un proveedor de terceros. Para obtener más información acerca de cómo implementar su propio servidor de licencias de PlayReady, vea: Información general de Microsoft PlayReady.

PlayReady license and AES clear key delivery services
Los Servicios multimedia proporcionan un servicio para entregar licencias de PlayReady y claves sin cifrado AES a los clientes autorizados. Puede usar el Portal de administración de Azure o el SDK de Servicios multimedia para .NET para configurar directivas de autenticación y autorización para las licencias y las claves.

Tenga en cuenta que si usa el Portal, puede configurar una directiva AES (que se aplicará a todo el contenido cifrado de AES) y una directiva PlayReady (que se aplicará a todo el contenido cifrado de PlayReady). Use el SDK de Servicios multimedia para .NET si desea tener mayor control sobre las configuraciones.

PlayReady license template
Los Servicios multimedia ofrecen un servicio para entregar licencias de PlayReady. Cuando el reproductor del usuario final (por ejemplo, Silverlight) intenta reproducir contenido protegido de PlayReady, se envía una solicitud al servicio de entrega de licencias para obtener una licencia. Si el servicio de licencias aprueba la solicitud, emite la licencia, que se envía al cliente y puede usarse para descifrar y reproducir el contenido especificado.

Las licencias contienen los derechos y las restricciones que desea que el tiempo de ejecución de DRM de PlayReady aplique cuando un usuario intente reproducir contenido protegido. Los Servicios multimedia también proporcionan API que permiten configurar las licencias de PlayReady.

Token restriction
La directiva de autorización de claves de contenido podría tener una o más restricciones de autorización: abierta, restricción de tokens o restricción de IP. La directiva restringida de tokens debe estar acompañada de un token emitido por un servicio de token de seguridad (STS). Servicios multimedia admite tokens en los formatos Simple Web Tokens (SWT) y JSON Web Token (JWT). . Servicios multimedia no proporciona servicios de token seguro. Puede crear un STS personalizado o aprovechar Microsoft Azure ACS para emitir tokens. El STS se debe configurar para crear un token firmado con la clave especificada y emitir notificaciones que ha especificado en la configuración de restricciones de tokens. El servicio de entrega de claves de los Servicios multimedia devolverá la clave (o licencia) solicitada al cliente si el token es válido y las notificaciones del token coinciden con las configuradas para la clave (o licencia).

Al configurar la directiva restringida de tokens, debe especificar los parámetros primary verification key, issuer y audience. La primary verification key contiene la clave con la que se firmó el token, issuer es el servicio de token seguro que emite el token. El audience (a veces denominado scope) describe la intención del token o el recurso al que el token autoriza acceso. El servicio de entrega de claves de Servicios multimedia valida que estos valores del token coincidan con los valores de la plantilla.

Tenga en cuenta que si usa el Portal de administración de Azure para configurar la directiva de token restringida, asegúrese de iniciar un valor de Uri de EMISOR con "urn:" (por ejemplo, "urn: someissuer") y un Uri de ÁMBITO con "http://" (por ejemplo, http://testacs.com).

En el blog siguiente se muestra cómo configurar ACS para emitir tokens de SWT: Configurar ACS con los servicios de licencias AES/PlayReady de los Servicios multimedia de Azure con autenticación de token.

Las consideraciones siguientes se aplican al cifrar el contenido con los Servicios multimedia.

  • Se recomienda convertir los archivos intermedios en conjuntos MP4 con velocidad de bits adaptativa antes de continuar el procesamiento.

    Cuando se trabaja con cifrado dinámico, los archivos deben codificarse en un conjunto de archivos MP4 de velocidad de bits adaptativa o Smooth Streaming de velocidad de bits adaptativa.

    Podría recibir un recurso con un conjunto de archivos MP4 de velocidad de bits adaptativa de un trabajo de codificación. Por ejemplo, si su archivo intermedio es un solo MP4, puede usar el codificador de Servicios multimedia para codificar el archivo MP4 en un conjunto MP4 de velocidad de bits adaptativa. Para obtener más información, vea Codificación de contenido multimedia con Servicios multimedia.

    Si ya tiene un conjunto de MP4 de velocidad de bits adaptativa existente, puede cargar los archivos en un recurso y continuar procesando el recurso. Si el conjunto se codificó con codificadores externos, se recomienda validarlo. Para obtener más información, vea Validación de archivos MP4 de velocidad de bits adaptativa codificados con codificadores externos.

  • Debe descifrar los recursos cifrados si desea que estén disponibles para la descarga progresiva.

Si dispone de contenido sin cifrar y desea cifrarlo de forma local con AES-256 y, a continuación, cargarlo en el almacenamiento de Azure, use la opción StorageEncrypted. Esto cifrará el contenido localmente y lo cargará en el almacenamiento de Azure donde se almacenará cifrado. Este escenario se usa para proteger el contenido almacenado cuando ese contenido se usa como entrada para la canalización del procesador multimedia que incluye las tareas de codificación o empaquetado. Los recursos protegidos con StorageEncryption se descifran automáticamente y se colocan en un sistema de archivos cifrados antes de la codificación. Puede especificar que los recursos que se crean como resultado de las tareas de codificación o empaquetado también se almacenen de forma cifrada. Para obtener más información, vea Producción de contenido cifrado de almacenamiento.

Para entregar un activo cifrado del almacenamiento, se debe usar cifrado dinámico y configurar la directiva de entrega del activo (IAssetDeliveryPolicy) para que Servicios multimedia sepa cómo se quiere entregar el contenido. Para que el activo se pueda transmitir en streaming, el servidor de streaming quita el cifrado de almacenamiento y transmite el contenido mediante la directiva de entrega que se haya especificado. Por ejemplo, para entregar un activo cifrado con la clave de cifrado Estándar de cifrado avanzado (AES), debe establecer el tipo de directiva en DynamicEnvelopeEncryption. Para eliminar el cifrado del almacenamiento y transmitir en streaming el activo sin cifrar, establezca el tipo de directiva en NoDynamicEncryption. Para obtener más información sobre otros tipos de directivas de entrega, consulte AssetDeliveryPolicyType. Para obtener más información, vea Entrega de contenido cifrado de almacenamiento.

Para aprovechar las ventajas del cifrado dinámico, debe hacer lo siguiente:

  • Obtener como mínimo una scale unit (también conocida como streaming unit). Para obtener más información, vea Escalar un servicio multimedia.

  • Cargar o codificar un recurso que contiene un conjunto de archivos MP4 de velocidad de bits adaptativa o archivos de origen Smooth Streaming de velocidad de bits adaptativa.

  • Configure la directiva de entrega del recurso. La configuración de la directiva de entrega incluye:

    • el protocolo de entrega (por ejemplo, MPEG DASH, HLS, HDS, Smooth Streaming o todos),

    • el tipo de cifrado dinámico (por ejemplo, cifrado común o cifrado de sellado),

    • Dirección URL de adquisición de claves AES o dirección URL de adquisición de licencias PlayReady.

Se admiten los escenarios siguientes al realizar el cifrado dinámico con los Servicios multimedia.

Se admiten los siguientes escenarios al cifrar de forma estática con PlayReady DRM.

Al usar cifrado estático, solo se puede aplicar el cifrado AES-128 a HLS.

En el ejemplo siguiente se muestra cómo cifrar HLS con AES usando el SDK de Servicios multimedia para .NET: Usar el cifrado estático para proteger HLSv3 con AES-128.

Cuando se usan los servicios de entrega de claves de AES o licencias de PlayReady de los Servicios multimedia, se debe configurar la directiva de autorización para la clave de contenido. Debe configurar la directiva de autorización de clave de contenido y la debe cumplir el cliente (reproductor) para que la clave se entregue al cliente. La directiva de autorización de claves de contenido podría tener una o más restricciones de autorización: abierta, restricción de tokens o restricción de IP. Para obtener más información, consulte la sección «Configurar la directiva de autorización de la clave de contenido» en los temas siguientes:

Using PlayReady Dynamic Encryption and License Delivery Service

Using AES-128 Dynamic Encryption and Key Delivery Service

Los siguientes escenarios son los más comunes al usar los servicios de entrega de claves de AES y licencias de PlayReady de los Servicios multimedia.

Para obtener información acerca del desarrollo de aplicaciones cliente y consumo de contenido multimedia, vea Desarrollo de aplicaciones de reproductor de vídeo.

Vea también

Mostrar:
© 2015 Microsoft