ApsaraVideo Liveは、さまざまなビジネスシナリオのセキュリティ要件を満たす包括的なコンテンツセキュリティ保護システムを提供します。 セキュリティサービスには、RAMユーザー、HTTPSベースのアクセラレーション、およびアクセス制御が含まれます。 This topic describes how to protect live streaming.
Protect live streaming
ライブストリーミング構成、ライブストリームの制作、ストリームの取り込み、再生のセキュリティを確保するため、ApsaraVideo liveは、さまざまなビジネスシナリオのセキュリティ要件を満たす包括的なコンテンツセキュリティ保護システムを提供します。 このシステムは、ライブストリームをホットリンクや違法なダウンロードや配信から保護します。
The following figure shows the security services that are provided by ApsaraVideo Live.
ライブストリーミングセキュリティ
次の表に、ApsaraVideo Liveによって提供されるセキュリティサービスを示します。
| セキュリティサービス | セキュリティ機能 | 特徴 | Security level | Barrier to entry |
|---|---|---|---|---|
| 権限付与 | RAM ユーザー | RAMユーザーには、権限ポリシーに基づいて対応する権限を付与できます。 | 比較的低い | 低い。 Only configurations in the cloud are required. |
| 安全な加速 | HTTPSベースのアクセラレーション | HTTPSは、ネットワーク上の安全な通信に使用されます。 HTTPSは、SSL (Secure Sockets Layer) またはTLS (Transport Layer Security) プロトコルを使用してHTTPデータをカプセル化します。 | High | 低い。 クラウド内の設定のみが必要です。 |
| アクセス制御 | User-Agentブラックリストまたはホワイトリスト | この機能は、偽造が発生しやすいHTTPヘッダーに基づいてソースを追跡します。 | 低 | 低い。 クラウド内の設定のみが必要です。 |
| リファラーベースのホットリンク保護 | この機能は、偽造が発生しやすいHTTPヘッダーに基づいてソースを追跡します。 | 低 | 低い。 クラウド内の設定のみが必要です。 | |
| IP アドレスのブラックリストまたはホワイトリスト | この機能は、特定のIPアドレスからのアクセスのみを拒否または許可します。 この特徴は、多数の消費者へのコンテンツの配信には不適切である。 | 比較的低い | 低い。 クラウド内の設定のみが必要です。 | |
| ストリームの取り込みと再生のURL署名 | ストリームの取り込みと再生のURL署名 | この機能は、カスタム認証キーと有効期限をサポートします。 This feature also allows you to generate dynamic signed URLs. | 中 | Relatively low. 署名付きURLを生成するためのスクリプトが提供されます。 |
| リモート認証 | ApsaraVideo Liveは、認証のためにビジネスリクエストを顧客の認証センターに渡します。 | 顧客はカスタムビジネスリクエスト情報を追加し、独自の認証センターを使用してリクエストを検証できます。 | High | 比較的高い。 You must deploy an authentication center and ensure its high availability. |
| 動画セキュリティ | Alibaba Cloud video encryption | A cloud-device integrated video encryption solution that uses a proprietary cryptography algorithm to ensure the security of video stream transmission. | High | 比較的低い。 You need only to perform simple configurations and integrate ApsaraVideo Player SDK. |
| デジタル著作権管理 (DRM) 暗号化 | Apple FairPlayやGoogle Widevineなどの多くのプラットフォームは、DRMのネイティブサポートを提供しています。DRMは、高いセキュリティを提供し、大規模な著作権コンテンツプロバイダの要件を満たす。 | High | 比較的高い。 ライセンスの呼び出し回数に基づいて課金されます。 ApsaraVideo Player SDKを統合するだけで済みます。 |
権限付与
Background information: AccessKey pairs of Alibaba Cloud accounts have full permissions and bring high risks of data leaks if the AccessKey pairs are disclosed.
はじめに: ApsaraVideo Liveは、リクエストを開始するユーザーのIDを認証し、AccessKeyペアに基づいてユーザーが必要な権限を持っているかどうかを判断します。 ApsaraVideo Live allows you to authenticate accounts and provides system authorization policies. さらに、権限付与ポリシーをカスタマイズできます。 詳細については、「概要」をご参照ください。
安全な加速
背景情報: HTTPはデータを暗号化しません。 代わりに、HTTPはデータを平文で送信する。
はじめに: HTTPSは、ネットワークを介した安全な通信に使用されます。 HTTPの安全なバージョンとして、HTTPSはSSLまたはTLSプロトコルを使用してHTTPデータをカプセル化します。 SSL or TLS is the security foundation of HTTPS. 詳細については、「安全な加速」をご参照ください。
アクセス制御
You can configure access control policies in the cloud to provide basic protection for live streams.
以下の一般的なアクセス制御ポリシーが提供されます。
- Referer-based hotlink protection
HTTPリクエストのリファラーヘッダーを使用して、リクエストの送信元を追跡および識別できます。 リファラーブラックリストまたはホワイトリストを設定して、ビデオリソースへのアクセスを管理できます。
- User-Agentブラックリストまたはホワイトリスト
HTTPリクエストのUser-Agentヘッダーを使用して、リクエストの送信元を追跡および識別できます。 You can configure a User-Agent blacklist or whitelist to control access to video resources.
- IP アドレスのブラックリストまたはホワイトリスト
IPアドレスブラックリストまたはホワイトリストを設定して、ユーザーを識別およびフィルタリングできます。 これにより、ライブストリームリソースへのアクセスを制御し、ライブストリームのセキュリティを向上させることができます。
詳細については、「アクセス制御」をご参照ください。
ストリームの取り込みと再生のURL署名
背景情報: 固定再生URLを使用すると、不正なビデオ配信が発生する可能性があり、制御できません。
Introduction: ApsaraVideo Live provides the URL signing feature. この機能は、権限の検証や有効期間などの情報を含む動的署名付きURLを生成して、合法的なリクエストを区別し、ビデオリソースを保護します。
URL署名が有効になった後:
- ストリーム取り込みURLとストリーミングURLの両方が署名されています。
- ApsaraVideo Player SDKおよびApsaraVideo Liveが提供するAPIまたはSDKを使用して再生URLを取得すると、有効期限付きの再生URLが自動的に生成されます。 For more information about how to manually generate a dynamic signed URL, see the authentication method in URL 署名.
詳細については、「URL 署名」をご参照ください。
リモート認証
背景情報: ApsaraVideo LiveのURL署名機能は、ホットリンク要求などの違法な要求をすべて検出することはできません。 リモート認証により、お客様はビジネスリクエストを認証し、認証をより正確に行うことができます。
はじめに: リモート認証モードでは、CDN for ApsaraVideo Liveはユーザーリクエストを認証センターに渡し、リクエストが合法であるかどうかを判断します。 CDN allows or rejects the requests based on the authentication results.
- リモート認証を実装するには、認証センターを開発して展開する必要があります。 認証センターのドメイン名がCDNで高速化されている場合、CDNは特定のルールに基づいて認証結果をキャッシュできます。 これにより、認証センターへの負担が軽減されます。
- デフォルトでは、ApsaraVideo LiveのCDNは、ユーザーリクエストのヘッダーとrequest_uriフィールドを認証センターに渡し、認証センターから返された認証結果に基づいて操作を実行します。
- ユーザーのログオンクッキーまたはUUID (universally unique identifier) を再生リクエストで非表示にして、再生リクエストを認証センターに渡すことができます。 これにより、ユーザーが合法的なユーザーであるかどうかを判断できます。
動画セキュリティ
背景情報: ホットリンク保護機能により、コンテンツへの不正アクセスを防ぐことができます。 ただし、有料ライブストリームのシナリオでは、ユーザーはライブストリームに1回限りの料金を支払い、ホットリンク保護が設定されている合法的な再生URLからビデオファイルをダウンロードできます。 ビデオファイルがダウンロードされた後、ビデオファイルの再配布は制御不可能である。 したがって、ホットリンク保護はライブストリームの著作権を保護するのに十分ではありません。 ビデオファイルの漏洩は、ビデオを見るためにユーザーに請求するビジネスに深刻な経済的損失を引き起こす可能性があります。
はじめに: Alibaba Cloudビデオ暗号化はビデオデータを暗号化します。 オンプレミスのデバイスにダウンロードされたビデオファイルは暗号化されます。 これは不正な再配布を防止する。 ビデオ暗号化は、ビデオの漏れやホットリンクを防ぐことができます。
- Alibaba Cloud video encryption
アリババクラウドのビデオ暗号化は、独自の暗号化アルゴリズムと安全な伝送システムを使用して、クラウドデバイス統合ビデオセキュリティソリューションを提供する。 Alibaba Cloudビデオ暗号化は、暗号化されたトランスコードと復号後の再生で構成されます。
メリット:- 各メディアファイルは、専用の暗号化キーを有する。 これにより、1つのファイルのキーが漏洩した場合に、大量のビデオファイルが漏洩することを防止する。
- ApsaraVideo Liveは、暗号文および平文キーを使用してエンベロープ暗号化システムを提供します。 暗号文キーのみが保存されます。 平文キーはメモリ内で使用され、使用後すぐに破棄されます。
- ApsaraVideo Liveは、iOS、Android、HTML5、Flashなどの複数のプラットフォーム向けの安全なApsaraVideo Player SDKを提供します。 ApsaraVideo Player SDKは、暗号化されたビデオを自動的に復号および再生できます。
- 独自の暗号プロトコルを使用して、プレイヤーとクラウドの間で暗号文キーを送信します。 平文キーは送信されない。 これにより、キーの傍受を防止することができる。
- ApsaraVideo Liveは安全なダウンロード機能を提供します。 オンプレミスデバイスにキャッシュされたビデオは再び暗号化されます。 これにより、ビデオをオフラインで再生でき、ビデオのコピーと再配布を防ぎます。
重要 Alibaba Cloudビデオ暗号化を使用して暗号化されたビデオには、次の制限があります。- ビデオは、HTTPライブストリーミング (HLS) 形式でのみエクスポートできます。
- Alibaba Cloudビデオ暗号化を使用して暗号化されたビデオは、ApsaraVideo Playerでのみ再生できます。
- ビデオはブラウザで再生できません。
詳細については、「Alibaba Cloudビデオ暗号化」をご参照ください。
- DRM暗号化
ハイエンドのビデオプログラムは、コンテンツの著作権とプロバイダーのセキュリティ要件を満たす必要があります。 ApsaraVideo Liveは、FairPlayおよびWidevine DRM暗号化をサポートするクラウドベースのDRMソリューションを提供します。 このソリューションは、ビデオ暗号化、ライセンス発行、およびビデオ再生機能を統合します。
詳細については、「DRM encryption」をご参照ください。
各ビデオ暗号化ソリューションには長所と短所があります。 一般に、より標準的で普遍的なソリューションは、より高い柔軟性を提供しますが、セキュリティは低くなります。 ビジネスシナリオに基づいてソリューションを選択します。