ApsaraVideo liveは、設定、コンテンツ制作、ストリーム取り込み、再生中のライブストリーミングのセキュリティを確保するために、さまざまなビジネスシナリオのセキュリティ要件を満たす包括的なコンテンツセキュリティ保護システムを提供しています。 このようにして、ライブストリームはホットリンクや違法なダウンロードや配信から保護されます。 このトピックでは、ライブストリーミングセキュリティを保護する方法について説明します。
ライブストリーミングセキュリティ
次の図は、ApsaraVideo Liveが提供するセキュリティ機能を示しています。
次の表に、ApsaraVideo Liveが提供するセキュリティ機能を示します。
セキュリティメカニズム | 特徴 | 説明 | セキュリティレベル | しきい値 |
RAM ユーザー | ポリシーを設定することで、RAMユーザーに権限を付与できます。 | 比較的低い | 低い。 クラウド内の設定のみが必要です。 | |
HTTPS セキュアアクセラレーション | HTTPSは、ネットワーク上の安全な通信に使用されます。 HTTPSは、SSL (Secure Sockets Layer) またはTLS (Transport Layer Security) プロトコルを使用してHTTPデータをカプセル化します。 | 高い | 低い。 クラウド内の設定のみが必要です。 | |
Referer に基づくホットリンク保護 | この機能は、偽造が発生しやすいHTTPヘッダーに基づいてソースを追跡します。 | 低い | 低い。 クラウド内の設定のみが必要です。 | |
IP アドレスのブラックリストまたはホワイトリスト | この機能は、特定のIPアドレスからのみ送信されるアクセス要求を拒否または許可します。 この機能は、多数の消費者にコンテンツを配信するのには適していない。 | 比較的低い | 低い。 クラウド内の設定のみが必要です。 | |
ストリームの取り込みと再生のURL署名 | この機能は、カスタム認証キーと有効期限をサポートし、動的署名付きURLを生成することもできます。 | Medium | 比較的低い。 署名付きURLを生成するにはスクリプトが必要です。 | |
認証のために認証センターに渡されるユーザーリクエスト | カスタムリクエスト情報を追加し、独自の認証センターを使用してリクエストを検証します。 | 高い | 比較的高い。 認証センターをデプロイし、高可用性を確保する必要があります。 | |
Alibaba Cloud 独自の暗号化 | 独自の暗号アルゴリズムを使用してビデオストリーム伝送のセキュリティを確保するクラウドデバイス統合ビデオ暗号化ソリューション。 | 高い | 比較的低い。 簡単な設定を実行し、ApsaraVideo Player SDKを統合するだけで済みます。 | |
デジタル著作権管理 (DRM) 暗号化 | AppleFairPlayやGoogleWidevineなどのプラットフォームは、DRMのネイティブサポートを提供します。DRMは高いセキュリティを提供し、大規模な著作権で保護されたコンテンツプロバイダの要件を満たします。 | 高い | 比較的高い。 ライセンスの呼び出し回数に基づいて課金されます。 ApsaraVideo Player SDKを統合するだけで済みます。 | |
自動レビュー | この機能は、ライブストリームのオーディオおよびビデオコンテンツの違反を自動的に検出します。 | 高い | 低い。 クラウド内の設定のみが必要です。 | |
ライブストリームの無効化 | 指定した期間、不適切なコンテンツを含むライブストリームを無効にできます。 | 高い | 低い。 クラウド内の設定のみが必要です。 |
アカウント権限付与
背景情報: Alibaba CloudアカウントのAccessKeyペアには完全な権限があり、AccessKeyペアが公開された場合、データ漏洩のリスクが高くなります。
はじめに: ApsaraVideo Liveは、リクエストを開始するユーザーのIDを認証し、AccessKeyペアに基づいてユーザーが必要な権限を持っているかどうかを判断します。 ApsaraVideo Liveでは、アカウントを認証し、システムポリシーを提供します。 さらに、カスタムポリシーを作成できます。 詳細については、「権限管理の概要」をご参照ください。
安全な加速
背景情報: HTTPはデータを暗号化しません。 代わりに、HTTPはデータを平文で送信する。
はじめに: HTTPSは、ネットワークを介した安全な通信に使用されます。 HTTPの安全なバージョンとして、HTTPSはSSLまたはTLSプロトコルを使用してHTTPデータをカプセル化します。 SSLまたはTLSはHTTPSのセキュリティ基盤です。 詳細については、「安全なアクセラレーション」をご参照ください。
アクセス制御
クラウドでアクセス制御ポリシーを設定して、ライブストリーミングの基本的な保護を提供できます。
以下の一般的なアクセス制御ポリシーが提供されます。
Referer に基づくホットリンク保護
HTTPリクエストでRefererヘッダーを使用して、リクエストの送信元を追跡および識別できます。 リファラーベースのブラックリストまたはホワイトリストを設定して、ビデオリソースへのアクセスを制御できます。
IP アドレスのブラックリストまたはホワイトリスト
IPアドレスブラックリストまたはホワイトリストを設定して、ユーザーを識別およびフィルタリングできます。 これにより、ライブストリームリソースへのアクセスを制御し、ライブストリームのセキュリティを向上させることができます。
詳細は、「アクセス制御」をご参照ください。
ストリームの取り込みと再生のURL署名
背景情報: 固定ストリーミングURLを使用すると、不正なビデオ配信が発生する可能性があり、制御できません。
はじめに: ApsaraVideo LiveはURL署名機能を提供します。 この機能は、権限の検証や有効期間などの情報を含む動的署名付きURLを生成して、合法的なリクエストを区別し、ビデオリソースを保護します。
URL署名が有効になった後:
取り込みURLとストリーミングURLの両方が署名されています。
ApsaraVideo Player SDKと、ストリーミングURLを取得するためのApsaraVideo Liveが提供するAPIまたはSDKは、有効期間を持つストリーミングURLを自動的に生成します。 動的署名付きURLを手動で生成する方法については、「URL署名」で説明されている認証方法をご参照ください。
詳細については、「URL署名」をご参照ください。
リモート認証
背景情報: ApsaraVideo LiveのURL署名機能は、ホットリンクされたリクエストなどの違法なリクエストをすべて検出することはできません。 リモート認証を使用すると、ビジネスリクエストを認証でき、認証がより正確になります。
はじめに: リモート認証モードでは、CDNはユーザーリクエストを認証センターに渡し、リクエストが正当であるかどうかを判断できます。 CDNは、認証結果に基づいてリクエストを許可または拒否します。
リモート認証を実装するには、認証センターを開発して展開する必要があります。 認証センターのドメイン名がCDNで高速化されている場合、CDNは特定のルールに基づいて認証結果をキャッシュできます。 これにより、認証センターへの負担が軽減されます。
デフォルトでは、CDNはユーザーリクエストのヘッダーとrequest_uriフィールドを認証センターに渡し、認証センターから返された認証結果に基づいて操作を実行します。
再生リクエストでは、ユーザーのログインcookieまたはUUID (Universal unique identifier) を非表示にして、再生リクエストを認証センターに渡すことができます。 これにより、ユーザーが合法的なユーザーであるかどうかを判断できます。
リモート認証を使用するには、独自の認証センターを開発および展開する必要があります。 リモート認証を有効にするには、チケットを起票してAlibaba Cloudテクニカルサポートに連絡してください。 詳細については、お問い合わせをご参照ください。
ビデオセキュリティ
背景情報: ホットリンク保護機能により、コンテンツへの不正アクセスを防ぐことができます。 ただし、有料のライブストリーミングシナリオでは、ユーザーはライブストリームに1回限りの料金を支払い、ホットリンク保護が設定されている合法的なストリーミングURLからビデオファイルをダウンロードできます。 ビデオファイルがダウンロードされた後、ビデオファイルの再配布は制御不可能である。 したがって、ホットリンク保護はビデオ著作権を保護するのに十分ではありません。 ビデオファイルの漏洩は、ビデオを見るためにユーザーに請求するビジネスに深刻な経済的損失を引き起こす可能性があります。
はじめに: アリババクラウド独自の暗号化は、ビデオデータを暗号化する。 オンプレミスのデバイスにダウンロードされたビデオファイルは暗号化されます。 これにより、不正な再配布、ビデオリーク、ホットリンクを防ぐことができます。
Alibaba Cloud 独自の暗号化
Alibaba Cloud独自の暗号化は、独自の暗号化アルゴリズムと安全な伝送システムを使用して、クラウドデバイス統合ビデオセキュリティソリューションを提供します。 Alibaba Cloud独自の暗号化は、暗号化されたトランスコードと復号後の再生で構成されます。
メリット:
各メディアファイルは、専用の暗号化キーを有する。 これにより、1つのキーが漏洩した場合に多数のビデオファイルが公開されるのを防ぎます。
ApsaraVideo Liveは、暗号文および平文キーを使用してエンベロープ暗号化を提供します。 暗号文キーのみが保存されます。 平文キーはメモリ内で使用され、使用後すぐに破棄されます。
ApsaraVideo Liveは、iOS、Android、HTML5、Flashなどの複数のプラットフォーム向けの安全なApsaraVideo Player SDKを提供します。 ApsaraVideo Player SDKは、暗号化されたビデオを自動的に復号および再生できます。
独自の暗号プロトコルを使用して、プレイヤーとクラウドの間で暗号文キーを送信します。 平文キーは送信されない。 これにより、キーの傍受を防止することができる。
ApsaraVideo Liveは安全なダウンロード機能を提供します。 オンプレミスデバイスにキャッシュされたビデオは再び暗号化されます。 これにより、ビデオをオフラインで再生でき、ビデオのコピーと再配布を防ぎます。
重要Alibaba Cloud独自の暗号化を使用して暗号化される動画には、次の制限があります。
ビデオは、HTTPライブストリーミング (HLS) 形式でのみ生成できます。
Alibaba Cloud独自の暗号化を使用して暗号化されたビデオを再生するには、ApsaraVideo Playerのみを使用できます。
webページでビデオを再生することはできません。
詳細については、「Alibaba Cloud独自の暗号化」をご参照ください。
DRM暗号化
スポーツゲームやコンサートなどのハイエンドビデオプログラムは、コンテンツプロバイダーのセキュリティ要件を満たす必要があります。 ApsaraVideo Liveは、FairPlayおよびWidevine DRM暗号化をサポートするクラウドベースのDRMソリューションを提供します。 このソリューションは、ビデオ暗号化、ライセンス発行、およびビデオ再生機能を統合します。
詳細については、「DRM暗号化」をご参照ください。
各ビデオ暗号化ソリューションには長所と短所があります。 一般に、より標準的で普遍的なソリューションは、より高い柔軟性を提供しますが、セキュリティは低くなります。 ビジネスシナリオに基づいてソリューションを選択します。
コンテンツセキュリティ
背景情報: ライブストリームはストリーマーによって生成され、ライブストリーミングプラットフォーム上の視聴者に配信されます。 適切なコンテンツモデレーションがないと、ライブストリームは有害で違反する情報を広める可能性があります。
はじめに: ApsaraVideo Liveは、ライブストリームのオーディオ、ビデオ、および画像コンテンツを監視するAIを利用した自動レビュー機能を提供します。 また、コンテンツ違反を含むライブストリームを無効にすることもできます。
自動レビュー: 豊富な注釈付きデータと深層学習アルゴリズムに基づいて構築されたこの機能は、オーディオ、ビデオ、サムネイル、タイトルの違反メディアコンテンツを正確に検出します。
ライブストリームの無効化: [ストリーム管理] モジュールでは、非準拠コンテンツやその他の問題を含むライブストリームを永続的または一時的に無効化できます。
詳細については、「コンテンツセキュリティ」をご参照ください。