ApsaraVideo VODは、アクセス制御、URL署名、コンテンツ配信ネットワーク (CDN) 再認証、ビデオ暗号化、安全なダウンロードなどの機能を提供することで、コンテンツセキュリティを包括的に保護します。 これらの機能を使用して、さまざまなビジネスシナリオでセキュリティ要件を満たすことができます。
概要
ApsaraVideo VODは、ホットリンクや違法なダウンロードや配信からビデオコンテンツを保護する包括的なメカニズムを提供します。 ApsaraVideo VODを使用して、教育、金融、業界トレーニング、プレミアムテレビ番組などの業界でオンラインビデオの著作権を保護できます。
次の表に、ApsaraVideo VODで提供されるセキュリティメカニズムを示します。
セキュリティメカニズム | セキュリティ方法 | 特徴 | セキュリティレベル | Threshold |
---|---|---|---|---|
リファラーブラックリストまたはホワイトリスト | この機能は、偽造が発生しやすいHTTPヘッダーに基づいてソースを追跡します。 | 低 | 低い。 クラウド内の設定のみが必要です。 | |
User-Agentブラックリストまたはホワイトリスト | この機能は、偽造が発生しやすいHTTPヘッダーに基づいてソースを追跡します。 | 低 | 低い。 クラウド内の設定のみが必要です。 | |
IP アドレスのブラックリストまたはホワイトリスト | この機能は、指定したIPアドレスからのアクセスのみを拒否または許可します。 この特徴は、多数の消費者へのコンテンツの配信には不適切である。 | 比較的低い | 低い。 クラウド内の設定のみが必要です。 | |
アクセス回数および固有IPアドレス数の制限 | この機能はアクセス制限を設定します。 この特徴は、多数の消費者へのコンテンツの配信には不適切である。 また、閾値の制限を超えていなくても不正アクセスが発生する可能性がある。 | 比較的低い | 低い。 クラウド内の設定のみが必要です。 | |
URL 署名 | この機能は、動的に変化する署名付きURLを生成します。 署名付きURLの有効期間をカスタマイズできます。 | 中 | 比較的低い。 署名されたURLは、API操作を呼び出すことによって取得されるか、キーに基づいて自動的に生成されます。 | |
ApsaraVideo Liveは、認証のためにビジネスリクエストを顧客の認証センターに渡します。 | 顧客はリクエストにカスタム情報を追加し、独自の認証センターを使用してリクエストを検証できます。 | 比較的高い | 比較的高い。 認証センターをデプロイし、高可用性を確保する必要があります。 | |
Alibaba Cloud独自の暗号化 | ApsaraVideo VODは、ビデオを暗号化するクラウドデバイス統合ソリューションを提供します。 このソリューションは、独自の暗号化アルゴリズムを使用して、伝送リンクのセキュリティを確保します。 | High | 比較的低い。 簡単な設定を実行し、ApsaraVideo Player SDKを統合するだけで済みます。 | |
HTTPライブストリーミング (HLS) 暗号化 | HLS暗号化は、AES-128を使用してビデオコンテンツを暗号化します。 これはすべてのHLSプレーヤーに適用されます。 ただし、キーは盗難になりやすいです。 | 比較的高い | 高い。 鍵管理サービスとトークン発行サービスを構築し、伝送リンクのセキュリティを確保する必要があります。 | |
商用デジタル著作権管理 (DRM) | Apple FairPlayやGoogle Widevineなどの多くのプラットフォームは、商用DRMのネイティブサポートを提供しています。商用DRMは、高いセキュリティを提供し、大規模な著作権コンテンツプロバイダの要件を満たす。 | High | 高い。 ライセンスの呼び出し回数に基づいて課金されます。 ApsaraVideo Player SDKを統合するだけで済みます。 | |
秘密鍵は、ダウンロードされたビデオファイルに二次暗号化を実行するために使用されます。 | 複数のメカニズムを使用して、指定されたアプリケーションでのみビデオを復号化してオフラインで再生できるようにします。 各ビデオは、独立した秘密鍵を有する。 秘密鍵ファイルは、盗難を防ぐために暗号化後に保存されます。 | High | 比較的低い。 簡単な設定を実行し、ApsaraVideo Player SDKを統合するだけで済みます。 |
アクセス制御
はじめに: クラウド上でアクセスポリシーを設定し、ビデオリソースを基本的に保護します。
以下の一般的なアクセス制御ポリシーが提供されます。
リファラー
HTTPリクエストでRefererヘッダーを使用して、リクエストの送信元を追跡および識別できます。 リファラーブラックリストまたはホワイトリストを設定して、ビデオリソースへのアクセスを管理できます。
User-Agent
HTTPリクエストのUser-Agentヘッダーを使用して、リクエストの送信元を追跡および識別できます。 User-Agentブラックリストまたはホワイトリストを設定して、ビデオリソースへのアクセスを管理できます。
IP address
X-Forwarded-Forヘッダーまたはユーザーの実際のIPアドレスを使用して、IPアドレスブラックリストまたはホワイトリストを設定し、ビデオリソースへのアクセスを管理できます。 IPアドレスリストまたはサブネットマスクを使用して、IPアドレスブラックリストまたはホワイトリストを設定できます。
アクセス回数の制限
特定の期間にビデオURLにアクセスできる最大回数と、ビデオURLへのアクセスを許可される一意のIPアドレスの最大数を設定できます。
詳細は、「アクセス制御」をご参照ください。
ApsaraVideo VODによるURL署名
背景: 固定ストリーミングURLを使用すると、不正なビデオ配信が発生する可能性があり、制御できません。
はじめに: ApsaraVideo VODはURL署名機能を提供します。 この機能は、権限の検証や有効期間などの情報を含む動的署名付きURLを生成して、合法的なリクエストを区別し、ビデオリソースを保護します。
URL署名が有効になった後:
ビデオ、オーディオ、サムネイル、スナップショットなど、すべてのメディアリソースのURLに署名する必要があります。
ApsaraVideo Player SDKおよびストリーミングURLを取得するためのAPIまたはSDKは、有効期間を持つストリーミングURLを自動的に生成します。 動的署名付きURLを手動で生成する方法の詳細については、「URL認証」トピックの「
認証方法
」をご参照ください。
詳細については、「URL認証」をご参照ください。
お客様によるCDNの再認証
背景: ApsaraVideo VODによるURL署名は、ホットリンク要求などの違法な要求をすべて検出することはできません。 CDNの再認証により、お客様はビジネスリクエストを認証でき、認証の精度が向上します。
はじめに: CDN再認証モードでは、CDNはユーザーリクエストを認証センターに渡し、リクエストが正当であるかどうかを判断します。 CDNは、お客様の判断に基づいてリクエストを許可または拒否します。
CDN再認証を実装するには、認証センターを開発してデプロイする必要があります。 認証センターのドメイン名がCDNで高速化されている場合、CDNは特定のルールに基づいて認証結果をキャッシュできます。 これにより、認証センターのワークロードが軽減されます。
デフォルトでは、CDNはユーザーリクエストのヘッダーとrequest_uriフィールドを認証センターに渡し、認証センターから返された認証結果に基づいて操作を実行します。
CDNを使用してリクエストを確認できます。 再生リクエストでユーザーのログオンクッキーまたはユニバーサル一意識別子 (UUID) を非表示にして再生リクエストを通過させると、CDNはリクエストを確認できます。 これにより、ユーザーが合法的なユーザーであるかどうかを判断できます。
CDN再認証を使用するには、独自の認証センターを開発およびデプロイする必要があります。 CDN再認証を使用する場合は、チケットを起票するか、ApsaraVideo VODアフターセールスにお問い合わせください。
ビデオ暗号化
背景: ホットリンク保護メカニズムは、コンテンツへのアクセスを保護します。 ただし、有料ビデオシナリオでは、ユーザーはビデオに1回限りの料金を支払い、ホットリンク保護が設定されている正規のストリーミングURLからビデオファイルをダウンロードできます。 ビデオがダウンロードされた後、ビデオの配信は制御不能である。 したがって、ホットリンク保護はビデオ著作権を保護するのに十分ではありません。 ビデオファイルの漏洩は、ビデオを見るためにユーザーに請求する顧客に深刻な経済的損失を引き起こす可能性があります。
はじめに: アリババクラウド独自の暗号化は、ビデオデータを暗号化する。 オンプレミスデバイスにダウンロードされるビデオファイルは暗号化されます。 これにより、不正な再配布やビデオの漏洩、ホットリンクを防ぎます。
Alibaba Cloud独自の暗号化
Alibaba Cloud独自の暗号化は、独自の暗号化アルゴリズムと安全な伝送メカニズムを使用して、クラウドデバイス統合ソリューションを提供し、ビデオセキュリティを保護します。 Alibaba Cloud独自の暗号化は、暗号化されたトランスコードと復号後の再生で構成されます。
利点
各メディアファイルは、専用の暗号化キーを有する。 これは、ビデオファイルに使用される統一鍵が開示されるときに、多数のビデオファイルが漏洩するリスクを低減する。
ApsaraVideo VODは、暗号文および平文キーを使用したエンベロープ暗号化システムを提供します。 暗号文キーのみが保存されます。 平文キーはメモリ内で使用され、使用後すぐに破棄されます。
ApsaraVideo VODは、iOS、Android、HTML5、Flashなどの複数のプラットフォーム向けの安全なApsaraVideo Player SDKを提供します。 ApsaraVideo Player SDKは、暗号化されたビデオを自動的に復号および再生できます。
独自の暗号プロトコルは、プレイヤーとクラウドの間で暗号文キーを送信するために使用されます。 平文キーは送信されない。 これにより、キーの傍受が効果的に防止される。
ApsaraVideo VODは安全なダウンロード機能を提供します。 オンプレミスのデバイスにキャッシュされているビデオは、再度暗号化されます。 これにより、ビデオをオフラインで再生でき、ビデオのコピーを防ぎます。
注意Alibaba Cloud独自の暗号化を使用して暗号化される動画には、次の制限があります。
ビデオはHLS形式でのみエクスポートできます。
ビデオはApsaraVideo Playerでのみ再生できます。
iOSシステムのwebページでビデオを再生することはできません。
詳細については、「Alibaba Cloudビデオ暗号化」をご参照ください。
HLS暗号化
HLS暗号化は、HLSで指定されている共通の暗号化スキームをサポートします。 HLS暗号化はAES-128を使用してビデオコンテンツを暗号化し、すべてのHLS互換プレーヤーをサポートします。 カスタムプレーヤーまたはオープンソースプレーヤーを使用して、HLS暗号化モードで暗号化されたビデオを再生できます。 Alibaba Cloud独自の暗号化と比較して、HLS暗号化は柔軟性がありますが、使用が難しく、安全性が低くなります。
コード変換中にビデオを暗号化し、再生中に復号化キーを取得するキーを生成するキー管理サービスを構築する必要があります。 Alibaba CloudのKey Management Service (KMS) を使用してキーをカプセル化することもできます。
さらに、プレイヤーを検証し、復号化キーへの不正アクセスを防ぐために、トークン発行サービスを構築する必要があります。
プレーンテキストキーはプレイヤーとクラウドの間で送信され、傍受されがちです。
詳細については、「HLS暗号化」をご参照ください。
商用DRM
ハイエンドのビデオプログラムは、ハリウッドやワーナーなどのコンテンツプロバイダーのセキュリティ要件を満たす必要があります。 ApsaraVideo VODは、FairPlayおよびWidevine DRM暗号化をサポートするクラウドベースのDRMソリューションを提供します。 このソリューションは、ビデオ暗号化、ライセンス発行、およびビデオ再生機能を統合します。
詳細については、「概要」をご参照ください。
各ビデオ暗号化ソリューションには長所と短所があります。 一般に、より標準的で普遍的なソリューションは、より高い柔軟性を提供しますが、セキュリティは低くなります。 ビジネスシナリオに基づいてソリューションを選択します。
機能の比較:
セキュリティレベル: 商用DRM > Alibaba Cloud独自の暗号化> HLS暗号化
Alibaba Cloud独自の暗号化のセキュリティレベルは、商用DRMのセキュリティレベルとほぼ同じです。Alibaba Cloud独自の暗号化および商用DRMのセキュリティレベルは、HLS暗号化のセキュリティレベルよりも大幅に高くなっています。
使いやすさ: 商用DRM = Alibaba Cloud独自の暗号化> HLS暗号化
Alibaba Cloud独自の暗号化は、シンプルな設定とApsaraVideo Player SDKを使用して暗号化機能をシームレスに統合できるクラウドデバイス統合ソリューションを提供します。
HLS暗号化を使用するには、KMSサービスとトークン発行サービスを構築する必要があります。
商用DRMを使用するには、ライセンスを購入し、特定のSDKを統合する必要があります。
普遍性: HLS暗号化> 商用DRM > Alibaba Cloud独自の暗号化
HLS暗号化は、すべてのHLS互換プレーヤーをサポートします。
商用DRMは、Google Chrome、Safari、Internet Explorer、Microsoft Edgeブラウザ、AndroidおよびiOSオペレーティングシステムなどの承認されたプラットフォームのみをサポートします。
Alibaba Cloud独自の暗号化は、Android、iOS、HTML5、FlashでのみApsaraVideo Playerをサポートしています。
コスト: Alibaba Cloud独自の暗号=HLS暗号化 <商用DRM
Alibaba Cloud独自の暗号化とHLS暗号化はどちらも無料です。 商用DRMには追加のライセンス料が必要です。
安全なダウンロードとキャッシュ
背景: 特にAndroidおよびiOSのモバイルデバイス向けのビデオアプリケーションは、オンプレミスのデバイスにビデオをキャッシュまたはダウンロードする必要があります。 オンプレミスのデバイスに保存されているビデオは、不正な再生や再配布から保護する必要があります。 ApsaraVideo Playerが提供する安全なダウンロード機能により、オンプレミスのデバイスにダウンロードされるビデオを保護できます。
はじめに: 安全なダウンロードは、秘密鍵を使用してビデオに対して二次暗号化を実行するプロセスです。 ビデオのダウンロード後、ApsaraVideo Player SDKで復号化されます。 これにより、安全なダウンロード設定で指定されているバンドルIDまたはキーストアを使用しているアプリケーションのみがオフラインビデオを再生できるようになります。
利点
ビデオがダウンロードされた後、それは復号化されてオフラインで再生され、指定されたアプリケーションによってのみ再生され得る。
秘密鍵ファイルは、盗難を防ぐために暗号化後に保存されます。
各ビデオファイルは、各アプリケーションに独立した秘密鍵を有する。 単一のビデオの秘密鍵が開示される場合、他のビデオは影響を受けない。
この機能を使用するには、ApsaraVideo VODコンソールで暗号化ダウンロードを有効にします。 詳細については、「オフラインダウンロードの設定」をご参照ください。 ApsaraVideo Player for AndroidとApsaraVideo Player for iOSのみが安全なダウンロード機能をサポートしています。