摘要:阿里云視頻點(diǎn)播提供了完善的內(nèi)容安全保護(hù)機(jī)制�,可以滿足不同業(yè)務(wù)場(chǎng)景的安全需求。通用性標(biāo)準(zhǔn)加密阿里云視頻加密標(biāo)準(zhǔn)加密可適配所有播放場(chǎng)景阿里云視頻加密僅支持阿里云播放器。
摘要: 如何保障視頻內(nèi)容的安全�����,不被盜鏈�、非法下載和傳播,是困擾眾多企業(yè)已久的問(wèn)題�,特別是獨(dú)播劇、在線教育、財(cái)經(jīng)金融�、行業(yè)培訓(xùn)等在線版權(quán)視頻領(lǐng)域尤為迫切�����,處理不好會(huì)造成極為嚴(yán)重的經(jīng)濟(jì)損失,甚至法律風(fēng)險(xiǎn)���。阿里云視頻點(diǎn)播提供了完善的內(nèi)容安全保護(hù)機(jī)制�,可以滿足不同業(yè)務(wù)場(chǎng)景的安全需求��。
1. 概述
如何保障視頻內(nèi)容的安全�,不被盜鏈�����、非法下載和傳播�,是困擾眾多企業(yè)已久的問(wèn)題��,特別是獨(dú)播劇��、在線教育、財(cái)經(jīng)金融�����、行業(yè)培訓(xùn)等在線版權(quán)視頻領(lǐng)域尤為迫切,處理不好會(huì)造成極為嚴(yán)重的經(jīng)濟(jì)損失�,甚至法律風(fēng)險(xiǎn)��。
阿里云視頻點(diǎn)播提供了完善的內(nèi)容安全保護(hù)機(jī)制�,可以滿足不同業(yè)務(wù)場(chǎng)景的安全需求。
2. 訪問(wèn)限制
訪問(wèn)限制是在云端配置視頻資源的訪問(wèn)策略�,達(dá)到基本的保護(hù)目的���,主要手段有:
Referer��、IP和UA(User-Agent)的黑白名單
一定周期內(nèi)�,URL的訪問(wèn)次數(shù)限制、獨(dú)立IP數(shù)限制
2.1 Referer黑白名單
基于 HTTP 協(xié)議支持的 Referer機(jī)制����,通過(guò) Referer跟蹤來(lái)源,對(duì)來(lái)源進(jìn)行識(shí)別和判斷��,用戶可配置訪問(wèn)的 Referer 黑、白名單(二者互斥)來(lái)限制視頻資源被訪問(wèn)的情況�。
支持黑名單和白名單兩種模式��,訪客對(duì)資源發(fā)起請(qǐng)求后,請(qǐng)求到達(dá)CDN 節(jié)點(diǎn)�,節(jié)點(diǎn)會(huì)根據(jù)用戶預(yù)設(shè)的防盜 鏈黑名單或白名單進(jìn)行過(guò)濾�,符合規(guī)則可順利請(qǐng)求到視頻數(shù)據(jù);若不符合�����,請(qǐng)求會(huì)被拒絕�����,并返回403響應(yīng) 碼。
配置后會(huì)自動(dòng)添加泛域名支持,例如填寫(xiě)a.com�,最終配置生效的是*.a.com���,所有子級(jí)域名都會(huì)生效����。
由于移動(dòng)端一般拿不到Referer,當(dāng)前默認(rèn)支持空Referer訪問(wèn),可選擇關(guān)閉�。
示例
設(shè)置點(diǎn)播域名 vod-test1.cn-shanghai.aliyuncs.com 的Referer白名單為 aliyun.com�����,且不允許空Referer訪問(wèn)��,請(qǐng)求 數(shù)據(jù):
curl -i "http://vod-test1.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9ab241/5101d1f8-1643f9ab241.mp4"
返回
當(dāng)請(qǐng)求帶上允許的referer后即正常返回:
curl -i "http://vod-test1.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9ab241/5101d1f8-1643f9ab241.mp4"
-H "Referer: http://www.aliyun.com"
2.2 UA黑白名單
UA(User-Agent)是一個(gè)特殊字符串頭�����,幫助服務(wù)端識(shí)別用戶使用的操作系統(tǒng)及版本����、CPU類(lèi)型、瀏覽器及版本�����、 瀏覽器渲染引擎&語(yǔ)言和插件等���??赏ㄟ^(guò)UA黑白名單來(lái)限制特定瀏覽器或終端的訪問(wèn)。
如PC端IE9瀏覽器:
UserAgent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;Trident/5.0;
可模擬HTTP請(qǐng)求驗(yàn)證:
curl -i "http://vod-test1.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9ab241/5101d1f8-1643f9ab241.mp4"
-H "User-Agent: iPhone OS;MI 5"
2.3 IP黑白名單
視頻點(diǎn)播支持配置IP黑名單或白名單���,拒絕或只允許特定IP的訪問(wèn)����。
支持IP列表添加�,并支持添加IP網(wǎng)段,例如127.0.0.1/24�。
網(wǎng)段127.0.0.1/24,24表示采用子網(wǎng)掩碼中的前24位為有效位�,即用32-24=8bit來(lái)表示主機(jī)號(hào),該子網(wǎng)可以容納2^8 - 2 = 254 臺(tái)主機(jī)���,故可表示IP網(wǎng)段范圍:127.0.0.1~127.0.0.255��。
可選擇優(yōu)先使用 remote_addr 或 X-Forwarded-For(XFF) 作為請(qǐng)求端IP����,或者同時(shí)匹配�。
2.4 訪問(wèn)次數(shù)和獨(dú)立IP數(shù)限制
點(diǎn)播服務(wù)可限制媒體資源在一定時(shí)間周期內(nèi)(如1天)的最大訪問(wèn)次數(shù)和最大獨(dú)立IP數(shù),核心原理是所有請(qǐng)求先到中心化的訪問(wèn)計(jì)數(shù)服務(wù)進(jìn)行驗(yàn)證���,判斷是否超過(guò)預(yù)設(shè)的閾值���,若超過(guò)則拒絕服務(wù)�����,返回HTTP 403��。
該限制為URL(包括文件地址和簽名信息)維度而非文件維度�����,但可配置忽略URL中的部分參數(shù);限制的閾 值到域名粒度��,可多帶帶設(shè)置����。
訪問(wèn)計(jì)數(shù)服務(wù)是多區(qū)域部署的中心化服務(wù)�,一個(gè)URL只能被調(diào)度到其中一個(gè)區(qū)域,以保證中心化計(jì)數(shù)�。
CDN邊緣節(jié)點(diǎn)收到請(qǐng)求后會(huì)訪問(wèn)中心化計(jì)數(shù)服務(wù)進(jìn)行計(jì)數(shù)和驗(yàn)證。
2.5 小結(jié)
訪問(wèn)限制的使用門(mén)檻很低��,只需簡(jiǎn)單配置即可使用�����,能起到一定的保護(hù)作用,特別是Web端�����。
Referer和UA都是基于HTTP Header��,容易被偽造���,安全性低。
IP黑白名單機(jī)制和訪問(wèn)數(shù)限制�����,無(wú)法實(shí)現(xiàn)內(nèi)容分發(fā)給大量C端用戶���,不適合廣泛的內(nèi)容消費(fèi)場(chǎng)景���,且后者在 閾值范圍內(nèi)也可能被非法訪問(wèn)。
播放中心鑒權(quán)
播放地址若固定不變會(huì)帶來(lái)持久的非法擴(kuò)散傳播��,且無(wú)法有效遏制���,視頻點(diǎn)播提供的URL鑒權(quán)可通過(guò)生成動(dòng)態(tài)的加密URL(包含權(quán)限驗(yàn)證���、過(guò)期時(shí)效等信息)來(lái)區(qū)分合法請(qǐng)求�,以達(dá)到保護(hù)視頻資源的目的�����。
開(kāi)啟URL鑒權(quán)后�����,點(diǎn)播的播放器SDK�、獲取播放地址的API/SDK都會(huì)自動(dòng)生成帶時(shí)效的播放URL;如需要自己生成鑒權(quán)的動(dòng)態(tài)URL,則可使用下述 鑒權(quán) 法�。
開(kāi)啟URL鑒權(quán)后,所有媒體資源����,包括視頻、音頻�、封面、截圖等地址都會(huì)進(jìn)行鑒權(quán)�����。
鑒權(quán)Key的設(shè)置是以域名為粒度���,且存于服務(wù)端以確保安全;支持主���、備Key平滑切換����,若更換主Key����,可使用備Key生成播放地址,以做為更換的橋接��,實(shí)現(xiàn)交替更新��。
鑒權(quán)方法
鑒權(quán)URL構(gòu)成
http://DomainName/Filename?au...
鑒權(quán)URL由播放文件地址+驗(yàn)證串構(gòu)成��,驗(yàn)證串是根據(jù)鑒權(quán)key+過(guò)期時(shí)間通過(guò)md5算法計(jì)算得出�����,且具有時(shí)效性�, 默認(rèn)為3600秒(可后臺(tái)配置)的有效時(shí)間���,可在生成播放地址或獲取地址時(shí)設(shè)置過(guò)期時(shí)間;若地址過(guò)期則訪問(wèn)時(shí) CDN會(huì)返回HTTP 403��。
動(dòng)態(tài)地址示例
http://vod.example.com/video/...
示例中的auth_key參數(shù)值前綴1500523200(時(shí)間為2017-07-20 12:00:00)����,表示該地址會(huì)在2017-07-20 13:00:00過(guò)期。
更多信息可參考 阿里云視頻點(diǎn)播-URL鑒權(quán)����。
業(yè)務(wù)方二次鑒權(quán)
播放中心鑒權(quán)使用了阿里云的默認(rèn)鑒權(quán)中心,但由于沒(méi)有客戶業(yè)務(wù)請(qǐng)求信息的輸入��,對(duì)盜鏈等非法請(qǐng)求的判斷還比較單一����,使用二次鑒權(quán)會(huì)更加精準(zhǔn)。
二次鑒權(quán)是指點(diǎn)播CDN將用戶的請(qǐng)求透?jìng)鞯娇蛻舻蔫b權(quán)中心�����,由客戶自己判定該請(qǐng)求是否合法�,CDN根據(jù) 客戶的判斷結(jié)果執(zhí)行相應(yīng)動(dòng)作:允許或拒絕訪問(wèn)。
二次鑒權(quán)需要客戶自己開(kāi)發(fā)和部署鑒權(quán)中心��,該鑒權(quán)中心的域名如果同時(shí)在 CDN上面加速���,可以按照一定 規(guī)則緩存客戶的鑒權(quán)結(jié)果���,以減輕客戶鑒權(quán)中心的壓力�����。點(diǎn)播CDN會(huì)默將把用戶請(qǐng)求的 headers 和 request_uri 透?jìng)鞯娇蛻糇远x的鑒權(quán)中心���,并根據(jù)鑒權(quán)中心返回的結(jié)果執(zhí)行相應(yīng)的動(dòng)作。過(guò)程如下圖:
如業(yè)務(wù)方可將其用戶的登錄Cookie或UUID等信息隱藏于播放請(qǐng)求中��,進(jìn)而透?jìng)鞯阶约旱蔫b權(quán)中心以判定是否為合法用戶�����。
5. 視頻加密
防盜鏈安全機(jī)制能有效保障用戶的合法訪問(wèn)����,但對(duì)于付費(fèi)觀看視頻的場(chǎng)景�����,用戶只需通過(guò)一次付費(fèi)行為拿到視頻合 法的防盜鏈播放URL�,將視頻下載到本地,進(jìn)而實(shí)現(xiàn)二次分發(fā)���。因此���,防盜鏈方案對(duì)于視頻版權(quán)保護(hù)是遠(yuǎn)遠(yuǎn)不夠的��。視頻文件一旦泄露��,會(huì)給付費(fèi)觀看模式造成十分嚴(yán)重的經(jīng)濟(jì)損失�����。
阿里云視頻加密是對(duì)視頻數(shù)據(jù)加密�,即使下載到本地����,視頻本身也是被加密的,無(wú)法惡意二次分發(fā)���,可有效防止視頻泄露和盜鏈問(wèn)題��。
5.1 阿里云視頻加密
阿里云視頻加密采用私有的加密算法和安全傳輸機(jī)制�����,提供云端一體的視頻安全方案���,核心部分包括 “加密轉(zhuǎn)碼” 和 “解密播放”�。
核心優(yōu)勢(shì):
每個(gè)媒體文件擁有獨(dú)立的加密鑰匙���,能有效避免采用單一密鑰時(shí)����,一個(gè)密鑰的泄露引起大范圍的安全問(wèn)題����。
提供信封加密機(jī)制“密文Key+明文Key”,僅密文Key入庫(kù)����,明文Key不落存儲(chǔ),所有過(guò)程只在內(nèi)存中�����,用完 即銷(xiāo)毀�����。
提供安全的播放器內(nèi)核SDK��,涵蓋iOS/Android/Flash多平臺(tái)���,自動(dòng)對(duì)加密內(nèi)容進(jìn)行解密播放;H5播放器不支持加密視頻的播放����。
播放器和云端使用私有加密協(xié)議進(jìn)行密文傳輸����,不傳輸明文Key,有效防止密鑰被竊取��。
提供安全下載�����,緩存到本地的視頻會(huì)再次加密����,在確保無(wú)網(wǎng)離線播放前提下,防止視頻被拷貝竊取���。
注意:阿里云視頻加密僅支持輸出HLS格式�����,且只能使用阿里云播放器��。 更多信息參考 阿里云-視頻加密
5.2 HLS標(biāo)準(zhǔn)加密
HLS標(biāo)準(zhǔn)加密支持 HTTP Live Streaming 中規(guī)定的通用加密方案�����,使用AES-128對(duì)視頻內(nèi)容本身進(jìn)行加密��,同時(shí)能 支持所有的HLS播放器�,用戶可選擇使用自研或開(kāi)源的播放器。相比私有加密方案�,靈活性更好,但使用門(mén)檻更 高�、安全性更低:
用戶需搭建密鑰管理服務(wù),提供密鑰生成(用于轉(zhuǎn)碼時(shí)對(duì)視頻內(nèi)容進(jìn)行加密)和解密服務(wù)(用于播放時(shí)獲取 解密密鑰)�����,也可基于 阿里云KMS 進(jìn)行封裝���。
用戶需提供令牌頒發(fā)服務(wù)�,用于驗(yàn)證播放端的身份����,避免解密密鑰被非法獲取,此處為關(guān)鍵點(diǎn)��,處理不好會(huì)千里之堤潰于蟻穴���。
播放器和云端傳輸明文Key����,容易被竊取�����。
更多信息參考 阿里云-HLS標(biāo)準(zhǔn)加密
5.3 小結(jié)
視頻加密方案各有優(yōu)劣��,一般來(lái)說(shuō)���,越是標(biāo)準(zhǔn)�����、通用�,靈活性越高�,但安全性越低,選擇哪種方案取決于自己的業(yè)務(wù)場(chǎng)景,有所取舍:
安全等級(jí):阿里云視頻加密 > HLS標(biāo)準(zhǔn)加密
阿里云視頻加密安全性明顯高于HLS標(biāo)準(zhǔn)加密�����。
易用性:阿里云視頻加密 > HLS標(biāo)準(zhǔn)加密
阿里云視頻加密提供云端一體解決方案�����,只需簡(jiǎn)單配置并接入阿里云播放器即可無(wú)縫集成加密能力;HLS標(biāo)準(zhǔn)加密需自建密鑰管理和令牌頒發(fā)服務(wù)���。
通用性:HLS標(biāo)準(zhǔn)加密 > 阿里云視頻加密
HLS標(biāo)準(zhǔn)加密可適配所有M3U8播放場(chǎng)景;阿里云視頻加密僅支持阿里云播放器 (Android/iOS/Flash)����。
使用費(fèi)用:阿里云視頻加密 = HLS標(biāo)準(zhǔn)加密
阿里云視頻加密和HLS標(biāo)準(zhǔn)加密都可免費(fèi)使用�。
iOS/Android/Flash使用阿里云視頻加密或HLS標(biāo)準(zhǔn)加密會(huì)有很好的安全性;但由于H5端為明文,要保證更高的安全性首選商業(yè)DRM(Chrome等瀏覽器的原生支持)�。
原文鏈接
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11382.html
