基于OSS的視頻安全------防盜鏈與防盜播

參考:阿里云視頻點(diǎn)播內(nèi)容安全保護(hù)機(jī)制

阿里云視頻點(diǎn)播提供了完善的內(nèi)容安全保護(hù)機(jī)制

訪問限制和播放中心授權(quán):用法簡單,安全登記較低,對(duì)于盜鏈有一定的防護(hù)作用,但是無法防止盜播于微。
業(yè)務(wù)方二次授權(quán):用法復(fù)雜,需要自己搭建鑒權(quán)中心青自,安全系數(shù)高株依,對(duì)盜鏈有很好的防護(hù)作用,但是無法防止盜播延窜。

視頻加密

阿里云視頻加密:因阿里云有自己成熟的安全的體系恋腕,對(duì)于用戶來說使用比較簡單,但是也有使用限制需曾,就是必須集成阿里云的播放器吗坚。
HLS標(biāo)準(zhǔn)加密:HLS標(biāo)準(zhǔn)加密可適配所有HLS播放場(chǎng)景,但是需要自建密鑰管理和令牌頒發(fā)服務(wù)呆万,而且需要使用支持HLS協(xié)議播放的播放器播放商源。

訪問限制

訪問限制是在云端配置視頻資源的訪問策略,達(dá)到基本的保護(hù)目的谋减,主要手段有:

  • Referer訪問限制:基于HTTP協(xié)議支持的Referer機(jī)制牡彻,通過Referer跟蹤來源,可配置拒絕訪問的Referer黑名單,或僅允許訪問的白名單庄吼,參考配置 Referer防盜鏈缎除。可以通過破解合法的請(qǐng)求抓取Referer參數(shù),請(qǐng)求是通過偽造Referer達(dá)到獲取資源的目的
  • User-Agent訪問限制:基于HTTP協(xié)議支持的Usage-Agent請(qǐng)求頭跟蹤來源总寻,可配置拒絕訪問的User-Agent黑名單器罐,或僅允許訪問的白名單。破解方法同Referer
  • IP訪問限制:根據(jù)用戶請(qǐng)求的x-forwarded-for或真實(shí)建立連接的IP渐行,可配置拒絕訪問的IP黑名單轰坊,或只允許訪問的白名單。支持IP列表和掩碼方式祟印,參考配置 IP黑/白名單肴沫。
  • 訪問數(shù)限制:一定周期內(nèi),視頻URL的訪問次數(shù)限制蕴忆、獨(dú)立IP數(shù)限制
    IP黑白名單機(jī)制和訪問數(shù)限制颤芬,無法實(shí)現(xiàn)內(nèi)容分發(fā)給大量C端用戶,不適合廣泛的內(nèi)容消費(fèi)場(chǎng)景套鹅,且后者在閾值范圍內(nèi)也可能被非法訪問
    以上幾種方式使用比較簡單但是安全系數(shù)較低站蝠,客戶端使用限制多且容易偽造,可以用于一些不重要的網(wǎng)頁圖片卓鹿,視頻的防盜鏈

播放中心鑒權(quán)

播放地址若固定不變會(huì)帶來持久的非法擴(kuò)散傳播沉衣,且無法有效遏制,視頻點(diǎn)播提供的URL鑒權(quán)可通過生成動(dòng)態(tài)的加密URL(包含權(quán)限驗(yàn)證减牺、過期時(shí)效等信息)來區(qū)分合法請(qǐng)求,以達(dá)到保護(hù)視頻資源的目的存谎。

  • 開啟URL鑒權(quán)后拔疚,點(diǎn)播的播放器SDK、獲取播放地址的API/SDK都會(huì)自動(dòng)生成帶時(shí)效的播放URL既荚;如需要自己生成鑒權(quán)的動(dòng)態(tài)URL稚失,則可參考 URL鑒權(quán) 中的 鑒權(quán)方法
  • 開啟URL鑒權(quán)后恰聘,所有媒體資源句各,包括視頻、音頻晴叨、封面凿宾、截圖等地址都會(huì)進(jìn)行鑒權(quán)。
  • 鑒權(quán)Key的設(shè)置是以域名為粒度兼蕊,且存于服務(wù)端以確保安全初厚;支持主、備Key平滑切換孙技,若更換主Key产禾,可使用備Key生成播放地址排作,以做為更換的橋接,實(shí)現(xiàn)交替更新亚情。

使用方式參考 URL鑒權(quán)妄痪。

業(yè)務(wù)方二次鑒權(quán)

播放中心鑒權(quán)使用了阿里云的默認(rèn)鑒權(quán)中心,但由于沒有客戶業(yè)務(wù)請(qǐng)求信息的輸入楞件,對(duì)盜鏈等非法請(qǐng)求的判斷還比較單一衫生,使用二次鑒權(quán)會(huì)更加精準(zhǔn)。

  • 二次鑒權(quán)是指點(diǎn)播CDN將用戶的請(qǐng)求透傳到客戶的鑒權(quán)中心履因,由客戶自己判定該請(qǐng)求是否合法障簿,CDN根據(jù)客戶的判斷結(jié)果執(zhí)行相應(yīng)動(dòng)作:允許或拒絕訪問。
  • 二次鑒權(quán)需要客戶自己開發(fā)和部署鑒權(quán)中心栅迄,該鑒權(quán)中心的域名如果同時(shí)在 CDN上面加速站故,可以按照一定規(guī)則緩存客戶的鑒權(quán)結(jié)果,以減輕客戶鑒權(quán)中心的壓力毅舆。點(diǎn)播CDN會(huì)默認(rèn)把用戶請(qǐng)求的 headers 和 request_uri 透傳到客戶自定義的鑒權(quán)中心西篓,并根據(jù)鑒權(quán)中心返回的結(jié)果執(zhí)行相應(yīng)的動(dòng)作。

如業(yè)務(wù)方可將其用戶的登錄Cookie或UUID等信息隱藏于播放請(qǐng)求中憋活,進(jìn)而透傳到自己的鑒權(quán)中心以判定是否為合法用戶岂津。
視頻URL+Token--->CDN或OSS------>鑒權(quán)中心

二次鑒權(quán)使用門檻較高,需要客戶自己開發(fā)和部署鑒權(quán)中心悦即,而且此業(yè)務(wù)需在阿里后臺(tái)另行開通*

視頻加密

防盜鏈安全機(jī)制能有效保障用戶的合法訪問吮成,但對(duì)于付費(fèi)觀看視頻的場(chǎng)景,用戶只需通過一次付費(fèi)行為拿到視頻合法的防盜鏈播放URL辜梳,將視頻下載到本地粱甫,進(jìn)而實(shí)現(xiàn)二次分發(fā)。因此作瞄,防盜鏈方案對(duì)于視頻版權(quán)保護(hù)是遠(yuǎn)遠(yuǎn)不夠的茶宵。視頻文件一旦泄露,會(huì)給付費(fèi)觀看模式造成十分嚴(yán)重的經(jīng)濟(jì)損失宗挥。

阿里云視頻加密是對(duì)視頻數(shù)據(jù)加密乌庶,即使下載到本地,視頻本身也是被加密的契耿,無法惡意二次分發(fā)瞒大,可有效防止視頻泄露和盜鏈問題。

阿里云視頻加密

阿里云視頻加密采用私有的加密算法和安全傳輸機(jī)制宵喂,提供云端一體的視頻安全方案糠赦,核心部分包括 “加密轉(zhuǎn)碼” 和 “解密播放”。核心優(yōu)勢(shì):

  • 每個(gè)媒體文件擁有獨(dú)立的加密鑰匙,能有效避免采用單一密鑰時(shí)拙泽,一個(gè)密鑰的泄露引起大范圍的安全問題淌山。
  • 提供信封加密機(jī)制“密文Key+明文Key”,僅密文Key入庫顾瞻,明文Key不落存儲(chǔ)泼疑,所有過程只在內(nèi)存中,用完即銷毀荷荤。
  • 提供安全的播放器內(nèi)核SDK退渗,涵蓋iOS/Android/H5/Flash多平臺(tái),自動(dòng)對(duì)加密內(nèi)容進(jìn)行解密播放蕴纳。
  • 播放器和云端使用私有加密協(xié)議進(jìn)行密文傳輸会油,不傳輸明文Key,有效防止密鑰被竊取古毛。
  • 提供安全下載翻翩,緩存到本地的視頻會(huì)再次加密,在確保無網(wǎng)離線播放前提下稻薇,防止視頻被拷貝竊取嫂冻。

注意:阿里云視頻加密僅支持輸出HLS格式,且只能使用阿里云播放器塞椎。

播放流程:用戶請(qǐng)求播放視頻---->業(yè)務(wù)端向阿里云請(qǐng)求播放憑證----->阿里播放器用播放憑證和媒體ID請(qǐng)求播放


加密轉(zhuǎn)碼 + 解密播放

使用方式參考 阿里云視頻加密桨仿。

HLS標(biāo)準(zhǔn)加密

架構(gòu)

HLS標(biāo)準(zhǔn)加密支持 HTTP Live Streaming 中規(guī)定的通用加密方案,使用AES-128對(duì)視頻內(nèi)容本身進(jìn)行加密案狠,同時(shí)能支持所有的HLS播放器服傍,用戶可選擇使用自研或開源的播放器。相比私有加密方案骂铁,靈活性更好伴嗡,但使用門檻更高、安全性更低:

  • 用戶需搭建密鑰管理服務(wù)从铲,提供密鑰生成(用于轉(zhuǎn)碼時(shí)對(duì)視頻內(nèi)容進(jìn)行加密)和解密服務(wù)(用于播放時(shí)獲取解密密鑰),也可基于 阿里云KMS 進(jìn)行封裝澄暮。
  • 用戶需提供令牌頒發(fā)服務(wù)名段,用于驗(yàn)證播放端的身份,避免解密密鑰被非法獲取泣懊,此處為關(guān)鍵點(diǎn)伸辟,處理不好會(huì)千里之堤潰于蟻穴。
  • 播放器和云端傳輸明文Key馍刮,容易被竊取信夫。

使用方式參考 HLS標(biāo)準(zhǔn)加密

商業(yè)DRM

高端的視頻節(jié)目,需要滿足內(nèi)容提供商的安全要求静稻,如好萊塢警没。阿里視頻云與獲得廣電和好萊塢雙認(rèn)證的ChinaDRM服務(wù)商合作,推出國內(nèi)首款云端DRM解決方案振湾,即將開始商用杀迹,敬請(qǐng)期待。如有需求押搪,可聯(lián)系您的商務(wù)經(jīng)理树酪,或提交工單、聯(lián)系售后咨詢大州。

視頻加密小結(jié)

  • 視頻加密方案各有優(yōu)劣续语,一般來說,越是標(biāo)準(zhǔn)厦画、通用疮茄,靈活性越高,但安全性越低苛白,選擇哪種方案取決于自己的業(yè)務(wù)場(chǎng)景娃豹,有所取舍:
    • 安全等級(jí):商業(yè)DRM ≈ 阿里云視頻加密 > HLS標(biāo)準(zhǔn)加密

      阿里云視頻加密安全性接近商業(yè)DRM,二者都明顯高于HLS標(biāo)準(zhǔn)加密购裙。

    • 易用性:阿里云視頻加密 > HLS標(biāo)準(zhǔn)加密 > 商業(yè)DRM

      阿里云視頻加密提供云端一體解決方案懂版,只需簡單配置并接入阿里云播放器即可無縫集成加密能力;HLS標(biāo)準(zhǔn)加密需自建密鑰管理和令牌頒發(fā)服務(wù)躏率;商業(yè)DRM需購買License躯畴,集成特定SDK等。

    • 通用性:HLS標(biāo)準(zhǔn)加密 > 商業(yè)DRM > 阿里云視頻加密

      HLS標(biāo)準(zhǔn)加密可適配所有HLS播放場(chǎng)景薇芝;商業(yè)DRM只支持授權(quán)平臺(tái)(如Chrome/Safari/IE/Edge瀏覽器蓬抄,Android/iOS等);阿里云視頻加密僅支持阿里云播放器(Android/iOS/H5/Flash)夯到。

    • 使用費(fèi)用:阿里云視頻加密 = HLS標(biāo)準(zhǔn)加密 << 商業(yè)DRM

      阿里云視頻加密和HLS標(biāo)準(zhǔn)加密都可免費(fèi)使用嚷缭,商業(yè)DRM需要支付額外的License費(fèi)用。

安全下載(緩存)

對(duì)于視頻類應(yīng)用耍贾,特別是在移動(dòng)端(Android/iOS)阅爽,一般會(huì)有緩存、下載到本地的需求荐开,并同時(shí)希望能進(jìn)行安全保護(hù)防止被拷貝后惡意播放或傳播付翁。阿里云播放器推出的安全下載功能可以有效保護(hù)下載到本地的視頻內(nèi)容。

安全下載 是指將視頻文件通過私鑰進(jìn)行二次加密晃听,下載后在播放器SDK內(nèi)部完成視頻解密百侧,保障離線視頻僅能通過唯一應(yīng)用(安全下載中設(shè)定的bundleID或keystore)進(jìn)行安全播放的一種下載方式砰识。主要優(yōu)點(diǎn):

  • 下載后視頻再次播放不需要聯(lián)網(wǎng),可離線解密佣渴、播放辫狼,且只能由該應(yīng)用播放。
  • 私鑰文件加密后存儲(chǔ)观话,有效防止被竊取予借。
  • 每個(gè)視頻文件在每個(gè)應(yīng)用上都有獨(dú)立的私鑰,即便單個(gè)泄露也不會(huì)影響其它視頻频蛔。

使用時(shí)請(qǐng)先在點(diǎn)播控制臺(tái)開啟 安全下載灵迫,暫時(shí)只支持 Android端播放器,和 iOS端播放器晦溪。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末瀑粥,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子三圆,更是在濱河造成了極大的恐慌狞换,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,651評(píng)論 6 501
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件舟肉,死亡現(xiàn)場(chǎng)離奇詭異修噪,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)路媚,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,468評(píng)論 3 392
  • 文/潘曉璐 我一進(jìn)店門黄琼,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人整慎,你說我怎么就攤上這事脏款。” “怎么了裤园?”我有些...
    開封第一講書人閱讀 162,931評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵撤师,是天一觀的道長。 經(jīng)常有香客問我拧揽,道長剃盾,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,218評(píng)論 1 292
  • 正文 為了忘掉前任淤袜,我火速辦了婚禮万俗,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘饮怯。我一直安慰自己,他們只是感情好嚎研,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,234評(píng)論 6 388
  • 文/花漫 我一把揭開白布蓖墅。 她就那樣靜靜地躺著库倘,像睡著了一般。 火紅的嫁衣襯著肌膚如雪论矾。 梳的紋絲不亂的頭發(fā)上教翩,一...
    開封第一講書人閱讀 51,198評(píng)論 1 299
  • 那天,我揣著相機(jī)與錄音贪壳,去河邊找鬼饱亿。 笑死,一個(gè)胖子當(dāng)著我的面吹牛闰靴,可吹牛的內(nèi)容都是我干的彪笼。 我是一名探鬼主播,決...
    沈念sama閱讀 40,084評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼蚂且,長吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼配猫!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起杏死,我...
    開封第一講書人閱讀 38,926評(píng)論 0 274
  • 序言:老撾萬榮一對(duì)情侶失蹤泵肄,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后淑翼,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體腐巢,經(jīng)...
    沈念sama閱讀 45,341評(píng)論 1 311
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,563評(píng)論 2 333
  • 正文 我和宋清朗相戀三年玄括,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了冯丙。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,731評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡惠豺,死狀恐怖银还,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情洁墙,我是刑警寧澤蛹疯,帶...
    沈念sama閱讀 35,430評(píng)論 5 343
  • 正文 年R本政府宣布,位于F島的核電站热监,受9級(jí)特大地震影響捺弦,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜孝扛,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,036評(píng)論 3 326
  • 文/蒙蒙 一列吼、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧苦始,春花似錦寞钥、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,676評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽蹄溉。三九已至,卻和暖如春您炉,著一層夾襖步出監(jiān)牢的瞬間柒爵,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,829評(píng)論 1 269
  • 我被黑心中介騙來泰國打工赚爵, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留棉胀,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 47,743評(píng)論 2 368
  • 正文 我出身青樓冀膝,卻偏偏與公主長得像唁奢,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子畸写,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,629評(píng)論 2 354