訪問限制和播放中心授權:用法簡單,安全登記較低,對于盜鏈有一定的防護作用,但是無法防止盜播。
業務方二次授權:用法復雜,需要自己搭建鑒權中心,安全系數高,對盜鏈有很好的防護作用,但是無法防止盜播。
視頻加密
阿里云視頻加密:因阿里云有自己成熟的安全的體系,對于用戶來說使用比較簡單,但是也有使用限制,就是必須集成阿里云的播放器。
HLS標準加密:HLS標準加密可適配所有HLS播放場景,但是需要自建密鑰管理和令牌頒發服務,而且需要使用支持HLS協議播放的播放器播放。
訪問限制
訪問限制是在云端配置視頻資源的訪問策略,達到基本的保護目的,主要手段有:
- Referer訪問限制:基于HTTP協議支持的Referer機制,通過Referer跟蹤來源,可配置拒絕訪問的Referer黑名單,或僅允許訪問的白名單,參考配置 Referer防盜鏈。可以通過破解合法的請求抓取Referer參數,請求是通過偽造Referer達到獲取資源的目的
- User-Agent訪問限制:基于HTTP協議支持的Usage-Agent請求頭跟蹤來源,可配置拒絕訪問的User-Agent黑名單,或僅允許訪問的白名單。破解方法同Referer
- IP訪問限制:根據用戶請求的x-forwarded-for或真實建立連接的IP,可配置拒絕訪問的IP黑名單,或只允許訪問的白名單。支持IP列表和掩碼方式,參考配置 IP黑/白名單。
- 訪問數限制:一定周期內,視頻URL的訪問次數限制、獨立IP數限制
IP黑白名單機制和訪問數限制,無法實現內容分發給大量C端用戶,不適合廣泛的內容消費場景,且后者在閾值范圍內也可能被非法訪問
以上幾種方式使用比較簡單但是安全系數較低,客戶端使用限制多且容易偽造,可以用于一些不重要的網頁圖片,視頻的防盜鏈
播放中心鑒權
播放地址若固定不變會帶來持久的非法擴散傳播,且無法有效遏制,視頻點播提供的URL鑒權可通過生成動態的加密URL(包含權限驗證、過期時效等信息)來區分合法請求,以達到保護視頻資源的目的。
- 開啟URL鑒權后,點播的播放器SDK、獲取播放地址的API/SDK都會自動生成帶時效的播放URL;如需要自己生成鑒權的動態URL,則可參考 URL鑒權 中的
鑒權方法
。 - 開啟URL鑒權后,所有媒體資源,包括視頻、音頻、封面、截圖等地址都會進行鑒權。
- 鑒權Key的設置是以域名為粒度,且存于服務端以確保安全;支持主、備Key平滑切換,若更換主Key,可使用備Key生成播放地址,以做為更換的橋接,實現交替更新。
使用方式參考 URL鑒權。
業務方二次鑒權
播放中心鑒權使用了阿里云的默認鑒權中心,但由于沒有客戶業務請求信息的輸入,對盜鏈等非法請求的判斷還比較單一,使用二次鑒權會更加精準。
- 二次鑒權是指點播CDN將用戶的請求透傳到客戶的鑒權中心,由客戶自己判定該請求是否合法,CDN根據客戶的判斷結果執行相應動作:允許或拒絕訪問。
- 二次鑒權需要客戶自己開發和部署鑒權中心,該鑒權中心的域名如果同時在 CDN上面加速,可以按照一定規則緩存客戶的鑒權結果,以減輕客戶鑒權中心的壓力。點播CDN會默認把用戶請求的 headers 和 request_uri 透傳到客戶自定義的鑒權中心,并根據鑒權中心返回的結果執行相應的動作。
如業務方可將其用戶的登錄Cookie或UUID等信息隱藏于播放請求中,進而透傳到自己的鑒權中心以判定是否為合法用戶。
視頻URL+Token--->CDN或OSS------>鑒權中心
二次鑒權使用門檻較高,需要客戶自己開發和部署鑒權中心,而且此業務需在阿里后臺另行開通*
視頻加密
防盜鏈安全機制能有效保障用戶的合法訪問,但對于付費觀看視頻的場景,用戶只需通過一次付費行為拿到視頻合法的防盜鏈播放URL,將視頻下載到本地,進而實現二次分發。因此,防盜鏈方案對于視頻版權保護是遠遠不夠的。視頻文件一旦泄露,會給付費觀看模式造成十分嚴重的經濟損失。
阿里云視頻加密是對視頻數據加密,即使下載到本地,視頻本身也是被加密的,無法惡意二次分發,可有效防止視頻泄露和盜鏈問題。
阿里云視頻加密
阿里云視頻加密采用私有的加密算法和安全傳輸機制,提供云端一體的視頻安全方案,核心部分包括 “加密轉碼” 和 “解密播放”。核心優勢:
- 每個媒體文件擁有獨立的加密鑰匙,能有效避免采用單一密鑰時,一個密鑰的泄露引起大范圍的安全問題。
- 提供信封加密機制“密文Key+明文Key”,僅密文Key入庫,明文Key不落存儲,所有過程只在內存中,用完即銷毀。
- 提供安全的播放器內核SDK,涵蓋iOS/Android/H5/Flash多平臺,自動對加密內容進行解密播放。
- 播放器和云端使用私有加密協議進行密文傳輸,不傳輸明文Key,有效防止密鑰被竊取。
- 提供安全下載,緩存到本地的視頻會再次加密,在確保無網離線播放前提下,防止視頻被拷貝竊取。
注意:阿里云視頻加密僅支持輸出HLS格式,且只能使用阿里云播放器。
播放流程:用戶請求播放視頻---->業務端向阿里云請求播放憑證----->阿里播放器用播放憑證和媒體ID請求播放
使用方式參考 阿里云視頻加密。
HLS標準加密
HLS標準加密支持 HTTP Live Streaming 中規定的通用加密方案,使用AES-128對視頻內容本身進行加密,同時能支持所有的HLS播放器,用戶可選擇使用自研或開源的播放器。相比私有加密方案,靈活性更好,但使用門檻更高、安全性更低:
- 用戶需搭建密鑰管理服務,提供密鑰生成(用于轉碼時對視頻內容進行加密)和解密服務(用于播放時獲取解密密鑰),也可基于 阿里云KMS 進行封裝。
- 用戶需提供令牌頒發服務,用于驗證播放端的身份,避免解密密鑰被非法獲取,此處為關鍵點,處理不好會千里之堤潰于蟻穴。
- 播放器和云端傳輸明文Key,容易被竊取。
使用方式參考 HLS標準加密。
商業DRM
高端的視頻節目,需要滿足內容提供商的安全要求,如好萊塢。阿里視頻云與獲得廣電和好萊塢雙認證的ChinaDRM服務商合作,推出國內首款云端DRM解決方案,即將開始商用,敬請期待。如有需求,可聯系您的商務經理,或提交工單、聯系售后咨詢。
視頻加密小結
- 視頻加密方案各有優劣,一般來說,越是標準、通用,靈活性越高,但安全性越低,選擇哪種方案取決于自己的業務場景,有所取舍:
-
安全等級:商業DRM ≈ 阿里云視頻加密 > HLS標準加密
阿里云視頻加密安全性接近商業DRM,二者都明顯高于HLS標準加密。
-
易用性:阿里云視頻加密 > HLS標準加密 > 商業DRM
阿里云視頻加密提供云端一體解決方案,只需簡單配置并接入阿里云播放器即可無縫集成加密能力;HLS標準加密需自建密鑰管理和令牌頒發服務;商業DRM需購買License,集成特定SDK等。
-
通用性:HLS標準加密 > 商業DRM > 阿里云視頻加密
HLS標準加密可適配所有HLS播放場景;商業DRM只支持授權平臺(如Chrome/Safari/IE/Edge瀏覽器,Android/iOS等);阿里云視頻加密僅支持阿里云播放器(Android/iOS/H5/Flash)。
-
使用費用:阿里云視頻加密 = HLS標準加密 << 商業DRM
阿里云視頻加密和HLS標準加密都可免費使用,商業DRM需要支付額外的License費用。
-
安全下載(緩存)
對于視頻類應用,特別是在移動端(Android/iOS),一般會有緩存、下載到本地的需求,并同時希望能進行安全保護防止被拷貝后惡意播放或傳播。阿里云播放器推出的安全下載功能可以有效保護下載到本地的視頻內容。
安全下載
是指將視頻文件通過私鑰進行二次加密,下載后在播放器SDK內部完成視頻解密,保障離線視頻僅能通過唯一應用(安全下載中設定的bundleID或keystore)進行安全播放的一種下載方式。主要優點:
- 下載后視頻再次播放不需要聯網,可離線解密、播放,且只能由該應用播放。
- 私鑰文件加密后存儲,有效防止被竊取。
- 每個視頻文件在每個應用上都有獨立的私鑰,即便單個泄露也不會影響其它視頻。
使用時請先在點播控制臺開啟 安全下載,暫時只支持 Android端播放器,和 iOS端播放器。