在中國(guó)，以在線教育、職業(yè)培訓(xùn)、OTT 服務(wù)商等為代表的網(wǎng)絡(luò)視頻行業(yè)，其付費(fèi)規(guī)模逐步增長(zhǎng)。然而，針對(duì)網(wǎng)絡(luò)視頻的盜版侵權(quán)行為層出不窮，對(duì)版權(quán)方利益造成了嚴(yán)重的損失。因此，這一類用戶急切地希望其高質(zhì)量的視頻內(nèi)容能受到加密保護(hù)，僅允許自己的付費(fèi)用戶觀看。

云點(diǎn)播高度關(guān)注用戶的視頻內(nèi)容安全，在視頻加密的安全性和加密速度上深入思考并不斷創(chuàng)新。下面將為您詳細(xì)介紹云點(diǎn)播在視頻加密的技術(shù)實(shí)踐。

基礎(chǔ)加密方案

Apple 的 HLS 是當(dāng)前行業(yè)應(yīng)用最廣的在線音視頻流格式，并且 HLS 也提供了一種使用對(duì)稱密鑰加密方案，一般被稱為 HLS Encryption。

HLS Encryption 的基本原理是，內(nèi)容平臺(tái)將 HLS 中的各個(gè) TS 文件使用 AES-128 的密鑰（Key）和初始向量進(jìn)行加密。然后，在 M3U8 文件指明播放器解密時(shí)所需要的信息。

1 #EXTM3U
2 #EXT-X-VERSION:3
3 #EXT-X-KEY:METHOD=AES-128,URI=“https://keyprovider”,IV=0x1234
4 …
如上面的 M3U8 所示，若 HLS 被加密，解密所需要的信息被包含在 EXT-X-KEY 標(biāo)簽中：

TS 內(nèi)容被使用 AES-128 加密；

內(nèi)容密鑰從 https://keyprovider 地址獲??；

解密的初始向量為 0x123。

云點(diǎn)播的第一版加密方案，我們稱之為「基礎(chǔ)加密方案」，其解密過(guò)程如上圖所示：

播放器下載 M3U8 之后，向 EXT-X-KEY 中 URI 指定的地址請(qǐng)求內(nèi)容密鑰；

提供內(nèi)容密鑰的 URI 是用戶的業(yè)務(wù)服務(wù)器，當(dāng)密鑰請(qǐng)求被鑒權(quán)通過(guò)之后，向云點(diǎn)播請(qǐng)求對(duì)應(yīng)的內(nèi)容密鑰；

云點(diǎn)播向用戶的業(yè)務(wù)服務(wù)器派發(fā)內(nèi)容密鑰；

用戶業(yè)務(wù)服務(wù)器將內(nèi)容密鑰派發(fā)給播放器，供播放器解密內(nèi)容并播放。

云點(diǎn)播的「基礎(chǔ)加密方案」，是基于 HLS Encryption 實(shí)現(xiàn)的標(biāo)準(zhǔn)方案。采用這種方案加密之后，任何終端播放該視頻，都必須通過(guò)業(yè)務(wù)服務(wù)器的合法校驗(yàn)并獲取內(nèi)容密鑰，否則無(wú)法播放。

雖然，「基礎(chǔ)加密方案」能夠?qū)崿F(xiàn)對(duì)視頻的加密保護(hù)，但是內(nèi)容密鑰的傳輸存在安全性問(wèn)題。根據(jù) HLS Encryption 的設(shè)計(jì)，播放器從 EXT-X-KEY 中 URI 指定的地址獲得內(nèi)容密鑰，并用該密鑰解密視頻內(nèi)容。但是，這里獲得的內(nèi)容密鑰是未經(jīng)保護(hù)的。

如圖所示，當(dāng)我們使用 Chrome 瀏覽器播放 HLS 加密視頻時(shí)，可以開(kāi)啟調(diào)試模式捕捉獲取內(nèi)容密鑰的網(wǎng)絡(luò)請(qǐng)求。

在請(qǐng)求的應(yīng)答體中，內(nèi)容密鑰的原始二進(jìn)制內(nèi)容被展示出來(lái)了。這意味著，攻擊者只需要啟用瀏覽器調(diào)試模式，或者其他的網(wǎng)絡(luò)抓包工具，就能拿到內(nèi)容密鑰，造成密鑰的泄露。

私有加密方案

針對(duì)「基礎(chǔ)加密方案」存在的問(wèn)題，云點(diǎn)播的思考是，能不能對(duì)內(nèi)容密鑰本身做一層保護(hù)呢？于是，云點(diǎn)播提出了一種「私有加密方案」。

具體的流程如上圖所示：

播放器向業(yè)務(wù)服務(wù)器請(qǐng)求簽名；

業(yè)務(wù)服務(wù)器對(duì)播放請(qǐng)求鑒權(quán)，通過(guò)后派發(fā)簽名；

播放器隨機(jī)生成臨時(shí)密鑰，和簽名一并發(fā)送給云點(diǎn)播服務(wù)器（通過(guò) M3U8 中 EXT-X-KEY 中 URI 指定）；

云點(diǎn)播服務(wù)器校驗(yàn)簽名后，使用播放器發(fā)送的隨機(jī)密鑰，對(duì)內(nèi)容密鑰加密并返回給客戶端；

客戶端使用之前生成隨機(jī)密鑰進(jìn)行解密，得到原始內(nèi)容密鑰，再解密內(nèi)容并播放。

「私有加密方案」通過(guò)客戶端生成的臨時(shí)密鑰，對(duì)原始內(nèi)容密鑰進(jìn)行加密。相比于標(biāo)準(zhǔn)的「基礎(chǔ)加密方案」，避免了內(nèi)容密鑰直接暴露給攻擊者，提高了安全性。

采用「私有加密方案」后，極大地提升了攻擊者破解加密內(nèi)容的門(mén)檻，有效杜絕了市面上一大批破解加密的插件和黑產(chǎn)軟件的攻擊。

然而，「私有加密方案」本質(zhì)上是一種軟件級(jí)的加密加強(qiáng)方案，理論上攻擊者通過(guò)反編譯等手段，仍有可能弄清楚私有加密的具體機(jī)制，而進(jìn)行針對(duì)性的破譯。

商業(yè)級(jí) DRM

以 Apple 的 Fairplay 和 Google 的 Widevine 為代表的商業(yè)級(jí) DRM，采用硬件級(jí)的加解密形式，是目前行業(yè)內(nèi)公認(rèn)的安全級(jí)別最高的版權(quán)保護(hù)解決方案。

商業(yè)級(jí) DRM 的原理是，DRM 系統(tǒng)把內(nèi)容密鑰進(jìn)行加密后封裝到許可證中，通過(guò)許可證服務(wù)派發(fā)給播放設(shè)備。播放設(shè)備中的專門(mén)解密模塊負(fù)責(zé)提取出許可證中的原始內(nèi)容密鑰，解密視頻播放。因?yàn)閺脑S可證中提取出內(nèi)容密鑰，以及使用內(nèi)容密鑰解密視頻流的過(guò)程，都發(fā)生在播放設(shè)備的專門(mén)硬件之中，因而可以保證解密過(guò)程和解密結(jié)果不被泄露。

如上圖所示，當(dāng)設(shè)備從內(nèi)容服務(wù)器（Web Server）下載到商業(yè)級(jí) DRM 保護(hù)的內(nèi)容后，向許可證服務(wù)器（Lincese Server）請(qǐng)求許可證，并將許可證交給設(shè)備內(nèi)核由專門(mén)硬件進(jìn)行解密。

然而，作為一家視頻平臺(tái)，直接接入任何一家商業(yè)級(jí) DRM 系統(tǒng)都需要極高的成本。首先，商業(yè)級(jí) DRM 一般需要對(duì)接入方進(jìn)行嚴(yán)格的審核，并需要通過(guò)一系列認(rèn)證和考試，才會(huì)授予接入的資質(zhì)。另外，不同商業(yè)級(jí) DRM 系統(tǒng)的實(shí)現(xiàn)均有差異，學(xué)習(xí)成本高，對(duì)各類流格式和平臺(tái)的支持程度也各不相同。

云點(diǎn)播提供了專業(yè)穩(wěn)定的 KMS 和許可證服務(wù)器，為用戶屏蔽了商業(yè)級(jí) DRM 的復(fù)雜性。具體的播放流程如上圖所示：

播放器向業(yè)務(wù)服務(wù)器請(qǐng)求簽名；

業(yè)務(wù)服務(wù)器對(duì)播放請(qǐng)求進(jìn)行鑒權(quán)，通過(guò)后派發(fā)簽名；

播放器將簽名和許可證請(qǐng)求發(fā)給許可證服務(wù)器；

許可證服務(wù)器對(duì)簽名鑒權(quán)通過(guò)后，派發(fā)許可證。

最終，客戶端獲取許可證中的原始內(nèi)容密鑰，解密內(nèi)容并播放。

云點(diǎn)播目前已經(jīng)集成 FairPlay 和 Widevine 兩種主流 DRM 系統(tǒng)，幫助用戶快速享受對(duì)視頻內(nèi)容的行業(yè)最高水平的保護(hù)水平。

加密方案的選擇

從「基礎(chǔ)加密方案」，到「私有加密方案」再到「商業(yè)級(jí) DRM」，加密的安全性逐級(jí)加強(qiáng)，那么是否意味著「商業(yè)級(jí) DRM」就是一定是適合所有用戶的最佳方案呢？

事實(shí)上，更高的安全級(jí)別是以更低的平臺(tái)適配度作為代價(jià)的：

• 基礎(chǔ)加密方案：基本適用于所有可以播放 HLS 的終端，適配度最高；
• 私有加密方案：可適配所有移動(dòng)端，但 Web 端僅適配支持 MSE 的瀏覽器（例如 safari 不支持）；
• 商業(yè)級(jí) DRM：國(guó)內(nèi)部分品牌手機(jī)和 PC 閹割了 DRM 模塊，適配度最低。
  

云點(diǎn)播的私有加密方案可支持播放時(shí)自動(dòng)降級(jí)。開(kāi)啟后，如播放終端的瀏覽器不支持 MSE，能自動(dòng)降級(jí)到基礎(chǔ)加密方式播放。但是商業(yè)級(jí) DRM 對(duì)于終端的硬件要求十分苛刻，如設(shè)備不支持 DRM 時(shí)，將導(dǎo)致播放失敗。

因此，建議用戶根據(jù)自身實(shí)際的播放場(chǎng)景和對(duì)安全級(jí)別的要求進(jìn)行權(quán)衡。例如：

• OTT 用戶對(duì)于電影等內(nèi)容保護(hù)級(jí)別要求極高，且播放終端相對(duì)單一（電視盒子），建議采用商業(yè)級(jí) DRM；
• 需要支持多端播放（移動(dòng)端、PC、Web、小程序等）的教育培訓(xùn)類用戶，建議采用私有加密方案。

騰訊云與尚硅谷聯(lián)合推出的精品項(xiàng)目課程《硅谷課堂 —— 基于騰訊云產(chǎn)品搭建在線課堂》已上線 “騰訊云開(kāi)發(fā)者社區(qū)”。硅谷課堂是一款基于微信公眾號(hào) B2C 模式的在線學(xué)習(xí)平臺(tái)，此課程包含了如何應(yīng)用騰訊云文件存儲(chǔ)和視頻點(diǎn)播服務(wù)、騰訊云 CODING DevOps 產(chǎn)品搭建在線學(xué)習(xí)平臺(tái)。整套課程共 28 小時(shí)，通過(guò)系統(tǒng)化的理論講解和上機(jī)演示為開(kāi)發(fā)者提供完整的項(xiàng)目實(shí)戰(zhàn)解析，幫助 Java 程序員積累項(xiàng)目經(jīng)驗(yàn)。 干貨滿滿，機(jī)構(gòu)名師手把手教學(xué)！
快來(lái)領(lǐng)取全套課程！
《硅谷課堂 —— 基于騰訊云產(chǎn)品搭建在線課堂》
更有騰訊云產(chǎn)品免費(fèi)試用等你領(lǐng)??！
騰訊云產(chǎn)品代金券
騰訊云音視頻產(chǎn)品免費(fèi)試用中心文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-426764.html

到了這里，關(guān)于打造更安全的視頻加密，云點(diǎn)播版權(quán)保護(hù)實(shí)踐的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！