視頻內容誰來保護？阿里雲視頻加密解決方案架構及實現原理解析

視頻行業的從業者——尤其是在線教育、財經分析等重視內容版權的播放平台都知道，視頻安全是一個非常重要的基礎需求。用戶通過一次付費行為，就可以拿到付費視頻的播放URL，將播放URL進行二次分發，這種行為叫做盜鏈；用戶直接將視頻下載到本地，然後再進行二次上傳分發，這種行為叫做盜播，這兩種行為都會給內容版權方造成十分嚴重的經濟損失，面對日漸增多的盜鏈和盜播情況，我們應該怎麼樣去保護內容呢？

阿里雲最新推出的視頻加密解決方案對視頻版權的保護可以從視頻處理的各個環節來分別實現。阿里雲通過轉碼、播放、分發等傳輸鏈路中環環相扣的保護措施，全方位保障視頻內容安全。

阿里雲視頻加密解決方案，實際上是對視頻數據進行加密，首先在播放階段實現視頻內容防盜鏈功能，即使視頻內容被下載到本地，視頻文件本身也是被加密的，無法進行惡意的二次上傳分發。該解決方案，廣泛應用於前文所提及的在線教育、財經金融、行業培訓、獨播劇等在線版權視頻領域。

下面我們來從技術角度來看看，阿里雲是如何實現視頻加密保護的。在業務層，加密類型有以下兩種：

1. 阿里雲私有加密

媒體轉碼服務把視頻文件轉成加密的HLS格式，然後通過阿里雲的iOS/Android/Flash播放器對加密內容進行解密播放。安全級別高，能夠便捷、高效、安全地保護視頻資源。

阿里雲私有加密整體架構圖：

整個視頻加密的實現包括兩個大部分， 加密轉碼和解密播放。

1. 加密轉碼

流程是：業務方提交需要「數據加密」的轉碼作業；阿里雲視頻雲服務負責通過「密鑰管理服務KMS」生成「明文key」和「密文key」；使用「明文key」，來加密視頻文件，轉碼完成後，「明文key」丟棄，不存儲；保存「密文key」和加密後的視頻文件到OSS輸出Bucket，最終轉碼完成。

2. 解密播放

流程是：第一步業務授權，移動端的APP或者Web播放器訪問視頻時，先訪問業務方自己的後端服務，業務方可以在這裡加上自己的許可權控制。如果業務方允許播放，則通過業務方子賬號的AK訪問STS，獲取安全令牌，並返回給APP或Web播放器；第二步是獲取播放地址，移動端APP或Web播放器把安全令牌和媒體ID參數傳輸給阿里雲播放服務，播放器SDK會負責剩下的播放流程，包括獲取對應的多格式、多清晰的播放地址和獲取對應的加密鑰匙；第三步是解密播放，視頻雲提供了安全的播放內核SDK，使用加密鑰匙對內容解密，然後進行視頻播放。

在解密播放過程中，涉及到另一層視頻保護手段——安全下載，它是指將視頻文件通過秘鑰進行二次加密，下載後在SDK內部完成視頻解密，保障離線視頻僅能通過唯一應用進行安全播放的一種下載方式。

安全下載使用流程圖：

該技術的應用場景：終端用戶有離線觀看視頻的需求，並且需要保護視頻版權，防止視頻被盜用的情況下，可將離線下載設置為安全下載。設置安全下載後，離線下載的視頻僅能通過在點播控制台設定的唯一應用並且集成點播播放器SDK來播放，確保視頻文件被盜用的情況下別的應用也無法播放，讓離線視頻更加安全。

在使用私有加密時，需要關注賬戶和視頻內容相關的安全策略，以下是防攻擊的應對策略：

整體來說，這個方案的優勢在於每個媒體文件擁有獨立的加密鑰匙，能有效避免採用單一密鑰時，一個密鑰的泄露引起大範圍的安全問題，從而大大提升了視頻的安全性。

2.HLS標準加密

媒體轉碼服務將視頻內容按照HLS AES-128標準協議進行加密，加密後的視頻使用支持HLS規定的播放器均可播放。安全級別低於私有加密，需業務方進行密鑰保護，如登錄cookie、refer限制等。

HLS標準加密（MTS）整體架構圖：

以上兩種加密類型滿足不同的業務需求，客戶可根據如下對比選擇適合自己的類型：

在易用性方面，阿里雲視頻加密解決方案所提供的兩種加密類型均優於業界DRM加密方案如下對比：

阿里雲視頻加密解決方案除了在業務層提供有效的防護之外，在播放器這一層，阿里雲也在播放器SDK和播放服務之間利用https等手段，保證鏈路傳輸安全，同時在播放器端用一些App加固和授權等手段，保證密鑰傳輸時不被破解。在CDN分發層面，用戶也可以通過CDN加速OSS私有Bucket，來實現加速鏈路上的內容安全。

以上就是阿里雲視頻加密解決方案，客戶可以通過在阿里雲官網開通媒體轉碼服務或視頻點播服務等操作來接入，並且可以對工作流進行相應的配置。