簡介

完善的內容安全保護機制，可用于防止視頻內容被盜鏈、非法下載和傳播。可以滿足不同業務場景的安全需求，特別是在線版權問題尤為突出的獨播劇、在線教育、財經金融、行業培訓等領域。

視頻點播提供如下安全機制：

訪問限制

介紹：在云端配置視頻資源的訪問策略，可以達到基本保護。

主要手段有：

• Referer訪問限制

  基于HTTP協議支持的Referer機制，通過Referer跟蹤來源。可配置拒絕訪問的Referer黑名單，或僅允許訪問的白名單。

• User-Agent訪問限制

  基于HTTP協議支持的User-Agent請求頭跟蹤來源，可配置拒絕訪問的User-Agent黑名單，或僅允許訪問的白名單。

• IP訪問限制

  根據用戶請求的x-forwarded-for或真實建立連接的IP，可配置拒絕訪問的IP黑名單，或只允許訪問的白名單。支持IP列表和掩碼方式。

更多信息，請參見訪問限制。

URL鑒權

背景：固定不變的播放地址會導致視頻內容被持久的非法擴散傳播，且無法有效遏制。

介紹：URL鑒權通過生成動態的加密URL（包含權限驗證、過期時效等信息）來區分合法請求，以達到保護視頻資源的目的。

開啟URL鑒權后：

• 所有媒體資源，包括視頻、音頻、封面、截圖等地址都會進行鑒權。

• 點播的播放器SDK、獲取播放地址的API/SDK都會自動生成帶時效的播放URL。如需要自己生成鑒權的動態URL，則可參見URL鑒權中的鑒權方法。

更多信息，請參見URL鑒權。

遠程鑒權

背景：彌補URL鑒權對盜鏈等非法請求判斷較為單一，遠程鑒權可以引入客戶業務請求的問題，鑒權更加精準。

介紹：遠程鑒權是指點播CDN將用戶的請求透傳到客戶的鑒權中心，由客戶自己判定該請求是否合法，CDN根據客戶的判斷結果執行相應動作：允許或拒絕訪問。

• 遠程鑒權需要客戶自己開發和部署鑒權中心，該鑒權中心的域名如果同時在CDN上加速，可以按照一定規則緩存客戶的鑒權結果，以減輕客戶鑒權中心的壓力。

• 點播CDN會默認把用戶請求的headers和request_uri透傳到客戶自定義的鑒權中心，并根據鑒權中心返回的結果執行相應的動作。

• 如業務方可將其用戶的登錄Cookie或UUID等信息隱藏于播放請求中，進而透傳到自己的鑒權中心以判定是否為合法用戶。

更多信息，請參見遠程鑒權。

視頻加密

背景：防盜鏈安全機制能有效保障用戶的合法訪問，但對于付費觀看視頻的場景，用戶只需通過一次付費行為便可拿到視頻合法的防盜鏈播放URL，將視頻下載到本地，進而實現二次分發。因此，防盜鏈方案對于視頻版權保護是遠遠不夠的。視頻文件一旦泄露，會給付費觀看模式造成十分嚴重的經濟損失。

介紹：阿里云視頻加密是對視頻數據加密，即使下載到本地，視頻本身也是被加密的，無法惡意二次分發，可有效防止視頻泄露和盜鏈問題。

• 阿里云視頻加密（私有加密）

  阿里云視頻加密采用私有的加密算法和安全傳輸機制，提供云端一體的視頻安全方案，核心部分包括加密轉碼和解密播放。

  核心優勢：

  • 每個媒體文件擁有獨立的加密密鑰，能有效避免采用單一密鑰時，一個密鑰的泄露引起大范圍的安全問題。

  • 提供信封加密機制密文Key+明文Key，僅密文Key入庫，明文Key不落存儲，所有過程只在內存中，用完即銷毀。

  • 提供安全的播放器內核SDK，涵蓋iOS、Android、H5、Flash等多平臺，自動對加密內容進行解密播放。

  • 播放器和云端使用私有加密協議進行密文傳輸，不傳輸明文Key，有效防止密鑰被竊取。

  • 提供安全下載，緩存到本地的視頻會再次加密，在確保無網離線播放前提下，防止視頻被拷貝竊取。

  重要

  阿里云視頻加密使用限制如下：

  • 僅支持輸出HLS格式。

  • 只能使用阿里云播放器。

  • 暫不支持iOS系統的網頁端播放。

  更多信息，請參見阿里云視頻加密（私有加密）。

• HLS標準加密

  HLS標準加密支持HTTP Live Streaming中規定的通用加密方案，使用AES_128對視頻內容本身進行加密，同時能支持所有的HLS播放器，用戶可選擇使用自研或開源的播放器。相比阿里云視頻加密（私有加密）方案，靈活性更好，但使用門檻更高、安全性更低。

  • 用戶需搭建密鑰管理服務，提供密鑰生成（用于轉碼時對視頻內容進行加密）和解密服務（用于播放時獲取解密密鑰），也可基于阿里云KMS進行封裝。

  • 用戶需提供令牌頒發服務，用于驗證播放端的身份，避免解密密鑰被非法獲取。

  • 播放器和云端傳輸明文Key，容易被竊取。

  更多信息，請參見HLS標準加密。

• 商業DRM

  高端的視頻節目，需要滿足內容版權和提供商的安全要求，如好萊塢、華納等。阿里視頻云推出的云端DRM解決方案，支持Fairplay和Widevine加密，提供了一站式的視頻加密、license下發、播放等能力。

  更多內容，請參見DRM介紹。

特性比較：

• 安全等級：商業DRM>阿里云視頻加密（私有加密）>HLS標準加密。

  阿里云視頻加密安全性接近商業DRM，二者都明顯高于HLS標準加密。

• 易用性：商業DRM>阿里云視頻加密（私有加密）>HLS標準加密。

  • 阿里云視頻加密提供云端一體解決方案，只需簡單配置并接入阿里云播放器即可無縫集成加密能力。

  • HLS標準加密需自建密鑰管理和令牌頒發服務。

  • 商業DRM需購買License、集成特定SDK、自行開發端側業務邏輯等。

• 通用性：HLS標準加密>商業DRM>阿里云視頻加密（私有加密）。

  • HLS標準加密可適配所有HLS播放場景。

  • 商業DRM只支持授權平臺（如Chrome、Safari、IE、Edge瀏覽器，Android、iOS等）。

  • 阿里云視頻加密僅支持阿里云播放器（Android、iOS、H5、Flash）。

• 使用費用：阿里云視頻加密=HLS標準加密<<商業DRM。

  阿里云視頻加密和HLS標準加密都可免費使用，商業DRM需要支付額外的License費用。

安全下載（緩存）

背景：對于視頻類應用，特別是在移動端（Android、iOS），一般會有緩存、下載到本地的需求，并同時希望能進行安全保護防止被拷貝后惡意播放或傳播。阿里云播放器推出的安全下載功能可以有效保護下載到本地的視頻內容。

介紹：安全下載是指將視頻文件通過私鑰進行二次加密，下載后在播放器SDK內部完成視頻解密，保障離線視頻僅能通過唯一應用（安全下載中設定的bundleID或keystore）進行安全播放的一種下載方式。

核心優勢：

• 下載后視頻再次播放不需要聯網，可離線解密、播放，且只能由該應用播放。

• 私鑰文件加密后存儲，有效防止被竊取。

• 每個視頻文件在每個應用上都有獨立的私鑰，即便單個泄露也不會影響其它視頻。

使用時請先在點播控制臺開啟安全下載，具體操作，請參見下載設置。

數字水印

背景：對于現存的內容安全保護機制，始終沒有辦法徹底杜絕視頻內容被盜鏈、非法下載和傳播，因此，在提升視頻安全性時，一方面可以從加強視頻本身的安全機制著手，即不同程度地增加視頻被破解下載、盜鏈、播放的難度；另一方面可以從視頻被盜后的追責著手，當視頻發生泄露時，通過查找泄露源頭，可以封堵泄露源并對其追究法律責任，以此對盜鏈、非法下載和傳播等不法行為形成震懾。

介紹：數字水印是將水印信息隱藏到載體中的技術，人眼無法從視頻畫面中感知到水印的存在，水印信息經過特殊編碼，難以被篡改，使數字水印具有效果美觀、安全可靠等特點。視頻點播提供版權水印和溯源水印兩種類型的數字水印，可以廣泛運用于視頻的版權保護和泄露溯源等場景。

更多信息，請參見數字水印。