全部產品
Search
文件中心

ApsaraVideo Live:直播安全概述

更新時間:Jun 30, 2024

為保證直播服務配置、直播內容生產、推送和播放全過程的安全性,ApsaraVideo for Live提供了完善的Alibaba Content Security Service保護機制,可用於保障直播內容不被盜鏈、非法下載和傳播,可以滿足不同業務情境的安全需求。本文介紹如何保護直播安全。

直播安全簡介

由下圖我們可以瞭解到ApsaraVideo for Live豐富的安全手段。

直播安全-國際站

ApsaraVideo for Live提供如下安全機制:

安全機制

安全手段

特點

安全等級

使用門檻

帳號授權

RAM使用者

根據授權策略對RAM使用者可授予相應的許可權。

較低

低,僅需雲端配置

安全加速

HTTPS安全加速

HTTPS協議是以安全為目標的HTTP通道,將HTTP用SSL/TLS協議進行封裝。

低,僅需雲端配置

存取控制

Referer防盜鏈

基於HTTP Header跟蹤來源,但極易偽造。

低,僅需雲端配置

IP黑白名單

拒絕或只允許特定IP訪問,不適合大量C端使用者的分發。

較低

低,僅需雲端配置

推流播流URL鑒權

推流和播放的URL鑒權

支援自訂的鑒權Key和鑒權失效時間,動態產生鑒權URL。

較低,提供產生鑒權指令碼

業務方遠程鑒權

透傳業務請求資訊給客戶自訂鑒權中心來判斷合法性

客戶添加自訂的業務請求資訊,通過自建鑒權中心,更加精準識別合法請求。

較高,需部署鑒權中心,並確保高可用

視頻安全

阿里雲視頻加密

雲端一體的視頻加密解決方案,採用私人密碼編譯演算法對視頻流加密,確保視頻流安全傳輸。

較低,簡單配置並整合阿里雲播放器即可

DRM加密

蘋果Fairplay、GoogleWidevine的原生支援,安全層級很高,滿足大的著作權內容供應商的要求。

較高,按調用license次數進行收費,只需整合阿里雲播放器SDK

帳號授權

背景:由於阿里雲帳號AK有完全的許可權,一旦泄露風險巨大。

介紹:ApsaraVideo for Live會對每一次發起操作請求的使用者身份進行驗證,通過AccessKey驗證該帳號是否擁有相應的許可權。ApsaraVideo for Live支援對帳號進行驗證,並提供了系統授權策略,您還可以自訂授權策略。更多資訊,請參見許可權管理概述

安全加速

背景:HTTP協議以明文方式發送內容,不提供任何方式的資料加密。

介紹:安全超文字傳輸通訊協定 (HTTPS)(Hyper Text Transfer Protocol over Secure Socket Layer,簡稱 HTTPS),是以安全為目標的HTTP通道。簡單來說,HTTPS是HTTP的安全版,即將HTTP用SSL/TLS協議進行封裝,HTTPS的安全基礎是SSL/TLS。更多資訊,請參見安全加速

存取控制

在雲端配置ApsaraVideo for Live的存取原則,可以達到基本保護。

主要手段有:

  • Referer防盜鏈

    基於HTTP協議支援的Referer機制,通過Referer跟蹤來源。可配置拒絕訪問的Referer黑名單,或僅允許訪問的白名單。

  • IP黑白名單

    您可以通過配置IP黑白名單來實現對訪客身份的識別和過濾,從而限制訪問ApsaraVideo for Live資源的使用者,提升Live的安全性。

更多資訊,請參見存取控制

推流播流URL鑒權

背景:固定不變的播放地址會導致視頻內容被持久的非法擴散傳播,且無法有效遏制。

介紹:URL鑒權通過產生動態加密URL(包含許可權驗證、到期時效等資訊)來區分合法請求,以達到保護視頻資源的目的。

開啟URL鑒權後:

  • 直播推流URL和直播播流URL都會進行鑒權。

  • ApsaraVideo for Live的播放器SDK、擷取播放地址的API/SDK都會自動產生帶時效的播放URL。如需要自己產生鑒權的動態URL,則可參見URL鑒權中的鑒權方法。

更多資訊,請參見URL鑒權

業務方遠程鑒權

背景:目前播放中心鑒權對盜鏈等非法請求判斷較為單一,業務方遠程鑒權可以引入客戶業務請求的問題,鑒權更加精準。

介紹:業務方遠程鑒權是指直播CDN將使用者的請求透傳到客戶的鑒權中心,由客戶自己判定該請求是否合法,CDN根據客戶的判斷結果執行相應動作:允許或拒絕訪問。

  • 遠程鑒權需要客戶自己開發和部署鑒權中心,該鑒權中心的網域名稱如果同時在CDN上加速,可以按照一定規則緩衝客戶的鑒權結果,以減輕客戶鑒權中心的壓力。

  • 直播CDN會預設把使用者請求的headers和request_uri透傳到客戶自訂的鑒權中心,並根據鑒權中心返回的結果執行相應的動作。

  • 業務方可將其使用者的登入Cookie或UUID等資訊隱藏於播放請求中,進而透傳到自己的鑒權中心以判定是否為合法使用者。

說明

遠程鑒權使用門檻較高,需要客戶自己開發和部署鑒權中心,如果需要進行開通和配置。您可以提交工單聯絡阿里雲支援人員。關於如何提交工單,請參見聯絡我們

視頻安全

背景:防盜鏈安全機制能有效保障使用者的合法訪問,但對於付費觀看直播的情境,使用者只需通過一次付費行為便可拿到視頻合法的防盜鏈播放URL,將視頻下載到本地,進而實現二次分發。因此,防盜鏈方案對於視頻著作權保護是遠遠不夠的。視頻檔案一旦泄露,會給付費觀看模式造成嚴重的經濟損失。

介紹:阿里雲視頻加密是對視頻資料加密,即使下載到本地,視頻本身也是被加密的,無法二次分發,可有效防止視頻泄露和盜鏈問題。

  • 阿里雲視頻加密

    阿里雲視頻加密採用私人的密碼編譯演算法和安全傳輸機制,提供雲端一體的視頻安全方案,核心部分包括加密轉碼解密播放

    核心優勢:

    • 每個媒體檔案擁有獨立的加密鑰匙,能有效避免採用單一密鑰時,一個密鑰的泄露引起大範圍的安全問題。

    • 提供信封加密機制密文Key+明文Key,僅密文Key入庫,明文Key不落儲存,所有過程只在記憶體中,用完即銷毀。

    • 提供安全的播放器核心SDK,涵蓋iOS、Android、H5、Flash等多平台,自動對加密內容進行解密播放。

    • 播放器和雲端使用私人加密協議進行密文傳輸,不傳輸明文Key,有效防止密鑰被竊取。

    • 提供安全下載,緩衝到本地的視頻會再次加密,在確保無網離線播放前提下,防止視頻被拷貝竊取。

    重要

    阿里雲視頻加密使用限制如下:

    • 僅支援輸出HLS格式。

    • 只能使用阿里雲播放器。

    • 暫不支援網頁端播放。

    更多資訊,請參見阿里雲視頻加密

  • DRM加密

    高端的直播節目,需要滿足內容著作權和供應商的安全要求,如體育賽事、演唱會等。阿里視頻雲推出的雲端DRM解決方案,支援Fairplay和Widevine加密,提供了一站式的視頻加密、license下發、播放等能力。

    更多資訊,請參見DRM加密

視頻加密方案各有優劣。一般來說,越是標準、通用,靈活性越高,但安全性越低。您需要根據業務情境,有所取捨,選擇適合的方案。