HLS（M3U8）标准加密改写 - 视频点播

开启M3U8标准加密改写功能后，可以改写HLS（HTTP Live Streaming）协议的M3U8文件（Media Playlist，媒体播放列表）。改写成功后会在M3U8文件内#EXT-X-KEY标签后面增加加密参数（包括加密算法、密钥URI地址和鉴权参数），客户端收到被改写的M3U8文件以后，将会使用带鉴权参数的密钥URI来发起请求，从CDN节点获取到密钥以后将会使用对应的加密算法和密钥来解密TS文件。即通过配置M3U8标准加密改写功能，可以实现对HLS数据访问过程的加密保护。

您可以参考以下内容，详细了解HLS（M3U8）标准加密改写：

背景信息
技术原理
适用场景
使用方法

背景信息

HLS（HTTP Live Streaming的缩写）是一个由苹果公司提出的基于HTTP的流媒体网络传输协议。HLS协议基于HTTP协议，客户端按照顺序使用HTTP协议下载存储在服务器上的文件。HLS协议规定，视频的封装格式是TS（Transport Stream），除了TS视频文件本身，还定义了用来控制播放的M3U8文件（文本文件）。HLS协议的工作原理是把整个视频流分割成一个个小的TS格式视频文件来传输，在开始一个流媒体会话时，客户端会先下载一个包含TS文件URL地址的M3U8文件（相当于一个播放列表），给客户端用于下载TS文件。

HLS基本字段：

#EXTM3U：M3U8文件头，必须放在第一行。
EXT-X-MEDIA-SEQUENCE ：第一个TS分片的序列号，一般情况下是0，但是在直播场景下，这个序列号标识直播段的起始位置； #EXT-X-MEDIA-SEQUENCE:0。
#EXT-X-TARGETDURATION：每个分片TS的最大的时长； #EXT-X-TARGETDURATION:10 ，表示每个分片的最大时长是10秒。
#EXT-X-ALLOW-CACHE：是否允许cache，#EXT-X-ALLOW-CACHE:YES 、#EXT-X-ALLOW-CACHE:NO，默认情况下是YES。
#EXT-X-ENDLIST：M3U8文件结束符。
#EXTINF：extra info，分片TS的信息，如时长，带宽等；一般情况下是 #EXTINF:<duration>,[<title>] 后面可以跟其他的信息，逗号之前是当前分片的TS时长。分片时长要小于 #EXT-X-TARGETDURATION 定义的值。
#EXT-X-VERSION：M3U8版本号。
#EXT-X-DISCONTINUITY：该标签表明其前一个切片与下一个切片之间存在中断。
#EXT-X-PLAYLIST-TYPE ：表明流媒体类型。
#EXT-X-KEY：是否加密解析。例如：#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/video.key?token=xxx" 加密算法是AES-128，密钥通过请求 https://example.com/video.key?token=xxx 来获取，密钥请求回来以后存储在本地，并用于解密后续下载的TS视频文件。

技术原理

客户端向CDN节点发起对M3U8文件的访问请求，例如：http://example.com/media/index.m3u8?MtsHlsUriToken=xxx。
CDN节点对客户端的访问请求进行校验，校验通过。
CDN节点从源站下载原始M3U8文件，并缓存原始M3U8文件。
CDN节点对原始M3U8文件的#EXT-X-KEY标签进行改写，增加加密方式、密钥URI和鉴权参数，例如：#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/video.key?MtsHlsUriToken=xxx"。
CDN节点将改写后的M3U8文件返回给客户端。
客户端解析改写后的M3U8文件，拿到密钥URI地址https://example.com/video.key?MtsHlsUriToken=xxx，并发起访问请求。
CDN节点收到客户端请求，鉴权通过之后，将key文件返回给客户端。
客户端继续解析改写后的M3U8文件，从CDN节点下载其中的TS视频文件。
客户端使用key文件内的密钥和前面#EXT-X-KEY标签内定义的加密算法来解密TS视频文件。

适用场景

HLS协议采用M3U8文件来告知客户端视频文件播放列表，客户端拿到M3U8文件以后就可以直接播放视频，为了避免源站的视频文件被非授权客户端访问，需要对HLS协议使用的TS视频文件做加密，对TS视频文件做了加密以后，还需要告知客户端解密方法，这里就可以通过配置M3U8标准加密改写功能，通过#EXT-X-KEY标签来告知客户端加密算法、密钥URI和鉴权key。

使用方法

在视频点播控制台开启HLS标准加密参数透传。
详细步骤请参见HLS标准加密参数透传。

客户端携带MtsHlsUriToken参数向CDN节点发起对M3U8文件的访问请求。

其中，MtsHlsUriToken需要您自行搭建令牌服务，颁发用户令牌（即生成MtsHlsUriToken）。

下述代码所生成的Token即是MtsHlsUriToken。下述Java示例代码中，您需要按实际情况变更的参数如下：


参数	传入值
ENCRYPT_KE	加密Key，为用户自定义字符串，长度为16、24或32位。
INIT_VECTOR	加密偏移量，为用户自定义字符串，长度为16位，不能含有特殊字符。

import org.apache.commons.codec.binary.Base64;
import org.apache.commons.lang3.StringUtils;

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.util.Arrays;

public class PlayToken {
    //非AES生成方式，无需以下参数
    private static String ENCRYPT_KEY = ""; //加密Key，为用户自定义的字符串，长度为16、24或32位
    private static String INIT_VECTOR = ""; //加密偏移量，为用户自定义字符串，长度为16位，不能含有特殊字符

    public static void main(String[] args) throws Exception {

        String serviceId = "12";
        PlayToken playToken = new PlayToken();
        String aesToken = playToken.generateToken(serviceId);
        //System.out.println("aesToken " + aesToken);
        //System.out.println(playToken.validateToken(aesToken));   //验证解密部分

    }
    /**
     * 根据传递的参数生成令牌
     * 说明：
     *  1、参数可以是业务方的用户ID、播放终端类型等信息
     *  2、调用令牌接口时生成令牌Token
     * @param args
     * @return
     */
    public String generateToken(String... args) throws Exception {
        if (null == args || args.length <= 0) {
            return null;
        }
        String base = StringUtils.join(Arrays.asList(args), "_");
        //设置30S后，该token过期，过期时间可以自行调整
        long expire = System.currentTimeMillis() + 30000L;
        base += "_" + expire;   //自定义字符串，base的长度为16位字符（此例中，时间戳占13位，下划线（_）占1位，则还需传入2位字符。实际配置时也可按需全部更改，最终保证base为16、24或32位字符串即可。）
        //生成token
        String token = encrypt(base, ENCRYPT_KEY);  //arg1为要加密的自定义字符串，arg2为加密Key
        //保存token，用于解密时校验token的有效性，例如：过期时间、token的使用次数
        saveToken(token);
        return token;
    }

    /**
     * 验证token的有效性
     * 说明：
     *  1、解密接口在返回播放密钥前，需要先校验Token的合法性和有效性
     *  2、强烈建议同时校验Token的过期时间以及Token的有效使用次数
     * @param token
     * @return
     * @throws Exception
     */
    public boolean validateToken(String token) throws Exception {
        if (null == token || "".equals(token)) {
            return false;
        }
        String base = decrypt(token,ENCRYPT_KEY); //arg1为解密字符串，arg2为解密Key
        //先校验token的有效时间
        Long expireTime = Long.valueOf(base.substring(base.lastIndexOf("_") + 1));
        System.out.println("时间校验：" + expireTime);
        if (System.currentTimeMillis() > expireTime) {
            return false;
        }
        //从DB获取token信息，判断token的有效性，业务方可自行实现
        TokenInfo dbToken = getToken(token);
        //判断是否已经使用过该token
        if (dbToken == null || dbToken.useCount > 0) {
            return false;
        }
        //获取到业务属性信息，用于校验
        String businessInfo = base.substring(0, base.lastIndexOf("_"));
        String[] items = businessInfo.split("_");
        //校验业务信息的合法性，业务方实现
        return validateInfo(items);
    }
    /**
     * 保存Token到DB
     * 业务方自行实现
     *
     * @param token
     */
    public void saveToken(String token) {
        //TODO 存储Token
    }
    /**
     * 查询Token
     * 业务方自行实现
     *
     * @param token
     */
    public TokenInfo getToken(String token) {
        //TODO 从DB获取Token信息，用于校验有效性和合法性
        return null;
    }
    /**
     * 校验业务信息的有效性，业务方可自行实现
     *
     * @param infos
     * @return
     */
    public boolean validateInfo(String... infos) {
        //TODO 校验信息的有效性，例如UID是否有效等
        return true;
    }
    /**
     * AES加密生成Token
     *
     * @param encryptStr  要加密的字符串
     * @param encryptKey  加密Key
     * @return
     * @throws Exception
     */
    public String encrypt(String encryptStr, String encryptKey) throws Exception {
        IvParameterSpec e = new IvParameterSpec(INIT_VECTOR.getBytes("UTF-8"));
        SecretKeySpec skeySpec = new SecretKeySpec(encryptKey.getBytes("UTF-8"), "AES");
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
        cipher.init(Cipher.ENCRYPT_MODE, skeySpec, e);
        byte[] encrypted = cipher.doFinal(encryptStr.getBytes());
        return Base64.encodeBase64String(encrypted);
    }
    /**
     * AES解密token
     *
     * @param encryptStr  解密字符串
     * @param decryptKey  解密Key
     * @return
     * @throws Exception
     */
    public String decrypt(String encryptStr, String decryptKey) throws Exception {

        IvParameterSpec e = new IvParameterSpec(INIT_VECTOR.getBytes("UTF-8"));
        SecretKeySpec skeySpec = new SecretKeySpec(decryptKey.getBytes("UTF-8"), "AES");
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING");
        cipher.init(Cipher.DECRYPT_MODE, skeySpec, e);

        byte[] encryptByte = Base64.decodeBase64(encryptStr);
        byte[] decryptByte = cipher.doFinal(encryptByte);
        return new String(decryptByte);
    }
    /**
     * Token信息，业务方可提供更多信息，这里仅给出示例供参考
     */
    class TokenInfo {
        //Token的有效使用次数，分布式环境需要注意同步修改问题
        int useCount;
        //token内容
        String token;
    }}

CDN节点收到客户端请求后，鉴权通过则解密播放文件。
若上述步骤二中生成的MtsHlsUriToken参数值为test，则当CDN解密播放时，会将MtsHlsUriToken=test追加到M3U8文件中#EXT-X-KEY标签的URI末尾。
具体的鉴权校验逻辑您需要自行实现，可以参考播放HLS标准加密视频中开启M3U8标准加密改写方式的解密服务的示例代码。