媒體轉碼HLS標準加密詳解
1. 基本概念
祕鑰管理服務(Key Management Service,簡稱KMS)
一項安全管理服務,主要負責資料祕鑰的生產、加密、解密等工作。開通請點選這裡
資料祕鑰(Data Key,簡稱DK)也稱明文金鑰
DK為加密資料使用的明文資料金鑰
信封資料金鑰(Enveloped Data Key,簡稱EDK)也稱密文金鑰
EDK為通過信封加密技術保密後的密文資料金鑰
2. 原理
HLS標準加密是通過MTS呼叫KMS服務生成明文祕鑰DK進行加密,將對應的密文祕鑰EDK 通過keyuri傳送給客戶,keyuri 是客戶建立HLS標準加密工作流的時候需要傳入的一個引數,是使用者業務伺服器的URL地址;使用者業務伺服器keyuri可以通過 KMS的API介面解密接收到的密文祕鑰EDK得到明文祕鑰DK,再進行base64decode返回給客戶端,客戶端通過該值解密播放視訊;
3. 操作
1)開通KMS
2)呼叫sdk 建立工作流,傳入對應的引數(點選檢視demo)
工作流中關鍵配置
開始活動結點:InputFile:{“Bucket”:”bucketdemo”, “Location “:”oss-cn-hangzhou”, “ObjectPrefix”:”HLS-Encryption”};
此配置表示:內容創作者上傳視訊到杭州 oss://bucketdemo/HLS-Encryption 這個路徑下會自動觸發加密轉碼;
轉碼活動結點:Encryption:{“Type”:”hls-aes-128″, “KeyUri”:”https://decrypt.demo.com”};
轉碼完成後,KeyUri的配置會出現在m3u8檔案中,供播放器使用,內容類似:URI=”https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271″
其中Ciphertext引數的內容就是密文祕鑰EDK,MediaID就是該媒體資源的媒體ID;其中使用者業務伺服器KeyUri可以通過 KMS的API介面解密接收到的密文祕鑰EDK,得到明文祕鑰DK,再進行base64decode返回給客戶端,客戶端通過該值解密播放視訊;
3)上傳視訊
兩種方法上傳視訊,都會自動觸發加密轉碼
I 通過MTS控制檯上傳視訊至剛剛建立的工作流
II 通過OSS上傳工具上傳視訊至oss://bucketdemo/HLS-Encryption路徑
III 轉碼完成後,m3u8檔案內容示例
#EXTM3U
#EXT-X-VERSION:3
#EXT-X-TARGETDURATION:5
#EXT-X-MEDIA-SEQUENCE:0
#EXT-X-KEY:METHOD=AES-128,URI="https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271"
#EXTINF:4.127544,
15029611683170-00001.ts
#EXT-X-ENDLIST 4) 播放
播放器播放加密轉碼後的m3u8資源:https://vod.demo.com/test.m3u8;
播放器解析得到EXT-X-KEY:METHOD=AES-128,URI=https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271 的URI部分內容,向URI請求獲取明文祕鑰DK 的base64decode資料;業務端接收到請求,根據Ciphertext=aabbccddeeff解析得到密文祕鑰EDK: aabbccddeeff,業務端呼叫KMS API介面解析密文祕鑰EDK,得到明文祕鑰DK,進行base64decode返回給播放器端;播放器端根據得到的明文祕鑰DK 的base64decode資料解密播放m3u8視訊;
播放器支援:safari瀏覽器,蘋果系的 H5播放都支援,VLC支援,MTS WEB播放器不支援
4. 業務安全
如果使用者想要業務安全,那麼可以考慮客戶端訪問加密視訊m3u8的時候加引數MtsHlsUriToken;
比如正常的播放地址為https://vod.demo.com/test.m3u8, 當拼接攜帶MtsHlsUriToken引數後為https://vod.demo.com/test.m3u8?MtsHlsUriToken=業務方頒發的令牌
播放時,播放器向阿里CDN請求https://vod.demo.com/test.m3u8?MtsHlsUriToken=業務方頒發的令牌 ,阿里CDN會動態修改m3u8檔案中的解密URI(EXT-X-KEY:METHOD=AES-128,URI=”https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271″),如原為https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271 , 修改後為 https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271&MtsHlsUriToken=業務方頒發的令牌
所以,播放器最終請求解密URI為:https://decrypt.demo.com?Ciphertext=aabbccddeeff&MediaId=fbbf98691ea44b7c82dd75c5bc8b9271&MtsHlsUriToken=業務方頒發的令牌 ,此地址中,攜帶了業務方搬發的令牌,業務方進行驗證即可
5. 業務方需要做的事情
1】搭建頒發及驗證MtsHlsUriToken令牌服務
2】校驗解密令牌,推薦一個令牌只允許使用一次
3】解密金鑰:EDK即Ciphertext, 此時,要呼叫KMS服務的解密介面進行解密 介面說明, 解密後,可快取,以減少不必要的網路IO
4】解密拿到DK即明文金鑰,需要base64decode, 然後返回給播放器
相關文章
- 為SRS流媒體伺服器新增HLS加密功能(附原始碼)伺服器加密原始碼
- nginx上搭建HLS流媒體伺服器Nginx伺服器
- 流媒體加密加密
- 中國軟體工程標準 (轉)軟體工程
- 標準庫~JSON物件詳解JSON物件
- [個體軟體過程]之缺陷管理--編碼標準 (轉)
- 詳解css媒體查詢CSS
- 淺析 HLS 流媒體協議協議
- JMeter流媒體線上播放HLS外掛BlazeMeter - HLS Plugin實現視訊線上播放壓測JMeterPlugin
- 音訊編解碼標準音訊
- Delphi編碼標準——窗體與資料模組命名 (轉)
- Go標準庫:Go template用法詳解Go
- Delphi編碼標準——元件命名 (轉)元件
- 基於 SRS+NG 搭建 HLS 直播流媒體伺服器伺服器
- 直播預告|OpenHarmony標準系統多媒體子系統之相機解讀
- 對稱塊加密演算法加密模式詳解 (轉)加密演算法模式
- Delphi編碼標準——檔案命名 (轉)
- Project JEDI VCL元件編碼標準 (轉)Project元件
- 直播預告丨OpenHarmony標準系統多媒體子系統之視訊解讀
- 直播預告丨 OpenHarmony 標準系統多媒體子系統之相機解讀
- 讓Chrome看不了WWDC直播的HLS技術詳解Chrome
- Golang開源流媒體伺服器(RTMP/RTSP/HLS/FLV等協議)Golang伺服器協議
- [SRS流媒體]RTMP/HLS 直播伺服器simple-rtmp-server安裝伺服器Server
- Maven中optional標籤詳解(轉)Maven
- DES加密詳解加密
- Go 結構體標籤詳解Go結構體
- 模組轉測標準
- 簡單有效的多標準中文分詞詳解中文分詞
- Delphi編碼標準——過程和函式 (轉)函式
- 直播協議詳解 RTMP、HLS、HTTP-FLV、WebRTC、RTSP協議HTTPWeb
- 軟體專案管理“固化、簡化、標準化”(轉)專案管理
- [轉]資料標準化
- 開源與標準(轉)
- 標準模板庫STL (轉)
- 用純RUST手擼一個開源流媒體服務(RTMP/HTTPFLV/HLS)XIURustHTTP
- [轉載]ABAP中查詢程式碼的標準程式
- Delphi編碼標準——一般的原始碼格式規則 (轉)原始碼
- 第14章. 標準元素 (轉)