影片內容誰來保護？阿里雲影片加密解決方案架構及實現原理解析

影片行業的從業者——尤其是線上教育、財經分析等重視內容版權的播放平臺都知道，影片安全是一個非常重要的基礎需求。使用者透過一次付費行為，就可以拿到付費影片的播放URL，將播放URL進行二次分發，這種行為叫做盜鏈；使用者直接將影片下載到本地，然後再進行二次上傳分發，這種行為叫做盜播，這兩種行為都會給內容版權方造成十分嚴重的經濟損失，面對日漸增多的盜鏈和盜播情況，我們應該怎麼樣去保護內容呢？

阿里雲最新推出的影片加密解決方案對影片版權的保護可以從影片處理的各個環節來分別實現。阿里雲透過轉碼、播放、分發等傳輸鏈路中環環相扣的保護措施，全方位保障影片內容安全。

阿里雲影片加密解決方案，實際上是對影片資料進行加密，首先在播放階段實現影片內容防盜鏈功能，即使影片內容被下載到本地，影片檔案本身也是被加密的，無法進行惡意的二次上傳分發。該解決方案，廣泛應用於前文所提及的線上教育、財經金融、行業培訓、獨播劇等線上版權影片領域。

下面我們來從技術角度來看看，阿里雲是如何實現影片加密保護的。在業務層，加密型別有以下兩種：

1. 阿里雲私有加密

媒體轉碼服務把影片檔案轉成加密的HLS格式，然後透過阿里雲的iOS/Android/Flash播放器對加密內容進行解密播放。安全級別高，能夠便捷、高效、安全地保護影片資源。

阿里雲私有加密整體架構圖：

整個影片加密的實現包括兩個大部分， 加密轉碼和解密播放。

1. 加密轉碼

流程是：業務方提交需要“資料加密”的轉碼作業；阿里雲影片雲服務負責透過“金鑰管理服務KMS”生成“明文key”和“密文key”；使用“明文key”，來加密影片檔案，轉碼完成後，“明文key”丟棄，不儲存；儲存“密文key”和加密後的影片檔案到OSS輸出Bucket，最終轉碼完成。

2. 解密播放

流程是：第一步業務授權，移動端的APP或者Web播放器訪問影片時，先訪問業務方自己的後端服務，業務方可以在這裡加上自己的許可權控制。如果業務方允許播放，則透過業務方子賬號的AK訪問STS，獲取安全令牌，並返回給APP或Web播放器；第二步是獲取播放地址，移動端APP或Web播放器把安全令牌和媒體ID引數傳輸給阿里雲播放服務，播放器SDK會負責剩下的播放流程，包括獲取對應的多格式、多清晰的播放地址和獲取對應的加金鑰匙；第三步是解密播放，影片雲提供了安全的播放核心SDK，使用加金鑰匙對內容解密，然後進行影片播放。

在解密播放過程中，涉及到另一層影片保護手段——安全下載，它是指將影片檔案透過秘鑰進行二次加密，下載後在SDK內部完成影片解密，保障離線影片僅能透過唯一應用進行安全播放的一種下載方式。

安全下載使用流程圖：

該技術的應用場景：終端使用者有離線觀看影片的需求，並且需要保護影片版權，防止影片被盜用的情況下，可將離線下載設定為安全下載。設定安全下載後，離線下載的影片僅能透過在點播控制檯設定的唯一應用並且整合點播播放器SDK來播放，確保影片檔案被盜用的情況下別的應用也無法播放，讓離線影片更加安全。

在使用私有加密時，需要關注賬戶和影片內容相關的安全策略，以下是防攻擊的應對策略：

整體來說，這個方案的優勢在於每個媒體檔案擁有獨立的加金鑰匙，能有效避免採用單一金鑰時，一個金鑰的洩露引起大範圍的安全問題，從而大大提升了影片的安全性。

 2.HLS標準加密

媒體轉碼服務將影片內容按照HLS AES-128標準協議進行加密，加密後的影片使用支援HLS規定的播放器均可播放。安全級別低於私有加密，需業務方進行金鑰保護，如登入cookie、refer限制等。

HLS標準加密（MTS）整體架構圖：

以上兩種加密型別滿足不同的業務需求，客戶可根據如下對比選擇適合自己的型別：

在易用性方面，阿里雲影片加密解決方案所提供的兩種加密型別均優於業界DRM加密方案如下對比：

阿里雲影片加密解決方案除了在業務層提供有效的防護之外，在播放器這一層，阿里雲也在播放器SDK和播放服務之間利用https等手段，保證鏈路傳輸安全，同時在播放器端用一些App加固和授權等手段，保證金鑰傳輸時不被破解。在CDN分發層面，使用者也可以透過CDN加速OSS私有Bucket，來實現加速鏈路上的內容安全。

以上就是阿里雲影片加密解決方案，客戶可以透過在阿里雲官網開通媒體轉碼服務或影片點播服務等操作來接入，並且可以對工作流進行相應的配置。