VOD版权保护

用户的视频内容一旦被盗用,损失巨大,为此 VOD 实现了一套完善的版权保护方案,保障视频的播放安全。方案采用token模式,全面支撑 PC Web、iOS、android 端。

在您的转码模板中设置token加密模式后,经过加密的媒资,就可以受到版权保护:

token 模式接入相对复杂,但安全性更高,可实现媒资粒度的高级版权保护。

两种模式支持的范围如下:

播放端 类型 是否支持token模式
PC Web 在线
Wap 在线
iOS 在线
iOS 离线
android 在线
android 离线

token模式

原理

token模式下,引入用户企业服务器的业务鉴权和带过期时间的token临时授权播放。PC端和APP端流程不太一样。

PC端接入

操作步骤:

  1. 登录百度智能云管理控制台,进入音视频点播VOD 服务,左侧导航选择"全局设置>转码设置"。
  2. 点击新建转码模板组,内容加密策略选择token模式,vod 对视频按照此模式进行加密,每个视频都有不同的密钥。
  3. 导航选择"发布设置>安全设置",生成一个 UserKey,作为用户标示。
  4. PC Web端播放时,企业APP或网站,设置m3u8播放地址,播放器解析到是token模式加密时,回调beforePlay接口。用户通过这个接口,将播放者的信息(用户名、session、媒资id等等)发送请求给企业服务器。
  5. 企业服务器首先校验该播放者是否有权限播放该视频(是否登录、是否购买课程等),如果通过校验则使用userKey、媒资id、过期时间、userId按照计算规则生成token(参见token计算规则),并设置给播放器。
  6. 播放器将token、视频密钥id发送到VOD(https协议),VOD来校验token是否合法、是否超时,通过校验后,将该视频密钥加密后发送给播放器(https协议)。
  7. 播放器解密密钥后进行视频内容解密播放。

在播放器开始播放视频之前,会触发 beforePlay 事件,用户监听此事件,在事件触发后,向企业服务器请求对应的 token,获取到 token后,再使用 setToken 方法设置给播放器。

var player = cyberplayer('player-container').setup({
    ...
    file: 'http://domain/name.m3u8',
    ak: '27add1b94dd5485d916cc866190be704'
});
player.on('beforePlay', function (e) {
    if (!/m3u8/.test(e.file)) {
        return;
    }
    $.ajax('http://domain/getToken?file=' + e.file, function(e) {
        player.setToken(e.file, token);
    });
});

如果要同时设置多个视频的token(比如配置多个码率的视频时) ,参照下列方法:

player.setToken([
   {
    file: 'file1',
        tokenText: 'token1'
    },
      {
    file: 'file2',
    tokenText: 'token2'
  }

]);

iOS端接入

与PC web端类似,但token是在初始化播放器之前完成业务鉴权、生成的,并和m3u8播放地址一起初始化给播放器的。

操作步骤:

  1. 登录百度智能云管理控制台,进入音视频点播VOD 服务,左侧导航选择"全局设置>转码设置"。
  2. 点击新建转码模板组,内容加密策略选择token模式,vod 对视频按照此模式进行加密,每个视频都有不同的密钥。
  3. 导航选择"发布设置>安全设置",生成一个 UserKey,作为用户标示。
  4. 企业iOS APP端播放时,首先对播放者进行业务鉴权,校验该播放者是否有权限播放该视频(是否登录、是否买课等),如果通过校验则使用userKey、媒资id、过期时间、userId按照计算规则生成token(token计算规则见3.5),并设置给播放器;
  5. 播放器将token、视频密钥id发送到VOD(https协议),VOD来校验token是否合法、是否超时,通过校验后,将该视频密钥加密后发送给播放器(https协议);
  6. 播放器解密密钥后进行视频内容解密播放。

iOS端在线方案接入,用户需要调用此接口:

- (void)setToken:(NSString*)token;

iOS端离线下载需要token认证的视频时,需要实现下面的回调接口:

-(void)task:(CyberDownloadTask*)task needAuthentication:(NSMutableDictionary*)parameters;

用户可以取得task中的信息,来判断这个任务是否需要相关鉴权信息。如果需要时,在parameters字段中设置正确的鉴权信息。

parameters 中可设置的字段包括:

字段 说明
token Token模式时,设置此字段

iOS端视频离线下载后,VOD会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。

android端接入

原理与iOS 端类似,Android端在线方案接入方法如下:

非加密视频的播放请参考播放器文档,加密视频与非加密视频的两个不同之处如下,

  • 设置播放路径, BVideoView类
函数 参数 备注
public void setVideoPath(String path, String token) path 视频路径
token 加密口令
使用token加密时,用该方法设置视频路径
  • 多分辨率支持,静态方法,BVideoView类
函数 参数 备注
public static int getMediaInfo(Context ctx, String path, String token) path 视频路径
token 加密口令
使用token加密时,用该方法启用多分辨率探测

注意:
多分辨率探测独立于视频播放。调用getMediaInfo方法之后,即可调用BVideoView.getSupportedResolution()获得视频分辨率数组,详见demo代码。

Android端离线下载方案接入方法:

与非加密视频的相比,仅在开启下载时,调用的接口不同:VideoDownloadManager类

函数 参数 备注
public void startOrResumeDownloaderWithToken(String url, String token, DownloadObserver observer) url 视频路径
token 加密口令
observer 下载状态与进度监听器
使用token加密时,用该方法启用下载

android端视频离线下载后,VOD会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。

token计算规则

名词解释:

  • userId: 百度智能云用户唯一标识,可在百度智能云管理控制台账号基本信息中得到,32位字符串。
  • userKey:用户密钥,是AES-128内容密钥,用于对MediaId和ExpirationTime组成的串进行加密。长度为16字节,用32位十六进制数表示。可在百度智能云VOD管理控制台中设置和更新。
  • signature: 签名,是用UserKey给MediaId和ExpirationTime加密生成的字符串。长度为32字节,用64位十六进制数表示。
  • mediaId:百度智能云VOD中媒资的唯一标识。
  • expirationTime:Signature的过期时间,是一个unix时间戳,以秒为单位。
  • token:由Signature_UserId_ExpirationTime组成的字符串。
  • HMAC-SHA-256:签名算法,详见https://tools.ietf.org/html/rfc4868

token的生成方法:

  1. 生成签名signature = HMAC-SHA-256(userKey,String.format("/%s/%s", mediaId, expirationTime),sample code见HMAC-SHA-256加密算法 Sample Code
  2. 利用下划线(_) 连接signature,userId,expirationTime组合成token = String.format(“%s_%s_%s”, signature, userId,expirationTime)

HMAC-SHA-256加密算法 Sample Code

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.Charset;
import org.apache.commons.codec.binary.Hex;

public class Main {
    static final Charset CHARSET_UTF8 = Charset.forName("UTF-8");
    public static String sha256Hex(String signingKey, String stringToSign) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            mac.init(new SecretKeySpec(signingKey.getBytes(CHARSET_UTF8), "HmacSHA256"));
            return new String(Hex.encodeHex(mac.doFinal(stringToSign.getBytes(CHARSET_UTF8))));
        } catch (Exception e) {
            System.out.println(e.getMessage());
        }
        return null;
    }

    public static void main(String[] args) {
        String gTestUserKey = "testUserKey";
        String gTestMediaId = "testMediaId";
        System.out.println(sha256Hex(gTestUserKey, "/" + gTestMediaId + "/" + (System.currentTimeMillis
()/1000 + 3600))); //过期时间以秒为单位
    }
}