VOD版权保护
用户的视频内容一旦被盗用,损失巨大,为此 VOD 实现了一套完善的版权保护方案,保障视频的播放安全。方案采用token模式,全面支撑 PC Web、iOS、android 端。
在您的转码模板中设置token加密模式后,经过加密的媒资,就可以受到版权保护:
token 模式接入相对复杂,但安全性更高,可实现媒资粒度的高级版权保护。
两种模式支持的范围如下:
播放端 | 类型 | 是否支持token模式 |
---|---|---|
PC Web | 在线 | 是 |
Wap | 在线 | 否 |
iOS | 在线 | 是 |
iOS | 离线 | 是 |
android | 在线 | 是 |
android | 离线 | 是 |
token模式
原理
token模式下,引入用户企业服务器的业务鉴权和带过期时间的token临时授权播放。PC端和APP端流程不太一样。
PC端接入
操作步骤:
- 登录百度智能云管理控制台,进入音视频点播VOD 服务,左侧导航选择"全局设置>转码设置"。
- 点击新建转码模板组,内容加密策略选择token模式,vod 对视频按照此模式进行加密,每个视频都有不同的密钥。
- 导航选择"发布设置>安全设置",生成一个 UserKey,作为用户标示。
- PC Web端播放时,企业APP或网站,设置m3u8播放地址,播放器解析到是token模式加密时,回调beforePlay接口。用户通过这个接口,将播放者的信息(用户名、session、媒资id等等)发送请求给企业服务器。
- 企业服务器首先校验该播放者是否有权限播放该视频(是否登录、是否购买课程等),如果通过校验则使用userKey、媒资id、过期时间、userId按照计算规则生成token(参见token计算规则),并设置给播放器。
- 播放器将token、视频密钥id发送到VOD(https协议),VOD来校验token是否合法、是否超时,通过校验后,将该视频密钥加密后发送给播放器(https协议)。
- 播放器解密密钥后进行视频内容解密播放。
在播放器开始播放视频之前,会触发 beforePlay 事件,用户监听此事件,在事件触发后,向企业服务器请求对应的 token,获取到 token后,再使用 setToken 方法设置给播放器。
var player = cyberplayer('player-container').setup({
...
file: 'http://domain/name.m3u8',
ak: '27add1b94dd5485d916cc866190be704'
});
player.on('beforePlay', function (e) {
if (!/m3u8/.test(e.file)) {
return;
}
$.ajax('http://domain/getToken?file=' + e.file, function(e) {
player.setToken(e.file, token);
});
});
如果要同时设置多个视频的token(比如配置多个码率的视频时) ,参照下列方法:
player.setToken([
{
file: 'file1',
tokenText: 'token1' }, { file: 'file2', tokenText: 'token2' } ]);
iOS端接入
与PC web端类似,但token是在初始化播放器之前完成业务鉴权、生成的,并和m3u8播放地址一起初始化给播放器的。
操作步骤:
- 登录百度智能云管理控制台,进入音视频点播VOD 服务,左侧导航选择"全局设置>转码设置"。
- 点击新建转码模板组,内容加密策略选择token模式,vod 对视频按照此模式进行加密,每个视频都有不同的密钥。
- 导航选择"发布设置>安全设置",生成一个 UserKey,作为用户标示。
- 企业iOS APP端播放时,首先对播放者进行业务鉴权,校验该播放者是否有权限播放该视频(是否登录、是否买课等),如果通过校验则使用userKey、媒资id、过期时间、userId按照计算规则生成token(token计算规则见3.5),并设置给播放器;
- 播放器将token、视频密钥id发送到VOD(https协议),VOD来校验token是否合法、是否超时,通过校验后,将该视频密钥加密后发送给播放器(https协议);
- 播放器解密密钥后进行视频内容解密播放。
iOS端在线方案接入,用户需要调用此接口:
- (void)setToken:(NSString*)token;
iOS端离线下载需要token认证的视频时,需要实现下面的回调接口:
-(void)task:(CyberDownloadTask*)task needAuthentication:(NSMutableDictionary*)parameters;
用户可以取得task中的信息,来判断这个任务是否需要相关鉴权信息。如果需要时,在parameters字段中设置正确的鉴权信息。
parameters 中可设置的字段包括:
字段 | 说明 |
---|---|
token | Token模式时,设置此字段 |
iOS端视频离线下载后,VOD会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。
android端接入
原理与iOS 端类似,Android端在线方案接入方法如下:
非加密视频的播放请参考播放器文档,加密视频与非加密视频的两个不同之处如下,
- 设置播放路径, BVideoView类
函数 | 参数 | 备注 |
---|---|---|
public void setVideoPath(String path, String token) | path 视频路径 token 加密口令 |
使用token加密时,用该方法设置视频路径 |
- 多分辨率支持,静态方法,BVideoView类
函数 | 参数 | 备注 |
---|---|---|
public static int getMediaInfo(Context ctx, String path, String token) | path 视频路径 token 加密口令 |
使用token加密时,用该方法启用多分辨率探测 |
注意: 多分辨率探测独立于视频播放。调用getMediaInfo方法之后,即可调用
BVideoView.getSupportedResolution()
获得视频分辨率数组,详见demo代码。
Android端离线下载方案接入方法:
与非加密视频的相比,仅在开启下载时,调用的接口不同:VideoDownloadManager类
函数 | 参数 | 备注 |
---|---|---|
public void startOrResumeDownloaderWithToken(String url, String token, DownloadObserver observer) | url 视频路径 token 加密口令 observer 下载状态与进度监听器 |
使用token加密时,用该方法启用下载 |
android端视频离线下载后,VOD会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。
token计算规则
名词解释:
- userId: 百度智能云用户唯一标识,可在百度智能云管理控制台账号基本信息中得到,32位字符串。
- userKey:用户密钥,是AES-128内容密钥,用于对MediaId和ExpirationTime组成的串进行加密。长度为16字节,用32位十六进制数表示。可在百度智能云VOD管理控制台中设置和更新。
- signature: 签名,是用UserKey给MediaId和ExpirationTime加密生成的字符串。长度为32字节,用64位十六进制数表示。
- mediaId:百度智能云VOD中媒资的唯一标识。
- expirationTime:Signature的过期时间,是一个unix时间戳,以秒为单位。
- token:由Signature_UserId_ExpirationTime组成的字符串。
- HMAC-SHA-256:签名算法,详见https://tools.ietf.org/html/rfc4868
token的生成方法:
- 生成签名signature = HMAC-SHA-256(userKey,String.format("/%s/%s", mediaId, expirationTime),sample code见HMAC-SHA-256加密算法 Sample Code
- 利用下划线(_) 连接signature,userId,expirationTime组合成token = String.format(“%s_%s_%s”, signature, userId,expirationTime)
HMAC-SHA-256加密算法 Sample Code
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.Charset;
import org.apache.commons.codec.binary.Hex;
public class Main {
static final Charset CHARSET_UTF8 = Charset.forName("UTF-8");
public static String sha256Hex(String signingKey, String stringToSign) {
try {
Mac mac = Mac.getInstance("HmacSHA256");
mac.init(new SecretKeySpec(signingKey.getBytes(CHARSET_UTF8), "HmacSHA256"));
return new String(Hex.encodeHex(mac.doFinal(stringToSign.getBytes(CHARSET_UTF8))));
} catch (Exception e) {
System.out.println(e.getMessage());
}
return null;
}
public static void main(String[] args) {
String gTestUserKey = "testUserKey";
String gTestMediaId = "testMediaId";
System.out.println(sha256Hex(gTestUserKey, "/" + gTestMediaId + "/" + (System.currentTimeMillis
()/1000 + 3600))); //过期时间以秒为单位
}
}