百度智能云

百度智能云百度智能云
最佳实践 > 视频版权保护
视频版权保护
  • 概述
  • token模式
  • token计算规则
  • 获取userKey步骤
  • 获取jobId步骤

视频版权保护

更新时间:

概述

用户的视频内容一旦被盗用,损失巨大,为此 VOD 实现了一套完善的版权保护方案,保障视频的播放安全。方案采用token模式,全面支撑 PC Web、ios、android 端。

在您的转码模板中设置token加密模式后,经过加密的媒资,就可以受到版权保护:

token 模式接入相对复杂,但安全性更高,可实现媒资粒度的高级版权保护。

两种模式支持的范围如下:

播放端类型是否支持token模式
PC Web在线
ios在线
android在线

token模式

原理

截屏2021-06-22 下午1.00.49.png

token模式下,引入用户企业服务器的业务鉴权和带过期时间的token临时授权播放。PC端和APP端流程不同。

PC端接入

截屏2021-06-22 下午1.02.55.png

操作步骤:

  1. 选择“产品服务>音视频处理videoworks”,进入“处理设置>转码模版”页面;
  2. 单击左上角“新建转码模板”;
  3. 填写基础配置、片段提取、视频、音频模块中的必填项;
  4. 内容加密模块中选择“Token,临时口令播放授权”;

截屏2021-06-18 下午5.27.23.png

        视频加密配置有以下可选项:  

-   Open:开放密钥,系统自动生成加密密钥,密钥公开,不设访问控制。  

-   PlayerBinding:绑定播放器,系统自动生成加密密钥,密钥设有访问控制。 PlayerBinding模式下密钥设有访问控制,安全性比较高,推荐使用PlayerBinding模式。  

-   Token: 临时口令播放授权,系统根据userKey生成密钥加密视频;播放时按照规则生成Token并发送给密钥服务验证,校验通过才能播放,安全性比较高。
 
  1. PC Web端播放时,企业APP或网站,设置m3u8播放地址,播放器解析到是token模式加密时,提醒用户将播放者的信息(userKey、jobId、session等等)发送请求给企业服务;

  2. 企业服务器首先校验该播放者是否有权限播放该视频(是否登录、是否购买课程等),如果通过校验则使用joId、userId、userKey、expirationtime按照计算规则生成token(参见下文token计算规则),并通过设置setToken方法发送给播放器;

  3. 播放器将token、视频密钥id信息发送到后端进行校验是否合法与超时,通过校验后,将该视频加密后发送给播放器(https协议);

  4. 播放器解密密钥后进行视频内容解密播放。

    var player = cyberplayer('player-container').setup({ ... file: 'http://domain/name.m3u8', ak: '27add1b94dd5485d916cc866190be704' }); player.on('beforePlay', function (e) { if (!/m3u8/.test(e.file)) { return; } $.ajax('http://domain/getToken?file=' + e.file, function(e) { player.setToken(e.file, token); }); });

如果要同时设置多个视频的token(比如配置多个码率的视频时) ,参照下列方法:

player.setToken([
   {
    file: 'file1',

        tokenText: 'token1'
    },
      {
    file: 'file2',
    tokenText: 'token2'
  }
  

]);

iOS端接入

与PC web端的差别在于,iOS端token是在初始化播放器之前完成业务鉴权、生成的,并和m3u8播放地址一起初始化给播放器。 截屏2021-06-22 下午1.03.47.png

操作步骤:

  1. 企业iOS APP端播放时,首先对播放者进行业务鉴权,校验该播放者是否有权限播放该视频(是否登录、是否买课等),如果通过校验则使用userKey、jobId、expirationtime、userId按照计算规则生成token(参见下文token计算规则),并设置给播放器;
  2. 播放器将token、视频密钥id信息发送到后端进行校验是否合法与超时,通过校验后,将该视频加密后发送给播放器(https协议);
  3. 播放器解密密钥后进行视频内容解密播放。

iOS端在线方案接入,用户需要调用此接口:

- (void)setToken:(NSString*)token;

iOS端离线下载需要token认证的视频时,需要实现下面的回调接口:

-(void)task:(CyberDownloadTask*)task needAuthentication:(NSMutableDictionary*)parameters;

用户可以取得task中的信息,来判断这个任务是否需要相关鉴权信息。如果需要时,在parameters字段中设置正确的鉴权信息。

parameters 中可设置的字段包括:

字段说明
tokenToken模式时,设置此字段

iOS端视频离线下载后,videoworks会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。

Android端接入

Android端设置token模式的步骤与pc Web端一样。 Android端在线方案接入方法如下:

非加密视频的播放请参考播放器文档,加密视频与非加密视频的两个不同之处如下,

  • 设置播放路径, BVideoView类
函数参数备注
public void setVideoPath(String path, String token)path 视频路径
token 加密口令
使用token加密时,用该方法设置视频路径
  • 多分辨率支持,静态方法,BVideoView类
函数参数备注
public static int getMediaInfo(Context ctx, String path, String token)path 视频路径
token 加密口令
使用token加密时,用该方法启用多分辨率探测

注意:
多分辨率探测独立于视频播放。调用getMediaInfo方法之后,即可调用BVideoView.getSupportedResolution()获得视频分辨率数组,详见demo代码。

Android端离线下载方案接入方法:

与非加密视频的相比,仅在开启下载时,调用的接口不同:VideoDownloadManager类

函数参数备注
public void startOrResumeDownloaderWithToken(String url, String token, DownloadObserver observer)url 视频路径
token 加密口令
observer 下载状态与进度监听器
使用token加密时,用该方法启用下载

Android端视频离线下载后,videoworks会使用手机设备特征标识信息对视频密钥再次进行加密,以保证即使视频被拷贝到别的手机设备上也无法播放。

token计算规则

名词解释:

  • userId: 百度智能云用户唯一标识,可在百度智能云管理控制台账号基本信息中得到,32位字符串。
  • userKey:用户密钥,是AES-128内容密钥,用于对jobId和ExpirationTime组成的串进行加密。长度为16字节,用32位十六进制数表示。
  • signature: 签名,是用UserKey给jobId和ExpirationTime加密生成的字符串。长度为32字节,用64位十六进制数表示。
  • jobId:百度智能云videoworks工作流每个步骤的唯一标识。
  • expirationTime:Signature的过期时间,是一个unix时间戳,以秒为单位。
  • token:由Signature_UserId_ExpirationTime组成的字符串。
  • HMAC-SHA-256:签名算法,详见https://tools.ietf.org/html/rfc4868

token的生成方法:

  1. 生成签名signature = HMAC-SHA-256(userKey,String.format("/%s/%s", jobId, expirationTime),sample code见HMAC-SHA-256加密算法 Sample Code
  2. 利用下划线(_) 连接signature,userId,expirationTime组合成token = String.format(“%s_%s_%s”, signature, userId,expirationTime)

HMAC-SHA-256加密算法 Sample Code

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.Charset;
import org.apache.commons.codec.binary.Hex;

public class Main {
    static final Charset CHARSET_UTF8 = Charset.forName("UTF-8");
    public static String sha256Hex(String signingKey, String stringToSign) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            mac.init(new SecretKeySpec(signingKey.getBytes(CHARSET_UTF8), "HmacSHA256"));
            return new String(Hex.encodeHex(mac.doFinal(stringToSign.getBytes(CHARSET_UTF8))));
        } catch (Exception e) {
            System.out.println(e.getMessage());
        }
        return null;
    }

    public static void main(String[] args) {
        String gTestUserKey = "testUserKey";
        String gTestjobId = "testjobId";
        System.out.println(sha256Hex(gTestUserKey, "/" + gTestjobId + "/" + (System.currentTimeMillis
()/1000 + 3600))); //过期时间以秒为单位
    }
}

获取userKey步骤

userKey无法通过videoworks平台直接获取,需要进入音视频处理MCP平台获取。 截屏2021-06-18 下午5.43.06.png

获取jobId步骤

获取jobId有两种方式

方式一:

  1. 在视频处理的媒资列表点击相应的媒资名称/ID。

    截屏2021-06-18 下午6.30.37.png

  2. 点击实例列表。 截屏2021-06-18 下午6.31.15.png

  3. 鼠标移动至【转码】模块,点击任务ID。 截屏2021-06-18 下午6.31.47.png

  4. 复制获取jobID。 截屏2021-06-18 下午6.32.02.png

    方式二:

    通过工作流运行实例接口获取jobId VideoWorks工作流运行实例接口