在线视频常见加密方式及安全性透析
刘萌萌的老公
信息化时代,多的应用日渐成为人们生活中不可或缺的部分,无论是获取最新资讯还是教育学习,视频都是直观高效的媒介之一。
基于互联网的快速,众多培训机构也逐渐将线下原创版权课程迁移到在线平台中,一方面可以更快的打响知名度,同时往往能带来比较乐观的收益。这也滋生了黑产,盗版随之出现。如何防范原创视频被轻易盗版呢?针对该问题,笔者对市面上的视频防盗方案做了一定调研,如有任何不当之处,请。
怎么防小白用户下载视频呢?一般采用的方式,包括但不仅限于播放地址隐藏、动态url校验、协议防范等方式进行视频。
我们要知道,网站是基于HTTP协议的,如网站的图片、css、js都是通过该协议进行传输,视频也不例外。由于http协议的性,很多浏览器或插件都开发了对应的嗅探下载功能。如遨游浏览器、360浏览器等。
比如该网站的课程,采用了某度云的平台,就是对播放地址进行了简单的隐藏的方式。相关视频使用傲游浏览器就可以下载。
第一种地址隐藏的方式,地址是固定的,所以很容易被下载。为了解决这个问题,很多网站或平台,选择在原始基础上,加入了自定义的sign计算,进行播放地址校验。
通常情况下,该类下载地址存在一定的参数校验,包括了时间戳 sign 等。但sign计算规则一般都比较简单,容易被伪造。
鉴于http协议的性,那么视频如何避免被浏览器或插件嗅探呢?一些网站选择从协议入手,采用非http的协议进行视频播放,如rtmp协议。
rtmp协议由来已久,是adobe公司推出的视频播放协议,稳定性和安全性较http更好,应用广泛。rtmp协议,需要专用的服务器,如FMS,开源的有red5,技术成本比较高。
至于安全性方面,针对rtmp协议,目前已经有较多的嗅探下载工具出现。如某抓、rtmpdumper等。
。这个网站就是采用了rtmp协议,并且10分钟试看时间。可以使用专业工具的嗅探功能,就可以得到rtmp地址直接观看或下载完整视频,从而实现跳过购买流程,安全性可见一般。
综上所述,对于小白用户的防范,多半是在url上做文章,并没有实质性的数据加密,难度都很低。从安全性的角度考虑,各大网站或平台应当及时摒弃以上加密方式。
IT技术人员,是指具有一定的计算机基础,会利用现成工具乃至在程序方面,有深入研究的人群。如网站管理员,程序员等。
针对该部分人群,目前业界普遍采用的防范方式,包括但不仅限于播放器校验,url编码加密、视频加密等。
区别于一般的校验url地址,播放器校验是指播放地址,只能通过特定播放器,进行域名白名单校验才可以播放。作用主要在于防盗链和下载,一般直接访问下载地址会403。
这种加密方式,一般可以通过对header伪造,添加referer等方式,实现403跳过校验,实现视频下载,意义不大。
简单来说,url编码加密就是将播放地址自定义算法编码,创建私有协议的播放地址。播放需要专用的播放器进行地址解码。
某家云在此基础上,同时也对视频做了初步加密,这点做得还是不错的。但是加密算法过于简单,通过解密,即可实现本地观看。
区别于对url进行处理,视频加密是对数据加密,达到即便被下载也无法播放的目的。目前比较知名的视频云平台,几乎均有对视频进行加密处理。
网络上已经出现了相关的解密工具。目前采用此类方案的厂商,包含但不仅限于 某C视频、某家云等。
针对第一种flv加密方式存在的问题,如算法单一、视频过大。更多有实力的厂商,在此基础上优化、衍生出更加优秀的解决方案。
采用切片方式的优点较多,如加载更快速、播放更流畅、每一个数据片段都采用了加密,解密难度更高。
经过分析,其实每一段都是flv片段,进行了简单的加密。由于分片算法比较单一,存在不足,所以还是可能被解码合并的。
2、某某威视也采用flv切片加密技术,其算法更复杂,并会自动升级,目前市面上没有对应的解密方案。下面是的介绍。
鉴于flash跨平台的兼容性问题及漏洞,越来越多的厂商更加青睐在H5作视频加密方案,同时实现pc及移动端的视频。目前较为广泛采用的是apple hls 协议。
Hls协议天生的优势,使得大部分厂商便可以直接采用,并未做任何处理。但由于协议的公开性,目前网络上已经有对应的解密方案,其中不乏傻瓜式工具类。如ffmpeg。
针对hls协议的问题,部分对技术有追求的厂商,便推出了一些优化处理方案。当然hls视频的泄漏,主要还是密钥的泄漏,所以优化均是围绕AES128密钥的入手做处理。
1、某某soho采用了密钥混淆错序的方式。将原本的16字节密钥处理为20字节,通过播放器进行复位解码。该算法容易被猜测出混淆错序规则,存在一定的风险。
可以看到视频采用了AES128的加密算法。密钥的地址,第一次访问的时候,是20字节,“f8864726x4r6f34w4r36”,其后每次访问都是不同的16字节。
介绍:为了兼容微信平台和web页面,采用了sign校验,一次访问即失效。有效防止盗链和下载。
该方式与某soho方案类似,通过对m3u8地址,进行sign计算校验,并增加了时效性,不排除被猜测规则,伪造下载地址的可能性。
介绍:采用服务器校验和传输密钥,将原本的16字节加密处理为32字节,SDK授权解密进行解码。
这种方式是对密钥key数据本身进行加密处理。目前尚无解密方案出现,安全级别极高。当然随着时间的迁移,不排除以后有对应的解密方案出炉。
本文由来源于财鼎国际(www.hengpunai.cn)