cdn视频点播承载方案
cdn视频点播承载方案业务挑战
-基础服务选型要有诸多考虑:1、虚机选什么型号;2、数据库选什么规格;3、消息队列选什么规格
-核心能力需要集成多个服务:1、集成对象存储的做媒资上传;2、CDN应该设置哪些参数;3、集成媒体处理做转码
-更多增值能力也需要一个个集成:1、集成媒体处理做水印;2、集成媒体处理 秘钥管理做内容加密;3、集成企业智能做UGC视频的内容审核
视频网站业务挑战
-基础服务选型要有诸多考虑:1、虚机选什么型号;2、数据库选什么规格;3、消息队列选什么规格
-核心能力需要集成多个服务:1、集成对象存储的做媒资上传;2、CDN应该设置哪些参数;3、集成媒体处理做转码
-更多增值能力也需要一个个集成:1、集成媒体处理做水印;2、集成媒体处理 秘钥管理做内容加密;3、集成企业智能做UGC视频的内容审核
cdn视频点播承载方案架构
Ø灵活调度、负载均衡,轻松快速应对业务量突增
Ø按需使用付费,不再担心虚机等空耗
Ø服务可用率不低于99.9%
Ø封装存储、转码、CDN加速能力,一站式提供核心能力
Ø数天~数周即可开展业务,控制台上传媒资、转码,数天内即可开展业务;API / 服务端SDK 集成可在数周完成,还有Java、Python、Go、.NET、NodeJs、PHP多语言代码样例
Ø已预集成水印、HLS内容加密、内容审核等增值能力,提供API / 服务端SDK供一站式集成
Ø规划预集成更多AI能力,辅助运营和管理
视频点播如何防止被下载
视频点播通过防盗链控制音视频的播放权限
视频点播服务支持视频播放权限认证和视频加密等安全策略,保护点播音视频的版权不受侵犯。
- 播放权限认证:点播服务提供了Referer防盗链和Key防盗链功能,对分发的音视频进行播放权限控制,避免非授权用户通过播放URL下载或播放点播视频。具体请参见通过防盗链控制音视频的播放权限。
- HLS视频加密:为有效防止视频泄露和盗链问题,可以对HLS视频内容进行加密。加密后的视频,即使恶意用户下载也无法分发给其他人观看。具体请参见通过HLS加密防止视频泄露。
视频点播如何防止被下载场景说明
为对分发的音视频进行播放权限控制,点播服务提供了防盗链功能。开启后,CDN会对所有播放请求中携带的关键信息进行校验,仅校验通过的请求会予以响应,其它非法的访问将直接返回403。防盗链方案中包含Referer防盗链和Key防盗链。
Referer防盗链是基于HTTP协议支持的Referer机制实现的,通过播放请求中携带的Referer字段识别请求来源。配置黑名单或白名单,CDN将根据名单对请求来源进行过滤,从而达到最基本的访问控制的目的。Referer防盗链具有配置便捷,无需额外开发,快速生效等优势,适用于音视频主要在web端引用的场景。
由于HTTP Header的内容可伪造,Referer防盗链只能达到最基本的保护,安全性不高。所以还可以采用Key防盗链方案,通过鉴权播放URL保障点播资源的安全。由于鉴权的Key值具有时效性,所以适用于对媒资安全要求比较高的场景。
本示例中,开启Referer防盗链,只允许白名单中的域名访问视频文件,然后通过Key防盗链生成鉴权播放地址。
视频点播如何防止被下载实现原理
Referer防盗链的实现原理比较简单,在点播控制台配置了白名单或黑名单后,点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时,会根据这个名单来识别请求是否合法,若合法,则访问请求的资源,否则拒绝并返回403。
Key防盗链是视频点播的加速节点与点播源站联合实现的,比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。
图1 Key防盗链实现原理
视频点播如何防止被下载流程说明如下所示:
租户在点播控制台开启Key防盗链功能,并配置误差允许时间、算法等。
点播服务将配置的密钥值等下发到CDN节点中。
租户通过点播服务获取到点播媒资的鉴权URL。
观众通过租户提供的鉴权播放URL向CDN请求视频播放。
CDN根据播放URL中携带的鉴权信息校验请求的合法性,仅校验通过的请求会被允许。
配置Referer防盗链
先配置Referer防盗链,限制请求来源,使点播资源得到最基本的安全保障。
说明:当前Referer防盗链配置不支持带端口。
登录视频点播控制台。
在左侧导航栏选择“域名管理”,进入域名管理界面。
单击域名右侧“配置 ”,在“防盗链”页签单击“Referer防盗链”。
在弹出的配置框中打开“开关”,并配置相关参数。
类型:支持黑名单和白名单模式。
Referer黑名单:表示仅名单内的域名不允许访问点播资源,其它可以访问。若同时勾选了“包含空Referer”,则表示不允许HTTP Header中Referer为空的请求。
Referer白名单:表示仅名单内的域名允许访问点播资源,其它不可以访问。若同时勾选了“包含空Referer”,则表示允许HTTP Header中Referer为空的请求。
规则:名单详情,最多支持4级域名,最多支持100条,以英文“;”分隔。域名、IP地址可混合输入,支持泛域名添加。域名前不能带协议名(http://和https://)。
示例:www.example.com;*.test.com;192.168.0.0
单击“确定”,完成配置。
大约需要3-5分钟,Referer防盗链才生效。
配置Key防盗链
为点播资源配置Key防盗链,通过鉴权URL的时效性来进一步加强点播资源的安全。
登录视频点播控制台。
在左侧导航栏选择“域名管理”,进入域名管理界面。
单击域名右侧“配置 ”,在“防盗链”页签选择“Key防盗链”。
在弹出的配置框中打开“防盗链开关”,并配置相关参数。
单击“确定”,完成参数配置。
提交工单申请审核,提交的信息需要包含配置的域名,及表1中的信息。
审核通过后Key防盗链功能才会生效。若修改了Key防盗链的配置,也需重新提交工单审核。
视频点播如何防止被下载验证
验证Referer防盗链
在Referer防盗链中配置的referer白名单为“www.huaweicloud.com”,且不勾选“不包含空Referer”。在“http://www.example.com/test/test.html”网页中引用点播服务中的视频文件“https://1280.cdn-vod.huaweicloud.com/input/1.mp4”,访问该网页并播放视频,若播放失败则表示Referer防盗链生效。
验证Key防盗链
登录视频点播控制台,在左侧导航树中选择“音视频管理”。
在某个音视频行单击“管理”,选择“播放地址”页签,获取播放地址。
其中“地址”列为原始播放地址,单击可获取鉴权播放地址。
在播放器端分别播放原始播放地址和鉴权播放地址,若原始播放地址播放失败,鉴权播放地址播放成功,则表示Key防盗链生效。
