工作中的一个项目需要实现视频在线播放并防止下载。研究目前主流方案以后,决定采用HLS生成视频分片并手动加密的方案。这篇文章记录了研究过程中遇到的问题,以及最后的结果。仅供以后参考。
采用ffmpeg生成HLS原始视频分片
ffmpeg是一个强大的媒体文件处理工具,用它可以方便的生成HLS视频分片。
生成未加密的视频分片命令
ffmpeg -i demo.mp4 -codec copy -f segment -segment_list index.m3u8 -segment_time 30 segment_%d.ts
-i 输入文件
-codec 选择输入文件解码器或输出文件编码器。copy用于输出文件,表示保留输入文件编码无需重新编码。
-f 指定输入或输出文件格式。选择segment,表示视频切片。
-segment_list 指定视频切片索引文件。
-segment_time 指定视频切片时长。
segment_%d.ts 最后指定切片文件命名格式
参考代码,运行plain.sh即可完成视频分片
参考生成资源,可使用安装了Native HLS Playback插件的chrome直接播放。
生成加密的视频分片
未加密的视频分片可以直接播放,用户获得视频分片后可以通过工具合成整个视频文件。无法防止用户下载源视频,故需要采用加密视频分片方式保护源视频。有两种方式生成加密视频分片
1. 采用ffmpeg生成
从网上能找到的此方式的命令为,参考这篇文章。
ffmpeg -y -i demo.mp4 -hls_time 30 -hls_key_info_file enc.keyinfo -hls_segment_filename "segment_%d.ts" index.m3u8
-hls_key_info_file 指定keyinfo文件
keyinfo文件内容格式如下
获取key的URI
key文件路径
IV值(可选)
keyinfo文件示例如下
http://loacalhost:8080/key
enc.key
714e1acbfe1663528e97cbb4647f0a33
此命令可以生成加密的视频分片,但是需要重新解码编码比较费时。故加上-codec copy参数,禁止编解码。
ffmpeg -y -i demo.mp4 -codec copy -hls_time 30 -hls_key_info_file enc.keyinfo -hls_segment_filename "segment_%d.ts" index.m3u8
但此命令运行会报错 <font color=red><b>Cannot use rename on non file protocol, this may lead to races and temporary partial files</b></font> 并导致索引文件无法包含所有分片。
研究没有找到解决方法,开始研究第二种方式。
2. 采用openssl手动加密
此方案步骤
生成未加密的视频分片文件。
根据HLS RFC 8216规范6.2.3,采用openssl手动加密视频分片文件。
修改视频索引文件,增加
#EXT-X-KEY。
此方式又分为两种
a. 默认IV
参考代码,运行encrypt.sh完成视频分片和加密,生成的密钥文件为enc.key。
参考生成资源,可使用安装了Native HLS Playback插件的chrome直接播放。
b. 自定义IV
参考代码,运行encrypt.sh完成视频分片和加密,生成密钥文件enc.key,iv文件iv.key。
参考生成资源,可使用安装了Native HLS Playback插件的chrome直接播放。
另外,openssl加密速度非常快,每个分片可以使用不同的密钥加密,提高安全性。
进一步防止防止下载
加密的视频文件播放时,需要先获取密钥,解密视频文件,然后播放视频。所有这些过程都在客户端进行,对于具有一定开发能力的用户,还是能够获取密钥文件和加密视频,然后还原出原视频。
可以采用下面的措施进一步保护源视频防止下载
通过权限验证保护密钥URI和索引文件URI,防止盗链以及增加用户获得密钥文件的难度。
将索引文件和密钥文件二次加密,修改客户端播放器,使其先解密索引文件和密钥文件,再播放加密视频。
