AES-128内容加密
许多不同的流协议已经认识到对内容保护的需求,这些协议已经以各种形式和风格增加了对内容保护的支持。协议的第一稿HLS规范中已经存在AES-128加密,将内容保护置于优先级列表中。实际上,HLS有两种加密方案:
AES-128加密:这意味着使用 128位密钥的高级加密标准对媒体段进行完全 加密。它还允许使用初始化向量来优化保护。
样本AES:在这种情况下,各个媒体样本使用AES标准加密。使用此加密级别,流容器未完全加密。此外,加密样本如何封装,取决于片段的媒体格式。
实际上,AES-128是HLS中最常用的加密方法。这种方法通常也是使用标准流服务器和工具来实现的最简单的方法。
这种AES-128保护有多安全?
处理内容保护的第一个问题通常是:“这种保护有多安全?为了理解这一点,我们来看看AES加密是什么。AES是一种对称加密算法。它被设计为在硬件和软件方面都是高效的。该算法在全球范围内得到应用,被美国政府用作加密敏感数据的标准加密算法。此外,它是大多数DRM系统的基础,例如Microsoft Playready,Widevine和Verimatrix。AES加密的使用最近也成为MPEG-DASH通用加密标准的一部分。一般来说,这个级别的AES加密可能很快就不会被破坏。
AES加密本身可以被声明安全。但是,加密只是最弱点的安全。还需要看一下解密密钥的安全性。这是许多DRM技术所关注的领域。他们认为关键保护至关重要,通常采用非常晦涩或复杂的方案来检索解密密钥。通过AES-128内容保护,密钥检索工作保持简单,易于实现。它也留有足够的自由使关键保护尽可能简单或高级。
如何保护解密密钥?
HLS规范仅提及密钥检索的一个方面:可以加载密钥的URL应该是清单文件的一部分。保护此资源取决于发布商本身。大多数情况下,我们看到了许多不同的保护解密密钥的方法:
保护清单:这依赖于将URL隐藏到解密密钥。它不提供高水平的安全性,因为URL可能泄漏或可能在网络上被拦截。
使用身份验证Cookie:验证Cookie可由玩家发送密钥请求。这允许密钥服务器检查哪个用户正在请求密钥。如果用户不允许访问流,则不会返回密钥。结果,只有具有正确认证的用户才能接收解密密钥。
利用签名的URL:通过为每个用户提供唯一的清单,可以使用签名的URL。然后,用户特定的清单将包含一个包含认证令牌的解密密钥的链接。然后,服务器可以检查认证令牌,并确定是否可以访问密钥。
在实践中使用AES-128加密
这当然是AES-128加密在实践中可以使用的问题。使用AES-128加密可以通过加密您的媒体文件,并使用清单文件中的EXT-X-KEY标签进行信令。该标签将URL发送到解密密钥。它应放在第一个段之前,该段是用给定的密钥加密的。这个标签可以发生两个极端:
有一次在清单的顶部。这意味着所有段都使用相同的解密密钥加密。在解密密钥被拦截的情况下,整个流可以被解密。
用不同的URL每个段之前。这种方法允许您使用不同的密钥加密每个段。密钥允许您解密单个段,其中只包含几秒钟的媒体信息。
在这两个极端之间,您可以自由选择自己刷新加密密钥的频率。下面你可以找到一个示例清单,每两个段可以旋转加密密钥:
#EXTM3U
#EXT-X-TARGETDURATION:10
#EXT-X-KEY:METHOD = AES-128,URI = https://security.theoplayer.com/sequence-1.key”
#EXTINF:10.0,http://media.theoplayer.com/video1/sequence-1-segment-1.ts
#EXTINF:10.0,http://media.theoplayer.com/video1/sequence-1-segment-2.TS
#EXT-X-KEY:METHOD = AES-128,URI = “https://security.theoplayer.com/sequence-2.key”
#EXTINF:10.0,http://media.theoplayer.com/video1/sequence-2-segment-1.ts
#EXTINF:10.0,http://media.theoplayer.com/video1/sequence-2-segment-2.ts
#EXT-X-ENDLI生成秘钥文件:
#!/bin/sh
BASE_URL=${1:-'.'}
openssl rand -hex 16 > file.key
echo $BASE_URL/file.key > file.keyinfo
echo file.key >> file.keyinfo
echo $(openssl rand -hex 16) >> file.keyinfo
这样会生成两个秘钥文件,一个是file.keyinfo,用于转码时使用。一个是file.key,用于解密,需要放到播放的位置。
file.keyinfo的内容:
http://192.168.4.200:1936/file.key
file.key
01234567890
其中第一行的链接,是解密的秘钥的下载地址。
第二行,是进行转码加密时的秘钥文件的位置。
第三行,版本信息,这个随便写。
示例:
file.key的内容:
023c33dacc60d6e6d913ae11f896d3db
秘钥文件,及加密的秘钥。
加密的转码命令:
I:\工作相关\ffmpeg-20170724-03a9e6f-win64-static\bin\ffmpeg.exe -i I:\25260.mp4 -c copy -bsf:v h264_mp4toannexb -hls_time 10 -hls_key_info_file I:\file.keyinfo I:\playlist.m3u8
ffmpeg,可以将视频分解成小块,并根据密钥进行内容加密。首先需要将密钥写入文件video.key。
还需要第二个文件,key_info来存储是关键信息文件。它具有以下格式:
key URI
key file path
IV (optional)
ffmpeg可以用这个hls_key_info参数来加密你的细分视频:
ffmpeg -i input.mp4 -c copy -bsf:v h264_mp4toannexb -hls_time 10 -hls_key_info_file key_info playlist.m3u8
这将使用CBC模式的AES-128加密您的细分,并将相关标签添加到播放列表:
#EXT-X-KEY:METHOD=AES-128,URI="http://example.com/video.key"
如果需要,您也可以手动加密细分openssl。这里是一个示例脚本,其中每个IV等于段索引:
#!/bin/bash
ts_dir=/path/to/ts/
key_file=video.key
openssl rand 16 > $key_file
enc_key=$(hexdump -v -e '16/1 "%02x"' $key_file)
pushd $ts_dir
ts_cnt=$(ls *.ts | wc -l)
((ts_cnt--))
i=0
for i in $(seq -f "%01g" 0 $ts_cnt); do
iv=$(printf '%032x' $i)
ts_file=segment-$i.ts
echo [$i] $ts_file
openssl aes-128-cbc -e -in $ts_file -out encrypted_${ts_file} -nosalt -iv $iv -K $enc_key
done
popd另外一个可以参考的命令行例子:
ffmpeg -i input.mp4 -f segment -segment_times 10,20 -c copy -map 0 output02%d.mp4
4541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
