視頻點播服務(wù)支持視頻播放權(quán)限認(rèn)證和視頻加密等安全策略，保護(hù)點播音視頻的版權(quán)不受侵犯。

1. 播放權(quán)限認(rèn)證：點播服務(wù)提供了Referer防盜鏈和Key防盜鏈功能，對分發(fā)的音視頻進(jìn)行播放權(quán)限控制，避免非授權(quán)用戶通過播放URL下載或播放點播視頻。具體請參見通過防盜鏈控制音視頻的播放權(quán)限。
2. HLS視頻加密：為有效防止視頻泄露和盜鏈問題，可以對HLS視頻內(nèi)容進(jìn)行加密。加密后的視頻，即使惡意用戶下載也無法分發(fā)給其他人觀看。具體請參見通過HLS加密防止視頻泄露。

視頻點播如何防止被下載場景說明

為對分發(fā)的音視頻進(jìn)行播放權(quán)限控制，點播服務(wù)提供了防盜鏈功能。開啟后，CDN會對所有播放請求中攜帶的關(guān)鍵信息進(jìn)行校驗，僅校驗通過的請求會予以響應(yīng)，其它非法的訪問將直接返回403。防盜鏈方案中包含Referer防盜鏈和Key防盜鏈。

Referer防盜鏈?zhǔn)腔贖TTP協(xié)議支持的Referer機(jī)制實現(xiàn)的，通過播放請求中攜帶的Referer字段識別請求來源。配置黑名單或白名單，CDN將根據(jù)名單對請求來源進(jìn)行過濾，從而達(dá)到最基本的訪問控制的目的。Referer防盜鏈具有配置便捷，無需額外開發(fā)，快速生效等優(yōu)勢，適用于音視頻主要在web端引用的場景。

由于HTTP Header的內(nèi)容可偽造，Referer防盜鏈只能達(dá)到最基本的保護(hù)，安全性不高。所以還可以采用Key防盜鏈方案，通過鑒權(quán)播放URL保障點播資源的安全。由于鑒權(quán)的Key值具有時效性，所以適用于對媒資安全要求比較高的場景。

本示例中，開啟Referer防盜鏈，只允許白名單中的域名訪問視頻文件，然后通過Key防盜鏈生成鑒權(quán)播放地址。

視頻點播如何防止被下載實現(xiàn)原理

Referer防盜鏈的實現(xiàn)原理比較簡單，在點播控制臺配置了白名單或黑名單后，點播服務(wù)會將這份名單分發(fā)到CDN中。當(dāng)CDN接收到資源請求時，會根據(jù)這個名單來識別請求是否合法，若合法，則訪問請求的資源，否則拒絕并返回403。

Key防盜鏈?zhǔn)且曨l點播的加速節(jié)點與點播源站聯(lián)合實現(xiàn)的，比Referer防盜鏈更為安全可靠的一種防盜播方案。Key防盜鏈的實現(xiàn)過程如圖1所示。

圖1 Key防盜鏈實現(xiàn)原理

視頻點播如何防止被下載流程說明如下所示：

租戶在點播控制臺開啟Key防盜鏈功能，并配置誤差允許時間、算法等。

點播服務(wù)將配置的密鑰值等下發(fā)到CDN節(jié)點中。

租戶通過點播服務(wù)獲取到點播媒資的鑒權(quán)URL。

觀眾通過租戶提供的鑒權(quán)播放URL向CDN請求視頻播放。

CDN根據(jù)播放URL中攜帶的鑒權(quán)信息校驗請求的合法性，僅校驗通過的請求會被允許。

配置Referer防盜鏈

先配置Referer防盜鏈，限制請求來源，使點播資源得到最基本的安全保障。

說明：當(dāng)前Referer防盜鏈配置不支持帶端口。

登錄視頻點播控制臺。

在左側(cè)導(dǎo)航欄選擇“域名管理”，進(jìn)入域名管理界面。

單擊域名右側(cè)“配置 ”，在“防盜鏈”頁簽單擊“Referer防盜鏈”。

在彈出的配置框中打開“開關(guān)”，并配置相關(guān)參數(shù)。

類型：支持黑名單和白名單模式。

Referer黑名單：表示僅名單內(nèi)的域名不允許訪問點播資源，其它可以訪問。若同時勾選了“包含空Referer”，則表示不允許HTTP Header中Referer為空的請求。

Referer白名單：表示僅名單內(nèi)的域名允許訪問點播資源，其它不可以訪問。若同時勾選了“包含空Referer”，則表示允許HTTP Header中Referer為空的請求。

規(guī)則：名單詳情，最多支持4級域名，最多支持100條，以英文“;”分隔。域名、IP地址可混合輸入，支持泛域名添加。域名前不能帶協(xié)議名（http://和https://）。

示例：www.example.com;*.test.com;192.168.0.0

單擊“確定”，完成配置。

大約需要3-5分鐘，Referer防盜鏈才生效。

配置Key防盜鏈

為點播資源配置Key防盜鏈，通過鑒權(quán)URL的時效性來進(jìn)一步加強(qiáng)點播資源的安全。

登錄視頻點播控制臺。

在左側(cè)導(dǎo)航欄選擇“域名管理”，進(jìn)入域名管理界面。

單擊域名右側(cè)“配置 ”，在“防盜鏈”頁簽選擇“Key防盜鏈”。

在彈出的配置框中打開“防盜鏈開關(guān)”，并配置相關(guān)參數(shù)。

單擊“確定”，完成參數(shù)配置。

提交工單申請審核，提交的信息需要包含配置的域名，及表1中的信息。

審核通過后Key防盜鏈功能才會生效。若修改了Key防盜鏈的配置，也需重新提交工單審核。

視頻點播如何防止被下載驗證

驗證Referer防盜鏈

在Referer防盜鏈中配置的referer白名單為“m.cqfng.cn”，且不勾選“不包含空Referer”。在“http://www.example.com/test/test.html”網(wǎng)頁中引用點播服務(wù)中的視頻文件“https://1280.cdn-vod.huaweicloud.com/input/1.mp4”，訪問該網(wǎng)頁并播放視頻，若播放失敗則表示Referer防盜鏈生效。

驗證Key防盜鏈

登錄視頻點播控制臺，在左側(cè)導(dǎo)航樹中選擇“音視頻管理”。

在某個音視頻行單擊“管理”，選擇“播放地址”頁簽，獲取播放地址。

其中“地址”列為原始播放地址，單擊可獲取鑒權(quán)播放地址。

在播放器端分別播放原始播放地址和鑒權(quán)播放地址，若原始播放地址播放失敗，鑒權(quán)播放地址播放成功，則表示Key防盜鏈生效。