視頻點(diǎn)播服務(wù)支持視頻播放權(quán)限認(rèn)證和視頻加密等安全策略，保護(hù)點(diǎn)播音視頻的版權(quán)不受侵犯。

1. 播放權(quán)限認(rèn)證：點(diǎn)播服務(wù)提供了Referer防盜鏈和Key防盜鏈功能，對(duì)分發(fā)的音視頻進(jìn)行播放權(quán)限控制，避免非授權(quán)用戶通過(guò)播放URL下載或播放點(diǎn)播視頻。具體請(qǐng)參見通過(guò)防盜鏈控制音視頻的播放權(quán)限。
2. HLS視頻加密：為有效防止視頻泄露和盜鏈問(wèn)題，可以對(duì)HLS視頻內(nèi)容進(jìn)行加密。加密后的視頻，即使惡意用戶下載也無(wú)法分發(fā)給其他人觀看。具體請(qǐng)參見通過(guò)HLS加密防止視頻泄露。

視頻點(diǎn)播如何防止被下載場(chǎng)景說(shuō)明

為對(duì)分發(fā)的音視頻進(jìn)行播放權(quán)限控制，點(diǎn)播服務(wù)提供了防盜鏈功能。開啟后，CDN會(huì)對(duì)所有播放請(qǐng)求中攜帶的關(guān)鍵信息進(jìn)行校驗(yàn)，僅校驗(yàn)通過(guò)的請(qǐng)求會(huì)予以響應(yīng)，其它非法的訪問(wèn)將直接返回403。防盜鏈方案中包含Referer防盜鏈和Key防盜鏈。

Referer防盜鏈?zhǔn)腔贖TTP協(xié)議支持的Referer機(jī)制實(shí)現(xiàn)的，通過(guò)播放請(qǐng)求中攜帶的Referer字段識(shí)別請(qǐng)求來(lái)源。配置黑名單或白名單，CDN將根據(jù)名單對(duì)請(qǐng)求來(lái)源進(jìn)行過(guò)濾，從而達(dá)到最基本的訪問(wèn)控制的目的。Referer防盜鏈具有配置便捷，無(wú)需額外開發(fā)，快速生效等優(yōu)勢(shì)，適用于音視頻主要在web端引用的場(chǎng)景。

由于HTTP Header的內(nèi)容可偽造，Referer防盜鏈只能達(dá)到最基本的保護(hù)，安全性不高。所以還可以采用Key防盜鏈方案，通過(guò)鑒權(quán)播放URL保障點(diǎn)播資源的安全。由于鑒權(quán)的Key值具有時(shí)效性，所以適用于對(duì)媒資安全要求比較高的場(chǎng)景。

本示例中，開啟Referer防盜鏈，只允許白名單中的域名訪問(wèn)視頻文件，然后通過(guò)Key防盜鏈生成鑒權(quán)播放地址。

視頻點(diǎn)播如何防止被下載實(shí)現(xiàn)原理

Referer防盜鏈的實(shí)現(xiàn)原理比較簡(jiǎn)單，在點(diǎn)播控制臺(tái)配置了白名單或黑名單后，點(diǎn)播服務(wù)會(huì)將這份名單分發(fā)到CDN中。當(dāng)CDN接收到資源請(qǐng)求時(shí)，會(huì)根據(jù)這個(gè)名單來(lái)識(shí)別請(qǐng)求是否合法，若合法，則訪問(wèn)請(qǐng)求的資源，否則拒絕并返回403。

Key防盜鏈?zhǔn)且曨l點(diǎn)播的加速節(jié)點(diǎn)與點(diǎn)播源站聯(lián)合實(shí)現(xiàn)的，比Referer防盜鏈更為安全可靠的一種防盜播方案。Key防盜鏈的實(shí)現(xiàn)過(guò)程如圖1所示。

圖1 Key防盜鏈實(shí)現(xiàn)原理

視頻點(diǎn)播如何防止被下載流程說(shuō)明如下所示：

租戶在點(diǎn)播控制臺(tái)開啟Key防盜鏈功能，并配置誤差允許時(shí)間、算法等。

點(diǎn)播服務(wù)將配置的密鑰值等下發(fā)到CDN節(jié)點(diǎn)中。

租戶通過(guò)點(diǎn)播服務(wù)獲取到點(diǎn)播媒資的鑒權(quán)URL。

觀眾通過(guò)租戶提供的鑒權(quán)播放URL向CDN請(qǐng)求視頻播放。

CDN根據(jù)播放URL中攜帶的鑒權(quán)信息校驗(yàn)請(qǐng)求的合法性，僅校驗(yàn)通過(guò)的請(qǐng)求會(huì)被允許。

配置Referer防盜鏈

先配置Referer防盜鏈，限制請(qǐng)求來(lái)源，使點(diǎn)播資源得到最基本的安全保障。

說(shuō)明：當(dāng)前Referer防盜鏈配置不支持帶端口。

登錄視頻點(diǎn)播控制臺(tái)。

在左側(cè)導(dǎo)航欄選擇“域名管理”，進(jìn)入域名管理界面。

單擊域名右側(cè)“配置 ”，在“防盜鏈”頁(yè)簽單擊“Referer防盜鏈”。

在彈出的配置框中打開“開關(guān)”，并配置相關(guān)參數(shù)。

類型：支持黑名單和白名單模式。

Referer黑名單：表示僅名單內(nèi)的域名不允許訪問(wèn)點(diǎn)播資源，其它可以訪問(wèn)。若同時(shí)勾選了“包含空Referer”，則表示不允許HTTP Header中Referer為空的請(qǐng)求。

Referer白名單：表示僅名單內(nèi)的域名允許訪問(wèn)點(diǎn)播資源，其它不可以訪問(wèn)。若同時(shí)勾選了“包含空Referer”，則表示允許HTTP Header中Referer為空的請(qǐng)求。

規(guī)則：名單詳情，最多支持4級(jí)域名，最多支持100條，以英文“;”分隔。域名、IP地址可混合輸入，支持泛域名添加。域名前不能帶協(xié)議名（http://和https://）。

示例：www.example.com;*.test.com;192.168.0.0

單擊“確定”，完成配置。

大約需要3-5分鐘，Referer防盜鏈才生效。

配置Key防盜鏈

為點(diǎn)播資源配置Key防盜鏈，通過(guò)鑒權(quán)URL的時(shí)效性來(lái)進(jìn)一步加強(qiáng)點(diǎn)播資源的安全。

登錄視頻點(diǎn)播控制臺(tái)。

在左側(cè)導(dǎo)航欄選擇“域名管理”，進(jìn)入域名管理界面。

單擊域名右側(cè)“配置 ”，在“防盜鏈”頁(yè)簽選擇“Key防盜鏈”。

在彈出的配置框中打開“防盜鏈開關(guān)”，并配置相關(guān)參數(shù)。

單擊“確定”，完成參數(shù)配置。

提交工單申請(qǐng)審核，提交的信息需要包含配置的域名，及表1中的信息。

審核通過(guò)后Key防盜鏈功能才會(huì)生效。若修改了Key防盜鏈的配置，也需重新提交工單審核。

視頻點(diǎn)播如何防止被下載驗(yàn)證

驗(yàn)證Referer防盜鏈

在Referer防盜鏈中配置的referer白名單為“m.cqfng.cn”，且不勾選“不包含空Referer”。在“http://www.example.com/test/test.html”網(wǎng)頁(yè)中引用點(diǎn)播服務(wù)中的視頻文件“https://1280.cdn-vod.huaweicloud.com/input/1.mp4”，訪問(wèn)該網(wǎng)頁(yè)并播放視頻，若播放失敗則表示Referer防盜鏈生效。

驗(yàn)證Key防盜鏈

登錄視頻點(diǎn)播控制臺(tái)，在左側(cè)導(dǎo)航樹中選擇“音視頻管理”。

在某個(gè)音視頻行單擊“管理”，選擇“播放地址”頁(yè)簽，獲取播放地址。

其中“地址”列為原始播放地址，單擊可獲取鑒權(quán)播放地址。

在播放器端分別播放原始播放地址和鑒權(quán)播放地址，若原始播放地址播放失敗，鑒權(quán)播放地址播放成功，則表示Key防盜鏈生效。