新知第一期 03 直播媒体安全原创

今天我分享的内容主要包括四个部分，第一个部分是直播的安全体系，简单介绍一下直播场景中的安全风险和。保障全。呃，直播的主要流程是主播通过一个推流的URL推流到腾讯云直播等云端平台上，云端根据客户需要对直播进行转码处理，终端公观众通过拉邮的URL进行播放。的接。

倒推就有可能会导致我们正常的主播在播的时候被下线，或者是产生大量因为推流而产生的。意的封禁。在端，如果观的URL也是定的成者试。那就存在着被的风险，如果这些链接被二次发，或者是一些平台来引流，都有产生大量期的费用，从而导致呃我们平台的经济损失。因此我们可以看到，如果没有任何的安全策略，对整个平台的正常运营带来很大的风险。播方式，自己接址来的规则泄问题，从定的角来，这也是一种全策。

直播的内容和运营的策略也都很不一样，用一种方案来所有的场景。因此需要实际的需要来。呃，为了保证客户的直播安全，腾讯云直播从推流、内容、播放三个维度提供了丰富的。安全机制满。不同场景全。一般情况下，在整个直播流程中播放，因为涉及到的链路、使用的设备。最为复杂，因此是整个直播安全方案中的重点。

接下来，我将根据不同的业务场景，简单介绍如何使用腾讯的安全策略。保证播放安全。如果我们的直播不需要很高的安全性，只是想要简单的提高倒播的门槛，那推荐使用refer校验的方式。refer是HTTP协议中字。使用这个功能很简单，只需要在腾讯直播控制上简单就可以的。成本。如果直播是面向固定的观众和设备，并且这些呃设备的IP已知的话，那么。比如说是作为原端的情况，或者是明确的知道哪些IP不允许播放的场景，那推荐使用IP黑白名单的方式来提高安全性。

这个功能的配置也非常简单，只需要在腾讯云控制台打开开关。允可。也可以实现不错的安全效果。但是一般情况下，播放端的公网IP是很难获取到的，并且经常变化，这种方式就会比较容易，比较难实施，因此只适合观众少，设备IP固定的场景。在日常直播中，呃，更多的场景呢，是直播平台，希望直播内容可以被更多的观众观看，比如说游戏类、娱乐类的直播，那使用前两种方式就都不适合了，而在这种场景下，我们推荐使用防盗链的方式来防止倒播。呃，防盗链的原理是，呃，我们的业务端和云端约定一个统一的健全规则，业务端按照这个健全规则生成防盗链播放链接息给客户端，客户端通过这个播放链接播放时，云端会使用相同的规则对播放链接中的健全参数进行校验计算。

只有校验成功才允许播放。在整个过程中，客户端是接触不到规则的，而且因为健全参数一般都是使用M的呃摘要算法计算出来，很难通过反推的方式计算出原始的呃健全T等关键信息。因此，终端用户自行破解生成播放链接的难度就会很大，从而提升了播放的安全性。要生成腾讯云的盗链播放链接，首先需要在控制台上打开功能。然后根据。面就可以，相比较于前两种方式，防盗链策略也非常容易配置使用，并且它的安全性相对来说比较高，可以满足多种直播场景，是我们直播中最广泛使用的安全策略之一。

一般情况下，防盗链已经可以满足很多场景的需要，但是如果防盗链播放地址被泄露了，并且呢，这个播放地址还是在这个有效时间之内的，那这个地址还是可以的。啊，还是会有被盗播的风险，如果我们的直播场景需要保证呃播放链接即使被泄露也也能防止盗播，或者是呃希望可以添加一些自定义的健全规则，实现类似于筛选观众这样的功能，那么推荐使用呃防盗链加特窥验证的方式来实现啊，这种方式在播放时，云端除了呃防盗链健全之外呢，还会向客户配置的特根验证服务发起校验，只有校验通过了之后才允许播放。

比如说我们要呃配置这个，嗯，一个播放链接，一个用户只能播放一次，那么我们我们可以在自定义的特别信息里面带上这个用户的ID，然后在校验的时候呢，增加校验啊，一个用户在一个播放链接只能播放一次，这样就可以实现我们的目的，呃用所使用这样的方法呢，就可以达到即使播放链接不泄露，也能防止倒播的目的。但是，呃。以上的这几种方法呢，我们都是通过控制这个链接能不能被能不能数据来保证我们的直播安全，但是我们在整个链路的数据传输还都是明文的，明文在公网上传输，就仍然存在着被非法拷贝和传播的风险。如果是我们的直播场景是内部会议这种。内容比较密的场景，那我们就需要更加安全的方案，在这种场景下，我们推荐使用防盗链加验证加HS12128加密的方案。

这个方案在主播推流成功之后呢，云端会自动会向业务的呃密钥管理系统KMS获取加密密钥，并使用加密密钥对音视频数据进行加密。当播放的时候，播放端从云端的CDN获取到的是加密的音视频，是没有办法直接播放的。因此。需要终端向呃密钥管理系统申请解密密钥才可以播放。在这种情况下，即使有人可以成功的拉到流，但是因为它没有办法获取到解密密钥，依然是无法播放直播的内容的啊，这就进一步的降低了我们直播内容被截取的风险。这种方式支持H。如果我们的直播场景里面需要使用的FV议播，那么推荐使用呃，防盗链加资源二的方案，这个方案打通了腾讯云直播和腾讯云的MS，在推流成功之后呢，会自动到MS获到加密的密钥。

并通过这个密钥对FV数据进行加密。在播放端我们也提供了腾讯云直播的SDK，这个SDK呢会自动获取解密密钥。来进行解密播放。嗯，整个的方案呢，是由腾讯直播技术H密方案相过。加，既通过加密的方式保证了安全性，又使用了FLV协议来兼顾了延时。通过防盗链的方式和在防盗链基础上的一些扩展方案。我们保证了直播流不会被轻易的盗播，盗链播放，又通过对数据进行加密，保证了数据在传输的过程中不会被易的获取到原始数据，但是这样真的已经完全安全了吗？啊，其实也没有。

场景。到用户的电脑上来进行解密啊。正常情况下音视频的解密播放的流程啊，如这个图所示。呃，音视频数据在解封装之后，需要使用到解密器进行解密，然后呢，对这些解密后的数据进行解码，变成视频的原始数据，在经过音视频同步后，最后来进行渲染播放。终端的过程解存终。那就仍然存在着通过调试工具、注入、立项等方式啊获取到原始加密密钥和音视频数据的风险。因此严格来说，呃，它是有一定的安全隐患的。

因此应用范围有比较大的限制。而方案。的就没有类似的，通过可以做到iOS覆是目使用比较，而是了一个模，通过这个C模来完成生解。CDM模块将所有涉及解密的操作都从应用。播放器中剥离保证的解密数据都处在可控的环境中。

根据C。解密是否需要硬件可执行环境，也就是T来分别可以分为三个级别。是LLLL。呃，芯片的TE中。LL2级别呢？它只是需要解密在T中完成，L1 L22个级别它都需要硬件的参与，因此都需要使用到方案认可的。芯片啊。他的，呃。它的终端的要求会比较高，呃，L3级别呢？呃，相对于L1和L级别来说，它的安全性相对比较。呃，它的解密动作全部都在CDM软件模块中完成。但是这个方式呢，需要硬件常用器器景下。

啊，通过对L1 L2 L3的介绍，我们也可以发现，安全性越高，对终端设备的要求也就越高啊，兼容性来说相对也会越差。如果需要放有版权的内容，或者是版权方有明确的D，那我们就推使盗链加方。目前腾。在这个方案中，腾讯云直播会与D提供商使用CS协议交互来。呃，传播传递加密密钥。并且在此基础上对整个的直播数据进行加密，播放器播放时从腾讯云拉到的呃数据是加密的音视频数据。播放器通过CDM向DM提供商请求播放许可。DM提供商可以根据呃配置。

给不同的终端分发，包括包括不同的播放时间、许可证有效期等要求的播放许可。行业第二的方案相对于其他的方案呢，实现了硬件及系统级的安全播放，拥有出色的安全性，但是也存在着实施复杂、全流程黑核较多、金容性不佳等问题，因此一般只有在明确有版权要求的时候然才建议使用。对比以上的几种方案的安全性、实施复杂度，我们可以发现，随着安全性的提升，呃，实施的复杂度、成本都在增加，所以呢，一味的高呃，追求最高的安全性可能并不是最适合的方案。如果直播的场景需要有较高的安全性，又不想做太多复杂的配置。那么最推荐使用的是呃，播放链的方案，如果是应用在会议等G场景下，需要数据安全传输，那推荐使用HS加密的方案。

与播放相比呢？推流更涉及到的主播的数量跟观众相比也要少得多，因此相对来说会更安全一些。啊腾讯云直播为推流也提供了呃不同的方案来保证安全性。首先啊腾讯直播提供了推流健全的方式来提高呃倒推的门槛，它的原理跟播放全是一致的，也是只需要在控制台上简单的配置就可使用。如果需要跟播放一样自定义这个健全规则啊，推流也同样提供了推流健全加特验证的方式来支持这种场景。推流一般都是使用视频绕来流，非常敏感的直播。需要全链路的加密传输，那也可以使用RTMPS协议来进行推流，目前腾讯云已经默认支持，如果只需要使用啊默认的推流域名，那么不需要更换端口，也不需要配置证书，只需要将呃。

推流。地址的协议由RTP更换成RTPS就可以使用，如果需要使用到自定义的域名，那么只需要提供对应的域名和证书，通过工单的方式提供到腾讯云。在实施完成了之后呢，可以使用。最后再简单介绍一下内容的安全。对于直播平台来说，呃，除了保证推流和播放的安全，保证内容的合规，也是呃直播平台能否稳定和持续运营的一个关键。呃，随着业务的发展，主播越来越多，通过人工扫描去判断直播间是否合规，呃，肯定是无法满足呃直播呃直播平台发展的效率和成本需求的。在这种场景下，呃推荐使用腾讯直播的。

截图功能，截图鉴黄功能。来进行呃，安全加固呃，通过在配控制台上配置好截图功能相关的回调地址之后呢，如果直播间存在违规的风险，就会触发回调，嗯，业务方在收到回调之后呢，可以通过人工二次确认等方式。辨别这个直播间是否真的违规，在确认违规后呢，可以通过直播的进推功能来及时的封禁直播间，从而保证直播的安全。而且虽然在现实的这个互联网中，没有100%安全的方案，没有100%适合的方案。100%。呃，适用于所有场景的方案，但是呢，我们可以根据业务的实际需求选择合适的安全方案。从而来保障我们直播业务的呃安全、稳定、可靠的运行。

今天的分享就是这些，谢谢大家。