在本節中,我們將介紹兩種不同的媒體加密策略,以及如何透過 FFmpeg 和 Shaka Packager 使用這些策略的實用範例。我們討論的兩種加密策略是「Clear Key」,並使用 Google Widevine 這類服務。這兩種策略都是數位權利管理 (DRM) 的一種形式,用於控管使用者可透過您的媒體執行哪些操作。不過,由於金鑰傳遞驗證的方式,導致 DRM 服務的安全性較低,因此 DRM 服務可能會更適合。
網路的主要 DRM 服務包括 Google Widevine、Microsoft PlayReady 和 Apple FairPlay,但我們不會在本文中介紹所有服務。不過,如果您指定所有新型瀏覽器,很可能會使用這三項 DRM 服務。
轉換和加密作業會透過以下應用程式完成:
清除金鑰加密
首先,您必須先充分瞭解 Clear Key 的功能,才能使用這項服務。如果您不想使用現有的 DRM 服務,且認為對媒體進行基本加密是可行的方式,則可使用 Clear Key。但請注意,這類加密方式提供的安全性,不如使用 DRM 服務來得高。這是因為鍵值組合並未以其他金鑰加密,這與由授權伺服器儲存的解密金鑰所產生的加密金鑰不同。此外,Clear Key 會以純文字傳送鍵/值組合,因此在您加密媒體時,解密金鑰並非機密資訊。
建立金鑰
您可以使用相同的方法為 DASH 和 HLS 建立金鑰。請使用 OpenSSL 執行此操作。以下會建立由 16 個十六進位值組成的加密金鑰。
openssl rand -hex 16 > media.key
建立 IV
接下來,我們可以產生初始化向量 (IV)。
openssl rand -hex 16
6143b5373a51cb46209cfed0d747da66
使用 Clear Key 加密
以下範例使用含有原始金鑰的 Shaka Packager,其中 keys 和 key_ids 會直接提供給 Shaka Packager。如需更多範例,請參閱說明文件。
針對 key 旗標,請使用先前建立的金鑰,該金鑰儲存在 media.key 檔案中。不過,在指令列中輸入時,請務必移除空白。針對 key_id 標記,請重複 media.id 值,或使用上述產生的 IV 值。
packager \
input=glocken.mp4,stream=audio,output=glockena.m4a \
input=glocken.mp4,stream=video,output=glockenv.mp4 \
--enable_fixed_key_encryption \
--keys label=audio:key=INSERT_AUDIO_KEY_HERE:key_id=INSERT_AUDIO_KEY_ID_HERE,label=video:key=INSERT_VIDEO_KEY_HERE:key_id=INSERT_VIDEO_KEY_ID_HERE
建立金鑰資訊檔案
如要加密 HTTP 即時串流,除了金鑰檔案外,您還需要一個金鑰資訊檔案。金鑰資訊檔案是文字檔案,格式如下。副檔名應為 .keyinfo。例如:encrypt.keyinfo。
key URI
key file path
private key
金鑰 URI 是 media.key (在前面建立) 在伺服器上的所在位置。金鑰檔案路徑是相對於金鑰資訊檔案的位置。最後,私密金鑰是 media.key 檔案本身的內容,或您先前建立的 IV。例如:
https://example.com/keys/media.key
/path/to/media.key
6143b5373a51cb46209cfed0d747da66
為 HLS 加密
packager \
'input=input.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
'input=input.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
--hls_master_playlist_output="master_playlist.m3u8" \
--hls_base_url="http://localhost:5000/"
這個指令可接受 16 或 32 個半形字元的金鑰。
ffmpeg -i myvideo.mov -c:v libx264 -c:a aac -hls_key_info_file encrypt.keyinfo myvideo.m3u8
Widevine 加密
您現在已瞭解 Clear Key 加密技術的運作方式和使用時機。不過,什麼時候應該使用 DRM 服務來強化安全性呢?這時就會使用 Widevine 或其他服務,安全地加密及解密媒體。Widevine 支援 MPEG-DASH 和 HLS,是 Google 的數位版權管理技術。無論是 Google Chrome 和 Firefox 網路瀏覽器、Android MediaDRM、Android TV,還是其他使用 Encrypted Media Extensions 和 Media Source Extensions 的消費性電子裝置,Widevine 都會使用 Widevine 解密內容。
使用 Widevine 加密
本文中大部分的範例都使用透明金鑰加密。不過,您需要替換 Widevine 的下列選項。
--enable_fixed_key_encryption \
--enable_fixed_key_decryption \
--keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE
除了檔案名稱和 --content-id 標記外,請將分離器 (demux) 指令中的所有內容從範例中完全複製。--content-id 是 16 或 32 個隨機十六進位數字。請使用這裡提供的金鑰,而非您自己的金鑰。如需更多範例,請參閱 Shaka Packager 說明文件,瞭解如何使用 Widevine Key Server。
將音訊和影像解除多重取樣 (分離),加密新檔案,並輸出媒體顯示說明 (MPD) 檔案。
packager \ input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \ input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \ --enable_widevine_encryption \ --key_server_url "https://license.uat.widevine.com/cenc/getcontentkey/widevine_test" \ --content_id "fd385d9f9a14bb09" \ --signer "widevine_test" \ --aes_signing_key "1ae8ccd0e7985cc0b6203a55855a1034afc252980e970ca90e5202689f947ab9" \ --aes_signing_iv "d58ce954203b7c9a9a9d467f59839249"重新混合 (結合) 音訊和視訊串流。如果您使用的是影片架構,可能不需要執行這項操作。
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocke.mp4
媒體轉換序列
本節將依序顯示從原始 .mov 檔案取得加密資產,並為 DASH 或 HLS 封裝所需的指令。為了說明這個目標,我們將來源檔案轉換為 8 Mb/s 的位元率,解析度為 1080p (1920 x 1080)。視需要調整這些值。
DASH/WebM
轉換檔案類型和編碼器。
針對這項指令,您可以使用
liborbis或libopus做為音訊編解碼器。ffmpeg -i glocken.mov -c:v libvpx-vp9 -c:a libvorbis -b:v 8M -vf setsar=1:1 -f webm tmp_glocken.webm建立 Clear Key 加密金鑰。
openssl rand -hex 16 > media.key將音訊和影像解除多重取樣 (分離),加密新檔案,並輸出媒體顯示說明 (MPD) 檔案。
packager \ input=tmp_glocken.webm,stream=video,output=glocken_video.webm \ input=tmp_glocken.webm,stream=audio,output=glocken_audio.webm \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \ --mpd_output glocken_webm_vod.mpd重新混合 (結合) 音訊和視訊串流。如果您使用的是影片架構,可能不需要執行這項操作。
ffmpeg -i glocken_video.webm -i glocken_audio.webm -c copy glocken.webm
DASH/MP4
轉換檔案類型、視訊編碼和位元率。
ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 tmp_glocken.mp4建立 Clear Key 加密金鑰。
openssl rand -hex 16 > media.key將音訊和影像解除多重取樣 (分離),加密新檔案,並輸出媒體顯示說明 (MPD) 檔案。
packager \ input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \ input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \ --mpd_output glocken_mp4_vod.mpd重新混合 (結合) 音訊和視訊串流。如果您使用的是影片架構,可能不需要執行這項操作。
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocken.mp4
HLS/MP4
HLS 僅支援 MP4,因此您必須先轉換成 MP4 容器和支援的編解碼。
轉換檔案類型、視訊轉碼器和位元率。
ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 glocken.mp4建立 Clear Key 加密金鑰。
openssl rand -hex 16 > media.key建立金鑰資訊檔案
packager \ 'input=glocken.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \ 'input=glocken.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \ --hls_master_playlist_output="master_playlist.m3u8" \ --hls_base_url="http://localhost:5000/" \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE
已有許多摘要,但希望您現在可以自信地將媒體加密。接下來,我們將說明如何在網站中新增媒體。