视频内容保护
概览
保护视频内容免遭未经授权访问是媒体公司的首要任务之一。盗版视频会影响他们的业务,原因在于订阅或广告造成的收入损失,以及对内容权利持有者的法律责任。
地理封锁
当您有权仅在特定国家/地区直播内容时,您应阻挡来自其他国家/地区的请求。本文解释了使用 CloudFront、AWS WAF 和边缘函数进行地理封锁的不同选项。当您使用 AWS WAF 进行地理封锁时,请考虑两个托管规则组,这些规则组与视频流有关,用于阻挡使用 VPN 的用户绕过您的地理隔离政策:
- 匿名 IP 列表托管规则,在 AWS WAF 中提供,不额外收费
- IP 欺诈检测与预防托管规则,由 GeoGuard 在 AWS Marketplace 中提供。
适用于基于 Web 的客户端的简单令牌化解决方案
当您的应用程序只能通过浏览器(相对于移动应用程序或智能电视)访问时,可以考虑使用 CloudFront 的原生签名 Cookie,这是一种简单的令牌化机制,可在不收取额外费用的情况下阻挡未经授权的用户。您只需要在流式传输 CloudFront 发行版上启用签名 cookie,然后更新您的后端以在流媒体域上生成和设置 cookie(例如,使用 Set-Cookie 响应标头或使用 JavaScript 和 API 调用)。玩家在浏览器中发出的后续请求将包含该签名 cookie,并将由 CloudFront 授权。在以下博客系列(1 和 2)中了解此实现。
解决上述挑战的另一种多 CDN 方法是使用 CloudFront 作为其他 CDN 的源。但是,这种方法需要对架构的冗余进行额外的审查。例如,建议在使用 CloudFront 作为源时禁用第三方 CDN 的源防护或集中式缓存,以缩小局部 CloudFront PoP 受损的爆炸半径。还建议在 CloudFront 上启用 Origin Shield 以提高可用性和缓存命中率。如果您有 CloudFront 私有定价协议,并且想要实施此架构,请联系您的 AWS 账户团队就此进行讨论。
高级令牌化解决方案
对于高级使用案例,如果您拥有异构用户设备群(机顶盒、智能电视),并且需要更复杂的令牌化逻辑以及在令牌签名中计算的自定义字段,可以考虑边缘安全媒体交付解决方案。这是基于 JWT 的令牌化解决方案,具有以下优点:
- 令牌是路径的一部分,几乎不需要在客户端或服务器端进行任何更改,使得解决方案非常容易与您的视频工作流程集成:\
- 与基于 cookie 的令牌不同,所有设备类型都支持基于路径的令牌。
令牌签名可自定义,允许您包含不同的维度,例如 IP、国家/地区、用户代理标头等。 - 它基于 CloudFront Functions,这使其具有可扩展性和成本效益,即使对于大型活动也是如此。
![](https://d1.awsstatic.com/Solutions/Solutions%20Category%20Template%20Draft/Solution%20Architecture%20Diagrams/secure-media-delivery-at-the-edge-architecture.bba72034588d25af11668ff9c38342f876277aed.png)
此外,该解决方案还为您提供了用于生成令牌的 SDK、用于测试令牌的示例 UI,最重要的是会话撤消系统,可在几分钟内检测并自动阻挡盗版会话。
注意 CloudFront Functions 现已发布 KeyValueStore,您可能需要对其进行研究,并使用它作为存储阻止/撤销令牌和/或在 CloudFront 函数中实施额外自定义逻辑的替代方案。