本文作者：徐利再 單位：中國移動通信集團(tuán)上海有限公司視頻運(yùn)營中心

0引言

移動互聯(lián)網(wǎng)視頻業(yè)務(wù)通常是指以流媒體和視頻下載方式為主，向用戶提供隨時(shí)隨地在移動設(shè)備上觀看影視、娛樂、體育等豐富視頻內(nèi)容的業(yè)務(wù)。目前移動互聯(lián)網(wǎng)視頻業(yè)務(wù)可分為WAP和客戶端兩大類，計(jì)費(fèi)方式一般分為按次和包月(會員)等。隨著移動互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，不可避免的給數(shù)據(jù)業(yè)務(wù)帶來信息安全方面的風(fēng)險(xiǎn)。在移動互聯(lián)網(wǎng)視頻業(yè)務(wù)的開展過程中，市場上出現(xiàn)了多種針對視頻業(yè)務(wù)的惡意軟件，業(yè)務(wù)的計(jì)費(fèi)盜鏈等風(fēng)險(xiǎn)，安全形式十分嚴(yán)峻。為了加強(qiáng)移動互聯(lián)網(wǎng)視頻的信息安全控制，本文從業(yè)務(wù)運(yùn)營過程中出現(xiàn)的盜鏈方式入手，深入分析其中的技術(shù)細(xì)節(jié)，在此基礎(chǔ)上，提出相應(yīng)的技術(shù)方案，并基于實(shí)施的效果，來驗(yàn)證對于手機(jī)視頻計(jì)費(fèi)風(fēng)險(xiǎn)控制的可行性，最后也從技術(shù)和管理的角度提出了一些后續(xù)需要繼續(xù)研究和探討的問題點(diǎn)。

1盜鏈現(xiàn)象分析

移動互聯(lián)網(wǎng)視頻業(yè)務(wù)需要堅(jiān)持規(guī)模發(fā)展和服務(wù)質(zhì)量并重的路線，將“質(zhì)量第一，客戶至上”的理念貫穿在整個(gè)業(yè)務(wù)發(fā)展過程中。隨著用戶規(guī)模的快速增長以及移動互聯(lián)網(wǎng)本身的技術(shù)限制，移動互聯(lián)網(wǎng)視頻業(yè)務(wù)在發(fā)展過程中出現(xiàn)了各類業(yè)務(wù)盜鏈問題以及用戶的相關(guān)投訴。

1.1門戶訪問盜鏈分析

在互聯(lián)網(wǎng)應(yīng)用領(lǐng)域，門戶訪問盜鏈現(xiàn)象較為普遍。正常情況下，用戶通過主站進(jìn)入門戶主頁，通過門戶主頁進(jìn)入相關(guān)內(nèi)容頁面，規(guī)范有序。非法的渠道推廣者通常將內(nèi)容頁面的訪問鏈接推廣到不合規(guī)范的網(wǎng)站上，此類網(wǎng)站以涉黃、資費(fèi)提示不明顯等為主，誘騙消費(fèi)者訪問以謀取不正當(dāng)?shù)氖找妫瑖?yán)重?fù)p害業(yè)務(wù)提供者的聲譽(yù)或商業(yè)利益。

1.2業(yè)務(wù)使用盜鏈分析

在互聯(lián)網(wǎng)視頻應(yīng)用領(lǐng)域，播放或下載盜鏈現(xiàn)象較為普遍。獲取到視頻播放或下載鏈接是用戶使用視頻業(yè)務(wù)的唯一途徑。在正常使用場景下，用戶需要通過訪問業(yè)務(wù)提供者的主站門戶，通過與門戶的頁面交互獲取視頻播放或下載鏈接，通過該鏈接播放或下載視頻內(nèi)容，安全可靠。視頻業(yè)務(wù)使用盜鏈者往往利用視頻流服務(wù)機(jī)制上的技術(shù)漏洞，制造不正常或非法的使用方式，規(guī)避業(yè)務(wù)使用計(jì)費(fèi)，甚至通過惡意傳播等方式獲得二次盈利。經(jīng)研究分析，業(yè)務(wù)使用盜鏈主要有篡改播放或下載鏈接，達(dá)到使用免費(fèi)產(chǎn)品播放收費(fèi)內(nèi)容的目的；或者惡意傳播視頻播放或下載鏈接產(chǎn)生二次盈利這兩種主要模式，此類盜鏈將大大消耗業(yè)務(wù)提供者的系統(tǒng)資源并引發(fā)計(jì)費(fèi)漏洞的可能。

2盜鏈問題的技術(shù)解決方案

根據(jù)門戶訪問盜鏈以及業(yè)務(wù)使用盜鏈的分析，本文針對門戶訪問盜鏈提出了建立渠道訪問白名單的技術(shù)方案；針對視頻業(yè)務(wù)使用盜鏈提出了防篡改、防傳播和防破解的技術(shù)解決方法。

2.1門戶訪問盜鏈的技術(shù)解決方法

移動互聯(lián)網(wǎng)視頻業(yè)務(wù)提供者通常是直接收費(fèi)者，同時(shí)存在多種渠道推廣方進(jìn)行二次分成，在利益的驅(qū)使下，必然會存在推廣方在不良網(wǎng)站上進(jìn)行非法盜鏈以獲取業(yè)務(wù)推廣的分成費(fèi)用。基于此，視頻業(yè)務(wù)的門戶訪問盜鏈的技術(shù)解決方法主要有：首先主站頁面禁用盜鏈，其次所有允許訪問的外置鏈接必須納入管理系統(tǒng)進(jìn)行管理，最后每個(gè)外置鏈接明確用途和來源渠道。即建立渠道訪問白名單機(jī)制。限制授信站點(diǎn)涉及HTTPReferer頭域，Referer頭域允許客戶端指定請求鏈接的源資源地址，這可以允許服務(wù)器生成回退鏈表，可用來登陸、優(yōu)化cache等。如果請求的鏈接在列表中沒有對應(yīng)的鏈接地址，Referer不能被發(fā)送；如果指定的是部分鏈接地址，則此地址應(yīng)該是一個(gè)相對地址。因此第一Referer可以追溯上一個(gè)入站地址是什么；第二Referer對于資源文件，可以跟蹤到包含顯示他的網(wǎng)頁地址是什么。防盜鏈方法基本都基于這個(gè)Referer字段實(shí)現(xiàn)。

2.2業(yè)務(wù)使用盜鏈的技術(shù)解決方法

面對越來越多的播放或下載盜鏈，通過盜鏈場景和技術(shù)的分析研究發(fā)現(xiàn)，移動互聯(lián)網(wǎng)視頻業(yè)務(wù)的使用盜鏈主要集中在兩種模式：篡改播放或下載鏈接免費(fèi)播放收費(fèi)內(nèi)容，惡意傳播視頻播放或下載鏈接產(chǎn)生二次盈利。以下針對以上兩種模式分析技術(shù)解決方案。

2.2.1防篡改—鏈接壓縮加密

為防止由平臺側(cè)生成的播放或下載鏈接被盜鏈者惡意篡改，達(dá)到免費(fèi)或者不法使用業(yè)務(wù)的目的，可以啟用鏈接保護(hù)策略，即對播放或下載鏈接進(jìn)行整體加密壓縮編碼。所謂整體即將鏈接中的視頻資源路徑信息和計(jì)費(fèi)信息同時(shí)加密壓縮處理；加密密鑰分發(fā)到服務(wù)節(jié)點(diǎn)和流服務(wù)器，所有門戶節(jié)點(diǎn)和流服務(wù)節(jié)點(diǎn)采用相同的密鑰。另外同時(shí)采用播放或下載鏈接的生命周期控制手段，即鏈接中包含了時(shí)間戳，鏈接生成一段時(shí)間（比如5分鐘）后即失效，流服務(wù)器拒絕對失效的鏈接提供服務(wù)。若要繼續(xù)使用視頻業(yè)務(wù)，需要重新到門戶生成使用鏈接，進(jìn)一步增強(qiáng)對鏈接的保護(hù)。

2.2.2防傳播—限制惡意并發(fā)播放

移動互聯(lián)網(wǎng)視頻業(yè)務(wù)有部分基于RTSP協(xié)議下的視頻流服務(wù)，流媒體服務(wù)器無法識別源手機(jī)終端號碼，引入防傳播盜鏈的機(jī)制，核心思想就是同一手機(jī)號碼在同一時(shí)段只能進(jìn)行受限次播放請求。防傳播盜鏈機(jī)制在業(yè)務(wù)平臺的核心系統(tǒng)實(shí)現(xiàn)，由于流服務(wù)到計(jì)費(fèi)認(rèn)證系統(tǒng)進(jìn)行兩次鑒權(quán)（播放前認(rèn)證，播放后計(jì)費(fèi)），計(jì)費(fèi)認(rèn)證系統(tǒng)完全可以跟蹤記錄每個(gè)手機(jī)號碼的流播放行為，在播放前的使用認(rèn)證點(diǎn)進(jìn)行防傳播盜鏈檢測：同一手機(jī)號碼在同一時(shí)段只能進(jìn)行受限次播放請求。當(dāng)用戶播放前計(jì)費(fèi)認(rèn)證到達(dá)時(shí)，計(jì)費(fèi)認(rèn)證系統(tǒng)生成一條記錄，當(dāng)再次有該用戶的播放前計(jì)費(fèi)認(rèn)證請求到達(dá)時(shí)，再次生成一條記錄，直到超出上限，則開始拒絕用戶請求；當(dāng)用戶播放結(jié)束請求時(shí)，則刪除相應(yīng)記錄，如果超過老化時(shí)間用戶仍沒有上報(bào)下線請求，則主動對相應(yīng)記錄進(jìn)行失效容錯(cuò)處理。

2.2.3防破解—?jiǎng)討B(tài)密鑰系統(tǒng)徹底擺脫人為風(fēng)險(xiǎn)

無論多么安全的機(jī)制，最終都不能擺脫人的風(fēng)險(xiǎn)，關(guān)鍵信息如加密算法原理等，特別是密鑰一旦泄露出去被加以利用，整個(gè)安全體系可謂一夜崩塌。為解決人的風(fēng)險(xiǎn)，可以籌建動態(tài)密鑰系統(tǒng)，即密鑰不再是人工設(shè)置的，而是由動態(tài)密鑰系統(tǒng)定時(shí)發(fā)布密鑰到各服務(wù)節(jié)點(diǎn)，在門戶側(cè)進(jìn)行播放鏈接的加密壓縮，在流服務(wù)側(cè)對URL進(jìn)行解密解壓縮校驗(yàn)，密鑰隨機(jī)生成，沒有任何明文或人工語言規(guī)律。

3結(jié)束語

實(shí)施了渠道訪問的白名單機(jī)制后，限定視頻業(yè)務(wù)僅供主站及授信站點(diǎn)的引用，極大的消除了大量的盜鏈訪問，盜鏈的數(shù)量也明顯下降。防篡改技術(shù)方案實(shí)施后，有效阻止了盜鏈者通過任意組合收費(fèi)視頻資源路徑和免費(fèi)產(chǎn)品信息形成“合法”的播放鏈接，播放收費(fèi)內(nèi)容而不產(chǎn)生計(jì)費(fèi)的行為。防傳播盜鏈機(jī)制從根本上阻止了惡意傳播視頻播放鏈接產(chǎn)生二次盈利的行為，有效遏制了傳播盜鏈的情況。通過防篡改、防傳播、防破解的三層安全手段，將視頻業(yè)務(wù)的安全體系提升到一個(gè)更高的層次。