一、基礎(chǔ)防盜鏈

基礎(chǔ)防盜鏈主要是針對客戶端請求過程中所攜帶的一些關(guān)鍵信息來驗證請求的合法性， 比如客戶端請求IP，請求URL中攜帶的referer。優(yōu)點是規(guī)則簡單，配置和使用都很方便，缺點是防盜鏈所依賴的驗證信息很多都是可以偽造的，因此此類防盜鏈可靠性較低。

1、IP 訪問控制

原理：

IP地址在互聯(lián)網(wǎng)上具有唯一性，通?？蛻舳嗽谡埱筮^程中，IP地址保持不變，客戶端向服務(wù)端（CDN節(jié)點）發(fā)起請求時，服務(wù)端可以明確獲取到客戶端的IP地址，因此可以利用IP 地址的這些特點進(jìn)行訪問控制。

1、支持1個或多個IP的訪問控制（黑名單或白名單）

2、支持針對IP段進(jìn)行訪問控制（通常采用IP+子網(wǎng)掩碼的表示方式，比如192.168.1.0/24）

3、支持區(qū)域訪問許可。比如，禁止或允許某些地區(qū)的用戶（根據(jù)訪問者的IP所在的地理位置）訪問某些特定的資源，常用于版權(quán)保

適用場景舉例：

1）發(fā)現(xiàn)某些IP地址訪問次數(shù)巨大，屬于不正常的訪問或者可能是某種攻擊行為，這種情況下可以考慮將該IP地址加入黑名單，此IP地址訪問到CDN的節(jié)點時會被直接拒絕。

2）加速的內(nèi)容屬于公司或者企業(yè)的員工內(nèi)部使用，不希望被企業(yè)之外的其他人訪問到。企業(yè)通常有固定統(tǒng)一的出口IP地址，因此可以將這些出口IP加入白名單，只允許白名單中的IP訪問，其他所有IP都將被拒絕。

3）有些特殊的資源只希望北京地區(qū)的用戶使用，禁止其他地區(qū)的用戶使用，可以使用地區(qū)訪問許可的功能。

2、Referer 防盜鏈

原理：

Referer在HTTP協(xié)議里有特殊的用途，當(dāng)瀏覽器向服務(wù)器發(fā)送請求時，一般會帶上Referer頭，告知服務(wù)器該請求是從哪個頁面鏈接過來的。Referer經(jīng)常被用于頁面訪問統(tǒng)計、圖片防盜鏈等。

流媒體直播同樣支持Referer防盜鏈，當(dāng)請求發(fā)送到CDN服務(wù)器后，CDN服務(wù)器檢查客戶URL中所攜帶的Referer字段的信息，禁止或者允許符合特定規(guī)則（支持正則匹配）的Referer的請求。

適用場景舉例：

某直播客戶，通過referer做防盜鏈。比如http://cdn.example.com/，訪問該頁面下的所有直播流時，比如http://cdn.example.com/live1.flv，瀏覽器在請求時會自動帶上Referer：http://cdn.example.com/表明請求的來源地址。

注意事項：

1） 在使用Referer防盜鏈功能時，應(yīng)該特別注意指明空引用的處理方式（空引用是指http請求頭中沒有攜帶Referer頭部，通常是直接在瀏覽器地址欄訪問某個url或者通過非瀏覽器的方式訪問某個url時，請求頭部不會帶有referer頭部；），默認(rèn)禁止空引用。

2） Referer很容易偽造，因此referer防盜鏈安全性較低。

二、高級防盜鏈

流媒體直播中，高級防盜鏈主要是指時間戳防盜鏈、swf防盜鏈、回源鑒權(quán)防盜鏈。 時間戳防盜鏈的特點是加密的url具有時效性，無法偽造，當(dāng)達(dá)到過期時間后url不再被允許訪問，適合一些對“時效性”有要求的場景，使用時需要內(nèi)容提供商和CDN配合，內(nèi) 容提供商負(fù)責(zé)生成加密的url，CDN負(fù)責(zé)根據(jù)預(yù)先設(shè)定的規(guī)則對url進(jìn)行合法性驗證。時間戳防盜鏈由于實現(xiàn)原理簡單、可靠性高，推薦使用。

Swf防盜鏈為RTMP協(xié)議所特有，其特點為需要客戶提前將SWF文件上傳至CDN節(jié)點， 由客戶端和CDN節(jié)點在請求過程中基于一定機理進(jìn)行加密和解密驗證，CDN驗證通過則響 應(yīng)用戶請求，驗證失敗則拒絕用戶請求。

回源鑒權(quán)的特點是CDN節(jié)點每次接收到的請求，都需要先回源進(jìn)行驗證，驗證通過后才認(rèn)為請求合法，繼續(xù)提供服務(wù)，適用于對防盜鏈有很高的實時性要求的場景。另外，一些特殊性的防盜鏈，CDN默認(rèn)不支持的情況下也可以考慮采用回源鑒權(quán)的形式。

1、時間戳防盜鏈

原理：

1、當(dāng)用戶發(fā)起請求時視頻請求時，用戶的請求會被引導(dǎo)至客戶源站。例如，終端用戶發(fā)起的請求url為：http://www.example.com/test.flv

2、客戶源站通過一系列參數(shù)共同加密生成一串密文。

3、終端用戶利用客戶源站返回的url，重新向服務(wù)商節(jié)點發(fā)起請求。

4、服務(wù)商節(jié)點進(jìn)行驗證：請求是否過期以及加密串是否匹配。

目前服務(wù)商支持絕對時間和相對時間兩種方式的時間戳防盜鏈控制。

絕對時間控制方式原理如下：

此方式下用于生成密文的參數(shù)有過期時間wsABSTime、請求直播流、服務(wù)商key（由服務(wù)商提供）、IP地址串。假設(shè)過期時間為：4d024e80,用戶請求的直播流為：test.flv，服務(wù)商key為：abc，ip地址為192.168.1.1，則以上數(shù)據(jù)經(jīng)過md5加密后，生成的密文為：84579e4b82787870e418004c59f696b0， 則 客 戶 源 站 返 回 給 終 端 用 戶 的 url 為 ：?http://cdn.example.com/test.flv?wsSecret=84579e4b82787870e418004c59f696b0&wsABSTime=4d024e80

終端用戶利用客戶源站返回的url，重新向服務(wù)商節(jié)點發(fā)起請求，發(fā)起請求的url為：?http://cdn.example.com/test.flv?wsSecret=84579e4b82787870e418004c59f696b0?& wsABSTime =4d024e80

服務(wù)商節(jié)點進(jìn)行驗證：

a) 根據(jù)過期時間wsABSTime和當(dāng)前時間進(jìn)行比較，確認(rèn)請求是否過期

b) 根據(jù)約定的md5計算方式和密文，計算出md5加密串后和url中原始的加密串進(jìn)行比較。

只有a）和b）都驗證通過，請求才會被認(rèn)為是合法的。不合法的請求可以采取禁止訪問或者302重定向到指定的url。

相對時間控制方式原理如下：

與絕對時間控制方式相比，相對時間控制方式使用參數(shù)keeptime和wsTime來共同決定過期時間，wsTime表示終端用戶向源站請求url時，源站的機器時間，keeptime表示url 有效的時間長度，以秒為單位，以十六進(jìn)制或十進(jìn)制表示，同時keeptime作為參數(shù)加入加密 串 的 計 算 ； 例 如 ： rtmp://rtmpup4.pstatp.com/live/xxxxxx/xxxx?wsSecret=xxx&keeptime=7200&wsTime=xxx。

服務(wù)商節(jié)點在進(jìn)行url請求是否過期時，判斷方式如下： 當(dāng)前時間-wsTime< keeptime ，則url請求未過期；

當(dāng)前時間-wsTime>= keeptime ，表示url請求已過期；

若keeptime為空，則按照發(fā)布點配置的默認(rèn)過期時間來進(jìn)行判斷（如5分鐘）。同樣，相對時間控制方式除校驗有效期之外，也需要校驗md5加密串是否匹配。

使用方法：

1、需要確認(rèn)的信息

a) 確認(rèn)時間的表示格式。默認(rèn)采用的是Unix時間戳的形式，比如1371982466表示時間是2013-06-23 18:14:26，支持其他一些時間表達(dá)格式，比如：

i. 20130623181426

ii. 2013-06-23

iii. 51c6ca82（推薦此表示方式，將十進(jìn)制的1371982466采用16進(jìn)制表示，，有較好的隱蔽性）

b) 需要確認(rèn)使用絕對時間還是相對時間控制方式，使用相對時間控制的話還需要確認(rèn)是否需要使用keeptime，不使用keeptime需要與客戶確認(rèn)默認(rèn)配置的過期時長。

c) 確認(rèn)參與md5計算的相關(guān)參數(shù)，以及組合順序。

應(yīng)用場景舉例：

1、適用于對url有一定時效性的場景

2、如果在md5加密算法中添加客戶端的ip，可以防止用戶觀看視頻后直接將獲取到的視頻URL粘貼分享出去，提供給他人播放?？蛻舳说膇p也可以通過url中的參數(shù)傳遞。

注意事項：

1）時間戳防盜鏈默認(rèn)支持，可以直接配置，不需要再次開發(fā)

2）當(dāng)防盜鏈涉及的參數(shù)發(fā)生變更時，需要通知CDN進(jìn)行配合更改，原則上密文一旦確定盡量不要發(fā)生變動，不然可能導(dǎo)致源和加速節(jié)點使用的密文不一致，請求全部驗證不通過

3）使用IP進(jìn)行md5計算可能帶來一些問題：如果加密使用的IP1，而到CDN這邊用的是另外一個IP2，這樣就會被禁止訪問。

2、swf 防盜鏈

原理：

用戶需要將播放視頻對應(yīng)flash播放器的SWF文件提前交由CDN，CDN會將該文件提前分發(fā)至CDN節(jié)點。用戶播放器端，必須為flash播放器。

1、終端用戶向CDN節(jié)點請求RTMP視頻播放。例如： RTMP://www.test.com/live/channel

2、 CDN節(jié)點在接收到用戶RTMP請求時，會對域名進(jìn)行判斷是否需要進(jìn)行SWF防盜驗證。若需要進(jìn)行防盜鏈驗證，則向播放器端發(fā)送相應(yīng)的SWF密鑰。該密鑰由CDN節(jié)點生成。

3、用戶播放器端，將SWF文件，及CDN發(fā)送給播放器的SWF密鑰，利用加密算法HMACsha256，生成一個加密值，并回傳給CDN節(jié)點。

4、 CDN節(jié)點用客戶提交給CDN的SWF文件，結(jié)合發(fā)送給終端用戶的SWF密鑰，利用加密算法HMACsha256，生成一個加密值，與播放器端回傳給CDN的KEY文件進(jìn)行比對。若比如結(jié)果一致，則響應(yīng)用戶播放請求；若比對結(jié)果不一致，則拒絕用戶播放請求。

應(yīng)用場景舉例：

1、該驗證過程是在rtmp協(xié)議的握手過程中完成，故僅適用于adobe播放器的rtmp協(xié)議。

2、客戶對防盜鏈需要比較高，又不愿意進(jìn)行開發(fā)時，可直接使用adobe播放器所自帶的swf防盜鏈。

注意事項：

1、用戶需要提前將SWF文件提交到CDN,并確保提交至CDN的SWF文件與播放器端的

SWF文件一致。

2、確認(rèn)加密算法。

3、步驟二中，的SWF密鑰生成難度需要適配不同的SWF，屬于高度定制化。

3、回源鑒權(quán)防盜鏈

原理：

1、終端用戶向CDN請求視頻內(nèi)容，在請求中攜帶需要回源鑒權(quán)的參數(shù)。例如：?http://www.test.com/live/channel.flv?key1=vaule1&key2=vaule2

2、 CDN節(jié)點可通過POST或者GET方式向用戶鑒權(quán)服務(wù)器返回需要鑒權(quán)的參數(shù)，鑒權(quán)參數(shù)需要用戶提前告知CDN。

3、鑒權(quán)服務(wù)器根據(jù)CDN傳送而來的鑒權(quán)信息，進(jìn)行防盜鏈判斷，決定是否允許用戶請求該直播視頻，并將結(jié)果返回給CDN節(jié)點。

4、 CDN節(jié)點根據(jù)客戶鑒權(quán)服務(wù)器返回的結(jié)果，響應(yīng)或者拒絕終端用戶的視頻請求。

應(yīng)用場景舉例：

1、客戶技術(shù)實力比較強，又不希望第三方公司知悉其防盜鏈原理時，可使用回源鑒權(quán)防盜鏈。

2、 CDN無法滿足客戶特殊防盜鏈需求時，可使用回源鑒權(quán)防盜鏈。

使用方法：

1、告知CDN，回源鑒權(quán)的參數(shù)

2、告知CDN，鑒權(quán)服務(wù)器地址。

3、告知CDN，回源鑒權(quán)的方式，目前支持get及post兩種

4、告知CDN，鑒權(quán)結(jié)果，例如1代表成功，0代表失敗

5、告知CDN，超時等待時間，及超時如何處理，例如，鑒權(quán)服務(wù)器3S不響應(yīng)，就同意請求，或拒絕請求。

注意事項：

1、每次請求都需要先進(jìn)行鑒權(quán)，在請求量較大時，需要考慮鑒權(quán)服務(wù)器的壓力

2、該鑒權(quán)形式客戶需要維護(hù)專門的鑒權(quán)服務(wù)器。