고객: CSS를 사용하고 Tencent Cloud 계정을 소유한 모든 개인 또는 조직입니다.
사용자: CSS 고객의 최종 사용자이며 대부분은 시청자입니다.
라이브 콘텐츠 보안 응용 시나리오
응용 시나리오
설명
핫링크 보호
핫링크 보호가 없으면 누구나 재생 URL을 사용할 수 있습니다. 많은 재생 URL은 유사한 형식을 사용합니다(예: 프로토콜:\\\\재생 도메인\\AppName\\스트림 ID). 다른 사람들이 귀하의 URL 형식을 알아내면 재생 URL을 연결하여 귀하의 모든 스트림을 재생할 수 있습니다. 이렇게 하면 콘텐츠가 노출되고 무단 재생에 의해 소비된 트래픽에 대해 비용을 지불해야 합니다.
재생 액세스 제어
일부 시나리오에서는 구독자, 로그인한 사용자 또는 귀하의 제품을 구매한 사용자와 같이 특정 조건을 충족하는 사용자만 라이브 콘텐츠를 볼 수 있도록 허용해야 합니다.
저작권이 있는 콘텐츠에 대한 재생 제한
예를 들어 영화 스튜디오나 TV 네트워크에서 제작한 콘텐츠와 같이 저작권이 있는 콘텐츠의 경우 재생은 안전하고 신뢰할 수 있는 환경에서 제한되어야 합니다.
기밀성
특정 시청자만 기밀 콘텐츠를 볼 수 있도록 허용해야 합니다.
상기 목록은 라이브 콘텐츠를 보호할 때 고려해야 할 몇 가지 다양한 측면을 설명합니다. 본 문서의 다음 부분에서는 가장 단순한 것부터 가장 정교한 것까지 CSS의 콘텐츠 보호 솔루션을 소개합니다. CSS는 두 가지 주요 방법을 사용하여 콘텐츠 보안을 보장합니다. 하나는 재생 URL의 사용 및 배포를 제한하는 것이고 다른 하나는 콘텐츠 암호화입니다. 전자는 구현하기가 비교적 쉽지만 후자는 플레이어에 따라 다르며 하드웨어 및 운영 체제에 대한 요구 사항도 있을 수 있습니다.
다음은 라이브 스트리밍에 일반적으로 사용되는 콘텐츠 보호 솔루션과 그 구현 방법입니다.
Referer 인증
사용 사례: 콘텐츠 보안에 대한 요구 사항이 높지 않고 재생을 어느 정도 제한하려는 경우 이 솔루션을 사용할 수 있습니다.
구현 방법: CSS 콘솔 로그인 > 도메인 관리 > 재생 도메인 선택 > 액세스 제어 > Referer를 켜고 팝업 창에 필요한 정보를 입력합니다.
장점: 구현이 간단합니다(콘솔에서 구성 가능).
단점: 재생 요청 URL의 Referer 필드는 수정 및 위조될 수 있습니다. 다른 사람들이 귀하의 Referer 설정을 알고 있다면 귀하의 Referer 제한을 우회할 수 있습니다.
IP 블록리스트/얼로우리스트
사용 사례: 특정 공용 IP 주소에 대한 액세스를 허용하거나 차단하려는 경우 이 방법을 사용할 수 있습니다.
구현 방법: Referer 인증과 같습니다. 액세스 제어 탭에서 IP 블록리스트/얼로우리스트를 입력합니다.
장점: 구현이 간단합니다(콘솔에서 구성 가능). 다른 사람들은 자신의 IP 주소를 위조할 수 없으므로 제한을 우회할 수 없습니다.
단점: 허용하거나 차단하려는 시청자의 공개 IP 주소는 얻기가 쉽지 않으며 변경될 수 있습니다.
키 인증
사용 사례: 핫링크를 방지하려는 경우 이 솔루션을 사용할 수 있습니다.
구현 방법: Referer 인증과 같습니다. CSS 콘솔에 로그인하고 Key 인증을 활성화하고 Key 정보를 입력합니다. 구성 후 재생 요청 URL에는 txTime 및 txSecret이 포함되며 Tencent Cloud는 Key를 사용하여 txSecret을 해독하고 요청을 인증합니다. 자세한 내용은 링크 도용 방지 계산을 참고하십시오.
장점: 구현이 간단합니다(상기 문서의 지침에 따라 콘솔에서 키 인증을 활성화하고 txTime 및 txSecret을 생성하기만 하면 됨).
단점: 재생 URL이 만료되기 전에 URL이 있는 모든 사용자가 콘텐츠를 재생할 수 있어 핫링크를 가능하게 합니다. 유효 기간이 길수록 콘텐츠가 핫링크될 가능성이 높아집니다. 그러나 짧은 유효 기간을 설정하면 시청자가 재생 URL을 얻을 때까지 재생 URL이 이미 만료되었을 수 있습니다. 또한 네트워크 변동 등으로 인해 재생이 중단된 경우 재생을 재개하려면 시청자가 새 재생 URL을 받아야 할 수 있습니다. 재생 URL의 권장 유효 기간은 24시간입니다.
키 + 원격 인증
시청자가 무단 채널에서 라이브 스트림을 재생하여 발생하는 핫링크를 방지하기 위해 키 인증 외에 사용자 지정 token을 사용하여 추가 인증을 수행할 수 있습니다.
사용 사례: 특정 조건을 충족하는 시청자(예: 구독자 또는 로그인한 사용자)로 재생을 제한하려는 경우 이 솔루션을 사용할 수 있습니다.
작동 방식: txSecret 인증 후 Tencent Cloud는 서버 API를 호출하여 재생 요청을 token 서비스로 전달합니다. token 서비스는 요청에서 token을 인증하고 결과를 Tencent Cloud에 반환합니다. 이를 통해 재생 요청을 허용할지 여부를 결정할 수 있습니다.
1.1 재생 URL에 대한 요청이 서버(token 서비스)로 전송됩니다.
1.2 서버가 요청을 확인하고 재생 URL을 보냅니다. URL에는 Tencent Cloud의 txSecret과 귀하의 token이 포함됩니다. txSecret의 유효 기간을 5분과 같이 짧게 설정하는 것이 좋습니다.
1.3 뷰어는 재생 URL을 사용하여 CSS에서 라이브 콘텐츠를 요청합니다.
1.4 CSS는 txSecret을 인증하고 token이 포함된 요청을 token 서비스로 전달합니다.
1.5 token 서비스는 요청에서 token을 인증하고 HTTP status로 결과를 반환합니다. 상태 코드 200은 요청이 허용되었음을 나타냅니다. 다른 코드는 요청이 거부되었음을 나타냅니다.
1.6 CSS는 결과에 따라 클라이언트에게 콘텐츠를 전달할지 여부를 결정합니다.
구현 방법: 키 인증 및 원격 인증을 활성화합니다. 자세한 안내는 영업팀에 문의하거나 티켓을 제출하십시오.
장점: 콘텐츠를 볼 수 있는 사용자 유형을 제어할 수 있습니다.
단점: 자체 token 배포 서비스를 개발해야 합니다. 또한 라이브 스트림은 암호화되지 않기 때문에 콘텐츠에 액세스할 수 있는 시청자가 스트림을 녹화하거나 실시간으로 전달할 수 있습니다. 해커는 콘텐츠를 훔칠 수도 있습니다.
키 인증 + 원격 인증 + AES128 암호화
키 및 원격 토큰 인증 외에도 AES128 알고리즘을 사용하여 HLS TS 세그먼트를 암호화할 수도 있습니다.
사용 사례: 재생에 HLS 프로토콜을 사용하여 콘텐츠의 저작권을 보호하거나 콘텐츠를 기밀 또는 비공개로 유지하고 해커가 콘텐츠를 훔치는 것을 방지하려는 경우 이 방법을 사용할 수 있습니다.
작동 방식: HLS TS 세그먼트는 AES128 방식을 사용하여 암호화됩니다.
구현 방법: 키 인증 및 원격 인증을 활성화합니다. 자세한 안내는 영업팀에 문의하거나 티켓을 제출하십시오.
장점: 이 솔루션은 구현하기 쉽습니다. 키와 원격 토큰 인증의 조합은 추가 보호를 제공합니다. 또한 AES128은 HLS의 표준 암호화 방법이므로 HLS를 지원하는 모든 플레이어는 AES128도 지원합니다. 암호 해독 기능은 플레이어에 내장되어 있으며, 잘 구축된 키 관리 서비스도 있습니다.
단점: 이 솔루션은 HLS 재생에만 적용됩니다.
DRM 스키마
CSS는 Apple의 Fairplay DRM, Google의 Widevine DRM 및 중국 내 ChinaDRM을 포함하여 국제적으로 인정된 DRM 솔루션을 지원합니다. 이러한 DRM 솔루션을 사용하려면 콘텐츠를 암호화/복호화하는 데 사용되는 키와 ID 정보를 관리하는 데 사용하는 인증서를 요청하고 키 사용에 대한 제한을 설정해야 합니다.
사용 사례: 저작권 소유자가 인정된 DRM 솔루션을 사용하여 콘텐츠를 암호화하도록 특별히 요구하는 경우 이 방법을 선택할 수 있습니다.
작동 방식: 현재 CSS는 Apple의 Fairplay DRM과 Google의 Widevine DRM만 지원합니다. 앞으로 더 많은 솔루션이 지원될 것입니다.
구현 방법: 자세한 지침은 영업팀에 문의하거나 티켓을 제출하십시오.
장점: 암호 해독이 운영 체제 또는 하드웨어에 의존하기 때문에 보호 수준이 비교적 높습니다. 또한 솔루션은 유연한 액세스 제어를 제공합니다. 예를 들어 비디오의 처음 10분으로 재생을 제한할 수 있습니다.
단점: 솔루션은 HLS 또는 Dash 재생에만 적용됩니다. 구현 프로세스가 다소 복잡합니다. 인증서를 요청하고 DRM 컴포넌트를 플레이어에 통합해야 합니다. 또한 솔루션의 브라우저 지원이 제한되어 있습니다. Fairplay는 HLS만 지원하며 재생은 iOS 및 macOS에서만 가능합니다. Widevine은 Firefox와 같이 Chromium을 기반으로 하지 않는 브라우저를 지원할 수 있지만 CDM 모듈을 별도로 로딩해야 하므로 재생이 원활하지 않습니다. 구현 프로세스의 일부(라이선스 요청 및 암호화/복호화)가 블랙박스에서 수행되므로 디버깅 및 호환성 향상이 어렵습니다.
Tencent Cloud의 독점 암호화 스키마
개인 정보 보호 또는 콘텐츠 보안이 요구되는 대부분의 라이브 스트림에는 하드웨어 기반 보호가 필요하지 않습니다. 복잡한 인증서 배포 및 인증 절차도 필요 없습니다. 이를 바탕으로 FLV 재생을 위한 콘텐츠 보호 솔루션을 제공합니다.
사용 사례: 라이브 스트림이 FLV 형식이고 해커가 콘텐츠를 훔치는 것을 방지하기 위해 암호화하려는 경우 이 방법을 사용할 수 있습니다.
작동 방식: 암호화 키를 설정합니다. CSS는 키를 사용하여 스트림을 암호화합니다. 시청자가 스트림 재생을 요청하면 요청을 인증하고 암호 해독 키를 클라이언트에 배포합니다. 이 프로세스는 AES128 암호화/복호화 프로세스와 유사합니다.
프로세스는 다음과 같습니다.
구현 방법: 자세한 지침은 영업팀에 문의하거나 티켓을 제출하십시오.
장점: 전체 프로세스를 제어할 수 있으며 이 솔루션을 지원하는 키 관리 서비스 및 암호화/복호화 도구가 있습니다. Tencent Cloud의 Player SDK는 통합하기 쉽습니다.
단점: 이 솔루션을 사용하려면 SDK를 프로젝트에 통합해야 합니다. 또한 이 솔루션은 Web 및 브라우저에서 작동하지 않습니다. 자신의 플레이어를 사용해야 합니다.
비교
작동 방식
작동 방식
기능
단점
구현 간편성
권장 정도
Referer 인증
HTTP 요청의 Referer 필드 인증
빠르고 쉬움
Referer 콘텐츠가 위조될 수 있음
매우 간단
IP 블록리스트/얼로우리스트
특정 IP 주소 허용 또는 차단
빠르고 쉬움
시청자의 IP 주소는 얻기 어려우며 변경될 수 있음
매우 간단
키 인증
재생 URL 암호화 및 인증
빠르고 쉬움
txSecret의 유효 기간이 길면 핫링크가 발생할 수 있으며, 유효 기간이 짧으면 시청자가 새 재생 URL을 자주 얻어야 할 수 있음
매우 간단
키 인증+원격 인증
재생 URL은 암호화되며 CSS와 서버 모두 URL을 인증함
구현하기 쉽고 핫링크에 대해 상대적으로 강력한 보호 기능을 제공하지만 자체 token 서비스를 개발해야 함
-
간단함
HLS 암호화
재생 URL과 라이브 스트림을 암호화함
구현하기 쉽지만 자체 token 서비스를 개발해야 함
FLV가 아닌 HLS에만 적용 가능
간단함
DRM 스키마
라이브 스트림을 암호화함(재생 URL도 암호화할 수 있음), 소프트웨어 및 하드웨어 기반 보호 지원
다소 복잡함. 자체 플레이어를 개발해야 하며 호환성 문제가 있을 수 있음.
구현하기 어려움. 호환성 문제(iOS 및 Android에 다른 솔루션 필요)가 많음.
복잡함
독점 암호화 체계
콘텐츠 및 재생 URL 암호화
다소 복잡하며, 자신만의 플레이어를 개발해야 하지만 전체 프로세스를 제어할 수 있음
Tencent Cloud의 통신 프로토콜을 준수해야 하며, 이 솔루션은 브라우저에서 사용할 수 없음
