本頁面由 Cloud Translation API 翻譯而成。

媒體加密

Derek Herman

Joe Medley

本節會說明兩種媒體加密策略，並提供一些實際範例，說明如何將這些策略與 FFmpeg 和 Shaka Packager 搭配使用。我們討論的兩種加密策略是「Clear Key」，並使用 Google Widevine 這類服務。這兩種策略都是數位權利管理 (DRM) 的一種形式，用於控管使用者可透過您的媒體執行哪些操作。不過，由於金鑰傳遞驗證方式的關係，本質上的安全性較低，因此 DRM 服務會比較合理。

網路上主要的數位版權管理服務為 Google Widevine、Microsoft PlayReady 和 Apple FairPlay，但我們不會提及本文中所有的服務。不過，如果您指定所有新式瀏覽器，可能就會會用到全部三種 DRM 服務。

轉換和加密功能適用於下列應用程式：

清除金鑰加密

首先，您應該在使用 Clear Key 前，先瞭解什麼是清晰鍵。如果您「不想」使用現有的 DRM 服務，並對媒體進行基本加密是可行的選擇，可以使用 Clear Key。不過請注意，這種加密方式的安全性層級與使用其中一項 DRM 服務時不同。這是因為鍵/值組合不會透過其他金鑰加密，這與儲存在授權伺服器上的解密金鑰產生的加密金鑰不同。此外，Clear Key 會以純文字傳送鍵/值組合，因此在加密媒體時，解密金鑰並不是密鑰。

建立金鑰

您可以使用相同方法來建立 DASH 和 HTTP 即時串流的金鑰。請使用 OpenSSL 執行此操作。下列指令會建立 16 個十六進位值的加密金鑰。

openssl rand -hex 16 > media.key

建立 IV

接下來，我們可以產生初始化向量 (IV)。

openssl rand -hex 16
6143b5373a51cb46209cfed0d747da66

使用透明金鑰加密

以下範例使用具有原始金鑰的 Shaaka Packager，其中 keys 和 key_ids 會直接提供給 Shaka Packager。如需更多範例，請參閱說明文件。

針對 key 旗標，請使用先前建立的金鑰，該金鑰儲存在 media.key 檔案中。不過，在指令列中輸入該指令時，請務必移除其空白字元。如果是 key_id 標記，請重複使用 media.id 值或使用上述步驟產生的 IV 值。

packager \
  input=glocken.mp4,stream=audio,output=glockena.m4a \
  input=glocken.mp4,stream=video,output=glockenv.mp4 \
  --enable_fixed_key_encryption \
  --keys label=audio:key=INSERT_AUDIO_KEY_HERE:key_id=INSERT_AUDIO_KEY_ID_HERE,label=video:key=INSERT_VIDEO_KEY_HERE:key_id=INSERT_VIDEO_KEY_ID_HERE

注意： 請注意，我們也可以透過省略標籤引數 (而非為每個串流定義不同的 keys 組合)，使用同一個 keys 加密 video 和 audio 串流。例如 --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE。不過，這麼做會降低系統保護直播內容時的安全性。

建立重要資訊檔案

如要加密 HTTP 即時串流，除了金鑰檔案外，您還需要一個金鑰資訊檔案。金鑰資訊檔案是文字檔案，格式如下。其中應包含擴充功能 .keyinfo。例如：encrypt.keyinfo。

key URI
key file path
private key

金鑰 URI 是 media.key (在上述步驟建立) 在您的伺服器上的位置。金鑰檔案路徑是相對於金鑰資訊檔案的位置。最後，私密金鑰是 media.key 檔案本身的內容，或您之前建立的 IV 的內容。例如：

https://example.com/keys/media.key
/path/to/media.key
6143b5373a51cb46209cfed0d747da66

為 HTTP 即時串流加密

packager \
  'input=input.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
  'input=input.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
  --hls_master_playlist_output="master_playlist.m3u8" \
  --hls_base_url="http://localhost:5000/"

這個指令可接受長度為 16 或 32 個字元的金鑰。

ffmpeg -i myvideo.mov -c:v libx264 -c:a aac -hls_key_info_file encrypt.keyinfo myvideo.m3u8

Widevine 加密

現在，您已瞭解「清除金鑰加密」的定義和使用時機。不過，何時該使用數位版權管理服務來加強安全防護？這時 Widevine 或其他服務就能安全地加密及解密您的媒體。Widevine 支援 MPEG-DASH 和 HTTP 即時串流，而且是 Google 的 DRM。無論是 Google Chrome 和 Firefox 網路瀏覽器、Android MediaDRM、Android TV，還是其他使用 Encrypted Media Extensions 和 Media Source Extensions 的消費性電子裝置，Widevine 都會使用 Widevine 解密內容。

透過 Widevine 加密

本文中大部分的範例都使用透明金鑰加密。但是，若是 Widevine，您可能會想替換下列選項。

--enable_fixed_key_encryption \
--enable_fixed_key_decryption \
--keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE

除了檔案名稱和 --content-id 標記以外，demultiplexer (demux) 指令中的所有內容都應從範例中完全複製。--content-id 是 16 或 32 個隨機十六進位數字。請使用此處提供的金鑰，而非您自己的金鑰。如需更多範例，請參閱 Shaka Packager 說明文件，瞭解如何使用 Widevine Key Server。

透過 Demux (分隔) 音訊和視訊、為新檔案加密，以及輸出媒體顯示說明 (MPD) 檔案。

packager \
  input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \
  input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \
  --enable_widevine_encryption \
  --key_server_url "https://license.uat.widevine.com/cenc/getcontentkey/widevine_test" \
  --content_id "fd385d9f9a14bb09" \
  --signer "widevine_test" \
  --aes_signing_key "1ae8ccd0e7985cc0b6203a55855a1034afc252980e970ca90e5202689f947ab9" \
  --aes_signing_iv "d58ce954203b7c9a9a9d467f59839249"

混合 (合併) 音訊和視訊串流。如果您使用影片架構，可能就不需要這麼做。
```
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocke.mp4
```

注意： 本文中的所有 ffmpeg remux 範例都會使用預設像素格式 yuv420p，因為指令列中沒有提供該格式。ffmpeg 指令會提供錯誤訊息，說明該功能已淘汰。雖然淘汰的 yuv420p 仍是最普遍的支援，因此我們選擇不覆寫預設值。

媒體轉換序列

本節說明從原始 .mov 檔案到為 DASH 或 HTTP 即時串流封裝的加密資產所需要的順序指令。為了便於說明，我們會將來源檔案轉換成 8 MB 的位元率，解析度為 1080p (1920 x 1080)。視需求調整這些值。

DASH/WebM

轉換檔案類型和轉碼器。

針對這項指令，您可以使用 liborbis 或 libopus 做為音訊轉碼器。
```
ffmpeg -i glocken.mov -c:v libvpx-vp9 -c:a libvorbis -b:v 8M -vf setsar=1:1 -f webm tmp_glocken.webm
```
建立清除金鑰加密金鑰。
```
openssl rand -hex 16 > media.key
```

透過 Demux (分隔) 音訊和視訊、為新檔案加密，以及輸出媒體顯示說明 (MPD) 檔案。

packager \
  input=tmp_glocken.webm,stream=video,output=glocken_video.webm \
  input=tmp_glocken.webm,stream=audio,output=glocken_audio.webm \
  --enable_fixed_key_encryption \
  --enable_fixed_key_decryption \
  --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \
  --mpd_output glocken_webm_vod.mpd

混合 (合併) 音訊和視訊串流。如果您使用影片架構，可能就不需要這麼做。
```
ffmpeg -i glocken_video.webm -i glocken_audio.webm -c copy glocken.webm
```

DASH/MP4

轉換檔案類型、視訊轉碼器和位元率。

ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 tmp_glocken.mp4

建立清除金鑰加密金鑰。
```
openssl rand -hex 16 > media.key
```

透過 Demux (分隔) 音訊和視訊、為新檔案加密，以及輸出媒體顯示說明 (MPD) 檔案。

packager \
  input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \
  input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \
  --enable_fixed_key_encryption \
  --enable_fixed_key_decryption \
  --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \
  --mpd_output glocken_mp4_vod.mpd

混合 (合併) 音訊和視訊串流。如果您使用影片架構，可能就不需要這麼做。
```
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocken.mp4
```

HTTP 即時串流/MP4

HLS 僅支援 MP4，因此您必須先轉換為 MP4 容器和支援的轉碼器。

轉換檔案類型、視訊轉碼器和位元率。

ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 glocken.mp4

建立清除金鑰加密金鑰。
```
openssl rand -hex 16 > media.key
```

建立重要資訊檔案

packager \
  'input=glocken.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
  'input=glocken.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
  --hls_master_playlist_output="master_playlist.m3u8" \
  --hls_base_url="http://localhost:5000/" \
  --enable_fixed_key_encryption \
  --enable_fixed_key_decryption \
  --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE

已有許多摘要，但希望您現在可以自信地將媒體加密。接下來，我們將說明如何在網站上新增媒體。