串流媒體HLS傳輸協定的直播加密播放解決方案

HLS

概述

HTTP Live Streaming（縮寫是HLS）是一個由蘋果公司提出的基於HTTP的串流媒體網路傳輸協定。是蘋果公司QuickTime X和iPhone軟體系統的一部份。它的工作原理是把整個流分成一個個小的基於HTTP的檔來下載，每次只下載一些。當媒體流正在播放時，客戶端可以選擇從許多不同的備用源中以不同的速率下載同樣的資源，允許串流媒體會話適應不同的數據速率。在開始一個串流媒體會話時，客戶端會下載一個包含後設資料的extended M3U (m3u8)playlist檔，用於尋找可用的媒體流。

HLS采用HTTP協定傳輸音視訊數據，HLS透過將音視訊流切割成一個個小的TS切片及生成m3u8的播放列表檔，播放客戶端透過HTTP協定下載播放列表檔，按照播放列表檔制定的順序下載切片檔並播放，從而實作便下載邊播放，類似於即時線上播放的效果。由於傳輸層只采用HTTP協定，因此其具備HTTP的網傳優勢，比如可以方便的透過防火墻或者代理伺服器，可簡單的實作媒體流的負載均衡，可以方便的結合CDN進行媒體分發等，另外HLS協定本身可實作碼率自適應，透過視訊轉碼，切片成不同碼率的TS檔，從而實作播放客戶端根據網路頻寬情況，自由的選擇碼流進行播放，但是HLS在直播時延時較大。

優劣勢

直播加密實作

HSL 可播放地址

HTTPS金鑰滿足條件

註意：您必須獲得受信任的權威機構簽署的SSL證書才能使用具有HTTP Live Streaming的HTTPS伺服器

RTMP 直播配置

 rtmp {
notify_method get;
server {
listen 1935;
chunk_size 4000;
application live {
live on;
hls on;
hls_path /tmp/hls;
hls_fragment 6;
hls_keys on;
hls_key_path /tmp/keys;
hls_key_url https://hls-auth.tinywan.com/keys/;
hls_fragments_per_key 10;
hls_playlist_length 36s;
hls_sync 100ms;
hls_fragment_naming system;
hls_fragment_slicing aligned;
}
}
 }



推流地址： rtmp://live.tinywan.com/live_auth/123

HLS 虛擬主機配置

server {
listen 443 ssl http2;
server_name live.tinywan.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/www.tinywan.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.tinywan.com/privkey.pem;
server_tokens off;
location /live {
add_header Cache-Control no-cache;
add_header 'Access-Control-Allow-Origin''*' always;
add_header 'Access-Control-Expose-Headers''Content-Length,Content-Range';
add_header 'Access-Control-Allow-Headers''Range';
types {
application/vnd.apple.mpegurl m3u8;
video/mp2t ts;
}
root /tmp;
}
}



配置說明：

1. 播放流地址： https://live.tinywan.com/live_auth/12345.m3u8

2. m3u8 檔目錄位置： /tmp/live_auth

3. 匹配原則：location 用於匹配 url 是模糊匹配

HLS-KEY虛擬主機配置

server {
listen 443 ssl http2;
server_name hls-auth.tinywan.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/www.tinywan.com-0002/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.tinywan.com-0002/privkey.pem;
server_tokens off;
# hls keys
location /keys {
add_header Cache-Control no-cache;
add_header 'Access-Control-Allow-Origin''*' always;
add_header 'Access-Control-Expose-Headers''Content-Length,Content-Range';
add_header 'Access-Control-Allow-Headers''Range';
access_by_lua_file /usr/local/openresty/nginx/conf/lua/filter_domain_ip_limit.lua;
root /tmp;
}
}


Lua 指令碼 filter_domain_ip_limit.lua

local redis = require("resty.redis")
local var=ngx.var
locallog = ngx.log
local ERR = ngx.ERR
local EXIT = ngx.exit
-- redis config
local redis_host = "127.0.0.1"
local redis_port = 6379
local redis_auth = "tinywanredisamaistream"
local redis_timeout = 1000
local red = redis:new()
red:set_timeout(redis_timeout)
local ok, err = red:connect(redis_host, redis_port)
ifnot ok then
log(ERR, "connect to redis error : ", err)
end
-- client info
local client_ip = ngx.req.get_headers()['X-Real-IP']
if client_ip == nilthen
client_ip = ngx.req.get_headers()['X-Forwarded-For']
end
if client_ip == nilthen
client_ip = ngx.var.remote_addr
end
local req_origin = ngx.req.get_headers()['origin']
-- local h = ngx.req.get_headers()
-- for k, v in pairs(h) do
-- log(ERR,k.." k-----------v: "..v)
-- end
if req_origin == nilthen
red:zadd('HTTP_REQUEST_UNAUTHORIZED',ngx.time(),client_ip)
log(ERR, 'not http request origin is nil IP::'..client_ip)
EXIT(ngx.HTTP_UNAUTHORIZED)
end
-- redis action
iftostring(req_origin) ~= "https://www.tinywan.com"then
red:zadd('HTTP_REQUEST_FORBIDDEN',ngx.time(),req_origin)
log(ERR, "error : request origin is error req_origin = "..req_origin)
EXIT(ngx.HTTP_FORBIDDEN)
end






註意：透過以上加密授權驗證，只能在 tinywan.com 網域名稱下進行播放，其他地方將無法播放（包括VLC也是無法播放的）