一种流媒体文件的处理方法及装置与流程
本发明涉及通信应用的技术领域,特别是指一种流媒体文件的处理方法及装置。
背景技术:
基于超文本传输协议的实时流传输(httplivestreaming,hls)协议是苹果公司实现的基于http的流媒体传输协议,近年来,hls协议在流媒体领域得到了广泛应用,该协议采用了http传输,可以根据网络带宽自适应地调整码率,即允许服务器为同一节目内容存放多个不同码率的多媒体流,终端可根据实际的网络下载速度自适应地调整所要下载的多媒体流的码率,在网络带宽紧张时,终端可通过降低码率实现不间断播放;并且相对于其他流媒体通信协议,hls协议在服务部署时能够更好地与其他相关技术兼容。
由于hls协议的这些优势,基于互联网的ott流媒体得以广泛应用,码流安全问题越来越成为迫切需要解决的问题。在ott码流的传输过程中,存在多处风险,码流的内容容易被篡改或者给被替换,可能导致非认证的内容在终端播放,不符合国家安全政策。
技术实现要素:
本发明的目的在于提供一种流媒体文件的处理方法及装置,用以解决ott流媒体文件在传输过程中容易被篡改或替换,进而导致非认证的内容在终端播放的问题。
为了实现上述目的,本发明实施例提供了一种流媒体文件的处理方法,包括:
对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件,所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议 进行传输的流媒体文件;
将所述签名后的ott流媒体文件传输给流媒体文件接收端。
其中,所述对ott流媒体文件进行签名处理,得到签名后的ott流媒体文件的步骤包括:
对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息;
将所述分片文件的签名信息保存于所述ott流媒体文件的索引文件的扩展字段中,得到所述签名后的ott流媒体文件。
其中,所述对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息的步骤包括:
根据非对称加密算法对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息。
其中,所述根据非对称加密算法对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息的步骤包括:
根据椭圆曲线ecc算法及一传输私钥,对所述分片文件进行签名处理,得到所述分片文件的签名信息。
其中,所述将所述签名后的ott流媒体文件传输给流媒体文件接收端的步骤包括:
根据非对称算法对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理,得到签名后的传输公钥;
将签名后的ott流媒体文件及签名后的传输公钥传输给流媒体文件接收端。
本发明的实施例还提供了一种流媒体文件的处理装置,包括:
签名模块,用于对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件,所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件;
传输模块,用于将所述签名后的ott流媒体文件传输给流媒体文件接收端。
本发明的实施例还提供了一种流媒体文件的处理方法,包括:
获取流媒体文件发送端传输的、签名后的ott流媒体文件,所述签名后的ott流媒体文件为所述流媒体文件发送端对ott流媒体文件进行签名处理后得 到的,且所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件;
对所述签名后的ott流媒体文件进行验证,并对验证成功的ott流媒体文件进行预定业务处理。
其中,所述获取流媒体文件发送端传输的、签名后的ott流媒体文件的步骤包括:
获取流媒体文件发送端传输的、签名后的ott流媒体文件及签名后的传输公钥,其中,所述签名后的传输公钥为所述流媒体文件发送端根据非对称算法对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理后得到的。
其中,所述对所述签名后的ott流媒体文件进行验证的步骤包括:
从所述ott流媒体文件的索引文件的扩展字段中,获取所述ott流媒体文件的签名信息;
根据所述签名信息、非对称算法及签名后的传输公钥对所述签名后的ott流媒体文件进行验证。
其中,根据所述签名信息、非对称算法及签名后的传输公钥对所述签名后的ott流媒体文件进行验证的步骤包括:
判断所述签名信息中是否包含有签名标志信息;
若所述签名信息中包含有所述签名标志信息,则对所述签名后的传输公钥进行验证;
若所述签名后的传输公钥验证成功,则根据非对称算法对所述签名后的ott流媒体文件进行验证。
本发明的实施例还提供了一种流媒体文件的处理装置,包括:
获取模块,用于获取流媒体文件发送端传输的、签名后的ott流媒体文件,所述签名后的ott流媒体文件为所述流媒体文件发送端对ott流媒体文件进行签名处理后得到的,且所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件;
验证模块,用于对所述签名后的ott流媒体文件进行验证,并对验证成功的ott流媒体文件进行预定业务处理。
本发明实施例具有以下有益效果:
本发明实施例的上述技术方案,对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件;将所述签名后的ott流媒体文件传输给流媒体文件接收端。本发明实施例中通过对基于hls协议进行传输的ott流媒体文件进行签名处理,来防止ott码流在传输过程中的篡改,从而保证码流传输过程中的安全性。
附图说明
图1为本发明实施例的流媒体文件的处理方法的第一工作流程图;
图2为本发明实施例的流媒体文件的处理方法的第二工作流程图;
图3为本发明实施例中hls码流及密钥信息的第一传输示意图;
图4为本发明实施例的流媒体文件的处理装置的第一结构框图;
图5为本发明实施例的流媒体文件的处理方法的第三工作流程图;
图6为本发明实施例中hls码流及密钥信息的第二传输示意图;
图7为本发明实施例的流媒体文件的处理装置的第二结构框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合具体实施例及附图进行详细描述。
本发明的实施例提供了一种流媒体文件的处理方法及装置,解决了ott流媒体文件在传输过程中容易被篡改或替换,进而导致非认证的内容在终端播放的问题。
第一实施例:
本发明实施例的流媒体文件的处理方法,应用于流媒体文件发送端,该流媒体文件发送端可具体为内容分发网络(contentdeliverynetwork,cdn)中的中心节点,如图1所示,该处理方法包括:
步骤11:对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件,所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件。
在本发明的具体实施例中,流媒体文件发送端对所述ott流媒体文件进行 签名处理,得到携带有签名信息的ott流媒体文件,并将携带有签名信息的ott流媒体文件传输给流媒体文件接收端,使得流媒体文件接收端根据签名信息对流媒体文件进行验证,并对验证成功的ott流媒体文件进行预定业务处理。这里,流媒体发送端具体为cdn中的中心节点,该中心节点具体从hls提供商获取hls编码器码流(ott流媒体文件),并基于hls协议将签名后的hls编码器码流在整个cdn节点内传输。
另外,本发明实施例中ott媒体文件包括索引文件和分片媒体文件,在索引文件中增加扩展字段,ott流媒体文件的签名信息保存于所述索引文件的扩展字段中。
步骤12:将所述签名后的ott流媒体文件传输给流媒体文件接收端。
上述流媒体发送端具体通过非对称算法对ott流媒体文件进行签名处理,并将签名后的ott流媒体文件及用于解密所述签名后的ott流媒体文件的传输公钥传输给流媒体文件接收端。为进一步保证ott流媒体文件传输的安全性,优选地,根据非对称算法对传输公钥进行签名处理,并将签名处理后的传输公钥发送给流媒体文件接收端。
这里,流媒体文件接收端可具体为cdn网络中的边缘节点或终端,若流媒体文件接收端为cdn网络中的边缘节点,则由边缘节点对签名后的ott流媒体文件进行验证处理,并将验证成功的ott流媒体文件传输给终端;若流媒体文件接收端为终端,则由终端对签名后的ott流媒体文件进行验证处理,并播放验证成功的ott流媒体文件。
本发明实施例的流媒体文件的处理方法,对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件;将所述签名后的ott流媒体文件传输给流媒体文件接收端。本发明实施例中通过对基于hls协议进行传输的ott流媒体文件进行签名处理,来防止ott码流在传输过程中的篡改,从而保证码流传输过程中的安全性。
第二实施例:
如图2所示,本发明实施例的流媒体文件的处理方法,包括:
步骤21:对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息。
这里,可根据非对称加密算法对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息。具体的,根据椭圆曲线ecc算法及一传输私钥,对分片文件进行签名处理,得到分片文件的签名信息,签名的具体实现过程如下:采用抽样的方式进行采样得到分片文件的签名信息,抽样的步长和抽样的宽度可以配置。
上述签名过程,只对分片文件的内容进行签名,采用抽样的方式进行采样,抽样的步长和抽样的宽度可以配置,且须对抽样步长的范围进行限制,防止在传输的过程中抽样步长被恶意修改,流媒体文件接收端需验证抽样步长是否在合理的范围内。
步骤22:将所述分片文件的签名信息保存于所述ott流媒体文件的索引文件的扩展字段中,得到所述签名后的ott流媒体文件。
在本发明的具体实施例中,分片文件的签名信息写入到索引文件中,在索引文件中每一个分片增加一个扩展字段放入签名信息。签名信息可具体包括:标志,算法,抽样步长,抽样宽度,签名,uri签名,例如:#ext-x-sign:index=10,step=100,width=100,sign=base64(sign),urisign=base64(urisign)。
步骤23:将所述签名后的ott流媒体文件传输给流媒体文件接收端。
具体的,根据非对称算法(如ecc算法)对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理,得到签名后的传输公钥;将签名后的ott流媒体文件及签名后的传输公钥传输给流媒体文件接收端。
在本发明的具体实施例中,如图3所示,签名和验证采用双密钥的形式,签名的密钥是“传输私钥”,验证时使用与之配对的“传输公钥”。为了保证码流和传输公钥的安全性,采用两级密钥的强安全传输,即hls码流采用双密钥进行签名和验证,同时传输公钥也采用双密钥进行签名和验证,后者的双密钥分别为“根私钥”和“根公钥”。
第三实施例:
如图4所示,本发明的实施例还提供了一种流媒体文件的处理装置,包括:
签名模块41,用于对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件,所述ott流媒体文件为通过基于超文本传输协议的实 时流传输hls协议进行传输的流媒体文件;
传输模块42,用于将所述签名后的ott流媒体文件传输给流媒体文件接收端。
本发明实施例的流媒体文件的处理装置,所述签名模块41包括:
第一签名子模块411,用于对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息;
保存子模块412,用于将所述分片文件的签名信息保存于所述ott流媒体文件的索引文件的扩展字段中,得到所述签名后的ott流媒体文件。
本发明实施例的流媒体文件的处理装置,所述第一签名子模块411用于根据非对称加密算法对所述ott流媒体文件中的分片文件进行签名处理,得到所述分片文件的签名信息。
本发明实施例的流媒体文件的处理装置,所述第一签名子模块411包括:
签名单元4111,用于根据椭圆曲线ecc算法及一传输私钥,对所述分片文件进行签名处理,得到所述分片文件的签名信息。
本发明实施例的流媒体文件的处理装置,所述传输模块42包括:
第二签名子模块421,用于根据非对称算法对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理,得到签名后的传输公钥;
传输子模块422,用于将签名后的ott流媒体文件及签名后的传输公钥传输给流媒体文件接收端。
需要说明的是,该装置是与上述方法实施例对应的装置,上述方法实施例中所有实现方式均适用于该装置的实施例中,也能达到相同的技术效果。
本发明实施例的上述技术方案,对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件;将所述签名后的ott流媒体文件传输给流媒体文件接收端。本发明实施例中通过对基于hls协议进行传输的ott流媒体文件进行签名处理,来防止ott码流在传输过程中的篡改,从而保证码流传输过程中的安全性。
第四实施例:
如图5所示,本发明的实施例还提供了一种流媒体文件的处理方法,应用于流媒体文件接收端,该流媒体接收端可具体为cdn网络中的边缘节点或终端, 该处理方法包括:
步骤51:获取流媒体文件发送端传输的、签名后的ott流媒体文件,所述签名后的ott流媒体文件为所述流媒体文件发送端对ott流媒体文件进行签名处理后得到的,且所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件。
具体的,获取流媒体文件发送端传输的、签名后的ott流媒体文件及签名后的传输公钥,其中,所述签名后的传输公钥为所述流媒体文件发送端根据非对称算法对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理后得到的。
步骤52:对所述签名后的ott流媒体文件进行验证,并对验证成功的ott流媒体文件进行预定业务处理。
具体的,从所述ott流媒体文件的索引文件的扩展字段中,获取所述ott流媒体文件的签名信息;根据所述签名信息、非对称算法及签名后的传输公钥对所述签名后的ott流媒体文件进行验证。
其中,根据所述签名信息、非对称算法及签名后的传输公钥对所述签名后的ott流媒体文件进行验证的步骤包括:判断所述签名信息中是否包含有签名标志信息;若所述签名信息中包含有所述签名标志信息,则对所述签名后的传输公钥进行验证;若所述签名后的传输公钥验证成功,则根据非对称算法对所述签名后的ott流媒体文件进行验证。
另外,若流媒体文件接收端可具体为cdn网络中的边缘节点,则上述预定业务处理可具体为将验证成功的ott流媒体文件传输给终端;若流媒体文件接收端为终端,则上述预定业务处理可具体为播放验证成功的ott流媒体文件。
下面结合图6具体说明本发明实施例的流媒体文件的处理方法的实现流程。
本发明实施例中,hls内容提供商通过hls编码器提供hls内容,其中包括主索引index.m3u8、子索引$rateid.m3u8和子索引对应的分片ts文件。
ottcdn的中心节点接收编码器的hls码流保存在本地,中心节点的签名服务器根据椭圆曲线ecc算法将码流进行签名,该算法具体参考ieeestd1363。算法索引和签名长度如表1所示。
表1
签名的具体实现如下:
1、hls的签名只对分片文件的内容进行签名,采用抽样的方式进行采样,抽样的步长和抽样的宽度可以配置,服务器端必须对抽样步长的范围进行限制,防止在传输的过程中抽样步长被恶意修改,签名检测服务器验证抽样步长是否在合理的范围内.
2、hls分片签名相关的信息写入到索引文件中,在索引文件中每一个分片增加一个扩展字段放入签名的信息,签名的信息包括:标志,算法,抽样步长,抽样宽度,签名,uri签名,比如:
#ext-x-sign:index=10,step=100,width=100,sign=base64(sign),urisign=base64(urisign)
3、椭圆曲线ecc算法中,签名和验证采用双密钥的形式,签名的密钥是“传输私钥”,验证时使用与之配对的“传输公钥”。为了保证码流和安全传输公钥的安全性,采用两级密钥的强安全传输,即hls码流采用双密钥进行签名和验证同时安全传输公钥也采用双密钥进行签名和验证,后者的双密钥分别为“根私钥”和“根公钥”。
带有签名信息的hls码流在ott流媒体网络中传输,整个网络包括若干个 缓存节点,最终码流传输到边缘节点。边缘节点的签名检测服务器根据子索引中是否包含#ext-x-sign标签决定是否进行签名检测,检测的过程具体如下:
1、对每一个传输的分片文件进行位扫描签名,只要有一位发生变化就可以检测出被篡改;也可以对分片文件进行抽样签名,此时抽样的内容被篡改才可检测出来,没有被抽样内容的篡改则忽略;如果hls的索引文件支持i帧#ext-x-i-frames-only,也可以仅仅对i帧进行签名,简化了检测流程;
2、索引文件m3u8也可能被恶意篡改,为了防止m3u8被恶意篡改,采用对m3u8索引文件中的uri进行签名,从而保证访问的分片是ottcdn注入的内容,防止uri被恶意篡改为非法源站;
3、对检测不通过的码流告警,并且hls终端只能向边缘节点请求检测通过的hls码流播放。
本发明实施例的流媒体文件的处理方法,如图6所示,源端提供ott原始码流,比如hls内容提供商通过hls编码器得到hls原始码流,其中包含描述文件和媒体文件;中心节点采用http协议接收上述原始码流,签名服务器将码流按一定算法进行签名,签名信息流(签名密钥信息)通过带外的方式传送到边缘的检测服务器;带签名信息的hls码流在ott网络中采用两级密钥的强安全传输,即码流的数字签名和公钥证书的数字签名使用两级不同的密钥生成;码流传输到边缘节点,签名检测服务器对码流进行签名验证,对不符合签名的码流进行告警;hls终端向边缘节点请求验证通过的媒体文件进行播放。
第五实施例:
如图7所示,本发明的实施例还提供了一种流媒体文件的处理装置,包括:
获取模块71,用于获取流媒体文件发送端传输的、签名后的ott流媒体文件,所述签名后的ott流媒体文件为所述流媒体文件发送端对ott流媒体文件进行签名处理后得到的,且所述ott流媒体文件为通过基于超文本传输协议的实时流传输hls协议进行传输的流媒体文件;
验证模块72,用于对所述签名后的ott流媒体文件进行验证,并对验证成功的ott流媒体文件进行预定业务处理。
本发明实施例的流媒体文件的处理装置,所述获取模块71用于获取流媒体文件发送端传输的、签名后的ott流媒体文件及签名后的传输公钥,其中,所 述签名后的传输公钥为所述流媒体文件发送端根据非对称算法对用于解密所述签名后的ott流媒体文件的传输公钥进行签名处理后得到的。
本发明实施例的流媒体文件的处理装置,其特征在于,所述验证模块72包括:
获取子模块721,用于从所述ott流媒体文件的索引文件的扩展字段中,获取所述ott流媒体文件的签名信息;
验证子模块722,用于根据所述签名信息、非对称算法及签名后的传输公钥对所述签名后的ott流媒体文件进行验证。
本发明实施例的流媒体文件的处理装置,其特征在于,根据验证子模块722包括:
判断单元7221,用于判断所述签名信息中是否包含有签名标志信息;
第一验证单元7222,用于若所述签名信息中包含有所述签名标志信息,则对所述签名后的传输公钥进行验证;
第二验证单元7223,用于若所述签名后的传输公钥验证成功,则根据非对称算法对所述签名后的ott流媒体文件进行验证。
本发明实施例的流媒体文件的处理方法,对基于互联网的ott流媒体文件进行签名处理,得到签名后的ott流媒体文件;将所述签名后的ott流媒体文件传输给流媒体文件接收端。本发明实施例中通过对基于hls协议进行传输的ott流媒体文件进行签名处理,来防止ott码流在传输过程中的篡改,从而保证码流传输过程中的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!