MediaConvert HLS加密实战：Lambda@Edge动态密钥验证方案

HLS加密的业务价值与技术原理

在视频点播业务中，内容版权保护是运营者必须面对的核心挑战。HLS标准加密作为一种成熟且兼容性优秀的保护方案，已被Safari、video.js、HLS.js等主流播放器广泛支持，非常适合作为点播系统的基础防护层。

从技术实现角度，HLS加密的工作流程包含四个关键环节：

• 服务端加密：使用AES-128算法对每个ts视频切片进行加密处理
• 密钥分发：通过独立的安全通道（如CloudFront + S3）提供解密密钥
• 密钥获取：播放器根据m3u8索引文件中的EXT-X-KEY标签请求密钥
• 实时解密：播放器使用密钥对ts切片进行解密并完成播放

需要特别注意的是，加密后的m3u8文件会包含类似以下的密钥声明：

#EXT-X-KEY:METHOD=AES-128,URI="https://example.cloudfront.net/enc.key"

整体架构设计与数据流

本方案的核心设计思路是：将密钥访问权限与用户身份绑定。由于MediaConvert转码后m3u8中的密钥URL是静态的，我们需要通过Lambda@Edge在边缘节点动态注入权限凭证。

完整的数据流如下：

1. 用户登录后，后端服务校验权限并生成token
2. 后端将token作为query string附加到m3u8播放地址
3. 播放器请求m3u8时，Lambda@Edge拦截响应并将token注入到密钥URL
4. 播放器请求密钥时携带token，密钥服务器校验权限后返回密钥
5. 播放器获取ts切片并使用密钥解密播放

实施步骤详解

步骤一：准备AES加密密钥

首先需要生成一个128位（16字节）的AES密钥文件，并上传至S3存储桶通过CloudFront分发。生成密钥的命令如下：

openssl rand 16 > enc.key

将二进制密钥转换为16进制字符串，供MediaConvert配置使用：

xxd -p enc.key | tr -d '\n'

记录密钥的CloudFront访问地址，格式类似：https://dxxxxxx.cloudfront.net/enc.key

步骤二：配置MediaConvert转码任务

在MediaConvert控制台创建转码任务时，需要在输出组的DRM encryption部分进行以下配置：

• Encryption method：选择AES-128
• Key provider type：选择Static key
• Static key value：填入步骤一生成的16进制密钥字符串
• URL：填入密钥的CloudFront访问地址

步骤三：部署Lambda@Edge实现动态token注入

创建Lambda函数并部署到us-east-1区域（Lambda@Edge的必要条件），绑定事件类型为origin-response。核心逻辑是解析m3u8内容，将请求中的token参数追加到密钥URL：

import re

def lambda_handler(event, context):
    request = event['Records'][0]['cf']['request']
    response = event['Records'][0]['cf']['response']
    
    # 仅处理m3u8文件
    if not request['uri'].endswith('.m3u8'):
        return response
    
    # 获取请求中的token参数
    query_string = request.get('querystring', '')
    token = ''
    for param in query_string.split('&'):
        if param.startswith('token='):
            token = param.split('=')[1]
            break
    
    if not token or 'body' not in response:
        return response
    
    # 将token注入到EXT-X-KEY的URI中
    body = response['body']
    pattern = r'(#EXT-X-KEY:.*URI="[^"]+)'
    replacement = r'\1?token=' + token
    modified_body = re.sub(pattern, replacement, body)
    
    response['body'] = modified_body
    return response

步骤四：配置密钥访问权限校验

在密钥分发的CloudFront分发上，可以选择以下两种方式实现权限校验：

• CloudFront Functions + KeyValueStore：适合简单的token白名单校验，延迟更低
• Lambda@Edge：适合需要调用外部服务或复杂逻辑的场景

生产环境建议

在将此方案应用于生产环境时，建议关注以下几点：

• 密钥轮换策略：定期更换加密密钥，对历史内容进行重新转码
• token有效期：设置合理的token过期时间，建议不超过播放会话时长
• HTTPS强制：确保密钥传输全程使用HTTPS，防止中间人攻击
• 更高级保护：对于高价值内容，建议评估Widevine或FairPlay等DRM方案