流媒体业务中的地址提取与防盗链机制研究

论文总字数：38378字

摘 要

近年来，流媒体业务逐渐成为了互联网中的一大热点应用，已经占据了互联网流量的大半壁江山。与此同时，通过破解流媒体业务提供商的技术保护措施，直接获取正版流媒体资源的盗链行为也逐渐猖獗起来。为了防止流媒体资源被盗链者恶意使用，流媒体业务提供商通常会对流媒体资源附加上防盗链机制，但这些机制仍然存在或多或少的问题。

本文从处理带鉴权参数的动态链接的角度出发，选定搜狐视频、腾讯视频、优酷网、AcFun弹幕视频网与乐视视频五家国内主流视频网站为目标，通过对网络请求的抓取分析，过滤出用于获取视频信息的关键请求。之后，通过对网页播放器Javascript脚本代码的审计分析，结合对网络请求响应内容的联合分析，总结得出各个目标视频网站的客户端鉴权参数的来源与生成方式，以及客户端所使用的信息加密策略。

在上述分析的基础上，本文设计并实现了针对上述目标视频网站的视频资源有效地址获取工具，该工具接受一个视频资源原始URL作为输入，并返回视频资源的有效地址。实验表明，该工具可以达到与市面上同类产品的同等效率。最后，本文指出了国内主流视频网站当前采用的防盗链机制所存在的弱点，并提出了相应的改进意见。

关键词：流媒体业务，防盗链，有效地址获取，代码审计

Abstract

Nowadays, streaming media service gradually becomes a hotspot among Internet applications and has possessed more than half of Internet traffic. Meanwhile, hot-linking behaviors, which could directly access streaming media resources from streaming media service providers by breaching the technical protection measures, have been developing rapidly. In order to prevent streaming media resources from being illegally used by the hot-linkers, streaming media service providers usually employ anti hot-linking mechanism to streaming media resources, but these mechanisms still have vulnerabilities.

From the perspective of dealing with the dynamic URL with authentication parameters, this thesis selects five major video websites in China – Sohu, Tencent, Youku, AcFun and LeTV as target websites, and filters out key requests for video information by inspecting and analyzing network requests. Then summarizes the source and generation method of client’s authentication parameters, and the information encryption strategies used by client of each target website through code auditing of Javascript in web players and joint analysis of the responses’ content.

Based on the analysis above, this thesis designs and implements a valid address extraction tool for video resources. This tool accepts the original URL of video resource as input and returns its valid address. Experiments proves that the tool can achieve the same efficiency as analogous software on the market. Finally, existing vulnerabilities of current anti hot-linking mechanism are indicated, and corresponding improvements are proposed.

KEY WORDS: Streaming media service, Anti hot-linking, valid address extraction, code auditing

目 录

摘要……………………………………………………………………………………………Ⅰ

Abstract….……………………………………………………………………………...…….Ⅱ

1. 绪论…..……………………………………………………………………,,,………1

1.1 研究背景……………………………………………………………………………...1

1.2 研究目的与意义..…………………………………………………………………….1

1.3 主要工作及创新点..………………………………………………………………….2

1.4 论文章节安排..……………………………………………………………………….3

1. 相关工作…..………………………………………………………………………...4

2.1 流媒体业务发展现状………………………………………………………………...4

2.2 视频防盗链方法..…………………………………………………………………….4

2.3 视频资源有效地址提取方法..……………………………………………………….6

1. 主流视频网站视频播放策略分析………………………………………………..8

3.1 分析思路……………………………………………………………………………8

3.2 监听并过滤请求……………………………………………………...…………………8

3.2.1 理论基础……………………………………………………...…………………8

3.2.2 分析过程……………………………………………………...…………………9

3.2.3 小结……………………………………………………...………………………11

3.3 分析鉴权参数的来源与生存方式…………………………………………………….12

3.4 鉴权参数来源于其他请求的的响应内容…………………………………………….12

3.4.1 分析过程……………………………………………………...…………………12

3.4.2 小结……………………………………………………...………………………14

3.5 鉴权参数来源于播放器JavaScript脚本主动生成………...…………………………14

3.5.1 提取关键请求………………………………………………...…………………14

3.5.2 提取所有Javascript脚本…………………………………...…………………..15

3.5.3 还原压缩的JavaScript脚本代码…………………………...…………………..16

3.5.4 youku-player.min.js代码整体结构审计分析………………...…………………17

3.5.5 重新获取关键请求.. ………………………………………...………………….21

3.5.6 鉴权参数生成方式分析……………………………………...…………………22

3.5.7 小结………………………………………………...……………………………23

3.6 分析加密策略……………………………………………...…………………………..24

3.6.1 理论基础…………………………………………...……………………………24

3.6.2 分析过程..…………………………………………...…………………………..24

3.6.3 小结……..…………………………………………...…………………………..26

第四章 视频资源有效地址获取方案及实现…..……………………………………………27

4.1 播放策略分析方案实现…………………………………………………………….....27

4.1.1 优酷网鉴权参数定位…………………………………………………………...27

4.1.2 youku-player.min.js调用关系分析……………………………………………...27

4.2 视频资源有效地址获取工具设计思路...……………………………………………..29

4.2.1 确定目标视频网站………………………………………………………….......30

4.2.2 提取视频vid……..………………………………………………………….......31

4.2.3 生成参数，模拟请求，获取有效地址…………………………………….......31

第五章 实验结果及分析……………………………………………………………….....33

5.1 视频有效地址获取工具使用方法………………………………………………….....33

5.2 实验设计…..……………………………………………………………………….......33

5.3 实验准备…..……………………………………………………………………….......34

5.3.1 随机抽样方案设定………………………………………………………….......34

5.3.2 其他视频有效地址获取软件选取………………………………………….......34

5.4 实验结果…..……………………………………………………………………….......35

5.4.1 样本获取…………………………………………………………………….......35

5.4.2 可用性验证………………………………………………………………….......35

5.4.3 性能验证…………………………………………………………………….......36

第六章 总结………..……………………………………………………………………….....37

6.1 主流视频网站的鉴权验证措施总结……………………………………………….....37

6.2 对现有防盗链策略的改进意见…………………………………………………….....38

剩余内容已隐藏，请支付后下载全文，论文总字数：38378字