Система условного доступа производства компании NetUP

Система сокрытия производства компании NetUP позволяет производить шифрование мультимедийных потоков и затем передавать их по незащищенным каналам связи. Только авторизованные абоненты, подписанные на данную услугу, смогут воспроизводить такие потоки. Благодаря системе сокрытия оператор IPTV может четко контролировать доступ к контенту и строить финансовые взаимоотношения с абонентами.

NetUP CAS/DRM предназначена для использования в качестве компонента NetUP IPTV Complex. Система использует алгоритм CSA (Common Scrambling Algorithm). Это позволяет задействовать аппаратные средства декодирования зашифрованных потоков на IP-STB, что особенно актуально для воспроизведения видео в формате High Definition.

Исходный код модуля шифрования написан на С++ с использованием оптимизированных алгоритмов. Код работает на платформах x86, PowerPC, ARM, Super Hitachi.

Принцип работы NetUP CAS/DRM

Сервер CAS принимает контент из IP-сети на один из сетевых интерфейсов, шифрует контент и отправляет его через другой сетевой интерфейс в IP-сеть, к которой подключены абоненты IPTV.

Зашифрованный контент принимается STB клиентом или PC клиентом. На приставке должно быть установлено программное обеспечение NetUP, которое принимает и дешифрует контент, а также реализует графический интерфейс Middleware (стороннее ПО не может выполнять эти функции).

В IPTV комплексе производства NetUP сервер CAS тесно взаимодействует с сервером Middleware, с помощью которого осуществляется аутентификация абонентов. Серверы CAS и Middleware, входящие в состав одной системы, связаны между собой общей базой данных.

Схема работы система условного доступа NetUP CAS/DRM

Принципы шифрования

С каждой единицей медиа-контента ассоциируется ключ шифрования. В системе NetUP CAS/DRM используется трехуровневое шифрование.

• Ключи третьего уровня являются постоянными и выделяются один раз для каждой единицы контента при первом шифровании. Эти ключи хранятся в общей для CAS и Middleware базе данных.
• Ключи второго уровня динамически генерируются на основе ключей третьего уровня и текущего времени. Срок жизни ключа второго уровня – 1 час. Так как на серверах CAS и Middleware время синхронизировано, каждый из них может генерировать идентичные ключи второго уровня независимо друг от друга. По запросу ключ второго уровня может передаваться на IP STB, но только для доступных абоненту единиц контента.
• Ключи первого уровня используются непосредственно для шифрования передаваемых пакетов данных и передаются в зашифрованном виде параллельным потоком вместе с контентом. Ключ первого уровня генерируется динамически на основании соответствующего ключа второго уровня, IP-адреса и текущего времени. Время жизни ключа первого уровня – несколько секунд.

Механизм аутентификации клиентов в NetUP CAS/DRM

На сервере Middleware в биллинговой системе для каждого абонента создаются лицевой счет, сертификат, приватный ключ и одноразовый код активации. При первом включении приставки или запуске PC клиента, абонент должен ввести выданный ему код активации, после его на клиентском оборудовании клиента сохраняются сертификат и приватный ключ. Они используются при установке SSL-соединения и аутентификации с сервером Middleware.

В случае если абонент использует PC клиент, сертификат и приватный ключ при сохранении шифруются исходя из аппаратной конфигурации компьютера, на котором установлен клиент. Это защищает сертификат и приватный ключ от переноса на другие компьютеры. При переносе на другую конфигурацию абонент должен будет ввести новый код активации.

Таким образом, в системе NetUP CAS/DRM отсутствуют смарт-карты доступа, применяющиеся в большинстве систем условного доступа. Это позволяет сэкономить значительные средства на производстве карт.