IPTV / OTTサービスの構築：コン​​テンツ保護

この記事では、ビデオコンテンツがどのように保護されているか、これに使用されているテクノロジーについて説明します。 これは主にインターネットブロードキャストに関するものですが、DVBとマルチキャストに触れて、違いがより明確になるようにする必要があります。



前の記事でインストールした Stalkerミドルウェアは、コンテンツ保護システムと、NGINX X-accelおよびSecure Linkと統合されています。



この記事は、専門家だけでなく、IPTV / OTTについてまだ何も知らない人のためにも設計されています。



ビデオコンテンツをブロードキャストするには、2つのアプローチがあります。

• ブロードキャスト-データストリームがネットワーク上で制御不能に拡散している場合。 例：衛星/ケーブル放送、マルチキャスト。
• ユニキャスト-クライアントはサーバーにアクセスしてコンテンツを要求します。 OTTサービスで使用されます。

主な違いはフィードバックの存在です。 ハイブリッドシステムがありますが、この記事の一部としてそれらを忘れてください。

放送

当社はインターネット経由でのビデオの放送に取り組んでいるので、ここでは簡単に説明します。ソースでビデオをスクランブルすることと、ビデオを制御して配信することの違いは何ですか。



ブロードキャストでマルチキャストを取得したのは、第一に、これがブロードキャストの一種であり、第二に、IPネットワークでのパケットの送信だけでなく、DVBにも影響を与えているからです。



ブロードキャストブロードキャストでは、ソースとクライアントの間にフィードバックがないため、コンテンツを保護する方法は1つしかありません。ソース上のすべてをスクランブルします。 クライアントが保護されたコンテンツを表示できるようにするには、定期的に変更されるキーを見つける必要があります。 キーは、受信者のみが復号化できるように、コンテンツとともに顧客に送信されます。 原則として、 条件付きアクセスモジュール （CAMモジュール）がこれに使用され、このようなシステムは条件付きアクセスシステムと呼ばれます 。



有料テレビのサービスを使用するほぼ全員が、コンテンツを保護するこの方法に遭遇しています。 長年、衛星放送局はこの保護方法を使用しており、アクセスカードやCAMモジュール（またはCAMモジュールが組み込まれている場合は受信機）を定期的に変更することを強制しています。



このようなシステムの主な欠点は、キーを共有できることです（ カード共有）。 フィードバックがないと、カードまたはモジュールの真正性を検証できず、侵入者の存在と数を知ることは技術的に不可能です。



IPTVネットワークでは、CAMモジュールの代わりに特別なソフトウェアが使用され、CASサーバーと通信してキーを受信します。 このアプローチにより、コンテンツの盗難が事実上なくなります。 CASサーバーとの通信は安全なユニキャスト接続を介して行われ、受信側にはだまされたり偽造されたりする可能性のあるカードやモジュールがありません。 管理されたネットワーク機器を使用すると、同時に表示されるチャンネルの数を制限できます（原則として、オペレーターは同時に2〜6個のチャンネルを表示できます）。したがって、すべてのコンテンツには問題があります。



話すことは何もありません。 テクノロジーは長年根本的に変わっていません。 古いシステムがハックし、新しいシステムが登場します。 欠点もありますが、一般にシステムは機能します。

ユニキャスト

ユニキャストブロードキャストでは、ブロードキャストアプローチを使用できます。ソースでストリームをスクランブルし、インターネット経由でキーを配布します。 この場合、すべてはIPTVと同じです。マルチキャストではなく、HTTPを介してブロードキャストするだけです。







また、別の方法でコンテンツへのアクセスを制限できます。各ユーザーに固有のトークンを使用します。 ミドルウェアは各ユーザーに表示用の一意のリンクを提供し、ビデオサーバーはミドルウェアAPIを介してこれらのトークンをチェックするという考え方です。







このようなスキームでは、必要なサーバーとソフトウェアが少なくなり、開始時と運用中の両方で大幅に節約できます。 コンテンツ自体は暗号化されませんが、ミドルウェアの許可なしにアクセスすることはできません。 ポータルは1回限りのリンクを発行しますが、インターセプトは重要ではありません。リンクを要求したデバイスのみがリンクを開くことができます。 また、HTTPSは、通常のトラフィックの傍受からあなたを救います。



「しかし、コンテンツは開いたままで、ディスクへの保存や他のユーザーへの中継を妨げるものは何もありません。」あなたは言います。



はい、エンドユーザーはセグメントを自分のディスクに保存し、ブロードキャストを他のユーザーに整理することもできます。 ただし、1回限りのリンクには有効期間があります。 設定して忘れても機能しません。 ミドルウェアから新しいリンクを定期的に受信する必要があります。 また、統計では、ユーザーが年中無休で同じチャンネルを視聴していることがわかります。 疑わしい。



HTTPを介したコンテンツの配信は制御されたプロセスであるため、同時接続の数を追跡できることを意味します。 これは、2つのチャンネルを同時に視聴できないことを意味します（もちろん、料金表で許可されている場合を除きます）。



すべてのコンテンツを中継するには、TVチャンネルの数に等しいアカウント数を登録し、セットトップボックスの動作をエミュレートする現在の一時リンクを受信するボットを構成する必要があります。 ここでは想像力を示す必要があります。そうしないと、ログからそのようなユーザーを簡単に計算できます。 1つのデータセンター（/ 24ネットワーク）から、同じチャネルを24時間365日視聴する100人のユーザーが登場したと想像してください。 このようなボットネットを異なるデータセンターに分散させ、アカウント間で何らかのチャネルローテーションシステムを設定して、疑わしくならないようにする必要があります。 コメントで、コンテンツを盗み、気付かれずに行く方法を議論できます。



「しかし、TVチャンネルでは、認証されたCASシステムで暗号化せずにケーブル/ローカル/インターネットネットワークで放送することはできません。」 -あなたは追加します。



この記事の枠組み内で法的なニュアンスを扱うことはありません。 テレビチャンネルごとに要件が異なります。テレビチャンネルに加えて、オープンブロードキャストを許可するチャンネルがあります。お客様は監視カメラからビデオを放送しますが、これもpr索好きな目から保護する必要があります。



承認システムは、コンテンツアグリゲーターである場合、サーバー、データセンター間でビデオを転送するために使用でき、顧客に直接ブロードキャストしないでください。



多くのお客様が承認システムのために正確に来てくれます。

さて、十分な理論、練習に取りかかりましょう。

Stalkerには、ビデオを保護するためのメカニズムがいくつか組み込まれています。 これらにはいくつかの制限があります。一部のプロトコル（RTSPなど）との互換性がなく、HLSストリームを完全に保護できず、同時接続を考慮していません。 ただし、専用のビデオサーバーは必要ありません。



TVチャンネル設定で一時リンクを有効にし、「NGINXセキュアリンク」または「Flussonicサポート」チェックボックスをオンにしない場合、StalkerはX-Accel-Redirectを使用してコンテンツにアクセスします。







この構成は、HTTP MPEG-TSストリームの保護に適しています。 サーバーとクライアントの間に確立されるTCP接続は1つだけです。 NGINX設定がどのように見えるか見てみましょう：

server{ listen 0.0.0.0:8888; rewrite ^/ch/(.*) /stalker_portal/server/api/chk_tmp_tv_link.php?key=$1 last; location /stalker_portal { internal; proxy_set_header Host 192.168.1.1; # <--      IP proxy_set_header X-Real-IP $remote_addr; proxy_pass http://192.168.1.1:88/stalker_portal; # <-- IP   } location ~* ^/get/(.*?)/(.*) { internal; set $upstream_uri $2; set $upstream_host $1; set $upstream_url http://$upstream_host/$upstream_uri; proxy_set_header Host $upstream_host; proxy_set_header X-Real-IP $remote_addr; proxy_pass $upstream_url; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Stalkerは次の形式のリンクを生成します： stalker / ch / TOKEN123 、ここでTOKEN123は一意のワンタイムパスワードです。 クライアントがこのリンクを開くと、NGINXはchk_tmp_tv_link.phpファイルの書き換えを行い、トークンの有効性を確認し、X-Accel-Redirectヘッダーを使用してストリームへのリンクを返します。



ソースパッケージchk_tmp_tv_link.phpをダウンロードします。

 <?php include "./common.php"; $result = Master::checkTemporaryLink($_GET['key']); if (!$result){ $result = '/404/'; } header("X-Accel-Redirect: ".$result); ?>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ドキュメントによると、一時リンクを使用するには、次の形式でチャンネルURLを指定する必要があります： 192.168.1.1 ：8888 / 127.0.0.1：8899 / udp / 239.1.1.1：1234、ここで192.168.1.1:8888はNGINXがインストールされたudpxyサーバーです。



トークンを確認した後、Stalkerは$ result変数にstalker / get / 127.0.0.1：8899 / udp / 239.1.1.1：1234へのリンクを返します。



NGINX構成からわかるように、/ get /は内部の場所です。つまり、ここからのアクセスは、バックエンドから受信したX-Accel-Redirectヘッダーを介してのみアクセスできます。



次に、NGINXは単純な正規表現を使用して、ローカル（またはリモート）udpxyへのプロキシ（proxy_pass）を開始します。



ご覧のとおり、コンテンツを不正アクセスから保護するのは簡単です。 1つの書き換え、内部パラメーターと小さなバックエンドスクリプトを使用した1つの場所-これらはすべて「箱から出して」アクセス可能であり、正常に機能します。 X-Accelの詳細については、 NGINXの公式ドキュメントをご覧ください 。



StalkerのNGINXセキュアリンク



次に、「NGINXセキュアリンク」ボックスをオンにします。







制限事項：



ストーカーは、HTTP MPEG-TSストリームおよびm3u8プレイリストへのリンクへのアクセスを保護します。 チャンクとメディアプレイリスト自体は保護されないままであり、tcpdump / wiresharkを使用すると、メディアプレイリストのアドレスを簡単に見つけて直接接続できます。



ストリームを保護するための最も簡単で最も重要な信頼性の高い方法は、Flussonicとの統合を有効にすることです。 ストーカーの側から設定する必要はありません。チャンネル設定で「Flussonic」をチェックするだけで、Flussonicの側からはストーカーのアドレスを指定するだけです。



Flussonicは当社の開発したビデオサーバーであり、多くのOTTおよびIPTVサービスで広く使用されています。 私たちの強みは、アクセス制御とセッションアカウンティング、アーカイブ記録です。 当社のウェブサイトの詳細 。



許可バックエンドを使用して、ユーザーの識別と接続追跡のメカニズムを実装しました。 HLSおよびHDSプロトコルはHTTPセッショントラッキングメカニズムを使用し、RTMP、RTSP、およびMPEG-TSプロトコルは永続的なTCPセッションを処理します。 MPEG-TSおよびMP4形式でのアーカイブのエクスポートも追跡されます。



ストーカー-これは認証バックエンドです。 クライアントが動画にアクセスすると、バックエンドにIPアドレスとチャンネル名だけでなく、その他の重要な情報も渡します。



-トークン

-HTTPリファラー

-このスレッドで開かれているセッションの数

-サーバーで開いているセッションの総数

-要求されたプロトコル：（hls、dash、hds、rtmp、rtsp、mpegts、またはmp4）

-接続タイプ（新しい接続または現在の内線）

-要求されたコンテンツの種類（ライブストリーム、アーカイブ、スクリーンショット、またはAPI呼び出し）

-ユーザーエージェント

-クエリ文字列

-リクエストが送信されたサーバーのアドレスとポート



この情報により、バックエンドはアクセスを柔軟に制御できます。 すべてのデータを使用して、複雑なルールを作成できます。



応答として、Stalkerはyes / noだけでなく、許可（または禁止）の有効期間、ユーザーID、およびこのユーザーの同時接続数に関する情報も返します。



Flussonicは応答を保存し、許可期間中はバックエンドに繰り返しリクエストを送信しません。 この記事は非常に長いので、Stalkerを介してFlussonicで認証を設定する方法は示しません。非常に簡単で、この問題に関する短いが網羅的なドキュメントがあります。

まとめると。

ほとんどの場合、インターネットでの不正な視聴からコンテンツを保護するために、暗号化なしで行うことができます。これは一般的なミドルウェアを使用して無料で簡単に実行できます。または、ビデオサーバーとの統合を構成して、不要な役割と負荷をStalkerから削除できます。



コメントで、コンテンツ保護の手段は何ですか？ テレビ放送だけでなく、VODサービス、ビデオ監視についても興味深いものです。



「OTT / IPTVサービスの構築」シリーズの最初の記事のビューの数から判断すると、全員がまだ決定を下しているわけではないため、次の記事を遅らせるべきではありません。



次に、サイトにビデオを挿入することについて話し合う必要があります。この質問は見かけほど簡単ではありません。 記事「 HTML5ストリーミングでできること（およびmp4ストリーミングが存在しない理由 ）」を読んで、彼女はブラウザーでストリーミングビデオを送信および表示する最新の手段について話しています。 また、すべてのお客様向けに無料の統計収集サービスを開始しました。