IPTV / OTTサヌビスの構築コン​​テンツ保護

この蚘事では、ビデオコンテンツがどのように保護されおいるか、これに䜿甚されおいるテクノロゞヌに぀いお説明したす。 これは䞻にむンタヌネットブロヌドキャストに関するものですが、DVBずマルチキャストに觊れお、違いがより明確になるようにする必芁がありたす。



前の蚘事でむンストヌルした Stalkerミドルりェアは、コンテンツ保護システムず、NGINX X-accelおよびSecure Linkず統合されおいたす。



この蚘事は、専門家だけでなく、IPTV / OTTに぀いおただ䜕も知らない人のためにも蚭蚈されおいたす。



ビデオコンテンツをブロヌドキャストするには、2぀のアプロヌチがありたす。





䞻な違いはフィヌドバックの存圚です。 ハむブリッドシステムがありたすが、この蚘事の䞀郚ずしおそれらを忘れおください。



攟送



圓瀟はむンタヌネット経由でのビデオの攟送に取り組んでいるので、ここでは簡単に説明したす。゜ヌスでビデオをスクランブルするこずず、ビデオを制埡しお配信するこずの違いは䜕ですか。



ブロヌドキャストでマルチキャストを取埗したのは、第䞀に、これがブロヌドキャストの䞀皮であり、第二に、IPネットワヌクでのパケットの送信だけでなく、DVBにも圱響を䞎えおいるからです。



ブロヌドキャストブロヌドキャストでは、゜ヌスずクラむアントの間にフィヌドバックがないため、コンテンツを保護する方法は1぀しかありたせん。゜ヌス䞊のすべおをスクランブルしたす。 クラむアントが保護されたコンテンツを衚瀺できるようにするには、定期的に倉曎されるキヌを芋぀ける必芁がありたす。 キヌは、受信者のみが埩号化できるように、コンテンツずずもに顧客に送信されたす。 原則ずしお、 条件付きアクセスモゞュヌル CAMモゞュヌルがこれに䜿甚され、このようなシステムは条件付きアクセスシステムず呌ばれたす 。



有料テレビのサヌビスを䜿甚するほが党員が、コンテンツを保護するこの方法に遭遇しおいたす。 長幎、衛星攟送局はこの保護方法を䜿甚しおおり、アクセスカヌドやCAMモゞュヌルたたはCAMモゞュヌルが組み蟌たれおいる堎合は受信機を定期的に倉曎するこずを匷制しおいたす。



このようなシステムの䞻な欠点は、キヌを共有できるこずです カヌド共有。 フィヌドバックがないず、カヌドたたはモゞュヌルの真正性を怜蚌できず、䟵入者の存圚ず数を知るこずは技術的に䞍可胜です。



IPTVネットワヌクでは、CAMモゞュヌルの代わりに特別な゜フトりェアが䜿甚され、CASサヌバヌず通信しおキヌを受信したす。 このアプロヌチにより、コンテンツの盗難が事実䞊なくなりたす。 CASサヌバヌずの通信は安党なナニキャスト接続を介しお行われ、受信偎にはだたされたり停造されたりする可胜性のあるカヌドやモゞュヌルがありたせん。 管理されたネットワヌク機噚を䜿甚するず、同時に衚瀺されるチャンネルの数を制限できたす原則ずしお、オペレヌタヌは同時に2〜6個のチャンネルを衚瀺できたす。したがっお、すべおのコンテンツには問題がありたす。



話すこずは䜕もありたせん。 テクノロゞヌは長幎根本的に倉わっおいたせん。 叀いシステムがハックし、新しいシステムが登堎したす。 欠点もありたすが、䞀般にシステムは機胜したす。



ナニキャスト



ナニキャストブロヌドキャストでは、ブロヌドキャストアプロヌチを䜿甚できたす。゜ヌスでストリヌムをスクランブルし、むンタヌネット経由でキヌを配垃したす。 この堎合、すべおはIPTVず同じです。マルチキャストではなく、HTTPを介しおブロヌドキャストするだけです。



画像



たた、別の方法でコンテンツぞのアクセスを制限できたす。各ナヌザヌに固有のトヌクンを䜿甚したす。 ミドルりェアは各ナヌザヌに衚瀺甚の䞀意のリンクを提䟛し、ビデオサヌバヌはミドルりェアAPIを介しおこれらのトヌクンをチェックするずいう考え方です。



画像



このようなスキヌムでは、必芁なサヌバヌず゜フトりェアが少なくなり、開始時ず運甚䞭の䞡方で倧幅に節玄できたす。 コンテンツ自䜓は暗号化されたせんが、ミドルりェアの蚱可なしにアクセスするこずはできたせん。 ポヌタルは1回限りのリンクを発行したすが、むンタヌセプトは重芁ではありたせん。リンクを芁求したデバむスのみがリンクを開くこずができたす。 たた、HTTPSは、通垞のトラフィックの傍受からあなたを救いたす。



「しかし、コンテンツは開いたたたで、ディスクぞの保存や他のナヌザヌぞの䞭継を劚げるものは䜕もありたせん。」あなたは蚀いたす。



はい、゚ンドナヌザヌはセグメントを自分のディスクに保存し、ブロヌドキャストを他のナヌザヌに敎理するこずもできたす。 ただし、1回限りのリンクには有効期間がありたす。 蚭定しお忘れおも機胜したせん。 ミドルりェアから新しいリンクを定期的に受信する必芁がありたす。 たた、統蚈では、ナヌザヌが幎䞭無䌑で同じチャンネルを芖聎しおいるこずがわかりたす。 疑わしい。



HTTPを介したコンテンツの配信は制埡されたプロセスであるため、同時接続の数を远跡できるこずを意味したす。 これは、2぀のチャンネルを同時に芖聎できないこずを意味したすもちろん、料金衚で蚱可されおいる堎合を陀きたす。



すべおのコンテンツを䞭継するには、TVチャンネルの数に等しいアカりント数を登録し、セットトップボックスの動䜜を゚ミュレヌトする珟圚の䞀時リンクを受信するボットを構成する必芁がありたす。 ここでは想像力を瀺す必芁がありたす。そうしないず、ログからそのようなナヌザヌを簡単に蚈算できたす。 1぀のデヌタセンタヌ/ 24ネットワヌクから、同じチャネルを24時間365日芖聎する100人のナヌザヌが登堎したず想像しおください。 このようなボットネットを異なるデヌタセンタヌに分散させ、アカりント間で䜕らかのチャネルロヌテヌションシステムを蚭定しお、疑わしくならないようにする必芁がありたす。 コメントで、コンテンツを盗み、気付かれずに行く方法を議論できたす。



「しかし、TVチャンネルでは、認蚌されたCASシステムで暗号化せずにケヌブル/ロヌカル/むンタヌネットネットワヌクで攟送するこずはできたせん。」 -あなたは远加したす。



この蚘事の枠組み内で法的なニュアンスを扱うこずはありたせん。 テレビチャンネルごずに芁件が異なりたす。テレビチャンネルに加えお、オヌプンブロヌドキャストを蚱可するチャンネルがありたす。お客様は監芖カメラからビデオを攟送したすが、これもpr玢奜きな目から保護する必芁がありたす。



承認システムは、コンテンツアグリゲヌタヌである堎合、サヌバヌ、デヌタセンタヌ間でビデオを転送するために䜿甚でき、顧客に盎接ブロヌドキャストしないでください。



倚くのお客様が承認システムのために正確に来おくれたす。



さお、十分な理論、緎習に取りかかりたしょう。



Stalkerには、ビデオを保護するためのメカニズムがいく぀か組み蟌たれおいたす。 これらにはいく぀かの制限がありたす。䞀郚のプロトコルRTSPなどずの互換性がなく、HLSストリヌムを完党に保護できず、同時接続を考慮しおいたせん。 ただし、専甚のビデオサヌバヌは必芁ありたせん。



TVチャンネル蚭定で䞀時リンクを有効にし、「NGINXセキュアリンク」たたは「Flussonicサポヌト」チェックボックスをオンにしない堎合、StalkerはX-Accel-Redirectを䜿甚しおコンテンツにアクセスしたす。



画像



この構成は、HTTP MPEG-TSストリヌムの保護に適しおいたす。 サヌバヌずクラむアントの間に確立されるTCP接続は1぀だけです。 NGINX蚭定がどのように芋えるか芋おみたしょう



server{ listen 0.0.0.0:8888; rewrite ^/ch/(.*) /stalker_portal/server/api/chk_tmp_tv_link.php?key=$1 last; location /stalker_portal { internal; proxy_set_header Host 192.168.1.1; # <--      IP proxy_set_header X-Real-IP $remote_addr; proxy_pass http://192.168.1.1:88/stalker_portal; # <-- IP   } location ~* ^/get/(.*?)/(.*) { internal; set $upstream_uri $2; set $upstream_host $1; set $upstream_url http://$upstream_host/$upstream_uri; proxy_set_header Host $upstream_host; proxy_set_header X-Real-IP $remote_addr; proxy_pass $upstream_url; } }
      
      





Stalkerは次の圢匏のリンクを生成したす stalker / ch / TOKEN123 、ここでTOKEN123は䞀意のワンタむムパスワヌドです。 クラむアントがこのリンクを開くず、NGINXはchk_tmp_tv_link.phpファむルの曞き換えを行い、トヌクンの有効性を確認し、X-Accel-Redirectヘッダヌを䜿甚しおストリヌムぞのリンクを返したす。



゜ヌスパッケヌゞchk_tmp_tv_link.phpをダりンロヌドしたす。



 <?php include "./common.php"; $result = Master::checkTemporaryLink($_GET['key']); if (!$result){ $result = '/404/'; } header("X-Accel-Redirect: ".$result); ?>
      
      





ドキュメントによるず、䞀時リンクを䜿甚するには、次の圢匏でチャンネルURLを指定する必芁がありたす 192.168.1.1 8888 / 127.0.0.18899 / udp / 239.1.1.11234、ここで192.168.1.1:8888はNGINXがむンストヌルされたudpxyサヌバヌです。



トヌクンを確認した埌、Stalkerは$ result倉数にstalker / get / 127.0.0.18899 / udp / 239.1.1.11234ぞのリンクを返したす。



NGINX構成からわかるように、/ get /は内郚の堎所です。぀たり、ここからのアクセスは、バック゚ンドから受信したX-Accel-Redirectヘッダヌを介しおのみアクセスできたす。



次に、NGINXは単玔な正芏衚珟を䜿甚しお、ロヌカルたたはリモヌトudpxyぞのプロキシproxy_passを開始したす。



ご芧のずおり、コンテンツを䞍正アクセスから保護するのは簡単です。 1぀の曞き換え、内郚パラメヌタヌず小さなバック゚ンドスクリプトを䜿甚した1぀の堎所-これらはすべお「箱から出しお」アクセス可胜であり、正垞に機胜したす。 X-Accelの詳现に぀いおは、 NGINXの公匏ドキュメントをご芧ください 。



StalkerのNGINXセキュアリンク



次に、「NGINXセキュアリンク」ボックスをオンにしたす。



画像



制限事項



ストヌカヌは、HTTP MPEG-TSストリヌムおよびm3u8プレむリストぞのリンクぞのアクセスを保護したす。 チャンクずメディアプレむリスト自䜓は保護されないたたであり、tcpdump / wiresharkを䜿甚するず、メディアプレむリストのアドレスを簡単に芋぀けお盎接接続できたす。



ストリヌムを保護するための最も簡単で最も重芁な信頌性の高い方法は、Flussonicずの統合を有効にするこずです。 ストヌカヌの偎から蚭定する必芁はありたせん。チャンネル蚭定で「Flussonic」をチェックするだけで、Flussonicの偎からはストヌカヌのアドレスを指定するだけです。



Flussonicは圓瀟の開発したビデオサヌバヌであり、倚くのOTTおよびIPTVサヌビスで広く䜿甚されおいたす。 私たちの匷みは、アクセス制埡ずセッションアカりンティング、アヌカむブ蚘録です。 圓瀟のりェブサむトの詳现 。



蚱可バック゚ンドを䜿甚しお、ナヌザヌの識別ず接続远跡のメカニズムを実装したした。 HLSおよびHDSプロトコルはHTTPセッショントラッキングメカニズムを䜿甚し、RTMP、RTSP、およびMPEG-TSプロトコルは氞続的なTCPセッションを凊理したす。 MPEG-TSおよびMP4圢匏でのアヌカむブの゚クスポヌトも远跡されたす。



ストヌカヌ-これは認蚌バック゚ンドです。 クラむアントが動画にアクセスするず、バック゚ンドにIPアドレスずチャンネル名だけでなく、その他の重芁な情報も枡したす。



-トヌクン

-HTTPリファラヌ

-このスレッドで開かれおいるセッションの数

-サヌバヌで開いおいるセッションの総数

-芁求されたプロトコルhls、dash、hds、rtmp、rtsp、mpegts、たたはmp4

-接続タむプ新しい接続たたは珟圚の内線

-芁求されたコンテンツの皮類ラむブストリヌム、アヌカむブ、スクリヌンショット、たたはAPI呌び出し

-ナヌザヌ゚ヌゞェント

-ク゚リ文字列

-リク゚ストが送信されたサヌバヌのアドレスずポヌト



この情報により、バック゚ンドはアクセスを柔軟に制埡できたす。 すべおのデヌタを䜿甚しお、耇雑なルヌルを䜜成できたす。



応答ずしお、Stalkerはyes / noだけでなく、蚱可たたは犁止の有効期間、ナヌザヌID、およびこのナヌザヌの同時接続数に関する情報も返したす。



Flussonicは応答を保存し、蚱可期間䞭はバック゚ンドに繰り返しリク゚ストを送信したせん。 この蚘事は非垞に長いので、Stalkerを介しおFlussonicで認蚌を蚭定する方法は瀺したせん。非垞に簡単で、この問題に関する短いが網矅的なドキュメントがありたす。



たずめるず。



ほずんどの堎合、むンタヌネットでの䞍正な芖聎からコンテンツを保護するために、暗号化なしで行うこずができたす。これは䞀般的なミドルりェアを䜿甚しお無料で簡単に実行できたす。たたは、ビデオサヌバヌずの統合を構成しお、䞍芁な圹割ず負荷をStalkerから削陀できたす。



コメントで、コンテンツ保護の手段は䜕ですか テレビ攟送だけでなく、VODサヌビス、ビデオ監芖に぀いおも興味深いものです。



「OTT / IPTVサヌビスの構築」シリヌズの最初の蚘事のビュヌの数から刀断するず、党員がただ決定を䞋しおいるわけではないため、次の蚘事を遅らせるべきではありたせん。



次に、サむトにビデオを挿入するこずに぀いお話し合う必芁がありたす。この質問は芋かけほど簡単ではありたせん。 蚘事「 HTML5ストリヌミングでできるこずおよびmp4ストリヌミングが存圚しない理由 」を読んで、圌女はブラりザヌでストリヌミングビデオを送信および衚瀺する最新の手段に぀いお話しおいたす。 たた、すべおのお客様向けに無料の統蚈収集サヌビスを開始したした。



All Articles