|
[
-
ГЛАВНАЯ
- BIL(1)
- BIL(2)
- BIL(3)
- BIL(4)
- CARDSHARING
|
Системы условного доступа
|
|
Понедельник, 13.02.2012, 17:27 | Сообщение # 1
|
|
Системы условного доступа
В настоящее время на рынке цифрового вещания представлено достаточно большое число систем условного доступа (Conditional access systems). Среди них наибольшую популярность приобрели: VIACCESS, IRDETO, CONAX, MEDIAGUARD, NAGRAVISION. Для большинства конечных пользователей цифровых телекоммуникационных систем CAS воплощаются или в виде смарт-карт, или в виде CAM-модулей, которые вставляются в соответствующий разъем интегрированного приемника - декодера (STB) и позволяют пользователю получать доступ к различным информационным сервисам: телеканалам, радиоканалам, Интернет-ресурсам, телеконференциям, "видео по требованию" (VoD) и другим. Однако реально карточки и модули представляют собой только надводную часть "айсберга" под названием "Система условного доступа".
Многие из современных CAS берут свое начало еще в аналоговых спутниковых системах, в которых они выполняли исключительно роль защиты платных телеканалов от несанкционированного просмотра. В этих системах использовалась достаточно примитивная техника перемешивания строк передаваемого изображения по определенному алгоритму. Данный метод получил название "скремблирование", этот термин используется и в настоящее время. Предполагалось, что только легальные приемники могут восстановить исходное изображение с помощью специального оборудования или программного обеспечения. Однако ошибки и недостатки в используемых алгоритмах, развитие средств вычислительной техники и повышенный интерес множества людей к нелегальному просмотру платных телеканалов привели к взлому большинства этих систем. Дальнейшее развитие CAS связано с использованием комбинации методов скремблирования и алгоритмов шифрования, что позволило несколько увеличить степень защиты телеканалов. Примером такой CAS может служить система Videocrypt, интересной особенностью которой является применение генератора псевдослучайных чисел для получения точек инвертации линий изображения. Стартовое значение генератора передается в интервале гашения луча (VBI), который используется в аналоговом телевидении для передачи такой информации, как телетекст.
Перевод спутникового и эфирного вещания в цифровые форматы, в частности, появление и развитие стандарта DVB, открыло перед производителями систем условного доступа новые возможности и горизонты развития. Однако также существенно расширился и спектр задач, которые должны решаться системами условного доступа. Наряду с такими традиционными требованиями, как надежность, масштабируемость и низкая стоимость, стали актуальными такие понятия, как универсальность и контекстонезависимость, то есть возможность применения CAS для защиты широковещательных каналов с различными типами трафика. В связи с появлением услуг для индивидуальных абонентов, например, "видео по требованию", Интернет, телеконференции, огромное значение стали приобретать методы адресации и аутентификации конечных абонентов. Развитие средств вычислительной техники обусловило также качественные изменения криптографических методов защиты широковещательного канала.
В общем случае, современная система условного доступа представляет собой комплекс программно-аппаратных средств, формирующих несколько взаимосвязанных между собой подсистем. К наиболее важным и присутствующим практически в каждой CAS можно отнести следующие компоненты:
подсистема обслуживания абонентов и управления подпиской (SAS);
подсистема генерации и управления ключами (KMS);
подсистема скремблирования и шифрования транспортного потока (ESS);
подсистема безопасности аппартно-программного обеспечения декодера (SRS).
Основные функции SAS можно описать так называемой моделью ААА (authentication, authorization and accounting): Основная задача аутентификации – это подтверждение подлинности используемых декодерами адресов и идентификаторов, а также защита декодеров и смарт-карт от воздействия потоков команд, формируемых третьей стороной. В большинстве существующих реализаций систем условного доступа задача аутентификации решается применением таких криптографических механизмов, как контрольные суммы, сигнатуры, хэш-функции, дайджесты и другие.
Авторизация представляет собой процесс определения прав пользователя на доступ к заданному информационному сервису и формирование на основе этой информации потоков сообщений, управляющих работой адресуемого декодера. Адресация заключается в присвоении каждому легальному пользователю уникального идентификатора (адреса), в большинстве случаев находящегося в ПЗУ электронного устройства (декодера, смарт-карты и т.д.). Кроме того, пользователь может быть отнесен к различным группам, отличающимся по каким-либо признакам: класс подписки, приоритет, возраст, географическое положение, принадлежность к организациям и т.д. Это позволяет провайдерам информационных сервисов производить как индивидуальные, так и групповые адресные операции, что в некоторых случаях способствует существенному сокращению накладных расходов на передачу адресной информации. Задача выбора размерности групповых и индивидуальных адресов, а также выбора способа кодирования принадлежности пользователя к разным группам одновременно, решается в системах управления абонентами по-разному. Определение прав пользователя происходит на основе информации, получаемой из баз данных, поддерживаемых коммерческими службами и выполняющих, собственно, функции учета (accounting) абонентов. Процедуры активации и дезактивации пользователей могут выполняться различными способами. Наиболее простой способ – это выдача всем легальным пользователям электронного устройства (смарт-карты, PCMCIA-модуля и т.д.), содержащего либо ключи, либо алгоритмы, позволяющие декодировать определенные информационные сервисы. Однако при этом способе достаточно сложно проводить операции дезактивации пользователей и управления подпиской. Более сложной, но в тоже время более гибкой и функциональной, является схема управления пользователями, в которой реализуется возможность удаленного управления легальными декодерами. В этом случае управляющие команды либо передаются декодерам через дополнительный наземный канал связи (телефонная линия, IDSL и др.) – режим OUTBAND, либо "замешиваются" в реальный спутниковый или эфирный транспортный поток – режим INBAND. Режим INBAND более применим в современных CAS, так как не требует наличия наземного канала и дополнительного специализированного оборудования в приемнике, однако к недостаткам этого режима можно отнести использование части транспортного потока для передачи служебной информации и возможность перехвата и анализа передаваемой информации третьей стороной. Решением этих проблем на сегодняшний день является интенсивное применение групповых команд и криптографических методов защиты передаваемой информации.
В европейском стандарте DVB для передачи команд и информации SAS предусмотрен и зарезервирован специальный тип информационного потока – EMM (Entitlement management message) и специальная сервисная таблица CAT (Conditional access table), содержащая дескрипторы всех EMM потоков присутствующих в данном транспортном потоке. Структура и содержание EMM не определяются стандартом DVB и зависят от конкретной системы условного доступа, однако в большинстве случаев EMM содержит следующие команды:
активация/дезактивация карты,
разрешение/запрещение доступа к информационному сервису,
изменение/продление подписки,
обновление операционного ключа.
Для защиты от несанкционированного доступа EMM обычно шифруется алгоритмами симметричной (DES) или асимметричной (RSA) криптографии.
Таблицы ECM (Entitlement control message) также зарезервированы стандартом DVB для нужд систем условного доступа. В этих таблицах обычно передаются зашифрованные ключи (CW), необходимые для непосредственного декодирования транспортного потока. В общем случае в ECM, кроме зашифрованных ключей, передается еще идентификатор CAS, идентификатор провайдера информационного сервиса, дата, класс подписки, номер операционного ключа и значение ХЭШ-функции. После проверки прав доступа авторизованный декодер использует хранящийся в его памяти операционный ключ с определенным в ECM-таблице номером и некоторые принятые данные для вычисления значения ХЭШ-функции, которое сравнивается со значением, передаваемым в ECM- таблице. Положительный результат сравнения означает, что использованный операционный ключ актуален и может быть использован для вычисления управляющих слов (CW).
Генерация и распространение ключевой информации — это функции подсистемы KMS, формирующей ECM-таблицы. В большинстве современных CAS используется многоуровневая иерархия ключевой информации.
Мастер-ключи (МК)
Операционные ключи (ОК)
Управляющие слова (CW)
|
|
|
|
Понедельник, 13.02.2012, 17:27 | Сообщение # 2
|
|
Система условного доступа (англ. Conditional Access System) — программно-аппаратный механизм для ограничения доступа к цифровым телепрограммам.
Только кодирование[источник не указан 658 дней] позволяет эффективно осуществлять оплату просмотра телевизионных программ. Иные способы ограничения доступа к просмотру ТВ-программ показали свою несостоятельность.[источник не указан 658 дней]
Системы условного доступа можно разделить на два основных класса:
Закрытые системы (используют корпоративные стандарты)
Системы с единым алгоритмом скремблирования (Common Scrambling Algorithm), основанным на стандарте DVB. DVB-совместимые системы
Стандарт DVB определяет 2 способа шифрования:
SimulCrypt: Требует согласования среди операторов, которые используют различные системы условного доступа. но один алгоритм шифрования. Мультиплексный поток должен содержать пакеты для каждой системы.
MultiCrypt: Доступ к различным системам условного доступа через съемную PCMCIA карту с использованием стандарта интерфейсного подключения DVB-Common interface (DVB-CI). Эта система позволяет не зависеть от поставщиков услуг, но является более дорогой, чем SimulCrypt.
Содержание
[убрать]
1 Некоторые типы систем условного доступа
1.1 DRE Crypt
1.2 VideoСrypt
1.3 VIACCESS
1.4 Conax
1.5 РОСКРИПТ-М (Roscrypt-M)
2 Взлом систем условного доступа
3 См. также
[править] Некоторые типы систем условного доступа
[править] DRE Crypt
Система Условного Доступа DRE Crypt представляет собой целостную систему, обеспечивающую доступ к программам цифрового телерадиовещания только ограниченному кругу лиц, имеющих на это право.
Система Условного Доступа DRE Crypt включает в себя головное скремблирующее оборудование и абонентское дескремблирующее оборудование. Головное оборудование подключается к системе мультиплексирования и скремблирования транспортных потоков и предназначено для управления процессом закрытия телевизионных программ и данных, ввода дополнительной служебной и не служебной информации и управления абонентами.
[править] VideoСrypt
В настоящее время известны две версии VideoCrypt I и VideoCrypt II. Первая используется в Великобритании и Ирландии, например, очень известной телекомпанией BSkyB (British Sky Broadcasting). Вторая версия использовалась в Европе, однако в настоящее время применяется довольно редко (MTV на Astra). Многие декодеры имеют возможность переключения VideoCrypt I / VideoCrypt II. Разница между ними невелика, однако используются абсолютно разные карты и служебная информация передается с некоторыми отличиями. Для кодирования изображения используется метод разрезки строки в случайном месте и перестановки частей строк.[уточнить] В VideoCrypt предусмотрено 256 возможных мест разрезки строки. Схема разрезки меняется каждые 2.5 секунды. Служебная информация для декодера передается в виде, подобном телетексту.
[править] VIACCESS
Viaccess — это кодирующая система предназначенная для цифрового телевидения. Система разработана Французской фирмой France Telecom. Viaccess — это просто новое имя D2MAC или модификация Eurocrypt-M в DVB. В этой модификации ключ имеет 8 байт когда Eurocrypt-M только 7. Если 8-й байт ноль тогда Viaccess работает точно как Eurocrypt-M. Если 8-й байт отличный от ноля тогда произойдет переключение на несколько отличающийся режим.[стиль!]
На данный момент используются 8 версий — Viaccess PC2.3, Viaccess PC2.4, Viaccess PC2.5 и Viaccess PC2.6, Viaccess PC3.0, Viaccess PC3.1, Viaccess PC4.0, Viaccess PC5.0
Первая версия именовалась Viaccess 1, а три последующие — Viaccess 2., PC2.3 и PC2.4. Версии PC2.5 и PC2.6 считались безопасными на протяжении 2 лет. После вскрытия этих версий появилась версия, введенная в эксплуатацию в 2005 году — PC2.6. Вторая модификация Viaccess была названа ThalesCrypt. В настоящий момент она используется Canal Satellite для защиты контента в транспортной сети и на головных станциях кабельных сетей. Вторая модификация представляет собой оригинальный механизм шифрования с новым протоколом формирования ключей.
[править] Conax
Conax — это открытая к взаимодействию без выделения приоритетов система. Conax предлагает технологию «свободы выбора».
Conax CAS7 — это система условного доступа мирового уровня[стиль!] для операторов сетей цифрового телевидения DVB.
Conax CAstream позволяет операторам и поставщикам контента шифровать поток контента IP-телевидения, распространять зашифрованный поток по открытым сетям и доставлять подписчикам. Conax CAstream — это автономная система защиты информации, которая даёт возможность использовать уже имеющиеся платформу и приложения с добавлением к ним надёжных механизмов условного доступа и безопасности. CONAX использует систему кодирования с применением асимметричного шифрования.
[править] РОСКРИПТ-М (Roscrypt-M)
В России специалистами ФГУП НИИРадио разработана российская система условного доступа «Роскрипт-М». Криптографическая защита разработана в соответствии с российским стандартом ГОСТ 28147-89. Система условного доступа «Роскрипт-М» позволяет осуществить защиту компонент транспортного потока, кодированных в соответствии со стандартами MPEG-2, MPEG-4 AVC/H.264 при обычном (SD) и высоком (HD) разрешениях. СУД «Роскрипт-М» совместима со стандартами вещания DVB-S/S2, DVB-C, DVB-T.
Количество поддерживаемых абонентских устройств — более 20 млн. Количество сервисов, закрываемых одним скремблером, — не менее 50. Автоматическая система управления обеспечивает многоканальное управление с общим количеством сервисов 2048. Количество открываемых сервисов одним CAM модулем - неограниченно в любом сочетании. Скорость транспортного потока — до 108 Мбит/с. Алгоритм защиты информации разработан по ГОСТу 28147-89.[стиль!] Система позволяет частичное или полное обновление через транспортный поток. Длина ключей — 256 бит. Возможность передачи таблиц управления за счет избыточности ТП.
[править] Взлом систем условного доступа
Не существует систем скремблирования, которые не поддаются взлому.[источник не указан 323 дня] Вскрытие любой системы — это лишь вопрос времени и коммерческого интереса.[источник не указан 323 дня]
Существует два типа взлома систем: хакерство и пиратство.[источник не указан 323 дня]
Под хакерством в данном случае понимается вскрытие систем скремблирования, которое осуществляется не в коммерческих интересах, а ради удовлетворения собственного любопытства.
Пиратство подразумевает массовое появление поддельных карточек или ключей для декодирования программным образом для несанкционированного просмотра телевизионных программ, то есть носит коммерческий характер. Данный вид взлома наиболее опасен для операторов.
|
|
|
|