CC BY
196
Система условного доступа "Роскрипт-М". Область применения. Параметры
Ляшко АА., Кононенко И.В., НИИР
В мировой практике разработаны зарубежные системы условного доступа (СУД), в основном предназначенные для защиты коммерческих интересов. В России специалистами ФГУП НИИР разработана отечественная система условного доступа "Роскрипт-М", учитывающая специфику как федеральной, так и коммерческих сетей. Криптографическая защита разработана в соответствии с российским стандартом ГОСТ 28147-89.
Система условного доступа "Роскрипт-М" позволяет осуществить защиту компонент транспортного потока, кодированных в соответствии со стандартами МРЕЭ-2, МРЕЭ-4 ДУС/Н.264 при обычном ^) и высоком (HD) разрешениях. СУД "Роскрипт-М" совместима со стандартами вещания DVB-S, DVB-C, DVB-T (рис.1).
СУД "Роскрипт-М" с 2006г. находится в эксплуатации. Сейчас это готовое решение, получившее довольно широкое распространение на территории РФ. Оборудование СУД "Роскрипт-М" используется крупнейшими операторами связи — ФГУП "Космическая связь", ФГУП "Российская телевизионная и радиовещательная сеть". Система установлена на самой большой в стране сети распространения программ — ОАО "Первый канал" и на других сетях телеканалов.
Надежность системы "Роскрипт-М"
В системах УД предъявляются повышенные требования к надежности оборудования. Разработчиками системы "Роскрипт-М" реализована система с высоким уровнем надежности в целом и, в особенности, комплекта передающей части системы, в значительной мере определяющей качество работы всего цифрового тракта. Кроме того, следует учесть, что в системе "Роскрипт-М" предусмотрена реализация 100%-го горячего резервирования с автоматическим переключением на работу с исправным комплектом. Ни для кого не секрет, что самым "слабым" местом любой системы условного доступа с точки зрения взлома является абонентская сторона, чаще всего это стык модуль условного доступа — смарт-карта. Поэтому в системе условного доступа "Роскрипт-М" смарт-карта отсутствует. Вместо нее непосредственно на плате установлен защищённый чип, что позволяет использовать сложные алгоритмы криптозащиты. Как известно, степень безопасности алгоритма зависит от сложности алгоритмов шифрования и длины ключа. В СУД "Роскрипт-М" использует 8 уровней защиты (пароли, базовые ключи, имитовставки и т.д.). Система позволяет частичный или полный UP-Grаde через транспортный поток. Принятые решения позволяют обеспечивать высокие требования по надёжности в коммерческих сетях.
Правовая защита системы "Роскрипт-М"
Алгоритмы защиты информации в СУД "Роскрипт-М" реализованы в двух вариантах:
Индивидуальный спутниковый прием
ЭТВ с УД «Роскрипт-м» Кабельные и эфирные сети
Рис. 1. Область применения СУД "Роскрипт-М"
PMc. 2. Организация СУД "Pda^m-M" на действующей спутниковой сети Pоccийcкой Федерации
— по "ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";
— в собственной разработке ФГУП НИ^ на основе ГОСТ 28147-89.
СУД "Pоcкрипт-M" соответствует приказу №3 от 11.01.2006 г. Mиниcтерcтва информационных технологий и связи Pоccийcкой Федерации "Об утверждении требований к защите от несанкционированного доступа к программам, транслируемым с применением системы цифрового телевизионного вещания DVB, при их передаче по каналам связи, образованным спутниковыми линиями передачи сети связи общего пользования".
Сертификат Mинкомcвязи Pоccии от 22.10.2008 г. СУД Тос-крипт-M" соответствует приказу №126 от 07.11.2007 г. Mинин-формсвязи Pоccии "Правила применения оборудования систем телевизионного вещания. Часть III. Правила применения оборудования системы условного доступа".
Сертификат информационной безопасности ФСТЭК (Федеральная служба по техническому экспертному контролю).
Патент на полезную модель "Система защиты информации в абонентских сетях" от 25.06.2008 г.
Деятельность в MСЭ
В мае 2008 г. ФГУП НИ^ был представлен вклад в Mеждyна-родном Союзе Электросвязи ^СЭ) по СУД "Pоcкрипт-M". На основании вклада было принято решение создать новую рекомендацию по цифровым системам условного доступа.
На этом собрании представителями ФГУП НИ^ совместно с другими представителями MСЭ был составлен, и рабочей группой утверждён, первый проект новой рекомендации по Системам Условного доступа, куда первой системой вошла СУД "Pоcкрипт-M".
В октябре 2008 г. в MСЭ был доработан проект рекомендации по цифровым системам условного доступа. В работе над проектом новой рекомендации активное участие приняли: Pоccий-ская Федерация, Япония, Финляндия. В результате работы был уточнен проект новой рекомендации, в который была внесена система "CAS-R" (Япония) и более подробно описана СУД 'Тос-
крипт-M". На данный момент в рекомендации представлены системы в следующем порядке:
1. СУД "Pоcкрипт-M" (PO);
2. СУД "CAS-R" (Япония).
Rешение для распределительной сети и каналов общественного телевидения
Структурная схема аппаратно-программного комплекса Тос-крипт-M" для крупных операторов и каналов общественного телевидения представлена на рис.3. Система условного доступа Тоскрипт-M" состоит из передающего и приемного оборудования, программного обеспечения АСУ и АСВД. Передающее оборудование представляет собой скремблер. Приемная сторона реализована в виде модуля условного доступа (CAM). Автоматическая система управления (АСУ) обеспечивает удаленное управление скремблером (конфигурирование, мониторинг, диагностика), загрузку и обновление программного обеспечения.
Автоматизированная система ввода данных (АСВД) обеспечивает удаленное управление абонентскими устройствами. АСВД СУД "Pоcкрипт-M" состоит из центрального сервера и клиентской части. Центральный сервер содержит базы данных всех работающих с ним клиентов и обеспечивает их корректную работу по управлению абонентами, обеспечивает разграничение прав доступа на управление CAM-модулями и защиту от внешних хакерских атак.
Клиентская часть устанавливается на отдельном сервере и соединяется с центральным сервером по линии связи. Клиентская часть обеспечивает создание базы данных абонентов СУД "Pоcкрипт-M", включение/выключение отдельных абонентов или групп абонентов по любым сервисам.
Данная структура особенно удобна крупным операторам, которые имеют несколько передающих центров и несколько пунктов дистанционного управления сетью. Например, операторы космической связи, предоставляющие свои каналы ряду телекомпаний и другим клиентам. Для этого на всех передающих центрах устанавливается скремблирующее оборудование "Pоcкрипт-M", а для централизованного управления скремблерами и абонентами используют программное обеспечение АСУ и АСВД, соответственно. Крупным операторам предоставляется возможность закрыть свои каналы и пре-
PMc. 3. Схема построения СУД "Pоcкрипт-M" для крупных операторов
доставить другим заказчикам услугу закрытия контента и услугу непосредственного управления своей сетью.
Оператор может выбрать режим работы СУД "Роскрипт-М", в котором система работает как статистический ремультиплексор, используя для передачи EMM структурную избыточность потока, тем самым экономя ресурс канала.
Для каналов общественного телевидения разработан модуль условного доступа CAM-FM, который подразумевает подключение к любому спутниковому цифровому приёмнику с Common Interface. Это позволяет использовать на сети как бытовое, так и профессиональное оборудование. Кроме того, один CAM-FM, может открыть сразу все программ ТП, закрытых СУД "Роскрипт-М", что позволяет
ТП DVB
<
О
DVB
<Т£
сэкономить на приёмном оборудовании.
Для каналов коммерческого телевидения разработан коммерческий модуль условного доступа, который встраивается в STB. Стоимость модуля соизмерима со стоимостью смарт-карты.
Для коммерческих сетей приём осуществляется либо на Set-Top-Box со встроенным модулем, либо на приёмник с Common Interface и модулем условного доступа "CAM-FM".
Решение для небольших операторов
Структурная схема аппаратно-программного комплекса "Рос-крипт-М" для средних и небольших операторов представлена на рис. 4. Комплекс состоит из следующих частей:
По желанию заказчика возможно подключение биллинговой системы
Billing
Ethernet
1
Скремблер
«Роскрипт-М»
Управление абонентскими устройствами и скремблером «Роскрипт-М»
STB с УД «Роскрипт-м»
Рис. 4. Структурная схема аппаратно-программного комплекса "Роскрипт-М" для средних и небольших операторов
• Передающая часть:
— скремблер;
— ПО управления абонентами и скремблером "Роскрипт-М".
• Приемная часть:
— Set-Top-Box со встроенным модулем СУД "Роскрипт-М".
В случае небольших сетей система управления существенно упрощена. Непосредственно к скремблеру подключается ПК, с которого осуществляется управление всеми зарегистрированными абонентами. Также возможна организация удалённого управления.
Реализация приемной стороны СУД "Роскрипт-М"
На абонентской стороне прием осуществляется на цифровой спутниковый приемник. Цифровой поток дескремблируется модулем условного доступа (CAM) "Роскрипт-М", различная реализация которого представлена ниже. CAM восстанавливает принятый поток с помощью ключей доступа и анализирует информацию управления для данного абонента. В том случае, если обнаружена команда запрета или разрешения, CAM соответственно включает или отключает дескремблирование DVB потока.
1. Внешний модуль CAM-FM (рис. 5) подключается к разъему DVB-CI цифрового спутникового приемника по шине PCMCIA в соответствии со стандартом EN 50221.
PMc. 5. Mc^^ условного доступа CAM-FM
2. Встраиваемый модуль (рис.6) подключается последовательно с выходом декодера канала 5ГВ. Обеспечивает открытие/закрытие сервисов в соответствии с командами, поступающими из центра.
3. Программа базового кристалла (ведутся разработки)
PMc. 7. Цифровая телевизионная приставка "НИ^-ЦТВ"
4. Цифровая телевизионная приставка MPEG-2/4 "НИ^-ЦТВ" (рис.7) со встроенным индивидуальным абонентским модулем СУД "Pоcкрипт-M"
Параметры системы "Rоcкрипт-M"
• Количество поддерживаемых абонентских устройств — более 20 млн.
• Количество закрываемых сервисов одним скремблером — не менее 50
• Автоматическая система управления обеспечивает многоканальное управление с общим количеством сервисов 2048
• Mакcимальное количество групп/подсетей — 64000
• Скорость транспортного потока — до 100 M6w/c
• Алгоритм защиты информации разработан по ГОСТу 28147-89
• Система позволяет частичный или полный UP-Grade через ТП
• Длина ключей — 256 бит
• ПО АСВД и АСУ — SQL Server
• Скорость управления абонентскими устройствами — 500 абонентов в секунду при скорости потока EMM 50 кбит/с
• Возможность передачи таблиц управления за счет избыточности ТП.
