HTTPS - AES - Token

HTTPS – AES – Token

早期的 IPTV 業者真的是膽大到整個系統都沒有加密，除了 EPG 的管理都是用純 HTTP 外，連 API 的連接與資料傳送也都是用 HTTP，因為這樣，所有業者的新節目地址在第一時間改變後，駭客也在第一時間將整套的節目地址給發布到論壇，在用戶都還沒有更新節目地址前，整個節目源就已經都全部公開了

之後開使有在節目地址後面加上 Token，或者是逾期的 KEY，主要用來當節目源被盜後，該節目地址可以失效，但這跟本就無法防範已經流出去的播放地址，就連原立及 Binstream 這些專有通訊協定及專有播放器的系統，也是一樣，只要能取到地址就可以貼到播放器中直接收看節目，在這個沒有加密的年代，駭客依照這樣的方式，盜源賣源，每個都賺的盆滿砵滿的，真是一個最美好的年代

節目源要取得，相當簡單，在 HTTP 的通訊方式下，只要裝個 wireshark 然後開 APP，紀錄整個通訊的封包，那這樣大概就可以抓到所有資訊，也因為這麼的方便，所以我們可能是第一家 EPG 及 API 全面採用 HTTPS 的台灣公司，也因為要上 HTTPS，所以造成很多的服務商都確步，不進行改進與更新，因為改下去就連 APP 的通訊都要改用 HTTPS 才能夠防止網路的監聽與封包抓取

但是道高一尺魔高一丈，不能從網路監聽，那就從 APP 下手，各為看官應該也知道， 早期的 Android 都是用 JAVA 來作的，整隻 APK 其實就是一個 .zip 的打包，所以改名 .zip 然後用 7-zip 就可以把整個 apk 所有檔案給解出來，解出來後那就簡單了，有反組譯 .jar 的程式，也有反組譯 .class 的程式，各種破解工具一用，就可以知到整個 API 的地址，也可以知道整個 APP 如何與 API 溝通，然後就透過 API 把節目地址取出，順便作用或者 MAC 及 IP 的白名單登錄，噔　噔　噔　噔，就這樣你可以看免費或者讓更多人可以看免費的節目囉

我們為了解這個坑，採用了以下的處理方式 :

(1) EPG 全面 HTTPS : 防側錄及監聽

(2) API 全面 HTTPS : 防側錄及監聽

(3) API 資料採用 AES 128 加密 : 防網路直接取用無法解開內容

(4) API 採用動態 KEY 生成 : 這部份主要使將解 AES 的 KEY 動態產生，防止 API 地址外洩後，因為沒有 KEY 解不出傳送的內容, 這部份需要有一個動態的 KEY 產生系統，讓用戶每次登入後都可以取到最新的 KEY ，然後用該 KEY 加密資料後送出

(5) 節目地址採用動態 KEY 生成 : 主要在節目地址中用動態的 KEY ，來產生節目地址，這樣就可防止節目地址外洩後，讓原本的地址無法播放直接失效

(6) 串流發布需要透過動態 KEY 驗證後出流 : 這個就是一般的發布系統作不到的，比如常見的原力及Binstream 還有合法串流營運商常用的 Wowza ，都沒有可以有 Call Back API 方式來作用戶出流的驗證與限制，所以之前幫很多服務商作的黑名單 Script，白名單 Script，來從底層的防火牆封鎖，因為是 By IP 所以這個問題只要你加入白名單，就可以看免費節目了

所以，整個 IPTV 的系統要安全，只有作一小塊或者是一部份是無法達到安全保護的等級，每一個安全保護都是一個坑，每個部份都要協同運作良好才可以系統穩定，10 年了，感謝網路上面無數駭客的青睞，每每都產生另人難解的坑，但也因為有這些坑，才能讓我們好好的練兵，至於詳細的作法可以與我們聯絡，或者參考我們的報價列表，然後找到我們，讓我們幫您解決一堆你無法知道的坑

https://a-iptv.tw/price/