你说的没错,中国电信的IPTV机顶盒确实输入了盒子的MAC地址。我给你解释一下中国电信的IPTV认证流程,看看能不能解决你的疑惑。
中国电信IPTV机顶盒的认证过程分为两步,一是机顶盒的硬件认证,二是用户订购节目的业务认证。这两个认证可能会验证MAC地址,所以我会分别解释。
电信机顶盒硬件认证流程IPTV机顶盒首次认证的目的是认证硬件的合法性,防止非电信认证的机顶盒接入中国电信专网。整个认证过程如下图所示,由机顶盒、SR路由器(分配地址)和运营商的AAA(认证)设备配合完成。
我们打开机顶盒开机后,机顶盒一般会通过DHCP获取IP地址。在获得地址之前,电信网络需要对机顶盒进行认证。机顶盒发送第一个DHCP消息将携带以下信息:机顶盒的MAC、选项60和选项82。
Option60用于根据电信的规则对用户名和密码进行加密,Option82用于携带这个机顶盒在哪个小区哪个设备在线的位置信息,MAC地址是机顶盒的硬件信息。机顶盒获取地址时,会携带机顶盒的用户名、密码、位置和硬件(MAC)信息进行认证,如下图所示。
电信的SR(服务路由器)设备收到机顶盒发来的DHCP报文时,会获取信息,然后重新组装成Radius认证信息发送给AAA服务器进行认证。电信的AAA存储用户订购IPTV业务时存储的机顶盒信息(该信息也可能在机顶盒首次开机认证时与用户名绑定,后续以首次绑定的MAC为准)
如果发现信息与电信预存信息不一致,电信AAA将不允许该机顶盒上线。即当我们使用其他机顶盒时,如果用户名、密码、MAC、在线位置信息与电信AAA中保存的不一致,电信会拒绝机顶盒在线,这被认为是非法的。
如果与电信预存信息一致,AAA将允许机顶盒接入电信IPTV专网,继续通过DHCP获取地址。
电信机顶盒的业务认证流程之后,是硬件机顶盒上线后的二次认证流程。这个过程涉及到访问EPG(电子节目单,也就是我们看到的IPTV的首页)时的一个认证和鉴权过程。这个过程如下:
这个过程的主要目的是让合法用户只能访问自己订购的IPTV节目,所以需要和IPTV业务平台进行交互。我们都知道IPTV中有很多服务只能通过付费观看。这个认证是为了获取用户可以看什么内容。
我们看到在这个认证中有三条信息,UserToken、MAC和STBID。UserToken是唯一标识该用户订阅业务的信息,MAC是机顶盒的MAC信息,STBID是机顶盒的识别码。IPTV业务系统通过STBID识别内网授权的机顶盒,该信息还包括MAC地址信息,如下图所示:
认证后,EPG会给我们正确的电子节目单,我们可以正常观看IPTV节目。
从结论可以看出,无论是对IPTV机顶盒的认证,还是基于业务的二次认证,都会获得机顶盒的MAC地址。同时,电信IPTV的认证可以保证用户名、密码、位置信息与MAC地址和用户点播的节目相对应。
所以如果要使用IPTV服务,一定要使用中国电信授权的机顶盒。随便选一个机顶盒,都可能享受不到正常的IPTV服务。
