Juniper王衛:IPTV網(wǎng)絡(luò )架構必須考慮安全策略
王衛 2007/06/29
IPTV為服務(wù)供應商提供了巨大的業(yè)務(wù)機會(huì ),使電信公司能夠更有效地與電纜行業(yè)現有的三方服務(wù)相競爭,抵消正在下滑的語(yǔ)音業(yè)務(wù)收入并產(chǎn)生顯著(zhù)的額外收入。雖然IPTV能帶更高的收益,但是IPTV業(yè)務(wù)對于網(wǎng)絡(luò )基礎架構也提出更高的要求:IPTV需要一個(gè)高安全性的智能網(wǎng)絡(luò ),這一網(wǎng)絡(luò )使服務(wù)供應商傳輸豐富內容的來(lái)增加利潤的同時(shí),還能夠保護視頻服務(wù)基礎架構,減少用戶(hù)的 流失,建立一種長(cháng)期的用戶(hù)關(guān)系。
雖然IPTV不是運行在英特網(wǎng)上的,但是它一種在網(wǎng)絡(luò )上基于IP的服務(wù),其用戶(hù)和服務(wù)可能是來(lái)自服務(wù)供應商網(wǎng)絡(luò )之外的。困擾其他基于網(wǎng)絡(luò )的危險,如郵件和英特網(wǎng)訪(fǎng)問(wèn)中遇到的黑客、威脅和漏洞,IPTV同樣也可能遇到。歷史上,黑客在服務(wù)應用的最初階段----在安全對策還沒(méi)有完全得到加強的時(shí)候----就已經(jīng)很快地攫取了服務(wù)權限,造成了不利影響。而在服務(wù)應用的初級階段,用戶(hù)的意見(jiàn)和印象是最具有可塑性的。
IPTV供應商在他們最關(guān)鍵的應用初步階段是不能夠出現任何用戶(hù)不滿(mǎn)的。正因為如此,供應商們必須在一開(kāi)始就為他們的IPTV網(wǎng)絡(luò )建立起全面的安全策略。但是IPTV服務(wù)的全面安全計劃是怎樣的呢?
首先也是最重要的,安全計劃必須為內容、終端用戶(hù)和網(wǎng)絡(luò )本身提供多層的安全保護。另外,一個(gè)全面的IPTV安全策略必須考慮到網(wǎng)絡(luò )中的所有區域----從供應商網(wǎng)絡(luò )中的視頻服務(wù)基礎架構到“最后一碼”接入終端用戶(hù)的家用網(wǎng)絡(luò )----必須不受到安全破壞。
IP是一個(gè)已經(jīng)實(shí)現了多年的標準和一項被充分理解的技術(shù)。很多已經(jīng)應用到其他IP服務(wù)中的概念和策略,現在也能夠應用到IPTV和IPTV內容傳輸網(wǎng)絡(luò )的保護中。但是,除了與其他基于IP的服務(wù)有內在的相似之處外,IPTV也有其獨特的挑戰。
例如,IPTV有獨特的高帶寬,實(shí)時(shí)傳輸的需求和不同的用戶(hù)服務(wù)期望值。這些服務(wù)期望和結構上的不同使得很難將傳統的保護技術(shù)經(jīng)濟地應用到視頻服務(wù)基礎架構中----我們需要一種新的方法。
此外,因為IPTV服務(wù)是與其他IP服務(wù)共享一個(gè)網(wǎng)絡(luò )的,這些其他的IP服務(wù)是傳輸到供應商的用戶(hù)庫,所以保證IPTV的安全性是至關(guān)重要的。對IPTV服務(wù)或其他共享相同網(wǎng)絡(luò )通道服務(wù)的安全攻擊能夠輕易地影響到網(wǎng)絡(luò )中所有服務(wù)的有效性。隨著(zhù)HD電視和一般用戶(hù)的電視設備規模的不斷升級,如果出現信息丟失或因抖動(dòng)而打斷一個(gè)重要的電視播音,IPTV用戶(hù)一定會(huì )怨聲載道----即使這一抖動(dòng)是由于其自身家用網(wǎng)絡(luò )設計問(wèn)題而導致的。因此,IPTV服務(wù)供應商需要一個(gè)對用戶(hù)家中網(wǎng)絡(luò )實(shí)施安全和保護的控制。
視頻服務(wù)基礎架構
保護視頻服務(wù)基礎架構不受到攻擊需要維持在光學(xué)性能水平上的視頻流和設備,任何使視頻流或服務(wù)設備停頓下來(lái)的事情都有可能降低用戶(hù)體驗的質(zhì)量,這是絕對不能允許的。多視頻服務(wù)器導致了為拒絕服務(wù)攻擊(DoS)提供多重目標,該攻擊將會(huì )使服務(wù)器泛濫著(zhù)非法請求或者通過(guò)運行一個(gè)端口UDP 泛濫(UDP flood),而使服務(wù)器充滿(mǎn)非法請求。 這一惡意攻擊攫取處理循環(huán)的服務(wù)器去處理合法請求。如果不完善的設備或連接創(chuàng )建了無(wú)意的DoS攻擊環(huán)境,這就是個(gè)復合的問(wèn)題了。例如,不完善的存儲器或一個(gè)松散的網(wǎng)絡(luò )連接可能引起一個(gè) STB不斷的請求重新發(fā)送信息包。
用戶(hù)的直接互動(dòng)使視頻服務(wù)基礎架構非常容易受到DoS的攻擊。而網(wǎng)絡(luò )防火墻能夠補充網(wǎng)絡(luò )中DoS保護的特性,如果這些防火墻能夠監測每秒鐘每個(gè)用戶(hù)的請求數量并能夠升級以支持大量的用戶(hù),那么這一做法將有效地滿(mǎn)足用戶(hù)的需求。但是,這些防火墻只能持續地保持每秒幾個(gè)GB,這樣就需要大量的防火墻去支持視頻服務(wù)基礎架構。通過(guò)防火墻發(fā)送視頻包也增加了時(shí)延,每一個(gè)STB都需要更多的緩沖時(shí)間。
視頻點(diǎn)播(Video on Demand)服務(wù)器也容易受到傳輸控制協(xié)議(TCP)的攻擊以及在應用層面的攻擊。為保護VoD服務(wù)器不受正面攻擊及對隨機視頻應用的背面攻擊,就需要有簽名或模式吻合的運作能力。因此,結合了入侵探測和保護功能的網(wǎng)絡(luò )防火墻,能夠識別攻擊簽名,這對于保護VoD服務(wù)器將非常有效。
但是為每個(gè)視頻服務(wù)器配備一個(gè)專(zhuān)用的安全設備不是一個(gè)經(jīng)濟的解決方案。在一個(gè)有很多視頻服務(wù)辦公室的大型供應商網(wǎng)絡(luò )中,管理和更新眾多的防火墻并監測攻擊,這在操作上是一種挑戰。實(shí)際上,拆下沒(méi)有IDP功能的高容量防火墻通常比他們要保護的服務(wù)器成本更高。最終,為了實(shí)現更具成本優(yōu)勢的安全保護,安全設備的數量必須要減少。
對這個(gè)問(wèn)題的一個(gè)解決方案就是利用不對稱(chēng)的交通路由,這樣防火墻/IDP網(wǎng)關(guān)就不會(huì )超負荷,實(shí)際所需要的設備就會(huì )減少。這個(gè)不對稱(chēng)方法使下游的視頻交通不會(huì )對防火墻/IDP網(wǎng)關(guān)造成壓力,并且只關(guān)注本來(lái)就是低帶寬的上游控制交通。
服務(wù)供應商能夠決定網(wǎng)絡(luò )保護政策,并在聯(lián)合防火墻/IDP功能中設置濾波器以探測和阻止不希望出現的行為。例如,服務(wù)供應商能夠選擇從一個(gè)指定的來(lái)源發(fā)送到服務(wù)基礎架構的請求數量。對一個(gè)指定的IP用戶(hù),網(wǎng)絡(luò )防火墻能夠支持每秒的請求數量并設置一個(gè)極限,在一段固定的時(shí)間內(在這里是,每秒)超過(guò)了這一極限的請求就要被放棄。這樣,如果一個(gè)服務(wù)器正在收到過(guò)量的請求,供應商能夠通過(guò)網(wǎng)絡(luò )防火墻設備保持對其大多數用戶(hù)的服務(wù)質(zhì)量,同時(shí)對犯規用戶(hù)的服務(wù)只造成片刻的影響。對于違反網(wǎng)絡(luò )政策的不合理請求,其過(guò)量的級別或持續的水平,能夠被提升為一種警告,且服務(wù)請求被暫時(shí)地拒絕。這一方法自動(dòng)地阻止了DoS攻擊,并使網(wǎng)絡(luò )運營(yíng)商能夠留意到一個(gè)攻擊實(shí)際發(fā)生的條件和源頭。
設備供應商已經(jīng)建立起了可接受的交通模式簽名以及惡意攻擊簽名。這樣視頻服務(wù)基礎架構通過(guò)尋找已知攻擊的簽名匹配就能夠避免受到正面的應用攻擊。當然,這種方法只是眾多方法中的一種,因為它只有在簽名文件得到頻繁更新的情況下,才能發(fā)揮有強大的作用。
家庭網(wǎng)絡(luò )的漏洞
隨著(zhù)家庭網(wǎng)絡(luò )的使用和普及,像英特網(wǎng)服務(wù),文件傳輸,線(xiàn)上游戲和VoIP呼叫一樣,IPTV服務(wù)將會(huì )由同樣的家庭網(wǎng)絡(luò )來(lái)傳輸。對服務(wù)供應商不利的一面是,家庭網(wǎng)絡(luò )中有了額外的用戶(hù)活動(dòng),終端用戶(hù)將對其服務(wù)傳輸質(zhì)量有自己的看法,而服務(wù)供應商很難管理這些主觀(guān)價(jià)值的判斷。更糟糕的是,DIY家庭網(wǎng)絡(luò )設計不僅可能帶來(lái)有問(wèn)題的連接,而且可能出現安全漏洞。在PC上的一個(gè)安全漏洞為對網(wǎng)絡(luò )帶寬進(jìn)行的消耗性攻擊打開(kāi)了一個(gè)缺口,它可能降低供應商的服務(wù)質(zhì)量并導致用戶(hù)的不滿(mǎn),增加支持成本以及有可能的注銷(xiāo)服務(wù)。
因為服務(wù)供應商為終端用戶(hù)提供了更多的先進(jìn)服務(wù),因而考慮“最后一碼”的接入安全需求是很重要的。必須要隔離對一種服務(wù)的攻擊且不影響到家庭網(wǎng)絡(luò )上的其它服務(wù)。因為要在家中運行,IPTV有最高的服務(wù)性能要求,所以它對由于安全攻擊而造成的網(wǎng)絡(luò )性能降級非常敏感。供應商很少能控制到纜線(xiàn)機頂盒和家庭網(wǎng)關(guān)以外的家庭網(wǎng)絡(luò ),這對于IPTV服務(wù)供應商來(lái)說(shuō)是一個(gè)挑戰。一些技術(shù),如網(wǎng)絡(luò )節點(diǎn)認證技術(shù),802.1x及其它技術(shù),由于能夠在一個(gè)設備連接到網(wǎng)絡(luò )之前就執行一個(gè)特定的安全政策,這樣他們在IPTV服務(wù)領(lǐng)域可能是非常有用的。
作為一種新的服務(wù),從安全角度和一個(gè)綜合的角度來(lái)看,IPTV是非常容易受到攻擊的。為保證他們新的IPTV服務(wù)的成功,供應商們在一開(kāi)始就需要在他們的網(wǎng)絡(luò )中建立一個(gè)全面的,以網(wǎng)絡(luò )為中心的安全策略。這一安全策略需要既全面,又高效可靠,并且應該考慮到在服務(wù)供應商和家庭網(wǎng)絡(luò )中所有可能出現的安全破綻。
eNet硅谷動(dòng)力(cio.enet.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
泸西县|
金坛市|
金华市|
磐安县|
泽普县|
双牌县|
凌源市|
江山市|
方山县|
阿鲁科尔沁旗|
丰原市|
临西县|
仁化县|
色达县|
衡阳市|
邹城市|
连江县|
洪泽县|
托克逊县|
搜索|
加查县|
蓬莱市|
绵阳市|
阳泉市|
盐城市|
苍山县|
双辽市|
江川县|
仁怀市|
射洪县|
樟树市|
同江市|
安吉县|
柳林县|
大邑县|
茌平县|
朝阳市|
腾冲县|
龙胜|
岐山县|
河北区|
http://444
http://444
http://444
http://444
http://444
http://444