首頁(yè)>>>技術(shù)>>>融合通信

IPTV安全研究

2008/02/14

  在IPTV業(yè)務(wù)推廣以前上述諸多問(wèn)題都需要一一解決,其中安全保障問(wèn)題是最關(guān)鍵問(wèn)題之一,本文主要討論了IPTV安全的相關(guān)問(wèn)題。

1、引言

  IPTV(網(wǎng)絡(luò )電視)是最近一年來(lái)除3G以外比較熱的一個(gè)話(huà)題。除了媒體一直在炒作以外,政府、運營(yíng)商、標準化組織以及設備生產(chǎn)廠(chǎng)家都很關(guān)注。設備生產(chǎn)廠(chǎng)商關(guān)注標準制訂以及機頂盒、組播設備等研發(fā);標準化組織正在制訂框架、編碼等標準;運營(yíng)商在城域網(wǎng)開(kāi)展運營(yíng)試驗;政府關(guān)注IPTV的安全以及管制等內容。

  當前IPTV很多研究和試驗工作在緊鑼密鼓地展開(kāi),但是IPTV業(yè)務(wù)大規模開(kāi)展還或多或少存在問(wèn)題,甚至有人聲稱(chēng)IPTV將在2010年后才完全成熟。目前IPTV存在的問(wèn)題主要包括產(chǎn)業(yè)政策不明朗、編碼方案尚未選定、標準沒(méi)有完全制訂、設備商在研發(fā)階段、網(wǎng)絡(luò )服務(wù)質(zhì)量保障、網(wǎng)絡(luò )安全保障等。在IPTV業(yè)務(wù)推廣以前上述諸多問(wèn)題都需要一一解決,其中安全保障問(wèn)題是最關(guān)鍵問(wèn)題之一,本文主要討論IPTV安全相關(guān)問(wèn)題。

2、IPTV概念及發(fā)展現狀

  2.1 IPTV概念

  IPTV即交互式網(wǎng)絡(luò )電視,是一種利用寬帶有線(xiàn)電視網(wǎng),集互聯(lián)網(wǎng)、多媒體、通訊等多種技術(shù)于一體,向家庭用戶(hù)提供包括數字電視在內的多種交互式服務(wù)的嶄新技術(shù)。IPTV(網(wǎng)絡(luò )電視)與廣電行業(yè)的TriplePlay(三重業(yè)務(wù)捆綁)的概念比較類(lèi)似。

  TriplePlay最初是廣電業(yè)關(guān)于三網(wǎng)融合業(yè)務(wù)的術(shù)語(yǔ),著(zhù)重于業(yè)務(wù)層面。最早指利用現有有線(xiàn)電視網(wǎng)同時(shí)提供語(yǔ)音、數據和視頻三重業(yè)務(wù)捆綁的業(yè)務(wù),并不特指具體實(shí)現技術(shù),既可以基于IP技術(shù),也可以基于射頻傳輸,其中視頻傳輸既可以是數字方式,又可以是模擬方式。目前我國廣電在數字電視(DTV)業(yè)務(wù)名義下,結合了電纜調制解調器和機頂盒功能后已經(jīng)開(kāi)始提供TriplePlay業(yè)務(wù),其中低價(jià)的寬帶接入和VoIP業(yè)務(wù)將從根本上威脅電信公司的基本電話(huà)和寬帶接入業(yè)務(wù)的收入。

  IPTV最早是電信界提出來(lái)的基于電信網(wǎng)和IP提供三重業(yè)務(wù)的技術(shù)術(shù)語(yǔ)。純技術(shù)而言,有線(xiàn)電視公司也可以采用。因此IPTV是一種基于寬帶互聯(lián)網(wǎng)與寬帶接入,以機頂盒或其它具有視頻編解碼能力的數字化設備作為終端,通過(guò)聚合SP的各種流媒體服務(wù)內容和增值應用,為用戶(hù)提供多種交互式多媒體服務(wù)的寬帶增值業(yè)務(wù)。從業(yè)務(wù)表現形式看,也是TriplePlay。因而從某種意義上說(shuō),IPTV可以看作是TriplePlay業(yè)務(wù)的一種技術(shù)實(shí)現形式。總的來(lái)看,IPTV不僅可以是電信公司應對有線(xiàn)電視公司競爭的有效手段,也可能是維系電信公司自身業(yè)務(wù)可持續發(fā)展的需要。

  2.2 IPTV國際現狀

  早在1999年,英國VideoNetworks公司率先在全球推出了IPTV業(yè)務(wù),此后,國外許多電信運營(yíng)商先后進(jìn)入IPTV市場(chǎng)。2003年上半年,全球推出IPTV業(yè)務(wù)的運營(yíng)商有30多家,而到了2004年9月,增加到了50多家。

  IPTV的用戶(hù)也在慢慢增長(cháng),根據MRG公司的研究,2004年,歐洲、亞洲及北美部分國家在IPTV市場(chǎng)上的競爭、試驗及部署,推動(dòng)了IPTV用戶(hù)數的增長(cháng)。2004年,全球IPTV用戶(hù)為200萬(wàn),IPTV用戶(hù)數最多的兩大運營(yíng)商分別是意大利的FastWeb和香港的電訊盈科,他們的用戶(hù)數占全球用戶(hù)總數的近70%。

  2.3 IPTV國內試驗現狀

  目前,我國IPTV的發(fā)展處于初級階段。1999年微軟力推“維納斯計劃”,試圖將中國龐大的電視機資源(3.2億臺)與互聯(lián)網(wǎng)接軌,最后以失敗告終。2001年中國電信就與新華社聯(lián)手,成立了“上海新華電信網(wǎng)絡(luò )電視公司”,但由于政策技術(shù)等多種原因并未有很大影響力。IPTV真正起步始于2004年。 3、IPTV面臨安全挑戰

  在寬帶多業(yè)務(wù)IP網(wǎng)絡(luò )上提供TV業(yè)務(wù)除了面臨傳統IP網(wǎng)絡(luò )面臨的安全挑戰以外還面臨提供電視業(yè)務(wù)所帶來(lái)新的安全挑戰。

  (1)IPTV所面臨傳統IP網(wǎng)絡(luò )的安全挑戰主要包括業(yè)務(wù)網(wǎng)絡(luò )自身的安全以及智能終端安全方面的內容:

  網(wǎng)絡(luò )設備管理層面受攻擊:IP網(wǎng)絡(luò )的業(yè)務(wù)網(wǎng)大多沒(méi)有分離的網(wǎng)管網(wǎng)。在用戶(hù)與網(wǎng)絡(luò )沒(méi)有隔離的情況下,網(wǎng)絡(luò )設備可能遭到大量攻擊。雖然目前存在一些技術(shù)手段來(lái)解決因管理和業(yè)務(wù)無(wú)法分離帶來(lái)的問(wèn)題,但是由于IP網(wǎng)運維管理較弱的原因,IPTV網(wǎng)上網(wǎng)絡(luò )設備遭受攻擊仍然是較大的安全威脅之一。

  網(wǎng)絡(luò )設備業(yè)務(wù)層面受流量沖擊:由于IP網(wǎng)絡(luò )是一個(gè)三層互通的通信平臺,任何通信都無(wú)需要求網(wǎng)絡(luò )特別建立通道。當前IP網(wǎng)絡(luò )很少作源地址過(guò)濾,網(wǎng)絡(luò )上流量流向隨意性和突發(fā)性非常大。IPTV所在網(wǎng)絡(luò )很容易受到突如其來(lái)的惡意攻擊或者突發(fā)事件帶來(lái)的流量沖擊而導致?lián)砣踔涟c瘓。

  網(wǎng)絡(luò )控制層面受攻擊:IP網(wǎng)絡(luò )的信令-路由協(xié)議的信息與用戶(hù)數據在相同數據通道中傳輸。在早期路由協(xié)議缺少認證時(shí)IP網(wǎng)絡(luò )的安全性較低。隨著(zhù)技術(shù)的發(fā)展,主要路由協(xié)議都設置了認證,運營(yíng)商網(wǎng)絡(luò )也逐漸關(guān)注協(xié)議認證,互聯(lián)網(wǎng)絡(luò )控制層面安全威脅逐漸降低。但是無(wú)論如何,在UNI與NNI不分離的網(wǎng)絡(luò )中,控制層面至少暴露在用戶(hù)DDOS攻擊的威脅中。

  網(wǎng)絡(luò )終端面臨安全威脅:典型的IPTV網(wǎng)終端是多業(yè)務(wù)智能終端,通常是一個(gè)LANkclass=qqx_gjz>計算機或者機頂盒。與傳統的專(zhuān)用傻終端例如電話(huà)相比,智能終端故障率以及配置難度都大大提高。此外多業(yè)務(wù)智能終端一般運行Windows以及Unix等操作系統,很容易被網(wǎng)絡(luò )上的不法分子接管或者感染病毒,成為不良行為的工具。在三層互通的互聯(lián)網(wǎng)上,大量未經(jīng)請求的垃圾信息同樣也會(huì )使終端面臨癱瘓威脅。

  (2)IPTV所面臨新的安全挑戰主要包括節目源管理、運營(yíng)安全以及播控安全方面內容:

  節目源管理方面:在傳統廣電,節目上載前需要多次審查,網(wǎng)絡(luò )單向輸出,演播室有嚴格的物理安全。在IPTV中傳統電視直播安全除了播控以外不需過(guò)多考慮。點(diǎn)播內容部分熱播的內容需要盡可能分布到靠近用戶(hù)的媒體服務(wù)器,這些媒體服務(wù)器的安全管理是IPTV部署中的新挑戰。

  節目播控相關(guān)安全:電視是面對大量用戶(hù)長(cháng)時(shí)間提供服務(wù)的業(yè)務(wù),除了在技術(shù)上保證播出服務(wù)質(zhì)量外,還應當在靠近用戶(hù)的位置部署測量系統,在出現問(wèn)題時(shí)及時(shí)告警。在播出時(shí)應當提供播出內容的主觀(guān)審查系統,除了直播節目在播出時(shí)應當有延時(shí)功能外,應將播出的內容回傳審查,必要時(shí)中斷節目播出。應當設計應急系統,在節目源故障,傳輸故障或者其他問(wèn)題時(shí)調度資源一定程度保障節目播出。

  運營(yíng)安全—有條件接收:傳統廣電網(wǎng)絡(luò )上條件接收有擾頻和非擾頻方式,一般都限制信號接收到以后的解碼和觀(guān)看。IPTV運營(yíng)安全中條件接收可以有兩種方式實(shí)現:一種方式是非授權用戶(hù)無(wú)法收到特定的節目,另一種是非授權用戶(hù)可以收

4、IPTV安全保障分析

  為應對上文中的安全威脅,采用恰當的技術(shù)保障IPTV業(yè)務(wù)網(wǎng)絡(luò )安全,我們將IPTV安全實(shí)施分層討論。可以將IPTV安全分成如圖1所示的幾個(gè)層面。

  4.1 IPTV業(yè)務(wù)網(wǎng)安全

  IPTV業(yè)務(wù)網(wǎng)自身安全包括IP承載網(wǎng)的可靠性與生存性、IPTV業(yè)務(wù)設備的可靠性以及用戶(hù)終端的可用性。上述可靠性可用性和生存型依靠環(huán)境安全、物理安全、節點(diǎn)安全、鏈路安全、拓撲安全、系統安全等方面來(lái)保障。IPTV業(yè)務(wù)網(wǎng)自身安全應在控制、管理和數據層面保障。在控制層面,應在控制信息訪(fǎng)問(wèn)控制、控制信息驗證、控制信息保密、控制信息通信安全和控制信息完整性方面保障安全。在管理層面,應在管理訪(fǎng)問(wèn)控制、管理信息驗證、管理信息不可抵賴(lài)、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。在數據平面,應在資源可用性方面保障安全。IPTV網(wǎng)絡(luò )設備業(yè)務(wù)層面、管理層面以及部分控制層面受攻擊的安全威脅、智能終端面臨的安全威脅以及新安全挑戰中的節目源管理包括在IPTV業(yè)務(wù)網(wǎng)安全層面。

  4.2 業(yè)務(wù)提供安全

  IPTV業(yè)務(wù)網(wǎng)運營(yíng)安全包括IPTV業(yè)務(wù)可用性與IPTV業(yè)務(wù)可控性。業(yè)務(wù)可控性依靠服務(wù)接入安全,業(yè)務(wù)防否認、業(yè)務(wù)防攻擊等方面來(lái)保障。業(yè)務(wù)可用性與承載與業(yè)務(wù)網(wǎng)絡(luò )可靠性以及維護能力等相關(guān)。業(yè)務(wù)提供安全應在控制層面和管理層面保障。在控制層面,應在控制信息訪(fǎng)問(wèn)控制、控制信息驗證、控制信息不可抵賴(lài)、控制信息保密、控制信息通信安全、控制信息完整性和控制信息隱私性方面保障安全。在管理層面應在管理訪(fǎng)問(wèn)控制、管理信息驗證、管理信息不可抵賴(lài)、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。IPTV面臨的新安全挑戰中條件接收包括在業(yè)務(wù)提供安全中。

  4.3 信息傳遞安全

  信息傳遞安全包括信息完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制例如哈希算法等來(lái)保障;信息機密性可以依靠加密機制以及密鑰分發(fā)等來(lái)保障;信息不可否認性可以依靠數字簽名等技術(shù)保障。IPTV節目信息完整性由業(yè)務(wù)網(wǎng)安全中IP承載網(wǎng)服務(wù)質(zhì)量保障,機密性提供與否由業(yè)務(wù)提供安全中條件接收決定。IPTV業(yè)務(wù)網(wǎng)不提供信息內容不可否認。

  4.4 基于節目?jì)热莸牟タ?/b>

  基于節目?jì)热莸牟タ刂饕脕?lái)保障終端上看到的節目確實(shí)是希望播出的內容。非授權節目不能在網(wǎng)絡(luò )上傳播。基于節目?jì)热莸牟タ刂饕前ㄖ辈ス澞吭诓コ鰰r(shí)的延時(shí)功能、播出內容的回傳監控功能,必要時(shí)中斷節目播出的功能以及在節目源故障,傳輸故障或者其他問(wèn)題時(shí)調度資源一定程度保障節目播出的應急系統。

  4.5 普遍采用的安全模型

  安全模式是一種思路,核心是集成一些安全技術(shù)和管理手段來(lái)解決部分安全問(wèn)題。安全模式有別于安全技術(shù):安全技術(shù)一般比較單純。通常技術(shù)手段是提供一種安全機制,對通信中的某個(gè)安全漏洞作保護。當前IPTV業(yè)務(wù)網(wǎng)中普遍采用的安全模型時(shí)基于WalledGarden的安全模型。

  WalledGarden這個(gè)詞最初出自JohnMalone,他是收購Malone公司的電信公司AT&T的前任業(yè)主。WalledGarden在我國一般譯作帶圍墻的花園,簡(jiǎn)稱(chēng)圍墻花園。“圍墻花園”指的是一個(gè)控制用戶(hù)對網(wǎng)頁(yè)內容和服務(wù)進(jìn)行訪(fǎng)問(wèn)的環(huán)境。一般圍墻花園把用戶(hù)限制在一個(gè)特定的范圍內,允許用戶(hù)訪(fǎng)問(wèn)指定的內容,同時(shí)防止用戶(hù)訪(fǎng)問(wèn)其他未被允許的內容。

  建立圍墻花園的一個(gè)普遍原因是利益:運營(yíng)商希望將用戶(hù)資源掌握在自己手中,引導用戶(hù)訪(fǎng)問(wèn)自己或者合作伙伴的資源,減少或防止訪(fǎng)問(wèn)競爭對手及不能帶來(lái)利益的資源。中國移動(dòng)手機WAP業(yè)務(wù)就是基于圍墻花園開(kāi)設的典型范例。建立圍墻花園還有一個(gè)原因就是安全上的好處:早在1999年,美國在線(xiàn)少兒頻道就建立了一個(gè)圍墻花園,防止兒童訪(fǎng)問(wèn)不適宜的網(wǎng)站。常見(jiàn)的WalledGarden有下面幾種:

  (1)限制終端的圍墻花園:通過(guò)限制終端功能實(shí)現的圍墻花園是指在終端上限定訪(fǎng)問(wèn)的范圍,超過(guò)范圍的內容不能訪(fǎng)問(wèn)。該方式一般用作防止兒童訪(fǎng)問(wèn)不適宜的網(wǎng)站。

  (2)基于VPN/專(zhuān)網(wǎng)的圍墻花園:基于VPN的圍墻花園實(shí)際上是提供業(yè)務(wù)的設備放到一個(gè)VPN中,訪(fǎng)問(wèn)者通過(guò)接入VPN來(lái)接入圍墻。接入VPN(接入圍墻)后就可以自由訪(fǎng)問(wèn)VPN內所有的資源。這種方式不但能限制訪(fǎng)問(wèn)范圍,而且能防范來(lái)自外部的攻擊。

  (3)基于防火墻/網(wǎng)關(guān)的圍墻花園:基于防火墻/網(wǎng)關(guān)的圍墻花園類(lèi)似于基于VPN的圍墻花園,區別在于基于防火墻/網(wǎng)關(guān)的圍墻花園中只有業(yè)務(wù)提供設備真正全在圍墻中(VPN或者專(zhuān)網(wǎng))。用戶(hù)通過(guò)防火墻/網(wǎng)關(guān)使用業(yè)務(wù)網(wǎng)提供的業(yè)務(wù)。

  (4)基于門(mén)戶(hù)網(wǎng)站的圍墻花園:基于門(mén)戶(hù)網(wǎng)站的圍墻花園實(shí)際上沒(méi)有真正的圍墻。用戶(hù)通過(guò)門(mén)戶(hù)網(wǎng)站可以很便捷地訪(fǎng)問(wèn)到門(mén)戶(hù)網(wǎng)站上一些現成的資源(運營(yíng)商或者運營(yíng)商合作者的資源)。用戶(hù)實(shí)際上也能訪(fǎng)問(wèn)所謂圍墻外的資源。

  (5)基于用戶(hù)注冊的圍墻花園:基于用戶(hù)注冊的圍墻花園一般基于一組或一類(lèi)業(yè)務(wù)應用,只有注冊的用戶(hù)才能使用所保護的業(yè)務(wù)應用,非注冊用戶(hù)不能使用。該類(lèi)圍墻花園旨在業(yè)務(wù)層保護,用戶(hù)以及業(yè)務(wù)設備操作系統層都暴露在外界網(wǎng)絡(luò )層攻擊可能下。

  在當前IPTV的開(kāi)展和試驗中,圍墻花園是保障安全的重要技術(shù)手段。IPTV業(yè)務(wù)網(wǎng)通常采用基于VPN/專(zhuān)網(wǎng)的圍墻花園。通常IPTV業(yè)務(wù)設備放置在一個(gè)VPN/專(zhuān)網(wǎng)中,終端通過(guò)VLAN等方式接入特定的VPN/專(zhuān)網(wǎng)訪(fǎng)問(wèn)IPTV業(yè)務(wù)設備。IPTV中的直播和點(diǎn)播業(yè)務(wù)與上網(wǎng)業(yè)務(wù)在接入端就實(shí)現隔離。此外由于IPTV采用專(zhuān)用終端(機頂盒)或者PC上的專(zhuān)用軟件接入,網(wǎng)絡(luò )通常還提供電子節目單,因此限制終端的圍墻花園以及基于門(mén)戶(hù)網(wǎng)站的圍墻花園的方式也有所應用。

  4.6 當前IPTV試驗中的安全隱患

  基于圍墻花園的安全模式能夠減少絕大部分網(wǎng)絡(luò )設備受到的來(lái)自互聯(lián)網(wǎng)的攻擊,很大程度保障IPTV業(yè)務(wù)網(wǎng)自身安全;IPTV系統中的專(zhuān)用協(xié)議、專(zhuān)用軟件、限制終端能一定程度提供IP業(yè)務(wù)網(wǎng)運營(yíng)安全;IP中成熟的加密和密鑰分發(fā)技術(shù)能保障業(yè)務(wù)內容傳遞安全;但是當前IPTV試驗系統通常不能提供播控系統所要求的全部功能。當前IPTV系統能夠提供下列與播控相關(guān)的安全能力:用戶(hù)使用專(zhuān)用的終端(機頂盒)或者專(zhuān)用的軟件,通常包括認證流程,因此非注冊用戶(hù)無(wú)法收到視頻數據流;即使非授權用戶(hù)可以收到視頻數據流,IP網(wǎng)絡(luò )有成熟的密鑰分發(fā)機制來(lái)支持加密。

  由于缺乏專(zhuān)門(mén)的播控考慮,當前大多基于組播開(kāi)展的IPTV系統有下列安全方面的隱患:
  1. 動(dòng)態(tài)組播協(xié)議難以防范網(wǎng)絡(luò )上傳送非授權的節目;

  2. 節目可能受到非法組播數據的干擾;

  3. 部署中缺少將用戶(hù)端收到的節目回傳到監控中心的系統;

  4. 部署中沒(méi)有考慮未來(lái)網(wǎng)絡(luò )直播室延時(shí)系統;

  5. 部署中缺乏當節目源故障,傳輸故障或其他問(wèn)題時(shí)保障節目播出的應急系統。
5、結束語(yǔ)

  IPTV是一塊看得見(jiàn)的蛋糕,當前各個(gè)利益團體正在博弈中。但是無(wú)論誰(shuí)來(lái)主導,IPTV的安全問(wèn)題是必須解決的問(wèn)題。關(guān)于網(wǎng)絡(luò )與信息安全問(wèn)題,電信部門(mén)在IP網(wǎng)絡(luò )安全有較多的經(jīng)驗,廣電部門(mén)在涉及媒體的播控和節目源管理方面有較多的經(jīng)驗。就當前IPTV試驗網(wǎng)建設而言,合作的模式基本上是廣電提供內容,電信運營(yíng)商提供網(wǎng)絡(luò )或者新建專(zhuān)網(wǎng)。這種合作模式下IPTV業(yè)務(wù)網(wǎng)自身安全通常由網(wǎng)絡(luò )建設方負責,通常通過(guò)基于專(zhuān)網(wǎng)/VPN圍墻花園提供安全。雖然基于專(zhuān)網(wǎng)/VPN圍墻花園在普通IP網(wǎng)業(yè)務(wù)開(kāi)展中表現得很好,例如移動(dòng)的WAP業(yè)務(wù)、中國電信CN2上的VPN業(yè)務(wù)等,但是對于IPTV中的播控功能而言并非盡善盡美。隨著(zhù)IPTV的進(jìn)一步發(fā)展以及商用化的進(jìn)一步推進(jìn),播控系統將成為IPTV體系架構中必不可少的一部分。IPTV中播控系統的技術(shù)、實(shí)現和部署還有待進(jìn)一步研究。

中國電信網(wǎng)


相關(guān)鏈接:
IPTV業(yè)務(wù)的下一代網(wǎng)絡(luò )體系構架研究 2008-02-14
西歐各國IPTV的管制和商用 2008-02-14
AVS商用在即 2008-02-13
IPTV業(yè)務(wù)在NGN體系架構中的定位分析 2008-02-01
從IPTV的業(yè)務(wù)發(fā)展模式看對網(wǎng)絡(luò )電視設備的要求 2008-02-01

分類(lèi)信息:  增值電信_與_IPTV  IPTV_與_電信     熱點(diǎn)專(zhuān)題_增值電信_文摘   熱點(diǎn)專(zhuān)題_IPTV_文摘   行業(yè)_電信_文摘   
           
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 东乌| 和龙市| 青龙| 梁山县| 长宁县| 凤庆县| 福贡县| 西畴县| 泰安市| 伊吾县| 宁乡县| 珲春市| 西丰县| 凤阳县| 淮滨县| 昭苏县| 谷城县| 化德县| 诸城市| 曲周县| 浦城县| 叙永县| 枣强县| 平邑县| 灵宝市| 沙雅县| 资中县| 贡山| 广平县| 云龙县| 仁化县| 大埔县| 井冈山市| 泗阳县| 潞城市| 高淳县| 威宁| 黄龙县| 咸丰县| 泾阳县| 固始县| http://444 http://444 http://444 http://444 http://444 http://444