IPTV安全研究_增值电信_IPTV_融合通信

IPTV安全研究

2008/02/14

　　在IPTV业务推广以前上述诸多问题都需要一一解决，其中安全保障问题是最关键问题之一，本文主要讨论了IPTV安全的相关问题。

1、引言

　　IPTV（网络电视）是最近一年来除3G以外比较热的一个话题。除了媒体一直在炒作以外，政府、运营商、标准化组织以及设备生产厂家都很关注。设备生产厂商关注标准制订以及机顶盒、组播设备等研发；标准化组织正在制订框架、编码等标准；运营商在城域网开展运营试验；政府关注IPTV的安全以及管制等内容。

　　当前IPTV很多研究和试验工作在紧锣密鼓地展开，但是IPTV业务大规模开展还或多或少存在问题，甚至有人声称IPTV将在2010年后才完全成熟。目前IPTV存在的问题主要包括产业政策不明朗、编码方案尚未选定、标准没有完全制订、设备商在研发阶段、网络服务质量保障、网络安全保障等。在IPTV业务推广以前上述诸多问题都需要一一解决，其中安全保障问题是最关键问题之一，本文主要讨论IPTV安全相关问题。

2、IPTV概念及发展现状

　　2.1 IPTV概念

　　IPTV即交互式网络电视，是一种利用宽带有线电视网，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务的崭新技术。IPTV（网络电视）与广电行业的TriplePlay（三重业务捆绑）的概念比较类似。

　　TriplePlay最初是广电业关于三网融合业务的术语，着重于业务层面。最早指利用现有有线电视网同时提供语音、数据和视频三重业务捆绑的业务,并不特指具体实现技术，既可以基于IP技术，也可以基于射频传输，其中视频传输既可以是数字方式，又可以是模拟方式。目前我国广电在数字电视(DTV)业务名义下，结合了电缆调制解调器和机顶盒功能后已经开始提供TriplePlay业务，其中低价的宽带接入和VoIP业务将从根本上威胁电信公司的基本电话和宽带接入业务的收入。

　　IPTV最早是电信界提出来的基于电信网和IP提供三重业务的技术术语。纯技术而言，有线电视公司也可以采用。因此IPTV是一种基于宽带互联网与宽带接入，以机顶盒或其它具有视频编解码能力的数字化设备作为终端，通过聚合SP的各种流媒体服务内容和增值应用，为用户提供多种交互式多媒体服务的宽带增值业务。从业务表现形式看，也是TriplePlay。因而从某种意义上说，IPTV可以看作是TriplePlay业务的一种技术实现形式。总的来看，IPTV不仅可以是电信公司应对有线电视公司竞争的有效手段，也可能是维系电信公司自身业务可持续发展的需要。

　　2.2 IPTV国际现状

　　早在1999年，英国VideoNetworks公司率先在全球推出了IPTV业务，此后，国外许多电信运营商先后进入IPTV市场。2003年上半年，全球推出IPTV业务的运营商有30多家，而到了2004年9月，增加到了50多家。

　　IPTV的用户也在慢慢增长，根据MRG公司的研究，2004年，欧洲、亚洲及北美部分国家在IPTV市场上的竞争、试验及部署，推动了IPTV用户数的增长。2004年，全球IPTV用户为200万，IPTV用户数最多的两大运营商分别是意大利的FastWeb和香港的电讯盈科，他们的用户数占全球用户总数的近70%。

　　2.3 IPTV国内试验现状

　　目前，我国IPTV的发展处于初级阶段。1999年微软力推“维纳斯计划”，试图将中国庞大的电视机资源（3.2亿台）与互联网接轨，最后以失败告终。2001年中国电信就与新华社联手，成立了“上海新华电信网络电视公司”，但由于政策技术等多种原因并未有很大影响力。IPTV真正起步始于2004年。

2004年5月，中国网通与IDG等合资组建的天天在线获准成为国内首家播放视频节目的宽带门户网站。

2004年6月，中央电视台开播了“央视网络电视”。

2004年8月，继北京之后，央视网络电视又在上海落地。110多万上海电信宽带用户能在试验阶段免费上网收看中央电视台的网络电视节目。

2004年10月，中国电信集团互联网事业部号召组建了“IPTV联盟”，在广东、江苏、上海3地正在准备IPTV的试商用。

2004年下半年，中国网通在黑龙江、辽宁开通IPTV的商用测试系统，并且在北京等地升级一部分DSL带宽2M。

2005年4月，IPTV中国峰会召开。中国网通宣称将在全国大规模开通IPTV业务。中视网络公司则宣布2005年将发展60万IPTV用户。

2005年4月，上海文广新闻传媒集团获国内首张信息网络视听内容集成运营牌照。

2005年8月8日，央视正式开播以互动视听为特色的CCTV网络电视（tv.cctv.com）新闻频道和娱乐频道。

至2006年春节为止，国内以及有43个城市开展了IPTV业务。在上海有三个模式的IPTV在PK。

3、IPTV面临安全挑战

　　在宽带多业务IP网络上提供TV业务除了面临传统IP网络面临的安全挑战以外还面临提供电视业务所带来新的安全挑战。

　　（1）IPTV所面临传统IP网络的安全挑战主要包括业务网络自身的安全以及智能终端安全方面的内容：

　　网络设备管理层面受攻击：IP网络的业务网大多没有分离的网管网。在用户与网络没有隔离的情况下，网络设备可能遭到大量攻击。虽然目前存在一些技术手段来解决因管理和业务无法分离带来的问题，但是由于IP网运维管理较弱的原因，IPTV网上网络设备遭受攻击仍然是较大的安全威胁之一。

　　网络设备业务层面受流量冲击：由于IP网络是一个三层互通的通信平台，任何通信都无需要求网络特别建立通道。当前IP网络很少作源地址过滤，网络上流量流向随意性和突发性非常大。IPTV所在网络很容易受到突如其来的恶意攻击或者突发事件带来的流量冲击而导致拥塞甚至瘫痪。

　　网络控制层面受攻击：IP网络的信令－路由协议的信息与用户数据在相同数据通道中传输。在早期路由协议缺少认证时IP网络的安全性较低。随着技术的发展，主要路由协议都设置了认证，运营商网络也逐渐关注协议认证，互联网络控制层面安全威胁逐渐降低。但是无论如何，在UNI与NNI不分离的网络中，控制层面至少暴露在用户DDOS攻击的威胁中。

　　网络终端面临安全威胁：典型的IPTV网终端是多业务智能终端，通常是一个LANkclass=qqx_gjz>计算机或者机顶盒。与传统的专用傻终端例如电话相比，智能终端故障率以及配置难度都大大提高。此外多业务智能终端一般运行Windows以及Unix等操作系统，很容易被网络上的不法分子接管或者感染病毒，成为不良行为的工具。在三层互通的互联网上，大量未经请求的垃圾信息同样也会使终端面临瘫痪威胁。

　　（2）IPTV所面临新的安全挑战主要包括节目源管理、运营安全以及播控安全方面内容：

　　节目源管理方面：在传统广电，节目上载前需要多次审查，网络单向输出，演播室有严格的物理安全。在IPTV中传统电视直播安全除了播控以外不需过多考虑。点播内容部分热播的内容需要尽可能分布到靠近用户的媒体服务器，这些媒体服务器的安全管理是IPTV部署中的新挑战。

　　节目播控相关安全：电视是面对大量用户长时间提供服务的业务，除了在技术上保证播出服务质量外，还应当在靠近用户的位置部署测量系统，在出现问题时及时告警。在播出时应当提供播出内容的主观审查系统，除了直播节目在播出时应当有延时功能外，应将播出的内容回传审查，必要时中断节目播出。应当设计应急系统，在节目源故障，传输故障或者其他问题时调度资源一定程度保障节目播出。

　　运营安全—有条件接收：传统广电网络上条件接收有扰频和非扰频方式，一般都限制信号接收到以后的解码和观看。IPTV运营安全中条件接收可以有两种方式实现：一种方式是非授权用户无法收到特定的节目，另一种是非授权用户可以收

4、IPTV安全保障分析

　　为应对上文中的安全威胁，采用恰当的技术保障IPTV业务网络安全，我们将IPTV安全实施分层讨论。可以将IPTV安全分成如图1所示的几个层面。

　　4.1 IPTV业务网安全

　　IPTV业务网自身安全包括IP承载网的可靠性与生存性、IPTV业务设备的可靠性以及用户终端的可用性。上述可靠性可用性和生存型依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。IPTV业务网自身安全应在控制、管理和数据层面保障。在控制层面，应在控制信息访问控制、控制信息验证、控制信息保密、控制信息通信安全和控制信息完整性方面保障安全。在管理层面，应在管理访问控制、管理信息验证、管理信息不可抵赖、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。在数据平面，应在资源可用性方面保障安全。IPTV网络设备业务层面、管理层面以及部分控制层面受攻击的安全威胁、智能终端面临的安全威胁以及新安全挑战中的节目源管理包括在IPTV业务网安全层面。

　　4.2 业务提供安全

　　IPTV业务网运营安全包括IPTV业务可用性与IPTV业务可控性。业务可控性依靠服务接入安全，业务防否认、业务防攻击等方面来保障。业务可用性与承载与业务网络可靠性以及维护能力等相关。业务提供安全应在控制层面和管理层面保障。在控制层面，应在控制信息访问控制、控制信息验证、控制信息不可抵赖、控制信息保密、控制信息通信安全、控制信息完整性和控制信息隐私性方面保障安全。在管理层面应在管理访问控制、管理信息验证、管理信息不可抵赖、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。IPTV面临的新安全挑战中条件接收包括在业务提供安全中。

　　4.3 信息传递安全

　　信息传递安全包括信息完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制例如哈希算法等来保障；信息机密性可以依靠加密机制以及密钥分发等来保障；信息不可否认性可以依靠数字签名等技术保障。IPTV节目信息完整性由业务网安全中IP承载网服务质量保障，机密性提供与否由业务提供安全中条件接收决定。IPTV业务网不提供信息内容不可否认。

　　4.4 基于节目内容的播控

　　基于节目内容的播控主要用来保障终端上看到的节目确实是希望播出的内容。非授权节目不能在网络上传播。基于节目内容的播控主要是包括直播节目在播出时的延时功能、播出内容的回传监控功能，必要时中断节目播出的功能以及在节目源故障，传输故障或者其他问题时调度资源一定程度保障节目播出的应急系统。

　　4.5 普遍采用的安全模型

　　安全模式是一种思路，核心是集成一些安全技术和管理手段来解决部分安全问题。安全模式有别于安全技术：安全技术一般比较单纯。通常技术手段是提供一种安全机制，对通信中的某个安全漏洞作保护。当前IPTV业务网中普遍采用的安全模型时基于WalledGarden的安全模型。

　　WalledGarden这个词最初出自JohnMalone，他是收购Malone公司的电信公司AT&T的前任业主。WalledGarden在我国一般译作带围墙的花园，简称围墙花园。“围墙花园”指的是一个控制用户对网页内容和服务进行访问的环境。一般围墙花园把用户限制在一个特定的范围内，允许用户访问指定的内容，同时防止用户访问其他未被允许的内容。

　　建立围墙花园的一个普遍原因是利益：运营商希望将用户资源掌握在自己手中，引导用户访问自己或者合作伙伴的资源，减少或防止访问竞争对手及不能带来利益的资源。中国移动手机WAP业务就是基于围墙花园开设的典型范例。建立围墙花园还有一个原因就是安全上的好处：早在1999年，美国在线少儿频道就建立了一个围墙花园，防止儿童访问不适宜的网站。常见的WalledGarden有下面几种：

　　（1）限制终端的围墙花园：通过限制终端功能实现的围墙花园是指在终端上限定访问的范围，超过范围的内容不能访问。该方式一般用作防止儿童访问不适宜的网站。

　　（2）基于VPN/专网的围墙花园：基于VPN的围墙花园实际上是提供业务的设备放到一个VPN中，访问者通过接入VPN来接入围墙。接入VPN（接入围墙）后就可以自由访问VPN内所有的资源。这种方式不但能限制访问范围，而且能防范来自外部的攻击。

　　（3）基于防火墙/网关的围墙花园：基于防火墙/网关的围墙花园类似于基于VPN的围墙花园，区别在于基于防火墙/网关的围墙花园中只有业务提供设备真正全在围墙中（VPN或者专网）。用户通过防火墙/网关使用业务网提供的业务。

　　（4）基于门户网站的围墙花园：基于门户网站的围墙花园实际上没有真正的围墙。用户通过门户网站可以很便捷地访问到门户网站上一些现成的资源（运营商或者运营商合作者的资源）。用户实际上也能访问所谓围墙外的资源。

　　（5）基于用户注册的围墙花园：基于用户注册的围墙花园一般基于一组或一类业务应用，只有注册的用户才能使用所保护的业务应用，非注册用户不能使用。该类围墙花园旨在业务层保护，用户以及业务设备操作系统层都暴露在外界网络层攻击可能下。

　　在当前IPTV的开展和试验中，围墙花园是保障安全的重要技术手段。IPTV业务网通常采用基于VPN/专网的围墙花园。通常IPTV业务设备放置在一个VPN/专网中，终端通过VLAN等方式接入特定的VPN/专网访问IPTV业务设备。IPTV中的直播和点播业务与上网业务在接入端就实现隔离。此外由于IPTV采用专用终端（机顶盒）或者PC上的专用软件接入，网络通常还提供电子节目单，因此限制终端的围墙花园以及基于门户网站的围墙花园的方式也有所应用。

　　4.6 当前IPTV试验中的安全隐患

　　基于围墙花园的安全模式能够减少绝大部分网络设备受到的来自互联网的攻击，很大程度保障IPTV业务网自身安全；IPTV系统中的专用协议、专用软件、限制终端能一定程度提供IP业务网运营安全；IP中成熟的加密和密钥分发技术能保障业务内容传递安全；但是当前IPTV试验系统通常不能提供播控系统所要求的全部功能。当前IPTV系统能够提供下列与播控相关的安全能力：用户使用专用的终端（机顶盒）或者专用的软件，通常包括认证流程，因此非注册用户无法收到视频数据流；即使非授权用户可以收到视频数据流，IP网络有成熟的密钥分发机制来支持加密。

　　由于缺乏专门的播控考虑，当前大多基于组播开展的IPTV系统有下列安全方面的隐患：

动态组播协议难以防范网络上传送非授权的节目；

节目可能受到非法组播数据的干扰；

部署中缺少将用户端收到的节目回传到监控中心的系统；

部署中没有考虑未来网络直播室延时系统；

部署中缺乏当节目源故障，传输故障或其他问题时保障节目播出的应急系统。

5、结束语

　　IPTV是一块看得见的蛋糕，当前各个利益团体正在博弈中。但是无论谁来主导，IPTV的安全问题是必须解决的问题。关于网络与信息安全问题，电信部门在IP网络安全有较多的经验，广电部门在涉及媒体的播控和节目源管理方面有较多的经验。就当前IPTV试验网建设而言，合作的模式基本上是广电提供内容，电信运营商提供网络或者新建专网。这种合作模式下IPTV业务网自身安全通常由网络建设方负责，通常通过基于专网/VPN围墙花园提供安全。虽然基于专网/VPN围墙花园在普通IP网业务开展中表现得很好，例如移动的WAP业务、中国电信CN2上的VPN业务等，但是对于IPTV中的播控功能而言并非尽善尽美。随着IPTV的进一步发展以及商用化的进一步推进，播控系统将成为IPTV体系架构中必不可少的一部分。IPTV中播控系统的技术、实现和部署还有待进一步研究。

中国电信网