IPTV業(yè)務(wù)OTT CDN系統(tǒng)安全保障方案

耿 蕾

?

IPTV業(yè)務(wù)OTT CDN系統(tǒng)安全保障方案

耿 蕾

中國聯(lián)通通信網(wǎng)絡(luò)有限公司陜西分公司，陜西 西安 710075

主要描述了IPTV業(yè)務(wù)OTT CDN系統(tǒng)升級工程設(shè)計組網(wǎng)方案，同時對EPG防止篡改和防盜鏈方案、視頻質(zhì)量監(jiān)控建設(shè)方案、系統(tǒng)安全方案等專項問題進(jìn)行了探索。

IPTV；架構(gòu)；安全

1 系統(tǒng)組網(wǎng)方案設(shè)計

1.1 網(wǎng)絡(luò)層次結(jié)構(gòu)

系統(tǒng)支持一級（中心）、二級（中心節(jié)點+邊緣節(jié)點）和三級結(jié)構(gòu)（中心節(jié)點+區(qū)域節(jié)點+邊緣節(jié)點）組網(wǎng)。中心節(jié)點下發(fā)用戶管理、片源發(fā)布以及各類調(diào)度等操作，為各類業(yè)務(wù)提供備份；區(qū)域節(jié)點主要為邊緣和中心做中繼，實現(xiàn)邊緣節(jié)點的調(diào)度；邊緣節(jié)點實現(xiàn)業(yè)務(wù)發(fā)放，中心和區(qū)域做備份。

1.2 CDN解決方案

系統(tǒng)基于OTT平臺構(gòu)筑CDN，采用標(biāo)準(zhǔn)化、開放的架構(gòu)實現(xiàn)CDN級聯(lián)組網(wǎng)，通過OTT平臺已經(jīng)部署的CDN節(jié)點，采用分布式組網(wǎng)，包括分布式內(nèi)容存儲、分布式流服務(wù)等，流服務(wù)節(jié)點盡可能地靠近用戶以滿足服務(wù)質(zhì)量要求，承載IPTV、互聯(lián)網(wǎng)電視、移動流媒體等多種業(yè)務(wù)的內(nèi)容分發(fā)功能，滿足IPTV/OTT、PC、移動設(shè)備等多種終端上各種視頻業(yè)務(wù)的海量內(nèi)容提供對內(nèi)容分發(fā)和服務(wù)網(wǎng)絡(luò)的需求。對于所有內(nèi)容的分發(fā)采用統(tǒng)一控制、統(tǒng)一管理、統(tǒng)一調(diào)度、統(tǒng)一運維和統(tǒng)一安全保證，提升設(shè)備和網(wǎng)絡(luò)建設(shè)的利用率。

融合CDN方案系統(tǒng)支持完善的VCDN管理功能，支持多點、分級內(nèi)容注入，滿足不同節(jié)點存儲不同內(nèi)容的要求。通過該功能可以開放不同的內(nèi)容管理接口到不同SP的內(nèi)容管理系統(tǒng)，并在系統(tǒng)內(nèi)將不同VCDN的資源（包括磁盤資源、用戶資源、帶寬資源）劃分給不同的SP，各SP的內(nèi)容分發(fā)到劃分給該SP的VCDN資源中，不同SP在內(nèi)容管理時只能管理其自身發(fā)布的內(nèi)容，并且只能看到其內(nèi)容的點播訪問情況[1]。融合CDN方案支持給不同CP/SP分配不同的VCDN資源，控制每個SP在各個POP點的可用磁盤資源和最大磁盤資源。

融合CDN解決方案，不僅支持VCDN功能，支持資源分組和服務(wù)區(qū)域劃分功能，而且支持主動分發(fā)、智能推送等多種服務(wù)調(diào)度機制，支持調(diào)度機制靈活配置。

2 關(guān)鍵業(yè)務(wù)保障方案說明

2.1 防盜鏈機制

防盜鏈流程是IPTV對內(nèi)容資產(chǎn)的一個非常重要的安全保護(hù)流程，能夠?qū)?nèi)容加密流程進(jìn)行補充，同時也是對加密內(nèi)容場景下片花等非加密內(nèi)容的完善。以下是防盜鏈機制的主要實現(xiàn)流程。

（1）終端（STB）用戶訪問和瀏覽EPG頁面，選擇內(nèi)容并請求播放地址。

（2）EPG服務(wù)器在返回播放地址時，在地址中增加防盜鏈信息，返回給終端用戶。

（3）終端（STB）使用攜帶防盜鏈信息的播放地址，向HMS請求播放。

（4）HMS收到請求后，首先校驗防盜鏈信息，如果校驗通過，則提供流媒體服務(wù)；如果校驗失敗，則返回失敗錯誤碼，并展示給終端用戶進(jìn)行友好提示。

2.2 EPG防篡改機制

EPG防篡改流程是IPTV對EPG模板資產(chǎn)的安全保護(hù)流程。以下是EPG防篡改機制的說明。

（1）MGMT的ECS子系統(tǒng)設(shè)置支持防篡改的基準(zhǔn)EPG模板，通知基準(zhǔn)EPG生成基準(zhǔn)EPG模板MD5。

（2）基準(zhǔn)EPG生成基準(zhǔn)EPG模板MD5后上報給MGMT。

（3）MGMT通知全網(wǎng)EPG服務(wù)器生成目標(biāo)EPG模板MD5。

（4）目標(biāo)EPG生成EPG模板MD5后上報MGMT。

（5）MGMT比對MD5，如果不一致，則將不一致結(jié)果保存在數(shù)據(jù)庫中。

（6）MGMT的ECS子系統(tǒng)查詢EPG模板檢測結(jié)果，對不一致的EPG模板進(jìn)行校準(zhǔn)，同時后臺進(jìn)行周期性校準(zhǔn)。

2.3 SQM視頻質(zhì)量保障實現(xiàn)方案

IPTV業(yè)務(wù)的開展依托網(wǎng)絡(luò)進(jìn)行傳輸。SQM是視頻質(zhì)量監(jiān)控系統(tǒng)，能夠監(jiān)控網(wǎng)絡(luò)傳輸視頻的質(zhì)量，定位視頻質(zhì)量故障產(chǎn)生的原因。

SQM系統(tǒng)由MQMC、DPP、PCF和Probe四個部件組成。

2.3.1 MQMC

MQMC即媒體質(zhì)量監(jiān)控中心，提供人機交互界面，負(fù)責(zé)下發(fā)所有任務(wù)到Probe，并收集和匯總各級Probe的數(shù)據(jù)，提供監(jiān)控展示、歷史記錄查詢、統(tǒng)計和分析等功能。

MQMC需要連接數(shù)據(jù)庫，數(shù)據(jù)庫負(fù)責(zé)記錄需要長久保存的數(shù)據(jù)，如Probe信息、STB信息、監(jiān)控歷史統(tǒng)計數(shù)據(jù)、告警數(shù)據(jù)、用戶數(shù)據(jù)等。

2.3.2 DPP

DPP負(fù)責(zé)匯總和入庫PCF采集的數(shù)據(jù)。

2.3.3 PCF

PCF負(fù)責(zé)采集和匯總其管理的STB信息，再由PCF向MQMC上報STB的相關(guān)信息。

隨著STB的數(shù)量增加，PCF的數(shù)量也隨之增加。

2.3.4 Probe

Probe由各種類型、各個級別的Probe組成。

（1）在頭端層部署Probe，用于監(jiān)控IPTV編碼器或第三方提供的直播源的出流質(zhì)量。

（2）在分發(fā)層HMS設(shè)備上合設(shè)Probe，用于監(jiān)控HMS發(fā)出的流媒體質(zhì)量以及信令交互。

（3）在承載層的網(wǎng)絡(luò)設(shè)備上部署Probe，可用于主動仿真測試以監(jiān)控該點的傳輸質(zhì)量。承載網(wǎng)設(shè)備包括母局網(wǎng)絡(luò)設(shè)備、骨干/城域/接入各級網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備及家庭網(wǎng)絡(luò)設(shè)備。

（4）在終端STB上內(nèi)嵌Probe，用于監(jiān)控STB的收流質(zhì)量情況。

3 IPTV系統(tǒng)安全問題

3.1 系統(tǒng)安全方案

IPTV解決方案基于安全的考慮，全網(wǎng)設(shè)備劃分為信令和業(yè)務(wù)兩個平面。對最終用戶提供業(yè)務(wù)的流媒體服務(wù)器和機頂盒升級服務(wù)器支持雙平面，業(yè)務(wù)平面對最終用戶提供服務(wù)，不經(jīng)過防火墻，保證足夠的帶寬和穩(wěn)定性。流媒體和升級服務(wù)器的信令平面與其他IPTV服務(wù)器都處于信令平面，而且在防火墻內(nèi)。所有信令交互處于防火墻內(nèi)，不受外網(wǎng)影響，也不流出到外網(wǎng)，保證信令交互和服務(wù)器安全。在業(yè)務(wù)平面，通過S9303上的ACL設(shè)置，僅允許合法的IP和協(xié)議報文通過，保證邊界安全。

3.2 安全優(yōu)化

3.2.1 合法組播源的保護(hù)

一般通過部署防火墻隔離組播服務(wù)器和組播網(wǎng)絡(luò)，這樣可以有效保護(hù)合法組播源，防止黑客的惡意攻擊。

3.2.2 防范非法組播源

一般有兩種方法：一是在RP上對組播源的合法性進(jìn)行檢查，如果發(fā)現(xiàn)來自未經(jīng)授權(quán)的組播源的注冊報文，則可以拒絕接收發(fā)送過來的單播注冊報文，因此下游用戶就可以避免接收到非法的組播節(jié)目；二是在邊緣設(shè)備上配置組播源組過濾策略，只處理屬于合法范圍的組播源的數(shù)據(jù)，只過濾組播報文的組地址。

3.2.3 防范非法用戶

一是對轉(zhuǎn)發(fā)的組播報文的TTL數(shù)進(jìn)行檢查，只對大于所配置的TTL閾值的組播報文進(jìn)行轉(zhuǎn)發(fā)，因此可以限制組播報文擴散到未經(jīng)授權(quán)的范圍，防止非法用戶收到。二是通過DNS對組播數(shù)據(jù)進(jìn)行加密，只有合法的通過驗證后的STB系統(tǒng)才能接收組播數(shù)據(jù)。

3.3 防火墻部署

為了對IPTV業(yè)務(wù)系統(tǒng)進(jìn)行安全保護(hù)，除了需要IPTV業(yè)務(wù)服務(wù)器自身安裝防病毒軟件及主機加固之外，還需要通過IPTV承載網(wǎng)對業(yè)務(wù)系統(tǒng)提供更多層次的安全保護(hù)。

IPTV解決方案劃分為信令平面和業(yè)務(wù)平面。信令平面處在防火墻信任區(qū)，業(yè)務(wù)平面處于非信任區(qū)。信令平面走信令流，業(yè)務(wù)平面走用戶流媒體服務(wù)、機頂盒升級服務(wù)和中心、區(qū)域、邊緣之間內(nèi)容分發(fā)的FTP。

信令平面的安全通過防火墻配置，因信令平面中心、區(qū)域、邊緣之間信令流太多，交互復(fù)雜，在防火墻上不做協(xié)議限制，僅限IP，不分析中間件和流媒體中心內(nèi)部協(xié)議，在解決方案層面通過中心、區(qū)域、邊緣防火墻把所有信令平面的IP隔離在信任區(qū)，禁止非信任區(qū)的IP進(jìn)入。處在信任區(qū)的IP雖然處在中心、區(qū)域、邊緣幾個不同地方，但相互之間可以互通[2]。

業(yè)務(wù)平面的安全通過S9303上的ACL配置，因防火墻一般是連接在S9303上的，所有經(jīng)過防火墻的流量都會先過S9303，組播流和中心、區(qū)域、邊緣之間內(nèi)容分發(fā)的FTP也會過S9303，因此在S9303上需開放所有信令、業(yè)務(wù)和組播IP，另外對于客戶的維護(hù)IP，也同樣需要開放。

最終用戶僅使用中間件的8082（中間件EDS/EPG端口），流媒體中心流服務(wù)554端口，NTP服務(wù)123端口，DNS服務(wù)和用戶向CA系統(tǒng)注冊的4460端口，這幾個端口在防火墻和S9303上針對用戶IP段開放，保證用戶正常服務(wù)。

4 業(yè)務(wù)安全

4.1 基于業(yè)務(wù)域的安全控制

通過機頂盒MAC地址綁定，限制普通上網(wǎng)用戶進(jìn)入IPTV域，也可以防止機頂盒受到普通上網(wǎng)用戶的攻擊；通過IPTV系統(tǒng)服務(wù)器的邊界S9303，限制只有機頂盒IP才能訪問流媒體業(yè)務(wù)端口，防止普通上網(wǎng)用戶盜看IPTV流媒體服務(wù)。

4.2 端到端的業(yè)務(wù)域隔離

為了徹底隔離IPTV網(wǎng)和Internet網(wǎng)的互訪，實現(xiàn)端到端的業(yè)務(wù)域隔離，可以通過VPN隔離IPTV網(wǎng)和Internet網(wǎng)。

5 系統(tǒng)安全

5.1 認(rèn)證安全

IPTV將采用消息驗證碼（MAC）機制實現(xiàn)用戶登錄信息的加密處理和傳遞，避免用戶密碼在網(wǎng)絡(luò)上明文傳輸。

5.2 播放安全

IPTV將采用消息驗證碼（MAC）機制實現(xiàn)播放URL的防盜鏈處理和傳遞，避免非法用戶截取URL后進(jìn)行重傳攻擊。現(xiàn)網(wǎng)IPTV平臺采用MAC與機頂盒賬號綁定方式。

[1]李曉靜，馮小芳，王吉順. 電信運營商IPTV+OTT業(yè)務(wù)網(wǎng)絡(luò)承載方案簡析[J]. 電信快報，2014（10）：38-40.

[2]林嵐君. 電信運營商融合CDN網(wǎng)絡(luò)部署策略[J]. 電信快報，2015（7）：38-40.

IPTV Business OTT CDN System Security Solution

Geng Lei

China Unicom Communications Network Co., Ltd., Shaanxi Branch, Shaanxi Xi’an 710075

The paper mainly describes the IPTV network business OTT CDN system upgrade engineering design networking scheme. At the same time, it explores special issues such as EPG prevention tamper and anti-theft chain scheme, video quality monitoring and construction scheme, system security scheme and other special issues.

IPTV; Architecture; Security

TN949.292

A