IPTV安全保证技术

      IPTV业务承载网络直接与因特网等网络互联，整个网络面临因特网的各种安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QoS服务的破坏以及针对网络系统开启的其他一些网络管理、控制协议进行网络攻击等。针对IPTV承载网存在的安全风险，IPTV承载网络的安全应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。

      防内容非法访问技术是基于CDN结构中节目源安全性考虑的一个部分，其主要目的是通过防非法内容访问技术保证只有经过认证的合法用户才能得到有效的服务，防止IPTV内容被非法用户访问或合法用户的非授权访问。在实际组网中，除了应用防火墙等防护设备外，还应加强自身的防护能力和安全加固的水平,包括：

     （1）提供ACL功能，能够屏蔽来自某个子网或IP地址的访问；

     （2）识别非法用户的访问，根据策略屏蔽非法用户的访问地址；

     （3）识别合法用户的非正常访问，根据策略屏蔽非法用户的访问地址；

     （4）阻止用户通过内容URL对内容的直接访问。

       防火墙是一类防御技术的总称，这类技术在内部网络与外部网络之间建立一道防御系统，同时不会妨碍内部网络用户对外部网络的访问。另外，防火墙可以作为部署NATCNet-workAddressTranslation）的位置。利用NAT技术，对外部网络屏蔽内部网络地址信息。目前常见的防火墙技术分为以下4种：

       包过滤防火墙根据数据包中的IP（源和目的）地址、协议类型（如TCP'UDP）以及端口号等信息定义包过滤规则。使用这些规则对经过防火墙的数据包进行检查，以决定是否允许其通过。

       代理防火墙在内部网络和外部网络之间起到连接转接作用，即内部网络和外部网络之间的通信数据都由代理防火墙在应用层进行相应的处理后再进行转发。其核心技术就代理服务器技术。所谓代理服务器是指代表内部网中的客户连接外部网络资源的服务器程序。

       状态监控防火墙技术监视穿过防火墙的每一个连接，并且根据需要动态的在过滤规则中增加或更新条目。

       自适应代理防火墙根据用户提供的服务类型、安全级别等配置信息自动判断对经过的数据包是采用代理服务器在应用层进行处理转发还是使用包过滤器在网络层进行过滤转发，并且网络层的过滤规则可以动态地添加和修订。

       
       加密的作用是防止私有信息在网络上传送时被拦截和窃取。加密技术通常分为两大类：对称式和非对称式。对称式加密的加密过程和解密过程使用同一个密钥；非对称式加密的加密过程和解密过程则使用一对密钥，即“公钥”和“私钥”。公钥用于加密，私钥用于解密。

       IPSec是在IP层保证数据传输安全的一系列协议的总称。IPSec体系结构在IETFRFC2401中定义。IPSec主要包括两个安全协议AH(Authentication Header,RFC2402),ESP(Encapsulating SecurityPayload,RFC2406)及密钥管理技术IKE(Internet Key Exchange,RFC2409)。

       AH的主要作用是确保无连接的数据完整性,进行数据源验证以及提供数据重放保护。ESP除了具有与AH类似的作用外，还可以确保内容的机密性。IKE的主要作用是确保密钥协商和交换的安全。这些技术均独立于具体实现算法，即用户可以根据实际的安全需求选择合适的算法实现。IPSec有两种实现模式：传送模式和隧道模式。传输模式主要为IP层以上的上层协议数据提供保护；隧道模式保护隧道内的IP包。

       安全隔离技术主要是指在两个或两个以上可路由的网络之间釆用不可路由的协议进行数据交换而达到隔离目的。目前安全隔离技术的发展共经历了5代：

       第一代隔离技术——完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络，即完全的物理隔离。

       第二代隔离技术一一硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问。

       第三代隔离技术——数据转播隔离。利用转播系统分时复制文件的途径来实现隔离。

       第四代隔离技术——空气开关隔离。使用单刀双掷开关，使内外部网络分时访问临时缓存器来完成与外部网络的数据交换。

       第五代隔离技术——安全通道隔离。釆用专用通信硬件和专有安全协议等机制，实现内外部网络的隔离和数据交换。

       VBAS(VirtualBroadbandAccessServer)的基本原理是对PPPoE认证流程进行修改,在PPPoE会话过程中，由BRAS向DSLAM发起用户线路标识信息请求,DSLAM将接入用户的接入端口等信息返回给BRAS进行用户端口识别。对于多个DSLAM通过交换机等设备汇聚到一个BRAS端口上的情况，可为每个DSLAM分配一个VLAN,BRAS根据VLAN标识定位用户请求对应的DSLAM。

       DHCPOption82在IETFRFC3046中定义。在实际应用中，由DSLAM在用户DHCP请求中填写OPtion82中的用户线路标识。该标识将被DHCP或RADIUS服务器用来对用户端口进行识别。

       Stacked VLAN也称QinQ或DoubleVLAN,在802.lad中定义。其基本原理是釆用双VLAN标识，其中一层标识用户网络(CustomerNetwork),-层标识运营商网络(Serv-iceProvider Network)0BRAS可以通过运营商网络VLAN标识定位DSLAM,并通过用户网络VLAN标识识别用户端口。

       PPPoE+由DSLForum提出。基本原理是修改PPPoE的认证请求,DSLAM在PP¬PoE发现阶段的认证请求中添加用户线路标识。该标识将被BRAS或RADIUS服务器用来对用户端口进行识别。各种用户识别技术对比参见表8-5。

表8-5    用户识别技术比较