1、引言
　　IPTV（網(wǎng)絡電視）是最近一年來除3G以外比較熱的一個話題。除了媒體一直在炒作以外，政府、運營商、標準化組織以及設備生產(chǎn)廠家都很關注。設備生產(chǎn)廠商關注標準制訂以及機頂盒、組播設備等研發(fā)；標準化組織正在制訂框架、編碼等標準；運營商在城域網(wǎng)開展運營試驗；政府關注IPTV的安全以及管制等內(nèi)容。
　　當前IPTV很多研究和試驗工作在緊鑼密鼓地展開，但是IPTV業(yè)務大規(guī)模開展還或多或少存在問題，甚至有人聲稱IPTV將在2010年后才完全成熟。目前IPTV存在的問題主要包括產(chǎn)業(yè)政策不明朗、編碼方案尚未選定、標準沒有完全制訂、設備商在研發(fā)階段、網(wǎng)絡服務質(zhì)量保障、網(wǎng)絡安全保障等。在IPTV業(yè)務推廣以前上述諸多問題都需要一一解決，其中安全保障問題是最關鍵問題之一，本文主要討論IPTV安全相關問題。
2、IPTV概念及發(fā)展現(xiàn)狀
　　2.1 IPTV概念
　　IPTV即交互式網(wǎng)絡電視，是一種利用寬帶有線電視網(wǎng)，集互聯(lián)網(wǎng)、多媒體、通訊等多種技術于一體，向家庭用戶提供包括數(shù)字電視在內(nèi)的多種交互式服務的嶄新技術。IPTV（網(wǎng)絡電視）與廣電行業(yè)的TriplePlay（三重業(yè)務捆綁）的概念比較類似。
　　TriplePlay最初是廣電業(yè)關于三網(wǎng)融合業(yè)務的術語，著重于業(yè)務層面。最早指利用現(xiàn)有有線電視網(wǎng)同時提供語音、數(shù)據(jù)和視頻三重業(yè)務捆綁的業(yè)務,并不特指具體實現(xiàn)技術，既可以基于IP技術，也可以基于射頻傳輸，其中視頻傳輸既可以是數(shù)字方式，又可以是模擬方式。目前我國廣電在數(shù)字電視(DTV)業(yè)務名義下，結(jié)合了電纜調(diào)制解調(diào)器和機頂盒功能后已經(jīng)開始提供TriplePlay業(yè)務，其中低價的寬帶接入和VoIP業(yè)務將從根本上威脅電信公司的基本電話和寬帶接入業(yè)務的收入。
　　IPTV最早是電信界提出來的基于電信網(wǎng)和IP提供三重業(yè)務的技術術語。純技術而言，有線電視公司也可以采用。因此IPTV是一種基于寬帶互聯(lián)網(wǎng)與寬帶接入，以機頂盒或其它具有視頻編解碼能力的數(shù)字化設備作為終端，通過聚合SP的各種流媒體服務內(nèi)容和增值應用，為用戶提供多種交互式多媒體服務的寬帶增值業(yè)務。從業(yè)務表現(xiàn)形式看，也是TriplePlay。因而從某種意義上說，IPTV可以看作是TriplePlay業(yè)務的一種技術實現(xiàn)形式�？偟膩砜矗琁PTV不僅可以是電信公司應對有線電視公司競爭的有效手段，也可能是維系電信公司自身業(yè)務可持續(xù)發(fā)展的需要。
　　2.2 IPTV國際現(xiàn)狀
　　早在1999年，英國VideoNetworks公司率先在全球推出了IPTV業(yè)務，此后，國外許多電信運營商先后進入IPTV市場。2003年上半年，全球推出IPTV業(yè)務的運營商有30多家，而到了2004年9月，增加到了50多家。
　　IPTV的用戶也在慢慢增長，根據(jù)MRG公司的研究，2004年，歐洲、亞洲及北美部分國家在IPTV市場上的競爭、試驗及部署，推動了IPTV用戶數(shù)的增長。2004年，全球IPTV用戶為200萬，IPTV用戶數(shù)最多的兩大運營商分別是意大利的FastWeb和香港的電訊盈科，他們的用戶數(shù)占全球用戶總數(shù)的近70%。
　　2.3 IPTV國內(nèi)試驗現(xiàn)狀
　　目前，我國IPTV的發(fā)展處于初級階段。1999年微軟力推“維納斯計劃”，試圖將中國龐大的電視機資源（3.2億臺）與互聯(lián)網(wǎng)接軌，最后以失敗告終。2001年中國電信就與新華社聯(lián)手，成立了“上海新華電信網(wǎng)絡電視公司”，但由于政策技術等多種原因并未有很大影響力。IPTV真正起步始于2004年。

• 2004年5月，中國網(wǎng)通與IDG等合資組建的天天在線獲準成為國內(nèi)首家播放視頻節(jié)目的寬帶門戶網(wǎng)站。









　�。�1）IPTV所面臨傳統(tǒng)IP網(wǎng)絡的安全挑戰(zhàn)主要包括業(yè)務網(wǎng)絡自身的安全以及智能終端安全方面的內(nèi)容：
　　網(wǎng)絡設備管理層面受攻擊：IP網(wǎng)絡的業(yè)務網(wǎng)大多沒有分離的網(wǎng)管網(wǎng)。在用戶與網(wǎng)絡沒有隔離的情況下，網(wǎng)絡設備可能遭到大量攻擊。雖然目前存在一些技術手段來解決因管理和業(yè)務無法分離帶來的問題，但是由于IP網(wǎng)運維管理較弱的原因，IPTV網(wǎng)上網(wǎng)絡設備遭受攻擊仍然是較大的安全威脅之一。
　　網(wǎng)絡設備業(yè)務層面受流量沖擊：由于IP網(wǎng)絡是一個三層互通的通信平臺，任何通信都無需要求網(wǎng)絡特別建立通道。當前IP網(wǎng)絡很少作源地址過濾，網(wǎng)絡上流量流向隨意性和突發(fā)性非常大。IPTV所在網(wǎng)絡很容易受到突如其來的惡意攻擊或者突發(fā)事件帶來的流量沖擊而導致?lián)砣�甚至癱瘓。
　　網(wǎng)絡控制層面受攻擊：IP網(wǎng)絡的信令－路由協(xié)議的信息與用戶數(shù)據(jù)在相同數(shù)據(jù)通道中傳輸。在早期路由協(xié)議缺少認證時IP網(wǎng)絡的安全性較低。隨著技術的發(fā)展，主要路由協(xié)議都設置了認證，運營商網(wǎng)絡也逐漸關注協(xié)議認證，互聯(lián)網(wǎng)絡控制層面安全威脅逐漸降低。但是無論如何，在UNI與NNI不分離的網(wǎng)絡中，控制層面至少暴露在用戶DDOS攻擊的威脅中。
　　網(wǎng)絡終端面臨安全威脅：典型的IPTV網(wǎng)終端是多業(yè)務智能終端，通常是一個LANkclass=qqx_gjz>計算機或者機頂盒。與傳統(tǒng)的專用傻終端例如電話相比，智能終端故障率以及配置難度都大大提高。此外多業(yè)務智能終端一般運行Windows以及Unix等操作系統(tǒng)，很容易被網(wǎng)絡上的不法分子接管或者感染病毒，成為不良行為的工具。在三層互通的互聯(lián)網(wǎng)上，大量未經(jīng)請求的垃圾信息同樣也會使終端面臨癱瘓威脅。
　�。�2）IPTV所面臨新的安全挑戰(zhàn)主要包括節(jié)目源管理、運營安全以及播控安全方面內(nèi)容：
　　節(jié)目源管理方面：在傳統(tǒng)廣電，節(jié)目上載前需要多次審查，網(wǎng)絡單向輸出，演播室有嚴格的物理安全。在IPTV中傳統(tǒng)電視直播安全除了播控以外不需過多考慮。點播內(nèi)容部分熱播的內(nèi)容需要盡可能分布到靠近用戶的媒體服務器，這些媒體服務器的安全管理是IPTV部署中的新挑戰(zhàn)。
　　節(jié)目播控相關安全：電視是面對大量用戶長時間提供服務的業(yè)務，除了在技術上保證播出服務質(zhì)量外，還應當在靠近用戶的位置部署測量系統(tǒng)，在出現(xiàn)問題時及時告警。在播出時應當提供播出內(nèi)容的主觀審查系統(tǒng)，除了直播節(jié)目在播出時應當有延時功能外，應將播出的內(nèi)容回傳審查，必要時中斷節(jié)目播出。應當設計應急系統(tǒng)，在節(jié)目源故障，傳輸故障或者其他問題時調(diào)度資源一定程度保障節(jié)目播出。
　　運營安全—有條件接收：傳統(tǒng)廣電網(wǎng)絡上條件接收有擾頻和非擾頻方式，一般都限制信號接收到以后的解碼和觀看。IPTV運營安全中條件接收可以有兩種方式實現(xiàn)：一種方式是非授權用戶無法收到特定的節(jié)目，另一種是非授權用戶可以收
4、IPTV安全保障分析
　　為應對上文中的安全威脅，采用恰當?shù)募夹g保障IPTV業(yè)務網(wǎng)絡安全，我們將IPTV安全實施分層討論。可以將IPTV安全分成如圖1所示的幾個層面。
　　4.1 IPTV業(yè)務網(wǎng)安全
　　IPTV業(yè)務網(wǎng)自身安全包括IP承載網(wǎng)的可靠性與生存性、IPTV業(yè)務設備的可靠性以及用戶終端的可用性。上述可靠性可用性和生存型依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全等方面來保障。IPTV業(yè)務網(wǎng)自身安全應在控制、管理和數(shù)據(jù)層面保障。在控制層面，應在控制信息訪問控制、控制信息驗證、控制信息保密、控制信息通信安全和控制信息完整性方面保障安全。在管理層面，應在管理訪問控制、管理信息驗證、管理信息不可抵賴、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。在數(shù)據(jù)平面，應在資源可用性方面保障安全。IPTV網(wǎng)絡設備業(yè)務層面、管理層面以及部分控制層面受攻擊的安全威脅、智能終端面臨的安全威脅以及新安全挑戰(zhàn)中的節(jié)目源管理包括在IPTV業(yè)務網(wǎng)安全層面。
　　4.2 業(yè)務提供安全
　　IPTV業(yè)務網(wǎng)運營安全包括IPTV業(yè)務可用性與IPTV業(yè)務可控性。業(yè)務可控性依靠服務接入安全，業(yè)務防否認、業(yè)務防攻擊等方面來保障。業(yè)務可用性與承載與業(yè)務網(wǎng)絡可靠性以及維護能力等相關。業(yè)務提供安全應在控制層面和管理層面保障。在控制層面，應在控制信息訪問控制、控制信息驗證、控制信息不可抵賴、控制信息保密、控制信息通信安全、控制信息完整性和控制信息隱私性方面保障安全。在管理層面應在管理訪問控制、管理信息驗證、管理信息不可抵賴、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。IPTV面臨的新安全挑戰(zhàn)中條件接收包括在業(yè)務提供安全中。
　　4.3 信息傳遞安全
　　信息傳遞安全包括信息完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制例如哈希算法等來保障；信息機密性可以依靠加密機制以及密鑰分發(fā)等來保障；信息不可否認性可以依靠數(shù)字簽名等技術保障。IPTV節(jié)目信息完整性由業(yè)務網(wǎng)安全中IP承載網(wǎng)服務質(zhì)量保障，機密性提供與否由業(yè)務提供安全中條件接收決定。IPTV業(yè)務網(wǎng)不提供信息內(nèi)容不可否認。
　　4.4 基于節(jié)目內(nèi)容的播控
　　基于節(jié)目內(nèi)容的播控主要用來保障終端上看到的節(jié)目確實是希望播出的內(nèi)容。非授權節(jié)目不能在網(wǎng)絡上傳播�；�于節(jié)目內(nèi)容的播控主要是包括直播節(jié)目在播出時的延時功能、播出內(nèi)容的回傳監(jiān)控功能，必要時中斷節(jié)目播出的功能以及在節(jié)目源故障，傳輸故障或者其他問題時調(diào)度資源一定程度保障節(jié)目播出的應急系統(tǒng)。
　　4.5 普遍采用的安全模型
　　安全模式是一種思路，核心是集成一些安全技術和管理手段來解決部分安全問題。安全模式有別于安全技術：安全技術一般比較單純。通常技術手段是提供一種安全機制，對通信中的某個安全漏洞作保護。當前IPTV業(yè)務網(wǎng)中普遍采用的安全模型時基于WalledGarden的安全模型。
　　WalledGarden這個詞最初出自JohnMalone，他是收購Malone公司的電信公司AT&T的前任業(yè)主。WalledGarden在我國一般譯作帶圍墻的花園，簡稱圍墻花園�！皣鷫�花園”指的是一個控制用戶對網(wǎng)頁內(nèi)容和服務進行訪問的環(huán)境。一般圍墻花園把用戶限制在一個特定的范圍內(nèi)，允許用戶訪問指定的內(nèi)容，同時防止用戶訪問其他未被允許的內(nèi)容。
　　建立圍墻花園的一個普遍原因是利益：運營商希望將用戶資源掌握在自己手中，引導用戶訪問自己或者合作伙伴的資源，減少或防止訪問競爭對手及不能帶來利益的資源。中國移動手機WAP業(yè)務就是基于圍墻花園開設的典型范例。建立圍墻花園還有一個原因就是安全上的好處：早在1999年，美國在線少兒頻道就建立了一個圍墻花園，防止兒童訪問不適宜的網(wǎng)站。常見的WalledGarden有下面幾種：
　�。�1）限制終端的圍墻花園：通過限制終端功能實現(xiàn)的圍墻花園是指在終端上限定訪問的范圍，超過范圍的內(nèi)容不能訪問。該方式一般用作防止兒童訪問不適宜的網(wǎng)站。
　�。�2）基于VPN/專網(wǎng)的圍墻花園：基于VPN的圍墻花園實際上是提供業(yè)務的設備放到一個VPN中，訪問者通過接入VPN來接入圍墻。接入VPN（接入圍墻）后就可以自由訪問VPN內(nèi)所有的資源。這種方式不但能限制訪問范圍，而且能防范來自外部的攻擊。
　�。�3）基于防火墻/網(wǎng)關的圍墻花園：基于防火墻/網(wǎng)關的圍墻花園類似于基于VPN的圍墻花園，區(qū)別在于基于防火墻/網(wǎng)關的圍墻花園中只有業(yè)務提供設備真正全在圍墻中（VPN或者專網(wǎng)）。用戶通過防火墻/網(wǎng)關使用業(yè)務網(wǎng)提供的業(yè)務。
　�。�4）基于門戶網(wǎng)站的圍墻花園：基于門戶網(wǎng)站的圍墻花園實際上沒有真正的圍墻。用戶通過門戶網(wǎng)站可以很便捷地訪問到門戶網(wǎng)站上一些現(xiàn)成的資源（運營商或者運營商合作者的資源）。用戶實際上也能訪問所謂圍墻外的資源。
　�。�5）基于用戶注冊的圍墻花園：基于用戶注冊的圍墻花園一般基于一組或一類業(yè)務應用，只有注冊的用戶才能使用所保護的業(yè)務應用，非注冊用戶不能使用。該類圍墻花園旨在業(yè)務層保護，用戶以及業(yè)務設備操作系統(tǒng)層都暴露在外界網(wǎng)絡層攻擊可能下。
　　在當前IPTV的開展和試驗中，圍墻花園是保障安全的重要技術手段。IPTV業(yè)務網(wǎng)通常采用基于VPN/專網(wǎng)的圍墻花園。通常IPTV業(yè)務設備放置在一個VPN/專網(wǎng)中，終端通過VLAN等方式接入特定的VPN/專網(wǎng)訪問IPTV業(yè)務設備。IPTV中的直播和點播業(yè)務與上網(wǎng)業(yè)務在接入端就實現(xiàn)隔離。此外由于IPTV采用專用終端（機頂盒）或者PC上的專用軟件接入，網(wǎng)絡通常還提供電子節(jié)目單，因此限制終端的圍墻花園以及基于門戶網(wǎng)站的圍墻花園的方式也有所應用。
　　4.6 當前IPTV試驗中的安全隱患
　　基于圍墻花園的安全模式能夠減少絕大部分網(wǎng)絡設備受到的來自互聯(lián)網(wǎng)的攻擊，很大程度保障IPTV業(yè)務網(wǎng)自身安全；IPTV系統(tǒng)中的專用協(xié)議、專用軟件、限制終端能一定程度提供IP業(yè)務網(wǎng)運營安全；IP中成熟的加密和密鑰分發(fā)技術能保障業(yè)務內(nèi)容傳遞安全；但是當前IPTV試驗系統(tǒng)通常不能提供播控系統(tǒng)所要求的全部功能。當前IPTV系統(tǒng)能夠提供下列與播控相關的安全能力：用戶使用專用的終端（機頂盒）或者專用的軟件，通常包括認證流程，因此非注冊用戶無法收到視頻數(shù)據(jù)流；即使非授權用戶可以收到視頻數(shù)據(jù)流，IP網(wǎng)絡有成熟的密鑰分發(fā)機制來支持加密。
　　由于缺乏專門的播控考慮，當前大多基于組播開展的IPTV系統(tǒng)有下列安全方面的隱患：
1. 動態(tài)組播協(xié)議難以防范網(wǎng)絡上傳送非授權的節(jié)目；


　　IPTV是一塊看得見的蛋糕，當前各個利益團體正在博弈中。但是無論誰來主導，IPTV的安全問題是必須解決的問題。關于網(wǎng)絡與信息安全問題，電信部門在IP網(wǎng)絡安全有較多的經(jīng)驗，廣電部門在涉及媒體的播控和節(jié)目源管理方面有較多的經(jīng)驗。就當前IPTV試驗網(wǎng)建設而言，合作的模式基本上是廣電提供內(nèi)容，電信運營商提供網(wǎng)絡或者新建專網(wǎng)。這種合作模式下IPTV業(yè)務網(wǎng)自身安全通常由網(wǎng)絡建設方負責，通常通過基于專網(wǎng)/VPN圍墻花園提供安全。雖然基于專網(wǎng)/VPN圍墻花園在普通IP網(wǎng)業(yè)務開展中表現(xiàn)得很好，例如移動的WAP業(yè)務、中國電信CN2上的VPN業(yè)務等，但是對于IPTV中的播控功能而言并非盡善盡美。隨著IPTV的進一步發(fā)展以及商用化的進一步推進，播控系統(tǒng)將成為IPTV體系架構中必不可少的一部分。IPTV中播控系統(tǒng)的技術、實現(xiàn)和部署還有待進一步研究。

中國電信網(wǎng)