Juniper王衛：IPTV網絡架構必須考慮安全策略

　　【eNet硅谷動力專稿】 IPTV為服務供應商提供了巨大的業務機會，使電信公司能夠更有效地與電纜行業現有的三方服務相競爭，抵消正在下滑的語音業務收入並產生顯著的額外收入。雖然IPTV能帶更高的收益，但是IPTV業務對於網絡基礎架構也提出更高的要求：IPTV需要一個高安全性的智能網絡，這一網絡使服務供應商傳輸豐富內容的來增加利潤的同時，還能夠保護視頻服務基礎架構，減少用戶的流失，建立一種長期的用戶關系。

　　雖然IPTV不是運行在英特網上的，但是它一種在網絡上基於IP的服務，其用戶和服務可能是來自服務供應商網絡之外的。困擾其他基於網絡的危險，如郵件和英特網訪問中遇到的黑客、威脅和漏洞，IPTV同樣也可能遇到。歷史上，黑客在服務應用的最初階段----在安全對策還沒有完全得到加強的時候----就已經很快地攫取了服務權限，造成了不利影響。而在服務應用的初級階段，用戶的意見和印象是最具有可塑性的。

　　IPTV供應商在他們最關鍵的應用初步階段是不能夠出現任何用戶不滿的。正因為如此，供應商們必須在一開始就為他們的IPTV網絡建立起全面的安全策略。但是IPTV服務的全面安全計劃是怎樣的呢？

　　首先也是最重要的，安全計劃必須為內容、終端用戶和網絡本身提供多層的安全保護。另外，一個全面的IPTV安全策略必須考慮到網絡中的所有區域----從供應商網絡中的視頻服務基礎架構到『最後一碼』接入終端用戶的家用網絡----必須不受到安全破壞。

　　IP是一個已經實現了多年的標准和一項被充分理解的技術。很多已經應用到其他IP服務中的概念和策略，現在也能夠應用到IPTV和IPTV內容傳輸網絡的保護中。但是，除了與其他基於IP的服務有內在的相似之處外，IPTV也有其獨特的挑戰。

　　例如，IPTV有獨特的高帶寬，實時傳輸的需求和不同的用戶服務期望值。這些服務期望和結構上的不同使得很難將傳統的保護技術經濟地應用到視頻服務基礎架構中----我們需要一種新的方法。

　　此外，因為IPTV服務是與其他IP服務共享一個網絡的，這些其他的IP服務是傳輸到供應商的用戶庫，所以保證IPTV的安全性是至關重要的。對IPTV服務或其他共享相同網絡通道服務的安全攻擊能夠輕易地影響到網絡中所有服務的有效性。隨著HD電視和一般用戶的電視設備規模的不斷昇級，如果出現信息丟失或因抖動而打斷一個重要的電視播音，IPTV用戶一定會怨聲載道----即使這一抖動是由於其自身家用網絡設計問題而導致的。因此，IPTV服務供應商需要一個對用戶家中網絡實施安全和保護的控制。

　　視頻服務基礎架構

　　保護視頻服務基礎架構不受到攻擊需要維持在光學性能水平上的視頻流和設備，任何使視頻流或服務設備停頓下來的事情都有可能降低用戶體驗的質量，這是絕對不能允許的。多視頻服務器導致了為拒絕服務攻擊(DoS)提供多重目標，該攻擊將會使服務器泛濫著非法請求或者通過運行一個端口UDP泛濫(UDP flood)，而使服務器充滿非法請求。這一惡意攻擊攫取處理循環的服務器去處理合法請求。如果不完善的設備或連接創建了無意的DoS攻擊環境，這就是個復合的問題了。例如，不完善的存儲器或一個松散的網絡連接可能引起一個STB不斷的請求重新發送信息包。

　　用戶的直接互動使視頻服務基礎架構非常容易受到DoS的攻擊。而網絡防火牆能夠補充網絡中DoS保護的特性，如果這些防火牆能夠監測每秒鍾每個用戶的請求數量並能夠昇級以支持大量的用戶，那麼這一做法將有效地滿足用戶的需求。但是，這些防火牆只能持續地保持每秒幾個GB，這樣就需要大量的防火牆去支持視頻服務基礎架構。通過防火牆發送視頻包也增加了時延，每一個STB都需要更多的緩衝時間。

　　視頻點播(Video on Demand)服務器也容易受到傳輸控制協議(TCP)的攻擊以及在應用層面的攻擊。為保護VoD服務器不受正面攻擊及對隨機視頻應用的背面攻擊，就需要有簽名或模式吻合的運作能力。因此，結合了入侵探測和保護功能的網絡防火牆，能夠識別攻擊簽名，這對於保護VoD服務器將非常有效。

　　但是為每個視頻服務器配備一個專用的安全設備不是一個經濟的解決方案。在一個有很多視頻服務辦公室的大型供應商網絡中，管理和更新眾多的防火牆並監測攻擊，這在操作上是一種挑戰。實際上，拆下沒有IDP功能的高容量防火牆通常比他們要保護的服務器成本更高。最終，為了實現更具成本優勢的安全保護，安全設備的數量必須要減少。

　　對這個問題的一個解決方案就是利用不對稱的交通路由，這樣防火牆/IDP網關就不會超負荷，實際所需要的設備就會減少。這個不對稱方法使下游的視頻交通不會對防火牆/IDP網關造成壓力，並且只關注本來就是低帶寬的上游控制交通。

　　服務供應商能夠決定網絡保護政策，並在聯合防火牆/IDP功能中設置濾波器以探測和阻止不希望出現的行為。例如，服務供應商能夠選擇從一個指定的來源發送到服務基礎架構的請求數量。對一個指定的IP用戶，網絡防火牆能夠支持每秒的請求數量並設置一個極限，在一段固定的時間內(在這裡是，每秒)超過了這一極限的請求就要被放棄。這樣，如果一個服務器正在收到過量的請求，供應商能夠通過網絡防火牆設備保持對其大多數用戶的服務質量，同時對犯規用戶的服務只造成片刻的影響。對於違反網絡政策的不合理請求，其過量的級別或持續的水平，能夠被提昇為一種警告，且服務請求被暫時地拒絕。這一方法自動地阻止了DoS攻擊，並使網絡運營商能夠留意到一個攻擊實際發生的條件和源頭。

　　設備供應商已經建立起了可接受的交通模式簽名以及惡意攻擊簽名。這樣視頻服務基礎架構通過尋找已知攻擊的簽名匹配就能夠避免受到正面的應用攻擊。當然，這種方法只是眾多方法中的一種，因為它只有在簽名文件得到頻繁更新的情況下，纔能發揮有強大的作用。

　　家庭網絡的漏洞

　　隨著家庭網絡的使用和普及，像英特網服務，文件傳輸，線上游戲和VoIP呼叫一樣，IPTV服務將會由同樣的家庭網絡來傳輸。對服務供應商不利的一面是，家庭網絡中有了額外的用戶活動，終端用戶將對其服務傳輸質量有自己的看法，而服務供應商很難管理這些主觀價值的判斷。更糟糕的是，DIY家庭網絡設計不僅可能帶來有問題的連接，而且可能出現安全漏洞。在PC上的一個安全漏洞為對網絡帶寬進行的消耗性攻擊打開了一個缺口，它可能降低供應商的服務質量並導致用戶的不滿，增加支持成本以及有可能的注銷服務。

　　因為服務供應商為終端用戶提供了更多的先進服務，因而考慮『最後一碼』的接入安全需求是很重要的。必須要隔離對一種服務的攻擊且不影響到家庭網絡上的其它服務。因為要在家中運行，IPTV有最高的服務性能要求，所以它對由於安全攻擊而造成的網絡性能降級非常敏感。供應商很少能控制到纜線機頂盒和家庭網關以外的家庭網絡，這對於IPTV服務供應商來說是一個挑戰。一些技術，如網絡節點認證技術，802.1x及其它技術，由於能夠在一個設備連接到網絡之前就執行一個特定的安全政策，這樣他們在IPTV服務領域可能是非常有用的。

　　作為一種新的服務，從安全角度和一個綜合的角度來看，IPTV是非常容易受到攻擊的。為保證他們新的IPTV服務的成功，供應商們在一開始就需要在他們的網絡中建立一個全面的，以網絡為中心的安全策略。這一安全策略需要既全面，又高效可靠，並且應該考慮到在服務供應商和家庭網絡中所有可能出現的安全破綻。

【責任編輯胡瀅】