下一代廣播電視網(wǎng)訪問控制模型探究

薛朝慧，田 方

（陜西廣電網(wǎng)絡(luò)傳媒（集團）股份有限公司 陜西 西安 710075）

1 引言

下一代廣播電視網(wǎng)(Next Generation Broadcasting，簡稱NGB)，通常是指傳統(tǒng)的語音電話網(wǎng)、互聯(lián)網(wǎng)和有線電視網(wǎng)的三網(wǎng)融合，具體來說是通過技術(shù)改造使三網(wǎng)在技術(shù)層面趨于相同，在業(yè)務(wù)層面彼此交互和滲透，在網(wǎng)絡(luò)層面互聯(lián)互通，逐漸合并成一套信息傳輸網(wǎng)絡(luò)，統(tǒng)一為客戶提供數(shù)據(jù)服務(wù)、語音服務(wù)和傳統(tǒng)廣播電視服務(wù)等內(nèi)容。下一代廣播電視網(wǎng)的建設(shè)有利于沖破傳統(tǒng)運營商的壟斷，形成良性競爭機制，降低基礎(chǔ)設(shè)施投資，增強用戶的便利和體驗，但同時，必然將帶來信息安全上的問題，例如非法訪問、內(nèi)容篡改、竊聽、流量攻擊等，因此應(yīng)該重視下一代廣播電視網(wǎng)的信息安全問題研究。

2 威脅分析

從網(wǎng)絡(luò)傳輸模式角度來分析，傳統(tǒng)的廣播電視網(wǎng)絡(luò)是一種單向網(wǎng)絡(luò)，即從廣播電臺、電視臺到用戶的單向數(shù)據(jù)傳送。主要的安全特征是它的邊界很明確，它的網(wǎng)絡(luò)活動主體很純粹，它的承載業(yè)務(wù)很單一，在采、編、播三個主要環(huán)節(jié)監(jiān)控非常嚴密，是一個較為封閉的網(wǎng)絡(luò)，這種單向傳輸?shù)姆绞剑商烊坏母綦x大部分源自互聯(lián)網(wǎng)的攻擊和病毒。然而在三網(wǎng)融合后，高速寬帶網(wǎng)、移動數(shù)據(jù)網(wǎng)等基于IP協(xié)議的新型傳輸網(wǎng)將承載廣電內(nèi)容傳播，因為IP協(xié)議本身是一個開放的協(xié)議，必將導致對安全性要求比較高的廣電業(yè)務(wù)和對安全要求比較低的互聯(lián)網(wǎng)業(yè)務(wù)混雜在一起，不能夠進行有效隔離和區(qū)分，進而導致廣播電視網(wǎng)的業(yè)務(wù)很容易遭受攻擊并衍生出新的安全問題，在這其中廣電網(wǎng)業(yè)務(wù)安全問題、客戶端的安全問題以及傳輸過程中安全問題是較為突出的。

首先是網(wǎng)絡(luò)傳輸問題，下一代廣播電視網(wǎng)的核心協(xié)議是TCP/IP協(xié)議，TCP/IP協(xié)議作為事實上的互聯(lián)網(wǎng)協(xié)議，協(xié)議本身就存在較多的弊端和安全隱患。例如，IP協(xié)議既不對IP包頭源地址做檢查，也不提供身份鑒別和傳輸質(zhì)量控制機制，這種做法會導致無法區(qū)分合法用戶和黑客等惡意攻擊者，TCP協(xié)議更是存在拒絕服務(wù)攻擊、中間人攻擊等各種問題。黑客等惡意攻擊者可能采用IP地址欺騙、ARP欺騙、DDOS攻擊和中間人攻擊等攻擊手段入侵網(wǎng)絡(luò)，達到竊取信息、權(quán)限劫持甚至是破壞服務(wù)等目的。下一代廣播電視網(wǎng)在繼承TCP/IP協(xié)議的同時也必將繼承這些安全問題和隱患。

其次是內(nèi)容管理問題，在下一代廣播電視網(wǎng)中內(nèi)容安全問題將越發(fā)突出，許多原來在互聯(lián)網(wǎng)上傳播的負面輿情及不健康的信息將進入廣電業(yè)務(wù)網(wǎng)和電信業(yè)務(wù)網(wǎng)，進行擴散并形成危害。下一代廣播電視網(wǎng)的內(nèi)容安全主要涉及到視頻監(jiān)管困難，三網(wǎng)融合后，交互式網(wǎng)絡(luò)電視技術(shù)（Internet Protocol Television，IPTV）作為一種新型的視頻點播技術(shù)，使得普通用戶可以用點播技術(shù)功能來獲取互聯(lián)網(wǎng)上的視頻資源，這將導致大量不良視頻信息無法納入到廣電的監(jiān)督和審查體系之下，而這些不良信息可能進一步交互傳播，最終呈現(xiàn)在用戶的電視屏幕之上。同時在下一代廣播電視網(wǎng)中，關(guān)于版權(quán)的問題將會愈加突出，互聯(lián)網(wǎng)用戶可以點播廣電業(yè)務(wù)網(wǎng)上正規(guī)的電視節(jié)目和具有版權(quán)的影視劇，甚至有可能將廣電業(yè)務(wù)網(wǎng)上的電視節(jié)日或影視劇進行翻錄，并上傳到互聯(lián)網(wǎng)上進行傳播，這導致影視著作人的版權(quán)愈加無法保障。

最后是終端安全問題，由于三網(wǎng)融合后將逐步實現(xiàn)三屏融合，終端接入的方式和種類將更加多樣化，例如WLAN有線接入、WIFI無線接入以及紅外藍牙接入等。而終端的快速發(fā)展，尤其是可移動終端的出現(xiàn)使得安全問題愈加復雜，目前可移動終端正逐步成為個人信息的集中處理中心，然而受到終端本身的屏幕尺寸、移動通信傳輸速率、電池續(xù)航能力以及CPU計算能力等的局限，可移動終端本身的安全防護能力相對較差。以智能手機為例，目前幾乎所有的智能手機都可以下載和安裝各類軟件，這些軟件中有許多是攜帶惡意代碼的不良軟件，甚至是攻擊軟件，用戶在下載和使用這些軟件時無意識的就成為了攻擊鏈條中的一環(huán)，導致下一代廣播電視網(wǎng)中的攻擊源將更加難以定位和控制。

下一代廣播電視網(wǎng)對網(wǎng)絡(luò)傳輸、訪問控制、數(shù)據(jù)交換、內(nèi)容監(jiān)管方面的安全保障有了更高的需求，特別是在終端到內(nèi)容源的訪問控制層面，提出了更高的挑戰(zhàn)，因此下一代廣播電視網(wǎng)中應(yīng)該有針對性的引入更合適的訪問控制模型。

3 訪問控制模型

訪問控制通常是指一種描述訪問主體對被訪問的客體，能夠進行哪些操作的控制方法論，主要目的是用來保證合法的資源不被非法利用。訪問控制包含三個基本的要素，即主體、客體和訪問權(quán)限。主體通常是指主動發(fā)起訪問的實體，一般包括用戶、終端、業(yè)務(wù)應(yīng)用或其他形式的主機等，主體能夠訪問客體；客體是指被動受到訪問的實體，它可以是字節(jié)字段、數(shù)據(jù)文件以及業(yè)務(wù)應(yīng)用等，也可以是處理器、網(wǎng)卡、內(nèi)存硬盤等，通常主體對客體的訪問應(yīng)該要受控；而訪問權(quán)限是一組描述了主體對客體的訪問的規(guī)則策略集，常見的訪問權(quán)限有讀、寫、執(zhí)行和拒絕訪問四種類型。在訪問控制過程中，如果主體對客體的訪問符合策略規(guī)則集則放行；反之，則中斷該次訪問。

三網(wǎng)融合之前，在相互獨立的環(huán)境下，網(wǎng)絡(luò)內(nèi)容的訪問控制方式更側(cè)重于身份鑒別，依據(jù)身份鑒別的結(jié)果執(zhí)行相應(yīng)的策略規(guī)則。語音電信網(wǎng)、互聯(lián)網(wǎng)和廣播電視網(wǎng)在身份認證方面均有不同的處置方案，目前，廣播電視網(wǎng)用戶認證機制是通過IC身份卡讀取來實現(xiàn)的，當用戶接入到有線電視網(wǎng)內(nèi)的時候，會從運營方獲取到一張包含用戶身份標識的IC卡，當有線電視機頂盒打開時會自動讀取IC卡上的數(shù)據(jù)，并與廣播電視網(wǎng)進行交互認證，認證通過后就可以觀看電視節(jié)目；而傳統(tǒng)電信網(wǎng)在認證上需要在預置密鑰挑戰(zhàn)應(yīng)答下完成，完成后即可建立連接；互聯(lián)網(wǎng)身份認證通常需要有公鑰基礎(chǔ)設(shè)施(即PKI/CA體系)的支撐。三網(wǎng)融合后如果繼續(xù)沿用獨立的身份鑒別方式，則勢必會給終端的設(shè)計、開發(fā)和應(yīng)用帶來極大的困難。因此本文主要探究三網(wǎng)融合后，下一代廣播電視網(wǎng)在內(nèi)容服務(wù)端實現(xiàn)訪問控制的技術(shù)手段。

訪問控制模型有自主型訪問控制模型(Discretionary Access Control，簡稱DAC)和強制型訪問控制模型(Mandatory Access Control，簡稱MAC)兩大類。自主型訪問控制模型中，資源的擁有者通常也是創(chuàng)立者，它設(shè)置訪問控制機制限定誰有權(quán)訪問它的資源，并且該權(quán)限可以傳遞給同一組的其他主體。由于授權(quán)可以傳遞，該模型難以對訪問權(quán)限進行管控，不能抵御木馬或者其他惡意程序的攻擊，但相對的優(yōu)點是更自由和方便快捷。強制型訪問控制模型比自主型訪問控制模型更加嚴格，常用于國防安全、軍事安全這種高等級安全要求領(lǐng)域。該模型中主體和客體都有一個固定的強制性的安全屬性，只有操作系統(tǒng)或者管理員才能改動他們的訪問權(quán)限。當主體提出訪問請求時，系統(tǒng)通過對比訪問主體的安全屬性和被訪問客體的安全屬性做出判斷，確定主體能不能訪問客體。

對于電視廣播資源內(nèi)容，由于廣電行業(yè)肩負黨和國家的政治宣傳任務(wù)，在節(jié)目制作、播放、傳輸?shù)雀鱾€步驟都有指引要求，同時由于廣電還具有服務(wù)于公眾的特性，可以引領(lǐng)正確的輿論導向，滿足公民的文化娛樂需求，所以廣播電視的資源內(nèi)容防護要求在于可管可控，防止被惡意篡改和上傳不良內(nèi)容，保證數(shù)據(jù)不被損壞。基于上述原因，廣播電視資源內(nèi)容適用于強制訪問控制模型。

在強制訪問控制模型中，Biba模型定義了一種正式的計算機安全策略狀態(tài)轉(zhuǎn)換系統(tǒng)，制訂了一系列保障數(shù)據(jù)資源不被損壞的訪問控制規(guī)則策略集，用于保障計算機的完整性。Biba模型為所有的主體和客體都分配了一個完整級，用于描述可信程度，高完整級的實體受到破壞則變?yōu)榈屯暾壍姆强尚诺燃墝嶓w。信息只能從高等級實體傳遞到低等級的實體。在實際的使用環(huán)境中，主要是用來保護重要的系統(tǒng)程序或數(shù)據(jù)庫不被非授權(quán)的程序修改。

因此對于廣電業(yè)務(wù)網(wǎng)資源，客體為廣播電視網(wǎng)絡(luò)資源，主體為終端用戶，其中客體按照受訪級別從高到低進行資源定級，主體按照自身的訪問權(quán)限從高到底進行定級。假設(shè)主體和客體處于不一樣的安全級別時，都屬于一個確定的安全級別SC，SC就形成了偏序關(guān)系(例如用標簽 TS表示付費資源，就比標簽為 S的免費資源要高)。當主體s的安全級為TS，而客體o的安全級為S時，用偏序關(guān)系就可以表達成SC(s)≥SC(o)。根據(jù)偏序關(guān)系，主體與客體之間主要存在4種訪問關(guān)系：

（1）向下讀（Read Down，RD），即主體安全級高于客體資源的安全級時允許主體對客體進行讀操作；

（2）向上讀（Read Up，RU），即主體安全級低于客體資源的安全級時允許主體對客體進行讀操作；

（3）向下寫（Write Down，WD），即主體安全級高于客體資源的安全級時允許主體對客體進行寫操作；

（4）向上寫（Write Up，WU），即主體安全級低于客體資源的安全級時允許主體對客體進行寫操作。

用偏序關(guān)系表示Biba模型如下：

（1）RU，當且僅當SC(s) ≤SC(o)，可以進行讀操作；

（2）WD，當且僅當SC(s) ≥SC(o)，可以進行寫操作。

基本訪問數(shù)據(jù)模型如圖1所示。

圖1

概括起來即為不下讀/不上寫，從而保障信息的完整性。通過Biba訪問控制模型可有效保障廣播電視網(wǎng)絡(luò)資源信息數(shù)據(jù)流向的單一性，即用戶只可以向比自身安全級別低的客體寫入信息，例如發(fā)布一些不受限的個人視頻；而對于比自己安全級別高的節(jié)目視頻或者公眾視頻，只有讀的權(quán)限而不能寫入，從而防止低安全級的用戶創(chuàng)建高安全級的客體資源，規(guī)避越權(quán)、篡播、插播等行為的產(chǎn)生。

對于電信業(yè)務(wù)網(wǎng)資源，則適用于基于角色的訪問控制模型(Role-based Access Control，RBAC)，該模型的基本思路是在系統(tǒng)內(nèi)設(shè)置若干個角色，將訪問許可權(quán)分配給這些角色，客戶通過獲取不同的角色身份獲取該角色所具有的訪問權(quán)限。由于在實際的電信業(yè)務(wù)中，客戶并不是被訪問的客體資源的所有者，這些信息屬于運營商部門，例如每個套餐中含有的計費語音、短信信息等，因此應(yīng)該基于客戶的角色構(gòu)建訪問控制策略，而不應(yīng)該基于客戶是否為信息的擁有者，也就是說訪問控制應(yīng)該由每個客戶所擔任的角色來決定，例如，一個可以手機號碼(客戶)可擁有語音、短信、手機導航、彩鈴(角色)等多項運營商增值服務(wù)。

基于角色的訪問控制模型主要從需要進行控制的主體的出發(fā)，設(shè)立典型的、具有代表性的角色，然后將訪問權(quán)限與角色關(guān)聯(lián)。基于角色的訪問控制模型與傳統(tǒng)的自主訪問控制模型和強制訪問控制模型之間的不同，在于基于角色的訪問控制模型在主客體之間建立了一個“角色”的概念。訪問權(quán)限并不是直接賦予客戶；而是通過角色作為中間橋梁，完成主客體之間的關(guān)聯(lián)。

RBAC基本模型如下：

U、R、P、S分別代表用戶集、角色集、權(quán)限集和會話集。

PA P×R代表權(quán)限與角色之間排列組合的指派關(guān)系。

UA U×R代表用戶與角色之間排列組合的指派關(guān)系。

user∶S→U代表會話到用戶的映射函數(shù)，user(Si)代表生成會話Si的用戶。

roles∶S→2R代表會話到角色子集的映射函數(shù)，role(Si)表示會話Si對應(yīng)的角色集合roles(Si){r|user(Si，r’)∈UA}（能隨時間改變）；

會話Si有權(quán)限集合Psi=Ur∈roles(Si){P|(p，r')∈PA}。

RABC模型可在基本模型的基礎(chǔ)上擴展支持繼承和約束關(guān)系，其訪問控制模型如圖2所示。

圖2

RBAC模型很好的表示了電信業(yè)務(wù)網(wǎng)中客戶和角色權(quán)限之間的多重訪問關(guān)系集，通過在電信業(yè)務(wù)網(wǎng)劃分不同級別和職責功能的角色，賦予客戶具體的權(quán)限和責任。客戶能夠方便的從一個特定的角色更替為另一個角色，同時角色也可以根據(jù)新的需求進行合并或權(quán)限調(diào)整。RBAC模型具有高度的靈活性，能夠便捷的進行角色和權(quán)限切換，使電信業(yè)務(wù)網(wǎng)中對訪問控制權(quán)限的管理更加方便，有效解決了電信管理信息系統(tǒng)中用戶數(shù)量多、套餐業(yè)務(wù)變更頻繁的問題。

對于互聯(lián)網(wǎng)資源來說，自主訪問控制模型DAC是一種較為合適的訪問控制模型，自主訪問控制模型由用戶(通常也是資源的所有者和創(chuàng)建者)自主設(shè)定客體資源的訪問控制權(quán)限，允許授權(quán)的用戶或用戶組按照既定的訪問控制策略訪問規(guī)定的客體，阻斷非授權(quán)的用戶或用戶組。同時用戶和用戶組還可以有選擇地把自己所擁有的客體權(quán)限賦予其它的用戶或用戶組。目前主流的操作系統(tǒng)，如UNIX、Linux和Windows等均提供文件和資源的自主型訪問控制的功能。自主訪問控制模型可為用戶提供靈活、可調(diào)整的訪問控制策略，具有較好的易用性和擴展性。自主訪問控制模型常用矩陣模型來描述訪問控制關(guān)系，規(guī)定主體對客體的被允許的訪問權(quán)限，如讀、寫、執(zhí)行等等。主體對客體訪問前，首先要檢查訪問控制列表中主、客體的訪問控制權(quán)限，來決定主體能否訪問該客體，可以進行哪一種權(quán)限的訪問。當前自主訪問控制模型已經(jīng)在互聯(lián)網(wǎng)中得到了廣泛應(yīng)用，本文不再細述。

4 結(jié)語

隨著國家對下一代廣播電視網(wǎng)建設(shè)工作的推進，網(wǎng)絡(luò)安全問題與對應(yīng)的監(jiān)管問題愈發(fā)突出。本文通過對三網(wǎng)融合后，下一代廣播電視網(wǎng)中存在的安全風險和安全威脅進行了詳細分析，對訪問控制模型進行了深入的探究，確立了根據(jù)不同的主體實施不同的訪問控制規(guī)則的策略，即可解決三網(wǎng)融合后的訪問控制的安全問題，又可保證業(yè)務(wù)訪問控制的靈活性，簡化終端的認證。

本文旨在探究三網(wǎng)融合的訪問控制模型，提出新的思路，為三網(wǎng)融合工作的進展助力，在具體實現(xiàn)方面，目前已經(jīng)有單向網(wǎng)閘技術(shù)、多重網(wǎng)關(guān)技術(shù)等成熟的訪問控制手段，可在此基礎(chǔ)上進行平滑發(fā)展和過渡。

[1] 郝文江，武捷.三網(wǎng)融合中的安全風險及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，20121671-1122.

[2] 伍均璽.三網(wǎng)融合背景下的網(wǎng)絡(luò)安全研究[J].科技創(chuàng)新導報，2015NO.24.

[3] 鐘雪瑩.淺談三網(wǎng)融合背景下的網(wǎng)絡(luò)信息安全問題[J].信息與電腦，20161003-9767.

[4] 陳俊欣，張鳳荔，劉淵.基于角色的空間信息強制訪問控制模型研究[J].計算機應(yīng)用研究，20161001-3695.

[5] 陳靜，胡錦航.三網(wǎng)融合背景下廣播電視信息安全問題研究[N].第二十一屆中國國際廣播電視信息網(wǎng)絡(luò)展覽會，2013-(CCBN2013).

[6] 趙姍姍，淺談三網(wǎng)融合與下一代廣播電視網(wǎng)技術(shù)[J].黑龍江科技信息，2016(27).

[7] 陸健龍.基于角色PMI的電子政務(wù)訪問授權(quán)研究[D].上海交通大學，2008.