IPTV業務OTT CDN系統安全保障方案

耿 蕾

?

IPTV業務OTT CDN系統安全保障方案

耿 蕾

中國聯通通信網絡有限公司陜西分公司，陜西 西安 710075

主要描述了IPTV業務OTT CDN系統升級工程設計組網方案，同時對EPG防止篡改和防盜鏈方案、視頻質量監控建設方案、系統安全方案等專項問題進行了探索。

IPTV；架構；安全

1 系統組網方案設計

1.1 網絡層次結構

系統支持一級（中心）、二級（中心節點+邊緣節點）和三級結構（中心節點+區域節點+邊緣節點）組網。中心節點下發用戶管理、片源發布以及各類調度等操作，為各類業務提供備份；區域節點主要為邊緣和中心做中繼，實現邊緣節點的調度；邊緣節點實現業務發放，中心和區域做備份。

1.2 CDN解決方案

系統基于OTT平臺構筑CDN，采用標準化、開放的架構實現CDN級聯組網，通過OTT平臺已經部署的CDN節點，采用分布式組網，包括分布式內容存儲、分布式流服務等，流服務節點盡可能地靠近用戶以滿足服務質量要求，承載IPTV、互聯網電視、移動流媒體等多種業務的內容分發功能，滿足IPTV/OTT、PC、移動設備等多種終端上各種視頻業務的海量內容提供對內容分發和服務網絡的需求。對于所有內容的分發采用統一控制、統一管理、統一調度、統一運維和統一安全保證，提升設備和網絡建設的利用率。

融合CDN方案系統支持完善的VCDN管理功能，支持多點、分級內容注入，滿足不同節點存儲不同內容的要求。通過該功能可以開放不同的內容管理接口到不同SP的內容管理系統，并在系統內將不同VCDN的資源（包括磁盤資源、用戶資源、帶寬資源）劃分給不同的SP，各SP的內容分發到劃分給該SP的VCDN資源中，不同SP在內容管理時只能管理其自身發布的內容，并且只能看到其內容的點播訪問情況[1]。融合CDN方案支持給不同CP/SP分配不同的VCDN資源，控制每個SP在各個POP點的可用磁盤資源和最大磁盤資源。

融合CDN解決方案，不僅支持VCDN功能，支持資源分組和服務區域劃分功能，而且支持主動分發、智能推送等多種服務調度機制，支持調度機制靈活配置。

2 關鍵業務保障方案說明

2.1 防盜鏈機制

防盜鏈流程是IPTV對內容資產的一個非常重要的安全保護流程，能夠對內容加密流程進行補充，同時也是對加密內容場景下片花等非加密內容的完善。以下是防盜鏈機制的主要實現流程。

（1）終端（STB）用戶訪問和瀏覽EPG頁面，選擇內容并請求播放地址。

（2）EPG服務器在返回播放地址時，在地址中增加防盜鏈信息，返回給終端用戶。

（3）終端（STB）使用攜帶防盜鏈信息的播放地址，向HMS請求播放。

（4）HMS收到請求后，首先校驗防盜鏈信息，如果校驗通過，則提供流媒體服務；如果校驗失敗，則返回失敗錯誤碼，并展示給終端用戶進行友好提示。

2.2 EPG防篡改機制

EPG防篡改流程是IPTV對EPG模板資產的安全保護流程。以下是EPG防篡改機制的說明。

（1）MGMT的ECS子系統設置支持防篡改的基準EPG模板，通知基準EPG生成基準EPG模板MD5。

（2）基準EPG生成基準EPG模板MD5后上報給MGMT。

（3）MGMT通知全網EPG服務器生成目標EPG模板MD5。

（4）目標EPG生成EPG模板MD5后上報MGMT。

（5）MGMT比對MD5，如果不一致，則將不一致結果保存在數據庫中。

（6）MGMT的ECS子系統查詢EPG模板檢測結果，對不一致的EPG模板進行校準，同時后臺進行周期性校準。

2.3 SQM視頻質量保障實現方案

IPTV業務的開展依托網絡進行傳輸。SQM是視頻質量監控系統，能夠監控網絡傳輸視頻的質量，定位視頻質量故障產生的原因。

SQM系統由MQMC、DPP、PCF和Probe四個部件組成。

2.3.1 MQMC

MQMC即媒體質量監控中心，提供人機交互界面，負責下發所有任務到Probe，并收集和匯總各級Probe的數據，提供監控展示、歷史記錄查詢、統計和分析等功能。

MQMC需要連接數據庫，數據庫負責記錄需要長久保存的數據，如Probe信息、STB信息、監控歷史統計數據、告警數據、用戶數據等。

2.3.2 DPP

DPP負責匯總和入庫PCF采集的數據。

2.3.3 PCF

PCF負責采集和匯總其管理的STB信息，再由PCF向MQMC上報STB的相關信息。

隨著STB的數量增加，PCF的數量也隨之增加。

2.3.4 Probe

Probe由各種類型、各個級別的Probe組成。

（1）在頭端層部署Probe，用于監控IPTV編碼器或第三方提供的直播源的出流質量。

（2）在分發層HMS設備上合設Probe，用于監控HMS發出的流媒體質量以及信令交互。

（3）在承載層的網絡設備上部署Probe，可用于主動仿真測試以監控該點的傳輸質量。承載網設備包括母局網絡設備、骨干/城域/接入各級網絡的網絡設備及家庭網絡設備。

（4）在終端STB上內嵌Probe，用于監控STB的收流質量情況。

3 IPTV系統安全問題

3.1 系統安全方案

IPTV解決方案基于安全的考慮，全網設備劃分為信令和業務兩個平面。對最終用戶提供業務的流媒體服務器和機頂盒升級服務器支持雙平面，業務平面對最終用戶提供服務，不經過防火墻，保證足夠的帶寬和穩定性。流媒體和升級服務器的信令平面與其他IPTV服務器都處于信令平面，而且在防火墻內。所有信令交互處于防火墻內，不受外網影響，也不流出到外網，保證信令交互和服務器安全。在業務平面，通過S9303上的ACL設置，僅允許合法的IP和協議報文通過，保證邊界安全。

3.2 安全優化

3.2.1 合法組播源的保護

一般通過部署防火墻隔離組播服務器和組播網絡，這樣可以有效保護合法組播源，防止黑客的惡意攻擊。

3.2.2 防范非法組播源

一般有兩種方法：一是在RP上對組播源的合法性進行檢查，如果發現來自未經授權的組播源的注冊報文，則可以拒絕接收發送過來的單播注冊報文，因此下游用戶就可以避免接收到非法的組播節目；二是在邊緣設備上配置組播源組過濾策略，只處理屬于合法范圍的組播源的數據，只過濾組播報文的組地址。

3.2.3 防范非法用戶

一是對轉發的組播報文的TTL數進行檢查，只對大于所配置的TTL閾值的組播報文進行轉發，因此可以限制組播報文擴散到未經授權的范圍，防止非法用戶收到。二是通過DNS對組播數據進行加密，只有合法的通過驗證后的STB系統才能接收組播數據。

3.3 防火墻部署

為了對IPTV業務系統進行安全保護，除了需要IPTV業務服務器自身安裝防病毒軟件及主機加固之外，還需要通過IPTV承載網對業務系統提供更多層次的安全保護。

IPTV解決方案劃分為信令平面和業務平面。信令平面處在防火墻信任區，業務平面處于非信任區。信令平面走信令流，業務平面走用戶流媒體服務、機頂盒升級服務和中心、區域、邊緣之間內容分發的FTP。

信令平面的安全通過防火墻配置，因信令平面中心、區域、邊緣之間信令流太多，交互復雜，在防火墻上不做協議限制，僅限IP，不分析中間件和流媒體中心內部協議，在解決方案層面通過中心、區域、邊緣防火墻把所有信令平面的IP隔離在信任區，禁止非信任區的IP進入。處在信任區的IP雖然處在中心、區域、邊緣幾個不同地方，但相互之間可以互通[2]。

業務平面的安全通過S9303上的ACL配置，因防火墻一般是連接在S9303上的，所有經過防火墻的流量都會先過S9303，組播流和中心、區域、邊緣之間內容分發的FTP也會過S9303，因此在S9303上需開放所有信令、業務和組播IP，另外對于客戶的維護IP，也同樣需要開放。

最終用戶僅使用中間件的8082（中間件EDS/EPG端口），流媒體中心流服務554端口，NTP服務123端口，DNS服務和用戶向CA系統注冊的4460端口，這幾個端口在防火墻和S9303上針對用戶IP段開放，保證用戶正常服務。

4 業務安全

4.1 基于業務域的安全控制

通過機頂盒MAC地址綁定，限制普通上網用戶進入IPTV域，也可以防止機頂盒受到普通上網用戶的攻擊；通過IPTV系統服務器的邊界S9303，限制只有機頂盒IP才能訪問流媒體業務端口，防止普通上網用戶盜看IPTV流媒體服務。

4.2 端到端的業務域隔離

為了徹底隔離IPTV網和Internet網的互訪，實現端到端的業務域隔離，可以通過VPN隔離IPTV網和Internet網。

5 系統安全

5.1 認證安全

IPTV將采用消息驗證碼（MAC）機制實現用戶登錄信息的加密處理和傳遞，避免用戶密碼在網絡上明文傳輸。

5.2 播放安全

IPTV將采用消息驗證碼（MAC）機制實現播放URL的防盜鏈處理和傳遞，避免非法用戶截取URL后進行重傳攻擊。現網IPTV平臺采用MAC與機頂盒賬號綁定方式。

[1]李曉靜，馮小芳，王吉順. 電信運營商IPTV+OTT業務網絡承載方案簡析[J]. 電信快報，2014（10）：38-40.

[2]林嵐君. 電信運營商融合CDN網絡部署策略[J]. 電信快報，2015（7）：38-40.

IPTV Business OTT CDN System Security Solution

Geng Lei

China Unicom Communications Network Co., Ltd., Shaanxi Branch, Shaanxi Xi’an 710075

The paper mainly describes the IPTV network business OTT CDN system upgrade engineering design networking scheme. At the same time, it explores special issues such as EPG prevention tamper and anti-theft chain scheme, video quality monitoring and construction scheme, system security scheme and other special issues.

IPTV; Architecture; Security

TN949.292

A