下一代廣播電視網(wǎng)訪問控制模型探究

薛朝慧，田 方

（陜西廣電網(wǎng)絡(luò)傳媒（集團(tuán)）股份有限公司 陜西 西安 710075）

1 引言

下一代廣播電視網(wǎng)(Next Generation Broadcasting，簡(jiǎn)稱NGB)，通常是指?jìng)鹘y(tǒng)的語音電話網(wǎng)、互聯(lián)網(wǎng)和有線電視網(wǎng)的三網(wǎng)融合，具體來說是通過技術(shù)改造使三網(wǎng)在技術(shù)層面趨于相同，在業(yè)務(wù)層面彼此交互和滲透，在網(wǎng)絡(luò)層面互聯(lián)互通，逐漸合并成一套信息傳輸網(wǎng)絡(luò)，統(tǒng)一為客戶提供數(shù)據(jù)服務(wù)、語音服務(wù)和傳統(tǒng)廣播電視服務(wù)等內(nèi)容。下一代廣播電視網(wǎng)的建設(shè)有利于沖破傳統(tǒng)運(yùn)營商的壟斷，形成良性競(jìng)爭(zhēng)機(jī)制，降低基礎(chǔ)設(shè)施投資，增強(qiáng)用戶的便利和體驗(yàn)，但同時(shí)，必然將帶來信息安全上的問題，例如非法訪問、內(nèi)容篡改、竊聽、流量攻擊等，因此應(yīng)該重視下一代廣播電視網(wǎng)的信息安全問題研究。

2 威脅分析

從網(wǎng)絡(luò)傳輸模式角度來分析，傳統(tǒng)的廣播電視網(wǎng)絡(luò)是一種單向網(wǎng)絡(luò)，即從廣播電臺(tái)、電視臺(tái)到用戶的單向數(shù)據(jù)傳送。主要的安全特征是它的邊界很明確，它的網(wǎng)絡(luò)活動(dòng)主體很純粹，它的承載業(yè)務(wù)很單一，在采、編、播三個(gè)主要環(huán)節(jié)監(jiān)控非常嚴(yán)密，是一個(gè)較為封閉的網(wǎng)絡(luò)，這種單向傳輸?shù)姆绞剑商烊坏母綦x大部分源自互聯(lián)網(wǎng)的攻擊和病毒。然而在三網(wǎng)融合后，高速寬帶網(wǎng)、移動(dòng)數(shù)據(jù)網(wǎng)等基于IP協(xié)議的新型傳輸網(wǎng)將承載廣電內(nèi)容傳播，因?yàn)镮P協(xié)議本身是一個(gè)開放的協(xié)議，必將導(dǎo)致對(duì)安全性要求比較高的廣電業(yè)務(wù)和對(duì)安全要求比較低的互聯(lián)網(wǎng)業(yè)務(wù)混雜在一起，不能夠進(jìn)行有效隔離和區(qū)分，進(jìn)而導(dǎo)致廣播電視網(wǎng)的業(yè)務(wù)很容易遭受攻擊并衍生出新的安全問題，在這其中廣電網(wǎng)業(yè)務(wù)安全問題、客戶端的安全問題以及傳輸過程中安全問題是較為突出的。

首先是網(wǎng)絡(luò)傳輸問題，下一代廣播電視網(wǎng)的核心協(xié)議是TCP/IP協(xié)議，TCP/IP協(xié)議作為事實(shí)上的互聯(lián)網(wǎng)協(xié)議，協(xié)議本身就存在較多的弊端和安全隱患。例如，IP協(xié)議既不對(duì)IP包頭源地址做檢查，也不提供身份鑒別和傳輸質(zhì)量控制機(jī)制，這種做法會(huì)導(dǎo)致無法區(qū)分合法用戶和黑客等惡意攻擊者，TCP協(xié)議更是存在拒絕服務(wù)攻擊、中間人攻擊等各種問題。黑客等惡意攻擊者可能采用IP地址欺騙、ARP欺騙、DDOS攻擊和中間人攻擊等攻擊手段入侵網(wǎng)絡(luò)，達(dá)到竊取信息、權(quán)限劫持甚至是破壞服務(wù)等目的。下一代廣播電視網(wǎng)在繼承TCP/IP協(xié)議的同時(shí)也必將繼承這些安全問題和隱患。

其次是內(nèi)容管理問題，在下一代廣播電視網(wǎng)中內(nèi)容安全問題將越發(fā)突出，許多原來在互聯(lián)網(wǎng)上傳播的負(fù)面輿情及不健康的信息將進(jìn)入廣電業(yè)務(wù)網(wǎng)和電信業(yè)務(wù)網(wǎng)，進(jìn)行擴(kuò)散并形成危害。下一代廣播電視網(wǎng)的內(nèi)容安全主要涉及到視頻監(jiān)管困難，三網(wǎng)融合后，交互式網(wǎng)絡(luò)電視技術(shù)（Internet Protocol Television，IPTV）作為一種新型的視頻點(diǎn)播技術(shù)，使得普通用戶可以用點(diǎn)播技術(shù)功能來獲取互聯(lián)網(wǎng)上的視頻資源，這將導(dǎo)致大量不良視頻信息無法納入到廣電的監(jiān)督和審查體系之下，而這些不良信息可能進(jìn)一步交互傳播，最終呈現(xiàn)在用戶的電視屏幕之上。同時(shí)在下一代廣播電視網(wǎng)中，關(guān)于版權(quán)的問題將會(huì)愈加突出，互聯(lián)網(wǎng)用戶可以點(diǎn)播廣電業(yè)務(wù)網(wǎng)上正規(guī)的電視節(jié)目和具有版權(quán)的影視劇，甚至有可能將廣電業(yè)務(wù)網(wǎng)上的電視節(jié)日或影視劇進(jìn)行翻錄，并上傳到互聯(lián)網(wǎng)上進(jìn)行傳播，這導(dǎo)致影視著作人的版權(quán)愈加無法保障。

最后是終端安全問題，由于三網(wǎng)融合后將逐步實(shí)現(xiàn)三屏融合，終端接入的方式和種類將更加多樣化，例如WLAN有線接入、WIFI無線接入以及紅外藍(lán)牙接入等。而終端的快速發(fā)展，尤其是可移動(dòng)終端的出現(xiàn)使得安全問題愈加復(fù)雜，目前可移動(dòng)終端正逐步成為個(gè)人信息的集中處理中心，然而受到終端本身的屏幕尺寸、移動(dòng)通信傳輸速率、電池續(xù)航能力以及CPU計(jì)算能力等的局限，可移動(dòng)終端本身的安全防護(hù)能力相對(duì)較差。以智能手機(jī)為例，目前幾乎所有的智能手機(jī)都可以下載和安裝各類軟件，這些軟件中有許多是攜帶惡意代碼的不良軟件，甚至是攻擊軟件，用戶在下載和使用這些軟件時(shí)無意識(shí)的就成為了攻擊鏈條中的一環(huán)，導(dǎo)致下一代廣播電視網(wǎng)中的攻擊源將更加難以定位和控制。

下一代廣播電視網(wǎng)對(duì)網(wǎng)絡(luò)傳輸、訪問控制、數(shù)據(jù)交換、內(nèi)容監(jiān)管方面的安全保障有了更高的需求，特別是在終端到內(nèi)容源的訪問控制層面，提出了更高的挑戰(zhàn)，因此下一代廣播電視網(wǎng)中應(yīng)該有針對(duì)性的引入更合適的訪問控制模型。

3 訪問控制模型

訪問控制通常是指一種描述訪問主體對(duì)被訪問的客體，能夠進(jìn)行哪些操作的控制方法論，主要目的是用來保證合法的資源不被非法利用。訪問控制包含三個(gè)基本的要素，即主體、客體和訪問權(quán)限。主體通常是指主動(dòng)發(fā)起訪問的實(shí)體，一般包括用戶、終端、業(yè)務(wù)應(yīng)用或其他形式的主機(jī)等，主體能夠訪問客體；客體是指被動(dòng)受到訪問的實(shí)體，它可以是字節(jié)字段、數(shù)據(jù)文件以及業(yè)務(wù)應(yīng)用等，也可以是處理器、網(wǎng)卡、內(nèi)存硬盤等，通常主體對(duì)客體的訪問應(yīng)該要受控；而訪問權(quán)限是一組描述了主體對(duì)客體的訪問的規(guī)則策略集，常見的訪問權(quán)限有讀、寫、執(zhí)行和拒絕訪問四種類型。在訪問控制過程中，如果主體對(duì)客體的訪問符合策略規(guī)則集則放行；反之，則中斷該次訪問。

三網(wǎng)融合之前，在相互獨(dú)立的環(huán)境下，網(wǎng)絡(luò)內(nèi)容的訪問控制方式更側(cè)重于身份鑒別，依據(jù)身份鑒別的結(jié)果執(zhí)行相應(yīng)的策略規(guī)則。語音電信網(wǎng)、互聯(lián)網(wǎng)和廣播電視網(wǎng)在身份認(rèn)證方面均有不同的處置方案，目前，廣播電視網(wǎng)用戶認(rèn)證機(jī)制是通過IC身份卡讀取來實(shí)現(xiàn)的，當(dāng)用戶接入到有線電視網(wǎng)內(nèi)的時(shí)候，會(huì)從運(yùn)營方獲取到一張包含用戶身份標(biāo)識(shí)的IC卡，當(dāng)有線電視機(jī)頂盒打開時(shí)會(huì)自動(dòng)讀取IC卡上的數(shù)據(jù)，并與廣播電視網(wǎng)進(jìn)行交互認(rèn)證，認(rèn)證通過后就可以觀看電視節(jié)目；而傳統(tǒng)電信網(wǎng)在認(rèn)證上需要在預(yù)置密鑰挑戰(zhàn)應(yīng)答下完成，完成后即可建立連接；互聯(lián)網(wǎng)身份認(rèn)證通常需要有公鑰基礎(chǔ)設(shè)施(即PKI/CA體系)的支撐。三網(wǎng)融合后如果繼續(xù)沿用獨(dú)立的身份鑒別方式，則勢(shì)必會(huì)給終端的設(shè)計(jì)、開發(fā)和應(yīng)用帶來極大的困難。因此本文主要探究三網(wǎng)融合后，下一代廣播電視網(wǎng)在內(nèi)容服務(wù)端實(shí)現(xiàn)訪問控制的技術(shù)手段。

訪問控制模型有自主型訪問控制模型(Discretionary Access Control，簡(jiǎn)稱DAC)和強(qiáng)制型訪問控制模型(Mandatory Access Control，簡(jiǎn)稱MAC)兩大類。自主型訪問控制模型中，資源的擁有者通常也是創(chuàng)立者，它設(shè)置訪問控制機(jī)制限定誰有權(quán)訪問它的資源，并且該權(quán)限可以傳遞給同一組的其他主體。由于授權(quán)可以傳遞，該模型難以對(duì)訪問權(quán)限進(jìn)行管控，不能抵御木馬或者其他惡意程序的攻擊，但相對(duì)的優(yōu)點(diǎn)是更自由和方便快捷。強(qiáng)制型訪問控制模型比自主型訪問控制模型更加嚴(yán)格，常用于國防安全、軍事安全這種高等級(jí)安全要求領(lǐng)域。該模型中主體和客體都有一個(gè)固定的強(qiáng)制性的安全屬性，只有操作系統(tǒng)或者管理員才能改動(dòng)他們的訪問權(quán)限。當(dāng)主體提出訪問請(qǐng)求時(shí)，系統(tǒng)通過對(duì)比訪問主體的安全屬性和被訪問客體的安全屬性做出判斷，確定主體能不能訪問客體。

對(duì)于電視廣播資源內(nèi)容，由于廣電行業(yè)肩負(fù)黨和國家的政治宣傳任務(wù)，在節(jié)目制作、播放、傳輸?shù)雀鱾€(gè)步驟都有指引要求，同時(shí)由于廣電還具有服務(wù)于公眾的特性，可以引領(lǐng)正確的輿論導(dǎo)向，滿足公民的文化娛樂需求，所以廣播電視的資源內(nèi)容防護(hù)要求在于可管可控，防止被惡意篡改和上傳不良內(nèi)容，保證數(shù)據(jù)不被損壞?；谏鲜鲈?，廣播電視資源內(nèi)容適用于強(qiáng)制訪問控制模型。

在強(qiáng)制訪問控制模型中，Biba模型定義了一種正式的計(jì)算機(jī)安全策略狀態(tài)轉(zhuǎn)換系統(tǒng)，制訂了一系列保障數(shù)據(jù)資源不被損壞的訪問控制規(guī)則策略集，用于保障計(jì)算機(jī)的完整性。Biba模型為所有的主體和客體都分配了一個(gè)完整級(jí)，用于描述可信程度，高完整級(jí)的實(shí)體受到破壞則變?yōu)榈屯暾?jí)的非可信等級(jí)實(shí)體。信息只能從高等級(jí)實(shí)體傳遞到低等級(jí)的實(shí)體。在實(shí)際的使用環(huán)境中，主要是用來保護(hù)重要的系統(tǒng)程序或數(shù)據(jù)庫不被非授權(quán)的程序修改。

因此對(duì)于廣電業(yè)務(wù)網(wǎng)資源，客體為廣播電視網(wǎng)絡(luò)資源，主體為終端用戶，其中客體按照受訪級(jí)別從高到低進(jìn)行資源定級(jí)，主體按照自身的訪問權(quán)限從高到底進(jìn)行定級(jí)。假設(shè)主體和客體處于不一樣的安全級(jí)別時(shí)，都屬于一個(gè)確定的安全級(jí)別SC，SC就形成了偏序關(guān)系(例如用標(biāo)簽 TS表示付費(fèi)資源，就比標(biāo)簽為 S的免費(fèi)資源要高)。當(dāng)主體s的安全級(jí)為TS，而客體o的安全級(jí)為S時(shí)，用偏序關(guān)系就可以表達(dá)成SC(s)≥SC(o)。根據(jù)偏序關(guān)系，主體與客體之間主要存在4種訪問關(guān)系：

（1）向下讀（Read Down，RD），即主體安全級(jí)高于客體資源的安全級(jí)時(shí)允許主體對(duì)客體進(jìn)行讀操作；

（2）向上讀（Read Up，RU），即主體安全級(jí)低于客體資源的安全級(jí)時(shí)允許主體對(duì)客體進(jìn)行讀操作；

（3）向下寫（Write Down，WD），即主體安全級(jí)高于客體資源的安全級(jí)時(shí)允許主體對(duì)客體進(jìn)行寫操作；

（4）向上寫（Write Up，WU），即主體安全級(jí)低于客體資源的安全級(jí)時(shí)允許主體對(duì)客體進(jìn)行寫操作。

用偏序關(guān)系表示Biba模型如下：

（1）RU，當(dāng)且僅當(dāng)SC(s) ≤SC(o)，可以進(jìn)行讀操作；

（2）WD，當(dāng)且僅當(dāng)SC(s) ≥SC(o)，可以進(jìn)行寫操作。

基本訪問數(shù)據(jù)模型如圖1所示。

圖1

概括起來即為不下讀/不上寫，從而保障信息的完整性。通過Biba訪問控制模型可有效保障廣播電視網(wǎng)絡(luò)資源信息數(shù)據(jù)流向的單一性，即用戶只可以向比自身安全級(jí)別低的客體寫入信息，例如發(fā)布一些不受限的個(gè)人視頻；而對(duì)于比自己安全級(jí)別高的節(jié)目視頻或者公眾視頻，只有讀的權(quán)限而不能寫入，從而防止低安全級(jí)的用戶創(chuàng)建高安全級(jí)的客體資源，規(guī)避越權(quán)、篡播、插播等行為的產(chǎn)生。

對(duì)于電信業(yè)務(wù)網(wǎng)資源，則適用于基于角色的訪問控制模型(Role-based Access Control，RBAC)，該模型的基本思路是在系統(tǒng)內(nèi)設(shè)置若干個(gè)角色，將訪問許可權(quán)分配給這些角色，客戶通過獲取不同的角色身份獲取該角色所具有的訪問權(quán)限。由于在實(shí)際的電信業(yè)務(wù)中，客戶并不是被訪問的客體資源的所有者，這些信息屬于運(yùn)營商部門，例如每個(gè)套餐中含有的計(jì)費(fèi)語音、短信信息等，因此應(yīng)該基于客戶的角色構(gòu)建訪問控制策略，而不應(yīng)該基于客戶是否為信息的擁有者，也就是說訪問控制應(yīng)該由每個(gè)客戶所擔(dān)任的角色來決定，例如，一個(gè)可以手機(jī)號(hào)碼(客戶)可擁有語音、短信、手機(jī)導(dǎo)航、彩鈴(角色)等多項(xiàng)運(yùn)營商增值服務(wù)。

基于角色的訪問控制模型主要從需要進(jìn)行控制的主體的出發(fā)，設(shè)立典型的、具有代表性的角色，然后將訪問權(quán)限與角色關(guān)聯(lián)。基于角色的訪問控制模型與傳統(tǒng)的自主訪問控制模型和強(qiáng)制訪問控制模型之間的不同，在于基于角色的訪問控制模型在主客體之間建立了一個(gè)“角色”的概念。訪問權(quán)限并不是直接賦予客戶；而是通過角色作為中間橋梁，完成主客體之間的關(guān)聯(lián)。

RBAC基本模型如下：

U、R、P、S分別代表用戶集、角色集、權(quán)限集和會(huì)話集。

PA P×R代表權(quán)限與角色之間排列組合的指派關(guān)系。

UA U×R代表用戶與角色之間排列組合的指派關(guān)系。

user∶S→U代表會(huì)話到用戶的映射函數(shù)，user(Si)代表生成會(huì)話Si的用戶。

roles∶S→2R代表會(huì)話到角色子集的映射函數(shù)，role(Si)表示會(huì)話Si對(duì)應(yīng)的角色集合roles(Si){r|user(Si，r’)∈UA}（能隨時(shí)間改變）；

會(huì)話Si有權(quán)限集合Psi=Ur∈roles(Si){P|(p，r')∈PA}。

RABC模型可在基本模型的基礎(chǔ)上擴(kuò)展支持繼承和約束關(guān)系，其訪問控制模型如圖2所示。

圖2

RBAC模型很好的表示了電信業(yè)務(wù)網(wǎng)中客戶和角色權(quán)限之間的多重訪問關(guān)系集，通過在電信業(yè)務(wù)網(wǎng)劃分不同級(jí)別和職責(zé)功能的角色，賦予客戶具體的權(quán)限和責(zé)任?？蛻裟軌蚍奖愕膹囊粋€(gè)特定的角色更替為另一個(gè)角色，同時(shí)角色也可以根據(jù)新的需求進(jìn)行合并或權(quán)限調(diào)整。RBAC模型具有高度的靈活性，能夠便捷的進(jìn)行角色和權(quán)限切換，使電信業(yè)務(wù)網(wǎng)中對(duì)訪問控制權(quán)限的管理更加方便，有效解決了電信管理信息系統(tǒng)中用戶數(shù)量多、套餐業(yè)務(wù)變更頻繁的問題。

對(duì)于互聯(lián)網(wǎng)資源來說，自主訪問控制模型DAC是一種較為合適的訪問控制模型，自主訪問控制模型由用戶(通常也是資源的所有者和創(chuàng)建者)自主設(shè)定客體資源的訪問控制權(quán)限，允許授權(quán)的用戶或用戶組按照既定的訪問控制策略訪問規(guī)定的客體，阻斷非授權(quán)的用戶或用戶組。同時(shí)用戶和用戶組還可以有選擇地把自己所擁有的客體權(quán)限賦予其它的用戶或用戶組。目前主流的操作系統(tǒng)，如UNIX、Linux和Windows等均提供文件和資源的自主型訪問控制的功能。自主訪問控制模型可為用戶提供靈活、可調(diào)整的訪問控制策略，具有較好的易用性和擴(kuò)展性。自主訪問控制模型常用矩陣模型來描述訪問控制關(guān)系，規(guī)定主體對(duì)客體的被允許的訪問權(quán)限，如讀、寫、執(zhí)行等等。主體對(duì)客體訪問前，首先要檢查訪問控制列表中主、客體的訪問控制權(quán)限，來決定主體能否訪問該客體，可以進(jìn)行哪一種權(quán)限的訪問。當(dāng)前自主訪問控制模型已經(jīng)在互聯(lián)網(wǎng)中得到了廣泛應(yīng)用，本文不再細(xì)述。

4 結(jié)語

隨著國家對(duì)下一代廣播電視網(wǎng)建設(shè)工作的推進(jìn)，網(wǎng)絡(luò)安全問題與對(duì)應(yīng)的監(jiān)管問題愈發(fā)突出。本文通過對(duì)三網(wǎng)融合后，下一代廣播電視網(wǎng)中存在的安全風(fēng)險(xiǎn)和安全威脅進(jìn)行了詳細(xì)分析，對(duì)訪問控制模型進(jìn)行了深入的探究，確立了根據(jù)不同的主體實(shí)施不同的訪問控制規(guī)則的策略，即可解決三網(wǎng)融合后的訪問控制的安全問題，又可保證業(yè)務(wù)訪問控制的靈活性，簡(jiǎn)化終端的認(rèn)證。

本文旨在探究三網(wǎng)融合的訪問控制模型，提出新的思路，為三網(wǎng)融合工作的進(jìn)展助力，在具體實(shí)現(xiàn)方面，目前已經(jīng)有單向網(wǎng)閘技術(shù)、多重網(wǎng)關(guān)技術(shù)等成熟的訪問控制手段，可在此基礎(chǔ)上進(jìn)行平滑發(fā)展和過渡。

[1] 郝文江，武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，20121671-1122.

[2] 伍均璽.三網(wǎng)融合背景下的網(wǎng)絡(luò)安全研究[J].科技創(chuàng)新導(dǎo)報(bào)，2015NO.24.

[3] 鐘雪瑩.淺談三網(wǎng)融合背景下的網(wǎng)絡(luò)信息安全問題[J].信息與電腦，20161003-9767.

[4] 陳俊欣，張鳳荔，劉淵.基于角色的空間信息強(qiáng)制訪問控制模型研究[J].計(jì)算機(jī)應(yīng)用研究，20161001-3695.

[5] 陳靜，胡錦航.三網(wǎng)融合背景下廣播電視信息安全問題研究[N].第二十一屆中國國際廣播電視信息網(wǎng)絡(luò)展覽會(huì)，2013-(CCBN2013).

[6] 趙姍姍，淺談三網(wǎng)融合與下一代廣播電視網(wǎng)技術(shù)[J].黑龍江科技信息，2016(27).

[7] 陸健龍.基于角色PMI的電子政務(wù)訪問授權(quán)研究[D].上海交通大學(xué)，2008.