Juniper王衛(wèi):IPTV網(wǎng)絡(luò)架構(gòu)必須考慮安全策略

王衛(wèi) 2007/06/29

  IPTV為服務(wù)供應(yīng)商提供了巨大的業(yè)務(wù)機會,使電信公司能夠更有效地與電纜行業(yè)現(xiàn)有的三方服務(wù)相競爭,抵消正在下滑的語音業(yè)務(wù)收入并產(chǎn)生顯著的額外收入。雖然IPTV能帶更高的收益,但是IPTV業(yè)務(wù)對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也提出更高的要求:IPTV需要一個高安全性的智能網(wǎng)絡(luò),這一網(wǎng)絡(luò)使服務(wù)供應(yīng)商傳輸豐富內(nèi)容的來增加利潤的同時,還能夠保護視頻服務(wù)基礎(chǔ)架構(gòu),減少用戶的 流失,建立一種長期的用戶關(guān)系。

  雖然IPTV不是運行在英特網(wǎng)上的,但是它一種在網(wǎng)絡(luò)上基于IP的服務(wù),其用戶和服務(wù)可能是來自服務(wù)供應(yīng)商網(wǎng)絡(luò)之外的。困擾其他基于網(wǎng)絡(luò)的危險,如郵件和英特網(wǎng)訪問中遇到的黑客、威脅和漏洞,IPTV同樣也可能遇到。歷史上,黑客在服務(wù)應(yīng)用的最初階段----在安全對策還沒有完全得到加強的時候----就已經(jīng)很快地攫取了服務(wù)權(quán)限,造成了不利影響。而在服務(wù)應(yīng)用的初級階段,用戶的意見和印象是最具有可塑性的。

  IPTV供應(yīng)商在他們最關(guān)鍵的應(yīng)用初步階段是不能夠出現(xiàn)任何用戶不滿的。正因為如此,供應(yīng)商們必須在一開始就為他們的IPTV網(wǎng)絡(luò)建立起全面的安全策略。但是IPTV服務(wù)的全面安全計劃是怎樣的呢?

  首先也是最重要的,安全計劃必須為內(nèi)容、終端用戶和網(wǎng)絡(luò)本身提供多層的安全保護。另外,一個全面的IPTV安全策略必須考慮到網(wǎng)絡(luò)中的所有區(qū)域----從供應(yīng)商網(wǎng)絡(luò)中的視頻服務(wù)基礎(chǔ)架構(gòu)到“最后一碼”接入終端用戶的家用網(wǎng)絡(luò)----必須不受到安全破壞。

  IP是一個已經(jīng)實現(xiàn)了多年的標準和一項被充分理解的技術(shù)。很多已經(jīng)應(yīng)用到其他IP服務(wù)中的概念和策略,現(xiàn)在也能夠應(yīng)用到IPTV和IPTV內(nèi)容傳輸網(wǎng)絡(luò)的保護中。但是,除了與其他基于IP的服務(wù)有內(nèi)在的相似之處外,IPTV也有其獨特的挑戰(zhàn)。

  例如,IPTV有獨特的高帶寬,實時傳輸?shù)男枨蠛筒煌挠脩舴⻊?wù)期望值。這些服務(wù)期望和結(jié)構(gòu)上的不同使得很難將傳統(tǒng)的保護技術(shù)經(jīng)濟地應(yīng)用到視頻服務(wù)基礎(chǔ)架構(gòu)中----我們需要一種新的方法。

  此外,因為IPTV服務(wù)是與其他IP服務(wù)共享一個網(wǎng)絡(luò)的,這些其他的IP服務(wù)是傳輸?shù)焦⿷?yīng)商的用戶庫,所以保證IPTV的安全性是至關(guān)重要的。對IPTV服務(wù)或其他共享相同網(wǎng)絡(luò)通道服務(wù)的安全攻擊能夠輕易地影響到網(wǎng)絡(luò)中所有服務(wù)的有效性。隨著HD電視和一般用戶的電視設(shè)備規(guī)模的不斷升級,如果出現(xiàn)信息丟失或因抖動而打斷一個重要的電視播音,IPTV用戶一定會怨聲載道----即使這一抖動是由于其自身家用網(wǎng)絡(luò)設(shè)計問題而導(dǎo)致的。因此,IPTV服務(wù)供應(yīng)商需要一個對用戶家中網(wǎng)絡(luò)實施安全和保護的控制。

  視頻服務(wù)基礎(chǔ)架構(gòu)

  保護視頻服務(wù)基礎(chǔ)架構(gòu)不受到攻擊需要維持在光學性能水平上的視頻流和設(shè)備,任何使視頻流或服務(wù)設(shè)備停頓下來的事情都有可能降低用戶體驗的質(zhì)量,這是絕對不能允許的。多視頻服務(wù)器導(dǎo)致了為拒絕服務(wù)攻擊(DoS)提供多重目標,該攻擊將會使服務(wù)器泛濫著非法請求或者通過運行一個端口UDP 泛濫(UDP flood),而使服務(wù)器充滿非法請求。 這一惡意攻擊攫取處理循環(huán)的服務(wù)器去處理合法請求。如果不完善的設(shè)備或連接創(chuàng)建了無意的DoS攻擊環(huán)境,這就是個復(fù)合的問題了。例如,不完善的存儲器或一個松散的網(wǎng)絡(luò)連接可能引起一個 STB不斷的請求重新發(fā)送信息包。

  用戶的直接互動使視頻服務(wù)基礎(chǔ)架構(gòu)非常容易受到DoS的攻擊。而網(wǎng)絡(luò)防火墻能夠補充網(wǎng)絡(luò)中DoS保護的特性,如果這些防火墻能夠監(jiān)測每秒鐘每個用戶的請求數(shù)量并能夠升級以支持大量的用戶,那么這一做法將有效地滿足用戶的需求。但是,這些防火墻只能持續(xù)地保持每秒幾個GB,這樣就需要大量的防火墻去支持視頻服務(wù)基礎(chǔ)架構(gòu)。通過防火墻發(fā)送視頻包也增加了時延,每一個STB都需要更多的緩沖時間。

  視頻點播(Video on Demand)服務(wù)器也容易受到傳輸控制協(xié)議(TCP)的攻擊以及在應(yīng)用層面的攻擊。為保護VoD服務(wù)器不受正面攻擊及對隨機視頻應(yīng)用的背面攻擊,就需要有簽名或模式吻合的運作能力。因此,結(jié)合了入侵探測和保護功能的網(wǎng)絡(luò)防火墻,能夠識別攻擊簽名,這對于保護VoD服務(wù)器將非常有效。

  但是為每個視頻服務(wù)器配備一個專用的安全設(shè)備不是一個經(jīng)濟的解決方案。在一個有很多視頻服務(wù)辦公室的大型供應(yīng)商網(wǎng)絡(luò)中,管理和更新眾多的防火墻并監(jiān)測攻擊,這在操作上是一種挑戰(zhàn)。實際上,拆下沒有IDP功能的高容量防火墻通常比他們要保護的服務(wù)器成本更高。最終,為了實現(xiàn)更具成本優(yōu)勢的安全保護,安全設(shè)備的數(shù)量必須要減少。

  對這個問題的一個解決方案就是利用不對稱的交通路由,這樣防火墻/IDP網(wǎng)關(guān)就不會超負荷,實際所需要的設(shè)備就會減少。這個不對稱方法使下游的視頻交通不會對防火墻/IDP網(wǎng)關(guān)造成壓力,并且只關(guān)注本來就是低帶寬的上游控制交通。

  服務(wù)供應(yīng)商能夠決定網(wǎng)絡(luò)保護政策,并在聯(lián)合防火墻/IDP功能中設(shè)置濾波器以探測和阻止不希望出現(xiàn)的行為。例如,服務(wù)供應(yīng)商能夠選擇從一個指定的來源發(fā)送到服務(wù)基礎(chǔ)架構(gòu)的請求數(shù)量。對一個指定的IP用戶,網(wǎng)絡(luò)防火墻能夠支持每秒的請求數(shù)量并設(shè)置一個極限,在一段固定的時間內(nèi)(在這里是,每秒)超過了這一極限的請求就要被放棄。這樣,如果一個服務(wù)器正在收到過量的請求,供應(yīng)商能夠通過網(wǎng)絡(luò)防火墻設(shè)備保持對其大多數(shù)用戶的服務(wù)質(zhì)量,同時對犯規(guī)用戶的服務(wù)只造成片刻的影響。對于違反網(wǎng)絡(luò)政策的不合理請求,其過量的級別或持續(xù)的水平,能夠被提升為一種警告,且服務(wù)請求被暫時地拒絕。這一方法自動地阻止了DoS攻擊,并使網(wǎng)絡(luò)運營商能夠留意到一個攻擊實際發(fā)生的條件和源頭。

  設(shè)備供應(yīng)商已經(jīng)建立起了可接受的交通模式簽名以及惡意攻擊簽名。這樣視頻服務(wù)基礎(chǔ)架構(gòu)通過尋找已知攻擊的簽名匹配就能夠避免受到正面的應(yīng)用攻擊。當然,這種方法只是眾多方法中的一種,因為它只有在簽名文件得到頻繁更新的情況下,才能發(fā)揮有強大的作用。

  家庭網(wǎng)絡(luò)的漏洞

  隨著家庭網(wǎng)絡(luò)的使用和普及,像英特網(wǎng)服務(wù),文件傳輸,線上游戲和VoIP呼叫一樣,IPTV服務(wù)將會由同樣的家庭網(wǎng)絡(luò)來傳輸。對服務(wù)供應(yīng)商不利的一面是,家庭網(wǎng)絡(luò)中有了額外的用戶活動,終端用戶將對其服務(wù)傳輸質(zhì)量有自己的看法,而服務(wù)供應(yīng)商很難管理這些主觀價值的判斷。更糟糕的是,DIY家庭網(wǎng)絡(luò)設(shè)計不僅可能帶來有問題的連接,而且可能出現(xiàn)安全漏洞。在PC上的一個安全漏洞為對網(wǎng)絡(luò)帶寬進行的消耗性攻擊打開了一個缺口,它可能降低供應(yīng)商的服務(wù)質(zhì)量并導(dǎo)致用戶的不滿,增加支持成本以及有可能的注銷服務(wù)。

  因為服務(wù)供應(yīng)商為終端用戶提供了更多的先進服務(wù),因而考慮“最后一碼”的接入安全需求是很重要的。必須要隔離對一種服務(wù)的攻擊且不影響到家庭網(wǎng)絡(luò)上的其它服務(wù)。因為要在家中運行,IPTV有最高的服務(wù)性能要求,所以它對由于安全攻擊而造成的網(wǎng)絡(luò)性能降級非常敏感。供應(yīng)商很少能控制到纜線機頂盒和家庭網(wǎng)關(guān)以外的家庭網(wǎng)絡(luò),這對于IPTV服務(wù)供應(yīng)商來說是一個挑戰(zhàn)。一些技術(shù),如網(wǎng)絡(luò)節(jié)點認證技術(shù),802.1x及其它技術(shù),由于能夠在一個設(shè)備連接到網(wǎng)絡(luò)之前就執(zhí)行一個特定的安全政策,這樣他們在IPTV服務(wù)領(lǐng)域可能是非常有用的。

  作為一種新的服務(wù),從安全角度和一個綜合的角度來看,IPTV是非常容易受到攻擊的。為保證他們新的IPTV服務(wù)的成功,供應(yīng)商們在一開始就需要在他們的網(wǎng)絡(luò)中建立一個全面的,以網(wǎng)絡(luò)為中心的安全策略。這一安全策略需要既全面,又高效可靠,并且應(yīng)該考慮到在服務(wù)供應(yīng)商和家庭網(wǎng)絡(luò)中所有可能出現(xiàn)的安全破綻。

eNet硅谷動力(cio.enet.com.cn)


相關(guān)鏈接:
Juniper為減延遲將VoIP安全融合到路由器 2009-07-28
Juniper話音業(yè)務(wù)解決方案 2008-08-13
Juniper:2010年全球娛樂市場收入將達475億美元 2008-03-13
Juniper推新方案保護VoIP和基于SIP的服務(wù) 2007-10-12
Juniper網(wǎng)絡(luò):有線VoIP和基于SIP的服務(wù) 安全更重要 2007-08-28

分類信息:  增值電信_與_IPTV  增值電信_與_電信  IPTV_與_電信