Juniper王衛(wèi):IPTV網絡架構必須考慮安全策略
王衛(wèi) 2007/06/29
IPTV為服務供應商提供了巨大的業(yè)務機會,使電信公司能夠更有效地與電纜行業(yè)現(xiàn)有的三方服務相競爭����,抵消正在下滑的語音業(yè)務收入并產生顯著的額外收入���。雖然IPTV能帶更高的收益,但是IPTV業(yè)務對于網絡基礎架構也提出更高的要求:IPTV需要一個高安全性的智能網絡���,這一網絡使服務供應商傳輸豐富內容的來增加利潤的同時���,還能夠保護視頻服務基礎架構,減少用戶的 流失����,建立一種長期的用戶關系。
雖然IPTV不是運行在英特網上的���,但是它一種在網絡上基于IP的服務����,其用戶和服務可能是來自服務供應商網絡之外的���。困擾其他基于網絡的危險���,如郵件和英特網訪問中遇到的黑客����、威脅和漏洞����,IPTV同樣也可能遇到。歷史上����,黑客在服務應用的最初階段----在安全對策還沒有完全得到加強的時候----就已經很快地攫取了服務權限,造成了不利影響����。而在服務應用的初級階段,用戶的意見和印象是最具有可塑性的����。
IPTV供應商在他們最關鍵的應用初步階段是不能夠出現(xiàn)任何用戶不滿的���。正因為如此����,供應商們必須在一開始就為他們的IPTV網絡建立起全面的安全策略���。但是IPTV服務的全面安全計劃是怎樣的呢���?
首先也是最重要的����,安全計劃必須為內容����、終端用戶和網絡本身提供多層的安全保護。另外����,一個全面的IPTV安全策略必須考慮到網絡中的所有區(qū)域----從供應商網絡中的視頻服務基礎架構到“最后一碼”接入終端用戶的家用網絡----必須不受到安全破壞。
IP是一個已經實現(xiàn)了多年的標準和一項被充分理解的技術����。很多已經應用到其他IP服務中的概念和策略,現(xiàn)在也能夠應用到IPTV和IPTV內容傳輸網絡的保護中���。但是���,除了與其他基于IP的服務有內在的相似之處外,IPTV也有其獨特的挑戰(zhàn)����。
例如���,IPTV有獨特的高帶寬,實時傳輸?shù)男枨蠛筒煌挠脩舴⻊掌谕���。這些服務期望和結構上的不同使得很難將傳統(tǒng)的保護技術經濟地應用到視頻服務基礎架構中----我們需要一種新的方法���。
此外,因為IPTV服務是與其他IP服務共享一個網絡的����,這些其他的IP服務是傳輸?shù)焦⿷痰挠脩魩欤员WCIPTV的安全性是至關重要的����。對IPTV服務或其他共享相同網絡通道服務的安全攻擊能夠輕易地影響到網絡中所有服務的有效性。隨著HD電視和一般用戶的電視設備規(guī)模的不斷升級���,如果出現(xiàn)信息丟失或因抖動而打斷一個重要的電視播音,IPTV用戶一定會怨聲載道----即使這一抖動是由于其自身家用網絡設計問題而導致的���。因此���,IPTV服務供應商需要一個對用戶家中網絡實施安全和保護的控制���。
視頻服務基礎架構
保護視頻服務基礎架構不受到攻擊需要維持在光學性能水平上的視頻流和設備,任何使視頻流或服務設備停頓下來的事情都有可能降低用戶體驗的質量���,這是絕對不能允許的���。多視頻服務器導致了為拒絕服務攻擊(DoS)提供多重目標,該攻擊將會使服務器泛濫著非法請求或者通過運行一個端口UDP 泛濫(UDP flood)����,而使服務器充滿非法請求。 這一惡意攻擊攫取處理循環(huán)的服務器去處理合法請求���。如果不完善的設備或連接創(chuàng)建了無意的DoS攻擊環(huán)境���,這就是個復合的問題了。例如���,不完善的存儲器或一個松散的網絡連接可能引起一個 STB不斷的請求重新發(fā)送信息包����。
用戶的直接互動使視頻服務基礎架構非常容易受到DoS的攻擊。而網絡防火墻能夠補充網絡中DoS保護的特性���,如果這些防火墻能夠監(jiān)測每秒鐘每個用戶的請求數(shù)量并能夠升級以支持大量的用戶���,那么這一做法將有效地滿足用戶的需求。但是����,這些防火墻只能持續(xù)地保持每秒幾個GB,這樣就需要大量的防火墻去支持視頻服務基礎架構����。通過防火墻發(fā)送視頻包也增加了時延,每一個STB都需要更多的緩沖時間���。
視頻點播(Video on Demand)服務器也容易受到傳輸控制協(xié)議(TCP)的攻擊以及在應用層面的攻擊����。為保護VoD服務器不受正面攻擊及對隨機視頻應用的背面攻擊����,就需要有簽名或模式吻合的運作能力����。因此����,結合了入侵探測和保護功能的網絡防火墻���,能夠識別攻擊簽名����,這對于保護VoD服務器將非常有效����。
但是為每個視頻服務器配備一個專用的安全設備不是一個經濟的解決方案。在一個有很多視頻服務辦公室的大型供應商網絡中����,管理和更新眾多的防火墻并監(jiān)測攻擊,這在操作上是一種挑戰(zhàn)����。實際上,拆下沒有IDP功能的高容量防火墻通常比他們要保護的服務器成本更高���。最終����,為了實現(xiàn)更具成本優(yōu)勢的安全保護,安全設備的數(shù)量必須要減少���。
對這個問題的一個解決方案就是利用不對稱的交通路由����,這樣防火墻/IDP網關就不會超負荷����,實際所需要的設備就會減少。這個不對稱方法使下游的視頻交通不會對防火墻/IDP網關造成壓力����,并且只關注本來就是低帶寬的上游控制交通。
服務供應商能夠決定網絡保護政策����,并在聯(lián)合防火墻/IDP功能中設置濾波器以探測和阻止不希望出現(xiàn)的行為。例如���,服務供應商能夠選擇從一個指定的來源發(fā)送到服務基礎架構的請求數(shù)量����。對一個指定的IP用戶,網絡防火墻能夠支持每秒的請求數(shù)量并設置一個極限����,在一段固定的時間內(在這里是���,每秒)超過了這一極限的請求就要被放棄���。這樣,如果一個服務器正在收到過量的請求���,供應商能夠通過網絡防火墻設備保持對其大多數(shù)用戶的服務質量����,同時對犯規(guī)用戶的服務只造成片刻的影響����。對于違反網絡政策的不合理請求,其過量的級別或持續(xù)的水平����,能夠被提升為一種警告����,且服務請求被暫時地拒絕����。這一方法自動地阻止了DoS攻擊,并使網絡運營商能夠留意到一個攻擊實際發(fā)生的條件和源頭���。
設備供應商已經建立起了可接受的交通模式簽名以及惡意攻擊簽名����。這樣視頻服務基礎架構通過尋找已知攻擊的簽名匹配就能夠避免受到正面的應用攻擊���。當然����,這種方法只是眾多方法中的一種����,因為它只有在簽名文件得到頻繁更新的情況下,才能發(fā)揮有強大的作用���。
家庭網絡的漏洞
隨著家庭網絡的使用和普及���,像英特網服務���,文件傳輸,線上游戲和VoIP呼叫一樣���,IPTV服務將會由同樣的家庭網絡來傳輸����。對服務供應商不利的一面是���,家庭網絡中有了額外的用戶活動,終端用戶將對其服務傳輸質量有自己的看法����,而服務供應商很難管理這些主觀價值的判斷。更糟糕的是����,DIY家庭網絡設計不僅可能帶來有問題的連接,而且可能出現(xiàn)安全漏洞����。在PC上的一個安全漏洞為對網絡帶寬進行的消耗性攻擊打開了一個缺口���,它可能降低供應商的服務質量并導致用戶的不滿,增加支持成本以及有可能的注銷服務���。
因為服務供應商為終端用戶提供了更多的先進服務����,因而考慮“最后一碼”的接入安全需求是很重要的����。必須要隔離對一種服務的攻擊且不影響到家庭網絡上的其它服務。因為要在家中運行���,IPTV有最高的服務性能要求���,所以它對由于安全攻擊而造成的網絡性能降級非常敏感。供應商很少能控制到纜線機頂盒和家庭網關以外的家庭網絡����,這對于IPTV服務供應商來說是一個挑戰(zhàn)。一些技術���,如網絡節(jié)點認證技術����,802.1x及其它技術,由于能夠在一個設備連接到網絡之前就執(zhí)行一個特定的安全政策���,這樣他們在IPTV服務領域可能是非常有用的���。
作為一種新的服務,從安全角度和一個綜合的角度來看����,IPTV是非常容易受到攻擊的。為保證他們新的IPTV服務的成功���,供應商們在一開始就需要在他們的網絡中建立一個全面的,以網絡為中心的安全策略���。這一安全策略需要既全面���,又高效可靠,并且應該考慮到在服務供應商和家庭網絡中所有可能出現(xiàn)的安全破綻����。
eNet硅谷動力(cio.enet.com.cn)
相關鏈接: