基于标识的数据流处理机制

牛妍华

(广播科学研究院，北京 100866)

下一代广播电视网(Next Generation Broadcasting，NGB)具有可管可控的特征，业务可管理、行为可追踪、运行可控制[1]。传统的广播电视网主要以广播业务为主，在有线电视前端设置专门人员24小时严密监视播出信号，对可能遭受攻击的卫星节目源进行安全监播，可保证节目源信号基本可控，内容安全在很大程度上依赖于电台、电视台等节目提供单位的安全播出和节目源的安全传输。随着三网融合的演进，广电不断引入新的业务形态，网络架构和传输体制也发生了重大的转变，终端类型也随之增加[2]。这就对业务的可管、可控、可信提出了更高的要求。这就要求对业务和终端用户进行精细化识别，及时发现和处理非法内容和非法业务，及时控制非法用户行为，通过技术手段保证高优先级业务的顺利传输和高效准确的事故源追溯。

本文提出了一种基于标识的数据流处理机制，实现对业务和用户的精细化识别。采用标识和策略相结合的方式，应用于NGB管控系统中，实现对业务和用户的可管可控，以及事故的事后追溯。

1 标识

标识是对业务和用户进行精细化识别的基础，由用户和业务的属性值合成。标识包括业务标识和用户标识。

表1 业务标识属性表

用户标识可以实现对全网用户的唯一识别，由机顶盒自动生成。用户标识的属性包括注册区域代码、用户类型、用户代码、成员代码、用户级别、终端类型，如表2所示。用户类型可以用于区分个人用户和集体用户，集体用户包括家庭用户和集团用户。具体的，对于集体用户，同一用户标识可开通多个用户(限制数)账号;对于个人用户，同一用户只有一个账号。用户代码用于唯一标识某一类型的用户，属性值大小根据用户量确定。

2 基于标识的策略

策略由标识属性映射而成，分为3类:业务属性相关策略;用户属性相关策略;业务属性和用户属性相关策略。业务属性相关策略仅由业务属性值确定，根据一个或多个业务属性值确认处理策略;用户属性相关策略仅由用户属性值确定，根据一个或多个用户属性值确认处理策略;业务属性和用户属性相关策略由业务属性和用户属性共同决定，根据一个或多个业务属性值及用户属性值制定策略规则。

表2 用户标识属性表

1)业务标识

设S为全网运营业务的集合，S={S1，S2，…，Si，…}，其中，Si表示第个业务，i∈{1，2，…}。

每个业务有唯一的业务标识，业务标识由该业务的所有属性通过函数计算得到。设第i个业务的业务标识为Ms(i)，am(i)是第i个业务的第m个属性函数，m∈{1，2，…}，φ(·)是业务标识计算函数，自变量为业务的所有属性值，因变量是业务标识，则

2)用户标识

设 U 为所有用户的集合，U={U1，U2，…，Uj，…}，其中 Uj表示第 j个用户，j∈{1，2，…}。

每个用户有唯一的用户标识，用户标识由该用户的所有属性通过函数计算得到。设第j个用户的用户标识为MU(j)，bn(j)是第j个用户的第n个属性函数，n∈{1，2，…}，Ω(·)是用户标识计算函数，自变量为业务的所有属性值，因变量是用户标识，则

(2)调查区橄榄玄武岩与蒙阴地区金伯利岩化学成分、伴生矿物、稀土元素相似，它们在成因上应该具有内在联系，应属于同一构造环境下岩浆活动的产物。

3)基于标识的策略

设基于标识的策略集合为R，RS是业务属性相关策略集合，RU是用户属性相关策略集合，RSU是业务属性和用户属性相关策略集合，则

R={RS，RU，RSU}策略由一个或多个业务属性值集合、用户属性值集合或两者的集合映射而来。如图1所示。

图1 基于标识属性的策略组成

设业务属性值的集合为AS，AS设的幂集为P(AS)，P(AS)是业务属性值的所有关联属性集合。设业务属性相关策略对应的业务属性值集合为NS，NS∈P(AS)，设f是业务属性值集合与策略的映射，则

同理，设用户属性值的集合为AU，设AU的幂集为P(AU)，P(AU)是用户属性值的所有关联属性集合。设用户属性相关策略对应的用户属性值集合为NU，NU∈P(AU)，设g是业务属性值集合与策略的映射，则

综上，可推导出

3 基于标识的数据流处理机制

基于标识的数据流处理机制结合标识和策略共同实现，同时依托于传输网络的关键节点部署数据流处理设备，数据流处理设备维护基于标识的策略库。图2所示为数据流处理机制，具体流程说明如下:

1)获取数据流，对数据流进行解析处理，获取标识属性信息;

2)根据标识属性信息定义规则，对标识属性信息进行合法判断，若标识属性信息合法，则查询对应的策略库，获取标识属性信息对应的策略;

3)根据策略，判断数据流是否与策略匹配，若匹配，则根据标识属性信息对应的策略，对数据流进行处理;若不匹配，则直接转发数据流。

图2 基于标识的数据流处理机制

4 NGB管控系统中的应用

基于标识的数据流处理流程可以应用于NGB管控系统中。

本课题所研究的管控机制由部署在网络中的管控网主导，管控网由管控中心和管控节点单元按照一定的部署规则形成。管控中心可以查看所有管控节点单元的状态信息，可以控制各节点单元的操作。节点单元可以根据管控策略进行自动控制，也可以上报管控中心，由管理人员进行处理。管控中心是管控网的中枢，负责策略的同步和下发、管控节点单元的状态管理、管控命令的下发。管控节点单元负责在不同网络节点执行管控策略。管控中心维护一个策略库，每个节点单元也维护一个分策略库，分策略库主要策略规则由管控中心策略库同步而得，可以根据地域要求补充不同的策略。

图3所示是基于标识的管控机制。业务标识在业务前端生成，由业务标识生成模块对业务属性进行处理后生成，在业务发起时，业务流中携带业务标识;用户标识在终端生成，由用户标识生成模块对用户属性进行处理后生成，用户标识将随着用户信令或用户上传的数据一同传输。这种标识机制使得网络中传输的数据流中始终携带业务标识和用户标识。

管控节点单元对网络中传输的数据流进行定时或实时处理，由处理引擎传输给标识解析模块进行解析，还原标识的属性，然后将属性和策略库进行策略规则匹配，如果匹配，则通知策略执行模块进行处理，然后将处理完成的数据流继续向网络中传输;如果不匹配，则不处理。例如:带有非法信息的数据流经过管控节点单元时，管控节点单元通过解析发现非法内容后，将该数据流阻截或丢弃后，再将合法数据流转发到网络中。可见，这种管控机制对用户透明，对网络透明。

图3 基于标识的管控机制

管控节点单元可以采用串接和旁接两种方式。如果采用串接的方式，需要和深度流量解析系统相结合，提高流量的处理和解析性能，最大程度地减少网络传输时延，实现数据流的实时处理;如果采用旁接的方式，则没有实时转发的要求和压力，可以对数据流进行更深入的分析、跟踪和处理，更加完善管控策略库。两种方式的功能侧重点不同，前者侧重于实时管控，后者侧重于后台分析。

5 总结

基于标识的数据流处理机制可以对广播电视网中的业务和用户进行精细化的标识和定位[3]，可以应用于安全管控及服务质量精细化管理方面，及时发现和处理非法内容和非法业务，及时控制非法用户行为，通过技术手段保证高优先级业务的顺利传输和高效准确的事故源追溯。目前本方法已提交专利申请。

[1]牛妍华，胡毓明，崔竞飞，等.面向下一代广播电视网的业务管控机制研究[J].广播与电视技术，2011(9):83－85.

[2]刘晓雪，章文辉.浅谈下一代广播电视网(NGB)[J].电视技术，2009，33(S2):150 －152.

[3]杜习刚.应用于下一代业务支撑环境的业务安全容器的设计与实现[D].北京:北京邮电大学，2007.