IPTV业务OTT CDN系统安全保障方案

耿 蕾



IPTV业务OTT CDN系统安全保障方案

耿 蕾

中国联通通信网络有限公司陕西分公司，陕西 西安 710075

主要描述了IPTV业务OTT CDN系统升级工程设计组网方案，同时对EPG防止篡改和防盗链方案、视频质量监控建设方案、系统安全方案等专项问题进行了探索。

IPTV；架构；安全

1 系统组网方案设计

1.1 网络层次结构

系统支持一级（中心）、二级（中心节点+边缘节点）和三级结构（中心节点+区域节点+边缘节点）组网。中心节点下发用户管理、片源发布以及各类调度等操作，为各类业务提供备份；区域节点主要为边缘和中心做中继，实现边缘节点的调度；边缘节点实现业务发放，中心和区域做备份。

1.2 CDN解决方案

系统基于OTT平台构筑CDN，采用标准化、开放的架构实现CDN级联组网，通过OTT平台已经部署的CDN节点，采用分布式组网，包括分布式内容存储、分布式流服务等，流服务节点尽可能地靠近用户以满足服务质量要求，承载IPTV、互联网电视、移动流媒体等多种业务的内容分发功能，满足IPTV/OTT、PC、移动设备等多种终端上各种视频业务的海量内容提供对内容分发和服务网络的需求。对于所有内容的分发采用统一控制、统一管理、统一调度、统一运维和统一安全保证，提升设备和网络建设的利用率。

融合CDN方案系统支持完善的VCDN管理功能，支持多点、分级内容注入，满足不同节点存储不同内容的要求。通过该功能可以开放不同的内容管理接口到不同SP的内容管理系统，并在系统内将不同VCDN的资源（包括磁盘资源、用户资源、带宽资源）划分给不同的SP，各SP的内容分发到划分给该SP的VCDN资源中，不同SP在内容管理时只能管理其自身发布的内容，并且只能看到其内容的点播访问情况[1]。融合CDN方案支持给不同CP/SP分配不同的VCDN资源，控制每个SP在各个POP点的可用磁盘资源和最大磁盘资源。

融合CDN解决方案，不仅支持VCDN功能，支持资源分组和服务区域划分功能，而且支持主动分发、智能推送等多种服务调度机制，支持调度机制灵活配置。

2 关键业务保障方案说明

2.1 防盗链机制

防盗链流程是IPTV对内容资产的一个非常重要的安全保护流程，能够对内容加密流程进行补充，同时也是对加密内容场景下片花等非加密内容的完善。以下是防盗链机制的主要实现流程。

（1）终端（STB）用户访问和浏览EPG页面，选择内容并请求播放地址。

（2）EPG服务器在返回播放地址时，在地址中增加防盗链信息，返回给终端用户。

（3）终端（STB）使用携带防盗链信息的播放地址，向HMS请求播放。

（4）HMS收到请求后，首先校验防盗链信息，如果校验通过，则提供流媒体服务；如果校验失败，则返回失败错误码，并展示给终端用户进行友好提示。

2.2 EPG防篡改机制

EPG防篡改流程是IPTV对EPG模板资产的安全保护流程。以下是EPG防篡改机制的说明。

（1）MGMT的ECS子系统设置支持防篡改的基准EPG模板，通知基准EPG生成基准EPG模板MD5。

（2）基准EPG生成基准EPG模板MD5后上报给MGMT。

（3）MGMT通知全网EPG服务器生成目标EPG模板MD5。

（4）目标EPG生成EPG模板MD5后上报MGMT。

（5）MGMT比对MD5，如果不一致，则将不一致结果保存在数据库中。

（6）MGMT的ECS子系统查询EPG模板检测结果，对不一致的EPG模板进行校准，同时后台进行周期性校准。

2.3 SQM视频质量保障实现方案

IPTV业务的开展依托网络进行传输。SQM是视频质量监控系统，能够监控网络传输视频的质量，定位视频质量故障产生的原因。

SQM系统由MQMC、DPP、PCF和Probe四个部件组成。

2.3.1 MQMC

MQMC即媒体质量监控中心，提供人机交互界面，负责下发所有任务到Probe，并收集和汇总各级Probe的数据，提供监控展示、历史记录查询、统计和分析等功能。

MQMC需要连接数据库，数据库负责记录需要长久保存的数据，如Probe信息、STB信息、监控历史统计数据、告警数据、用户数据等。

2.3.2 DPP

DPP负责汇总和入库PCF采集的数据。

2.3.3 PCF

PCF负责采集和汇总其管理的STB信息，再由PCF向MQMC上报STB的相关信息。

随着STB的数量增加，PCF的数量也随之增加。

2.3.4 Probe

Probe由各种类型、各个级别的Probe组成。

（1）在头端层部署Probe，用于监控IPTV编码器或第三方提供的直播源的出流质量。

（2）在分发层HMS设备上合设Probe，用于监控HMS发出的流媒体质量以及信令交互。

（3）在承载层的网络设备上部署Probe，可用于主动仿真测试以监控该点的传输质量。承载网设备包括母局网络设备、骨干/城域/接入各级网络的网络设备及家庭网络设备。

（4）在终端STB上内嵌Probe，用于监控STB的收流质量情况。

3 IPTV系统安全问题

3.1 系统安全方案

IPTV解决方案基于安全的考虑，全网设备划分为信令和业务两个平面。对最终用户提供业务的流媒体服务器和机顶盒升级服务器支持双平面，业务平面对最终用户提供服务，不经过防火墙，保证足够的带宽和稳定性。流媒体和升级服务器的信令平面与其他IPTV服务器都处于信令平面，而且在防火墙内。所有信令交互处于防火墙内，不受外网影响，也不流出到外网，保证信令交互和服务器安全。在业务平面，通过S9303上的ACL设置，仅允许合法的IP和协议报文通过，保证边界安全。

3.2 安全优化

3.2.1 合法组播源的保护

一般通过部署防火墙隔离组播服务器和组播网络，这样可以有效保护合法组播源，防止黑客的恶意攻击。

3.2.2 防范非法组播源

一般有两种方法：一是在RP上对组播源的合法性进行检查，如果发现来自未经授权的组播源的注册报文，则可以拒绝接收发送过来的单播注册报文，因此下游用户就可以避免接收到非法的组播节目；二是在边缘设备上配置组播源组过滤策略，只处理属于合法范围的组播源的数据，只过滤组播报文的组地址。

3.2.3 防范非法用户

一是对转发的组播报文的TTL数进行检查，只对大于所配置的TTL阈值的组播报文进行转发，因此可以限制组播报文扩散到未经授权的范围，防止非法用户收到。二是通过DNS对组播数据进行加密，只有合法的通过验证后的STB系统才能接收组播数据。

3.3 防火墙部署

为了对IPTV业务系统进行安全保护，除了需要IPTV业务服务器自身安装防病毒软件及主机加固之外，还需要通过IPTV承载网对业务系统提供更多层次的安全保护。

IPTV解决方案划分为信令平面和业务平面。信令平面处在防火墙信任区，业务平面处于非信任区。信令平面走信令流，业务平面走用户流媒体服务、机顶盒升级服务和中心、区域、边缘之间内容分发的FTP。

信令平面的安全通过防火墙配置，因信令平面中心、区域、边缘之间信令流太多，交互复杂，在防火墙上不做协议限制，仅限IP，不分析中间件和流媒体中心内部协议，在解决方案层面通过中心、区域、边缘防火墙把所有信令平面的IP隔离在信任区，禁止非信任区的IP进入。处在信任区的IP虽然处在中心、区域、边缘几个不同地方，但相互之间可以互通[2]。

业务平面的安全通过S9303上的ACL配置，因防火墙一般是连接在S9303上的，所有经过防火墙的流量都会先过S9303，组播流和中心、区域、边缘之间内容分发的FTP也会过S9303，因此在S9303上需开放所有信令、业务和组播IP，另外对于客户的维护IP，也同样需要开放。

最终用户仅使用中间件的8082（中间件EDS/EPG端口），流媒体中心流服务554端口，NTP服务123端口，DNS服务和用户向CA系统注册的4460端口，这几个端口在防火墙和S9303上针对用户IP段开放，保证用户正常服务。

4 业务安全

4.1 基于业务域的安全控制

通过机顶盒MAC地址绑定，限制普通上网用户进入IPTV域，也可以防止机顶盒受到普通上网用户的攻击；通过IPTV系统服务器的边界S9303，限制只有机顶盒IP才能访问流媒体业务端口，防止普通上网用户盗看IPTV流媒体服务。

4.2 端到端的业务域隔离

为了彻底隔离IPTV网和Internet网的互访，实现端到端的业务域隔离，可以通过VPN隔离IPTV网和Internet网。

5 系统安全

5.1 认证安全

IPTV将采用消息验证码（MAC）机制实现用户登录信息的加密处理和传递，避免用户密码在网络上明文传输。

5.2 播放安全

IPTV将采用消息验证码（MAC）机制实现播放URL的防盗链处理和传递，避免非法用户截取URL后进行重传攻击。现网IPTV平台采用MAC与机顶盒账号绑定方式。

[1]李晓静，冯小芳，王吉顺. 电信运营商IPTV+OTT业务网络承载方案简析[J]. 电信快报，2014（10）：38-40.

[2]林岚君. 电信运营商融合CDN网络部署策略[J]. 电信快报，2015（7）：38-40.

IPTV Business OTT CDN System Security Solution

Geng Lei

China Unicom Communications Network Co., Ltd., Shaanxi Branch, Shaanxi Xi’an 710075

The paper mainly describes the IPTV network business OTT CDN system upgrade engineering design networking scheme. At the same time, it explores special issues such as EPG prevention tamper and anti-theft chain scheme, video quality monitoring and construction scheme, system security scheme and other special issues.

IPTV; Architecture; Security

TN949.292

A