YD_T 2261-2011IPTV业务安全体系架构.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/PTV业务安全体系架构Architecture of IPTV service security201i-05-18发布2011-06-01实施中华人民共和国工业和信息化部发布 YD/T次前言·1范围2规范性引用文件.术语和定义+++++++++]4缩略语...5IPTV业务的安全威胁和目标6IPTV安全体系架构的需求IPTV安全体系架构IPTV安全评估...*13 YD/T226120114.业务接入安全层防止IP用户未经许可接入IPTV网络，防止口令攻击，并保证整个通信过程是完整性、可用性、可鉴别、机密性和不可抵赖的。应对针对业务运行的安全崴胁。应对针对IPTV交付网的安全脱胁。5.网络内通信安全层防止网络设备未经许可接入IPTV网络，网络设备和设备认证中心可进行双向的安全认证，并保证网络设备间通信过程是完整性、可用性、可鉴别、机密性和不可抵的。6.网路接入安全层应对非法用户接入IP网络，阻止DoS攻击、扫描攻击等。应对用户非法加入多摄。保护网络中设各可能受到本地合法用户或其他非法用户的攻击和入侵。7.设备和信息安全应对针对用户设备、网络设备、内容交付设备、运营支撑设各的网络攻击、非法接入和信息盗取等安全威胁。防止用户非法获取服务器权限，提升权限，种植恶意代码与程序。防止非法靠改EPG页面、删除文件、破坏操作系统。防止终端被非法攻击。8.安全管理实现管理部门的要求，从而保证各个子系统、设备、网元的正带运行条件，对安全设置、安全日志进行日常检查和审计，跟踪最新的安全威胁并采取应对措施。7.3IPTV安全机制概述7.3.1内容提供商接入安全层内容提供商接入安全层主要考虑的是内容的审核流程管理，建立一套完整的审核机制，和事后追究机制。这样的安全措施的制定主要依据企业运营规范和相关党政和法律法规的要求，和国家管理音响管理的相关操作流程。内容提供商接入安全层还需要考虑审核通过后的内容的安全存储和传送。7.3.2内容播控安全层内容播控安全是为了保障播出不间断、内容质量符合规范要求、内容到用户的出不被干扰、播出的内容符合国家对内容的监管要求。IPTV是面对大量用户提供服务，为保障提控安全，除了广电系统在技术上保证播出的实时节目的安全和服务质量外，还应在IPTV系统中部署相应的播出主观监控设备，在出现间愿时及时告警。据出内容的主观审查系统主要负资审查节目到IPTV平台的输入不间断、内容质量负贵要求、内容本身符合国家监管要求等。主观审查系统除了直播节目在播出时应当有延时功能外，还应能力对播出的内容进行控制，必要时中断节日播出，切换片源、插插垫片等操作。为保障IPTV平台的头端到用户的播出通道不中断和不被干扰，IP网络层设备应有相应的安全措施，尤其是广播频道在IPTV网络中多播安全控制。8 YD/T容播控系统还负责VOD内容的节目审查，内容质量监测，插出安全等。内容损控安全要求实现以下特性：1.防止未经过许可、不合法信号、或攻击信号进入流服务系统该特性要求对进入IPTV流服务系统之前的实时频道信号能够进行可视监控，并能够在必要时对频道的信息进行播出关闭、切换片源、插插垫片等操作。为减少暴露攻击路径，要求内容监控平台尽量靠近视频编码器。具体执行实时监控点的部署至少应该包括：1）视音频信号进入内容集成和运营商之前的监控：2）视音频信号进入内容交付网络之前的监控：3）视音频信号交付给最终用户之前的监控。2.支持VOD内容引入的人工审核内容在引入到系绕之前必须经过人工审核流程，确保引入的节目符合国家、地方的法律法规、知识产权和版权要求，要求：1）审查上载节目的内容质量、定级：2）审查上载节目的题材、版权：3）审查上载节目符合国家、地方法律法规要求；4）在完成审核过程之后才能进行节目发布。7.3.3内容安全层（DRM)有关的内容安全下列安全机制应该被实现：1.内容访间控制：只有认证通过的用户能够被授权使用数字内容。相应的授权内容可以包括：接收设备（一台还是一组）、使用该数字内容的时间段、可以使用的次数、输出格式等等。未经授权的用户不能接收媒体流，即便收到了也不能解码使用该数字内容。性和机密性。3.版权保护：必须能够保护在IPTV业务网络中传输/存贮数字内容的版权不受侵害（例如非法复制）。数字版权管理（DRM）应包含以下四类功能：1）内容加密服务器端的DRM构件加密需要发布的媒体内容，并记录相关的加密信息，2）密钥管理产生和记录密钥，并为内容加密构件提供分配密钥的服务。3）投权服务服务器端的DRM构件检验用户的访间权限，并以安全的方式向授权用户提供加密内容的解密信息。4）内容解密用户缩的DRM构件利用收到解密信息解密加密