下一代廣播電視網訪問控制模型探究

薛朝慧，田 方

（陜西廣電網絡傳媒（集團）股份有限公司 陜西 西安 710075）

1 引言

下一代廣播電視網(Next Generation Broadcasting，簡稱NGB)，通常是指傳統的語音電話網、互聯網和有線電視網的三網融合，具體來說是通過技術改造使三網在技術層面趨于相同，在業務層面彼此交互和滲透，在網絡層面互聯互通，逐漸合并成一套信息傳輸網絡，統一為客戶提供數據服務、語音服務和傳統廣播電視服務等內容。下一代廣播電視網的建設有利于沖破傳統運營商的壟斷，形成良性競爭機制，降低基礎設施投資，增強用戶的便利和體驗，但同時，必然將帶來信息安全上的問題，例如非法訪問、內容篡改、竊聽、流量攻擊等，因此應該重視下一代廣播電視網的信息安全問題研究。

2 威脅分析

從網絡傳輸模式角度來分析，傳統的廣播電視網絡是一種單向網絡，即從廣播電臺、電視臺到用戶的單向數據傳送。主要的安全特征是它的邊界很明確，它的網絡活動主體很純粹，它的承載業務很單一，在采、編、播三個主要環節監控非常嚴密，是一個較為封閉的網絡，這種單向傳輸的方式，可天然的隔離大部分源自互聯網的攻擊和病毒。然而在三網融合后，高速寬帶網、移動數據網等基于IP協議的新型傳輸網將承載廣電內容傳播，因為IP協議本身是一個開放的協議，必將導致對安全性要求比較高的廣電業務和對安全要求比較低的互聯網業務混雜在一起，不能夠進行有效隔離和區分，進而導致廣播電視網的業務很容易遭受攻擊并衍生出新的安全問題，在這其中廣電網業務安全問題、客戶端的安全問題以及傳輸過程中安全問題是較為突出的。

首先是網絡傳輸問題，下一代廣播電視網的核心協議是TCP/IP協議，TCP/IP協議作為事實上的互聯網協議，協議本身就存在較多的弊端和安全隱患。例如，IP協議既不對IP包頭源地址做檢查，也不提供身份鑒別和傳輸質量控制機制，這種做法會導致無法區分合法用戶和黑客等惡意攻擊者，TCP協議更是存在拒絕服務攻擊、中間人攻擊等各種問題。黑客等惡意攻擊者可能采用IP地址欺騙、ARP欺騙、DDOS攻擊和中間人攻擊等攻擊手段入侵網絡，達到竊取信息、權限劫持甚至是破壞服務等目的。下一代廣播電視網在繼承TCP/IP協議的同時也必將繼承這些安全問題和隱患。

其次是內容管理問題，在下一代廣播電視網中內容安全問題將越發突出，許多原來在互聯網上傳播的負面輿情及不健康的信息將進入廣電業務網和電信業務網，進行擴散并形成危害。下一代廣播電視網的內容安全主要涉及到視頻監管困難，三網融合后，交互式網絡電視技術（Internet Protocol Television，IPTV）作為一種新型的視頻點播技術，使得普通用戶可以用點播技術功能來獲取互聯網上的視頻資源，這將導致大量不良視頻信息無法納入到廣電的監督和審查體系之下，而這些不良信息可能進一步交互傳播，最終呈現在用戶的電視屏幕之上。同時在下一代廣播電視網中，關于版權的問題將會愈加突出，互聯網用戶可以點播廣電業務網上正規的電視節目和具有版權的影視劇，甚至有可能將廣電業務網上的電視節日或影視劇進行翻錄，并上傳到互聯網上進行傳播，這導致影視著作人的版權愈加無法保障。

最后是終端安全問題，由于三網融合后將逐步實現三屏融合，終端接入的方式和種類將更加多樣化，例如WLAN有線接入、WIFI無線接入以及紅外藍牙接入等。而終端的快速發展，尤其是可移動終端的出現使得安全問題愈加復雜，目前可移動終端正逐步成為個人信息的集中處理中心，然而受到終端本身的屏幕尺寸、移動通信傳輸速率、電池續航能力以及CPU計算能力等的局限，可移動終端本身的安全防護能力相對較差。以智能手機為例，目前幾乎所有的智能手機都可以下載和安裝各類軟件，這些軟件中有許多是攜帶惡意代碼的不良軟件，甚至是攻擊軟件，用戶在下載和使用這些軟件時無意識的就成為了攻擊鏈條中的一環，導致下一代廣播電視網中的攻擊源將更加難以定位和控制。

下一代廣播電視網對網絡傳輸、訪問控制、數據交換、內容監管方面的安全保障有了更高的需求，特別是在終端到內容源的訪問控制層面，提出了更高的挑戰，因此下一代廣播電視網中應該有針對性的引入更合適的訪問控制模型。

3 訪問控制模型

訪問控制通常是指一種描述訪問主體對被訪問的客體，能夠進行哪些操作的控制方法論，主要目的是用來保證合法的資源不被非法利用。訪問控制包含三個基本的要素，即主體、客體和訪問權限。主體通常是指主動發起訪問的實體，一般包括用戶、終端、業務應用或其他形式的主機等，主體能夠訪問客體；客體是指被動受到訪問的實體，它可以是字節字段、數據文件以及業務應用等，也可以是處理器、網卡、內存硬盤等，通常主體對客體的訪問應該要受控；而訪問權限是一組描述了主體對客體的訪問的規則策略集，常見的訪問權限有讀、寫、執行和拒絕訪問四種類型。在訪問控制過程中，如果主體對客體的訪問符合策略規則集則放行；反之，則中斷該次訪問。

三網融合之前，在相互獨立的環境下，網絡內容的訪問控制方式更側重于身份鑒別，依據身份鑒別的結果執行相應的策略規則。語音電信網、互聯網和廣播電視網在身份認證方面均有不同的處置方案，目前，廣播電視網用戶認證機制是通過IC身份卡讀取來實現的，當用戶接入到有線電視網內的時候，會從運營方獲取到一張包含用戶身份標識的IC卡，當有線電視機頂盒打開時會自動讀取IC卡上的數據，并與廣播電視網進行交互認證，認證通過后就可以觀看電視節目；而傳統電信網在認證上需要在預置密鑰挑戰應答下完成，完成后即可建立連接；互聯網身份認證通常需要有公鑰基礎設施(即PKI/CA體系)的支撐。三網融合后如果繼續沿用獨立的身份鑒別方式，則勢必會給終端的設計、開發和應用帶來極大的困難。因此本文主要探究三網融合后，下一代廣播電視網在內容服務端實現訪問控制的技術手段。

訪問控制模型有自主型訪問控制模型(Discretionary Access Control，簡稱DAC)和強制型訪問控制模型(Mandatory Access Control，簡稱MAC)兩大類。自主型訪問控制模型中，資源的擁有者通常也是創立者，它設置訪問控制機制限定誰有權訪問它的資源，并且該權限可以傳遞給同一組的其他主體。由于授權可以傳遞，該模型難以對訪問權限進行管控，不能抵御木馬或者其他惡意程序的攻擊，但相對的優點是更自由和方便快捷。強制型訪問控制模型比自主型訪問控制模型更加嚴格，常用于國防安全、軍事安全這種高等級安全要求領域。該模型中主體和客體都有一個固定的強制性的安全屬性，只有操作系統或者管理員才能改動他們的訪問權限。當主體提出訪問請求時，系統通過對比訪問主體的安全屬性和被訪問客體的安全屬性做出判斷，確定主體能不能訪問客體。

對于電視廣播資源內容，由于廣電行業肩負黨和國家的政治宣傳任務，在節目制作、播放、傳輸等各個步驟都有指引要求，同時由于廣電還具有服務于公眾的特性，可以引領正確的輿論導向，滿足公民的文化娛樂需求，所以廣播電視的資源內容防護要求在于可管可控，防止被惡意篡改和上傳不良內容，保證數據不被損壞。基于上述原因，廣播電視資源內容適用于強制訪問控制模型。

在強制訪問控制模型中，Biba模型定義了一種正式的計算機安全策略狀態轉換系統，制訂了一系列保障數據資源不被損壞的訪問控制規則策略集，用于保障計算機的完整性。Biba模型為所有的主體和客體都分配了一個完整級，用于描述可信程度，高完整級的實體受到破壞則變為低完整級的非可信等級實體。信息只能從高等級實體傳遞到低等級的實體。在實際的使用環境中，主要是用來保護重要的系統程序或數據庫不被非授權的程序修改。

因此對于廣電業務網資源，客體為廣播電視網絡資源，主體為終端用戶，其中客體按照受訪級別從高到低進行資源定級，主體按照自身的訪問權限從高到底進行定級。假設主體和客體處于不一樣的安全級別時，都屬于一個確定的安全級別SC，SC就形成了偏序關系(例如用標簽 TS表示付費資源，就比標簽為 S的免費資源要高)。當主體s的安全級為TS，而客體o的安全級為S時，用偏序關系就可以表達成SC(s)≥SC(o)。根據偏序關系，主體與客體之間主要存在4種訪問關系：

（1）向下讀（Read Down，RD），即主體安全級高于客體資源的安全級時允許主體對客體進行讀操作；

（2）向上讀（Read Up，RU），即主體安全級低于客體資源的安全級時允許主體對客體進行讀操作；

（3）向下寫（Write Down，WD），即主體安全級高于客體資源的安全級時允許主體對客體進行寫操作；

（4）向上寫（Write Up，WU），即主體安全級低于客體資源的安全級時允許主體對客體進行寫操作。

用偏序關系表示Biba模型如下：

（1）RU，當且僅當SC(s) ≤SC(o)，可以進行讀操作；

（2）WD，當且僅當SC(s) ≥SC(o)，可以進行寫操作。

基本訪問數據模型如圖1所示。

圖1

概括起來即為不下讀/不上寫，從而保障信息的完整性。通過Biba訪問控制模型可有效保障廣播電視網絡資源信息數據流向的單一性，即用戶只可以向比自身安全級別低的客體寫入信息，例如發布一些不受限的個人視頻；而對于比自己安全級別高的節目視頻或者公眾視頻，只有讀的權限而不能寫入，從而防止低安全級的用戶創建高安全級的客體資源，規避越權、篡播、插播等行為的產生。

對于電信業務網資源，則適用于基于角色的訪問控制模型(Role-based Access Control，RBAC)，該模型的基本思路是在系統內設置若干個角色，將訪問許可權分配給這些角色，客戶通過獲取不同的角色身份獲取該角色所具有的訪問權限。由于在實際的電信業務中，客戶并不是被訪問的客體資源的所有者，這些信息屬于運營商部門，例如每個套餐中含有的計費語音、短信信息等，因此應該基于客戶的角色構建訪問控制策略，而不應該基于客戶是否為信息的擁有者，也就是說訪問控制應該由每個客戶所擔任的角色來決定，例如，一個可以手機號碼(客戶)可擁有語音、短信、手機導航、彩鈴(角色)等多項運營商增值服務。

基于角色的訪問控制模型主要從需要進行控制的主體的出發，設立典型的、具有代表性的角色，然后將訪問權限與角色關聯。基于角色的訪問控制模型與傳統的自主訪問控制模型和強制訪問控制模型之間的不同，在于基于角色的訪問控制模型在主客體之間建立了一個“角色”的概念。訪問權限并不是直接賦予客戶；而是通過角色作為中間橋梁，完成主客體之間的關聯。

RBAC基本模型如下：

U、R、P、S分別代表用戶集、角色集、權限集和會話集。

PA P×R代表權限與角色之間排列組合的指派關系。

UA U×R代表用戶與角色之間排列組合的指派關系。

user∶S→U代表會話到用戶的映射函數，user(Si)代表生成會話Si的用戶。

roles∶S→2R代表會話到角色子集的映射函數，role(Si)表示會話Si對應的角色集合roles(Si){r|user(Si，r’)∈UA}（能隨時間改變）；

會話Si有權限集合Psi=Ur∈roles(Si){P|(p，r')∈PA}。

RABC模型可在基本模型的基礎上擴展支持繼承和約束關系，其訪問控制模型如圖2所示。

圖2

RBAC模型很好的表示了電信業務網中客戶和角色權限之間的多重訪問關系集，通過在電信業務網劃分不同級別和職責功能的角色，賦予客戶具體的權限和責任。客戶能夠方便的從一個特定的角色更替為另一個角色，同時角色也可以根據新的需求進行合并或權限調整。RBAC模型具有高度的靈活性，能夠便捷的進行角色和權限切換，使電信業務網中對訪問控制權限的管理更加方便，有效解決了電信管理信息系統中用戶數量多、套餐業務變更頻繁的問題。

對于互聯網資源來說，自主訪問控制模型DAC是一種較為合適的訪問控制模型，自主訪問控制模型由用戶(通常也是資源的所有者和創建者)自主設定客體資源的訪問控制權限，允許授權的用戶或用戶組按照既定的訪問控制策略訪問規定的客體，阻斷非授權的用戶或用戶組。同時用戶和用戶組還可以有選擇地把自己所擁有的客體權限賦予其它的用戶或用戶組。目前主流的操作系統，如UNIX、Linux和Windows等均提供文件和資源的自主型訪問控制的功能。自主訪問控制模型可為用戶提供靈活、可調整的訪問控制策略，具有較好的易用性和擴展性。自主訪問控制模型常用矩陣模型來描述訪問控制關系，規定主體對客體的被允許的訪問權限，如讀、寫、執行等等。主體對客體訪問前，首先要檢查訪問控制列表中主、客體的訪問控制權限，來決定主體能否訪問該客體，可以進行哪一種權限的訪問。當前自主訪問控制模型已經在互聯網中得到了廣泛應用，本文不再細述。

4 結語

隨著國家對下一代廣播電視網建設工作的推進，網絡安全問題與對應的監管問題愈發突出。本文通過對三網融合后，下一代廣播電視網中存在的安全風險和安全威脅進行了詳細分析，對訪問控制模型進行了深入的探究，確立了根據不同的主體實施不同的訪問控制規則的策略，即可解決三網融合后的訪問控制的安全問題，又可保證業務訪問控制的靈活性，簡化終端的認證。

本文旨在探究三網融合的訪問控制模型，提出新的思路，為三網融合工作的進展助力，在具體實現方面，目前已經有單向網閘技術、多重網關技術等成熟的訪問控制手段，可在此基礎上進行平滑發展和過渡。

[1] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，20121671-1122.

[2] 伍均璽.三網融合背景下的網絡安全研究[J].科技創新導報，2015NO.24.

[3] 鐘雪瑩.淺談三網融合背景下的網絡信息安全問題[J].信息與電腦，20161003-9767.

[4] 陳俊欣，張鳳荔，劉淵.基于角色的空間信息強制訪問控制模型研究[J].計算機應用研究，20161001-3695.

[5] 陳靜，胡錦航.三網融合背景下廣播電視信息安全問題研究[N].第二十一屆中國國際廣播電視信息網絡展覽會，2013-(CCBN2013).

[6] 趙姍姍，淺談三網融合與下一代廣播電視網技術[J].黑龍江科技信息，2016(27).

[7] 陸健龍.基于角色PMI的電子政務訪問授權研究[D].上海交通大學，2008.