广东省广播电视网络股份有限公司东莞城区分公司 张 云

在三网融合的情况下，广电的相关运营商为了进一步提高客户的ARPU值，开始进行各种例如互动电视、宽带上网等多项常识的增值业务。广电网络已经开始在传统的广电网络转变为一项综合信息网络，NGB也会作为三网融合下的广电网络的承载平台。因为各项相关增值业务都一定要建立于双向网络的条件下，广电网络也会有原本的封闭的网络转变为开放式的网络，这些转变无疑又给了网络安全更大的挑战，所以广电实际运营商能不能在它的网络里面建设起相对可靠的安全网络体系对于保障广电的生存和发展都有着非常重要的作用。

一、现在广电双向相关网络所面临的安全问题

网络安全囊括了内容层面的相关安全以及接入层面的相关安全，现今广电的双向HFC网络作为一个广播型的相关网络，不管是应用EPON还是OMTS方案，进行网络传输的相关数据都非常容易被一些黑客所截获，所以接入终端的相关设备相关合法性以及传输数据的实际保密性都显得尤为重要。

接入层的相关安全是对于接入终端相关设备的实际合法性的保证，禁止有关非法设备进行网络接入。现今广电运营商对于终端设备的相关认证都采取MAC相关设备的认证方式。这种认证方式对于客户的相关操作没有过多的要求，对用户很友好。但是接入的MAC设备地址是可以进行修改的，有关黑客会运用多种途径进行MAC的实际地址修改，从而假冒实际的用户入侵网络。所以只是通过相关MAC的设备进行认证接入有着很大的网络安全隐患，尤其是在电视支付等相关增值业务来说。由此可见，进行可靠安全的认证接入服务，有效保证用户的可溯源和合法性的相关研究和探讨对于广电实际运营商的增值业务发展十分有必要。

二、PKI相关技术

对于网络安全问题进行多年的研究，已经有着一套相对完整的解决网络安全的方案，也就是公钥基础设施简称PKI。PKI是建立在非对称性的密钥技术上的安全体系，它通过数字证书来进行公钥管理，从而有效的了解密钥的管理和分发问题，为客户提供可靠安全的接入认证服务，有效的确保信息传输的不可都任性、真实性、完整性和保密性。

三、广电双向网络的实际安全方案

1.接入层的相关安全

接入层的相关安全需要对于局端设备具有对接入相关终端设备自身进行认证的作用，有效的防止有关非法用户进行网络接入，OKI技术能够提供可靠安全的身份认证的服务。以下进行PKI的相关认证身份方案的一些简单介绍。

（1）用户端的相关设备把自己所在ID传送给了局端认证相关服务器进行接入申请，局端认证的相关服务器在接收到用户传送的ID之后，就要对相关用户的实际管理系统进行确认，了解该用户的所在ID是否是合法用户，如果是就可以给用户发送一个用他ID关联的一个随机数值N给相关用户端，若不是就可以直接拒接相关接入。

（2）用户端在接收到相关随机数值N之后，要根据自己的实际私钥对于N进行加密，之后再将加墨过的随机数值传送给相关局端认证的实际服务器。

（3）局端认证的相关服务器在接收到已经进行加密的数值之后，在利用该用户的相关公钥进行解密，再与原有的随机数值N进行相关对比，如果一直就确认该用户是合法用户，就可以允许其终端相关设备能够通过相关认证并且接入网路。否则就对于相关终端设备进行尽职接入网络。

现在有很多的广电运营商都在进行相关数字电视的转换是都会对于用户实行实名登记，并进行智能卡的配发，在智能卡中有相关用户的私钥存入，所以在进行双向的相关增值业务的时候能够利用相关智能卡的实际ID以及用户的私钥来进行终端设备的相关接入认证，从而有效保证网络接入层的实际安全。

2.内容层的相关安全方案

内容曾的相关安全是为了对于所传输的相关数据进行安全保障。因为广电的网络HFC经常在网络上进行数据传输的时候遭到相关黑客的接货，所以广电实际运营商在进行电视支付等相关广电增值业务的时候必须要确保其信息能够进行安全传输。PKI中的数字信封、数字传输等相关技术就是确保传输信息的不可否认性、真实性、完整性、保密性。

数字签名的实际作用类似于现实中的相关个人印章或者个人签名，用来进行签署人的实际发生信息的相关认可，利用相关数字签名来对于信息安全进行保护的基本方案则如图1所示。

数字信封是保证那些仅仅特定接受方能够进行信息读取的相关安全技术，它对于非对称的相关密钥的实际加密时间以及对称密钥的实际分发困难问题有着有效的解决。其基本的信息安全保护的方案实施如下：

（1）发送方将需要发送的信息通过对称密钥进行加密，之后在用相关接收方得公钥进行加密从而形成一个数字信封。并且将其同经过加密的相关信息一起发送给相关接收方。

（2）接收方使用自己的相关私钥来解开设定的对称密钥，之后在利用对称密钥来将经过加密的相关信息解开。

现今数字电视的相关条件接收系统也就是运用了类似于相关数字信封的方式，由于目前的节目流的相关诗句非常大，所以通过对称密钥来进行加密之后再使用非对称的相关密钥来对于经对称密钥进行相关加密，之后再将其与加密的相关节目一起发送给实际的用户端，相关用户端就能够先通过私钥解开相关数字信封来得到控制字CW，之后再利用控制字对于实际节目流进行解扰。

3.数字证书的相关安全方案

通过上述分析表明，不管是内容层还是接入层的相关安全方案都需要对于公钥以及用户的实际用户信息保证其一致，也就是要保证公钥和其实际拥有者的实际信息不会被篡改和盗取，PKI技术中的相关数字证书就是将公钥以及其实际拥有者的相关身份信息有效绑定的一个机制。

数字证书同我们现实生活中使用的身份证类似，广电运营商在进行电视支付等相关增值业务的开展时，为了保证网上的交易实体的相关身份信息的实际真实性，确保其公钥属于其实际拥有者，就可以建立起自己的数字证书库和认证机构CA，为相关服务提供商和用户提供管理和签发数字证书，也就是网上的相关实体的身份信息同其自身的公钥进行绑定从而形成数字证书，确保相关数字证书不会遭到篡改。广电实际运营商可以运用自己的实际私钥来对于这项证书进行相关数字签名之后在将其存入到数字证书的相关管理库，这样就使得每一个在网上的实体都能够借由广电运营商的相关数字证书的自身管理库来进行交易双方真实身份信息的验证，并且还能够得到真实的公钥，对于相关信息进行加密、解密等相关安全应用，有效的确保各项相关业务的安全进行。

四、PKI技术采用的安全性

图1 基本方案

PKI技术所使用的公钥技术的相关加密算法的相关安全性主要是建立在一些大数离散、分解对数等相对比较难解的一些数学问题上的，现今公约技术的算法其安全性还是比较高的。但是伴随着信息技术和计算机能力的不断提高，其相关算法的实际安全性必然会遭到威胁。再就是用户私钥的实际保存上也存在着安全威胁，不管是在内容层还是接入层，对于用户的四月保护都是安全体系整个运营中的关键点所在。保护用户私钥目前有两种相关方式：一是将用户的私钥和起进行加密的相关算法固化在配发的智能卡内部的IC芯片里面，在加密解密的整个过程都是在IC芯片内部进行和完成。在一个就是将加密算法和私钥存在通过Ukey所谓相关代表的小型设备存储器里面.Ukey它所使用的是EPROM的相关CPU进行芯片级别的相关操作系统，加解密的所有相关运算都会在芯片里面进行和完成。不管是应用Ukey或者智能卡作为实际的私钥载体，都会与相关用户端进行同村，这进行通讯的时候其内容很有可能被截获，并且在私钥载体内部的IC芯片也有被复制和破解的可能性，所以人们必须要对于IC芯片的防盗技术和生产工艺进行不断的改进，并对于终端设备与私钥载体之间的通讯实行加密保护。

五、总结

三网融合又给了广电运营商新的发展机遇，使得广电运营商实际承载的相关内容更为丰富，并且其网络的实际安全性也带来更大的挑战。广电相关运营商在通过对于双向网络改造的推进、增值业务的开展等的同时，还应该在网络中进行网络安全保护体系的建立，从而有效的保障网络运营商、服务提供商以及用户三方面的利益。

[1]余汉江,幸伍洲.“三屏互动”——广电网络的理想与彼岸[J].中国数字电视,2011(11).

[2]BOSS助力贵州广电网络飞跃发展 贵州广电网络业务运营支撑系统(BOSS)应用案例[J].中国数字电视,2011(6).

[3]山东广电网络:与浪潮签订战略合作协议[J].中国数字电视,2012(1).

[4]吕晔.大唐电信发力“三网融合”深耕广电网络双向改造[J].有线电视技术,2011(7).

[5]周连俊,陈八斤.“三网融合”的背景下,地方广电部门应如何应对,为民众提供更多更快更好的服务[J].中国传媒科技,2011(12).

[6]陶荣,董钊.浅析广电网如何推进“三网融合”建设[J].科技致富向导,2011(32).