薛朝慧，田 方

（陕西广电网络传媒（集团）股份有限公司 陕西 西安 710075）

1 引言

下一代广播电视网(Next Generation Broadcasting，简称NGB)，通常是指传统的语音电话网、互联网和有线电视网的三网融合，具体来说是通过技术改造使三网在技术层面趋于相同，在业务层面彼此交互和渗透，在网络层面互联互通，逐渐合并成一套信息传输网络，统一为客户提供数据服务、语音服务和传统广播电视服务等内容。下一代广播电视网的建设有利于冲破传统运营商的垄断，形成良性竞争机制，降低基础设施投资，增强用户的便利和体验，但同时，必然将带来信息安全上的问题，例如非法访问、内容篡改、窃听、流量攻击等，因此应该重视下一代广播电视网的信息安全问题研究。

2 威胁分析

从网络传输模式角度来分析，传统的广播电视网络是一种单向网络，即从广播电台、电视台到用户的单向数据传送。主要的安全特征是它的边界很明确，它的网络活动主体很纯粹，它的承载业务很单一，在采、编、播三个主要环节监控非常严密，是一个较为封闭的网络，这种单向传输的方式，可天然的隔离大部分源自互联网的攻击和病毒。然而在三网融合后，高速宽带网、移动数据网等基于IP协议的新型传输网将承载广电内容传播，因为IP协议本身是一个开放的协议，必将导致对安全性要求比较高的广电业务和对安全要求比较低的互联网业务混杂在一起，不能够进行有效隔离和区分，进而导致广播电视网的业务很容易遭受攻击并衍生出新的安全问题，在这其中广电网业务安全问题、客户端的安全问题以及传输过程中安全问题是较为突出的。

首先是网络传输问题，下一代广播电视网的核心协议是TCP/IP协议，TCP/IP协议作为事实上的互联网协议，协议本身就存在较多的弊端和安全隐患。例如，IP协议既不对IP包头源地址做检查，也不提供身份鉴别和传输质量控制机制，这种做法会导致无法区分合法用户和黑客等恶意攻击者，TCP协议更是存在拒绝服务攻击、中间人攻击等各种问题。黑客等恶意攻击者可能采用IP地址欺骗、ARP欺骗、DDOS攻击和中间人攻击等攻击手段入侵网络，达到窃取信息、权限劫持甚至是破坏服务等目的。下一代广播电视网在继承TCP/IP协议的同时也必将继承这些安全问题和隐患。

其次是内容管理问题，在下一代广播电视网中内容安全问题将越发突出，许多原来在互联网上传播的负面舆情及不健康的信息将进入广电业务网和电信业务网，进行扩散并形成危害。下一代广播电视网的内容安全主要涉及到视频监管困难，三网融合后，交互式网络电视技术（Internet Protocol Television，IPTV）作为一种新型的视频点播技术，使得普通用户可以用点播技术功能来获取互联网上的视频资源，这将导致大量不良视频信息无法纳入到广电的监督和审查体系之下，而这些不良信息可能进一步交互传播，最终呈现在用户的电视屏幕之上。同时在下一代广播电视网中，关于版权的问题将会愈加突出，互联网用户可以点播广电业务网上正规的电视节目和具有版权的影视剧，甚至有可能将广电业务网上的电视节日或影视剧进行翻录，并上传到互联网上进行传播，这导致影视著作人的版权愈加无法保障。

最后是终端安全问题，由于三网融合后将逐步实现三屏融合，终端接入的方式和种类将更加多样化，例如WLAN有线接入、WIFI无线接入以及红外蓝牙接入等。而终端的快速发展，尤其是可移动终端的出现使得安全问题愈加复杂，目前可移动终端正逐步成为个人信息的集中处理中心，然而受到终端本身的屏幕尺寸、移动通信传输速率、电池续航能力以及CPU计算能力等的局限，可移动终端本身的安全防护能力相对较差。以智能手机为例，目前几乎所有的智能手机都可以下载和安装各类软件，这些软件中有许多是携带恶意代码的不良软件，甚至是攻击软件，用户在下载和使用这些软件时无意识的就成为了攻击链条中的一环，导致下一代广播电视网中的攻击源将更加难以定位和控制。

下一代广播电视网对网络传输、访问控制、数据交换、内容监管方面的安全保障有了更高的需求，特别是在终端到内容源的访问控制层面，提出了更高的挑战，因此下一代广播电视网中应该有针对性的引入更合适的访问控制模型。

3 访问控制模型

访问控制通常是指一种描述访问主体对被访问的客体，能够进行哪些操作的控制方法论，主要目的是用来保证合法的资源不被非法利用。访问控制包含三个基本的要素，即主体、客体和访问权限。主体通常是指主动发起访问的实体，一般包括用户、终端、业务应用或其他形式的主机等，主体能够访问客体；客体是指被动受到访问的实体，它可以是字节字段、数据文件以及业务应用等，也可以是处理器、网卡、内存硬盘等，通常主体对客体的访问应该要受控；而访问权限是一组描述了主体对客体的访问的规则策略集，常见的访问权限有读、写、执行和拒绝访问四种类型。在访问控制过程中，如果主体对客体的访问符合策略规则集则放行；反之，则中断该次访问。

三网融合之前，在相互独立的环境下，网络内容的访问控制方式更侧重于身份鉴别，依据身份鉴别的结果执行相应的策略规则。语音电信网、互联网和广播电视网在身份认证方面均有不同的处置方案，目前，广播电视网用户认证机制是通过IC身份卡读取来实现的，当用户接入到有线电视网内的时候，会从运营方获取到一张包含用户身份标识的IC卡，当有线电视机顶盒打开时会自动读取IC卡上的数据，并与广播电视网进行交互认证，认证通过后就可以观看电视节目；而传统电信网在认证上需要在预置密钥挑战应答下完成，完成后即可建立连接；互联网身份认证通常需要有公钥基础设施(即PKI/CA体系)的支撑。三网融合后如果继续沿用独立的身份鉴别方式，则势必会给终端的设计、开发和应用带来极大的困难。因此本文主要探究三网融合后，下一代广播电视网在内容服务端实现访问控制的技术手段。

访问控制模型有自主型访问控制模型(Discretionary Access Control，简称DAC)和强制型访问控制模型(Mandatory Access Control，简称MAC)两大类。自主型访问控制模型中，资源的拥有者通常也是创立者，它设置访问控制机制限定谁有权访问它的资源，并且该权限可以传递给同一组的其他主体。由于授权可以传递，该模型难以对访问权限进行管控，不能抵御木马或者其他恶意程序的攻击，但相对的优点是更自由和方便快捷。强制型访问控制模型比自主型访问控制模型更加严格，常用于国防安全、军事安全这种高等级安全要求领域。该模型中主体和客体都有一个固定的强制性的安全属性，只有操作系统或者管理员才能改动他们的访问权限。当主体提出访问请求时，系统通过对比访问主体的安全属性和被访问客体的安全属性做出判断，确定主体能不能访问客体。

对于电视广播资源内容，由于广电行业肩负党和国家的政治宣传任务，在节目制作、播放、传输等各个步骤都有指引要求，同时由于广电还具有服务于公众的特性，可以引领正确的舆论导向，满足公民的文化娱乐需求，所以广播电视的资源内容防护要求在于可管可控，防止被恶意篡改和上传不良内容，保证数据不被损坏。基于上述原因，广播电视资源内容适用于强制访问控制模型。

在强制访问控制模型中，Biba模型定义了一种正式的计算机安全策略状态转换系统，制订了一系列保障数据资源不被损坏的访问控制规则策略集，用于保障计算机的完整性。Biba模型为所有的主体和客体都分配了一个完整级，用于描述可信程度，高完整级的实体受到破坏则变为低完整级的非可信等级实体。信息只能从高等级实体传递到低等级的实体。在实际的使用环境中，主要是用来保护重要的系统程序或数据库不被非授权的程序修改。

因此对于广电业务网资源，客体为广播电视网络资源，主体为终端用户，其中客体按照受访级别从高到低进行资源定级，主体按照自身的访问权限从高到底进行定级。假设主体和客体处于不一样的安全级别时，都属于一个确定的安全级别SC，SC就形成了偏序关系(例如用标签 TS表示付费资源，就比标签为 S的免费资源要高)。当主体s的安全级为TS，而客体o的安全级为S时，用偏序关系就可以表达成SC(s)≥SC(o)。根据偏序关系，主体与客体之间主要存在4种访问关系：

（1）向下读（Read Down，RD），即主体安全级高于客体资源的安全级时允许主体对客体进行读操作；

（2）向上读（Read Up，RU），即主体安全级低于客体资源的安全级时允许主体对客体进行读操作；

（3）向下写（Write Down，WD），即主体安全级高于客体资源的安全级时允许主体对客体进行写操作；

（4）向上写（Write Up，WU），即主体安全级低于客体资源的安全级时允许主体对客体进行写操作。

用偏序关系表示Biba模型如下：

（1）RU，当且仅当SC(s) ≤SC(o)，可以进行读操作；

（2）WD，当且仅当SC(s) ≥SC(o)，可以进行写操作。

基本访问数据模型如图1所示。

图1

概括起来即为不下读/不上写，从而保障信息的完整性。通过Biba访问控制模型可有效保障广播电视网络资源信息数据流向的单一性，即用户只可以向比自身安全级别低的客体写入信息，例如发布一些不受限的个人视频；而对于比自己安全级别高的节目视频或者公众视频，只有读的权限而不能写入，从而防止低安全级的用户创建高安全级的客体资源，规避越权、篡播、插播等行为的产生。

对于电信业务网资源，则适用于基于角色的访问控制模型(Role-based Access Control，RBAC)，该模型的基本思路是在系统内设置若干个角色，将访问许可权分配给这些角色，客户通过获取不同的角色身份获取该角色所具有的访问权限。由于在实际的电信业务中，客户并不是被访问的客体资源的所有者，这些信息属于运营商部门，例如每个套餐中含有的计费语音、短信信息等，因此应该基于客户的角色构建访问控制策略，而不应该基于客户是否为信息的拥有者，也就是说访问控制应该由每个客户所担任的角色来决定，例如，一个可以手机号码(客户)可拥有语音、短信、手机导航、彩铃(角色)等多项运营商增值服务。

基于角色的访问控制模型主要从需要进行控制的主体的出发，设立典型的、具有代表性的角色，然后将访问权限与角色关联。基于角色的访问控制模型与传统的自主访问控制模型和强制访问控制模型之间的不同，在于基于角色的访问控制模型在主客体之间建立了一个“角色”的概念。访问权限并不是直接赋予客户；而是通过角色作为中间桥梁，完成主客体之间的关联。

RBAC基本模型如下：

U、R、P、S分别代表用户集、角色集、权限集和会话集。

PA P×R代表权限与角色之间排列组合的指派关系。

UA U×R代表用户与角色之间排列组合的指派关系。

user∶S→U代表会话到用户的映射函数，user(Si)代表生成会话Si的用户。

roles∶S→2R代表会话到角色子集的映射函数，role(Si)表示会话Si对应的角色集合roles(Si){r|user(Si，r’)∈UA}（能随时间改变）；

会话Si有权限集合Psi=Ur∈roles(Si){P|(p，r')∈PA}。

RABC模型可在基本模型的基础上扩展支持继承和约束关系，其访问控制模型如图2所示。

图2

RBAC模型很好的表示了电信业务网中客户和角色权限之间的多重访问关系集，通过在电信业务网划分不同级别和职责功能的角色，赋予客户具体的权限和责任。客户能够方便的从一个特定的角色更替为另一个角色，同时角色也可以根据新的需求进行合并或权限调整。RBAC模型具有高度的灵活性，能够便捷的进行角色和权限切换，使电信业务网中对访问控制权限的管理更加方便，有效解决了电信管理信息系统中用户数量多、套餐业务变更频繁的问题。

对于互联网资源来说，自主访问控制模型DAC是一种较为合适的访问控制模型，自主访问控制模型由用户(通常也是资源的所有者和创建者)自主设定客体资源的访问控制权限，允许授权的用户或用户组按照既定的访问控制策略访问规定的客体，阻断非授权的用户或用户组。同时用户和用户组还可以有选择地把自己所拥有的客体权限赋予其它的用户或用户组。目前主流的操作系统，如UNIX、Linux和Windows等均提供文件和资源的自主型访问控制的功能。自主访问控制模型可为用户提供灵活、可调整的访问控制策略，具有较好的易用性和扩展性。自主访问控制模型常用矩阵模型来描述访问控制关系，规定主体对客体的被允许的访问权限，如读、写、执行等等。主体对客体访问前，首先要检查访问控制列表中主、客体的访问控制权限，来决定主体能否访问该客体，可以进行哪一种权限的访问。当前自主访问控制模型已经在互联网中得到了广泛应用，本文不再细述。

4 结语

随着国家对下一代广播电视网建设工作的推进，网络安全问题与对应的监管问题愈发突出。本文通过对三网融合后，下一代广播电视网中存在的安全风险和安全威胁进行了详细分析，对访问控制模型进行了深入的探究，确立了根据不同的主体实施不同的访问控制规则的策略，即可解决三网融合后的访问控制的安全问题，又可保证业务访问控制的灵活性，简化终端的认证。

本文旨在探究三网融合的访问控制模型，提出新的思路，为三网融合工作的进展助力，在具体实现方面，目前已经有单向网闸技术、多重网关技术等成熟的访问控制手段，可在此基础上进行平滑发展和过渡。

[1] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，20121671-1122.

[2] 伍均玺.三网融合背景下的网络安全研究[J].科技创新导报，2015NO.24.

[3] 钟雪莹.浅谈三网融合背景下的网络信息安全问题[J].信息与电脑，20161003-9767.

[4] 陈俊欣，张凤荔，刘渊.基于角色的空间信息强制访问控制模型研究[J].计算机应用研究，20161001-3695.

[5] 陈静，胡锦航.三网融合背景下广播电视信息安全问题研究[N].第二十一届中国国际广播电视信息网络展览会，2013-(CCBN2013).

[6] 赵姗姗，浅谈三网融合与下一代广播电视网技术[J].黑龙江科技信息，2016(27).

[7] 陆健龙.基于角色PMI的电子政务访问授权研究[D].上海交通大学，2008.