一种保障媒体业务安全属性的系统和方法与流程

1.本发明涉及媒体业务与网络安全领域，尤其涉及一种保障媒体业务安全属性的系统和方法。


背景技术：

2.随着媒体视频业务的不断发展，用户对于观看视频提出了新需求。iptv(交互式网络电视)软终端摆脱了传统机顶盒硬件的限制，仅需在智能终端(如电视机)中安装iptv软终端应用，即可收看iptv。智能终端同时也可按需安装各类ott(互联网视频)应用，用户可按需选择应用进行观看，极大提升了体验感。
3.图1示出了现有技术中包括iptv业务的网络环境示意图。因播控需求，iptv业务媒体相关信息需在私有网络b平面网络中传输，而其它ott业务则在公共网络a平面传输(图中以虚线分割公网、私网仅为示意)。用户发起iptv软终端应用或ott应用观看请求时，经由家庭网关依据目的ip路由信息进行公网、私网的智能选择，将用户发起的iptv业务请求接入至私网，其他ott业务接入至公网。
4.实际使用中，非法用户通过对iptv软终端抓包、查看日志等简易方式便可获取到私网环境中的iptv业务平台服务器地址，由于现有家庭网关仅仅根据业务目的ip路由信息来区分业务的私网、公网属性，不对下挂的终端做安全管控，非法用户就可利用该终端轻易地访问私网b平面，发起对私网中的iptv业务平台服务器的攻击，影响iptv软终端业务使用，造成网络安全问题。为了防止非法终端访问私网b平面网络，通常做法是将合法终端唯一特征标识直接传入家庭网关中，家庭网关依据此特征做终端合法性校验，但此方法留下了安全漏洞。
5.因此，亟须一种能够保障iptv软终端业务安全属性的方法与系统，以防止用户私自在家庭网关中添加非法终端，并且即便添加了非法终端，该家庭网关中也无法获取到iptv业务目的ip路由信息，进而无法将攻击请求转发至私网b平面网络，确保iptv软终端业务不被非法用户利用，也防止私网b平面网络被攻击，并可实时控制申请访问私网b平面的各终端，保障iptv业务平台网络与业务安全。


技术实现要素：

6.提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征；也不旨在用于确定或限制所要求保护的主题的范围。
7.目前，为了防止非法终端访问私网b平面网络，将合法终端唯一特征标识直接传入家庭网关中，家庭网关依据此特征做终端合法性校验，但此方法仍具有安全漏洞。
8.本发明在家庭网关中增加终端合法校验模块，并接收iptv业务管理平台需下发的秘钥，网关管理平台iptv目的ip路由信息下发需有触发条件，并下发加密的法终端唯一特征标识。
9.根据本发明，在用户开通iptv软终端业务时，iptv业务平台接收终端唯一特征标识与业务信息(如用户相关信息)，由iptv业务平台验证该业务信息为合法开通业务的用户后，将合法终端唯一特征标识信息发送至网关管理平台，网关管理平台将该终端唯一特征标识加密后下发至用户的家庭网关中，同时触发将存储在网关管理平台中的iptv业务路由信息下发至家庭网关。iptv业务平台将秘钥下发家庭网关。家庭网关使用该秘钥解密经加密的终端唯一特征标识获得合法终端唯一特征标识。当用户申请终端使用iptv软终端业务时，家庭网关根据iptv业务路由信息判断是否属于私网(b平面)业务请求，若是，则根据已解密的终端唯一特征标识校验申请终端的合法性，即该申请终端与用户是否已开通iptv软终端业务，通过后才可将该业务申请转发至私网b平面网络。
10.本发明的一种保障媒体业务安全属性的方法，包括：
11.将终端唯一特征标识与业务信息发送至iptv业务平台；
12.由iptv业务平台验证业务信息合法性并将经验证的合法终端唯一特征标识发送至网关管理平台；
13.由网关管理平台加密合法终端唯一特征标识，并将经加密的终端唯一特征标识发送至家庭网关，同时触发将iptv业务路由信息发送至家庭网关的操作；
14.由iptv业务平台将秘钥发送至家庭网关；以及
15.由家庭网关解密经加密的终端唯一特征标识获得合法终端唯一特征标识。
16.本发明的方法进一步包括：家庭网关接收业务请求并判断业务请求的属性；在业务请求的属性属于私网iptv业务之后，家庭网关对申请终端进行终端唯一特征标识合法性校验，并在校验通过后向iptv业务平台提交iptv业务请求，业务流量被下发至家庭网关，如果终端唯一特征标识合法性校验未获通过则家庭网关拒绝该业务请求。
17.本发明的一种保障媒体业务安全属性的系统，包括：位于家庭网关处的终端合法校验模块和存储模块；位于iptv业务平台处的终端标识验证模块和秘钥生成模块，以及与家庭网关和iptv业务平台通信地连接的网关管理平台。
18.其中，iptv业务平台处的终端标识验证模块接收终端唯一特征标识与业务信息，并验证业务信息，确定为合法开通iptv软终端业务的用户后，将合法终端唯一特征标识发送至网关管理平台，iptv业务平台处的秘钥生成模块生成秘钥并发送至家庭网关处的终端合法校验模块；
19.网关管理平台加密合法终端唯一特征标识，并将经加密的合法终端唯一特征标识发送至家庭网关处的终端合法校验模块；
20.网关管理平台在将经加密的合法终端唯一特征标识发送至家庭网关处的所述终端合法校验模块的同时，触发将iptv业务路由信息发送至所述家庭网关处的所述存储模块的操作；
21.家庭网关处的终端合法校验模块使用从秘钥生成模块接收到的秘钥对从网关管理平台接收到的经加密的终端唯一特征标识进行解密，获得合法终端唯一特征标识；
22.家庭网关处的存储模块用于存储来自网关管理平台的iptv业务路由信息。
23.通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。
附图说明
24.以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。
25.图1是现有技术中包括iptv业务的网络环境的示意图；
26.图2是根据本发明的保障iptv软终端业务安全属性的方法的流程图；
27.图3是根据本发明的保障iptv软终端业务安全属性的系统的框图。
28.附图中的流程图和框图显示了根据本技术的实施例的系统、方法可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。
具体实施方式
29.以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。通过阅读下文具体实施方式的详细描述，本发明的各种优点和益处对于本领域普通技术人员将变得清楚明了。然而应当理解，可以以各种形式实现本发明而不应被这里阐述的各实施方式所限制。提供以下实施方式是为了能够更透彻地理解本发明。除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
30.图2是根据本发明的保障iptv软终端业务安全属性的方法的流程图。
31.在步骤s210：电视机安装软终端应用时，由其它管理平台将其终端唯一特征标识与业务信息(用户相关信息)传送至iptv业务平台；
32.在步骤s220：iptv业务平台通过验证业务信息确定其为开通iptv业务的合法用户，并将该用户的合法终端唯一特征标识发送至网关管理平台；
33.在步骤s230：网关管理平台将所接收到的该用户的合法终端唯一特征标识进行加密，然后将经加密的终端唯一特征标识下发至家庭网关；
34.在步骤s240：网关管理平台触发将存储于网关管理平台的iptv业务路由信息下发至家庭网关的操作。
35.由于将iptv业务路由信息下发至家庭网关需要以网关管理平台将经加密的终端唯一特征标识下发至家庭网关作为触发条件，因此，确保了家庭网关不能直接获得iptv业务路由信息，非法终端也就不能通过家庭网关利用该iptv业务路由信息访问私网b平面，这可进一步保障私网b平面网络安全；
36.在步骤s250：iptv业务平台将秘钥下发至家庭网关；
37.在步骤s260：家庭网关存储iptv业务路由信息，并用从iptv业务平台接收到的秘钥，对从网关管理平台接收到的经加密的终端唯一特征标识进行解密，获得合法的终端唯一特征标识。这表明使用了本发明的家庭网关能够判断申请iptv业务的终端的合法性，使得非法用户无法自行向家庭网关添加任何非法终端标识；
38.在步骤s270：用户通过终端将iptv业务申请发送至家庭网关；
39.在步骤s280：家庭网关依据路由信息判断业务属性，属于私网iptv业务后，进行终端唯一特征标识合法性校验，通过后，方可将申请转至私网b平面网络发送给iptv业务平台，否则拒绝业务访问请求；
40.在步骤s290：收到请求的iptv业务平台将业务流量下发至家庭网关，然后进一步
传输至提出申请的合法终端，即智能电视中安装的iptv软终端。
41.图3是根据本发明的保障iptv软终端业务安全属性的系统的框图。
42.本发明的系统包括：位于家庭网关处的终端合法校验模块310和存储模块350、位于iptv业务平台处的终端标识验证模块330和秘钥生成模块340，以及网关管理平台320。
43.终端标识验证模块330与网关管理平台320通信地连接，接收来自其它平台的终端唯一特征标识与业务信息，验证业务信息，确定为开通iptv业务的合法用户后，将该用户的合法终端唯一特征标识发送至网关管理平台320；
44.网关管理平台320与家庭网关处的终端合法校验模块310及存储模块350通信地连接，将所接收到的用户的合法终端唯一特征标识进行加密，然后将经加密的终端唯一特征标识下发至终端合法校验模块310，并触发将iptv业务路由信息下发至存储模块350。
45.iptv业务平台处的秘钥生成模块340与家庭网关处的终端合法校验模块310通信地连接，将生成秘钥下发至终端合法校验模块310；
46.家庭网关处的存储模块350存储来自网关管理平台320的iptv业务路由信息，终端合法校验模块310用从秘钥生成模块340接收到的秘钥对从网关管理平台320接收到的经加密的终端唯一特征标识进行解密，获得合法的终端唯一特征标识。
47.在用户通过申请终端将业务访问请求发送至家庭网关时，家庭网关依据路由信息判断业务属性，属于私网iptv业务后，由终端合法校验模块310进行终端唯一特征标识合法性校验，通过后，方可将申请转至私网b平面网络发送给iptv业务平台，否则拒绝业务访问请求。
48.根据本发明的方法，增加了对用户业务信息的验证，并通过将秘钥下发至家庭网关，以及将终端唯一特征标识加密后下发至用户的家庭网关等措施，使得非法用户无法直接向家庭网关中输入非法终端标识。此外，只有在下发加密的终端唯一特征标识时，才会触发网关管理平台下发iptv业务路由信息，双重机制保障iptv私网业务的安全，使得非法用户无法通过非法终端访问iptv业务平台。
49.以上各实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围，其均应涵盖在本技术的权利要求和说明书的范围当中。