李志華，孫 亞，黎作鵬

(河北工程大學(xué) 信息與電氣工程學(xué)院，河北 邯鄲 056038)

IPTV終端網(wǎng)管鑒權(quán)系統(tǒng)的設(shè)計與實(shí)現(xiàn)

李志華，孫 亞，黎作鵬

(河北工程大學(xué) 信息與電氣工程學(xué)院，河北 邯鄲 056038)

根據(jù)目前IPTV業(yè)務(wù)的安全性目標(biāo)和需求，針對IPTV終端網(wǎng)管系統(tǒng)中未授權(quán)用戶非法接入和業(yè)務(wù)權(quán)限控制問題，采用HTTP摘要認(rèn)證機(jī)制和SSL/TLS協(xié)議結(jié)合RSA非對稱加密算法，設(shè)計并實(shí)現(xiàn)了一套終端網(wǎng)管鑒權(quán)系統(tǒng)。經(jīng)過測試分析，鑒權(quán)系統(tǒng)滿足終端設(shè)備身份和業(yè)務(wù)權(quán)限鑒權(quán)的需求，提高了系統(tǒng)的安全性。

IPTV終端網(wǎng)管；鑒權(quán)；SSL/TLS；摘要認(rèn)證

隨著三網(wǎng)融合進(jìn)程的推進(jìn)及IP技術(shù)的發(fā)展，IP語音(VoIP)、交互式網(wǎng)絡(luò)電視(IPTV)業(yè)務(wù)成為廣電行業(yè)關(guān)注的焦點(diǎn)。IPTV作為下一代通信網(wǎng)絡(luò)的重要業(yè)務(wù)，其利用寬帶IP網(wǎng)絡(luò)為用戶提供包括電視、視頻等多元化的綜合應(yīng)用服務(wù)[1]。IPTV業(yè)務(wù)充分發(fā)揮了傳統(tǒng)電視和互聯(lián)網(wǎng)兩者的優(yōu)勢，是數(shù)字電視行業(yè)發(fā)展的必然選擇。

然而，正是因?yàn)镮PTV業(yè)務(wù)充分利用寬帶IP網(wǎng)絡(luò)為用戶提供可交互多媒體服務(wù)的特性，使其具備了公眾傳媒的社會屬性，網(wǎng)絡(luò)安全問題隨之產(chǎn)生。在現(xiàn)有的IPTV終端網(wǎng)管系統(tǒng)中，面臨的安全威脅主要有4個方面：1)信息內(nèi)容的安全威脅；2)IPTV業(yè)務(wù)運(yùn)營的安全威脅；3)分發(fā)網(wǎng)絡(luò)的安全威脅；4)用戶資產(chǎn)的安全威脅[2]。因此，解決IPTV業(yè)務(wù)中的安全問題具有重要意義。

本文針對用戶身份認(rèn)證和業(yè)務(wù)權(quán)限控制兩方面，設(shè)計并實(shí)現(xiàn)了一套IPTV終端網(wǎng)管鑒權(quán)系統(tǒng)。該系統(tǒng)采用HTTP摘要認(rèn)證機(jī)制以及SSL/TLS協(xié)議結(jié)合RSA算法分別實(shí)現(xiàn)對用戶身份和業(yè)務(wù)功能的鑒權(quán)，滿足了當(dāng)前IPTV業(yè)務(wù)的安全性目標(biāo)和需求。此系統(tǒng)在業(yè)務(wù)層面主要針對機(jī)頂盒直播、點(diǎn)播和廣域網(wǎng)、局域網(wǎng)分發(fā)分享權(quán)限實(shí)現(xiàn)，后續(xù)很容易擴(kuò)展到其他業(yè)務(wù)或資源。

1 IPTV終端網(wǎng)管系統(tǒng)安全性分析

1.1 IPTV終端網(wǎng)管系統(tǒng)

本文所設(shè)計的鑒權(quán)系統(tǒng)主要是針對廣電的IPTV終端網(wǎng)管系統(tǒng)，所以在安全分析之前首先介紹終端網(wǎng)管系統(tǒng)的基本架構(gòu)。該系統(tǒng)基于TR069協(xié)議實(shí)現(xiàn)對終端設(shè)備(CPE)的遠(yuǎn)程管理，主要由南北兩個接口提供對用戶的業(yè)務(wù)服務(wù)[3]。其中第三方業(yè)務(wù)功能系統(tǒng)與自動配置服務(wù)器(ACS)之間的接口為北向接口，主要用于業(yè)務(wù)管理系統(tǒng)向ACS發(fā)送業(yè)務(wù)開通和變更的指令；ACS與CPE之間的接口為南向接口，是TR069協(xié)議的主要實(shí)現(xiàn)部分，完成對CPE的遠(yuǎn)程管理。其中CPE主要通過局域網(wǎng)連接到Internet，系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 終端網(wǎng)管系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

1.2 IPTV終端網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)安全性分析

隨著IPTV業(yè)務(wù)的迅速展開，越來越多的CPE被引入到網(wǎng)絡(luò)中。大部分IPTV業(yè)務(wù)的實(shí)現(xiàn)都通過網(wǎng)絡(luò)提供給用戶，而網(wǎng)絡(luò)上的傳輸非常不安全。惡意的網(wǎng)絡(luò)攻擊者可能竊聽和篡改網(wǎng)絡(luò)中的數(shù)據(jù)，甚至偽裝成合法用戶傳送消息[4]。在IPTV終端網(wǎng)管系統(tǒng)中，基于TR069協(xié)議的ACS和CPE通信時，只是進(jìn)行了簡單的HTTP基本認(rèn)證并不是真正意義上的密文傳送，這樣傳送的消息很容易被竊取或篡改引起不必要的損失。

通常在Internet中存在的安全問題主要涉及2個方面：1)信息保密性，防止網(wǎng)絡(luò)攻擊者竊取重要數(shù)據(jù)信息。2)認(rèn)證鑒別問題，確保身份的合法和真實(shí)性，防止非法用戶冒充和篡改重要信息。針對IPTV終端網(wǎng)管系統(tǒng)的應(yīng)用環(huán)境，其面臨的安全問題主要表現(xiàn)為如下4點(diǎn)：

1)未授權(quán)用戶接入

由于IPTV終端網(wǎng)管系統(tǒng)主要實(shí)現(xiàn)對CPE的遠(yuǎn)程管理包括用戶參數(shù)自動配置、軟硬件映像管理與升級、狀態(tài)性能監(jiān)控和故障診斷等功能。未授權(quán)非法用戶通過竊取用戶數(shù)據(jù)信息包括用戶名和密碼冒充登錄終端網(wǎng)管系統(tǒng)并對CPE進(jìn)行非法控制，這是終端網(wǎng)管系統(tǒng)面臨的最大安全威脅[4]。

2)數(shù)據(jù)信息監(jiān)聽和竊取

終端網(wǎng)管系統(tǒng)在進(jìn)行業(yè)務(wù)分發(fā)的時候是通過Internet服務(wù)于用戶，在網(wǎng)絡(luò)傳輸?shù)倪^程中數(shù)據(jù)很可能被監(jiān)聽。由于傳送的數(shù)據(jù)可能包括終端設(shè)備參數(shù)、用戶信息和各種業(yè)務(wù)控制命令。這些都是非常重要的數(shù)據(jù)信息，不能以明文的形式傳輸于網(wǎng)絡(luò)中，必須要經(jīng)過加密處理。

3)信息幀重放

信息幀重放主要是攻擊者對竊取的數(shù)據(jù)進(jìn)行復(fù)制，然后對數(shù)據(jù)進(jìn)行重新發(fā)送，實(shí)現(xiàn)對終端設(shè)備的非法控制及操作，信息幀重放造成的危害程度和上述未授權(quán)用戶接入類似。

4)病毒感染

由于終端網(wǎng)管系統(tǒng)采用Linux操作系統(tǒng)作為開發(fā)系統(tǒng)，安全性問題相對于Windows操作系統(tǒng)有一定的保障，但是系統(tǒng)中應(yīng)用了很多相關(guān)的網(wǎng)絡(luò)服務(wù)，例如Apache服務(wù)器、FTP、SMTP等[4-5]，這就可能引發(fā)網(wǎng)絡(luò)安全問題，遭到網(wǎng)絡(luò)病毒的侵害，導(dǎo)致系統(tǒng)的癱瘓。

經(jīng)過上述終端網(wǎng)管系統(tǒng)的安全性分析可知，非授權(quán)用戶非法接入和數(shù)據(jù)信息監(jiān)聽竊取，實(shí)現(xiàn)對CPE的非法控制是目前最亟待解決的問題。

2 HTTP摘要認(rèn)證和SSL/TLS協(xié)議

基于以上終端網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)安全性分析，結(jié)合終端網(wǎng)管系統(tǒng)基于TR069協(xié)議實(shí)現(xiàn)的特點(diǎn)，鑒權(quán)系統(tǒng)主要采用HTTP摘要認(rèn)證和SSL/TLS協(xié)議分別實(shí)現(xiàn)對用戶身份認(rèn)證和業(yè)務(wù)權(quán)限控制。

在HTTP協(xié)議中，對于很多Web應(yīng)用多數(shù)采用的是HTTP基本認(rèn)證?；菊J(rèn)證是客戶端訪問服務(wù)器時的一種登錄驗(yàn)證方式。其實(shí)現(xiàn)主要是將用戶名和密碼經(jīng)Base64編碼，將編碼的字符串發(fā)送給服務(wù)器。但是Base64編碼并不是真正實(shí)現(xiàn)對用戶信息加密，只是為了兼容HTTP協(xié)議轉(zhuǎn)換的一種數(shù)據(jù)格式。

相對于HTTP基本認(rèn)證，HTTP摘要認(rèn)證在用戶信息發(fā)送前采用不可逆MD5算法對數(shù)據(jù)進(jìn)行加密，提高了數(shù)據(jù)信息傳輸?shù)陌踩?。它基于質(zhì)詢-響應(yīng)結(jié)構(gòu)，采用C/S模式。質(zhì)詢報文包括隨機(jī)數(shù)nonce、作用域realm等信息。Client將相關(guān)信息經(jīng)函數(shù)F運(yùn)算后生成響應(yīng)報文response，并將其發(fā)送給Server繼續(xù)請求，Server將收到的響應(yīng)報文與預(yù)期的進(jìn)行比較就可知該Client的身份是否合法[6]。函數(shù)F為摘要算法，此處采用MD5，簡單易行，對終端設(shè)備性能要求較低，降低了開發(fā)難度。

安全套接層協(xié)議(Security Socket Layer Protocol，SSL)是Netscape公司提出的一種Web安全通信協(xié)議。傳輸層安全協(xié)議(Transport Layer Security，TLS)則是Internet工程工作小組(Internet Engineering Task Force，IETF)將SSL作了標(biāo)準(zhǔn)化形成的協(xié)議，后來統(tǒng)稱為SSL/TLS協(xié)議。此協(xié)議是介于HTTP和TCP之間的一個可選協(xié)議，為端到端的通信提供了私密性和可靠性保證。由于該協(xié)議是一個完全獨(dú)立的應(yīng)用協(xié)議，在實(shí)際應(yīng)用中不會對原有功能產(chǎn)生影響[5]。因此，本文的業(yè)務(wù)鑒權(quán)利用此協(xié)議來實(shí)現(xiàn)。在上述摘要認(rèn)證通過之后，SSL/TLS相當(dāng)于加密的安全通道，采用非對稱加密算法-RSA，實(shí)現(xiàn)對業(yè)務(wù)信息的加解密。

3 系統(tǒng)總體設(shè)計與實(shí)現(xiàn)

終端網(wǎng)管鑒權(quán)系統(tǒng)設(shè)計工作包括Web鑒權(quán)頁面的創(chuàng)建、ACS端和CPE端開發(fā)3個方面。具體過程為：將機(jī)頂盒信息管理的Web頁面部署到開發(fā)服務(wù)器上，作為后臺管理平臺；對于任何一個接入網(wǎng)絡(luò)的CPE，增加鑒權(quán)RPC方法，實(shí)現(xiàn)業(yè)務(wù)功能的鑒權(quán)。系統(tǒng)的總體框圖如圖2所示。

圖2 終端網(wǎng)管鑒權(quán)系統(tǒng)框架圖

3.1 終端設(shè)備身份鑒權(quán)

身份鑒權(quán)即機(jī)頂盒連接服務(wù)器時的合法性認(rèn)證過程。機(jī)頂盒終端模塊主要包括輸入/輸出模塊、摘要認(rèn)證模塊、HTTP解析/構(gòu)造模塊、SOAP解析/封裝模塊、RPC方法處理模塊、事務(wù)交互模塊、錯誤處理模塊七大模塊[7]。機(jī)頂盒的輸入/輸出模塊負(fù)責(zé)上傳鑒權(quán)所需的數(shù)據(jù)信息，摘要認(rèn)證模塊負(fù)責(zé)機(jī)頂盒與后臺管理系統(tǒng)建立安全連接[7-8]。根據(jù)TR069協(xié)議規(guī)定，CPE在請求與ACS建立連接時，必須經(jīng)過身份合法認(rèn)證，本文采用了HTTP摘要認(rèn)證，其實(shí)現(xiàn)簡單，對機(jī)頂盒性能要求較低。機(jī)頂盒主動發(fā)起Http Digest認(rèn)證流程如圖3所示。

圖3 身份鑒權(quán)認(rèn)證流程圖

CPE主動發(fā)起連接，其通過發(fā)起HTTP Digest Authentication請求建立與終端網(wǎng)管系統(tǒng)的認(rèn)證連接。終端管理系統(tǒng)會要求進(jìn)行HTTP Digest Authentication 認(rèn)證，認(rèn)證通過則建立連接。

1)盒端(CPE)首先發(fā)送不帶Digest驗(yàn)證頭的Inform請求報文，ACS收到上述報文后，發(fā)現(xiàn)沒有認(rèn)證消息(帶有Authorization:標(biāo)識的報文)，然后發(fā)送401錯誤報文，對盒端發(fā)送不帶驗(yàn)證頭的Inform請求報文驗(yàn)證過程如圖4所示。

圖4 Inform Response認(rèn)證失敗報文(截圖)

2)CPE收到報文后，經(jīng)過分析得到錯誤碼401，每得到一次錯誤碼，ACS都會更新隨機(jī)值nonce，加強(qiáng)了傳輸過程的安全性。經(jīng)測試得到的響應(yīng)報文中含有WWW-Authenticate:Digest字段，而且包含realm，nonce，qop字段，將其字段的值存儲下來，程序開發(fā)中將cwmp.conf文件中的acs_auth設(shè)置成1，并設(shè)置acs_username和acs_password。通過函數(shù)http_da_post_header解析出ACS發(fā)送的nonce，qop等值，然后將本地文件存儲的realm(本地存儲的realm必須與收到的realm一致)和解析出來的值通過http_da_calc_HA1函數(shù)生成加密的字符串并存入response字段，并將這些信息組合到報文頭部，最后發(fā)送給ACS。

3)ACS收到上述報文后，確認(rèn)其含Authorization:字段，并且Authorization:字段中的response的值正確，那么認(rèn)證通過，認(rèn)證通過的回應(yīng)報文如圖5所示。

圖5 Inform Response認(rèn)證成功報文(截圖)

4)設(shè)備身份鑒權(quán)成功，CPE收到回復(fù)報文后，分析為驗(yàn)證通過報文，包含200成功認(rèn)證響應(yīng)碼，發(fā)送一個Inform為空的確認(rèn)報文，當(dāng)ACS收到此空報文時即可向CPE發(fā)送業(yè)務(wù)功能請求，實(shí)現(xiàn)相應(yīng)的功能，下面介紹的業(yè)務(wù)功能鑒權(quán)也是基于此實(shí)現(xiàn)的。

3.2 業(yè)務(wù)功能鑒權(quán)

業(yè)務(wù)功能鑒權(quán)是對TR069協(xié)議功能的擴(kuò)展，主要功能是判斷用戶是否具有執(zhí)行相應(yīng)功能的權(quán)限[9]。功能實(shí)現(xiàn)主要采用SSL/TLS協(xié)議結(jié)合RSA加密算法，ACS和CPE之間的交互都是通過密文形式，保證了業(yè)務(wù)功能實(shí)現(xiàn)的安全性。

實(shí)現(xiàn)鑒權(quán)功能需要依托TR069協(xié)議框架。和實(shí)現(xiàn)其他基本業(yè)務(wù)一樣，需要封裝對應(yīng)的RPC方法。當(dāng)用戶執(zhí)行直播、點(diǎn)播或分發(fā)分享業(yè)務(wù)就會向服務(wù)器發(fā)送鑒權(quán)請求，判斷是否有權(quán)限進(jìn)行相應(yīng)的操作，圖6為業(yè)務(wù)功能鑒權(quán)框圖。下面詳細(xì)介紹業(yè)務(wù)功能鑒權(quán)實(shí)現(xiàn)的步驟及方法。

圖6 業(yè)務(wù)功能鑒權(quán)框圖

1)生成RSA密鑰對。選擇Linux系統(tǒng)，下載OpenSSL軟件包，輸入如下命令genrsa -out rsa_private_key.pem 1024，此命令實(shí)現(xiàn)了1 024位私鑰的生成；輸入命令pkcs8-topk8-inform PEM-in rsa_private_key.pem-outform PEM-nocrypt，將私鑰轉(zhuǎn)換成PKCS8格式；輸入命令rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem，根據(jù)私鑰生成對應(yīng)的公鑰，完成密鑰對的生成。

2)檢查數(shù)據(jù)庫密鑰。通過封裝CheckRSAkey方法，依據(jù)機(jī)頂盒上傳的參數(shù)，查看對應(yīng)機(jī)頂盒數(shù)據(jù)庫中密鑰值是否為空，為空則發(fā)送RequestKey請求，按照SOAP報文格式，構(gòu)造RequestKey請求。

3)鑒權(quán)功能實(shí)現(xiàn)。用戶需要執(zhí)行分發(fā)分享業(yè)務(wù)時，客戶端發(fā)送authentication請求，請求報文采用RSA算法對業(yè)務(wù)名稱進(jìn)行加密發(fā)送給ACS；ACS接收到報文進(jìn)行解析并解密，得到Vod & Live & Wan& Lan代表點(diǎn)播、直播、廣域網(wǎng)、局域網(wǎng)分發(fā)分享；這些字段和數(shù)據(jù)庫字段相對應(yīng)，根據(jù)解析出來的信息查詢數(shù)據(jù)庫中對應(yīng)值；數(shù)據(jù)庫的值用0或1表示，0代表無對應(yīng)權(quán)限，1代表有對應(yīng)的權(quán)限，操作簡單，容易理解；將查詢出來的值拼接成如0&1&0&1字符串，并用公鑰加密封裝authenticationResponse響應(yīng)發(fā)送到CPE，即可完成鑒權(quán)功能。

4 測試及分析

本文基于現(xiàn)有的IPTV終端網(wǎng)管系統(tǒng)，完善了機(jī)頂盒終端的身份和業(yè)務(wù)鑒權(quán)功能。為了驗(yàn)證鑒權(quán)功能的有效性，筆者利用WireShark抓包工具分別對未加入鑒權(quán)機(jī)制和加入鑒權(quán)機(jī)制的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析。首先將配置有TR069協(xié)議的機(jī)頂盒連接到基于Linux系統(tǒng)的PC上，并啟動開發(fā)的后臺終端網(wǎng)管系統(tǒng)，在CPE向ACS請求連接時需進(jìn)行認(rèn)證，在輸入用戶名和密碼后通過WireShark抓包得到的結(jié)果如圖7所示。

圖7 用戶連接抓包結(jié)果圖(截圖)

為了進(jìn)一步證明鑒權(quán)系統(tǒng)對用戶信息的安全性保證，對網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行展開分析。圖8和圖9分別為加入鑒權(quán)機(jī)制和未加入鑒權(quán)機(jī)制的詳細(xì)數(shù)據(jù)分析。通過分析可得，加入鑒權(quán)機(jī)制的系統(tǒng)保證了用戶數(shù)據(jù)信息以密文格式傳到服務(wù)器，可以有效防止網(wǎng)絡(luò)攻擊者的攻擊，未采用鑒權(quán)機(jī)制的是以明文形式傳輸，很容易遭到攻擊與竊取。

圖8 加入鑒權(quán)機(jī)制數(shù)據(jù)包(截圖)

圖9 未加入鑒權(quán)機(jī)制數(shù)據(jù)包(截圖)

根據(jù)圖8和圖9 數(shù)據(jù)包對比顯示，本系統(tǒng)能夠通過HTTP摘要認(rèn)證機(jī)制保證用戶信息的安全性，實(shí)現(xiàn)用戶的合法性認(rèn)證，具有一定的實(shí)用性。

5 小結(jié)

本文開發(fā)的鑒權(quán)系統(tǒng)完善了IPTV終端網(wǎng)管系統(tǒng)，實(shí)現(xiàn)了對終端設(shè)備身份和業(yè)務(wù)鑒權(quán)功能，該系統(tǒng)加強(qiáng)了終端網(wǎng)管系統(tǒng)的安全性，解決了IPTV業(yè)務(wù)中非法用戶接入和信息內(nèi)容安全性問題。經(jīng)測試，該功能有效地滿足了廣域網(wǎng)環(huán)境中IPTV業(yè)務(wù)發(fā)展需求，同時對大網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)信息傳輸安全問題提供了理論和實(shí)踐支持。

[1] 蔣力，鄧竹祥. IPTV與OTT TV業(yè)務(wù)的發(fā)展現(xiàn)狀及趨勢[J].電信科學(xué)，2013(4)：8-11.

[2] 謝瑋. IPTV業(yè)務(wù)安全需求與架構(gòu)研究[J].電信科學(xué)，2007(4)：41-44.

[3] 郭先會，曾浩，李致興. TR069協(xié)議在IPTV終端管理系統(tǒng)中的研究與應(yīng)用[J].電視技術(shù)，2011，35(5)：54-56.

[4] 趙躍華，杜云海，包明國，等.基于身份認(rèn)證的嵌入式Web網(wǎng)關(guān)安全機(jī)制的實(shí)現(xiàn)[J].計算機(jī)工程，2004，30(23)：111-113.DOI：10.3969/j.issn.1000-3428.2004.23.042.

[5] 彭煥峰. 一種基于改進(jìn)的HTTP摘要認(rèn)證的SIP安全機(jī)制[J]. 微型機(jī)與應(yīng)用，2011(6)：53-55.

[6] 董海韜，田靜，楊軍，等. 適用于網(wǎng)絡(luò)內(nèi)容審計的SSL/TLS保密數(shù)據(jù)高效明文采集方法[J]. 計算機(jī)應(yīng)用，2015(10)：2891-2895.

[7] 鄧曉軍，賀迅宇. SSL/TLS握手協(xié)議的分析與研究[J]. 現(xiàn)代計算機(jī)(專業(yè)版)，2008(4)：10-12.

[8] NSIAH A K，SIKORA A，WALZ A，et al. Embedded TLS 1.2 implementation for smart metering & smart grid applications[J]. Journal of electronic science and technology，2015(4)：373-378.

[9] 付超，曹祁生. 基于TR-069協(xié)議的配置管理功能研究與應(yīng)用[J].電視技術(shù)，2012，36(23)： 94-96.

李志華(1978— )，女，副教授，副院長，主要研究方向?yàn)槲锫?lián)網(wǎng)與無線傳感網(wǎng)、煤礦綜合信息化；

孫 亞(1990— )，女，碩士生，主研物聯(lián)網(wǎng)與無線傳感網(wǎng)；

黎作鵬(1979— )，博士，講師，主要研究方向?yàn)槲锫?lián)網(wǎng)與無線傳感網(wǎng)。

責(zé)任編輯：許 盈

Design and implementation of IPTV terminal network management authentication system

LI Zhihua, SUN Ya，LI Zuopeng

(SchoolofInformationandElectricEngineering,HebeiUniversityofEngineering，HebeiHandan056038,China)

According to the goal and requirements of security on IPTV services, in view of the problem of illegal access for unauthorized users and business authorization control, the system of IPTV terminal network management authentication is designed and implemented using HTTP digest authentication mechanism and SSL/TLS protocol combined with RSA asymmetric encryption algorithm. Through the tests and analysis, the authentication system can meet the requirements of the terminal equipment identity and business authority authentication, and improves the security of the system.

IPTV terminal management； authentication； SSL/TLS； summary authentication

李志華，孫亞，黎作鵬. IPTV終端網(wǎng)管鑒權(quán)系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J].電視技術(shù)，2017，41(1)：18-22. LI Z H，SUN Y，LI Z P. Design and implementation of IPTV terminal network management authentication system [J].Video engineering，2017，41(1)：18-22.

TN949；TN915

A

10.16280/j.videoe.2017.01.004

河北省教育廳科學(xué)研究計劃項(xiàng)目(QN2015046)

2016-07-11