移动IPTV服务的访问控制框架解析

### 移动IPTV服务的访问控制框架解析 #### 1. 安全断言标记语言（SAML） SAML是一种基于XML的框架，用于传递用户认证、授权和属性信息。它允许企业实体向其他实体（如合作伙伴公司或其他企业应用程序）断言某个主体（通常是人类用户）的身份、属性和授权信息。SAML主要包含以下几个组件： - **断言（Assertions）**：允许一方以关于主体的声明形式断言安全信息。包含适用于所有声明的基本必需和可选信息，通常有断言的主体（若缺失，可通过其他方式确定身份，如用于主体确认的证书）、用于验证断言的条件和断言声明。SAML定义了三种可包含在断言中的声明： - **认证声明**：由成功认证用户的一方创建，描述认证用户的特定方式和认证发生的具体时间。 - **属性声明**：包含关于主体的特定识别属性。 - **授权决策声明**：定义主体有权做的事情。 - **绑定（Bindings）**：详细说明了各种SAML协议消息如何通过底层传输协议进行传输。 - **协议（Protocols）**：定义了许多请求/响应协议，使服务提供商能够认证主体或获取符合特定标准的断言。例如，工件解析协议（Artifact Resolution Protocol）提供了一种机制，通过使用一个小的、固定长度的值（称为工件），通过一个SAML绑定（如HTTP重定向）以引用方式传递SAML协议消息，而解析请求和响应则通过同步绑定（如SOAP）进行。 - **配置文件（Profiles）**：通常，SAML的配置文件定义了约束和/或扩展，以支持SAML在特定应用中的使用。其目标是通过消除通用标准中不可避免的一些灵活性来增强互操作性。 #### 2. 架构 移动IPTV的架构基于安全服务融合方案，由用户、分发网络和内容提供商组成。具体流程如下： - 用户使用手机发送M - IPTV服务请求。 - 服务请求通过移动通信网络（作为分发网络），经WAP网关传输。WAP网关连接移动域和有线互联网，作为协议网关，分别进行WAP - HTTP的编码和解码。 - IPTV提供商对移动用户的请求进行认证和授权。 - 若授权成功，内容提供商处理多媒体内容，包括编码、加密、打包和版权发放。 - 手机对内容进行解密和解扰，移动用户安全地播放内容。 同时，还提出了支持SLA自适应的M - IPTV安全服务委托架构。IPTV提供商接收服务请求，认证移动用户，并确保有足够资源提供约定的服务。若无法提供，会与其他IPTV提供商协商，协商基于基于SAML的单点登录（SSO）和访问控制，以提供集成环境之间的灵活性、可扩展性和互操作性。 #### 3. M - IPTV安全服务委托协议 当客户想使用IPTV提供商提供的服务时，需要达成协议，其中涉及服务的功能和非功能参数。服务级别协议（SLA）是服务提供商和服务消费者之间建立服务质量（QoS）协议的最常用机制。 M - IPTV的交互过程如下： 1. 用户向IPTV提供商请求服务。 2. IPTV提供商认证用户，检查SLA以授权服务，并向用户发送许可证。 3. 内容服务器向移动设备发送内容。 随着服务请求数量的增加，IPTV提供商可能无法满足SLA目标，导致服务提供失败。为防止这种情况，SLA需要在服务提供过程中进行自适应调整，允许在预期违反QoS保证时与其他IPTV提供商进行运行时协商。 这种灵活性包括： - 与其他IPTV提供商在运行时协商具有SLA保证的服务提供。 - 相应地委托服务交付。 在设计协议时，需要考虑以下因素： - 移动用户认证 - 基于