Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia

Transcripción

1 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia M. Sánchez 1, G. López 1, O. Cánovas 2, J. A. Sánchez 1 and A.F. Gómez-Skarmeta 1 1 Departamento de Ingeniería de la Información y las Comunicaciones 2 Departamento de Ingeniería y Tecnología de Computadores Universidad de Murcia, España {msc,gabilm,jlaguna,skarmeta}@dif.um.es {ocanovas}@ditec.um.es Abstract La distribución de contenidos multimedia ha surgido como un nuevo mercado en expansión ofrecido por los proveedores de red, definiendo infraestructuras de acceso a los recursos capaces de soportar tanto accesos inalámbricos como mediante cableado. Aunque estas infraestructuras han sido ampliamente estudiadas en los últimos años, el principal objetivo de estos trabajos estaba centrado más en el proceso de distribución de contenidos que en la infraestructura de seguridad adecuada para proteger dichos contenidos. Por lo tanto, el estudio de sistemas de seguridad capaces de ofrecer autenticación, autorización y otros requisitos relacionados con la seguridad para este tipo de escenarios es todavía un campo de investigación abierto. En este artículo, se propone un nuevo esquema que aprovecha un infraestructura de autorización previamente desplegada entre las organizaciones implicadas, el sistema NAS-SAML, para construir un sistema de distribución de contenidos multimedia con un mecanismo de autorización avanzado y extensible. El escenario estudiado es el que se presenta en el proyecto VIDIOS, que define una arquitectura para transmisiones multimedia sobre redes propensas a errores como las redes troncales de Internet y redes de acceso móvil. 1 Introducción Los accesos de banda ancha a Internet, tanto mediante cables como inalámbricos, constituyen un mercado estratégico en expansión ofrecido por casi todos los proveedores de acceso a Internet (ISPs) europeos. Los ISPs identifican la distribución de contenidos multimedia como un mercado potencial para un servicio de valor añadido sobre la infraestructura existente. De hecho, la transmisión de vídeo está considerada como un servido emergente a corto plazo con diferentes oportunidades de negocio, que van desde videoconferencia personal hasta vídeo bajo demanda. Una de las principales preocupaciones en un sistema de distribución multimedia es la protección del proceso de distribución frente a usuarios maliciosos. En primer lugar, es necesario asegurar que sólo los usuario que han pagado la tarifa correspondiente pueden acceder al sistema. En segundo lugar, el sistema debe asegurar que los contenidos protegidos sólo pueden ser obtenidos por aquellos usuarios que han contratado

2 2 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta el nivel de acceso apropiado, es decir, sólo los usuarios autorizados. Finalmente, la confidencialidad e integridad de la transmisión multimedia debe protegerse tanto frente a ataques pasivos como activos. En estos escenarios, donde los contenidos multimedia se transmiten desde los proveedores hasta los clientes a través de redes de datos abiertas, es posible encontrar escenarios inter-dominio, por ejemplo cuando el dominio que proporciona los contenidos multimedia y el dominio que proporciona acceso a Internet al cliente son diferentes. Además, los usuarios pueden acceder a los contenidos desde diferentes ISPs. Esto implica la necesidad de un acuerdo explícito entre los dominios implicados, de manera que se intercambie la información necesaria para realizar las tareas de control de acceso, así como para aplicar una calidad de servicio (QoS) adecuada. Aunque el control de acceso es una característica fundamental en la distribución de contenidos, no es exclusivo de este campo. Tradicionalmente, las organizaciones han protegido sus recursos más críticos, por ejemplo las redes de comunicaciones. De hecho, la arquitectura AAA (Authentication, Authorization and Accounting) [9] fue diseñada para resolver este problema usando diferentes mecanismos para identificar al usuario, como login y contraseña o certificados de identidad. Por lo tanto, uno de los mecanismos de control de acceso más comúnmente utilizado por los ISPs es el basado en la arquitectura AAA. En este artículo, se presenta una arquitectura de control de acceso desarrollada para el proyecto VIDIOS [4]. Entre los principales objetivos de este proyecto está el diseño y validación de una arquitectura para distribución de contenidos multimedia, especialmente vídeos codificados con MPEG-4, sobre una red troncal MPLS. Debido a las similitudes que se pueden encontrar con otras arquitecturas de control de acceso existentes, sería deseable reutilizar la mayor parte de las ideas y contribuciones incluidas en las propuestas existentes para definir la arquitectura de control de acceso para VID- IOS. De hecho, un sistema probado con éxito como NAS-SAML [14] será el utilizado como punto de partida para los escenarios de autenticación, autorización y aplicación de la QoS. Como se detalla más adelante, NAS-SAML hace uso de estándares basados en XML para gestionar los datos de autenticación y autorización, y para expresar las políticas de control de acceso de una manera extensible y distribuida. El resto de este artículo está estructurado de la siguiente manera. La Sección 2 define el proyecto VIDIOS. Después, la Sección 3 establece los requisitos principales de la arquitectura de control de acceso una vez que se han analizado los principales objetivos de VIDIOS. La Sección 4 presenta el sistema NAS-SAML, que será utilizado como punto de partida para definir la arquitectura de control de acceso. A continuación, la Sección 5 presenta los elementos principales de esta dicha arquitectura, y la Sección 6 detalla la manera en la que la autenticación, la autorización y la aplicación de la QoS se realiza finalmente. La Sección 7 describe el trabajo relacionado que ha servido como referencia para esta investigación. Finalmente, el artículo termina con las conclusiones y líneas de trabajo futuro.

3 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 3 2 VIDIOS El objetivo de VIDIOS es diseñar y validar una arquitectura que proporcione calidad de servicio (QoS) extremo a extremo para transmisiones multimedia sobre redes propensas a fallos como las redes troncales de Internet o redes de acceso móviles. El estándar MPEG-4 combinado con técnicas de codificación escalables se aplican en VIDIOS para conseguir un transporte robusto sobre redes MPLS (Multiprotocol Label Switching). La red troncal MPLS además protege el flujo de la aplicación mediante QoS basada en estándares existentes. La Figura 1 muestra una imagen general de la funcionalidad proporcionada por VIDIOS. En esta imagen puede verse el proveedor de contenidos donde el usuario esta registrado, y dos proveedores de acceso a Internet (ISPs) diferentes. Los usuarios pueden acceder al servicio a través de cualquiera de los ISPs, siempre que éstos tengan un acuerdo con el proveedor de contenidos. Este acuerdo debe especificar el nivel de QoS que el ISP debe garantizar a los clientes, que está directamente relacionado con el nivel de acceso contratado con el proveedor de contenidos. En cuanto a los clientes, es necesario que se identifiquen de alguna manera cuando acceden al sistema, ya que el nivel de acceso que tienen determina la calidad de los contenidos a los que pueden acceder. Finalmente, la imagen muestra cómo el flujo multimedia es protegido para garantizar la privacidad de los contenidos. Figure 1. Esquema general de VIDIOS Es necesario definir dos tipos de usuarios en el sistema con funcionalidad diferente. Por un lado están los administradores, que pueden administrar los contenidos multimedia, los niveles de acceso y las claves de cifrado. Por otro lado están los clientes, que únicamente pueden acceder a los contenidos a los que están autorizados. El sistema define dos tipos de flujos multimedia, unicast y multicast, dependiendo del tipo de contenido que se esté transmitiendo. Por ejemplo, un contenido en directo es más apropiado para ser emitido en multicast, mientras que una película puede ser emitida en unicast. La arquitectura de VIDIOS debe ser lo suficientemente flexible para permitir ambos tipos de envíos de manera transparente a los usuarios.

4 4 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta 3 Requisitos de la arquitectura de control de acceso en VIDIOS Para proporcionar la funcionalidad descrita anteriormente, es necesario que la arquitectura de control de acceso cumpla, al menos, una serie de requisitos relacionados con la transmisión multimedia, el soporte para escenarios interdominio, cuestiones de seguridad y aplicación de la QoS. Es importante destacar que la arquitectura desarrollada en VIDIOS no debe introducir nuevos protocolos o lenguajes de políticas, por lo que debe estar basado en propuestas contrastadas. 3.1 Requisitos de la transmisión multimedia Es necesario un protocolo de transmisión multimedia que soporte todas las necesidades descritas anteriormente. Es decir, debe soportar tanto emisiones multicast como unicast, y ser extensible para incluir gestión de claves de cifrado. Además debe permitir al usuario controlar el flujo de emisión cuando se trate de vídeo bajo demanda (VoD) iniciando, pausando o terminando la retransmisión. Teniendo en cuenta estas necesidades, RTSP (Real Time Streaming Protocol) [18] es la mejor opción para gestionar los diferentes servicios de transmisión multimedia que VIDIOS proporciona. RTSP es un protocolo de nivel de aplicación diseñado para controlar la emisión de datos con requisitos de tiempo real. Este protocolo proporciona un marco extensible para transmitir de forma controlada contenidos bajo demanda en tiempo real, como audio o vídeo. Las fuentes de datos pueden incluir tanto emisiones en directo como contenidos almacenados. Este protocolo permite controlar varias sesiones multimedia, elegir el canal por el que se van a transmitir los contenidos, ya sea UDP o TCP, y además permite configurar los parámetros de transporte del protocolo RTP. También permite controlar de forma remota la emisión de audio y vídeo, ya sea pausándolo, avanzado, retrocediendo o situándolo en cualquier posición. 3.2 Requisitos de seguridad Los dos requisitos de seguridad principales que el sistema debe solventar son la autenticación y la autorización. VIDIOS define dos servicios independientes, el primero para identificar al usuario y el segundo para comprobar si dicho usuario puede acceder al contenido multimedia seleccionado. Como se detalla más adelante, estos dos servicios están relacionados mediante el uso de un token de seguridad. Autenticación. Cuando un usuario desea acceder a un contenido multimedia, el primer paso consiste en autenticar su identidad durante el inicio de sesión. Además es necesario proporcionar un mecanismo de acceso único al sistema (SSO), es decir que el usuario únicamente tenga que identificarse una vez en el sistema para poder acceder a todos los servicios. De esta manera, una vez que el usuario se ha autenticado se genera un token, que posteriormente será utilizado cada vez que se necesite comprobar su identidad. Autorización. El sistema debe ofrecer la posibilidad de definir varios niveles de acceso. Cada contenido multimedia tiene que ser clasificado en uno de estos niveles. Ésta es la manera de diferenciar los contenidos que pueden ser accedidos por los usuarios de cada nivel.

5 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 5 Además, dos nuevos requisitos surgen cuando consideramos la protección de la transmisión multimedia. En primer lugar, es necesario cifrar toda la comunicación desde el servidor hasta el cliente para evitar que usuarios no registrados puedan acceder a dicho contenido sin pagar. Y en segundo lugar, como medida de protección frente a antiguos clientes que conserven las claves sin estar registrados en el sistema, es recomendable regenerar las claves de cifrado periódicamente. La protección de la transmisión multimedia conlleva la necesidad de distribuir las claves de cifrado a los clientes autorizados de una manera segura. Por lo tanto es necesario definir un mecanismo para compartir dichas claves entre el servidor RTSP y los clientes autorizados. En este escenario, se puede utilizar MIKEY [5] como mecanismo para la distribución de las claves de cifrado. Las extensiones sobre RTSP para incluir el uso de MIKEY se describen en [6]. 3.3 Requisitos de calidad de servicio Debido a que el usuario está pagando por el servicio, es necesario garantizar su satisfacción en cuanto a QoS se refiere. Por lo tanto es necesario introducir un tercer servicio en el sistema. Dicho servicio debe comprobar la disponibilidad de ancho de banda suficiente entre el servidor multimedia y el cliente, y además debe aplicar el nivel de prioridad adecuado a la transmisión multimedia, en función del nivel de acceso del usuario. Siguiendo el esquema SSO, este servicio debe hacer uso del token de autorización que identifica al usuario a la hora de recuperar el nivel de QoS asociado con éste. La primera cuestión puede ser resuelta usando PPS (Priority Promotion Scheme) [16]. Este mecanismo realiza una medida extremo a extremo de la disponibilidad de recursos de red. La idea principal consiste en que la propia aplicación compruebe si existe ancho de banda suficiente mandado un flujo de datos similar al que va a realizar antes de comenzar con el tráfico real. Para que PPS funcione, es necesario que la red dé un tratamiento prioritario al flujo de datos de prueba, por lo tanto es necesario configurar la red para que soporte este mecanismo. PPS puede ser integrado en RTSP, de manera que el servidor compruebe si hay ancho de banda suficiente para realizar la transmisión multimedia. El segundo requisito de QoS implica una comunicación entre dominios para que el ISP pueda recuperar la información que define el nivel de acceso del cliente, que está definido en el proveedor de contenidos. Una vez que el ISP obtiene esta información, es necesario convertir dicho nivel de acceso al valor de QoS acordado entre ambos dominios, que posteriormente se aplicará mediante DiffServ [7]. De esta manera, el servidor RTSP marca los paquetes que pertenecen a dicho flujo multimedia de manera que la red del ISP los reconozca y sea capaz de tratarlos con un nivel de QoS adecuado. 3.4 Requisitos interdominio La existencia de diferentes dominios en el sistema implica la necesidad de algún tipo de acuerdo, donde el proveedor de contenidos y los ISPs especifiquen los diferentes tipos de usuarios y la QoS que se les debe proporcionar a dichos usuarios. Este acuerdo implica el intercambio de datos entre los diferentes dominios, por un lado para determinar el nivel de acceso del usuario en el proveedor de contenidos, y por otro para obtener el

6 6 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta nivel de QoS que el ISP debe proporcionarle al usuario. Este objetivo puede alcanzarse mediante el despliegue de una infraestructura AAA [9] entre los diferentes dominios. Este tipo de infraestructura implica la existencia de un servidor AAA en cada uno de los dominios que centralice las tareas de autenticación y autorización. 4 Arquitectura de control de acceso basada en SAML Durante los últimos años, cómo controlar qué usuarios pueden hacer uso de las redes de ordenadores se ha convertido en un problema creciente para los administradores de red. Consecuentemente, han aparecido varias tecnologías de seguridad para proporcionar mecanismos de control de acceso basados en la autenticación de los usuarios [12], [11]. Tradicionalmente, los sistemas de acceso a la red han estado basados en mecanismos de login y contraseña. Otros sistemas, siguiendo un enfoque más avanzado para la autenticación mutua, están basados en certificados de identidad X.509. Estos sistemas son especialmente útiles para organizaciones que están preocupadas sobre la identidad real del solicitante. Pero hay otras organizaciones donde los diferentes usuarios están clasificados de acuerdo con sus tareas administrativas, el tipo de servicio obtenido o cualquier otro requisito interno. En estos escenarios, la identidad del usuario puede no ser suficiente para permitir el acceso al recurso que está siendo controlado, ya que es necesario conocer el rol del usuario para poder ofrecerle el servicio correcto. Por lo tanto, es necesario un sistema capaz de proporcionar a los diferentes usuarios los atributos que especifican sus privilegios o roles. Normalmente, este tipo de sistemas está diseñado siguiendo los principios el modelo de control de acceso basado en roles (RBAC) [10]. En [14], se presenta una propuesta de control de acceso a la red basada en certificados de identidad X.509 y atributos de autorización. Esta propuesta está basada en los estándares SAML y XACML, utilizados para expresar las políticas de control de acceso basadas en atributos, las sentencias de autorización y los protocolos de autorización. La autorización está basada principalmente en la definición de políticas de control de acceso [13] que incluyen los grupos de usuarios pertenecientes a diferentes dominios a los que se les pueden asignar diferentes roles para conseguir acceso a la red de un proveedor de servicios, bajo unas determinadas circunstancias. El sistema trabaja de la siguiente manera. Cada usuario pertenece a un dominio origen donde tiene asignados un conjunto de atributos que definen los roles que juega en el sistema. Cuando el usuario solicita una conexión a la red en un dominio externo mediante una conexión 802.1X, la solicitud es capturada por el servidor AAA situado en el dominio destino, que se encarga de hacer una consulta para obtener los atributos asociados con el usuario a la autoridad responsable de administrarlos del dominio origen. Alternativamente, siguiendo el modelo push, el usuario puede presentar él mismo sus atributos, en lugar de dejar que el servidor AAA los obtenga. Finalmente, el servidor AAA realiza una consulta de autorización a su PDP (Policy Decision Point) local, y esta entidad responde indicando si los atributos satisfacen la política de control de acceso al recurso. Además, esta política puede establecer además una serie de obligaciones derivadas de dicha decisión, como por ejemplo parámetros de QoS, opciones de

7 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 7 seguridad, etc. Este esquema general funciona tanto en escenarios de un único dominio o que impliquen varios dominios. NAS-SAML ha sido integrado con otros sistemas de autorización, como PER- MIS [15], mediante un servicio de conversión de credenciales [8] usado para traducir credenciales de autorización de un dominio origen a otro dominio destino. Aunque NAS-SAML fue diseñado para solucionar los problemas de autorización en un entorno de control de acceso a la red, puede ser fácilmente adaptado para ser utilizado por cualquier servicio o aplicación de alto nivel. Un ejemplo de estas aplicaciones de alto nivel es la distribución de contenidos multimedia en escenarios multidominio, donde los proveedores de acceso a Internet y los proveedores de contenidos necesitan establecer acuerdos de autorización para definir la distribución de contenidos multimedia, los niveles de acceso o las propiedades de QoS. Estos dominios pueden aprovechar una infraestructura NAS-SAML previamente establecida para definir los procesos de autenticación y autorización del usuario mediante los cuales se protegerán los contenidos multimedia, y el intercambio de información de QoS. Las siguientes secciones detallan el escenario propuesto. 5 Arquitectura de control de acceso propuesta Esta sección describe los elementos que definen los procesos de autenticación, autorización y aplicación de la QoS. Como la Figura 2 muestra, esta arquitectura puede ser usada cuando dos organizaciones comparten una infraestructura AAA con soporte para NAS-SAML. Desde el punto de vista del sistema NAS-SAML, cada organización tiene su propio servidor AAA, el elemento principal en este escenario, ya que es el responsable de realizar el proceso de autorización en cada dominio. Por un lado, el proveedor de contenidos, donde los usuarios son autenticados y autorizados, necesita definir dos módulos para ayudar al servidor AAA a realizar las tareas de autorización. El primero es un módulo para generar atributos de autorización. En este escenario, estos atributos representan el nivel de acceso contratado por el usuario con el proveedor de contenidos. El segundo módulo se encarga de generar decisiones de autorización basándose en dichos niveles de acceso. Por otro lado, el ISP, donde deben aplicarse las características de QoS, necesita un módulo para ayudar al sistema a traducir el nivel de acceso del usuario en parámetros de QoS. Para definir apropiadamente los procesos de autenticación, autorización y aplicación de las QoS, estas entidades necesitan hacer uso de un conjunto de políticas que guíen su comportamiento. El proveedor de contenidos necesita una política para asignar niveles de acceso a los usuarios y otra para definir los derechos de acceso en función del nivel de acceso de los usuarios. Por su parte, el ISP necesita una política donde los atributos de nivel de acceso del usuario sean traducidos a los parámetros apropiados de QoS. Desde el punto de vista del sistema de distribución de contenidos multimedia, ambos dominios necesitan definir cómo van a aprovechar la infraestructura NAS-SAML.

8 8 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta Figure 2. Elementos de la arquitectura En primer lugar, el proveedor de contenidos debe encargarse del proceso de autenticación. Después, el servidor RTSP será el responsable de realizar el proceso de autorización haciendo uso de la infraestructura NAS-SAML. Finalmente, el ISP define un proxy RTSP, que actúa como elemento intermediario entre el usuario y el servidor RTSP durante el proceso de autorización, y que es responsable de establecer las características de QoS una vez que la autorización se ha realizado. A continuación se ofrece una breve descripción de los diferentes componentes del sistema. Usuario: Es la entidad que está solicitando acceso al contenido multimedia. El usuario paga por un nivel de acceso específico en el proveedor de contenidos, y en base a dicho nivel de acceso puede acceder a un conjunto determinado de contenidos multimedia. El nivel de acceso, además asegura un nivel de QoS específico en el ISP. Proveedor de servicios: Esta entidad es el punto de entrada a todos los servicios ofrecidos por el proveedor de contenidos. Se encarga de obtener el login y la contraseña del usuario, y de mostrar la lista de recursos multimedia disponibles. Servidor AAA del proveedor de contenidos: Este servidor AAA se usa para gestionar la autenticación, autorización y solicitudes de atributos. Hace uso del protocolo DIAMETER como mecanismo de transporte entre diferentes dominios. Servidor AAA del proveedor de acceso a Internet: Este elemento es utilizado por el proxy RTSP como intermediario para obtener información del usuario desde el dominio del proveedor de contenidos. Autoridad fuente (SA): Este módulo se encarga de asignar niveles de acceso a los usuarios. La SA recibe peticiones a través del servidor AAA y realiza la asignación en función de la política de asignación de niveles de acceso, definida en XACML.

9 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 9 Proxy RTSP: Este elemento debe estar presente en cada ISP que haya suscrito un acuerdo con el proveedor de contenidos. Este servicio es responsable de solicitar el contenido multimedia y realizar la tareas relacionadas con la QoS. Punto de decisión basado en políticas (PDP): Este módulo es la entidad responsable de generar las sentencias relacionadas con las decisiones de autorización. Además, interacciona con el repositorio de políticas, donde se almacena la política de acceso a los recursos, definida en XACML. El PDP tiene que obtener el nivel de acceso del usuario, ya que la política de control de acceso está expresada en términos de dichos niveles de acceso. Finalmente, el PDP genera la sentencia con la decisión de autorización en función de toda la información reunida. Servicio de conversión de credenciales (CCS): Este servicio [8] está guiado por una política de conversión de credenciales escrita en XACML, que establece la relación entre los niveles de acceso y de QoS. Router de acceso a la red (NAS): Este elemento es el dispositivo de red que conecta al usuario con la red del ISP, y donde deben aplicarse los parámetros de QoS. Una vez descritos los elementos necesarios para el sistema de control de acceso, la siguiente sección proporciona los detalles relativos a cómo los procesos de autenticación, autorización y aplicación de la QoS se realizan finalmente. 6 Diseño del sistema de control de acceso La interacción entre los diferentes componentes descritos en la sección anterior depende de los requisitos del sistema. El proceso de control de acceso se realiza en tres pasos diferentes, que deben realizarse satisfactoriamente para pasar a la siguiente fase. Primero, el sistema usa un mecanismo de acceso único al sistema (SSO) para autenticar la identidad del usuario que va a solicitar acceso a un recurso multimedia protegido. Como resultado de este proceso de autenticación, se genera un token de seguridad para indicar que el usuario se ha identificado correctamente y además expresar su identidad digital en el sistema. Una vez identificado, se le muestra al usuario una lista de recursos multimedia que pueden ser distribuidos desde el proveedor de servicios, para que seleccione uno de ellos. Durante este paso, usando el token generado anteriormente, el proveedor de servicios comprueba si el nivel de acceso del usuario permite la distribución del contenido seleccionado. Este proceso se realiza siguiendo el modelo pull, es decir, la adquisición y validación de atributos del usuario se realizan por parte del propio sistema, sin intervención del usuario. Finalmente, cuando la solicitud es aprobada, el sistema debe iniciar el último proceso, mediante el cual se aplicarán los parámetros de QoS necesarios para visualizar el vídeo de manera adecuada. El mecanismo mediante el cual los usuarios se registran en el proveedor de contenidos y se asignan los niveles de acceso queda fuera del ámbito de este artículo. En adelante se asumirá que el usuario ya se ha registrado y que por lo tanto está autorizado a acceder a alguno de los contenidos protegidos, aquellos conformes con su nivel de acceso. Las siguientes subsecciones presentan los detalles de cada uno de los pasos del sistema de control de acceso, destacando los diferentes protocolos, mensajes y elementos de información utilizados para realizar cada proceso.

10 10 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta 6.1 Autenticación del usuario El primer paso para poder ver un vídeo es acceder al sistema (Figura 3). El proceso de SSO se realiza a través de una Web, usando una conexión HTTP segura. El usuario proporciona su nombre y contraseña, usando por ejemplo un formulario HTML, que son comprobados por el proveedor de servicios. Este proceso de validación lo realiza realmente el servidor AAA, usando algún mecanismo como consultar una base de datos, un directorio LDAP, etc. Por lo tanto, el proveedor de servicios debe intercambiar el nombre de usuario y la contraseña con el servidor AAA usando algún protocolo apropiado para este tipo de comunicación. Se ha decidido utilizar el protocolo DIAMETER- SAML (encapsulación de mensajes SAML sobre DIAMETER) ya que es el mecanismo definido en el sistema NAS-SAML. Por lo tanto, debe crearse una sentencia SAMLAuthenticationQuery para incluir el nombre de usuario y contraseña, como puede verse en la Figura 3. Una vez que la autenticación se ha realizado satisfactoriamente por parte de la autoridad fuente (SA, el módulo de autenticación del servidor AAA), se genera un token de seguridad para indicar que el usuario ha entrado en el sistema y que por lo tanto no es necesario que vuelva a autenticarse durante un determinado periodo de tiempo. Este token es una sentencia SAMLAuthenticationStatement firmada digitalmente que contiene un identificador localmente único del usuario. Este identificador será utilizado posteriormente para obtener los atributos durante la fase de autorización. Figure 3. Proceso de autenticación del usuario 6.2 Autorización Una vez que el usuario se ha autenticado, puede solicitar acceder a alguno de los recursos multimedia incluidos en al lista de URIs obtenidas en el paso anterior. Utilizando un cliente RTSP, el usuario proporciona la URI y el token de seguridad al servidor RTSP (esta transmisión se realiza a través del proxy RTSP que será explicado en la siguiente sección).

11 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 11 Figure 4. Proceso de autorización del usuario Antes de comenzar con la distribución del contenido multimedia, el servidor RTSP debe comprobar que el usuario ha solicitado un recurso multimedia acorde con el nivel de acceso que tiene asignado (Figura 4). Este proceso de validación lo realiza el servidor AAA del proveedor de contenidos, usando otra vez el protocolo DIAMETER-SAML. En este caso, el servidor RTSP debe construir una sentencia SAMLAuthorizationDecisionQuery que contenga el identificador del usuario y el recurso multimedia solicitado. Debido a que el control de acceso se realiza en función de los niveles de acceso definidos en el sistema, el siguiente paso es obtener los atributos que definen el nivel de acceso del usuario desde la SA. Estos atributos están expresados mediante sentencias SAML y se obtienen según el mecanismo explicado en [14]. Finalmente, los atributos se validan frente a la política de acceso por el PDP, que genera una sentencia SAM- LAuthorizationDecisionStatment como respuesta para el servidor RTSP indicando si la acción puede realizarse o no. En el caso de que la acción se permita, se manda un mensaje RTSP con un OK como respuesta para el cliente RTSP. De esta manera el cliente solicita el inicio de la transmisión multimedia. La siguiente fase es opcional, y consiste en aplicar un nivel de QoS adecuado a la transmisión multimedia en función del nivel de acceso del usuario. Durante esta fase

12 12 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta debe comprobarse además que hay suficiente ancho de banda para la correcta recepción del vídeo. 6.3 Aplicación de la QoS Aunque en principio pueda parecer que la aplicación de la QoS no es parte del sistema de control de acceso, se ha incluido ésta como una fase opcional del sistema. La idea principal es proporcionar un mecanismo para asegurar que el usuario va a obtener del ISP el nivel de QoS requerido para visualizar el vídeo correctamente. Además, el nivel de QoS debe establecerse en función del nivel de acceso por el que el usuario ha pagado en el proveedor de contenidos. Por lo tanto, es necesario un mecanismo para obtener el nivel de acceso del usuario por parte del ISP, y de traducir dicho nivel a un perfil específico de QoS. Cuando se utiliza este mecanismo, la recepción del vídeo solicitado por el usuario puede ser cancelada si el nivel de QoS mínimo no se puede garantizar. La Figura 5 describe este proceso. En primer lugar, utilizando el login que esta incluido en el token generado en la autenticación, el proxy RTSP construye una sentencia SAMLAttributeQuery para obtener el nivel de QoS a aplicar para el usuario. Dicha sentencia debe especificar que está solicitando un nivel de QoS mediante el uso de AttributeDesignator con el valor QoS-tag. De esta manera, después de recuperar los atributos que definen el nivel de acceso del usuario mediante una consulta SAMLAttributeQuery al proveedor de contenidos, el AAA del ISP convierte estos atributos en un perfil específico de QoS utilizando para ello el servicio de conversión de credenciales (CCS) y la correspondiente política de conversión. Después, este nivel de QoS se aplica en el router de acceso a la red, de manera que la transmisión multimedia sea tratada con la prioridad adecuada. Finalmente, utilizando el esquema PPS, el sistema comprueba si hay suficiente ancho de banda entre el usuario y el servidor RTSP para la distribución del recurso multimedia. 7 Trabajos relacionados Esta sección describe otros trabajos que han servido como referencia para esta propuesta. Aunque la distribución de contenidos multimedia ha sido ampliamente estudiada en los últimos años, estos trabajos han estado interesados principalmente en la distribución de contenidos propiamente dicha y no en una infraestructura de seguridad adecuada para proteger dichos contenidos. El proyecto ENTHRONE [2] propone una solución de gestión integrada, que cubre completamente un servicio de distribución audiovisual, incluyendo la generación y protección de los contenidos, la distribución a través de una red y la recepción desde terminales de usuario. El objetivo no es unificar o imponer una estrategia para cada entidad individual del proceso, sino armonizar su funcionalidad para soportar una arquitectura de QoS extremo a extremo sobre redes heterogéneas, aplicable a una variedad de servicios audiovisuales, que son distribuidos hasta diferentes tipos de terminal de usuario. Para alcanzar estos objetivos, el proyecto confía en una arquitectura de gestión abierta, eficiente y distribuida, para la entrega de contenidos de extremo a extremo. La disponibilidad y acceso a los recursos es identificada, descrita y controlada durante todo el

13 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 13 Figure 5. Proceso de aplicación de la QoS proceso de distribución de contenidos. El modelo de datos MPEG-21 es utilizado para proporcionar el soporte común para implementar y gestionar la funcionalidad de los recursos. En este sistema, el usuario dispone de un dispositivo hardware (set-top box) que contiene su identificador público y un secreto único. Esta información se utiliza tanto para identificar al usuario como para establecer canales seguros con otras entidades del sistema y así poder transmitir de forma segura datos sensibles. Cuando el usuario quiere acceder a un contenido específico, el sistema recupera la licencia de dicho contenido, que especifica sus restricciones de control de acceso, y comprueba en base al perfil del usuario si éste tiene los derechos necesarios para acceder al contenido. Finalmente, la licencia, que contiene las claves de cifrado del contenido multimedia, se transmite al settop box del usuario a través de un canal seguro, de manera que la emisión multimedia puede comenzar. De esta manera, el control de acceso está ligado a la información contenida en un dispositivo hardware, el set-top box, limitando al usuario a acceder al servicio únicamente a través de dicho elemento hardware, y por lo tanto no permitiendo

14 14 M. Sánchez, G. López, O. Cánovas, J. A. Sánchez and A.F. Gómez-Skarmeta al usuario iniciar dos sesiones multimedia simultáneamente, desde la televisión y el ordenador por ejemplo, lo que limita la movilidad del usuario. Al igual que el proyecto ENTHRONE, la mayor parte de los proyecto relacionados con emisiones multimedia, como por ejemplo TIRAMISU [3], incluyen DRM (Digital Rights Management) [17] en lugar de únicamente un sistema de control de acceso. La razón por la que VIDIOS no incluye una especificación DRM es porque ésta está orientada a contenidos que pueden descargarse en un dispositivo y compartirse entre usuarios, mientras que VIDIOS está orientado a un servicio de transmisión multimedia. En estos servicios, el contenido multimedia se almacena en un servidor junto con información como el precio, la calidad, etc. En VIDIOS, los contenidos se protegen únicamente mediante el uso de cifrado durante el proceso de transmisión. 8 Conclusiones y vías futuras La distribución de contenidos multimedia a través de redes de comunicaciones requiere una infraestructura capaz de distribuir recursos multimedia entre usuarios y proveedores de contenidos. VIDIOS propone una infraestructura que ofrece estos requisitos. Se han descrito la entidades principales de la solución propuesta y analizado los requisitos para garantizar un canal de comunicaciones entre los dominios implicados seguro y confiable. Esta propuesta puede ser fácilmente aplicada a cualquier sistema de distribución de contenidos multimedia. Para satisfacer los requisitos presentados, se ha propuesto la infraestructura NAS- SAML. Siguiendo esta alternativa, la solución define cómo los procesos de autenticación, autorización y aplicación de QoS pueden aprovechar una infraestructura de autorización existente entre los dominios implicados. Por lo tanto, se definen la interfaces de comunicación y protocolos entre las entidades de VIDIOS y los servicios NAS-SAML. Es importante dejar constancia de que no ha sido necesario definir ningún nuevo protocolo de seguridad, servicio o entidad, ya que NAS-SAML proporciona un mecanismo sencillo de extensión para servicios de alto nivel. De esta manera, este trabajo es otro ejemplo de aplicación de la infraestructura NAS-SAML, inicialmente pensada para controlar el acceso a la red, en aplicaciones de alto nivel tan diferentes como un sistema de distribución de contenidos multimedia o un grid. Dentro del proyecto VIDIOS se está trabajando en el desarrollo de un prototipo con el que realizar las pruebas necesarias para validar el sistema, así como para obtener resultados experimentales que demuestren la robustez del mismo. Una versión inicial de dicho prototipo, que aún no incluye toda la funcionalidad requerida, ha sido presentado en el Celtic Event 2006 [1]. Actualmente se está trabajando en la definición del sistema NAS-SAML basado en la versión 2.0 de SAML, que recientemente ha sido aceptada como versión estándar. 9 Agradecimientos Trabajo parcialmente financiado por los proyectos Celtic-CP2-029, IST y TIC C06-03.

15 Un Sistema de Control de Acceso para la Distribución de Contenidos Multimedia 15 References 1. Celtic event 2006 home page. Celtic-Event06/welcome.asp. 2. End-to-End QoS through Integrated Management of Content, Networks and Terminals (EN- THRONE). Funded under 5th FWP (Fifth Framework Programme). 3. The Innovative Rights and Access Management Inter-platform SolUtion (TIRAMISU). Funded under 6th FWP (Sixth Framework Programme). 4. VIdeo DIstribution Over MPLS networks supporting heterogeneous format environments (VIDIOS) J. Arkko, E. Carrara, F. Lindholm, M. Naslund, and K. Norrman. MIKEY: Multimedia Internet KEYing, August RFC J. Arkko, E. Carrara, F. Lindholm, M. Naslund, and K. Norrman. Key Management Extensions for Session Description Protocol (SDP) and Real Time Streaming Protocol (RTSP), June IETF Draft. 7. S. Blake, D. Black, M. Carlson, E. Davies, Z. Wang, and W. Weiss. An architecture for Differentiated Services, December RFC O. Cánovas, G. Lopez, and A.F. Gómez-Skarmeta. A credential conversion service for samlbased scenarios. In Proceedings First European PKI Workshop, volume 3093 of Lecture Notes in Computer Science, pages Springer, C. de Laat, G. Gross, L. Gommans, J. Vollbrecht, and D. Spence. Generic AAA Architecture, August RFC D. Ferraiolo, R. Sandhu, S. Gavrila, D.R. Kuhn, and R. Chandramouli. Proposed nist standard for role-based access control. ACM Transaction on Information and System Security, 4(3), P. Jayarama, R. López, Y. Ohba, M. Parthasarathy, and A. Yegin. PANA Framework, IETF Draft. 12. LAN MAN Standards Committee of the IEEE Computer Society. IEEE Draft P802.1X/D11: Standard for Port based Network Access Control, March G. López, O. Cánovas, and A. F. Gómez. Use of xacml policies for a network access control service. In Proceedings 4th International Workshop for Applied PKI, IWAP 05, pages IOS Press, G. López, O. Cánovas, A. F. Gómez, J. D. Jimenez, and R. Marín. A network access control approach based on the aaa architecture and authorzation attributes. Journal of Network and Computer Applications JNCA, To be published. 15. Gabriel López, Óscar Cánovas, Antonio F. Gómez-Skarmeta, Sassa Otenko, and David Chadwick. A heterogeneos network access service based on permis and saml. In Proceedings 2nd European PKI Workshop, volume 3545 of Lecture Notes in Computer Science, pages Springer, N. Morita and G. Karlsson. Framework of Priority Promotion Scheme, October IETF Draft. 17. Open Mobile Alliance. DRM specification, April Draft Version H. Schulzrinne, A. Rao, and R. Lanphier. Real Time Streaming Protocol (RTSP), April RFC 2326.