Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

M. Snchez1 , G. Lpez1 , O. Cnovas2 , J. A. Snchez1 and A.F. Gmez-Skarmeta1

1

Departamento de Ingeniera de la Informacin y las Comunicaciones 2 Departamento de Ingeniera y Tecnologa de Computadores Universidad de Murcia, Espaa {msc,gabilm,jlaguna,skarmeta}@dif.um.es {ocanovas}@ditec.um.es

Abstract La distribucin de contenidos multimedia ha surgido como un nuevo mercado en expansin ofrecido por los proveedores de red, deniendo infraestructuras de acceso a los recursos capaces de soportar tanto accesos inalmbricos como mediante cableado. Aunque estas infraestructuras han sido ampliamente estudiadas en los ltimos aos, el principal objetivo de estos trabajos estaba centrado ms en el proceso de distribucin de contenidos que en la infraestructura de seguridad adecuada para proteger dichos contenidos. Por lo tanto, el estudio de sistemas de seguridad capaces de ofrecer autenticacin, autorizacin y otros requisitos relacionados con la seguridad para este tipo de escenarios es todava un campo de investigacin abierto. En este artculo, se propone un nuevo esquema que aprovecha un infraestructura de autorizacin previamente desplegada entre las organizaciones implicadas, el sistema NAS-SAML, para construir un sistema de distribucin de contenidos multimedia con un mecanismo de autorizacin avanzado y extensible. El escenario estudiado es el que se presenta en el proyecto VIDIOS, que dene una arquitectura para transmisiones multimedia sobre redes propensas a errores como las redes troncales de Internet y redes de acceso mvil.

1 Introduccin
Los accesos de banda ancha a Internet, tanto mediante cables como inalmbricos, constituyen un mercado estratgico en expansin ofrecido por casi todos los proveedores de acceso a Internet (ISPs) europeos. Los ISPs identican la distribucin de contenidos multimedia como un mercado potencial para un servicio de valor aadido sobre la infraestructura existente. De hecho, la transmisin de vdeo est considerada como un servido emergente a corto plazo con diferentes oportunidades de negocio, que van desde videoconferencia personal hasta vdeo bajo demanda. Una de las principales preocupaciones en un sistema de distribucin multimedia es la proteccin del proceso de distribucin frente a usuarios maliciosos. En primer lugar, es necesario asegurar que slo los usuario que han pagado la tarifa correspondiente pueden acceder al sistema. En segundo lugar, el sistema debe asegurar que los contenidos protegidos slo pueden ser obtenidos por aquellos usuarios que han contratado

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

el nivel de acceso apropiado, es decir, slo los usuarios autorizados. Finalmente, la condencialidad e integridad de la transmisin multimedia debe protegerse tanto frente a ataques pasivos como activos. En estos escenarios, donde los contenidos multimedia se transmiten desde los proveedores hasta los clientes a travs de redes de datos abiertas, es posible encontrar escenarios inter-dominio, por ejemplo cuando el dominio que proporciona los contenidos multimedia y el dominio que proporciona acceso a Internet al cliente son diferentes. Adems, los usuarios pueden acceder a los contenidos desde diferentes ISPs. Esto implica la necesidad de un acuerdo explcito entre los dominios implicados, de manera que se intercambie la informacin necesaria para realizar las tareas de control de acceso, as como para aplicar una calidad de servicio (QoS) adecuada. Aunque el control de acceso es una caracterstica fundamental en la distribucin de contenidos, no es exclusivo de este campo. Tradicionalmente, las organizaciones han protegido sus recursos ms crticos, por ejemplo las redes de comunicaciones. De hecho, la arquitectura AAA (Authentication, Authorization and Accounting) [9] fue diseada para resolver este problema usando diferentes mecanismos para identicar al usuario, como login y contrasea o certicados de identidad. Por lo tanto, uno de los mecanismos de control de acceso ms comnmente utilizado por los ISPs es el basado en la arquitectura AAA. En este artculo, se presenta una arquitectura de control de acceso desarrollada para el proyecto VIDIOS [4]. Entre los principales objetivos de este proyecto est el diseo y validacin de una arquitectura para distribucin de contenidos multimedia, especialmente vdeos codicados con MPEG-4, sobre una red troncal MPLS. Debido a las similitudes que se pueden encontrar con otras arquitecturas de control de acceso existentes, sera deseable reutilizar la mayor parte de las ideas y contribuciones incluidas en las propuestas existentes para denir la arquitectura de control de acceso para VIDIOS. De hecho, un sistema probado con xito como NAS-SAML [14] ser el utilizado como punto de partida para los escenarios de autenticacin, autorizacin y aplicacin de la QoS. Como se detalla ms adelante, NAS-SAML hace uso de estndares basados en XML para gestionar los datos de autenticacin y autorizacin, y para expresar las polticas de control de acceso de una manera extensible y distribuida. El resto de este artculo est estructurado de la siguiente manera. La Seccin 2 dene el proyecto VIDIOS. Despus, la Seccin 3 establece los requisitos principales de la arquitectura de control de acceso una vez que se han analizado los principales objetivos de VIDIOS. La Seccin 4 presenta el sistema NAS-SAML, que ser utilizado como punto de partida para denir la arquitectura de control de acceso. A continuacin, la Seccin 5 presenta los elementos principales de esta dicha arquitectura, y la Seccin 6 detalla la manera en la que la autenticacin, la autorizacin y la aplicacin de la QoS se realiza nalmente. La Seccin 7 describe el trabajo relacionado que ha servido como referencia para esta investigacin. Finalmente, el artculo termina con las conclusiones y lneas de trabajo futuro.

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

2 VIDIOS
El objetivo de VIDIOS es disear y validar una arquitectura que proporcione calidad de servicio (QoS) extremo a extremo para transmisiones multimedia sobre redes propensas a fallos como las redes troncales de Internet o redes de acceso mviles. El estndar MPEG-4 combinado con tcnicas de codicacin escalables se aplican en VIDIOS para conseguir un transporte robusto sobre redes MPLS (Multiprotocol Label Switching). La red troncal MPLS adems protege el ujo de la aplicacin mediante QoS basada en estndares existentes. La Figura 1 muestra una imagen general de la funcionalidad proporcionada por VIDIOS. En esta imagen puede verse el proveedor de contenidos donde el usuario esta registrado, y dos proveedores de acceso a Internet (ISPs) diferentes. Los usuarios pueden acceder al servicio a travs de cualquiera de los ISPs, siempre que stos tengan un acuerdo con el proveedor de contenidos. Este acuerdo debe especicar el nivel de QoS que el ISP debe garantizar a los clientes, que est directamente relacionado con el nivel de acceso contratado con el proveedor de contenidos. En cuanto a los clientes, es necesario que se identiquen de alguna manera cuando acceden al sistema, ya que el nivel de acceso que tienen determina la calidad de los contenidos a los que pueden acceder. Finalmente, la imagen muestra cmo el ujo multimedia es protegido para garantizar la privacidad de los contenidos.

Figure 1. Esquema general de VIDIOS

Es necesario denir dos tipos de usuarios en el sistema con funcionalidad diferente. Por un lado estn los administradores, que pueden administrar los contenidos multimedia, los niveles de acceso y las claves de cifrado. Por otro lado estn los clientes, que nicamente pueden acceder a los contenidos a los que estn autorizados. El sistema dene dos tipos de ujos multimedia, unicast y multicast, dependiendo del tipo de contenido que se est transmitiendo. Por ejemplo, un contenido en directo es ms apropiado para ser emitido en multicast, mientras que una pelcula puede ser emitida en unicast. La arquitectura de VIDIOS debe ser lo sucientemente exible para permitir ambos tipos de envos de manera transparente a los usuarios.

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

3 Requisitos de la arquitectura de control de acceso en VIDIOS

Para proporcionar la funcionalidad descrita anteriormente, es necesario que la arquitectura de control de acceso cumpla, al menos, una serie de requisitos relacionados con la transmisin multimedia, el soporte para escenarios interdominio, cuestiones de seguridad y aplicacin de la QoS. Es importante destacar que la arquitectura desarrollada en VIDIOS no debe introducir nuevos protocolos o lenguajes de polticas, por lo que debe estar basado en propuestas contrastadas. 3.1 Requisitos de la transmisin multimedia Es necesario un protocolo de transmisin multimedia que soporte todas las necesidades descritas anteriormente. Es decir, debe soportar tanto emisiones multicast como unicast, y ser extensible para incluir gestin de claves de cifrado. Adems debe permitir al usuario controlar el ujo de emisin cuando se trate de vdeo bajo demanda (VoD) iniciando, pausando o terminando la retransmisin. Teniendo en cuenta estas necesidades, RTSP (Real Time Streaming Protocol) [18] es la mejor opcin para gestionar los diferentes servicios de transmisin multimedia que VIDIOS proporciona. RTSP es un protocolo de nivel de aplicacin diseado para controlar la emisin de datos con requisitos de tiempo real. Este protocolo proporciona un marco extensible para transmitir de forma controlada contenidos bajo demanda en tiempo real, como audio o vdeo. Las fuentes de datos pueden incluir tanto emisiones en directo como contenidos almacenados. Este protocolo permite controlar varias sesiones multimedia, elegir el canal por el que se van a transmitir los contenidos, ya sea UDP o TCP, y adems permite congurar los parmetros de transporte del protocolo RTP. Tambin permite controlar de forma remota la emisin de audio y vdeo, ya sea pausndolo, avanzado, retrocediendo o situndolo en cualquier posicin. 3.2 Requisitos de seguridad Los dos requisitos de seguridad principales que el sistema debe solventar son la autenticacin y la autorizacin. VIDIOS dene dos servicios independientes, el primero para identicar al usuario y el segundo para comprobar si dicho usuario puede acceder al contenido multimedia seleccionado. Como se detalla ms adelante, estos dos servicios estn relacionados mediante el uso de un token de seguridad. Autenticacin. Cuando un usuario desea acceder a un contenido multimedia, el primer paso consiste en autenticar su identidad durante el inicio de sesin. Adems es necesario proporcionar un mecanismo de acceso nico al sistema (SSO), es decir que el usuario nicamente tenga que identicarse una vez en el sistema para poder acceder a todos los servicios. De esta manera, una vez que el usuario se ha autenticado se genera un token, que posteriormente ser utilizado cada vez que se necesite comprobar su identidad. Autorizacin. El sistema debe ofrecer la posibilidad de denir varios niveles de acceso. Cada contenido multimedia tiene que ser clasicado en uno de estos niveles. sta es la manera de diferenciar los contenidos que pueden ser accedidos por los usuarios de cada nivel.

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

Adems, dos nuevos requisitos surgen cuando consideramos la proteccin de la transmisin multimedia. En primer lugar, es necesario cifrar toda la comunicacin desde el servidor hasta el cliente para evitar que usuarios no registrados puedan acceder a dicho contenido sin pagar. Y en segundo lugar, como medida de proteccin frente a antiguos clientes que conserven las claves sin estar registrados en el sistema, es recomendable regenerar las claves de cifrado peridicamente. La proteccin de la transmisin multimedia conlleva la necesidad de distribuir las claves de cifrado a los clientes autorizados de una manera segura. Por lo tanto es necesario denir un mecanismo para compartir dichas claves entre el servidor RTSP y los clientes autorizados. En este escenario, se puede utilizar MIKEY [5] como mecanismo para la distribucin de las claves de cifrado. Las extensiones sobre RTSP para incluir el uso de MIKEY se describen en [6]. 3.3 Requisitos de calidad de servicio Debido a que el usuario est pagando por el servicio, es necesario garantizar su satisfaccin en cuanto a QoS se reere. Por lo tanto es necesario introducir un tercer servicio en el sistema. Dicho servicio debe comprobar la disponibilidad de ancho de banda suciente entre el servidor multimedia y el cliente, y adems debe aplicar el nivel de prioridad adecuado a la transmisin multimedia, en funcin del nivel de acceso del usuario. Siguiendo el esquema SSO, este servicio debe hacer uso del token de autorizacin que identica al usuario a la hora de recuperar el nivel de QoS asociado con ste. La primera cuestin puede ser resuelta usando PPS (Priority Promotion Scheme) [16]. Este mecanismo realiza una medida extremo a extremo de la disponibilidad de recursos de red. La idea principal consiste en que la propia aplicacin compruebe si existe ancho de banda suciente mandado un ujo de datos similar al que va a realizar antes de comenzar con el trco real. Para que PPS funcione, es necesario que la red d un tratamiento prioritario al ujo de datos de prueba, por lo tanto es necesario congurar la red para que soporte este mecanismo. PPS puede ser integrado en RTSP, de manera que el servidor compruebe si hay ancho de banda suciente para realizar la transmisin multimedia. El segundo requisito de QoS implica una comunicacin entre dominios para que el ISP pueda recuperar la informacin que dene el nivel de acceso del cliente, que est denido en el proveedor de contenidos. Una vez que el ISP obtiene esta informacin, es necesario convertir dicho nivel de acceso al valor de QoS acordado entre ambos dominios, que posteriormente se aplicar mediante DiffServ [7]. De esta manera, el servidor RTSP marca los paquetes que pertenecen a dicho ujo multimedia de manera que la red del ISP los reconozca y sea capaz de tratarlos con un nivel de QoS adecuado. 3.4 Requisitos interdominio La existencia de diferentes dominios en el sistema implica la necesidad de algn tipo de acuerdo, donde el proveedor de contenidos y los ISPs especiquen los diferentes tipos de usuarios y la QoS que se les debe proporcionar a dichos usuarios. Este acuerdo implica el intercambio de datos entre los diferentes dominios, por un lado para determinar el nivel de acceso del usuario en el proveedor de contenidos, y por otro para obtener el

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

nivel de QoS que el ISP debe proporcionarle al usuario. Este objetivo puede alcanzarse mediante el despliegue de una infraestructura AAA [9] entre los diferentes dominios. Este tipo de infraestructura implica la existencia de un servidor AAA en cada uno de los dominios que centralice las tareas de autenticacin y autorizacin.

4 Arquitectura de control de acceso basada en SAML

Durante los ltimos aos, cmo controlar qu usuarios pueden hacer uso de las redes de ordenadores se ha convertido en un problema creciente para los administradores de red. Consecuentemente, han aparecido varias tecnologas de seguridad para proporcionar mecanismos de control de acceso basados en la autenticacin de los usuarios [12], [11]. Tradicionalmente, los sistemas de acceso a la red han estado basados en mecanismos de login y contrasea. Otros sistemas, siguiendo un enfoque ms avanzado para la autenticacin mutua, estn basados en certicados de identidad X.509. Estos sistemas son especialmente tiles para organizaciones que estn preocupadas sobre la identidad real del solicitante. Pero hay otras organizaciones donde los diferentes usuarios estn clasicados de acuerdo con sus tareas administrativas, el tipo de servicio obtenido o cualquier otro requisito interno. En estos escenarios, la identidad del usuario puede no ser suciente para permitir el acceso al recurso que est siendo controlado, ya que es necesario conocer el rol del usuario para poder ofrecerle el servicio correcto. Por lo tanto, es necesario un sistema capaz de proporcionar a los diferentes usuarios los atributos que especican sus privilegios o roles. Normalmente, este tipo de sistemas est diseado siguiendo los principios el modelo de control de acceso basado en roles (RBAC) [10]. En [14], se presenta una propuesta de control de acceso a la red basada en certicados de identidad X.509 y atributos de autorizacin. Esta propuesta est basada en los estndares SAML y XACML, utilizados para expresar las polticas de control de acceso basadas en atributos, las sentencias de autorizacin y los protocolos de autorizacin. La autorizacin est basada principalmente en la denicin de polticas de control de acceso [13] que incluyen los grupos de usuarios pertenecientes a diferentes dominios a los que se les pueden asignar diferentes roles para conseguir acceso a la red de un proveedor de servicios, bajo unas determinadas circunstancias. El sistema trabaja de la siguiente manera. Cada usuario pertenece a un dominio origen donde tiene asignados un conjunto de atributos que denen los roles que juega en el sistema. Cuando el usuario solicita una conexin a la red en un dominio externo mediante una conexin 802.1X, la solicitud es capturada por el servidor AAA situado en el dominio destino, que se encarga de hacer una consulta para obtener los atributos asociados con el usuario a la autoridad responsable de administrarlos del dominio origen. Alternativamente, siguiendo el modelo push, el usuario puede presentar l mismo sus atributos, en lugar de dejar que el servidor AAA los obtenga. Finalmente, el servidor AAA realiza una consulta de autorizacin a su PDP (Policy Decision Point) local, y esta entidad responde indicando si los atributos satisfacen la poltica de control de acceso al recurso. Adems, esta poltica puede establecer adems una serie de obligaciones derivadas de dicha decisin, como por ejemplo parmetros de QoS, opciones de

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

seguridad, etc. Este esquema general funciona tanto en escenarios de un nico dominio o que impliquen varios dominios. NAS-SAML ha sido integrado con otros sistemas de autorizacin, como PERMIS [15], mediante un servicio de conversin de credenciales [8] usado para traducir credenciales de autorizacin de un dominio origen a otro dominio destino. Aunque NAS-SAML fue diseado para solucionar los problemas de autorizacin en un entorno de control de acceso a la red, puede ser fcilmente adaptado para ser utilizado por cualquier servicio o aplicacin de alto nivel. Un ejemplo de estas aplicaciones de alto nivel es la distribucin de contenidos multimedia en escenarios multidominio, donde los proveedores de acceso a Internet y los proveedores de contenidos necesitan establecer acuerdos de autorizacin para denir la distribucin de contenidos multimedia, los niveles de acceso o las propiedades de QoS. Estos dominios pueden aprovechar una infraestructura NAS-SAML previamente establecida para denir los procesos de autenticacin y autorizacin del usuario mediante los cuales se protegern los contenidos multimedia, y el intercambio de informacin de QoS. Las siguientes secciones detallan el escenario propuesto.

5 Arquitectura de control de acceso propuesta

Esta seccin describe los elementos que denen los procesos de autenticacin, autorizacin y aplicacin de la QoS. Como la Figura 2 muestra, esta arquitectura puede ser usada cuando dos organizaciones comparten una infraestructura AAA con soporte para NAS-SAML. Desde el punto de vista del sistema NAS-SAML, cada organizacin tiene su propio servidor AAA, el elemento principal en este escenario, ya que es el responsable de realizar el proceso de autorizacin en cada dominio. Por un lado, el proveedor de contenidos, donde los usuarios son autenticados y autorizados, necesita denir dos mdulos para ayudar al servidor AAA a realizar las tareas de autorizacin. El primero es un mdulo para generar atributos de autorizacin. En este escenario, estos atributos representan el nivel de acceso contratado por el usuario con el proveedor de contenidos. El segundo mdulo se encarga de generar decisiones de autorizacin basndose en dichos niveles de acceso. Por otro lado, el ISP, donde deben aplicarse las caractersticas de QoS, necesita un mdulo para ayudar al sistema a traducir el nivel de acceso del usuario en parmetros de QoS. Para denir apropiadamente los procesos de autenticacin, autorizacin y aplicacin de las QoS, estas entidades necesitan hacer uso de un conjunto de polticas que guen su comportamiento. El proveedor de contenidos necesita una poltica para asignar niveles de acceso a los usuarios y otra para denir los derechos de acceso en funcin del nivel de acceso de los usuarios. Por su parte, el ISP necesita una poltica donde los atributos de nivel de acceso del usuario sean traducidos a los parmetros apropiados de QoS. Desde el punto de vista del sistema de distribucin de contenidos multimedia, ambos dominios necesitan denir cmo van a aprovechar la infraestructura NAS-SAML.

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

Figure 2. Elementos de la arquitectura

En primer lugar, el proveedor de contenidos debe encargarse del proceso de autenticacin. Despus, el servidor RTSP ser el responsable de realizar el proceso de autorizacin haciendo uso de la infraestructura NAS-SAML. Finalmente, el ISP dene un proxy RTSP, que acta como elemento intermediario entre el usuario y el servidor RTSP durante el proceso de autorizacin, y que es responsable de establecer las caractersticas de QoS una vez que la autorizacin se ha realizado. A continuacin se ofrece una breve descripcin de los diferentes componentes del sistema. Usuario: Es la entidad que est solicitando acceso al contenido multimedia. El usuario paga por un nivel de acceso especco en el proveedor de contenidos, y en base a dicho nivel de acceso puede acceder a un conjunto determinado de contenidos multimedia. El nivel de acceso, adems asegura un nivel de QoS especco en el ISP. Proveedor de servicios: Esta entidad es el punto de entrada a todos los servicios ofrecidos por el proveedor de contenidos. Se encarga de obtener el login y la contrasea del usuario, y de mostrar la lista de recursos multimedia disponibles. Servidor AAA del proveedor de contenidos: Este servidor AAA se usa para gestionar la autenticacin, autorizacin y solicitudes de atributos. Hace uso del protocolo DIAMETER como mecanismo de transporte entre diferentes dominios. Servidor AAA del proveedor de acceso a Internet: Este elemento es utilizado por el proxy RTSP como intermediario para obtener informacin del usuario desde el dominio del proveedor de contenidos. Autoridad fuente (SA): Este mdulo se encarga de asignar niveles de acceso a los usuarios. La SA recibe peticiones a travs del servidor AAA y realiza la asignacin en funcin de la poltica de asignacin de niveles de acceso, denida en XACML.

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

Proxy RTSP: Este elemento debe estar presente en cada ISP que haya suscrito un acuerdo con el proveedor de contenidos. Este servicio es responsable de solicitar el contenido multimedia y realizar la tareas relacionadas con la QoS. Punto de decisin basado en polticas (PDP): Este mdulo es la entidad responsable de generar las sentencias relacionadas con las decisiones de autorizacin. Adems, interacciona con el repositorio de polticas, donde se almacena la poltica de acceso a los recursos, denida en XACML. El PDP tiene que obtener el nivel de acceso del usuario, ya que la poltica de control de acceso est expresada en trminos de dichos niveles de acceso. Finalmente, el PDP genera la sentencia con la decisin de autorizacin en funcin de toda la informacin reunida. Servicio de conversin de credenciales (CCS): Este servicio [8] est guiado por una poltica de conversin de credenciales escrita en XACML, que establece la relacin entre los niveles de acceso y de QoS. Router de acceso a la red (NAS): Este elemento es el dispositivo de red que conecta al usuario con la red del ISP, y donde deben aplicarse los parmetros de QoS. Una vez descritos los elementos necesarios para el sistema de control de acceso, la siguiente seccin proporciona los detalles relativos a cmo los procesos de autenticacin, autorizacin y aplicacin de la QoS se realizan nalmente.

6 Diseo del sistema de control de acceso

La interaccin entre los diferentes componentes descritos en la seccin anterior depende de los requisitos del sistema. El proceso de control de acceso se realiza en tres pasos diferentes, que deben realizarse satisfactoriamente para pasar a la siguiente fase. Primero, el sistema usa un mecanismo de acceso nico al sistema (SSO) para autenticar la identidad del usuario que va a solicitar acceso a un recurso multimedia protegido. Como resultado de este proceso de autenticacin, se genera un token de seguridad para indicar que el usuario se ha identicado correctamente y adems expresar su identidad digital en el sistema. Una vez identicado, se le muestra al usuario una lista de recursos multimedia que pueden ser distribuidos desde el proveedor de servicios, para que seleccione uno de ellos. Durante este paso, usando el token generado anteriormente, el proveedor de servicios comprueba si el nivel de acceso del usuario permite la distribucin del contenido seleccionado. Este proceso se realiza siguiendo el modelo pull, es decir, la adquisicin y validacin de atributos del usuario se realizan por parte del propio sistema, sin intervencin del usuario. Finalmente, cuando la solicitud es aprobada, el sistema debe iniciar el ltimo proceso, mediante el cual se aplicarn los parmetros de QoS necesarios para visualizar el vdeo de manera adecuada. El mecanismo mediante el cual los usuarios se registran en el proveedor de contenidos y se asignan los niveles de acceso queda fuera del mbito de este artculo. En adelante se asumir que el usuario ya se ha registrado y que por lo tanto est autorizado a acceder a alguno de los contenidos protegidos, aquellos conformes con su nivel de acceso. Las siguientes subsecciones presentan los detalles de cada uno de los pasos del sistema de control de acceso, destacando los diferentes protocolos, mensajes y elementos de informacin utilizados para realizar cada proceso.

10

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

6.1 Autenticacin del usuario El primer paso para poder ver un vdeo es acceder al sistema (Figura 3). El proceso de SSO se realiza a travs de una Web, usando una conexin HTTP segura. El usuario proporciona su nombre y contrasea, usando por ejemplo un formulario HTML, que son comprobados por el proveedor de servicios. Este proceso de validacin lo realiza realmente el servidor AAA, usando algn mecanismo como consultar una base de datos, un directorio LDAP, etc. Por lo tanto, el proveedor de servicios debe intercambiar el nombre de usuario y la contrasea con el servidor AAA usando algn protocolo apropiado para este tipo de comunicacin. Se ha decidido utilizar el protocolo DIAMETERSAML (encapsulacin de mensajes SAML sobre DIAMETER) ya que es el mecanismo denido en el sistema NAS-SAML. Por lo tanto, debe crearse una sentencia SAMLAuthenticationQuery para incluir el nombre de usuario y contrasea, como puede verse en la Figura 3. Una vez que la autenticacin se ha realizado satisfactoriamente por parte de la autoridad fuente (SA, el mdulo de autenticacin del servidor AAA), se genera un token de seguridad para indicar que el usuario ha entrado en el sistema y que por lo tanto no es necesario que vuelva a autenticarse durante un determinado periodo de tiempo. Este token es una sentencia SAMLAuthenticationStatement rmada digitalmente que contiene un identicador localmente nico del usuario. Este identicador ser utilizado posteriormente para obtener los atributos durante la fase de autorizacin.

Figure 3. Proceso de autenticacin del usuario

6.2 Autorizacin Una vez que el usuario se ha autenticado, puede solicitar acceder a alguno de los recursos multimedia incluidos en al lista de URIs obtenidas en el paso anterior. Utilizando un cliente RTSP, el usuario proporciona la URI y el token de seguridad al servidor RTSP (esta transmisin se realiza a travs del proxy RTSP que ser explicado en la siguiente seccin).

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

11

Figure 4. Proceso de autorizacin del usuario

Antes de comenzar con la distribucin del contenido multimedia, el servidor RTSP debe comprobar que el usuario ha solicitado un recurso multimedia acorde con el nivel de acceso que tiene asignado (Figura 4). Este proceso de validacin lo realiza el servidor AAA del proveedor de contenidos, usando otra vez el protocolo DIAMETER-SAML. En este caso, el servidor RTSP debe construir una sentencia SAMLAuthorizationDecisionQuery que contenga el identicador del usuario y el recurso multimedia solicitado. Debido a que el control de acceso se realiza en funcin de los niveles de acceso denidos en el sistema, el siguiente paso es obtener los atributos que denen el nivel de acceso del usuario desde la SA. Estos atributos estn expresados mediante sentencias SAML y se obtienen segn el mecanismo explicado en [14]. Finalmente, los atributos se validan frente a la poltica de acceso por el PDP, que genera una sentencia SAMLAuthorizationDecisionStatment como respuesta para el servidor RTSP indicando si la accin puede realizarse o no. En el caso de que la accin se permita, se manda un mensaje RTSP con un OK como respuesta para el cliente RTSP. De esta manera el cliente solicita el inicio de la transmisin multimedia. La siguiente fase es opcional, y consiste en aplicar un nivel de QoS adecuado a la transmisin multimedia en funcin del nivel de acceso del usuario. Durante esta fase

12

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

debe comprobarse adems que hay suciente ancho de banda para la correcta recepcin del vdeo. 6.3 Aplicacin de la QoS Aunque en principio pueda parecer que la aplicacin de la QoS no es parte del sistema de control de acceso, se ha incluido sta como una fase opcional del sistema. La idea principal es proporcionar un mecanismo para asegurar que el usuario va a obtener del ISP el nivel de QoS requerido para visualizar el vdeo correctamente. Adems, el nivel de QoS debe establecerse en funcin del nivel de acceso por el que el usuario ha pagado en el proveedor de contenidos. Por lo tanto, es necesario un mecanismo para obtener el nivel de acceso del usuario por parte del ISP, y de traducir dicho nivel a un perl especco de QoS. Cuando se utiliza este mecanismo, la recepcin del vdeo solicitado por el usuario puede ser cancelada si el nivel de QoS mnimo no se puede garantizar. La Figura 5 describe este proceso. En primer lugar, utilizando el login que esta incluido en el token generado en la autenticacin, el proxy RTSP construye una sentencia SAMLAttributeQuery para obtener el nivel de QoS a aplicar para el usuario. Dicha sentencia debe especicar que est solicitando un nivel de QoS mediante el uso de AttributeDesignator con el valor QoS-tag. De esta manera, despus de recuperar los atributos que denen el nivel de acceso del usuario mediante una consulta SAMLAttributeQuery al proveedor de contenidos, el AAA del ISP convierte estos atributos en un perl especco de QoS utilizando para ello el servicio de conversin de credenciales (CCS) y la correspondiente poltica de conversin. Despus, este nivel de QoS se aplica en el router de acceso a la red, de manera que la transmisin multimedia sea tratada con la prioridad adecuada. Finalmente, utilizando el esquema PPS, el sistema comprueba si hay suciente ancho de banda entre el usuario y el servidor RTSP para la distribucin del recurso multimedia.

7 Trabajos relacionados
Esta seccin describe otros trabajos que han servido como referencia para esta propuesta. Aunque la distribucin de contenidos multimedia ha sido ampliamente estudiada en los ltimos aos, estos trabajos han estado interesados principalmente en la distribucin de contenidos propiamente dicha y no en una infraestructura de seguridad adecuada para proteger dichos contenidos. El proyecto ENTHRONE [2] propone una solucin de gestin integrada, que cubre completamente un servicio de distribucin audiovisual, incluyendo la generacin y proteccin de los contenidos, la distribucin a travs de una red y la recepcin desde terminales de usuario. El objetivo no es unicar o imponer una estrategia para cada entidad individual del proceso, sino armonizar su funcionalidad para soportar una arquitectura de QoS extremo a extremo sobre redes heterogneas, aplicable a una variedad de servicios audiovisuales, que son distribuidos hasta diferentes tipos de terminal de usuario. Para alcanzar estos objetivos, el proyecto confa en una arquitectura de gestin abierta, eciente y distribuida, para la entrega de contenidos de extremo a extremo. La disponibilidad y acceso a los recursos es identicada, descrita y controlada durante todo el

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

13

Figure 5. Proceso de aplicacin de la QoS

proceso de distribucin de contenidos. El modelo de datos MPEG-21 es utilizado para proporcionar el soporte comn para implementar y gestionar la funcionalidad de los recursos. En este sistema, el usuario dispone de un dispositivo hardware (set-top box) que contiene su identicador pblico y un secreto nico. Esta informacin se utiliza tanto para identicar al usuario como para establecer canales seguros con otras entidades del sistema y as poder transmitir de forma segura datos sensibles. Cuando el usuario quiere acceder a un contenido especco, el sistema recupera la licencia de dicho contenido, que especica sus restricciones de control de acceso, y comprueba en base al perl del usuario si ste tiene los derechos necesarios para acceder al contenido. Finalmente, la licencia, que contiene las claves de cifrado del contenido multimedia, se transmite al settop box del usuario a travs de un canal seguro, de manera que la emisin multimedia puede comenzar. De esta manera, el control de acceso est ligado a la informacin contenida en un dispositivo hardware, el set-top box, limitando al usuario a acceder al servicio nicamente a travs de dicho elemento hardware, y por lo tanto no permitiendo

14

M. Snchez, G. Lpez, O. Cnovas, J. A. Snchez and A.F. Gmez-Skarmeta

al usuario iniciar dos sesiones multimedia simultneamente, desde la televisin y el ordenador por ejemplo, lo que limita la movilidad del usuario. Al igual que el proyecto ENTHRONE, la mayor parte de los proyecto relacionados con emisiones multimedia, como por ejemplo TIRAMISU [3], incluyen DRM (Digital Rights Management) [17] en lugar de nicamente un sistema de control de acceso. La razn por la que VIDIOS no incluye una especicacin DRM es porque sta est orientada a contenidos que pueden descargarse en un dispositivo y compartirse entre usuarios, mientras que VIDIOS est orientado a un servicio de transmisin multimedia. En estos servicios, el contenido multimedia se almacena en un servidor junto con informacin como el precio, la calidad, etc. En VIDIOS, los contenidos se protegen nicamente mediante el uso de cifrado durante el proceso de transmisin.

8 Conclusiones y vas futuras

La distribucin de contenidos multimedia a travs de redes de comunicaciones requiere una infraestructura capaz de distribuir recursos multimedia entre usuarios y proveedores de contenidos. VIDIOS propone una infraestructura que ofrece estos requisitos. Se han descrito la entidades principales de la solucin propuesta y analizado los requisitos para garantizar un canal de comunicaciones entre los dominios implicados seguro y conable. Esta propuesta puede ser fcilmente aplicada a cualquier sistema de distribucin de contenidos multimedia. Para satisfacer los requisitos presentados, se ha propuesto la infraestructura NASSAML. Siguiendo esta alternativa, la solucin dene cmo los procesos de autenticacin, autorizacin y aplicacin de QoS pueden aprovechar una infraestructura de autorizacin existente entre los dominios implicados. Por lo tanto, se denen la interfaces de comunicacin y protocolos entre las entidades de VIDIOS y los servicios NAS-SAML. Es importante dejar constancia de que no ha sido necesario denir ningn nuevo protocolo de seguridad, servicio o entidad, ya que NAS-SAML proporciona un mecanismo sencillo de extensin para servicios de alto nivel. De esta manera, este trabajo es otro ejemplo de aplicacin de la infraestructura NAS-SAML, inicialmente pensada para controlar el acceso a la red, en aplicaciones de alto nivel tan diferentes como un sistema de distribucin de contenidos multimedia o un grid. Dentro del proyecto VIDIOS se est trabajando en el desarrollo de un prototipo con el que realizar las pruebas necesarias para validar el sistema, as como para obtener resultados experimentales que demuestren la robustez del mismo. Una versin inicial de dicho prototipo, que an no incluye toda la funcionalidad requerida, ha sido presentado en el Celtic Event 2006 [1]. Actualmente se est trabajando en la denicin del sistema NAS-SAML basado en la versin 2.0 de SAML, que recientemente ha sido aceptada como versin estndar.

9 Agradecimientos
Trabajo parcialmente nanciado por los proyectos Celtic-CP2-029, IST-2004-026600 y TIC2003-08154-C06-03.

Un Sistema de Control de Acceso para la Distribucin de Contenidos Multimedia

15

References
1. Celtic event 2006 home page. http://www.celtic-initiative.org/Events/ Celtic-Event06/welcome.asp. 2. End-to-End QoS through Integrated Management of Content, Networks and Terminals (ENTHRONE). http://www.enthrone.org. Funded under 5th FWP (Fifth Framework Programme). 3. The Innovative Rights and Access Management Inter-platform SolUtion (TIRAMISU). http://www.tiramisu-project.org. Funded under 6th FWP (Sixth Framework Programme). 4. VIdeo DIstribution Over MPLS networks supporting heterogeneous format environments (VIDIOS). http://projects.celtic-initiative.org/vidios. 5. J. Arkko, E. Carrara, F. Lindholm, M. Naslund, and K. Norrman. MIKEY: Multimedia Internet KEYing, August 2004. RFC 3830. 6. J. Arkko, E. Carrara, F. Lindholm, M. Naslund, and K. Norrman. Key Management Extensions for Session Description Protocol (SDP) and Real Time Streaming Protocol (RTSP), June 2005. IETF Draft. 7. S. Blake, D. Black, M. Carlson, E. Davies, Z. Wang, and W. Weiss. An architecture for Differentiated Services, December 1998. RFC 2475. 8. O. Cnovas, G. Lopez, and A.F. Gmez-Skarmeta. A credential conversion service for samlbased scenarios. In Proceedings First European PKI Workshop, volume 3093 of Lecture Notes in Computer Science, pages 297305. Springer, 2004. 9. C. de Laat, G. Gross, L. Gommans, J. Vollbrecht, and D. Spence. Generic AAA Architecture, August 2000. RFC 2903. 10. D. Ferraiolo, R. Sandhu, S. Gavrila, D.R. Kuhn, and R. Chandramouli. Proposed nist standard for role-based access control. ACM Transaction on Information and System Security, 4(3), 2001. 11. P. Jayarama, R. Lpez, Y. Ohba, M. Parthasarathy, and A. Yegin. PANA Framework, 2005. IETF Draft. 12. LAN MAN Standards Committee of the IEEE Computer Society. IEEE Draft P802.1X/D11: Standard for Port based Network Access Control, March 2001. 13. G. Lpez, O. Cnovas, and A. F. Gmez. Use of xacml policies for a network access control service. In Proceedings 4th International Workshop for Applied PKI, IWAP 05, pages 111 122. IOS Press, 2005. 14. G. Lpez, O. Cnovas, A. F. Gmez, J. D. Jimenez, and R. Marn. A network access control approach based on the aaa architecture and authorzation attributes. Journal of Network and Computer Applications JNCA, 2006. To be published. 15. Gabriel Lpez, scar Cnovas, Antonio F. Gmez-Skarmeta, Sassa Otenko, and David Chadwick. A heterogeneos network access service based on permis and saml. In Proceedings 2nd European PKI Workshop, volume 3545 of Lecture Notes in Computer Science, pages 5572. Springer, 2005. 16. N. Morita and G. Karlsson. Framework of Priority Promotion Scheme, October 2003. IETF Draft. 17. Open Mobile Alliance. DRM specication, April 2004. Draft Version 2.0. 18. H. Schulzrinne, A. Rao, and R. Lanphier. Real Time Streaming Protocol (RTSP), April 1998. RFC 2326.