IPsec技術在廣播影視信息加密傳輸中的應用

梁勝利

（中央廣播電視塔管理中心，北京100142）

1 引言

近年來隨著國家的發展，廣播影視的新業務、新業態迅速增長，廣播影視信息數據傳輸的規模也越來越大，對數據的安全性、及時性、完整性的要求也日益提高。為提高廣播影視節目及數據傳輸的可靠性，提升廣播影視節目傳輸覆蓋系統應對突發干擾與破壞事件的能力，利用虛擬專用網技術建立一個穩定、高效、可靠的數據加密傳輸系統是非常關鍵和必要的。

2 實施背景

本方案涉及的廣播影視節目信息傳輸覆蓋網絡，有機關和基層臺站幾十個，遍布全國各省市；采用的技術手段有光纜、微波、衛星、地面無線等方式；傳輸的業務有廣播、電視、電影、互聯網數據等。在2019年國慶系列慶祝活動的播出中，利用光纜、衛星傳輸網絡首次實現4K 高清電視進影院，取得了傳輸業務的新突破。

機關和幾十個臺站之間需要保證指揮調度數據和業務信息數據24小時不間斷傳輸。傳輸加密改造前，機關、各臺站間通過電信鏈路或自有鏈路互聯，建成了覆蓋機關和各基層臺站的專網，其中機關網絡邊界設備包括廣域網防火墻、上網行為管理設備、廣域網路由器以及傳輸匯聚交換機等；通過租用電信鏈路的臺站在網絡邊界部署有廣域網路由器、廣域網防火墻，鏈接至臺站核心交換機；使用自有鏈路的臺站，通過廣域網防火墻鏈接至臺站核心交換機。

電信鏈路廣域網采用OSPF 動態路由協議，發布所有臺站安全播出和事業管理業務網段。臺站的中心交換機與技術網防火墻、技術網交換機之間使用靜態路由進行連接，為了使臺站技術網部分網段能與機關調度服務器通信，在OSPF 中選擇性引入去往技術網的靜態路由，通過技術網防火墻對業務訪問進行過濾。對于自有鏈路節點，不進行路由引入。

隨著IT 技術發展，目前電信鏈路逐步由原有專用SDH 接口向通用以太接口轉變，與之相應業務數據在電信鏈路及自有鏈路上的傳輸過程中也引入了新的風險，安全播出和事業管理業務數據在傳輸過程中存在被竊取、篡改等風險，亟需建立一套傳輸加密系統來確保數據傳輸安全。

3 系統設計原則

為確保安全播出和事業管理業務數據在傳輸過程中的安全，及時消除數據交互過程中的安全隱患，在機關與各臺站之間、臺站與臺站之間構建加密傳輸系統時需兼顧以下幾個原則：

（1）系統有冗余

系統采用冗余技術，具有備份恢復機制，確保業務連續。

（2）業務影響小

傳輸加密系統實施主要針對廣域網傳輸鏈路進行加密，不能對安全播出和事業管理業務系統造成任何影響，臺站不需要對臺站局域網進行任何調整，保留利用現有交換機、防火墻、上網行為管理等網絡和網絡安全設備。

（3）性能無瓶頸

對每一個臺站的業務量進行詳細分析和實際測算，考慮到當前鏈路帶寬包括4M、10M、100M 及1000M 等幾種情況，要因地制宜選擇設備，消除性能瓶頸。

（4）統一運維

傳輸加密系統涉及設備多，單純靠人力做全網管理需要投入大量的人員且效率低下，需實現統一運維、智能運維。

4 主要技術概述

隨著計算機技術和網絡技術的不斷發展，利用公網進行遠程數據交換和處理時帶來的信息安全問題越發突出，虛擬專網就是為了保證遠程數據傳輸安全而被廣泛使用的一種技術。虛擬專網的原理就是通過VPN 設備在遠程站點間利用公網建立一條虛擬的專用通訊通道，傳輸的數據經加密后再傳輸，只有授權的設備才能解密，這樣就可保證多個遠程站點通過公網安全進行數據傳輸。

4.1 IPsec技術

IPsec是IETF制定的三層隧道加密協議，是一種傳統的實現三層VPN （Virtual Private Network，虛擬專用網絡）的安全技術，提供了基于IP的虛擬連接。IPsec通過在特定通信方之間 （例如兩個安全網關之間）建立通道，來保護通信方之間傳輸的用戶數據，同時也稱該通道為IPsec隧道。

IPsec為IP層的網絡數據提供了一套安全體系結構，包括安全協議AH、ESP、IKE。AH、ESP協議提供安全服務，IKE協議用于密鑰交換。

IPsec隧道模式生成新的IP包頭作為封裝后及加密后報文的IP 頭部，這樣完全地對原始IP 數據報進行認證和加密，可以隱藏用戶私有的IP地址。如圖1所示。

圖1 IPSEC隧道模式

4.2 OSPF技術

OSPF （開放式最短路徑優先）是一個內部網關協議，用于在單一自治系統內決策路由，屬內部網關協議。

4.3 建立IPSEC隧道的步驟

（1）確保隧道端點間網絡IP地址相互可達，因為隧道是單向的；

（2）決定哪些數據流需要通過IPsec隧道傳輸；

（3）配置IPsec的proposal，主要配置數據流經過IPsec隧道時候使用的安全協議、加密算法、封裝模式等；

（4）將proposal應用到IPsec的安全策略里面；

（5）將IPsec安全策略應用到某個具體接口。

5 實施方案

系統在機關及各臺站廣域網邊界部署傳輸加密設備，對機關、臺兩級和臺站之間通過電信鏈路及自有鏈路之間的通信數據進行加密保護及校驗，消除數據交互過程中被竊取和篡改的安全隱患，確保安全播出和事業管理業務數據傳輸安全可靠。

5.1 網絡拓撲設計

新增傳輸加密設備，建立IPsec Vpn傳輸加密鏈路，通過加密隧道實現各單位之間數據通信，通過OSPF cost值使傳輸加密鏈路作為主鏈路，同時將原有上網行為設備和應用防火墻遷移至新增傳輸加密鏈路。傳輸加密前網絡原有線路保留，與傳輸加密設備形成臺站廣域網出口鏈路主備模式。傳輸加密前后網絡拓撲如下圖2所示。

圖2 業務內網廣域網拓撲

5.2 系統冗余設計

在設備冗余方面，機關采用2臺傳輸加密設備（VPN 設備）做雙機設計，用IRF2 虛擬化技術進行2：1 虛擬化；各臺站采用2 臺傳輸加密設備（VPN 設備）通過冷備方式實現冗余，不堆疊。

在鏈路冗余方面，原有鏈路與新構建的加密通道互為備份，以新建加密隧道為主鏈路。

5.3 OSPF路由規劃

傳輸加密線路為OSPF 路由的主路徑，實現數據加密。原有線路為OSPF 路由的備份路徑，與傳輸加密鏈路互為備份，當傳輸加密鏈路故障時，數據通信的路由可以自動切換回原非加密鏈路，確保業務連續性。在設置時可通過修改原有線路設備接口下OSPF的cost值來控制OSPF路由的選擇。

機關中心交換機與機關傳輸加密設備之間建立OSPF鄰居，由機關發出的數據都通過傳輸加密設備進入安全加密隧道進行傳輸；各臺站傳輸加密設備分別與機關傳輸加密設備建立OSPF 鄰居，使各臺站發出的數據都通過傳輸加密設備進入安全加密隧道進行傳輸。

5.4 IPsec隧道規劃

以傳輸加密設備為邊界，業務內網網絡結構上可以分為數據傳輸加密區域和非加密區域。機關和臺兩級、臺站之間數據交換通過加密隧道進行加密。機關和臺站之間建立IPsec隧道，保證數據安全。如圖3所示。

圖3 IPsec隧道

機關業務數據經機關端VPN 設備加密后，傳輸至臺站的VPN 設備進行解密，反之亦然。

臺站之間數據傳輸均在發起臺站端廣域網出口VPN 設備加密后，通過機關端VPN 設備中轉至接受臺站端VPN 設備解密。

5.5 設備基線配置

為保證網絡的安全，所有網絡設備的遠程管理采用SSH 方式，用戶名、密碼要保持復雜度且為非缺省字符串；設置Console、SSH 登錄超時時間為2分30秒；關閉防火墻web管理界面訪問功能；user-interface vty只配置0―4，限制最大允許5個用戶同時登陸設備。

為保證設備安全，所有網絡設備的遠程管理均需指定IP主機登陸，杜絕非法登陸其它單位設備、竊取或者篡改配置現象的發生。

所有設備均設置為中國時區，配置NTP 協議用于時鐘同步，新增設備分別與機關和臺站配備的NTP的server進行時鐘同步。

6 結束語

在網絡應用越來越廣泛的今天，信息數據的安全變得格外重要，為了防止非法勢力竊取或者破壞通信信息，確保廣播影視信息數據傳輸安全，保證廣播影視信息數據在廣域網傳輸時的機密性和完整，已是廣播影視傳輸單位面臨的一個急切問題。由于IPsec技術在網絡層上實現了加密、認證、訪問控制等操作，因此利用IPsec技術在網絡層進行加密傳輸和交換，信息傳輸的保密性高，工程易實施，且可以適應已有的各種應用，在一定程度上滿足了廣播影視信息傳輸對安全的要求，是一個可行的解決方案。