廣播電視組播網(wǎng)絡(luò)分層式安全防護(hù)技術(shù)研究

孔德會

摘要：目前的廣播電視組播網(wǎng)絡(luò)多采用單向的防護(hù)形式，安全防護(hù)覆蓋范圍較小，無法達(dá)到預(yù)期的防護(hù)效果。為此文章提出廣播電視組播網(wǎng)絡(luò)分層式安全防護(hù)技術(shù)。根據(jù)當(dāng)前測定需求，先對組播技術(shù)和分層式安全防護(hù)技術(shù)進(jìn)行分析，接著探究如何擴(kuò)大對廣播電視組播網(wǎng)絡(luò)的安全防護(hù)范圍——以物理層安全防護(hù)為基礎(chǔ)，采用數(shù)據(jù)鏈路層安全防護(hù)和網(wǎng)絡(luò)層安全防護(hù)進(jìn)行多維防護(hù)條件和環(huán)境建立，最終通過傳輸層安全防護(hù)與應(yīng)用層安全防護(hù)進(jìn)一步擴(kuò)展實(shí)際安全防護(hù)效果，強(qiáng)化組播網(wǎng)絡(luò)的防護(hù)等級，為廣播電視組播任務(wù)的執(zhí)行營造安全環(huán)境。

關(guān)鍵詞：廣播電視組播；網(wǎng)絡(luò)分層；分層式防護(hù)；安全防護(hù)技術(shù)；網(wǎng)絡(luò)監(jiān)測；信息識別

doi：10.3969/J.ISSN.1672-7274.2024.04.012

中圖分類號：TP 393.08? ? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）04-00-04

Research on Layered Security Protection Technology for Broadcasting and Television Multicast Networks

KONG Dehui

（Anshan News and Media Center， Anshan 114001， China）

Abstract： Currently， broadcasting and television multicast networks mostly adopt a one-way protection form， with a small coverage of security protection， which cannot achieve the expected protection effect. This article proposes a layered security protection technology for broadcasting and television multicast networks. Based on the current measurement requirements， first analyze multicast technology and layered security protection technology， then explore how to expand the security protection scope of broadcasting and television multicast networks - based on physical layer security protection， establish multi-dimensional protection conditions and environments using data link layer security protection and network layer security protection， and finally further expand the actual security protection effect through transmission layer security protection and application layer security protection， Strengthen the protection level of multicast networks and create a secure environment for the execution of broadcasting and television multicast tasks.

Keywords： broadcasting and television multicast; network layering; layered protection; security protection technology; network monitoring; information recognition

廣播電視組播網(wǎng)絡(luò)對于接入環(huán)境的要求是極高的，不僅需要運(yùn)行環(huán)境穩(wěn)定，還需要在處理組播源任務(wù)的過程中確保實(shí)時(shí)監(jiān)測，獲取相對應(yīng)的網(wǎng)絡(luò)信息，進(jìn)而為后續(xù)廣播電視組播網(wǎng)絡(luò)環(huán)境的安全防護(hù)奠定基礎(chǔ)。實(shí)際上，組播網(wǎng)絡(luò)的安全防護(hù)是目前常用的一 種輔助性網(wǎng)絡(luò)異常識別工具。傳統(tǒng)的廣播電視組播網(wǎng)絡(luò)安全防護(hù)技術(shù)通常采用單向形式，參考文獻(xiàn)[1]和文獻(xiàn)[2]提出了傳統(tǒng)紅外成像廣播電視組播網(wǎng)絡(luò)安全防護(hù)技術(shù)和傳統(tǒng)智慧廣電“安全大腦”廣播電視組播網(wǎng)絡(luò)安全防護(hù)技術(shù)。雖然這類網(wǎng)絡(luò)安全防護(hù)方法可以確保網(wǎng)絡(luò)環(huán)境達(dá)到預(yù)期要求，但存在缺乏針對性和穩(wěn)定性的問題。在不同的背景環(huán)境下，很難實(shí)時(shí)定位和標(biāo)記異常組播源，測試結(jié)果經(jīng)常會出現(xiàn)不可控的偏差[3]。此外，單向的廣播電視組播網(wǎng)絡(luò)防護(hù)形式整體處理效率較低，并且易受到外部環(huán)境和特定因素的影響，導(dǎo)致整體防護(hù)環(huán)境難以靈活調(diào)節(jié)和修正，影響后續(xù)組播網(wǎng)絡(luò)的運(yùn)行[4]。因此，本文提出了對廣播電視組播網(wǎng)絡(luò)進(jìn)行分層式安全防護(hù)的技術(shù)設(shè)計(jì)和驗(yàn)證研究。與當(dāng)前的防護(hù)結(jié)構(gòu)不同的是，分層式網(wǎng)絡(luò)安全防護(hù)技 術(shù)的覆蓋范圍相對更大，針對性也更強(qiáng)，在復(fù)雜的廣 播電視組播網(wǎng)絡(luò)中，可以第一時(shí)間對異常位置或者數(shù)據(jù) 進(jìn)行實(shí)時(shí)定位處理，設(shè)計(jì)更加靈活、多變的多層級防護(hù) 結(jié)構(gòu)，從多個(gè)角度進(jìn)行可控識別性或者目標(biāo)式防護(hù)處 理，推動廣播電視組播網(wǎng)絡(luò)技術(shù)及行業(yè)發(fā)展邁上一個(gè)新的臺階。

1? ?廣播電視組播及安全防護(hù)概述

1.1 組播技術(shù)

組播技術(shù)是一種多維通信技術(shù)，其主要指的是在數(shù)據(jù)、信息、視頻和音頻等內(nèi)容傳輸過程中，使單個(gè)發(fā)送者向多個(gè)接收者發(fā)送信息。在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，可將這些接收者緊密聯(lián)系在一起，形成一個(gè)緊密的網(wǎng)絡(luò)通信單元，從而實(shí)現(xiàn)預(yù)設(shè)的目標(biāo)任務(wù)[5]。與其他通信技術(shù)不同的是，組播技術(shù)在實(shí)際應(yīng)用過程中覆蓋的范圍相對較大，并具有更強(qiáng)的針對性。通過向多個(gè)接收方傳遞數(shù)據(jù)和信息，可以最大程度地減少資源丟失、數(shù)據(jù)失真和流量不可控等問題，將通信流量限制在合理范圍內(nèi)，最終實(shí)現(xiàn)單一信息流的傳輸[6]。

組播技術(shù)主要分為地址分配、成員管理、組播內(nèi)容及報(bào)文傳輸、路由位置標(biāo)定、線路介入等[7]。先對廣播電視組播網(wǎng)絡(luò)整體結(jié)構(gòu)進(jìn)行設(shè)計(jì)，具體如圖1所示。

根據(jù)圖1，完成對廣播電視組播網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)定后，可將組播地址接入組播網(wǎng)絡(luò)之中，通過使用報(bào)文控制內(nèi)容轉(zhuǎn)發(fā)，并設(shè)定組播的可控區(qū)域，制定與之匹配的應(yīng)對協(xié)議和限制機(jī)制[8]。

1.2 分層式安全防護(hù)技術(shù)

與初始的網(wǎng)絡(luò)防護(hù)技術(shù)相比，分層式安全防護(hù)技術(shù)具有更廣泛的覆蓋范圍，并增加了一些加密措施，與基礎(chǔ)的防護(hù)程序形成一個(gè)多變的防護(hù)結(jié)構(gòu)，更有利于識別和捕捉廣播電視組播網(wǎng)絡(luò)中的攻擊，從而維護(hù)日常的網(wǎng)絡(luò)環(huán)境。實(shí)際上，分層式防護(hù)技術(shù)具有全方位和整體性的特點(diǎn)，通常結(jié)合各個(gè)層級設(shè)定的目標(biāo)和防護(hù)標(biāo)準(zhǔn)來執(zhí)行任務(wù)，以反映組播網(wǎng)絡(luò)存在的安全問題。當(dāng)前，針對廣播電視組播網(wǎng)絡(luò)設(shè)計(jì)的安全防護(hù)層級可以劃分為五個(gè)部分：物理層組播網(wǎng)絡(luò)安全層、系統(tǒng)層組播網(wǎng)絡(luò)安全層、網(wǎng)絡(luò)層安全層、應(yīng)用層安全層和日常安全管理層。

基于當(dāng)前的測定與分析，設(shè)置各個(gè)層級的基礎(chǔ)控制指標(biāo)與參數(shù)，具體如表1所示。

根據(jù)表1，結(jié)合組播技術(shù)，在設(shè)定的各個(gè)層級之中制定安全防護(hù)目標(biāo)，將預(yù)期設(shè)置的任務(wù)與目標(biāo)相結(jié)合，構(gòu)建多層級、多目標(biāo)的安全防護(hù)控制結(jié)構(gòu)。

2? ?智慧廣電組播網(wǎng)絡(luò)分層式防護(hù)研究

2.1 物理層安全防護(hù)

物理層安全防護(hù)是分層式防護(hù)的基礎(chǔ)，同時(shí)也是后續(xù)防護(hù)手段及過程的主要支撐。在廣播電視組播網(wǎng)絡(luò)的運(yùn)行過程中，物理層的安全防護(hù)可以劃分為環(huán)境安全、設(shè)備安全和介質(zhì)安全三個(gè)方面。環(huán)境安全一般指廣播電視應(yīng)用環(huán)境的實(shí)際情況以及與之相關(guān)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。具體的環(huán)境調(diào)度及控制值設(shè)置如表2所示。

根據(jù)表2，完成對物理層安全防護(hù)環(huán)境調(diào)度及控制值的設(shè)置與調(diào)整。接下來，以此為基礎(chǔ)，進(jìn)行后續(xù)物理層安全防護(hù)的疊加。設(shè)備安全是第二層安全防護(hù)，一般是針對廣播電視組播網(wǎng)絡(luò)中的可控裝置與設(shè)備的防護(hù)形式，可將設(shè)備的應(yīng)用覆蓋區(qū)域進(jìn)行標(biāo)定劃分，在對應(yīng)的單元塊范圍之內(nèi)，部署一定數(shù)量的監(jiān)測節(jié)點(diǎn)，便于實(shí)時(shí)采集設(shè)備的運(yùn)行數(shù)據(jù)，匯總整合之后，以待后續(xù)使用。在當(dāng)前的背景環(huán)境下，一旦出現(xiàn)異常情況，該層級的防護(hù)程序會立即進(jìn)行具體位置的識別，并在第一時(shí)間做出對應(yīng)的匹配標(biāo)記處理，將異常數(shù)據(jù)轉(zhuǎn)換為數(shù)據(jù)包，并傳輸?shù)筋A(yù)設(shè)的位置上，以為維護(hù)人員提供參考依據(jù)。

最后是介質(zhì)安全層級，該部分是與設(shè)備層級和網(wǎng)絡(luò)層級存在關(guān)聯(lián)的其他環(huán)境的監(jiān)測，可確保防護(hù)程序之間連接的緊密性，為組播網(wǎng)絡(luò)營造穩(wěn)定、安全的運(yùn)行環(huán)境。

2.2 數(shù)據(jù)鏈路層安全防護(hù)

廣播電視組播網(wǎng)絡(luò)在運(yùn)行過程中，盡管已經(jīng)采取了物理層的安全防護(hù)措施，但由于外部環(huán)境和特定因素的影響，常常面臨安全威脅。為確保網(wǎng)絡(luò)穩(wěn)定可靠，需要結(jié)合實(shí)際防護(hù)范圍的變化與波動來設(shè)計(jì)數(shù)據(jù)鏈路層的安全防護(hù)。在這方面，首先需要分析數(shù)據(jù)鏈路層的安全威脅類型，主要包括ARP欺騙攻擊、DHCP欺騙攻擊、生成樹協(xié)議攻擊、MAC地址泛洪攻擊以及VLAN攻擊等。不同的攻擊會對組播網(wǎng)絡(luò)造成不同程度的破壞，從而影響鏈路的防護(hù)程序，并引發(fā)不可控的網(wǎng)絡(luò)安全問題。可以使用式（1）來計(jì)算單元數(shù)據(jù)鏈路覆蓋區(qū)域的具體范圍。

（1）

式中，表示單元數(shù)據(jù)鏈路的覆蓋區(qū)域；表示鏈路識別范圍；表示攻擊可控差值；表示防護(hù)次數(shù)，表示層級轉(zhuǎn)換均值。根據(jù)當(dāng)前的測定數(shù)據(jù)，完成對單元數(shù)據(jù)鏈路覆蓋區(qū)域的計(jì)算。

本次在當(dāng)前端口中接入一個(gè)BPDU防護(hù)程序，將所設(shè)定的監(jiān)測節(jié)點(diǎn)與該防護(hù)程序進(jìn)行關(guān)聯(lián)，通過STP來增設(shè)根網(wǎng)橋、根端口和指定端口，進(jìn)一步完善鏈路的覆蓋防護(hù)范圍，并計(jì)算出鏈路的BPDU防護(hù)的目標(biāo)函數(shù)，如公式（2）所示：

（2）

式中，表示BPDU防護(hù)目標(biāo)函數(shù)；表示鏈路識別均值；表示識別頻次；表示轉(zhuǎn)換比；表示總防護(hù)區(qū)域；表示鏈路重復(fù)防護(hù)區(qū)域；表示鏈路堆疊差。結(jié)合當(dāng)前測定，完成對BPDU防護(hù)目標(biāo)函數(shù)的計(jì)算，將其在當(dāng)前的主控安全防護(hù)層級之中進(jìn)行設(shè)置，與上述的物理防護(hù)層進(jìn)行搭接，加強(qiáng)防護(hù)控制效果。

2.3 網(wǎng)絡(luò)層安全防護(hù)

網(wǎng)絡(luò)層安全方式是最接近于廣播電視組播網(wǎng)絡(luò)控制的防護(hù)層級，也是與其他防護(hù)層關(guān)聯(lián)最緊密的一個(gè)環(huán)節(jié)。初始的網(wǎng)絡(luò)層安全防護(hù)多為獨(dú)立頂點(diǎn)識別性防護(hù)，該種形式的防護(hù)范圍較小，對于網(wǎng)絡(luò)端口的隱藏以及訪問地址的核驗(yàn)不精準(zhǔn)，導(dǎo)致其最終無法達(dá)到預(yù)期防護(hù)效果。因此，設(shè)定核心的防護(hù)目標(biāo)，將其作為定向的引導(dǎo)，構(gòu)建與目標(biāo)搭接的網(wǎng)絡(luò)防護(hù)層。

需要注意的是，網(wǎng)絡(luò)安全防護(hù)層級的覆蓋范圍通常并不固定，所以，可利用設(shè)定的節(jié)點(diǎn)在網(wǎng)絡(luò)識別范圍之內(nèi)建立對應(yīng)的執(zhí)行聯(lián)系，在最大程度上降低網(wǎng)絡(luò)波動造成的防護(hù)缺陷及差異，加強(qiáng)各個(gè)防護(hù)層級的處理效果，提升防護(hù)的精密性和有效性，進(jìn)一步對廣播電視組播網(wǎng)絡(luò)進(jìn)行防護(hù)層級的雙向疊加處理。

2.4 傳輸層安全防護(hù)

在完成對網(wǎng)絡(luò)層安全防護(hù)的設(shè)定后，接下來，基于廣播電視組播網(wǎng)絡(luò)的運(yùn)行狀態(tài)及實(shí)際情況，搭接傳輸層安全防護(hù)。該層級的作用不僅僅是網(wǎng)絡(luò)的安全防護(hù)，還需要進(jìn)行廣播電視組播網(wǎng)絡(luò)數(shù)據(jù)、信息的定向、多維傳輸。所謂定向傳輸一般是在防護(hù)處理與傳輸之前確定具體的傳輸內(nèi)容，并明確對應(yīng)的傳輸路線，傳輸?shù)慕K端和尾端在組播網(wǎng)絡(luò)中形成一個(gè)緊密的聯(lián)系，并設(shè)置搭建層級，與初始的安全防護(hù)程序進(jìn)行融合，實(shí)現(xiàn)最終任務(wù)及目標(biāo)的處理；而多維傳輸則是將組播網(wǎng)絡(luò)的數(shù)據(jù)先進(jìn)行分類，將同類型的數(shù)據(jù)和信息協(xié)同整合、處理，轉(zhuǎn)換為數(shù)據(jù)包的形式，設(shè)定在信道上按照順序傳輸。

與此同時(shí)，為確保數(shù)據(jù)包在傳輸過程中的穩(wěn)定，還可以在傳輸之前設(shè)定多個(gè)加密層級，相當(dāng)于傳輸層級的定向防護(hù)措施。此次采用公鑰+私鑰的方式，在單元防護(hù)加密的基礎(chǔ)之上，增加傳輸過程中對于數(shù)據(jù)包的防護(hù)等級，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)強(qiáng)度的同時(shí)，最大程度避免廣播電視組播網(wǎng)絡(luò)內(nèi)容的失真、錯(cuò)亂與丟失等情況的發(fā)生，促使防護(hù)層級設(shè)定的標(biāo)準(zhǔn)和機(jī)制更加復(fù)雜化，具體化、完整化，大幅度提高傳輸層安全防護(hù)效果，具有重要的實(shí)踐應(yīng)用意義。

2.5 應(yīng)用層安全防護(hù)

在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，可以進(jìn)行應(yīng)用防護(hù)配置的設(shè)定。首先可以優(yōu)化防火墻的結(jié)構(gòu)，升級相應(yīng)的防護(hù)目標(biāo)和定向防護(hù)標(biāo)準(zhǔn)。然后，接入一個(gè)實(shí)施性的服務(wù)器，并設(shè)置好其訪問位置和定向區(qū)域。接著啟用接口，將動態(tài)主機(jī)配置協(xié)議（DHCP）與地址池關(guān)聯(lián)起來，以形成一個(gè)循環(huán)性的應(yīng)用層安全防護(hù)框架。在此基礎(chǔ)上，可以標(biāo)記出內(nèi)部服務(wù)器網(wǎng)段的覆蓋范圍，并計(jì)算出重復(fù)應(yīng)用防護(hù)區(qū)域，如式（3）所示：

（3）

式中，表示重復(fù)應(yīng)用防護(hù)區(qū)域；表示終端識別范圍；表示內(nèi)網(wǎng)網(wǎng)段；和分別表示基礎(chǔ)防護(hù)距離和實(shí)際防護(hù)距離；表示網(wǎng)絡(luò)層識別總范圍；表示可控訪問區(qū)域。結(jié)合當(dāng)前測定，在應(yīng)用層安全防護(hù)程序之中進(jìn)行重復(fù)應(yīng)用防護(hù)區(qū)域的劃分與標(biāo)定，簡化實(shí)際的防護(hù)環(huán)節(jié)，以確保最終的防護(hù)結(jié)果真實(shí)可靠。

3? ?結(jié)束語

綜上所述，便是對廣播電視組播網(wǎng)絡(luò)分層式安全防護(hù)技術(shù)的設(shè)計(jì)與驗(yàn)證研究，與初始安全防護(hù)結(jié)構(gòu)相比對，本文中結(jié)合分層式防護(hù)方法，針對廣播電視組播網(wǎng)絡(luò)的運(yùn)行狀況，設(shè)計(jì)更加靈活、多元的安全防護(hù)框架，從多個(gè)角度強(qiáng)化具體的防護(hù)手段以及防護(hù)接入點(diǎn)，第一時(shí)間進(jìn)行組播源的定位與鎖定，逐步完善、優(yōu)化當(dāng)前的防護(hù)層級，明確對應(yīng)的防護(hù)目標(biāo)，加強(qiáng)對日常安全防護(hù)誤差與缺陷的控制，為后續(xù)發(fā)展奠定基礎(chǔ)。

參考文獻(xiàn)

[1] 周偉明，尹廣奎．紅外成像技術(shù)在廣播電視安全播出中的應(yīng)用探討[J]．?dāng)?shù)字傳媒研究，2022（12）：49-51，65.

[2] 楊木偉，肖輝，黨超輝，等．基于智慧廣電“安全大腦”的廣播電視網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究與應(yīng)用[J]．廣播電視網(wǎng)絡(luò)，2022（6）：54-58.

[3] 何晶，田小龍．提升廣播電視和網(wǎng)絡(luò)視聽關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力的思考[J]．廣播與電視技術(shù)，2022（9）：152-155.

[4] 張玉枝．融媒體時(shí)代確保廣播電視安全播出的對策研究[J]．中國傳媒科技，2022（5）：100-101，157.

[5] 張利．廣播電視中網(wǎng)絡(luò)安全防護(hù)體系的實(shí)踐與探索[J]．中國有線電視，2021（12）：1228-1231.

[6] 孫友艷，王小芳．廣播電視信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)策略研究[J]．西部廣播電視，2021（13）：235-237，240.

[7]王小華.新時(shí)期廣播電視安全播出技術(shù)的運(yùn)用分析[J].中國傳媒科技，2021（04）：127-128.

[8]雷劉敏，劉有信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與策略探究[J].中國有線電視，2021（04）：433-435.