孔德會

摘要：目前的廣播電視組播網(wǎng)絡(luò)多采用單向的防護形式，安全防護覆蓋范圍較小，無法達到預(yù)期的防護效果。為此文章提出廣播電視組播網(wǎng)絡(luò)分層式安全防護技術(shù)。根據(jù)當(dāng)前測定需求，先對組播技術(shù)和分層式安全防護技術(shù)進行分析，接著探究如何擴大對廣播電視組播網(wǎng)絡(luò)的安全防護范圍——以物理層安全防護為基礎(chǔ)，采用數(shù)據(jù)鏈路層安全防護和網(wǎng)絡(luò)層安全防護進行多維防護條件和環(huán)境建立，最終通過傳輸層安全防護與應(yīng)用層安全防護進一步擴展實際安全防護效果，強化組播網(wǎng)絡(luò)的防護等級，為廣播電視組播任務(wù)的執(zhí)行營造安全環(huán)境。

關(guān)鍵詞：廣播電視組播；網(wǎng)絡(luò)分層；分層式防護；安全防護技術(shù)；網(wǎng)絡(luò)監(jiān)測；信息識別

doi：10.3969/J.ISSN.1672-7274.2024.04.012

中圖分類號：TP 393.08? ? ? ? ? 文獻標(biāo)志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）04-00-04

Research on Layered Security Protection Technology for Broadcasting and Television Multicast Networks

KONG Dehui

（Anshan News and Media Center， Anshan 114001， China）

Abstract： Currently， broadcasting and television multicast networks mostly adopt a one-way protection form， with a small coverage of security protection， which cannot achieve the expected protection effect. This article proposes a layered security protection technology for broadcasting and television multicast networks. Based on the current measurement requirements， first analyze multicast technology and layered security protection technology， then explore how to expand the security protection scope of broadcasting and television multicast networks - based on physical layer security protection， establish multi-dimensional protection conditions and environments using data link layer security protection and network layer security protection， and finally further expand the actual security protection effect through transmission layer security protection and application layer security protection， Strengthen the protection level of multicast networks and create a secure environment for the execution of broadcasting and television multicast tasks.

Keywords： broadcasting and television multicast; network layering; layered protection; security protection technology; network monitoring; information recognition

廣播電視組播網(wǎng)絡(luò)對于接入環(huán)境的要求是極高的，不僅需要運行環(huán)境穩(wěn)定，還需要在處理組播源任務(wù)的過程中確保實時監(jiān)測，獲取相對應(yīng)的網(wǎng)絡(luò)信息，進而為后續(xù)廣播電視組播網(wǎng)絡(luò)環(huán)境的安全防護奠定基礎(chǔ)。實際上，組播網(wǎng)絡(luò)的安全防護是目前常用的一 種輔助性網(wǎng)絡(luò)異常識別工具。傳統(tǒng)的廣播電視組播網(wǎng)絡(luò)安全防護技術(shù)通常采用單向形式，參考文獻[1]和文獻[2]提出了傳統(tǒng)紅外成像廣播電視組播網(wǎng)絡(luò)安全防護技術(shù)和傳統(tǒng)智慧廣電“安全大腦”廣播電視組播網(wǎng)絡(luò)安全防護技術(shù)。雖然這類網(wǎng)絡(luò)安全防護方法可以確保網(wǎng)絡(luò)環(huán)境達到預(yù)期要求，但存在缺乏針對性和穩(wěn)定性的問題。在不同的背景環(huán)境下，很難實時定位和標(biāo)記異常組播源，測試結(jié)果經(jīng)常會出現(xiàn)不可控的偏差[3]。此外，單向的廣播電視組播網(wǎng)絡(luò)防護形式整體處理效率較低，并且易受到外部環(huán)境和特定因素的影響，導(dǎo)致整體防護環(huán)境難以靈活調(diào)節(jié)和修正，影響后續(xù)組播網(wǎng)絡(luò)的運行[4]。因此，本文提出了對廣播電視組播網(wǎng)絡(luò)進行分層式安全防護的技術(shù)設(shè)計和驗證研究。與當(dāng)前的防護結(jié)構(gòu)不同的是，分層式網(wǎng)絡(luò)安全防護技 術(shù)的覆蓋范圍相對更大，針對性也更強，在復(fù)雜的廣 播電視組播網(wǎng)絡(luò)中，可以第一時間對異常位置或者數(shù)據(jù) 進行實時定位處理，設(shè)計更加靈活、多變的多層級防護 結(jié)構(gòu)，從多個角度進行可控識別性或者目標(biāo)式防護處 理，推動廣播電視組播網(wǎng)絡(luò)技術(shù)及行業(yè)發(fā)展邁上一個新的臺階。

1? ?廣播電視組播及安全防護概述

1.1 組播技術(shù)

組播技術(shù)是一種多維通信技術(shù)，其主要指的是在數(shù)據(jù)、信息、視頻和音頻等內(nèi)容傳輸過程中，使單個發(fā)送者向多個接收者發(fā)送信息。在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，可將這些接收者緊密聯(lián)系在一起，形成一個緊密的網(wǎng)絡(luò)通信單元，從而實現(xiàn)預(yù)設(shè)的目標(biāo)任務(wù)[5]。與其他通信技術(shù)不同的是，組播技術(shù)在實際應(yīng)用過程中覆蓋的范圍相對較大，并具有更強的針對性。通過向多個接收方傳遞數(shù)據(jù)和信息，可以最大程度地減少資源丟失、數(shù)據(jù)失真和流量不可控等問題，將通信流量限制在合理范圍內(nèi)，最終實現(xiàn)單一信息流的傳輸[6]。

組播技術(shù)主要分為地址分配、成員管理、組播內(nèi)容及報文傳輸、路由位置標(biāo)定、線路介入等[7]。先對廣播電視組播網(wǎng)絡(luò)整體結(jié)構(gòu)進行設(shè)計，具體如圖1所示。

根據(jù)圖1，完成對廣播電視組播網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)定后，可將組播地址接入組播網(wǎng)絡(luò)之中，通過使用報文控制內(nèi)容轉(zhuǎn)發(fā)，并設(shè)定組播的可控區(qū)域，制定與之匹配的應(yīng)對協(xié)議和限制機制[8]。

1.2 分層式安全防護技術(shù)

與初始的網(wǎng)絡(luò)防護技術(shù)相比，分層式安全防護技術(shù)具有更廣泛的覆蓋范圍，并增加了一些加密措施，與基礎(chǔ)的防護程序形成一個多變的防護結(jié)構(gòu)，更有利于識別和捕捉廣播電視組播網(wǎng)絡(luò)中的攻擊，從而維護日常的網(wǎng)絡(luò)環(huán)境。實際上，分層式防護技術(shù)具有全方位和整體性的特點，通常結(jié)合各個層級設(shè)定的目標(biāo)和防護標(biāo)準(zhǔn)來執(zhí)行任務(wù)，以反映組播網(wǎng)絡(luò)存在的安全問題。當(dāng)前，針對廣播電視組播網(wǎng)絡(luò)設(shè)計的安全防護層級可以劃分為五個部分：物理層組播網(wǎng)絡(luò)安全層、系統(tǒng)層組播網(wǎng)絡(luò)安全層、網(wǎng)絡(luò)層安全層、應(yīng)用層安全層和日常安全管理層。

基于當(dāng)前的測定與分析，設(shè)置各個層級的基礎(chǔ)控制指標(biāo)與參數(shù)，具體如表1所示。

根據(jù)表1，結(jié)合組播技術(shù)，在設(shè)定的各個層級之中制定安全防護目標(biāo)，將預(yù)期設(shè)置的任務(wù)與目標(biāo)相結(jié)合，構(gòu)建多層級、多目標(biāo)的安全防護控制結(jié)構(gòu)。

2? ?智慧廣電組播網(wǎng)絡(luò)分層式防護研究

2.1 物理層安全防護

物理層安全防護是分層式防護的基礎(chǔ)，同時也是后續(xù)防護手段及過程的主要支撐。在廣播電視組播網(wǎng)絡(luò)的運行過程中，物理層的安全防護可以劃分為環(huán)境安全、設(shè)備安全和介質(zhì)安全三個方面。環(huán)境安全一般指廣播電視應(yīng)用環(huán)境的實際情況以及與之相關(guān)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。具體的環(huán)境調(diào)度及控制值設(shè)置如表2所示。

根據(jù)表2，完成對物理層安全防護環(huán)境調(diào)度及控制值的設(shè)置與調(diào)整。接下來，以此為基礎(chǔ)，進行后續(xù)物理層安全防護的疊加。設(shè)備安全是第二層安全防護，一般是針對廣播電視組播網(wǎng)絡(luò)中的可控裝置與設(shè)備的防護形式，可將設(shè)備的應(yīng)用覆蓋區(qū)域進行標(biāo)定劃分，在對應(yīng)的單元塊范圍之內(nèi)，部署一定數(shù)量的監(jiān)測節(jié)點，便于實時采集設(shè)備的運行數(shù)據(jù)，匯總整合之后，以待后續(xù)使用。在當(dāng)前的背景環(huán)境下，一旦出現(xiàn)異常情況，該層級的防護程序會立即進行具體位置的識別，并在第一時間做出對應(yīng)的匹配標(biāo)記處理，將異常數(shù)據(jù)轉(zhuǎn)換為數(shù)據(jù)包，并傳輸?shù)筋A(yù)設(shè)的位置上，以為維護人員提供參考依據(jù)。

最后是介質(zhì)安全層級，該部分是與設(shè)備層級和網(wǎng)絡(luò)層級存在關(guān)聯(lián)的其他環(huán)境的監(jiān)測，可確保防護程序之間連接的緊密性，為組播網(wǎng)絡(luò)營造穩(wěn)定、安全的運行環(huán)境。

2.2 數(shù)據(jù)鏈路層安全防護

廣播電視組播網(wǎng)絡(luò)在運行過程中，盡管已經(jīng)采取了物理層的安全防護措施，但由于外部環(huán)境和特定因素的影響，常常面臨安全威脅。為確保網(wǎng)絡(luò)穩(wěn)定可靠，需要結(jié)合實際防護范圍的變化與波動來設(shè)計數(shù)據(jù)鏈路層的安全防護。在這方面，首先需要分析數(shù)據(jù)鏈路層的安全威脅類型，主要包括ARP欺騙攻擊、DHCP欺騙攻擊、生成樹協(xié)議攻擊、MAC地址泛洪攻擊以及VLAN攻擊等。不同的攻擊會對組播網(wǎng)絡(luò)造成不同程度的破壞，從而影響鏈路的防護程序，并引發(fā)不可控的網(wǎng)絡(luò)安全問題?？梢允褂檬剑?）來計算單元數(shù)據(jù)鏈路覆蓋區(qū)域的具體范圍。

（1）

式中，表示單元數(shù)據(jù)鏈路的覆蓋區(qū)域；表示鏈路識別范圍；表示攻擊可控差值；表示防護次數(shù)，表示層級轉(zhuǎn)換均值。根據(jù)當(dāng)前的測定數(shù)據(jù)，完成對單元數(shù)據(jù)鏈路覆蓋區(qū)域的計算。

本次在當(dāng)前端口中接入一個BPDU防護程序，將所設(shè)定的監(jiān)測節(jié)點與該防護程序進行關(guān)聯(lián)，通過STP來增設(shè)根網(wǎng)橋、根端口和指定端口，進一步完善鏈路的覆蓋防護范圍，并計算出鏈路的BPDU防護的目標(biāo)函數(shù)，如公式（2）所示：

（2）

式中，表示BPDU防護目標(biāo)函數(shù)；表示鏈路識別均值；表示識別頻次；表示轉(zhuǎn)換比；表示總防護區(qū)域；表示鏈路重復(fù)防護區(qū)域；表示鏈路堆疊差。結(jié)合當(dāng)前測定，完成對BPDU防護目標(biāo)函數(shù)的計算，將其在當(dāng)前的主控安全防護層級之中進行設(shè)置，與上述的物理防護層進行搭接，加強防護控制效果。

2.3 網(wǎng)絡(luò)層安全防護

網(wǎng)絡(luò)層安全方式是最接近于廣播電視組播網(wǎng)絡(luò)控制的防護層級，也是與其他防護層關(guān)聯(lián)最緊密的一個環(huán)節(jié)。初始的網(wǎng)絡(luò)層安全防護多為獨立頂點識別性防護，該種形式的防護范圍較小，對于網(wǎng)絡(luò)端口的隱藏以及訪問地址的核驗不精準(zhǔn)，導(dǎo)致其最終無法達到預(yù)期防護效果。因此，設(shè)定核心的防護目標(biāo)，將其作為定向的引導(dǎo)，構(gòu)建與目標(biāo)搭接的網(wǎng)絡(luò)防護層。

需要注意的是，網(wǎng)絡(luò)安全防護層級的覆蓋范圍通常并不固定，所以，可利用設(shè)定的節(jié)點在網(wǎng)絡(luò)識別范圍之內(nèi)建立對應(yīng)的執(zhí)行聯(lián)系，在最大程度上降低網(wǎng)絡(luò)波動造成的防護缺陷及差異，加強各個防護層級的處理效果，提升防護的精密性和有效性，進一步對廣播電視組播網(wǎng)絡(luò)進行防護層級的雙向疊加處理。

2.4 傳輸層安全防護

在完成對網(wǎng)絡(luò)層安全防護的設(shè)定后，接下來，基于廣播電視組播網(wǎng)絡(luò)的運行狀態(tài)及實際情況，搭接傳輸層安全防護。該層級的作用不僅僅是網(wǎng)絡(luò)的安全防護，還需要進行廣播電視組播網(wǎng)絡(luò)數(shù)據(jù)、信息的定向、多維傳輸。所謂定向傳輸一般是在防護處理與傳輸之前確定具體的傳輸內(nèi)容，并明確對應(yīng)的傳輸路線，傳輸?shù)慕K端和尾端在組播網(wǎng)絡(luò)中形成一個緊密的聯(lián)系，并設(shè)置搭建層級，與初始的安全防護程序進行融合，實現(xiàn)最終任務(wù)及目標(biāo)的處理；而多維傳輸則是將組播網(wǎng)絡(luò)的數(shù)據(jù)先進行分類，將同類型的數(shù)據(jù)和信息協(xié)同整合、處理，轉(zhuǎn)換為數(shù)據(jù)包的形式，設(shè)定在信道上按照順序傳輸。

與此同時，為確保數(shù)據(jù)包在傳輸過程中的穩(wěn)定，還可以在傳輸之前設(shè)定多個加密層級，相當(dāng)于傳輸層級的定向防護措施。此次采用公鑰+私鑰的方式，在單元防護加密的基礎(chǔ)之上，增加傳輸過程中對于數(shù)據(jù)包的防護等級，強化網(wǎng)絡(luò)安全防護強度的同時，最大程度避免廣播電視組播網(wǎng)絡(luò)內(nèi)容的失真、錯亂與丟失等情況的發(fā)生，促使防護層級設(shè)定的標(biāo)準(zhǔn)和機制更加復(fù)雜化，具體化、完整化，大幅度提高傳輸層安全防護效果，具有重要的實踐應(yīng)用意義。

2.5 應(yīng)用層安全防護

在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，可以進行應(yīng)用防護配置的設(shè)定。首先可以優(yōu)化防火墻的結(jié)構(gòu)，升級相應(yīng)的防護目標(biāo)和定向防護標(biāo)準(zhǔn)。然后，接入一個實施性的服務(wù)器，并設(shè)置好其訪問位置和定向區(qū)域。接著啟用接口，將動態(tài)主機配置協(xié)議（DHCP）與地址池關(guān)聯(lián)起來，以形成一個循環(huán)性的應(yīng)用層安全防護框架。在此基礎(chǔ)上，可以標(biāo)記出內(nèi)部服務(wù)器網(wǎng)段的覆蓋范圍，并計算出重復(fù)應(yīng)用防護區(qū)域，如式（3）所示：

（3）

式中，表示重復(fù)應(yīng)用防護區(qū)域；表示終端識別范圍；表示內(nèi)網(wǎng)網(wǎng)段；和分別表示基礎(chǔ)防護距離和實際防護距離；表示網(wǎng)絡(luò)層識別總范圍；表示可控訪問區(qū)域。結(jié)合當(dāng)前測定，在應(yīng)用層安全防護程序之中進行重復(fù)應(yīng)用防護區(qū)域的劃分與標(biāo)定，簡化實際的防護環(huán)節(jié)，以確保最終的防護結(jié)果真實可靠。

3? ?結(jié)束語

綜上所述，便是對廣播電視組播網(wǎng)絡(luò)分層式安全防護技術(shù)的設(shè)計與驗證研究，與初始安全防護結(jié)構(gòu)相比對，本文中結(jié)合分層式防護方法，針對廣播電視組播網(wǎng)絡(luò)的運行狀況，設(shè)計更加靈活、多元的安全防護框架，從多個角度強化具體的防護手段以及防護接入點，第一時間進行組播源的定位與鎖定，逐步完善、優(yōu)化當(dāng)前的防護層級，明確對應(yīng)的防護目標(biāo)，加強對日常安全防護誤差與缺陷的控制，為后續(xù)發(fā)展奠定基礎(chǔ)。

參考文獻

[1] 周偉明，尹廣奎．紅外成像技術(shù)在廣播電視安全播出中的應(yīng)用探討[J]．?dāng)?shù)字傳媒研究，2022（12）：49-51，65.

[2] 楊木偉，肖輝，黨超輝，等．基于智慧廣電“安全大腦”的廣播電視網(wǎng)絡(luò)安全防護體系建設(shè)研究與應(yīng)用[J]．廣播電視網(wǎng)絡(luò)，2022（6）：54-58.

[3] 何晶，田小龍．提升廣播電視和網(wǎng)絡(luò)視聽關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力的思考[J]．廣播與電視技術(shù)，2022（9）：152-155.

[4] 張玉枝．融媒體時代確保廣播電視安全播出的對策研究[J]．中國傳媒科技，2022（5）：100-101，157.

[5] 張利．廣播電視中網(wǎng)絡(luò)安全防護體系的實踐與探索[J]．中國有線電視，2021（12）：1228-1231.

[6] 孫友艷，王小芳．廣播電視信息系統(tǒng)網(wǎng)絡(luò)安全防護策略研究[J]．西部廣播電視，2021（13）：235-237，240.

[7]王小華.新時期廣播電視安全播出技術(shù)的運用分析[J].中國傳媒科技，2021（04）：127-128.

[8]雷劉敏，劉有信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險與策略探究[J].中國有線電視，2021（04）：433-435.