廣播電視組播網絡分層式安全防護技術研究

孔德會

摘要：目前的廣播電視組播網絡多采用單向的防護形式，安全防護覆蓋范圍較小，無法達到預期的防護效果。為此文章提出廣播電視組播網絡分層式安全防護技術。根據當前測定需求，先對組播技術和分層式安全防護技術進行分析，接著探究如何擴大對廣播電視組播網絡的安全防護范圍——以物理層安全防護為基礎，采用數據鏈路層安全防護和網絡層安全防護進行多維防護條件和環境建立，最終通過傳輸層安全防護與應用層安全防護進一步擴展實際安全防護效果，強化組播網絡的防護等級，為廣播電視組播任務的執行營造安全環境。

關鍵詞：廣播電視組播；網絡分層；分層式防護；安全防護技術；網絡監測；信息識別

doi：10.3969/J.ISSN.1672-7274.2024.04.012

中圖分類號：TP 393.08? ? ? ? ? 文獻標志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）04-00-04

Research on Layered Security Protection Technology for Broadcasting and Television Multicast Networks

KONG Dehui

（Anshan News and Media Center， Anshan 114001， China）

Abstract： Currently， broadcasting and television multicast networks mostly adopt a one-way protection form， with a small coverage of security protection， which cannot achieve the expected protection effect. This article proposes a layered security protection technology for broadcasting and television multicast networks. Based on the current measurement requirements， first analyze multicast technology and layered security protection technology， then explore how to expand the security protection scope of broadcasting and television multicast networks - based on physical layer security protection， establish multi-dimensional protection conditions and environments using data link layer security protection and network layer security protection， and finally further expand the actual security protection effect through transmission layer security protection and application layer security protection， Strengthen the protection level of multicast networks and create a secure environment for the execution of broadcasting and television multicast tasks.

Keywords： broadcasting and television multicast; network layering; layered protection; security protection technology; network monitoring; information recognition

廣播電視組播網絡對于接入環境的要求是極高的，不僅需要運行環境穩定，還需要在處理組播源任務的過程中確保實時監測，獲取相對應的網絡信息，進而為后續廣播電視組播網絡環境的安全防護奠定基礎。實際上，組播網絡的安全防護是目前常用的一 種輔助性網絡異常識別工具。傳統的廣播電視組播網絡安全防護技術通常采用單向形式，參考文獻[1]和文獻[2]提出了傳統紅外成像廣播電視組播網絡安全防護技術和傳統智慧廣電“安全大腦”廣播電視組播網絡安全防護技術。雖然這類網絡安全防護方法可以確保網絡環境達到預期要求，但存在缺乏針對性和穩定性的問題。在不同的背景環境下，很難實時定位和標記異常組播源，測試結果經常會出現不可控的偏差[3]。此外，單向的廣播電視組播網絡防護形式整體處理效率較低，并且易受到外部環境和特定因素的影響，導致整體防護環境難以靈活調節和修正，影響后續組播網絡的運行[4]。因此，本文提出了對廣播電視組播網絡進行分層式安全防護的技術設計和驗證研究。與當前的防護結構不同的是，分層式網絡安全防護技 術的覆蓋范圍相對更大，針對性也更強，在復雜的廣 播電視組播網絡中，可以第一時間對異常位置或者數據 進行實時定位處理，設計更加靈活、多變的多層級防護 結構，從多個角度進行可控識別性或者目標式防護處 理，推動廣播電視組播網絡技術及行業發展邁上一個新的臺階。

1? ?廣播電視組播及安全防護概述

1.1 組播技術

組播技術是一種多維通信技術，其主要指的是在數據、信息、視頻和音頻等內容傳輸過程中，使單個發送者向多個接收者發送信息。在當前的網絡環境下，可將這些接收者緊密聯系在一起，形成一個緊密的網絡通信單元，從而實現預設的目標任務[5]。與其他通信技術不同的是，組播技術在實際應用過程中覆蓋的范圍相對較大，并具有更強的針對性。通過向多個接收方傳遞數據和信息，可以最大程度地減少資源丟失、數據失真和流量不可控等問題，將通信流量限制在合理范圍內，最終實現單一信息流的傳輸[6]。

組播技術主要分為地址分配、成員管理、組播內容及報文傳輸、路由位置標定、線路介入等[7]。先對廣播電視組播網絡整體結構進行設計，具體如圖1所示。

根據圖1，完成對廣播電視組播網絡整體結構設定后，可將組播地址接入組播網絡之中，通過使用報文控制內容轉發，并設定組播的可控區域，制定與之匹配的應對協議和限制機制[8]。

1.2 分層式安全防護技術

與初始的網絡防護技術相比，分層式安全防護技術具有更廣泛的覆蓋范圍，并增加了一些加密措施，與基礎的防護程序形成一個多變的防護結構，更有利于識別和捕捉廣播電視組播網絡中的攻擊，從而維護日常的網絡環境。實際上，分層式防護技術具有全方位和整體性的特點，通常結合各個層級設定的目標和防護標準來執行任務，以反映組播網絡存在的安全問題。當前，針對廣播電視組播網絡設計的安全防護層級可以劃分為五個部分：物理層組播網絡安全層、系統層組播網絡安全層、網絡層安全層、應用層安全層和日常安全管理層。

基于當前的測定與分析，設置各個層級的基礎控制指標與參數，具體如表1所示。

根據表1，結合組播技術，在設定的各個層級之中制定安全防護目標，將預期設置的任務與目標相結合，構建多層級、多目標的安全防護控制結構。

2? ?智慧廣電組播網絡分層式防護研究

2.1 物理層安全防護

物理層安全防護是分層式防護的基礎，同時也是后續防護手段及過程的主要支撐。在廣播電視組播網絡的運行過程中，物理層的安全防護可以劃分為環境安全、設備安全和介質安全三個方面。環境安全一般指廣播電視應用環境的實際情況以及與之相關的基礎網絡環境。具體的環境調度及控制值設置如表2所示。

根據表2，完成對物理層安全防護環境調度及控制值的設置與調整。接下來，以此為基礎，進行后續物理層安全防護的疊加。設備安全是第二層安全防護，一般是針對廣播電視組播網絡中的可控裝置與設備的防護形式，可將設備的應用覆蓋區域進行標定劃分，在對應的單元塊范圍之內，部署一定數量的監測節點，便于實時采集設備的運行數據，匯總整合之后，以待后續使用。在當前的背景環境下，一旦出現異常情況，該層級的防護程序會立即進行具體位置的識別，并在第一時間做出對應的匹配標記處理，將異常數據轉換為數據包，并傳輸到預設的位置上，以為維護人員提供參考依據。

最后是介質安全層級，該部分是與設備層級和網絡層級存在關聯的其他環境的監測，可確保防護程序之間連接的緊密性，為組播網絡營造穩定、安全的運行環境。

2.2 數據鏈路層安全防護

廣播電視組播網絡在運行過程中，盡管已經采取了物理層的安全防護措施，但由于外部環境和特定因素的影響，常常面臨安全威脅。為確保網絡穩定可靠，需要結合實際防護范圍的變化與波動來設計數據鏈路層的安全防護。在這方面，首先需要分析數據鏈路層的安全威脅類型，主要包括ARP欺騙攻擊、DHCP欺騙攻擊、生成樹協議攻擊、MAC地址泛洪攻擊以及VLAN攻擊等。不同的攻擊會對組播網絡造成不同程度的破壞，從而影響鏈路的防護程序，并引發不可控的網絡安全問題。可以使用式（1）來計算單元數據鏈路覆蓋區域的具體范圍。

（1）

式中，表示單元數據鏈路的覆蓋區域；表示鏈路識別范圍；表示攻擊可控差值；表示防護次數，表示層級轉換均值。根據當前的測定數據，完成對單元數據鏈路覆蓋區域的計算。

本次在當前端口中接入一個BPDU防護程序，將所設定的監測節點與該防護程序進行關聯，通過STP來增設根網橋、根端口和指定端口，進一步完善鏈路的覆蓋防護范圍，并計算出鏈路的BPDU防護的目標函數，如公式（2）所示：

（2）

式中，表示BPDU防護目標函數；表示鏈路識別均值；表示識別頻次；表示轉換比；表示總防護區域；表示鏈路重復防護區域；表示鏈路堆疊差。結合當前測定，完成對BPDU防護目標函數的計算，將其在當前的主控安全防護層級之中進行設置，與上述的物理防護層進行搭接，加強防護控制效果。

2.3 網絡層安全防護

網絡層安全方式是最接近于廣播電視組播網絡控制的防護層級，也是與其他防護層關聯最緊密的一個環節。初始的網絡層安全防護多為獨立頂點識別性防護，該種形式的防護范圍較小，對于網絡端口的隱藏以及訪問地址的核驗不精準，導致其最終無法達到預期防護效果。因此，設定核心的防護目標，將其作為定向的引導，構建與目標搭接的網絡防護層。

需要注意的是，網絡安全防護層級的覆蓋范圍通常并不固定，所以，可利用設定的節點在網絡識別范圍之內建立對應的執行聯系，在最大程度上降低網絡波動造成的防護缺陷及差異，加強各個防護層級的處理效果，提升防護的精密性和有效性，進一步對廣播電視組播網絡進行防護層級的雙向疊加處理。

2.4 傳輸層安全防護

在完成對網絡層安全防護的設定后，接下來，基于廣播電視組播網絡的運行狀態及實際情況，搭接傳輸層安全防護。該層級的作用不僅僅是網絡的安全防護，還需要進行廣播電視組播網絡數據、信息的定向、多維傳輸。所謂定向傳輸一般是在防護處理與傳輸之前確定具體的傳輸內容，并明確對應的傳輸路線，傳輸的終端和尾端在組播網絡中形成一個緊密的聯系，并設置搭建層級，與初始的安全防護程序進行融合，實現最終任務及目標的處理；而多維傳輸則是將組播網絡的數據先進行分類，將同類型的數據和信息協同整合、處理，轉換為數據包的形式，設定在信道上按照順序傳輸。

與此同時，為確保數據包在傳輸過程中的穩定，還可以在傳輸之前設定多個加密層級，相當于傳輸層級的定向防護措施。此次采用公鑰+私鑰的方式，在單元防護加密的基礎之上，增加傳輸過程中對于數據包的防護等級，強化網絡安全防護強度的同時，最大程度避免廣播電視組播網絡內容的失真、錯亂與丟失等情況的發生，促使防護層級設定的標準和機制更加復雜化，具體化、完整化，大幅度提高傳輸層安全防護效果，具有重要的實踐應用意義。

2.5 應用層安全防護

在當前的網絡環境下，可以進行應用防護配置的設定。首先可以優化防火墻的結構，升級相應的防護目標和定向防護標準。然后，接入一個實施性的服務器，并設置好其訪問位置和定向區域。接著啟用接口，將動態主機配置協議（DHCP）與地址池關聯起來，以形成一個循環性的應用層安全防護框架。在此基礎上，可以標記出內部服務器網段的覆蓋范圍，并計算出重復應用防護區域，如式（3）所示：

（3）

式中，表示重復應用防護區域；表示終端識別范圍；表示內網網段；和分別表示基礎防護距離和實際防護距離；表示網絡層識別總范圍；表示可控訪問區域。結合當前測定，在應用層安全防護程序之中進行重復應用防護區域的劃分與標定，簡化實際的防護環節，以確保最終的防護結果真實可靠。

3? ?結束語

綜上所述，便是對廣播電視組播網絡分層式安全防護技術的設計與驗證研究，與初始安全防護結構相比對，本文中結合分層式防護方法，針對廣播電視組播網絡的運行狀況，設計更加靈活、多元的安全防護框架，從多個角度強化具體的防護手段以及防護接入點，第一時間進行組播源的定位與鎖定，逐步完善、優化當前的防護層級，明確對應的防護目標，加強對日常安全防護誤差與缺陷的控制，為后續發展奠定基礎。

參考文獻

[1] 周偉明，尹廣奎．紅外成像技術在廣播電視安全播出中的應用探討[J]．數字傳媒研究，2022（12）：49-51，65.

[2] 楊木偉，肖輝，黨超輝，等．基于智慧廣電“安全大腦”的廣播電視網絡安全防護體系建設研究與應用[J]．廣播電視網絡，2022（6）：54-58.

[3] 何晶，田小龍．提升廣播電視和網絡視聽關鍵信息基礎設施安全防護能力的思考[J]．廣播與電視技術，2022（9）：152-155.

[4] 張玉枝．融媒體時代確保廣播電視安全播出的對策研究[J]．中國傳媒科技，2022（5）：100-101，157.

[5] 張利．廣播電視中網絡安全防護體系的實踐與探索[J]．中國有線電視，2021（12）：1228-1231.

[6] 孫友艷，王小芳．廣播電視信息系統網絡安全防護策略研究[J]．西部廣播電視，2021（13）：235-237，240.

[7]王小華.新時期廣播電視安全播出技術的運用分析[J].中國傳媒科技，2021（04）：127-128.

[8]雷劉敏，劉有信息系統網絡安全風險與策略探究[J].中國有線電視，2021（04）：433-435.