孔德会

摘要：目前的广播电视组播网络多采用单向的防护形式，安全防护覆盖范围较小，无法达到预期的防护效果。为此文章提出广播电视组播网络分层式安全防护技术。根据当前测定需求，先对组播技术和分层式安全防护技术进行分析，接着探究如何扩大对广播电视组播网络的安全防护范围——以物理层安全防护为基础，采用数据链路层安全防护和网络层安全防护进行多维防护条件和环境建立，最终通过传输层安全防护与应用层安全防护进一步扩展实际安全防护效果，强化组播网络的防护等级，为广播电视组播任务的执行营造安全环境。

关键词：广播电视组播；网络分层；分层式防护；安全防护技术；网络监测；信息识别

doi：10.3969/J.ISSN.1672-7274.2024.04.012

中图分类号：TP 393.08          文献标志码：A           文章编码：1672-7274（2024）04-00-04

Research on Layered Security Protection Technology for Broadcasting and Television Multicast Networks

KONG Dehui

（Anshan News and Media Center， Anshan 114001， China）

Abstract： Currently， broadcasting and television multicast networks mostly adopt a one-way protection form， with a small coverage of security protection， which cannot achieve the expected protection effect. This article proposes a layered security protection technology for broadcasting and television multicast networks. Based on the current measurement requirements， first analyze multicast technology and layered security protection technology， then explore how to expand the security protection scope of broadcasting and television multicast networks - based on physical layer security protection， establish multi-dimensional protection conditions and environments using data link layer security protection and network layer security protection， and finally further expand the actual security protection effect through transmission layer security protection and application layer security protection， Strengthen the protection level of multicast networks and create a secure environment for the execution of broadcasting and television multicast tasks.

Keywords： broadcasting and television multicast; network layering; layered protection; security protection technology; network monitoring; information recognition

廣播电视组播网络对于接入环境的要求是极高的，不仅需要运行环境稳定，还需要在处理组播源任务的过程中确保实时监测，获取相对应的网络信息，进而为后续广播电视组播网络环境的安全防护奠定基础。实际上，组播网络的安全防护是目前常用的一 种辅助性网络异常识别工具。传统的广播电视组播网络安全防护技术通常采用单向形式，参考文献[1]和文献[2]提出了传统红外成像广播电视组播网络安全防护技术和传统智慧广电“安全大脑”广播电视组播网络安全防护技术。虽然这类网络安全防护方法可以确保网络环境达到预期要求，但存在缺乏针对性和稳定性的问题。在不同的背景环境下，很难实时定位和标记异常组播源，测试结果经常会出现不可控的偏差[3]。此外，单向的广播电视组播网络防护形式整体处理效率较低，并且易受到外部环境和特定因素的影响，导致整体防护环境难以灵活调节和修正，影响后续组播网络的运行[4]。因此，本文提出了对广播电视组播网络进行分层式安全防护的技术设计和验证研究。与当前的防护结构不同的是，分层式网络安全防护技 术的覆盖范围相对更大，针对性也更强，在复杂的广 播电视组播网络中，可以第一时间对异常位置或者数据 进行实时定位处理，设计更加灵活、多变的多层级防护 结构，从多个角度进行可控识别性或者目标式防护处 理，推动广播电视组播网络技术及行业发展迈上一个新的台阶。

1   广播电视组播及安全防护概述

1.1 组播技术

组播技术是一种多维通信技术，其主要指的是在数据、信息、视频和音频等内容传输过程中，使单个发送者向多个接收者发送信息。在当前的网络环境下，可将这些接收者紧密联系在一起，形成一个紧密的网络通信单元，从而实现预设的目标任务[5]。与其他通信技术不同的是，组播技术在实际应用过程中覆盖的范围相对较大，并具有更强的针对性。通过向多个接收方传递数据和信息，可以最大程度地减少资源丢失、数据失真和流量不可控等问题，将通信流量限制在合理范围内，最终实现单一信息流的传输[6]。

组播技术主要分为地址分配、成员管理、组播内容及报文传输、路由位置标定、线路介入等[7]。先对广播电视组播网络整体结构进行设计，具体如图1所示。

根据图1，完成对广播电视组播网络整体结构设定后，可将组播地址接入组播网络之中，通过使用报文控制内容转发，并设定组播的可控区域，制定与之匹配的应对协议和限制机制[8]。

1.2 分层式安全防护技术

与初始的网络防护技术相比，分层式安全防护技术具有更广泛的覆盖范围，并增加了一些加密措施，与基础的防护程序形成一个多变的防护结构，更有利于识别和捕捉广播电视组播网络中的攻击，从而维护日常的网络环境。实际上，分层式防护技术具有全方位和整体性的特点，通常结合各个层级设定的目标和防护标准来执行任务，以反映组播网络存在的安全问题。当前，针对广播电视组播网络设计的安全防护层级可以划分为五个部分：物理层组播网络安全层、系统层组播网络安全层、网络层安全层、应用层安全层和日常安全管理层。

基于当前的测定与分析，设置各个层级的基础控制指标与参数，具体如表1所示。

根据表1，结合组播技术，在设定的各个层级之中制定安全防护目标，将预期设置的任务与目标相结合，构建多层级、多目标的安全防护控制结构。

2   智慧广电组播网络分层式防护研究

2.1 物理层安全防护

物理层安全防护是分层式防护的基础，同时也是后续防护手段及过程的主要支撑。在广播电视组播网络的运行过程中，物理层的安全防护可以划分为环境安全、设备安全和介质安全三个方面。环境安全一般指广播电视应用环境的实际情况以及与之相关的基础网络环境。具体的环境调度及控制值设置如表2所示。

根据表2，完成对物理层安全防护环境调度及控制值的设置与调整。接下来，以此为基础，进行后续物理层安全防护的叠加。设备安全是第二层安全防护，一般是针对广播电视组播网络中的可控装置与设备的防护形式，可将设备的应用覆盖区域进行标定划分，在对应的单元块范围之内，部署一定数量的监测节点，便于实时采集设备的运行数据，汇总整合之后，以待后续使用。在当前的背景环境下，一旦出现异常情况，该层级的防护程序会立即进行具体位置的识别，并在第一时间做出对应的匹配标记处理，将异常数据转换为数据包，并传输到预设的位置上，以为维护人员提供参考依据。

最后是介质安全层级，该部分是与设备层级和网络层级存在关联的其他环境的监测，可确保防护程序之间连接的紧密性，为组播网络营造稳定、安全的运行环境。

2.2 数据链路层安全防护

广播电视组播网络在运行过程中，尽管已经采取了物理层的安全防护措施，但由于外部环境和特定因素的影响，常常面临安全威胁。为确保网络稳定可靠，需要结合实际防护范围的变化与波动来设计数据链路层的安全防护。在这方面，首先需要分析数据链路层的安全威胁类型，主要包括ARP欺骗攻击、DHCP欺骗攻击、生成树协议攻击、MAC地址泛洪攻击以及VLAN攻击等。不同的攻击会对组播网络造成不同程度的破坏，从而影响链路的防护程序，并引发不可控的网络安全问题。可以使用式（1）来计算单元数据链路覆盖区域的具体范围。

（1）

式中，表示单元数据链路的覆盖区域；表示链路识别范围；表示攻击可控差值；表示防护次数，表示层级转换均值。根据当前的测定数据，完成对单元数据链路覆盖区域的计算。

本次在当前端口中接入一個BPDU防护程序，将所设定的监测节点与该防护程序进行关联，通过STP来增设根网桥、根端口和指定端口，进一步完善链路的覆盖防护范围，并计算出链路的BPDU防护的目标函数，如公式（2）所示：

（2）

式中，表示BPDU防护目标函数；表示链路识别均值；表示识别频次；表示转换比；表示总防护区域；表示链路重复防护区域；表示链路堆叠差。结合当前测定，完成对BPDU防护目标函数的计算，将其在当前的主控安全防护层级之中进行设置，与上述的物理防护层进行搭接，加强防护控制效果。

2.3 网络层安全防护

网络层安全方式是最接近于广播电视组播网络控制的防护层级，也是与其他防护层关联最紧密的一个环节。初始的网络层安全防护多为独立顶点识别性防护，该种形式的防护范围较小，对于网络端口的隐藏以及访问地址的核验不精准，导致其最终无法达到预期防护效果。因此，设定核心的防护目标，将其作为定向的引导，构建与目标搭接的网络防护层。

需要注意的是，网络安全防护层级的覆盖范围通常并不固定，所以，可利用设定的节点在网络识别范围之内建立对应的执行联系，在最大程度上降低网络波动造成的防护缺陷及差异，加强各个防护层级的处理效果，提升防护的精密性和有效性，进一步对广播电视组播网络进行防护层级的双向叠加处理。

2.4 传输层安全防护

在完成对网络层安全防护的设定后，接下来，基于广播电视组播网络的运行状态及实际情况，搭接传输层安全防护。该层级的作用不仅仅是网络的安全防护，还需要进行广播电视组播网络数据、信息的定向、多维传输。所谓定向传输一般是在防护处理与传输之前确定具体的传输内容，并明确对应的传输路线，传输的终端和尾端在组播网络中形成一个紧密的联系，并设置搭建层级，与初始的安全防护程序进行融合，实现最终任务及目标的处理；而多维传输则是将组播网络的数据先进行分类，将同类型的数据和信息协同整合、处理，转换为数据包的形式，设定在信道上按照顺序传输。

与此同时，为确保数据包在传输过程中的稳定，还可以在传输之前设定多个加密層级，相当于传输层级的定向防护措施。此次采用公钥+私钥的方式，在单元防护加密的基础之上，增加传输过程中对于数据包的防护等级，强化网络安全防护强度的同时，最大程度避免广播电视组播网络内容的失真、错乱与丢失等情况的发生，促使防护层级设定的标准和机制更加复杂化，具体化、完整化，大幅度提高传输层安全防护效果，具有重要的实践应用意义。

2.5 应用层安全防护

在当前的网络环境下，可以进行应用防护配置的设定。首先可以优化防火墙的结构，升级相应的防护目标和定向防护标准。然后，接入一个实施性的服务器，并设置好其访问位置和定向区域。接着启用接口，将动态主机配置协议（DHCP）与地址池关联起来，以形成一个循环性的应用层安全防护框架。在此基础上，可以标记出内部服务器网段的覆盖范围，并计算出重复应用防护区域，如式（3）所示：

（3）

式中，表示重复应用防护区域；表示终端识别范围；表示内网网段；和分别表示基础防护距离和实际防护距离；表示网络层识别总范围；表示可控访问区域。结合当前测定，在应用层安全防护程序之中进行重复应用防护区域的划分与标定，简化实际的防护环节，以确保最终的防护结果真实可靠。

3   结束语

综上所述，便是对广播电视组播网络分层式安全防护技术的设计与验证研究，与初始安全防护结构相比对，本文中结合分层式防护方法，针对广播电视组播网络的运行状况，设计更加灵活、多元的安全防护框架，从多个角度强化具体的防护手段以及防护接入点，第一时间进行组播源的定位与锁定，逐步完善、优化当前的防护层级，明确对应的防护目标，加强对日常安全防护误差与缺陷的控制，为后续发展奠定基础。

参考文献

[1] 周伟明，尹广奎．红外成像技术在广播电视安全播出中的应用探讨[J]．数字传媒研究，2022（12）：49-51，65.

[2] 杨木伟，肖辉，党超辉，等．基于智慧广电“安全大脑”的广播电视网络安全防护体系建设研究与应用[J]．广播电视网络，2022（6）：54-58.

[3] 何晶，田小龙．提升广播电视和网络视听关键信息基础设施安全防护能力的思考[J]．广播与电视技术，2022（9）：152-155.

[4] 张玉枝．融媒体时代确保广播电视安全播出的对策研究[J]．中国传媒科技，2022（5）：100-101，157.

[5] 张利．广播电视中网络安全防护体系的实践与探索[J]．中国有线电视，2021（12）：1228-1231.

[6] 孙友艳，王小芳．广播电视信息系统网络安全防护策略研究[J]．西部广播电视，2021（13）：235-237，240.

[7]王小华.新时期广播电视安全播出技术的运用分析[J].中国传媒科技，2021（04）：127-128.

[8]雷刘敏，刘有信息系统网络安全风险与策略探究[J].中国有线电视，2021（04）：433-435.