iptv承载网网络安全分析与加固

体平台层提供。针对区域范围内的EMS分发

摘要本文针对IPTV承载网络的安 全风险进行分析并提出了加固网 络安全的建议，首先对IPTV业务 承载架构的概况进行了研究，其 次对IPTV承载网络的总体风险进 行了分析，最后提出了安全加固 的建议，以期能够促进IPTV业务 实现可持续性健康发展。在于运营思路和模式的转变，能够打造综合性 服务和用户管理，认证，是由相应的媒体平台

服务平台，近年来随着宽带视频包括IPTV业 务增加，使用宽带网络承载IPTV用户也逐渐

提供的，而对于电子节目单以及不同架构之间 的虚拟专网和裸光纤连接是由边缘媒体平台所

增加，基于国家三网融合的出台背景下， 提供的，釆用由专网所构成的IPTV分发网络， 归属媒体平台，专网交换机的连接是通过成于

目前IPTV业务不断推进显得尤为重要。IPTV 业务与普通宽带业务有所不同，具体表现为： 对于网络视频的抖动，时延、丢包率等质量问

城域网网络中心链路连接的边远媒体平台层， 专网交换机能够与城域网的骨干网汇聚层实现 有效连接，进而能够实现IPTV专用分发网络，

题有较高要求，是具有较强实质性的业务范

畴。近年来，随着IPTV用户的日益增多，很

【关键词】IPTV承载网网络安全加固多用户反映视频图像不清、甚至于岀现视频停

也成为我们的网络互联，IPTV与上网等其他

宽带业务的城域骨干网进行连接，所有IPTV 用户实现对IPTV业务的访问，可通过宽带区

顿等现象，为IPTV业务的进一步发展，提高 了一定的难度系数。为了满足用户的需求并提

域接入IPTV专用网络，方可实现业务访问。IPTV是运营商的重要业务，同时也是将

通信互联网多媒体进行技术融合，能够为用户 提供多种交互方式，包括电视节目在内的技术，

高IPTV的承载质量，切需对IPTV承载网络 进行结构优化，从而提高IPTV的承载质量。2风险总体分析根据IPTV承载网络风险类型可将其分为 组播协议，组播源安全，用户异常行为，dhcp

IPTV业务范围包括电视点播，时移节目，游 戏，电视直播等多种类型和功能。IPTV作为

1 IPTV业务承载架构我国很多省市的IPTV三大网络结构使用 分布式结构的，共由三级架构组成即：归属媒 体平台层、媒体平台层和边缘媒体平台层。

服务，安全风险这几种类型，其中组播协议是 指在各设备之间构建相邻关系存在的安全性，

目前一种高宽带产品，具有较为独特的优势， 历经多年的发展，其无论从产业形态、还是

除此之外，由于组播协议本身存在安全性问 题，无法提供有效保证用户能够随意的加入组 播，当IGMPjoIn对sn终结之后，可以通过商业模式均初具雏形，并得到大规模的提升和

其中，网络运营支撑、版权认证、媒资管理以

应用价值的展现。近几年内，随着宽带价值的 不断下降，对于今后运营商来说电视视频是主

及节目的实时编码与节目分发等任何由媒

«上接187页挖矿木马会侵占系统资源，蠕虫病毒会损坏系

日病毒。4总结新时代网络环境下，传统病毒库匹配方

统等。虽然各类病毒表现各异，但实际上可以 总结出一些共同点：需要在系统上执行、破坏

（3） 对本地文件、下载文件、U盘文件、

邮件附件、捆绑安装软件等病毒传播途径进行

系统关键位置、执行异常行为操作等等。同时， 对于同一类病毒的不同版本，也能够总结归纳

实时监控和检测，无需手动启动病毒扫描动作 即可高效识别和查杀木马、蠕虫、勒索、恶意

式已经不适用，需要基于主动防御模式对已知

和未知病毒进行特征识别和行为分析，对系统 进行加固防护，在病毒进入终端系统的整个过

出这一类病毒的共同行为特征。程序、垃圾广告等等。通过对病毒的来源和行为进行分析不难 （4） 对终端系统进行漏洞扫描和补丁修

复，对系统关键位置、执行动作浏览器主页等 进行实时防护，拦截和阻断高危篡改行为，对

程进行主动检测和防御，实现“杀、防、管、 控一体化”，才能真正抵御不断产生的各类病

看出，无论是已知还是未知病毒，均可以通过 主动监控其传播途径和分析其行为特征来主动

毒对用户终端系统的危害。检测和防御未知病毒。系统进程、服务、账号等进行黑白名单严格控

3病毒主动防御方式的实现结合对病毒本质的分析结果和病毒库匹

制，检查弱口令，从多个方面对终端系统进行 安全加固防护，保障系统安全运行。参考文献2019[1]互联网有组织犯罪威胁评估.欧洲刑

（5） 对终端进行访问控制和入侵拦截。

对主机进行网络协议访问控制，阻断非法访问 连接，实现主机微隔离。同时，检测和拦截外 部黑客入侵行为和本机对外攻击行为，从网络

警组织与国际刑警组织,2019.⑵2019年上半年我国互联网网络安全态

势.国家互联网应急中心,2019.配方式的优点，对病毒的主动防御方式主要实 现以下几点：（1） 使用共同特征病毒库实现同类的已 知病毒和未知病毒均能通过共同特征进行匹配 识别，极大地优化、简化病毒库结构，使病毒 库能够在终端主机上轻量、完整地存储。层降低终端安全风险。作者简介

齐峰（ 1986-）,男，河北省正定县人。研究 生工程硕士，初级职称。研究方向为网络安全。（6） 实现移动存储管控、设备管控、文 档管控、账号管控、终端准入和非法外联检测 及阻断等用户行为管控功能，使用户在终端上

（2） 结合静态/动态启发式扫描和沙盒

动态行为分析技术，分析文件代码的逻辑结构 判断是否含有恶意代码特征，并在安全隔离的

的行为可管、可控、可查，减少病毒传播可能性。作者单位1. 河北中烟工业有限责任公司 河北省石家庄市 0500002. 河北省烟草专卖局（公司）信息中心 河 北省石家庄市 050000

（7） 扫描引擎全部集中在本地杀毒客户 端，不依赖外部引擎或云端资源，在保持轻量 低耗能的前提下，在终端离线和联网时均有同

虚拟沙盒中执行代码来判断其是否有恶意行 为，从而识别和防范各类未知病毒及变种和零

样高效、优异的查杀表现。188 •电子技术与软件工程 Electronic Technology & Software EngineeringInformation Security •彳言息安全从网络路由器加入到相应的组播分发中，这种

有效的位置配置最优化的策略，在承载IPTV 静态路由器，然而在这一过程中需要从非路由

行为对于接入城域网以及核心设备都会产生不 之后，各承载网层面实现安全部署，具体主要 体现在以下几个方面：器端口进行未授权报文的发送，以防出现非 法组播源，此外还需要配置IGMp报文抑制功 能服务器，能够有效降低SR路由器的处理压

利影响，组播源存在一些风险具体，包括路由 服务器设置组播源的限定，存在非法或者非法 组播语言接入的风险问题，同时在二层汇聚交

3.1城域骨干层首先需要严格控制组播域范围，设置必

力，可以在olt设备中启用IGMpProcy,利用

换机中用户能够作为组播源向外进行文件发 送，这个行为对于组播源来说没有缺乏管理机

SR路由器的查询功能，可以将OLT响应到相

应用户主机中，当汇总处理之后完成离开组播 组，通知相应的路由器对主机大量用户加入离

要端口，启动pim join协议。其次，在设备全 域网中进行过滤策略的部署，能够对有效地址 范围合法源地址进行界定。部署pim join 11滤

制保障，一旦用户伪造IGMp进行查询报文过

程中会中断网络的正常业务，同时也会面临非 法安全性问题，使用户行为异常，主要在于在

开之后发送IGMP协议，使其达到一致性的效

策略，可有效防止网络收到非法工具，提 高信息的安全性。除此之外，针对MSDP进 行静态指定peer,与相邻构建可靠性关系，进

果，进而可以减轻SR路由器在压力处理以及 风险预防等方面的问题，最后在端口位置进行

SR用户使用过程中，IPTV业务采用两层连接 的方式而SR设备面对风险会受到传统安全环

MAC设置，当学习数量达到一定范围后，可 以基于vlan对超过学习数量的报文采取丢弃 措施，有效防止DHCP SERVER产生的针对

境的影响。传统IP城域网中用户与SR采用 三层保护方式，2层用户端的行为将不会影响

而能够为其配置认证方式，提高MSDP对等 体和TCP连接的安全性，除此之外，还需要

SR,同时由于IPTV业务以二层以太网接入方 式，一旦出现用户行为异常，将直接影响连接

对CPU调整设备策略进行适当调整，能够将 组播协议加入到白名单中，确保各个设备组播

性攻击。的设备，最后还会对区域网业务以及网络稳定 性运行产生不利影响，DHCP server安全风险 实际上也是设备所面临的不同攻击性风险，如，

协议实现良好运行。4小结IPTV业务作为一项三网融合下的战略业 务和提高用户宽带粘合度的增值业务，未来 发展将随着三网融合的推进迅速发展， 但随着IPTV高清视频业务的逐渐推出，用户

3.2业务控制层对于组播源范围来说需要严格控制必要

DHCPDOS攻击等，这些风险对于IPTV城域 网来说，不同设备面临风险存在差异，其主要 为：时，可以使用路由协议或IGMp协议进行过滤

策略部署，以提高信息的安全性能，对于设 用量及规模的逐年扩大，这些因素都将推动着

（1） 城域核心层，统一核心层是由核心

的设备相对应的网络中心，通常IPTV组播源 的研究会出具多种核心设备之间的运行协议，

备CPU防护策略来说可以进行调整，在白名 单中加入组播协议，确保各设备能够实现正

IPTV承载网络的不断进步，尤其现阶段IPTV

机顶盒的接入方式正从以往的PPPOE方向逐 步转变为IPOE网络接入方式。同时，IPTV

可形成anycast-RP,这种风险主要来源于协议 安全性以及组播频道，组播源和多个协议之间 的安全性。常通讯。其次可以在下联2层汇聚连接并进 入网络端口位置进行ARP的安全部署，通常 常态化策略可用于ARP防御策略，部署可允 许通过ARP报文接入防止异常ARP报文攻击

用户的网络接入方式也由传统的铜缆网络逐步

向光网络转变。而组播复制点也将会逐步向汇 聚层交换机下移。因此，在实际网络部署时， 应对承载网网络给予适当的安全加固处理，可

（2） 业务控制层，其地位是十分重要

的，可作为IPTV业务的主要控制点，除了会 受到两层汇聚网络端口协议影响之外，同时还 会受到SR设备自身协议启用，dhcprelay功能

社会，对于一些非法报文或者存在目的性的

MAC地址非空报文等请求，需要及时进行系

统过滤处理，此外，正常启用SR设备应当具 有一定的DHCP安全性为其配置DHCP安全

以显著提升IPTV业务在运行过程中的安全性，

稳定性，能够促进IPTV业务实现可持续性健 康发展，并在短时间内成为运营商的重要增值

IGMo协议安全性大量客户终端连接是2层网 络直接连接的，因此在转发方面会面临传统二 层网络的风险，包括APP软件受到黑客攻击 或者广播风暴等问题，对于DHCP relay设备 来说，在实际运行过程中还会面临client尖端，

特征，将一些怀疑的所有DHCP信息及时过

业务。滤。作为DHCP RELAY设备的SR设备，需 设置信任端口（到达DHCP SERVER端口）， 当DHCP RELAY端口接收到来于其他位置的

参考文献[1] 程思远.IPTV承载网的关键技术研究[J].

数字通信世界,2017（12）.出现DHCP异常行为状态下导致的安全风险。保存，包括dhep、ip等可以按照上线生成的

（3） 接入汇聚层，IPTV业务在使用过程

中还会面临非法组播源，DHCPslever,仿冒品

dhep snooping binding table 进行合法检查，除 此之外，在下联二层可切入汇聚网端口组播子 接口实现过滤器部署，能够有效自行加入 组播组的主机范围。[2] 徐同乔，林义勇，赵鹏.基于PON承载的

内部网络建设解决方案探讨[C]//第十二 届全国信号和智能信息处理与应用学术会

等多种业务的不良风险。此外在处于默认设备 运行状态下，当组播报文由IP层向数据连录 层进行信息转发时，在数据联络层组播报文采

议.0.3. 3接入汇聚层在汇聚层的LSW组播中可以启动

用广播方式，所有IPTV业务和相应的组播源

作者简介梁厚鸿（1981-），男，云南省昭通市人。硕

或者非组播源会接受到数据保存再浪费网络资 源的情况下，也会使一些不具备权限的用户观

IGMp,通过侦听路由器和主机发送的组播协

议报文能够对端口组播报文信息进行维护。从

士学位，高级信息安全等级测评师、高级信息 系统项目管理师、高级项目经理、高级软件架 构师。主要研究方向为互联网技术。看节目。3安全加固建议由于IPTV在业务运行中面临一些风险因

而对组播数据报文的转发进行合理的管理和控 制。使2层组播实现不仅节约网络宽带的使 用，而且还能有效的提升信息安全性启动组播

作者单位云南无线数字电视文化传媒股份有限公司 云

子，需要采取一些措施进行风险控制，这些风 险会涉及到承载网络的不同层次，因此需要部

策略之后，针对主机可适当提高组播总数量并

进行有效，其次可以将原有的汇聚层组播

南省昆明市650000署有效的防御措施贯穿于整个网络中，并且在

vlan禁止使用得动态学习策略功能路由器改为

Electronic Technology & Software Engineering 电子技术与软件工程• 1