加固IPTV是运营商的重要业务,同时也是将通信互联网多媒体进行技术融合,能够为用户提供多种交互方式,包括电视节目在内的技术,IPTV业务范围包括电视点播,时移节目,游戏,电视直播等多种类型和功能。IPTV作为目前一种高宽带产品,具有较为独特的优势,历经多年的发展,其无论从产业形态、还是商业模式均初具雏形,并得到大规模的提升和应用价值的展现。近几年内,随着宽带价值的不断下降,对于今后运营商来说电视视频是主要的发展方向。尤其在IPTV发展方面其主要在于运营思路和模式的转变,能够打造综合性服务平台,近年来随着宽带视频包括IPTV业务增加,使用宽带网络承载IPTV用户也逐渐增加,基于国家三网融合政策的出台背景下,目前IPTV业务不断推进显得尤为重要。IPTV业务与普通宽带业务有所不同,具体表现为:对于网络视频的抖动,时延、丢包率等质量问题有较高要求,是具有较强实质性的业务范畴。近年来,随着IPTV用户的日益增多,很多用户反映视频图像不清、甚至于出现视频停顿等现象,为IPTV业务的进一步发展,提高了一定的难度系数。为了满足用户的需求并提高IPTV的承载质量,切需对IPTV承载网络进行结构优化,从而提高IPTV的承载质量。
1IPTV业务承载架构
我国很多省市的IPTV三大网络结构使用分布式结构的,共由三级架构组成即:归属媒体平台层、中央媒体平台层和边缘媒体平台层。其中,网络运营支撑、版权认证、媒资管理以及节目的实时编码与节目分发等任何由中央媒体平台层提供。针对区域范围内的EMS分发服务和用户管理,认证,是由相应的媒体平台提供的,而对于电子节目单以及不同架构之间的虚拟专网和裸光纤连接是由边缘媒体平台所提供的,采用由专网所构成的IPTV分发网络,归属媒体平台,专网交换机的连接是通过成于城域网网络中心链路连接的边远媒体平台层,专网交换机能够与城域网的骨干网汇聚层实现有效连接,进而能够实现IPTV专用分发网络,也成为我们的网络互联,IPTV与上网等其他宽带业务的城域骨干网进行连接,所有IPTV用户实现对IPTV业务的访问,可通过宽带区域接入IPTV专用网络,方可实现业务访问。
2风险总体分析
根据IPTV承载网络风险类型可将其分为组播协议,组播源安全,用户异常行为,dhcp服务,安全风险这几种类型,其中组播协议是指在各设备之间构建相邻关系存在的安全性,除此之外,由于组播协议本身存在安全性问题,无法提供有效保证用户能够随意的加入组播,当IGMPjoIn对sn终结之后,可以通过从网络路由器加入到相应的组播分发中,这种行为对于接入城域网以及核心设备都会产生不利影响,组播源存在一些风险具体,包括路由服务器设置组播源的限定,存在非法或者非法组播语言接入的风险问题,同时在二层汇聚交换机中用户能够作为组播源向外进行文件发送,这个行为对于组播源来说没有缺乏管理机制保障,一旦用户伪造IGMp进行查询报文过程中会中断网络的正常业务,同时也会面临非法安全性问题,使用户行为异常,主要在于在SR用户使用过程中,IPTV业务采用两层连接的方式而SR设备面对风险会受到传统安全环境的影响。传统IP城域网中用户与SR采用三层保护方式,2层用户端的行为将不会影响SR,同时由于IPTV业务以二层以太网接入方式,一旦出现用户行为异常,将直接影响连接的设备,最后还会对区域网业务以及网络稳定性运行产生不利影响,DHCPserver安全风险实际上也是设备所面临的不同攻击性风险,如,DHCPDOS攻击等,这些风险对于IPTV城域网来说,不同设备面临风险存在差异,其主要为:(1)城域核心层,统一核心层是由核心的设备相对应的网络中心,通常IPTV组播源的研究会出具多种核心设备之间的运行协议,可形成anycast-RP,这种风险主要来源于协议安全性以及组播频道,组播源和多个协议之间的安全性。(2)业务控制层,其地位是十分重要的,可作为IPTV业务的主要控制点,除了会受到两层汇聚网络端口协议影响之外,同时还会受到SR设备自身协议启用,dhcprelay功能IGM。协议安全性大量客户终端连接是2层网络直接连接的,因此在转发方面会面临传统二层网络的风险,包括APP软件受到黑客攻击或者广播风暴等问题,对于DHCPrelay设备来说,在实际运行过程中还会面临client尖端,出现DHCP异常行为状态下导致的安全风险。(3)接入汇聚层,IPTV业务在使用过程中还会面临非法组播源,DHCPslever,仿冒品等多种业务的不良风险。此外在处于默认设备运行状态下,当组播报文由IP层向数据连录层进行信息转发时,在数据联络层组播报文采用广播方式,所有IPTV业务和相应的组播源或者非组播源会接受到数据保存再浪费网络资源的情况下,也会使一些不具备权限的用户观看节目。
3安全加固建议
由于IPTV在业务运行中面临一些风险因子,需要采取一些措施进行风险控制,这些风险会涉及到承载网络的不同层次,因此需要部署有效的防御措施贯穿于整个网络中,并且在有效的位置配置最优化的策略,在承载IPTV之后,各承载网层面实现安全部署,具体主要体现在以下几个方面:3.1城域骨干层首先需要严格控制组播域范围,设置必要端口,启动pimjoin协议。其次,在设备全域网中进行过滤策略的部署,能够对有效地址范围合法源地址进行界定。部署pimjoin过滤策略,可有效防止网络收到非法暴动工具,提高信息的安全性。除此之外,针对MSDP进行静态指定peer,与相邻构建可靠性关系,进而能够为其配置认证方式,提高MSDP对等体和TCP连接的安全性,除此之外,还需要对CPU调整设备策略进行适当调整,能够将组播协议加入到白名单中,确保各个设备组播协议实现良好运行。
3.2业务控制层
对于组播源范围来说需要严格控制必要时,可以使用路由协议或IGMp协议进行过滤策略部署,以提高信息的安全性能,对于设备CPU防护策略来说可以进行调整,在白名单中加入组播协议,确保各设备能够实现正常通讯。其次可以在下联2层汇聚连接并进入网络端口位置进行ARP的安全部署,通常常态化策略可用于ARP防御策略,部署可允许通过ARP报文接入防止异常ARP报文攻击社会,对于一些非法报文或者存在目的性的MAC地址非空报文等请求,需要及时进行系统过滤处理,此外,正常启用SR设备应当具有一定的DHCP安全性为其配置DHCP安全特征,将一些怀疑的所有DHCP信息及时过滤。作为DHCPRELAY设备的SR设备,需设置信任端口(到达DHCPSERVER端口),当DHCPRELAY端口接收到来于其他位置的保存,包括dhep、ip等可以按照上线生成的dhepsnoopingbindingtable进行合法检查,除此之外,在下联二层可切入汇聚网端口组播子接口实现过滤器部署,能够有效限制自行加入组播组的主机范围。
3.3接入汇聚层
在汇聚层的LSW组播中可以启动IGMp,通过侦听路由器和主机发送的组播协议报文能够对端口组播报文信息进行维护。从而对组播数据报文的转发进行合理的管理和控制。使2层组播实现不仅节约网络宽带的使用,而且还能有效的提升信息安全性启动组播策略之后,针对主机可适当提高组播总数量并进行有效限制,其次可以将原有的汇聚层组播vlan禁止使用得动态学习策略功能路由器改为静态路由器,然而在这一过程中需要从非路由器端口进行未授权报文的发送,以防出现非法组播源,此外还需要配置IGMp报文抑制功能服务器,能够有效降低SR路由器的处理压力,可以在olt设备中启用IGMpProcy,利用SR路由器的查询功能,可以将OLT响应到相应用户主机中,当汇总处理之后完成离开组播组,通知相应的路由器对主机大量用户加入离开之后发送IGMP协议,使其达到一致性的效果,进而可以减轻SR路由器在压力处理以及风险预防等方面的问题,最后在端口位置进行MAC设置,当学习数量达到一定范围后,可以基于vlan对超过学习数量的报文采取丢弃措施,有效防止DHCPSERVER产生的针对性攻击。
4小结
IPTV业务作为一项三网融合下的战略业务和提高用户宽带粘合度的增值业务,未来发展将随着三网融合政策的推进迅速发展,但随着IPTV高清视频业务的逐渐推出,用户用量及规模的逐年扩大,这些因素都将推动着IPTV承载网络的不断进步,尤其现阶段IPTV机顶盒的接入方式正从以往的PPPOE方向逐步转变为IPOE网络接入方式。同时,IPTV用户的网络接入方式也由传统的铜缆网络逐步向光网络转变。而组播复制点也将会逐步向汇聚层交换机下移。因此,在实际网络部署时,应对承载网网络给予适当的安全加固处理,可以显著提升IPTV业务在运行过程中的安全性,稳定性,能够促进IPTV业务实现可持续性健康发展,并在短时间内成为运营商的重要增值业务。
参考文献
[1]程思远.IPTV承载网的关键技术研究[J].数字通信世界,2017(12).
[2]徐同乔,林义勇,赵鹏.基于PON承载的内部网络建设解决方案探讨[C]//第十二届全国信号和智能信息处理与应用学术会议.0.
《IPTV承载网网络安全》来源:《电子技术与软件工程》,作者:梁厚鸿
