梁勝利

（中央廣播電視塔管理中心，北京100142）

1 引言

近年來(lái)隨著國(guó)家的發(fā)展，廣播影視的新業(yè)務(wù)、新業(yè)態(tài)迅速增長(zhǎng)，廣播影視信息數(shù)據(jù)傳輸?shù)囊?guī)模也越來(lái)越大，對(duì)數(shù)據(jù)的安全性、及時(shí)性、完整性的要求也日益提高。為提高廣播影視節(jié)目及數(shù)據(jù)傳輸?shù)目煽啃?，提升廣播影視節(jié)目傳輸覆蓋系統(tǒng)應(yīng)對(duì)突發(fā)干擾與破壞事件的能力，利用虛擬專用網(wǎng)技術(shù)建立一個(gè)穩(wěn)定、高效、可靠的數(shù)據(jù)加密傳輸系統(tǒng)是非常關(guān)鍵和必要的。

2 實(shí)施背景

本方案涉及的廣播影視節(jié)目信息傳輸覆蓋網(wǎng)絡(luò)，有機(jī)關(guān)和基層臺(tái)站幾十個(gè)，遍布全國(guó)各省市；采用的技術(shù)手段有光纜、微波、衛(wèi)星、地面無(wú)線等方式；傳輸?shù)臉I(yè)務(wù)有廣播、電視、電影、互聯(lián)網(wǎng)數(shù)據(jù)等。在2019年國(guó)慶系列慶?；顒?dòng)的播出中，利用光纜、衛(wèi)星傳輸網(wǎng)絡(luò)首次實(shí)現(xiàn)4K 高清電視進(jìn)影院，取得了傳輸業(yè)務(wù)的新突破。

機(jī)關(guān)和幾十個(gè)臺(tái)站之間需要保證指揮調(diào)度數(shù)據(jù)和業(yè)務(wù)信息數(shù)據(jù)24小時(shí)不間斷傳輸。傳輸加密改造前，機(jī)關(guān)、各臺(tái)站間通過(guò)電信鏈路或自有鏈路互聯(lián)，建成了覆蓋機(jī)關(guān)和各基層臺(tái)站的專網(wǎng)，其中機(jī)關(guān)網(wǎng)絡(luò)邊界設(shè)備包括廣域網(wǎng)防火墻、上網(wǎng)行為管理設(shè)備、廣域網(wǎng)路由器以及傳輸匯聚交換機(jī)等；通過(guò)租用電信鏈路的臺(tái)站在網(wǎng)絡(luò)邊界部署有廣域網(wǎng)路由器、廣域網(wǎng)防火墻，鏈接至臺(tái)站核心交換機(jī)；使用自有鏈路的臺(tái)站，通過(guò)廣域網(wǎng)防火墻鏈接至臺(tái)站核心交換機(jī)。

電信鏈路廣域網(wǎng)采用OSPF 動(dòng)態(tài)路由協(xié)議，發(fā)布所有臺(tái)站安全播出和事業(yè)管理業(yè)務(wù)網(wǎng)段。臺(tái)站的中心交換機(jī)與技術(shù)網(wǎng)防火墻、技術(shù)網(wǎng)交換機(jī)之間使用靜態(tài)路由進(jìn)行連接，為了使臺(tái)站技術(shù)網(wǎng)部分網(wǎng)段能與機(jī)關(guān)調(diào)度服務(wù)器通信，在OSPF 中選擇性引入去往技術(shù)網(wǎng)的靜態(tài)路由，通過(guò)技術(shù)網(wǎng)防火墻對(duì)業(yè)務(wù)訪問(wèn)進(jìn)行過(guò)濾。對(duì)于自有鏈路節(jié)點(diǎn)，不進(jìn)行路由引入。

隨著IT 技術(shù)發(fā)展，目前電信鏈路逐步由原有專用SDH 接口向通用以太接口轉(zhuǎn)變，與之相應(yīng)業(yè)務(wù)數(shù)據(jù)在電信鏈路及自有鏈路上的傳輸過(guò)程中也引入了新的風(fēng)險(xiǎn)，安全播出和事業(yè)管理業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中存在被竊取、篡改等風(fēng)險(xiǎn)，亟需建立一套傳輸加密系統(tǒng)來(lái)確保數(shù)據(jù)傳輸安全。

3 系統(tǒng)設(shè)計(jì)原則

為確保安全播出和事業(yè)管理業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的安全，及時(shí)消除數(shù)據(jù)交互過(guò)程中的安全隱患，在機(jī)關(guān)與各臺(tái)站之間、臺(tái)站與臺(tái)站之間構(gòu)建加密傳輸系統(tǒng)時(shí)需兼顧以下幾個(gè)原則：

（1）系統(tǒng)有冗余

系統(tǒng)采用冗余技術(shù)，具有備份恢復(fù)機(jī)制，確保業(yè)務(wù)連續(xù)。

（2）業(yè)務(wù)影響小

傳輸加密系統(tǒng)實(shí)施主要針對(duì)廣域網(wǎng)傳輸鏈路進(jìn)行加密，不能對(duì)安全播出和事業(yè)管理業(yè)務(wù)系統(tǒng)造成任何影響，臺(tái)站不需要對(duì)臺(tái)站局域網(wǎng)進(jìn)行任何調(diào)整，保留利用現(xiàn)有交換機(jī)、防火墻、上網(wǎng)行為管理等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備。

（3）性能無(wú)瓶頸

對(duì)每一個(gè)臺(tái)站的業(yè)務(wù)量進(jìn)行詳細(xì)分析和實(shí)際測(cè)算，考慮到當(dāng)前鏈路帶寬包括4M、10M、100M 及1000M 等幾種情況，要因地制宜選擇設(shè)備，消除性能瓶頸。

（4）統(tǒng)一運(yùn)維

傳輸加密系統(tǒng)涉及設(shè)備多，單純靠人力做全網(wǎng)管理需要投入大量的人員且效率低下，需實(shí)現(xiàn)統(tǒng)一運(yùn)維、智能運(yùn)維。

4 主要技術(shù)概述

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，利用公網(wǎng)進(jìn)行遠(yuǎn)程數(shù)據(jù)交換和處理時(shí)帶來(lái)的信息安全問(wèn)題越發(fā)突出，虛擬專網(wǎng)就是為了保證遠(yuǎn)程數(shù)據(jù)傳輸安全而被廣泛使用的一種技術(shù)。虛擬專網(wǎng)的原理就是通過(guò)VPN 設(shè)備在遠(yuǎn)程站點(diǎn)間利用公網(wǎng)建立一條虛擬的專用通訊通道，傳輸?shù)臄?shù)據(jù)經(jīng)加密后再傳輸，只有授權(quán)的設(shè)備才能解密，這樣就可保證多個(gè)遠(yuǎn)程站點(diǎn)通過(guò)公網(wǎng)安全進(jìn)行數(shù)據(jù)傳輸。

4.1 IPsec技術(shù)

IPsec是IETF制定的三層隧道加密協(xié)議，是一種傳統(tǒng)的實(shí)現(xiàn)三層VPN （Virtual Private Network，虛擬專用網(wǎng)絡(luò)）的安全技術(shù)，提供了基于IP的虛擬連接。IPsec通過(guò)在特定通信方之間 （例如兩個(gè)安全網(wǎng)關(guān)之間）建立通道，來(lái)保護(hù)通信方之間傳輸?shù)挠脩魯?shù)據(jù)，同時(shí)也稱該通道為IPsec隧道。

IPsec為IP層的網(wǎng)絡(luò)數(shù)據(jù)提供了一套安全體系結(jié)構(gòu)，包括安全協(xié)議AH、ESP、IKE。AH、ESP協(xié)議提供安全服務(wù)，IKE協(xié)議用于密鑰交換。

IPsec隧道模式生成新的IP包頭作為封裝后及加密后報(bào)文的IP 頭部，這樣完全地對(duì)原始IP 數(shù)據(jù)報(bào)進(jìn)行認(rèn)證和加密，可以隱藏用戶私有的IP地址。如圖1所示。

圖1 IPSEC隧道模式

4.2 OSPF技術(shù)

OSPF （開(kāi)放式最短路徑優(yōu)先）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由，屬內(nèi)部網(wǎng)關(guān)協(xié)議。

4.3 建立IPSEC隧道的步驟

（1）確保隧道端點(diǎn)間網(wǎng)絡(luò)IP地址相互可達(dá)，因?yàn)樗淼朗菃蜗虻模?/p>

（2）決定哪些數(shù)據(jù)流需要通過(guò)IPsec隧道傳輸；

（3）配置IPsec的proposal，主要配置數(shù)據(jù)流經(jīng)過(guò)IPsec隧道時(shí)候使用的安全協(xié)議、加密算法、封裝模式等；

（4）將proposal應(yīng)用到IPsec的安全策略里面；

（5）將IPsec安全策略應(yīng)用到某個(gè)具體接口。

5 實(shí)施方案

系統(tǒng)在機(jī)關(guān)及各臺(tái)站廣域網(wǎng)邊界部署傳輸加密設(shè)備，對(duì)機(jī)關(guān)、臺(tái)兩級(jí)和臺(tái)站之間通過(guò)電信鏈路及自有鏈路之間的通信數(shù)據(jù)進(jìn)行加密保護(hù)及校驗(yàn)，消除數(shù)據(jù)交互過(guò)程中被竊取和篡改的安全隱患，確保安全播出和事業(yè)管理業(yè)務(wù)數(shù)據(jù)傳輸安全可靠。

5.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

新增傳輸加密設(shè)備，建立IPsec Vpn傳輸加密鏈路，通過(guò)加密隧道實(shí)現(xiàn)各單位之間數(shù)據(jù)通信，通過(guò)OSPF cost值使傳輸加密鏈路作為主鏈路，同時(shí)將原有上網(wǎng)行為設(shè)備和應(yīng)用防火墻遷移至新增傳輸加密鏈路。傳輸加密前網(wǎng)絡(luò)原有線路保留，與傳輸加密設(shè)備形成臺(tái)站廣域網(wǎng)出口鏈路主備模式。傳輸加密前后網(wǎng)絡(luò)拓?fù)淙缦聢D2所示。

圖2 業(yè)務(wù)內(nèi)網(wǎng)廣域網(wǎng)拓?fù)?/p>

5.2 系統(tǒng)冗余設(shè)計(jì)

在設(shè)備冗余方面，機(jī)關(guān)采用2臺(tái)傳輸加密設(shè)備（VPN 設(shè)備）做雙機(jī)設(shè)計(jì)，用IRF2 虛擬化技術(shù)進(jìn)行2：1 虛擬化；各臺(tái)站采用2 臺(tái)傳輸加密設(shè)備（VPN 設(shè)備）通過(guò)冷備方式實(shí)現(xiàn)冗余，不堆疊。

在鏈路冗余方面，原有鏈路與新構(gòu)建的加密通道互為備份，以新建加密隧道為主鏈路。

5.3 OSPF路由規(guī)劃

傳輸加密線路為OSPF 路由的主路徑，實(shí)現(xiàn)數(shù)據(jù)加密。原有線路為OSPF 路由的備份路徑，與傳輸加密鏈路互為備份，當(dāng)傳輸加密鏈路故障時(shí)，數(shù)據(jù)通信的路由可以自動(dòng)切換回原非加密鏈路，確保業(yè)務(wù)連續(xù)性。在設(shè)置時(shí)可通過(guò)修改原有線路設(shè)備接口下OSPF的cost值來(lái)控制OSPF路由的選擇。

機(jī)關(guān)中心交換機(jī)與機(jī)關(guān)傳輸加密設(shè)備之間建立OSPF鄰居，由機(jī)關(guān)發(fā)出的數(shù)據(jù)都通過(guò)傳輸加密設(shè)備進(jìn)入安全加密隧道進(jìn)行傳輸；各臺(tái)站傳輸加密設(shè)備分別與機(jī)關(guān)傳輸加密設(shè)備建立OSPF 鄰居，使各臺(tái)站發(fā)出的數(shù)據(jù)都通過(guò)傳輸加密設(shè)備進(jìn)入安全加密隧道進(jìn)行傳輸。

5.4 IPsec隧道規(guī)劃

以傳輸加密設(shè)備為邊界，業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)上可以分為數(shù)據(jù)傳輸加密區(qū)域和非加密區(qū)域。機(jī)關(guān)和臺(tái)兩級(jí)、臺(tái)站之間數(shù)據(jù)交換通過(guò)加密隧道進(jìn)行加密。機(jī)關(guān)和臺(tái)站之間建立IPsec隧道，保證數(shù)據(jù)安全。如圖3所示。

圖3 IPsec隧道

機(jī)關(guān)業(yè)務(wù)數(shù)據(jù)經(jīng)機(jī)關(guān)端VPN 設(shè)備加密后，傳輸至臺(tái)站的VPN 設(shè)備進(jìn)行解密，反之亦然。

臺(tái)站之間數(shù)據(jù)傳輸均在發(fā)起臺(tái)站端廣域網(wǎng)出口VPN 設(shè)備加密后，通過(guò)機(jī)關(guān)端VPN 設(shè)備中轉(zhuǎn)至接受臺(tái)站端VPN 設(shè)備解密。

5.5 設(shè)備基線配置

為保證網(wǎng)絡(luò)的安全，所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理采用SSH 方式，用戶名、密碼要保持復(fù)雜度且為非缺省字符串；設(shè)置Console、SSH 登錄超時(shí)時(shí)間為2分30秒；關(guān)閉防火墻web管理界面訪問(wèn)功能；user-interface vty只配置0―4，限制最大允許5個(gè)用戶同時(shí)登陸設(shè)備。

為保證設(shè)備安全，所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理均需指定IP主機(jī)登陸，杜絕非法登陸其它單位設(shè)備、竊取或者篡改配置現(xiàn)象的發(fā)生。

所有設(shè)備均設(shè)置為中國(guó)時(shí)區(qū)，配置NTP 協(xié)議用于時(shí)鐘同步，新增設(shè)備分別與機(jī)關(guān)和臺(tái)站配備的NTP的server進(jìn)行時(shí)鐘同步。

6 結(jié)束語(yǔ)

在網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛的今天，信息數(shù)據(jù)的安全變得格外重要，為了防止非法勢(shì)力竊取或者破壞通信信息，確保廣播影視信息數(shù)據(jù)傳輸安全，保證廣播影視信息數(shù)據(jù)在廣域網(wǎng)傳輸時(shí)的機(jī)密性和完整，已是廣播影視傳輸單位面臨的一個(gè)急切問(wèn)題。由于IPsec技術(shù)在網(wǎng)絡(luò)層上實(shí)現(xiàn)了加密、認(rèn)證、訪問(wèn)控制等操作，因此利用IPsec技術(shù)在網(wǎng)絡(luò)層進(jìn)行加密傳輸和交換，信息傳輸?shù)谋Ｃ苄愿?，工程易?shí)施，且可以適應(yīng)已有的各種應(yīng)用，在一定程度上滿足了廣播影視信息傳輸對(duì)安全的要求，是一個(gè)可行的解決方案。