加固IPTV是運營商的重要業務，同時也是將通信互聯網多媒體進行技術融合，能夠為用戶提供多種交互方式，包括電視節目在內的技術，IPTV業務范圍包括電視點播，時移節目，游戲，電視直播等多種類型和功能。IPTV作為目前一種高寬帶產品，具有較為獨特的優勢，歷經多年的發展，其無論從產業形態、還是商業模式均初具雛形，并得到大規模的提升和應用價值的展現。近幾年內，隨著寬帶價值的不斷下降，對于今后運營商來說電視視頻是主要的發展方向。尤其在IPTV發展方面其主要在于運營思路和模式的轉變，能夠打造綜合性服務平臺，近年來隨著寬帶視頻包括IPTV業務增加，使用寬帶網絡承載IPTV用戶也逐漸增加，基于國家三網融合政策的出臺背景下，目前IPTV業務不斷推進顯得尤為重要。IPTV業務與普通寬帶業務有所不同，具體表現為：對于網絡視頻的抖動，時延、丟包率等質量問題有較高要求，是具有較強實質性的業務范疇。近年來，隨著IPTV用戶的日益增多，很多用戶反映視頻圖像不清、甚至于出現視頻停頓等現象，為IPTV業務的進一步發展，提高了一定的難度系數。為了滿足用戶的需求并提高IPTV的承載質量，切需對IPTV承載網絡進行結構優化，從而提高IPTV的承載質量。

　　1IPTV業務承載架構

　　我國很多省市的IPTV三大網絡結構使用分布式結構的，共由三級架構組成即：歸屬媒體平臺層、中央媒體平臺層和邊緣媒體平臺層。其中，網絡運營支撐、版權認證、媒資管理以及節目的實時編碼與節目分發等任何由中央媒體平臺層提供。針對區域范圍內的EMS分發服務和用戶管理，認證，是由相應的媒體平臺提供的，而對于電子節目單以及不同架構之間的虛擬專網和裸光纖連接是由邊緣媒體平臺所提供的，采用由專網所構成的IPTV分發網絡，歸屬媒體平臺，專網交換機的連接是通過成于城域網網絡中心鏈路連接的邊遠媒體平臺層，專網交換機能夠與城域網的骨干網匯聚層實現有效連接，進而能夠實現IPTV專用分發網絡，也成為我們的網絡互聯，IPTV與上網等其他寬帶業務的城域骨干網進行連接，所有IPTV用戶實現對IPTV業務的訪問，可通過寬帶區域接入IPTV專用網絡，方可實現業務訪問。

　　2風險總體分析

　　根據IPTV承載網絡風險類型可將其分為組播協議，組播源安全，用戶異常行為，dhcp服務，安全風險這幾種類型，其中組播協議是指在各設備之間構建相鄰關系存在的安全性，除此之外，由于組播協議本身存在安全性問題，無法提供有效保證用戶能夠隨意的加入組播，當IGMPjoIn對sn終結之后，可以通過從網絡路由器加入到相應的組播分發中，這種行為對于接入城域網以及核心設備都會產生不利影響，組播源存在一些風險具體，包括路由服務器設置組播源的限定，存在非法或者非法組播語言接入的風險問題，同時在二層匯聚交換機中用戶能夠作為組播源向外進行文件發送，這個行為對于組播源來說沒有缺乏管理機制保障，一旦用戶偽造IGMp進行查詢報文過程中會中斷網絡的正常業務，同時也會面臨非法安全性問題，使用戶行為異常，主要在于在SR用戶使用過程中，IPTV業務采用兩層連接的方式而SR設備面對風險會受到傳統安全環境的影響。傳統IP城域網中用戶與SR采用三層保護方式，2層用戶端的行為將不會影響SR，同時由于IPTV業務以二層以太網接入方式，一旦出現用戶行為異常，將直接影響連接的設備，最后還會對區域網業務以及網絡穩定性運行產生不利影響，DHCPserver安全風險實際上也是設備所面臨的不同攻擊性風險，如，DHCPDOS攻擊等，這些風險對于IPTV城域網來說，不同設備面臨風險存在差異，其主要為：(1)城域核心層，統一核心層是由核心的設備相對應的網絡中心，通常IPTV組播源的研究會出具多種核心設備之間的運行協議，可形成anycast-RP，這種風險主要來源于協議安全性以及組播頻道，組播源和多個協議之間的安全性。(2)業務控制層，其地位是十分重要的，可作為IPTV業務的主要控制點，除了會受到兩層匯聚網絡端口協議影響之外，同時還會受到SR設備自身協議啟用，dhcprelay功能IGM。協議安全性大量客戶終端連接是2層網絡直接連接的，因此在轉發方面會面臨傳統二層網絡的風險，包括APP軟件受到黑客攻擊或者廣播風暴等問題，對于DHCPrelay設備來說，在實際運行過程中還會面臨client尖端，出現DHCP異常行為狀態下導致的安全風險。(3)接入匯聚層，IPTV業務在使用過程中還會面臨非法組播源，DHCPslever,仿冒品等多種業務的不良風險。此外在處于默認設備運行狀態下，當組播報文由IP層向數據連錄層進行信息轉發時，在數據聯絡層組播報文采用廣播方式，所有IPTV業務和相應的組播源或者非組播源會接受到數據保存再浪費網絡資源的情況下，也會使一些不具備權限的用戶觀看節目。

　　3安全加固建議

　　由于IPTV在業務運行中面臨一些風險因子，需要采取一些措施進行風險控制，這些風險會涉及到承載網絡的不同層次，因此需要部署有效的防御措施貫穿于整個網絡中，并且在有效的位置配置最優化的策略，在承載IPTV之后，各承載網層面實現安全部署，具體主要體現在以下幾個方面：3.1城域骨干層首先需要嚴格控制組播域范圍，設置必要端口，啟動pimjoin協議。其次，在設備全域網中進行過濾策略的部署，能夠對有效地址范圍合法源地址進行界定。部署pimjoin過濾策略，可有效防止網絡收到非法暴動工具，提高信息的安全性。除此之外，針對MSDP進行靜態指定peer，與相鄰構建可靠性關系，進而能夠為其配置認證方式，提高MSDP對等體和TCP連接的安全性，除此之外，還需要對CPU調整設備策略進行適當調整，能夠將組播協議加入到白名單中，確保各個設備組播協議實現良好運行。

　　3.2業務控制層

　　對于組播源范圍來說需要嚴格控制必要時，可以使用路由協議或IGMp協議進行過濾策略部署，以提高信息的安全性能，對于設備CPU防護策略來說可以進行調整，在白名單中加入組播協議，確保各設備能夠實現正常通訊。其次可以在下聯2層匯聚連接并進入網絡端口位置進行ARP的安全部署，通常常態化策略可用于ARP防御策略，部署可允許通過ARP報文接入防止異常ARP報文攻擊社會，對于一些非法報文或者存在目的性的MAC地址非空報文等請求，需要及時進行系統過濾處理，此外，正常啟用SR設備應當具有一定的DHCP安全性為其配置DHCP安全特征，將一些懷疑的所有DHCP信息及時過濾。作為DHCPRELAY設備的SR設備，需設置信任端口(到達DHCPSERVER端口)，當DHCPRELAY端口接收到來于其他位置的保存，包括dhep、ip等可以按照上線生成的dhepsnoopingbindingtable進行合法檢查，除此之外，在下聯二層可切入匯聚網端口組播子接口實現過濾器部署，能夠有效限制自行加入組播組的主機范圍。

　　3.3接入匯聚層

　　在匯聚層的LSW組播中可以啟動IGMp，通過偵聽路由器和主機發送的組播協議報文能夠對端口組播報文信息進行維護。從而對組播數據報文的轉發進行合理的管理和控制。使2層組播實現不僅節約網絡寬帶的使用，而且還能有效的提升信息安全性啟動組播策略之后，針對主機可適當提高組播總數量并進行有效限制，其次可以將原有的匯聚層組播vlan禁止使用得動態學習策略功能路由器改為靜態路由器，然而在這一過程中需要從非路由器端口進行未授權報文的發送，以防出現非法組播源，此外還需要配置IGMp報文抑制功能服務器，能夠有效降低SR路由器的處理壓力，可以在olt設備中啟用IGMpProcy，利用SR路由器的查詢功能，可以將OLT響應到相應用戶主機中，當匯總處理之后完成離開組播組，通知相應的路由器對主機大量用戶加入離開之后發送IGMP協議，使其達到一致性的效果，進而可以減輕SR路由器在壓力處理以及風險預防等方面的問題，最后在端口位置進行MAC設置，當學習數量達到一定范圍后，可以基于vlan對超過學習數量的報文采取丟棄措施，有效防止DHCPSERVER產生的針對性攻擊。

　　4小結

　　IPTV業務作為一項三網融合下的戰略業務和提高用戶寬帶粘合度的增值業務，未來發展將隨著三網融合政策的推進迅速發展，但隨著IPTV高清視頻業務的逐漸推出，用戶用量及規模的逐年擴大，這些因素都將推動著IPTV承載網絡的不斷進步，尤其現階段IPTV機頂盒的接入方式正從以往的PPPOE方向逐步轉變為IPOE網絡接入方式。同時，IPTV用戶的網絡接入方式也由傳統的銅纜網絡逐步向光網絡轉變。而組播復制點也將會逐步向匯聚層交換機下移。因此，在實際網絡部署時，應對承載網網絡給予適當的安全加固處理，可以顯著提升IPTV業務在運行過程中的安全性，穩定性，能夠促進IPTV業務實現可持續性健康發展，并在短時間內成為運營商的重要增值業務。

　　參考文獻

　　[1]程思遠.IPTV承載網的關鍵技術研究[J].數字通信世界,2017(12).

　　[2]徐同喬,林義勇,趙鵬.基于PON承載的內部網絡建設解決方案探討[C]//第十二屆全國信號和智能信息處理與應用學術會議.0.

　　《IPTV承載網網絡安全》來源：《電子技術與軟件工程》，作者：梁厚鴻