梁胜利

（中央广播电视塔管理中心，北京100142）

1 引言

近年来随着国家的发展，广播影视的新业务、新业态迅速增长，广播影视信息数据传输的规模也越来越大，对数据的安全性、及时性、完整性的要求也日益提高。为提高广播影视节目及数据传输的可靠性，提升广播影视节目传输覆盖系统应对突发干扰与破坏事件的能力，利用虚拟专用网技术建立一个稳定、高效、可靠的数据加密传输系统是非常关键和必要的。

2 实施背景

本方案涉及的广播影视节目信息传输覆盖网络，有机关和基层台站几十个，遍布全国各省市；采用的技术手段有光缆、微波、卫星、地面无线等方式；传输的业务有广播、电视、电影、互联网数据等。在2019年国庆系列庆祝活动的播出中，利用光缆、卫星传输网络首次实现4K 高清电视进影院，取得了传输业务的新突破。

机关和几十个台站之间需要保证指挥调度数据和业务信息数据24小时不间断传输。传输加密改造前，机关、各台站间通过电信链路或自有链路互联，建成了覆盖机关和各基层台站的专网，其中机关网络边界设备包括广域网防火墙、上网行为管理设备、广域网路由器以及传输汇聚交换机等；通过租用电信链路的台站在网络边界部署有广域网路由器、广域网防火墙，链接至台站核心交换机；使用自有链路的台站，通过广域网防火墙链接至台站核心交换机。

电信链路广域网采用OSPF 动态路由协议，发布所有台站安全播出和事业管理业务网段。台站的中心交换机与技术网防火墙、技术网交换机之间使用静态路由进行连接，为了使台站技术网部分网段能与机关调度服务器通信，在OSPF 中选择性引入去往技术网的静态路由，通过技术网防火墙对业务访问进行过滤。对于自有链路节点，不进行路由引入。

随着IT 技术发展，目前电信链路逐步由原有专用SDH 接口向通用以太接口转变，与之相应业务数据在电信链路及自有链路上的传输过程中也引入了新的风险，安全播出和事业管理业务数据在传输过程中存在被窃取、篡改等风险，亟需建立一套传输加密系统来确保数据传输安全。

3 系统设计原则

为确保安全播出和事业管理业务数据在传输过程中的安全，及时消除数据交互过程中的安全隐患，在机关与各台站之间、台站与台站之间构建加密传输系统时需兼顾以下几个原则：

（1）系统有冗余

系统采用冗余技术，具有备份恢复机制，确保业务连续。

（2）业务影响小

传输加密系统实施主要针对广域网传输链路进行加密，不能对安全播出和事业管理业务系统造成任何影响，台站不需要对台站局域网进行任何调整，保留利用现有交换机、防火墙、上网行为管理等网络和网络安全设备。

（3）性能无瓶颈

对每一个台站的业务量进行详细分析和实际测算，考虑到当前链路带宽包括4M、10M、100M 及1000M 等几种情况，要因地制宜选择设备，消除性能瓶颈。

（4）统一运维

传输加密系统涉及设备多，单纯靠人力做全网管理需要投入大量的人员且效率低下，需实现统一运维、智能运维。

4 主要技术概述

随着计算机技术和网络技术的不断发展，利用公网进行远程数据交换和处理时带来的信息安全问题越发突出，虚拟专网就是为了保证远程数据传输安全而被广泛使用的一种技术。虚拟专网的原理就是通过VPN 设备在远程站点间利用公网建立一条虚拟的专用通讯通道，传输的数据经加密后再传输，只有授权的设备才能解密，这样就可保证多个远程站点通过公网安全进行数据传输。

4.1 IPsec技术

IPsec是IETF制定的三层隧道加密协议，是一种传统的实现三层VPN （Virtual Private Network，虚拟专用网络）的安全技术，提供了基于IP的虚拟连接。IPsec通过在特定通信方之间 （例如两个安全网关之间）建立通道，来保护通信方之间传输的用户数据，同时也称该通道为IPsec隧道。

IPsec为IP层的网络数据提供了一套安全体系结构，包括安全协议AH、ESP、IKE。AH、ESP协议提供安全服务，IKE协议用于密钥交换。

IPsec隧道模式生成新的IP包头作为封装后及加密后报文的IP 头部，这样完全地对原始IP 数据报进行认证和加密，可以隐藏用户私有的IP地址。如图1所示。

图1 IPSEC隧道模式

4.2 OSPF技术

OSPF （开放式最短路径优先）是一个内部网关协议，用于在单一自治系统内决策路由，属内部网关协议。

4.3 建立IPSEC隧道的步骤

（1）确保隧道端点间网络IP地址相互可达，因为隧道是单向的；

（2）决定哪些数据流需要通过IPsec隧道传输；

（3）配置IPsec的proposal，主要配置数据流经过IPsec隧道时候使用的安全协议、加密算法、封装模式等；

（4）将proposal应用到IPsec的安全策略里面；

（5）将IPsec安全策略应用到某个具体接口。

5 实施方案

系统在机关及各台站广域网边界部署传输加密设备，对机关、台两级和台站之间通过电信链路及自有链路之间的通信数据进行加密保护及校验，消除数据交互过程中被窃取和篡改的安全隐患，确保安全播出和事业管理业务数据传输安全可靠。

5.1 网络拓扑设计

新增传输加密设备，建立IPsec Vpn传输加密链路，通过加密隧道实现各单位之间数据通信，通过OSPF cost值使传输加密链路作为主链路，同时将原有上网行为设备和应用防火墙迁移至新增传输加密链路。传输加密前网络原有线路保留，与传输加密设备形成台站广域网出口链路主备模式。传输加密前后网络拓扑如下图2所示。

图2 业务内网广域网拓扑

5.2 系统冗余设计

在设备冗余方面，机关采用2台传输加密设备（VPN 设备）做双机设计，用IRF2 虚拟化技术进行2：1 虚拟化；各台站采用2 台传输加密设备（VPN 设备）通过冷备方式实现冗余，不堆叠。

在链路冗余方面，原有链路与新构建的加密通道互为备份，以新建加密隧道为主链路。

5.3 OSPF路由规划

传输加密线路为OSPF 路由的主路径，实现数据加密。原有线路为OSPF 路由的备份路径，与传输加密链路互为备份，当传输加密链路故障时，数据通信的路由可以自动切换回原非加密链路，确保业务连续性。在设置时可通过修改原有线路设备接口下OSPF的cost值来控制OSPF路由的选择。

机关中心交换机与机关传输加密设备之间建立OSPF邻居，由机关发出的数据都通过传输加密设备进入安全加密隧道进行传输；各台站传输加密设备分别与机关传输加密设备建立OSPF 邻居，使各台站发出的数据都通过传输加密设备进入安全加密隧道进行传输。

5.4 IPsec隧道规划

以传输加密设备为边界，业务内网网络结构上可以分为数据传输加密区域和非加密区域。机关和台两级、台站之间数据交换通过加密隧道进行加密。机关和台站之间建立IPsec隧道，保证数据安全。如图3所示。

图3 IPsec隧道

机关业务数据经机关端VPN 设备加密后，传输至台站的VPN 设备进行解密，反之亦然。

台站之间数据传输均在发起台站端广域网出口VPN 设备加密后，通过机关端VPN 设备中转至接受台站端VPN 设备解密。

5.5 设备基线配置

为保证网络的安全，所有网络设备的远程管理采用SSH 方式，用户名、密码要保持复杂度且为非缺省字符串；设置Console、SSH 登录超时时间为2分30秒；关闭防火墙web管理界面访问功能；user-interface vty只配置0―4，限制最大允许5个用户同时登陆设备。

为保证设备安全，所有网络设备的远程管理均需指定IP主机登陆，杜绝非法登陆其它单位设备、窃取或者篡改配置现象的发生。

所有设备均设置为中国时区，配置NTP 协议用于时钟同步，新增设备分别与机关和台站配备的NTP的server进行时钟同步。

6 结束语

在网络应用越来越广泛的今天，信息数据的安全变得格外重要，为了防止非法势力窃取或者破坏通信信息，确保广播影视信息数据传输安全，保证广播影视信息数据在广域网传输时的机密性和完整，已是广播影视传输单位面临的一个急切问题。由于IPsec技术在网络层上实现了加密、认证、访问控制等操作，因此利用IPsec技术在网络层进行加密传输和交换，信息传输的保密性高，工程易实施，且可以适应已有的各种应用，在一定程度上满足了广播影视信息传输对安全的要求，是一个可行的解决方案。