通信網(wǎng)絡(luò)安全分層及關(guān)鍵技術(shù)

陳麗芳

（日照邊防檢查站，山東　日照　276826）

通信網(wǎng)絡(luò)安全分層及關(guān)鍵技術(shù)

陳麗芳

（日照邊防檢查站，山東日照276826）

網(wǎng)絡(luò)安全問題的核心，不在于技術(shù)而是在于管理和投資。目前，對于大部分網(wǎng)絡(luò)安全的技術(shù)問題都有一定的解決方案，但將其運(yùn)用于實(shí)際生活中仍存在很多問題，還需要不斷研究。在一定程度上，網(wǎng)絡(luò)安全問題的解決就需要將理論和實(shí)踐更好地結(jié)合起來。基于此，主要探討通信網(wǎng)絡(luò)安全分層及關(guān)鍵技術(shù)。

通信網(wǎng)絡(luò)；加密；互聯(lián)網(wǎng)認(rèn)證

1　通信網(wǎng)絡(luò)安全分層

1.1承載網(wǎng)和業(yè)務(wù)網(wǎng)的安全

網(wǎng)絡(luò)可靠性和生存能力是承載網(wǎng)和業(yè)務(wù)網(wǎng)安全的兩大特性。網(wǎng)絡(luò)的可靠性與生存能力需要多方面的保障來完成，主要依賴于環(huán)境安全、物理安全、節(jié)點(diǎn)安全和拓?fù)浣Y(jié)構(gòu)安全，這是系統(tǒng)最主要的安全保障。一個承載網(wǎng)和業(yè)務(wù)服務(wù)由其自身的節(jié)點(diǎn)、拓?fù)?、控制的安全來維護(hù)，如網(wǎng)絡(luò)傳遞、因特網(wǎng)、ATM網(wǎng)、幀中繼網(wǎng)、DDN網(wǎng)絡(luò)和網(wǎng)絡(luò)電話的一些網(wǎng)絡(luò)通信。

1.2網(wǎng)絡(luò)服務(wù)安全

可用性和可控性是網(wǎng)絡(luò)服務(wù)的兩個特征。網(wǎng)絡(luò)服務(wù)可用性取決于自身可用的容量、承載以及業(yè)務(wù)網(wǎng)的可靠性和售后服務(wù)。服務(wù)可控性基于安全的接入服務(wù)、服務(wù)的不確定性以及服務(wù)攻擊的防御保護(hù)等多方面保障。網(wǎng)絡(luò)服務(wù)有網(wǎng)絡(luò)提供的IVPN業(yè)務(wù)、VOIP業(yè)務(wù)和ATM專線等。

1.3信息安全的傳輸

完整性、保密性和不可抵賴性是信息傳輸安全三大特性。信息的完整性要通過報(bào)文鑒別機(jī)制的方式來實(shí)現(xiàn)。信息保密性可以依靠加密密鑰分發(fā)機(jī)制，分享密鑰進(jìn)行保障。信息不可抵賴性，可以指望支持?jǐn)?shù)字簽名的信息技術(shù)。

2　通信網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

2.1安全評估和拓?fù)浞治?/p>

2.1.1安全評估。目前硬件和相應(yīng)的軟件越來越復(fù)雜的原因是通信隨著網(wǎng)絡(luò)的發(fā)展變得更強(qiáng)大。而且由于特殊的軟件產(chǎn)品的出現(xiàn)，使安全評估變得困難。軟件的安全評估變得很難測試，網(wǎng)絡(luò)的管理安全和裝置安全則取決于網(wǎng)絡(luò)本身。因此，網(wǎng)絡(luò)安全的分析和評價已成為通信網(wǎng)絡(luò)急需解決的關(guān)鍵技術(shù)問題。

2.1.2網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)。節(jié)點(diǎn)和鏈路是網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)提高通信網(wǎng)絡(luò)系統(tǒng)的可用性、生存能力的冗余、備份手段。該網(wǎng)絡(luò)經(jīng)常使用節(jié)點(diǎn)和鏈路冗余在有效地進(jìn)行隔離故障的情況下，出現(xiàn)被中斷鏈路故障和失敗的節(jié)點(diǎn)等故障。例如，在一個環(huán)形傳輸介質(zhì)上有在50ms內(nèi)節(jié)點(diǎn)故障或鏈路中斷的問題，就需要SDH設(shè)備切換時間使其正常運(yùn)行。中斷繞過故障節(jié)點(diǎn)或鏈路中斷地，就是為了保證通信服務(wù)的可用性。在VOIP網(wǎng)絡(luò)有節(jié)點(diǎn)故障或鏈路故障，這種狀況出現(xiàn)一般是因?yàn)椴捎眠B接到雙歸屬網(wǎng)絡(luò)設(shè)備，動態(tài)路由協(xié)議在幾十秒的時間內(nèi)發(fā)生故障，卻能在幾秒鐘內(nèi)恢復(fù)。如果您需要啟用備份設(shè)備和備份網(wǎng)絡(luò)時，則說明將有一個災(zāi)害或重大事故要發(fā)生。通常網(wǎng)絡(luò)備份的價格較高，對于運(yùn)營商來說是很不劃算的，不能達(dá)到物有所值。

2.2檢測故障、保護(hù)倒換與恢復(fù)故障

2.2.1檢測故障。故障檢測是指在網(wǎng)絡(luò)中故障發(fā)生時，確保故障通過故障檢測機(jī)制能夠及時被網(wǎng)絡(luò)運(yùn)營商知曉。在設(shè)計(jì)運(yùn)營的ATM網(wǎng)絡(luò)上，操作管理和維護(hù)信元都可以迅速發(fā)送或接收鏈接的斷開通知。故障檢測機(jī)制的缺乏相對于網(wǎng)絡(luò)來說，互聯(lián)網(wǎng)和網(wǎng)絡(luò)故障檢測機(jī)制是進(jìn)一步研究的關(guān)鍵技術(shù)。

2.2.2保護(hù)倒換。從傳輸網(wǎng)絡(luò)的保護(hù)交換中有傳輸節(jié)點(diǎn)或鏈路發(fā)生故障等的網(wǎng)絡(luò)功能，流量可以由通信故障路徑可以切換到指定的預(yù)備用路徑，業(yè)務(wù)的正常運(yùn)行也不會受到影響。傳輸網(wǎng)絡(luò)已經(jīng)擁有了能夠使保護(hù)倒換在50ms內(nèi)完成的保護(hù)倒換機(jī)制［1］。保護(hù)切換機(jī)構(gòu)在網(wǎng)絡(luò)中，一般是通過一個路由協(xié)議來重新計(jì)算已完成的路徑所需要的時間，通常在10s的量級。目前，多協(xié)議標(biāo)簽交換電流保護(hù)倒換機(jī)制的快速重路和彈性分組環(huán)接近50ms。

2.2.3恢復(fù)故障?；謴?fù)故障是指鏈路和節(jié)點(diǎn)在出現(xiàn)故障時經(jīng)過一定的時間和措施后恢復(fù)機(jī)制。通常采用接口板換新、電纜重新連接、設(shè)備重新啟動、重新運(yùn)行軟件等人工干預(yù)的手動方式。

3　信息傳遞安全技術(shù)

3.1信息加密

美國的DES加密是首次加密標(biāo)準(zhǔn)，DES最初設(shè)計(jì)用于56位密鑰長度對于如今計(jì)算機(jī)的運(yùn)算能力已是小菜一碟了，隨后出現(xiàn)了增加強(qiáng)度三重DES加密算法。DES算法是對稱加密算法，加密密鑰也同是解密密鑰［2］。然而，有許多的解密算法、非對稱加密，這些算法使用不同的密鑰加密和解密。專用加密的密鑰可以被其他人獲得，然而只有解密者才能解密密鑰解鎖使用解密密鑰解密文，并提供被恢復(fù)的明文則稱為公開密鑰方法。目前有對稱加密、公開密鑰算法兩種方式。

對稱加密算法是用于加密數(shù)據(jù)的，其特點(diǎn)是能快速加密或解密，但對密文攻擊選擇不敏感。對稱加密的不足恰恰是公鑰加密所能做的，其最拿手的是密鑰分配和用戶認(rèn)證等密鑰管理的關(guān)鍵工作。在實(shí)踐中，保密通信的雙方先彼此通知并交換密鑰，則通信的雙方可采用加密的方式相互通知。

3.2鑒別和簽名信息

數(shù)據(jù)加密的目的是確保信息不被竊聽。數(shù)據(jù)有完整性、機(jī)密性、不可抵賴性三大特征，完整性可以通過報(bào)文鑒別來實(shí)現(xiàn)；不可抵賴性可以依靠數(shù)字簽名驗(yàn)證來達(dá)到；加密可以確保數(shù)據(jù)的機(jī)密性。報(bào)文鑒別證書的目的就是接收者保證報(bào)文沒有被改變過。如果報(bào)文被攻擊者改過，但不知道如何改變識別碼，接收器接收到報(bào)文與所接收的鑒別碼算出的分組鑒別碼是不同的，則會通過破壞的報(bào)文內(nèi)容來確定破壞。算法大多數(shù)用單向散列函數(shù)來產(chǎn)生認(rèn)證碼。只接受一個輸入可變長度報(bào)文是固定長度的報(bào)文的輸出是單向散列函數(shù)的一種。以便產(chǎn)生不同的輸入的報(bào)文包，以產(chǎn)生相同的標(biāo)記是非常低的概率，使得報(bào)文包的篡改的可能性變得很小很小的。MD5和SHA-1算法是這種單向散列算法中最常規(guī)的表現(xiàn)。

單向散列的輸出有報(bào)文的摘要就是一段固定長度的數(shù)據(jù)。如報(bào)文摘要的內(nèi)容可以確定，則可使用公開密鑰加密方法。其優(yōu)點(diǎn)如下：一是確定摘要的內(nèi)容加密或識別數(shù)字簽名；二是使用公開密鑰方法不要求當(dāng)事人傳送保密的方式的通信；三是公開密鑰的長度1 024位，所使用的密鑰的方法，使得加密的密文難以破解等。在此過程中，使用私有密鑰對報(bào)文的摘要加密的，則該報(bào)文必須被數(shù)字簽名。數(shù)學(xué)上可以證明，私人加密密鑰只能由他的公開密鑰解既通過公共密鑰對沒有錯誤的內(nèi)容加密，又能恢復(fù)明文，加密者并不否認(rèn)他有為此報(bào)文簽名。

3.3密鑰管理

一般加密方法和解密密鑰是統(tǒng)一的，會解決許多實(shí)際問題。例如，兩個通信密鑰的安全傳輸遠(yuǎn)將是一個非常棘手的問題。這個讓人頭疼的問題因?yàn)楣_密鑰的方法得到了解決，因?yàn)榻饷芊椒ǖ墓_密鑰被公開，不需要任何秘密的裝置發(fā)送一個公用密鑰。加密的通信接收到的分組可能很好地解決這個問題。只有私鑰所有者可以解決的。但是，公開密鑰加密算法遠(yuǎn)慢于對稱加密算法，公開密鑰就需要一種對密鑰的管理算法來對密鑰的安全性進(jìn)行管理。所以，實(shí)際應(yīng)用中，通常使用以確保通過所述共享密鑰雙方之間的通信，然后使用對稱加密方法來加密數(shù)據(jù)加密。以上是數(shù)字簽名使用提到的另一個公開密鑰的方法。因?yàn)楣裁荑€方法功能如此強(qiáng)大，對管理現(xiàn)代信息安全來說公共密鑰已成為一個重要課題。

［1］沈偉光.解密信息安全［M］.北京：新華出版社，2003.

［2］馮登國.網(wǎng)絡(luò)安全原理與技術(shù)［M］.北京：科學(xué)出版社，2003.

Security Layering and Key Technology of Communication Network

Chen Lifang
（Rizhao Frontier Inspection Station，Rizhao Shandong 276826）

Abstarct:The core of the problem of network security not lies in the technical bottleneck，but in the management and investment.At present，for most of the technology of network security solution is present，but there are still many problems in the actual life to make use of these technology，it need our constantly study.In a certain extent，the solution to the problem of network security will need to combine theory with practice.Based on this，this paper mainly discussed the network security and key technology.

communication of network；encryption；authentication of internet

TN915.08

A

1003-5168（2016）06-0065-02

2016-05-08

陳麗芳（1987-），女，本科，助理工程師，研究方向：計(jì)算機(jī)。