通信网络安全的分层及关键技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)信息的鉴别与签名 对数据加密可以保证信息不受到窃听 , 使用报 文鉴别可以保证数据完整性 , 采用数字签名可以保 证数据的不可否认性 。 报文鉴别的目的是接收方保 证这个报文没有变动过 。若攻击者修改了报文却不
— 53 —
知如何修改鉴别码 , 接收方收到报文后计算的鉴别 码与收到的鉴别码不同 , 则可以判定报文的内容受 到破坏 。
对称加密算法与公开密钥算法是不同的两种密 码体制 , 分别适于解决不同的问题 。对称密码算法 适合加密数据 , 它加密与解密速度极快并且对选择 密文攻击不敏感 。 公开密钥密码可以做对称密码所 不能做的事情 , 最擅长密钥分配和身份认证等对用 户 、密钥进行管理的工作 。
在实际应用中 , 要进行保密通信的双方 , 先用公 开密钥法交换彼此的加密密钥 , 得到这个加密密钥 后 , 通信双方用对称加密法把信息加密后进行通信 。
0 引言
要实现信息化就必须重视信息网络安全 。信息 网络安全绝不仅是 IT 行业的问题 , 而是一个社会问 题 , 是一个包括多学科的系统安全工程问题 , 并直接 关系到国家安全 。通信网络作为信息传递的一种主 要载体 , 其安全性是信息安全中关键问题之一 。保 护通信网络中的硬件 、软件及其数据不受偶然或恶 意原因而遭到破坏 、更改 、泄露 , 保障系统连续可靠 地运行 , 网络服务不中断 , 成为通信网络安全的主要 内容 。本文主要讨论通信网络安全的分层以及通信 网络安全的关键技术 。
用来生成鉴别码的算法很多 , 实际应用中大多 采用的是单向散列函数 。 单向散列函数接受可变长 报文输入 , 并产生固定长度的标签作为输出 。 由于 单向散列函数的运算过程是不可逆的 , 好的散列算 法输入不同报文生成相同标签的概率非常小 , 这使 得篡改过的报文不被发现的可能性微乎其微 。目前 最常用的单向散列算法有 MD5 和 SHA -1 。
1 通信网络安全的分层
通信网络安全是指信息在利用网络提供的服务 进行传递的过程中 , 通信 网络自身的可 靠性 、生存 性 , 网络服务的可用性 、可控性 , 信息传递过程中信
— 52 —
息的完整性 、机密性和不可否认性 。 为了实现信息在采集 、传递 、存储和应用等过程
中的完整性 、机密性 、可用性 、可控性和不可否认性 , 需要建立信息安全管理机制 , 制定信息安全策略 ;需 要制定信息安全测评标准来评估和划分安全等级 ; 需要使用安全管理 、产品和网络来保障采集 、传递 、 存储和应用时的机密性 、完整性 、可用性 、可控性以 及不可否认性 ;需要应用检测机制来获悉当前安全 状态 ;需要通过故障和灾难恢复机制来解决出现的 问题 。 通信网络安全通常包括承载网安全与业务网安 全 , 网络服务安全以及信息传递安全 。
单向散列生成 固定长度的输 出称为报文的摘
要 。报文的摘要就是要进行鉴别的内容 , 为了保证 摘要的内容不可读取 , 应将报文的内 容进行加密 。 加密时可采用公开密 钥法 。 公开 密钥法有三个优 点 :它不但可以对摘要进行加密 , 使报文可以进行鉴 别 , 同时也提供了数字签名 ;采用公开密钥法不需要 向通信各方用保密的方式传送密钥 ;公开密钥法所 采用的密钥长度可到 1024 位 , 所以加密后的密文很 难进行破解 。
网络拓扑设计是通过节点和链路的冗余与备份 手段来提高通信网络系统的可用性与生存性 。
网络出现的故障可能是链路中断 、节点失效等 。 为了在出现故障时对故障进行有效的隔离 , 常常采 用节点和链路的冗余 。例如在传输网上通常采用环 形结构 , 当出现节点失效或者链路中断时 , SDH 设备 会在 50ms 之内倒换 , 绕开失效节点或者中断的链 路 , 保障通信服务的可用性 。在 VOIP 网上 , 通常采 用网络设备双归属连接 , 出现节点失效或者链路失 效时 , 动态路由协议会重新计算路由 , 在几十秒时间 内恢复网络连通性 。
中图分类号 :TN915.08 文献标识码 :A 文章编号 :1009-2552(2007)09-0052-04
通信网络安全的分层及关键技术
罗绵辉 ,ຫໍສະໝຸດ Baidu郭 鑫
(中国联通有限公司广州分公司 , 广州 510665)
摘 要 :通信网络安全除意识形态安全外 , 主要涉及信息传递安全 、 网络服务安全及承载网和业务 网安全等层次 。通信网络安全的关键技术大致包括安全性分析评估 、 网络拓扑设计 , 以及网络故障 检测 、 保护倒换与故障恢复 , 此外 , 信息传递方面还包括加密 、 信息鉴别和签名以及密钥管理等 。 但网络安全问题的核心和瓶颈不是在于技术而是在于管理和投入 。目前解决网络安全问题的大部分 技术是存在的 , 但是如何把这些技术综合起来 , 还存在很多问题 , 需要继续进行理论上的研究和在 试验环境下进行实际测试来验证 , 才能在一定程度上解决网络的安全问题 。 关键词 :网络 ;信息 ;安全 ;认证 ;加密互联网
收稿日期 :2007 -07 -25 作者简介 :罗绵辉(1978 -), 男 , 本科 , 助理工程师 , 中国 联通广州分
公司运行维护部 VOIP 专业主管工程师 。
1.1 承载网安全与业务网安全 承载网安全与业务网安全包括网络可靠性与生
存性 。 网络可靠性与生存性依靠环境安全 、物理安 全 、节点安全 、链路安全 、拓扑安全 、系统安全等方面 来保障 。 这里的承载网与业务网是拥有自己节点 、 链路 、拓扑和控制的网络 , 例如传输网 、互联网 、ATM 网 、帧中继网 、DDN 网 、电话网 、移 动通信网等通信 网络 。 1.2 网络服务安全
Communication network security stratification and key technology
LUO Mian-hui , GUO Xin
(Guangzhou Branch of China Unicom, Guangzhou 510665 , China)
Abstract :Network security covers information security , service security and transport network security .The key technology of network security inclues security evaluation , network topology design , network failure inspect protection and failure resume and son on .Other technology such as encryption information , authentication , signature and key management etc in security of information transmission .However , The core of network security is not management and investment .Now there exist many technology which can solve the problems of network security .But there are still many problems how to integrate technology together , which will be proved through research and test .Then the problems of network security can be solved . Key words :network ;information ;security ;authentication ;encryption
2 通信网络安全的关键技术
2.1 安全性分析评估 当前通信网络功能越来越强大 , 相应的设备软
硬件越来越复杂 , 而且由于软件产品的特殊性 , 软件 产品的安全性很难定量衡量 , 网络自身的安全性依 赖设备安全性及网络管理 。 因此 , 安全性分析与评 估已成为通信网络安全急需解决的关键技术 。 2.2 网络拓扑设计
当出现灾难或者重大事故时需要启用备份设备 乃至备份网络 。 网络备份通常代价较高 , 出于性价 比考虑一般情况下运营商很难承受 。 2.3 网络故障检测 、保护倒换与故障恢复
(1)故障检测 故障检测是保障通信网络安全的重要手段 。 故 障检测是指网络出现故障时 , 网络运营者应当能通
过故障检测机制及时获悉 。 例如 , 在 ATM 网络中设 计了操作 、管理和维护信元 , 能够及时获悉发送链路 或接收链路中断的情况 。对于 IP 网络来说 , 故障检 测机制比较缺乏 , IP 网以及互联网的故障检测机制 是继续研究的关键技术 。
由于公开密钥法有如此强大的功能 , 对公开密 钥进行管理就成为现代信息安全的一个重要课题 。 2.5 互联网安全技术
(1)网络管理 网管系统包括配置管理 、故障管理 、性能管理 、安 全管理和计费管理这 5 大部分 , 是维护网络可靠性和 服务可用性可靠性的重要手段 。通过强大的网络管 理 , 可以有效地增强网络的健壮性 。传统的电信网网 管能力较强 , 基本上做到了网元层次和网络层次的管 理 。但还没有实现服务管理和商业管理 。 同时传统 电信网结构上采用外置式管理网 , 实现“以网管网” (以管理网管理运行网)的模式 。而互联网基本只能 实现网元层的管理 , 相对来说网管能力较弱 。 (2)接入控制 网络服务可控 的网络必须对 用户接入进行控
网络服务安全包括服务可用性与服务可控性 。
服务可用性与承载网和业务网可靠性及维护能力等 相关 。 服务可控性依靠服务接入安全 , 以及服务防 否认 、服务防攻击等方面来保障 。 服务可以是网络 提供的 ATM 专线 、VOIP 业务 、IVPN 业务等 。 1.3 信息传递安全
信息传递安全包括信息完整性 、机密性和不可 否认性 。信息 完整性可以依靠报 文鉴别机制来保 障 ;信息机密性可以依靠加密机制以及密钥分发等 来保障 ;信息不可否认性可以依靠数字签名等技术 保障 。
(3)密钥的管理 在传统的对称加密方法中通信双方加密解密用
一把密钥 , 如果通信双方相隔很远 , 密钥的安全传送 会成为一个很棘手的问题 。而公开密钥法的出现可 以很好地解决这个问题 , 公开密钥法解密的密钥是 公开的 , 不需要用任何保密手段进行传送 , 通信的一 方得到公开密钥对报文进行加密 , 报文只有私钥的 持有者可以解开 。但公开密钥算法加密的速度远比 不上对称加密算法 , 因此实际应用中 , 常用公开密钥 法在要进行保密通信双方间传递共享密钥 , 然后用 对称加密法进行数据的加密 。 公开密钥法另一个用 途就是上文中提到的数字签名 。
(2)保护倒换 保护倒换源自传输网 , 功能是当传输网节点或 者链路出现故障时 , 故障路径上的流量能够切换到 事先指定的备用路径上 , 从而不影响业务运行 。 传 输网络有成熟的保护倒换机制 , 能够在 50ms 内完成 保护倒换 。 IP 网上的保护倒换机制一般 通过路由 协议重新计算路径完成 , 需要较长时间 , 通常是 10s 量级 。当前多协议标记交换的快速重路由和弹性分 组环的保护倒换机制也正向 50ms 靠近 。 (3)故障恢复 故障恢复是指节点或者链路发生故障后经过一
定时间或采取一定措施后恢复提供服务 。 通常故障 恢复需要人工干预 。 例如接口板卡的更换 、电缆的 重新连接 、设备的重新启动 、软件重新运行等 。 2.4 信息传递安全技术
(1)信息加密 加密技术是信息安全的核心技术 , 信息的机密 性可以用传统的加密方式完成 。 最早的加密标准是 美国的 DES , 但 DES 最初设计的 56 位密钥长度对于 现在的运算能力来说已不难攻破 , 后来出现了三重 DES 算法加强了加密的强度 。DES 算法是对称加密 算法 , 加密密钥也同时是解密密钥 。与之相对有一 些不对称的加密与解密算法 , 这些算法中加密与解 密采用了不同的密钥 , 一个密钥专门用于加密 , 这个 密钥可以让别人得到并用它对数据进行加密 , 而只 有解密密钥持有者可以用解密密钥解开密文 , 并把 它恢复成明文 , 这个加密体系称为公开密钥法 。
— 53 —
知如何修改鉴别码 , 接收方收到报文后计算的鉴别 码与收到的鉴别码不同 , 则可以判定报文的内容受 到破坏 。
对称加密算法与公开密钥算法是不同的两种密 码体制 , 分别适于解决不同的问题 。对称密码算法 适合加密数据 , 它加密与解密速度极快并且对选择 密文攻击不敏感 。 公开密钥密码可以做对称密码所 不能做的事情 , 最擅长密钥分配和身份认证等对用 户 、密钥进行管理的工作 。
在实际应用中 , 要进行保密通信的双方 , 先用公 开密钥法交换彼此的加密密钥 , 得到这个加密密钥 后 , 通信双方用对称加密法把信息加密后进行通信 。
0 引言
要实现信息化就必须重视信息网络安全 。信息 网络安全绝不仅是 IT 行业的问题 , 而是一个社会问 题 , 是一个包括多学科的系统安全工程问题 , 并直接 关系到国家安全 。通信网络作为信息传递的一种主 要载体 , 其安全性是信息安全中关键问题之一 。保 护通信网络中的硬件 、软件及其数据不受偶然或恶 意原因而遭到破坏 、更改 、泄露 , 保障系统连续可靠 地运行 , 网络服务不中断 , 成为通信网络安全的主要 内容 。本文主要讨论通信网络安全的分层以及通信 网络安全的关键技术 。
用来生成鉴别码的算法很多 , 实际应用中大多 采用的是单向散列函数 。 单向散列函数接受可变长 报文输入 , 并产生固定长度的标签作为输出 。 由于 单向散列函数的运算过程是不可逆的 , 好的散列算 法输入不同报文生成相同标签的概率非常小 , 这使 得篡改过的报文不被发现的可能性微乎其微 。目前 最常用的单向散列算法有 MD5 和 SHA -1 。
1 通信网络安全的分层
通信网络安全是指信息在利用网络提供的服务 进行传递的过程中 , 通信 网络自身的可 靠性 、生存 性 , 网络服务的可用性 、可控性 , 信息传递过程中信
— 52 —
息的完整性 、机密性和不可否认性 。 为了实现信息在采集 、传递 、存储和应用等过程
中的完整性 、机密性 、可用性 、可控性和不可否认性 , 需要建立信息安全管理机制 , 制定信息安全策略 ;需 要制定信息安全测评标准来评估和划分安全等级 ; 需要使用安全管理 、产品和网络来保障采集 、传递 、 存储和应用时的机密性 、完整性 、可用性 、可控性以 及不可否认性 ;需要应用检测机制来获悉当前安全 状态 ;需要通过故障和灾难恢复机制来解决出现的 问题 。 通信网络安全通常包括承载网安全与业务网安 全 , 网络服务安全以及信息传递安全 。
单向散列生成 固定长度的输 出称为报文的摘
要 。报文的摘要就是要进行鉴别的内容 , 为了保证 摘要的内容不可读取 , 应将报文的内 容进行加密 。 加密时可采用公开密 钥法 。 公开 密钥法有三个优 点 :它不但可以对摘要进行加密 , 使报文可以进行鉴 别 , 同时也提供了数字签名 ;采用公开密钥法不需要 向通信各方用保密的方式传送密钥 ;公开密钥法所 采用的密钥长度可到 1024 位 , 所以加密后的密文很 难进行破解 。
网络拓扑设计是通过节点和链路的冗余与备份 手段来提高通信网络系统的可用性与生存性 。
网络出现的故障可能是链路中断 、节点失效等 。 为了在出现故障时对故障进行有效的隔离 , 常常采 用节点和链路的冗余 。例如在传输网上通常采用环 形结构 , 当出现节点失效或者链路中断时 , SDH 设备 会在 50ms 之内倒换 , 绕开失效节点或者中断的链 路 , 保障通信服务的可用性 。在 VOIP 网上 , 通常采 用网络设备双归属连接 , 出现节点失效或者链路失 效时 , 动态路由协议会重新计算路由 , 在几十秒时间 内恢复网络连通性 。
中图分类号 :TN915.08 文献标识码 :A 文章编号 :1009-2552(2007)09-0052-04
通信网络安全的分层及关键技术
罗绵辉 ,ຫໍສະໝຸດ Baidu郭 鑫
(中国联通有限公司广州分公司 , 广州 510665)
摘 要 :通信网络安全除意识形态安全外 , 主要涉及信息传递安全 、 网络服务安全及承载网和业务 网安全等层次 。通信网络安全的关键技术大致包括安全性分析评估 、 网络拓扑设计 , 以及网络故障 检测 、 保护倒换与故障恢复 , 此外 , 信息传递方面还包括加密 、 信息鉴别和签名以及密钥管理等 。 但网络安全问题的核心和瓶颈不是在于技术而是在于管理和投入 。目前解决网络安全问题的大部分 技术是存在的 , 但是如何把这些技术综合起来 , 还存在很多问题 , 需要继续进行理论上的研究和在 试验环境下进行实际测试来验证 , 才能在一定程度上解决网络的安全问题 。 关键词 :网络 ;信息 ;安全 ;认证 ;加密互联网
收稿日期 :2007 -07 -25 作者简介 :罗绵辉(1978 -), 男 , 本科 , 助理工程师 , 中国 联通广州分
公司运行维护部 VOIP 专业主管工程师 。
1.1 承载网安全与业务网安全 承载网安全与业务网安全包括网络可靠性与生
存性 。 网络可靠性与生存性依靠环境安全 、物理安 全 、节点安全 、链路安全 、拓扑安全 、系统安全等方面 来保障 。 这里的承载网与业务网是拥有自己节点 、 链路 、拓扑和控制的网络 , 例如传输网 、互联网 、ATM 网 、帧中继网 、DDN 网 、电话网 、移 动通信网等通信 网络 。 1.2 网络服务安全
Communication network security stratification and key technology
LUO Mian-hui , GUO Xin
(Guangzhou Branch of China Unicom, Guangzhou 510665 , China)
Abstract :Network security covers information security , service security and transport network security .The key technology of network security inclues security evaluation , network topology design , network failure inspect protection and failure resume and son on .Other technology such as encryption information , authentication , signature and key management etc in security of information transmission .However , The core of network security is not management and investment .Now there exist many technology which can solve the problems of network security .But there are still many problems how to integrate technology together , which will be proved through research and test .Then the problems of network security can be solved . Key words :network ;information ;security ;authentication ;encryption
2 通信网络安全的关键技术
2.1 安全性分析评估 当前通信网络功能越来越强大 , 相应的设备软
硬件越来越复杂 , 而且由于软件产品的特殊性 , 软件 产品的安全性很难定量衡量 , 网络自身的安全性依 赖设备安全性及网络管理 。 因此 , 安全性分析与评 估已成为通信网络安全急需解决的关键技术 。 2.2 网络拓扑设计
当出现灾难或者重大事故时需要启用备份设备 乃至备份网络 。 网络备份通常代价较高 , 出于性价 比考虑一般情况下运营商很难承受 。 2.3 网络故障检测 、保护倒换与故障恢复
(1)故障检测 故障检测是保障通信网络安全的重要手段 。 故 障检测是指网络出现故障时 , 网络运营者应当能通
过故障检测机制及时获悉 。 例如 , 在 ATM 网络中设 计了操作 、管理和维护信元 , 能够及时获悉发送链路 或接收链路中断的情况 。对于 IP 网络来说 , 故障检 测机制比较缺乏 , IP 网以及互联网的故障检测机制 是继续研究的关键技术 。
由于公开密钥法有如此强大的功能 , 对公开密 钥进行管理就成为现代信息安全的一个重要课题 。 2.5 互联网安全技术
(1)网络管理 网管系统包括配置管理 、故障管理 、性能管理 、安 全管理和计费管理这 5 大部分 , 是维护网络可靠性和 服务可用性可靠性的重要手段 。通过强大的网络管 理 , 可以有效地增强网络的健壮性 。传统的电信网网 管能力较强 , 基本上做到了网元层次和网络层次的管 理 。但还没有实现服务管理和商业管理 。 同时传统 电信网结构上采用外置式管理网 , 实现“以网管网” (以管理网管理运行网)的模式 。而互联网基本只能 实现网元层的管理 , 相对来说网管能力较弱 。 (2)接入控制 网络服务可控 的网络必须对 用户接入进行控
网络服务安全包括服务可用性与服务可控性 。
服务可用性与承载网和业务网可靠性及维护能力等 相关 。 服务可控性依靠服务接入安全 , 以及服务防 否认 、服务防攻击等方面来保障 。 服务可以是网络 提供的 ATM 专线 、VOIP 业务 、IVPN 业务等 。 1.3 信息传递安全
信息传递安全包括信息完整性 、机密性和不可 否认性 。信息 完整性可以依靠报 文鉴别机制来保 障 ;信息机密性可以依靠加密机制以及密钥分发等 来保障 ;信息不可否认性可以依靠数字签名等技术 保障 。
(3)密钥的管理 在传统的对称加密方法中通信双方加密解密用
一把密钥 , 如果通信双方相隔很远 , 密钥的安全传送 会成为一个很棘手的问题 。而公开密钥法的出现可 以很好地解决这个问题 , 公开密钥法解密的密钥是 公开的 , 不需要用任何保密手段进行传送 , 通信的一 方得到公开密钥对报文进行加密 , 报文只有私钥的 持有者可以解开 。但公开密钥算法加密的速度远比 不上对称加密算法 , 因此实际应用中 , 常用公开密钥 法在要进行保密通信双方间传递共享密钥 , 然后用 对称加密法进行数据的加密 。 公开密钥法另一个用 途就是上文中提到的数字签名 。
(2)保护倒换 保护倒换源自传输网 , 功能是当传输网节点或 者链路出现故障时 , 故障路径上的流量能够切换到 事先指定的备用路径上 , 从而不影响业务运行 。 传 输网络有成熟的保护倒换机制 , 能够在 50ms 内完成 保护倒换 。 IP 网上的保护倒换机制一般 通过路由 协议重新计算路径完成 , 需要较长时间 , 通常是 10s 量级 。当前多协议标记交换的快速重路由和弹性分 组环的保护倒换机制也正向 50ms 靠近 。 (3)故障恢复 故障恢复是指节点或者链路发生故障后经过一
定时间或采取一定措施后恢复提供服务 。 通常故障 恢复需要人工干预 。 例如接口板卡的更换 、电缆的 重新连接 、设备的重新启动 、软件重新运行等 。 2.4 信息传递安全技术
(1)信息加密 加密技术是信息安全的核心技术 , 信息的机密 性可以用传统的加密方式完成 。 最早的加密标准是 美国的 DES , 但 DES 最初设计的 56 位密钥长度对于 现在的运算能力来说已不难攻破 , 后来出现了三重 DES 算法加强了加密的强度 。DES 算法是对称加密 算法 , 加密密钥也同时是解密密钥 。与之相对有一 些不对称的加密与解密算法 , 这些算法中加密与解 密采用了不同的密钥 , 一个密钥专门用于加密 , 这个 密钥可以让别人得到并用它对数据进行加密 , 而只 有解密密钥持有者可以用解密密钥解开密文 , 并把 它恢复成明文 , 这个加密体系称为公开密钥法 。