電信管理網絡安全技術研究與設計

侯 艷

電信管理網絡安全技術研究與設計

侯 艷

（泰州職業技術學院,江蘇泰州,225300）

電信管理網絡是我國基礎信息建設的主體內容之一，其安全性一直備受矚目。本文以電信管理網絡安全基礎為切入點，對目前我國電信管理網絡安全技術進行綜合性的討論，譬如：基本安全機制、安全支撐機制，同時分析了現有的電信管理網絡體系結構，提出了電信管理網絡安全軟件技術和TMN多安全域安全體系結構設計，以提高電信管理網絡外部結構的安全性。

電信；管理；網絡安全；技術；設計

0 引言

隨著市場經濟的不斷深入，傳統電信行業面臨著來自多個方面的競爭和考驗，而電信網絡的可靠性是電信發展過程中尤為重要的環節。不法分子利用偽裝、竊聽、篡改、抵賴、刪除報文、網絡洪泛等手段獲取非法利益，這使得電信企業和電信用戶蒙受者巨大的損失。因此，電信管理網絡的運行安全性變得尤為重要。電信管理網絡安全就是要保證信息處理和傳輸的保密性、完整性和可靠性。一個健全的電信管理網絡安全系統要求具有認證、訪問控制、抗抵賴性、機密性和完整性等，可以降低電信業務中因為網絡漏洞而造成的損失和影響。

1 電信管理網絡安全基礎

1.1 基本安全機制

電信管理網絡基本安全機制是融合了諸多算法和協議的安全服務體系，通過復雜的計算程序提高電信管理網絡破解難度，基本安全機制主要包括：哈希（Hash）算法、加密體制、數字簽名、證書、訪問控制、Diffie-Hellman密鑰交換和認證協議等。

1.2 安全支撐機制

支撐機制是一種網絡安全機制，能夠與基本安全機制關聯形成電信管理網絡安全基礎。電信管理網絡安全中的支撐機制主要包括：安全預警、安全審計日志、密鑰分發和GSS-API標準編程接口。

2 電信管理網絡體系結構

圖2 .1 電信管理網絡物力體系結構簡例

2.1 電信管理網絡功能體系

電信管理網絡功能體系能夠將復雜的電信管理網絡通過各個功能塊組合在一起實現對電信網絡的管理。在電信管理網絡功能模塊中包括：操作系統功能塊、中介功能塊、適配器功能塊、網絡單元功能塊和工作站功能塊。在各個功能塊發生信息交換的位置建立參考點，在功能塊與外界聯系的位置也建立參考點。

2.2 電信管理網絡物理體系

電信管理網絡的物力體系結構是為了實現電信管理網絡功能而配置的物力結構。如圖2.1所示：

2.3 電信管理網絡信息體系結構

電信管理網絡信息體系包括管理信息模型和管理信息交換。管理信息模型是實現電信管理網絡的各種管理操作，譬如：信息的存儲和提取。管理信息交換利用接口規范或者協議進行數據通信和信息傳遞。

3 電信管理網絡安全軟件技術

電信管理網絡安全軟件技術包括：基于OSI的電信管理網絡安全、基于公用對象請求代管者體系結構（CORBA）的電信管理網絡安全、基于SNMP的電信管理網絡安全。

其中基于OSI的電信管理網絡安全是控制服務元素（ACSE）、公共管理信息服務元素（CMISE）、安全轉換服務元素（STASEROSE）的安全，并采用安全協商和對等實體認證等方式取保應用的安全。

基于公用對象請求代管者體系結構（CORBA）的電信管理網絡安全是以傳輸層SSL3和應用層抗抵賴性模塊共同支持的基于TCP/IP安全服務。再由TeNoRIOP安全，是作為CORBA的一個補充，其對抗抵賴性模塊的安全服務更加具有獨立的安全機制。

基于SNMP的電信管理網絡安全采用SNMPv1通過IPsec進行保護的，其能夠為幾個實體共享電信管理玩過的一個公共安全網關提供保護方案；SNMPv2安全網關方案與SNMPv1相似，SNMPv2提供的安全機制包括：認證加密、訪問控制等。SNMPv2所賦予給通信實體的是一個唯一的標識；SNMPv3也是采用IPsec進行保護，其包括：基于用戶安全模型和基于視圖訪問控制模型兩大安全組件。

4 TMN多安全域安全體系結構設計

4.1 總體結構

由于電信管理網絡的管理活動時采用X接口實現交互的，因此，確保X接口上的管理活動安全性就成為電信管理網絡安全服務中尤為重要的環節。在TMN多安全域安全體系結構設計中首先要確認的是安全體系結構中的組件，其中包括：CMISE、ACSE等ASE接口管理的應用集成安全組件，其結構組件示意圖如圖4.1所示：

4.2 安全體系結構組建

4.2.1 安全上下文

安全上下文包括特定的加密技術、針對交換數據的語法和語義，能夠為對等實體雙方提供相應的安全機制。在建立聯系時安全上下文的協商可以運用ACSE中的Authentication字段傳輸GSS-API生成token來完成。

4.2.2 對等實體認證

在建立聯系期間發起實體向安全支撐組件發送請求，請求一個認證標記，可由ACSE中的Authentication字段傳輸，接收實體必須要在ACSE響應中返回一個認證標記，由此才能建立安全上下文。

4.2.3 訪問控制

訪問控制可以分為：全局訪問控制、針對聯系的訪問控制、針對管理操作的訪問控制和針對通告的訪問控制。全局訪問控制體可以分為發起安全域和目標安全域。發起實體安全域是針對發起的聯系請求、管理操作請求和通告進行控制；目標實體安全域是針對進入的聯系請求、管理操作請求和通告進行控制。

4.2.4 機密性與完整性

保證數據的機密性與完整性需要調用GSS-API完成安全轉換，參數通過編碼將ASN.1編碼之串接到服務體系中生成ICV，并同時進行了加密，進行訪問控制。

4.2.5 抗抵賴性

抗抵賴性是指對發起實體和目標實體之間可能發生爭議的部分生成有效證據，作為爭執解決參考。抗抵賴性服務可以由抗抵賴性證據信息生成、證據記錄、證據驗證、證據檢索、檢索證據重驗證幾部分構成。抗抵賴性應用在發起實體是指來源抗抵賴，應用在目標實體是指接收抗抵賴。抗抵賴性有強弱之分，強抗抵賴性需要使用非對稱密鑰或者引入數字簽名，弱抵賴性則只利用認證、操作日志進行爭執的評判。

4.2.6 密鑰管理

TMN多安全域安全體系結構中的所有認證服務都需要使用公鑰技術，因此，可以憑借第三方公鑰管理方案來完成密鑰管理。第三方公鑰管理方案要具有跨安全域可信交換性，譬如采用公鑰

圖4 .1 安全體系結構組件示意圖

基礎設施PKI進行高程度的自動化密鑰管理。

4.2.7 其他因素分析

安全轉換服務元素（STASE-ROSE）能夠對整個ROSE PDU進行加密和簽名，在協議棧中利用安全轉換服務元素可以在CMIP數據傳輸階段建立GSS-API安全上下文對ROSE PDU進行保護。

5 結語

電信管理網絡安全問題具有一定的特殊性，TMN多安全域安全體系結構設計能夠確保電信管理網絡跨安全域的管理活動安全，實現電信信息與數據的傳輸完整性、機密性和訪問控制性。由于TMN多安全域安全體系結構并不能對下層協議棧，因此在網絡安全的全面性方面仍有一定的欠缺，因此，在關于電信管理網絡安全方面仍需要注意不同系統的交互加密；公鑰證書格式的擴展格式；電信管理網絡的內部認證機構（CA）標準等問題。雖然本文提出了一系列電信管理網絡安全技術，但是由于電信管理網絡所涉及的安全層面非常復雜，對于電信管理網絡安全仍需要進一步的研究。

[1] Milan Jovic,Andrea Adamoli,Dmitrijs Zaparanuks,Matthias Hauswirth.Automa ting Performance Testing of Interactive Java Applications. AST’’10 .2010

[2] Altendorf Eric,Hohman Morses,Zabicki Roman.Using J2EE on a large,web-based project.IEEE Software . 2002

[3] 劉強,武波.基于TMN的電信管理網研究與實現[J].計算機技術與發展.2006(05)

[4] 劉建.電信管理網TMN綜述[J].計算機與數字工程.2005(01)

[5] 徐馳.電信設備性能數據監管系統[D].山東大學2013

[6] 閆曉輝.通信網絡管理系統的研究與實現[D].山東大學2006

[7] 劉斌.數據抓取平臺設計搭建與對等網絡研究[D].北京交通大學2007

[8] 沈曉虹.基于TMN標準的PHS網管系統的設計與實現[D].上海交通大學2008

Telecommunications Management Network Security Technology Research and Design

Hou Yan
(Taizhou Polytechnic College,225300)

Telecommunications Management Network is one of the main content of the construction of basic information,its safety has been well received.In this paper,telecommunications management network security infrastructure as the starting point for the present,China's telecommunications management network security technology for a comprehensive discussion,such as:basic security mechanisms,security support mechanism, and analyzes the existing telecommunications management network architecture proposed telecommunications management of network security software technology and multiple security domains TMN security architecture designed to improve the security of the external structure of the telecommunications management network.

telecommunications;management;network security;technology;design