通信網絡安全分層及關鍵技術

陳麗芳

（日照邊防檢查站，山東　日照　276826）

通信網絡安全分層及關鍵技術

陳麗芳

（日照邊防檢查站，山東日照276826）

網絡安全問題的核心，不在于技術而是在于管理和投資。目前，對于大部分網絡安全的技術問題都有一定的解決方案，但將其運用于實際生活中仍存在很多問題，還需要不斷研究。在一定程度上，網絡安全問題的解決就需要將理論和實踐更好地結合起來。基于此，主要探討通信網絡安全分層及關鍵技術。

通信網絡；加密；互聯網認證

1　通信網絡安全分層

1.1承載網和業務網的安全

網絡可靠性和生存能力是承載網和業務網安全的兩大特性。網絡的可靠性與生存能力需要多方面的保障來完成，主要依賴于環境安全、物理安全、節點安全和拓撲結構安全，這是系統最主要的安全保障。一個承載網和業務服務由其自身的節點、拓撲、控制的安全來維護，如網絡傳遞、因特網、ATM網、幀中繼網、DDN網絡和網絡電話的一些網絡通信。

1.2網絡服務安全

可用性和可控性是網絡服務的兩個特征。網絡服務可用性取決于自身可用的容量、承載以及業務網的可靠性和售后服務。服務可控性基于安全的接入服務、服務的不確定性以及服務攻擊的防御保護等多方面保障。網絡服務有網絡提供的IVPN業務、VOIP業務和ATM專線等。

1.3信息安全的傳輸

完整性、保密性和不可抵賴性是信息傳輸安全三大特性。信息的完整性要通過報文鑒別機制的方式來實現。信息保密性可以依靠加密密鑰分發機制，分享密鑰進行保障。信息不可抵賴性，可以指望支持數字簽名的信息技術。

2　通信網絡安全關鍵技術

2.1安全評估和拓撲分析

2.1.1安全評估。目前硬件和相應的軟件越來越復雜的原因是通信隨著網絡的發展變得更強大。而且由于特殊的軟件產品的出現，使安全評估變得困難。軟件的安全評估變得很難測試，網絡的管理安全和裝置安全則取決于網絡本身。因此，網絡安全的分析和評價已成為通信網絡急需解決的關鍵技術問題。

2.1.2網絡拓撲設計。節點和鏈路是網絡拓撲設計提高通信網絡系統的可用性、生存能力的冗余、備份手段。該網絡經常使用節點和鏈路冗余在有效地進行隔離故障的情況下，出現被中斷鏈路故障和失敗的節點等故障。例如，在一個環形傳輸介質上有在50ms內節點故障或鏈路中斷的問題，就需要SDH設備切換時間使其正常運行。中斷繞過故障節點或鏈路中斷地，就是為了保證通信服務的可用性。在VOIP網絡有節點故障或鏈路故障，這種狀況出現一般是因為采用連接到雙歸屬網絡設備，動態路由協議在幾十秒的時間內發生故障，卻能在幾秒鐘內恢復。如果您需要啟用備份設備和備份網絡時，則說明將有一個災害或重大事故要發生。通常網絡備份的價格較高，對于運營商來說是很不劃算的，不能達到物有所值。

2.2檢測故障、保護倒換與恢復故障

2.2.1檢測故障。故障檢測是指在網絡中故障發生時，確保故障通過故障檢測機制能夠及時被網絡運營商知曉。在設計運營的ATM網絡上，操作管理和維護信元都可以迅速發送或接收鏈接的斷開通知。故障檢測機制的缺乏相對于網絡來說，互聯網和網絡故障檢測機制是進一步研究的關鍵技術。

2.2.2保護倒換。從傳輸網絡的保護交換中有傳輸節點或鏈路發生故障等的網絡功能，流量可以由通信故障路徑可以切換到指定的預備用路徑，業務的正常運行也不會受到影響。傳輸網絡已經擁有了能夠使保護倒換在50ms內完成的保護倒換機制［1］。保護切換機構在網絡中，一般是通過一個路由協議來重新計算已完成的路徑所需要的時間，通常在10s的量級。目前，多協議標簽交換電流保護倒換機制的快速重路和彈性分組環接近50ms。

2.2.3恢復故障。恢復故障是指鏈路和節點在出現故障時經過一定的時間和措施后恢復機制。通常采用接口板換新、電纜重新連接、設備重新啟動、重新運行軟件等人工干預的手動方式。

3　信息傳遞安全技術

3.1信息加密

美國的DES加密是首次加密標準，DES最初設計用于56位密鑰長度對于如今計算機的運算能力已是小菜一碟了，隨后出現了增加強度三重DES加密算法。DES算法是對稱加密算法，加密密鑰也同是解密密鑰［2］。然而，有許多的解密算法、非對稱加密，這些算法使用不同的密鑰加密和解密。專用加密的密鑰可以被其他人獲得，然而只有解密者才能解密密鑰解鎖使用解密密鑰解密文，并提供被恢復的明文則稱為公開密鑰方法。目前有對稱加密、公開密鑰算法兩種方式。

對稱加密算法是用于加密數據的，其特點是能快速加密或解密，但對密文攻擊選擇不敏感。對稱加密的不足恰恰是公鑰加密所能做的，其最拿手的是密鑰分配和用戶認證等密鑰管理的關鍵工作。在實踐中，保密通信的雙方先彼此通知并交換密鑰，則通信的雙方可采用加密的方式相互通知。

3.2鑒別和簽名信息

數據加密的目的是確保信息不被竊聽。數據有完整性、機密性、不可抵賴性三大特征，完整性可以通過報文鑒別來實現；不可抵賴性可以依靠數字簽名驗證來達到；加密可以確保數據的機密性。報文鑒別證書的目的就是接收者保證報文沒有被改變過。如果報文被攻擊者改過，但不知道如何改變識別碼，接收器接收到報文與所接收的鑒別碼算出的分組鑒別碼是不同的，則會通過破壞的報文內容來確定破壞。算法大多數用單向散列函數來產生認證碼。只接受一個輸入可變長度報文是固定長度的報文的輸出是單向散列函數的一種。以便產生不同的輸入的報文包，以產生相同的標記是非常低的概率，使得報文包的篡改的可能性變得很小很小的。MD5和SHA-1算法是這種單向散列算法中最常規的表現。

單向散列的輸出有報文的摘要就是一段固定長度的數據。如報文摘要的內容可以確定，則可使用公開密鑰加密方法。其優點如下：一是確定摘要的內容加密或識別數字簽名；二是使用公開密鑰方法不要求當事人傳送保密的方式的通信；三是公開密鑰的長度1 024位，所使用的密鑰的方法，使得加密的密文難以破解等。在此過程中，使用私有密鑰對報文的摘要加密的，則該報文必須被數字簽名。數學上可以證明，私人加密密鑰只能由他的公開密鑰解既通過公共密鑰對沒有錯誤的內容加密，又能恢復明文，加密者并不否認他有為此報文簽名。

3.3密鑰管理

一般加密方法和解密密鑰是統一的，會解決許多實際問題。例如，兩個通信密鑰的安全傳輸遠將是一個非常棘手的問題。這個讓人頭疼的問題因為公開密鑰的方法得到了解決，因為解密方法的公開密鑰被公開，不需要任何秘密的裝置發送一個公用密鑰。加密的通信接收到的分組可能很好地解決這個問題。只有私鑰所有者可以解決的。但是，公開密鑰加密算法遠慢于對稱加密算法，公開密鑰就需要一種對密鑰的管理算法來對密鑰的安全性進行管理。所以，實際應用中，通常使用以確保通過所述共享密鑰雙方之間的通信，然后使用對稱加密方法來加密數據加密。以上是數字簽名使用提到的另一個公開密鑰的方法。因為公共密鑰方法功能如此強大，對管理現代信息安全來說公共密鑰已成為一個重要課題。

［1］沈偉光.解密信息安全［M］.北京：新華出版社，2003.

［2］馮登國.網絡安全原理與技術［M］.北京：科學出版社，2003.

Security Layering and Key Technology of Communication Network

Chen Lifang
（Rizhao Frontier Inspection Station，Rizhao Shandong 276826）

Abstarct:The core of the problem of network security not lies in the technical bottleneck，but in the management and investment.At present，for most of the technology of network security solution is present，but there are still many problems in the actual life to make use of these technology，it need our constantly study.In a certain extent，the solution to the problem of network security will need to combine theory with practice.Based on this，this paper mainly discussed the network security and key technology.

communication of network；encryption；authentication of internet

TN915.08

A

1003-5168（2016）06-0065-02

2016-05-08

陳麗芳（1987-），女，本科，助理工程師，研究方向：計算機。