基于通信網絡安全的關鍵技術

門耀華

（山西工程科技職業大學智慧校園中心，山西 晉中 030619）

0 引 言

網絡空間在實際的發展過程中主要包括互聯網、通信網絡、物聯網以及工業控制網絡等，另外還有人機對象交互形成的動態虛擬空間。網絡空間安全在實際的發展過程中不僅涉及人、機、物等基礎設施的安全，而且還涉及網絡空間的生成、處理、傳輸以及通信等。在物聯網的發展和應用中，除了考慮未來的發展外還需要重點解決安全問題，確保物聯網的安全。本文重點研究了通信安全的關鍵技術，希望為物理網絡的安全運行提供一些有價值的建議。

物聯網的出現和應用主要是為了實現現實生活中獨立使用的普通物體與互聯網的連接，能夠有效收集與物體有關的信息并將其存儲在互聯網上，實現信息的有效交換和存儲。在這個過程中，人、物、信息可以實現有效對接，不斷提升物聯網中的互聯網性能。保證物聯網通信安全的關鍵在于應用安全技術，因此深入分析通信安全的關鍵技術具有一定的現實意義和價值[1]。

1 通信網絡安全的關鍵技術分析

1.1 物聯網安全的關鍵技術

現階段，網絡認證系統在互聯網上已經得到了廣泛應用，但應用程度較低，基于用戶角度的網絡通信安全關鍵是要充分掌握業務分類。首先區分服務提供商是運營商還是第三方公司，運營商提供的服務可以有效保證平臺的安全運行，避免不穩定因素的影響。當用戶對數據的安全性要求不高時，實際應用中不需要認證業務層。而當用戶在數據應用中對平臺運營的安全性要求較高或者第三方無法確定平臺運營的安全性時，則需要依靠網絡安全認證，并結合網絡平臺的運營進行綜合分析。一旦對網絡認證系統有了較大的需求，就需要不斷提高與網絡認證系統相關的技術水平，以確保物聯網的安全運行[2]。

1.2 密鑰管理系統

隨著物聯網系統安全性的提高，密鑰管理是網絡安全信息保護機制中的主要方式，具有高效、方便的優點。為了保證物聯網的安全運行，需要注意提高物聯網的密鑰管理水平以及物聯網硬件與硬件之間的運行限制。需要強調的是，按鍵的設置通常嚴格參照兩個原則，一是操作方便，二是適應當前復雜的網絡環境。只有這樣才能發揮其最大的價值。密鑰管理協議在實際的發展過程中具有嚴格的管理，設置的過程中需要加密處理，主要涉及兩個方面[3]。一方面是對稱密鑰的設置。這種密鑰管理協議在實際的發展過程中能夠滿足通信網絡安全的需求，但也存在一個非常明顯的劣勢，即防攻擊能力弱，在面對外部攻擊時無法保證信息安全。另一方面是非對稱密鑰的設置。該技術雖然具有明顯的應用優勢，但在開發過程中成本較高，開發難度較大。因此，在物聯網密鑰管理過程中，對稱密鑰和非對稱密鑰的選擇通常需要結合實際情況進行分析，同時要關注物聯網的安全性與防攻擊能力[4]。

1.3 分析通信網絡安全服務方法

從通信網絡安全服務的方法層來看，主要包括完整性識別、身份驗證以及機密性等。認證主要用于保證通信中參與實體身份的真實性，該保密方法基于信息的可逆轉換，可以有效防止信息泄露和未經授權的使用。此外，還有一種完整性識別方法可以完全刪除和重放有意信息。目前，通信網絡的功能越來越多，相應的設備也越來越復雜，還有一些信息在實際的發展過程中容易造成數據的完全損壞，導致雙方在信息交流中不能保持一致。在非法使用信息的過程中，通信網絡和信息被非法破壞，常見的問題是管理層面失控和信息擁塞[5]。

2 項目研究

2.1 項目背景

根據上海電力公司光纖到戶建設項目的進度要求和相關業務的快速發展需要，上海電力通信有限公司將分期分批建設一張安全高速、調度靈活、維護便利且滿足網絡長期發展演進方向的綜合業務承載網。本項目位于金山區，包括9個匯聚層節點和15個接入層節點[6]。電通承載網金山環拓撲如圖1所示。

圖1 電通承載網金山環拓撲圖

2.2 網絡結構

網絡結構中包含9個匯聚層節點和15個接入層節點。其中，匯聚層節點名稱分別為洙涇、蕩田、秦山、東平、山陽、聯發、金舸、亭南以及松隱，接入層節點名稱分別為亭林、古松、蔣莊、龍灣、申甬、衛通、金鷗、錢圩、張堰、榮光、呂巷、干巷、金山、仙居以及星浦。此外，節點連接使用到的光纜包括96芯光纜和48芯光纜兩種。

2.3 組網情況

首先，匯聚層節點安裝華為s9706/s7706匯聚層交換機，機房內采用雙電源為設備供電，且所有設備都為雙主控模式，以提高設備本身的可靠性及冗余性。其次，整個環網采用雙路由上聯的方式連接到主網架，分別上聯到松江區的松江機房和奉賢區的莊行機房，路由一為洙涇-金山-松江，路由二為亭南-莊行。最后，環網內部匯聚層節點采用智能以太網保護（Smart Ethernet Protection，SEP）協議進行互聯，站點之間形成手拉手的保護，同時防止形成環網風暴。電通承載網金山環匯聚層設備SEP環拓撲如圖2所示。

圖2 電通承載網金山環匯聚層設備SEP環拓撲詳細圖

2.4 環網協議簡介

以太網交換網絡中為了進行鏈路備份，提高網絡可靠性，通常會使用冗余鏈路。但是使用冗余鏈路會在交換網絡上產生環路，引起廣播風暴和MAC地址表不穩定等故障，從而導致用戶通信質量較差，甚至通信中斷。為了解決環路問題，華為公司的數據通信設備支持以下環網協議。

2.4.1 STP、RSTP、MSTP系列生成樹協議

STP、RSTP、MSTP是以太網絡二層破環技術的標準協議，應用成熟、場景廣泛，且支持與其他制造商設備互通。但是運行生成樹協議的網絡拓撲收斂速度慢，收斂時間在秒級，不能滿足一些實時業務的要求，且收斂時間受網絡拓撲影響。

2.4.2 快速環網保護協議

快速環網保護協議（Rapid Ring Protection Protocol，RRPP）是一個專門應用于以太網環的鏈路層協議。它在以太網環完整時能夠防止數據環路引起的廣播風暴，而當以太網環上一條鏈路斷開時能迅速啟用備份鏈路以保證環網的最大連通性。但是，RRPP協議配置復雜，需要人為劃分邏輯拓撲分出主環子環，不利于復雜網絡的部署。

2.4.3 智能以太網保護協議

智能以太網保護（Smart Ethernet Protection，SEP）協議是一種用于以太網鏈路層的環網協議，它以SEP段為基本單位。所謂SEP段，就是由一組配置了相同的SEP段ID和控制VLAN且互連的二層交換設備群體構成。

3 入侵行為檢測研究

3.1 概 述

個人、企業及政府機構越來越依賴互聯網進行溝通、協作與銷售，對安全解決方案的需求正在迅速增長。入侵檢測在實際的發展過程中主要是對防火墻進行有益補充。當系統在實際的發展過程中受到一定入侵，或者受到比較強烈的攻擊后，收集入侵攻擊的相關信息并添加到知識庫中，作為防御系統的知識以增強系統的防御能力，防止系統再次被入侵。一般來說，入侵檢測在實際的發展過程中主要是通過收集網絡報文或信息，對相關可能存在的入侵行為進行一定的研究和分析。在入侵行為造成危害之前，及時發送告警通知其管理員，并采取相應的措施進行一定的處理。這樣能夠在實際的發展過程中降低危險系數，保證系統的穩定性，同時降低一定的成本。為了實現這個目標，IDS應該包括信息源、分析引擎以及響應組件3個部分[7]。

3.2 入侵行為檢測現狀分析

在過去的20年里，入侵檢測技術的專利申請數量逐年增加。隨著黑客技術的不斷增強，入侵檢測系統也在不斷升級[8]。在入侵檢測領域，中國國家電網公司處于領先地位，其在國內申請了大量專利，積極開展專利布局。一般來說，無論是國家電網、華為等信息巨頭公司，還是各大高校，都非常重視入侵檢測技術。信息安全是電氣專業的重要組成部分，高校對入侵檢測技術的研究投入很大。入侵檢測技術專利重點分為基于主機的入侵檢測、基于網絡的入侵檢測以及混合入侵檢測3個方向[9]。2007年，北京啟明興晨信息技術有限公司提出了一種主機入侵檢測系統，其核心是一種主機入侵檢測方法，它基于攔截主機行為尋找主機行為與入侵行為之間的相關性，并根據規則的定義產生報警等指定行為。

3.3 入侵檢測過程分析

首先收集網絡、系統及用戶行為的數據，在計算機網絡系統的不同節點上收集信息，然后利用模式匹配、統計分析以及完整性分析等分析方法對數據進行處理，并做出響應。

3.4 入侵檢測的必要性

隨著信息技術的飛速發展，網絡攻擊造成的后果越來越嚴重。傳統的防火墻技術如增加網絡流量等已不能滿足當前工業控制系統的安全要求。入侵檢測技術的優勢可以解決目前面臨的網絡安全問題。

3.5 入侵檢測性能評估

為了評估模型的可靠性，入侵檢測的性能指標為TPR、FNR以及FPR，還包括準確性、處理性能、完整性、容錯性以及及時性。由于工業控制系統的行為是工業生產控制的關鍵操作，誤判和攔截會影響系統的正常運行，可能造成比攻擊操作更嚴重的破壞。此外，IDS對假陽性有更嚴格的要求。根據工業控制的實時性要求，降低模型的復雜度和檢測時間也是評價檢測性能的重要標準。

3.6 異常檢測技術

基于統計理論異常檢測統計模型的基礎是系統對象收集的大量數據，并獲得每個特性值的范圍，然后統計時間間隔，以便確定統計測量的系統特征，推斷統計測量的程度。如果觀測值超出正常范圍，則認為有入侵。統計方法依賴于大量的已知數據，但該方法不能及時反映識別事件的順序，閾值的設置也是影響系統準確性的因素之一[10]。

4 安全措施分析

4.1 路由協議的安全性

物聯網的安全性與路由協議密切相關，也是物聯網安全運行的重要問題之一。基于目前的路由協議可以發現數據主要通過節點進行有效傳輸，但在數據傳輸過程中忽略了數據的安全性。物聯網路由協議的設計難度和復雜度較高，主要涉及互聯網、移動通信網絡以及傳感器。在路由協議的設計中，只有保證物聯網的信息安全，才能實現物聯網廣泛應用的目標。

4.2 安全性能的研究

基于安全應用的目標，對物聯網安全性能的研究需要從以下幾個方面著手。一是維護物聯網的隱私；二是開發物聯網終端的安全功能；三是制定物聯網相關安全法規；四是開放的物聯網安全體系。基于以上分析，相關設計師需要從整體上提高物聯網的安全性，促進其發揮更大的應用價值。

4.3 全方位感知需要基于感知節點

首先，在設計中需要建立大量的傳感器節點，并提高節點之間的多源異構性，從而保證網絡的多樣性能夠被及時感知，然后結合變化的網絡設計相應的方案。其次，在通信過程中要保證網絡傳輸的安全性和可靠性，通過分析物聯網傳輸特性可知,數據的傳輸主要依靠無線網絡，這與傳統的移動通信網絡有本質區別。再次，實現物聯網安全智能保障。物聯網技術發展的主要目的是保證數據的安全，在智能處理的幫助下可進一步提高數據安全性。最后，隱私和安全保護。物聯網涉及到很多社會領域，部分行業有大量的機密信息，如交通運輸業。一旦信息安全得不到保證，就會造成嚴重損失。

5 結 論

物聯網的信息安全是物聯網廣泛應用的基礎。網絡安全是一個大系統，包括一些設備和管理法規，所有的網絡安全都從安全策略開始。在未來的發展過程中，相關技術人員還需要從技術入手，分析通信網絡技術安全措施，進一步創新和完善，從而促進行業的發展。