• 易迪拓培训,专注于微波、射频、天线设计工程师的培养
首页 > 无线通信 > 技术文章 > 通信网络安全含义与分层

通信网络安全含义与分层

录入:edatop.com     点击:

要实现信息化,就必须重视信息网络安全。信息网络安全绝不仅是IT行业的问题,而是一个社会问题,是一个包括多学科的系统安全工程问题,并直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁,要像重视两弹一星那样去重视信息安全。通信网络作为信息传递的一种主要载体,其安全性是信息安全中关键问题之一。

通信网络安全含义与分层

为明确通信网络安全含义,必须首先定义信息安全。信息安全定义如下:信息安全通常是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。

为实现上述信息安全,需要:

·建立信息安全管理机制,制定信息安全策略;

·制定信息安全测评标准来评估和划分安全等级;

·使用安全管理、产品和网络来保障采集、传递、存储和应用时的机密性、完整性、可用性、可控行以及不可否认性;

·应用检测机制来获悉当前安全状态;

·通过故障和灾难恢复机制来解决出现的问题。

一般认为,信息网络安全是指信息在利用网络提供的服务进行传递的过程中,通信网络自身(即承载网和业务网)的可靠性、生存性;网络服务的可用性、可控性;信息传递过程中信息的完整性、机密性和不可否认性。(本文中所指通信网络安全不涉及通信内容是否违反中华人民共和国电信条例第五十七条所规定的内容。)

通信网络安全通常包括承载网与业务网安全,网络服务安全以及信息传递安全。通信网络安全不涉及意识形态安全。

·承载网与业务网安全包括网络可靠性与生存性。网络可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。这里承载网与业务网是拥有自己节点、链路、拓扑和控制的网络,例如传输网、互联网、ATM网、帧中继网、DDN网、X.25网、电话网、移动通信网、支撑网等电信网络。

·网络服务安全包括服务可用性与服务可控性。服务可用性与承载网和业务网可靠性及维护能力等相关。服务可控性依靠服务接入安全,以及服务防否认、服务防攻击等方面来保障。服务可以是网络提供的DDN专线、ATM专线、话音业务、VPN业务、INterNet业务等。

·信息传递安全包括信息完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制(例如哈希算法等)来保障;信息机密性可以依靠加密机制以及密钥分发等来保障;信息不可否认性可以依靠数字签名等技术保障。

·意识形态安全是指传递的信息不包含中华人民共和国电信条例第五十七条所规定内容。第五十七条规定不得利用电信网制作、复制、发布、传播含有违反国家宪法、危害国家安全、泄露国家机密、颠覆国家政权、破坏国家统一、损害国家荣誉和利益、煽动民族仇恨和民族歧视、破坏安定团结等内容。

通信网络安全关键技术

1.安全性分析评估

当前通信网络功能越来越强大,相应的设备软硬件越来越复杂。网络自身的安全性依赖设备安全性及网络管理。目前网络上运行着大量国外引进设备,即使是国产设备也装载大量进口芯片及软件,无法得知是否存在安全隐患。由于软件产品的特殊性,软件产品的安全性很难定量衡量。虽然我国已制定《计算机信息系统安全保护等级划分准则》,但是对网络产品以及网络本身的安全性分析评估仍没有依据。因此安全性分析与评估已成为通信网络安全急需解决的关键技术。

2.网络拓扑设计

网络的拓扑设计是通过节点和链路的冗余与备份手段来提高通信网络系统的可用性与生存性。

网络冗余通常用于出现故障时隔离故障,以避免全网失效。网络出现的故障可能是链路中断、节点失效等。网络冗余有多种实现方式。例如在传输网上通常采用环形结构,当出现节点失效或者链路中断时,SDH设备会在50 ms之内倒换,绕开失效节点或者中断的链路,保障通信服务的可用性。在互联网上,通常采用网络设备双归属连接,出现节点失效或者链路失效时,动态路由协议会重新计算路由,在几十秒时间内恢复网络连通性。电话网在链路层依赖传输网的故障恢复,当节点出现故障时同样采用多路由机制绕开故障点。

网络备份通常用于网络的防毁抗灾以及应急通信。当出现灾难或者重大事故时可以迅速启用备份设备、链路、网管中心乃至备份网络。网络备份通常代价较高,出于性价比考虑一般情况下运营商很难承受。通常在移动通信网中实现较多,如利用应急通信车架设临时基站,再使用微波等手段将临时基站连接到移动电话网。在911事件发生以后,美国空前重视网络防毁抗灾。纷纷考虑建设备份数据中心以及备份网管中心。备份网络的架构、备份中心的数据同步、组织以及切换仍有待研究。

3.网络故障检测、保护倒换与故障恢复

(1)故障检测

故障检测是指网络出现故障时,网络运营者应当能通过故障检测机制及时获悉。传统电信网(如传输网)定义了比较丰富的开销字节,来及时获悉网络问题,例如误码或链路中断。因此传输网能够做到50 ms内将中断的链路倒换到备份链路。ATM网络中同样设计了操作、管理和维护(OAM)信元,能够及时获悉发送链路或接收链路中断的情况。IP网络故障检测机制比较缺乏。例如以太网只能通过物理层信号得知接收链路连通性,或者由高层(例如IP层)通过因特网控制消息协议(ICMP)来检查网络层连通性。因此IP网以及互联网的故障检测机制是继续研究的关键技术。

(2)保护倒换

保护倒换源自传输网,功能是当传输网节点或者链路出现故障时,故障路径上的流量能够切换到事先指定的备用路径上,从而不影响业务运行。传输网络有成熟的保护倒换机制,能够在50 ms内完成保护倒换。IP网上的保护倒换机制一般通过路由协议重新计算路径完成,需要较长时间,通常是10 s量级。当然通过链路层负荷分担或者IP层多路径也可以做到不影响业务。当前多协议标记交换(MPLS)的快速重路由以及弹性分组环(RPR)的保护倒换机制也正向50 ms指标靠近。

(3)故障恢复

故障恢复是指节点或者链路发生故障后经过一定时间或采取一定措施后恢复提供服务。通常故障恢复需要人工干预。例如接口板卡的更换、电缆的重新连接、设备的重新启动、软件重新运行等。也有少量故障会因时间或者随引发故障原因的消除而消除。例如当拥塞引起设备瘫痪时,如果限制接入业务,性能较好的设备可能能够恢复正常工作。

4.信息传递安全技术

(1)信息加密

信息的机密性可以用传统的加密方式完成。最早的加密标准是美国的DES(Data ENcryptIoN StaNDarD),但DES最初设计的56位密钥长度对于现在的运算能力来说已不难攻破,后来出现了三重DES算法加强了加密的强度。DES算法是对称加密算法,加密密钥也同时是解密密钥。与之相对有一些不对称的加密与解密算法,这些算法中加密与解密采用了不同的密钥,一个密钥专门用于加密,这个密钥可以让别人得到并用它对数据进行加密,而只有解密密钥持有者可以用解密密钥解开密文,并把它恢复成明文,这个加密体系称为公开密钥法。这个加密体系加密算法中最常用的是RSA算法与椭圆曲线密码算法,除此之外还有背包算法、RabIN密码算法、ElGamal密码算法、McElIece密码算法、LUC密码算法。

对称加密算法与公开密钥算法是不同的两种密码体制,分别适于解决不同的问题。对称密码算法适合加密数据,它加密与解密速度极快并且对选择密文攻击不敏感。公开密钥密码可以做对称密码所不能做的事情,最擅长密钥分配和身份认证等对用户、密钥进行管理的工作。这部分内容将在后文中涉及到。

在实际应用中,要进行保密通信的双方,先用公开密钥法交换彼此的加密密钥,得到这个加密密钥后,通信双方用对称加密法把信息加密后进行通信。

(2)信息的鉴别与签名

对数据加密可以保证信息不受到窃听,使用报文鉴别可以保证数据完整性,为保证数据的不可否认性则可以采用数字签名。报文鉴别的目的是:接收方保证这个报文没有被变动过。如果攻击者修改了报文却不知如何修改鉴别码,接收方收到报文后计算的鉴别码与收到的鉴别码不同,于是可以判定报文的内容受到破坏。

用来生成鉴别码的算法很多,实际应用中大多采用的是单向散列函数。单向散列函数接受可变长报文输入,并产生固定长度的标签作为输出。由于单向散列函数的运算过程是不可逆的,好的散列算法输入不同报文生成相同标签的概率非常小,这使得篡改过的报文不被发现的可能性微乎其微。目前最常用的单向散列算法有MD5和SHA-1。

单向散列生成固定长度的输出称为报文的摘要。报文的摘要就是要进行鉴别的内容,为了保证摘要的内容不可读取,应将报文的内容进行加密。加密时可采用公开密钥法。公开密钥法有两个优点:它不但可以对摘要进行加密,使报文可以进行鉴别,同时也提供了数字签名;而且采用公开密钥法不需要向通信各方用保密的方式传送密钥。

公开密钥法所采用的密钥长度可到1 024位,所以加密后的密文很难进行破解。公开密钥法的加密密钥持有者,用私有密钥对报文的摘要进行加密,报文的接收者收到报文后自己根据收到的报文计算出报文的摘要,再用公开密钥把发送者加密的摘要解密,如果两个结果一致就可以断定报文没有被第三方进行了篡改。

在这一过程中,加密者用私有密钥对摘要进行加密,就是对报文进行数字签名。从数学上可以证明,私有的加密密钥只可以被其公开密钥解密,只要可以通过公开密钥把加密的内容无误地恢复成明文,加密者就不可否认他曾对此报文进行签名。

来源:安全中国网

上一篇:视频监视系统的视频压缩和数据流
下一篇:网络视频监控系统选型关键要素分析

手机天线设计培训教程详情>>

手机天线设计培训教程 国内最全面、系统、专业的手机天线设计培训课程,没有之一;是您学习手机天线设计的最佳选择...【More..

射频和天线工程师培训课程详情>>

  网站地图