基于虛擬專用網(wǎng)絡(luò)的電信業(yè)務(wù)管理系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)

摘要：電信業(yè)務(wù)管理系統(tǒng)是電信企業(yè)運(yùn)營生產(chǎn)的支撐系統(tǒng)之一，系統(tǒng)網(wǎng)絡(luò)范圍廣、結(jié)構(gòu)復(fù)雜且與因特網(wǎng)連接，因此，對(duì)于這種帶有重要信息傳輸?shù)木W(wǎng)絡(luò)其安全性必須得到保證。本文正是出于這點(diǎn)考慮提出了一個(gè)基于虛擬專用網(wǎng)絡(luò)技術(shù)的電信業(yè)務(wù)管理系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)，該設(shè)計(jì)能確保所傳輸?shù)臄?shù)據(jù)包不被外界人員非法截取和利用，消除關(guān)鍵系統(tǒng)數(shù)據(jù)在遠(yuǎn)程傳輸過程中可能失密的隱患，從而有效地保證了網(wǎng)絡(luò)通信的安全。

關(guān)鍵詞：VPN；加密；鑒別；密鑰管理；身份認(rèn)證；傳輸安全性

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點(diǎn)。尤其是在通過公共傳輸信道進(jìn)行網(wǎng)絡(luò)互聯(lián)和信息共享的同時(shí)，如何解決系統(tǒng)和信息的安全問題已經(jīng)迫在眉睫。對(duì)于電信管理系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)而言，它是一個(gè)多應(yīng)用和多連接的網(wǎng)絡(luò)，隨時(shí)都面臨著來自各方面的安全威脅。因此，它的安全性問題成了當(dāng)前的重要問題。

近幾年隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是VPN技術(shù)不斷成熟，為解決此問題提供了一個(gè)可行的方向，通過VPN的關(guān)鍵技術(shù)（隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)），可以有效的保護(hù)網(wǎng)絡(luò)上傳輸?shù)闹匾獢?shù)據(jù)包不被外界人員非法截取和利用，消除了關(guān)鍵系統(tǒng)數(shù)據(jù)在遠(yuǎn)程傳輸過程中可能失密的隱患，進(jìn)而確保了網(wǎng)絡(luò)通信的安全。因此，本文基于VPN關(guān)鍵技術(shù)提出了一個(gè)電信系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì)，該設(shè)計(jì)能夠有效的實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)信息數(shù)據(jù)安全、完整、高效、透明地傳輸。

2 虛擬專用網(wǎng)絡(luò)概述

虛擬專用網(wǎng)絡(luò)（Virtual Private Network）是一種基于IP和利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)虛擬連接技術(shù)。當(dāng)一個(gè)組織機(jī)構(gòu)利用這種虛擬連接技術(shù)組成“自己的”專用網(wǎng)絡(luò)時(shí)，在這個(gè)專用網(wǎng)絡(luò)內(nèi)，所有用戶共享相同的安全性、優(yōu)先權(quán)服務(wù)、可靠性和可管理性策略。它可以通過特殊的加密通訊協(xié)議連接在Internet上不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。虛擬專用網(wǎng)絡(luò)技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持虛擬專用網(wǎng)絡(luò)功能。一句話，虛擬專用網(wǎng)絡(luò)的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

通過虛擬專用網(wǎng)絡(luò)，一個(gè)省級(jí)系統(tǒng)可以在公用互聯(lián)網(wǎng)絡(luò)上和各個(gè)地方的系統(tǒng)連接起來，實(shí)現(xiàn)總公司和分公司間點(diǎn)對(duì)點(diǎn)或端到端的“虛擬專用”聯(lián)接。也可以說，“虛擬專用隧道”如同在茫茫的廣域網(wǎng)上為企業(yè)拉出了一條專線?；贗P的VPN可將Intranet自然延伸至遠(yuǎn)程辦公、移動(dòng)用戶的廣泛連接，這種廣泛連接可理解為“任何地方”。

3 基于VPN的系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)

電信管理系統(tǒng)是電信企業(yè)運(yùn)營生產(chǎn)的支撐系統(tǒng)，系統(tǒng)網(wǎng)絡(luò)范圍廣、結(jié)構(gòu)復(fù)雜，且與因特網(wǎng)連接，所以必須為該系統(tǒng)設(shè)計(jì)并建立一套完善的網(wǎng)絡(luò)安全防護(hù)體系，以保證該系統(tǒng)的運(yùn)行及信息的安全。在建立該體系前網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示：

從該系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖中可以看出，電信綜合業(yè)務(wù)管理系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)多應(yīng)用和多連接的網(wǎng)絡(luò)，當(dāng)它與Internet連接后其內(nèi)外必然存在著較多的安全隱患，這使得它隨時(shí)都在面臨著來自各方面的安全威脅。這些安全威脅有：來自互聯(lián)網(wǎng)的安全威脅（主要來自黑客的入侵）、其他接入點(diǎn)和各地市分公司網(wǎng)絡(luò)對(duì)省公司主機(jī)房網(wǎng)絡(luò)的安全威脅、外部網(wǎng)絡(luò)對(duì)各地市分公司網(wǎng)絡(luò)的安全威脅、來自各局域網(wǎng)內(nèi)部的安全威脅、網(wǎng)絡(luò)病毒的威脅、信息數(shù)據(jù)的安全傳輸?shù)耐{等。因此，為其建立一套全面而高效的安全體系就顯的由為重要。眾所周知，通常對(duì)于來自互連網(wǎng)的威脅都可以通過一個(gè)高效的防火墻加以防范，而對(duì)于通訊數(shù)據(jù)的保護(hù)就只有通過加密和簽名來實(shí)現(xiàn)了。基于以上兩點(diǎn)，本文做出了一個(gè)在廣域網(wǎng)通信線路上的省公司網(wǎng)絡(luò)和各地市分公司網(wǎng)絡(luò)之間進(jìn)行遠(yuǎn)程數(shù)據(jù)傳輸?shù)碾娦啪C合業(yè)務(wù)管理系統(tǒng)網(wǎng)絡(luò)防火墻中嵌入虛擬專用網(wǎng)絡(luò)模塊的雙重保障安全設(shè)計(jì)，通過在系統(tǒng)網(wǎng)絡(luò)間建立虛擬專用網(wǎng)絡(luò)通信信道可以確保所傳輸?shù)臄?shù)據(jù)包不被外界人員非法截取和利用，消除關(guān)鍵系統(tǒng)數(shù)據(jù)在遠(yuǎn)程傳輸過程中可能失密的隱患，有效地保證網(wǎng)絡(luò)通信的安全。加了虛擬專用網(wǎng)絡(luò)系統(tǒng)后網(wǎng)絡(luò)的結(jié)構(gòu)圖如圖2所示：

從圖中可以看出，本策略是在原有網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)的數(shù)據(jù)通訊網(wǎng)絡(luò)（DCN網(wǎng)絡(luò)）出口位置布置虛擬專用網(wǎng)絡(luò)設(shè)備和在與互連網(wǎng)連接的交換機(jī)上加裝虛擬專用網(wǎng)絡(luò)管理中心，來實(shí)現(xiàn)對(duì)在廣域網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和認(rèn)證保護(hù)并有效的實(shí)現(xiàn)對(duì)虛擬專用網(wǎng)絡(luò)系統(tǒng)提供設(shè)備管理、用戶管理和自動(dòng)密鑰管理等集中管理功能的。在系統(tǒng)網(wǎng)絡(luò)加裝了虛擬專用網(wǎng)絡(luò)設(shè)備后，可使得傳輸數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。而且使系統(tǒng)不需要增加任何費(fèi)用，就實(shí)現(xiàn)了其各地市，各營業(yè)點(diǎn)間的信息加密傳輸；同時(shí)，系統(tǒng)還可以利用Internet讓出差人員在遠(yuǎn)程安全的接入內(nèi)部網(wǎng)絡(luò)。加裝了虛擬專用網(wǎng)絡(luò)設(shè)備后，對(duì)于傳輸數(shù)據(jù)的加密認(rèn)證保護(hù)過程為：對(duì)于一個(gè)原始IP包VPN通過IPSEC用隧道模式將IP數(shù)據(jù)包整個(gè)進(jìn)行加密后再加上IPsec頭和新的IP頭，這個(gè)新的IP頭中包含有隧道源/宿的地址。當(dāng)通過IPsec隧道的數(shù)據(jù)包到達(dá)目的網(wǎng)關(guān)（即隧道的另一端）后，利用IPsec頭中的安全相關(guān)信息對(duì)加密過的原IP包進(jìn)行安全相關(guān)處理，將已還原的高層數(shù)據(jù)按原IP頭標(biāo)明的IP地址遞交，以完成信源—信宿之間的安全傳輸。顯然，這種安全相關(guān)對(duì)于源/宿地址來說應(yīng)是雙向的。

在隧道模式中AH是個(gè)認(rèn)證協(xié)議頭，它是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性和認(rèn)證的機(jī)制。其完整性是保證數(shù)據(jù)報(bào)不被無意的或惡意的方式改變，而認(rèn)證則驗(yàn)證數(shù)據(jù)的來源（識(shí)別主機(jī)、用戶、網(wǎng)絡(luò)等）。AH協(xié)議通過在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。一個(gè)消息文摘就是一個(gè)特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報(bào)的唯一的數(shù)字指紋。消息文摘算法的輸出結(jié)果放到AH包頭的認(rèn)證數(shù)據(jù)（Authentication_Data）區(qū)。通過消息文摘MD5算法可以提供數(shù)字的完整性服務(wù)。一個(gè)消息文摘在被發(fā)送之前和數(shù)據(jù)被接收到以后都可以根據(jù)一組數(shù)據(jù)計(jì)算出來。如果兩次計(jì)算出來的文摘值是一樣的，那么分組數(shù)據(jù)在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC-MD5認(rèn)證過的數(shù)據(jù)交換中，發(fā)送者使用以前交換過的密鑰來首次計(jì)算數(shù)據(jù)報(bào)的64比特分組的MD5文摘。從一系列的16比特中計(jì)算出來的文摘值被累加成一個(gè)值，然后放到AH包頭的認(rèn)證數(shù)據(jù)區(qū)，隨后數(shù)據(jù)報(bào)被發(fā)送給接收者。接收者也必須知道密鑰值，以便計(jì)算出正確的消息文摘并且將其與接收到的認(rèn)證消息文摘進(jìn)行適配。如果計(jì)算出的和接收到的文摘值相等，那么數(shù)據(jù)報(bào)在發(fā)送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發(fā)送的。在模式中的ESP是一個(gè)封包安全協(xié)議，它是用來實(shí)現(xiàn)一個(gè)通用的缺省算法即DES-CBC算法。它是一個(gè)對(duì)稱的密碼算法。接收方只有使用由發(fā)送者用來加密數(shù)據(jù)的密鑰才能對(duì)加密數(shù)據(jù)進(jìn)行解密。因此，DES-CBC算法的有效性依賴于秘密密鑰的安全，ESP使用的DES-CBC的密鑰長(zhǎng)度是56比特。因此可以看出在本系統(tǒng)中IPsec提供了訪問控制、無連接完整性、數(shù)據(jù)源鑒別、載荷機(jī)密性和有限流量機(jī)密等安全服務(wù)，完全彌補(bǔ)了由于TCP/IP協(xié)議體系自身帶來的安全漏洞，切實(shí)的保障了網(wǎng)絡(luò)中的數(shù)據(jù)傳輸?shù)陌踩浴?/p>

這里要注意的是要在省公司和各地市分公司網(wǎng)絡(luò)中采用可以和VPN集成的防火墻來為各自網(wǎng)絡(luò)提供安全保護(hù)，這樣在增加VPN系統(tǒng)后就不需要單獨(dú)的建立硬件平臺(tái)，可以直接嵌入到防火墻中協(xié)同工作，既提高安全性，又簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)。從而對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)了雙重保護(hù)，確保了網(wǎng)絡(luò)上重要數(shù)據(jù)的安全傳輸。

4 結(jié)束語

本文給出了一個(gè)基于虛擬專用網(wǎng)絡(luò)技術(shù)的電信綜合業(yè)務(wù)管理系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)，該設(shè)計(jì)能較好的解決網(wǎng)絡(luò)中一些重要數(shù)據(jù)在傳送過程中數(shù)據(jù)包易被外界人員非法截取和利用，關(guān)鍵系統(tǒng)數(shù)據(jù)在遠(yuǎn)程傳輸過程中可能失密的隱患，確保了系統(tǒng)的運(yùn)行及信息安全，為電信系統(tǒng)安全提出了新的思路。

參考文獻(xiàn)：

[1]王勁松，張毅，樓佳，吳功宜，苗鈴.基于SSL VPN的遠(yuǎn)程配置管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信學(xué)報(bào)，2006，z1

[2]BERBECARU D.On Measuring SSL-based Secure Data Transfer with Handhekd Devivces，2nd International Symposium on Wrreless Communication Systems，2005：409-413

[3]ALSHAMSI A，SAITO T.A technical comparison of IPSec and SSL[A].19th International conference on Advanced Information Networking and Applications[C]，2005：395-398

[4]中國電信綜合業(yè)務(wù)接入網(wǎng)關(guān)開放接口協(xié)議Version2.0，2007

[5]黃小平，陳平.基于IPSec的虛擬專用網(wǎng)VPN的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用與軟件，2003，20，7

[6]HARDING，ANDREW.SSL virtual private networks[J].Computers and Security，2003，22（5）：416-420

[7]Pena，C.J.C.Performance evaluation of software virtual private networks.local Computer Networks，2000，LCN 2000：522-523

[8]Chun Tung Chou.Traffic engineering for MPLS-based virtual private networks.computer network，Volume 44，Issue 3，20 February 2004，Pages 319-333