電信管理網(wǎng)絡(luò)安全技術(shù)研究與設(shè)計(jì)

侯 艷

電信管理網(wǎng)絡(luò)安全技術(shù)研究與設(shè)計(jì)

侯 艷

（泰州職業(yè)技術(shù)學(xué)院,江蘇泰州,225300）

電信管理網(wǎng)絡(luò)是我國(guó)基礎(chǔ)信息建設(shè)的主體內(nèi)容之一，其安全性一直備受矚目。本文以電信管理網(wǎng)絡(luò)安全基礎(chǔ)為切入點(diǎn)，對(duì)目前我國(guó)電信管理網(wǎng)絡(luò)安全技術(shù)進(jìn)行綜合性的討論，譬如：基本安全機(jī)制、安全支撐機(jī)制，同時(shí)分析了現(xiàn)有的電信管理網(wǎng)絡(luò)體系結(jié)構(gòu)，提出了電信管理網(wǎng)絡(luò)安全軟件技術(shù)和TMN多安全域安全體系結(jié)構(gòu)設(shè)計(jì)，以提高電信管理網(wǎng)絡(luò)外部結(jié)構(gòu)的安全性。

電信；管理；網(wǎng)絡(luò)安全；技術(shù)；設(shè)計(jì)

0 引言

隨著市場(chǎng)經(jīng)濟(jì)的不斷深入，傳統(tǒng)電信行業(yè)面臨著來自多個(gè)方面的競(jìng)爭(zhēng)和考驗(yàn)，而電信網(wǎng)絡(luò)的可靠性是電信發(fā)展過程中尤為重要的環(huán)節(jié)。不法分子利用偽裝、竊聽、篡改、抵賴、刪除報(bào)文、網(wǎng)絡(luò)洪泛等手段獲取非法利益，這使得電信企業(yè)和電信用戶蒙受者巨大的損失。因此，電信管理網(wǎng)絡(luò)的運(yùn)行安全性變得尤為重要。電信管理網(wǎng)絡(luò)安全就是要保證信息處理和傳輸?shù)谋Ｃ苄?、完整性和可靠性。一個(gè)健全的電信管理網(wǎng)絡(luò)安全系統(tǒng)要求具有認(rèn)證、訪問控制、抗抵賴性、機(jī)密性和完整性等，可以降低電信業(yè)務(wù)中因?yàn)榫W(wǎng)絡(luò)漏洞而造成的損失和影響。

1 電信管理網(wǎng)絡(luò)安全基礎(chǔ)

1.1 基本安全機(jī)制

電信管理網(wǎng)絡(luò)基本安全機(jī)制是融合了諸多算法和協(xié)議的安全服務(wù)體系，通過復(fù)雜的計(jì)算程序提高電信管理網(wǎng)絡(luò)破解難度，基本安全機(jī)制主要包括：哈希（Hash）算法、加密體制、數(shù)字簽名、證書、訪問控制、Diffie-Hellman密鑰交換和認(rèn)證協(xié)議等。

1.2 安全支撐機(jī)制

支撐機(jī)制是一種網(wǎng)絡(luò)安全機(jī)制，能夠與基本安全機(jī)制關(guān)聯(lián)形成電信管理網(wǎng)絡(luò)安全基礎(chǔ)。電信管理網(wǎng)絡(luò)安全中的支撐機(jī)制主要包括：安全預(yù)警、安全審計(jì)日志、密鑰分發(fā)和GSS-API標(biāo)準(zhǔn)編程接口。

2 電信管理網(wǎng)絡(luò)體系結(jié)構(gòu)

圖2 .1 電信管理網(wǎng)絡(luò)物力體系結(jié)構(gòu)簡(jiǎn)例

2.1 電信管理網(wǎng)絡(luò)功能體系

電信管理網(wǎng)絡(luò)功能體系能夠?qū)?fù)雜的電信管理網(wǎng)絡(luò)通過各個(gè)功能塊組合在一起實(shí)現(xiàn)對(duì)電信網(wǎng)絡(luò)的管理。在電信管理網(wǎng)絡(luò)功能模塊中包括：操作系統(tǒng)功能塊、中介功能塊、適配器功能塊、網(wǎng)絡(luò)單元功能塊和工作站功能塊。在各個(gè)功能塊發(fā)生信息交換的位置建立參考點(diǎn)，在功能塊與外界聯(lián)系的位置也建立參考點(diǎn)。

2.2 電信管理網(wǎng)絡(luò)物理體系

電信管理網(wǎng)絡(luò)的物力體系結(jié)構(gòu)是為了實(shí)現(xiàn)電信管理網(wǎng)絡(luò)功能而配置的物力結(jié)構(gòu)。如圖2.1所示：

2.3 電信管理網(wǎng)絡(luò)信息體系結(jié)構(gòu)

電信管理網(wǎng)絡(luò)信息體系包括管理信息模型和管理信息交換。管理信息模型是實(shí)現(xiàn)電信管理網(wǎng)絡(luò)的各種管理操作，譬如：信息的存儲(chǔ)和提取。管理信息交換利用接口規(guī)范或者協(xié)議進(jìn)行數(shù)據(jù)通信和信息傳遞。

3 電信管理網(wǎng)絡(luò)安全軟件技術(shù)

電信管理網(wǎng)絡(luò)安全軟件技術(shù)包括：基于OSI的電信管理網(wǎng)絡(luò)安全、基于公用對(duì)象請(qǐng)求代管者體系結(jié)構(gòu)（CORBA）的電信管理網(wǎng)絡(luò)安全、基于SNMP的電信管理網(wǎng)絡(luò)安全。

其中基于OSI的電信管理網(wǎng)絡(luò)安全是控制服務(wù)元素（ACSE）、公共管理信息服務(wù)元素（CMISE）、安全轉(zhuǎn)換服務(wù)元素（STASEROSE）的安全，并采用安全協(xié)商和對(duì)等實(shí)體認(rèn)證等方式取保應(yīng)用的安全。

基于公用對(duì)象請(qǐng)求代管者體系結(jié)構(gòu)（CORBA）的電信管理網(wǎng)絡(luò)安全是以傳輸層SSL3和應(yīng)用層抗抵賴性模塊共同支持的基于TCP/IP安全服務(wù)。再由TeNoRIOP安全，是作為CORBA的一個(gè)補(bǔ)充，其對(duì)抗抵賴性模塊的安全服務(wù)更加具有獨(dú)立的安全機(jī)制。

基于SNMP的電信管理網(wǎng)絡(luò)安全采用SNMPv1通過IPsec進(jìn)行保護(hù)的，其能夠?yàn)閹讉€(gè)實(shí)體共享電信管理玩過的一個(gè)公共安全網(wǎng)關(guān)提供保護(hù)方案；SNMPv2安全網(wǎng)關(guān)方案與SNMPv1相似，SNMPv2提供的安全機(jī)制包括：認(rèn)證加密、訪問控制等。SNMPv2所賦予給通信實(shí)體的是一個(gè)唯一的標(biāo)識(shí)；SNMPv3也是采用IPsec進(jìn)行保護(hù)，其包括：基于用戶安全模型和基于視圖訪問控制模型兩大安全組件。

4 TMN多安全域安全體系結(jié)構(gòu)設(shè)計(jì)

4.1 總體結(jié)構(gòu)

由于電信管理網(wǎng)絡(luò)的管理活動(dòng)時(shí)采用X接口實(shí)現(xiàn)交互的，因此，確保X接口上的管理活動(dòng)安全性就成為電信管理網(wǎng)絡(luò)安全服務(wù)中尤為重要的環(huán)節(jié)。在TMN多安全域安全體系結(jié)構(gòu)設(shè)計(jì)中首先要確認(rèn)的是安全體系結(jié)構(gòu)中的組件，其中包括：CMISE、ACSE等ASE接口管理的應(yīng)用集成安全組件，其結(jié)構(gòu)組件示意圖如圖4.1所示：

4.2 安全體系結(jié)構(gòu)組建

4.2.1 安全上下文

安全上下文包括特定的加密技術(shù)、針對(duì)交換數(shù)據(jù)的語法和語義，能夠?yàn)閷?duì)等實(shí)體雙方提供相應(yīng)的安全機(jī)制。在建立聯(lián)系時(shí)安全上下文的協(xié)商可以運(yùn)用ACSE中的Authentication字段傳輸GSS-API生成token來完成。

4.2.2 對(duì)等實(shí)體認(rèn)證

在建立聯(lián)系期間發(fā)起實(shí)體向安全支撐組件發(fā)送請(qǐng)求，請(qǐng)求一個(gè)認(rèn)證標(biāo)記，可由ACSE中的Authentication字段傳輸，接收實(shí)體必須要在ACSE響應(yīng)中返回一個(gè)認(rèn)證標(biāo)記，由此才能建立安全上下文。

4.2.3 訪問控制

訪問控制可以分為：全局訪問控制、針對(duì)聯(lián)系的訪問控制、針對(duì)管理操作的訪問控制和針對(duì)通告的訪問控制。全局訪問控制體可以分為發(fā)起安全域和目標(biāo)安全域。發(fā)起實(shí)體安全域是針對(duì)發(fā)起的聯(lián)系請(qǐng)求、管理操作請(qǐng)求和通告進(jìn)行控制；目標(biāo)實(shí)體安全域是針對(duì)進(jìn)入的聯(lián)系請(qǐng)求、管理操作請(qǐng)求和通告進(jìn)行控制。

4.2.4 機(jī)密性與完整性

保證數(shù)據(jù)的機(jī)密性與完整性需要調(diào)用GSS-API完成安全轉(zhuǎn)換，參數(shù)通過編碼將ASN.1編碼之串接到服務(wù)體系中生成ICV，并同時(shí)進(jìn)行了加密，進(jìn)行訪問控制。

4.2.5 抗抵賴性

抗抵賴性是指對(duì)發(fā)起實(shí)體和目標(biāo)實(shí)體之間可能發(fā)生爭(zhēng)議的部分生成有效證據(jù)，作為爭(zhēng)執(zhí)解決參考?？沟仲囆苑?wù)可以由抗抵賴性證據(jù)信息生成、證據(jù)記錄、證據(jù)驗(yàn)證、證據(jù)檢索、檢索證據(jù)重驗(yàn)證幾部分構(gòu)成?？沟仲囆詰?yīng)用在發(fā)起實(shí)體是指來源抗抵賴，應(yīng)用在目標(biāo)實(shí)體是指接收抗抵賴。抗抵賴性有強(qiáng)弱之分，強(qiáng)抗抵賴性需要使用非對(duì)稱密鑰或者引入數(shù)字簽名，弱抵賴性則只利用認(rèn)證、操作日志進(jìn)行爭(zhēng)執(zhí)的評(píng)判。

4.2.6 密鑰管理

TMN多安全域安全體系結(jié)構(gòu)中的所有認(rèn)證服務(wù)都需要使用公鑰技術(shù)，因此，可以憑借第三方公鑰管理方案來完成密鑰管理。第三方公鑰管理方案要具有跨安全域可信交換性，譬如采用公鑰

圖4 .1 安全體系結(jié)構(gòu)組件示意圖

基礎(chǔ)設(shè)施PKI進(jìn)行高程度的自動(dòng)化密鑰管理。

4.2.7 其他因素分析

安全轉(zhuǎn)換服務(wù)元素（STASE-ROSE）能夠?qū)φ麄€(gè)ROSE PDU進(jìn)行加密和簽名，在協(xié)議棧中利用安全轉(zhuǎn)換服務(wù)元素可以在CMIP數(shù)據(jù)傳輸階段建立GSS-API安全上下文對(duì)ROSE PDU進(jìn)行保護(hù)。

5 結(jié)語

電信管理網(wǎng)絡(luò)安全問題具有一定的特殊性，TMN多安全域安全體系結(jié)構(gòu)設(shè)計(jì)能夠確保電信管理網(wǎng)絡(luò)跨安全域的管理活動(dòng)安全，實(shí)現(xiàn)電信信息與數(shù)據(jù)的傳輸完整性、機(jī)密性和訪問控制性。由于TMN多安全域安全體系結(jié)構(gòu)并不能對(duì)下層協(xié)議棧，因此在網(wǎng)絡(luò)安全的全面性方面仍有一定的欠缺，因此，在關(guān)于電信管理網(wǎng)絡(luò)安全方面仍需要注意不同系統(tǒng)的交互加密；公鑰證書格式的擴(kuò)展格式；電信管理網(wǎng)絡(luò)的內(nèi)部認(rèn)證機(jī)構(gòu)（CA）標(biāo)準(zhǔn)等問題。雖然本文提出了一系列電信管理網(wǎng)絡(luò)安全技術(shù)，但是由于電信管理網(wǎng)絡(luò)所涉及的安全層面非常復(fù)雜，對(duì)于電信管理網(wǎng)絡(luò)安全仍需要進(jìn)一步的研究。

[1] Milan Jovic,Andrea Adamoli,Dmitrijs Zaparanuks,Matthias Hauswirth.Automa ting Performance Testing of Interactive Java Applications. AST’’10 .2010

[2] Altendorf Eric,Hohman Morses,Zabicki Roman.Using J2EE on a large,web-based project.IEEE Software . 2002

[3] 劉強(qiáng),武波.基于TMN的電信管理網(wǎng)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展.2006(05)

[4] 劉建.電信管理網(wǎng)TMN綜述[J].計(jì)算機(jī)與數(shù)字工程.2005(01)

[5] 徐馳.電信設(shè)備性能數(shù)據(jù)監(jiān)管系統(tǒng)[D].山東大學(xué)2013

[6] 閆曉輝.通信網(wǎng)絡(luò)管理系統(tǒng)的研究與實(shí)現(xiàn)[D].山東大學(xué)2006

[7] 劉斌.數(shù)據(jù)抓取平臺(tái)設(shè)計(jì)搭建與對(duì)等網(wǎng)絡(luò)研究[D].北京交通大學(xué)2007

[8] 沈曉虹.基于TMN標(biāo)準(zhǔn)的PHS網(wǎng)管系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].上海交通大學(xué)2008

Telecommunications Management Network Security Technology Research and Design

Hou Yan
(Taizhou Polytechnic College,225300)

Telecommunications Management Network is one of the main content of the construction of basic information,its safety has been well received.In this paper,telecommunications management network security infrastructure as the starting point for the present,China's telecommunications management network security technology for a comprehensive discussion,such as:basic security mechanisms,security support mechanism, and analyzes the existing telecommunications management network architecture proposed telecommunications management of network security software technology and multiple security domains TMN security architecture designed to improve the security of the external structure of the telecommunications management network.

telecommunications;management;network security;technology;design