摘要：電信業(yè)務管理系統(tǒng)是電信企業(yè)運營生產(chǎn)的支撐系統(tǒng)之一，系統(tǒng)網(wǎng)絡范圍廣、結構復雜且與因特網(wǎng)連接，因此，對于這種帶有重要信息傳輸?shù)木W(wǎng)絡其安全性必須得到保證。本文正是出于這點考慮提出了一個基于虛擬專用網(wǎng)絡技術的電信業(yè)務管理系統(tǒng)網(wǎng)絡安全設計，該設計能確保所傳輸?shù)臄?shù)據(jù)包不被外界人員非法截取和利用，消除關鍵系統(tǒng)數(shù)據(jù)在遠程傳輸過程中可能失密的隱患，從而有效地保證了網(wǎng)絡通信的安全。

關鍵詞：VPN；加密；鑒別；密鑰管理；身份認證；傳輸安全性

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1007-9599 （2012） 15-0000-02

1 引言

隨著計算機網(wǎng)絡的發(fā)展，網(wǎng)絡安全問題日益成為人們關注的焦點。尤其是在通過公共傳輸信道進行網(wǎng)絡互聯(lián)和信息共享的同時，如何解決系統(tǒng)和信息的安全問題已經(jīng)迫在眉睫。對于電信管理系統(tǒng)計算機網(wǎng)絡而言，它是一個多應用和多連接的網(wǎng)絡，隨時都面臨著來自各方面的安全威脅。因此，它的安全性問題成了當前的重要問題。

近幾年隨著網(wǎng)絡技術的發(fā)展，特別是VPN技術不斷成熟，為解決此問題提供了一個可行的方向，通過VPN的關鍵技術（隧道技術、加解密技術、密鑰管理技術和身份認證技術），可以有效的保護網(wǎng)絡上傳輸?shù)闹匾獢?shù)據(jù)包不被外界人員非法截取和利用，消除了關鍵系統(tǒng)數(shù)據(jù)在遠程傳輸過程中可能失密的隱患，進而確保了網(wǎng)絡通信的安全。因此，本文基于VPN關鍵技術提出了一個電信系統(tǒng)的網(wǎng)絡安全設計，該設計能夠有效的實現(xiàn)系統(tǒng)網(wǎng)絡信息數(shù)據(jù)安全、完整、高效、透明地傳輸。

2 虛擬專用網(wǎng)絡概述

虛擬專用網(wǎng)絡（Virtual Private Network）是一種基于IP和利用公共網(wǎng)絡基礎設施的網(wǎng)絡虛擬連接技術。當一個組織機構利用這種虛擬連接技術組成“自己的”專用網(wǎng)絡時，在這個專用網(wǎng)絡內，所有用戶共享相同的安全性、優(yōu)先權服務、可靠性和可管理性策略。它可以通過特殊的加密通訊協(xié)議連接在Internet上不同地方的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正地去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。虛擬專用網(wǎng)絡技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持虛擬專用網(wǎng)絡功能。一句話，虛擬專用網(wǎng)絡的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。

通過虛擬專用網(wǎng)絡，一個省級系統(tǒng)可以在公用互聯(lián)網(wǎng)絡上和各個地方的系統(tǒng)連接起來，實現(xiàn)總公司和分公司間點對點或端到端的“虛擬專用”聯(lián)接。也可以說，“虛擬專用隧道”如同在茫茫的廣域網(wǎng)上為企業(yè)拉出了一條專線?；贗P的VPN可將Intranet自然延伸至遠程辦公、移動用戶的廣泛連接，這種廣泛連接可理解為“任何地方”。

3 基于VPN的系統(tǒng)網(wǎng)絡安全設計

電信管理系統(tǒng)是電信企業(yè)運營生產(chǎn)的支撐系統(tǒng)，系統(tǒng)網(wǎng)絡范圍廣、結構復雜，且與因特網(wǎng)連接，所以必須為該系統(tǒng)設計并建立一套完善的網(wǎng)絡安全防護體系，以保證該系統(tǒng)的運行及信息的安全。在建立該體系前網(wǎng)絡結構如圖1所示：

從該系統(tǒng)網(wǎng)絡結構圖中可以看出，電信綜合業(yè)務管理系統(tǒng)計算機網(wǎng)絡是一個多應用和多連接的網(wǎng)絡，當它與Internet連接后其內外必然存在著較多的安全隱患，這使得它隨時都在面臨著來自各方面的安全威脅。這些安全威脅有：來自互聯(lián)網(wǎng)的安全威脅（主要來自黑客的入侵）、其他接入點和各地市分公司網(wǎng)絡對省公司主機房網(wǎng)絡的安全威脅、外部網(wǎng)絡對各地市分公司網(wǎng)絡的安全威脅、來自各局域網(wǎng)內部的安全威脅、網(wǎng)絡病毒的威脅、信息數(shù)據(jù)的安全傳輸?shù)耐{等。因此，為其建立一套全面而高效的安全體系就顯的由為重要。眾所周知，通常對于來自互連網(wǎng)的威脅都可以通過一個高效的防火墻加以防范，而對于通訊數(shù)據(jù)的保護就只有通過加密和簽名來實現(xiàn)了?；谝陨蟽牲c，本文做出了一個在廣域網(wǎng)通信線路上的省公司網(wǎng)絡和各地市分公司網(wǎng)絡之間進行遠程數(shù)據(jù)傳輸?shù)碾娦啪C合業(yè)務管理系統(tǒng)網(wǎng)絡防火墻中嵌入虛擬專用網(wǎng)絡模塊的雙重保障安全設計，通過在系統(tǒng)網(wǎng)絡間建立虛擬專用網(wǎng)絡通信信道可以確保所傳輸?shù)臄?shù)據(jù)包不被外界人員非法截取和利用，消除關鍵系統(tǒng)數(shù)據(jù)在遠程傳輸過程中可能失密的隱患，有效地保證網(wǎng)絡通信的安全。加了虛擬專用網(wǎng)絡系統(tǒng)后網(wǎng)絡的結構圖如圖2所示：

從圖中可以看出，本策略是在原有網(wǎng)絡各個網(wǎng)絡的數(shù)據(jù)通訊網(wǎng)絡（DCN網(wǎng)絡）出口位置布置虛擬專用網(wǎng)絡設備和在與互連網(wǎng)連接的交換機上加裝虛擬專用網(wǎng)絡管理中心，來實現(xiàn)對在廣域網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)進行加密和認證保護并有效的實現(xiàn)對虛擬專用網(wǎng)絡系統(tǒng)提供設備管理、用戶管理和自動密鑰管理等集中管理功能的。在系統(tǒng)網(wǎng)絡加裝了虛擬專用網(wǎng)絡設備后，可使得傳輸數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡中傳播。而且使系統(tǒng)不需要增加任何費用，就實現(xiàn)了其各地市，各營業(yè)點間的信息加密傳輸；同時，系統(tǒng)還可以利用Internet讓出差人員在遠程安全的接入內部網(wǎng)絡。加裝了虛擬專用網(wǎng)絡設備后，對于傳輸數(shù)據(jù)的加密認證保護過程為：對于一個原始IP包VPN通過IPSEC用隧道模式將IP數(shù)據(jù)包整個進行加密后再加上IPsec頭和新的IP頭，這個新的IP頭中包含有隧道源/宿的地址。當通過IPsec隧道的數(shù)據(jù)包到達目的網(wǎng)關（即隧道的另一端）后，利用IPsec頭中的安全相關信息對加密過的原IP包進行安全相關處理，將已還原的高層數(shù)據(jù)按原IP頭標明的IP地址遞交，以完成信源—信宿之間的安全傳輸。顯然，這種安全相關對于源/宿地址來說應是雙向的。

在隧道模式中AH是個認證協(xié)議頭，它是一個用于提供IP數(shù)據(jù)報完整性和認證的機制。其完整性是保證數(shù)據(jù)報不被無意的或惡意的方式改變，而認證則驗證數(shù)據(jù)的來源（識別主機、用戶、網(wǎng)絡等）。AH協(xié)議通過在整個IP數(shù)據(jù)報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報的唯一的數(shù)字指紋。消息文摘算法的輸出結果放到AH包頭的認證數(shù)據(jù)（Authentication_Data）區(qū)。通過消息文摘MD5算法可以提供數(shù)字的完整性服務。一個消息文摘在被發(fā)送之前和數(shù)據(jù)被接收到以后都可以根據(jù)一組數(shù)據(jù)計算出來。如果兩次計算出來的文摘值是一樣的，那么分組數(shù)據(jù)在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC-MD5認證過的數(shù)據(jù)交換中，發(fā)送者使用以前交換過的密鑰來首次計算數(shù)據(jù)報的64比特分組的MD5文摘。從一系列的16比特中計算出來的文摘值被累加成一個值，然后放到AH包頭的認證數(shù)據(jù)區(qū)，隨后數(shù)據(jù)報被發(fā)送給接收者。接收者也必須知道密鑰值，以便計算出正確的消息文摘并且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等，那么數(shù)據(jù)報在發(fā)送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發(fā)送的。在模式中的ESP是一個封包安全協(xié)議，它是用來實現(xiàn)一個通用的缺省算法即DES-CBC算法。它是一個對稱的密碼算法。接收方只有使用由發(fā)送者用來加密數(shù)據(jù)的密鑰才能對加密數(shù)據(jù)進行解密。因此，DES-CBC算法的有效性依賴于秘密密鑰的安全，ESP使用的DES-CBC的密鑰長度是56比特。因此可以看出在本系統(tǒng)中IPsec提供了訪問控制、無連接完整性、數(shù)據(jù)源鑒別、載荷機密性和有限流量機密等安全服務，完全彌補了由于TCP/IP協(xié)議體系自身帶來的安全漏洞，切實的保障了網(wǎng)絡中的數(shù)據(jù)傳輸?shù)陌踩浴?/p>

這里要注意的是要在省公司和各地市分公司網(wǎng)絡中采用可以和VPN集成的防火墻來為各自網(wǎng)絡提供安全保護，這樣在增加VPN系統(tǒng)后就不需要單獨的建立硬件平臺，可以直接嵌入到防火墻中協(xié)同工作，既提高安全性，又簡化了網(wǎng)絡結構。從而對網(wǎng)絡實現(xiàn)了雙重保護，確保了網(wǎng)絡上重要數(shù)據(jù)的安全傳輸。

4 結束語

本文給出了一個基于虛擬專用網(wǎng)絡技術的電信綜合業(yè)務管理系統(tǒng)網(wǎng)絡安全設計，該設計能較好的解決網(wǎng)絡中一些重要數(shù)據(jù)在傳送過程中數(shù)據(jù)包易被外界人員非法截取和利用，關鍵系統(tǒng)數(shù)據(jù)在遠程傳輸過程中可能失密的隱患，確保了系統(tǒng)的運行及信息安全，為電信系統(tǒng)安全提出了新的思路。

參考文獻：

[1]王勁松，張毅，樓佳，吳功宜，苗鈴.基于SSL VPN的遠程配置管理系統(tǒng)的設計與實現(xiàn)[J].通信學報，2006，z1

[2]BERBECARU D.On Measuring SSL-based Secure Data Transfer with Handhekd Devivces，2nd International Symposium on Wrreless Communication Systems，2005：409-413

[3]ALSHAMSI A，SAITO T.A technical comparison of IPSec and SSL[A].19th International conference on Advanced Information Networking and Applications[C]，2005：395-398

[4]中國電信綜合業(yè)務接入網(wǎng)關開放接口協(xié)議Version2.0，2007

[5]黃小平，陳平.基于IPSec的虛擬專用網(wǎng)VPN的設計[J].計算機應用與軟件，2003，20，7

[6]HARDING，ANDREW.SSL virtual private networks[J].Computers and Security，2003，22（5）：416-420

[7]Pena，C.J.C.Performance evaluation of software virtual private networks.local Computer Networks，2000，LCN 2000：522-523

[8]Chun Tung Chou.Traffic engineering for MPLS-based virtual private networks.computer network，Volume 44，Issue 3，20 February 2004，Pages 319-333