侯 艷

電信管理網(wǎng)絡(luò)安全技術(shù)研究與設(shè)計

侯 艷

（泰州職業(yè)技術(shù)學(xué)院,江蘇泰州,225300）

電信管理網(wǎng)絡(luò)是我國基礎(chǔ)信息建設(shè)的主體內(nèi)容之一，其安全性一直備受矚目。本文以電信管理網(wǎng)絡(luò)安全基礎(chǔ)為切入點，對目前我國電信管理網(wǎng)絡(luò)安全技術(shù)進行綜合性的討論，譬如：基本安全機制、安全支撐機制，同時分析了現(xiàn)有的電信管理網(wǎng)絡(luò)體系結(jié)構(gòu)，提出了電信管理網(wǎng)絡(luò)安全軟件技術(shù)和TMN多安全域安全體系結(jié)構(gòu)設(shè)計，以提高電信管理網(wǎng)絡(luò)外部結(jié)構(gòu)的安全性。

電信；管理；網(wǎng)絡(luò)安全；技術(shù)；設(shè)計

0 引言

隨著市場經(jīng)濟的不斷深入，傳統(tǒng)電信行業(yè)面臨著來自多個方面的競爭和考驗，而電信網(wǎng)絡(luò)的可靠性是電信發(fā)展過程中尤為重要的環(huán)節(jié)。不法分子利用偽裝、竊聽、篡改、抵賴、刪除報文、網(wǎng)絡(luò)洪泛等手段獲取非法利益，這使得電信企業(yè)和電信用戶蒙受者巨大的損失。因此，電信管理網(wǎng)絡(luò)的運行安全性變得尤為重要。電信管理網(wǎng)絡(luò)安全就是要保證信息處理和傳輸?shù)谋Ｃ苄?、完整性和可靠性。一個健全的電信管理網(wǎng)絡(luò)安全系統(tǒng)要求具有認(rèn)證、訪問控制、抗抵賴性、機密性和完整性等，可以降低電信業(yè)務(wù)中因為網(wǎng)絡(luò)漏洞而造成的損失和影響。

1 電信管理網(wǎng)絡(luò)安全基礎(chǔ)

1.1 基本安全機制

電信管理網(wǎng)絡(luò)基本安全機制是融合了諸多算法和協(xié)議的安全服務(wù)體系，通過復(fù)雜的計算程序提高電信管理網(wǎng)絡(luò)破解難度，基本安全機制主要包括：哈希（Hash）算法、加密體制、數(shù)字簽名、證書、訪問控制、Diffie-Hellman密鑰交換和認(rèn)證協(xié)議等。

1.2 安全支撐機制

支撐機制是一種網(wǎng)絡(luò)安全機制，能夠與基本安全機制關(guān)聯(lián)形成電信管理網(wǎng)絡(luò)安全基礎(chǔ)。電信管理網(wǎng)絡(luò)安全中的支撐機制主要包括：安全預(yù)警、安全審計日志、密鑰分發(fā)和GSS-API標(biāo)準(zhǔn)編程接口。

2 電信管理網(wǎng)絡(luò)體系結(jié)構(gòu)

圖2 .1 電信管理網(wǎng)絡(luò)物力體系結(jié)構(gòu)簡例

2.1 電信管理網(wǎng)絡(luò)功能體系

電信管理網(wǎng)絡(luò)功能體系能夠?qū)?fù)雜的電信管理網(wǎng)絡(luò)通過各個功能塊組合在一起實現(xiàn)對電信網(wǎng)絡(luò)的管理。在電信管理網(wǎng)絡(luò)功能模塊中包括：操作系統(tǒng)功能塊、中介功能塊、適配器功能塊、網(wǎng)絡(luò)單元功能塊和工作站功能塊。在各個功能塊發(fā)生信息交換的位置建立參考點，在功能塊與外界聯(lián)系的位置也建立參考點。

2.2 電信管理網(wǎng)絡(luò)物理體系

電信管理網(wǎng)絡(luò)的物力體系結(jié)構(gòu)是為了實現(xiàn)電信管理網(wǎng)絡(luò)功能而配置的物力結(jié)構(gòu)。如圖2.1所示：

2.3 電信管理網(wǎng)絡(luò)信息體系結(jié)構(gòu)

電信管理網(wǎng)絡(luò)信息體系包括管理信息模型和管理信息交換。管理信息模型是實現(xiàn)電信管理網(wǎng)絡(luò)的各種管理操作，譬如：信息的存儲和提取。管理信息交換利用接口規(guī)范或者協(xié)議進行數(shù)據(jù)通信和信息傳遞。

3 電信管理網(wǎng)絡(luò)安全軟件技術(shù)

電信管理網(wǎng)絡(luò)安全軟件技術(shù)包括：基于OSI的電信管理網(wǎng)絡(luò)安全、基于公用對象請求代管者體系結(jié)構(gòu)（CORBA）的電信管理網(wǎng)絡(luò)安全、基于SNMP的電信管理網(wǎng)絡(luò)安全。

其中基于OSI的電信管理網(wǎng)絡(luò)安全是控制服務(wù)元素（ACSE）、公共管理信息服務(wù)元素（CMISE）、安全轉(zhuǎn)換服務(wù)元素（STASEROSE）的安全，并采用安全協(xié)商和對等實體認(rèn)證等方式取保應(yīng)用的安全。

基于公用對象請求代管者體系結(jié)構(gòu)（CORBA）的電信管理網(wǎng)絡(luò)安全是以傳輸層SSL3和應(yīng)用層抗抵賴性模塊共同支持的基于TCP/IP安全服務(wù)。再由TeNoRIOP安全，是作為CORBA的一個補充，其對抗抵賴性模塊的安全服務(wù)更加具有獨立的安全機制。

基于SNMP的電信管理網(wǎng)絡(luò)安全采用SNMPv1通過IPsec進行保護的，其能夠為幾個實體共享電信管理玩過的一個公共安全網(wǎng)關(guān)提供保護方案；SNMPv2安全網(wǎng)關(guān)方案與SNMPv1相似，SNMPv2提供的安全機制包括：認(rèn)證加密、訪問控制等。SNMPv2所賦予給通信實體的是一個唯一的標(biāo)識；SNMPv3也是采用IPsec進行保護，其包括：基于用戶安全模型和基于視圖訪問控制模型兩大安全組件。

4 TMN多安全域安全體系結(jié)構(gòu)設(shè)計

4.1 總體結(jié)構(gòu)

由于電信管理網(wǎng)絡(luò)的管理活動時采用X接口實現(xiàn)交互的，因此，確保X接口上的管理活動安全性就成為電信管理網(wǎng)絡(luò)安全服務(wù)中尤為重要的環(huán)節(jié)。在TMN多安全域安全體系結(jié)構(gòu)設(shè)計中首先要確認(rèn)的是安全體系結(jié)構(gòu)中的組件，其中包括：CMISE、ACSE等ASE接口管理的應(yīng)用集成安全組件，其結(jié)構(gòu)組件示意圖如圖4.1所示：

4.2 安全體系結(jié)構(gòu)組建

4.2.1 安全上下文

安全上下文包括特定的加密技術(shù)、針對交換數(shù)據(jù)的語法和語義，能夠為對等實體雙方提供相應(yīng)的安全機制。在建立聯(lián)系時安全上下文的協(xié)商可以運用ACSE中的Authentication字段傳輸GSS-API生成token來完成。

4.2.2 對等實體認(rèn)證

在建立聯(lián)系期間發(fā)起實體向安全支撐組件發(fā)送請求，請求一個認(rèn)證標(biāo)記，可由ACSE中的Authentication字段傳輸，接收實體必須要在ACSE響應(yīng)中返回一個認(rèn)證標(biāo)記，由此才能建立安全上下文。

4.2.3 訪問控制

訪問控制可以分為：全局訪問控制、針對聯(lián)系的訪問控制、針對管理操作的訪問控制和針對通告的訪問控制。全局訪問控制體可以分為發(fā)起安全域和目標(biāo)安全域。發(fā)起實體安全域是針對發(fā)起的聯(lián)系請求、管理操作請求和通告進行控制；目標(biāo)實體安全域是針對進入的聯(lián)系請求、管理操作請求和通告進行控制。

4.2.4 機密性與完整性

保證數(shù)據(jù)的機密性與完整性需要調(diào)用GSS-API完成安全轉(zhuǎn)換，參數(shù)通過編碼將ASN.1編碼之串接到服務(wù)體系中生成ICV，并同時進行了加密，進行訪問控制。

4.2.5 抗抵賴性

抗抵賴性是指對發(fā)起實體和目標(biāo)實體之間可能發(fā)生爭議的部分生成有效證據(jù)，作為爭執(zhí)解決參考?？沟仲囆苑?wù)可以由抗抵賴性證據(jù)信息生成、證據(jù)記錄、證據(jù)驗證、證據(jù)檢索、檢索證據(jù)重驗證幾部分構(gòu)成?？沟仲囆詰?yīng)用在發(fā)起實體是指來源抗抵賴，應(yīng)用在目標(biāo)實體是指接收抗抵賴?？沟仲囆杂袕娙踔?，強抗抵賴性需要使用非對稱密鑰或者引入數(shù)字簽名，弱抵賴性則只利用認(rèn)證、操作日志進行爭執(zhí)的評判。

4.2.6 密鑰管理

TMN多安全域安全體系結(jié)構(gòu)中的所有認(rèn)證服務(wù)都需要使用公鑰技術(shù)，因此，可以憑借第三方公鑰管理方案來完成密鑰管理。第三方公鑰管理方案要具有跨安全域可信交換性，譬如采用公鑰

圖4 .1 安全體系結(jié)構(gòu)組件示意圖

基礎(chǔ)設(shè)施PKI進行高程度的自動化密鑰管理。

4.2.7 其他因素分析

安全轉(zhuǎn)換服務(wù)元素（STASE-ROSE）能夠?qū)φ麄€ROSE PDU進行加密和簽名，在協(xié)議棧中利用安全轉(zhuǎn)換服務(wù)元素可以在CMIP數(shù)據(jù)傳輸階段建立GSS-API安全上下文對ROSE PDU進行保護。

5 結(jié)語

電信管理網(wǎng)絡(luò)安全問題具有一定的特殊性，TMN多安全域安全體系結(jié)構(gòu)設(shè)計能夠確保電信管理網(wǎng)絡(luò)跨安全域的管理活動安全，實現(xiàn)電信信息與數(shù)據(jù)的傳輸完整性、機密性和訪問控制性。由于TMN多安全域安全體系結(jié)構(gòu)并不能對下層協(xié)議棧，因此在網(wǎng)絡(luò)安全的全面性方面仍有一定的欠缺，因此，在關(guān)于電信管理網(wǎng)絡(luò)安全方面仍需要注意不同系統(tǒng)的交互加密；公鑰證書格式的擴展格式；電信管理網(wǎng)絡(luò)的內(nèi)部認(rèn)證機構(gòu)（CA）標(biāo)準(zhǔn)等問題。雖然本文提出了一系列電信管理網(wǎng)絡(luò)安全技術(shù)，但是由于電信管理網(wǎng)絡(luò)所涉及的安全層面非常復(fù)雜，對于電信管理網(wǎng)絡(luò)安全仍需要進一步的研究。

[1] Milan Jovic,Andrea Adamoli,Dmitrijs Zaparanuks,Matthias Hauswirth.Automa ting Performance Testing of Interactive Java Applications. AST’’10 .2010

[2] Altendorf Eric,Hohman Morses,Zabicki Roman.Using J2EE on a large,web-based project.IEEE Software . 2002

[3] 劉強,武波.基于TMN的電信管理網(wǎng)研究與實現(xiàn)[J].計算機技術(shù)與發(fā)展.2006(05)

[4] 劉建.電信管理網(wǎng)TMN綜述[J].計算機與數(shù)字工程.2005(01)

[5] 徐馳.電信設(shè)備性能數(shù)據(jù)監(jiān)管系統(tǒng)[D].山東大學(xué)2013

[6] 閆曉輝.通信網(wǎng)絡(luò)管理系統(tǒng)的研究與實現(xiàn)[D].山東大學(xué)2006

[7] 劉斌.數(shù)據(jù)抓取平臺設(shè)計搭建與對等網(wǎng)絡(luò)研究[D].北京交通大學(xué)2007

[8] 沈曉虹.基于TMN標(biāo)準(zhǔn)的PHS網(wǎng)管系統(tǒng)的設(shè)計與實現(xiàn)[D].上海交通大學(xué)2008

Telecommunications Management Network Security Technology Research and Design

Hou Yan
(Taizhou Polytechnic College,225300)

Telecommunications Management Network is one of the main content of the construction of basic information,its safety has been well received.In this paper,telecommunications management network security infrastructure as the starting point for the present,China's telecommunications management network security technology for a comprehensive discussion,such as:basic security mechanisms,security support mechanism, and analyzes the existing telecommunications management network architecture proposed telecommunications management of network security software technology and multiple security domains TMN security architecture designed to improve the security of the external structure of the telecommunications management network.

telecommunications;management;network security;technology;design