网络安全架构

2025-01-24

网络安全架构（共11篇）

网络安全架构篇1

一、概述

网络的最大价值, 在于信息化的应用。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体, 企业对网络安全保护的要求日益提高。当前利用结构化的观点和方法来看待企业网络安全系统是主流思想, 通过各层的弱点及攻击的可能性对各层进行分析及防护, 对可能发生的攻击事件或漏洞做到事前防护, 合理地利用各种硬件设备, 通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。

二、企业网络安全架构

企业网络管理的核心是网络应用, 如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天, 安全需求格外重要。当企业在架构网络前, 应当全面的分析相应网络中可能存在的安全隐患, 以及网络应用中必要的安全需求。

1、网络安全威胁

从目前的企业网络使用情况及日后的应用发展来看, 主要存在以下几种安全威胁: (1) 、病毒感染。病毒感染是危害面最广的安全隐患, 威胁整体网络运行。组建企业网络时选择部署整个网络系统的病毒防御系统。 (2) 、黑客入侵和攻击。黑客攻击的危害性很大, 入侵途径和攻击方式多样化, 难以预防。目前防御措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击, 还应辅以系统漏洞和补丁升级系统。 (3) 、非法访问。非法用户访问企业网络时可能携带、放置病毒或其它恶意程序, 也可能删除服务器系统文件和数据以及窃取企业机密信息等。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外, 还应注意在网络管理中引入安全机制, 如对关键部门划分子网隔离保护, 对重要的数据和文件进行加密以及对于需要进行远程访问的用户, 注意权限配置工作。 (4) 、数据损坏或丢失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效, 也是最后一项保护措施。

2、网络架构概念

企业网络安全是系统结构本身的安全, 应利用结构化的观点和方法来看待企业安全系统。全方位的、整体的信息安全防范体系应是分层次的, 不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构, 从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构。

三、学院网络安全系统分析

结合本学院网络建设的实际情况, 在此对分层架构安全体系进行具体阐述并对网络层的安全进行重点研究。

1、物理层安全

物理层的安全主要就是对设备和链路及其物理环境的安全保护。

这里着重考虑学院信息中心的建设。信息中心作为学院的数据中心, 承载所有的应用服务器的运行, 所以信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火以及不间断供电以外, 还应注重信息中心的综合布线布局, 做好整体规划及标记, 力争布线的简洁、有序, 便于日后维护及故障排查。

2、系统层安全

主要包括操作系统安全和应用系统安全。系统层的安全, 主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心 (wsus) , 对于微软发布的系统补丁, 进行补丁下载和安装, 提高操作系统的安全性, 有效降低系统的安全风险。我们还可以采用绿盟的极光远程安全评估系统扫描出整个网络中所有设备上的漏洞, 并且与wsus服务联动, 仅在绿盟的设备上就可以对这些漏洞进行修补。对于应用系统服务器来说, 除了加强登陆的身份认证权限, 还应该尽量开放最少的端口, 保证服务器的正常使用。

3、网络层安全

网络层安全是我们考虑最多, 也是防范要求最多的一个层面。这里从以下几个方面进行阐述:

(1) 确定安全域的划分

安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源, 根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同, 划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内, 尽量消除不同安全层次之间的联系, 实施相互逻辑或物理隔离。

从目前情况分析, 学院内部的财务处和人事处因业务及数据的保密性和敏感度, 需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外, 划分vlan的另一个好处就是减小广播包的数量, 控制网络流量, 避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据, 所以问题较严重。在这之前财务处是被独立划分为一个网段, 与其它网段用ACL列表进行隔离。但是在客户端统一纳入学院域之后, 之前做的ACL列表不起任何作用。经分析, 我们发现在域内pc之间的通讯协议发生了变化, 于是将所有的TCP、UDP协议进行拦截, 只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器, 比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来, 不需要进入内网进行保护。其它服务器则放置于内网保护区域内, 独立划分为一个vlan。

(2) 攻击阻断

这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。

首先, 为了保护内部网络, 在Internet出口部署防火墙, 将内部网络与因特网隔离, 只在内部网与外部网之间设立唯一的通道, 将攻击危险阻断在外, 并限制网络互访从而保护企业内部网络。另外, 利用防火墙的端口, 设置LAN区、SSN区以及外网区。LAN区是不对外开放区, 所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器, 如web服务器、ftp服务器及邮件服务器。

由于防火墙处于网关的位置, 不可能对进出攻击做出太多判断, 否则会严重影响网络性能。所以这里需要部署入侵保护系统 (Ips) 作为防火墙的有力补充。将Ips串联在主干线路中, 是网络安全的第二道屏障, 可构成完整的网络安全解决方案。除此之外, 我们还可以进行恰当的设置, 使防火墙、Ips联动起来。当Ips检测到入侵和攻击后, 会通过联动接口部件, 将入侵特征和事件报告给防火墙, 防火墙接到入侵信息后会动态地修改自己的安全访问控制策略, 在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。这样防火墙和Ips联动起来后, 防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整, 这样不仅能提高安全性, 而且不必要的访问控制规则和规则链会被及时地删除掉, 对网络性能造成的影响也会降到最低。

防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天, 即使网络部署了防火墙和入侵保护系统后, 仍然会存在漏洞。学院网络应该建立立体防毒体系, 就是指在网络的边界处部署硬件防毒墙, 然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上, 能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦, 而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部, 整个网络进行立体地防护, 极大地提高了全网的防毒能力, 是防火墙及入侵保护系统的有力补充。

(3) 远程接入控制

对于学院的三个分院以及外出办公人员, 需要通过Internet访问学院本部, 这里考虑vpn (虚拟私有网络) 技术来实现。现有vpn技术有Ipsec vpn以及ssl vpn。从学院目前网络使用情况并考虑日后发展状况, 将以Ipsec vpn作为点对点连结, 再配以ssl vpn的远程访问方案。在交通分院、建设分院、卫生分院三地之间架设防火墙, 利用防火墙的网关对网关的Ipsec vpn满足三地办公的需要, 再选购ssl vpn来满足移动办公人员访问学院内网高安全性及可靠性的需求。我们目前一直使用天融信防火墙自带的ipsec vpn, 除了因为网络问题带来的故障以外, 可以说vpn功能基本达到了我们的需求。但是对于它的移动vpn, 因为客户端的产品型号、操作系统及应用软件的差异, 有必要另选用一套ssl vpn满足移动办公访问学院内网的需求。

(4) 身份认证

对于不同的应用, 访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全, 也是对远程接入安全控制的有益补充。

4、应用层安全

主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验以及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登陆的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在web服务器前部署web应用防火墙。对于数据库来说, 为了提高用户访问数据库的速度和数据库中数据的安全性, 我们可以采取磁盘阵列来代替普通的存储设备, 极大地扩展了存储容量, 在性能和安全性上也有了大幅度的提高。考虑到以后我们的应用不断增多, 数据量不断加大, 为了保证性能和安全性, 我们可以着手建设SAN或NAS, 甚至可以做异地容灾备份, 即使发生自然灾害, 我们也可以在最短的时间内恢复我们的数据和我们的应用。

5、网络安全管理体系的建立

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性, 才能保证安全控制措施有效地发挥其效能, 从而确保实现预期的安全目标。因此, 建立有组织的安全管理体系是网络安全的核心。其过程如下: (1) 、安全需求分析。明确目前及未来几年的安全需求, 即我们需要建设什么样的网络, 网络状况如何, 未来发展如何等等, 有针对性地构建适用的安全体系结构, 从而有效地保证网络系统的安全; (2) 、制定安全策略。根据不同部门的应用及安全需求, 分别制定部门的计算机网络安全策略, 做到资源最优化; (3) 、外部支持。通过专业的安全服务机构的支持, 将使网络安全体系更加完善, 并可以得到更新的安全资讯, 为计算机网络安全提供预警。定期进行巡检, 保证所有网络设备和安全系统的运转正常, 提早发现隐患, 将网络故障对学院整体的影响降至最低。

6、计算机网络安全管理

安全管理是计算机网络安全的重要环节之一, 也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动, 规范组织的各项业务活动, 使网络有序地运行, 这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面, 我们倡导“三分技术, 七分管理”, 指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面, 就是加强网络安全宣传, 提高学院职工对网络安全的认识和保护网络安全的自觉性, 从每个网络用户开始进行“主动防护”, 防止“病从口入”。

四、总结

任何一种单一的技术或产品都无法满足我们对网络安全的要求, 只有将技术和管理有机的结合起来, 合理分析需求, 按照体系架构进行安全方案的部署, 从控制网络安全建设、运行和维护的全过程入手, 才能提高整个网络的安全水平。

摘要：随着网络的普及化, 企业信息化建设对网络安全的要求日益加剧。本文讨论了分层架构企业网络安全的概念, 提出结构化的网络安全系统解决方案, 并结合职业学院的网络安全实例进行具体阐述。

关键词：网络安全,分层架构,安全管理

参考文献

[1]李卫.计算机网络安全与管理[M].北京:清华大学出版社, 2004.

[2]袁德明, 乔月圆.计算机IT技术[M].北京:电子工业出版社, 2007.

[3]葛彦强, 汪向征.计算机网络安全实用技术[M].中国水利水电出版社, 2010.

网络安全架构篇2

岗位职责：

1、组织对网站的整体规划：内容建设，网站布局，网站结构方面的规划

2、门户网站的互动功能、架构设计及详细的文档编写

3、与各部门人员的沟通。

4、配合市场活动，带动栏目的人气扩展、公司品牌

5、网站功能测试及维护管理。

6、组织进行目标客户深层调研。

网站程序员岗位职责

网站程序员岗位目的:

负责公司旗下网站前后台服务功能的修改和升级，并保证旗下网站软硬件平台的正常高效运行。

岗位职责：

1、编写开发计划

负责公司旗下网站功能改进计划和网络安全计划的编写。

参加用户需求调研，详细记录用户的需求，结合自身所掌握的编程技术，提出初步解决方案。详细深入的掌握所承担项目的需求分析和设计报告。尽职尽责编写出实现各项功能的完整代码。

2、网站功能修改和升级

按照计划的时间和质量要求，对网站前后台功能进行修改和升级；负责网站代码的优化和维护，保证网站的运行效率。

3、日常业务开发

每天程序员根据公司网站业务需要开发，制作和程序修改要求，必须按时按质按量地完成日常公司网站业务的编程开发技术工作。

4、网站测试

网站开发前期必需先测试，测试成功后方可上传。如因违规操作造成的公司损失由个人全部负责。

5、软硬件维护

负责每半个月必须对公司旗下网站软硬设施进行安全和稳定性巡检；并负责统计和监视系统日志。同时，也要做好内部局域网和网站机房的系统和网络故障的检修排除工作。

网站美工岗位职责

岗位职责：

1、服从公司指挥，认真执行其工作指令，一切管理行为向公司负责。

2、严格遵守公司规章制度，认真履行工作职责。

3、负责公司广告、图片、动画、海报、logo及网页的设计制作。负责公司的美术设计和制作工作责任：

1、根据公司经营需要，进行各类美术设计和制作。设计、制作公司所需的广告牌、宣传品、公司用品、办公用品。

配合相关部门，对公司大型活动的会场进行布置。为重要客人提供所

需的美工服务。为树立公司形象进行美术设计和制作。保管所用的美工工具和美术材料。熟悉本岗位工作，努力

学习相关知识。

2、负责网站页面的美工设计，修改

配合技术部门对网站页面设计和技术的配合网站整体栏目、网页的设计制作；

网络编辑岗位职责

1、掌握计算机和网络知识,了解网络传播规律。网络媒体不同于传统媒体,就在于它是以计算机为终端的、基于互联网传播平台而发布信息的媒体,掌握计算机和网络知识是网络编辑必备的知识素养。

2、具有“原创性质”的整合能力，即伪原创。

3、充分了解国家相关政策和法规，把握正确舆论导向。

4、具有强烈的市场和服务意识。

在线客服岗位职责1、2、务必以顾客为中心，让每个顾客的购买都轻松愉快；为客户提供高水准的售后服务,并以良好的心态及时解决客户

提出的问题和要求,提供售后服务并能独立解决一般投诉,评价问题；

3、4、回复顾客留言和维护商品上架信息，保证网店的正常运作；汇总并整理日益增加的客户需求和问题，定期制作客户服务报

基于网络架构的安全性对策篇3

文章从网络架构的角度研究了网络的安全性，分析了现有因特网脆弱的原因，提出了基于网络架构的安全性对策以及基于这些对策的因特网新架构，并对相关有争议的问题进行了分析讨论。

关键词：

网络安全；网络架构；带内信令；带外信令；面向连接；无连接

Abstract:

This paper works on network security from network architecture point of view. First of all the weakness of the present Internet is analyzed, then some counter measures come to the conclusion and a new Internet architecture is proposed. With regard to the new architecture some questions are raised and discussed.

Key words:

Network security; Network architecture; In-band signaling; Out of band signaling; Connection-oriented; Connectionless

传统的电信网络，也即基于电路交换方式的网络，正在逐步为新一代基于数据包方式的网络所取代。但现有基于数据包方式的网络(即现有因特网)还存在着许多问题必须有效地加以解决，否则它的发展就会受阻碍。在这些问题中，有两大令人头痛的问题是至今仍难以解决的：一是网络的安全性，二是网络端到端服务质量的保障问题。

现在商家已经将有效性高的网络叫电信级的网络。其实仅有电信级的服务质量是不够的。一个真正电信级的网络必须既有电信级的服务质量又十分安全。没有足够的安全保障，就谈不上电信级的网络。

基于电路交换方式的传统网络尽管正在过时，但从网络安全的角度，应该承认，它仍然是较好的。在电话网时代，人们很少为网络的安全而担心，这说明在原有电信网络中安全问题解决得较好。对此有人可能会持疑义，因为有不少论述网络安全的文章中都将网络安全问题视为包方式网络所特有的，在传统网络中是不存在的。其实不然，在传统的电信网中同样存在着类似的安全问题，同样可以窃听，非法占用服务，捣乱呼叫，甚至可以通过充入大量虚假的业务量而使网络过载(相当于拒绝服务)，只是这些问题得到了较好的解决，才没有引起如此众多的关注。

当然，包方式网络的安全性有其独特的地方，例如计算机病毒的传播，“特洛依木马”式的侵入与破坏等是包方式网络所特有的。

1 现有包网络安全性的脆弱面

1.1 包网络安全性现状

网络遭受攻击对象可以分为两个方面：一个是公共网络设施，一个是终端。前者被破坏的影响面较大，需要特别地加以关注。

从媒体的报道来看，端到端的攻击是很频繁的。端到端的攻击是基于协议、操作系统和应用软件的开放性，以及许多软件中有意无意地存在着的缺陷。开放性是我们得以方便地建立通信，利用第3方的软件以及使软件COTS(可在商店货架上出售)化所必须的，因此不可能因为黑客攻击而放弃开放性。软件的缺陷在实际中也往往难以避免。

在目前对于网络攻击的报道中，多数是对网站和服务器的攻击，即端到端的攻击,较少有对大规模公共通信设施进行破坏的报导。这是因为：

(1)公共通信设施，如路由器等已经采取了相对较为严密的安全措施。

(2)公共通信设施未引起一般攻击者的兴趣。现有的攻击者大都是为了验证与表现一下个人的能力，或者只是一些一般的恶作剧者。

(3)真正对公共通信设施的侵入者，其行为是极其保密和有政治背景的，诸如窃听机密之类的事不易为人发现。

虽然网络公共通信设施被侵入与破坏的报导较少见，但千万不要忽视这种IP公共通信设施被窃听、攻击与破坏的可能性和现实性。目前的信息战都是处于隐蔽的状态，以窃听为主，如果要公开地进行破坏性的信息战，由于攻击者是一些有政治目的的集团或国家，在技术上又是手段高强的行家里手，它们对公共通信设施的破坏将会产生极其严重的结果。另外一些发展中国家，包括中国在内使用了大量进口的软硬件，在这些软件和硬件中是否会有什么特意设置的东西，使外国间谍机构可以借此进行窃听和遥控，更是难以排除的忧虑。

为了应对各种各样的网络攻击，较好的对策是：

(1)不断地改进接入的认证和授权。但典型的认证都是靠的口令，口令一旦被窃取或识破，就难免会遭受攻击。

(2)加密方法和密钥分发方式的改进。不断有新的加密算法产生，包括对称的密钥系统和不对称的密钥系统，但是也不断有解密的办法闻世。国际上广泛采用的数据加密标准(DES)算法，目前虽然还未见成功破解的报道，但它的密钥长度是美国国家安全局规定的，可以肯定DES对于美国安全局来说并不保密。

(3)检测伪造的业务流，防止拒绝服务。

(4)加强病毒的检测和软件与数据修复的能力。

(5)检测信息完整性。这只能发现问题，无法防止攻击。

(6)在电子商务应用中还有电子签字，不可否认技术等。但能否有效运转仍有待考验。

为了保证安全，人们可说是层层设防，处处设防，耗费了大量的处理能力和代价。所谓层层设防，表现在从物理层到应用层，几乎协议的每一层都有为保密而设置的机制和协议。处处设防更是显而易见，每个局域网(包括终端与用户网)，每个单位、机构，每个管理域，每个国家，每个商务平台都有各自的安全系统。这些安全系统，不能不说起到了一定的作用，但代价很大，很复杂，而且即便如此，人们仍然对因特网使用的安全性持怀疑态度。

1.2 因特网脆弱的根源

因特网之所以在安全性上如此脆弱有许多方面的原因，其中的一个重要方面是网络架构的缺陷。

首先，现有因特网采用带内信令方式，即控制信息(用于寻址的地址信息)与用户数据在同一路由传输，而且打在同一个数据包中，这种简单的自带寻址信息数据报(Datagram)的控制方式带来了两方面的问题：

(1)用户信息很容易被窃听和跟踪。窃听者只要能读取地址或地址前缀(用地址过滤器)，就可以从浩瀚的信息流中将需要窃听的信息分离出来，得到十分完整的发送者地址、目的地地址以及通信内容信息。

(2)网络的控制与管理信息与用户数据采用同样的格式与选路方式，走同样的路由。用户除了可以进行正常的通信外，能接入到网络的公共设施，与公众网络中的服务器、路由器或交换机进行通信，实施对公共设施的控制、修改、监视、破坏，或使公共设施拒绝服务，造成网络安全无可靠保障。

其次，简单的传送方式带来了因特网在架构上的无政府主义。表现在大大小小网络在TCP/IP的基础上能随意连接，用户主机、网络公共设施、专网等在协议上接口规范上都是平等的。因此，只要有本事能识破认证与加密，就可以从网络的任何一点去攻击远在天边的任何对象，不管它是在公网还是专网，而且常常难以找到攻击者。

还有，过分的开放性也是网络安全的一大隐患。它使黑客不仅能通过网络非法接入一个终端、服务器或网元，而且能深入到对方的内部，进入到操作系统，对对方的操作系统进行控制，这是十分危险的。必要的开放性是要的，但不应该开放到可轻易进入内部操作系统的程度。系统中应该设有某种机制，使外来信息无法直接调用操作系统。

最后一点想说明的是认证的有效性问题。认证是目前对外来接入进行控制的主要手段，它在某种程度上，确实起到了保护作用。但这种手段有两方面的问题：一是需要用户去记住许多密码，而且密码如果太简单容易被用枚举法识破，太复杂了则难以记住和容易搞错；另一方面是它的非客观性，即它不能客观地识别通信方，它认的只是密码，只要密码正确就会被认为是合法的使用人，但实际上密码可能被窃取或被猜测到。

相比之，采用带外信令的现有电信网没有上述问题。这关键是因为电信网采用了公共的信令系统，并使用户网络接口的规范不同于网络接口规范。在这种系统中，控制网络的信令与用户信息是完全分开的，且各走各的路由。窃听者要同时获得用户信息及与信息对应的地址很困难。网络的公共设施，如交换机、信令转接点、SCP等只受从特定路由来的信令控制，一般用户不可能接入。这使网络的公共设施完全控制在管理者的手中。因此除非钻入到管理者的内部，否则无法控制与修改网络。

由上可见，要解决因特网的安全性问题，光从认证与加密上努力是不够的，还必须从网络架构上采取措施，才能使网络的安全达到可与电信相比的高度。

2 安全性对策

2.1 可采取的对策

根据上面的讨论，从网络架构上采取措施，大致可以采取如下的安全性对策：

(1)改变Datagram的工作方式。将地址信息放入带外的信令系统中传送，也就是不再将地址信息与用户数据封装在一个包中，而将它与网络的其他控制信息及管理信息都交于专门的信令网络去传送；与此同时，用户数据本身则直接在下层的传输交换平台进行传送，如直接通过多协议标记交换(MPLS)进行传送。采取这一架构，控制信息与用户信令在格式上，信道上将都完全分开。再加上下述的第2个对策，网络公共设施的控制与管理将只能通过公网的信令来实现，普通用户不可接入，因而可确保网络公共设施的安全性。同时由于地址信息(如源地址、目的地地址等)已不再与用户数据在一起，网络窃听者将难以跟踪特定的用户和窃取通信的完整信息。

(2)明确区分公网设施与专网设施(包括用户终端和用户网络)。用户终端或用户网络与公网间采用用户网络接口(UNI)，公网网元之间和不同公网的网元之间采用网间接口(NNI)，并使两者在协议上不一样。公网与公网之间在接口上依据需要，可设置必要的安全功能，所交换的信令信息明确标明发送该信令的网络识别码和信令实体的识别码，并作必要的记录。用户通过UNI只能申请与接受规范化的服务，UNI信令有明确的格式与定义，不可能对公网的操作起任何作用。

(3)以网络对用户的客观识别来代替或加强用户的认证与接入控制。网络要有识别用户的能力。这在传统电信网中是已经做到了的。在有线接入的情况下，端局与接入网可以通过物理的端口与信道来识别通信发送方（或主叫方），并通过查询相关的用户资料(User profiles)来判别该用户是否有权使用所请求的服务。在多点到点或共享媒体(即多址接入)的接入系统中，采用适当的技术也可对发送方（或主叫方）进行定位。在无线接入的情况下则可以通过识别用户识别模块(SIM/UIM)卡以及拜访位置寄存器(VLR)与归属位置寄存器(HLR)间的通信来识别用户。这些识别都是比较客观的，是用户难以伪造的。由于一个用户可能有多个使用人，还可以将这种客观的识别与密码的认证结合起来使用，大大提高接入控制的可靠性。上述对用户的识别将不仅仅用于本地接入的控制，还可以用于远程的识别与认证。方法是采用类似于电信网主叫线识别提供(CLIP)的信令功能，在设计因特网的信令系统时也可以提供类似的发送者(或主叫者)的识别提供功能，来代替或加强远程用户的识别、认证等接入控制。在网间互通的情况下(如用户经由PSTN接入因特网的情况下)，可要求接入网络(即PSTN/ISDN)提供用户的识别信息，因特网本身应建立这种互通用户的用户数据，并进行核对。

采用上述安全性对策后，强大的信令系统与控制功能可以提供很多安全服务。如捣乱用户的追查功能；可疑用户的监测功能；建立用户通信信用数据库，拒绝为信用不良的用户服务等。

归纳起来，在采取上述措施后，可带来如下的好处：

*基本消除一般用户对于公网设施的入侵与破坏；

*大大提高窃听和对特定用户的通信进行跟踪的难度；

*大大提高接入控制/用户认证的可靠性；

*实现对捣乱用户的迅速追查。

但这些措施对于端到端的入侵仍无能为力。端到端的入侵问题需要在终端上采取措施。如采取防病毒措施，在操作系统上进行改进，对外来通信中所带的可执行文件特别处理，在不可靠的情况下，不予执行等。

2.2 新的网络架构

基于前述对策和IT技术的最新发展趋势，可提出因特网的新架构。图1所示为采用带外信令的因特网网络新架构。

新的架构有如下特点：

(1)依据控制与传送分离的趋势，将采用控制层和传送层分离的网络架构。传送层将采用国际上看好的MPLS技术，网络由MPLS接入网和一系列MPLS交换机组成的MPLS核心网构成，它在控制层的控制下进行用户信息的传送。

(2)控制层由一些选路交换控制器和带外信令网组成。控制器之间通过控制器到控制器之间的信令交换控制信息，并通过控制器到MPLS交换机的信令对传送层进行控制。控制层的功能将包括两个方面：一个是呼叫/会话(Call/Session)的端到端控制，另一个是对核心传送网的控制。前者是针对单个用户或应用的数据流(Micro-flows)，后者是针对集合数据流(Aggregated data flows)的标签交换路径 (LSP)。

(3)用户网络接口处用的是用户网络信令，核心网上用的是网元间的信令，包括控制器到控制器之间的信令和控制器到MPLS交换机的信令。两者将分别地进行规范。

图1显示的只是公网，专网将作为用户处理。另外图1中难以直观表达的还有如下功能：

(1)接入网或端局将具备用户的客观识别功能，并能将这种识别信息通过信令传送给控制层(边缘控制器)。

(2)控制层应在Call/session建立的控制信令中将上述用户的识别信息传送给远端的主机或服务器，用于远端的接入控制。

(3)控制层与传送层相结合，还可以向用户提供其他必要的安全服务功能，如捣乱用户的追查等。

2.3 新网络架构带来的好处

在采用上述带外信令的网络架构后，IPv4地址空间不足、网络传送开销大、处理层次过多等问题也将同时迎刃而解，因为Datagram的带内信令方式不仅是现有包网络安全性问题难以解决的根子，也是其他问题存在的关键所在。

在带外信令的情况下，网络地址将不过是网络信令中的一个参数。地址不够用时只需进行地址参数长度的修改，根本不必要在协议层次上作重大变动。因此如果采纳这种带外信令的网络架构，向IPv6的过渡就不再需要。带外信令方式还将允许采用不同类型的网络地址(包括现行的IP地址和任意位数的地址长度，只需要在地址字段中设立地址类型子字段和地址长度子字段)。

由于网络控制信息走的是信令信道，在用户平面上，用户数据将只需要进行二层的包装处理。这样既可精简网络的处理层次，又可以减少传输开销，从而可大大提高网络的传送效率和服务质量。

由于采用了端到端的信令商议，端到端的QoS保障将不再是问题。

3 对相关有争议问题的讨论

3.1 采用带外信令的可行性问题

应该说采用带外信令的网络新架构方案将从根本上改造现有因特网赖以生存的IP协议，数据将不再被打成由IP包头和有效负荷组成的IP包，IP选路(Routing)的方式也将被丢弃。在这种情况下，网络还能不能有效地运转是首先要回答的问题。

首先，从理论上讲，是不存在问题的，因为它的原理与传统的电信网是类似的。通过端到端的信令交换可以为用户通信确定通信的路径及路径可用性。其次，数据传送层可以在信令的控制下建立一系列LSP，构成一个端到端的链接，将两端的用户在链路层上连接起来，就像在PCM通路层上建立连接一样。与传统电信网不同的只是传送的对象是数据包，利用的信道是标签复用的虚通路的连接。事实上本人已经对具体的实现方法进行了研究，证明可以在这一架构上实现将所有服务都载于 MPLS，即MPLS传送话音(Voice over MPLS)、MPLS传送数据(Data over MPLS)和MPLS传送视频(Video over MPLS)。

采用带外信令的网络新架构方案确实对现有因特网作了较大的改变，但受影响的主要是网络层。对网络层以上的协议和MPLS下层的协议影响不大。当然与IP层相接的传送层协议(TCP/UDP等)和MPLS层本身将作一些相应的修改。即便是网络层，原有的选路算法与不少协议修改后仍可使用。至于信令，现有IETF的信令协议也可能在适当修改后用于新的网络。

3.2 采用带外信令是不是倒退

有人可能会问，带外信令系统是传统网络中使用的技术，在因特网中采用这种技术是否是一种后退。其实不然。电路交换确是传统技术，但传统技术中的某些方法与原理在新一代的技术中得到应用是常见的事。事实上带外信令的方式在因特网中早已存在，IETF制订的(包括正在制订中的)不少控制协议，本身就具有带外信令协议的性质，如用于路由器或路由交换机之间的相邻关系的发现、建立和信息的交换，MPLS标签的分配，通用交换管理协议(GSMP)，Megaco(为IETF的媒体网关控制协议)，远程拨号用户认证等都是一些与用户数据分开传送的控制信息。所以在因特网中带外信令并不是什么新的东西，这里不过是建议将地址信息等也都交由带外信号去传送而已。

对于一个网络，重要的是它能提供什么样的服务，是否能经济而有效地提供这些服务。采用带外信令的网络建议的通信架构是基于包方式的网络，这与原有因特网并无差别，但由于在用户面上，省去了原有的第3层，网络因此更加经济有效。

3.3 面向连接还是无连接问题

值得探讨的是，采用端到端的信令来建立通信是用于面向连接的网络服务的，这与Datagram的方式有本质的不同。后者是无连接(Connectionless)的。因此可以说采用端到端信令在实质上是返回到面向连接的通信方式，是对数据包方式的否定。这种说法没有错，但本人认为这并没有什么不好。理由如下：

(1)因特网本身正在越来越多地采用面向连接的技术。MPLS就是一个典型，因为MPLS的LSP是一种由信令(如LDP或RSVP)控制建立的连接。按照IETF现有的规范，MPLS是用于核心网的，即是从边缘交换路由器连接到另一个边缘交换路由器。如果将MPLS技术扩展到接入网，就会出现端到端的MPLS连接。

(2)因特网正在解决QoS问题。现在已经做到的是对每一跳(Hop)服务质量的保证。可以通过在IP层设置DSCP(区分不同服务的编码值)，或者让服务质量要求不同的数据走不同的LSP，可以使不同的服务得到不同的处理，优先保证实时性强的服务。但由于无法知道从源点到目的地需要经过几跳(这是不采用端到端信令的直接结果)，端到端的服务质量将难以保证，也难以将极限指标适当地分配到每一跳上。本人认为：要彻底解决端到端的服务质量，端到端的信令交换是必需的。只有经过端到端的信令交换才能知道两者之间传输资源的可用性，并确定数据传输要走的路由。

(3)纯粹的无连接方式。如Datagram方式，仅对尽力而为(Best effort)的服务才是最佳的。但从长远来说，越来越多的服务将是有服务质量要求的服务。在此情况下，采用端到端信令和采用面向连接的服务将是不可避免的。

(4)无连接服务通常用于单个或少量数据包的传送。端到端信令对于这种服务也是很有意义的。通过信令可以在用户数据发出之前就对发送者进行识别与认证，若通不过认证就不予发送。这样既可以提高网络的安全性，又可以避免传输资源的不必要浪费。

(5)在采用端到端信令的情况下，可以采用一种半连接半无连接的处理方式，来传送单个或少量的数据包。网络在这发送完一个或几个数据包后，可自动拆线(而不是由用户控制拆线)，网络连接的存在是十分短暂的。□

收稿日期：2002-11-09

参考文献：

[1] IETF RFC 2402. IP Authentication Header [S]. 1998.

[2] IETF RFC 2406. IP Encapsulating Security Payload (ESP) [S]. 1998.

[3] IETF RFC 2246. The TLS Protocol [S]. 1999.

[4] IETF RFC 3031. Multiprotocol Label Switching Architecture [S]. 2001.

[5] ITU-T H.235. Security and encryption for H-series multimedia terminal [S]. 2000.

[6] 杨义先. 编码密码学[M]. 北京:人民邮电出版社, 1992.10.

作者简介：

组件技术的网络安全管理架构分析篇4

随着组件技术的应用, 带来一次软件开发革命, 为修改与复用提供了更好的技术支持。基于组件技术的三层软件开发结构, 更利于系统分项与整体功能的实现, 具有一定实用价值。正是鉴于组件这一特殊功能, 可满足软件的即插即用功能, 有针对性地进行修复与升级。但是随着组件技术的广泛应用, 安全性能问题日益凸显, 已不容忽视。文章结合实际工作经验, 重点依据网络安全管理模型, 对相关技术进行具体分析。

1 组件技术的网络安全管理架构

目前, 大多网络安全产品之间的功能具有重复性特点, 单个的安全产品既希望获得更多功能, 同时又难以满足用户的各方面需求。因此, 在建设安全管理系统过程中, 虽然用户也购买了较多产品, 但是产品综合效益难以发挥。针对这一问题, 最好的解决办法就是实现各种安全产品与安全软件的功能组合。这样, 安全产品不再以独立的形态出现, 安全组件技术应运而生。每一种安全组件都需继承并顺利实现接口, 完成某项或者某组特殊任务, 但是每一项软件功能都有明确划分, 不会出现功能重复。在用户应用安全管理系统时, 根据具体要求从组件库中选择适用的安全组件, 选定的安全组件借助综合平台实现集成功能。如图1所示。

在安全组件运行的平台上, 统一分发、配置、加载、升级并管理安全组件。通过应用组件技术, 提供了系统安全的系统性、灵活性、集成性、开放性、模块性、透明性及可管理性等优势。安全管理服务器作为整个系统运行的核心, 在分布式运行环境中, 可对外提供各种基础性服务, 如策略管理、资产管理、事件管理、应急响应等。通过应用安全管理服务器, 可对组件完成集中注册、存储、索引、分发等, 加强对各项管理信息、相关策略的收集、索引、存储、分发等功能, 同时支持审计。

通过应用数据库, 给安全系统提供数据查询、存储支持等功能。在安全管理控制台中, 提供了统一的系统管理界面框架以及各项服务配置的界面。可在该平台中实现策略编辑组件、监视组件等功能, 实现面向系统用户与管理员, 管理员完成安全监督、安全策略、应急响应等工作。

分布式组件容器, 分别部署于网络的各个端点位置, 为组件运行提供基础环境, 支持每个功能组件的统一运行环境、加载方式、通信模块以及通用功能等。通过组件技术, 实现安全产品的深化改造, 统一在系统中加载运行, 统一管理安全产品的应用性能、网络配置以及安全性能, 提高管理效率, 确保整个系统的顺利运行。

2 网络安全管理架构的实现机制研究

通过组件技术, 将入侵检测技术、漏洞扫描、防火墙技术、网络安全评估等相结合, 利用多组件的动态协作模型, 可确保安全组件既独立运行又相互通信、共同开展工作, 提高工作效率与质量, 实现网络与主机的保护功能。

2.1 防火墙和网络探测器

网络探测器建立在入侵检测技术基础上, 拦截并获取网段中的数据包, 从中找出可能存在的敏感信息或入侵信息, 发挥保护作用。当网络探测器检测到攻击事件, 就可实时记录并保存有关信息, 将信息传输到管理控制台, 实现报警提示。但是网络探测器自身并不能直接阻断具有攻击行为的网络连接, 只能作提示所用。因此, 为了及时发现攻击行为, 应加强防火墙和网络探测器的协作, 由网络探测器发出请求信号, 通过防火墙切断网络连接。另外, 如果防火墙自身发现了可疑但是不能确定的事件, 也可将有关信息传送到网络探测器中, 由网络探测器进行分析与评估。当网络探测器发出通知, 要求防火墙切断网络连接, 则调用API命令的函数:FW-BLOCK, 其中包括命令源、源端口、目标端口、源IP、目标IP、组断电等。其中, 命令源主要指发送命令的组件技术, 阻断点则主要指防火墙阻断的具体位置。

2.2 防火墙和扫描器

扫描器定期或者按照实际需要, 评估目标网络及主机的安全风险。如果发现漏洞, 扫描器不能实现漏洞修补功能, 而是通过管理人员的人工干预。如果在发现漏洞到修补漏洞的这段时间内, 发现风险级别较高的漏洞但是无法及时采取措施, 将增加系统的安全风险, 给系统运行造成威胁。基于这一实际情况, 可以实现扫描器与防火墙的协作功能, 如果扫描器检测到主机中的服务存在高风险漏洞, 即将信息传输到防火墙, 由防火墙对外部网络的访问行为进行限制, 当人工干预修补漏洞完毕之后, 再请求防火墙开发外部信息的输入。通过实现这一操作过程, 可在扫描器端口分别调用FW-BLOCK以及FW-RELEASE命令函数。

2.3 网络探测器和主机代理

网络探测器和主机代理都是完成入侵检测任务的重要组成部分, 二者的集成与协作较为简单。实际上, 当前很多入侵检测系统中集合了基于主机与网络两种测试技术的复合型入侵检测系统, 例如ISS中的Rea Secure。在组件技术的网络安全管理架构中, 网络探测器和主机代理两种组件部署在保护网络的不同层次与位置, 分别收集来自不同层次、不同位置的信息, 共同归属于一个安全数据库, 协同整合网络信息, 并在整个网络范围内判断各种异常行为的特点与具体过程, 如经过伪装的入侵行为等。在网络探测器和主机代理之间, 实现共同协作, 应参照CIDF建议中的相关标准, 以CISL数据交换语言及格式为主。

2.4 管理控制台和组件技术

在组件技术的网络安全管理架构中, 设置专用控制台, 统一集中管理组件。通过这种集中式的网络安全管理环境, 更好地保持组件之间协作, 成为有机整体。网络管理员只要通过管理控制台就可以访问并控制各个组件, 提升整个网络安全策略, 实时掌握安全动态, 并做好相关测试工作, 保障各组件之间的协调工作, 全面保护网络运行。

2.5 扫描器和入侵检测

当扫描器扫描到网络及系统中的脆弱性安全信息, 对网络探测器以及主机代理的入侵检测非常重要。因此, 在该组件技术的网络安全管理架构中, 每次扫描器完成扫描评估过程, 就会将漏洞信息中的相关入侵检测组件, 包括服务端口、主机IP地址、CVE值以及风险级别等。另外, 在扫描器中可以获得相应的目标网络安全评估报告, 给网络探测器、主机代理等部署提供有效建议。如果入侵检测组件已经检测到内部主机中产生的攻击信息, 就可同时传递到扫描器中, 实行主机安全评估, 尽快完善主机存在的系统漏洞及安全隐患。

3 组件技术的安全机制

为了确保各个安全组件的协同工作, 各组件之间必须兼容、共享, 保持密切通信关系, 实现信息交互。在大型分布式网络构架中, 大多安全组件安装在通用网络中, 因此组件技术的安全系统中各组件之间的通信也通过网络而实现, 安全系统自身也可能受到外来病毒、黑客的入侵与攻击。

出于对网络安全管理系统自身安全性的重视, 构建一个安全、可靠、完整的内部通信机制非常重要。为了确保组件技术的网络安全系统自身具有安全性、可靠性, 建议采取PKI身份认证或者保密通信机制。给系统中的组件通信提供鉴于数字证书基础上的身份认证、消息加密、消息认证、消息发送等。在整个PKI系统中, 主要包括CA服务器、客户端应用接口、证书查询服务器三大部分, 如图2所示。

其中, CA服务器用于签发并核实证书;客户端应用接口则是一个用于安全组件中的PKI应用接口软件, 支持入侵检测系统、扫描器、防火墙等安全组件的身份认证与通信保密;证书查询服务器支持各种证书查询服务。在CA服务器中, 向系统中的所有组件签发证书, 每两个组件之间实现通信连接。以证书查询服务器为基础, 验证对方身份, 并协商好共享的对称密钥, 通过该密钥实现系统加密, 构建一条信息交换的安全通道。

4 系统应用的优势分析

(1) 在整个管理构架系统中, 存在着多级防御体系, 分别完成不同的工作任务。将整体工作量具体划分为若干层次, 可避免过去集中式系统中常产生的负载过度集中问题。在该系统中, 负责服务器组的安全防御体系中, 监控过滤后的流量, 与监控所有流量的方式相比, 负载有所降低, 有效提高监控效率。

(2) 对于各个子系统, 在不同防御级别上有所重叠, 更利于实现不同子系统之间的协作管理。例如, 在核心防御系统中, 防火墙、网络扫描器、中心NIDS端接在同一个核心交换机中, 极大方便相互协作与信息共享。

(3) 与传统的网络安全管理系统相比, 该系统既可防御外部网络攻击, 更可对内部攻击行为进行记录, 为用户提供依据, 防堵内部漏洞, 震慑内部攻击行为, 提高系统运行安全性。

5 结束语

随着网络安全问题的日益突出, 给网络安全防护提出全新要求, 且体系结构越来越复杂, 涉及到各种各样的安全技术与安全设备。随着网络安全管理系统的提出, 将过去孤立的网络安全转变为统一性、集中性的大型安全技术管理。以组件技术为基础的网络安全管理架构系统来看, 不同的组件在不同机器、不同设备运行时, 执行的任务也有所不同, 但是最终归属到安全管理控制台中, 统一汇总并管理。

可见, 以组件技术为基础的网络安全管理构架, 既可保障系统安全性、完整性, 也可发挥最大效益, 减少投入成本, 更方便网络安全设备的统一监控、集中管理, 减少安全管理员的工作强度。当前, 该架构已逐渐应用并推广, 具有良好的发展空间。

参考文献

[1]朱思峰, 李春丽, 刘曼华, 杨建辉.基于多组件协作的网络安全防御体系研究[J].周口师范学院学报, 2007 (2) .

[2]刘效武.基于多源融合的网络安全态势量化感知与评估[J].哈尔滨工程大学:计算机应用技术, 2009.

[3]谢桂芹.网络安全软件的自动化测试系统的研究与应用[D].南京邮电大学:计算机软件与理论, 2009.

[4]郭晨, 夏洁武, 黄传连.基于漏洞检测安全中间件的设计与实现[J].微计算机信息, 2007 (18) .

[5]王宇, 卢昱.基于组件及信任域的信息网络安全控制[J].计算机应用与软件, 2006 (3) .

论物联网的安全架构篇5

摘要：随着科学信息技术的进步和发展，物联网的产生将信息产业再次推到经济与科技发展的新阶段，让科技创新水平又一次到达巅峰。因此，各国政府和相关科研机构对物联网引起高度重视。文章就物联网感知层、传输层、处理层和应用层的安全需求和构架出发，对当前物联网安全架构中的问题进行分析，并就此提出相关的解决方案。

关键词：物联网；安全架构；安全需求；安全架构

中图分类号：TP212.9；TP391.44 文献标识码：A 文章编号：1006-8937（2015）18-0080-02

物联网是在互联网基础上的扩展和延伸的网络，物品和物品间可以进行信息通信和交换。物联网具备智能处理、可靠传递和全面感知的能力。因此，我们在研究物联网时将其分为感知层、传输层、处理层以及应用层。笔者就物联网不同层次展开分析，并对如何构建物联网安全构架提出一些建议。

1 物联网感知层的安全需求和构架

物联网是从最早的射频识别和传感网发展而产生的，就是利用网络技术将射频识别和传感网进行远距离的处理和识别。对于物联网的感知层主要是指通过感知外界或原始的信息。感知层的设备包括摄像头、GPS、传感器激光扫描仪以及射频识别等。这些设备在将收集的信息和图像作用于交通监控。但多种类型的感知信息有可能会同时进行处理。对其他控制调节将会造成影响。而物联网和其他传感网的区别就是可以进行信息共享。物联网的感知层将信息通过网关节点和外界进行联系。我们在考虑物联网感知层的安全时，只需要考虑其本身的安全性就可以了。

1.1 感知层存在的安全问题

①感知网的网关节点或者普通节点受到网络中DOS的攻击；②感知网普通节点密匙被低手掌握控制；③物联网中识别、控制、指标和认证等节点在接入物联网时出现问题；④传感网的普通节点虽然没有被低手拿到节点的密匙，但被低手所捕获；⑤传感网网节点直接被对方全部账掌控，传感网已经没有了安全性。

1.2 感知层的安全需求

①工作人员对感知网有可能被对方掌控的节点进行评估，从而降低对手入侵的几率；②在节点进行信息传输前，工作人员要提前协商好会话密匙；③提高和加强传感网内部的安全路由技术；④当传感网在进行信息共享时，需要对节点进行认证，保证没有非法节点强行进入；⑤对于不需要密匙和认证管理的节点，要进行统一的管理。

1.3 感知层的安全构架

物联网应该建立合理有效的迷失管理机制来保证传感网信息传递的安全性。在传感网内部的连通性和安全路由都可以单独的进行使用。由于传感网的多样性，要提高其安全性能就必须保证传感网的认证性与机密性。

2 物联网传输层的安全需求和构架

物联网传输层主要是将感知层所感应到的信息，安全可靠的传输到处理层，再根据需求进行相应的信息处理。传输层的网络设施主要包括移动网、互联网和其他的专业网。

2.1 传输层存在的安全问题

中间人和假冒攻击；DDOS和DOS的攻击；其他跨异构望楼产生的网络攻击行为。

2.2 传输层的安全需求

移动网的跨域性、兼容性、跨网络和一致性认证对不同AKA机制在无线网络中的认证有一定影响；当前传输层只能提高有限数据的机密性，对不同场景下的机密性还有待解决；对于数据在传输过程中容易被非法或不非法篡改的数据可以被检测出来；对去联网中DDOS攻击行为的防御和保护；保证数据内容的完整性和安全性。

2.3 传输层的安全构架

①在节点、端点之间进行加密，以及加强密码协议、算法、管理上的技术；②提高移动网中AKA机制的跨域性、兼容性、跨网络和一致性认证技术；③加强对DDOS攻击、数据流的完整性和一致性以及节点的认证。

3 物联网处理层的安全需求和构架

物联网的处理层是指信息在智能处理的过程，以及从网络中接受性管信息。在处理信息的过程中将正确信息和垃圾信息进行分类处理。在此过程中，一旦某个机能出现问题，将会影响处理层判断信息的准确性。

3.1 处理层存在的安全问题

处理层的由智能处理变成低能处理；信息安全的可控性下降；有人为或非法性的干预；设备的缺失；信息量过大，超过处理范围。

3.2 处理层存在的安全需求

处理层在进行性息处理时可以根据信息的不同特点进行特殊和针对性的处理。但在处理时应该将数据信息的类别进行分析传输；在物联网系统中的信息大多是以加密的形式保存的，因此，信息的快速加密和认证也是处理层急需解决的安全上的需求。

3.3 处理层存在的安全构架

①设备文件可以进行自动恢复和自动备份功能；②提高处理层的智能处理技术；③设计密匙管理方案和认证机制方案；④对物联网中入侵的病毒惊喜检测，并对其中恶意的指令进行干预和消除。

4 物联网应用层的安全需求和构架

物联网的应用层是具有个体性质和综合性质的应用业务。将物联网系统中前面无法处理和设计的问题进行综合处理和细化处理，所涉及的范围和隐秘性就更强。①应用层存在的安全问题。如何防止数据信息的泄露追踪；计算机的取证将如何进行；对不同访问权的内容进行统一筛选；以及如何销毁物联网系统内的信息数据和保护形影的电子软件与产品的知识产权问题。②应用层存在的安全需求。客户在证明自己合法使用其中某种业务的同时，又不泄露任何信息；用户在知道自己位置信息的同时，又不将信息泄露出去；病人在获取自己的电子病历时，保证信息不被泄露或非法获取。③应用层层存在的安全构架。设置不同场景中的信息数据保护技术；加强电子信息软件与产品的知识产权保护；对物联网系统中的信息数据库进行内容筛选和控制；设置追踪或反追踪信息技术。

5 物联网安全架构中存在的问题

物联网信息安全保护技术是通过企业界和学术界签订合同来完成的。在学术界很多理论知识看上去很完美，但实用性不强。无法满足商业界在指标上的约束，但又存在着一些安全遗漏的问题。而信息数据的安全措施和方案，需要经过仔细和眼镜认证和考虑后才可以实施。而很多设计者在数据安全设计时往往抱有一丝侥幸心理。

在学术界与企业界中的交叉点很少，双方彼此都充满了鄙夷和不看好。企业界认为学术界的设计都是纸上谈兵，没有实际性和实用性。而文学界则认为商业界的设计没有创意，过于死板单一。导致双方交流合作比较少，在物联网的安全构建中各具特色，但并不完善和健全。

6 加强物联网安全架构的建议

物联网研究人员可于借鉴和引进国外先进技术和成果经验作为参考。鼓励和支持学术界和企业界的物联网研究人员进行学术上的沟通和交流。取长补短，共同探讨和完成物联网中的很多项目。政府应该多给学术界和企业界提高合作和交流的机会，对研究人员开展专业的培训课程，不断的给研究人员注入新知识和源泉，打造一个安全、可靠的物联网平台。

7 结语

随着科学技术的不断进步和发展，世界已经进入全面的信息化时代。物联网是一个新兴的技术研究范围，物联网的安全技术是根据其集体的需求而进行的。要加快和推进物联网发展，加快对物联网更快速、更有效、自动化、更安全的信息化处理和保护，应该不断的引进先进的技术人员和科学技术。打造一个健全、完善、安全、稳定的物联网信息平台。

参考文献：

[1] 任伟.物联网安全架构与技术路线研究[J].信息网络安全，2012，（5）.

[2] 孙建华，陈昌祥.物联网安全初探[J].通信技术，2012，（7）.

[3] 武传坤.物联网安全关键技术与挑战[J].密码学报，2015，（1）.

[4] 马卫.物联网安全关键技术研究[J].电脑知识与技术，2013，（1）.

[5] 邓淼磊，刘宏月.对物联网安全课程教学内容和方法的探讨[J].教育教学论坛，2014，（13）.

网络的架构与应用篇6

网络架构技术运用于通过中间网络设备连接多个独立网络的集合, 其目的是建立和管理范围更加广泛的互联网络。目前我国较为常见的网络框架形式有C/S和B/S两种。

1.1 C/S结构

C/S结构即客户机和服务器 (Client/Server) 结构, 是一种通过充分利用两端硬件环境优势, 将任务合理分配到Client端和Server端的软件系统体系结构。目前大多数应用软件系统都是Ct/S形式的两层结构, 内外部的用户都可以访问应用系统, 并通过现有应用系统中的逻辑扩展出新的应用系统。

传统C/S体系结构需要为不同的操作系统提供不同版本的软件支持, 系统升级和更新迅时, 其效率低下、成本高昂的缺点便显现出来。

1.2 B/S结构

B/S结构即浏览器和服务器 (Browscr/Server) 结构, 是随着Interne技术的不断发展, 在C/S结构基础上加以改进形成的框架形式。其主要事务逻辑通过Server端实现, 少部分事务逻辑则在前端实现, 用户的工作界面则以WWW浏览器实现, 即所谓的3-tier结构。

B/S结构简化了客户端的电脑负荷, 降低了网络系统的升级、维护等成本, 并具有管理软件易于操作, 便捷高效的优点。

1.3 C/S结构与B/S结构的比较

作为当今网络框架的主流技术, C/S与B/S结构都占据着稳定的客户群及市场份额。从软件方面看, 当客户计算机需要对数据进行操作时, C/S架构的系统将自动寻找服务器程序且作出请求, 并在得到应答后送回, 应用服务器运行数据负荷较轻。其数据的存储管理功能也较为透明, 但也具有升级维护成本高, 软件版本复杂等缺点。而B S结构的升级方式相对简单, 维护方便, 且具有更高效的应用软件, 选择也比较多。但B/S结构框架也存在应用服务器运行数据载荷较重的缺点, 且在安全性、交互性等方面均不如C/S结构稳定, 处理速度也不及C/S结构。

1.4 C/S结构与B/S结构的应用

实际应用中, 可以结合C/S与B/S结构的优点, 将之共同运用在网络体系的架构设计中。采用B/S与C/S结构的混合模式, 对需要进行频繁的数据操作的用户, 可使用C/S客户端, 避免了B/S结构在响应速度和安全性等方面的不足;其他用户可使用C/S客户端, 降低服务器的负荷。信息发布采用B/S结构, 用户软件可统一采用WWW浏览器;而数据库只涉及到系统维护、数据更新, 可以使用C/S结构, 并通过ODBC/JDBC连接, 并可在浏览器中嵌入Active X控件以实现在浏览器中不能实现或实现起来比较困难的功能。总之, 实际应用中应首先结合用户的需求特点组织网络框架形式, 发挥不同形式的优势, 在充分保障用户利益的同时, 尽可能降低操作的复杂性和升级、维护的成本。

2. 网络架构中的管理系统建设及安全维护

2.1 管理系统的建设

网络管理系统一般由被管理的网络设备、网管工作站、网管软件等三部分组成, 其中被管理的网络设备的数量和类型直接决定着网络系统管理的范围和规模。这些网络设备包括:路由器、交换机等支持SNMP协议的网络设备, 甚至还包括桌面PC机等具有IP地址的网络节点。通常, 使用相应厂商提供的设备管理软件, 更便于对网络设备进行深入而高效的管理。通过设备管理软件的拓扑结构图, 可以迅速了解证个网络的运行情况, 并以此判断网络的连通性故障;通过监控SNMP协议的网络设备的端口流量, 来判断网络性能方面的故障。

2.2 网络安全问题

当前, 网络安全性问题, 特别是B/S框架网络的安全性问题正越来越引起各方面的注意。网络的潜在不安全因素主要来自于: (1) PSTN公共网的安全性低, 造成拨号用户潜在的安全威胁; (2) 内部局域网用户的非法访问; (3) 由于Internet的开放性, 每个用户都可能成为潜在的攻击者。

基于此, 开发者应设立良好的安全措施, 降低潜在的网络风险。可采取的对策性措施有:改变Datagram的工作方式;明确区分公网设施与专网设施 (包括用户终端和用户网络) ;以网络对用户的客观识别来代替或加强用户的认证与接入控制等。

3. 结语

综上所述, 面向服务的网络系统架构因其广泛而便捷的应用在信息资源需求空前的今天更加具有现实意义。网络工作者应结合用户的实际需要, 优选框架模式、硬件设备和软件程序, 并通过完善的系统管理和安全设置组建高效、便捷、实用的网络体系, 满足现代社会飞速发展的需要。

参考文献

[1]Andrew S.Tanenhaum[著], 熊桂喜, 王小虎, 等[译].计算机网络 (第3版) [M].清华大学出版社.

[2]龚达宁.宽带无线接入系统的网络架构发展[J].电信科学, 2006, 07.

[3]李俊娥, 周洞汝, 第三层交换网络体系结构及应用策略[J].计算机工程, 2005 (29, 4) :19-21.

企业双核心网络架构篇7

关键词：双核心网络,网络安全,星型结构,VRRP,MSTP

近年来, 随着整个社会信息化程度不断深入, 传统的企业管理模式已越来越不能适应现代企业管理需要, 建设新型企业信息系统已成为了很多企业应对新的经济态势的一种必然选择, 也成为很多企业转型的切入点。信息系统是一个相对较大的范畴, 本文不详细展开, 主要就信息系统的硬件基础——计算机网络的架构优化进行阐述。

1 现状分析

在实际工作中, 人们都希望自己使用的计算机网络高速、稳定, 也就是具备高的可用性, 而且从某种意义上讲稳定比速度更重要。因为在长期使用过程中用户大多可以忍受相对较慢的网速, 但不能接受一个不稳定的网络, 即使这个网络的网速很快。由此可以归纳出网络可用性的基本定义:网络的正常运行时间占其运行总时间的比例。可用如下公式表达:

所以, 在企业网络架构设计过程中, 必须把网络稳定性纳入设计的基本思路中, 采取必要措施从源头上提高网络稳定性和可用性。

2 网络拓扑结构选择

一般来说, 要设计一个网络首先需要确定网络架构, 选择一种怎样的网络架构对于后续网络的设计来说至关重要。传统的网络拓扑结构一般有5种:总线型、环形、树形、星型和网状。其中网状拓扑结构又可以分为普通网状和全网互联型两种。在实际使用中总线型、环形、树形都不适合用作企业网络架构, 只能选择网状型和星型 (树形可以看成是星型结构的一种) 。从网络稳定性上来讲, 网状型是最好的选择, 但是从成本、网络管理、网络安全的角度考虑, 一般选择星型结构。星型结构如图1所示。

星型结构的物理连接方式如图1所示, 其优点非常明显, 这种结构最大的特点就在于每条物理链路只连接两个物理设备, 任何一条物理链路出现故障对整个网络的影响较小, 具有强大的容灾能力。通过划分接入层、汇聚层、核心层的方式, 可以方便地将整个企业网络划分成几个不同层次, 进而配合权限管理, 使用VLAN划分等技术措施进行后续的细化管理。但是, 星型结构的缺点也非常明显, 那就是整个网络核心一旦出现问题, 则整个网络都将不可避免地出现问题, 网络可用性将急剧下降。而在实际操作中发现, 虽然很多企业网络架构中的核心交换机都采用了比较昂贵的高端传输设备, 但是在长期24小时不间断工作中, 某些端口或者背板转发接口等方面都是很容易出现问题的。因此, 需要寻找一种既能保持星型网络拓扑结构优点, 又能有效避免其缺点的网络拓扑结构作为企业网络架构的基础。

3 双核心拓扑架构

双核心拓扑架构如图2所示, 顾名思义, 就是在普通星型拓扑结构的网络中多增加一个核心设备, 从而在一定程度上排除单一核心存在的单点故障隐患。这样既保留了星型拓扑结构的优点, 又能弥补其最大的缺点。虽然在物理上仅仅是增加了一台设备而已, 但是在逻辑上却有着很大不同, 需要引入一些在传统星型网络中没有的新技术和协议。

(1) VRRP技术。如前文所述, 一台新的核心设备被部署到星型网络中, 应如何定义这个新的核心设备在网络中的地位?这个新的核心设备是怎样工作的?它与原有的核心设备在整个网络中的逻辑关系是什么?是不是把2个核心设备用链路连接起来就可以了?网络中的各种设备如何选择自己的上行设备?一旦某个核心设备出现故障, 另一台设备如何承担整个网络的运行?

为了有效回答上述问题, 引入了虚拟路由冗余协议 (VRRP) 。该协议可以将2台路由设备与其共有的下行设备虚拟成一台设备, 这个虚拟出来的设备有自己独立固定的IP地址和MAC地址。对于网络中的各个客户端而言, 在采取了VRRP的前提下并不需要考虑具体的出口路由是什么, 有几台, 具体是从哪个出口出去的, 它们只需要将自己的默认网关或者下一跳地址指定为该虚拟设备的地址即可。在VRRP协议中会给网络中所有运行VRRP的核心路由设备分配一个唯一的VRID, 范围在[0, 255]区间内, 并以此作为选举主备路由的唯一依据, 一般来说VRID数值越大则被选中作为主路由的可能性越大。当主路由出现问题时, 自动由VRID列表中数值第二大的路由设备担当新的主路由, 负责整个网络运转, 而这一过程对于网络内部的各种下行设备或者终端设备来说都是透明的。

(2) MSTP技术。从双核心网络架构的拓扑图中可以看出, 为了能够实现2个核心设备同时工作的目标, 需要在汇聚层与2个核心设备之间配置大量的冗余线路, 这些线路的存在使得整个网络的顶部变得非常繁杂, 也在客观上形成了大量的环路。如果不采取必要的措施, 则必然产生大量的广播风暴, 严重影响整个网络的可用性。

因此, 引入第三代生成树协议MSTP, 也就是多生成树协议有选择性地堵塞部分冗余线路, 从而将复杂的网状结构“裁剪”成一个树状结构。MSTP与之前的第一代STP以及第二代PVST/PVST+相比, 其引入了“实例”的概念, 具备相同“实例”的设备自行组成一个MST域, 并在其内部运行独立的生成树协议, 对外这个域则被看成是一个独立的设备参与到各个MST域之间生成树的算法中。与前两代生成树协议相比, 第三代MSTP协议增加了域路径开销和内部路径开销参数, 因此, 其优先级向量从原来的五维变成了七维, 极大增加了算法复杂度, 提高了生成树的有效性, 可以使不同的VLAN走不同的路径。

4 VRRP+MSTP架构网络

某公司使用VRRP+MSTP技术, 采用双核心的架构方式对本公司网络进行升级。汇聚层 (含) 以上网络拓扑图如图3所示。

该公司网络使用2台H3C7506E交换机作为核心, 运行VRRP+MSTP协议, 使用H3C5500交换机作为汇聚层交换机, 接入层交换机均使用二层交换机 (不可网管) , 所以没有在图3中表示出来。其中左边4台H3C5500选择H3C7506E-A机作为主路由, 右边4台以H4C7506E-B机作为主路由。H3C7506E上对应运行2个实例作为根桥, 分别为左右4台汇聚层交换机服务。在网络投入应有后, 运行基本稳定, 没有出现大的故障。

5 结语

在双核心网络构架下, VRRP实现了多个路由协同工作, 互为备份的工作机制, 而MSTP承担了“裁剪”冗余线路, 防止广播风暴, 实现链路负载均衡的作用, 二者结合才能有效发挥双核心网络架构的优势。虽然从理论上讲采用双核心网络架构的方式, 可以有效提高整个网络的多路径路由冗余能力, 但这并不是一个网络的全部, 如果其他方面, 例如不同拓扑层级网络设计, VLAN划分等方面设计或部署不合理, 仍然会导致网络冗余过度、性能下降、资源浪费等情况。因此, 在进行网络设计时, 充分的前期调研, 科学合理的资源分配至关重要。新的技术和理念仅仅是提供了一种有效工具, 人的思考才是网络技术不断向前发展的动力所在。

参考文献

[1]邹润生.VRRP技术实现网络的路由冗余和负载均衡[J].计算机与信息, 2006 (4) :54-56.

[2]张慧.基于企业网双核心高可用性应用方案研究[J].中州大学学报, 2012 (4) :117-119.

基于组织架构的网络安全权限管理篇8

大型组织(如跨国企业)的信息资源往往根据组织结构维护,其中存在大量同构的、拥有同类信息资源的单元。采用传统的RABC对于单个独立系统内用户的以及权限的管理是相当有效的,但是传统的RBAC模型在这种环境下需要为每个同构单元定义权限和角色。虽然可以利用RABC模型中的角色继承概念,通过对于角色对于整个层次组织架构的模仿,构建层次, 具有继承结构的角色树。但是由于角色继承是一个偏序关系, 是对组织机构层次中权限和责任的一种映射,实际的使用中违反了权限最小化原则。如一个企业有总经理、部门经理和材料员, 而角色继承表示总经理继承部门经理的权限,部门经理继承材料员的权限,也就是说总经理通过传递关系获取了材料员的权限, 而在实际的工作中,总经理是不具备材料员的管理权限。

在分层管理的大型分布式系统中使用基于角色的访问控制往往会面临角色、对象、权限过多的问题。如果在各个机构内部重复建立大量的角色、分配相似的权限,不但工作量大,而且容易出错,而他们之间的区别仅仅在于所属的分支机构不同。特别在同构单元数量很多时授权管理非常困难,尤其是在进行跨域授权时,涉及到互联系统间角色、用户、信息资源和它们之间的相互关系,为了保证访问授权和管理简化这两个目标, 这对于安全管理员来说是非常困难的。

按照大型跨国公司的组织架构,划分为公司总部,区域管理中心,分区公司,营运团队以及外部实体这几个层次。大型组织内的信息单元是具有独立性,同时在整个系统内具有大量功能,角色,用户相似的特征。采用这项特质,按照其在组织架构内的特征,划分为管理域(域层)。模型不再使用角色继承来表示组织结构,而是将组织结构引入访问控制模型,用它来组织客体、权限以及之间相互的关系。

1基于角色的访问控制模型(RBAC)

基于角色访问控制模型由Ferraiolo和Kuhn在1992年提出,这是当今使用最为广泛的权限管理模型,这是一个复合的访问控制策略,用户并不直接获取对于资源的权限,而是用户通过担任某些角色而获取访问权限,这能够大大的简化权限管理且易于理解和描述,其中关键的概念如下。

用户(U):系统资源的使用者Users={U1,U2,...,Un}

角色(R):多个权限的集合Roles={R1,R2...Rn}

许可(P):对系统资源的操作权限Permissions={P1,P2...Pn}

用户与角色以及角色与权限之间为多对多的关系

表示从许可到角色的多对多的关系;

表示从用户到角色的多对多的关系。

在RBAC0模型的基础上引入了角色层次关系扩展为RBAC1模型。

表示角色集R上的一个偏序,称为角色继承关系。

引入了了约束形成了RBAC2模型。将RBAC1与RBAC2特性结合形成RBAC3模型,具体的关系见图1。

由于RBAC将用户从底层的访问控制实现机制中脱离出来,同时可以灵活的表达组织中的各种安全角色,可以映射日常组织架构,在各个领域中均得到了广泛的应用。实际上RBAC访问控制模型应用中采用一级控制模型,即将访问资源的权限授予角色,再将角色授予用户。在传统的独立管理域环境下可以很好的解决权限管理的问题。这种方法在单元和客体较少的情况下还勉强可行,但是数目到了一定规模,模型的管理就非常困难了。现今分布式系统(多域)环境下,造成管理员额外的负担。

2改进的层次RABC

将组织中的一个相对自治的机构划分为域,以此为基础, 为解决大型组织中对于海量的用户及对象的管理问题,将系统中的各个要素(U,P,R)划分至不同的域。对应于组织中的相似结构的机构划分为一个组,称为域层。这就为我们简化对于海量权限以及用户的管理提供了前提基础。同一个策略域中的分支机构具有相同的组织结构,在同一个域层次内实施统一的角色,用户,对象组定义。在同一域层内实施统一的用户、角色,当然也可以定义自己私有的特殊角色减少了系统中的角色和权限。将权限授予岗位而不是直接授予企业中的用户,岗位与一组完成岗位任务的角色相对应。当组织内的人员发生流动,只需在权限模型中修改该用户的岗位信息即可,无需针对该用户重新进行权限授予。相比较传统的访问控制模型,可大大减轻管理员的工作负担。

传统的RBAC中权限定义为对客体的操作,其中的客体是独立的对象,如针对某个资源如数据库对象,文件对象等。针对大型的机构中的域,为了简化对客体的定义,引入对象组概念。对象组定义为一组具有相同属性对象的集合,同一个对象依据提取出的不同属性可以被划分到不同的对象组。原先操作定义为对象而现在该为对象组。

这些对象组按照域层管理的要求,对象组中对象允许的操作是一致的,对象必须属于一个对象组且可以属于多个对象组。对象组必须属于一个域或是属于一个域层,隶属于域层的对象被域层内所有的域所拥有;而属于域的对象只能被该域独占。

3多域环境下用户访问控制管理策略

分布式系统通常按组织机构层次、应用系统范围、管理策略等原则进行安全域划分。在大型企业中,采用按照组织结构的层次进行安全域的划分特别适合这种具有强烈层次结构的组织。在分布式环境中,权限以及权限-角色分配都是本地自治, 而不强调全局化。多域之间针对权限的管理较之传统的单一信任域情况下主要体现在域之间的交叉授权问题,需要将域内访问控制规则和域间访问控制规则有机结合起来。核心问题在于计算系统的各种资源处于分级的多个管理域中,分别由相应的访问控制规则进行控制。根据被访问的资源所在管理域的不同, 访问控制规则可以分为域内访问控制和域间访问控制。在进行跨域访问的使用场景下,可以根据安全域实际的划分情况采用集中或者分层两种权限管理策略。

在集中式验证的策略下,通过中心安全认证服务器提供域之间的交叉验证和授权,并提供单点登录控制,避免域之间的多个授权交互。

在分布式验证的策略下,为了保证信息交换的正确性,需要在每一个安全域上增加一些相应的路由信息,使各个安全域能够访问其上级和下级安全域,这些路由信息可以从组织架构的层次关系上获取。

3.1集中式

在网络条件正常,系统服务运行正常的情况下,采用集中式安全策略访问管理,所有的安全策略均由中心安全认证服务器提供。由于所有节点都必须和中心服务器通信,导致中心服务器负载过重,容易形成阻塞,影响效率;但该体系结构简单, 最大的缺点在于扩展性不强,不能满足大规模复杂应用。

3.2分布式

为了提高系统的可靠性,提供系统抗毁性,在分布式系统中, 对任何一个安全域的用户-角色分配操作,都把该分配信息推到层次结构中该安全域的上级安全域服务器,利用“推”结构和“拉” 结构,高效地进行用户-角色全局性管理。在最差的情况下,采用本节点自己提供的安全信息管理服务。在分布式系统中,对任何一个安全域的用户-角色分配操作,都把该分配信息"推"到层次结构中该安全域的上级安全域服务器。在实施访问控制时,若一个用户在某个安全域没有直接访问某资源的权限,则沿路由信息回溯其上级安全域,“拉”回其需要的用户-角色分配信息。

4结束语

本文构建的模型,将组织结构划分为域层,并将对象组的概念引入RBAC,减少了角色的重复定义,简化了权限的分配, 使RBAC模型更适合在大型的、具有大量分支机构的系统中应用。在不同的实际使用场景中,依据当时的网络环境采用不同的策略对用户权限进行验证及进行交叉授权。

摘要：在大型组织中存在大量的用户以及资源,为解决对海量资源进行访问控制及管理,在传统的RABC访问控制模型的基础上,引入层次化的组织架构信息,将组织内具有相同特征的信息单元划分为域层。同时采用对象组将具有相同属性的对象进行分组,简化权限管理操作。为解决分布式信息单元在多管理域的情况下用户访问控制和授权的问题,文章提出了集中式和分布式两种安全策略访问管理策略,可在不同的网络环境下,依据实际情况应用不同的策略。

网络安全架构篇9

第5 代移动通信系统( 5G) 已经成为国内外移动通信领域的研究热点。2013 年初欧盟在第7 框架计划启动了面向5G研发的METIS项目,由包括华为公司等29 个参加方共同承担; 韩国和中国分别成立了5G技术论坛和IMT - 2020 ( 5G) 推进组,“863”计划也分别于2013 年6 月和2014 年3 月启动了5G重大项目一期和二期研发课题[1]。目前,世界各国正就5G的发展愿景、应用需求、候选频段、关键技术指标及使能技术进行广泛的研讨,力求在2015 年世界无线电大会前后达成共识,并于2016 年后启动有关标准化进程[2]。

目前传统的移动通信和5G的研究中很少有人考虑到卫星的应用。然而卫星具有覆盖范围广、覆盖波束大、组网灵活和通信不受地理环境限制等优点,可以在陆地蜂窝覆盖不到的边远地区、山区、河海、空中和空间实现移动通信[3]。因此在研究5G时,在地面网络中融入卫星网络来弥补地面网络的不足将十分必要。

本文综合国内外最新研究成果,借鉴软件定义网络和网络功能虚拟化的思想,将星地网络从核心网角度融合,利用卫星网络的优点解决了地面网络不易解决的问题。

1 国内外研究现状

由于5G技术过于新颖,学术界和产业界还没有对其进行定义,相关诸如国际电信联盟( ITU) 等国际通信标准机构及全球3GPP、Wi MAX等移动通信论坛也没有给出正式的技术定义,使得5G技术至今还没有一个清晰的概念。国际上,欧洲针对新一代接入网提出了CRAN架构,采用软件定义网络( SDN) 和网络功能虚拟化( NFV) 技术,希望将接入网实现基站池化。国内IMT - 2020( 5G) 推进组提出了号称“三朵云”的5G网络架构,将整个网络分为接入云、控制云和转发云,实现多网融合与核心网的控制与转发分离。以上二者在研究5G时都没有相关卫星移动网络描述。

2 网络架构

文献[4 - 6]中指出5G在峰值速率、用户容量和数据流量等方面的需求指标,本文认为5G还应有全球无死角覆盖、永远在线、融合网络和开放架构易扩展、易配置等特征,为解决这些技术要求,提出了一种卫星网络与地面网络融合的5G网络架构,在地面网络架构中融入卫星网络,不同于以往简单地使用网关互联,本文所提出的架构考虑从核心网的角度来实现卫星网络和地面移动网络的融合,即卫星网络和地面移动网络共用一个核心网。

软件定义网络恰恰体现了网络中的控制与转发分离的思想,将核心网使用SDN和NFV技术把各个网元的功能实体实现软件化,可以解决2 张网络在核心网融合方面的问题。结合国内外最新最热成果,利用SDN和NFV技术将卫星移动网络融合到5G网络架构中,提出了一种新的网络架构方案,如图1 所示。

新架构主要由以下几部分组成:

用户终端: 双模模式,有卫星模式和地面模式。分别相应地接入卫星基站和地面基站,接入基站时采用基于竞争的随机接入。

基站: 有卫星基站( S-e Node B) 和地面基站( Ge Node B) 。基站的主要功能与LTE类似,主要有:

① 无线资源管理: 包括所有与无线承载相关的功能,如无线承载控制、无线准入控制、无线接口的移动性管理、终端上下文调度以及动态资源分配等[7,8]。

② IP包头压缩: 通过对IP数据包头的压缩有助于无线接口的有效利用,否则这将是一个不小的开销,特别对于像Vo IP这样的小数据包来说。

③ 安全性: 所有通过无线接口发送的数据包都需要加密。

核心网: 由核心网处理云和核心网转发云组成。处理云是控制面,负责处理所有控制信息。包含软件实现的移动性管理实体( MME) 、策略与计费规则功能单元( PCRF) 、归属签约服务器( HSS) 、IP多媒体子系统( IMS) 、Tt T交换控制功能( Tt TSCC) 、鉴别、授权、计费单元( AAA/QOS) 、SGW和PGW的控制功能SGW-C和PGW-C。转发云在处理云的控制下负责所有的业务数据的转发。

本架构中的核心网借鉴软件定义网络的思想和云计算的思想,将核心网分为核心网处理云和核心网转发云,实现转发与控制的分离。构造一个新的核心网架构,使其能够提供最大的灵活性、开放性和可编程能力。

软件定义网络思想的应用使封闭的架构变得开放,为集中化、精准化地扩展和配置核心网提供了方便[9]。控制处理面功能对计算资源需求较大,可以逻辑地集中部署并使用虚拟化技术。转发面功能不集中部署,单纯做转发,具有简单、稳定和高性能等特性。控制处理面功能集中化,转发面功能设备通用化,从而具有更灵活的资源调整及网络控制能力。云计算是一种运用于中央控制服务器上的技术,主要是在中央服务器上储存数据和执行应用。云计算的使用可以极大地提高核心网运行效率,也可有效地融合卫星网络与地面网络。

本架构中地面基站采用光纤拉远的方式进行大面积分布式布局,所有基站互相联通同时又统一连接到核心网处理云和核心网转发云。此架构中卫星网络与地面网络在核心网的角度实现融合,打破了传统2 张网络独立运行或利用网关互联的架构基础,提高了网络性能和用户体验。

在5G网络中,卫星网络是地面移动网络一个强有力的补充,在地面网络未覆盖到的地方,可以由卫星网络为移动用户提供移动通信服务。在卫星网络与地面网络同时覆盖的区域,由于考虑到卫星网络的资源有限和延时较大等特点,还是优先选择地面网络。

3 新网络架构的主要信令流程

3. 1 终端注册

终端开机获取本机信息后需要向网络进行注册。

终端先判断出自己所处的环境,继而判断出是使用卫星网络模式还是地面网络模式,然后选择正确的模式向网络注册。5G网络架构注册流程如图2所示。

流程说明如下:

① 随机接入过程。随机接入过程需要基站和终端的协作下共同完成,基站的主要工作就是接收来自不同终端的前导信息和接入信息,终端的主要工作就是发送前导信息和随机接入信息。

② 基站收到注册请求信令,信令中携带主机信息( 包含主机号、主机MAC地址和使用模式等) ,基站将其打包处理成ip协议信令转发至核心网处理网元。

③ 核心网处理网元发起对终端的认证、鉴权和安全密钥分发等过程。

④ 核心网返回注册响应信令,为终端分配ip地址。5G网络中终端永远在线,除非终端主动退网,否则不会丢失ip地址。

3. 2 终端呼叫

终端呼叫根据应用场景不同可以分为以下几种情况: ① 卫星网络终端呼叫卫星网络终端; ② 卫星网络终端呼叫地面网络终端; ③ 地面网络终端呼叫卫星网络终端; ④ 地面网络终端呼叫地面网络终端。

5G网络架构终端呼叫信令流程如图3 所示。

流程说明如下:

① 呼叫发起信令。在呼叫开始时终端1 只知道终端2 的主机号,所以呼叫发起信令携带的是终端2 的主机号、终端1 的主机号和ip地址等信息。

② 信令到达核心网,核心根据用户注册表查出终端2 的IMSI号和ip地址等信息,再根据终端2 的最后一次位置更新来对终端2 进行呼叫。

③ 寻呼到达终端2,终端2 上报自己的当前状态。

④ 连接建立成功信令向终端1 通知终端2 的主机号和ip地址。

⑤ 核心网处理网元为2 个终端建立业务链路。

⑥ 呼叫结束后,终端1 上发呼叫结束信令,上报核心网处理网元通话结束,核心网处理网元拆除业务链路,释放信道资源。

4 仿真实现

在本架构中由于卫星网络与地面网络的双重覆盖,所以会有3 种不同的通信方式,分别是卫星网络与卫星网络通信、卫星网络与地面网络通信以及地面网络与地面网络通信。在仿真测试时,主要测试了终端注册能力以及网络融合后卫星网络与地面网络的通信能力。

核心网采用软件模拟的方式,运行在虚拟机上。基站与终端采用思博伦的Landslide测试工具模拟[10,11,12]。信道模拟器模拟信道链路,时延采用260 ms。

4. 1 终端注册

注册测试框图如图4 所示。

测试结果如下:

① 在既有卫星信号又有地面基站信号时,4 个终端通过地面基站注册到核心网;

② 切断终端与地面基站的链路,只有卫星信号时,4 个终端通过卫星基站注册到核心网;

③ 切断终端1 和终端2 与地面基站的链路,切断终端3 和终端4 与信道模拟器的链路。终端1 和终端2 通过卫星基站注册到核心网,终端3 和终端4 通过地面基站注册到核心网。

4.2卫星网络终端与地面网络终端通信

通信测试框图如图5所示。

2 个终端分别以卫星模式和地面模式注册到核心网。入网后分别得到的ip地址为: 终端1: 183.12. 16. 33; 终端3: 183. 12. 16. 34,终端1 可与终端3正常通信。ping包示意图如图6 所示。

本实验主要证明了: ① 在融合架构中,在卫星网络与地面网络同时覆盖的区域,系统优先选择地面网络; ② 融合架构中,处于卫星网络的终端1 可以与处于地面网络的终端2 正常通信。

5 结束语

本文提出的卫星网络与地面网络融合的5G网络架构,将卫星网络和地面移动网络融合设计,充分利用了卫星网络的优势来弥补地面移动网络不足。而在核心网方面的扁平化处理,控制与转发分离的方式不仅极大地提高了核心网的性能,而且简化了各种信令处理流程。

摘要：为解决5G的全球无死角覆盖、永远在线和融合网络的要求,提出了一种卫星网络与地面网络融合的5G网络架构,并设计了在此架构下的终端接入和呼叫的信令流程。在新架构中地面网与卫星网共用一套核心网,以核心网的角度来实现融合,打破了传统2张网络独立运行或利用网关互联的架构基础,提高了用户体验。实验结果表明,星地网络在核心网角度融合具有良好的系统性能,用户可无差别地使用卫星网络和地面网络。

关键词：5G,网络架构,核心网,信令流程

参考文献

[1]王志勤,罗振东,魏克军.5G业务需求分析及技术标准进程[J].中兴通讯技术,2014,20(2):2-4.

[2]李远东.5G实现移动通信与电视广播的无缝融合[J].卫星电视与宽带多媒体,2014(4):21-25.

[3]张军.面向未来的空天地一体化网络技术[J].国际航空杂志,2008(9):34-37.

[4]ZHANG Jun,CHEN Run-hua,ANDREWS J G,et al.Coordinated Multi-cell MIMO Systems with Cellular Block Diagonalization[C]∥Proceedings of the 41st Asilomar Conference on Signals,Systems and Computers,2007:1 669-1 673.

[5]董爱先,王学军.第5代移动通信技术及发展趋势[J].通信技术,2014,47(3):235-240.

[6]姜大洁,何丽峰,刘宇超,等.5G:趋势、挑战和愿景[J].电信网技术,2013(9):20-26.

[7]王立静,汪中,孙晨华,等.TDMA卫星系统与IMS融合体系及资源分配[J].无线电通信技术,2012,38(4):18-20.

[8]LI Q C,NIU H N,PAPATHANASSIOU A T,et al.5G Network Capacity:Key Elements and Technologies[J].IEEE Vehicular Technology Magazine,2014,9(1):71-78.

[9]尤肖虎,潘志文,高西奇,等.5G移动通信发展趋势与若干关键技术[J].中国科学:信息科学,2014(44):551-563.

[10]CHANNEGOWDA M,NEJABATI R,SIMEONIDOU D.Software-defined Optical Networks Technology and Infrastructure:Enabling Software-defined Optical Network Operations[J].IEEE/OSA Journal of Optical Communications and Networking,2013,5(10):A274-A282.

[11]王国仲,李小文.TD-LTE UE开机附着信令过程的详细研究[J].广东通信技术,2012(9):19-22.

IA架构“叩响”安全产品大门篇10

“英特尔在现有处理器平台上增加了多种辅助功能，以使其能够在安全领域发挥作用。”Rajesh表示。为了保证安全产品的性能，英特尔开发了QuickAssist技术，以提升加密、数据压缩和其他工作负载的处理速度。此外，英特尔还在x86指令集的基础上附加了高级加密标准、高级矢量扩展等新的指令集以满足产品的需求。同时，英特尔还同步推出了下一代DPI（深度数据包检测）解决方案，对网络协议4～7层提供分类解码。

来自英特尔的测试数据显示，目前至强E5-2600处理器平台已经能够实现1.6亿次以上的三层包转发性能。

除了性能优势外，英特尔还同时提供了数据层面的开发套件（DPDK）。Bob认为，英特尔有能力运用自身的技术和经验帮助用户进行迁移，“这个迁移包含了两个层面，一个是在英特尔架构上呈现用户现有的应用。另外更重要的一点是，如何更好地利用英特尔平台的新技术和多核特点，使得用户的产品真正具备竞争力。”

Bob同时表示，相较针对私有化产品架构的开发，DPDK更加省时省力。而且，英特尔在IA平台这个庞大的市场上已经建立了非常强大的生态系统合作链。

网络安全架构篇11

网络安全是国家发展所面临的一个重要问题。对于这个问题,还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全问题一般包括网络系统安全和数据安全。网络系统安全是防止网络系统遭到没有授权的非法访问、存取或破坏;数据安全主要是防止重要、敏感数据被窃取等。将重点探讨基于VLAN的企业网络安全的架构设计。

2 原理

什么是虚拟局域网?由于有众多的供应商所制定的虚拟局域网解决方案和实施策略,所以精确地给虚拟局域网下定义就成为一个有争议的问题。然而,多数人对这种说法表示同意:VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段,从而实现虚拟工作组的新兴技术。

2.1 根据端口划分VLAN

许多最初的虚拟局域网实施按照交换机端口分组来定义虚拟局域网成员。例如,一台交换机的端口1、2、3、7和8上的工作站组成了虚拟局域网A,而端口4、5和6上的工作站组成了虚拟局域网B。此外,在多数最初的实施当中,虚拟局域网只能在同一台交换机上得到支持。第二代实施支持跨越多台交换机的虚拟局域网。

2.2 根据MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。基于MAC地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网络界面卡(NIC)上的,所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。

2.3 基于第三层的VLAN

基于第三层信息的虚拟局域网在确定虚拟局域网成员时考虑协议类型(如果多协议得到支持)或网络层地址(例如,TCP/IP网络的子网地址)。虽然这些虚拟局域网是基于第三层信息的,但这并不构成一种“路由”功能,也不应与网络层路由相混淆。即使交换机检查数据包的IP地址以确定虚拟局域网成员,也不会施行路由计算,不会采用RIP或OSPF协议,而且穿越交换机的数据帧通常根据生成树算法桥接。

3 企业网络三层结构的设计

企业网络三层结构的设计如图1所示:

(1)内部网络分级隔离、分级施策

把原有的服务器区分隔为对外公开的服务器区(DMZ区)和企业专用的服务器区。将对外开放的服务器如:Web服务器、Mail服务器等移入DMZ区。重要的仅供企业内部使用的服务器作为一个服务子网,使用适合的保护措施保护起来。其他部分分别按用途划分为办公子网、管理子网、生产子网,做到分级隔离,划分清晰。在各子网之间根据不同的保护级别实施保护策略,做到分级施策。

(2)安全产品联动,实现交叉防守,立体防御

在网络产品的选择和部署时,考虑各产品的功能和特点,相互结合,充分发挥各自优势。实现安全联动,交叉防守,立体防御。

(3)设备线路设计冗余,避免单点失败

在原有网络中,内部网络所有的流量都要通过主交换机汇入外网,主交换机几乎承载了整个内部网络的数据交换工作,极易出现故障,造成整个网络的瘫痪。新的设计中考虑到这方面的要求,在主交换机处设置了备用交换机,避免单点失败造成网络的中断。

(4)管理安全、集中方便

设置安全管理区,管理员很容易在管理区内对网络中的主机和设备进行集中统一的管理。通过安全产品的监控、报警、审计等功能,了解网络的实时状态,实现对网络的安全管理。

4 VLAN设计

4.1 划分

在安全控制方面,采用虚拟局域网(VLAN)来控制广播域和网段流量,提高网络性能、安全性和可管理性。比如员工常常通过网络联机游戏,有时游戏产生的网络流量严重冲击了骨干网络的整体性能。再比如,有些员工好奇心强,常常喜欢在网络中充当“黑客“的角色,给网络的其他用户造成很大威胁。那么,必须采用划分虚拟局域网(VLAN)的方法,限制信息点之间的互相访问,从而提高了网络的整体性能。

更值得一提的是,接入交换机可以采用VLAN实现端口之间相互隔离,不必占用VLAN资源。在使用VLAN时,各端口不可以互通,仅可通过扩展模块上联端口或其他上联端口可访问互联网或社区服务器。若用户希望端口之间通信,则借助三层交换机或路由器进行路由转发。通过采取这些相应的安全措施,没有授权的用户在网络中的不能任意上网,给网络的安全性带来了基本保障。

4.2 访问控制

三层交换机设置了VLAN路由接口后,默认情况下,任何两个VLAN之间都可以进行通信,实现资源共享。随着网络规模的升级,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?在VLAN间采用访问控制策略,能够加强网络的整体安全。

在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。访问控制列表ACL由基于一套测试标准的一系列许可和拒绝语句组成。其处理过程是自上向下的,一旦找到了匹配语句,就不再继续处理。在访问控制列表末尾设置一条隐含拒绝语句,若在访问控制列表中没有发现匹配,则最终与隐含拒绝语句相匹配。

4.3 配置命令

配置VLAN:

将端口分配给一个VLAN:

三层物理端口配置:

配置三层口:

5 结语

网络安全体系的建设是一个长期的、动态变化的过程,在新的网络安全技术手段不断出现的同时,新的攻击入侵手段也会随之出现。任何一个安全体系设计方案都不能完全解决所有的安全问题。因此,如何将网络安全技术与网络安全管理无缝地融合在一起,如何能让网络安全实施策略随着不同的网络环境的改变而自动做出相应的改变,这就是在未来的网络安全解决方案研究中需要解决的。

参考文献

[1]郑良春,左安娜.VLAN技术在企业网络中的应用[J].煤,2010,(07).

[2]虞剑波,姜媛.VLAN在高校实验室交换网络中的使用[J].科技资讯,2010,(18).

[3]周慧.VLAN技术和配置实践[J].科技资讯,2010,(07).

【网络安全架构】推荐阅读：

网络架构安全08-11

网络架构设计01-04

网络基础架构07-14