IP安全技术

IP安全技术（精选10篇）

IP安全技术 篇1

摘要：如今的IT技术发展迅速, 应用广泛, 作为通信的运营商而言, IP城域网的网络安全运行显得尤为重要。文章对IP城域网网络安全进行了分析, 并且提出了一些网络安全运行管理的应对措施, 最后对城域网的网络安全运行过程中的流量过滤技术进行了叙述。

关键词：IP城域网,网络安全,流量过滤

1 IP城域网的层次结构

将城域网中的宽带网络进行扩展形成了IP城域网, 是一种可以当作城域网宽带的多媒体通讯网络, 建立在多种网络业务的发展之上。IP城域网可以分成三层网络层次结构, 分别是连接宽带网络、控制管理业务网络层、网络管理核心层。宽带连接网络是直接连接于客户的, 相对发展比较成熟, 技术较为先进, 接入方式比较灵活多变;控制管理业务网络层体现了在IP城域网中所体现出来的各种业务, 收集网络中分散数据的节点以及将数据进行交汇处理, 主要功能是控制流量以及管理用户, 通常情况下使用业务路由器进行各种数据业务的汇总。网络管理核心层是整个城域网的核心, 它所承载的不仅是将整个网络之间的通信进行连接畅通, 还要将把城域网中数据之间的连接得以快速处理, 提高IP城域网中的数据连接效率, 通常情况下使用的是高端中路由设置。

2 IP城域网网络安全分析

2.1 IP城域网核心层安全

核心层的主要任务是可以负荷网络的承载能力, 包括了许多个核心路由的节点, 并且将它们连接在一起, 实现各个网络节点的连接。核心节点的性能有所保障才可以使网络安全运行过程更加的畅通, 使运行过程中的通讯线路更加富余, 网络处理转发能力更加高效, 得以安全稳定运行。可以威胁到网络中心的主要风险来源于各种攻南以及病毒侵害所导致的网络流量增多, 从而影响网络设备的使用性能。

2.2 IP城域网聚合层安全

聚合层主要是将所有的接点进行各种数据的转接发, 提供网络运行中的流量控制管理以及对用户的管理。作为网络用户管理的最基本的设备聚合层, 亦是保障网络运行过程中承载能力以及安全运行能力的关键基础。今后的BRAS设备的发展趋势也需要将用户在网络中的安全防护措施考虑在内。防治病毒侵入、集中式网络安全管理是今年网络通信安全技术的发展关键所在。

在网络聚合层中所包含的安全性能主要有:安全控制和管理用户的接入网络, 其中涉及到了密码以及各种口令和各种访问控制手段;保障接入用户之间的安全隔离, 杜绝偷盗IP地址, 以及防护用户间的攻击等;将IP地址以及用户号和MAC地址绑定到一起, 可以将用户的地址进行准确的访问, 有助于解决各种恶意侵入行为;加大了用户端接入的IP地址数量、各种通话数量、TCP/U DP连接数量, 高效防护了DOS、DDOS类的攻击;可以进行控制列表的访问, 其中包括将ACL创建于虚拟路由器中、对网络使用用户进行多层的安全防护, 可以有效屏蔽非法用户的侵入;还可以控制用户带宽。

2.3 IP城域网接入层安全

通过一些2/3层的交换机以及一些DSLAM、GPON、无线设备将各种接入技术以及网络连接线路进行网络的有效覆盖, 还可以给用户提供接入, 并对用户进行实时流量检测控制, 这是IP城域网中接入层的主要功能。接入层可以有效控制用户流量;预防IP地址的盗用, 杜绝网络用户中的相互攻击;将卡号与IP以及MAC地址有效绑定可以锁定用户地址, 提供解决非法用户的有效方式;利用PortSecurity措施, 有效防护网络用户的CAM以及ARP攻击等[1]。

3 IP城域网安全管理措施

3.1 安全管理IP宽带接入网的有效措施

(1) 合理分配IP地址。网络得以安全运行以及资源得以科学合理使用的基础即是进行合理地分配IP地址。每个IP城域网的城域内, 要尽可能将连续的IP地址给业务功能一样的网络, 这样可以有效解决业务流量的合理分配以及网络地址的合理分配, 有助于网络安全中的有效控制以及路由融合。与此之外, 要预告留出一定的地址段, 以备后续业务发展的需求。

(2) 防止环路。为了有效避环路发生, 第一要尽量避免网络运行过程中的二层VLAN传送;第二, 在将宽带与网络的聚合层进行连接进行, 一要采取一些检测措施, 这样可以有效避免因为二层环路所引起的网络故障, 防止网络出现瘫痪状态。

(3) 绑定措施。把城域网中的IP地址以及帐号和MAC地址等进行一体地绑定, 这样一旦发生故障可以第一时间进行故障定位, 并且提供追查的依据信息。

3.2 安全管理IP城域网业务控制层的有效措施

(1) 冗余策略。连接于业务以及网络核心层时, 利用冗余链路可以使网络运行的安全性得以提升, 能够避免由于单点单链出现故障而导致业务中断[2]。

(2) 控制网络运行安全权限。利用相应的措施, 比如说, 口令、密码服务等进行访问权限的设置, 以此来加强网络运行过程中的安全性。比如说, 对一些相对比较重要的数据信息进行设置身份认证以及各种密码授权方式, 传输以及保存过程中也要加强加密措施, 对于网络运行过程中的各种关键数据实时进行备份, 防止由于攻击而丢失数据。

(3) 科学合理设计链路Metric。保障连接业务以及网络核心层的路由器之间的2条Metric设备的路径负荷得以均衡, 有效减少流量压迫单边的情况, 使网络运行中的各种资源得以有效利用。

3.3 IP城域网核心层的安全管理措施

(1) 网络设备的选择。网络中心层的运行设备十分重要, 此设备的性能好坏直接影响着网络中心层的安全运行。通过核心层处理着大量的数据, 因此一定要使用一些高速没有阻碍的核心路由器。与此之外, 这种高性能的路由器还要符合国家设计标准各种种功能的要求, 例如, 防静电以及防雷电等标准。可以使设备在网络运行中得以稳定和平衡, 使网络安全运行的基础得到有效地保障。

(2) 冗余策略。相同于业务控制层, 作为核心层也要避免网络运行过程中由单点以及单线路所引起的系统故障瘫痪。所以, 对于网络中的各种硬件措施以及传送线路以及各种数据资源都要进行冗余。比如, 使每个POP点都通过两台路由器进行相互之间连接, 即使有一台路由器发生故障, 另一台也可以自动进行切换, 使网络运行业务保持畅通。

(3) 防火墙。在城域网的网络安全管理中, 要配置强大的、抵抗能力强的、速度快的防火墙应用于网络管理过程中。这种高配置的防火墙独立存在于城域网中, 与其它的设备独立存在, 可以有效抵抗网络攻击过程中的各种危险。

(4) 路由管理。选择路由协议也是非常关键的, 路由是否合理地规划设置直接影响到IP城域网的网络安全以及稳定运行的效率。所以选择适合的路由协议尤为重要, 路由设计规划的科学性可以提高整个IP城域网的稳定运行。一般可以分成两种协议类型, 域内、域间路由, 域内路由协议具有路由最短、最开放、最为优先的路由协议以及网络系统中的中间路由协议;域间路由协议中主要涉及到了边界网关协议 (BGP) 。需要进行MDS的信证, 意为保护运行过程中邻居的安全。

4 IP城域网流量过滤技术

在IP城域网中可以造成网络安全威协的无非即是网络攻击和各种各样的病毒所增加的流量, 怎么过滤IP城域网流量异常现象, 是使IP城域网网络安全得以有效保障的重要措施之一。进行流量安全性过滤的设备一定要采用专业的监控设备, 以及过过滤设备, 城域网进行流量安全过滤的方式如果依据位置来进行划分的话包括了:旁路和串接两种方式。

4.1 旁路方式

此种方式是在城域网中心的位置进行安装流量的过滤清洗设备, 与此同时还利用了监控设备将城域网中的聚合层和流量进行实时监控。流量没有发生异常时, 不会经过核心层以及聚合层的流量过滤设备。一旦发生异常现象时, 就会直接通知流量监控清洗设备, 并且通过监控设备向城域网内发出公告说明, 这时流量清洗设备收集异常流量并对其进行安全过滤之后将正确的输送到聚合层实现了流量的安全过滤。其它没有问题的流量则不会被影响到。异常流量消失后, 旁路方式以有几下种优点:不是因为进行流量安全过滤而使整体网络产生故障, 影响使用, 对于各种网络业务没有任何影响, 而且也相应地减少了网络故障位置的增加。只是实时过滤异常的流量, 并且进行清洗以及处理, 不仅避免了在受到安全设备过滤情况下而产生的性能影响, 还避免了网络中出现的延时、以及各种丢包问题等。由于受到流量的安全过滤, 因此要对网络中心层以及聚合层进行分光处理, 流量监控设备要与各个聚合层的互联, 利用资源。与此同进还要先检测流量异常, 随后对流量进行过滤处理, 降低其对攻击的控制力, 对攻击的反应减弱, 对一些实时性网络攻击的抵抗能力效果不明显。

4.2 串接方式

把清洗流量的运行设备连接于城域网的中心层以及聚合层之间即是串接方式, 运行在网络中所有流量都需要在此过程中进行清洗, 然后随之过滤, 最后发送到聚合层。

此种串接方式的最大特点即是:可以进行实时地检测以及分析和过滤流量, 对于网络中的各种攻击起到了抵制作用。不过由于是在网络中进行串接, 因此使网络中的故障位置增加了, 也提高了网络运行过程中的清洗效能。一旦出现网络扩充的现象, 也要对流量清洗所使用的设备进行升级和扩容, 提高了投资成本。参考文献:

参考文献

[1]徐浩.IP城域网网络安全分析及流量过滤技术[J].数字技术与应用, 2011 (12) :253-254

[2]肖智飞.IP城域网的网络安全管理措施研究[J].信息通信, 2013 (3) :235-236

TCP/IP协议的安全性分析 篇2

摘要：TCP／IP协议是目前使用最为广泛的网络互联协议。在详细叙述TCP／IP基本工作原理的基础上，深入分析了各层协议的安全性，指出了存在的安全漏洞及攻击方式，并给出了针对安全性问题的防范措施。为网络安全的研究提供了参考。

关键词=TCP／IP协议；网络安全；防范

1引言

随着信息技术的迅猛发展，计算机网络技术已经广泛地应用到名个领域。Internet，Intranet是基于TCP／IP协议簇的计算机网络。TCP／IP协议簇在设计初期只是用于科学研究领域，因而没有考虑安全性问题。但随着Internet应用迅猛发展和应用的普及，它不仅用于安全性要求很高的军事领域，也应用于商业及金融等领域，因而对其安全性的要求也越来越高。对TCP／IP协议及其安全性进行分析和研究就显得尤为重要。

2TCP／IP的工作原理

TCP／JP协议是一组包括TCP协议和P协议、UDP协议、ICMF协议和其他协议的协议组。TCP／IP协议共分为4层，即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问internet的一些高层协议，使用最为广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP／IP协议组的最低一层，主要负责数据帧的发送和接收。其工作原理是：源主机应用层将一串应用数据流传送给传输层，传输层将其截成分组，并加上TCP报头形成TCP段送交网络层，网络层给TCP段加上包括源主机和目的主机IP地址的IP报头，生成一个IP数据包，并送交数据链路层；数据链路层在其MAC帧的数据部分装上IP数据包，再加上源主机和目的主机的MAC地址和帧头，并根据其目的MAC地址，将MAC帧发往目的主机或IP路由器。目的主机的数据链路层将MAC帧的帧头去掉，将IP数据包送交网络层：网络层检查IP报头，如果报头中校验和与计算结果不一致，则丢弃该IP数据包。如果一致则去掉IP报头，将TCP段送交传输层；传输层检查顺序号，判断是否是正确的TCP分组，然后检查TCP报头数据，若正确，则向源主机发确认信息，若不正确则丢包，向源主机要求重发信息，传输层去掉TCP报头，将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流，就像是直接来自源主机一样。

3TCP／IP各层的安全性分析

3.1数据链路层

数据链路层是TCP／IP协议的最底层。它主要实现对上层数据(IP或ARP)进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中，由于信道是共享的，数据以“帧”为单位在网络上传输，因此，任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时，根据CSMA／CD协议，正常状态下，网络接口对读入数据进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。当数据帧不属于自己时，就把它忽略掉。然而，目前网络上存在一些被称为嗅探器(sniffer)的软件，如NeXRay、Sniffit、IPMan等。攻击方稍作设置或修改，使网卡工作在监听模式下，则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策：(1)装检测软件，查看是否有Sniffer在网络中运行，做到防范于未然。(2)对数据进行加密传输，使对方无法正确还原窃取的数据，并且对传输的数据进行压缩，以提高传输速度。(3)改用交换式的网络拓扑结构，使数据只发往目的地址的网卡，其他网卡接收不到数据包。这种方法的缺点是交换机成本太高。

3.2网络层

3.2.1IP欺骗

在TCP／IP协议中，IP地址是用来作为网络节点的惟一标志。IP协议根据IP头中的目的地址来发送IP数据包。在IP路由IP包时，对IP头中提供的源地址不做任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，攻击者可以直接修改节点的IP地址，冒充某个可信节点的IP地址攻击或者编程(如RawSocket)，实现对IP地址的伪装，即所谓IP欺骗。攻击者可以采用IP欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP欺骗的方法获得特权，从而给被攻击者造成严重的损失。防范对策：(1)抛弃基于地址的信任策略。(2)采用加密技术，在通信时要求加密传输和验证。(3)进行包过滤。如果网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤。确认只有内部IAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。

3.2.2ICMP漏洞

ICMP运行于网络层，它被用来传送IP的控制信息，如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping命令就是使用ICMP协议，Ping程序是通过发送一个ICMP Echo请求消息和接收一个响应的ICMP回应来测试主机的连通性。几乎所有的基于TCP/IP的机器都会对ICMP Echo请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令，向一个服务器发送超过其处理能力的ICMP Echo请求时，就可以淹没该服务器使其拒绝其它服务。即向主机发起“Ping of Death”(死亡之Ping)攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟：(1)可给操作系统打上补丁(patch)。(2)在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。(3)利用防火墙来阻止Ping。但同时会阻挡一些合法应用。可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte的Ping通过，这样就能挡住那些长度大于MTU(Maximum TransmiSsIon Unit)的ICMP数据包，从而防止此类攻击。

3.3传输层

TCP是基于连接的。为了在主机A和B之间传递TCP数据，必须通三次握手机制建立连接。其连接过程如下：A→B：A向B发SYN，初始序列号为ISNI；B→A：B向A发SYN，初始序列号为ISN2，同时对ISNI确认；A→B：A向B发对ISN2的确认。建立连接以后，主要采用滑动窗口机制来验证对方发送的数据，如果对方发送的数据不在自己的接收窗口内，则丢弃此数据，这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP协议并不对数据包进行加密和认证，确认数据包的主要根据就是判断序列号是否正确。这样一来，当通信双方进入非同步状态后，攻击者可以伪造发送序号在有效接收窗口内的报文，也可以截获报文，篡改内容后，再修改发送序号，而接收方会认为数据是有效数据，即进行TCP会话劫持。目前存在一些软件可以进行TCP会话劫持，如Hunt等。防范对策：(1)在传输层对数据进行加密。(2)使用安全协议，对通信和会话加密，如使用SSI代替telnet和ftp。(3)运用某些入侵检测软件(IDS)或者审计工具，来查看和分析自己的系统是否受到了攻击。

3.4应用层

在应用层常见的攻击手段是DNS欺骗。攻击者伪造机器名称和网络的信息，当主机需要将一个域名转化为IP地址时，它会向某DNS服务器发送一个查询请求。同样，在将IP地址转化为域名时，可发送一个反查询请求。如果服务器在进行DNS查询时人为地给出攻击者自己的应答信息，就产生了DNS欺骗。由于网络上的主机都信任DNS服务器，一个被破坏的DNS服务器就可以将客户引导到非法的服务器，从而就可以使某个地址产生欺骗。防范对策：(1)直接用IP访问重要的服务，从而避开DNS欺骗攻击。(2)加密所有对外的数据流。在服务器端，尽量使用SSH等有加密支持的协议；在客户端，应用PGP等软件加密发到网络上的数据。

4结束语

小议IP城域网网络安全 篇3

IP城域网一般分为3个层次：核心层、汇聚层和接入层，其中的各个层次承担了不同的功能。根据不同网络层次的不同功能，每个层次都面临不同的安全问题。核心层主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全，以及用户访问的控制;接入层主要由一些二层接入设备构成，其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。

核心层担负着网络核心承载的功能，所以必须充分保证网络的连通性和高度的可靠性，提供必须的网络冗余功能。在城局网关键的出口链路必须具备冗余设备，多条链路连接同时工作，确保在故障发生能够实现自动愈合，增强对病毒和黑客的防御力量，使整个网络变得更加稳定可靠。另外，核心层设备还要采用一些安全策略，以保障网络的安全可靠，例如：

1)网络设备采用多极安全密码体系，限制非法设备和用户登录;

2)实现路由认证，保证路由协议安全，支持SNMP，安全网管;采用访问控制列表策略，过滤异常流量，保证设备核心的安全;

3)采用如mrtg等流量监控手段，监测异常流量。

汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理功能，作为城域网的业务提供层面，是城域网最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。

汇聚层设备的安全特性主要体现在以下几点：

1)用户接入网络的安全控制，包括加强口令等访问控制手段;

2)调整BAS的部署策略。进行BAS边缘化，访问控制可以在边缘BAS上进行，如果仍然保持集中方式，可以考虑在BRAS后部署防火墙，可以将原有BAS访问控制功能转移到防火墙后，这样可以降低BAS负载及访问控制列表细化。限制每个VLAN下的用户数量，减少PPP建立过程中广播包的广播范围，提高网络性能，BAS放到边缘后，VLAN ID数目受到的限制问题也得到了缓解。细化的三层访问控制在BAS设备后端的三层设备上进行;

3)部署小容量BAS服务器，专线用户的VLAN在城域网汇聚层终结。充分利用宽带接入服务器BAS支持802.1q的特性，来实现对不同用户的服务，减小广播域，提高城域网的整体性能。在用户侧部署中小容量的BAS服务器，可把原来的超大二层网络分成多个小型的二层网络，降低管理的难度和复杂度;将宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到核心层;

4)利用BAS+AAA验证服务器完成对用户的身份验证，AAA绑定一般采用的都是静态绑定方式，而动态绑定一般是在接入设备上实现的，绑定技术的有效应用，主要用于解决账号盗用，用户定位等问题。通过上述认证机制实现基于用户的访问权限控制、计费和服务类型控制;

5)对于DLSAM拨号用户可实现VLAN、端口和用户账号绑定，进而防止个人用户的帐号、密码被盗用，也可确定出用户上网的位置，为问题的解决提供线索;

6)支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数，有效防止DOS类的攻击;

7)支持访问控制列表，禁止部分用户访问或有选择地屏蔽网络服务;

8)对用户带宽进行控制。

接入层通过各种接入技术和线路资源实现对用户区域的覆盖，提供多业务用户的接入并配合完成用户流量带宽的控制功能。

设备上采用的安全手段包括：

1)使接入侧用户相互隔离，以保证接入的安全性，防止用户间的相互攻击。由于以太网技术本身的特点，端口隔离的存在是必要的。无论是物理端口还是逻辑端口，现阶段有很多技术都能实现端口隔离功能，有的采用物理手段，有的采用逻辑手段。采用物理手段则能实现完全的隔离功能;逻辑手段一般是基于2层帧结构技术，也比较安全。可以说，端口隔离是目前一种保护接入用户内部安全的有效手段。在接入层隔离开用户之间的访问并不是为了限制用户的使用，而是要防止用户之间的攻击。无论是针对哪种用户，合理而又灵活的利用端口隔离技术总能有效地控制来自内部、外部用户之间的安全问题。

2)采用一些端口检测的措施，防止用户环路的发生。很多用户不知道环路带来的危害，所以环路经常发生在缺少专业技术人员维护的网络中。越是接近用户的设备检测周期越应该短一些，上层设备的检测周期应该长一些。这样就能减少一些因为上层设备先检测到环路禁用端口造成下层整个交换机用户都被断掉的可能。

在城域网设计、建设和运行维护的各个阶段，都应采取统一的安全技术策略，而各VPN网根据所统一的安全策略和各自不同业务特点，采用相应的安全防范措施和技术手段，以满足城域网全网的整体安全要求以及各专业系统自身的安全需求。城域网的安全保障可考虑采用以下几种技术策略来实施：

预防——采用认证授权、访问控制和路由隔离等技术，防止外界对城域网网络的各种非法访问，避免入侵者对城域网网络资源的破坏和窜改;采用VPN构建虚拟专用网，为各类用户专用网提供有效隔离。

监测——通过监控和定期检测等主动防御措施，及时发现城域网在运行中可能存在的各种安全漏洞，进而采取相应措施。

调整——对各项日志和管理信息进行统计分析，发现问题时，及时对城域网进行修改，消除可能的安全隐患;根据网络安全技术的发展和各项业务新的要求，及时调整城域网全网安全策略的实施。

IP电信网的传送技术 篇4

文章介绍了几种主要的IP业务传送技术：ATM、POS、DWDM和以太网的实现方案，分析了它们的优缺点；进一步还介绍了弹性分组环、多协议标记交换等技术；最后指出了在向IP电信网演进的过程中上述技术的发展趋势。

关键词：

IP电信网；传送技术；弹性分组环；多协议标记交换

Abstract:

The implementation schemes of main IP service transport technologies, such as ATM, POS and DWDM, are introduced with the analysis of their advantages and disadvantages. The resilient packet ring (RPR) and multiprotocol label switching (MPLS) technologies are discussed, and finally the development trend of the above-mentioned technologies in the evolution to IP telecom networks is outlined.

Key words:

IP telecom network; Transport technology; Resilient packet ring; MPLS

1 IP电信网的基本特征

由于Internet和网络技术的发展，数据、电话、电视、会议电视以及多媒体等各种业务都可以通过IP网络提供，电信网络专家和计算机网络专家都相信未来网络是基于IP技术的网络，即IP电信网。作为电信级网络，提供等级服务、可靠性、安全性和可管理性应当是IP电信网基本的特征。

结合数据网络、Internet的发展，以及宽带IP业务的建设经验和对下一代网络(NGN)的研究成果，IP电信网可以分成用户接入和网关、传输和交换、网络控制以及业务等4个层面。接入和网关层主要完成网络用户的接入和必要的转换功能；传输和交换层主要完成网络业务的汇聚、交换和传输实现；控制功能实现网络的总体控制，主要是实现业务的接续控制，同时将网络业务控制和数据流相隔离，便于引入新的网络业务；而业务层主要是提供与具体的业务实现相关的功能。

本文主要讨论网络用户的接入、业务汇聚、交换和传输方面，即网络的传送技术，并就有关服务质量保证、可靠性等方面展开讨论。

2 IP传送技术

有关IP业务的传送，有多种解决方案。从提供电信服务的角度看，有使用ATM、POS、DWDM和以太网等几种实现方案。下面简要介绍各种方案的特点。

2.1 ATM实现方案

ATM传送IP业务，或者IP over ATM有多种解决方案。在千兆比路由器(GSR)发展、应用之前，IP骨干网络是通过ATM来实现的，ATM可以提供高速连接链路，同时通过ATM交换机可实现流量工程。而ATM上直接承载IP业务，包括ATM传送IP(IPoA)、局域网仿真（LANE）、ATM上的多协议（MPOA）、标志交换（Tag Switching）和多协议标记交换(MPLS)等多种方案。随着技术的发展和市场的淘汰，在大型网络应用方面，MPLS方案已经获得发展和应用，并将在网络的演进中发挥更大的作用。

2.2 POS实现方案

POS(Packet over SDH)是另外一种IP传送方案，主要是通过高端路由器实现。它将IP包通过点到点协议(PPP)封装，高速数据链路(HDLC)定界/同步，然后通过SDH的有效载荷进行传输。

POS方案的出现和流行，得益于以下几个方面：

(1)OC-48或2.5 Gbit/s POS 高速端口满足了Internet骨干网络流量的需求。

(2)通过SDH直接承载IP业务要比ATM承载IP业务效率高。

但POS在满足了基本的传输功能后，作为一种网络传送技术，其缺陷也是很明显的：

(1)服务质量措施缺乏。

(2)难以实现流量工程。

(3)可靠性措施不力。

虽然，在技术上可以通过SDH实现APS，但与电信级设备的要求仍有一段距离。因此，不少厂家开发了专用技术，比较典型的有DPT等。标准化的RPR将使得可靠性问题获得解决。流量工程则是通过引入MPLS实现，特别是在运营商的大型骨干网络中。而服务质量方面已经有一些解决方案的模型和具体的实现，但总体而言，IP解决方案的QoS措施还有待进一步发展。

2.3 DWDM实现方案

IP over DWDM方案的优势在于可以省去前述ATM和SDH方面的ATM和SDH设备的成本，同时可以减少IP业务经多层适配的开销，是目前看来IP传送的理想解决方案。从网络模型的角度看，有重叠模型和对等模型，两者各有优势。重叠模型IP网络部分和光网络可以独立存在，光网络根据IP业务层的需求动态地提供通路；对等模型可以减少网络的层次，对IP网络和光网络层面使用同一套协议，对两个网络层面的内容都了解。从目前的角度看，重叠模型更符合应用的需求。例如通用多协议标记交换(GMPLS)和自动交换光网络(ASON)在竞争全光网络的主流控制协议方面，使用重叠模型，对网络的发展就要主动得多。

目前的传送方案，无论是基于SDH或者DWDM的，一般都是通过手工配置网络链路。这要耗去大量的时间，并且影响网络业务的正常提供。而网络结构一般是根据行政区划以及业务量的经验值推算而设定的，随着业务的发展，或者由于特殊的原因，网络某些链路可能会过载，从而引起网络总体结构的改变和调整。有了自动光网络后，这个问题可以轻松解决，根据业务量的具体情况，通过GMPLS或者其他机制，可以动态调整、改变波长路由，实现全网的均衡运行。

2.4 以太网实现方案

以太网已经有接近30年的发展历史。以太网从最初的共享10 Mbit/s、交换式10 Mbit/s、100 Mbit/s (FE)、

1 000 Mbit/s (GE)，发展至今天的十吉(10 Gbit/s)以太网。以太网因其成熟、价格低廉、易于使用和极好扩展等原因，得到了广泛的应用。随着10G以太网的标准化以及通过光纤直接传输的距离已经达到40 km以上，以太网技术在城域网中大量应用已经成为可能。作为IP电信网的传送技术，以太网的问题在于：

(1)不能提供服务质量保证。

(2)多业务的支持欠缺。

(3)没有较好的网络可靠性方案。

有关服务质量的问题，有几个因素能促进其解决。其中包括：

(1) 802.1p的标准化。

(2)通过硬件实现一定数量的服务质量等级，例如3个服务等级。

(3)随着城域网应用的需要，MPLS将会被支持，MPLS QoS将引入和实用。

有关多业务的支持，不是以太网技术的应用领域，可以通过其他接入设备，或者网关解决。有关可靠性问题，将通过弹性分组环(RPR)技术提供解决方案。

3 进一步的技术探讨

ATM、POS、DWDM和以太网等几种实现方案，还不是理想的IP电信网的传送技术，还有这样那样的缺陷。对IP电信网的传送技术需要做进一步的探讨。

3.1 有关网络演进的考虑

ATM技术作为IP电信网的传送技术，主要的缺陷是没有高端端口的支持。目前40 Gbit/s的POS端口由于业务发展和光网络选择走向等原因，尚未有见到开发成功的报道，因此，随着10 Gbit/s ATM端口的开发成功和实用化，ATM技术无论是在广域网和城域网内，都将和路由器展开竞争。由于ATM支持QoS，支持目前运营商收入主要来源的传统数据业务，加上ATM交换机的“Ships in the night”的实用化，可以很好地支持MPLS，满足未来IP业务发展的需求，因此ATM技术具有一定的优势，并有可能成为IP传送技术的优选方案。另一方面，由于MPLS和DiffServ结合的QoS策略的标准化的实现，IP的QoS问题将会获得解决。通过MPLS VPN技术，在核心IP网络的基础上，通过边缘接入设备的支持，可以提供传统的FR和ATM业务。这些，为采用传统的ATM网络技术体制的运营商和采用IP over SDH/DWDM的运营商实现统一的IP电信网提供了演进的方案，能够保护他们的网络投资和业务开展，并支持新兴业务。

3.2 弹性分组环技术

ATM技术的缺点是具有“信头税”而导致带宽的低效使用，路由器的缺点是要支持实时业务必须基于“带宽的过量供给”。虽然都是带宽的浪费，但ATM技术可以获得比较好的网络控制功能，而路由器则没有体现任何价值。弹性分组环(RPR)技术可以在解决可靠性问题的同时提高传输资源的利用率。

RPR是一种媒体访问控制(MAC)层协议，环形连接上的各节点通过该协议实现信息的传输。节点设备的操作十分简单，包括信息的插入、转发和剥离。RPR在收发两个方向上可以同时传输信息，使得带宽获得最大限度的利用。在有关链路信号降级或发生光纤故障时，RPR节点会自动、快速(小于50 ms)地实现环回。RPR既提供了自愈保护、实现高可靠性，同时也解决了网络的灵活性和效率等问题。RPR的技术优势，主要表现在以下几个方面：

*网络连接的高可靠性；

*物理层的灵活性，支持SDH、DWDM或以太网物理层协议；

*节点间带宽分配的公平性；

*便于组播/广播业务的开展；

*可以实现QoS。

RPR支持高速接口，包括GE、10G以太网，以及2.5G/10G POS接口，环形链路上最大支持128个节点，可以满足目前高速网络建设的需求。

预计RPR 2003年3月将成为正式标准。届时以太网在城域网中的应用，以及基于高端路由器的IP网络的可靠性将得到强有力的支持。至少在城域网的范畴内，能进一步完善IP电信网的传送技术。

3.3 MPLS技术

多协议标记交换是90年代中后期ATM上支持IP业务以及IP交换的一种方法。MPLS技术经过多年的发展，已经成为最为重要的网络技术之一，它不仅解决了网络发展中遇到的众多问题，同时也为支持网络的演进和发展提供了切实可行的途径。MPLS的一些重要功能和应用有：

(1)MPLS Fast Reroute功能。该功能使得LSP上的节点或链路在出现故障时，能自动迂回或切换到新的LSP上，保证网络业务的不中断。

(2)实现流量工程(TE)。流量工程通过路由受限-标记分配协议(CR-LDP)设置有关节点，通过流量的检测，决定有关流量分流的情况。根据如何决定分流链路的方法，可以区分松散与精确的指定。

(3)实现虚拟专网(VPN)。VPN通过公用网络实现一个单位内部的网络。由于业务流量和网络覆盖的关系，早期VPN网络通过专线来实现，缺乏灵活性。在IP网络十分普及的情况下，可以通过在网络设备直接支持VPN实现。MPLS 由于LSP的封装性，可以实现专线特性，保证安全性，不需要实现复杂的加密算法，而且具有极好的灵活性和可扩展性。

(4)实现IP QoS。通过对LSP设定有关特性来实现QoS，并能和DiffServ有机结合。

(5)支持多播功能，能够节省骨干网络的带宽和支持视频广播业务的开展。

(6)支持话音业务的开展。

(7)MPLS已经被扩展，用于光网络的控制。

4 结束语

光网络无疑会是IP传送网络的基础。从SDH、DWDM到ASON，随着技术的发展，统一的网络基础平台将被提供，并将足够灵活以满足网络业务开展的需求。在业务汇聚和交换方面，ATM多业务交换机和路由器以及以太网交换机等，虽面向应用不同，但功能将趋向融合。对MPLS的支持等将是必备的功能。对组播业务的支持和QoS保证，以及MPLS VPN的QoS保证将是基本的要求。各种传送技术将会并存，而ATM和MPLS技术的融合和发展则有可能成为IP电信网的优选传送技术。□

收稿日期：2002-11-06

参考文献：

[1] 蒋林涛. IP电信网及其业务[J]. 中兴通讯技术, 2001,8(S0):10—12.

作者简介：

IP宽带城域网安全与实施 篇5

1 城域网网络架构与安全现状

IP城域网的网络架构分为三个层次:网络核心层、网络汇聚层、宽带接入层, 网络的各个层次承担了不同的功能。根据城域网不同网络层次的不同功能, 每个层次都有不同的特点, 面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全, 以及用户访问的控制;接入层网络主要由一些二层接入设备构成, 其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。

2 IP城域网网络安全模型

对于宽带IP网络运营商而言, 宽带城域网包括基础承载网络和运营支撑平台两个部分。城域承载网是城域网业务接入、汇聚和交换的物理核心网, 它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。针对IP城域网承载网络部分面临的安全问题的特点, 从设备安全、结构安全、应用安全来控制网络中的安全风险。对于城域网运营支撑平台, 我们将采用分区域的安全模型, 将支撑平台划分成三个区域:信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络, 通常采用防火墙等设备与电信业务承载网隔离, 包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行数据交互的平台, 包括电信运营商提供的各种业务平台, 如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是运营商面对客户的基础网络, 它直接提供用户的接入和业务, 同时也是Internet网络的一部分, 包括基础用户接入、数据交换、媒体网关等设备, 是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础, 在城域网中起着至关重要的作用, 作为安全模型中的非信任域, 需要重点考虑。

3 城域网网络结构安全

网络结构安全是指网络在结构设计上保证不会出现单点失效, 主要由网络拓扑结构的设计、网络协议的选用等等来保证。

在城域网网络中, 注重链路的备份和冗余, 尤其在核心层和汇聚层, 汇聚层的路由交换机以两条链路连接到两台骨干路由器上, 通过运行动态路由协议OSPF协议实现链路的冗余备份和自动倒换, 避免了由于链路故障导致网络服务中断。采用虚拟局域网VLAN主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此, 规划VLAN时也综合考虑这三方面的因素。接入层设备为支持VLAN功能, 为了进行不同用户间的有效隔离和互联, 需要利用交换机对用户进行不同的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离, 此时如果需要互联, 可通过上连设备的ACL功能来控制;也可以根据需要将多个交换机的不同端口划为同一个VLAN, 直接实现有限制的用户互联。

4 城域网网络应用安全

4.1 黑客攻击的防范

黑客攻击的手段多种多样, 其中对电信级IP城域网危害最大的就是DOS攻击, DOS攻击是目前一种较为普遍的攻击手段, 黑客通过对目标主机或服务器建立大量的连接, 使网络中的路由器和服务器处理不过来, 或将某条链路阻塞, 造成正常的用户无法访问。针对外面网络的攻击, 我们需要从上联侧的路由器/交换机协同工作, 做出正确的配置 (如避免转发广播到内部网络) , 利用交换机控制SYN/ICMP包数量, 利用路由器的采样和防止NOC/地址欺骗功能。黑客攻击是网络应用安全的重点, 但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制。

4.2 用户认证安全

在IP城域网安全部署实施中, 主要在以下几个方面实现对用户有效的管理和控制:通过PPPOE、DHCP+WEB、802.1X等多种认证方式, 实现对各种接入用户和接入业务的接入认证功能;通过VLAN ID和PVC ID唯一标识每个用户以及其物理定位;对用户名、地址、VLAN或PVC等属性进行绑定, 防止用户帐号、IP地址被仿冒或盗用;限制一个用户、一个VLAN或PVC只能申请有限的IP地址, 防止用户恶意申请IP地址。

5 城域网网络安全控制

为实现整个IP城域网网络的安全性, 必须在城域网核心路由器、路由交换机、宽带接入服务器等设备采取多种安全控制机制。具体的手段如下:

防火墙 (Stateful Firewall)

为了实现对用户安全更有效的保证, 单纯的访问列表并不能实现流量的动态跟踪, 在IP城域网安全部署实施中还要部署状态防火墙, 状态防火墙是一般包过滤结构的一种改进型的扩展。状态防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息, 并以此为依据决定对该连接是接受还是拒绝。

安全ARP

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。ARP攻击主要是存在于网络中, 当网络中若有一台计算机感染ARP木马, 则感染该ARP木马的系统将会试图通过"ARP欺骗"手段截获所在网络内其它计算机的通信信息, 并因此造成网内其它计算机的通信故障。针对此类问题需要引入了安全化的ARP。

6 未来城域网安全防护趋势

一方面, 随着WLAN技术在城域网接入环节的兴起, 关于无线接入的用户隔离技术以及针对WLAN接入的网络安全防护, 将成为城域网中的重要发展方向。由于WLAN技术自身在安全方面的缺陷, 导致用户不能有效隔离和用户接入网络易受攻击。现在已经有多种技术可以弥补WLAN技术在安全方面的缺陷, 如:可以采用AP隔离、AP与用户IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安全特性。另一方面, 随着僵尸网络的产生和网络攻击行为的复杂化, 未来网络中的黑客攻击将成为越来越突出的安全问题。对比之下, 传统的IP城域网对于这些黑客的攻击行为的识别、抵御和防范存在明显的不足, 因此, 为了抵御日趋复杂的攻击行为, 必须对城域网的防攻击能力有一个完整的规划, 首先我们应该建立一个蜜网系统, 利用该系统可以从网络中获取实际的病毒数据和攻击行为样本, 通过分析可以及时掌握网络中存在的僵尸系统和其指令集, 并可以在网络防火墙上指定有针对性的防御策略;其次, 我们应该采用一些集成的攻击防御平台, 在网络设备和运营支撑平台上采用多种防御手段相结合的策略, 抵御网络上的攻击行为。

摘要：随着网络技术的发展演变, IP宽带城域网已成为宽带网络的发展方向, 各种信息化应用都将基于IP技术。本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上, 从设备安全、结构安全、应用安全三个方面阐述了如何保障网络的安全性和运行质量, 从而构件一个“可控制、可管理、可经营”的电信级IP宽带城域网, 为各种信息化应用提供一个安全可信的基础点心网络平台。

关键词：设备安全,结构安全,应用安全

参考文献

[1]电信级IP信息网络的构建.人民邮电出版社.

[2]宽带IP城域网的路由设计与实现.计算机工程与应用

[3]DOS攻击技术及其防范.计算机安全.

TCP/IP协议的安全问题初探 篇6

TCP负责发现传输的问题, 一有问题就发出信号, 要求重新传输, 直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。TCP/IP协议数据流采用明文传输。TCP/IP协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务 (DOS) 、Connection Hijacking以及其它一系列攻击行为。

TCP/IP主要存在以下几个方面的安全问题:

(1) 源地址欺骗 (Source address spoofing) 或IP欺骗 (IP spoofing) 。

(2) 源路由选择欺骗 (Source Routing spoofing) 。

(3) 路由选择信息协议攻击 (RIP Attacks) 。

(4) 鉴别攻击 (Authentication Attacks) 。

(5) TCP序列号欺骗 (TCP Sequence number spoofing) 。

(6) TCP序列号轰炸攻击 (TCP SYN Flooding Attack) , 简称SYN攻击。

(7) 易欺骗性 (Ease of spoofing) 等等。

2 对TCP/IP所受的攻击类型

2.1 TCP SYN attacks或SYN Flooding

TCP利用序列号以确保数据以正确顺序对应特定的用户。在三向握手 (Three-Way Handshake) 方式的连接打开阶段, 序列号就已经建立好。TCP SYN攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机B接收到来自A的SYN请求, 那么它必须以“Listen Queue”跟踪那部分打开的连接, 时间至少维持75秒钟, 并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送SYN请求, 但不答复SYN&ACK, 从而形成一个小型的Listen Queue, 而另一台主机则发送返回。这样, 另一台主机的Listen Queue迅速被排满, 并且它将停止接收新连接, 直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务 (Denialof-Service) 攻击, 而在其它攻击中也常发生这样的行为, 如伪IP。

IP Spoofing——伪IP技术是指一种获取对计算机未经许可的访问的技术, 即攻击者通过伪IP地址向计算机发送信息, 并显示该信息来自于真实主机。IP层假设它所接收到的任何IP数据包上的源地址都与实际发送数据包的系统IP地址 (没有经过认证) 相同。很多高层协议和应用程序也会作这样的假设, 所以似乎每个伪造IP数据包源地址的人都可以获得非认证特免。伪IP技术包含多种数据类型, 如Blind和Non-Blind Spoofing、Man-in-theMiddle-Attack (Connection Hijacking) 等。

2.2 Routing Attacks

该攻击利用路由选择信息协议 (RIP:TCP/IP网络中的基本组成) 。RIP主要用来为网络分配路由选择信息 (如最短路径) 并将线路传播出局域网络。与TCP/IP一样, RIP没有建立认证机制, 所以在无需校验的情况下就可以使用RIP数据包中的信息。RIP攻击会改变数据发送目的地, 而不能改变数据源位置。例如, 攻击者可以伪造一个RIP数据包, 并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送, 并且进行修改或检查。攻击者还可以通过RIP高效模仿任何主机, 并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

2.3 ICMP Attacks

IP层通常使用Internet控制信息协议 (ICMP:Internet Control Message Protocol) 向主机发送单行道信息, 如“ping”信息。ICMP中不提供认证, 这使得攻击者有机会利用ICMP漏洞攻击通信网络, 从而导致拒绝服务 (Denial of Service) 或数据包被截取等攻击。拒绝服务基本上利用ICMP Time Exceeded或Destination Unreachable信息, 使得主机立即放弃连接。攻击者可以伪造其中一个ICMP信息, 然后将它发送给通信主机双方或其中一方, 以取消通信双方之间的连接。

2.4 ARP欺骗

在局域网中, 是通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

3 总结

基于IP的智能电网网络安全体系 篇7

由于智能电网技术发展, 网络安全对电网也变得非常重要。这些技术将网络信息系统应用扩展到了以前只是需要人工操作而不能远程访问的电网和用户资产。智能电网技术可以显著提高输电网效率和环境绩效, 但同时也要保证电网的坚强。这以目标可以通过不同标准技术的实施来实现。智能电网用户和运营商应采取协同行动保证输电网安全。

电网的安全性要求一个降低对电网物理攻击和网络攻击的脆弱性并快速从供电中断中恢复的全系统的解决方案。智能电网将展示被攻击后快速恢复的能力, 设计和运行都将阻止攻击, 最大限度地降低其后果和快速恢复供电服务, 也能同时承受对电力系统的几个部分的攻击和在一段时间内多重协调的攻击。智能电网的安全策略将包含威慑、预防、检测、反应, 以尽量减少和减轻对电网和经济发展的影响。

1 基于IP的智能电网网络安全体系及其层次

为了保护电网运行, 智能电网应根据深度防御原则实施安全策略。深度防御是指在多层次上实施安全规则, 以保证任一层次或多层次的入侵不会破坏系统。该方案应基于IP的解决方案, 充分利用相关成熟研究成果, 并支持网络安全系统远程升级到最新标准。

基于IP的安全规则用于保护许多需要高度可靠性和安全性的产业的关键数据和资产。基于IP的安全机制应包涵最新的关键安全测试技术, 并能够保持与现有系统和未来系统的互操作性, 主要包括网络、主机、应用和个人等层次的网络安全。

(1) 网络层安全。

智能电网网络应支持采用多种通信介质来满足不同电网用户的安全需求和性能需求。例如, 无线网络能够满足农村地区每天抄表的功能, 但不能满足实时分布式控制的需求。任一电网都会使用多种通信技术, 因此安全防护应能够在所有网络中工作, 能够保证终端的通信安全, 并支持在非安全网络通道条件下的安全访问, 为电网提供更多较低成本的通信选择。

为了降低通信网络的脆弱性, 应将网络划分为与每一通信设备相连的独立链路。在网络管理应用和网络设备通信方面可采用了SNMPv3和AES-128加密标准实现完全身份验证和加密。即使在查找故障时需要直接进行设备登录, 也只能限制在SSH2 (Secure Shell 2) 层次。除SNMP v3和SSH2之外的管理协议都不能执行。SNMP v3是目前最安全的SNMP版本。IPSEC则负责提供用户鉴权、访问控制、设备鉴权和指令鉴权。

这些策略保证通信设备能够作为安全中断, 并将安全性扩展到接入通信网络的电力设备, 如电容器组控制器、重合器等同时也支持多通信介质上的网络设备的安全互操作。

(2) 主机和应用层安全。

基于深度防御原则, 主机可理解为接入网络的单个设备, 如服务器和PC, 而应用层是指智能电网服务的执行层。主要安全规则如下。

(1) 基于角色的访问控制:为不同类型用户提供了不同层次的访问权限级别。基于角色的访问控制允许限制个人对智能电网和信息网络的访问。这主要通过采用电网规定的职能权限和物理地址确定的分类结构实现。这些权限控制通过轻量级目录访问协议LDAP集中进行控制, 并可限制内部供给或意外误操作造成的安全风险。

(2) 非活动设备置无效:将未运行的软件包和服务置为无效, 以限制外部主体侵入和威胁电网运行。同时, 网络设备登陆也将被置为无效, 严格限制缺省配置。只有活动端口可开放, 并且限制IP转发和路由。这些策略都被工具化以支持避免服务威胁供给。对于单个网络服务器, 将非必须服务和端口在自动安装过程中置为无效。

(3) 防火墙兼容性:本智能电网体系应支持主机和应用层内的多层次IP和XML防火墙, 以保护电网访问接口点。除了实施IP和端口限制的多层次防火墙, 还应支持XML防火墙以对应用API进行鉴权。这一方法可捕获可能威胁网络信任域安全的潜在危险指令, 还支持面向服务体系结构下企业服务总线上的WEB服务接口防火墙。

(4) 加密:在主机和应用层上, 通过SNMPv3为每个设备分配设备唯一的加密和鉴权密钥。SNMPv3通信通过AES-128进行加密。通过唯一密钥, 能够检测出外部攻击。为了支持故障查找时用户对主机或应用的安全访问, 可采用公共—个体密钥机制增强SSH-2协议。这两种情况下, 都应采用AES-128加密方法保护通信链路。

(5) 可追踪和审计:系统能够追踪和审计所有智能电网部件或应用的行为。电网用户需要采用复合口令登陆系统用户界面, 该口令应满足电网安全策略要求。一旦登陆后, 该用户将被严格限制于基于角色授权的功能集。并且, 所有访问都会被记入日志并打上时间标记。用户界面和网络设备之间的通信链路由IPSEC隧道保证安全。在网络设备接受任一指令前, 用户界面和终端设备都需要相互鉴权。鉴权确认后, 才能执行相应操作。操作完成后, 即拆除相应链路和退出用户界面。所有过程都可追踪, 并能够用于事后审计。

(6) 访问日志:系统对所有访问企图、指令和响应都记入日志和打上时间标记。日志服务器作为历史记录可以支持安全监测和诊断分析。

(7) 警告:除了检查日志检测安全威胁, 还监测所有网络设备发出的警告。所有警告都被记录并可用于安全性分析, 并可转发给其它应用系统。

(3) 个人/C IP兼容。

深度防御最重要的层次是对个人安全策略的支持。常用的策略包括:关键网络资产标识、安全管理工具、个人化基于角色的账户、电子安全卡、关键网络资产的物理安全、系统安全管理、事故报告和响应规划、关键网络资产的恢复规划等。

2 结语

基于IP的网络安全防护体系将是智能电网未来发展的方向。因为, IP层将成为电力系统通信及应用体系的基础协议层。电力系统将在此层次上实现数据、业务流程和应用层的统一和集成。这一领域还有很多有待研究的问题。

摘要：本文在分析智能电网安全重要性的基础上, 提出了包括网络、主机、应用和个人等多层次的智能电网网络安全体系, 并分别对各层次的必要安全策略进行了分析。

IP核网络管理系统的安全机制 篇8

目前,我国集成电路(IC)制造产业迎来了新的发展阶段,IC设计行业发展迅速,SOC(System On Chip)设计技术取得了很大的进步。通用设计模块(IP核)则是SOC设计的关键技术,浓缩了IC设计的技术经验,是设计者智慧的结晶。建立“通用设计模块(IP核)管理系统”正是为了提供一个IP设计者和使用者之间信息交流、成果共享的平台,使IC设计者能够根据需要方便地选择和使用IP核。

在国外,目前已经有了像design&reuse和thevcx这样的网站,它们是专门的IP门户综合性管理服务网站,还有像IP Gear(SynchronCity)和IP Repository(Mentor Graphics)这样的IP管理软件。可以说集成电路设计行业较发达的国家,其IP管理系统也较为完善。为了满足我国微电子产业的发展需求,在国家集成电路设计产业化北京基地关键技术研究项目中设立了“IP技术研究与开发”课题,本文则重点讨论了“通用设计模块(IP核)管理系统的研制与开发”子课题中的数据安全机制部分。

由于不安全因素的多样性,数据安全问题需要从多方面、多角度来考虑。一个可靠的数据安全系统需要有周密的设计、即时的管理和精良的技术。单从技术上讲网络数据安全就涉及安全体系的设计,安全保障手段(在这里即为加密算法)的选择及实现,以及网络实现,它包括基础网络平台、服务器应用系统和数据库等。换一个角度讲,安全包括动态的安全,即数据在网络传输中的安全,以及静态安全,即数据存储在服务器端以及客户端时的安全。除此之外,通用设计模块管理系统作为一个交易平台,在保证买方数据可靠性的同时,也要保护卖方的产权利益,即要限制任何人对IP数据的非法传播,控制数据使用范围,这是安全的一个重要课题。网络数据安全机制的整体考虑如图1所示。

可交付IP数据在服务器中以密文形式存储——防止服务器被攻击,IP数据被窃取;

IP数据在网络中以密文形式传输——防止IP数据被截获;

控制用户下载,数据仅能在用户本机解密——保护IP提供者利益,防止IP过渡传播利用。

1 加密机制的设计

1.1 加密算法的选择

IP数据自身的特点是数据量大,数据敏感度高。即在要求数据能在网络中高速度地传输的同时,又要确保数据密文不会轻易被破解。我们知道,复杂的加密算法安全性高,但往往加密速度很慢;而加密速度快的算法又过于简单,密文很容易被破解。兼顾速度和安全性的双重考虑,本项目中采用了256位分组算法AES和公钥算法ECC相结合的双加密机制。

1.2 ECC算法

公钥算法(即非对称密钥算法)的抗攻击强度要远远高于对称密钥算法。而公钥算法中的椭圆曲线算法(ECC)与其他公钥算法相比又有绝对的优势。在选择相同的密钥长度的情况下,ECC算法的安全性要远高于其他公钥算法。160位、210位的ECC算法,其安全性分别相当于1024位和2048位的RSA、DSA算法。而且ECC算法的密钥尺寸小,解密速度快。

ECC算法的原理基于数学上的椭圆曲线问题。图2所示为椭圆曲线上点的加法运算规则P+Q=R。ECC算法利用的是椭圆曲线上点的倍乘原理。

椭圆曲线问题用于加密的原理[1]:

若k为整数,P为椭圆曲线上的点。按照椭圆曲线上的加法运算规则,知道k、P可以很容易计算出k×P;而若知道k×P和P想求出k,目前在数学上是个难题,是不可解的。于是k就被选作私钥(解密密钥),如果k不因在网络上传送而被窃取,信息窃取者是不能从公钥(加密密钥,其值为k×P)信息中获得私钥k的,那么他截获的密文也是不可解的。这里一再提到的是ECC算法,而不是ECC加密算法,原因在于:ECC原理除了用作加密以外,还可以用在密钥交换过程和数字签名验证过程。

ECC算法中利用ElGamal协议的加密过程[3,4]:

Bob如果要把消息m秘密的传给Alice,

· 加密过程:

(1) Alice:取私钥ka,计算公钥ka×P,并将ka×P公开传给Bob,其中P是基点(椭圆曲线上非零的任意一点)。

(2) Bob:把消息m编码成椭圆曲线上一个点M(原因是只有椭圆曲线上的点才满足椭圆曲线上的运算规则)。

(3) Bob:随机选择一个数l。

(4) Bob:计算l×P和M+l×(ka×P)。

(5) Bob:把上一步计算好的两个点全部发给Alice。

· 解密过程

(1) Alice:

根据Bob发送过来的第一个点计算ka×(l×P)。

(2) Alice:

将Bob发送过来的第二个点减去上一步计算结果,即可得到M。

(3) Alice:

将M还原成消息明文m。

说明:将任意点变为椭圆曲线上的点是一件不太容易的事情,为了避开这一难点,在实现算法的时候将m直接取为椭圆曲线上的点。在整个加密体系中,上述过程所描述的消息m即为对称密钥(AES的密钥),如图3所示。

ECC算法具有很高的安全性,目前理论上是不可破解的。然而,ECC的加密解密过程进行的都是指数运算,如果数据太大速度会很慢,而对称密钥算法则快得多,所以这里选用对称密钥算法加密大数据——IP数据包,选用公钥算法加密小数据——对称密钥。这样整个加密系统基本可以满足高速度和高安全性的双重要求。

ECC算法最大的好处在于,它省去了解密密钥在网络中的传输过程。没有传输就少了最大的安全隐患——解密密钥被截获。清华大学微电子研究所已经研制出了ECC加密芯片,硬加密速度将更快、保密性更好,这也正是本课题下一步要改进研究的问题。

1.3 加密过程的实现

整个加密算法用三个程序包实现,它们的功能分别是:产生ECC算法的公钥和私钥、加密产生IP数据密文和AES密钥密文、解密AES密钥密文和解密IP数据密文。这三个程序包是用C语言编写而成的。

用户在网络中购买IP数据的交易流程,如图4所示。

(1) 用户通过系统验证,获得证书。用户向服务器提交购买IP的申请并下载密钥生成器。用密钥生成器生成私钥和公钥。私钥按程序指定路径自动保存,同时用户需要将公钥文件按指定规则命名后上传服务器。

(2) 服务器管理员确定用户付款到位后,根据用户上传的公钥加密用户所需要的IP数据包,等待用户下载。

(3) 用户下载数据包。其中包括解密程序,AES密钥密文和IP数据密文。用户解密后就可使用IP数据了。

2 结 论

IP管理系统的服务器采用UNIX系统,数据库采用Oracle9。经测试,数据安全传输系统工作无误,功能达到预设计要求。整个“通用设计模块(IP核)管理系统”已投入试运行,于2005年12月通过北京市科委组织的课题验收。

参考文献

[1]徐宗本,柳重堪.信息工程概论[M].北京:科学出版,2002.

[2]方颖立.RSA密码系统的ASIC实现及其参数化自动生成研究[D].北京:清华大学工学.

[3]黄谆.基于CMOS实现的真随机源与集成真随机序列产生器[D].北京:清华大学,2004.

IP安全技术 篇9

关键词:跨区IP专用网络;网络安全防范;网络安全防范方案

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Cross-IP Specific Network Security System

Zheng Haoyu

(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)

Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.

Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.

And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.

Keywords:Cross-IP private network;Network security;Network security program

跨区IP专用网络是内部管理及对外交流的重要平台。但在进行信息资源共享的同时,跨区IP专用网络系统却也处于被病毒攻击侵害的威胁,随时都可能出现信息丢失、数据损坏、系统瘫痪的局面。所以,我们要对跨区IP专用网络的安全的框架体系、安全防范的层次结构进行细致的分析研究,合理的设计设置,提高跨区网络安全防范水平,减少系统与数据的安全风险。

一、跨区IP专用网络安全存在的问题

(一)网络缺陷

IP专用网络不可或缺的TCP/IP协议,没有相应的安全保障机制,而且最初设计因特网时考虑的是局部故障不会影响信息的传输,几乎没有意识到安全问题。因此,在安全可靠性及服务质量等方面它存在不适应性。

(二)系统漏洞

网络系統安全性取决于网络各主机系统的安全性,而各主机系统的安全性又是由操作系统的安全性所决定的。这也是网络容易被人为破坏的不安全因素。

(三)病毒传播

大多数病毒具有传播快,扩散广,难以防范,难于清除彻底等特点。令人防不胜防。

(四)黑客入侵

黑客借助挖掘逻辑漏洞,采用欺骗手段进行信息搜集,寻找薄弱环节和介入机会,迅速窃取到网络用户的身份信息,进而实施对整个网络的入侵和攻击,致使内部信息被盗,甚至机密泄露。

二、跨区IP专用网络安全防范体系设计思路

安全服务、系统单元、结构层次的分项交叉的三维立体的框架结构设计,能使网络安全防范体系更具备科学性和可行性。

(一)体系框架设计思路

框架结构中每个系统单元都要与某个协议层次相对应,并采取多种安全服务以保证其系统单元的安全性;网络平台要有网络节点之间的认证和访问控制;应用平台要有针对用户的认证和访问控制;数据传输要保证完整性和保密性;应用系统要保证可用性和可靠性;要有抗抵赖及审计功能。这样一个在各个系统单元都有对应的安全措施满足其安全需求的信息网络系统,应该是安全的。

(二)体系层次设计思路

作为整体的、全方位的网络安全防范体系,不仅要对横向系统单元进行防范设计,还需对其纵向进行分层次考量。针对不同层次所反映的不同安全问题,根据网络应用现状情况及网络结构,可将安全防范体系的层次划分为物理环境的安全性、操作系统的安全性、网络的安全性、应用的安全性、管理的安全性等。

三、构建跨区IP专用网络安全防范体系方案

(一)安全组件

1.路由器:通过在路由器上安装必要的过滤,滤掉被屏蔽的IP地址与服务协议,并屏蔽存在安全隐患的协议。

2.入侵监测系统:监测网络上的所有包,捕捉有恶意或危险的目标,及时发出警告。

3.防火墙:可以防止“黑客”入侵网络防御体系,限制外部用户进入内部网,并过滤掉可能危及网络的不安全服务,拒绝非法用户进入。

4.物理隔离与信息交换系统:具有比防火墙和入侵检测技术更强的安全性能。对内部网络和不可信网络实行物理隔断,阻止各种已知与未知网络层及操作系统层的攻击。

5.交换机:利用访问控制列表,实现用户以不同要求进行的对数据包源和目的地址和协议以及源和目的端口各项的筛选与过滤。

6.应用系统的认证和授权支持:实行在输入级、对话路径级与事务处理三级无漏洞。使集成的系统具有良好恢复能力,避免系统因受攻击而瘫痪、数据被破坏或丢失。

(二)安全设计

可有效利用和发挥系统平台自身的安全环节,保证系统及数据库的使用安全。

1.身份标识和鉴别:计算机初始时,系统首先会对用户标识的身份及提供的证明依据进行鉴别。

2.访问控制:分“自主访问控制”与“强制访问控制”两种。“自主访问控制”Unix及Windows NT操作系统都使用DAC。“强制访问控制”能防范特洛伊木马,阻止用户滥用权限,具备更高的安全性。

3.审计:安全系统使用审计把包括主题与对象标识、日期和时间、访问权限请求、参考请求结果等活动信息记录下来。

(三)安全机制

采用有针对性的技术,提高系统的安全可控性,以建立高度安全的信息系统。

1.安全审核:通过完善系统基本安全设计,包括安全机制的实现和使用,增强了系统安全性,如设置网络扫描器,对系统运行周期性安全问题进行统计分析,研判针对性方案节省防护投入提高使用功效。

2.信息加密:增设可信系统内部加密存储、跨越不可信系统在可信系统间传输受控信息等机制。考虑建设环境和经费预算控制,结合使用自建CA与第三方CA对专用网络通道进行加密认证,常应用信息加密技术和基于加密与通道技术上的VPN系统。

3.灾难恢复:对重要数据定期进行备份,保证重要数据在系统出现故障时仍能准确无误。

四、结束语

保证跨区IP专用网络安全,需要在采用相应的技术措施的基础上,加强网络安全管理;制定相关的规章制度、使用规程以及应急措施,在提高工作人员的业务能力的同时,增强网络安全防范意识、保密观念与责任心,使网络安全防范体系有效发挥作用;引入安全风险评估体系,定期进行风险评估和检查,对内外部环境变化产生的新安全问题进行快速评估以改进完善安全设计方案,建立专用网络安全的长效机制。

参考文献:

[1]贾金岭.构建跨区IP专用网络安全防范体系的探讨[J].网络与信息.2010,5

[2]徐涛.网络安全防范体系及设计原则分析[J].电脑知识与技术,2009,9

[3]刘宏培,余斌.论网络安全体系下的安全防范技术[J].科技风,2009,13

IP安全技术 篇10

通常, 人们通过在电脑上安装杀毒软件, 及时更新电脑的补丁包等方式来对网络攻击进行防范, 这种防范技术具有大众性, 无论是在局域网还是广域网中都适用, 但并没有考虑到局域网使用范围小且应用需求特殊等条件。通常, 企业为提高内网的安全性, 会要求局域网内部电脑不允许访问互联网, 不允许在内网私自搭建游戏平台, 不允许开放部分敏感且易受攻击的端口等。那么, 如何通过简单且经济的方式来尽可能提升局域网内电脑的安全性呢?

为此需要控制电脑使用的网络范围, 防止与非法用户进行信息交互, 关闭电脑中一些与工作无关、具有安全隐患、易受黑客攻击的端口等, 可以通过计算机自带的IP安全策略来实现。

IP安全策略是一个给予通讯分析的策略, 它会将通讯内容与设定好的规则进行比较, 以判断通讯是否与预期相符合, 以此决定允许还是拒绝通讯的传输。IP安全策略的功能类似于交换机中的ACL (Access Control List, 访问控制列表) 或是网络防火墙, 当用户配置好策略后, 如同为自己的电脑安装了一个免费且功能完善的个人防火墙。

1 IP安全策略的匹配原则

IP安全策略可以视为数据通讯时应遵循的规则, 只有符合规则的数据才能与计算机进行通信。如果只有一条策略, 那么只需要将通讯的数据与该策略进行比对, 符合要求则放行, 否则将拒绝该数据的传输;然而, 在多条策略同时应用时, 策略究竟是以怎样的顺序或是优先级来对数据进行筛选的呢?

在IP安全策略中, 任何一条策略都包含以下筛选条件:IP寻址 (源IP和目的IP) 、通讯协议 (包含协议和端口号) 、筛选器操作 (允许或者拒绝) 。当通讯数据传输至本机时, 首先会由IP安全策略进行审核, 查看其源IP和目的IP是否对应某条策略;然后再检查其要求通讯的端口号, 经匹配成功后再根据IP安全策略中对应的筛选器操作, 决定该通讯数据是拒绝还是放行。当出现多条IP安全策略时, 根据IP寻址范围的区别, 可以将其匹配规则分为宽度匹配和深度匹配。

1.1 宽度匹配

宽度匹配是指当多条策略的IP寻址范围互不干涉或者完全相同时, 通讯数据会根据IP安全策略中每条策略的确认应用时间顺序来进行匹配, 如图1和图2所示。只有在跟第一条策略不匹配时, 才会被交给第二条策略, 一旦数据找到匹配的策略, 则会根据策略的筛选条件被拒绝或允许通讯。当然, 若经过查找, 未发现匹配的策略, 则该数据会自动被允许与计算机进行通讯。

1.2 深度匹配

深度匹配是指当多条IP安全策略的IP寻址范围属于包含与被包含的关系时, 通讯数据此时将不再考虑策略生效的时间顺序, 而是根据策略中IP寻址范围最小的那条策略进行匹配。如图3所示, 当策略的IP寻址单位包含了策略2时, 通讯数据会自动匹配策略2, 而不考虑策略1。

IP安全策略是根据宽度匹配与深度匹配相结合而使用的, 最终决定了策略在执行过程中的优先等级。

2 局域网IP安全策略的制作

根据局域网自身的条件, 可以做出如下要求:

允许本机与局域网内部计算机进行通讯;禁止在个人电脑上开放指定的端口;拒绝本机与任何非内部网络的IP进行通讯。

具体步骤如下:

电脑开启后, 点击“开始”—“控制面板”—“管理工具”—“本地安全策略”, 选中“IP安全策略, 在本地计算机”, 再点击右键, 选择“创建IP安全策略”, 如图4所示。

根据“IP安全策略向导”依次往下执行, 当遇见提示“激活默认相应规则”时, 不需要勾选此项。

当新的IP安全策略创建完成后, 会弹出此项IP安全策略对应的属性编辑框, 需要通过编辑其属性来实现多条策略的制定。此处假设局域网的IP范围为10.0.0.0/8, 电脑不允许开放与WEB服务相关的常见端口 (80、8080、8000、443) 。

对于“允许访问局域网内部IP地址段10.0.0.0/8”, 可将该策略的源IP设置为“我的IP地址”, 目的IP为10.0.0.0/28, 并且选择“任意”协议的数据均会被允许访问。

对于“禁止在个人电脑上开放指定的端口”, 此处以80、8080、8000、443端口为例。只需要将协议选择为“TCP”, 并将源端口选择为“任意”端口, 目的端口选择为WEB服务常见的端口。

对于“拒绝本机与任何非内部网络的IP进行通讯”, 将该条子策略的源IP设置为“我的IP地址”, 目的IP设置为“任何IP”。并且选择“任意”协议的数据均会被拒绝访问。

策略制定完成后, 便可将其应用于本地计算机。由于IP安全策略在同一台计算机上只能指派一条, 因此其他所有的策略只能作为子策略集中在一条IP安全策略中被指派。该策略只有在电脑重启之后方能生效, 因此, 在完成策略的指派后需要重启计算机。

3 结语

IP安全策略可以根据计算机使用环境的差异而制定不同的策略。对于局域网电脑而言, 整个网络的安全隐患, 绝大多数来自于终端安全, 维护终端安全对网络安全性的提高起着至关重要的作用。而IP安全策略就像一个私人保镖一样守护着用户的电脑, 为个人计算机在进行数据通讯时把好第一道关。

参考文献

[1]唐普霞.通过IP安全策略关闭计算机端口技巧分析[J].数字技术与应用, 2011 (04) :139-140.

[2]赵一鸣.Web服务在信息系统中的应用及其安全机制研究[D].武汉:武汉理工大学, 2006.

[3]郭利.S-BGP协议安全机制研究[D].西安:西安电子科技大学, 2005.

[4]代闻.面向Web2.0聚合应用的浏览器安全机制研究[D].北京:北京邮电大学, 2009.