电信管理网络安全技术研究与设计

侯 艳

电信管理网络安全技术研究与设计

侯 艳

（泰州职业技术学院,江苏泰州,225300）

电信管理网络是我国基础信息建设的主体内容之一，其安全性一直备受瞩目。本文以电信管理网络安全基础为切入点，对目前我国电信管理网络安全技术进行综合性的讨论，譬如：基本安全机制、安全支撑机制，同时分析了现有的电信管理网络体系结构，提出了电信管理网络安全软件技术和TMN多安全域安全体系结构设计，以提高电信管理网络外部结构的安全性。

电信；管理；网络安全；技术；设计

0 引言

随着市场经济的不断深入，传统电信行业面临着来自多个方面的竞争和考验，而电信网络的可靠性是电信发展过程中尤为重要的环节。不法分子利用伪装、窃听、篡改、抵赖、删除报文、网络洪泛等手段获取非法利益，这使得电信企业和电信用户蒙受者巨大的损失。因此，电信管理网络的运行安全性变得尤为重要。电信管理网络安全就是要保证信息处理和传输的保密性、完整性和可靠性。一个健全的电信管理网络安全系统要求具有认证、访问控制、抗抵赖性、机密性和完整性等，可以降低电信业务中因为网络漏洞而造成的损失和影响。

1 电信管理网络安全基础

1.1 基本安全机制

电信管理网络基本安全机制是融合了诸多算法和协议的安全服务体系，通过复杂的计算程序提高电信管理网络破解难度，基本安全机制主要包括：哈希（Hash）算法、加密体制、数字签名、证书、访问控制、Diffie-Hellman密钥交换和认证协议等。

1.2 安全支撑机制

支撑机制是一种网络安全机制，能够与基本安全机制关联形成电信管理网络安全基础。电信管理网络安全中的支撑机制主要包括：安全预警、安全审计日志、密钥分发和GSS-API标准编程接口。

2 电信管理网络体系结构

图2 .1 电信管理网络物力体系结构简例

2.1 电信管理网络功能体系

电信管理网络功能体系能够将复杂的电信管理网络通过各个功能块组合在一起实现对电信网络的管理。在电信管理网络功能模块中包括：操作系统功能块、中介功能块、适配器功能块、网络单元功能块和工作站功能块。在各个功能块发生信息交换的位置建立参考点，在功能块与外界联系的位置也建立参考点。

2.2 电信管理网络物理体系

电信管理网络的物力体系结构是为了实现电信管理网络功能而配置的物力结构。如图2.1所示：

2.3 电信管理网络信息体系结构

电信管理网络信息体系包括管理信息模型和管理信息交换。管理信息模型是实现电信管理网络的各种管理操作，譬如：信息的存储和提取。管理信息交换利用接口规范或者协议进行数据通信和信息传递。

3 电信管理网络安全软件技术

电信管理网络安全软件技术包括：基于OSI的电信管理网络安全、基于公用对象请求代管者体系结构（CORBA）的电信管理网络安全、基于SNMP的电信管理网络安全。

其中基于OSI的电信管理网络安全是控制服务元素（ACSE）、公共管理信息服务元素（CMISE）、安全转换服务元素（STASEROSE）的安全，并采用安全协商和对等实体认证等方式取保应用的安全。

基于公用对象请求代管者体系结构（CORBA）的电信管理网络安全是以传输层SSL3和应用层抗抵赖性模块共同支持的基于TCP/IP安全服务。再由TeNoRIOP安全，是作为CORBA的一个补充，其对抗抵赖性模块的安全服务更加具有独立的安全机制。

基于SNMP的电信管理网络安全采用SNMPv1通过IPsec进行保护的，其能够为几个实体共享电信管理玩过的一个公共安全网关提供保护方案；SNMPv2安全网关方案与SNMPv1相似，SNMPv2提供的安全机制包括：认证加密、访问控制等。SNMPv2所赋予给通信实体的是一个唯一的标识；SNMPv3也是采用IPsec进行保护，其包括：基于用户安全模型和基于视图访问控制模型两大安全组件。

4 TMN多安全域安全体系结构设计

4.1 总体结构

由于电信管理网络的管理活动时采用X接口实现交互的，因此，确保X接口上的管理活动安全性就成为电信管理网络安全服务中尤为重要的环节。在TMN多安全域安全体系结构设计中首先要确认的是安全体系结构中的组件，其中包括：CMISE、ACSE等ASE接口管理的应用集成安全组件，其结构组件示意图如图4.1所示：

4.2 安全体系结构组建

4.2.1 安全上下文

安全上下文包括特定的加密技术、针对交换数据的语法和语义，能够为对等实体双方提供相应的安全机制。在建立联系时安全上下文的协商可以运用ACSE中的Authentication字段传输GSS-API生成token来完成。

4.2.2 对等实体认证

在建立联系期间发起实体向安全支撑组件发送请求，请求一个认证标记，可由ACSE中的Authentication字段传输，接收实体必须要在ACSE响应中返回一个认证标记，由此才能建立安全上下文。

4.2.3 访问控制

访问控制可以分为：全局访问控制、针对联系的访问控制、针对管理操作的访问控制和针对通告的访问控制。全局访问控制体可以分为发起安全域和目标安全域。发起实体安全域是针对发起的联系请求、管理操作请求和通告进行控制；目标实体安全域是针对进入的联系请求、管理操作请求和通告进行控制。

4.2.4 机密性与完整性

保证数据的机密性与完整性需要调用GSS-API完成安全转换，参数通过编码将ASN.1编码之串接到服务体系中生成ICV，并同时进行了加密，进行访问控制。

4.2.5 抗抵赖性

抗抵赖性是指对发起实体和目标实体之间可能发生争议的部分生成有效证据，作为争执解决参考。抗抵赖性服务可以由抗抵赖性证据信息生成、证据记录、证据验证、证据检索、检索证据重验证几部分构成。抗抵赖性应用在发起实体是指来源抗抵赖，应用在目标实体是指接收抗抵赖。抗抵赖性有强弱之分，强抗抵赖性需要使用非对称密钥或者引入数字签名，弱抵赖性则只利用认证、操作日志进行争执的评判。

4.2.6 密钥管理

TMN多安全域安全体系结构中的所有认证服务都需要使用公钥技术，因此，可以凭借第三方公钥管理方案来完成密钥管理。第三方公钥管理方案要具有跨安全域可信交换性，譬如采用公钥

图4 .1 安全体系结构组件示意图

基础设施PKI进行高程度的自动化密钥管理。

4.2.7 其他因素分析

安全转换服务元素（STASE-ROSE）能够对整个ROSE PDU进行加密和签名，在协议栈中利用安全转换服务元素可以在CMIP数据传输阶段建立GSS-API安全上下文对ROSE PDU进行保护。

5 结语

电信管理网络安全问题具有一定的特殊性，TMN多安全域安全体系结构设计能够确保电信管理网络跨安全域的管理活动安全，实现电信信息与数据的传输完整性、机密性和访问控制性。由于TMN多安全域安全体系结构并不能对下层协议栈，因此在网络安全的全面性方面仍有一定的欠缺，因此，在关于电信管理网络安全方面仍需要注意不同系统的交互加密；公钥证书格式的扩展格式；电信管理网络的内部认证机构（CA）标准等问题。虽然本文提出了一系列电信管理网络安全技术，但是由于电信管理网络所涉及的安全层面非常复杂，对于电信管理网络安全仍需要进一步的研究。

[1] Milan Jovic,Andrea Adamoli,Dmitrijs Zaparanuks,Matthias Hauswirth.Automa ting Performance Testing of Interactive Java Applications. AST’’10 .2010

[2] Altendorf Eric,Hohman Morses,Zabicki Roman.Using J2EE on a large,web-based project.IEEE Software . 2002

[3] 刘强,武波.基于TMN的电信管理网研究与实现[J].计算机技术与发展.2006(05)

[4] 刘建.电信管理网TMN综述[J].计算机与数字工程.2005(01)

[5] 徐驰.电信设备性能数据监管系统[D].山东大学2013

[6] 闫晓辉.通信网络管理系统的研究与实现[D].山东大学2006

[7] 刘斌.数据抓取平台设计搭建与对等网络研究[D].北京交通大学2007

[8] 沈晓虹.基于TMN标准的PHS网管系统的设计与实现[D].上海交通大学2008

Telecommunications Management Network Security Technology Research and Design

Hou Yan
(Taizhou Polytechnic College,225300)

Telecommunications Management Network is one of the main content of the construction of basic information,its safety has been well received.In this paper,telecommunications management network security infrastructure as the starting point for the present,China's telecommunications management network security technology for a comprehensive discussion,such as:basic security mechanisms,security support mechanism, and analyzes the existing telecommunications management network architecture proposed telecommunications management of network security software technology and multiple security domains TMN security architecture designed to improve the security of the external structure of the telecommunications management network.

telecommunications;management;network security;technology;design