基于通信网络安全的关键技术

门耀华

（山西工程科技职业大学智慧校园中心，山西 晋中 030619）

0 引 言

网络空间在实际的发展过程中主要包括互联网、通信网络、物联网以及工业控制网络等，另外还有人机对象交互形成的动态虚拟空间。网络空间安全在实际的发展过程中不仅涉及人、机、物等基础设施的安全，而且还涉及网络空间的生成、处理、传输以及通信等。在物联网的发展和应用中，除了考虑未来的发展外还需要重点解决安全问题，确保物联网的安全。本文重点研究了通信安全的关键技术，希望为物理网络的安全运行提供一些有价值的建议。

物联网的出现和应用主要是为了实现现实生活中独立使用的普通物体与互联网的连接，能够有效收集与物体有关的信息并将其存储在互联网上，实现信息的有效交换和存储。在这个过程中，人、物、信息可以实现有效对接，不断提升物联网中的互联网性能。保证物联网通信安全的关键在于应用安全技术，因此深入分析通信安全的关键技术具有一定的现实意义和价值[1]。

1 通信网络安全的关键技术分析

1.1 物联网安全的关键技术

现阶段，网络认证系统在互联网上已经得到了广泛应用，但应用程度较低，基于用户角度的网络通信安全关键是要充分掌握业务分类。首先区分服务提供商是运营商还是第三方公司，运营商提供的服务可以有效保证平台的安全运行，避免不稳定因素的影响。当用户对数据的安全性要求不高时，实际应用中不需要认证业务层。而当用户在数据应用中对平台运营的安全性要求较高或者第三方无法确定平台运营的安全性时，则需要依靠网络安全认证，并结合网络平台的运营进行综合分析。一旦对网络认证系统有了较大的需求，就需要不断提高与网络认证系统相关的技术水平，以确保物联网的安全运行[2]。

1.2 密钥管理系统

随着物联网系统安全性的提高，密钥管理是网络安全信息保护机制中的主要方式，具有高效、方便的优点。为了保证物联网的安全运行，需要注意提高物联网的密钥管理水平以及物联网硬件与硬件之间的运行限制。需要强调的是，按键的设置通常严格参照两个原则，一是操作方便，二是适应当前复杂的网络环境。只有这样才能发挥其最大的价值。密钥管理协议在实际的发展过程中具有严格的管理，设置的过程中需要加密处理，主要涉及两个方面[3]。一方面是对称密钥的设置。这种密钥管理协议在实际的发展过程中能够满足通信网络安全的需求，但也存在一个非常明显的劣势，即防攻击能力弱，在面对外部攻击时无法保证信息安全。另一方面是非对称密钥的设置。该技术虽然具有明显的应用优势，但在开发过程中成本较高，开发难度较大。因此，在物联网密钥管理过程中，对称密钥和非对称密钥的选择通常需要结合实际情况进行分析，同时要关注物联网的安全性与防攻击能力[4]。

1.3 分析通信网络安全服务方法

从通信网络安全服务的方法层来看，主要包括完整性识别、身份验证以及机密性等。认证主要用于保证通信中参与实体身份的真实性，该保密方法基于信息的可逆转换，可以有效防止信息泄露和未经授权的使用。此外，还有一种完整性识别方法可以完全删除和重放有意信息。目前，通信网络的功能越来越多，相应的设备也越来越复杂，还有一些信息在实际的发展过程中容易造成数据的完全损坏，导致双方在信息交流中不能保持一致。在非法使用信息的过程中，通信网络和信息被非法破坏，常见的问题是管理层面失控和信息拥塞[5]。

2 项目研究

2.1 项目背景

根据上海电力公司光纤到户建设项目的进度要求和相关业务的快速发展需要，上海电力通信有限公司将分期分批建设一张安全高速、调度灵活、维护便利且满足网络长期发展演进方向的综合业务承载网。本项目位于金山区，包括9个汇聚层节点和15个接入层节点[6]。电通承载网金山环拓扑如图1所示。

图1 电通承载网金山环拓扑图

2.2 网络结构

网络结构中包含9个汇聚层节点和15个接入层节点。其中，汇聚层节点名称分别为洙泾、荡田、秦山、东平、山阳、联发、金舸、亭南以及松隐，接入层节点名称分别为亭林、古松、蒋庄、龙湾、申甬、卫通、金鸥、钱圩、张堰、荣光、吕巷、干巷、金山、仙居以及星浦。此外，节点连接使用到的光缆包括96芯光缆和48芯光缆两种。

2.3 组网情况

首先，汇聚层节点安装华为s9706/s7706汇聚层交换机，机房内采用双电源为设备供电，且所有设备都为双主控模式，以提高设备本身的可靠性及冗余性。其次，整个环网采用双路由上联的方式连接到主网架，分别上联到松江区的松江机房和奉贤区的庄行机房，路由一为洙泾-金山-松江，路由二为亭南-庄行。最后，环网内部汇聚层节点采用智能以太网保护（Smart Ethernet Protection，SEP）协议进行互联，站点之间形成手拉手的保护，同时防止形成环网风暴。电通承载网金山环汇聚层设备SEP环拓扑如图2所示。

图2 电通承载网金山环汇聚层设备SEP环拓扑详细图

2.4 环网协议简介

以太网交换网络中为了进行链路备份，提高网络可靠性，通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路，引起广播风暴和MAC地址表不稳定等故障，从而导致用户通信质量较差，甚至通信中断。为了解决环路问题，华为公司的数据通信设备支持以下环网协议。

2.4.1 STP、RSTP、MSTP系列生成树协议

STP、RSTP、MSTP是以太网络二层破环技术的标准协议，应用成熟、场景广泛，且支持与其他制造商设备互通。但是运行生成树协议的网络拓扑收敛速度慢，收敛时间在秒级，不能满足一些实时业务的要求，且收敛时间受网络拓扑影响。

2.4.2 快速环网保护协议

快速环网保护协议（Rapid Ring Protection Protocol，RRPP）是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以保证环网的最大连通性。但是，RRPP协议配置复杂，需要人为划分逻辑拓扑分出主环子环，不利于复杂网络的部署。

2.4.3 智能以太网保护协议

智能以太网保护（Smart Ethernet Protection，SEP）协议是一种用于以太网链路层的环网协议，它以SEP段为基本单位。所谓SEP段，就是由一组配置了相同的SEP段ID和控制VLAN且互连的二层交换设备群体构成。

3 入侵行为检测研究

3.1 概 述

个人、企业及政府机构越来越依赖互联网进行沟通、协作与销售，对安全解决方案的需求正在迅速增长。入侵检测在实际的发展过程中主要是对防火墙进行有益补充。当系统在实际的发展过程中受到一定入侵，或者受到比较强烈的攻击后，收集入侵攻击的相关信息并添加到知识库中，作为防御系统的知识以增强系统的防御能力，防止系统再次被入侵。一般来说，入侵检测在实际的发展过程中主要是通过收集网络报文或信息，对相关可能存在的入侵行为进行一定的研究和分析。在入侵行为造成危害之前，及时发送告警通知其管理员，并采取相应的措施进行一定的处理。这样能够在实际的发展过程中降低危险系数，保证系统的稳定性，同时降低一定的成本。为了实现这个目标，IDS应该包括信息源、分析引擎以及响应组件3个部分[7]。

3.2 入侵行为检测现状分析

在过去的20年里，入侵检测技术的专利申请数量逐年增加。随着黑客技术的不断增强，入侵检测系统也在不断升级[8]。在入侵检测领域，中国国家电网公司处于领先地位，其在国内申请了大量专利，积极开展专利布局。一般来说，无论是国家电网、华为等信息巨头公司，还是各大高校，都非常重视入侵检测技术。信息安全是电气专业的重要组成部分，高校对入侵检测技术的研究投入很大。入侵检测技术专利重点分为基于主机的入侵检测、基于网络的入侵检测以及混合入侵检测3个方向[9]。2007年，北京启明兴晨信息技术有限公司提出了一种主机入侵检测系统，其核心是一种主机入侵检测方法，它基于拦截主机行为寻找主机行为与入侵行为之间的相关性，并根据规则的定义产生报警等指定行为。

3.3 入侵检测过程分析

首先收集网络、系统及用户行为的数据，在计算机网络系统的不同节点上收集信息，然后利用模式匹配、统计分析以及完整性分析等分析方法对数据进行处理，并做出响应。

3.4 入侵检测的必要性

随着信息技术的飞速发展，网络攻击造成的后果越来越严重。传统的防火墙技术如增加网络流量等已不能满足当前工业控制系统的安全要求。入侵检测技术的优势可以解决目前面临的网络安全问题。

3.5 入侵检测性能评估

为了评估模型的可靠性，入侵检测的性能指标为TPR、FNR以及FPR，还包括准确性、处理性能、完整性、容错性以及及时性。由于工业控制系统的行为是工业生产控制的关键操作，误判和拦截会影响系统的正常运行，可能造成比攻击操作更严重的破坏。此外，IDS对假阳性有更严格的要求。根据工业控制的实时性要求，降低模型的复杂度和检测时间也是评价检测性能的重要标准。

3.6 异常检测技术

基于统计理论异常检测统计模型的基础是系统对象收集的大量数据，并获得每个特性值的范围，然后统计时间间隔，以便确定统计测量的系统特征，推断统计测量的程度。如果观测值超出正常范围，则认为有入侵。统计方法依赖于大量的已知数据，但该方法不能及时反映识别事件的顺序，阈值的设置也是影响系统准确性的因素之一[10]。

4 安全措施分析

4.1 路由协议的安全性

物联网的安全性与路由协议密切相关，也是物联网安全运行的重要问题之一。基于目前的路由协议可以发现数据主要通过节点进行有效传输，但在数据传输过程中忽略了数据的安全性。物联网路由协议的设计难度和复杂度较高，主要涉及互联网、移动通信网络以及传感器。在路由协议的设计中，只有保证物联网的信息安全，才能实现物联网广泛应用的目标。

4.2 安全性能的研究

基于安全应用的目标，对物联网安全性能的研究需要从以下几个方面着手。一是维护物联网的隐私；二是开发物联网终端的安全功能；三是制定物联网相关安全法规；四是开放的物联网安全体系。基于以上分析，相关设计师需要从整体上提高物联网的安全性，促进其发挥更大的应用价值。

4.3 全方位感知需要基于感知节点

首先，在设计中需要建立大量的传感器节点，并提高节点之间的多源异构性，从而保证网络的多样性能够被及时感知，然后结合变化的网络设计相应的方案。其次，在通信过程中要保证网络传输的安全性和可靠性，通过分析物联网传输特性可知,数据的传输主要依靠无线网络，这与传统的移动通信网络有本质区别。再次，实现物联网安全智能保障。物联网技术发展的主要目的是保证数据的安全，在智能处理的帮助下可进一步提高数据安全性。最后，隐私和安全保护。物联网涉及到很多社会领域，部分行业有大量的机密信息，如交通运输业。一旦信息安全得不到保证，就会造成严重损失。

5 结 论

物联网的信息安全是物联网广泛应用的基础。网络安全是一个大系统，包括一些设备和管理法规，所有的网络安全都从安全策略开始。在未来的发展过程中，相关技术人员还需要从技术入手，分析通信网络技术安全措施，进一步创新和完善，从而促进行业的发展。