张苡源
(国网长春供电公司信息通信分公司 130021)
摘要:为了向电力用户提供更加灵活、多样并且便于管理、维护的现有业务和新增业务,本文提出将软交换网络接入电力公司的策略及实现方案,并重点深入研究和探讨软 交换网络面临的安全问题。本文就电力公司软交换网络接入及安全策略进行了简单的分析。
关键词:电力公司;软交换网络接入;安全策略
1软交换网络组网与运营者管理模式之间的关系
在采用软交换进行组网时,一个最需要关注的内容就是运营的管理模式问题。这个问题将直接影响到网络的组织结构二目前,我国所有的运营商都是采用分级的方式对其网络进行管理,即根据目前的行政区域范围,对各自的网络实行二级或三级的管理模式,并针对这类管理模式建立了相应的维护体系,因此我们在为运营商考虑组网时,首先需要考虑的就是这个问题。这也就是运营商对分级网络更关注的一个原因,特别是利用软交换设备的路由功能实现的分层结构更适合每个运营商的需求。
2软交换网络组网与承载网之间的关系
由于基于软交换的网络是构建在一个公共的分组交换平台上,而这种公共的分组交换平台给我们提供的网络可以理解为是一个采用网状网连接结构的网络,因此我们在考虑软交换的组网时,并不需要太关心承载网的网络组织结构。总的来讲,由于软交换网络与承载网络之间的这种关系,使得我们在考虑软交换网络时变得更为灵活,更多的是应考虑如何利用软交换的路由功能,来完成和实现呼叫控制信息的传送。
3静态路由和动态路由
所谓的静态路由就是根据预先设定好的路由数据,对呼叫连接进行选路。需要说明的是,通常我们所说的负荷分担也是静态选路的概念。而动态路由则是由网络根据当前的状态,由网络节点设备动态地选择一条最理想的到达被叫的路由。
由于动态路由的实现要进行路由信息的广播与同步、对网络状态的维护,因此在增加网络负荷的同时,还会增加网络设备的技术复杂性。特别是由于动态路由在网络中实现时的不可控性,给管理工作带来了很大的难度,因此在使用软交换网络进行组网时,应当优先考虑基于静态路由方式的选路。
4安全策略分析
首先,为了保证软交换网络安全策略的实施,先根据软交换网络构架的层次建
立三条安全防线。
(1)网络设备防线:在接入口设置防火墙,保证软交换网络中的重要网络设备不受外界入侵;
(2)网络安全防线:运用一系列网络安全协议,保证分组数据的安全传输;
(3)接入安全防线:加密用户数据,加强认证机制,保证接入用户信息和业务的安全。
4.1设备安全防线
网络节点设备是软交换网络中最为关键的设备,主要包括软交换设备、中继网关设备、接入网关设备、信令网关设备、应用服务器和各类服务器等。为了充分保证软交换网络的安全,首先要保证网络中核心设备的安全,如果将核心的网络设备置于开放的IP网络中,网络的安全性将很难保证,所以可以将网络的核心设备放在专用网络中,采用私有IP地址的方案。但完全采用私有IP地址的方案是不可行的,因为终端用户的接入方式和接入地点比较灵活,所以软交换设备要能够接入和控制终端用户,必须同时分配对应的公有EP地址,这样才能保证各种方式用户的接入。因此,可以在核心网外侧设置防火墙,并将软交换网络中需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址,同时利用防火墙对进入核心网的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对Ping of Death等一系列的DoS(分布式拒绝服务攻击)攻击进行过滤。也可以应用入侵检测、流量控制、安全日志与审计等技术实现对软交换网络核心设备的安全防护。
4.2网络安全防线
这里的网络安全是指软交换网络本身的安全。
期刊文章分类查询,尽在期刊图书馆由于软交换技术采用分组网络作为承载网络,各种信息通过IP分组的方式进行传输,IP协议的简单和通用性为网络黑客提供了便利的条件。可以采用以下方式来提供保护。
4.2.1利用IPSe。技术提供安全保护
在Megaeo协议规范(RFC3015)中,指定Megaeo协议的实现要采用议保证媒体网关和软交换设备(即媒体网关控制器)之间的通信安全。一IPSec协在不支持IPSe。的环境下,使用H。248/Megaco提供的鉴权头(AH)鉴权机制对L}分组实施鉴权。在Megac。协议中强调了如果支持IPSec就必须采用IPSec机制,并且指出IPSec的使用不会影响Megac。协议进行交互接续的性能。IPsec是IPv4协议上的一个应用协议,IPv6直接支持IPSec选项。
IPSec协议结构包括三个方面:①身份认证报头(AH),提供非面向连接的数据完整性,数据的初始认证和可选的Anti.replay服务:②封装安全负荷(ESP),能够提供加密,提供非面向连接的数据完整性,数据的初始认证和可选的Antireplay服务;③密钥交换IKE,允许通信双方协商加密密钥和加密方法.IPSec提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务,弥补了由于TCP/IP协议体系自身带来的安全漏洞。在IPSec协议中,AH和ESP可以单独使用,也可以同时使用.由于一些国家的法律对加密进行严格的限制,因此ESP只作为一个可选方案。下面主要采用IPSec AH鉴权机制保护软交换安全的方式。
IPSec协议通过AH头对分组进行鉴权,它可以防止对服务器的非法访问和拒绝服务攻击。鉴权所用的密钥可以通过密钥分发协议(IKE)自动管理和分配(防止重发攻击必须采用自动密钥配置)。IPSec有两种模式:传输模式和隧道模式.相比而言,隧道模式的安全性能更好,它实际上是一种利用IPSec的VPN技术。
在隧道模式下,IP分组头包含三个部分:外部IP头,指向IPSec网关的地址:内部IP头,指向通信的最终目的;在两个IP头之间是安全协议,提供鉴权和加密.对于拒绝服务攻击,IPSe。通过两个步骤进行防范:① AH的鉴权:只有通过AH分组头鉴权的分组才被认为是合法的分组,否则将做丢弃处理;②防重播(anti-replay)检测:IPSec通过一个窗口算法实现对重复发送的检测,分组通过鉴权后,根据它的序列号判断它是否在窗口内,超过窗口的分组将被丢掉,避免了合法用户有意或无意的拒绝服务攻击。
4.2.2MPLS VPN技术
在骨干网层面,可以采用目前相对比较成熟的技术—MPLS VPN技术,构建相对独立的VPN网络.这样可以对不同用户间、用户与公网间、业务子网之间的路由信息进行隔离,并且非MPLS VPN内的用户无法访问到软交换域VPN内的网络设备,从而保证网络的安全.MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包.MPLS实际上是一种隧道技术,所以使用它来建立VPN隧道十分容易且高效.从以下的分析中可以得出结论:MPLS VPN采用路由隔离、地址隔离和信息隐藏等多种方法提供了抗攻击和标记欺骗的手段,完全能够提供与统的ATM或帧中继VPN相类似的安全保证。特点是:(1)路由隔离:MPLS VPN实现了VPN之间的路由隔离.每个PE路由器为每个所连接的VPN维护一个独立的虚拟路由转发实例(VFI ),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响.隐藏MPLS核心结构:使用“路由隔离”,MPLS不会将不必要的信息泄给外界,甚至是向客户VPN。(2)抗攻击性:进行了路由隔离,因此不可能从一个VPN攻击另外一个VPN或核心网络.但从理论上讲有可能利用路由协议对PE路由器行DOS攻击,或者攻击MPLS的信令信息.(3)标记欺骗:在MPLS网络中,包的转发基于由PE路由器预先添加的标记。与i欺骗攻击时攻击者替代包的IP源地址和的地址相似,理论上有可能出现淤LS包的标记欺骗。
参考文献
[1]陈建亚,余浩.软交换与下一代网络.北京邮电大学出版社.2013
[2]殷天峰.下一代网络(NGN)与软交换.电力系统通信,2015, 26 (149): 38-39
论文作者:张苡源
论文发表刊物:《电力设备》2016年第11期
论文发表时间:2016/8/23
标签:网络论文; 软交换论文; 路由论文; 协议论文; 设备论文; 密钥论文; 网关论文; 《电力设备》2016年第11期论文;