浅谈宽带IP网络安全.docVIP

浅谈宽带IP网络安全 　　摘要：IP网络的覆盖越来越广泛，规模越来越庞大，用户数量越来越多，业务传输也更加频繁，显然保障IP网络的安全至关重要。本论文主要探讨与宽带IP网络的安全有关问题，诠释IP网络安全的概念及VPN的实现。 　　关键词：IP网络 VPN 信息安全 　　中图分类号：TN711 文献标识码：A 文章编号： 　　 　　随着信息技术的飞速发展和IP网用户数量的迅猛增加以及多媒体应用需求的不断增长，人们对IP网提高带宽的渴望越来越强。 　　初期的Internet仅提供文件传输、电子邮件等数据业务，如今的Internet集图像、视频、声音、文字、动画等为一体，即以传输多媒体宽带业务为主，由此Internet的发展趋势必然是宽带化向宽带IP网络发展，宽带IP网络技术应运而生。 　　所谓的宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的，通常中继线带宽为每秒数吉比??至几十吉比特，接入带宽为1～100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务，同时支持当前的窄带业务，它集成与发展了当前的网络技术、IP技术，并向下一代网络方向发展。 　　当今年代，IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁，保障其安全性显然是至关重要的。 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从内容看网络安全大致包括4个方面，即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全，即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。 　　宽带IP网络面临的安全性威胁分为两大类：被动攻击和主动攻击。被动攻击中，攻击者只是观察和分析某一个协议数据单元，不对数据信息做任何修改，所以根本不会留下痕迹或留下的痕迹很少，因而一般都检测不出来，对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来，而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序，如计算机如冲、特洛伊木马和逻辑炸弹。 　　宽带IP网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。 　　为了满足网络信息系统安全的基本要求，加强网络信息系统安全性，对抗安全攻击，可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。 　　为了保证数据信息的保密性和完整性，要对数据信息进行加密，数据加密的密码体制分为常规密钥和公开密钥两种密码体制，从网络传输的角度看，有两种不同的加密策略：链路加密和端到端加密。两种加密策略各有优缺点，一般将链路加密和端到端加密结合起来使用，以获得更好的安全性。 　　保证网络安全的另外一个重要措施就是设置防火墙，防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合，防火墙的网络称为“可信赖的网络”，而将外部Internet 称为“不可信赖的网络”。 　　防火墙可以从不同角度分类，根据物理特性可分为硬件防火墙和软件防火墙，但是由于软件防火墙自身属于运行于系统上的程序，不可避免地需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失。因此，许多网络更侧重于硬件防火墙作为防御措施。 　　以上介绍了保障IP网络安全的一些措施，在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现管好全性的一项举措。 　　VPN虚拟专网是虚拟私有网络的简称，安是一种利用公共网络，来构建的私有专用网络，VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。 　　VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络，在降低费用的同时保障通信的安全性，即构建在公共数据网络上的VPN将像当前企业私有的网络一样提供安全性、可靠性和可管理性。VPN利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前Internet已成为全球最大的网络基础设施，几乎延伸到世界的各个角落，于是基于Internet的IP VPN技术越来越受到关注，IETF对基于IP的VPN的定义为“使用IP机制仿真出一个私有广域网”。 　　IP VPN按接入方式划分可分为专线VPN和拨号VPN，专线VPN是为已经通过专