浅谈宽带IP网络的安全

摘要：IP网络的覆盖越来越广泛，规模越来越庞大，用户数量越来越多，业务传输也更加频繁，显然保障IP网络的安全至关重要。本论文主要探讨与宽带ip网络的安全有关问题，诠释IP网络安全的概念及VPN的实现。

关键词：IP网络 VPN 信息安全

中图分类号：TN711 文献标识码：A 文章编号：

随着信息技术的飞速发展和IP网用户数量的迅猛增加以及多媒体应用需求的不断增长，人们对IP网提高带宽的渴望越来越强。

初期的Internet仅提供文件传输、电子邮件等数据业务，如今的Internet集图像、视频、声音、文字、动画等为一体，即以传输多媒体宽带业务为主，由此Internet的发展趋势必然是宽带化向宽带IP网络发展，宽带IP网络技术应运而生。

所谓的宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的，通常中继线带宽为每秒数吉比特至几十吉比特，接入带宽为1～100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务，同时支持当前的窄带业务，它集成与发展了当前的网络技术、IP技术，并向下一代网络方向发展。

当今年代，IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁，保障其安全性显然是至关重要的。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从内容看网络安全大致包括4个方面，即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全，即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。

宽带IP网络面临的安全性威胁分为两大类：被动攻击和主动攻击。被动攻击中，攻击者只是观察和分析某一个协议数据单元，不对数据信息做任何修改，所以根本不会留下痕迹或留下的痕迹很少，因而一般都检测不出来，对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来，而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序，如计算机如冲、特洛伊木马和逻辑炸弹。

宽带IP网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。

为了满足网络信息系统安全的基本要求，加强网络信息系统安全性，对抗安全攻击，可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。

为了保证数据信息的保密性和完整性，要对数据信息进行加密，数据加密的密码体制分为常规密钥和公开密钥两种密码体制，从网络传输的角度看，有两种不同的加密策略：链路加密和端到端加密。两种加密策略各有优缺点，一般将链路加密和端到端加密结合起来使用，以获得更好的安全性。

保证网络安全的另外一个重要措施就是设置防火墙，防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合，防火墙的网络称为“可信赖的网络”，而将外部Internet 称为“不可信赖的网络”。

防火墙可以从不同角度分类，根据物理特性可分为硬件防火墙和软件防火墙，但是由于软件防火墙自身属于运行于系统上的程序，不可避免地需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失。因此，许多网络更侧重于硬件防火墙作为防御措施。

以上介绍了保障IP网络安全的一些措施，在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现管好全性的一项举措。

VPN虚拟专网是虚拟私有网络的简称，安是一种利用公共网络，来构建的私有专用网络，VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。

VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络，在降低费用的同时保障通信的安全性，即构建在公共数据网络上的VPN将像当前企业私有的网络一样提供安全性、可靠性和可管理性。VPN利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前Internet已成为全球最大的网络基础设施，几乎延伸到世界的各个角落，于是基于Internet的IP VPN技术越来越受到关注，IETF对基于IP的VPN的定义为“使用IP机制仿真出一个私有广域网”。

IP VPN按接入方式划分可分为专线VPN和拨号VPN，专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案，是一种“永远在线”的VPN。拨号VPN又称VPDN，它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务，是一种“按需连接”的VPN。因为这种VPN的用户一般是漫游用户，因此VPDN通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的VPN和采用第三层隧道协议的VPN。还可以按VPN的发起方式、服务类型、承载主体等多种方式进行划分。

构成IP VPN的主要设备有IP安全隧道和VPN设备。内部网LAN1发送者发送明文信息到连接公共网络的源VPN设备，源VPN设备首先进行访问控制，确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的IP数据报进行加密，并附上数字签名以提供数据报鉴别。VPN设备依据所使用的隧道协议，重新封装加密后的数据，此数据通过IP安全隧道在公共网络上传输。当数据报到达目的的PVN设备时，首先根据隧道协议数据报被解除封装，数字签名被核对无误后数据报被解密还原成原明文，然后目的VPN设备根据明文中的目的地址对内部网LAN2中的主机进行访问控制，在核对无误后将明文传送经LAN2中的接收者。

VPN的隧道技术是构建VPN的关键技术，广义的隧道包括隧道启动节点、隧道终止点和承载隧道的IP网络。按照工作的层次，隧道协议可分为两类：二层隧道协议和三层隧道协议。三层隧道协议主要有两种：RFC1701通用路由封装协议和IETF制定的IP层加密标准协议IPSec协议。二层隧道协议主要有三种，点对点隧道协议（PPTP）、二层转发协议（L2F）和二层隧道协议（L2TP）。二层隧道协议简单易行，但扩展性差且提供内在的安全机制安全强度低，主要应用于构建拨号VPN，而三层隧道协议安全性、可扩展性、可靠性较强，两者通常结合使用。

MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标签交换实现的IP虚拟专用网络。根据PE路由器是否参与客户的路由，MPLS VPN分成二层和三层MPLS VPN，一般而言指的是三层VPN。MPLS VPN适用于服务质量、等级划分以及网络资源的利用率、网络可靠性有较高要求的VPN业务，适合一些对组网灵活性要求高、投资少、易于管理的用户群，适用网络规模较大，需采用全网状连接的客户。

以上是宽带IP网络面临的威胁和安全服务的基本需求，为了加强网络的信息安全，可以通过数据加密、数字签名、鉴别和设置防火墙等实现。在不安全的公共网络上可以通过建立VPN实现网络的安全。使用哪些措施要根据具体的用户需求、承载等合理选择。