一、 问题的提出
当今世界已进入信息化时代,我国电信行业信息系统的应用越发广泛和深入,相应地也出现了不少网络安全问题,如因特网日趋激烈的攻防对抗、公用电话网中出现的电话骚扰和广播电视网上出现的非法插播等,信息安全形势十分严峻。电信网络中的网络安全包括IP/Internet网络安全、CTM/PSTN中的网络安全、传播系统中的网络安全。网络安全属性取决于技术机理、实现技术和工程应用,电信网络的技术机理是研究网络安全的基础。
众所周知,信息系统是由信息基础设施和信息业务系统组成的,信息基础设施又是由电信网络和计算机系统组成的。可见,电信网络是各类信息系统共同使用的底层基础。如果对于电信网络的技术机理和基本属性认识不清,对于研制和应用各类信息系统将产生什么后果是不言自明的。
本文对电信技术机理/网络形态分类、电信技术机理/网络形态的网络安全属性分析和典型网络安全问题进行讨论。
图1:
二、 电信技术机理/网络形态分类
1.基本电信系统的概念和问题
基本电信系统是由用户终端和传输系统组成的,这类系统目前仍在广泛应用。即使通过电信网络为一对用户服务,最终实际应用的也是一个基本电信系统。但是,基本电信系统存在“N方问题”:当用户数量(N)增加时,用户之间的电路数量按N2倍数增加,这些电路的最高可能利用率按1/ N2倍数降低。然而,由于电信用户数量的不断增加,电信设施必然考虑建设成本和应用效率,所以必须解决基本电信系统的“N方问题”。解决“N方问题”的途径就是把基本电信系统发展成为电信网络。
图2:
2.电信网络的形成
从电信网络结构分类图中可以看出:同样支持同样数量的用户之间通信,用户之间的电路数量明显减少了,各条干线的利用效率明显增加了。可见,电信网络解决了基本电信系统存在“N方问题”。但是,电信网络同时引入了多个信号如何同时在同一条电路上的传输问题-复用问题和各个信号如何到达各自目的地问题-寻址问题。或者说,复用技术和寻址技术解决了基本电信系统存在“N方问题”,同时形成了电信网络。
3.电信网络技术分类
无论电信网络如何复杂、如何分类,电信网络为电信用户服务的基本形式都是一个(事先建立的或者事后遗留的)连接:
图3 :
数字连接是由传输系统、复用设备和寻址设备组成的。数字连接能够正确工作的前提是:连接同步(传输同步、复用同步和寻址同步)、网络资源实时控制(信令控制)和网络管理控制。电信网络的技术分类如下:
4.电信网的功能结构
根据上述分类,我们将电信网络的功能结构归纳如下:电信网络是由传递信号的媒体网络和支持媒体网络正确工作的支持网络组成的。媒体网络具有物理层功能(传输系统)、链路层功能(复用设备)和网络层功能(寻址设备)。支持网络除了具有物理层功能、链路层功能和网络层功能之外,都有高层功能。电信网络的功能结构框图如下图。
图4 :
媒体网络中的复用技术机理和寻址技术机理是电信网络机理分类的依据。
5.复用技术
(1)复用技术的分类
复用技术可按多种方法分类,其中影响电信网络属性的是按技术机理分类:确定复用技术和统计复用技术。
图5:确定复用技术和统计复用技术
(2)确定复用技术机理
在一次呼叫过程中,持续专用确定电路;确定电路是传输系统的总传输容量的确定部分。
(3)确定复用基本属性
适于支持双向对称电信业务;最好可能的传输质量,一个信号单独使用一条电路;支持双向对称电信业务时,单向忙时利用率比较低。
(4)统计复用技术机理
在一次呼叫过程中,断续使用随机电路;使用电路时,占用传输系统的全部传输容量。
(5)统计复用基本属性
适于支持双向对称、双向不对称、单向各类电信业务,因存在竞争现像而劣化传输质量(延时和丢失信元),单向忙时利用率比较高。
6.寻址技术
(1)寻址技术分类:
寻址技术可按多种方法分类,其中影响电信网络属性的是按技术机理分类:有连接操作寻址和无连接操作寻址。
图6:有连接操作寻址和和无连接操作寻址
(2)有连接操作寻址技术机理:
用户利用人机信令信号,把寻址要求通知信令网。信令网在信源与信宿之间,利用网络资源建立起连接,然后传递信号。在此期间,信令网进行全过程监视。呼叫结束,信令网释放网络资源。
(3)有连接操作寻址基本属性:
连接电路确定,传输延时确定而且最小(电路传输延时)。
(4)无连接操作寻址技术机理:
在各个网络节点,根据信元中的目的地址数据,借助于路由器具有的地址知识,选择通往目的地的链路,在每个节点都进行竞争接入,直到到达目的地。
(5)无连接操作寻址基本属性:
连接电路事先不确定,传输延时不确定,信元能否到达信宿不确定。如果传输延时不限,只要尚存一条链路信元就能到达信宿。
7.电信技术体系/网络形态分类
(1)技术体系定义:
-STM技术体系:<确定复用技术>+<有连接操作寻址技术>;
-IP技术体系:<统计复用技术>+<无连接操作寻址技术>;
-ATM技术体系:<统计复用技术>+<有连接操作寻址技术>;
-BTV技术体系:<确定复用技术>+<无连接操作寻址技术>。
(2)网络形态定义:
-PSTN网络形态:确定复用和有连接操作寻址构成的网络;
-Internet网络形态:统计复用和无连接操作寻址构成的网络;
-FSN网络形态:确定复用和无连接操作寻址构成的网络;
-B-ISDN网络形态:统计复用和有连接操作寻址构成的网络。
(3)技术体系/网络形态分类:
两类复用技术和两类寻址技术组合,形成了四类技术体系/网络形态:
三、电信技术通信/网络形态的网络安全属性分析
1.电信网络的网络安全概念
电信网络中的安全问题分为信息安全和网络安全问题。信息安全问题是指防止通信信息内容被局外人识别,通常称为信息加密/解密。信息安全保障技术与电信网络基本技术体制没有直接关系。
网络安全问题是在人为对抗环境中电信网络出现工作反常现象。网络安全问题是敌人利用电信网络技术体制缺陷、实现技术的潜在问题或工程应用的错误的结果。所以,网络安全问题与电信网络技术体制、实现技术和工程应用方式密切相关。关于网络安全尚未制定出统一的规范。暂时用敌对信号入侵电信网络的难易程度和入侵信号识别定位的难易程度来定性表示。
2.BTV/FSN电信网络网络安全属性分析
(1)BTV/FSN作为广播电视业务专用电信网络,支持“不需用户单独控制的分配型业务”时,用户终端只有接收能力;支持“需要用户单独控制的分配型业务”时,用户终端具有接收和发送能力,但是发送能力智能比较低,所以,合法用户入侵网络比较困难。
(2)网络结构固定,不接受其它信号控制。
(3)BTV/FSN的核心网络基本上时一个单方向的分配网络,所以网络定位比较容易。
(4)BTV/FSN的管理网络是一个薄弱环节,但是它们只接受管理网络管理者一个用户控制。用户终端节目源连接完全固定;信号单方向流动。
因此,比较而言,BTV/FSN在四类电信网络之中具有最好可能的网络安全属性
3.STM/PSTN电信网络网络安全属性分析
(1)STM/PSTN以单独用户线方式接入电信网络,合法用户有明确的不可伪造的地址,用户终端智能比较弱。因此,合法用户入侵比较可能,实施入侵也比较容易地位。
(2)STM/PSTN先建立连接然后传递信号,连接经过确定的节点,各个节点之间经过确定的电路。因此,对于已经入侵的信号比较容易定位。
(3)STM/PSTN的支持网络(管理网络和信令网络)都是封闭的专用计算机网络,它们只接受管理网络管理者或信令网管理者一个用户控制。
因此,STM/PSTN的媒体网络具有比较好的网络安全属性。但是,STM/PSTN的支持网络(管理网络和信令网络)则是比较薄弱的安全环节。
4.ATM/B-ISDN电信网络网络安全属性分析
(1)ATM/B-ISDN用作核心网络时,通过适配器与STM/PSTN本地网络和IP/Iternet本地网络连接。其中,合法用户通过STM/PSTN本地网络比较难以入侵ATM/B-ISDN核心网络。通过IP/Iternet本地网络比较容易入侵ATM/B-ISDN核心网络。但是,信号出入核心网时,输入端口和输出端口是确定的。
(2)ATM/B-ISDN与PSTN一样,先建立连接然后传递信号,连接经过确定的节点,各个节点之间经过确定的电路。因此,网络定位比较容易。
(3)ATM/B-ISDN的支持网络(管理网络和信令网络),但是它们只接受管理网络管理者或信令网管理者一个用户控制。
因此,ATM/B-ISDN的媒体网络具有与STM/PSTN类似的比较好的网络安全属性。但是,ATM/B-ISDN的支持网络(管理网络和信令网络)则是比较薄弱的安全环节。
5.IP/Iternet电信网络网络安全属性分析
(1)IP/Iternet以平行方式接入电信网络,用户终端具有比较高的智能,用户地址可以伪造,所以比较容易以合法用户身份实现入侵。
(2)IP/Iternet传递信号无须事先建立连接,经过的节点时随机的,各个节点之间经过的电路也是随机的,网络形态中传递的信元是完全自由的,再加上出发地址可以隐蔽或伪造,因此,通常难以对入侵信号实施地位。
(3)IP/Iternet同样需要管理网络支持。管理网是封闭的专用计算机网络,它只接受管理网络管理者一个用户控制。但是,管理网络常常采用Internet本身来传递信号,这样作就明显损害了管理网络的安全性。
因此,IP/Iternet四类网络形态之中的媒体网络具有最差的网络安全属性。一条电路并接多个用户终端设备通过的节点和电路完全不确定
四、电信技术体系/网络形态网络典型网络安全问题讨论
1.IP/Internet中的典型网络安全问题
IP/Internet中出现的典型网络安全问题是黑客和病毒入侵。在IP/Internet中采用的防火墙、入侵检测、漏洞扫描等技术起到了历史作用。但是,无边际浏览器出现,使得网络安全攻防之间出现了新的失衡。
关于IP/Internet网络安全问题,科研领域的反应:其一、既然防难于守,不如重点研究进攻,以形成威慑;其二、应当侧重代理技术研究,以支持技术升级换代。
面对IP/Internet网络安全问题,应用领域的反应:美国30%的人认为IP/Internet用于浏览可以;70%的人认为IP/Internet用于通信不安全;一些重要应用已经转往比较安全的电信网络。
看来,IP/Internet网络安全机理在起着制约作用。
2.STM/PSTN的中的典型网络安全问题:
我国在STM/PSTN中,出现的典型网络安全问题是电话骚扰问题。主要技术问题是骚扰电话的源头实时定位。美国等西方国家于1994年已通过立法,对公用电信网络实行了全面的“合法侦听”。STM/PSTN具有比较好的网络安全属性,只要采取适当技术措施应当不难解决其中的网络安全问题。
3.广播电视网中的典型网络安全问题
我国近年关于广播电视网中的典型网络安全问题是广播电视插播问题。问题出自工程应用中的常识问题。众所周知,通信卫星系统的上下行天线都是全波束的,如果用通信卫星系统转播电视,只要把发射台设置在上行波束之内,都可以实现插播。至于局部地区出现的插播和广播问题,主要出于管理问题。
BTV/FSN机理上具有最好的网络安全属性,工程应用中应当体现出最好的网络安全性。
4. 网络管理系统中的典型网络安全问题
网络管理系统是所有网络形态必须具有的支持网络。目前,我国存在的网络安全问题是由功能不当引起的。例如:早期网络管理系统出于使用方便,要求具有远程管理、远程诊断、远程设置等功能,但是,近年发现这些功能却是重大的安全隐患。另一个问题是隐蔽接入问题。国外进口设备法定具有侦听接口,网络管理系统又具有代理/管理功能,网络管理系统习惯采用Internet,这些因素使得网络管理系统隐蔽接入问题不可轻视。
5.传输系统中的典型网络安全问题
传输系统是所有电信网络形态的共同基础,是主要非法窃取信号的地方,也是主要非法信号入侵的地方。其后果可能是传输系统被利用、被拥塞或被破坏。目前,无线传输系统的网络安全问题还尚待解决。
五、结论 1.网络安全属性取决于技术机理、实现技术和工程应用。其中,技术机理是基础,也是全面研究网络安全问题的基础。
2.在四类电信网络中,BTV/FSN具有比较好的网络安全性。STM/PSTN和ATM/B-ISDN具有比较适中的网络安全性,IP/Internet具有比较差的网络安全性。
3.1994年美国等西方国家已经制订了“合法侦听”的相关法律、网络改造和技术标准,目的是在国家安全和个人隐私之间建立平衡。看来,我国也应当建设自己的“合法侦听”体系。为此,需要做好技术上的准备。
4.在发明电报以来的142年间,传统电信技术发展总是奔向一组固定的目标:合格的电信业务质量和尽可能高的网络资源利用效率。技术越接近这组目标,就越能取得越好的工程效果。然而,现在某些电信技术具有明确的对抗性。对抗类电信技术发展是在奔向一组活动目标:一种与之对抗的相对目标。技术越超过这组目标,就越能取得越好的对抗效果。
5.这似乎像是一场比赛:开始人们一起向端线奔跑,中途有些人突然变成相互追逐。难道这就是电信技术从“竞争”式发展派生出的“对抗”式发展吗?如果如此,广泛地技术融合,可能是“对抗”式发展的捷径。
(本文摘自《国家信息安全测评认证》杂志2005年第2期)
