通信网技术基础与安全体系

《通信网技术基础与安全体系》由会员分享，可在线阅读，更多相关《通信网技术基础与安全体系（82页珍藏版）》请在金锄头文库上搜索。

1、 第二讲：通信网技术基础与安全体系第二讲：通信网技术基础与安全体系第二讲：通信网技术基础与安全体系第二讲：通信网技术基础与安全体系 通信网安全理论与技术通信网安全理论与技术课程课程内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 支撑网支撑网 通信网体系结构通信网体系结构与安全与安全内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 支撑网支撑网 通信网体系结构与安全通信网体系结构与安全通信基本概念与模型概念 自从人类

2、存在开始，通信就已经存在，通信的自从人类存在开始，通信就已经存在，通信的目的目的一直没有发生过改变，一直没有发生过改变，变化的只是通信的变化的只是通信的方式方式 通信是指通过某种通信是指通过某种媒质媒质以某种以某种信号信号形式进行的形式进行的信息信息传递传递 信息？信息？ 信号？信号？ 媒质？媒质？国标GB4894-85定义：信息是物质存在的一种方式、形态或运动状态，也是事物的一种普遍属性，一般指数据、消息中所包含的意义，可以使消息中所描述事件的不定性减少指能传输信息的渠道，如：有线介质(铜缆、光纤)、无线介质(无线信号、空气)“信号”是信息的表现形式，“信息”则是信号的具体内容。通信的实质是

3、信号通过某种媒质进行传递通信基本概念与模型模型 具体通信系统中涉及大量具体设备，但都可抽象为如下模型具体通信系统中涉及大量具体设备，但都可抽象为如下模型 该模型涵盖了所有通信系统的特征该模型涵盖了所有通信系统的特征 信源：发信息端，将各类消息转换成信号信源：发信息端，将各类消息转换成信号 信宿：收信息端，将接收到的信号还原成消息信宿：收信息端，将接收到的信号还原成消息 信道：信息传输通路，不完全等同与传输介质信道：信息传输通路，不完全等同与传输介质 变换器：将信源产生的信号变换成适合在信道传输的信号变换器：将信源产生的信号变换成适合在信道传输的信号 反变换器：完成信号的反变换，将信号还原成信宿

4、能接收的信号反变换器：完成信号的反变换，将信号还原成信宿能接收的信号 噪声：噪声不是通信模型中的一部分，但通信模型中传输的信号会被噪噪声：噪声不是通信模型中的一部分，但通信模型中传输的信号会被噪声所干扰，从而产生误码。噪声分为自然噪声和认为噪声声所干扰，从而产生误码。噪声分为自然噪声和认为噪声内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 组成要素组成要素 拓扑结构拓扑结构 组网等级结构组网等级结构 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 支撑网支撑网 通信网体系结构与安全通信网体系结构与安全通信网基本概念组成要素 为了实现多用户间的通信，则

5、需要以相应的为了实现多用户间的通信，则需要以相应的拓扑结构、合适的通信拓扑结构、合适的通信协议协议将多个用户有机地连接在一起，使之能协同地交换信息，这样将多个用户有机地连接在一起，使之能协同地交换信息，这样就就形成了一个通信网形成了一个通信网通信网基本概念组成要素 通信网的组成要素：用户终端设备、传输线路、交换系统通信网的组成要素：用户终端设备、传输线路、交换系统用户终端设备：用户终端设备：即通信网中的源点和终点，它除对应信源和信宿，即通信网中的源点和终点，它除对应信源和信宿，还包括了一部分变换和反变换装置还包括了一部分变换和反变换装置( (如：电话机、传真机、计算机如：电话机、传真机、计算机

6、等等) ) 发送端将发送的信息转变成适合信道上传送的信号，接收端则发送端将发送的信息转变成适合信道上传送的信号，接收端则从信道上接收信号，并将之恢复成能被利用的信息从信道上接收信号，并将之恢复成能被利用的信息 产生和识别网内所需的信令信号或规则，以便相互联系和应答产生和识别网内所需的信令信号或规则，以便相互联系和应答传输系统：传输系统：在交换设备之间建立通信路径，承载用户信息和网络在交换设备之间建立通信路径，承载用户信息和网络控制信息控制信息交换系统：交换系统：根据寻址信息和控制指令，完成网内选路功能，为多根据寻址信息和控制指令，完成网内选路功能，为多对用户建立通信链路，实现网内任意用户间相互

7、交换信息对用户建立通信链路，实现网内任意用户间相互交换信息通信网基本概念拓扑结构 通信网络常采取总线型、星型、环型、网状型、复合通信网络常采取总线型、星型、环型、网状型、复合型等拓扑图结构型等拓扑图结构网状网星型网复合型网环型网总线型网通信网基本概念组网等级结构 在实际中，通信网常采取一定等级层次，形成分级组网结构在实际中，通信网常采取一定等级层次，形成分级组网结构 典型例子：我国电话网组网层次包括：典型例子：我国电话网组网层次包括： 用户线、市内中继网、区域长途电话通信网、国内长途电话通信用户线、市内中继网、区域长途电话通信网、国内长途电话通信网、国际长途电话通信网网、国际长途电话通信网国际

8、网长途网本地网国际接口局(一级长途交换中心)国内汇接局 (二级长途交换中心)区域汇接局(三级长途交换中心)市话汇接局(初级长途交换中心)市话局用户线通信网基本概念组网等级结构 用户线：它是用户的电话机和市话局交换机连接的媒介，使用户终用户线：它是用户的电话机和市话局交换机连接的媒介，使用户终端接入电话通信网。端接入电话通信网。 市内中继网：它将各个交换区市话局通过中继线互连起来，并将市市内中继网：它将各个交换区市话局通过中继线互连起来，并将市话局连接至市话汇接局。话局连接至市话汇接局。 区域长途电话通信网：市话汇接局和区域（如省）长话汇接局通过区域长途电话通信网：市话汇接局和区域（如省）长话汇

9、接局通过区域中继干线互连，提供区域长途电话通信业务。区域中继干线互连，提供区域长途电话通信业务。 国内长途电话通信网：区域汇接局和国内中心汇接局通过国内中继国内长途电话通信网：区域汇接局和国内中心汇接局通过国内中继干线互连，提供全国范围内各地区之间的长途电话通信业务，形成干线互连，提供全国范围内各地区之间的长途电话通信业务，形成国内长途电话通信网。国内长途电话通信网。 国际长途电话通信网：国内汇接局和国际接口局连接，由国际接口国际长途电话通信网：国内汇接局和国际接口局连接，由国际接口局和国际线路组成国际长途电话网局和国际线路组成国际长途电话网通信网基本概念组网等级结构 我国五级向三级逐步演变，

10、长途电话网基本完成四级我国五级向三级逐步演变，长途电话网基本完成四级向二级网过渡向二级网过渡A省省B省省DC1DC2长途电话二级网结构与组织示意图长途电话二级网结构与组织示意图内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 支撑网支撑网 通信网体系结构与安全通信网体系结构与安全通信网的功能组成 一个完整的通信网，在功能上可分为相互依存的如下三张网：一个完整的通信网，在功能上可分为相互依存的如下三张网： 业务网业务网业务网业务网：指向公众提供电信业务的网络，包括固定电话网、移动：指向公众提供电信业务的网络

11、，包括固定电话网、移动电话网、互联网、电话网、互联网、IPIP电话网、数据通信网等电话网、数据通信网等 传送网传送网传送网传送网：指数字信号传送网，包括骨干传送网和接入网：指数字信号传送网，包括骨干传送网和接入网 支撑网支撑网支撑网支撑网：包括：包括信令网信令网、数字同步网数字同步网和和电信管理网电信管理网基础传送网层基础传送网层基础传送网层基础传送网层业务网层业务网层业务网层业务网层应用层应用层应用层应用层信息表示层信息表示层信息表示层信息表示层光纤传送网、微波传送网、卫星传送网光纤传送网、微波传送网、卫星传送网PSTNPSTN、PSDNPSDN、ISDNISDN、B-ISDNB-ISDN、

12、CATVCATV、InternetInternet电子贸易、远程教学、远程医疗、会议电视电子贸易、远程教学、远程医疗、会议电视电子邮件、文件传送、虚拟实景电子邮件、文件传送、虚拟实景. .文字、语声、音乐、静止图象、活动图象文字、语声、音乐、静止图象、活动图象. .支支撑撑网网内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 电话网电话网 互联网互联网 传送网传送网 支撑网支撑网 通信网体系结构与安全通信网体系结构与安全业务网电话网电话网 电话网是主要提供语音通信业务的一种业务网络电话网是主要提供语音通信业务的一种业务

13、网络 我国电话网组网结构：五级我国电话网组网结构：五级两级两级无级无级 正经历着如下演变：模拟电话网正经历着如下演变：模拟电话网综合数字电话网、交换程控化、传输数综合数字电话网、交换程控化、传输数字化字化 目前正在向目前正在向软交换网络软交换网络发展发展业务网互联网互联网 互联网是主要提供数据通信的一种业务网：以中国电信公众互联网互联网是主要提供数据通信的一种业务网：以中国电信公众互联网ChinaNetChinaNet为例，如下图：为例，如下图： 其骨干网的拓扑结构逻辑上分为核心层和大区层两层，其中其骨干网的拓扑结构逻辑上分为核心层和大区层两层，其中 大大区区层层主主要要提提供供大大区区内内的

14、的信信息息交交换换以以及及接接入入网网接接入入ChinaNetChinaNet的的信信息息通路通路 大区之间通信必须经过核心层大区之间通信必须经过核心层内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 PDHPDH SDH/SONETSDH/SONET 支撑网支撑网 通信网体系结构与安全通信网体系结构与安全传送网PDH 传送网为各类业务网络和支撑网中的业务信号或数据，提供传送传送网为各类业务网络和支撑网中的业务信号或数据，提供传送通道通道 传送网由传送网由传输线路传输线路、传输设备传输设备组成，它是通信网

15、中一项重要的基组成，它是通信网中一项重要的基础设施础设施 在传送网中，为了提高传输电路的带宽利用率及传输效率，常采在传送网中，为了提高传输电路的带宽利用率及传输效率，常采用复用技术，实现在一条电路上传递多路数据用复用技术，实现在一条电路上传递多路数据 目前主要采用目前主要采用同步时分复用同步时分复用(TDM)(TDM)技术技术 复用速率分为若干等级，其中第复用速率分为若干等级，其中第1 1级级 ( (称为称为1 1次群或基群次群或基群) )有两种有两种规格：规格： 1.544 Mb/s1.544 Mb/s( (称为称为T1T1标准，北美和日本标准，北美和日本) )：2424路路PCM64kb/

16、sPCM64kb/s语音语音 2.048 Mb/s2.048 Mb/s( (称为称为E1E1标准，欧洲和中国标准，欧洲和中国) )： 3030路路PCM64kb/sPCM64kb/s语音语音 高高次群次群信号由多个低次群支路信号复用而成信号由多个低次群支路信号复用而成PDH传输技术体制传输技术体制1次群次群(基群基群)2次群次群3次群次群4次群次群北美北美24路路1.544Mb/s96路路(244)6.312Mb/s672672路路路路(966)(966)44.736Mb/s44.736Mb/s40324032路路路路(6726)(6726)274.176Mb/s274.176Mb/s日本日本

17、24路路1.544Mb/s96路路(244)6.312Mb/s480480路（路（路（路（965965）32.064Mb/s32.064Mb/s14401440路路路路(4803)(4803)97.782Mb/s97.782Mb/s欧洲欧洲中国中国30路路2.048Mb/s120路路(304)8.448Mb/s480路路(1204)34.368Mb/s1920路路(4803)139.264Mb/s准同步数字体系准同步数字体系PDHPDH速率等级速率等级传送网PDH E1E1制式，各次群的话路数按制式，各次群的话路数按4 4倍递增，速率的关系略大于倍递增，速率的关系略大于4 4倍倍 T1T1制式

18、，在制式，在3 3次群以上，日本和北美各国又不相同次群以上，日本和北美各国又不相同传送网PDH 在实际复接中，各支路低速信号可在实际复接中，各支路低速信号可来自不同设备来自不同设备，有各自的时钟有各自的时钟，而且这，而且这些时钟相对其标称值有一个规定容限的些时钟相对其标称值有一个规定容限的偏差偏差，需要进行，需要进行码速调整码速调整才能实现才能实现复接复接 目的：各支路的瞬时码速达到一致，然后进行同步复接目的：各支路的瞬时码速达到一致，然后进行同步复接 实质上，高次群是以准同步或异步方式复接的，因此将其称之为实质上，高次群是以准同步或异步方式复接的，因此将其称之为准同步准同步数字系列数字系列(

19、PDH)(PDH) PDHPDH主要适用于中、低速率点对点的传输主要适用于中、低速率点对点的传输 PDHPDH复接与分接示意：复接与分接示意：复接与分接示意：复接与分接示意：光光/电电光信号光信号分分接接分分接接分分接接140/34 Mb/s34/8 Mb/s8/2 Mb/s复复接接复复接接复复接接电电/光光光信号光信号2/8 Mb/s8/34 Mb/s34/140 Mb/s2 Mb/s( (电信号电信号) )传送网PDH 随着通信需求的变化，随着通信需求的变化，PDHPDH暴露出一些固有的缺点：暴露出一些固有的缺点：1.1.只有地区性的数字信号速率和帧结构标准，而不存在世界性标准，只有地区性

20、的数字信号速率和帧结构标准，而不存在世界性标准，造成国际互通的困难造成国际互通的困难 北美：北美：1.5M 6.3M 45M N45Mbit/s1.5M 6.3M 45M N45Mbit/s 欧洲：欧洲：2M 8M 34M 140Mbit/s2M 8M 34M 140Mbit/s2.2.没有世界性的标准光接口规范，只有通过光没有世界性的标准光接口规范，只有通过光/ /电转换电转换为接口才能互为接口才能互通，给组网、管理及互通带来很大困难通，给组网、管理及互通带来很大困难3.3.二次群以上复用结构采用异步复用，难以从高速信号中识别和提二次群以上复用结构采用异步复用，难以从高速信号中识别和提取低速

21、支路信号。增加了设备的复杂性，降低了设备的可靠性，取低速支路信号。增加了设备的复杂性，降低了设备的可靠性，并使信号产生损伤并使信号产生损伤4.4.用于网络操作、管理和维护用于网络操作、管理和维护(OAM)(OAM)的比特在帧结构中占用较少的的比特在帧结构中占用较少的空间，无法适应不断演变的电信网对空间，无法适应不断演变的电信网对OAMOAM的要求的要求5.5.点到点通信体制无法提供最佳的路由选择点到点通信体制无法提供最佳的路由选择传送网SDH/SONETSDH传输技术体制传输技术体制传送网SDH/SONET 目前传送网的传输技术体制，主要以目前传送网的传输技术体制，主要以同步数字系列同步数字系

22、列SDHSDH为主为主 SDHSDH源于源于19841984年美国贝尔提出的年美国贝尔提出的光同步传送网光同步传送网(SYNTRAN)(SYNTRAN) 19851985年年ANSIANSI通过此标准，形成了美国正式标准，并更名为通过此标准，形成了美国正式标准，并更名为同步光同步光同步光同步光网络网络网络网络(SONET)(SONET)，于，于19861986年成为美国数字体系的新标准。同时，引年成为美国数字体系的新标准。同时，引起了起了ITU-TITU-T的关注的关注 19881988年年ITU-TITU-T接受了接受了SONETSONET的概念，并进行了适当的修改，重新命的概念，并进行了适

23、当的修改，重新命名为名为同步数字体系同步数字体系同步数字体系同步数字体系(SDH)(SDH)，使之成为不仅适于光纤，也适于微波和，使之成为不仅适于光纤，也适于微波和卫星传输卫星传输 19891989年，年，ITU-TITU-T在其蓝皮书上发表了在其蓝皮书上发表了、和、和、和、和标准标准1984SYNTRAN 1985SONET1986美新标1988SDH1989G.707/8/9传送网SDH/SONET SDHSDH传送网由终端复用器传送网由终端复用器(TM)(TM)、分插复用器、分插复用器(ADM)(ADM)、再生中继器、再生中继器(REG)(REG)和数字交叉连接设备和数字交叉连接设备(S

24、DXC)(SDXC)基本网元组成基本网元组成 与与PDHPDH的异步方式工作不同，的异步方式工作不同，SDHSDH基于同步传输，即各网元的时钟基于同步传输，即各网元的时钟都统一同步到同步网络的主时钟，为全网实现同步信息传输、复用、都统一同步到同步网络的主时钟，为全网实现同步信息传输、复用、分插和交叉连接提供统一的时钟信号分插和交叉连接提供统一的时钟信号TMTM终端复用器终端复用器终端复用器终端复用器 ADMADM（DXCDXC）分插复用器分插复用器分插复用器分插复用器TMTM终端复用器终端复用器终端复用器终端复用器REGREG再生器再生器再生器再生器支路信号支路信号支路信号支路信号支支支支路路

25、路路信信信信号号号号传送网SDH/SONET我国SDH传送网组网结构传送网SDH/SONET SDHSDH具有统一规范的速率，其信号以具有统一规范的速率，其信号以同步传输模块同步传输模块(STM)(STM)的形式传的形式传送，送，最基本的同步传输模块是最基本的同步传输模块是STM-1STM-1，更高等级的，更高等级的STM-NSTM-N信号是由信号是由STM-1STM-1按同步复用，按同步复用，N N是正整数是正整数SDH等级等级SONET等级等级标标 准准 速速 率率OC-1/STS-1(480H)51.40Mbit/s155Mbit/sSTM-1(1920CH)OC-3/STS-3(144

26、0CH)155.520Mbit/sOC-9/STS-9466.560Mbit/s622Mbit/sSTM-4(7696CH)OC-12/STS-12(8046CH)622.080Mbit/sOC-18/STS-18933.120Mbit/sOC-24/STS-241244.160Mbit/sOC-36/STS-361866.240Mbit/s2.5Gbit/sSTM-16(30720CH)OC-48/STS-48(32356CH)2488.320Mbit/s10Gbit/sSTM-64(122880CH)OC-192/STS-192(129024CH)9953.280Mbit/s传送网SDH/

27、SONET SDHSDH不同速率等级的码流按照一定的复用映射结构，在各帧的净负不同速率等级的码流按照一定的复用映射结构，在各帧的净负荷区内均匀地、有规律地排列支路信号荷区内均匀地、有规律地排列支路信号9 270 N字节字节SOHAU PTRSOH段开销段开销1 2 3 4 5 6 7 8 9 9 N261 NSTM-N净负荷净负荷( 含含 POH 通道开销通道开销)传传输输方方向向SDH的帧结构的帧结构PDHPDH和和和和SDHSDH分插信号流程的比较分插信号流程的比较分插信号流程的比较分插信号流程的比较光光/电光信号光信号分分接接分分接接分分接接140/34 Mb/s34/8 Mb/s8/2

28、 Mb/s复复接接复复接接复复接接电/光光光信号光信号2/8 Mb/s8/34 Mb/s34/140 Mb/s2 Mb/s( (电信号电信号) )PDHSDHADM155 Mb/s光接口光接口155 Mb/s光接口光接口2 Mb/s( (电信号电信号) )传送网SDH/SONET传送网SDH/SONET SDHSDH与与与与PDHPDH的三大主要区别的三大主要区别的三大主要区别的三大主要区别 同步的网络同步的网络同步的网络同步的网络 所有网元都工作在同一时钟作用下所有网元都工作在同一时钟作用下所有网元都工作在同一时钟作用下所有网元都工作在同一时钟作用下 丰富开销比特丰富开销比特丰富开销比特丰富

29、开销比特 用于传输大量网络管理信息用于传输大量网络管理信息用于传输大量网络管理信息用于传输大量网络管理信息 统一的接口和复用标准统一的接口和复用标准统一的接口和复用标准统一的接口和复用标准 同时适用于欧洲、北美和日本的数字体系同时适用于欧洲、北美和日本的数字体系同时适用于欧洲、北美和日本的数字体系同时适用于欧洲、北美和日本的数字体系 统一的光接口统一的光接口统一的光接口统一的光接口内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网 支撑网支撑网 数字同步网数字同步网 信令网信令网 管理网管理网TMNTMN

30、通信网体系结构与安全通信网体系结构与安全支撑网 一个完整的通信网，除了传递通信业务为主的业务网之外，还需有一个完整的通信网，除了传递通信业务为主的业务网之外，还需有若干个用来保障业务网正常运行、增强网络功能、提高网络服务质若干个用来保障业务网正常运行、增强网络功能、提高网络服务质量的支撑网络，它包括：量的支撑网络，它包括： 信令网：用于传送信令信号信令网：用于传送信令信号 数字同步网：用于提供全网同步时钟数字同步网：用于提供全网同步时钟 管理网：利用计算机系统对全网进行统一管理管理网：利用计算机系统对全网进行统一管理支撑网数字同步网数字同步网 在数字通信网中，其数据在传输、处理、交换等过程中，

31、需要在统在数字通信网中，其数据在传输、处理、交换等过程中，需要在统一的时钟信号控制下才能有效工作一的时钟信号控制下才能有效工作 时钟信号同步不良对业务网影响的表现形式时钟信号同步不良对业务网影响的表现形式 面向网络：面向网络： 面向业务：面向业务：n n传输网络：指针调整、误码传输网络：指针调整、误码n n数据网络：丢包、帧失步数据网络：丢包、帧失步n n交换网络：滑码、掉线率高交换网络：滑码、掉线率高n n固定话音业务：偶有喀喀声，严重时串音、接续延迟固定话音业务：偶有喀喀声，严重时串音、接续延迟n n移动话音业务：越区移动话音业务：越区/ /双频切换掉话、单通、接续延迟双频切换掉话、单通、

32、接续延迟n n传真业务：图片或文字的清晰度下降传真业务：图片或文字的清晰度下降n n图像业务：马赛克现象，伴音尖啸或静音图像业务：马赛克现象，伴音尖啸或静音支撑网数字同步网数字同步网 数字同步网就是专门为通信网所有网元系统提供定时参考信号数字同步网就是专门为通信网所有网元系统提供定时参考信号 例如：同步网中一例如：同步网中一BITSBITS设备向局内的各种设备统一提供时钟信号设备向局内的各种设备统一提供时钟信号某通信大楼内时钟信号分配示意图某通信大楼内时钟信号分配示意图(BITS通信楼综合定时供给系统通信楼综合定时供给系统)支撑网数字同步网数字同步网 同步网由节点时钟设备和定时链路组成，常以主

33、从同步方式为各同步网由节点时钟设备和定时链路组成，常以主从同步方式为各级通信节点提供时钟信号级通信节点提供时钟信号 时钟源有原子钟时钟源有原子钟( (如铯钟、铷钟如铯钟、铷钟) )、晶体钟、晶体钟、 GPSGPS接收设备接收设备 为了减少节点时钟的复杂性和成本，主从同步网中只需少数高等为了减少节点时钟的复杂性和成本，主从同步网中只需少数高等级节点采用高精度时钟，而其他的则采用低精度、结构较简单的级节点采用高精度时钟，而其他的则采用低精度、结构较简单的时钟时钟LPFLPFDDSDDSRefRef振荡器振荡器时钟工作示意图支撑网数字同步网数字同步网 数字同步网节点时钟等级分为三级：一级基准时钟、二

34、级从钟、三数字同步网节点时钟等级分为三级：一级基准时钟、二级从钟、三级从钟级从钟 一级基准时钟：包括一级基准时钟：包括全国基准时钟全国基准时钟PRCPRC和和区域基准时钟区域基准时钟LPRLPR两种类两种类型，放置在省、自治区中心及直辖市型，放置在省、自治区中心及直辖市 PRCPRC由由“ “铯原子钟组或铯原子钟铯原子钟组或铯原子钟铯原子钟组或铯原子钟铯原子钟组或铯原子钟GPSGPS” ”组成组成 LPRLPR由由” ”铷原子钟铷原子钟铷原子钟铷原子钟GPSGPS“ “组成，而且组成，而且LPRLPR应能同步于应能同步于PRCPRC 二级从钟：可由二级从钟：可由“ “铷原子钟铷原子钟铷原子钟铷

35、原子钟GPSGPS“ “或或” ”晶体钟晶体钟晶体钟晶体钟GPSGPS“ “组成，而且组成，而且应能同步于应能同步于LPRLPR，一般设置在省、自治区中心和直辖市的各长途通，一般设置在省、自治区中心和直辖市的各长途通信楼等信楼等 三级从钟：一般选用三级从钟：一般选用单纯高精度晶体钟单纯高精度晶体钟单纯高精度晶体钟单纯高精度晶体钟，并且能同步于二级从钟，并且能同步于二级从钟，一般设置在本地网内的汇接局和端局一般设置在本地网内的汇接局和端局数字同步网典型结构支撑网数字同步网数字同步网 我国同步网由基准时钟源、通信枢纽楼的综合定时供给系统我国同步网由基准时钟源、通信枢纽楼的综合定时供给系统( (即同

36、步即同步供给单元供给单元SSU)SSU)和同步信号分配链路组成，为我国境内的主要通信设和同步信号分配链路组成，为我国境内的主要通信设备提供统一的时钟备提供统一的时钟 我国基准时钟源有两种：一是铯原子钟，另一是我国基准时钟源有两种：一是铯原子钟，另一是GPSGPS接收机接收机( (准确性准确性受美国军方的控制受美国军方的控制) )支撑网数字同步网数字同步网 我国同步网由基准时钟源、通信枢纽楼的综合定时供给系统我国同步网由基准时钟源、通信枢纽楼的综合定时供给系统( (即同步供给单即同步供给单元元SSU)SSU)和同步信号分配链路组成，为我国境内的主要通信设备提供统一的和同步信号分配链路组成，为我国

37、境内的主要通信设备提供统一的时钟时钟 我国基准时钟源有两种：一是铯原子钟，另一是我国基准时钟源有两种：一是铯原子钟，另一是GPSGPS接收机接收机( (准确性受美国准确性受美国军方的控制军方的控制) ) 我国同步网是分布式的、多个基准时钟控制的全同步网方式我国同步网是分布式的、多个基准时钟控制的全同步网方式我国数字同步网结构示意图国际通信时，以准同步方式运行其定时准确度可达110-12支撑网数字同步网数字同步网 我国的第一级基准时钟我国的第一级基准时钟PRCPRC，由铯钟或，由铯钟或GPSGPS配铷钟组成配铷钟组成 在北京国际通信大楼安装三组铯钟在北京国际通信大楼安装三组铯钟 武汉长话大楼安装

38、两组超高精度铯钟及两个武汉长话大楼安装两组超高精度铯钟及两个GPSGPS 第二级为有保持功能的高稳时钟第二级为有保持功能的高稳时钟( (受控铷钟和高稳定度晶体钟受控铷钟和高稳定度晶体钟) ) A A类：上海、南京、西安、沈阳、广州、成都等六个大区中心及乌类：上海、南京、西安、沈阳、广州、成都等六个大区中心及乌鲁木齐、拉萨、昆明、哈尔滨、海口等五个边远省会中心配置地鲁木齐、拉萨、昆明、哈尔滨、海口等五个边远省会中心配置地区级基准时钟区级基准时钟LPRLPR，此外还增配，此外还增配GPSGPS定时接收设备定时接收设备 B B类：全国类：全国3030个省、市、自治区中心的长途通信大楼内安装的大楼个省

39、、市、自治区中心的长途通信大楼内安装的大楼综合定时供给系统，以铷综合定时供给系统，以铷( (原子原子) )钟或高稳定度晶体钟为主钟或高稳定度晶体钟为主 今后各省中心也逐步增配今后各省中心也逐步增配GPSGPS做各地区基准信号源做各地区基准信号源支撑网数字同步网数字同步网 A A类时钟通过同步链路直接与基准时钟同步，并受中心局内的类时钟通过同步链路直接与基准时钟同步，并受中心局内的BITSBITS设备时钟设备时钟同步同步 B B类时钟，应通过同步链路受类时钟，应通过同步链路受A A类时钟控制，间接地与基准时钟同步，并受类时钟控制，间接地与基准时钟同步，并受中心内的局内综合定时供给设备时钟同步中心

40、内的局内综合定时供给设备时钟同步 各省间的同步网划分为若干个同步区各省间的同步网划分为若干个同步区 同步网的最大子网，可作为一个独立的实体对待同步网的最大子网，可作为一个独立的实体对待 可以接收与其相邻的另一个同步区的基准作为备用可以接收与其相邻的另一个同步区的基准作为备用支撑网数字同步网数字同步网 第三级时钟设置在各省内汇接局第三级时钟设置在各省内汇接局(Tm)(Tm)和端局和端局(C5)(C5) ，采用有保持功能，采用有保持功能的高稳定度晶体时钟，其频率偏移率可低于二级时钟。通过同步链的高稳定度晶体时钟，其频率偏移率可低于二级时钟。通过同步链路与第二级时钟或同等级时钟同步，需要时可设置局内

41、综合定时供路与第二级时钟或同等级时钟同步，需要时可设置局内综合定时供给设备。给设备。 第四级时钟是一般晶体时钟，通过同步链路与第三级时钟同步，设第四级时钟是一般晶体时钟，通过同步链路与第三级时钟同步，设置在远端模块、数字终端设备和数字用户交换设备当中置在远端模块、数字终端设备和数字用户交换设备当中支撑网数字同步网数字同步网我国数字同步网的目标结构我国数字同步网的目标结构支撑网数字同步网数字同步网同步信号分配示意图同步信号分配示意图利用卫星组织同步网 DC0 DC0 （国际出入口局）国际出入口局）DTDTmm乙城市乙城市甲城市甲城市 长长途途网网本本地地电电话话网网DTDTmmDC1DC1DC2

42、DC2DC1DC1DC2DC2DLDLDLDLDLDLDLDL长长途途网网本本地地电电话话网网一级一级二级二级二级二级三级三级电话网的三级结构电话网的三级结构主用基准时钟主用基准时钟备用基准时钟备用基准时钟主用同步链路主用同步链路备用同步链路备用同步链路 数字同步网与数字同步网与PSTNPSTN的对应关系的对应关系支撑网数字同步网数字同步网支撑网数字同步网数字同步网 同步网面临的安全问题及防护措施：同步网面临的安全问题及防护措施：同步网面临的安全问题及防护措施：同步网面临的安全问题及防护措施： 切断或劣化时钟源：对于采用外部时钟的同步网，这将使网络频切断或劣化时钟源：对于采用外部时钟的同步网，

43、这将使网络频繁出现滑动损伤繁出现滑动损伤尽可能采用内部时钟同步方案，而且配置高可尽可能采用内部时钟同步方案，而且配置高可尽可能采用内部时钟同步方案，而且配置高可尽可能采用内部时钟同步方案，而且配置高可靠的时钟设备靠的时钟设备靠的时钟设备靠的时钟设备 干扰或劣化、中断时钟分配及传递：它们都将加剧传输损伤干扰或劣化、中断时钟分配及传递：它们都将加剧传输损伤尽尽尽尽可能采取互同步方案，并屏蔽外部电磁干扰可能采取互同步方案，并屏蔽外部电磁干扰可能采取互同步方案，并屏蔽外部电磁干扰可能采取互同步方案，并屏蔽外部电磁干扰支撑网数字同步网数字同步网 同步网精确的时钟信号传递与分配对通信网络可用性至关重要：同

44、步网精确的时钟信号传递与分配对通信网络可用性至关重要： 一致而可靠的时钟信号不仅是服务质量的保证，而且对网络性能、一致而可靠的时钟信号不仅是服务质量的保证，而且对网络性能、服务可用性和整个网络网元、基础设施和客户终端设备之间的无服务可用性和整个网络网元、基础设施和客户终端设备之间的无缝可操作性等十分重要缝可操作性等十分重要 当前我国通信网还比较依赖当前我国通信网还比较依赖GPSGPS定时系统，这是影响我国通信安定时系统，这是影响我国通信安全的重要隐患全的重要隐患 随着网络的演进，定时和同步技术也将不断发展，从而满足不断出随着网络的演进，定时和同步技术也将不断发展，从而满足不断出现的新的需求现的

45、新的需求支撑网信令网信令网 在通信设备之间传递的各种控制信号，如占用、释放、设备忙闲状在通信设备之间传递的各种控制信号，如占用、释放、设备忙闲状态、被叫用户号码等，都属于信令。态、被叫用户号码等，都属于信令。 信令就是各个交换局在完成呼叫接续中的一种通信语言。信令系统信令就是各个交换局在完成呼叫接续中的一种通信语言。信令系统指导系统各部分相互配合，协同运行，共同完成某项任务指导系统各部分相互配合，协同运行，共同完成某项任务支撑网信令网信令网 针对传统电话业务的信令，包含大量不同类别。根据不同的观察角针对传统电话业务的信令，包含大量不同类别。根据不同的观察角度，可以将这些信令进行不同的分类度，可

46、以将这些信令进行不同的分类按信令的功能分为：按信令的功能分为：按信令的功能分为：按信令的功能分为：线路信令、路由信令、管理信令线路信令、路由信令、管理信令线路信令、路由信令、管理信令线路信令、路由信令、管理信令按信令的信道传送方式，信令分为：按信令的信道传送方式，信令分为：按信令的信道传送方式，信令分为：按信令的信道传送方式，信令分为：随路信令随路信令随路信令随路信令共路信令共路信令共路信令共路信令按信令的工作区域分为：按信令的工作区域分为：按信令的工作区域分为：按信令的工作区域分为：用户线信令、局间信令用户线信令、局间信令用户线信令、局间信令用户线信令、局间信令支撑网支撑网信令网信令网 随路

47、信令是信令消息在对应的话音通道上传送的信令方式随路信令是信令消息在对应的话音通道上传送的信令方式 中国一号就是随路信令系统中国一号就是随路信令系统交换网络交换网络交换网络交换网络交换网络交换网络交换网络交换网络信令设备信令设备信令设备信令设备信令设备信令设备信令设备信令设备信令信息走话路信令信息走话路信令信息走话路信令信息走话路支撑网支撑网信令网信令网 信令信道和业务信道完全分开，在公共的数据链路上以消息的形式信令信道和业务信道完全分开，在公共的数据链路上以消息的形式传送一群话路的信令方式传送一群话路的信令方式 中国七号就是共路信令系统中国七号就是共路信令系统一一般般采采用用2M2M一一次次群

48、群数数字字中中继继传传输输线线上上的的一一个个时时隙隙(64kbps(64kbps，TS0TS0除除外外) )作为信令信道，称为信令链路。作为信令信道，称为信令链路。交换网络交换网络交换网络交换网络信令设备信令设备信令设备信令设备信令链路信令链路话路话路支撑网支撑网信令网信令网 信令网是独立于电信网的支撑网，是电信网中用于传输信信令网是独立于电信网的支撑网，是电信网中用于传输信令消息的专用分组交换数据网，这里信令的传输以分组作令消息的专用分组交换数据网，这里信令的传输以分组作为基本单元为基本单元 信令网的三要素：信令点、信令转接点、信令链路信令网的三要素：信令点、信令转接点、信令链路 支撑网支

49、撑网信令网信令网 我国信令网采用三级结构：我国信令网采用三级结构：HSTPHSTP、LSTPLSTP、SPSP 第一级：第一级：SPSP信令点信令点 第二级：第二级：LSTPLSTP低级信令点转接点，汇接若干低级信令点转接点，汇接若干SPSP，并联至，并联至HSTPHSTP 第三级：第三级：HSTPHSTP高级信令转接点，汇接高级信令转接点，汇接LSTPLSTP，HSTPHSTP间全部采用直间全部采用直联方式联方式HSTPHSTPHSTPHSTPLSTPLSTPLSTPLSTPSPSPSPSPSPSPSPSPSPSP我国信令网的三级结构我国信令网的三级结构我国信令网的三级结构我国信令网的三级结

50、构中国电信基本建成中国电信基本建成覆盖全国的三级覆盖全国的三级信令网信令网北京1A A平面平面HSTPB B平面平面北京2广州2上海2 注释：1.根据我国信令网技术体制，省会以上城市都应设置一对HSTP, 以5个城市为例2.全国划分为31个主信令区，每个主信令区应有多达256个分信令区，以陕西省为例，其中主信令区和相应m和n两个分信令区。 SPLSTP1LSTP2SPSPSPSPn n分信令区分信令区m m分信令区分信令区SPLSTP1LSTP2SPSPSPSP西安2成都2西安1广州1上海1成都1LSTPSP支撑网支撑网信令网信令网支撑网支撑网信令网信令网 7 7号信令网是能为多种业务网提供服

51、务的支撑网：不仅可以为电话网、号信令网是能为多种业务网提供服务的支撑网：不仅可以为电话网、数字数据网数字数据网DDNDDN、ISDNISDN网、移动网等传送有关呼叫建立和释放的信令，网、移动网等传送有关呼叫建立和释放的信令，还可为交换局和各种服务中心之间传送数据信息还可为交换局和各种服务中心之间传送数据信息 它的主要用途：它的主要用途： 固定电话网的局间信令固定电话网的局间信令 移动电话网的局间信令移动电话网的局间信令 电路交换的数据网的局间信令电路交换的数据网的局间信令 ISDNISDN网的局间信令网的局间信令 智能网业务信息智能网业务信息 宽带宽带ATMATM局间信令局间信令 网络运营、维

52、护和管理信息网络运营、维护和管理信息支撑网支撑网信令网信令网 信令网面临的安全问题：信令网面临的安全问题： 用户接口攻击：将入侵设备接入用户线，攻击信令网用户接口攻击：将入侵设备接入用户线，攻击信令网 信令链路攻击：在已启用信令的链路上搭接设备，干扰链路上信信令链路攻击：在已启用信令的链路上搭接设备，干扰链路上信令的正常交互时序、改变相关信令内容；或虚拟一个信令点而入令的正常交互时序、改变相关信令内容；或虚拟一个信令点而入侵信令网高级节点侵信令网高级节点 信令配置攻击：通过一些恶意或非法网络配置命令，控制信令网信令配置攻击：通过一些恶意或非法网络配置命令，控制信令网 拒绝服务攻击：攻击者发出大

53、量重复的恶意呼叫占用信令资源拒绝服务攻击：攻击者发出大量重复的恶意呼叫占用信令资源 信令网安全防护措施：信令网安全防护措施： 用户接口安全保护机制：限制用户寻址控制权、增加用户线状态用户接口安全保护机制：限制用户寻址控制权、增加用户线状态监测、信令变异或加固技术、信令标识认证、简化用户信令监测、信令变异或加固技术、信令标识认证、简化用户信令 增加系统群接口安全防卫：信令变异或加固技术、信令标识认证增加系统群接口安全防卫：信令变异或加固技术、信令标识认证 网络管理接口防卫：网络管理接口防卫： 恶意呼叫防卫：恶意呼叫防卫：支撑网支撑网管理网管理网 管理网作为电信支撑网的一个重要的组成部分，建立在传

54、送网和业管理网作为电信支撑网的一个重要的组成部分，建立在传送网和业务网之上，并对通信设备、通信网络进行管理务网之上，并对通信设备、通信网络进行管理 ITU-TITU-T借鉴借鉴OSIOSI中有关系统管理的思想及技术，为管理电信业务而定中有关系统管理的思想及技术，为管理电信业务而定义了一种结构化的网络体系结构，方便网络管理系统与电信网，按义了一种结构化的网络体系结构，方便网络管理系统与电信网，按照照标准的接口标准的接口和和标准的信息格式标准的信息格式交换管理信息交换管理信息，从而实现网络管理，从而实现网络管理功能功能 TMNTMN的基本原理之一就是的基本原理之一就是使管理功能与电信功能分离使管理

55、功能与电信功能分离。网络管理者。网络管理者可以依赖几个管理节点管理电信网络中分布的电信设备可以依赖几个管理节点管理电信网络中分布的电信设备网管服务器TMN与电信网的总体关系与电信网的总体关系数据通讯网数据通讯网交换机接入网SDHSTPBITS电源环境交换机WS接入网WSSDH WSSTP WSBITS WS电源 WS环境 WS电 信 网协议网关支撑网支撑网管理网管理网电信管理网与电信网的关系支撑网支撑网管理网管理网我国电信管理网层次 注：注： 1 1、各级网管中心、各级网管中心NMCNMC对辖范围内网络进行管理，如图中用实线表示网管信息交换。对辖范围内网络进行管理，如图中用实线表示网管信息交换

56、。 2 2、统一网管是靠各、统一网管是靠各NMCNMC之间交换网管信息来实现的，图中用虚线来表示。之间交换网管信息来实现的，图中用虚线来表示。 3 3、统一、统一NMCNMC和全国和全国NCMNCM，可以是使用相同设备，也可以是在分开的设备上工作。，可以是使用相同设备，也可以是在分开的设备上工作。 4 4、要求全国、要求全国NMCNMC、省内、省内NMCNMC对统一网管信息有中转功能。对统一网管信息有中转功能。支撑网支撑网管理网管理网电信管理网的层次和功能内容提要 通信基本概念与模型通信基本概念与模型 通信网基本概念通信网基本概念 通信网的功能组成通信网的功能组成 业务网业务网 传送网传送网

57、支撑网支撑网 通信网体系结构与安全通信网体系结构与安全 网络协议网络协议 OSIOSI参考模型参考模型 TCP/IPTCP/IP模型模型 安全需求与防护层次安全需求与防护层次 OSIOSI安全体系结构安全体系结构 IPIP网络安全架构网络安全架构 例子：例子：IPIP安全架构安全架构通信网体系结构与安全通信网体系结构与安全网络协议网络协议 为了降低通信网络设计的复杂度，方便异构通信设备间的互连互通，为了降低通信网络设计的复杂度，方便异构通信设备间的互连互通，增强网络的可扩展性，促进设备制造的分工和竞争，常将通信网在增强网络的可扩展性，促进设备制造的分工和竞争，常将通信网在功能逻辑上进行分层，形

58、成一定的体系结构功能逻辑上进行分层，形成一定的体系结构 目前影响最大的网络体系结构有两个，即目前影响最大的网络体系结构有两个，即OSIOSI参考模型和参考模型和TCP/IPTCP/IP模模型。它们已成为设计可互操作的通信标准的基础型。它们已成为设计可互操作的通信标准的基础 在通信网中，参与通信的两个对等实体之间必须遵守共同的约定，在通信网中，参与通信的两个对等实体之间必须遵守共同的约定，才能实现相关信息数据交换，该约定即称之为通信协议。它应包含才能实现相关信息数据交换，该约定即称之为通信协议。它应包含三个要素：三个要素： 语法：语法：包括数据格式、编码和信号等级包括数据格式、编码和信号等级 语

59、义：语义：包括用于协调的控制信息和差错控制包括用于协调的控制信息和差错控制 定时定时：包括速率匹配和排序：包括速率匹配和排序通信网体系结构与安全通信网体系结构与安全OSI参考模型参考模型 OSIOSI参考模型参考模型从逻辑上通信网分为从逻辑上通信网分为7 7层层目前应用OSI参考模型的通信网络有：网络接口、N-ISDN的S/T接口、7号信令网、用户接入网V5接口、电信管理网Q3接口、SDH的ECC信道等通信网体系结构与安全通信网体系结构与安全TCP/IP模型模型 当前，除当前，除OSIOSI参考模型，获得了更为广泛的应用还有参考模型，获得了更为广泛的应用还有TCP/IPTCP/IP模型模型通信

60、网体系结构与安全通信网体系结构与安全TCP/IP模型模型TCP/IPTCP/IP各层主要功能、协议各层主要功能、协议应用层TelnetFTPHTTPSMTPDNS传输层TCPUDP网络层IPARPRARPICMPIGMP网络接口层逻辑链路子层介质访问子层SONET/SDH/PDH通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次 在实际通信中，不仅需要信息能在实际通信中，不仅需要信息能快速快速、可靠可靠地从信源传递到信宿，地从信源传递到信宿，而且还需要对信息载体及信息的处理、传输、存储、访问等

61、过程而且还需要对信息载体及信息的处理、传输、存储、访问等过程提提供安全保护供安全保护，防止数据、信息内容或能力非授权使用、误用、篡改，防止数据、信息内容或能力非授权使用、误用、篡改或拒绝服务或拒绝服务 需要有一套完整的网络安全防护体系，从需要有一套完整的网络安全防护体系，从机密性机密性机密性机密性、完整性完整性完整性完整性、可用性可用性可用性可用性三个基本属性上，保障通信网络三个基本属性上，保障通信网络( (信息载体信息载体) )及信息自身安全及信息自身安全一套完整的网络安全系统应用层表示层会话层传输层网络层数据链路层物理层OSI参考模型防护系统层的安全防护系统层的安全防护主要包括操作系统、应

62、用服务器、数据库系统的安全防护通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次 与前面的网络参考模型一样，网络安全防护体系也需要分层次，不与前面的网络参考模型一样，网络安全防护体系也需要分层次，不同层次反映不同的安全问题同层次反映不同的安全问题 不同类型的漏洞、攻击、威胁存在于网络的不同层次不同类型的漏洞、攻击、威胁存在于网络的不同层次通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次链路层

63、协议的安全隐患：链路层协议的安全隐患：1 1）ARPARP协议的安全隐患协议的安全隐患 ARPARP缓存可能被污染缓存可能被污染ARPARP欺骗欺骗2 2）以太网协议）以太网协议CSMA/CDCSMA/CD的安全隐患的安全隐患 共享方式传送数据共享方式传送数据网卡混杂模式嗅探网卡混杂模式嗅探通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次网络层协议的安全隐患：网络层协议的安全隐患：1 1）IPIP协议的安全隐患协议的安全隐患 不能为数据提供完整性、机密性不能为数据提供完整性、机密性 路由和分

64、片机制路由和分片机制数据包内容易被篡改数据包内容易被篡改 对源对源IPIP地址不进行认证地址不进行认证IPIP欺骗攻击欺骗攻击 可以设置可以设置“ “源路由源路由” ”选项选项源路由欺骗攻击源路由欺骗攻击 “ “IPIP分片包分片包” ”的威胁的威胁分片扫描和拒绝服务攻击分片扫描和拒绝服务攻击2 2）ICMPICMP协议的安全隐患协议的安全隐患 ICMP echoICMP echo广播响应包广播响应包拒绝服务攻击拒绝服务攻击 利用隧道技术封装成利用隧道技术封装成ICMPICMP包来建立隐藏通道包来建立隐藏通道/ /穿越防火墙穿越防火墙通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全

65、通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次传输层协议的安全隐患：传输层协议的安全隐患：1 1）TCPTCP协议的安全隐患协议的安全隐患 三次握手中源三次握手中源IPIP地址可以虚假地址可以虚假拒绝服务攻击拒绝服务攻击 TCPTCP中的序列号并不真正随机中的序列号并不真正随机IPIP欺骗攻击欺骗攻击 可以定制所发送可以定制所发送TCPTCP包的标志位包的标志位隐蔽扫描隐蔽扫描2 2）UDPUDP协议的安全隐患协议的安全隐患 无连接、不可靠的协议无连接、不可靠的协议拒绝服务攻击拒绝服务攻击通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全

66、通信网体系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次应用层协议的安全隐患：应用层协议的安全隐患：1 1）DNSDNS协议的安全隐患协议的安全隐患 DNS DNS缓存可能被毒害缓存可能被毒害DNSDNS欺骗、区域传输欺骗、区域传输(_(_年年_月百度被月百度被攻击攻击) )2 2）路由协议的安全隐患）路由协议的安全隐患 路由信息可以被篡改路由信息可以被篡改修改网络数据传输路径修改网络数据传输路径 3 3）WebWeb协议的安全隐患协议的安全隐患4 4）其他协议的安全隐患）其他协议的安全隐患通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体

67、系结构与安全安全需求与防护层次安全需求与防护层次安全需求与防护层次安全需求与防护层次应用层表示层会话层传输层网络层数据链路层物理层会话和数据加密防火墙或路由器过滤、应用软件安全配置、漏洞扫描和补丁更新、病毒、木马和恶意软件保护MAC地址绑定与修改检测、链路加密、VLAN划分、交换机CAM保护线路和机房屏蔽，传输线路的加密，设备、部件或线路冗余，严谨的机房管理制度，可行、有效的数据容灾方案，物理层的自动检测系统防火墙过滤、防火墙或路由器NAT、身份验证、数据加密、路由器IP验证强化TCP、UDP协议堆栈配置，SSL、SSH和SOCKS加密和身份验证，防火墙过滤，四层交换机、防火墙和路由器的流量控

68、制、IDS、IPS通信网体系结构与安全通信网体系结构与安全安全体系结构安全体系结构 以实现完备的网络安全功能为目标，以实现完备的网络安全功能为目标，ISOISO发布了发布了OSIOSI安全体系结构安全体系结构( (即即ISO7498-2ISO7498-2标准标准) )，是基于，是基于OSIOSI参考模型的信息安全体系结构参考模型的信息安全体系结构 定义了定义了5 5类安全服务类安全服务、8 8种特定的安全机制种特定的安全机制、5 5种普遍性安全机制种普遍性安全机制 确定了安全服务与安全机制的关系以及在确定了安全服务与安全机制的关系以及在OSIOSI七层模型中安全服务七层模型中安全服务的配置的配

69、置 还确定了还确定了OSIOSI安全体系的安全管理安全体系的安全管理通信网体系结构与安全通信网体系结构与安全安全体系结构安全体系结构描述的是一个三维的安描述的是一个三维的安全空间，它反映了信息全空间，它反映了信息系统的安全需求和体系系统的安全需求和体系结构的共性。结构的共性。ISO/OSI开放系统互连信息安全空间通信网体系结构与安全通信网体系结构与安全安全体系结构安全体系结构安全服务安全服务网络层次网络层次物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层对等实体鉴别对等实体鉴别访问控制访问控制数据保密数据保密数据完整性数据完整性数据源点鉴别数据源点鉴

70、别抗抵赖抗抵赖安全服务在网络各层的配置应用程序PGPSNMPv 3S/MIMEPEMKerberosIKEDNS 安全扩展RIPv 2BGP -4S/KEYN-SSETPKISSHHTTPSSSLTLSTCPUDPIPSec (AH)IPSec (ESP )IPPPTPL2FL2TP硬件设备驱动程序以及媒体接入协议应用层传输层链路层网络层TCP/IP协议簇的安全架构协议簇的安全架构通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构 基于基于OSIOSI安全体系结构，安全体系结构，TCP/IPTCP/I

71、P网络的安全架构可以表述如下网络的安全架构可以表述如下通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构链路层安全协议：链路层安全协议： 负责提供通过通信链路连接的主机或路由器之间的安全保证负责提供通过通信链路连接的主机或路由器之间的安全保证 优点：效率高和容易实施，也被经常使用优点：效率高和容易实施，也被经常使用 缺点：不通用，扩展性不强，在缺点：不通用，扩展性不强，在InternetInternet环境中并不完全适用环境中并不完全适用通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信

72、网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构网络层安全协议网络层安全协议 主要解决网络层通信的安全问题，主要解决网络层通信的安全问题，IPSecIPSec是目前最主要的网络层安是目前最主要的网络层安全协议全协议 优点：对上层应用透明性好，即安全服务的提供不需要应用程序优点：对上层应用透明性好，即安全服务的提供不需要应用程序做任何改动，并与物理网络无关做任何改动，并与物理网络无关 缺点：很难实现不可否认性，不能对来自同一主机但不同进程的缺点：很难实现不可否认性，不能对来自同一主机但不同进程的数据包分别施加安全保证，可能造成系统性能下降数据包分别施加安全保证，可

73、能造成系统性能下降通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构传输层安全协议传输层安全协议 主要实现传输层的安全通信，只可实现端到端（进程到进程）的主要实现传输层的安全通信，只可实现端到端（进程到进程）的加密加密 优点：提供基于进程到进程的安全服务，并可利用公钥加密机制优点：提供基于进程到进程的安全服务，并可利用公钥加密机制实现通信的端实体间的相互认证实现通信的端实体间的相互认证 缺点：修改应用程序才能增加相应的安全性，无法根本上解决身缺点：修改应用程序才能增加相应的安全性，无法根本上解决身份认

74、证和不可否认问题。基于份认证和不可否认问题。基于UDPUDP的通信很难在传输层实现安全的通信很难在传输层实现安全性性通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构应用层安全协议：应用层安全协议： 应用层的安全措施必须在端系统及主机上实施应用层的安全措施必须在端系统及主机上实施 优点：可以给不同应用提供针对性更强的安全功能，能最灵活地优点：可以给不同应用提供针对性更强的安全功能，能最灵活地处理单个文件安全性：身份认证、访问控制、不可否认、机密性、处理单个文件安全性：身份认证、访问控制、不可否认、机密

75、性、完整性完整性 缺点：需要对操作系统内核做较大调整，而且针对每个应用要单缺点：需要对操作系统内核做较大调整，而且针对每个应用要单独设计，没有统一的解决方案独设计，没有统一的解决方案通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全通信网体系结构与安全例子：例子：例子：例子：IPIP安全架构安全架构安全架构安全架构不同层次安全协议的比较：不同层次安全协议的比较： 单独一个层次无法提供全部的网络安全服务，从而形成由各层安单独一个层次无法提供全部的网络安全服务，从而形成由各层安全协议构成的全协议构成的TCP/IPTCP/IP的安全架构的安全架构 安全协议实现的层次越低越具有高安全性，能够提供整个数据包安全协议实现的层次越低越具有高安全性，能够提供整个数据包安全，且该协议运行性能就越好，对用户的影响就越小安全，且该协议运行性能就越好，对用户的影响就越小 高层的安全协议能针对用户和应用提供不同级别更灵活的安全功高层的安全协议能针对用户和应用提供不同级别更灵活的安全功能能 通信网体系结构与安全通信网体系结构与安全IP网络安全架构网络安全架构防火墙防火墙防火墙防火墙访问控制访问控制访问控制访问控制防病毒防病毒防病毒防病毒入侵检测入侵检测入侵检测入侵检测漏洞评估漏洞评估漏洞评估漏洞评估虚拟专用网虚拟专用网虚拟专用网虚拟专用网END