簡述網絡安全的概念范文
時間:2023-09-13 17:19:13
導語:如何才能寫好一篇簡述網絡安全的概念,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:計算機網絡安全 安全維護 意義 措施
中圖分類號:TP393.09 文獻標識碼:C DOI:10.3969/j.issn.1672-8181.2013.16.052
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。 由于各種原因的存在,網絡安全會受到不同方面的影響,如系統硬件、網絡技術缺陷、設備和技術落后、黑客攻擊、防護系統漏洞、網絡安全意識缺乏、基礎知識教育落后等等,所以我們要認清時時刻刻面臨的問題,認清安全維護的必要性,從硬件、軟件上加強網絡系統安全的維護,確保大家能有一個公開、安全的網絡環境。
一般來說,網絡安全由四個部分組成:
一是運行系統的安全,更側重于硬件設施的安全,即保證操作系統、存儲系統、傳輸線路等的安全,避免因硬件設施的老化、不穩定、漏洞等原因而導致網絡系統的不安全,從最基礎避免網絡安全隱患的存在。
二是系統信息的安全,包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
三是信息傳播的安全,控制信息通過網絡傳播的途徑和影響,例如信息過濾等,防止和控制不良有害信息的傳播,保障正常信息順暢流通。
四是信息內容的安全,注重信息的保密性、真實性和完整性,避免其他人利用系統的安全漏洞做出對合法用戶的不利行為。
2 計算機網絡系統安全的主要威脅
所謂網絡系統安全,最重要的就是要保證通過網絡渠道傳播信息時,信息完好無誤,不會被修改和破壞,并且確保其三大特征――完整性、可靠性和保密性。然而,隨著網絡時代的飛速發展,人們在享受網絡帶來的便利的同時,也深受各類病毒和技術的困擾,各種各樣的問題已經在極大程度上威脅了計算機網絡系統的安全。
由于種種原因,目前我國網絡系統的安全維護方面還有很多問題,主要體現在:
2.1 網絡安全意識淡薄
目前在我國,人們的網絡安全意識普遍比較淡薄,對計算機網絡沒有常識性的認識,缺少必備的安全維護知識。許多網絡用戶或工作人員只看到上網后給工作和學習帶來的種種好處,過于注重運用的體驗,缺少安全維護的意識和措施,如此便造成了種種不良信息和病毒的入侵,容易導致安全問題的發生。
2.2 網絡信息技術自身的不足
雖然信息技術高速發展,但仍有其不足和需要不斷完善的地方,而這些不足往往就會成為信息傳播時的不安全因素。例如現在網絡系統中使用率最高的協議是TCP/IP協議,幾乎90%的用戶都會選擇,但是TCP/IP協議組是默認建立在安全可信賴的環境中,對于現在網絡的復雜性、不安全性并未做應有的考慮。諸如此類無法避免的問題,就會給用戶在使用網絡系統時造成一定的安全隱患,甚至造成不必要的安全事故。
2.3 網絡硬件投入不足
網絡技術高速發展的同時,各種信息技術和設備的更新換代也是越來越快,跟不上高速發展的步伐就會被遠遠甩在身后。而我們目前很多用戶的技術和設備已經陳舊,無法滿足使用的需要,更無法提供安全的硬件支持。為維護網絡的安全運行,還需要完善技術和設備,尤其對于網絡安全技術更應該投入專項資金。必須要避免因設備等原因而產生的問題。現在社會有很多的企業和事業單位,固定資產中關于計算機和網絡維護方面極具縮水,甚至嚴重匱乏,所用設備甚至連基本的辦公功能都無法滿足,安全級別更是幾近于零。所以,在此也倡導相關單位能重視起計算機和計算機網絡安全的投入與維護,將安全落到實處。
3 如何加強網絡系統安全的維護
現在社會飛速發展,工作和生活也越來越多地需要網絡的支持,如果網絡存在安全隱患,時時刻刻都要面對信息的丟失或不能及時流通,或者被篡改、增刪、破壞或竊用,任何一個問題的產生,都會帶來無法彌補的損失。無數的案例擺在我們眼前,通過最簡單的聊天工具就可以竊取對方電腦和網絡中的機密文檔。其原因:一是用戶相關知識的不足,二是網絡系統存在很多的漏洞,而這些損失往往是可以避免的。面對沉痛的教訓,我們更應該防患于未然,做到預防為主,防治結合。
首先,我們應該用科學完善的管理機制來支撐網絡安全維護這一系統工程,包括組織建設、制度建設和全員安全教育,小到個人用戶,大到公司、政府和國家,都需要從點滴做起,建立好組織架構和相應機構,設立相關的規章制度,并且必須重視工作人員的安全教育,加強安全意識。
其次,還需要運用技術手段來確保網絡系統的安全,針對不同的安全時期,制定不同的技術策略,如系統安全策略、安全管理策略和縱深防御策略等等,對操作系統、數據庫、服務器等進行安全加固,避免因硬件設施帶來的安全問題,加強安全系統如防火墻的建立和運用,將不良的入侵和攻擊擋在系統之外。
4 小結
網絡時代高速發展,體現出了現代技術的日益發展,然而,高速發展的同時也會產生諸多的問題等待人們去解決,而對于網絡技術來講,安全更是重中之重。本文就網絡系統安全的維護這一命題,從基本概念、主要威脅和維護措施等方面,闡述了安全維護的必要性。相信隨著網絡的不斷發展,技術的不斷完善,人們安全意識和素養的不斷提升,網絡系統的安全會越來越有保障。
參考文獻:
[1]周學廣.信息安全學[M].北京機械工業出版社,2003.
[2]曹天杰等.計算機系統安全[M].北京高等教育出版社,2003.
[3]熊華,郭世澤.網絡安全――取證與蜜罐[M].人民郵電出版社,2003.
[4]黃毅華.信息管理在網絡安全中的應用[J].2010.
篇2
[關鍵詞]:數據加密技術 計算機 安全威脅 算法 網絡安全
隨著當前信息技術的飛速發展,互聯網已經深深地融入到了人們的日常生活和工作之中,在科研、金融、教育等各個領域中得到了深入運用。人們在享受互聯網技術帶來的便利同時,也面臨著網絡安全的威脅,而同時也受到各方的關注和重視。在這種背景下,數據加密技術發揮出了極大的優勢,有效保障了計算機安全運行。基于此,本文對相關的內容進行了探討。
1當前計算機安全面臨的主要隱患
1.1操作系統
當前,大多數的計算機都安裝了微軟的windows操作系統,正是由于其安裝的普遍性,也成為了黑客攻擊的主要目標,從而暴露出了許多漏洞,造成安全隱患的存在。當某個操作系統的安全漏洞被黑客成功利用之后,黑客就會獲得計算機用戶的各種賬號和密碼,給用戶帶來一定程度的損失。
1.2網絡應用
當前存在于網絡應用中的安全隱患主要有網絡協議、傳輸線的破壞等等。而其中利用網絡協議漏洞進行攻擊是其中非常常見的威脅。如果網絡協議出現了漏洞,黑客就可能通過病毒對系統發起攻擊和感染,以竊取用戶的信息。
1.3數據庫管理系統
數據庫管理系統中存在的安全威脅主要是用戶對數據庫自身的設計不合理導致的管理系統漏洞。同時,分級管理的理念也導致數據庫管理存在一定的安全隱患。從而導致客戶信息被盜,賬號密碼丟失等問題。數據庫病毒威脅是不法分子攻擊和獲取客戶信息的主要手段,造成大量無法追回的經濟損失。
2數據加密技術的相關理論
2.1數據加密技術概述
所謂計算機數據加密技術,是指根據確定的密碼算法將明文數據或信息轉換為具有密鑰的信息設置。采用數據加密技術可以有效達到對數據進行保護的目的。當前主要利用的數據加密方式主要有端口加密、鏈路加密以及節點加密等等。對于一些金融機構來說,數據加密技術的應用更加廣泛。
2.2數據加密技術的主要類別
計算機數據加密技術主要有兩種主要的類別,一種是對稱加密技術,另外一種是非對稱加密技術。對稱加密技術又稱之為共享密鑰加密,其和人們的日常生活聯系最為緊密,其中DES、AES以及IDEA是其主要的三種加密方式。而DES數據加密是對稱的64位數據分組密碼,二元數據加密主要采用該種數據加密方式。在對稱加密技術的工作方式下,接受方與發送方分別進行解密、加密的過程,而在該過程中存在一個共用的密鑰,如果數據傳輸過程中密鑰沒有泄露或者丟失,數據的安全就不會受到威脅。而對于非對稱加密技術來說,又稱之為公鑰加密,其要求數據通信的雙方必須同時進行加密和解密,而其中所使用的不對稱密鑰被分成了公開的密鑰和私有的密鑰兩種類別,而當前的網絡技術又不能通過公鑰推算出私鑰,因此,可以有效保證傳輸信息的安全性。
2.3常用的數據加密算法
目前應用最為廣泛的數據加密算法主要有循環移位操作方法、置換表及其升級算法循環冗余校驗法以及數據簽名認證技術等等。在這幾種算法中,循環冗余校驗法的應用是最為普遍的,其主要是應用網絡數據包中的16位及32位散列函數進行計算和對信息的存儲和校驗。在電子商務系統中,該中加密算法有著很廣泛的應用,即使在數據傳輸通道受到干擾的情況下有著很好的效果。而隨著數據加密技術的應用不斷發展,逐漸出現了數字簽名認證技術,其是一種更高級的數據加密技術。在數字簽名認證技術中,有效運用了加密原理和密鑰的計算方法,能夠確保網絡的安全運行。數字認證技術是一種非對稱的數據加密算法,用戶必須在保障基本信息的正確性基礎上才能進行登陸,而且雙方保存有公用密鑰數字簽名和私人密鑰數字簽名兩種。
3數據加密技術在計算機安全中的具體應用
當前,計算機在我們的日常生活中扮演了非常重要的角色,與其說使用計算機,不如說使用計算機進行各類軟件進行運行。軟件的運行很容易受到黑客的攻擊或者病毒的感染,因此,可以運用數據加密技術遏制該種現象的產生,在軟件的運行過程中進行加密,當需要運行軟件時,相關人員對加密文件進行檢查,如果發現有病毒進行運行,則可以采取隔離或者清除的做法。
再有,目前我國的電子商務發展迅速,對人們的生活和工作都帶來了巨大的影響,由于網絡平臺是電子商務運作的重要依托,因此,如何才能規避網絡安全風險,保證交易安全是需要進行重點考慮的問題。在電子商務運行過程中應用最多的數據加密技術主要有SSL安全協議、數字證書、數字簽名以及SET等,并且獲得了很好的效果。
數據加密技術的另外一種應用是對虛擬專用網絡的數據安全保障。當前,很多企業和事業單位都建立了自己的局域網,其很多分支機構需要共用一個專用路線來滿足局域網的聯合和廣域網的建設,從而形成了大量的虛擬專用網絡。而對數據加密技術的應用,主要是在數據傳輸過程中,把虛擬專用網絡保存在路由器中,并進行路由器硬件加密,然后把數據以密文的形式在互聯網中傳輸運行,接收方路由器接收到密文后,自動解密成明文供接收者閱讀。
4結語
綜上所述,隨著互聯網的進一步發展,以及計算機網絡安全面臨著更加多樣化的威脅下,隨著數據加密算法的進一步完善,數據加密技術必將發揮出更大的作用,從而進一步促進信息數據與效益的整合。
參考文獻:
[1]孫建龍.計算機信息數據的安全與加密技術研究[J].電子技術與軟件工程,2015(11):227.
篇3
1.電子商務與移動電子商務概念
電子商務(ElectronicCommerce,簡稱E-commerce)是在因特網開放的網絡環境下,基于瀏覽器或服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付,以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。
移動電子商務(M-Commerce),它由電子商務(E-Commerce)的概念衍生出來,是通過手機、PDA(個人數字助理)、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業務、交易、購物、基于位置的服務、娛樂等。移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間,真正解決做生意的問題。
截至2008年4月,中國移動電話用戶合計5.84億,移動電話用戶數與固定電話用戶數的差距拉大到2.24億戶,移動電話用戶在電話用戶總數中所占的比重達到61.9%。移動電話普及率已達41.6%。
移動電子商務與傳統的主要通過桌面電腦網絡平臺而運行和開展的電子商務相比,擁有更為廣泛的潛在用戶基礎。當前,中國互聯網用戶雖然已經超過2億,但同時手機用戶卻相比多了3億多用戶,此外根據資料還有數量龐大的PDA用戶群,因此,移動電子商務具有比非移動電子商務更為廣闊的市場前景。
2.移動電子商務信息系統安全概念
移動電子商務信息系統安全問題是動態發展的,如防范病毒的措施,往往不可能一次成功更不可能一勞永逸。由于移動電子商務信息系統是以移動通信網絡與計算機網絡共同構建的平臺為商務活動平臺,因此它不可避免面臨著一系列的由移動通訊網絡和計算機網絡相關的安全問題。移動電子商務給商務活動帶來了諸多便利,如縮短了商務活動時間、降低了商務成本、提高了響應市場的效率等等。計算機網絡為主體的有線網絡安全的技術手段并不能完全適用于無線的移動網絡環境,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序,因此,有效抵制手機病毒的防護軟件目前還不是很成熟。
3.移動電子商務信息系統安全類型
移動電子商務信息系統安全威脅種類繁多,可以有多種可能的潛在面,既有蓄意違法而致的威脅;也有無意疏忽造成的安全漏洞。另外還有如:非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導致不同程度和后果的移動電子商務安全威脅。大體我們可以分為以下幾個情況:
第一,移動通訊網絡本身導致重要商務信息外泄:移動無線信道是一個開放性的信道,它給移動無線用戶帶來通訊的自由和靈活性的同時,同時也伴隨著很多不安全因素:如通訊雙方商務內容容易被竊聽、通訊雙方的身份容易被假冒,以及通訊內容容易被篡改等。在移動無線通訊過程中,所有通訊內容(如:通話信息,身份信息,數據信息等)都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取移動無線信道上傳輸的內容。這對于移動無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。在移動電子商務信息系統中商業機密的泄漏表現,主要有兩個方面:商務活動雙方進行商務活動的核心機密內容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務文件被第三方非正常使用。
第二,移動通訊設備傳播的病毒的侵犯:病毒是目前威脅移動電子商務用戶的主要因素之一,隨著移動網絡應用的深入擴展,移動電子商務的規模愈趨增大,移動電子商務用戶也越來越多地面臨著各類病毒黑客攻擊風險。與病毒齊名的是黑客侵擾和攻擊,由于各種網絡黑客應用軟件工具的傳播,黑客與黑客行為己經大眾化了,他們利用操作系統和網絡的漏洞、缺陷,從網絡的外部非法侵入,進行侵擾和不法行為,對移動電子商務安全造成很大隱患。
第三,移動通訊網路漫游而致的威脅:無線網路中的危害安全者不需要尋找攻擊對象,攻擊對象在某種條件下會漫游到攻擊者所在的小區。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書,攻擊者可以利用該漏洞來獲利。
第四,垃圾信息(或稱垃圾短信):在移動通訊系統及設備帶給廣大人們便利和效率的同時,也帶來了很多煩惱,其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學習。在移動用戶進行商業交易時,會把手機號碼留給對方。有的移動用戶喜歡把手機號碼公布在網上。這些都是其他公司獲取大量手機用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務充滿不信任和反感,而不敢在網絡上使用自己的移動設備從事商務活動。
二、提升移動電子商務信息系統安全的趨勢與必然性
1.移動商務是電子商務發展的必然趨勢
在未來幾年中,伴隨著無線網絡的日益普及,移動計算設備將變得很普及。計算機技術和無線技術的結合將成為最終趨勢,電子商務也將向移動商務過渡。中國在電子商務的發展方面要落后于發達國家,但隨著觀念的改變和技術的進步,中國越來越多地參與到世界經濟發展的各個環節。中國要想在商務模式變革的過程中取得成功,關鍵是要準確分析市場趨勢并把握市場先機。移動商務中關鍵的一點以用戶為中心,如果能成功把握住移動個性化方面的市場先機,則完全有可能成為移動商務的規則制訂者,從而擺脫以往的模仿。
2.我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性
2007年,全國電話用戶新增8389.1萬戶,總數突破9億戶,達到91273.4萬戶。移
動電話用戶在電話用戶總數中所占的比重達到60.0%,移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。
2007年12月中國互聯網絡信息中心(CNNIC)《第21次中國互聯網絡發展狀況統計報告》。報告顯示,截至2007年底,我國網民人數達到了2.1億,占中國人口總數的16%。調查反映出基于網絡的商務安全問題,調查網民對互聯網最反感的方面是:網絡病毒29.8%,網絡入侵或攻擊(有木馬)17.3%等。可以說我國2億多網民在網絡上,信息安全問題是比較普遍的,因此,我國高速發展的互聯網絡客觀上也要求提升商務信息系統安全。
美國安全軟件公司McAfee2008年公布的最新調查結果顯示,雖然手機病毒和攻擊現在還不普遍,但隨著越來越多的用戶通過手機訪問互聯網和下載文件,手機病毒出現的概率將越來越大。McAfee公司公布的調查結果顯示,只有2.1%的被調查者曾經自己遭遇手機病毒,而聽說過其他手機用戶遭遇病毒的被調查者也只有11.6%。McAfee在英國、美國和日本共調查了2000名手機用戶,結果發現86.3%的用戶對于手機病毒沒有任何概念。
當前我國移動用戶數保持世界第一,網民數為世界第二,我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性。
3.利用加密函數技術加強和完善高效高安全性的移動電子商務信息系統
在這個網絡互聯技術、移動通訊技術告訴前行的時代,信息安全尤其是電子商務信息的保密工作變得越來越至關重要,這無疑給密碼學的研究帶來了巨大推動。為提高移動通訊網絡與互聯網為平臺的移動電子商務服務質量,維護移動電子商務信息提供者的權益,信息安全越來越得到人們的關注。筆者認為,研究布爾函數各種性質,特別是研究對抵抗相關攻擊的相關免疫函數類、抗線性分析的Hent函數與Hash函數,無疑是具有很強的現實意義的。
(1)Hash函數加密技術概述及應用
Hash函數加密技術主要用于信息安全領域中加密算法,它能把一些不同長度的信息轉化成雜亂的128位的編碼里,叫做HASH值。Hash就是為了找到一種數據內容和數據存放地址之間的映射關系密碼學上的Hash函數是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。Hash函數可用于數字簽名、消息的完整性檢測、消息的起源認證檢測等。安全的Hash函數的存在性依賴于單項函數的存在性。Hash算法被普遍應用于數字安全的幾乎所有方面,如登錄辦公室局域網、進入個人郵箱和安全頁面都要用它來保護用戶的密碼;電子簽名系統利用它來認證客戶及其發來的信息。
(2)bent函數加密技術概述及應用
在密碼學中,為了抵抗最佳線性逼近,人們引人了Bent函數的概念,bent函數具有最高非線性度,在密碼、編碼理論等方面理論中有著重要應用,因而成為當前密碼學界研究信息安全保密技術的熱點。對Bent函數的構造可以分為間接構造和直接構造。直接構造方法主要有2種:一種是MM類;另一種是PS類,這兩種屬于直接構造方法。bent函數具有最高的非線性度,但它的相關免疫階為0,為了使bent具有更好的密碼學性質和實際應用價值,學者們提出了bent函數的變種,如Hyper-bent,Semi-bent等。
總之,移動電子商務信息系統安全是個多角度、多因素、多學科的問題,它不單要求從保密安全技術方面,同時也要求我們從技術之外的社會等因素考慮解決。
參考文獻:
[1]趙永剛:解析“三角經營商法”[J].商場現代化,2004(15)
[2]姬志剛:計算機、網絡與信息社會.科技咨詢導報[J].2006(20)
[3]邱顯杰:關于Bent函數的研究.湘潭大學[D],2002
[4]戴方虎等:Internet的移動訪問技術研究.計算機科學,2000(3)
[5]肖皇培張國基:基于Hash函數的報文鑒別方法[J].計算機工程,2007,(06)
[6]蘇桂平劉爭春呂述望:Hash函數在信息安全中隨機序列發生器中的應用[J].計算機工程與應用,2005,(11)
篇4
政府網站技術發展趨勢與標準應用/劉淑艷
淺談我國互聯網安全法律體系/陳曉航,李錦域
淺議新時期高校圖書館職能/尹娟
淺談條碼技術在我國零售業的應用分析/高首驪
CAMS組網技術在小區寬帶網中的應用/楊模和,張俊芳,徐明明
局域網中ARP攻擊與防御/齊新杰,姬月梅
物流管理信息系統與制造業企業ERP/蘇杭,曾盛綽
基于藍牙的WPAN無線Mesh組網構架/朱潔凈,呂光宏,吳明,聶煒瑋
基于實時擊鍵序列的主機入侵檢測系統研究/李苗,劉超
電子標簽 IT業的新寵/丁勇
JEE技術應用于BPR管理系統的優勢分析/趙紅,程云
淺談電子商務網站站內搜索引擎/趙園丁
網絡中ARP攻擊的發現與定位以及防御方法/祁蕓,張士輝
一類具有連通性探測功能的CNN研究與應用/靳慈偉,范俊杰,閔樂泉
安全與虛擬化技術將引領2009年技術市場
發揮計算機實驗室在人才培養中的作用探析/李強,曹毅,楊睿
網絡化條件下的金融教育改革研究/劉龍,宋丹
網絡環境下高校圖書館隨書光盤的開發與利用/肖志向,李國棟
基于Wiki的開放式協作學習教學模式研究/郭立紅,龔銳玲
基于SmarTele語音流程腳本語言構建IVR系統的研究/祁長興
Java程序到類圖和AISD的轉換方法研究/馬子睿,李生琦,宋麗娟
徹底解決文件“無法刪除”的問題
安全高效的財政綜合容災系統的構建/燕霞
盤點傲游貼心功能 輕松使用無比順手
三大攔截 兩大防御――瑞星2009主要功能體驗
酷我音樂盒 我的音樂獨一無二
巧用一起來音樂助手 聽流行音樂更省心
妙用PowerPoint 2003刻錄多媒體光盤
為PPT2007幻燈片添加不間斷的聲音
安裝ADSL注意事項
自動播放插入到Word文檔的背景音樂
VISTA利用組策略更改設置
把危險擋在外面:路由安全設置步驟
保護到家:快捷圖標也不能隨意刪
新手設置Windows Vista自帶防火墻
絕對實用:解救中病毒的U盤
只需一招就可清除隱藏病毒
QQ病毒的手工清除方法
菜鳥必學安全上網之“防毒八法”
第2期 總第253期
網絡出版的利弊分析及發展對策研究/眭蔚
網絡安全防范與加密技術的實現/吳子勤,魏自力,張巍
電子商務專業教學實踐周方案設計一例/張博
淺談視頻監控系統在工業生產中的應用發展/王爽
銀行業信息系統風險控制及其審計方法/張云志,張 震
淺析泛在網絡的成長與發展/李文清
實現無線網絡隱身的對策探析/魯 娜,翟錦河
網絡信息安全淺析/華冰
呼叫中心系統技術的應用研究/關德君,楊 政
小學計算機房規劃與管理/金哲維
淺析校園網安全問題及應對措施/趙玉秀
網絡常見的幾種故障診斷/李 強
簡述ARP原理與防范/王斐人,李 毅
搜狗拼音輸入法4.0搶先體驗
師出同門 KMPlayer二代PotPlayer全程試用
一個XP使用者眼中的Windows 7
IE8 Partner build功能及性能體驗
彈指如飛 Excel高速輸入的技巧
QQ所有用戶可離線傳輸文件
QQ好友不在線 自定義表情照樣發
用好QQ關鍵文件 助你玩轉QQ
常用重要數據的備份與恢復技巧
Windows Live 9常見安裝問題解答
用Windows PE找回丟失的管理員密碼
教你十二招DVD刻錄絕技
教你巧妙去除快捷圖標中的小箭頭
Nero光盤刻錄方法詳解
電腦系統維護小知識
Windows XP下將DVD刻錄盤變成移動硬盤
一些快速準確搜索資料的技巧
Windows XP的一個秘密武器
如何阻止Windows XP藍屏發生
巧妙讓顯示器遠離黑屏“騷擾”
三招給系統“添加刪除程序”提速
七種影視截圖截屏的小方法
絕對不可錯過:WinRAR三種安全戰術
揭秘C盤文件 避免系統無法啟動
防火墻還是要和殺毒軟件一起用
教你認識到快速關機的危害
第3期 總第254期
黑龍江省數據交互平臺建設策略/施松
淺談CIO/陳亮,梁興華,鄭雄,丁龍先
高校人力資源管理信息化的思考/王勝,趙維玲,王艷敏
數據中心2.0時代 讓我們贏在起跑線上
別讓網絡成為企業前進的“絆腳石”
工業工程在制造業信息化建設中的作用/,張鳳榮
淺談市級國土資源信息化建設/高福江
稅務管理信息化問題的探討/郭崢
Web服務的事務處理技術及其應用模式/盧守東
利用Windows XP系統工具處理音頻/郭美娜
淺析網絡安全技術/孫文良,劉文奇,叢郁,蘇華
技術與管理并重 提高內網安全/衛徐剛,王峰,張靜,相榮娜
金融風暴來襲 企業如何減少網費開支
辦公自動化系統的數據庫安全/劉淑艷
關于計算機專業外語教學的幾點思考/魏栩,邊麗英
基于Web技術和XMLBeans的SOA研究與實現/杜理政
對銀行業IT審計項目組織實施方式的幾點思考/張震,張云志
ACPI錯誤提示的分析與解決/呂延崗,李斌,習亞峰
一網打盡 802.11n無線路由常見問題解答
選擇高性價比無線路由有訣竅
搜狗拼音4.0比拼QQ拼音1.6
讓迅雷在Windows 7中下載如飛
帶我上天入海游太空――Google Earth 5.0全面試用
保障無線網絡安全的小技巧
殺毒之后Windows桌面不顯示之謎
輕松除去Word2003頁眉中的下劃線
教你用快車互傳文件 快樂分享資源
十大家庭寬帶共享上網組網方式
使用USB線纜的一些注意事項
巧用eMule實現大文件傳輸/尹大偉,李見偉
自己動手維修電腦常用的工具
多種方法教你找到電腦中隱藏的入侵黑手
躲避危險:不做黑客肉雞的七大高招
拒絕打擾:屏蔽QQ群消息
對癥下藥:搶救被入侵的系統
按F8鍵也進不了安全模式的解決方法
合并QQ聊天記錄
讓被病毒惡意隱藏的文件重現
手動去除QQ2009廣告和插件的方法
第4期 總第255期
黑龍江省綜合數據庫總體框架設計/施松
淺談我國制造業信息化的現狀與發展/田野,張鳳榮
人力資源管理信息化及其應用/趙維剛,金炳權,鄭世杰,王艷敏
數字化學習港學習資源平臺的設計與構建/牛國新
無線網絡問題不用慌 用戶自我排錯指南
數字家庭成為趨勢
無線網絡頻繁掉線的三大“殺手”
拋棄網線 復式家庭無線組網方案實戰
基于PDA的庫房管理系統的開發與應用/可榮博,王鐵寧
高職院校計算機軟件專業人才培養方案/劉輝
數字化校園一卡通系統的數據安全管理的研究/傅慧
淺談政府門戶網站互動平臺的建設/段湘寧,王曉剛
淺談基于實現的OA系統/趙正德,婁劍,侯曉宇
基于的個人博客網站/黃瑩娜,劉源,項仁平
網絡性能測試仿真方法研究/周君,王傳喜
語音室的規劃和管理/錢雁群
數字簽名技術解析/文曉暉
淺析CPU維護及優化技巧/陳麗
淺析3S技術在國土資源執法監察工作中的應用/裴曉麗,高福江
e-HR推進企業人力資源管理信息化/董莉莉
中小企事業單位網絡安全解決方案/吳麗平,宋長青
計算機網絡安全與防護問題初探/謝波,胡霞,羅光增
黑客入侵方式及預防措施/王波,劉元文
淺談IP網絡視頻監控系統優勢及發展
修改兼容設置 解決無線通信標準異常
無線路由器工作異常的三謎三解
精準與互動――論網絡廣告投放的新思路/樊麗
HLA多聯邦橋接工具的實現結構/周君,張洋
基于WEB的館際互借與文獻傳遞系統的開發/劉源,黃瑩娜
基于單片機的GPS定位顯示系統/張海龍
偽距誤差對于GPS接收機定位解算的影響分析/劉元文,黃迎春
脫胎換骨 新引擎Safari 4亮點匯總
掛馬網站 網民安全新隱患
一種修改表數據的簡單方法/劉春紅
在Excel2007中身份證號碼的妙用/張鵬
玩轉酷我音樂盒的歌曲播放隱藏技巧
簡單三招:巧用鍵盤快捷鍵控制音量大小
讓新顯卡兼容老顯示器
用鼠標右鍵判斷QQ是否中了木馬
第5期 總第256期
淺談計算機軟件領域中的哲學問題/劉春紅
項目管理信息化在電力施工企業的個性化應用/夏孝俊
實現企業人力資源信息化,提升核心競爭力/董莉莉
樓宇自動化控制/劉洋,劉景福
數碼相機的一些基本概念及其應用/何羽佳
校園網中網絡流量管理控制技術應用初探/胡俊
基于AJAX技術的電子商務系統研究及應用/王譯
網上虛擬孵化器服務系統研究與實現/王素芬
醫院智能化網絡建設探討/張鑫,邵華民,唐龍凱
淺談高校網絡安全體系建設/劉鍇
淺析科技信息資源的整合與共享/任軍,姬有印
構建高可用校園網/張毅
淺談入侵檢測系統在網絡安全預警中的實現/邵學海
基于H.323協議實現局域網嵌入式語音通訊/張學軍
信托公司信息系統的構建及會計核算系統的設計/李月英
基于WEB數據庫安全的訪問技術/白斌
在線考試系統中的關鍵技術/胡曉宏,薛京麗,劉紅杰
深入研究 2.0導航控件/趙正德,莊浩,侯曉宇
淺析C++與C語言的幾點聯系與區別/陳海蕊,郝世選
個人電腦安全淺析/王海燕,王鈞生,馮 楠
Java多線程編程技術的研究/吳金秀
技術戰略聯盟績效評價指標體系設計初探/馬紅
關于企業集團財務管理網絡化的探討/李木西
SAN架構在圖書館網絡存儲中的應用/劉源,黃瑩娜,楊春欣
JSP連接Access數據庫/谷鐵濤
淺談網站機房建設解決方案/王曉剛,段湘寧
HLARTI大數據量數據采集與過濾方法研究/周君,王傳喜
淺析計算機網絡安全/烏小茜,王千龍,馬星
基于.NET的超聲波定位系統的開發/李蓓
基于Web應用的業務重組與系統實現/晁勝利
都是升級惹的禍!――升級IE8后傲游怪現象解答
讓筆記本電腦的電力更持久
休息時播放DV:巧設Vista個性視頻屏保
玩轉UUSee常規設置 打造個性觀影平臺
用Vista家長控制功能防止孩子沉迷網絡
不關迅雷也照樣省資源
詳解Vista在非常規狀態下數據備份策略
防關鍵文件被篡改:巧用瑞星為系統加固
關閉數據執行保護 提高Vista系統兼容性
第6期 總第257期
“沈撫同城化”后沈撫經濟總量及三次產業發展預測/王永輝
淺談電子商務下的中小物流企業發展/符蕾
數碼攝像機及電腦非線性編輯的一些概念/何羽佳
基于行為特征的惡意代碼檢測方法/許敏,趙天福
存儲容災的腳本化實現/蔡春哲
表面工程技術服務項目中的專家咨詢模塊分析/蔣超,彭位增
礦山綜合信息管理系統初探/寇大明
基于MapX的公交查詢系統/胡冰
Windows TDI通信監控的一種hook方法/金玉榮,楊奕
淺談網絡交互技術在現代遠程教育中的應用/曾三明
網上數字簽名技術安全認證的實現/吳子勤,魏自力,徐軍
局域網應對搜索軟件的防范策略/趙飛,趙日峰
計算機網絡安全威脅及防范策略的探討/蔡曉蓮,李平
在數據庫中實現行粒度的權限控制/曾杰,張艷梅
營銷管理系統――銷售管理子系統的開發/李蓓
用PLC來實現對自磨機系統的控制/張寶秋,趙彥
網絡流量監測系統設計/左靖
關于分散型工作流設定的模型和基礎結構/莊兵,李國瑞,陳卓
計算機與人工智能/高海,董硯秋,郭巍
病毒檢查、識別與手工清除方案/于本成,慕東周
新技術下的網絡安全/陳君霖
網絡信息安全技術探究/方獻梅,高曉波
論Java技術的未來與發展/張博
基于人工神經網絡的信息處理/耿巖,董硯秋,郭巍
計算機網絡技術在外語教學中的應用/卜澤艷
如何在路由器上配置RIPv1協議/程林
光網絡發展 應對新業務需加快智能化
移動無線通信技術未來發展趨勢展望
解析無線網絡弊病 化解無線安全威脅
娛樂也要安全 剔除電影中暗藏的木馬
關閉系統端口 拒絕黑客入侵
增強企業網絡安全性的簡單方法
防火墻選購必讀
漫談Windows 7對固態硬盤的優化
小心:你的文件正在被迅雷“盜竊”!
U盤安裝Windows 7的方法
5種現象預示硬盤將要出現故障
用攝像頭做監控設備
哪種家庭網絡更適合你
第7期 總第258期
信息時代會計電算化發展存在的問題及發展趨勢/陳穎
界面清新功能實用――搜狗輸入法4.2新功能體驗
IPTV的勝利 三網融合發展夢想照進現實
淺議計算機犯罪的幾個問題/蔡曉蓮
無線局域網安全性淺析與防范/陳濤,陳綿獻,周超,許江龍
克隆是首選 批量安裝系統有妙招/涂天劍
論建筑智能化管理系統的分布化、綜合化和動態化/劉景福,劉洋
多媒體觸摸屏查詢系統在校園信息化管理中的應用/袁向英
基于Hilbert-Huang變換的非平穩隨機信號處理/王海濤,宋藝
輕松明白網絡IP地址以及子網劃分問題/程林
土地資源執法監察監管平臺的設計研究/劉峰,劉國華
如何建設電子商務的信用體系/王譯
遼寧省12000二維電子地圖的制作及應用/忻欣
TCP/IP協議的安全性分析/張霞
財政系統網絡信息安全建設淺析/劉暉
基于免疫的入侵防御模型研究/陶晶
淺析電子政務信息安全/周萍
常見路由器測試的類型和方法
拒絕木馬入侵 四大絕招來防護
美國專利的特點及其檢索/孫蔚
使用pathping分析網絡連通情況和性能/平
自動交換光網絡的現狀及發展趨勢分析
構建視頻會議系統技術之IP網絡/趙日峰,趙飛
玩轉QQ信箱:發出去的郵件也能收回
讓局域網網絡設備遠離非法共享
掉線不愁 ADSL掉線疑難雜癥逐個揭秘
教你用QQ輕松截取動態視頻圖像
讓QQ輕裝上陣 減少QQ占用的系統資源
確保Windows 7文件系統穩定兩則
Windows 7虛擬XP模式存在六大缺陷
C盤分區多大最好?高手給你建議
認準需求來選擇無線網絡設備
如何助企業建立起安全可靠的網絡環境
無線網絡產品選購要點
惡意網站掛馬手段技術詳解析
啟動鼠標隱藏的功能
輕松架設無線網絡打印服務器
誤將Ghost分區恢復到整個硬盤怎么辦
解析4GB內存無法識別問題
第8期 總第259期
淺談連鎖經營企業的信息化建設/符蕾
無線網絡互訪故障的現象及應對技巧
沒有殺毒軟件如何讓系統百毒不侵
BT之后是電驢――網際快車3.0電驢功能實測
中國海油資金和預算管理系統/胡悅嘉
紅外攝像機概述及系統設計/
網絡防火墻安全訪問控制的實現/邵學海
大學英語網絡平臺建設的探討與實踐/李慶新
離線編程系統研究/張春斌
從一例循環程序談C語言的學習/趙俊玲
無線局域網穩定性淺析與舉措/許江龍,陳濤,陳綿獻,周超
Linux下共享寬帶上網/徐波
學生機房常見故障分析與排查/涂天劍
RFID安全解決方案研究/項東吉,趙楠
Packet Tracer模擬器在計算機網絡理論教學中的應用/郭忠
計算機網絡信息安全防范/楊龍月,宋輝,烏小茜
一個密碼暴力破解系統的設計/郭鳳宇,錢怡
淺論數據倉庫技術/賴小平
簽名體制的研究及應用/姜樺,郭永利
思科網絡設備密碼恢復研究與實踐/王峰
博客網站使用報告/黃敏
應用Excel實現成績統計與試卷分析/陳智勇,王海娥
主動紅外探測監控器的有效性驗證/劉越
政府辦公系統計算機網絡的安全性/趙日峰,趙飛
醫院信息系統內網安全技術研究/胡曉捷
Linux服務器群集在校園網絡中的應用/樊蓬
淺談商業銀行小額支付系統框架及賬務處理/周斌
淺析校園網站安全的幾點看法/于瀛軍
數據遷移技術在房產產權交易系統中的應用/呂開宇
網絡通用在線考試系統研究與設計/方獻梅,高曉波
工作流信息圖示方法的設計與實現/杜梅,周傳生
雙向轉發檢測 診斷路由器日常轉發故障
解析如何評估并且部署Web應用防火墻
了解基本測試命令 輕松應對家庭網絡故障
如何更好享受網絡 3G無線上網小指南
幾種防范網站被掛馬的方法
教你安全專家常用的漏洞分析方法
八種加密方法保護光盤數據不被盜竊
劣質電源對系統的殺傷力不容忽視
第9期 總第260期
房產行業績效考核信息系統設計方案/呂開宇
電纜受損 MSN服務中斷?UC幫你忙!
普通視頻轉手機視頻――QQ影音截取轉換兩步走
詳解Google Voice美國全境電話免費打
QQ旋風邊下邊播
虛擬現實技術在輔助課堂教學中的應用研究/劉世彬,劉興彥
基于網格的教育資源共享的研究/孫寧,劉丹
中國海油公文一體化系統/胡悅嘉
Web服務的狀態管理技術及其應用模式/盧守東,劉聲田
信息化條件下炮兵訓練模擬的基本內涵/劉興彥,劉世彬
決戰2010!四款最熱殺毒軟件2010版橫評
軟件侵權及保護措施分析/李健
網絡安全管理 先從入侵信息收集開始
連鎖超市有“神眼” 安防管理齊提升
潛伏定時炸彈 邊界網關協議不可忽略
遭遇掛馬網站應該如何處理?
找回因錯誤分區或GHOST后丟失的數據
Web內容安全過濾 需注重多層次管理
智能化管理網絡 讓管理員工作更省心
路由器上網行為管理功能淺談
如何讓你的網站更有可閱性?
基于多agent的電子商務應用/夏勇,金衛健,田華
思科Pix防火墻、ACS服務器組建VPN/王峰
交換機發生errdisable故障怎么辦?/吳小蓉
無線網絡新時代 802.11協議全接觸
正確選擇多WAN路由器的六大關鍵問題
無線網絡斷網修復技巧
重視網絡安全 實測無線路由器安全功能
本地連接中“修復”功能實用兩例
解決無線上網死角的策略
DVD淘汰后,我們該何去何從?
解密“高清播放器”
巧妙利用三招保護局域網中的IP地址
C盤系統壞了,但數據都在C盤里怎么辦?
購買主板幾個最先考慮的條件
啟用自然語言提高Vista系統搜索效率
驅動器頁面文件大小的總數為何總是0?
Windows 7安裝方法及原理
關于系統還原軟件的一些誤導宣傳
第10期 總第261期
用公共網絡高效運作公共技術服務平臺/劉偉,馬建羽
進一步加強非現場審計工作的思考/崔凱
上的不是網站是QQ――網頁版QQ評測
拼音輸入法詞庫廣度及選詞精度全測試
我國物聯網標準形成 未來實現智能家電
國內免費網盤多參數橫向評測
電子商務安全性淺析與探索/趙永堅,何樹華,周超,黃海
基于Domino的辦公平臺Web應用改造/胡悅嘉
3G通信技術在移動圖書館中的應用/呂英
細分行業門戶網站的生存模式探索/蔣超,彭位增
網絡技術中的信息可視化研究/劉世彬,包雪峰,劉央瑞,劉興彥,張健
智能化校園前期規劃應注意的若干問題/徐波
科技基礎條件平臺信息資源共享規范的研究/姬有印,任軍,陳國棟
NS2在計算機網絡課程實驗教學中的應用研究/程立,張浩軍,王珂
基站網絡優化受理系統研究與設計/施媛
針對視頻流量的網絡優化解決方案/王峰
嵌入式軟件測試工具LOGISCOPE/郭群
政府門戶網站流量分析與診斷系統的功能運用/趙睿
淺談網站建設項目管理的方法/劉曉知
非線性編輯局域網文件安全上傳管理系統的設計/項海飛
IBM NAS N5200系統的部署與應用/王銳
Web課件設計中的人因學因素/王麗莉
網絡化教學平臺的設計與分析/孫小英
移動存儲介質在政務內網中的安全使用/王鋒
基于RDF的資源描述與共享方法的研究/蘇天醒,范春曉,鄒俊偉,吳岳新
搞好信息網絡基礎管理工作淺析/衛徐剛,王峰,張靜,相榮娜,馮永紅
網絡課程的教學交互設計探究/強麟
淺析化學實驗分析結果在互聯網上的共享使用/高幸
緊急恢復受損的Windows系統
Windows 7中絕對不能關閉的10個服務
教你十二個奇妙的WinRAR另類技巧
延長硬盤壽命!――磁盤碎片整理工具推薦
識別病毒文件的四個非常不錯的方法
輕松使用組策略限制磁盤文件的訪問
系統優化 20秒快速完成XP的啟動
用注冊表優化NTFS 提升電腦性能
關閉常見木馬和未授權控制軟件的方法
Windows XP無需升級Windows 7的五大理由
在Excel表格中鮮為人知的照相機功能
第11期 總第262期
淺析會計信息化發展/韓延風
QQ 2010細節完全體驗
谷歌金山詞霸2.0 進入寫作翻譯時代
邊下邊播 統籌帶寬――迅雷看看播放器新版解析
PDF文檔處理 Foxit Phantom新體驗
QQ影音1.6嘗鮮 歌詞功能闡述簡約之美
高校人才培養方案管理系統的研究與設計/蔣秀蓮,劉凱
一種WAP分頁顯示方案的設計與實現/劉聲田,盧守東,劉忠強
表面工程信息服務平臺安全策略/彭位增,蔣超
電子文件的跨平臺集成管理與網絡化綜合利用/欒祿祥
網絡安全如何保障 整體聯動方案是關鍵
網站Access數據庫安全性的幾點技術探討/石紅春
高校多媒體語音室的規劃與管理/李洪民
企業信息安全研究/劉麗然,蘇成
網絡教學資源整合模式探析/韓建彬
11款極酷Chrome瀏覽器插件推薦
無線時代來臨 802.11n尚待企業考量
普通用戶也能給QQ網絡硬盤加密
對付惡意網站詭計的必殺絕招
搜狗瀏覽器1.4正式版評測
使用命令提示符 強制結束惡意系統進程
迅雷下載到99%不動了怎么辦?教你曲線救下載
利用Google給自己的網站加上投票功能
為你揭開Photoshop中隱藏的快捷鍵
揭秘Windows 7至關重要的隱藏分區
Windows 7各版本詳細功能對比
Windows 7庫使用技巧:把文件收藏起來
多系統共用字體信息小技巧
殺毒軟件能解決互聯網安全問題嗎?
Word文檔快速保存與完全保存的區別
教你在Word中統計文章字數的方法
讓Word表格任意縱橫的實用方法
將PowerPoint文檔轉換為Word文檔
有備無患防泄密 將U盤設置為只讀方式
禁止私密文件被人拷貝
挖掘Cookies背后的安全隱患
無聊又危險:用惡意網址探QQ隱身好友
怎樣建立和刪除系統隱藏賬號
讓Windows XP不再出現內存讀寫錯誤
第12期 總第263期
關于加強土地市場信息化建設工作的思考/胡友斌,沈昊
稅企的“動車族”――便捷的網上申報/高永梅,劉長勇
高性價比!2009年最好的家用卡片機盤點
Android漸成氣候,Gphone星火燎原
淺談中小企業財務管理的策略及目標/趙凱
網絡實名制應當緩行/張祖喬,李娟
淺談網絡視頻廣播技術/王家樂
淺淡制藥生產企業網絡系統的建設/陳琦
多臺電腦的管理及維護/姜陽,張軍
基于狀態的包過濾規則在網絡中的應用/王宏濱
深化課堂教學改革 提高計算機課堂教學質量/朱 俊
API函數在計算中英文混合字符串長中度的應用/王玉賢,趙輝
機床溜板運動精度光電系統設計/白雪,付生力
氣動模切壓痕機的控制系統設計/孟繁斌,王冠五
玻璃板自動裝箱機控制系統設計/湯淼,齊濟源
淺談虛擬化工作原理
用戶怎樣選擇虛擬化解決方案
服務器虛擬化技術與分區的本質區別
勁熱排行 近期最受關注服務器導航
打造企業無線辦公 精品無線網卡推薦
無線路由器ARP攻擊故障排除技巧
一步步教你搭建無線局域網
網上辦公新體驗――看百會在線Office能否讓你告別微軟
一分鐘,你就能成為《網絡與信息》的封面明星!
10招讓你馬上成為Word文檔編輯高手
史上最牛輸入法?――搜狗云輸入法體驗
快速找回丟失了的QQ好友
木馬清理王:遠離木馬的強力保障
打開U盤的最安全方法
兩款U盤病毒專殺工具
Windows 7 給了用戶多少升級的理由?
你的電腦能不能升級Windows7,請“升級顧問”來幫忙
關于Windows7的用戶賬戶控制(UAC)的全解析/馬良緣
專家解答Windows 7安全問題
三個細節體現出Unix操作系統的安全性
搶奪Windows7專利 讓XP也玩自動換壁紙
更好地支持Windows 7新功能 迅雷新版完全解析
篇5
曲簫揚 長江職業學院 430074
【文章摘要】
隨著社會科學技術的不斷發展以及智能手機的逐漸普及,社會大眾越來越關注4G 移動通信的相關技術。在本文中,簡單闡述了4G 移動通信技術的基本概念,并介紹了相應的通信系統和比較核心的技術,此外,還具體剖析了4G 移動通信技術存在的安全方面的一些問題,并提出了一些相應的有效解決策略。
【關鍵詞】
4G ;移動;通信技術;概念;安全;系統;策略
全球上第一代的移動通信系統是在上個世紀的美國研制成功的,進而拉開了移動通信時代的序幕,同時在逐漸進步的科技當中得到了快速的發展。一直到現在,4G 移動通信網絡在移動通信這個領域開始嶄露頭角,與3G 移動通信技術相同,都廣泛應用在世界的范圍之內。相比于2G 移動通信,3G 通信系統有著許多方面的優勢,但是在電路交換、統一標準、業務管理、接入速率、網絡安全以及視頻應用等各個方面都出現了不足,所以,人們將大部分的希望寄托于4G 的移動通信。
1 簡述4G 移動通信技術的基本概念
一般來講,4G 移動通信技術能夠被定義成分布網絡以及廣帶接入,它的非對稱的那種數據傳輸的能力應該保持在2Mb/s 以上,能夠對4G 移動通信的相關用戶提供大概150Mb/s 的清晰視頻的相關服務,還能夠實現傳輸三維圖像。同時, 4G 移動通信能夠實現兩個不同的頻帶網絡或者無線平臺之間的無線傳輸,并能夠不分地點時間,可以對互聯網寬帶進行隨時介入,除了網絡的基本信息之外,還能夠為用戶有效提供數據整理、地點定位以及遠程遙控等各種功能。除此之外,4G 的移動通信系統也屬于是一種更加高級的移動寬帶的通信系統,具體的特點是多功能進行一定的集成,屬于寬帶接入的一種IP 系統。
2 4G 移動通信的相關系統
2.1 接入系統
一般情況下,4G 移動通信網絡的接入系統主要包括:1)無線系統(比如DECT 等);2)無線的蜂窩移動通信系統( 如2G 等) ;3)短距離的連接系統( 例如藍牙等) ;4)固定無線接入以及無線環路系統;5)無線的局域網系統;6)相應的衛星系統;7)有線系統;8)廣播電視的接入系統( 如DVB - T、DAB 等) ;9)STS 平流層的相關通信系統。同時,4G 移動通信網絡的相關接入系統存在的比較顯著的特點為:智能化的模式終端在一定程度上基于公共的一種平臺,利用各種相應的接入技術,實現網絡平臺間的協作以及無縫連接,運用最優化的工作方式有限滿足用戶的各種需求。
2.2 核心網絡
通常來講,4G 移動通信系統當中的核心網是基于全IP 的一個網絡,也就是基于IP 的網絡維護管理、基于IP 的承載機制、基于IP 的應用服務以及基于IP 的網絡資源控制。相比于3G 移動網絡,4G 移動系統有著很多根本性的優點,具體表現為:能夠實現不同網絡之間的無縫連接。其中,核心網相對獨立于無線接入的具體方案,可以有效提供端、端之間的IP 業務, 可以兼容已經存在的核心網。核心網有著相對比較開放的一種結構,基本允許空中接口可以接入到核心網;此外,核心網可以將傳輸、控制以及業務等分開。
2.3 移動終端
我們知道,4G 移動通信系統的特征在一定程度上決定了4G 移動通信系統的移動終端和3G 系統的不同。而4G 移動終端應該可以有效支持廣帶寬以及高速率的相應要求,與此同時,4G 移動通信終端還應該能夠保證可以適應不同的QoS 指標要求、不同的空中接口要求以及終端用戶在移動性能方面的一些要求來對用戶的相關需求進行一定的滿足。為了能夠對不同的空中接口進行兼容,那么移動終端應該具備更新軟件方面的能力,并能夠利用軟件的下載來實現更新。除此之外,在4G 系統當中,存在著多樣化的終端形式, 化妝盒、手表或者眼鏡都有一定的可能會成為4G 系統的終端。在未來,4G 移動終端會具有下面的一些具體特征:1)更高的網絡聯通性( 無線設備能夠利用Adhoc 方式來進行組網) ;2)更強的交互性能( 更加方便的網絡和個人接口) ;3)更加豐富的個性化服務( 更加支持GPS 定位、蜂窩電話以及尋呼等業務) ;4)更強的安全保障功能( 比如嵌入式的那種指紋的認證) ; 5)更強的動態自重構的能力( 能夠對業務要求和網絡條件進行自我適應) ;6)更強的識別語音的功能。
3 4G 移動通信的相關技術
通常來講,4G 通信技術主要包括MIMO、OFMD 以及智能天線等一些技術, 有著信息量比較大、可容性比較強以及傳輸速度非常快等各種優勢。4G 移動通信相比于3G 來講,有著相對比較高質量的視頻通信,有著清晰化的視頻圖像以及高速率的傳播,能夠為視頻通話以及直播論壇等有效提供更加穩定的一種信號支持, 與此同時,使用沒有固定地點的無線網絡服務來有效提供定時、通訊定位、遠程控制以及信息收集等服務。
3.1 MIMO 技術
該技術的效能主要在于改善通信質量以及提升通信效率,設置多副發射天線并將其接入到天線當中來有效實現該技術的相應功能,本質上來講是以空間分集以及空間復用的增益作為信息系統來有效提供支持,這就能夠使用空間分集的可靠性以及空間復用技術的容量性,實現支持信道。因為該技術的主要功能在于將比較傳統惡通信系統當中的衰落因素轉化通訊性能方面的增加,能夠實現提升傳輸業務的速率,從而可以有效實現提升無限通信的性能。
3.2 OFMD 技術
這種技術一般指的就是正交頻分復用的一種技術,屬于4G 技術的一種核心, 能夠把信道大體分成多個正交的子信道, 轉換高速數據信號為低速的數據流,進而實現調整每個子道方面的信息傳輸,這就會對頻譜效率進行有效提升,實現抗碼以及高速傳輸之間的干擾。
3.3 智能天線技術
智天線技術主要由天線陣、波束形成網絡以及波未形成算法三個部分組成, 基本功能為信號干擾防御,為了有效實現該功能,應該有效借助于各陣元信號的調整相位以及加權幅度,天線陣列方向的圖形進行改變的情況下將其抗干擾的功能有效實現,在該功能的相應刺激之下,該技術應該被應用到緩解資源、提升信息容量、提升通訊質量以及提升傳速當中。
4 4G 通信技術在安全方面存在的威脅
目前,存在著非常多的對4G 通信技術安全造成威脅的因素,最為主要的是一些無意識的人為的錯誤、故意的人為的破壞以及攻擊、泄露密碼以及系統的漏洞等一些因素,進行了如下的總結:
4.1 軟件安全以及應用系統方面的漏洞
網絡的瀏覽器以及網絡服務器出現問題是一種極其正常的現象,很難做到不出問題,由于它剛剛進行研制,目前還處在進行試驗的階段,還不是非常的成熟, 同時還因為存在很多人不能充分把握該技術等,很容易會出現很多問題尤其是系統方面的問題,死機屬于極其正常的現象,因此主要的問題是系統以及軟件的不成熟,應該對系統以及軟件進行大力研發。
4.2 黑客一般來講,黑客是編輯程序的人員, 他們可以進行程序的編輯以及系統的操作,同時具有非常高級的知識,并通過安全漏洞非法進入到他人的計算機系統之內,有著非常大的危害。 4.3 病毒
通常情況下,很多網絡方面的東西基本都比較怕病毒,所以4G 通信技術也存在這樣的問題,非常多的病毒會對傳輸路徑進行一定的破壞,進而在傳播的過程當中出現問題,會出現亂碼或者會接不到信號,根本不能預防病毒,只有對自己的系統進行更新,在一定程度上限制病毒,有效防止病毒入侵。
5 解決安全問題的有效策略
只存在檢查以及防范的通信系統對于保證可靠以及安全是遠遠不夠的,該系統還應該具有自動恢復以及抗病毒侵襲方面的能力。由于系統根本就做不到所謂的萬無一失,一旦發生檢漏以及防漏等事情,那么一定會產生災難性的結果。同時, 也不可避免天災人禍,這也會造成毀滅性的通信技術系統方面的破壞。系統容災技術,就算有系統災難發生,也會對系統以及數據進行快速的恢復,能夠有效完整地保護網絡信息系統方面的安全。
目前,主要是為了進行數據的備份以及基于系統容錯的一種系統容災方面的技術。在系統當中,最后的屏障是數據備份,不容許出現任何一點閃失。但是,離線的介質根本就不能有效保證不會出現差錯,數據容災進行數據安全的保證主要利用的技術是IP 容災技術,在使用數據容災時應該存在兩個存儲器,在兩個存儲器間建立復制方面的關系,同時,兩個存儲器不可以放在相同的地方,應該是分別放在本地和異地。放在本地的那個存儲器應該服務本地,供本地進行使用,而放在異地的存儲器應該進行關鍵數據的實時的復制以及備份。兩者之間通過IP 進行相互連接,會構成相對比較完整的數據方面的容災系統,同時也可以提供數據庫當中的容災功能。
6 結束語
隨著科學技術的迅猛發展,在對待通信的新技術時,我們應該有意識的保持更加的冷靜以及理智,一定不會有一帆風順的4G 演進的道路,未來我們會面臨著機遇以及挑戰。所以,我們應該抓緊進行先進軟件以及系統的研發,有效滿足現代時代的一些實際要求。
【參考文獻】
[1] 白曙光. 基于4G 移動通信技術的安全缺陷研究[J]. 中國新通信,2014(15):56–57.
[2] 李強. 芻議4G 移動通信技術與安全缺陷[J]. 通訊世界,2014 (1):34–35.
[3] 伍偉化.4G 移動通信技術與安全缺陷研究[J]. 信息通信,2014(9):78–79.
篇6
關鍵詞:無線公鑰基礎設施身份機密3G認證機構
1緒論
1.1第三代移動通信簡介及安全問題
移動通信經歷了三個發展階段:
第一代移動通信系統出現于20世紀70年代后期,是一種模擬移動通信系統,以模擬電路單元為基本模塊實現話音通信。主要制式有美國的AMPS,北歐的NMT、英國的TACS和日本的HCMTS等。
第二代移動通信系統(2G)出現于20世紀80年代后期,以GSM,DAMPS和PDC為代表的第二代數字移動通信系統。
第三代的概念早在1985年就由ITU(國際電信聯盟)提出了,當時稱為FPLMTS(未來公眾陸地移動通信系統)。1996年更名為IMT-2000(國際移動通信一2000)。前兩代系統主要面向話音傳輸,與之相比,三代的主要特征是提供數據、多媒體業務,語音只是數據業務的一個應用。第三代移動通信系統(3G)的目標是:世界范圍內設計上的高度一致性;與固定網絡各種業務的相互兼容;高服務質量;全球范圍內使用的小終端;具有全球漫游能力:支持多媒體功能及廣泛業務的終端。為了實現上述目標,對第三代無線傳輸技術(RTT)提出了支持高速多媒體業務〔高速移動環境:144Kbps,室外步行環境:384Kbps,室內環境:2Mbps)、比現有系統有更高的頻譜效率等基本要求。近幾年通信的飛速發展,使得現存的第二代通信系統已經無法滿足現有的人們的需要,主要表現為:
(1)巨大的移動通信市場和目前頻譜資源的有限性之間的矛盾日益突出,不能滿足工業發達國家和一部分第三世界國家(如中國、印度)大中城市手機用戶高密度要求。
(2)數據網絡和多媒體通信逐步和無線通信的可移動性相結合,因此移動多媒體或移動IP迅速發展起來,但第二代速率過低(9.6kb/s或57kb/s)與目前IP技術與多媒體業務要求距離甚遠,不能滿足政府、先進企業及新興“白領”階層對高速數據量的要求。
(3)不能實現全球覆蓋無縫連接。
(4)通信業務的安全保障不足。
隨著技術的發展,安全問題也越來越受到大家的關注,出于質量和效益的問題,移動通信的電勃具有較強的穿透力向各個方向傳播,易于被截取,或竊聽,其可靠性與安全性都有待加強。二十世紀八十年代的模擬通信便深受其害,由于基本上沒有采用什么安全技術,通信時的話音很容易被竊聽,盡管二代在安全性方面提出了較大的改進,采用數字系統,提出了身份認證,數據加密這一概念,系統考慮了一些安全因素,但絕大部分的安全規范是從運營商的角度設計的:防止欺騙和網絡誤用。但是依然存在許多安全缺陷。如單向認證,即只考慮了網絡對于用戶的認證而忽視了用戶對于網絡的識別,這種處理方法不能提供可信的環境,不能給移動用戶足夠的信心開展電子商務和交換敏感信息。而且隨著解密技術的發展,計算能力的提高,加密算法A5,已經證明能在短時間內破解。技術的成熟和移動數據業務的出現,用戶比以前更加關注移動通信的安全問題。因此,無線PKI的應用是解決安全問題的關鍵所在。
1.2PKI簡介
首先要介紹一下首先要介紹一下PKI(PublicKeyInfrastructure)譯為公鑰基礎設施。簡單地說,PKI技術就是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。公鑰體制是目前應用最廣泛的一種加密體制,在這一體制中,加密密鑰與解密密鑰各不相同,發送信息的人利用接收者的公鑰發送加密信息,接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性,又能保證信息具有不可抵賴性。目前,公鑰體制廣泛地用于CA認證、數字簽名和密鑰交換等領域。
在3G系統中,PKI的應用主要是WPKI,即無線PKI的應用。主要是用來進行網絡中的實體認證,來取得網絡服務商與用戶之間的彼此信任。除此之外,無線PKI還將用于數據加密,完整性保護,用戶身份的機密性等多個方面。
1.3本文主要結構及內容提要
本文在介紹現有3G接入網安全技術的前提下,提出了新的基于公鑰體制下的實現用戶身份機密性的方案。第一章緒論簡要介紹了移動通信的發展及面臨的安全問題,以及PKI的引入。第二章介紹了無線PKI的一些基本知識和相關的操作。第三章給出了現有的3G系統的接入架構以及已有的安全措施。第四章為公鑰體制下的認證方案。第五章在介紹了已有的一些身份機密方案以及其不足之后,給出了新的基于WPKI環境下的使用公鑰體制來實現的保護用戶身份機密的新方案。
本文最后對新的方案進行了總結。提出了相應的一些技術要求。
2無線PKI
2.1概述
在無線環境中的應用是PKI未來的發展趨勢,它的證書和身份認證是確保在開放的無線網絡中安全通信的必備條件。然而無線通信網絡獨特的特點使無線安全問題更趨復雜。如消息以無線電波的方式傳播,在一定的區域內都能很容易被截取和接收到;網絡接入點多,使任何人都能很容易地接入并對網絡發起攻擊;無線通信網絡是一個包括無線和有線兩部分的端到端的系統傳統的有線領域安全問題將依然影響到無線領域,傳統安全領域中抑制威脅的常用工具,在無線領域不一定有效。同時無線通信環境還存在著許多其他的限制條件,包括無線帶寬方面,目前大部分的無線通信網絡只提供有限的數據傳輸率;軟件應用于開發手機、PDA等移動通信設備的開發環境、工具還很有限,相應的應用程序也很少;硬件方面,終端市場中各廠家的產品差異極大,生命周期短更新速度快;同時移動終端設備計算能力有限,內存和存儲容量不大,顯示屏幕較小,輸入方法復雜等。所有這些特點及局限使PKI在無線環境中應用非常困難。為了最大限度的解決這些困難,目前已公布了WPKI草案,其內容涉及WPKI的運作方式、WPKI如何與現行的PKI服務相結合等。簡單的說,把PKI改造為適合無線環境,就是WPKI。
無線PKI是對傳統IETF基于X.509公鑰基礎設施(PKI)的擴展和優化,其在協議,證書格式,密碼算法等方面進行了一些改進,可以適應無線網絡帶寬窄和無線設備計算能力低的特點,用來確保通信雙方的身份認證、保密性、完整性和不可否認性。WPKI目前主要應用于WAP,所以又可稱作WAPPKI。WPKI以WAP網關為橋梁,分別提供終端到網關、網關到服務器的安全連接,以確保整個通信過程的安全。可以說WAP將無線網絡與Internet聯系得更為緊密,使得WPKI進一步發展和應用成為可能。
2.2WPKI體系
WPKI標準提供了WTLSClass2,WTLSClass3,SignText,3種功能模式[1]。
WTLSClass2模式:WTLSClass2提供了移動終端對無線網關的認證能力,具體的操作過程如下:(1)無線網關申請證書
無線網關生成密鑰對,向PKIPortal提出證書的申請;
PKIPortal確認網關的身份后,將消息轉發給CA;
CA簽發證書給網關。
(2)移動終端與應用服務器之間的安全模式1(兩階段安全);
移動終端與無線網關之間建立WTLS會話;
無線網關與應用服務器之間建立SSL/TLS。
(3)移動終端與應用服務器之間的安全模式2:(端到端的安全模式)
服務器申請證書
移動終端與應用服務器之間建立WTLS會話,無線網關只起路由器的作用,移動終端與應用服務器之間的通信對無線網關是不透明的。
WPKI的數字簽名(SignText)模式:SignText模式是移動終端對一條消息進行數字簽名后用WMLScript發送給服務器的過程,具體操作過程如下:
(1)移動終端通過網關向RA申請證書;
(2)RA對移動終端進行身份確認后將請求消息轉發給CA;
(3)CA生成用戶證書并把證書的URL傳送給用戶;
(4)CA將用戶的公鑰證書存放在證書數據庫中;
(5)用戶在客戶端對一條消息進行簽名,然后將這條消息連同對它的簽名,以及用戶證書的URL發給服務器;
(6)服務器通過用戶證書的URL從數據庫中找出用戶的證書來驗證用戶。
WTLSClass3模式:WTLSClass3是一種認證模式,從PKI角度來說,WTLSClass3認證和上述的SignText形式幾乎一樣的,差別是在第5步中,SignText模型是使用應用層簽名的方式來完成驗證,即用戶必須對服務器端發來的可讀消息進行確認,并附上自己的數字簽名,然后送回到服務器驗證,其中使用的公私鑰對必須是專門用來進行數字簽名的密鑰,而服務器端發來的消息也必須是可讀的;而WTLSClass3使用客戶端認證密鑰對簽名來自WTLS服務器的“挑戰口令”,所謂“挑戰口令”是指由服務器發送給客戶端的一些隨機數,需要由客戶端對其進行簽名來達到認證客戶端的目的,這些隨機數并不一定是可讀信息。簡單的說其主要的差異是客戶利用自己的私鑰對來自服務器或無線網關的請求進行簽名。
2.3WTLS
WTLS(無線傳輸層安全協議)是無線應用協議中保證通信安全的一個重要組成部分,它實際上源自TCP/IP體系的TLS/SSL協議,是一個可選層,主要在無線終端內的微型瀏覽器和無線應用協議網關之間使用數字證書創建一個安全的秘密的通信“管道”。WTLS在那些通過低帶寬網絡通信的有限資源的手持設備中提供認證和機密性保護。WTLS使用163比特的橢圓曲線加密,強度相當于2048比特RSA加密,但比RSA的計算開銷少,這對于移動終端來說是一個非常重要的因素。在WAP結構中,TLS或SSL是在Web服務器和網關服務器之間使用的。網關將TLS和SSL信息轉換成WTLS,WTLS在建立連接時需要較少的計算開銷,這樣就可以使無線網絡在傳輸數據時更有效。
WTLS在實現上要考慮以下幾個方面:
(1)公鑰加密的速度較慢,對低帶寬的無線網絡尤其突出。
(2)密鑰交換的方法是基于公開密鑰體制技術的。
(3)建立無線認證中心(WCA),用以支持身份識別及數字證書等。
(4)使用消息鑒別碼(MAC)來保證數據的完整性
2.4WPKI的操作
WAP環境中標準化的PKI操作涉及到如何處理可信CA信息、服務器WTLS證書和客戶端證書的注冊。
2.4.1可信CA信息的處理
對于需要安全通信的雙方來說,PKI是保障雙方相互認證、通信的保密性、完整性和不可否認性的基礎,而CA又是PKI的基礎,若CA不可信,則相應的證書、認證、密鑰都失去效用,因此驗證CA可信性是整個安全通信的第一步。可信CA信息指用來驗證CA頒發的自簽名公鑰證書所需的信息。所需信息包括公鑰和名字,但也可能包括其他信息。為了保障完整性,可信CA信息以自簽名方式提供下載,而可信CA信息的認證則通過帶外哈希或簽名的方式來完成。帶外哈希方式是指CA的信息通過網絡下載到終端設備,然后通過帶外的方式接收該信息的哈希值,接著設備自己計算收到信息的哈希值,再和帶外方式獲得的哈希值進行比較,如果符合,則接受CA信息。簽名方式是指CA用自己的私鑰對待驗證的可信CA信息進行簽名,或者由公認的可信權威對其進行簽名,如世界公認的權威機構加拿大Verisign公司進行的簽名,接收端通過簽名來驗證相應的CA信息,最后決定是否通過認證。
2.4.2服務器WTLS證書的處理
無線終端要和內容服務器進行安全通信就必須取得該服務器的證書,該證書是由終端信任的CA所頒發的,因為無線網絡的帶寬限制以及終端處理能力和內存有限,就有必要使用一種新的簡化了的證書,以利于無線傳播和終端操作,這就是WTLS證書,可用于WTLS安全通信。它是在原有X.509證書基礎上進行優化,保留關鍵字段,滿足無線環境的需求。由于性能、帶寬等因素,無線環境下的檢查證書撤銷和有線環境下有著極大的不同,傳統的CRL方法不可行,而OCSP的方法增加了信息往返、驗證步驟和附加的客戶信任點。為了克服這些問題,引入了短期有效WTLS證書的概念,WTLS服務器可能實現短期有效證書模型作為撤銷的方法。使用這種方法,服務器在一個長期信任階段被認證一次。然而,認證機構并非頒發一年有效證書,而是在這年的每一天,給公鑰頒發一個新的短期有效證書,比如四十八個小時。服務器或網關每天接收短期有效證書并由這個證書建立當日客戶會話。如果認證中心希望撤銷服務器或網關,很簡單地它停止頒發以后的短期有效證書。WTLS服務器不再被授予當前有效證書,因此會終止服務器端的認證,這樣便實現了撤銷的方法。
2.5WPKI要素
PKI中包含認證中心(CertificateAuthorities,CA)、注冊中心(RegistrantAuthorities,RA)、終端實體(EndEntities,EE)三個基本要素。WPKI也包含這三個基本要素,除此之外還有一個要素是證書入口,或叫做PKI入口。證書入口是一條通向RA或CA的鏈接,記錄在移動終端也就是EE中,用來在WAP網關和EE之間建立安全連接。
PKI證書是PKI實現的一個重要組成部分,為了在3G中應用PKI,就必須對傳統的PKI證書的格式進行調整,以適應3G的無線環境的要求。WAP定義了一種WPKI證書的格式[2],下面對其簡單的加以說明。
(1)版本號(Version):定義了證書的版本號,證書中如果不包含任何擴展,則版本應該設為1(缺省值)。
(2)證書擴展(Extension):對證書標準部分里沒有涉及到的部分進行說明。
(3)頒發者名稱(Issuer):證書應用程序必須要能夠識別X.509v3中列出的所有特定名字屬性。
(4)序列號(SerialNumber):移動用戶證書的SN長度小于八個字節,服務器證書的SN小于二十個字節。
(5)簽名算法(Signature):定義的簽名算法有兩種:SHA1WithRSAEncryption和EcdsaWithSHA1,首選后者。
(6)主體姓名(Subject):和頒發者字段一樣,證書應用程序必須能夠識別X.509v3中列出的所有特定名字屬性。
(7)主體公鑰信息(SubjectPublicKeyInfo):這里定義的公鑰類型為兩種:RSA和ECC。
由于每張證書都有一個有效期限,根CA的證書快要到期的時候,保存在移動終端里的根CA證書要更新,也就是說要通過無線網絡下載新的根CA證書,如何保證該過程是安全的,WPKI規定了兩個方案。第一個方案允許用戶終端通過不安全信道直接下載新的根CA證書,但是需要通過輸入一個30位的十進制數來“激活”該CA。顯而易見,這種方法增加了用戶的負擔。根CA的證書唯一代表了根CA的身份,根CA換證書的過程相當于換了一個身份,那么第二個方案就可以理解為快到期的CA介紹一個新CA接替它使命的過程。CA用快到期的根密鑰對新的CA證書簽名,發送給用戶。這種方式不需要用戶做額外的操作,方便了用戶,但是必然存在一段兩張證書同時有效的時間,增加了后臺處理的工作量。
在PKI規范X.509和PKIX中都定義了證書撤銷列表(CertificateRevocationList,CRL),用來公布被撤銷了的證書。如前面所說,WPKI中規定了“短時網關證書”(Short-LivedGatewayCertificates),使得用戶根本不需要查詢網關的證書狀態。WAP網關生成一個密鑰對和一個證書請求,將證書請求發送給CA,CA確認之后給網關頒發一個網關證書,其實該證書的有效期限可以比較長(如一年),也可以比較短(如兩天),但是網關證書的有效期限都是很短的,所以叫做“短時網關證書”。證書有效期限越短,證書出問題的可能性越小,也就是說證書被撤銷的可能性越小,如果短到只有一,兩天,甚至幾個小時,就可以把網關證書的CRL省掉。那么用戶證書的有效期限是不是也很短呢?不是的。用戶證書的狀態是由網關來查詢的,網關的計算能力和存儲能力是很強大的,完全可以本地存儲用戶證書的CRL或者進行在線證書狀態查詢。
由于存儲能力有限,而且一個移動終端有可能有幾張證書適用于不同的場合,證書過期之后還要進行更新,因此移動終端本地存儲自己的證書并不是一個很好的主意。如果把證書存儲在其他地方,需要的時候下載到終端又會對帶寬提出過高的要求。因此WPKI規定本地存儲的僅僅是證書的URL。證書保存在RA,網關需要與終端建立安全連接的時候,需要自己到RA取出用戶的證書驗證。
2.6WPKI與PKI
PKI的主要功能是在私有或者是共有環境中提供可信任且有效的密鑰管理和認證。WPKI基本上是無線環境下PKI應用的擴展。兩者的目的都是在所應用的環境中提供安全的服務,其相同點如下:
(1)公開的、可信任的第三方:認證機構CA;
(2)審批中心RA;
(3)每個實體占有一對密鑰;
(4)證書是公鑰的載體,是密鑰管理手段;
(5)功能:身份認證、保密性、數據完整性。
由于應用環境的不同,即無線環境下移動終端的能力和通信模式使得兩者產生表2.1所示的不同[3]:
33G網絡架構及安全技術
3.1無線接入網架構
3G是個人通信發展的新階段,引入IP技術,支持語音和非語音服務。其是在第二代網絡的基礎上發展起來的。3G系統由CN(核心網),UTRAN(無線接入網)和UE(用戶裝置)三部分組成。CN與UTRAN的接口定義為Iu接口,UTRAN與UE的接口定義為Uu接口[4]如圖3.1所示。
Uu接口和Iu接口協議分為兩部分:用戶平面協議和控制平面協議。
UTRAN包括許多通過Iu接口連接到CN的RNS(無線網絡子系統)。每個RNS包括一個RNC(無線網絡控制器)和多個NodeB。NodeB通過Iub接口連接到RNC上,它支持FDD模式、TDD模式或雙模。NodeB包括一個或多個小區。
RNC負責決定UE的切換,具有合并/分離功能,用以支持在不同的NodeB之間的宏分集。
UTRAN內部,RNSs中的RNCs能通過Iur接換信息,Iu接口和Iur接口是邏輯接口。Iur接口可以是RNC之間物理的直接相連或通過適當的傳輸網絡實現。UTRAN結構如圖3.2所示
在此簡述一下UTRAN的功能:
(1)系統接入控制功能:接入控制;擁塞控制;系統信息廣播;無線信道加密和解密。
(2)移動:切換;SRNS重定位。
(3)無線資源管理和控制:無線環境調查;無線承載控制;無線協議功能等。
3.23G網絡安全結構
3G系統是在2G的基礎上發展起來的,認識到GSM/GPRS的安全缺陷,3GPP采取了公開透明的設計方法推進公眾對移動數據業務的信心。其安全設計基于以下假設:
被動和主動的攻擊是非常嚴重的威脅;終端設備不能被信任;網間和網內信令協議(七號信令和IP)并不安全;能夠應付欺騙用戶的偽基站攻擊。
3G系統的安全設計遵循以下原則:
所有在GSM或其他2G系統中認為是必須或應增強的安全特征在3G系統中都必須被保留,它們包括:無線接口加密;無線接口用戶識別安全;無線接口用戶身份保密;用戶接入服務認證;在歸屬環境下對服務網絡的信任進行最小化;網絡運營商管理可移動的硬件安全模塊SIM,其安全功能獨立于終端。
3G將改進2G系統存在和潛在的弱安全功能。
對3G系統將提供的新的業務提供安全保護。
3G系統除了支持傳統的語音和數據業務外,還提供交互式和分布式業務。全新的業務環境體現了全新的業務特征,同時也要求系統提供對應的安全特征。這些新的業務特征和安全特征如下:不同的服務商提供多種新業務及不同業務的并發支持,因此3G安全特征必須綜合考慮多業務情況下的風險性;在3G系統中占主要地位的是非話音業務,對安全性的要求更高;用戶對自己的服務數據控制能力增加,終端應用能力也大為增加;3G系統中的新安全特征必須抗擊對用戶的主動攻擊。針對3G業務特點提供新的安全特征和安全服務。
基于上述原則,3G系統安全應達到如下目標:確保歸屬網絡與拜訪網絡提供的資源與服務得到足夠保護,以防濫用或盜用;確保所有用戶產生的或與用戶相關的信息得到足夠的保護,以防濫用或盜用;確保標準安全特性全球兼容能力;確保提供給用戶與運營商的安全保護水平高于已有固定或移動網絡;確保安全特征的標準化,保證不同服務網絡間的漫游與互操作能力;確保3G安全能力的擴展性,從而可以根據新的威脅不斷改進。
3G網絡是一個規模龐大的,技術復雜的系統,為此必須提出一個通用的安全體系,用來指導3G網絡的建設、管理與應用。3G系統安全結構分為三層,定義了五組安全特性[6](如圖3.3)。
(1)網絡接入安全:主要抗擊針對無線鏈路的攻擊,包括用戶身份保密、用戶位置保密、用戶行蹤保密、實體身份認證、加密密鑰分發、用戶數據與信令數據的保密及消息認證;
(2)網絡域安全:主要保證核心網絡實體間安全交換數據,包括網絡實體間身份認證、數據加密、消息認證以及對欺騙信息的收集;
(3)用戶域安全:主要保證對移動臺的安全接入,包括用戶與智能卡間的認證、智能卡與終端間的認證及鏈路的保護;
(4)應用域安全:用來在用戶和服務提供商應用程序間提供安全交換信息的一組安全特征,主要包括應用實體間的身份認證、應用數據重放攻擊的檢測、應用數據完整性保護、接收確認等。
由于在第三代移動通信系統中,終端設備和服務網間的接口是最容易被攻擊的點,所以如何實現更加可靠的網絡接入安全能力,是3G系統安全方案中至關重要的一個問題。網絡安全接入機制應該包括如下:用戶身份保密、接入鏈路數據的保密性和完整性保護機制以及認證和密鑰分配機制。
3G安全功能結構如圖3.4[7],橫向代表安全措施,縱向代表相應的網絡實體。安全措施分為五類:(1)EUIC(增強用戶身份保密)通過HE/AuC(本地環境/認證中心)對USIM(用戶業務識別模塊)身份信息進行認證;(2)UIC(用戶與服務網絡的相互身份認證);(3)AKA用于USIM、VLR(訪問位置寄存器)、HLR(歸屬位置寄存器)間的雙向認證及密鑰分配;(4)數據加密(DC),即UE(用戶終端)與RNC(無線網絡控制器)間信息的加密;(5)數據完整性(DI),即對信令消息的完整性、時效性等進行認證。
3.3安全接入機制
3.3.1身份保密
用戶身份是重要而又敏感的信息,在通信中必須保證這些信息的機密性。身份保密的目的是保護用戶的隱私,避免IMSI(永久用戶標識)信息的泄漏。具體相關技術將在第五章詳細介紹。
3.3.2數據保密性及完整性保護
網絡接入部分的數據保密性主要提供四個安全特性:加密算法協商、加密密鑰協商、用戶數據加密和信令數據加密。其中加密密鑰協商在AKA中完成;加密算法協商由用戶與服務網絡間的安全模式協商機制完成,使得ME和SN之間能夠安全的協商它們隨后將使用的算法。用戶數據加密和信令數據加密用以保證數據在無線接入接口上不可能被竊聽。
在2G中的加密是基于基站,消息在網絡內是用明文傳送,這顯然是很不安全的。3G加強了消息在網絡內的傳送安全,采用了以交換設備為核心的安全機制,加密鏈路延伸到交換設備,并提供基于端到端的全網范圍內加密。
在無線接入鏈路上仍然采用分組密碼流對原始數據加密,采用了f8算法(如圖3.5)。f8算法對用戶數據和信令消息數據進行加密保護,在UE和RNC(無線網絡控制器)中的RLC(無線鏈路控制)/MAC(媒體介入控制)層實施,以保證用戶信息及信令消息不被竊聽,進而能夠保證用戶信息及信令消息難以被有效更改。
加密算法的輸入參數除了加密密鑰CK(128bit)外,還包括加密序列號COUNT-C(由短計數器和計數器超幀號HFN組成32bit)、無線承載標識BEARER(5bit)、上下行鏈路指示DIRECTION(方向位,其長度為1bit。“0”表示UE至RNC,“1”表示RNC至UE)和密鑰流長度指示LENGTH(16bit)。掩碼生成算法f8基于一種新的塊加密,這個塊算法把64bit的輸入轉變成64bit的輸出,轉換由128bit的密鑰f8來控制。如果f8未知,就不能從輸入有效地計算輸出或根據輸出計算輸入。原則上,如果滿足下面的條件之一就可以進行轉換:(1)試所有可能的密鑰,直到找到正確地密鑰;(2)以某種方式收集一個巨大的表,包含所有264的輸入輸出對。
但實際上,這兩種方法都是不可行的。終端使用加密指示符來表示用戶是否使用加密,這樣提供了加密機制的可見性。
網絡接入部分的數據完整性主要提供三個安全特性:完整性算法協商,完整性密鑰協商,數據和信令的完整性。其中完整性密鑰協商在AKA中完成;完整性算法協商由用戶與服務網間的安全模式協商機制完成。3G系統預留了16種UIA的可選范圍。目前只用到一種Kasumi算法。
該安全特性是3G系統新增的。它使系統對入侵者的主動攻擊有更強的防御能力。與UEA協商功能的作用類似,UIA的協商增加了系統的靈活性,為3G系統的全球漫游打下基礎。
UMTS的完整性保護機制是:發送方(UE或RNC)將要傳送的數據用完整性密鑰IK經過f9算法產生的消息認證碼MAC(MessageAuthenticationCode),附加在發出的消息后面。接受方(RNC或UE)收到消息后,用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較,如果兩者相等,就說明收到的消息是完整的,在傳輸的過程中沒有被篡改。f9算法的使用如圖3.6
該算法的輸入參數除了完整性密鑰IK(128bit)外,還包括完整性序列號COUNT-I(32bit,由RRC序列號SN和RRC超幀號HFN組成)、發送的消息MESSAGE、DIRECTION(方向位,其長度為1bit。“0”表示UE至RNC,“1”表示RNC至UE)、MAC-I(用于消息完整性保護的消息認證碼)和隨機數FRESH(為網絡方產生的隨機數并傳輸給UE,長度為32bit,用以防止重傳攻擊)。我們需要對網絡進行保護,以防止惡意為COUNT-I選擇初始值。實際上,HFN的最重要的部分存儲在連接間的USIM中。攻擊者可能偽裝成USIM并給網絡發送一個假值以強迫初始值變得非常小。這時,如果沒有執行認證過程就使用舊的IK,就會為攻擊者在只缺少FRESH的情況下利用以前記錄的MAC-I值對以前連接的RRC信令消息進行再次發送提供了可能。通過使用FRESH,RNC可以防止這類重放攻擊。當FRESH在一個單獨的連接中保持不變時,不斷遞增的COUNT-I又可以防止基于同一連接中已經記錄的消息的重放攻擊。
認證與密鑰協商涉及到實體認證將在下一章節詳細進行介紹。
3.43G系統有待研究的問題
3G系統的新特點在于提供高帶寬和更好的安全特性。從3G網絡接入部分的安全結構中可以看出,3G系統的變化很大。無論從提供的服務種類上,還是從服務質量上都有很大改觀。但是3G系統仍存在一些開放問題有待繼續研究。這里主要討論一下幾個方面的內容:數據保密和數據完整性。
數據保密性方面的工作已經做了很多,但是仍有下列問題沒有解決:一是密文生成的同步問題;二是在一個UTRAN(UMTS陸地無線接入網)的不同核心網絡之間加密和加密密鑰的選擇問題;三是如何決定從哪個消息開始加密。
數據完整性方面的主要問題是:如何確定哪些消息需要保護;如何在UTRAN結構中集成數據完整
4實體認證
4.1PKI中的實體認證
PKI安全平臺能夠提供智能化的信任與有效授權服務。其中,信任服務主要是解決在茫茫網海中如何確認“你是你、我是我、他是他”的問題,PKI是在網絡上建立信任體系最行之有效的技術。授權服務主要是解決在網絡中“每個實體能干什么”的問題。
在現實生活中,認證采用的方式通常是兩個人事前進行協商,確定一個秘密,然后,依據這個秘密進行相互認證。隨著網絡的擴大和用戶的增加,事前協商秘密會變得非常復雜,特別是在電子政務中,經常會有新聘用和退休的情況。另外,在大規模的網絡中,兩兩進行協商幾乎是不可能的。透過一個密鑰管理中心來協調也會有很大的困難,而且當網絡規模巨大時,密鑰管理中心甚至有可能成為網絡通信的瓶頸。
PKI通過證書進行認證,認證時對方知道你就是你,但卻無法知道你為什么是你。在這里,證書是一個可信的第三方證明,通過它,通信雙方可以安全地進行互相認證,而不用擔心對方是假冒的。
CA是PKI的核心執行機構,是PKI的主要組成部分,業界人士通常稱它為認證中心。從廣義上講,認證中心還應該包括證書申請注冊機構RA(RegistrationAuthority),它是數字證書的申請注冊、證書簽發和管理機構。
CA的主要職責包括:驗證并標識證書申請者的身份。對證書申請者的信用度、申請證書的目的、身份的真實可靠性等問題進行審查,確保證書與身份綁定的正確性。
確保CA用于簽名證書的非對稱密鑰的質量和安全性。為了防止被破譯,CA用于簽名的私鑰長度必須足夠長并且私鑰必須由硬件卡產生。
管理證書信息資料。管理證書序號和CA標識,確保證書主體標識的惟一性,防止證書主體名字的重復。在證書使用中確定并檢查證書的有效期,保證不使用過期或已作廢的證書,確保網上交易的安全。和維護作廢證書列表(CRL),因某種原因證書要作廢,就必須將其作為“黑名單”在證書作廢列表中,以供交易時在線查詢,防止交易風險。對已簽發證書的使用全過程進行監視跟蹤,作全程日志記錄,以備發生交易爭端時,提供公正依據,參與仲裁。
由此可見,CA是保證電子商務、電子政務、網上銀行、網上證券等交易的權威性、可信任性和公正性的第三方機構。在現有文獻中出現過認證這個名詞,但是未見有對其進行明確功能劃分的確切定義。實際的安全系統中,幾乎所有的安全需要都要通過對用戶或實體授權、對內容的真實完整性鑒別才能有效實現,而要實現對用戶或實體的授權就必須實現用戶或實體的認證。涉及到系統的用戶或實體通常對數據、信息或實體具有閱讀或操作或按權限訪問、傳播和使用控制的權利。顧名思義,認證是一個實體對另一個實體具有的所有權或操作權等權利的鑒別。實體認證是由參與某次通信連接或會話的遠端的一方提交的,驗證實體本身的身份。一些主要的認證技術[8]分別是:口令,認證令牌,智能卡和生物特征。不同的認證技術對應不同的安全級別、不同的使用難度、效益和成本。
如通過口令進行身份認證,一種可靠的方法是,不要在認證系統中存儲真正的口令,而是對口令進行一定的運算再把值存儲在系統中。當用戶訪問系統時,系統對口令進行相同的運算來確認是否與存儲的值是否相同,通過這種方法,可以避免明文口令在系統中的存儲。以免以前存放明文口令的認證數據庫成為攻擊者的主要目標,畢竟數據庫的拷貝意味著將有許多用戶的口令被竊取。通過這種改進的口令系統,可以防止明文口令在輸入設備和認證系統之間傳輸。對于上述算法的要求,攻擊者要找到一個口令來使得它產生的值恰是他們所看到的,這在計算上是不可能的。如MD4,MD5或者SHA1這樣的加密散列算法可以滿足上述的要求。但是這種認證方式要避免的是重放攻擊,即攻擊者之間獲得運算后的值,從而直接將其重放給認證系統,已獲得訪問權。為了解決這個問題,系統可以使用隨機數的加入來防止重放攻擊。通過這種技術可以使得攻擊者只能看到隨機數,用戶的口令并沒有在輸入系統和認證系統中傳輸,甚至由口令產生的值都不會出現在系統之間,采用所謂的質詢/響應的認證過程,便是當今口令認證機制的基礎。
簡單口令的最常見的替代品是認證令牌。認證令牌有兩類:質詢/響應令牌和時間令牌。認證令牌與PKI的關系主要體現在兩個方面。首先結合服務器端的PKI,令牌可以充當客戶端的認證機制;另一方面,令牌可以擔當授權訪問私鑰的初始認證。通過PKI,可以對Web服務器進行強有力的認證以及提供強加密通信;通過認證令牌,可以對用戶進行強身份認證。PKI用于認證服務器和加密會話,令牌則用于認證客戶端。這種混合方案很可能會促使令牌成為未來一段時間內的主要強認證方式。
4.2現有3G中的認證過程
3G接入網部分的實體認證包含了三個方面。一是認證機制協商,該機制允許用戶和服務網絡安全協商將要使用的安全認證機制。二是用戶身份認證,服務網絡認證用戶身份的合法性。三是用戶對他所連接的網絡進行認證。
認證和密鑰分配機制完成用戶和網絡之間通過密鑰K(128bit)相互認證,以及完成上面提到的加密密鑰和完整性密鑰的分配。密鑰K僅存在于用戶歸屬網絡環境HE的AuC(認證中心)和UICC/USIM(用戶服務識別模塊)中,并且在兩者之間共享。UICC是能夠防止篡改的具有身份驗證功能的智能卡,而USIM是運行在UICC上的一個模塊。為了保證認證的安全性,一個基本要求是在給定的UICC/USIM的使用期內密鑰K絕不能泄漏或者損壞。在SGSN/VLR和USIM之間執行的認證過程是基于一種交互式認證策略。另外,USIM和HE分別保存SQNms和SQNhe計數用以支持認證。序號SQNhe是用戶獨立的計數器,由HLR/AuC維護每個用戶具有的獨立序號;而SQNms是指USIM收到的最高序號。
認證與密鑰分配機制[9]過程如圖4.1所示,整個過程分為幾個子過程:從HE/AuC發送認證消息到VLR/SGSN的過程;VLR/SGSN和MS之間相互認證和新加密和完整性密鑰的建立過程;重同步過程。
其中:(1)每個認證向量包括:一個隨機數、一個期望的應答、加密密鑰CK、完整性密鑰IK、認證令牌A;
(2)每個認證向量適用于一次VLR/SGSN與USIM之間的認證和密鑰協商;
(3)認證方為用戶HE的認證中心和用戶移動站中的USIM。
圖4.2為VLR/SGSN和MS之間相互認證、新加密和完整性密鑰的建立過程。
USIM收到RAND和AUTN后,按以下步驟進行認證和新加密和完整性密鑰的建立。
步驟(1)計算匿名密鑰AK,并且獲取序列號SQN;
步驟(2)USIM計算XMAC,將它和MAC比較,MAC包含在AUTN中。如果兩者不同,用戶就傳送包含拒絕原因指示用戶認證拒絕信息給VLR/SGSN,然后終止該過程。在這種情況下,VLR/SGSN將初始化一個認證失敗報告過程給HLR。如果相同進行步驟(3)。
步驟(3)USIM校驗收到的SQN是不是在正確的范圍內。
步驟(4)如果序號在正確范圍內,則進行步驟(5);如果序號不在正確的范圍內,它將發送一個包含適當參數的同步失敗信息給VLR/SGSN,然后終止該過程。VLR會根據同步失敗消息向HE請求重同步過程。
步驟(5)如果序號在正確的范圍內,USIM計算CK和IK。
步驟(6)USIM計算RES,該參數包含在用戶認證響應中傳給VLR/SGSN。
收到用戶認證響應后,VLR/SGSN將響應RES與所選認證向量中獲得XRES比較。如果兩者相等,那么用戶就通過認證。VLR/SGSN就從選擇的認證向量中獲得正確的CK和IK。USIM和VLR將保存原始CK和IK,直到下一次AKA完成。如果XRES和RES不相等,則初始化一個新的鑒別和認證過程。
在3G系統中,實現了用戶與網絡的相互認證,簡單的說,通過驗證XRES與RES是否相同,實現了VLR/SGSN對MS的認證;通過比較XMAC與MAC是否相同,實現了MS對HLR/AuC的認證。以上便是在3G系統中用戶和網絡服務商之間雙向認證的一個詳細過程。通過雙向認證機制,3G有效的保護了用戶與運營商雙方的利益。
4.3WPKI應用下的實體認證
首先CA用Rabin算法和自己的私鑰Pu和Qu來為網絡端和移動端簽發證書。網絡端B的公鑰為Nb,移動端A的公鑰為ELGamal簽名算法的公鑰Pa。網絡端保存相應的Rabin算法私鑰Pb和Qb,移動端保存相應的ELGamal算法私鑰Sa。移動端和網絡端通過驗證對方的證書合法性和相應的私鑰來進行雙向的認證。具體過程如圖4.3
5身份機密性
5.1相關的安全特征
與用戶身份機密性相關的安全特征如下:
用戶身份機密性(useridentityconfidentiality):接受業務用戶的永久身份(IMSI)在無線接入鏈路上不可能被竊聽。
用戶位置機密性(userlocationconfidentiality):用戶在某一區域出現或到達,不可能在無線接入鏈路上通過竊聽來確定。
用戶的不可跟蹤性(useruntraceability):入侵者不可能通過在無線接入鏈路上竊聽而推斷出不同的業務是否傳遞給同一用戶,即無法獲知用戶正在使用不同的業務。
為了滿足上述要求,3G系統采用了兩種機制來識別用戶身份,(1)在用戶與服務網之間采用臨時身份機制(用戶的IMSI由臨時身份識別號TMSI代替),為了實現用戶的不可跟蹤性要求用戶不應長期使用同一TMSI,即TMSI要定期更換。(2)使用加密的永久身份IMSI。但是3G標準沒有排斥用戶直接使用IMSI進行身份識別,即GSM式身份識別。此外在3G中,任何可能暴露用戶身份的信令和用戶數據都要求進行加密。
5.2GSM中的身份保密
GSM系統采用用戶的臨時身份實現用戶的身份保密。對進入其訪問區的每個用戶,VLR(拜訪位置寄存器)都會分配一個TMSI(臨時身份識別號),TMSI和IMSI一起存于VLR的數據庫中,用戶只要使用TMSI和位置區域標識LAI即可標識自己的身份。一般情況下不使用IMSI來識別用戶。
但是當用戶第一次注冊或者服務網絡不能根據用戶的TMSI時必須使用用戶的永久身份IMSI。這時IMSI將在無線鏈路上以明文進行傳輸,這就可能會造成用戶身份的泄漏。顯然,GSM系統在用戶身份保密方面存在明顯的缺陷。圖5.1表示了GSM系統中身份識別的過程[10]。
5.33G中已有的身份機密性設計
現有的身份機密的方案如圖:該機制由訪問的VLR/SGSN發起,向用戶請求IMSI。用戶有兩種選擇進行響應,選擇和GSM系統一樣的直接回復明文IMSI或者使用特有的增強的身份保密機制來進行響應。
采用明文的IMSI是為了與第二代通信網絡保持兼容。一般在3G系統中,移動用戶配置成增強型用戶身份保密機制[11]。
圖5.2中,HE-message表示包含加密IMSI的消息,其組成如下:HE-message=GIEMUI,EMUI=fgk(SQNuicIMSI)。其中GI表示群身份標識,EMUI表示加密IMSI。EMUI是SQNuic和IMSI經過fgk函數加密運算得到,SQNuic表示用戶認證中心UIC生成的序列號,用于保持認證的最新性,GK是用戶入網時與HE/UIC及群中的其它用戶共享的群密鑰。HE為用戶歸屬域。
增強型用戶身份保密機制將用戶的IMSI以密文形式嵌入HE-message中,VLR/SGSN不能直接解密HE-message,而是根據HE/UIC-id將HE-message傳送到相應的HE/UIC。由HE/UIC根據GI檢索相應的GK,用解密HE-message得到用戶的IMSI,再傳送給VLR/SGSN。這樣做的目的是保證用戶的IMSI不被竊聽。此后VLR/SGSN建立用戶IMSI和TMSI之間的對應關系。以后用戶就用VLR/SGSN分配的TMSI進行通信。
增強型用戶身份保密機制是3G引進的,規定了每個用戶都屬于某一個群,而每個群擁有一個GI。用戶群有一個GK,該密鑰安全的保存在USIM和HE/VLR中。相比2G而言用戶身份的保密性有了較大的改進,但我們可以看到,從HE/UIC傳給VLR/SGSN的解密用戶身份IMSI仍然使用了明文方式,因此該方式也還存在一定的弱點,需要進一步的改進。而且依靠HE/UIC來進行消息的解密會使得效率低下。因此下面給出了一個基于公鑰體制下的用戶身份機密性的實現方案。
5.4在WPKI基礎上設計的身份機密方案
首先由于無線PKI的應用,各個PKI實體都要求具有一個公鑰證書。有了公鑰證書,實體間才可以通過證書鑒定的方式來建立起信任關系,也更方便進行認證。為了保證用戶與其公鑰的一一對應。證書權威需要首先驗證終端實體的身份。
證書頒發過程可以采用離線的方式,如在USIM的生產過程中就加入初始的用戶的證書,或者也可以采用在線的方式或通過可信任的第三者進行證書的辦法。基本認證方案如下圖5.3
在3G系統中,當服務網絡不能通過TMSI來識別用戶身份時,將使用永久用戶身份標識來鑒別用戶身份,特別是在移動用戶第一次在服務網絡內注冊,以及網絡不能由用戶在無線鏈路上的TMSI獲得相應的IMSI時。用戶的永久身份是一個敏感而且非常重要的數據,需要得到很好的保護,但如上文提到的在GSM中,用戶的永久身份是用明文的形式發送的,3G系統對此要進行安全改進。
有了證書之后,用戶首次入網注冊時,就可以使用證書和IMSI一起進行注冊了,具體的操作過程如下
符號說明:CertMS用戶證書CertHLRHLR的證書
SKMS用戶的私鑰SKHLRHLR的私鑰
PKHLRHLR的公鑰R1,R2,Ks隨機數
同樣在用戶的USIM中,存有CA的公鑰,自己的私鑰,如果已經取得自己的證書,則也應該保存在USIM中。
注冊過程如下圖5.4:
1.用戶向網絡發起入網登記請求
2.網絡發送自己的證書和隨機數R1給MS
3.用戶收到網絡的證書CertHLR,利用CA的公鑰來驗證HLR的真實性,如果通過驗證,。首先生成兩個隨機數Ks,和R2,利用用戶的私有密鑰對(R2R1)作簽名成為(R2R1)SKMS,再用HLR的公開密鑰PKHLR對Ks作加密,最后利用對稱性加密算法如IDEA或DES對IMSI,CertMS及(R2R1)SKms,以Ks進行加密。然后將加密信息發送到HLR,同時MS存儲R1,R2,Ks,以及CertHLR。
4.網絡側收到響應后,用自己的私鑰SKHLR解密消息(Ks)PKHLR得到Ks,再用Ks解密(CertMSIMSI(R2R1)SKms)Ks,得到用戶的IMSI和CertMS,首先驗證IMSI的合法性,然后使用HLR和CA之間的安全通道向CA發送用戶的CertMS來獲取用戶相應的公鑰PKMS,然后使用用戶的公鑰PKMS來解密(R2R1)SKMS,獲得R2R1,如果R1確實正確,就產生一個TMSI并把TMSI和IMSI進行關聯并且存儲存儲在服務器中,同時存儲R2。至此HLR確認MS的合法性。
5.當HLR確認MS合法之后,則送回第三個信息以及生成會話密鑰,否則拒絕所要求的服務。首先利用私有密鑰SKHLR對R2作簽名,再以Ks利用對稱性的密碼算法,對TMSI和IMSI及以(R2R1)SKHLR作加密,生成(TMSIIMSI(R2R1)SKHLR)Ks再將信息送至MS,最后利用R1和R2作異或運算生成會話密鑰,并且將Ks刪除。HLR的認證已經完成。
6.MS收到HLR的信息后,利用Ks解開信息,得到TMSIIMSI(R2R1)SKHLR,
首先檢查IMSI是否是自己的IMSI,再來利用HLR的證書驗證(R2R1)SKHLR是否等于(R2R1)通過驗證,再利用R1和R2作異或運算生成會話密鑰,并且保存TMSI在MS中否則表示注冊失敗。
通過以上的注冊過程,在入網過程中,用戶的永久身份標識IMSI從頭至尾都沒有用明文的形式在鏈路上傳輸,而得到了網絡的認證并且獲得TMSI用于以后的服務。所有使用IMSI來向網絡進行認證時,通過以上方法就可以保證了用戶的機密性。
對于安全性的分析:
鏈路上的竊聽者無法獲知用戶的身份,從而無法知道用戶的位置和所進行的服務。同時由于每次的會話密鑰都是由R1和R2產生的,而且Ks是隨機產生的,竊聽者無法通過多次的比較獲得任何通信的內容。而且即使一次會話的密鑰被竊取了,也無法繼續獲得以后的會話密鑰。因為每次R1和R2都是重新產生。對于假冒的HLR,即使可以送出第一條明文消息,但是因為不具有合法的SKHLR所有無法獲得Ks,從而無法繼續注冊過程。同樣攻擊者惡意假冒MS,即使事先知道CertMS,R1,R2和(R2R1)SKMS。但是對于新的R1無法生成對應的新的(R2R1)SKMS來進行重放攻擊。至于直接猜測會話密鑰實際上是不可能的,因為R1雖然是明文傳送,但是R2是密文傳送的。
3G系統分為電路域CS和分組域PS,電路域使用TMSI和LAI來表示用戶,TMSI由VLR分配,分組域使用移動用戶分組P-TMSI和路由域標識RAI來表示用戶,P-TMSI由SGSN分配[12]。臨時身份TMSI/P-TMSI只有在用戶登記的位置區和路由區中才有意義。所以,它應該與LAI或RAI一起使用。IMSI和TMSI的關聯保存在用戶登記的拜訪位置寄存器VLR/SGSN中。
一旦用戶獲取了P-TMSI/TMSI后,網絡就可以在接入無線鏈路上識別用戶了。用戶就可以進行如下操作:尋呼請求,位置更新請求,連接請求,服務請求,分離請求,重新建立連接請求等。
但是為了避免長期使用同一臨時身份對TMSI/LAI或P-TMSI/RAI,3G系統采用TMSI的再分配機制。TMSI的更新是在安全模式建立以后由VLR/SGSN發起。分配過程如圖5.5
詳細步驟如下:
(1)VLR/SGSN產生一個新的TMSIn,并將該TMSIn與IMSI的關系存儲在它的數據庫中,然后向CA請求相應的IMSI的公鑰PKMS,當CA把公鑰發送回來之后,VLR/SGSN把TMSIn和一個新的位置區域標識經過用戶的PKMS加密然后發送給用戶。
(2)用戶收到之后,使用自己的SKMS解密消息并保存TMSIn并自動刪除與先前TMSIo之間的關聯后,向VLR/SGSN發送應答。
(3)VLR/SGSN收到應答后,從自己的數據庫中刪除與舊的TMSIo的關聯,TMSIn用于隨后的用戶身份鑒別。
(4)如果VLR/SGSN沒有收到用戶的確認應答信息,則網絡將同時存儲TMSI與IMSI的新的關聯和舊的關聯。然后在隨后由用戶發起的業務中,網絡允許用戶使用新的關聯或舊的關聯來識別自己的身份。同時網絡由此可判定用戶所使用的TMSI,并刪除沒有使用的那一對TMSI和IMSI的關聯。在另一種情況下,網絡發起業務,會使用用戶的IMSI來識別用戶,當建立連接后,網絡指示用戶刪除TMSI。這兩種情況下,網絡隨后都會再次發起一次TMSI的分配過程。但是如果TMSI的分配失敗次數達到一定的門限值,就需要上報給O&M。
當移動用戶的位置發生改變時,如果用戶使用由訪問VLRn分配的TMSIo/LAIo來識別自己,則可以從數據庫中正常獲得IMSI。如果不能,訪問VLRn將要求用戶使用自己的永久身份IMSI來進行識別就如同用IMSI進行首次入網注冊。如果用戶不是使用由拜訪VLRn分配的TMSIo/LAIo來識別自己,則先前訪問的VLRo和新訪問的VLRn相互間交換認證數據,新的VLRn要求先前VLRo發送用戶的永久身份,該過程包含在VLR相互之間交換和分發認證數據的機制中。如果先前的VLRo不能連接或者是不能得到用戶的身份,訪問的VLRn將要求用戶使用永久身份IMSI來識別。
至此用戶可以使用TMSI或者IMSI來進行入網注冊,而同時保證了身份的機密性。
6結論
隨著3G網絡技術的飛速發展以及無線PKI相關技術的應用,無線PKI在3G系統中的應用也會越來越成熟。同時隨著終端處理能力的提升,公鑰體制在實現用戶身份機密性的過程中,會相比單鑰體制具有更多的優勢。因為在單鑰體制下,用戶的安全依賴于網絡,而現在使用公鑰技術來保護用戶的身份,因為用戶的私鑰只有用戶自己知道,身份的機密性不再依賴于網絡。
但是在使用公鑰體制和WPKI相結合的方案下,需要解決的是更好的保護用戶證書的安全性,因為對于網絡內部來說,盜取證書是可能的。而且對于CA的安全性能也提出了更高的要求。
參考文獻
[1]孫林紅,葉頂鋒,馮登國.無線PKI體系的設計.中國科學院研究生院學報,2002.19(3):223~228
[2]WirelessApplicationProtocolForum.Version24-Apr-2001.WirelessApplicationProtocolPublicKeyInfrastructureDefinition
[3]Symeon(Simos)XenitellisOpenCATeamVersion2.4.6Edition,2000.TheOpen–sourcePKIBook:AguidetoPKIsandOpen–sourceImplementations
[4]張平.第三代蜂窩移動通信系統-WCDMA.北京:北京郵電大學出版社2001,19~22
[5]隋愛芬,楊義先.第三代移動通信系統的安全.世界電信,2003,5:37~40
[6]肖寧.WCDMA系統接入安全機制的研究.重慶郵電學院學報,2004.16(3):43~46
[7]林德敬,林柏鋼,林德清.3GPP系統全系列信息安全及其算法設計與應用.重慶郵電學院學報,2003,15(4):18~23
[8]AndrewNash,WilliamDuane,CeliaJoseph,DerekBrink著;張玉清,陳建奇,楊波,薛偉譯.公鑰基礎設施(PKI)實現和管理電子安全.北京:清華大學出版社2002,255~314
[9]3GPPTechnicalSpecification33.102V6.3.0,2004-12.3GSecurityarchitecture[S].
[10]李世鴻,李方偉.3G移動通信中的安全改進.重慶郵電學院學報,2002.14(4):24~32
