亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于WPKI的移動(dòng)辦公系統(tǒng)安全模型研究

        2010-06-08 04:08:22郭竑暉楊長(zhǎng)虹張祖平
        關(guān)鍵詞:密鑰辦公證書

        郭竑暉,楊長(zhǎng)虹,張祖平

        (1.益陽職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)應(yīng)用工程系,湖南 益陽413049;2.中南大學(xué) 信息科學(xué)與工程學(xué)院,湖南 長(zhǎng)沙410083)

        第三代移動(dòng)通信技術(shù)3G (3rd generation)的發(fā)展,為構(gòu)建開放的、多網(wǎng)融合的分布式移動(dòng)辦公系統(tǒng)成為可能[1-4].利用移動(dòng)終端,人們可以擺脫時(shí)間和空間的束縛,方便及時(shí)地獲取和處理與業(yè)務(wù)相關(guān)的任何信息,從而提高管理與辦公效率,成為辦公模式新的發(fā)展方向.然而,移動(dòng)通信系統(tǒng)中無線信道的公開,成為系統(tǒng)通信的安全隱患,移動(dòng)接入的安全性和可靠性是目前大多數(shù)基于3G技術(shù)的移動(dòng)通信系統(tǒng)的核心問題[5-6].本文依據(jù)3G安全體系結(jié)構(gòu)的特點(diǎn),探討并研究了基于WPKI技術(shù)構(gòu)建3G移動(dòng)辦公系統(tǒng)的安全模型方案.

        1 3G安全體系結(jié)構(gòu)及安全問題

        3G技術(shù)是將無線通信與互聯(lián)網(wǎng)結(jié)合的新一代移動(dòng)通信系統(tǒng).除了提供話音服務(wù)外,在移動(dòng)辦公系統(tǒng)中還能提供安全接入與訪問控制、實(shí)時(shí)移動(dòng)OA公文審批與閱讀、E-mail郵件安全交換與存儲(chǔ)、業(yè)務(wù)流審批與閱讀、遠(yuǎn)程數(shù)據(jù)采集、現(xiàn)場(chǎng)圖片與音視頻信息采集與傳輸?shù)雀嗟男滦蜆I(yè)務(wù).由于無線信道的開放性,3G移動(dòng)通信系統(tǒng)的主要安全威脅來自網(wǎng)絡(luò)協(xié)議和系統(tǒng)的弱點(diǎn),攻擊者可以采取竊聽、偽裝、流量分析、破壞數(shù)據(jù)完整性、拒絕服務(wù)、否認(rèn)、非授權(quán)訪問服務(wù)、資源耗盡等方式對(duì)無線鏈路和服務(wù)網(wǎng)絡(luò)實(shí)施攻擊,采用非授權(quán)訪問方式處理敏感數(shù)據(jù),干擾或?yàn)E用網(wǎng)絡(luò)服務(wù),給移動(dòng)辦公帶來安全隱患.

        為實(shí)現(xiàn)3G安全特征的一般目標(biāo),規(guī)范3GPP中給出了3G安全體系結(jié)構(gòu)[5-12]如圖1所示.該結(jié)構(gòu)分三層,并定義了五種安全特征集,包括網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、安全可視性及可配置性,每組特征集針對(duì)特定的攻擊完成相應(yīng)的安全目標(biāo).

        圖1 3G系統(tǒng)的安全體系結(jié)構(gòu)Fig.1 Security architecture of 3G

        3G系統(tǒng)安全技術(shù)相對(duì)于2G系統(tǒng)有了較大改進(jìn),實(shí)現(xiàn)了雙向身份認(rèn)證;增強(qiáng)了接入鏈路信令數(shù)據(jù)的完整性保護(hù);密鑰長(zhǎng)度增加為128位,增加了密鑰協(xié)商和加密算法協(xié)商機(jī)制;增加了安全操作對(duì)用戶的可視性等.由于3G系統(tǒng)中終端設(shè)備和服務(wù)網(wǎng)間的接口容易被攻擊,仍存在一些安全缺陷:

        1)沒有建立公鑰密碼體制,不能給用戶提供數(shù)字簽名服務(wù).

        2)鑒權(quán)認(rèn)證環(huán)節(jié)薄弱,主要表現(xiàn)如下:

        ①由于移動(dòng)辦公用戶常在不同的PLMN(Public Land Mobile Network,公眾陸地移動(dòng)通信網(wǎng))之間漫游,而這些PLMN可以分布在不同的國家,在對(duì)移動(dòng)用戶進(jìn)行鑒權(quán)認(rèn)證時(shí),本地網(wǎng)絡(luò)(HE/HLR, Home Location Register, 歸屬位置登記處)會(huì)把移動(dòng)用戶的鑒權(quán)五元組發(fā)送到漫游網(wǎng)絡(luò) VLR/SGSN (Serving GPRS Support Node, 服務(wù)GPRS支持節(jié)點(diǎn))中,因此移動(dòng)用戶鑒權(quán)向量組要穿過不同的網(wǎng)絡(luò)很容易受到攻擊.

        ②移動(dòng)用戶開機(jī)注冊(cè)到網(wǎng)絡(luò)時(shí),或網(wǎng)絡(luò)無法從TMSI恢復(fù)出IMSI時(shí) (比如VLR/SGSN數(shù)據(jù)庫錯(cuò)誤),移動(dòng)用戶將向網(wǎng)絡(luò)以明文方式發(fā)送IMSI,很容易受到中間人攻擊.

        ③加密密鑰和加密算法在3G中,不再是固定的 (比如GSM網(wǎng)絡(luò)中的A5加密算法是固定的).但是必須要一種安全的方法讓移動(dòng)用戶和網(wǎng)絡(luò)之間對(duì)加密密鑰和加密算法進(jìn)行協(xié)商.

        2 WPKI技術(shù)

        WPKI是將互聯(lián)網(wǎng)中PKI安全機(jī)制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循標(biāo)準(zhǔn)的密鑰及證書管理平臺(tái)體系,它可以有效地管理在移動(dòng)網(wǎng)絡(luò)環(huán)境中的公開密鑰和數(shù)字證書,建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境.WPKI采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書,以適應(yīng)無線網(wǎng)絡(luò)帶寬窄、無線設(shè)備計(jì)算能力低和受限的功率消耗等弱點(diǎn)[13-15].它采用非對(duì)稱密碼算法和WTLS協(xié)議 (無線傳輸協(xié)議)來提供移動(dòng)通信網(wǎng)中的安全服務(wù),包括身份認(rèn)證、數(shù)據(jù)完整性和數(shù)據(jù)加密等服務(wù),其體系結(jié)構(gòu)如圖2所示.

        圖2 WPKI體系結(jié)構(gòu)Fig.2 WPKI architecture

        該系統(tǒng)各組成部分功能如下:

        1)用戶終端:具有WEB或WAP瀏覽功能的設(shè)備.每個(gè)用戶應(yīng)擁有兩個(gè)密鑰對(duì),一個(gè)用于認(rèn)證和密鑰協(xié)商,一個(gè)用于數(shù)字簽名.對(duì)于移動(dòng)終端,有自己的智能卡,可以在卡上的芯片中實(shí)現(xiàn)加解密算法和哈希功能.智能卡同時(shí)存儲(chǔ)密鑰和相關(guān)的數(shù)字證書,以實(shí)現(xiàn)移動(dòng)應(yīng)用中的身份識(shí)別和信息保密.

        2)WAP網(wǎng)關(guān):用于連接無線和有線網(wǎng)絡(luò),以及WTLS/WAP和SST/HTTP協(xié)議間的轉(zhuǎn)化,為網(wǎng)絡(luò)數(shù)據(jù)訪問與傳輸提供身份認(rèn)證和安全傳輸.

        3)證書管理中心:CA負(fù)責(zé)用戶對(duì)證書申請(qǐng)、撤銷申請(qǐng)等請(qǐng)求,對(duì)CA實(shí)現(xiàn)管理;RA負(fù)責(zé)證書的頒發(fā)和管理;注冊(cè)中心可以驗(yàn)證用戶身份,審批證書申請(qǐng)請(qǐng)求和證書撤銷請(qǐng)求.

        4)源服務(wù)器:為網(wǎng)絡(luò)用戶提供的網(wǎng)絡(luò)服務(wù)業(yè)務(wù).

        在WPKI體系中提供了三種不同的安全認(rèn)證模式,即使用服務(wù)器證書的WTLS Class2模式、使用客戶端證書的WTLS Class3模式和使用客戶端證書合并WMLScript的signText模式來保證不同程度的通信的保密性和數(shù)據(jù)完整性.

        3 WPKI在移動(dòng)辦公系統(tǒng)中的應(yīng)用

        根據(jù)3G安全體系結(jié)構(gòu)的特點(diǎn),結(jié)合WPKI技術(shù),本文設(shè)計(jì)了一種把WPKI應(yīng)用到3G移動(dòng)辦公系統(tǒng)中提高系統(tǒng)安全性的方案.

        3.1 方案設(shè)計(jì)

        為解決3G中的安全問題,本方案在3G網(wǎng)絡(luò)中部署WPKI組件,建立基于安全套接字層SSL(Secure Sockets Layer)協(xié)議的認(rèn)證和密鑰協(xié)商機(jī)制 AKA (AuthenticationandKeyAgreement), 該系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)如圖3所示.

        圖3 引入WPKI的3G網(wǎng)絡(luò)體系結(jié)構(gòu)Fig3 3G architecture introduled Int WPKI

        1)系統(tǒng)中增加WPKI必需的組件CA/RA和CR/CRL模塊,用于驗(yàn)證用戶身份,發(fā)放和恢復(fù)證書.

        2)每個(gè)用戶都擁有一對(duì)在入網(wǎng)時(shí)由PLMN產(chǎn)生的密鑰對(duì)(即公鑰和私鑰),一個(gè)用于AKA,一個(gè)用于數(shù)字簽名,其中私鑰存儲(chǔ)在用戶終端的USIM卡(Universal Subscriber Identity Module,用戶業(yè)務(wù)識(shí)別模塊)中.

        3)網(wǎng)絡(luò)中每一個(gè)參與AKA過程的網(wǎng)絡(luò)組件(如VLR/SGSN),必須有一對(duì)密鑰以及相應(yīng)的數(shù)字證書,并持有現(xiàn)有的PLMN中存在的所有認(rèn)證中心(CA)的公鑰.

        4)網(wǎng)絡(luò)中至少有一個(gè)隸屬于PLMN中的CA的存儲(chǔ)數(shù)據(jù)庫和證書恢復(fù)數(shù)據(jù)庫.

        3.2 證書管理方案

        由于無線終端設(shè)備受限于CPU功率低、內(nèi)存小、蓄電量弱、輸入設(shè)備簡(jiǎn)單等因素,因此在無線終端需要對(duì)數(shù)字證書的存儲(chǔ)以及驗(yàn)證過程進(jìn)行相應(yīng)的改進(jìn),從而適應(yīng)無線設(shè)備的特點(diǎn).本方案對(duì)系統(tǒng)中無線終端證書的管理進(jìn)行如下一些處理:

        1)數(shù)字證書格式

        為適應(yīng)無線設(shè)備的特點(diǎn),本系統(tǒng)采用更緊湊的證書格式.具體實(shí)現(xiàn)方案:一是確定WTLS證書格式,該證書格式在標(biāo)準(zhǔn)X.509證書基礎(chǔ)上進(jìn)行刪減,如刪減了證書序列號(hào) (Certificate Serial Number)、簽發(fā)證書者 ID(IssuerID)和屬主 ID(SubjectID)字段等,這種證書格式減小了證書存儲(chǔ)空間,WTLS證書與X.509證書的格式對(duì)比如表1所示;二是使用先進(jìn)密碼算法 (如ECC,橢圓曲線密碼算法),縮短密鑰長(zhǎng)度,從而達(dá)到縮減證書尺寸的目的,因?yàn)槭褂妹荑€長(zhǎng)度為160bit的ECC算法可以達(dá)到和密鑰長(zhǎng)度為1024bit的RSA算法相同的加密強(qiáng)度和安全性.

        2)數(shù)字證書的申請(qǐng)和下載方案設(shè)計(jì)

        為了適應(yīng)無線終端較弱的處理能力,本系統(tǒng)采用硬件方式將用戶證書及私鑰存放在用戶終端的USIM卡中.申請(qǐng)下載用戶證書的方式有三種:一是采用離線申請(qǐng)離線下載.該方式采用用戶到RA受理點(diǎn)錄入用戶信息,申請(qǐng)證書,發(fā)行USIM卡時(shí)把用戶證書寫入U(xiǎn)SIM卡一并發(fā)布,然后放入用戶的無線終端上使用.簽發(fā)后的證書發(fā)布到系統(tǒng)的主目錄服務(wù)器上供用戶查詢和下載.同時(shí),還將用戶的證書存儲(chǔ)在系統(tǒng)的數(shù)據(jù)庫中,以便對(duì)其進(jìn)行歸檔和備份.一般用戶在第一次申請(qǐng)服務(wù)時(shí)采用這種離線申請(qǐng)方式.二是離線申請(qǐng)?jiān)诰€下載.該方式中用戶到RA受理點(diǎn)錄入用戶信息,申請(qǐng)證書.但是證書下載是調(diào)用USIM卡的相關(guān)接口,簽發(fā)PKCS#10的證書申請(qǐng)書,然后連同用戶申請(qǐng)證書獲得的識(shí)別碼和授權(quán)碼一并提交.三是在線申請(qǐng)?jiān)诰€下載.在線申請(qǐng)是用戶直接在無線終端錄入用戶信息,進(jìn)行證書的申請(qǐng).證書的下載是調(diào)用USIM卡的相關(guān)接口,簽發(fā)PKCS#10的證書申請(qǐng)書,然后連同用戶申請(qǐng)證書獲得的識(shí)別碼和授權(quán)碼一并提交.

        3)移動(dòng)終端證書驗(yàn)證

        為了減小無線終端驗(yàn)證證書的計(jì)算量,WPKI提出了兩種驗(yàn)證無線終端證書有效期的方法:一是使用短時(shí)效證書SLC(Short Lived Certificate).SLC把證書的有效期做成與基本CRL更新周期類似,這樣無線終端不需要進(jìn)行證書的CRL驗(yàn)證.雖然一般的證書有效期為1年,但針對(duì)有效期低于或等于24小時(shí)的證書,可以假設(shè)不需要對(duì)CRL進(jìn)行額外的驗(yàn)證,這樣極大減少了無線終端的運(yùn)算量,但是CA需要更高頻率地向用戶發(fā)布新的證書,增加了許多負(fù)擔(dān).二是使用實(shí)時(shí)驗(yàn)證證書狀態(tài)的 OCSP(Online Certificate Status Protocol).因?yàn)闊o線終端進(jìn)行證書驗(yàn)證比較困難,所以可以向第三方OCSP服務(wù)器申請(qǐng)證書驗(yàn)證,這樣客戶端只需接收其結(jié)果.無線終端把接收到的服務(wù)網(wǎng)絡(luò)的證書發(fā)送給OCSP服務(wù)器,并查詢它的有效性.OCSP服務(wù)器完成相應(yīng)的證書驗(yàn)證過程以后,向無線終端發(fā)送證書的有效信息.

        在移動(dòng)辦公系統(tǒng)中,采用第二種方法,由OSCP服務(wù)器進(jìn)行在線驗(yàn)證,然后將結(jié)果由PKI Portal返回給無線終端.

        4)證書恢復(fù)和更新管理

        證書的恢復(fù)是由CA中心根據(jù)系統(tǒng)策略由RA管理員將 “暫時(shí)不使用”的已廢止的用戶證書進(jìn)行恢復(fù)操作.用戶可通過網(wǎng)絡(luò)在線或離線申請(qǐng)恢復(fù)已注銷的證書.RA審核通過后,將該用戶已注銷的證書恢復(fù),即將該證書對(duì)應(yīng)的CRL對(duì)應(yīng)項(xiàng)目刪除,重新簽發(fā)該證書的CRL.

        由于加密公鑰或簽名私鑰使用期限已過,或加密公鑰或簽名私鑰泄密,或用戶名稱變更等原因,需對(duì)證書進(jìn)行更新時(shí),用戶需到RA處申請(qǐng)更新證書.不同的證書類型有不同的更新方式.在更新用戶證書的同時(shí)應(yīng)更新密鑰以確保安全.對(duì)于移動(dòng)終端證書的恢復(fù)和更新,由移動(dòng)終端向PKIPortal提出請(qǐng)求,然后重新設(shè)置證書的URL即可.對(duì)服務(wù)網(wǎng)絡(luò)組件,恢復(fù)和更新操作需要經(jīng)由PKI Portal訪問WPKI實(shí)體來完成.

        表1 WTLS證書與X.509證書格式比較

        3G技術(shù)推動(dòng)移動(dòng)辦公發(fā)展的同時(shí),用戶對(duì)無線移動(dòng)辦公的可靠性和安全性提出了更高的要求.本文探討了在3G網(wǎng)絡(luò)中部署WPKI組件,建立基于安全套接字層SSL(Secure Sockets Layer)協(xié)議的認(rèn)證和密鑰協(xié)商機(jī)制AKA的體系結(jié)構(gòu)和方案分析,在未來的工作中,我們將逐步運(yùn)用這些技術(shù)到我校數(shù)字移動(dòng)辦公系統(tǒng)中,實(shí)現(xiàn)學(xué)校辦公信息安全高效地傳輸和處理.

        [1]趙永耀.面向3G的運(yùn)營(yíng)支撐系統(tǒng)研究[J].計(jì)算機(jī)工程與科學(xué),2010(3):144-147.

        [2]李偉章.移動(dòng)數(shù)據(jù)通信技術(shù)與業(yè)務(wù)[M].北京:人民郵電出版社,2006.

        [3]趙永耀.面向3G移動(dòng)數(shù)據(jù)業(yè)務(wù)管理研究[D].電子科技大學(xué),2009.

        [4]唐寧.基于3G運(yùn)營(yíng)商的移動(dòng)辦公系統(tǒng)應(yīng)用和分析[J].電信科學(xué),2009(s2):35:38.

        [5]張靜.2G到3G演進(jìn)過程中應(yīng)注意的主要問題[J]電信工程技術(shù)與標(biāo)準(zhǔn)化,2005(9):66-68.

        [6]林海波.關(guān)于3G移動(dòng)通信系統(tǒng)的網(wǎng)絡(luò)安全分析[J]..移動(dòng)通信,2006(5):46-49.

        [7]3GPP.TS 33.102 V6.3.0 Security architecture.

        [8]3GPP.TS 33.105 3G Security,2004,10,Cryptographic Algorithm Requirements[S].

        [9]3GPP.TS 33.120:3rd Generation Partnership Project(3GPP),2004,12,Technical Specification Group(TSG)SA,3G Security,Security Principles and Objectives.

        [10]3GPP TS 33.210:3rd Generation Partnership Project,2005,3,Technical Specification Group Service and System Aspects,3G Security,Network Domain Security;IP network layer security.

        [11]成都三零瑞通公司.3G移動(dòng)通信系統(tǒng)的安全體系與防范策略[J].信息安全與通信保密,2009(8):22-23.

        [12]趙忠華.3G移動(dòng)通信系統(tǒng)的網(wǎng)絡(luò)安全分析[J].新疆師范大學(xué)學(xué)報(bào):自然科學(xué)版,2010,29(1):59-62.

        [13]尹志宇.移動(dòng)辦公系統(tǒng)中的無線安全問題解決方案[J].通信技術(shù),2009,42(7):101-103.

        [14]張躍進(jìn).基于WPKI的3G認(rèn)證方案的研究與實(shí)現(xiàn)[J].華東交通大學(xué)學(xué)報(bào),2008,25(3):81-84.

        猜你喜歡
        密鑰辦公證書
        探索企業(yè)創(chuàng)新密鑰
        X辦公總部
        Base4Work共享辦公空間
        WJCI 收錄證書
        CSCD收錄證書
        草原與草坪(2022年1期)2022-05-11 10:44:40
        收錄證書
        密碼系統(tǒng)中密鑰的狀態(tài)與保護(hù)*
        X-workingspace辦公空間
        收錄證書
        一種對(duì)稱密鑰的密鑰管理方法及系統(tǒng)
        国产精品伦人视频免费看| 免费成人在线电影| 亚洲av综合av国产av| 日韩亚洲制服丝袜中文字幕| av资源在线播放网站| 午夜国产视频一区二区三区| 小sao货水好多真紧h无码视频| a级毛片免费观看视频| 亚洲日本精品一区久久精品| 国产剧情av麻豆香蕉精品| 东京道一本热中文字幕| 国产美女网站视频| 国产在线精品亚洲视频在线| 国产嫩草av一区二区三区| 丁香六月久久婷婷开心| 国产亚洲欧美在线| 青青草视全福视频在线| 国产在线观看免费视频软件| 日本不卡一区二区三区在线| 精品少妇爆乳无码aⅴ区| 国产伦一区二区三区久久| 亚洲综合欧美色五月俺也去| 丰满人妻被中出中文字幕| 国产传媒在线视频| 与最丰满美女老师爱爱视频| 国产白嫩护士被弄高潮| 亚洲一区二区在线| 国产视频一区二区三区在线看| 日韩乱码人妻无码系列中文字幕 | 国产毛女同一区二区三区| 国产熟妇按摩3p高潮大叫| 久久AV中文综合一区二区| 人妻1024手机看片你懂的| 成人内射国产免费观看| 欧美白人最猛性xxxxx| 日韩有码中文字幕第一页| 白白发在线视频免费观看2| 国产sm调教视频在线观看| 亚洲精品成人国产av| 丝袜美腿制服诱惑一区二区| 天堂网在线最新版www|