◆孫維潔 劉 濤 楊 陽

（戰(zhàn)略支援部隊興城療養(yǎng)院 遼寧 125105）

多種網(wǎng)絡(luò)類型情況下的網(wǎng)絡(luò)安全研究

◆孫維潔 劉 濤 楊 陽

（戰(zhàn)略支援部隊興城療養(yǎng)院 遼寧 125105）

網(wǎng)絡(luò)技術(shù)隨著計算機的普及正處在快速發(fā)展階段，網(wǎng)絡(luò)安全問題成為計算機網(wǎng)絡(luò)用戶共同關(guān)注的問題。因此，如何制定合適的網(wǎng)絡(luò)安全解決方案成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最重要的研究課題之一。本文主要對網(wǎng)絡(luò)安全研究中涉及的主要技術(shù)進(jìn)行分析和探討。

計算機網(wǎng)絡(luò)； 網(wǎng)絡(luò)安全；安全保護(hù)技術(shù)

0 前言

本文將選取其中一部分網(wǎng)絡(luò)安全保護(hù)技術(shù)，包括隱私保護(hù)、用戶身份認(rèn)證、安全通信架構(gòu)、安全重編程，進(jìn)行具體研究。

1 隱私保護(hù)技術(shù)

1.1 無線傳感網(wǎng)絡(luò)分布式訪問控制的隱私保護(hù)

現(xiàn)如今，傳感器訪問控制的研究主要呈現(xiàn)兩種發(fā)展趨勢：一種是對用戶訪問傳感器節(jié)點權(quán)限進(jìn)行設(shè)置，主要包括方法有：采用數(shù)字簽名技術(shù)控制資源受限的傳感器節(jié)點、最小權(quán)限法限制用戶只能訪問某些路徑上的數(shù)據(jù)等。另一種是對訪問節(jié)點的用戶進(jìn)行隱私保護(hù)技術(shù)，主要方法有使用盲簽名技術(shù)的DP2AC訪問控制協(xié)議。但是在這種協(xié)議下，每個匿名用戶都有相同的訪問權(quán)限，而且一次只能訪問一個傳感器節(jié)點，因此還有待進(jìn)一步完善。

1.2 移動網(wǎng)絡(luò)漫游認(rèn)證的隱私保護(hù)

漫游認(rèn)證技術(shù)中的隱私保護(hù)需要滿足幾點要求：（1）獲取服務(wù)器認(rèn)證信息。（2）外地服務(wù)器可獲取用戶在本地服務(wù)器的認(rèn)證信息。（3）外地服務(wù)器具有獲取漫游用戶是否無效的權(quán)限。（4）外地服務(wù)器和用戶之間建立一個僅有雙方知曉的隨機會話秘鑰。（5）用戶信息僅有其本地服務(wù)器知曉，對其他任何服務(wù)器或個人完全匿名。（6）用戶位置和信息的不可追蹤。除了用戶及其本地服務(wù)器之外的任何人都沒有獲得用戶使用過或待使用的協(xié)議的權(quán)限。目前研究人員提出了許多這方面的認(rèn)證協(xié)議，但是都還沒能夠完全實現(xiàn)上述六點要求。因此，在漫游認(rèn)證隱私保護(hù)技術(shù)方面還需繼續(xù)進(jìn)行深入研究。

1.3 移動網(wǎng)絡(luò)切換認(rèn)證的有條件隱私保護(hù)

一般的移動網(wǎng)絡(luò)切換認(rèn)證協(xié)議中的三個實體分別是：移動用戶（MU）、接入點（APx）和認(rèn)證授權(quán)計費服務(wù)器（AAA Server）。為了接入網(wǎng)絡(luò)，用戶需要選擇一個認(rèn)證授權(quán)計費服務(wù)器進(jìn)行注冊，隨后獲取進(jìn)入一個接入點，假設(shè)為AP1。當(dāng)用戶需要將接入點AP1轉(zhuǎn)換到新的接入點AP2時，AP2需要切換認(rèn)證，保證自己不會被非法接入。同時，AP2會和用戶之間建立一個會話秘鑰以保護(hù)用戶的數(shù)據(jù)不受非法獲取。

一個有效的切換認(rèn)證協(xié)議需要具備以下幾點要求：（1）可認(rèn)證用戶。（2）能建立會話秘鑰。（3）較低的通信消耗和計算復(fù)雜度。（4）用戶匿名且不可追蹤用戶的位置等信息。（5）允許 AP識別用戶是否被注銷。（6）在特定條件下，AAA服務(wù)器能夠向某些部門提供用戶的隱私信息。（7）AAA服務(wù)器對除被訪問的AP之外的所有群體也應(yīng)是加密的?；谶@些原則，當(dāng)前研究人員提出了一些復(fù)雜的加密技術(shù)，比如基于變色龍哈希的證書認(rèn)證服務(wù)、基于ID的加密系統(tǒng)等。但這些切換認(rèn)證技術(shù)還遠(yuǎn)未達(dá)到理想的狀態(tài)，還需進(jìn)一步研究和擴(kuò)展。

2 用戶身份認(rèn)證技術(shù)

2.1 移動網(wǎng)絡(luò)用戶認(rèn)證

隨著網(wǎng)絡(luò)的快速發(fā)展，多種網(wǎng)絡(luò)，包括移動通信網(wǎng)絡(luò)、車載網(wǎng)、無線局域網(wǎng)等，都可以提供無線接入服務(wù)，極大地方便了人們的生活。但是，每個接入點能夠覆蓋的范圍是有限度的，因此需要通過一套合理的移動用戶身份認(rèn)證協(xié)議來為用戶提供一種無縫對接服務(wù)。通常來說，用戶認(rèn)證協(xié)議中包含的三個實體分別是：移動節(jié)點（MN）、接入點（APx）以及認(rèn)證服務(wù)器（AS）。

對于用戶認(rèn)證系統(tǒng)的設(shè)計通常需要注意兩方面的因素：一是計算效率，因為要維持移動節(jié)點的連續(xù)性，用戶認(rèn)證系統(tǒng)的計算過程需要快速且高效。另一方面就是注重安全和隱私問題。用戶比較注重其身份、位置或者漫游路線等個人隱私問題遭到泄露，然而有很多公司對這些信息非常感興趣。但是當(dāng)前移動網(wǎng)絡(luò)切換協(xié)議基本建立在假設(shè)所有的AP都是真實可信的，顯然這是很危險的事情。綜合分析現(xiàn)有的用戶認(rèn)證體系，在移動用戶認(rèn)證方面的工作還有待加強，相關(guān)保密措施還需繼續(xù)研究。

2.2 移動網(wǎng)絡(luò)基于智能卡的用戶認(rèn)證

基于智能卡的密碼認(rèn)證技術(shù)能夠有效地防止對密碼的隨意篡改，而且較為方便地管理這些密碼文件，因此成為當(dāng)前用戶認(rèn)證和建立會話秘鑰比較簡單且有效的一種方式。一般情況下，為了評判基于智能拉的用戶認(rèn)證方案是否安全，主要假設(shè)的條件如下：（1）攻擊者能夠?qū)τ脩簟⒈镜卮硪约巴獾卮碇g的通信信道進(jìn)行隨意的篡改、刪除、插入等操作。（2）攻擊者可能會提取用戶的密碼，也有可能獲取的是智能卡的密碼，但基本不可能同時獲得這兩個密碼。但是就這兩者比較而言，獲取或者破壞智能卡的密碼相對來說更為容易。目前可以主要通過研究基于智能卡的認(rèn)證技術(shù)來提高整個移動網(wǎng)絡(luò)的防御能力。

2.3 傳感網(wǎng)雙因素用戶認(rèn)證

傳感網(wǎng)由于規(guī)模一般比較大，所以其行動通常比較緩慢或者處于靜止?fàn)顟B(tài)。傳感網(wǎng)的節(jié)點一般用來感知外界環(huán)境并且收集數(shù)據(jù)，隨后外部人員再從這些傳感網(wǎng)的內(nèi)部獲取實時監(jiān)測數(shù)據(jù)。所以說，傳感網(wǎng)的網(wǎng)關(guān)節(jié)點和外部人員均可以直接從傳感器節(jié)點中獲得數(shù)據(jù)，因此對于要獲得這些數(shù)據(jù)的外部人員進(jìn)行認(rèn)證服務(wù)。研究人員針對這些問題提出的用戶認(rèn)證協(xié)議主要有兩種：基于傳感網(wǎng)的鏈路層協(xié)議進(jìn)行認(rèn)證和基于傳感網(wǎng)的應(yīng)用層協(xié)議進(jìn)行認(rèn)證。但是無論哪種策略，當(dāng)前都沒有理想地解決這個問題。

3 智能電網(wǎng)服務(wù)通信架構(gòu)的安全

智能電網(wǎng)通信網(wǎng)絡(luò)在其早期實施階段并未真正地考慮到安全以及用戶隱私等問題，盡管這些問題現(xiàn)在已經(jīng)可以感覺到非常的重要。為了保障智能電網(wǎng)安全，研究人員提出許多解決方案，包括：基于公鑰系統(tǒng)保護(hù)智能電網(wǎng)通信對象的隱私和信息完整性，基于通信對象身份密碼的認(rèn)證系統(tǒng)的加密系統(tǒng)。但是目前的采用密碼方法保護(hù)隱私的方法并不太合適，因為無論是盲簽名還是環(huán)簽名算法所提供的匿名性都是不可逆轉(zhuǎn)的，然而又希望實現(xiàn)用戶責(zé)任制，這必然是互相矛盾的。

4 安全重編程

當(dāng)前的安全重編程協(xié)議主要基于兩種模式：集中式和分布式，如圖1所示。其中集中式主要假設(shè)網(wǎng)絡(luò)中存在基站，并且僅限基站有蟲變成節(jié)點的權(quán)限。通過其簽名的鏡像時，基站可以實現(xiàn)分發(fā)新的代碼鏡像，而且每個節(jié)點只能接受由基站簽名的代碼鏡像。但是，基于集中式方法的協(xié)議效率較低，而且難以擴(kuò)展，在長距離的通信中容易受到攻擊。

圖1 重編程協(xié)議模式

基于分布式的重編程協(xié)議的優(yōu)勢就是對授權(quán)的多個用戶進(jìn)行支持時，可以給不同的用戶分配不同的權(quán)限，這一點對于多用戶的大規(guī)模傳感網(wǎng)來說非常重要。相比較而言，分布式更適用于傳感網(wǎng)，因為其允許被授權(quán)的多用戶在不通過基站的情況下直接實現(xiàn)對傳感器節(jié)點上的代碼鏡像進(jìn)行更新。因此，基于分布式的重編程協(xié)議應(yīng)該會成為未來研究的重點。

5 結(jié)語

與傳統(tǒng)的無線網(wǎng)絡(luò)相比，當(dāng)前的網(wǎng)絡(luò)在安全及隱私保護(hù)方面雖然有很大的改進(jìn)，也提出了許多的解決方案，但是針對每種問題，不同的解決方案都有其自身的優(yōu)缺點。因此，如何設(shè)計一套全面且合適的網(wǎng)絡(luò)安全協(xié)議，仍然是當(dāng)前網(wǎng)絡(luò)安全專業(yè)領(lǐng)域每個研究人員迫切需要解決的問題。

[1]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2015.

[2]孫厚釗，任訓(xùn)平.網(wǎng)絡(luò)信息資源的信息安全[J].計算機與網(wǎng)絡(luò)，2009.