简述网络安全的概念范文
时间:2023-09-13 17:19:13
导语:如何才能写好一篇简述网络安全的概念,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:计算机网络安全 安全维护 意义 措施
中图分类号:TP393.09 文献标识码:C DOI:10.3969/j.issn.1672-8181.2013.16.052
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。 由于各种原因的存在,网络安全会受到不同方面的影响,如系统硬件、网络技术缺陷、设备和技术落后、黑客攻击、防护系统漏洞、网络安全意识缺乏、基础知识教育落后等等,所以我们要认清时时刻刻面临的问题,认清安全维护的必要性,从硬件、软件上加强网络系统安全的维护,确保大家能有一个公开、安全的网络环境。
一般来说,网络安全由四个部分组成:
一是运行系统的安全,更侧重于硬件设施的安全,即保证操作系统、存储系统、传输线路等的安全,避免因硬件设施的老化、不稳定、漏洞等原因而导致网络系统的不安全,从最基础避免网络安全隐患的存在。
二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
三是信息传播的安全,控制信息通过网络传播的途径和影响,例如信息过滤等,防止和控制不良有害信息的传播,保障正常信息顺畅流通。
四是信息内容的安全,注重信息的保密性、真实性和完整性,避免其他人利用系统的安全漏洞做出对合法用户的不利行为。
2 计算机网络系统安全的主要威胁
所谓网络系统安全,最重要的就是要保证通过网络渠道传播信息时,信息完好无误,不会被修改和破坏,并且确保其三大特征――完整性、可靠性和保密性。然而,随着网络时代的飞速发展,人们在享受网络带来的便利的同时,也深受各类病毒和技术的困扰,各种各样的问题已经在极大程度上威胁了计算机网络系统的安全。
由于种种原因,目前我国网络系统的安全维护方面还有很多问题,主要体现在:
2.1 网络安全意识淡薄
目前在我国,人们的网络安全意识普遍比较淡薄,对计算机网络没有常识性的认识,缺少必备的安全维护知识。许多网络用户或工作人员只看到上网后给工作和学习带来的种种好处,过于注重运用的体验,缺少安全维护的意识和措施,如此便造成了种种不良信息和病毒的入侵,容易导致安全问题的发生。
2.2 网络信息技术自身的不足
虽然信息技术高速发展,但仍有其不足和需要不断完善的地方,而这些不足往往就会成为信息传播时的不安全因素。例如现在网络系统中使用率最高的协议是TCP/IP协议,几乎90%的用户都会选择,但是TCP/IP协议组是默认建立在安全可信赖的环境中,对于现在网络的复杂性、不安全性并未做应有的考虑。诸如此类无法避免的问题,就会给用户在使用网络系统时造成一定的安全隐患,甚至造成不必要的安全事故。
2.3 网络硬件投入不足
网络技术高速发展的同时,各种信息技术和设备的更新换代也是越来越快,跟不上高速发展的步伐就会被远远甩在身后。而我们目前很多用户的技术和设备已经陈旧,无法满足使用的需要,更无法提供安全的硬件支持。为维护网络的安全运行,还需要完善技术和设备,尤其对于网络安全技术更应该投入专项资金。必须要避免因设备等原因而产生的问题。现在社会有很多的企业和事业单位,固定资产中关于计算机和网络维护方面极具缩水,甚至严重匮乏,所用设备甚至连基本的办公功能都无法满足,安全级别更是几近于零。所以,在此也倡导相关单位能重视起计算机和计算机网络安全的投入与维护,将安全落到实处。
3 如何加强网络系统安全的维护
现在社会飞速发展,工作和生活也越来越多地需要网络的支持,如果网络存在安全隐患,时时刻刻都要面对信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,任何一个问题的产生,都会带来无法弥补的损失。无数的案例摆在我们眼前,通过最简单的聊天工具就可以窃取对方电脑和网络中的机密文档。其原因:一是用户相关知识的不足,二是网络系统存在很多的漏洞,而这些损失往往是可以避免的。面对沉痛的教训,我们更应该防患于未然,做到预防为主,防治结合。
首先,我们应该用科学完善的管理机制来支撑网络安全维护这一系统工程,包括组织建设、制度建设和全员安全教育,小到个人用户,大到公司、政府和国家,都需要从点滴做起,建立好组织架构和相应机构,设立相关的规章制度,并且必须重视工作人员的安全教育,加强安全意识。
其次,还需要运用技术手段来确保网络系统的安全,针对不同的安全时期,制定不同的技术策略,如系统安全策略、安全管理策略和纵深防御策略等等,对操作系统、数据库、服务器等进行安全加固,避免因硬件设施带来的安全问题,加强安全系统如防火墙的建立和运用,将不良的入侵和攻击挡在系统之外。
4 小结
网络时代高速发展,体现出了现代技术的日益发展,然而,高速发展的同时也会产生诸多的问题等待人们去解决,而对于网络技术来讲,安全更是重中之重。本文就网络系统安全的维护这一命题,从基本概念、主要威胁和维护措施等方面,阐述了安全维护的必要性。相信随着网络的不断发展,技术的不断完善,人们安全意识和素养的不断提升,网络系统的安全会越来越有保障。
参考文献:
[1]周学广.信息安全学[M].北京机械工业出版社,2003.
[2]曹天杰等.计算机系统安全[M].北京高等教育出版社,2003.
[3]熊华,郭世泽.网络安全――取证与蜜罐[M].人民邮电出版社,2003.
[4]黄毅华.信息管理在网络安全中的应用[J].2010.
篇2
[关键词]:数据加密技术 计算机 安全威胁 算法 网络安全
随着当前信息技术的飞速发展,互联网已经深深地融入到了人们的日常生活和工作之中,在科研、金融、教育等各个领域中得到了深入运用。人们在享受互联网技术带来的便利同时,也面临着网络安全的威胁,而同时也受到各方的关注和重视。在这种背景下,数据加密技术发挥出了极大的优势,有效保障了计算机安全运行。基于此,本文对相关的内容进行了探讨。
1当前计算机安全面临的主要隐患
1.1操作系统
当前,大多数的计算机都安装了微软的windows操作系统,正是由于其安装的普遍性,也成为了黑客攻击的主要目标,从而暴露出了许多漏洞,造成安全隐患的存在。当某个操作系统的安全漏洞被黑客成功利用之后,黑客就会获得计算机用户的各种账号和密码,给用户带来一定程度的损失。
1.2网络应用
当前存在于网络应用中的安全隐患主要有网络协议、传输线的破坏等等。而其中利用网络协议漏洞进行攻击是其中非常常见的威胁。如果网络协议出现了漏洞,黑客就可能通过病毒对系统发起攻击和感染,以窃取用户的信息。
1.3数据库管理系统
数据库管理系统中存在的安全威胁主要是用户对数据库自身的设计不合理导致的管理系统漏洞。同时,分级管理的理念也导致数据库管理存在一定的安全隐患。从而导致客户信息被盗,账号密码丢失等问题。数据库病毒威胁是不法分子攻击和获取客户信息的主要手段,造成大量无法追回的经济损失。
2数据加密技术的相关理论
2.1数据加密技术概述
所谓计算机数据加密技术,是指根据确定的密码算法将明文数据或信息转换为具有密钥的信息设置。采用数据加密技术可以有效达到对数据进行保护的目的。当前主要利用的数据加密方式主要有端口加密、链路加密以及节点加密等等。对于一些金融机构来说,数据加密技术的应用更加广泛。
2.2数据加密技术的主要类别
计算机数据加密技术主要有两种主要的类别,一种是对称加密技术,另外一种是非对称加密技术。对称加密技术又称之为共享密钥加密,其和人们的日常生活联系最为紧密,其中DES、AES以及IDEA是其主要的三种加密方式。而DES数据加密是对称的64位数据分组密码,二元数据加密主要采用该种数据加密方式。在对称加密技术的工作方式下,接受方与发送方分别进行解密、加密的过程,而在该过程中存在一个共用的密钥,如果数据传输过程中密钥没有泄露或者丢失,数据的安全就不会受到威胁。而对于非对称加密技术来说,又称之为公钥加密,其要求数据通信的双方必须同时进行加密和解密,而其中所使用的不对称密钥被分成了公开的密钥和私有的密钥两种类别,而当前的网络技术又不能通过公钥推算出私钥,因此,可以有效保证传输信息的安全性。
2.3常用的数据加密算法
目前应用最为广泛的数据加密算法主要有循环移位操作方法、置换表及其升级算法循环冗余校验法以及数据签名认证技术等等。在这几种算法中,循环冗余校验法的应用是最为普遍的,其主要是应用网络数据包中的16位及32位散列函数进行计算和对信息的存储和校验。在电子商务系统中,该中加密算法有着很广泛的应用,即使在数据传输通道受到干扰的情况下有着很好的效果。而随着数据加密技术的应用不断发展,逐渐出现了数字签名认证技术,其是一种更高级的数据加密技术。在数字签名认证技术中,有效运用了加密原理和密钥的计算方法,能够确保网络的安全运行。数字认证技术是一种非对称的数据加密算法,用户必须在保障基本信息的正确性基础上才能进行登陆,而且双方保存有公用密钥数字签名和私人密钥数字签名两种。
3数据加密技术在计算机安全中的具体应用
当前,计算机在我们的日常生活中扮演了非常重要的角色,与其说使用计算机,不如说使用计算机进行各类软件进行运行。软件的运行很容易受到黑客的攻击或者病毒的感染,因此,可以运用数据加密技术遏制该种现象的产生,在软件的运行过程中进行加密,当需要运行软件时,相关人员对加密文件进行检查,如果发现有病毒进行运行,则可以采取隔离或者清除的做法。
再有,目前我国的电子商务发展迅速,对人们的生活和工作都带来了巨大的影响,由于网络平台是电子商务运作的重要依托,因此,如何才能规避网络安全风险,保证交易安全是需要进行重点考虑的问题。在电子商务运行过程中应用最多的数据加密技术主要有SSL安全协议、数字证书、数字签名以及SET等,并且获得了很好的效果。
数据加密技术的另外一种应用是对虚拟专用网络的数据安全保障。当前,很多企业和事业单位都建立了自己的局域网,其很多分支机构需要共用一个专用路线来满足局域网的联合和广域网的建设,从而形成了大量的虚拟专用网络。而对数据加密技术的应用,主要是在数据传输过程中,把虚拟专用网络保存在路由器中,并进行路由器硬件加密,然后把数据以密文的形式在互联网中传输运行,接收方路由器接收到密文后,自动解密成明文供接收者阅读。
4结语
综上所述,随着互联网的进一步发展,以及计算机网络安全面临着更加多样化的威胁下,随着数据加密算法的进一步完善,数据加密技术必将发挥出更大的作用,从而进一步促进信息数据与效益的整合。
参考文献:
[1]孙建龙.计算机信息数据的安全与加密技术研究[J].电子技术与软件工程,2015(11):227.
篇3
1.电子商务与移动电子商务概念
电子商务(ElectronicCommerce,简称E-commerce)是在因特网开放的网络环境下,基于浏览器或服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付,以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。
移动电子商务(M-Commerce),它由电子商务(E-Commerce)的概念衍生出来,是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
截至2008年4月,中国移动电话用户合计5.84亿,移动电话用户数与固定电话用户数的差距拉大到2.24亿户,移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。
移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比,拥有更为广泛的潜在用户基础。当前,中国互联网用户虽然已经超过2亿,但同时手机用户却相比多了3亿多用户,此外根据资料还有数量庞大的PDA用户群,因此,移动电子商务具有比非移动电子商务更为广阔的市场前景。
2.移动电子商务信息系统安全概念
移动电子商务信息系统安全问题是动态发展的,如防范病毒的措施,往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台,因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利,如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序,因此,有效抵制手机病毒的防护软件目前还不是很成熟。
3.移动电子商务信息系统安全类型
移动电子商务信息系统安全威胁种类繁多,可以有多种可能的潜在面,既有蓄意违法而致的威胁;也有无意疏忽造成的安全漏洞。另外还有如:非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况:
第一,移动通讯网络本身导致重要商务信息外泄:移动无线信道是一个开放性的信道,它给移动无线用户带来通讯的自由和灵活性的同时,同时也伴随着很多不安全因素:如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒,以及通讯内容容易被篡改等。在移动无线通讯过程中,所有通讯内容(如:通话信息,身份信息,数据信息等)都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现,主要有两个方面:商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。
第二,移动通讯设备传播的病毒的侵犯:病毒是目前威胁移动电子商务用户的主要因素之一,随着移动网络应用的深入扩展,移动电子商务的规模愈趋增大,移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击,由于各种网络黑客应用软件工具的传播,黑客与黑客行为己经大众化了,他们利用操作系统和网络的漏洞、缺陷,从网络的外部非法侵入,进行侵扰和不法行为,对移动电子商务安全造成很大隐患。
第三,移动通讯网路漫游而致的威胁:无线网路中的危害安全者不需要寻找攻击对象,攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。
第四,垃圾信息(或称垃圾短信):在移动通讯系统及设备带给广大人们便利和效率的同时,也带来了很多烦恼,其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时,会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感,而不敢在网络上使用自己的移动设备从事商务活动。
二、提升移动电子商务信息系统安全的趋势与必然性
1.移动商务是电子商务发展的必然趋势
在未来几年中,伴随着无线网络的日益普及,移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势,电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家,但随着观念的改变和技术的进步,中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功,关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心,如果能成功把握住移动个性化方面的市场先机,则完全有可能成为移动商务的规则制订者,从而摆脱以往的模仿。
2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性
2007年,全国电话用户新增8389.1万户,总数突破9亿户,达到91273.4万户。移
动电话用户在电话用户总数中所占的比重达到60.0%,移动电话用户与固定电话用户的差距拉大到18183.8万户。
2007年12月中国互联网络信息中心(CNNIC)《第21次中国互联网络发展状况统计报告》。报告显示,截至2007年底,我国网民人数达到了2.1亿,占中国人口总数的16%。调查反映出基于网络的商务安全问题,调查网民对互联网最反感的方面是:网络病毒29.8%,网络入侵或攻击(有木马)17.3%等。可以说我国2亿多网民在网络上,信息安全问题是比较普遍的,因此,我国高速发展的互联网络客观上也要求提升商务信息系统安全。
美国安全软件公司McAfee2008年公布的最新调查结果显示,虽然手机病毒和攻击现在还不普遍,但随着越来越多的用户通过手机访问互联网和下载文件,手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示,只有2.1%的被调查者曾经自己遭遇手机病毒,而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户,结果发现86.3%的用户对于手机病毒没有任何概念。
当前我国移动用户数保持世界第一,网民数为世界第二,我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。
3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统
在这个网络互联技术、移动通讯技术告诉前行的时代,信息安全尤其是电子商务信息的保密工作变得越来越至关重要,这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量,维护移动电子商务信息提供者的权益,信息安全越来越得到人们的关注。笔者认为,研究布尔函数各种性质,特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数,无疑是具有很强的现实意义的。
(1)Hash函数加密技术概述及应用
Hash函数加密技术主要用于信息安全领域中加密算法,它能把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面,如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码;电子签名系统利用它来认证客户及其发来的信息。
(2)bent函数加密技术概述及应用
在密码学中,为了抵抗最佳线性逼近,人们引人了Bent函数的概念,bent函数具有最高非线性度,在密码、编码理论等方面理论中有着重要应用,因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种:一种是MM类;另一种是PS类,这两种属于直接构造方法。bent函数具有最高的非线性度,但它的相关免疫阶为0,为了使bent具有更好的密码学性质和实际应用价值,学者们提出了bent函数的变种,如Hyper-bent,Semi-bent等。
总之,移动电子商务信息系统安全是个多角度、多因素、多学科的问题,它不单要求从保密安全技术方面,同时也要求我们从技术之外的社会等因素考虑解决。
参考文献:
[1]赵永刚:解析“三角经营商法”[J].商场现代化,2004(15)
[2]姬志刚:计算机、网络与信息社会.科技咨询导报[J].2006(20)
[3]邱显杰:关于Bent函数的研究.湘潭大学[D],2002
[4]戴方虎等:Internet的移动访问技术研究.计算机科学,2000(3)
[5]肖皇培张国基:基于Hash函数的报文鉴别方法[J].计算机工程,2007,(06)
[6]苏桂平刘争春吕述望:Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2005,(11)
篇4
政府网站技术发展趋势与标准应用/刘淑艳
浅谈我国互联网安全法律体系/陈晓航,李锦域
浅议新时期高校图书馆职能/尹娟
浅谈条码技术在我国零售业的应用分析/高首骊
CAMS组网技术在小区宽带网中的应用/杨模和,张俊芳,徐明明
局域网中ARP攻击与防御/齐新杰,姬月梅
物流管理信息系统与制造业企业ERP/苏杭,曾盛绰
基于蓝牙的WPAN无线Mesh组网构架/朱洁净,吕光宏,吴明,聂炜玮
基于实时击键序列的主机入侵检测系统研究/李苗,刘超
电子标签 IT业的新宠/丁勇
JEE技术应用于BPR管理系统的优势分析/赵红,程云
浅谈电子商务网站站内搜索引擎/赵园丁
网络中ARP攻击的发现与定位以及防御方法/祁芸,张士辉
一类具有连通性探测功能的CNN研究与应用/靳慈伟,范俊杰,闵乐泉
安全与虚拟化技术将引领2009年技术市场
发挥计算机实验室在人才培养中的作用探析/李强,曹毅,杨睿
网络化条件下的金融教育改革研究/刘龙,宋丹
网络环境下高校图书馆随书光盘的开发与利用/肖志向,李国栋
基于Wiki的开放式协作学习教学模式研究/郭立红,龚锐玲
基于SmarTele语音流程脚本语言构建IVR系统的研究/祁长兴
Java程序到类图和AISD的转换方法研究/马子睿,李生琦,宋丽娟
彻底解决文件“无法删除”的问题
安全高效的财政综合容灾系统的构建/燕霞
盘点傲游贴心功能 轻松使用无比顺手
三大拦截 两大防御――瑞星2009主要功能体验
酷我音乐盒 我的音乐独一无二
巧用一起来音乐助手 听流行音乐更省心
妙用PowerPoint 2003刻录多媒体光盘
为PPT2007幻灯片添加不间断的声音
安装ADSL注意事项
自动播放插入到Word文档的背景音乐
VISTA利用组策略更改设置
把危险挡在外面:路由安全设置步骤
保护到家:快捷图标也不能随意删
新手设置Windows Vista自带防火墙
绝对实用:解救中病毒的U盘
只需一招就可清除隐藏病毒
QQ病毒的手工清除方法
菜鸟必学安全上网之“防毒八法”
第2期 总第253期
网络出版的利弊分析及发展对策研究/眭蔚
网络安全防范与加密技术的实现/吴子勤,魏自力,张巍
电子商务专业教学实践周方案设计一例/张博
浅谈视频监控系统在工业生产中的应用发展/王爽
银行业信息系统风险控制及其审计方法/张云志,张 震
浅析泛在网络的成长与发展/李文清
实现无线网络隐身的对策探析/鲁 娜,翟锦河
网络信息安全浅析/华冰
呼叫中心系统技术的应用研究/关德君,杨 政
小学计算机房规划与管理/金哲维
浅析校园网安全问题及应对措施/赵玉秀
网络常见的几种故障诊断/李 强
简述ARP原理与防范/王斐人,李 毅
搜狗拼音输入法4.0抢先体验
师出同门 KMPlayer二代PotPlayer全程试用
一个XP使用者眼中的Windows 7
IE8 Partner build功能及性能体验
弹指如飞 Excel高速输入的技巧
QQ所有用户可离线传输文件
QQ好友不在线 自定义表情照样发
用好QQ关键文件 助你玩转QQ
常用重要数据的备份与恢复技巧
Windows Live 9常见安装问题解答
用Windows PE找回丢失的管理员密码
教你十二招DVD刻录绝技
教你巧妙去除快捷图标中的小箭头
Nero光盘刻录方法详解
电脑系统维护小知识
Windows XP下将DVD刻录盘变成移动硬盘
一些快速准确搜索资料的技巧
Windows XP的一个秘密武器
如何阻止Windows XP蓝屏发生
巧妙让显示器远离黑屏“骚扰”
三招给系统“添加删除程序”提速
七种影视截图截屏的小方法
绝对不可错过:WinRAR三种安全战术
揭秘C盘文件 避免系统无法启动
防火墙还是要和杀毒软件一起用
教你认识到快速关机的危害
第3期 总第254期
黑龙江省数据交互平台建设策略/施松
浅谈CIO/陈亮,梁兴华,郑雄,丁龙先
高校人力资源管理信息化的思考/王胜,赵维玲,王艳敏
数据中心2.0时代 让我们赢在起跑线上
别让网络成为企业前进的“绊脚石”
工业工程在制造业信息化建设中的作用/,张凤荣
浅谈市级国土资源信息化建设/高福江
税务管理信息化问题的探讨/郭峥
Web服务的事务处理技术及其应用模式/卢守东
利用Windows XP系统工具处理音频/郭美娜
浅析网络安全技术/孙文良,刘文奇,丛郁,苏华
技术与管理并重 提高内网安全/卫徐刚,王峰,张静,相荣娜
金融风暴来袭 企业如何减少网费开支
办公自动化系统的数据库安全/刘淑艳
关于计算机专业外语教学的几点思考/魏栩,边丽英
基于Web技术和XMLBeans的SOA研究与实现/杜理政
对银行业IT审计项目组织实施方式的几点思考/张震,张云志
ACPI错误提示的分析与解决/吕延岗,李斌,习亚峰
一网打尽 802.11n无线路由常见问题解答
选择高性价比无线路由有诀窍
搜狗拼音4.0比拼QQ拼音1.6
让迅雷在Windows 7中下载如飞
带我上天入海游太空――Google Earth 5.0全面试用
保障无线网络安全的小技巧
杀毒之后Windows桌面不显示之谜
轻松除去Word2003页眉中的下划线
教你用快车互传文件 快乐分享资源
十大家庭宽带共享上网组网方式
使用USB线缆的一些注意事项
巧用eMule实现大文件传输/尹大伟,李见伟
自己动手维修电脑常用的工具
多种方法教你找到电脑中隐藏的入侵黑手
躲避危险:不做黑客肉鸡的七大高招
拒绝打扰:屏蔽QQ群消息
对症下药:抢救被入侵的系统
按F8键也进不了安全模式的解决方法
合并QQ聊天记录
让被病毒恶意隐藏的文件重现
手动去除QQ2009广告和插件的方法
第4期 总第255期
黑龙江省综合数据库总体框架设计/施松
浅谈我国制造业信息化的现状与发展/田野,张凤荣
人力资源管理信息化及其应用/赵维刚,金炳权,郑世杰,王艳敏
数字化学习港学习资源平台的设计与构建/牛国新
无线网络问题不用慌 用户自我排错指南
数字家庭成为趋势
无线网络频繁掉线的三大“杀手”
抛弃网线 复式家庭无线组网方案实战
基于PDA的库房管理系统的开发与应用/可荣博,王铁宁
高职院校计算机软件专业人才培养方案/刘辉
数字化校园一卡通系统的数据安全管理的研究/傅慧
浅谈政府门户网站互动平台的建设/段湘宁,王晓刚
浅谈基于实现的OA系统/赵正德,娄剑,侯晓宇
基于的个人博客网站/黄莹娜,刘源,项仁平
网络性能测试仿真方法研究/周君,王传喜
语音室的规划和管理/钱雁群
数字签名技术解析/文晓晖
浅析CPU维护及优化技巧/陈丽
浅析3S技术在国土资源执法监察工作中的应用/裴晓丽,高福江
e-HR推进企业人力资源管理信息化/董莉莉
中小企事业单位网络安全解决方案/吴丽平,宋长青
计算机网络安全与防护问题初探/谢波,胡霞,罗光增
黑客入侵方式及预防措施/王波,刘元文
浅谈IP网络视频监控系统优势及发展
修改兼容设置 解决无线通信标准异常
无线路由器工作异常的三谜三解
精准与互动――论网络广告投放的新思路/樊丽
HLA多联邦桥接工具的实现结构/周君,张洋
基于WEB的馆际互借与文献传递系统的开发/刘源,黄莹娜
基于单片机的GPS定位显示系统/张海龙
伪距误差对于GPS接收机定位解算的影响分析/刘元文,黄迎春
脱胎换骨 新引擎Safari 4亮点汇总
挂马网站 网民安全新隐患
一种修改表数据的简单方法/刘春红
在Excel2007中身份证号码的妙用/张鹏
玩转酷我音乐盒的歌曲播放隐藏技巧
简单三招:巧用键盘快捷键控制音量大小
让新显卡兼容老显示器
用鼠标右键判断QQ是否中了木马
第5期 总第256期
浅谈计算机软件领域中的哲学问题/刘春红
项目管理信息化在电力施工企业的个性化应用/夏孝俊
实现企业人力资源信息化,提升核心竞争力/董莉莉
楼宇自动化控制/刘洋,刘景福
数码相机的一些基本概念及其应用/何羽佳
校园网中网络流量管理控制技术应用初探/胡俊
基于AJAX技术的电子商务系统研究及应用/王译
网上虚拟孵化器服务系统研究与实现/王素芬
医院智能化网络建设探讨/张鑫,邵华民,唐龙凯
浅谈高校网络安全体系建设/刘锴
浅析科技信息资源的整合与共享/任军,姬有印
构建高可用校园网/张毅
浅谈入侵检测系统在网络安全预警中的实现/邵学海
基于H.323协议实现局域网嵌入式语音通讯/张学军
信托公司信息系统的构建及会计核算系统的设计/李月英
基于WEB数据库安全的访问技术/白斌
在线考试系统中的关键技术/胡晓宏,薛京丽,刘红杰
深入研究 2.0导航控件/赵正德,庄浩,侯晓宇
浅析C++与C语言的几点联系与区别/陈海蕊,郝世选
个人电脑安全浅析/王海燕,王钧生,冯 楠
Java多线程编程技术的研究/吴金秀
技术战略联盟绩效评价指标体系设计初探/马红
关于企业集团财务管理网络化的探讨/李木西
SAN架构在图书馆网络存储中的应用/刘源,黄莹娜,杨春欣
JSP连接Access数据库/谷铁涛
浅谈网站机房建设解决方案/王晓刚,段湘宁
HLARTI大数据量数据采集与过滤方法研究/周君,王传喜
浅析计算机网络安全/乌小茜,王千龙,马星
基于.NET的超声波定位系统的开发/李蓓
基于Web应用的业务重组与系统实现/晁胜利
都是升级惹的祸!――升级IE8后傲游怪现象解答
让笔记本电脑的电力更持久
休息时播放DV:巧设Vista个性视频屏保
玩转UUSee常规设置 打造个性观影平台
用Vista家长控制功能防止孩子沉迷网络
不关迅雷也照样省资源
详解Vista在非常规状态下数据备份策略
防关键文件被篡改:巧用瑞星为系统加固
关闭数据执行保护 提高Vista系统兼容性
第6期 总第257期
“沈抚同城化”后沈抚经济总量及三次产业发展预测/王永辉
浅谈电子商务下的中小物流企业发展/符蕾
数码摄像机及电脑非线性编辑的一些概念/何羽佳
基于行为特征的恶意代码检测方法/许敏,赵天福
存储容灾的脚本化实现/蔡春哲
表面工程技术服务项目中的专家咨询模块分析/蒋超,彭位增
矿山综合信息管理系统初探/寇大明
基于MapX的公交查询系统/胡冰
Windows TDI通信监控的一种hook方法/金玉荣,杨奕
浅谈网络交互技术在现代远程教育中的应用/曾三明
网上数字签名技术安全认证的实现/吴子勤,魏自力,徐军
局域网应对搜索软件的防范策略/赵飞,赵日峰
计算机网络安全威胁及防范策略的探讨/蔡晓莲,李平
在数据库中实现行粒度的权限控制/曾杰,张艳梅
营销管理系统――销售管理子系统的开发/李蓓
用PLC来实现对自磨机系统的控制/张宝秋,赵彦
网络流量监测系统设计/左靖
关于分散型工作流设定的模型和基础结构/庄兵,李国瑞,陈卓
计算机与人工智能/高海,董砚秋,郭巍
病毒检查、识别与手工清除方案/于本成,慕东周
新技术下的网络安全/陈君霖
网络信息安全技术探究/方献梅,高晓波
论Java技术的未来与发展/张博
基于人工神经网络的信息处理/耿岩,董砚秋,郭巍
计算机网络技术在外语教学中的应用/卜泽艳
如何在路由器上配置RIPv1协议/程林
光网络发展 应对新业务需加快智能化
移动无线通信技术未来发展趋势展望
解析无线网络弊病 化解无线安全威胁
娱乐也要安全 剔除电影中暗藏的木马
关闭系统端口 拒绝黑客入侵
增强企业网络安全性的简单方法
防火墙选购必读
漫谈Windows 7对固态硬盘的优化
小心:你的文件正在被迅雷“盗窃”!
U盘安装Windows 7的方法
5种现象预示硬盘将要出现故障
用摄像头做监控设备
哪种家庭网络更适合你
第7期 总第258期
信息时代会计电算化发展存在的问题及发展趋势/陈颖
界面清新功能实用――搜狗输入法4.2新功能体验
IPTV的胜利 三网融合发展梦想照进现实
浅议计算机犯罪的几个问题/蔡晓莲
无线局域网安全性浅析与防范/陈涛,陈绵献,周超,许江龙
克隆是首选 批量安装系统有妙招/涂天剑
论建筑智能化管理系统的分布化、综合化和动态化/刘景福,刘洋
多媒体触摸屏查询系统在校园信息化管理中的应用/袁向英
基于Hilbert-Huang变换的非平稳随机信号处理/王海涛,宋艺
轻松明白网络IP地址以及子网划分问题/程林
土地资源执法监察监管平台的设计研究/刘峰,刘国华
如何建设电子商务的信用体系/王译
辽宁省12000二维电子地图的制作及应用/忻欣
TCP/IP协议的安全性分析/张霞
财政系统网络信息安全建设浅析/刘晖
基于免疫的入侵防御模型研究/陶晶
浅析电子政务信息安全/周萍
常见路由器测试的类型和方法
拒绝木马入侵 四大绝招来防护
美国专利的特点及其检索/孙蔚
使用pathping分析网络连通情况和性能/平
自动交换光网络的现状及发展趋势分析
构建视频会议系统技术之IP网络/赵日峰,赵飞
玩转QQ信箱:发出去的邮件也能收回
让局域网网络设备远离非法共享
掉线不愁 ADSL掉线疑难杂症逐个揭秘
教你用QQ轻松截取动态视频图像
让QQ轻装上阵 减少QQ占用的系统资源
确保Windows 7文件系统稳定两则
Windows 7虚拟XP模式存在六大缺陷
C盘分区多大最好?高手给你建议
认准需求来选择无线网络设备
如何助企业建立起安全可靠的网络环境
无线网络产品选购要点
恶意网站挂马手段技术详解析
启动鼠标隐藏的功能
轻松架设无线网络打印服务器
误将Ghost分区恢复到整个硬盘怎么办
解析4GB内存无法识别问题
第8期 总第259期
浅谈连锁经营企业的信息化建设/符蕾
无线网络互访故障的现象及应对技巧
没有杀毒软件如何让系统百毒不侵
BT之后是电驴――网际快车3.0电驴功能实测
中国海油资金和预算管理系统/胡悦嘉
红外摄像机概述及系统设计/
网络防火墙安全访问控制的实现/邵学海
大学英语网络平台建设的探讨与实践/李庆新
离线编程系统研究/张春斌
从一例循环程序谈C语言的学习/赵俊玲
无线局域网稳定性浅析与举措/许江龙,陈涛,陈绵献,周超
Linux下共享宽带上网/徐波
学生机房常见故障分析与排查/涂天剑
RFID安全解决方案研究/项东吉,赵楠
Packet Tracer模拟器在计算机网络理论教学中的应用/郭忠
计算机网络信息安全防范/杨龙月,宋辉,乌小茜
一个密码暴力破解系统的设计/郭凤宇,钱怡
浅论数据仓库技术/赖小平
签名体制的研究及应用/姜桦,郭永利
思科网络设备密码恢复研究与实践/王峰
博客网站使用报告/黄敏
应用Excel实现成绩统计与试卷分析/陈智勇,王海娥
主动红外探测监控器的有效性验证/刘越
政府办公系统计算机网络的安全性/赵日峰,赵飞
医院信息系统内网安全技术研究/胡晓捷
Linux服务器群集在校园网络中的应用/樊蓬
浅谈商业银行小额支付系统框架及账务处理/周斌
浅析校园网站安全的几点看法/于瀛军
数据迁移技术在房产产权交易系统中的应用/吕开宇
网络通用在线考试系统研究与设计/方献梅,高晓波
工作流信息图示方法的设计与实现/杜梅,周传生
双向转发检测 诊断路由器日常转发故障
解析如何评估并且部署Web应用防火墙
了解基本测试命令 轻松应对家庭网络故障
如何更好享受网络 3G无线上网小指南
几种防范网站被挂马的方法
教你安全专家常用的漏洞分析方法
八种加密方法保护光盘数据不被盗窃
劣质电源对系统的杀伤力不容忽视
第9期 总第260期
房产行业绩效考核信息系统设计方案/吕开宇
电缆受损 MSN服务中断?UC帮你忙!
普通视频转手机视频――QQ影音截取转换两步走
详解Google Voice美国全境电话免费打
QQ旋风边下边播
虚拟现实技术在辅助课堂教学中的应用研究/刘世彬,刘兴彦
基于网格的教育资源共享的研究/孙宁,刘丹
中国海油公文一体化系统/胡悦嘉
Web服务的状态管理技术及其应用模式/卢守东,刘声田
信息化条件下炮兵训练模拟的基本内涵/刘兴彦,刘世彬
决战2010!四款最热杀毒软件2010版横评
软件侵权及保护措施分析/李健
网络安全管理 先从入侵信息收集开始
连锁超市有“神眼” 安防管理齐提升
潜伏定时炸弹 边界网关协议不可忽略
遭遇挂马网站应该如何处理?
找回因错误分区或GHOST后丢失的数据
Web内容安全过滤 需注重多层次管理
智能化管理网络 让管理员工作更省心
路由器上网行为管理功能浅谈
如何让你的网站更有可阅性?
基于多agent的电子商务应用/夏勇,金卫健,田华
思科Pix防火墙、ACS服务器组建VPN/王峰
交换机发生errdisable故障怎么办?/吴小蓉
无线网络新时代 802.11协议全接触
正确选择多WAN路由器的六大关键问题
无线网络断网修复技巧
重视网络安全 实测无线路由器安全功能
本地连接中“修复”功能实用两例
解决无线上网死角的策略
DVD淘汰后,我们该何去何从?
解密“高清播放器”
巧妙利用三招保护局域网中的IP地址
C盘系统坏了,但数据都在C盘里怎么办?
购买主板几个最先考虑的条件
启用自然语言提高Vista系统搜索效率
驱动器页面文件大小的总数为何总是0?
Windows 7安装方法及原理
关于系统还原软件的一些误导宣传
第10期 总第261期
用公共网络高效运作公共技术服务平台/刘伟,马建羽
进一步加强非现场审计工作的思考/崔凯
上的不是网站是QQ――网页版QQ评测
拼音输入法词库广度及选词精度全测试
我国物联网标准形成 未来实现智能家电
国内免费网盘多参数横向评测
电子商务安全性浅析与探索/赵永坚,何树华,周超,黄海
基于Domino的办公平台Web应用改造/胡悦嘉
3G通信技术在移动图书馆中的应用/吕英
细分行业门户网站的生存模式探索/蒋超,彭位增
网络技术中的信息可视化研究/刘世彬,包雪峰,刘央瑞,刘兴彦,张健
智能化校园前期规划应注意的若干问题/徐波
科技基础条件平台信息资源共享规范的研究/姬有印,任军,陈国栋
NS2在计算机网络课程实验教学中的应用研究/程立,张浩军,王珂
基站网络优化受理系统研究与设计/施媛
针对视频流量的网络优化解决方案/王峰
嵌入式软件测试工具LOGISCOPE/郭群
政府门户网站流量分析与诊断系统的功能运用/赵睿
浅谈网站建设项目管理的方法/刘晓知
非线性编辑局域网文件安全上传管理系统的设计/项海飞
IBM NAS N5200系统的部署与应用/王锐
Web课件设计中的人因学因素/王丽莉
网络化教学平台的设计与分析/孙小英
移动存储介质在政务内网中的安全使用/王锋
基于RDF的资源描述与共享方法的研究/苏天醒,范春晓,邹俊伟,吴岳新
搞好信息网络基础管理工作浅析/卫徐刚,王峰,张静,相荣娜,冯永红
网络课程的教学交互设计探究/强麟
浅析化学实验分析结果在互联网上的共享使用/高幸
紧急恢复受损的Windows系统
Windows 7中绝对不能关闭的10个服务
教你十二个奇妙的WinRAR另类技巧
延长硬盘寿命!――磁盘碎片整理工具推荐
识别病毒文件的四个非常不错的方法
轻松使用组策略限制磁盘文件的访问
系统优化 20秒快速完成XP的启动
用注册表优化NTFS 提升电脑性能
关闭常见木马和未授权控制软件的方法
Windows XP无需升级Windows 7的五大理由
在Excel表格中鲜为人知的照相机功能
第11期 总第262期
浅析会计信息化发展/韩延风
QQ 2010细节完全体验
谷歌金山词霸2.0 进入写作翻译时代
边下边播 统筹带宽――迅雷看看播放器新版解析
PDF文档处理 Foxit Phantom新体验
QQ影音1.6尝鲜 歌词功能阐述简约之美
高校人才培养方案管理系统的研究与设计/蒋秀莲,刘凯
一种WAP分页显示方案的设计与实现/刘声田,卢守东,刘忠强
表面工程信息服务平台安全策略/彭位增,蒋超
电子文件的跨平台集成管理与网络化综合利用/栾禄祥
网络安全如何保障 整体联动方案是关键
网站Access数据库安全性的几点技术探讨/石红春
高校多媒体语音室的规划与管理/李洪民
企业信息安全研究/刘丽然,苏成
网络教学资源整合模式探析/韩建彬
11款极酷Chrome浏览器插件推荐
无线时代来临 802.11n尚待企业考量
普通用户也能给QQ网络硬盘加密
对付恶意网站诡计的必杀绝招
搜狗浏览器1.4正式版评测
使用命令提示符 强制结束恶意系统进程
迅雷下载到99%不动了怎么办?教你曲线救下载
利用Google给自己的网站加上投票功能
为你揭开Photoshop中隐藏的快捷键
揭秘Windows 7至关重要的隐藏分区
Windows 7各版本详细功能对比
Windows 7库使用技巧:把文件收藏起来
多系统共用字体信息小技巧
杀毒软件能解决互联网安全问题吗?
Word文档快速保存与完全保存的区别
教你在Word中统计文章字数的方法
让Word表格任意纵横的实用方法
将PowerPoint文档转换为Word文档
有备无患防泄密 将U盘设置为只读方式
禁止私密文件被人拷贝
挖掘Cookies背后的安全隐患
无聊又危险:用恶意网址探QQ隐身好友
怎样建立和删除系统隐藏账号
让Windows XP不再出现内存读写错误
第12期 总第263期
关于加强土地市场信息化建设工作的思考/胡友斌,沈昊
税企的“动车族”――便捷的网上申报/高永梅,刘长勇
高性价比!2009年最好的家用卡片机盘点
Android渐成气候,Gphone星火燎原
浅谈中小企业财务管理的策略及目标/赵凯
网络实名制应当缓行/张祖乔,李娟
浅谈网络视频广播技术/王家乐
浅淡制药生产企业网络系统的建设/陈琦
多台电脑的管理及维护/姜阳,张军
基于状态的包过滤规则在网络中的应用/王宏滨
深化课堂教学改革 提高计算机课堂教学质量/朱 俊
API函数在计算中英文混合字符串长中度的应用/王玉贤,赵辉
机床溜板运动精度光电系统设计/白雪,付生力
气动模切压痕机的控制系统设计/孟繁斌,王冠五
玻璃板自动装箱机控制系统设计/汤淼,齐济源
浅谈虚拟化工作原理
用户怎样选择虚拟化解决方案
服务器虚拟化技术与分区的本质区别
劲热排行 近期最受关注服务器导航
打造企业无线办公 精品无线网卡推荐
无线路由器ARP攻击故障排除技巧
一步步教你搭建无线局域网
网上办公新体验――看百会在线Office能否让你告别微软
一分钟,你就能成为《网络与信息》的封面明星!
10招让你马上成为Word文档编辑高手
史上最牛输入法?――搜狗云输入法体验
快速找回丢失了的QQ好友
木马清理王:远离木马的强力保障
打开U盘的最安全方法
两款U盘病毒专杀工具
Windows 7 给了用户多少升级的理由?
你的电脑能不能升级Windows7,请“升级顾问”来帮忙
关于Windows7的用户账户控制(UAC)的全解析/马良缘
专家解答Windows 7安全问题
三个细节体现出Unix操作系统的安全性
抢夺Windows7专利 让XP也玩自动换壁纸
更好地支持Windows 7新功能 迅雷新版完全解析
篇5
曲箫扬 长江职业学院 430074
【文章摘要】
随着社会科学技术的不断发展以及智能手机的逐渐普及,社会大众越来越关注4G 移动通信的相关技术。在本文中,简单阐述了4G 移动通信技术的基本概念,并介绍了相应的通信系统和比较核心的技术,此外,还具体剖析了4G 移动通信技术存在的安全方面的一些问题,并提出了一些相应的有效解决策略。
【关键词】
4G ;移动;通信技术;概念;安全;系统;策略
全球上第一代的移动通信系统是在上个世纪的美国研制成功的,进而拉开了移动通信时代的序幕,同时在逐渐进步的科技当中得到了快速的发展。一直到现在,4G 移动通信网络在移动通信这个领域开始崭露头角,与3G 移动通信技术相同,都广泛应用在世界的范围之内。相比于2G 移动通信,3G 通信系统有着许多方面的优势,但是在电路交换、统一标准、业务管理、接入速率、网络安全以及视频应用等各个方面都出现了不足,所以,人们将大部分的希望寄托于4G 的移动通信。
1 简述4G 移动通信技术的基本概念
一般来讲,4G 移动通信技术能够被定义成分布网络以及广带接入,它的非对称的那种数据传输的能力应该保持在2Mb/s 以上,能够对4G 移动通信的相关用户提供大概150Mb/s 的清晰视频的相关服务,还能够实现传输三维图像。同时, 4G 移动通信能够实现两个不同的频带网络或者无线平台之间的无线传输,并能够不分地点时间,可以对互联网宽带进行随时介入,除了网络的基本信息之外,还能够为用户有效提供数据整理、地点定位以及远程遥控等各种功能。除此之外,4G 的移动通信系统也属于是一种更加高级的移动宽带的通信系统,具体的特点是多功能进行一定的集成,属于宽带接入的一种IP 系统。
2 4G 移动通信的相关系统
2.1 接入系统
一般情况下,4G 移动通信网络的接入系统主要包括:1)无线系统(比如DECT 等);2)无线的蜂窝移动通信系统( 如2G 等) ;3)短距离的连接系统( 例如蓝牙等) ;4)固定无线接入以及无线环路系统;5)无线的局域网系统;6)相应的卫星系统;7)有线系统;8)广播电视的接入系统( 如DVB - T、DAB 等) ;9)STS 平流层的相关通信系统。同时,4G 移动通信网络的相关接入系统存在的比较显著的特点为:智能化的模式终端在一定程度上基于公共的一种平台,利用各种相应的接入技术,实现网络平台间的协作以及无缝连接,运用最优化的工作方式有限满足用户的各种需求。
2.2 核心网络
通常来讲,4G 移动通信系统当中的核心网是基于全IP 的一个网络,也就是基于IP 的网络维护管理、基于IP 的承载机制、基于IP 的应用服务以及基于IP 的网络资源控制。相比于3G 移动网络,4G 移动系统有着很多根本性的优点,具体表现为:能够实现不同网络之间的无缝连接。其中,核心网相对独立于无线接入的具体方案,可以有效提供端、端之间的IP 业务, 可以兼容已经存在的核心网。核心网有着相对比较开放的一种结构,基本允许空中接口可以接入到核心网;此外,核心网可以将传输、控制以及业务等分开。
2.3 移动终端
我们知道,4G 移动通信系统的特征在一定程度上决定了4G 移动通信系统的移动终端和3G 系统的不同。而4G 移动终端应该可以有效支持广带宽以及高速率的相应要求,与此同时,4G 移动通信终端还应该能够保证可以适应不同的QoS 指标要求、不同的空中接口要求以及终端用户在移动性能方面的一些要求来对用户的相关需求进行一定的满足。为了能够对不同的空中接口进行兼容,那么移动终端应该具备更新软件方面的能力,并能够利用软件的下载来实现更新。除此之外,在4G 系统当中,存在着多样化的终端形式, 化妆盒、手表或者眼镜都有一定的可能会成为4G 系统的终端。在未来,4G 移动终端会具有下面的一些具体特征:1)更高的网络联通性( 无线设备能够利用Adhoc 方式来进行组网) ;2)更强的交互性能( 更加方便的网络和个人接口) ;3)更加丰富的个性化服务( 更加支持GPS 定位、蜂窝电话以及寻呼等业务) ;4)更强的安全保障功能( 比如嵌入式的那种指纹的认证) ; 5)更强的动态自重构的能力( 能够对业务要求和网络条件进行自我适应) ;6)更强的识别语音的功能。
3 4G 移动通信的相关技术
通常来讲,4G 通信技术主要包括MIMO、OFMD 以及智能天线等一些技术, 有着信息量比较大、可容性比较强以及传输速度非常快等各种优势。4G 移动通信相比于3G 来讲,有着相对比较高质量的视频通信,有着清晰化的视频图像以及高速率的传播,能够为视频通话以及直播论坛等有效提供更加稳定的一种信号支持, 与此同时,使用没有固定地点的无线网络服务来有效提供定时、通讯定位、远程控制以及信息收集等服务。
3.1 MIMO 技术
该技术的效能主要在于改善通信质量以及提升通信效率,设置多副发射天线并将其接入到天线当中来有效实现该技术的相应功能,本质上来讲是以空间分集以及空间复用的增益作为信息系统来有效提供支持,这就能够使用空间分集的可靠性以及空间复用技术的容量性,实现支持信道。因为该技术的主要功能在于将比较传统恶通信系统当中的衰落因素转化通讯性能方面的增加,能够实现提升传输业务的速率,从而可以有效实现提升无限通信的性能。
3.2 OFMD 技术
这种技术一般指的就是正交频分复用的一种技术,属于4G 技术的一种核心, 能够把信道大体分成多个正交的子信道, 转换高速数据信号为低速的数据流,进而实现调整每个子道方面的信息传输,这就会对频谱效率进行有效提升,实现抗码以及高速传输之间的干扰。
3.3 智能天线技术
智天线技术主要由天线阵、波束形成网络以及波未形成算法三个部分组成, 基本功能为信号干扰防御,为了有效实现该功能,应该有效借助于各阵元信号的调整相位以及加权幅度,天线阵列方向的图形进行改变的情况下将其抗干扰的功能有效实现,在该功能的相应刺激之下,该技术应该被应用到缓解资源、提升信息容量、提升通讯质量以及提升传速当中。
4 4G 通信技术在安全方面存在的威胁
目前,存在着非常多的对4G 通信技术安全造成威胁的因素,最为主要的是一些无意识的人为的错误、故意的人为的破坏以及攻击、泄露密码以及系统的漏洞等一些因素,进行了如下的总结:
4.1 软件安全以及应用系统方面的漏洞
网络的浏览器以及网络服务器出现问题是一种极其正常的现象,很难做到不出问题,由于它刚刚进行研制,目前还处在进行试验的阶段,还不是非常的成熟, 同时还因为存在很多人不能充分把握该技术等,很容易会出现很多问题尤其是系统方面的问题,死机属于极其正常的现象,因此主要的问题是系统以及软件的不成熟,应该对系统以及软件进行大力研发。
4.2 黑客一般来讲,黑客是编辑程序的人员, 他们可以进行程序的编辑以及系统的操作,同时具有非常高级的知识,并通过安全漏洞非法进入到他人的计算机系统之内,有着非常大的危害。 4.3 病毒
通常情况下,很多网络方面的东西基本都比较怕病毒,所以4G 通信技术也存在这样的问题,非常多的病毒会对传输路径进行一定的破坏,进而在传播的过程当中出现问题,会出现乱码或者会接不到信号,根本不能预防病毒,只有对自己的系统进行更新,在一定程度上限制病毒,有效防止病毒入侵。
5 解决安全问题的有效策略
只存在检查以及防范的通信系统对于保证可靠以及安全是远远不够的,该系统还应该具有自动恢复以及抗病毒侵袭方面的能力。由于系统根本就做不到所谓的万无一失,一旦发生检漏以及防漏等事情,那么一定会产生灾难性的结果。同时, 也不可避免天灾人祸,这也会造成毁灭性的通信技术系统方面的破坏。系统容灾技术,就算有系统灾难发生,也会对系统以及数据进行快速的恢复,能够有效完整地保护网络信息系统方面的安全。
目前,主要是为了进行数据的备份以及基于系统容错的一种系统容灾方面的技术。在系统当中,最后的屏障是数据备份,不容许出现任何一点闪失。但是,离线的介质根本就不能有效保证不会出现差错,数据容灾进行数据安全的保证主要利用的技术是IP 容灾技术,在使用数据容灾时应该存在两个存储器,在两个存储器间建立复制方面的关系,同时,两个存储器不可以放在相同的地方,应该是分别放在本地和异地。放在本地的那个存储器应该服务本地,供本地进行使用,而放在异地的存储器应该进行关键数据的实时的复制以及备份。两者之间通过IP 进行相互连接,会构成相对比较完整的数据方面的容灾系统,同时也可以提供数据库当中的容灾功能。
6 结束语
随着科学技术的迅猛发展,在对待通信的新技术时,我们应该有意识的保持更加的冷静以及理智,一定不会有一帆风顺的4G 演进的道路,未来我们会面临着机遇以及挑战。所以,我们应该抓紧进行先进软件以及系统的研发,有效满足现代时代的一些实际要求。
【参考文献】
[1] 白曙光. 基于4G 移动通信技术的安全缺陷研究[J]. 中国新通信,2014(15):56–57.
[2] 李强. 刍议4G 移动通信技术与安全缺陷[J]. 通讯世界,2014 (1):34–35.
[3] 伍伟化.4G 移动通信技术与安全缺陷研究[J]. 信息通信,2014(9):78–79.
篇6
关键词:无线公钥基础设施身份机密3G认证机构
1绪论
1.1第三代移动通信简介及安全问题
移动通信经历了三个发展阶段:
第一代移动通信系统出现于20世纪70年代后期,是一种模拟移动通信系统,以模拟电路单元为基本模块实现话音通信。主要制式有美国的AMPS,北欧的NMT、英国的TACS和日本的HCMTS等。
第二代移动通信系统(2G)出现于20世纪80年代后期,以GSM,DAMPS和PDC为代表的第二代数字移动通信系统。
第三代的概念早在1985年就由ITU(国际电信联盟)提出了,当时称为FPLMTS(未来公众陆地移动通信系统)。1996年更名为IMT-2000(国际移动通信一2000)。前两代系统主要面向话音传输,与之相比,三代的主要特征是提供数据、多媒体业务,语音只是数据业务的一个应用。第三代移动通信系统(3G)的目标是:世界范围内设计上的高度一致性;与固定网络各种业务的相互兼容;高服务质量;全球范围内使用的小终端;具有全球漫游能力:支持多媒体功能及广泛业务的终端。为了实现上述目标,对第三代无线传输技术(RTT)提出了支持高速多媒体业务〔高速移动环境:144Kbps,室外步行环境:384Kbps,室内环境:2Mbps)、比现有系统有更高的频谱效率等基本要求。近几年通信的飞速发展,使得现存的第二代通信系统已经无法满足现有的人们的需要,主要表现为:
(1)巨大的移动通信市场和目前频谱资源的有限性之间的矛盾日益突出,不能满足工业发达国家和一部分第三世界国家(如中国、印度)大中城市手机用户高密度要求。
(2)数据网络和多媒体通信逐步和无线通信的可移动性相结合,因此移动多媒体或移动IP迅速发展起来,但第二代速率过低(9.6kb/s或57kb/s)与目前IP技术与多媒体业务要求距离甚远,不能满足政府、先进企业及新兴“白领”阶层对高速数据量的要求。
(3)不能实现全球覆盖无缝连接。
(4)通信业务的安全保障不足。
随着技术的发展,安全问题也越来越受到大家的关注,出于质量和效益的问题,移动通信的电勃具有较强的穿透力向各个方向传播,易于被截取,或窃听,其可靠性与安全性都有待加强。二十世纪八十年代的模拟通信便深受其害,由于基本上没有采用什么安全技术,通信时的话音很容易被窃听,尽管二代在安全性方面提出了较大的改进,采用数字系统,提出了身份认证,数据加密这一概念,系统考虑了一些安全因素,但绝大部分的安全规范是从运营商的角度设计的:防止欺骗和网络误用。但是依然存在许多安全缺陷。如单向认证,即只考虑了网络对于用户的认证而忽视了用户对于网络的识别,这种处理方法不能提供可信的环境,不能给移动用户足够的信心开展电子商务和交换敏感信息。而且随着解密技术的发展,计算能力的提高,加密算法A5,已经证明能在短时间内破解。技术的成熟和移动数据业务的出现,用户比以前更加关注移动通信的安全问题。因此,无线PKI的应用是解决安全问题的关键所在。
1.2PKI简介
首先要介绍一下首先要介绍一下PKI(PublicKeyInfrastructure)译为公钥基础设施。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
在3G系统中,PKI的应用主要是WPKI,即无线PKI的应用。主要是用来进行网络中的实体认证,来取得网络服务商与用户之间的彼此信任。除此之外,无线PKI还将用于数据加密,完整性保护,用户身份的机密性等多个方面。
1.3本文主要结构及内容提要
本文在介绍现有3G接入网安全技术的前提下,提出了新的基于公钥体制下的实现用户身份机密性的方案。第一章绪论简要介绍了移动通信的发展及面临的安全问题,以及PKI的引入。第二章介绍了无线PKI的一些基本知识和相关的操作。第三章给出了现有的3G系统的接入架构以及已有的安全措施。第四章为公钥体制下的认证方案。第五章在介绍了已有的一些身份机密方案以及其不足之后,给出了新的基于WPKI环境下的使用公钥体制来实现的保护用户身份机密的新方案。
本文最后对新的方案进行了总结。提出了相应的一些技术要求。
2无线PKI
2.1概述
在无线环境中的应用是PKI未来的发展趋势,它的证书和身份认证是确保在开放的无线网络中安全通信的必备条件。然而无线通信网络独特的特点使无线安全问题更趋复杂。如消息以无线电波的方式传播,在一定的区域内都能很容易被截取和接收到;网络接入点多,使任何人都能很容易地接入并对网络发起攻击;无线通信网络是一个包括无线和有线两部分的端到端的系统传统的有线领域安全问题将依然影响到无线领域,传统安全领域中抑制威胁的常用工具,在无线领域不一定有效。同时无线通信环境还存在着许多其他的限制条件,包括无线带宽方面,目前大部分的无线通信网络只提供有限的数据传输率;软件应用于开发手机、PDA等移动通信设备的开发环境、工具还很有限,相应的应用程序也很少;硬件方面,终端市场中各厂家的产品差异极大,生命周期短更新速度快;同时移动终端设备计算能力有限,内存和存储容量不大,显示屏幕较小,输入方法复杂等。所有这些特点及局限使PKI在无线环境中应用非常困难。为了最大限度的解决这些困难,目前已公布了WPKI草案,其内容涉及WPKI的运作方式、WPKI如何与现行的PKI服务相结合等。简单的说,把PKI改造为适合无线环境,就是WPKI。
无线PKI是对传统IETF基于X.509公钥基础设施(PKI)的扩展和优化,其在协议,证书格式,密码算法等方面进行了一些改进,可以适应无线网络带宽窄和无线设备计算能力低的特点,用来确保通信双方的身份认证、保密性、完整性和不可否认性。WPKI目前主要应用于WAP,所以又可称作WAPPKI。WPKI以WAP网关为桥梁,分别提供终端到网关、网关到服务器的安全连接,以确保整个通信过程的安全。可以说WAP将无线网络与Internet联系得更为紧密,使得WPKI进一步发展和应用成为可能。
2.2WPKI体系
WPKI标准提供了WTLSClass2,WTLSClass3,SignText,3种功能模式[1]。
WTLSClass2模式:WTLSClass2提供了移动终端对无线网关的认证能力,具体的操作过程如下:(1)无线网关申请证书
无线网关生成密钥对,向PKIPortal提出证书的申请;
PKIPortal确认网关的身份后,将消息转发给CA;
CA签发证书给网关。
(2)移动终端与应用服务器之间的安全模式1(两阶段安全);
移动终端与无线网关之间建立WTLS会话;
无线网关与应用服务器之间建立SSL/TLS。
(3)移动终端与应用服务器之间的安全模式2:(端到端的安全模式)
服务器申请证书
移动终端与应用服务器之间建立WTLS会话,无线网关只起路由器的作用,移动终端与应用服务器之间的通信对无线网关是不透明的。
WPKI的数字签名(SignText)模式:SignText模式是移动终端对一条消息进行数字签名后用WMLScript发送给服务器的过程,具体操作过程如下:
(1)移动终端通过网关向RA申请证书;
(2)RA对移动终端进行身份确认后将请求消息转发给CA;
(3)CA生成用户证书并把证书的URL传送给用户;
(4)CA将用户的公钥证书存放在证书数据库中;
(5)用户在客户端对一条消息进行签名,然后将这条消息连同对它的签名,以及用户证书的URL发给服务器;
(6)服务器通过用户证书的URL从数据库中找出用户的证书来验证用户。
WTLSClass3模式:WTLSClass3是一种认证模式,从PKI角度来说,WTLSClass3认证和上述的SignText形式几乎一样的,差别是在第5步中,SignText模型是使用应用层签名的方式来完成验证,即用户必须对服务器端发来的可读消息进行确认,并附上自己的数字签名,然后送回到服务器验证,其中使用的公私钥对必须是专门用来进行数字签名的密钥,而服务器端发来的消息也必须是可读的;而WTLSClass3使用客户端认证密钥对签名来自WTLS服务器的“挑战口令”,所谓“挑战口令”是指由服务器发送给客户端的一些随机数,需要由客户端对其进行签名来达到认证客户端的目的,这些随机数并不一定是可读信息。简单的说其主要的差异是客户利用自己的私钥对来自服务器或无线网关的请求进行签名。
2.3WTLS
WTLS(无线传输层安全协议)是无线应用协议中保证通信安全的一个重要组成部分,它实际上源自TCP/IP体系的TLS/SSL协议,是一个可选层,主要在无线终端内的微型浏览器和无线应用协议网关之间使用数字证书创建一个安全的秘密的通信“管道”。WTLS在那些通过低带宽网络通信的有限资源的手持设备中提供认证和机密性保护。WTLS使用163比特的椭圆曲线加密,强度相当于2048比特RSA加密,但比RSA的计算开销少,这对于移动终端来说是一个非常重要的因素。在WAP结构中,TLS或SSL是在Web服务器和网关服务器之间使用的。网关将TLS和SSL信息转换成WTLS,WTLS在建立连接时需要较少的计算开销,这样就可以使无线网络在传输数据时更有效。
WTLS在实现上要考虑以下几个方面:
(1)公钥加密的速度较慢,对低带宽的无线网络尤其突出。
(2)密钥交换的方法是基于公开密钥体制技术的。
(3)建立无线认证中心(WCA),用以支持身份识别及数字证书等。
(4)使用消息鉴别码(MAC)来保证数据的完整性
2.4WPKI的操作
WAP环境中标准化的PKI操作涉及到如何处理可信CA信息、服务器WTLS证书和客户端证书的注册。
2.4.1可信CA信息的处理
对于需要安全通信的双方来说,PKI是保障双方相互认证、通信的保密性、完整性和不可否认性的基础,而CA又是PKI的基础,若CA不可信,则相应的证书、认证、密钥都失去效用,因此验证CA可信性是整个安全通信的第一步。可信CA信息指用来验证CA颁发的自签名公钥证书所需的信息。所需信息包括公钥和名字,但也可能包括其他信息。为了保障完整性,可信CA信息以自签名方式提供下载,而可信CA信息的认证则通过带外哈希或签名的方式来完成。带外哈希方式是指CA的信息通过网络下载到终端设备,然后通过带外的方式接收该信息的哈希值,接着设备自己计算收到信息的哈希值,再和带外方式获得的哈希值进行比较,如果符合,则接受CA信息。签名方式是指CA用自己的私钥对待验证的可信CA信息进行签名,或者由公认的可信权威对其进行签名,如世界公认的权威机构加拿大Verisign公司进行的签名,接收端通过签名来验证相应的CA信息,最后决定是否通过认证。
2.4.2服务器WTLS证书的处理
无线终端要和内容服务器进行安全通信就必须取得该服务器的证书,该证书是由终端信任的CA所颁发的,因为无线网络的带宽限制以及终端处理能力和内存有限,就有必要使用一种新的简化了的证书,以利于无线传播和终端操作,这就是WTLS证书,可用于WTLS安全通信。它是在原有X.509证书基础上进行优化,保留关键字段,满足无线环境的需求。由于性能、带宽等因素,无线环境下的检查证书撤销和有线环境下有着极大的不同,传统的CRL方法不可行,而OCSP的方法增加了信息往返、验证步骤和附加的客户信任点。为了克服这些问题,引入了短期有效WTLS证书的概念,WTLS服务器可能实现短期有效证书模型作为撤销的方法。使用这种方法,服务器在一个长期信任阶段被认证一次。然而,认证机构并非颁发一年有效证书,而是在这年的每一天,给公钥颁发一个新的短期有效证书,比如四十八个小时。服务器或网关每天接收短期有效证书并由这个证书建立当日客户会话。如果认证中心希望撤销服务器或网关,很简单地它停止颁发以后的短期有效证书。WTLS服务器不再被授予当前有效证书,因此会终止服务器端的认证,这样便实现了撤销的方法。
2.5WPKI要素
PKI中包含认证中心(CertificateAuthorities,CA)、注册中心(RegistrantAuthorities,RA)、终端实体(EndEntities,EE)三个基本要素。WPKI也包含这三个基本要素,除此之外还有一个要素是证书入口,或叫做PKI入口。证书入口是一条通向RA或CA的链接,记录在移动终端也就是EE中,用来在WAP网关和EE之间建立安全连接。
PKI证书是PKI实现的一个重要组成部分,为了在3G中应用PKI,就必须对传统的PKI证书的格式进行调整,以适应3G的无线环境的要求。WAP定义了一种WPKI证书的格式[2],下面对其简单的加以说明。
(1)版本号(Version):定义了证书的版本号,证书中如果不包含任何扩展,则版本应该设为1(缺省值)。
(2)证书扩展(Extension):对证书标准部分里没有涉及到的部分进行说明。
(3)颁发者名称(Issuer):证书应用程序必须要能够识别X.509v3中列出的所有特定名字属性。
(4)序列号(SerialNumber):移动用户证书的SN长度小于八个字节,服务器证书的SN小于二十个字节。
(5)签名算法(Signature):定义的签名算法有两种:SHA1WithRSAEncryption和EcdsaWithSHA1,首选后者。
(6)主体姓名(Subject):和颁发者字段一样,证书应用程序必须能够识别X.509v3中列出的所有特定名字属性。
(7)主体公钥信息(SubjectPublicKeyInfo):这里定义的公钥类型为两种:RSA和ECC。
由于每张证书都有一个有效期限,根CA的证书快要到期的时候,保存在移动终端里的根CA证书要更新,也就是说要通过无线网络下载新的根CA证书,如何保证该过程是安全的,WPKI规定了两个方案。第一个方案允许用户终端通过不安全信道直接下载新的根CA证书,但是需要通过输入一个30位的十进制数来“激活”该CA。显而易见,这种方法增加了用户的负担。根CA的证书唯一代表了根CA的身份,根CA换证书的过程相当于换了一个身份,那么第二个方案就可以理解为快到期的CA介绍一个新CA接替它使命的过程。CA用快到期的根密钥对新的CA证书签名,发送给用户。这种方式不需要用户做额外的操作,方便了用户,但是必然存在一段两张证书同时有效的时间,增加了后台处理的工作量。
在PKI规范X.509和PKIX中都定义了证书撤销列表(CertificateRevocationList,CRL),用来公布被撤销了的证书。如前面所说,WPKI中规定了“短时网关证书”(Short-LivedGatewayCertificates),使得用户根本不需要查询网关的证书状态。WAP网关生成一个密钥对和一个证书请求,将证书请求发送给CA,CA确认之后给网关颁发一个网关证书,其实该证书的有效期限可以比较长(如一年),也可以比较短(如两天),但是网关证书的有效期限都是很短的,所以叫做“短时网关证书”。证书有效期限越短,证书出问题的可能性越小,也就是说证书被撤销的可能性越小,如果短到只有一,两天,甚至几个小时,就可以把网关证书的CRL省掉。那么用户证书的有效期限是不是也很短呢?不是的。用户证书的状态是由网关来查询的,网关的计算能力和存储能力是很强大的,完全可以本地存储用户证书的CRL或者进行在线证书状态查询。
由于存储能力有限,而且一个移动终端有可能有几张证书适用于不同的场合,证书过期之后还要进行更新,因此移动终端本地存储自己的证书并不是一个很好的主意。如果把证书存储在其他地方,需要的时候下载到终端又会对带宽提出过高的要求。因此WPKI规定本地存储的仅仅是证书的URL。证书保存在RA,网关需要与终端建立安全连接的时候,需要自己到RA取出用户的证书验证。
2.6WPKI与PKI
PKI的主要功能是在私有或者是共有环境中提供可信任且有效的密钥管理和认证。WPKI基本上是无线环境下PKI应用的扩展。两者的目的都是在所应用的环境中提供安全的服务,其相同点如下:
(1)公开的、可信任的第三方:认证机构CA;
(2)审批中心RA;
(3)每个实体占有一对密钥;
(4)证书是公钥的载体,是密钥管理手段;
(5)功能:身份认证、保密性、数据完整性。
由于应用环境的不同,即无线环境下移动终端的能力和通信模式使得两者产生表2.1所示的不同[3]:
33G网络架构及安全技术
3.1无线接入网架构
3G是个人通信发展的新阶段,引入IP技术,支持语音和非语音服务。其是在第二代网络的基础上发展起来的。3G系统由CN(核心网),UTRAN(无线接入网)和UE(用户装置)三部分组成。CN与UTRAN的接口定义为Iu接口,UTRAN与UE的接口定义为Uu接口[4]如图3.1所示。
Uu接口和Iu接口协议分为两部分:用户平面协议和控制平面协议。
UTRAN包括许多通过Iu接口连接到CN的RNS(无线网络子系统)。每个RNS包括一个RNC(无线网络控制器)和多个NodeB。NodeB通过Iub接口连接到RNC上,它支持FDD模式、TDD模式或双模。NodeB包括一个或多个小区。
RNC负责决定UE的切换,具有合并/分离功能,用以支持在不同的NodeB之间的宏分集。
UTRAN内部,RNSs中的RNCs能通过Iur接换信息,Iu接口和Iur接口是逻辑接口。Iur接口可以是RNC之间物理的直接相连或通过适当的传输网络实现。UTRAN结构如图3.2所示
在此简述一下UTRAN的功能:
(1)系统接入控制功能:接入控制;拥塞控制;系统信息广播;无线信道加密和解密。
(2)移动:切换;SRNS重定位。
(3)无线资源管理和控制:无线环境调查;无线承载控制;无线协议功能等。
3.23G网络安全结构
3G系统是在2G的基础上发展起来的,认识到GSM/GPRS的安全缺陷,3GPP采取了公开透明的设计方法推进公众对移动数据业务的信心。其安全设计基于以下假设:
被动和主动的攻击是非常严重的威胁;终端设备不能被信任;网间和网内信令协议(七号信令和IP)并不安全;能够应付欺骗用户的伪基站攻击。
3G系统的安全设计遵循以下原则:
所有在GSM或其他2G系统中认为是必须或应增强的安全特征在3G系统中都必须被保留,它们包括:无线接口加密;无线接口用户识别安全;无线接口用户身份保密;用户接入服务认证;在归属环境下对服务网络的信任进行最小化;网络运营商管理可移动的硬件安全模块SIM,其安全功能独立于终端。
3G将改进2G系统存在和潜在的弱安全功能。
对3G系统将提供的新的业务提供安全保护。
3G系统除了支持传统的语音和数据业务外,还提供交互式和分布式业务。全新的业务环境体现了全新的业务特征,同时也要求系统提供对应的安全特征。这些新的业务特征和安全特征如下:不同的服务商提供多种新业务及不同业务的并发支持,因此3G安全特征必须综合考虑多业务情况下的风险性;在3G系统中占主要地位的是非话音业务,对安全性的要求更高;用户对自己的服务数据控制能力增加,终端应用能力也大为增加;3G系统中的新安全特征必须抗击对用户的主动攻击。针对3G业务特点提供新的安全特征和安全服务。
基于上述原则,3G系统安全应达到如下目标:确保归属网络与拜访网络提供的资源与服务得到足够保护,以防滥用或盗用;确保所有用户产生的或与用户相关的信息得到足够的保护,以防滥用或盗用;确保标准安全特性全球兼容能力;确保提供给用户与运营商的安全保护水平高于已有固定或移动网络;确保安全特征的标准化,保证不同服务网络间的漫游与互操作能力;确保3G安全能力的扩展性,从而可以根据新的威胁不断改进。
3G网络是一个规模庞大的,技术复杂的系统,为此必须提出一个通用的安全体系,用来指导3G网络的建设、管理与应用。3G系统安全结构分为三层,定义了五组安全特性[6](如图3.3)。
(1)网络接入安全:主要抗击针对无线链路的攻击,包括用户身份保密、用户位置保密、用户行踪保密、实体身份认证、加密密钥分发、用户数据与信令数据的保密及消息认证;
(2)网络域安全:主要保证核心网络实体间安全交换数据,包括网络实体间身份认证、数据加密、消息认证以及对欺骗信息的收集;
(3)用户域安全:主要保证对移动台的安全接入,包括用户与智能卡间的认证、智能卡与终端间的认证及链路的保护;
(4)应用域安全:用来在用户和服务提供商应用程序间提供安全交换信息的一组安全特征,主要包括应用实体间的身份认证、应用数据重放攻击的检测、应用数据完整性保护、接收确认等。
由于在第三代移动通信系统中,终端设备和服务网间的接口是最容易被攻击的点,所以如何实现更加可靠的网络接入安全能力,是3G系统安全方案中至关重要的一个问题。网络安全接入机制应该包括如下:用户身份保密、接入链路数据的保密性和完整性保护机制以及认证和密钥分配机制。
3G安全功能结构如图3.4[7],横向代表安全措施,纵向代表相应的网络实体。安全措施分为五类:(1)EUIC(增强用户身份保密)通过HE/AuC(本地环境/认证中心)对USIM(用户业务识别模块)身份信息进行认证;(2)UIC(用户与服务网络的相互身份认证);(3)AKA用于USIM、VLR(访问位置寄存器)、HLR(归属位置寄存器)间的双向认证及密钥分配;(4)数据加密(DC),即UE(用户终端)与RNC(无线网络控制器)间信息的加密;(5)数据完整性(DI),即对信令消息的完整性、时效性等进行认证。
3.3安全接入机制
3.3.1身份保密
用户身份是重要而又敏感的信息,在通信中必须保证这些信息的机密性。身份保密的目的是保护用户的隐私,避免IMSI(永久用户标识)信息的泄漏。具体相关技术将在第五章详细介绍。
3.3.2数据保密性及完整性保护
网络接入部分的数据保密性主要提供四个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在AKA中完成;加密算法协商由用户与服务网络间的安全模式协商机制完成,使得ME和SN之间能够安全的协商它们随后将使用的算法。用户数据加密和信令数据加密用以保证数据在无线接入接口上不可能被窃听。
在2G中的加密是基于基站,消息在网络内是用明文传送,这显然是很不安全的。3G加强了消息在网络内的传送安全,采用了以交换设备为核心的安全机制,加密链路延伸到交换设备,并提供基于端到端的全网范围内加密。
在无线接入链路上仍然采用分组密码流对原始数据加密,采用了f8算法(如图3.5)。f8算法对用户数据和信令消息数据进行加密保护,在UE和RNC(无线网络控制器)中的RLC(无线链路控制)/MAC(媒体介入控制)层实施,以保证用户信息及信令消息不被窃听,进而能够保证用户信息及信令消息难以被有效更改。
加密算法的输入参数除了加密密钥CK(128bit)外,还包括加密序列号COUNT-C(由短计数器和计数器超帧号HFN组成32bit)、无线承载标识BEARER(5bit)、上下行链路指示DIRECTION(方向位,其长度为1bit。“0”表示UE至RNC,“1”表示RNC至UE)和密钥流长度指示LENGTH(16bit)。掩码生成算法f8基于一种新的块加密,这个块算法把64bit的输入转变成64bit的输出,转换由128bit的密钥f8来控制。如果f8未知,就不能从输入有效地计算输出或根据输出计算输入。原则上,如果满足下面的条件之一就可以进行转换:(1)试所有可能的密钥,直到找到正确地密钥;(2)以某种方式收集一个巨大的表,包含所有264的输入输出对。
但实际上,这两种方法都是不可行的。终端使用加密指示符来表示用户是否使用加密,这样提供了加密机制的可见性。
网络接入部分的数据完整性主要提供三个安全特性:完整性算法协商,完整性密钥协商,数据和信令的完整性。其中完整性密钥协商在AKA中完成;完整性算法协商由用户与服务网间的安全模式协商机制完成。3G系统预留了16种UIA的可选范围。目前只用到一种Kasumi算法。
该安全特性是3G系统新增的。它使系统对入侵者的主动攻击有更强的防御能力。与UEA协商功能的作用类似,UIA的协商增加了系统的灵活性,为3G系统的全球漫游打下基础。
UMTS的完整性保护机制是:发送方(UE或RNC)将要传送的数据用完整性密钥IK经过f9算法产生的消息认证码MAC(MessageAuthenticationCode),附加在发出的消息后面。接受方(RNC或UE)收到消息后,用同样的方法计算得到XMAC。接收方把收到的MAC和XMAC相比较,如果两者相等,就说明收到的消息是完整的,在传输的过程中没有被篡改。f9算法的使用如图3.6
该算法的输入参数除了完整性密钥IK(128bit)外,还包括完整性序列号COUNT-I(32bit,由RRC序列号SN和RRC超帧号HFN组成)、发送的消息MESSAGE、DIRECTION(方向位,其长度为1bit。“0”表示UE至RNC,“1”表示RNC至UE)、MAC-I(用于消息完整性保护的消息认证码)和随机数FRESH(为网络方产生的随机数并传输给UE,长度为32bit,用以防止重传攻击)。我们需要对网络进行保护,以防止恶意为COUNT-I选择初始值。实际上,HFN的最重要的部分存储在连接间的USIM中。攻击者可能伪装成USIM并给网络发送一个假值以强迫初始值变得非常小。这时,如果没有执行认证过程就使用旧的IK,就会为攻击者在只缺少FRESH的情况下利用以前记录的MAC-I值对以前连接的RRC信令消息进行再次发送提供了可能。通过使用FRESH,RNC可以防止这类重放攻击。当FRESH在一个单独的连接中保持不变时,不断递增的COUNT-I又可以防止基于同一连接中已经记录的消息的重放攻击。
认证与密钥协商涉及到实体认证将在下一章节详细进行介绍。
3.43G系统有待研究的问题
3G系统的新特点在于提供高带宽和更好的安全特性。从3G网络接入部分的安全结构中可以看出,3G系统的变化很大。无论从提供的服务种类上,还是从服务质量上都有很大改观。但是3G系统仍存在一些开放问题有待继续研究。这里主要讨论一下几个方面的内容:数据保密和数据完整性。
数据保密性方面的工作已经做了很多,但是仍有下列问题没有解决:一是密文生成的同步问题;二是在一个UTRAN(UMTS陆地无线接入网)的不同核心网络之间加密和加密密钥的选择问题;三是如何决定从哪个消息开始加密。
数据完整性方面的主要问题是:如何确定哪些消息需要保护;如何在UTRAN结构中集成数据完整
4实体认证
4.1PKI中的实体认证
PKI安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题,PKI是在网络上建立信任体系最行之有效的技术。授权服务主要是解决在网络中“每个实体能干什么”的问题。
在现实生活中,认证采用的方式通常是两个人事前进行协商,确定一个秘密,然后,依据这个秘密进行相互认证。随着网络的扩大和用户的增加,事前协商秘密会变得非常复杂,特别是在电子政务中,经常会有新聘用和退休的情况。另外,在大规模的网络中,两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难,而且当网络规模巨大时,密钥管理中心甚至有可能成为网络通信的瓶颈。
PKI通过证书进行认证,认证时对方知道你就是你,但却无法知道你为什么是你。在这里,证书是一个可信的第三方证明,通过它,通信双方可以安全地进行互相认证,而不用担心对方是假冒的。
CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。从广义上讲,认证中心还应该包括证书申请注册机构RA(RegistrationAuthority),它是数字证书的申请注册、证书签发和管理机构。
CA的主要职责包括:验证并标识证书申请者的身份。对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,确保证书与身份绑定的正确性。
确保CA用于签名证书的非对称密钥的质量和安全性。为了防止被破译,CA用于签名的私钥长度必须足够长并且私钥必须由硬件卡产生。
管理证书信息资料。管理证书序号和CA标识,确保证书主体标识的惟一性,防止证书主体名字的重复。在证书使用中确定并检查证书的有效期,保证不使用过期或已作废的证书,确保网上交易的安全。和维护作废证书列表(CRL),因某种原因证书要作废,就必须将其作为“黑名单”在证书作废列表中,以供交易时在线查询,防止交易风险。对已签发证书的使用全过程进行监视跟踪,作全程日志记录,以备发生交易争端时,提供公正依据,参与仲裁。
由此可见,CA是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。在现有文献中出现过认证这个名词,但是未见有对其进行明确功能划分的确切定义。实际的安全系统中,几乎所有的安全需要都要通过对用户或实体授权、对内容的真实完整性鉴别才能有效实现,而要实现对用户或实体的授权就必须实现用户或实体的认证。涉及到系统的用户或实体通常对数据、信息或实体具有阅读或操作或按权限访问、传播和使用控制的权利。顾名思义,认证是一个实体对另一个实体具有的所有权或操作权等权利的鉴别。实体认证是由参与某次通信连接或会话的远端的一方提交的,验证实体本身的身份。一些主要的认证技术[8]分别是:口令,认证令牌,智能卡和生物特征。不同的认证技术对应不同的安全级别、不同的使用难度、效益和成本。
如通过口令进行身份认证,一种可靠的方法是,不要在认证系统中存储真正的口令,而是对口令进行一定的运算再把值存储在系统中。当用户访问系统时,系统对口令进行相同的运算来确认是否与存储的值是否相同,通过这种方法,可以避免明文口令在系统中的存储。以免以前存放明文口令的认证数据库成为攻击者的主要目标,毕竟数据库的拷贝意味着将有许多用户的口令被窃取。通过这种改进的口令系统,可以防止明文口令在输入设备和认证系统之间传输。对于上述算法的要求,攻击者要找到一个口令来使得它产生的值恰是他们所看到的,这在计算上是不可能的。如MD4,MD5或者SHA1这样的加密散列算法可以满足上述的要求。但是这种认证方式要避免的是重放攻击,即攻击者之间获得运算后的值,从而直接将其重放给认证系统,已获得访问权。为了解决这个问题,系统可以使用随机数的加入来防止重放攻击。通过这种技术可以使得攻击者只能看到随机数,用户的口令并没有在输入系统和认证系统中传输,甚至由口令产生的值都不会出现在系统之间,采用所谓的质询/响应的认证过程,便是当今口令认证机制的基础。
简单口令的最常见的替代品是认证令牌。认证令牌有两类:质询/响应令牌和时间令牌。认证令牌与PKI的关系主要体现在两个方面。首先结合服务器端的PKI,令牌可以充当客户端的认证机制;另一方面,令牌可以担当授权访问私钥的初始认证。通过PKI,可以对Web服务器进行强有力的认证以及提供强加密通信;通过认证令牌,可以对用户进行强身份认证。PKI用于认证服务器和加密会话,令牌则用于认证客户端。这种混合方案很可能会促使令牌成为未来一段时间内的主要强认证方式。
4.2现有3G中的认证过程
3G接入网部分的实体认证包含了三个方面。一是认证机制协商,该机制允许用户和服务网络安全协商将要使用的安全认证机制。二是用户身份认证,服务网络认证用户身份的合法性。三是用户对他所连接的网络进行认证。
认证和密钥分配机制完成用户和网络之间通过密钥K(128bit)相互认证,以及完成上面提到的加密密钥和完整性密钥的分配。密钥K仅存在于用户归属网络环境HE的AuC(认证中心)和UICC/USIM(用户服务识别模块)中,并且在两者之间共享。UICC是能够防止篡改的具有身份验证功能的智能卡,而USIM是运行在UICC上的一个模块。为了保证认证的安全性,一个基本要求是在给定的UICC/USIM的使用期内密钥K绝不能泄漏或者损坏。在SGSN/VLR和USIM之间执行的认证过程是基于一种交互式认证策略。另外,USIM和HE分别保存SQNms和SQNhe计数用以支持认证。序号SQNhe是用户独立的计数器,由HLR/AuC维护每个用户具有的独立序号;而SQNms是指USIM收到的最高序号。
认证与密钥分配机制[9]过程如图4.1所示,整个过程分为几个子过程:从HE/AuC发送认证消息到VLR/SGSN的过程;VLR/SGSN和MS之间相互认证和新加密和完整性密钥的建立过程;重同步过程。
其中:(1)每个认证向量包括:一个随机数、一个期望的应答、加密密钥CK、完整性密钥IK、认证令牌A;
(2)每个认证向量适用于一次VLR/SGSN与USIM之间的认证和密钥协商;
(3)认证方为用户HE的认证中心和用户移动站中的USIM。
图4.2为VLR/SGSN和MS之间相互认证、新加密和完整性密钥的建立过程。
USIM收到RAND和AUTN后,按以下步骤进行认证和新加密和完整性密钥的建立。
步骤(1)计算匿名密钥AK,并且获取序列号SQN;
步骤(2)USIM计算XMAC,将它和MAC比较,MAC包含在AUTN中。如果两者不同,用户就传送包含拒绝原因指示用户认证拒绝信息给VLR/SGSN,然后终止该过程。在这种情况下,VLR/SGSN将初始化一个认证失败报告过程给HLR。如果相同进行步骤(3)。
步骤(3)USIM校验收到的SQN是不是在正确的范围内。
步骤(4)如果序号在正确范围内,则进行步骤(5);如果序号不在正确的范围内,它将发送一个包含适当参数的同步失败信息给VLR/SGSN,然后终止该过程。VLR会根据同步失败消息向HE请求重同步过程。
步骤(5)如果序号在正确的范围内,USIM计算CK和IK。
步骤(6)USIM计算RES,该参数包含在用户认证响应中传给VLR/SGSN。
收到用户认证响应后,VLR/SGSN将响应RES与所选认证向量中获得XRES比较。如果两者相等,那么用户就通过认证。VLR/SGSN就从选择的认证向量中获得正确的CK和IK。USIM和VLR将保存原始CK和IK,直到下一次AKA完成。如果XRES和RES不相等,则初始化一个新的鉴别和认证过程。
在3G系统中,实现了用户与网络的相互认证,简单的说,通过验证XRES与RES是否相同,实现了VLR/SGSN对MS的认证;通过比较XMAC与MAC是否相同,实现了MS对HLR/AuC的认证。以上便是在3G系统中用户和网络服务商之间双向认证的一个详细过程。通过双向认证机制,3G有效的保护了用户与运营商双方的利益。
4.3WPKI应用下的实体认证
首先CA用Rabin算法和自己的私钥Pu和Qu来为网络端和移动端签发证书。网络端B的公钥为Nb,移动端A的公钥为ELGamal签名算法的公钥Pa。网络端保存相应的Rabin算法私钥Pb和Qb,移动端保存相应的ELGamal算法私钥Sa。移动端和网络端通过验证对方的证书合法性和相应的私钥来进行双向的认证。具体过程如图4.3
5身份机密性
5.1相关的安全特征
与用户身份机密性相关的安全特征如下:
用户身份机密性(useridentityconfidentiality):接受业务用户的永久身份(IMSI)在无线接入链路上不可能被窃听。
用户位置机密性(userlocationconfidentiality):用户在某一区域出现或到达,不可能在无线接入链路上通过窃听来确定。
用户的不可跟踪性(useruntraceability):入侵者不可能通过在无线接入链路上窃听而推断出不同的业务是否传递给同一用户,即无法获知用户正在使用不同的业务。
为了满足上述要求,3G系统采用了两种机制来识别用户身份,(1)在用户与服务网之间采用临时身份机制(用户的IMSI由临时身份识别号TMSI代替),为了实现用户的不可跟踪性要求用户不应长期使用同一TMSI,即TMSI要定期更换。(2)使用加密的永久身份IMSI。但是3G标准没有排斥用户直接使用IMSI进行身份识别,即GSM式身份识别。此外在3G中,任何可能暴露用户身份的信令和用户数据都要求进行加密。
5.2GSM中的身份保密
GSM系统采用用户的临时身份实现用户的身份保密。对进入其访问区的每个用户,VLR(拜访位置寄存器)都会分配一个TMSI(临时身份识别号),TMSI和IMSI一起存于VLR的数据库中,用户只要使用TMSI和位置区域标识LAI即可标识自己的身份。一般情况下不使用IMSI来识别用户。
但是当用户第一次注册或者服务网络不能根据用户的TMSI时必须使用用户的永久身份IMSI。这时IMSI将在无线链路上以明文进行传输,这就可能会造成用户身份的泄漏。显然,GSM系统在用户身份保密方面存在明显的缺陷。图5.1表示了GSM系统中身份识别的过程[10]。
5.33G中已有的身份机密性设计
现有的身份机密的方案如图:该机制由访问的VLR/SGSN发起,向用户请求IMSI。用户有两种选择进行响应,选择和GSM系统一样的直接回复明文IMSI或者使用特有的增强的身份保密机制来进行响应。
采用明文的IMSI是为了与第二代通信网络保持兼容。一般在3G系统中,移动用户配置成增强型用户身份保密机制[11]。
图5.2中,HE-message表示包含加密IMSI的消息,其组成如下:HE-message=GIEMUI,EMUI=fgk(SQNuicIMSI)。其中GI表示群身份标识,EMUI表示加密IMSI。EMUI是SQNuic和IMSI经过fgk函数加密运算得到,SQNuic表示用户认证中心UIC生成的序列号,用于保持认证的最新性,GK是用户入网时与HE/UIC及群中的其它用户共享的群密钥。HE为用户归属域。
增强型用户身份保密机制将用户的IMSI以密文形式嵌入HE-message中,VLR/SGSN不能直接解密HE-message,而是根据HE/UIC-id将HE-message传送到相应的HE/UIC。由HE/UIC根据GI检索相应的GK,用解密HE-message得到用户的IMSI,再传送给VLR/SGSN。这样做的目的是保证用户的IMSI不被窃听。此后VLR/SGSN建立用户IMSI和TMSI之间的对应关系。以后用户就用VLR/SGSN分配的TMSI进行通信。
增强型用户身份保密机制是3G引进的,规定了每个用户都属于某一个群,而每个群拥有一个GI。用户群有一个GK,该密钥安全的保存在USIM和HE/VLR中。相比2G而言用户身份的保密性有了较大的改进,但我们可以看到,从HE/UIC传给VLR/SGSN的解密用户身份IMSI仍然使用了明文方式,因此该方式也还存在一定的弱点,需要进一步的改进。而且依靠HE/UIC来进行消息的解密会使得效率低下。因此下面给出了一个基于公钥体制下的用户身份机密性的实现方案。
5.4在WPKI基础上设计的身份机密方案
首先由于无线PKI的应用,各个PKI实体都要求具有一个公钥证书。有了公钥证书,实体间才可以通过证书鉴定的方式来建立起信任关系,也更方便进行认证。为了保证用户与其公钥的一一对应。证书权威需要首先验证终端实体的身份。
证书颁发过程可以采用离线的方式,如在USIM的生产过程中就加入初始的用户的证书,或者也可以采用在线的方式或通过可信任的第三者进行证书的办法。基本认证方案如下图5.3
在3G系统中,当服务网络不能通过TMSI来识别用户身份时,将使用永久用户身份标识来鉴别用户身份,特别是在移动用户第一次在服务网络内注册,以及网络不能由用户在无线链路上的TMSI获得相应的IMSI时。用户的永久身份是一个敏感而且非常重要的数据,需要得到很好的保护,但如上文提到的在GSM中,用户的永久身份是用明文的形式发送的,3G系统对此要进行安全改进。
有了证书之后,用户首次入网注册时,就可以使用证书和IMSI一起进行注册了,具体的操作过程如下
符号说明:CertMS用户证书CertHLRHLR的证书
SKMS用户的私钥SKHLRHLR的私钥
PKHLRHLR的公钥R1,R2,Ks随机数
同样在用户的USIM中,存有CA的公钥,自己的私钥,如果已经取得自己的证书,则也应该保存在USIM中。
注册过程如下图5.4:
1.用户向网络发起入网登记请求
2.网络发送自己的证书和随机数R1给MS
3.用户收到网络的证书CertHLR,利用CA的公钥来验证HLR的真实性,如果通过验证,。首先生成两个随机数Ks,和R2,利用用户的私有密钥对(R2R1)作签名成为(R2R1)SKMS,再用HLR的公开密钥PKHLR对Ks作加密,最后利用对称性加密算法如IDEA或DES对IMSI,CertMS及(R2R1)SKms,以Ks进行加密。然后将加密信息发送到HLR,同时MS存储R1,R2,Ks,以及CertHLR。
4.网络侧收到响应后,用自己的私钥SKHLR解密消息(Ks)PKHLR得到Ks,再用Ks解密(CertMSIMSI(R2R1)SKms)Ks,得到用户的IMSI和CertMS,首先验证IMSI的合法性,然后使用HLR和CA之间的安全通道向CA发送用户的CertMS来获取用户相应的公钥PKMS,然后使用用户的公钥PKMS来解密(R2R1)SKMS,获得R2R1,如果R1确实正确,就产生一个TMSI并把TMSI和IMSI进行关联并且存储存储在服务器中,同时存储R2。至此HLR确认MS的合法性。
5.当HLR确认MS合法之后,则送回第三个信息以及生成会话密钥,否则拒绝所要求的服务。首先利用私有密钥SKHLR对R2作签名,再以Ks利用对称性的密码算法,对TMSI和IMSI及以(R2R1)SKHLR作加密,生成(TMSIIMSI(R2R1)SKHLR)Ks再将信息送至MS,最后利用R1和R2作异或运算生成会话密钥,并且将Ks删除。HLR的认证已经完成。
6.MS收到HLR的信息后,利用Ks解开信息,得到TMSIIMSI(R2R1)SKHLR,
首先检查IMSI是否是自己的IMSI,再来利用HLR的证书验证(R2R1)SKHLR是否等于(R2R1)通过验证,再利用R1和R2作异或运算生成会话密钥,并且保存TMSI在MS中否则表示注册失败。
通过以上的注册过程,在入网过程中,用户的永久身份标识IMSI从头至尾都没有用明文的形式在链路上传输,而得到了网络的认证并且获得TMSI用于以后的服务。所有使用IMSI来向网络进行认证时,通过以上方法就可以保证了用户的机密性。
对于安全性的分析:
链路上的窃听者无法获知用户的身份,从而无法知道用户的位置和所进行的服务。同时由于每次的会话密钥都是由R1和R2产生的,而且Ks是随机产生的,窃听者无法通过多次的比较获得任何通信的内容。而且即使一次会话的密钥被窃取了,也无法继续获得以后的会话密钥。因为每次R1和R2都是重新产生。对于假冒的HLR,即使可以送出第一条明文消息,但是因为不具有合法的SKHLR所有无法获得Ks,从而无法继续注册过程。同样攻击者恶意假冒MS,即使事先知道CertMS,R1,R2和(R2R1)SKMS。但是对于新的R1无法生成对应的新的(R2R1)SKMS来进行重放攻击。至于直接猜测会话密钥实际上是不可能的,因为R1虽然是明文传送,但是R2是密文传送的。
3G系统分为电路域CS和分组域PS,电路域使用TMSI和LAI来表示用户,TMSI由VLR分配,分组域使用移动用户分组P-TMSI和路由域标识RAI来表示用户,P-TMSI由SGSN分配[12]。临时身份TMSI/P-TMSI只有在用户登记的位置区和路由区中才有意义。所以,它应该与LAI或RAI一起使用。IMSI和TMSI的关联保存在用户登记的拜访位置寄存器VLR/SGSN中。
一旦用户获取了P-TMSI/TMSI后,网络就可以在接入无线链路上识别用户了。用户就可以进行如下操作:寻呼请求,位置更新请求,连接请求,服务请求,分离请求,重新建立连接请求等。
但是为了避免长期使用同一临时身份对TMSI/LAI或P-TMSI/RAI,3G系统采用TMSI的再分配机制。TMSI的更新是在安全模式建立以后由VLR/SGSN发起。分配过程如图5.5
详细步骤如下:
(1)VLR/SGSN产生一个新的TMSIn,并将该TMSIn与IMSI的关系存储在它的数据库中,然后向CA请求相应的IMSI的公钥PKMS,当CA把公钥发送回来之后,VLR/SGSN把TMSIn和一个新的位置区域标识经过用户的PKMS加密然后发送给用户。
(2)用户收到之后,使用自己的SKMS解密消息并保存TMSIn并自动删除与先前TMSIo之间的关联后,向VLR/SGSN发送应答。
(3)VLR/SGSN收到应答后,从自己的数据库中删除与旧的TMSIo的关联,TMSIn用于随后的用户身份鉴别。
(4)如果VLR/SGSN没有收到用户的确认应答信息,则网络将同时存储TMSI与IMSI的新的关联和旧的关联。然后在随后由用户发起的业务中,网络允许用户使用新的关联或旧的关联来识别自己的身份。同时网络由此可判定用户所使用的TMSI,并删除没有使用的那一对TMSI和IMSI的关联。在另一种情况下,网络发起业务,会使用用户的IMSI来识别用户,当建立连接后,网络指示用户删除TMSI。这两种情况下,网络随后都会再次发起一次TMSI的分配过程。但是如果TMSI的分配失败次数达到一定的门限值,就需要上报给O&M。
当移动用户的位置发生改变时,如果用户使用由访问VLRn分配的TMSIo/LAIo来识别自己,则可以从数据库中正常获得IMSI。如果不能,访问VLRn将要求用户使用自己的永久身份IMSI来进行识别就如同用IMSI进行首次入网注册。如果用户不是使用由拜访VLRn分配的TMSIo/LAIo来识别自己,则先前访问的VLRo和新访问的VLRn相互间交换认证数据,新的VLRn要求先前VLRo发送用户的永久身份,该过程包含在VLR相互之间交换和分发认证数据的机制中。如果先前的VLRo不能连接或者是不能得到用户的身份,访问的VLRn将要求用户使用永久身份IMSI来识别。
至此用户可以使用TMSI或者IMSI来进行入网注册,而同时保证了身份的机密性。
6结论
随着3G网络技术的飞速发展以及无线PKI相关技术的应用,无线PKI在3G系统中的应用也会越来越成熟。同时随着终端处理能力的提升,公钥体制在实现用户身份机密性的过程中,会相比单钥体制具有更多的优势。因为在单钥体制下,用户的安全依赖于网络,而现在使用公钥技术来保护用户的身份,因为用户的私钥只有用户自己知道,身份的机密性不再依赖于网络。
但是在使用公钥体制和WPKI相结合的方案下,需要解决的是更好的保护用户证书的安全性,因为对于网络内部来说,盗取证书是可能的。而且对于CA的安全性能也提出了更高的要求。
参考文献
[1]孙林红,叶顶锋,冯登国.无线PKI体系的设计.中国科学院研究生院学报,2002.19(3):223~228
[2]WirelessApplicationProtocolForum.Version24-Apr-2001.WirelessApplicationProtocolPublicKeyInfrastructureDefinition
[3]Symeon(Simos)XenitellisOpenCATeamVersion2.4.6Edition,2000.TheOpen–sourcePKIBook:AguidetoPKIsandOpen–sourceImplementations
[4]张平.第三代蜂窝移动通信系统-WCDMA.北京:北京邮电大学出版社2001,19~22
[5]隋爱芬,杨义先.第三代移动通信系统的安全.世界电信,2003,5:37~40
[6]肖宁.WCDMA系统接入安全机制的研究.重庆邮电学院学报,2004.16(3):43~46
[7]林德敬,林柏钢,林德清.3GPP系统全系列信息安全及其算法设计与应用.重庆邮电学院学报,2003,15(4):18~23
[8]AndrewNash,WilliamDuane,CeliaJoseph,DerekBrink著;张玉清,陈建奇,杨波,薛伟译.公钥基础设施(PKI)实现和管理电子安全.北京:清华大学出版社2002,255~314
[9]3GPPTechnicalSpecification33.102V6.3.0,2004-12.3GSecurityarchitecture[S].
[10]李世鸿,李方伟.3G移动通信中的安全改进.重庆邮电学院学报,2002.14(4):24~32
