网络安全概述

发布 2020-04-28 06:47:28 阅读 7638

由于调制也是在物理层上完成的,基于这种考虑,其他安全措施也可以安置于物理层上。因为数据对应一个特定的接收者,不可能被其他接收者解码,所以扩频也可以作为一种安全措施。这意味着如果某个接收者不知道扩频码,即使拥有对数据的物理接入,也无法解码该数据包。

2.3 安全层。

wimax安全规范的核心基于mac层协议栈的安全子层,大部分的算法和安全机制都以mac控制信息的形式存在于此。所以,wimax可以自由地选取工作在7层模型中更高层(如网络层、传输层、会话层等)上的安全机制,这些机制包括ip安全(ipsec)协议、传输层安全(tls)协议和无线传输层安全(wtls)协议。该子层提供接入控制,通过电子签名认证用户和设备,并且应用密钥变换进行加密以保证数据传输的机密性。

当两个设备建立连接,协议发挥了确保机密性和认证接入设备的作用。bs和cpe(用户端设备)之间的协调通信通过mac层的安全子层实现。

.16d的安全关键技术。

3.1 包数据加密。

包数据加密有3种方式:3-des ede(encrypt-decrypt-encrypt)、aes ecb(electronic codebook)、rsa 1 024 bit,密钥在认证过程中分发,且动态更新。

3.2 密钥管理协议。

pkm使用x.509数字证书、rsa公钥算法以及强壮的加密算法来实现bs和ss之间的密钥交换。

pkm协议使用了c/s模型,在这个模型中,ss作为pkm的“client”,向bs请求密钥资源,而bs作为pkm的“server”,对这些请求进行响应,确保了每个ss只收到向它授权的密钥资源。pkm协议使用pkm-req和pkm-rsp等mac管理消息完成这个过程。

pkm协议用公钥加密机制在bs和ss之间建立共享密钥(ak),确保后续tek(数据加密密钥)的安全交换。这种密钥分发的两层机制使得tek的更新不再需要公钥操作的计算代价。

3.3 安全联盟。

一个sa是bs和client ss(一个或多个)之间为了支持在ieee 802.16网络上的安全通信而共享的一个安全信息集合。定义了3种sa:

基本sa、静态sa、动态sa。每个可管理的ss在初始化过程中都会建立一个基本sa。静态sa由bs提供。

动态sa根据特定服务流的初始化和终止而建立和删除。静态sa和动态sa都能被多个ss共享。

一个sa的共享信息应该包括在该sa上使用的cryptographic suite,还可能包括tek和初始化向量。sa的具体内容取决于sa的cryptographic suite,sa由said惟一标识。

每个可管理的ss应该与bs之间建立一个惟一的基本sa,该sa的said应该等于该ss的basic cid。

一个sa的密钥资源(如des密钥和cbc初始化向量)都有一个有限的生命周期。当bs将sa密钥资源发给ss时,它同时也提供了该密钥资源的剩余生存时间。在ss当前持有的密钥资源失效时,ss就会向bs请求新的密钥资源。

如果在新的密钥收到之前,当前密钥失效,ss就会重新进行网络登录。pkm协议规定了如何使bs和ss之间保持密钥同步。

3.3.1 sa与连接之间的映射。

下列规则用于连接与sa之间的映射关系。

●所有的传输连接应该映射到一个已经存在的sa。

●多播传输连接可能映射到任意一个静态或动态sa。

●secondary management连接应该映射到基本sa。

●basic和primary managemnet连接不应该映射到任何sa。

在实际应用中,上述这些映射关系的实现是通过在dsa-xxx消息中包含sa的said和相应的cid来实现的。secondary management连接和基本sa之间的映射不必明确指出。

3.3.2 动态sa的建立和映射。

动态sa是bs为了响应特定的下行业务流的enabling和disabling而动态建立和终止的sa。ss通过dsx消息的交换获得特定的privacy-enabled业务流与它的动态分配的sa之间的映射。

通过向ss发送sa add message,bs能动态建立sa。一旦收到一个sa add message,ss就会为该消息中的每个sa开始一个tek状态机。

当建立一个服务流时,ss可能在dsa-req或dsc-req消息中传送一个已经存在的sa的said。bs检查此sa的ss是否得到授权,然后利用dsa-rsp或dsc-rsp消息相应地产生正确的响应。

在bs发起的动态服务流建立过程中,bs可能将一个新的服务流和一个已经存在的、ss支持的sa进行映射,这个sa的said在dsa-req或dsc-req中发送给ss。

3.3.3 cryptographic suite

cryptographic suite是sa中用于数据加密、数据认证以及tek交换的方法的集合,它应该是表1中的某一个。

4、wimax安全机制存在的问题及未来改进。

从前面802.16d版本安全机制可以看出,安全机制主要存在以下问题。

●单向认证。只能基站认证工作站,工作站不能认证基站,这样可能导致中间人攻击。

●认证机制缺乏扩展性。认证机制只是基于x.509证书,因此缺乏扩展性。

●缺乏抗重放保护。攻击者可以通过截获数据包进行重放来对系统发起攻击。

●在802.16d版本对数据的加密采用的是des-cbs算法,这种算法的密钥长度只有56 bit,容易遭受到穷举攻击。

802.16e为了解决802.16d中安全机制存在的一些问题,主要做了以下改进。

●新的pkm协议,pkmv1仅提供基于设备的单向认证,pkmv2提供mac层的用户鉴权和设备认证双重认证。用户认证采用类似wi-fi的体系结构,增加了认证中继单元,即wimax安全框架由请求者、认证中继、认证系统和认证服务器系统4部分组成。认证系统(aaa**)和认证服务器系统(aaa服务器)之间的交互采用封装方式。

●引进了aes-ccm数据加密协议。aes-ccm是基于aes的ccm模式,该模式结合了counter(计数器)模式(用于数据保密)和cbc-mac(cipher block chaining message authentication code)模式(用于数据完整性鉴权),这样就解决了802.16d版本中安全机制缺乏抗重放保护和加密算法本身不安全的问题。

●在802.16e中为了支持快速切换,引进了预认证的概念。

●多播安全方面,wimax论坛目前只提供了一些草案:多播传输连接可以映射到任何静态的或动态的安全关联,用于更新tek的密钥请求和密钥回应消息通过primary管理连接来装载。

但是802.16e安全仍然有很多问题需要进一步改进。

在ieee 802.16e中提出了双向认证概念,它需要bs颁发数字证书,但是使用双向认证时也允许单向认证存在,并且增加了系统代价和实现复杂度,新厂商加入时会引起所有厂商的信任列表更新,这些有待改进。

要想真正保证wimax的安全性,还必须扩大安全子层,对管理信息进行加密;规范授权sa;规范随机数发生器;改善密钥管理;实现包括wlan、wapi等的无线多网互通安全机制报告,最后还要考虑与2g、3g系统共用aaa体系的过程。wimax在标准制定中已经将ss接入控制的安全性需求放在了重要的位置上,一些最新的认证和密钥管理技术被引入标准。然而,这些安全接入控制技术在实际操作中还存在诸多问题,如如何合理使用,是否存在其他安全问题,是否符合网络部署地区实际情况等。

国外的厂家一般根据标准的要求和wimax论坛的要求制定自己产品和解决方案的安全方案,在芯片层面增加了安全的部件来实现传输数据的安全,另外也在应用层面上支持802.1x、radius等认证机制来提高整个运营系统的认证安全。国内的厂家研究一般侧重于增强认证体系的引入,如eap、eap-sim、eap-aka等认证技术,强调与2g、3g网络的统一安全认证结合过程。

在当前的802.16e安全机制中增加了多播的建议,但这也带来了基站负担加重和更新及回应密钥请求效率低等问题。

网络安全作业概述

实验题目 1 playfair算法。2 des算法。3 idea算法或者rc5算法。4 md5算法或者sha 1算法。5 用winnetcap 不知道是不是这款软件 抓包工具进行抓包。具体要求 打开网卡设置,使网卡处于混杂模式,接货数据包,并进行过滤,只抓取http数据包。实验报告提交要求 五个实验...

网络安全需求概述

1 主要网络安全威胁 网络系统的可靠运转是基于通讯子网 计算机硬件和操作系统及各种应用软件等各方面 各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网 主机环境 单机环境,安全问题变得越来越复杂...

网络安全技术概述

本质上讲,网络安全就是网络上的信息安全。从广义上来说,凡是涉及到网络信息的保密性 完整性 可用性 真实性和可控性得相关技术和理论都是网络安全的研究领域。信息安全的技术主要包括监控 扫描 检测 加密 认证 防攻击 防病毒以及审计等几个方面,其中加密技术是信息安全的核心技术,已经渗透到大部分安全产品之中...