网络的安全系统系统概述_第1页
网络的安全系统系统概述_第2页
网络的安全系统系统概述_第3页
网络的安全系统系统概述_第4页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、实用标准文案网络安全概述1、概述IEEE 802.16d安全子层,提供鉴权、安全密钥交换和加密并定义了加密封装协议、密钥管理( PKM )协议,提供多种管理信息和业务的加密密钥和算法,并提供用户认证和设备认证两种认证方式。2 、体系结构在 802.16d 版本中主要是通过在MAC (媒体接入控制) 层中定义了一个安全子层来提供安全保障, 如图 1 所示。安全子层主要包括两个协议:数据加密封装协议和密钥管理协议。其中数据加密封装协议定义了IEEE 802.16d 支持的加密套件,即数据加密与完整性验证算法,以及对MACPDU 载荷应用这些算法的规则。而密钥管理协议则定义了从基站向用户工作站分发密

2、钥数据的安全方式,两者之间密钥数据的同步以及对接入网络服务的限制。2.1MAC 层IEEE 802.16d的安全规范主要存在于MAC 层上。MAC 层通过安全子层来实现安全策略, 它提供了安全认证、 安全密钥交换和加密, 其目标是提供接入控制和保证数据链路的机密性。在 WiMAX 网络中,当两个节点建立一个链接时,它们通过一系列协议来确保两者之间的机密性和惟一连接。基站( BS)和用户站( SS)之间的握手机精彩文档实用标准文案制是通过 MAC 层中的安全子层完成的,其中包含5 个实体:安全联盟( SA)、X.509 证书、 PKM 认证、机密性密钥管理和加密。根据 WiMAX的最初草案文件,

3、通过安全子层提供机密性、校验和加密,然而为了达到更好的安全保障,在无线协作骨干网中需要一种端到端的安全策略,它能提升最初草案中的安全机制。2.2物理层IEEE 802.16d的安全机制主要位于MAC 层的安全子层,大部分运算法则和安全机制也都工作于此。 物理层和 MAC 层是紧密联系在一起的,物理层上的安全策略主要以密钥交换、 编码、解码的形式存在,用于对入侵者隐藏数据信息。另外一个与物理层相关的方面就是传输功率。未经授权频段的WiMAX与已获授权频段的 WiMAX的功率水平相比较低,其目的是减少干扰半径。由于调制也是在物理层上完成的,基于这种考虑, 其他安全措施也可以安置于物理层上。 因为数

4、据对应一个特定的接收者,不可能被其他接收者解码,所以扩频也可以作为一种安全措施。这意味着如果某个接收者不知道扩频码,即使拥有对数据的物理接入,也无法解码该数据包。2.3安全层WiMAX安全规范的核心基于MAC 层协议栈的安全子层,大部分的算法和安全机制都以 MAC 控制信息的形式存在于此。所以,WiMAX可以自由地选取工作在 7 层模型中更高层(如网络层、传输层、会话层等)上的安全机制,这些精彩文档实用标准文案机制包括 IP 安全(IPSec)协议、传输层安全(TLS)协议和无线传输层安全 (WTLS)协议。该子层提供接入控制,通过电子签名认证用户和设备,并且应用密钥变换进行加密以保证数据传输

5、的机密性。当两个设备建立连接, 协议发挥了确保机密性和认证接入设备的作用。BS 和 CPE(用户端设备)之间的协调通信通过 MAC 层的安全子层实现。3 、802.16d的安全关键技术3.1包数据加密包数据加密有 3 种方式: 3-DESEDE( encrypt-decrypt-encrypt)、 AES ECB(electroniccodebook)、 RSA 1 024bit ,密钥在认证过程中分发,且动态更新。3.2密钥管理协议PKM 使用 X.509 数字证书、 RSA 公钥算法以及强壮的加密算法来实现BS和 SS 之间的密钥交换。PKM 协议使用了 C/S 模型,在这个模型中, SS

6、 作为 PKM 的“ Client ”,向 BS 请求密钥资源,而 BS 作为 PKM 的“ Server ”,对这些请求进行响应,确保了每个 SS 只收到向它授权的密钥资源。 PKM 协议使用 PKM-REQ 和 PKM -RSP 等 MAC 管理消息完成这个过程。精彩文档实用标准文案PKM 协议用公钥加密机制在BS 和 SS 之间建立共享密钥( AK),确保后续 TEK(数据加密密钥)的安全交换。这种密钥分发的两层机制使得 TEK 的更新不再需要公钥操作的计算代价。3.3安全联盟一个 SA 是 BS 和 ClientSS(一个或多个)之间为了支持在IEEE 802.16网络上的安全通信而共

7、享的一个安全信息集合。定义了3 种 SA:基本 SA、静态 SA、动态 SA。每个可管理的 SS 在初始化过程中都会建立一个基本 SA。静态 SA 由 BS 提供。动态 SA 根据特定服务流的初始化和终止而建立和删除。静态 SA 和动态 SA 都能被多个 SS 共享。一个 SA 的共享信息应该包括在该SA 上使用的 cryptographicsuite ,还可能包括 TEK 和初始化向量。 SA 的具体内容取决于SA 的 cryptographicsuite,SA 由 SAID 惟一标识。每个可管理的 SS 应该与 BS 之间建立一个惟一的基本SA,该 SA 的 SAID应该等于该 SS 的

8、Basic CID 。一个 SA 的密钥资源(如 DES 密钥和 CBC 初始化向量)都有一个有限的生命周期。当 BS 将 SA 密钥资源发给 SS 时,它同时也提供了该密钥资源的剩余生存时间。在 SS 当前持有的密钥资源失效时, SS 就会向 BS 请求新的密钥资源。如果在新的密钥收到之前,当前密钥失效,SS 就会重新进行网络登录。 PKM 协议规定了如何使BS 和 SS 之间保持密钥同步。精彩文档实用标准文案3.3.1SA 与连接之间的映射下列规则用于连接与SA 之间的映射关系。所有的传输连接应该映射到一个已经存在的SA。多播传输连接可能映射到任意一个静态或动态SA。SecondaryMa

9、nagement连接应该映射到基本SA。Basic 和 PrimaryManagemnet连接不应该映射到任何SA。在实际应用中, 上述这些映射关系的实现是通过在DSA-XXX 消息中包含 SA 的 SAID 和相应的 CID 来实现的。 SecondaryManagement连接和基本 SA之间的映射不必明确指出。3.3.2动态 SA 的建立和映射动态 SA 是 BS 为了响应特定的下行业务流的enabling和 disabling而动态建立和终止的 SA。SS 通过 DSx 消息的交换获得特定的privacy-enabled业务流与它的动态分配的SA 之间的映射。通过向 SS 发送 SA

10、addmessage ,BS 能动态建立 SA。一旦收到一个 SAaddmessage ,SS 就会为该消息中的每个SA 开始一个 TEK 状态机。当建立一个服务流时, SS 可能在 DSA-REQ 或 DSC-REQ 消息中传送一个已经存在的 SA 的 SAID 。BS 检查此 SA 的 SS 是否得到授权,然后利用DSA-RSP 或 DSC-RSP 消息相应地产生正确的响应。精彩文档实用标准文案在 BS 发起的动态服务流建立过程中, BS 可能将一个新的服务流和一个已经存在的、 SS 支持的 SA 进行映射,这个 SA 的 SAID 在 DSA-REQ 或 DSC-RE Q 中发送给 SS

11、。3.3.3CryptographicSuiteCryptographicSuite 是 SA 中用于数据加密、数据认证以及 TEK 交换的方法的集合,它应该是表1 中的某一个。4 、WiMAX安全机制存在的问题及未来改进从前面 802.16d 版本安全机制可以看出,安全机制主要存在以下问题。单向认证。只能基站认证工作站,工作站不能认证基站,这样可能导致中间人攻击。认证机制缺乏扩展性。认证机制只是基于X.509 证书,因此缺乏扩展性。缺乏抗重放保护。攻击者可以通过截获数据包进行重放来对系统发起攻击。在802.16d版本对数据的加密采用的是DES-CBS 算法,这种算法的密钥长度只有 56 bi

12、t ,容易遭受到穷举攻击。802.16e 为了解决 802.16d 中安全机制存在的一些问题,主要做了以下改进。精彩文档实用标准文案新的 PKM 协议, PKMv1 仅提供基于设备的单向认证,PKMv2 提供 MAC 层的用户鉴权和设备认证双重认证。用户认证采用类似Wi-Fi 的体系结构,增加了认证中继单元,即WiMAX安全框架由请求者、认证中继、认证系统和认证服务器系统 4 部分组成。认证系统( AAA 代理)和认证服务器系统( AAA 服务器)之间的交互采用封装方式。引进了 AES-CCM 数据加密协议。 AES-CCM 是基于 AES 的 CCM 模式,该模式结合了 Counter (计

13、数器)模式(用于数据保密)和CBC-MAC (cipher blockchainingmessageauthenticationcode )模式(用于数据完整性鉴权),这样就解决了802.16d版本中安全机制缺乏抗重放保护和加密算法本身不安全的问题。在802.16e 中为了支持快速切换,引进了预认证的概念。多播安全方面, WiMAX论坛目前只提供了一些草案:多播传输连接可以映射到任何静态的或动态的安全关联,用于更新TEK 的密钥请求和密钥回应消息通过 Primary 管理连接来装载。但是 802.16e 安全仍然有很多问题需要进一步改进。在 IEEE 802.16e 中提出了双向认证概念,它需

14、要BS 颁发数字证书,但是使用双向认证时也允许单向认证存在,并且增加了系统代价和实现复杂度,新厂商加入时会引起所有厂商的信任列表更新,这些有待改进。精彩文档实用标准文案要想真正保证 WiMAX的安全性,还必须扩大安全子层,对管理信息进行加密;规范授权 SA;规范随机数发生器;改善密钥管理;实现包括WLAN 、WAPI 等的无线多网互通安全机制报告,最后还要考虑与2G 、3G 系统共用 AAA体系的过程。 WiMAX在标准制定中已经将SS 接入控制的安全性需求放在了重要的位置上, 一些最新的认证和密钥管理技术被引入标准。然而,这些安全接入控制技术在实际操作中还存在诸多问题,如如何合理使用, 是否存在其他安全问题,是否符合网络部署地区实际情况等。国外的厂家一般根据标准的要求和WiMAX 论坛的要求制定自己产品和解决

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论