《通信网的安全与保密》概述.docx

1、通信网的安全与保密概述HEFEI UNIVERSITY通信网的安全与保密课程综述报告题 目： 通信系统网络安全发展分析 系 别： 电子信息与电气工程 专业 班级： 学 号： 姓 名： 导 师： 成 绩： 2014年 05月 16 日摘要: 当代通信技术的发展是全方位的,从有线到无线,从地上到空中,从电通信到光通信以及各种新业务的综合,尤其是它和计算机技术的结合,进一步推动了现代通信技术的发展。当今，全球无线通信产业的两个突出特点体现在：一是公众移动通信保持增长态势,一些国家和地区增势强劲,但存在发展不均衡的现象；二是宽带无线通信技术热点不断,研究和应用十分活跃。尽管全球移动市场在增长,但这种增

2、长也呈现出很大的不均衡性。通信网络的安全直接影响到信息传输的状态和为用户提供的服务质量。通信网络安全主要是对通信终端盒通信终端之间相连接的传输路线、设备和协议进行管理，特别是对通信网络的组成方式、拓扑结构和网络应用进行管理，保障信息传输的安全性。本文主要介绍了有线通信和无线通信系统网络安全发展的现状、趋势以及新技术。关键词:有线通信 无线通信 网络安全 新技术题 目： 通信系统网络安全发展分析 0摘要: 1正文: 21、有线通信系统网络安全 21.1有线通信网络安全的发展现状 31.2有线通信网络面临的安全威胁 31.3有线网络安全问题的解决措施 41.4无线通信网络安全的发展趋势 51.5

3、有线通信网络安全的新技术 72、无线通信系统网络安全 82.1无线通信网络安全的发展现状 82.2无线通信网络面临的安全威胁 82.4无线通信网络安全的发展趋势 132.5无线通信网络安全的新技术 14总结: 16参考文献: 19正文: 通信网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。通信网络安全是一门涉及计算机科学、网络技术、通信技术

4、、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。下面主要从有线通信和无线通信系统网络安全讨论通信系统网络安全发展的现状、趋势以及新技术。1、有线通信系统网络安全所谓有线通信网络安全，是指根据网络特性通过相应的安全技术和措施防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到破坏，防止非特权用户窃取服务。也就是说，通过采取各种安全技术措施，防止通信网络自然或人为破坏，确保网络正常运行。从网络的运行环节来分，网络安全有设备安全、数据传输安全、用户识别安全等几个方面。1.1有线通信网络安全的发展现状有线网络信息安全工作组是一个年轻的标准化组织，目前只有一个标准达到发布阶

5、段，2个标准达到报批稿阶段，绝大部分文稿处于起草阶段。当前网络安全比较关注设备安全，大部分项目都是设备安全技术要求以及设备安全测试方法。这些设备方面的技术要求和测试方法都将与入网管制配套。 当前网络层安全研究较少，主要是框架研究，包括感知IP网络安全框架与电信级IP承载网安全框架。 当前业务网安全主要集中在VoIP业务方面，主要是软交换和H.323方面的安全。包括安全框架、管理运维等。其他业务相关的安全还主要在各个业务的总体技术要求中考虑。 信息传递安全方面基本没有研究。 有害信息控制方面有一些研究，制定了增值业务网络信息安全保障基本要求。未来可能会有大量工作有待完成。 传统网络方面安全研究较

6、少，只有程控交换机安全技术要求，这种现状与我国传统电信网安全基本满足需求相适应。 1.2有线通信网络面临的安全威胁 干线通信以光纤通信为代表,容量自20世纪90年代以来一直发展很快。低损耗、高容量、低色散的单模光纤在通信干线中占绝对的主导地位。中继站距离可达100200km,高效率低噪声光放大器可使最大无电中继距离达500600km。各种色散补偿装置增加了色散受限系统的色散容限。传输系统从PDH过渡到SDH,SDH 体制下电路等级从STM -1发展到STM-64,密集波分DWDM使一根光纤的容量有上百倍的增加。交换系统的背板容量和吞吐率有上百倍的提高,骨干路由器和交换机提供多个吉位接口。面临的

7、主要安全威胁有：信令网安全：传统电话网络的信令网曾经是一个封闭的网络，相对安全。然而随着软交换等技术的引入，信令网逐渐走向开放，无疑增加安全隐患。 电磁安全：随着侦听技术的发展以及计算机处理能力的增强，电磁辐射可能引发安全问题。 设备安全：当前设备容量越来越大，技术越来越复杂。复杂的技术和设备更容易发生安全问题。 链路安全：通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时，基本都敷设并集中在铁路桥（或公路桥）上，可能出现“桥毁缆断”通信中断的严重局面 网络遭受战争、自然灾害：在网络遭受战争或自然灾害时，网络节点可能经受毁灭性打击，链路可能大量中断。 网络被流量冲击：

8、当网络收到流量冲击时，可能产生雪崩效应：网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起，也可能是受到恶意攻击。 终端安全：典型的多业务终端是一个计算机，与传统的专用傻终端例如电话相比，智能终端故障率以及配置难度都大大提高。 网络业务安全：多业务网络很少基于物理端口或者线路区分用户，因此业务被窃取时容易产生纠纷。 网络资源安全：多业务网络中，用户恶意或无意（感染病毒）滥用资源（例如带宽资源）会严重威胁网络正常运行。垃圾邮件几乎摧毁了互联网电子邮件的信誉。 同步外安全：同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GP

9、S系统出现问题将对现有网络造成不可估量的损失。 通信内容安全：网络传输的内容可能被非法窃取或被非法使用。 有害信息扩散：传统电信网不负责信息内容是否违法。随着新业务的开展，NGN必须关注有害信息通过网络扩散传播。 1.3有线网络安全问题的解决措施1.3.1密码技术密码技术的基本思想是伪装信息，密码技术由明文、密文、算法和密钥构成。其中密钥管理是一个非常重要的问题，是一个综合性的技术，涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。密码类型基本有3 种，即移位密码、代替密码和乘积密码。移位密码是一种通过改变明码中每个字符或代码的相对位置获得的密码；代替密码是一种用其它字符或代码代替

10、明码字符后获得的密码；乘积密码则是一种通过混合代替方法使明码变成难以破译的密码。在实际加密过程中，一般不单独使用一种密码，而是将上述3 种密码经过多次变换迭代生成。1.3.2用户识别技术为了使网络具有是否允许用户存取数据的判别能力，避免出现非法传送、复制或篡改数据等不安全现象，网络需要采用识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常使用的识别用户的方法。通常口令字由计算机系统随机产生，虽然会增加用户记忆困难，但是随机产生的口令字不易猜测，保密性强。必要时，还可以随时更改，实行固定或不固定使用有效期制度，进一步提高其安全性。唯一标识符适用于高度安全网络系统，对存取控制和网络

11、管理实行精确而唯一地标识用户。每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字，而且该数字在系统周期内不会被别的用户再度使用。标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式，一个标记是一个口令的物理实现，用它来代替系统打入一个口令。一个用户必须具有一个卡片，但可用于多个口令的使用，以提高其安全性。1.3.3入侵检测技术入侵检测技术又称为IDS，作用在于：识别针对网络的入侵行为，并及时给出报警或采取安全措施以御敌于国门之外，它在计算机网络中是非常有效的安全技术。目前计算机网络大都是基于单一的TCP/IP 协议，其入侵行为的模式有一定规律可循，而通信网络本身就具有不同的种类，

12、有完全不同的内部管理和信令协议，因此通信网络入侵检测技术对于一般的通信网协议具有针对性，我们可以利用这一特点，设计基于节点的入侵检测系统或设计基于网络的入侵检测系统，基于节点的工作日志或网管系统的状态搜集、安全审计数据以及对网络数据包进行过滤、解释、分析、判断来发现入侵行为。1.3.4通信网络内部协议安全通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能，它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击，来达到控制网络的目的，这是通信网络安全防护所需注意的特点之一。攻击网络协议

13、的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息，并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行，造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具，它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中，如果能够做到对于一个完整的信令过程一次加密，则安全性能够得到保证.1.4无线通信网络安全的发展趋势终端趋向智能化：当前技术条件下，网络已经能承载多种业务

14、。每个业务建设一张新网的模式已不再适合。为在一张网络上开展多种业务，必须将部分网络的智能转移到终端上。随着智能向终端的转移，可以预期会出现很多过去公共电信基础设施上没有出现过的安全问题。因此未来终端智能化是不可避免的，必须将智能在网络和终端合理分配才能有效保障公共电信基础设施安全。 业务趋向多样化：当前公共电信基础设施提供的业务比较单一，除了点到点的传输外就是电话业务。随着技术和市场的进一步发展，增值业务已成为运营中重要的内容。公共电信基础设施将不可避免地提供多种业务，满足各种个性化的需求。当然增值业务可以由公共电信基础设施运用商直接提供，也可以由内容提供商、应用提供商单独提供。 网络有能力多

15、业务：在传统电信网上，每个网络承载一种业务。电话网提供电话业务、DDN网提供数据业务、X.25网提供X.25数据业务。即使是ATM网也基本只提供专线和虚拟专用网业务。随着IP网络的发展，网络承载多业务已成为可能。单一网络承载多业务能显著降低运维成本。部分新型电信运营商在此作了有益的尝试。因此未来网络承载多业务将是一个重要的选择。 接入趋向无线：移动通信的出现已经极大地改变的生活。随着802.11的广泛使用，桌面局域网技术有了新的重要选择。未来能进行短距离（10米内）特别连接的无线个人域网（WPAN）设备会有很大的发展。速率更高、安全、漫游和网管性能更好、能与移动网融合的无线局域网设备与能把接入

16、点覆盖范围延伸到十几公里的无线网状网（Wireless mesh）设备也会出现。3G技术可以预期。农村和偏僻地区会有低成本无线接入设备。计算能力不断增强：个人计算机系统的计算能力不断增强。原有安全的加密算法逐渐变得不安全。随着终端计算能力的不断增加，为终端智能化提供了技术可能性。按照莫尔定律，可以预见计算能力还会不断增加。计算能力不断增加，伴随体积进一步减小仍然是不可避免的趋势。 设备端口速度不断增加，容量不断增大：以数据网络设备为例，最初路由器广域网接口9600kbps-2Mbps，随即出现了155Mbps、2.5Gbps接口，当前10G接口已商用。未来接口会到达40G甚至更高。设备容量也有

17、类似规律。光网络设备、电话交换机设备都有类似发展历程。因此在“十一五”期间，可以预期端口速度仍会不断增长，设备容量也会不断增长。 网络规模继续扩张：随着技术的发展，电信网络规模越来越大。随着社会的进步，通信需求也会进一步增长，可以预期的是网络规模会进一步增长。在一个规模空前的大网上可能会出现各种意想不到的问题。网络复杂性也会随着网络规模的增长而增加。在当前网络上的运营经验并不能完全照搬到未来网络上。因此在“十一五”期间网络规模的增长会影响公共电信基础设施的安全。 新的通信技术不断出现：技术的发展决定随着技术的进步，新的通信技术和手段会不断涌现。 新的网络安全威胁不断出现：随着新技术、新业务、新

18、运营方式的不断涌现，新的网络威胁会不断出现。公共电信基础设施会受到越来越多，各种各样新的安全威胁。随着互联网成为电信网络，互联网上的安全威胁越来越影响通信。垃圾邮件当前已成为全世界关注的问题。因此在“十一五”期间安全威胁的不断涌现将不可避免。 公共电信基础设施主要提供专线业务以及话音业务，上述网络与业务完全不能分离。在业务与网络合一情况下，只要网络自身是安全的就能正常提供服务。此外最初公共电信基础设施不关注传输的内容，只作一定的服务质量保障。因此最初公共电信基础设施主要关注网络自身安全。随着网络提供多业务情况的出现以及互联网的出现，网络安全必须关注业务提供安全；在互联网上必须关注内容安全；在越

19、来越注重隐私的现实环境中必须关注内容传输的私密性。因此公共电信基础设施安全将从只关注网络自身安全转变为网络自身安全、服务提供安全与内容安全、传输安全并重。 1.5 有线通信网络安全的新技术日本一研究小组开发的量子密钥技术在现实条件下实现了信息经光纤的安全传输，这一成果有望成为有线通信中防止信息泄露的有效手段。日本科学技术振兴机构和日本电气公司日前联合发布新闻公报称，两家机构开发的一种新技术，能从利用量子密码通信传输的数据中，推断出被窃听者所被窃取的信息量，研究人员以此为基础开发出能在现实传输条件下确保安全性的量子密钥分配系统。用这些新技术生成的随机数列作密钥可确保信息经光纤传输后，即使被窃取，

20、所窃取的信息量也微乎其微。量子理论认为，微观世界具有很多奇特的现象，利用这些现象可以实现信息的传输，其保密性很强。量子密码通信在把信息内容加密后传输的同时，把解密密钥也一起传输给对方。这种通信方式的解密密钥不重复使用，理论上可保证信息不被窃取，但仍然有漏洞。研究小组此次推出的新成果改变了以往将完整的解密密钥传给对方的做法，而是将组成密钥的信息分散传输。对方接收到密钥“零部件”信息后，通过分析这些信息可推断出被窃取的信息量，将被窃取的信息从“零部件”中删除，用剩余的信息生成最终充当密钥的随机数列。试验结果表明，如果是个字母组成的密钥，那么应用新成果后，密钥被窃取的可能性只有的次方分之一，接近无法

21、窃取密钥的理论状态。公报说，今后研究小组将推动系统的低噪音化，以提高密钥生成的效率，并力争年后新成果投入市场。2、无线通信系统网络安全无线通信技术是以无线电波为介质的通信技术。为避免系统间的互相干扰，所有无线通信系统使用国际（或国家）规定的频率资源，不同的无线通信系统使用不同的无线频段。无线通信与有线通信最大的区别：不同的通信目的和通信手段构成了不同的无线传播环境。2.1无线通信网络安全的发展现状新千年伊始，3G无线通信系统的发展在世界各国均呈现出一派繁荣景象，到处只闻“清平之乐，笙竹之声”。但是，2001年世界范围的网络经济泡沫破裂以及全球经济发展的不景气使3G无线通信系统的发展遭遇了冷彻骨

22、髓的寒冬。随着朗迅、北电网络、爱立信及诺基亚等电信设备制造商股价的全面下挫，美国华尔街的投资分析师们不断惊呼，互联网是股市毒药，光纤是股市毒药，3G是股市毒药。在无线通信技术的研究方面，人们并没有因3G无线通信系统的波折而裹足不前。目前，我国己开始了后三代（Beyond3G)无线通信系统的试运行。后三代无线通信也称为第四代(Fourth一Generation，4G)无线通信或NextG 无线通信。显然，3G无线通信系统的不完善客观上成为了NextG 无线通信系统的“催生婆”。 NextG无线通信系统的主要特征是“移动”，与3G的“无线”特征有一定差异。NextG无线通信系统将是一个能更好支持多

23、环境和多业务的系统，多载波、多址与多天线等技术将在其中得到广泛应用。在NextG无线通信系统中 宽带数据业务、多媒体业务和因特网(Intemet)业务将逐渐代替语音业务的主导地位。NextG无线通信系统大致可划分为NextG 无线接入系统与NextG无线移动系统两部分。目前，中国移动在上海、浙江等10个城市启动4G网络覆盖。2.2无线通信网络面临的安全威胁 无线通信网络之所以得到广泛应用，是因为无线网络的建设不像有线网络那样受地理环境的限制，无线通信用户也不像有线通信用户受通信电缆的限制，而是可以在移动中通信。无线通信网络的这些优势都来自于它们所采用的无线通信信道，而无线信道是一个开放性信道，

24、它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素，如通信内容容易被窃听、通信内容可以被更改和通信双方身份可能被假冒等。当然，无线通信网络也存在着有线通信网络所具有的不安全因素。2.2.1无线窃听在无线通信网络中，所有网络通信内容（如移动用户的通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间信令信息等）都是通过无线信道传送的。而无线信道是一个开放性信道，任何具有适当无线设备的人均可以通过窃听无线信道而获得上述信息。虽然有线通信网络也可能会遭到搭线窃听，但这种搭线窃听要求窃听者能接触到被窃听的通信电缆，而且需要对通信电缆进行专门处理，这样就很容易被发现。而无线窃听

25、相对来说比较容易，只需要适当的无线接收设备即可，而且很难被发现。对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听，因为它们都工作在全球统一公开的工业、科学和医疗频带（如2.5GHz和5GHz的ISM频带），任何个人和组织都可以利用这个频带进行通信。而且，很多无线局域网和无线个人区域网络采用群通信方式来相互通信，即每个移动站发送的通信信息其他移动站都可以接收，这些使得网络外部人员也可以接收到网络内部通信内容。无线窃听可以导致信息（如通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信令信息等）泄露。移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。

26、无线窃听除了可以导致信息泄露外，还可以导致其他一些攻击，如传输流分析，即攻击者可能并不知道真正的消息，但他知道这个消息确实存在，并知道这个消息的发送方和接收方地址，从而可以根据消息传输流的这些信息分析通信目的，并可以猜测通信内容。2.2.2假冒攻击在无线通信网络中，移动站（包括移动用户和移动终端）与网络控制中心以及其他移动站之间不存在任何固定的物理连接（如网络电缆），移动站必须通过无线信道传送其身份信息，以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息来假冒该合法用户的身份入网，这就是

27、所谓的身份假冒攻击。在不同的无线通信网络中，身份假冒攻击的目的有所不同。例如，在移动通信网络中，其工作频带并不是免费使用的，移动用户必须付费才能进行通话。这时，用户需要通过无线信道传送其身份信息以便于网络端能正确鉴别用户的身份。然而，攻击者可以截获到这些身份信息并利用截获的身份信息去假冒合法用户使用通信服务，从而逃避付费。在无线局域网络和无线个人区域网络中，工作频带是免费的，但这些网络中的网络资源和通信信息则不是公开的。要访问这些信息，移动站必须证明它是一个合法用户。移动站的身份证明信息也是通过网络信道传送到网络控制中心或其他移动站的，因而非法移动站也可能窃听到合法移动站的身份信息，从而利用截

28、获的身份信息假冒合法移动站访问网络资源。另外，主动攻击者还可以假冒网络控制中心。如在移动通信网络中，主动攻击者可能假冒网络端基地站来欺骗移动用户，以此手段获得移动用户的身份信息，从而假冒该移动用户身份。2.2.3信息篡改所谓信息篡改是指主动攻击者将窃听到的信息进行修改（如删除或替代部分或全部信息）之后再将信息传给原本的接收者。这种攻击的目的有两种：（1）攻击者恶意破坏合法用户的通信内容，阻止合法用户建立通信连接；（2）攻击者将修改的消息传给接收者，企图欺骗接收者相信该修改的消息是由一个合法用户传给的。信息篡改攻击在一些“存储转发”型有线通信网络（如因特网等）中是很常见的，而一些无线通信网络如无

29、线局域网中，两个无线站之间的信息传递可能需要其他无线站或网络中心的转发，这些“中转站”就可能篡改转发的消息。对于移动通信网络，当主动攻击者比移动用户更接近基站时，主动攻击者发射的信号功率要比移动用户的强很多倍，使得基站忽略移动用户发射的信号而之接收主动攻击者的信号。这样，主攻攻击者就可以篡改移动用户的信号后再传给基站。在移动通信网络中，信息篡改攻击对移动用户与基站之间的信令传输构成很大威胁。2.2.4服务后抵赖所谓服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。这种威胁在电子商务中很常见，假设客户通过网上商店选购了一些商品，然后通过电子支付系统向网络商店付费。这个电子商务应用中就

30、存在着两种服务后抵赖的威胁：（1）客户在选购了商品后否认他选择了某些或全部商品而拒绝付费；（2）商店收到了客户的货款却否认已收到货款而拒绝交付商品。2.2.5重传攻击所谓重传攻击是指主动攻击者将窃听到的有效信息经过一段时间后再传给信息的接收者。攻击者的目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的，例如攻击者利用截获到的合法用户口令来获得网络控制中心的授权，从而访问网络资源。此外，无线通信网络与有线通信网络一样也面临着病毒攻击、拒绝服务等威胁，这些攻击的目的不在于窃取信息和非法访问网络，而是阻止网络的正常工作。2.3 无线网络安全问题的解决措施无线通信网络中所存在的不安全因素对网络

31、用户和网络经营者的经济利益构成了威胁。为了保护网络用户和网络经营者的经济利益，无线通信网络必须提供相应的安全业务以消除不安全因素带来的威胁。2.3.1保密性保密性业务是防止无线窃听的有效方法。根据具体应用要求的不同，无线通信系统中的保密性可以定义为以下四种级别：级别0无保密性。无线通信设备没有采用任何加密措施，任何拥有频谱扫描仪的人都可能截获到无线通信的内容。级别1等价于有线通信的保密性。这种安全级别主要用于保护人们平常的个人通信，此级别保密性要求所采用的密码算法至少在一年内保护个人通信信息的安全性。级别2商业级保密性。主要用于保护一些涉及私有财产的通话内容，如股票交易、公司间合同谈判等。提供

32、此级别保密性的密码算法至少需要保证商业活动内容在1025年内是安全的。级别3军队和政府级保密性。主要用于保护一个国家的军事活动和非军事的政府部门之间的通信内容，该级别密码算法的具体要求由政府机构制定。在民用无线通信系统中，保密性业务级别主要是级别1和2。对于无线窃听威胁，无线通信系统定义了相应的保密性业务。移动通信系统提供的保密性业务有：（1）语音和数据保密性，即加密无线信道中传送的用户语音和数据信息，防止被他人窃听；（2）用户身份和位置保密性，即保护用户的真实身份，防止被无线威胁；（3）用户与网络间信令信息保密性，即保护无线信道中传送的信令信息，防止被他人窃听。无线局域网和无线个人区域网络中的保密性业务主要是数