加密技術(shù)在網(wǎng)絡(luò)通訊中的應用

王鋒

摘要：網(wǎng)絡(luò)通訊的安全威脅來源于其點到多點的網(wǎng)絡(luò)結(jié)構(gòu)和下行廣播的傳輸方式，因此保障系統(tǒng)安全主要集中在對用戶身份的驗證和對下行數(shù)據(jù)的加密方面。文章在分析網(wǎng)絡(luò)通訊安全性研究現(xiàn)狀的基礎(chǔ)上，從防竊聽、拒絕服務攻擊、偽裝和竊取服務攻擊三個方面探討了加密技術(shù)在網(wǎng)絡(luò)通訊安全問題中的應用。

關(guān)鍵詞：網(wǎng)絡(luò)通訊；加密技術(shù)；防竊聽；服務攻擊；密鑰體制

中圖分類號：TP311文獻標識碼：A文章編號：1009-2374（2014）21-0033-02

1網(wǎng)絡(luò)通訊安全性研究現(xiàn)狀

網(wǎng)絡(luò)通訊的安全威脅來源于其點到多點的網(wǎng)絡(luò)結(jié)構(gòu)和下行廣播的傳輸方式。下行廣播數(shù)據(jù)對所有人都是透明的，因而非法用戶可以監(jiān)聽發(fā)送給其他ONU的信息，或非偽裝成合法ONU甚至OLT。因此保障系統(tǒng)安全主要集中在對用戶身份的驗證和對下行數(shù)據(jù)的加密方面。

綜合現(xiàn)有網(wǎng)絡(luò)通訊的身份認證方案，主要可分為基于可信第三方認證和OLT直接認證方案、設(shè)計專門認證流程和基于注冊過程的認證方案。同時，對于認證算法的選擇，大多集中于RSA、ECC和NTRU，同時現(xiàn)有算法多關(guān)注對ONU的認證，惡意用戶同樣可以偽裝成OLT對系統(tǒng)進行攻擊。根據(jù)以上分析，在數(shù)據(jù)加密方面，由于網(wǎng)絡(luò)通訊中數(shù)據(jù)高速傳輸，對延時有一定要求，所以現(xiàn)有研究多采用對稱加密體制。DES算法效率高，運行速度快，適合于高速數(shù)據(jù)的加密，但是由于它比較簡單，因而安全性不高。此外，還有采用AES加密算法或公鑰密碼體制與對稱密鑰體制相結(jié)合的方案等。

對現(xiàn)有網(wǎng)絡(luò)通訊加密研究總結(jié)分析可知，現(xiàn)有的加密方案多采用對稱加密算法，或?qū)ΨQ與非對稱加密算法相結(jié)合的方法對數(shù)據(jù)進行加密。但無論采用哪種加密方式，在整個通信過程中，加密解密所使用的密鑰不進行更新變化，同時由于網(wǎng)絡(luò)通訊系統(tǒng)特點，密鑰傳輸存在隱患，使得密鑰更新困難，這將給網(wǎng)絡(luò)通訊系統(tǒng)帶來非常大的安全威脅。

2加密技術(shù)在網(wǎng)絡(luò)通訊中的應用

網(wǎng)絡(luò)通訊的安全也是其核心關(guān)鍵技術(shù)之一。網(wǎng)絡(luò)通訊系統(tǒng)的安全威脅主要來自發(fā)現(xiàn)注冊過程的偽裝和下行傳輸過程中的竊聽。由于網(wǎng)絡(luò)通訊系統(tǒng)為樹狀拓撲結(jié)構(gòu)，下行數(shù)據(jù)廣播發(fā)送，且?guī)Y(jié)構(gòu)透明，所以任何人都可進行竊聽。加密技術(shù)在網(wǎng)絡(luò)通訊安全問題中的應用主要可分為以下三個方面：

2.1防竊聽

在網(wǎng)絡(luò)通訊網(wǎng)絡(luò)中，ONU依靠前導碼中的LLID字段對下行數(shù)據(jù)包進行過濾，如果LLID匹配則接收，否則丟棄。但如果ONU以“混雜模式（Promiscuous Mode）”運行，那么下行方向的數(shù)據(jù)存在被竊聽的可能性。在此模式下，ONU將接收所有數(shù)據(jù)包，而不根據(jù)LLID進行過濾。攻擊者想要竊聽，只需禁用LLID過濾，就可無限制地獲取所有下行數(shù)據(jù)。并且更為糟糕的是，由于竊聽不會觸發(fā)或改變?nèi)魏尉W(wǎng)絡(luò)結(jié)構(gòu)或行為，所以O(shè)LT對竊聽是被動的，無法檢測到其存在。

在上行鏈路中，用戶數(shù)據(jù)較下行數(shù)據(jù)安全，由于網(wǎng)絡(luò)通訊的拓撲結(jié)構(gòu)，ONU之間不進行數(shù)據(jù)交換，而是直接發(fā)送給OLT，因此上行傳輸?shù)母`聽較為困難。目前，由于利用光分路器/合路器來竊聽上行數(shù)據(jù)還未在實際中被證實可行，同時，要從網(wǎng)絡(luò)的噪聲信號中分離出有用的信號還非常困難，因此對于此種竊聽方式還存在爭議。但是不可否認，隨著技術(shù)的發(fā)展，上行數(shù)據(jù)的傳輸并不是完全安全的，同樣存在很大的安全漏洞。

竊聽是網(wǎng)絡(luò)攻擊的最初階段，它針對整個網(wǎng)絡(luò)通訊網(wǎng)絡(luò)結(jié)構(gòu)，可接入毫無限制的傳輸介質(zhì)，因此被認為是準備階段。使用簡單的透明數(shù)據(jù)挖掘技術(shù)，攻擊者可獲取所有敏感信息，如用戶保密內(nèi)容、用戶活躍期、系統(tǒng)敏感數(shù)據(jù)和輪詢協(xié)議配置等。擁有這些信息后，攻擊者就可進行更多更具破壞性的網(wǎng)絡(luò)攻擊。

2.2拒絕服務攻擊

拒絕服務攻擊會造成所有已注冊的在線用戶的服務丟失，如果網(wǎng)絡(luò)設(shè)備受到攻擊，可能會造成嚴重的服務質(zhì)量惡化甚至失去網(wǎng)絡(luò)連接。典型的DoS攻擊是利用嚴重消耗目標網(wǎng)絡(luò)中的可用帶寬和網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)中的硬件超負荷運行來實現(xiàn)的，它將造成合法用戶的服務被拒絕或者服務質(zhì)量的嚴重惡化。DoS的主要攻擊方式有：消耗大量計算資源，如帶寬、硬盤空間或中央處理器（Central Processing Unit，CPU）時間；破壞系統(tǒng)的敏感配置信息，如路由信息、LLID、MAC地址和虛擬局域網(wǎng)（VirtualLocal Area Network，VLAN）標志等；在物理層破壞網(wǎng)絡(luò)連通性，例如在上行鏈路中發(fā)送強激光信號，阻止來自合法用戶的信息發(fā)送。

在網(wǎng)絡(luò)通訊系統(tǒng)中最簡單的DoS攻擊是破壞網(wǎng)絡(luò)連通性，由于網(wǎng)絡(luò)通訊采用存活機制（Keep-Alive）檢查在線用戶，攻擊者可在傳輸時隙內(nèi)上行發(fā)送一個強激光信號，造成系統(tǒng)上行鏈路封禁和系統(tǒng)重啟，從而更容易入侵系統(tǒng)，破壞系統(tǒng)安全性。遭受DoS攻擊的系統(tǒng)只有兩種保護方法：在系統(tǒng)崩潰時，利用無源信號功率測量技術(shù)檢測到DoS源；動態(tài)改變上行鏈路以避免破壞性傳輸。

由于網(wǎng)絡(luò)通訊網(wǎng)絡(luò)是完全無源的結(jié)構(gòu)，ONU和OLT之間不存在有源的路由器，因此DoS無法攻擊路由表等信息，只能破壞系統(tǒng)的敏感配置信息，包括MAC地址和LLID，通過偽造Report幀，申請?zhí)摷俚膸捳埱?，破壞DBA算法對系統(tǒng)資源的分配，造成惡意ONU占用大量帶寬而其他合法ONU的帶寬請求不能被滿足。

2.3偽裝和竊取服務攻擊

當一個惡意用戶利用偽造數(shù)字簽名，偽裝成另一個合法用戶來使用網(wǎng)絡(luò)資源時，會發(fā)生竊取服務攻擊（Theft of Services，ToS）。惡意用戶首先被動地監(jiān)聽收集目標ONU的信息，例如LLID、MAC地址和RTT等，然后惡意用戶利用這些信息偽裝成合法ONU，通過修改合法用戶數(shù)據(jù)幀中LLID、MAC地址等信息，使OLT認為該數(shù)據(jù)幀來自另一個ONU，并把自己的數(shù)據(jù)幀偽造成合法用戶的數(shù)據(jù)幀，以利用合法用戶的身份享用系統(tǒng)

資源。

在網(wǎng)絡(luò)通訊系統(tǒng)中，OLT為每個ONU分配一個LLID來實現(xiàn)兩者的雙向傳輸，此LLID嵌入在OLT和ONU的每個傳輸幀中。但是像LLID這樣安全敏感的重要數(shù)據(jù)是以明文方式傳輸?shù)模@樣為惡意用戶的偽裝提供了便利，并可發(fā)動ToS攻擊。惡意用戶要進行偽裝或發(fā)動ToS攻擊，需要了解整個網(wǎng)絡(luò)通訊系統(tǒng)硬件結(jié)構(gòu)，并能夠監(jiān)控所有下行數(shù)據(jù)，這樣就可過濾上行數(shù)據(jù)，并在指定的時隙內(nèi)完成傳輸。由于惡意用戶擁有合法用戶的LLID，偽造和ToS攻擊很難被檢測出來，因此需要在偽裝完成之前就能檢測到非法用戶。

3結(jié)語

本文主要介紹網(wǎng)絡(luò)通訊系統(tǒng)的結(jié)構(gòu)和工作原理，對MPCP和加密關(guān)鍵技術(shù)和問題進行了簡單分析，包括ONU發(fā)現(xiàn)注冊、測距同步、帶寬分配以及安全問題進行了簡單介紹，并根據(jù)這些技術(shù)和問題引出本文研究內(nèi)容，介紹了幾種加密技術(shù)在網(wǎng)絡(luò)通訊中的應用。

參考文獻

[1]陳祥花．10GEPON安全技術(shù)研究[D]．北京郵電大學，2011．

[2]孟凡雙．EPON加密方案的研究與仿真[D]．北京交通大學，2008．

[3]陸國慶．傳感器網(wǎng)絡(luò)信息安全分級模型的研究和協(xié)議應用[D]．湖南大學，2010．

endprint