計算機遠程網(wǎng)絡通信技術的應用研究

王靜奕

（武漢信息傳播職業(yè)技術學院，湖北 武漢 430223）

0 引 言

對于計算機遠程通信網(wǎng)絡而言，其數(shù)據(jù)傳輸時應該包含迅捷性和準確性兩個特性。在數(shù)據(jù)傳輸速度上，當前已經(jīng)有較多關于信息編碼和數(shù)據(jù)壓縮等技術的研究且有了較為豐富的成果，但信息在高效快捷傳輸時，部分通信網(wǎng)絡的數(shù)據(jù)信息可能會被某些懷有惡意的攻擊者所盜取或攻擊，進而導致通信網(wǎng)絡被破壞。從分析可知，在計算機通信網(wǎng)絡中，確保網(wǎng)絡安全的工作越發(fā)重要。但隨著不斷增加的攻擊方式，遠程通信網(wǎng)絡安全問題的解決愈發(fā)困難。在當前，針對計算機遠程通信網(wǎng)絡中解決安全問題最有效直接的方式是安全協(xié)議。安全協(xié)議自從Needham等人在認證服務器系統(tǒng)中建立安全協(xié)議思想開始就走進人們的視野。在Denning指出網(wǎng)絡安全協(xié)議中NS私鑰中的重大錯誤后更加提高人們對網(wǎng)絡安全的關注程度，經(jīng)過多年的發(fā)展，Datta等人才針對性提出安全協(xié)議基本框架。為進一步提高計算機遠程網(wǎng)絡通信技術的安全保障，增強其服務質量，必須對其安全性開展更深入的研究分析。

1 計算機遠程通信網(wǎng)絡技術概述

1.1 特點分析

計算機遠程網(wǎng)絡通信的核心部分主要包括通信終端、網(wǎng)絡主機、數(shù)據(jù)交換設備和各傳輸線路。在技術層面上，計算機遠程通信網(wǎng)絡技術有機結合了計算機和通信兩種技術，且高速發(fā)展的計算機技術為遠程網(wǎng)絡通信技術帶來了強大推力，使其信息傳輸和共享水平得到大大提升。此外，隨著不斷進步的通信技術，也使得計算機遠程網(wǎng)絡通信技術的發(fā)展基礎更加穩(wěn)定。

計算機網(wǎng)絡通信技術傳輸?shù)耐ㄐ啪€路類型共有三種，分別是單工、全雙工和半雙工三種。單工通信指某段時間內(nèi)在傳輸數(shù)據(jù)信息時只能朝向一個方向傳輸信號，且始終保持單一的信號傳輸路徑，如在將傳輸終端信息給主機。半雙工通信可傳輸雙向信息，但多應用在有著較為復雜通信線路結構的大型工業(yè)中。相比之下，雙工通信除了能更加有效的發(fā)揮系統(tǒng)性能之外，還能在傳遞雙向數(shù)據(jù)通信時更為精簡化，原因在于僅需通過單一移動信號線路就可實現(xiàn)移動計算機和其他計算機終端的信號傳輸。

1.2 存在問題

1.2.1 通信技術故障

雖然計算機遠程網(wǎng)絡通信技術有較大的進步，并且得到了廣泛的普及，但實踐中仍存在較多問題，而主要問題之一則是網(wǎng)絡技術故障。在發(fā)生網(wǎng)絡技術故障之后會使網(wǎng)絡信息傳輸出現(xiàn)問題，導致各項應用難以有效發(fā)揮其作用。導致技術故障的原因包括兩種，一種是物理層面上硬件因素導致的通信故障，另一種則是網(wǎng)絡層面上導致的故障，指傳輸信號時，因同步運行應用較多等導致的網(wǎng)絡延遲等故障，以及網(wǎng)絡被病毒所入侵導致的故障。

1.2.2 通信安全問題

信息安全是計算機遠程網(wǎng)絡通信最突出的問題，具體體現(xiàn)為信息遺失，對其本質原因進行分析可知其主要表現(xiàn)在用戶下載文件存在安全隱患，或所訪問網(wǎng)站有安全隱患，使得網(wǎng)絡病毒侵入通信系統(tǒng)的可能性有所增加，導致遠程數(shù)據(jù)信息傳輸出現(xiàn)安全問題。

2 網(wǎng)絡安全協(xié)議

安全問題是網(wǎng)絡通信技術的前提和保障。當今，信息安全成為人們最關心的話題之一。網(wǎng)絡上的數(shù)據(jù)信息隨時在進行著傳遞，一旦泄露出重要信息將會對財產(chǎn)和人身安全造成巨大危害。因此，針對網(wǎng)絡通信而言，安全始終是其發(fā)展的第一位。而在網(wǎng)絡遠程通信技術中，網(wǎng)絡安全協(xié)議是確保其安全性的重要手段之一。網(wǎng)絡安全協(xié)議的作用在于認證信息傳遞主體和保密通信時會話密匙的分配，因此身份認證以及密匙保密是網(wǎng)絡安全協(xié)議的基本屬性。身份認證是指在運行完安全協(xié)議后，通信主體確認其原先的公示身份，會話密匙是保密豎向所面向的對象，主要通過網(wǎng)絡安全協(xié)議進行分配。若需要在交換信息的幾方中分發(fā)會話密匙，那么其只可以被與網(wǎng)絡安全協(xié)議有著一定聯(lián)系的可信主體所了解，所傳遞信息及時被攻擊者所竊取也無法得到信息傳遞的會話密匙。

2.1 GPRS認證協(xié)議

認證請求以及網(wǎng)關驗證是GPRS網(wǎng)絡認證協(xié)議的主要構成部分。認證請求的提出者是MS，MS的臨時ID被請求數(shù)據(jù)報所包含。網(wǎng)關驗證指對該ID進行驗證的過程。在GPRS認證協(xié)議中，挑戰(zhàn)/應答是其核心機制。當認證請求被認證者所提出之后，認證者挑戰(zhàn)被認證者，若其對該挑戰(zhàn)做出正確的回答，則會被通過認證，反之則未能通過。

首先，當無線網(wǎng)關（SGSN）接收到移動設備MS的認證請求之后，SGSN接收到MS所發(fā)送的ID信息IMSI之后，認證中心AuC就會收到SGSN所傳遞的ID信息。當信息成功傳輸?shù)紸uC之后，AuC將會尋找與其相對應的MS信息，再將其生成隨機數(shù)RAND，基于A3算法，AuC會將RAND和該ID信息進行組合以生產(chǎn)出相應的私鑰K生成挑戰(zhàn)值SRES；基于A8算法，將私鑰K進一步組合成K，上述所得到的RAND、SRES和K就會通過AUC發(fā)送至SGSN，SRES被SGSN所保存，再將RAND傳遞到移動終端，移動終端就會形成應答值SRES’，SRES’將通過MS傳遞到SGSN，之后，SGSN將會對SRES值和SRES’進行對比，若兩者相同則可以成功認證，若不同則無法通過認證。SGSN會對通過認證后的移動終端信息進行記錄，MS即可與數(shù)據(jù)網(wǎng)關GGSN傳輸數(shù)據(jù)。具體步驟如圖1所示。

圖1 GPRS認證協(xié)議步驟

對于分布式傳輸系統(tǒng)而言，制訂協(xié)議主要是讓傳輸信息的雙方能夠依據(jù)所規(guī)定的信息傳遞方式進行數(shù)據(jù)的傳輸，通信雙方必須要遵循該規(guī)則，因此認證協(xié)議的制訂是否合理對于通信傳輸系統(tǒng)網(wǎng)絡安全而言是重要的基礎。分析認證過程可以知道，完成認證協(xié)議的場所是無線網(wǎng)關SGSN。若攻擊者攻擊此協(xié)議，它可對RAND和SRES數(shù)據(jù)進行竊取，基于所得到的數(shù)據(jù)可通過A3和A8算法計算得到K，以此對系統(tǒng)內(nèi)部進行入侵。攻擊者也可通過繞過SGSN認證的方式欺騙SGSN，和GGSN進行直接連接。因現(xiàn)有協(xié)議中存在過多次數(shù)的挑戰(zhàn)/應答方式，導致網(wǎng)絡有過重的信息承載，且數(shù)據(jù)傳輸過于頻繁，使得認證需要花費過多時間，在通信網(wǎng)絡中其所花費的時間即為數(shù)據(jù)認證延遲，移動終端MS會因為該種延遲而導致等待時間有所增加，嚴重可導致無法成功登陸的結果。

針對當前GPRS認證協(xié)議存在的問題，從提高協(xié)議安全性、降低認證傳輸次數(shù)和網(wǎng)絡負載壓力、縮短擁護等待時間的角度出發(fā)，本文對GPRS認證協(xié)議結構模型進行優(yōu)化。

2.2 優(yōu)化分析

在認證協(xié)議改進模型中，將一個同步計數(shù)器CS添加到系統(tǒng)中。數(shù)據(jù)網(wǎng)關SGSN和SIM卡都可以放SC，隨著網(wǎng)絡時間的改變，該SC值也會隨之改變。此外，認證協(xié)議在改進后產(chǎn)生隨機數(shù)的地點出現(xiàn)變化，原先的產(chǎn)生RAND數(shù)的地點從認證中心AuC轉變?yōu)橐苿咏K端MS。新產(chǎn)生的隨機數(shù)包括MS形成的隨機數(shù)SRAND和SC產(chǎn)生的數(shù)值。將兩者相加之后即可得到和原有隨機數(shù)相近的數(shù)值XRAND，該數(shù)值有和原隨機數(shù)相同的尾數(shù)。即：

SCRAND=SRAND+SC

K和SCRAND通過移動終端作為輸入，根據(jù)A3算法進行加密之后即可獲得MSRES口令值，此外，以數(shù)據(jù)網(wǎng)關GGSN替代無線網(wǎng)關SGSN，以阻礙攻擊者試圖使用繞過認證環(huán)節(jié)進入通信內(nèi)部系統(tǒng)的設想。

協(xié)議的具體步驟為：首先MS形成一隨機數(shù)SRAND，將該隨機數(shù)加上SC數(shù)值后即可得出SCRAND值。然后SRAND值、身份信息IMSI和計算得到的MSRES口令值通過MS共同傳送到無線網(wǎng)關SGSN。當SRAND輸送到SGSN之后，SGSN就會將其和SC所輸出的數(shù)值相加得出SCRAND，然后無線網(wǎng)關SGSN將所得到的SCRAND值、IMSI值和MSRES值共同傳輸至數(shù)據(jù)網(wǎng)關GGSN，除了MSRES值在GGSN中被保留下來之外，IMSI以及MSRES均被傳輸至AuC中，通過IMSI，Auc就可獲取MS的私密鑰匙K，將K和SCRAND輸入進去通過A3算法進行計算之后即可得到MSRES’，之后再和A8算法得到的K輸送進數(shù)據(jù)網(wǎng)關GGSN，在GGSN中對比所得到的MSRES’和MSRES是否相同，若相同則代表認證成功。具體步驟如圖2所示。

圖2 GPRS認證協(xié)議改進步驟示意圖

對比兩種協(xié)議可知，改進后的和原先的協(xié)議有相同的主體思路，都是通過對比判斷SERS和MSRES是否相同的方式進行認證。但認證協(xié)議改進后和原有協(xié)議相比有如下三點不同：

（1）不同的隨機數(shù)產(chǎn)生來源。原有協(xié)議通過認證中心AuC發(fā)出隨機數(shù)，改進后由移動終端MS發(fā)出隨機數(shù)；

（2）A3算法中輸入的隨機數(shù)有不同的構成。原有協(xié)議僅有RAND值，改進后隨機數(shù)包括SRAND值和SC值；

（3）不同的認證地點。原有協(xié)議認證地點在無線網(wǎng)關，改進后認證地點在數(shù)據(jù)網(wǎng)關。

2.3 協(xié)議改進后的優(yōu)點

2.3.1 安全性

原有協(xié)議中的隨機數(shù)為公共參數(shù)，RAND值可被攻擊者公開取得。協(xié)議改進后隨機數(shù)僅作為A3算法中的一部分，另一部分主要通過不公開的同步計數(shù)器得到，因此SCRAND無法被攻擊者取得，即協(xié)議改進后的可通過K和SCRAND提供口令的保密性，因此協(xié)議改進后有了較大幅度的安全性。

2.3.2 信號負載

在軟件作用下，認證協(xié)議里認證網(wǎng)關傳輸數(shù)據(jù)的數(shù)量即認證網(wǎng)關信號負載。此處將一次認證網(wǎng)關處理的數(shù)據(jù)表示為一次負載量。無線網(wǎng)關SGSN是原有協(xié)議的認證地點，從其首次對數(shù)據(jù)進行處理，到最后一次進行數(shù)據(jù)處理，期間共進行了五次數(shù)據(jù)處理，即其負載量為5個，在改進的協(xié)議中，數(shù)據(jù)網(wǎng)關是其認證地點，從其首次開始進行數(shù)據(jù)處理到最后一次進行數(shù)據(jù)處理，期間共處理的數(shù)據(jù)量為3次，即其負載量為3個，相比于原有協(xié)議，改進后的協(xié)議有著更低的負載量。

2.3.3 延遲性

在MS輸出認證信號起，到認證網(wǎng)關判斷成功與否結束所需消耗的時間即為協(xié)議認證的延遲。設每個網(wǎng)絡數(shù)據(jù)庫有需要的時間進行數(shù)據(jù)交換，假設各個數(shù)據(jù)庫有相同的時間延遲。數(shù)據(jù)信息在空中的傳遞時間即移動終端和無線網(wǎng)關的數(shù)據(jù)傳輸時間，假定該值為，假定其認證總時間的延遲為：

=2+3

以相同的假定方法對改進后的協(xié)議進行分析，設各數(shù)據(jù)庫需要的交換數(shù)據(jù)時間，且各數(shù)據(jù)庫有相同的延遲時間。移動終端和無線網(wǎng)關需要的數(shù)據(jù)傳輸時間。改進后的協(xié)議認證中：

=3+

相比于原協(xié)議，改進后的協(xié)議所需的認證時間約降低了（2-），原因在于表示空中信號的傳播時間，多數(shù)情況下其大于。因此（2-）比0要大，即相比于原協(xié)議，改進后的協(xié)議所需時間更少。

3 結 論

計算機遠程網(wǎng)絡通信技術的不斷普及，確保通信安全越發(fā)重要。在當前的通信網(wǎng)絡安全研究中，網(wǎng)絡安全協(xié)議已經(jīng)成為其重要內(nèi)容。當前的網(wǎng)絡安全協(xié)議缺陷較多，需相對應進行優(yōu)化。本文經(jīng)過以GPRS認證協(xié)議為研究對象，對其所存在的缺點進行分析，并采取添加同步計數(shù)器和變更認證網(wǎng)關等方式進行優(yōu)化，提升了安全性、減少了負載、縮短了時間。