《通信的可靠和安全.ppt》由会员分享,可在线阅读,更多相关《通信的可靠和安全.ppt(29页珍藏版)》请在三一办公上搜索。
1、10.1 概述10.2 通信的可靠10.3 通信的安全,第10章 通信的可靠和安全,返回主目录,10.1概述 10.1.1 通信可靠与安全的意义 通信网络无论是技术设备种类或覆盖面上,都得到了极大的增长和扩展,已形成了十分巨大的网络规模,通信网络在给人们带来巨大的信息交流便利的同时,却受到包括物理、化学、机械、电气、人为破坏、自然灾害、偶然事件、操作失误、黑客攻击等各种因素的影响而往往造成不同大小的通信网络故障和通信安全威胁,甚至是通信中断,对社会的政治、经济、生活等带来不可估量的损失和影响,世界范围内由此造成损失的例子不胜枚举。因此,加强通信网络的可靠性与安全性具有十分重要的现实意义。,10
2、.1.2 通信可靠与安全现状 由于自然、技术、管理和人为等多种因素导致通信网络故障时有发生,通信的可靠性与安全性现状不容乐观。通信业务量主要集中于大型交换机、大容量光纤技术和集中信令,容易因一个部件的失效而造成巨大的影响;通信网络中大量使用的软件技术在提高系统灵活性的同时,潜藏着崩溃的可能;通信网络的大规模扩容缺乏完善的可靠性与安全性设计。10.2 通信的可靠10.2.1 通信可靠性的含义 通信可靠性可以定义为“通信网在实际连续运行过程中完成用户的正常通信需求的能力”。,定义体现了“以用户为中心”的通信服务核心价值,既反映了通信网络的生存能力和可用性,也反映了通信网络对用户需求的适应能力,这是
3、一个综合性的描述。狭义的通信可靠性是指网络结构的可靠性;广义的通信可靠性是指通信网在运行中的可靠性,涉及到网络结构和组织、网络维护与管理等方面。所确定的通信可靠性实际上是从通信网可靠性的角度来讨论的。通常可以从以下5个方面进行判断:(1)网络中给定节点对之间至少存在一条路径;(2)网络中一个指定节点能与一组节点相互通信;(3)网络中可以相互连通的节点数大于某一阈值;(4)网络中任意两个节点间传输时延小于某一阈值;(5)网络的吞吐量超过某一阈值。,10.2.2 通信可靠性的影响因素及特点 1.从通信网络本身的角度看 2.从通信网络的运行效果看3.从通信技术的角度看根据通信和通信网络的特点,通信可
4、靠性具有以下五个特点:(1)社会性。(2)动态性。(3)广泛性。(4)层次性。(5)复杂性,10.2.3 通信的可靠性设计(1)网络部件的可靠性(2)网络的拓扑结构(3)路由选择方式(4)最佳可靠性设计10.2.4 通信可靠性的评价模型与方法1、通信可靠性评价模型,表10-1 本地网通信可靠性评价指标体系,根据层次评价法的处理方法,对指数进行归一化处理和 加权处理,可得出本地网可靠性综合指标LRCI的表达式为:LRCI(10.1)式中,LIi表示各指标;ai表示各指标的权重。所有指标的权重之和等于1,即:(10.2)(二)长途网可靠性评价模型 长途网可靠性综合指数TRCI的数学表达式为:TRC
5、I(10.3)式中,TIi表示长途网各指标;,表示长途网各指标的权重。所有指标的权重之和等于1,即:10.2.5 我国通信的可靠性管理 通信可靠性管理可分为宏观管理和微观管理两个层次。宏观可靠性管理是政府主管部门从全社会角度出发,对通信可靠性工作进行统筹安排,做出标准或体制上的约束,对微观可靠性管理进行规划、协调和监督;微观可靠性管理由通信企业从本企业的角度出发,在管制性要求、用户需求、竞争、成本等多种因素的综合约束下具体实施,以达成可靠性管理目标。,10.3 通信的安全10.3.1 通信安全的内涵 通信安全的本质在于保护通信网络中的信息免受各种非授权的访问或攻击。10.3.2 影响通信安全的
6、主要因素(1)对敏感数据的非授权访问(违反机密性)。(2)对敏感数据的非授权操作(违反完整性)。(3)滥用网络服务(4)否认。(5)非授权接入服务。包括入侵者伪装成合法用户或网络实体来访问服务;用户或网络实体能滥用它们的访问权限来获得非授权的访问。,10.3.3 实现通信安全的主要途径1.实体认证用户认证:2)网络认证:2.访问控制 访问控制是实施授权的一种方法。通常有两种方法用来阻止非授权用户访问目标:访问请求过滤:当一个发起者试图访问一个目标时,需要检查发起者是否被准予访问目标(由控制策略决定)。隔离:从物理上防止非授权用户有机会访问到敏感的目标。,3.数据传输机密性加密算法协议:加密密钥
7、协议:用户数据的机密性:信令数据的机密性:4.数据完整性完整性算法协议:完整性密钥协议信令数据的完整性和起源认证:5.非否认性 非否认是防止通信中的发送方或接收方抵赖所传输的消息,要求无论发送方还是接收方都不能抵赖所进行的传输。6.可用性 可用性是指通信中传输的信息可被授权实体访问并按需求使用的特性,10.3.4 通信安全典型解决方案1、保密通信 典型保密通信系统功能框图如图10.1所示,它是在一般数字通信系统基础上新增了加解密功能,其设计的目的在于使窃听者即使在完全准确地收到了接收信号的条件下也不能恢复出原始消息来。,图10.1典型保密通信系统功能框图,现代密码学中所出现的密码体制可分为两大
8、类:对称加密体制和非对称加密体制。对称密码体制的安全性主要取决于两个因素:(1)加密算法必须足够强大,使得不必为算法保密,仅根据密文就能破译出消息是不可行的。(2)密钥的安全性,密钥必须保密并保证有足够大的密钥空间。非对称密码体制的加密密钥与解密密钥不同,形成一个密钥对,用其中一个密钥加密的结果,可以用另一个密钥来解密。,非对称密钥密码体制的优点:1)网络中的每一个用户只需要保存自己的私有密钥,则N个用户仅需产生N对密钥。密钥少,便于管理。2)密钥分配简单,不需要秘密的通道和复杂的协议来传送密钥。公开密钥可基于公开的渠道(如密钥分发中心)分发给其他用户,而私有密钥则由用户自己保管。3)可以实现
9、数字签名。对称密码体制中的序列密码具有良好的低时延、无误码扩散特性,在通信系统中得到了广泛应用,适用于各种传输信道质量的场合。(1)语音保密通信,1)模拟置乱技术2)数字加密技术 电话网保密通信的一般模型如图10.2所示。在数字电话网中的加密方式主要有3种:端加密;链路加密;混合加密,图10.2电话网保密通信一般模型,数字电话网中两种基本加密方式的加密设备所处的位置如图10.3所示。(2)数据保密通信(3)图像保密通信,图10.3数字电话网中的两种基本加密方式,2.蜂窝式无线通信安全 WAP的安全会话模式由三个部分组成,如图10.5所示。一个安全的WAP会话通过两阶段实现:(1)WAP网关与W
10、EB服务器间通过SSL进行安全通信,确保了保密性、完整性和服务器认证;(2)WAP网关和移动用户之间的安全通信使用WTLS协议。,图10.5WAP的安全会话模式,3、无线局域网安全(1)WEP的加密算法 密文的生成过程如下(如图10.6所示):(1)用CRC32计算消息明文的完整性校验值ICV。(2)将ICV联结到明文之后。(3)选取一个随机初始矢量(IV)并将其联结到密钥之后。(4)输入密钥与IV到RC4算法中,以产生一个伪随机密钥序列。(5)在RC4下,用伪随机密钥序列通过按位异或加密明文和ICV,产生密文。(6)将IV放在密文的前部传输给对方。,图10.6WEP加密,(2)WEP的解密算
11、法 如图10.7所示。解密时,收到消息中的IV被用于生成密钥序列,密文和正确的密钥序列异或产生原始的明文和ICV。通过在恢复的明文上执行完整性校验算法生成ICV,并比较生成的ICV和收到的ICV的异同来证实。如果生成的ICV不等于收到的ICV,则收到的消息出错,一个出错标识被送回发送站点。,图10.7WEP的解密,(3)无线局域网的认证4、虚拟专用网络 虚拟专用网络(Virtual Private Network,VPN)是一种确保远程网络之间能够安全通信的技术,通常用以实现相关组织或个人跨开放、分布式的公用网络(如因特网)的安全通信。IPSec在IP层提供安全服务,使得一个系统可以选择需要的
12、安全协议、决定为这些服务而使用的算法、选择服务所需要的密钥。,VPN主要有三个应用领域:远程接入网、内联网和外联网。(1)远程接入网主要用于企业内部人员的移动或远程办公,也可用于商家为其顾客提供B2C的安全访问服务。如图10.9所示,基于VPN的远程接入可以向用户提供随时随地以其所需的方式安全访问企业资源。,图10.9VPN远程接入,(2)内联网主要用于企业内部各分支机构的互联。(3)外联网主要为某个企业和其合作伙伴提供许可范围内的信息共享服务。5、防火墙技术 防火墙是一种保护本地系统或网络免于来自网络的安全威胁,同时提供通过广域网或因特网对外界进行访问的有效方式。1)服务控制:2)方向控制:3)用户控制:4)行为控制:,防火墙有3种常见的类型:(1)分组过滤器(2)应用级网关(也叫代理服务器)(3)电路级网关 防火墙的局限性:(1)防火墙不能对绕过它的攻击进行保护。(2)防火墙不能对内部的威胁提供支持。(3)防火墙不能对病毒感染的程序或文件的传输提供保护,即它不对报文内容进行检查。,6、入侵检测系统 入侵检测系统(IDS)是一种主动保护自己免受攻击的网络安全技术,作为防火墙技术的合理补充。入侵检测被认为是继防火墙之后保护信息安全的第二道闸门,在不影响网络性能的情况下能对网络进行监测,以防止和减轻对网络的安全威胁。,本章完,
