论文部分内容阅读
[摘 要]随着社会的发展,人们对移动通信网络的要求不断提升,为了适应人们的需求,下一代移动通信网络正在向着业务多样化、网络融合化、传输宽带化的方向发展,这种情况下,作为移动通信网络重要组成部分的传输层,逐渐成为相关人员的研究重点。
[关键词]下一代移动通信网络;传输层;关键技术;应用
中图分类号:S719 文献标识码:A 文章编号:1009-914X(2018)16-0176-01
引言
网络安全问题是现阶段移动通信网络面临的主要问题,提升移动通信网络的安全性,成为下一代移动通信网络的研究重点。文章基于现阶段移动通信网络面临的安全威胁及其原因展开讨论,研究了设备认证授权算法,并分析了其在移动通信网络中的具体应用。
1、下一代移动通信网络面临的安全威胁
1.1 移动IP安全
在固定网络中,终端和终端通常使用固定的IP地址进行通信,因此这类问题通常使用IPSec进行保护。而在无线网络中,终端移动到外地时,通常使用移动护技术进行通信。在移动护技术中,引入了转交地址的概念和路由优化技术,这导致终端IP地址的变动。因此必须对IPSec协议进行扩展,以实现移动中的通信安全。
1.2 终端的移动性
无线网络中的终端具有移动性,当终端移动到外地网络时,由于外地域的网络实体通常不会保存终端的安全信息,因此在外地网络中完成认证过程,往往需要通过与移动终端的家乡域交互来实现,这个过程不仅会增加移动通信网络受攻击的可能性,还会可能导致网络攻击在多个域之间扩散。
1.3 接入认证
高效、快速的实现切换认证,是当前无线网络发展中亟需解决的问题。在无线网络中,终端有时会快速在无线接入设备之间移动。而现有的接入认证技术通常耗时较长,不能满足无线网络中快速认证的需要,这在一定程度上阻碍了一些时延敏感业务在无线网络中的部署,例如VoIP等。
2、安全需求
2.1 接入授权
根据用户的身份判断用户可以访问哪些资源和享受哪些服务。需要注意的是,认证与授权并非同一概念,认证解决“你是谁”,授权决定“你可以做什么”。
2.2 身份认证验证
在用户接入网络之前,要验证用户身份的合法性,只有身份合法的用户才能够进入网络。另外,需要进行网络和用户的双向认证,以避免伪网络攻击。
2.3 设备合法性
对设备合法性的认证可以采用认证和授权机制解决。目前,应用于下一代移动通信网络的认证体系主要有两种:PKI和802.1x。PKI是利用公钥理论和技术建立的提供安全服务的体系。它最早是从有线环境发展起来的,认证过程难免带有繁琐性,对系统的资源消耗较大。考虑到无线设备处理能力和功耗受限的原因,采用的PKI认证体系实际上是传统PKI认证体系的一个缩影。
3、设备认证授权算法
根据上文中提到的网络安全隐患以及传输层网络的安全需求,文章设计了一种设备认证授权算法,以提升移动通信网络的安全性。
3.1 错误码触发时机定义
文章提出的7种错误码可以划分为两种类型:永久性授权失败和非永久性授权失败。现定义七种错误码的触发时机如下:
错误码0:用于所有的安全子层错误回复信息;
错误码1:用于回复AuthRequest的AuihReject或者KeyReques的AuthInvalid消息;
错误码2:用于回复KeyRequest的AuthInvalid消息;
错误码3:用于回复KeyReject或者AuthReject消息;
错误码4:用于回复KeyRequest的AuthInvalid消息,表明验证消息摘要认证码失败;
错误码5:用于回复KeyRequest的AuthInvalid消息并表明当前AK或TEK超出范围;
错误码6:用于回复AuthRequest的AuthReject消息,表明永久性授权失败。
3.2 基站认证授权算法
基站对用户站的认证授权算法主要处理步骤如下:
一,通过X.509对设备的合法性进行认证;
二,处理用户的认证请求并将判断结果发送给用户;
三,判断确认设备商合法性,如认证失败则返回决绝信息;
四,确认通信设备及设备商合法性;
五,协商用户及基站之间的匹配能力;
六,安全认证结束,向用户设备发送认证通过信息。
4、实际应用
文章提出的设备认证授权算法能够在很大程度上为专网通信安全提供保障。为针对某特殊应用的设备认证算法应用场景,该场景分为三个层次结构,在移动通信网络部分主要实现无线通信过程,该过程中对多样化终端的安全认证过程由基站设备统一完成。在行业接入层,主要针对终端业务开展认证,不再重复对设备进行认证。行业专网层部署开展特殊行业应用,该部分的验证主要通过身份识别、数据加解密方式实现。而上述上个层次的安全保障机制设计中,均是以终端设备的安全认证作为基础,设备安全是整个网络安全的基础。
传统的专网应用采取多层次的认证方法,例如结合业务应用进行认证、通过接入层对终端进行认证等。文章提出的设备认证授权算法能够将数据加解密器、密钥分发器、证书认证器等设备设置在基站中,从而实现对业务的全面認证以及一次性认证终端设备,进而降低信令开支。
三种认证授权算法延迟开销如图1所示,由图1可知,三种认证授权算法中以基站认证累计延迟最低,完成所有验证过程小超过0.2s,而接入层以及业务层的认证最终延迟分别超过0.4s和0.9s,此外,接入层认证及业务层认证算法计算起点小为零,原因在于该两类认证算法需要通过分布式的安全认证实体实现,网络传输延迟增大,导致整个认证延迟的基数增大。
在三种认证授权策略中,基站认证算法能够在一跳范围内实现点对点的认证授权,因此信令开销主要为无线接入端的开销。合计开销不超过10个字节,并且在不同采样点上采集的数据结果类似。而接入层的认证授权及业务层的认证授权方法均需要实现交互,增加了传输认证信息所需的信令开销,接入层的信令开销约为20字节,而业务层由于跨多个网络,设备信息增多,导致认证过程的信令开销增加到25字节左右。
结语
文章从现阶段移动通信网络面临的安全风险入手,对移动通信网络传输层的需求进行分析,研究了设备认证授权算法,通过论述其在网络拓扑环境下开展性能验证,结果显示该中验证方法在信令开销以及认证延迟等方面更具优势,因此,文章研究的设备认证授权算法更适合于专用通信网络环境。
参考文献
[1] 赵琛,任伟,张玉成.下一代移动通信网络传输层关键技术研究与应用[J].警察技术,2011(05):8-11.
[2] 吴立知.关于第五代移动通信技术的展望与探讨[J].数字技术与应用,2015(11):24.
[3] 倪善金,赵军辉.5G无线通信网络物理层关键技术[J].电信科学,2015,31(12):48-53.
[关键词]下一代移动通信网络;传输层;关键技术;应用
中图分类号:S719 文献标识码:A 文章编号:1009-914X(2018)16-0176-01
引言
网络安全问题是现阶段移动通信网络面临的主要问题,提升移动通信网络的安全性,成为下一代移动通信网络的研究重点。文章基于现阶段移动通信网络面临的安全威胁及其原因展开讨论,研究了设备认证授权算法,并分析了其在移动通信网络中的具体应用。
1、下一代移动通信网络面临的安全威胁
1.1 移动IP安全
在固定网络中,终端和终端通常使用固定的IP地址进行通信,因此这类问题通常使用IPSec进行保护。而在无线网络中,终端移动到外地时,通常使用移动护技术进行通信。在移动护技术中,引入了转交地址的概念和路由优化技术,这导致终端IP地址的变动。因此必须对IPSec协议进行扩展,以实现移动中的通信安全。
1.2 终端的移动性
无线网络中的终端具有移动性,当终端移动到外地网络时,由于外地域的网络实体通常不会保存终端的安全信息,因此在外地网络中完成认证过程,往往需要通过与移动终端的家乡域交互来实现,这个过程不仅会增加移动通信网络受攻击的可能性,还会可能导致网络攻击在多个域之间扩散。
1.3 接入认证
高效、快速的实现切换认证,是当前无线网络发展中亟需解决的问题。在无线网络中,终端有时会快速在无线接入设备之间移动。而现有的接入认证技术通常耗时较长,不能满足无线网络中快速认证的需要,这在一定程度上阻碍了一些时延敏感业务在无线网络中的部署,例如VoIP等。
2、安全需求
2.1 接入授权
根据用户的身份判断用户可以访问哪些资源和享受哪些服务。需要注意的是,认证与授权并非同一概念,认证解决“你是谁”,授权决定“你可以做什么”。
2.2 身份认证验证
在用户接入网络之前,要验证用户身份的合法性,只有身份合法的用户才能够进入网络。另外,需要进行网络和用户的双向认证,以避免伪网络攻击。
2.3 设备合法性
对设备合法性的认证可以采用认证和授权机制解决。目前,应用于下一代移动通信网络的认证体系主要有两种:PKI和802.1x。PKI是利用公钥理论和技术建立的提供安全服务的体系。它最早是从有线环境发展起来的,认证过程难免带有繁琐性,对系统的资源消耗较大。考虑到无线设备处理能力和功耗受限的原因,采用的PKI认证体系实际上是传统PKI认证体系的一个缩影。
3、设备认证授权算法
根据上文中提到的网络安全隐患以及传输层网络的安全需求,文章设计了一种设备认证授权算法,以提升移动通信网络的安全性。
3.1 错误码触发时机定义
文章提出的7种错误码可以划分为两种类型:永久性授权失败和非永久性授权失败。现定义七种错误码的触发时机如下:
错误码0:用于所有的安全子层错误回复信息;
错误码1:用于回复AuthRequest的AuihReject或者KeyReques的AuthInvalid消息;
错误码2:用于回复KeyRequest的AuthInvalid消息;
错误码3:用于回复KeyReject或者AuthReject消息;
错误码4:用于回复KeyRequest的AuthInvalid消息,表明验证消息摘要认证码失败;
错误码5:用于回复KeyRequest的AuthInvalid消息并表明当前AK或TEK超出范围;
错误码6:用于回复AuthRequest的AuthReject消息,表明永久性授权失败。
3.2 基站认证授权算法
基站对用户站的认证授权算法主要处理步骤如下:
一,通过X.509对设备的合法性进行认证;
二,处理用户的认证请求并将判断结果发送给用户;
三,判断确认设备商合法性,如认证失败则返回决绝信息;
四,确认通信设备及设备商合法性;
五,协商用户及基站之间的匹配能力;
六,安全认证结束,向用户设备发送认证通过信息。
4、实际应用
文章提出的设备认证授权算法能够在很大程度上为专网通信安全提供保障。为针对某特殊应用的设备认证算法应用场景,该场景分为三个层次结构,在移动通信网络部分主要实现无线通信过程,该过程中对多样化终端的安全认证过程由基站设备统一完成。在行业接入层,主要针对终端业务开展认证,不再重复对设备进行认证。行业专网层部署开展特殊行业应用,该部分的验证主要通过身份识别、数据加解密方式实现。而上述上个层次的安全保障机制设计中,均是以终端设备的安全认证作为基础,设备安全是整个网络安全的基础。
传统的专网应用采取多层次的认证方法,例如结合业务应用进行认证、通过接入层对终端进行认证等。文章提出的设备认证授权算法能够将数据加解密器、密钥分发器、证书认证器等设备设置在基站中,从而实现对业务的全面認证以及一次性认证终端设备,进而降低信令开支。
三种认证授权算法延迟开销如图1所示,由图1可知,三种认证授权算法中以基站认证累计延迟最低,完成所有验证过程小超过0.2s,而接入层以及业务层的认证最终延迟分别超过0.4s和0.9s,此外,接入层认证及业务层认证算法计算起点小为零,原因在于该两类认证算法需要通过分布式的安全认证实体实现,网络传输延迟增大,导致整个认证延迟的基数增大。
在三种认证授权策略中,基站认证算法能够在一跳范围内实现点对点的认证授权,因此信令开销主要为无线接入端的开销。合计开销不超过10个字节,并且在不同采样点上采集的数据结果类似。而接入层的认证授权及业务层的认证授权方法均需要实现交互,增加了传输认证信息所需的信令开销,接入层的信令开销约为20字节,而业务层由于跨多个网络,设备信息增多,导致认证过程的信令开销增加到25字节左右。
结语
文章从现阶段移动通信网络面临的安全风险入手,对移动通信网络传输层的需求进行分析,研究了设备认证授权算法,通过论述其在网络拓扑环境下开展性能验证,结果显示该中验证方法在信令开销以及认证延迟等方面更具优势,因此,文章研究的设备认证授权算法更适合于专用通信网络环境。
参考文献
[1] 赵琛,任伟,张玉成.下一代移动通信网络传输层关键技术研究与应用[J].警察技术,2011(05):8-11.
[2] 吴立知.关于第五代移动通信技术的展望与探讨[J].数字技术与应用,2015(11):24.
[3] 倪善金,赵军辉.5G无线通信网络物理层关键技术[J].电信科学,2015,31(12):48-53.