網絡通信安全系統分析

戴正科

（湖南文理學院 電氣與信息工程學院，湖南 常德 415000）

1 分布式網絡通信安全研究現狀分析

在安全組通信系統中，密鑰管理起著重要的作用。目前，根據組密鑰的協商方式以及密鑰的分發獲得方式的不同，安全組通信密鑰管理方案可以分為:集中式密鑰管理、分散式密鑰管理、分布式密鑰管理3類。

（1）集中式組通信密鑰管理。在集中式密鑰管理中，由單一通信實體充當中央控制節點，密鑰分發中心全權負責組通信密鑰的創建、分發和組成員關系發生變化時的密鑰更新。集中式密鑰管理方案可以分為平面管理模式和層次樹管理模式兩種類型。層次樹管理方案采用密鑰邏輯樹對密鑰進行管理，提高了密鑰管理方案的可擴展性和高效性。在基本LKH方案的基礎上，通過對諸多特性間進行權衡和改進(如通過減小密鑰更新消息長度以提高網絡傳輸效率、提高密鑰協商機制的可靠性、增加密鑰信息自恢復能力等)可得到許多變種的管理方案。

（2）分散式組通信密鑰管理。分散式組密鑰協商管理方案中，整個通信組分成若干子組，每個子組中會產生一個稱為子組控制器的節點來管理整個子組的密鑰生成和分發。所有子組之間可以是分布式的關系，也可以是由一個中央控制節點在最高層進行集中控制。根據通信組中是否擁有唯一的組會話密鑰GK，分散式管理方案可以分為密鑰分發服務器模式和重加密服務器模式。在密鑰分發服務器模式中，具有唯一的組密鑰GK，而在重加密服務器模式中，不具有唯一的組密鑰GK。

（3）分布式組通信密鑰管理。在分布式密鑰管理方案中，沒有任何中央控制節點，所有組成員提供自己的密鑰生成信息，根據某種算法將收到的其他成員的密鑰生成信息進行計算得到整個通信組的會話密鑰。在集中式方案的基礎之上，改進原有方案得到了很多適合分布式應用的分布式密鑰管理方案，在分布式LKH方案中，整個通信組的會話密鑰是通過子組密鑰樹的協商得到的。同時，在分布式OFT協商方案中，不存在中央控制節點，每一個節點獲得其他節點的密鑰后通過一個單向函數得到組密鑰。在基于協商的分布式方案中，出現了基于兩方密鑰交換協議的改進協議，并在實際應用中得到廣泛應用。

2 分布式網絡通信安全策略應用研究

（1）常規安全策略應用方法。安全組通信密鑰協商是以密碼學理論為基礎的，如對稱加密算法，公鑰密碼技術，數字簽名技術，認證技術等保證了密鑰協商中的保密性，數據完整性等安全性能。

加密技術。組通信密鑰協商常用到的加密算法有兩種:對稱加密算法與公鑰加密算法。對稱加密算法又稱為私鑰加密算法、單鑰加密算法，它要求加密密鑰和解密密鑰相同，即加密過程和解密過程使用同一個密鑰。公鑰加密算法也稱為非對稱加密算法，加密過程和解密過程使用不同的密鑰，兩個密鑰，一個用來加密，稱為公開密鑰，一個用來解密，稱為私有密鑰，從一個密鑰很難推導計算出另一個密鑰。

在安全組通信中，由于環境的開放性，存在著各種攻擊威脅，這也為系統的安全性提出了更高的要求。公鑰加密技術的計算開銷較對稱加密技術大。通常在密鑰協商中使用公鑰技術來加密數據建立對稱密鑰。然后組內使用對稱密鑰加密組內的通信數據，即組密鑰。組內成員使用這一密鑰加密數據發送，接收方也使用這一密鑰進行解密。針對不同的實際應用，可以采用不同的加密技術，或者采用兩者的結合。

數字簽名技術。數字簽名是建立在公鑰密碼體制上的一種應用，它在網絡安全，包括身份認證、數據完整性、不可否認以及匿名方面有著重要的應用。數字簽名通常是為了驗證數據發送方的身份以及保證信息在傳輸過程中沒有被非法篡改。為了防止仿造和保證數字簽名的唯一性，通常數字簽名方案是基于公鑰密碼算法的。密鑰協商協議中數字簽名技術主要是用來對組用戶成員的身份認證，對消息發送者身份或者是消息源的認證。驗證消息確實來自所聲稱的發送源，即源認證。還可以對消息的完整性提供保證，確保消息在傳輸過程中不能被非法篡改等。由于數字簽名也需要大量的數據傳輸與計算，所以尋找適合組密鑰協商的高效的數字簽名技術也是該領域目前的研究熱點。

（2）面向Web服務的通信安全策略應用探究。隨著網絡技術的發展，當前Web服務已經成為網絡通信中的主要應用模式，因此必須要探討面向Web服務的通信安全策略才具有實際應用價值。

在Web服務通信中，除非入站的消息經過確認和證明，可以安全檢查地做進一步處理，否則不應該接收。入站消息可能是客戶端請求，也可能是響應消息。這些消息可能包含惡意內容或來自未授權的XML消息，對服務提供者造成威脅。消息檢查器就是通過解析入站內容對XML消息進行預處理和后處理，實現方法是通過檢查和驗證處理需求，然后根據消息的發送者或接收者做出認證和授權的決策。因此，消息檢查器實現檢查消息的功能，以確定發送者并驗證發送者是否符合其身份，該身份是否有權發送信息、內容在傳輸中是否安全且沒有被篡改、內容是否合法且不包含任何惡意信息。

Web服務通信中，每個消息處理器都代表一種功能，如對進站的請求或出站的響應進行預處理或后處理。每個處理器都可以支持配置的一種安全操作，這種操作與服務請求者、服務提供者或者兩者相關聯。在運行階段，處理器能夠訪問消息頭或消息體，并采取檢查、驗證或修改目標消息的操作。多個消息處理器可以組成一個有序組，有序組是一系列消息處理的操作和共享數據。消息處理器需要使用一個專用的錯誤處理器，錯誤處理器捕獲由各個操作引起的所有錯誤和異常并返回響應，響應對異常進行處理，使其不會泄露內部功能和故障。所有的消息器都是無狀態的，不緩存任何操作結果或客戶以后可能需要的數據。

3 結語

網絡技術特別是Internet的發展，網絡通信已經深入到社會生活的各個方面，而Web服務作為新的分布式計算模式，由于其平臺無關性、松散耦合性等優點，在電子商務等領域展示了廣闊的應用前景，受到了各界的關注。隨著對Web服務的研究和應用越來越深入，安全性成為Web服務研究的重要課題之一，通信安全作為Web服務安全的基礎成為研究熱點之一。文章對于分布式網絡通信安全的探究，只是對網絡安全通信的一次粗淺嘗試，更多安全策略的應用有賴于廣大網絡工作者的共同努力，才能最終實現網絡通信的可靠安全。