加密技術在網絡通訊中的應用

王鋒

摘要：網絡通訊的安全威脅來源于其點到多點的網絡結構和下行廣播的傳輸方式，因此保障系統安全主要集中在對用戶身份的驗證和對下行數據的加密方面。文章在分析網絡通訊安全性研究現狀的基礎上，從防竊聽、拒絕服務攻擊、偽裝和竊取服務攻擊三個方面探討了加密技術在網絡通訊安全問題中的應用。

關鍵詞：網絡通訊；加密技術；防竊聽；服務攻擊；密鑰體制

中圖分類號：TP311文獻標識碼：A文章編號：1009-2374（2014）21-0033-02

1網絡通訊安全性研究現狀

網絡通訊的安全威脅來源于其點到多點的網絡結構和下行廣播的傳輸方式。下行廣播數據對所有人都是透明的，因而非法用戶可以監聽發送給其他ONU的信息，或非偽裝成合法ONU甚至OLT。因此保障系統安全主要集中在對用戶身份的驗證和對下行數據的加密方面。

綜合現有網絡通訊的身份認證方案，主要可分為基于可信第三方認證和OLT直接認證方案、設計專門認證流程和基于注冊過程的認證方案。同時，對于認證算法的選擇，大多集中于RSA、ECC和NTRU，同時現有算法多關注對ONU的認證，惡意用戶同樣可以偽裝成OLT對系統進行攻擊。根據以上分析，在數據加密方面，由于網絡通訊中數據高速傳輸，對延時有一定要求，所以現有研究多采用對稱加密體制。DES算法效率高，運行速度快，適合于高速數據的加密，但是由于它比較簡單，因而安全性不高。此外，還有采用AES加密算法或公鑰密碼體制與對稱密鑰體制相結合的方案等。

對現有網絡通訊加密研究總結分析可知，現有的加密方案多采用對稱加密算法，或對稱與非對稱加密算法相結合的方法對數據進行加密。但無論采用哪種加密方式，在整個通信過程中，加密解密所使用的密鑰不進行更新變化，同時由于網絡通訊系統特點，密鑰傳輸存在隱患，使得密鑰更新困難，這將給網絡通訊系統帶來非常大的安全威脅。

2加密技術在網絡通訊中的應用

網絡通訊的安全也是其核心關鍵技術之一。網絡通訊系統的安全威脅主要來自發現注冊過程的偽裝和下行傳輸過程中的竊聽。由于網絡通訊系統為樹狀拓撲結構，下行數據廣播發送，且幀結構透明，所以任何人都可進行竊聽。加密技術在網絡通訊安全問題中的應用主要可分為以下三個方面：

2.1防竊聽

在網絡通訊網絡中，ONU依靠前導碼中的LLID字段對下行數據包進行過濾，如果LLID匹配則接收，否則丟棄。但如果ONU以“混雜模式（Promiscuous Mode）”運行，那么下行方向的數據存在被竊聽的可能性。在此模式下，ONU將接收所有數據包，而不根據LLID進行過濾。攻擊者想要竊聽，只需禁用LLID過濾，就可無限制地獲取所有下行數據。并且更為糟糕的是，由于竊聽不會觸發或改變任何網絡結構或行為，所以OLT對竊聽是被動的，無法檢測到其存在。

在上行鏈路中，用戶數據較下行數據安全，由于網絡通訊的拓撲結構，ONU之間不進行數據交換，而是直接發送給OLT，因此上行傳輸的竊聽較為困難。目前，由于利用光分路器/合路器來竊聽上行數據還未在實際中被證實可行，同時，要從網絡的噪聲信號中分離出有用的信號還非常困難，因此對于此種竊聽方式還存在爭議。但是不可否認，隨著技術的發展，上行數據的傳輸并不是完全安全的，同樣存在很大的安全漏洞。

竊聽是網絡攻擊的最初階段，它針對整個網絡通訊網絡結構，可接入毫無限制的傳輸介質，因此被認為是準備階段。使用簡單的透明數據挖掘技術，攻擊者可獲取所有敏感信息，如用戶保密內容、用戶活躍期、系統敏感數據和輪詢協議配置等。擁有這些信息后，攻擊者就可進行更多更具破壞性的網絡攻擊。

2.2拒絕服務攻擊

拒絕服務攻擊會造成所有已注冊的在線用戶的服務丟失，如果網絡設備受到攻擊，可能會造成嚴重的服務質量惡化甚至失去網絡連接。典型的DoS攻擊是利用嚴重消耗目標網絡中的可用帶寬和網絡資源，使網絡中的硬件超負荷運行來實現的，它將造成合法用戶的服務被拒絕或者服務質量的嚴重惡化。DoS的主要攻擊方式有：消耗大量計算資源，如帶寬、硬盤空間或中央處理器（Central Processing Unit，CPU）時間；破壞系統的敏感配置信息，如路由信息、LLID、MAC地址和虛擬局域網（VirtualLocal Area Network，VLAN）標志等；在物理層破壞網絡連通性，例如在上行鏈路中發送強激光信號，阻止來自合法用戶的信息發送。

在網絡通訊系統中最簡單的DoS攻擊是破壞網絡連通性，由于網絡通訊采用存活機制（Keep-Alive）檢查在線用戶，攻擊者可在傳輸時隙內上行發送一個強激光信號，造成系統上行鏈路封禁和系統重啟，從而更容易入侵系統，破壞系統安全性。遭受DoS攻擊的系統只有兩種保護方法：在系統崩潰時，利用無源信號功率測量技術檢測到DoS源；動態改變上行鏈路以避免破壞性傳輸。

由于網絡通訊網絡是完全無源的結構，ONU和OLT之間不存在有源的路由器，因此DoS無法攻擊路由表等信息，只能破壞系統的敏感配置信息，包括MAC地址和LLID，通過偽造Report幀，申請虛假的帶寬請求，破壞DBA算法對系統資源的分配，造成惡意ONU占用大量帶寬而其他合法ONU的帶寬請求不能被滿足。

2.3偽裝和竊取服務攻擊

當一個惡意用戶利用偽造數字簽名，偽裝成另一個合法用戶來使用網絡資源時，會發生竊取服務攻擊（Theft of Services，ToS）。惡意用戶首先被動地監聽收集目標ONU的信息，例如LLID、MAC地址和RTT等，然后惡意用戶利用這些信息偽裝成合法ONU，通過修改合法用戶數據幀中LLID、MAC地址等信息，使OLT認為該數據幀來自另一個ONU，并把自己的數據幀偽造成合法用戶的數據幀，以利用合法用戶的身份享用系統

資源。

在網絡通訊系統中，OLT為每個ONU分配一個LLID來實現兩者的雙向傳輸，此LLID嵌入在OLT和ONU的每個傳輸幀中。但是像LLID這樣安全敏感的重要數據是以明文方式傳輸的，這樣為惡意用戶的偽裝提供了便利，并可發動ToS攻擊。惡意用戶要進行偽裝或發動ToS攻擊，需要了解整個網絡通訊系統硬件結構，并能夠監控所有下行數據，這樣就可過濾上行數據，并在指定的時隙內完成傳輸。由于惡意用戶擁有合法用戶的LLID，偽造和ToS攻擊很難被檢測出來，因此需要在偽裝完成之前就能檢測到非法用戶。

3結語

本文主要介紹網絡通訊系統的結構和工作原理，對MPCP和加密關鍵技術和問題進行了簡單分析，包括ONU發現注冊、測距同步、帶寬分配以及安全問題進行了簡單介紹，并根據這些技術和問題引出本文研究內容，介紹了幾種加密技術在網絡通訊中的應用。

參考文獻

[1]陳祥花．10GEPON安全技術研究[D]．北京郵電大學，2011．

[2]孟凡雙．EPON加密方案的研究與仿真[D]．北京交通大學，2008．

[3]陸國慶．傳感器網絡信息安全分級模型的研究和協議應用[D]．湖南大學，2010．

endprint