網路安全保障體系的構建
網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖4 網路安全保障體系框架
網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。
2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017
Ⅱ 第三代網路安全技術是什麼技術
網路技術在不斷發展,網路服務的內容在不斷擴展,網路安全的理念與技術也需要隨之不斷地更新和發展.本文在對網路安全技術的發展趨勢進行研究的基礎上,給出了"第三代網路安全"的基本概念和技術框架,提出了網路安全領域下一步應重點研究的一些技術和方法.認為,容忍技術是"第三代網路安全"的一個重要的組成部分。
Ⅲ 3G網路安全有哪些
第三代移動通信系統(3G)在2G的基礎上進行了改進,繼承了2G系統安全的優點,同時針對3G系統的新特性,定義了更加完善的安全特徵與鑒權服務。未來的移動通信系統除了能夠提供傳統的語音、數據、多媒體業務外,還應當能支持電子商務、電子支付、股票交易、互聯網業務等,個人智能終端將獲得廣泛使用,移動通信網路最終會演變成開放式的網路,能向用戶提供開放式的應用程序介面,以滿足用戶的個性化需求。因此,網路的開放性以及無線傳輸的特性,使安全問題將成為整個移動通信系統的核心問題之一。
3G系統的面臨的安全問題與以往的移動通信網路有本質的不同:3G上最重要的安全問題將是IP網路的安全和基於IP技術的應用的 安全。其中IP網不僅指承載網,更是指業務網;IP應用也不僅指網際網路瀏覽、下載、郵件等應用,也包括承載在IP協議之上的移動通信系統控制信令和 數據。
安全威脅產生的原因來自於網路協議和系統的弱點,攻擊者可以利用網路協議和系統的弱點非授權訪問和處理敏感數據,或是干擾、濫用網路服務,對用戶和網路資源造成損失。按照攻擊的物理位置,對移動通信系統的安全威脅可以分為無線鏈路的威脅、對服務網路的威脅和對移動終端的威脅。主要威脅方式有以下幾種:
(1)竊聽,即在無線鏈路或服務網內竊聽用戶數據、信令數據及控制數據;
(2)偽裝,即偽裝成網路單元截取用戶數據、信令數據及控制數據,偽終端欺騙網路獲取服務;
(3)流量分析,即主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地;
(4)破壞數據的完整性,即修改、插入、重放、刪除用戶數據或信令數據以破壞數據的完整性;
(5)拒絕服務,即在物理上或協議上干擾用戶數據、信令數據及控制數據在無線鏈路上的正確傳輸,以實現拒絕服務攻擊;
(6)否認,即用戶否認業務費用、業務數據來源及發送或接收到的其他用戶的數據,網路單元否認提供的網路服務;
(7)非授權訪問服務,即用戶濫用許可權獲取對非授權服務的訪問,服務網濫用許可權獲取對非授權服務的訪問;
(8)資源耗盡,即通過使網路服務過載耗盡網路資源,使合法用戶無法訪問。
(9) 隨著網路規模的不斷發展和網路新業務的應用,還會有新的攻擊類型出現。
Ⅳ 網路安全未來發展怎麼樣
網路安全行業主要上市公司:目前國內網路安全行業的上市公司主要有天融信(002212)、奇安信(688561)、啟明星辰(002439)、衛士通(002268)、綠盟科技(300369)等。
本文核心數據:市場現狀、市場份額
行業概況
1、定義
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
當前,信息網路技術的快速發展,網路安全技術產業不斷細分發展,產業結構不斷變化完善。同時,軟硬體產品的界限愈發模糊,產品和服務的聯動更加緊密。在借鑒IDC產業分類、PDRR模型和Gartner
ASA自適應安全架構等國際主流網路安全產品和服務的分類方式基礎上,結合我國實際,依據主要功能及形態、安全防禦生命周期可將我國網路安全產品和服務分為如下類別。
2、產業鏈剖析:中游領域實力廠商集聚
隨著國家對互聯網安全、個人隱私安全等相關方面的政策出台,網路安全相關產業也隨之強大起來,在保障國家、社會和個人的信息安全發揮重大作用的同時,亦推動了相關產業鏈的發展。從網路安全產業鏈看,上游為設備/系統等供應商,如晶元、內存、操作系統、引擎等;中游為網路安全產品和服務廠商,如網路安全設備領域的防火牆/VPN,軟體領域的安全性與漏洞管理以及服務領域的運維培訓等;下游為應用領域,除個人消費者外,還包含政府、軍工、金融等相關領域。
從具體的相關廠商來看,上游設備/系統提供商有英特爾(INTC)、高通(QCOM)、微軟系統(MSFT)、蘋果系統(AAPL)、甲骨文(ORCL)等廠商,中游有深信服(300454)、天融信(002212)、奇安信(688561)、啟明星辰(002439)等著名廠商,下游包括5G、互聯網等細分市場的應用。
行業發展歷程:網路安全已邁入「黃金十年」
隨著第一台電子計算機的誕生,網路安全行業的發展亦拉開的序幕。二十世紀八九十年代,由於互聯網開始商業化,首次出現了病毒攻擊終端事件,故終端網路安全受到重視。在千禧年之後,隨著互聯網的商業化以及網民規模的快速增長,第二代網路安全技術誕生,核心為白名單機制,主要由於蠕蟲、病毒可大規模通過網路攻擊,第一代的黑名單機制已無法奏效。2014年,網路安全上升為國家戰略。2015年之後,基於人工智慧的大數據分析作為第三代網路安全技術誕生,2016年《網路安全法》出台,網路安全行業進入「黃金十年」。
行業政策背景:戰略發展,構建網路安全共同體
2021年8月20日,我國發布了《中華人民共和國個人信息保護法》,確立了確立個人信息保護原則以及禁止大數據殺熟等現象,進一步完善了我國個人信息保護,肅清網路環境。從我國「十四五」規劃內容可以看出,我國從基礎設施建設、保障體系構建、人才培養、宣傳教育、全球合作等方面進行網路安全行業的布局與發展,將網路安全提升到戰略新興產業的高度。
行業發展現狀
1、中國網路安全行業規模發展迅速,多機構看好
2013年開始,隨著國家在科技專項上的支持加大、用戶需求擴大、企業產品逐步成熟和不斷創新,網路安全產業依然處在快速成長階段,近年來,受下游需求及政府政策的推動,我國網路安全企業數量不斷增加,網路安全產業規模也不斷發展。
IDC、中國信通院、CCIA、CCID的報告分別顯示2020年中國網路安全市場規模約為512.85億元、1702億元、553億元、749.2億元,較2019年增速分別為16.13%、8.82%、15.69%、23.20%。
具體來看,IDC的統計數值較為保守,2016-2020年年均復合增長率為23.86%,CCID年均復合增長率為22.19%。CCIA統計數值的CAGR為19.63%,信通院的CAGR為14.45%。總的來看,各家機構對網路安全的增速統計都在年均15%左右的復合增長率。
註:信通院自2020年度數據發布開始,對網路安全產業范疇進行了擴充(本文追溯到2017年),將例如區塊鏈應用等安全新技術產品、密碼產品和設備等信息安全產品納入考量范圍,同時將雲服務企業、電信運營商、車聯網企業等主體的網路安全業務也納入計算范圍。
2、行業細分類別平衡發展,逐漸呈「三足鼎立」態勢
從細分類型來看,2017-2020年,網路安全設備市場規模維持在30億美元左右,2020年為32.7億美元,但規模佔比逐年遞減,2020年占行業總規模的41.5%,同比降低3.9個百分點;軟體和服務市場近幾年有明顯上升趨勢,2020年規模佔比分別為33.0%和25.6%。整體來看,網路安全行業市場之間呈「三足鼎立」態勢。
行業競爭格局
1、區域競爭:北上廣企業數量多,廣東成網安龍頭企業聚集地
為抓緊網路安全產業發展機遇,打造國家網路安全產業區域高地,成都、武漢、上海等重點城市不斷加快產業布局,引導企業、科研、人才等資源集聚。
從網路安全行業參與企業總數分布來看,北京以850家的總量排名全國第一,其次是廣東(540家)、上海(235家)、四川(228家)和江蘇(190家)
從上市企業地域分布來看,北京以28家上市成為網路安全廠商上市數量最多的城市,其中奇安信(688561)、啟明星辰(002439)、北信源(300352)等龍頭廠商均分布於此。其次是廣東地區,上市企業數量為20家,其中深信服(300454)、天融信(002212)、任子行(300311)等廠商發源於此地。其他城市的網路安全上市廠商數量均在10家以下,其中著名廠商三六零((601360)位於天津,浪潮信息(000977)位於山東,山石網科(688030)位於江蘇,安恆信息(688023)及迪普科技(300768)位於浙江。
2、企業競爭:參與者眾多,網路安全產品市場整體行業集中度高
從網路安全設備市場來看,整體以深信服(300454)市場份額佔比最高,為53.7%。從網路安全設備細分領域來看,在防火牆/vpn方面,天融信(002212)、華為、新華三基本呈「三足鼎立」的格局,市場份額均在20%左右;在入侵檢測/防禦方面,啟明星辰(002439)、綠盟科技(300369)、新華三市場份額佔比分別為20.6%、20.1%和13.3%;在統一威脅管理方面,網御星雲(啟明星辰)、深信服(300454)、奇安信(688561)占據了46.5%的市場份額。
從網路安全軟體市場來看,WEB細分領域以阿里巴巴為寡頭,市場份額佔比高達61.7%;安全管理平台細分領域以啟明星辰(002439)、網御神州為主,兩者合計佔比為45%;在終端安全管理市場,奇安信(688561)佔比高達49%,處於寡頭地位。
從網路安全服務市場來看,國內企業布局較少,外企賽門鐵克、IBM處於相對優勢地位,我國企業啟明星辰(002439)亦有所布局。
行業發展前景及趨勢預測
1、頭部企業「橫向+縱向」擴張,行業細分類型均衡發展
以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。
Ⅳ 什麼是網路信息安全的核心技術
網路信息安全的核心是通過計算機、網路技術、密碼技術和安全技術,保護在公用網路信息系統中傳輸、交換和存儲消息的保密性、完整性、真實性、可靠性、可用性、不可抵賴性和可控性等。其中最核心的是信息加密技術。
Ⅵ 網路安全策略的核心是什麼
針對你的需要 制定的安全策略 針對人的管理 針對設備的管理
1. 安全需求分析 "知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合於自己的安全體系結構,從而有效地保證網路系統的安全。
2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網路安全策略。
4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由於網路安全是一個動態的過程,組織和部門的計算機網路的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。 5. 外部支持 計算機網路安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網路安全體系更加完善,並可以得到更新的安全資訊,為計算機網路安全提供安全預警。
6. 計算機網路安全管理 安全管理是計算機網路安全的重要環節,也是計算機網路安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網路有序地進行,是獲取安全的重要條件。
Ⅶ 計算機網路以什麼為中心,共分幾代網路
計算機網路以地理上分散的多個終端通過通信線路連接到一台中心計算機為中心。
共分為四個代
第一代計算機網路是以單個計算機為中心的遠程聯機系統。
第二代計算機網路是以多個主機通過通信線路互聯起來。
第三代計算機網路是具有統一的網路體系結構並遵循國際標準的開放式和標准化的網路。
第四代計算機網路從80年代末開始,區域網技術發展成熟,出現光纖及高速網路技術。
(7)第三代網路安全體系核心擴展閱讀:
計算機網路的分類與一般的事物分類方法一樣,可以按事物所具有的不同性質特點(即事物的屬性)分類。計算機網路通俗地講就是由多台計算機(或其它計算機網路設備)通過傳輸介質和軟體物理(或邏輯)連接在一起組成的。
總的來說計算機網路的組成基本上包括:計算機、網路操作系統、傳輸介質(可以是有形的,也可以是無形的,如無線網路的傳輸介質就是空間)以及相應的應用軟體四部分。
Ⅷ 防火牆主要有哪幾類體系結構,分別說明其優缺點
防火牆主要的體系結構:
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被屏蔽主機防火牆
4、被屏蔽子網防火牆
5、其他防火牆體系結構
優缺點:
1、包過濾型防火牆
優點:
(1)處理數據包的速度較快(與代理伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對用戶和應用來說是透明的。
缺點:
(1)包過濾防火牆的維護較困難;(2)只能阻止一種類型的IP欺騙;(3)任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險,一些包過濾路由器不支持有效的用戶認證,僅通過IP地址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)IP包過濾器可能無法對網路上流動的信息提供全面的控制。
2、雙宿/多宿主機防火牆
優點:
(1)可以將被保護的網路內部結構屏蔽起來,增強網路的安全性;(2)可用於實施較強的數據流監控、過濾、記錄和報告等。
缺點:
(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。
3、被屏蔽主機防火牆
優點:
(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(代理服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。
缺點:路由器不被正常路由。
4、被屏蔽子網防火牆
優點:
安全性高,若入侵者試圖破壞防火牆,他必須重新配置連接三個網的路由,既不切斷連接,同時又不使自己被發現,難度系數高。
缺點:
(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦數據驅動的攻擊:防火牆不能防禦基於數據驅動的攻擊。
Ⅸ 第三代移動通信(3G)的安全性分析
網路文庫就有的啦
你可以去看下哦
或者網路一下你就知道啦
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
USIM中的鑒權處理原理
首先計算AK,並從AUTN中將序列號恢復出來,SQN=(SQN①AK)①AK;USIM計算出XMAC,將它與AUTN中的MAC值進行比較。如果不同,用戶發送一個「用戶認證拒絕」信息給VLR/SGSN,放棄該鑒權過程。在這種情況下,VLR/SGSN向HLR發起一個「鑒權失敗報告」過程,然後由VLR/SGSN決定是否重新向用戶發起一個鑒權認證過程。
同時,用戶還要驗證接收到的序列號SQN是否在有效的范圍內,若不在,MS向VLR發送同步失敗消息,並放棄該過程。
如果XMAC和SQN的驗證都通過,那麼USIM計算出RES,發送給VLR/SGSN,比較RES是否等於XRES,如果相等,網路就認證了用戶的身份。
最後,用戶計算出CK和IK。
2.2 UMTS的加密機制
在上述雙向鑒權過程中產生的CK,在核心網和用戶終端間共享。CK在RANAP消息「安全模式命令」中傳輸,RNC獲得CK後就可以通過向終端發送RRC安全模式命令,並開始進行加密。
UMTS的加密機制是利用加密演算法f8生成密鑰流(偽隨機的掩碼數據),明文數據再和掩碼數據進行逐比特相加產生密文,然後以密文的方式在無線鏈路上傳輸用戶數據和信令信元,接收方在收到密文後,再把密文和掩碼數據(同加密時輸入參數一樣,因此產生的掩碼數據也一樣)逐比特相加,還原成明文數據,即解密。
2.3 UMTS的完整性保護機制
為防止侵入者假造消息或篡改用戶和網路間的信令消息,可以使用UMTS的完整性保護機制來保護信令的完整性。完整性保護在無線資源控制(RRC)子層執行,同加密一樣,在RNC和終端之間使用。IK在鑒權和密鑰協商過程中產生,IK也和CK一起以安全模式命令傳輸到RNC。
UMTS的完整性保護機制是發送方(UE或RNC)將要傳送的數據用IK經過f9演算法產生的消息鑒權碼MAC附加在發出的消息後。接收方(RNC或UE)收到消息後,用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較,如果兩者相等,說明收到的消息是完整的,在傳輸過程中沒有被修改。
3、2G/3G網路共存時的漫遊用戶鑒權
2G與3G網路共存是目前移動通信向3G過渡必然要經歷的階段。由於用戶通過SIM卡或USIM使用雙模式手機可同時接入到2G和3G網路,當用戶在2G和3G共存的網路中漫遊時,網路必須為用戶提供必要的安全服務。由於2G和3G系統用戶安全機制之間的繼承性,所以可以通過2G和3G網路實體間的交互以及2G和3G安全上下文之間的轉換運算來實現不同接入情況下用戶的鑒權。
3.1 UMTS漫遊用戶的鑒權
在2G和3G共存網路中,UMTS漫遊用戶鑒權按以下方式進行:
a)通過UTRAN接入時,使用3G鑒權。
b)當使用3G移動台和3G MSC/VLR或SGSN通過GSM BSS接入時,使用3G鑒權機制。其中GSM密鑰從UMTS CK和IK計算獲得。
c)當使用2G移動台或2G MSC/VLR或SGSN通過GSM BSS接入時,使用GSM鑒權機制。其中用戶響應SRES和GSM密鑰從UMTS SRES、CK和IK得到。
UMTS漫遊用戶的鑒權過程包括以下幾個步驟(見圖4):
圖4 漫遊UMTS用戶在2G/3G網路中的鑒權
a)當HLR/AuC收到VLR/SGSN的鑒權數據請求消息時,將根據用戶鑰匙K生成一組3G鑒權矢量,包擴RAND、XRES、AUTN、CK和IK。
b)鑒權矢量的分發會根據請求鑒權數據的VLR/SGSN的類型而不同。如果請求鑒權數據的是3G VLR/SGSN,將直接接收HLR/AuC的3G鑒權矢量,並將它存儲起來;而當請求鑒權的是2G VLR/SGSN時,HLR/AuC會將3G鑒權矢量轉化為GSM鑒權三元組,2G VLR/SGSN將這組鑒權三元組存儲起來。
c)當UMTS通過UTRN接入時,VLR/SGSN直接進行3G鑒權,為用戶建立3G安全上下文。
d)當UMTS用戶通過2G接入網接入時,根據控制鑒權的VLR/SGSN類型和用戶設備類型的不同,使用的鑒權矢量可以是3G鑒權矢量,也可以是GSM鑒權三元組。當控制接入的是3G VLR/SGSN時,如果用戶使用的是3G用戶設備,VLR/SGSN和用戶之間執行3G鑒權過程,雙方協議CK和IK作為3G安全上下文,並存儲在USIM中,然後用戶設備和VLR/SGSN同時計算出Kc,並用它在以後的信令過程中對空中數據進行保護。如果此時用戶設備是2G,VLR/SGSN取出UMTS鑒權矢量對用戶鑒權時,先通過前述演算法計算出GSM鑒權三元組,然後將RAND發送到USIM,USIM通過3G鑒權演算法得到與鑒權矢量中相同的XRES、CK和IK,計算出2G的SRES和Kc,再將SRES發回到VLR/SGSN進行比較後,將Kc用作空中數據的加密。如果控制接入的是2G VLR/SGSN,則VLR/SGSN取出一個存儲的GSM鑒權三元組,將其中的RAND發送到用戶,USIM通過3G鑒權演算法得到XRES、CK和IK,再同樣計算出2G的SRES和Kc,在對SRES進行比較後,密鑰Kc協商成功。
3.2 GSM SIM漫遊用戶的鑒權
GSM SIM漫遊用戶的鑒權流程如圖5所示。
圖5 GSM SIM漫遊用戶的鑒權流程
由於GSM SIM用戶只支持GSM系統安全特性,所以鑒權過程必然是GSM系統的。具體步驟如下:
a)當VLR/SGSN向用戶歸屬2G HLR/AuC請求鑒權數據時,HLR/AuC生成一組GSM鑒權三元組。
b)HLR/AuC向請求鑒權數據的VLR/SGSN分發鑒權三元組,不管VLR/SGSN是2G還是3G類型的,VLR/SGSN會將這組鑒權三元組存儲起來,然後取出一個鑒權三元組對用戶進行鑒權。
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
Ⅹ 網路安全有五大要素,分別是什麼
網路安全有五大要素:
1、保密性
信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
2、完整性
數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
3、可用性
可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
4、可控性
對信息的傳播及內容具有控制能力。
5、可審查性
出現安全問題時提供依據與手段
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
隨著計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理系統和世界范圍內的信息共享和業務處理。
在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網路連接的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:
1、網路的物理安全;
2、網路拓撲結構安全;
3、網路系統安全;
4、應用系統安全;
5、網路管理的安全等。
(10)第三代網路安全體系核心擴展閱讀:
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下四種:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
參考資料來源:網路-網路安全