通信的可靠和安全.ppt

通信技术基础 第10章 通信的可靠和安全 10.1 概述 10.2 通信的可靠 10.3 通信的安全 第10章 通信的可靠和安全 返回主目录 通信技术基础 第10章 通信的可靠和安全 10.1 概述 10.1.1 通信可靠与安全的意义 通信网络无论是技术设备种类或覆盖面上，都得到了极 大的增长和扩展，已形成了十分巨大的网络规模，通信网络 在给人们带来巨大的信息交流便利的同时，却受到包括物理 、化学、机械、电气、人为破坏、自然灾害、偶然事件、操 作失误、黑客攻击等各种因素的影响而往往造成不同大小的 通信网络故障和通信安全威胁，甚至是通信中断，对社会的 政治、经济、生活等带来不可估量的损失和影响，世界范围 内由此造成损失的例子不胜枚举。因此，加强通信网络的可 靠性与安全性具有十分重要的现实意义。 通信技术基础 第10章 通信的可靠和安全 10.1.2 通信可靠与安全现状 由于自然、技术、管理和人为等多种因素导致通信网 络故障时有发生，通信的可靠性与安全性现状不容乐观。 通信业务量主要集中于大型交换机、大容量光纤技术和集 中信令，容易因一个部件的失效而造成巨大的影响；通信 网络中大量使用的软件技术在提高系统灵活性的同时，潜 藏着崩溃的可能；通信网络的大规模扩容缺乏完善的可靠 性与安全性设计。 10.2 通信的可靠 10.2.1 通信可靠性的含义 通信可靠性可以定义为“通信网在实际连续运行过程 中完成用户的正常通信需求的能力”。 通信技术基础 第10章 通信的可靠和安全 定义体现了“以用户为中心”的通信服务核心价值，既反 映了通信网络的生存能力和可用性，也反映了通信网络对用 户需求的适应能力，这是一个综合性的描述。狭义的通信可 靠性是指网络结构的可靠性；广义的通信可靠性是指通信网 在运行中的可靠性，涉及到网络结构和组织、网络维护与管 理等方面。 所确定的通信可靠性实际上是从通信网可靠性的角度来 讨论的。 通常可以从以下5个方面进行判断：（1）网络中给定节 点对之间至少存在一条路径；（2）网络中一个指定节点能 与一组节点相互通信；（3）网络中可以相互连通的节点数 大于某一阈值；（4）网络中任意两个节点间传输时延小于 某一阈值；（5）网络的吞吐量超过某一阈值。 通信技术基础 第10章 通信的可靠和安全 10.2.2 通信可靠性的影响因素及特点 1. 从通信网络本身的角度看 2从通信网络的运行效果看 3从通信技术的角度看 根据通信和通信网络的特点，通信可靠性具有以下五个特点： （1）社会性。 （2）动态性。 （3）广泛性。 （4）层次性。 （5）复杂性 通信技术基础 第10章 通信的可靠和安全 10.2.3 通信的可靠性设计 （1）网络部件的可靠性 （2）网络的拓扑结构 （3）路由选择方式 （4）最佳可靠性设计 10.2.4 通信可靠性的评价模型与方法 1、通信可靠性评价模型 通信技术基础 第10章 通信的可靠和安全 表10-1 本地网通信可靠性评价指标体系 指标单位指标代码指标属性 全网接通率%LI1正 出中继可用率%LI2正 通信事故次数次LI3负 用户关于设备质 量 的申告率 %LI4负 全年月均故障率%LI5负 全年月均百门故障 历时 分钟LI6负 通信技术基础 第10章 通信的可靠和安全 根据层次评价法的处理方法，对指数进行归一化处理 和 加权处理，可得出本地网可靠性综合指标LRCI的表达式 为： LRCI （10.1） 式中，LIi表示各指标；ai表示各指标的权重。所有指标的 权重之和等于1，即： （10.2） （二）长途网可靠性评价模型 长途网可靠性综合指数TRCI的数学表达式为： TRCI （10.3） 式中，TIi表示长途网各指标； 通信技术基础 第10章 通信的可靠和安全 表示长途网各指标的权重。所有指标的权重之和等于1，即： 10.2.5 我国通信的可靠性管理 通信可靠性管理可分为宏观管理和微观管理两个层次。 宏观可靠性管理是政府主管部门从全社会角度出发，对通信 可靠性工作进行统筹安排，做出标准或体制上的约束，对微 观可靠性管理进行规划、协调和监督；微观可靠性管理由通 信企业从本企业的角度出发，在管制性要求、用户需求、竞 争、成本等多种因素的综合约束下具体实施，以达成可靠性 管理目标。 通信技术基础 第10章 通信的可靠和安全 10.3 通信的安全 10.3.1 通信安全的内涵 通信安全的本质在于保护通信网络中的信息免受各种 非授权的访问或攻击。 10.3.2 影响通信安全的主要因素 （1）对敏感数据的非授权访问（违反机密性）。 （2）对敏感数据的非授权操作（违反完整性）。 （3）滥用网络服务 （4）否认。 （5）非授权接入服务。包括入侵者伪装成合法用户或网络实 体来访问服务；用户或网络实体能滥用它们的访问权限来 获得非授权的访问。 通信技术基础 第10章 通信的可靠和安全 10.3.3 实现通信安全的主要途径 1.实体认证 用户认证：2) 网络认证： 2.访问控制 访问控制是实施授权的一种方法。通常有两种方法用 来阻止非授权用户访问目标： 访问请求过滤：当一个发起者试图访问一个目标时，需要检 查发起者是否被准予访问目标（由控制策略决定）。 隔离：从物理上防止非授权用户有机会访问到敏感的目标。 通信技术基础 第10章 通信的可靠和安全 3. 数据传输机密性 加密算法协议： 加密密钥协议： 用户数据的机密性：信令数据的机密性： 4. 数据完整性 完整性算法协议： 完整性密钥协议 信令数据的完整性和起源认证： 5. 非否认性 非否认是防止通信中的发送方或接收方抵赖所传输的消息，要求无论 发送方还是接收方都不能抵赖所进行的传输。 6. 可用性 可用性是指通信中传输的信息可被授权实体访问并按需求使用的特性 通信技术基础 第10章 通信的可靠和安全 10.3.4 通信安全典型解决方案 1、保密通信 典型保密通信系统功能框图如图10.1所示，它是在一 般数字通信系统基础上新增了加解密功能，其设计的目的 在于使窃听者即使在完全准确地收到了接收信号的条件下 也不能恢复出原始消息来 。 通信技术基础 第10章 通信的可靠和安全 图10.1 典型保密通信系统功能框图 通信技术基础 第10章 通信的可靠和安全 现代密码学中所出现的密码体制可分为两大类：对称 加密体制和非对称加密体制。对称密码体制的安全性主要 取决于两个因素： （1）加密算法必须足够强大，使得不必为算法保密，仅根据 密文就能破译出消息是不可行的。 （2）密钥的安全性，密钥必须保密并保证有足够大的密钥空 间。 非对称密码体制的加密密钥与解密密钥不同，形成一 个密钥对，用其中一个密钥加密的结果，可以用另一个密 钥来解密。 通信技术基础 第10章 通信的可靠和安全 非对称密钥密码体制的优点： 1) 网络中的每一个用户只需要保存自己的私有密钥，则N个 用户仅需产生N对密钥。密钥少，便于管理。 2) 密钥分配简单，不需要秘密的通道和复杂的协议来传送密 钥。公开密钥可基于公开的渠道（如密钥分发中心）分发 给其他用户，而私有密钥则由用户自己保管。 3) 可以实现数字签名。 对称密码体制中的序列密码具有良好的低时延、无误 码扩散特性，在通信系统中得到了广泛应用，适用于各种 传输信道质量的场合。 (1)语音保密通信 通信技术基础 第10章 通信的可靠和安全 1）模拟置乱技术 2）数字加密技术 电话网保密通信的一般模型如图10.2所示。在数字电话 网中的加密方式主要有3种: 端加密；链路加密；混合加密 图10.2 电话网保密通信一般模型 通信技术基础 第10章 通信的可靠和安全 数字电话网中两种基本加密方式的加密设备所处的位 置如图10.3所示。 （2）数据保密通信 （3）图像保密通信 图10.3 数字电话网中的两种基本加密方式 通信技术基础 第10章 通信的可靠和安全 2.蜂窝式无线通信安全 WAP的安全会话模式由三个部分组成，如图10.5所示。 一个安全的WAP会话通过两阶段实现： (1)WAP网关与WEB服务器间通过SSL进行安全通信，确保了保 密性、完整性和服务器认证； (2)WAP网关和移动用户之间的安全通信使用WTLS协议。 通信技术基础 第10章 通信的可靠和安全 图10.5 WAP的安全会话模式 通信技术基础 第10章 通信的可靠和安全 3、无线局域网安全 （1）WEP的加密算法 密文的生成过程如下（如图10.6所示）： （1）用CRC32计算消息明文的完整性校验值ICV。 （2）将ICV联结到明文之后。 （3）选取一个随机初始矢量（IV）并将其联结到密钥之后。 （4）输入密钥与IV到RC4算法中，以产生一个伪随机密钥序 列。 （5）在RC4下，用伪随机密钥序列通过按位异或加密明文和 ICV，产生密文。 （6）将IV放在密文的前部传输给对方。 通信技术基础 第10章 通信的可靠和安全 图10.6 WEP加密 通信技术基础 第10章 通信的可靠和安全 （2）WEP的解密算法 如图10.7所示。解密时，收到消息中的IV被用于生成密钥序列，密 文和正确的密钥序列异或产生原始的明文和ICV。通过在恢复的明文上 执行完整性校验算法生成ICV，并比较生成的ICV和收到的ICV的异同 来证实。如果生成的ICV不等于收到的ICV，则收到的消息出错，一个 出错标识被送回发送站点。 图10.7 WEP的解密 通信技术基础 第10章 通信的可靠和安全 （3）无线局域网的认证 4、虚拟专用网络 虚拟专用网络（Virtual Private Network，VPN)是一种 确保远程网络之间能够安全通信的技术，通常用以实现相 关组织或个人跨开放、分布式的公用网络(如因特网)的安 全通信。 IPSec在IP层提供安全服务，使得一个系统可以选择需 要的安全协议、决定为这些服务而使用的算法、选择服务 所需要的密钥。 通信技术基础 第10章 通信的可靠和安全 VPN主要有三个应用领域：远程接入网、内联网和外 联网。 (1)远程接入网主要用于企业内部人员的移动或远程办 公，也可用于商家为其顾客提供B2C的安全访问服务。如 图10.9所示，基于VPN的远程接入可以向用户提供随时随地 以其所需的方式安全访问企业资源。 图10.9 VPN远程接入 通信技术基础 第10章 通信的可靠和安全 (2)内联网主要用于企业内部各分支机构的互联。 (3)外联网主要为某个企业和其合作伙伴提供许可范围内的信 息共享服务。 5、防火墙技术 防火墙是一种保护本地系统或网络免于来自网络的安 全威胁，同时提供通过广域网或因特网对外界进行访问的 有效方式。 1) 服务控制： 2) 方向控制： 3) 用户控制： 4) 行为控制： 通信技术基础 第10章 通信的可靠和安全 防火墙有3种常见的类型： （1）分组过滤器 （2）应用级网关（也叫代理服务器） （3）电路级网关 防火墙的局限性： （1）防火墙不能对绕过它