加密技术在网络通讯中的应用

王锋

摘要：网络通讯的安全威胁来源于其点到多点的网络结构和下行广播的传输方式，因此保障系统安全主要集中在对用户身份的验证和对下行数据的加密方面。文章在分析网络通讯安全性研究现状的基础上，从防窃听、拒绝服务攻击、伪装和窃取服务攻击三个方面探讨了加密技术在网络通讯安全问题中的应用。

关键词：网络通讯；加密技术；防窃听；服务攻击；密钥体制

中图分类号：TP311文献标识码：A文章编号：1009-2374（2014）21-0033-02

1网络通讯安全性研究现状

网络通讯的安全威胁来源于其点到多点的网络结构和下行广播的传输方式。下行广播数据对所有人都是透明的，因而非法用户可以监听发送给其他ONU的信息，或非伪装成合法ONU甚至OLT。因此保障系统安全主要集中在对用户身份的验证和对下行数据的加密方面。

综合现有网络通讯的身份认证方案，主要可分为基于可信第三方认证和OLT直接认证方案、设计专门认证流程和基于注册过程的认证方案。同时，对于认证算法的选择，大多集中于RSA、ECC和NTRU，同时现有算法多关注对ONU的认证，恶意用户同样可以伪装成OLT对系统进行攻击。根据以上分析，在数据加密方面，由于网络通讯中数据高速传输，对延时有一定要求，所以现有研究多采用对称加密体制。DES算法效率高，运行速度快，适合于高速数据的加密，但是由于它比较简单，因而安全性不高。此外，还有采用AES加密算法或公钥密码体制与对称密钥体制相结合的方案等。

对现有网络通讯加密研究总结分析可知，现有的加密方案多采用对称加密算法，或对称与非对称加密算法相结合的方法对数据进行加密。但无论采用哪种加密方式，在整个通信过程中，加密解密所使用的密钥不进行更新变化，同时由于网络通讯系统特点，密钥传输存在隐患，使得密钥更新困难，这将给网络通讯系统带来非常大的安全威胁。

2加密技术在网络通讯中的应用

网络通讯的安全也是其核心关键技术之一。网络通讯系统的安全威胁主要来自发现注册过程的伪装和下行传输过程中的窃听。由于网络通讯系统为树状拓扑结构，下行数据广播发送，且帧结构透明，所以任何人都可进行窃听。加密技术在网络通讯安全问题中的应用主要可分为以下三个方面：

2.1防窃听

在网络通讯网络中，ONU依靠前导码中的LLID字段对下行数据包进行过滤，如果LLID匹配则接收，否则丢弃。但如果ONU以“混杂模式（Promiscuous Mode）”运行，那么下行方向的数据存在被窃听的可能性。在此模式下，ONU将接收所有数据包，而不根据LLID进行过滤。攻击者想要窃听，只需禁用LLID过滤，就可无限制地获取所有下行数据。并且更为糟糕的是，由于窃听不会触发或改变任何网络结构或行为，所以OLT对窃听是被动的，无法检测到其存在。

在上行链路中，用户数据较下行数据安全，由于网络通讯的拓扑结构，ONU之间不进行数据交换，而是直接发送给OLT，因此上行传输的窃听较为困难。目前，由于利用光分路器/合路器来窃听上行数据还未在实际中被证实可行，同时，要从网络的噪声信号中分离出有用的信号还非常困难，因此对于此种窃听方式还存在争议。但是不可否认，随着技术的发展，上行数据的传输并不是完全安全的，同样存在很大的安全漏洞。

窃听是网络攻击的最初阶段，它针对整个网络通讯网络结构，可接入毫无限制的传输介质，因此被认为是准备阶段。使用简单的透明数据挖掘技术，攻击者可获取所有敏感信息，如用户保密内容、用户活跃期、系统敏感数据和轮询协议配置等。拥有这些信息后，攻击者就可进行更多更具破坏性的网络攻击。

2.2拒绝服务攻击

拒绝服务攻击会造成所有已注册的在线用户的服务丢失，如果网络设备受到攻击，可能会造成严重的服务质量恶化甚至失去网络连接。典型的DoS攻击是利用严重消耗目标网络中的可用带宽和网络资源，使网络中的硬件超负荷运行来实现的，它将造成合法用户的服务被拒绝或者服务质量的严重恶化。DoS的主要攻击方式有：消耗大量计算资源，如带宽、硬盘空间或中央处理器（Central Processing Unit，CPU）时间；破坏系统的敏感配置信息，如路由信息、LLID、MAC地址和虚拟局域网（VirtualLocal Area Network，VLAN）标志等；在物理层破坏网络连通性，例如在上行链路中发送强激光信号，阻止来自合法用户的信息发送。

在网络通讯系统中最简单的DoS攻击是破坏网络连通性，由于网络通讯采用存活机制（Keep-Alive）检查在线用户，攻击者可在传输时隙内上行发送一个强激光信号，造成系统上行链路封禁和系统重启，从而更容易入侵系统，破坏系统安全性。遭受DoS攻击的系统只有两种保护方法：在系统崩溃时，利用无源信号功率测量技术检测到DoS源；动态改变上行链路以避免破坏性传输。

由于网络通讯网络是完全无源的结构，ONU和OLT之间不存在有源的路由器，因此DoS无法攻击路由表等信息，只能破坏系统的敏感配置信息，包括MAC地址和LLID，通过伪造Report帧，申请虚假的带宽请求，破坏DBA算法对系统资源的分配，造成恶意ONU占用大量带宽而其他合法ONU的带宽请求不能被满足。

2.3伪装和窃取服务攻击

当一个恶意用户利用伪造数字签名，伪装成另一个合法用户来使用网络资源时，会发生窃取服务攻击（Theft of Services，ToS）。恶意用户首先被动地监听收集目标ONU的信息，例如LLID、MAC地址和RTT等，然后恶意用户利用这些信息伪装成合法ONU，通过修改合法用户数据帧中LLID、MAC地址等信息，使OLT认为该数据帧来自另一个ONU，并把自己的数据帧伪造成合法用户的数据帧，以利用合法用户的身份享用系统

资源。

在网络通讯系统中，OLT为每个ONU分配一个LLID来实现两者的双向传输，此LLID嵌入在OLT和ONU的每个传输帧中。但是像LLID这样安全敏感的重要数据是以明文方式传输的，这样为恶意用户的伪装提供了便利，并可发动ToS攻击。恶意用户要进行伪装或发动ToS攻击，需要了解整个网络通讯系统硬件结构，并能够监控所有下行数据，这样就可过滤上行数据，并在指定的时隙内完成传输。由于恶意用户拥有合法用户的LLID，伪造和ToS攻击很难被检测出来，因此需要在伪装完成之前就能检测到非法用户。

3结语

本文主要介绍网络通讯系统的结构和工作原理，对MPCP和加密关键技术和问题进行了简单分析，包括ONU发现注册、测距同步、带宽分配以及安全问题进行了简单介绍，并根据这些技术和问题引出本文研究内容，介绍了几种加密技术在网络通讯中的应用。

参考文献

[1]陈祥花．10GEPON安全技术研究[D]．北京邮电大学，2011．

[2]孟凡双．EPON加密方案的研究与仿真[D]．北京交通大学，2008．

[3]陆国庆．传感器网络信息安全分级模型的研究和协议应用[D]．湖南大学，2010．

endprint