部署统一通信：无线网络融合的安全技术研究

3关键安全技术

3.1安全方案

现阶段也有人对网络融合提出相应的安全方案。如Ala-Laurila等[15]提出了通过GSM/GPRS和WLAN融合来支持移动用户的结构。然而，这个结构并没有考虑使用双接口(GSM/GPRS和WLAN)终端。WLAN作为3G的接入网络并直接连接3G网络的主要组成部分(如蜂窝运营中心)。两个网络共享相同的资源，如计费、信令和传输系统等。Luo等[16]将3G和WLAN相融合为企业提供了Internet漫游解决方案。这个解决方案需要在合适的地方安放许多服务器和网关。虚拟专用网(VPN)的结构为企业提供了与3G、公共WLAN和专用WLAN之间的安全连接。

这些方案都只解决了一部分融合网络的部分安全缺陷，要完全解决整个网络的全部安全缺陷还需要进一步地深入研究。

3.2加密技术

加密技术主要分为两大类：私钥加密技术和公钥加密技术。私钥加密的特点是加密和解密使用同样的或本质上相同的密钥对信息进行处理。这样就牵涉到密钥的传输和储存的问题，从而很难应用于开放式的网络结构中。而公钥加密技术牵涉到比较复杂的计算，但因为不涉及密钥的传输，相对地能够提供较好的安全性能。同时公钥加密算法还能够提供数字签名。因而，公钥算法可以给现代通信中的鉴权计费提供安全保证。

目前蜂窝网络中使用的加密方法都属于传统加密方法，即私钥加密技术。在信息交互过程中无论发送者还是接收者都使用相同密钥来进行数据加密、用户鉴权、验证数据完整性和数字签名。

3.3密钥分配机制

本文希望利用公钥加密技术及IPSec、IKE的工作原理对用户的信息进行加密并对这些过程中使用的密钥进行分配。在接入、认证过程中使用公钥加密技术无疑可以提供更高等级的安全性能，至于密钥的安全分发还是需要进一步探讨。对于有中央控制的网络来说，网络都有一个鉴权中心(AC)，用户在接入网络之前需要向AC提出申请。由AC发放一个只有AC和用户知道的私钥，其对应的公钥则由AC向网络内的其他用户公布。而对于分布式的AdHoc网络来说，如果增加一个被所有节点信任的AC，则无法充分利用AdHoc的自组织特性，而自组织特性是提出AdHoc网络的主要目的。因此，如何在Ad Hoc网络中引入公钥加密算法是未来的重要研究课题。

至于在数据传输过程中的加密则应该尽可能地缩短数据加/解密时间，以支持实时业务并减轻移动终端的负担。在这方面，目前的加密技术中私钥加密技术能够提供比较好的性能。至于用于数据加密的私钥的传输则是另外一个需要考虑的问题。对于有中央控制的网络，私钥可以在鉴权时或是用公钥加密后传输，以确保私钥的安全性。目前主要的困难在于AdHoc网络中的私钥分发或传输。

至于路由的安全性，本文希望能够使用公钥加密技术(即基于证书的鉴权)来实现。在无需事先分配共享密钥接入网络时，基于证书的鉴权为通信团体验证实体提供了一种有力的手段。它需要使用证书产生数字签名，可以支持更复杂的业务模型。应用基于公钥的鉴权协议时，除了要进行与协议直接相关的计算外，校验者必须确认与之通信的实体的公钥证书[17]。若在AdHoc网络中使用基于证书的认证，则认证者不但要认证单个证书的正确(如证书签名和合法时间的确认)和是否撤回，而且还要认证一条证书链路上所有的证书[18]。对于路径的鉴权可以参见文献[19]中的方案。

应用IPSec是用通道模式保证多跳时的信息安全。由于传送模式较为方便，可以在AdHoc节点内存储其一跳的邻居，这样在一跳邻居间传输信息时可以用开销较小的传送模式进行工作。

4结束语

本文针对多种网络融合的下一代网络提出了一个安全框架，即使用公钥加密算法鉴权，私钥对通信数据进行加密来提供基于恢复的多重防护解决方案。这个体系可以为系统提供可靠的安全性以及用户对服务的不可抵赖性。不过目前基于恢复的安全体系还处于研究的起步阶段，还需要明确各层的正确行为，以及出现多个恶意节点对某个合法节点的诬陷时所应采取的行动。