王靜奕

（武漢信息傳播職業(yè)技術學院，湖北 武漢 430223）

0 引 言

對于計算機遠程通信網絡而言，其數據傳輸時應該包含迅捷性和準確性兩個特性。在數據傳輸速度上，當前已經有較多關于信息編碼和數據壓縮等技術的研究且有了較為豐富的成果，但信息在高效快捷傳輸時，部分通信網絡的數據信息可能會被某些懷有惡意的攻擊者所盜取或攻擊，進而導致通信網絡被破壞。從分析可知，在計算機通信網絡中，確保網絡安全的工作越發(fā)重要。但隨著不斷增加的攻擊方式，遠程通信網絡安全問題的解決愈發(fā)困難。在當前，針對計算機遠程通信網絡中解決安全問題最有效直接的方式是安全協(xié)議。安全協(xié)議自從Needham等人在認證服務器系統(tǒng)中建立安全協(xié)議思想開始就走進人們的視野。在Denning指出網絡安全協(xié)議中NS私鑰中的重大錯誤后更加提高人們對網絡安全的關注程度，經過多年的發(fā)展，Datta等人才針對性提出安全協(xié)議基本框架。為進一步提高計算機遠程網絡通信技術的安全保障，增強其服務質量，必須對其安全性開展更深入的研究分析。

1 計算機遠程通信網絡技術概述

1.1 特點分析

計算機遠程網絡通信的核心部分主要包括通信終端、網絡主機、數據交換設備和各傳輸線路。在技術層面上，計算機遠程通信網絡技術有機結合了計算機和通信兩種技術，且高速發(fā)展的計算機技術為遠程網絡通信技術帶來了強大推力，使其信息傳輸和共享水平得到大大提升。此外，隨著不斷進步的通信技術，也使得計算機遠程網絡通信技術的發(fā)展基礎更加穩(wěn)定。

計算機網絡通信技術傳輸的通信線路類型共有三種，分別是單工、全雙工和半雙工三種。單工通信指某段時間內在傳輸數據信息時只能朝向一個方向傳輸信號，且始終保持單一的信號傳輸路徑，如在將傳輸終端信息給主機。半雙工通信可傳輸雙向信息，但多應用在有著較為復雜通信線路結構的大型工業(yè)中。相比之下，雙工通信除了能更加有效的發(fā)揮系統(tǒng)性能之外，還能在傳遞雙向數據通信時更為精簡化，原因在于僅需通過單一移動信號線路就可實現移動計算機和其他計算機終端的信號傳輸。

1.2 存在問題

1.2.1 通信技術故障

雖然計算機遠程網絡通信技術有較大的進步，并且得到了廣泛的普及，但實踐中仍存在較多問題，而主要問題之一則是網絡技術故障。在發(fā)生網絡技術故障之后會使網絡信息傳輸出現問題，導致各項應用難以有效發(fā)揮其作用。導致技術故障的原因包括兩種，一種是物理層面上硬件因素導致的通信故障，另一種則是網絡層面上導致的故障，指傳輸信號時，因同步運行應用較多等導致的網絡延遲等故障，以及網絡被病毒所入侵導致的故障。

1.2.2 通信安全問題

信息安全是計算機遠程網絡通信最突出的問題，具體體現為信息遺失，對其本質原因進行分析可知其主要表現在用戶下載文件存在安全隱患，或所訪問網站有安全隱患，使得網絡病毒侵入通信系統(tǒng)的可能性有所增加，導致遠程數據信息傳輸出現安全問題。

2 網絡安全協(xié)議

安全問題是網絡通信技術的前提和保障。當今，信息安全成為人們最關心的話題之一。網絡上的數據信息隨時在進行著傳遞，一旦泄露出重要信息將會對財產和人身安全造成巨大危害。因此，針對網絡通信而言，安全始終是其發(fā)展的第一位。而在網絡遠程通信技術中，網絡安全協(xié)議是確保其安全性的重要手段之一。網絡安全協(xié)議的作用在于認證信息傳遞主體和保密通信時會話密匙的分配，因此身份認證以及密匙保密是網絡安全協(xié)議的基本屬性。身份認證是指在運行完安全協(xié)議后，通信主體確認其原先的公示身份，會話密匙是保密豎向所面向的對象，主要通過網絡安全協(xié)議進行分配。若需要在交換信息的幾方中分發(fā)會話密匙，那么其只可以被與網絡安全協(xié)議有著一定聯(lián)系的可信主體所了解，所傳遞信息及時被攻擊者所竊取也無法得到信息傳遞的會話密匙。

2.1 GPRS認證協(xié)議

認證請求以及網關驗證是GPRS網絡認證協(xié)議的主要構成部分。認證請求的提出者是MS，MS的臨時ID被請求數據報所包含。網關驗證指對該ID進行驗證的過程。在GPRS認證協(xié)議中，挑戰(zhàn)/應答是其核心機制。當認證請求被認證者所提出之后，認證者挑戰(zhàn)被認證者，若其對該挑戰(zhàn)做出正確的回答，則會被通過認證，反之則未能通過。

首先，當無線網關（SGSN）接收到移動設備MS的認證請求之后，SGSN接收到MS所發(fā)送的ID信息IMSI之后，認證中心AuC就會收到SGSN所傳遞的ID信息。當信息成功傳輸到AuC之后，AuC將會尋找與其相對應的MS信息，再將其生成隨機數RAND，基于A3算法，AuC會將RAND和該ID信息進行組合以生產出相應的私鑰K生成挑戰(zhàn)值SRES；基于A8算法，將私鑰K進一步組合成K，上述所得到的RAND、SRES和K就會通過AUC發(fā)送至SGSN，SRES被SGSN所保存，再將RAND傳遞到移動終端，移動終端就會形成應答值SRES’，SRES’將通過MS傳遞到SGSN，之后，SGSN將會對SRES值和SRES’進行對比，若兩者相同則可以成功認證，若不同則無法通過認證。SGSN會對通過認證后的移動終端信息進行記錄，MS即可與數據網關GGSN傳輸數據。具體步驟如圖1所示。

圖1 GPRS認證協(xié)議步驟

對于分布式傳輸系統(tǒng)而言，制訂協(xié)議主要是讓傳輸信息的雙方能夠依據所規(guī)定的信息傳遞方式進行數據的傳輸，通信雙方必須要遵循該規(guī)則，因此認證協(xié)議的制訂是否合理對于通信傳輸系統(tǒng)網絡安全而言是重要的基礎。分析認證過程可以知道，完成認證協(xié)議的場所是無線網關SGSN。若攻擊者攻擊此協(xié)議，它可對RAND和SRES數據進行竊取，基于所得到的數據可通過A3和A8算法計算得到K，以此對系統(tǒng)內部進行入侵。攻擊者也可通過繞過SGSN認證的方式欺騙SGSN，和GGSN進行直接連接。因現有協(xié)議中存在過多次數的挑戰(zhàn)/應答方式，導致網絡有過重的信息承載，且數據傳輸過于頻繁，使得認證需要花費過多時間，在通信網絡中其所花費的時間即為數據認證延遲，移動終端MS會因為該種延遲而導致等待時間有所增加，嚴重可導致無法成功登陸的結果。

針對當前GPRS認證協(xié)議存在的問題，從提高協(xié)議安全性、降低認證傳輸次數和網絡負載壓力、縮短擁護等待時間的角度出發(fā)，本文對GPRS認證協(xié)議結構模型進行優(yōu)化。

2.2 優(yōu)化分析

在認證協(xié)議改進模型中，將一個同步計數器CS添加到系統(tǒng)中。數據網關SGSN和SIM卡都可以放SC，隨著網絡時間的改變，該SC值也會隨之改變。此外，認證協(xié)議在改進后產生隨機數的地點出現變化，原先的產生RAND數的地點從認證中心AuC轉變?yōu)橐苿咏K端MS。新產生的隨機數包括MS形成的隨機數SRAND和SC產生的數值。將兩者相加之后即可得到和原有隨機數相近的數值XRAND，該數值有和原隨機數相同的尾數。即：

SCRAND=SRAND+SC

K和SCRAND通過移動終端作為輸入，根據A3算法進行加密之后即可獲得MSRES口令值，此外，以數據網關GGSN替代無線網關SGSN，以阻礙攻擊者試圖使用繞過認證環(huán)節(jié)進入通信內部系統(tǒng)的設想。

協(xié)議的具體步驟為：首先MS形成一隨機數SRAND，將該隨機數加上SC數值后即可得出SCRAND值。然后SRAND值、身份信息IMSI和計算得到的MSRES口令值通過MS共同傳送到無線網關SGSN。當SRAND輸送到SGSN之后，SGSN就會將其和SC所輸出的數值相加得出SCRAND，然后無線網關SGSN將所得到的SCRAND值、IMSI值和MSRES值共同傳輸至數據網關GGSN，除了MSRES值在GGSN中被保留下來之外，IMSI以及MSRES均被傳輸至AuC中，通過IMSI，Auc就可獲取MS的私密鑰匙K，將K和SCRAND輸入進去通過A3算法進行計算之后即可得到MSRES’，之后再和A8算法得到的K輸送進數據網關GGSN，在GGSN中對比所得到的MSRES’和MSRES是否相同，若相同則代表認證成功。具體步驟如圖2所示。

圖2 GPRS認證協(xié)議改進步驟示意圖

對比兩種協(xié)議可知，改進后的和原先的協(xié)議有相同的主體思路，都是通過對比判斷SERS和MSRES是否相同的方式進行認證。但認證協(xié)議改進后和原有協(xié)議相比有如下三點不同：

（1）不同的隨機數產生來源。原有協(xié)議通過認證中心AuC發(fā)出隨機數，改進后由移動終端MS發(fā)出隨機數；

（2）A3算法中輸入的隨機數有不同的構成。原有協(xié)議僅有RAND值，改進后隨機數包括SRAND值和SC值；

（3）不同的認證地點。原有協(xié)議認證地點在無線網關，改進后認證地點在數據網關。

2.3 協(xié)議改進后的優(yōu)點

2.3.1 安全性

原有協(xié)議中的隨機數為公共參數，RAND值可被攻擊者公開取得。協(xié)議改進后隨機數僅作為A3算法中的一部分，另一部分主要通過不公開的同步計數器得到，因此SCRAND無法被攻擊者取得，即協(xié)議改進后的可通過K和SCRAND提供口令的保密性，因此協(xié)議改進后有了較大幅度的安全性。

2.3.2 信號負載

在軟件作用下，認證協(xié)議里認證網關傳輸數據的數量即認證網關信號負載。此處將一次認證網關處理的數據表示為一次負載量。無線網關SGSN是原有協(xié)議的認證地點，從其首次對數據進行處理，到最后一次進行數據處理，期間共進行了五次數據處理，即其負載量為5個，在改進的協(xié)議中，數據網關是其認證地點，從其首次開始進行數據處理到最后一次進行數據處理，期間共處理的數據量為3次，即其負載量為3個，相比于原有協(xié)議，改進后的協(xié)議有著更低的負載量。

2.3.3 延遲性

在MS輸出認證信號起，到認證網關判斷成功與否結束所需消耗的時間即為協(xié)議認證的延遲。設每個網絡數據庫有需要的時間進行數據交換，假設各個數據庫有相同的時間延遲。數據信息在空中的傳遞時間即移動終端和無線網關的數據傳輸時間，假定該值為，假定其認證總時間的延遲為：

=2+3

以相同的假定方法對改進后的協(xié)議進行分析，設各數據庫需要的交換數據時間，且各數據庫有相同的延遲時間。移動終端和無線網關需要的數據傳輸時間。改進后的協(xié)議認證中：

=3+

相比于原協(xié)議，改進后的協(xié)議所需的認證時間約降低了（2-），原因在于表示空中信號的傳播時間，多數情況下其大于。因此（2-）比0要大，即相比于原協(xié)議，改進后的協(xié)議所需時間更少。

3 結 論

計算機遠程網絡通信技術的不斷普及，確保通信安全越發(fā)重要。在當前的通信網絡安全研究中，網絡安全協(xié)議已經成為其重要內容。當前的網絡安全協(xié)議缺陷較多，需相對應進行優(yōu)化。本文經過以GPRS認證協(xié)議為研究對象，對其所存在的缺點進行分析，并采取添加同步計數器和變更認證網關等方式進行優(yōu)化，提升了安全性、減少了負載、縮短了時間。