（計算機應(yīng)用技術(shù)專業(yè)論文）支持移動多媒體通信的安全中間件的研究.pdf

摘要 支持移動多媒體通信的安全中間件的研究 摘要 隨著計算機技術(shù)和通信技術(shù)的不斷發(fā)展，使計算機應(yīng)用得到空前的普 及和因特網(wǎng)的陜速延伸；信息的傳輸也從有線向無線發(fā)展，無線網(wǎng)絡(luò)所傳 輸?shù)男畔⒁惨褟暮唵蔚恼Z音信息、文字信息到復雜的多媒體信息；電子商 務(wù)也已向無線延伸；所有的這一切在方便了人們的生活的同時極大地推動 了社會信息化的發(fā)展。然而，信息安全問題始終沒有得到很好的解決；這 里面所涉及的因素很多，比如提供信息安全韻密碼學理論本身韻復雜性與 難懂性，應(yīng)用環(huán)境的復雜性與多樣性等等；特別是在無線網(wǎng)絡(luò)環(huán)境中，安 全問題尤為突出，它所涉及的問題也更加復雜，如無線接口的開放性，網(wǎng) 絡(luò)帶寬的有限性，無線終端計算能力不足，還有如吞吐量、大規(guī)模并發(fā)等 效率、性能、成本等等。這些都不為一般人所能掌握也沒有這個必要。信 息安全問題已經(jīng)成為制約社會信息化進一步發(fā)展的主要瓶頸。 現(xiàn)在，軟件的“開放性”原則己成為共識，應(yīng)用軟件的開發(fā)和集成也 從開始的手工作坊式階段，到工廠化、流程作業(yè)化、模塊裝配化、自動化 方向發(fā)展，分工越來越細，也越來越明確。中間件技術(shù)的正是迎合這種趨 勢而出現(xiàn)的，它處于系統(tǒng)軟件和應(yīng)用軟件之間，屬于可復用軟件的范疇， 具有標準的程序接口和協(xié)議，可實現(xiàn)不同硬件和操作系統(tǒng)平臺上的數(shù)據(jù)共 享和應(yīng)用互操作?？偟淖饔檬菫樘幱谧约荷蠈拥膽?yīng)用軟件提供運行與開發(fā) 曲人學碩十學位論文支持移動多媒體通信的安全中間的研究 的環(huán)境，幫助用戶靈活、高效地開發(fā)和集成復雜的應(yīng)用軟件。 支持移動多媒體通信的安全中間件主要是整合移動網(wǎng)絡(luò)中的安全技術(shù) 和中間件技術(shù)，來屏蔽其安全技術(shù)的復雜性，并且綜合考慮移動網(wǎng)絡(luò)環(huán)境 中的局限性等等，向一般用戶提供具有標準的應(yīng)用程序接口( a p i ) ，讓他 們從這些復雜的細節(jié)中解脫出來，更專注于他的本職工作。從而使安全技 術(shù)真正易用，易普及。 本文主要是對支持移動多媒體通信的安全中間件進行研究，并取得了 一些有意義的研究成果，主要內(nèi)容包括： 1 對支持移動多媒體通信的安全中間件的整體框架進行設(shè)計； 2 給出安全中間件中的通用管理器( c s m ) 模塊和資源信息服務(wù)器r i s 模塊大概設(shè)計； 3 給出安全中間件中的安全服務(wù)層( s s l ) 中的3 g p p 和w a p 安全服務(wù) 的設(shè)計與實現(xiàn)并給出ip s e c 的實現(xiàn)框架； 4 給出安全服務(wù)提供者模塊( s s p m ) 中的密碼服務(wù)提供者( c s p ) 和證 書服務(wù)提供者模塊( c e r t s p ) 設(shè)計與實現(xiàn)； 5 最后提出一種混沌序列在3 g 安全通信中的應(yīng)用方法，并給出了它 的優(yōu)點和復雜度。 關(guān)鍵字：移動多媒體通信安全中間件信息安全 a p i 3 g a b s t r s c t r e s e a r c ho nt h es e c u r i t ym i d d l e 、v a r eo f s u p p o r t i n gm o b i l em u i j i m e d i ac o m m u n i c a t i o n s a b s t r a c t a l o n gw i t hd e v e l o p i n go ft h ec o m p u t e ra n dc o m m u n i c a t i o nt e c h n o l o g i e s c o m p u t e ra p p l l c a t i o nh a s o b t a i n e dt h eu n p r e c e d e n t e dp o p u l a r i z a t i o na n dt h e i n t e r n e ta l s oh a sg a i n e dt h er a p i de x t e n s i o n ；t h em a i nc a r r i e ro ft h ei n f o r m a t i o n t r a n s m i s s i o n h a sb e e n a l r e a d y f r o mw i r e d t ow i r e l e s s t h ei n f o m l a t i o n t r a n s m i t t e db yt h ew i r e i e s sn e t w o r kh a s a l r e a d y b e e n f r o m s i m p l e v o i c e m e s s a g e s ，t e x tm e s s a g e st oc o m p l e xm u l t i m e d i as t y l e t h ee c o m m e r c ee n t e r e d t h en e l do fw i r e l e s s a lo ft h e s eh a v ef a c i l i t a t e dp e o p l e sl i f ee n o r m o u s l ya n d 童 g r e a t l yp r o m o t e dt h ed e v e l o p m e n to fi n f o r m a t i o ns o c i e t y a tt h es a m et i m e h o w e v e r ，t h ep r o b i e mo fi n f o r m a t i o ns e c u r i t yi su n s o l v e du n t i ln o w ，b e c a u s e t h i sp r o b l e mi n v o l v e si n a n yf a c t o r s f o ri n s t a n c e ，t h ec r y p t o l o g yt h e o r yw h i c h p r o v i d e st h e i n f o r m a t i o n s e c u r i t y i s v e r yd i 陌c u l t t ou n d e r s t a n da n dt h e a p p l i c a t i o ne n v i r o n l l l e n t i sa l s ov e r yc o m p i e xa n ds oo n e s p e c i a l l yi n t h e w i r e l e s sn e t w o r ke n v i r o n m e n t ，s e c ur i t yp r o b l e mi so u t s t a n d i n g ，w h i c hi n v o l v e s t h eq u e s t i o ni sm o r ec o m p l e x f o re x a j n p l e ，w i r e l e s si n t e r f a c e so p e n n e s s ，t h e n e t w o r kb a n d w i d t hi s l i m i t e d ， w i r e l e s s t e r m i n a l c o m p u t a t i o na b i l l t y i s i n s u m c i e n t ，a n dt h r o u g h p u t ，l a 唱e s c a l e ，e m c i e n c y ，p e r f o r m a n c e ，c o s ta n ds oo n 、西大學碩士學位論文支持移動多媒體通信的安全中間的研究 a l lo ft h e s ei s s u e sa r ei m p o s s i b l et og r a s pa n dt or e s o l v ef b rt h eg e n e r a lu s e r s e c u r i t yp r o b l e mh a sb e c o m et h em a i nb o t t l e n e c kw h i c hr e s t r i c t st h em r t h e r d e v e i o p m e n to fs o c i a l i n f o r m a t i o n 0 p e n n e s s ”i nt h es o r w a r ep r i n c i p l ei sn o wp o p u l a r t h ed e v e l o p m e n ta n d i n t e g r a t i o n o fa p p l i c a t i o ns o r w a r ei sf o mt h e b e g i n n i n g o ft h eh a n d s w o r k s h o p s t y l es t a g e ，t ot h ef a c t o r y ，t h en o wo fo p e r a t i o n s ，m o d u l ea s s e m b l y a n da u t o m a t i o n a n dt h ed i v i s i o ni sm u c hs m a l l e ra n dc l e a r e r t h em i d d l e w a r e t e c h n o l o g yi se m e 唱i n gt oc a t e rt os u c ht r e n d i t i sb e t w e e nt h es y s t e ms o f t w a r e a n da p p l i c a t i o ns o r w a r eb yv i r t u eo ft h es t a n d a r dp r o c e d u r e sa n di n t e r f a c e s a g r e e m e n t ， a n dc o u l dr e a l i z et h a td i f f b r e n th a r d w a r ea n do p e r a t i n gs y s t e m p l a t f o r md a t as h a r ea n da p p l yo fe a c ho t h e r ，i tc o u l dp r o v i d eo p e r a t i o n a la n d d e v e i o p m e n t e n v i r o n m e n tf o rt h e i ro w ns o r w a r e a p p l i c a t i o n s ，h e l p u s e r s f l e x i b l e ，e f n c i e n td e v e l o p m e n ta n di n t e g r a t i o no fc o m p l e xs o r w a r ea p p l i c a t i o n s t h em a i nf u c t i o no ft h es e c u r i t ym i d d l e w a r eo fs u p p o r t i n gm o b i l e m u l t i m e d i ac o m m u n i c a t i o n s i s i n t e g r a t e s t h em o b i l en e t w o r k s e c u r i t y t e c h n o i o g ya n dm i d d l 吝w a r et e c h n o l o g yt os h i e l dt h e i r sc o m p l e x i t i e s ，s u c ha st h e a l g o r i t h mc o m p l e x i t y ，t h en e t w o r kp r o t o c o lc o m p l e x i t y ，a n dt h em o b i l en e t w o r k e n v i r o n m e n tl i m i t a t i o n s o nt h eo t h e rh a n d ，i tp r o v i d e sas t a n d a r da p p l i c a t i o n p r o g r a m m i n gi n t e r f a c e s ( a p i ) f o rt h eg e n e r a lu s e r s a n dt h e nt h eu s e r s c a nf r e e f r o mt h ec o m p l i c a t e dd e t a i l sa n dc o n c e n t r a t eo nh i so m c i a ld u t yw o r k a r e rt h a t ， s e c u r i t yt e c h n o l o g yw i l lb er e a l l ye a s yt ou s e ，a n dw i “b ep o p u l a r l yi np r a c t i c e b yt h es e c u r i t ym i d d l e w a r e v a b s t r s c t i nt h i sp a p e r ，t h em a i nr e s e a r c ho b j e c t i v ei ss t u d yt h es e c u r i t ym i d d l e w a r eo f s u p p o r t i n gm o b i l em u l t i m e d i ac o m m u n i c a t i o n s s o m es i g n i n c a n tc o n c l u s i o n s a r ed r a w n t h em a i nc o n t e n ti n c l u d e d 1 d e s i g nt h ea r c h i t e c t u r eo fs e c u r i t ym i d d l e w a r eo fs u p p o n i n gm o b i l e m u l t i m e d i ac o m m u n i c a t i o n s 2g i v et h ec o m m o ns e c u r i t ym a n a g e r ( c s m ) m o d u l ea n dt h er e s o u r c e s i n f o r m a t i o ns e r v e r ( r i s ) m o d u l e 3 d e s i g na n dr e a l i z et h e3g p pa n dw a p s e c u r i t ys e r v i c e si nt h es e c ur i t y s e r v i c el a y e r ，a n dt h ei p s e ca r c h i t e c t u r ei sa l s ot ob eg i v e ni nt h el a t t e r 4 d e s i g na n d r e a l i z et h e c i p h e r s e r v i c ep r o v i d e ra n dt h ec e r t i 6 c a t e s e r v i c ep r o v i d e r( c e r t s p )i nt h e s e c u r i t y s e r v i c ep r o v i d e rm o d u l e f s s p m l 5 p r o p o s eo n ea p p l i c a t i o nm e t h o dw h i c hc h a o ss e q u e n c ei nt h e3 gs e c u r i t y c o m m u n i c a t i o n s ，a n dg i v ei t sm e r i ta n dc o m p l e x i t y k e yw o r d s ：m o b i l em u l t i m e d i ac o m m u n i c a t i o n s ；s e c u r i t ym i d d l e w a r e i n f o r m a t i o ns e c u r i t y ；a p i ；3 g v 第一章緒論 第一章緒論 1 1 移動通信技術(shù)的發(fā)展及其安全技術(shù) 從2 0 世紀7 0 年代以來，移動通信進入了飛速發(fā)展時期，它經(jīng)歷了以模擬技術(shù)為特 征的第一代模擬蜂窩移動通信系統(tǒng)( 其典型代表為a d v a n c e dm o b i l ep h o n es e r v i c e ： a m p s ) 到以數(shù)字技術(shù)為特征的第二代數(shù)字蜂窩移動通信系統(tǒng)( 其典型代表為全球移動 通信系統(tǒng)g s m ：g l o b a ls y s t e mf o rm 0 b i l ec o m m u n i c a t i o n ，( 早期的g s m 代表g r o u p s d e c i a lm o b i l e ) ) 以及在2 1 世紀初興起的以多媒體技術(shù)為特征的第三代移動通信系統(tǒng) ( 分別有三種標準：w c d m a c d m a 2 0 0 0 ，和t d s c d m a ) 。第三代移動通信系統(tǒng)正在實 現(xiàn)著人們期待已久的無論何人( w h o e v e r ) 在何時( w h e n e v e r ) 何地( w h e r e v e r ) 都能和另 一個人( w h o m e v e r ) 進行任何方式( w h a t e v e r ) 的通信的5 w 夢想。 第一代蜂窩移動通信網(wǎng)絡(luò)基于模擬通信技術(shù)，采用頻分復用( f d m a ，f r e q u e n c y d i v i s i o nm u l t i d l e a c c e s s ) 模式，剛開始網(wǎng)絡(luò)容量基本上可以滿足當時移動通信用戶的需 要。但是，由于不同的網(wǎng)絡(luò)工作在不同的無線頻段而且信道帶寬也不盡相同，這使得第 一代移動通信網(wǎng)絡(luò)之間不能互聯(lián)互通；隨著模擬蜂窩電晤的迅速發(fā)展也開始顯現(xiàn)出其它 缺點，特別是在人口密集的大城市，由于模擬式蜂窩電話采用的頻分多址技術(shù)造成頻率 資源嚴重不足：再加第一代蜂窩移動通信系統(tǒng)沒有采取密碼技術(shù)來保護無線網(wǎng)絡(luò)訪問的 安全性，使得移動用戶的通話信息很容易被竊聽，移動用戶的身份也很容易被假冒，從 而給網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)運營商造成巨大的經(jīng)濟損失。 進入2 0 世紀8 0 年代末期，基于模擬技術(shù)的第一代蜂窩移動通信系統(tǒng)已經(jīng)顯得過時 了，而此時隨著大規(guī)模集成電路的進步、微型計算機、微處理器和數(shù)字信號處理技術(shù)的 大量應(yīng)用推動了數(shù)字通信技術(shù)在第二代蜂窩移動通信網(wǎng)絡(luò)中的應(yīng)用。例如，先進的數(shù)字 語音編碼技術(shù)在保證話音質(zhì)量的前提下可以大大減少通信帶寬的需要，從而可以提高網(wǎng) 絡(luò)頻段的利用率，并且在頻分復用( f d m a ) 的基礎(chǔ)上又采用了時分多址( t d m a ，t i m e d i v i s i o n m u l t i p l e a c c e s s ) 來增加網(wǎng)絡(luò)容量；差錯控制技術(shù)可以用來增強網(wǎng)絡(luò)抗干擾能力， 使得基站可以以低功率發(fā)射；而且，數(shù)字通信技術(shù)利于引入密碼學技術(shù)來保護通信的安 西人學碩士：學位論文支持移動多媒體通信的安全中間的研究 全，比如數(shù)字加密技術(shù)可以保護數(shù)字化了的用戶語音、數(shù)據(jù)和網(wǎng)絡(luò)信令，身份認證技術(shù) 可以鑒別移動用戶的身份，有效地防止身份假冒。因此，基于數(shù)字技術(shù)的第二代蜂窩移 動通信網(wǎng)絡(luò)比基于模擬技術(shù)的第一代蜂窩移動通信網(wǎng)絡(luò)不僅性能提高，容量增加，而且 安全。2 0 世紀9 0 年代，第二代蜂窩移動通信網(wǎng)開始在世界各地投入運營。1 9 9 0 年泛歐 洲的數(shù)字蜂窩移動通信網(wǎng)( g s m ) 率先在西歐各國開始運營，它使得歐洲擺脫了第一代 模擬蜂窩移動通信網(wǎng)絡(luò)體制眾多互不相通的困境。后來，澳大利亞、中國以及一些中東 國家陸續(xù)采用了g s m 網(wǎng)絡(luò)，使得g s m 網(wǎng)絡(luò)成為世界上覆蓋范圍最大的移動通信網(wǎng)絡(luò)。 雖然a m p s 是美國的唯一的第一代蜂窩移動通信標準，但是美國第二代數(shù)字蜂窩移動通 信網(wǎng)絡(luò)及數(shù)字化的a m p s ( 也稱之為d a m p s ) 卻存在著兩種互不兼容的復用技術(shù)標準： 1 9 9 2 年，電信工業(yè)協(xié)會( t i a ：t e l e c o m m u n i c a t i o ni n d u s t r ya s s o c i a t i o n ) 的t r 4 5 3 子委 員會提出了基于t d m a 技術(shù)的i s 5 4 標準( 1 9 9 6 年更新版本為i s 1 3 6 ) ，它可以將a m p s 網(wǎng)絡(luò)容量提高3 倍：1 9 9 3 年，t 1 a 的t r 5 4 5 子委員會提出了基于c d m a ( c o d e d i v i s i o n m u “i d l ea c c e s s ，碼分多址) 技術(shù)的i s 一9 5 ，它不僅可以增加網(wǎng)絡(luò)容量，而且增強了網(wǎng)絡(luò)的 靈活性，支持寬帶信號處理，便于向第三代過渡。 世界上覆蓋范圍最大的移動通信網(wǎng)絡(luò)系統(tǒng)g s m 在密碼技術(shù)的保護下，其網(wǎng)絡(luò)的安 全性比第一代移動通信系統(tǒng)改善了很多，然而，g s m 網(wǎng)絡(luò)也存在著安全漏洞，其采用 的基于算法保密的大多數(shù)保密算法( 比如a 5 l ，a 5 2 ) 已經(jīng)被破譯【2 3 】。此外密碼分析 結(jié)果【4 5 1 還表明：g s m 網(wǎng)絡(luò)的密碼方案不能抵抗來自攻擊者的主動攻擊。并且在消息完 整性檢測方面，沒有采用任何完整性檢測技術(shù)來保護無線信道中傳送的信令消息的完整 性，這樣攻擊者可以篡改信令信息從而達到攻擊目的。 第二代蜂窩移動通信網(wǎng)絡(luò)f i 僅町以提供語音通話業(yè)務(wù)，也可以提供一些低速率的數(shù) 據(jù)傳輸業(yè)務(wù)。然而，2 0 世紀9 0 年代米期，隨著因特網(wǎng)與移動通信網(wǎng)的融合，低速率數(shù) 據(jù)傳輸業(yè)務(wù)已經(jīng)無法滿足移動用戶需求，對高速數(shù)據(jù)傳輸業(yè)務(wù)的需求推動著移動通信網(wǎng) 絡(luò)走向第三代。隨著移動通信的不斷發(fā)展，基于移動通信網(wǎng)絡(luò)的業(yè)務(wù)也越來越多，如電 子郵件、短信息、移動因特網(wǎng)、移動電子商貿(mào)以及視頻傳輸?shù)鹊?，這些業(yè)務(wù)的廣泛應(yīng)用 需要一個全球統(tǒng)一的移動通信網(wǎng)絡(luò)標準。因此，國際電信聯(lián)盟i t u 在2 0 世紀9 0 年代就 倡導制定一個全球統(tǒng)一的第三代蜂窩移動通信網(wǎng)絡(luò)標準未來公共陸地移動電信網(wǎng) 絡(luò)( f p l m t s ，f u t u r ep u b l i cl a n dm o b i l et e l e c o m m u n i c a t i o nn e t w o r k ) 。2 0 0 0 年，f p l m t s 改名為國際移動電信i m t 2 0 0 0 ，它將最終由兩個第三代伙伴計劃3 g p p 和3 g p p 2 分別制 定的第三代蜂窩移動通信網(wǎng)絡(luò)標準w c d m a 和c d m a 2 0 0 0 融合而成。 第一章緒論 3 g p p 是由歐洲、中國、日本、韓國、和美國得電信標準組織于1 9 9 8 年l o 月聯(lián)合 成立的第三代伙伴計劃( 3 g p p ，t h eg e n e r a t i o np a n n e r s h i pp r o l e c t ) ，旨在制定一種以改 進的g s m 核心網(wǎng)絡(luò)為基礎(chǔ)的第三代蜂窩移動通信網(wǎng)絡(luò)標準w c d m a 。3 g p p 2 是由美國、 中國、韓國和日本等國的電信標準組織于1 9 9 8 年成立的另一個第三代伙伴計劃，旨在 制定一種以i s 9 5 核心網(wǎng)絡(luò)為基礎(chǔ)的第三代蜂窩移動通信網(wǎng)絡(luò)標準c d m a 2 0 0 0 。 w c d m a 和c d m a 2 0 0 0 有許多相似特征，然而w c d m a 向后兼容g s m 網(wǎng)絡(luò)，而 c d m a 2 0 0 0 向后兼容i s 一9 5 網(wǎng)絡(luò)，第三代移動通信網(wǎng)絡(luò)與他們兼容互通，甚至可以利用 部分已有的核心網(wǎng)絡(luò)設(shè)施，使得網(wǎng)絡(luò)運營商能夠避免重復投資，最終保證第二代移動通 信網(wǎng)絡(luò)平滑地向第三代過渡。第三代與前面兩代的最大特點是能提供寬帶的移動多媒體 通信服務(wù)。 3 g p p 網(wǎng)絡(luò)采納了g s m 網(wǎng)絡(luò)中已經(jīng)被實踐證明安全而可行的網(wǎng)絡(luò)安全訪問業(yè)務(wù)，如 移動用戶身份保密性、移動用戶身份認證性、移動用戶數(shù)據(jù)和語音以及部分信令的保密 性。為了消除o s m 網(wǎng)絡(luò)中存在的安全漏洞，3 g p p 網(wǎng)絡(luò)增加了一些新的安全業(yè)務(wù)，如網(wǎng) 絡(luò)端認汪性和信令數(shù)據(jù)的完整性檢測業(yè)務(wù)等：并設(shè)計了新的安全、靈活的身份認證算法、 加密算法和完整性檢測算法。 鑒于g s m 標準在密碼算法設(shè)計上的教訓，3 g p p 標準制定者采用了1 2 8 b i t 密鑰的 分組密碼算法k a s u m i 【6 1 和a e s 8 1 來設(shè)計身份認證算法、加密算法和數(shù)據(jù)完整性檢測 算法，并將算法公開以便密碼研究人員分析它們的安全性。在現(xiàn)在為止，有關(guān)k a s u m i 和a e s 算法的研究結(jié)果【7 l 并沒有發(fā)現(xiàn)它們存在任何設(shè)計問題。因此，密碼學界普遍認為 3 g p p 網(wǎng)絡(luò)的安全性比g s m 網(wǎng)絡(luò)提高了很多。此外，3 0 p p 網(wǎng)絡(luò)還設(shè)有密碼提示功能， 使得用戶知道自己是否在通信過程中使用密碼功能，提高了透明性。 1 2 無線應(yīng)用協(xié)議( w a p ) 及其安全技術(shù) 2 0 世紀9 0 年代中后，由于移動通信技術(shù)和因特網(wǎng)技術(shù)飛速發(fā)展，移動通信可以幫 助人們解脫有線網(wǎng)絡(luò)的束縛，因特網(wǎng)擁有非常豐富的網(wǎng)絡(luò)資源從而可以為移動用戶提供 非常豐富的內(nèi)容服務(wù)，人們很自然地產(chǎn)生了移動因特網(wǎng)的想法。然而，移動因特網(wǎng)并不 是因特網(wǎng)和移動通信網(wǎng)的簡單結(jié)合，因為它們之間不能相通。在因特網(wǎng)方面，大多數(shù)因 特網(wǎng)技術(shù)是針對計算機網(wǎng)絡(luò)而設(shè)計的。計算機的計算能力強大，計算資源豐富，計算機 廣西人學碩士學位論文支持移動多媒體通信的安全中間的研究 網(wǎng)絡(luò)的傳輸速度非?？? 可達上百mb i “s ) 且可靠性高；而且，基于高速計算機網(wǎng)絡(luò)而 設(shè)計的因特網(wǎng)，不僅網(wǎng)頁包含大量的圖文信息，而且網(wǎng)絡(luò)協(xié)議也非常復雜，需要大量的 運算。而在移動通信網(wǎng)方面，移動設(shè)備受體積和功耗的限制，其計算能力和資源都十分 有限，并且顯示屏比較小。移動通信網(wǎng)絡(luò)受無線帶寬限制，其數(shù)據(jù)傳輸速率相對比較低， 通信可靠性有線，而且有些移動通信網(wǎng)絡(luò)仍然使用電路交換技術(shù)，用戶在建立了連接之 后將在整個通信期間完全占用此鏈路，并為此付費。因此要建立移動因特網(wǎng)就必須設(shè)計 適合移動因特網(wǎng)特點的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)資源。 此外，移動通信網(wǎng)絡(luò)標準不一和移動設(shè)備種類繁多，在很大程度上妨礙了移動因特 網(wǎng)標準的制定。為了消除這些障礙，1 9 9 7 年以諾基亞、愛立信、摩托羅拉和u n w i r e d p i a i l e t 為首的無線設(shè)備制造商組成了w a p 論壇，旨在制定統(tǒng)一的無線服務(wù)應(yīng)用框架和網(wǎng)絡(luò)協(xié) 議。從1 9 9 8 年，w a p 論壇公布w a p 規(guī)范1 o 版以來，鑒于第二代半( 25 g ) 和第三代 移動通信網(wǎng)絡(luò)數(shù)據(jù)傳輸速率得到顯著的提高( 如g p r s 速率可達3 8 4 k b i t s ，3 g p p 為 2 m b i “s ) ，w a p 論壇于2 0 0 1 年公布了w a p 規(guī)范2 o 版，它在1 o 的基礎(chǔ)上增加了對因 特網(wǎng)協(xié)議如h 幾下、t l s 和t c p 的支持，向因特網(wǎng)更靠近了一步。 w a p 協(xié)議規(guī)范中為安全服務(wù)專門設(shè)罱了一個安全協(xié)議層w t l s ( w i r e l e s st r a n s p o n l a y e rs e c u r i t y ) 。鑒于移動通信網(wǎng)絡(luò)帶寬窄而且移動設(shè)備計算能力低的特點，w t l s 對 因特網(wǎng)傳輸層的安全協(xié)議( t l st r a n s p o r tl a y e rs e c u r i t y ，即s s l 的繼任者) 進行了優(yōu)化， 并增加了計算復雜性低的橢圓曲線密碼算法。進行優(yōu)化后的w t l s 仍然可以實現(xiàn)數(shù)據(jù)保 密性、數(shù)據(jù)完整性和身份認證性的密碼特性。w a p 規(guī)范2 o 版還增加了對t l s 和i p s e c 的支持。 可以看出：無線應(yīng)用協(xié)議w a p ( w i r e l e s sa p p l i c a t i o np r o t o c 0 1 ) 是飛速發(fā)展的因特網(wǎng) 技術(shù)和移動通信技術(shù)相結(jié)合的產(chǎn)物。它不僅為無線設(shè)備提供因特網(wǎng)服務(wù)制定了有效的網(wǎng) 絡(luò)協(xié)議、而且提供了丌發(fā)各種無線通信網(wǎng)絡(luò)的應(yīng)用框架。 1 3 信息安全技術(shù)的發(fā)展 近幾年來，隨著移動通信技術(shù)的發(fā)展和因特網(wǎng)的廣泛應(yīng)用，涌現(xiàn)出了電子商務(wù)、電 子政務(wù)以及眾多網(wǎng)上交易活動，給網(wǎng)絡(luò)中的信息安全提出了較高的要求，如在交易過程 中對方身份的識別、相關(guān)信息數(shù)字簽名處理、數(shù)據(jù)的加密等，又由于在移動通信網(wǎng)絡(luò)中， 第章緒論 移動站與固定網(wǎng)絡(luò)之間的所有通信都是通過無線信道來傳輸?shù)?，而無線信道是開放的， 任何具有適當無線設(shè)備的人均可以通過竊聽無線信道而獲得其中傳輸?shù)男畔?，甚至可?修改、插入、刪除或重傳無線信道中的信息，達到假冒移動用戶的身份以欺騙網(wǎng)絡(luò)端的 目的。這些都促進了信息安全技術(shù)的發(fā)展。 信息安全技術(shù)主要是針對安全威脅實施安全服務(wù)。安全威脅主要有四個：信息竊聽、 假冒攻擊、信息篡改和重傳以及服務(wù)后抵賴。分別對應(yīng)的安全服務(wù)技術(shù)為機密性服務(wù)、 身份認證性、數(shù)據(jù)完整性和服務(wù)不可否認性( 采用數(shù)字簽名技術(shù)) 。 1 4 安全中間件的產(chǎn)生的背景和特點 隨著信息化的發(fā)展，人們通過有線或無線網(wǎng)絡(luò)傳輸?shù)男畔㈦娫絹碓蕉?，并且涉及?各行各業(yè)，所傳輸?shù)男艈?、有機密的也有不可否認的，這樣信息安全的問題就越來越受到 人們的關(guān)注。雖然提供信息安全的基本技術(shù)已經(jīng)得到很好的解決，關(guān)鍵是如何應(yīng)用，但 是信息安全技術(shù)的應(yīng)用涉及到各種各樣的知識，比如在安全的代價、易用性、互操作性 等等問題上存在著巨大的障礙。應(yīng)用于無線網(wǎng)絡(luò)上的安全技術(shù)更涉及到無線網(wǎng)絡(luò)自身所 存在的缺點( 比如網(wǎng)絡(luò)帶寬窄、移動終端計算能力不足、內(nèi)存和能量有限等) 所導致的 問題更加復雜。所有的這些都不是一般應(yīng)用人員所能掌握的，也沒有必要人人都掌握。 從軟件技術(shù)的發(fā)展的特點來看，軟件的“開放性”原則己成為共識。應(yīng)用軟件的開 發(fā)也由初期的不同的廠商各自為政，自主開發(fā)，逐步的向標準化、可重用、模塊化等人 們共同追求的方向邁進?？梢钥隙ǖ氖擒浖哪K化、可移植性、互操作性是軟件發(fā)展 的必然趨勢。而在上世紀九十年代中后期出現(xiàn)的中間件技術(shù)f 是這一特征的代表，有專 家指出，中間件是繼操作系統(tǒng)軟件和數(shù)據(jù)庫系統(tǒng)軟件之后的又一次軟件業(yè)的革命，對軟 件的產(chǎn)業(yè)化也有著相當重要的積極作用。 基于以上兩點，安全中間件作為融合了安全技術(shù)和中問件技術(shù)的一種保障信息安全 的軟件應(yīng)運而生。 中間件l “j ( m i d d i e u ，a r e ) 是基礎(chǔ)軟件的一大類，屬于可復用軟件的范疇。中問件是 位于硬件、操作系統(tǒng)平臺和應(yīng)用程序之間的通用服務(wù)系統(tǒng)，具有標準的程序接口和協(xié)議， 可實現(xiàn)不同硬件和操作系統(tǒng)平臺上的數(shù)據(jù)共享和應(yīng)用互操作等，總的作用是為處于自己 上層的應(yīng)用軟件提供運行與丌發(fā)的環(huán)境，幫助用戶靈活、高效地丌發(fā)和集成復雜的應(yīng)用 廣西人學碩士學位論文 支持移動多媒體通信的安全中間的研究 軟件。 安全中間件借助中間件的概念，并采用其許多成熟的中間件技術(shù)和安全技術(shù)來屏蔽 安全的復雜性，如算法復雜性、模塊間和模塊內(nèi)部的安全、體系結(jié)構(gòu)安全、基于組件的 安全及其效率等等，從而使安全技術(shù)真正易用、易普及，將電子商務(wù)真正實用化。 無線安全中間件是應(yīng)用于無線通信網(wǎng)絡(luò)之上的一種安全中間件，它的設(shè)計必須適合 無線網(wǎng)絡(luò)的特點和移動終端的局限性。支持移動多媒體通信的安全中間件是一種無線安 全中間件，其主要的應(yīng)用平臺有：( 1 ) 移動終端、( 2 ) 移動網(wǎng)絡(luò)中的網(wǎng)絡(luò)端平臺、( 3 ) 第三方內(nèi)容服務(wù)商平臺。本文以通用模型進行敘述，應(yīng)用于不同的平臺可以根據(jù)其特性 進行刪簡，比如應(yīng)用于移動終端，就應(yīng)該更簡練高效。 1 5 國內(nèi)外無線安全中間件的研究狀況 安全中f 訓件的概念是最近幾年才被人們的提出的。國外已有相關(guān)舶產(chǎn)品推出，目前 國內(nèi)只有為數(shù)不多的廠商或科研機構(gòu)從事這方面的研發(fā)。在其應(yīng)用上來看，大多數(shù)主要 是在有線網(wǎng)絡(luò)上的，涉及電子商務(wù)、電子政務(wù)等方面，但在國內(nèi)投入使用的不多見。對 于無線安全中間件的研究報道，國外國內(nèi)都比較少見。主要有： 國外：2 0 0 0 年歐洲提出了和s e s a m e 【9 l 和2 0 0 2 年美國的u n i v e r s i t yo fi l l i n o i s ( 伊 利諾斯州大學) 在s e s a m e 基礎(chǔ)上發(fā)展的t i n ys e s a m e m 2 ，不過它只提供無線終端接入 無線網(wǎng)絡(luò)的安全，沒有涉及到無線終端與i n t e r n e t 互聯(lián)的安全。 國內(nèi)：浙江工業(yè)大學軟件開發(fā)環(huán)境重點實驗室的蔣融融，江頡，陳鐵明在無線安 全中i l 白j 件的研究與設(shè)計【。3 】一文中提出了一個無線安全中間件模型。但是它只考慮了w a p 安全部分，沒有涉及無線終端接入無線服務(wù)網(wǎng)絡(luò)的安全。 1 6 課題的來源、研究目的和主要工作 本課題來源于廣西科學研究與技術(shù)開發(fā)計劃資助項目( 桂科攻0 4 2 8 0 0 6 4 ) 通信 與信息安全產(chǎn)品一支持移動多媒體通信的中間件平臺的丌發(fā)。 本論文研究目的在于整合安全技術(shù)與中間件技術(shù)使其適合應(yīng)用于移動通信網(wǎng)絡(luò)， 以中間件平臺形式向上層用戶提供統(tǒng)一的a p i 接口，使安全技術(shù)更加易用，為信息化的 第一章緒淪 進一步發(fā)展掃清障礙。這是推動計算機技術(shù)與無線通信技術(shù)的進一步結(jié)合發(fā)展，實現(xiàn)網(wǎng) 上信息的無地域限制的安全傳輸，充分發(fā)揮網(wǎng)上海量信息的優(yōu)勢( 即豐富的內(nèi)容) ，推 動信息化的進一步發(fā)展的核心問題。 主要工作：研究移動通信安全( 主要是3 g 安全) 和無線終端接入i n t e m e t 的安全 ( w a p 的w t l s ) ( 特別是移動電子商務(wù)的安全) 問題，以及i p s e c 安全原理及其應(yīng)用； 在參考有線網(wǎng)絡(luò)的安全中間件的基礎(chǔ)上致力于提出一個適合于無線通信網(wǎng)絡(luò)的支持移 動多媒體通信的安全中間件模型：并實現(xiàn)最主要的安全服務(wù)：如信息的加解密，數(shù)據(jù)的 完整性、數(shù)據(jù)的簽名和數(shù)字證書等等。 1 7 論文結(jié)構(gòu) 本論文共分七章，各章的內(nèi)容安排如下： 第一章簡要介紹移動通信的發(fā)展及其安全技術(shù)和w a p 的安全性以及安全中間件的 概念及特性，以及無線安全中間件技術(shù)前國內(nèi)外研究現(xiàn)狀和研究意義。 第二章介紹密碼學理論的相關(guān)概念和主要的加密算法及相關(guān)技術(shù)，為后續(xù)章節(jié)提 供密碼學理論基礎(chǔ)。 第三章介紹支持移動多媒體通信的安全中間件的系統(tǒng)構(gòu)成，然后簡單介紹了其中 的通用管理器c s m 模塊和資源信息服務(wù)器r i s 模塊。 第四章詳細介紹了安全服務(wù)層( s s l ) 模塊的設(shè)計和實現(xiàn)。 第五章詳細介紹了安全服務(wù)提供者模塊( s s p m ) 的設(shè)計和實現(xiàn)。 第六章詳細介紹了本文提出的一種混沌序列在3 g 安全通信中的應(yīng)用方法 第七章總結(jié)和展望，總結(jié)全文并提出今后進步的研究思路。 論文最后是參考文獻、攻讀碩士學位期間發(fā)表的論文以及致謝。 廣西人學碩士學位論文 支持移動多媒體通信的安全中間的研究 第二章安全中間件的密碼學理論基礎(chǔ)7 安全中間件主要是向上層用戶提供信息安全服務(wù)應(yīng)用程序接口( a p i ) ，是一種將 密碼學技術(shù)和業(yè)務(wù)安全管理規(guī)則以軟件實現(xiàn)的一個組合形式。其中密碼學技術(shù)起著非常 重要的作用，依據(jù)密碼學技術(shù)來實現(xiàn)信息安全的四大目標：數(shù)據(jù)的機密性、數(shù)據(jù)的完整 性、認證( 實體和數(shù)據(jù)源) 、不可抵賴性；對應(yīng)采用的密碼學技術(shù)為：加密技術(shù)、消息 認證數(shù)據(jù)完整性技術(shù)、身份識別實體認證技術(shù)、數(shù)字簽名技術(shù)。本章首先介紹密碼學 的基本概念，然后再分別介紹：加密技術(shù)、消息認證數(shù)據(jù)完整性技術(shù)、身份識別實體 認證技術(shù)、數(shù)字簽名技術(shù)以及算法安全性等概念。 2 1 密碼學的基本概念 密碼技術(shù)( c r y p t o l o g y ) 是信息安全技術(shù)的核心，它主要由密碼編碼技術(shù) ( c r y p t o g r a p h y ) 和密碼分析技術(shù)( c r y p t a n a l y s i s ) 兩個分支組成，是數(shù)學的一個分支學 科。密碼編碼技術(shù)的主要任務(wù)是尋求產(chǎn)生安全性高的有效密碼算法和協(xié)議，使其滿足對 消息進行加密或認證的要求，也稱為密碼編碼學，從事此行的叫密碼編碼者 ( c r y p t o g r a p h e r ) 。密碼分析技術(shù)的主要任務(wù)是破譯密碼或偽造認證信息，以實現(xiàn)竊取機密 信息或進行詐騙破壞活動，也稱為密碼分析學，從事此行的叫密碼分析者( c r y p t a n a l y s t ) 。 這兩個分支既相互對立又相互依存，f 是由于這種對立又統(tǒng)一關(guān)系，推動了密碼學自身 的快速發(fā)展。目前人們將密碼理論與技術(shù)分成兩大類，一類是基于數(shù)學的密碼理論與技 術(shù)，包括公鑰密碼、分組密碼、序列密碼、認證碼、數(shù)字簽名、h a s h 函數(shù)、身份識別、 密鑰管理、p k l 技術(shù)、v p n 技術(shù)等：另一類是非數(shù)學的密碼理論與技術(shù)，包括信息隱 藏、量子密碼、基于生物特征的識別理論與技術(shù)等。 假設(shè)a l i c e 與b o b 要進行安全通信，a i i c e 作為發(fā)送者( s e n d e r ) ，b 0 b 作為接受者 ( r e c e i v e r ) 。a l i c e 想發(fā)送消息給b o b ，那么a l i c e 必須確信竊聽者m a l i c e 不能閱讀他發(fā)送 第二章安全中問件的密碼學理論基礎(chǔ) 給b o b 的消息( m e s s a g e ) ，這樣，a l i c e 必須用某種方法把消息偽裝起來以隱藏它的內(nèi) 容，這個過程就稱為加密( e n c r y p t i o n ) 。消息( m e s s a g e ) 被稱為明文( p l a i n t e x t ) 被加密 過的消啟、稱為密文( c i p h e n e x t ) ，而b o b 想理解這個消息，必須把密文轉(zhuǎn)換為明文，這個 過程就稱為解密( d e c r y p t i o n ) 。 密碼算法( a l g o r i t h m ) 也叫做密碼( c i p h e r ) ，是用于加密和解密的數(shù)學函數(shù) ( f u n c t i o n ) 。( 一般情況下，有兩個相關(guān)的函數(shù)：一個用于加密，另個用于解密) 。 密碼算法分為兩大類：公開的密碼算法和受限制的算法。 如果算法的保密性是基于保持算法本身的秘密，這種算法稱為受限制的算法。受限 制的算法具有歷史意義，但按現(xiàn)在的標準，它們的保密性己遠遠不夠。大的或經(jīng)常變換 的用戶組織不能使用它們，因為每有一個用戶離開這個組織，其它的用戶就必須改換另 外不同的算法。如果有人無意暴露了這個秘密，所有人都必須改變他們的算法。更糟的 是，受限制的密碼算法不可能進行質(zhì)量控制或標準化。每個用戶組織必須有他們自己的 唯一算法。這樣的組織不可能采用流行的硬件或軟件產(chǎn)品。但竊聽者卻可以買到這些流 行產(chǎn)品并學習算法，于是用戶不得不自己編寫算法并予以實現(xiàn)，如果這個組織中沒有好 的密碼學專家，那么他們就無法知道他們是否擁有安全的算法。盡管有這些主要缺陷， 受限制的算法對低密級的應(yīng)用來說還是很流行的，用戶或者沒有認識到或者不在乎他們 系統(tǒng)中內(nèi)在的問題( 在g s m 系統(tǒng)中開始采用的就是受限制的算法) 。 如果一個密碼算法的保密性是基于密鑰( k e y ) 的安全，而不是基于算法的細節(jié)的 安全性，算法的保密性與算法本身是否保密無關(guān)，這樣的密碼算法稱為公開的密碼算法。 這就意味著算法可以公丌，也可以被分析，可以大量生產(chǎn)使用算法的產(chǎn)品，即使偷聽者 知道你的算法也沒有關(guān)系：如果他不知道你使用的具體密鑰，他就不可能閱讀你的消息。 現(xiàn)代密碼系統(tǒng)的安全性都是基于密鑰的安全性，而不是基于算法的安全性，一個典 型的密碼系統(tǒng)( c 叫p t o s y s t e m ) 由算法、以及所有可能的明文、密文和密鑰組成。 明文用m 或p 表示，稱為消息空l 刨的集合。它可以是各種各樣的信息或符號，比 如可以是位序列、文本文件、位圖、數(shù)字化的語言序列或數(shù)字化的視頻圖像等等。在計 算機系統(tǒng)中，m 一般都是簡單的二進制數(shù)據(jù)。明文可被傳送或存儲，無論在哪種情況， m 指待加密的消息。 密文用c 表示，它也是二進制數(shù)據(jù)，通常的情況下c 和m 一樣大，但是也可以采用 壓縮算法和加密算法相結(jié)合，這樣經(jīng)過加密和壓縮的到的f 就會比m 小( 壓縮比例取 決于壓縮算法) ；僅通過加密得到的c 有時會稍大。 廣兩大學碩十學位論文 支持移動多；! ! | 體通信的安全中間的研究 加密解密變換i i 6 j k 鈔表示一個稱為密鑰空間的集合，其中的元素女稱為密鑰。 每個也劬唯一地確定從m 到c 的一個雙射，汜為e ，稱為加密函數(shù)或加密 變換。如果是可逆變換，即每個不同的密文都可以恢復成唯一的明文，那么巨 必須是雙射的。 對于心坳，b 表示從c 到m 的個雙射( 即毋：c 寸m ) 。q 稱為解密函 數(shù)或解密變換。 一種加密方案包括一個加密變換集 五，屯 句一 和個相應(yīng)的解密變換集 吼：劬 ，且有如下性質(zhì)：對每個丸k 叫，存在唯一的b 托，使得 ，= & ，即( ( 聊) ) = m 對于所有的m e m 成立。 要構(gòu)造一種加密方案，需要選取明文空間m 、密文空間c 、密鑰空間j 逸n 加 密變換集 & ：te 劬 ，以及一個相應(yīng)的解密變換集 錢：屯缸y 。 采用數(shù)學公式表示加密解密過程如下： 加密函數(shù)毛。( e n c r y p t ) 作用于明文m 得到密文c ： & ( ) = c m ，c c ，也k