网络安全课程文献阅读报告1、作者提出了什么问题移动点对点网络(MANET)的是一个集无线移动节点动态地组成一个临时网络,没有任何传统的网络基础设施或集中管理。与固定网络采用专用节点进行如数据包转发,路由,网络管理基本操作不同,在移动点对点网络中,这些操作由所有可用的节点来执行。移动点对点网络路是可用于民用和军事一种新兴技术。因为对节点缺少有效的硬件保护,并且缺乏安全认证或集中的寻址管理,这样脆弱的连接环节,很难实现安全的点对点网络。移动点对点网络现有的安全协议,通常是在受到攻击以后,首先确定了一些安全威胁,进而提高现有协议或提出一项新的协议来应对威胁的基础上设计的。由于安全措施是针对设想的特定攻击模型设计的,因此它们对特定的攻击十分有效,但在新的攻击下可能会崩溃。当某一网络没对安全结构进行合理设计,那么在网络部署中安全目标(即真实性,保密性,完整性和可用性)都难以实现。因此,设计安全的移动点对点网络,组成多重防线,对已知和未知的安全威胁是必不可少的。这个设计是文章所说的分层安全设计。在分层安全设计中,考虑的不仅是恶意攻击,还包括其他的网络故障例如,网络超负荷,或操作失误。所有此类故障,不论是因攻击或配置漏洞或者其他问题,无论从网络和终端用户的角度,都应该由安全机制来解决。此外,要健全整体安全制度,不能仅仅把安全问题细化到单独的防线上。认证是移动点对点网络的一个最重要的问题。由于移动无线网的特性和基本结构,提出分层次的安全方法存在几个问题。如何在相邻节点建立认证?目前的认证协议是否适用于无线点对点网络?什么加密技术适合于该网络?2、作者用什么方法解决该问题文章中提出了一个分层次的安全设计,采用多道防线,用来解决移动点对点网络的攻击和网络故障。无线点对点网络的安全问题主要出现在参考模型(OSI)的数据链路和网络层系统上。在一个可信任的环境中的无线点对点网络的节点是由第三方通过身份认证来控制的。数据链路层安全在这种情况下,迫切需要建立一个基于逻辑意义安全可靠的基础设施。如果对可信任节点保证更高层次的完整性,那么数据链路层可以达到路由和应用协议的更高层次安全的要求。前安全会话,通过各种加密技术以试图发现安全威胁,,而登记安全通话,旨在防止此类威胁,并作出相应的反应。此外,分层次的安全机制,包括预防、检测和反应行动,防止入侵者进入网络。他们发现侵入,并采取行动以防止持续的不利影响。阻止进程,并可以嵌入安全路由和包转发协议,以防止攻击者在某个节点造成错误的路由。检测进程可以识别恶意节点异常的持续攻击。这种错误可以在安全会话前由点对点的认证或由节点检测机制检测到。一旦检测出攻击,会重新配置路由和包转发业务。这些调整可以隔离该特定节点,在路径选择过程中隔离该节点。独立的检测,预防和应对安全会话能够加强识别无线点对点网络的节点安全认证过程。这些业务组成的连接和网络安全机制,可以把一个节点认证方式分成2个阶段。节点认证程序通过基于对称关键技术挑战响应协议尝试与确定真实身份的节点沟通。同样,两个阶段的认证程序,目的是通过基于公钥技术的挑战-回应协议再次进行通信节点的身份认证。在第一阶段,这个节点识别程序假定用来验证响应与对称技术密文是被校验节点已知的。在第二阶段的认证,校验节点其实并不知道密文。不对称技术可应用在交流私人信息前的节点响应过程。节点认证分层安全设计采用加密方式,提供多种保护线路通讯节点。当一个或一个以上的节点连接到一个MANET中,就开始进行第一阶段的点对点认证过程。在这个早期阶段,要能确定真实身份的节点获得密钥。让我们考虑MANET的认证的节点为A,B,和C。如上图。第2A,当X1的节点进入MANET中,将稍后会在第二阶段认证由两个节点(B和C)交换路由信息。当两个节点(X1和X2)同时连接MANET,他们都将获得有效节点的认证。我们称之为节点同时连接,即便是经常存在一个小的时间差。当X1略早与X2进入,X1首先得到节点B和C的认证,使X1成为有效节点,然后X2获得节点B和X1的认证。当两个或更多的节点同时连接到一个路由协议仍然会有时间差别,...
