色偷偷偷久久伊人大杳蕉,色爽交视频免费观看,欧美扒开腿做爽爽爽a片,欧美孕交alscan巨交xxx,日日碰狠狠躁久久躁蜜桃

x
x

高層無(wú)線安全入門(mén)

發(fā)布時(shí)間:2010-8-30 22:14    發(fā)布者:conniede
關(guān)鍵詞: ECC , 安全 , 網(wǎng)絡(luò) , 無(wú)線
對(duì)于一種能真正覆蓋所有基本方面的安全解決方案的設(shè)計(jì)而言,將所有這些因素——以及各種因素間的一切關(guān)聯(lián)——作為一個(gè)單個(gè)的、集成化的系統(tǒng)的組成部分來(lái)考慮,就顯得極為重要。由于種種原因,從設(shè)備級(jí)開(kāi)始也符合情理。為什么呢?原因就在于,如果設(shè)備不支持,世界上最佳的安全解決方案也毫無(wú)用處。特別的,無(wú)線設(shè)備將存在多方面的限制。

嵌入還是外部強(qiáng)加

在保證無(wú)線以及其他資源有限的設(shè)備方面,開(kāi)發(fā)者有兩種基本的選擇:他們可以利用第三方提供的的事后添加的外加部件或擴(kuò)展工具,或者在設(shè)備中嵌入安全保密功能。

事實(shí)上,外加部件不但增添了功能,也增加了復(fù)雜性。它們可能非常麻煩而且缺乏靈活性。它們往往需要專門(mén)的廠商支持。而且,由于減少了對(duì)設(shè)備性能的控制,它們也給開(kāi)發(fā)商增加了一個(gè)風(fēng)險(xiǎn)的來(lái)源。外加模塊還會(huì)引入互操作性方面的問(wèn)題,導(dǎo)致遠(yuǎn)期的風(fēng)險(xiǎn);要是外加的解決方案突然退出市場(chǎng),則用戶總的安全投資將會(huì)泡湯。

最后——也許是最重要的,外加模塊會(huì)打破設(shè)備安全架構(gòu)的一致性。

鑒于以上原因,嵌入式的基于標(biāo)準(zhǔn)的安全保護(hù)似乎是更實(shí)用的選擇。當(dāng)然,將新的核心功能融入到一個(gè)資源有限的設(shè)備中,這一做法本身就有其挑戰(zhàn)性,當(dāng)功能的復(fù)雜程度、功耗和占用的資源與安全保護(hù)措施一樣時(shí),情況尤為嚴(yán)重。不過(guò),最終,嵌入式的安全防護(hù)可以提供一個(gè)強(qiáng)大而統(tǒng)一的平臺(tái),開(kāi)發(fā)出能滿足用戶多樣化需求、同時(shí)節(jié)約內(nèi)部資源的應(yīng)用。

設(shè)備級(jí)的安全防護(hù)

無(wú)線設(shè)備的脆弱性是很顯而易見(jiàn)的。如果蜂窩電話、PDA或者筆記本電腦丟失或者被盜。存儲(chǔ)在其中的未受保護(hù)的信息可以被人自由獲取。雖然如今的無(wú)線手持式設(shè)備確實(shí)包括了基本的安全保護(hù)措施,但它們不足以支持企業(yè)級(jí)的安全策略。

在進(jìn)行安全防護(hù)的建設(shè)時(shí),無(wú)線設(shè)備有限的資源會(huì)造成最大的困難:它們緊湊的尺寸和依靠電池工作的特點(diǎn),給數(shù)據(jù)處理能力和功耗造成了極大的限制。同樣,解密等安全功能需要占用大量計(jì)算資源,但從實(shí)用的角度來(lái)考慮,把它們添加到設(shè)備中,不能以付出性能為代價(jià)。

網(wǎng)絡(luò)的安全防護(hù)

除了要保護(hù)存儲(chǔ)在設(shè)備中的信息外,在無(wú)線設(shè)備之間及其網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)也需要得到保護(hù)。由于現(xiàn)在無(wú)線用戶的連接選項(xiàng)變得越來(lái)越多樣,這一類防護(hù)將變得越來(lái)越復(fù)雜。

例如,如今的手持式裝置可以利用GSM/GPRS和CDMA/1xRTT基礎(chǔ)架構(gòu)來(lái)獲取無(wú)線廣域網(wǎng)服務(wù)。WiFi入網(wǎng)點(diǎn)(network hot spot)可以讓用戶在有本地快速接入服務(wù)的地點(diǎn)享用這些服務(wù)。順便說(shuō)一句,以這種方式實(shí)現(xiàn)的從WAN到LAN的轉(zhuǎn)移,要比單獨(dú)使用WAN更令人中意,因?yàn)闊o(wú)線的WAN服務(wù)往往按照使用情況來(lái)收費(fèi),而費(fèi)用很快就累積上漲。無(wú)線LAN還可以提供更大的帶寬。

對(duì)于短距連接來(lái)說(shuō),現(xiàn)在有藍(lán)牙等短距通信標(biāo)準(zhǔn),這樣便有可能讓用戶與本地的無(wú)線裝置實(shí)現(xiàn)同步,而不必通過(guò)電纜架建立任何類型的物理連接。

這些技術(shù)中的每一種,都有其薄弱點(diǎn)。除了在無(wú)線設(shè)備的架構(gòu)中建立某種安全保護(hù)機(jī)制外,要解決好這些薄弱環(huán)節(jié),就必須開(kāi)發(fā)和實(shí)施有效的安全標(biāo)準(zhǔn)——例如美國(guó)NIST(國(guó)家技術(shù)標(biāo)準(zhǔn)局)FIPS(聯(lián)邦信息處理標(biāo)準(zhǔn))提出的那些標(biāo)準(zhǔn),它們已經(jīng)為政府部門(mén)和很多金融機(jī)構(gòu)所采用。但無(wú)線網(wǎng)絡(luò)本身的基礎(chǔ)架構(gòu)不一定就滿足FIPS所提出的標(biāo)準(zhǔn),那是因?yàn),流行的網(wǎng)絡(luò)標(biāo)準(zhǔn)中安全保密并未真正地得到某種程度的考慮。

也談標(biāo)準(zhǔn)

當(dāng)然,不妨利用已經(jīng)在有線網(wǎng)絡(luò)中得到驗(yàn)證的協(xié)議和網(wǎng)絡(luò)標(biāo)準(zhǔn)實(shí)現(xiàn)無(wú)線的安全解決方案。

例如,相對(duì)而言,SSL(Secure Socket Layer安全套接層)、IPSec(互聯(lián)協(xié)議安全性)和S/MIME(安全化多用途互聯(lián)網(wǎng)郵件擴(kuò)展)可以用方便地根據(jù)無(wú)線通信的需要來(lái)進(jìn)行調(diào)整。這樣做,可以通過(guò)標(biāo)準(zhǔn)化改善互操作性,而且建立起整個(gè)企業(yè)范圍內(nèi)的、一致的安全政策。

可以理解,政府部門(mén)和公司堅(jiān)持要采用基于標(biāo)準(zhǔn)的安全機(jī)制,因?yàn)橄嚓P(guān)的協(xié)議能與現(xiàn)有的企業(yè)、政策和基礎(chǔ)設(shè)施間實(shí)現(xiàn)互操作(從而提高以前在IT方面投資的回報(bào)率),另外,這也是因?yàn)殡S著時(shí)間的推移它們已經(jīng)證明了它們的有效性。

下面的一些有線世界中的標(biāo)準(zhǔn)現(xiàn)在被用于保證無(wú)線環(huán)境中的安全:

·SSL——給一個(gè)無(wú)線的設(shè)備配置一個(gè)SSL使能的瀏覽器,是一種能保證對(duì)web mail和公司內(nèi)部網(wǎng)進(jìn)行安全訪問(wèn)的有效方法。

·IPSec——多種中等規(guī)模的和大型的組織采用VPN(虛擬專用網(wǎng))網(wǎng)關(guān)來(lái)控制對(duì)其企業(yè)網(wǎng)的訪問(wèn)。VPN提供了LAN的一種安全的擴(kuò)展,可以使得其分布在世界各處的用戶都彷佛在使用LAN一般。

·S/MIME——S/MIME可以保證email的安全性,方法是將其以加密后的格式儲(chǔ)存到郵件服務(wù)器上,并且只讓預(yù)定的收信人能閱讀其內(nèi)容。要讓S/MIME在移動(dòng)服務(wù)中起作用的話,它必須得到無(wú)線email客戶端或者插件的支持(這些軟件將與臺(tái)式機(jī)的email客戶端以及email的服務(wù)器端進(jìn)行互操作)以及能支持?jǐn)?shù)字簽名的數(shù)字證書(shū)的保證。

保密體制

除開(kāi)標(biāo)準(zhǔn)化問(wèn)題,還存在如何在設(shè)備本身之上實(shí)現(xiàn)安全性的問(wèn)題。

政府級(jí)安全通信所涉及的任何一件無(wú)線設(shè)備都必須能夠支持與加密、核查和授權(quán)批準(zhǔn)相關(guān)的活動(dòng)。這些離不開(kāi)對(duì)稱和非對(duì)稱的(也稱為公共密鑰)加密體制。

在第一種情況下,同一把算法“鑰匙”被用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密和解密。欲進(jìn)行保密通信的用戶們達(dá)成一個(gè)秘密的、關(guān)于它們相互間采用哪把密鑰的協(xié)議。

公共密鑰加密體制中用于加密和解密的密鑰是分離的。加密過(guò)程采用公共的密鑰,解密則利用專有的密鑰。公共的密鑰可以廣為人知,可讓任意數(shù)量的用戶對(duì)發(fā)給特定人員的數(shù)據(jù)進(jìn)行加密。但只有該人員才有對(duì)數(shù)據(jù)進(jìn)行解密的專有密鑰。與對(duì)稱式密鑰體制相比,這種系統(tǒng)的可擴(kuò)展性較差。

對(duì)于無(wú)線設(shè)備來(lái)說(shuō),挑戰(zhàn)在于:如何既能采用足夠有力的加密/解密算法,而不至于因數(shù)據(jù)位過(guò)長(zhǎng)而使得處理資源和電池壽命被過(guò)多地消耗。

很多保密算法的保密性分為多個(gè)層次。一個(gè)算法的安全性往往用位來(lái)衡量;例如人們常常會(huì)提到“80bit的安全性”或者“128bit的安全性”這些表示法。為了理解這樣的性能指標(biāo)衡量法,我們必須更進(jìn)一步了解一下這些加密算法以及破解它們的不同手段。當(dāng)然,密碼體系很復(fù)雜也很微妙:為了表述清楚起見(jiàn),下列的討論略去了一些細(xì)節(jié)。

數(shù)學(xué)運(yùn)算——DES(數(shù)據(jù)加密標(biāo)準(zhǔn))

DES加密算法是一種對(duì)稱的密碼體制,它以一個(gè)密鑰和一個(gè)消息作為輸入,而輸出則是經(jīng)過(guò)加密的信息。DES的設(shè)計(jì),是要使對(duì)手在無(wú)機(jī)密的密鑰的情況下需要花上約256單位的工作才能將信息破解出來(lái)。研究表明DES基本上達(dá)到了這一設(shè)計(jì)目標(biāo)。對(duì)于一個(gè)56bit的數(shù)字來(lái)說(shuō),有256種不同的可能性,管安全的伙計(jì)們有時(shí)就說(shuō)DES有56位的安全性。

但安全保護(hù)方面的設(shè)計(jì)者提出一個(gè)給定的密碼算法有t位的保密性時(shí),它是指對(duì)手將需要付出2t單位的工作量來(lái)破解其算法。由于當(dāng)今計(jì)算機(jī)變得快速而功能強(qiáng)大,256的運(yùn)算遠(yuǎn)不象當(dāng)初那樣困難了。因此,現(xiàn)在又開(kāi)發(fā)出效力更強(qiáng)的安全防護(hù)方法,而且得到了實(shí)施。美國(guó)NIST表示,要讓安全性保持較長(zhǎng)的時(shí)間(到2036年或更遠(yuǎn)),就需要128位的安全性。

關(guān)鍵一點(diǎn)是要明白,安全系統(tǒng)由多種算法組成,每一種都有其各自的效能。由于對(duì)手總是習(xí)慣于令人討厭地攻擊系統(tǒng)中最薄弱的環(huán)節(jié),我們必須確保系統(tǒng)的每一個(gè)組成部分都具有128bit的防護(hù)能力,以滿足NIST的標(biāo)準(zhǔn)。

數(shù)學(xué)運(yùn)算——AES(先進(jìn)加密標(biāo)準(zhǔn))

在對(duì)稱加密方面,AES是DES和Triple-DES的一個(gè)強(qiáng)有力的繼承者。它是經(jīng)過(guò)批準(zhǔn)并可為美國(guó)政府組織所采用的系統(tǒng)性的加密算法,用于敏感信息。

AES有3種安全等級(jí):128位、192位和256位。通常認(rèn)為,128位的能力可提供20~30年的保護(hù)。因此,AES是當(dāng)今對(duì)稱加密算法中最佳的選擇。

對(duì)于無(wú)線應(yīng)用來(lái)說(shuō),這意味著什么?無(wú)論何處需要對(duì)稱的加密算法——例如為了保證存儲(chǔ)在手持式裝置中的數(shù)據(jù)的保密性——AES都是優(yōu)先選用的高性能算法。

不過(guò),在很多情況下,為了建立起安全的對(duì)話進(jìn)程,并交換密鑰,需要實(shí)施基于公共密鑰的保密機(jī)制。根據(jù)NIST的要求,RSA公共密鑰的加密系統(tǒng)需要一個(gè)15 360位的密鑰來(lái)交換一個(gè)能提供256位保護(hù)的AES密鑰。即使對(duì)于大規(guī)模的有線系統(tǒng)來(lái)說(shuō),如此巨大的密鑰在處理方面也是一個(gè)很大的問(wèn)題,對(duì)無(wú)線裝置來(lái)說(shuō)簡(jiǎn)直就是不可能的。

考慮一下基于RSA的算法,有益于對(duì)15 360位RSA的可用性問(wèn)題的理解。

首先是存儲(chǔ)量和帶寬這兩個(gè)容易理解的問(wèn)題。一個(gè)15 360位的密鑰必須被存儲(chǔ)起來(lái),有時(shí)還要發(fā)送出去,這種密鑰的大小是傳統(tǒng)密鑰的15倍。突然之間就需要1千字節(jié)而非幾百字節(jié)。另外,算法本身也是問(wèn)題。RSA算法必須能以基于RSA公共模數(shù)的數(shù)據(jù)為模進(jìn)行求冪運(yùn)算。求冪算法一般是3次方的,這意味著,如果輸入有t位,則輸出需要執(zhí)行t3步。不必深思即可明白,要轉(zhuǎn)而采用15 360位的密鑰,對(duì)于性能來(lái)說(shuō)有著災(zāi)難性的影響——特別是對(duì)于資源有限的無(wú)線裝置而言,因?yàn)?5 360位的RSA需要的處理時(shí)間是1024位的RSA的3000倍。不可否認(rèn),AES大大增加了網(wǎng)絡(luò)安全防護(hù)實(shí)現(xiàn)的難度。

在RSA之外

在公共密鑰方面,ECC(橢圓曲線加密)已經(jīng)成為同類的技術(shù)之中最強(qiáng)有力的一種,現(xiàn)在得到了批準(zhǔn),可以為美國(guó)政府采用,體現(xiàn)在FIPS186-2中。隨著近來(lái)NSA(National Security Agency,國(guó)家安全局)對(duì)ECC技術(shù)的批準(zhǔn),ECC在公共密鑰加密系統(tǒng)方面已經(jīng)成為RSA的一個(gè)強(qiáng)有力的替代方案。

為了與128bit的AES對(duì)稱密鑰的安全性相匹配,RSA必須生成一個(gè)大小相當(dāng)?shù)? 072位的非對(duì)稱密鑰。而相比之下,ECC可以線性地與AES一起擴(kuò)展,在所有的安全級(jí)別上都保持了相當(dāng)?shù)木o湊性。對(duì)于128位的AES安全性來(lái)說(shuō),ECC需要的密鑰大小僅為256位。我們回頭考慮上面的例子,在此例中,只需要一個(gè)512位的ECC密鑰而不是15 360位的RSA密鑰即可保持256位的防護(hù)能力。

ECC在硬件資源方面也具有其優(yōu)勢(shì),無(wú)論系統(tǒng)設(shè)計(jì)追求速度最優(yōu)還是空間最優(yōu)。ECC的門(mén)電路數(shù)要大大少于RSA所需要的。

最后,ECC的優(yōu)勢(shì)體現(xiàn)在多個(gè)方面:線性的可擴(kuò)展性,很小的軟件規(guī)模,較低的帶寬要求和很高的設(shè)備性能。標(biāo)準(zhǔn)化后,它可以確保與器件間的互操作性。ECC也是一個(gè)得到了充分研究和驗(yàn)證的體系,其研究經(jīng)歷了將近20年的時(shí)間。它同樣回答了開(kāi)發(fā)者或者用戶關(guān)于可靠性的疑問(wèn)。

由于上述原因,ECC已經(jīng)贏得了多個(gè)領(lǐng)先廠商以及得到大眾信賴的標(biāo)準(zhǔn)化組織的支持,包括:

·ISO(在ISO14888-3:ECDSA和其他基于ECC的簽名方案中);

·IEEE(IEEE關(guān)于公共密鑰加密系統(tǒng)的1363-2000標(biāo)準(zhǔn));

·NIST(FIPS186-2);

·ANSI(針對(duì)金融服務(wù)業(yè)的X9加密體制);

·NIST(SP800-56:關(guān)于密鑰管理的特別出版物)。

NIST已經(jīng)證明,ECC的密鑰尺寸可以完美地與AES一起進(jìn)行升級(jí)——而且,事實(shí)上可以在公共密鑰領(lǐng)域提供出色的替代方案;ヂ(lián)網(wǎng)安全標(biāo)準(zhǔn)(如SSL和IKE/IPSec)的未來(lái)發(fā)展,都取決于與AES的安全性相匹配、而且性能不會(huì)影響用戶的公共密鑰系統(tǒng)。ECC就能滿足這種需要。

最后的思考

那么,如何將所有這些變換成現(xiàn)實(shí)世界中的應(yīng)用呢?首先考慮一個(gè)軍事上的情景:在敵占區(qū)域以音速或者接近音速向未知身份的飛行器飛去的噴氣式戰(zhàn)斗機(jī)。身份不明的飛行器正在發(fā)射信號(hào),表明他們是己方——不要開(kāi)火。但是,正在飛近的飛行員如何能確認(rèn)這不是一個(gè)陷阱呢?通過(guò)保密的無(wú)線密鑰交換,該飛行器的身份則可以及時(shí)得到驗(yàn)證。

一個(gè)更貼近世俗生活的例子,大概就是選舉運(yùn)動(dòng)了。在選舉過(guò)程中,巡回各地的競(jìng)選黨派的候選人可以將策略方面的更新和政策觀點(diǎn)下載到BlackBerrys或者其他無(wú)線裝置上,從而確保他們能對(duì)最新的事態(tài)發(fā)展作出回應(yīng)。顯然,保密性被打破對(duì)其極為不利——這會(huì)讓對(duì)手占到上風(fēng)或者把秘密泄漏給新聞傳媒。

裝置本身所存儲(chǔ)的數(shù)據(jù)必須經(jīng)過(guò)加密,以防止不相關(guān)的人染指。所有與網(wǎng)絡(luò)的連接都必須得到檢查并批準(zhǔn)而且要受到充分的保護(hù)。在當(dāng)今這個(gè)沖突不斷升級(jí)的世界上,未經(jīng)安全保護(hù)的或者保密措施不嚴(yán)密的、有關(guān)位置、人員情況以及計(jì)劃的無(wú)線數(shù)據(jù)都是令恐怖分子和其他破壞性危險(xiǎn)分子垂涎的目標(biāo)。

如果基本功能嵌入到資源有限的無(wú)線裝置中——充分利用AES和ECC等算法所提供的高效率,而且通過(guò)已得到驗(yàn)證的標(biāo)準(zhǔn)與協(xié)議的采用而實(shí)現(xiàn)互操作——?jiǎng)t企業(yè)級(jí)的安全就可以擴(kuò)展到敏感的無(wú)線用戶,使政府的部門(mén)能提高辦事效率并利用好無(wú)線技術(shù)無(wú)牽掛的優(yōu)勢(shì)。
本文地址:http://m.54549.cn/thread-24628-1-1.html     【打印本頁(yè)】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé);文章版權(quán)歸原作者及原出處所有,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,我們將根據(jù)著作權(quán)人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評(píng)論 登錄 | 立即注冊(cè)

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權(quán)所有   京ICP備16069177號(hào) | 京公網(wǎng)安備11010502021702
快速回復(fù) 返回頂部 返回列表