关键词: 网络
安全网格技术(精选十篇)
安全网格技术 篇1
1 安全认证
为了防止未经认证的节点连接到WMN, WMN中的每个节点都要能验证其他节点身份信息。要实现全网节点均互相认证, 两两节点之间都要进行双向认证, 这就导致节点增加时认证数量随之剧增。目前, WMN安全认证还没统一的标准, 且诸多研究方案也存在很多不足。
PKI (Public Key Infrastructure) 技术是认证常用的技术之一, 其中可采用分布式CA解决选取一个所有节点都信任的CA的困难性和采取ECC降低运算量以适应移动节点的计算能力和电源能力的限制问题从而减少认证时延。PSK认证和数字证书也是WMN较通用的方法, 但使用两者设计的方案一般都没提供接入节点认证并且在切换认证方面有缺陷。文献[3]采用了上层认证和底层加密相结合的结构设计了基于Kerberos的身份认证机制, 该机制可以快速地建立节点间的安全关联, 很好地实现对节点的接入授权管理和密钥传输管理, 但其中的对称密钥算法开销不小。此外, 采用基于身份的签名技术, 即IBS, 设计认证协议不仅能通过标识自认证方式降低消息交互轮数, 同时也能快速完成双向认证以及初始共享密钥的建立, 并可使用DH密钥交换保证前向保密性。
密钥管理属于安全认证中一个较复杂的问题, WMN的特征决定了密钥管理体系一般采用分布式或者分层式。文献[4]在密钥管理方案中, 使用离线CA的集中式管理和采用虚拟CA的分布式管理, 增加了系统的安全性、可信性和可靠性。针对组播, 文献[5]结合拉格朗日插值多项式和ECC, 设计了一种组播密钥管理方案, Mesh路由器为每个Mesh客户端预先分配公钥、私钥和基于门限秘密共享的子秘密值, 在密钥通信时采用网络编码技术以提高密钥传输的效率。一个较新颖的研究方向是使用签名汇总开发一个高效的WMN密钥管理方案, 这对减少创建和更新密钥时产生的开销起到很大的作用。
2 安全路由
网络传输的安全离不开路由安全, MWN路由攻击主要为RUSHING攻击、黑灰洞攻击和虫洞攻击, 威胁来源于外部和内部, 其中内部节点通过散播错误路由信息导致网络瘫痪崩溃或通过自私行为霸占网络资源导致资源分配不公平, 这类攻击较严重且较难发现。除了专门全新设计外, WMN的路由协议多是由Ad hoc路由协议改进而来, 目前常见的适用于WMN路由协议有DSDV (目的序列距离矢量路由协议) 、DSR (动态源路由协议) 、AODV (按需距离矢量路由协议) 和HWMP (混合无线Mesh网路由协议) , 但这几个协议都存在不少安全隐患, 这也催发了WMN路由安全研究的需求和热度。
随着WMN的广泛应用, 路由协议的安全需求越来越高, 需要探索与新技术的结合。无线网络丢包率高, 设计能量感知和高效多径路由的可靠路由机制才能符合高吞吐量的应用需求。机会路由协议是近年才出现的, 其最大的优点是充分利用无线设备的通信能力提高网络吞吐量, 因此, 可以将其与非对称密钥等认证机制融合, 实现提高网络吞吐量和传输速率的同时, 保证数据通信的安全性。层次化移动IPv6 (Hierarchical Mobile IPv6, HMIPv6) 是移动IPv6技术的一种扩展技术, 其能实现WMN的无缝切换, 但绑定更新过程中路由优化存在安全问题, 对此, 文献[7]提出了基于椭圆曲线公钥自认证体制的安全路由优化方案。该方案运算为轻量级, 运算次数也少且在CK模型下是SK安全的。另外, 可将动态网络编码和跨层监控等技术应用于WMN路由安全研究, 设计更全面的安全路由协议。
3 入侵检测
入侵检测是WMN安全的第二道防线, 包括内部和外部入侵检测。入侵检测系统 (Intrusion Detection Systems, IDS) 的运行步骤主要是信息收集, 然后分析, 最后预警。根据监控行为, IDS可以分为单机型、分布式协作型和分层型, 而WMN的无中心等特征决定了后两种IDS更适合也更广泛应用于WMN。
Zhang等人[8]提出基于代理、采用异常检测的分布式协作入侵检测体系, 每个节点都有一个IDS代理, 独立负责检测其覆盖范围内邻近节点的入侵行为, 如节点发现不确定的入侵行为, 可与邻近节点分享数据, 合作确定入侵行为。Hugelshofer等人[2]提出了Open LIDS, 一个轻量级的WMN分布式入侵检测系统。它采用高效的异常检测指标来确定泛型类的攻击, Open LIDS内存需求较低且分组投递率较高, 但其不易区分RTP流和UDP Do S洪水攻击并且对于新的连接来说运行效率不高。刘振华[1]和Yang等人[2]提出针对WMN的分层式入侵检测系统。两者应用的原理基本相同, 前者的IDS共三个层次, 后者则主要为两层次。高效的多级分层分组拓扑结构给WMN提供了更好的安全保护并提高可扩展性。
对于内部节点妥协入侵, Marti[8]等人提出了Watcherdog机制。Wateherdog监控邻节点的转发行为, 在需要转发的情况下没有转发则计数器加1, 若次数超过了阈值, Watcherdog就指控不正当行为。而Martignon等人[2]利用Watcherdog机制发现网络中的自私和合作行为。
由于WMN节点独立、决策分散, 大多数入侵检测系统都是采用异常方法和多节点合作机制来对一个入侵行为进行融合交叉判断, 如何提高入检测精度也是当前WMN入侵检测研究的一个主要问题。
4 隐私保护
隐私保护即确保通信的机密性和完整性, 防止内容透露给未被授权实体和在未经授权情况下被改变, 隐私保护涉及多个方面的问题, 包括认证、路由、信息传输、入侵检测等。由于WMN的分布式环境和动态多跳等特征, 传统高效的基于集中模式的对称加密和非对称加密方式相对WMN来说, 不可靠且存在诸多缺陷漏洞。
Wu and Li等人[2]利用洋葱路由算法构造洋葱圈Onion Ring, 所有与提供匿名通信服务的网关路由器连接的活跃节点都被隐藏保护, 但该方案需要较高的计算和通信开销。刘振华等人[1]结合群签名技术设计了一个匿名访问协议, 通过离线的可信第三方给注册用户配置群组私钥和公钥, 实现匿名的双向鉴权, 将DH密钥协商机制应用于匿名路由以建立安全连接, 该机制的个体利用群组隐藏自己的身份和行为, 可有效抵欲针对流量的分析和攻击。Zhang等研究人员[2]通过提供用户不同的别名身份成功地解决了用户位置隐私问题。在文献[9]中, 一种新的协议SAVAKA被提出, 用于在客户端通过非归属接入点接入WMN时保障非归属接入点以及其他多跳接入点不能获取用户终端的通信信息。在文献[6]中, 提到了利用完全同态加密等新兴技术优化模型, 这也是一个新颖有趣的研究方向。
出于硬软件兼容性和效率性考虑, 怎样在WMN的节点中部署每跳节点完整性检验协议也是个具有挑战性的问题, 在每一个MR上部署完整性检验协议能保证安全的策略, 但效率不高, 而能根据应用要求而变化的适应性策略才是最理想的。多播信息是网络中较容易受到攻击的一种, 对此, 可应用动态拓扑感知适应技术和动态网络编码技术来确保多播信息的机密性和完整性[6]。
5 结语
无线Mesh网的安全主要关注认证、路由、入侵检测和隐私保护, 而Mesh网与其他网络的结合应用需求决定必须解决异构Mesh网的安全问题才能保证其长久应用。目前无线Mesh网安全已存在不少的研究和防御技术, 各有优缺点, 最佳方案仍需研究。此外, 如何交叉融合多种安全技术和应用新技术来解决WMN安全问题值得我们进一步研究。
摘要:无线网格网已成为新一代具有很好应用前景的无线组网方式, 但发展尚未完全成熟, 还存在不少安全漏洞, 易受到攻击。介绍了无线网格网安全需求, 分析了无线网格网主要的安全问题以及相关安全技术, 指出了未来研究方向。
关键词:无线Mesh网,认证,路由,入侵检测,隐私保护
参考文献
[1]刘振华.无线Mesh网络安全机制研究[D].合肥:中国科学技术大学, 2011
[2]Sgora A, Vergados D D, Chatzimisios P.A Survey on Security and Privacy Issues in Wireless Mesh Networks[J].2012
[3]季莉.基于Kerberos的无线Mesh网络身份认证机制[J].南通纺织职业技术学院学报, 2011, 11 (1) :10-13
[4]付颖芳.无线Mesh网络的密钥管理及入侵检测技术研究[D].北京:北京工业大学, 2009
[5]周宇.无线Mesh网络组密钥管理和安全机会路由协议[D].合肥:中国科学技术大学, 2011
[6]李每虎, 郭渊博.SE_DSR:一种安全增强的Mesh网络多径动态源路由协议[J].计算机工程与科学, 2012, 34 (5) :18-23
[7]王刚, 郭渊博, 刘伟.一种无线Mesh网络中可证明安全的HMIPv6路由优化方案[J].计算机科学, 2012, 39 (3) :62-66
[8]Shivlal M, Kumar S U.Performance Analysis of Secure Wireless Mesh Networks[J].Research Journal of Recent Sciences, ISSN, 2012, 2277:2502
安全网格技术 篇2
网格是基于计算机技术和网络技术发展起来的,他将地理位置上分散的资源集成起来,从而建立起一种构筑在国际互连网上的新型计算平台。通过网格,人们能获得诸如计算机、集群、计算机池、仪器、存储设施、数据、软件等各种资源、功能和服务。使人们共享计算资源、存储资源及其他资源。
有了这种以现有的国际互连网为基础建立的满足人们对资源更高共享需求的计算机平台,人们就能实现跨组织、跨管理域的管理资源,并为网格应用提供全方面的资源共享接口,实现分布资源的有效集成,提供共享各种资源的手段,从而提高资源的利用率,满足人们对广域范围内各种资源的共享需求。
在网格环境下,人们不仅能向网格发出请求资源消息,由网格接收请求并做
出响应,而且客户提出的请求能够同时驱动多个资源工作。多个请求能向多个服务器请求连接。客户程式资源能被其他客户请求作为资源使用。网格的目的是无论地理位置的远近、设备类型的异同,都能为用户提供统一且简单的共享网格资源的环境。为达到网格的目的,需要建立相应的网格体系结构。最简单的一种就是由分布式资源、网格系统及网格用户组成的三层结构(如图1)。底层是网格的物理层,他是分布式网格资源的集合,是建立网格的基础。顶层是网格的应用层,他是应用分布式网格资源的集合,是网格应用的基础。网格系统在物理层和应用层的中间,将用户和资源联系起来提供透明的使用,以支持全方位的资源共享。网格系统提供的功能就是应用层的需求,他直接影响着网格所要达到的目的。
网格是个开放、动态、异构、分布的系统,要想将互连网上分布的各种已接入网络的设备及将要接入网络的设备有机地集成,不是简单的连通问题。网格要为用户和应用提供访问使用资源的统一接口。他要对不同的物理资源进行不同层次的抽象,使不同的模块协调起来;定义好各模块的关系、模块间进行交互的协议及相应的方法和规则。网格是以原有的国际互连网为基础构建的,需要已有的一些协议和规范作为支持。图2所示为支持国际互连网的各网格协议的层次。H1TP、FTP、SMTP都是网格协议的传输载体,同时也都是网格建设的基础。无论网格的具体实现细节怎么,从用户的角度来看,他的确只是个网格接口。通过这个接口,用户向网格发送请求和接收来自网格的信息。网格接口就是要定义实现数据交换的协汉,采用相同协议的双方要能够相互理解对方的含义。在协议中还要指明数据表示格式和数据内容的具体含义。XML就是适合网络上使用的一种数据交换语言,他已在网格领域得到广泛使用。2 XML的运用
目前网格上最常用的数据交换表示形式中最重要和最常用的就是XML。XML是SGML的一个子集,以结构化的方式描述各种类型的数据。他允许文件制作人员创建新的标记,以便更准确地描述数据。XML几乎能描述所有领域的数据。他用严格的嵌套标记表示数据信息,特别适合在国际互连网的多点数据交换环境下使用。
XML本身是可扩展的,只规定了标准的语法。XML是能创建行业词汇和应用的语言,其文件的基本语法由W3C创建文件定义的XML模式所规定。在XML文件中所有开始标记都必须有对应的结束标记,并且这种标记有元素和属性两种类型。元素由起始标记、数据和结束标记三部分组成,如:123</data>就是个元素。而属性是修饰成分,由属性名后跟一个等号加属性值的形式构成,用来描述元素的某些性质。属性必须有一个属性值。例如:<数据编号=“56789”>我的数据<,数据>就是个有属性的,其中“编号”是属性,“56789”是属性值。
在网格环境下,由于XML文件的结构化和可读性,XML数据经常作为公文或流程数据,以合作的形式流转,因此还需要用加密和签名来确保基于XML的数据交换活动中信息的安全性。XML语言的安全是网格上信息交换的基础。为保障XML数据交换的安全性,国际标准化组织W3C提出了一系列XML安全服务的新标准,为以XML作为数据交换载体的应用提供安全性保障。这些标准包括:XML加密(XML Encryption)、XML数字签名(XML Sigllature)、XML密钥管理规范(XKMS)、XML访问控制标记语言(XACML)等。
XML语言的搜索是明确的、无二义性的。在交换敏感信息时,发信方及收信方必须建立安全的通信机制。为确保安全性,在使用XML交换数据时,需要在数据上使用加密及签名技术。
2.1 XML加密机制
XML加密(XML Encryption)是对XML文件中的全部数据或其中部分元素进行加密。对同一文件的不同部分,可采用不同的密钥进行加密,将同一个XML文件分别发给不同的接收者后,接收者只能访问拥有权限的那部分信息。XML加密语法的核心元素是EncryptedData元素,该元素和EncrypledKey元素一起用来将加密密钥从发送方传送到已知的接收方,他描述了一个加密数据包含的所有信息。加密时,EncryptedData元素替换XML文件加密版本中的该元素或内容。当加密的数据是任意数据时,EncryptedData元素可能成为新XML文件的根,或成为一个子元素。当加密整个XML文件时,EncryptedData元素则成为新文件的根。
在加密过程中,对于经过加密的数据,只有指定的接收者才能从中还原出密码本身。XML加密定义了一些元素:EncryptionMethod子元素使用URI惟一标识中所采用的加密算法,目的是确保通信双方能在加密算法上保持一致。KeyInfo子元素表达了加密时所使用的密钥信息,他能根据通信双方的约定,记录密钥名称、密钥值、数字证书,甚至获得密钥转换方法的描述,从而确保密钥的安全性。CipherData子元素标记为被加密的数据。EncryptionProperties子元素能用来描述加密数据和密钥的附加信息,如时间戳、加密序列号。发送者创建符合以上结构的EncryptedData元素发给接收者;接收者能根据从EneryptedData元素中得到的解密所需的加密算法、参数和密钥信息,正确地解密信息。
2.2 XML签名机制
XML签名标准可对所有数据类型提供完整性、消息认证、签名认证等服务。XML签名的主要目的是确保XML文件内容没有被篡改,对来源的可靠性进行验证。XML签名是使用XML应用研发工具实现的,而不是使用专用软件。签名时可直接对XML内容进行处理。
Signature是XML签名的元素,描述传输一个数字签名的完整信息。SigzaedInfo子元素记录被签署的原始信息。CanoniclizationMethod子元素使用URI惟一标识。该数字签名采用XML的数据算法,他是正确解析XML数据签名的前提。因为XML数字签名对SignedInfo子元素的字节流进行运算处理时,采用Canoniealization使XML签名适应各种文件系统和处理器在版式上的差异,使XML签名适应XML文件可能遇见的各种环境。SignatureMethod元素记录的是签名所采用的算法。Reference子元素指定的是摘要算法和摘要值。经过运算的Signedlnfo子元素记录在SignedValue中。Keylnfo子元素是接收者用来得到有效签名的密钥信息。接收者能根据Signature元素包含的信息确定数据的完整性和可靠性。
2.3 XML数据交换安全中实现加密、签名的实例 XML作为实现跨平台信息交换和提高异构系统之间互操作性的最佳解决方案而被提出,这极大地促进了数据交换应用的发展。而基于XML强大的可扩展性而提出的XML安全服务标准,使得能在考虑XML数据信息交换的安全控制问题上,完全采用基于XML标准的体系结构,继承XML的灵活性和可扩展性。图3给出一个安全的XML数据交换请求/响应流程。
在安全处理模块中,操作的对象是根据访问请求生成的原始XML文件,因此能采用XML加密规范和XML签名规范进行安全处理。首先,对其中包含的敏感信息元素采用特定的加密算法加密,或采用非对称密钥体系的公钥进行加密。加密时,首先将算法信息和密钥信息放在
安全网格技术 篇3
政府统揽,统一布局。漳州市政府下发了《关于全面推行消防安全网格化管理实施意见》的通知:一是明确了各县(市、区)政府是消防安全网格化管理的责任主体;二是明确了重点镇配齐2名专职消防管理员,一般镇不少于1名专职管理员;三是明确了社区、农村网格职责,并做到“六个一”工作标准,即:一个领导组织、一支志愿队伍、一份责任书、一套排查整治台账、一块宣传栏板、一批宣传标语;四是明确了经费保障来源,在每个街道、乡镇建立一支政府专职或志愿消防队,并配备“一泵、两枪、三带、四灭火器”。
层层推进,充实一线。福建漳州支队一方面紧密结合派出所消防监督工作,推动全市324名专兼职基层民警参与消防安全网格化管理工作;另一方面,在全市重点单位中,进一步明确了法定代表人是本单位消防安全第一责任人,负责本单位消防安全管理工作。不仅如此,福建漳州支队还对全市建筑消防设施进行一次全面测试和定点管理,建立了消防安全“户籍化”管理档案,并以开发区凌波社区消防窗口为试点,在全市逐步打造“社区消防窗口”。
倒排进度,主抓落实。第一,制定了消防安全网格化管理任务表和进度表,并实行日上报、日通报,每日定时跟踪全市2536个小网格工作落实进展情况。第二,要求“大网格”全面掌握本地区中小网格数量、机构建设和人员配备情况,及时摸排,及时上报。第三,将消防安全网格化管理纳入了政府年度目标责任考评及政务督查内容,并实行“日上报、周通报、月督导、年考评”的长效工作机制。
安全网格技术 篇4
针对互联网安全问题日益严重, 发展网格安全技术是解决当前网络安全问题的一个热点, 但是与传统的安全技术想比, 网格安全所涉及的技术比较复杂, 有密码技术, 网络传输技术, 访问控制技术, 因此目前所研究的网格安全技术还比较片面, 还不能真正的使用网格安全技术来代替传统网络安全技术。本文从信息控制论角度出发, 给出了基于信息控制思想的网格安全技术模型, 对其中的信息安全认证和安全控制进行分析。
2. 信息安全控制系统模型
信息安全控制系统是一个反馈控制模型, 如图1。为了到达安全目标, 系统首先检测出安全状况, 然后与安全目标进行比较后, 对存在的偏差进行安全决策和安全操作, 经过多次反馈控制就可以使整个系统达到安全目标。
通过对信息安全控制模型的分析并结合信息安全控制系统的实际要求, 整个信息安全控制系统如图2。它主要包括认证授权, 监视系统, 控制系统, 授权操作这4个功能模块组成, 在功能模块之间是通过信息流进行传递的。图2和图1是完成对应的, 通过监视系统采集到的状态与控制系统比较, 来获得针对的授权操作, 而第一步的认证授权是进行安全控制的第一步。
3. 基于信息安全控制原理的安全网格模型
整个系统的安全由其最薄弱的系统所决定的, 因此在进行网格安全系统设计的时候, 需要使得整个系统的不同模块达到均衡安全, 所有模块的安全性能都不能低于所设定的整体安全目标。按照这一思想, 需要在网格中建立一个全局安全控制策略库, 并包含某些具体安全规则, 并且安全控制库可以根据反馈进行自我动态更新。当用户访问资源的时候, 系统首先按照安全控制策略库进行访问规则的判定, 只有通过的才是可以进行访问的;并在操作完成后把访问信息反馈到安全控制策略库, 以完成策略库的动态更新。
结合图2并根据上述安全控制思想, 可以得到如图3的基于信息安全控制模型的网格安全控制模块。在安全控制方面主要由安全认证模块和安全控制模块组成。安全认证模块主要负责通信的相互认证、密钥协商、服务开放。安全控制模块主要负责用户控制, 动态反馈。整个系统设计的时候要遵循安全隔离性的原则, 安全网格模块与用户必须分开, 安全网格系统启动时首先使安全网格模块获得执行权, 保证安全网格模块从系统启动时开始就能对网格系统进行保护。本文研究的网格系统是使用网格工具包Globus Toolkit建立的。
3.1 安全网格认证模块
安全网格认证模块主要由安全网格认证部件组成, 它对非法访问进行拒绝, 这里采用防火墙来进行实现, 具体使用Linux防火墙来实现, 在防火墙实施策略时, 进行如下保守的安全策略:除了允许的事件外, 拒绝其他的任何事件。
3.2 安全网格控制模块
由于安全认证模块对外部用户非法访问能够防范, 但是对内部网格用户缺乏控制, 所以需要使用网格控制模块来进一步增强网格系统内部安全性。安全网格控制模块主要由客户端的安全监控部件、安全执行部件和服务器端的安全决策部件耽搁组成。
网格用户映射为客户端即网格服务主机用户后, 便以本地用户身份运行。当以本地用户进行操作时, 安全控制模块对用户进行严格控制, 及时发现用户的操作行为并交给安全控制服务器进行用户行为安全性判决, 安全控制服务器根据安全控制策略库中相应安全策略进行判决, 禁止网格用户进行非法行为操作, 并把判决结果反馈给客户端中安全执行部件进行相应的执行:允许或禁止网格用户的操作行为。安全网格控制模块防止内部信息泄漏, 防止越权操作, 进行网络监控, 保证文件安全和进程安全, 从而确保网格系统内部安全。
如图4安全网格控制模块的执行过程描述:
(1) 安全监控部件对网格系统进行监控, 发现用户行为后提交给安全决策部件;
(2) 安全决策部件分析用户行为, 并根据安全控制策略库中策略做出响应判决, 确保网格用户行为合法;
(3) 判决通过后, 提交给安全执行部件执行用户行为, 否则禁止用户行为;
(4) 用户行为是否改变了安全控制策略库中某些策略, 如是则反馈用户行为给安全控制策略库, 动态更新相应策略。
4. 安全测试
为了测试本文所提出的网格系统的安全性, 这里采用X-Scan进行网格系统漏洞扫描。按图5的配置进行安全漏洞扫描。
由于所以网格服务主机的配置相同, 因此只需对一台服务逐句进行扫描。图6是一台服务主机的扫描结果。
同时对安全控制服务器进行安全检测映出安全控制服务器的安全状况, 结果如图7。
从图6检测报告中可以看出, 安全网格系统内主机没有发现安全漏洞, 只检测到一个未知开放服务运行于端口7778, 而这是安全网格模块所运行的服务, 用以提供给网格用户服务申请, 由检测报告得出, 网格主机是安全的。
从图7检测报告中可以看出, 漏洞扫描工具没有检测到安全控制服务器, 而服务器是运行的, 并能给网格系统提供安全控制。这是由于为了保证安全控制服务器的安全, 在安全网格系统中服务器只对网格内部主机提供服务端口, 而对于网格外部是不可见的, 从而保证了安全控制服务器的安全性。
根据网格服务主机和安全控制服务器的安全检测结果可以分析出:安全网格系统中的主机均是安全的, 整个安全网格系统也是安全的。
5. 结束语
本文所研究的网格安全问题是网格的核心问题之一, 如何将安全方案无缝地融入网格系统中, 是网格安全研究的一个重点内容。基于信息安全控制原理的安全网格技术为网格系统提供了一套行之有效的安全方案。但是由于网格环境中用户行为的多样性、复杂性以及网格技术的不断发展, 需要对安全控制策略及安全网格模块进行进一步的完善, 这些都是在今后的研究中所要面对并解决的问题。
摘要:本文在信息安全和自动控制的基础上, 提出基于信息安全控制原理的安全网格技术方案, 搭建了安全网格模型, 并实现了安全网格认证模块和安全网格控制模块。然后运用系统安全漏洞检测工具对安全网格系统进行漏洞检查, 并得出安全检测报告。
关键词:信息安全,网格技术,安全漏洞
参考文献
[1]都志辉, 陈渝, 刘鹏.网格计算[M].清华大学出版社, 2002.
[2]黄益民, 平玲娣, 潘雪增.计算机系统安全模型研究及技术方案设计[J].计算机研究与发展, 2002, 2:15-16
[3]余冬梅, 刘密霞, 玛涛.网络安全系统设计的研究[J].微机发展.2004, 10:41-43
网格化安全管理方案 篇5
一、指导思想
以党的十八大精神为指导,坚持“安全第一、预防为主、综合治理”方针,牢固树立以人为本、安全发展的理念,进一步健全公司安全生产网格化管理体系,努力构建公司统一领导、职能部门齐抓共管、各单位履行责任、广大员工共同防范”的安全生产网格化工作网络,使安全生产管理工作无遗漏、全覆盖,安全隐患整治责任明确、落实到位,形成公司安全监管工作制度化、规范化的长效管理机制。
二、工作目标
通过实施安全网格化管理,进一步明确各级安全管理责任和工作内容,全面落实各生产车间、单位的安全主体责任,健全公司、车间、班组三级安全管理体系,有效预防和遏制重特大安全事故发生。
三、网格化管理工作组织机构
公司成立安全生产网格化管理领导小组
组长:
副组长:
成员:
领导小组下设办公室,办公室主任由安保后勤部部长丁玉东兼任。
四、落施安全网格化管理的具体方案
(一)工作进度安排
1.20xx年4月,明确各级安全生产主管、安全员;
2.20xx年5月,规范编制各级安全生产责任制、各工种安全操作规程;
3.20xx年6月,对安全生产制度进行检查落实,全面实行安全网格化管理。
(二)网格划分
公司为一级网格,车间(部门)为二级网格,轮班(小组)为三级网格。
(三)工作职责
1、一级网格负责公司内部安全网格化的组织,制定安全网格化管理工作实施方案。安保后勤部负责具体落实方案以及协调工作,强化安全网格信息化建设,将网格化管理列入日常工作内容,做到有部署、有检查、有记录、有总结;组织召开每月一次的公司安全生产工作例会,分析公司安全生产形势,制定工作措施;研究并协调解决公司安全管理中的重大问题;建立公司安全生产管理档案,并实施重点监控;每月组织开展安全大检查;进一步完善事故应急预案,对安全责任人、员工进行安全培训,开展安全宣传教育活动,扩大安全知识教育覆盖面和影响力;对各单位上报的安全隐患信息进行汇总分析,并协调督促相关单位(部门)的安全责任人落实整改。
2、二级网格,要成立安全领导小组,各单位(部门)行政一把手是本单位安全的第一责任人,负责领导和组织本单位的安全工作。各单位(部门)要明确一名副职主抓本单位的安全网格化管理工作。建立并完善二级网格的安全网格化管理台帐,编制本单位(部门)的安全生产责任制、各工种安全操作规程,层层落实工作责任,搞好二级安全培训工作,明确各三级网格的责任人,形成本单位(部门)的安全管理台账,于20xx年5月完成各项安全网格化管理的准备工作;督促、帮助各三级网格完善安全制度,明确安全管理责任,建立健全安全档案,完善事故应急预案;协助一级网格对本单位(部门)的重点安全隐患实施重点监控,每周开展一次网格内的安全生产监督检查;收集安全隐患信息,将检查情况记录备案并及时上报公司安全生产委员会(地点在安保后勤部)。
3、三级网格,各轮班、小组负责人和各级安全员是本级安全生产、员工安全思想教育的第一责任者,对本级安全负全面责任。传达贯彻上级安全指令和会议精神,组织员工学习《安全操作规程》和企业、车间(部门)的有关规定,教育员工严格遵守劳动纪律,对新员工进行(班组级)培训。经常检查本班组工人使用的机器设备、工具和安全装置、员工的劳保用品的佩戴等,以保持良好的状态,杜绝“三违”现象的发生;整理工作场所,以保持清洁文明生产;每班进行一次安全检查,分析存在的安全问题、事故隐患并制定处理整改措施,
(四)工作要求
1、提高安全认识,加强组织领导。实施网格化安全管理,是一项创新工作,是进一步落实安全生产责任制,切实抓好基层的安全管理工作,完善安全管理机制和框架,建立安全管理网络的重要举措,也是实现企业本质安全、建立安全生产长效机制的需要。对此,各单位(部门)要有充分的认识,高度重视此项工作的开展,严格按照公司安全生产网格化管理领导小组的统一安排,结合实际情况,创新工作措施,认真组织实施,确保工作落实到位,取得实效。
安全网格技术 篇6
摘 要:消防事业的发展,是新时期社会安全构建的重要内容,是确保人民生命财产安全的重要基础。消防安全网格化管理的推进,是新时期消防事业发展的新举措,也是契合我国安全消防事业发展的有效之举。文章基于对消防安全网格化管理的必要性认识,分析了当前我国消防安全网格化管理中存在的问题,并以此作为阐述的切入口,从建立健全奖惩激励机制、强化资金投放力度、推进消防业务培训等方面,阐述了强化消防安全网格化管理的措施。
关键词:新时期;消防安全;网格化管理;措施
中图分类号:TU998.1 文献标识码:A 文章编号:1006-8937(2016)21-0070-02
消防安全网格化管理是新时期我国消防事业发展的新举措,也是立足于当前消防安全事业发展的需求,优化与创新消防安全管理方式的创新体现。当前,我国消防安全网格化管理已不断推进,并取得了诸多成效,但要深化网格化管理建设,形成更加全面而有效地管理作用,强调以创新为驱动,推进消防安全网格化管理的创新性发展,满足新时期消防安全事业发展的需求。消防安全网格化管理在实际中取得了诸多成效,但其中存在的管理困境,也成为制约消防安全管理网格化推进的重要制约。特别是“上热下冷”的发展情形、资金投入欠缺等问题,不利于新时期消防网格化管理的发展。因此,积极推进消防网格化管理建设,要认识存在的发展问题,有针对性、建设性的提出应对措施,实现良好的发展形态。
1 新时期消防安全网格化管理的必要性
我国消防事业的发展,强调消防力量更加合理配置,在满足社会经济发展的同时,推进消防安全管理的创新性发展。当前,我国消防力量主要集中在县级以上城市,乡镇、农村的消防力量配置薄弱,特别是在偏远地区,消防监督机构明显欠缺。这样一来,消防安全管控漏洞比较突出,现有的消防安全管理模式无法满足社会发展的需求。
在城市化进程步伐加速的今天,人员密集的城中村、人员密集的场所等的增多,都为消防安全管控带来挑战。一方面,这些地方地理位置比较特殊,往往是消防管理的盲区,一旦发生火宅事故往往会造成重大的生命财产安全事故;另一方面,消防设施建设相对比较欠缺,安全消防工作的基础面不足。而消防安全网格化管理的实施,在提升消防安全管控,形成“齐抓共管”的工作形态,起到重要的作用。
首先,网格化管理的实行,实现对多种监管力量的整合,极大地提高了当前的消防力量,也有助于消防力量和的合理配置,满足消防安全工作的需求;
其次,应对基层消防失控漏管的情形,网格化管理消除了消防管控盲区,实现消防设施、部门等的有效配置,推进消防事业的可持续发展。
2 当前消防安全网格化管理面临的困境
近年来,我国在消防安全事业的现代化发展中,实现了诸多的创新性发展,而消防安全网格化管理的实现,对于发展消防事业起到重要的作用。虽然在消防网格化管理中取得了诸多的发展成效,但发展中所面临的困境与问题也十分突出,重视程度不足、资金投入欠缺、管理方式不精细等现实问题,在很大程度上制约了消防安全网格化管理,也弱化了其在消防事业现代化发展中的重要作用。
2.1 重视程度不足,呈现出“上热下冷”的情形
在思想认识上,基层部门对网格化管理认识存在局限性,对消防安全网格化管理的重要性认识不足。于是,在一些地区,领导对消防网格化管理重视不够,无论是组织体系的建立,还是实际工作的开展,都存在较大的不足,出现“上热下冷”的工作局面。
与此同时,网格化管理的推进,缺乏切实有力的监督管理,以至于消防安全网格化管理体系的建立,出现工作滞后、成效甚微的情况。这样一来,发展推动缺乏基层力量构建,消防网格化管理的基础面发展不牢固。
2.2 资金投入欠缺,网格化管理进程缓慢
网格化管理体系的建立,无论是在组织机构的建立,还是人员的合理配置,都需要完备的资金投入。但从实际来看,很大部分在消防安全网格化管理中投入,出现资金投入欠缺,网格化进程发展缓慢的问题。
一方面,资金投放不到位,影响网格化管理相关配套工作的组织开展,弱化了管理的时实效性;另一方面,网格化管理进程缓慢,资源消耗、浪费问题,都不利于网格化管理体系的建立。因此,切实做好资金保障工作,是关系到消防网格化管理有序推进的重要基础。
2.3 网格化管理方式不精细,缺乏奖惩激励机制
网格化管理方式的精细化,是提高网格化管理的重要方面。但实际中的粗放管理方式,不利于网格化管理的有效落实。网格管理员的排查流于形式、走马观花;工作过于被动,应付上级检查,安全管理效率低。
与此同时,奖惩激励机制不完善,以至于消防安全网格化管理的工作推进存在落实不到位。由于奖惩激励机制缺乏,责任体系不完善,基层乡镇在工作落实上,被动应付、浮于表面,以至于网格化管理建设成效甚微,难以发挥网格化管理应有的重要作用。
因此,在新的历史时期,如何实现消防安全网格化管理方式的精细化,并建立完善的激励奖惩机制,对于全面深化建设发展起到十分重要的作用。
3 新时期强化消防安全网格化管理的措施
推进消防安全网格化管理进程,首先需要清楚地认识当前发展中存在的问题,有针对、建设性的提出解决措施。在笔者看来,新时期消防安全网格化管理的推进,关键在于三个方面:
一是在思想认识方面,要强化思想认识,通过建立奖惩激励机制,构建良好发展的内部环境;
二是在资金投入方面,应做到充沛,夯实消防安全网格化管理的发展基础;
三是在建设质量方面,应基于消防业务培训等措施,提高消防建设质量,更好地契合当前的消防事业发展需求。
因此,具体而言,新时期新时期强化消防安全网格化管理,应切实做好以下几点工作。
3.1 强化思想认识,建立健全奖惩激励机制
正确的思想认识,是开展全面工作的重要基础。领导的正确认识、高度重视,能够确保工作全面开展、有效落实,避免因工作懈怠,而导致消防安全网格化管理进程受阻。
因此,领导应强化对消防安全网格化管理的认识,认识其重要性与必要性,以更好地落实组织体系的建立,确保网格化管理有序推进。为更好地深化消防安全网格化管理进程,建立健全奖惩激励,这是工作的重点之一。消防网格化管理建设的进程中,各方参与的积极性不高、主观能动性的缺乏,显然无法确保发展的有序推进。
因此,依托完善的奖惩激励机制,明确各部门、各人的职责,提高工作效率、在奖惩激励机制的促进支架,提高各方参与的积极主动性,在“责、权、利”的制衡之下,确保消防监督职权有效落实。
3.2 强化资金投入力度,落实基础建设
为深化消防安全网格化管理,各级部门应在资金投放上、政策倾向上,进行有力保障。当前,资金投入的不足问题,在很大程度上制约了消防网格化管理的进程,也影响了基础设施建设等内容的落实。
首先,进一步拓展资金筹措渠道,确保资金投放满足网格化管理发展需求。单一的资金来源,显然无法满足当前的实际需求。仅仅依靠政府的资金投入,存在捉襟见肘的问题。应对现行资金筹划渠道进行拓展,引入市场资本进入,既可以提高消防安全网格化建设的资金困境,也强化了市场资本力量对建设发展的推动力;
其次,针对村庄安全消防建设需求,落实基础建设,解决基层消防设施落后,消防建设不到位的问题。当前,我国消防事业发展的薄弱地在乡镇、村两级,特别是偏远的农村,消防设施建设几乎没有。因此,强化资金面向基层的投放力度,是十分必要的。例如,结合地方水源情况,科学合理地建立消防车取水点;解决村庄道路狭窄问题等;
再次,做好基础设施维修工作,通过定期维护,确保基础设施的正常使用。当前,消防网格化管理推进,对于发展基层消防事业起到了重要作用。但是,发展的持续性作用并不显著,在消防设施维护、基础力量保障等方面,仍存在很大的不足。消防设施年久失修,无法在火灾救援中发挥作用,这样的消防基础建设显然不行。为此,要强化对消防基础建设工作的有效落实,提高安全消防建设的力度。
3.3 强化消防业务培训,提高消防安全管理质量
消防安全管理质量的提高,是消防安全网格化管理建设的重要基础。严把消防管理质量关,涉及多个方面,也强调相关措施同步跟进的重要性。
在消防安全质量管理中,建立更加多元化的消防力量,形成多样化的消防业务培训机制,都是十分必要的。
首先,强化对村委会、乡镇等相关负责人的消防专业培训,熟悉网格化管理体系,确保消防安全网格化管理在基层落地、生效。基层消防网格化管理力量相对比较薄弱,在管理的专业化方面存在较大不足,通过消防业务培训,提高消防安全管理制度,对于深化网格化管理发展,起到重要的作用;
其次,通过设置工艺岗位或设定事业编制等方式,进一步推动乡镇消防队伍建设。当前推动乡镇兼职消防队伍建设,是壮大基层消防力量的重要举措;
再次,强化消防队伍建设,是推进消防网格化管理发展的重要内容。依托地方公安机关,强化保安人员消防业务培训,打造一支“保消合一”的队伍。
4 结 语
消防安全网格化管理是新时期基于消防安全事业发展的创新之举,是提高基层消防管控能力,实现消防安全“防火墙”工程建设的重要支撑。从激励机制的建立、资金投放的增加,到消防业务培训,都是强化消防安全网格化管理的措施。
在笔者看来,消防安全网格化管理的推进,是一个过程,需要在认识问题的同时,也要狠抓落实各项建设内容,从制度、机制的建立与完善,到消防质量管理的强化,都是不断强化与创新发展的过程,强调科学化建设的目标导向。
参考文献:
[1] 刘晓.社会消防安全“网格化”管理的瓶颈问题与对策[J].科技创新与 应用,2013,(3).
[2] 曹刚.浅谈如何推进基层消防安全网格化管理工作[J].中国应急救援, 2012,(13).
[3] 廖奇.完善消防安全网格化管理机制的思考[J].消防技术与产品信息, 2013,(1).
[4] 王洋,陈德森.消防安全网格化管理的实践与思考[J].消防技术与产品 信息,2014,(2).
[5] 李峰.建立推行消防安全“网格化”管理体系的几点思考[J].城市建设 理论研究,2012,(19).
网格计算环境下安全认证的技术探析 篇7
关键词:网格计算环境,安全认证,技术研究
1 网格计算环境
一般比较常用的网格应用, 其用户接口都是基于Web的入口, 又称网格入口。这个入口支持多种浏览器访问网格中的资源, 极大程度的方便了用户的使用, 在初始化时, 用户与接口协商相关的权利, 从而所需的资源进行访问。标准的web安全机制是不包括这一内容的, 网格安全基础设施 (GSI) 中有该机制, 在应用web时又一定的约束, 用户需要提供凭证, 通过智能卡的使用解除了这些约束;另一方面, 网格入口需要用户的长期凭证, 浏览器能够进行网格认证, 却不能对用户的凭证如GSI一样进行协商。为此, 创建出了一种在线用户凭证库, 利用这个数据库, 用户与服务器进行协商, 实现代理凭证和认证信息的恢复约束。网格入口获得了认证信息后, 能够随时恢复和使用数据库的代理凭证, 通过这种方式, 用户能够很方便的利用入口, 对代理凭证进行操作。
2 网格环境下的安全认证技术
2.1 PKI和Kerberos
在网格计算环境的安全认证方面, 一般包含两个部分:一是对用户的身份进行认证, 另外一方面是对资源访问的授权和认证机制。PKI和Kerberos两种技术就是当前应用比较广泛的认证技术。
PKI的中文名是公开基础密钥设施, 该技术比较稳定, 其应用在开放的互联网环境里, 采用了公钥密码的方式, 对一些数据, 数字证书和签名服务等等进行加密, 属于一种技术框架, 以公钥密码, 数字证书库, 系统安全策略和CA几部分构成, CA就是证书权威机构, 属于第三方认证机构, 可以把用户名和公钥绑定, 将其实施数字签名, 该技术也是PKI中的重要部分之一。PKI在技术上相对比较成熟, 对于离线认证有着很好的解决办法, 不过咋实时的网络中, 该技术受到一定限制, 应为PKI要对证书检测, 其过程会浪费很长时间, 面对网格计算也不是很顺畅。对此, 改进的ID-PKI技术能够实现利用身份信息对公钥进行计算, 节省了绑定的过程。
Kerberos也是一种当前被使用较多的认证协议, 该技术引进了时间戳处理机制, 能够对对称加密技术进行认证, 同时能够保证消息的完整和保密。Kerberos技术是对用户和服务器进行双方认证的, 主要通过在分布式环境中, 用户要先经过Kerberos服务器, 得到许可后才能够访问应用服务器。
2.2 SSL/TLS
SSL/TLS又称为安全套接字协议, 其工作在传输层, 主要针对浏览器和服务器进行安全认证和传输的。该技术基于TCP/IP的标准套接字上, 使用了RSA算法, 其工作过程是, 在信息传送方设置一个密钥, 然后再用接收方的公钥再次加密, 当信息传到接收方, 用其私钥进行解密, 双方都获得了密钥后则可以进行双方通信。当前的SSL协议已经得以改进, 避免受到第三方的破坏, 在其中加入了MAC, 也称消息认证码, 收发信息的双方都对其进行加密, 获得信息后进行相关的计算比较, 从而确定含有MAC码的信息属于完整信息, 为了更好的确保信息的安全, 每次传输的MAC码都是不同的。SSL中的握手协议是非常重要的, 其流程是客户端和服务器通过互传消息协商一些安全协议和参数, 若是在身份认证过程中, 双方要进行密钥交换, 最后还要通知对方改变密码组。
2.3 My Proxy
My Proxy属于一种网格安全代理系统, 其方法是利用代理帮助用户评判网格的服务, 其最终想要实现的是, 用户可以从多个互联网的方向接入网格, 也就是可以让用户在浏览器上或是以远程主机的方法实现。My Proxy其实就是一个数据库服务器, 对用户证书进行操作, 其中它的三个实体间的操作过程是:用户在浏览器上委托代理证书, 向网格发送验证消息, 网格入口再向My Proxy服务器进行信息验证, 通过认证后, 用户就能够直接接入网格了。My Proxy提供的服务十分灵活, 提供长期和短期两种代理证书形式, 用户只要获得证书, 则不必再为时间, 地点, 保存密钥等问题担心, 当证书有更新时, 在授权的情况下, My Proxy会自动为用户进行更新和审核工作。
2.4 单点登录
单点登录主要是要实现当用户有一次口令后, 就能进行多次认证, 不需要重复认证就能对相应安全领域的不同系统资源进行访问。其中, 包括有安全委托的问题, 是用户和资源代理两方面的, 两者的交互也就成了两个代理方的交互。用户通过私钥签一个证书给代理, 其中包含了用户的身份识别和代理的标识等信息, 有了代理后, 用户就能够利用代理节点同资源相交互, 不必再多次进行密码验证来获得私钥, 不同线上的用户能够同时获得服务。
2.5 GSI
GSI是一种网格安全的基础设施, 是一种基于X.509证书的认证系统, 主要通过第三方实现用户和主机的证书签名, 实现认证和安全通信。这项技术也是当前使用最为广泛的网格环境下Globus的安全认证方法。GSI一般包含有以下3个模块:一个是支持代理和授权, 在单点登录方面的代理和对远程用户进行本地的映射, 能够对多个资源和地点进行信任委托和转移;二是具有公钥基础设施PKI, 进行安全身份的交叉认证;三是安全套接字协议SSL/TLS, 实现网格环境下主体和服务间的安全交互, 目前还在向端对端的安全协议方向发展。
3 结束语
随着下一代互联网的发展趋势迅猛, 仍存在着不少安全威胁, 现有的安全体系有待不断的增强, 在网格计算的环境下, 对其安全体系有着更高的要求, 在不同的网格层次中, 都需要相应的安全保障措施, 尤其是处于最重要一层的安全认证方面, 具有最直接的防护作用, 文中对几种安全认证的技术进行的分析还有待深入, 对于网格环境中的安全认证技术也有待进一步的提高和增强。
参考文献
安全网格技术 篇8
关键词:网格安全,网络安全,安全认证,分布式技术
我们所熟知的网格有Glosbus Toolkit, Legion和UNICORE, 它们具有访问实际资源、提供管理和安全防护的功能。然而, 这些网格之间不能进行无缝操作, 这样, 一些采用了某种网格的组织机构发现, 它们只能同相同系列的网格进行互相操作。全球网格论坛 (GGF) 重新定义了一种叫做开放网格服务机构 (OGSA) 的系统体系结构来解决这个问题, 它以Web Service技术为基础, 以交互方式提供核心的功能。许多网格都采用了OGSA标准, 这样就可以在不同网格的核心实现间进行交互。
1 网格的安全挑战
网格给想加入这个虚拟机构的组织和研究者带来了新的安全方面的挑战。网格环境需要安全机制, 它有如下一些特性: (1) 它们穿越了几个管理域; (2) 为动态的用户群提供良好的可扩展性; (3) 为具有不同的认证和授权方式的资源池提供支持; (4) 在运行过程当中, 动态的获取或者释放资源。
网格技术的关键为在于现有系统和技术的集成, 与不同主机环境的交互操作, 交互主机环境中信任关系的管理。
标准化对于网格的交互操作是非常重要的。GGF曾经采纳了将Web Service作为实现网格的标准技术。在这里, OGSA安全体系结构表述了OGSA的安全要求。在OGSA中所描述的现有的各层安全技术和标准都是从较低层的资源管理安全层开始的。第二层是网络安全层, 第三层是绑定层。在较高层次中包含安全服务层和开发者。在与网络相关的层, 可以使用传统的安全技术来实现网格安全。在网络层, 可以用SSL, TLS和IPSec来实现虚拟专用网。同时, 在绑定层中, 也可以根据选用技术的不同, 用SSL, TLS和IPSec, HTTP, IIOP, CSIv2以及MQ提供者来实现安全保护。
2 网格计算环境
通常网格应用的用户接口是基于web的入口, 也叫网格入口。网格入口允许使用各种web浏览器访问网格应用和资源, 这可以方便用户使用, 并丰富内容的表现形式。
使用这个入口进行初始化计算的用户, 需要和入口协商自己的权利, 这样他们就能够访问需要的资源。标准的web安全机制不能用于这个协商过程, 此外, 网格入口要求和用户协商他们的权利, 这样用户接下来就可以代表他们自己的活动。网格安全基础设施 (GSI) 包含了这样的机制, 代理证书对网格应用程序来说, web的使用有一些约束, 用户必须以某种方式提供他们的凭证, 智能卡能解决这样的问题, 但是它没有得到广泛的应用。另一个约束是, 网格入口必须拿到长时间的凭证。Web浏览器可以对网格进行认证, 但是它不能像GSI一样协商用户的凭证, 所以就需要用户的长期凭证。因为每个网格入口必须获取和存储用户的长期凭证, 用户销毁的凭证数量和他曾使用的网格入口的数量一样。
为解决这个问题, 人们提出创建一个在线的用户凭证库。有了这个知识库后, 用户就可以与其联系, 并与服务器协商代理凭证、认证信息何恢复约束。认证信息可以是用户选择的用户名和口令, 在后面凭证的恢复中可以用到。恢复约束包括代理凭证的有效周期。
获得认证信息的网格入口能在任何时候恢复在线知识库中的代理凭证, 并且可以像其他用户创建的代理凭证一样使用它们。这样, 用户可以用他的客户端联系网格入口, 并且可以为代理凭证知识库提供用户名和口令。入口联系凭证知识库并且恢复凭证, 这样, 用户就可以让入口像代理一样计算。当计算结束, 代理凭证就会被从入口中删除。
3 网格网络安全
我们已描述了网格安全的一些关键问题。这个处在网格应用层之下来处理安全问题的体系结构在认证和授权方面是很完备的。然而, 在网格环境中还有其他方面的安全功能的需求, 比如说, 数据完整性和加密、计费和日志记录。最后, 还有一些开放性的问题, 比如网格的部署和机构的安全机制。
3.1 防火墙和网格
当一个单位想在基础设施里部署网格时, 首先要考虑的安全问题是, 如何让网格不影响现有的安全策略和机制。尽管网格的安全基础设施和其他的安全基础设施已经设计好了, 但一些小的改动是必要的。
防火墙配置是这些改动里面的一项。当想共享机构里面的一些资源时, 这些对于机构网络外部边界的资源必须是直接或间接可达的。同样, 机构里面的网格应用也需要访问外部资源。但是所应用的协议却是与具体应用相关的, 大多数情况下, 就需要改变防火墙现有的规则。由于重新配置防火墙所带来问题的解决方案包括, 分隔的子网中不设防火墙, 防火墙需要为一系列的系统开放大量的端口, 以及使用动态防火墙。另外一个方法就是对可信的主机建立数据库, 只有这些主机可以访问共享资源。这种方法的不足之处是会使得访问规则变得复杂, 性能也随之下降。
Globus方法则是通过识别域内的网格应用, 并将其映射到特定端口来解决这一问题的。这样, 它就对网格应用所产生的流量有了一个总体的把握。防火墙的规则可以通过网格中机器的期望流量来调整。Glosbus Toolkit要求向外的连接端口不受限制, 最后, 因为有些服务是有回呼的, 所以向内部连接客户端的限制会导致某些功能受限。
另外一个主要问题出在网络地址 (NAT) 的转换上。在进行网络地址转换过程中, 通过NAT的防火墙IP地址协议就可以知道客户端域边界。在这种情况下, 认证客户端的名字与从外部所看到的实体名字不匹配, 这样共同认证也就失败了。即使认证中使用了NAT防火墙的名字, 在域内也还存在相同的问题。可以尝试用回呼技术来解决这个问题, 但是会出现上述的限制。
另外一种方法就是使用动态防火墙来解决网格应用的问题。动态防火墙必须能够处理高层的协议, 并且能够维护凭证有效。必须注意网格的策略, 当且仅当外部用户符合现有的网格策略, 并通过了认证, 他向网格资源发起的连接才能通过。
3.2 传输安全
在第一代的网格实现中, 传输安全要么没有提及, 要么就没有详细的表述。全世界范围内的传输安全应当在输出加密方面服从国家的规定。更进一步, 在一些国家, 特定加密算法的使用是识别非法拷贝的一部分。GSI在进行共同认证的过程中使用加密算法来保护通信信道。然而, 它却没有对实际数据的传输进行加密。
GSI新的实现提供了数据完整性和TLS协议消息加密的选项, 但是由于性能方面的考虑, 在默认的设置中都将这些功能关掉了。OGSA利用web service的安全机制提供了多层的安全保护, 比如, WS安全, XML加密, XML签名。同时还可以使用HTTP、SSL以及和网络层绑定的IPSec来实现安全保护。然而, 它在商业环境中的应用以及它的性能表现都受到了这些机制的影响。进一步说, 当无线网格出现时, 如何在资源受限的环境中有效利用这些协议也是一个问题。
4 结论与展望
安全在网格计算环境中是一个很重要的问题, 尤其是分布式系统安全解决方案不能满足网格的多样性需求。网格环境的动态本质提出了一个问题, 那就是庞大的用户群和动态的计算需要动态的分配和释放资源。这些资源处于具有不同安全策略的管理域当中, 这个过程的安全要求比在其他分布式系统中更加严格。网格安全解决方案必须提供以下功能: (1) 能够提供安全通信并能在不同的管理域当中进行资源交换; (2) 在每个域的安全解决方案之间进行交互; (3) 能处理网格中不同的实体以及组之间的通信。
GSI是解决这些问题的一个很有前景的方案, GSI用X.509对用户、进程、资源进行认证。它定义了一系列的协议使得通信以及资源分配任务安全的进行, 这些都是不在本地安全策略的影响下进行的。GSI使用了GSS-API, 用于认证和授权过程的通用安全服务应用程序接口以及网格扩展。这样, 用实现GSI的库, 开发者就能够建立网格应用。
认证过程是相互的, 在两个实体间, 可以使用签名的证书使得认证顺利地进行。如果用户需要多个处理器大量计算, 这就需要他与能够代表自己的应用代理进行权利的协商。这个过程需要使用代理证书, 它是一个由GSI定义的GSS-API扩展。代理证书也可以在既不包括网格应用, 又没有GSI支持的环境中应用, 比如web环境。
OGSA通过web service来实现全新的、完全的和可交互的网格安全。凭证管理这个领域将要经历进一步的发展, 比如, 凭证知识库与web service及web客户端之间的标准化协议。基于硬件的认证标准解决方案会越来越为人们所接受, 像永久存储的在线用户知识库也会得到广泛的采用。最后, 采用分布式的方法来计费用户的计算是一个更加标准的方法。用户的资源消耗也可以由各个站点来计算, 更加标准化的计费信息的交换协议也将会在GSI中采用。
参考文献
[1]刘怡文, 李伟琴, 韦卫.信息网格安全体系结构的研究[J].北京航空航天大学学报, 2003 (7) .
[2]严建伟, 梁力, 刘勇.基于分组认证和协作的网格计算安全体系[J].计算机应用研究, 2005 (8) .
[3]应宏.网格技术及其应用[J].计算机工程与设计, 2004 (10) .
网格安全及其解决方案 篇9
关键词:网格,网格安全,GSI
一、网格计算的概念及特性
什么是网格?用美国Globus网格项目的领导人之一Ian Foster的话来解释:“网格是构筑在互联网上的一组新兴技术, 它将高速互联网、计算机、大型数据库、传感器、远程设备等融为一体, 为科技人员和老百姓提供更多的资源、功能和服务。传统的互联网技术主要为人们提供电子邮件、网页浏览等通讯功能, 而网格的功能则更多更强, 它能让人们共享计算、存储和其他资源。”
简单地讲, 网格是把整个互联网整合成一台巨大的超级计算机, 实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。当然, 我们也可以构造地区性的网格 (如中关村科技园区网格) 、企事业内部网格、局域网网格、甚至家庭网格和个人网格。网格的根本特征并不一定是它的规模, 而是资源共享, 消除了资源孤岛。
本质上说, 网格计算需要解决的问题是如何在动态的、异构的虚拟组织间实现资源共享以及协同的解决某一问题。
目前, 在网格技术获得广泛应用之前, 还有许多问题需要研究和解决。正如传统网络安全问题带给人们的启示, 网格环境首先将面临的一个重要问题就是安全问题。与传统网络环境相比, 网格计算环境极其复杂, 它具有大规模、高速、分布、异构、动态、可扩展等特性, 因此它提出了更高更广泛的安全需求。
网格计算技术是由传统网络计算技术发展而来的, 它继承了传统的网络技术, 并在传统的网络技术基础上提出了新的技术理论和方法, 满足了大规模分布式协同计算、高性能计算等先进的网络应用需求。与传统网络环境下的客户/服务器等应用相比, 网格计算环境有以下几个关键的特点:
(一) 用户数量巨大, 并且是动态变化的。
(二) 资源数量巨大, 并且是动态变化的。
(三) 一个计算 (或由计算创建的进程) 可能在它的运行期间动态地要求使用或释放资源, 并可能需要动态地创建许多不同的进程。
(四) 不同的资源可能要求不同的认证和授权机制。
(五) 网格环境下的资源和用户可能分布在不同的国家里, 因而可能会受到不同法律和政策的管制。
(六) 一个计算所涉及的各个站点之间需要采用高速的网络技术互联, 以满足协同计算的有效性和严格的性能要求。
因此, 与传统的网络安全问题相比, 网格环境下的安全问题更加复杂, 所涉及的范围更广, 它对安全技术的要求也更高。
二、网格计算安全机制的要求
网格计算由属于多个不同组织的资源组成, 这些资源可以支持不同的认证和授权机制, 可以有不同的访问控制策略, 网格计算系统中的用户数量、资源数量和进程数量都非常庞大, 而且用户、资源和进程动态可变, 这就决定了网格计算系统中的计算是一个复杂的、动态的过程。正是由于网格计算的特殊性, 在设计网格计算的安全机制时, 要特别考虑网格计算的实体的动态特性, 并要保证网格计算中的不同实体之间的相互鉴别, 以及各个实体之间通信的保密性、完整性和不可否认性。
网格计算的安全机制需要做到以下几点:
(一) 用户单一登录:
用户只需要登录一次即可使用网格计算系统的资源, 使用属于多个组织的多个资源时不需要进行多次登录。
(二) 对证书进行保护:
证书是用来证明实体身份的信息或文件, 对证书进行安全保护, 防止对证书的窃取、伪造或破坏。
(三) 与本地的安全方案协同工作:
对资源的具体访问由本地的安全策略换定, 安全机制需要和本地的安全方案协同工作。
(四) 统一的证书和认证机制:
使用统一的证书格式和统一的认证机制, 简化跨多个管理域的实体之间的认证。
(五) 授权委托和授权转移:
允许将一个实体的授权委托给其它的实体, 或将一个实体的授权转移给其它的实体。
(六) 提供安全可靠的组通信:
一个计算过程由大量进程组成, 这些进程形成一个动态的组, 组成这个组的进程之间需要交换大量信息。
三、典型网格安全实现-GSI (Grid Secu-rity Infrastructure)
目前的Globus可以认为是网格技术的典型代表和事实上的规范。Globus中的GSI是一个解决网格计算系统的安全问题的一个集成方案, 是Globus的安全基础构件工具包, 是网格安全体系结构的一个实现。它结合目前成熟的分布式安全技术, 并对这些技术进行一定的扩展, 以适合网格计算的特点。
GSI的特点在于保证网格计算系统的安全性的同时, 尽量方便用户和各种服务的交互, 而且GSI充分利用现有的网络安全技术, 并对某些部分进行扩充 (如增加双向认证、支持对SSH (Secure Shell) 和FTP的扩充等) , 使得在网格计算下GSI具有一个一致的安全性界面, 极大地方便了网格应用的开发和使用。
GSI安全策略实现主要包含三部分内容:通用安全服务编程接口GSS-API (Generic Security Service API) 、安全认证管理和用户代理的实现。GSI着重解决认证问题。为了支持用户认证, Globus的安全认证管理实现手段主要包括建立Globus安全认证中心、用TIS MOSS软件生成使用证书、绑定本地名字和证书上的名字、撤回证书、从本地节点消除用户等。
GSI中的主要安全技术手段包括:认证证书、双向认证、保密通信、安全私钥、授权委托和用户单一登录。GSI认证证书采用了X.509的证书格式, 可被其它基于公钥的软件共享;GSI采用SSL作为它的双向认证协议, 实体之间通过认证证书证明彼此的身份;GSI采用公钥技术与对称加密技术结合的加密方式, 在保证通信安全性的同时尽量减少加解密的开销;GSI将用户的私钥以文件的形式加密存储在用户计算机上, 以此来保护用户的认证证书、GSI对标准的SSL协议进行了扩展, 使得GSI具有授权委托能力, 减少用户必须输入口令来得到私钥的次数;GSI使用用户代理解决用户单一登录问题。
但是GSI也存在以下这些不足:
(一) GSI的实体之间的认证频繁且复杂, 这使得GSI的执行开销很大。
用户使用网格资源计算一个用户作业, 与这个用户作业有关的用户、资源、进程等实体之间需要进行多次认证。作业的规模越大, 需要的资源就越多, 认证的次数可能就越多。
(二) GSI的扩展性不是很好, 不能适应一个规模不断增大的环境。GSI对于小规模的网格计算系统能够较好的适应, 对于大规模的网格计算系统不能够很好的适应。
(三) GSI对环境的适应性表现的不是很好, 尤其对系统改变较频繁的环境。
虽然GSI有很多不足之处, 但是GSI提出的思想和解决问题的方法, 对我们进行网格安全研究具有很好的参考价值。
四、总结
网格计算是一个具有广阔前景的全新的研究领域, 在这个领域内目前还存在许许多多的课题需要研究。本文主要探讨了网格环境下的安全问题并介绍了相应的解决方案。由于网格计算环境的复杂性, 与传统网络安全相比, 网格安全牵涉的范围更广, 其解决方案也更加复杂。因此还有许多问题有待于进一步研究和深化。
参考文献
[1]《网格世界》张怡, 胡建平2000年12月4日《计算机世界》;
[2]《国家高性能计算环境的设计与实现》李伟, 徐志伟, http://www.grid.org.cn/-liwei/dincg00.pdf;
[3]《织女星网格的体系结构研究》徐志伟, 李伟2002年《计算机研究与发展》;
[4]《网格的称谓》徐志伟2001年11月6日《计算机世界》;
[5]IBM homepage http://www.ibm.com;
[6]HP homepage http://www.hp.com;
[7]Sun homepage http://wwwsun.corn;
[8]I.Foster, C.Kesselman, S.Tuecke, The Anatomy of the Grid;
无线网格的安全性研究 篇10
当今时代,WMN由于它的低成本而替代了大部分的通讯。WMN也成为一项超出3G高速行动电话网络的构建无线网络重要技术。针对无线网格网的研究存在于无线个域网(IEEE 802.15.5)、无线局域网(IEEE 802.11s)、无线城域网(IEEE 802.16)和无线广域网(IEEE 802.10)中。
WMN不需要有线基础设施长途通讯,从而具有了低成本、灵活的部署和维护的优势。然而,WMN与传统的无线网络相同,安全性不强。因为数据是在空中以电波形式传输,没有物理边界,攻击者可以在相对便宜的设备的帮助下轻易的对其进行窃听和拦截。而且,无线的通道也可能被噪音和冲突影响了通讯的质量。WMN采用的是多跳(multi-hops)的通信方式,这尤其容易遭受冲突问题:在相同路径和附近的路径上的毗连的单跳会与彼此相冲突。因此,安全是WMN关注的主要问题。
2 WMN的安全机制
在对比了针对传统的有线网络和无线网络的攻击,我们注意到由于WMN这种特殊的网络体系结构,许多成功应用到传统的无线网络和有线网络的安全机制不能满足WMN环境中的安全需求。无线网格网需要修改或者设计适合它自己的安全机制去反攻和保护自己的服务。
2.1 WMN安全机制的要求
WMN安全机制的基本特征是必须成功的预防,检测和反击这些攻击,这是区分WMN安全机制与现有的有线网络和无线网络安全机制的特征。
1)WMN是数据传输依赖于中介节点的多跳网络。考虑到沿着路由选择通道可能会有恶意的节点,WMN需要保护数据机密性和端到端服务完整性的安全机制。然而当前应用于有线网络和传统的无线网络的安全服务通常只是提供保证每对链接基础的安全。
2)内节点的自私和恶意行为是WMN安全问题的关键,根据当前的认证机制,对这种安全问题难以提供足够防护。研究人员需要提出信任有效机制,以实施无线网格网的职能,即提供检测和判断已通过认证程序和加入无线网格网的一个合法节点是否有自私和恶意行为的服务。
3)分布式体系结构和动态改变的拓扑结构促使WMN具有自我组织和自我修复性能,所有在WMN实施的安全机制必须接受这些特征,这意味着传统的入侵检测系统,验证机制和权威机构需要重新设计以便在分布式的计算机系统中实施。
2.2 WMN中的安全机制
ITU-T X.800标准——OSI安全体系结构——规定了网络服务的安全服务需求。安全服务被分为五部分:认证机制,访问控制,机密性,完整性和不可否认性。从这分类上我们注意到,访问控制,数据机密性,数据完整性和不可否认性提供预防措施来预防闯入网络的攻击者和在网络上发起的攻击。一种安全机制提供至少一个分类服务,但是没有任何机制可以确保完整的保护网络免受攻击,因此我们需要其它的机制来鉴定非法活动,这可能是袭击的后果或可能会导致攻击。早期发现和及时响应可以限制网络上的攻击效果,这些检测和反应机制,目的是确保网络服务的职责和有效性。
下面列出一些保护WMN的重要安全机制。它们中的一些能成功的在有线网络或传统无线网络中实施,但需要修改才能适用WMN的特点。另外一些是针对多跳无线网络的特殊机制。
1)入侵检测和预防:入侵检测和预防是成熟的安全机制,它在有线网络中广泛实施。它能通过监测和分析过去和当前的网络行为来预见入侵和攻击,由于它具有开放性和分散性的特征,这导致它在WMN中要比在有线网络中容易被入侵。
2)鲁棒路由协议:作为一个多跳网络,WMN必须考虑路由功能的安全性,恶意的节点可能攻击路由协议,冒充其他节点和注入伪造的路由信息。需要进行研究出一个有效的路由协议来抵御这些可能的袭击。
3)认证机制:在某种意义上,认证机制是WMN中最重要的安全机制。大多数安全问题可以归结为自私和恶意网格节点,认证机制能有效的这个问题。但是如果没有中央基础设施,认证解决方案很难得到执行,WMN需要分布式的认证机制。
4)密钥管理:密钥管理是安全服务的核心之一,许多安全机制是建立在这个基础之上的。面对WMN认证机制这个同样的难题,WMN需要构建以没有基础设施的分布式网格拓朴结构为基础的整体密钥管理。
3 WMN中入侵检测面临的挑战
在有线网络中已经提出了许多入侵检测方案,然而,因为它们的体系结构不同,想把这些入侵检测方案移植到WMN是不容易的。其中主要的差异是无线媒介,分布式体系结构和动态拓扑结构[1]。
3.1 动态拓扑结构
入侵检测系统使用的是遍布整个网络的分布式算法,必须考虑到一个事实就是一个节点仅是网络运输的一个部分,而且,因为WMN是动态的,网格结点可以移动,这里会有一些节点可能会被被盗用,特别是在不安全的物理环境中。假如系统使用节点间的合作算法,那么它必须确保是一个可以信任的节点。
3.2 无线媒介
在WMN中,无线媒介引发了入侵检测的临界部署问题。在无线网络中,所有的传输必须通过转换器,因此,入侵检测系统将这一理论运用到那些设备并且可以很容易采集审计数据。然而,对于WMN来说,很难清晰的发现边界和网关去部署传感器,特别是当前无线网格设备不支持SPAN端口镜像所有继电器包。这意味着在网格路由器上部署这些传统的入侵检测系统传感器是不可能。
此外,在无线媒介中通过监控流量控制胡乱窃取是不理想的。WMN中的节点无线射程范围相对较短的((仅仅足够到达下节点),因此传感器可以看到的只有数量有限的流量。为了对网络流量有个全面的观察,在整个网络需要部署多个传感器。
3.3 分布式体系结构
这个问题是上述两个挑战的伸。当前成熟的无线网络的入侵检测系统采用一种特殊的体系结构叫做分布式部署和中央分析和管理。这种入侵检测系统体系结构在关键节点(例如网关,重要服务器和路由器)上部署传感器。这些传感器负责捕获网络数据包或主机日志,然后做简单的协议分析,然后所有的传感器报告分析结果给中心去做相关分析以便这些分析结果更加准确。但是在WMN,明确定位网络界限,通信链路和关键网格节点是很难的,因此这种特殊的体系结构不能在WMN中容易实现,而且考虑到检测合法节点的自私恶意行为的重要性,在WMN中入侵检测系统的分布式体系结构是必需的,所以检测和分析单位是分布式的贯穿整个无线网络。每个入侵检测单位基于收集了来自本身和邻近信息来做独立的分析,因为缺乏整体信息,发现更多的复杂的入侵行为是很困难的。
4 WMN安全机制的相关研究
在本节中,我们简略的说明了一些相关工作。他们中的大多数来源于相关的移动自组网(Mobile Ad-hoc NETworks,MANET)的研究,几乎所有的MANET中的入侵检测系统和WMN中的是相关的[2]。
4.1 观察者(Watching for Anomalies in Transit Conservation;a Heuristic for Ensuring Router Security,WATCHERS)
WATCHERS是一个早期提出的针对Internet的入侵方案,由于是建立在网格体系结构上,在某种意义上,WATCHERS中的大多数观点适用于无线网格网。
WATCHERS是一种全新的分布式入侵检测方案,在所有的路由器上运行,同时还相互独立,每个路由器检查进入的数据包来检测所有的路由选择异常现象,并且每个路由器跟踪经过相邻路由器数据的数量,目标是在一个分布式通道上检测行为不当的路由器。假定一个链路状态路由选议,这个假设是必要的,这样每个路由器就能知道其他路由器和整体网络拓扑结构。基于它们邻近的路由表来自于链路状态路由协议,每个路由器统计所有被邻近路由器误转的数据包,每个路由器同样也知道接收到的数据的确切数目并且在所有接口上传输。路由器定期通过洪泛式协议分享他们的各自的数据,然后开始诊断阶段。洪泛算法对克服一些通过阻塞包去干涉信息共享的恶意节点是必要的。在诊断阶段,假如一些路由器有以下情况:1)误传了太多的数据包;2)在WATCH-ERS方案中没有正确的参与;3)广播与邻近路由器的统计差异;4)似乎掉落的数据包超出了给定阈值。就要收集所有路由器信息比较来做决定。如果一台路由器被发现出现这些做错误,这被视为是一种坏路由器,对所有的路由器都有响应被视为行为不当,好的路由器上的路由表便更改为避免转发通过这些行为不当的路由器的数据包。
适当的阈值的选择是困难的。假如阈值太高了,行为不当的路由器可能无法被发现。另一方面,如果阈值太低了,误报警率可能就会变大。WATCHERS体质包含以下花费,每个路由器必须花费内存保持计数和每格邻近路由器的路由表。另外,在每个诊断阶段之前所有的路由器都使用洪泛式协议来分享信息。而且,这个方案需要在以下的条件下工作:1)每一个好的或坏的路由器必须直接连接到至少一个好的路由器;2)每个好的路由器相互之间必须能通过好的路由器路径来发送数据包;3)大多数的路由器必须是好的。
4.2 分布式协作入侵检测
Zhang和Lee提出并在NS2上实现了一种分布式协作入侵检测体系模型,这种方案是针对ad-hoc网络提出的。最基本的理念是分布式监控和节点之间的合作。每个节点独立的观察其邻近节点(在它的无线射程内)寻找入侵的迹象。每个节点运行一个入侵检测系统代理来跟踪节点内部活动。这个代理采用异常检测,因为如果使用特征检测的方法,这个特征必须不断更新,这在无线网格网中是个很困难的过程。
在这个方案中的另一个理念是节点之间的合作以覆盖更广阔的地区。如果一个节点有明显的异常证据,它可以提高自身警报。可是,如果一个节点有不充分的或者不确定的异常证据,它就需要全面的调查,也就是有需求的节点与它的邻近节点分享有可疑的入侵数据。邻近的节点共享相关数据,并且参与节点遵守一个共识算法,以确定是否要提高警报。应对发出的警报可能要重新计算路由表来避免缺乏体抗力的节点,或者节点间的通信链路被迫重新初始化(相互之间重新验证),如果一个攻击入侵并占领了一个节点和认证证书,那么后者就无效了。
4.3 看门狗(Watcherdog)和选路人(Pathrater)
美国斯坦福大学的Martiet al.提出了一个方案,这个方案依赖于两个模块:Watcherdog和Pathrater。假定一个动源路由选择(Dynamic source routing,DSR),在DSR协议中,在源节点上定义路由数据,这个数据以消息的形式传送到中间节点直至到达预期目的地,因此在路径中的每一个节点必须识别下一站节点。Watcherdog模块通过在混合模式中操控它的无线信号监控邻近节点的行为来验证数据包的转发。当数据包没有被转发,Watcherdog就在邻近节点的故障计数器上增加一次,如果这个计数器超过了阈值,Watcherdog就指控不正当行为。
Pathrater技术是通过遵守网络中每个节点的评定等级为每条通道计算路径度量,路径度量能通过将节点等级与从以前的经验中获取的连接可靠性结合起来被计算出来的。在计算所有通道的路径度量之后,Pathrater会选择度量值最高的路径。
4.4 基于入侵抵抗技术的ad hoc路由选择算法(Techniques for Intrusion Resistant Ad hoc Routing Algorithms,TLARA)
TLARA是能在ad hoc路由协议中实现的设计技术,它能缓解恶意节点和在服务的拒绝下允许网络接受的操作攻击对网络的影响。TLARA规定的设计原则是能够更容易的被按需路由协议合并,就像DSR和AODV,在这里列举几个:基于流动路线访问权限控制(flow-based route access control,FRAC),多路路由,源始发的流动路由,流动监控,快速认证,序列号的使用和基于推荐的资源分配。
他最基本的理念是源节点定期的向目的节点发送特殊的“流动状态”信息。流动状态信息包含有先前的流动状态信息中从源节点向目的节点发送的数据包数量的信息。防止干扰流动状态信息,每个信息是按顺序编号的(检测损失)和数字签名加密的(认证),当收到一个流动状态消息,目的节点就会比较从最后接收的流动状态消息中数据包的确切数量。当出现以下情况,一个路径故障就会被通知源节点:1)一个流动状态信息已丢失或不按指定的时间间隔收到;2)收到的数据包的实际数量少于源节点显示的数据的阈值部分;3)收到的数据包的实际数量多于源节点显示的数据包数量。
入侵检测方案有两个明显的弊端,第一,因为特定的节点可能缺乏抵抗力,路径故障就不能被识别。第二,流动状态信息引发额外运输成本,他与网络中源节点和目的节点的数量成正比的。
5 结论
虽然这些入侵检测方案在细节上有很多的不同,它们都为每个节点选择了完全分配入侵检测功能体系结构,由于WMN的分散性质,这种选择是必须的。而且它们中的大部分采用异常方法和多个节点之间的合作机制来形成对一个可疑节点的交叉判断。这是当前相关研究主要趋势。
同时,还有很多需要进一步的研究问题。有效的入侵检测的主要评估标准是低的误报和错误否定。迄今为止,一些方案提供的“证据”不足以令人信服。检测精度依然是MWN研究的主要问题。此外,由于缺乏无线事件的经验,如何评估研究的进展或成功是未知的。在目前情况下,攻击主要是理论上的推测。在部署更广阔的领域里之前突破性的进展是不可预期的。
摘要:无线网络(WMN)已成为一个有效的为大面积提供的的可供选择的通讯方式。WMN是一个由节点沟通,透过无线媒体传播的分布式架构。在WMN中,安全是一个非常重要的问题。该文的研究是为了更好的了解WMN安全。它将首先讨论和总结WMN的安全威胁和薄弱点。然后调查了WMN中的各种安全的协议和机制。最后做了总结。
关键词:无线网格,安全机制
参考文献
[1]Sanchez M,Manzoni P.Anejos:a java based simulator for ad-hoc networks[J].2001(5)doi:10.1016/S0167-739X(00)00040-6.
[2]Chen X Z,Thaeler A,Xue.G L.TPS:a time-based positioning scheme for outdoor wireless sensor networks,2004.
相关文章:
安全技术01-07
唐诗中的爱国主义精神01-07
新时代的爱国主义精神01-07
生产安全技术01-07
计算机安全保密技术01-07
史记将相和读后感500字01-07
信号安全技术01-07
癌抗原12501-07
癌胚抗原的基本知识01-07
胶体金抗原检测01-07
