计算机通信-8.考试复习与控制学院

NETWORK liuqixu@ucas.ac.计算机与控制学院课程成大作期期末考试考试安开课课程名称：计算机通考试方式：课堂考试日期：考试时间：13:30-考试地点：怀柔园区教1-考试题序题数分值/总—82二三四55五2课程目本课程为专业及相关学科的学科基础课全面地掌握计算机通信的基础概念及原理熟知计算机通信网络中的安全问题及解决方案跟进国内外学术界及工业界进展课程大第三

绪技移动智能终端无线安全工计算机通信体计算机通信体鉴别鉴别性性审计安全服安全服充全 物理环 系统平通信平网络平应用系系统构成单

物理安课程大第三

绪技移动智能终端无线安全工学的发展阶目属Communication性1980-90年代Information

19901990信息保障Information现代非对称对称算法的不对称体制的优点是计算速度快，有较强的强度。但是它有1）密钥管理量的个用户:n10,9。时，C(50,2)1,47,00对称密钥加密中的密

当通信的某一方有n个信关系,那么“n” 现代非对称对称算法的不3）数字签名的问题：传统加密算法无法实现抗抵现代非对称公钥体制1976年，StandfordUni.Diffie博士和其导师man在Trans.onIT上划时代的文献W.DiffieandM.E.man,NewDirectrionsinCryptography,IEEETransactiononInformationTheory,V.IT-22.No.6,Nov1976,PP.644-654这一体制的出现为解决计算机信息网中的安全提供了新的和技术基础，被公认为现代公钥学诞生的标志现代非对称公钥学与其他学完全不同公钥学的提出是为了解决两个问题DPlain Cipher CipherD

PlainEE

Secret公钥体制的主要加密和能力分多个用户加密的消息只能由一个用户解读，（实现通信只能由一个用户加密消息而使多个用户可以解读（系统中对消息进行数字签字）无需事先分配密密钥持有量大大算加数字签密钥交 否否是是是是现代非对称学——发RSA是目前最有的公钥加密算法RSA算法基于一个十因式分解却极其RSA体制的建产生密钥1、选择两个大素数p,q,pq（，选择2、计算n=pq，(n)=(p-1)(q- （公开，计算出4、计算de-1mod （，计算出公钥KU={en},私钥KR={d使加密CMemod:M=CdmodRSA的实选p7，q17

1、选择两个大素数p,q, ，选择2、计算n=pq，(n)=(p-1)(q-1)（公开，计算出3、选择整数e，使 (e,(n))=1（公开，选择4、计算de-1mod ，计算出n=pq=119，(n)=(p-1)(q-1)=6×16=取e5，它小于96，并且与96互为素则d= (∵5×77=385=4×96＋1≡1mod96公钥KU={en},私钥KR={d公钥KU={en},私钥KR={d加密M则CMemodn195mod11966mod加密CMe加密CMemod:M=CdmodM=Cdmodn=6677mod119=19mod 课程大第三

绪技移动智能终端无线安全工物理层网络层传输层应用层物理层网络层传输层应用层 VirtualPrivateNetwork 虚拟网络（简称)指的是在公用网络上建立网络的技术特⑴安全保 ⑵服务质量保⑶可⑷可管理隧道协PPTP（点到点隧道协议）是一种用于让用户拨号连接到本地，通过因特网安全公司资源新型技术。（点到点协议）帧封装成的互联网上进行传输。T使用TC（传输控制协）连接的创，，与终止隧道，并使用通用路由封装）将封装后的帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，它由思科公司所推出的一种IPSec协议：是一个标准的第三层安全协议，它是在隧道外面再，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所IP级的通信进行加网络协议安全为什么需要在IPIP•在IPIPSEC的主要期望安全的用户能够使用基于学的安全机应能同时适用与IPv4和算法AH(认证ESP(仅加密ESP(控连接完数据源重放报性有限信息流IPSEC的两种传输模式TransportAH和ESP保护的是传输头；AH和ESP会从传输层到网络的数据包，根据具体的配置提供主要用于主机－主机的应用隧道模式Tunnel用于数据包的最终目的地不是安全终点的情主要用于网关－网关的应用传输模式的隧道模式的传输模式的隧道模式的课程大第三

绪技移动智能终端无线安全工一章一WEB安全与根Web安全根源——Web安全随W社网、等系新的联产的WW起的烈。接踵而就W全，用统漏洞W服务程入等W服务控制权限则改页则窃重严的则是网中入，使得者到。WEB安全与根WebServicesWebServicesApplicationApplication

ApplicationCodeNetworkAppServerWebServerHardenedNetworkWEB安全与根 VS.操作系内容RootWEB安全与根2013OWASPTOPOWASPTOP10-A1注A2失效的认证和会话管A3跨站A4不安全的直接对象A5安全配置错A6敏感信息A7功能级控制缺A8跨站请求A9使用含有已知的组A10未验证的重定向和跨基本XSS哪里可以BypassXSS案例XSS能做防御跨站请相关课程大第三

绪技移动智能终端无线安全工？移？移动智能终端有哪些安Windows智能穿戴（眼镜、手表、手环、鞋、衣服智能家居和电机顶盒和智能电智能导航与定位设游戏机器ANDROID系统安全安全的Linux内核机制为基针对所有应用的强制性沙盒机安全的进程间通信机系统应用层的签名机系统应用层的权限机传统LINUX内核安全多用户模针对用户的权限进程IPC扩展安全多应用模不同应用分配不同的不同应用运行不同的进系统应用的沙盒Dalvik虚拟机为每个应用提供一个虚拟机实例运行一个进程，并且为沙盒机制提高系统的鲁棒性。当单个应用运行出现问题时，可以消除虚拟机实例来保障整个系统的安全系统应用层签名签名所有Android应用都要被打包成.apk文件，这个文件在发布时都必被签名签名机制用来标识应用的作者和在应用间建立信任关数字由开发者来进行控制和使用，用来进行应用包的自我认证签以判别应用的开发者，建立应用间的依权限权限为了向用户通知应用使用各项关键功能的情况，Android设计实现权限机制权每 权通过标识保，通过标识保

ProtectionLevel

dangerous，signature，signatureor 权限normal权限只要申请了就可以使用dangerous权限在安装时需要用户确认才可以signature和signatureorsystem权限需要权限级权限表示权限是高风险的，系统将可输入相关信息，才会授予此序或android包类内核层安全自主控制，DiscretionaryAccess对某个客体具有所（或控制权）的主体能够将对该客体的一种权或多种权自主授其他主体，并可在随后的任何时刻将这些权限回收；强制控制，MandatoryAccessControl,由系统对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么类型的，即使是创建者用户，在创建一个对象后，也可能无权该对象通过用MC替换DC可以有效地减弱内层出现产生安全.课程大第三第七

绪技移动智能终端无线安全工无线局域网无无线局域网是指在一个局部区域内计算机通过无线链路进按按照拓扑结构可带的无线网络（基础结构无线网络AdHoc网络（自组织网络带的无线网

AdHoc：接入点802.11g：无线通信协 比在TKIP中，IV大小增加一倍，已达48CRC校验方式由Michael算法取代，计算粒度达到642入PSK模式下主密钥由手工输入和组使用AES算法－－－完全脱离RC4算息无线网络：无线网络：无线网络：无线网络：AP通常是的第一步，这之后通常可进行如下中间人，获取用户上网信息和数据，盗取登录和隐信，是有线网络的延伸，通过截取DNS请求使用户虚假无线通过AP能够将完全接入用户的网络通信，辅助以其他段甚至可以监视SSL数据内PPMC地址以及，诱使用户通过P网络接入。进而直接获用户的信数据，修改，。下面是一次基于的L，在的基础上利用工具篡改普通用户g的口令。在linux通过AP实现用户请求数据的，无线网卡wlan0，有线网卡为eth0，其中eth0连接Internet修改/etc/dhcp3/dhcpd.confddns-update-stylead-hoc;default-lease-timemax-lease-time7200;subnet10.0.0.0netmask255.255.255.0optionsubnet-maskoptionbroadcast-addressoptionrouters10.0.0.254; 8.8.8.8;range10.0.0.110.0.0.140;airbase-neFreeWific11vwlan0#使用Aircrack工具集创ifconfigat0up#开启ifconfigat010.0.0.254netmask#at0网络通信都会转到iptables-PFORWARDACCEPT#iptables-tnat-APOSTROUTING-oeth0-j#at0数据转发到echo>ln-s/var/run/dhcp3-server/dhcpd.pid务APAP时可以选择接受任意名称的请求，允许任何加密方式，构造一个AP热点蜜罐这样只要有无线终端进入网络，无线终端就会尝试自动接入已经保存的热点，这样的AP很容易知道目标用户曾经登陆过的热点和热点的WifiPineapple就是这个想法下诞生的一个 产WIFI设计设计思想就是应答任的请通过，等管理方式能够设定工作模式，支有线线的 ，用作线网，热点或独立使用可扩展功能模块，如加入 ，网页内JS键盘记录器篡改通信无线网络的开放性使得篡改通信数据并不要借RP。对于网，篡改数据用的是协议本身整性校不Itn现变得加隐。w可以实现这能。比如目标网络为为加，为1:3:5790在airpwn的 下增加一个配置文件inject，内容matchresponse其中inject.html是我们自己构造的网页放在 airpwn-cconf/inject-iwlan0-drtl8180-F-k#网卡的驱动需要自行制篡改通信移动通信体系结课程大第三

绪技移动智能终端无线安全工手工测试（Manual静态分析 动态分析 模糊测试挖掘：手工测利用标准的客户端或者其他副本来目标服