信息技术安全导论课件

网络安全绪论

计算机与网络技术的发展历程用户规模主要应用成熟期大型机小科学计算1960年代10年小型机/WAN1970年代小7年部门内部PC/LAN1980年代中5年企业之间Client/Server1990年代大4年商家之间IntranetInternet2000年代商家与消费者之间服务为本

全球无所不在3年ExtranetInternetInternet用户数百万Internet商业应用快速增长亿美元网络安全问题日益突出混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量典型应用环境的完全威胁与安全需求应用环境安全威胁安全需求所有网络假冒攻击阻止外部入侵银行完整性破坏假冒攻击，服务否认窃听攻击避免欺诈或交易的意外修改识别零售的交易顾客保护个人识别号确保顾客秘密电子交易假冒攻击，完整性破坏窃听攻击服务否认确保交易的起源和完整性保护共同秘密为交易提供合法的电子签名政府假冒攻击，侵权攻击，窃听，完整性破坏服务否认避免敏感信息未授权泄漏或修改政府文件提供电子签名公共电信载体假冒攻击，授权侵犯拒绝服务窃听攻击对授权的个人限制访问管理功能避免服务中断保护用户秘密互联/专用网络窃听攻击假冒攻击，完整性破坏保护团体/个人的秘密确保消息的真实性常见的安全威胁网络內部、外部洩密拒绝服务攻击特洛伊木马黑客攻击病毒，蠕虫系统漏洞潜信道安全策略安全策略是针对网络和信息系统的安全需要，所做出允许什么、禁止什么的规定，通常可以使用数学方式来表达策略，将其表示为允许（安全）或不允许（不安全）的状态列表。安全策略分类物理安全策略访问控制策略信息加密策略安全管理策略访问控制技术包括入网访问控制、网络权限控制、目录级安全控制和属性安全控制等多种手段。访问控制技术防火墙技术网络入侵检测技术漏洞扫描技术安全审计技术现代密码技术安全协议公钥基础设施（PKI）其他安全技术，如容灾、备份国际标准组织国际标准化组织（ISO——InternationalOrganizationStandardization）国际电报和电话咨询委员会(CCITT)国际信息处理联合会第十一技术委员会（IFIPTC11）电气与电子工程师学会（IEEE）Internet体系结构委员会（IAB）美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST)美国国家标准协会(ANSI)美国国防部(DoD)及国家计算机安全中心(NCSC)国际可信任计算机评估标准20世纪70年代，美国国防部制定“可信计算机系统安全评价准则”（TCSEC)，为安全信息系统体系结构最早准则（只考虑保密性）；20世纪90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技术安全评价准则”（ITSEC)，但未给出综合解决以上问题的理论模型和方案；近年，六国（美、加、英、法、德、荷）共同提出“信息技术安全评价通用准则”（CCforITSEC)。TCSEC安全级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取控制，高抗渗透能力AA验证设计形式化的最高级描述和验证我国可信任计算机评估标准第一级用户自主保护级：使用户具备自主安全保护的能力，保护用户信息免受非法的读写破坏；第二级系统审计保护级：除前一个级别的安全功能外，要求创建维护访问的审计跟踪记录，使所有用户对自己的行为合法性负责；第三级安全标记保护级：除前一个级别的安全功能外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象强制保护；第四级结构化保护级：除前一个级别的安全功能外，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力；第五级访问验证保护级：特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动；OSI模型定义的安全服务我国网络安全研究现状我国信息化建设基础设备依靠国外引进，信息安全防护能力只是处于相对安全阶段，无法做到自主性安全防护和有效监控（核心芯片、系统内核程序源码、大型应用系统）；信息安全学科的基础性研究工作——信息安全评估方法学的研究尚处于跟踪学习研究阶段；国内开发研制的一些防火墙、安全路由器、安全网关、“黑客”入侵检测、系统弱点扫描软件等在完善性、规范性、实用性方面还存许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差距；我国网络安全研究现状制定了国家、行业信息安全管理的政策、法律、法规；按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构—中国国家信息安全测评认证中心和行业中心；建立了支撑网络信息安全研究的国家重点实验室和部门实验室，各种学术会议相继召开，已出版许多专著、论文，在有关高等院校已建立了向关系所、开设了相关课程，并开始培养自己的硕士、博士研究生；附、常见的网络安全协议PKCS(Public-keyCryptographyStandards) 由美国RSA数据安全公司RSA实验室在apple，Microsoft，DEC，Lotus，Sun，和MIT等机构非正式的咨询合作下开发的有关公开密钥密码的标准。SSL(SecureSocketLayerHandshakeProtocol) SSL协议是Netscape公司开发的用于WWW上的会话层安全协议，它保护传递于用户浏览器和Web服务器之间的敏感数据，通过超文本传输协议(HTTP)或安全的超文本协议(S-HTTP)把密码应用于超文本环境中，从而提供多种安全服务。附、常见的网络安全协议S-HTTP(SecureHypertextTransferProtocol) S-HTTP是EnterpriseIntegrationTechnologies最初开发,进一步开发于Terisa系统的安全协议。它基于WWW，提供保密、鉴别或认证、完整性和不可否认等服务，保证在Web上交换的媒体文本的安全。PTC(PrivateCommunicationTechnologyProtocol)

PTC是Microsoft和Visa开发的在Internet上保密通信的协议，与SSL类似。其不同点是在客户和服务器之间包含了几个短的报文数据，鉴别和加密使用不同的密钥，并且提供了某种防火墙的功能。附、常见的网络安全协议S／WAN(SecureWideAreaNetwork) S/WAN设计基于IP层的安全协议，可以在IP层提供加密，保证防火墙和TCP／IP产品的互操作，以便构作虚拟专网(VPN)。

SET(secureElectronicTransaction) SET是Visa，MasterCard合作开发的用于开放网络进行电子支付的安全协议，用于保护商店和银行之间的支付信息。S／MIME(Secure／MultipurposeInternetMailExtension) S/MIME是用于多目的的电子邮件安全的报文安全协议，和报文安全协议(MSP)、邮件隐私增强协议(PEM)、MIME对象安全服务协议(MOSS)及PGP协议的目的一样都是针对增强Internet电子邮件的安全性。附、常用的安全工具防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus附、相关安全站点绿盟科技绿色兵团网络安全评估中心安全焦点网络安全响应中心国外：

分组密码技术

密码学的历史密码学从形成到发展经历了5个重要阶段手工阶段机械阶段电气阶段计算机阶段网络化阶段。保密系统模型

熵的概念

联合熵

条件熵

理论保密性

“一次一密”的密码系统就是这样的无条件安全的密码系统。

实际保密性

一个密码系统是计算上安全的是指，利用最好的算法（已知或者是未知的）来破解这个密码系统需要的计算量是O(N)的，N是一个很大的数。的计算量超过了攻击者所能控制的所有计算资源在合理的时间内能够完成的计算量。所以计算上安全也称为实际的保密性。

什么是分组密码分组加密的评价标准评价分组加密算法及其工作模式的一般标准是：

预估的安全水平（如破译需要的密文数量等）

密钥的有效位长

分组大小

加密映射的复杂性

数据的扩张（DataExpansion）

错误的扩散（Diffusion）/传播（Propagation）分组加密的一般结构Feistel网络结构SP网络结构DES概述分组加密算法：明文和密文为64位分组长度；对称算法：加密和解密除密钥编排不同外，使用同一算法；密钥长度：56位，但每个第8位为奇偶校验位，可忽略；密钥可为任意的56位数，但存在弱密钥，容易避开；采用混乱和扩散的组合，每个组合先替代后置换，共16轮；只使用了标准的算术和逻辑运算，易于实现；DES加密算法描述DES加密算法的一般描述初始置换IP和初始逆置换IP—1DES的一轮叠代Li-1（32比特）Ri-1（32比特）Li（32比特）48比特寄存器选择扩展运算E48比特寄存器子密钥Ki（48比特）32比特寄存器选择压缩运算S置换运算PRi（32比特）Li=Ri-1Li=Ri-1;Ri=Li-1

F(Ri-1,Ki)扩展置换Ｅ-盒－32位扩展到48位扩展压缩替代S-盒－48位压缩到32位压缩替代S-盒S-盒1S-盒4S-盒3S-盒2S-盒5S-盒6S-盒7S-盒8S-盒的构造S-盒的构造要求S-盒是许多密码算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度；提供了密码算法所必须的混乱作用；如何全面准确地度量S-盒的密码强度和设计有效的S-盒是分组密码设计和分析中的难题；非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门；S-盒的构造准则S盒的每一行应该包括所有16种比特组合；没有一个S盒是它输入变量的线性函数；改变S盒的一个输入位至少要引起两位的输出改变；S盒的两个输入刚好在两个中间比特不同，则输出必须至少两个比特不同；S盒的两个输入在前两位不同，最后两位相同，两个输出必须不同；P-盒的构造准则每个S盒输出的四个比特被分布开，一边其中的两个影响下次循环的中间比特，另外两个影响两端比特；每个S盒输出的四个比特影响下个循环6个不同的S盒；P置换的目的是增强算法的扩散特性，提供雪崩效应（明文或密钥的一个比特的变动都引起密文许多比特的变化）DES中的子密钥的生成DES的强度分析循环次数：循环次数越多，密码分析难度越大，循环次数的选择准则是密码分析工作量大于简单的穷举式密钥搜索工作量；函数F：依赖于S盒的使用，非线性程度越大，密码分析难度越大，还应具有良好雪崩性质；密钥调度算法：选择子密钥时要使得推测各个子密钥和由此推出主密钥的难度尽可能大；IDEA(InternationalDataEncryptionAlgorithm)瑞士联邦理工学院XuejiaLai和JamesMassey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位，它的设计目标： （1）密码强度：扰乱通过三种操作实现（逐位异或，整数模相加或乘积）； （2）使用方便性：设计考虑到硬件和软件的实现；IDEA是一种相对较新的算法，虽有坚实理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-TechAG拥有，PGP中已实现了IDEA；IDEA框图IDEA轮函数AESAES是DES的替代品，希望能有20-30年的使用寿命。在评选过程中，最后的5个候选算法：Mars,RC6,Rijndael,Serpent,和Twofish。2000年10月，Rijndael算法被选中；Rijndael算法的原型是Square算法，其设计策略是宽轨迹策略(WideTrailStrategy)，以针对差分分析和线性分析；Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的，为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14；2001年11月，美国NIST发布标准FIPSPUB197；AES框图对分组密码的攻击穷举分析差分分析线性分析分组密码的工作模式电子密码本ECB(ElectronicCodebookMode)

明文每次处理64bit，每个明文分组用同一密钥加密；密码分组链接CBC(CipherBlockChaining)

输入是当前明文和前边明文的异或，每个分组使用相同密码；密码反馈CFB(CipherFeedbackMode)

分组密码流密码；输出反馈OFB(OutputFeedbackMode)

分组密码流密码；电子密码本ECBECB的特点简单有效，可以并行实现；不能隐藏明文的模式信息，相同明文生成相同密文，同样信息多次出现造成泄漏；对明文的主动攻击是可能的信息块可被替换、重排、删除、重放；误差传递：密文块损坏仅对应明文块损坏；适合于传输短信息；密码分组链接CBCCBC的特点没有已知的并行实现算法；能隐藏明文的模式信息，相同明文生成不同密文，初始化向量IV可以用来改变第一块；对明文的主动攻击是不容易的，信息块不容易被替换、重排、删除、重放；误差传递：密文块损坏两明文块损坏；安全性好于ECB，适合于传输长度大于64位的报文，还可以进行用户鉴别,是大多系统的标准如SSL、IPSec；密码反馈CFB加密Ci=Pi(EK(Si)的高j位);Si+1=(Si<<j)|Ci

密码反馈CFB解密Pi=Ci(EK(Si)的高j位);Si+1=(Si<<j)|Ci

CFB的特点分组密码

流密码;没有已知的并行实现算法;隐藏了明文模式;需要共同的移位寄存器初始值IV;对于不同的消息，IV必须唯一;误差传递：一个单元损坏影响多个单元;输出反馈OFB加密Ci=Pi(EK(Si)的高j位)；Si+1=(Si<<j)|(EK(Si)的高j位)输出反馈OFB解密Pi=Ci(EK(Si)的高j位);Si+1=(Si<<j)|(EK(Si)的高j位)OFB的特点分组密码

流密码；没有已知的并行实现算法；隐藏了明文模式；需要共同的移位寄存器初始值IV,对于不同的消息，IV必须唯一；误差传递：一个单元损坏只影响对应单元；对明文的主动攻击可能，信息块可被替换、重排、删除、重放；安全性较CFB差；DES的密钥长度分析关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有个强力攻击：平均255次尝试差分密码分析法：平均247次尝试线性密码分析法：平均243次尝试早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元；DES的密钥长度分析1990年，以色列密码学家EliBiham和AdiShamir提出了差分密码分析法，可对DES进行选择明文攻击；在CRYPTO’93上，Session和Wiener给出了基于并行运算的密钥搜索芯片，所以16次加密能同时完成。花费10万美元，平均用1.5天左右就可找到DES密钥；美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元；DES的密钥长度分析1998年7月电子前沿基金会（EFF）使用一台25万美元的电脑在56小时内破译了56比特密钥的DES；1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥；两重DESEK2[EK1[P]]=EK3[P]??中途攻击C=EK2[EK1[P]]X=EK1[P]=DK2[C]三重DES两个密钥的三重DES用于密钥管理标准ANSX9.17和ISO87322中；三个密钥的三重DES用于PGP和S/MIME；

公钥密码技术

提出公钥密码的动因密钥分配问题。使用对称加密算法的通信双方要进行加密通信时，需要通过秘密的安全信道协商加密密钥，而这种安全信道如何实现呢？机械阶段数字签名问题。信息的电子化对密码学提出了新的要求：电子报文和电子文件需要一种与书面材料中使用的签名等效的认证手段。

公钥密码的初始化阶段加密通信阶段计算复杂度与公钥密码计算复杂度P问题和NP完全问题密码与计算复杂度的关系单向陷门函数单向陷门函数的数学问题分解整数问题。离散对数问题。RSA问题。公开密钥算法公钥算法的种类很多，具有代表性的三种密码：基于离散对数难题（DLP）的算法体制，例如Diffie-Hellman密钥交换算法；基于整数分解难题（IFP）的算法体制，例如RSA算法；基于椭圆曲线离散对数难题（ECDLP）的算法体制；RSA算法麻省理工学院的RonRivest,AdiShamir和LenAdleman于1977年研制，并于1978年首次发表；RSA是一种分组密码，其理论基础是一种特殊的可逆模幂运算，其安全性基于分解大整数的困难性；既可用于加密，又可用于数字签名，已得到广泛采用；RSA已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳；RSA-155(512bit),RSA-140于1999年分别被分解；Euler函数欧拉函数(Euler’stotientfunction)，记为φ(n)，表示小于n而且与n互素的正整数个数；对于任一素数p，φ(p)=p-1;对于两个不同的素数p和q，若n=p×q，

则φ(n)=φ(p×q)＝φ(p)×φ(q)＝(p-1)×(q-1)；Euler函数举例设p=3,q=5,那么n=p×q=15；

1）小于15而且与15互素的正整数是：{1，2，4，7，8，11，13，14}

因此，φ（15）＝8； 2）φ（15）=（3-1）*（5-1）=8欧拉定理对于任何互素的整数a和n，(modn)，

或者写作a(modn)给定两个素数p和q，以及整数n=p×q，和m，其中0<m<n，则modn modnRSA算法的描述对于明文分组M和密文分组C，加密解密形式分别为：

C=Memodn M=Cdmodn=(Me)dmodn=Medmodn因此，公钥KU={e,n},私钥KR={d,n},公钥算法必须满足: 1）有可能找到e、d、n的值，使得对所有M<n有Med=Mmodn； 2）对于所有M<n，要计算Me和Cd相对简单； 3）给定e和n时，判断出d是不可行的；RSA算法的描述如何找到： ？

参考欧拉定理 可以得到：ed=k×φ(n)+1

也就是说：

RSA算法的实现实现的步骤如下：Bob为实现者(1)Bob寻找出两个大素数p和q(2)Bob计算出n=p×q和φ(n)=(p-1)(q-1)(3)Bob选择一个随机数e(0<e<φ(n))，满足(e,φ(n))=1(4)Bob使用辗转相除法计算d=e-1modφ(n)(5)Bob在目录中公开n和e作为公钥密码分析者攻击RSA体制的关键点在于如何分解n。若分解成功使n=p×q，则可以算出φ(n)＝（p-1)(q-1)，然后由公开的e，解出秘密的dRSA算法举例设p=7,q=17,n=7*17=119;参数T={n=119};φ(n)=(7-1)(17-1)=96;选择e=5,gcd(5,96)=1;计算d,d*e=1mod96;d=77;因为77×5＝385＝4×96＋1设:明文m=19

加密：（19）5

mod119=66

解密：（66）77

mod119=19RSA算法的安全性分析密码分析者攻击RSA体制的关键在于分解n,若分解成功使n=p×q，则可以算出φ(n)＝（p-1)×(q-1)，然后由公开的e，解出秘密的d;若使RSA安全，p与q必为足够大的素数，使分析者没有办法在多项式时间内将n分解出来,建议选择p和q大约是100位的十进制素数,模n的长度要求至少是512比特;RSA算法的安全性分析EDI攻击标准使用的RSA算法中规定n的长度为512至1024比特位之间，但必须是128的倍数;国际数字签名标准ISO/IEC9796中规定n的长度位512比特位;为了提高加密速度，通常取e为特定的小整数,如EDI国际标准中规定e＝216＋1;ISO/IEC9796中甚至允许取e＝3;这时加密速度一般比解密速度快10倍以上;RSA算法的安全性分析为了抵抗现有的整数分解算法，对RSA模n的素因子p和q还有如下要求：(1)|p-q|很大，通常p和q的长度相同；(2)p-1和q-1分别含有大素因子p1和q1；(3)P1-1和q1-1分别含有大素因子p2和q2；(4)p+1和q+1分别含有大素因子p3和q3；椭圆曲线密码编码学ECC1985年Miller,Koblitz独立提出

y2+axy+by=x3+cx2+dx+e 表示曲线上的点连同无穷远点O的集合加法:若曲线三点在一条直线上,则其和为O；倍数:一个点的两倍是它的切线与曲线的另一个交点；椭圆曲线上的加法规则加法公式:O作为加法的单元，O=-O，P+O=P如果P=(x,y)，则P+(x,-y)=O，(x,-y)点是P的负点，记为-P,而且(x,-y)也在EP(a,b)中如果P=(x1,y1)，Q=(x2,y2)，则P+Q=(x3,y3)为

x3=

2-x1-x2(modp)

y3=

(x1-x3)-y1(modp)

其中，如果PQ，则=(y2-y1)/(x2-x1)

如果P=Q，则=(3x12+a)/(2y1)椭圆曲线示例椭圆曲线上的加法:P+Q=-R椭圆曲线上一点的2倍:Q+Q=-S有限域上的椭圆曲线有限域上的椭圆曲线定义如下：

y2

x3+ax+b(modp)p是素数,a,b为非负整数，且满足4a3+27b2(modp)

0针对所有的0<=x<p，可以求出有效的y，得到曲线上的点(x,y)，其中x,y<p。曲线记为EP(a,b),EP(a,b)中也包括O点例如，令P=23，a=b=1，椭圆曲线为y2＝x3+x+1， 4×13＋27×12(mod23)=8

0 满足模23椭圆群的条件椭圆曲线上的密钥交换1）双方选择EP(a,b)以及EP(a,b)的一个元素G,使得nG=0的最小n值是一个非常大的素数；2）A选择私钥X<n,计算公钥PA=XG；3）B选择私钥Y<n,计算公钥PB=YG；

4）A计算秘密密钥:K=X

(PB)=XYG5）B计算秘密密钥:K=Y

(PA)=YXG=XYG因此，双方获得了一个共享会话密钥(XYG)椭圆曲线上的密钥交换攻击

双方选择EP(a,b)以及EP(a,b)的一个元素G,使得G的阶n是一个大素数

A选择私钥X<n,计算公钥PA=XG,AB:PA

E截获PA,选私钥Z,计算PE=ZG,冒充AB:PE

B选择私钥Y<n,计算公钥PB=YG,BA:PB

E截获PB,冒充BA:PEA计算:X

PE

=

XZGB计算:Y

PE=YZGE计算:ZPA=ZXG,ZPB=ZYGE无法计算出XYGE永远必须实时截获并冒充转发,否则会被发现.椭圆曲线加密/解密1）双方选择椭圆群EP(a,b)以及EP(a,b)的一个元素G,使得nG=0的最小n值是一个非常大的素数；2）A选择私钥X<n,计算公钥PA=XG；3）B选择私钥Y<n,计算公钥PB=YG；

4）A若想加密和发送报文Pm给B，选择随机数k，并产生一对点组成的密文Cm={kG,Pm+kPB}；5）B解密密文，Pm+kPB-Y×kG＝Pm+k×YG-Y×k×G=Pm除了A，无人知道k，因此无法破译两类加密算法比较Diffie-Hellman密钥交换算法若用户A和用户B希望交换一个密钥，如何进行？ 1）全局公开参数：一个素数q和其一个原根a； 2）用户A选择一个随机数XA<q，计算YA=aXAmodq，YA公开； 3）用户B选择一个随机数XB<q，计算YB=aXBmodq，YB公开； 4）用户A计算密钥K=(YB)XA×modq; 5）用户B计算密钥K=(YA)XB×modq;Diffie-Hellman密钥交换算法证明：K=(YB)XAmodq=(aXBmodq)XAmodq=(aXB)XAmodq =aXBXAmodq=(aXA)XBmodq=(aXAmodq)XBmodq =(YA)XBmodq攻击分析：公开数据q，a，YA和YB，若想攻击用户B的秘密密钥，攻击者必须计算XB=inda,q(YB)；安全性分析：计算模一个素数的指数相对容易，计算离散对数却很难；Diffie-Hellman密钥交换算法举例1）密钥交换基于素数q=97和q的一个原根a=5；2）A和B分别选择密钥XA=36和XB=58，并分别计算其公开密钥

YA=536=50mod97 YB=558=44mod973）交换了公开密钥后，每人计算共享的秘密密钥如下

K=(YB)XAmod97=4436=75mod97 K=(YA)XBmod97=5058=75mod97ECC密钥交换算法

类似Diffie－Hellman密钥交换，思考如何用ECC来实现密钥交换。公钥密码的典型应用使用RSA和DES对信息加密使用散列函数和RSA进行数字签名

密钥管理

概述现代密码技术的一个特点是密码算法公开，所以在密码系统中密钥才是系统真正的秘密。在任何安全系统中，密钥的安全管理都是一个关键因素。因为如果密钥本身得不到安全保护，那么设计上再好的密码系统都是徒劳的。在现实世界里，密钥管理是密码应用领域中最困难的部分。密钥分类密钥生命周期密钥的产生随机产生注意弱密钥问题密钥建立技术需要满足的性质（1）数据保密（DataConfidentiality）。（2）篡改检测（ModificationDetection）。（3）身份认证（EntityAuthentication）。（4）密钥的新鲜度（KeyFreshness）。（5）密钥控制（KeyControl）。（6）密钥的隐式鉴别（ImplicitKeyAuthentication）。（7）密钥的确信（KeyConfirmation）。（8）向前的秘密（PerfectForwardSecrecy）。（9）效率（Efficiency）密钥的层次结构（1）主密钥（MasterKey）。主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只能用人工方式建立。（2）加密密钥的密钥（Key-encryptingKeys）。在密钥传输协议中加密其他密钥（如会话密钥）。这种密钥保护其下层的密钥能够安全地传输。（3）数据密钥（DataKeys）。处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全地传输。密钥的生命周期模型点对点密钥建立模型

在同一信任域中的密钥建立模型在多个信任域中的密钥建立模型鉴别树基于身份认证的系统使用对称密码技术的密钥传输机制Shamir设计的3次传递协议使用对称密码技术和可信第三方的密钥传输机制

使用公钥密码技术的点到点的密钥传输机制

同时使用公钥密码技术和对称密码技术的密钥传输机制

基本密钥导出可鉴别的密钥导出树状的密钥导出优化的树状的密钥导出PKI的主要功能产生、验证和分发密钥。签名和验证。获取证书。申请证书作废。获取CRL。密钥更新。审计。PKI的结构CA系统框架PKI系统标准PKCS系列标准:PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书废除表发布、扩展证书内容、数字签名、数字信封格式等一系列相关协议。数字证书与X.509标准：国际电信联盟ITUX.509协议，是PKI技术体系中应用最广泛、也是最基础的一个国际标准。它的主要目的在于定义一个规范的数字证书格式，以便为基于X.500协议的目录服务提供一种强认证手段。PKI系统的典型应用虚拟专用网络:虚拟专用网络（VPN）是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如IPSec）和建立在PKI上的加密与签名技术来获得安全性保护。安全电子邮件：安全电子邮件协议S/MIME（TheSecureMultipurposeInternetMailExtension）。Web安全：SSL（SecureSocketsLayer）协议是互联网中访问Web服务器最重要的安全协议。电子交易：SET安全电子交易协议采用公钥密码体制和X.509数字证书标准，主要应用于B2C模式中，以保障支付信息的安全性。

PKI接口

漏洞扫描技术

传统的计算机系统安全模型

经常出现漏洞的地方

虽然有身份标识和鉴别机制，但一般用户可能倾向于选择简单的用户名和口令，使得猜测用户名和口令变得很容易，导致身份标识和鉴别起不到应有的作用。访问控制环节:例如，对于FTP服务器而言，恶意攻击者可能通过提供比较长的用户名和口令来造成缓冲区溢出攻击，从而获得运行FTP服务进程权限的一个Shell。计算机系统的配置也容易出现问题。例如，为了用户的方便性，系统一般会设置一些默认口令、默认用户和默认访问权限，但是有很多用户对这些默认配置根本不进行修改或者不知道如何修改，这也会导致访问控制机制失效。配置漏洞配置漏洞是由于软件的默认配置或者不恰当的配置导致的安全漏洞。例如在WindowsNT系统中，默认情况下会允许远程用户建立空会话，枚举系统里的各项NetBIOS信息。这里空会话指可以用空的用户名和空的口令通过NetBIOS协议登录到远程的Windows系统中。空会话登录后，可以枚举远程主机的所有共享信息，探测远程主机的当前日期和时间信息、操作系统指纹信息、用户列表、所有用户信息、当前会话列表等，枚举每个会话的相关信息，包括客户端主机的名称、当前用户的名称、活动时间和空闲时间等。设计漏洞设计漏洞主要是指软件、硬件和固件设计方面的安全漏洞。例如TCPSYNFlooding为漏洞。产生TCPSYNFlooding漏洞的主要原因是，利用TCP连接的3次握手过程，打开大量的半开TCP连接，使目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求。

实现漏洞实现漏洞是安全漏洞中最大的一类，大多数我们接触到的安全漏洞都属于这一类。由于历史和效率的原因，现在使用的大型软件系统，如操作系统、数据库、Web服务器、FTP服务器等，都是用C或C++语言开发的。使用C或C++语言开发软件时经常会出现缓冲区溢出漏洞。缓冲区溢出－栈结构缓冲区溢出理解缓冲区溢出漏洞本身比较简单，就是在C或C++程序中存在类似strcpy等字符串操作中不检查长度的函数。但是理解缓冲区溢出的利用方法是有难度的。熟练掌握汇编语言和操作系统的底层实现原理和细节，以及编译和连接过程的原理和细节，对于理解和编写利用程序非常重要。参见代码例子。漏洞的生命周期漏洞产生到漏洞发现阶段漏洞发现到漏洞公开阶段漏洞公开到漏洞消除阶段

漏洞扫描常用工具－nmap

nmap的最主要的特点是，用TCP/IP堆栈进行远程操作系统判别，但同时它也能判断远程网络中哪些主机是活动的，还可以判断活动的主机上哪些端口是开放的。

漏洞扫描常用工具－InternetScannerISS公司的InternetScanner产品扫描漏洞全面，漏洞跟新速度快，用户界面友好，用户使用简单、方便。ISS公司有一个专门的组织X-Force从事安全漏洞的研究，因此它的安全漏洞库信息全面，更新速度快。漏洞扫描常用工具－nessusnessus是一款开放源代码的漏洞扫描软件，是系统管理员和黑客们经常使用的、非常熟悉的一套软件。nessus与InternetScanner不同，它采用客户-服务器端结构。客户端完成策略配置、扫描出的漏洞显示和生成扫描结果报告等功能。脆弱性测试实例分析－nessus界面脆弱性测试实例分析－创建会话脆弱性测试实例分析－扫描配置脆弱性测试实例分析－扫描结果

入侵检测与防火墙技术

入侵检测的必要性防火墙的访问控制粒度较粗，只是检查源地址、目的地址、源端口和目的端口，对于很多入侵无法阻止。

漏洞扫描软件也无法提供完全的安全保障，大多数漏洞扫描软件的扫描能力有限，不能扫描到所有的安全漏洞。

不过，入侵检测技术也是有缺陷的，这种技术在检测到入侵事件时，只是通过记录日志、通知管理员等被动方式进行处理，如果入侵成功，就会造成危害。为了解决入侵检测技术的这个问题，人们开始考虑将防火墙的访问控制和入侵检测结合起来，这种技术称为入侵防护（IntrusionPrevention）技术。网络动态安全模型

Denning模型

入侵检测模型最早由DorothyDenning提出

CIDF模型

DARPA于1997年3月组织发起了入侵检测系统标准化工作，建立了公用入侵检测框架CIDF（CommonIntrusionDetectionFramework）按检测方法分类

异常检测（AnomalyDetection）也称为基于行为的入侵检测。它首先为用户、进程或网络流量建立正常状态下的特征参考模型（Profile），然后将其当前行为特征同已建立的正常行为特征模型比较，若存在较大偏差，则认为发生异常。滥用检测（MisuseDetection）也称为基于知识的入侵检测，或基于签名的入侵检测。它首先建立各种已知攻击的签名（也称攻击特征）库，然后将用户的当前行为依次同库中的各种攻击签名（AttackSignature）进行比较，如果匹配，则可以确定发生了入侵行为。按数据源分类

基于主机的入侵检测（Host-basedIntrusionDetection）通过监测和分析主机的审计数据、系统日志、主机进程的行为，如CPU利用率、I/O操作等信息来检测入侵行为。基于网络的入侵检测（Network-basedIntrusionDetection）通过侦听网络中的所有报文，分析报文的内容、统计报文的流量特征来检测各种攻击行为。针对特定的服务程序进行入侵检测，称为基于应用的入侵检测（Application-basedIntrusionDetection），如对WebServer进行检测，对数据库服务器进行检测等。按体系结构分类－集中式入侵检测系统

按体系结构分类－层次式入侵检测系统

按体系结构分类－对等式入侵检测系统

对等式入侵检测系统采用对等式的体系结构，这种体系结构最适合没有隶属关系的、不同组织或公司或部门间的合作。例如，如果A公司的入侵检测系统发现入侵来自B公司，可以通过这种方式发送信息给B公司的入侵检测系统，这样可实现不同组织间的入侵事件和信息的共享和协作。基于统计的检测方法

统计方法是异常检测的主要方法之一，它在基于主机和基于网络的入侵检测系统中都有应用。统计方法的本质是利用统计模型，为系统的正常活动建立活动轮廓（ActivityProfile），通过比较系统的当前活动与活动轮廓的差异来判断当前活动是否正常或异常。基于贝叶斯推理的检测方法

基于机器学习的检测方法

基于机器学习的异常检测方法主要有监督学习、归纳学习和类比学习等。Terran和CarlaE.Brodley将异常检测归结为通过离散数据临时序列学习获得个体、系统和网络的行为特征的问题，并提出一个基于相似度的实例学习方法IBL（InstanceBasedLearning）。它通过新的序列相似度计算将原始数据转化成可度量的空间，然后应用IBL技术和一种新的序列分类方法，发现异常事件和入侵行为，其中阈值的选取由成员分类的概率决定。

基于规则的检测方法

基于规则的入侵检测方法是实现基于签名入侵检测系统的一种最直接、最实用的方法，大多数的入侵检测安全产品都基于这种方法。其基本思想是使用一条规则来表示一种安全漏洞或攻击。基于协议验证的检测方法

基于协议验证的入侵检测系统的思想是验证网络流量是否遵循相应的协议规范。例如，客户端发出的HTTP请求，是否遵循HTTP协议规范。

基于状态迁移分析的检测方法

状态转换分析法由KoralIlgun，RucgardA.Kemmerer提出。他们认为，入侵行为必将导致系统状态的变化。基于人工免疫系统的异常检测方法

免疫系统是生物信息处理系统的重要组成部分，其具有的许多信息处理机制和功能特点，如自我非自我的抗原识别机制、学习和记忆能力、自适应能力及能与体内其他系统和组织进行协调共处等，在许多工程领域具有很大的应用潜力。学习生命免疫系统的计算机制，建立人工免疫模型是目前人工生命研究中的重要课题之一。扫描技术分类

端口扫描。主要用于探测目标主机或网络提供的网络服务，如Telnet，WWW等。系统特征扫描。主要用于获取目标主机使用的操作系统、应用软件的类型和版本等信息。漏洞扫描。探测目标系统中存在的安全漏洞。基于贝叶斯网络的系统扫描检测

异常报文相关性分析

PSD相关性分析分为过滤和合并两个过程。1．过滤在将异常检测模块输出的七元组信息保存到数据库之前，首先进行过滤。如果数据库中已存在相同的信息（dip，dport，sip，flag的值完全相同），则用新的报警信息替代已有报警信息。2．合并相关性分析模块对过去一段时间Tc内异常检测模块输出的信息进行综合分析，对攻击者扫描的端口范围、扫描的方式给出综合说明，以减少报警的数量。在相关性分析时需要在检测的实时性和报警信息的压缩之间取得平衡。报警信息融合

对多个网络监测器产生的报警信息进行信息融合处理，有如下优点：（1）提高检测的准确性（2）报警信息汇聚（3）提供更高层次的安全信息网络流量异常检测设计流量异常检测算法时应满足如下要求：（1）准确性。它是入侵检测算法最基本的要求。它要求流量异常检测算法应该有高检测率和低误报警率。（2）鲁棒性。它要求检测算法具有较强的抗干扰能力，能够适应网络流量强度多变和业务类型多变的运行环境。（3）实时性。检测算法应能实时地检测各种攻击，从而为尽早采取措施阻止攻击、减少其造成的危害创造条件。（4）低开销。检测算法应满足高效原则，不应对入侵检测系统的性能造成很大影响。高速网络环境下的入侵检测

对于网络入侵检测系统，需要考虑如何部署在高于1Gbps的高速网络环境下和如何在高速网络环境下抓包和检测。这是一个非常实际的问题，因为现在的主骨干网络都是高于1Gbps的高速网络。防火墙的功能

一般来说，防火墙的设计要包括以下4种功能：（1）允许系统管理员将防火墙设置在网络的一个关键点上，并定义统一的安全策略，用于防止非法用户进入内部网络。（2）监视网络的安全性，对于符合报警条件的事件产生报警信息。（3）部署网络地址变换（NetworkAddressTranslation，NAT）功能，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，从而缓解地址空间短缺的问题。（4）审计和记录网络使用情况。系统管理员可以由此收集数据，向管理部门提供网络连接的计费情况。防火墙在网络中的位置

防火墙的分类

1从软、硬件形式上可以把防火墙分为如下3类：（1）软件防火墙。防火墙软件运行于一般的计算机上，需要操作系统的支持，运行防火墙软件的这台计算机承担整个网络的网关和防火墙功能。（2）硬件防火墙。它是由防火墙软件和运行该软件的特定计算机构成的防火墙。这里的硬件是指这类防火墙包括一个硬件设备，它通常是PC架构的计算机。（3）芯片级防火墙。它基于专门的硬件平台，使用专用的嵌入式实时操作系统。专用的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。防火墙的分类

2按照防火墙在网络协议栈进行过滤的层次不同，也可以把防火墙分为如下3类：（1）包过滤防火墙。它工作在OSI（OpenSystemInterconnection）网络参考模型的网络层和传输层，可以获取IP层和TCP层信息，当然也可以获取应用层信息。求。（2）电路级网关防火墙。它用来监控内部网络服务器与不受信任的外部主机间的TCP握手信息，以此来决定该会话（Session）是否合法。（3）应用层网关防火墙。它工作在OSI的最高层，即应用层。它通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层通信流的功能。静态包过滤防火墙

静态包过滤防火墙通常可以直接在路由器上实现，用于对用户指定的内容（如特定的IP地址）进行过滤。它工作在网络层，只检查和分析网络层的分组，而对用户应用是透明的，这样可以获得很高的性能和适应性（Scalability）。它按照特定的规则对每个IP分组的传输方向（内网→外网或外网→内网）、源和目的主机地址、传输层的协议分组到达的物理网络端口等信息进行分析，并根据用户指定的规则做出相应处理，而且所有的处理都是在TCP/IP核心部分实现的。电路级网关防火墙

电路级网关防火墙接收到建立连接的请求分组后，首先检查规则库以决定是否接受该连接，若接受则跟踪其传输层协议的握手交互过程，在连接建立之后才开始转发数据。该防火墙维护一个有效的连接表（包括完整的连接状态、序列信息、源和目的主机地址和物理网络接口等信息），并对该表中的连接数据进行转发（不再进行安全检查）。当连接终止时，删除对应的表项。电路级网关防火墙所有的处理均在TCP/IP核内实现，且只进行有限的安全检查，因此处理速度较快。

应用层网关防火墙

应用层网关防火墙在接受网络连接之前，先在应用层检查网络分组中包含的有效数据，并在连接建立的整个期间检查应用层分组内容，维护详细的连接状态和序列信息。应用层网关防火墙可以验证用户口令和服务请求等只在应用层才出现的信息。这种机制可以提供增强的访问控制，以实现对有效数据的检查和对传输信息的审计功能，并可以实现一些增值服务（如服务调用审计和用户认证等）。

应用层网关防火墙

动态包过滤防火墙

动态包过滤防火墙能够识别出一个新建连接与一个已建连接之间的差别。一旦建立起一个连接，它就被写入位于操作系统核心进程中的一个表中。后续的数据包便与此表进行比较，这一比较过程是在操作系统内核进程中进行的。当发现数据包是已有的连接时，防火墙会允许直接通过而不做任何检查。这避免了对进入防火墙的每个数据包都进行规则库检查，又由于比较过程是在内核进程中进行的，因此动态包过滤防火墙的性能比静态包过滤防火墙的有了非常大的提高。动态包过滤防火墙

自治代理防火墙

自治代理（AdaptiveProxy）防火墙继承了低层防火墙技术快速的特点和高层防火墙的安全性，采用了新的结构，可以提供安全性、可扩展性、可用性及高吞吐性能。因为其系统较复杂，因此采用了基于自治代理（AutonomousAgent）的结构，代理之间通过标准接口进行交互。这种结构提供较高的可扩展性和各代理之间的相对独立性，也使整个产品更加可靠，更容易扩展。它可以结合代理型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础上将代理型防火墙的性能提高10倍以上自治代理防火墙

互联网安全协议

IP协议族

常用网络安全协议–应用层S-HTTP：SecureHTTP，保证Web的安全，由EIT开发的协议。该协议利用MIME，基于文本进行加密、报文认证和密钥分发等SSH：SecureSHell，是对BSD系列的UNIX的r系列命令加密所采用的安全技术PGP： PrettyGoodPrivacy，具有加密及签名功能的电子邮件常用网络安全协议–传输层SSL:SecureSocketLayer，是基于Web服务器和浏览器之间的具有加密、报文认证、签名验证和密钥分配功能的加密协议TLS:TransportLayerSecurity（IEEE标准），是将SSL通用化的协议SOCKS5是基于防火墙和虚拟专用网（VPN）的数据加密和认证协议常用网络安全协议–网络层IPSec：InternetProtocolSecurity（IEEE标准），为通信提供机密性、完整性等常用网络安全协议–链路层PPTP：PointtoPointTunnelingProtocol，点对点隧道协议L2F：Layer2Forwarding，二层转发/隧道协议L2TP：Layer2TunnelingProtocol，二层隧道协议，综合了PPTP和L2F的协议Ethernet，WAN链路加密设备IPSec协议IPSec的优点主要有：（1）IPSec比其他同类协议具有更好的兼容性。（2）比高层安全协议（如SOCKS5）性能更好，实现更方便；比低层安全协议更能适应通信介质的多样性。（3）系统开销小。（4）透明性好。（5）管理方便。（6）开放性好。IPSec安全体系结构

IPSec的工作模式－传输模式

IPSec传输模式只对IP包的数据部分进行加密，在数据字段前插入IPSec认证头，而对IP包头不进行任何修改，这样源地址和目标地址就会暴露在公网中，容易遭到攻击。传输模式通常用于两个终端节点之间的连接，如“客户-服务器”。当采用AH传输模式时，主要为IP数据包（IP包头中的可变信息除外）提供认证保护；当采用ESP传输模式时，主要对IP数据包的上层信息提供加密和认证双重保护。IPSec的工作模式－隧道模式

对整个IP包进行加密，这样IP包的源地址和目标地址被有效地隐藏起来，之后引入IPSec认证头和新的IP头标，使IP包能够安全地在公用网络上传输。隧道模式通常用于两个非终端节点之间的连接，如“防火墙/路由器—防火墙/路由器”。当采用AH隧道模式时，主要为IP数据包（IP头中的可变信息除外）提供认证保护；当采用ESP隧道模式时，主要对IP数据包提供加密和认证双重保护。

IPSec的工作模式－隧道模式封装格式认证头

认证头是为IP数据包提供强认证的一种安全机制，它为IP数据包提供数据完整性、数据源认证和抗重传攻击功能。ESPESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再封装到新的IP数据包中。IKE用IPSec传输一个IP包之前，必须建立一个安全关联，它可以手工创建或动态建立。互联网密钥交换协议（IKE）用于动态建立安全关联，它以UDP方式通信，其端口号为500。安全关联

为了使通信双方的认证算法或加密算法保持一致，通信双方相互之间建立的联系称为安全关联，即SA。SA是IPSec的重要组成部分，它是与给定的一个网络连接或一组网络连接相关的安全信息参数的集合。它包含了通信系统执行安全协议AH或ESP所需要的相关信息，是安全协议AH和ESP执行的基础，是发送者和接收者之间的一个简单的单向逻辑连接。SSL协议

SSL（SecureSocketLayer）是由Netscape公司设计的一种开放协议，它指定了一种在应用程序协议（如HTTP，Telnet，FTP）和TCP/IP之间提供数据安全性分层的机制。TLS协议

传输层安全性（TLS）协议是IETF标准草案，它建立在Netscape公司所提出的SSL3.0协议规范基础之上。TLS协议主要是在两个正在通信的应用程序之间提供保密性和数据完整性。

无线局域网安全

无线局域网示意图

点对点型拓扑结构

Hub型拓扑结构

完全分布型拓扑结构

网络协议IEEE802系列标准载波侦听多路访问/冲突避免（CSMA/CA）协议IEEE802.11时分双工（TDD）复用技术网关方式网络设计问题

吞吐量保密性“动中通”OTM

3个标准的比较

IEEE802.11协议

802.11a802.11b802.11g802.11i家庭射频技术

家庭射频（HomeRF）技术是数字式增强型无绳电话DECT（DigitalEnhancedCordlessTelephone）技术和WLAN技术相互融合的产物。无线局域网标准IEEE802.11采用CSMA/CA（载波监听多点接入/冲突避免）方式，特别适合于数据业务。而DECT使用TDMA（时分多路复用）方式，特别适合于话音通信，将两者融合便构成了家庭射频使用的共享无线应用协议SWAP（SharedWirelessAccessProtocol）。SWAP使用TDMA+CSMA/CA方式，适合话音和数据业务，并且针对家庭小型网络进行了优化。家庭射频系统设计的目的就是为了在家用电器设备之间传送话音和数据，并且能够与公众交换电话网（PSTN）和互联网进行交互式操作。

蓝牙技术

蓝牙（Bluetooth）技术是实现语音和数据无线传输的开放性规范,是一种低成本、短距离的无线连接技术，其无线收发器是一块很小的芯片，大约只有9mm×9mm，可方便地嵌入到便携式设备中，从而增加设备的通信选择性。蓝牙技术实现了设备的无连接工作（无线链路替代电缆连接），提供了接入数据网功能，并且具有外围设备接口，可以组成一个特定的小网。WLAN的安全

移动用户或无线上网用户，通过无线设备的网卡发信息给AP，信息在传输时可能遭受3种攻击。①信息泄露。最典型的情形是信息在空中传输时被监听。②信息被篡改。数据在传输过程中，内容被篡改。③信息阻断。例如，用户发送信息给AP，虽然用户确认信息已经发送出去，但是由于黑客可以在AP端“做手脚”，所以信息有可能传输到AP就被非法中断了。WLAN的安全

一般地，WLAN的安全性有下面4级定义。①扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据。②设置严密的用户口令及认证措施，防止非法用户入侵。③设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容。④采取网络隔离及网络认证措施。IEEE802.11b的安全

共享密钥认证过程强化无线局域网常用的6种技术方案

（1）WEP。即有线等价协议（WiredEquivalencyProtocol），它与现有的无线网络的兼容性非常好，设置方法简单。（2）IEEE802.1x。它为用户提供认证。IEEE802.1x可用于有线或无线环境，并包含每次WEP会话（session）的密钥。IEEE802.1x的优点是可以在接入网络之前的链路层对用户进行认证。（3）IEEE802.11i技术。这是IEEE的无线网络安全标准。（4）网站认证技术。它易于安装和使用。不过也容易被窃取和破解。（5）IPSec。它是一种安全性最高的模式，其结构与互联网的远程接入一样。然而，该技术需要安装客户端软件，因而不利于该技术的应用和升级。（6）IPSecPassthrough。它的优势是易于同现在的VPNs技术整合。WEP的运作方式

WAPI基本术语

（1）接入点（AccessPoint，AP）。（2）站点（STAtion，STA）。（3）基本服务组（BasicServiceSet，BSS）。（4）系统和端口。（5）鉴别服务单元ASU（AuthenticationServiceUnit）。（6）公钥证书。WAPI的工作原理

WAPI的工作原理（1）认证激活。（2）接入认证请求。（3）证书认证请求。（4）证书认证响应。（5）接入认证响应。

WAPI评述中国无线局域网标准，是在国际上还没有一个有效、统一的安全措施的基础上推出的。因为中国的无线局域网技术正处在发展初期，如果这时能够解决无线局域网的安全问题，就能促进其在中国的长久发展。GB15629.11的制定，正是顺应了这个需要。而其中关于无线局域网安全部分的规定，可以解决现有的无线局域网的安全问题，为无线局域网的发展保驾护航。和中国的数字家庭闪联标准的推出一样，WAPI对于我国标准化工作的推进具有积极的意义。

WAPI评述WAPI标准出台后，部分芯片生产厂商表示理解和支持，但也有一部分厂商表示反对。由于WAPI标准对Intel公司原有的迅驰移动技术中的无线网络功能不兼容，所以它反对强制实行WAPI标准。中国宽带无线标准组织也表示将与厂商和国际组织合作，进一步完善WAPI标准。从兼容性的角度来看，WAPI目前的应用前景还不是很乐观。

移动通信安全

第一代移动通信

第一代移动通信系统（1G）是以美国AMPS（IS—54）、英国TACS和北欧NMT450/900为代表的模拟移动通信技术，在20世纪70年代末，80年代初发展起来并大量投入商用，其特点是以模拟电话为主，采用FDMA制式，主要基于频率复用技术和多信道共用技术。在第一代模拟蜂窝移动通信中，没有考虑安全问题，也没使用安全技术，用户信息以明文传输，对信息的窃听非常容易。移动用户的身份鉴别非常简单，移动用户把移动终端电子序列号ESN和网络分配的移动识别号MIN一起以明文方式传送给网络，只要两者相符，就可以建立呼叫，所以只要截断MIN和ESN就可以方便地克隆蜂窝模拟电话第二代移动通信

第二代移动通信系统（2G）属于数字通信系统，主要采用时分多址技术TDMA（TimeDivisionMultipleAccess）或码分多址技术CDMA（CodeDivisionMultipleAccess）。目前采用TDMA体制的系统主要有3种，即欧洲的GSM、美国的D-AMPS和日本的PDC。采用CDMA技术体制的系统主要为美国的CDMA（IS95）。第三代移动通信

第三代移动通信，即国际电信联盟（ITU）定义的IMT—2000（InternationalMobileTelecommunication—2000），简称3G。由于3G支持的数据传输速率更高，采取了更加灵活的提供业务的技术，使其可以提供比现有2G/2.5G质量和性能更高、内容更加丰富的业务。目前虽然处在商用的初期，但是除了能更好地支持2G/2.5G所有的业务外，还可支持移动可视电话、摄像等2G/2.5G无法支持的业务。GSM系统结构

全球移动通信系统GSM主要是由网络交换子系统（NSS）、无线基站子系统（BSS）和移动台（MS）3大部分组成。GSM系统框图

GSM系统的安全体系结构

GSM系统的安全措施

用户识别用户认证和用户密钥保护用户信息和信令信息的保密设备标识寄存器（EIR）跳频扩频技术PIN码和PUK码其他网络单元附加的安全功能用户认证和用户密钥保护GSM系统的用户身份认证是一种密钥认证系统，采用“挑战—响应”机制实现用户身份的认证。GSM系统的安全缺陷

GSM系统中的用户信息和信令信息的加密方式不是端到端加密，而只是在无线信道部分，即MS和BTS之间进行加密。用户和网络之间的认证是单向的，只有网络对用户的认证，而没有用户对网络的认证。这种认证方式对于中间人攻击和假基站攻击是很难预防的。在移动台第一次注册和漫游时，IMSI可能以明文方式发送到MSC/VLR。如果攻击者窃听到IMSI，便会出现手机“克隆”。GSM系统中，所有的密码算法都是不公开的，这些密码算法的安全性如何并不能得到客观的评价。。。。。3G系统安全特征的一般目标

（1）确保用户生成的信息或与之相关的信息不被滥用或盗用。（2）确保服务网（ServingNetworks，SN）和归属环境（HomeEnvironments，HE）提供的资源和业务不被滥用或盗用。（3）确保标准化的安全特征适用于全球（至少存在一个加密算法可以出口到各国）。（4）确保安全特征充分标准化，以保证在世界范围内的协同运行和在不同服务网之间漫游。（5）确保用户和业务提供者的保护等级高于当前固定网和移动网中的保护等级。（6）确保3G系统安全特征的实现机制能随着新的威胁和业务要求可扩展和增强。3G系统面临的安全威胁和攻击

（1）与无线接口攻击相关的威胁（2）与攻击系统其他部分相关的威胁（3）与攻击终端和UICC/USIM有关的威胁3G系统的安全结构

3G系统的密码算法

f0随机数生成函数f1网络认证函数f1*重新同步消息认证函数f2用户认证函数f3加密密钥生成函数f4完整性密钥生成函数f5正常情况下使用的匿名密钥生成函数f5*