《应用密码学》课件第11章

第11章密码学的应用11.1密码学在电子商务中的应用11.2密码学在数字通信中的应用11.3密码学在工业网络控制中的应用11.1密码学在电子商务中的应用

11.1.1电子商务系统面临的安全威胁

从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立信任关系。但在电子商务交易过程中，交易双方是通过网络来联系的。订单信息、账户信息等各种敏感信息都是通过公共的网络传输，使得电子商务的参与各方都面临着不同的安全威胁。电子商务系统主要遇到的威胁方式如下：

（1）对用户身份的仿冒。攻击者盗用合法用户的身份信息，以仿冒的身份与他人进行交易，从而败坏被仿冒一方的声誉或盗窃被仿冒一方的交易成果等。

（2）对网络上信息的窃取。攻击者在网络的传输链路上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。

（3）对网络上信息的篡改。攻击者有可能对网络上的信息进行截获并且篡改其内容(增加、截去或改写)，从而使信息失去了真实性和完整性。（4）对信息的破坏。攻击者有意制造网络硬件和软件的问题而导致信息传递的丢失与谬误，或运行恶意程序而导致电子商务信息遭到破坏，或用“信息重发”的攻击方式，即攻击者截获网络上的密文信息后，并不将其破译，而是把这些数据包再次发送，以实现恶意的目的。

（5）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认，不为自己的行为负责。11.1.2电子商务系统的安全需求

电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括：机密性、完整性、有效性、可靠性/不可抵赖性、可控性、原子性等安全需求，如图11－1所示。图11－1电子商务的安全需求1．有效性

电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

2．机密性

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络)，维护商业机密是电子商务全面推广应用的重要保障。因此，交易必须保持不可侵犯性，通过网络送出及接收的信息不能被任何攻击者读取、修改或拦截。

3．完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来了维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

4．可靠性/不可抵赖性/鉴别

电子商务可能直接关系到贸易双方的商业交易，如何确定进行交易的贸易方正是所期望的贸易方是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

5．可控性

根据机密性和完整性的要求，应对数据审查的结果进行记录，使系统具有良好的可控性。

6．原子性

原子性是指电子商务中采用的整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看做一个事务，保证要么全部执行，要么全部取消。原子性一般包括：钱原子性(moneyatomicity)、商品原子性(goodsatomicity)、确认发送原子性(certifieddeliveryatomicity)。11.1.3电子商务的安全体系结构

要解决电子商务的安全问题，电子商务系统就必须具备：防止交易信息被非法截获或读取的保密性；防止交易信息丢失并保证信息传递次序统一的完整性；防止假冒身份在网上交易和诈骗的可靠性；防止交易各方对已做交易进行抵赖的抗否认性；防止交易过程被跟踪的匿名性；保证交易一致性的原子性等安全要求。电了商务安全体系结构。由网络服务层、加密技术层、安全认证层、安全交易协议层、应用系统层5个层次组成，如图11－2所示。从图中可以看出，下层是上层的基础，为上层提供了技术支持；上层是下层的扩展与递进，各层之间相互关联，构成统一整体。其中最上面的六个性质表示电子商务的安全需求。电子商务安全问题可归结为网络安全和商务交易安全两个方面。商务系统层包括各种电子商务应用系统，安全交易协议层包括SSL、SET、NetBill等安全电子交易协议，这两层属于电子商务系统的业务层范围；安全认证层包括数字签名方案、身份识别技术等，加密技术层包括各种对称加密和公钥加密机制，这两层属于电子商务系统的安全基础部分；网络服务层包括各种网络安全技术如防火墙、漏洞扫描、恶意代码监控、安全审计、入侵检测与防御等等。下面简要讨论安全认证层和安全交易协议层中主要使用密码学的技术。图11－2电子商务的安全控制体系结构1．电子商务安全认证层

电子商务的安全认证技术是保证电子商务安全的一个不可缺少的重要技术手段，它保证了参与各方身份的真实性，也保证了电子商务活动的正常进行，是电子商务成功启动的必要条件。主要的安全认证技术包括身份识别(认证)和数字签名。数字签名用于保证交易信息的完整性和交易的不可抵赖性，而身份识别主要用于电子商务系统的访问控制。除此之外，安全认证还要用到消息摘要(Hash函数)、数字时间戳等。传统的身份认证方法是使用口令字，即用户将其口令字传送给系统，系统将口令字的消息摘要与系统存储的值比较，若一致则身份认证通过，否则不通过。这种方法难以抵抗字典攻击，即使采用加salt的方法，也仍然存在较严重的安全问题，例如攻击者在传输通道上截获了口令字，即使不能破译，也可以实施重放攻击。使用密码技术可以设计出更加安全的身份识别方案。目前常用的身份认证方法有：

(1)基于共享秘密密钥的身份识别方案，这种方案常使用动态口令实现；

(2)基于安全令牌的身份识别；

(3)基于密钥分配中心的身份识别；

(4)基于个人生物特征的身份识别；

(5)基于认证中心的身份识别。现在大多数的电子商务安全解决方案都趋向于使用第三方信任服务，在这种安全机制中，认证中心(CA)是保证电子商务安全的基础。就我国目前的情况来看，存在着全国性CA、行业CA、地区CA和企业CA多种形式。特别地，对企业CA而言，应该既能够把它作为独立的企业级认证系统，又能通过它提供与具有权威性的第三方机构接口，这样才更具有通用性。

2．电子商务交易协议层

除了各种安全控制技术外，电子商务的运行还需要一套完善的安全交易协议。目前比较典型的安全交易协议有SSL、SET、NetBill、Digicash和匿名原子交易协议等等。

从目前的电子商务发展情况来看，SSL和SET协议的实用化程度最高，是电子商务的主流协议。而两者比较起来，SSL协议实现简单，使用方便，系统开销小，多应用于简单加密的支付系统。但SSL应用于电子商务有自身的缺陷，它只能提供交易中客户与服务器之间的双方认证，在实际中包含客户、商家、银行甚至认证中心等的多方电子交易认证，SSL协议并不能协调各方间的安全传输和信任关系。相比之下，SET协议是一个更加完善也更加复杂的电子交易协议。11.1.4电子商务的交易协议

1．安全套接层协议SSL

安全套接层协议SSL(SecuerSocketLayer)是由Netscape公司于1996年设计开发的位于传输层和应用层之间的一个安全协议，它能很好地封装应用层数据，不用改变位于应用层的程序，对用户是透明的。同时，SSL只需要通过一次握手过程，就可建立客户与服务器之间的一条安全通信的通道，保证传输数据的安全。目前IE浏览器和很多Web服务器都内置了对SSL的支持，用户可以方便地用它进行信息加密。然而，SSL并不是专为支持电子商务而设计的，它只支持两方认证，也不能防止商家利用获取的信用卡号进行欺诈。

SSL协议使用X.509证书进行认证，使用RSA公钥算法，可以选用RC4－128、RC2－128。DES或IDEA作为数据加密算法。SSL可运行在任何可靠的通信协议之上，并运行在HTTP、FTP、TELNET等应用层协议之下。

SSL协议分为两层：记录层和握手层，每层使用下层服务，并为上层提供服务，协议栈如图11－3所示。图11－3

SSL协议栈1）握手协议

这个协议使得服务器和客户能够协商加密和MAC密钥。在传输任何应用数据以前，必须执行握手协议算法以及加密。握手协议的报文格式如图11－4所示，报文类型如表11－1所示。图11－4握手协议报文格式

2）记录协议

记录协议的操作过程是:第一步是分片，把上层数据分成214字节；第二步是压缩；第三步是计算MAC；第四步是加密(明文和MAC)；第五步是添加记录协议首部。记录格式如图11－5所示（阴影部分的报文是可选的）。图11－5

SSL记录格式3）SSL握手协议交互过程

握手过程如图11－6所示，SSL消息按如下顺序发送：

（1）ClientHello：客户发送服务器信息，包括它所支持的密码组，密码组中有密码算法和密钥大小等等。图11－6

SSL握手过程

（2）ServerHello：服务器选择客户和服务器都支持的密码组到客户。

（3）Certificate：服务器发送一个证书或一个证书链到客户端，一个证书链开始于服务器公共密钥证书并结束于证明权威的根证书。这个消息是可选的，但服务器证书需要时，必须使用它。

（4）Serverkeyexchange：服务器当发送来的公共密钥对密钥交换不是很充分时，发送一个服务器密钥交换消息。

（5）Certificaterequest：当服务器需要鉴别客户时，它发送一个证书请求到客户端。在网络程序中，这个消息很少发送。（6）ServerHellodone：服务器告诉客户完成它的初始化流通消息。

（7）Certificate：假如服务器需要一个客户证书时，客户端发送一个证书链(只有在服务器需要客户证书时)。

（8）Clientkeyexchange：客户产生用于对称算法的一个密钥。采用RSA算法，客户用服务器公共密钥加密这个密钥信息并把它送到服务器。

（9）Certificateverify：在网络程序中，这个消息很少发送，它主要用来允许服务器结束对客户的鉴别处理。当用这个消息时，客户发送用密码函数的数字签名的信息到服务端，当服务端用公共钥匙解密这个消息时，服务器能够鉴别客户。（10） Changecipherspec：客户发送一个消息告诉服务器改变加密模式。

（11） Finished：客户告诉服务器它已准备安全数据通信。

（12） Changecipherspec：服务器发送一个消息到客户端并告诉客户修改加密模式。

（13） Finished：服务器告诉客户端它已准备好安全数据通信。这是Clientserver握手协议最后一步。

2．安全电子交易协议SET

安全电子交易协议SET(SecureElectronicTransaction)是由国际信用卡巨头Visa公司和MasterCard公司联合于1997年开发设计的，得到了IBM、HP、Microsoft等很多大公司的支持，目前已获得IETF标准的认可，是一个为在Internet上进行在线交易而设立的开放的电子交易规范。用于划分与界定电子商务活动中的消费者、商家、银行、信用卡组织之间的权利义务关系，它可以对交易各方进行认证，可以防止商家欺诈。为了进一步加强安全性，SET使用两组密钥对分别用于加密和签名，通过双签名机制将订购信息同账户信息链接在一起签名。SET协议开销较大，客户、商家、银行都要安装相应软件。

SET协议结合了对称加密算法的快速、低成本和公钥密码算法的可靠性，有效地保证了在开放网络上传输的个人信息、交易信息的安全，而且它还解决了SSL协议所不能解决的交易双方的身份认证问题。

SET协议采用的核心技术包括X.509电子证书标准、数字签名技术、消息摘要、数字信封、双重签名等技术。数字证书的使用使得交易各方之间身份的合法性验证成为可能；使用数字签名技术确保数据的完整性和不可否认性；使用双重签名技术对SET交易过程中客户的账户信息和订单信息分别签名，使得商家看不到客户的账户信息，只能对客户的订单信息解密，而金融机构只能对客户和商家的账户信息解密，看不到客户的订单信息，从而充分保证了客户账户信息和订单信息的安全性。

SET协议是一套由17个部分组成的庞大的协议系统，涉及电子商务交易过程的各个方面。

SET协议的支付部分是由5个子协议组成的，它们分别是:

(1)持卡人注册(CardholderRegistration)协议:通过使用该协议，持卡人可以向CA(CertificateAuthority)发出注册申请，在该注册申请通过CA的验证后，CA向持卡人发放一个包含有签名密钥的公钥证书。

(2)商家注册(MerchantRegistration)协议:与持卡人注册类似，商家通过使用该协议在CA处进行注册，所不同的是，CA不仅向商家签发一个签名密钥，而且还签发一个加密密钥。

(3)购买请求(PurchaseRequest)协议:持卡人通过该协议向商家发送购买商品或服务的订单。

(4)支付授权(PaymentAuthorization)协议:支付授权过程紧跟在购买请求过程之后，通过它商家可以将持卡人的支付信息在支付网关处进行验证。

(5)支付清款(PaymentCapture)协议:商家通过使用该协议完成转账。

SET协议改变了一个支付系统的交互方式，在一个面对面的零售方式交易或邮购交易中，电子处理开始于商家或付款银行；而在SET交易中，电子支付始于持卡人，SET交易的参与方如图11－7所示。图11－7

SET参与者

具体交易过程如下：

(1)持卡人(Cardholder):在电子商务环境中，持卡人通过计算机访问商家，购买商品。持卡人使用发卡行发行的支付卡，并从认证中心获取数字签名证书。

(2)商家(Merchant):在电子商务环境中，商家提供商品和服务。在SET协议中，商家和持卡人进行安全电子交易，商家必须与相关的收单行达成协议，保证可以接收支付卡付款。

(3)发卡行(Issuer):发卡行是一个金融机构，为持卡人建立一个账户并发行支付卡，发卡行必须保证对经过授权的交易进行付款。

(4)收单行(Acquirre):收单行是一个金融机构，为商家建立一个账户并处理付款授权和付款结算。

(5)支付网关(PaymentGateway):位于Internet和传统的银行专网之间，其主要作用是安全连接Internet和专网，将不安全的Internet上的交易消息传给安全的银行专网，起到隔离和保护专网的作用。它是由受银行或指定的第三方操纵的操作设备，它将Internet上传输的数据转换为金融机构内部的数据，用于处理支付卡授权和支付。

(6)认证中心(CertificateAuthority):CA负责颁发和撤销持卡人、商家和支付网关的数字证书；同时，它还要向商家和支付网关颁发交换密钥证书，以便在支付过程中交换会话密钥。图11－8

SET协议的工作原理

如图11－8所示为SET协议的工作原理示意图，其具体工作流程如下:

(1)持卡人浏览商品明细清单，可从商家的在线Web主页上浏览，也可从商家提供的CDROM或打印的目录上获取商品消息。

(2)持卡人选择要购买的商品。

(3)持卡人填写订单，包括项目列表、价格、总价、运费、搬运费、税费。订单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。有些在线商家可以让持卡人与商家协商物品的价格。

(4)持卡人选择付款方式。此时SET开始介入。

(5)持卡人发送给商家一个完整的订单及要求付款的指令。在SET中，订单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的账号消息以及银行看不到持卡人的订单消息。

(6)商家接受订单后，向持卡人的金融机构请求支付认可。通过网关到银行，再到发卡机构确认，批准交易。然后返回确认消息给商家。

(7)商家发送订单确认消息给持卡人。持卡人端软件可记录交易日志，以备将来查询。

(8)商家给持卡人装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从购物者的账号转移到商家账号，也可以等到某一时间，请求成批的划账处理。

(9)商家向持卡人的金融机构请求支付。

交易过程的前三步不涉及SET协议，从第(4)步开始一直到第(9)步，SET协议起作用。在处理过程中，通信协议、请求消息的格式、数据类型的定义等，SET协议都有明确的规定。在操作的每一步，持卡人、商家、网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。

3．SET协议与SSL支付协议的比较

事实上，SET和SSL除了都采用RSA公钥算法以外，二者在其它技术方面没有任何相似之处。SET是一种基于信息流的协议，它非常复杂，它详尽而准确地反映了卡交易各方之间存在的各种关系。SET允许各方之间的报文交换不是实时的，报文能够在银行内部网络或者其他网络上传输。SSL只是简单地在两方之间建立了一条安全的面向连接的通道。

SET与SSL的具体区别如下：

（1）认证机制方面：SET的安全需求较高，所有成员(客户、商家、支付网关)都必须申请数字证书来标示身份，而在SSL中只有商家端的服务器需要认证，客户端的认证则是可选的。

（2）安全性：一般公认SET的安全性较SSL高，主要原因是在整个交易过程中，包括持卡人到商家，商家到网关再到银行网络，都受到严格的保护，而SSL的安全范围只限于持卡人到商家的信息交流。

（3）用户方便性：SET需要安装专门的软件，SSL一般与浏览器集成在一起。11.2密码学在数字通信中的应用

11.2.1第三代移动通信系统（3G）安全特性与机制

1．3G面临的安全威胁

（1）对敏感数据的非法获取，对系统保密性进行攻击，其中包括:

①侦听：攻击者对通信链路的合法窃听，获取消息；

②伪装：攻击者对链路中消息的时间、速率、数据源及目的地等信息进行分析，从而判断用户位置和了解重要的商业秘密；③浏览：攻击者对敏感数据的存储位置进行搜索；

④泄露：攻击者利用合法接入进程获取敏感信息：

⑤试探：攻击者通过向系统发送信号来观察系统的反应。（2）对敏感数据的非法操作，对消息的完整性进行攻击，主要包括对消息的篡改、插入、重放或者删除。

（3）对网络服务的干扰和滥用，从而导致系统拒绝服务或者服务质量低下，包括:

①干扰：通过阻塞用户业务、信令或控制数据使合法用户无法使用网络资源；

②资源耗尽：用户或服务网络利用其特权非法获取非授权信息；

③服务滥用：攻击者通过滥用某些系统服务获得好处，或导致系统崩溃；

（4）否认，主要指用户或网络否认曾经发生的动作。

（5）对服务的非法访问，包括攻击者伪装为网络和用户实体，对系统服务进行非法访问，用户或网络通过滥用访问权限非法获取未授权服务。

2．3G的安全体系结构

图11－9为3G的安全逻辑图，在3G中定义了5个安全特征组，每个特征组完成特定的安全目标。图11－9

3G安全逻辑结构图

（1）网络接入安全(Ⅰ)：这部分主要提供接入3G服务的安全，用于防止空中接口的安全攻击。这部分的功能主要包括：用户身份保密、用户位置保密、实体身份认证和加密密钥分配、数据加密和完整性等。包括接入认证和密钥分配与管理，其中认证和密钥分配是基于USIM和归属环境（HE）共享秘密信息的相互认证，认证过程中也融合了加密、完整性保护等措施。

（2）网络域安全(Ⅱ)：这部分提供各节点之间数据交换的安全性，用于防止有线环路的攻击；主要保证核心网络内信令的安全传送并抵御对有线网络的攻击。包括网络实体间的身份认证、数据加密、消息认证以及对欺骗信息的收集。（3）用户域安全(Ⅲ)：这部分提供用户的USIM和移动设备之间的安全认证，主要保证移动台的安全，包括用户与智能卡间的认证、智能片与终端间的认证及其链路的保护。实现机卡分离。

（4）应用域安全(Ⅳ)：保证用户域与服务提供商的应用程序间能够安全地交换信息。包括应用实体间的身份认证、应用数据重放攻击的检测、应用数据完整性保护、接收确认等。

（5）安全特性的可见性及可配置能力(Ⅴ)：主要指用户能获知安全特性是否在使用以及服务提供商提供的服务是否需要以安全服务为基础。

3．3G安全特征

1）网络接入安全

①用户身份机密性。与其相关的安全特征如下：

用户身份机密性：网络接收业务用户的用户永久身份（IMSI）在无线接入链路上不可能被窃听；

用户位置机密性：用户在某一区域出现或到达，不可能在无线接入链路上通过窃听来确定；

用户的不可追溯性(untraceability)：入侵者不可能通过在无线接入链路上窃听而推断出不同的业务是否传递给同一用户。②实体认证。与其相关的安全特征如下:

用户认证:服务网验证用户的身份；

网络认证:用户验证他被连接到了一个由他的HE授权且为他提供业务的服务网，这包括保证授权是新的。

为了实现这些目标，假设实体认证应该在用户和网络之间的第一个连接建立时出现。包含两种机制：一种是使用由用户的HE传递给SN（服务网络）的认证向量的认证机制；一种是使用在用户和网络之间在早先执行的认证和密钥建立过程期间所建立的完整性密钥的本地认证机制。③机密性。与网络接入链路上的数据机密性有关的安全特征如下：

加密算法协商：MS和SN能够安全地协商它们随后将使用的算法；

加密密钥协商：MS和SN能就它们随后使用的加密密钥达成一致；

用户数据的机密性：用户数据不可能在无线接入接口上被窃听；

信令数据的机密性：该性质是指信令数据不可能在无线接入接口上被窃听。

加密密钥协商在认证和密钥协商机制的执行过程中实现。加密算法协商通过在用户和网络之间的安全模式协商机制来实现。④数据完整性。与网络接入链路上的数据完整性有关的安全特征如下：

完整性算法协商：MS和SN能够安全地协商它们随后将使用的完整性算法；

完整性密钥协商：MS和SN能就它们随后使用的完整性密钥达成一致；

数据完整性和信令数据的信源认证：该性质是指接收实体(MS或SN)能够查证信令数据从发送实体(MS或SN)发出之后没有被某种未授权方式修改，并与所接收的信令数据的数据源一致。

完整性密钥协商在认证和密钥协商机制的执行过程中实现。完整性算法协商通过在用户和网络之间的安全模式协商机制来实现。

2）网络域安全

在GSM中没有涉及到网络域的安全，信令和数据在网络实体之间是通过明文方式传输的，网络实体之间的信息交换得不到保护。网络实体之间大多是通过有线网络相连的，根据网络的安全特性要求，应该有强于现有有线网络的安全保障，所以在其中对网络实体之间的通信采用了安全保护措施。通常在3G系统中不同运营商之间是互联的，为了实现安全保护，就需要进行一定的安全域的划分。一般一个运营商的网络实体统属一个安全域，不同的运营商之间设置安全网关(SEG)。在3G中网络域之间的通信大多基于IP方式，对于网络域的安全而言，IP网络层的安全是最重要的方式。网络层的安全通过IPSec的方式来实现，而这里所用的IPSec是针对移动通信网络的特点的，经过修订的IEIF所定义的标准IPSec0采用的IPSecEC可以实现网络实体间的认证，传送数据的完整性和机密性，对抗重放攻击。

3）用户域安全

①UsertoUSIM的认证。该特征的性质是:接入USIM是受限制的，直到USIM认证了用户为止。因此，可确保接入USIM能够限制于一个授权的用户或一些授权的用户。为了实现该特征，用户和USIM必须共享一安全地存储在USIM中的秘密数据(例如PIN)。只有用户证明知道该秘密数据，他才能安全地接入USIM。

②USIM终端链路。该特征确保接入终端或其它用户设备能够限制于一个授权的USIM终端，USIM和终端必须共享安全地存储在USIM和终端中的秘密密钥。如果USIM不能证明它知道该秘密密钥，它将被拒绝接入终端。

4）应用域安全

USIM应用工具包将为运营商或第三方提供者提供创建应用的能力，那些应用驻留在USIM上(类似于GSM中的SIM应用工具包)。需要用网络运营商或应用提供者选择的安全等级在网络上安全地将消息传递给USIM上的应用。

应用的安全性总是涉及到用户终端的USIM卡，需要其支持来提供应用层的安全性。随着应用业务的发展，各种各样的应用业务将会出现。

5）安全特性的可视性和可配置性

①可视性。虽然安全特征一般对用户是透明的，但对某些事件以及根据用户所关心的问题，应该提供更多安全特征的用户可视性。这便产生了一些特征，用以通知用户与安全相关的事件。

例如：接入网络加密的指示:告知用户在无线接入链路上用户数据的机密性是否受到保护，特别是当无加密呼叫建立时。

安全等级的指示:告知用户拜访网络所提供的安全等级，特别是当用户切换或漫游到具有较低安全等级的网络时。②可配置性。用户可配置一个业务的应用或设置是否应依赖于安全特征的应用。如果所有与业务相关及由用户的配置所要求的安全特征在运行之中，一个业务才被使用，则可配置特征如下：

能/不能进行用户USIM卡认证:用户应能控制用户USIM认证的运行，例如，对于某些事件、业务或应用。

接受/拒绝进入的非加密呼叫:用户应能够控制用户是接受还是拒绝进入的非加密呼叫。

建立或不建立非加密呼叫:用户应能控制当网络没有使用加密时用户是否建立连接。

接受/拒绝某些加密算法的使用:用户应能控制哪些加密算法对于应用是可接受的。

4．认证与密钥协商协议(AKA)

3G认证协议（3GAKA）中参与认证和密钥协商的主体有:用户终端(ME/USIM)、访问网络(VLR/SGSN)和归属网络(HE/HLR)。3GAKA协议中，通过用户认证应答（RES）实现VLR对ME的认证，通过消息认证码（MAC）实现ME对HLR的认证，以及实现了ME与VLR之间的密钥分配，同时每次使用的消息认证码MAC是由不断递增的序列号（SQN）作为其输入变量之一，保证了认证消息的新鲜性，从而确保密钥的新鲜性，有效地防止了重放攻击。3G认证协议具体步骤如下（如图11－10所示）：（1）用户终端(ME/USIM)向网络发出位置更新或呼叫接入消息，传送用户永久身份认证标识(IMSI)给VLR。

（2）VLR收到移动用户的注册请求后，向用户的HLR发送该用户的永久用户身份标识，请求对该用户进行认证。

（3）HLR收到VLR的认证请求后，生成序列号SQN和随机数RAND，计算认证向量AV发送给VLR。其中，认证向量（AV）的产生方法如下：AV=RAND‖XRES‖CK‖IK‖AUTNK为ME和HLR共同拥有的永久性密钥，写入在ME中的SIM卡中。图11－10

3G认证和密钥协商过程（3GAKA）图11－11

HE生成认证向量组过程

如图11－11所示各字段计算如下：

①XRES=f2K(RAND)，期望的认证应答；

②CK=f3K(RAND)，加密密钥，

IK=f4K(RAND)，完整性密钥；

③AUTN=SQNAK‖AMF‖MAC，认证令牌；

④SQN：序列号；

⑤AK=f5K(RAND)，匿名密钥，用于隐藏序列号；

⑥AMF:认证管理域，

MAC=f1K(SQN‖RAND‖AMF)，消息认证码；这里f1、f2是消息认证函数，f1算法用于产生消息认证码，f2算法用于消息认证中计算期望响应值。f3、f4、f5是密钥生成函数，f3算法用于产生加密密钥，f4算法用于产生完整性密钥，f5算法用于产生匿名密钥，5个函数具体的过程可以参见3GPP相关参考资料，本书就不做介绍了。（4）VLR接收到认证向量后，将RAND及AUTN发送给ME，请求用户产生认证数据。

（5）ME接收到认证请求后，首先计算XMAC，并与AUTN中的MAC比较，若不同，则向VLR发送拒绝认证消息，并放弃该过程。同时，ME验证接收到的SQN是否在有效的范围内，若不在有效的范围内，ME则向VLR发送“同步失败”消息，并放弃该过程。上述两项验证通过后，ME计算RES、CK和IK，并将RES发送给VLR。

因为ME和HLR都预先知道相同的计算算法，因此XMAC、RES计算如下：

消息认证码：XMAC=f1K(SQN‖RAND‖AMF)；

用户认证应答：RES=f2K(RAND)。（6）VLR接收到来自ME的RES后，将RES与认证向量AV中的XRES进行比较，相同则认证成功，否则认证失败。11.2.2

WiMAX无线网域安全问题

1．WiMAX概述

WiMAX（WorldwideInteroperabilityforMicrowaveAccess，全球微波互联接入）也称为IEEE802.16，是一种全IP的开放平台结构，主要包含固定宽带接入（802.16d）和支持移动特性的宽带接入（802.16e）两个标准。WiMAX是一项新兴的宽带无线接入技术，能提供面向互联网的高速连接，数据传输距离最远可达50km。WiMAX还具有QoS保障、传输速率高、业务丰富多样等优点。WiMAX的技术起点较高，采用了代表未来通信技术发展方向的OFDM/OFDMA、AAS、MIMO等先进技术，随着技术标准的发展，WiMAX将逐步实现宽带业务的移动化，而3G则将实现移动业务的宽带化，两种网络的融合程度将会越来越高。图11－12

WiMAX网络系统结构

（1）核心网络：WiMAX连接的核心网络通常为传统交换网或因特网。WiMAX提供核心网络与基站间的连接接口，但WiMAX系统并不包括核心网络。

（2）基站：基站提供用户基站与核心网络间的连接，通常采用扇形/定向天线或全向天线，可提供灵活的子信道部署与配置功能，并根据用户群体状况不断升级扩展网络。

（3）用户基站：属于基站的一种，提供基站与用户终端设备间的中继连接，通常采用固定天线，并被安装在屋顶上。基站与用户基站间采用动态适应性信号调制模式。（4）接力站：在点到多点体系结构中，接力站通常用于提高基站的覆盖能力，也就是充当一个基站和若干个用户基站（或用户终端设备）间信息的中继站。接力站面向用户侧的下行频率可以与其面向基站的上行频率相同，当然也可以采用不同的频率。

（5）用户终端设备：WiMAX系统定义用户终端设备与用户基站间的连接接口，提供用户终端设备的接入。但用户终端设备本身并不属于WiMAX系统。

（6）网管系统：用于监视和控制网内所有的基站和用户基站，提供查询、状态监控、软件下载、系统参数配置等功能。

2．WiMAX网络安全体系结构

在考虑WiMAX的安全体系结构时，应当遵循的原则包括：安全体系结构与运营商的类型和802.16e网络接入提供商（NAP）的拓扑结构无关；安全体系结构将支持IEEE802.16e[JP]中定义的移动用户站（MSS）和WiMAX网络间的双向设备认证；移动终端可以基于不同的网络服务提供商（NSP）选择多种授权方法，网络接入提供商将为移动终端指定适当的认证过程或者网络服务提供商的类型，如网络安全体系结构将提供网络服务提供商支持的基于可扩展认证协议（EAP）的认证；网络安全体系结构将支持数据完整性、重放攻击、机密性和不可抵赖性，并且使用全球出口条例许可条件下的最大密钥长度；网络安全体系结构将支持移动客户端发起/终止的安全机制的使用，如VPN（虚拟专用网）；ASN架构将支持用户手动或自动选择NSP和NAP；网络安全体系结构将支持在用户及其网络服务提供商之间的安全IP地址管理；与用户的认证和IP主机有关的信息将不可能被其他用户获知，除非是对于某个群组的用户/服务并且另有明确的许可；组播和广播服务只对那些明确请求并获得认证的用户开放；用户的业务管理和业务发现将不会被其他用户知晓，除非是对于某个群组的用户/服务并且另有明确的许可。

WiMAX网络的安全体系结构应当考虑的问题包括：该体系结构支持在WiMAX网络运营商网络之间的全球漫游，包括支持证书复用、授权和计费的兼容性；该体系结构支持在归属地和拜访地网络服务提供商（NSP）在连接业务网络之间的漫游；该体系结构在WiMAX的ASN和CSN之间将使用RADIUS或DIAMETER协议，另外将使用一个“互通网关”来转换上述协议和传统网络内使用的特定协议；该体系结构将兼容RFC2906中定义的AAA授权需求；该体系结构将兼容移动IPv4/移动IPv6的安全关联（SA）管理。

WiMAX网络安全体系架构主要包括的机制有：认证（包括设备认证和用户认证）、数据加密（包含数据机密性和完整性）、访问控制和密钥管理。这些机制通过IEEE802.16e系列标准中定义的PKI（公钥基础设施）、EAP（可扩展认证协议）等架构，以及其它手段（如Wi-Fi、VPN）等，可以起到很好的支撑和保障作用，如图11－13所示。图11－13

WiMAX网络安全体系结构

加密封装协议对BWA网络中的分组数据进行加密处理。该协议定义了一组双方都支持的加密算法组件，即双方的数据加密算法和认证算法。同时，该协议将加密算法运用到MACPDU载荷的规则中。

密钥管理协议提供了从基站到终端的密钥数据的安全分发机制。通过密钥管理协议，基站和终端可以同步密钥参数。此外，在基站侧还可以利用该协议来加强对网络服务的访问条件控制。

IEEE802.16e的安全字层采用了认证客户端/服务器密钥管理协议，在该协议中基站（即服务器）能够对分发给客户端SS的密钥进行控制。IEEE802.16e系列标准的安全性主要基于PKM协议。在初始授权密钥交换期间，BS使用基于数字证书的SS认证来对客户端SS进行认证。认证方案包括散列消息认证码（HMAC）、X.509证书和可扩展认证协议（EAP）。

11.3密码学在工业网络控制中的应用

1．密码学在工业设备保密中的应用

在工业设备制造业中，常常需要在软硬件设计中使用不同的加密方法，以满足各种保密性的需要，其中一种简洁、有效的形式是“对口令”。本节介绍对称密码算法在工业设备保密中的应用，主要介绍工业设备保密结构的设计，如图11－14所示。图11－14工业设备结构图

在图11－14中，保密的对象是现场设备1~n。它们正常工作时必须与加密狗对上口令，否则停机。在这里，上位机只起了通信通道的作用，因为上位机能与所有的现场设备进行通信，所以这样的设计能用一个加密狗实现对所有现场设备的管理，从而降低设备成本，以方便设备的添加和删除等。

设备保密功能的实现是序列密码算法，加密狗与现场设备之间通信的内容是对随机秘钥加密后的密文，分组长度大、扩散性强、混乱度高，即便监听、截取所有通信的内容也无法分析出其加密的规律，因此，设备的保密是非常有效的。下面介绍相关的算法和它们的应用以及相应的硬件设计。

1）密钥流生成器

序列密码的设计核心之一在于密钥发生器的设计，序列密码的安全强度取决于密钥发生器产生的密钥流的周期、复杂度、随机（伪随机）特性等。安全的密钥流生成器使用了非线性变换，请参见本书第4章的相关内容。

2）AES密码算法

AES密码算法是2001年11月26日由美国NIST正式公布的高级加密标准，是一个分组密码算法。AES密码算法选用Rijndael（由比