通信全理論與技術(shù)-講義第一章

本章內(nèi)容概1、簡(jiǎn)介因特網(wǎng)安全系統(tǒng)密級(jí)層次劃分方2、分析因特兩項(xiàng)應(yīng)用服 的安扼要介紹其他通信網(wǎng)的組網(wǎng)工作原理的安23安全目標(biāo)(資源保護(hù)保護(hù)資源的重要 4 下面簡(jiǎn)介因特網(wǎng) 5 時(shí)，即 此，ARPA又設(shè)立了新的研究項(xiàng)目，支持學(xué)術(shù)界和 1986年， 國(guó)金組布在 各地的5個(gè)科研育服的超計(jì)算機(jī)成t18年，net替代Rne成為Iere的主網(wǎng)。t主干網(wǎng)利用了Rne中已明是常成功的CP/IP技術(shù)，準(zhǔn)許各大、 或私科研。 RneInert從 IBIRI三家司聯(lián)組建一個(gè)高級(jí)網(wǎng)服務(wù)（），建立一個(gè)新網(wǎng)絡(luò)，做t為Inrnt另一主干。它與net不同net由國(guó)出資立的而t則S 使Inrnt始走7Internet的特點(diǎn)與缺二、Internet是一個(gè)無(wú)中心的網(wǎng)路89用戶需要保護(hù)的本地資網(wǎng)絡(luò)資

數(shù)據(jù)庫(kù)和信息資

服務(wù)器資本地資基于口令保護(hù)的屏幕保護(hù)程序 偵聽(tīng) 網(wǎng)絡(luò)資 ⑶數(shù)據(jù)庫(kù)和信息（數(shù)據(jù)）資服務(wù)器資WorldWideWeb，和FTP服務(wù)器是容易遭到的幾類服務(wù)器。典型的情況是，網(wǎng)絡(luò)基層組織的信息在服務(wù)器中 計(jì)算機(jī)網(wǎng)絡(luò)

大體可分為兩種1、對(duì)網(wǎng)絡(luò)中信息2、對(duì)網(wǎng)絡(luò)中設(shè)備人為的，也可能 為的；可能是外

如操作員安全配置不當(dāng)造成的安全，用戶安全意借他人或與別人共享等帶來(lái)的安全。2這是計(jì)算機(jī)網(wǎng)絡(luò)所的最大。此類又可以分為以下兩種：一種是主動(dòng)，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是，它破譯以獲得重要信息。這兩種均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致數(shù)據(jù)的泄漏。3

而，這 和缺陷恰恰 進(jìn) 的首選目標(biāo)

服系統(tǒng)偷

IP哄

信息 獲得網(wǎng)絡(luò)系統(tǒng)的權(quán)。 IP ，獲取有價(jià)值的信息資源沖器溢交工 器，試圖通過(guò)重復(fù)上網(wǎng)或者使用計(jì)算機(jī)和信息的組合破譯口令。 字符組成的強(qiáng)壯的口令可以擊敗字 用程序包含代碼問(wèn)題或引起無(wú)意識(shí)的安全漏程序的設(shè)計(jì)者有時(shí)故意在操作系統(tǒng)用程序中放置一個(gè)后門(mén)，以便支持他需要 時(shí)很快地實(shí)現(xiàn)一個(gè)流行的基于缺陷的是緩沖器溢出，它的工作機(jī)制是者發(fā)送的數(shù)據(jù)長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)一次允許的接收長(zhǎng)度。額外的數(shù)據(jù)使得程序緩沖器溢出，并且 社交工程實(shí)例 為了防止這種社交工程類型，表1-1總結(jié)了一個(gè)有效安全系統(tǒng)最重要高安全高安全只允許合法用戶,最少的機(jī)會(huì),如果遭到，那么招致的損害使用適當(dāng)價(jià) 可塑性可升級(jí)告和報(bào) 1 3、制定網(wǎng)絡(luò)系統(tǒng) 制度和應(yīng)急措施等確保決策安全的基礎(chǔ)。安全策略應(yīng)該詳細(xì)說(shuō)明每一個(gè)安全規(guī)則及清楚解釋它的目的。 系統(tǒng)資源，按照其重要程度區(qū)分優(yōu)先次序。安全策略涉及的方1器、等硬件實(shí)體和通信鏈路免受自然、人為破壞和搭線；驗(yàn)證用戶的和使用權(quán)限、防止用作環(huán)境；建立完備的安全管理制度，防止進(jìn)入計(jì)算2、控制策略控制是防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被使用和非常。它也是網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要。各問(wèn)控制可以說(shuō)是保證最重要的策略之一。下面我們分述各種控制策略。1、入 控2、網(wǎng)絡(luò)的權(quán)限控 級(jí)安全控4、屬性安全控5、網(wǎng)絡(luò)服務(wù)器安全控6、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控7、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控8 控1、入網(wǎng)控入網(wǎng)控制為網(wǎng)絡(luò)提供了第一層訪2、網(wǎng)絡(luò)的權(quán)限控網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)操作所提可以哪些、子、文件和其他3 級(jí)安全控 修改權(quán)限文件查找權(quán)限（File存取控制權(quán)限（AccessControl）4當(dāng)用文件、和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、等指定屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、和網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的，對(duì)的網(wǎng)絡(luò)，服務(wù)器應(yīng)以圖形或文字或聲音等形式，以引起網(wǎng)節(jié)點(diǎn)的。自動(dòng)回呼設(shè)備用于防止合法用戶，靜默調(diào)制解調(diào)器用以防范的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)的驗(yàn)證器（如智能卡、、安全發(fā)生器）8、 各種設(shè)備 的風(fēng)險(xiǎn)估系統(tǒng)使用權(quán)設(shè)置可接受行為和無(wú)法接受行健全的安全策略文安全策略執(zhí)行計(jì) 示，系統(tǒng)權(quán)限的例子如表1-2表1-2、可接受(允許)系統(tǒng)管理使用Web站點(diǎn)上所 安全策略執(zhí)行計(jì) 級(jí)別1危急級(jí)別2重要級(jí)別3例行的,基本 區(qū)分優(yōu)先次序，那么就可定義每一種統(tǒng)創(chuàng)建一個(gè)詳細(xì)的文檔資料，包括硬件的類型，當(dāng)前的配置和使用的協(xié)議。當(dāng)把全部資源進(jìn)行分類后在安全執(zhí)行計(jì)劃中，應(yīng)該包括一個(gè)能由系統(tǒng)區(qū)分優(yōu)先次序的安全 和操作規(guī)范 。獲得的資源。例如，電子郵件是大多 電子郵件優(yōu)電子郵件服務(wù)的組電子郵件的主要安直接消息能夠在發(fā)出幾秒后收有效性消息能夠從世界任何地方，甚至旅行途中可塑性消息能夠包含程序的附件和數(shù)據(jù)文件適應(yīng)性盡管因特網(wǎng)是最流行的通信工具，其他的形式例如局域網(wǎng)/廣域網(wǎng)、無(wú)線電或者通信同圖1-4一般電子郵件服務(wù)的網(wǎng)絡(luò)方郵 郵用 用用 用用 因特 用用用用圖1-5一個(gè)“郵 局域輸 輸用戶1用戶

用戶

用戶1用戶2用戶郵件服務(wù)

用戶 用戶5用戶…

用戶 用戶5用戶圖1-6郵電

郵電用 用用用因特用用用

用用圖1-7以太

以太路由客電子郵件捕獲工服務(wù)圖1-8由電子郵件搜索工具敗露的信基于客戶機(jī)/服務(wù)器應(yīng)用的安全問(wèn)商務(wù)旅行中筆記本式計(jì)算機(jī)的安全 CheckPoint創(chuàng)立者GilShwed于1993年發(fā)明并引入國(guó)際互連網(wǎng)(US5606668(A)1993- 1、服 規(guī)3 4均要經(jīng)過(guò) 下面圖 在網(wǎng)絡(luò)中的位置圖1-9客戶/路由主頁(yè)服務(wù)網(wǎng)絡(luò)集線用 用

服務(wù)

用 用圖1-9器 外部，局域網(wǎng)主群組都 夠該局域網(wǎng)主群組，只能瀏覽主圖1-10

用 用

用 用圖1-10 數(shù)據(jù)的用戶。為 普通的用部分，兩個(gè)局域網(wǎng)單獨(dú)由一 商務(wù)旅行中筆記本式計(jì)算機(jī)的安全在商務(wù)旅行中，筆記本式計(jì)算機(jī)的主要不是，而是來(lái)自非的本地在商務(wù)旅行期間，當(dāng)一個(gè)筆記本式計(jì)算機(jī)沒(méi)有人照管夠被者拷貝。同樣，當(dāng)出差到國(guó)外工作時(shí)，用戶公服務(wù)，這些設(shè)備可能服務(wù)于的目的。抵御非的最好方法是必須具有一個(gè)小型個(gè)人計(jì)算機(jī)卡，如smart卡，在同意操作系統(tǒng)前，這些卡需要一個(gè)個(gè)人號(hào)(PIN)或口令。當(dāng)筆記本式計(jì)算機(jī)閑置時(shí)算機(jī)卡可以保存在個(gè)人的口袋如果采用了上述兩種數(shù)據(jù)保護(hù)措施，那么即使筆記本設(shè)你有這些重要文件的備份，那么遭到損失的數(shù)夠很快重新恢復(fù) 抵御 的策 (4)當(dāng)通信時(shí)，敏感數(shù)據(jù)應(yīng)該采用加密措施，不 護(hù)屏幕 準(zhǔn)備通過(guò)約旦首都偷偷運(yùn)到首都達(dá)。在的立即行動(dòng)，偷偷把一套帶有的同類換裝到了這種電腦內(nèi)，從而順利地通過(guò)電腦將侵入到了軍事指揮中心的主機(jī)。據(jù)稱，該國(guó)馬里蘭州米德堡國(guó)家安全局設(shè)計(jì)的，名為AFgl。當(dāng)?shù)亩鄧?guó)空襲時(shí)發(fā)動(dòng)“沙漠風(fēng)暴時(shí)”，就用無(wú)線裝置激活了隱藏的，致使的防空系統(tǒng)陷入了癱瘓。的們?cè)f(shuō)“我們的努力沒(méi)有白費(fèi)，公眾交 網(wǎng)絡(luò)的安公眾交 網(wǎng)絡(luò)的優(yōu)公眾交 網(wǎng)的主要安呼叫協(xié)公眾交 網(wǎng)絡(luò)的優(yōu) 公眾交 網(wǎng)的主要安圖1- 的安認(rèn)證完整性

服務(wù)性圖1-12用于PSTN通信 設(shè)撥號(hào)普通撥號(hào)普通模訓(xùn)CFS安全模

普模普模鈴聲B

D SDS安模服務(wù)確 服第一步是由呼叫人拔建立普通話路連接。一旦連式。這個(gè)初始會(huì)話或普通模式是通信中的一個(gè)時(shí)期。任何者感的許多有用信息包含在會(huì)話的初始和最第二步服務(wù)請(qǐng)求,建立信號(hào)連接,由圖1-12中“A”階段開(kāi)始第三步是“建立數(shù)字連接,Modem(調(diào)制解調(diào)器訓(xùn)練”會(huì)話，在此期間，進(jìn)行通信信道的狀態(tài)和Modem兼容性的試驗(yàn)，在“C”和“D”期間，呼叫和被呼叫用戶之間細(xì)致交換 無(wú)線通信網(wǎng)的主要安移動(dòng)通信網(wǎng)的通信體移動(dòng)通信網(wǎng)的組移動(dòng)通信網(wǎng)的現(xiàn)有安全措移動(dòng)通信網(wǎng)的主要安無(wú)線電通信網(wǎng)經(jīng)常受到以下四種安 測(cè)干無(wú)線通的特點(diǎn)是不管在什么地方發(fā)射，在點(diǎn)周圍的人都能接收到。因此，為了保持安全性好的策略所有內(nèi)容都發(fā)射出去。同時(shí)除別需要，對(duì)于即時(shí)信息和指令的傳輸，無(wú)線通信必須的，也是最有效的通。但是，通過(guò)靈活使的控制能夠限制通聽(tīng)的危害程度。為了可靠地獲得消息，一般高的功率是最重要的，為何在VHF和UHF波段仍然堅(jiān)低的傳輸功率，因?yàn)榭梢韵拗仆ǖ奈：Τ棠壳霸S多發(fā)射機(jī)，它們具有適當(dāng)?shù)膫鬏敼β蔬@一特征在這種產(chǎn)品中是自動(dòng)調(diào)節(jié)的，調(diào)節(jié)的是測(cè)量無(wú)線通信信道的比特誤碼率，并且自動(dòng)減少，直到比特誤碼率下降到可接受的水平是建立在通信鏈路的最佳電平在微波鏈路中，抵的有效措天線和測(cè)向中則不適用 所

或哄騙，是指在一 中，人或其他當(dāng)事 成友好的成員。在通模式的語(yǔ)音通信中，這不是一 空戰(zhàn)中，經(jīng)常使用這種方 軍

，使用口令認(rèn) 圖1- 發(fā) 機(jī)理論上的邊界最大發(fā)射距離干擾干擾干擾臺(tái)能使敵軍喪失使用無(wú)線通 而不是發(fā)射機(jī),如圖1-19所示圖1-19這里以全球移動(dòng)通信系統(tǒng)(globalsystemformobilecommunication，GSM)為例說(shuō)明移 圖1-20GSM鄉(xiāng)村的城 區(qū)的微型一個(gè)蜂窩單元(cell)的大小是由BTS支配的 能夠順利進(jìn)行，因此庇護(hù)型蜂窩單元(umbrellacell)就是 除此之外，對(duì)于國(guó)內(nèi)的網(wǎng)絡(luò)結(jié)構(gòu)，當(dāng)SM需要和PSTN接，M操作者必須提供互相連接和可操作性。在兩個(gè)系統(tǒng)之間接口點(diǎn)，按照安全需要來(lái)設(shè)置是非常有上在這個(gè)接合點(diǎn)，S通話脫離了移動(dòng)系統(tǒng)的一些保護(hù)措施，并且隨后按照本地STN固有的情況進(jìn)行通話，容易 。除非增加額外的防范，M的 移動(dòng)站(mobile 或汽 無(wú)線收 (basetransceiver控制器(basestation網(wǎng)關(guān)移動(dòng)服務(wù)交換中心(gatewaymobileservicesswitching移動(dòng)服務(wù)交換中心(mobileservicesswitching操作 (operations&management本地地址寄存器(Homelocation者地址寄存器(visitorlocation認(rèn)證中心(authentication設(shè)備特性寄存器(EquipmentidentityBTS-BSC接口(BTS–BSC空中接口(airGSM算法密鑰(Ki& 圖1-21GSM桌無(wú)線收

空中接

移動(dòng)BTS-BSC接認(rèn)證中

本地地址

無(wú)線收址寄存

BTS-BSC接控制器移動(dòng)服務(wù)交換中心網(wǎng)關(guān)移動(dòng)服務(wù)交換中心空中接移動(dòng)站用

BTS-BSC接無(wú)線收

控制器

BTS-BSC接

空中接

者地址寄存移動(dòng)站用無(wú)線收GSM的認(rèn)證處 GSM的 GSM認(rèn)證和 理的完整原理1-22GSMGMS移動(dòng)

認(rèn)證中用戶密鑰

128比認(rèn)算法32比

認(rèn)證結(jié)認(rèn)比 算

產(chǎn)生128比128比

A3信號(hào)響

器SRES

用戶密鑰(AuC用 在 C算法檢驗(yàn)用戶 的有效性A算法需要使用兩個(gè)輸入：一個(gè)是認(rèn)證密鑰，它是利用用戶的 密(Ki)替代的；另一個(gè)是實(shí)時(shí)產(chǎn)生的隨機(jī)(RND。按照A3算法設(shè)計(jì)要求，這兩個(gè)輸入的長(zhǎng)度都為128比特隨機(jī)數(shù)借助于網(wǎng)絡(luò)通接口發(fā)射給移動(dòng)用戶。這個(gè)隨機(jī)數(shù)S接收，驗(yàn)證通過(guò)后傳遞到它自已的 出，即32比特的SRES。SRES被轉(zhuǎn)發(fā)回認(rèn)證中心 了在每一 時(shí)SRES值是不同的。這 /響系統(tǒng)的一個(gè)典型例子 國(guó)際移動(dòng)用戶識(shí)別碼InternationalMobileSubscriberIdentification 中，可用于區(qū)別移動(dòng)用戶的有效信網(wǎng)；MSIN是移動(dòng)用戶識(shí)別碼，用以某一移動(dòng)通信網(wǎng)中的移動(dòng)用戶臨時(shí)移動(dòng)用 的識(shí)別標(biāo)記(TMSI臨時(shí)識(shí)別碼的設(shè)置是為了防止個(gè)人或團(tuán)體通過(guò)無(wú)線路徑上的信令交換而竊移動(dòng)客戶的位置TMSI是由MSC/VLR分配，并不斷地行更換，更換周期由網(wǎng)路運(yùn)營(yíng)者設(shè)置。更的 但 有影響 臨時(shí)移動(dòng)用

(TMSI)的發(fā)布過(guò)TMSI是臨時(shí)移動(dòng)用 標(biāo)記。TMSI是由本 者地址寄存器)向通過(guò)認(rèn)證的漫 用移動(dòng)-2。 者通過(guò)Um接口所了解圖1-23臨時(shí)移動(dòng)用 (TMSI)的發(fā)布過(guò) 移動(dòng)服務(wù) 移動(dòng)服務(wù) A5算A5算

A5算A5算圖1-24GSM的 移動(dòng)用戶網(wǎng)絡(luò)網(wǎng)絡(luò)隨機(jī)數(shù)產(chǎn)生器隨機(jī)數(shù)產(chǎn)生器明文數(shù)據(jù)

KcA5算法A5算法空中接口Um密文A5算法A5算法

明文數(shù)據(jù)圖1-25A5密 生線性移位寄存器線性移位寄存器時(shí)控線性移位寄存器

A5圖1-26GSM Ki128比特用產(chǎn)生

其他的GSM用桌移動(dòng)服移動(dòng)服務(wù)交換中心由A4算法加密的安全參

用密128