第12章密碼學與數字通信安全學習要點：了解數字通信保密的實現技術了解無線局域網安全與WEP的原理了解IPSec與VPN的工作機制了解基于PGP的電子郵件的安全實現方法12§12－1數字通信保密

3對保密數字通信系統(tǒng)的要求

對數字傳輸信道質量的要求1)碼元滑動數字加密信號在傳輸過程中，如果信道出現碼元滑動，將破壞通信雙方加密和解密的同步關系，造成接收端無法正確解密。因此，必須對傳輸信道的碼元滑動進行嚴格控制。2)信道誤碼率信道誤碼率是保密設備選擇密碼體制和設計密碼同步方案的重要依據，也是造成密碼錯同步、漏同步的主要原因，因此，對保密數字通信系統(tǒng)的信道誤碼率要求盡可能小。3)傳輸時延傳輸時延一般要影響通信效果和密碼同步及失步報錯方案，因此，對傳輸時延的控制有助于簡化保密設備的方案設計、保證通信效果。對數字通信設備與保密設備間接口信號質量的要求1)對接口控制信號質量的要求對于由外部設備提供密碼同步啟動信號的保密設備，如果啟動信號存在時序關系不正常，將直接影響密碼同步的可靠性，因此一般對啟動信號的形式、波形質量等都有一定的要求。2)對接口數字信號質量的要求一般要求接口的電氣特性滿足相應的技術規(guī)范。

4保密數字通信系統(tǒng)實例模型567§12－2第三代移動通信系統(tǒng)（3G）安全與WAP3G面臨的安全威脅對敏感數據的非授權訪問（違反機密性）

對敏感數據的非授權操作（違反完整性）

濫用網絡服務（導致拒絕服務或可用性降低）

否認

非授權接入服務

83G的安全特性要求

提供用戶身份機密性

實體認證

數據傳輸機密性

數據完整性

安全的能見度和可配置性

93G的安全機制

10五種安全機制

?.網絡接入安全：為用戶提供安全的3G網絡接入，防止對無線鏈路接入的攻擊。包括用戶身份和動作的保密、用戶數據的保密、用戶與網絡間的相互認證等；П.網絡域安全：在運營商節(jié)點間提供安全的信令數據交換。包括網絡實體間的相互認證、數據的加密、數據來源的認證等；Ш.用戶域安全：提供對移動終端的安全接入。包括用戶和SIM卡的認證、SIM卡和終端間的認證等；Ⅳ.應用域安全：保證用戶與服務提供商間在應用層面安全地交換數據，包括應用數據的完整性檢查等；V.安全的可視性和可配置性：使用戶知道網絡的安全性服務是否在運行，以及它所使用的服務是否安全。11認證與密鑰協(xié)商（AKA）

12WAP的安全實現模型13WAP的安全會話模式

1415§12－3無線局域網安全與WEP無線局域網標準802.11提供了認證和保密兩個服務以實現有線局域網的相應功能，由有線等價保密WEP機制提供。認證被用于代替有線媒體的物理連接；保密被用于提供封閉式有線媒體的機密性。802.11標準當前指定用WEP安全協(xié)議在客戶和訪問點AP間提供加密通信。WEP定義用來防止非授權用戶的“意外偷聽”，它使用了對稱密鑰加密算法和RC4序列密碼體制手段用來加密位于移動單元和基站之間的無線網絡連接通信。

16WEP的特點非常強壯自同步計算上高效性可出口可選性

17WEP的加、解密算法

1819無線局域網的認證

20WEP的優(yōu)、缺點

1、WEP的優(yōu)勢1）

全部報文都使用校驗和，提供了抵抗篡改的能力。2）

通過加密來維護一定的保密性。如果沒有密鑰，就不能把報文解密。3）

WEP非常容易實現。4）

WEP能為無線局域網WLAN應用提供基本的保護。5）

可以由用戶定義WEP密鑰，而且沒有限制。不必使用預定義的密鑰，可以而且應該經常更換它們。2、WEP的缺點1）RC4加密算法是個公開的序列加密算法。這意味著為了加密，它使用有限的密鑰來試圖生成無限的偽隨機密鑰，這是序列加密算法的基本特征。2）一旦修改了密鑰，就不得不告訴每個人，以便他們能夠調整設置。告訴的人越多，信息就變得越公開。3）如果僅僅使用WEP，并不能提供足夠的無線局域網WLAN安全。4）必須在每個客戶端和每個訪問點AP間實現WEP，才能生效。

21§12－4IPSec與VPN

提供了一套安全算法和一個允許通信參與實體用任何一個安全算法為通信提供安全保障的一般性框架。它實現了網絡層的加密和認證，在網絡體系結構中提供了一種端到端的安全解決方案；對每個IP分組單獨鑒別；內置于操作系統(tǒng)中；對所有IP流加密保護，且對用戶透明。提供了在局域網、專用和公用的廣域網以及Internet上安全通信的能力。

2223IPSec安全體系結構

使用兩個協(xié)議來提供安全性：一個是由協(xié)議的首部即鑒別首部(AH)指明的鑒別協(xié)議，一個是由協(xié)議的分組協(xié)議即封裝安全有效載荷(ESP)指明的加密/鑒別混合協(xié)議。

24支持兩種使用方式傳輸模式：主要為上層協(xié)議提供保護，即它的保護覆蓋了IP分組的有效載荷，如TCP、UDP或ICMP分組。傳輸模式典型地用于兩個主機之間的端到端通信(如客戶機與服務器之間，或兩個工作站之間)。傳輸模式的ESP對IP有效載荷而不是IP首部加密并可選地鑒別；傳輸模式的AH對IP有效載荷和IP首部的精選部分進行鑒別。隧道模式：對整個IP分組提供保護。為了實現這一點，在AH和ESP字段加入到IP分組之后，整個分組加上安全字段被看成是帶有新的輸出IP首部的新的IP分組的有效載荷。整個原來的(即內部的)分組通過一個“隧道”從IP網絡的一點傳輸到另一點。在傳輸過程中，沒有路由器能夠檢查內部的IP首部。因為原來的分組經過了包裝，所形成的新的分組可以有完全不同的源地址和目的地址，增加了安全性。隧道方式用于當SA的一端或兩端是安全網關。隧道模式的ESP加密可選地鑒別整個內部IP分組，包括內部的IP首部。隧道模式的AH鑒別整個內部IP分組和外部首部的精選部分。

252627282930VPN是一種確保遠程網絡之間能夠安全通信的技術，通常用以實現相關組織或個人跨開放、分布式的公用網絡(如因特網)的安全通信。其實質是利用共享的互聯網絡設施，實現“專用”廣域網絡，最終以極低的費用為遠程用戶提供能和專用網絡比美的保密通信服務。與一般專網相比，其突出的優(yōu)勢表現為低廉的費用和良好的可擴展性。

VPN主要采用5項技術來保證安全：隧道技術(基于IPSec來實現)、加解密技術、密鑰管理技術、使用者與設備的身份認證技術和訪問控制技術。

VPN主要有三個應用領域：遠程接入網、內聯網和外聯網。

3132§12－5基于PGP的電子郵件安全實現

電子郵件是最常用的一種網絡通信應用，對電子郵件的安全性而言提出了郵件內容的機密性服務和對郵件來源進行鑒別的要求，PGP(即PrettyGoodPrivacy的縮寫)作為最廣泛使用的保障電子郵件安全的技術之一，主要提供機密性和鑒別服務，用于保障電子郵件和文件存儲的安全。PGP是一個高度安全的、采用先進的公開密鑰加密算法的程序。它最初是由美國的菲利浦·齊默爾曼(PhilipZimmermann)于1991年創(chuàng)立的。在過去十余年里，PGP在全球已贏得成千上萬的支持者，且已成為基于Internet的電子郵件加密工業(yè)標準。它被廣泛用來加密重要文件和電子郵件