物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全培訓(xùn)教材(PPT-51頁(yè))課件

1、第5章 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全2022/7/192/49學(xué)習(xí)目標(biāo)本章介紹物聯(lián)網(wǎng)網(wǎng)絡(luò)層面臨的安全威脅和安全需求，實(shí)現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全保護(hù)的機(jī)制。 網(wǎng)絡(luò)層安全概述近距離無(wú)線接入（WLAN）安全遠(yuǎn)距離無(wú)線接入（3G，4G）安全物聯(lián)網(wǎng)核心網(wǎng)安全2022/7/193/49課前回顧5.1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全概述5.2 WLAN安全 5.2.1WLAN安全概述 5.2.2有線等同保密協(xié)議WEP2022/7/194/49本節(jié)課學(xué)習(xí)內(nèi)容5.2 WLAN安全 5.2.3健壯網(wǎng)絡(luò)安全RSN 5.2.4 WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI5.3 3G/4G安全2022/7/195/495.2.2 有線等同保密協(xié)議WEPWEP

2、數(shù)據(jù)幀加密封裝2022/7/196/495.2.2 有線等同保密協(xié)議WEPWEP數(shù)據(jù)幀解密與校驗(yàn)2022/7/197/495.2.2 有線等同保密協(xié)議WEPWEP的安全性RC4密碼作為一種流密碼，其安全程度取決于密鑰流的隨機(jī)程度。流密碼密鑰流的隨機(jī)程度并不高，因此在安全上存在一定的風(fēng)險(xiǎn)。弱IV與密鑰的特定字節(jié)有著潛在的聯(lián)系，每個(gè)弱IV都會(huì)泄露密鑰信息。72022/7/198如何基于公鑰密碼及成熟安全機(jī)制實(shí)現(xiàn)WLAN安全需求？82022/7/199/495.2.3 健壯網(wǎng)絡(luò)安全RSN WLAN安全標(biāo)準(zhǔn)的發(fā)展EAP: Extensible Authentication ProtocolTKIP:

3、Temporary Key Integrity ProtocolCCMP: Counter-mode/CBC MAC ProtocolWEP (Wired Equivalent Privacy) 802.11b, 1999RC4WPA(Wi-Fi Protected Access)WiFi, 802.1X , EAP, TKIP RSN (Robust Security Network)IEEE 802.11i, 2004 802.1X , EAP, CCMP, TKIP,AES WAPI (WLAN Authentication and Privacy Infrastructure) GB

4、15629.11-2003, 2003 2022/7/1910/495.2.3 健壯網(wǎng)絡(luò)安全RSNWEP v2WPA：Wi-Fi Protected Access無(wú)線保護(hù)接入WPA，基于預(yù)共享密鑰認(rèn)證對(duì)等實(shí)體，并從預(yù)共享密鑰生成一個(gè)128比特加密密鑰和另一個(gè)不同的64比特消息認(rèn)證密鑰，后者用于計(jì)算消息完整性驗(yàn)證碼。WPA可選采用IEEE 802.1X 和擴(kuò)展認(rèn)證協(xié)議EAP 對(duì)每一次關(guān)聯(lián)實(shí)現(xiàn)更強(qiáng)的認(rèn)證，并協(xié)商生成一個(gè)新鮮的共享密鑰。2022/7/1911/495.2.3 健壯網(wǎng)絡(luò)安全RSN無(wú)線保護(hù)接入WPAWPA采用臨時(shí)密鑰完整性協(xié)議TKIP實(shí)現(xiàn)數(shù)據(jù)保密性和完整性保護(hù)，仍使用RC4算法加密數(shù)據(jù)，

5、但包括一個(gè)密鑰混合函數(shù)和一個(gè)擴(kuò)展的初始向量空間，用于構(gòu)造非關(guān)聯(lián)且新鮮的每包密鑰。2022/7/1912/495.2.3 健壯網(wǎng)絡(luò)安全RSNRSN：Robust Security NetworkIEEE于2004年推出了802.11的安全補(bǔ)充標(biāo)準(zhǔn)802.11i，定義了全新的WLAN安全基礎(chǔ)架構(gòu)：健壯安全網(wǎng)絡(luò)RSN。在2007版IEEE 802.11標(biāo)準(zhǔn)中補(bǔ)充更新了WLAN安全架構(gòu)，標(biāo)準(zhǔn)中保留了向前兼容的WEP、以及TKIP認(rèn)證與保密通信方式，并定義了健壯安全網(wǎng)絡(luò)關(guān)聯(lián)RSNA。2022/7/1913/495.2.3 健壯網(wǎng)絡(luò)安全RSN1RSNA建立方法1：基于IEEE802.1X建立RSNA，實(shí)現(xiàn)

6、認(rèn)證與密鑰管理。2022/7/1914/495.2.3 健壯網(wǎng)絡(luò)安全RSN1RSNA建立方法2：基于預(yù)共享密鑰PSK (Pre-Shared Key)建立RSNA，實(shí)現(xiàn)認(rèn)證和密鑰管理。基本過(guò)程與方法1一致，不同之處是不需要密鑰協(xié)商，直接使用預(yù)共享密鑰PSK作為初始主密鑰PMK。2022/7/1915/495.2.3 健壯網(wǎng)絡(luò)安全RSN2認(rèn)證RSNA無(wú)線網(wǎng)絡(luò)安全協(xié)議棧802.1X(EAPoL)2022/7/1916/495.2.3 健壯網(wǎng)絡(luò)安全RSN(1) IEEE 802.1X一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，提供一種對(duì)入網(wǎng)設(shè)備的認(rèn)證機(jī)制。定義了在IEEE802網(wǎng)絡(luò)上封裝擴(kuò)展認(rèn)證協(xié)議EAP，即E

7、APoL協(xié)議，并支持WLAN。包括3個(gè)部分：請(qǐng)求者(STA)，認(rèn)證者(AP等)和認(rèn)證服務(wù)器。在認(rèn)證通過(guò)之前，802.1X只允許EAPoL數(shù)據(jù)幀通過(guò)AP/交換機(jī)的設(shè)備端口。二層協(xié)議，無(wú)需高層支持，適合WLAN認(rèn)證與接入控制。2022/7/1917/495.2.3 健壯網(wǎng)絡(luò)安全RSN(1) IEEE 802.1X工作原理2022/7/1918/495.2.3 健壯網(wǎng)絡(luò)安全RSN(2) 擴(kuò)展認(rèn)證協(xié)議EAP擴(kuò)展認(rèn)證協(xié)議EAP是一種認(rèn)證框架，由RFC 3748定義。支持多種認(rèn)證方法，如EAP-MD5 、EAP-TLS、EAP-IKE v2等。通過(guò)使用具體的EAP方法協(xié)商產(chǎn)生密鑰及傳遞參數(shù)。EAP-TLS

8、即為一種具體的認(rèn)證方法，在RFC 5216中定義，它使用強(qiáng)安全認(rèn)證協(xié)議TLS，采用EAP框架交換協(xié)議消息，使用PKI實(shí)現(xiàn)基于公鑰證書(shū)的請(qǐng)求者與認(rèn)證者雙向認(rèn)證。2022/7/1919/495.2.3 健壯網(wǎng)絡(luò)安全RSN(3) RSAN認(rèn)證過(guò)程2022/7/1920/495.2.3 健壯網(wǎng)絡(luò)安全RSNAP從STA接收到的所有EAP幀被從EAPoL格式解封并轉(zhuǎn)化為標(biāo)準(zhǔn)EAP幀，由高層負(fù)責(zé)針對(duì)AS認(rèn)證協(xié)議重新封裝，如對(duì)于使用RADIUS的認(rèn)證服務(wù)器AS按RADIUS協(xié)議格式封裝，轉(zhuǎn)發(fā)給AS。反之亦然。通常AP與RADIUS服務(wù)器擁有共享密鑰，用于加密保護(hù)AP與AS之間交換認(rèn)證消息。通過(guò)EAP-TLS方

9、法完成STA與AS之間認(rèn)證，在STA與AS之間協(xié)商產(chǎn)生共享主密鑰PMK(Pairwise Master Key)。AS將PMK通過(guò)加密的EAP Success消息安全地傳遞給AP，此時(shí)，完成了STA與AP(通過(guò)AS)之間相互認(rèn)證，并擁有共享密鑰PMK。2022/7/1921/495.2.3 健壯網(wǎng)絡(luò)安全RSN3. 密鑰管理協(xié)議RSNA采用4次握手協(xié)議在STA與AP之間協(xié)商產(chǎn)生和更新共享臨時(shí)密鑰，以及密鑰使用方法。計(jì)算PTK計(jì)算PTK2022/7/1922/495.2.3 健壯網(wǎng)絡(luò)安全RSN四次握手協(xié)議實(shí)現(xiàn)STA與AP之間基于PMK交換產(chǎn)生會(huì)話密鑰PTK (Pairwise Transient

10、Key)。通過(guò)四次握手協(xié)議，使得雙方確認(rèn)對(duì)方正確持有PMK，并通過(guò)交換隨機(jī)數(shù)，產(chǎn)生共享的會(huì)話密鑰PTK。消息2、3、4都使用了消息完整性碼MIC保護(hù)消息。計(jì)算MIC使用從PTK中導(dǎo)出的密鑰確認(rèn)密鑰KCK。2022/7/1923/495.2.3 健壯網(wǎng)絡(luò)安全RSN會(huì)話密鑰PTK基于偽隨機(jī)函數(shù)，使用STA與AP交換的隨機(jī)數(shù)SNonce、ANonce，以及網(wǎng)絡(luò)地址計(jì)算得出，并分解為三個(gè)子密鑰：密鑰確認(rèn)密鑰KCK(Key Confirmation Key)：128比特，用于計(jì)算MIC等。密鑰加密密鑰KEK(Key Encryption Key)：128比特，用于加密其他密鑰，如加密組密鑰GTK進(jìn)行組密

11、鑰分發(fā)。臨時(shí)密鑰TK(Temporal Key)：使用CCMP時(shí)長(zhǎng)度為128比特，使用TKIP時(shí)長(zhǎng)度為256比特，用于數(shù)據(jù)保密。2022/7/1924/495.2.3 健壯網(wǎng)絡(luò)安全RSN組密鑰GTK (Group Transient Key)使用兩次握手協(xié)議分發(fā)AP使用KEK加密GTK，分發(fā)給合法的STA。STA驗(yàn)證消息完整性后本地安裝GTK，并返回一個(gè)確認(rèn)消息。AP周期性調(diào)用4次握手協(xié)議或兩次握手組密鑰分發(fā)協(xié)議，重新協(xié)商會(huì)話密鑰PTK或分組組密鑰GTK。2022/7/1925/495.2.3 健壯網(wǎng)絡(luò)安全RSN4. RSNA數(shù)據(jù)保密協(xié)議STA與AP完成認(rèn)證后，使用數(shù)據(jù)保密協(xié)議保護(hù)802.11

12、數(shù)據(jù)幀。802.11定義了兩類數(shù)據(jù)保密和完整性協(xié)議TKIP: Temporal Key Integrity ProtocolCCMP: Counter mode with Cipher-block chaining Message authentication code Protocol。CCMP核心加密算法采用128比特密鑰長(zhǎng)度和128比特分組長(zhǎng)度的AES算法，提供了數(shù)據(jù)保密、認(rèn)證和完整性保護(hù)，以及重放保護(hù)，CCMP保護(hù)MAC協(xié)議數(shù)據(jù)單元MPDU的數(shù)據(jù)域部分和802.11幀頭部。2022/7/1926我國(guó)自主知識(shí)產(chǎn)權(quán)的WLAN安全機(jī)制262022/7/1927/495.2.4 WLAN鑒別與

13、保密基礎(chǔ)結(jié)構(gòu)WAPI中國(guó)的WLAN國(guó)家標(biāo)準(zhǔn)（強(qiáng)制實(shí)施）GB15629.11-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng) 特定要求第11部分:無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范 GB15629.1102-2003信息技術(shù) 系統(tǒng)間遠(yuǎn)程通信和信息交換 局域網(wǎng)和城域網(wǎng)特定要求 第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)(MAC)和物理(PHY)層規(guī)范：2.4GHz頻段較高速物理層擴(kuò)展規(guī)范GB 15629.11-2003/XG1-2006信息技術(shù) 系統(tǒng)間遠(yuǎn)程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范 第1號(hào)修改單2022/7/1928/495.2.4 WLA

14、N鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI中國(guó)的WLAN國(guó)家標(biāo)準(zhǔn)（強(qiáng)制實(shí)施）GB 15629.1101-2006信息技術(shù) 系統(tǒng)間遠(yuǎn)程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：5.8GHz頻段高速物理層擴(kuò)展規(guī)范GB/T 15629.1103-2006信息技術(shù) 系統(tǒng)間遠(yuǎn)程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：附加管理域操作規(guī)范GB 15629.1104-2006信息技術(shù) 系統(tǒng)間遠(yuǎn)程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：2.4GHz頻段更高數(shù)據(jù)速率擴(kuò)展規(guī)范 202

15、2/7/1929/495.2.4 WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPIGB15629.11中定義了WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI，包括兩個(gè)部分：WLAN鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)WLAN保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)WAPI使用橢圓曲線ECC公鑰密碼算法，以及國(guó)家密碼辦指定的商用對(duì)稱密碼算法，分別實(shí)現(xiàn)對(duì)WLAN實(shí)體的鑒別和傳輸數(shù)據(jù)加密保護(hù)。2022/7/1930/495.2.4 WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPIWAI采用公鑰密碼體制，重新定義了數(shù)字證書(shū)結(jié)構(gòu)實(shí)現(xiàn)實(shí)體身份與公鑰的綁定，

16、實(shí)現(xiàn)實(shí)體間認(rèn)證和密鑰協(xié)商，且證書(shū)格式與X.509不兼容。WAI鑒別與密鑰協(xié)商過(guò)程5.3 3G安全機(jī)制3G基本概念3G標(biāo)準(zhǔn)3G安全體系結(jié)構(gòu)3G安全問(wèn)題范疇3G系統(tǒng)的防范策略3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議3G系統(tǒng)安全特性優(yōu)缺點(diǎn)3G概念第三代移動(dòng)通信技術(shù)(3G)是指支持高速數(shù)據(jù)傳輸?shù)囊苿?dòng)通信技術(shù)。3G服務(wù)能夠同時(shí)傳送聲音及數(shù)據(jù)信息(電子郵件、即時(shí)通信等)。3G的代表特征是提供高速數(shù)據(jù)業(yè)務(wù)，速率一般在幾百kb/s以上。3G標(biāo)準(zhǔn) TD-SCDMA3G標(biāo)準(zhǔn)W-CDMACDMA2000WiMAXWiMAX的全名是微波存取全球互(Worldwide Interoperability for Microwa

17、ve Access)，又稱為80216無(wú)線城域網(wǎng)全稱為T(mén)ime Division - Synchronous CDMA(時(shí)分同步CDMA)，該標(biāo)準(zhǔn)是由中國(guó)大陸?yīng)氉灾贫ǖ?G標(biāo)準(zhǔn)CDMA2000是由窄帶CDMA(CDMA IS95)技術(shù)發(fā)展而來(lái)的寬帶CDMA技術(shù)，也稱為CDMA Multi-Carrier全稱為Wideband CDMA，也稱為CDMA Direct Spread，意為寬頻碼分多址復(fù)用，這是基于GSM網(wǎng)發(fā)展出來(lái)的3G技術(shù)規(guī)范3G安全體系結(jié)構(gòu)3G系統(tǒng)是在2G系統(tǒng)基礎(chǔ)上發(fā)展起來(lái)的，它繼承了2G系統(tǒng)的安全優(yōu)點(diǎn)，摒棄了2G系統(tǒng)存在的安全缺陷，同時(shí)針對(duì)3G系統(tǒng)的新特性，定義了更加完善的安全

18、特征與安全服務(wù)。3GPP將3G網(wǎng)絡(luò)劃分成3層：應(yīng)用層、歸屬層/服務(wù)層、傳輸層。3G安全問(wèn)題范疇3G安全問(wèn)題范疇網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)域安全用戶域安全應(yīng)用域安全安全特性的可視性及可配置能力3G安全問(wèn)題范疇(1)網(wǎng)絡(luò)接入安全。提供安全接入服務(wù)網(wǎng)的認(rèn)證接入機(jī)制并抵御對(duì)無(wú)線鏈路的竊聽(tīng)篡改等攻擊。這一部分的功能包括用戶身份保密、認(rèn)證和密鑰分配、數(shù)據(jù)加密和完整性等。其中認(rèn)證是基于共享對(duì)稱密鑰信息的雙向認(rèn)證，密鑰分配和認(rèn)證一起完成(AKA)。 (2)網(wǎng)絡(luò)域安全。保證網(wǎng)內(nèi)信令的安全傳送并抵御對(duì)有線網(wǎng)絡(luò)及核心網(wǎng)部分的攻擊。網(wǎng)絡(luò)域安全分為3個(gè)層次。密鑰建立密鑰分配安全通信3G安全問(wèn)題范疇(3)用戶域安全。用戶服務(wù)識(shí)別模

19、塊是一個(gè)運(yùn)行在可更換的智能卡上的應(yīng)用程序。用戶域安全機(jī)制用于保護(hù)用戶與用戶服務(wù)識(shí)別模塊之間，以及用戶服務(wù)識(shí)別模塊與終端之間的連接。包括兩部分用戶到用戶服務(wù)身份模塊(USIM)的認(rèn)證USIM到終端的連接。(4)應(yīng)用域安全。用戶域與服務(wù)提供商的應(yīng)用程序間能安全地交換信息。USIM應(yīng)用程序?yàn)椴僮鲉T或第三方運(yùn)營(yíng)提供商提供了創(chuàng)建駐留應(yīng)用程序的能力，需要確保通過(guò)網(wǎng)絡(luò)向USIM應(yīng)用程序傳輸信息的安全性，其安全級(jí)別可由網(wǎng)絡(luò)操作員或應(yīng)用程序提供商根據(jù)需要選擇。3G安全問(wèn)題范疇(5)安全特性的可視性及可配置能力。安全特性的可視性指用戶能獲知安全特性是否正在使用，服務(wù)提供商提供的服務(wù)是否需要以安全服務(wù)為基礎(chǔ)。確保安

20、全功能對(duì)用戶來(lái)說(shuō)是可見(jiàn)的，這樣用戶就可以知道自己當(dāng)前的通信是否已被安全保護(hù)、受保護(hù)的程度是多少。3G系統(tǒng)的防范策略(一)實(shí)體認(rèn)證3G系統(tǒng)完成了網(wǎng)絡(luò)與用戶之間的雙向認(rèn)證3G系統(tǒng)增加了數(shù)據(jù)完整性，以防纂改信息等主動(dòng)攻擊認(rèn)證令牌AUTN中包括序列號(hào)SQN，保證認(rèn)證最新性(二)身份保密使用臨時(shí)身份TMSI使用加密的永久身份IMSI3G系統(tǒng)的防范策略(三)數(shù)據(jù)保密在無(wú)線接入鏈路上仍然采用分組密碼流對(duì)原始數(shù)據(jù)加密，采用了f8算法，它有5個(gè)輸入3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議UMTS提供的接入安全是GSM相關(guān)安全特性的超集，它相對(duì)于GSM的新安全特性是用于解決GSM中潛在的安全缺陷。UMTS的安全架構(gòu)解決

21、了GSM安全問(wèn)題.3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議函數(shù)f1、f2、f3、f4和f5為UMTS標(biāo)準(zhǔn)中定義的單向函數(shù)。PRNG是偽隨機(jī)數(shù)生成器。UMTS中的認(rèn)證向量及AUTN令牌的構(gòu)成3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議3G認(rèn)證與密鑰協(xié)商協(xié)議(3G AKA)中參與認(rèn)證和密鑰協(xié)商的主體有用戶終端(ME/USIM)、被訪問(wèn)網(wǎng)絡(luò)(Visitor Location Register/Servicing GPRS Support Node,VLR/SGSN)和歸屬網(wǎng)絡(luò)(Home Environment/Home Location Register,HE/HLR)。在3G AKA協(xié)議中，通過(guò)用戶認(rèn)證應(yīng)答(RE

22、S)實(shí)現(xiàn)VLR對(duì)ME的認(rèn)證，通過(guò)消息鑒別碼(MAC)實(shí)現(xiàn)ME對(duì)HLR的認(rèn)證，以及實(shí)現(xiàn)了ME與VLR之間的密鑰分配，同時(shí)每次使用的消息鑒別碼MAC是由不斷遞增的序列號(hào)(SQN)作為其輸入變量之一，保證了認(rèn)證消息的新鮮性，從而確保了密鑰的新鮮性，有效的防止了重放攻擊。3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議3G認(rèn)證和密鑰協(xié)商（AKA）過(guò)程3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議3G認(rèn)證和密鑰協(xié)商過(guò)程如下：移動(dòng)終端(ME/USIM)向網(wǎng)絡(luò)發(fā)出呼叫接入請(qǐng)求，把身份標(biāo)識(shí)(IMSI)發(fā)給VLR。VLR收到該注冊(cè)請(qǐng)求后，向用戶的HLR發(fā)送該用戶的IMSI，請(qǐng)求對(duì)該用戶進(jìn)行認(rèn)證。HLR收到VLR的認(rèn)證請(qǐng)求后，生成序列號(hào)S

23、QN和隨機(jī)數(shù)RAND，計(jì)算認(rèn)證向量AV發(fā)送給VLR。其中，AV=RAND|XRES|CK|IK|AUTN。 如何計(jì)算AV各字段？3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議XRES=f2K(RAND)，期望的應(yīng)答(eXpected RESponse) 。CK=f3K(RAND)，加密密鑰：IK=f4K(RAND)，完整性密鑰。AUTN=SQNAK|AMF|MAC，認(rèn)證令牌。生成認(rèn)證向量AV的過(guò)程3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議SQN：序列號(hào)。AK=f5K(RAND)，匿名密鑰，用于隱蔽序列號(hào)。AMF：鑒別管理字段(Authentication Management Field)。MAC=f1K(SQN

24、|RAND|AMF)，消息鑒別碼。3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議(4)VLR接收到認(rèn)證向量后，將RAND及AUTN發(fā)送給ME，請(qǐng)求用戶產(chǎn)生認(rèn)證數(shù)據(jù)。(5)ME收到認(rèn)證請(qǐng)求后，首先計(jì)算XMAC并與AUTN中的MAC進(jìn)行比較，若不同則向VLR發(fā)送拒接認(rèn)證消息，并放棄該過(guò)程。同時(shí)，ME驗(yàn)證接收到的SQN是否在有效的范圍內(nèi)，若不在有效的范圍內(nèi)，ME則向VLR發(fā)送“同步失敗”消息，并放棄該過(guò)程。RES計(jì)算如下：消息鑒別碼：XMAC=f1K(SQN|RAND|AMF)用戶認(rèn)證應(yīng)答：RES=f2K(RAND)3G（UMTS）認(rèn)證與密鑰協(xié)商協(xié)議(6)VLR接收到來(lái)自ME的RES后，將RES與認(rèn)證向量AV中

25、的XRES進(jìn)行比較，若相同則ME的認(rèn)證成功，否則ME認(rèn)證失敗。最后，ME與VLR建立的共享加密密鑰是CK,數(shù)據(jù)完整性密鑰是IK。3G系統(tǒng)安全特性優(yōu)缺點(diǎn)3G系統(tǒng)在密鑰長(zhǎng)度、算法選定、實(shí)體認(rèn)證個(gè)身份保密性檢驗(yàn)等方面，3G的安全性能遠(yuǎn)遠(yuǎn)優(yōu)于2G1.沒(méi)有建立公鑰密碼體制，難以實(shí)現(xiàn)用戶數(shù)字簽名2.密碼學(xué)的最新成果（如ECC橢圓曲線密碼算法）并未在3G中得到應(yīng)用3.密鑰產(chǎn)生機(jī)制和認(rèn)證協(xié)議仍有一定的安全隱患優(yōu)點(diǎn)：缺點(diǎn)：（第14講）考場(chǎng)作文開(kāi)拓文路能力分解層次(網(wǎng)友來(lái)稿)江蘇省鎮(zhèn)江中學(xué) 陳乃香說(shuō)明：本系列稿共24講，20XX年1月6日開(kāi)始在資源上連載【要義解說(shuō)】文章主旨確立以后，就應(yīng)該恰當(dāng)?shù)胤纸鈱哟?，使幾個(gè)層

26、次構(gòu)成一個(gè)有機(jī)的整體，形成一篇完整的文章。如何分解層次主要取決于表現(xiàn)主旨的需要?！静呗越庾x】一般說(shuō)來(lái)，記人敘事的文章常按時(shí)間順序分解層次，寫(xiě)景狀物的文章常按時(shí)間順序、空間順序分解層次；說(shuō)明文根據(jù)說(shuō)明對(duì)象的特點(diǎn)，可按時(shí)間順序、空間順序或邏輯順序分解層次；議論文主要根據(jù)“提出問(wèn)題分析問(wèn)題解決問(wèn)題”順序來(lái)分解層次。當(dāng)然，分解層次不是一層不變的固定模式，而應(yīng)該富于變化。文章的層次，也常常有些外在的形式：1小標(biāo)題式。即圍繞話題把一篇文章劃分為幾個(gè)相對(duì)獨(dú)立的部分，再給它們加上一個(gè)簡(jiǎn)潔、恰當(dāng)?shù)男?biāo)題。如世界改變了模樣四個(gè)小標(biāo)題：壽命變“長(zhǎng)”了、世界變“小”了、勞動(dòng)變“輕”了、文明變“綠”了。 2序號(hào)式。序號(hào)

27、式作文與小標(biāo)題作文有相同的特點(diǎn)。序號(hào)可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”從全文看，序號(hào)式干凈、明快；但從題目上看，卻看不出文章內(nèi)容，只是標(biāo)明了層次與部分。有時(shí)序號(hào)式作文，也適用于敘述性文章，為故事情節(jié)的展開(kāi)，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開(kāi)頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問(wèn)答題，但它又不同于一般的答卷。一般的答卷用手來(lái)書(shū)寫(xiě)，人生的答卷卻要用行動(dòng)來(lái)書(shū)寫(xiě)。”主體部分每段首句分別為：選擇題是對(duì)人生進(jìn)行正確的取舍，填空題是充實(shí)自己的人生，判斷題是表明自己的人生態(tài)度，問(wèn)答題是考驗(yàn)自己解決問(wèn)題的能力。這份“試卷”設(shè)計(jì)得合理而

28、且實(shí)在，每個(gè)人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多彩的”。分解層次，應(yīng)追求作文美學(xué)的三個(gè)價(jià)值取向：一要?jiǎng)蚍Q美。什么材料在前，什么材料在后，要合理安排；什么材料詳寫(xiě)，什么材料略寫(xiě)，要通盤(pán)考慮。自然段是構(gòu)成文章的基本單位，恰當(dāng)劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開(kāi)頭、正文、結(jié)尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內(nèi)容應(yīng)該有張有弛，有起有伏，如波如瀾。只有這樣才能使文章起伏錯(cuò)落，一波三折，吸引讀者。三要圓合美。文章的開(kāi)頭與結(jié)尾要遙相照應(yīng)，把開(kāi)頭描寫(xiě)的事物或提出的問(wèn)題，在結(jié)尾處用各種方式加以深化或回答，給人首尾圓合的感覺(jué)。【例文解剖】

29、話題：忙忙，不亦樂(lè)乎 忙，是人生中一個(gè)個(gè)步驟，每個(gè)人所忙的事務(wù)不同，但是不能是碌碌無(wú)為地白忙，要忙就忙得精彩，忙得不亦樂(lè)乎。 忙是問(wèn)號(hào)。忙看似簡(jiǎn)單，但其中卻大有學(xué)問(wèn)。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦樂(lè)乎，卻并不簡(jiǎn)單。人生如同一張地圖，我們一直在自己的地圖上行走，時(shí)不時(shí)我們眼前就出現(xiàn)一個(gè)十字路口，我們?cè)撓蚰膬海鎸?duì)那縱軸橫軸相交的十字路口，我們?cè)撛鯓舆x擇?不急，靜下心來(lái)分析一下，選擇適合自己的坐標(biāo)軸才是最重要的。忙就是如此，選擇自己該忙的才能忙得有意義。忙是問(wèn)號(hào)，這個(gè)問(wèn)號(hào)一直提醒我們要忙得有意義，忙得不亦樂(lè)乎。 忙是省略號(hào)。四季在有規(guī)律地進(jìn)行著冷暖交替，大自然就一直按照

30、這樣的規(guī)律不停地忙，人們亦如此。為自己找一個(gè)目標(biāo)，為目標(biāo)而不停地忙，讓這種忙一直忙下去。當(dāng)目標(biāo)已達(dá)成，那么再找一個(gè)目標(biāo)，繼續(xù)這樣忙，就像省略號(hào)一樣，毫無(wú)休止地忙下去，翻開(kāi)歷史的長(zhǎng)卷，我們看到牛頓在忙著他的實(shí)驗(yàn)；愛(ài)迪生在忙著思考；徐霞客在忙著記載游玩；李時(shí)珍在忙著編寫(xiě)本草綱目。再看那位以筆為刀槍的充滿著朝氣與力量的文學(xué)泰斗魯迅，他正忙著用他獨(dú)有的刀和槍在不停地奮斗。忙是省略號(hào)，確定了一個(gè)目標(biāo)那么就一直忙下去吧!這樣的忙一定會(huì)忙出生命靈動(dòng)的色彩。 忙是驚嘆號(hào)。世界上的人都在忙著自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜為回報(bào)。那么人呢?居里夫人的忙，以放射性元素的發(fā)現(xiàn)而得到了圓滿的休止符；愛(ài)因斯坦在忙，以相對(duì)論的問(wèn)世而畫(huà)上了驚嘆號(hào)；李白的忙，以那豪放的詩(shī)歌而有了很大的成功；張衡的忙，因?yàn)?/p>