维普资讯 http://www.cviqpco.
・
m14・
4
计
机应算用究
20 0 4研年
防火墙 包 滤 过技 发术 展研 究
翟钰 ,武 凡 舒胡,建武
(. 1西安建筑 技 科大 信学息控与制程工 院学,陕西 西安 70 7 ; 西2 交安 通大学 电子信 息工与 程学院陕西,10 1 .西
安7 0 7;3中 国科 院学研 生究院国 家算计机网入侵 防络 中心范 ,京北1 03 10 1) . 009
摘要 : 防墙 火技 术主 要分为 包过 滤 和应 用代 理 类 。 两 数 据从 结包构 出发 , 析包 过 技滤术 先提,出 包 过 滤 分 首
技术的 核心 问题 ; 然后在 分 传 统析 包 过 滤 术技 缺 陷 基的 础上 , 细 论 述 了包过滤 技术的 种 两 发展 势趋; 后技 详 以最
术实 说 明例了这 两种 势趋的融 合 。关 键 词: 防 火 墙 包; 滤过 动 ;态包 过滤 深; 包检 度
中图法测类号 分T 3 30: P 98.
文献
标码识 A:
文章
编号 10 —:65 0 29) 0 —3 0 413 (9400 —14
0Re
e hr o e h oo yD e eom et o a kFt lr n n F raw sla c n T c l ng lvpn fP c e ie i g i ti el
Z HAI u Y.W U —h a. HU Ja —】 wS un f n li
( c .olf oI a i1Sh o n or n&t C on Egenn , i nvas)o A c c r i&T h g o, i a nh i1 10C i ;2 Soh Eo fm o o t l in grX ’ Uni r tf r t t e r i ee heu i nle) X ’ n aSx 7 70, h cn oa .col f lt n&I aoi ni e n .ia i on ne i, ia h n 1i0 1C i a ai. C m ua e ro nkri re e r c o cin r t n E gnr g X nJ’t g i rU tX nS’a x 7 0 7 ,h : 3 t N l nop t t r t sIn P oc m f ei aoov s y n o New u o t
t Cnn rGa utS0,hhsAaeny Si c.eo i0 3 ,hn ) o iet r a,ec zo Ci cdem cnBre 1n0 9 C i e d e fe g 0
Ab ata t r F lwc n b ls i e s pce l a r d p ia i na a e t
I hs p prt e p ec lrme d wh a as y e s rc i a: la e casf a d ak tt n pl gtn . n t i a e , h k a t t t oa n lz e d i if ec o f ie m f e ts rc u oe a ap ca eF t tre k y po lm p c e fl irp o o e te h owp s i le ndy o h r h tt r d t f akg . i sh e r b e o ka t f t s r p s d , h t ne t o b e ts n e c tf e ou i e p c e l e t o h rru h y i sva e i.i a l s v lcrs s a e ue o i tuea t ec bm n nto et ed n a k t rmteh d a teo gl en tt d Fn l f oi g , eye a a e r sd t l sth o i a i ft w ot n e — r l ho
・ y
cK
e r s r Faw lP ec i e; D ay cP c e e ;iDe pP c e np ci n yw o d:i l e;a k t F l rtn m i a k tF l r t a ek It s e to
1
言 引
着随 tIt n re 的迅 速发 n 展, 网络 应e 用 涉 到 及越来 越 的多 领域, 络网中各 重要 的 、 感类的数据 逐 渐增 ; 敏 同多 时于由 黑 客入 侵 以及 网络病 毒的 题问, 得网 络安 问 题全越 来 越突 出 。 使因
2数据包 结构
当用应 程序用 T P传送 据 数时, 据 被 送入 协议 栈中 , 数C然 后逐 个 通 每一 层 直到 被过 当 作 一串比特 流 送 网入 络其 中每。
一
层 对接
到 的收 数据 都要增 加一 些部首信 息 。T 传P给 IC 的P 数据 元单 称作T P 文 段 C( em n I)给 网络 接口层 C 报 T PgSe t; P传的 数 单据 元 称作 I 报据( D t r P;过 以 太 网传 输 的P数 I a g) m a通 a比 流特 称作 帧 r e(。 对于进 入 防火 墙的 数据包 , 序 正 好 a F)m 顺 此与 反相 ,头 部 息 逐信层 剥掉 。 ,I P C TP部首格 式 图如1 图2
、示所。 板本
首部l长l 服务 类
标 识
此, 护网络 源资 不 非被授 访 问 权, 病止 毒 传 播 感 的染显 得 保 阻
尤为 重要 就
。目前 言 , 于而 部 局络 网保的护 , 火 仍 墙不 然对 防 失为一 有种效 的手 段防 , 火技 墙术 主 分 要为包 过 和滤 应用代 理 两 类其。中包 过 作滤为 最早 展 起发来的 一种 技 术 ,应其用非 常
广泛 。
所
谓包 滤过, 是 流对 网经 络防火墙 的所 有数 据逐包 个 就检
查
, 依据 制所定的 安 全 策 略来决 定 数 包 是据通 过还 是 不 通 并
过 包。过滤 最 要主的 优 在 于 点其速 度与透 性 。也正明是 由于 此. 滤过技 历术 经发 展演 变 未被而 汰 淘 。包
长度总
标 志 偏片移
隹
存时间
l
协 议
源 I P地 址 目 的I P 地址
首 部校 验 和
由于 其主要 是对数 据包 的 过 操作 滤 ,以据数 结包构 是 包 所 过滤 技
术 的基 础。虑 考包 滤过技术 发 的展 过 程 ,认 为以 包过 可滤的核 问题心就 是 如何充 分 用 数利据包 各 个字 段中 信的息 , 并 结 合安 策全 来略完 成防墙 火的 能功。 本 文从 数 据包 构结的 角 度 出 发,析 包 过 技滤 ,术细 论 分 述详了包 过滤技 术的两 种 发 展趋势 。
收 稿 期 :2日0 — 9 2 ;修 返 日 期2 : 0—1 0 00 3— 30 13— 4源
端号
口项 选
图1
I 首P部格式
1
序 列号 认确号
目的 端口号
部首 J长保留 : T P 校验和 C
fI
选 项
窗1
大小 3 急紧指 针
图
2 T 首P部格 式 C
基金项 目: 国 “6家 ”划 资助 项(目 0 2A 411 ; 科国 83 计 20 A 15 2 )中
项目 ( 0 0 0 3 )0 H2 10 95 0
2
对 于帧 的 头 部 信 息 要 主 是源/目的 机 主 M的 C地 址; PAI
要段字包 括 /源目的端 、 发送口及 确 认序 号 态、标 识 等 。 状
学院
识 知创新 工程 向方性 目(项G X — 0 ) 北 京 市 技 计科 划K C 2 61; 数据 报 头 信部 息主要 源是/目 的主 机 I的P 地址; T P头C 的 部主
维
普资 讯tht:p/ww/.cqwvipcom
. 第9期
翟
钰 : 等火防墙包滤过术技发 研展
究
・4 l 5・
理 论上 讲, 据所包 有头 部信息 以 有效及 载荷都可 以作 为 数判断 包 过通 与 否依的据 , 在是 实际情 况中 , 过 滤 术 技 上 但的包
题问主 要是 选取 些哪字 段 息 ,信以及 如何 效 地 有用利 这些 字段 信息并 合结访 问控 制 表来 列 执行包 滤过 操作 , 尽 能可 提高 安 并
全 控制力度 。
态包动 过 通 滤在过内 存 中态动地建 立
和维护 一状 态 表个 , 数 据包 到 达 ,时 该 数据 的 处包理 式方 综 将合 静态安 规全则 和 对数 据包所处 的 状态 行进 这 。方种 的法 处在 于 好: 由于不 需要 每对 数个 据进行 规则 检包 查, 是 个一 连接的 后续 据 数 ( 包 常而通 是 大 量的 据数 包 过) 散列 法算 ,接 进 状 态 检行 查, 而 使 通直 从性能 到得 较 了提 高大; 而 ,且由 于 状态表 是动 态 的,因而 可 以有 选 择 地、 态 开 通 12 动地0 4 号上以的端 ,口安 全 得 到进 一性 步 地提使 。
高 传统3包 过滤技术 点
缺传统 包过 滤技术 ,多是在 I 层实 现 ,只 是简 的单 对当 大 P 它
前 在正通 过的单 一数据 包 进 检 行 测,看 / 源 查的 目I址 、P地 端 号 口及以 议 类协型 D( C/ ), 合 访 问 控 制规则 对 据数 U PT P 等 包实 施 有选 择结 的通 。这过 种 技 实术现 单简 ,理 速快度 ,应 处 对透用明 , 是 存 它在的 问 题也很 多 , 但 要 表主现有 :
态动包过滤 技 术 克服了传 统 包过 仅滤仅 孤 立的 查检单
数据个 包和 全安 规则静态 不 变可的 缺陷 ,得 火墙防的 全 控安制 使
力度 更 为致细。 4 深度 2包 检 测.
() 可有 能会 用 到的端 都 必口 须 静放 开 态。 允若许 建 1所
HY T 立连接P , 需 就 开 要放 1 042以上所 有端 ,口无 疑 增加了 这
攻击 被的 可 能 性。
目前 许 多
造成 规模大 害的损网 络 击 ,攻比如 红色码 和 代 尼达,姆都 利用 是了用应的弱 点 利用。高 层协 议的 击攻和 网络 病 毒 的 频 出繁现, 火防墙提 了新出的要求 防。 火墙 必深 须 入 检对
查数据包 内部 的来 确认 恶出 行 为并意阻 止们它 。深 包 检测 度( ep Pc esIen 就t 是 对针 这 种需 ,求D e ak tnpc o) i深入 检 数测 包 有效据载 荷, 行基 于用应 层 的 容内 过滤 执 ,以此 提 高系 统用 应防御 能力。 应用 御 防的技 术题 主要 包括 问 ①需:要 对效有载 荷 知道 得 清更 ; 也需楚 高要速 查 检 它能 力的 ②。 简 单的 数据 包内容 过 滤对当 前 正 在 通 的 单 一 过据数 包的 有 载荷效 进行 描检 扫测 是,对 应于 用防 御要的 求而 言 ,是 但 这
(
) 能 对 数据 传 输 态状 进行 判断 。 如接 收 到 个一 KA2不 C 数 据 ,包 就 为认这是 个 已一 建 立 连的 接, 导 就 致 多 许 全安隐 这 ,患一些 恶意 扫 和描
拒绝 服务攻击 就 利是 用了这 个缺 。
( 陷) 法滤过 审 核数据包 上层 的 容内。 即 使 通过 火 墙 防3 无
数的据包有 击攻性 或包 含病 毒 代码 , 也无 法 进行控 制阻 断和 。综合 上述 问 题, 传 统 过 包滤 术 技的缺 陷在 于 : 乏缺状 态 ①
检 测能 力; 乏缺应 用 防 能御力 。 而 问题 根 的本原 因 在 于: ② ①
只对当 正 前通在 过的单 一 数据 包进 行 检 测, 而有没考 虑前 数后 据包 之间 联 系的; 只检 查 包 头 信 息, 没有 深入 检 测 据 包数 ② 而
有 的 效荷 。载
远
不远够。如的段一攻击代被分割码到1 0数据包个中传 ,输 那
这种 么简 单对 的单 一数据 包的 内检容 根测 无本法 攻对 击特 征进 匹 行 :要清 配地楚 知道 有 效 载 , 荷须 采 取 有方 效法 , 将必 单 个 数 包重 据新组 成合 完的整 据 流数。 应用 层 内的容 过滤要 大 求 量的计算 资 源 ,很多情 况下 高 达1 甚 至0 更 。高而因 执 要 行深 度 检包 测, 来的 问 题必然 是 0 倍带
4过滤包术 技展发
传 包过 滤 技统 必 术 须 发展 进化 , 承 其继优 点 前的提 下 在 ,
采用 新技的术 手 , 服段 其缺 陷, 进 一 步满 新足的安 应 用全 克并
要 求
。从 数据 包结构 m 发 考虑 目前,包 过滤 技 术向个方 两发
展: ①向横 向联系 。 在包 即检 测考 虑 前中 后数 据包之 间的 关 , 系 充 利用分包 头 信息 中 体 能 此 关现 系的字 , 段 I 部的 识 标如 P首
性 能
的 降 , 这就 下是 谓 所的 内容 理 处碍 障。 为突 了破 内处容理 障碍 , 到实 地时分 析 网络 内容和 为 行, 要重点 在 加速 上 采达 需
有效取 的办 。通法过采 硬 用 件芯片和 更加 优 的化算法 , 以 解可决 这 个问 题 。个一 度深包 检测 的流 程框 如图 图3示所 。
0P3
P字段
和 偏片 移 段 字、CT P 首部 的发送 及确 认 序号 动、 窗的 口滑 小 、大 态标 识等 ,态 执 行数据 包 过 。滤纵 ②向发 展 。 深入 状动
检 测数 包据 有 效荷载, 别 阻 止病 并 毒代 和基码 高于协层 议的 识 攻 击 ,此来 提 高应以 用御 防能力。这 两种 技 术 的展发并 不 是独 立 的 ,态 包 过滤 可 说 以是基 于 容 检 内技测 术 的基 础。 实际 动, 上在 度深包检测 技 术中 已经 现体 两种了 技 的术融 趋势合 4
1动 态 过滤包 .
服 务 析分
命令 解析
器HT PF
命令解 析器
匕匾 =
当 笪
笪八 _五
.
陬
丽
图 深 3度包 检 测 框
图
动态 包 过滤 ( ay i Pce F t)D ncma k i t 又称r 为基于状 态 数 的 le 据 包 过 滤t e (l kt i a r 在 传 ,统 包过 滤 技术 基础 之 S t PcueF t 是)a f e l 上展 发来起的一 项 滤过 术 , 最早技由 Ce kot 出 。hc ip提 n
在接
收 到网流络量 后 ,要 需 行 内容 进描 扫的数 据 定 向流 将
到T P 栈I, 他 数 流直 据接定 到向状 态 检 引测 ,擎基 CP堆/其 按
本检 测方式进 行 处理 。定 向到 T P IC/P 栈 的堆 据 流 , 先数 转 换成 内首 数据容 流服。 分务 析器 根 据 据数 服 流类务型 分离 内 容
与
传 统 包过 技 滤 只检 查 术单 、 个立 的 据 包 不数同 , 态孤动
过 滤试包 将 数 图包 据 上下 文联 系的起来 ,建 立种 基 一于状态 的 过 包滤机制 。对于新 建 的应 连 用接 ,防墙火检查 预先设置 的 安
数
据流 , 送数 据 流 到 个命 令一 解 析器 中。命 令解 器析 制 定和 传
分 析每一个 容 协内议 ,析 内 数容据 流 测病 毒 ,蠕和 虫 如 分。 检 果 检测到信 息流 一个 H 是 TY 数据 流 , 命令 P 解器 析 检查 载 上 则
全
则规, 许 符合 则 规的 连接 通过 在 ,内 中存记 录下 该 连 接 并允
相的关信 息 , 这些 关相信 息 成构 一 个状 态表 。这 样 一 , 个新 当数据的包 到 达 ,属 于果已 建 经立 连接 的, 检查 状态表 , 考 如 则 参数据流 上下文决 定 当 前 数据包 通 过与 否 ; 果 是建新 接连, 如则
查检静 态规 则 表 。
和下 载
文的 件 ;果如 据 是 M数a类型 检,查 邮件 的附件。如 i l则果
据数流 包 附件 或 含载上 下载/文 件 , 件 附和 件文 将传 输 到
病
毒描引扫擎, 有其他所内容传到内容输过滤擎。引果如内 容过
启滤 动 数据 流将 根,据过 滤 的置 进设行匹 配, 过通或拒 绝 数据 。
普维资讯h tpt:/w/wwc.viqp.ocm
・
l・6 4
算计应用研机究
2 004正
过滤 的结 卡流 承继了包 过 滤防 墙 的火应 用 透 明特 的 点 ,句
流5过 技术滤
流过滤 是东 集 团软提 出 一 的新种 型防火 技 墙术架 ,构 融 它
常非容 易 部署 ,具 且很有好 的应 用 防 御 力能 。过 流 的另滤一 而
个 优势 于性住能 , 为 全过 和 转滤发 的目 重 新 而 现实 的T P 完
C
基状 态于的 包过滤 技 术 与 基于内容 的 深 度包检 技 术为测 一体 ,
提供 一 个较了
好 应的用 防 解 决御方 案 它以状 态 监测 技术 为 基 ,础 此 基在 础上进 行了 改进 其 基 的本 理 原 是 : 但状 以 态 包 滤过 形的态 实 现应用 层 保护 能 力 :的通过 内嵌 的 门实 专 现 的TPI C /P协议栈 , 现 透 明 的了 用应 息信过滤 机制 : 实 流 过 滤技 术的关键 于其 架 在 构中的 专用T P 1议 栈: C P协 /这个协 栈 是 议个 一标 准的 T协P 议的 现 ,实据 T P协 议的 C 依 C 义定对 出入 防 火墙 的 据包数 行 了完 整进 重的组, , 组 重后 数的据
流交 给 应用层 过滤 逻辑 进 行 过 滤, 可 而以 有效地识 并别 拦截 从
协
议 栈 相对 于 以自 服 身务为目的 操的 系统作 的中T P 协 栈议
来C说, 耗 资 更 少源 更且 加高 效 ,以 说流 过 滤 采用 专 用 的 消 可 T P协议 饯决 解 _Cr 容 过内滤障 碍的问题 , 提大 高了 火 防墙 处
理大速度 一
6结 语
本束文 从分 析 数 据 包构 结出发 ,出 包过滤 技术的核 心问 题 是选 提 哪取 些字 信段息 ,以及 如何 有 地效利 用些 这字段 信息 并结
访合 问制控 列表 来执 包行 过操 作 滤 ,可 能尽地 提安 高控全 制 并
力 。度在此基 上 , 分础析 了包过 滤 术技 的 种两发展趋 。势 我们 看到 , 种术 取技长 补短 .两相 融互合 , 也是一 种展 趋 势发 。 考参文 献:
【 D ul ] o e用 T P I行网际 连 互[. 瑶, . o1gs m C aEr. C /P进 M] 林等北京 :
子电工 业出版 社 0 1 2. . 0
应用 层 攻 的 击图企 : 在这种 机 制 下, 防墙火外 部 看, 然是 包过 滤 形 的态 从 仍, 工 在 链路作 或 层 P层 I, 则 规 允许 下, 端 可以直 接 问 但访 在 两 是 何.一个被 规 则许允 访 的在问 防 墙 火内部都存 两在个完全 独任立 T 的会 P话 , 以 “据 ” C数 流的方 式 从 个 一 会 流 向话另一 个 会话 。由于 火防墙的 应用 层策略 于流 的 中间 位 ,此因 可以在任
时何 代 候 替服 务或器客 端户参 与 应用 层的会话 , 而 起到 了 与从
应用 代 理防火墙 同相的 制 控 力能 如 在 。对S T M P 议协的 处 理, 系中统 可 在以 透 明桥网的模 式下实 完现 全的 对邮 件的 存储 转 ,发 实 丰现富 的对 S T并 M P 协 议的各种攻 击的 范 防能功一流 过
滤的 示意 如 图图4 所示 ?
f
G i a』 oiR S tu T aPPce Frl g n FlP
rE 2 /uo nR\ o .e tle lC a tki i i [B d j a f t inI t e e O. t /:i s n.r.e / ooW 9e3 1 h7 t c/ee.j neme er e4 81 ] .p t e r 3 R(daiS n D ena t knpoc et h:s oF e a ] . r ito. npecePI e nt NxP a fiwlE ‘ e h s i e r vlltn E / .t L/ w .a :rcnn ilD cm n? dco o u B[ O hp/ ww g ̄ .oVeDsa o uet o iJ typ c
= l1 7dl5 9.
曾斌. [4网络 防 墙 的 火体 结系 构 B[O ] ph/n t enou. E / L. t :/ ey.ef t est
C l/1 os eN /hm210 l9 lOl c )/ w t / s0O ll35 8 4 tlf /0 9lll 3 l 2 33 5 h/ml e2 0O 3 l2 i 5 58 3.4m1 t . h
[
费 宗莲 火墙.倾 向内容 过痣 [ O . tB :/ e ciit n5防 E / L]h p/ m d. ec. t a d【
/ di/lw/( l6/c . t3. ・ 1ema -0 l il9 201 h m 1
[
过流滤技 术 分析 [B O]ht /: e.)es.oVD c/ e 6 Es /L t ./ ntenuo e nos Nw/ e p ̄
hlm 2l02 3l103 /mh ll2 /l 0 2 32 0 134. t t./ 0 l 2 12 9 04 t f 0e 1 1 2 9 0 h 1 i 1 m
者 简 介作 :
4流过 滤示 图 翟意钰, 士研 生究 , 要研究 领域 为网 信络息 安 全;硕 主 武 凡 . 士舒 研究硕 生 ,研 究要域领 通为 技信术 ; 建武, 主 胡 主研要究领 域为 自动 控制?
(
接第上3页1—)14 个t签者无法重密构t 次多 式 项t X, — (1 也)就不
’ ) 7S l g Vr r 1g . 90l 8 29 .p。 e- e l .9 7 2 一 l . i n
a能
合 谋得 到签密 者私钥的d . (il: ,,) , t…及组 的私 d钥 2 ) 6( 该 在案 方中t 密签者 用他 的们子密钥 对消 息进行部 个
[] nL— C,a - r. t a sf y e e-plM s Sg e 2 i C Li C SCy a li oN b r pr’ e eseR — h . n y s gupa vdcSh, ][ I
E o n aonsets2 04 7 3: oe . t eeJ .E EC m m i tn tLr,0,0()2 1- nei e 2
2 . 3
签分 密,然后 把 部 分 签密 不是( 子 密 钥 ) 送给 签密 合 成者 而发 签密 合成 者把这 部 些签 分密 合 为成签 消息 密, 他没有 得到签 但 密 子 的 密钥 , 无 法成合 组的私 ,钥样 就克 服 签 密 合 成 者 了 这
的 也欺
骗 [ ]M iAjA o e Cu etrs Ftr rsv reseRcv r 37 i. n t on ea euo oee eM sg eoe d . hJ mi g oi a .
y lSt eJ .CE srFna t es91 ,8 1 .)2 9 i.mU[ ]II E aT um nad, 97E 0A(1 : 1 g 1rn l
0022
[ ] B ) .i t uiagr [] 4od CDa gM hsnt e C lii us
dl Pe s 1 6 41 2.. o 1 r s. 892 4- 6
4
结 束语 本
文首 先 提出 一个 基于 椭圆曲 线 密码 制体 的密方签 案 该, 方 是 案 字数签 名 和 钥公 加 密有机的集 成 具,有认证 性 、 性 、保密 和 计 算量与通 信量比较 小 等 点特 然后 基 于所 提 出的 签 密 方 案 和 门限 案方的 思 想. 造 一了 新个 基 的 于椭圆 密 码体 制 构的
( ), t 门n 限密 签案 方一方该案除 具了 有保 密性 、 证 与 性 捧鲁 认 外 性, 具 有通还 量信 、小行 率效高 等 优点 我们还 可 利以 用 执
[ ]D ste,r l , h so p s uts C. cC rY T5 e md FYn l T r h l Ctye ] Po.[ RP O’ ea Ye d som8
Sln e r- .g 9,9p ’ rgVe 1l90 . 30 1 a 3i -7 5
.[ ]a iA SH)t Sa ere. m onJ. C17 4 ,)1 hlr6 . 【 ohr Sc atC mu 【 ]A M,9 92( 1 : n 、 、
e6 6l 2. l3
[ D se taFkl he.hl C yss m [. r rsG d 7em d r eY T r or yots C ]a a B e ,Y,n s dt s ed
【A a’sln 1 l ei C poO oyC YP R’ 8 rP cei .Lgeu 、e( tl - T g9 o dn s e te Nroei ts Cnoau ee e4c5 ,r
iSp en- r a 19 3 - 57 rp .rSt icn 3 Be l :n r rVglg,e 90 . 01 3i
[ ]PP_dl nT Ar hlC yt yntt wu a sr ad C . y r ee8e. h e or o sl oi tt u a[ ]s s d ps e h T e P
PH. or r( p‘。f Eu o t’-l,l9etr No e ioC ue Si ne 5 'D cuze ts n p mrtce c 47 .S r en _r -g. 9. 2l 2 8 . pigr、 le 11 2 一 93 a
文献 ,][89 的 密中 分配钥方法 ,本 文的方 案 进步一 改 为没进 有 把 可 信中心的门 签 密限 案方, 于篇 幅 限我们 将在另 文 给 出中
细详方案: 文本是在 师杨 导先教义授的精 心指导 完成下的 ,此 致谢 特 参 考文 献 : [
]Z egY L n StnadI pli・ n tEi t u l- e 1h n . i ( i n A p to ai tcn P biK ) g o s k pt ni e (
[
] P rC, u s a N Ew mGl eT r ylhD a g nSt 9 e aKK ra . ela a pT hos ti ia k owr d ielg u S m [ hII]ETsFa ane ts1 ,97一 ( )8.3 e ecJ. E C r. udm n l n69 E A 91:69 a. ,
作
者简 介:
元 军(9载4)博 士 生, 究方 向为 密 码学 、17 -, 研子电 付支 、 安 息全; 杨 信 成 ,士生 ,博 研究 方 为向 码密 学、信息 安全 、息 隐藏 : 信
Sl
nt 【.r 、d sn o omh n tSry ̄ocko oIuos ]CP (ei frao f ui ers; pS ( ie g iot : W h
维普资讯 http://www.cviqpco.
・
m14・
4
计
机应算用究
20 0 4研年
防火墙 包 滤 过技 发术 展研 究
翟钰 ,武 凡 舒胡,建武
(. 1西安建筑 技 科大 信学息控与制程工 院学,陕西 西安 70 7 ; 西2 交安 通大学 电子信 息工与 程学院陕西,10 1 .西
安7 0 7;3中 国科 院学研 生究院国 家算计机网入侵 防络 中心范 ,京北1 03 10 1) . 009
摘要 : 防墙 火技 术主 要分为 包过 滤 和应 用代 理 类 。 两 数 据从 结包构 出发 , 析包 过 技滤术 先提,出 包 过 滤 分 首
技术的 核心 问题 ; 然后在 分 传 统析 包 过 滤 术技 缺 陷 基的 础上 , 细 论 述 了包过滤 技术的 种 两 发展 势趋; 后技 详 以最
术实 说 明例了这 两种 势趋的融 合 。关 键 词: 防 火 墙 包; 滤过 动 ;态包 过滤 深; 包检 度
中图法测类号 分T 3 30: P 98.
文献
标码识 A:
文章
编号 10 —:65 0 29) 0 —3 0 413 (9400 —14
0Re
e hr o e h oo yD e eom et o a kFt lr n n F raw sla c n T c l ng lvpn fP c e ie i g i ti el
Z HAI u Y.W U —h a. HU Ja —】 wS un f n li
( c .olf oI a i1Sh o n or n&t C on Egenn , i nvas)o A c c r i&T h g o, i a nh i1 10C i ;2 Soh Eo fm o o t l in grX ’ Uni r tf r t t e r i ee heu i nle) X ’ n aSx 7 70, h cn oa .col f lt n&I aoi ni e n .ia i on ne i, ia h n 1i0 1C i a ai. C m ua e ro nkri re e r c o cin r t n E gnr g X nJ’t g i rU tX nS’a x 7 0 7 ,h : 3 t N l nop t t r t sIn P oc m f ei aoov s y n o New u o t
t Cnn rGa utS0,hhsAaeny Si c.eo i0 3 ,hn ) o iet r a,ec zo Ci cdem cnBre 1n0 9 C i e d e fe g 0
Ab ata t r F lwc n b ls i e s pce l a r d p ia i na a e t
I hs p prt e p ec lrme d wh a as y e s rc i a: la e casf a d ak tt n pl gtn . n t i a e , h k a t t t oa n lz e d i if ec o f ie m f e ts rc u oe a ap ca eF t tre k y po lm p c e fl irp o o e te h owp s i le ndy o h r h tt r d t f akg . i sh e r b e o ka t f t s r p s d , h t ne t o b e ts n e c tf e ou i e p c e l e t o h rru h y i sva e i.i a l s v lcrs s a e ue o i tuea t ec bm n nto et ed n a k t rmteh d a teo gl en tt d Fn l f oi g , eye a a e r sd t l sth o i a i ft w ot n e — r l ho
・ y
cK
e r s r Faw lP ec i e; D ay cP c e e ;iDe pP c e np ci n yw o d:i l e;a k t F l rtn m i a k tF l r t a ek It s e to
1
言 引
着随 tIt n re 的迅 速发 n 展, 网络 应e 用 涉 到 及越来 越 的多 领域, 络网中各 重要 的 、 感类的数据 逐 渐增 ; 敏 同多 时于由 黑 客入 侵 以及 网络病 毒的 题问, 得网 络安 问 题全越 来 越突 出 。 使因
2数据包 结构
当用应 程序用 T P传送 据 数时, 据 被 送入 协议 栈中 , 数C然 后逐 个 通 每一 层 直到 被过 当 作 一串比特 流 送 网入 络其 中每。
一
层 对接
到 的收 数据 都要增 加一 些部首信 息 。T 传P给 IC 的P 数据 元单 称作T P 文 段 C( em n I)给 网络 接口层 C 报 T PgSe t; P传的 数 单据 元 称作 I 报据( D t r P;过 以 太 网传 输 的P数 I a g) m a通 a比 流特 称作 帧 r e(。 对于进 入 防火 墙的 数据包 , 序 正 好 a F)m 顺 此与 反相 ,头 部 息 逐信层 剥掉 。 ,I P C TP部首格 式 图如1 图2
、示所。 板本
首部l长l 服务 类
标 识
此, 护网络 源资 不 非被授 访 问 权, 病止 毒 传 播 感 的染显 得 保 阻
尤为 重要 就
。目前 言 , 于而 部 局络 网保的护 , 火 仍 墙不 然对 防 失为一 有种效 的手 段防 , 火技 墙术 主 分 要为包 过 和滤 应用代 理 两 类其。中包 过 作滤为 最早 展 起发来的 一种 技 术 ,应其用非 常
广泛 。
所
谓包 滤过, 是 流对 网经 络防火墙 的所 有数 据逐包 个 就检
查
, 依据 制所定的 安 全 策 略来决 定 数 包 是据通 过还 是 不 通 并
过 包。过滤 最 要主的 优 在 于 点其速 度与透 性 。也正明是 由于 此. 滤过技 历术 经发 展演 变 未被而 汰 淘 。包
长度总
标 志 偏片移
隹
存时间
l
协 议
源 I P地 址 目 的I P 地址
首 部校 验 和
由于 其主要 是对数 据包 的 过 操作 滤 ,以据数 结包构 是 包 所 过滤 技
术 的基 础。虑 考包 滤过技术 发 的展 过 程 ,认 为以 包过 可滤的核 问题心就 是 如何充 分 用 数利据包 各 个字 段中 信的息 , 并 结 合安 策全 来略完 成防墙 火的 能功。 本 文从 数 据包 构结的 角 度 出 发,析 包 过 技滤 ,术细 论 分 述详了包 过滤技 术的两 种 发 展趋势 。
收 稿 期 :2日0 — 9 2 ;修 返 日 期2 : 0—1 0 00 3— 30 13— 4源
端号
口项 选
图1
I 首P部格式
1
序 列号 认确号
目的 端口号
部首 J长保留 : T P 校验和 C
fI
选 项
窗1
大小 3 急紧指 针
图
2 T 首P部格 式 C
基金项 目: 国 “6家 ”划 资助 项(目 0 2A 411 ; 科国 83 计 20 A 15 2 )中
项目 ( 0 0 0 3 )0 H2 10 95 0
2
对 于帧 的 头 部 信 息 要 主 是源/目的 机 主 M的 C地 址; PAI
要段字包 括 /源目的端 、 发送口及 确 认序 号 态、标 识 等 。 状
学院
识 知创新 工程 向方性 目(项G X — 0 ) 北 京 市 技 计科 划K C 2 61; 数据 报 头 信部 息主要 源是/目 的主 机 I的P 地址; T P头C 的 部主
维
普资 讯tht:p/ww/.cqwvipcom
. 第9期
翟
钰 : 等火防墙包滤过术技发 研展
究
・4 l 5・
理 论上 讲, 据所包 有头 部信息 以 有效及 载荷都可 以作 为 数判断 包 过通 与 否依的据 , 在是 实际情 况中 , 过 滤 术 技 上 但的包
题问主 要是 选取 些哪字 段 息 ,信以及 如何 效 地 有用利 这些 字段 信息并 合结访 问控 制 表来 列 执行包 滤过 操作 , 尽 能可 提高 安 并
全 控制力度 。
态包动 过 通 滤在过内 存 中态动地建 立
和维护 一状 态 表个 , 数 据包 到 达 ,时 该 数据 的 处包理 式方 综 将合 静态安 规全则 和 对数 据包所处 的 状态 行进 这 。方种 的法 处在 于 好: 由于不 需要 每对 数个 据进行 规则 检包 查, 是 个一 连接的 后续 据 数 ( 包 常而通 是 大 量的 据数 包 过) 散列 法算 ,接 进 状 态 检行 查, 而 使 通直 从性能 到得 较 了提 高大; 而 ,且由 于 状态表 是动 态 的,因而 可 以有 选 择 地、 态 开 通 12 动地0 4 号上以的端 ,口安 全 得 到进 一性 步 地提使 。
高 传统3包 过滤技术 点
缺传统 包过 滤技术 ,多是在 I 层实 现 ,只 是简 的单 对当 大 P 它
前 在正通 过的单 一数据 包 进 检 行 测,看 / 源 查的 目I址 、P地 端 号 口及以 议 类协型 D( C/ ), 合 访 问 控 制规则 对 据数 U PT P 等 包实 施 有选 择结 的通 。这过 种 技 实术现 单简 ,理 速快度 ,应 处 对透用明 , 是 存 它在的 问 题也很 多 , 但 要 表主现有 :
态动包过滤 技 术 克服了传 统 包过 仅滤仅 孤 立的 查检单
数据个 包和 全安 规则静态 不 变可的 缺陷 ,得 火墙防的 全 控安制 使
力度 更 为致细。 4 深度 2包 检 测.
() 可有 能会 用 到的端 都 必口 须 静放 开 态。 允若许 建 1所
HY T 立连接P , 需 就 开 要放 1 042以上所 有端 ,口无 疑 增加了 这
攻击 被的 可 能 性。
目前 许 多
造成 规模大 害的损网 络 击 ,攻比如 红色码 和 代 尼达,姆都 利用 是了用应的弱 点 利用。高 层协 议的 击攻和 网络 病 毒 的 频 出繁现, 火防墙提 了新出的要求 防。 火墙 必深 须 入 检对
查数据包 内部 的来 确认 恶出 行 为并意阻 止们它 。深 包 检测 度( ep Pc esIen 就t 是 对针 这 种需 ,求D e ak tnpc o) i深入 检 数测 包 有效据载 荷, 行基 于用应 层 的 容内 过滤 执 ,以此 提 高系 统用 应防御 能力。 应用 御 防的技 术题 主要 包括 问 ①需:要 对效有载 荷 知道 得 清更 ; 也需楚 高要速 查 检 它能 力的 ②。 简 单的 数据 包内容 过 滤对当 前 正 在 通 的 单 一 过据数 包的 有 载荷效 进行 描检 扫测 是,对 应于 用防 御要的 求而 言 ,是 但 这
(
) 能 对 数据 传 输 态状 进行 判断 。 如接 收 到 个一 KA2不 C 数 据 ,包 就 为认这是 个 已一 建 立 连的 接, 导 就 致 多 许 全安隐 这 ,患一些 恶意 扫 和描
拒绝 服务攻击 就 利是 用了这 个缺 。
( 陷) 法滤过 审 核数据包 上层 的 容内。 即 使 通过 火 墙 防3 无
数的据包有 击攻性 或包 含病 毒 代码 , 也无 法 进行控 制阻 断和 。综合 上述 问 题, 传 统 过 包滤 术 技的缺 陷在 于 : 乏缺状 态 ①
检 测能 力; 乏缺应 用 防 能御力 。 而 问题 根 的本原 因 在 于: ② ①
只对当 正 前通在 过的单 一 数据 包进 行 检 测, 而有没考 虑前 数后 据包 之间 联 系的; 只检 查 包 头 信 息, 没有 深入 检 测 据 包数 ② 而
有 的 效荷 。载
远
不远够。如的段一攻击代被分割码到1 0数据包个中传 ,输 那
这种 么简 单对 的单 一数据 包的 内检容 根测 无本法 攻对 击特 征进 匹 行 :要清 配地楚 知道 有 效 载 , 荷须 采 取 有方 效法 , 将必 单 个 数 包重 据新组 成合 完的整 据 流数。 应用 层 内的容 过滤要 大 求 量的计算 资 源 ,很多情 况下 高 达1 甚 至0 更 。高而因 执 要 行深 度 检包 测, 来的 问 题必然 是 0 倍带
4过滤包术 技展发
传 包过 滤 技统 必 术 须 发展 进化 , 承 其继优 点 前的提 下 在 ,
采用 新技的术 手 , 服段 其缺 陷, 进 一 步满 新足的安 应 用全 克并
要 求
。从 数据 包结构 m 发 考虑 目前,包 过滤 技 术向个方 两发
展: ①向横 向联系 。 在包 即检 测考 虑 前中 后数 据包之 间的 关 , 系 充 利用分包 头 信息 中 体 能 此 关现 系的字 , 段 I 部的 识 标如 P首
性 能
的 降 , 这就 下是 谓 所的 内容 理 处碍 障。 为突 了破 内处容理 障碍 , 到实 地时分 析 网络 内容和 为 行, 要重点 在 加速 上 采达 需
有效取 的办 。通法过采 硬 用 件芯片和 更加 优 的化算法 , 以 解可决 这 个问 题 。个一 度深包 检测 的流 程框 如图 图3示所 。
0P3
P字段
和 偏片 移 段 字、CT P 首部 的发送 及确 认 序号 动、 窗的 口滑 小 、大 态标 识等 ,态 执 行数据 包 过 。滤纵 ②向发 展 。 深入 状动
检 测数 包据 有 效荷载, 别 阻 止病 并 毒代 和基码 高于协层 议的 识 攻 击 ,此来 提 高应以 用御 防能力。这 两种 技 术 的展发并 不 是独 立 的 ,态 包 过滤 可 说 以是基 于 容 检 内技测 术 的基 础。 实际 动, 上在 度深包检测 技 术中 已经 现体 两种了 技 的术融 趋势合 4
1动 态 过滤包 .
服 务 析分
命令 解析
器HT PF
命令解 析器
匕匾 =
当 笪
笪八 _五
.
陬
丽
图 深 3度包 检 测 框
图
动态 包 过滤 ( ay i Pce F t)D ncma k i t 又称r 为基于状 态 数 的 le 据 包 过 滤t e (l kt i a r 在 传 ,统 包过 滤 技术 基础 之 S t PcueF t 是)a f e l 上展 发来起的一 项 滤过 术 , 最早技由 Ce kot 出 。hc ip提 n
在接
收 到网流络量 后 ,要 需 行 内容 进描 扫的数 据 定 向流 将
到T P 栈I, 他 数 流直 据接定 到向状 态 检 引测 ,擎基 CP堆/其 按
本检 测方式进 行 处理 。定 向到 T P IC/P 栈 的堆 据 流 , 先数 转 换成 内首 数据容 流服。 分务 析器 根 据 据数 服 流类务型 分离 内 容
与
传 统 包过 技 滤 只检 查 术单 、 个立 的 据 包 不数同 , 态孤动
过 滤试包 将 数 图包 据 上下 文联 系的起来 ,建 立种 基 一于状态 的 过 包滤机制 。对于新 建 的应 连 用接 ,防墙火检查 预先设置 的 安
数
据流 , 送数 据 流 到 个命 令一 解 析器 中。命 令解 器析 制 定和 传
分 析每一个 容 协内议 ,析 内 数容据 流 测病 毒 ,蠕和 虫 如 分。 检 果 检测到信 息流 一个 H 是 TY 数据 流 , 命令 P 解器 析 检查 载 上 则
全
则规, 许 符合 则 规的 连接 通过 在 ,内 中存记 录下 该 连 接 并允
相的关信 息 , 这些 关相信 息 成构 一 个状 态表 。这 样 一 , 个新 当数据的包 到 达 ,属 于果已 建 经立 连接 的, 检查 状态表 , 考 如 则 参数据流 上下文决 定 当 前 数据包 通 过与 否 ; 果 是建新 接连, 如则
查检静 态规 则 表 。
和下 载
文的 件 ;果如 据 是 M数a类型 检,查 邮件 的附件。如 i l则果
据数流 包 附件 或 含载上 下载/文 件 , 件 附和 件文 将传 输 到
病
毒描引扫擎, 有其他所内容传到内容输过滤擎。引果如内 容过
启滤 动 数据 流将 根,据过 滤 的置 进设行匹 配, 过通或拒 绝 数据 。
普维资讯h tpt:/w/wwc.viqp.ocm
・
l・6 4
算计应用研机究
2 004正
过滤 的结 卡流 承继了包 过 滤防 墙 的火应 用 透 明特 的 点 ,句
流5过 技术滤
流过滤 是东 集 团软提 出 一 的新种 型防火 技 墙术架 ,构 融 它
常非容 易 部署 ,具 且很有好 的应 用 防 御 力能 。过 流 的另滤一 而
个 优势 于性住能 , 为 全过 和 转滤发 的目 重 新 而 现实 的T P 完
C
基状 态于的 包过滤 技 术 与 基于内容 的 深 度包检 技 术为测 一体 ,
提供 一 个较了
好 应的用 防 解 决御方 案 它以状 态 监测 技术 为 基 ,础 此 基在 础上进 行了 改进 其 基 的本 理 原 是 : 但状 以 态 包 滤过 形的态 实 现应用 层 保护 能 力 :的通过 内嵌 的 门实 专 现 的TPI C /P协议栈 , 现 透 明 的了 用应 息信过滤 机制 : 实 流 过 滤技 术的关键 于其 架 在 构中的 专用T P 1议 栈: C P协 /这个协 栈 是 议个 一标 准的 T协P 议的 现 ,实据 T P协 议的 C 依 C 义定对 出入 防 火墙 的 据包数 行 了完 整进 重的组, , 组 重后 数的据
流交 给 应用层 过滤 逻辑 进 行 过 滤, 可 而以 有效地识 并别 拦截 从
协
议 栈 相对 于 以自 服 身务为目的 操的 系统作 的中T P 协 栈议
来C说, 耗 资 更 少源 更且 加高 效 ,以 说流 过 滤 采用 专 用 的 消 可 T P协议 饯决 解 _Cr 容 过内滤障 碍的问题 , 提大 高了 火 防墙 处
理大速度 一
6结 语
本束文 从分 析 数 据 包构 结出发 ,出 包过滤 技术的核 心问 题 是选 提 哪取 些字 信段息 ,以及 如何 有 地效利 用些 这字段 信息 并结
访合 问制控 列表 来执 包行 过操 作 滤 ,可 能尽地 提安 高控全 制 并
力 。度在此基 上 , 分础析 了包过 滤 术技 的 种两发展趋 。势 我们 看到 , 种术 取技长 补短 .两相 融互合 , 也是一 种展 趋 势发 。 考参文 献:
【 D ul ] o e用 T P I行网际 连 互[. 瑶, . o1gs m C aEr. C /P进 M] 林等北京 :
子电工 业出版 社 0 1 2. . 0
应用 层 攻 的 击图企 : 在这种 机 制 下, 防墙火外 部 看, 然是 包过 滤 形 的态 从 仍, 工 在 链路作 或 层 P层 I, 则 规 允许 下, 端 可以直 接 问 但访 在 两 是 何.一个被 规 则许允 访 的在问 防 墙 火内部都存 两在个完全 独任立 T 的会 P话 , 以 “据 ” C数 流的方 式 从 个 一 会 流 向话另一 个 会话 。由于 火防墙的 应用 层策略 于流 的 中间 位 ,此因 可以在任
时何 代 候 替服 务或器客 端户参 与 应用 层的会话 , 而 起到 了 与从
应用 代 理防火墙 同相的 制 控 力能 如 在 。对S T M P 议协的 处 理, 系中统 可 在以 透 明桥网的模 式下实 完现 全的 对邮 件的 存储 转 ,发 实 丰现富 的对 S T并 M P 协 议的各种攻 击的 范 防能功一流 过
滤的 示意 如 图图4 所示 ?
f
G i a』 oiR S tu T aPPce Frl g n FlP
rE 2 /uo nR\ o .e tle lC a tki i i [B d j a f t inI t e e O. t /:i s n.r.e / ooW 9e3 1 h7 t c/ee.j neme er e4 81 ] .p t e r 3 R(daiS n D ena t knpoc et h:s oF e a ] . r ito. npecePI e nt NxP a fiwlE ‘ e h s i e r vlltn E / .t L/ w .a :rcnn ilD cm n? dco o u B[ O hp/ ww g ̄ .oVeDsa o uet o iJ typ c
= l1 7dl5 9.
曾斌. [4网络 防 墙 的 火体 结系 构 B[O ] ph/n t enou. E / L. t :/ ey.ef t est
C l/1 os eN /hm210 l9 lOl c )/ w t / s0O ll35 8 4 tlf /0 9lll 3 l 2 33 5 h/ml e2 0O 3 l2 i 5 58 3.4m1 t . h
[
费 宗莲 火墙.倾 向内容 过痣 [ O . tB :/ e ciit n5防 E / L]h p/ m d. ec. t a d【
/ di/lw/( l6/c . t3. ・ 1ema -0 l il9 201 h m 1
[
过流滤技 术 分析 [B O]ht /: e.)es.oVD c/ e 6 Es /L t ./ ntenuo e nos Nw/ e p ̄
hlm 2l02 3l103 /mh ll2 /l 0 2 32 0 134. t t./ 0 l 2 12 9 04 t f 0e 1 1 2 9 0 h 1 i 1 m
者 简 介作 :
4流过 滤示 图 翟意钰, 士研 生究 , 要研究 领域 为网 信络息 安 全;硕 主 武 凡 . 士舒 研究硕 生 ,研 究要域领 通为 技信术 ; 建武, 主 胡 主研要究领 域为 自动 控制?
(
接第上3页1—)14 个t签者无法重密构t 次多 式 项t X, — (1 也)就不
’ ) 7S l g Vr r 1g . 90l 8 29 .p。 e- e l .9 7 2 一 l . i n
a能
合 谋得 到签密 者私钥的d . (il: ,,) , t…及组 的私 d钥 2 ) 6( 该 在案 方中t 密签者 用他 的们子密钥 对消 息进行部 个
[] nL— C,a - r. t a sf y e e-plM s Sg e 2 i C Li C SCy a li oN b r pr’ e eseR — h . n y s gupa vdcSh, ][ I
E o n aonsets2 04 7 3: oe . t eeJ .E EC m m i tn tLr,0,0()2 1- nei e 2
2 . 3
签分 密,然后 把 部 分 签密 不是( 子 密 钥 ) 送给 签密 合 成者 而发 签密 合成 者把这 部 些签 分密 合 为成签 消息 密, 他没有 得到签 但 密 子 的 密钥 , 无 法成合 组的私 ,钥样 就克 服 签 密 合 成 者 了 这
的 也欺
骗 [ ]M iAjA o e Cu etrs Ftr rsv reseRcv r 37 i. n t on ea euo oee eM sg eoe d . hJ mi g oi a .
y lSt eJ .CE srFna t es91 ,8 1 .)2 9 i.mU[ ]II E aT um nad, 97E 0A(1 : 1 g 1rn l
0022
[ ] B ) .i t uiagr [] 4od CDa gM hsnt e C lii us
dl Pe s 1 6 41 2.. o 1 r s. 892 4- 6
4
结 束语 本
文首 先 提出 一个 基于 椭圆曲 线 密码 制体 的密方签 案 该, 方 是 案 字数签 名 和 钥公 加 密有机的集 成 具,有认证 性 、 性 、保密 和 计 算量与通 信量比较 小 等 点特 然后 基 于所 提 出的 签 密 方 案 和 门限 案方的 思 想. 造 一了 新个 基 的 于椭圆 密 码体 制 构的
( ), t 门n 限密 签案 方一方该案除 具了 有保 密性 、 证 与 性 捧鲁 认 外 性, 具 有通还 量信 、小行 率效高 等 优点 我们还 可 利以 用 执
[ ]D ste,r l , h so p s uts C. cC rY T5 e md FYn l T r h l Ctye ] Po.[ RP O’ ea Ye d som8
Sln e r- .g 9,9p ’ rgVe 1l90 . 30 1 a 3i -7 5
.[ ]a iA SH)t Sa ere. m onJ. C17 4 ,)1 hlr6 . 【 ohr Sc atC mu 【 ]A M,9 92( 1 : n 、 、
e6 6l 2. l3
[ D se taFkl he.hl C yss m [. r rsG d 7em d r eY T r or yots C ]a a B e ,Y,n s dt s ed
【A a’sln 1 l ei C poO oyC YP R’ 8 rP cei .Lgeu 、e( tl - T g9 o dn s e te Nroei ts Cnoau ee e4c5 ,r
iSp en- r a 19 3 - 57 rp .rSt icn 3 Be l :n r rVglg,e 90 . 01 3i
[ ]PP_dl nT Ar hlC yt yntt wu a sr ad C . y r ee8e. h e or o sl oi tt u a[ ]s s d ps e h T e P
PH. or r( p‘。f Eu o t’-l,l9etr No e ioC ue Si ne 5 'D cuze ts n p mrtce c 47 .S r en _r -g. 9. 2l 2 8 . pigr、 le 11 2 一 93 a
文献 ,][89 的 密中 分配钥方法 ,本 文的方 案 进步一 改 为没进 有 把 可 信中心的门 签 密限 案方, 于篇 幅 限我们 将在另 文 给 出中
细详方案: 文本是在 师杨 导先教义授的精 心指导 完成下的 ,此 致谢 特 参 考文 献 : [
]Z egY L n StnadI pli・ n tEi t u l- e 1h n . i ( i n A p to ai tcn P biK ) g o s k pt ni e (
[
] P rC, u s a N Ew mGl eT r ylhD a g nSt 9 e aKK ra . ela a pT hos ti ia k owr d ielg u S m [ hII]ETsFa ane ts1 ,97一 ( )8.3 e ecJ. E C r. udm n l n69 E A 91:69 a. ,
作
者简 介:
元 军(9载4)博 士 生, 究方 向为 密 码学 、17 -, 研子电 付支 、 安 息全; 杨 信 成 ,士生 ,博 研究 方 为向 码密 学、信息 安全 、息 隐藏 : 信
Sl
nt 【.r 、d sn o omh n tSry ̄ocko oIuos ]CP (ei frao f ui ers; pS ( ie g iot : W h