CCNP考试分为三门
CCNP新考试版本2.0: ROUTE路由300-101; SWITCH交换300-115; TSHOOT排错300-135;每科费用300美金,合计900美金
CCNP认证有效期为三年
如需要重新认证,必须在认证到期前**同级别考试中的任何一项,或**现在的CCE笔试,即可延续认证
【教学师资】
杨老师
从业经验:
多年从业经验,对制造业企业网络、金融行业网络、IDC机房、社区宽带网 络及组播、IPV6、MPLS等前沿技术有独特的见解。先后从事大型跨国企业及大型跨国银行网络(如松下、久保田、三菱、三井银行等企业)的规划、建 设、实施和维护工作。针对运营商大客户提出的需求,制定合理的组网方案。 擅长把复杂现网的各种情况融入到课堂的理论讲解之中;对组播和IPv6 等前沿技术有深入的研究。
讲师资质:
深入研究了Cisco和华为两种认证,分别获得两种认证的顶级认证资质: Cisco方向拥有CCIE R&S认证与华为方向拥有HCIE级别认证
授课风格:
深入浅出,风趣幽默,能将多年的实际管理经验和咨询经验融合于课程内容 当中,将枯燥的理论知识与实际案例相结合,使学员在 活泼的气氛当中得到学习;授课内容切中要害、可操作性强。
CCNA-数据中心
对于想要从事数据中心设计、设备安装及维护的数据中心网络管理员,思科 CCNA数据中心认证是一项基于工作角色设定的培训及认证项目,能够帮助你节省时间和费用,获得**高的学习回报,提升你的数据中心网络领域的技能 。
出于我们现有培训体系以及在数据中心解决方案领域的**性,思科能够提 供一项完善的培训项目来解决数据中心网络核心领域的设计、部署以及维护的技能需求。
家庭基站安全问题探讨
武传坤:各位大家下午好,很高兴跟各位同仁讨论Femtocell信息安全的问题,我们在这方面做了一些初步调研借这个机会跟大家分享一下,我是来自中科院软件所是一个纯研究机构,所以说我们的很多研究跟工业界差距可能我们认为很重要的一些问题在工业界看来你们不关心,我们就大惊小怪,还有其他方面一些我们认为是雕虫小技,但是在工业方面应用非常有效,所以我们希望在今后的研究中特别像Femtocell信息安全方面研究能够给工业界方面结合,使得我们的研究更具有实用性,我们把主要精力放在实际问题,不是在理论上做一些很花哨的东西,我的报告分概述,结构,安全要求,相关认证机制,讨论一下家庭基站兼家庭综合网关会带来一些什么新的安全问题。
家庭基站因为这是一个家庭基站的定义,我不用说大家都很清楚家庭基站是怎么一回事,是怎么工作方带来一些什么方便,现在看来有很大的市场需求,对家庭基站有很大市场需求,导致有这么大的兴趣,家庭基站网络架构基本上就这么简单,家庭基站服务的一些用户,家庭基站**一个天线或者由器**不安全的网络连接到运营商的核心网络,那么由运营商核心网络进一步提供一些服务,数据服务,语音服务或者其他方面服务,那么从它的逻辑部件上由用户,有家庭基站**一个网络连接到核心网,核心网包括服务器,其他的认证中心,这里面我们关心就是AA这个模块,家庭基站有什么样的安全呢,因为家庭基站跟传统的基站区别是,它安装在不可信任的中,安装在家里面,家庭不可信吗,对于运营商就不可信,因为运营商很难跑到家庭里面去检查家庭基站是不是正常工作。
怎样获取路由器地址家庭基站**不可信的网络连接到运营商,他的连接不是运营商专用网络而是包括互联网这样的网络,互联网不可信吗,因为它不能受运营商控制,所以对于运营商来讲是不可信,对于家庭基站拥有者也是不可信的,因为互联网可以说是任何人可以进入互联网做一些他们想做的事情,家庭基站规模可能会很大,在今后几年发展预测,家庭基站递增会很快,在不久将来家庭基站规模可能会很大,规模有影响吗,有影响,因为信息安全这个东西如果说你规模比较小,简单的安全措施就可以,如果米的规模比较大,你的安全措施可能要比较完善,否则的话带来潜在是很大的。
我们看不同方面带来一些什么样的东西,家庭基站安放在不可信的当中它能带来哪些,一方面用户可能会安装非法家庭基站,你要求家庭基站满足什么条件,比如说一些山寨机,或者一些地下厂生产非法家庭基站,有可能去安装如果你问用户为什么安装,这样用户不是普通用户,是用来的用户,不是说正常用户是一个黑客者。
在表面上看是一个用户,但是不是普通用户,用户对家庭基站进行私自改装一般用户没有这个能力进行改装,如果是一个者的话,他有这种可能,所以这是在不可信的网络可能带来的一些潜在的,经过这种改进以后,非法家庭基站能做什么,可以对运营商网络发起DOS甚至是DDS,对用户对他所服务用户进行,比如说修改服务记录,比如说把某些用户服务到其他用户,就说这是某某用户的服务告诉核心网络核心网络就把帐计到另外一个用户头上去了,这是有条件下,但是在一定条件下这种是可能的,记录并非法使用一些用户的信息。在管理方面是不允许这样做,但是因为他法他可以这样做。或者可以这样说,我就这样做你能把我怎么样,你有吗,除非你拿到,还有一些我们不知道的。这是安装在不可控里面,因为家庭基站与核心网络的连接,是**不可信网络连接起来的,它所带来的包括哪些呢,包括互联网,任何人可以访问这个网络,任何人可以对网络发起,目标可以是核心网可以是家庭基站,网络可能会假冒家庭基站对网络进行,进行一些包括DOS,进行一些服务要求,甚至是试图截取一些信息,同时可以对家庭基站进行,中间人,假冒基站跟网络进行联系,或者说发起DDOS五,因为是**互联网连接可以**互联网不同口连接起来,认为有很多家庭基站跟他进行连接通信,事实上这些来自于虚拟从网络里面发起的一些信息,如果说安全控制不好的话,还可以**互联网连接来非法控制家庭基站,假如说这几点可能,可能潜在是很严重,不一定要把家庭基站怎么样,但是他控制家庭基站,他控制一些家庭基站,可能会一个时刻,爆发性的,报复性的进行使得你的网络在一瞬间瘫痪,你识别家庭基站,每个家庭基站有一个ID,有一些家庭基站ID被克隆怎么办,你怎么知道哪个是真的,哪个是假的,我对家庭基站进行认证,认证存在这样的问题你是用预知密钥方式还是用证书的方式,现在是规范要用证书方式,用SIM卡是可选,但是两种方式都不是很完美的,不管哪种方式,设备制造商都需要把一个秘密信息潜入到这个设备里面,到家庭基站里面或者SIM卡里面,不管是密钥还是使用工书对应的私钥,这个生产潜入过程里面,很难设备制造商不泄露这个信息,有时候可能是无意泄露还有可能是私自窃取就是操作人员窃取这个信息做别的用,法但是这是带来了安全隐患。
因为有这么多的安全隐患,我们可以看到的安全风险,在规范里面要求对操作有一些要求,对各个模块有一些要求,我们看操作有哪些要求,很快认证加密必须有充分密码安全性的办法基本可以,想破译一个密码几乎是不可能的,一个安全系统安全性主要隐患来自密钥的管理,如果密钥管理不善如果认证做得不好,可能因为假冒或者窃取密钥使这个系统掉,不需要把密码攻破,还有很多操作要求,我只是列了几点,运营商对家庭基站内术主的信息修改需要争得属主的同意,如果不征求怎么样,如果他们联合起来,设备制造商和运营商利益有某种关系,如果说运营商要求设备制造商你给我制造这样家庭基站,我修改用户信息不需要争得用户的同意是不是可以,我们不知道,我们只知道要求争得同意,但是他是不是征求用户同意,运营商对属主信息可以控制这个是给运营商的,家庭基站用户IMSI能泄露给家庭基站属主泄露了怎么样,你制造的时候不制造这个功能,我使用非法就泄露,这一点你不能他不能这样做,设备授权,这里要求是每个设备有一个唯一识别码,这一点不能,可以正产品有一个唯一的识别码,但是不能山寨版的设备有唯一的识别码。
你可以要求每一个设备给一个证书,但是这个证书实际上是一个公开的东西,我可以窃取证书,而且证书的使用理论上是可以**道传输我可以截取证书,装到我的机器里面我可以**认证,认证结果证明我不是我自己,我是一个克隆我证明我是谁,但是我们可能没有能力证明你的网络是不是的网络,我不管我是一个者,我只管**对我的认证,至于你是谁我不管,我就进行,所以就存在这种安全隐患,尽管是。
对家庭基站也有一些安全需求,网络连接之前需要验证家庭基站完整性,如果说它不去验证完整性你又能怎么样,对于按照规范要产家庭基站没有问题,对于一些私自改装,或者说就是一个违法制造出来,制造出来就是一种工具完全可以不这样做。这是对家庭基站一些安全需求,在这些工业规范,不是对信息安全的技术解决方案,我们列在这儿是提到它,对安**关的安全需求,安**关要求核心网的安**关和家庭基站双方都有各自的公钥证书,用于对双方的认证,这个认证没有达到预期的效果。
SEGW可以跟AA交互器进行交互,可以认证属主作为家庭基站拥有者如果还有另外一个卡的话,验证你是不是有这个卡,我们是一个手机用户买一个卡插进去它就可以验证你是这个卡的主人,你可能会这样问,既然手机的SIM用在手机里面没有关系,为什么说家庭基站卡有问题,因为你作为手机用户你对网络发起假如说你能够制造作为一种机器,类似于手机的机器的话,你对网络所能够进行的微乎其微很小,但是对家庭基站它对网络进行的会很严重,它有很多的家庭网络都能受这种控制,在某一时刻发起DDOS,分布式服务你的SEGW很可能会瘫痪。这些一些管理要求,类似与管理规范,对非安全连接也有一些安全要求,要求以什么样的协议,IKE互联网的密钥交换协议,也是一种严重协议,以它为基础提供数据完整性,由运营商选择对数据是否进行机密性,这个机密性我还没有理解,机密性是在sEGW和家庭基站之间还是和终端用户之间,如果说期间都没有安全是很,不管你是跟家庭基站还是跟用户之间没有这种机密性的话,这个家庭基站再受操作情况下可以改用户信息可以把你的帐户到其他人的头上,如果进行加密从SEGW到核心网都是较米,但是不能杜绝,我知道你一些信息,我不断向网络发,要求传递什么数据,这笔帐计到你头上,网络端会给你多扣很多钱,你使用某些业务但是你没有使用这是一种,你说这种有什么用,我还不知道,但是这是可能的一种,下面这些也都是对安全的一些要求,要求怎么做,作为,规范家庭基站应该怎么做。
我们看家庭基站认证,现在是怎么认证的,设备认证准入认证,UE认证,实际上家庭基站的我们关心就是设备认证,在设备驱动时家庭基站和可信实际上家庭基站内部有一个可信,这个相当于SIM运行模块,没有办法进行干预,不能改变里面函数,不能读取里面数据,职能**内部读,相当于初始化它被验证是不是有些东西被修改,对这个设备进行完整性验证,这个设备跟他记录完整性值不一样,如果不一样就是说明被非法修改,会继续往下进行,这个是按照规范生产,如果不是按照规范生产,如果就是一个机器的话,为什么要做这样的验证,我就是要修改以后做一些事情的,所以这个验证这只是工业界规范要求,但是对信息安全不起防护作用。
所以信息安全是防,当然不用防,研究信息安全把每一个人都看成,每一个人都可能做一些坏事,这是说完整新检验是怎么做,靠几个函数值进行比较,重新产生函数值和技术函数值进行比较,如果一样就没有问题,如果不一样就提出或者是中断服务,设备的性,设备向SEGW或者其他家庭基站证明是一个的家庭基站,怎么证明**证书,证书我可以截获,如果我从哪里搞到一个证书我可以自己做一个家庭基站,自己拿一个天线就可以做一个家庭基站,你的家庭基站造价比我贵多了,我不在乎造价我的目的是的。核心模块都我机器里面,所以进行是不考虑代价成本的。
设备认证,就是说这是工业规范,要求完整性认证**以后,再进行跟核心网的联系,如何如何,家庭基站与SEGW相互认证使用什么协议,使用互联网密钥交换协议,第二版本协议,还定义家庭基站有一个安全,这个安全应该说是可以造的,按照里面存储一些什么样的数据是不能被修改是可以做,如果按照工业规范做,安全没有问题,同样我的疑问是,我作为一个家庭基站,用于家庭基站我不要这个安全,因为这个安全对于运营商没有多大用,只是用来我家庭基站,如果作为一个者,我不需要被。
设备认证,首先几个名词,基于EAP,AKASIM认证协议,这个认证协议基本的流程是这样,说得简单一点,这种设备认证是基于对称密钥的,首先它把家庭基站看做一个用户,进行认证,认证**以后再把家庭基站当成一个基站进行使用,因为认证以后能够产生双方共享一个密钥,也就是说从家庭基站到我安**关已经建立一个安全通道,所有通信**这个安全通道经过加密以后可以作为一个安全基站进行使用。
可能会有这样的问题,我怎么知道你一开始认证的时候,我怎么知道你是普通用户还是家庭基站用户如果用SIM卡,SIM卡号码段是不一样的,格式也可以不一样,因为他是直接跟SEGW联系的,不是**一些网络转移过来,设备认证可以SIM卡对称,也可以使用公钥证书,使用证书可以使用SIM卡进行认证。使用证书要有一个密钥签发中心,可能会有这样的问题谁做这个认证中心,运营商设备制造商,和用户是不是对认证中心信得过,如果说这个CA管理不话,CA种子密钥被泄露一切秘密都没有了,所有证书可以改,所有东西都可以被解密掉,还有一个问题即使你使用证书也需要把你证书对应公钥私钥潜入到你的家庭基站,否则没有办法进行,谁把私钥潜入进去,潜入过程能不能秘密性,这些是在操作方面的问题,假如说这个操作没有问题,我工业管理是没有问题,就没有问题,这是密钥管理方面的东西,这是使用证书,简单说使用证书认真很简单,双方交换证书按照协议流程和规范,理论讲很简单,双方交换证书,验证证书,怎么验证要有CA种子密钥进行验证,还有一个要求就是说如果说我的用户,家庭基站有一个证书,我的运营商有一个证书,他们证书不是由同一家CA签发怎样办,要有一个径使得双方在验证证书的时候,沿着这个径可以找到,比如说运营商的证书是由A签发的,那么家庭基站证书是由B签发的,那么A和B还有一个CA,给A和B签发证书,他在验证可以**B到一家,再到A,再到核心网络,要求是这个径不能超过四个,实际应用里面多数情况之下径只有一,也就是说运营商和家庭基站CA都是同一个CA,这个不是什么大的问题,技术上很容易实现的东西,下面这些也是对认证的一些要求,要求怎么做怎么做,我这就很快了过去,我说他不是怎么要求,我想说不按照你的要求做怎么办,这个是IKE安全框架,除了这个还要求IKE安全框架支持一些什么东西,比如说支持签名和认证方案,这个很容易,家庭基站首次进行时,把自己ID数据包括进行否则识别你是哪个家庭基站,所有这些都是工业实现的一些规范,不管是假冒还是真的,有必要按照这种规范,否则通信会通不起来。
这是对可信的一个要求,可信是给函数比较重要实施过程和数据存储的一个地方,包括我们SIM卡,包括GSMSIM卡里面的秘密,作为工业级秘密泄露到网上去,尽管没有完全泄露,学术界给恢复了,函数数据存储在可信里面。外部不能对里面的数据进行修改,不能控制里面函数的执行,我们SIM卡有这个功能,你理解这个可信可以理解为SIM卡,就是这么回事。
你买了SIM卡有一个家庭基站必须用你的卡启动家庭基站,这个是做认证的时候,需要的是家庭基站的证书认证和属主认证就是你的SIM卡同时执行。属主认证**什么协议,是一种。设备认证SIM卡加证书,我的家庭基站和我的属主共同认证,家庭基站**认证被网络认为你是一个的家庭基站,我说的是职能被认为,但是不一定,像一些诈骗一样,之所以能够成功,是因为他说的东西,提供的东西虽然是假你认为是真的,你**仪器检验认为是真的,这种结合的认证方式,当然有优点,除了认证家庭基站还认证属主,**两个认证情况之下假的可能性不太大,但是要有一定代价就是要进行双轮认证,认证相互认证是强制的,家庭基站对核心网进行认证,核心网对家庭基站进行认证,核心网对家庭基站进行认证运营商是必须操作没有什么人可以改变,家庭基站对运营商网络进行认证这一点是做家庭基站,按照工业规范必须这样做,但是如果我做一个模块就可以跳过去。还是设备相互认证,要求怎么样,比如说证书需要有全球唯一的,全授全域名身份标识这些都是很容易实现。原来要求证书看这个证书是不是在撤销列表现在只是检查是还是不是,有一个CRL检查证书是不是被撤销,这个是检查证书状态,后面协议比前面协议更有效一些,现在通常使用前面的协议检查证书被撤销的情况,是关于设备认证的一些需求和要求,准入认证你家庭基站服务哪些人,如果家里面买一个家庭基站,只希望服务家里的一些终端,对于外来访问我不愿意服务,因为家庭基站服务能力有限,你可以这样设置,是不是要求我的家庭基站服务指定的人,反过来家庭基站可以选择服务哪些UE,UE是不是可以选择使用或者接受哪些家庭基站的服务,或者有能力哪些家庭基站服务,因为当我怀疑哪些家庭基站是点我使用他的服务可能就是一个陷井,这个问题还不知道。对用户认证成功以后,才可以跟运营商网络进行UE认证,那么UE进行认证家庭基站就是一个普通基站,家庭基站已经完成认证它对UE服务就是一个基站,只不过是放在家里面一个基站,这个是关于设备认证还有其他认证一些问题。
家庭基站做综合网关为什么做综合网关跟普通家庭基站不一样了,因为做综合网关我要增加很多功能,增加这些功能我要跟家庭网关整合在一起,我的其他的一些功能会不会对家庭基站里面一些功能有影响呢,会不会在这个数据接口功能接口对家庭基站进行更锐意一些,或者我做家庭基站我不要求你的家庭基站,我只需要你的一个天线,一个安全模块就是可信,其他我就用电脑软件实现软件模拟,如果是这样的话,我作为一个供给者我的能力就很大了,我几乎可以想做什么就做什么。传统家庭基站要求安全性,传统安全性都要遇到,传统安全挑战都会遇到,另外还有要求有附加的安全访问控制问题,要哪些终端,可以访问它,访问有两种,一种是使用它的服务进行数据通话或者这样的业务,另外访问他控制的家庭网络,就是家庭传感网那些东西要有访问控制,家庭基站作为综合网关与终端之间数据机密性,我是一个家庭基站拥有者,我信用我的手机控制家里面某些东西,至少是一下,这个数据传输一定要有机密性,我不希望别人在空口接入这个信息能够看到我家里面的情况,如果是这样可能不是一种帮助可能是一主失败。家庭基站已经不仅仅是一个家庭基站还是一个家庭综合网关功能要有一定存储,要有机密性,在别人窃取这个数据的时候,因为是跟互联网连接,不小窃取这个数据,这个数据是加密所以不能获得数据内容。
我们初步调研,提到一些问题还没有解决方案,因为我们不知道工业界在具体实践时候遇到什么问题,按照实践要求,要求你怎么做,如果我不这样做会怎么样,如果我不这样做运营商检查不到。如果说我对网络进行,我说没关系,技术解决不了,我政策解决,政策怎么解决,你对进行惩罚,你怎么获得,获取是很难的,虚拟家庭基站控制不仅是一个天线,可能是综合大楼装很多天线,把所有天线联到我的机器里面,所有家庭基站从我这台电脑进行管理,我这个电脑跟核心网连接,当我发起的时候,这些不同的家庭基站所要求的都是**我这个口出去,我检查你的IP就知道,你肯定有问题,我作为者可以改变我的IP的,我可以改变我发出数据包发出地址,我作为者我不担心我发出数据能不能原返回我只担心能不能到你的地方去,所以说工业要求,跟具体作为方面能不能避免还是有区别的。
第二点在你的设备制造商制造设备过程里面,要把秘密数据潜入进去,你怎么潜入过程不泄密,这个谁也不了,不能完全解决至少**小化,怎么做,目前为止我没有看到比较好的安全解决方案,也就是说家庭基站目前的状态是在强调它的功能性,还没有这种它的性能,功能能做什么,性能可靠不可靠,稳定不稳定,安全不安全,随着规模增大性能比功能要严重得多,重要得多,性能不能,长期可持续性发展,就是一个问题。设备认证需要进行完整性检验,没有用,**后也是**大的安全问题,如何在家庭基站制造里面不会被植入,我是一个制造商我的家庭基站所有功能都有,但是我给一个特别指令就按照我的做,你可以测试没有问题,你不知道我的通道,当我进行我可以**后门控制你,使你做一些,你是一个的家庭基站,家庭基站进行的时候,带来的更大,假如说我是一个设备制造商生产几百万太电脑都有后门,某个时刻让你家庭基站发起,你的运营商的网关就瘫痪了,我不管你服务上千家,在一段时间完全失去服务了,后门是很严重,我植入后门你很难检验到,我说我植入黑后门我生产制作工人会泄密,要看怎么生产,我不知道,如果他的工人不泄密,或者他的工人根本不知道这个植入这个后门呢,我有一个特殊工厂我就是制造这种后门,制造工人不说吗,因为工人得到利益了,能不能制造这种带有后门而且是“的家庭基站”你怎么呢,这种家庭家庭基站流入市场带来后果很严重,不是随时但是可能在某一个时刻当他需要的时候进行。
我说到一点家庭基站在生产里面怎么防止后门,还是不行,如果是一个地下工厂没有办法防他不按照常规出牌,还有一个情况家庭基站虚拟化,我插一个天线就是一个家庭基站,一台电脑可以控制很多家庭基站,成本会贵很多,但是我的目的不是家庭基站而是做别的,甚至可以插一个天线,有一个安全模块,我可以远程控制的时候很容易激发DDOS,如果这一点能够做到,家庭基站实际上还是存在很大风险的。
**后我想说说的是**商业规范提高信息安全性,从这个角度考虑**商业规范提高信息安全是很,你很难的,可以**商业机密比如说把一个秘密信息写如到协议里面,是不可靠的,我们SIM卡里面的算法是机密后来被公开了,欧洲电视有一种算法也是商业机密,但是莫名其妙就在网上出现了,谁放的也不知道,一旦这种情况发生你前面做所有工作,**管理手段约定已经没有用了,这是不可逆的过程,一旦我公开就再也不能变成秘密,所以对家庭基站的安全性如果说要大规模发展的话,还需要认真考虑,我这是提的一些问题,我也没有解决方案,谢谢大家。
相关推荐:
个试听名额
