网络与内容安全-009.移动通信安全-新

第九章移动通信安全马占宇信通院模式识别实验室2023/2/3122023/2/3第九章：移动通信安全移动通信GSM系统GSM安全机制A3,A5,A8算法UMTS的安全架构3GPP安全框架无线应用协议WAP3GPP安全标准4G：WLAN与3G的融合32023/2/3蜂窝移动通信系统(CMS)传输方式：双向传输适用范围：公众通信网。公众通信网

MSBSBSMSBSBSMSCMSC移动交换中心/移动电话交换局MTSO基站移动台移动通信网MSMS移动通信发展概况42023/2/31970年代初，贝尔实验室提出蜂窝系统的覆盖小区的概念和相关的理论后，立即得到迅速的发展，很快进入了实用阶段在1979年，AMPS制模拟蜂窝式移动电话系统在美国芝加哥试验后，终于在1983年12月在美国投入商用。我国开始在1987年开始使用模拟式蜂窝电话通信，1987年11月，第一个移动电话局在广州开通。1G：语音服务第一代移动通信系统以美国AMPS（IS-54）、英国TACS和北欧NMT450/900为代表的模拟移动通信技术，其特点是以模拟电话为主，采用FDMA制式，主要基于频率复用技术和多信道共用技术。52023/2/3移动通信发展概况2G：数字语音第二代移动通信系统属于数字通信系统，采用时分多址技术TDMA或窄带码分多址技术CDMA采用TDMA体制的主要有欧洲的GSM、美国的D-AMPS和日本的PDC采用CDMA技术体制的主要为美国的CDMA（IS95）2.5~2.75G：语音为主兼顾数据GPRS(GeneralPacketRadioService)层叠分组网络(D-AMPS,GSM)，相对原来GSM拨号方式的电路交换数据传送方式，GPRS是分组交换技术，具有“高速”和“永远在线”的优点EDGE(EnhancedDataratesforGSMEvolution)GSM到3G的过渡技术，它主要是在GSM系统中采用8PSK(8PhaseShiftKeying，八相相移键控)调制方法。与单纯的GSM网络的调制技术GMSK(GuassianMinimumShiftKeying，高斯最小频移键控)相比，8PSK可以实现大约3倍于GMSK的速率。网络速度稳定性理论速度理论下载速度EDGE384－473KPBS60KB/S非常稳定GPRS171.2KPBS20KB/S一般62023/2/3移动通信发展概况3G：数字语音和数据第三代移动通信，即ITU定义的IMT-2000（InternationalMobileTelecommunication-2000）与2G替代1G的过程不同：3G的发展是在十几亿用户的基础上，同时2G的技术和业务能力也在不断增强和提高3G和2G之间要无缝衔接，特别是在业务和应用方面IMT-2000最主要的目标和特征为：全球统一频段、统一制式，全球无缝漫游高频谱效率支持移动多媒体业务，即室内环境支持2Mbps、步行/室外到室内支持384kbps、车速环境支持144kbps等。72023/2/3

3G发展历程和主要特点

82023/2/3移动通信网的安全移动通信网的安全性比互联网还要脆弱在移动通信网上信息的截取比互联网容易可移动终端的计算机和存贮能力相对于计算机比较弱小可移动终端访问控制机制没有计算机完善对移动通信的干扰和屏蔽可以阻碍通信认证方式的不完备性第一代：几乎没有安全机制第二代：存在很多安全漏洞第三代：安全机制较完备，仍有漏洞第四代：。。。（计划中）92023/2/3GSM的安全Global

SystemforMobileCommunications1982CEPT(ConferenceofPostandTelecommunicationsAdministrations)开始1989ETSI(EuropeanTelecommunicationsStandardsInstitute)接手1991欧洲开通第一个GSM系统使用量最大，用户最多安全需求保护用户数据保护信令信息，包括位置信息用户认证，设备识别防止欺诈（支付领域）……102023/2/3基本的术语HPLMN:homepubliclandmobilenetwork，GSM的网管、票据处理和安全业务由Home网操作HLR:homelocationregister，处理本地实时认证和接入控制，永久注册VLR:visitorlocationregister，处理本地实时认证和接入控制，临时注册SIM:subscriberidentitymodule，用户标识卡MS:mobilestation，移动站ME:mobileequipment，无SIM的MSIMSI:internationalmobilesubscriberidentity，跨国移动用户标识(初次接入使用)TMSI:

temporarymobilesubscriberidentity，临时用户标识112023/2/3IMEI：InternationalMobileEquipmentIdentification

国际移动设备识别码是区别移动设备的标志，储存在移动设备中，可用于监控被窃或无效的移动设备。其总长为15位，每位数字仅使用0～9的数字。其中TAC:型号装配码，由欧洲型号标准中心分配；FAC:装配厂家号码；SNR:产品序号，用于区别同一个TAC和FAC中的每台移动设备；SP是备用编码

TAC(6位)+FAC(2位)+SNR(6位)+SP(1位)IMSI:Internationalmobilesubscriberidentity国际移动用户识别码（移动电话根据IMSI码计费）是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息。IMSI总长度不超过15位,其中MCC是移动用户所属国家代号；MNC是移动网号码，用于识别移动用户所归属的移动通信网；MSIN是移动用户识别码，用以识别某一移动通信网中的移动用户。主要术语解释主要术语解释IMSI:Internationalmobilesubscriberidentity国际移动用户识别码（续）欧洲格式(包括中国):MCC(3位)+MNC(2位)+NS(2位)+MSIN(8位)

MCCMobileCountryCode中国是460

MNCMobileNetworkCode移动00,02联通01

NS

NetworkSubnet

MSINMobileSubscriberIdentityNumberTMSI：TemporaryMobileSubscriberIdentity

电路域用户临时标识符，是为了加强系统的保密性而在VLR内分配的临时用户识别，在某一VLR区域内与IMSI唯一对应。2023/2/312132023/2/3GSM安全业务临时识别符(temporaryidentity)，对用户身份保密用户在呼叫/被呼叫前，其身份必须为网络知道IMSI仅在初次接入，或VLR中数据丢失时使用目的是防止攻击者得到用户所用的进网信息，防止用户位置跟踪认证，对用户身份的进一步确证加密，保证用户数据的机密性142023/2/3GSM工作机理：

首次接入用户采用SIM，MS读出其中的TMSI(temporarymobilesubscriberidentity)并送给VLR，VLR预先不知道TMSI因而要求MS传用户SIM中的IMSIVLR分配一个TMSI（5位数字）给用户，成功认证后以加密形式传给MSMS解密后存储TMSI和SIM目前的位置信息当MS运动时，LAI(locationareaidentification)与TMSI结合起来用VLR中存有用户的TMSI，IMSI和LAI若用户移到新的VLR，相应的TMSI和LAI也随之传递SIM/MS(IMSI,TMSI)VLR(IMSI,TMSI,LAI)TMSI(IMSI)E(TMSI)152023/2/3GSM的IMSI认证与加密Ki用于A3、A8的用户认证密钥，与HLR共享，128位秘密数据A3为认证算法，单向函数对于HLR的询问产生32位响应SRESSRES=A3(Ki,RAND)A5是64位会话密钥Kc的加解密算法，用于产生密钥流A8为生成Kc的单向函数，Kc=A8(Ki,RAND)162023/2/3GSM的IMSI认证与加密SRES=A3(Ki,RAND)Kc=A8(Ki,RAND)SRES=A3(Ki,RAND)Kc=A8(Ki,RAND)172023/2/3A5算法的构造182023/2/3A5算法的构造192023/2/3A5算法的构造Stop-and-Go钟控序列：控制序列值为1，被控序列正常移位；控制序列值为0，被控序列不移位。202023/2/3A5算法的构造GSM的安全缺陷仅有对称加密体制，算法并未公开算法已被披露，攻击的复杂度不高*对于位置信息缺乏必要的保护（对外部而言）无法防止来自内部的攻击（位置信息、消息内容等等）缺乏端到端的安全服务（认证、加密等等）212023/2/3*222023/2/3GSM的安全缺陷Ki的长度是48比特，用户截取RAND和SRES后很容易破译Ki，使SIM卡的复制成为可能单向身份认证。网络认证用户，但用户不认证网络，无法防止伪造基站和HLR的攻击MSC/VLR可以用Kc窃听用户的语音Kc和SRES在网络中明文传输，易被窃取，导致窃听基站和基站之间均是明文，无加密和认证措施232023/2/3GSM的安全缺陷Ki一般固定不变，极易破译缺乏数据完整性认证由Ki和TMSI可能找到IMSI用户漫游时，从一个网络进入另一个网络没有相关性用户无法选择安全级别242023/2/3攻击-盗用话费SIM卡复制（认证算法的缺陷）利用A3/A8的实现算法COMP128自身的缺陷进行攻击计算出Ki（最长128位）大概需要150000次运算，由于SIM卡本身的设计原理，每秒最多进行650次攻击截获认证数据（窃听内部链路通信）窃听从认证中心到被访移动交换中心内部传输链路中未经加密的认证数据（RAND和SRES）GSM标准仅仅考虑了网络之间的接口问题，在内部没有设置任何加密措施GSM内部链路传输大多采用微波传输窃取IMSI空中接口中间人攻击252023/2/3GSM通信密钥遭破解《窃听风云》真实版或将上演

2009年262023/2/3UMTSUMTS（UniversalMobileTelephoneService)isaThirdGeneration(3G)MobileSystembeingdevelopedbyETSI,withintheITU’sIMT-2000framework.Itwillprovidedataspeedsofupto2Mbps,makingportablevideophonesareality.3GPP：The3rdGenerationPartnershipProject(3GPP)isacollaborationagreementthatwasestablishedinDecember1998(The3rdGenerationPartnershipProjectAgreement

)安全漏洞始终存在在GSM的基础上增强了安全机制272023/2/3UMTS源于GSM用户身份保密（TMSI）用户认证无线接口加密SIM卡（USIM）SIM卡对用户的认证（PIN）对被访网络的认证授权不必采用标准化的认证算法UMTS增加的安全特性改进的认证和密钥机制信令信息的完整性保护新的加密、密钥检验和完整性保护算法282023/2/3UMTS的安全架构292023/2/3位置信息的保护移动用户希望别人能够方便的找到自己不希望在没有征得自己同意的情况下被外人和网络运营商定位302023/2/3位置信息的保护GSM对位置信息的分布式管理归属地位置登记来访者位置登记网络运营商对于位置信息有全局的把握可追踪移动电话用户的行迹312023/2/33G的安全W-CDMA,CDMA2000,TD-SCDMA3Mbps的无线数据接入10种安全算法缺陷没有用户数字签名密钥产生机制不安全算法过多认证协议易受攻击应用层：WTLS、VPN322023/2/3WAP协议无线应用协议（WirelessApplicationProtocol，WAP）是一种利用移动通讯终端连接互联网的标准协议，目前已成为全球移动设备上网的事实技术标准。与现在通行的互联网协议类似，专为小屏幕、窄带的用户装置（如移动电话）优化。是公开的、全球性的标准，由有兴趣参加WAPFORUM的成员共同讨论、制定和拥有，它使无线装置可以轻易、实时地交流信息和服务。332023/2/3WAP协议栈无线应用环境，无线会话协议，无线事务协议，无线传输安全协议，无线数据报协议ApplicationLayer(WAE)SessionLayer(WSP)TransactionLayer(WTP)SecurityLayer(WTLS)TransportLayer(WDP)OtherServices&Applications

Bearers:iDENGSMCDMACDPDIS-136342023/2/3WAP协议:WTLS无线传输安全协议(WirelessTransportLayerSecurity，WTLS)WTLS是建立在传输层安全(TLS)之上的协议。WTLS为适应无线通信较窄的带宽而进行优化，WTLS证书更适合于存储资源贫乏的移动终端。WTLS提供的功能有：数据完整性；数据保密功能；认证功能；拒绝服务保护。WTLS工作在WDP和UDP之上。帧中定义了序列号，确保WTLS可以工作在不可靠的传输层上。WTLS不支持数据的分组和重装，由下层协议处理，允许通过匿名方式或证书对客户机与服务器进行认证，一般需要客户机或服务器在会话建立消息中提供他们的公钥。352023/2/3WAP论坛成立于1998年初由Nokia、Ericsson、Motorola、UnwiredPlanet等四家公司发起组成，现拥有100多个公司和机构致力于开发用于数字移动电话和其他无线终端设备的无线信息与电话服务的全球事实标准目标是将无线行业价值链各个环节上的公司联合在一起以保证产品的互操作性和无线市场的发展。目标：全面的和可扩展的协议任何具有相关功能的移动电话任何现有的无线服务，如SMS，USSD和GPRS等任何移动网络标准如CDMA、GSM、或UMTS362023/2/3WAP模型编程模型与WWW模型类似，协议制定者尽可能地参考已有标准，并作为WAP技术的起点针对无线环境的特点进行了一些优化，增加了几种扩展名使用基于WWW内容格式的内容格式，内容传送也使用基于WWW通讯协议的一系列通讯协议，管理用户界面的微浏览器也与标准的网络浏览器类似372023/2/3WAP模型和体系结构WAP定义了允许移动终端和网络服务器之间通讯的标准标准名字模型--WWW标准的URL同样用来界定WAP内容和来源服务器内容类型--WAP内容有与WWW类型一致的特定类型标准内容格式--WAP内容格式基于WWW技术，包括显示标识、日历、图形和脚本语言等标准通讯协议--移动终端与网络服务器之间的请求传送为无线装置的应用开发提供了可扩展、可延伸的环境每一层协议或其它服务和应用程序可与下一层协议直接对话外围服务和应用程序可以利用WAP体系提供的各种功能，包括直接使用会话层和传输层等WAP的安全漏洞：数据可以方便地被窃取；密钥可以访问；CRC模式使破译工作容易进行；所有用户共享一个密钥。382023/2/3无线应用环境基于移动技术与WWW结合基础之上的应用环境为营运商、服务提供商的服务和应用程序建立交互的操作环境，可以灵活接入不同平台微型浏览器无线标记语言WMLWMLScript无线电话应用内容格式392023/2/3WAP网关将WAP协议栈的请求翻译到WWW协议(HTTP,TCP/IP)中内容编码器和解码器数据聚合和缓冲处理用户数据库接口WAP网关负责将WML与WMLScript翻译为二进制代码，以适合与在低带宽的网络上传输，并且使得资源贫乏的终端设备易于处理WTLS安全会话建立在手机与WAP网关之间，而与终端服务器无关WAP网关可以看见所有的数据明文，而该WAP网关可能并不为服务器所有者所拥有402023/2/3TLS与WTLSTLS需要一个可靠的传输层—TCP，无法在UDP上工作WAP协议栈没有提供可靠的传输层，在分组网络上优先选择了UDP。只在协议栈的上层通过WTP和WSP实现可靠性WTLS工作在WDP和UDP之上。帧中定义了序列号，确保WTLS可以工作在不可靠的传输层上WTLS不支持数据的分组和重装，由下层协议处理WTLS允许通过匿名方式或证书对客户机与服务器进行认证，一般需要客户机或服务器在会话建立消息中提供他们的公钥3类WTLS第1类实现必须支持公钥交换、加密和消息认证码（MAC），而客户机和服务器证书、共享秘密握手是可选的。不需要支持压缩算法和智能卡接口。可选择通过证书实现客户机和服务器的认证第2类实现必须支持服务器证书第3类实现必须同时支持客户机和服务器证书第2类和第3类中的压缩和智能卡接口都是可选的412023/2/3TLS与WTLS如果公钥交换机制不是匿名的，服务器需要向客户机发送证书以标识自己。该消息中包含了一条从服务器自身的证书到CA根的证书链，发送者的证书必须位于链表头，每个后续的证书必须验证它的前驱(上一个)。CA根的证书可以在链表中省略服务器还可以向客户机要求证书。如果客户机没有证书，则需向服务器发送一条不包含证书的消息，然后由服务器决定是否继续与其进行会话TLS使用X.509证书，但体积太大，多数移动设备并不支持WTLS证书更适合于存储资源贫乏的移动终端在客户机端发起与远端服务器的通信，并提出对安全选项的建议。在服务器端检查所提交的选项，并进行选择以确保通信安全422023/2/33G安全特征的一般目标确保用户生成的信息或与之相关的信息不被滥用或盗用确保服务网（ServingNetworks，SN）和归属环境（HomeEnvironments，HE）提供的资源和业务不被滥用或盗用确保标准化的安全特征适用于全球（至少存在一个加密算法可以出口到各国）确保安全特征充分地标准化，以保证在世界范围内的协同运行和在不同服务网之间漫游确保给用户和业务提供者的保护等级高于在当前固定网和移动网中提供的保护等级确保3G安全特征的实现和机制能随着新的威胁和业务要求可扩展和增强确保2G系统中使用的基本安全特征外，3G需要更强或更灵活的安全机制432023/2/33G系统面临的安全威胁与无线接口攻击相关的威胁

未授权接入数据对完整性的威胁拒绝业务攻击未授权接入业务

与攻击系统其他部分相关的威胁未授权接入数据对完整性的威胁拒绝业务攻击否认未授权接入业务

与攻击终端和UICC/USIM有关的威胁未授权接入数据对完整性的威胁窃取数据机密442023/2/33G系统中的主要安全技术用户身份保密在无线链路上窃听用户身份IMSI是不可能的确保不能够通过窃听无线链路来获取当前用户的位置窃听者不能够在无线链路上获知用户正在使用的不同的业务识别用户身份的两种机制使用临时身份TMSI使用加密的永久身份IMSI，而且要求在通信中不能长期使用同一个身份数据保密性2G3G数据完整性完整性算法（UIA）协商完整性密钥协商数据和信令的完整性452023/2/33G安全体制3GPP安全体制的安全功能及其算法462023/2/33G安全体制3G认证与密钥分配协议及其安全性分析AKA协议过程AKA安全性分析对AKA可能的攻击本地认证472023/2/33GPP安全标准WCDMA,中国联通专指在IMT-2000中定义的移动电话协议，也是基于码分多址技术，但是与美国高通的技术无关一般认为WCDMA的提出，是部分厂商为了绕开专利陷阱而开发的，其方案已经尽可能地避开高通专利

R99（R3）,R4,R5,R6CDMA2000,中国电信美国高通(Qualcomm)开发的包括cdmaOne（IS-95）的自然演进(IS-2000)TDS-CDMA,中国移动TimeDivisionSynchronous-CDMA由大唐电信、中国电信科学研究院、Siemens公司推动482023/2/33GPP安全标准3G安全标准的进展21系列(安全需求)33系列(安全部分)35系列(密码算法部分)42和43系列(SAT:SIMApplicationToolkit、FIGS/IST:FraudInformationGatheringSystem/ImmediateServiceTermination)3GPPTS21.133:3GSecurity;SecurityThreatsandRequirements版本4.1.03GPPTS33.102:3GSecurity;Securityarchitecture版本6.0.03GPPTS33.103:3Gsecurity;Integrationguidelines版本4.2.03GPPTS33.120:3Gsecurity;Securityprinciplesandobjectives版本4.0.0

492023/2/3Cellular/WLANIntegrationSolutionBSSGGSNCellularNetworkSGSNHLRInternetAPAPAccessControllerPublicWLANAuthenticationServer(AAA)(GSM/GPRS/WLAN)&WLANcardLoosecouplingIntegrationstartingattheIPlayer

Cellular与

WLAN各有所长502023/2/32.5G–数据

(GPRS,cdmaOne)2G-语音(GSM,PDC,IS-95)3G-多媒体

(W-CDMA,cdma2000)系统说明Voice、CircuitData(14.4kbps)Macro/MicrocellGSM,PDC,IS-95Voice、PacketData

(Upto115kbps)Macro/Micro/PicocellGPRS,IS-95BMultimedia(Upto2Mbps)Macro/Micro/Pico/SpotcellW-CDMA,cdma2000Office/HomeOutdoorInfrastructureCellular-Wideareacoverage,voice&narrow-banddataservicesWLAN-High-bandwidthwirelessbutinspecificlocation,Low-costdeployment

IntegrationArchitecture(1)SeamlessMobilityin3G-WLANproposedby3GPP3GNetworkOtherIPnetworkHotSpot802.11iENVFA3GRANPublicNetwork3GRANCorenetworkFA/HANoneedforuserinteractionwhen

movingbetweenMobile-IPenablednetworksDual-modeterminal/MobileIPclient:3GaccessPath:WALNaccessPath2023/2/351IntegrationArchitecture(2)WLANisusedasacomplementof3GReusethe3GAAAfunctionsinWLANDonotchangeSGSNandGGSNImplementationbasedonexistedstandard:WALNaccessPathAAAHLRAAA/HLRSGSNGGSNInternetApplicationServerAP:3GaccessPath:AuthPathAAAGWLoosecouplingintegratingreferencemodelproposedbyETSI2023/2/352IntegrationArchitecture(3)DirectintegratingWLANinto3GWLANconnectto3GcorenetworkComplexandlongtermsolutionNeednewstandardsGWHLRSGSNGGSNAPInternet:WALNaccessPath:AuthPathTightcouplingintegratingreferencemodelproposedbyETSI2023/2/353IntegrationArchitecture(4)3GnetworkHLRWALNnetworkAAAserver/BillingSystemAAAGWAAAProxyAAAserverAAAarchitecturefor3G-WLANInter-domainAAAexchangeUse802.1xinWLANUseAKAin3G(EAP-AKA)RadiusisusedtorouteAAAmessagesbetweendifferentProviders‘AAAinfrastructures.GatewaysareneededtorouteAAAmessagesinaheterogeneousenvironment2023/2/354无线通信系统的

发展方向2023/2/355可信计算在无线通信系统中的应用，HUAWEITECHNOLOGIESCO.,LTD.

个性化的基站形态2023/2/356新的安全威胁新的需求-设备的安全防护2023/2/357空口安全实例深圳地铁事件证实了无线空口安全风险的真实存在性,地铁方面有专家介绍，2.4GHz频段有多个信道。便携式WiFi由移动运营商自行组网，信道是随时变动的。当乘客携带便携式WiFi时，如果信道与地铁使用的信道相同时，彼此就会产生干扰。同时用户只要使用带有无线天线或无线网卡的电子设备，就能很轻易地搜索到无线信号，获取SSID、信道以及是否加密等信息。甚至个别非法用户利用一些技术手段能很轻易地侵入无线网。如果被非法入侵者利用，发布错误的行车指令，将会对列车的行车安全造成极大的安全隐患。2023/2/358标准中的安全需求2023/2/359TrustedPlatformModule可信计算可信计算（TrustedComputing）是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。与常规的信任的定义不同，安全专家将可信系统定义为：为保证较大系统的安全，而必须被信任的系统。例如，美国国防部将可信系统定义为：可以违反安全策略的系统；也就是说“一个因为你没有选择而必须信任的系统”。密码学家BruceSchneier认为“‘可信’计算机并不意味着它是值得信赖的”。在这些定义下，硬盘控制器的用户必须信任它，相信它在任何情况下都能够诚实地将数据存储到磁盘；安全网站的用户必须信任它是安全的，因为用户自己无法验证。在安全领域的说法中信任总是一种折衷或者缺陷；有时根本无法避免，但这不是大家希望的。再作一个比喻，你最好的朋友无法共享你的医疗记录，因为他或她没有这些医疗记录。而另一方面，你的医生却可以共享。有可能你信任自己的医生并且认为他或她是一个好人；也有可能你们的镇上只有一个医生，而你只好信任他或她。关于可信计算的主要争论在于信任本身的含义。可信计算组织将技术信任描述为“如果一个实体的行为总是按照预期的方式和目标进行，那它就是可信的”。批评者将可信系统描述为一个你“被迫信任”的系统，而非是真正值得信赖的。2023/2/360可信计算关键技术可信计算包括5个关键技术概念，他们是完整可信系统所必须的，这个系统将遵从TCG（TrustedComputingGroup）规范Endorsementkey签注密钥签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据Secureinputandoutput安全输入输出安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前，电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。2023/2/361可信计算关键技术Memorycurtaining储存器屏蔽储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域。例如，包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限，所以入侵者即便控制了操作系统信息也是安全的。Sealedstorage密封储存密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如，某个用户在他们的电脑上保存一首歌曲，而他们的电脑没有播放这首歌的许可证，他们就不能播放这首歌。Remoteattestation远程认证远程认证准许用户电脑上的改变被授权方感知。例如，软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未被干扰（尝试破解）。2023/2/362可信计算应用身份盗用保护可信计算可以用来帮助防止身份盗用。以网上银行为例，当用户接入到银行服务器时使用远程认证，之后如果服务器能产生正确的认证证书那么银行服务器就将只对该页面进行服务。随后用户通过该页面发送他的加密账号和PIN和一些对用户和银行都为私有的（不看见）保证信息。2023/2/363可信计算应用数字版权管理可信计算将使公司创建很难规避的数字版权管理系统，但也不是不可能（破解）。例子是下载的音乐文件，用远程认证可使音乐文件拒绝被播放，除非是在执行着唱片公司规则的特定音乐播放器上。密封储存防止用户使用其他的播放器或在另一台电脑上打开该文件。音乐在屏蔽储存里播放，这将阻止用户在播放该音乐文件时进行该文件的无限制复制。安全I/O阻止用户捕获发送到音响系统里的（流）。规避（破解）这样的系统需要操纵电脑硬件或者是用录音设备或麦克风获取模拟信号（这样可能产生信号衰减）或者破解加密算法2023/2/3644G移动通信4G第四代移动通信

4Gsystemwillprovideanend-to-endIPsolutionwherevoice,dataandstreamedmultimediacanbeservedtousersonan"Anytime,Anywhere"basisathigherdataratesthanpreviousgenerations.一般认为4G是以IPv6为基础的，网络上的所有单位都有自己的IP地址，多种无线接入网络共存的有线无线统一的网络。4GwillbeafullyIP-basedintegratedsystemofsystemsandnetworkofnetworkswiredandwirelessnetworks(e.g.:computer,consumerelectronics,communicationtechnology…)Providing100Mbit/sand1Gbit/s,respectively,inoutdoorandindoorenvironmentsEnd-to-endqualityofserviceHighsecurityOfferinganykindofservicesanytime,anywhereAffordablecostandonebillin