Ⅰ IMS的问题分析
IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标准化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析
传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。而且传输采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。
而IMS网络与互联网相连接,基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210),处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外,还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/ISIM)安全构成威胁。
2、IMS安全体系
IMS系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。对于IMS系统,多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用集成电路卡(UICC),它包含多个逻辑应用,主要有用户识别模块(SIM)、UMTS用户业务识别模块(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。
图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求,分别用①、②、③、④、⑤来加以标识。①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。
⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。SIP使用两种安全协议:传输层安全协议(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协议,如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协议(UDP)。在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。
3、IMS的接入安全
IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,具体而言,UE用户签约信息存储在归属网络的HSS中,且对外部实体保密。当用户发起注册请求时,查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF),用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时,该S-CSCF将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。
在IMS接入安全中,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护,对于呼叫会话控制功能(CSCF)之间和CSCF和HSS之间的加密可以通过安全网关(SEG)来实现。同时,IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
在完成注册鉴权之后,UE和P-CSCF之间同时建立两对单向的SA,这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流,另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应,而不是使用发送请求的那个端口。同时,终端和P-CSCF之间使用TCP连接,在收到请求的同一个TCP连接上发送响应;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库,即内部和外部数据库(SPD和SAD)。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA,这些选择器包括IP层和上层(如TCP和UDP)协议的字段值。
与此同时,为了保护SIP代理的身份和网络运营商的网络运作内部细节,可通过选择网络隐藏机制来隐藏其网络内部拓扑,归属网络中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统(UMTS)中相互认证机制称为UMTS AKA,在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络,以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议,包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。
UMTS系统中AKA协议,其相同的概念和原理被IMS系统重用,我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证,并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份(IMPI),HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时,ISIM对AUTN进行验证,从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号,如果ISIM检测到超出了序列号码范围之外的认证请求,那么它就放弃该认证并向网络返回一个同步失败消息,其中包含了正确的序列号码。
为了响应网络的认证请求,ISIM将密钥应用于随机挑战(RAND),从而产生一个认证响应(RES)。网络对RES进行验证以认证ISIM。此时,UE和网络已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(CK)和完整性密钥(IK)用以两个实体之间通信的安全保护。
4、IMS的网络安全
在第二代移动通信系统中,由于在核心网中缺乏标准的安全解决方案,使得安全问题尤为突出。虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷,第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
在NDS中有几个重要的概念,它们分别是安全域(Security Domains)、安全网关(SEG)。
4.1安全域
NDS中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中,不同的安全域之间的接口定义为Za接口,同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口,Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2安全网关
SEG位于IP安全域的边界处,是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域,SEG被用来处理通过Za接口的通信,将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型,它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略,也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送,每个安全域可以有一个或多个SEG,网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时,NDS/IP必须提供相应的机密性、数据完整性和认证。
4.3基于IP的网络域安全体系[2]
NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全,逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。
在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护,安全网关之间的网络连接通过使用IKE来建立和维护[3]。网络实体(NE)能够面向某个安全网关或相同安全域的其他安全实体,建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由,它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。
4.4密钥管理和分配机制[5]每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换(IKE)协议进行协商,其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的:一个SA用于入向的业务流,另一个用于出向的业务流。另外,SEG还维护了一个单独的因特网安全联盟和密钥管理协议(ISAKMP)SA,这个SA与密钥管理有关,用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言,一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中,认证是基于预先共享的密钥。
NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密(3DES)算法是强制使用的,而对于数据完整性和认证,MD5和SHA-1都可以使用。
4.5IPSec安全体系中的几个重要组成和概念[5]
1)IPSec:IPSec在IP层(包括IPv4和IPv6)提供了多种安全服务,从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全,提供相应的安全服务。
2)ISAKMP:ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式,还有用于密钥产生的技术,它还包括缓解某些威胁的机制。
3)IKE:IKE是一种密钥交换协议,和ISAKMP一起,为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA,即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。
4)ESP:ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用,可提供机密性(如加密)或完整性(如认证)或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中,ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置;而在隧道模式中,它位于所封装的IP数据报之前。
标准化组织对IMS的安全体系和机制做了相应规定,其中UE和P-CSCF之间的安全由接入网络安全机制提供,IMS网络之上的安全由IP网络的安全机制保证,UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec,密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权,所以安全性更高一些。但是对于固定终端来说,由于固定接入不存在类似移动网络空中接口的鉴权,P-CSCF将直接暴露给所有固定终端,这使P-CSCF更易受到攻击。为此,在IMS的接入安全方面有待于进一步的研究,需要不断完善IMS的安全机制。
Ⅱ linux发行版本有哪几种划分方式
按打包方式划分
基于Dpkg (Debian系)
Debian GNU / Linux是一种强调使用自由软件的发行版。它支持多种硬件平台。Debian及其派生发行版使用deb软件包格式,并使用dpkg及其前端作为包管理器。
• Adamantix:基于Debian,特别关注安全。
• Amber Linux:基于Debian,针对拉脱维亚用户作了一些定制。
• ASLinux Desktop:西班牙语,基于Debian与KDE,针对各种桌面用途,包括家用、办公、教育、游戏、科学、软件开发,最大的卖点在于其丰富的可用性。
• Anthon GNU/Linux: 即安同OS,是直接从源码构建的开源Linux操作系统,但采用Dpkg包管理系统,遵循LGPL授权协议,使用KDE桌面环境,由安同开源操作系统社区社区成员共同开发。
• B2D Linux:基于Debian,希望可以由“做中学”来产生一个小而美的中文Linux包的计划。
• Debian GNU/Linux:由大批社区志愿者收集的包。Debian拥有庞大的软件包可供选择(29000个以上),支持大量的硬件平台(12个计算机系统结构)。以前该包因为安装困难受到责难,但最新的版本具备了简单易用的文本式安装环境。非自由软件不会包含在Debian的主要软件包中。
• Grml:进行系统救援的Live CD。
• Guadalinex:由西班牙的安达卢西亚地方政府推动,基于Debian,针对西班牙语的家庭用户以及学校。
• Knoppix:第一张Debian的自启动运行光盘。包含的软件非常多,启动时会自动进行硬件监测。从4.0起,用DVD作光盘。
o 以下基于Knoppix:
Gnoppix:Knoppix的GNOME版,该包发行周期较长,未来会跟Ubuntu进行集成。
Kanotix:自启动运行光盘,基于Knoppix,也可以安装到硬盘上。有很好的硬件支持,桌面与笔记本电脑的集成也很出色。
Kurumin:针对巴西用户的Knoppix。
• LinEx:由西班牙的埃斯特雷马杜拉地方政府推动的包。
• Loco Linux:基于Debian的阿根廷Linux。
• MEPIS: 基于Debian的桌面和服务器。
• Rays Linux(华镭):基于Debian,针对亚洲市场,由新华科技(南京)系统软件有限公司开发。
• Skolelinux:在挪威发起,旨在打造适合于学校的轻便包。
• Symphony OS:基于Debian,与众不同地采用Mezzo桌面。
• Ubuntu:对初学者而言最易用的Linux包。由Canonical有限公司赞助,基于Debian,使用自己的软件包库,与Debian的有所不同,旨在开发出更加友好的桌面,已经获取了良好的声誉。
o 以下基于Ubuntu:
Linux Mint:基于Ubuntu的发行版,人气很高,是目前排行榜上第三名的发行版。
Ebuntu:是Ubuntu的教育发行版。
Elementary OS:基于Ubuntu,使用基于GNOME名为Pantheon的桌面环境。
Linux Deepin:基于Ubuntu,使用Gnome 3桌面环境的中文发行版(初期使用的是Xfce)。0.x版基于Debian。
Kubuntu:使用KDE桌面环境的Ubuntu包。
Lubuntu:使用LXDE桌面环境的Ubuntu包。
PUD GNU/Linux:基于Ubuntu的小型Linux,可安装于光盘或256 MB以上的USB U盘。
Ubuntu Kylin:添加了少量中国化定制的 Ubuntu 发行版。
Xubuntu:使用Xfce桌面环境的Ubuntu包。
Ylmf OS: 基于Ubuntu发行版(现已更名为Start OS且基于linux内核独立制作)。
Ubuntu GNOME: 基于Ubuntu是Linux发行版,但使用的是桌面环境是Gnome。
Zorin OS:基于Ubuntu的Linux发行版,目的是尽可能的模拟Windows及操作习惯。
基于RPM (Red Hat系)
Red Hat Linux和SUSE Linux是最早使用RPM格式软件包的发行版,如今RPM格式已广泛运用于众多的发行版。这两种发行版后来都分为商业版本和社区支持版本。Red Hat Linux的社区支持版本现称为Fedora,商业版本则称为Red Hat Enterprise Linux。
• aLinux:原名Peanut Linux,针对家庭用户。
• ALT Linux:东欧版本。
• Ark Linux:强调易学易用。
• ASPLinux:提供俄语等东欧语言的支持。
• Asianux Server:由中国红旗、日本Miracle、韩国Hannsoft三家联合开发,主要市场针对亚洲地区,对中文、日文、韩文的支持比较好。
• Blag Linux:体积小,但功能较多。
• Caixa Mágica:葡萄牙语的Linux。
• cAos Linux:由社区创建的包,功能通用、培植简单。
• CentOS:由社区支持的包,旨在100%地与Red Hat Linux企业版兼容,但不包含Red Hat 的商业软件。
• Cobind:桌面。
• Conectiva:一个巴西包,曾经是United Linux的创建成员,现在该公司已经并入到Mandriva Linux。
• ELinux:用于教育的包。
• Fedora:可用作工作站、桌面以及服务器,由红帽公司及其社区开发。
• Linux Mobile System:基于Fedora Core的包,设计成从USB存储设备启动,比如U盘。
• Linpus Linux:来自台湾厂商发行的Linux版本。是一套通过LSB 3.1认证、GB18030-2000编码检验测试及支持CNS11643中文标准交换码全字库的Linux桌面型系统。在中文支持能力上较为完善。
• Magic Linux:一个易用的中文包,基于Fedora和KDE桌面环境。
• Mandriva Linux:最初是红帽的一个变种,针对奔腾级CPU作了优化,后来在保持兼容性的同时,派生成为更友好的包。Mandriva中所有的软件仍然免费,还有活跃的社区支持,另外通过注册以及销售盒装产品,Mandriva还提供企业级的支持与服务,还有针对付费用户的俱乐部。
• Novell Linux Desktop:由于Novell收购了SUSE,他们的Linux产品对原来的包有所继承。
• PCLinuxOS:一个易用的自启动运行光盘,以良好的观感着称;硬盘安装也同样轻而易举。最初基于Mandrake 9.2,而后PCLinuxOS针对桌面用户,开始自己的开发道路。在保留基于RPM包的同时,PCLinuxOS别出心裁地使用自己的APT包管理工具(受Debian影响),但图形前端仍然用的是Synaptic。
• PCQLinux2004:由印度的PCQuest杂志生产,基于Fedora Core。
• PLD Linux:来自波兰的包,针对较高级别的用户,比Slackware、Gentoo更加易用。
• QiLinux:意大利生产,包括桌面版、光盘自启动版,还有服务器版、高级服务器版。
• Qomo Linux:以Linux人社区作为依托开发,目标是提供一款最新、最酷、最快,轻量级、模块化的Linux操作系统。
• Red Flag Linux:即红旗Linux,由北京中科红旗软件技术有限公司开发,主要针对中国市场。
• Red Hat Enterprise Linux:红帽Linux家族中唯一的商业分支。
• Scientific Linux:由红帽Linux企业版,将遵循GPL的软件重新编译而成。
• SUSE/openSUSE:来自德国,是欧洲最流行的包之一。跟红帽一样,也包括大量的软件,需要7张以上的CD,现在则用双DVD。这个包有独特的配置工具YaST。也是United Linux的创立者之一,已经被Novell公司收购。openSUSE是一个新的版本,基于社区,完全开源。
• Tinfoil Hat Linux:对安全格外关注的包。
• Trustix:专注于安全与稳定性的包。
• Turbo Linux:在亚洲较流行的一个包,基于Red Hat,是United Linux的成员。
• Vine Linux:基于Red Hat的一个日本包。
• White Box Enterprise Linux:意在兼容Red Hat企业版第三版。
• Yellow Dog:基于Red Hat,针对PowerPC平台。
• YOPER:"Your Operating System"(你的操作系统),来自新西兰的桌面包。
Slackware系
Slackware 走了一条同其他的发行版本(Red Hat、Debian、Gentoo、SuSE、 Mandriva、Ubuntu等)不同的道路,它力图成为“UNIX风格”的Linux发行版本。它的方针是只吸收稳定版本的应用程序,并且缺少其他 linux版本中那些为发行版本定制的配置工具。
• Kate OS:基于Slackware的设计理念,一个轻便的波兰语包。
• Zenwalk Linux(以前是MiniSlack):基于Slackware作了优化,注重简便、快捷。
• Plamo Linux:基于Slackware的日语包。
• Slackware:一个老牌包,由Patrick Volkerding维护,特别注重简洁与安全。
• Ultima Linux:基于Slackware,由Martin Ultima作了优化。
• SLAX:一个基于Slackware的自启动运行光盘,由Tomas Matejicek维护。
• Frugalware:通用Linux包,面向中级用户。
其他打包方式的包
• ArchLinux:基于KISS原则,针对i686和x86-64的CPU做了优化,以.pkg.tar.xz格式打包并由包管理器进行跟踪维护,特别适合动手能力强的Linux用户。
• Chakra GNU/Linux:原先基于ArchLinux,后来独立成有自己特色的发行版,如:官方包库不含依赖GTK+的软件包、只使用KDE桌面环境等。
• Calculate Linux:基于Gentoo,来自俄罗斯。
• CRUX:采用类BSD Port包管理系统,针对i686的CPU做了最优化,适合狂热爱好者以及专业人士使用。
• Foresight Linux:采用Conary包管理系统,引入了GNOME中的许多最新技术,比如beagle、f-spot、howl以及最新的hal等,这个包在保持易用的同时,更注重革新。
• Gentoo:这个包采用自己独特的Portage包管理系统,吸引了许多狂热爱好者以及专业人士,由于能自己编译及调整源码依赖等选项,而获得至高的自定义性及优化的软件,在源码包也有相当多新旧版本的选择,是个强调能自由选择的发行版。
• GoboLinux:构建了新的目录结构,比如GCC放在/Programs/GCC/这样的目录,为了让系统能找到这些文件,在/System/Links/Executables这样的目录下归组,这样就包含了/Programs目录下所有可执行文件的符号链接。
• Heretix:以前叫做RubyX,包的管理,包括包管理,都是通过由Ruby写的脚本来完成,所有的包都安装在/pkg目录下。
• ImpiLinux,来自南非的包,主要针对非洲用户。
• Jedi GNU/Linux:使用force-get包管理器,允许源码、二进制软件包共存。
• Linux From Scratch:这是一份文档,介绍如何自己动手,如何白手起家编译打造自己独一无二的Linux系统。
• Lunar Linux,基于源码,由Sorcerer GNU/Linux所派生。
• MkLinux:"Microkernel Linux"的缩写,旨在将Linux移植到跑Mach微核的PowerPC机器上。
• Onebase Linux:采用OLM包管理器,对二进制、源码进行管理。
• Sabayon Linux:基于Gentoo,来自意大利。
• Sorcerer GNU/Linux:基于源码。
• Source Mage GNU/Linux:也是基于源码,由Sorcerer GNU/Linux所派生。
• Ututo:基于Gentoo,来自阿根廷。
• Open Client:基于Red Hat Enterprise Linux,来自IBM,提供有Fedora、Ubuntu、SLED的Layer。
给老机器订制的小型包
一般的迷你包,除了可以硬盘安装,也可以安装在U盘上。
• Austrumi:拉脱维亚的自启动CD包,支持英语,功能比较丰富,基于Slackware。
• cAos Linux:有社区维护,功能通用。
• Damn Small Linux(DSL): 这是小型包的老祖宗,放在迷你CD上,原先设计是想看看一张50M的CD可以放多少桌面程序,原来是作为个人玩具,但不久Damn Small Linux周围就聚成了一个社区,不少人加入进来,参与改进,包括一个远程、本地的程序安装系统,多功能的备份、还原系统,另外还加入了Knoppix的硬件检测,使用自己的*.dsl软件包系统,默认的窗口管理器是Fluxbox。可以在微软虚拟机软件里运行,无须关闭WINDOWS系统专门进入LINUX系统,特别适合初学者。
• Feather Linux:类似于Damn Small Linux,但总容量是115MB,兼容Debian的软件包。
• Flonix USB版:放在USB设备上的可移动桌面包,这是个商业版,只能给购买的U盘作预装。
• Knopperdisk:为U盘设计的包,基于Gentoo。
• Puppy Linux:启动特别地快,在配置较低的PC上(内存小于48M),也可以运行自如。包含的工具都是特别精简的,使用Fvwm95作为窗口管理器(现在是JWM)。
• Kuppy Linux:基于Puppy发展的发行版,拥有启动特别地快,在配置较低的PC上等特点外,将桌面置换为XFCE4,更适合习惯windows操作的用户。
• Tiny Core Linux:是一个仅有10MB的桌面操作系统,甚至可以在486上运行,但它并不是一个完整的桌面,而且只支持有限局域网。
• Stem桌面:一个混合产品,使用标准的Debian来编译桌面(Fvwm95)。针对老机器(CPU小于等于266Mhz,内存小于等于64M)设计,从Debian软件仓库种选择的包都是最轻巧的。与众不同的是,该包没有自己的安装光盘,用户得先安装Debian,然后运行文本界面的安装脚本,然后通过网络连接,编译剩余的软件。这个包100%跟Debian兼容。
• SPBLinux:用于软盘、U盘的迷你版本。
• Vector Linux:中小型包,针对新老机器,采用小而快的应用程序,以及简化的安装程序。该包有多个版本,包括大小为2G的SOHO(Small Office, Home Office)版,以及800M的"Dynamite"版。SOHO版提供KDE/IceWM窗口管理器,外观很专业;Dynamite版只采用IceWM,以及部分工具。该包包括了简单的升级包管理程序,基于Slackware。
• eMoviX:小型包,专门用作媒体播放用途。
按发行方式划分
部分或全部的商业版
• BlueCat Linux:Linux嵌入式系统,可用于小型客户定制的设备,乃至大规模多CPU的系统。
• Libranet:基于Debian的桌面包,与Debian保持100%的兼容。安装过程有硬件自动检测,桌面有一个管理员菜单(文字模式与图形模式),这样简化了硬件与软件的配置。
• Linspire:另一个桌面包,以前叫Lindows,基于Debian。可以通过Linspire或者Debian的apt命令,添加额外的软件,但不保证跟Debian的兼容性。该包包含不少的专属软件。
• Mandriva Linux:Mandrakesoft跟Conectiva合并以后,更名为Mandriva Linux。对于菜鸟来说,该包的各种产品,包括服务器、工作站、小型商用以及个人版,是最容易维护的Linux包之一。原来是Red Hat的一个变种,针对奔腾级CPU作了优化,进而发展出了更加方便的包。在保留完全自由软件的同时,Mandriva商业模式,通过捐献,以及对非会员延迟发布政策,增加了企业级的支持与服务。
• MEPIS:一个基于Debian的包,也可以作为自启动光盘来运行,这样可以在决定硬盘安装前,尝尝鲜。
• Nitix:第一个基于Linux服务器的自治操作系统,具有自管理、自恢复、自配置和自优化的能力。
• Novell Linux 桌面:Novell收购SUSE后,两家的包就互相融合了。
• Progeny Debian:由Progeny开发,基于Debian,使用从Red Hat移植过来的Anaconda安装器,该包又称为Progeny Componentized Linux。
• Red Hat Enterprise Linux:从Red Hat Linux派生出的纯商业版。
• SUSE:基于德国的纽伦堡,以前叫SuSE,是欧洲最流行的Linux包,由自己独特的配置工具YaST,用户可以下载到体验版(跟专业版类似)。该公司是United Linux的创建者,最近被Novell收购。
• Xandros:来自加拿大,基于过去的Corel Linux,专注于桌面市场,以及跟Windows的兼容性。该包包含一些专属软件,跟Debian的dpkg包管理系统兼容。
• YES Linux:针对小型公司,提供建议的网络环境。
专用包
• Mobilinux:针对手机,由MontaVista出品。
• Android:来自Google,以apk格式打包,采用Dalvik虚拟机提供类似Java (编程语言)的应用程序接口,目前已成为用户最多的智能手机系统之一。
• Maemo:来自诺基亚,基于Debian,目前专用于诺基亚的N770、N800、N810网络终端,以及N900手机。
• Moblin︰来自英特尔,现已捐给Linux基金会,用于Eee PC或其他上网本,支持快速启动。
• MeeGo:Maemo与Moblin计划结合的产物。
• Bada (操作系统):针对手机,由三星电子出品。
• LiMo 平台:由LiMo基金会主导开发的移动电话发行版。
• Tizen:MeeGo、LiMo 平台与bada计划结合的产物。
• Meltemi:MeeGo的另一个后继者,面向低端智能手机。
• webOS:针对手机和平板电脑,由Palm公司出品,后被惠普公司开源。
其它平台
iPodLinux基于修改版uClinux内核,并编写有所谓的“podzilla”简单用户界面。目前仅支持第四代之前的iPod。