《无线网络安全培训课程ppt课件.ppt》由会员分享,可在线阅读,更多相关《无线网络安全培训课程ppt课件.ppt(69页珍藏版)》请在三一办公上搜索。
1、1,无线网络概述,无线网络现状:新技术层出不穷、新名词应接不暇无线局域网(WLAN)、无线个域网(WPAN)、无线体域网(WBAN)、无线城域网(WMAN)、无线广域网(WWAN)移动AdHoc网络、无线传感器网络(WSN)、无线Mesh网络Wi-Fi、WiMedia、WiMAXIEEE802.11、IEEE802.15、IEEE802.16、IEEE802.20固定宽带无线接入、移动宽带无线接入蓝牙、红外、HomeRF、UWB、ZigBeeGSM、GPRS、CDMA、3G、超3G、4G.,2,无线网络概述无线网络发展史,蜂窝技术经历了漫长的发展之路:早期使用800MHz频率来传递模拟信号随后
2、出现的个人通信服务(PCS)使用1850MHz的频率Sprint公司(斯普林特)是PCS服务的主要提供商一些移动运营商也开始使用数字技术:TDMA时分多址CDMA码分多址GSM全球移动通信系统3G (WCDMA、CDMA2000、TD-SCDMA)4G(TDD-LTE,FDD-LTE)!,3,无线网络概述无线网络分类,传输距离:10m左右典型技术:IEEE 802.15 (WPAN) Bluetooth(蓝牙) ZigBee传输速率:10Mbit/s,传输距离: 几十米几千米典型技术: IEEE 802.11 (a,b,g,i,n)传输速率:11300Mbit/s,传输距离:城市大部分地区典型
3、技术: IEEE 802.16 (WiMAX)*:有的分类也将其作为3G 标准之一 IEEE 802.20 (MBWA,移动宽带无线接入系统),主要是通过移动通信卫星进行数据通信的网络典型技术:2G3G传输速率:2Mbit/s4G,4,无线网络概述无线网络分类,IEEE 关于无线网络的标准:,5,无线网络概述(补充)无线网络设备,个人移动设备:PDA(个人数字助理)、手机、平板电脑无线联网设备:网络适配器、接入点(AP)、WLAN交换机、无线路由器、无线网桥、无线中继器、天线无线IP电话(VoIP)射频标签(RFID)工业或商业无线应用:无线传感器网络(WSN),6, WLAN可能出现检测错误
4、的情况:检测到信道空闲,其实并不空闲检测到信道忙,其实并不忙WLAN不能使用碰撞检测,那就应该尽量减少碰撞的发生802.11委员会对CSMA/CD进行了修改,把碰撞检测修改为碰撞避免CA(Collision Avoidance) CSMA/CACSMA/CA设计的思路:尽量减少碰撞发生的概率,WLAN概述WLAN 协议体系结构,7,WLAN安全WLAN 安全体系,WEP(802.11b,1999年),WPA:2003WPA2:2004,在IEEE 802.11i被批准前,由于市场对WLAN安全要求十分迫切,Wi-Fi联盟联合802.11i任务组的专家共同提出了WPA(Wi-Fi Protect
5、ed Access)标准WPA标准专门对WEP协议的不足进行了改进,兼容802.11i和现有的WEP标准,2003年颁布2006年修正,8,WLAN安全WEPWi-Fi(IEEE 802.11i),生成一个IV,并进行密钥的预先选择,IV (24),明文数据,ICV,CRC32计算明文的ICV,WEP加密过程,SK (40),9,Q :为何需要计算ICV?A :验证数据完整性(CRC32算法)Q:为何需要使用IV?A : 创建一个新密钥流,从而避免重复使用密钥Q:发送者应将哪些信息发送给接收者?Q:接收者如何进行解密?,WLAN安全WEPWi-Fi(IEEE 802.11i),10,WLAN安
6、全WEPWi-Fi(IEEE 802.11i),数据,ICV,ICV=ICV2?,WEP解密过程,11,IEEE 802.11i定义了新的安全体系:TSN(过渡安全网络):一个能支持WEP设备的RSN,以使现今网络方便的迁移到RSN(软件升级)RSN(坚固安全网络):需要更换硬件设备WPA在802.11i获得批准以前,由Wi-Fi联盟提出保护接入(WPA)体系来暂时替代RSN,它不是IEEE标准,但是802.11i草案中的一部分Wi-Fi联盟要求兼容WPA的设备能够在802.11i获批准后升级到与802.11i兼容,WLAN安全WEPWi-Fi(IEEE 802.11i),12,IEEE 80
7、2.11i的协议结构,上层认证机制(EAP),访问控制(802.1x),保密协议,TKIP,CCMP,WRAP,TKIP: Temporal Key Integrity Protocol,暂时密钥完整性协议CCMP:计数器模式密码块链消息完整码协议WRAP: Wireless Robust Authenticated Protocol,无线增强认证协议,WLAN安全WEPWi-Fi(IEEE 802.11i),WRAP:使用OCB模式,因为专利问题最终最为802.11i的可选模式实际等于被舍弃,13,加密机制TKIP暂时密钥完整性协议加强WEP设备上的WEP协议的密码套件,是为了解决WEP协议
8、存在的问题,同时又要使WEP设备能够通过软件升级来支持TKIP(既要保持兼容,又要解决WEP的安全缺陷);是包裹在WEP外面的一套算法设计TKIP的限制:软件升级许多WEP设备的CPU负荷已经很高,正常的通信已经使用了CPU90%的能力,所以TKIP引入负荷要尽量小许多WEP设备使用硬件实现RC4来降低CPU负荷,TKIP要适应这种做法,WLAN安全WEPWi-Fi(IEEE 802.11i),14,加密机制CCMP: Counter-Mode/CBC-MAC Protocol基于AES分组加密算法计数器模式(CTR)用于数据保密Cipher Block Chaining Message Au
9、thentication Code(CBC-MAC)模式进行认证CCMP的加密对象是MPDU,使用48位的Packet Number(PN),PN用于产生CTR模式的Counter和CBC-MAC模式的IV,WLAN安全WEPWi-Fi(IEEE 802.11i),15,我国在2003年5月提出了无线局域网国家标准GB 15629.11安全部分:WLAN鉴别和保密基础结构(WLAN Authentication & Privacy Infrastructure, WAPI)。由两部分组成:WAI(WLAN Authentication Infrastructure):认证基础结构WPI(WLA
10、N Privacy Infrastructure):保密基础结构,对传输的数据加密(WPI由国家密码管理局提供,算法为我国自己制定的分组加密算法SMS4)考虑不同WLAN安全方案(IEEE 802.11i)的并存,2006年7月中国宽带无线IP标准工作组(BWIPS)公布新的国标GB 15629.11-2003/XG1-2006(WAPI-XG1),WLAN安全WAPI,16,WiMax简介,无线城域网(WMAN)的现行标准WiMax(IEEE 802.16,World Interoperability for Microwave Access,全球微波接入互操作性)WHY:提供高性能的、工作
11、在1066GHz的“最后一英里”宽带无线接入标准:802.16d(2004,固定接入)802.16e(2006,移动性)传输范围:最远可达50千米(3G基站的10倍)接入速度:最高可达75Mbps(3G的30倍)优点:传输距离远、接入速度高、提供广泛的多媒体通信服务HiperAccess(欧洲电信标准协会ETSI),17,无线Mesh网络(WMN, Wireless Mesh Network,无线网状网,无线网格网)是一种应用性的网络技术,由移动Ad Hoc网络顺应无处不在的Internet接入需求演变而来无线Mesh网络是一种多跳、动态自组织、自配置和自愈性的宽带无线网络国际标准化组织考虑在
12、各种无线网络标准中加入对Mesh组网方式的支持:宽带无线城域网IEEE 802.16f无线个域网IEEE802.15.5无线局域网IEEE802.11s,无线Mesh网络安全,通过网关融合现有的各种网络来提供广泛的接入服务,18,无线移动通信安全简介移动通信系统的发展历程,模拟信号,只能传输语音,数字信号,只能传输语音,数字信号,传输语音和数据,广带无线接入通信系统,AMPS(高级移动电话系统,美国): 贝尔实验室发明 日本称为MCS-L1NAMPS(窄带高级移动电话系统)ETACS(增强的全接入通信系统)TACS:中国450:法国NM-450:北欧,D-AMPS(数字的)在国际标准IS-54
13、和IS-136中描述广泛应用于美国和日本 GSM(全球移动通信系统)(*) 除美国和日本的其他地区 CDMA95(码分多址)高通(Qualcomm)在IS-95中描述 PDC(D-AMPS的修订版)只用于日本,W-CDMA(爱立信) 欧洲和日本、中国联通 CDMA2000(Qualcomm公司) 北美、日、韩、中国电信TD-SCDMA 中国中国移动WiMax(IEEE 802.16) 2007年正式成为第四个3G国际标准,集3G与WLAN于一体并能够传输高质量视频图像以及图像传输质量与高清晰度电视不相上下的技术产品标准: LTE-Advanced (TDDFDD) WiMax2,19,移动台:
14、移动终端(MS)完成语音编码、信道编码、信息加密、信息的调制和解调、信息的发送和接收用户识别卡(SIM)存储认证用户身份所需信息,及一些与安全保密相关的重要信息操作维护中心OMC:主要对整个GSM网络进行管理和监控,实现对GSM网络内各种功能的监视、状态报告、故障诊断等功能,2G(GSM)安全 GSM简介,20,GSM基站子系统(BSS):在一定的无线覆盖区中由MSC控制,与MS进行通信的系统设备,主要负责完成无线发送/接收和无线资源管理的功能BSC(基站控制器):具有对一个或多个BTS进行控制的功能,主要负责无线网络资源的管理、小区配置数据管理、功率控制、定位和切换BTS(基站首发信机):无
15、线接口设备,主要负责无线传输、完成无线与有线的转换、无线分集、无线信道加密、调频等,2G(GSM)安全 GSM简介,21,GSM交换子系统(NSS):主要完成交换功能和用户数据与移动性管理、安全性管理所需的数据库功能MSC(移动业务交换中心):GSM系统的核心,是对于它所覆盖区域中的移动台进行控制和完成话路交换的功能实体,也是移动通信系统与其他公用通信网络之间的接口VLR(访问位置寄存器):数据库;存储MSC为了管理管辖区域中MS的来话、去话呼叫所需检索的信息,如号码、所处位置的识别码、用户需要的服务等,2G(GSM)安全 GSM简介,22,HLR(归属位置寄存器):数据库;是存储管理部门用于
16、移动用户管理的数据。每个移动用户都应在其HLR注册,主要存储两类信息:用户的参数和用户目前位置的信息AuC(鉴权中心) :产生为确定移动用户的身份和对呼叫保密所需鉴权、加密的参数(随机数、符号响应、密钥)的功能实体EIR(移动设备识别寄存器) :数据库;存储有关移动台设备参数,主要完成对移动设备的识别、监视等功能,2G(GSM)安全 GSM简介,23,2G(GSM)安全 GSM系统安全,24,2G(GSM)安全 GSM系统安全,25,2G(GSM)安全 GSM系统安全,26,几个标识码:IMSI:15位代码;手机号码在系统中是被转换为IMSI进行通信的,由如下部分组成:MCC(移动国家号码):
17、3位,中国为460NMC(移动网号):标识移动用户所归属的移动网。中国移动(00);中国联通(01)MIN(移动用户识别码):10位MSISDN(国际移动用户电话号码):由如下部分组成:CC:国家号码(中国为86)NDC(3位):数字蜂窝移动业务接入号,如139,138等HLR识别码(4位):一般按省/市来划分SN(4位):顺序号,由HLR自行分配,2G(GSM)安全 GSM系统安全,27,GSM的鉴权机制:,2G(GSM)安全 GSM系统安全,SIM,MS,被访问网络,宿主网络,PRNG,A3,A8,A3,A8,SRES=SRES,28,GSM的加密机制:,2G(GSM)安全 GSM系统安全
18、,MS,RAND,A8算法,用户信息数据流(114比特),帧号(22比特),A5算法,加密数据流,29,2G(GSM)安全 GSM系统安全,30,无线应用协议WAP,WAP(Wireless Application Protocol,无线应用协议)由WAP论坛制定(已并入开放移动体系结构OMA(Open Mobile Architecture),是无线设备与Internet之间进行通信的标准主要贡献者:爱立信、摩托罗拉、诺基亚等适用于:GSM,GPRS,IMT-2000等移动系统,31,WPKI的功能与构成,有线通信中,电子商务的重要保障是PKI保障信息安全、认证、信息完整性和不可抵赖性等无线
19、环境中,由于空中接口的开放性,人们对于进行商务活动的安全性的关注远超过有线环境只有当用户确信:通过无线方式所进行的交易不会发生欺诈或篡改,所进行的交易和隐私受到法律的保护,移动电子商务才能普及PKI的系统概念、安全操作、密钥、证书等同样适用于解决移动电子商务交易的安全问题,但应考虑到无线网络的特点,对PKI进行改进无线公钥基础设施(Wireless Public Key Infrastructure,WPKI),32,无线个域网WPAN,WPAN的通信范围通常只有几米,用于互联计算机、计算机外围设备、以及用于连接到另一个网络的设备(如Internet网关) -电缆替换技术常用技术:蓝牙blue
20、tooth(无需驱动程序)红外数据协会(IrDA)标准ZigBee(IEEE802.15.4)RFID(射频识别)UWB(超宽带无线技术)HomeRFIEEE 802.15工作组针对无线个域网,以上述技术为基础,进行无线个域网的标准化工作,33,Bluetooth Bluetooth安全,34,Bluetooth Bluetooth安全,35,蓝牙的LMP鉴权过程:当链路密钥存在时采用LMP鉴权;不存在时采用LMP连接,Bluetooth Bluetooth安全,E1,E1,验证方,BD_ADDRB,Au_randA,链路密钥,BD_ADDRB,Au_randA,SRESB,申请方,Au_ra
21、ndA,链路密钥,ACO,ACO,SRESB,SRESA=?SRESB,36,蓝牙的加密过程:,Bluetooth Bluetooth安全,E0,E0,主设备A,从设备B,BD_ADDRA,ClockA,KC,BD_ADDRA,ClockA,KC,EN_RANDA,Data,KCipher,KCipher,37,Bluetooth Bluetooth安全,密钥生成器,设备地址BD_ADDRA,时钟Clock,加密密钥KC,随机数Rand,中间密钥,密钥流生成器,密钥流,明文/密文,密文/明文,COF,K,RAND,38,无线VoIP简介,VoIP(Voice over IP)是利用IP网络来传
22、送语音的技术,模数转化器,压缩编码器,加密(可选),IP打包发送,分组网络,模数转化器,压缩编码器,加密(可选),IP打包发送,VoIP原理图,39,移动IP的功能实体,MN,HA, Home Agent,MN,MN,MN,MN,FA, Foreign Agent,CN(Correspondent Node,通信节点),移动节点(MN):可从一条链路切换到另一链路,而保持所有正在进行的通信不中断,并且只使用它的家乡地址的节点,40,家乡代理(Home Agent,HA):与MN的家乡链路相连的路由器,主要功能有:当MN切换链路时,HA通知MN它的当前位置,该信息由MN保存在它的转交地址(COA
23、)中HA广播对MN家乡地址的网络前缀,从而吸引送往MN家乡地址的IP包解析所有MN家乡地址的数据包,并将这些包通过隧道技术传送到MN的转交地址COA外地代理(Foreign Agent,FA):MN的外地链路上的路由器,主要功能有:把MN的转交地址(COA)告知其HA;提供MN的COA,并为已被HA设置了隧道的MN发送拆封后的数据包为处在外地链路上的MN提供默认路由器的功能,移动IP的功能实体,41,转交地址COA是指MN连接在外地链路上时的临时IP地址,具有如下特性:转交地址与MN当前所在的外地链路相关每次MN转换外地链路时,转交地址也随之改变送往转交地址的数据包也可以通过现有的Intern
24、et路由机制传送是连接HA和MN的隧道的出口当MN与其他节点通信时,转交地址几乎永远不会作为源IP地址或目的IP地址,移动IP的功能实体,42,移动IP的工作流程,代理发现,取得转交地址转交地址的注册和注销数据的隧道传送FA转发反向数据包,CN,HA,FA,1,2,3,4,问题:为什么FA可以直接发送数据包给CN,而不需要经过HA?,IP按照目的地址寻址,与源地址无关,MN,43,移动IP工作工程详解,3个重要操作:移动节点如何获取自己的位置?代理发现(agent discovery)移动节点如何报告自己的位置?位置登记(registration)数据包如何转发给MN?隧道技术(tunneli
25、ng),44,代理发现:利用ICMP/IRDP消息IRDP:ICMP Router Discovery Protocol方式1:代理发送代理消息的广播方式2:MN发送代理请求消息,CN,FA,HA,MN,MN,MN,移动IP工作工程详解,45,MN判断移动的方法:利用ICMP路由广播消息的生存时间域比较广播消息的网络前缀MN收不到广播?设法在归属地的网络通信不成功,则设法用DHCP或手工配置,移动IP工作工程详解,46,两种转交地址:外地代理转交地址(FAs COA):是外地代理的IP地址。可以是外地代理的任一个IP地址,多个MN可以同时公用一个外地代理转交地址,MN通过代理发现协议来获得该C
26、OA;隧道建立在HA和FA之间配置转交地址(MNs COA):是暂时分配给MN的IP地址,其网络前缀必须与MN当前所连接的外地链路的网络前缀相同。当外地链路没有外地代理时,MN可以采用该种地址。一个配置地址只能被一个MN使用,通过DHCP的方式获得该地址;隧道由HA到MN转交地址与MN所连接的外地链路最多只有一跳(One Hop),移动IP工作工程详解,47,注册向归属地代理注册鉴权建立访问表和隧道的绑定关系参数的约定隧道类型、生存时间等,CN,FA,HA,MN1,MN,MN,注册,移动IP工作工程详解,48,当MN移动到一个新的网络,MN的当前位置就用转交地址(COA)表示,而家乡地址与CO
27、A地址之间的映射称为绑定MN进入新的网络时,必须向FA发送一个注册请求,注册请求包括MN的家乡地址及其家乡代理的IP地址FA将注册请求发送给HA,该消息包括MN的家乡地址、COA、HA的IP地址、注册期限、注册请求消息的唯一标识等,移动IP工作工程详解,49,HA收到请求消息后,修改MN的绑定,并给FA发送一个注册应答消息FA收到应答消息后,修改其注册表并将消息发送给MN当数据源S给MN发送数据时,数据包如何传送那?,MN已从家乡地址移动到外地地址,移动IP工作工程详解,50,当数据源S发送数据包给一个MN时,按照MN的固定IP地址发送MN的HA将截获发送给MN的数据包,然后封装,通过隧道将数
28、据包发送到MN当前所在网络中的FAFA解封数据包,并传递给MN如果移动节点使用自动配置的COA,HA能够绕过FA直接给MN发送封装的数据包,移动IP工作流程详解,51,无线体域网概述,无线体域网(Wireless Body Area Network,WBAN)是由大量安置于人体表面或体内的传感器节点通过自组织的方式组成的无线传感器网络,用于检测人体生理数据或周边状况信息应用:日常生活、医疗、娱乐、军事、航空等领域2007.11:IEEE成立802.15.6工作组,制定WBAN的通信标准其他名称:体域传感网(Wireless Body Sensor Network, WBSN, BSN)生物医疗
29、传感器网络(Biomedical Sensor Network,BSN)无线体域传感网(Wireless Body Area Sensor Network,WBASN),52,RFID(Radio Frequency Identification,无线射频识别)是一种非接触式自动识别技术,RFID网络简介,53,Hash-Lock协议随机化hash-Lock协议Hash链协议Good Reader协议数字图书馆协议分布式RFID双向认证协议基于Hash的ID变化协议LCAP协议,RFID网络简介RFID安全密码协议,54,组密钥管理方案举例:基于本地协作的组密钥分发方案逻辑密钥层次LKH方案基
30、于路由信息的组密钥分发方案,无线传感器网络安全无线传感器网络的密钥管理,55,基于本地协作的组密钥分发方案:基本思想:网络生存周期被划分为许多时间间隔(称为会话),每次会话阶段由基站发起组密钥更新 组密钥更新时,基站向全组进行广播,合法节点可以通过预置的密钥信息和广播消息获得一个私有密钥信息节点通过和一定数目的邻居节点进行协作利用私有密钥信息计算获得新的组密钥,无线传感器网络安全无线传感器网络的密钥管理,56,无线传感器网络安全无线传感器网络的密钥管理,57,无线传感器网络安全无线传感器网络的密钥管理,58,无线传感器网络安全无线传感器网络的密钥管理,59,逻辑密钥层次LKH方案:由一个可信、
31、安全的组控制器GC利用LKH的d叉树对密钥进行管理,8个成员的LKH树(d=2),无线传感器网络安全无线传感器网络的密钥管理,60,无线传感器网络安全无线传感器网络的密钥管理,61,无线传感器网络安全无线传感器网络的密钥管理,62,加入新成员: 新成员向组控制器传递请求,组控制器为其分配一个标识符,用于标识从根节点到唯一叶子节点的路径,同时也确定了新加入的组成员所能知道的密钥的标识符 然后由GC产生相应的需要更新的KEK和组密钥,并安全传送原来组成员,其过程与离开过程类似,无线传感器网络安全无线传感器网络的密钥管理,63,WSN的消息认证机制,64,MANET网络安全概述,MANET(Mobl
32、ie Ad Hoc NETwork,无线移动Ad Hoc 网络)特指节点具有移动性的Ad hoc网络N个笔记本电脑通过Ad hoc模式形成一个网络,如果笔记本不移动,网络的拓扑就不会改变,路由等也就是固定的每个出租车上都配置一个无线网卡,全部出租车组成一个网络,则拓扑是不断变化的,路由等也变的复杂,65,MANET的组密钥管理,根据其生成组密钥的方式不同,可分为:集中式组密钥管理协议(如LKH,见CH10)分布式组密钥管理协议(如GDHv.2,TGDH等)层次式组密钥管理协议(SMKD,IGKMP等)基于身份的组密钥管理协议(如ID-AGKA),66,MANET的组密钥管理,67,MANET的
33、组密钥管理,1,2,n,n-1,3,缺点:1. 缺少身份认证,易受中间人攻击 2. 节点运算量大,68,VANET安全概述,车载自组网(Vehicle Ad hoc NETworks,VANET)MANET的一种特殊类型快速移动的户外通信网络基本思想:一定通信范围内的车辆可以相互交换各自信息(车速、位置等)和车载传感器感知的数据,并自动的连接建立起一个移动的网络2005:IEEE制定了短距离无线通信标准IEEE 802.11p(Wireless Access in the Vehicular Environment,WAVE),用于车辆之间、车辆与路边单元之间的通信在事故预警、智能驾驶、收费站缴费、乘客办公与娱乐、电子商务等方面有良好的应用前景,69,物联网概述,物联网(Internet of things,IOT):“物物相连的互联网”物联网是互联网、移动通信网和无线传感器网络的融合,是在互联网基础上延伸和扩展的一种网络物联网是通过射频识别(RFID)装置、红外感应器、全球定位系统、激光扫描仪、传感器节点等信息传感设备,按约定的协议把任何物品与互联网相连,进行信息交换和通信,以实现智能化识别、定位、跟踪、控制和管理的一种网络,
