《《物联网信息安全》(桂小林版)(第7章)ppt课件.pptx》由会员分享,可在线阅读,更多相关《《物联网信息安全》(桂小林版)(第7章)ppt课件.pptx(41页珍藏版)》请在三一办公上搜索。
1、第七章 无线网络安全,桂小林2014.9.17,2,7.1 无线网络概述7.2 无线网络安全威胁7.3 WiFi安全技术7.4 3G安全技术7.5 ZigBee安全技术7.6 蓝牙安全技术7.7 本章小结,本章内容,3,第七章 无线网络安全,基本要求熟悉无线网络的分类、传输介质和优缺点了解无线网面临的安全威胁掌握基本的WIFI安全技术掌握基本的3G安全技术掌握基本的ZigBee安全技术掌握基本的蓝牙安全技术,4,7.1 无线网络概述,5W任何人(Whoever)任何时候(Whenever)任何地方(Wherever)与任何人(Whomever)能以任何形式(Whatever)通信的移动计算技术
2、,6A任何人(Anyone)任何时候(Anytime)任何地点(Anywhere)采用任何方式(Any means)与其他任何人(Any other)进行任何通信(Anything),7.1 无线网络概述,无线网络分类(从覆盖范围、传输速率和用途来看)无线广域网通过移动通信卫星进行的数据通信,其覆盖范围最大,代表技术有3G以及未来的4G技术无线城域网通过移动电话或车载装置进行的移动通信。其覆盖范围可以达到一个城市中的大部分地区,代表技术为IEEE802.20和IEEE802.15标准体系无线局域网用于较小范围的无线通信,覆盖范围较小,一般为一栋建筑内或房间内,代表技术是IEEE802.11系列
3、标准,7.1 无线网络概述,无线网络分类(从覆盖范围、传输速率和用途来看)无线个域网一般传输距离在10m左右,代表技术是IEEE802.15系列协议,数据传输速率在10Mb/s以上,无线连接距离在10m左右无线体域网以无线医疗监控、娱乐和军事等方面的应用为代表,主要是指附着在人身体上或植入人体内部的传感器之间的通信,通信距离非常短,一般为0-2m范围Mesh网Mesh网络是一种多跳的Ad hoc网络,它由固定节点及移动节点通过无线链路组成,7.1 无线网络概述,无线网络分类(以网络拓扑结构)集中式网络以蜂窝移动通信网络为代表,需要有中心基站,网络中所有的终端设备要通信时,都要通过中网基础设施进
4、行转发分布式网络以移动自组织网络、无线传感器网络和移动车载自组织网络为代表每个节点都兼具路由功能,可以随时为其他节点的数据传输提供路由和中继服务,7.1 无线网络概述,无线传输介质传输介质是连接通信设备,为通信设备之间提供信息传输的物理通道,是信息传播的实际载体无线电波一般可以分为低能单频、高能单频和扩展频谱三类微波是指频率为300MHz-300GHz的电磁波是分米波、厘米波、毫米波的统称红外线红外线是一种不可见光保密性强、抗干扰性强,7.1 无线网络概述,无线网络的优点移动性组网快灵活方便扩展能力强扩展成本低,7.1 无线网络概述,无线网络的缺点传输速度较慢通信稳定性较差安全性较差对健康的危
5、害,7.2 无线网络安全威胁,对传递信息的威胁侦听非法用户通过特定手段获取存储和传输在系统中的信息,信息的无线传输和有线传输都存在被侦听的威胁由于无线通信系统信号在空中开发传输,相比有线网络,无线传输的信号更容易被侦听篡改非授权用户修改系统中的信息,主要包括非法修改和重放由于无线网络的开放特性,这种威胁的攻击在无线网络中相对简单,7.2 无线网络安全威胁,对传递信息的威胁抵赖通信双方的一方否认或部分否认自己的行为,分为接收抵赖或源发抵赖接收抵赖是信息的接收方否认自己接收到信息的行为或者接收到的信息内容源发抵赖是指信息发送方否认自己发送信息的行为或发送的信息内容,7.2 无线网络安全威胁,对用户
6、的威胁流量分析分析网络中的通信流量,包括信息速率、消息长度、接受者和发送者标识等防止流量分析的方法是对消息内容和可能的控制消息进行加密,并且采用类似的消息填充或插入虚假消息监视持续不断的对某个用户行为进行记录分析防止监视的主要措施是使用假名来实现匿名发送、接收和计费,7.2 无线网络安全威胁,对通信系统的威胁拒绝服务攻击攻击者利用技术手段占用攻击目标各种资源,削弱系统对外提供服务的能力或是系统无法对外提供服务资源的非授权使用非法用户冒用合法用户权限或合法用户擅自扩大自己权限,访问和使用超出使用权限的无线信道、设备、服务或系统数据等系统资源,7.3 WiFi安全技术,WiFi技术概述概念无线保真
7、Wi-Fi(Wireless Fidelity)技术是一种将PC机、笔记本、移动手持设备(如PDA、手机)等终端以无线方式互相连接的短距离无线电通信技术,由Wi-Fi联盟于1999发布协议标准Wi-Fi使用IEEE 802.11系列协议IEEE 802.11a/b/g/i/n,7.3 WiFi安全技术,WiFi技术概述特点覆盖范围广传输速度快建网成本低,使用便捷更健康、更安全组网技术AdHoc模式接入点模式,7.3 WiFi安全技术,WiFi安全技术物理层安全抗干扰抗衰落抗多径干扰抗窃听性数据链路层安全有线等价保密协议WEP,7.3 WiFi安全技术,WiFi安全技术网络层安全服务配置标识符(
8、Service Setup Identifier,SSID)身份认证(Authentication)虚拟专用网(Virtual Private Network,VPN),7.3 WiFi安全技术,WiFi安全技术WEP安全机制有线等价保密协议WEP是IEEE 802.11 协议1999年版中所规定的,用于IEEE 802.11的认证和加密中,用来保护无线通信信息WEP为无线通信提供了数据机密性,访问控制和数据完整性三个方面的安全保护,7.3 WiFi安全技术,WiFi安全技术WEP安全缺陷消息容易被截获易受到弱初始向量攻击易遭受穷举攻击和字典攻击向量空间很小不具备抗恶意攻击所需要的消息认证功能
9、WPA安全技术无线保护访问(Wireless Protected Access,WPA)是由Wi-Fi 联盟提出的一个无线安全访问保护协议主要解决了WEP中在客户端与缺乏身份认证的访问点之间使用相同静态密钥和网络接入时身份认证方面存在的缺陷,7.3 WiFi安全技术,WiFi安全技术WPA2加密技术2004年起草的保护无线通信安全的协议标准,也称为802.11i主要包括802.1X身份验证基于端口的访问控制高级加密标准AES加密模块计数器模式密码块链消息完整码协议CCMP,7.3 WiFi安全技术,WiFi安全技术IEEE 802.1X 认证IEEE802.1x协议是一个可扩展的认证框架,并没
10、有规定具体认证协议IEEE工作组2011年6月公布了802.1x协议,IEEE802.1x协议的体系结构,7.3 WiFi安全技术,WiFi安全技术WAPI 标准2003年我国首次提出WAPI(Wireless LAN Authentication And Privacy Infrastructure)WAPI由无线局域网鉴别基础结构(WAI,WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI,WLANPrivacy Infrastructure)两部分组成,7.4 3G安全技术,3G安全技术WCDMA由欧洲提出,意为宽频分码多重存取,国内目
11、前由中国联通公司运营CDMA2000由美国高通公司提出,国内现由中国电信公司运营TD-SCDMA由大唐电信于1999年6月向ITU提出,国内由中国移动公司负责运营。,7.4 3G安全技术,3G安全技术安全体系结构,3G系统安全结构,7.4 3G安全技术,3G安全技术安全体系结构网络接入安全网络域安全用户域安全应用域安全安全可视性可配置性,7.4 3G安全技术,3G安全技术3G 认证和秘钥协商(Authenticated Key Agreement,AKA)协议,3G认证和密钥协商协议,7.5 ZigBee安全技术,ZigBee安全技术ZigBee技术是一种短距离双向无线通信技术ZigBee技术
12、的主要特征功耗低成本低较小传输范围时延短网络容量大数据传输时的可靠性高安全性好,7.5 ZigBee安全技术,ZigBee安全技术ZigBee协议标准,ZigBee协议栈体系结构,7.5 ZigBee安全技术,ZigBee安全技术安全架构Zigbee安全体系结构安全密钥网络层安全应用层安全,7.5 ZigBee安全技术,ZigBee安全技术ZigBee MAC安全安全模式无安全模式,访问控制列表和安全模式安全服务访问控制服务,数据加密服务,帧完整性服务,序列号更新服务MAC安全帧格式报头(MHR)、负载和报尾(MFR)安全组件安全方案,7.6 蓝牙安全技术,蓝牙安全技术蓝牙(Bluetooth
13、),是一种支持设备短距离通信的无线电技术,能在包括移动电话、PDA、无线耳机、笔记本计算机、相关外设等众多设备之间进行无线信息交换蓝牙协议栈,蓝牙协议栈结构,7.6 蓝牙安全技术,蓝牙安全体系结构,7.6 蓝牙安全技术,蓝牙安全技术蓝牙安全体系结构的关键部分是安全管理器,主要完成如下关键任务:存储和安全性相关的服务和设备信息对各个协议层的访问请求进行应答(同意或拒绝)对应用程序连接请求前的链路进行认证和加密发起并处理设备用户的高层应用程序的安全管理初始化匹配和查询PIN,7.6 蓝牙安全技术,蓝牙安全技术蓝牙安全模式非安全模式业务层安全模式建立在L2CAP层以上的安全模式,同时支持各种不同应用
14、程序的安全要求链路层安全模式在LMP连接建立之前要进行认证或者数据加密业务层安全模式和链路层安全模式的本质区别:业务层安全模式的蓝牙设备在信道建立之后才启动安全管理进程,即在较高的协议层次实现链路层安全模式的蓝牙设备在信道建立之前就启用安全管理进程,即在较低的协议层次实现,7.6 蓝牙安全技术,蓝牙安全技术射频和基带的安全机制基带部分功能:发送:将来自高层协议的数据进行信道编码,向下传给射频进行发送接收:对射频传来的数据进行数据解码,向高层传输基带安全要素:48位的蓝牙设备地址BD_ADDR128位的蓝牙链路密钥,即认证密钥8128位不定长加密密钥(对大多数应用程序,64位比较合适)128位的
15、随机数RAND(蓝牙设备自带的随机数生成器)加密密钥是在认证过程中从认证密钥得到的,7.6 蓝牙安全技术,蓝牙安全技术链路层的安全机制验证使用质询-响应(Challenge-Response),7.6 蓝牙安全技术,蓝牙安全技术链路层的安全机制加密主设备密钥:只适用于当前会话,它临时代替原始链路密钥主设备希望使用相同的密钥与多个设备连接时,就使用主设备密钥初始化密钥:适用于初始化过程,当组合密钥或单一密钥没有定义或交换,或者当链路密钥已经丢失时使用初始化密钥生成初始化密钥需要3个参数:随机数、L字节的PIN码、蓝牙设备地址,7.6 蓝牙安全技术,蓝牙安全技术链路层的安全机制加密,7.6 蓝牙安全技术,蓝牙安全技术应用层安全机制蓝牙提供的服务需授权服务:只允许可信任设备访问,或者经过授权的不可信任设备访问需认证服务:要求在使用服务前必须经过认证需加密服务:在使用设备前链路必须改为加密模式蓝牙应用环境,41,7.7 本章小结,无线网络分类、传输介质和所具有的优缺点无线网络面临的安全威胁Wi-Fi技术的概念、协议、特点和安全机制3G技术的概念、协议、特点和安全机制ZigBee技术的概念、协议、特点和安全机制蓝牙技术的概念、协议、特点和安全机制,
