《物聯(lián)網(wǎng)信息安全》(桂小林版)(第7章)課件

第七章無線網(wǎng)絡(luò)安全桂小林2014.9.17第七章無線網(wǎng)絡(luò)安全桂小林桂小林1

27.1無線網(wǎng)絡(luò)概述7.2無線網(wǎng)絡(luò)安全威脅7.3WiFi安全技術(shù)7.43G安全技術(shù)7.5ZigBee安全技術(shù)7.6藍(lán)牙安全技術(shù)7.7本章小結(jié)

本章內(nèi)容27.1無線網(wǎng)絡(luò)概述本章內(nèi)容桂小林2

3第七章無線網(wǎng)絡(luò)安全基本要求熟悉無線網(wǎng)絡(luò)的分類、傳輸介質(zhì)和優(yōu)缺點(diǎn)了解無線網(wǎng)面臨的安全威脅掌握基本的WIFI安全技術(shù)掌握基本的3G安全技術(shù)掌握基本的ZigBee安全技術(shù)掌握基本的藍(lán)牙安全技術(shù)3第七章無線網(wǎng)絡(luò)安全基本要求桂小林3

47.1無線網(wǎng)絡(luò)概述5W任何人（Whoever）任何時候（Whenever）任何地方（Wherever）與任何人（Whomever）能以任何形式（Whatever）通信的移動計算技術(shù)6A任何人(Anyone)任何時候(Anytime)任何地點(diǎn)(Anywhere)采用任何方式(Anymeans)與其他任何人(Anyother)進(jìn)行任何通信(Anything)47.1無線網(wǎng)絡(luò)概述5W6A桂小林47.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途來看)無線廣域網(wǎng)通過移動通信衛(wèi)星進(jìn)行的數(shù)據(jù)通信，其覆蓋范圍最大，代表技術(shù)有3G以及未來的4G技術(shù)無線城域網(wǎng)通過移動電話或車載裝置進(jìn)行的移動通信。其覆蓋范圍可以達(dá)到一個城市中的大部分地區(qū)，代表技術(shù)為IEEE802.20和IEEE802.15標(biāo)準(zhǔn)體系無線局域網(wǎng)用于較小范圍的無線通信，覆蓋范圍較小，一般為一棟建筑內(nèi)或房間內(nèi)，代表技術(shù)是IEEE802.11系列標(biāo)準(zhǔn)7.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途桂小林57.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途來看)無線個域網(wǎng)一般傳輸距離在10m左右，代表技術(shù)是IEEE802.15系列協(xié)議，數(shù)據(jù)傳輸速率在10Mb/s以上，無線連接距離在10m左右無線體域網(wǎng)以無線醫(yī)療監(jiān)控、娛樂和軍事等方面的應(yīng)用為代表，主要是指附著在人身體上或植入人體內(nèi)部的傳感器之間的通信，通信距離非常短，一般為0-2m范圍Mesh網(wǎng)Mesh網(wǎng)絡(luò)是一種多跳的Adhoc網(wǎng)絡(luò)，它由固定節(jié)點(diǎn)及移動節(jié)點(diǎn)通過無線鏈路組成7.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途桂小林67.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))集中式網(wǎng)絡(luò)以蜂窩移動通信網(wǎng)絡(luò)為代表，需要有中心基站，網(wǎng)絡(luò)中所有的終端設(shè)備要通信時，都要通過中網(wǎng)基礎(chǔ)設(shè)施進(jìn)行轉(zhuǎn)發(fā)分布式網(wǎng)絡(luò)以移動自組織網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)和移動車載自組織網(wǎng)絡(luò)為代表每個節(jié)點(diǎn)都兼具路由功能，可以隨時為其他節(jié)點(diǎn)的數(shù)據(jù)傳輸提供路由和中繼服務(wù)7.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))桂小林77.1無線網(wǎng)絡(luò)概述無線傳輸介質(zhì)傳輸介質(zhì)是連接通信設(shè)備，為通信設(shè)備之間提供信息傳輸?shù)奈锢硗ǖ?，是信息傳播的?shí)際載體無線電波一般可以分為低能單頻、高能單頻和擴(kuò)展頻譜三類微波是指頻率為300MHz-300GHz的電磁波是分米波、厘米波、毫米波的統(tǒng)稱紅外線紅外線是一種不可見光保密性強(qiáng)、抗干擾性強(qiáng)7.1無線網(wǎng)絡(luò)概述無線傳輸介質(zhì)桂小林87.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的優(yōu)點(diǎn)移動性組網(wǎng)快靈活方便擴(kuò)展能力強(qiáng)擴(kuò)展成本低7.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的優(yōu)點(diǎn)桂小林97.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的缺點(diǎn)傳輸速度較慢通信穩(wěn)定性較差安全性較差對健康的危害7.1無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的缺點(diǎn)桂小林107.2無線網(wǎng)絡(luò)安全威脅對傳遞信息的威脅偵聽非法用戶通過特定手段獲取存儲和傳輸在系統(tǒng)中的信息，信息的無線傳輸和有線傳輸都存在被偵聽的威脅由于無線通信系統(tǒng)信號在空中開發(fā)傳輸，相比有線網(wǎng)絡(luò)，無線傳輸?shù)男盘柛菀妆粋陕牬鄹姆鞘跈?quán)用戶修改系統(tǒng)中的信息，主要包括非法修改和重放由于無線網(wǎng)絡(luò)的開放特性，這種威脅的攻擊在無線網(wǎng)絡(luò)中相對簡單7.2無線網(wǎng)絡(luò)安全威脅對傳遞信息的威脅桂小林117.2無線網(wǎng)絡(luò)安全威脅對傳遞信息的威脅抵賴通信雙方的一方否認(rèn)或部分否認(rèn)自己的行為，分為接收抵賴或源發(fā)抵賴接收抵賴是信息的接收方否認(rèn)自己接收到信息的行為或者接收到的信息內(nèi)容源發(fā)抵賴是指信息發(fā)送方否認(rèn)自己發(fā)送信息的行為或發(fā)送的信息內(nèi)容7.2無線網(wǎng)絡(luò)安全威脅對傳遞信息的威脅桂小林127.2無線網(wǎng)絡(luò)安全威脅對用戶的威脅流量分析分析網(wǎng)絡(luò)中的通信流量，包括信息速率、消息長度、接受者和發(fā)送者標(biāo)識等防止流量分析的方法是對消息內(nèi)容和可能的控制消息進(jìn)行加密，并且采用類似的消息填充或插入虛假消息監(jiān)視持續(xù)不斷的對某個用戶行為進(jìn)行記錄分析防止監(jiān)視的主要措施是使用假名來實(shí)現(xiàn)匿名發(fā)送、接收和計費(fèi)7.2無線網(wǎng)絡(luò)安全威脅對用戶的威脅桂小林137.2無線網(wǎng)絡(luò)安全威脅對通信系統(tǒng)的威脅拒絕服務(wù)攻擊攻擊者利用技術(shù)手段占用攻擊目標(biāo)各種資源，削弱系統(tǒng)對外提供服務(wù)的能力或是系統(tǒng)無法對外提供服務(wù)資源的非授權(quán)使用非法用戶冒用合法用戶權(quán)限或合法用戶擅自擴(kuò)大自己權(quán)限，訪問和使用超出使用權(quán)限的無線信道、設(shè)備、服務(wù)或系統(tǒng)數(shù)據(jù)等系統(tǒng)資源7.2無線網(wǎng)絡(luò)安全威脅對通信系統(tǒng)的威脅桂小林147.3WiFi安全技術(shù)WiFi技術(shù)概述概念無線保真Wi-Fi（WirelessFidelity）技術(shù)是一種將PC機(jī)、筆記本、移動手持設(shè)備（如PDA、手機(jī)）等終端以無線方式互相連接的短距離無線電通信技術(shù)，由Wi-Fi聯(lián)盟于1999發(fā)布協(xié)議標(biāo)準(zhǔn)Wi-Fi使用IEEE802.11系列協(xié)議IEEE802.11a/b/g/i/n7.3WiFi安全技術(shù)WiFi技術(shù)概述桂小林157.3WiFi安全技術(shù)WiFi技術(shù)概述特點(diǎn)覆蓋范圍廣傳輸速度快建網(wǎng)成本低，使用便捷更健康、更安全組網(wǎng)技術(shù)AdHoc模式接入點(diǎn)模式7.3WiFi安全技術(shù)WiFi技術(shù)概述桂小林167.3WiFi安全技術(shù)WiFi安全技術(shù)物理層安全抗干擾抗衰落抗多徑干擾抗竊聽性數(shù)據(jù)鏈路層安全有線等價保密協(xié)議WEP7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林177.3WiFi安全技術(shù)WiFi安全技術(shù)網(wǎng)絡(luò)層安全服務(wù)配置標(biāo)識符（ServiceSetupIdentifier，SSID）身份認(rèn)證（Authentication）虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林187.3WiFi安全技術(shù)WiFi安全技術(shù)WEP安全機(jī)制有線等價保密協(xié)議WEP是IEEE802.11協(xié)議1999年版中所規(guī)定的，用于IEEE802.11的認(rèn)證和加密中，用來保護(hù)無線通信信息WEP為無線通信提供了數(shù)據(jù)機(jī)密性,訪問控制和數(shù)據(jù)完整性三個方面的安全保護(hù)7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林197.3WiFi安全技術(shù)WiFi安全技術(shù)WEP安全缺陷消息容易被截獲易受到弱初始向量攻擊易遭受窮舉攻擊和字典攻擊向量空間很小不具備抗惡意攻擊所需要的消息認(rèn)證功能WPA安全技術(shù)無線保護(hù)訪問（WirelessProtectedAccess，WPA）是由Wi-Fi聯(lián)盟提出的一個無線安全訪問保護(hù)協(xié)議主要解決了WEP中在客戶端與缺乏身份認(rèn)證的訪問點(diǎn)之間使用相同靜態(tài)密鑰和網(wǎng)絡(luò)接入時身份認(rèn)證方面存在的缺陷7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林207.3WiFi安全技術(shù)WiFi安全技術(shù)WPA2加密技術(shù)2004年起草的保護(hù)無線通信安全的協(xié)議標(biāo)準(zhǔn)，也稱為802.11i主要包括802.1X身份驗(yàn)證基于端口的訪問控制高級加密標(biāo)準(zhǔn)AES加密模塊計數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林217.3WiFi安全技術(shù)WiFi安全技術(shù)IEEE802.1X認(rèn)證IEEE802.1x協(xié)議是一個可擴(kuò)展的認(rèn)證框架，并沒有規(guī)定具體認(rèn)證協(xié)議IEEE工作組2011年6月公布了802.1x協(xié)議IEEE802.1x協(xié)議的體系結(jié)構(gòu)7.3WiFi安全技術(shù)WiFi安全技術(shù)IEEE802.1x桂小林227.3WiFi安全技術(shù)WiFi安全技術(shù)WAPI標(biāo)準(zhǔn)2003年我國首次提出WAPI（WirelessLANAuthenticationAndPrivacyInfrastructure）WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WAI，WLANAuthenticationInfrastructure）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WPI，WLANPrivacyInfrastructure）兩部分組成7.3WiFi安全技術(shù)WiFi安全技術(shù)桂小林237.43G安全技術(shù)3G安全技術(shù)WCDMA由歐洲提出，意為寬頻分碼多重存取，國內(nèi)目前由中國聯(lián)通公司運(yùn)營CDMA2000由美國高通公司提出，國內(nèi)現(xiàn)由中國電信公司運(yùn)營TD-SCDMA由大唐電信于1999年6月向ITU提出，國內(nèi)由中國移動公司負(fù)責(zé)運(yùn)營。7.43G安全技術(shù)3G安全技術(shù)桂小林247.43G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu)3G系統(tǒng)安全結(jié)構(gòu)7.43G安全技術(shù)3G安全技術(shù)3G系統(tǒng)安全結(jié)構(gòu)桂小林257.43G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu)網(wǎng)絡(luò)接入安全網(wǎng)絡(luò)域安全用戶域安全應(yīng)用域安全安全可視性可配置性7.43G安全技術(shù)3G安全技術(shù)桂小林267.43G安全技術(shù)3G安全技術(shù)3G認(rèn)證和秘鑰協(xié)商（AuthenticatedKeyAgreement，AKA）協(xié)議3G認(rèn)證和密鑰協(xié)商協(xié)議7.43G安全技術(shù)3G安全技術(shù)3G認(rèn)證和密鑰協(xié)商協(xié)議桂小林277.5ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee技術(shù)是一種短距離雙向無線通信技術(shù)ZigBee技術(shù)的主要特征功耗低成本低較小傳輸范圍時延短網(wǎng)絡(luò)容量大數(shù)據(jù)傳輸時的可靠性高安全性好7.5ZigBee安全技術(shù)ZigBee安全技術(shù)桂小林287.5ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee協(xié)議標(biāo)準(zhǔn)ZigBee協(xié)議棧體系結(jié)構(gòu)7.5ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee桂小林297.5ZigBee安全技術(shù)ZigBee安全技術(shù)安全架構(gòu)Zigbee安全體系結(jié)構(gòu)安全密鑰網(wǎng)絡(luò)層安全應(yīng)用層安全7.5ZigBee安全技術(shù)ZigBee安全技術(shù)桂小林307.5ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBeeMAC安全安全模式無安全模式,訪問控制列表和安全模式安全服務(wù)訪問控制服務(wù),數(shù)據(jù)加密服務(wù),幀完整性服務(wù),序列號更新服務(wù)MAC安全幀格式報頭（MHR）、負(fù)載和報尾（MFR）安全組件安全方案7.5ZigBee安全技術(shù)ZigBee安全技術(shù)桂小林317.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙（Bluetooth），是一種支持設(shè)備短距離通信的無線電技術(shù)，能在包括移動電話、PDA、無線耳機(jī)、筆記本計算機(jī)、相關(guān)外設(shè)等眾多設(shè)備之間進(jìn)行無線信息交換藍(lán)牙協(xié)議棧藍(lán)牙協(xié)議棧結(jié)構(gòu)7.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙協(xié)議棧結(jié)構(gòu)桂小林327.6藍(lán)牙安全技術(shù)藍(lán)牙安全體系結(jié)構(gòu)7.6藍(lán)牙安全技術(shù)藍(lán)牙安全體系結(jié)構(gòu)桂小林337.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙安全體系結(jié)構(gòu)的關(guān)鍵部分是安全管理器，主要完成如下關(guān)鍵任務(wù)：存儲和安全性相關(guān)的服務(wù)和設(shè)備信息對各個協(xié)議層的訪問請求進(jìn)行應(yīng)答(同意或拒絕)對應(yīng)用程序連接請求前的鏈路進(jìn)行認(rèn)證和加密發(fā)起并處理設(shè)備用戶的高層應(yīng)用程序的安全管理初始化匹配和查詢PIN7.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)桂小林347.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙安全模式非安全模式業(yè)務(wù)層安全模式建立在L2CAP層以上的安全模式，同時支持各種不同應(yīng)用程序的安全要求鏈路層安全模式在LMP連接建立之前要進(jìn)行認(rèn)證或者數(shù)據(jù)加密業(yè)務(wù)層安全模式和鏈路層安全模式的本質(zhì)區(qū)別：業(yè)務(wù)層安全模式的藍(lán)牙設(shè)備在信道建立之后才啟動安全管理進(jìn)程，即在較高的協(xié)議層次實(shí)現(xiàn)鏈路層安全模式的藍(lán)牙設(shè)備在信道建立之前就啟用安全管理進(jìn)程，即在較低的協(xié)議層次實(shí)現(xiàn)7.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)桂小林357.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)射頻和基帶的安全機(jī)制基帶部分功能：發(fā)送：將來自高層協(xié)議的數(shù)據(jù)進(jìn)行信道編碼，向下傳給射頻進(jìn)行發(fā)送接收：對射頻傳來的數(shù)據(jù)進(jìn)行數(shù)據(jù)解碼，向高層傳輸基帶安全要素：48位的藍(lán)牙設(shè)備地址BD_ADDR128位的藍(lán)牙鏈路密鑰，即認(rèn)證密鑰8~128位不定長加密密鑰（對大多數(shù)應(yīng)用程序，64位比較合適）128位的隨機(jī)數(shù)RAND（藍(lán)牙設(shè)備自帶的隨機(jī)數(shù)生成器）加密密鑰是在認(rèn)證過程中從認(rèn)證密鑰得到的7.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)桂小林367.6藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)鏈路