《《物聯(lián)網(wǎng)信息安全》桂小林版第7章》由會員分享��,可在線閱讀,更多相關(guān)《《物聯(lián)網(wǎng)信息安全》桂小林版第7章(41頁珍藏版)》請在裝配圖網(wǎng)上搜索���。
1�����、第七章 無線網(wǎng)絡(luò)安全桂小林2014.9.17第七章 無線網(wǎng)絡(luò)安全基本要求熟悉無線網(wǎng)絡(luò)的分類���、傳輸介質(zhì)和優(yōu)缺點了解無線網(wǎng)面臨的安全威脅掌握基本的WIFI安全技術(shù)掌握基本的3G安全技術(shù)掌握基本的ZigBee安全技術(shù)掌握基本的藍(lán)牙安全技術(shù)7.1 無線網(wǎng)絡(luò)概述5W 任何人(Whoever) 任何時候(Whenever) 任何地方(Wherever) 與任何人(Whomever) 能以任何形式(Whatever)通信的移動計算技術(shù)6A 任何人(Anyone) 任何時候(Anytime) 任何地點(Anywhere) 采用任何方式(Any means) 與其他任何人(Any other) 進(jìn)行任何通信(A
2、nything)7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍�����、傳輸速率和用途來看)無線廣域網(wǎng) 通過移動通信衛(wèi)星進(jìn)行的數(shù)據(jù)通信����,其覆蓋范圍最大�,代表技術(shù)有3G以及未來的4G技術(shù)無線城域網(wǎng) 通過移動電話或車載裝置進(jìn)行的移動通信。其覆蓋范圍可以達(dá)到一個城市中的大部分地區(qū)���,代表技術(shù)為IEEE802.20和IEEE802.15標(biāo)準(zhǔn)體系無線局域網(wǎng) 用于較小范圍的無線通信��,覆蓋范圍較小�����,一般為一棟建筑內(nèi)或房間內(nèi)�,代表技術(shù)是IEEE802.11系列標(biāo)準(zhǔn)7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途來看)無線個域網(wǎng) 一般傳輸距離在10m左右�,代表技術(shù)是IEEE802.15系列協(xié)議,數(shù)據(jù)傳輸速率在1
3����、0Mb/s以上,無線連接距離在10m左右無線體域網(wǎng) 以無線醫(yī)療監(jiān)控�、娛樂和軍事等方面的應(yīng)用為代表,主要是指附著在人身體上或植入人體內(nèi)部的傳感器之間的通信��,通信距離非常短���,一般為0-2m范圍Mesh網(wǎng) Mesh網(wǎng)絡(luò)是一種多跳的Ad hoc網(wǎng)絡(luò)����,它由固定節(jié)點及移動節(jié)點通過無線鏈路組成7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))集中式網(wǎng)絡(luò) 以蜂窩移動通信網(wǎng)絡(luò)為代表����,需要有中心基站,網(wǎng)絡(luò)中所有的終端設(shè)備要通信時�����,都要通過中網(wǎng)基礎(chǔ)設(shè)施進(jìn)行轉(zhuǎn)發(fā)分布式網(wǎng)絡(luò) 以移動自組織網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)和移動車載自組織網(wǎng)絡(luò)為代表 每個節(jié)點都兼具路由功能�����,可以隨時為其他節(jié)點的數(shù)據(jù)傳輸提供路由和中繼服務(wù)7.1 無線網(wǎng)絡(luò)
4�、概述無線傳輸介質(zhì)傳輸介質(zhì)是連接通信設(shè)備,為通信設(shè)備之間提供信息傳輸?shù)奈锢硗ǖ?,是信息傳播的實際載體無線電波 一般可以分為低能單頻、高能單頻和擴(kuò)展頻譜三類微波 是指頻率為300MHz-300GHz的電磁波 是分米波�����、厘米波��、毫米波的統(tǒng)稱紅外線 紅外線是一種不可見光 保密性強���、抗干擾性強7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的優(yōu)點移動性組網(wǎng)快靈活方便擴(kuò)展能力強擴(kuò)展成本低7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的缺點傳輸速度較慢通信穩(wěn)定性較差安全性較差對健康的危害7.2 無線網(wǎng)絡(luò)安全威脅 對傳遞信息的威脅偵聽 非法用戶通過特定手段獲取存儲和傳輸在系統(tǒng)中的信息����,信息的無線傳輸和有線傳輸都存在被偵聽的威脅 由于無線通信系統(tǒng)信
5�����、號在空中開發(fā)傳輸�����,相比有線網(wǎng)絡(luò)����,無線傳輸?shù)男盘柛菀妆粋陕牬鄹?非授權(quán)用戶修改系統(tǒng)中的信息,主要包括非法修改和重放 由于無線網(wǎng)絡(luò)的開放特性�,這種威脅的攻擊在無線網(wǎng)絡(luò)中相對簡單7.2 無線網(wǎng)絡(luò)安全威脅 對傳遞信息的威脅抵賴 通信雙方的一方否認(rèn)或部分否認(rèn)自己的行為,分為接收抵賴或源發(fā)抵賴 接收抵賴是信息的接收方否認(rèn)自己接收到信息的行為或者接收到的信息內(nèi)容 源發(fā)抵賴是指信息發(fā)送方否認(rèn)自己發(fā)送信息的行為或發(fā)送的信息內(nèi)容7.2 無線網(wǎng)絡(luò)安全威脅 對用戶的威脅流量分析 分析網(wǎng)絡(luò)中的通信流量�����,包括信息速率�����、消息長度��、接受者和發(fā)送者標(biāo)識等 防止流量分析的方法是對消息內(nèi)容和可能的控制消息進(jìn)行加密����,并且采用類似的
6、消息填充或插入虛假消息監(jiān)視 持續(xù)不斷的對某個用戶行為進(jìn)行記錄分析 防止監(jiān)視的主要措施是使用假名來實現(xiàn)匿名發(fā)送����、接收和計費7.2 無線網(wǎng)絡(luò)安全威脅 對通信系統(tǒng)的威脅拒絕服務(wù)攻擊 攻擊者利用技術(shù)手段占用攻擊目標(biāo)各種資源���,削弱系統(tǒng)對外提供服務(wù)的能力或是系統(tǒng)無法對外提供服務(wù)資源的非授權(quán)使用 非法用戶冒用合法用戶權(quán)限或合法用戶擅自擴(kuò)大自己權(quán)限,訪問和使用超出使用權(quán)限的無線信道��、設(shè)備���、服務(wù)或系統(tǒng)數(shù)據(jù)等系統(tǒng)資源7.3 WiFi安全技術(shù)WiFi技術(shù)概述概念 無線保真Wi-Fi(Wireless Fidelity)技術(shù)是一種將PC機(jī)��、筆記本��、移動手持設(shè)備(如PDA���、手機(jī))等終端以無線方式互相連接的短距離無線電通
7、信技術(shù)�����,由Wi-Fi聯(lián)盟于1999發(fā)布協(xié)議標(biāo)準(zhǔn) Wi-Fi使用IEEE 802.11系列協(xié)議 IEEE 802.11a/b/g/i/n7.3 WiFi安全技術(shù)WiFi技術(shù)概述特點 覆蓋范圍廣 傳輸速度快 建網(wǎng)成本低���,使用便捷 更健康����、更安全組網(wǎng)技術(shù) AdHoc模式 接入點模式7.3 WiFi安全技術(shù)WiFi安全技術(shù)物理層安全 抗干擾 抗衰落 抗多徑干擾 抗竊聽性數(shù)據(jù)鏈路層安全 有線等價保密協(xié)議WEP7.3 WiFi安全技術(shù)WiFi安全技術(shù)網(wǎng)絡(luò)層安全 服務(wù)配置標(biāo)識符(Service Setup Identifier�����,SSID) 身份認(rèn)證(Authentication) 虛擬專用網(wǎng)(Virtual
8�����、 Private Network���,VPN)7.3 WiFi安全技術(shù)WiFi安全技術(shù)WEP安全機(jī)制 有線等價保密協(xié)議WEP是IEEE 802.11 協(xié)議1999年版中所規(guī)定的����,用于IEEE 802.11的認(rèn)證和加密中�����,用來保護(hù)無線通信信息 WEP為無線通信提供了數(shù)據(jù)機(jī)密性,訪問控制和數(shù)據(jù)完整性三個方面的安全保護(hù)7.3 WiFi安全技術(shù)WiFi安全技術(shù)WEP安全缺陷 消息容易被截獲 易受到弱初始向量攻擊 易遭受窮舉攻擊和字典攻擊 向量空間很小 不具備抗惡意攻擊所需要的消息認(rèn)證功能WPA安全技術(shù) 無線保護(hù)訪問(Wireless Protected Access�,WPA)是由Wi-Fi 聯(lián)盟提出的一個
9、無線安全訪問保護(hù)協(xié)議 主要解決了WEP中在客戶端與缺乏身份認(rèn)證的訪問點之間使用相同靜態(tài)密鑰和網(wǎng)絡(luò)接入時身份認(rèn)證方面存在的缺陷7.3 WiFi安全技術(shù)WiFi安全技術(shù)WPA2加密技術(shù) 2004年起草的保護(hù)無線通信安全的協(xié)議標(biāo)準(zhǔn)�,也稱為802.11i 主要包括 802.1X身份驗證 基于端口的訪問控制 高級加密標(biāo)準(zhǔn)AES加密模塊 計數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP7.3 WiFi安全技術(shù)WiFi安全技術(shù)IEEE 802.1X 認(rèn)證 IEEE802.1x協(xié)議是一個可擴(kuò)展的認(rèn)證框架,并沒有規(guī)定具體認(rèn)證協(xié)議 IEEE工作組2011年6月公布了802.1x協(xié)議IEEE802.1x協(xié)議的體系結(jié)構(gòu)7.3
10���、 WiFi安全技術(shù)WiFi安全技術(shù)WAPI 標(biāo)準(zhǔn) 2003年我國首次提出WAPI(Wireless LAN Authentication And Privacy Infrastructure) WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI����,WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI,WLANPrivacy Infrastructure)兩部分組成7.4 3G安全技術(shù)3G安全技術(shù)WCDMA 由歐洲提出��,意為寬頻分碼多重存取�,國內(nèi)目前由中國聯(lián)通公司運營CDMA2000 由美國高通公司提出,國內(nèi)現(xiàn)由中國電信公司運營TD-SCDMA 由大唐電信于
11�、1999年6月向ITU提出,國內(nèi)由中國移動公司負(fù)責(zé)運營��。7.4 3G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu)3G系統(tǒng)安全結(jié)構(gòu)7.4 3G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu) 網(wǎng)絡(luò)接入安全 網(wǎng)絡(luò)域安全 用戶域安全 應(yīng)用域安全 安全可視性 可配置性7.4 3G安全技術(shù)3G安全技術(shù)3G 認(rèn)證和秘鑰協(xié)商(Authenticated Key Agreement�����,AKA)協(xié)議 3G認(rèn)證和密鑰協(xié)商協(xié)議7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee技術(shù)是一種短距離雙向無線通信技術(shù)ZigBee技術(shù)的主要特征 功耗低 成本低 較小傳輸范圍 時延短 網(wǎng)絡(luò)容量大 數(shù)據(jù)傳輸時的可靠性高 安全性好7.5 ZigBee安
12��、全技術(shù)ZigBee安全技術(shù)ZigBee協(xié)議標(biāo)準(zhǔn)ZigBee協(xié)議棧體系結(jié)構(gòu)7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)安全架構(gòu) Zigbee安全體系結(jié)構(gòu) 安全密鑰 網(wǎng)絡(luò)層安全 應(yīng)用層安全7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee MAC安全 安全模式 無安全模式,訪問控制列表和安全模式 安全服務(wù) 訪問控制服務(wù),數(shù)據(jù)加密服務(wù),幀完整性服務(wù),序列號更新服務(wù) MAC安全幀格式 報頭(MHR)����、負(fù)載和報尾(MFR) 安全組件 安全方案7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙(Bluetooth),是一種支持設(shè)備短距離通信的無線電技術(shù)�,能在包括移動電話、PDA���、無線耳機(jī)���、筆記本計算機(jī)���、相
13�����、關(guān)外設(shè)等眾多設(shè)備之間進(jìn)行無線信息交換藍(lán)牙協(xié)議棧藍(lán)牙協(xié)議棧結(jié)構(gòu)7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全體系結(jié)構(gòu)7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙安全體系結(jié)構(gòu)的關(guān)鍵部分是安全管理器���,主要完成如下關(guān)鍵任務(wù): 存儲和安全性相關(guān)的服務(wù)和設(shè)備信息 對各個協(xié)議層的訪問請求進(jìn)行應(yīng)答(同意或拒絕) 對應(yīng)用程序連接請求前的鏈路進(jìn)行認(rèn)證和加密 發(fā)起并處理設(shè)備用戶的高層應(yīng)用程序的安全管理 初始化匹配和查詢PIN7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)藍(lán)牙安全模式 非安全模式 業(yè)務(wù)層安全模式 建立在L2CAP層以上的安全模式����,同時支持各種不同應(yīng)用程序的安全要求 鏈路層安全模式 在LMP連接建立之前要進(jìn)行認(rèn)證或者數(shù)據(jù)加密 業(yè)務(wù)層安全模式和
14���、鏈路層安全模式的本質(zhì)區(qū)別: 業(yè)務(wù)層安全模式的藍(lán)牙設(shè)備在信道建立之后才啟動安全管理進(jìn)程�,即在較高的協(xié)議層次實現(xiàn) 鏈路層安全模式的藍(lán)牙設(shè)備在信道建立之前就啟用安全管理進(jìn)程����,即在較低的協(xié)議層次實現(xiàn)7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)射頻和基帶的安全機(jī)制 基帶部分功能: 發(fā)送:將來自高層協(xié)議的數(shù)據(jù)進(jìn)行信道編碼,向下傳給射頻進(jìn)行發(fā)送 接收:對射頻傳來的數(shù)據(jù)進(jìn)行數(shù)據(jù)解碼�,向高層傳輸 基帶安全要素: 48位的藍(lán)牙設(shè)備地址BD_ADDR 128位的藍(lán)牙鏈路密鑰,即認(rèn)證密鑰 8128位不定長加密密鑰(對大多數(shù)應(yīng)用程序����,64位比較合適) 128位的隨機(jī)數(shù)RAND(藍(lán)牙設(shè)備自帶的隨機(jī)數(shù)生成器) 加密密鑰是在認(rèn)證過程中從
15���、認(rèn)證密鑰得到的7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)鏈路層的安全機(jī)制 驗證 使用質(zhì)詢-響應(yīng)(Challenge-Response)7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)鏈路層的安全機(jī)制 加密 主設(shè)備密鑰:只適用于當(dāng)前會話,它臨時代替原始鏈路密鑰 主設(shè)備希望使用相同的密鑰與多個設(shè)備連接時����,就使用主設(shè)備密鑰 初始化密鑰:適用于初始化過程,當(dāng)組合密鑰或單一密鑰沒有定義或交換��,或者當(dāng)鏈路密鑰已經(jīng)丟失時使用初始化密鑰 生成初始化密鑰需要3個參數(shù):隨機(jī)數(shù)��、L字節(jié)的PIN碼����、藍(lán)牙設(shè)備地址7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)鏈路層的安全機(jī)制 加密7.6 藍(lán)牙安全技術(shù)藍(lán)牙安全技術(shù)應(yīng)用層安全機(jī)制藍(lán)牙提供的服務(wù) 需授權(quán)服務(wù):只允許可信任設(shè)備訪問,或者經(jīng)過授權(quán)的不可信任設(shè)備訪問 需認(rèn)證服務(wù):要求在使用服務(wù)前必須經(jīng)過認(rèn)證 需加密服務(wù):在使用設(shè)備前鏈路必須改為加密模式藍(lán)牙應(yīng)用環(huán)境7.7 本章小結(jié) 無線網(wǎng)絡(luò)分類���、傳輸介質(zhì)和所具有的優(yōu)缺點無線網(wǎng)絡(luò)面臨的安全威脅Wi-Fi技術(shù)的概念��、協(xié)議��、特點和安全機(jī)制3G技術(shù)的概念����、協(xié)議、特點和安全機(jī)制ZigBee技術(shù)的概念��、協(xié)議��、特點和安全機(jī)制藍(lán)牙技術(shù)的概念���、協(xié)議���、特點和安全機(jī)制
《物聯(lián)網(wǎng)信息安全》桂小林版第7章
