《物聯(lián)網(wǎng)信息安全》(桂小林版)(第7章)

《《物聯(lián)網(wǎng)信息安全》(桂小林版)(第7章)》由會員分享，可在線閱讀，更多相關(guān)《《物聯(lián)網(wǎng)信息安全》(桂小林版)(第7章)（41頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第七章 無線網(wǎng)絡(luò)安全桂小林2014.9.17 第七章 無線網(wǎng)絡(luò)安全基本要求熟悉無線網(wǎng)絡(luò)的分類、傳輸介質(zhì)和優(yōu)缺點了解無線網(wǎng)面臨的安全威脅掌握基本的WIFI安全技術(shù)掌握基本的3G安全技術(shù)掌握基本的ZigBee安全技術(shù)掌握基本的藍牙安全技術(shù) 7.1 無線網(wǎng)絡(luò)概述5W 任何人（Whoever） 任何時候（Whenever） 任何地方（Wherever） 與任何人（Whomever） 能以任何形式（Whatever）通信的移動計算技術(shù) 6A 任何人(Anyone) 任何時候(Anytime) 任何地點(Anywhere) 采用任何方式(Any means) 與其他任何人(Any other) 進行任何通

2、信(Anything) 7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途來看)無線廣域網(wǎng) 通過移動通信衛(wèi)星進行的數(shù)據(jù)通信，其覆蓋范圍最大，代表技術(shù)有3G以及未來的4G技術(shù)無線城域網(wǎng) 通過移動電話或車載裝置進行的移動通信。其覆蓋范圍可以達到一個城市中的大部分地區(qū)，代表技術(shù)為IEEE802.20和IEEE802.15標準體系無線局域網(wǎng) 用于較小范圍的無線通信，覆蓋范圍較小，一般為一棟建 筑內(nèi)或房間內(nèi)，代表技術(shù)是IEEE802.11系列標準 7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(從覆蓋范圍、傳輸速率和用途來看)無線個域網(wǎng) 一般傳輸距離在10m左右，代表技術(shù)是IEEE802.15系列協(xié)議，數(shù)據(jù)

3、傳輸速率在10Mb/s以上，無線連接距離在10m左右無線體域網(wǎng) 以無線醫(yī)療監(jiān)控、娛樂和軍事等方面的應(yīng)用為代表，主要是指附著在人身體上或植入人體內(nèi)部的傳感器之間的通信，通信距離非常短，一般為0-2m范圍Mesh網(wǎng) Mesh網(wǎng)絡(luò)是一種多跳的Ad hoc網(wǎng)絡(luò)，它由固定節(jié)點及移動節(jié)點通過無線鏈路組成 7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)分類(以網(wǎng)絡(luò)拓撲結(jié)構(gòu))集中式網(wǎng)絡(luò) 以蜂窩移動通信網(wǎng)絡(luò)為代表，需要有中心基站，網(wǎng)絡(luò)中所有的終端設(shè)備要通信時，都要通過中網(wǎng)基礎(chǔ)設(shè)施進行轉(zhuǎn)發(fā)分布式網(wǎng)絡(luò) 以移動自組織網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)和移動車載自組織網(wǎng)絡(luò)為代表 每個節(jié)點都兼具路由功能，可以隨時為其他節(jié)點的數(shù)據(jù)傳輸提供路由和中繼服務(wù)

4、7.1 無線網(wǎng)絡(luò)概述無線傳輸介質(zhì)傳輸介質(zhì)是連接通信設(shè)備，為通信設(shè)備之間提供信息傳輸?shù)奈锢硗ǖ溃切畔鞑サ膶嶋H載體無線電波 一般可以分為低能單頻、高能單頻和擴展頻譜三類微波 是指頻率為300MHz-300GHz的電磁波 是分米波、厘米波、毫米波的統(tǒng)稱紅外線 紅外線是一種不可見光 保密性強、抗干擾性強 7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的優(yōu)點移動性組網(wǎng)快靈活方便擴展能力強擴展成本低 7.1 無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的缺點傳輸速度較慢通信穩(wěn)定性較差安全性較差對健康的危害 7.2 無線網(wǎng)絡(luò)安全威脅 對傳遞信息的威脅偵聽 非法用戶通過特定手段獲取存儲和傳輸在系統(tǒng)中的信息，信息的無線傳輸和有線傳輸都存在被偵聽的威

5、脅 由于無線通信系統(tǒng)信號在空中開發(fā)傳輸，相比有線網(wǎng)絡(luò)，無線傳輸?shù)男盘柛菀妆粋陕牬鄹?非授權(quán)用戶修改系統(tǒng)中的信息，主要包括非法修改和重放 由于無線網(wǎng)絡(luò)的開放特性，這種威脅的攻擊在無線網(wǎng)絡(luò)中相對簡單 7.2 無線網(wǎng)絡(luò)安全威脅 對傳遞信息的威脅抵賴 通信雙方的一方否認或部分否認自己的行為，分為接收抵賴或源發(fā)抵賴 接收抵賴是信息的接收方否認自己接收到信息的行為或者接收到的信息內(nèi)容 源發(fā)抵賴是指信息發(fā)送方否認自己發(fā)送信息的行為或發(fā)送的信息內(nèi)容 7.2 無線網(wǎng)絡(luò)安全威脅 對用戶的威脅流量分析 分析網(wǎng)絡(luò)中的通信流量，包括信息速率、消息長度、接受者和發(fā)送者標識等 防止流量分析的方法是對消息內(nèi)容和可能的控制消

6、息進行加密，并且采用類似的消息填充或插入虛假消息監(jiān)視 持續(xù)不斷的對某個用戶行為進行記錄分析 防止監(jiān)視的主要措施是使用假名來實現(xiàn)匿名發(fā)送、接收和計費 7.2 無線網(wǎng)絡(luò)安全威脅 對通信系統(tǒng)的威脅拒絕服務(wù)攻擊 攻擊者利用技術(shù)手段占用攻擊目標各種資源，削弱系統(tǒng)對外提供服務(wù)的能力或是系統(tǒng)無法對外提供服務(wù)資源的非授權(quán)使用 非法用戶冒用合法用戶權(quán)限或合法用戶擅自擴大自己權(quán)限，訪問和使用超出使用權(quán)限的無線信道、設(shè)備、服務(wù)或系統(tǒng)數(shù)據(jù)等系統(tǒng)資源 7.3 WiFi安全技術(shù)WiFi技術(shù)概述概念 無線保真Wi-Fi（Wireless Fidelity）技術(shù)是一種將PC機、筆記本、移動手持設(shè)備（如PDA、手機）等終端以無

7、線方式互相連接的短距離無線電通信技術(shù)，由Wi-Fi聯(lián)盟于1999發(fā)布協(xié)議標準 Wi-Fi使用IEEE 802.11系列協(xié)議 IEEE 802.11a/b/g/i/n 7.3 WiFi安全技術(shù)WiFi技術(shù)概述特點 覆蓋范圍廣 傳輸速度快 建網(wǎng)成本低，使用便捷 更健康、更安全組網(wǎng)技術(shù) AdHoc模式 接入點模式 7.3 WiFi安全技術(shù)WiFi安全技術(shù)物理層安全 抗干擾 抗衰落 抗多徑干擾 抗竊聽性數(shù)據(jù)鏈路層安全 有線等價保密協(xié)議WEP 7.3 WiFi安全技術(shù)WiFi安全技術(shù)網(wǎng)絡(luò)層安全 服務(wù)配置標識符（Service Setup Identifier，SSID） 身份認證（Authenticat

8、ion） 虛擬專用網(wǎng)（Virtual Private Network，VPN） 7.3 WiFi安全技術(shù)WiFi安全技術(shù)WEP安全機制 有線等價保密協(xié)議WEP是IEEE 802.11 協(xié)議1999年版中所規(guī)定的，用于IEEE 802.11的認證和加密中，用來保護無線通信信息 WEP為無線通信提供了數(shù)據(jù)機密性,訪問控制和數(shù)據(jù)完整性三個方面的安全保護 7.3 WiFi安全技術(shù)WiFi安全技術(shù)WEP安全缺陷 消息容易被截獲 易受到弱初始向量攻擊 易遭受窮舉攻擊和字典攻擊 向量空間很小 不具備抗惡意攻擊所需要的消息認證功能WPA安全技術(shù) 無線保護訪問（Wireless Protected Access

9、，WPA）是由Wi-Fi 聯(lián)盟提出的一個無線安全訪問保護協(xié)議 主要解決了WEP中在客戶端與缺乏身份認證的訪問點之間使用相同靜態(tài)密鑰和網(wǎng)絡(luò)接入時身份認證方面存在的缺陷 7.3 WiFi安全技術(shù)WiFi安全技術(shù)WPA2加密技術(shù) 2004年起草的保護無線通信安全的協(xié)議標準，也稱為802.11i 主要包括 802.1X身份驗證基于端口的訪問控制高級加密標準AES加密模塊計數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP 7.3 WiFi安全技術(shù)WiFi安全技術(shù)IEEE 802.1X 認證 IEEE802.1x協(xié)議是一個可擴展的認證框架，并沒有規(guī)定具體認證協(xié)議 IEEE工作組2011年6月公布了802.1x協(xié)議

10、IEEE802.1x協(xié)議的體系結(jié)構(gòu) 7.3 WiFi安全技術(shù)WiFi安全技術(shù)WAPI 標準 2003年我國首次提出WAPI（Wireless LAN Authentication And Privacy Infrastructure） WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WAI，WLAN Authentication Infrastructure）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WPI，WLANPrivacy Infrastructure）兩部分組成 7.4 3G安全技術(shù)3G安全技術(shù)WCDMA 由歐洲提出，意為寬頻分碼多重存取，國內(nèi)目前由中國聯(lián)通公司運營CDMA2000 由美國高通公司提出，國內(nèi)現(xiàn)由中

11、國電信公司運營TD-SCDMA 由大唐電信于1999年6月向ITU提出，國內(nèi)由中國移動公司負責運營。 7.4 3G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu) 3G系統(tǒng)安全結(jié)構(gòu) 7.4 3G安全技術(shù)3G安全技術(shù)安全體系結(jié)構(gòu) 網(wǎng)絡(luò)接入安全 網(wǎng)絡(luò)域安全 用戶域安全 應(yīng)用域安全 安全可視性 可配置性 7.4 3G安全技術(shù)3G安全技術(shù)3G 認證和秘鑰協(xié)商（Authenticated Key Agreement，AKA）協(xié)議 3G認證和密鑰協(xié)商協(xié)議 7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee技術(shù)是一種短距離雙向無線通信技術(shù)ZigBee技術(shù)的主要特征 功耗低 成本低 較小傳輸范圍 時延短 網(wǎng)絡(luò)容量大

12、 數(shù)據(jù)傳輸時的可靠性高 安全性好 7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee協(xié)議標準 ZigBee協(xié)議棧體系結(jié)構(gòu) 7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)安全架構(gòu) Zigbee安全體系結(jié)構(gòu) 安全密鑰 網(wǎng)絡(luò)層安全 應(yīng)用層安全 7.5 ZigBee安全技術(shù)ZigBee安全技術(shù)ZigBee MAC安全 安全模式無安全模式,訪問控制列表和安全模式 安全服務(wù)訪問控制服務(wù),數(shù)據(jù)加密服務(wù),幀完整性服務(wù),序列號更新服務(wù) MAC安全幀格式報頭（MHR）、負載和報尾（MFR） 安全組件 安全方案 7.6 藍牙安全技術(shù)藍牙安全技術(shù)藍牙（Bluetooth），是一種支持設(shè)備短距離通信的無線電

13、技術(shù)，能在包括移動電話、PDA、無線耳機、筆記本計算機、相關(guān)外設(shè)等眾多設(shè)備之間進行無線信息交換藍牙協(xié)議棧 藍牙協(xié)議棧結(jié)構(gòu) 7.6 藍牙安全技術(shù)藍牙安全體系結(jié)構(gòu) 7.6 藍牙安全技術(shù)藍牙安全技術(shù)藍牙安全體系結(jié)構(gòu)的關(guān)鍵部分是安全管理器，主要完成如下關(guān)鍵任務(wù)： 存儲和安全性相關(guān)的服務(wù)和設(shè)備信息 對各個協(xié)議層的訪問請求進行應(yīng)答(同意或拒絕) 對應(yīng)用程序連接請求前的鏈路進行認證和加密 發(fā)起并處理設(shè)備用戶的高層應(yīng)用程序的安全管理 初始化匹配和查詢PIN 7.6 藍牙安全技術(shù)藍牙安全技術(shù)藍牙安全模式 非安全模式 業(yè)務(wù)層安全模式建立在L2CAP層以上的安全模式，同時支持各種不同應(yīng)用程序的安全要求 鏈路層安全模

14、式在LMP連接建立之前要進行認證或者數(shù)據(jù)加密 業(yè)務(wù)層安全模式和鏈路層安全模式的本質(zhì)區(qū)別： 業(yè)務(wù)層安全模式的藍牙設(shè)備在信道建立之后才啟動安全管理進程，即在較高的協(xié)議層次實現(xiàn)鏈路層安全模式的藍牙設(shè)備在信道建立之前就啟用安全管理進程，即在較低的協(xié)議層次實現(xiàn) 7.6 藍牙安全技術(shù)藍牙安全技術(shù)射頻和基帶的安全機制 基帶部分功能：發(fā)送：將來自高層協(xié)議的數(shù)據(jù)進行信道編碼，向下傳給射頻進行發(fā)送接收：對射頻傳來的數(shù)據(jù)進行數(shù)據(jù)解碼，向高層傳輸 基帶安全要素： 48位的藍牙設(shè)備地址BD_ADDR 128位的藍牙鏈路密鑰，即認證密鑰 8128位不定長加密密鑰（對大多數(shù)應(yīng)用程序，64位比較合適） 128位的隨機數(shù)RAN

15、D（藍牙設(shè)備自帶的隨機數(shù)生成器） 加密密鑰是在認證過程中從認證密鑰得到的 7.6 藍牙安全技術(shù)藍牙安全技術(shù)鏈路層的安全機制 驗證使用質(zhì)詢-響應(yīng)(Challenge-Response) 7.6 藍牙安全技術(shù)藍牙安全技術(shù)鏈路層的安全機制 加密主設(shè)備密鑰：只適用于當前會話，它臨時代替原始鏈路密鑰主設(shè)備希望使用相同的密鑰與多個設(shè)備連接時，就使用主設(shè)備密鑰初始化密鑰：適用于初始化過程，當組合密鑰或單一密鑰沒有定義或交換，或者當鏈路密鑰已經(jīng)丟失時使用初始化密鑰生成初始化密鑰需要3個參數(shù)：隨機數(shù)、L字節(jié)的PIN碼、藍牙設(shè)備地址 7.6 藍牙安全技術(shù)藍牙安全技術(shù)鏈路層的安全機制 加密 7.6 藍牙安全技術(shù)藍牙安全技術(shù)應(yīng)用層安全機制藍牙提供的服務(wù) 需授權(quán)服務(wù)：只允許可信任設(shè)備訪問，或者經(jīng)過授權(quán)的不可信任設(shè)備訪問 需認證服務(wù)：要求在使用服務(wù)前必須經(jīng)過認證 需加密服務(wù)：在使用設(shè)備前鏈路必須改為加密模式藍牙應(yīng)用環(huán)境 7.7 本章小結(jié) 無線網(wǎng)絡(luò)分類、傳輸介質(zhì)和所具有的優(yōu)缺點無線網(wǎng)絡(luò)面臨的安全威脅Wi-Fi技術(shù)的概念、協(xié)議、特點和安全機制3G技術(shù)的概念、協(xié)議、特點和安全機制ZigBee技術(shù)的概念、協(xié)議、特點和安全機制藍牙技術(shù)的概念、協(xié)議、特點和安全機制