《物联网信息安全》(桂小林版)(第7章)课件

第七章无线网络安全桂小林2014.9.17第七章无线网络安全桂小林桂小林1

27.1无线网络概述7.2无线网络安全威胁7.3WiFi安全技术7.43G安全技术7.5ZigBee安全技术7.6蓝牙安全技术7.7本章小结

本章内容27.1无线网络概述本章内容桂小林2

3第七章无线网络安全基本要求熟悉无线网络的分类、传输介质和优缺点了解无线网面临的安全威胁掌握基本的WIFI安全技术掌握基本的3G安全技术掌握基本的ZigBee安全技术掌握基本的蓝牙安全技术3第七章无线网络安全基本要求桂小林3

47.1无线网络概述5W任何人（Whoever）任何时候（Whenever）任何地方（Wherever）与任何人（Whomever）能以任何形式（Whatever）通信的移动计算技术6A任何人(Anyone)任何时候(Anytime)任何地点(Anywhere)采用任何方式(Anymeans)与其他任何人(Anyother)进行任何通信(Anything)47.1无线网络概述5W6A桂小林47.1无线网络概述无线网络分类(从覆盖范围、传输速率和用途来看)无线广域网通过移动通信卫星进行的数据通信，其覆盖范围最大，代表技术有3G以及未来的4G技术无线城域网通过移动电话或车载装置进行的移动通信。其覆盖范围可以达到一个城市中的大部分地区，代表技术为IEEE802.20和IEEE802.15标准体系无线局域网用于较小范围的无线通信，覆盖范围较小，一般为一栋建筑内或房间内，代表技术是IEEE802.11系列标准7.1无线网络概述无线网络分类(从覆盖范围、传输速率和用途桂小林57.1无线网络概述无线网络分类(从覆盖范围、传输速率和用途来看)无线个域网一般传输距离在10m左右，代表技术是IEEE802.15系列协议，数据传输速率在10Mb/s以上，无线连接距离在10m左右无线体域网以无线医疗监控、娱乐和军事等方面的应用为代表，主要是指附着在人身体上或植入人体内部的传感器之间的通信，通信距离非常短，一般为0-2m范围Mesh网Mesh网络是一种多跳的Adhoc网络，它由固定节点及移动节点通过无线链路组成7.1无线网络概述无线网络分类(从覆盖范围、传输速率和用途桂小林67.1无线网络概述无线网络分类(以网络拓扑结构)集中式网络以蜂窝移动通信网络为代表，需要有中心基站，网络中所有的终端设备要通信时，都要通过中网基础设施进行转发分布式网络以移动自组织网络、无线传感器网络和移动车载自组织网络为代表每个节点都兼具路由功能，可以随时为其他节点的数据传输提供路由和中继服务7.1无线网络概述无线网络分类(以网络拓扑结构)桂小林77.1无线网络概述无线传输介质传输介质是连接通信设备，为通信设备之间提供信息传输的物理通道，是信息传播的实际载体无线电波一般可以分为低能单频、高能单频和扩展频谱三类微波是指频率为300MHz-300GHz的电磁波是分米波、厘米波、毫米波的统称红外线红外线是一种不可见光保密性强、抗干扰性强7.1无线网络概述无线传输介质桂小林87.1无线网络概述无线网络的优点移动性组网快灵活方便扩展能力强扩展成本低7.1无线网络概述无线网络的优点桂小林97.1无线网络概述无线网络的缺点传输速度较慢通信稳定性较差安全性较差对健康的危害7.1无线网络概述无线网络的缺点桂小林107.2无线网络安全威胁对传递信息的威胁侦听非法用户通过特定手段获取存储和传输在系统中的信息，信息的无线传输和有线传输都存在被侦听的威胁由于无线通信系统信号在空中开发传输，相比有线网络，无线传输的信号更容易被侦听篡改非授权用户修改系统中的信息，主要包括非法修改和重放由于无线网络的开放特性，这种威胁的攻击在无线网络中相对简单7.2无线网络安全威胁对传递信息的威胁桂小林117.2无线网络安全威胁对传递信息的威胁抵赖通信双方的一方否认或部分否认自己的行为，分为接收抵赖或源发抵赖接收抵赖是信息的接收方否认自己接收到信息的行为或者接收到的信息内容源发抵赖是指信息发送方否认自己发送信息的行为或发送的信息内容7.2无线网络安全威胁对传递信息的威胁桂小林127.2无线网络安全威胁对用户的威胁流量分析分析网络中的通信流量，包括信息速率、消息长度、接受者和发送者标识等防止流量分析的方法是对消息内容和可能的控制消息进行加密，并且采用类似的消息填充或插入虚假消息监视持续不断的对某个用户行为进行记录分析防止监视的主要措施是使用假名来实现匿名发送、接收和计费7.2无线网络安全威胁对用户的威胁桂小林137.2无线网络安全威胁对通信系统的威胁拒绝服务攻击攻击者利用技术手段占用攻击目标各种资源，削弱系统对外提供服务的能力或是系统无法对外提供服务资源的非授权使用非法用户冒用合法用户权限或合法用户擅自扩大自己权限，访问和使用超出使用权限的无线信道、设备、服务或系统数据等系统资源7.2无线网络安全威胁对通信系统的威胁桂小林147.3WiFi安全技术WiFi技术概述概念无线保真Wi-Fi（WirelessFidelity）技术是一种将PC机、笔记本、移动手持设备（如PDA、手机）等终端以无线方式互相连接的短距离无线电通信技术，由Wi-Fi联盟于1999发布协议标准Wi-Fi使用IEEE802.11系列协议IEEE802.11a/b/g/i/n7.3WiFi安全技术WiFi技术概述桂小林157.3WiFi安全技术WiFi技术概述特点覆盖范围广传输速度快建网成本低，使用便捷更健康、更安全组网技术AdHoc模式接入点模式7.3WiFi安全技术WiFi技术概述桂小林167.3WiFi安全技术WiFi安全技术物理层安全抗干扰抗衰落抗多径干扰抗窃听性数据链路层安全有线等价保密协议WEP7.3WiFi安全技术WiFi安全技术桂小林177.3WiFi安全技术WiFi安全技术网络层安全服务配置标识符（ServiceSetupIdentifier，SSID）身份认证（Authentication）虚拟专用网（VirtualPrivateNetwork，VPN）7.3WiFi安全技术WiFi安全技术桂小林187.3WiFi安全技术WiFi安全技术WEP安全机制有线等价保密协议WEP是IEEE802.11协议1999年版中所规定的，用于IEEE802.11的认证和加密中，用来保护无线通信信息WEP为无线通信提供了数据机密性,访问控制和数据完整性三个方面的安全保护7.3WiFi安全技术WiFi安全技术桂小林197.3WiFi安全技术WiFi安全技术WEP安全缺陷消息容易被截获易受到弱初始向量攻击易遭受穷举攻击和字典攻击向量空间很小不具备抗恶意攻击所需要的消息认证功能WPA安全技术无线保护访问（WirelessProtectedAccess，WPA）是由Wi-Fi联盟提出的一个无线安全访问保护协议主要解决了WEP中在客户端与缺乏身份认证的访问点之间使用相同静态密钥和网络接入时身份认证方面存在的缺陷7.3WiFi安全技术WiFi安全技术桂小林207.3WiFi安全技术WiFi安全技术WPA2加密技术2004年起草的保护无线通信安全的协议标准，也称为802.11i主要包括802.1X身份验证基于端口的访问控制高级加密标准AES加密模块计数器模式密码块链消息完整码协议CCMP7.3WiFi安全技术WiFi安全技术桂小林217.3WiFi安全技术WiFi安全技术IEEE802.1X认证IEEE802.1x协议是一个可扩展的认证框架，并没有规定具体认证协议IEEE工作组2011年6月公布了802.1x协议IEEE802.1x协议的体系结构7.3WiFi安全技术WiFi安全技术IEEE802.1x桂小林227.3WiFi安全技术WiFi安全技术WAPI标准2003年我国首次提出WAPI（WirelessLANAuthenticationAndPrivacyInfrastructure）WAPI由无线局域网鉴别基础结构（WAI，WLANAuthenticationInfrastructure）和无线局域网保密基础结构（WPI，WLANPrivacyInfrastructure）两部分组成7.3WiFi安全技术WiFi安全技术桂小林237.43G安全技术3G安全技术WCDMA由欧洲提出，意为宽频分码多重存取，国内目前由中国联通公司运营CDMA2000由美国高通公司提出，国内现由中国电信公司运营TD-SCDMA由大唐电信于1999年6月向ITU提出，国内由中国移动公司负责运营。7.43G安全技术3G安全技术桂小林247.43G安全技术3G安全技术安全体系结构3G系统安全结构7.43G安全技术3G安全技术3G系统安全结构桂小林257.43G安全技术3G安全技术安全体系结构网络接入安全网络域安全用户域安全应用域安全安全可视性可配置性7.43G安全技术3G安全技术桂小林267.43G安全技术3G安全技术3G认证和秘钥协商（AuthenticatedKeyAgreement，AKA）协议3G认证和密钥协商协议7.43G安全技术3G安全技术3G认证和密钥协商协议桂小林277.5ZigBee安全技术ZigBee安全技术ZigBee技术是一种短距离双向无线通信技术ZigBee技术的主要特征功耗低成本低较小传输范围时延短网络容量大数据传输时的可靠性高安全性好7.5ZigBee安全技术ZigBee安全技术桂小林287.5ZigBee安全技术ZigBee安全技术ZigBee协议标准ZigBee协议栈体系结构7.5ZigBee安全技术ZigBee安全技术ZigBee桂小林297.5ZigBee安全技术ZigBee安全技术安全架构Zigbee安全体系结构安全密钥网络层安全应用层安全7.5ZigBee安全技术ZigBee安全技术桂小林307.5ZigBee安全技术ZigBee安全技术ZigBeeMAC安全安全模式无安全模式,访问控制列表和安全模式安全服务访问控制服务,数据加密服务,帧完整性服务,序列号更新服务MAC安全帧格式报头（MHR）、负载和报尾（MFR）安全组件安全方案7.5ZigBee安全技术ZigBee安全技术桂小林317.6蓝牙安全技术蓝牙安全技术蓝牙（Bluetooth），是一种支持设备短距离通信的无线电技术，能在包括移动电话、PDA、无线耳机、笔记本计算机、相关外设等众多设备之间进行无线信息交换蓝牙协议栈蓝牙协议栈结构7.6蓝牙安全技术蓝牙安全技术蓝牙协议栈结构桂小林327.6蓝牙安全技术蓝牙安全体系结构7.6蓝牙安全技术蓝牙安全体系结构桂小林337.6蓝牙安全技术蓝牙安全技术蓝牙安全体系结构的关键部分是安全管理器，主要完成如下关键任务：存储和安全性相关的服务和设备信息对各个协议层的访问请求进行应答(同意或拒绝)对应用程序连接请求前的链路进行认证和加密发起并处理设备用户的高层应用程序的安全管理初始化匹配和查询PIN7.6蓝牙安全技术蓝牙安全技术桂小林347.6蓝牙安全技术蓝牙安全技术蓝牙安全模式非安全模式业务层安全模式建立在L2CAP层以上的安全模式，同时支持各种不同应用程序的安全要求链路层安全模式在LMP连接建立之前要进行认证或者数据加密业务层安全模式和链路层安全模式的本质区别：业务层安全模式的蓝牙设备在信道建立之后才启动安全管理进程，即在较高的协议层次实现链路层安全模式的蓝牙设备在信道建立之前就启用安全管理进程，即在较低的协议层次实现7.6蓝牙安全技术蓝牙安全技术桂小林357.6蓝牙安全技术蓝牙安全技术射频和基带的安全机制基带部分功能：发送：将来自高层协议的数据进行信道编码，向下传给射频进行发送接收：对射频传来的数据进行数据解码，向高层传输基带安全要素：48位的蓝牙设备地址BD_ADDR128位的蓝牙链路密钥，即认证密钥8~128位不定长加密密钥（对大多数应用程序，64位比较合适）128位的随机数RAND（蓝牙设备自带的随机数生成器）加密密钥是在认证过程中从认证密钥得到的7.6蓝牙安全技术蓝牙安全技术桂小林367.6蓝牙安全技术蓝牙安全技术链路