《无线网络安全》

第20讲无线网络平安二编辑ppt一、无线平安威胁编辑ppt1、无线电信干扰问题发送和接收无线电信号的过程中，传输媒体是空气，导致无线系统很容易受到其它系统的干扰。而且，无线网络自身之间也存在各种干扰，所以研究无线局域网的电磁兼容和电磁干扰问题很有必要。针对各种干扰的解决方法无非有以下几方面，一是了解各种电磁兼容规那么，合理利用频率资源，设计出满足ERC无线标准的设备。二是了解各种无线设备系统的抗干扰方法，通过学习现有无线系统的优点，从而找出无线局域网系统设计的合理方法。三是采用更先进的技术或协议，提高无线设备自身的抗干扰能力。编辑ppt2、共享密钥认证的平安缺陷通过窃听—一种被动攻击手法，能够很容易蒙骗和利用目前的共享密钥认证协议。协议固定的结构〔不同认证消息间的唯一差异就是随机询问〕和先前提过的WEP的缺陷，是导致攻击实现的关键。因此，即使在激活了WEP后，攻击者仍然可以利用网络实现WEP攻击。编辑ppt3、访问控制的平安缺陷〔1〕〔1〕封闭网络访问控制机制：实际上，如果密钥在分配和使用时得到了很好的保护，那么基于共享密钥的平安机制就是强健的。但是，这并不是这个机制的问题所在。几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中播送，并不受到任何阻碍。真正包含SSID的消息由接入点的开发商来确定。然而，最终结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护〞的网络上。即使激活了WEP，这个缺陷也存在，因为管理消息在网络里的播送是不受任何阻碍的。编辑ppt3、访问控制的平安缺陷〔2〕〔2〕以太网MAC地址访问控制表：在理论上。使用了强健的身份形式，访问控制表就能提供一个合理的平安等级。然而，它并不能到达这个目的。其中有两个原因：其一是MAC地址很容易的就会被攻击者嗅探到，这是因为即使激活了WEP，MAC地址也必须暴露在外，其二是大多数的无线网卡可以用软件来改变MAC地址，因此，攻击者可以窃听到有效的MAC地址、然后进行编程将有效地址写到无线网卡中。从而伪装一个有效地址，越过访问控制，连接到“受保护〞的网络上。编辑ppt4、硬件被窃〔1〕静态地指定WEP密钥给一台客户机是很常见的方法，密钥或存储在客户机的磁盘存储器中，或存储在客户机的WLAN适配器的内存中。当这些步骤完成后，客户机处理器就拥有了客户机的MAC地址和WEP密钥，并且可利用这些单元获得对WLAN的访问权了。如果多个用户共用一台客户机，这些用户将有效地共享MAC地址和WEP密钥。编辑ppt4、硬件被窃〔2〕当客户机丧失或被盗时，该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权，而非正常用户那么有了这些权限。此时管理员要想检测网络的平安性是否被破坏是不可能的；原有的机主应该及时通知网络管理员。当网络管理员按到通知后，必须改变平安方案，使MAC地址和WEP密钥在访问WLAN和对传送的数据进行解密时变得无效。同时，网络管理员还必须对与丧失或被盗的客户机密钥相同的其它客户机的静态密钥全部进行重新编码。客户机的数目越多，对WEP密钥进行重新编程的工作员也就越大。编辑ppt5、虚假访问点IEEE802.11b共享密钥验证使用单向，非相互的身份验证方法。访问点可以验证用户的身份，但用户并不能验证访问点的身份。如果一个虚假访问点放置到WLAN中，它可通过“劫持〞合法用户客户机来成为发动拒绝效劳攻击的平台。编辑ppt6、其它隐患〔1〕标椎的WEP支持每个信息包加密功能，但是并不支持对每个信息包的验证。黑客可从对数据包的响应来重构信息流，从而能够发送欺骗信息包。弥补这个平安弱点的途径之一是定期更换WEP密钥。编辑ppt6、其它隐患〔2〕通过监视IEEE802.11b控制和数据通道，黑客可以得到如下信息：①客户机和访问点MAC地址；②内部主机的MAC地址；③进行通信/断开通信的时间。黑客可能使用这些信息来进行长期的流量测量和分析，从而得悉用户和设备的详细信息。为预防此类黑客活动，站点应使用每次会话WEP密钥。编辑ppt7、小结〔1〕无线网络的平安威胁比较多，它们的来源可归纳为非法窃听、非授权访问和效劳拒绝等几类，不同的平安威胁会给网络带来不同程度的破坏。非法窃听是指入侵者通过对无线信道的监听来获取传输的信息，是对通信网络最常见的攻击方法。这种威胁源于无线链路的开放性，但是由于无线传输距离受到功率和信噪比的限制，窃听者必须与源结点距离较近。非法访问是指入侵者伪装成合法用户来访问网络资源，以期到达破坏目的；或者是违反平安策略，利用平安系统的缺陷非法占有系统资源或访问本应受保护的信息。必须对网络中的通信设备增加认证机制，以防止非授权用户使用网络资源。编辑ppt7、小结〔2〕效劳拒绝是指入侵者通过某些手段使合法用户无法获得其应有的网络效劳，这种攻击方式在Internet中最为常见，也最为有效。这种威胁包括阻止合法用户建立连接，或通过向网络发送大量垃圾数据来破坏合法用户的正常通信。对于这种威胁，通常可采用认证机制和流量控制机制来防止。耗能攻击也称为能源消耗攻击，其目的是破坏节能机制，如不停地发送连接请求，使设备无法进入节能模式，最终到达消耗能量的目的。目前对这种攻击还没有行之有效的方法。编辑ppt二、无线网络攻击分析编辑ppt1、被动攻击—解密业务流〔1〕在WEP攻击的研究中，被动攻击指不破坏信息完整性的攻击，又称其为初始化向量IV复用攻击，或称为密钥复用攻击。在本文的以后论述中经常使用密钥复用攻击。 由于WEP的IV字节空间太小，因此，密钥复用攻击具有的特点为：①缺乏重放保护，允许IV重复；②WEPIV空间小，导致IV碰撞，密钥重复；③攻击者可以拦截无线通信信号做统计学分析，从而对信号解密。编辑ppt1、被动攻击—解密业务流〔2〕在初始化变量发生碰撞时，一个被动的窃听者可以拦截窃听所有的天线业务流。只要将两个具有相同初始化变量的包进行异或相加，攻击者就可以得到两条消息明文的异或值，而这个结果可以用来推断这两条消息的具体内容。IP业务流通常是可以预测的，并且其中包含了许多冗余码，而这些冗余码就可以用来缩小可能的消息内容的范围，对内容的更进一步的推测那么可以进一步缩小内容范围，在某些情况下甚至可能可以确定正确的消息内容。编辑ppt2、主动攻击—注入业务流〔1〕主动攻击的特点是破坏信息的完整性和有效性，向通信信号中插入字节。主动攻击主要利用了在WEP中采用CRC32保护数据的完整性这个缺陷。主动攻击的特点为：①CRC32是线性运算，容易伪造密钥；②造成拒绝效劳攻击。CRC32并不能保证数据的完整性，那么对于数据的篡改就十分容易。只要攻击者得到一段明密文对，那么他就可以很容易地对这段明文修改并重放，从而造成主动攻击编辑ppt2、主动攻击—注入业务流〔3〕假设一个攻击者知道一条加密消息确切的明文，那么他可以利用这些来构建正确的加密包。其过程包括：构建一条新的消息，计算CRC-32，更改初始加密消息的比特数据从而变成新消息的明文，然后将这个包发送到接入点或移动终端，这个包会被当作一个正确的数据包而被接收。这样就将非法的业务流注入到网络中，从而增加了网络的负荷。如果非法业务流的数量很大，会使得网络负荷过重，出现严重的拥塞问题，甚至导致整个网络完全瘫痪。编辑ppt3、针对IP地址发起的主动攻击〔1〕事实上，针对单个通信报文的攻击并不容易奏效,比方多个通信报文之间有关联，甚至无法做到重放。但针对IP地址发起的主动攻击对象不是消息的内容，而是数据报的头字节—IP地址。比起破解消息的内容来，这显然要容易得多。在破解IP地址后，攻击者就可以对其进行修改，使IP地址指向被控制的机器〔比方位于Internet的某个主机〕。由于大多数无线局域网都可以同Internet互连，接入点成功地对移动端发来的数据解密后就会经由一系列的网关和路由器把明文发向受控制的主机。编辑ppt3、针对IP地址发起的主动攻击〔2〕在这种情况下，攻击者可以不猜测消息的具体内容而是只猜测包头，尤其是目的IP地址，它是最有必要的，这个信息通常很容易获得。有了这些信息，攻击者就可以改变目的IP地址，用未经授权的移动终端将包发到他所控制的机器上。由于大多数无线设备都与Internet相连，这样，这个包就会成功的被接入点解密，然后通过网关和路由器向攻击者的机器转发未经加密的数据包，泄露了明文。如果包的TCP头被猜出来的话，那么甚至有可能将包的目的端口号改为80，如果这样的话，它就可以畅通无阻的越过大多数的防火墙。编辑ppt4、基于字典的功击〔1〕由于初始化向量的数值空间比较小，这样攻击者就可以建一个解密表，即字典。一旦知道了某个包的明文，它能够计算出由所使用的初始化变量产生的RC4密钥流。这个密钥流可以将所有使用同一个初始化变量的包解密。很可能经过一段时间以后，通过使用上述技术，攻击者能够建立一个初始化变量与密钥流的对照表。这个表只需很小的存储空间〔大约15GB〕，字典一旦建立，攻击者可以通过无线链路把所有的数据包解密。编辑ppt4、基于字典的功击〔3〕字典攻击分为两种情况：①全部明文攻击。它具有的特点为：a.IP数据流中包含许多的明文，例如：ICMP,ARP,TCPACK等；b.可以在Internet上通过接入点AP向有意的攻击者发送ping指令；c.对给定的IV，可以恢复全部密钥；d.可以引起统计攻击。②局部明文攻击。它具有的特点：a.仅掌握局部明文信息，例如：IP头和SNAP；b.可以恢复出局部密钥；c.对局部的明文和IV进行统计分析，可以得出密钥偏差；d.对局部的明文和IV进行统计分析，可以恢复出密钥；e.通过屡次探测分析，最终可以逐步扩展得出全部密钥。编辑ppt5、工具攻击工具攻击是指针对无线局域网的攻击工具。这些工具，特别是来自无线局域网内部的攻击将是很大的威胁。目前，无线局域网对此类攻击还没有很好的对付方法。

编辑ppt6、播送监听如果接入点与HUB相连，而不是与交换机相连，那么任意通过HUB的网络业务流将会在整个的无线网络里播送。由于以太网HUB向所有与之连接的装置包括无线接入点播送所有数据包，这样，攻击者就可以监听到网络中的敏感数据。编辑ppt7、拒绝效劳〔DOS〕攻击〔1〕在无线网络里也很容易发生拒绝效劳DOS〔DenialofService〕攻击，如果非法业务流覆盖了所有的频段，合法业务流就不能到达用户或接入点，这样，如果有适当的设备和工具的话，攻击者很容易对2.4GHz的频段实施泛供〔flooding〕，破坏信号特性，直至导致无线网络完全停止工作。另外，无绳、婴儿监视器和其它工作在2.4GHz频段上的设备都会扰乱使用这个频率的无线网络。这些拒绝效劳可能来自工作区域之外，也可能来自安装在其它工作区域的会使所有信号发生衰落的IEEE802.11设备。总之，不管是成心的还是偶然的，DOS攻击都会使网络彻底崩溃。编辑ppt7、拒绝效劳〔DOS〕攻击〔2〕由于WEP的设计缺陷，可能的攻击有很多。而IEEE802.11WEP中最具缺陷的设计是初始化向量IV，导致WEP密钥复用的缺陷。本文以下局部着重研究针对WEPIV空间小，引起密钥复用进行的攻击。编辑ppt三、第二代移动通信系统的平安机制编辑ppt1、GSM系统平安〔1〕GSM无线接入中最主要的平安措施包括对用户身份的识别(认证)和对用户接口数据传输的加密，另外还包括对用户身份的保密和对设备的识别。编辑ppt1、GSM系统平安〔2〕〔1〕认证：GSM系统采用了单钥体制认证方案。在GSM系统中，MS(移动台)由ME(移动设备)和SIM(用户识别模块)卡组成，ME负责与BTS(基站收发信台)在无线接口Um上进行通信，流加密算法A5也在ME中实现；SIM卡在用户入网的时候由运营商提供，用于实现用户认证和密钥分配，存储了移动用户的身份号IMSI(国际移动用户标识)和密钥Ki，身份认证算法A3和密钥分配算法A8。编辑ppt1、GSM系统平安〔3〕当MS首次进入某个VLR(visitlocationregister)的效劳区域时，需要进行位置更新，此时认证方案开始运行，MS将其IMSI发送给VLR，VLR随后向MS归属的HLR(homelocationregister)发出用户数据请求，HLR经确认，返回假设干个认证三元组(RAND，SRES，Kc)。三元组中，RAND为128bit的随机数，SRES为32bit带符号的响应，Kc为64bit的会话密钥。为了认证用户的身份，VLR将RAND作为“提问〞发送给用户；用户利用A3算法并以秘密密钥Ki和RAND为参数计算签字响应SRES′，然后返回给VLR；假设接收到的SRES′与三元组中的SRES匹配，那么VLR确信该MS为合法用户，并发送一个临时移动用户识别号码TMSI(temporarymobilesubscriberiden2tity)给MS，用A5算法和Kc加密；MS收到后解密得到TMSI，并发送确认信号ACK。认证方案如以下图所示：编辑ppt1、GSM系统平安〔4〕MSVLRHLRIMSIIMSIRANDIMSI、RAND、SRES、KiSRESA5ACKGSM认证方案〔IMSI〕编辑ppt1、GSM系统平安〔5〕以上认证方案非常简单，采用“提问-答复〞机制、TMSI和会话加密来实现欺骗控制、用户身份保密和消息的保密。然而，在TMSI同步之前，以及当频繁的无线信号干扰或其它可能的系统错误使得TMSI的同步丧失时，MS不得不将IMSI以明文形式发送给VLR，这就暴露了用户的真实身份。另一个平安问题是一旦会话密钥泄漏，只要重放相应的RAND，攻击者就可以伪装成合法的VLR与MS建立一个虚假的连接，并通过这个连接收集用户的数据。另外，在VLR内保存多个认证三元组虽然可以加速认证的过程(不需要HLR的参与)，但是这增加了认证信息泄漏的可能性。例如，内部人员可以盗用这些信息非法使用网络效劳或者泄漏用户的会话内容。编辑ppt1、GSM系统平安〔6〕〔2〕对用户接口数据传输的加密：GSM移动通信系统中的无线数据传输采用A5加密算法，对114bit有用长度的普通突发脉冲进行加密，加密对象的内容主要有以下3种：用户信息，包括语音和数据等信息用户信令，例如用户被叫号码等系统信令，例如用于切换的无线测量结果等

A5加密算法由GSMMOU组织规定，受版权保护。A5算法按加密强度又可分为以下3种：A5/1算法：强加密算法，适用于欧洲A5/2算法：弱加密算法，适用于非欧洲A5/0算法：不加密从以上3种A5算法的划分可以看出，GSM系统中的无线接口数据传输可以采用加密方式，也可以采用不加密方式，即加密与非加密可以相互转换，由无线资源管理机构制定具体方案。编辑ppt1、GSM系统平安〔7〕〔3〕用户身份保密：在用户完成接入过程的认证以后，用户呼叫过程中不再使用其真实身份IMSI，而是使用新分配的TMSI来发起呼叫请求。这样可以隐藏用户身份，防止无线跟踪，并且在每次认证中，VLR都重新分配一个TMSI给MS。

〔4〕设备识别：GSM系统中采用唯一的国际移动设备识别符(IMEI)对MS进行设备识别。编辑ppt2、GPRS系统平安〔1〕GPRS提供的平安特征与GSM非常类似，包括:认证与密钥分配：防止未授权的GPRS效劳的使用及提供会话密钥用户身份保密信令与用户数据加密利用硬件存储用户的私钥编辑ppt2、GPRS系统平安〔2〕由于GPRS核心网是IP网，因此它还可以利用GSM标准之外的平安机制。(1)认证与密钥分配认证过程在GPRS网络中是通过SGSN完成的。它主要完成用户认证或加密算法的选择和加密的起始同步，或者两者皆有。认证的三参数(RAND，SRES，Kc)被保存在SGSN中，其使用方式与GSM完全相同，认证算法也完全一样(A3算法)。此时MSC/VLR不再对MS鉴权，除非在电路交换连接建立时才对MS进行鉴权。1〕如果SGSN预先未保存鉴权三参数，它将给HLR发送鉴权参数申请消息。HLR响应该消息向SGSN发送相应鉴权参数。2〕SGSN发送鉴权和加密请求信息给MS。MS收到后发送响应SRES信息。当发送完SRES后MS即启动加密流程。SGSN收到MS发来的有效的SRES后也启动加密流程。3〕MS位置更新时，如位置更新前MS处于加密状态，SGSN将使用相同的算法转换为加密状态并向MS发一加密的位置更新接受〔RoutingAreaUpdateAccept〕消息。当MS收到SGSN加密的位置更新接受消息后保持加密状态。具体过程如以下图所示：编辑ppt2、GPRS系统平安〔3〕MSSGSNHLR/AuC1接入请求2认证数据请求4认证请求3认证数据响应5认证响应6加密的数据通信编辑ppt2、GPRS系统平安〔4〕〔2〕信令与用户数据加密：

GPRS中加密范围是从MS到SGSN，加密功能是在LLC层实现。在加密算法使用方面，GPRS不作具体要求，可选择多种算法，也可设计新的算法。GPRS标准中定义了GEA1和GEA2两个加密算法，但都是保密的。编辑ppt3、GSM/GPRS平安分析〔1〕〔1〕认证问题：通过SGSN或MSC/VLR对MS的认证，可以保证GSM/GPRS网络资源不被非授权用户使用，保护了运营商的利益。但认证过程是单向的即只是网络对MS的认证，用户对SGSN/VLR不做认证，因而可能存在攻击者利用假的SGSN或基站对用户进行欺骗，让用户以为连接到了真正的GSM/GPRS网络上，这样可能使用户的敏感信息被窃取或无法正常地访问网络资源。编辑ppt3、GSM/GPRS平安分析〔2〕〔2〕信令及数据加密问题：GSM/GPRS系统中的加密范围分别是从MS到基站与MS到SGSN，不提供端到端的加密。对于需要端到端平安的应用来说，必须考虑到这个因素，不能仅依赖GSM/GPRS系统的平安性，而应该在系统设计时增加端到端〔应用层〕的平安功能。GSM/GPRS的平安算法也存在问题。加密算法A5与GEA的密钥长度太短，只有64bits无法抵抗穷举攻击。在通信平安领域，开放性对于加密算法的完善来说是至关重要的。然而GSMMOU组织与GPRS设计委员会却将所有平安标准保密，使别的专家无法对算法进行分析评估，以及时发现其缺陷并进行修正。编辑ppt3、GSM/GPRS平安分析〔3〕〔3〕SIM卡问题：GSM及GPRS系统的平安性都是基于私钥密码，存储在SIM卡中的IMSI-Ki对是系统平安的根本。如果SIM卡中的数据可以被复制，那么非授权用户可以授权用户的身份使用网络资源，而费用却算在该授权用户的账户上，这将使系统的平安性受到严重破坏。编辑ppt四、3G平安体系结构编辑ppt1、用户身份保密〔1〕3G系统中的用户身份保密有3方面的含义：在无线链路上窃听用户身份IMSI是不可能的确保不能够通过窃听无线链路来获取当前用户的位置窃听者不能够在无线链路上获知用户正在使用的不同的业务编辑ppt1、用户身份保密〔2〕为了到达上述要求，3G系统使用了2种机制来识别用户身份：一是使用临时身份TMSI；二是使用加密的永久身份IMSI。而且要求在通信中不能长期使用同一个身份。另外为了到达这些要求，那些可能会泄露用户身份的信令信息以及用户数据也应该在接入链路上进行加密传送。在3G中为了保持与第二代系统兼容，也允许使用非加密的IMSI。尽管这种方法是不平安的。编辑ppt1、用户身份保密〔3〕在使用临时身份机制中，网络给每个移动用户分配了一个临时身份TMSI。该临时身份与IMUI由网络临时相关联，用于当移动用户发出位置更新请求、效劳请求、脱离网络请求，或连接再建立请求时，在无线链路上识别用户身份。当系统不能通过TMUI识别用户身份时，3G系统可以使用IMSI来识别用户。该机制由拜访的SN/VLR发起向用户请求IMSI。用户可选择两种方法来响应：一是与GSM一样使用IMSI明文；二是使用扩展加密移动用户身份XEMSI。由于使用IMSI的明文传送，可能导致IMSI被窃听。在3G中应该使用加密的用户身份。编辑ppt1、用户身份保密〔4〕在收到SN/VLR的身份请求后，MS/USIM把IMSI加密后嵌入HE-message中，并且用HE-id来向SN/VLR指明可以解密该HE-message的HE/UIC的地址。SN/VLR收到HE-message后，根据HE-id再把该消息传送到相应的HE/UIC，HE/UIC解密后把用户的IMSI传递给SN/VLR。在收到用户的IMSI后，就可以启动TMSI分配过程，此后将使用TMSI来识别移动用户身份。这种增强型身份加密机制把原来由无线接入局部传送明文IMSI变成在网络内传送明文IMSI，在一定程度上加强了用户身份的机密性。编辑ppt2、认证和密钥协商〔1〕3G系统中沿用了GSM中的认证方法，并作了改进。在3G系统中使用了5参数的认证向量AV(RAND‖XRES‖CK‖IK‖AUTN)。3G中的认证，执行AKA(AuthenticationandKeyAgreement)认证和密钥协商协议，具体流程如以下图所示：编辑ppt2、认证和密钥协商〔2〕认证和密钥协商AKA

编辑ppt2、认证和密钥协商〔3〕上图中，HE/HLR表示用户归属区的用户归属存放器，AV表示认证向量，AUTN表示认证令牌，RES和XRES分别表示用户域的应答信息和效劳网的应答信息，RAND表示生成的随机数，CK和IK分别表示数据保密密钥和数据完整性密钥。编辑ppt2、认证和密钥协商〔4〕AKA协议可分为2局部。〔1〕用户归属域HE到效劳网SN认证向量的发送过程。SN(由VLR/SGSN实体执行)向HE(由HLR实体执行)申请认证向量，HE生成一组认证向量AV(1，...，n)发送给SN，SN存储收到的认证向量；〔2〕认证和密钥建立的过程。SN从收到的一组认证向量中选择一个AV(i)，将AV(i)中的RAND(i)和AUTN(i)发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC，并与AUTN中包含的MAC相比较，如果二者不同，USIM将向VLR/SGSN发送拒绝认证消息。如果二者相同，USIM计算应答信息XRES(i)，发送给SN。SN在收到应答信息后，比较XRES(i)和RES(i)的值。如果相等那么通过认证，否那么不建立连接。最后在认证通过的根底上，MS/USIM根据RAND(i)和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK(i)。SN根据发送的AV选择对应的CK和IK。编辑ppt3、本地认证AKA是基于认证向量的在USIM和HE之间的认证，适用于用户第一次登录网络时的情况。在线用户发出效劳请求、位置更新或剥离网络请求时常使用另一种认证：本地认证。它使用了AKA中产生的CK与IK，认证只发生在USIM和VLR之间，可为用户数据提供完整性保护。这样做的好处是即使HE/AuC的链路不稳定，VLR/SGSN也可为用户提供平安效劳。编辑ppt4、加密和完整性保护认证成功后，3G系统允许对空中接口的数据进行加密和完整性保护。加密和完整性算法分别采用了KASUMI算法中的f8和f9算法。通过f8算法产生密码流分组对原始数据进行加密。假设构成无线承载的RLC层采用非透明模式，那么加密由RLC层实施；假设RLC层采用透明模式，那么加密由MAC层实施。f9算法的输入参数包括：IK、完整性序列号COUNT-I、随机数FRESH、方向比特DIRECTION和信令消息MESSAGE。发送方利用f9算法计算出MAC-1，随消息一起发送出去，接收方计算XMAC-1并与收到的MAC-1相比较以验证消息的完整性。编辑ppt5、平安分析总的来说，3GPP的平安体系结构经过了精心的设计以弥补GSM的弱点。GSM的主要漏洞在于两点：认证是单向的〔MS不能认证网络〕，加密是可选的。在3GPP中，认证是双向的，同时加密是强制的。另外，完整性保护防止了信令消息的重放，认证向量的序号防止了网络伪装者对认证向量的重用；采用完整性保护功能能够实现快速的本地认证。在算法方面，由于认证算法可随运营商不同而不同，3G系统中的AKA算法可采用非标准化的算法，而机密性算法f8和完整性算法f9算法已进行了标准化。编辑ppt五、蓝牙技术的平安机制编辑ppt1、平安模式在蓝牙技术标准中定义了三种平安模式：平安模式1为无平安机制的模式，在这种模式下蓝牙设备屏蔽链路级的平安功能，适于非敏感信息的数据库的访问。这方面的典型的例子有自动交换名片和日历(即vCard和vCalendar)。平安模式2提供业务级的平安机制，允许更多灵活的访问过程，例如，并行运行一些有不同平安要求的应用程序。在这种模式中，蓝牙设备在信道建立后启动平安性过程，也就是说它的平安过程在较高层协议进行。平安模式3提供链路级的平安机制，链路管理器对所有建立连接的应用程序，以一种公共的等级强制执行平安标准。在这种模式中，蓝牙设备在信道建立以前启动平安性过程，也就是说它的平安过程在较低层协议进行。编辑ppt2、链路级平安参数蓝牙技术在应用层和链路层上提供了平安措施。链路层采用四种不同实体来保证平安。所有链路级的平安功能都是基于链路密钥的概念实现的，链路密钥是对应每一对设备单独存储的一些128位的随机数。编辑ppt3、密钥管理〔1〕蓝牙系统用于确保平安传输的密钥有几种，其中最重要的密钥是用于两个蓝牙设备之间鉴权的链路密钥。加密密钥可以由链路密钥推算出来，这将确保数据包的平安，而且每次传输都会重新生成。最后还有PIN码，用于设备之间互相识别。链路密钥：一共有四种可能存在的链路密钥，所有链路密钥都是128位的随机数，它们或者是临时的或者是半永久性的。编辑ppt3、密钥管理〔2〕加密密钥由当前的链路密钥推算而来。每次需要加密密钥时它会自动更换。之所以将加密密钥与鉴权密钥别离开，是因为可以使用较短的加密密钥而不减弱鉴权过程的平安性。蓝牙平安码通常称为PIN(个人识别号码)，是一个由用户选择或固定的数字，长度可以为16个字节，通常采用四位十进制数。用户在需要时可以改变它，这样就增加了系统的平安性。另外，同时在两个设备输入PIN比其中一个使用固定的PIN要平安得多。事实上它是唯一的可信的用于生成密钥的数据，典型情况是四位十进制PIN码与其他变量结合生成链路密钥和加密密钥。编辑ppt4、加密算法〔1〕蓝牙系统加密算法为数据包中的净荷(即数据局部)加密，其核心局部是数据流密码机E0，它包括净荷密钥生成器，密钥流生成器，和加/解密模块。由于密钥长度从8比特到128比特不等，信息交互双方必须通过协商确定密钥长度。有几种加密模式可供使用，如果使用了单元密钥或者联合密钥，播送的数据流将不进行加密。点对点的数据流可以加密也可以不加密。如果使用了主密钥，那么有三种可能的模式：加密模式1：不对任何进行加密；加密模式2：播送数据流不加密，点对点数据流用临时密钥Kmaste进行加密；加密模式3：所有数据流均用临时密钥Kmaste进行加密。编辑ppt4、加密算法〔2〕每个应用程序对密钥长度有严格的限制，当应用程序发现协商后得到的密钥长度与程序要求不符，就会废弃协商的密钥长度。这主要是为了防止恶意用户通过协商过程减小应用程序密钥长度，以便对系统造成破坏。

编辑ppt5、认证机制〔1〕两个设备第一次通信时，初始化过程生成一个共用的链路密钥，结对过程要求用户输入16字节(或128位)PIN到两个设备，根据蓝牙技术标准，结对过程如下：根据用户输入的PIN生成一个共用随机数作为初始化密钥，此密钥只用一次，然后即被丢弃。在整个鉴权过程中，始终检查PIN是否与结对设备相符。生成一个普通的128位随机数链路密钥，暂时储存在结对的设备中。只要该链路密钥储存在双方设备中，就不再需要重复结对过程，只需实现鉴权过程。基带连接加密不需要用户的输入，当成功鉴权并检索到当前链路密钥后，链路密钥会为每个通信会话生成一个新的加密密钥，加密密钥长度依据对平安等级而定，一般在8~128比特之间，最大的加密长度受硬件能力的限制。编辑ppt5、认证机制〔2〕为防止非授权用户的攻击，蓝牙标准规定，如果认证失败，蓝牙设备会推迟一段时间重新请求认证，每增加一次认证请求，推迟时间就会增加一倍，直到推迟时间到达最大值。同样认证请求成功后，推迟时间也相应地成倍递减，直到到达最小值。编辑ppt6、蓝牙平安架构〔1〕蓝牙平安架构可以实现对业务的选择性访问，蓝牙平安架构建立在L2CAP层之上，特别是RFCOMM层。其它协议层对蓝牙架构没有什么特别的处理，它们可能有其自身的平安特征。蓝牙平安架构允许协议栈中的协议强化其平安策略，例如，L2CAP在无绳方面强化了蓝牙平安策略，RFCOMM那么是在拨号网络方面强化了蓝牙平安策略，OBEX在文件传输和同步应用方面使用自己的平安策略。蓝牙平安架构提供了一个灵活的平安框架，此框架指出了何时涉及用户的操作，下层协议层需要哪些动作来支持所需的平安检查等。编辑ppt6、蓝牙平安架构〔2〕平安管理器是蓝牙平安架构中最重要的局部，负责存储与业务和设备平安有关的信息，响应来自协议或应用程序的访问要求，连接到应用程序前加强鉴权和加密，初始化或处理来自用户或者外部平安控制实体的输入，在设备级建立信任连接等。编辑ppt7、蓝牙平安技术存在的问题〔1〕〔1〕用户隐私。由于蓝牙设备内的蓝牙地址具有全球唯一性，一旦这个地址与某用户相关联，他的行动都可以被记录，所以隐私就得不到保障。〔2〕PIN问题。为了初始化一个平安连接，两个蓝牙设备必须输入相同的PIN码。PIN是唯一的可信的用于生成密钥的数据，链路密钥和加密密钥都与它有关。用户有可能将其存在设备上，或者输入过于简单，所以PIN易受到攻击，解决的方法是使用较长的PIN，或者使用密钥变更系统。〔3〕链路密钥。鉴权和加密都是基于双方共享的链路密钥，这样，某一设备很可能利用早就得到链路密钥以及一个伪蓝牙地址计算出加密密钥，从而监听数据流。虽然这种攻击需要花一些功夫，但贝尔实验室已证实了其可能性。编辑ppt7、蓝牙平安技术存在的问题〔2〕蓝牙技术把众多的移动设备连接成网络，有着广阔的应用前景。它的底层协议栈是其技术的核心，一个个诱人的产品技术标准就建筑在这些底层标准上，而这些都需要平安机制的保证。随着蓝牙技术的逐步成功，它将扩展为更高的无线通信标准，使蓝牙技术具有蓬勃的生命力。编辑ppt六、IEEE802.11的平安机制1、WEP2、认证过程3、加解密过程4、平安性能编辑ppt1、WEP有线等价协议WEP〔WiredEquivalentPrivacy〕是在IEEE802.11标准中采用的信息保密机制，它主要用于保障无线局域网络中链路层信息数据的保密。WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法。WEP的目标就是为无线局域网数据提供与有线网络相同级别的平安保护。WEP设计目标中包括：〔1〕为无线局域网提供与有线网络相同级别的平安保护，保证无线通信信号的平安性〔保密性和完整性〕；〔2〕防止对无线网络的非授权访问〔通过对密钥的保护，使没有密钥的非授权者无法访问网络〕。编辑ppt2、认证过程〔1〕认证是对网络发送端和接收端能力的限制。在IEEE802.11中采用了两种认证模式：开放系统认证和共享密钥认证。无论哪一种认证方式都是设备接入IEEE802.11无线局域网的第一步。认证的方法必须设置在每一个客户端上，并且必须与客户端进行联系的接入点相匹配。编辑ppt2、认证过程〔2〕〔1〕开放系统认证模式：是IEEE802.11WEP中默认的认证协议。正像它的名称一样，开放系统认证协议对任何提出认证的用户提供认证。整个认证过程是透明、开放的，即使提交的WEP密钥