物联网信息安全 课件 第5章 无线网络安全、卫星通信接入安全

11.WiFi安全技术2.3G安全技术3.ZigBee安全技术4.蓝牙安全技术本章内容无线网络安全计算机学院

2无线网络安全基本要求掌握基本的WIFI安全技术掌握基本的3G安全技术掌握基本的ZigBee安全技术掌握基本的蓝牙安全技术1.WiFi安全技术WiFi技术概述概念无线保真Wi-Fi（WirelessFidelity）技术是一种将PC机、笔记本、移动手持设备（如PDA、手机）等终端以无线方式互相连接的短距离无线电通信技术，由Wi-Fi联盟于1999发布协议标准Wi-Fi使用IEEE802.11系列协议IEEE802.11a/b/g/i/n1.WiFi安全技术WiFi技术概述特点覆盖范围广传输速度快建网成本低，使用便捷更健康、更安全组网技术AdHoc模式接入点模式1.WiFi安全技术WiFi安全技术物理层安全抗干扰抗衰落抗多径干扰抗窃听性数据链路层安全有线等价保密协议WEP1.WiFi安全技术WiFi安全技术网络层安全服务配置标识符（ServiceSetupIdentifier，SSID）身份认证（Authentication）虚拟专用网（VirtualPrivateNetwork，VPN）1.WiFi安全技术WiFi安全技术WEP安全机制有线等价保密协议WEP是IEEE802.11协议1999年版中所规定的，用于IEEE802.11的认证和加密中，用来保护无线通信信息WEP为无线通信提供了数据机密性,访问控制和数据完整性三个方面的安全保护1.WiFi安全技术WiFi安全技术WEP安全缺陷消息容易被截获易受到弱初始向量攻击易遭受穷举攻击和字典攻击向量空间很小不具备抗恶意攻击所需要的消息认证功能WPA安全技术无线保护访问（WirelessProtectedAccess，WPA）是由Wi-Fi联盟提出的一个无线安全访问保护协议主要解决了WEP中在客户端与缺乏身份认证的访问点之间使用相同静态密钥和网络接入时身份认证方面存在的缺陷1.WiFi安全技术WiFi安全技术WPA2加密技术2004年起草的保护无线通信安全的协议标准，也称为802.11i主要包括802.1X身份验证基于端口的访问控制高级加密标准AES加密模块计数器模式密码块链消息完整码协议CCMP1.WiFi安全技术WiFi安全技术IEEE802.1X认证IEEE802.1x协议是一个可扩展的认证框架，并没有规定具体认证协议IEEE工作组2011年6月公布了802.1x协议IEEE802.1x协议的体系结构1.WiFi安全技术WiFi安全技术WAPI标准2003年我国首次提出WAPI（WirelessLANAuthenticationAndPrivacyInfrastructure）WAPI由无线局域网鉴别基础结构（WAI，WLANAuthenticationInfrastructure）和无线局域网保密基础结构（WPI，WLANPrivacyInfrastructure）两部分组成2.3G安全技术3G安全技术WCDMA由欧洲提出，意为宽频分码多重存取，国内目前由中国联通公司运营CDMA2000由美国高通公司提出，国内现由中国电信公司运营TD-SCDMA由大唐电信于1999年6月向ITU提出，国内由中国移动公司负责运营。2.3G安全技术3G安全技术安全体系结构3G系统安全结构2.3G安全技术3G安全技术安全体系结构网络接入安全网络域安全用户域安全应用域安全安全可视性可配置性2.3G安全技术3G安全技术3G认证和秘钥协商（AuthenticatedKeyAgreement，AKA）协议3G认证和密钥协商协议3.ZigBee安全技术ZigBee安全技术ZigBee技术是一种短距离双向无线通信技术ZigBee技术的主要特征功耗低成本低较小传输范围时延短网络容量大数据传输时的可靠性高安全性好3.ZigBee安全技术ZigBee安全技术ZigBee协议标准ZigBee协议栈体系结构3.ZigBee安全技术ZigBee安全技术安全架构Zigbee安全体系结构安全密钥网络层安全应用层安全3.ZigBee安全技术ZigBee安全技术ZigBeeMAC安全安全模式无安全模式,访问控制列表和安全模式安全服务访问控制服务,数据加密服务,帧完整性服务,序列号更新服务MAC安全帧格式报头（MHR）、负载和报尾（MFR）安全组件安全方案4.蓝牙安全技术蓝牙安全技术蓝牙（Bluetooth），是一种支持设备短距离通信的无线电技术，能在包括移动电话、PDA、无线耳机、笔记本计算机、相关外设等众多设备之间进行无线信息交换蓝牙协议栈蓝牙协议栈结构4.蓝牙安全技术蓝牙安全体系结构4.蓝牙安全技术蓝牙安全技术蓝牙安全体系结构的关键部分是安全管理器，主要完成如下关键任务：存储和安全性相关的服务和设备信息对各个协议层的访问请求进行应答(同意或拒绝)对应用程序连接请求前的链路进行认证和加密发起并处理设备用户的高层应用程序的安全管理初始化匹配和查询PIN4.蓝牙安全技术蓝牙安全技术蓝牙安全模式非安全模式业务层安全模式建立在L2CAP层以上的安全模式，同时支持各种不同应用程序的安全要求链路层安全模式在LMP连接建立之前要进行认证或者数据加密业务层安全模式和链路层安全模式的本质区别：业务层安全模式的蓝牙设备在信道建立之后才启动安全管理进程，即在较高的协议层次实现链路层安全模式的蓝牙设备在信道建立之前就启用安全管理进程，即在较低的协议层次实现4.蓝牙安全技术蓝牙安全技术射频和基带的安全机制基带部分功能：发送：将来自高层协议的数据进行信道编码，向下传给射频进行发送接收：对射频传来的数据进行数据解码，向高层传输基带安全要素：48位的蓝牙设备地址BD_ADDR128位的蓝牙链路密钥，即认证密钥8~128位不定长加密密钥（对大多数应用程序，64位比较合适）128位的随机数RAND（蓝牙设备自带的随机数生成器）加密密钥是在认证过程中从认证密钥得到的4.蓝牙安全技术蓝牙安全技术链路层的安全机制验证使用质询-响应(Challenge-Response)4.蓝牙安全技术蓝牙安全技术链路层的安全机制加密主设备密钥：只适用于当前会话，它临时代替原始链路密钥主设备希望使用相同的密钥与多个设备连接时，就使用主设备密钥初始化密钥：适用于初始化过程，当组合密钥或单一密钥没有定义或交换，或者当链路密钥已经丢失时使用初始化密钥生成初始化密钥需要3个参数：随机数、L字节的PIN码、蓝牙设备地址4.蓝牙安全技术蓝牙安全技术链路层的安全机制加密4.蓝牙安全技术蓝牙安全技术应用层安全机制蓝牙提供的服务需授权服务：只允许可信任设备访问，或者经过授权的不可信任设备访问需认证服务：要求在使用服务前必须经过认证需加密服务：在使用设备前链路必须改为加密模式蓝牙应用环境

卫星通信接入安全

1.CMMB安全广播简介2.北斗卫星导航系统简介

紧急广播紧急广播是一种移动多媒体系统向公众通告紧急事件的方式。当发生自然灾害、事故灾难、公共卫生和社会安全等突发事件时，造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害，危及公共安全时，移动多媒体广播的紧急广播系统可以提供一种迅速快捷的通告方式。

紧急广播系统结构图

数据广播数据广播是指以点对面的广播方式，传输文本、图像、音频、视频等多媒体信息数据的一种技术方式，通过它可以把海量的信息传送给用户，满足用户的各类信息需求。CMMB的数据广播可以提供财经信息、交通导航、网页广播等多种数据业务。

数据广播系统方案

数据广播流模式直接对数据流进行可扩展协议封装；文件模式先对文件进行分割成文件模式传输包，再进行可扩展协议封装；

数据广播流模式若数据业务以连续数据流的方式展现，通常有时序要求，传输有时间标签指示或数据流内部有同步要求，采用流模式进行处理。流模式处理流程如下图：

数据广播文件模式若数据业务以离散文件的方式展现，通常无时序要求，传输无时间标签指示和同步要求，采用文件模式进行处理。文件模式处理流程如下图：

复用系统复用系统主要完成音频、视频、数据、电子业务指南等信息封装和排列，使其能够在移动多媒体广播信道上传送。紧急广播业务紧急广播业务是CMMB移动多媒体广播系统提供的一项非常重要的业务。紧急广播是一种移动多媒体系统向公众通告紧急事件的方式。当发生自然灾害、事故灾难、公共卫生和社会安全等突发事件时，造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害，危及公共安全时，移动多媒体广播的紧急广播系统可以提供一种迅速快捷的通告方式。紧急广播业务网络拓扑图紧急广播业务系统架构紧急广播业务管理平台北斗卫星导航全球卫星导航系统一、发展历程北斗卫星导航系统﹝BeiDou（COMPASS）NavigationSatelliteSystem﹞是中国正在实施的自主研发、独立运行的全球卫星导航系统,缩写为BDS。截至目前，我国“北斗”卫星导航系统建设的“三步走”规划已成功实现第一、二步。第一步：2000年建成了北斗卫星导航试验系统，使中国成为世界上第三个拥有自主卫星导航系统的国家。第二步：建设北斗卫星导航系统，2012年左右形成覆盖亚太大部分地区的服务能力。第三步：2020年左右，北斗卫星导航系统形成全球覆盖能力。北斗的进展稳步推进2000年10月31日东经140度2000年12月21日东经80度2003年5月25日东经110.5度一、发展历程2007年4月14日MEO卫星2009年4月15日GEO卫星2010年1月17日GEO卫星一、发展历程一、发展历程二、系统组成（1）空间段由5颗GEO（静止轨道）卫星和30颗Non-GEO（非静止轨道）卫星组成

空间星座GEO卫星MEO卫星

系统中的卫星是空间导航站，即在空间的位置基准点，也是通信中继站，它是离地约36000km高的地球静止卫星。由三颗北斗一号卫星组成，两颗卫星分别定点在东经80°、东经140°上空,另一颗在轨备份卫星定点在东经110.5°上空。每颗卫星由有效载荷、电源、测控、姿态和轨道控制、推进、热控、结构等分系统组成。卫星上设置两套转发器，一套构成地面中心到用户的通信链，另一套构成由用户到地面中心的通信链。卫星波束覆盖我国领土和周边地区，主要满足国内导航通信需要。二、系统组成2)地面测控网(1)主控站(计算中心)、测轨站、气压测高站和校准站。主控站设在北京，控制整个系统工作，主要任务有：接收卫星发射的遥测信号；向卫星发送遥控指令，控制卫星的运行、姿态和工作。控制各测轨站的工作，收集它们的测量数据，对卫星进行测轨、定位，结合卫星的动力学、运动学模型，制作卫星星历。实现中心与用户间的双向通信，并测量电波在中心、卫星、用户间往返的传播时间(或距离)。二、系统组成2)地面测控网(2)主控站利用测得的主控站、卫星与用户间电波往返的传播时间、气压高度数据、误差校正数据和卫星星历数据，结合存储在计算中心的系统覆盖区数字地图，对用户进行精确定位。系统中各用户通过与计算中心的通信，间接地实现用户与用户之间的通信。由于主控站集中了系统中全部用户的位置、航迹等信息，可方便地实现对覆盖区内的用户进行识别、监视和控制。二、系统组成2)地面测控网(3)

测轨站设置在位置坐标准确已知的地点，作为对卫星定位的位置基准点，测量卫星和测轨站间电波传播时间(或距离),以多边定位方法确定卫星的空间位置。一般需设置三个或三个以上的测轨站,各测轨站之间应尽可能地拉开距离,以得到较好的几何精度系数。三个测轨站分别设在佳木斯、喀什和湛江。各测轨站将测量数据通过卫星发送至主控站，由主控站进行卫星位置的解算。二、系统组成2)地面测控网(4)

校准站亦分布在系统覆盖区内，其位置坐标应准确已知。校准站的设备及其工作方式与用户机及其工作方式完全相同。由主控站对其进行定位，将主控站解算出的校准站的位置坐标与校准站的实际位置坐标相减，求得差值，由此差值形成用户定位修正值。一个校准站的修正值一般可用来作为其周围100～200km区域内用户的定位修正值。二、系统组成2)地面测控网(5)

测高站设置在系统覆盖区内，用气压式高度计测量测高站所在地区的海拔高度。通常一个测高站测得的数据粗略地代表其周围100～200km地区的海拔高度。海拔高度与该地区大地水准面高度之代数和,即为该地区实际地形离基准椭球面的高度。各测高站将测量的数据通过卫星发送至主控站。一般的测轨站、测高站、校准站均是无人值守自动数据测量、收集中心，在主控站控制下工作。二、系统组成二、系统组成（2）地面段由主控站、主控站(计算中心)、测轨站、气压测高站和校准站。组成。二、系统组成（3）用户段由北斗用户终端以及与美国GPS、俄罗斯GLONASS、欧盟GALILEO等其他卫星导航系统兼容的终端组成北斗系统的用户终端二、系统组成

双星通信导航定位系统采用双星定位体制，系统中用户的点位是利用卫星位置、用户至卫星的斜距以及用户的大地高计算出来的，如何由卫星位置、两条斜距和大地高计算用户的位置就是系统的定位原理问题。三、定位的基本原理双星系统定位原理图三、定位的基本原理

短报文通信：北斗系统用户终端具有双向报文通信功