




已阅读5页,还剩46页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第5章物联网网络层安全 2020 2 12 2 49 学习目标 本章介绍物联网网络层面临的安全威胁和安全需求 实现物联网网络层安全保护的机制 网络层安全概述近距离无线接入 WLAN 安全远距离无线接入 3G 4G 安全物联网核心网安全 2020 2 12 3 49 课前回顾 5 1物联网网络层安全概述5 2WLAN安全5 2 1WLAN安全概述5 2 2有线等同保密协议WEP 2020 2 12 4 49 本节课学习内容 5 2WLAN安全5 2 3健壮网络安全RSN5 2 4WLAN鉴别与保密基础结构WAPI5 33G 4G安全 2020 2 12 5 49 5 2 2有线等同保密协议WEP WEP数据帧加密封装 2020 2 12 6 49 5 2 2有线等同保密协议WEP WEP数据帧解密与校验 2020 2 12 7 49 5 2 2有线等同保密协议WEP WEP的安全性RC4密码作为一种流密码 其安全程度取决于密钥流的随机程度 流密码密钥流的随机程度并不高 因此在安全上存在一定的风险 弱IV与密钥的特定字节有着潜在的联系 每个弱IV都会泄露密钥信息 7 2020 2 12 8 如何基于公钥密码及成熟安全机制实现WLAN安全需求 8 2020 2 12 9 49 5 2 3健壮网络安全RSN WLAN安全标准的发展EAP ExtensibleAuthenticationProtocolTKIP TemporaryKeyIntegrityProtocolCCMP Counter mode CBCMACProtocol WEP WiredEquivalentPrivacy 802 11b 1999RC4 WPA Wi FiProtectedAccess WiFi 802 1X EAP TKIP RSN RobustSecurityNetwork IEEE802 11i 2004802 1X EAP CCMP TKIP AES WAPI WLANAuthenticationandPrivacyInfrastructure GB15629 11 2003 2003 2020 2 12 10 49 5 2 3健壮网络安全RSN WEPv2 WPA Wi FiProtectedAccess无线保护接入WPA 基于预共享密钥认证对等实体 并从预共享密钥生成一个128比特加密密钥和另一个不同的64比特消息认证密钥 后者用于计算消息完整性验证码 WPA可选采用IEEE802 1X和扩展认证协议EAP对每一次关联实现更强的认证 并协商生成一个新鲜的共享密钥 2020 2 12 11 49 5 2 3健壮网络安全RSN 无线保护接入WPAWPA采用临时密钥完整性协议TKIP实现数据保密性和完整性保护 仍使用RC4算法加密数据 但包括一个密钥混合函数和一个扩展的初始向量空间 用于构造非关联且新鲜的每包密钥 2020 2 12 12 49 5 2 3健壮网络安全RSN RSN RobustSecurityNetworkIEEE于2004年推出了802 11的安全补充标准802 11i 定义了全新的WLAN安全基础架构 健壮安全网络RSN 在2007版IEEE802 11标准中补充更新了WLAN安全架构 标准中保留了向前兼容的WEP 以及TKIP认证与保密通信方式 并定义了健壮安全网络关联RSNA 2020 2 12 13 49 5 2 3健壮网络安全RSN 1 RSNA建立方法1 基于IEEE802 1X建立RSNA 实现认证与密钥管理 2020 2 12 14 49 5 2 3健壮网络安全RSN 1 RSNA建立方法2 基于预共享密钥PSK Pre SharedKey 建立RSNA 实现认证和密钥管理 基本过程与方法1一致 不同之处是不需要密钥协商 直接使用预共享密钥PSK作为初始主密钥PMK 2020 2 12 15 49 5 2 3健壮网络安全RSN 2 认证RSNA无线网络安全协议栈 802 1X EAPoL 2020 2 12 16 49 5 2 3健壮网络安全RSN 1 IEEE802 1X一种基于端口的网络接入控制协议 提供一种对入网设备的认证机制 定义了在IEEE802网络上封装扩展认证协议EAP 即EAPoL协议 并支持WLAN 包括3个部分 请求者 STA 认证者 AP等 和认证服务器 在认证通过之前 802 1X只允许EAPoL数据帧通过AP 交换机的设备端口 二层协议 无需高层支持 适合WLAN认证与接入控制 2020 2 12 17 49 5 2 3健壮网络安全RSN 1 IEEE802 1X工作原理 2020 2 12 18 49 5 2 3健壮网络安全RSN 2 扩展认证协议EAP扩展认证协议EAP是一种认证框架 由RFC3748定义 支持多种认证方法 如EAP MD5 EAP TLS EAP IKEv2等 通过使用具体的EAP方法协商产生密钥及传递参数 EAP TLS即为一种具体的认证方法 在RFC5216中定义 它使用强安全认证协议TLS 采用EAP框架交换协议消息 使用PKI实现基于公钥证书的请求者与认证者双向认证 2020 2 12 19 49 5 2 3健壮网络安全RSN 3 RSAN认证过程 2020 2 12 20 49 5 2 3健壮网络安全RSN AP从STA接收到的所有EAP帧被从EAPoL格式解封并转化为标准EAP帧 由高层负责针对AS认证协议重新封装 如对于使用RADIUS的认证服务器AS按RADIUS协议格式封装 转发给AS 反之亦然 通常AP与RADIUS服务器拥有共享密钥 用于加密保护AP与AS之间交换认证消息 通过EAP TLS方法完成STA与AS之间认证 在STA与AS之间协商产生共享主密钥PMK PairwiseMasterKey AS将PMK通过加密的EAPSuccess消息安全地传递给AP 此时 完成了STA与AP 通过AS 之间相互认证 并拥有共享密钥PMK 2020 2 12 21 49 5 2 3健壮网络安全RSN 3 密钥管理协议RSNA采用4次握手协议在STA与AP之间协商产生和更新共享临时密钥 以及密钥使用方法 2020 2 12 22 49 5 2 3健壮网络安全RSN 四次握手协议实现STA与AP之间基于PMK交换产生会话密钥PTK PairwiseTransientKey 通过四次握手协议 使得双方确认对方正确持有PMK 并通过交换随机数 产生共享的会话密钥PTK 消息2 3 4都使用了消息完整性码MIC保护消息 计算MIC使用从PTK中导出的密钥确认密钥KCK 2020 2 12 23 49 5 2 3健壮网络安全RSN 会话密钥PTK基于伪随机函数 使用STA与AP交换的随机数SNonce ANonce 以及网络地址计算得出 并分解为三个子密钥 密钥确认密钥KCK KeyConfirmationKey 128比特 用于计算MIC等 密钥加密密钥KEK KeyEncryptionKey 128比特 用于加密其他密钥 如加密组密钥GTK进行组密钥分发 临时密钥TK TemporalKey 使用CCMP时长度为128比特 使用TKIP时长度为256比特 用于数据保密 2020 2 12 24 49 5 2 3健壮网络安全RSN 组密钥GTK GroupTransientKey 使用两次握手协议分发AP使用KEK加密GTK 分发给合法的STA STA验证消息完整性后本地安装GTK 并返回一个确认消息 AP周期性调用4次握手协议或两次握手组密钥分发协议 重新协商会话密钥PTK或分组组密钥GTK 2020 2 12 25 49 5 2 3健壮网络安全RSN 4 RSNA数据保密协议STA与AP完成认证后 使用数据保密协议保护802 11数据帧 802 11定义了两类数据保密和完整性协议TKIP TemporalKeyIntegrityProtocolCCMP CountermodewithCipher blockchainingMessageauthenticationcodeProtocol CCMP核心加密算法采用128比特密钥长度和128比特分组长度的AES算法 提供了数据保密 认证和完整性保护 以及重放保护 CCMP保护MAC协议数据单元MPDU的数据域部分和802 11帧头部 2020 2 12 26 我国自主知识产权的WLAN安全机制 26 2020 2 12 27 49 5 2 4WLAN鉴别与保密基础结构WAPI 中国的WLAN国家标准 强制实施 GB15629 11 2003 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问控制和物理层规范 GB15629 1102 2003 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问 MAC 和物理 PHY 层规范 2 4GHz频段较高速物理层扩展规范 GB15629 11 2003 XG1 2006 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问控制和物理层规范第1号修改单 2020 2 12 28 49 5 2 4WLAN鉴别与保密基础结构WAPI 中国的WLAN国家标准 强制实施 GB15629 1101 2006 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问控制和物理层规范 5 8GHz频段高速物理层扩展规范 GB T15629 1103 2006 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问控制和物理层规范 附加管理域操作规范 GB15629 1104 2006 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分 无线局域网媒体访问控制和物理层规范 2 4GHz频段更高数据速率扩展规范 2020 2 12 29 49 5 2 4WLAN鉴别与保密基础结构WAPI GB15629 11中定义了WLAN鉴别与保密基础结构WAPI 包括两个部分 WLAN鉴别基础结构WAI WLANAuthenticationInfrastructure WLAN保密基础结构WPI WLANPrivacyInfrastructure WAPI使用椭圆曲线ECC公钥密码算法 以及国家密码办指定的商用对称密码算法 分别实现对WLAN实体的鉴别和传输数据加密保护 2020 2 12 30 49 5 2 4WLAN鉴别与保密基础结构WAPI WAI采用公钥密码体制 重新定义了数字证书结构实现实体身份与公钥的绑定 实现实体间认证和密钥协商 且证书格式与X 509不兼容 WAI鉴别与密钥协商过程 5 33G安全机制 3G基本概念3G标准3G安全体系结构3G安全问题范畴3G系统的防范策略3G UMTS 认证与密钥协商协议3G系统安全特性优缺点 3G概念 第三代移动通信技术 3G 是指支持高速数据传输的移动通信技术 3G服务能够同时传送声音及数据信息 电子邮件 即时通信等 3G的代表特征是提供高速数据业务 速率一般在几百kb s以上 3G标准 TD SCDMA 3G标准 W CDMA CDMA2000 WiMAX WiMAX的全名是微波存取全球互 WorldwideInteroperabilityforMicrowaveAccess 又称为802 16无线城域网 全称为TimeDivision SynchronousCDMA 时分同步CDMA 该标准是由中国大陆独自制定的3G标准 CDMA2000是由窄带CDMA CDMAIS95 技术发展而来的宽带CDMA技术 也称为CDMAMulti Carrier 全称为WidebandCDMA 也称为CDMADirectSpread 意为宽频码分多址复用 这是基于GSM网发展出来的3G技术规范 3G安全体系结构 3G系统是在2G系统基础上发展起来的 它继承了2G系统的安全优点 摒弃了2G系统存在的安全缺陷 同时针对3G系统的新特性 定义了更加完善的安全特征与安全服务 3GPP将3G网络划分成3层 应用层 归属层 服务层 传输层 3G安全问题范畴 3G安全问题范畴 网络接入安全 网络域安全 用户域安全 应用域安全 安全特性的可视性及可配置能力 3G安全问题范畴 1 网络接入安全 提供安全接入服务网的认证接入机制并抵御对无线链路的窃听篡改等攻击 这一部分的功能包括用户身份保密 认证和密钥分配 数据加密和完整性等 其中认证是基于共享对称密钥信息的双向认证 密钥分配和认证一起完成 AKA 2 网络域安全 保证网内信令的安全传送并抵御对有线网络及核心网部分的攻击 网络域安全分为3个层次 密钥建立 密钥分配 安全通信 3G安全问题范畴 3 用户域安全 用户服务识别模块是一个运行在可更换的智能卡上的应用程序 用户域安全机制用于保护用户与用户服务识别模块之间 以及用户服务识别模块与终端之间的连接 包括两部分 用户到用户服务身份模块 USIM 的认证 USIM到终端的连接 4 应用域安全 用户域与服务提供商的应用程序间能安全地交换信息 USIM应用程序为操作员或第三方运营提供商提供了创建驻留应用程序的能力 需要确保通过网络向USIM应用程序传输信息的安全性 其安全级别可由网络操作员或应用程序提供商根据需要选择 3G安全问题范畴 5 安全特性的可视性及可配置能力 安全特性的可视性指用户能获知安全特性是否正在使用 服务提供商提供的服务是否需要以安全服务为基础 确保安全功能对用户来说是可见的 这样用户就可以知道自己当前的通信是否已被安全保护 受保护的程度是多少 3G系统的防范策略 一 实体认证 3G系统完成了网络与用户之间的双向认证 3G系统增加了数据完整性 以防纂改信息等主动攻击 认证令牌AUTN中包括序列号SQN 保证认证最新性 二 身份保密 使用临时身份TMSI 使用加密的永久身份IMSI 3G系统的防范策略 三 数据保密在无线接入链路上仍然采用分组密码流对原始数据加密 采用了f8算法 它有5个输入 3G UMTS 认证与密钥协商协议 UMTS提供的接入安全是GSM相关安全特性的超集 它相对于GSM的新安全特性是用于解决GSM中潜在的安全缺陷 UMTS的安全架构解决了GSM安全问题 3G UMTS 认证与密钥协商协议 函数f1 f2 f3 f4和f5为UMTS标准中定义的单向函数 PRNG是伪随机数生成器 UMTS中的认证向量及AUTN令牌的构成 3G UMTS 认证与密钥协商协议 3G认证与密钥协商协议 3GAKA 中参与认证和密钥协商的主体有用户终端 ME USIM 被访问网络 VisitorLocationRegister ServicingGPRSSupportNode VLR SGSN 和归属网络 HomeEnvironment HomeLocationRegister HE HLR 在3GAKA协议中 通过用户认证应答 RES 实现VLR对ME的认证 通过消息鉴别码 MAC 实现ME对HLR的认证 以及实现了ME与VLR之间的密钥分配 同时每次使用的消息鉴别码MAC是由不断递增的序列号 SQN 作为其输入变量之一 保证了认证消息的新鲜性 从而确保了密钥的新鲜性 有效的防止了重放攻击 3G UMTS 认证与密钥协商协议 3G认证和密钥协商 AKA 过程 3G UMTS 认证与密钥协商协议 3G认证和密钥协商过程如下 移动终端 ME USIM 向网络发出呼叫接入请求 把身份标识 IMSI 发给VLR VLR收到该注册请求后 向用户的HLR发送该用户的IMSI 请求对该用户进行认证 HLR收到VLR的认证请求后 生成序列号SQN和随机数RAND 计算认证向量AV发送给VLR 其中 AV RAND XRES CK IK AUTN 如何计算AV各字
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 正确利用发言稿
- 全院性护理课件
- 2025年市政公共设施管理服务项目立项申请报告
- 光电操作师专业知识培训课件
- 光影的秘密课件
- 《计算机应用基础教程1》课件第2章
- 光学实验现象课件
- 信用村发言稿
- 2024年南宁市上林县招聘中学教师真题
- 安康中学高新分校招聘教师笔试真题2024
- GB/T 16657.2-1996工业控制系统用现场总线第2部分:物理层规范和服务定义
- 《人类行为与社会环境》课件
- 头位难产识别和处理
- (完整版)文献调研报告模板
- 《透视灵魂看人生》-曾仕强
- 三级口腔专科医院基本标准
- 煤矸石加工科研报告
- 中国水务行业蓝皮书
- 市政基础设施工程施工现场安全风险点清单
- 汽车金融服务复习题
- 统计过程控制
评论
0/150
提交评论