物联网网络层安全培训教材课件.ppt
《物联网网络层安全培训教材课件.ppt》由会员分享,可在线阅读,更多相关《物联网网络层安全培训教材课件.ppt(52页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第第5章章 物联网网络层安全物联网网络层安全学习目标学习目标本本章章介介绍绍物物联联网网网网络络层层面面临临的的安安全全威威胁胁和和安安全全需求,实现物联网网络层安全保护的机制。需求,实现物联网网络层安全保护的机制。网络层安全概述网络层安全概述网络层安全概述网络层安全概述近距离无线接入(近距离无线接入(近距离无线接入(近距离无线接入(WLANWLAN)安全)安全)安全)安全远距离无线接入(远距离无线接入(远距离无线接入(远距离无线接入(3G3G,4G4G)安全)安全)安全)安全物联网核心网安全物联网核心网安全物联网核心网安全物联网核心网安全2023/2/122课前回顾课前回顾5.1 物联网网络
2、层安全概述物联网网络层安全概述5.2 WLAN安全安全 5.2.1WLAN安全概述安全概述 5.2.2有线等同保密协议有线等同保密协议WEP2023/2/123本节课学习内容本节课学习内容5.2 WLAN安全安全 5.2.3健壮网络安全健壮网络安全RSN 5.2.4 WLAN鉴别与保密基础结构鉴别与保密基础结构WAPI5.3 3G/4G安全安全2023/2/1245.2.2 有线等同保密协议有线等同保密协议WEPnWEP数据帧加密封装数据帧加密封装2023/2/1255.2.2 有线等同保密协议有线等同保密协议WEPnWEP数据帧解密与校验数据帧解密与校验2023/2/1265.2.2 有线等
3、同保密协议有线等同保密协议WEPnWEP的安全性的安全性qqRC4RC4密密密密码码码码作作作作为为为为一一一一种种种种流流流流密密密密码码码码,其其其其安安安安全全全全程程程程度度度度取取取取决决决决于于于于密密密密钥钥钥钥流流流流的的的的随随随随机机机机程程程程度度度度。流流流流密密密密码码码码密密密密钥钥钥钥流流流流的的的的随随随随机机机机程程程程度度度度并并并并不不不不高高高高,因因因因此此此此在在在在安安安安全全全全上上上上存在一定的风险。存在一定的风险。存在一定的风险。存在一定的风险。qq弱弱弱弱IVIV与与与与密密密密钥钥钥钥的的的的特特特特定定定定字字字字节节节节有有有有着着着
4、着潜潜潜潜在在在在的的的的联联联联系系系系,每每每每个个个个弱弱弱弱IVIV都都都都会会会会泄露密泄露密泄露密泄露密钥信息。钥信息。钥信息。钥信息。72023/2/127如何基于公钥密码及成熟安全机制实现WLAN安全需求?82023/2/1285.2.3 健壮网络安全健壮网络安全RSN n nWLANWLAN安全标准的发展安全标准的发展安全标准的发展安全标准的发展qqE EAP:Extensible Authentication ProtocolAP:Extensible Authentication ProtocolqqT TKIP:Temporary Key Integrity Proto
5、colKIP:Temporary Key Integrity ProtocolqqC CCMP:Counter-mode/CBC MAC ProtocolCMP:Counter-mode/CBC MAC ProtocolWEP(Wired Equivalent Privacy)802.11b,1999RC4WPA(Wi-Fi Protected Access)WiFi,802.1X,EAP,TKIP RSN(Robust Security Network)IEEE 802.11i,2004 802.1X,EAP,CCMP,TKIP,AES WAPI(WLAN Authentication an
6、d Privacy Infrastructure)GB 15629.11-2003,2003 2023/2/1295.2.3 健壮网络安全健壮网络安全RSNnWEP v2WPA:Wi-Fi Protected Accessqq无无无无线线线线保保保保护护护护接接接接入入入入WPAWPA,基基基基于于于于预预预预共共共共享享享享密密密密钥钥钥钥认认认认证证证证对对对对等等等等实实实实体体体体,并并并并从从从从预预预预共共共共享享享享密密密密钥钥钥钥生生生生成成成成一一一一个个个个128128比比比比特特特特加加加加密密密密密密密密钥钥钥钥和和和和另另另另一一一一个个个个不不不不同同同同的的的的6
7、464比特消息认证密钥比特消息认证密钥比特消息认证密钥比特消息认证密钥,后者用于计算消息完整性验证码。,后者用于计算消息完整性验证码。,后者用于计算消息完整性验证码。,后者用于计算消息完整性验证码。qqWPAWPA可可可可选选选选采采采采用用用用IEEE IEEE 802.1X 802.1X 和和和和扩扩扩扩展展展展认认认认证证证证协协协协议议议议EAP EAP 对对对对每每每每一一一一次次次次关关关关联联联联实实实实现现现现更更更更强强强强的的的的认认认认证证证证,并并并并协协协协商商商商生生生生成成成成一一一一个个个个新新新新鲜鲜鲜鲜的的的的共共共共享享享享密密密密钥。钥。钥。钥。2023
8、/2/12105.2.3 健壮网络安全健壮网络安全RSNn无线保护接入无线保护接入WPAqqWPAWPA采采采采用用用用临临临临时时时时密密密密钥钥钥钥完完完完整整整整性性性性协协协协议议议议TKIPTKIP实实实实现现现现数数数数据据据据保保保保密密密密性性性性和和和和完完完完整整整整性性性性保保保保护护护护,仍仍仍仍使使使使用用用用RC4RC4算算算算法法法法加加加加密密密密数数数数据据据据,但但但但包包包包括括括括一一一一个个个个密密密密钥钥钥钥混混混混合合合合函函函函数数数数和和和和一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。一个扩展的初始向量空间,用于构造非关联且新鲜的每
9、包密钥。一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。2023/2/12115.2.3 健壮网络安全健壮网络安全RSNnRSN:Robust Security NetworkqqIEEEIEEE于于于于20042004年年年年推推推推出出出出了了了了802.11802.11的的的的安安安安全全全全补补补补充充充充标标标标准准准准802.11i802.11i,定义了全新的定义了全新的定义了全新的定义了全新的WLANWLAN安全基础架构安全基础架构安全基础架构安全基础架构:健壮安全网络健壮安全网络健壮安全网络健壮安全网络RSNRSN
10、。qq在在在在20072007版版版版IEEE IEEE 802.11802.11标标标标准准准准中中中中补补补补充充充充更更更更新新新新了了了了WLANWLAN安安安安全全全全架架架架构构构构,标标标标准准准准中中中中保保保保留留留留了了了了向向向向前前前前兼兼兼兼容容容容的的的的WEPWEP、以以以以及及及及TKIPTKIP认认认认证证证证与与与与保保保保密通信方式,并定义了密通信方式,并定义了密通信方式,并定义了密通信方式,并定义了健壮安全网络关联健壮安全网络关联健壮安全网络关联健壮安全网络关联RSNARSNA。2023/2/12125.2.3 健壮网络安全健壮网络安全RSN1RSNA建
11、立建立n方方法法1:基基于于IEEE802.1X建建立立RSNA,实实现现认认证证与与密密钥钥管管理。理。2023/2/12135.2.3 健壮网络安全健壮网络安全RSN1RSNA建立建立n方方法法2:基基于于预预共共享享密密钥钥PSK(Pre-Shared Key)建建立立RSNA,实现认证和密钥管理。,实现认证和密钥管理。qq基基基基本本本本过过过过程程程程与与与与方方方方法法法法1 1一一一一致致致致,不不不不同同同同之之之之处处处处是是是是不不不不需需需需要要要要密密密密钥钥钥钥协协协协商商商商,直直直直接接接接使使使使用用用用预共享密钥预共享密钥预共享密钥预共享密钥PSKPSK作为初
12、始主密钥作为初始主密钥作为初始主密钥作为初始主密钥PMKPMK。2023/2/12145.2.3 健壮网络安全健壮网络安全RSN2认证认证nRSNA无线网络安全协议栈无线网络安全协议栈802.1X(EAPoL)2023/2/12155.2.3 健壮网络安全健壮网络安全RSN(1)IEEE 802.1Xn一一种种基基于于端端口口的的网网络络接接入入控控制制协协议议,提提供供一一种种对对入入网网设设备备的的认证机制。认证机制。n定定义义了了在在IEEE802网网络络上上封封装装扩扩展展认认证证协协议议EAP,即即EAPoL协议,并支持协议,并支持WLAN。n包括包括3个部分:请求者个部分:请求者(
13、STA),认证者,认证者(AP等等)和认证服务器。和认证服务器。n在在认认证证通通过过之之前前,802.1X只只允允许许EAPoL数数据据帧帧通通过过AP/交交换机的设备端口。换机的设备端口。n二层协议,无需高层支持,适合二层协议,无需高层支持,适合WLAN认证与接入控制。认证与接入控制。2023/2/12165.2.3 健壮网络安全健壮网络安全RSN(1)IEEE 802.1Xn工作原理工作原理2023/2/12175.2.3 健壮网络安全健壮网络安全RSN(2)扩展认证协议扩展认证协议EAPn扩展认证协议扩展认证协议EAP是一种认证框架,是一种认证框架,由由RFC 3748定义定义。n支支
14、持持多多种种认认证证方方法法,如如EAP-MD5、EAP-TLS、EAP-IKE v2等。通过使用具体的等。通过使用具体的EAP方法协商产生密钥及传递参数。方法协商产生密钥及传递参数。nEAP-TLS即即为为一一种种具具体体的的认认证证方方法法,在在RFC 5216中中定定义义,它它使使用用强强安安全全认认证证协协议议TLS,采采用用EAP框框架架交交换换协协议议消消息息,使用使用PKI实现基于公钥证书的请求者与认证者双向认证。实现基于公钥证书的请求者与认证者双向认证。2023/2/12185.2.3 健壮网络安全健壮网络安全RSN(3)RSAN认证过程认证过程2023/2/12195.2.3
15、 健壮网络安全健壮网络安全RSNnAP从从STA接接收收到到的的所所有有EAP帧帧被被从从EAPoL格格式式解解封封并并转转化化为为标标准准EAP帧帧,由由高高层层负负责责针针对对AS认认证证协协议议重重新新封封装装,如如对对于于使使用用RADIUS的的认认证证服服务务器器AS按按RADIUS协协议议格格式式封封装装,转转发发给给AS。反之亦然反之亦然。n通通常常AP与与RADIUS服服务务器器拥拥有有共共享享密密钥钥,用用于于加加密密保保护护AP与与AS之间交换认证消息。之间交换认证消息。n通通过过EAP-TLS方方法法完完成成STA与与AS之之间间认认证证,在在STA与与AS之之间间协协商
16、商产产生生共共享享主主密密钥钥PMK(Pairwise Master Key)。AS将将PMK通通过过加加密密的的EAP Success消消息息安安全全地地传传递递给给AP,此此时时,完完成成了了STA与与AP(通过通过AS)之间相互认证,并拥有共享密钥之间相互认证,并拥有共享密钥PMK。2023/2/12205.2.3 健壮网络安全健壮网络安全RSN3.密钥管理协议密钥管理协议nRSNA采采用用4次次握握手手协协议议在在STA与与AP之之间间协协商商产产生生和和更更新新共共享临时密钥,以及密钥使用方法。享临时密钥,以及密钥使用方法。计算计算PTK计算计算PTK2023/2/12215.2.3
17、 健壮网络安全健壮网络安全RSNn四四次次握握手手协协议议实实现现STA与与AP之之间间基基于于PMK交交换换产产生生会会话话密密钥钥PTK(Pairwise Transient Key)。n通通过过四四次次握握手手协协议议,使使得得双双方方确确认认对对方方正正确确持持有有PMK,并并通通过交换随机数,产生共享的会话密钥过交换随机数,产生共享的会话密钥PTK。n消消息息2、3、4都都使使用用了了消消息息完完整整性性码码MIC保保护护消消息息。计计算算MIC使用从使用从PTK中导出的密钥确认密钥中导出的密钥确认密钥KCK。2023/2/12225.2.3 健壮网络安全健壮网络安全RSNn会话密钥
18、会话密钥PTKqq基基基基于于于于伪伪伪伪随随随随机机机机函函函函数数数数,使使使使用用用用STASTA与与与与APAP交交交交换换换换的的的的随随随随机机机机数数数数SNonceSNonce、ANonceANonce,以及网络地址计算,以及网络地址计算,以及网络地址计算,以及网络地址计算得出得出得出得出,并分解为三个,并分解为三个,并分解为三个,并分解为三个子子子子密钥:密钥:密钥:密钥:mm密密密密钥钥钥钥确确确确认认认认密密密密钥钥钥钥KCKKCK(Key Key Confirmation Confirmation KeyKey):128128比比比比特特特特,用于用于用于用于计算计算计
19、算计算MICMIC等。等。等。等。mm密密密密钥钥钥钥加加加加密密密密密密密密钥钥钥钥KEKKEK(Key Key Encryption Encryption KeyKey):128128比比比比特特特特,用于加密其他密钥,如加密组密钥用于加密其他密钥,如加密组密钥用于加密其他密钥,如加密组密钥用于加密其他密钥,如加密组密钥G GTKTK进行组密钥分发。进行组密钥分发。进行组密钥分发。进行组密钥分发。mm临临临临时时时时密密密密钥钥钥钥TKTK(Temporal Temporal KeyKey):使使使使用用用用CCMPCCMP时时时时长长长长度度度度为为为为128128比特,使用比特,使用比
20、特,使用比特,使用TKIPTKIP时长度为时长度为时长度为时长度为256256比特,用于数据保密。比特,用于数据保密。比特,用于数据保密。比特,用于数据保密。2023/2/12235.2.3 健壮网络安全健壮网络安全RSNn组密钥组密钥GTK(Group Transient Key)qq使用两次握手协议分发使用两次握手协议分发使用两次握手协议分发使用两次握手协议分发qqAPAP使用使用使用使用KEKKEK加密加密加密加密GTKGTK,分发给合法的,分发给合法的,分发给合法的,分发给合法的STASTA。qqSTASTA验验验验证证证证消消消消息息息息完完完完整整整整性性性性后后后后本本本本地地地
21、地安安安安装装装装GTKGTK,并并并并返返返返回回回回一一一一个个个个确确确确认认认认消消消消息。息。息。息。nAP周周期期性性调调用用4次次握握手手协协议议或或两两次次握握手手组组密密钥钥分分发发协协议议,重重新协商会话密钥新协商会话密钥PTK或分组组密钥或分组组密钥GTK。2023/2/12245.2.3 健壮网络安全健壮网络安全RSN4.RSNA数据保密协议数据保密协议nSTA与与AP完成认证后,使用数据保密协议保护完成认证后,使用数据保密协议保护802.11数据帧。数据帧。n802.11定义定义了了两类数据保密和完整性协议两类数据保密和完整性协议qqTKIP:Temporal Key
22、 Integrity ProtocolTKIP:Temporal Key Integrity ProtocolqqCCMPCCMP:Counter Counter mode mode with with Cipher-block Cipher-block chaining chaining Message Message authentication code Protocolauthentication code Protocol。qqCCMPCCMP核核核核心心心心加加加加密密密密算算算算法法法法采采采采用用用用128128比比比比特特特特密密密密钥钥钥钥长长长长度度度度和和和和12812
23、8比比比比特特特特分分分分组组组组长长长长度度度度的的的的AESAES算算算算法法法法,提提提提供供供供了了了了数数数数据据据据保保保保密密密密、认认认认证证证证和和和和完完完完整整整整性性性性保保保保护护护护,以以以以及及及及重重重重放放放放保保保保护护护护,CCMPCCMP保保保保护护护护MACMAC协协协协议议议议数数数数据据据据单单单单元元元元MPDUMPDU的的的的数数数数据据据据域域域域部部部部分分分分和和和和802.11802.11帧头部帧头部帧头部帧头部。2023/2/1225我国自主知识产权的WLAN安全机制262023/2/12265.2.4 WLAN鉴别与保密基础结构鉴别
24、与保密基础结构WAPIn中国的中国的WLAN国家标准(强制实施)国家标准(强制实施)qqGB15629.11-2003GB15629.11-2003信信信信息息息息技技技技术术术术系系系系统统统统间间间间远远远远程程程程通通通通信信信信和和和和信信信信息息息息交交交交换换换换局局局局域域域域网网网网和和和和城城城城域域域域网网网网 特特特特定定定定要要要要求求求求第第第第1111部部部部分分分分:无无无无线线线线局局局局域域域域网网网网媒媒媒媒体体体体访访访访问问问问控控控控制制制制和和和和物物物物理理理理层规范层规范层规范层规范 qqGB15629.1102-2003GB15629.1102
25、-2003信信信信息息息息技技技技术术术术 系系系系统统统统间间间间远远远远程程程程通通通通信信信信和和和和信信信信息息息息交交交交换换换换 局局局局域域域域网网网网和和和和城城城城域域域域网网网网特特特特定定定定要要要要求求求求 第第第第1111部部部部分分分分:无无无无线线线线局局局局域域域域网网网网媒媒媒媒体体体体访访访访问问问问(MAC)(MAC)和物理和物理和物理和物理(PHY)(PHY)层规范:层规范:层规范:层规范:2.4GHz2.4GHz频段较高速物理层扩展规范频段较高速物理层扩展规范频段较高速物理层扩展规范频段较高速物理层扩展规范qqGB GB 15629.11-2003/X
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联网 网络 安全 培训教材 课件
限制150内