13无线网络安全课件.pptx
《13无线网络安全课件.pptx》由会员分享,可在线阅读,更多相关《13无线网络安全课件.pptx(60页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、2006第十章 无线网络的安全技术2006计算机网络安全概论计算机网络安全概论2一、无一、无线网网络技技术概述概述 无线网络是在无线设备之间、无线设备与传统无线网络是在无线设备之间、无线设备与传统有线网络(如企业网、因特网)设备之间充当传输有线网络(如企业网、因特网)设备之间充当传输机制的网络。机制的网络。v无线个域网无线个域网 (个域个域)v无线局域网无线局域网 (局域局域)v无线城域网无线城域网 (城域城域)v蜂窝系统蜂窝系统 (广域广域)v卫星通信网络(覆盖全球)卫星通信网络(覆盖全球)20063无线个域网无线个域网(WPAN)u蓝牙(Bluetooth)技术uHomeRFuIrDA20
2、064无线个域网技术无线个域网技术蓝牙蓝牙蓝牙(Bluetooth)IEEE 802.15(WiMedia)-工作在2.4GHZ,使用跳频技术 -中低速率(目前721Kbps,Bluetooth 2.0 12Mbps -支持语音和数据传输 -适合用无线替代电缆的场合 -低价位、低功耗 -短距离(通常100M20066无线个域网技术无线个域网技术IrDAlIrDA(Infrared Data Association)利用红外线进行点对点通信的技术lFIR(Fast Infrared),4Mbps,30度 VFIR,16Mbps,120度lUSB-IrDA设备l体积小、功率低、适合设备移动需要l视
3、距传输技术20067无线城域网无线城域网uIEEE 802.16a (WiMax:World Interoperability for Microwave Access)-数据传输率为70 Mbps -覆盖范围约为50公里 -使用2GHz11GHz频带 -在Wi-Fi AP设备中嵌入IEEE802.16a接口 uIntelIntel和AlcatelAlcatel推出基于WiMAX无线通信技术的产品 uETSI 研究HIPERMAN技术20068WWAN-蜂窝系统蜂窝系统(Cellular Systems)l2G (GSM:Global System for Mobile communicati
4、ons)l2.5G -GPRS(General Packet Radio Service)-CDMA 2000 1x(Code Division Multiple Access)l3G(UMTS:Universal Mobile Telecommunications System)-最大2Mbps -支持IP ITU标准标准:-TD-SCDMA (Time Division-Synchronous Code Division Multiple Access)(基于GSM核心网,中国大唐电信)-WCDMA (基于GSM核心网,欧洲Nokia等)-CDMA 2000 (基于CDMA1x核心网,美国
5、Qualcomm)l后3G和4G 20069卫星通信网络卫星通信网络u宽覆盖、广播能力强、无地域条件限制宽覆盖、广播能力强、无地域条件限制u信道差错率、传播延迟、信道不对称信道差错率、传播延迟、信道不对称u无线无线Internet的重要组成部分的重要组成部分u卫星卫星IP网络网络,宽带网络宽带网络 -IP over Satellite -IP over Satellite ATMu改进改进TCP、通信流量拥塞控制和协议带宽效率、通信流量拥塞控制和协议带宽效率 200610无线局域网(无线局域网(WLAN)三大标准系列三大标准系列:IEEE 802.11IEEE 802.11a(Wi-Fi5)I
6、EEE 802.11b(Wi-Fi:Wireless Fidelity)ETSIETSI HIPERLAN/1ETSI HIPERLAN/2日本的日本的MMAC系列标准系列标准 HiSWANaHiSWANb200611 IEEE 802.11系列标准系列标准200612 三种三种IEEE WLAN标准比较标准比较802.11aWi-Fi 5802.11bWi-Fi802.11g(兼容11b)工作频率5G 2.4G2.4G传输率54 Mbps11 Mbps54 Mbps调制类型OFDM(正交频分复用)DSSS(直接序列展频)OFDM20061313两种两种ETSI WLAN 标准比较标准比较HI
7、PERLAN/1HIPERLAN/2 工作频率 5GHZ 5GHZ 带宽 20 Mbps 54Mbps200614 802.11MAC层协调功能层协调功能u分布协调功能分布协调功能(DCF)v支持分布式基于竞争的信道访问(CSMA/CA)v既可用于基础设施BSS也可用于ad hoc IBSSu接入点协调功能接入点协调功能(PCF)v支持集中式 无竞争信道访问v将由一AP来控制对介质的所有访问v仅用于基础设施BSS v可伸缩性较差200615WLAN的两种应用模式的两种应用模式u基础设施模式基础设施模式(Infrastructure-based)(WLAN的典型模式)uad hoc 模式模式(I
8、nfrastructure-less)200616基础设施模式基础设施模式(WLAN的典型模式的典型模式)200617ad hoc模式模式2006计算机网络安全概论计算机网络安全概论181.1无无线网网络的安全威的安全威胁u与传统的有线网络所共有的:与传统的有线网络所共有的:v恶意的实体通过无线网络绕过防火墙的保护而获恶意的实体通过无线网络绕过防火墙的保护而获得对内部网络的非授权访问。得对内部网络的非授权访问。v恶意用户偷窃合法用户的身份信息,在公司内部恶意用户偷窃合法用户的身份信息,在公司内部网络或外部网络中伪装成合法用户网络或外部网络中伪装成合法用户v恶意用户可能会破坏合法用户的隐私,并且
9、跟踪恶意用户可能会破坏合法用户的隐私,并且跟踪他们的活动。他们的活动。v内部或外部的入侵者可能获得对网络管理的控制,内部或外部的入侵者可能获得对网络管理的控制,从而破坏对网络的管理。从而破坏对网络的管理。2006计算机网络安全概论计算机网络安全概论191.1无无线网网络的安全威的安全威胁u特有的安全漏洞:特有的安全漏洞:v传输信息没有加密或加密很弱,易被窍取、篡改和插入传输信息没有加密或加密很弱,易被窍取、篡改和插入v无线连接的设备可能遭到无线连接的设备可能遭到DOS攻击攻击v手持设备容易被盗窃,从而暴露敏感信息手持设备容易被盗窃,从而暴露敏感信息v病毒或其他恶意的代码可能会损害数据或无线连接
10、,它病毒或其他恶意的代码可能会损害数据或无线连接,它们会传播到有线网络中去。们会传播到有线网络中去。v恶意的用户为了发起攻击或隐藏他们自己的行动而通过恶意的用户为了发起攻击或隐藏他们自己的行动而通过无线连接接入别人的网络中(即中间人攻击)无线连接接入别人的网络中(即中间人攻击)v恶意的用户可能使用第三方、非信任的无线网络获得使恶意的用户可能使用第三方、非信任的无线网络获得使用代理或其他组织的网络资源。用代理或其他组织的网络资源。v通过通过Ad Hoc 传输使得内部攻击成为可能。传输使得内部攻击成为可能。v无线网络的可靠性(节能减耗问题等)无线网络的可靠性(节能减耗问题等)2006计算机网络安全
11、概论计算机网络安全概论201.2无无线网网络的安全的安全现状状u无线局域网络的安全标准无线局域网络的安全标准IEEE 802.11i于于2004年年6月发布。该标准包括月发布。该标准包括WPA的的RSN(Robust Security Network)u蓝牙标准中,安全分为三种模式:无安全模蓝牙标准中,安全分为三种模式:无安全模式、服务层加强安全模式和链路层加强安全式、服务层加强安全模式和链路层加强安全模式。模式。u无线自组织网络和无线传感器网络是当前安无线自组织网络和无线传感器网络是当前安全研究的热点。全研究的热点。如果一个系统靠外部指令而形成组织,就是他组织;如果不存在外部指令,系统按照相
12、互默契的某种规则,各尽其责而又协调地自动地形成有序结构,就是自组织。自创生、自复制、自生长、自适应2006计算机网络安全概论计算机网络安全概论212 无无线局域网的安全性局域网的安全性u无线局域网的发展无线局域网的发展v是计算机网络技术和无线通信相结合的产物是计算机网络技术和无线通信相结合的产物v1977年年IEEE802.11b标准的制定促使了各厂商产标准的制定促使了各厂商产品的兼容,使无线局域网进入了一个飞速发展的品的兼容,使无线局域网进入了一个飞速发展的阶段。阶段。v无线局域网的无线局域网的MAC层和物理层规范主要有层和物理层规范主要有IEEE802.11bag.v无线局域网设备有无线网
13、卡、无线网桥、接入点、无线局域网设备有无线网卡、无线网桥、接入点、无线路由器等。无线路由器等。v无线局域网体系结构主要有两种:有基站的结构、无线局域网体系结构主要有两种:有基站的结构、没有基站的结构。没有基站的结构。2006计算机网络安全概论计算机网络安全概论222 无无线局域网的安全性局域网的安全性u无线局域网的安全性无线局域网的安全性v包括两个方面:访问控制和保密性。包括两个方面:访问控制和保密性。v主要有:服务集标识(主要有:服务集标识(Service Set ID,SSID)、MAC地址地址过滤、过滤、WEP协议、端口访问控制技术(协议、端口访问控制技术(802.1X)以及)以及200
14、4年年6月发布的月发布的IEEE802.11i标准规范。标准规范。v服务集标识是对不同的服务集标识是对不同的AP配置不同的配置不同的SSID,要求无线工,要求无线工作站必须出示正确的作站必须出示正确的SSID才能访问网络,这相当于一个才能访问网络,这相当于一个口令字。因为每个无线工作站都口令字。因为每个无线工作站都 有一个唯一的有一个唯一的MAC地址,地址,通过在通过在AP中手工维护一个中手工维护一个MAC地址表可以实现物理地址地址表可以实现物理地址过滤。过滤。802.1X是一种基于端口的访问控制技术,无线工是一种基于端口的访问控制技术,无线工作站能否访问网络取决于认证的结果。其中作站能否访问
15、网络取决于认证的结果。其中WEP协议和协议和802.11i标准是无线局域网发展过程中最重要的安全技术,标准是无线局域网发展过程中最重要的安全技术,它们是标准安全规范。它们是标准安全规范。2006计算机网络安全概论计算机网络安全概论232.1 WEP协议uWEP协议是协议是IEEE802.11可选加密标准,实现在可选加密标准,实现在MAC层。绝大多层。绝大多数无线网卡和数无线网卡和AP供应商支持供应商支持WEP协议。协议。u如果用户激活如果用户激活WEP,网卡或,网卡或AP将使用流密钥加密(将使用流密钥加密(Stream Cipher)IEEE802.11帧中的负荷部分,然后再发送数据。接收端的
16、帧中的负荷部分,然后再发送数据。接收端的无线网卡或无线网卡或AP将解密接收的帧。所以,将解密接收的帧。所以,WEP协议只在无线发送协议只在无线发送端和无线接收端有效,一旦数据进入常规有线网络,数据不再被端和无线接收端有效,一旦数据进入常规有线网络,数据不再被加密。加密。并置伪随机数生成器异或并置IV密文完整性算法初始化向量密钥Seed密钥流ICV明文WEP 加密过程2006计算机网络安全概论计算机网络安全概论242.1 WEP协议并置伪随机数生成器异或IV密文完整性算法ICVICV相等?密钥WEP解密过程2006计算机网络安全概论计算机网络安全概论252.1 WEP协议uWEP协议的安全性问题
17、vWEP协议没有指定密钥分发的机制,因为WEP协议采用的是共享密钥,所以密钥分发过程中可能存在安全隐患。vWEP协议采用RC4算法,RC4算法本身有缺陷。vWEP标准允许IV重复使用(平均大约每5小时重复一次)。这一特性会使得攻击WEP变得更加容易。vWEP标准不提供自动修改密钥的方法。因此只能手动对AP及其移动工作站重新设置密钥。由于在实际情况中,很少有人经常更新密钥,这样第三方可能收集无线局域局的流量,为密钥破解提供分析数据。v早期WEP中提供40位加密-密钥强度低。更现代的系统提供128位的WEP;128位的密钥长度减去24位的IV后,实际有效的密钥长度为104位,这在一定程度上加强了W
18、EP协议。v如果协议不是非常地敏感,WEP协议也就足够了。但要注意WEP并不是无懈可击,使用WEP协议的时候,最好使用128位密钥;另外,IV应该经常变更,最好是每个数据包采用一个新的IV。这样可以使入侵者破解密钥更加困难。2006计算机网络安全概论计算机网络安全概论262.2 IEEE802.11i简介介v在无线局域网发展的早期,MAC过滤和SSID匹配是两项主要的安全技术。但较弱,就出现了WEP协议(加密传输)。为了弥补WEP的缺陷,端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)被提出来。IEEE802.1x可以提供身份验证的网络访问。Wi-Fi保护接入(Wi-Fi P
19、rotected Access,WPA)是作为通向IEEE802.11i道路中不可缺少的一环而出现的。WPA的核心是临时密钥完整协议(Temporal Key Protocol,TKIP).TKIP提高了安全强度,但没有解决根本问题。vTKIP:和WEP一样基于RC4算法,但TKIP密钥长度是128位,初始化向量长度由24位增加到48位,并对WEP协议进行了改造:每发一个包重新生成一个新的密钥;消息完整性检查(MIC);具有序列功能的初始向量;密钥生成和定期更新功能2006计算机网络安全概论计算机网络安全概论272.2 IEEE802.11i简介介v2004年6月,IEEE802.11i工作组
20、正式发布了IEEE802.11i,以加强无线局域网络的安全性。vIEEE802.11i标准包括WPA和RSN两部分。vRSN是AP与移动设备之间动态协商认证和加密算法。认证方案基于IEEE802.1X和EAP,加密算法定义了TKIP、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-mode/CBC-MAC)认证方式,是实现RSN的强制性要求。vCCMP:是
21、一个基于AES算法的数据加密模式。CCMP也采用了48位具有序列功能的初始化向量IV,完整性检测算法采用CCM算法。AES是一种对称的块加密技术,使用128位分组加密数据,加密密钥长度也是128位。2006计算机网络安全概论计算机网络安全概论282.2 IEEE802.11i简介介vIEEE802.1x和EAP:IEEE802.1x是一种基于端口的网络访问控制技术,它提供了一个用户认证的密钥分发的框架,用户只有在通过认证后才能访问网络。IEEE802.1x和EAP相互配合实现用户认证和密钥分发,IEEE802.1x本身并不提供实际的认证机制。EAP对原有的机制进行了改进:双向认证机制,消除了中
22、间人攻击;集中化认证管理和动态分配密钥机制,它解决了密钥管理上的困难;集中策略控制,当连接会话超时时,它将激活重新认证和生成新的密钥。2006计算机网络安全概论计算机网络安全概论292.2 IEEE802.11i简介介vIEEE802.1x体系结构有三个实体:申请者、认证者和认证服务器。认证者一般是AP,它有两个端口:受控端口和非受控端口。非受控端口只允许EAP帧通过。认证过程中,申请者通过非受控端口和AP交换信息,若申请者通过认证,AP为申请者打开受控端口,申请者就可以通过受控端口访问网络了。申请者认证者认证服务器EAP overRADIUSEAP overLAN2006计算机网络安全概论计
23、算机网络安全概论302.2 IEEE802.11i简介介vIEEE802.1x认证过程如下:申请者向AP发起认证请求;AP向认证服务器转发申请者的认证请求;认证服务器进行认证;认证服务器发送同意或拒绝信息给AP;AP发送成功信息包或失败数据包给申请者。v802.11i标准中的认证方案基于802.1x和EAP,加密算法为AES。动态协商认证和加密算法使RSN可以不断发展,与最新的安全水平保持同步,添加新的算法应对新的威胁。由于采用动态协商、802.1x、EAP和AES,故RSN比WEP和WPA可靠得多。缺点是RSN和以前的安全体系不兼容,不能在老的设备上运行,只有遵循了IEEE802.11i标准
24、的设备才拥有实现加密算法所需的能力。申请者认证者认证服务器EAP overRADIUSEAP overLAN2006计算机网络安全概论计算机网络安全概论313.蓝牙安全性牙安全性v是提供短距离对等通讯的技术。是一种无线数据与语音通信的开放性全球规范,以低成本的近距离无线连接为基础,为固定与移动设备通信环境建立一个特别的连接。其目的是取代现有的PC机、打印机、传真机和移动电话等设备上的有线接口。u蓝牙(Bluetooth)IEEE 802.15(WiMedia)-工作在2.4GHZ,使用跳频技术 -中低速率(目前721Kbps,Bluetooth 2.0 12Mbps -支持语音和数据传输 -适
25、合用无线替代电缆的场合 -低价位、低功耗 -短距离(通常 10 M,最大100M)-应用渐多(无线耳机、蓝牙数码相机 等)2006计算机网络安全概论计算机网络安全概论323.蓝牙安全性牙安全性v安全模式:v无安全模式:设备不初始化任何安全过程。在此工作模式下,蓝牙设备工作在杂凑模式下,允许其他任何设备连接它。v服务层加强安全模式:在逻辑链路控制和适配协议层(L2CAP-Logical Link Control and Adaptation Protocol Level)信道建立后,安全过程被初始化。在此模式下,一个安全管理器负责维护访问控制策略以及同别的协议和设备用户的接口。各种安全策略及受限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 13 无线 网络安全 课件
限制150内