《网络与内容安全-008.无线局域网安全-新.ppt》由会员分享,可在线阅读,更多相关《网络与内容安全-008.无线局域网安全-新.ppt(118页珍藏版)》请在金锄头文库上搜索。
1、第八章无线局域网安全马占宇信通院模式识别实验室 无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准 第八章无线局域网安全 无线局域网络组成 网络组成通信设备用户终端网络支持单元 软件 无线局域网络组成 通信设备 功能划分 WLAN固定小区WLAN移动小区 无中断连接 越区切换WLAN桥路器 为分散小区提供中远距离点对点连接通信保密装置 用于链路数据保密 如Radius Remoteauthenticationdialinuserservice远程认证拨号用户服务 服务器等 无线局域网络组成 用户终端提供包括电子邮件 数据传输 语音和图像信息不同层次的纠错
2、传输网络支持单元本地网络管理外部接口设备 无线局域网络拓扑结构 三种主要形式点对点型Hub型完全分布型 点对点型拓扑结构 网络互连无线链路与有线局域网的连接 桥路器或中继器 Hub型拓扑结构 集中控制式 完全分布型拓扑结构 主要用于军事和无线传感器网络局部拓扑知识的分享 完成分布路由算法 网络协议 评价 数据纠错 传输速率 吞吐率 时延特性IEEE802系列标准载波侦听多路访问 冲突避免 CSMA CA 协议时分双工 TDD 复用技术网关方式 网络设计问题 吞吐量无线传输与有线传输的有效匹配保密性提高安全性的同时 不产生太多的附加延迟或开销 动中通 OTMOn The Move蜂窝或微蜂窝 无
3、线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准 第八章无线局域网安全 3个标准的比较 IEEE802 11协议 IEEE802工作组建立的标准802 11a802 11b与物理层有关802 11g802 11i 影响MAC层 家庭射频技术 家庭射频 HomeRF 技术是数字式增强型无绳电话DECT DigitalEnhancedCordlessTelephone 技术和WLAN技术相互融合的产物无线局域网标准IEEE802 11采用CSMA CA 载波监听多点接入 冲突避免 方式 特别适合于数据业务DECT使用TDMA 时分多路复用 方式 特别适合于话
4、音通信将两者融合便构成了家庭射频使用的共享无线应用协议SWAP SharedWirelessAccessProtocol SWAP使用TDMA CSMA CA方式 适合话音和数据业务 并且针对家庭小型网络进行了优化 家庭射频系统设计的目的就是为了在家用电器设备之间传送话音和数据 并且能够与公众交换电话网 PSTN 和互联网进行交互式操作 蓝牙技术 蓝牙 Bluetooth 技术是实现语音和数据无线传输的开放性规范 是一种低成本 短距离的无线连接技术无线收发器是一块很小的芯片 大约只有9mm 9mm 可方便地嵌入到便携式设备中 从而增加设备的通信选择性蓝牙技术实现了设备的无连接工作 无线链路替代
5、电缆连接 提供了接入数据网功能 并且具有外围设备接口 可以组成一个特定的小网 无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准 第八章无线局域网安全 WLAN的安全 应用角度看 移动用户或无线上网用户 通过无线设备的网卡发信息给AP 信息在传输时可能遭受3种攻击 信息泄露 最典型的情形是信息在空中传输时被监听 信息被篡改 数据在传输过程中 内容被篡改 信息阻断 例如 用户发送信息给AP 虽然用户确认信息已经发送出去 但是由于黑客可以在AP端 做手脚 所以信息有可能传输到AP就被非法中断了技术角度看 无线IP包中参数被篡改或侦测 可能产生以上攻击 WLA
6、N的安全 一般地 WLAN的安全性有下面4级定义 扩频 跳频无线传输技术本身使盗听者难以捕捉到有用的数据 设置严密的用户口令及认证措施 防止非法用户入侵 设置附加的第三方数据加密方案 即使信号被盗听也难以理解其中的内容 采取网络隔离及网络认证措施 IEEE802 11b的安全 两种认证服务开放系统认证 OpenSystemAuthentication 共享密钥认证 SharedKeyAuthentication 无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准 第八章无线局域网安全 强化无线局域网常用的6种技术方案 1 WEP 即有线等价协议 Wire
7、dEquivalencyProtocol 它与现有的无线网络的兼容性非常好 设置方法简单 2 IEEE802 1x 它为用户提供认证 IEEE802 1x可用于有线或无线环境 并包含每次WEP会话 session 的密钥 IEEE802 1x的优点是可以在接入网络之前的链路层对用户进行认证 3 IEEE802 11i技术 这是IEEE的无线网络安全标准 4 网站认证技术 它易于安装和使用 不过也容易被窃取和破解 5 IPSec 它是一种安全性最高的模式 其结构与互联网的远程接入一样 然而 该技术需要安装客户端软件 因而不利于该技术的应用和升级 6 IPSecPassthrough 它的优势是易
8、于同现在的VPNs技术整合 WEP的运作方式 WEP提供一种为无线局域网数据流加密的安全方法 是一种对称加密方法目标 接入控制和防止未授权的用户接入网络 TKIP TKIP TemporalKeyIntergrityProtocal 相对WEP的静态密码安全性更好用户口令用于初始化或启动加密过程实际密钥在加密过程中不断循环变换 每个数据包使用新密钥同一个AP或LAN上的用户被相互隔离 无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准 第八章无线局域网安全5 WAPI概述 无线LAN认证和保密基础设施 WLANAuthenticationandPrivc
9、yInfrastructure 我过2003年发布 由ISO IEC授权的IEEERegistrationAuthority审查获得认可无线Lan安全标准 WAPI基本术语 1 接入点 AccessPoint AP 2 站点 STAtion STA 3 基本服务组 BasicServiceSet BSS 4 系统和端口 受控端口与非受控端口 5 鉴别服务单元ASU AuthenticationServiceUnit 6 公钥证书 WAPI的工作原理 WAPI的工作原理 1 认证激活 2 接入认证请求 3 证书认证请求 4 证书认证响应 5 接入认证响应 WAPI评述 中国无线局域网标准 是在国
10、际上还没有一个有效 统一的安全措施的基础上推出的 因为中国的无线局域网技术正处在发展初期 如果这时能够解决无线局域网的安全问题 就能促进其在中国的长久发展 GB15629 11的制定 正是顺应了这个需要 而其中关于无线局域网安全部分的规定 可以解决现有的无线局域网的安全问题 为无线局域网的发展保驾护航 和中国的数字家庭闪联标准的推出一样 WAPI对于我国标准化工作的推进具有积极的意义 WAPI评述 WAPI标准出台后 部分芯片生产厂商表示理解和支持 但也有一部分厂商表示反对 由于WAPI标准对Intel公司原有的迅驰移动技术中的无线网络功能不兼容 所以它反对强制实行WAPI标准 中国宽带无线标
11、准组织也表示将与厂商和国际组织合作 进一步完善WAPI标准 从兼容性的角度来看 WAPI目前的应用前景还不是很乐观 第六讲 无线局域网安全 本地无线连接无线局域网WLAN802 11x系列标准中国标准WAPI9798 3 ISOSC27 无线局域网技术 无线LAN和个人通信网 PCN 代表了1990年代通信网络技术的发展方向 相关技术的发展天线设计技术的发展高性能 高集成度的CMOS和GaAs半导体技术的发展 MCM技术网络软硬件设计技术的进展无线网络拓扑结构点对点型 HUB型 完全分布型 adhocnetwork Infrastructurenetwork 几种无线标准的比较 红外系统射频系
12、统非专用频段 或称为工业 科研 医学 ISM 频段专用频段 18 825 18 875 GHz 19 165 19 215 GHz毫米波段 mmW 无线局域网的安全标准 WEP WiredEquivalentPrivacy 协议TKIP TemporaryKeyIntegrityProtocol 802 1X协议Wi Fi组织提出的WPA Wi FiProtectedAccess 标准802 11i标准 较新标准 WAPI 中国标准 Wi Fi组织简介 Wi Fi组织的前身是WECA WirelessEthernetCompatibilityAlliance 其官方网站为www wi fi o
13、rg该组织对厂家根据802 11标准生产的WLAN产品进行兼容性测试与认证 确保通过其认证的产品可以互联互通 WLAN的802 1x协议系列标准 1997年 IEEE802 11协议1999年 IEEE802 11b协议2004年 IEEE802 11i协议 DraftStandard 2007年 IEEE802 11i协议 Standard 网络吞吐速率 高速数字传输和稳定的连接 CIS SJTU 37 2008 3 28 802 11无线安全技术演进 802 11协议 工作方式无线站无线接入点 AP 物理层三个物理层包括了两个扩频技术规范和一个红外传播规范传输速率是1Mbps和2Mbps
14、使用FHSS frequencyhoppingspreadspectrum 或DSSS directsequencespreadspectrum 技术联合结构 蜂窝结构和漫游MAC子层负责解决客户端工作站和访问接入点之间的连接 802 11的三种基本安全机制 802 11标准规定无线局域网有三种基本的接入AP的安全措施服务区别号 SSID MAC地址过滤等价有线协议 WEP 40 802 11的三种基本安全机制 服务区别号 SSID 无线Station必须出示正确的SSID才能访问AP SSID可以被看作是一个简单的口令MAC地址过滤 CIS SJTU 41 2008 3 28 可以手工维护一
15、组允许或拒绝访问的MAC地址列表 用来进行物理地址过滤 物理地址过滤属于硬件认证 不属于用户认证 在MAC地址列表中手工增删用户的MAC地址 只适合小型网络 802 11的三种基本安全机制 有线等价协议 WEP 802 11标准包含一个WEP协议 WiredEquivalentPrivacyprotocol 它的安全目标是阻止窃听 保护机密性 阻止消息被篡改 保护完整性 控制对WLAN的访问 访问控制 实质上 WEP应提供与有线网络等同的安全性 WEP是一个保护链路层通信安全的协议 而不提供端到端的安全解决方案 在adhoc网络中不能使用WEP 因为该种网络没有AP CIS SJTU 42 2
16、008 3 28 WEP协议的主要内容 在MobileStation与AccessPoint之间共享一个密钥 用来认证 使用CRC 32 循环冗余校验码 来保护消息完整性 使用RC4流密码算法对包载荷和CRC校验值进行加解密 接收者解密数据 计算包载荷的CRC校验值 若正确则接受 否则丢弃该包 CIS SJTU 43 2008 3 28 MobileStation AccessPoint WEP协议的认证 CIS SJTU 44 2008 3 28 STA AP WEP协议的完整性校验 IntegrityCheckValue ICV WEP协议的加 解密 RC4是一种流密码算法 它可利用一个密钥生成无限长的伪随机数序列 称为密钥流 加密时 将密钥流与明文相异或 解密方法与加密相同 CIS SJTU 48 2008 3 28 WEP协议的加密 CIS SJTU 49 2008 3 28 WEP协议的解密 CIS SJTU 50 2008 3 28 WEP的帧格式 在使用流密码算法 包括RC4 时 加密两个消息时使用同一密钥流是十分危险的WEP中使用24bit长的IV来增加密钥的个数Key
