第13講：無線網(wǎng)安全1

第13講：無線網(wǎng)安全1第一頁，共41頁。安全協(xié)議與標準

第十章無線網(wǎng)絡(luò)安全2第二頁，共41頁。課程安排安全協(xié)議概述2學時TCP/IP協(xié)議簇的安全架構(gòu)2學時鏈路層安全通信協(xié)議2學時IPSec協(xié)議簇 4學時SSL協(xié)議和TLS協(xié)議4學時電子郵件安全協(xié)議4學時Set協(xié)議2學時SNMP協(xié)議2學時認證協(xié)議Kerberos2學時無線網(wǎng)絡(luò)安全協(xié)議4學時認證協(xié)議的形式化分析4學時3第三頁，共41頁。教材及參考書《網(wǎng)絡(luò)安全通信協(xié)議》高等教育出版社2008《網(wǎng)絡(luò)安全要素—應(yīng)用與標準》(第3版)清華大學出版社《應(yīng)用密碼學—協(xié)議、算法與C源程序》機械工業(yè)出版社《安全協(xié)議》清華大學出版社4第四頁，共41頁。第十章無線網(wǎng)安全

10.1IEEE802.11無線LAN概述10.2IEEE802.11i無線LAN安全

10.3無線網(wǎng)應(yīng)用協(xié)議概述(WAP)10.4無線傳輸層安全協(xié)議(WTLS)10.5安全5第五頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802負責開發(fā)LAN相關(guān)標準IEEE802.11負責開發(fā)WLAN傳輸協(xié)議,相關(guān)的重要術(shù)語如下:AP(Accesspoint,接入點)BSS(Basicservicefunction,基本服務(wù)集)Coordinationfunction(協(xié)調(diào)功能)DS(Distributionsystem,分配系統(tǒng))ESS(Extendedserviceset,可擴展服務(wù)集)(MPDU)MACprotocoldataunitStation6第六頁，共41頁。10.1IEEE802.11無線LAN概述

TheWi-FiAllianceIEEE802.11bWECA(WirelessEthernetCompatibilityAlliance)1999成立后被重命名為Wi-Fi(WirelessFidelity)Alliance產(chǎn)生一組測試集,保證802.11產(chǎn)品的互操作已擴展應(yīng)用于802.11g產(chǎn)品的認證Wi-FiProtectedAccee(WPA)最近,Wi-FiAlliance開發(fā)了為IEEE802.11安全標準的認證過程WPA2包含IEEE802.11i的所有安全特性7第七頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802ProtocolArchitecture繼續(xù)8第八頁，共41頁。物理層(PHYSICALLAYER)該層的功能如下:信號的編碼/解碼位傳送/接收傳輸介質(zhì)的特性在IEEE802.11中,定義了頻帶和天線特性返回9第九頁，共41頁。介質(zhì)訪問控制層(MediaAccessControl)提供有效利用網(wǎng)絡(luò)傳輸容量的方法.接收從LLC層接收數(shù)據(jù),數(shù)據(jù)格式稱為MSDU.具體功能如下:發(fā)送時,將接收的數(shù)據(jù)裝配為幀,稱為MACprotocoldataunit(MPDU)接收時,去掉幀頭和幀尾,完成地址識別和錯誤檢測控制對LAN傳輸介質(zhì)的訪問10第十頁，共41頁。介質(zhì)訪問控制層(MediaAccessControl)IEEE802MPDU格式MACControl:協(xié)議控制信息,如優(yōu)先級DestinationMACAddressSourceMACAddressCRC:循環(huán)冗余校驗域MACcontrolDestinationMACAddressCRCMACSERVICEDataUnit(MSDU)SourceMACAddress返回11第十一頁，共41頁。邏輯鏈路控制(LogicalLinkControl)大多數(shù)數(shù)據(jù)鏈路層協(xié)議不僅負責驗錯,還有糾錯功能在LAN協(xié)議架構(gòu)中,上述二個功能分別由MAC和LLC完成.返回12第十二頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802.11NetworkComponentsandArchitecturalModel13第十三頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802.11Service下表列出了所定義的9種服務(wù)14第十四頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802.11Service對上述9種服務(wù),有2種分類方法服務(wù)的提供者:stationorDS.Stationservicesareimplementedinevery802.11station.DistributionservicesareprovidedbetweenBSSs,whichbeimplementedinanAP服務(wù)功能:MSDUdeliveryorLANaccessandsecurity.ThreeofservicesareusedtocontrolIEEE802.11LANaccessandconfidentiality.SixoftheservicesareusedtosupportdeliveryofMSDUsbetweenstations.15第十五頁，共41頁。10.1IEEE802.11無線LAN概述

IEEE802.11ServiceDistributionofMessageswithinaDSDistributionIntegrationAssociation-RelatedServicesAssociationReassociationDisassociation16第十六頁，共41頁。10.2IEEE802.11iWirelessLAN安全

有線LAN與無線LAN的不同前者,發(fā)方必須有線地連接LAN,后者,只要求發(fā)送方的無線信號能覆蓋一定范圍同樣,前者要求接收方必須通過有線的方式連接到LAN,后者,任何在無線信號覆蓋的范圍內(nèi)都可以接收數(shù)據(jù).因此,有線LAN可以提供一定程度的隱私保密性.而無線LAN需要進一步地加強安全服務(wù)機制.17第十七頁，共41頁。10.2IEEE802.11iWirelessLAN安全

早期的802.11標準涉及保密和認證方面的內(nèi)容,但有很大弱點.如WiredEquivalentPrivacy(WEP)之后,802.11i任務(wù)組開發(fā)了一組WLAN的安全標準Wi-FiProtectedAccess(WPA)基于802.11i部分標準802.11i的最終版稱作RobustSecurityNetwork(RSN)Wi-Fi的WPA2兼容全部802.11i標準18第十八頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iServicesAuthentication(認證性)Accesscontrol(訪問控制)Privacywithmessageintegrity(完整性):MAC-leveldataareencryptedalongwithamessageintegritycodethatensuresthatthedatahavenotbeenaltered.19第十九頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iServices服務(wù)和協(xié)議20第二十頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iRSNCryptographicAlgorithms加密算法21第二十一頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperation可分為5個階段.每個階段的特性取決于如下不同的的情況:(1)TwowirelessstationinthesameBSScommunicating.(2)TwowirelessstationinthesameadhocIBSScommunicatingdirectly(3)TwowirelessstationindifferentBSSscommunicating(4)Awirelessstationcommunicatingwithanstationonawirednetwork22第二十二頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperation上述情況1,若在每個STA和AP之間建立安全通信,能確保通信安全,情況2類似.情況3僅僅在每個BSS內(nèi)提供安全情況4僅僅在STA和它的AP之間提供安全性5個操作階段如下圖所示:23第二十三頁，共41頁。802.11iPhasesofOperation繼續(xù)24第二十四頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationDiscoveryPhase包括三個MPDU交換NetworkandsecuritycapabilitydiscoveryOpensystemauthenticationAssociation25第二十五頁，共41頁。802.11iDiscoveryandAuthent-icationPhases返回26第二十六頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationAuthenticationPhaseIEEE802.1XAccessControlApproachIEEE802.1x,Port-BasedNetworkAccessControlExtensibleAuthenticationProtocol(EAP)BeforeawirelessstationisauthenticatedbyAS,APonlypassescontrolorauthenticationmessagesbetweenSTAandtheAS.thecontrolchannelisunblocked,butthedatachannelisblocked27第二十七頁，共41頁。IEEE802.1XAccessControlApproach28第二十八頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationAuthenticationPhaseMPDU交換.由三個階段組成ConnecttoASEAPexchangeSecurekeydelivery29第二十九頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationAuthenticationPhaseEAP交換TapicallyemploystheEAPoverLAN(EAPOL)protocol(betweenSTAandAP),andtheRemoteAuthenticationDialInUserService(RADIUS)protocol(BetweenAPandAS)1.theAPissuinganEAP-Request/IdentityframetoSTA2.TheSTAreplies.ThepaketthenencapsulatedinRADIUSoverEAPandpassedontotheRADIUSserver.3.TheAAAserverreplieswithaRADIUS-Access-Challengepacket,whichispassedontothdSTAasanEAP-Request4.theSTAformulatesanEAP-ResponsemessageandsendsittotheAS5.theAAAservergrantsaccesswithaRadius-Access-Acceptpacket.返回30第三十頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationKeyManagmentPhasePairwiseKeysGroupKeyGroupKeyDistribution31第三十一頁，共41頁。KeyManagmentPhase

32第三十二頁，共41頁。KeyManagmentPhase

返回33第三十三頁，共41頁。10.2IEEE802.11iWirelessLAN安全

IEEE802.11iPhasesofOperationProtectedDataTransferPhase:IEEE802.11i定義了二種保護傳輸數(shù)據(jù)的方法TemporalKeyIntergityProtocol(TKIP)CounterMode-CBCMACProtocol(CCMP)返回34第三十四頁，共41頁。TKIP

在老的無線網(wǎng)安全方式(WEP)實現(xiàn)的設(shè)備中,通過軟件的方