无线网络安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
-- IP over Satellite -- IP over Satellite ATM 改进TCP、通信流量拥塞控制和协议带宽效率
9
无线局域网(WLAN)
三大标准系列: ➢ IEEE 802.11
– IEEE 802.11a (Wi-Fi5) – IEEE 802.11b(Wi-Fi: Wireless Fidelity) ➢ ETSI – ETSI HIPERLAN/1 – ETSI HIPERLAN/2 ➢ 日本的MMAC系列标准 – HiSWANa – HiSWANb
❖无线局域网设备有无线网卡、无线网桥、接入点 、无线路由器等。
❖无线局域网体系结构主要有两种:有基站的结构 、没有基站的结构。
21 计算机网络安全概论
2 无线局域网的安全性
无线局域网的安全性
❖包括两个方面:访问控制和保密性。
❖主要有:服务集标识(Service Set ID,SSID)、MAC地址 过滤、WEP协议、端口访问控制技术(802.1X)以及 2004年6月发布的IEEE802.11i标准规范。
们会传播到有线网络中去。
❖恶意的用户为了发起攻击或隐藏他们自己的行动而通过 无线连接接入别人的网络中(即中间人攻击)
❖恶意的用户可能使用第三方、非信任的无线网络获得使 用代理或其他组织的网络资源。
❖通过Ad Hoc 传输使得内部攻击成为可能。 ❖无线网络的可靠性(节能减耗问题等)
19 计算机网络安全概论
22 计算机网络安全概论
2.1 WEP协议
WEP协议是IEEE802.11可选加密标准,实现在MAC层。绝大多 数无线网卡和AP供应商支持WEP协议。
如果用户激活WEP,网卡或AP将使用流密钥加密(Stream Cipher)IEEE802.11帧中的负荷部分,然后再发送数据。接收端 的无线网卡或AP将解密接收的帧。所以,WEP协议只在无线发 送端和无线接收端有效,一旦数据进入常规有线网络,数据不再 被加密。
无线网络安全
一、无线网络技术概述
无线网络是在无线设备之间、无线设备与传统 有线网络(如企业网、因特网)设备之间充当传输 机制的网络。
❖ 无线个域网 (个域) ❖ 无线局域网 (局域) ❖ 无线城域网 (城域) ❖ 蜂窝系统 (广域) ❖ 卫星通信网络(覆盖全球)
2 计算机网络安全概论
无线个域网(WPAN)
Multiple Access ) (基于GSM核心网,中国大唐电信)
-- WCDMA
(基于GSM核心网,欧洲Nokia等 )
-- CDMA 2000 (基于CDMA1x核心网,美国Qualcomm )
后3G和4G
8
卫星通信网络
宽覆盖、广播能力强、无地域条件限制 信道差错率、传播延迟、信道不对称 无线Internet的重要组成部分 卫星IP网络,宽带网络
❖CCMP:是一个基于AES算法的数据加密模式。CCMP也采 用了48位具有序列功能的初始化向量IV,完整性检测 算法采用CCM算法。AES是一种对称的块加密技术,使 用128位分组加密数据,加密密钥长度也是128位。
27 计算机网络安全概论
蓝牙(Bluetooth)技术 HomeRF IrDA
3
无线个域网技术—蓝牙
蓝牙(Bluetooth) IEEE 802.15 (WiMedia)
-- 工作在2.4GHZ,使用跳频技术 -- 中低速率(目前721Kbps, Bluetooth 2.0
12Mbps -- 支持语音和数据传输 -- 适合用无线替代电缆的场合 -- 低价位、低功耗 -- 短距离 (通常< 10 M, 最大100M) -- 应用渐多(无线耳机、蓝牙数码相机
-- CDMA 2000 1x (Code Division Multiple Access )
3G (UMTS: Universal Mobile Telecommunications System)
-- 最大2Mbps
-- 支持IP
ITU标准:
-- TD-SCDMA (Time Division-Synchronous Code Division
❖内部或外部的入侵者可能获得对网络管理的控 制,从而破坏对网络的管理。
18 计算机网络安全概论
1.1无线网络的安全威胁
特有的安全漏洞:
❖传输信息没有加密或加密很弱,易被窍取、篡改和插入 ❖无线连接的设备可能遭到DOS攻击 ❖手持设备容易被盗窃,从而暴露敏感信息 ❖病毒或其他恶意的代码可能会损害数据或无线连接,它
❖服务集标识是对不同的AP配置不同的SSID,要求无线工 作站必须出示正确的SSID才能访问网络,这相当于一个 口令字。因为每个无线工作站都 有一个唯一的MAC地址 ,通过在AP中手工维护一个MAC地址表可以实现物理地 址过滤。802.1X是一种基于端口的访问控制技术,无线 工作站能否访问网络取决于认证的结果。其中WEP协议 和802.11i标准是无线局域网发展过程中最重要的安全技 术,它们是标准安全规范。
FIR (Fast Infrared) ,4Mbps, 30度 VFIR, 16Mbps, 120度
USB-IrDA设备 体积小、功率低、适合设备移动需要 视距传输技术
6
无线城域网
IEEE 802.16a (WiMax: World Interoperability for Microwave Access) -- 数据传输率为70 Mbps -- 覆盖范围约为50公里 -- 使用2GHz~11GHz频带 -- 在Wi-Fi AP设备中嵌入IEEE802.16a接口
接入点协调功能 (PCF)
❖支持集中式 无竞争信道访问 ❖ 将由一AP来控制对介质的所有访问 ❖ 仅用于基础设施BSS ❖ 可伸缩性较差
14
WLAN的两种应用模式
基础设施模式 (Infrastructure-based)
(WLAN的典型模式)
ad hoc 模式(Infrastructure-less)
移动工作站重新设置密钥。由于在实际情况中,很少有人经 常更新密钥,这样第三方可能收集无线局域局的流量,为密 钥破解提供分析数据。 ❖ 早期WEP中提供40位加密----密钥强度低。更现代的系统提供 128位的WEP;128位的密钥长度减去24位的IV后,实际有效的 密钥长度为104位,这在一定程度上加强了WEP协议。 ❖ 如果协议不是非常地敏感,WEP协议也就足够了。但要注意 WEP并不是无懈可击,使用WEP协议的时候,最好使用128位密 钥;另外,IV应该经常变更,最好是每个数据包采用一个新的 IV。这样可以使入侵者破解密钥更加困难。
10
IEEE 802.11系列标准
11
三种IEEE WLAN标准比较
工作 频率
传输 率
调制 类型
802.11a Wi-Fi 5 5G
802.11b Wi-Fi 2.4G
802.11g (兼容11b) 2.4G
54 Mbps
11 Mbps 54 Mbps
OFDM(正交频分 DSSS(直接序列 OFDM
复用)
展频 )
12
两种ETSI WLAN 标准比较
工作频率 带宽
HIPERLAN/1 HIPERLAN/2
5GHZ 20 Mbps
5GHZ 54Mbps
13
802.11MAC层协调功能
分布协调功能 (DCF)
❖支持分布式基于竞争的信道访问 (CSMA/CA) ❖既可用于基础设施BSS也可用于ad hoc IBSS
25 计算机网络安全概论
2.2 IEEE802.11i简介
❖ 在无线局域网发展的早期,MAC过滤和SSID匹配是两项主 要的安全技术。但较弱,就出现了WEP协议(加密传输) 。为了弥补WEP的缺陷,端口访问控制技术(IEEE802.1x) 和可扩展认证协议(EAP)被提出来。IEEE802.1x可以提 供身份验证的网络访问。Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是作为通向IEEE802.11i道路中 不可缺少的一环而出现的。WPA的核心是临时密钥完整协 议(Temporal Key Protocol,TKIP).TKIP提高了安全强度 ,但没有解决根本问题。
❖ 2004年6月,IEEE802.11i工作组正式发布了 IEEE802.11i,以加强无线局域网络的安全性。
❖ IEEE802.11i标准包括WPA和RSN两部分。
❖RSN是AP与移动设备之间动态协商认证和加密算法。认 证方案基于IEEE802.1X和EAP,加密算法定义了TKIP、 CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP( Wireless Robust Authenticated Protocol)三种加密 机制。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter- mode/CBC-MAC)认 证方式,是实现RSN的强制性要求。
等)
4
无线个域网技术—HomeRF
专门为家庭用户设计的一种近距离网络技术标准 使用跳频扩频方式,时分复用(语音), CSMA/CA协议(
数据).提供TCP/IP集成,支持广播、多播. 工作频率2.4GHZ,2Mbps10Mbps, >100M
5
无线个域网技术—IrDA
IrDA (Infrared Data Association)利用红外线进行点对 点通信的技术
尽其责而又协调地自动地形成有序结 构,就是自组织。 自创生、自复制、自生长、自适2应0
计算机网络安全概论
2 无线局域网的安全性
无线局域网的发展
❖是计算机网络技术和无线通信相结合的产物 ❖1977年IEEE802.11b标准的制定促使了各厂商产
品的兼容,使无线局域网进入了一个飞速发展的 阶段。
❖无线局域网的MAC层和物理层规范主要有 IEEE802.11b\a\g.
❖ WEP协议没有指定密钥分发的机制,因为WEP协议采用的是共 享密钥,所以密钥分发过程中可能存在安全隐患。
❖ WEP协议采用RC4算法,RC4算法本身有缺陷。 ❖ WEP标准允许IV重复使用(平均大约每5小时重复一次)。这
一特性会使得攻击WEP变得更加容易。 ❖ WEP标准不提供自动修改密钥的方法。因此只能手动对AP及其
15
基础设施模式 (WLAN的典型模式)
16
ad hoc模式
17
1.1无线网络的安全威胁
与传统的有线网络所共有的:
❖恶意的实体通过无线网络绕过防火墙的保护而 获得对内部网络的非授权访问。
❖恶意用户偷窃合法用户的身份信息,在公司内 部网络或外部网络中伪装成合法用户
❖恶意用户可能会破坏合法用户的隐私,并且跟 踪他们的活动。
初始化向量 密钥
并 Seed
置
伪随机 数生成
器
密钥流
异 或
IV 密 文
明文
并
完整性算法 ICV 置 WEP 加密过程
23 计算机网络安全概论
2.1 WEP协议
并
密钥
置
IV 密 文
伪 随机数 生成器
完整性 ICV’ 算法 异
或
相等?
ICV
WEP解密过程
24 计算机网络安全概论
2.1 WEP协议
WEP协议的安全性问题
1.2无线网络的安全现状
无线局域网络的安全标准IEEE 802.11i于 2004年6月发布。该标准包括WPA的RSN( Robust Security Network)
蓝牙标准中,安全分为三种模式:无安全模 式、服务层加强安全模式和链路层加强安全 模式。
如果一个系统靠外部指令而形成组织
无线自组织网络和,无就是线他传组感织;器如网果络不存是在当外前部指安令 全研究的热点。 ,系统按照相互默契的某种规则,各
Intel和Alcatel推出基于WiMAX无线通信技术的产品 ETSI 研究HIPERMAN技术
7
WWAN--- 蜂窝系统(Cellular Systems)
2G (GSM:Global System for Mobile communications )
2.5G
-- GPRS (General Packet Radio Service)
❖ TKIP:和WEP一样基于RC4算法,但TKIP密钥长度是128位,初始化 向量长度由24位增加到48位,并对WEP协议进行了改造:每发一个 包重新生成一个新的密钥;消息完整性检查(MIC);具有序列功能 的初始向量;密钥生成和定期更新功能
26 计算机网络安全概论
2.2 IEEE802.11i简介
9
无线局域网(WLAN)
三大标准系列: ➢ IEEE 802.11
– IEEE 802.11a (Wi-Fi5) – IEEE 802.11b(Wi-Fi: Wireless Fidelity) ➢ ETSI – ETSI HIPERLAN/1 – ETSI HIPERLAN/2 ➢ 日本的MMAC系列标准 – HiSWANa – HiSWANb
❖无线局域网设备有无线网卡、无线网桥、接入点 、无线路由器等。
❖无线局域网体系结构主要有两种:有基站的结构 、没有基站的结构。
21 计算机网络安全概论
2 无线局域网的安全性
无线局域网的安全性
❖包括两个方面:访问控制和保密性。
❖主要有:服务集标识(Service Set ID,SSID)、MAC地址 过滤、WEP协议、端口访问控制技术(802.1X)以及 2004年6月发布的IEEE802.11i标准规范。
们会传播到有线网络中去。
❖恶意的用户为了发起攻击或隐藏他们自己的行动而通过 无线连接接入别人的网络中(即中间人攻击)
❖恶意的用户可能使用第三方、非信任的无线网络获得使 用代理或其他组织的网络资源。
❖通过Ad Hoc 传输使得内部攻击成为可能。 ❖无线网络的可靠性(节能减耗问题等)
19 计算机网络安全概论
22 计算机网络安全概论
2.1 WEP协议
WEP协议是IEEE802.11可选加密标准,实现在MAC层。绝大多 数无线网卡和AP供应商支持WEP协议。
如果用户激活WEP,网卡或AP将使用流密钥加密(Stream Cipher)IEEE802.11帧中的负荷部分,然后再发送数据。接收端 的无线网卡或AP将解密接收的帧。所以,WEP协议只在无线发 送端和无线接收端有效,一旦数据进入常规有线网络,数据不再 被加密。
无线网络安全
一、无线网络技术概述
无线网络是在无线设备之间、无线设备与传统 有线网络(如企业网、因特网)设备之间充当传输 机制的网络。
❖ 无线个域网 (个域) ❖ 无线局域网 (局域) ❖ 无线城域网 (城域) ❖ 蜂窝系统 (广域) ❖ 卫星通信网络(覆盖全球)
2 计算机网络安全概论
无线个域网(WPAN)
Multiple Access ) (基于GSM核心网,中国大唐电信)
-- WCDMA
(基于GSM核心网,欧洲Nokia等 )
-- CDMA 2000 (基于CDMA1x核心网,美国Qualcomm )
后3G和4G
8
卫星通信网络
宽覆盖、广播能力强、无地域条件限制 信道差错率、传播延迟、信道不对称 无线Internet的重要组成部分 卫星IP网络,宽带网络
❖CCMP:是一个基于AES算法的数据加密模式。CCMP也采 用了48位具有序列功能的初始化向量IV,完整性检测 算法采用CCM算法。AES是一种对称的块加密技术,使 用128位分组加密数据,加密密钥长度也是128位。
27 计算机网络安全概论
蓝牙(Bluetooth)技术 HomeRF IrDA
3
无线个域网技术—蓝牙
蓝牙(Bluetooth) IEEE 802.15 (WiMedia)
-- 工作在2.4GHZ,使用跳频技术 -- 中低速率(目前721Kbps, Bluetooth 2.0
12Mbps -- 支持语音和数据传输 -- 适合用无线替代电缆的场合 -- 低价位、低功耗 -- 短距离 (通常< 10 M, 最大100M) -- 应用渐多(无线耳机、蓝牙数码相机
-- CDMA 2000 1x (Code Division Multiple Access )
3G (UMTS: Universal Mobile Telecommunications System)
-- 最大2Mbps
-- 支持IP
ITU标准:
-- TD-SCDMA (Time Division-Synchronous Code Division
❖内部或外部的入侵者可能获得对网络管理的控 制,从而破坏对网络的管理。
18 计算机网络安全概论
1.1无线网络的安全威胁
特有的安全漏洞:
❖传输信息没有加密或加密很弱,易被窍取、篡改和插入 ❖无线连接的设备可能遭到DOS攻击 ❖手持设备容易被盗窃,从而暴露敏感信息 ❖病毒或其他恶意的代码可能会损害数据或无线连接,它
❖服务集标识是对不同的AP配置不同的SSID,要求无线工 作站必须出示正确的SSID才能访问网络,这相当于一个 口令字。因为每个无线工作站都 有一个唯一的MAC地址 ,通过在AP中手工维护一个MAC地址表可以实现物理地 址过滤。802.1X是一种基于端口的访问控制技术,无线 工作站能否访问网络取决于认证的结果。其中WEP协议 和802.11i标准是无线局域网发展过程中最重要的安全技 术,它们是标准安全规范。
FIR (Fast Infrared) ,4Mbps, 30度 VFIR, 16Mbps, 120度
USB-IrDA设备 体积小、功率低、适合设备移动需要 视距传输技术
6
无线城域网
IEEE 802.16a (WiMax: World Interoperability for Microwave Access) -- 数据传输率为70 Mbps -- 覆盖范围约为50公里 -- 使用2GHz~11GHz频带 -- 在Wi-Fi AP设备中嵌入IEEE802.16a接口
接入点协调功能 (PCF)
❖支持集中式 无竞争信道访问 ❖ 将由一AP来控制对介质的所有访问 ❖ 仅用于基础设施BSS ❖ 可伸缩性较差
14
WLAN的两种应用模式
基础设施模式 (Infrastructure-based)
(WLAN的典型模式)
ad hoc 模式(Infrastructure-less)
移动工作站重新设置密钥。由于在实际情况中,很少有人经 常更新密钥,这样第三方可能收集无线局域局的流量,为密 钥破解提供分析数据。 ❖ 早期WEP中提供40位加密----密钥强度低。更现代的系统提供 128位的WEP;128位的密钥长度减去24位的IV后,实际有效的 密钥长度为104位,这在一定程度上加强了WEP协议。 ❖ 如果协议不是非常地敏感,WEP协议也就足够了。但要注意 WEP并不是无懈可击,使用WEP协议的时候,最好使用128位密 钥;另外,IV应该经常变更,最好是每个数据包采用一个新的 IV。这样可以使入侵者破解密钥更加困难。
10
IEEE 802.11系列标准
11
三种IEEE WLAN标准比较
工作 频率
传输 率
调制 类型
802.11a Wi-Fi 5 5G
802.11b Wi-Fi 2.4G
802.11g (兼容11b) 2.4G
54 Mbps
11 Mbps 54 Mbps
OFDM(正交频分 DSSS(直接序列 OFDM
复用)
展频 )
12
两种ETSI WLAN 标准比较
工作频率 带宽
HIPERLAN/1 HIPERLAN/2
5GHZ 20 Mbps
5GHZ 54Mbps
13
802.11MAC层协调功能
分布协调功能 (DCF)
❖支持分布式基于竞争的信道访问 (CSMA/CA) ❖既可用于基础设施BSS也可用于ad hoc IBSS
25 计算机网络安全概论
2.2 IEEE802.11i简介
❖ 在无线局域网发展的早期,MAC过滤和SSID匹配是两项主 要的安全技术。但较弱,就出现了WEP协议(加密传输) 。为了弥补WEP的缺陷,端口访问控制技术(IEEE802.1x) 和可扩展认证协议(EAP)被提出来。IEEE802.1x可以提 供身份验证的网络访问。Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是作为通向IEEE802.11i道路中 不可缺少的一环而出现的。WPA的核心是临时密钥完整协 议(Temporal Key Protocol,TKIP).TKIP提高了安全强度 ,但没有解决根本问题。
❖ 2004年6月,IEEE802.11i工作组正式发布了 IEEE802.11i,以加强无线局域网络的安全性。
❖ IEEE802.11i标准包括WPA和RSN两部分。
❖RSN是AP与移动设备之间动态协商认证和加密算法。认 证方案基于IEEE802.1X和EAP,加密算法定义了TKIP、 CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP( Wireless Robust Authenticated Protocol)三种加密 机制。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter- mode/CBC-MAC)认 证方式,是实现RSN的强制性要求。
等)
4
无线个域网技术—HomeRF
专门为家庭用户设计的一种近距离网络技术标准 使用跳频扩频方式,时分复用(语音), CSMA/CA协议(
数据).提供TCP/IP集成,支持广播、多播. 工作频率2.4GHZ,2Mbps10Mbps, >100M
5
无线个域网技术—IrDA
IrDA (Infrared Data Association)利用红外线进行点对 点通信的技术
尽其责而又协调地自动地形成有序结 构,就是自组织。 自创生、自复制、自生长、自适2应0
计算机网络安全概论
2 无线局域网的安全性
无线局域网的发展
❖是计算机网络技术和无线通信相结合的产物 ❖1977年IEEE802.11b标准的制定促使了各厂商产
品的兼容,使无线局域网进入了一个飞速发展的 阶段。
❖无线局域网的MAC层和物理层规范主要有 IEEE802.11b\a\g.
❖ WEP协议没有指定密钥分发的机制,因为WEP协议采用的是共 享密钥,所以密钥分发过程中可能存在安全隐患。
❖ WEP协议采用RC4算法,RC4算法本身有缺陷。 ❖ WEP标准允许IV重复使用(平均大约每5小时重复一次)。这
一特性会使得攻击WEP变得更加容易。 ❖ WEP标准不提供自动修改密钥的方法。因此只能手动对AP及其
15
基础设施模式 (WLAN的典型模式)
16
ad hoc模式
17
1.1无线网络的安全威胁
与传统的有线网络所共有的:
❖恶意的实体通过无线网络绕过防火墙的保护而 获得对内部网络的非授权访问。
❖恶意用户偷窃合法用户的身份信息,在公司内 部网络或外部网络中伪装成合法用户
❖恶意用户可能会破坏合法用户的隐私,并且跟 踪他们的活动。
初始化向量 密钥
并 Seed
置
伪随机 数生成
器
密钥流
异 或
IV 密 文
明文
并
完整性算法 ICV 置 WEP 加密过程
23 计算机网络安全概论
2.1 WEP协议
并
密钥
置
IV 密 文
伪 随机数 生成器
完整性 ICV’ 算法 异
或
相等?
ICV
WEP解密过程
24 计算机网络安全概论
2.1 WEP协议
WEP协议的安全性问题
1.2无线网络的安全现状
无线局域网络的安全标准IEEE 802.11i于 2004年6月发布。该标准包括WPA的RSN( Robust Security Network)
蓝牙标准中,安全分为三种模式:无安全模 式、服务层加强安全模式和链路层加强安全 模式。
如果一个系统靠外部指令而形成组织
无线自组织网络和,无就是线他传组感织;器如网果络不存是在当外前部指安令 全研究的热点。 ,系统按照相互默契的某种规则,各
Intel和Alcatel推出基于WiMAX无线通信技术的产品 ETSI 研究HIPERMAN技术
7
WWAN--- 蜂窝系统(Cellular Systems)
2G (GSM:Global System for Mobile communications )
2.5G
-- GPRS (General Packet Radio Service)
❖ TKIP:和WEP一样基于RC4算法,但TKIP密钥长度是128位,初始化 向量长度由24位增加到48位,并对WEP协议进行了改造:每发一个 包重新生成一个新的密钥;消息完整性检查(MIC);具有序列功能 的初始向量;密钥生成和定期更新功能
26 计算机网络安全概论
2.2 IEEE802.11i简介