[所有分类]chap2-wlan安全机制2

[所有分类]chap2-wlan安全机制2

ID:18297874

大小:2.34 MB

页数:112页

时间:2018-09-16

[所有分类]chap2-wlan安全机制2_第1页
[所有分类]chap2-wlan安全机制2_第2页
[所有分类]chap2-wlan安全机制2_第3页
[所有分类]chap2-wlan安全机制2_第4页
[所有分类]chap2-wlan安全机制2_第5页
资源描述:

《[所有分类]chap2-wlan安全机制2》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第二章WLAN安全机制分析(2)内容WLAN受到的攻击威胁WLAN安全机制发展过程WEP802.1xWAPI802.11i2.4.1认证技术(1)消息认证:用于保证信息的完整性和抗否认性;消息认证的有关内容参见加密解密部分和数字签名部分。(2)身份认证:用于鉴别用户身份。包括(a)识别:明确并区分访问者的身份;(b)验证:对访问者声称的身份进行确认2.4802.11中认证技术用户在协商会话密钥时,还需要对对方身份进行认证。因此,会话密钥建立方案也需要具有认证功能,通常将认证方案与密钥分配方案结合在一起,简称为认证方案。认证方案两个目的(1)认证网络用户的身份(2)认证

2、会话密钥认证方案中验证方的检验内容包括:消息是谁产生的,即认证方案中的密文或数字签名由谁产生。消息的完整性检测,防止篡改消息产生时间的验证,防止重放攻击认证发展历程认证方案最早应用:用户使用计算机资源时,必须通过终端输入口令。认证理论在20世纪80年代,由Simmons系统提出1978年,Needham和Schroder首次用加密技术设计了大规模计算机网络的认证方案,并以随机数作为“挑战”以相互证明身份,身份认证和密钥分配均基于可以信赖的第三方(认证服务器)1981,Denning和Sacco该协议存在安全缺陷可以对其进行重放攻击2021/6/27Needham-Sc

3、hroeder改进协议2.4.KDCAB1.IDA

4、

5、IDB3.5.以时戳替代随机数,用以向A,B保证Ks的新鲜性

6、Clock-T

7、<⊿t1+⊿t2Clock:本地时钟⊿t1:本地时钟与KDC时钟误差估计值⊿t2:网络延迟时间要求各方时钟同步如果发方时钟超前B方时钟,可能导致等待重放攻击认证发展历程4.基于上述3和4两种方案,MIT(麻省理工学院)开发了Kerberos认证方案a.口令容易被截获,容易受到猜测攻击b.方案中有冗余,有些消息不需要加密c.时间同步是个问题。5.1983年,Bauer、Berson、Freiertag提出了利用累加值的新鲜性,以取代时间戳。

8、但在用户数比较多情况下,维持同步依然是个困难的工作对于这方面的研究,仍旧停留在随机数、时间戳、累积器值3中选择之中。6.1989年,L.Gong提出利用杂凑函数来设计认证方案;7.R.Bird等人将上述思想与密钥密码体制相结合,设计出认证方案8…..根据所采用的密码体制的不同,认证方案分为:单钥密码体制和双钥密码体制。前面讨论的认证方案主要是单钥密码体制,需要双方共享一个密钥,密钥需要安全管理。公钥算法比较复杂,但是可以简化网络结构,使用较普遍。(1)1976,DH密钥交换方案。在没有共享任何密钥的两个用户间建立会话密钥。(2)1982年,I.Ingemarsson、

9、Tang、和Wong对DH进行扩展,提出会议密钥分配方案.(3)1984年,A.Shamir提出基于身份的安全公钥思想,省去了证书问题,以用户身份为公钥。无论单钥密码体制和双钥密码体制,都必须采用基于可以信赖的第三方的认证模式。所谓认证(Authentication),是指验证某个所声明的身份的有效性。在实际中,包括单向认证和双向认证。通常在无线通信网设计时,遵循以下规范:(1)用户身份保密:由于用户当前所处的位置对攻击者来说可能有特殊的价值(如实施跟踪),因此,应当对用户的身份进行保护,以防泄露。2.4.2无线通信网下认证的设计规范(2)安全区域分割:在无线通信中,

10、用户可以跨地区、跨国家进行漫游。对许多系统来讲,与用户有关的秘密消息,如秘密的认证钥、口令均放于他的归属网络中。当用户在其他的网络中漫游时,这些秘密信息不能从他的归属网络泄露给其他的网络。(3)对用户透明:所谓对用户透明,是指用户在被访问网络中的认证协议与在归属网中的认证协议兼容。(4)通信实体间的相互认证:为了防止各种假冒攻击,移动用户与服务网络之间相互认证,以保证通信双方的合法性。(5)业务的不可抵赖性:对于业务的提供者来说,总希望拥有确凿的证据使得用户无法抵赖他应缴纳的费用。同时,还应该避免由于统计错误和安全缺陷所导致的错误。(6)不对称的计算量:移动通信系统中

11、,用户端和网络端所具有的计算能力有很大的差别。因此,在设计认证协议时,应尽量减少用户的计算负荷,而将大量的运算留给网络去完成。(7)不同的时延要求:对于位置登记、呼叫建立、异区切换等不同的移动管理规程来说,对时延有不同的要求。位置登记时对认证执行时延的要求不太苛刻,因为它可以在用户的空闲时间完成。而对于呼叫建立和异区切换规程来说,对时延的要求比较严格。尤其对异区切换来说,总希望认证协议的执行在切换的判决阶段内完成。(8)最少的安全假设:在设计协议时,应尽量的减少对用户和网络所做的各种安全假设的数目。(9)简单的网络结构,减少网络存储用户密钥:公钥体制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。