无线局域网络安全
802.11标准下的拓扑结构:独立基本服务集IBSS、扩展服务集ESS。
IEEE802.11标准称之为基本服务集BBS。
IBSS:一个独立的BSS,没有中枢节点,至少包括两个无线站点。
ESS:BSS通过AP和分布式系统连接。AP是网络的中心节点,为BSS提供到分布式系统的接口。
IEEE802.11标准被看作网络中的物理层和数据链路层。
数据链路层最重要的功能之一是介质访问控制MAC。
MAC子层协议控制单元:激活数据链路。
MAC子层管理实体:实现对MAC子层协议控制单元的管理。
物理层用来保证通信信道上传输正确的原始比特流,建立、维持和释放数据链路实体间的连接。
物理介质依赖(PMD)子层:定义在两个或多个站点之间通过无线介质发送或接收数据的特性。
物理层会聚(PLCP)子层:把MAC子层协议数据包(MPDU)映射成适合在两个或多个站点的对等PMD系统之间传送的用户数据和管理信息。
物理层管理实体:为本地物理层提供管理功能。
分布式协调功能(DCF)和点协调功能(PCF)能再同一个基本服务组(BSS)中提供并行的可选的竞争和无竞争访问期。
符合IEEE802.11协议的无线局域网中传送的数据类型:控制帧、数据帧、管理帧。
无线局域网安全电路设计:
一是站点的入网认证,得到授权后才能加入网络与其他站点通信。
入网认证状态:原始状态、通过认证但未连接状态、成功入网状态。
二是保障数据在网络传送的数据的安全性。
IEEE802.11认证方式:开放系统认证、共享密钥认证。
WEP算法:利用一个外部的密钥管理程序来分发网络中所使用的密钥,而网络中的站点利用这个密钥对要传送的数据进行加密,或者对接受到的数据进行解密。
WEP协议隐患:初始向量的复用、针对数据完整性的攻击。
TKIP算法:采用消息完整码(MIC)校验算法,解决初始向量复用和Active攻击问题。
IPSEC
IPSEC保护形式:源验证、无连接数据的完整性验证、数据内容的保密性、抗重放攻击以及有限的数据流机密性保证。
IPSEC协议族:头认证(AH)协议、封装安全负载(ESP)协议以及公钥基础设施协议*。
IP头认证:提供无连接的完整性的验证、数据源认证、选择性抗重播服务。
封装安全负载:提供加密、有限传输流加密。
安全关联(SA)决定因素:安全参数索引(SPI)、IPSEC协议值、要向其应用SA的目标地址。
IPSEC策略由安全策略数据库(SPD)维护。
IPSEC通信到IPSEC策略的映射关系是由选择符来建立的。
Internet 密钥交换(IKE)在IPSEC通信双方之间,建立起共享安全参数及验证过的密钥。
IKE以保护组的形式来定义策略。
SA使用模式:
传输模式SA:两台主机间的安全连接。
隧道模式SA:运用于IP隧道的SA。只要安全连接的任意一端是安全网关,SA就是隧道模式。
SA组合成束方式:
传输串接:对同一个IP报文使用多于一个安全协议,使用传输方式。
嵌套隧道:一种对安全协议的多层次应用,这一安全协议是通过IP隧道实现的。
封装安全负载(ESP)协议:确保IP包数据的保密性、完整性以及源认证,防范重放攻击。
ESP提供了机密性以及身份验证机制。
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
验证头(AH):提供数据的完整性、数据源认证以及抗重播攻击,不能保证数据的机密性。
TCP层安全SSL/TLS
SSL安全套接层 TLS传输层安全
SSL依靠客户和服务器之间的报文交换来进行通信。
SSL操作:建立安全通信;结束安全通信;验证服务器身份;将加密和认证分离;认证客户端的身份;重新开始以前的会话。
SSL报文格式:传输层TCP、Record层、ChangeCipherSpec协议、Alert协议、HandShake协议、安全报文
ChangeCipherSpec协议:改变密码学服务参数。
Alert协议:指示错误或者警告信息。
HandShake协议:用来进行会话参数的协商过程。
SSL安全服务:加密、报文完整性验证
TLS的安全警告信息类型数目是SSL的两倍。
TLS是用来进行报文验证的算法,SSL报文认证中混合了密钥消息和应用层数据。
参考书籍:网络安全基础与应用—张千里