第十章無線網(wǎng)絡(luò)的安全技術(shù)計算機(jī)網(wǎng)絡(luò)安全概論2一、無線網(wǎng)絡(luò)技術(shù)概述

無線網(wǎng)絡(luò)是在無線設(shè)備之間、無線設(shè)備與傳統(tǒng)有線網(wǎng)絡(luò)（如企業(yè)網(wǎng)、因特網(wǎng)）設(shè)備之間充當(dāng)傳輸機(jī)制的網(wǎng)絡(luò)。無線個域網(wǎng)(個域)無線局域網(wǎng)(局域)無線城域網(wǎng)(城域)蜂窩系統(tǒng)(廣域)衛(wèi)星通信網(wǎng)絡(luò)（覆蓋全球）3無線個域網(wǎng)(WPAN)藍(lán)牙(Bluetooth)技術(shù)HomeRFIrDA4

無線個域網(wǎng)技術(shù)—藍(lán)牙藍(lán)牙(Bluetooth)IEEE802.15(WiMedia)--工作在2.4GHZ,使用跳頻技術(shù)

--中低速率(目前721Kbps,Bluetooth2.012Mbps--支持語音和數(shù)據(jù)傳輸

--適合用無線替代電纜的場合

--低價位、低功耗

--短距離(通常<10M,最大100M)--應(yīng)用漸多（無線耳機(jī)、藍(lán)牙數(shù)碼相機(jī)等）5

無線個域網(wǎng)技術(shù)—HomeRF專門為家庭用戶設(shè)計的一種近距離網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)使用跳頻擴(kuò)頻方式，時分復(fù)用(語音),CSMA/CA協(xié)議(數(shù)據(jù)).提供TCP/IP集成，支持廣播、多播.工作頻率2.4GHZ，2Mbps10Mbps,>100M6

無線個域網(wǎng)技術(shù)—IrDAIrDA(InfraredDataAssociation)利用紅外線進(jìn)行點(diǎn)對點(diǎn)通信的技術(shù)FIR(FastInfrared),4Mbps,30度

VFIR,16Mbps,120度USB-IrDA設(shè)備體積小、功率低、適合設(shè)備移動需要視距傳輸技術(shù)7無線城域網(wǎng)IEEE802.16a

(WiMax:WorldInteroperabilityforMicrowaveAccess)

--數(shù)據(jù)傳輸率為70Mbps--覆蓋范圍約為50公里

--使用2GHz～11GHz頻帶

--在Wi-FiAP設(shè)備中嵌入IEEE802.16a接口Intel和Alcatel推出基于WiMAX無線通信技術(shù)的產(chǎn)品ETSI

研究HIPERMAN技術(shù)8

WWAN---蜂窩系統(tǒng)(CellularSystems)2G(GSM：GlobalSystemforMobilecommunications)2.5G

--GPRS(GeneralPacketRadioService)--CDMA20001x(CodeDivisionMultipleAccess)3G(UMTS:UniversalMobileTelecommunicationsSystem）--最大2Mbps--支持IP

ITU標(biāo)準(zhǔn)：

--TD-SCDMA(TimeDivision-SynchronousCodeDivisionMultipleAccess

)(基于GSM核心網(wǎng)，中國大唐電信)--WCDMA(基于GSM核心網(wǎng)，歐洲Nokia等)--CDMA2000(基于CDMA1x核心網(wǎng)，美國Qualcomm)后3G和4G

9衛(wèi)星通信網(wǎng)絡(luò)寬覆蓋、廣播能力強(qiáng)、無地域條件限制信道差錯率、傳播延遲、信道不對稱無線Internet的重要組成部分衛(wèi)星IP網(wǎng)絡(luò),寬帶網(wǎng)絡(luò)

--IPoverSatellite--IPoverSatelliteATM改進(jìn)TCP、通信流量擁塞控制和協(xié)議帶寬效率

10無線局域網(wǎng)（WLAN）三大標(biāo)準(zhǔn)系列:IEEE802.11IEEE802.11a(Wi-Fi5)IEEE802.11b(Wi-Fi:WirelessFidelity)ETSIETSIHIPERLAN/1ETSIHIPERLAN/2日本的MMAC系列標(biāo)準(zhǔn)

HiSWANaHiSWANb11IEEE802.11系列標(biāo)準(zhǔn)12

三種IEEEWLAN標(biāo)準(zhǔn)比較802.11aWi-Fi5802.11bWi-Fi802.11g(兼容11b)工作頻率5G

2.4G2.4G傳輸率54Mbps11Mbps54Mbps調(diào)制類型OFDM(正交頻分復(fù)用)DSSS(直接序列展頻)OFDM13兩種ETSIWLAN標(biāo)準(zhǔn)比較HIPERLAN/1HIPERLAN/2工作頻率

5GHZ

5GHZ帶寬

20Mbps

54Mbps14802.11MAC層協(xié)調(diào)功能分布協(xié)調(diào)功能(DCF)支持分布式基于競爭的信道訪問(CSMA/CA)既可用于基礎(chǔ)設(shè)施BSS也可用于adhocIBSS接入點(diǎn)協(xié)調(diào)功能(PCF)支持集中式無競爭信道訪問將由一AP來控制對介質(zhì)的所有訪問僅用于基礎(chǔ)設(shè)施BSS可伸縮性較差15WLAN的兩種應(yīng)用模式基礎(chǔ)設(shè)施模式(Infrastructure-based)(WLAN的典型模式)adhoc模式(Infrastructure-less)16基礎(chǔ)設(shè)施模式(WLAN的典型模式)17adhoc模式計算機(jī)網(wǎng)絡(luò)安全概論181.1無線網(wǎng)絡(luò)的安全威脅與傳統(tǒng)的有線網(wǎng)絡(luò)所共有的：惡意的實(shí)體通過無線網(wǎng)絡(luò)繞過防火墻的保護(hù)而獲得對內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。惡意用戶偷竊合法用戶的身份信息，在公司內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)中偽裝成合法用戶惡意用戶可能會破壞合法用戶的隱私，并且跟蹤他們的活動。內(nèi)部或外部的入侵者可能獲得對網(wǎng)絡(luò)管理的控制，從而破壞對網(wǎng)絡(luò)的管理。計算機(jī)網(wǎng)柄絡(luò)安全概腎論191.1無線網(wǎng)絡(luò)泳的安全威續(xù)脅特有的安球全漏洞：傳輸信斧息沒有蒼加密或床加密很樂弱，易飄被竅取燭、篡改妹和插入無線連接車的設(shè)備可粥能遭到DOS攻擊手持設(shè)備趕容易被盜嬸竊，從而柜暴露敏感屆信息病毒或蓮其他惡兄意的代干碼可能朋會損害磚數(shù)據(jù)或制無線連盲接，它禍們會傳毅播到有蹈線網(wǎng)絡(luò)駱中去。惡意的用按戶為了發(fā)掌起攻擊或半隱藏他們及自己的行貪動而通過劫無線連接曲接入別人博的網(wǎng)絡(luò)中津（即中間練人攻擊）惡意的隱用戶可芽能使用鄰第三方拍、非信爆任的無努線網(wǎng)絡(luò)箱獲得使塔用代理催或其他槽組織的稿網(wǎng)絡(luò)資樓源。通過AdH徒oc傳輸使跨得內(nèi)部志攻擊成陜?yōu)榭赡芩蕖o線網(wǎng)殲絡(luò)的可帆靠性（監(jiān)節(jié)能減班耗問題朗等）計算機(jī)縱網(wǎng)絡(luò)安妙全概論201.2無線網(wǎng)棍絡(luò)的安蒙全現(xiàn)狀無線局躍域網(wǎng)絡(luò)長的安全含標(biāo)準(zhǔn)IEEE筍802漁.11i于2004年6月發(fā)布。爺該標(biāo)準(zhǔn)包銹括WPA的RSN（Rob趁ust揉Se投cur貞ity泥Ne遞two揮rk)藍(lán)牙標(biāo)準(zhǔn)藝中，安全覺分為三種其模式：無英安全模式財、服務(wù)層松加強(qiáng)安全秋模式和鏈稿路層加強(qiáng)蔽安全模式快。無線自組幼織網(wǎng)絡(luò)和疏無線傳感腫器網(wǎng)絡(luò)是棋當(dāng)前安全距研究的熱反點(diǎn)。如果一個澆系統(tǒng)靠外豬部指令而潛形成組織饞，就是他做組織；如濕果不存在但外部指令勉，系統(tǒng)按漂照相互默溝契的某種災(zāi)規(guī)則，各防盡其責(zé)而濫又協(xié)調(diào)地朱自動地形宋成有序結(jié)康構(gòu)，就是歇自組織。自創(chuàng)生、廣自復(fù)制、芝自生長、條自適應(yīng)計算機(jī)網(wǎng)栽絡(luò)安全概糞論212無線局趴域網(wǎng)的辨安全性無線局刃域網(wǎng)的援發(fā)展是計算水機(jī)網(wǎng)絡(luò)逝技術(shù)和支無線通型信相結(jié)沾合的產(chǎn)盯物197童7年IEEE巡壽802.繳11b標(biāo)準(zhǔn)的制捐定促使了諸各廠商產(chǎn)黑品的兼容宇，使無線云局域網(wǎng)進(jìn)吧入了一個沃飛速發(fā)展健的階段。無線局域晨網(wǎng)的MAC層和物理蛙層規(guī)范主秀要有IEE駐E80旦2.1臂1b\孩a\g件.無線局域東網(wǎng)設(shè)備有奔無線網(wǎng)卡柴、無線網(wǎng)箏橋、接入炊點(diǎn)、無線山路由器等每。無線局域猶網(wǎng)體系結(jié)滾構(gòu)主要有望兩種：有窮基站的結(jié)坐構(gòu)、沒有抱基站的結(jié)均構(gòu)。計算機(jī)通網(wǎng)絡(luò)安嘉全概論222無線局演域網(wǎng)的圣安全性無線局稠域網(wǎng)的鹿安全性包括兩善個方面棚：訪問抵控制和肆保密性援。主要有：嫂服務(wù)集標(biāo)豆識（Ser夢vic像eS黃et駱I(yè)D,寧SSI泉D)、MAC地址過污濾、WEP協(xié)議、沈端口訪闖問控制碼技術(shù)（802.活1X）以及2004年6月發(fā)布漠的IEE跨E80蛛2.1淋1i標(biāo)準(zhǔn)規(guī)軋范。服務(wù)集折標(biāo)識是俗對不同翼的AP配置不同很的SSI五D，要求無屬線工作站域必須出示識正確的SSI轉(zhuǎn)D才能訪問迅網(wǎng)絡(luò)，這狠相當(dāng)于一癢個口令字譽(yù)。因為每梨?zhèn)€無線工取作站都唐有一個唯寧一的MAC地址，通鎮(zhèn)過在AP中手工維摩護(hù)一個MAC地址表可捆以實(shí)現(xiàn)物遙理地址過踐濾。802瘡.1X是一種基轟于端口的澤訪問控制畫技術(shù)，無即線工作站受能否訪問耗網(wǎng)絡(luò)取決毒于認(rèn)證的毛結(jié)果。其敗中WEP協(xié)議和802.美11i標(biāo)準(zhǔn)是無罵線局域網(wǎng)崗發(fā)展過程絹中最重要扔的安全技奶術(shù)，它們設(shè)是標(biāo)準(zhǔn)安未全規(guī)范。計算機(jī)魂網(wǎng)絡(luò)安熟全概論232.1枝WE古P協(xié)議WEP協(xié)議是IEE抓E80圾2.1棄1可選加仗密標(biāo)準(zhǔn)匙，實(shí)現(xiàn)肺在MAC層。絕墳大多數(shù)醫(yī)無線網(wǎng)屬卡和AP供應(yīng)商支剖持WEP協(xié)議。如果用朵戶激活WEP，網(wǎng)卡或AP將使用流節(jié)密鑰加密披（Str鉆eam證Ci的phe桂r)I挖EEE件802燈.11幀中的負(fù)葛荷部分，街然后再發(fā)摘送數(shù)據(jù)。眾接收端的均無線網(wǎng)卡崖或AP將解密冷接收的程幀。所洪以，WEP協(xié)議只在伍無線發(fā)送齡端和無線喇接收端有悅效，一旦漂數(shù)據(jù)進(jìn)入乒常規(guī)有線王網(wǎng)絡(luò)，數(shù)爽據(jù)不再被兆加密。并置偽隨機(jī)數(shù)生成器異或并置IV密文完整性算法初始化向量密鑰Seed密鑰流ICV明文WEP加密過添程計算機(jī)攝網(wǎng)絡(luò)安陜?nèi)耪?42.1夏WEP協(xié)議并置偽隨機(jī)數(shù)生成器異或IV密文完整性算法ICV’ICV相等？密鑰WEP解密過井程計算機(jī)網(wǎng)妨絡(luò)安全概僵論252.1方WE歇P協(xié)議WEP協(xié)議的盈安全性窩問題WEP協(xié)議沒有伴指定密鑰估分發(fā)的機(jī)疑制，因為WEP協(xié)議采秘用的是宇共享密戰(zhàn)鑰，所央以密鑰鎖分發(fā)過玩程中可塵能存在均安全隱分患。WEP協(xié)議采朝用RC4算法，RC4算法本身劑有缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用咐（平均大晉約每5小時重復(fù)春一次）。嶺這一特性肉會使得攻命擊WEP變得更臉加容易瓣。WEP標(biāo)準(zhǔn)不提澡供自動修屬改密鑰的甲方法。因波此只能手短動對AP及其移動扁工作站重惰新設(shè)置密構(gòu)鑰。由于卸在實(shí)際情謙況中，很旋少有人經(jīng)跟常更新密聰鑰，這樣續(xù)第三方可揪能收集無嬸線局域局蝴的流量，矩為密鑰破奶解提供分彼析數(shù)據(jù)。早期WEP中提供40位加密---央-密鑰強(qiáng)宵度低。香更現(xiàn)代醫(yī)的系統(tǒng)箭提供128位的WEP熄;12租8位的密鑰膊長度減去24位的IV后，實(shí)將際有效性的密鑰坦長度為104位，這在繼一定程度允上加強(qiáng)了WEP協(xié)議。如果協(xié)克議不是溫非常地菜敏感，WEP協(xié)議也詳就足夠滅了。但緩要注意WEP并不是無禽懈可擊，晃使用WEP協(xié)議的僑時候，集最好使菠用128位密鑰;另外，IV應(yīng)該經(jīng)渣常變更尋，最好腿是每個汗數(shù)據(jù)包臉采用一進(jìn)個新的IV。這樣殘可以使文入侵者誼破解密揚(yáng)鑰更加校困難。計算機(jī)于網(wǎng)絡(luò)安頑全概論262.2喪IEEE脖802.割11i簡介在無線局跪域網(wǎng)發(fā)展侍的早期，MAC過濾和SSID匹配是兩夜項主要的共安全技術(shù)忌。但較弱廉，就出現(xiàn)滋了WEP協(xié)議（竿加密傳蛇輸）。秤為了彌真補(bǔ)WEP的缺陷，翼端口訪問出控制技術(shù)腐（IEEE恭802.沙1x)和可擴(kuò)展選認(rèn)證協(xié)議響（EAP）被提出井來。IEE肆E80哪2.1動x可以提供唯身份驗證筋的網(wǎng)絡(luò)訪聽問。Wi-悄Fi保護(hù)接斧入（Wi-F殺iPr冰otec康ted壁Acce嚴(yán)ss，WPA）是作為仇通向IEEE犧802.獅11i道路中不似可缺少的啞一環(huán)而出牧現(xiàn)的。WPA的核心是鼓臨時密鑰福完整協(xié)議池（Tem姿por房誠al芹Key軟Pr揚(yáng)oto災(zāi)col返,TK害IP)票.TK季IP提高了責(zé)安全強(qiáng)賤度，但尺沒有解游決根本反問題。TKI侮P(guān)：和WEP一樣基于RC4算法，但TKI筍P密鑰長漠度是128位，初始叉化向量長臨度由24位增加到48位，并對WEP協(xié)議進(jìn)行參了改造：銅每發(fā)一個習(xí)包重新生咬成一個新尺的密鑰;消息完結(jié)整性檢旺查（MIC）;具有序列快功能的初執(zhí)始向量;密鑰生毯成和定魔期更新示功能計算機(jī)網(wǎng)則絡(luò)安全概藥論272.2債IEEE憐802.堵11i簡介200紅4年6月，IEEE犧802.餃11i工作組正爸式發(fā)布了IEE韻E80胖2.1灘1i，以加當(dāng)強(qiáng)無線況局域網(wǎng)屆絡(luò)的安普全性。IEEE鍋802.唉11i標(biāo)準(zhǔn)包括WPA和RSN兩部分蠟。RSN是AP與移動設(shè)事備之間動蠢態(tài)協(xié)商認(rèn)綱證和加密原算法。認(rèn)此證方案基軍于IEEE佛802.查1X和EAP，加密算宣法定義了TKI枯P、CCM慈P（Cou竊nte科r-M賄ode掛/CB繳C-M肉AC桃Pro尿toc傾ol）和WRAP（Wir玻ele善ss蕩Rob斜ust缺Au枕the膜nti易cat診ed耍Pro披toc巴ol)三種加鍛密機(jī)制鳳。CCM寺P機(jī)制基恒于AES（Adva燒nced佳Enc怕rypt辟ion餡Stan紛dard僵)加密算旗法和CCM鎖(Co拜unt堂er-于mo踩de/棉CBC內(nèi)-MA御C)認(rèn)證方紗式，是旬實(shí)現(xiàn)RSN的強(qiáng)制性冒要求。CCMP：是一卷個基于AES算法的數(shù)半據(jù)加密模戀式。CCMP也采用伸了48位具有嚼序列功紅能的初匙始化向較量IV，完整醉性檢測航算法采賀用CCM算法。AES是一種對挎稱的塊加歲密技術(shù)，窮使用128位分組加末密數(shù)據(jù)，尋加密密鑰慚長度也是128位。計算機(jī)網(wǎng)紋絡(luò)安全概射論282.2揪IEEE務(wù)802.擴(kuò)11i簡介IEE慣E80起2.1勻x和EAP：IEE莖E80烤2.1梅x是一種賺基于端砌口的網(wǎng)論絡(luò)訪問貍控制技惰術(shù)，它串提供了庸一個用航戶認(rèn)證刻的密鑰芬分發(fā)的裹框架，居用戶只列有在通梅過認(rèn)證嘩后才能吉訪問網(wǎng)館絡(luò)。IEEE抓802.王1x和EAP相互配合稀實(shí)現(xiàn)用戶嗚認(rèn)證和密榜鑰分發(fā)，IEEE緒802.墊1x本身并不屢提供實(shí)際逐的認(rèn)證機(jī)友制。EAP對原有層的機(jī)制嫁進(jìn)行了態(tài)改進(jìn)：瀉雙向認(rèn)皇證機(jī)制億，消除算了中間烘人攻擊;集中化謝認(rèn)證管懼理和動獲態(tài)分配成密鑰機(jī)攤制，它銀解決了喊密鑰管社理上的插困難;集中策略納控制，當(dāng)貞連接會話飽超時時，揀它將激活百重新認(rèn)證淹和生成新向的密鑰。計算機(jī)傭網(wǎng)絡(luò)安院全概論292.2攪IEEE花802.嚇11i簡介IEE例E80沉2.1臨x體系結(jié)哥構(gòu)有三支個實(shí)體母：申請員者、認(rèn)幟證者和施認(rèn)證服卷務(wù)器。夏認(rèn)證者霞一般是AP，它有飲兩個端助口：受喝控端口猜和非受譯控端口醉。非受悔控端口煌只允許EAP幀通過伍。認(rèn)證環(huán)過程中橋，申請瀉者通過獲非受控謙端口和AP交換信息辣，若申請廉者通過認(rèn)蠅證，AP為申請瓜者打開晶受控端離口，申旺請者就曉可以通頓過受控題端口訪賺問網(wǎng)絡(luò)歪了。申請者認(rèn)證者認(rèn)證服孟務(wù)器EAP滴overRADI燦USEAP于overLAN計算機(jī)網(wǎng)襖絡(luò)安全概忠論302.2斯IE摸EE8須02.建11i簡介IEE客E80弦2.1弊x認(rèn)證過類程如下舞：申請者瘦向AP發(fā)起認(rèn)謙證請求;AP向認(rèn)證服稼務(wù)器轉(zhuǎn)發(fā)饅申請者的跨認(rèn)證請求;認(rèn)證服務(wù)雨器進(jìn)行認(rèn)堵證;認(rèn)證服務(wù)聽器發(fā)送同豎意或拒絕炊信息給AP;AP發(fā)送成功獅信息包或戰(zhàn)失敗數(shù)據(jù)桶包給申請只者。802.籮11i標(biāo)準(zhǔn)中的揀認(rèn)證方案殿基于802.嗓1x和EAP，加密格算法為AES。動態(tài)協(xié)積商認(rèn)證漆和加密療算法使RSN可以不斷收發(fā)展，與最新月的安全水往平保持同創(chuàng)步，添加灰新的算法箭應(yīng)對新的然威脅。由添于采用動禍態(tài)協(xié)商、802吉.1x、EAP和AES，故RSN比WEP和WPA可靠得槍多。缺王點(diǎn)是RSN和以前的廉安全體系它不兼容，亭不能在老膝的設(shè)備上姑運(yùn)行，只辭有遵循了IEEE區(qū)802.縫11i標(biāo)準(zhǔn)的設(shè)身備才擁有貧實(shí)現(xiàn)加密伏算法所需嗓的能力。申請者認(rèn)證者認(rèn)證服務(wù)邪器EAP可ov支erRAD讓IUSEAP昏overLAN計算機(jī)詢網(wǎng)絡(luò)安尸全概論313.藍(lán)牙安倒全性是提供短湯距離對等計通訊的技歌術(shù)。是一臨種無線數(shù)友據(jù)與語音割通信的開戴放性全球蹈規(guī)范，以凳低成本的名近距離無飼線連接為櫻基礎(chǔ)，為削固定與移莖動設(shè)備通位信環(huán)境建接立一個特騙別的連接羽。其目的贊是取代現(xiàn)趣有的PC機(jī)、打負(fù)印機(jī)、尼傳真機(jī)哀和移動境電話等色設(shè)備上逝的有線騙接口。藍(lán)牙(Blu圈etoo艘th)裁IEE子E80裕2.15織(WiM邀edi廣a)--工作在2.4領(lǐng)GHZ茅,使用跳好頻技術(shù)--中低速值率(目前721K矛bps,齒Bl獲ueto撞oth爛2.012Mb春ps--支持語音恨和數(shù)據(jù)傳惡輸--適合用挖無線替者代電纜啟的場合--低價位亞、低功漆耗--短距離(通常<1床0M銹,最大100M菊)--應(yīng)用漸向多（無保線耳機(jī)落、藍(lán)牙期數(shù)碼相究機(jī)等）計算機(jī)畫網(wǎng)絡(luò)安幼全概論323.藍(lán)牙安并全性安全模式巾：無安全龜模式：帳設(shè)備不牛初始化淘任何安的全過程摧。在此創(chuàng)工作模戀式下，蛛藍(lán)牙設(shè)廊備工作樹在雜湊革模式下處，允許仔其他任即何設(shè)備花連接它慕。服務(wù)層加欄強(qiáng)安全模矮式：在邏既輯鏈路控患制和適配友協(xié)議層（L2C覆AP-銜Log氣ica蟲lL伴ink丹Co刺ntr料ol五and貞Ad務(wù)apt豆ati躬on弦Pro小toc團(tuán)ol混Lev死el)信道建立否后，安全差過程被初載始化。在貌此模式下持，一個安酬全管理器歡負(fù)責(zé)維護(hù)銹訪問控制絕策略以及某同別的協(xié)丈議和設(shè)備巴用戶的接鎮(zhèn)口。各種敲安全策略埋及受限訪簽問的信任摸級別將被穩(wěn)定義。即一些服撤務(wù)可以財被訪問熟而另一蝕些服務(wù)李不能被暑訪問，辜也由此司引入了趴授權(quán)的低概念。鏈路層加緊強(qiáng)安全模同式：信道貞建立之前搏，鏈路層漿加強(qiáng)安全耽模式被初畜始化。是必一種內(nèi)建哲的安全機(jī)推制，支持芝認(rèn)證和加腦密。這種企機(jī)制基于堤成對設(shè)備于秘密鏈路僑密鑰的基且礎(chǔ)上，為攜生成此密洽鑰，當(dāng)兩懶個設(shè)備第拖一次通信存的時候，循引入了一朵個匹配過內(nèi)程。計算機(jī)網(wǎng)耍絡(luò)安全概拉論333.1服務(wù)層安棗全加強(qiáng)模巡壽式安全管理著器負(fù)責(zé)維壘護(hù)訪問控陰制策略和熔別的設(shè)備達(dá)的接口以禍及設(shè)備用欠戶。所以潮通過安全除管理器，蒸可以控制海同意對一箏些設(shè)備的秒訪問，而狼拒絕對另推一些設(shè)備潤的訪問。尾即設(shè)備A是否容疑許訪問貓服務(wù)X。安全管理欲器執(zhí)行以上下幾個任糊務(wù)：保存與服緩務(wù)相關(guān)的及安全信息保存與斃設(shè)備相醫(yī)關(guān)的安星全信息通過協(xié)議罷實(shí)現(xiàn)或應(yīng)榴用程序來誰答復(fù)訪問珍請求在連接習(xí)應(yīng)用程塞序前執(zhí)捎行認(rèn)證蜜和加密初始化親或處理域來自設(shè)末備用戶蝦的輸入榨，并在優(yōu)設(shè)備層獻(xiàn)建立信壁任關(guān)系啟動質(zhì)姓詢PIN登錄。計算機(jī)私網(wǎng)絡(luò)安劑全概論343.1服務(wù)層枕安全加生強(qiáng)模式

UserInterface

ApplicationApplicationApplicationSecurityManagerRFCOMM(orothermultiplexingProtocol)L2CAP

HCI

LinkManager/LinkController

QueryRegistrationDeviceDatabaseServiceDatabaseGeneralMgmtEntity藍(lán)牙安全體系結(jié)構(gòu)存儲設(shè)備絲式相關(guān)信悠息。有三差種信任級旁別：Trus株ted(先前已辜被認(rèn)證四且鏈路收密鑰被毯保存在相數(shù)據(jù)庫傻中的設(shè)常備）、Untr釀uste節(jié)d(不被信任申的設(shè)備）錄、未知設(shè)脅備，沒有糞任何安全秀信息可以論獲得。存儲服務(wù)厲的安全級藏別。分為能三個安全兔層次：需沉要授權(quán)的慈服務(wù)、需額要認(rèn)證的閉服務(wù)和需蘋要加密的這服務(wù)計算機(jī)網(wǎng)報絡(luò)安全概女論353.1服務(wù)層安慌全加強(qiáng)模稠式訪問被信繳任服務(wù)的蒼流程：遠(yuǎn)端設(shè)備蕩請求訪問;連接請伙求提交脂給L2CA訪P;L2CA剖P請求安全兼管理器決蜓定是否同秩意訪問安全管理街器查詢設(shè)監(jiān)備和服務(wù)菠數(shù)據(jù)庫。如果設(shè)斗備是被終信任的耀設(shè)備，羽則或者掘執(zhí)行認(rèn)析證和授護(hù)權(quán)，或棍者不需踏要執(zhí)行散（依賴脊于具體墾實(shí)現(xiàn)）如是非郊信任設(shè)就備，安垃全管理御器或終機(jī)止設(shè)備淡的連接閉，或者銳實(shí)行授符權(quán)。當(dāng)隸交換鏈挽路密鑰昂時，認(rèn)歐證將會悄發(fā)生。毯安全管羊理可能欠會呼叫薯應(yīng)用層勁協(xié)議執(zhí)荒行應(yīng)用株層認(rèn)證擴(kuò)方案，挎這一點(diǎn)駁依賴于羞控制訪躺問的安梳全策略芳。通過痕安全管摔理接口涂，別的腫安全策煮略也可技以被支驕持。然后，安菊全管理器方?jīng)Q定訪問偽服務(wù)是否顫需要鏈路脅加密。如宿果需要，嚼在L2CA逗P協(xié)議層卡，密鑰晃將被協(xié)濁商和交扶換，繼慕續(xù)建立掠連接過蹄程。計算機(jī)拼網(wǎng)絡(luò)安短全概論363.2鏈路層安嗽全加強(qiáng)模正式是指信道此建立之前范，初始化繡藍(lán)牙設(shè)備蒙的安全過份程。是一硬種內(nèi)建的杠安全機(jī)制疾，這種機(jī)吐制支持認(rèn)率證和加密廉，它基于公秘密鏈路肅密鑰的基奏礎(chǔ)上。為趕了生成該帆密鑰，兩術(shù)個設(shè)備第湊一次通訊浪時，使用堡一個稱為醒匹配的過制程。鏈路層存西在四種不菊同的實(shí)體泛來保證安蜂全。唯一舊的48位藍(lán)牙設(shè)郵備地址、用于認(rèn)圣證的128位鏈路妻密鑰（Link蟻Key丙)、8-1危28位不等長剝的加密密零鑰、128位隨機(jī)數(shù)。加密密獸鑰取自于龜初始化時寬期，通常閉來自于認(rèn)溉證密鑰。謎每次加密陷激活過程需都產(chǎn)生新洽的加密密油鑰。鏈路鎖層安全是羽通過認(rèn)證頃、匹配和服加密完成眉。計算機(jī)網(wǎng)珍絡(luò)安全概鈴論373.2鏈路層耽安全加藏強(qiáng)模式密鑰管理皇：鏈路密宅鑰在初始對化階段生因成。這個狼階段兩臺雖正在通信洽的設(shè)備被促關(guān)聯(lián)或綁尾定。用戶杏輸入相同徒的PIN給兩臺披設(shè)備，委兩臺關(guān)霞聯(lián)的設(shè)哥備同時再導(dǎo)出鏈賽路密鑰冒。初始夏化完成浴后，鏈怕路自動掀認(rèn)證和臣進(jìn)行鏈挑路加密盒。在藍(lán)碼牙設(shè)備俯使用的PIN碼的長伯度在1個字節(jié)和16個字節(jié)之株間變化。PIN通過E2算法生成年鏈路密鑰騾。鏈路密悔鑰分為組生合密鑰、如單元密鑰屯、主密鑰攻和初始密苗鑰。組合揀密鑰和單低元密鑰是誤半永久化辰的密鑰，補(bǔ)單元密鑰沒是每個設(shè)音備特有的乓私有密鑰讓，組合密朵鑰由通信套雙方的地險址確定。慈主密鑰用于廣名播，初始密鑰大僅在初始若化過程中尖有效。鏈藥路密鑰、96位的密騰碼偏移斧（COF）和128位的隨蜻機(jī)數(shù)作漠為參數(shù)彎，利用E3生成報亮文加密易密鑰。倉報文加經(jīng)密進(jìn)程優(yōu)由鏈路愁管理程輩序啟動郊，加密魚進(jìn)程在逆每次運(yùn)瘦行時都早生成不閉同的報劑文密鑰優(yōu)。PIN鏈路密鑰96位密碼偏移128位的隨機(jī)數(shù)報文加密密鑰E3加密算法E2算法計算機(jī)網(wǎng)恥絡(luò)安全概睛論383.2鏈路層壟安全加洋強(qiáng)模式認(rèn)證：昌藍(lán)牙中傭的鑒權(quán)莫采用競包爭-應(yīng)答機(jī)胞制。申頃請者對鋤密鑰字殿的確認(rèn)柱使用對香稱密鑰搶字經(jīng)2-MO攜V協(xié)議進(jìn)行癢認(rèn)證。申請者伐傳送一研個48位的地卷址給驗鑰證者。驗證者孔傳送一洪個128位的隨賞機(jī)數(shù)給搖申請者伐。驗證者直使用地敢址、隨蓄機(jī)數(shù)、需鏈路密哈鑰作為向輸入，置利用E1算法計喇算認(rèn)證算響應(yīng)。證申請者駁執(zhí)行相脊同的過角程。申請者返衛(wèi)回計算結(jié)淹果給驗證姨者如果兩乒者計算香結(jié)果相博等，則話繼續(xù)連蝦接建立董過程。計算機(jī)菠網(wǎng)絡(luò)安偽全概論393.2鏈路層安啟全加強(qiáng)模答式加密：霸藍(lán)牙規(guī)慣范允許3種不同的杏加密模式攔支持加密廟：加密模疼式1，任何流鴉量都沒有景加密;加密模式2，廣播流攤量沒有被怪加密，但襖單播流量壘被加密。邪加密模式3，所有的滑信息都被灰加密。加薪密過程如練下：鏈路密申鑰、時犬鐘信號威、地址抬和隨機(jī)錄數(shù)作為太輸入，汗利用密飲鑰生成愁器計算油出加密臨密鑰。加密密鑰收、系統(tǒng)時惹鐘和藍(lán)牙菌設(shè)備地址丘作為參數(shù)敬，利用E0算法生問成密鑰唱流。密鑰流妖和明文刃異或，扯生成密儲文;和密文異鮮或生成明戒文。計算機(jī)閑網(wǎng)絡(luò)安圈全概論403.3藍(lán)牙安姥全問題藍(lán)牙安拐全性是嚷相對的遞，在其泉體系中貢有諸多嘩弱點(diǎn)可姿以利用僻：單元密鑰泰重用的問沉題單元密鑰盡是藍(lán)牙設(shè)免備單元生雀成的鏈路騰密鑰，單宵元密鑰在建互相信任廟地利用同貝一單元密道鑰匹配的飲設(shè)備間使催用是安全嫂的。但如障果存在這梁樣一種情毅況，A設(shè)備和B設(shè)備通胸訊使用A的單元密別鑰。過一割段時間，A和C通訊，谷也同樣亦使用A的單元濕密鑰。敵而B保存了A的單元睛密鑰。版這樣B就可以使浴用A的單元窩密鑰解替密A和C的數(shù)據(jù)流快，或者冒淘充C。所以紅具有相免同單元冊密鑰的雙設(shè)備可葡以模擬搜其他任灑何和它書匹配的只設(shè)備。PIN碼.用于生答成鏈路蔽密鑰的PIN太短，容進(jìn)易被第三嚼方猜到。抵不存在生扶成分布式奪系統(tǒng)的PIN的方法。織在具有很伙多用戶的丘藍(lán)牙網(wǎng)絡(luò)同建立PIN非常困難已。規(guī)模性醫(yī)問題會產(chǎn)簽生安全問錫題。計算機(jī)系網(wǎng)絡(luò)安縣全概論413.3藍(lán)牙安全純問題認(rèn)證問題茅。Chen奔gall災(zāi)ge-r游espo挪nse機(jī)制的待偽隨機(jī)侄數(shù)生成批器，可瓶能會產(chǎn)法生一個貸靜態(tài)的費(fèi)或循環(huán)動產(chǎn)生的穿偽隨機(jī)羨數(shù)。不存在用交戶認(rèn)證。饑只有設(shè)備脈認(rèn)證。設(shè)備認(rèn)隙證方案酷僅僅是表單向的詠，可能四會遭到游中間人蛙攻擊，磚因此雙歲向認(rèn)證如機(jī)制應(yīng)框該被采歉納。其他安全軌問題藍(lán)牙設(shè)備疊應(yīng)開發(fā)限邀定非限制淺的用戶請滾求連接的姻功能，如趴超時功能探。隱私安全哄，如果一辛個特定用仗戶的藍(lán)牙躺設(shè)備被捕父獲，則這魔個用戶的尋活動就可富能被跟蹤及。不存在端胳到端的安楊全。被加嚼密的信息惠僅在兩個框藍(lán)牙設(shè)備宅中間被加嗽密。審計舟等安全服班務(wù)不存在野，可以在楊藍(lán)牙網(wǎng)絡(luò)胃中的特定俊點(diǎn)利用這儲些安全服亡務(wù)。計算機(jī)獵網(wǎng)絡(luò)安倉全概論424第三代子移動通教信網(wǎng)的爹安全性3G不僅提供速了更高的飼帶寬，而誤且允許人評們以安全感的方式傳熟輸音頻和角視頻信息獄。UMTS（Uni燒ver咳sal廁Mo承bil詳eT掌ele示com悲mun風(fēng)ica怖tio臺nS費(fèi)yst糧em)是最重要循的3G標(biāo)準(zhǔn)，它急的安全方縫案有如下哄一些功能秤：雙向認(rèn)浪證、密鑰戴協(xié)商、塊質(zhì)加密、完尋整性算法休和加密算擠法。安全體獄系結(jié)構(gòu)賄由一些剃安全功趕能和安階全機(jī)制磁組成。暈安全功招能分為5類，每珍一類面表對特定感的安全撤威脅并遺且到達(dá)透某一安的全目標(biāo)學(xué)。UMTS的五類功榜能是：網(wǎng)絡(luò)接將入安全:提供安全午地訪問3G服務(wù)并且懲防止對無性線鏈路的胸攻擊網(wǎng)絡(luò)域安什全：保證位服務(wù)商網(wǎng)剩絡(luò)中的結(jié)劑點(diǎn)安全地溉交換信令障并且防止鳳對有線網(wǎng)法絡(luò)的攻擊煉。用戶域安疾全：安全燥地訪問移罩動站應(yīng)用域鵝安全：秒是使在馬用戶方老和服務(wù)廚提供方伴的應(yīng)用剝程序安亡全地交角換信息違。安全的影可視性旬和可配遭置性：碑使用戶佩明白提麗供了那導(dǎo)些安全丈措施并革且這些禿安全服祖務(wù)的提園供是否孩依賴于均安全功索能的激控活。計算機(jī)同網(wǎng)絡(luò)安數(shù)全概論434第三代夕移動通延信網(wǎng)的械安全性用戶應(yīng)歉用服務(wù)商根應(yīng)用終端設(shè)備用戶業(yè)務(wù)識別模式移動終端接入網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)家用環(huán)境傳輸層家/業(yè)務(wù)層應(yīng)用層UMT候S的安全體板系計算機(jī)網(wǎng)棄絡(luò)安全概追論444第三代批移動通纏信網(wǎng)的閑安全性網(wǎng)絡(luò)接入退安全：分泛為實(shí)體認(rèn)躲證、加密美和數(shù)據(jù)完夸整性三類后。實(shí)體認(rèn)活證：包鼠括用戶釣及網(wǎng)絡(luò)詳認(rèn)證。用戶認(rèn)徐證：用作服務(wù)的緊網(wǎng)絡(luò)去贏證實(shí)用號戶的身賣份網(wǎng)絡(luò)認(rèn)證:用戶去豈證實(shí)他溫所連接星的網(wǎng)絡(luò)暖是用戶爪歸屬網(wǎng)兼絡(luò)授權(quán)俯的服務(wù)閉網(wǎng)絡(luò)數(shù)據(jù)加密論：包括算團(tuán)法與密鑰鞠的協(xié)商、嚇數(shù)據(jù)的保騙密性問題謠。加密算法賽：移動設(shè)元備和服務(wù)策網(wǎng)絡(luò)能夠拐安全地協(xié)光商加密算斯法。加密密鑰蝴：移動設(shè)基備用戶和看服務(wù)網(wǎng)絡(luò)猜保持密鑰設(shè)一致。用戶數(shù)據(jù)鵝的保密性黃：第三方持不能通過欲無線接口顛偷聽用戶憑數(shù)據(jù)。信令數(shù)據(jù)赤的保密性攝：第三方馳不能通過磨無線接口匠偷聽信令織數(shù)據(jù)。數(shù)據(jù)完諸整性：丟包括完變整性算拉法及密頑鑰的協(xié)元商一致靜等。完整性拔算法：輸移動設(shè)能備和服何務(wù)網(wǎng)絡(luò)職能夠安須全地協(xié)臟商完整閥性算法完整性密初鑰：移動悅設(shè)備用戶捆和服務(wù)網(wǎng)冬絡(luò)保持完尺整性密鑰閣一致。數(shù)據(jù)和信睜令的完整傍性：該屬端性能夠驗信證接收方偽接收到的奇數(shù)據(jù)是來你自發(fā)送方仇，數(shù)據(jù)并始沒有在發(fā)鵝送過程中杰被第三方浸修改。接娃收到的信袖令也是原畏始的信令散。計算機(jī)網(wǎng)苦絡(luò)安全概厭論454第三代移竭動通信網(wǎng)遲的安全性網(wǎng)絡(luò)域安嘩全：分為未網(wǎng)絡(luò)設(shè)備蘭認(rèn)證、數(shù)愈據(jù)安全、韻數(shù)據(jù)完整悲性和數(shù)據(jù)匯源認(rèn)證三土類。網(wǎng)絡(luò)設(shè)備乒認(rèn)證：服臉務(wù)商的一猜個網(wǎng)絡(luò)設(shè)測備和另一徑個網(wǎng)絡(luò)設(shè)久備相互認(rèn)頌證，網(wǎng)絡(luò)矩設(shè)備間在毀交換數(shù)據(jù)鏟時能相互解識別。數(shù)據(jù)安笛全：服變務(wù)商設(shè)第備在交攔換數(shù)據(jù)使時不能嫩被第三裝方偷聽拉，數(shù)據(jù)板必須加版密。密易鑰通過哀密鑰協(xié)葵商機(jī)制昨而獲得怨。數(shù)據(jù)完整匆性和數(shù)據(jù)爺源認(rèn)證：脅接收方可施以驗證接喉收到的數(shù)楚據(jù)是來自心于發(fā)送方皇，在數(shù)據(jù)甘傳送過程膠中沒有被鐮修改。完縱整性密鑰傳通過協(xié)商壘而獲得。計算機(jī)網(wǎng)耕絡(luò)安全概定論464第三代捎移動通勤信網(wǎng)的彈安全性用戶域原安全：尖包括USIM識別用騎戶以及茅終端設(shè)邊備識別USIM兩部分星。USIM識別用戶恩：UMTS蹈SIM對用戶進(jìn)毫行認(rèn)證后范，用戶才披能無限制畫地訪問UMTS則SIM，否則用愈戶對UMTS虜SIM的訪問路受到限犯制。終端設(shè)備梢識別UMI貨S：終端智設(shè)備對UMT貴SS劉IM的訪問是酷受限的，塵終端設(shè)備意對UMT戲SS夕IM進(jìn)行認(rèn)證扛后才能無桌限制地訪照問UST派MS擺IM。應(yīng)用域安晃全確保服務(wù)遙方和終端脹應(yīng)用間傳址送的數(shù)據(jù)擁是安全的返，網(wǎng)絡(luò)服憶務(wù)方可以逃選定安全返級別。服邪務(wù)方和終成端應(yīng)用間脈傳送的數(shù)姐據(jù)是通過攀應(yīng)用安全商通道的。妻所以，數(shù)扔據(jù)在整個棕傳輸過程輪中（無線漫和有線部鬧分），不況能被竊聽控。計算機(jī)郊網(wǎng)絡(luò)安督全概論474第三代殼移動通捷信網(wǎng)的障安全性安全的可暢視化和可丙配置：可視性呀：安全輸措施是仿否對用咐戶透明微，安全竟事件是篇否通知荷用戶。無線連接不部分安全糾性：通知言用戶在無弓線接入時喬，數(shù)據(jù)是揚(yáng)否加密。有線連接霜部分的安衛(wèi)全性：通撞知用戶數(shù)邀據(jù)在有線役網(wǎng)絡(luò)傳輸疏時，是否博被加密。安全等簡級：通奇知用戶痕服務(wù)商租所提供量的安全釀等級?？膳渲眯岳Γ河脩艉土钇涫殖衷O(shè)績備可配置肝是否使用逃或提供某迎項服務(wù)。啟用、禁留止用戶USI納M認(rèn)證接受、拒柏絕非加密峽呼入。是否建群立非加豬密呼叫撫。接受、水拒絕某反些非加靠密算法再。計算機(jī)肚網(wǎng)絡(luò)安茫全概論485移動Ad楚Hoc網(wǎng)絡(luò)的安巾全性移動自組妹網(wǎng)（AdH駁oc)是一種新升型的無線栗網(wǎng)絡(luò)。這虧是一種對匠等網(wǎng)絡(luò)具催有網(wǎng)絡(luò)自般主性、動冤態(tài)拓樸、親帶寬限制健和變化的猛鏈路容量王、能量限傘制、多跳俊通信、分族布式控制根、有限的思安全性等粗特征。它糞同一般的褲無線網(wǎng)絡(luò)狼不同，不顯依賴于固笑定的基礎(chǔ)摩設(shè)施。它塔由具有無鍬線收發(fā)能蔬力的節(jié)點(diǎn)對組成，各娃節(jié)點(diǎn)互相刻連接而形階成移動自嶺組網(wǎng)絡(luò)。勻移動自組黎網(wǎng)絡(luò)主要雕應(yīng)用于軍遵事和對安龜全敏感的字環(huán)境。安客全性和可麥靠性是它允的最大考拋驗。對等(Pee杯r-to肝-Pee費(fèi)r，簡寫為P2P)網(wǎng)絡(luò)是興指由具馬有同等每角色和沙能力的敲獨(dú)立結(jié)嘉點(diǎn)所組嘩成的計煙算機(jī)網(wǎng)品絡(luò)。據(jù)挺此特性報，其結(jié)祥點(diǎn)也稱枝為對等禁結(jié)點(diǎn)(pee木rs)。對等網(wǎng)邀絡(luò)的參與窗者既是資攻源(服務(wù)和秤內(nèi)容)提供者(Se編rve睜r)，也是資恒源(服務(wù)和內(nèi)橫容)獲取者(Cl狂ien喂t)計算機(jī)網(wǎng)漠絡(luò)安全概名論495.1移動AdH歇oc網(wǎng)絡(luò)的安酸全目標(biāo)可用性：籍當(dāng)網(wǎng)絡(luò)受績到攻擊時康，仍然存擱活的能力韻。DOS可能在首任何移及動自組報網(wǎng)絡(luò)的登任何一模層發(fā)生偷。在物沒理層和MAC層，敵對職方可能在甜物理信道攔發(fā)射較強(qiáng)穴的信號來稈阻塞通訊沉。在網(wǎng)絡(luò)駁層，敵對束方可能破指壞網(wǎng)絡(luò)協(xié)乳議。在高訂層，可能瞧破壞高層洲服務(wù)。如籌密鑰管理搞服務(wù)。機(jī)密性歡：確保夜信息對闖未授權(quán)壁第三方得是保密饅的。路番由信息兩也需要課保密，絞路由信蝦息可能攔會為對攔方指明緣瑞攻擊的儲目標(biāo)。完整性：蔥是指信息儀在傳送過送程中沒有墻被破壞。鴿無線信道護(hù)的干擾以線及惡意的片攻擊都可嶺能破壞信科息的完整販性?？烧J(rèn)證性鋤：確認(rèn)對朋方節(jié)點(diǎn)的黑身份。抗抵賴陣性：當(dāng)險從被占殊領(lǐng)節(jié)點(diǎn)艘收到錯貝誤信息疲時，抗責(zé)抵賴性考可以確值保利用源該消息狗通知其撇他節(jié)點(diǎn)戶該節(jié)點(diǎn)介已被對皇方占領(lǐng)速。計算機(jī)村網(wǎng)絡(luò)安稿全概論505.2移動Ad噸Hoc網(wǎng)絡(luò)的艇面臨的貍考驗無線信菜道使得虹對AdH電oc網(wǎng)絡(luò)的偷錫聽、偽裝由、消息重創(chuàng)放、消息鴿修改等攻患擊非常容吊易。偷聽腸破壞機(jī)密毅性,主動攻擊森可能被敵雨方刪除消哄息、插入妖錯誤消息杰、修改消宏息、以及脹偽裝成一墻個合法的屑節(jié)點(diǎn)，這躍樣破壞了貝網(wǎng)絡(luò)的可榮用性、數(shù)冬據(jù)的完整襖性、可認(rèn)形證性以及賣抗抵賴性糊。初始序鍬列號猜知測是在輸信息對軌抗中謀順求信息豬優(yōu)勢的球一項關(guān)捕鍵技術(shù)糞。采用欄混沌時嗎間序列熊分析方那法和線碎性回歸肉法，提萄出了一拳種新的殘初始序袖列號猜跡測算法姿。并加撥以驗證進(jìn)和形式資化政明堂，結(jié)果頃表明，筐該方法忌增大了TCP欣Re啦set攻擊的成辜功概率，益攻擊發(fā)送17個RST包在10毫秒之內(nèi)騎即可斷開本目標(biāo)TCP連接。。目前鵲操作系駛統(tǒng)的ISN生成算蔥法仍然棚存在安陡全風(fēng)險先。計算機(jī)晨網(wǎng)絡(luò)安容全概論515.2移動Ad性Hoc網(wǎng)絡(luò)的觸面臨的泊考驗節(jié)點(diǎn)可簡能布置未在敵對丑環(huán)境中磨。不僅者要考慮胖到從外吵部網(wǎng)絡(luò)水發(fā)生的魚惡意攻劃擊，而罰且應(yīng)該夠考慮從活這些被患占領(lǐng)的慕節(jié)點(diǎn)上東發(fā)生的挽攻擊，顫因此應(yīng)療該有分蕉布式體騙系結(jié)構(gòu)帽。拓樸結(jié)構(gòu)煤和成員是鉛動態(tài)的，避節(jié)點(diǎn)之間闖的信任關(guān)退系也是動必態(tài)變化的由。因此只豈具有靜態(tài)渠安全解決嚼方案是不斧夠的，其芒安全機(jī)制圍應(yīng)能適應(yīng)胞它的動態(tài)助變化。最后，AdH勁oc網(wǎng)絡(luò)可能笑包括成百哪成千個節(jié)命點(diǎn)，因此源，安全機(jī)崖制應(yīng)該適顫應(yīng)大規(guī)模的網(wǎng)絡(luò)。計算機(jī)網(wǎng)赴絡(luò)安全概聽論525.3移動AdH堵oc網(wǎng)絡(luò)的互安全研章究現(xiàn)狀主要集無中于安柴全路由念、密鑰技管理、燃被俘節(jié)岔點(diǎn)探測泥和入侵霜檢測等啄方面。安全路由硬主要可分作為三類：先應(yīng)式（Proa畫ctiv儲e),它是一種豈表驅(qū)動式鞭（Tabl戲eDr羊iven頓)路由，這污一類中有回平面路由衰方案（Flat井Rou膏ting訂)有DSD聰V、WRP、FSR等、分信級路由遙方案（Hier施arch退ical脹Rou爸ting炕)有Ber丈gan澡o等;反應(yīng)式（Rea生cti蔥ve)活,它是一種舉隨選式安名全（On-舌Dem對and蝕)路由，主疫要有LMR、AODV、DRS等;混合式纏（Hyb床ird叫),即區(qū)域醋路由（Zone擱).安全路且由研究千的主要剪目的是夸為了在劉部分節(jié)主點(diǎn)被占喂領(lǐng)或路揀由協(xié)議紹受到攻鬧擊時它廉仍然存伍活的能注力。身份安全暢認(rèn)證和密弊鑰管理策顛略，可以武用來對付明網(wǎng)絡(luò)外部漫的攻擊者氣。節(jié)點(diǎn)的釘認(rèn)證是排羊除外部攻饑擊節(jié)點(diǎn)的高有效手段皆。自組織釣公共密鑰總機(jī)制、基浴于PKI的局部化怖認(rèn)證機(jī)制罰、異步分應(yīng)布式密鑰氧管理策略蓄等。IDS。是分布壁式的只能鄙收集到局鞭部不完整屑的信息進(jìn)金行綜合判菜斷。目前毯對Ad筑Hoc則ID票S的研究還靠不很充分目，主要體邪現(xiàn)在：數(shù)雨據(jù)不充分壺，容易漏恰報;由于需要哭全局聯(lián)合惠分析，對納性能影響灶較大;無法區(qū)分DOS服務(wù)還是柴節(jié)點(diǎn)處于贊服務(wù)區(qū)外;無法解決然假報情況騎。計算機(jī)幸網(wǎng)絡(luò)安輝全概論536.無線傳引感器網(wǎng)略絡(luò)的安隨全性隨機(jī)分衣布的集望成有傳炕感器、沉數(shù)據(jù)處柱理單元宏和通信托模塊的城微小節(jié)赴點(diǎn)通過寺自組織帝的方式珠構(gòu)成網(wǎng)歪絡(luò)，借賽助于節(jié)權(quán)點(diǎn)中內(nèi)廣置的形襲式多樣親的傳感使器測量淹所在周斧邊環(huán)境污中的熱疾、紅外摟、聲納銜、雷達(dá)作和地震句波信號宅，從而墊探測包綁括溫度繼、濕度絲式、噪聲寺、光強(qiáng)吉度、壓唐力、移鎖動物體賄大小、薦速度和匠方向等噸眾多人拔們感興縫趣的物票質(zhì)現(xiàn)象岡。在通信方辣式上，雖勻可采用有膚線、無線境、紅外和答光等多種轎形式，但有一般認(rèn)為桶短距離的暴無線低功停率通信技角術(shù)最適合辮于傳感器統(tǒng)網(wǎng)絡(luò)使用彩，一般稱咱為無線傳吳感器網(wǎng)絡(luò)忽。計算機(jī)網(wǎng)腎絡(luò)安全概勢論546.1無線傳繞感器網(wǎng)陣絡(luò)的體飯系結(jié)構(gòu)基站Inte樓rnet任務(wù)管理器敵方或讀妥協(xié)節(jié)泉點(diǎn)傳感節(jié)忌點(diǎn)計算機(jī)掠網(wǎng)絡(luò)安側(cè)全概論556.2無線傳葛感器網(wǎng)汗絡(luò)的節(jié)扶點(diǎn)特征微小、低哭價、低耗秋節(jié)點(diǎn)能耗運(yùn)帖行時一蛛般只有10毫安，成睡眠時10微安可密集部眠署在觀察銀目標(biāo)附近自主處蛙理能力----節(jié)點(diǎn)可圓動態(tài)增羽加或減喝少計算機(jī)鍛或控制滲一個或立多個傳見感器，雁并且利崗用無線件連接接布入外部柴網(wǎng)絡(luò)范圍一攀般只有貿(mào)幾十米計算機(jī)速、傳感達(dá)器、天舍線和電閣池組封匙裝在一罰個微小致容器中永。由此可見球：傳統(tǒng)網(wǎng)絡(luò)柱安全機(jī)制痕不能直接商應(yīng)用于傳斷感器網(wǎng)絡(luò)陽中傳感器瓶設(shè)備在埋計算能基力、能璃耗、通泰訊能力伐等方面桑受到限絮制節(jié)點(diǎn)部署形在可以訪欠問的區(qū)域抓，易受到禿物理上的序攻擊傳感器網(wǎng)影絡(luò)和它的陣物理環(huán)境墨緊密交互上，也帶來朝了安全問籌題計算機(jī)網(wǎng)蜓絡(luò)安全概枝論566.3無線傳感預(yù)器網(wǎng)絡(luò)中拐的密鑰建養(yǎng)立問題傳感器節(jié)早點(diǎn)需要和葬它的鄰居令節(jié)點(diǎn)以及背信息匯聚峽節(jié)點(diǎn)建立室密鑰。在全網(wǎng)內(nèi)流建立共享勞密鑰。利用共膀享密鑰緒去建立酬鏈路密享鑰，一衣對通訊比設(shè)備建隊立了鏈眨路密鑰進(jìn)后刪除也共享密苗鑰（不呼利于節(jié)玻點(diǎn)的動勤態(tài)增加幸與刪除紙）利用公共麗密鑰加密凝（DH）機(jī)制蜓建立密綱鑰。好蜂處是一偷個節(jié)點(diǎn)肢可以和媽另一個漲節(jié)點(diǎn)建框立安全沉密鑰。在每一脹對通訊淺設(shè)備間捆預(yù)先配笑置對稱盤密鑰，芳但擴(kuò)展劇性不好利用一個萌可信的基巡壽站在節(jié)點(diǎn)撤啟動時分瘋發(fā)密鑰給籃節(jié)點(diǎn)，這第種機(jī)制對鐘基站的健拜壯性要求坦較高。未來的研那究是希望真獲得包括映更好隨機(jī)殲密鑰和公鏡共密鑰等蛇方案。目叼的是為了專建立健壯爽的密鑰分盼發(fā)機(jī)制。當(dāng)前的研顛究進(jìn)展主騰要集中于信密鑰的分治發(fā)和管理朽，解決的燙消息層面即的安全問滅題。計算機(jī)躁網(wǎng)絡(luò)安斗全概論576.4安全傳撤感器網(wǎng)乎絡(luò)的其該它問題加密和默認(rèn)證：溉當(dāng)數(shù)據(jù)可被加密異時，需政要在開靠銷和安捷全水平稍兩方面有平衡。拜對于點(diǎn)械點(diǎn)通訊蓬、端端槳加密能膽夠獲得僵較高的燭安全效鋼果，這殊需要在冊全網(wǎng)范沈圍內(nèi)建高立密鑰灣以及它侍們相互罵兼容。擴(kuò)共享密坐鑰簡化薪了這種悟工作，當(dāng)?shù)虚g努節(jié)點(diǎn)可侵以偷聽等數(shù)據(jù)流嗎。早期逆的傳感區(qū)器網(wǎng)絡(luò)磨使用鏈蝕路層加宗密。硬件加密寄只會減少案計算量，陵不會縮短畫數(shù)據(jù)包的茄長度，近咱來研究表譜明軟件加粥密對當(dāng)今催傳感器應(yīng)狠用已足用蠟。加州大廁學(xué)的Tin苗ySe快c系統(tǒng)它僅浴增加了5%-脫10%的開銷。搏加密僅僅季增加數(shù)據(jù)帽包的長度尸，對于吞浩吐量和延或遲幾乎沒墊有影響。計算機(jī)網(wǎng)移絡(luò)安全概除論586.4安全傳口感器網(wǎng)出絡(luò)的其生它問題隱私性。腰需要相關(guān)視法律法規(guī)罪以及技術(shù)倚上的響應(yīng)肺。反拒絕服六務(wù)攻擊。叔常用辦法質(zhì)是利用擴(kuò)沸頻技術(shù)。凍當(dāng)阻塞僅紋僅影響一陷部分網(wǎng)絡(luò)差的時候，摩可以利用唐高級的方英法，使數(shù)邊據(jù)流繞過泛被阻塞的盼網(wǎng)絡(luò)部分曉。更高級蝴的方法還膝在研究。安全路琴由。當(dāng)扮前路由痰協(xié)議有境許多不籃足：攻擊者可露以利用DOS攻擊而境阻塞路熔由，注愚入錯誤乳的路由用信息包胸導(dǎo)致路遺由的不裂一致性筍。簡單的旬認(rèn)證可予以防止糟注入攻床擊，但膠攻擊者腥可以利妨用重放顛攻擊。路由協(xié)患議特別熔容易受降到節(jié)點(diǎn)柿捕獲攻顆擊，攻決擊者通裝過對路逼由協(xié)議區(qū)的分析嶼，捕獲報一個節(jié)鏟點(diǎn)，從配而控制輔整個網(wǎng)擁絡(luò)。需穴要設(shè)計虎更高級眾的安全煌路由協(xié)縱議。計算機(jī)芒網(wǎng)絡(luò)安改全概論596.4安全傳感步器網(wǎng)絡(luò)的婦其它問題節(jié)點(diǎn)捕獲稈：在傳統(tǒng)成網(wǎng)絡(luò)中，皺物理上的起安全是可澇以實(shí)現(xiàn)的筑。而傳感種器網(wǎng)絡(luò)的敞節(jié)點(diǎn)通常奏放在攻擊節(jié)者能夠接清近的地方刻，從而使農(nóng)得攻擊者濱可以捕獲抽傳感器節(jié)寺點(diǎn)，修改涌程序，設(shè)腎置置換他封們的惡意伏的程序。一些研究焰者設(shè)計一倉種路由協(xié)訴議反抗這殼種攻擊，治在發(fā)送每喘一個路由渴信息包的享同時發(fā)送菌一些無關(guān)巷的路由信雹息包，以飄進(jìn)行一致爐性驗證。9、靜夜虹四無鄰須，荒居硬舊業(yè)貧眠。。4月-2汗34月-2疑3Sat功urd潑ay,逼Ap柔ril取29余,2慨02310、雨中黃更葉樹，燈重下白頭人組。。09:1崖7:3509:1壤7:3509:1爛74/29捎/202愈39:抬17:3塔5AM11、以我勉獨(dú)沈久末，愧君室相見頻耐。。4月-我2309:1匠7:3509:1慚7Apr金-2329-忽Apr晝-2312、故人笑江海別恢，幾度嬸隔山川這。。