Upload
ashanti
View
50
Download
0
Embed Size (px)
DESCRIPTION
IEEE 802.16h 網路安全協定架構. IEEE 802.16h Network Security Protocol Architecture. Speaker: 碩專一甲 陳芸仙 N9590011 服務單位 : 高雄市立裕誠幼稚園. http://www.anywlan.com. Outline. Introduction 以 RADIUS 為基礎的網路架構 以 IKE- v2 為基礎的網路架構 結合前兩者為基礎的網路架構 優 / 缺點評估. http://www.anywlan.com. Introduction. - PowerPoint PPT Presentation
Citation preview
IEEE 802.16h 網路安全協定架構
Speaker: 碩專一甲 陳芸仙 N9590011 服務單位 : 高雄市立裕誠幼稚園
IEEE 802.16h Network Security Protocol Architecture
http://www.anywlan.com
2
Outline
Introduction 以 RADIUS 為基礎的網路架構 以 IKE- v2 為基礎的網路架構 結合前兩者為基礎的網路架構 優 /缺點評估
http://www.anywlan.com
3
Introduction
隨著 IEEE802.16e 無線都會網路的標準制定接近完成,在免執照費用頻帶上運作的都會網路標準 IEEE802.16h 也積極進行制定中,由於可以讓許多使用者自由使用,相關的資料通訊安全協定便格外重要。
http://www.anywlan.com
4
Introduction
http://www.anywlan.com
5
以 RADIUS 為基礎的網路架構
IEEE802.11F 提出一個通訊協定, Inter-
Access Point Protocol(IAPP) ,在 IAPP 基礎下,採用 RADIUS 伺服器作為安全認證的基礎,需要的加解密金鑰也是由 RADIUS 伺服器管理與發放。
http://www.anywlan.com
6
以 RADIUS 為基礎的網路架構Remote Authentication Dial-in User Service (RADIUS)
http://www.anywlan.com
7
以 RADIUS 為基礎的網路架構1. BS 先發出 Radius-BS/CIS-
Access-Request 給 Radius 伺服器。
2. Radius 伺服器根據 BSID(Base Station Identifier) 等參數來決定一組金鑰作為安全通訊時使用。金鑰以特殊方式隱藏而只有此 BS 可以解得。
3. BS 對 CIS 發出 LE_CP-REQ ,同時將通訊時使用的金鑰載入此訊息。
4. 回傳 LE_CP-RSP 訊息表示有正確收到所需要的金鑰資訊。
http://www.anywlan.com
8
以 IKE-v2 為基礎的網路架構
Internet Key Exchange(IKE) 是一種分散式的金鑰管理與發放協定,金鑰每次在通訊雙方建立安全連線時,藉由 Diffie-Hellman(DH)
algorithm 自動產生,且每次所使用的金鑰都不同。
http://www.anywlan.com
9
Diffie-Hellman(DH) algorithm
是一種公用基碼加密演算法,可讓兩個通訊實體協商決定共用密鑰,每個實體將另一個實體的公用資訊與自己的私有資訊結合起來,而產生共用密鑰值。
http://www.anywlan.com
10
以 IKE-v2 為基礎的網路架構
http://www.anywlan.com
11
結合前兩者為基礎的網路架構
保留方案一 RADIUS 伺服器進行身份確認的工作,而網路安全通訊所需要的金鑰管理則採用方案二中的 IKE-v2 。
http://www.anywlan.com
12
結合前兩者為基礎的網路架構
http://www.anywlan.com
13
結合前兩者為基礎的網路架構1. BS-1 要與 BS-2 通訊,發出
Radius-Access-Request 給Radius 伺服器。
2. Radius 伺服器給 BS-1 的訊息中,帶有一個非 0 的 Key Sequence
Number 。3. 當 BS-1 要和 BS-2 進行身份認證
時,會先發出 Trust-Request 給BS-2 。
4. BS-2 收到後,會發出 Radius-
Access-Request 給 Radius 伺服器,
http://www.anywlan.com
14
結合前兩者為基礎的網路架構5. 回傳與給 BS-1 相同金鑰組, BS-
2 計算認證碼來確定 BS-1 是否為合法的通訊對象。
6. BS-2 回傳 Trust-Response 給BS-1 , BS-1 計算認證碼來確定BS-2 是否為合法的通訊對象。
7. BS-1 送出 Trust-Accept 完成整個身份認證程序。
http://www.anywlan.com
15
優 /缺點評估 (RADIUS)
優點: 相容於其他系統 (IEEE802.11F 及 IEEE802.16e) 透過第三方的身份確認機制是較為可信的。
缺點: 金鑰的管理落在 RADIUS 伺服器,增加運作負擔。 通訊雙方的 Security Policy 是由 RADIUS 伺服器指
定,失去使用上的彈性。
http://www.anywlan.com
16
優 /缺點評估 (IKE-v2)
優點: 分散式的金鑰管理系統。
缺點: 不相容於其他系統。 無第三方的身份確認機制。
http://www.anywlan.com
17
優 /缺點評估 (方案三)
優點: RADIUS 與 IKE-v2 的優點。
缺點: RADIUS 伺服器需要小幅度的修改。
http://www.anywlan.com
18
IP Security (IP Sec)
主要模式 Authentication Header(AH) Encapsulating Security Payload(ESP) ESP 的演算法預設為 DES
ransport Mode Tunnel Mode
http://www.anywlan.com
19
Reference CCL TECHNICAL JOURNAL 12.25.2005
Cryptography and Network Security
William Stallings/ 著 交大資工系 網路安全概論課程
http://dsns.csie.nctu.edu.tw/course/intro-security/2005/
http://www.anywlan.com