Download - IEEE 802.16h 網路安全協定架構
![Page 1: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/1.jpg)
IEEE 802.16h 網路安全協定架構
Speaker: 碩專一甲 陳芸仙 N9590011 服務單位 : 高雄市立裕誠幼稚園
IEEE 802.16h Network Security Protocol Architecture
![Page 2: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/2.jpg)
2
Outline Introduction 以 RADIUS 為基礎的網路架構 以 IKE- v2 為基礎的網路架構 結合前兩者為基礎的網路架構 優 / 缺點評估
![Page 3: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/3.jpg)
3
Introduction
隨著 IEEE802.16e 無線都會網路的標準制定接近完成,在免執照費用頻帶上運作的都會網路標準 IEEE802.16h 也積極進行制定中,由於可以讓許多使用者自由使用,相關的資料通訊安全協定便格外重要。
![Page 4: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/4.jpg)
4
Introduction
![Page 5: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/5.jpg)
5
以 RADIUS 為基礎的網路架構
IEEE802.11F 提出一個通訊協定, Inter-Access Point Protocol(IAPP) ,在 IAPP 基礎下,採用 RADIUS 伺服器作為安全認證的基礎,需要的加解密金鑰也是由 RADIUS 伺服器管理與發放。
![Page 6: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/6.jpg)
6
以 RADIUS 為基礎的網路架構Remote Authentication Dial-in User Service (RADIUS)
![Page 7: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/7.jpg)
7
以 RADIUS 為基礎的網路架構1. BS 先發出 Radius-BS/CIS-Access-R
equest 給 Radius 伺服器。2. Radius 伺服器根據 BSID(Base Stati
on Identifier) 等參數來決定一組金鑰作為安全通訊時使用。金鑰以特殊方式隱藏而只有此 BS 可以解得。
3. BS 對 CIS 發出 LE_CP-REQ ,同時將通訊時使用的金鑰載入此訊息。
4. 回傳 LE_CP-RSP 訊息表示有正確收到所需要的金鑰資訊。
![Page 8: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/8.jpg)
8
以 IKE-v2 為基礎的網路架構
Internet Key Exchange(IKE) 是一種分散式的金鑰管理與發放協定,金鑰每次在通訊雙方建立安全連線時,藉由 Diffie-Hellman(DH) algorithm 自動產生,且每次所使用的金鑰都不同。
![Page 9: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/9.jpg)
9
Diffie-Hellman(DH) algorithm
是一種公用基碼加密演算法,可讓兩個通訊實體協商決定共用密鑰,每個實體將另一個實體的公用資訊與自己的私有資訊結合起來,而產生共用密鑰值。
![Page 10: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/10.jpg)
10
以 IKE-v2 為基礎的網路架構
![Page 11: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/11.jpg)
11
結合前兩者為基礎的網路架構
保留方案一 RADIUS 伺服器進行身份確認的工作,而網路安全通訊所需要的金鑰管理則採用方案二中的 IKE-v2 。
![Page 12: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/12.jpg)
12
結合前兩者為基礎的網路架構
![Page 13: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/13.jpg)
13
結合前兩者為基礎的網路架構1. BS-1 要與 BS-2 通訊,發出 Radi
us-Access-Request 給 Radius 伺服器。
2. Radius 伺服器給 BS-1 的訊息中,帶有一個非 0 的 Key Sequence Number 。
3. 當 BS-1 要和 BS-2 進行身份認證時,會先發出 Trust-Request 給BS-2 。
4. BS-2 收到後,會發出 Radius-Access-Request 給 Radius 伺服器,
![Page 14: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/14.jpg)
14
結合前兩者為基礎的網路架構5. 回傳與給 BS-1 相同金鑰組, BS-
2 計算認證碼來確定 BS-1 是否為合法的通訊對象。
6. BS-2 回傳 Trust-Response 給 BS-1 , BS-1 計算認證碼來確定 BS-2 是否為合法的通訊對象。
7. BS-1 送出 Trust-Accept 完成整個身份認證程序。
![Page 15: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/15.jpg)
15
優 / 缺點評估 (RADIUS) 優點:
相容於其他系統 (IEEE802.11F 及 IEEE802.16e) 透過第三方的身份確認機制是較為可信的。
缺點: 金鑰的管理落在 RADIUS 伺服器,增加運作負擔。 通訊雙方的 Security Policy 是由 RADIUS 伺服器指定,
失去使用上的彈性。
![Page 16: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/16.jpg)
16
優 / 缺點評估 (IKE-v2) 優點:
分散式的金鑰管理系統。
缺點: 不相容於其他系統。 無第三方的身份確認機制。
![Page 17: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/17.jpg)
17
優 / 缺點評估 ( 方案三) 優點:
RADIUS 與 IKE-v2 的優點。
缺點: RADIUS 伺服器需要小幅度的修改。
![Page 18: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/18.jpg)
18
IP Security (IP Sec) 主要模式
Authentication Header(AH) Encapsulating Security Payload(ESP) ESP 的演算法預設為 DES
ransport Mode Tunnel Mode
![Page 19: IEEE 802.16h 網路安全協定架構](https://reader033.vdocuments.pub/reader033/viewer/2022061602/5681514f550346895dbf72ba/html5/thumbnails/19.jpg)
19
Reference CCL TECHNICAL JOURNAL 12.25.2005 Cryptography and Network Security
William Stallings/ 著 交大資工系 網路安全概論課程
http://dsns.csie.nctu.edu.tw/course/intro-security/2005/