ieee 802.16h 網路安全協定架構
DESCRIPTION
IEEE 802.16h 網路安全協定架構. IEEE 802.16h Network Security Protocol Architecture. Speaker: 碩專一甲 陳芸仙 N9590011 服務單位 : 高雄市立裕誠幼稚園. Outline. Introduction 以 RADIUS 為基礎的網路架構 以 IKE- v2 為基礎的網路架構 結合前兩者為基礎的網路架構 優 / 缺點評估. Introduction. - PowerPoint PPT PresentationTRANSCRIPT
IEEE 802.16h 網路安全協定架構
Speaker: 碩專一甲 陳芸仙 N9590011 服務單位 : 高雄市立裕誠幼稚園
IEEE 802.16h Network Security Protocol Architecture
2
Outline Introduction 以 RADIUS 為基礎的網路架構 以 IKE- v2 為基礎的網路架構 結合前兩者為基礎的網路架構 優 / 缺點評估
3
Introduction
隨著 IEEE802.16e 無線都會網路的標準制定接近完成,在免執照費用頻帶上運作的都會網路標準 IEEE802.16h 也積極進行制定中,由於可以讓許多使用者自由使用,相關的資料通訊安全協定便格外重要。
4
Introduction
5
以 RADIUS 為基礎的網路架構
IEEE802.11F 提出一個通訊協定, Inter-Access Point Protocol(IAPP) ,在 IAPP 基礎下,採用 RADIUS 伺服器作為安全認證的基礎,需要的加解密金鑰也是由 RADIUS 伺服器管理與發放。
6
以 RADIUS 為基礎的網路架構Remote Authentication Dial-in User Service (RADIUS)
7
以 RADIUS 為基礎的網路架構1. BS 先發出 Radius-BS/CIS-Access-R
equest 給 Radius 伺服器。2. Radius 伺服器根據 BSID(Base Stati
on Identifier) 等參數來決定一組金鑰作為安全通訊時使用。金鑰以特殊方式隱藏而只有此 BS 可以解得。
3. BS 對 CIS 發出 LE_CP-REQ ,同時將通訊時使用的金鑰載入此訊息。
4. 回傳 LE_CP-RSP 訊息表示有正確收到所需要的金鑰資訊。
8
以 IKE-v2 為基礎的網路架構
Internet Key Exchange(IKE) 是一種分散式的金鑰管理與發放協定,金鑰每次在通訊雙方建立安全連線時,藉由 Diffie-Hellman(DH) algorithm 自動產生,且每次所使用的金鑰都不同。
9
Diffie-Hellman(DH) algorithm
是一種公用基碼加密演算法,可讓兩個通訊實體協商決定共用密鑰,每個實體將另一個實體的公用資訊與自己的私有資訊結合起來,而產生共用密鑰值。
10
以 IKE-v2 為基礎的網路架構
11
結合前兩者為基礎的網路架構
保留方案一 RADIUS 伺服器進行身份確認的工作,而網路安全通訊所需要的金鑰管理則採用方案二中的 IKE-v2 。
12
結合前兩者為基礎的網路架構
13
結合前兩者為基礎的網路架構1. BS-1 要與 BS-2 通訊,發出 Radi
us-Access-Request 給 Radius 伺服器。
2. Radius 伺服器給 BS-1 的訊息中,帶有一個非 0 的 Key Sequence Number 。
3. 當 BS-1 要和 BS-2 進行身份認證時,會先發出 Trust-Request 給BS-2 。
4. BS-2 收到後,會發出 Radius-Access-Request 給 Radius 伺服器,
14
結合前兩者為基礎的網路架構5. 回傳與給 BS-1 相同金鑰組, BS-
2 計算認證碼來確定 BS-1 是否為合法的通訊對象。
6. BS-2 回傳 Trust-Response 給 BS-1 , BS-1 計算認證碼來確定 BS-2 是否為合法的通訊對象。
7. BS-1 送出 Trust-Accept 完成整個身份認證程序。
15
優 / 缺點評估 (RADIUS) 優點:
相容於其他系統 (IEEE802.11F 及 IEEE802.16e) 透過第三方的身份確認機制是較為可信的。
缺點: 金鑰的管理落在 RADIUS 伺服器,增加運作負擔。 通訊雙方的 Security Policy 是由 RADIUS 伺服器指定,
失去使用上的彈性。
16
優 / 缺點評估 (IKE-v2) 優點:
分散式的金鑰管理系統。
缺點: 不相容於其他系統。 無第三方的身份確認機制。
17
優 / 缺點評估 ( 方案三) 優點:
RADIUS 與 IKE-v2 的優點。
缺點: RADIUS 伺服器需要小幅度的修改。
18
IP Security (IP Sec) 主要模式
Authentication Header(AH) Encapsulating Security Payload(ESP) ESP 的演算法預設為 DES
ransport Mode Tunnel Mode
19
Reference CCL TECHNICAL JOURNAL 12.25.2005 Cryptography and Network Security
William Stallings/ 著 交大資工系 網路安全概論課程
http://dsns.csie.nctu.edu.tw/course/intro-security/2005/