《Zigbee安全服务特性.ppt》由会员分享,可在线阅读,更多相关《Zigbee安全服务特性.ppt(51页珍藏版)》请在三一文库上搜索。
1、,Zigbee网络技术及应用,第6章 Zigbee安全服务特性,为什么要讲安全?,无线网络的开放性(中途岛海战、英德信息战) 攻击的方式: 窃听 冒充合法设备,6.1 概述 6.2 APS层安全服务 6.3 公共安全元素 6.4 安全服务功能,6.1.1 安全体系设计,信任中心:信任管理、网络管理和配置管理 未连接时的通信是未加密的。 共享同一收发电路的应用程序间是互信的 1 设计权衡(P206) 发送数据帧的设备负责该帧的安全处理 除新加入通信外,NWK对所有的帧进行安全处理 不同层可以使用同一密钥以降低成本 端到端共享密钥,建立信任关系 所有设备、层的安全级别应相同,6.1.1 安全体系设
2、计,2 安全密钥 链路密钥单播 网络密钥广播 获取方式: 密钥传输 密钥建立 预先配置,6.1.1 安全体系设计,3 安全体系结构 PHY,最基本的无线通信能力 MAC,单跳、可靠的链路(安全处理) NWK,多跳、路由,不同拓扑的网络(安全) APL,APS,ZDO和应用程序(安全),MAC,NWK,APS都有安全机制。,6.1.2 MAC层安全服务(P207),CCM(CTR/CBC-MAC) CTR mode为加密算法,CBC-MAC用于讯息完整性的运算 MAC、NWK和APS共享密钥 CCM*允许不同安全级别使用同一密钥 AES算法,6.1.3 NWK层安全服务(P208),AES和CC
3、M*模式,NIBnwkSecurityLevel 有链路密钥,使用链路密钥 无链路密钥,使用网络密钥,6.1.3 NWK层安全服务(P208),安全处理后的帧,帧控制域的安全位为1,P142,NIB中安全相关属性(P209),NIB中安全相关属性(P209),6.1.4 应用层安全服务,主要任务: 对传输的应用层帧加密 为应用程序和ZDO提供密钥的建立、传输和设备管理服务 密钥建立 发起设备信任中心响应设备 交换临时数据并生成密钥使用主密钥与响应设备建立链路密钥 密钥传输 安全传输、非安全传输 设备管理 信任中心维护设备列表,6.1.5 信任中心及其作用,被网络中所有设备信任、识别 功能: 信
4、任管理,设备需要接收信任中心的主密钥和网络密钥 网络管理,要求设备只能从信任中心获得网络密钥 配置管理,要求设备通过信任中心的主密钥或链路密钥建立端对端的安全链路,6.2 APS层安全服务(P212),APS层安全服务功能: 对帧进行加密解密 加密体系的建立 密钥管理,6.2.1 帧安全,1.发送帧的加密(P212) 获取安全素材和密钥标识符 密钥标识符为01(网络密钥),若网络层已处理则APS不处理 判断输出帧计数,不超4字节的最大值继续 从NIB中获取安全级别,命令帧强制为07 构造帧的辅助首部 CCM加密 帧内容按序排列 判断长度 帧计数器加1 重写安全控制域值,6.2.1 帧安全,2.
5、接收帧的解密(P213) 获取序列号、密钥标识符和帧计数 获取源地址 根据密钥标识符获取安全素材 判定帧计数是否超限 设置安全控制域 CCM*解密 帧计数加1,6.2.2 密钥建立服务,6.2.2 密钥建立服务(P215),6.2.3 密钥传输服务(P216),6.2.4 设备变动服务,6.2.5 移除设备服务,P219,6.2.6 请求密钥服务,6.2.7 转换密钥服务,6.2.8 命令帧,6.2.9 AIB中的安全属性,6.3 公共安全元素,6.3.1 帧附加首部 安全控制域 源地址域 帧计数域 密钥序列号域,6.3.2 安全操作参数,表6-16,6.3.3 密钥分级,数据密钥 密钥传输用密钥 密钥装载用密钥 安全的实现 随机数(游戏?) 排除BUG 设备特性的一致性,6.4 安全服务功能,6.4.1 协调器与信任中心 默认相同 民用、商用 6.4.2 安全处理过程 建立连接未认证 认证 密钥更新 密钥恢复 端对端应用密钥 离开网络,The End!,