管理无线网络安全第5章.pptVIP

中国密码学会组编 ZigBee安全机制 ZigBee MAC（IEEE 802.15.4）安全 MAC安全帧格式 802.15.4 MAC帧主要由报头（MHR）、负载和报尾（MFR）3部分组成（如下图）。报头主要包括帧控制、序列号和地址信息3部分，负载决定于帧类型，报尾是16位CRC。MHR中帧控制字段的安全性启动位表明是否需要对帧实施安全保护，如果该位被设为1，将使用存储在MAC PIB的安全属性对帧进行相应的安全操作。 MAC层负责来源于本层的帧的安全性处理，但由上层决定ZigBee使用哪个安全级别，需要安全性处理的MAC层帧会处理安全材料，由上层设置参数使之与活动的网络密钥和NWK层计数器相对应，与APS层中与相邻设备共享的任意连接密钥相对应，安全级别与NIB中属性相对应。 中国密码学会组编 MAC帧格式 中国密码学会组编 ZigBee安全机制 ZigBee MAC（IEEE 802.15.4）安全 MAC PIB安全属性 MAC PIB包含了管理MAC子层所需的各类信息（如下表所示）。安全属性包含工作模式、一个默认ACL入口及若干个附加ACL入口，授权执行特定功能的访问控制表ACL提供了设备选择与之通信的其他设备的能力。附加ACL入口包含在macACLEntryDescriptorSet中，可包含255个附加入口，每一个对应于一种可信设备，包含PAN标识符、64位扩展地址、短地址、安全组件及相关加密内容。默认ACL入口包含与附加入口相似的内容。 中国密码学会组编 MAC PIB安全属性 默认 ACL 属 性 功 能 描 述 安全模式 macSecurityMode 安全模式标识符 入口 macDefaultSecurity 指示没有列举在附加ACL入口中的设备是否能传输/接收安全帧 macDefaultSecuritySuite 默认安全组件标识符 macDefaultSecurityMaterialLength macDefaultSecurityMaterial中包含的字节数目 macDefaultSecurityMaterial 特定安全加密内容用于保护不在附加ACL中的MAC帧 入口 DescriptorSet macACLEntryDeseriprorSetSize 附加ACL入口的数目 ACLExtendedAddress ACL ACL设备64位IEEE扩展地址 ACLShortAddress ACL设备16位短地址 ACLPANId ACL设备16位LR-WPAN标识符 ACLSecuritySuite 保护ACLExtendedAddress中指定设备之间通信的安全组件标识符 ACLSecurityMaterialLength ACLSecurityMaterial中包含的字节数目 ACLSecurityMaterial 特定安全加密内容，用于保护与ACLExtended Address中指定设备之间的MAC帧 中国密码学会组编 ZigBee安全机制 ZigBee MAC（IEEE 802.15.4）安全 安全组件 安全组件是给MAC帧提供安全服务的一系列操作，802.15.4标准中含有8种组件，如下表所示，None表明不执行任何安全操作。安全组件中提供帧完整性安全服务的AES-CBC-MAC和AES-CCM根据计算MIC的长度分为3种：32比特、64比特、128比特。所有的安全组件使用的算法是AES，在智能卡等8位及PC等32位处理器上性能均表现优秀。 中国密码学会组编 安全组件分类 安 全 组 件 安 全 服 务 访 问 控 制 数 据 加 密 帧 完 整 性 序 列 更 新 None AES-CTR √ √ √ AES-CBC-MAC-32 √ √ AES-CBC-MAC-64 √ √ AES-CBC-MAC-128 √ √ AES-CCM-32 √ √ √ √ AES-CCM-64 √ √ √ √ AES-CCM-128 √ √ √ √ 中国密码学会组编 ZigBee安全机制 ZigBee MAC（IEEE 802.15.4）安全 安全方案 802.15.4标准安全模式下输出帧的处理流程如下 ： （1）管理实体MLME从高层收到准备进行安全帧的传输消息后，扫描ACL入口以发现macACLEntryDescriptorSet中ACLPANId、ACLExtendedAddress或ACLShortAddress字段与创建帧的目的地址信息相匹配的入口。 （2）如果发现匹配，MLME将从相关的ACLSecuritySuite字段中选择安全组件，ACLSecurityMaterial字段选择安全加密内容。如果不能定位相匹配的ACL入口，MLME将检查macDefau