安全协议第章下.pptVIP

WPA的密钥管理 802.1x认证完成后，端口就会被打开以允许业务数据流动。在端口打开前，还需要做的工作是产生加密和完整性保护所需要的密钥，这需要通过握手协议（见文献[IEEE802.11i04]）来完成。握手协议一方面验证STA和AP是否拥有一致的PMK，另一方面用来生成临时密钥PTK和组临时密钥GTK。 握手协议分为两个：一个是4次握手协议，由4条消息组成的，目的是生成PTK；另一个是由两条消息组成的，目的是生成GTK。握手消息均使用EAPoL-key消息来传送，该消息是一种类型的EAPoL消息，主要用于传送密钥信息。 * 第二十八页，共五十一页。 GSM安全措施 GSM（Global System for Mobile Communications）即全球移动通信系统，也即第二代移动通信系统。 GSM采取了一些安全措施，如鉴权、加密和临时身份标识TMSI的使用。 鉴权用来防止未授权的用户接入，保证用户的身份不被假冒；加密指的是空中接口传输加密，防止信息被窃听； TMSI主要用于在空中接口上替代用户永久身份，防止用户在无线信道上被跟踪。 * 第二十九页，共五十一页。 GSM简介 GSM系统的主要组成部分可分为移动台（MS）、基站系统（BSS）和网络交换系统（NSS）。 MS是指手机或车载台等移动通信终端； BSS为MS提供无线连接，由基站收发台（BTS）和基站控制器（BSC）组成； NSS主要由移动业务交换中心（MSC）、操作维护中心（OMC）以及一些寄存器（Register，可理解为登记中心）组成，以完成电话交换及提供GSM系统与公共交换电话网络（Public Switched Telephone Network，PSTN）的连接等功能。 * 第三十页，共五十一页。 GSM系统结构简图 * 第三十一页，共五十一页。 MS MS（Mobile Station）包括两部分：移动设备ME和SIM卡。 每个移动设备都有一个唯一的对应于它的永久性识别号，即国际移动设备识别号（International Mobile Equipment Identity，IMEI）。 SIM卡是一张插到移动设备中的智能卡，用来识别移动用户的身份，SIM卡中包含的信息有：国际移动用户身份识别号（International Mobile Subscriber Identity，IMSI）、临时移动用户身份识别号（Temporary Mobile Subscriber Identity，TMSI）、用户身份认证密钥（Subscriber Authentication Key，Ki）以及用于认证和加密的算法等信息。 IMSI用来识别移动用户，仅在初始化时才在空中发送；TMSI用来临时性地识别移动用户，该号码会在一定条件下改变，防止有人从空中链路跟踪用户。 * 第三十二页，共五十一页。 BSS/NSS BSS（Base Station Subsystem）是指系统中的基站设备，包括射频设备和控制设备，用来提供MS与MSC之间的连接。 NSS（Network Switching Subsystem）完成GSM网络主要的交换功能和用户数据管理、移动性管理、安全性管理所需的数据库功能。 NSS主要由移动业务交换中心（MSC）、归属位置寄存器（HLR）、访问位置寄存器（VLR）、设备识别寄存器（EIR）和鉴权中心（AuC）构成。 * 第三十三页，共五十一页。 MSC/HLR MSC（Mobile Service Switching Center）的主要作用是呼叫处理、数据库管理、网络互通（如GSM网与PSTN的互通）、计费管理等。GSM网中通常有多个MSC，每个MSC给一定地理范围内的移动用户提供服务，一般一个中等规模城市需要一个MSC。 HLR（Home Location Register）用来存储移动用户数据，包括各种识别号、当前用户所在位置、访问能力、用户类别、补充业务等信息，一个移动用户只在一个HLR中存有数据。HLR中的用户数据通过IMSI来查询。 * 第三十四页，共五十一页。 VLR/EIR/AuC VLR（Visitor Location Register）有多个，每个MSC 都有一个VLR。VLR中存储着进入其控制区域内已登记的移动用户的相关信息，它从移动用户的归属用户位置寄存（HLR）处获取并存储必要的数据，为移动用户建立呼叫接续。移动用户离开该VLR的控制区域进入另一个区域时，则会在另一个VLR 登记。VLR还负责分配TMSI，并将新分配的TMSI告知HLR。 EIR（Equipment Identity Register）是一个用来存储IMEI的数据库。EIR主要完成对移动设备的识别、监视、闭锁等功能，以防止MS的非法使用。 A