【正文】 多重密鑰加密的傳輸 ? VPN并不僅僅針對(duì)連接到公共資源上的個(gè)人用戶，還針對(duì)通過(guò)Inter連接的部分辦公室 ? VPN的缺點(diǎn)： ? VPN非常復(fù)雜，難于安裝和管理 ? 占用額外負(fù)載 ? 如果用戶系統(tǒng)或設(shè)備上的安全設(shè)置不安全， VPN可能沒(méi)有用處 ? 增加了管理員的負(fù)擔(dān) 第 137 頁(yè) 配置安全的無(wú)線局域網(wǎng) 保護(hù)用戶 ： ? 對(duì)用戶進(jìn)行威脅和風(fēng)險(xiǎn)教育 ? 能夠保護(hù)用戶的報(bào)告和策略 ? 保護(hù)用戶的優(yōu)點(diǎn)： ? 可以避免故障。它允許全部安全策略同時(shí)工作，同時(shí)為保護(hù)模型增加了安全層 ? 使用戶不必與管理者之間形成對(duì)抗關(guān)系，從而可以更好地完成自己的工作 ? 缺點(diǎn)是不可能得到百分之百的合作，還需要昂貴的培訓(xùn)和管理費(fèi)用 第 138 頁(yè) 配置安全的無(wú)線局域網(wǎng) 無(wú)線局域網(wǎng)安全系統(tǒng) ： 無(wú)線局域網(wǎng)安全系統(tǒng)加密技術(shù)對(duì)稱(chēng)密鑰 密鑰管理TKIP AESO C B 模式 CTR/CBCMAC模式MAC層 物理層認(rèn)證技術(shù) W L A N 技術(shù)嵌入式開(kāi)發(fā)系統(tǒng)基帶射頻中頻RADIUS服務(wù)器RADIUS端口接入認(rèn)證擴(kuò)展認(rèn)證協(xié)議 EAP第 139 頁(yè) 無(wú)線局域網(wǎng)絡(luò)安全 ： ? WPA ? ? 密鑰管理協(xié)議 ? RADIUS協(xié)議 ? TKIP密碼協(xié)議 ? AES算法 ? WRAP和 CCMP密碼協(xié)議 第 140 頁(yè) ： ? 兩種安全網(wǎng)絡(luò)構(gòu)架： ? 過(guò)渡安全網(wǎng)絡(luò) (TSN) ? 強(qiáng)健的安全網(wǎng)絡(luò) (RSN) 上層認(rèn)證機(jī)制(EAP)IEEE TKIP CCMP第 141 頁(yè) WPA： 第 142 頁(yè) ： ? ? ? EAP協(xié)議 ? EAP支持的認(rèn)證協(xié)議 第 143 頁(yè) ： 第 144 頁(yè) ： ? 無(wú)線終端向 AP發(fā)出請(qǐng)求，試圖與 AP進(jìn)行通信 ? AP將加密的數(shù)據(jù)發(fā)送給認(rèn)證服務(wù)器進(jìn)行用戶身份認(rèn)證 ? 認(rèn)證服務(wù)器確認(rèn)用戶身份后， AP允許該用戶接入 ? 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過(guò) AP訪問(wèn)網(wǎng)絡(luò)資源 第 145 頁(yè) EAP協(xié)議 ： ? 在鏈路建立階段完成后，認(rèn)證者發(fā)送一個(gè)或多個(gè)請(qǐng)求數(shù)據(jù)包來(lái)對(duì)對(duì)方進(jìn)行認(rèn)證，該數(shù)據(jù)包中有一個(gè)類(lèi)型域表明請(qǐng)求的類(lèi)型 ? 對(duì)方發(fā)送一個(gè)響應(yīng)數(shù)據(jù)包對(duì)每一個(gè)請(qǐng)求做出應(yīng)答。響應(yīng)包中的類(lèi)型域與請(qǐng)求包中的類(lèi)型域?qū)?yīng) ? 認(rèn)證者發(fā)送一個(gè)成功或失敗數(shù)據(jù)包結(jié)束認(rèn)證階段 第 146 頁(yè) EAP對(duì) ： ? 雙向認(rèn)證機(jī)制 ? 集中化認(rèn)證管理和動(dòng)態(tài)分配加密密鑰機(jī)制 ? 定義了集中策略控制，當(dāng)會(huì)話超時(shí)時(shí)，將觸發(fā)重新認(rèn)證和生成新的密鑰 第 147 頁(yè) EAP協(xié)議在 ： EAPCisco Wireless(CiscoLEAP)EAPTLS EAPPEAPEAPover LANs(EAPOL)IEEE IEEE 以太網(wǎng)IEEE 令牌環(huán)網(wǎng)IEEE 無(wú)線以太網(wǎng)第 148 頁(yè) EAP支持的認(rèn)證協(xié)議： ? EAPMD5 ? LEAP ? EAPTLS ? EAPTTLS 第 149 頁(yè) TLS傳輸層安全協(xié)議 ： ? SSL協(xié)議： ? 客戶和服務(wù)器雙向身份驗(yàn)證 ? 數(shù)據(jù)加密保護(hù) ? 數(shù)據(jù)完整性保護(hù) HTTP FTP SMTPS S L 或T L STCPIP第 150 頁(yè) TLS傳輸層安全協(xié)議 ： ? TLS協(xié)議棧 握手協(xié)議 更改密碼規(guī)格協(xié)議 告警協(xié)議記錄協(xié)議TCPIPHTTP第 151 頁(yè) 密鑰管理協(xié)議 ： ? 密鑰的種類(lèi) ? 認(rèn)證和密鑰管理系統(tǒng) ? TKIP密鑰層次 ? AES密鑰層次 ? 四步握手密鑰協(xié)商機(jī)制 第 152 頁(yè) 密鑰管理協(xié)議 密鑰的種類(lèi) ： ? 基本密鑰 (Base Key)或初始密鑰 (Primary Key) ? 會(huì)話密鑰 (Session Key) ? 密鑰加密密鑰 (Key Encrypting Key) 第 153 頁(yè) 密鑰管理協(xié)議 認(rèn)證和密鑰管理系統(tǒng) ： 申請(qǐng)者認(rèn)證服務(wù)器認(rèn)證者1 . 認(rèn)證者/ 認(rèn)證服務(wù)器相互認(rèn)證創(chuàng)建安全通道2 . 申請(qǐng)者/ 認(rèn)證服務(wù)器相互認(rèn)證，產(chǎn)生主密鑰3 . P M K 傳輸?shù)秸J(rèn)證者4 . 證明P M K 的存在性5 . 發(fā)送G T K第 154 頁(yè) 密鑰管理協(xié)議 TKIP密鑰層次 ： PMKP T K ，5 1 2 比特PRF512(PMK,Min(AA,SA)‖Max(AA,SA)‖ SNonce‖ ANonce)EAPOLKEY計(jì)算M I C 的密鑰( 1 2 8 位)計(jì)算接收?qǐng)?bào)文的M I C 的密鑰( 6 4 位)計(jì)算發(fā)送報(bào)文的M I C 的密鑰( 6 4 位)TemporalEncryptionKey(128位 )EAPOLKEY加密密鑰( 1 2 8 位)新的每報(bào)文密鑰R C 4 加密 MichaelMiclael第 155 頁(yè) 密鑰管理協(xié)議 AES密鑰層次： PMKP T K ，3 8 4 比特PRF384(PMK,Min(KOA,NOA)‖Max(RA,TA)‖ SNonce‖KONonce)EAPOLKEY計(jì)算M I C 的密鑰( 1 2 8 位)TemporalEncryptionKey(128位 )EAPOLKEY加密密鑰( 1 2 8 位)AES第 156 頁(yè) 密鑰管理協(xié)議 四步握手密鑰協(xié)商機(jī)制 ： 第一步：A P 將A n o n c e 發(fā)給S T A第三步：A P 通知S T A 是否使用一對(duì)一密鑰，帶有M I C第四步：S T A 響應(yīng)，四次握手接束第二步：S T A 將S n o n c e 發(fā)給A P ，帶有M I C無(wú)線站點(diǎn) AP第 157 頁(yè) TKIP密碼協(xié)議 ： 第一階段密鑰混合MIC 分片WEP封裝第二階段密鑰混合暫時(shí)密鑰 TATSC高3 2 比特1 6 比特PIKM I C 密鑰S A + D A + 優(yōu)先級(jí)+ 明文M S D U 數(shù)據(jù)明文M S D U+MIC 明文M P D UW E P 種子密鑰密文MPDU第 158 頁(yè) AES算法： ? AES密碼是一個(gè)迭代型分組密碼，其分組長(zhǎng)度和密碼長(zhǎng)度都是可變的，分組長(zhǎng)度和密碼長(zhǎng)度可以獨(dú)立的指定為 128位， 192位或者 256位 第 159 頁(yè) WRAP和 CCMP密碼協(xié)議： ? OCB模式與 WRAP密碼協(xié)議 ? CCM模式與 CCMP密碼協(xié)議 第 160 頁(yè) WRAP和 CCMP密碼協(xié)議 OCB模式與 WRAP密碼協(xié)議： ? OCB模式 EkZ[1]M[1]C[1]Z[1]EkZ[2]M[2]C[2]Z[2]EkZ[m1]M[m1]C[m1]Z[m1]EkM[m]C[m]Z[m]LenL(1)X[m]Y[m]EkNLREkTZ[m]First τBitsτChecksum第 161 頁(yè) WRAP和 CCMP密碼協(xié)議 OCB模式與 WRAP密碼協(xié)議： ? WRAP加密 AES AES AESAESBit LengthL(1)AESNonceCompositionLRAESMIC(OCBtag)PrefixKK K KK1mo f fse t1mo f fs e t2o ff set1of f s e t1of f se t2o ffse tmo f f setmo f fsetK128bits MIC??Replay CountermmmYoCMMM ?????*121?mY1M 2M1mMmM1C2C1mCmC第 162 頁(yè) WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CTR EctrKS[1]M[1]C[1]EctrKS[2]M[2]C[2]?EctrKS[n1]M[n1]C[n1]EctrKS[n]M[n]C[n]第 163 頁(yè) WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CBCMAC Plaintext1InputBlock1kCIPHOutputBlock1Plaintext2InputBlock2kCIPHOutputBlock2Plaintext1InputBlock1kCIP HOutputBlock1Plaintext2InputBlock2kCIPHOutputBlock2PlaintextnInputBlocknkCIP HOutputBlocknPlaintextnInputBlocknkCIPHOutputBlocknCompareMAC產(chǎn)生MAC校驗(yàn)MAC第 164 頁(yè) WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CCMP密碼協(xié)議 遞增P N編碼P N構(gòu)建初始分組TAPNDLENTAPNPN構(gòu)建計(jì)數(shù)器用C B C M A C 計(jì)算M I C ，并附加到MPDUMICIV明文M P D U帶P N 的明文M P D UAESCTR加密數(shù)據(jù)Counter明文M P D U帶M I C密文Temporal Key第 165 頁(yè) WAPI： ? WAI(WLAN Authentication Infrastructure)鑒別機(jī)制 ? WPI(WLAN Privacy Infrastructure)加密機(jī)制 第 166 頁(yè) WAPI WAI鑒別機(jī)制 ： ? 鑒別激活 ? 接入鑒別請(qǐng)求 ? 證書(shū)鑒別請(qǐng)求 ? 證書(shū)鑒別響應(yīng) ? 接入鑒別響應(yīng) 第 167 頁(yè) WAPI WPI加密機(jī)制 ： ? 密鑰協(xié)商請(qǐng)求 ? 密鑰協(xié)商響應(yīng) ? 密鑰協(xié)商成功后， STA 與 AP 將自己與對(duì)方產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行異或運(yùn)算生成會(huì)話密鑰Session_Key=AP_random⊕STA _random