【正文】 多重密鑰加密的傳輸 ? VPN并不僅僅針對連接到公共資源上的個人用戶，還針對通過Inter連接的部分辦公室 ? VPN的缺點(diǎn)： ? VPN非常復(fù)雜，難于安裝和管理 ? 占用額外負(fù)載 ? 如果用戶系統(tǒng)或設(shè)備上的安全設(shè)置不安全， VPN可能沒有用處 ? 增加了管理員的負(fù)擔(dān) 第 137 頁 配置安全的無線局域網(wǎng) 保護(hù)用戶 ： ? 對用戶進(jìn)行威脅和風(fēng)險教育 ? 能夠保護(hù)用戶的報告和策略 ? 保護(hù)用戶的優(yōu)點(diǎn)： ? 可以避免故障。它允許全部安全策略同時工作，同時為保護(hù)模型增加了安全層 ? 使用戶不必與管理者之間形成對抗關(guān)系，從而可以更好地完成自己的工作 ? 缺點(diǎn)是不可能得到百分之百的合作，還需要昂貴的培訓(xùn)和管理費(fèi)用 第 138 頁 配置安全的無線局域網(wǎng) 無線局域網(wǎng)安全系統(tǒng) ： 無線局域網(wǎng)安全系統(tǒng)加密技術(shù)對稱密鑰 密鑰管理TKIP AESO C B 模式 CTR/CBCMAC模式MAC層 物理層認(rèn)證技術(shù) W L A N 技術(shù)嵌入式開發(fā)系統(tǒng)基帶射頻中頻RADIUS服務(wù)器RADIUS端口接入認(rèn)證擴(kuò)展認(rèn)證協(xié)議 EAP第 139 頁 無線局域網(wǎng)絡(luò)安全 ： ? WPA ? ? 密鑰管理協(xié)議 ? RADIUS協(xié)議 ? TKIP密碼協(xié)議 ? AES算法 ? WRAP和 CCMP密碼協(xié)議 第 140 頁 ： ? 兩種安全網(wǎng)絡(luò)構(gòu)架： ? 過渡安全網(wǎng)絡(luò) (TSN) ? 強(qiáng)健的安全網(wǎng)絡(luò) (RSN) 上層認(rèn)證機(jī)制(EAP)IEEE TKIP CCMP第 141 頁 WPA： 第 142 頁 ： ? ? ? EAP協(xié)議 ? EAP支持的認(rèn)證協(xié)議 第 143 頁 ： 第 144 頁 ： ? 無線終端向 AP發(fā)出請求，試圖與 AP進(jìn)行通信 ? AP將加密的數(shù)據(jù)發(fā)送給認(rèn)證服務(wù)器進(jìn)行用戶身份認(rèn)證 ? 認(rèn)證服務(wù)器確認(rèn)用戶身份后， AP允許該用戶接入 ? 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過 AP訪問網(wǎng)絡(luò)資源 第 145 頁 EAP協(xié)議 ： ? 在鏈路建立階段完成后，認(rèn)證者發(fā)送一個或多個請求數(shù)據(jù)包來對對方進(jìn)行認(rèn)證，該數(shù)據(jù)包中有一個類型域表明請求的類型 ? 對方發(fā)送一個響應(yīng)數(shù)據(jù)包對每一個請求做出應(yīng)答。響應(yīng)包中的類型域與請求包中的類型域?qū)?yīng) ? 認(rèn)證者發(fā)送一個成功或失敗數(shù)據(jù)包結(jié)束認(rèn)證階段 第 146 頁 EAP對 ： ? 雙向認(rèn)證機(jī)制 ? 集中化認(rèn)證管理和動態(tài)分配加密密鑰機(jī)制 ? 定義了集中策略控制，當(dāng)會話超時時，將觸發(fā)重新認(rèn)證和生成新的密鑰 第 147 頁 EAP協(xié)議在 ： EAPCisco Wireless(CiscoLEAP)EAPTLS EAPPEAPEAPover LANs(EAPOL)IEEE IEEE 以太網(wǎng)IEEE 令牌環(huán)網(wǎng)IEEE 無線以太網(wǎng)第 148 頁 EAP支持的認(rèn)證協(xié)議： ? EAPMD5 ? LEAP ? EAPTLS ? EAPTTLS 第 149 頁 TLS傳輸層安全協(xié)議 ： ? SSL協(xié)議： ? 客戶和服務(wù)器雙向身份驗證 ? 數(shù)據(jù)加密保護(hù) ? 數(shù)據(jù)完整性保護(hù) HTTP FTP SMTPS S L 或T L STCPIP第 150 頁 TLS傳輸層安全協(xié)議 ： ? TLS協(xié)議棧 握手協(xié)議 更改密碼規(guī)格協(xié)議 告警協(xié)議記錄協(xié)議TCPIPHTTP第 151 頁 密鑰管理協(xié)議 ： ? 密鑰的種類 ? 認(rèn)證和密鑰管理系統(tǒng) ? TKIP密鑰層次 ? AES密鑰層次 ? 四步握手密鑰協(xié)商機(jī)制 第 152 頁 密鑰管理協(xié)議 密鑰的種類 ： ? 基本密鑰 (Base Key)或初始密鑰 (Primary Key) ? 會話密鑰 (Session Key) ? 密鑰加密密鑰 (Key Encrypting Key) 第 153 頁 密鑰管理協(xié)議 認(rèn)證和密鑰管理系統(tǒng) ： 申請者認(rèn)證服務(wù)器認(rèn)證者1 . 認(rèn)證者/ 認(rèn)證服務(wù)器相互認(rèn)證創(chuàng)建安全通道2 . 申請者/ 認(rèn)證服務(wù)器相互認(rèn)證，產(chǎn)生主密鑰3 . P M K 傳輸?shù)秸J(rèn)證者4 . 證明P M K 的存在性5 . 發(fā)送G T K第 154 頁 密鑰管理協(xié)議 TKIP密鑰層次 ： PMKP T K ，5 1 2 比特PRF512(PMK,Min(AA,SA)‖Max(AA,SA)‖ SNonce‖ ANonce)EAPOLKEY計算M I C 的密鑰( 1 2 8 位)計算接收報文的M I C 的密鑰( 6 4 位)計算發(fā)送報文的M I C 的密鑰( 6 4 位)TemporalEncryptionKey(128位 )EAPOLKEY加密密鑰( 1 2 8 位)新的每報文密鑰R C 4 加密 MichaelMiclael第 155 頁 密鑰管理協(xié)議 AES密鑰層次： PMKP T K ，3 8 4 比特PRF384(PMK,Min(KOA,NOA)‖Max(RA,TA)‖ SNonce‖KONonce)EAPOLKEY計算M I C 的密鑰( 1 2 8 位)TemporalEncryptionKey(128位 )EAPOLKEY加密密鑰( 1 2 8 位)AES第 156 頁 密鑰管理協(xié)議 四步握手密鑰協(xié)商機(jī)制 ： 第一步：A P 將A n o n c e 發(fā)給S T A第三步：A P 通知S T A 是否使用一對一密鑰，帶有M I C第四步：S T A 響應(yīng)，四次握手接束第二步：S T A 將S n o n c e 發(fā)給A P ，帶有M I C無線站點(diǎn) AP第 157 頁 TKIP密碼協(xié)議 ： 第一階段密鑰混合MIC 分片WEP封裝第二階段密鑰混合暫時密鑰 TATSC高3 2 比特1 6 比特PIKM I C 密鑰S A + D A + 優(yōu)先級+ 明文M S D U 數(shù)據(jù)明文M S D U+MIC 明文M P D UW E P 種子密鑰密文MPDU第 158 頁 AES算法： ? AES密碼是一個迭代型分組密碼，其分組長度和密碼長度都是可變的，分組長度和密碼長度可以獨(dú)立的指定為 128位， 192位或者 256位 第 159 頁 WRAP和 CCMP密碼協(xié)議： ? OCB模式與 WRAP密碼協(xié)議 ? CCM模式與 CCMP密碼協(xié)議 第 160 頁 WRAP和 CCMP密碼協(xié)議 OCB模式與 WRAP密碼協(xié)議： ? OCB模式 EkZ[1]M[1]C[1]Z[1]EkZ[2]M[2]C[2]Z[2]EkZ[m1]M[m1]C[m1]Z[m1]EkM[m]C[m]Z[m]LenL(1)X[m]Y[m]EkNLREkTZ[m]First τBitsτChecksum第 161 頁 WRAP和 CCMP密碼協(xié)議 OCB模式與 WRAP密碼協(xié)議： ? WRAP加密 AES AES AESAESBit LengthL(1)AESNonceCompositionLRAESMIC(OCBtag)PrefixKK K KK1mo f fse t1mo f fs e t2o ff set1of f s e t1of f se t2o ffse tmo f f setmo f fsetK128bits MIC??Replay CountermmmYoCMMM ?????*121?mY1M 2M1mMmM1C2C1mCmC第 162 頁 WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CTR EctrKS[1]M[1]C[1]EctrKS[2]M[2]C[2]?EctrKS[n1]M[n1]C[n1]EctrKS[n]M[n]C[n]第 163 頁 WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CBCMAC Plaintext1InputBlock1kCIPHOutputBlock1Plaintext2InputBlock2kCIPHOutputBlock2Plaintext1InputBlock1kCIP HOutputBlock1Plaintext2InputBlock2kCIPHOutputBlock2PlaintextnInputBlocknkCIP HOutputBlocknPlaintextnInputBlocknkCIPHOutputBlocknCompareMAC產(chǎn)生MAC校驗MAC第 164 頁 WRAP和 CCMP密碼協(xié)議 CCM模式與 CCMP密碼協(xié)議 ： ? CCMP密碼協(xié)議 遞增P N編碼P N構(gòu)建初始分組TAPNDLENTAPNPN構(gòu)建計數(shù)器用C B C M A C 計算M I C ，并附加到MPDUMICIV明文M P D U帶P N 的明文M P D UAESCTR加密數(shù)據(jù)Counter明文M P D U帶M I C密文Temporal Key第 165 頁 WAPI： ? WAI(WLAN Authentication Infrastructure)鑒別機(jī)制 ? WPI(WLAN Privacy Infrastructure)加密機(jī)制 第 166 頁 WAPI WAI鑒別機(jī)制 ： ? 鑒別激活 ? 接入鑒別請求 ? 證書鑒別請求 ? 證書鑒別響應(yīng) ? 接入鑒別響應(yīng) 第 167 頁 WAPI WPI加密機(jī)制 ： ? 密鑰協(xié)商請求 ? 密鑰協(xié)商響應(yīng) ? 密鑰協(xié)商成功后， STA 與 AP 將自己與對方產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行異或運(yùn)算生成會話密鑰Session_Key=AP_random⊕STA _random