無線網(wǎng)絡(luò)安全

1、1.無線網(wǎng)絡(luò)安全威脅及系統(tǒng)滿足的需求2.加密基本理論： 對稱加密和非對稱加密（公鑰加密及應(yīng)用）3.數(shù)字證書及應(yīng)用4.無線網(wǎng)絡(luò)認(rèn)證技術(shù)5.無線網(wǎng)絡(luò)加密技術(shù)lMAC地址欺騙l未經(jīng)授權(quán)的接入l無線竊聽l企業(yè)級入侵網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)的安全需求n信息保密信息傳輸?shù)臋C(jī)密性n身份驗(yàn)證確認(rèn)通信雙方的真正身份n不可否認(rèn)性確保發(fā)送方不能否認(rèn)已發(fā)送的信息，要承擔(dān)相應(yīng)的責(zé)任n完整性驗(yàn)證保證信息傳輸時不被第三方篡改，同時鑒別信息完整性n訪問控制：對訪問用戶的權(quán)限控制策略怎么實(shí)現(xiàn)呢 使用加密技術(shù) 使用認(rèn)證技術(shù) 數(shù)字證書n加密 就是基于數(shù)學(xué)方法和和密鑰對信息（明文）進(jìn)行編碼，變成雜亂無章的難以理解的字符串（密文）在網(wǎng)絡(luò)上傳輸。n

2、加密系統(tǒng)包含三個要素： 信息（明文和密文）、密鑰（加密密鑰和解密密鑰,彼此關(guān)聯(lián)，匹配）、算法（加密算法和解密算法）課件制作人：謝希仁明文明文 X 截獲截獲密文密文 Y加密密鑰加密密鑰 K1明文明文 X密文密文 Y截取者截取者篡改篡改ABE 運(yùn)算運(yùn)算加密算法加密算法D 運(yùn)算運(yùn)算解密算法解密算法因特網(wǎng)因特網(wǎng)解密密鑰解密密鑰 K2加密密鑰加密密鑰K1發(fā)送方明文明文密文解密密鑰解密密鑰K2接收方接收方加密加密: Y=EK1(X)解密：解密： X=DK2(Y) 根據(jù)加密和解密時使用的密鑰是否相同，加密系統(tǒng)分為對稱加密和非對稱加密1 1、對稱加密對稱加密n 對稱加密又稱為對稱加密又稱為私鑰加密私鑰加密，加

3、密和解密使用，加密和解密使用相同的密鑰相同的密鑰，雙發(fā)共同保，雙發(fā)共同保守密鑰。守密鑰。n優(yōu)點(diǎn)：優(yōu)點(diǎn)：技術(shù)成熟、計算量小，加密和解密快，效率高技術(shù)成熟、計算量小，加密和解密快，效率高n不足之處不足之處: :網(wǎng)絡(luò)傳輸密鑰存在隱患，不易安全分發(fā)密鑰；每對用網(wǎng)絡(luò)傳輸密鑰存在隱患，不易安全分發(fā)密鑰；每對用戶都要使用不同密鑰，密鑰規(guī)模大戶都要使用不同密鑰，密鑰規(guī)模大 不易管理；能窮舉破解不易管理；能窮舉破解n對稱加密算法：對稱加密算法：DES AES 3DES RC4DES AES 3DES RC4( (作為作業(yè)了解作為作業(yè)了解) )n對稱加密最基本運(yùn)算：對稱加密最基本運(yùn)算：代換和置換代換和置換（凱撒加

4、密）（凱撒加密）加密密鑰加密密鑰K發(fā)送方明文明文密文解密密鑰解密密鑰K接收方接收方凱撒凱撒加密”據(jù)傳是古羅馬凱撒凱撒大帝用來保護(hù)重要軍情的加密系統(tǒng)。它是一種代換代換密碼，據(jù)說愷撒是率先使用加密函的古代將領(lǐng)之一，因此這種加密方法被稱為凱撒凱撒加密。凱撒加密(Caesar cipher)是一種簡單的消息編碼方式：它依據(jù)字母表順序?qū)⒚魑闹械拿總€字母向左或右移動k位來進(jìn)行代換。 默認(rèn)字母表：ABCDEFGHIJKLMNOPQRSTUVWXYZ舉個例子如果k等于3，明文每個字母在字母表中向右移動3位代換：a會被換為？x會被換為？加密密鑰K=4, 加密算法：依據(jù)字母表順序，將明文每個字母向右移動4位來代換

5、。aftvc解密密鑰？解密算法？ 解密密鑰K=4，算法：依據(jù)字母表將密文每個字母向左移動4位來代換如果代換兩輪或更多，破解將更難，代換2輪后密文 為什么？aftvc以重排后的字母表為依據(jù)：FGDEHIJVWYXZABCNKLMOPSQRTU，加密密鑰k=4，加密算法：依據(jù)字母表順序，將明文每個字母向右移動4位來代換。aftvc置換以明文自身為依據(jù)進(jìn)行代換明文：aftvc加密密鑰K=3，將明文中每個字母向右移動3位來置換。aftvc解密密鑰？解密算法？解密密鑰k=3，將密文中每個字母向左左移動3位來置換。加密密鑰K=3，將明文中每個字母向右移動3位來進(jìn)行兩輪置換 aftvc2、非對稱加密（公鑰加

6、密體制）特點(diǎn)：1)非對稱加密使用一對密鑰對，公鑰（PK）加密，用私鑰（SK）解密；或私鑰加密，用公鑰解密。2)加密和解密密鑰不同，公鑰對外公開，私鑰自己保管；3)由公鑰無法推導(dǎo)出私鑰。公鑰加密技術(shù)幾種應(yīng)用：1)使用公鑰加密技術(shù)來實(shí)現(xiàn)傳輸數(shù)據(jù)的保密性。 發(fā)送方發(fā)送明文，用接收方公鑰加密變成密文，接收方收到密文，用接收方私鑰解密獲得明文。n優(yōu)點(diǎn)：保密性好，不需要交換私鑰；公鑰公開，密鑰規(guī)模小，雙發(fā)只要保管自己的一個私鑰；n缺點(diǎn)：非對稱加密運(yùn)算量大，加密和解密時間長，速度慢，不適合對大量數(shù)據(jù)進(jìn)行加密，對小量數(shù)據(jù)加密。接收方接收方公鑰加密公鑰加密發(fā)送方明文明文密文接收方接收方私鑰解密私鑰解密接收方接收

7、方中間人截獲密文能中間人截獲密文能不能破解密文？不能破解密文？n為了實(shí)現(xiàn)更快加密和更好保密性對稱加密和非對稱加密結(jié)合使用1)發(fā)送方首先用對稱加密加密大量明文，獲得密文2)然后再用接收方公鑰加密對稱密鑰，將加密后的對稱密鑰密文和加密后密文一起發(fā)送給接收方；3）接收方先用自己私鑰解密對稱密鑰密文獲得密鑰明文4）接收方再用對稱密鑰解密收到的密文，獲得明文實(shí)質(zhì)：用非對稱加密（公鑰加密）傳輸對稱密鑰。接收方接收方1、發(fā)送方用對、發(fā)送方用對稱密鑰加密明文稱密鑰加密明文明明文文明文明文密密文文3、用接收方私鑰、用接收方私鑰解密獲得對稱密鑰解密獲得對稱密鑰發(fā)送方發(fā)送方2、用接收方公、用接收方公鑰加密對稱密鑰鑰

8、加密對稱密鑰4、用對稱密鑰、用對稱密鑰解密獲得明文解密獲得明文思考：n 如果發(fā)送方發(fā)送的明文被第三方攔截，纂改明文后發(fā)送給接收方，從而產(chǎn)生偽造，怎樣驗(yàn)證傳輸數(shù)據(jù)的完整性？n 發(fā)送方發(fā)送信息后，不承認(rèn)信息是自己發(fā)送，產(chǎn)生抵賴怎么辦？ 數(shù)字簽名和摘要技術(shù)結(jié)合可解決此問題2)使用公鑰加密技術(shù)實(shí)現(xiàn)數(shù)字簽名 n數(shù)字簽名的目的？也稱為電子簽名，能保證傳輸數(shù)據(jù)的完整性和不可抵賴性。n怎么簽名？n發(fā)送方發(fā)送明文，用發(fā)送方私鑰和加密算法對明文加密（目的簽名，不能保密，簽名算法RSA），接收方收到密文用發(fā)送方公鑰和解密算法解密密文，解密成功即驗(yàn)證簽名成功，是真正發(fā)送方發(fā)送，沒有被纂改，發(fā)送方也不可抵賴。 問題：如

9、果發(fā)送方數(shù)據(jù)量很大，加密過程（簽名過程）就很慢，同時接收方解密（驗(yàn)證簽名）也很慢，影響傳輸效率，有沒有更好的方法呢？中間人也可用發(fā)送方公鑰解密后中間人也可用發(fā)送方公鑰解密后獲得明文并修改明文，能不能偽獲得明文并修改明文，能不能偽造發(fā)送方對修改后明文簽名？造發(fā)送方對修改后明文簽名？中間人強(qiáng)行用自己私鑰簽名明文，中間人強(qiáng)行用自己私鑰簽名明文，接收方能否識別？接收方能否識別？發(fā)送方用加密算發(fā)送方用加密算法和自己私鑰加法和自己私鑰加密（簽名）密（簽名）簽名密文用發(fā)送公鑰和用發(fā)送公鑰和解密算法解密解密算法解密（驗(yàn)證簽名）（驗(yàn)證簽名）接收方接收方明文明文發(fā)送方發(fā)送方 明文明文3）結(jié)合數(shù)字摘要技術(shù)完成數(shù)字簽

10、名：數(shù)字摘要技術(shù)：n運(yùn)用單向散列函數(shù)（hash哈希算法和MD5算法）將發(fā)送信息（大量明文）計算出成固定長度的散列值（少量的明文的特征碼），稱為數(shù)字摘要（數(shù)字指紋）n特點(diǎn)： 唯一性：不同明文信息得到的摘要一定不同 單向性：散列函數(shù)是單向函數(shù)，由得到的摘要無法還原成明文。用數(shù)字摘要完成簽名的過程：用發(fā)送方私鑰和簽用發(fā)送方私鑰和簽名算法對摘要簽名名算法對摘要簽名明文明文用發(fā)送公鑰驗(yàn)證用發(fā)送公鑰驗(yàn)證簽名，驗(yàn)證成功簽名，驗(yàn)證成功說明什么？說明什么？接收方接收方發(fā)送方發(fā)送方把簽名后的摘要把簽名后的摘要和明文合并，發(fā)和明文合并，發(fā)送給接收方送給接收方對明文使用單向?qū)γ魑氖褂脝蜗蛏⒘泻瘮?shù)，散列函數(shù)，獲得獲得摘

11、要摘要重新計算明文摘要，重新計算明文摘要，比較收到的摘要和計比較收到的摘要和計算后的摘要。如果相算后的摘要。如果相同，說明第三方?jīng)]有同，說明第三方?jīng)]有纂改，能驗(yàn)證完整性纂改，能驗(yàn)證完整性總結(jié)：公鑰加密技術(shù)有哪些應(yīng)用 1、加密明文數(shù)據(jù) 2、傳輸對稱加密的密鑰 3、實(shí)現(xiàn)數(shù)字簽名驗(yàn)證完整性和不可抵賴性 問題：網(wǎng)絡(luò)實(shí)體怎么獲得合法公認(rèn)的公鑰和私鑰呢？l要向證書頒發(fā)機(jī)構(gòu)，即認(rèn)證中心CA(Certificate CA(Certificate Authority)Authority)申請數(shù)字證書，用戶提供真實(shí)信息給CA，CA經(jīng)過核實(shí)，頒發(fā)證書給網(wǎng)上用戶，證書中包含公鑰和私鑰等信息。 數(shù)字證書1 1、數(shù)字證書

12、簡介、數(shù)字證書簡介n數(shù)字證書（數(shù)字ID）實(shí)際上是一種權(quán)威性的電子文檔，由一對密鑰（公鑰和私鑰）和用戶信息等共同組成，在網(wǎng)絡(luò)中充當(dāng)一種身份證或營業(yè)執(zhí)照，用于證明網(wǎng)上交易實(shí)體（商家、用戶、服務(wù)器、設(shè)備和應(yīng)用程序）的合法身份，同時公告該實(shí)體擁有公鑰的合法性。http:/ 證書持有者的身份信息 證書持有者的公鑰 有效期限 唯一的序列號 版本號 證書使用的簽名算法（算法和發(fā)送方私鑰實(shí)現(xiàn)簽名） 證書頒發(fā)機(jī)構(gòu)名稱 證書頒發(fā)機(jī)構(gòu)數(shù)字簽名：說明證書來源的權(quán)威性和真實(shí)性(指紋算法和指紋) 擴(kuò)展信息2 2、數(shù)字證書類型、數(shù)字證書類型n服務(wù)器身份證書 用于標(biāo)識網(wǎng)絡(luò)中提供服務(wù)的服務(wù)器身份，確?？蛻舳送ㄐ诺陌踩浴個人

13、證書 為某一特定用戶提供，為個人發(fā)送的郵件內(nèi)容和附件加密和簽名；個人在線支付；驗(yàn)證用戶身份；可安裝在瀏覽器內(nèi)，也可保存在硬盤，USBkey中。n安全電子郵件證書n企業(yè)證書： 證書包含企業(yè)信息和企業(yè)公鑰，相當(dāng)于網(wǎng)上營業(yè)執(zhí)照，用于企業(yè)的電子商務(wù)活動。n代碼簽名證書：證明軟件提供商的身份信息、公鑰、及簽名合法性。13.1.5 13.1.5 證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)1、證書頒發(fā)機(jī)構(gòu)概念l也稱為認(rèn)證中心（CA），為每個使用公鑰的網(wǎng)上實(shí)體發(fā)放一個數(shù)字證書，證明證書中列出的公鑰等信息是合法和唯一的；并作為交易中受信任的第三方機(jī)構(gòu)，承擔(dān)公鑰合法性檢驗(yàn)的責(zé)任。l證書頒發(fā)機(jī)構(gòu)（CA認(rèn)證中心）也有自己的數(shù)字證書，證

14、明自己的合法性和權(quán)威性。lCA機(jī)構(gòu)對自己頒發(fā)的數(shù)字證書同時進(jìn)行數(shù)字簽名，使得攻擊者不能偽造第三方機(jī)構(gòu)頒發(fā)、篡改證書。l在微軟瀏覽器中已經(jīng)添加了受信任根證書頒發(fā)機(jī)構(gòu)的證書。 導(dǎo)出證書、導(dǎo)入證書(安裝證書)l有哪些證書頒發(fā)機(jī)構(gòu)？ 1）一般每個省都有自己的CA認(rèn)證中心 2）http:/ 3) 中國數(shù)字認(rèn)證網(wǎng)：http:/ 4) 天威誠信數(shù)字認(rèn)證服務(wù)中心 http:/ 5) http:/ 任務(wù)：試著申請一個電子郵件證書 1）先安裝頒發(fā)機(jī)構(gòu)的根證書，信任該機(jī)構(gòu)頒發(fā)的證書。 2）填寫申請信息 3) 遞交 4) 查看、下載和安裝證書2 2、證書頒發(fā)機(jī)構(gòu)職能、證書頒發(fā)機(jī)構(gòu)職能 證書頒發(fā)、證書更新、證書吊銷、證

15、書驗(yàn)證、證書和證書吊銷列表（CRL）的公布、證書狀態(tài)的在線查詢等3 3、證書頒發(fā)機(jī)構(gòu)的證書發(fā)放方式、證書頒發(fā)機(jī)構(gòu)的證書發(fā)放方式 在線發(fā)放 離線發(fā)放 4 4、CACA認(rèn)證中心的分層結(jié)構(gòu)（各個認(rèn)證中心的分層結(jié)構(gòu)（各個caca不是對立，有層次關(guān)系）不是對立，有層次關(guān)系） 根CA是證書頒發(fā)體系中第一個證書頒發(fā)機(jī)構(gòu)，是所有信任的起源，它給自己頒發(fā)由自己簽名的數(shù)字證書。根CA為子CA再頒發(fā)數(shù)字證書，子CA證書與父CA證書形成證書鏈。13.2.1 證書頒發(fā)機(jī)構(gòu)的解決方案1 1、組建分層證書頒發(fā)體系、組建分層證書頒發(fā)體系使用第三方CA單獨(dú)建立自己的CA由第三方CA提供根CA，自建第三方根CA的下級證書頒發(fā)機(jī)構(gòu)

16、（子CA）2 2、選擇合適的證書服務(wù)器軟件、選擇合適的證書服務(wù)器軟件Windows Server 2003提供功能完善的證書服務(wù)器軟件用網(wǎng)絡(luò)安全廠商CA產(chǎn)品，往往提供配套的PKI應(yīng)用系統(tǒng)13.2.2 規(guī)劃證書頒發(fā)機(jī)構(gòu)面向企業(yè)內(nèi)網(wǎng)的所有用戶或計算機(jī)頒發(fā)證書，應(yīng)選擇企業(yè)CA，前提是要建立Active Directory。面向Internet，應(yīng)選擇獨(dú)立CA。13.2.3 安裝證書服務(wù)器v安裝前準(zhǔn)備工作安裝前準(zhǔn)備工作確認(rèn)計算機(jī)名稱和域成員身份 Web注冊必須依賴IIS組件，最好在證書服務(wù)器上安裝IIS組件v安裝證書服務(wù)組件（以獨(dú)立根證書服務(wù)為例）安裝證書服務(wù)組件（以獨(dú)立根證書服務(wù)為例）13.2.4

17、配置和管理證書頒發(fā)機(jī)構(gòu)v證書頒發(fā)機(jī)構(gòu)控制臺證書頒發(fā)機(jī)構(gòu)控制臺通過該控制臺對證書頒發(fā)機(jī)構(gòu)進(jìn)行配置管理v查看證書頒發(fā)機(jī)構(gòu)的證書查看證書頒發(fā)機(jī)構(gòu)的證書證書頒發(fā)機(jī)構(gòu)本身需要證書該證書為根CA證書，是自己頒發(fā)給自己的證書13.2.5 在證書服務(wù)器端管理證書v審查證書申請和頒發(fā)證書審查證書申請和頒發(fā)證書獨(dú)立CA一般不自動頒發(fā)證書，由管理員負(fù)責(zé)驗(yàn)證證書申請者身份管理員可查看審閱掛起的證書申請拒絕證書申請或頒發(fā)證書v吊銷證書吊銷證書通過證書吊銷將還未過期的證書強(qiáng)制作廢13.2.6 證書申請和注冊v申請和安裝用戶證書（以申請和安裝用戶證書（以WebWeb在線申請為例）在線申請為例）13.3.1 理解SSL協(xié)議v

18、SSLSSL協(xié)議（協(xié)議（secure socket layersecure socket layer）工作在網(wǎng)絡(luò)傳輸層和應(yīng)用層之間的安全套接字層。采用公鑰加密和私鑰兩種加密體制對服務(wù)器和客戶端的通信提供保密性、數(shù)據(jù)完整性和身份認(rèn)證服務(wù)。13.3.1 理解SSL協(xié)議vSSLSSL協(xié)議工作層次協(xié)議工作層次vSSLSSL協(xié)議工作過程協(xié)議工作過程13.3.1 理解SSL協(xié)議vSSLSSL協(xié)議解決的關(guān)鍵問題協(xié)議解決的關(guān)鍵問題客戶端對服務(wù)器的身份確認(rèn)服務(wù)器對客戶的身份確認(rèn)在服務(wù)器和客戶之間建立安全的數(shù)據(jù)通道13.3.2 SSL安全網(wǎng)站解決方案vSSLSSL網(wǎng)站安全目標(biāo)網(wǎng)站安全目標(biāo)用戶確認(rèn)Web服務(wù)器（網(wǎng)站

19、）的身份，防止假冒網(wǎng)站在Web服務(wù)器和用戶之間建立安全的數(shù)據(jù)通道，確保安全地傳輸敏感數(shù)據(jù)，防止數(shù)據(jù)被第三方非法獲取讓W(xué)eb服務(wù)器（網(wǎng)站）確認(rèn)用戶的身份，防止假冒用戶vSSLSSL網(wǎng)站安全軟件網(wǎng)站安全軟件大多數(shù)Web服務(wù)器軟件都支持SSL，如微軟的IIS、Apache等 大多數(shù)Web瀏覽器軟件都支持SSL 13.3.2 SSL安全網(wǎng)站解決方案v架設(shè)架設(shè)SSLSSL安全網(wǎng)站安全網(wǎng)站的的關(guān)鍵條件關(guān)鍵條件需要從可信的證書頒發(fā)機(jī)構(gòu)（CA）獲取Web服務(wù)器證書并在Web服務(wù)器上安裝必須在Web服務(wù)器上啟用SSL功能如果要求對客戶端（瀏覽器端）進(jìn)行身份驗(yàn)證，客戶端需要申請和安裝用戶證書如果不要求對客戶端進(jìn)行身份驗(yàn)證，客戶端必須與Web服務(wù)器信任同一證書認(rèn)證機(jī)構(gòu)，需要安裝CA證書13.4.1 理解S/MIME與安全電子郵件證書v電子郵件安全解決方案電子郵件安全解決方案S/MIME：適合商業(yè)用途PGP：適用于個人電子郵件安全服務(wù)vS/MIMES/MIME安全規(guī)范安全規(guī)范依賴于安