1、网络安全,1,第8章 网络安全 Network Security,计算机网络:自顶向下方法 (原书第三版) 陈鸣译,机械工业出版社,2005年 Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition. Jim Kurose, Keith Ross Addison-Wesley, July 2004.,网络安全,2,第8章 网络安全,本章目的: 理解网络安全的原则: 密码学及其超越“机密性” 的多种应用 鉴别 报文完整性 密钥分发 实践中的安全: 防火墙 在应用层、运输层、网络层和链路层中的安全性,
2、网络安全,3,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,4,什么是网络安全?,机密性: 仅发送方,希望的接收方应当“理解”报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用,网络安全,5,朋友和敌人: Alice, Bob, Trudy,网络安全世界中众所周知 Bob, Alice (
3、情人!)要“安全地”通信 Trudy (入侵者)可能截取、删除、增加报文,安全 发送方,安全 接收方,信道,数据,控制报文,数据,数据,Alice,Bob,Trudy,网络安全,6,谁是Bob和Alice?, 当然, 现实生活中的 Bobs和Alices! 用于电子事务的Web浏览器/服务器 (如在线购买) 在线银行客户机/服务器 DNS服务器 交换选路表更新的路由器 其他例子?,网络安全,7,那边有许多坏家伙!,问题: “坏家伙”能干什么? A: 许多事! 窃听: 截取报文 在连接中主动地插入报文 假冒: 能伪造(哄骗)分组中的源地址(或分组中的任何字段) 劫持: 通过除掉发送方或接收方,将
4、其自己插入其中,“接管”正在进行的连接 拒绝服务: 防止服务由其他人所用(如通过过载资源),后面还有其他情况 ,网络安全,8,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,9,密码学的语言,对称密钥密码: 发送方,接收方密钥相同 公钥密码: 解密密钥公开,加密密钥秘密(专用),明文,明文,密文,加密算法,解密算法,Alice的加密密钥,Bob的解密密钥,网络安全,10,对称密钥密码学,代替密码: 用一个东西代替另一个 单码代替密码 :
5、用一个字母代替另一个,明文: abcdefghijklmnopqrstuvwxyz,密文: mnbvcxzasdfghjklpoiuytrewq,明文: bob. i love you. alice,密文: nkn. s gktc wky. mgsbc,例如:,问题: 破译这种简单的密文有多难?强力 (多难?)其他?,网络安全,11,对称密钥密码学,对称密钥密码: Bob和Alice共享已知的相同(对称)密钥: K 如,在单码代替密码中密钥是已知的代替模式 问题: Bob和Alice怎样对密钥值取得一致?,明文,密文,加密算法,加密算法,A-B,明文 message, m,K (m),A-B,
6、网络安全,12,对称密钥crypto: DES,DES: 数据加密标准 美国加密标准 NIST 1993 56-bit 对称密钥, 64-bit 明文输入 DES有多安全? DES Challenge: 56比特加密的短语加密的短语 (“Strong cryptography makes the world a safer place”)在4个月内被破译(强力) 无已知的“后门”解密方法 使得DES 更安全: 对每个数据集顺序地使用三次密钥 (3-DES) 使用密码分组链接技术,网络安全,13,对称密钥密码: DES,初始置换 16轮相同的功能应用,每个使用不同的48比特的密钥最后的置换,网络
7、安全,14,AES: 先进的加密标准,新的(Nov. 2001)对称密钥NIST标准, 代替DES 以128比特块处理数据 128, 192, 或256比特密钥 对DES强力解密用1秒,对AES则需要用 149 万亿年,网络安全,15,公钥密码学,对称密钥密码 需要发送方、接收方知道共享的秘密密钥 问题:首次如何就密钥取得一致(特别是如果从没有“谋面”) ?,公钥密码学 根本不同的方法 Diffie-Hellman76, RSA78 发送方,接收方不共享秘密密钥 公共加密密钥为所有人所知 秘密解密密钥仅为接收方所知,网络安全,16,公钥密码学,明文 报文, m,密文,加密算法,解密算法,Bob
8、的公钥,明文 报文,K,B,+,Bob的私钥,K,B,-,网络安全,17,公钥加密算法,需要 K ( ) 和 K ( ) 使得,B,B,.,.,给定公钥K , 不应当能够计算出私钥 K,B,B,要求:,RSA: Rivest, Shamir, Adelson algorithm,+,-,+,-,网络安全,18,RSA: 选择密钥,1. 选择两个大的素数 p, q. (如 每个1024比特),2. 计算 n = pq, z = (p-1)(q-1),3. 选择e (使 en) 使得与Z没有公因子 (e, z 是“互素”,4. 选择d 使得 ed-1 能够被z整除(换句话说: ed mod z =
9、 1 ).,5. 公钥是(n,e). 私钥是 (n,d).,网络安全,19,RSA: 加密,解密,0. 给定(n,e)和(n,d)如上面所计算,2. 为了解密接收到的比特模式, c, 计算,(即当 cd被n相除时的余数),出现魔法!,c,网络安全,20,RSA 例子:,Bob选择p=5, q=7. 则n=35, z=24.,e=5 (因此 e, z 互素). d=29 (因此ed-1 被z整除 (5*29-1) /24=6,字母,m,m,e,l,12,24832,17,c,17,481968572106750915091411825223071697,12,字母,l,加密:,解密:,网络安全,
10、21,RSA: 为什么是这样,有用的数论结论: 如果p,q 素数并且 n = pq, 则:,(using number theory result above),(因为我们选择ed(p-1)(q-1) 相除具有余数1 ),网络安全,22,RSA: 另一个重要性质,下列性质在后面将非常有用:,先使用公钥,然后再用密钥,先使用密钥,然后再用公钥,结果是相同的!,网络安全,23,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,24,鉴别,目标:
11、Bob要Alice向他“证明”她的身份,协议ap1.0: Alice说“I am Alice”,失效的场合?,“I am Alice”,网络安全,25,鉴别,目标: Bob要Alice向他“证明”她的身份,协议ap1.0: Alice说“I am Alice”,在网络中,Bob不能“看见”Alice,因此Trudy 直接宣称她自己就是Alice,“I am Alice”,网络安全,26,鉴别: 另一种尝试,协议ap2.0: Alice在包含她源IP地址的IP分组说“I am Alice”,实效场合?,网络安全,27,鉴别:另一种尝试,协议ap2.0: Alice在包含她源IP地址的IP分组说“
12、I am Alice”,Trudy能够生成一个哄骗Alice地址的分组,网络安全,28,鉴别:另一种尝试,协议ap3.0: Alice说 “I am Alice”并发送她的秘密口令来“证明” 之,实效场合?,网络安全,29,鉴别:另一种尝试,协议ap3.0: Alice说 “I am Alice”并发送她的加密的口令来“证明” 之,重放攻击: Trudy 记录Alice的分组并在以后向Bob播放,“Im Alice”,Alice的 IP 地址,Alice 的口令,网络安全,30,鉴别:另一种尝试,协议ap3.1: Alice说 “I am Alice”并发送她的加密的口令来“证明” 之,实效场
13、合?,网络安全,31,鉴别:另一种尝试,协议ap3.1: Alice说 “I am Alice”并发送她的加密的口令来“证明” 之,记录并重放仍然有效!,“Im Alice”,Alice的 IP 地址,加密的 口令,网络安全,32,鉴别:另一种尝试,目标:避免重放攻击,实效,缺点?,不重数(Nonce): 数字(R)一生仅用 一次,ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密,“I am Alice”,R,Alice是活跃的,仅有Alice知道加密不重数的密钥,因此这必定是 Alice!,网络安全,33,鉴别:
14、 ap5.0,ap4.0 要求共享的对称密钥 我们能够用公钥技术鉴别吗? ap5.0: 使用不重数, 公钥密码学,“I am Alice”,R,Bob计算,“send me your 公钥”,并知道仅有Alice才具有密钥,能够加密 R 得到,网络安全,34,ap5.0: 安全漏洞,“中间人”攻击 : Trudy假装是Alice (对Bob)同时假装 Bob (对Alice),I am Alice,I am Alice,R,向我发送你的公钥,向我发送你的公钥,Trudy 得到,向Alice发送用Alice公钥加密的m,R,网络安全,35,ap5.0: 安全漏洞,“中间人”攻击 : Trudy假
15、装是Alice (对Bob)同时假装 Bob (对Alice),难以检测:Bob接收到了Alice发送的所有东西,反之亦然 。 (例如,Bob和Alice一星期后能够会面并回忆交谈内容)问题是Trudy也接收到所有内容!,网络安全,36,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,37,数字签名,密码技术类比于手写签名。 Bob发送数字签名的文档,确定他是文档拥有者/创建者 可验证的, 不可伪造的: 接收者(Alice)能够向其他人证
16、明,必定是Bob而不是其他人(包括Alice)签署了文档,网络安全,38,数字签名,对报文m简单的数字签名 : Bob用他的私钥KB对m签名,创建“签名过的”报文 KB(m),-,-,Dear Alice Oh, how I have missed you. I think of you all the time! (blah blah blah) Bob,Bob的报文m,公钥 加密算法,Bob的私钥,Bobs message, m, signed (encrypted) with his private key,(m),-,网络安全,39,数字签名(续),假定Alice接收报文m, 数字签名
17、 KB(m) Alice验证由Bob签名的m,通过对KB(m) 应用 Bob的公钥KB ,则检查KB(KB(m) ) = m. 如果KB(KB(m) ) = m, 无论谁签名了m都必定使用了Bob的密钥,+,+,-,-,-,-,+,Alice因此验证了: Bob签名了m. 不是其他人签名了m Bob签名了m而非m 不可否认: Alice能够带着m和签名KB(m)到法庭并证明是Bob对m签了名,-,网络安全,40,报文摘要,对公钥加密的长报文计算过于昂贵 目标:固定长度,容易计算的数字“指纹” 应用散列函数H到m, 得到长报文的摘要, H(m).,散列函数性质: 多对1 产生固定长度的报文摘要
18、(指纹) 给定报文摘要 x, 找到m使得x = H(m),在计算上不可行,长报文 m,H: Hash 功能,H(m),网络安全,41,互联网检查和: 低劣的散列函数,互联网检查和具有某些 散列函数的性质: 生成报文的固定长度的摘要(16-bit和) 是多对1,但是给定具有给定散列值的报文,容易找到具有相同散列值的另一段报文:,I O U 1 0 0 . 9 9 B O B,49 4F 55 31 30 30 2E 39 39 42 D2 42,message,ASCII format,B2 C1 D2 AC,I O U 9 0 0 . 1 9 B O B,49 4F 55 39 30 30 2
19、E 31 39 42 D2 42,message,ASCII format,B2 C1 D2 AC,不同的报文 但相同的检查和!,网络安全,42,H(m),Bob的 私钥,Bob发送数字签名的报文 :,Alice验证签名和数字签名报文的 完整性 :,Bob的 公钥,相等?,数字签名 = 签名的报文摘要,网络安全,43,散列函数算法,广泛使用的MD5 散列函数 (RFC 1321) 用4步过程计算128-bit 报文摘要 任意的128-bit 字符串x, 似乎难以构造报文m,它的MD5散列等于 x 也使用SHA-1 US 标准NIST, FIPS PUB 180-1 160-bit 报文摘要,网
20、络安全,44,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,45,可信中介,对称密钥问题: 两个实体如何才能经网络才能创建共享的秘密密钥? 解决方案: 可信的密钥分发中心(KDC) 担当实体之间的中介,公钥问题: 当Alice获得Bob的公钥(从Web站点、电子邮件、软盘), 她怎样知道这是Bob的公钥,而不是Trudy的? 解决方案: 可信证书权威机构(CA),网络安全,46,密钥分发中心(KDC),Alice, Bob 需要共享对称
21、密钥 KDC: 对每个注册的用户(许多用户),服务器共享不同的 Alice, Bob知道自己的对称密钥, KA-KDC KB-KDC , 用于与KDC通信,KB-KDC,KX-KDC,KY-KDC,KZ-KDC,KP-KDC,KA-KDC,KP-KDC,KDC,网络安全,47,密钥分发中心(KDC),Alice 知道R1,Bob知道使用R1 与Alice通信,Alice和Bob通信: 使用R1作为会话密钥用于共享的对称密码,问题:KDC怎样允许Bob, Alice确定彼此通信所用的共享对称秘密密钥?,KDC 生成R1,KB-KDC(A,R1),KA-KDC(A,B),KA-KDC(R1, KB
22、-KDC(A,R1) ),网络安全,48,证书权威机构,证书权威机构(CA): 将公钥与特定实体E绑定 E (个人,路由器)将它的公钥向CA注册 E向CA提供“身份证明” CA生成将E与它的公钥绑定的证书 证书包含了由CA数字签名的E的公钥 CA说“这是 E的公钥”,Bob的 公钥,Bob的 识别信息,CA 私钥,-,Bob公钥的证书,由CA签名,网络安全,49,证书权威机构,当Alice要Bob的公钥: 得到Bob的证书(Bob或别处) 将CA的公钥应用到Bob的证书, 得到Bob的公钥,Bob的 公钥,CA 公钥,+,网络安全,50,证书包含:,序列号(对发行者是惟一的) 有关证书拥有者的
23、信息,包括算法和密钥值(不显示),有关证书拥有者的信息 有效期 由发行者进行的数字签名,网络安全,51,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,52,防火墙,将组织的内部网与更大的因特网相隔离,允许某些分组通过,阻止另一些,防火墙,网络安全,53,防火墙: 理由,防止拒绝服务攻击: SYN洪泛: 攻击者创建了许多伪造的TCP连接,对“真实的”连接则没有资源可用 防止非法的修改/访问内部数据. 如,攻击者用一些别的东西代替CIA主页
24、 仅允许授权的访问进行内部网络(鉴别的用户/主机集合) 两类防火墙: 应用级 分组过滤,网络安全,54,分组过滤,内部网络经路由器防火墙连接到因特网 路由器逐分组地过滤, 基于下列因素决定转发/丢弃分组: 源IP地址,目的IP地址 TCP/UDP源和目的端口号 ICMP报文类型 TCP SYN和ACK比特,到达的分组允许进入吗?离开的分组允许出去吗?,网络安全,55,分组过滤,例子1: 阻止具有下列特征的入和出数据报:IP 协议字段=17并且源或目的端口号= 23. 所有入和出UDP流和Telnet连接将阻止 例子2: 阻止入TCP段(协议字段= 6)具有ACK=0. 防止外部客户机与内部客户
25、机进行TCP连接,但允许内部客户机与外部连接,网络安全,56,应用网关,除了IP/TCP/UDP字段,还过滤分组的应用数据 例子:允许选定的内部用户Telnet外部,主机到网关的Telnet会话,网关到远程主机Telnet会话,应用网关,路由器和过滤器,1. 要求所有Telnet用户通过网关出去 2. 对于授权的用户,网关对目的主机建立Telnet连接。网关中继2个连接之间的数据 3. 路由器过滤器阻止所有不是从网关起始的Telnet连接,网络安全,57,防火墙和网关的限制,IP哄骗: 路由器不能知道是否数据“真实地”来自所宣称的源 如果多个应用程序需要特殊处理,每个都有自己的应用网关 客户机
26、软件必须知道如何与网关联系 如必须在Web浏览器中设置IP地址,过滤器对UDP通常使用全部或全无策略 折衷: 与外界通信的程序,安全性水平 许多高度保护的站点仍遭受攻击,网络安全,58,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性,网络安全,59,因特网安全性威胁,映射: 在攻击之前的“踩点”:找出网络上实现了什么服务 使用ping 来确定网络上有哪些主机 端口扫描:试图顺序对每个端口创建TCP连接(观察发生的情况) nmap (http:/ww
27、w.insecure.org/nmap/)用于: “网络探测与安全性审计”对策?,网络安全,60,因特网安全性威胁,映射: 对策 记录进入网络的流量 寻找可疑的活动(IP地址,被顺序扫描的端口),网络安全,61,因特网安全性威胁,分组嗅探: 广播媒体 混杂模式的NIC读通过的所有分组 能够读所有未加密的数据(如口令) 如:C嗅探B的分组,A,B,C,对策?,网络安全,62,因特网安全性威胁,分组嗅探: 对策 组织中的所有主机运行软件进行周期性的检查,看是否主机接口为混杂模式 广播媒体的每段一台主机(交换式以太网),A,B,C,网络安全,63,因特网安全性威胁,IP哄骗: 能够直接从应用程序生成
28、 “raw” IP分组,在IP源地址字段放入任何值 接收方不能分辨源是否哄骗 如C假装是,A,B,C,对策?,网络安全,64,因特网安全性威胁,IP哄骗:入口过滤 路由器对于非法源地址不应当向外转发 (如 数据报源地址不在路由器网络中) 很好的方法!但入口过滤不能强制所有网络实行,A,B,C,网络安全,65,因特网安全性威胁,拒绝服务(DOS): 产生的大量敌意分组淹没了接收方 分布式DOS (DDOS): 多个协同的源淹没接收方 如 C和远程主机SYN攻击A,A,B,C,对策?,网络安全,66,因特网安全性威胁,拒绝服务(DOS): 对策 在到达主机前过滤出洪泛分组(如 SYN):扔掉 溯源
29、(traceback)到洪泛的源(许多可能是无辜的、被连累的机器),A,B,C,网络安全,67,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性,网络安全,68,安全电子邮件,Alice:生成随机对称私钥KS用KS 加密报文(为了提高效率)也用Bob的公钥加密KS 向Bob发送KS(m)和KB(KS),Alice要向Bob发送机密的
30、电子邮件, m,网络安全,69,安全电子邮件,Bob:使用他的私钥解密并恢复KS使用KS 解密KS(m)以恢复m,Alice要向Bob发送机密电子邮件 m,网络安全,70,安全电子邮件(续),Alice要提供发送方鉴别和报文完整性,Alice数字签名报文发送报文(以明文方式)并数字签名,网络安全,71,安全电子邮件(续),Alice要提供安全性,发送方 鉴别,报文完整性.,Alice使用3个密钥: 她的私钥,Bob的公钥,新生成的 对称密钥,网络安全,72,Pretty good privacy (PGP),因特网电子邮件解密方案,事实上的标准 使用前面所述的对称密钥密码学, 公钥密码学, 散
31、列函数, 和数字签名 提供安全性,发送方鉴别, 完整性 发明者 Phil Zimmerman被联邦调查局调查3年,-BEGIN PGP SIGNED MESSAGE- Hash: SHA1Bob:My husband is out of town tonight.Passionately yours, Alice-BEGIN PGP SIGNATURE- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE-,一份PGP签名的报文:,网络安全,
32、73,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性,网络安全,74,安全套接字层(SSL),使用SSL服务为任何基于TCP应用程序提供运输层安全性 用于Web浏览器和电子商务服务器之间(https) 安全性服务: 服务器鉴别 数据加密 客户机鉴别 (选项),服务器鉴别: SSL使能的浏览器包括用于可信CA的公钥 浏览器请求服务器
33、证书,由可信CA发行 浏览器使用CA的公钥,从证书中提取服务器的公钥 检查你浏览器的安全性菜单,观察它的可信CA,网络安全,75,SSL(续),加密的SSL会话: 浏览器生成对称的会话密钥, 用服务器的公钥加密它,并向服务器发送加密的密钥 使用私钥,服务器解密会话密钥 浏览器、服务器知道会话密钥 所有向TCP套接字发送的数据(由客户机或服务器) ,都用会话密钥加密,SSL: IETF运输层安全性 (TLS)的基础 SSL能被用于非Web应用程序,如 IMAP. 客户机鉴别能用客户机证书完成,网络安全,76,第8章 要点,8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施
34、 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性,网络安全,77,IPsec: 网络层安全性,网络层安全性: 发送主机加密在IP数据报中的数据 TCP和UDP报文段;ICMP和SNMP报文 网络层鉴别 目的主机能够鉴别源IP地址 两个基本协议: 鉴别首部(AH)协议 封装安全性载荷(ESP) 协议,对AH和ESP, 源和目的握手: 创建网络层逻辑通道称为安全性关联 (SA) 每个SA是单向的 惟一地由下列决定: 安全性协议(AH或ESP) 目的IP地址 32-bit连接ID,网络安全,78,安全
35、关联SA,发送者和接收者间的单向关系 每个方向都需要一个,共要两个关联 3个SA标识参数 安全协议标识 单向连接的IP目的地址 32比特的安全性参数索引,网络安全,79,鉴别首部(AH)协议,提供源鉴别, 数据完整性, 无机密性 AH首部嵌入在IP首部和数据字段之间 协议字段: 51 中间的路由器像往常一样处理数据报,AH首部包括: 连接标识符 鉴别数据: 源签名的报文摘要,对初始IP数据报计算而得 下一个首部字段: 定义数据类型 (如 TCP, UDP, ICMP),网络安全,80,ESP协议,提供安全性、主机鉴别、数据完整性. 数据、ESP尾部加密 下一个首部字段位于ESP尾部中,ESP鉴
36、别字段类似于AH 鉴别 字段 协议 = 50.,IP首部,TCP/UDP段,ESP 首部,加密的,鉴别的,网络安全,81,第8章 要点,8.1 什么是网络安全? 8.2 密码学的原则 8.3 鉴别 8.4 完整性 8.5 密钥分发和证书 8.6 访问控制: 防火墙 8.7 攻击和防范措施 8.8 在多层次中的安全性 8.8.1. 安全电子邮件 8.8.2. 安全套接字 8.8.3. IPsec 8.8.4. 在802.11中的安全性,网络安全,82,IEEE 802.11安全性,War-driving: 绕着旧金山海湾地区,看 802.11网络可用情况? 在公用道路上有超过9000可用 85%
37、没有使用加密/鉴别 分组-嗅探和各种攻击容易! 安全802.11 加密, 鉴别 802.11安全性的首次尝试:有线等效保密(WEP): 实效 当前的努力: 802.11i,网络安全,83,有线等效保密(WEP):,如同在协议ap4.0中的鉴别 主机从接入点请求鉴别 接入点发送128比特不重数 主机使用共享的对称密钥加密不重数 接入点解密不重数,鉴别主机 无密钥分发机制 鉴别: 知道了共享密钥就可以了,BSS,集线器、交换机 或路由器,网络安全,84,WEP 数据加密,主机/AP共享40比特对称密钥(半永久) 主机附加了24-bit初始矢量 (IV)生成64-bit密钥 64 bit密钥用于生成
38、密钥流, kiIV kiIV 用于加密帧中的第i个字节, di: ci = di XOR kiIV IV和加密的字节ci在帧中发送,网络安全,85,802.11 WEP加密,Sender-side WEP encryption,24-bit,网络安全,86,破解802.11 WEP加密,安全漏洞: 24-bit IV, 每帧一个IV, - IVs最终重用 IV以明文重传 IV 检测到重用 攻击: Trudy引起Alice加密已知明文 d1 d2 d3 d4 Trudy看到: ci = di XOR kiIV Trudy知道ci di, 因此能计算 kiIV Trudy知道加密密钥序列k1IV
39、k2IV k3IV 下次使用IV时, Trudy能够解密!,12,000 帧,网络安全,87,802.11i: 改善安全性,可能有无数的加密形式(更强的) 提供密钥分发 使用鉴别服务器与接入点分离,网络安全,88,AP: 接入点,AS: 鉴别服务器,有线的网络,STA: 客户机站点,STA和AS相互鉴别,一同生成主密钥 (MK). AP充当“通过“,STA导出成对主密钥 (PMK),AS导出相同的PMK发送给AP,STA、AP使用PMK导出用于报文加密、完整性的临时密钥(TK),802.11i: 4阶段操作,网络安全,89,有线的网络,EAP TLS,EAP,EAP over LAN (EAPoL),IEEE 802.11,RADIUS,UDP/IP,EAP:扩展的鉴别协议,EAP: 端到端客户机(移动用户)到鉴别服务器协议 EAP经单独的”链路“发送 移动用户到AP (EAP over LAN) AP到鉴别服务器(RADIUS over UDP),网络安全,90,网络安全(小结),基本技术. 密码学 (对称和公共) 鉴别 报文完整性 密钥分发 . 用于不同的安全场合 安全电子邮件 安全传输(SSL) IPSec 802.11,