网络安全培训课程(PPT 98页).ppt

PGP的密钥管理 密钥管理是PGP系统的一个关键。 发送和接收双方用户都需要维持两个数据结构： 秘密密钥环（private key ring）：存储自己所拥有的秘密密钥-公开密钥对； 公开密钥环（public key ring）。存储用户的一些经常通信对象的公开密钥。 为了使用户可经常更换密钥，每一对密钥有对应的标识符。发信人将此标识符通知收信人，使收信人知道用哪一个公开密钥进行解密。 8.4.4 无线局域网的安全协议802.11i 802.11i解决802.11标准中的安全性问题。 定义健壮安全网络（Robust Security Network，RSN） 制定了两种数据加密机制： 临时密钥完整性协议 （Temporal Key Integrity Protocol，TKIP） 计数器模式和密码块链消息身份认证代码协议（Counter Mode/CBC MAC Protocol，CCMP） 数据加密协议TKIP 是一种对传统设备上的WEP算法进行加强的协议，它可使用户在不更新硬件设备的情况下，提升系统的安全性。 TKIP基于RC4加密算法，将WEP密钥的长度由40位增加到128位，初始化向量的长度由24位增加到48位，并对WEP进行了改进，提高了加密强度。 数据加密协议CCMP IEEE 802.11i强制使用的加密方式，为WLAN提供了加密、认证、完整性服务。 基于AES标准（Advanced Encryption Standard，），CCMP中的AES使用的是128位密钥，它的加密块大小是128位。 需要每个会话都使用一个新的暂时密码，每个报文含有不同的序列号，所以能够防止重放攻击。具有很好的抗密码分析攻击的性能。 访问控制 IEEE802.11i中的访问控制由认证、授权和接入控制三个部分配合完成： 认证：使用IEEE802.1x认证协议 授权：使用EAP协议 接入控制（访问控制）：使用RADIUS协议。 IEEE 802.1x认证协议：基于端口的网络访问控制标准，其初衷是对有线网络提供接入控制。并非专门针对WLAN设计，但它提供了可靠的用户认证和密钥分发框架，因此也可对802.11无线网络的用户进行身份认证和访问控制。 IEEE 802.1x的认证模型 其认证模型包含三个实体： 申请者（Supplicant） 认证者（Authenticator） 认证服务器（Authentication Server) 申请者：一般为一个用户终端系统，装有申请者客户端软件，发起IEEE802.1x协议的认证过程。申请者到认证者采用EAPoL协议（(Extensible Authentication Protocol over LAN)，因此申请者系统需要支持EAPoL协议。 认证者：即无线网络中的接入点（Access Point，AP），一般有两个逻辑端口： 非受控端口：主要用来传递EAPoL协议帧，始终处于双向连通状态，保证申请者始终可以发出或接受认证。 受控端口：在认证通过时才打开，用于传递网络资源和服务。受控端口可配置为双向受控和仅输入受控两种方式。如果用户未通过认证，则受控端口处于未认证状态，用户无法访问认证系统提供的服务。 认证服务器：是支持AAA（Authentication、Authorization和Accounting）协定的RADIUS服务器，可存储有关用户的信息，比如用户名、密码、访问流量和时间、用户的访问控制列表等。 在802.1x协议中，认证者在申请者和认证服务器之间起传递认证信息的作用，这样就将申请者和认证服务器从逻辑上分开，增强了认证过程的安全性。 可扩展认证协议EAP及LAN扩展EAPoL EAP（Extensible Authentication Protocol ） ：可扩展认证协议只定义了认证框架，具有良好的可扩展性，实际的认证过程取决于框架内填充的认证方法。 EAPoL（EAP over LAN) ）： 局域网上的EAP 。在原有的EAP报文外面增加一层封装，使得EAP报文适合在局域网传输。 EAP的层次关系如下图所示 主密钥（Master Secret）：由客户机和服务器共享，是一个48字节长的密码。 是否可恢复（Is Resumable）：用于指示会话是否可以用于初始化新的连接。 SSL连接 SSL连接是一个双向连接，每个连接都和一个SSL会话相关。 SSL连接成功后，即可进行安全保密通信。 与SSL会话一样，SSL连接也有状态，用于记录与连接相关的安全参数。 SSL连接状态记录与连接相关的安全参数： SSL的连接参数 服务器和客户机随机数（Server and Client Random）：是服务器和客户机为每个连接选择的一个用于标识的字节序列，包含一个32bi