第四章PKI與數字證書內容提綱數字證書2PKI3證書透明性4密鑰管理1密鑰管理基于密鑰保護的安全策略：保護密鑰密鑰管理包括密鑰的產生、存儲、分發、組織、使用、停用、更換、銷毀等一系列問題，涉及每個密鑰的從產生到銷毀的整個生命周期。如何安全可靠、迅速高效地分配和管理密鑰是密碼學領域的重要研究課題。密鑰管理重要階段密鑰生成：包括對密鑰密碼特性方面的測量，以保障生成密鑰的隨機性和不可預測性，以及生成算法或軟件在密碼上的安全性。用戶可以自己生成所需的密鑰，也可以從可信中心或密鑰管理中心申請，密鑰長度要適中。密鑰使用：利用密鑰進行正常的密碼操作，如加密、解密、簽名等，注意應用環境對密鑰的安全性的影響。密鑰更新：在密鑰過期之前，為保證密鑰的安全性，以新密鑰代替舊的密鑰，包括密鑰的生成、密鑰的推導、執行密鑰交換協議等。密鑰管理重要階段密鑰備份：以安全方式存儲密鑰，用于密鑰恢復。密鑰恢復：若密鑰喪失但未被泄露，就可以用安全方式從密鑰備份中恢復。密鑰存檔：不再正常使用的密鑰可以存入檔案中，用于解決爭執。它是密鑰的后運行階段工作。密鑰吊銷：若密鑰丟失或在密鑰過期之前，需要將它從正常使用的集合中刪除。密鑰銷毀：對于不再需要使用的密鑰，要將其所有復本銷毀，而不能再出現。不同性質密鑰的管理問題對稱加密：通信雙方必須共享一個密鑰，這個密鑰還要防止被他人獲得；公開加密：通信各方必須發布其公開密鑰，并防止其私鑰被其他人獲得。

密鑰還需經常更換，以便攻擊者知道密鑰的情況下使得泄漏的數據量最小2024/7/226對稱密鑰分配的幾種方法

人工方法：A選定密鑰，通過物理方法安全傳遞給B。可信任第三方C選定密鑰，通過物理方法安全傳遞給A和B。人工方法不適用于大量連接的現代通信對稱密鑰分配的幾種方法

通信方法：如果A和B先前或者最近使用過一個密鑰，則一方可以將新密鑰用舊密鑰加密后發送給另一方如果A和B到第三方C（密鑰分配中心，KDC）有加密連接，C可以通過該加密連接將密鑰傳送給A和B若第三方C（認證中心CA）發布A和B的公鑰，A和B可用彼此的公鑰來加密通信公開密鑰的管理公開密碼體制的密鑰管理：私鑰的分發與對稱密碼體制類似，公鑰的分發問題：將產生的公開密鑰安全地發送給相關通信參與方的技術和方法問題：如果公鑰的完整性和真實性受到危害，則基于公鑰的各種應用的安全性將受到危害。在公鑰管理過程中采取了將公鑰和公鑰所有人信息綁定的方法，這種綁定產生的就是用戶數字證書（DigitalCertificate,DC）內容提綱數字證書2PKI3證書透明性4密鑰管理1數字證書是一種由一個可信任的權威機構（CA）簽署的信息集合。在不同的應用中有不同的證書，如公鑰證書（PublicKeyCertificate,PKC）、PGP證書、SET證書等。數字證書公鑰證書公鑰證書主要用于確保公鑰及其與用戶綁定關系的安全，一般包含持證主體身份信息、主體的公鑰信息、CA信息以及附加信息，再加上用CA私鑰對上述信息的數字簽名。目前應用最廣泛的證書格式是國際電信聯盟（InternationalTelecommunicationUnion,ITU）制定的X.509標準中定義的格式數字證書X.509最初是在1988年的7月3日發布的，版本是X.509v1，當時是作為ITUX.500目錄服務標準的一部分。在此之后，ITU分別于1993年和1995年進行過兩個修改，分別形成了X.509版本2(X.509v2)和版本3(X.509v3)，其中v2證書并未得到廣泛使用X.509證書X.509數字證書360瀏覽器中的數字證書證書保存格式證書保存格式aDERencodedcertificateopenedinaHEXeditorthesamecertencodedasBase64alsoopenedinaHEXeditor證書保存格式FinallyhereisthesamecertificateinASN.1humanreadableform(thisisn’tthewholecert)數字證書數字證書數字證書數字證書數字證書數字證書數字證書?關于證書指紋1、瀏覽器顯示的指紋就是證書簽名嗎？2、YES，那為什么長度都是160位？3、NO，那它跟證書簽名有什么關系？是證書簽名值的一部分還是完全獨立的？攤銷證書列表（CRL）證書有效性驗證內容提綱數字證書2PKI3證書透明性4密鑰管理1有了證書以后，將涉及證書的申請、發布、查詢、撤銷等一系列管理任務，因此需要一套完整的軟硬件系統、協議、管理機制來完成這些任務，由此產生了公鑰基礎設施（PKI）PKI一、PKI組成PKI系統組成PKI認證體系2024/7/2233在PKI中，CA是所有注冊用戶所依賴的權威機構，它嚴格遵循證書策略機制所制定的PKI策略來進行證書的全生命周期的管理，包括簽發證書，管理和撤銷證書。CA是信任的起點，只有信任某個CA，才信任該CA給用戶簽發的數字證書。為確保證書的真實性和完整性，CA需要在給用戶簽發證書時加上自己的簽名CA對于大范圍的應用，特別是在互聯網環境下，由于用戶眾多，建立一個管理全世界所有用戶的全球性PKI是不現實的，因此往往需要很多個CA才能滿足應用需要，這就涉及到CA間的信任問題，即CA信任模型CA對于具有明顯層次結構的行業或組織，如政府（國家省市縣）、全國性的公司（如銀行、中石油、中石化、稅務、工商等）等，可以將組織中的最高層次的機構作為信任的起點。等級層次高的CA為下層的CA頒發數字證書，其中最高層的CA被稱為根CA（RootCA），面向終端用戶的一般是最下層的CA，這就是“樹模型（treemodel）”或“層次模型（hierarchymodel）”CA樹模型CA樹模型信任樹（treeoftrust）信任錨（trustanchor）要驗證一份證書（C1）的真偽（即驗證CA對該證書信息的簽名是否有效），需要用簽發該證書（C1）的CA的公鑰進行驗證，而CA的公鑰保存在對這份證書進行簽名的CA證書（C2）內，故需要下載該CA證書（C2），但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書（C3）來驗證，這樣一來就構成一條證書鏈的關系（C1-C2-C3……），這條證書鏈在哪里終結呢？CA樹模型根證書是一份特殊的證書，它的簽發者是它本身（根CA），安裝了根證書就表明你對該根證書以及用它所簽發的證書都表示信任，不需要再通過其他證書來驗證，證書的驗證追溯至根證書即結束。CA信任模型如果一個組織本身就采用層次結構，則上述層次結構的CA組織方式就非常有效。但是，對于內部不采用層次結構的組織以及組織之間，則很難使用層次結構的CA組織方式。解決這個問題的一般方式是權威證書列表，即將多個CA證書機構內受信任的、含有公鑰信息的證書安裝到驗證證書的應用中。一個被廣泛使用的典型應用就是Web瀏覽器。權威證書列表：Web模型權威證書列表：Web模型★

Web模型依賴于流行的瀏覽器瀏覽器CA的公鑰（如Verisign）

CA的私鑰Web服務器的數字證書瀏覽器廠商起到信任錨的作用，預裝公鑰的CA就是它所認證的CA——有隱含根的嚴格層次結構。預裝

簽發

信任的傳遞瀏覽器用戶得到Web服務器的公鑰大多數Web瀏覽器中包含有50個以上的受信任的CA證書，并且用戶可以向瀏覽器中增加受信任的CA證書，也可以從中刪除不受信任的證書。當接收到一個證書時，只要瀏覽器能在待驗證證書與其受信任的CA證書之間建立起一個信任鏈，瀏覽器就可以驗證證書。權威證書列表：Web模型360瀏覽器預置的CA數字證書權威證書列表：Web模型(a)根CA證書(b)中間CA證書從本質上講，上述Web瀏覽器信任模型是一種隱含根（將權威證書列表中的證書作為受信任的根CA）的嚴格層次模型，通常稱為“Web模型（WebModel）”。權威證書列表：Web模型Web模型有什么問題呢？信任“不稱職的”CA帶來的安全問題信任“壞的”CA帶來的安全問題撤銷一個受信任的CA根證書的困難性權威證書列表：Web模型當前，CA的信任體系沒有唯一的信任根（信任錨點，TrustAnchor），預裝到瀏覽器或操作系統中的可信根CA證書有一百多個，他們又通過成千上萬個二級或三級CA簽發最終的Web服務器證書。這種信任模型最大的安全問題是，任何一個CA都可以為任何一個網站（域名）簽發公鑰證書，而不需要該網站的授權討論：Web信任模型的安全問題討論：Web信任模型的安全問題如果CA出了問題，如私鑰泄露了該怎么辦？2011年8月，荷蘭CA安全證書提供商DigiNotar的服務器被發現遭黑客入侵。黑客為包括G在內的20多個領域的531個網站發行了偽造的CA證書，經分析DigiNotar的8臺證書服務器均遭入侵。2011年7月19被發現入侵，但外界直到8月份才知道。出了這種事，后果是什么？用戶如何應對？討論：Web信任模型的安全問題如果根CA不可信，會有什么后果？如果互聯網接入服務提供商（ISP）能作為CA簽發證書，它能做什么？交叉認證（crosscertification）是指通過某種方法將以前無關的CA連接在一起，建立起信任關系，彼此可以進行安全認證。它通過信任傳遞機制來完成兩者信任關系的建立，是第三方信息關系的拓展，即一個CA的用戶信任所有與自己CA有交叉認證的其他CA的用戶。CA交叉信任模型三種實現方式各PKI的CA之間互相簽發證書，從而在局部PKI之間建立起了信任關系由用戶控制交叉認證，即由用戶自己決定信任哪個CA或拒絕哪個CA由橋接CA控制交叉認證。橋接CA（BridgeCA）是一個第三方CA，由它來溝通各個根CA之間的連接和信任關系。CA交叉信任模型CA交叉信任模型一般將上述交叉認證建立的CA信任模型稱為“森林模型”CA交叉信任模型假設Alice有CA1公鑰，Bob有CA2公鑰，交叉認證后，Alice的信任能擴展到CA2的主體群（包括Bob），反之亦然。CA交叉信任模型雙向交叉認證有什么問題？只適用于CA數量較少的情況，但當CA數量較大時，大量CA兩兩進行交叉認證就會形成復雜的網狀結構，且證書策略經過多次映射之后會使證書用途大大受限CCS2020論文：PKIs是目前網絡安全建設的基礎和核心，其中CAs是PKI的核心。CAs能夠為服務器，應用或者用戶簽發證書，證書可以被用來證明所有者的身份。論文對證書交叉簽名的使用和安全性進行了系統性研究，分析了WebPKI系統中交叉驗證現狀，展示了交叉驗證的優點和風險交叉認證問題交叉認證問題交叉認證的四種類型交叉認證問題交叉簽名在帶來好處的同時，也承擔著一定的風險：一方面，交叉簽名沒有被系統的跟蹤，這給HTTPS安全審計帶來了挑戰；另一方面，中間證書的撤銷機制一般由CA完成，因此被交叉驗證的中間證書的撤銷也可能存在問題。交叉認證問題Let’sEncrypt提供免費加密證書服務，在獲得IdenTrust交叉簽名認證后為主流瀏覽器支持。Let’sEncrypt證書已經被黑客用的極度泛濫了交叉認證問題基于區塊鏈實現的分布式信任模型CA機構以聯盟鏈的方式，通過共識完成CA證書的驗證工作。經過共識的證書將記錄到區塊鏈當中，這些證書就被區塊鏈中所有CA認為是可信的證書。CA分布式信任模型CA分布式信任模型以用戶為中心的信任模型（usercentrictrustmodel）每個用戶自己決定信任其他哪些用戶，還可以信任介紹人介紹的對象，從而形成一種信任網（Weboftrust）。但是，這種信任關系的傳遞不一定是必須的（A信任B，B信任C，并不代表A也要完全信任C。在信任傳遞過程中，信任的程度可能是遞減的）。PGP采用的就是這種信任模型用戶為中心的信任模型RA（RegistrationAuthority）是專門負責受理用戶申請證書的機構，它是用戶和CA之間的接口RA和CA可以合一（小型PKI），最好分離支持在線受理和離線受理RA為方便證書的查詢和使用，CA采用“證書目錄”的方式集中存儲和管理證書，通過建立目錄服務器證書庫的方式為用戶提供證書服務。大多數PKI中的證書目錄遵循的標準是X.500，在互聯網環境下更多采用了簡化版的X.500：輕量級目錄存取協議LDAP。證書發布系統PKI策略是指一個組織建立和定義的公鑰管理方面的指導方針、處理方法和原則。在PKI中有兩種類型的策略：一是證書策略，用于管理證書的使用；另一個是證書實踐指南（CertificatePracticeStatement,CPS）PKI策略二、證書簽發和撤銷證書簽發和撤銷流程簽發流程：申請用戶向RA申請注冊經RA批準后由CA產生密鑰，并簽發證書將密鑰進行備份將證書存入證書目錄。CA將頒發的證書信息存入證書目錄，以便用戶下載或查詢CA將證書副本送給RA，RA進行登記RA將證書副本送給用戶證書簽發什么情況下需要撤銷證書?過了有效期證書公鑰對應的私鑰被泄露或證書的持有企業倒閉，或證書的持有人嚴重違反證書的規定等情況證書持有人還可申請臨時停用證書，稱為“證書凍結”證書撤銷撤銷流程：申請、批準、撤銷兩種發布證書撤銷消息的方式一是CA定期公布證書撤銷列表（CRL），時間間隔由CA的證書策略決定（實時性和效率）二是用戶在線查詢：IETFPKIX制定的在線證書狀態查詢協議（OnlineCertificateStatusProtocol,OCSP）支持用戶在線查詢，實時獲得證書的狀態（有效、撤銷、凍結）證書撤銷CA的證書也需要撤銷，描述CA等證書機構的撤銷證書的列表稱為機構撤銷列表（AuthorityRevocationList,ARL）證書撤銷三、證書使用證書使用查詢首先獲取證書，以及一些額外輔助驗證的證書（如CA的證書，用于驗證發送者證書的有效性）然后，驗證證書證書使用驗證證書過程用CA根證書中的CA的公鑰驗證證書上的CA簽名（這個簽名是用CA的私鑰生成的）是否正確檢查證書的有效期項是否處在有效期內驗證證書內容的真實性和完整性驗證證書是否已被撤銷或凍結（OCSP在線查詢方式或CRL發布方式）驗證證書的使用方式是否與證書策略和使用限制相一致。證書使用從使用過程來看，CA用于簽發證書的私鑰的保密性非常重要，如果一旦泄露，所有由該CA簽發的證書將不能再使用。因為獲得該CA私鑰的任何人都可以簽發證書，導致用戶無法區分是真正CA簽發的，還是獲得泄露出來的CA私鑰的人簽發的。2011年8月，荷蘭CA供應商DigiNotar的8臺證書服務器被黑客入侵事件

證書使用擴展：常見證書錯誤擴展：常見證書錯誤擴展：常見證書錯誤擴展：常見證書錯誤擴展：常見證書錯誤擴展：常見證書錯誤擴展：常見證書錯誤四、PKIXIETF成立了PKI工作組，制定了PKIX系列標準（Public

Key

Infrastructure

on

X.509,PKIX）。PKIX定義了X.509證書在Internet上的使用規范，包括證書的產生、發布、獲取、撤銷，各種產生和發布密鑰的機制，以及怎樣實現這些標準的框架結構等PKIX標準PKIX標準PKIX標準PKIX內容提綱數字證書2PKI3證書透明性4密鑰管理1PKI體系中，用戶無條件信任由可信第三方（CA）簽發的證書。但是，如果CA服務器被攻擊或CA在簽發證書時沒有對申請者進行嚴格的盡職調查，就會產生嚴重的安全問題。幾起典型CA問題事件CA有問題怎么辦？為了解決盲目信任CA簽發的證書所存在的潛在風險，Google于2013年3月提出了數字證書透明性（CertificateTransparency,CT)技術，用于提升服務器證書的可信性，從而提高使用證書的系統的安全性。同年6月，IETF發布CT試驗性標準：RFC6962(CertificateTransparency)。2014年1月，IETF成立PublicNotaryTransparency(TRANS)工作組，專門討論設計、部署、使用CF時碰到的各種問題CA有問題怎么辦？證書透明性Gossip協議

CT能夠對證書進行公開審計，確保網站訪問者不受惡意或者錯誤的證書所害。安全風險：CT也引入了新的運行風險，如Log服務器為虛假證書創建了一條日志，Monitor不通知域名所有者存在針對其域名的虛假證書等證書透明性本章小結作業參考內容一、證書指紋關于證書指紋用openssl讀出來的google的證書的數字簽名算法和數字簽名,證書里沒有“指紋”這個字段關于證書指紋用openssl讀出來的apple的證書的數字簽名算法和數字簽名,證書里也沒有“指紋”這個字段關于證書指紋用openssl的命令查看google證書的sha1指紋：與瀏覽器中看到的指紋一致！關于證書指紋指紋并不是證書本身的一個字段，而是瀏覽器額外計算出來顯示的，進一步驗證結果和瀏覽器顯示的指紋一致=整個證書的sha1散列值關于證書指紋指紋并不是證書本身的一個字段，而是瀏覽器額外計算出來顯示的，IE/360瀏覽器默認用sha1計算指紋(160位)，而google的chrome默認計算了sha1和sha256指紋1、瀏覽器顯示的指紋就是證書簽名嗎？2、YES，那為什么長度都是160位？3、NO，那它跟證書簽名有什么關系？是證書簽名值的一部分還是完全獨立的？關于證書指紋1、瀏覽器為什么要計算整個證書的指紋？關于證書指紋1、瀏覽器為什么要計算整個證書的指紋？關于證書指紋2、證書中哪些字段參與哈希簽名計算？關于證書指紋2、證書中哪些字段參與哈希簽名計算？關于證書指紋2、證書中哪些字段參與哈希簽名計算？關于證書指紋3、證書中哪些字段參與指紋計算？關于證書指紋/2013/04/16/understanding-x-509-digital-certificate-thumbprints/關于證書指紋關于證書指紋關于證書指紋關于證書指紋二、Web證書信任問題證書共享：隨著技術的發展，多個實體（如網站）共享一個證書的情況已經比比皆是了CDN場景集團公司和子公司場景討論：證書共享的安全問題類似IBM和nic.weatherchannel的情況非常普遍，由于Web網站的HTTPS部署比較復雜而且技術仍在進一步發展，共享證書的多個網站之間難免會出現配置故障或者策略不一致的現象。討論：證書共享的安全問題用自簽名證書偽造知名網站證書2020.3.26國內部分地區網絡出現中間人攻擊（通過骨干網絡進行劫持HTTPS的443端口）：GitHub、京東等被劫持。因證書不對，被瀏覽器阻止訪問用自簽名證書偽造知名網站證書用自簽名證書偽造知名網站證書三、SSL/TLS數字證書SSL/TLS數字證書（通常簡稱為“SSL數字證書”）CA頒發給域名或者IP地址的數字證書，為客戶端與服務器端建立SSL/TLS加密通道主要類型：DVSSL證書（域名型）、OVSSL證書（企業型）、EVSSL證書（增強型）、單域名證書、多域名證書、通配符證書、代碼簽名證書SSL/TLS數字證書DV(DomainValidation)SSLCertificate：只驗證域名所有權。申請容易，頒發快。此類型證書適合個人網站或者小微企業使用，價格較低，證書中無法顯示企業信息，安全性較差，在瀏覽器中顯示鎖形標志DVSSL證書OV(OrganizationValidation)SSLCertificate：驗證域名所有權以及申請的主體身份的合法性，此類型證書適合中小型企業、企事業單位官網使用，安全性較高，可點擊瀏覽器小鎖標志查看證書信息OVSSL證書EV(ExtendedValidation)SSL

Certificate：是目前高信任級別的SSL證書，證書頒發機構對此類證書的審核比較嚴格。此類型證書適合大型商業網站或者是對網站安全有較高要求的公司，如金融支付、網上銀行等，可在綠色地址欄顯示公司名稱。EVSSL證書比較DV,

OV,

EV證書保護單個域名的數字證書單域名證書證書自帶3-4個域名，可以付費添加域名，最多添加250個多域名證書通配符證書（WildcardCertificate），也稱為泛域名證書，指一張證書包含主域名與其下一級所有子域名（如*.）的證書。適合擁有大量二級域名/子域用戶申請只有DVSSL和OVSSL才有，EVSSL沒有通配符類型證書。通配符數字證書是對軟件所有者提供的軟件數字簽名服務，可以減少軟件下載時彈出的攔截警告，防止代碼被惡意篡改。代簽名數字證書第五章無線網絡安全無線網絡（WirelessNetwork）是指所有不使用物理連接實現的通信網絡，種類非常多，如無線局域網、無線城域網、無線廣域網、短波通信網、衛星通信網等。由于無線網絡頻段和空間的開放性使得其更容易遭受干擾、非法接入和竊聽的安全威脅無線網絡內容提綱移動通信安全2無線局域網安全1一、概述無線局域網無線局域網1997，第一個無線局域網標準IEEE802.11定義了媒體訪問控制層（MAC層）和物理層采用CSMA/CA（CarrierSenseMultipleAccess/CollisionAvoidance）1999，兩個補充版本IEEE802.11a,802.11b1999，工業界成立了Wi-Fi聯盟（Wi-FiAlliance）2000年以后，802.11c,802.11d,802.11e,802.11f,802.11g,802.11h,802.11i,802.11j,802.11k,…,802.11z，802.11aa,802.11ab,802.11ac無線局域網其它標準歐洲：HiperLAN1及HiperLAN2美國：HomeRF2.0中國：無線局域網鑒別與保密基礎架構（WirelessLANAuthenticationandPrivacyInfrastructure,WAPI），與IEEE標準相比，差別在認證和加密（國密SM2/SM4）上。自2004年6月起，凡是在我國進行銷售的無線局域網設備，包括進口設備都必須符合這套標準無線局域網組成：STA,AP,WM,DS組成國家或國際ISPAPSTASTASTABSSSTA連接AP包括三個階段：掃描、認證和關聯連接過程APSTA通過掃描選擇AP（采用偵聽Beacon幀或發送Probe幀）認證（Authentication）關聯（Association）頻段的開放性和無線空間的開放性給無線局域網帶來的安全問題主要有信道干擾竊聽或嗅探偽造AP重放攻擊無線局域網安全問題無線局域網的安全措施主要針對這三種攻擊，措施包括：認證、完整性檢測和加密，以保障通信的機密性、完整性和真實性二、WEP安全協議有線保密等效協議（WiredEquivalentPrivacy,WEP)是IEEE802.11b中定義的第一個用于保護無線局域網通信安全的協議，目的是防止非法用戶竊聽或侵入無線網絡，保證信息傳輸的機密性、完整性和通信對象的真實性WEP協議認證方式開放系統認證：即無認證，STA向AP發送“authentication”報文，而AP同樣回復“authentication”，并將statuscode字段置0，允許STA接入，然后就可以進行通信和轉發數據WEP協議認證方式共享密鑰認證WEP協議問題：單向認證，即只能AP向STA認證。如果黑客偽裝成AP，則STA易受假冒AP的攻擊通信加密WEP協議加密過程解密過程WEP協議WEP協議安全性分析密文逆向分析：RC4算法問題密鑰破解數據完整性問題：CRC問題WEP協議三、WPA安全協議2003年，IEEE802.11g：WPA協議，引入臨時密鑰完整性協議（TemporalKeyIntegrityProtocol,TKIP）。相比WEP，TKIP在安全方面主要有兩點增強：增加了密鑰長度，雖然仍用RC4，但將密鑰長度從40位增加到128位，從而防止類似WEP網絡在短時間內被攻破的風險；二是使用比CRC強得多的消息完整性檢驗碼MIC(MessageIntegrityCode)WPA協議TKIP：加密過程WPA協議TKIP：解密過程WPA協議與WEP相比，有幾方面提高MIC值有唯一性，取代CRC，大幅提高了數據傳輸的完整性保護能力動態變換密鑰：每個STA每次與AP進行通聯時，會使用動態生成的臨時密鑰使用TSC來抗重放攻擊WPA協議四、WPA2安全協議2004年，IEEE802.11i對WPA進行了更新，稱為WPA2。不再使用RC4，改用AES加密算法加密協議為CCMP（CTRmodewithCBC-MACProtocol）CTR簡稱“計數器模式”，用于提供數據保密性CBC-MAC(Cipher-BlockChainingMessageAuthenticationCode,密碼塊鏈消息認證碼），用于認證和數據完整性保護WPA2協議CCMP：加密過程WPA2協議CCMP：解密過程WPA2協議認證方式，兩種：802.1x認證方式：主要面向企業的認證，需要認證服務器參與WPA-PSK認證方式：主要面向個人用戶WPA2協議802.1x認證方式WPA2協議802.1x認證方式WPA2協議認證方式，兩種：802.1x認證方式：首先進行MSK（MainSessionKey，主會話密鑰）交互，然后使用MSK派生出GMK（GroupMasterKey，組播主密鑰）和PMK（PairwiseMasterKey，成對主密鑰），采用雙向認證，即AP對STA認證、STA也對AP進行認證。面向企業用戶，需要認證服務器參與WPA2協議認證方式選擇EAP中繼方式：設備端處理更簡單，支持更多的認證方法，缺點則是認證服務器必須支持EAP，且處理能力要足夠強。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認證方式，EAP-TLS需要在客戶端和服務器上加載證書，安全性最高，EAP-TTLS、EAP-PEAP需要在服務器上加載證書，但不需要在客戶端加載證書，部署相對靈活，安全性較EAP-TLS低。802.1x認證方式認證方式選擇EAP終結方式：現有的RADIUS服務器基本均支持PAP和CHAP認證，無需升級服務器，但設備端的工作比較繁重，因為在這種認證方式中，設備端不僅要從來自客戶端的EAP報文中提取客戶端認證信息，還要通過標準的RAIUDS協議對這些信息進行封裝，且不能支持除MD5-Challenge之外的其它EAP認證方法。802.1x認證方式中繼認證流程802.1x認證方式終結認證流程802.1x認證方式802.1x認證方式：EAP-TLSWPA2協議WPA-PSK認證方式：采用預共享密鑰(PresharedKey)進行認證，主要面向個人用戶。這種方式下，AP和STA之間預共享有相同的PMK，認證過程需經過4次握手WPA2協議4次握手WPA2協議WPA-PSK認證方式：WPA2協議WPA-PSK認證方式：PTK計算方法WPA2協議APMAC地址ANonceSNonceSTAMAC地址PMK(256b)偽隨機數生成器TKIPPTK(512b)EAPOLKCK(128b)EAPOLKEK(128b)TKIPTK(128b)TKIPMIC(128b)EAPOLKCK(128b)EAPOLKEK(128b)CCMPTK(128b)CCMPPTK(384b)802.11幀結構WPA2認證過程抓包分析分析環境：AP的SSID為evilpan，BSSID為66x6，WPA2密碼為12345678，所連接的客戶端為蘋果手機WPA中四次握手協議為EAPOL(ExtensibleauthenticationprotocoloverLAN)，可以直接在Wireshark等工具中使用eapol過濾出來WPA2認證過程抓包分析分析環境：AP的SSID為evilpan，BSSID為66x6，WPA2密碼為12345678，所連接的客戶端為蘋果手機AP會一直向周圍廣播宣告自己的存在，這樣STA才知道周圍有哪些熱點，并選其中的一個進行連接。廣播的數據稱為BeaconFrame其中包括了熱點的BSSID（即MAC地址）和ESSID（即熱點名）WPA2認證過程抓包分析PMK如果使用PSK(Pre-SharedKey)認證，那么PMK實際上就是PSK。而PSK則是通過Wi-Fi密碼計算出來的WPA2認證過程抓包分析握手1：AP向客戶端發送隨機數ANonceWPA2認證過程抓包分析握手1：AP向客戶端發送隨機數Anonce收到ANonce后，客戶端有PMK、ANonce、Snonce（客戶端自行生成的隨機數），以及雙方的MAC地址信息。通過這些信息，計算PTK：WPA2認證過程抓包分析握手2：客戶端生成PTK后，帶著自己生成的SNonce發送給AP，目的是為了讓AP使用同樣的方法計算出PTK，從而確保雙方在后續加密中使用正確的秘鑰WPA2認證過程抓包分析握手2：客戶端生成PTK后，帶著自己生成的SNonce發送給APWPA2認證過程抓包分析握手3：AP收到握手2發送的SNonce之后，就可以計算出PTK，并用PTK加密GTK后，發送給客戶端，同樣帶有MIC校驗WPA2認證過程抓包分析握手3：AP收到握手2發送的SNonce之后，就可以算出PTK，并用PTK加密GTK后，發送給客戶端，同樣帶有MIC校驗WPA2認證過程抓包分析握手4：雙方都有了后續加密通信所需要的PTK和GTK，第四次握手僅僅是STA告訴AP秘鑰已經收到，并無額外數據WPA2認證過程抓包分析握手4：雙方都有了后續加密通信所需要的PTK和GTK，第四次握手僅僅是STA告訴AP秘鑰已經收到，并無額外數據WPA2認證過程抓包分析“KRACK”攻擊：WPA2應用很長一段時間以來，被認為是很安全的。但是，2017年10月比利時安全研究員MathyVanhoef發現WPA2協議存在密鑰重裝漏洞（KRA,KeyReinstallationAttacks）：WPA2協議四次握手協商加密密鑰過程中第3個消息報文可被篡改重放，可導致中間人重置重放計數器(replaycounter)和隨機數值(nonce)，重放給STA端，使STA安裝上不安全的加密密鑰KRACK攻擊“KRACK”攻擊KRACK攻擊KRACK攻擊的實際操作層面上，根據協議的具體實現略有不同。右邊是一種可能的實現方式KRACK攻擊USENIXSecurity2020五、WPA3安全協議2018年6月，Wi-Fi聯盟又推出WPA3，在WPA2的基礎上做了一些安全增強防暴力破解口令簡化設備配置流程（以更好支持IoT設備）個性化數據加密提高加密強度：192位的CNSA等級算法WPA3協議內容提綱移動通信安全2無線局域網安全1移動通信系統移動通信系統面向全球移動通信的移動網絡（或移動通信系統）最初只提供話音通信服務，經過多年的發展，支持的業務擴展到了話音、數據、視頻、多媒體業務，網絡體制也從第一代的模擬通信（1G）發展數字通信模式的2G、3G、4G和5G，通信能力也由窄帶發展到寬帶通信，網絡安全防護技術也在不斷的提升，以適應不同應用的需求移動系統移動網絡采用嚴格的分層結構，一般包括核心網（CoreNetwork,CN）、接入網（AccessNetwork,AN）和用戶設備（UserEquipment,UE）三部分移動通信系統2G網絡結構圖2G安全PSTN/ISDNBTSBSCOMCMSCVLRHLRAUCEIRMobilityMgtVoiceTrafficMS2G網絡安全：支持匿名性、認證性、用戶數據完整性和信號完整性，存在問題：認證是單向的，只有網絡對用戶的認證，而沒有用戶對網絡的認證，因此存在安全隱患，非法基站（偽基站）作為中間人可以欺騙用戶，竊取用戶信息加密不是端到端的，只在無線信道部分加密，即在移動站和基站收發臺之間加密，在固定網明文傳輸沒有考慮數據完整性保護的問題，數據在傳輸過程中被篡改也難以發現2G安全2G網絡安全：支持匿名性、認證性、用戶數據完整性和信號完整性，存在問題：加密算法問題，安全性不夠用戶匿名性泄露，偽基站可以通過發送身份認證請求給目的終端以獲得其IMSI碼抗拒絕服務攻擊能力弱2G安全3G網絡第三代移動通信技術將無線通信和互聯網等多媒體通信技術有機結合起來，除了能夠提供話音、短消息等傳統業務外，最重要的變化是提供以移動寬帶多媒體業務為主的互聯網接入服務3種國際標準：美國的CDMA2000（繼承自CDMA）、歐洲的WCDMA、中國的TD-SCDMA（均繼承自GSM，統稱為UMTS（UniversalMobileTelecommunicationsSystem）3G安全3G網絡結構3G安全3G網絡安全：3GPP制定的3G安全框架3G安全用戶應用提供商應用（IV）應用層USIM歸屬環境（HE）（I）業務層接入網絡（AN）傳輸層（III）移動設備（ME）服務網（SN）（I）（II）（I）（I）（I）3G網絡安全：3GPP在制定UMTS安全認證機制時，充分考慮到GSM網絡的單向認證可能導致的偽基站、密鑰長度短、沒有完整性檢驗等問題，提出了全新的認證和密鑰產生機制AKA(AuthenticationandKeyAgreement)，使終端獲得對網絡的認證能力以及抗重放攻擊的能力，并可以產生加密和完整性保護所需的密鑰3G安全4G移動通信技術通常指的是LTE（LongTermEvolution），包括頻分雙工長期演進（FrequencyDivisionDuplexingLo