網路安全
Post on 07-Jan-2016
42 Views
Preview:
DESCRIPTION
TRANSCRIPT
1
網路安全
林振緯輔仁大學資訊工程系jwlin@csie.fju.edu.tw
2
內容
網路概論 資訊加解密技術 身份認證 防火牆之原理與類型 虛擬私人網路 -VPN 無線區域網路加密設定
3
網路基本介紹
網路是由一群電腦透過傳輸媒介、訊號轉換器及電腦等設備連結在一起的連結架構。透過許多網路建立起廣大的「網際網路」 (Internet)
現今網路結構分為有線電腦網路與無線電腦網路
4
網路基本介紹
有線電腦網路
5
網路基本介紹
無線電腦網路
6
網路協定
網路是由許多節點所組成的,訊息在節點間傳送時,必須有共同的傳輸規則,來定義複雜的資料傳送程序
網路協定是用來規範網路節點間訊息的傳遞方式、訊息格式、如何進行錯誤偵測等資訊傳送相關事項
7
網路協定
網路協定就如同交通規則
8
OSI 網路參考模式 國際標準組織 (ISO) 於 1977 年制定了 OSI (Open
Systems Interconnection) 開放式系統相互連結的網路參考模式,為各家原本所設計不一致的網路架構提供完整的參考標準
OSI 網路參考模式是一套概念性的功能架構,並非規範或制定用以實際執行的通訊協定標準
OSI 網路參考模式並不限定使用特定通訊協定,只要收送雙方協調在相對應的層次使用相同的通訊協定即可,透過 OSI 網路參考模式可了解網路中不同層次間資料傳輸之複雜的互動關係
9
OSI 網路參考模式
OSI 網路參考模式由下至上共分為七層: 實體層 (Physical Layer) 資料鏈結層 (Data Link Layer) 網路層 (Network Layer) 傳輸層 (Transport Layer) 會議層 (Session layer) 展示層 (Presentation Layer) 應用層 (Application Layer)
10
OSI 網路參考模式
路 由 器
實體電路
2. 鏈結層
發送者 接收者
應用程式間的通訊
實體電路
1. 實體層
2. 鏈結層
3. 網路層
4. 傳輸層
5. 會議層
6. 展示層
7. 應用層
1. 實體層
2. 鏈結層
3. 網路層
4. 傳輸層
5. 會議層
6. 展示層
7. 應用層傳輸資料格式的轉換
應用程式間的對談管道
點對點資料傳輸
節點定址與路徑選擇
無錯誤資料傳輸
規範實體裝置與電氣特性
11
網路安全
資訊加解密技術
12
密碼學概念
何謂密碼學 藉由加密的方式將原始有意義的資訊轉換成無意義的文字或亂碼,唯有知道解密方式的人方能破解讀取其真正意義,加解密的主要目的在於防止資訊在傳遞過程中遭人蓄意竊取或竄改
「加密」 (Encryption) :是將原本可閱讀的資訊,又稱明文 (plain text) ,透過特定的程式或規則轉換成無法讀取的形式,又稱密文 (cipher text)
「解密」 (Decryption) :當接收者取得密文後,透過特定的解碼方式將密文還原成有意義的明文
13
密碼學概念
何謂密碼學 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L MN O P Q R S T U V W X Y Z A B
加密加密I LOVE YOU K NQXG AQW
解密解密 I LOVE YOUK NQXG AQW
往後位移二個字母
往前位移二個字母
14
密碼學概念
密碼系統之類型 為充分達到資訊隱藏的目的,必須透過嚴謹的方式進行加密的動作
密碼系統主要可分為: 對稱式金鑰密碼系統 (Symmetric Key) 非對稱式金鑰密碼系統 (Asymmetric Key)
15
密碼學概念 對稱式金鑰密碼系統 (Symmetric Key)
「對稱式金鑰密碼系統」又稱「秘密金鑰系統」 (Secret Key)
此密碼系統之特色在於傳送與接收雙方使用相同之鍵值( 金鑰 ) 進行加解密,亦即雙方擁有相同之秘密金鑰
優點: 其加解密的速度較同等安全程度的非對稱金鑰密碼系統快
缺點: 在傳送加密訊息之前,傳送者與接收者雙方必須找到一個安全交換秘密金鑰的方法,此外,在與不同對象進行訊息傳送時也必須使用不同的秘密金鑰
16
密碼學概念
對稱式金鑰密碼系統 (Symmetric Key) (Cont.)
秘密金鑰X
秘密金鑰 X
A
B
僅兩人共同持有
17
密碼學概念
非對稱式金鑰密碼系統 (Asymmetric Key) 「非對稱式金鑰密碼系統」又稱為「公開金鑰系統」 (Public Key)
特色在於傳送與接收雙方使用兩組不同之鍵值 ( 金鑰 ) 進行加解密,此兩組金鑰是成對的。其概念為每一個人均擁有一組公開金鑰 (Public key) 及一組私人金鑰 (Private key) ,訊息傳送者必須使用接收者對外開放之公開金鑰對訊息進行加密,接收者取得訊息後,再使用其不對外洩露之私人金鑰進行解密
18
密碼學概念
非對稱式金鑰密碼系統 (Asymmetric Key) (Cont.) 與對稱式金鑰密碼系統相較之下,免除了必須找到安全交換秘密金鑰方式的考量
優點: 所有傳送者對某特定接收者傳遞訊息時只需使用一致的接收者公開金鑰即可
缺點: 較同等安全程度的對稱金鑰密碼系統慢
19
密碼學概念
非對稱式金鑰密碼系統 (Asymmetric Key) (Cont.) 公開金鑰 B_Public
私人金鑰 B_Private
A
B
眾人皆可取得
僅 B個人持有
20
對稱式密碼系統: DES / Double DES / Triple DES / AES
DES ( Data Encryption Standard ) 1970 年由 IBM 所發展的一套密碼系統 1977 年美國國家標準局( NBS)公佈為「資料加密標準」 (
Data Encryption Standard; DES ) DES屬於一種「區塊加密法」 (Block Cipher) ,先將明文分
成許多大小為 64 bits 的區塊,每個獨立區塊再分別透過密碼系統進行加密成密文,其中密碼系統使用 56 bits 金鑰進行加密處理
21
對稱式密碼系統: DES / Double DES / Triple DES / AES
DES ( Data Encryption Standard ) (Cont.)
56 bits 金鑰
金鑰產生
金鑰產生
Happy …...Happy …...
64 bits 明文
初始排列運算初始排列運算
反初始排列運算反初始排列運算
重複運算(16次 )
重複運算(16次 )
%$*@#! ..%$*@#! ..
22
對稱式密碼系統: DES / Double DES / Triple DES / AES
DES ( Data Encryption Standard ) (Cont.)
加解密的速度較公開金鑰系統快 但由於其執行加解密時是使用相同的秘密金鑰,因此在傳送訊息給接收者時,也必須將秘密金鑰傳給對方,因此在資料傳輸的過程中,如何將秘密金鑰安全地傳送給對方,始終為 DES 的一大問題
23
對稱式密碼系統: DES / Double DES / Triple DES / AES
Double DES 為提升 DES 的保密程度,所衍生出的加解密架構 使用兩個秘密金鑰將明文做兩次加密的動作以產生密文
傳送者先後使用 K1 、 K2 兩個秘密金鑰對明文進行兩次加密以得到密文,而接收者也必須先後使用 K2 、K1 對密文進行解密以得到明文。由於 Double DES使用兩個金鑰,因此其金鑰長度可視為 56 × 2 = 112 bits ,較原始 DES增加了破解密碼的困難度
24
對稱式密碼系統: DES / Double DES / Triple DES / AES
Double DES
Happy
明文
加密 1 加密 2 %$*@#
密文
K1 K2
%$*@#
密文
解密 2 解密 1 Happy
明文
K1K2
※ 加密:密文 (C) = EK2 [ EK1 (P) ]
※ 解密:明文 (P) = DK1 [ DK2 (C) ]
X
X
25
對稱式密碼系統: DES / Double DES / Triple DES / AES
Triple DES 如同 Double DES 的概念,為增加密碼被解的困難度, Triple DES 使用 DES做三次加解密處理
26
對稱式密碼系統: DES / Double DES / Triple DES / AES
Triple DES : DES-EEE3
Happy
明文
加密 1
密文
K1
%$*@#
密文
解密 3
明文
K3
※ 加密:密文 (C) = EK3 { EK2 [ EK1 (P) ] }
※ 解密:明文 (P) = DK1 { DK2 [ DK3 (C) ] }
X1
加密 2
K2
解密 2
K2
X2
Happy%$*@#
加密 3
K3
解密 1
K1
X2 X1
27
對稱式密碼系統: DES / Double DES / Triple DES / AES
AES ( Advanced Encryption Standard ) 由於 DES 密碼系統使用 56 bits 秘密金鑰,隨時面臨被破解的威脅,因此美國國家標準技術局於 1997 年 4月公開徵求下一代加密標準 AES ( Advanced Encryption Standard) ,並於 2000 年 10月公開選定 Rijndael 的區塊密碼系統做為 AES 的加密標準
28
對稱式密碼系統: DES / Double DES / Triple DES / AES
AES ( Advanced Encryption Standard ) (Cont.)
不同於 DES 的部份有以下幾點: 使用資料區塊長度為 128 bits Rijndael 所使用的資料區塊結構不同於 DES 的資料區塊結構
Rijndael利用固定大小的資料區塊與不同長度的秘密金鑰進行重複運算
秘密金鑰的長度可為 128 、 192 、 256 bits ,則重複運算的次數分別為 10 、 12 、 14 次
29
對稱式密碼系統: DES / Double DES / Triple DES / AES
DES 與 AES 比較
DES AES
資料區塊 64 bits 128 bits
秘密金鑰長度 56 bits128 / 192 / 256
bits
重複運算次數 16次10 / 12 / 14 次
(因金鑰長度而異)
30
非對稱密碼系統: RSA
RSA 目前最普遍的公開金鑰加密法,其金鑰長度不定,若欲提供資料較高的安全性可選擇較長的金鑰值;若要顧及加解密處理的效率,則可選擇較短的金鑰值
與 DES演算法類似, RSA 加密法也是將明文分成同樣大小的資料區塊,資料區塊的長度可以自由設定,但是需小於公開金鑰之長度,再分別對資料區塊加密成密文
31
Public-Key Cryptography
Key: A value used to encrypt or decrypt a message Public key: Used to encrypt messages Private key: Used to decrypt messages
RSA: A popular public key cryptographic algorithm Relies on the (presumed) intractability of the
problem of factoring large numbers
32
Encrypting the Message 10111
Encrypting keys: n = 91 and e = 5 10111two = 23ten
23e = 235 = 6,436,343 6,436,343 ÷ 91 has a remainder of 4 4ten = 100two
Therefore, encrypted version of 10111 is 100.
33
Decrypting the Message 100
Decrypting keys: d = 29, n = 91 100two = 4ten
4d = 429 = 288,230,376,151,711,744 288,230,376,151,711,744 ÷ 91 has a
remainder of 23 23ten = 10111two
Therefore, decrypted version of 100 is 10111.
34
Figure 12.13 Public key cryptography
35
Figure 12.14 Establishing an RSA public key encryption system
36
網路安全
身份認證
37
數位認證概念
何謂數位認證 「數位認證」 (Digital Certificate) 是在網路環境用來辨識使
用者身份的機制,如同現實生活中個人所持有的身分證一般,可對網路上所傳遞的電子資料進行安全的簽署與驗證。
「數位憑證」大致具有以下功用 電子郵件加密
將傳送的資訊內容隱藏,非特定接收者無法閱讀其內容 電子郵件簽章
如同本人簽章,別人無法仿冒,而本身一旦簽署完成即不可否認
網路通行證 配合作業系統,代替帳號密碼作為網路登入的識別證
38
數位認證概念
何謂數位認證 (Cont.)
嚴謹的數位認證運作機制中存在一公正第三者 -「認證中心」 (CA; Certification Authority) ,使用者必須依據認證中心的申請程序進行申請方能取得數位憑證,而認證中心也須擔負起查驗通訊雙方身份之責任。
39
數位認證概念
數位認證的概念 在網路環境中傳送資料時一般透過加密過的訊息,藉由「盤問與回應」 (Challenge & Response) 的方式確認對方的身份
身份認證可以「對稱式金鑰密碼系統」及「非對稱式金鑰密碼系統」進行介紹
40
數位認證概念
對稱式金鑰密碼系統 – A 驗證 B
XX′′ 加密
A B
K
X′解密K
(4) 比對驗證 B 的身份
(1) (2)
(3)
41
數位認證概念
對稱式金鑰密碼系統 – B 驗證 A
Y Y′′加密
A B
K
Y′ 解密 K
(4) 比對驗證 A 的身份
(1)(2)
(3)
42
數位認證概念
非對稱式金鑰密碼系統
P 加密
A B
KB 公
P′
解密
(5) 比對驗證 B 的身份
(1) (2)
(3)
P
加密解密
KB 公
KB 私
KB 私
(4)
43
數位認證協定: SSL
何謂 SSL 1994 年由 Netscape 所提出的標準草案,以確保使用者在網路上傳輸資料的安全
大多數電子商務網站皆是以 SSL機制進行交易資料的加密與傳送處理
主要目的在於提供網路應用軟體之間資料傳輸的安全性,其應用在 HTTP 、 SMTP 等通訊協定中
SSL 加密技術使用在 TCP/IC 的傳輸層中
44
公開金鑰憑證協定: X.509
簡介 為了在開放的網路環境下提供遠端使用者身份之認證, ITU (International Telecommunication Union)於 1988 年提出「開放式系統連結目錄服務:認證架構 X.509 」
後續 X.509更被國際標準組織 ISO採用為 ISO 9594-8認證標準
大多數的公開金鑰基礎建設皆是依照 X.509 標準發展而成
45
公開金鑰憑證協定: X.509
X.509 規格內容與特性 在 X.509 規格中描述範圍包括:
公開金鑰憑證 憑證管理 憑證路徑 目錄資料結構 金鑰產生與管理等
其中,不同憑證中心間交互認證的安全層級包括: 簡單認證 加強認證
46
公開金鑰憑證協定: X.509
X.509 規格內容與特性 (Cont.)
X.509 標準之規格內容包含: 簡單認證程序 加強認證程序 金鑰及憑證管理 憑證擴充及憑證廢止清冊
47
公開金鑰憑證協定: X.509
X.509 規格內容與特性 (Cont.)
項目 內容說明簡單認證程序 使用一般常見之密碼認證技術驗證通訊者身份
加強認證程序 使用公開金鑰密碼學技術驗證通訊者身份
金鑰及憑證管理 針對金鑰與憑證管理及正確性做重點摘要,並定義憑證廢止清冊 (CRL)內容
憑證擴充及憑證廢止清冊
於 1995年提出 X.509修正案,對憑證及憑證廢止清冊定義加以修正與補充
48
公開金鑰憑證協定: X.509
X.509 規格內容與特性 (Cont.)
X.509 規格所定義的憑證符合兩項特性:(1)任何有權限取得公開金鑰的使用者,皆可找到已經通過認證的公開金鑰
(2)除憑證中心外,所有對憑證進行修改的動作皆會被監測發現
49
網路安全
防火牆之原理與類型
50
何謂防火牆
防火牆簡介 防火牆就像是現今一般辦公大樓、科學園區或是社區的警衛,而警衛的工作即是確認使用者的身份
具有防火牆的系統會對網路上資料封包於電腦的進出動作進行驗證,以確認網路封包內容的合法性與安全性
防火牆能將危險與不安全的連線阻擋在私人網路之外
51
何謂防火牆
防火牆簡介 (Cont.)
防火牆的角色 – 大門警衛
52
何謂防火牆
防火牆簡介 (Cont.)
防火牆可以是一單純軟體、單純硬體或軟硬體結合的網路裝置
當防火牆架設後,原有的網路一分為二,分別為「外部網路」( External Network)與「內部網路」( Internal Network)
53
何謂防火牆
防火牆簡介 (Cont.) 經防火牆切割的內外網路
54
何謂防火牆
防火牆的基本型態分類 - 依功能區別 封包過濾 (packet filtering)
55
何謂防火牆
防火牆的基本型態分類 - 依功能區別 應用代理 (proxy)
網際網路
網路伺服器端 內部伺服器主機
應用代理伺服器
接收 / 傳送外界檔案
經過確認的訊息封包
56
何謂防火牆
防火牆的基本型態分類 - 依功能區別 網路位址轉譯 (Network Address Translation; N
AT)
網際網路
IP 139.100.13.21
對外 IP 140.132.21.21
虛擬 IP 192.168.1.5
虛擬 IP 192.168.1.38
對內虛擬 IP 192.168.1.1
防火牆主機 P
虛擬 IP 192.168.1.21
A
B
C
X
57
防火牆之運作原理
封包過濾 ( packet filtering )
58
防火牆之運作原理
封包過濾 ( packet filtering ) (Cont.)
網路介面層
網際網路層
主機傳輸層
應用層 接收網路封包
是否符合安全限制 ?
是否接受網路封包 ? 建立稽核紀錄
建立稽核紀錄
丟棄資料封包
(3)
是 否
否
(5)
(4)
(1)
(2)
封包過濾模組TCP/IP 傳輸
59
防火牆之運作原理
應用代理 ( proxy )
內部主機A
應用代理伺服器X
網際網路
網路伺服器B
12
3 4
60
防火牆之運作原理
封包過濾 VS. 應用代理封包過濾
(packet filtering)應用代理(proxy)
價格較低 價格較高性能負荷小,網路處理速度快 安全機制多,網路速度較慢
設定較複雜,容易出現因防火牆細部設定不當所帶來的問題
無法運用在加密過的資訊( 如 SSL)
允許封包直接通過,容易造成資料內容式攻擊的潛在危險( 如病毒 )
由於不允許封包通過防火牆因此較為安全
對所有服務都要有相對應的Proxy 應用程序
61
防火牆之運作原理
網路位址轉譯 ( NAT ) RFC1597 文件中所定義的三段保留網際網路位址區間:
(1) 10.0.0.0~10.255.255.255 , 約 1千 6百萬個網際網路位址。(2) 172.16.0.0~172.31.255.255 , 約 1百萬個網際網路位址。(3) 192.168.0.0~192.168.255.255 , 約六萬五千個網際網路位址。
62
防火牆之運作原理
網路位址轉譯 ( NAT ) (Cont.)
防火牆主機 B防火牆主機A
網際網路
140.138.2.1
217.138.3.21
網路位址 192.168.1.0網路遮罩 255.255.255.0
192.168.3.1
192.168.1.1
網路位址 192.168.3.0網路遮罩 255.255.255.0
192.168.1.7
192.168.3.27
電腦 X
電腦 Y
電腦 Z
63
網路安全
虛擬私人網路 -VPN
64
VPN 簡介 VPN 之定義 在公眾 Internet環境上建立私有傳輸網路,透過軟硬體控制
管理機制,提供身份確認並確保資料機密性與完整性,如同建立一私有網路通道,唯有經過驗證的使用者方能使用該通道進行資料傳輸與存取
VPN
Internet
Internet 傳輸
65
VPN 簡介 VPN 架構
V - 通道 (Tunnel) - IPSec PPTP L2TP P - 私人加密環境 (Private) - 加解密技術
金鑰管理 認證技術
N - 網路環境 (Network) - Internet Intranet Extranet
66
VPN 簡介 VPN 架構 (Cont.)
網路環境
組織總部分公司
VPN 通道
私人加密環境InternetIntranetExtranet
IPSecPPTPL2TP
加解密技術金鑰管理認證技術
67
VPN 簡介 VPN 的特性
節省成本 VPN 透過既有之網際網路基礎可大幅減少私有網路之建置成本
具有彈性 VPN 可依據不同的需要規劃頻寬
具有擴充性當用戶端頻寬不足時,只需對所屬 ISP 所提供之服務進行升級,不需大規模修改線路
68
VPN 的特性 (Cont.) 虛擬通道
VPN 於有需要時才會動態建立連線,而並非維護一永久之連線 通道私有性
藉由私有通道之建立在共享的網路介質上進行資料傳輸
VPN 簡介
69
VPN 服務類型 VPN 三種服務類型
Intranet VPN服務 VPDN服務 Extranet VPN服務
70
VPN 服務類型 Intranet VPN 服務 以固接專線的方式連接 ISP ,組織內部須具有配合專線使用
之網路設備,適用於企業組織總部與型分公司的內部連線
InternetInternet
VPN連線組織總部
分公司
VPN通道
透過 ISP撥接
71
VPN 服務類型 VPDN (Virtual Private Dialup Network) 服務 以撥接方式連接 ISP ,用戶端只需具備電腦主機與 VPN 應
用程式即可使用撥接帳號進行連線,適用於較小之企業據點或行動用戶
InternetInternet
VPN連線組織總部
VPN通道
透過 ISP撥接
業務員或行動用戶
72
VPN 服務類型
Extranet VPN 服務 利用專線連接 ISP ,提供企業間以安全之標準方式傳輸企業
間之重要交易資訊
InternetInternet
VPN連線組織總部
合作夥伴
VPN通道
73
VPN 服務類型 整體架構概觀
Internet
企業總部 分公司
合作夥伴 行動用戶
VPN通道
VPN通道
VPN通道
VPN通道
74
VPN 實施技術 虛擬私有網路 (VPN) 採用的技術包括 :
「通道技術」 (Tunneling) 「加解密技術」 (Encryption and Decryption) 「密鑰管理技術」 (Key management) 「認證技術」 (Authentication)
75
VPN 實施技術 通道技術 (Tunneling)
透過「資料封包」 (Encapsulation) 的方式傳送資料,就像在公眾網路上建立一條私有通道,常見的通道技術比較如下表:
PPTP L2TP IPSec
OSI協定層 第二層 第二層 第三層VPN功能 點對點傳輸 多點傳輸 多點傳輸
76
VPN 實施技術 加解密技術 (Encryption and Decryption)
對稱式密碼學 (Symmetric Cryptography)
又稱密鑰加密,其加解密均使用相同鑰匙,例如: DES 、RC2
非對稱式密碼學 (Asymmetric Cryptography)
又稱公鑰加密,其加解密使用不同的鑰匙,例如: RSA 混合式 (Hybrid) 機制 可同時提供較好之保密程度與較快之傳輸速度
77
密鑰管理技術 (Key management) SKIP (Simple Key Management for IP)
使用 Difee-Hellman演算法提供四種獨立之網路安全服務,包括「存取控制」、「加解密」、「確認資料完整性」及「金鑰與認證管理」
ISAKMP/Oakley (Internet Security Agreement/Key Management Protocol/Oakley)
主要定義辨識、確認及分配密鑰的方法
VPN 實施技術
78
VPN 實施技術 認證技術 (Authentication)
採用認證與存取控制技術,用以進行使用者身分辨識與認證工作,使非法使用者無法進入系統進行存取的動作
79
網路安全
無線區域網路加密設定
80
無線區域網路介紹 無線網路 透過無線電波或光傳導 (例如:雷射、紅外線 ) 等無線
傳輸媒介進行資訊存取之網路架構 無線區域網路 (Wireless Local Area Network ; WLAN)
主要是利用射頻 (Radio Frequency;RF)技術取代傳統佈線之區域網路
使用者可以透過無線的方式存取電腦設備 具可移動性 為區域網路架設提供了更大之彈性
81
無線區域網路介紹
無線區域網路之特性 不需繁雜之線路佈局,可省下約 20%之網路架設費用
提供充分的機動性,不會受到實體線路長度之限制 具有擴充性,可隨時新增無線網路使用者
82
無線區域網路介紹
主從式無線網路 (Cont.)
主從式無線網路架構
有線區域網路
83
無線網路標準 IEEE 802.11
IEEE 802.11 之特性 (Cont.)
認證與加密 IEEE 802.11 可透過「認證」機制確認通訊對方之身分,以避免洩漏重要資訊
可利用「加密」技術保護資料之傳送,即使遭到竊聽則竊聽者也無法解讀其內容與涵義
84
無線網路加密標準 -WEP 與 WPA
WEP 與 WPA 加密機制比較表無線加密機制 WEP WPA
加密金鑰長度 40/104 bits 128 bits
加密金鑰設定方式金鑰固定且區域網路內共用
金鑰動態分配,且每位使用者之密碼皆不同
加密金鑰變動方式 手動設定 自動產生
網路安全性 已有多種破解工具
修正 WEP被破解之漏洞
認證管理方式 以 MAC 或 WEP來管理
可使用 802.1X 與EAP 來管理
85
無線網路加密標準 -WEP 與 WPA
WEP (Wired Equivalent Privacy ,無線網路標準加密技術 ) 應用對稱式加密演算法所制定的無線網路加密機制 金鑰有 40 bits 或 104 bits 兩種固定長度 但在加解密過程中為防止此固定長度金鑰被破解,因此又加上 24 bits 的啟始向量 (Initial Vector) 藉以打亂密碼的組合
WEP 金鑰長度也就因此變成 64 bits 或 128 bits 兩種
86
無線網路加密標準 -WEP 與 WPA
WPA (Wi-Fi Protected Access , Wi-Fi 保護存取 ) 替代WEP機制的無線通訊加密標準 包含兩項新安全措施:
暫時金鑰整合協定( Temporal Key Integrity Protocol;TKIP)
可延伸認證協定( Extensible Authentication Protocol;EAP)
87
無線網路加密標準 -WEP 與 WPA
暫時金鑰整合協定( Temporal Key Integrity Protocol ; TKIP ) 將金鑰經過雜湊函數 (Hash Algorithm)重新編碼並加入金鑰真確性檢查,以確保金鑰未被動過手腳。
對金鑰的管理方式進行改良,使得企業組織用戶在管理上更方便
88
無線網路加密標準 -WEP 與 WPA
可延伸認證通訊協定( Extensible Authentication Protocol ; EAP ) 網路卡上的 MAC 位址是 WEP 安全機制下辨別無線網路使用者身份的方式,但此唯一的 MAC位址會被偽造並佔用
, EAP 將以新一代的公鑰加密系統取代MAC
89
Thank You for Your Attention
Jenn-Wei Lin
jwlin@csie.fju.edu.tw
top related