« Back
in 安全 VPN 思科 read.

VPN理论1

安全的定义:

源认证 (能够确认信息的来源是否真实)

完整性 (确保信息在传输的过程中,没有被修改)

机密性 (没有人能够看到信息,发送方和接收方除外)

不可否认性  (发送方 不能在发送结束后,否认他曾经发送过信息给我)

 

对称密码学:

最早使用的埃及人

VPN1-1  

优点:

加密和解密都使用相同的密钥

对称加密速度快

对称加密是安全的

对称加密得到的密文是紧凑的

 

缺点:

接收者需要得到对称密钥,所以对称加密容易受到中途拦截窃听的攻击(密钥分发是个问题)

对称密码系统中密钥数量是以参与者数目的平方速度增长的,因此很难将它扩展到大范围人群中

对称密码系统需要复杂的密钥管理

不适用于数字签名和不可否认性

密钥分发、密钥存储、密钥管理、缺乏对数字签名的支持

 

非对称密码学:

几个基本的算法:DH ECC RSA

 

公钥和私钥特点:

公钥:任何人都能拿到公钥

私钥:持有私钥者拥有此私钥唯一拷贝

 

公钥加密,私钥解密---加密

私钥加密,公钥解密---签名;什么是签名?签名 唯一性,不可否认性

 

优点和缺点:

使用非对称密钥时,用一个密钥加密的东西只能用另一个密钥来解密

非对称加密是安全的,加密了就是安全的

因为不用发送密钥给接受者,所以非对称加密不必担心密钥被中途截获的问题

需要分发的密钥数量 和 参与者的数目一样

非对称密钥技术 没有 复杂的密钥分发问题

非对称密钥技术 不需要事先在各参与者之间建立关系以交换密钥

支持数字签名 和 不可否认性

加密速度较慢

加密得到的密文较长

 

对称密钥适用于加密 较大的数据,非对称密钥适合加密 较小的数据

 

对称密码和非对称密码对比:

VPN1-2

 

合理的解决方案:

密文紧凑

速度快

不存在密钥的分发管理问题

支持数字签名

 

加密过程

VPN1-3

 

解密过程

VPN1-4

 

这个解决方案解决了密钥的分发和管理。

 

散列函数:

散列函数接受 一大块的数据 并将其压缩成 最初数据 的一个指纹 或 摘要。不管原始文件多大,都会得到一个相同大小的摘要。(定长摘要)

散列函数的输出是一个比最初数据小的值,如果修改了最初的数据,那怕一个位,那么输出的散列值就会不同。(雪崩效应)

无法 反向执行散列算法 来恢复出原有的明文。(不可逆)

得到hash值以后,不会知道任何hash前的任何消息

MD5(128)、SHA(160)

 

实现了签名和完整性确认

问题:有可能被攻击者替换掉原始的公钥,不能确认信息来自正确的源(不能实现源认证)

 

数字签名(加密)

VPN1-5

 

数字签名(解密)

VPN1-6

 

数字证书(查看相关文档)

验证签名的人,使用证书中公钥进行解密,不在需要到公网上获取公钥

证书的可信性:使用第三方的确认,来保证可信性

VPN1-7

 

VPN1-8