虚拟专用网络 定义
虚拟专用网(virtual Private Network) 是一种“通过共享的公网建立私有数据通道”,构成一个专用,具有一定安全性和服务质量保证的网络。
-
虚拟
用户不在需要用有实际的专用长途数据线路,而是利用Internet 的长途数据线路建立自己私有网络 -
专用网络
用户可以为自己定制一个最符合自己的需求的网络
常见安全技术
- 隧道技术:不具有安全性,
- 身份认证—数据签名
- 数据认证
- 加、解密技术
- 秘钥管理技术
加解密技术
信息密码技术
- 加密:明文变密文
- 密码服务:
- 保密性----------加密
- 完整性---------数据认证
- 抗抵赖性
- 鉴别性
加密技术发展史:
- scytale
- 凯撒密码:乱序解机制:eg:ABC 写成 DEF
- 双轨算法
- 密码机
加密技术分类
对称加密
- 加密、解密使用
同一个秘钥
----共享秘钥
工作原理:发送者和接受者都必须知道共享秘钥(一致的秘钥),发送者发送明文,进过加密算法,加密成密文,发送给接受者,接受者通过共享秘钥解密- 常见的对称加密算法
- 流加密算法
- RC4
- 分组加密算法
DES
3DES
AES
#这三个都是比较流行的VPN技术- IDEA
- RC2、RC5、RC6
- 流加密算法
- 常见的对称加密算法
非对称加密
- 在解密和解密中使用两个不同的秘钥,私钥用来保护 数据,公钥 用来检测信息和发送者的真实性和身份
- 秘钥:
-
私钥:保护数据
-
公钥:验证身份
-
非对称加密技术
- 工作原理:在发送数据之前,发送者和接受者都需要
生成一把秘钥对
,一个公钥,一个私钥。发送者和接受者交换公钥
,私钥自己发放着,不能泻漏。发送者要将数据发送给接受者的时候,先用接受者的公钥
对数据进行加密
,传输给接受者。接受者用自己的私钥
对数据进行解密
- 工作原理:在发送数据之前,发送者和接受者都需要
-
秘钥交换流程:
- 发送端:明文·加密 成 密文·,形成
会话秘钥
,在用接受者的公钥
把会话秘钥加密
发送
- 接收端:
私钥解密出会话秘钥
,在用会话秘钥解密出明文
- 发送端:明文·加密 成 密文·,形成
-
对称、非对称加密对比
-
优点:
-
对称秘钥算法: 加、解密
速度快
,可以使用硬件实现 -
非对称秘钥算法:
秘钥安全性高
-
缺点:
-
对称秘钥算法: 秘钥分发问题
-
非对称秘钥算法: 加、解密速度敏感
身份认证-----数字签名
- 原理:
-
发送者:发送明文,经过哈希计算,形成摘要(密文),在用
发送者的私钥
进行加密
,得到数字签名
。
在将数字签名
和明文数据
发送给接受者 -
接受者:接收到数据后,把明文的数据做一个本地的哈希计算,得到一个摘要(密文)。接着将发送过来的数字签名,用
发起者
的公钥
进行解密
,得到原始明文的摘要值,将其与本地摘要值对比
,相同,没有篡改。
-
- 思考:
- 发送者的公钥怎么发送给接受者?
- 如何判断这个公钥就是发送者的公钥?
- 数字证书:
- 公钥的载体—CA机构
- 数字证书的格式 x.509
- 由受信任机构颁发
- 数字证书的存储
- 数字证书:
数据认证
- 散列算法:把任意长度的输入编程固定长度的输出
- h=H(M)
- 常见散列算法
- MD5:固定输出 128bit
- SHA-1:固定输出:160bit