ipsec vpn引入及加密学原理.docxVIP

IPSEC vpn (Internet Protocol Security) ip安全 vpn技术互联网是一个及其不安全的网络，ip数据包通过互联网进行传递是所面临的问题？1、数据包面临被截获的危险；（私密性）2、数据包面临被篡改的危险；（完整性）3、数据包是否是一个合法站点所发送而来的；（源认证）为了解决以上的种种问题，应运而生了ipsec vpn技术。什么是ipsec vpn？Ipsec vpn：即指利用现有的公有网络（互联网，internet），保证分布在不同地域站点之间能够进行安全的数据通信和资源共享的技术称之为ipsec vpn，ipsec vpn主要保证ip安全。何为ipsec，即ip安全，仅仅简单来讲是在ip数据包的负载前面加上了一个ipsec的头部，这个头部可以使esp，也可以使ah。如下图：Ipsec的头部是为了保证数据部分的安全。这个ipsec的头部有两种形式，一种是ESP，一种是AH。Esp和Ah的区别：esp支持加密和认证，Ah只支持认证。故esp要更安全一些。Ipsec vpn的类型？常见的IPSEC VPN 类型有：站点到站点（site to site 或者是LAN TO LAN）easy VPN（远程访问VPN）DMVPN（动态多点VPN）SSL VPN安全的定义，保障？1、私密行；（即通过加密）2、完整性；（确保在传输的过程中数据没有被篡改）3、源认证；（确保数据确实是由某一个用户或者站点发送过来的，而不是它伪装源发送过来的）私密性保障？通过加密技术实现，常见的加密算法有：des（56bit）、3des（168bit）、aes（128、192、256bit）、rsa（512-2048bit）、dh（group1 768；group2 1024）ecc等，这些加密算法的特点是，加密用的秘钥长度越长，加密的强度越大，破解越难；加密算法可以分为两类：1.对称加密算法；2.非对称加密算法；对称加密算法：用相同的秘钥机密和解密。代表有：des、3des、aes对称加密算法的优缺点：优点：速度快、安全、紧凑；缺点：明文传输秘钥，容易出现中途的劫持和窃听、参与者的数量越多需要维护的秘钥就越多造成秘钥的管理和存储有很大的问题；非对称加密算法：使用一对公钥和私钥进行加密和解密。每一个用户进入一个加密系统，都需要产生一对公私钥，公钥共享给所有人，私钥需要严格必威体育官网网址，知道公钥无法推到出私钥。公钥加密文件的文件需要私钥才能解密（加密过程）私钥加密的文件需要公钥才能解密（签名的过程）非对称加密算法的优缺点：优点：安全、不用担心秘钥被中途截获；缺点：加密速度非常慢(有对称加密算法的千分之一)，加密后密文会变长；通常用于加密小文件。教主案例，对称和非对称的一个完美结合； 最终的结论：对称加密算法主要用于加密；非对称加密算法主要用于秘钥的交换和数字签名。举例：https完整性保障？通过散列函数md5或者sha实现散列算法可以接受任意大小的数据并将其“压缩”成最初数据的一个指纹或者摘要。散列的特点：任意大小的输入得到固定大小的输出；（md5，128bit；sha，160bit）相同输入得到相同的输出；雪崩效应；（原始数据任何一位发生了变话所得到的散列值就是不一样的）单向；（无法由散列值推算出原始数据）冲突避免；（很难找到两个不同的原始数据所得到的散列值是一样的）源认证保障？通过预共享秘钥或者证书来实现；HMAC ?HMAC:是密钥相关的哈希运算消息认证码（Hash-based Message Authentication Code）,HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。HMAC:即增加一个key，一同做hash。Ospf认证举例：结论：HMAC不仅可以做完整性校验而且还可以实现源认证。