加解密技术
最重要的特点:可逆 —— 将明文通过某些算法转换成密文,用来防止网络中的被动威胁,之后可以将密文再通过某些算法还原明文
GRE VPN和L2TP VPN都不存在加解密的功能
IPSEC VPN和SSL VPN都可以提供加解密的功能
说到以上四个VPN技术,我来补充一下之前的VPN知识吧,这几天又学了不少VPN的知识。
VPN的分类
1、根据建设的单位不同分类
1)企业自建的VPN — 成本相对较低,因为仅需要支付VPN设备的费用即可,并且因为。。。为企业所有,所以,控制上更具有主动性
2)运营商搭建的VPN — 相对比较省心,因为,安全问题,带宽问题,管理问题,都由运营商管理,仅需要支付专线费用即可
2、根据组网方式不同来进行分类
1)Client to LAN VPN (ACCESS VPN)
2)LAN to LAN
Intranet — 内联网
Extranet — 外联网
3、根据VPN技术所实现的层次进行划分
应用层 SSL VPN
传输层 Sangfor VPN
网络层 IPSec、GRE
网络接口层 L2F/L2TP、PPTP
重点是SSL VPN和L2TP
—————————————————————————————————————————
接下来我们回到加密技术
数据认证技术
数据认证技术——就是对传输过来的数据进行验证,看看是否数据完整或者中途被黑客篡改(通俗地来说“相对于在进行验货,确保数据的完整性”)
GRE VPN — 可以提供“校验和”的功能,但是,这是一个可选项,需要两边同时开启才能生效
L2TP VPN — 本身也不提供数据认证的功能
IPSEC VPN 和SSL VPN 都支持数据认证的功能
密钥管理技术
数据的安全传输
密码学
密码学主要可以分为以下两种:
古典加密算法 — 算法保密(保密不太好,相对来说容易被破解)
近/现代加密算法 — 算法公开,密钥保密(由于开源,所以世界所有人一起完善保密技术,保密能力较好)
近/现代加密算法可以分为以下几种:
对称加密算法 — 加密和解密使用的是同一把密钥 — 使用的是一种双向函数,可逆的算法
异或算法 — 不进位的加法 — 相同为0 ,不同为1
流加密算法 — 需要使用一串和明文流相同长度的密钥流进行加密,得到密文流
(流加密的典型代表 — RC4)
分组加密算法(块加密算法)
最常使用的对称加密算法
IDEA
DES/3DES算法
AES算法(安全度最高)
目前AES是安全程度最高的加密算法,适合对安全要求较高的场景,比如VPN场景,但是,在进行大量数据加密时,可以使用DES,效率更高
对称加密算法的一些问题
1、密钥共享大问题
带内传输 — 不安全
带外传输 — 不方便
2、密钥管理 — N*N
非对称加密算法 — 最大的特点:会存在两把密钥,任何一把密钥进行加密,都只能通过另外一把密钥进行解密
非对称加密算法在进行运算时需要使用不可逆的算法 — 取模运算
常见的非对称加密算法
ECC
RSA : 目前主流的非对称加密算法
Rabin
Elgamal
对称加密算法:安全性较低,传输速度较快,密钥数量为N*N
非对称加密算法:安全性较高,传输速度较慢,密钥数量为N
所以,这里可以得出一个结论 — 我们可以使用对称加密算法来加密大量的传输数据,使用非对称加密算法加密对称加密算法的密钥,保证密钥共享的安全性
DH算法 — 密钥交换算法 — Diffie - Hell
身份认证以及数据认证技术
HASH算法 — 摘要值 — 单纯的使用摘要值进行认证依然无法保证数据的完整性,所以需要结合加密算法来一同保证,所以,我们会使用私钥对摘要值进行加密 — 数字签名
1、相同输入,相同输出
2、雪崩效应 — 但凡有一点改动,整个HASH结果就会出现很大变化
3、等长输出
4、不可逆性 — 一旦加密,就无法解密
数据源认证 — 确认发送的源
身份认证 — 确认发送的对象
常见的证书类型
1、数字证书
2、根证书 — CA机构自己给自己颁发的证书
3、用户证书
4、设备证书 — 服务器证书
数据安全传输过程
1、Alice对原始信息进行HASH运算,得到信息摘要,将摘要用Alice的私钥进行加密得到数字签名
2、Alice向CA认证用CA的私钥将Alice的公钥进行加密,得到Alice的证书
3、Alice将证书和原始信息还有数字签名运用Alice和Bob之间的对称加密的密钥进行加密,得到加密信息,然后Alice和Bob之间的对称加密的密钥通过Bob的公钥加密,得到密钥信封,然后将密钥信封和加密信息都发送给BOb
4、Bob收到后,先用自己的私钥将密钥信息解密,得到Alice和Bob之间的对称加密的密钥,然后用该密钥解密加密信息,得到Alice要发送的信息
5、得到Alice发送的三个信息后,先对原始信息进行HASH运算,得到信息摘要,然后用CA的公钥解密Alice的证书,得到Alice的公钥,然后用公钥对数字签名进行解密,得到摘要信息,最后,对比自己用HASH运算得到的摘要信息和Alice公钥解密得到的摘要信息,如果摘要信息一致,则表示传输的信息完整没有被篡改,如果不一致,则表示信息被篡改了。
经过这些层层加密,黑客很难对传输内容进行窥探或者修改
(CA机构发出的认证就是确认身份的标准,可以理解为身份证,这个无法造假,所以加密传输时,CA机构的认证证书很重要)
版权归原作者 .Nirvana.. 所有, 如有侵权,请联系我们删除。