正文描述:《构建安全vpn网络个人知识点》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、《构建安全VPN网络》对截获和窃听几乎无解1.密码学基础密码学目的:机密性,完整性,不可否认性古典密码:代换密码,置换密码,一次一密密码体制:(P,C,K,E,D)明文,密文,密钥,加密,解密体制分类:流密码(按比特进行加密)--每次不一样,分组密码(把明文相同长度分组,组别相同方式加密)--每次一样对称密码(私钥密码体制)加解密钥几乎相同,可以容易互相得到,实际应用中发送方必须非对称算法不可能支持流加密通过一个可能的安全信道将密钥送到接收方。非对称密码(公开密码体制)加密密钥公开,任何人都可以加密,私密密钥私有,得到困难。密码分析攻击:仅有密文攻击,已知明文攻击,可选明文攻击。对称密码
2、算法:DES,3-DES,AES,IDEA,RC5特点:加解密钥相同,密钥安全的分发或交换,密钥量级是平方级((n2-n)/2),适合大量数据加密,通过硬件实现Diffie-Hellman密钥交换算法K1=K2=对方数随机数相乘MOD自己数,不能用于加密或者解密消息(安全:有中间人攻击危险)非对称密码算法:Diffie-Hellman,RSA算法,DSA算法(只用于签名)特点:公私密钥不相关,密钥交换无需保密,密钥量级是参与者数目,可加密也可数字签名,加密速度慢,难以通过硬件实现。数字签名和手写签名的区别:数字签名中签名和消息是分开的,任何人都可以对签名进行验证,数字签名是可以复制的。无
3、法伪造.无法更改,无法裁剪并挪用,防止抵赖,使用公开密钥算法加解密和签名的不同点:加解密是用公钥加密,私钥解密,签名是使用私钥加密,公钥解密。数字签名:签名算法和验证算法。相对于较长的消息,在数字签名前对消息进行消息摘要,或者HASH值,相当于IP报文的CRC校验和我们的指纹。常用的哈希函数:MD5,SHA-1。数字签名和哈希函数:对消息进行哈希运算。得到摘要Z=H(X),然后签名Y=SIGK(Z),有序对(X,Y)在信道上传输。数字签名算法:DSA(非对称密码算法,不可用于加密)和RSA算法(成为标准了)。数字签名发送:由发送者用私钥对摘要签名,得到DS,然后将DS和消息M都发送给对方
4、。数字签名的验证方法主要分为两个部分:用相同的哈希函数得出摘要MD2,用公钥解密签名DS,得出MD1,查看两者是否相同。同样存在公钥交换的中间人攻击à公共密钥基础设施PKI—>提供不可否认服务,将公钥和个人身份建立联系,对公钥的集中管理----》引入数字证书(X.509标准VER.3)X.509:序列号,版本,签名算法,颁发者,起始日期,终止日期,主题,公钥,缩略图算法,缩略图,友好名称。这个标准包括,IP安全(IPSec),安全套接层(SSL),安全电子交易(SET),安全多媒体INTERNET邮件扩展(S/MIME)证书授权中心CA(CertificateAuthority)证书注册
5、中心RA(RegistrationAuthority)处于注册用户和CA中间的机构数字证书生成过程:生成公私钥(公钥给RA,私钥自己保管),生成证书请求(包括身份信息和公钥)给RA,对身份进行验证(确认用户身份信息,确认有相对应的私钥),CA自己进行数字签名以509格式然后保存下来。LDAP是流行的目录访问协议。证书的有效性:数字证书签名的验证(公私钥,HASH),有效时间,是否被撤销了证书撤销列表:CRL:发布方式:基准发布,增量发布(减少延迟,减少内容,指向基准CRLBASECRL)。1.VPN原理及配置单独VPN概述:利用公共网络来构建的私有专用网络称谓VPN(virtualpri
6、vatenetwork)隧道(tunnel),封装(加包头),验证和授权(对用户),加密和解密(对消息)业务划分:AccessVPN—PSTN/ISDN拨号,XDSL,CABLE接入,RADIUS协议对远程用户进行验证和授权。个人接入IntranetVPN(局域网)---用于站点间的互连,ExtranetVPN(广域网)----企业,客户,上游供应商,合作伙伴和组织连接在一起。运营模式:CPE-BasedVPN---用户自行购买CPE设备,并自行部署CPE-BASEDVPN(缺乏专业,QOE不保证)Network-BasedVPN----全交给运营商了组网模式:VPDN----私有拨号网
7、络,允许远程,漫游用户根据需要访问其他站点。PPTP,L2F,L2TF,GREVPRN---路由网络,通过路由转发,不支持多种网络层协议,GREVLL---虚拟专线,将FR封装在IP隧道中传送VPLS---私有LAN,透明传输,CPE是一个简单的二层设备。网络层次:L1VPNL2VPN:L2TP,PPTP,MPLSL2VPNL3VPN:GRE,IPSecVPN传输层VPNSSL应用层VPN。SSHGREVPN(三层VPN技术,两个地
显示全部收起