• IPSec (一)


    从名称上可以看出:把IP包进行加密,把加密的数据包在公网上进行传输,

    三层协议,通过在网关之间(路由器、防火墙、相关软件等)传输时,把数据把进行加密。

    不依赖于任何算法,可以使用任何算法

    支持site - site / client- site

    IPSec Security Services:

        Confidentiality:机密性

        Data Integrity:数据完整性

        Origin Authentication:源认证

        Anti-replay Protection:防止重放   保护

    IPSec 仅仅提供了一种架构,对服务的事项方式没有明确规定,只是提供建议,

    例如:对于机密性,它建议使用加密算法,但是不规定具体使用哪个算法

              数据完整性,建议使用 hash 的算法,MD5、SHA两类

    Confidentiality (机密性):

    在公网传输时,不希望被其他人看懂,所以数据包采取加密,使用加密算法,

    加密算法有对称加密( 一个 key,有的时候可能不够安全 )和非对称加密两种( public key and private key )

    加密算法的安全是相对的,我们一般认为,在一定时间,一定财力范围内无法解密,就暂时认为这种加密算法是安全的。

    DES加密,有人可能在一天甚至几个小时内破解,认为是不安全的,3DES加密,破解可能需要巨大财力和时间,认为暂时安全

    “雪崩效应”,明文有一点改变,密文可能会产生巨大变化,与原来完全不一样,这种情况称为“雪崩效应”

    DH Key Exchange (DH 密钥交换) 中国余数定理,生成各自的私钥(private key)  作为了解   对称加密 (DES、3DES or AES)

    非对称加密:RSA (三个人名字缩写)

    公钥加密法,各自生成自己的公钥和私钥(public key and private key) 通过在公网上进行公钥传输,使用公钥加密,私钥解密

    对称加密用于大量数据传输,非对称加密用于对称加密的 key 、数字签名和机密性较高的数据等

    非对称加密比对称加密速度慢100~1000倍,慢了两到三个数量级,往往使用硬件进行运算,否则更是慢的不可想象

    Data Integrity (数据完整性):

    为了保证数据完整性,采用 HASH 算法,单行函数功能 ( one-way functions ),不可逆的,固定长度的指纹

    HMAC hash 算法原理,HMAC-MD5 128位,HMAC-SHA-1 160位,

    HASH 算法对于 “ man-in-the-middle attacks” (中间人攻击)是很难抵挡的

    Origin Authentication (源认证):   peer authentication

    如何保证接收到的数据是正确的对等方传输过来的?

    Pre-shared keys(共享密钥)、RSA Signatures(RSA数字签名)、RSA encrypted nonces(RSA 加密的随机数)

    Pre-shared keys(共享密钥):Hash(Auth.key+ID)=Authentication hash

        Authentication hash=HASH_I 

    RSA Signas(RSA数字签名):机密性、完整性、不可否认性,非对称算法 (Private.key(HASH(Auth.key+ID))+digital.cert+Public.key) 一起发送给对方

    RSA encrypted nonces(RSA 加密的随机数):这个 key 只有两个认证方知道 (Cisco设备才支持)。在 IKE 认证过程中,peer 产生的伪随机数,

  • 相关阅读:
    数组逆序输出与简单的数据匹配
    冒泡排序及其优化
    类型转换
    Spring学习【Spring】
    logistic回归模型
    决策树算法(3)
    决策树算法(2)
    决策树算法(1)
    朴素贝叶斯算法
    k近邻算法
  • 原文地址:https://www.cnblogs.com/liuxgcn/p/11155759.html
Copyright © 2020-2023  润新知