- 1、本文档共62页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* Diffie—Hellman 密钥交换算法 在一个非安全的通道上安全地建立一个共享密钥 Internet 事先双方协商两个公共数值, 非常大的素数m和整数g 做计算 X=ga mod m 发送X=ga mod m 产生一个很大的数 b 产生一个很大的数 a 做计算 Y=gb mod m 发送Y=gb mod m KA=Ya mod m=gab mod m KB=Xb mod m=gab mod m 两者相等 得出共享密钥Key= gab mod m Host A Host B §3.1.4 哈希函数 特点:输入是变长的数据,输出是定长的数据HASH值; 主要应用方向:数据完整性校验和身份认证技术 有用的HASH函数必须是单向的,即正向计算很容易,求逆极其困难,就像还原捣碎的土豆 常用的HASH函数:MD5、SHA—1,这两种HASH函数都没有密钥输入,其中MD5的输出为128位、SHA—1的输出为160位 MAC:输出结果不仅依赖输入消息,同时还依赖密钥的HASH函数叫做消息认证代码;IPSec 中使用的是MAC,而不是直接使用MD5或者SHA—1 VPN概述 VPN功能 VPN工作原理 VPN具体应用 加密MD5 填充 负 载 IP头部 AH 共享密钥 HASH运算 (MD5) 输入要发送的消息 输入共享密钥 得到128位的定长输出 将输出结果填入到AH头部的认证数据字段 加密SHA—1 填充 负 载 IP头部 AH 共享密钥 HASH运算 (SHA—1) 输入要发送的消息 输入共享密钥 得到160位的定长输出 将输出结果填入到AH头部的认证数据字段 数字签名标准(DSS) 填充 负 载 IP头部 私钥 进行HASH运算 输入要发送的消息 用私钥加密HASH输出结果 得到定长输出 将数字签名附在数据报的后面供对方验证身份 得到数字签名 §3.1.5 数字证书和证书权威机构 Internet Bob Alice Hacker 将自己的公钥发给Bob,谎称是Alice的 将自己的公钥发给Alice ,谎称是Bob的 用Bob的“公钥”加密消息发给Bob 用Bob的“公钥”加密消息发给Bob 将消息截获,并解密 然后用Bob真正的公钥加密,重新发给Bob 收到消息,但已经被黑客看过 为了防止这种“中间人”攻击,消除上述安全隐患,提出了数字证书的概念,数字证书将身份标识与公钥绑定在一起,并由可信任的第三方权威机构用其私钥签名,这样就可验证期有效性 数字证书的国际标准是:ISO X.509 协议 由于一个CA不能无法满足所有的需求,因此形成了一个类似于DNS的层次CA结构 §3.2.1 IPSec 概念 通道 将一个数据报用一个新的数据报封装 〈Security Parameter Index, IP Destination Address, Security Protocol〉 安全关联(SA) SA就是两个IPSec系统之间的一个单向逻辑连接 32比特,用于标识具有相同IP地址和相同安全协议的不同SA。 可以是普通IP地址,也可是广播或者组播地址 可以是AH或者ESP 负 载 IP头部 IP头部 负 载 IP头部 §3.2.2 IPSec 框架的组成 身份认证报头——AH协议 提供数据源身份认证、数据完整性保护、重放攻击保护功能 负载安全封装——ESP协议 提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能 因特网安全关联和密钥管理协议——IKE(以前被叫ISAKMP/Oakley) 提供自动建立安全关联和管理密钥的功能 VPN概述 VPN功能 VPN工作原理 VPN具体应用 §3.2. 2 认证头部(AH) 保留 负载长度 认证数据 (完整性校验值ICV)变长 序列号 安全参数索引(SPI) 下一头部 负 载 AH头部 IP头部 认证数据:一个变长字段,也叫Integrity Check Value,由SA初始化时指定的算法来计算。长度=整数倍32位比特 保留 负载长度 认证数据 (完整性校验值ICV)变长 序列号 安全参数索引(SPI) 下一头部 下一头部:8比特,标识认证头后面的下一个负载类型 负载长度:8比特,表示以32比特为单位的AH头部长度减2,Default=4 保留字段:16比特,保留将来使用,Default=0 SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义 序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,序列号不允许重复 32位 传输模式下的
您可能关注的文档
- 【走向高考】届高三化学二轮专题复习化学实验常用仪器和基本操作课件新人教资料讲解.ppt
- ch企业资源和基础数据资料讲解.ppt
- ××公司发展战略战略性人力资源管理及企业文化咨询项目建议书资料讲解.ppt
- Ch特种铸造资料讲解.ppt
- ch战略领导获取竞争优势的战略管理过程资料讲解.ppt
- CIGS薄膜太阳能电池简要介绍和发展现状资料讲解.ppt
- §厨卫间楼地面聚氨酯防水涂料防水资料讲解.ppt
- CI设计教学课件资料讲解.ppt
- §外设与输入输出系统资料讲解.ppt
- CMB培训合规性要求介绍资料讲解.ppt
- 人教版数学六年级上册 第一单元 第5课时 分数乘小数.pptx
- 人教版数学六年级上册 第四单元 第3课时 比的应用.pptx
- 人教版数学六年级上册 第五单元 第5课时 圆的面积-2.pptx
- 人教版数学六年级上册 第一单元 第7课时 解决问题-1.pptx
- 人教版数学六年级下册 第二单元 第4课时 利率.pptx
- 人教版数学六年级上册 第一单元 第8课时 解决问题-2.pptx
- 人教版数学六年级下册 第五单元 第2课时 鸽巢问题的一般形式.pptx
- 人教版数学六年级下册 第四单元 整理和复习.pptx
- 人教版数学六年级上册 第一单元 第3课时 分数乘分数-1.pptx
- 人教版数学六年级下册 第六单元复习第2课时 可能性.pptx
文档评论(0)