构建安全vpn网络个人知识点.docxVIP

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ----------------------------------------------------------------------------------------------------------------------------- 《构建安全VPN网络》对截获和窃听几乎无解 密码学基础 密码学目的：机密性，完整性，不可否认性 古典密码：代换密码，置换密码，一次一密 密码体制：（P,C,K,E,D）明文，密文，密钥，加密，解密 体制分类：流密码（按比特进行加密）--每次不一样，分组密码（把明文相同长度分组，组别相同方式加密）--每次一样 对称密码（私钥密码体制）加解密钥几乎相同，可以容易互相得到，实际应用中发送方必须 非对称算法不可能支持流加密 通过一个可能的安全信道将密钥送到接收方。非对称密码（公开密码体制）加密密钥公开，任何人都可以加密，私密密钥私有，得到困难。 密码分析攻击：仅有密文攻击，已知明文攻击，可选明文攻击。 对称密码算法：DES,3-DES,AES,IDEA,RC5 特点：加解密钥相同，密钥安全的分发或交换，密钥量级是平方级((n2-n)/2)，适合大量数据加密，通过硬件实现 Diffie-Hellman密钥交换算法K1=K2=对方数随机数相乘 MOD 自己数，不能用于加密或者解密消息（安全：有中间人攻击危险） 非对称密码算法：Diffie-Hellman，RSA算法,DSA算法(只用于签名) 特点：公私密钥不相关，密钥交换无需保密，密钥量级是参与者数目，可加密也可数字签名，加密速度慢，难以通过硬件实现。 数字签名和手写签名的区别：数字签名中签名和消息是分开的，任何人都可以对签名进行验证，数字签名是可以复制的。 无法伪造.无法更改,无法裁剪并挪用,防止抵赖,使用公开密钥算法 加解密和签名的不同点：加解密是用公钥加密，私钥解密，签名是使用私钥加密，公钥解密。 数字签名：签名算法和验证算法。 相对于较长的消息，在数字签名前对消息进行消息摘要，或者HASH值，相当于IP报文的CRC校验和我们的指纹。 常用的哈希函数：MD5，SHA-1。 数字签名和哈希函数：对消息进行哈希运算。得到摘要Z=H(X)，然后签名Y=SIGK（Z）,有序对（X,Y）在信道上传输。 数字签名算法:DSA（非对称密码算法，不可用于加密）和RSA算法（成为标准了）。 数字签名发送：由发送者用私钥对摘要签名，得到DS，然后将DS和消息M都发送给对方。 数字签名的验证方法主要分为两个部分：用相同的哈希函数得出摘要MD2，用公钥解密签名DS，得出MD1，查看两者是否相同。 同样存在公钥交换的中间人攻击? 公共密钥基础设施PKI— 提供不可否认服务，将公钥和个人身份建立联系，对公钥的集中管理----》 引入数字证书（X.509标准 VER.3） X.509：序列号，版本，签名算法，颁发者，起始日期，终止日期，主题，公钥，缩略图算法，缩略图，友好名称。 这个标准包括，IP安全（IPSec），安全套接层（SSL），安全电子交易（SET）, 安全多媒体INTERNET邮件扩展（S/MIME） 证书授权中心CA(Certificate Authority) 证书注册中心RA（Registration Authority）处于注册用户和CA中间的机构 数字证书生成过程：生成公私钥（公钥给RA，私钥自己保管），生成证书请求（包括身份信息和公钥）给RA，对身份进行验证（确认用户身份信息，确认有相对应的私钥），CA自己进行数字签名以509格式然后保存下来。LDAP是流行的目录访问协议。 证书的有效性： 数字证书签名的验证(公私钥,HASH)，有效时间，是否被撤销了 证书撤销列表：CRL：发布方式：基准发布，增量发布（减少延迟，减少内容，指向基准CRL BASE CRL）。 VPN原理及配置 单独VPN概述: 利用公共网络来构建的私有专用网络称谓VPN (virtual private network) 隧道(tunnel),封装(加包头),验证和授权(对用户),加密和解密(对消息) 业务划分: Access VPN—PSTN/ISDN拨号，XDSL,CABLE接入,RADIUS协议对远程用户进行验证和授权。 个人接入 Intranet VPN（局域网）---用于站点间的互