第三部分安全笔记.docVIP

第三部分安全 IPsec-VPN IPsec-VPN--virtual private network 什么是VPN--虚拟专用网 VPN作用--通过公网实现远程连接，将私有网络联系起来 VPN的类型： 1、Overlay VPN，例如IPsec-VPN 2、Peer-to-peer VPN，例如MPLS-VPN 还可以分为二层VPN和三层VPN;IPsec-VPN是三层的VPN IPsec-VPN的分类: 1、site-to-site VPN 也叫 LAN-to-LAN VPN （要求两个站点都要有固定的IP） 2、EASY-VPN 也叫 Remote VPN （通常用于连接没有固定IP的站点） IPsec-VPN提供三个特性： 1、authentication 每一个IP包的认证 2、data integrity 验证数据完整性,保证在传输过程中没有被人为改动 3、confidentiality （私密性）数据包的加密 加密机制--密码学分为两类： 对称加密算法---使用一把密匙来对信息提供安全的保护。只有一个密匙，即用来加密，也用来解密 特点： 1、速度快 2、密文紧凑 3、用于大量数据的传送 对称加密代表：DES、3DES、AES 3DES--有三个密匙，用第一个密匙加密，用第二个密匙解密，再用第三个密匙加密 非对称加密---有一对密匙，一个叫公匙，一个叫私匙，如果用其中一个加密，必须用另一个解密。 特点： 1、速度慢 2、密文不紧凑 3、通常只用于数字签名，或加密一些小文件。 非对称加密的代表：RSA、ECC 非对称加密代表RSA--有一对密匙，一个公匙，一个私匙，私匙加密，公匙解密,或者公匙加密，私匙解密 非对称加密可以有两种应用： 1、公钥加密，私钥解密，叫加密 2、私钥加密，公钥解密，叫数字签名 理想的应用方法，用非对称加密法来传送对称加密的密匙，或用在数字签名当中。用对称加密法来加密实际的数据。 数字签名不但证明了消息内容完整性，还证明了发送方的身份(不可否认性)。 密钥化的HASH--结合密钥生成的消息摘要，被称为加密的消息摘要。 diffie-hellman key exchange--DH算法 是一种安全的让通信双方协商出一个共享密匙的方法。 用Pre-share Key，对方的公匙和自已的私匙产生一个双方都能知道的KEY(也叫共享的密钥)，作对称加密用 接收方 发送方 g,p是明文传递的，i和r是随机产生的私钥，计算得到的Xi和Xr也是明文交互的公钥 DH算法公式解析： Xi = gi mod p g is the generator 应该是加密点自己设备产生的值 p is a large prime number 应该是第一，二个包交互的group number i is a private secret known only to the initiator 加密点自己产生的值，用来作为私钥 Xi 加密点计算出的公钥 DH group 1的长度是768位 (产生出的KEY的长度) DH group 2的长度是1024位 认证机制--（这里所指的是设备的认证，而不是用户的认证） 现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密，关键的问题是如何保障密钥的安全。 1、用户名和密码 2、OTP（one time password）一次性密码 3、生物认证（指纹、眼膜） 4、预共享密钥 5、数字证书 6、加密临时值 散列机制--用来做完整性检验 散列函数（就是HASH）--把一大堆数据经过计算得到一个较小的、定长的值，散列是一种不可逆函数。这意味着一旦明文生成散列，就不可能或者说极端困难再将其由散列转换成明文。 HASH的特点： 1、不管输入什么数据，输出是定长的 2、只要输入有一点微小变化，输出就会发生很大的变化，也就是雪崩效应 3、不可逆 HASH的算法： 1、md5 提供128位的输出 md5是验证，不是加密技术，用来做Hash 2、SHA 提供160位的输出 HMAC--使用散列的消息认证编码，或者叫密钥化的HASH，是一种使用HASH来进行认证的机制。可以用来做预共享密钥的认证。 IP sec 的组成--IPsec协议集包括三个协议： 1、internet key exchange(IKE)密匙交换协议 协议双方使用的算法，密匙，协商在两个对等体之间建立一条安全遂道的参数，协商完成再用下面的方法封装报文。 IKE动态的，周期性的在两个PEER之间更新密钥 2、encapsulating secutity payload(ESP)封装安全负载 可以对数据包认证，加