VPN技术专题讲座[精品文档].pptVIP

加密MD5 填充 负 载 IP头部 AH 共享密钥 HASH运算 (MD5) 输入要发送的消息 输入共享密钥 得到128位的定长输出 将输出结果填入到AH头部的认证数据字段 加密SHA—1 填充 负 载 IP头部 AH 共享密钥 HASH运算 (SHA—1) 输入要发送的消息 输入共享密钥 得到160位的定长输出 将输出结果填入到AH头部的认证数据字段 数字签名标准（DSS） 填充 负 载 IP头部 私钥 进行HASH运算 输入要发送的消息 用私钥加密HASH输出结果 得到定长输出 将数字签名附在数据报的后面供对方验证身份 得到数字签名 §3.1.5 数字证书和证书权威机构 Internet Bob Alice Hacker 将自己的公钥发给Bob，谎称是Alice的 将自己的公钥发给Alice ，谎称是Bob的 用Bob的“公钥”加密消息发给Bob 用Bob的“公钥”加密消息发给Bob 将消息截获，并解密 然后用Bob真正的公钥加密，重新发给Bob 收到消息，但已经被黑客看过 为了防止这种“中间人”攻击，消除上述安全隐患，提出了数字证书的概念，数字证书将身份标识与公钥绑定在一起，并由可信任的第三方权威机构用其私钥签名，这样就可验证期有效性 数字证书的国际标准是：ISO X.509 协议 由于一个CA不能无法满足所有的需求，因此形成了一个类似于DNS的层次CA结构 §3.