虚拟专用网络安全技术

虚拟专用网络 定义

虚拟专用网（virtual Private Network） 是一种“通过共享的公网建立私有数据通道”，构成一个专用，具有一定安全性和服务质量保证的网络。

• 虚拟
  用户不在需要用有实际的专用长途数据线路，而是利用Internet 的长途数据线路建立自己私有网络

• 专用网络
  用户可以为自己定制一个最符合自己的需求的网络

常见安全技术

• 隧道技术：不具有安全性，
• 身份认证—数据签名
• 数据认证
• 加、解密技术
• 秘钥管理技术

加解密技术

信息密码技术

• 加密：明文变密文
• 密码服务：
  • 保密性----------加密
  • 完整性---------数据认证
  • 抗抵赖性
  • 鉴别性

加密技术发展史：

• scytale
• 凯撒密码：乱序解机制：eg:ABC 写成 DEF
• 双轨算法
• 密码机

加密技术分类

对称加密

• 加密、解密使用同一个秘钥----共享秘钥
  工作原理：发送者和接受者都必须知道共享秘钥（一致的秘钥），发送者发送明文，进过加密算法，加密成密文，发送给接受者，接受者通过共享秘钥解密
  • 常见的对称加密算法
    • 流加密算法
      • RC4
    • 分组加密算法
      • DES
      • 3DES
      • AES #这三个都是比较流行的VPN技术
      • IDEA
      • RC2、RC5、RC6

非对称加密

• 在解密和解密中使用两个不同的秘钥，私钥用来保护 数据，公钥 用来检测信息和发送者的真实性和身份
• 秘钥：

  • 私钥：保护数据

  • 公钥：验证身份

  • 非对称加密技术

    • 工作原理：在发送数据之前，发送者和接受者都需要生成一把秘钥对，一个公钥，一个私钥。发送者和接受者交换公钥，私钥自己发放着，不能泻漏。发送者要将数据发送给接受者的时候，先用接受者的公钥对数据进行加密，传输给接受者。接受者用自己的私钥对数据进行解密

  • 秘钥交换流程：

    • 发送端：明文·加密 成 密文·，形成会话秘钥，在用接受者的公钥把会话秘钥加密 发送
    • 接收端：私钥解密出会话秘钥，在用会话秘钥解密出明文

对称、非对称加密对比

• 优点：

• 对称秘钥算法： 加、解密速度快，可以使用硬件实现

• 非对称秘钥算法：秘钥安全性高

• 缺点：

• 对称秘钥算法： 秘钥分发问题

• 非对称秘钥算法： 加、解密速度敏感

身份认证-----数字签名

• 原理：

  • 发送者：发送明文，经过哈希计算，形成摘要（密文），在用发送者的私钥进行加密，得到数字签名。
    在将数字签名和明文数据发送给接受者

  • 接受者：接收到数据后，把明文的数据做一个本地的哈希计算，得到一个摘要（密文）。接着将发送过来的数字签名，用发起者的公钥进行解密，得到原始明文的摘要值，将其与本地摘要值对比，相同,没有篡改。

• 思考：
  • 发送者的公钥怎么发送给接受者？
  • 如何判断这个公钥就是发送者的公钥？
    • 数字证书：
      • 公钥的载体—CA机构
      • 数字证书的格式 x.509
      • 由受信任机构颁发
      • 数字证书的存储

数据认证

• 散列算法：把任意长度的输入编程固定长度的输出
  • h=H(M)
• 常见散列算法
  • MD5:固定输出 128bit
  • SHA-1：固定输出：160bit