資源描述:
《構(gòu)建安全vpn網(wǎng)絡(luò)個人知識點》由會員上傳分享���,免費在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1��、《構(gòu)建安全VPN網(wǎng)絡(luò)》對截獲和竊聽幾乎無解1.密碼學(xué)基礎(chǔ)密碼學(xué)目的:機密性,完整性�,不可否認性古典密碼:代換密碼,置換密碼����,一次一密密碼體制:(P,C,K,E,D)明文,密文�����,密鑰���,加密�,解密體制分類:流密碼(按比特進行加密)--每次不一樣�,分組密碼(把明文相同長度分組,組別相同方式加密)--每次一樣對稱密碼(私鑰密碼體制)加解密鑰幾乎相同�����,可以容易互相得到�,實際應(yīng)用中發(fā)送方必須非對稱算法不可能支持流加密通過一個可能的安全信道將密鑰送到接收方����。非對稱密碼(公開密碼體制)加密密鑰公開����,任何人都可以加密�����,私密密鑰私有���,得到困難����。密碼分析攻擊:僅有密文攻擊���,已知明文攻擊��,可選明文攻擊��。對稱密碼
2�、算法:DES,3-DES,AES,IDEA,RC5特點:加解密鑰相同���,密鑰安全的分發(fā)或交換�����,密鑰量級是平方級((n2-n)/2)�,適合大量數(shù)據(jù)加密,通過硬件實現(xiàn)Diffie-Hellman密鑰交換算法K1=K2=對方數(shù)隨機數(shù)相乘MOD自己數(shù)�����,不能用于加密或者解密消息(安全:有中間人攻擊危險)非對稱密碼算法:Diffie-Hellman�����,RSA算法,DSA算法(只用于簽名)特點:公私密鑰不相關(guān)�,密鑰交換無需保密,密鑰量級是參與者數(shù)目��,可加密也可數(shù)字簽名���,加密速度慢��,難以通過硬件實現(xiàn)��。數(shù)字簽名和手寫簽名的區(qū)別:數(shù)字簽名中簽名和消息是分開的����,任何人都可以對簽名進行驗證���,數(shù)字簽名是可以復(fù)制的����。無
3����、法偽造.無法更改,無法裁剪并挪用,防止抵賴,使用公開密鑰算法加解密和簽名的不同點:加解密是用公鑰加密,私鑰解密����,簽名是使用私鑰加密,公鑰解密�。數(shù)字簽名:簽名算法和驗證算法。相對于較長的消息�����,在數(shù)字簽名前對消息進行消息摘要��,或者HASH值�����,相當于IP報文的CRC校驗和我們的指紋。常用的哈希函數(shù):MD5��,SHA-1���。數(shù)字簽名和哈希函數(shù):對消息進行哈希運算���。得到摘要Z=H(X),然后簽名Y=SIGK(Z),有序?qū)Γ╔,Y)在信道上傳輸�。數(shù)字簽名算法:DSA(非對稱密碼算法,不可用于加密)和RSA算法(成為標準了)�。數(shù)字簽名發(fā)送:由發(fā)送者用私鑰對摘要簽名,得到DS���,然后將DS和消息M都發(fā)送給對方
4�����、����。數(shù)字簽名的驗證方法主要分為兩個部分:用相同的哈希函數(shù)得出摘要MD2�,用公鑰解密簽名DS,得出MD1�,查看兩者是否相同���。同樣存在公鑰交換的中間人攻擊à公共密鑰基礎(chǔ)設(shè)施PKI—>提供不可否認服務(wù)�,將公鑰和個人身份建立聯(lián)系,對公鑰的集中管理----》引入數(shù)字證書(X.509標準VER.3)X.509:序列號�,版本,簽名算法����,頒發(fā)者,起始日期�,終止日期�,主題,公鑰����,縮略圖算法���,縮略圖���,友好名稱���。這個標準包括��,IP安全(IPSec)�,安全套接層(SSL),安全電子交易(SET),安全多媒體INTERNET郵件擴展(S/MIME)證書授權(quán)中心CA(CertificateAuthority)證書注冊
5���、中心RA(RegistrationAuthority)處于注冊用戶和CA中間的機構(gòu)數(shù)字證書生成過程:生成公私鑰(公鑰給RA��,私鑰自己保管),生成證書請求(包括身份信息和公鑰)給RA,對身份進行驗證(確認用戶身份信息��,確認有相對應(yīng)的私鑰),CA自己進行數(shù)字簽名以509格式然后保存下來�����。LDAP是流行的目錄訪問協(xié)議。證書的有效性:數(shù)字證書簽名的驗證(公私鑰,HASH)��,有效時間��,是否被撤銷了證書撤銷列表:CRL:發(fā)布方式:基準發(fā)布����,增量發(fā)布(減少延遲�,減少內(nèi)容���,指向基準CRLBASECRL)���。1.VPN原理及配置單獨VPN概述:利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)稱謂VPN(virtualpri
6�、vatenetwork)隧道(tunnel),封裝(加包頭),驗證和授權(quán)(對用戶),加密和解密(對消息)業(yè)務(wù)劃分:AccessVPN—PSTN/ISDN撥號,XDSL,CABLE接入,RADIUS協(xié)議對遠程用戶進行驗證和授權(quán)����。個人接入IntranetVPN(局域網(wǎng))---用于站點間的互連�,ExtranetVPN(廣域網(wǎng))----企業(yè),客戶��,上游供應(yīng)商��,合作伙伴和組織連接在一起�����。運營模式:CPE-BasedVPN---用戶自行購買CPE設(shè)備,并自行部署CPE-BASEDVPN(缺乏專業(yè)�����,QOE不保證)Network-BasedVPN----全交給運營商了組網(wǎng)模式:VPDN----私有撥號網(wǎng)
7�����、絡(luò)����,允許遠程,漫游用戶根據(jù)需要訪問其他站點��。PPTP,L2F,L2TF,GREVPRN---路由網(wǎng)絡(luò)���,通過路由轉(zhuǎn)發(fā)��,不支持多種網(wǎng)絡(luò)層協(xié)議����,GREVLL---虛擬專線�����,將FR封裝在IP隧道中傳送VPLS---私有LAN,透明傳輸,CPE是一個簡單的二層設(shè)備���。網(wǎng)絡(luò)層次:L1VPNL2VPN:L2TP,PPTP,MPLSL2VPNL3VPN:GRE,IPSecVPN傳輸層VPNSSL應(yīng)用層VPN�����。SSHGREVPN(三層VPN技術(shù)�,兩個地
