通過學習wolf秦柯的***視頻教程,記錄對IPSEC技術認識和理解
1、加密學
安全的定義:私密性;也就是說信息不能被第三方看到
完整性;即信息不能被第三方修改
不可否認性;即信息是某人給你的,他不能說不是他給的
2、密碼學的分類
密碼學的分類:
2.1、對稱密碼學(加解密使用相同的密鑰:DES,3DES,RC4)
2.1.1優點:a、加密速度快;
b、密文是緊湊的(即密文與原文相比,字節數不會相關太大)
c、加密是安全的
2.1.2缺點:a、密鑰的分發和管理
b、不支持不可否認性與完整性的驗證
2.2、非對稱密碼學(加解密使用不同的密鑰:DH,RSA,ECC)
2.2.1優點:a、密鑰的分發和管理方便
b、加密是安全
2.2.2缺點:a、加密速度慢
b、密文不緊湊
2.3、結合方案1
結合對稱密碼學與非對稱密碼學的優缺點,我們希望得一個完美的解決方案是:
1、加密速度快
2、密文是緊湊的
3、密鑰的分發簡單安全
。。。
下圖方案的基本思想:
加密:雙方產生隨機密鑰,使用隨機密鑰對數據進行加密,再使用接收者的公鑰,對隨機產生的密鑰進行加密,發給接收者
解密:接收者使用自己的私鑰對接收到加過密的隨機密鑰進行解密,得到隨機密鑰,再使用此隨機密鑰對加過密的數據進行解密,最後得到明文數據
此方案缺點:不能對數據的完成性和不可否認性進行檢驗
2.4結合方案2
爲了完善“結合方案1”,首先引入了身份認證的相關技術,先來看一下預共享密鑰技術:
再來看一下數字證書技術
基本思想:
加密:對原始數據進行一個哈希,產生一個固定長度的摘要(MD5:128位,SHA:160位),再使用發送者的私鑰對此摘要進行加密,最後將此摘要連同加密後的數據一起發給對方。【擴展知識:H-MAC:就是通過使用一個預共享密鑰與原數據(此處不知道怎麼表達,暫時就用原數據,在IPSEC中,是一個cookie、目的地址,預共享密鑰等等一序列的參數進行哈希得到摘要)一起進行哈希】
解密:1、接收者收到數據後,通過“方案1”的方法獲得明文數據,再生成相應的摘要;2、接收者使用發送者的公鑰對收到的摘要進行解密,獲得摘要的原文;3、通過比較自己生成的摘要與解密後得到摘要明文,便可知道數據是否被修改過(因爲哈希具有一個雪崩效應,也就是說只要數據被被動過一點點,最後得到的摘要會截然不同),同時因爲非對稱加密中,只要自己纔有私鑰,所以也具有不可否認性。
此方案的缺點:很似很完美的解決方案,同樣有不足的地方,首先不能防止第三方的***(假如***冒充發送者,將自己的公鑰發給你,再用此方案給你發數據,你同樣不知道),所以又引入了一個數字證書的概念,就是通過第三方(CA)來證明數據簽名的正確性,就好比,政府能證明我們身份證的證實性
數據證書的簡單理解
基本的思想:通過證書,標明密鑰持有者的一些基本信息,比如地址,組織,公鑰,有效期等等,接收者在收到此數字證書後,會到第三方(CA)去核對此公鑰的真實性,如果正確,則按“方案2”進行解密驗證(個人有點小小的疑惑:假如有***冒充第三方CA怎麼辦呢?這個情況應該不存在,就好比沒人會懷疑從政府領到的身份證是假的)。
說了大半天的加密學,還沒與IPSEC着邊呢,先做個鋪墊吧,明天接着,希望跟大家一起交流學習。