通过学习wolf秦柯的***视频教程,记录对IPSEC技术认识和理解
1、加密学
安全的定义:私密性;也就是说信息不能被第三方看到
完整性;即信息不能被第三方修改
不可否认性;即信息是某人给你的,他不能说不是他给的
2、密码学的分类
密码学的分类:
2.1、对称密码学(加解密使用相同的密钥:DES,3DES,RC4)
2.1.1优点:a、加密速度快;
b、密文是紧凑的(即密文与原文相比,字节数不会相关太大)
c、加密是安全的
2.1.2缺点:a、密钥的分发和管理
b、不支持不可否认性与完整性的验证
2.2、非对称密码学(加解密使用不同的密钥:DH,RSA,ECC)
2.2.1优点:a、密钥的分发和管理方便
b、加密是安全
2.2.2缺点:a、加密速度慢
b、密文不紧凑
2.3、结合方案1
结合对称密码学与非对称密码学的优缺点,我们希望得一个完美的解决方案是:
1、加密速度快
2、密文是紧凑的
3、密钥的分发简单安全
。。。
下图方案的基本思想:
加密:双方产生随机密钥,使用随机密钥对数据进行加密,再使用接收者的公钥,对随机产生的密钥进行加密,发给接收者
解密:接收者使用自己的私钥对接收到加过密的随机密钥进行解密,得到随机密钥,再使用此随机密钥对加过密的数据进行解密,最后得到明文数据
此方案缺点:不能对数据的完成性和不可否认性进行检验
2.4结合方案2
为了完善“结合方案1”,首先引入了身份认证的相关技术,先来看一下预共享密钥技术:
再来看一下数字证书技术
基本思想:
加密:对原始数据进行一个哈希,产生一个固定长度的摘要(MD5:128位,SHA:160位),再使用发送者的私钥对此摘要进行加密,最后将此摘要连同加密后的数据一起发给对方。【扩展知识:H-MAC:就是通过使用一个预共享密钥与原数据(此处不知道怎么表达,暂时就用原数据,在IPSEC中,是一个cookie、目的地址,预共享密钥等等一序列的参数进行哈希得到摘要)一起进行哈希】
解密:1、接收者收到数据后,通过“方案1”的方法获得明文数据,再生成相应的摘要;2、接收者使用发送者的公钥对收到的摘要进行解密,获得摘要的原文;3、通过比较自己生成的摘要与解密后得到摘要明文,便可知道数据是否被修改过(因为哈希具有一个雪崩效应,也就是说只要数据被被动过一点点,最后得到的摘要会截然不同),同时因为非对称加密中,只要自己才有私钥,所以也具有不可否认性。
此方案的缺点:很似很完美的解决方案,同样有不足的地方,首先不能防止第三方的***(假如***冒充发送者,将自己的公钥发给你,再用此方案给你发数据,你同样不知道),所以又引入了一个数字证书的概念,就是通过第三方(CA)来证明数据签名的正确性,就好比,政府能证明我们身份证的证实性
数据证书的简单理解
基本的思想:通过证书,标明密钥持有者的一些基本信息,比如地址,组织,公钥,有效期等等,接收者在收到此数字证书后,会到第三方(CA)去核对此公钥的真实性,如果正确,则按“方案2”进行解密验证(个人有点小小的疑惑:假如有***冒充第三方CA怎么办呢?这个情况应该不存在,就好比没人会怀疑从政府领到的身份证是假的)。
说了大半天的加密学,还没与IPSEC着边呢,先做个铺垫吧,明天接着,希望跟大家一起交流学习。