预共享密钥

野蛮模式详细报文过程 野蛮模式只用到三条信息  前两条消息用于①和②协商提议，交换Diffie-Hellma公共值、必需的辅助信息以及身份信息，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方 3个消息 Initiator Responder ----------- ----------- 消息一： HDR, SA, KE, Ni, IDii --> 消息二 : <-- HDR, SA, KE, Nr, IDir, HASH_R 消息三： HDR*, HASH_I --> 缺点：身份认证是采用明文方式, 具有不安全性（不推荐）推荐使用：模板方式 快速模式（QUICK MODE）  快速模式中，双方需要协商生成IPSec SA各项参数（包含可选参数PFS），并为IPSec SA生成认证/加密密钥。这在快速模式交换的前两条消息①和②中完成，消息②中还包括认证响应方。消息③为确认信息，通过确认发送方收到该阶段的消息②，验证响应者是否可以通信。 快速模式 ： HDR*, HASH(1), SA, Ni [, KE ] [, IDci, IDcr ] --> <-- HDR*, HASH(2), SA, Nr [, KE ] [, IDci, IDcr ] HDR*, HASH(3) --> 注：中括号是可选参数 HASH(1) = prf(SKEYID_a,

安全联盟（SA）  IPSec通过在IPSec对等体间建立双向安全联盟（SA），形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输  SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址和使用的安全协议号（AH或ESP）。其中，SPI是为唯一标识SA而生成的一个32位比特的数值，它在AH和ESP头中传输。在手工配置SA时，需要手工指定SPI的取值。使用IKE协商产生SA时，SPI将随机生成  SA是单向的逻辑连接，因此两个IPSec对等体之间的双向通信，最少需要建立两个SA来分别对两个方向的数据流进行安全保护。如图1所示，为了在对等体A和对等体B之间建立IPSec隧道，需要建立两个安全联盟，其中，SA1规定了从对等体A发送到对等体B的数据采取的保护方式，SA2规定了从对等体B发送到对等体A的数据采取的保护方式  另外，SA的个数还与安全协议相关。如果只使用AH或ESP来保护两个对等体之间的流量，则对等体之间就有两个SA，每个方向上一个。如果对等体同时使用了AH和ESP，那么对等体之间就需要四个SA，每个方向上两个，分别对应AH和ESP  有两种方式建立IPSec安全联盟：手工方式和IKE自动协商方式。二者的主要区别为  密钥生成方式不同  手工方式下，建立SA所需的全部参数

主要记录一些课程中常见的英文缩写词。 嵌入式系统领域 A ALU ->Arithmetic Logic Unit->算术逻辑单元 ASIC ->Application-Specific Integrated Circuit->专用集成电路 C CISC ->Complex Instruction Set Computer->复杂指令运算集 CPSR ->Current Program Status Register->程序状态寄存器 CCMP ->Counter CBC-MAC Protocol->计数器模式密码块链消息完整码协议 D DSP ->Digital Signal Processing->数字信号处理 DMA ->Direct Memory Access->直接内存存取 E EDSP ->Embedded Digital Signal Processor->嵌入式DSP处理器 EMPU ->Embedded Microprocessor Unit->嵌入式微处理器 EMCU ->Embedded Microcontroller Unit->嵌入式微控制器 F FPGA ->Field－Programmable Gate Array->现场可编程门阵列 G GPIO ->General Purpose Input Output->通用输入/输出口 I IIS -

第一章 密码与信息安全常识 不要使用保密的密码算法： 密码算法的秘密早晚会公诸于世 试图通过密码算法本身的保密性来保证安全称之为隐蔽式安全，很蠢。 使用低强度的密码比不进行任何加密更危险 任何密码总有一天会被破解 第二章 凯撒密码： 位移实现加密 知道位移量即可进行逆向移动解密（也可以暴力穷举破解） 替换密码： 将明文中所有字母变替换为另一套字母表 密钥空间：所有密钥的集合 频率分析：明文中字母出现的频率与密文中字母出现的频率是一致的 破译技巧： 高频字母和低频字母都能成为线索 字母连成单词 Enigma 国防军密码本的“每日密码”通信密码 通信密码是3位，写两次共6位 每日密码加密后的通信密码和通信密码加密后的密文被拼接发送给对端 弱点： 将通信密码连续输入两次 通信密码是人为选定的 必须派发国防军密码本 第三章 XOR（异或） 两个相同的数进行异或运算的结果一定为0 一次性密码本 即使可以遍历整个密码空间，遍历解密得到明文，也无法确认哪个是正确的明文 一次性密码是无条件安全的，在理论上是无法破译的 不实用: 密钥在两边配送 密钥保存 密钥重用 密钥同步 密钥生成 DES DES是一种将64位明文加密成64位密文的对称密码算法 密钥长度是56bit（64bit，每隔7位有1bit错误检验bit） 轮： 将输入的数据（64bit）等分为左右两部分

WLAN安全的发展历程 WLAN认证方式 开放系统认证 　　开放系统认证 Open system authentication 是缺省使用的认证机制，是最简单的认证算法，即不认证。 认证过程： 　　客户端发送一个认证请求给选定的AP 　　该AP发送一个认证成功响应报文给客户端确认该认证并在AP上注册客户端 优点： 　　开放认证是一个基本的验证机制，可以使用不支持复杂的认证算法的无线设备，802.11协议中认证是面向连接的，对于需要允许设备快速进入网络的场景，可使用开方式身份认证。 缺点： 　　开放认证没办法检验客户端是否是一个有效的客户端，而不是黑客客户端，如果使用不带WEP加密的开放认证，任何知道无线SSID的用户都可以访问网络。 应用场景： 　　开放系统认证也叫明文接入，既不关心客户端/用户认证问题，也不关心无线客户端与网络之间所交换数据的加密问题，这种类型的认证方式主要用户公共区域或热点区域，如机场酒店，大堂等 服务区标识符SSID匹配 　　无线客户端必须设置与无线访问点AP相同的SSID，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。利用SSID设置，可以很好的进行用户群体分组，避免任意漫游带来的安全问题和访问性能问题。可以通过设置隐藏接入点及SSID区域的划分和权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令

博文大纲： 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用网就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下他们会相隔较远的距离。 对于定义中提到的“受保护”一词，可以从以下几个方面理解： 通过使用加密技术防止数据被窃听。 通过数据完整性验证防止数据被破坏、篡改。 通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。 此外，虚拟专用网技术还定义了以下功能： 何种流量需要被保护。 数据被保护的机制。 数据的封装过程。 实际生产环境中的虚拟专用网解决方案不一定包含上面所有功能，还要由具体的环境需求和实现方式决定，而且很多企业可能采用不止一种的虚拟专用网解决方案。 2、虚拟专用网的连接模式 虚拟专用网的连接模式有两种：传输模式和隧道模式。 （1）传输模式： 在整个虚拟专用网的传输过程中，IP包头并没有被封装进去，这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中

* 博文大纲 * 虚拟专用网实现的各种安全特性 * 理解ISAKMP/IKE两个阶段的协商建立过程 1.虚拟专用网概述 虚拟专用网技术起初是为了解决明文数据在网络上传输所带来安全隐患而产生的， 2.虚拟专用网的定义 虚拟专用网就是在两个实体之间建立的一种受保护的连接，这两个可以通过点到点的链路直接相连，但通常情况下它们会相隔较远的距离 3.虚拟专用网的模式与类型 （1）虚拟专用网的连接模式 有两种基本的连接模式：分为传输模式和隧道模式， 传输模式（适用与公有网络或私有网络） 传输模式一个最显著的特点就是，在整个虚拟专用网的过程中，IP包头并没有被封装进去，这就意味着从源端到目的端数据始终使用原有IP地址进行通信。 隧道模式（适用公有地址和私有地址混合环境） 隧道模式与传输模式的区别明显，隧道模式保护IP包头与数据，传输模式只保护数据 4.虚拟专用网的类型 站点到站点（L2L ） （Lna to Lna） 站点到站点虚拟专用网就是通过隧道模式在虚拟专用网网关之间保护两个或多个站点之间的流量，站点的流量通常是指局域网之间（L2L）的通信流量。 如图： 远程访问虚拟专用网（Ra） 远程访问虚拟专用网通常用于单用户设备与虚拟专用网的网关之间的通信连接，单用户设备一般为一台PC或小型办公网络等 5.加密算法 DES 3DES AES 加密就是一种将数据转化成另一种形式的过程