本文为作者学习而写的文章(追加老师的课堂笔记),老师:邓老师http://www.dengfm.com/15288904024893.html
本文按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷)
(深信服智安全scsa学习)
1.VPN定义(Virtual Private Network):
虚拟专用网(作用:连通跨越公网的多个私网)指依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。
**注:**如果想访问某个私网的网站可以使用端口映射,但是端口映射将公司的网站公开给互联网上的所有人。
2.VPN的核心技术:
隧道技术(对报文经行二次封装,封装上公网的IP头部信息,使得私网报文可以在公网上传递)
3.VPN的分类
-
按照业务类型:
- Client-LAN VPN(用于公司员工经常出差连接到公司的内网):Sangfor VPN
PDLAN(仅支持windows系统)、SSL VPN、L2TP LAN-LAN - VPN(连接两个网络,用于公司有分部的情况):IPsec VPN、Sangfor VPN、GRE VPN
- Client-LAN VPN(用于公司员工经常出差连接到公司的内网):Sangfor VPN
-
按照网络层次:
- 二层(数据链路层)VPN:L2TP/PPTP(已淘汰)
- 三层(网络层)VPN:GRE、IPSec、MPLS VPN
- 四层(传输层)VPN:Sangfor VPN(深信服独有)
- 应用层VPN:SSL VPN
4.数据传输安全四要素:
- 机密性:数据加密
- 完整性:数字签名
- 身份源验证:数字签名
- 不可否认性:数字证书
注:vpn的数据要到互联网中传输,安全性不可保证
5.数据加密算法:
- 对称加密:可逆,安全性低,但是处理效率高(数据发信方将明文(原始数据)和加密密钥(mi yue)一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。)https://baike.baidu.com/item/%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95
- 非对称加密:不可逆,安全性高,但是处理效率低(非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。)https://baike.baidu.com/item/%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95
- 混合加密:使用非对称加密对称加密的密钥,对称加密加密数据
6.数字签名的流程(参考链接: https://blog.csdn.net/qq_28267025/article/details/78070211):
-
发送报文时
- 先用Hash函数,生成信件的摘要(digest)
- 用非对称密钥加密技术中私钥对报文摘要进行加密,生成”数字签名”
- 将原文和“数据签名”一同发送给接收方
-
接收报文时
- 接收方利用Hash函数对发送方发送的原文生成报文摘要
- 用公钥对发送方发送的数据进行解密,得到发送生成的报文摘要
- 解密的报文摘要和接收方自己生成的报文摘要进行对比,相同说明信息没有被揣改
注:数字签名解决了数据完整性和身份验证的问题
7.数字证书的请求和颁发过程(第三方认证:证书颁发机构)
“证书中心”(certificate authority,简称CA)证书中心用自己的私钥,对发送者的公钥和身份信息一起加密,生成”数字证书”(Digital Certificate),发送者的私钥根据公钥自行计算出来。
注:PKI体系(CA证书颁发机构,RA证书注册机构);第三方认证解决不可抵赖性的问题
8.证书文件包含的3个内容:用户的身份信息、用户的公钥、根证书签名
9.加密算法:
- 对称加密:AES、DES、3DES、MD5、SHA1、RC、IDEA、Blowfish
- 非对称加密:RSA、DSA、DH、ECC
来源:CSDN
作者:苍木念川
链接:https://blog.csdn.net/I_AM_WORRY/article/details/103614045