IPSec简介

IPSec is a defined encryption standard that encrypts the upper layers of the OSI model by adding a new predefined set of headers.A number of RFCs defined IPSec. IPSec is a mandatory requirement for IP version 6. (IPV6 is not covered in the examination.) IPSec ensures that the network layer of the OSI model is secured. In TCP/IP's case, this would be the IP network layer.

IPSec框架

华三防火墙qos配置_散列函数

两种加密学算法

对称密钥算法

非对称密钥算法

对称密钥算法

相同的密钥进行加解密

华三防火墙qos配置_非对称_02

对称密钥算法特点

特点:

  • 同一个密钥用于加解密。

优点:

  • 速度快
  • 安全
  • 紧凑

缺点:

  • 明文传输共享密钥,容易出现中途劫持和窃听的问题。
  • 密钥数量是以参与者数量平方的速度增长(指数增长)。
  • 因为数量过多,所以管理和存储会有很大问题。
  • 不支持数字签名和不可否认性。

非对称密钥算法

不相同的密钥进行加解密

华三防火墙qos配置_华三防火墙qos配置_03

RSA密钥产生

华三防火墙qos配置_散列函数_04

RSA加密过程

华三防火墙qos配置_散列函数_05

注意:使用公钥加密私钥解密,实现数据私密性

非对称密钥算法特点

特点:

  • 用一个密钥加密的东西只能用另一个密钥来解密。
  • 仅仅只用于:密钥交换(加密密钥)和数字签名(加密散列)。

优点:

  • 安全。
  • 因为不必发送密钥给接受者,所以非对称加密不必担心密钥被中途截获的问题。
  • 密钥数目和参与者的数目一样。
  • 不需要事先在各参与者之间建立关系以交换密钥。
  • 技术支持数字签名和不可否认性。

缺点:

  • 非常非常慢。
  • 密文会变长。

一个简洁而优雅的解决方案(加密)

华三防火墙qos配置_IP_06

一个简洁而优雅的解决方案(解密)

华三防火墙qos配置_华三防火墙qos配置_07

PGP交换公钥

华三防火墙qos配置_非对称_08

华三防火墙qos配置_非对称_09

PGP加密数据

华三防火墙qos配置_华为_10

PGP选择接收者密钥

华三防火墙qos配置_华三防火墙qos配置_11

不做签名

华三防火墙qos配置_非对称_12

PGP解密

华三防火墙qos配置_散列函数_13

流行的加密算法

DES:Created by IBM, 56-bit key.(S)

3DES:Uses three DES keys on each block of data to create 168-bit keys.(S)

AES:Newer, More efficient algorithm, 128-, 192-, and 256-bit keys.(S)

RSA:Used for "MISC" encryption, 512-, 768-, 1024-, 2048-bit...or lager(A)

DH:Used commonly on VPN connections to allow secure transfer of shared secret keys (and helps generate shared secret keys) . 768-, 102-, 1536-bit...Or lager(A)

散列函数

A hash function is a means of turning data into a relatively small number that then may act as a digital fingerprint of the data。

华三防火墙qos配置_IP_14

指纹的工作示意图

华三防火墙qos配置_非对称_15

散列函数工作示意图

华三防火墙qos配置_散列函数_16

散列函数特点

固定大小

雪崩效应

单向

冲突避免

流行的散列算法

MD5

SHA-1

SHA-2

实际运用

华三防火墙qos配置_华为_17