[IPSEC PKI]

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[IPSEC PKI]相关的知识,希望对你有一定的参考价值。

PKI:

对称加密

技术分享

非对称加密(混合加密)

技术分享

数字签名

技术分享

?

理论概述:

(1)预备知识

对称加密:加密密钥和揭秘蜜钥是同一个密钥

缺点:不适合在互联网上传输密钥 密钥维护工作量大 n(n-1)/2 ;

优点:加密效率高。

非对称加密: 公钥和私钥密钥对;公钥加密,私钥解密; 私钥加密,公钥解密;

特点:公钥推导不出私钥,每新加一个用户加一个非对称密钥就可以。 缺点:适合在互联网上传公钥 加密效率低

?

密码长度决定安全强度

56bit密钥破解 需要3.5或21分

128bit 密钥破解 需要 5.4*10的18次方年

特点:越长 复杂度越高

安全标准

1.成本标准 破解成本 vs 信息价值成本

2.时间标准 信息有效期 vs 破解所用时间

(2)非对称加密应用 a b之间发邮件(两者结合)

加密细节:使用对称密钥加密数据,使用非对称加密加密密钥

数字签名

数字签名作用:能够防止抵赖,确认信息来源,不能更改(员工出差,财务部差旅费,领导签名)

细节:私钥签名 公钥确认(收发信)

对文件的摘要(散列函数hash)=指纹 进行加密

对摘要加密====数字签名

怎么知道没改?再次hash

hash值的应用:qq二次传文件

例:a(有公私钥)给b发邮件:

发签名的邮件? 可以

发加密的邮件? 不可以

(3)证书颁发机构

数字证书就是非对称密钥(win加密文件 ie属性-内容-证书)

身份证 vs 大使

宾馆(不信你,信公安局)

身份证----派出所 vs CA证书颁发机构(不以盈利为目的)

证书申请过程:

1,企业向CA申请证书,将公司信息、法人等发给CA,CA核实后才发证。

2,证书上有CA的签名

?

信任证书颁发机构:意味着有ca公钥

认证过程:

1,a的公钥的真实性:检查ca的公钥是否改过(b用ca的关于a的公钥检查【a的公钥用ca的私钥签名】:a的公钥确实是ca发的公钥)

2,用a的公钥检测a的签名的合法

a的合同的签名

a的公钥的签名

以上是关于[IPSEC PKI]的主要内容,如果未能解决你的问题,请参考以下文章

ipsec隧道影不影响流量

[转帖] IPsec相关知识 --未知来源

IPsec ××× 总结

ipsec over gre 和GER OVER IPSEC分别用在啥场合

搭建L2tp/ipsec

IPSec