網(wǎng)絡安全技術(shù)與實訓（微課版）（第5版） 課件 第7章 加密技術(shù)與虛擬專用網(wǎng)絡

第7章加密技術(shù)與虛擬專用網(wǎng)絡《網(wǎng)絡安全技術(shù)與實訓》（微課版）（第5版）主講人：課程引入《中華人民共和國密碼法》2020年1月1日正式施行《網(wǎng)絡安全審查辦法》

2020年6月1日正式施行

三項國家標準正式發(fā)布2019年12月1日正式施行《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》《信息安全技術(shù)網(wǎng)絡安全等級保護安全設計技術(shù)要求》數(shù)據(jù)安全至關(guān)重要山東大學王小云教授成功破解MD5學習要點（思政要點）密碼是我們黨和國家的“命門”、“命脈”,是國家重要戰(zhàn)略資源。直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全和信息安全。什么是密碼，第二條規(guī)定,密碼法中的密碼,“是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務”怎么管密碼，第二章(第十三條至第二十條)規(guī)定了核心密碼、普通密碼的主要管理制度。核心密碼、普通密碼用于保護國家秘密信息和涉密信息系統(tǒng)。怎么用密碼，有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統(tǒng)學習要點（思政要點）

掌握對稱及非對稱加密及應用

了解數(shù)字簽名與PKI（安全意識）掌握VPN分類及應用（責任與擔當）使用PGP進行加密（勤敏思學）33第7章加密技術(shù)與虛擬專用網(wǎng)絡VPN技術(shù)7.3實訓PGP應用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.1加密技術(shù)概述密碼的起源可能要追溯到人類剛剛出現(xiàn)，并且嘗試去學習如何通信的時候，人們不得不去尋找方法確保他們通信的機密。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來的內(nèi)容，通過這樣的途徑達到保護數(shù)據(jù)。7.1加密技術(shù)概述通常一個加密系統(tǒng)至少包括以下4個組成部分：未加密的報文，也稱明文。加密后的報文，也稱密文加密、解密設備或算法加密、解密的密鑰7.1加密技術(shù)概述7.1.1加密技術(shù)的應用數(shù)據(jù)保密性——信息不被泄露給未經(jīng)授權(quán)者的特性數(shù)據(jù)完整性——信息在存儲或傳輸過程中保持未經(jīng)授權(quán)不能改變的特性數(shù)據(jù)可用性（認證）——信息可被授權(quán)者訪問并使用的特性不可否認性——一個實體不能夠否認其行為的特性7.1加密技術(shù)概述7.1.2加密技術(shù)的分類數(shù)據(jù)傳輸加密技術(shù)，對傳輸中的數(shù)據(jù)流進行加密，常用的有以下3種鏈路加密的傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層進行加密，不考慮信源和信宿，它用于保護通信節(jié)點間的數(shù)據(jù)；節(jié)點加密是在節(jié)點處采用一個與節(jié)點機相連的密碼裝置，密文在該裝置中被解密并被重新加密，明文不通過節(jié)點機；端到端加密是數(shù)據(jù)從一端到另一端的加密方式。數(shù)據(jù)在發(fā)送端被加密，在接收端解密，中間節(jié)點處不以明文的形式出現(xiàn)。數(shù)據(jù)存儲加密技術(shù)，數(shù)據(jù)存儲加密技術(shù)用于防止存儲環(huán)節(jié)上的數(shù)據(jù)失密。數(shù)據(jù)存儲加密技術(shù)可分為密文存儲和存取控制兩種。全盤加密技術(shù)是對磁盤進行全盤加密，并且采用主機監(jiān)控、防水墻等其他防護手段進行整體防護，磁盤加密主要為用戶提供一個安全的運行環(huán)境，數(shù)據(jù)自身未進行加密。驅(qū)動級加密技術(shù)是信息加密的主流技術(shù)，采用“進程+后綴”的方式進行安全防護，用戶可以根據(jù)實際情況靈活配置33第7章加密技術(shù)與虛擬專用網(wǎng)絡VPN技術(shù)7.3實訓PGP應用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.2現(xiàn)代加密算法按照發(fā)展進程來分，數(shù)據(jù)加密經(jīng)歷了古典密碼階段、對稱密鑰密碼階段和公開密鑰密碼階段：古典密碼階段——替代加密、置換加密；對稱密鑰密碼文——數(shù)據(jù)加密標準（DataEncryptionStandard，DES）和高級加密標準（AdvancedEncryptionStandard，AES）；公開密鑰密碼——

RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal、D-H等。數(shù)據(jù)加密通?？煞譃閮纱箢悾骸皩ΨQ式”和“非對稱式”。通過這兩種算法來保障數(shù)據(jù)的機密性，在數(shù)據(jù)的傳輸過程中加密技術(shù)還需要使用單向加密算法和數(shù)字簽名來保障數(shù)據(jù)的完整性和抗抵賴性。7.2現(xiàn)代加密算法7.2.1對稱加密技術(shù)對稱式加密是一種基于共享密碼的加密技術(shù)，即加密和解密使用同一個密鑰，通常稱為“SessionKey”。典型應用為 DES和3DES算法。特點是加密速度快，能夠適應大量數(shù)據(jù)和信息的加密。密碼的管理和安全性方面比較欠缺。加密解密密鑰K發(fā)送方接收方明文密文明文7.2現(xiàn)代加密算法DES和3DES算法DES是一種對二元數(shù)據(jù)進行加密的算法，數(shù)據(jù)分組長度為64位，密文分組長度也是64位，使用的密鑰為64位，有效密鑰長度為56位，有8位用于奇偶校驗。7.2現(xiàn)代加密算法DES和3DES算法3DES使用3個不同的密鑰對數(shù)據(jù)塊進行3次（或兩次）加密，該方法比進行3次普通加密更加有效。其強度大約和112位的密鑰強度相當。7.2現(xiàn)代加密算法2.RC2、RC4、RC5、RC6算法是一種塊式密文，把信息加密成64位數(shù)據(jù)，主要運行在16位主機上，它的密碼長度是可變的，運算速度與密碼長度有關(guān)。3.IDEA算法屬于數(shù)據(jù)塊加密算法（BlockCipher）類，使用長度為128位的密鑰，數(shù)據(jù)塊大小為64位。應用案例：PGP就使用IDEA作為其分組加密算法，安全套接字層（SSL）也將IDEA包含在其加密算法庫SSLRef中。7.2現(xiàn)代加密算法7.2.2非對稱加密技術(shù)非對稱式加密又稱為公開密鑰加密系統(tǒng)，就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個需要配對使用，否則不能打開加密文件。加密解密發(fā)送方接收方明文密文明文接收方的公鑰接收方的私鑰7.2現(xiàn)代加密算法RSA算法目前最著名、應用最廣泛的公鑰系統(tǒng)，適用于數(shù)字簽名和密鑰交換，特別適用于通過Internet傳輸?shù)臄?shù)據(jù)。使用了兩個非常大的素數(shù)來產(chǎn)生公鑰和私鑰。特點：能夠進行數(shù)字簽名和密鑰交換運算。優(yōu)點：密鑰空間大；缺點：加密速度慢。如果RSA和DES結(jié)合使用，則正好彌補了RSA的缺點，即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報文，所以RSA可解決DES密鑰分配的問題7.2現(xiàn)代加密算法RSA算法應用最廣泛的公鑰系統(tǒng)，適用于數(shù)字簽名和密鑰交換，特別適用于通過Internet傳輸?shù)臄?shù)據(jù)。使用了兩個非常大的素數(shù)來產(chǎn)生公鑰和私鑰。特點：能夠進行數(shù)字簽名和密鑰交換運算。優(yōu)點：密鑰空間大；缺點：加密速度慢。RSA和DES結(jié)合使用，則正好彌補了RSA的缺點，即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報文，所以RSA可解決DES密鑰分配的問題7.2現(xiàn)代加密算法2.DSA算法數(shù)字簽名算法（DigitalSignatureAlgorithm，DSA）僅適用于數(shù)字簽名，是由美國國家安全署發(fā)明的。它是基于離散對數(shù)問題的數(shù)字簽名標準，其安全性與RSA差不多。DSA的一個重要特點是兩個素數(shù)公開。3.Diffie-Hellman算法是一種公開密鑰算法；僅用于密鑰的分發(fā)和交換，不能用于報文加密。不需要公鑰基礎設施（PKI）。在密鑰交換式，沒有身份認證，容易產(chǎn)生中間人攻擊。計算量較大，系統(tǒng)容易遭受DOS攻擊。7.2現(xiàn)代加密算法7.2.3單向散列算法（又稱Hash算法）單向散列算法常用于消息摘要，是一種基于密鑰的、加密不同的數(shù)據(jù)轉(zhuǎn)換類型，它通過把一個單向數(shù)學函數(shù)應用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)換為一個定長的、不可逆轉(zhuǎn)的數(shù)據(jù)。這段數(shù)據(jù)通常叫作消息摘要。消息摘要算法可以敏感地檢測到數(shù)據(jù)是否被篡改。消息摘要算法再結(jié)合其他的算法就可以用來保護數(shù)據(jù)的完整性。單向散列算法廣泛用于數(shù)字簽名和數(shù)據(jù)完整性方面。其中，最常用的散列函數(shù)是MD5和SHA-1。在python中可以使用print（hash（“abcdef”））哈希算法不過是一個更為復雜的運算，它的輸入可以是字符串，可以是數(shù)據(jù)，可以是任何文件，經(jīng)過哈希運算后，變成一個固定長度的輸出，該輸出就是哈希值。但是哈希算法有一個很大的特點，就是你不能從結(jié)果推算出輸入，所以又稱為不可逆的算法。7.2現(xiàn)代加密算法MD5算法是使用最普遍的安全散列算法，其輸入為任意長度的消息，按照512位分組處理，輸出為128位的消息摘要。2004年，山東大學王小云教授攻破了MD5算法2.SHA-1產(chǎn)生一個160位的散列值。SHA-1是流行的用于創(chuàng)建數(shù)字簽名的單向散列算法SHA-2是SHA-1的后繼者,其下又可再分為六個不同的算法標準，包括了:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。7.2現(xiàn)代加密算法下載源文件，選擇消息摘要，來確保下載數(shù)據(jù)的完整性，例如SHA256使用消息摘要使用工具或者是利用系統(tǒng)自帶的命令進行完整性測試7.2現(xiàn)代加密算法7.2.4數(shù)字簽名數(shù)字簽名可用作數(shù)據(jù)完整性檢查，并提供私碼憑據(jù)，它的目的是認證網(wǎng)絡通信雙方身份的真實性，防止相互欺騙或抵賴。1.數(shù)字簽名的3個條件收方條件：接收者能夠核實和確認發(fā)送者對消息的簽名發(fā)方條件：發(fā)送者事后不能否認和抵賴對消息的簽名公證條件：公證方能確認收方的信息，做出仲裁，但不能偽造這一過程2.數(shù)字簽名的方法直接數(shù)字簽名：接收者在獲得消息發(fā)送者的公鑰的前提下，發(fā)送者用其私鑰對整個消息或者消息散列碼進行加密來形成數(shù)字簽名。有仲裁的數(shù)字簽名：有仲裁的數(shù)字簽名可以解決直接數(shù)字簽名中容易產(chǎn)生的發(fā)送者否認發(fā)送過某個消息的問題。7.2現(xiàn)代加密算法7.2.5公鑰基礎設施是電子商務、政務系統(tǒng)安全實施的基本保障，所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)，都可稱為PKI系。PKI管理加密和證書的發(fā)布，并提供諸如密鑰管理（包括密鑰更新、密鑰恢復和密鑰委托等）、證書管理（包括證書產(chǎn)生和撤銷等）、策略管理等。PKI系統(tǒng)也允許一個組織通過證書級別或直接交易認證等方式來同其他安全域建立信任關(guān)系。典型的PKI系統(tǒng)包括PKI策略、軟硬件系統(tǒng)、證書機構(gòu)（CertificationAuthority，CA）、注冊機構(gòu)（RegistrationAuthority，RA）、證書發(fā)布系統(tǒng)、PKI應用等。7.2現(xiàn)代加密算法典型的PKI7.2現(xiàn)代加密算法PKI策略定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。在PKI中有以下兩種類型的策略。證書策略：用于管理證書的使用。例如，可以確認某一CA是選擇在Internet上的公有CA，還是選擇在某一企業(yè)內(nèi)部的私有CA。證書運作聲明（CertificatePracticeStatement，CPS）：由商業(yè)證書發(fā)放機構(gòu)（ControllerofCertifyingAuthoriy，CCA）或者可信的第三方操作的PKI系統(tǒng)需要CPS。它包括CA是如何建立和運作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產(chǎn)生、注冊的，以及密鑰是如何存儲的，用戶是如何得到它的等。7.2現(xiàn)代加密算法2.證書機構(gòu)（CertificationAuthority，CA）是PKI的信任基礎，它管理公鑰的整個生命周期，其作用包括發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布證書吊銷列表（CertificateRevocationList，CRL）3.注冊機構(gòu)（RegistrationAuthority，RA）提供用戶和CA之間的一個接口，它獲取并認證用戶的身份，向CA提出證書請求。主要完成收集用戶信息和確認用戶身份的功能。用戶是指將要向認證中心（即CA）申請數(shù)字證書的客戶，可以是個人、團體、政府機構(gòu)等。注冊管理一般由一個獨立的RA來承擔。對于一個規(guī)模較小的PKI應用系統(tǒng)來說，可把注冊管理的職能交給認證中心CA來完成，而不設立獨立運行的RA個獨立的RA來承擔。4.證書發(fā)布系統(tǒng)證書發(fā)布系統(tǒng)負責證書的發(fā)放，可以通過用戶自己，或是通過目錄服務發(fā)放，它可以是一個組織中現(xiàn)存的，也可以是PKI方案提供的7.2現(xiàn)代加密算法5.PKI典型應用33第7章加密技術(shù)與虛擬專用網(wǎng)絡VPN技術(shù)7.3實訓PGP應用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.3VPN技術(shù)概述《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》、《網(wǎng)絡安全審查辦法》第一章總則

第三條中華人民共和國境內(nèi)的安全專用產(chǎn)品進入市場銷售,實行銷售許可證制度。安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進入市場銷售之前,必須申領《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。網(wǎng)絡安全審查是在中央網(wǎng)絡安全和信息化委員會領導下，為保障關(guān)鍵信息基礎設施供應鏈安全，維護國家安全而建立的一項重要制度。2020年4月，國家互聯(lián)網(wǎng)信息辦公室、國家市場監(jiān)督管理總局等12個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》，并于2020年6月1日起正式實施。網(wǎng)絡安全審查辦公室設在國家互聯(lián)網(wǎng)信息辦公室。關(guān)鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，影響或可能影響國家安全的，應當向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。7.3VPN技術(shù)概述7.3.1VPN技術(shù)概述VPN（虛擬專用網(wǎng)）是企業(yè)網(wǎng)在公眾網(wǎng)絡上的延伸，它可以提供與專用網(wǎng)一樣的安全性、可管理性和傳輸性能VPN技術(shù)的概念通過綜合利用訪問控制技術(shù)和加密技術(shù)，并通過一定的密鑰管理機制，在公共網(wǎng)絡中建立起安全的“專用”網(wǎng)絡，保證數(shù)據(jù)在“加密管道”中進行安全傳輸?shù)募夹g(shù)。7.3VPN技術(shù)概述VPN，VirtualPrivateNetwork，虛擬專用網(wǎng)，是指利用公用電信網(wǎng)絡為用戶提供專用網(wǎng)的所有各種功能。合作伙伴隧道總部異地辦事處Internet隧道隧道7.3VPN技術(shù)概述RTARTB協(xié)議A協(xié)議B協(xié)議B協(xié)議B數(shù)據(jù)包封裝包載荷協(xié)議封裝協(xié)議承載協(xié)議封裝協(xié)議頭協(xié)議B頭協(xié)議A頭載荷數(shù)據(jù)隧道PCB7.3VPN技術(shù)概述2.VPN技術(shù)的特點 安全性：用加密技術(shù)對經(jīng)過隧道傳的數(shù)據(jù)進行加密。專用性：在非面向連接的公用IP網(wǎng)絡上建立一個邏輯的、點對點的連接，稱為建立一個隧道。經(jīng)濟性：它可以使移動用戶和一些小型的分支機構(gòu)的網(wǎng)絡開銷減少。擴展性和靈活性：能夠支持通過Intranet和Internet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點。7.3VPN技術(shù)概述3.VPN的處理過程V

PN連接由客戶機、隧道和服務器3部分組成,其處理過程如下。受保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備。

VPN設備根據(jù)網(wǎng)管設置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。對需要加密的數(shù)據(jù)，VPN設備對整個數(shù)據(jù)包進行加密并附上數(shù)字簽名。VPN設備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。VPN設備對加密后的數(shù)據(jù)、鑒別包，以及源IP地址、目標VPN設備IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當數(shù)據(jù)包到達目標VPN設備，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密7.3VPN技術(shù)概述7.3.2VPN的分類1.按服務類型分類VPN按照服務類型可以分為遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）這3種類型。虛擬網(wǎng)L2TP典型配置舉例https:///cn/d_202203/1572032_30005_0.htm#_Ref5190910247.3VPN技術(shù)概述企業(yè)內(nèi)部虛擬網(wǎng)7.3VPN技術(shù)概述企業(yè)擴展虛擬網(wǎng)企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）又稱外聯(lián)網(wǎng)VPN，它通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡相同的策略，包括安全、服務質(zhì)量（QualityofService，QoS）、可管理性和可靠性。7.3VPN技術(shù)概述2.按通信協(xié)議分類VPN按照通信協(xié)議可以分為MPLSVPN、PPTP/L2TPVPN、SSLVPN和IPSecVPN。MPLSVPN基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡路由和交換設備上應用多協(xié)議標記交換（Multi-ProtocolLabelSwitching，MPLS）技術(shù)，簡化核心路由器的路由選擇方式。MPLSVPN能夠利用公用骨干網(wǎng)絡強大的傳輸能力，同時能夠滿足用戶需求。不足：價格高、接入比較麻煩、跨運營商不便7.3VPN技術(shù)概述PPTP/L2TPVPNPPTP/L2TPVPN是二層VPN，采用較早期的VPN協(xié)議，使用相當廣泛。其特點是簡單易行，但可擴展性不好，也沒有提供內(nèi)在的安全機制。最多只能連接255個用戶。端點用戶需要在連接前手動建立加密信道。認證和加密受到限制，沒有強加密和認證支持。安全程度低，是PPTP/L2TF簡易型VPN最大的弱點。SSLVPN認證方式較為單一，只能采用證書，而且一般是單向認證；在建立隧道后，管理員對用戶不能進行任何限制，無法實現(xiàn)“網(wǎng)絡—網(wǎng)絡”的安全互連。IPSecVPN提供基于互聯(lián)網(wǎng)的加密隧道，用于局域網(wǎng)之間建立安全連接，在遠程移動辦公等桌面應用。7.3VPN技術(shù)概述遠程接入L2TP典型配置舉例/cn/d_202203/1572032_30005_0.htm#_Ref519091024企業(yè)內(nèi)部虛擬網(wǎng)/cn/d_201911/1244048_30005_0.htm7.3VPN技術(shù)概述7.3.3IPSec互聯(lián)網(wǎng)安全協(xié)議，

IPv4是可選的，提供具有較強的互操作能力、高質(zhì)量和基于密碼的安全，對于IPv6是強制性的。1.IPSec的主要特征對所有IP級的通信進行加密和認證，它實現(xiàn)于傳輸層之下，對于應用程序和終端用戶來說是透明的。IPSec提供了訪問控制、無連接完整性、數(shù)據(jù)源鑒別、載荷機密性和有限流量機密等安全服務。7.3VPN技術(shù)概述RTARTB站點A站點B加密報文IPIPsec傳輸模式7.3VPN技術(shù)概述IPsec隧道模式RTARTBIPSecTunnel站點A站點B普通報文加密報文IP普通報文7.3VPN技術(shù)概述2.IPSec的主要作用主要用于IP數(shù)據(jù)包的認證和加密，其目的是保證IP層數(shù)據(jù)信息的正確性、完整性和保密性。它的主要作用如下。認證：可以確定所接收的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的。數(shù)據(jù)完整性：保證在數(shù)據(jù)從源發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。機密性：使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。7.3VPN技術(shù)概述3.IPSec的組成由一系列協(xié)議組成的，除IP層協(xié)議安全結(jié)構(gòu)外，還包括驗證頭（AH）、封裝安全載荷（ESP）、Internet安全關(guān)聯(lián)SA和密鑰管理協(xié)議（ISAKMP）、InternetIP安全解釋域（DOI），以及Internet密鑰交換協(xié)議（IKE）、Oakley密鑰確定協(xié)議等。7.3VPN技術(shù)概述安全體系結(jié)構(gòu)：包含了一般的概念、安全需求、定義和定義IPSec的技術(shù)機制。 驗證頭AH：用于將每個數(shù)據(jù)包中的數(shù)據(jù)和一個變化的數(shù)字簽名結(jié)合起來，使得通信一方確認發(fā)送數(shù)據(jù)的另一方的身份，并且確認數(shù)據(jù)在傳過程中沒有被篡改過，但不能為數(shù)據(jù)提供加密，常用的算法有MD5、SHA1 封裝安全載荷ESP：為數(shù)據(jù)提供加密，并對數(shù)據(jù)源進行身份驗證和一致性檢驗，可單獨使用或與AH聯(lián)合使用，常用的算法有DES、3DES等7.3VPN技術(shù)概述傳輸模式AH封裝隧道模式AH封裝7.3VPN技術(shù)概述隧道模式ESP封裝傳輸模式ESP封裝7.3VPN技術(shù)概述

Internet安全關(guān)聯(lián)SA：一條能夠給在其上傳的數(shù)據(jù)信號提供安全服務的單工連接。如果需要一個對等關(guān)系，即雙向安全交換，則需要兩個SA。密鑰管理協(xié)議：它是密鑰管理的一組方案，其中Internet密鑰交換協(xié)議IKE是默認的密鑰自動交換協(xié)議。InternetIP安全解釋域：彼此相關(guān)的各部分標識符及運作參數(shù)。Internet密鑰交換協(xié)議IKE：它是一種功能強大的、靈活的協(xié)商協(xié)議，使得VPN節(jié)點之間達成安全通信的協(xié)定。策略：決定兩個實體之間能否通信和如何進行通信。策略的核心由如下3部分組成：安全關(guān)聯(lián)SA、SAD和SPD。7.3VPN技術(shù)概述4.IPSecVPN的建立建立一個標準的IPSecVPN一般需要以下幾個過程。建立安全關(guān)聯(lián)SA。雙方需要就如何保護信息、交換信息等公用的安全設置達成一致，必須有一種方法，使兩臺VPN之間能夠安全地交換一套密鑰。進行隧道封裝，有兩種方式。隧道方式：先將IP數(shù)據(jù)包整個進行加密后再加上ESP頭和新的IP頭，這個新的IP頭中包含隧道源/目的地址，該模式不支持多協(xié)議。傳輸方式：原IP包的地址部分不處理，在報頭與數(shù)據(jù)包之間插入一個AH頭，并將數(shù)據(jù)包進行加密，然后在Internet上傳。協(xié)商IKE。建立IKESA的一個已通過身份驗證和安全保護的通道，接著建立IPSecSA，通過已建立的通道為另一個不同協(xié)議協(xié)商安全服務。IKE的認證方式主要有預共享密鑰和證書方式7.3VPN技術(shù)概述5.VPN產(chǎn)品的選擇VPN技術(shù)的不斷成熟，國內(nèi)多家IT廠商VPN網(wǎng)關(guān)產(chǎn)品。加密速度

加密速度應大于或等于網(wǎng)絡的出口帶寬，以免在VPN安全網(wǎng)關(guān)上產(chǎn)生性能瓶頸。同時也應注意加密強度，通常加密強度越高，安全性越好，但加密速度也會降