第一部分 加密学原理
信息安全的目标
私密性、完整性、源认证、不可否认性
加密算法主要分为两大类
对称密钥:DES 3DES AES RC4非对称密钥:RSA DH DC
对称密钥算法的特点
特点:同一个密钥用于加解密优点:速度快 安全 紧凑缺点:明文传输共享密钥,安全性差,密钥数量指数增长,密钥管理是严重的问题,不支持数字签名和不可否认性
DES块加密的两种模式
1.ECB mode(电子密码本)相同的明文总是产生相同的密文 易受到插入,重放,字典***2.CBC mode(加密块链接)加密前将当前的明文块与一个IV字段进行异或
非对称密钥算法特点
特点:公钥加密私钥解密;加密密钥,实现密钥交换;加密散列,完成数字签名,实现源认证和不可否认性优点:安全;密钥数目少;技术支持数字签名和不可否认性缺点:非常非常慢;密文会变长
第二部分 散列函数
验证数据的完整性,通过散列函数计算得到的结果叫做散列值,称为数据的指纹
算法:MD5 SHA-A
散列算法的四大特点
-
固定大小
雪崩效应
单向
冲突避免
HMAC hash message authentication code
1.增加一个key一同做hash2.需要双方预先知道这个key 在保障完整性的基础上实现了源认证 消除了hash易受中间人***的问题3.基于存在的hash函数
第三部分 数字签名和数字证书
数字签名实现两个功能 数据完整性验证 源认证
数字证书数字证书仅仅只是解决“公钥的持有者到底是谁”的问题
第四部分 IPSec基本理论
IPSec 组成部分
ESP(负载安全封装)协议认证头(AH)协议internet密钥交换(IKE)协议
IPSec两种工作模式
Transport Mode 加密点等于通讯点Tunnel Mode 加密点不等于通讯点
IPSec的两个数据库
security policy database(SPD)安全策略数据库security association database(SADB)安全关联数据库 SPD决定了什么流量将接受IPSec处理 SPADB维护每一个SA(安全关联)包含的参数
什么是SA(安全关联)
SA是IPSec的一个基本组成部分,SA是SADB的一个条目,它包含双方关于IKE和IPSec已经协商完毕的安全信息
IKE or ISAKMP SA(1.双向的 2.决定了IKE协议处理相关细节)IPSec SA(1.单向的 2.与封装协议相关 3.决定了具体加密流量的处理方式)
两种类型的SA都由IKE协议协商产生