概述
通过在公共网络中建立一个加密的连接通道将相隔两地的私有网络连起来,使其就像在本地的同一个私有网络一样
类型
加密VPN,secure VPN
----利用各种类型的加密机制来保护跨公共网络的流量。
----让VPN流量穿越公网转发
不加密VPN,Trust VPN
----旨在连接两个或多个专用网络,以便其上用户可以无缝访问位于任一网络上的资源。
----从一个专用网络流向另一个的流量安全性要么无法保证,要么用其他的加密手段。
场景
L2L site to site 站点到站点
RA remote access 远程登入
OSI分类
二层:VPLS,QINQ
三层:GRE IPSec MPLS
高层:SSLVPN
私密性
加密
加密是将明文转换为密文的过程,解密是将密文转换为明文的过程。目的是保证私密性。只有授权的实体才能解密数据:加密/解密数据的能力取决于加密/解密的密钥
理想功能:抵抗密码攻击,
可变密钥长度和可扩展性,
雪崩效应(明文的细微变换导致密文的变化),
没有进出口的限制
明文<--算法,密钥-->密文:
密钥:加密算法的必要参数
算法:对称加密,非对称加密
对称加密算法:相同的密钥加密和解密数据
双方必须用同一个密钥;一般长度40-168bits;如DES,3DES,AES
特点:快;简单的数学运算(简单的硬件辅助);用于批量(大量)数据加密时;密钥管理可能是大问题
优点:速度快,密文紧凑
缺点:密钥传输是个问题;容易中途劫持,窃听;密钥数量容易指数级增长;不支持签名(不可否认性)
非对称加密算法:不同的密钥加密和解密数据
密钥对:私钥加密公钥解密(签名);公钥加密私钥解密(加密)
一般长度:512-2048 bits;RSA , DH 等
特点:慢;基于数学难题;密钥管理更简单(通常公开其中一个密钥);用于少量加密服务(签名,密钥交换)
优点:安全,密钥分发简单,支持签名
缺点:速度非常慢,密文会变长很多
完整性
确保传输过程中不被篡改
哈希(散列)算法
特点:任意输入,固定输出; 雪崩效应,无法逆推
源认证
确认发送者的真实身份
不可否认性
事后不能否认曾经发送过此信息