程光等,信息与网络安全,北京交通大学出版社
★信息安全基本概念
DoS攻击:拒绝服务攻击,如TCP的SYN Flooding。DDoS分布式拒绝服务攻击。
欺骗攻击:利用假的地址和结点号替代有效的源/宿IP地址和结点号。
中间人攻击:将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,读取或修改传递的信息。该过程又称为会话劫持。DNS欺骗就是一种中间人攻击的惯用手法。攻击者通过入侵DNS服务器而把受害者要访问的目标机器域名解析为攻击者的IP进行欺骗攻击。
被动攻击方式:解析内容、通信量分析。
主动攻击方式:伪装、回放、修改、抵赖。
网络安全威胁包括数据安全与系统安全。
数据安全受到四个方面的威胁:中断威胁、侦听威胁、修改威胁、伪造威胁。
安全服务包括:保密性、鉴别性、完整性、不可否认性。
IPSec协议是基于IP层的,提供对IP及其上层协议的保护。它涉及4方面的协议:安全协议,包括头部认证AH,封装安全载荷ESP;安全关联;密钥管理;认证和加密算法。
SSL协议即安全套接字层,它建立在可靠的传输协议TCP之上和应用层协议之间来为应用层提供认证、数据加密、压缩等安全支持。它有3个基本特征:安全的连接;身份的认证;可靠的连接。
SSH协议即安全外壳,它也是建立在可靠的传输协议TCP之上,通过加密和认证为网络数据通信提供安全保护。
S-HTTP协议是一种面向安全信息通信的协议,它可以和HTTP结合起来使用并易于与HTTP应用程序相整合。
S/MIME协议是通过扩展MIME协议来在多部件媒体类型中打包安全服务的一种技术,提供验证、信息完整性、数字签名和加密服务。
SET协议即安全电子交易,是工作在应用层之上的安全协议,它使用了SSL、S-HTTP以及PKI来保障安全的电子支付。
VPN即虚拟专用网,它利用现有的公用网来搭建自己的虚拟专用网络,通过相应的加密和认证技术来保证用户内部数据在公网上的安全传输,从而真正实现网络数据传输的私有性。
★密码学基础
传统密码:
替换技术S:单表、多表(字母相关,容易破解)
置换技术P:栅栏技术、矩阵技术(位置相关)
转子机:置换原理或多表替换(字母&位置相关)
现代密码:(算法的公开不影响明文和密钥的安全)
DES算法:两重DES(中间相遇攻击法)、三重DES。
RSA算法:基于大质数分解的困难性。
DSA算法:数字签名算法,基于整数有限域离散对数难题。
PKI公钥基础结构:定义了基于公钥算法的密钥交换的步骤。
PKI的组成有:认证中心CA、证书注册机构RA、数字证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用程序接口。其中CA是PKI的核心。
数据保护技术:
MD5算法:生成128位哈希值,易受攻击的。
SHA-1、RIPEMD-160算法:均产生160位的哈希值,是MD5主要的安全替代算法。
★密码学标准协议
一般的加密通常都是块加密,如果要加密超过块大小的数据,就需要涉及填充和链加密模。
常见的加密模式有4种,分别为:
ECB电子密码本模式electronic code book
将加密的数据分成若干组,每组的大小跟加密密钥长度相同,然后每组都用相同的密钥进行加密。优点:1.简单;2.有利于并行计算;3.误差不会被传送;缺点:1.不能隐藏明文的模式;2.可能对明文进行主动攻击;
CBC加密块链模式cipher block chaining
将明文分成固定长度的块,然后将前面一个加密块输出的密文与下一个要加密的明文块进行xor(异或)操作计算,将计算结果再用密钥进行加密得到密文。第一明文块加密的时候,因为前面没有加密的密文,所以需要一个初始化向量(iv)。优点:1.不容易主动攻击,安全性好于ECB,适合传输长度长的报文,是SSL、IPSec的标准。缺点:1.不利于并行计算;2.误差传递;3.需要初始化向量IV
CFB加密反馈模式cipher feedback mode
需要一个初始化向量iv,将明文分为固定长度为n位的块,然后将iv左移n位,低n位由前一个加密块输出的密文来填补,再对得到的新iv进行加密,然后取加密结果的高n位与明文块进行异或,得到新一组的密文块输出。第一组时iv不需要左移,直接进行如上步骤。优点:1.隐藏了明文模式;2.分组密码转化为流模式;3.可以及时加密传送小于分组的数据;缺点:1.不利于并行计算;2.误差传送:一个明文单元损坏影响多个单元;3.唯一的IV;
OFB输出反馈模式output feedback mode
需要一个初始化向量iv,将明文分为固定长度为n位的块,然后将iv左移n位,低n位由前一个加密块中对iv加密的结果的高n位来填补,再对得到的新iv进行加密,然后取加密结果的高n位与明文块进行异或,得到新一组的密文块输出。第一组时iv不需要左移,直接进行如上步骤。优点:1.隐藏了明文模式;2.分组密码转化为流模式;3.可以及时加密传送小于分组的数据;缺点:1.对明文的主动攻击是可能的;
常见的填充方式有PKCS1,PKCS5,PKCS7等。PKCS5和PKCS7都是使用填充的总字节数来填充每个字节,只是在PKCS5Padding中,明确定义Block的大小是8位,而在PKCS7Padding定义中,对于块的大小是不确定的,可以在1-255之间
★网络技术基础
ARP协议
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗来截获所在网络内其他计算机的通信信息,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ICMP协议
ICMP是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息。通过这些消息来对网络或主机的故障提供参考依据。
攻击者可以伪造ICMP的“超时”或“目标不可到达”消息,也可以伪造“重定向”消息。或者大量发送ICMP数据包最终使系统瘫痪。“Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。
RIP路由协议
路由信息协议RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达,这使得RIP协议不适于大型网络。
RIP攻击是指RIP由于没有认证机制,故攻击者通过发布虚假路由信息而使某些主机发给特定目的地址的数据经由攻击者的机器。
IPSec协议
IPSec协议包括4个方面:安全协议,包括头部认证AH,封装安全载荷ESP;安全关联SA;密钥管理:手动或自动的Internet密钥交换IKE;认证和加密算法。
安全关联SA由三部分内容唯一标识:安全参数索引,IP目的地址和安全协议(AH和ESP)标识符。安全关联有两种类型:传输模式和隧道模式。传输模式是两台主机间的安全关联。隧道模式是运用于IP隧道的安全关联,主要用于主机与网关或网关与网关。
运行IPSec的系统要维护两个数据库:安全策略数据库和安全关联数据库。后者记录了每一个安全关联的参数,前者将某一个策略通过SA的三个参数对应到一个安全关联或安全关联束。
头部认证AH提供数据完整性、数据源认证保护和防止消息回放攻击。安全有效载荷ESP提供数据加密、数据源验证、数据完整性和抗重播服务。两者的提供的服务和应用的算法都由安全关联决定。
IKE用来以一种安全和经过验证的方式动态协商安全关联和密钥材料。
SSL协议
安全套接字层SSL,它建立在可靠的传输协议TCP之上和应用层协议之间来为应用层提供认证、数据加密、压缩等安全支持。例如HTTPS即是在HTTP下加入SSL层来实现安全通道的。
它有3个基本特征:
安全的连接:在初始的握手之后,通过加密的传输产生密钥。
身份的认证:双方身份使用非对称加密算法或公钥进行认证。
可靠的连接:消息传输包括使用加密的校验码进行完整性校验。
SSL是一个分层协议,分为两层。下面一层是SSL记录层。上面一层有三个协议分别是SSL握手协议、SSL改变加密约定协议、SSL报警协议。
SSL记录层对高层的数据块分段并压缩和加密、校验。SSL握手协议用于服务器和客户端在开始通信时进行相互认证,并协商加密算法、密钥等参数。SSL改变加密约定协议用来标志密码及加密约定的改变。SSL警报协议用来传递该消息的严重等级和对警报的描述。
SSH协议
安全外壳SSH,它也是建立在可靠的传输协议TCP之上,通过加密和认证为网络数据通信提供安全保护,主要用于安全远程登陆等功能。
SSH协议有三个主要组成部分,自下而上分别是:SSH传输层协议、SSH用户认证协议、SSH连接协议。
SSH传输层协议可以提供对服务器的认证,数据保密性和完整性保护。SSH用户认证协议用于服务器对客户端用户的认证。SSH连接协议将加密通道复用到多个逻辑通道。
S-HTTP协议
在语法上,S-HTTP报文与HTTP相同,S-HTTP使用协议指示器来标志。S-HTTP 支持多种兼容方案并且与 HTTP 相兼容。使用 S-HTTP 的客户机能够与没有使用 S-HTTP 的服务器连接,反之亦然。
SET协议
安全电子交易SET,是工作在应用层之上的安全协议,它使用了SSL、S-HTTP以及PKI来保障安全的电子支付。
SET本身并不是支付系统,它是一组安全协议和格式,保证了用户在开放网络中使用已有的信用卡支付结构。
交易中的主要过程为:首先,持卡人通过哈希算法分别生成订购信息OI和支付指令PI的摘要H(OI)和H(PI);把H(OI)和H(PI)连接起来得到消息OP并对OP使用哈希算法生成摘要H(OP);用持卡人私钥加密H(OP)得到双重数字签名Sign(H(OP))。将(OI,H(PI),Sign(H(OP))用商家的公钥加密后发送给商家,将(PI,H(OI),Sign(H(OP))用银行的公钥加密后发送给银行。这样银行看不到具体的购买信息,商家则看不到支付的账号。其后,商家向持卡人的金融机构请求支付认可,如果成功就像持卡人发送签名后的购买响应消息。
VPN技术
虚拟专用网VPN,它利用现有的公用网来搭建自己的虚拟专用网络,通过相应的加密和认证技术来保证用户内部数据在公网上的安全传输,从而真正实现网络数据传输的私有性。
VPN主要用于两方面:远程登陆和企业内部网络互联。
VPN主要采用四项技术来保证安全,分别是:隧道技术、加密技术、密钥管理技术、使用者与设备身份认证技术。
隧道协议分为两种:第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,如L2TP协议。第三层隧道协议把各种网络协议直接装入隧道协议中,如IPSec。
★信息安全基本概念
DoS攻击:拒绝服务攻击,如TCP的SYN Flooding。DDoS分布式拒绝服务攻击。
欺骗攻击:利用假的地址和结点号替代有效的源/宿IP地址和结点号。
中间人攻击:将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,读取或修改传递的信息。该过程又称为会话劫持。DNS欺骗就是一种中间人攻击的惯用手法。攻击者通过入侵DNS服务器而把受害者要访问的目标机器域名解析为攻击者的IP进行欺骗攻击。
被动攻击方式:解析内容、通信量分析。
主动攻击方式:伪装、回放、修改、抵赖。
网络安全威胁包括数据安全与系统安全。
数据安全受到四个方面的威胁:中断威胁、侦听威胁、修改威胁、伪造威胁。
安全服务包括:保密性、鉴别性、完整性、不可否认性。
IPSec协议是基于IP层的,提供对IP及其上层协议的保护。它涉及4方面的协议:安全协议,包括头部认证AH,封装安全载荷ESP;安全关联;密钥管理;认证和加密算法。
SSL协议即安全套接字层,它建立在可靠的传输协议TCP之上和应用层协议之间来为应用层提供认证、数据加密、压缩等安全支持。它有3个基本特征:安全的连接;身份的认证;可靠的连接。
SSH协议即安全外壳,它也是建立在可靠的传输协议TCP之上,通过加密和认证为网络数据通信提供安全保护。
S-HTTP协议是一种面向安全信息通信的协议,它可以和HTTP结合起来使用并易于与HTTP应用程序相整合。
S/MIME协议是通过扩展MIME协议来在多部件媒体类型中打包安全服务的一种技术,提供验证、信息完整性、数字签名和加密服务。
SET协议即安全电子交易,是工作在应用层之上的安全协议,它使用了SSL、S-HTTP以及PKI来保障安全的电子支付。
VPN即虚拟专用网,它利用现有的公用网来搭建自己的虚拟专用网络,通过相应的加密和认证技术来保证用户内部数据在公网上的安全传输,从而真正实现网络数据传输的私有性。
★密码学基础
传统密码:
替换技术S:单表、多表(字母相关,容易破解)
置换技术P:栅栏技术、矩阵技术(位置相关)
转子机:置换原理或多表替换(字母&位置相关)
现代密码:(算法的公开不影响明文和密钥的安全)
DES算法:两重DES(中间相遇攻击法)、三重DES。
RSA算法:基于大质数分解的困难性。
DSA算法:数字签名算法,基于整数有限域离散对数难题。
PKI公钥基础结构:定义了基于公钥算法的密钥交换的步骤。
PKI的组成有:认证中心CA、证书注册机构RA、数字证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用程序接口。其中CA是PKI的核心。
数据保护技术:
MD5算法:生成128位哈希值,易受攻击的。
SHA-1、RIPEMD-160算法:均产生160位的哈希值,是MD5主要的安全替代算法。
★密码学标准协议
一般的加密通常都是块加密,如果要加密超过块大小的数据,就需要涉及填充和链加密模。
常见的加密模式有4种,分别为:
ECB电子密码本模式electronic code book
将加密的数据分成若干组,每组的大小跟加密密钥长度相同,然后每组都用相同的密钥进行加密。优点:1.简单;2.有利于并行计算;3.误差不会被传送;缺点:1.不能隐藏明文的模式;2.可能对明文进行主动攻击;
CBC加密块链模式cipher block chaining
将明文分成固定长度的块,然后将前面一个加密块输出的密文与下一个要加密的明文块进行xor(异或)操作计算,将计算结果再用密钥进行加密得到密文。第一明文块加密的时候,因为前面没有加密的密文,所以需要一个初始化向量(iv)。优点:1.不容易主动攻击,安全性好于ECB,适合传输长度长的报文,是SSL、IPSec的标准。缺点:1.不利于并行计算;2.误差传递;3.需要初始化向量IV
CFB加密反馈模式cipher feedback mode
需要一个初始化向量iv,将明文分为固定长度为n位的块,然后将iv左移n位,低n位由前一个加密块输出的密文来填补,再对得到的新iv进行加密,然后取加密结果的高n位与明文块进行异或,得到新一组的密文块输出。第一组时iv不需要左移,直接进行如上步骤。优点:1.隐藏了明文模式;2.分组密码转化为流模式;3.可以及时加密传送小于分组的数据;缺点:1.不利于并行计算;2.误差传送:一个明文单元损坏影响多个单元;3.唯一的IV;
OFB输出反馈模式output feedback mode
需要一个初始化向量iv,将明文分为固定长度为n位的块,然后将iv左移n位,低n位由前一个加密块中对iv加密的结果的高n位来填补,再对得到的新iv进行加密,然后取加密结果的高n位与明文块进行异或,得到新一组的密文块输出。第一组时iv不需要左移,直接进行如上步骤。优点:1.隐藏了明文模式;2.分组密码转化为流模式;3.可以及时加密传送小于分组的数据;缺点:1.对明文的主动攻击是可能的;
常见的填充方式有PKCS1,PKCS5,PKCS7等。PKCS5和PKCS7都是使用填充的总字节数来填充每个字节,只是在PKCS5Padding中,明确定义Block的大小是8位,而在PKCS7Padding定义中,对于块的大小是不确定的,可以在1-255之间
★网络技术基础
ARP协议
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗来截获所在网络内其他计算机的通信信息,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ICMP协议
ICMP是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息。通过这些消息来对网络或主机的故障提供参考依据。
攻击者可以伪造ICMP的“超时”或“目标不可到达”消息,也可以伪造“重定向”消息。或者大量发送ICMP数据包最终使系统瘫痪。“Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。
RIP路由协议
路由信息协议RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达,这使得RIP协议不适于大型网络。
RIP攻击是指RIP由于没有认证机制,故攻击者通过发布虚假路由信息而使某些主机发给特定目的地址的数据经由攻击者的机器。
IPSec协议
IPSec协议包括4个方面:安全协议,包括头部认证AH,封装安全载荷ESP;安全关联SA;密钥管理:手动或自动的Internet密钥交换IKE;认证和加密算法。
安全关联SA由三部分内容唯一标识:安全参数索引,IP目的地址和安全协议(AH和ESP)标识符。安全关联有两种类型:传输模式和隧道模式。传输模式是两台主机间的安全关联。隧道模式是运用于IP隧道的安全关联,主要用于主机与网关或网关与网关。
运行IPSec的系统要维护两个数据库:安全策略数据库和安全关联数据库。后者记录了每一个安全关联的参数,前者将某一个策略通过SA的三个参数对应到一个安全关联或安全关联束。
头部认证AH提供数据完整性、数据源认证保护和防止消息回放攻击。安全有效载荷ESP提供数据加密、数据源验证、数据完整性和抗重播服务。两者的提供的服务和应用的算法都由安全关联决定。
IKE用来以一种安全和经过验证的方式动态协商安全关联和密钥材料。
SSL协议
安全套接字层SSL,它建立在可靠的传输协议TCP之上和应用层协议之间来为应用层提供认证、数据加密、压缩等安全支持。例如HTTPS即是在HTTP下加入SSL层来实现安全通道的。
它有3个基本特征:
安全的连接:在初始的握手之后,通过加密的传输产生密钥。
身份的认证:双方身份使用非对称加密算法或公钥进行认证。
可靠的连接:消息传输包括使用加密的校验码进行完整性校验。
SSL是一个分层协议,分为两层。下面一层是SSL记录层。上面一层有三个协议分别是SSL握手协议、SSL改变加密约定协议、SSL报警协议。
SSL记录层对高层的数据块分段并压缩和加密、校验。SSL握手协议用于服务器和客户端在开始通信时进行相互认证,并协商加密算法、密钥等参数。SSL改变加密约定协议用来标志密码及加密约定的改变。SSL警报协议用来传递该消息的严重等级和对警报的描述。
SSH协议
安全外壳SSH,它也是建立在可靠的传输协议TCP之上,通过加密和认证为网络数据通信提供安全保护,主要用于安全远程登陆等功能。
SSH协议有三个主要组成部分,自下而上分别是:SSH传输层协议、SSH用户认证协议、SSH连接协议。
SSH传输层协议可以提供对服务器的认证,数据保密性和完整性保护。SSH用户认证协议用于服务器对客户端用户的认证。SSH连接协议将加密通道复用到多个逻辑通道。
S-HTTP协议
在语法上,S-HTTP报文与HTTP相同,S-HTTP使用协议指示器来标志。S-HTTP 支持多种兼容方案并且与 HTTP 相兼容。使用 S-HTTP 的客户机能够与没有使用 S-HTTP 的服务器连接,反之亦然。
SET协议
安全电子交易SET,是工作在应用层之上的安全协议,它使用了SSL、S-HTTP以及PKI来保障安全的电子支付。
SET本身并不是支付系统,它是一组安全协议和格式,保证了用户在开放网络中使用已有的信用卡支付结构。
交易中的主要过程为:首先,持卡人通过哈希算法分别生成订购信息OI和支付指令PI的摘要H(OI)和H(PI);把H(OI)和H(PI)连接起来得到消息OP并对OP使用哈希算法生成摘要H(OP);用持卡人私钥加密H(OP)得到双重数字签名Sign(H(OP))。将(OI,H(PI),Sign(H(OP))用商家的公钥加密后发送给商家,将(PI,H(OI),Sign(H(OP))用银行的公钥加密后发送给银行。这样银行看不到具体的购买信息,商家则看不到支付的账号。其后,商家向持卡人的金融机构请求支付认可,如果成功就像持卡人发送签名后的购买响应消息。
VPN技术
虚拟专用网VPN,它利用现有的公用网来搭建自己的虚拟专用网络,通过相应的加密和认证技术来保证用户内部数据在公网上的安全传输,从而真正实现网络数据传输的私有性。
VPN主要用于两方面:远程登陆和企业内部网络互联。
VPN主要采用四项技术来保证安全,分别是:隧道技术、加密技术、密钥管理技术、使用者与设备身份认证技术。
隧道协议分为两种:第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,如L2TP协议。第三层隧道协议把各种网络协议直接装入隧道协议中,如IPSec。
扫一扫
597
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
