[IPSEC PKI]

PKI:

对称加密

非对称加密(混合加密)

数字签名

?

理论概述:

(1)预备知识

对称加密:加密密钥和揭秘蜜钥是同一个密钥

缺点:不适合在互联网上传输密钥 密钥维护工作量大 n(n-1)/2 ;

优点:加密效率高。

非对称加密: 公钥和私钥密钥对;公钥加密,私钥解密; 私钥加密,公钥解密;

特点:公钥推导不出私钥,每新加一个用户加一个非对称密钥就可以。 缺点:适合在互联网上传公钥 加密效率低

?

密码长度决定安全强度:

56bit密钥破解 需要3.5或21分

128bit 密钥破解 需要 5.4*10的18次方年

特点:越长 复杂度越高

安全标准:

1.成本标准 破解成本 vs 信息价值成本

2.时间标准 信息有效期 vs 破解所用时间

(2)非对称加密应用 a b之间发邮件(两者结合)

加密细节:使用对称密钥加密数据,使用非对称加密加密密钥

数字签名

数字签名作用:能够防止抵赖,确认信息来源,不能更改(员工出差,财务部差旅费,领导签名)

细节:私钥签名 公钥确认(收发信)

对文件的摘要(散列函数hash)=指纹 进行加密

对摘要加密====数字签名

怎么知道没改?再次hash

hash值的应用:qq二次传文件

例:a(有公私钥)给b发邮件:

发签名的邮件? 可以

发加密的邮件? 不可以

(3)证书颁发机构

数字证书就是非对称密钥(win加密文件 ie属性-内容-证书)

身份证 vs 大使

宾馆(不信你,信公安局)

身份证----派出所 vs CA证书颁发机构(不以盈利为目的)

证书申请过程:

1,企业向CA申请证书,将公司信息、法人等发给CA,CA核实后才发证。

2,证书上有CA的签名

?

信任证书颁发机构:意味着有ca公钥

认证过程:

1,a的公钥的真实性:检查ca的公钥是否改过(b用ca的关于a的公钥检查【a的公钥用ca的私钥签名】:a的公钥确实是ca发的公钥)

2,用a的公钥检测a的签名的合法

a的合同的签名

a的公钥的签名

时间: 2024-10-11 04:34:08

[IPSEC PKI]的相关文章

CENTOS/UBUNTU一键安装IPSEC/IKEV2 VPN服务器

1.在azure上创建ubuntu虚拟机 选择v15.04 server 版本 2.添加端口号 3.远程桌面到ubuntu 命令行 输入 sudo su  输入创建 ubuntu虚拟机 时候的 密码 切换到root身份. 4.开始创建 ipsec/ikev2 vpn 服务器 [注] 我选择的是  Xen.KVM 的vps类型 [注]修改后 文件 不生效 则重新启动虚拟机 [注]win7客户端连接vpn 需要证书安装到  计算机账户的 受信任的根证书颁发机构 具体如下:1.下载脚本: wget h

Centos 7 搭建 IKEv2 VPN 服务

1.安装依赖组件 1 yum -y install gpm-devel pam-devel openssl-devel make gcc 2.安装EPEL 1 yum -y install epel-release 3.安装Strongswan 1 yum -y install strongswan 4.为Strongswan添加别名 ipsec 1 alias ipsec='strongswan' 5.生成CA私钥,并使用此私钥自签名生成CA证书 1 cd /etc/strongswan &&a

CentOS6.5 部署VPN管理系统(StrongSwan+iKEv2+Freeradiu+Mysql+Daloradius)

一.环境介绍 Server IP:192.168.30.133System: CentOS 6.5 Client:Winodows 7 二.编译安装StrongSwan 1.下载StrongSwan wget http://download.strongswan.org/strongswan.tar.gz 2.安装相关库 yum install pam-devel openssl-devel make gcc gmp-devel 3.编译安装 ./configure --prefix=/usr 

centos6.5 x86_64下编译安装strongswan

centos6.5 x86_64 1,安装必须的库 yum update yum install pam-devel openssl-devel make gcc 2,下载strongswan wget http://download.strongswan.org/strongswan.tar.gz tar xzf strongswan.tar.gz cd strongswan-* 3,编译安装 ./configure  --enable-eap-identity --enable-eap-md

基于PKI的IPSec LAN-TO-LAN VPN

基于PKI的IPSec LAN-TO-LAN VPN   概述... 2 两个对等体之间的认证:... 2 一.实验目的... 3 二.实验拓扑... 3 三.实验要求... 4 四.实验步骤... 4 1.基本配置... 4 2.准备工作... 6 3.CA搭建... 6 4.证书申请... 12 5.IPSec VPN配置... 26 五.实验总结... 31 概述 利用PKI,即证书加密实现的IPSec VPN被视为最安全的VPN认证加密方式.那么,Client是怎样向CA申请证书的呢?

IPSEC VPN

目录: 简介:... 2 分类:... 2 1.在路由上实现的VPN可分为:... 2 2.在ASA防火墙上实现的VPN:2 IPSec VPN:3 IPSec能实现的功能有:... 3 IPSec的特性(IPSec之所以安全是由它的特性决定的):... 3 IPSec的实施包含两个阶段... 4 IPSec协商过程:... 4 IPSec 范畴的VPN中各种形式的大体配置步骤:... 6 IPSEC VPN几种配置实例... 6 一.实验拓扑... 7 二.实验目的... 7 三.实验要求..

PKI与证书服务

PKI:公钥基础设施(Public Key Infrastructure) 通过使用公钥技术和数字签名来确保信息安全 由公钥加密技术.数字证书.CA.RA组成 PKI体系能够实现的功能: 数据机密性 身份验证 数据完整性 操作的不可否认性 公钥加密技术是PKI的基础: 公钥与私钥关系 成对生成,互不相同,互相加密与解密 不能根据一个密钥来推算出另一个密钥 公钥对外公开,私钥只有私钥持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同,可分为数据加密和数字签名 数据加密: 发送方使用接

基于数字证书认证的 IPSec VPN 配置

一.数字证书的相关术语 1.数字签名 数字签名基于哈希算法和公钥加密算法,对明文报文先用哈希算法计算摘要,然后用私钥对摘要进行加密,得到的一段数字串就是原文的数字签名数字签名与原文一起传送给接收者.接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比.如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性. 2.数字证书 数字证书是由权威机构发行的,用来证明自己的身份和验

PKI系统深入介绍

公钥基础设施(Public Key Infrastructure,简称PKI)是眼下网络安全建设的基础与核心,是电子商务安全实施的基本保障,因此,对PKI技术的研究和开发成为眼下信息安全领域的热点.本文对PKI技术进行了全面的分析和总结,当中包含PKI组成.证书认证机构CA.PKI应用.应用编程接口和PKI标准等,并对CA的开发做了简要分析.本文对PKI,特别是CA的开发.应用和普及具有一定的促进作用. 1 前言 随着网络技术和信息技术的发展,电子商务已逐步被人们所接受,并在得到不断普及.但因为