加密算法（详细的加密传输过程，抓紧学起来吧！！！）

加解密技术

​ 最重要的特点：可逆 —— 将明文通过某些算法转换成密文，用来防止网络中的被动威胁，之后可以将密文再通过某些算法还原明文
GRE VPN和L2TP VPN都不存在加解密的功能
IPSEC VPN和SSL VPN都可以提供加解密的功能

说到以上四个VPN技术，我来补充一下之前的VPN知识吧，这几天又学了不少VPN的知识。

VPN的分类

1、根据建设的单位不同分类

​ 1）企业自建的VPN — 成本相对较低，因为仅需要支付VPN设备的费用即可，并且因为。。。为企业所有，所以，控制上更具有主动性
​ 2）运营商搭建的VPN — 相对比较省心，因为，安全问题，带宽问题，管理问题，都由运营商管理，仅需要支付专线费用即可

2、根据组网方式不同来进行分类

​ 1）Client to LAN VPN (ACCESS VPN)
​ 2）LAN to LAN
Intranet — 内联网
Extranet — 外联网

3、根据VPN技术所实现的层次进行划分

​ 应用层 SSL VPN
​ 传输层 Sangfor VPN
​ 网络层 IPSec、GRE
​ 网络接口层 L2F/L2TP、PPTP

重点是SSL VPN和L2TP

—————————————————————————————————————————
接下来我们回到加密技术

数据认证技术

​ 数据认证技术——就是对传输过来的数据进行验证，看看是否数据完整或者中途被黑客篡改（通俗地来说“相对于在进行验货，确保数据的完整性”）
​ GRE VPN — 可以提供“校验和”的功能，但是，这是一个可选项，需要两边同时开启才能生效
​ L2TP VPN — 本身也不提供数据认证的功能
​ IPSEC VPN 和SSL VPN 都支持数据认证的功能

密钥管理技术

数据的安全传输

密码学

密码学主要可以分为以下两种：

古典加密算法 — 算法保密（保密不太好，相对来说容易被破解）

近/现代加密算法 — 算法公开，密钥保密（由于开源，所以世界所有人一起完善保密技术，保密能力较好）

近/现代加密算法可以分为以下几种：

对称加密算法 — 加密和解密使用的是同一把密钥 — 使用的是一种双向函数，可逆的算法

异或算法 — 不进位的加法 — 相同为0 ，不同为1

流加密算法 — 需要使用一串和明文流相同长度的密钥流进行加密，得到密文流

​ （流加密的典型代表 — RC4）

分组加密算法（块加密算法）

​ 最常使用的对称加密算法

​ IDEA

​ DES/3DES算法

​ AES算法（安全度最高）

目前AES是安全程度最高的加密算法，适合对安全要求较高的场景，比如VPN场景，但是，在进行大量数据加密时，可以使用DES，效率更高

对称加密算法的一些问题

​ 1、密钥共享大问题

​ 带内传输 — 不安全

​ 带外传输 — 不方便

​ 2、密钥管理 — N*N

非对称加密算法 — 最大的特点：会存在两把密钥，任何一把密钥进行加密，都只能通过另外一把密钥进行解密

非对称加密算法在进行运算时需要使用不可逆的算法 — 取模运算

常见的非对称加密算法

​ ECC

​ RSA : 目前主流的非对称加密算法

​ Rabin

​ Elgamal

对称加密算法：安全性较低，传输速度较快，密钥数量为N*N
非对称加密算法：安全性较高，传输速度较慢，密钥数量为N

所以，这里可以得出一个结论 — 我们可以使用对称加密算法来加密大量的传输数据，使用非对称加密算法加密对称加密算法的密钥，保证密钥共享的安全性

DH算法 — 密钥交换算法 — Diffie - Hell

身份认证以及数据认证技术

HASH算法 — 摘要值 — 单纯的使用摘要值进行认证依然无法保证数据的完整性，所以需要结合加密算法来一同保证，所以，我们会使用私钥对摘要值进行加密 — 数字签名

​ 1、相同输入，相同输出

​ 2、雪崩效应 — 但凡有一点改动，整个HASH结果就会出现很大变化

​ 3、等长输出

​ 4、不可逆性 — 一旦加密，就无法解密

数据源认证 — 确认发送的源

身份认证 — 确认发送的对象

常见的证书类型

​ 1、数字证书

​ 2、根证书 — CA机构自己给自己颁发的证书

​ 3、用户证书

​ 4、设备证书 — 服务器证书

数据安全传输过程

1、Alice对原始信息进行HASH运算，得到信息摘要，将摘要用Alice的私钥进行加密得到数字签名

2、Alice向CA认证用CA的私钥将Alice的公钥进行加密，得到Alice的证书

3、Alice将证书和原始信息还有数字签名运用Alice和Bob之间的对称加密的密钥进行加密，得到加密信息，然后Alice和Bob之间的对称加密的密钥通过Bob的公钥加密，得到密钥信封，然后将密钥信封和加密信息都发送给BOb

4、Bob收到后，先用自己的私钥将密钥信息解密，得到Alice和Bob之间的对称加密的密钥，然后用该密钥解密加密信息，得到Alice要发送的信息

5、得到Alice发送的三个信息后，先对原始信息进行HASH运算，得到信息摘要，然后用CA的公钥解密Alice的证书，得到Alice的公钥，然后用公钥对数字签名进行解密，得到摘要信息，最后，对比自己用HASH运算得到的摘要信息和Alice公钥解密得到的摘要信息，如果摘要信息一致，则表示传输的信息完整没有被篡改，如果不一致，则表示信息被篡改了。

经过这些层层加密，黑客很难对传输内容进行窥探或者修改
（CA机构发出的认证就是确认身份的标准，可以理解为身份证，这个无法造假，所以加密传输时，CA机构的认证证书很重要）

原文地址：https://blog.csdn.net/Nirvana92/article/details/140577334

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！