vpn（零基础）(7)

4．附录： 无 VPN配置—从入门到精通:密码学基础知识简介 2008-10-9来源:迈普 作者:佚名 点击： 次 在技术支持VPN（IPSec）配置的过程中，有些过程是比较痛苦的。遂写成这篇纯粹的“配置”文档，希望能够减轻彼此的痛苦，对大家以后在测试、上点，技术排错，定位问题有所帮助。本文档不包括所有的配置命令细节，所有的配置命令细节请参考相关的配置手册。 十分感谢 迈普 李强先生 提供相关资料. 今天提供第四章节:密码学基础知识简介 4.1．密码学基础知识简介 以下的内容摘自《安全知识讲座材料》文档，有部分增删。 在我们的Internet上常见的网络结构，如图1.1所示。 图1.1 常见网络结构

在网络中传输的数据都明文，任何人在任何地方都可以获得传输的信息。这样是不安全的。因此，我们希望在网络中传输的文件能够象图1.2所示的情况。

4.1.1．加/解密基本过程

在X->Y的传输过程中，为了防止数据被伪造、篡改或者窥视。我们可以在数据M从X端发出时，用一个密钥（key1）进行加密得到完全不同的数据C，经过Internet的传输，到达Y端。在Internet上传输的数据是C，其他人得到C是没有用的。而Y端可以用相应的密钥（key2）解密数据C，恢复数据M。同样的，从Y->X的传输过程也类似。

将有用信息转换成无意义的文字的过程，称为加密，而将无意义的文字转换回原来信息的过程，称为解密。在实现时，加/解密的过程是由密码算法完成的。原来的信息称为明文，转换后的无意义文字称为密文，密文可以被授权允许解密者解密成相应的明文。为了确保两个转换过程能顺利进行的共享秘密信息，称为密钥。

4.1.2．对称密钥

在加/解密过程中，如果加密密钥（key1）和解密密钥（key2）完全相同，或者一个密钥可以很容易从另一个密钥中导出，那么我们称这对密钥为对称密钥。

采用对称密钥建立的加/解密通信系统有一些很好的特性，比如，运行占用空间小，加/解密速度能达到数十兆/秒，甚至更高（由算法决定）。但是，它们存在明显的缺陷：

1、密钥管理困难

在对称密码体制中，在发送信息以前，信息的发送者和接收者必须共享密钥，因此，在通信以前，密钥必须先在一条安全的单独通道上进行传输。这样就为通信附加了一个步骤，在通信负荷比较重的时候，这附加的步骤将变得极其不便。

同时，在一个团体中，每个用户都要与团体中其它每个用户共享一个密钥（若团体中有100个用户，则每个用户将保存99个密钥）。随着系统用户的增加以及密钥的更新，密钥的数量将庞大得难以管理！

2、未知实体间通信困难

当两个通信实体互不认识时，需要一个秘密的单独通道进行密钥交换这一步骤就会非常困难。也就是说，互不相识的两个实体A和B，在第一次通信前，必须要通过一个“介绍人”来使他们达到密钥共享。由于这种特殊身份，在对称密钥体制中，这一个“介绍人”必须随时在线且工作量十分庞大，往往会成为系统的瓶颈。

1、 缺乏自动检测密钥是否泄密的能力。

为了解决对称密钥的这些问题，非对称密钥—公/私钥就应运而生。

注：目前，应用在我们的VPN设备常用的对称加密算法有：DES、3DES、AES等。在实际配置中，就是配置变换集合。选择esp-des算法等。

crypto ipsec transform-set tr1 esp-des esp-md5-hmac mode tunnel exit

4.1.3．非对称密钥

在一对密钥中的两个密钥（key1和key2）是不同的，但却是相关的，这种相关性是一种数学关系，可能依赖一些只有密钥对的创造者才知道的信息。除了密钥对的创造者，其他人想从一个密钥推导出另一个密钥，在计算上是完全不可能的（即，理论上可以推导出另一个密钥，但实际上推导所用的时间、存储量和计算能力大得惊人）。这是由数论中的一些定义、定理或公理决定的。著名的公开密钥加密算法主要有：Diffie-hellman、RSA、DSA等

因为两个密钥不同，知道一个又不能推导或计算出另一个，那么就可以将一个密钥完全公开，比如，存在公开的数据库中，列在电话本上。只要另一个密钥是安全的，那么该密钥对的安全性是可以信赖的。公开的密钥称为公钥，另一个需要安全保密的密钥，称为私钥。其加/解密的基本原理如图1.3所示：

图1.3 非对称密钥加/解密基本原理

4.1.4．非对称密钥的加/解密

由于公钥密码中的计算速度很慢，当需要加密大量数据的时候，就显得不够实用。因此在公钥体制中可以采用如下策略：

1、用随机生成的对称密钥来对报文数据加密；

2、用接收者的公钥来加密这个对称密钥，加密后的对称密钥密文被称为数字信封。 当接收者收到这个加密信息后，先分离出报文数据密文和数字信封两部分，然后采取一个类似的解密过程：

1、用自己的私钥解密，得到对称密钥； 2、用对称密钥对密文进行解密得到明文。 加/解密过程如图1.4所示。

PKI is great stuff! CSCSI

??╚?????????ǎ??????

对称密钥

??╚?????????ǎ??????

加密过程 加密过程 密文 数字信封 明文 接收者的公钥 解密过程 接收者的私钥 对称密钥 解密过程

PKI is great stuff!

CSCSI

明文

发送端 接收端