VPN技术原理(最新)

12密码学基本概念密码学基本概念密码管理政策密码管理政策密码学算法密码学算法密码体制分类密码体制分类密码分析与攻击密码分析与攻击常用常用VPNVPN解决方案解决方案IPSECIPSEC协议协议VPNVPN概念概念VPNVPN主要功能主要功能VPNVPN的部署的部署VPNVPN管理管理VPNVPN可靠性可靠性VPNVPN性能性能VPNVPN典型应用典型应用VPNVPN技术新探技术新探提提纲纲3加密、解密、密钥、算法诠释加密、解密、密钥、算法诠释前移2位ÍÐÐÎ后推2位zyxwvutsrqponmlkjihgfedcbabzayzxwutrnlpnljjhhffddbywxvvtussqrpqoommkkiiggeeccaIloveyouIloveyouKKnqxgnqxgaqwaqwIloveyouIloveyou加密加密解密解密算法算法密钥密钥4••三三要素：信息明文、密钥、信息密文要素：信息明文、密钥、信息密文––C=EC=Enn(K(K，，P)P)••现代密码学理论，现代密码学理论，““一切秘密存在于密钥之中一切秘密存在于密钥之中””加密密钥(K)密码算法密码算法传输或存储传输或存储AliceAliceBobBob信息加密的基本模型信息加密的基本模型信息明文信息明文(P)(P)100101101001101011110001@##$$***(&^!@#@@###$密码算法密码算法信息密文信息密文(C)(C)100101101001101011110001解密密钥(K)密码分析者密码分析者进行破译分析进行破译分析5密码学基本概念密码学基本概念密码管理政策密码管理政策密码学算法密码学算法密码体制分类密码体制分类密码分析与攻击密码分析与攻击常用常用VPNVPN解决方案解决方案IPSECIPSEC协议协议VPNVPN概念概念VPNVPN主要功能主要功能VPNVPN的部署的部署VPNVPN管理管理VPNVPN可靠性可靠性VPNVPN性能性能VPNVPN典型应用典型应用VPNVPN技术新探技术新探提提纲纲6绝密机密秘密密级的分类密级的分类7••核心密码：核心密码：用于保护传递绝密信息用于保护传递绝密信息••普通密码：普通密码：用于保护传递机密信息用于保护传递机密信息••商用密码：商用密码：用于保护传递秘密信息用于保护传递秘密信息密码的分类密码的分类8••核心密码及设备：核心密码及设备：由中共中央办公厅机要局管理由中共中央办公厅机要局管理••普通密码及设备：普通密码及设备：由中共中央办公厅机要局普密处管理由中共中央办公厅机要局普密处管理••商用密码及设备：商用密码及设备：由国家密码管理委员会办公室管理由国家密码管理委员会办公室管理密码及设备的管理机构密码及设备的管理机构9••根据：根据：••制定：制定：««密码工作条例密码工作条例»»««党政系统密码统一管理实施办法党政系统密码统一管理实施办法»»««党政系统普通密码使用管理规定党政系统普通密码使用管理规定»»««党政系统普通密码管理细则党政系统普通密码管理细则»»普通密码管理（普通密码管理（11））10••《《细则细则》》总则：总则：––密码是密码算法、密钥、密码管理程序等的统称，在密码机中密密码是密码算法、密钥、密码管理程序等的统称，在密码机中密码存贮于相应的载体上，构成实际使用的密码。码存贮于相应的载体上，构成实际使用的密码。––密码的生产、配用、更新，严格按照中共中央办公厅机要局统一密码的生产、配用、更新，严格按照中共中央办公厅机要局统一审批的范围进行。审批的范围进行。普通密码管理（普通密码管理（22））11••生产：生产：密码的编制生产，实行高度集中统一管理。非中央密码工作领导小组批密码的编制生产，实行高度集中统一管理。非中央密码工作领导小组批准的单位，不准擅自编制生产密码。（定点生产、研制、销售）准的单位，不准擅自编制生产密码。（定点生产、研制、销售）普通密码管理（普通密码管理（33））12••配发：配发：密码一律由省（区、市）机要部门、部（委、办、局、密码一律由省（区、市）机要部门、部（委、办、局、总公司）密码管理机构配发。总公司）密码管理机构配发。••装备：装备：实行报批登记制度；由中央办公厅机要局负责审批、登实行报批登记制度；由中央办公厅机要局负责审批、登记和管理；并组织统一装备订购、配发。记和管理；并组织统一装备订购、配发。普通密码管理（普通密码管理（44））13••递交：递交：密码与设备分离后单独递送，密码须经机要交通，无机要密码与设备分离后单独递送，密码须经机要交通，无机要交通的地方应有专人亲自取送。交通的地方应有专人亲自取送。••使用：使用：严格按照管理规定使用；专人负责管理；人员相对稳定；严格按照管理规定使用；专人负责管理；人员相对稳定；定期更换密钥。定期更换密钥。普通密码管理（普通密码管理（55））14••保管：保管：专人负责保管；物理上保证安全；不得随意乱放和随身携带。专人负责保管；物理上保证安全；不得随意乱放和随身携带。••销毁：销毁：事先申报，严格手续、认真核对、两人监销；销毁后及时上报、事先申报，严格手续、认真核对、两人监销；销毁后及时上报、注销。注销。普通密码管理（普通密码管理（66））15••根据根据««商用密码管理条例商用密码管理条例»»规定：规定：商用密码：指对不涉及国家秘密内容的信息进行加密保护或者安商用密码：指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。全认证所使用的密码技术和密码产品。商用密码管理（商用密码管理（11））16••指导方针：指导方针：统一领导统一领导集中管理集中管理定点研制定点研制专控经营专控经营满足使用满足使用商用密码管理（商用密码管理（22））17••总则：总则：商用密码技术属于国家秘密，国家对商用密码产品的科研、生产商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理。、销售和使用实行专控管理。国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家密码管理委员会及其办公室主管全国的商用密码管理工作。商用密码管理（商用密码管理（33））18••科研生产管理：科研生产管理：由国家密码管理机构指定单位承担，未经指定，任何单位由国家密码管理机构指定单位承担，未经指定，任何单位或者个人不得生产商用密码产品。或者个人不得生产商用密码产品。商用密码管理（商用密码管理（44））19••销售管理：销售管理：商用密码产品由国家密码管理机构许可的单位销售。未经许可，商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。任何单位或者个人不得销售商用密码产品。进口密码产品以及含有密码技术的设备或者出口商用密码产品，进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。密码产品。商用密码管理（商用密码管理（55））20••使用管理：使用管理：任何单位或者个人只能使用经国家密码管理机构认可的商用密码任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。产品，不得使用自行研制的或者境外生产的密码产品。商用密码产品的维修必须由国家密码管理机构指定的单位维修。商用密码产品的维修必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品，应向国家密码管理机构备案。报废、销毁商用密码产品，应向国家密码管理机构备案。商用密码管理（商用密码管理（66））21••安全、保密管理：安全、保密管理：从事商用密码产品的科研、生产和销售以及使用的单位和人员有从事商用密码产品的科研、生产和销售以及使用的单位和人员有承担保密义务。承担保密义务。宣传、公开展览商用密码产品，必须事先报国家密码管理机构批宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准。准。商用密码管理（商用密码管理（77））22绝密信息绝密信息机密信息机密信息秘密信息秘密信息核心密码核心密码普通密码普通密码商用密码商用密码中共中央办公厅机要局中共中央办公厅机要局中共中央办公厅机要局普密处中共中央办公厅机要局普密处国家密码管理委员会办公室国家密码管理委员会办公室小节小节23密码学基本概念密码学基本概念密码管理政策密码管理政策密码学算法密码学算法密码体制分类密码体制分类密码分析与攻击密码分析与攻击常用常用VPNVPN解决方案解决方案IPSECIPSEC协议协议VPNVPN概念概念VPNVPN主要功能主要功能VPNVPN的部署的部署VPNVPN管理管理VPNVPN可靠性可靠性VPNVPN性能性能VPNVPN典型应用典型应用VPNVPN技术新探技术新探提提纲纲24••XuejiaXuejiaLaiLai和和JamesMasseyJamesMassey提出；提出；••IDEAIDEA是对称、分组密码算法，输入明文为是对称、分组密码算法，输入明文为6464位，密钥为位，密钥为128128位，生成的密文为位，生成的密文为6464位；位；••IDEAIDEA是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用((尽管该算法已被证明尽管该算法已被证明可对抗差分分析和线性分析可对抗差分分析和线性分析))；；••IDEAIDEA是一种专利算法是一种专利算法((在欧洲和美国在欧洲和美国))，专利由，专利由AscomAscom--TechAGTechAG拥有拥有;;••PGPPGP中已实现了中已实现了IDEAIDEA；；IDEAIDEA算法介绍算法介绍密钥(K)=128位密码算法密码算法信息明文信息明文(P)=64(P)=64位位100101101001101011110001@##$$***(&^!@#@@###$信息密文信息密文(C)=64(C)=64位位25••RCRC系列是系列是RonRonRivestRivest为为RSARSA公司设计的一系列密码：公司设计的一系列密码：––RC1RC1从未被公开，以致于许多人们称其只出现在从未被公开，以致于许多人们称其只出现在RivestRivest的记事本上；的记事本上；––RC2RC2是变长密钥加密密法；是变长密钥加密密法；(RC3(RC3在设计过程中在在设计过程中在RSADSIRSADSI内被攻破内被攻破););––RC4RC4是是RivestRivest在在19871987年设计的变长密钥的序列密码；年设计的变长密钥的序列密码；––RC5RC5是是RivestRivest在在19941994年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法；年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法；••DES(56),RC5DES(56),RC5--32/12/5,RC532/12/5,RC5--32/12/6,RC32/12/6,RC--32/12/732/12/7已分别在已分别在19971997年被破译；年被破译；RCRC系列系列算法介绍算法介绍26••DESDES是第一个得到广泛应用的密码算法；是第一个得到广泛应用的密码算法；••DESDES是一种分组加密算法，输入的明文为是一种分组加密算法，输入的明文为6464位，密钥为位，密钥为5656位，生成的密文为位，生成的密文为6464位；位；••DESDES是一种对称密码算法，源于是一种对称密码算法，源于LuciferLucifer算法，其中采用了算法，其中采用了FeistelFeistel网络网络((FeistelFeistelNetwork)Network)，即，即••DESDES已经过时，基本上认为不再安全；已经过时，基本上认为不再安全；://dir.yahoo.com/Computers_and_Internet