计算机学习网-【computerpx】

招生咨询电话与微信:15225191462(周老师)
计算机学习网,我命由我不由天,学IT技术,做更好的自己

首页 > 电脑教程/ 正文

虚拟专用网详细介绍

2014-05-17 16:21:23 www.computerpx.com

  6.8.1虚拟专用网的工作原理

    所谓虚拟专用网(Virtual Private Network, VPN ),就是建立在公用网上的、由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP提供的公用网络来实现通信的,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。这里讲的VPN是指在Internet上建立的、由用户(组织或个人)自行管理的VPN,而不涉及一般电信网中的VPN。后者一般是指X.25、帧中继或ATM虚拟专用线路。

    Internet本质上是一个开放的网络,没有任何安全措施可言。随着Internet应用的扩展,很多要求安全和保密的业务需要通过Internet实现,这一需求促进了VPN技术的发展。各个国际组织和企业都在研究和开发VPN的理论、技术、协议、系统和服务。实际应用中要根据具体情况选用适当的VPN技术。

    实现VPN的关键技术主要有如下几种。

    (1)隧道技术(Tunneling)。隧道技术是一种通过使用因特网基础设施在网络之间传递数据的方式。隧道协议将其他协议的数据包重新封装在新的包头中发送。新的包头提供了路由信

息,从而使封装的负载数据能够通过因特网传递。在Internet上建立隧道可以在不同的协议层实现,例如数据链路层、网络层或传输层,这是VPN特有的技术。

    (2)加解密技术(Encryption & Decryption). VPN可以利用已有的加解密技术实现保密通

信,保证公司业务和个人通信的安全。

    (3)密钥管理技术(Key Management)。建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和跟踪,以及验证密钥的真实性等。

    (4)身份认证技术(Authentication)。加入VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡来实现用户的身份认证。

    VPN的解决方案有以下三种,可以根据具体情况选择使用。

    (1)内联网VPN (Intranet VPN )。企业内部虚拟专用网也叫内联网VPN,用于实现企业内部各个LAN之间的安全互联。传统的LAN互联采用租用专线的方式,这种实现方式费用昂贵,只有大型企业才能负担得起。如果企业内部各分支机构之间要实现互联,可以在Internet上组建世界范围内的Intranet VPN,利用Internet的通信线路保证网络的互联互通,利用隧道、加密和认证等技术保证信息在Intranet内安全传输。如图6-14所示。

虚拟专用网详细介绍

    (2)外联网VPN (Extranet VPN )。企业外部虚拟专用网也叫外联网VPN,用于实现企业

与客户、供应商和其他相关团体之间的互联互通。当然,客户也可以通过Web访问企业客户资源,但是外联网VPN方式可以方便地提供接入控制和身份认证机制,动态地提供公司业务和数据的访问权限。一般来说,如果公司提供B2B之间的安全访问服务,则可以考虑与相关企业建立Extranet VPN连接。如图6-15所示。

    (3)远程接入VPN (Access VPN )。解决远程用户访问企业内部网络的传统方法是采用长途拨号方式接入企业的网络访问服务器(NAS )。这种访问方式的缺点是通信成本高,必须支付价格不菲的长途电话费,而且NAS和调制解调器的设备费用,以及租用接入线路的费用也是一笔很大的开销。采用远程接入VPN就可以省去这些费用。如果企业内部人员有移动或远程办公的需要,或者商家要提供B2C的安全访问服务,可以采用Access VPN o

    Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时随地以其所需的方式访问企业内部的网络资源,最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接,如图6-16所示。


虚拟专用网详细介绍

    6.8.2第二层隧道协议

    虚拟专用网可以通过第二层隧道协议实现,这些隧道协议(例如PPTPL2TP)都是把数据封装在点对点协议(PPP)的帧中在因特网上传输的,创建隧道的过程类似于在通信双方之间建立会话的过程,需要就地址分配,加密、认证和压缩参数等进行协商,隧道建立后才进行数据传输。下面介绍PPP协议和常用的第二层隧道协议。

1 .PPP协议

    PPP协议(Point-to-Point Protocol)可以在点对点链路上传输多种上层协议的数据包。PPP是数据链路层协议,最早是替代SL『协议用来在同步链路上封装IP数据报的,后来也可以承载诸如DECnet, Novell IPX, Apple Talk等协议的分组。PPP是一组协议,包含下列成分。

    (1)封装协议。用于包装各种上层协议的数据报。PPP封装协议提供了在同一链路上传输各种网络层协议的多路复用功能,也能与各种常见的支持硬件保持兼容.封装协议的格式如图6-17所示。

虚拟专用网详细介绍

    (2)链路控制协议(Link Control Protocol, LCP )。通过以下三类LCP分组来建立、配置

和管理数据链路连接。

    链路配置分组。用于建立和配置链路,包括Configure-Request, Configure-Ack Configure-NakConfigure-Reject4种分组。

    链路终结分组。用于终止链路,包括Terminate-RequestTerminate-Ack两种分组.

    链路维护分组。用于链路管理和排错,包括Code-Reject, Protocol-Reject, Echo-Request, Echo-ReplyDiscard-Request5种分组。

    (3)网络控制协议。在PPP的链路建立过程中的最后阶段将选择承载的网络层协议,例如IP, IPXAppleTalk等。PPP只传送选定的网络层分组,任何没有入选的网络层分组将被丢弃。

    PPP拨号过程可以分成以下三个阶段(如图6-18所示)

虚拟专用网详细介绍

    (1)链路建立PPP通过链路控制协议建立、维护或终止逻辑连接。在这个阶段,将对通信方式(数据压缩加密以及认证协议的参数等)进行协商。

 

    {2)用户认证。在这个阶段,客户端将自己的身份证明发送给网络接入服务器进行身份认证。如果认证失败,连接被终止。在这一阶段里,只传送链路控制协议、认证协议和链路质量监视协议的分组,其他分组均被丢弃.最常用的认证协议有PAPCHAP两种。

口令认证协议(Password Authentication Protocol, PAP)。是一种简单的明文认证方式。

用户向NAS提供用户名和口令,如果认证成功,NAS向用户返回应答信息。这个过程可能重复多次才能完成。显然,这种认证方式是不安全的。

    挑战一握手验证协议(Challenge Handshake Authentication Protocol, CHAP).这是一种3次握手认证协议,并不传送用户密码,而是传送由用户密码生成的散列值。首先由

        NAS向远端用户发送一个挑战口令,其中包括会话ID和一个任意的挑战字串(用于防止重放攻击)。客户端返回经过MD5加密的会话ID、挑战字符串和用户口令,用户名则以明文方式发送,如图6-19所示。NAS根据认证服务器中的数据对收集到的用户数据进行有效性验证,如果认证成功,NAS返回肯定应答,连接建立;如果认证失败,连接终止。在后续的数据传送阶段,还可能随机地进行多次认证,以减少被攻击的时间。虽然这种认证只是由服务器端对客户端的单向认证,但是也可以应用在双向认证中。

虚拟专用网详细介绍

    (3)调用网络层协议。认证阶段完成之后,PPP将调用在链路建立阶段选定的网络控制协议。例如,如果选定IP控制协议(IPCP ),则可以向拨入用户分配动态IP地址并就IP头的压缩进行协商。这样,经过三个阶段以后,一条完整的PPP链路就建立起来了。

    一旦完成上述三个阶段,PPP就开始在连接双方之间转发数据,每个被传送的数据报都被封装在PPP包头内。如果在阶段一选择了数据压缩,数据将会在被传送之前进行压缩。类似的,如果己经选择使用数据加密,数据将会在传送之前进行加密。

2.点对点隧道协议(PPTP)

    PPTP (Point-to-Point Tunneling Protocol)是由Microsoft. Ascend. 3ComECI等公司组成的PPTP论坛在1996年定义的第2层隧道协议。PPTP定义了由PACPNS组成的客户端/服务器结构,从而把NAS的功能分解给这两个逻辑设备,以支持虚拟专用网。传统网络接入服务器(NAS)根据用户的需要提供PSTNISDN的点对点拨号接入服务,它具有下列功能。

    (1)通过本地物理接口连接PSTNISDN,控制外部Modem或终端适配器的拨号操作。

    (2)作为PPP链路控制协议的会话终端。

    (3)参与PPP认证过程。

    (4)对多个PPP信道进行集中管理。

    (5)作为PPP网络控制协议的会话终端。

    (6)在各接口之间进行多协议的路由和桥接。

    PPTP论坛定义了以下两种逻辑设备。

    PPTP接入集中器(PPTP Access Concentrator, PAC)。可以连接一条或多条PSTN

    ISDN拨号线路,能够进行PPP操作,并且能处理PPTP协议。PAC可以与一个或多个PNS实现TCP/IP通信,或者通过隧道传送其他协议的数据。

    PPTP网络服务器(PPTP Network Server, PNS )。建立在通用服务器平台上的PPTP        服务器,运行TCPIIP协议,可以使用任何LANWAN接口硬件实现。

    PAC是负责接入的客户端设备,必须实现NAS(1), (2)两项功能,也可能实现第(3)项功能;PNSISP提供的接入服务器,可以实现NAS的第(3)项功能,但必须实现(4),(S), (6)项功能;PPTP则是在PACPNS之间对拨入的电路交换呼叫进行控制和管理,并传送PPP数据的协议。

    PPTP协议只是在PACPNS之间实现,与其他任何设备无关,连接到PAC的拨号网络也与PPTP无关,标准的PPP客户端软件仍然可以在PPP链路上进行操作。

在一对PACPNS之间必须建立两条并行的PPTP连接,一条是运行在TCP协议上的控制连接,一条是传输PPP协议数据单元的IP隧道。控制连接可以由PNSPAC发起建立。PNSPAC在建立TCP连接之后就通过Start-Control-Connection-RequestStart-Control-Connection-Reply报文来建立控制连接,这些报文也用来交换有关PACPNS操作能力的数据。控制连接的管理、维护和释放也是通过交换类似的控制报文实现的。

    控制连接必须在PPP隧道之前建立。在每一对PAC-PNS之间,隧道连接和控制连接同时存在。控制连接的功能是建立、管理和释放PPP隧道,同时控制连接也是PACPNS之间交换呼叫信息的通路。

    PPP分组必须先经过GRE封装后才能在PAC-PNS之间的隧道中传送。GRE (GenericRouting Encapsulation)是在一种网络层协议上封装另外一种网络层协议的协议。GRE封装协议经过了加密处理,所以VPN之外的设备无法探测其中的内容。对PPP分组封装和传送的过程如图6-20所示,其中的RRAS相当于PACPNS, PPP桩是经过加密的PPP头。可以看出,负载数据在本地和远程LAN中都是通过IP协议明文传送的,只有在VPN中进行了加密和封装。

    PPTP协议的分组头结构如图6-21所示。

虚拟专用网详细介绍 

    2层隧道协议

    2层隧道协议(Layer 2 Tunneling Protocol, L2TP)用于把各种拨号服务集成到ISP的服务提供点。PPP定义了一种封装机制,可以在点对点链路上传输多种协议的分组。通常用户利用各种拨号方式(例如POTS. ISDNADSL)接入NAS,然后通过第二层连接运行PPP协议。这样,第二层连接端点和PPP会话端点都在同一个NAS设备中。

    L2TP扩展了PPP模型,允许第二层连接端点和PPP会话端点驻在由分组交换网连接的不同设备中。在L2TP模型中,用户通过第二层连接访问集中器(例如Modem. ADSL等设备),而集中器则把PPP帧通过隧道传送给NAS。这样就可以把PPP分组的处理与第二层端点的功能分离开来。这样做的好处是NAS不再具有第二层端点的功能,第二层连接在本地集中器终止,从而把逻辑的PPP会话扩展到了帧中继或Internet这样的公共网络上。从用户的观点看,使用L2TP与通过第二层接入NAS并没有区别。

L2TP报文分为控制报文和数据报文。控制报文用于建立、维护和释放隧道和呼叫:数据报文用于封装PPP帧,以便在隧道中传送.控制报文使用了可靠的控制信道以保证提交,数据报文被丢失后不再重传。L2TP的分组头结构如图6-22所示。

IP网上使用UDP和一系列的L2TP消息对隧道进行维护,同时使用UDPL2TP封装的PPP帧通过隧道发送.可以对封装的PPP帧中的负载数据进行加密或压缩。图6-23所示为如何在传输之前组装一个L2TP数据包。

虚拟专用网详细介绍

4. PPTPL2TP的比较

    PPTPL2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的区别。

    (1) PPTP要求因特网络为IP网络,L2TP只要求隧道媒介提供面向数据包的点对点连接。L2TP可以在IP(使用UDP )、帧中继永久虚拟电路((PVCs)X.25虚电路(VCS)ATM网络上使用。

    (2)PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多个隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。

    (3) L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而在PPTP协议下要占用6个字节。

(4)L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是,当L2TPPPTPIPSec共同使用时,可以由IPSec提供隧道验证,不需要在第2层协议上验证隧道。

6.8.3 IPSec

    IPSec (EP Security)IETF定义的一组协议,用于增强EP网络的安全性。IPSec协议集

提供了下面的安全服务。

    数据完整性(Data Integrity)。保持数据的一致性,防止未授权地生成、修改或删除数据。

    认证(Authentication).保证接收的数据与发送的相同,保证实际发送者就是声称的发送者。

    保密性(Confidentiality).传输的数据是经过加密的,只有预定的接收者知道发送的内容。

    应用透明的安全性(Application-transparent Security). IPSec的安全头插入在标准的IP 头和上层协议(例如TCP )之间,任何网络服务和网络应用可以不经修改地从标准IP转向〕Sec同时IPSec通信也可以透明地通过现有的IP路由器。

    IPsec的摊可以划分为下面三类。

    .认证头(Authentication Header, AH ):用于数据完整性认证和数据源认证。

    封装安全负荷(Encapsulating Security Payload, ESP):提供数据保密性和数据完整性认证,ESP也包括了防止重放攻击的顺序号。

    Internet密钥交换协议(Internet Key Exchange, IKE ):用于生成和分发在ESPAH中使用的密钥,11 114 z也对远程系统进行初始认证。

    1.认证头

    IPSec认证头提供了数据完整性和数据源认证,但是不提供保密服务。AH包含了对称密钥的散列函数,使得第三方无法修改传输中的数据。IPSec支持下面的认证算法。

HMAC-SHA1 (Hashed Message Authentication Code-Secure Hash Algorithm 1)128位密钥。

    HMAC-MD5 (HMAC-Message Digest 5)160位密钥。

    IPSec有两种模式:传输模式和隧道模式.在传输模式中,IPSec认证头插入原来的IP头之后(如图6-24所示)IP数据和IP头用来计算AH认证值。EP头中的变化字段(例如跳步计数和TM字段)在计算之前置为0,所以变化字段实际上并没有被认证。

    HMAC-MD5 (HMAC-Message Digest 5)160位密钥。

IPSec有两种模式:传输模式和隧道模式。在传输模式中,IPSec认证头插入原来的〕头之后(如图6-24所示)IP数据和IP头用来计算AH认证值。EP头中的变化字段(例如跳步计数和TTL字段)在计算之前置为0,所以变化字段实际上并没有被认证。

    在隧道模式中,IPSec用新的IP头封装了原来的IP数据报(包括原来的IP),原来IP

数据报的所有字段都经过了认证,如图6-25所示。

虚拟专用网详细介绍

    2.封装安全负荷

    IPSec封装安全负荷提供了数据加密功能。ESP利用对称密钥对IP数据(例如TCP)进行加密,支持的加密算法如下。

    (1)DES-CBC (Data Encryption Standard Cipher Block Chaining Mode), 56位密钥。

    (2) 3DES-CBC(三重DES CBC ), 56位密钥。

    (3)AES 128-CBC(Advanced Encryption Standard CBC)128位密钥。

    在传输模式,IP头没有加密,只对IP数据进行了加密,如图6-26所示。

在隧道模式,IPSec对原来的IP数据报进行了封装和加密,加上了新的企头,如图6-27所示。如果ESP用在网关中,外层的未加密IP头包含网关的IP地址,而内层加密了的IP头则包含真实的源和目标地址。这样可以防止偷听者分析源和目标之间的通信量。

虚拟专用网详细介绍

3.带认证的封装安全负荷

    ESP加密算法本身没有提供认证功能,不能保证数据的完整性。但是带认证的ESP可以提供数据完整性服务。有如下两种方法可提供认证功能。

    (1)带认证的ESP. IPSec使用第一个对称密钥对负荷进行加密,然后使用第二个对称密钥对经过加密的数据计算认证值,并将其附加在分组之后,如图6-28所示。

    (2)AH中嵌套ESP. ESP分组可以嵌套在AH分组中,例如一个3DES-CBC ESP分组可以嵌套在HMAC-MD5分组中,如图6-29所示。

4. Internet密钥交换协议

IPSec传送认证或加密的数据之前,必须就协议、加密算法和使用的密钥进行协商。密钥交换协议提供这个功能,并且在密钥交换之前还要对远程系统进行初始的认证。if ;i0实际上是ISAKMP(Internet Security Association and Key Management Protocol)OakleySKEME(Versatile Secure Key Exchange Mechanism for Internet protocol)这三个协议的混合体。ISAKMP提供了认证和密钥交换的框架,但是没有给出具体地定义,Oakley描述了密钥交换的模式,而SKEME定义了密钥交换技术。


虚拟专用网详细介绍

    密钥交换之前先要建立安全关联(Security Association, SA).SA是由一系列参数(例如加密算法、密钥和生命期等)定义的安全信道。在ISAKMP中,通过两个协商阶段来建立SA,这种方法被称为Oakley模式。建立SA的过程如下。

    (1)ISAKMP第一阶段(Main Mode, MM).

    ①协商和建立ISAKMP SA。两个系统根据D-H算法生成对称密钥,后续的IKE通信都使用该密钥加密。

    ②验证远程系统的标识(初始认证)

    (2) ISAKMP第二阶段(Quick Mode, QM)。使用由ISAKMP/MM SA提供的安全信道协商一个或多个用于IPSec通信(AHESP)SA。通常在第二阶段至少要建立两条SA,一条用于发送数据,一条用于接收数据。如图6-30所示。

6.8.4安全套接层

    安全套接层(Secure Socket Layer SSL)Netscape1994年开发的传输层安全协议,

用于实现Web安全通信。1996年发布的SSL 3.0协议草案已经成为一个事实上的Web安全标准。1999年,。推出了传输层安全标准(Transport Layer Security;TLS) [RFC2246],对SSL

进行了改进,希望成为正式标准。SSLJTLS已经在Netscape NavigatorInternet Explorer中得到了广泛应用。下面介绍SSL3.0的主要内容。

    SSL的基本目标是实现两个应用实体之间安全可靠的通信。SSL协议分为两层,底层是SSL记录协议,运行在传输层协议TCP之上,用于封装各种上层协议。一种被封装的上层协议是SSL握手协议,由服务器和客户端用来进行身份认证,并且协商通信中使用的加密算法和密钥。SSL协议栈如图6-31所示。

虚拟专用网详细介绍

    SSL对应用层是独立的,这是它的优点,高层协议都可以透明地运行在SSL协议之上。SSL提供的安全连接具有以下特性。

    (1)连接是保密的。用握手协议定义了对称密钥(例如DES, RC4)之后,所有通信都被加密传送。

    (2)对等实体可以利用对称密钥算法(例如RSA, DSS)相互认证。

    (3)连接是可靠的。报文传输期间利用安全散列函数(例如SHA, MD5)进行数据完整性检验。

    SSLIPSec各有特点。SSL VPNIPSec VPN一样,都使用RSAD-H握手协议来建立秘密隧道。SSLIPSe。都使用了预加密、数据完整性和身份认证技术,例如3-DES, 128位的RC4. ASE. MD5SHA-1等。两种协议的区别是,IPSec VPN是在网络层建立安全隧道,适用于建立固定的虚拟专用网,而SSL的安全连接是通过应用层的Web连接建立的,更适合移动用户远程访问公司的虚拟专用网,原因如下。

    (1) SSL不必下载到访问公司资源的设备上。

    (2) SSL不需要端用户进行复杂的配置。

    (3)只要有标准的Web浏览器,就可以利用SSL进行安全通信。

SSL/TLSWeb安全通信中被称为HTTPS. SSL/TLS也可以用在其他非Web的应用(例如SMTP. LDAP, POP. D4APTELNET)中。在虚拟专用网中,SSL可以承载TCP通信,也可以承载UDP通信。由于SSL工作在传输层,所以SSL VPN的控制更加灵活,既可以对传输层进行访问控制,也可以对应用层进行访问控制。

  1.会话和连接状态

    SSL会话有不同的状态。SSL握手协议负责调整客户端和服务器的会话状态,使其能够协调一致地进行操作.一个SSL会话可能包含多个安全连接,两个对等实体之间可以同时建立多个SSL会话。

    SSL会话状态由下列成分决定:会话标识符、对方的X.509证书、数据压缩方法列表、密码列表、计算MAC的主密钥以及用于说明是否可以启动另外一个会话的恢复标识。

    SSL连接状态由下列成分决定:服务器和客户端的随机数序列、服务器/客户端的认证密钥、服务器/客户端的加/解密密钥、用于CBC加密的初始化矢量(IV)以及发送/接收报文的顺序号等。

    2.记录协议

    SSL记录层首先把上层的数据划分成21‘字节的段,然后进行无损压缩(任选)、计算MAC并且进行加密,最后才发送出去。

    3.改变密码协议(change cipher spec protocol)

    这个协议用于改变安全策略。改变密码报文由客户端或服务器发送,用于通知对方后续的记录将采用新的密码列表。

4.替告协议

    SSL记录层对当前传输中的错误可以发出警告,使得当前的会话失效,避免再产生新的会话。普告报文是经过压缩和加密传送的。警告的类型分为关闭连接答告和错误警告(包括非预期的报文、MAC出错、解压缩失败、握手协商失败、没有合法的证书、证书损坏、不支持的证书、吊销的证书、过期的证书、未知的证书和无效参数等错误)

5.握手协议

    会话状态的密码参数是在SSL握手阶段产生的。当SSL客户端和服务器开始通信时,它们将就协议版本、加密算法和认证方案,以及产生共享密钥的公钥加密技术进行协商。这个过程可以描述如下(如图6-32所示)

    (1)客户端发送hell。报文,服务器也以hello报文回答。客户端和服务器在这两个报文中对协议版本、会话ID、加密方案和压缩方法进行协商,另外还产生了两个随机数(ClientHello.andomServerHello.random )

    (2)服务器发送自己的数字证书(Certificate)和密钥交换报文((ServerKeyExchange )。如

果要对客户端进行身份认证,还必须请求客户端发送它的数字证书(CertificateRequest)。最后服务器发送hello done报文,表示结束这个会话阶段。

    如果服务器发送了证书请求报文,客户端要以自己的证书报文或证书瞥告应答。在客户端发送的密钥交换报文(ClientKeyExchange)中,必须根据hello阶段协商的结果选择公钥算法.另外,客户端还可能发送自己证书的签名信息(CertificateVeri)

(3)由客户端发送改变密码(change cipher spec)报文,并以Finished报文(包含新的算法、密码列表和密钥)结束。服务器的响应是发送自己的改变密码报文和Finished(包含新的密码列表)。这样握手过程就完成了。

虚拟专用网详细介绍

    6.密钥交换算法

    通信中使用的加密和认证方案是由密码列表(cipher suite)决定的,而密码列表则是由服务器通过hello报文进行选择的。

    在握手协议中采用非对称算法来认证对方和生成共享密钥。有RSA, Difie-HellmanFortezza三种算法可供选用。

    使用RSA进行服务器认证和密钥交换时,由客户端生成48字节的前主密钥值(premaster secret),用服务器的公钥加密后发送出去。服务器用自己的私钥解密,得到前主密钥值。然后双方都把前主密钥值转换成主密钥(用于认证),并删去原来的前主密钥值。

    Diffie-Heliman算法如图.6-33所示,在服务器的数字证书中含有参数(Pg),协商的秘密值k作为前主密钥值,然后转换成主密钥。

虚拟专用网详细介绍

    Fortezza来源于意大利文fortress,是“堡垒”或“要塞”的意思。这是美国NSA使用的一种安全产品,包括一个加密卡和护身符软件Talisman,可以用于加密计算机中的文件。当前Fortezza主要用于加密电子邮件、数字蜂窝电话、Web浏览器和数据库等。MicrosoftWindows2000浏览器和IIS都支持Fortezza加密。

    Fortezza国防报文系统(Defense Message System, DMS )中,客户端首先使用服务器证书中的公钥和自己令牌中的秘密参数计算出令牌加密密钥(Token Encryption Key, TEK),然后把公开参数发送给服务器,由服务器根据自己的私有参数生成TEK。最后客户端生成会话密钥,并用TEK包装后发送给服务器。


Tags:郑州北大青鸟是什么性质的学校,郑州北大青鸟的学生好就业吗,郑州北大青鸟职业教育怎么样呢,郑州软件编程学校哪家好,北大青鸟郑州校区详细地址怎么去,郑州计算机技术专业学校哪家好

郑州北大青鸟计算机专业学校
郑州北大青鸟计算机专业学校介绍
郑州北大青鸟计算机专业学校专业设置
郑州北大青鸟计算机专业学校招生要求
郑州北大青鸟计算机专业学校校园活动
郑州北大青鸟计算机专业学校就业保障
搜索
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
热门标签
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
  • QQ交谈