VPN中常見的身份認證方法?各位小夥伴們:大家好,好久沒有見面了在全國抗擊新冠肺炎疫情的大背景下,各行各業有序複工的情況下,相信很多小夥伴都在家采用VPN的方式遠程連接公司網絡進行辦公也許很多小夥伴們會産生疑問:我們用這種通過互聯網遠程接入公司網絡的辦公方式安全嗎?那麼今天就和大家一起聊聊VPN中常見的身份認證方法和工作原理,今天小編就來說說關于VPN中常見的身份認證方法?下面更多詳細答案一起來看看吧!
VPN中常見的身份認證方法
各位小夥伴們:大家好,好久沒有見面了!在全國抗擊新冠肺炎疫情的大背景下,各行各業有序複工的情況下,相信很多小夥伴都在家采用VPN的方式遠程連接公司網絡進行辦公。也許很多小夥伴們會産生疑問:我們用這種通過互聯網遠程接入公司網絡的辦公方式安全嗎?那麼今天就和大家一起聊聊VPN中常見的身份認證方法和工作原理。
1.加密工作原理及方法
加密有兩種方法:對稱密鑰和非對稱密鑰;首先我們先一起看看對稱密鑰加密方法和原理。
方法一:對稱密鑰加密:加密和解密都用相同的密鑰;其工作原理如下:(甲與乙要事先協商好對稱密鑰)
第一步:甲使用對稱密鑰對明文進行加密,并将密文發送給乙。
第二步:乙收到密文後,用相同的對稱密鑰進行解密,還原出明文。
該方式的優點:效率高,算法簡單,系統開銷小,适合加密大量數據。
該方式的缺點:安全性差因為在進行通信前需要雙方以安全方式進行密鑰交換,其次是擴展性差,需要在每對通信的用戶之間都需要協商交換密鑰,不便于管理。
方法二:非對稱密鑰加密(也稱公鑰加密):所謂非對稱密鑰加密是指加密和解密用不同的密鑰,其中一個稱之為公鑰(可以對外公開,通常用于加密數據)另一個稱之為私鑰,是不能對外公布的,通常用于數據解密。而且公/私鑰必須成對使用,也就是說用其中一個密鑰加密數據必須用與其配對的另一個密鑰解密數據。這樣用公鑰加密的數據即使被人非法截取了,因為他沒有與之配對的私鑰(僅發送發自己擁有)也不能對數據進行解密,從而确保數據安全。;其工作過程如下:(甲要事先獲得乙的公鑰)
第一步:甲使用乙的公鑰對明文進行加密,并将密文發送給乙;
第二部:乙收到密文後,用自己的私鑰對密文進行解密獲得明文;
該方法的優點:公鑰加密的信息隻能用同一方的私鑰進行解密,而且加密和解密用的是不同的密鑰,安全性高;
該方法的缺點:算法複雜,加密大量數據用時長,而且加密的報文比較大,容易造成分片,不利于網上傳輸。
2.數字信封工作原理
數字信封是指發送方使用接收方的公鑰來加密對稱密鑰後所得的數據,其目的是用來确保對稱密鑰傳輸的安全性。采用數字信封,接收方需要使用自己的私鑰才能打開數字信封得到對稱公鑰;數字信封的加密/解密過程如下:(甲事先需要獲得乙的公鑰)
第一步:甲使用對稱密鑰對明文進行加密,形成密文。
第二步:甲使用乙的公鑰加密對稱密鑰,生成數字信封。
第三步:甲将數字信封和密文一起發送給乙。
第四步:乙收到信息後,用自己的私鑰解密數字信封,獲得對稱密鑰;
第五步:乙使用對稱密鑰對密文進行解密,得到明文。
該方法的優點:從以上過程來看,數字信封技術結合了對稱密鑰加密和公鑰加密的優點,解決了對稱密鑰發布的安全問題和公鑰加密速度慢的問題,提高了安全性和擴展性。
該方法的缺點:無法确保信息是來自真正的對方;如果攻擊者攔截了甲發給乙的信息,用自己的對稱密鑰加密一份僞造的信息,并用乙的公鑰(假設攻擊者已獲知了乙對外公布的公鑰)加密攻擊者自己的對稱密鑰,生成數字信封。然後把僞造的數字信封和僞造的信息一起發送給乙,乙方收到僞造的信息後,用自己的私用解密數字信封獲得對稱密鑰(這是攻擊者的對稱密鑰),再利用這個對稱密鑰解密僞造的加密信息,得到明文,這樣一來,乙方始終認為這份本來是攻擊者僞造的信息就是甲發送來的信息,這樣會損失嚴重,萬一攻擊者僞造了一份甲方的招标文件呢,乙方收到後是不會有絲毫察覺的。那麼,該如何解決呢?此時需要一種方法确保接收方收到的信息就是指定的發送方發送的,這就需要用到數字簽名技術。
3.數字簽名工作原理
數字簽名是指發送方用自己的私鑰對數字指紋進行加密後所得的數據,其中包括非對稱密鑰加密和數字簽名兩個過程。這樣即可以給數據加密的同時,也可以驗證發送方身份的合法性。采用數字簽名時,接收方需要使用發送方的公鑰才能解開數字簽名得到數字指紋。
數字指紋又稱信息摘要,是指發送方通過哈希算法對明文信息計算後得到的數據。
數字簽名的過程如下:(甲也要事先獲得乙的公鑰,乙也要事先獲得甲的公鑰)
第一步:甲使用乙的公鑰對明文進行加密,生成密文信息。
第二步:甲使用哈希算法對明文進行哈希運算,生成數字指紋。
第三步:甲使用自己的私鑰對數字指紋進行加密,生成數字簽名。
第四步:甲将密文信息和數字簽名一起發送給乙;
第五步:乙使用甲的公鑰對數字簽名進行解密,獲得數字指紋。
第六步:乙接收到甲發的密文後,用自己的私鑰解密,獲得明文。
第七步:乙使用哈希算法對還原的明文用與甲所使用的相同的哈希算法進行哈希運算,生成數字指紋,然後乙将生成的數字指紋與從甲得到的數字指紋(解密數字簽名後得到的)進行對比,如果一緻,乙接受明文;不一緻,乙丢棄明文。
該方法的優點:數字簽名技術不但證明了信息未被篡改,還證明了發送方的身份。
該方法的缺點:獲取對方的公鑰可能會被篡改,并且無法發現。此時需要一種方法确保一個特定的公鑰屬于一個特定的擁有者,這就需要用到數字證書技術。
數字證書實際上是存于計算機上的一個記錄,是由CA(證書頒發機構)簽發的一個聲明:證明證書主體與證書所包含的公鑰的唯一關系。這樣用戶接收到其他用戶的公鑰數字證書時可以在證書頒發機構查詢,驗證。
好了,小夥伴們今天就暫時分享這些吧!當然在實際VPN環境中身份認證和算法更加複雜,但都是基于以上技術,隻不過是将這些技術組合應用而已;當然還有好多VPN隧道技術來保障數據傳輸的安全性!最後請大家關注實驗筆記,實驗筆記就是你身邊的學習筆記!
祝我們偉大的祖國在這次抗擊新冠肺炎疫情中取得偉大的勝利!中國加油!武漢加油!
,