各位小伙伴们:大家好,好久没有见面了在全国抗击新冠肺炎疫情的大背景下,各行各业有序复工的情况下,相信很多小伙伴都在家采用VPN的方式远程连接公司网络进行办公也许很多小伙伴们会产生疑问:我们用这种通过互联网远程接入公司网络的办公方式安全吗?那么今天就和大家一起聊聊VPN中常见的身份认证方法和工作原理,今天小编就来说说关于VPN中常见的身份认证方法?下面更多详细答案一起来看看吧!

VPN中常见的身份认证方法(VPN中常见的身份认证方法)

VPN中常见的身份认证方法

各位小伙伴们:大家好,好久没有见面了!在全国抗击新冠肺炎疫情的大背景下,各行各业有序复工的情况下,相信很多小伙伴都在家采用VPN的方式远程连接公司网络进行办公。也许很多小伙伴们会产生疑问:我们用这种通过互联网远程接入公司网络的办公方式安全吗?那么今天就和大家一起聊聊VPN中常见的身份认证方法和工作原理。

1.加密工作原理及方法

加密有两种方法:对称密钥和非对称密钥;首先我们先一起看看对称密钥加密方法和原理。

方法一:对称密钥加密:加密和解密都用相同的密钥;其工作原理如下:(甲与乙要事先协商好对称密钥)

第一步:甲使用对称密钥对明文进行加密,并将密文发送给乙。

第二步:乙收到密文后,用相同的对称密钥进行解密,还原出明文。

该方式的优点:效率高,算法简单,系统开销小,适合加密大量数据。

该方式的缺点:安全性差因为在进行通信前需要双方以安全方式进行密钥交换,其次是扩展性差,需要在每对通信的用户之间都需要协商交换密钥,不便于管理。

方法二:非对称密钥加密(也称公钥加密):所谓非对称密钥加密是指加密和解密用不同的密钥,其中一个称之为公钥(可以对外公开,通常用于加密数据)另一个称之为私钥,是不能对外公布的,通常用于数据解密。而且公/私钥必须成对使用,也就是说用其中一个密钥加密数据必须用与其配对的另一个密钥解密数据。这样用公钥加密的数据即使被人非法截取了,因为他没有与之配对的私钥(仅发送发自己拥有)也不能对数据进行解密,从而确保数据安全。;其工作过程如下:(甲要事先获得乙的公钥)

第一步:甲使用乙的公钥对明文进行加密,并将密文发送给乙;

第二部:乙收到密文后,用自己的私钥对密文进行解密获得明文;

该方法的优点:公钥加密的信息只能用同一方的私钥进行解密,而且加密和解密用的是不同的密钥,安全性高;

该方法的缺点:算法复杂,加密大量数据用时长,而且加密的报文比较大,容易造成分片,不利于网上传输。

2.数字信封工作原理

数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据,其目的是用来确保对称密钥传输的安全性。采用数字信封,接收方需要使用自己的私钥才能打开数字信封得到对称公钥;数字信封的加密/解密过程如下:(甲事先需要获得乙的公钥)

第一步:甲使用对称密钥对明文进行加密,形成密文。

第二步:甲使用乙的公钥加密对称密钥,生成数字信封。

第三步:甲将数字信封和密文一起发送给乙。

第四步:乙收到信息后,用自己的私钥解密数字信封,获得对称密钥;

第五步:乙使用对称密钥对密文进行解密,得到明文。

该方法的优点:从以上过程来看,数字信封技术结合了对称密钥加密和公钥加密的优点,解决了对称密钥发布的安全问题和公钥加密速度慢的问题,提高了安全性和扩展性。

该方法的缺点:无法确保信息是来自真正的对方;如果攻击者拦截了甲发给乙的信息,用自己的对称密钥加密一份伪造的信息,并用乙的公钥(假设攻击者已获知了乙对外公布的公钥)加密攻击者自己的对称密钥,生成数字信封。然后把伪造的数字信封和伪造的信息一起发送给乙,乙方收到伪造的信息后,用自己的私用解密数字信封获得对称密钥(这是攻击者的对称密钥),再利用这个对称密钥解密伪造的加密信息,得到明文,这样一来,乙方始终认为这份本来是攻击者伪造的信息就是甲发送来的信息,这样会损失严重,万一攻击者伪造了一份甲方的招标文件呢,乙方收到后是不会有丝毫察觉的。那么,该如何解决呢?此时需要一种方法确保接收方收到的信息就是指定的发送方发送的,这就需要用到数字签名技术。

3.数字签名工作原理

数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据,其中包括非对称密钥加密和数字签名两个过程。这样即可以给数据加密的同时,也可以验证发送方身份的合法性。采用数字签名时,接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。

数字指纹又称信息摘要,是指发送方通过哈希算法对明文信息计算后得到的数据。

数字签名的过程如下:(甲也要事先获得乙的公钥,乙也要事先获得甲的公钥)

第一步:甲使用乙的公钥对明文进行加密,生成密文信息。

第二步:甲使用哈希算法对明文进行哈希运算,生成数字指纹。

第三步:甲使用自己的私钥对数字指纹进行加密,生成数字签名。

第四步:甲将密文信息和数字签名一起发送给乙;

第五步:乙使用甲的公钥对数字签名进行解密,获得数字指纹。

第六步:乙接收到甲发的密文后,用自己的私钥解密,获得明文。

第七步:乙使用哈希算法对还原的明文用与甲所使用的相同的哈希算法进行哈希运算,生成数字指纹,然后乙将生成的数字指纹与从甲得到的数字指纹(解密数字签名后得到的)进行对比,如果一致,乙接受明文;不一致,乙丢弃明文。

该方法的优点:数字签名技术不但证明了信息未被篡改,还证明了发送方的身份。

该方法的缺点:获取对方的公钥可能会被篡改,并且无法发现。此时需要一种方法确保一个特定的公钥属于一个特定的拥有者,这就需要用到数字证书技术。

数字证书实际上是存于计算机上的一个记录,是由CA(证书颁发机构)签发的一个声明:证明证书主体与证书所包含的公钥的唯一关系。这样用户接收到其他用户的公钥数字证书时可以在证书颁发机构查询,验证。

好了,小伙伴们今天就暂时分享这些吧!当然在实际VPN环境中身份认证和算法更加复杂,但都是基于以上技术,只不过是将这些技术组合应用而已;当然还有好多VPN隧道技术来保障数据传输的安全性!最后请大家关注实验笔记,实验笔记就是你身边的学习笔记!

祝我们伟大的祖国在这次抗击新冠肺炎疫情中取得伟大的胜利!中国加油!武汉加油!

,