g．乙使用甲的公鑰解密數(shù)字簽名得出key1

h．對比key1和key2，一致標(biāo)明數(shù)據(jù)完整，不一致標(biāo)明數(shù)據(jù)被修改

4）數(shù)字證書

數(shù)字證書：包含公鑰和使用者的身份信息、頒發(fā)者CA、有效期、數(shù)字證書等

CA證書認(rèn)證機(jī)構(gòu)：負(fù)責(zé)頒發(fā)證書

PKI公鑰基礎(chǔ)設(shè)施體系：證書管理平臺 – 只要應(yīng)用電子商務(wù)

PKI：終端實體、CA證書認(rèn)證機(jī)構(gòu)、RA證書注冊機(jī)構(gòu)、證書 / CRL存儲庫

數(shù)字證書分類：

• 根證書：CA機(jī)構(gòu)自己給自己頒發(fā)的證書
• 設(shè)備證書：CA機(jī)構(gòu)頒發(fā)給服務(wù)器的證書
• 用戶證書：CA機(jī)構(gòu)頒發(fā)給個人的證書

5）數(shù)據(jù)傳輸安全步驟

傳輸步驟說明：

發(fā)送端：

1. 發(fā)送端將原始信息通過HASH算法得到摘要（指紋/Key值），摘要（指紋/Key值）通過發(fā)送端私鑰加密得到數(shù)字簽名
2. 原始數(shù)據(jù)、數(shù)字簽名和發(fā)送端證書（發(fā)送端公鑰）采用對稱密鑰加密得到加密信息
3. 對稱密鑰在通過接收端的公鑰進(jìn)行加密得到密鑰信封

傳輸：

4. 將密鑰信封和加密信息通過公網(wǎng)發(fā)送到接收端

接收端：

5. 接收端用自己的私鑰解密出對稱密鑰
6. 用解密出來的對稱密鑰解密加密信息得到原始信息、數(shù)字簽名和發(fā)送端的證書（發(fā)送端公鑰）
7. 數(shù)字簽名用發(fā)送端證書（發(fā)送端公鑰）解密得到摘要（指紋/key1）
8. 用得到的原始信息用HASH算法得到另一個摘要（指紋/key2）
9. 比較key1和key2值是否相同。相同則數(shù)據(jù)完整；不同則數(shù)據(jù)不完整，重新請求數(shù)據(jù)

2.2 IPSec VPN解決方案

1. IPSec協(xié)議簇安全框架 – IPSec VPN概述

1）IPSec VPN 簡介

IPSec（Internet Protocol Security）：是一組基于網(wǎng)絡(luò)層的，應(yīng)用密碼學(xué)的安全通信協(xié)議族。IPSec不是具體指哪個協(xié)議，而是一個開放的協(xié)議族。

IPSec協(xié)議的設(shè)計目標(biāo)：保證IP層之上的數(shù)據(jù)安全

IPSec VPN：是基于IPSec協(xié)議族構(gòu)建的在IP層實現(xiàn)的安全虛擬專用網(wǎng)。通過在數(shù)據(jù)包中插入一個預(yù)定義頭部的方式，來保障OSI上層協(xié)議數(shù)據(jù)安全，主要用于保護(hù)TCP、UDP、ICMP和隧道的IP數(shù)據(jù)包。

2）IPSec提供的安全服務(wù) – IPSec VPN功能

IPSec VPN功能：保密性、完整性、數(shù)據(jù)源驗證、不可否認(rèn)性、防重放（重傳攻擊保護(hù)）

3）IPSec架構(gòu)

ESP協(xié)議、AH協(xié)議、IKE密鑰交換

4）IPSec協(xié)議族

2. IPSec 工作模式

1）傳輸模式

傳輸模式數(shù)據(jù)包格式

應(yīng)用場景：適用于主機(jī)到主機(jī)之間端到端通信的數(shù)據(jù)保護(hù)

2）隧道模式

隧道模式數(shù)據(jù)包格式

應(yīng)用場景：經(jīng)常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信，建立安全VPN通道。

3. IPSec 通信協(xié)議

1）AH協(xié)議

AH認(rèn)證頭協(xié)議 – 協(xié)議號51

AH功能：完整性、數(shù)據(jù)源驗證（共享密鑰）、抗重放攻擊

AH報文結(jié)構(gòu)

• 下一個頭部：AH報頭里封裝的協(xié)議，TCP：6，UDP：17，ICMP：1
• 負(fù)載長度：AH報頭的長度
• 保留：0
• 安全參數(shù)索引SPI：標(biāo)識SA安全聯(lián)盟
• 序列號：一串?dāng)?shù)值，要求不同，用來防重放
• 認(rèn)證數(shù)據(jù)：存放完整性校驗的Key值

傳輸模式下的AH封裝 – 認(rèn)證內(nèi)容整個IP報文

隧道模式下的AH封裝

2）ESP協(xié)議

ESP封裝安全載荷協(xié)議–協(xié)議號50

ESP功能：完整性、數(shù)據(jù)源驗證、防重放、保密性、有限的數(shù)據(jù)流保護(hù)

ESP報文結(jié)構(gòu)

• 下一個頭部：ESP報頭里封裝的協(xié)議，TCP：6，UDP：17，ICMP：1
• 負(fù)載長度：ESP報頭的長度
• 保留：0
• 安全參數(shù)索引SPI：標(biāo)識SA安全聯(lián)盟
• 序列號：一串?dāng)?shù)值，要求不同，用來防重放
• 填充：加密算法都是分組加密，所以不夠一組時，需要填充
• 認(rèn)證數(shù)據(jù)：存放完整性校驗的Key值

傳輸模式下的ESP封裝

自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進(jìn)入阿里一直到現(xiàn)在。

深知大多數(shù)網(wǎng)絡(luò)安全工程師，想要提升技能，往往是自己摸索成長，但自己不成體系的自學(xué)效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

因此收集整理了一份《2024年網(wǎng)絡(luò)安全全套學(xué)習(xí)資料》，初衷也很簡單，就是希望能夠幫助到想自學(xué)提升又不知道該從何學(xué)起的朋友。

既有適合小白學(xué)習(xí)的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗的小伙伴深入學(xué)習(xí)提升的進(jìn)階課程，基本涵蓋了95%以上網(wǎng)絡(luò)安全知識點，真正體系化！

由于文件比較大，這里只是將部分目錄大綱截圖出來，每個節(jié)點里面都包含大廠面經(jīng)、學(xué)習(xí)筆記、源碼講義、實戰(zhàn)項目、講解視頻，并且后續(xù)會持續(xù)更新

如果你覺得這些內(nèi)容對你有幫助，可以添加VX：vip204888 （備注網(wǎng)絡(luò)安全獲?。?/strong>