## 【密码产品篇】VPN产品密钥体系结构 VPN产品只有"设备密钥"是"非对称密钥"---【蘇小沐】 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIdRogVz1iaTYwIy7x6B2e1ZghCicgROMyzLMwhOpW4XZLUhm6OAR3UggQ/640?wx_fmt=png) #### 1、IPSec VPN密钥体系 IPSec VPN密钥体系:设备密钥、工作密钥、会话密钥。 \| IPsec VPN \| 作用 \| \| --- \| --- \| \| 设备密钥 \| 非对称密钥对,包括签名密钥对和加密密钥对,用于实体身份鉴别、数字签名和数字信封等,其中,用于签名的设备密钥对在IKE第一阶段提供基于数字签名的身份鉴别服务;用于加密的设备密钥对在IKE第一阶段对交换数据提供保密性保护。 \| \| 工作密钥 \| 对称密钥,在IKE第一阶段经密钥协商派生得到,用于对会话密钥交换过程的保护。其中,用于加密的工作密钥对IKE第二阶段交换的数据提供保护性保护;用于完整性校验的工作密钥为IKE第二阶段交换的数据提供完整性保护及对数据源进行身份鉴别。 \| \| 会话密钥 \| 对称密钥,在IKE第二阶段经密钥协商派生得到,直接用于数据报文及报文MAC的加密和完整性保护,用于加密的会话密钥为通信数据和MAC值提供保密性保护;用于完整性校验的会话密钥为通信数据提供完整性保护 \| #### 2、SSL VPN密钥体系 SSL VPN密钥体系:设备密钥、预主密钥/主密钥、工作密钥。 \| SSL VPN \| 作用 \| \| --- \| --- \| \| 设备密钥 \| 非对称密钥,包括签名密钥对和加密密钥对。签名密钥对用于握手协议中通信双方的身份鉴别;加密密钥对用于预主密钥协商时所用交换参数的保密性保护 \| \| 预主密钥、主密钥 \| 对称密钥,预主密钥是双方协商通过伪随机函数(PRF)生成的密钥素材,用于生成主密钥;主密钥由预主密钥、双方随机数等交换参数,经PRF计算生成的密钥素材,用于生成工作密钥 \| \| 工作密钥 \| 对称密钥,对称通信数据安全性提供保护。数据加密密钥用于数据的加密和解密;校验密钥用于数据的完整性计算和校验,发送方使用的工作密钥称为写密钥,接受方使用的工作密钥称为读密钥。 \| ### 总结 书写片面,纯粹做个记录,有错漏之处欢迎指正。 【著作所有权归作者 \\\[蘇小沐\\\] 所有,转载请注明文章出处】 本文转自 ,如有侵权,请联系删除。
