数据传输安全--IPSEC

目录

IPSEC

IPSEC可以提供的安全服务

IPSEC 协议簇

两种工作模式

传输模式

隧道模式

两个通信保护协议(两个安全协议)

AH(鉴别头协议)

可以提供的安全服务

报头

安全索引参数SPI

序列号

认证数据

AH保护范围

传输模式

隧道模式

ESP(封装安全载荷协议)

可以提供的安全服务

ESP的头部

ESP保护范围

传输模式

隧道模式

AH和ESP对比

AD和ESP传输模式联合使用

IKE

IPSec手工创建流程

IPSec自动创建流程

使用IKE,动态建立IPSEC SA

IKE版本

IKE协议包含的三个协议

IKE的两个阶段

阶段1

阶段1过程

交互过程的数据包

主模式和野蛮模式区别

阶段2                                            

快速模式

阶段2过程

需要协商的安全参数

PFS技术

数据传输阶段

VPN黑洞

解释域

安全策略数据库SPD

安全关联数据库SPA

IKE V2

V2和V1相比较的优势

传输效率

认证

IPSec应用场景

VPN的网关部署模式

VPN的单臂部署 --- 在NAT环境下的VPN部署

在不同阶段出现问题

问题1

解决方案

问题2

解决方案

问题3

解决方案

结论

NAT-T技术

通过IKE建立IPSEC SA流程

命令行配置  V1版本(这个配置以网络部署模式作为例子)


IPSEC

IPSEC基于网络层的,应用密码学的安全通信协议组
IPV6中,IPSEC是要求强制使用的,但是,IPV4中作为可选项使用

IPSEC可以提供的安全服务

机密性 --- 数据加密
完整性 --- 防篡改
可用性 --- 在批准者需要时,可以立即获得与信息相关的信息资产。
不可否认性 --- 数据源鉴别
重传攻击:攻击者截获登陆的数据包,然后攻击者自己发送这个登陆包。通过添加一个一次的序列号,就可以防止这个攻击了
有限的流量保密 ---在IPSEC中可以抓取感兴趣流,即可以设定哪些流量需要进入IPSEC隧道,继续保密传输,哪些流量不需要进入到通道中。

IPSEC 协议簇

两种工作模式

传输模式

传输模式的工作过程

封装方式:不改变原有的IP包头,在原始的数据包头后面添加IPSEC包头,将原来的数据封装成被保护的数据
作用:因为没有添加新的IP头部,所以无法跨越公网建立隧道。适合在私网内部数据传输时进行安全保障。

隧道模式

封装方式:需要增加新的IP头部,其后面是IPSEC的包头,之后,将原来的整个数据包进行分装保护。
作用:适用于需要跨越公网的环境。

两个通信保护协议(两个安全协议)

AH(鉴别头协议)

属于网络层协议,但是,封装在IP协议之上
协议号:51

GRE协议号47

可以提供的安全服务
数据的完整性保证 --- 其最主要的工作是保证数据传输的完整性,但是没有办法对数据进行加密保护。
数据源认证 --- 身份认证
抗重放攻击 --- 包含序列号
报头

安全索引参数SPI
IPSEC在建立通道之前,双方需要协商安全参数,安全参数协商完成后,则建立对应的会话,这个会话就是安全联盟
安全参数索引(SPI)用来唯一的标识SA安全联盟
IPSEC SA是分方向的,要想构建一个双向的安全通道,则需要建立两条方向相反的SA,则不同的SA需要使用不同的SPI来进行标识,相当于是SA的一个ID。
序列号
用来防重放攻击
认证数据

AH要保护数据是以完整性校验来保护的,它会将后面数据hash,然后放在认证数据里面

AH保护范围
传输模式

隧道模式

因为AH在进行完整性校验时会包含IP头部的内容,所以在IP头部中有一些在传输过程中就会发生变化的数据,比如TTL、TOS这样的数据将不做校验。因为会校验IP地址,所以AH无法应用在NAT环境下。

ESP(封装安全载荷协议)

属于网络层协议,封装在IP协议之上,协议号:50

可以提供的安全服务
1,数据的完整性校验
2,数据源认证
3,抗重放的保护
4,数据保密 --- 注意,这个是AH所不具备的一个安全服务 --- 可以进行选
择性加密
ESP的头部

ESP报尾,当加密时使用分组交换的时候,要满足一定位数,当位数不够的时候,报尾的填充和填充头部就可以用来补充。下一头部可以标识上层协议。认证数据是所有东西都校验完了放东西的地方。

ESP保护范围
传输模式

IP头部不加密原因是要过其他层加密了就过不去了

隧道模式

AH和ESP对比

AD和ESP传输模式联合使用

IKE

IPSec手工创建流程

1、创建acl抓取流量

2、配置IPSec安全提议,首先选择协议类型也就是选AH还是ESP,然后再选择加密算法、再选择校验算法、如果选了AH的话就选AH的校验,再选择封装模式。

3、做IPSec策略,首先关联流量和安全提议,再去定义自己的通道和对端的通道地址。标识SPI的id,再配置一个和认证有关的,也就是对方过来的时候需要的证书

4、接口处调用相应的安全策略

(注:手工建立后这个通道将一直存在)

IPSec自动创建流程

使用IKE,动态建立IPSEC SA
IKE版本
IKE有V1和V2的版本
下面将以V1来学习
IKE协议包含的三个协议

ISAKMP是IKE协议的主体,剩下的两个协议用来提供支持

SKEME :提供有关密钥的一些支持
OAKLEY :提供加密算法有关的支持
ISAKMP(互联网安全联盟密钥管理协议 ):用来协商
ISAKMP是一个应用层协议基于传输层工作,他在传输层是基于UDP500端口,且ISAKMP要求源和目标端口都是UDP的500,协商成功与否与这个有很大关系,所以配置的时候防火墙需要放通UDP的500端口。
IKE的两个阶段
阶段1
协商构建IKE SA(ISAKMP SA)其主要目的是获得建立IPSEC SA时参数协商过程中的安全通道,对协商参数进行安全保护。IKE SA和IPSec SA不同IKE SA是不区分源和目标也就是单向的。
阶段1过程
主模式
默认使用IP地址作为身份标识(因为身份标识发送是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,需要身份标识来确定是要用哪个预共享密钥,要是等身份标识的话等不下去了,因为这里有一个时间上的错位,所以只能看IP地址了,然后在第五六个数据包的时候将IP地址和ID对比,再进行身份认证确认。所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。如何区分不同的人的预共享密钥就依靠这个身份标识。
交互过程的数据包
需要经过6个数据包交互来完成IKE SA的建立,安全性较高

第一,二个数据包:SA的交换,也就是安全联盟的参数交换
Ci,Cr携带的是cookie,这个是IKEV1版本中的做法,唯一标识一个SA。到了V2版本,这里使用的是SPI,在V1版本中,其作用是相似
Sai,Sar用来进行进行安全参数协商,使用“五元组”来协商,下面是五元组
加密算法,哈希算法,身份认证,DH组,SA存活时间
DES             MD5        PSK           DH2      86400S
注意:这里协商的所有参数,是为了构建IKE SA使用参数
注意:如果是手工建立的SA,则将永久有效,但是,如果使用IKE建立的SA,则将存在老化时间,默认是86400S,如果时间到了,则将拆除通道,重新建立。
注意:DH算法分组,常用分组为DH1,DH2,DH5,DH14,组号越大,则安全性越高
注意:这里的身份认证是在协商身份认证的方式
如果对方在回复时,发现里面的参数本地不支持,则将回复一个负载拒绝报文,则中断SA的构建。但是,其中的SA存活时间可以不同,如果不同,则按照较小的来执行
第三,四个数据包
Ni,Nr --- 是两端发送时携带的一个随机数,参与DH算法
X,Y --- DH算法中需要交换的两个参数
在DH算法中我们会生成4把密钥
且在密钥的计算中就用到了预共享密钥,不用传递预共享而是直接蕴涵在计算的过程中。所有其他密钥在计算时,都需要加入种子密钥
SKEYID_e是加密密钥,可以用于第5.6个数据包以及第二阶段IPSEC SA协商过 程中的数据加密
CKY_I,CKY_R --- 前面过程中传递的cookie值
SKEYID_a是验证密钥,他是在第一阶段5,6个数据包以及第二个阶段中进行HASH算法时使用的密钥,哈希算法也可以结合密钥一起使用,其技术叫做HMAC(HMAC是融入密钥的hash相比普通的hash来说更安全)
SKEYID_d是推导密钥,他可以用来计算最终密钥(建立IPSec SA用来加密数据的密钥)的一个参数
第五,六个数据包用来进行身份认证以及数据验证,这两个数据包是进行加密的
第五、六个数据包进行身份认证是依靠上面种子密钥计算时用到的预共享密钥,另外一方只要可以解密这两个数据包就可以用到这个预共享密钥,所以数据包种就不用携带预共享密钥了
Idi/Idr --- 身份标识(IP地址)
Hashi/Hashr --- 使用哈希算法来校验之前传递的安全参数 --- 通过HMAC来进行运算,使用之前计算的验证密钥SKEYID_a
野蛮模式
可以自定义身份标识,并且,速度较快,仅需使用3个数据包就可以完成IKE SA的建立
建立过程
注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低
主模式和野蛮模式区别

阶段2                                            
通过阶段一构建的安全通道,传递需要建立IPSEC SA使用的安全参数,用来协商最终的密钥。
快速模式
阶段2过程

需要协商的安全参数
加密算法 --- 最终进行数据加密使用的算法(协商完加密算法之后,需要计算
出最终使用的加密密钥,需要根据第一阶段计算出来的推导密钥计算得出)
Hash算法 --- 最终进行数据传输时使用的hash算法
安全协议 --- AH/ESP
封装模式 --- 隧道/传输
存活时间
PFS技术
正常情况下,第二阶段计算的加密密钥是通过第一阶段计算出的推导密钥衍生出来的,但这样,可能导致第一阶段密钥泄露影响第二阶段密钥, 那么可以开启PFS的功能,之后,将不再使用之前的推导密钥,将重新使用DH算法计算出一个新的密钥
注:PFS功能需要两边同时开启,方可生效
数据传输阶段
通过AH或者ESP来传输数据
VPN黑洞
数据传输的时候可能出现VPN黑洞
隧道建立之后,如果其中一台设备出现异常,另一端还在SA的有效期内,则数据将出现有去无回的情况,形成VPN黑洞
解决方案
DPD死亡对等体检测
类似于心跳检测机制
利用的是空闲计时器原理 --- 两边同时开启一个计时器,有数据包通过时,直接刷新计
时器,如果计时器归0,则会开始发送DPD的探测报文,对方收到后,将回复应答,正
常回复则刷新计时器,如果没有应答,则连续发送5次,都没有应答,则将拆掉通道;

解释域

IPSec执行都在解释域中执行

安全策略数据库SPD

存放策略的数据库,数据来到来到边界首先在SPD里面找对他的处理

安全关联数据库SPA

和和加密密钥相关的一些东西,和SA的有关一些参数都会存在这个数据库里

IKE V2

V2和V1相比较的优势

传输效率
IKEV1协商效率较低;主模式(6个) + 快速模式(3个) = 9个,野蛮模式(3个) +
快速模式(3个) = 6个
IKEV2也存在两个阶段,这两个阶段均仅需两个数据包即可完成,总共4个数据包
认证
IKEV1是不支持远程用户接入认证。但是,可以结合L2TP VPN实现效果
IKEV2是支持用户认证的,加入了一种叫做EAP的认证。

IPSec应用场景

VPN的网关部署模式

由VPN设备放置在边界,但是由于VPN在边界所以会存在存在安全风险
解决方法
1,使用安全设备集成VPN功能作为边界(防火墙)
2,将VPN设备下沉到内网中(下沉到内网的就要做NAT这样就要出问题)

VPN的单臂部署 --- 在NAT环境下的VPN部署

在不同阶段出现问题

问题1
IKE协商阶段的身份认证问题
如果选择主模式默认身份标识是IP地址,下面的VPN设备要出去,需要NAT转换,这样身份标识不久对不上了
解决方案

使用野蛮模式

问题2
IKE在协商时,要求,源目端口都必须是UDP 500,如果,NAT做了端口转换技术,则将可能修改原先端口,导致对接失败
解决方案

使用NAT-T方案(NAT穿越技术)

问题3
在数据传输阶段,如果选择AH协议,因为AH协议在进行完整性校验时,会包含IP头部或者新家的IP头部中的内容,如果在NAT环境下使用,将导致校验失败。那原本使用NAT技术时TCP尾部的校验,就可以通过呢,原因就是NAT把尾部的校验和一起修改了。但是在ESP中为啥不能修改了因为ESP把IP的数据都加密了无法修改。
这个意思和上面一样。因为TCP或者UDP的封装中,包含伪头部校验,会校验IP头部中包含IP地址在内的12个字节的内容,一般NAT在进行转换时,会将地址和校验和一起更改,在 ESP加密之后的场景中,因为传输层的数据被加密,导致伪头部校验和无法修改, 最终会因为校验失败,导致数据传输失败
解决方案

使用ESP和隧道模式

结论

所以在NAT模式下的组合 --- 野蛮模式 + ESP + 隧道封装
但是我们再观察数据包,由于传输层被加密了,所以没有端口这个东西,而我们现在NAT出去一般都是基于端口的转换,这样是不是又出现了问题,这个问题又要借助NAT-T技术来解决了

NAT-T技术

通过IKE建立IPSEC SA流程

1、通过ACL抓取要保护流量

2、配置IKE安全提议,配置加密算法、配置认证模式、配置hash算法、配置DH、配置老化时间

3、配置IKE对等体,相当于邻居的建立,选择版本、配置身份认证的参数、配置交换模式也就是主模式还是野蛮模式、还需要配置一个对端IP

4、配置IPSec安全提议,配置协议是AH还是ESP、根据你选择的协议来决定下面选择如果是AH,就配置AH的认证算法,如果你选的是ESP的话你就配置ESP的加密和ESP的认证,最后配置封装模式也就是隧道模式还是传输模式

5、配置IPSec策略、引用刚刚配置的策略的策略,配置pfs,这里主要就是将前面配置的东西调用

6、接口调用

命令行配置  V1版本(这个配置以网络部署模式作为例子)

1,抓取感兴趣流
[r1]acl 3000 --- 注意,在IPSEC中只能调用高级ACL列表
[r1-acl-adv-3000]
[r1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2,配置IKE的安全提议
[r1]ike proposal 1 --- 创建IKE提议,注意后面需要添加一个数字作为区分标识
[r1-ike-proposal-1]
[r1-ike-proposal-1]encryption-algorithm aes-cbc-128 --- 缺省值是DES
[r1-ike-proposal-1]authentication-algorithm md5 --- 缺省值是SHA1
[r1-ike-proposal-1]authentication-method pre-share --- 缺省是预共享密钥
[r1-ike-proposal-1]dh group2 --- 缺省为组1
[r1-ike-proposal-1]sa duration 86400 --- 不要太小,最好大于600S,太小了占用资源大
3,配置IKE对等体
[r1]ike peer aa v1 --- 需要给对等体起个名字,第一次进入时,需要选择使用的IKE版本
[r1-ike-peer-aa]ike-proposal 1 --- 关联安全提议
[r1-ike-peer-aa]pre-shared-key cipher 123456 --- 定义预共享密钥,注意,两边需要相同
[r1-ike-peer-aa]exchange-mode main --- 选择一阶段模式,缺省是主模式
[r1-ike-peer-aa]remote-address 23.0.0.2 --- 1,建立SA对等体的地址;2,参与查找预共
享密钥,3,身份标识 4,配置IPSEC安全提议
[r1]ipsec proposal aa --- 创建IPSEC提议
[r1-ipsec-proposal-aa]
[r1-ipsec-proposal-aa]transform esp --- 配置安全协议,默认ESP
[r1-ipsec-proposal-aa]encapsulation-mode tunnel --- 选择封装模式,默认隧道模式
[r1-ipsec-proposal-aa]esp encryption-algorithm aes-128 --- 配置esp加密算法,缺省des
[r1-ipsec-proposal-aa]esp authentication-algorithm md5 --- 配置esp鉴别算法,缺省md5
5,配置IPSEC的安全策略
[r1]ipsec policy aa 1 isakmp --- 需要定义名称和编号,首次进入还需要定义手工还
是IKE 
[r1-ipsec-policy-isakmp-aa-1]
[r1-ipsec-policy-isakmp-aa-1]security acl 3000 --- 关联ACL列表
[r1-ipsec-policy-isakmp-aa-1]ike-peer aa --- 关联IKE对等体
[r1-ipsec-policy-isakmp-aa-1]proposal aa --- 关联IPSEC 提议
6,接口调用
[r1-GigabitEthernet0/0/0]ipsec policy aa

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/49605.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

软考-软件设计师(2)-操作系统概述:多级索引、PV操作、段页式存储、磁盘管理、进程管理、有限自动机、I/O设备管理软件分层等高频考点

场景 软考-软件设计师-操作系统概述模块高频考点整理。 以下为高频考点、知识点汇总,不代表该模块所有知识点覆盖,请以官方教程提纲为准。 注: 博客:霸道流氓气质-CSDN博客 实现 知识点 文件系统多级索引 求文件系统多级索引的最大长度 二级索引=一级索引*一级索引…

vue3使用el-input-number,只能是整数,并且没有四舍五入

效果图 element plus上自带了个属性precision,设置**:precision“0”**,也可以没有小数点,但它这个是四舍五入的,不满足我的需要 我主要用的事件是blur的,input的试过发现值改变了,但是页面显示的没有改变,…

奔跑利润如何释放?来看看怎么分析现货黄金的跟踪止损位

跟踪止损位是现货黄金交易和资金管理中一个重要的概念。我们做现货黄金的时候,将仓位分成两部分(或以上)。第一部分,我们在首个目标位获利离场,剩下那部分就可以让它奔跑,看看市场会不会走出大行情&#xf…

Java 集合中的 Vector 类和 Stack 类

一.介绍 Java 集合框架提供了一组强大的类和接口来处理和操作对象集合。其中,Vector 和 Stack 类提供了以顺序方式存储和管理元素的基本功能。这两个类都是传统集合的一部分,但由于它们的同步性质和特定用例,它们仍然具有相关性。Vector 类实…

DDoS 究竟在攻击什么?

分布式拒绝服务(DDoS)攻击是一种常见的网络攻击形式,攻击者通过向目标服务端发送大量的请求,使目标服务端无法进行网络连接,无法正常提供服务。 DDoS 攻击通常是由大量的分布在全球各地的 “僵尸” 计算机&#xff08…

STM32F401VET6 PROTEUS8 ILI9341 驱动显示及仿真

stm32cubemx新建工程代码&#xff0c;并生成工程 设置gpio 设置SPI 其他的参考stm32默认设置 然后编辑驱动代码 ili9341.h #ifndef ILI9341_H #define ILI9341_H#include <stdbool.h> #include <stdint.h>#include "glcdfont.h" #include "stm32…

物联网Java项目, 2万多TPS如何处理?

在开始前刚好我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「物联网Java的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff01;2W个采集点&#xff0…

内网安全:IPC横向

IPC计划任务横向 IPC配合系统服务横向 前言&#xff1a; IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。 IPC计划任务横向 本次目标&#xff1a;通过机器192.168.11.40&#xff0c;横向控制机器192…

学生信息管理系统详细设计文档

一、设计概述 学生信息管理系统是一个用于管理学生信息的软件系统&#xff0c;旨在提高学校对学生信息的管理效率。本系统主要包括学生信息管理、课程信息管理、成绩信息管理、班级信息管理等功能模块。详细设计阶段的目标是确定各个模块的实现算法&#xff0c;并精确地表达这…

图形化开发安卓程序-App Inventor环境搭建一

图形化开发安卓程序-App Inventor环境搭建一 1.概述 现在不用专业的开发技能并可以实现自己DIY一个程序的想法&#xff0c;将天马行空的创意编程现实&#xff0c;配合硬件我们也可以称为当下最流行的AI大师、物联网大师。 2.环境安装 appInvenor开发不依赖本地计算机&#…

数据结构(5.3_1)——二叉树的先中后序遍历

先序遍历——根左右——前缀表达式 中序遍历——左根右——中缀表达式 后序遍历——左右根——后缀表达式 二叉树的遍历(手算) 先序遍历代码 struct ElemType {int value; }; //二叉树的结点(链式存储) typedef struct BiTNode {ElemType data;//数据域struct BiTNode *lchil…

解决kkfileview 使用https预览问题记录

场景&#xff1a;项目使用了开源的kkfileview进行文件在线预览&#xff0c;部署方式使用的是docker&#xff0c;使用IP进行访问&#xff0c;但是http协议直接访问有漏洞告警&#xff0c;现在需要调整为https&#xff0c;且仍然需要使用IP访问。 kkfileview官网kkFileView - 在线…

AI学习记录 - 规范化输出对接现有系统的实例

假设我们有一个学生管理系统&#xff0c;通过prompt提示&#xff0c;格式化输出然后对接现有系统&#xff0c;也是通过react实现&#xff0c;因为这只是一个知识分享&#xff0c;没弄太复杂&#xff08;使用react实现&#xff09;。 学生管理系统 1、设计好prompt getMemory()…

Python对某音乐论坛进行简单的采集

今天简单的用Python来采集一下某论坛的歌曲 环境使用 Python 3.10 Pycharm 模块使用 requests --> 发送请求 pip install requests execjs --> pip install execjs re 正则源码和视频讲解都打包好了&#xff0c;文末名片自取 基本流程 一、数据来源分析 1.明…

手写RPC-令牌桶限流算法实现,以及常见限流算法

为什么需要服务限流、降级 分布式架构下&#xff0c;不同服务之间频繁调用&#xff0c;对于某个具体的服务而言&#xff0c;可能会面临高并发场景。在这样的情况下&#xff0c;提供服务的每个服务节点就都可能由于访问量过大而引起一系列问题&#xff0c;比如业务处理耗时过长、…

VMware三种网络模式---巨细

文章目录 目录 ‘一.网络模式概述 二.桥接模式 二.NAT模式 三.仅主机模式 四.案例演示 防火墙配置&#xff1a; 虚拟电脑配置 前言 本文主要介绍VMware的三种网络模式 ‘一.网络模式概述 VMware中分为三种网络模式&#xff1a; 桥接模式&#xff1a;默认与宿主机VMnet0绑…

基于Java中的SSM框架实现商店积分管理系统项目【项目源码+论文说明】计算机毕业设计

基于Java中的SSM框架实现商店积分管理系统演示 摘要 随着时代的发展&#xff0c;信息化的管理手段已被普遍应用于企业的日常运作中。在当今竞争激烈的市场中&#xff0c;消费者的需求量日益增长&#xff0c;而商品信息的管理也变得越来越复杂&#xff0c;因此&#xff0c;实施…

14. Hibernate 一对多双向关联映射

1. 前言 本节课程和大家一起聊聊一对多关联映射。通过本节课程&#xff0c;你将了解到&#xff1a; 如何实现一对多关联映射&#xff1b; 如何实现双向一对多关联映射&#xff1b; 关联映射中的级联操作。 2. 一对多关联映射 关系型数据库中表与表中的数据存在一对多&…

深入理解Linux网络(八):内核如何发送网络包

深入理解Linux网络&#xff08;八&#xff09;&#xff1a;内核如何发送网络包 一、总览二、网卡启动准备三、ACCEPT 创建新 SOCKET四、开始发送数据send 系统调⽤实现传输层处理传输层拷贝传输层发送 网络层发送原理邻居⼦系统网络设备子系统软中断调度igb网卡驱动发送发送完成…

Python 实现PDF和TIFF图像之间的相互转换

PDF是数据文档管理领域常用格式之一&#xff0c;主要用于存储和共享包含文本、图像、表格、链接等的复杂文档。而TIFF&#xff08;Tagged Image File Format&#xff09;常见于图像处理领域&#xff0c;主要用于高质量的图像文件存储。 在实际应用中&#xff0c;我们可能有时需…