需求場景：

需求背景：

VPN概述

VPN定義（Vitual Private Network，虛擬私有網(wǎng)）：是指依靠ISP或其他NSP在公用網(wǎng)絡基礎設施之上構建的專用的安全數(shù)據(jù)通信網(wǎng)絡，只不過這個專線網(wǎng)絡是邏輯上的而不是物理的，所以稱為虛擬專用網(wǎng)。

虛擬：用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用公共網(wǎng)絡資源建立自己的私有網(wǎng)絡。

專用：用戶可以定制最符合自身需求的網(wǎng)絡。

核心技術：隧道技術

VPN分類：

按業(yè)務類型

1. Client-LAN VPN（Acceess VPN）

使用基于Internet遠程訪問的 VPN

出差在外的員工、有遠程辦公需要的分支機構，都可以利用這種類型的 VPN ，實現(xiàn)對企業(yè)內(nèi)部網(wǎng)絡資源進行安全地遠程訪問。

LAN-LAN VPN

為了在不同局域網(wǎng)絡之間建立安全的數(shù)據(jù)傳輸通道，例如在企業(yè)內(nèi)部各分支機構之間或者企業(yè)與其合作者之間的網(wǎng)絡進行互聯(lián)，則可以采用 LAN－LAN 類型的 VPN 。

按網(wǎng)絡層次分類

VPN常用技術

隧道技術

隧道：是在公共通信網(wǎng)絡上構建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。

隧道技術： 是指在隧道的兩端通過封裝以及解封裝技術在公網(wǎng)上建立一條數(shù)據(jù)通道，使用這條通道對數(shù)據(jù)報文進行傳輸。隧道是由隧道協(xié)議構建形成的。隧道技術是VPN技術中最關鍵的技術。

多種隧道技術比較

加解密技術

目的：即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實內(nèi)容?？梢詫咕W(wǎng)絡攻擊中的被動攻擊。

通常使用加密機制來保護信息的保密性，防止信息泄密。信息的加密機制通常是建立在密碼學的基礎上。

密碼學基礎

從明文到密文的過程一般是通過加密算法加密進行的。

從變密文到明文，稱為脫密（解密）變換。

主流加密算法分為：

對稱加密算法

非對稱加密算法（公鑰加密算法）

對稱加密過程

常見的對稱加密算法

對稱算法的缺陷

1.密鑰傳輸風險

Alice和Bob必須要使用一個安全的信道建立密鑰。

但是消息傳遞的通信鏈路是不安全的。

2. 密鑰多難管理

彌補對稱加密的缺陷

非對稱加密算法

加密和解密使用的是不同的密鑰（公鑰、私鑰），兩個密鑰之間存在著相互依存關系：用其中任一個密鑰加密的信息只能用另一個密鑰進行解密：

即用公鑰加密，用私鑰解密就可以得到明文；

這使得通信雙方無需事先交換密鑰就可進行保密通信。

非對稱加密過程

常見的非對稱加密算法

對稱加密 VS 非對稱加密

綜上所述：

（1）數(shù)據(jù)傳輸采用對稱加密算法；

（2）對稱加密的密鑰通過非對稱加密算法進行加解密。

身份認證技術

身份認證：通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶來獲取訪問權限。

身份認證技術：是在網(wǎng)絡中確認操作者身份的過程而產(chǎn)生的有效解決方法。

應用場景

Alice生成數(shù)字簽名

Alice將信息都發(fā)送給Bob

Bob驗證數(shù)字簽名

復雜的情況出現(xiàn)了?。?！

黑客張三想欺騙Bob，他偷偷使用了Bob的電腦，用自己的公鑰換走了Alice的公鑰。

Bob無法確認公鑰的真實性

應用場景

應用場景

PKI體系

PKI（公開密鑰體系，Public Key Infrastructure）是一種遵循標準的利用非對稱加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。

簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動。

PKI 技術采用證書管理公鑰，通過第三方的可信任機構——CA認證中心把用戶的公鑰和用戶的其他標識信息捆綁在一起放在用戶證書中，在互聯(lián)網(wǎng)上驗證用戶的身份。

目前，通用的辦法是采用建立在PKI基礎之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。

PKI體系組成

PKI是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認證機構。

CA中心

? CA 中心，即 證書授權中心 (Certificate Authority ) ，或稱證書授權機構，作為電子商務交易中 受信任 的第三方。

? CA 中心 的作用：簽發(fā)證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表（CRL）確保必要時可以廢除證書，以及對證書和密鑰進行管理。

? CA 中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公鑰。

? CA 中心的數(shù)字簽名使得攻擊者不能偽造和篡改證書。

數(shù)字證書認證技術原理

數(shù)字證書

?一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件

數(shù)字證書是一般包含：

? 用戶身份信息

? 用戶公鑰信息

? 身份驗證機構數(shù)字簽名的數(shù)據(jù)

從證書用途來看，數(shù)字證書可分為簽名證書和加密證書。

簽名證書：主要用于對用戶信息進行簽名，以保證信息的真實性和不可否認性。

加密證書：主要用于對用戶傳送的信息進行加密，以保證信息的機密性和完整性。

常見證書類型

數(shù)據(jù)傳輸安全案例

數(shù)字證書實例—HTTPS協(xié)議

HTTP是常用的web協(xié)議，用來交互網(wǎng)頁數(shù)據(jù)。

由于HTTP是不加密的，在公網(wǎng)上明文傳輸，缺少保密性。所以出現(xiàn)了安全加密的HTTP協(xié)議---HTTPS協(xié)議。

HTTPS是在SSL協(xié)議基礎上的HTTP協(xié)議。

SSL協(xié)議的握手過程需要傳輸服務器的證書，并驗證證書的可靠性。

證書請求和發(fā)送

證書不可信

證書可信

審核編輯：劉清