需求場景：

需求背景：

VPN概述

VPN定義（Vitual Private Network，虛擬私有網(wǎng)）：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的安全數(shù)據(jù)通信網(wǎng)絡(luò)，只不過這個專線網(wǎng)絡(luò)是邏輯上的而不是物理的，所以稱為虛擬專用網(wǎng)。

虛擬：用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用公共網(wǎng)絡(luò)資源建立自己的私有網(wǎng)絡(luò)。

專用：用戶可以定制最符合自身需求的網(wǎng)絡(luò)。

核心技術(shù)：隧道技術(shù)

VPN分類：

按業(yè)務(wù)類型

1. Client-LAN VPN（Acceess VPN）

使用基于Internet遠(yuǎn)程訪問的 VPN

出差在外的員工、有遠(yuǎn)程辦公需要的分支機(jī)構(gòu)，都可以利用這種類型的 VPN ，實現(xiàn)對企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行安全地遠(yuǎn)程訪問。

LAN-LAN VPN

為了在不同局域網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，例如在企業(yè)內(nèi)部各分支機(jī)構(gòu)之間或者企業(yè)與其合作者之間的網(wǎng)絡(luò)進(jìn)行互聯(lián)，則可以采用 LAN－LAN 類型的 VPN 。

按網(wǎng)絡(luò)層次分類

VPN常用技術(shù)

隧道技術(shù)

隧道：是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。

隧道技術(shù)： 是指在隧道的兩端通過封裝以及解封裝技術(shù)在公網(wǎng)上建立一條數(shù)據(jù)通道，使用這條通道對數(shù)據(jù)報文進(jìn)行傳輸。隧道是由隧道協(xié)議構(gòu)建形成的。隧道技術(shù)是VPN技術(shù)中最關(guān)鍵的技術(shù)。

多種隧道技術(shù)比較

加解密技術(shù)

目的：即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實內(nèi)容?？梢詫咕W(wǎng)絡(luò)攻擊中的被動攻擊。

通常使用加密機(jī)制來保護(hù)信息的保密性，防止信息泄密。信息的加密機(jī)制通常是建立在密碼學(xué)的基礎(chǔ)上。

密碼學(xué)基礎(chǔ)

從明文到密文的過程一般是通過加密算法加密進(jìn)行的。

從變密文到明文，稱為脫密（解密）變換。

主流加密算法分為：

對稱加密算法

非對稱加密算法（公鑰加密算法）

對稱加密過程

常見的對稱加密算法

對稱算法的缺陷

1.密鑰傳輸風(fēng)險

Alice和Bob必須要使用一個安全的信道建立密鑰。

但是消息傳遞的通信鏈路是不安全的。

2. 密鑰多難管理

彌補(bǔ)對稱加密的缺陷

非對稱加密算法

加密和解密使用的是不同的密鑰（公鑰、私鑰），兩個密鑰之間存在著相互依存關(guān)系：用其中任一個密鑰加密的信息只能用另一個密鑰進(jìn)行解密：

即用公鑰加密，用私鑰解密就可以得到明文；

這使得通信雙方無需事先交換密鑰就可進(jìn)行保密通信。

非對稱加密過程

常見的非對稱加密算法

對稱加密 VS 非對稱加密

綜上所述：

（1）數(shù)據(jù)傳輸采用對稱加密算法；

（2）對稱加密的密鑰通過非對稱加密算法進(jìn)行加解密。

身份認(rèn)證技術(shù)

身份認(rèn)證：通過標(biāo)識和鑒別用戶的身份，防止攻擊者假冒合法用戶來獲取訪問權(quán)限。

身份認(rèn)證技術(shù)：是在網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的有效解決方法。

應(yīng)用場景

Alice生成數(shù)字簽名

Alice將信息都發(fā)送給Bob

Bob驗證數(shù)字簽名

復(fù)雜的情況出現(xiàn)了?。?！

黑客張三想欺騙Bob，他偷偷使用了Bob的電腦，用自己的公鑰換走了Alice的公鑰。

Bob無法確認(rèn)公鑰的真實性

應(yīng)用場景

應(yīng)用場景

PKI體系

PKI（公開密鑰體系，Public Key Infrastructure）是一種遵循標(biāo)準(zhǔn)的利用非對稱加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。

簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺提供的服務(wù)進(jìn)行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動。

PKI 技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)——CA認(rèn)證中心把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起放在用戶證書中，在互聯(lián)網(wǎng)上驗證用戶的身份。

目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。

PKI體系組成

PKI是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

CA中心

? CA 中心，即 證書授權(quán)中心 (Certificate Authority ) ，或稱證書授權(quán)機(jī)構(gòu)，作為電子商務(wù)交易中 受信任 的第三方。

? CA 中心 的作用：簽發(fā)證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表（CRL）確保必要時可以廢除證書，以及對證書和密鑰進(jìn)行管理。

? CA 中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公鑰。

? CA 中心的數(shù)字簽名使得攻擊者不能偽造和篡改證書。

數(shù)字證書認(rèn)證技術(shù)原理

數(shù)字證書

?一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件

數(shù)字證書是一般包含：

? 用戶身份信息

? 用戶公鑰信息

? 身份驗證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)

從證書用途來看，數(shù)字證書可分為簽名證書和加密證書。

簽名證書：主要用于對用戶信息進(jìn)行簽名，以保證信息的真實性和不可否認(rèn)性。

加密證書：主要用于對用戶傳送的信息進(jìn)行加密，以保證信息的機(jī)密性和完整性。

常見證書類型

數(shù)據(jù)傳輸安全案例

數(shù)字證書實例—HTTPS協(xié)議

HTTP是常用的web協(xié)議，用來交互網(wǎng)頁數(shù)據(jù)。

由于HTTP是不加密的，在公網(wǎng)上明文傳輸，缺少保密性。所以出現(xiàn)了安全加密的HTTP協(xié)議---HTTPS協(xié)議。

HTTPS是在SSL協(xié)議基礎(chǔ)上的HTTP協(xié)議。

SSL協(xié)議的握手過程需要傳輸服務(wù)器的證書，并驗證證書的可靠性。

證書請求和發(fā)送

證書不可信

證書可信

審核編輯：劉清