需求場景：

需求背景：

VPN概述

VPN定義（Vitual Private Network，虛擬私有網）：是指依靠ISP或其他NSP在公用網絡基礎設施之上構建的專用的安全數據通信網絡，只不過這個專線網絡是邏輯上的而不是物理的，所以稱為虛擬專用網。

虛擬：用戶不再需要擁有實際的長途數據線路，而是使用公共網絡資源建立自己的私有網絡。

專用：用戶可以定制最符合自身需求的網絡。

核心技術：隧道技術

VPN分類：

按業務類型

1. Client-LAN VPN（Acceess VPN）

使用基于Internet遠程訪問的 VPN

出差在外的員工、有遠程辦公需要的分支機構，都可以利用這種類型的 VPN ，實現對企業內部網絡資源進行安全地遠程訪問。

LAN-LAN VPN

為了在不同局域網絡之間建立安全的數據傳輸通道，例如在企業內部各分支機構之間或者企業與其合作者之間的網絡進行互聯，則可以采用 LAN－LAN 類型的 VPN 。

按網絡層次分類

VPN常用技術

隧道技術

隧道：是在公共通信網絡上構建的一條數據路徑，可以提供與專用通信線路等同的連接特性。

隧道技術： 是指在隧道的兩端通過封裝以及解封裝技術在公網上建立一條數據通道，使用這條通道對數據報文進行傳輸。隧道是由隧道協議構建形成的。隧道技術是VPN技術中最關鍵的技術。

多種隧道技術比較

隧道協議	保護范圍	使用場景	用戶身份認證	加密和驗證
GRE	IP層及以上數據	Intranet VPN	不支持	支持簡單的關鍵字驗證、校驗
L2TP	IP層及以上數據	Access VPN Extranet VPN	支持基于PPP的CHAP、PAP、EAP認證	不支持
IPSec	IP層及以上數據	Intranet VPN Access VPN Extranet VPN	支持預共享密鑰或證書認證、支持IKEv2的EAP認證	支持
SangforVPN	IP層及以上數據	Intranet VPN Extranet VPN	支持多種身份認證	支持
SSL VPN	應用層特定數據	Access VPN	支持多種身份認證	支持

加解密技術

目的：即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實內容。可以對抗網絡攻擊中的被動攻擊。

通常使用加密機制來保護信息的保密性，防止信息泄密。信息的加密機制通常是建立在密碼學的基礎上。

密碼學基礎

從明文到密文的過程一般是通過加密算法加密進行的。

從變密文到明文，稱為脫密（解密）變換。

主流加密算法分為：

對稱加密算法

非對稱加密算法（公鑰加密算法）

對稱加密過程

常見的對稱加密算法

對稱算法的缺陷

1.密鑰傳輸風險

Alice和Bob必須要使用一個安全的信道建立密鑰。

但是消息傳遞的通信鏈路是不安全的。

2. 密鑰多難管理

彌補對稱加密的缺陷

非對稱加密算法

加密和解密使用的是不同的密鑰（公鑰、私鑰），兩個密鑰之間存在著相互依存關系：用其中任一個密鑰加密的信息只能用另一個密鑰進行解密：

即用公鑰加密，用私鑰解密就可以得到明文；

這使得通信雙方無需事先交換密鑰就可進行保密通信。

非對稱加密過程

常見的非對稱加密算法

對稱加密 VS 非對稱加密

	對稱加密	非對稱加密
安全性	較低	較高
速度	較快	較慢
密鑰數量 （N人通信）	N取2的組合	N

綜上所述：

（1）數據傳輸采用對稱加密算法；

（2）對稱加密的密鑰通過非對稱加密算法進行加解密。

身份認證技術

身份認證：通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶來獲取訪問權限。

身份認證技術：是在網絡中確認操作者身份的過程而產生的有效解決方法。

應用場景

Alice生成數字簽名

Alice將信息都發送給Bob

Bob驗證數字簽名

復雜的情況出現了?。?！

黑客張三想欺騙Bob，他偷偷使用了Bob的電腦，用自己的公鑰換走了Alice的公鑰。

Bob無法確認公鑰的真實性

應用場景

應用場景

PKI體系

PKI（公開密鑰體系，Public Key Infrastructure）是一種遵循標準的利用非對稱加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。

簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和互聯網上的各種活動。

PKI 技術采用證書管理公鑰，通過第三方的可信任機構——CA認證中心把用戶的公鑰和用戶的其他標識信息捆綁在一起放在用戶證書中，在互聯網上驗證用戶的身份。

目前，通用的辦法是采用建立在PKI基礎之上的數字證書，通過把要傳輸的數字信息進行加密和簽名，保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。

PKI體系組成

PKI是創建、頒發、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數字證書，核心執行者是CA認證機構。

CA中心

? CA 中心，即 證書授權中心 (Certificate Authority ) ，或稱證書授權機構，作為電子商務交易中 受信任 的第三方。

? CA 中心 的作用：簽發證書、規定證書的有效期和通過發布證書廢除列表（CRL）確保必要時可以廢除證書，以及對證書和密鑰進行管理。

? CA 中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公鑰。

? CA 中心的數字簽名使得攻擊者不能偽造和篡改證書。

數字證書認證技術原理

數字證書

?一個經證書授權中心數字簽名的包含公開密鑰擁有者信息和公開密鑰的文件

數字證書是一般包含：

? 用戶身份信息

? 用戶公鑰信息

? 身份驗證機構數字簽名的數據

從證書用途來看，數字證書可分為簽名證書和加密證書。

簽名證書：主要用于對用戶信息進行簽名，以保證信息的真實性和不可否認性。

加密證書：主要用于對用戶傳送的信息進行加密，以保證信息的機密性和完整性。

常見證書類型

數據傳輸安全案例

數字證書實例—HTTPS協議

HTTP是常用的web協議，用來交互網頁數據。

由于HTTP是不加密的，在公網上明文傳輸，缺少保密性。所以出現了安全加密的HTTP協議---HTTPS協議。

HTTPS是在SSL協議基礎上的HTTP協議。

SSL協議的握手過程需要傳輸服務器的證書，并驗證證書的可靠性。

證書請求和發送

證書不可信

證書可信

審核編輯：劉清