什么是虛擬私有網(wǎng)VPN？VPN的常用技術(shù)有哪些？

需求場(chǎng)景：

需求背景：

VPN概述

VPN定義（Vitual Private Network，虛擬私有網(wǎng)）：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的安全數(shù)據(jù)通信網(wǎng)絡(luò)，只不過(guò)這個(gè)專線網(wǎng)絡(luò)是邏輯上的而不是物理的，所以稱為虛擬專用網(wǎng)。

虛擬：用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用公共網(wǎng)絡(luò)資源建立自己的私有網(wǎng)絡(luò)。

專用：用戶可以定制最符合自身需求的網(wǎng)絡(luò)。

核心技術(shù)：隧道技術(shù)

VPN分類：

按業(yè)務(wù)類型

1. Client-LAN VPN（Acceess VPN）

使用基于Internet遠(yuǎn)程訪問(wèn)的 VPN

出差在外的員工、有遠(yuǎn)程辦公需要的分支機(jī)構(gòu)，都可以利用這種類型的 VPN ，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行安全地遠(yuǎn)程訪問(wèn)。

LAN-LAN VPN

為了在不同局域網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，例如在企業(yè)內(nèi)部各分支機(jī)構(gòu)之間或者企業(yè)與其合作者之間的網(wǎng)絡(luò)進(jìn)行互聯(lián)，則可以采用 LAN－LAN 類型的 VPN 。

按網(wǎng)絡(luò)層次分類

VPN常用技術(shù)

隧道技術(shù)

隧道：是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。

隧道技術(shù)： 是指在隧道的兩端通過(guò)封裝以及解封裝技術(shù)在公網(wǎng)上建立一條數(shù)據(jù)通道，使用這條通道對(duì)數(shù)據(jù)報(bào)文進(jìn)行傳輸。隧道是由隧道協(xié)議構(gòu)建形成的。隧道技術(shù)是VPN技術(shù)中最關(guān)鍵的技術(shù)。

多種隧道技術(shù)比較

加解密技術(shù)

目的：即使信息被竊聽(tīng)或者截取，攻擊者也無(wú)法知曉信息的真實(shí)內(nèi)容。可以對(duì)抗網(wǎng)絡(luò)攻擊中的被動(dòng)攻擊。

通常使用加密機(jī)制來(lái)保護(hù)信息的保密性，防止信息泄密。信息的加密機(jī)制通常是建立在密碼學(xué)的基礎(chǔ)上。

密碼學(xué)基礎(chǔ)

從明文到密文的過(guò)程一般是通過(guò)加密算法加密進(jìn)行的。

從變密文到明文，稱為脫密（解密）變換。

主流加密算法分為：

對(duì)稱加密算法

非對(duì)稱加密算法（公鑰加密算法）

對(duì)稱加密過(guò)程

常見(jiàn)的對(duì)稱加密算法

對(duì)稱算法的缺陷

1.密鑰傳輸風(fēng)險(xiǎn)

Alice和Bob必須要使用一個(gè)安全的信道建立密鑰。

但是消息傳遞的通信鏈路是不安全的。

2. 密鑰多難管理

彌補(bǔ)對(duì)稱加密的缺陷

非對(duì)稱加密算法

加密和解密使用的是不同的密鑰（公鑰、私鑰），兩個(gè)密鑰之間存在著相互依存關(guān)系：用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密：

即用公鑰加密，用私鑰解密就可以得到明文；

這使得通信雙方無(wú)需事先交換密鑰就可進(jìn)行保密通信。

非對(duì)稱加密過(guò)程

常見(jiàn)的非對(duì)稱加密算法

對(duì)稱加密 VS 非對(duì)稱加密

綜上所述：

（1）數(shù)據(jù)傳輸采用對(duì)稱加密算法；

（2）對(duì)稱加密的密鑰通過(guò)非對(duì)稱加密算法進(jìn)行加解密。

身份認(rèn)證技術(shù)

身份認(rèn)證：通過(guò)標(biāo)識(shí)和鑒別用戶的身份，防止攻擊者假冒合法用戶來(lái)獲取訪問(wèn)權(quán)限。

身份認(rèn)證技術(shù)：是在網(wǎng)絡(luò)中確認(rèn)操作者身份的過(guò)程而產(chǎn)生的有效解決方法。

應(yīng)用場(chǎng)景

Alice生成數(shù)字簽名

Alice將信息都發(fā)送給Bob

Bob驗(yàn)證數(shù)字簽名

復(fù)雜的情況出現(xiàn)了?。?！

黑客張三想欺騙Bob，他偷偷使用了Bob的電腦，用自己的公鑰換走了Alice的公鑰。

Bob無(wú)法確認(rèn)公鑰的真實(shí)性

應(yīng)用場(chǎng)景

應(yīng)用場(chǎng)景

PKI體系

PKI（公開(kāi)密鑰體系，Public Key Infrastructure）是一種遵循標(biāo)準(zhǔn)的利用非對(duì)稱加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。

簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動(dòng)。

PKI 技術(shù)采用證書(shū)管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)——CA認(rèn)證中心把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起放在用戶證書(shū)中，在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份。

目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書(shū)，通過(guò)把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。

PKI體系組成

PKI是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書(shū)所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書(shū)，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

CA中心

? CA 中心，即 證書(shū)授權(quán)中心 (Certificate Authority ) ，或稱證書(shū)授權(quán)機(jī)構(gòu)，作為電子商務(wù)交易中 受信任 的第三方。

? CA 中心 的作用：簽發(fā)證書(shū)、規(guī)定證書(shū)的有效期和通過(guò)發(fā)布證書(shū)廢除列表（CRL）確保必要時(shí)可以廢除證書(shū)，以及對(duì)證書(shū)和密鑰進(jìn)行管理。

? CA 中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公鑰。

? CA 中心的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)。

數(shù)字證書(shū)認(rèn)證技術(shù)原理

數(shù)字證書(shū)

?一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息和公開(kāi)密鑰的文件

數(shù)字證書(shū)是一般包含：

? 用戶身份信息

? 用戶公鑰信息

? 身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)

從證書(shū)用途來(lái)看，數(shù)字證書(shū)可分為簽名證書(shū)和加密證書(shū)。

簽名證書(shū)：主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的真實(shí)性和不可否認(rèn)性。

加密證書(shū)：主要用于對(duì)用戶傳送的信息進(jìn)行加密，以保證信息的機(jī)密性和完整性。

常見(jiàn)證書(shū)類型

數(shù)據(jù)傳輸安全案例

數(shù)字證書(shū)實(shí)例—HTTPS協(xié)議

HTTP是常用的web協(xié)議，用來(lái)交互網(wǎng)頁(yè)數(shù)據(jù)。

由于HTTP是不加密的，在公網(wǎng)上明文傳輸，缺少保密性。所以出現(xiàn)了安全加密的HTTP協(xié)議---HTTPS協(xié)議。

HTTPS是在SSL協(xié)議基礎(chǔ)上的HTTP協(xié)議。

SSL協(xié)議的握手過(guò)程需要傳輸服務(wù)器的證書(shū)，并驗(yàn)證證書(shū)的可靠性。

證書(shū)請(qǐng)求和發(fā)送

證書(shū)不可信

證書(shū)可信

審核編輯：劉清