数据传输安全-虚拟专用网络概述

一、虚拟专用网络的需求背景

1. 企业、组织、商家对专用网有强大的需求
2. 高性能、高速度和高安全性是专用网的优势
3. 物理专用网价格高昂，物理架设实施有难度。通过传统租用专线或拨号网络的方式性价比较低
4. TCP/IP协议簇本身局限性，无法保障传输保密

二、虚拟专用网络概述

• 虚拟专用网络（Virtual Private Network，虚拟私有网）：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络，只不过是逻辑上的专线网络，不是物理专线，所以称之为虚拟专用网。
• 虚拟：用户不再需要拥有实际的长途数据线路，而是使用公共网络资源建立自己的私有网络。
• 专用：用户可以定制最符合自身需求的网络。
• 核心技术：隧道技术。

三、虚拟专用网络的分类

3.1 按业务类型分

3.1.1 Client-LAN VPN（Access VPN）

• 使用基于Internet远程访问的VPN
• 出差在外的员工、有远程办公需要的分支机构，都可以利用这种类型的VPN，实现对企业内部网络资源进行安全地远程访问，工作在二层，如PPTP、L2TP

3.1.2 LAN-LAN VPN

• 为了再不通局域网络之间建立安全的数据传输通道，例如企业内部各分支机构之间或企业与其合作伙伴之间的网络进行互联，则可以采用LAN-LAN类型的VPN。如IPsec

3.2 按网络层次分类

• 应用层：SSL VPN等
• 传输层： Sangfor VPN
• 网络层：IPsec、GRE等
• 网络接口层：L2F/L2TP、PPTP等

四、虚拟专用网络常用技术

4.1 隧道技术

• 隧道：是在公共通信网络上构建一条数据路径，可以提供与专用通信线路等同的连接特性
• 隧道技术：是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道，使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。

多种隧道技术比较

4.2 加解密技术

4.2.1 加解密技术概述

• 目的：即使信息被切图或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
• 通常使用加密机制来保护信息的保密性，防止信息谢幕。信息的加密机制通常是建立在密码学的基础上。

4.2.2 加密算法

4.2.2.1 对称加密算法

密钥数量（N人通信）：N取2的组合

• IDEA：国际数据加密算法，使用128位密钥提供安全性
• DES/3DES：DES采用分组加密方法，使用56位密钥加密64位明文，最后产生64位密文。3DES用两个密钥对数据进行3次加密/解密运算
• AES：分组密码，分组密码也就是把明文分成一组一组的，每组长度相等，每次加密一组数据，直到加密完整个明文。高级加密标准，是下一代的加密算法标准，速度快、安全级别高，21世纪AES标准的一个实现是Rijndael算法
• RC系列：包括RC2、RC4、RC5算法，其中RC4是序列密码算法，其他三种是分组密码算法

对称加密算法的缺陷 ：

1. 密钥传输风险（必须使用一个安全的信道建立密钥，消息传输的通信链路是不安全的）
2. 密钥管理难

4.2.2.2 非对称加密算法

密钥数量（N人通信）：N

• 加密和解密使用不通的密钥（公钥、私钥），两个密钥之间存在着相互依存的关系：用其中任一个密钥加密的信息只能用另一个密钥进行解密：
  即用公钥加密，用私钥解密就可以得到

常见的非对称加密算法：

• ECC：椭圆曲线加密
• RSA：支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可以变的
• Rabin
• Elgamal

4.3 身份认证技术

• 身份认证：通过标识和鉴别用户的身份，防止攻击者假冒合法用户来获取访问权限
• 身份认证技术：是在网络中确认操作者身份的过程而产生的有效解决办法

4.3.1 PKI体系

PKI（公开密钥体系）是一种遵循标准的利用非对称加密i技术为电子上午的开展提供一套安全基础平台的技术和规范。PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

• PKI技术采用证书管理公钥，通过第三方的可信机构–CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户的身份
• 目前通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

4.3.1.1 PKI体系组成

PKI是创建、办法、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。
CA中心
CA中心，即证书授权中心，或称证书授权机构，作为电子商务交易中受信任的第三方

• CA中心的作用：签发证书、规定证书的有效期和通过发布证书废除列表（CRL）确保必要时可以废除证书，以及对证书和密钥进行管理
• CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥
• CA中心的数字签名使得攻击者不能伪造和篡改证书

4.3.2 数字证书认证技术原理

• 数字证书一般包含：用户身份信息、用户公钥信息、身份认证机构数字签名的数据
• 从证书用途来看，数字证书可分为签名证书和加密证书
• 签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。
• 加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。

常见数字证书类型
数字证书、根证书、用户证书、设备证书

4.3.3 数字证书实例-HTTPS协议

• http是不加密的，在公网上明文传输，缺少保密性，https是在ssl协议基础上的http协议，ssl协议的握手过程需要传输服务器的证书，并验证证书的可靠性。