0x0 WHY-为什么要使用VPN?

  • 为了保证数据传输安全性,使用专线过于昂贵并且架设不够方便,使用普通的静态NAT不够安全

0x1 WHAT-什么是VPN?

VPN(Vitual Private Network,虚拟私有网)是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网

  • VPN可以实现传统TCP/IP协议簇所不能实现的
    1. 加密解密技术
    2. 身份认证技术
    3. 使用隧道技术来保证数据的安全传输
  • VPN按照业务类型可以分为
    1. Client-LAN VPN(Acceess VPN):用于出差的用户向公司进行远程访问
    2. LAN LAN VPN:用于分公司向总公司进行连接
  • 按照网络层次可以分为

0x2 HOW-VPN如何实现上述功能

0x2.1 隧道技术

隧道技术:在原始IP报文上再加上一层VPN包头,用来识别对端VPN设备,从而建立安全连接

0x2.2 加密解密技术

加密解密技术:用于对传输的数据进行加密,即使被攻击者监听,被截获了,攻击者也无法进行解密

  • 对称加密:使用同一种密钥:DES,3DES,AES;缺陷:密钥传输有风险、密钥太多难以管理
  • 非对称加密:公钥,私钥:DH密钥交换算法;

VPN的数据传输使用对称加密,密钥传输使用非对称加密

0x2.3 身份认证技术

身份认证技术:用来鉴别用户身份,防止攻击者假冒合法用户来获取权限

  • 数字签名:
    • A:原始信息->hash->摘要->A的私钥签名->数字签名。A将数字签名和原始信息发送给B
    • B:数字签名->A的公钥->摘要   A的原始信息->hash->摘要
    • 左边验证公钥是A的,右边验证信息的完整性
  • 数字证书:
    • A->身份,机构信息,公钥信息->CA私钥加密->CA数字证书
    • B->CA的公钥解密数字证书->A的公钥
    • 之后步骤与数字签名一致
  • PKI体系:是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范
    • 根CA的办法者和办法给都是自己

0x2.4 完整的认证过程