定义
- 虚拟专用网,用于连通跨越公网的多个私网
隧道技术
- 对私网报文进行二次封装,封装上公网的IP头部信息,使私网报文能够在公网上传递
VPN的分类
按照业务类型分类
- LAN-LAN VPN(Site-Site VPN)
- 用来连接两个站点的VPN
- IPsec VPN、Sangfor VPN
- Client-LAN VPN(Access VPN)
- 用来使移动办公人员连接到公司内网的VPN
- SSL VPN、Sangfor VPN PDLAN
按照网络层次分类
- 网络接口层
- L2TP/PPTP
- 网络层
- IPsec/GRE/MPLS VPN
- 传输层
- Sangfor VPN
- 应用层
- SSL VPN
数据安全基础
数据安全四要素
- 机密性
- 完整性
- 身份验证
- 不可抵赖
数字加密
- 作用是为了解决数据机密性的问题
算法分类
- 对称加密
- 加密和解密使用同一个密钥
- 一旦密钥泄露,数据也会泄露
- 非对称加密
- 加密和解密使用不同的密钥
- 使用公钥加密,则只能使用私钥解密
- 使用私钥加密,则只能使用公钥解密
- 密钥
- 公钥:在网络上公开的密钥,任何人都可以获取
- 私钥:独立保存的密钥,不公开
- 安全性高,但是处理效率低
- 加密和解密使用不同的密钥
- 混合加密
- 使用非对称加密来保护对称加密的密钥协商阶段
- 使用对称加密密钥来保护数据传输
数字签名
- 作用是为了解决数据完整性和身份验证的问题
- 工作原理
- 数据发送方根据报文摘要计算出Hash值
- 数据发送方使用本端的私钥对Hash值进行加密后,附加在报文中传输
- 数据接收方使用发送方的公钥对Hash值进行解密
- 解密成功,则确认对方的身份
- 解密失败,则判断对方身份是伪造
- 数据接收方对报文摘要进行计算得到Hash值,将自身计算得出的Hash值与对方附加的Hash值进行对比
- 对比一致,则数据是完整的
- 对比不一致,则数据被篡改
- 数字签名基于非对称加密算法
数字证书
- 非对称加密和数字签名本身无法验证公钥的真伪,需要权威第三方来统一下发和管理公钥
- 定义
- 一个经过证书颁发机构(CA)数字签名的包含公开密钥拥有者信息和公钥的文件
- 数字证书由证书颁发机构下发
- 包含用户身份、用户公钥、根证书签名
PKI体系
- 定义
- 一个签发证书、传播证书、管理证书、使用证书的环境
- PKI体系保证了公钥的可获得性、真实性、完整性
- CA
- 证书颁发机构
- 接收用户的证书请求、签发用户证书、注销用户证书
- RA
- 证书注册机构
- 可以代替CA接收证书请求、签发用户证书,但是不能注销用户证书(只能由CA注销)