VPN简介及加密学基础知识项目七大型企业网安全性优化网络系.pptxVIP

第五节IntroductiontoVPNsandthebasicsofcryptograph主讲人：周栋山东轻工职业学院VPN简介及加密学基础知识网络设备配置与管理项目七大型企业网安全性优化—网络系统安全技术

VPN简介及加密学基础知识01PARTONE

1VPN简介是一条穿过非安全网络的安全、稳定的隧道，可以低成本实现异地网络的互联或者出差员工访问企业网络。VPN采取了多种加密技术保证了数据在公共网络传输时的安全。

1VPN简介要实现深圳、北京两地网络的互联。传统的方法是向运营商租用专线构建广域网（WAN），这样的通信方案必然导致高昂的网络通信和维护费用。

1VPN简介VPN概念VPN能够在Internet上构建一个虚拟隧道，这个隧道如同DDN专线一样把两地的网络进行互联。这种技术并不需要申请专线，通信成本和维护成本大大降低。VPN被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。

1VPN简介VPN分类按照用途分类远程接入VPN（AccessVPN）内联网VPN（IntranetVPN）外联网VPNVPN（Extranet）

1VPN简介按照技术分类VPN按照使用的协议分类主要有：PPTPVPN、L2TPVPN、IPSecVPN、GREVPN、BGP/MPLSVPN、VPLS、EVPN、SSLVPN等。PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议IPSec、GRE是第三层隧道协议，本章介绍的是IPSecVPNBGP/MPLS在二层和三层头部之间插入新的字段，是2.5层隧道协议VPLS是一种基于IP/MPLS和以太网技术的二层虚拟专用网技术EVPN全称是EthernetVirtualPrivateNetwork，这是一个基于BGP和MPLS的二层VPNSSLVPN工作在传输层和应用层之间，算是传输层隧道协议。

加密学基础02PARTTWO

2加密学基础对称加密如果发送端使用的加密密钥和接收端使用的解密密钥是相同的，则称为对称加密；加密密钥和解密密钥是不同的，则称为非对称加密。加密算法加密是把明文经过某种加密算法（算法是可以公开的）得出密文，加密时需要使用加密密钥（密钥不可公开）作为输入。密文在Internet传输，到了接收端，使用解密算法和解密密钥，得出原来的明文。加密算法在VPN中常用的对称加密算法有DES、3DES、AES-128、AES-192、AES-256和SM4等。

2加密学基础如果采用对称加密算法加密数据，因为加密密钥和解密密钥是相同的，如何在发送端和接收端同步密钥是一个问题，这个问题由密钥交换算法来解决。DH（Deffie-Hellman）密钥交换是最常用的密钥交换算法之一，它使得通信的双方能在Internet这样的非安全信道中安全地交换密钥，用于加密后续的通信。DH算法的神奇之处在于，交换密钥的双方可以在Internet这样的不安全环境中交换信息，即使这些信息被窃听，也能产生一个只有双方知道的一个密钥。常用的DH算法有Group1、Group2、Group5等。

2加密学基础DH算法的原理是依赖于计算离散对数的难度。

2加密学基础防止数据在传输过程中被篡改可以通过HASH算法实现。HASH也称为散列函数，能够把任意长度的输入通过运算变换成固定长度的散列值（通常是128位、168位、256位等）。HASH算法有个特点是输入明文很容易运算得到散列值，但是不能从散列值反推出明文，我们可以把HASH理解成一个单向函数。常用的HASH算法有MD5、SHA-1、SHA-256、SHA-384、SHA-512等。

2加密学基础事先通过密钥交换在收、发双方产生一个共同的密钥，发送方把要发送的消息、密钥做HASH运算得到HASH值，把消息和HASH值发送给对方。接收方收到消息后，把收到的消息、密钥做HASH运算得到自己的HASH值，然后把这个HASH值和收到的HASH做比较，如果两个HASH值相同，则表明数据在传输过程中没有被篡改；如果两个HASH值不相同，则表明数据在传输过程中被篡改。

2加密学基础还有一个问题需要解决，就是保证数据发送者的身份真实性，以防止假冒者发送数据。身份认证主要有两种方式：数字证书和预共享密钥。数字证书类似生活中我们使用的身份证，双方验证对方的身份证以保证对方身份

2加密学基础接收方也会把对方路由器名等信息、预共享密钥做HASH运算等到一个HASH值，然后把这个HASH值和收到的HASH值做比较。如果两个HASH值相同，则可以确认发送方身份是真实的；如果两个HASH值不相同，则发送方身份是虚假的。预共享密钥实现身份认证过程如图