SSL VPN隧道建立过程

SSL VPN隧道建立过程

SSL VPN隧道建立过程分以下4个阶段：

第一阶段，客户端向服务器发出SSL连接请求，并附上一段随机产生的信息，服务器端在通讯之前会向证书颁发组织申请并获得自己的公钥、私钥以及证书。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。证书是由权威机构颁发的，当然也可以由自己搭建CA服务器颁发，但如果不是权威机构颁发的证书，就得不到公众的认可，有时候我们访问某些采用https传输的站点会提示非法证书等，原因就在此。要搞清楚公钥私钥，我这里隐隐约约记得一句话：公钥加密，私钥解密，你的公钥大家都可以拥有，私钥只有自己知道。比如说，你要给我发送机密数据，你使用我的公钥加密后发给我，我用我的私钥可以解开，别人没有我的私钥，所以解不开，数据传输是安全的。如果你对非对称加密算法有一定了解的话，就很清楚了。

第二阶段，服务器收到客户端的连接请求后，把收到的随机信息用私钥加密，然后连同公钥和身份信息发回给客户端。大家要记住，私钥只有服务器有，别人是没有的，所有别人不能伪造，服务器为什么要把公钥发给客户端呢？这是因为，客户端必须要用服务器的公钥才能解开使用私钥加密后的信息。

第三阶段，客户端收到服务器端的回应后，将先用从服务器端发来的公钥解密信息，还原后与自己之前产生的随机信息比较异同，从而验证服务器端的身份。在服务器端身份得到验证后，客户端将产生一个对称密钥，用于加密真正的传输信息，并将该对称密钥用公钥加密后发给服务器端。注意，此刻第一步客户端发送给服务器的随机信息起到很大的作用了：身份验证。只有验证了服务器的身份后，才能放心的与服务器进行数据通信，验证过程使用了非对称加密算法，然而数据传输一般都使用对称加密算法。对称加密，肯定也需要一个密钥，这个密钥必须借助非对称加密算法才能安全的传输到服务器。

第四阶段，服务器端得到信息后，用自己私钥解密并获得该对称密钥，之后客户端和服务器之间就可以用这个对称密钥进行加密通讯了。

以上只是讲了一个最基本的模型，SSL VPN应用还包含了很多其他的知识，如防重防攻击、数据完整性验证、不可否认性等。在整个通讯过程中，服务器端只要保护好私钥不被泄漏就可以保证自己的身份不会被冒充，对称密钥也不会被破解，从而保证了加密信息不会被破解，再加上校验信息也采用公钥和私钥加密机制，因此信息篡改也不可能发生，保证了传输的安全性。