SSL VPN只服务器认证和服务器和用户均认证的情况区别 50

请问，SSL VPN只服务器认证和服务器和用户均认证的情况区别是什么

如果只认证SSL VPN服务器，如下图所示

那么认证完成以后，客户端会产生一个用于后面通讯的“基础数据（这些基础数据是用来生成通话密钥的）”，然后用服务器的公钥（服务器的公钥从服务器证书中校验后得到）对其加密；

服务器将用自己的私钥解开加密的“基础数据”；

那么是不是这种单向认证的方式，用户传给服务器的数据就是用服务器的公钥来进行加密的，然后服务器用对应的私钥解密，也就是说加密是单向的，从服务器到客户的数据还是没有加密的？

然后如果需要服务器验证用户身份

如上图所示，当客户端也使用数字证书进行验证以后，服务器发过来的数据是使用他的公钥加密的，然后客户使用对应的私钥加密？

这里又涉及一个问题，SSL VPN存在用户认证方式（本地认证（用户名+密码，数字证书）外部认证（LDAP认证，radius认证）这里辅助认证暂时不提）那么这里的认证方式，是不是只有数字证书认证才会进行服务器到客户端数据的SSL加密？还是说这里我误解了，SSL VPN客户端的认证和用户认证根本是两个不同的事情？麻烦知道的告诉下，谢谢了

您好，请参考此贴的详细介绍：http://sangfor.360help.com.cn/fo ... thread&tid=4612

看了一下，之前就看过这个资料的，可能对SSL的认识还没有深入下去，麻烦各位能根据提问回答下吗

我觉得楼主如果想了解原理的话可以参考二楼的帖子，里面的技术干货已经讲得很清楚了。如果楼主只是想了解整个过程的数据处理可以参考一楼小丸子的解释。如果楼主觉得这样还是不理解可以拨打400咨询相对应的产品线技术专家。

1)    客户端请求建立SSL连接，并将自己支持的一套加密规则发送给网站。

2)    网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息

3)    获得网站证书之后浏览器要做以下工作：

Ø  验证证书的合法性

Ø  如果证书受信任，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

Ø  使用约定好的HASH计算握手消息，

Ø  使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。

4)    网站接收浏览器发来的数据之后要做以下的操作：

Ø  使用自己的私钥将信息解密取出密码

Ø  使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。

Ø  使用密码加密一段握手消息，发送给浏览器

5)    浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手结束。

6)    使用随机密码和对称加密算法对传输的数据加密，传输。

4.     密与HASH算法如下：

1)     非对称加密算法：RSA，DSA/DSS，用于在握手过程中加密生成的密码。

2)     对称加密算法：AES，RC4，3DES，用于对真正传输的数据进行加密。

3)     HASH算法：MD5，SHA1，SHA256，验证数据的完整性。

这是单方面认证的情况，这里说，用户在确认服务器端身份后，会生成一串随机密码，后面这个随机密码是用来对传输的数据进行加密的，这个时候也就是说用户传输的业务数据是依靠这个来加密和解密的，如果是要对客户端进行证书的认证，客户端的公钥和私钥也只是用来加密和解密认证时候的数据，而传输的业务数据还是根据密码加密采用对称加密算法来实现的，这样理解对吗？