当一个黑客攻击明尼苏达州圣保罗附近的Marshalls服装商店的Wi-Fi网络漏洞的时候,数百万信用卡受到了损害。TJ Maxx的母公司TJX、Marshalls和HomeGoods商店等公司曾经历过的安全事件也使大家越来越关注有关网络加密、加密的传输或者虚拟专用网安全的问题。同时一些个人信息被攻击事件,包括美国政府内部80%的现役军人的名字的个人信息被盗取等事件促使美国政府下达一个行政命令,要求对传输和保存的个人身份识别数据采取加密措施。
在这里,笔者首先介绍加密传输的VPN的各种类型,然后再根据其复杂性提出需要考虑的加密类型。加密传输中的信息的两种最常用的技术是SSL(安全套接层)和IPsec(IP网络安全协议)。
网络加密的四种类型
1、无客户端SSL:SSL的原始应用。在这种应用中,一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。
2、配置VPN设备的无客户端SSL:这种使用SSL的方法对于主机来说与第一种类似。但是,加密通讯的工作是由VPN设备完成的,而不是由在线资源完成的(如Web或者邮件服务器)。
3、主机至网络:在上述两个方案中,主机在一个加密的频道直接连接到一个资源。在这种方式中,主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。
SSL:由于设置简单,SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。
IPsec:在SSL成为创建主机至网络的流行方式之前,要使用IPsec客户端软件。IPsec仍在使用,但是,它向用户提供了许多设置选择,容易造成混淆。
4、网络至网络:有许多方法能够创建这种类型加密的隧道VPN.但是,要使用的技术几乎总是IPsec。
在网络至网络的VPN的情况下,我们在讨论从一个网络设备到另一个网络设备的加密问题。由于我们期待目前的网络设备要做的事情,在这个讨论中会出现一些其它难题:
与其它技术的相互作用:广域网经常使用服务质量、深度包检测或者广域网加速。如果在部署的时候没有考虑这些服务,加密就会使这些服务失效。网络地址解析是另一个需要克服的障碍,因为它首先会干扰建立一个加密的连接的能力。
叠加网络:加密隧道VPN是通过在现有的网络上创建一个叠加的加密连接发挥作用的。加密的连接存在于这个网络上的两个具体接口之间。从源头上看,如果要加密的网络通讯被重新路由或者传送到不同的接口,它就不会被加密。如果这个通讯在加密之后被重新路由并且被发送到指定接口以外的其它接口,它就不能被解码或者被抛弃。
在一个加密的VPN中,DNS、IP地址和路由都需要特别注意。一些安全VPN技术与专用地址领域工作得非常好。有些安全 VPN技术甚至在网络端点采用动态地址的情况下也能很好工作。在某些情况下,企业喜欢把所有的互联网通讯路由到一个中心的位置。在其它情况下,采用拆分隧道方法,分支地点有单独的互联网网关。
带宽:网络工程师不停地解决带宽问题一边为其用户提供尽可能最好的体验。但是,在一个加密的VPN的情况下,他们必须要考虑加密带宽或者加密和解密大型数据流的能力。
无论是什么动机,探索这个技术正是时候。加密技术是比以前更便宜和产品更多的技术(这种技术嵌入在防火墙、路由器和广域网加速器)。但是,对于大多数网络工程师和设计师来说,这个技术需要不同的思路:按照复杂程度的顺序进行思考以便在这种技术中进行选择;努力地最大限度地减少网络和网络用户的负担;等等。通过遵守一些基本的原则,你可以确保加密技术成为保证你的网络安全的一种非常有用的、甚至是至关重要的工具。
加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,下面就分别简叙。
1、在电子商务方面的应用
电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。
许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(Secure Sockets Layer,SSL)。
也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL3.0现在已经应用到了服务器和浏览器上,SSL2.0则只能应用于服务器端。
SSL3.0用一种电子证书(electric certificate)来实行身份进行验证后,双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个Session Key,然后客户用服务器端的公钥将Session Key进行加密,再传给服务器端,在双方都知道Session Key后,传输的数据都是以Session Key进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。
基于SSL3.0提供的安全保障,用户就可以自由订购商品并且给出信用卡号了,也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来,这样可以节省大量的纸张,为公司节省大量的电话、传真费用。在过去,电子信息交换(Electric Data Interchange,EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在专用网络上完成的,使用专用网的费用大大高于互联网。正是这样巨大的诱惑,才使人们开始发展因特网上的电子商务,但不要忘记数据加密。
2、加密技术在VPN中的应用
虚拟专用网(Virtual Private Network,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:
(1)企业各部门与远程分支之间的Intranet VPN;
(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;
(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。
现在,越多越多的公司走向国际化,一个公司可能在多个国家都有办事机构或销售中心,每一个机构都有自己的局域网LAN(Local Area Network),但在当今的网络社会人们的要求不仅如此,用户希望将这些LAN连结在一起组成一个公司的广域网,这个在现在已不是什么难事了。
事实上,很多公司都已经这样做了,但他们一般使用租用专用线路来连结这些局域网 ,他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是,这就使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network ,VPN)。当数据离开发送者所在的局域网时,该数据首先被用户连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。