一個黑客攻擊明尼蘇達州圣保羅附近的Marshalls服裝商店的Wi-Fi網絡漏洞的時候,數百萬信用卡受到了損害。TJ Maxx的母公司TJX、Marshalls和HomeGoods商店等公司曾經歷過的安全事件也使大家越來越關注有關網絡加密、加密的傳輸或者虛擬專用網安全的問題。同時一些個人信息被攻擊事件,包括美國政府內部80%的現(xiàn)役軍人的名字的個人信息被盜取等事件促使美國政府下達一個行政命令,要求對傳輸和保存的個人身份識別數據采取加密措施。
在這里,筆者首先介紹加密傳輸的VPN的各種類型,然后再根據其復雜性提出需要考慮的加密類型。加密傳輸中的信息的兩種最常用的技術是SSL(安全套接層)和IPsec(IP網絡安全協(xié)議)。
網絡加密的四種類型
1、無客戶端SSL:SSL的原始應用。在這種應用中,一臺主機計算機在加密的鏈路上直接連接到一個來源(如Web服務器、郵件服務器、目錄等)。
2、配置VPN設備的無客戶端SSL:這種使用SSL的方法對于主機來說與第一種類似。但是,加密通訊的工作是由VPN設備完成的,而不是由在線資源完成的(如Web或者郵件服務器)。
3、主機至網絡:在上述兩個方案中,主機在一個加密的頻道直接連接到一個資源。在這種方式中,主機運行客戶端軟件(SSL或者IPsec客戶端軟件)連接到一臺VPN設備并且成為包含這個主機目標資源的那個網絡的一部分。
SSL:由于設置簡單,SSL已經成為這種類型的VPN的事實上的選擇。客戶端軟件通常是很小的基于Java的程序。用戶甚至可能都注意不到。
IPsec:在SSL成為創(chuàng)建主機至網絡的流行方式之前,要使用IPsec客戶端軟件。IPsec仍在使用,但是,它向用戶提供了許多設置選擇,容易造成混淆。
4、網絡至網絡:有許多方法能夠創(chuàng)建這種類型加密的隧道VPN.但是,要使用的技術幾乎總是IPsec。
在網絡至網絡的VPN的情況下,我們在討論從一個網絡設備到另一個網絡設備的加密問題。由于我們期待目前的網絡設備要做的事情,在這個討論中會出現(xiàn)一些其它難題:
與其它技術的相互作用:廣域網經常使用服務質量、深度包檢測或者廣域網加速。如果在部署的時候沒有考慮這些服務,加密就會使這些服務失效。網絡地址解析是另一個需要克服的障礙,因為它首先會干擾建立一個加密的連接的能力。
疊加網絡:加密隧道VPN是通過在現(xiàn)有的網絡上創(chuàng)建一個疊加的加密連接發(fā)揮作用的。加密的連接存在于這個網絡上的兩個具體接口之間。從源頭上看,如果要加密的網絡通訊被重新路由或者傳送到不同的接口,它就不會被加密。如果這個通訊在加密之后被重新路由并且被發(fā)送到指定接口以外的其它接口,它就不能被解碼或者被拋棄。
在一個加密的VPN中,DNS、IP地址和路由都需要特別注意。一些安全VPN技術與專用地址領域工作得非常好。有些安全 VPN技術甚至在網絡端點采用動態(tài)地址的情況下也能很好工作。在某些情況下,企業(yè)喜歡把所有的互聯(lián)網通訊路由到一個中心的位置。在其它情況下,采用拆分隧道方法,分支地點有單獨的互聯(lián)網網關。
帶寬:網絡工程師不停地解決帶寬問題一邊為其用戶提供盡可能最好的體驗。但是,在一個加密的VPN的情況下,他們必須要考慮加密帶寬或者加密和解密大型數據流的能力。
無論是什么動機,探索這個技術正是時候。加密技術是比以前更便宜和產品更多的技術(這種技術嵌入在防火墻、路由器和廣域網加速器)。但是,對于大多數網絡工程師和設計師來說,這個技術需要不同的思路:按照復雜程度的順序進行思考以便在這種技術中進行選擇;努力地最大限度地減少網絡和網絡用戶的負擔;等等。通過遵守一些基本的原則,你可以確保加密技術成為保證你的網絡安全的一種非常有用的、甚至是至關重要的工具。
加密技術的應用是多方面的,但最為廣泛的還是在電子商務和VPN上的應用,下面就分別簡敘。
1、在電子商務方面的應用
電子商務(E-business)要求顧客可以在網上進行各種商務活動,不必擔心自己的信用卡會被人盜用。在過去,用戶為了防止信用卡的號碼被竊取到,一般是通過電話訂貨,然后使用用戶的信用卡進行付款。現(xiàn)在人們開始用RSA(一種公開/私有密鑰)的加密技術,提高信用卡交易的安全性,從而使電子商務走向實用成為可能。
許多人都知道NETSCAPE公司是Internet商業(yè)中領先技術的提供者,該公司提供了一種基于RSA和保密密鑰的應用于因特網的技術,被稱為安全插座層(Secure Sockets Layer,SSL)。
也許很多人知道Socket,它是一個編程界面,并不提供任何安全措施,而SSL不但提供編程界面,而且向上提供一種安全的服務,SSL3.0現(xiàn)在已經應用到了服務器和瀏覽器上,SSL2.0則只能應用于服務器端。
SSL3.0用一種電子證書(electric certificate)來實行身份進行驗證后,雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法,在客戶與電子商務的服務器進行溝通的過程中,客戶會產生一個Session Key,然后客戶用服務器端的公鑰將Session Key進行加密,再傳給服務器端,在雙方都知道Session Key后,傳輸的數據都是以Session Key進行加密與解密的,但服務器端發(fā)給用戶的公鑰必需先向有關發(fā)證機關申請,以得到公證。
基于SSL3.0提供的安全保障,用戶就可以自由訂購商品并且給出信用卡號了,也可以在網上和合作伙伴交流商業(yè)信息并且讓供應商把訂單和收貨單從網上發(fā)過來,這樣可以節(jié)省大量的紙張,為公司節(jié)省大量的電話、傳真費用。在過去,電子信息交換(Electric Data Interchange,EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在專用網絡上完成的,使用專用網的費用大大高于互聯(lián)網。正是這樣巨大的誘惑,才使人們開始發(fā)展因特網上的電子商務,但不要忘記數據加密。
2、加密技術在VPN中的應用
虛擬專用網(Virtual Private Network,VPN)是一種“基于公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用,而且提供了比傳統(tǒng)方法更強的安全性和可靠性。
VPN可分為三大類:
(1)企業(yè)各部門與遠程分支之間的Intranet VPN;
(2)企業(yè)網與遠程(移動)雇員之間的遠程訪問(Remote Access)VPN;
(3)企業(yè)與合作伙伴、客戶、供應商之間的Extranet VPN。
現(xiàn)在,越多越多的公司走向國際化,一個公司可能在多個國家都有辦事機構或銷售中心,每一個機構都有自己的局域網LAN(Local Area Network),但在當今的網絡社會人們的要求不僅如此,用戶希望將這些LAN連結在一起組成一個公司的廣域網,這個在現(xiàn)在已不是什么難事了。
事實上,很多公司都已經這樣做了,但他們一般使用租用專用線路來連結這些局域網 ,他們考慮的就是網絡的安全問題。現(xiàn)在具有加密/解密功能的路由器已到處都是,這就使人們通過互聯(lián)網連接這些局域網成為可能,這就是我們通常所說的虛擬專用網(Virtual Private Network ,VPN)。當數據離開發(fā)送者所在的局域網時,該數據首先被用戶連接到互聯(lián)網上的路由器進行硬件加密,數據在互聯(lián)網上是以加密的形式傳送的,當達到目的LAN的路由器時,該路由器就會對數據進行解密,這樣目的LAN中的用戶就可以看到真正的信息了。
