这部分包括以下内容:
下面的部分将介绍虚拟私有网络(VPN)和密码系统的概念,以及如何使用加密和认证来构建VPN。IPsec, Internet Protocol Security,是创建VPN的标准体系。阿姆瑞特VPN采用的是Ipsec协议。
在加密和认证的基础部分,解释了这两种技术是如何确保VPN的保密性和完整性。同时解释诸如密钥空间,密码分析学和密码存储等概念。
这一章的最后一部分解释如何在不同区域的网络实施VPN网关,以及使用哪一种阿姆瑞特VPN方案。
以前,各种网络如同孤岛一样相互分离着。现在,大多数网络已通过因特网连接起来。防火墙,入侵保护系统,防病毒软件和其他安全设施都是保护本地网络免受来自因特网的犯罪和入侵的方法。可是,越来越多的商务工作经常是通过因特网,这种高效、经济的通讯方式完成的。
正如我们了解其中的困难一样,目前的因特网并非全部值得信任。私有利益和公司通讯要求数据通过因特网到达预期的接收者,而不允许任何其他人阅读或修改。接收者能够确认没有伪造信息,即假扮为他人的问题也同等重要。
VPN——虚拟私有网络,以一种非常廉价的方式,达到人们期望的安全方式交流信息,为各方提供安全连接。
使用专线或其他非公共线路交换部门间的数据已不再新鲜了。自从计算机第一次相互通讯开始就是这么做的。开始的时候,通讯限于局部区域通讯连接,但是现在,人们已经找到远距离交换计算机信息的方法。
目前固定链路通常非常可靠,但是存在带宽的问题。只要没有人攻击电话设施或挖掘地下光纤及其附件,固定链路还是比较安全的。
如果采用适合的安全措施,可以把远距离固定连接当作私有网络。
但是,通讯的固定渠道仅仅是固定。如果在公司A和B之间使用固定连接,那么只允许它们之间的通讯。
如果若干部门希望从各个方向进行相互通讯,则需要单独建立所有部门间的固定连接。这种情况很快超出管理和经济的限制。
两个部门只要求一个连接。
3个部门要求3个连接。
5个部门需要10个连接。
7个部门需要21个连接。
10个部门需要45个连接。
100个部门需要4950个连接。
有人也许会提出疑问,有的通讯可以通过中间体的方式进行。如果我希望与公司B对话,我是否可以把数据发给与公司B连接公司C呢?这样我就可以不必直接与公司B进行连接了吗?
某些小规模情况下,这种方法是可行的。但有时,即便是在容易管理的情况下,这种方法也是不可行的。假设一个公司把产品销售给10个相互竞争的客户。
- 他们当中有人愿意通过其它竞争者接受别人的定单进行确认吗?
- 不可能
这就需要另外一个解决方案。
从连接和安全的角度讲,VPN仍然可以看作在2个或多个部门间提供的“固定连接”。即使使用密码学实施私有网络的虚拟方,也不会改变这种固定连接。
密码系统是通过因特网创建虚拟私有网络的一种方法,不需要在有线、专线或其他连接方式上进行额外的投资。
密码系统是一种涵盖3种技术和好处的庇护方式:
机密性 - 除预期的接收者外,其他人无法截取、理解通讯。通过加密完成机密性。
认证和完整性 - 接收者证实通讯确实是由期望的发送者发送的,而且数据在传输过程中未做改动。这通常是用密码密钥复述方式的认证来完成。
不可抵赖性 - 证实发送者确实发送了数据,事后不能否认发送数据的事实。不可抵赖性通常为认证起良好的辅助作用。
VPN通常只与机密性和认证有关。不可抵赖性通常不在网络层进行处理,而是基于交易的处理(逐一文件的)。
下面的部分说明加密的工作方式,加密在VPN中提供机密性的用法以及它怎样使用认证提供完整性。