網(wǎng)絡(luò)加密技術(shù)在電子商務(wù)和VPN中的應(yīng)用

當一個黑客攻擊明尼蘇達州圣保羅附近的Marshalls服裝商店的Wi-Fi網(wǎng)絡(luò)漏洞的時候，數(shù)百萬信用卡受到了損害。TJMaxx的母公司TJX、Marshalls和HomeGoods商店等公司曾經(jīng)歷過的安全事件也使大家越來越關(guān)注有關(guān)網(wǎng)絡(luò)加密、加密的傳輸或者虛擬專用網(wǎng)安全的問題。同時一些個人信息被攻擊事件，包括美國政府內(nèi)部80%的現(xiàn)役軍人的名字的個人信息被盜取等事件促使美國政府下達一個行政命令，要求對傳輸和保存的個人身份識別數(shù)據(jù)采取加密措施。

　　在這里，筆者首先介紹加密傳輸?shù)腣PN的各種類型，然后再根據(jù)其復(fù)雜性提出需要考慮的加密類型。加密傳輸中的信息的兩種較常用的技術(shù)是SSL(安全套接層)和IPsec(IP網(wǎng)絡(luò)安全協(xié)議)。

　　網(wǎng)絡(luò)加密的四種類型

　　1、無客戶端SSL：SSL的原始應(yīng)用。在這種應(yīng)用中，一臺主機計算機在加密的鏈路上直接連接到一個來源(如Web服務(wù)器、郵件服務(wù)器、目錄等)。

　　2、配置VPN設(shè)備的無客戶端SSL：這種使用SSL的方法對于主機來說與第一種類似。但是，加密通訊的工作是由VPN設(shè)備完成的，而不是由在線資源完成的(如Web或者郵件服務(wù)器)。

　　3、主機至網(wǎng)絡(luò)：在上述兩個方案中，主機在一個加密的頻道直接連接到一個資源。在這種方式中，主機運行客戶端軟件(SSL或者IPsec客戶端軟件)連接到一臺VPN設(shè)備并且成為包含這個主機目標資源的那個網(wǎng)絡(luò)的一部分。

　　SSL：由于設(shè)置簡單，SSL已經(jīng)成為這種類型的VPN的事實上的選擇?？蛻舳塑浖ǔＪ呛苄〉幕贘ava的程序。用戶甚至可能都注意不到。

　　IPsec：在SSL成為創(chuàng)建主機至網(wǎng)絡(luò)的流行方式之前，要使用IPsec客戶端軟件。IPsec仍在使用，但是，它向用戶提供了許多設(shè)置選擇，容易造成混淆。

　　4、網(wǎng)絡(luò)至網(wǎng)絡(luò)：有許多方法能夠創(chuàng)建這種類型加密的隧道VPN.但是，要使用的技術(shù)幾乎總是IPsec.

　　在網(wǎng)絡(luò)至網(wǎng)絡(luò)的VPN的情況下，我們在討論從一個網(wǎng)絡(luò)設(shè)備到另一個網(wǎng)絡(luò)設(shè)備的加密問題。由于我們期待目前的網(wǎng)絡(luò)設(shè)備要做的事情，在這個討論中會出現(xiàn)一些其它難題：

　　與其它技術(shù)的相互作用：廣域網(wǎng)經(jīng)常使用服務(wù)質(zhì)量、深度包檢測或者廣域網(wǎng)加速。如果在部署的時候沒有考慮這些服務(wù)，加密就會使這些服務(wù)失效。網(wǎng)絡(luò)地址解析是另一個需要克服的障礙，因為它首先會干擾建立一個加密的連接的能力。

　　疊加網(wǎng)絡(luò)：加密隧道VPN是通過在現(xiàn)有的網(wǎng)絡(luò)上創(chuàng)建一個疊加的加密連接發(fā)揮作用的。加密的連接存在于這個網(wǎng)絡(luò)上的兩個具體接口之間。從源頭上看，如果要加密的網(wǎng)絡(luò)通訊被重新路由或者傳送到不同的接口，它就不會被加密。如果這個通訊在加密之后被重新路由并且被發(fā)送到指定接口以外的其它接口，它就不能被解碼或者被拋棄。

　　在一個加密的VPN中，DNS、IP地址和路由都需要特別注意。一些安全VPN技術(shù)與專用地址領(lǐng)域工作得非常好。有些安全VPN技術(shù)甚至在網(wǎng)絡(luò)端點采用動態(tài)地址的情況下也能很好工作。在某些情況下，企業(yè)喜歡把所有的互聯(lián)網(wǎng)通訊路由到一個中心的位置。在其它情況下，采用拆分隧道方法，分支地點有單獨的互聯(lián)網(wǎng)網(wǎng)關(guān)。

　　帶寬：網(wǎng)絡(luò)工程師不停地解決帶寬問題一邊為其用戶提供盡可能較好的體驗。但是，在一個加密的VPN的情況下，他們必須要考慮加密帶寬或者加密和解密大型數(shù)據(jù)流的能力。

　　無論是什么動機，探索這個技術(shù)正是時候。加密技術(shù)是比以前更便宜和產(chǎn)品更多的技術(shù)(這種技術(shù)嵌入在防火墻、路由器和廣域網(wǎng)加速器)。但是，對于大多數(shù)網(wǎng)絡(luò)工程師和設(shè)計師來說，這個技術(shù)需要不同的思路：按照復(fù)雜程度的順序進行思考以便在這種技術(shù)中進行選擇;努力地較大限度地減少網(wǎng)絡(luò)和網(wǎng)絡(luò)用戶的負擔(dān);等等。通過遵守一些基本的原則，你可以確保加密技術(shù)成為保證你的網(wǎng)絡(luò)安全的一種非常有用的、甚至是至關(guān)重要的工具。

　　加密技術(shù)的應(yīng)用是多方面的，但較為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用，下面就分別簡敘。

　　1、在電子商務(wù)方面的應(yīng)用

　　電子商務(wù)(E-business)要求顧客可以在網(wǎng)上進行各種商務(wù)活動，不必擔(dān)心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進行付款?，F(xiàn)在人們開始用RSA(一種公開/私有密鑰)的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/font>