八 经典实用技术详解-VPN( 二 )


非对称加密,或公用密钥,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥,任何人都可以获得公用密钥 。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密 。
公用密钥加密技术答应对信息进行数字签名 。数字签名使用发送发送一方的专用密钥对所发送信息的某一部分进行加密 。接受方收到该信息后,使用发送方的公用密钥解密数字签名,验证发送方身份 。
证书
使用对称加密时,发送和接收方都使用共享的加密密钥 。必须在进行加密通讯之前,完成密钥的分布 。使用非对称加密时,发送方使用一个专用密钥加密信息或数字签名,接收方使用公用密钥解密信息 。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方,发送方只要保证专用密钥的安全性即可 。
为保证公用密钥的完整性,公用密钥随证书一同发布 。证书(或公用密钥证书)是一种经过证书签发机构(CA)数字签名的数据结构 。CA使用自己的专用密钥对证书进行数字签名 。假如接受方知道CA的公用密钥,就可以证实证书是由CA签发,因此包含可靠的信息和有效的公用密钥 。
总之,公用密钥证书为验证发送方的身份提供了一种方便,可靠的方法 。IPSec可以选择使用该方式进行端到端的验证 。RAS可以使用公用密钥证书验证用户身份 。
扩展验证协议(EAP)
如前文所述,PPP只能提供有限的验证方式 。EAP是由IETF提出的PPP协议的扩展,答应连接使用任意方式对一条PPP连接的有效性进行验证 。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块 。
交易层安全协议(EAP-TLS)
EAP-TLS已经作为提议草案提交给IETF,用于建立基于公用密钥证书的强大的验证方式 。使用EAP-TLS,客户向拨入服务器发送一份用户方证书,同时,服务器把服务器证书发送给客户 。用户证书向服务器提供了强大的用户识别信息;服务器证书保证用户已经连接到预期的服务器 。
用户方证书可以被存放在拨号客户PC中,或存放在外部智能卡 。无论那种方式,假如用户不能提供没有一定形式的用户识别信息(PIN号或用户名和口令),就无法访问证书 。

推荐阅读