云计算和大数据时代的网络技术 - 第四章 网络加密 读书笔记

[warvyvr]

由于IPSec解决的是两个地理位置隔离的网络的互通问题，那么在技术角度上来说就是使两个在Internet上不相连的两个网络能够私密的胡同，IPSec的加解密动作是在Internet VPN出口网关来做的。 由于IPSec的工作方式原来是设计给分支机构和总部互通需求设计的，分支机构的报文在出分支机构后进入Internet前IPSec VPN网关来加密报文，对端IPSec VPN网关来解密报文并发送给对应的目的地。 由于移动办公方式的出现导致IPSec的工作方式带来了挑战：

1. 管理成本比较高 - 因为要维护客户电脑的软件的安装、调试。证书的分发和回收。导致管理成本上升以及难以维护。
2. 安全隐患 - IPSec在移动端接入后，由于是直接接入到IPSec网关上的，那么云客户实际上是可以和所有的IPSec可达的租户来通信的，那么这不是云主机需要带来的功能，明显是安全隐患。
3. 网络复杂性 - 由于IPSec是工作在第三层IP层的，那NAT、Firewall、广域网加速设备都需要对IPSec做特定的配置这无疑增加了网络管理的复杂性。

SSL (Secure Socket Layer) 加密套接字的出现，来代替IPSec在移动领域以及云计算领域的VPN方案。 SSL是基于IP上，Application之下的一层，那么在套接字socket一层来完成认证、加密、传输、和解密的操作，对上层应用来说这是个透明的过程。 由于是IP报文，那么可以简单的进行防火墙穿越。 SSL的握手过程需要在找个时间单独写一下。

[warvyvr]

SSL/TLS运行原理: http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html