數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用

付思源

摘要：本文通過對數(shù)據(jù)加密技術(shù)的介紹，分析了數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用，強(qiáng)調(diào)了信息加密技術(shù)在維護(hù)網(wǎng)絡(luò)安全方面的重要性。

關(guān)鍵字：數(shù)據(jù)加密；網(wǎng)絡(luò)安全；VPN技術(shù)

1 引言

進(jìn)入21世紀(jì)后，計算機(jī)通過Internet把世界聯(lián)系成一個整體，極大的加速了信息流通的速度和吞吐量，廣大的國際互聯(lián)網(wǎng)用戶，無一不感嘆計算機(jī)和網(wǎng)絡(luò)技術(shù)給人們帶來如此巨大的影響。與此同時，網(wǎng)絡(luò)快速發(fā)展給我們帶來的負(fù)面影響也越來越大，毫不夸張的說，在缺乏數(shù)據(jù)安全保護(hù)的情況下，用戶在網(wǎng)絡(luò)上存儲或傳輸?shù)娜魏涡畔?，都存在著被泄露或被更改的可能性?/p>

在這個電子商務(wù)業(yè)務(wù)快速興起的時代，如何保護(hù)數(shù)據(jù)安全使之不被竊取、篡改或破壞等的問題越來越受到人們的重視，而解決這個問題的關(guān)鍵就是數(shù)據(jù)加密技術(shù)。

2 數(shù)據(jù)加密技術(shù)

2.1 數(shù)據(jù)加密技術(shù)

所謂加密，就是一段有意義的文字或數(shù)據(jù)轉(zhuǎn)換成一串雜亂排列的、從字面上理解是沒有任何意義文字或數(shù)據(jù)的過程，被變換的信息稱之為明文，變化后的信息成之為密文；解密就是加密的逆過程，就是把“密文”恢復(fù)為“明文”的過程[1]。

2.2 數(shù)據(jù)加密算法

常見的數(shù)據(jù)加密算法有三種：對稱加密算法、非對稱加密算法和Hash算法。

對稱加密是指加密和解密使用相同密鑰的加密算法。假設(shè)某個企業(yè)中的兩個用戶需要通過對稱加密方法加密來交換數(shù)據(jù)，則用戶最少需要2個密鑰并交換使用，如果該企業(yè)內(nèi)部有n個用戶，則整個企業(yè)共需要n (n-1)/2個密鑰，那么密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢，對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的。典型的對稱加密算法有DES和3DES。

非對稱加密是指加密和解密使用不同密鑰的加密算法，也稱為公鑰加密。假設(shè)某個企業(yè)中的兩個用戶要通過對稱加密算法加密來交換數(shù)據(jù)，雙方交換公鑰，使用時一方用對方的公鑰PK加密，另一方即可用自己的私鑰SK解密。如果企業(yè)中有n個用戶，企業(yè)需要生成n對密鑰，并分發(fā)n個公鑰。由于公鑰是可以公開的，用戶只要保管好自己的私鑰即可，因此加密密鑰的分發(fā)將變得十分簡單。同時，由于每個用戶的私鑰是唯一的，其他用戶除了可以通過信息發(fā)送者的公鑰來驗(yàn)證信息的來源是否真實(shí)，還可以確保發(fā)送者無法否認(rèn)曾發(fā)送過該信息。典型的非對稱加密算法有RSA。

Hash算法是一種單向算法，用戶可以通過Hash算法對目標(biāo)信息生成一段特定長度的唯一Hash值，卻不能通過這個Hash值重新獲得目標(biāo)信息。因此Hash算法常用在不可還原的密碼存儲、信息完整性校驗(yàn)等。典型的Hash算法有MD5[2]。

2.3 數(shù)據(jù)加密算法的效能比較

對稱加密算法的優(yōu)點(diǎn)在于加/解密的高速度和使用長密鑰時的難破解性，適合于大量數(shù)據(jù)的加密，但對大型網(wǎng)絡(luò)系統(tǒng)來說，對稱加密所帶來的密鑰管理問題卻非常嚴(yán)重。

非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費(fèi)時間長、速度慢，它不適合于對文件加密而只適用于對少量數(shù)據(jù)進(jìn)行加密。

Hash算法主要用于文件完整性校驗(yàn)和數(shù)字簽名。

一般來說，加密密鑰越長，加密強(qiáng)度就越高，但長密鑰能夠減慢加/解密的速度，增加了實(shí)現(xiàn)的復(fù)雜性。正是由于數(shù)據(jù)加密技術(shù)在實(shí)際運(yùn)用過程中存在著加密強(qiáng)度與處理速度之間的矛盾，從而使加密技術(shù)在實(shí)際運(yùn)用中并不能達(dá)到預(yù)期的安全性，所以實(shí)際應(yīng)用過程中是將幾種加密算法混合使用，取長補(bǔ)短。

3 數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用

隨著Internet和信息技術(shù)的快速發(fā)展,越來越多的企業(yè)職工需要將便攜式計算機(jī)隨時隨地連接到企業(yè)的網(wǎng)絡(luò)，而當(dāng)遠(yuǎn)程用戶在外網(wǎng)環(huán)境中需要登陸公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)的時候,采用撥號方式或者專線方式都會存在通訊安全性問題或者通訊費(fèi)用高的問題，應(yīng)用VPN 技術(shù)就可以解決這個問題。

3.1 虛擬專用網(wǎng)

虛擬專用網(wǎng)VPN（Virtual Private Network)就是通過一個公共網(wǎng)絡(luò)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,它綜合了專用網(wǎng)絡(luò)性能的優(yōu)點(diǎn)和公用網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn),提供了一種通過公用網(wǎng)絡(luò)安全的對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式[3]。

3.2 虛擬專用網(wǎng)中的數(shù)據(jù)加密技術(shù)

VPN系統(tǒng)全部采用CA認(rèn)證體制（采用非對稱密鑰證書體系），即在企業(yè)信息中心VPN控制平臺建立統(tǒng)一的認(rèn)證授權(quán)系統(tǒng)，所有企業(yè)客戶端都有自己的私有證書、用戶名及密碼，使接入用戶與VPN、VPN網(wǎng)關(guān)進(jìn)行雙向身份鑒別，同時客戶端還支持雙因素身份認(rèn)證。每次用戶登錄都將有嚴(yán)格的審計日志記錄，以便于日后的審核，同時VPN系統(tǒng)增加了用戶操作的數(shù)字簽名，即數(shù)據(jù)交易的不可抵賴性。

由于數(shù)據(jù)全部通過互聯(lián)網(wǎng)進(jìn)行傳輸，所以必須進(jìn)行數(shù)據(jù)加密與數(shù)據(jù)的完整性保護(hù)。VPN一般提供128位以上的對稱加密措施，非對稱密碼算法使用1024位，并采用網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層VPN技術(shù)，全部采用一次一密體制，數(shù)據(jù)安全性極高。同時VPN采用MD5數(shù)據(jù)加密算法用以保護(hù)數(shù)據(jù)傳輸過程的完整性。

3.3 虛擬專用網(wǎng)中的安全措施

VPN系統(tǒng)一般建立在網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層，在系統(tǒng)的TDI層和協(xié)議堆棧之間增加安全擴(kuò)展模塊，實(shí)現(xiàn)密鑰管理、協(xié)商、數(shù)據(jù)加密/解密的過濾驅(qū)動程序。數(shù)據(jù)流圖見圖1。通過這種安全擴(kuò)展方式，不必修改上層的應(yīng)用程序，所有要通過網(wǎng)絡(luò)收發(fā)的數(shù)據(jù)包都必須經(jīng)過該安全驅(qū)動程序的過濾。VPN的信息安全措施主要包含下以幾種：

① 基于PKI（公鑰基礎(chǔ)結(jié)構(gòu)）的用戶授權(quán)體系

PKI是一個包含數(shù)字證書、管理機(jī)構(gòu)、證書管理、目錄服務(wù)的安全系統(tǒng)。PKI技術(shù)采用標(biāo)準(zhǔn)x.509證書，將用戶的身份和自己的公共密鑰綁定在一起，通過PKI技術(shù)和數(shù)字證書技術(shù)，可以有效的判斷用戶的身份，同時降低用戶在使用基于PKI體系的應(yīng)用安全系統(tǒng)的復(fù)雜性。

② 身份驗(yàn)證和數(shù)據(jù)加密

用戶通過VPN客戶端訪問VPN網(wǎng)關(guān)時，客戶端首先對用戶進(jìn)行雙因子身份驗(yàn)證，即用戶同時擁有用戶數(shù)字證書和該證書的使用口令。VPN客戶端采用基于PKI技術(shù)的數(shù)字證書技術(shù)，完成VPN網(wǎng)關(guān)服務(wù)器和用戶身份的雙向驗(yàn)證。驗(yàn)證通過后，VPN網(wǎng)關(guān)服務(wù)器產(chǎn)生對稱會話密鑰，并分發(fā)給用戶。在用戶與VPN網(wǎng)關(guān)服務(wù)器的通信過程中，使用該會話密鑰對信息進(jìn)行加密傳輸。身份驗(yàn)證和保護(hù)會話密鑰在傳遞過程中的安全，主要通過非對稱加密算法完成，VPN系統(tǒng)使用1024位的RSA算法，具有高度的安全性。

③ 數(shù)據(jù)完整性保護(hù)

完善的VPN系統(tǒng)不但要對用戶的身份進(jìn)行認(rèn)證，同時還要對系統(tǒng)中傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證，確認(rèn)傳輸過程中的消息已被全部發(fā)送。VPN系統(tǒng)對所有傳輸數(shù)據(jù)進(jìn)行Hash摘要算法對結(jié)果進(jìn)行加密，以實(shí)現(xiàn)數(shù)字簽名，有效地保證了數(shù)據(jù)在傳輸過程中的完整性，防止被他人篡改。

④ 訪問權(quán)限控制

企業(yè)需要利用VPN網(wǎng)絡(luò)組織內(nèi)部運(yùn)營流程并與其客戶及合作伙伴交換重要信息，這就要求企業(yè)VPN系統(tǒng)必須擁有嚴(yán)格的訪問控制機(jī)制。VPN技術(shù)采用細(xì)粒度的訪問權(quán)限列表模型（ACL），管理員可為每個VPN用戶分配不同的訪問特權(quán)，ACL以用戶身份特征為基礎(chǔ)，其管理與VPN系統(tǒng)的技術(shù)維護(hù)無關(guān)，企業(yè)可以將制定和管理ACL的工作，交由行政部門執(zhí)行，既方便公司的管理，又可有效防止網(wǎng)絡(luò)維護(hù)人員竊取公司機(jī)密。

4 結(jié)論

通過對數(shù)據(jù)加密技術(shù)的分析可知，就目前的數(shù)據(jù)加密技術(shù)來說，破譯并不容易，但數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時的, 因此我們只有對數(shù)據(jù)加密新技術(shù)的不斷研究，才能滿足快速增長的信息安全需求。信息安全問題涉及到國家及社會安全，全世界都已經(jīng)明確認(rèn)識到了這一點(diǎn)，因此，發(fā)展信息安全技術(shù)，建立一個完善的信息安全保障系統(tǒng)是目前計算機(jī)安全領(lǐng)域的迫切要求。

參考文獻(xiàn)

[1] 趙小林.網(wǎng)絡(luò)安全技術(shù)教程.[M].國防工業(yè)出版社.2004.

[2] 周黎明.計算機(jī)網(wǎng)絡(luò)的加密技術(shù).[J].計算機(jī)與信息技術(shù).2007.

[3] 高海龍.VPN技術(shù)及其發(fā)展. [J].福建電腦.2008.