數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用

付思源

摘要：本文通過對數(shù)據(jù)加密技術(shù)的介紹，分析了數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用，強調(diào)了信息加密技術(shù)在維護(hù)網(wǎng)絡(luò)安全方面的重要性。

關(guān)鍵字：數(shù)據(jù)加密；網(wǎng)絡(luò)安全；VPN技術(shù)

1 引言

進(jìn)入21世紀(jì)后，計算機通過Internet把世界聯(lián)系成一個整體，極大的加速了信息流通的速度和吞吐量，廣大的國際互聯(lián)網(wǎng)用戶，無一不感嘆計算機和網(wǎng)絡(luò)技術(shù)給人們帶來如此巨大的影響。與此同時，網(wǎng)絡(luò)快速發(fā)展給我們帶來的負(fù)面影響也越來越大，毫不夸張的說，在缺乏數(shù)據(jù)安全保護(hù)的情況下，用戶在網(wǎng)絡(luò)上存儲或傳輸?shù)娜魏涡畔ⅲ即嬖谥恍孤痘虮桓牡目赡苄浴?/p>

在這個電子商務(wù)業(yè)務(wù)快速興起的時代，如何保護(hù)數(shù)據(jù)安全使之不被竊取、篡改或破壞等的問題越來越受到人們的重視，而解決這個問題的關(guān)鍵就是數(shù)據(jù)加密技術(shù)。

2 數(shù)據(jù)加密技術(shù)

2.1 數(shù)據(jù)加密技術(shù)

所謂加密，就是一段有意義的文字或數(shù)據(jù)轉(zhuǎn)換成一串雜亂排列的、從字面上理解是沒有任何意義文字或數(shù)據(jù)的過程，被變換的信息稱之為明文，變化后的信息成之為密文；解密就是加密的逆過程，就是把“密文”恢復(fù)為“明文”的過程[1]。

2.2 數(shù)據(jù)加密算法

常見的數(shù)據(jù)加密算法有三種：對稱加密算法、非對稱加密算法和Hash算法。

對稱加密是指加密和解密使用相同密鑰的加密算法。假設(shè)某個企業(yè)中的兩個用戶需要通過對稱加密方法加密來交換數(shù)據(jù)，則用戶最少需要2個密鑰并交換使用，如果該企業(yè)內(nèi)部有n個用戶，則整個企業(yè)共需要n (n-1)/2個密鑰，那么密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢，對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的。典型的對稱加密算法有DES和3DES。

非對稱加密是指加密和解密使用不同密鑰的加密算法，也稱為公鑰加密。假設(shè)某個企業(yè)中的兩個用戶要通過對稱加密算法加密來交換數(shù)據(jù)，雙方交換公鑰，使用時一方用對方的公鑰PK加密，另一方即可用自己的私鑰SK解密。如果企業(yè)中有n個用戶，企業(yè)需要生成n對密鑰，并分發(fā)n個公鑰。由于公鑰是可以公開的，用戶只要保管好自己的私鑰即可，因此加密密鑰的分發(fā)將變得十分簡單。同時，由于每個用戶的私鑰是唯一的，其他用戶除了可以通過信息發(fā)送者的公鑰來驗證信息的來源是否真實，還可以確保發(fā)送者無法否認(rèn)曾發(fā)送過該信息。典型的非對稱加密算法有RSA。

Hash算法是一種單向算法，用戶可以通過Hash算法對目標(biāo)信息生成一段特定長度的唯一Hash值，卻不能通過這個Hash值重新獲得目標(biāo)信息。因此Hash算法常用在不可還原的密碼存儲、信息完整性校驗等。典型的Hash算法有MD5[2]。

2.3 數(shù)據(jù)加密算法的效能比較

對稱加密算法的優(yōu)點在于加/解密的高速度和使用長密鑰時的難破解性，適合于大量數(shù)據(jù)的加密，但對大型網(wǎng)絡(luò)系統(tǒng)來說，對稱加密所帶來的密鑰管理問題卻非常嚴(yán)重。

非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合于對文件加密而只適用于對少量數(shù)據(jù)進(jìn)行加密。

Hash算法主要用于文件完整性校驗和數(shù)字簽名。

一般來說，加密密鑰越長，加密強度就越高，但長密鑰能夠減慢加/解密的速度，增加了實現(xiàn)的復(fù)雜性。正是由于數(shù)據(jù)加密技術(shù)在實際運用過程中存在著加密強度與處理速度之間的矛盾，從而使加密技術(shù)在實際運用中并不能達(dá)到預(yù)期的安全性，所以實際應(yīng)用過程中是將幾種加密算法混合使用，取長補短。

3 數(shù)據(jù)加密技術(shù)在虛擬專用網(wǎng)中的應(yīng)用

隨著Internet和信息技術(shù)的快速發(fā)展,越來越多的企業(yè)職工需要將便攜式計算機隨時隨地連接到企業(yè)的網(wǎng)絡(luò)，而當(dāng)遠(yuǎn)程用戶在外網(wǎng)環(huán)境中需要登陸公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)的時候,采用撥號方式或者專線方式都會存在通訊安全性問題或者通訊費用高的問題，應(yīng)用VPN 技術(shù)就可以解決這個問題。

3.1 虛擬專用網(wǎng)

虛擬專用網(wǎng)VPN（Virtual Private Network)就是通過一個公共網(wǎng)絡(luò)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,它綜合了專用網(wǎng)絡(luò)性能的優(yōu)點和公用網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點,提供了一種通過公用網(wǎng)絡(luò)安全的對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式[3]。

3.2 虛擬專用網(wǎng)中的數(shù)據(jù)加密技術(shù)

VPN系統(tǒng)全部采用CA認(rèn)證體制（采用非對稱密鑰證書體系），即在企業(yè)信息中心VPN控制平臺建立統(tǒng)一的認(rèn)證授權(quán)系統(tǒng)，所有企業(yè)客戶端都有自己的私有證書、用戶名及密碼，使接入用戶與VPN、VPN網(wǎng)關(guān)進(jìn)行雙向身份鑒別，同時客戶端還支持雙因素身份認(rèn)證。每次用戶登錄都將有嚴(yán)格的審計日志記錄，以便于日后的審核，同時VPN系統(tǒng)增加了用戶操作的數(shù)字簽名，即數(shù)據(jù)交易的不可抵賴性。

由于數(shù)據(jù)全部通過互聯(lián)網(wǎng)進(jìn)行傳輸，所以必須進(jìn)行數(shù)據(jù)加密與數(shù)據(jù)的完整性保護(hù)。VPN一般提供128位以上的對稱加密措施，非對稱密碼算法使用1024位，并采用網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層VPN技術(shù)，全部采用一次一密體制，數(shù)據(jù)安全性極高。同時VPN采用MD5數(shù)據(jù)加密算法用以保護(hù)數(shù)據(jù)傳輸過程的完整性。

3.3 虛擬專用網(wǎng)中的安全措施

VPN系統(tǒng)一般建立在網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層，在系統(tǒng)的TDI層和協(xié)議堆棧之間增加安全擴展模塊，實現(xiàn)密鑰管理、協(xié)商、數(shù)據(jù)加密/解密的過濾驅(qū)動程序。數(shù)據(jù)流圖見圖1。通過這種安全擴展方式，不必修改上層的應(yīng)用程序，所有要通過網(wǎng)絡(luò)收發(fā)的數(shù)據(jù)包都必須經(jīng)過該安全驅(qū)動程序的過濾。VPN的信息安全措施主要包含下以幾種：

① 基于PKI（公鑰基礎(chǔ)結(jié)構(gòu)）的用戶授權(quán)體系

PKI是一個包含數(shù)字證書、管理機構(gòu)、證書管理、目錄服務(wù)的安全系統(tǒng)。PKI技術(shù)采用標(biāo)準(zhǔn)x.509證書，將用戶的身份和自己的公共密鑰綁定在一起，通過PKI技術(shù)和數(shù)字證書技術(shù)，可以有效的判斷用戶的身份，同時降低用戶在使用基于PKI體系的應(yīng)用安全系統(tǒng)的復(fù)雜性。

② 身份驗證和數(shù)據(jù)加密

用戶通過VPN客戶端訪問VPN網(wǎng)關(guān)時，客戶端首先對用戶進(jìn)行雙因子身份驗證，即用戶同時擁有用戶數(shù)字證書和該證書的使用口令。VPN客戶端采用基于PKI技術(shù)的數(shù)字證書技術(shù)，完成VPN網(wǎng)關(guān)服務(wù)器和用戶身份的雙向驗證。驗證通過后，VPN網(wǎng)關(guān)服務(wù)器產(chǎn)生對稱會話密鑰，并分發(fā)給用戶。在用戶與VPN網(wǎng)關(guān)服務(wù)器的通信過程中，使用該會話密鑰對信息進(jìn)行加密傳輸。身份驗證和保護(hù)會話密鑰在傳遞過程中的安全，主要通過非對稱加密算法完成，VPN系統(tǒng)使用1024位的RSA算法，具有高度的安全性。

③ 數(shù)據(jù)完整性保護(hù)

完善的VPN系統(tǒng)不但要對用戶的身份進(jìn)行認(rèn)證，同時還要對系統(tǒng)中傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證，確認(rèn)傳輸過程中的消息已被全部發(fā)送。VPN系統(tǒng)對所有傳輸數(shù)據(jù)進(jìn)行Hash摘要算法對結(jié)果進(jìn)行加密，以實現(xiàn)數(shù)字簽名，有效地保證了數(shù)據(jù)在傳輸過程中的完整性，防止被他人篡改。

④ 訪問權(quán)限控制

企業(yè)需要利用VPN網(wǎng)絡(luò)組織內(nèi)部運營流程并與其客戶及合作伙伴交換重要信息，這就要求企業(yè)VPN系統(tǒng)必須擁有嚴(yán)格的訪問控制機制。VPN技術(shù)采用細(xì)粒度的訪問權(quán)限列表模型（ACL），管理員可為每個VPN用戶分配不同的訪問特權(quán)，ACL以用戶身份特征為基礎(chǔ)，其管理與VPN系統(tǒng)的技術(shù)維護(hù)無關(guān)，企業(yè)可以將制定和管理ACL的工作，交由行政部門執(zhí)行，既方便公司的管理，又可有效防止網(wǎng)絡(luò)維護(hù)人員竊取公司機密。

4 結(jié)論

通過對數(shù)據(jù)加密技術(shù)的分析可知，就目前的數(shù)據(jù)加密技術(shù)來說，破譯并不容易，但數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時的, 因此我們只有對數(shù)據(jù)加密新技術(shù)的不斷研究，才能滿足快速增長的信息安全需求。信息安全問題涉及到國家及社會安全，全世界都已經(jīng)明確認(rèn)識到了這一點，因此，發(fā)展信息安全技術(shù)，建立一個完善的信息安全保障系統(tǒng)是目前計算機安全領(lǐng)域的迫切要求。

參考文獻(xiàn)

[1] 趙小林.網(wǎng)絡(luò)安全技術(shù)教程.[M].國防工業(yè)出版社.2004.

[2] 周黎明.計算機網(wǎng)絡(luò)的加密技術(shù).[J].計算機與信息技術(shù).2007.

[3] 高海龍.VPN技術(shù)及其發(fā)展. [J].福建電腦.2008.