付思源

摘要：本文通過(guò)對(duì)數(shù)據(jù)加密技術(shù)的介紹，分析了數(shù)據(jù)加密技術(shù)在虛擬專(zhuān)用網(wǎng)中的應(yīng)用，強(qiáng)調(diào)了信息加密技術(shù)在維護(hù)網(wǎng)絡(luò)安全方面的重要性。

關(guān)鍵字：數(shù)據(jù)加密；網(wǎng)絡(luò)安全；VPN技術(shù)

1 引言

進(jìn)入21世紀(jì)后，計(jì)算機(jī)通過(guò)Internet把世界聯(lián)系成一個(gè)整體，極大的加速了信息流通的速度和吞吐量，廣大的國(guó)際互聯(lián)網(wǎng)用戶(hù)，無(wú)一不感嘆計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)給人們帶來(lái)如此巨大的影響。與此同時(shí)，網(wǎng)絡(luò)快速發(fā)展給我們帶來(lái)的負(fù)面影響也越來(lái)越大，毫不夸張的說(shuō)，在缺乏數(shù)據(jù)安全保護(hù)的情況下，用戶(hù)在網(wǎng)絡(luò)上存儲(chǔ)或傳輸?shù)娜魏涡畔?，都存在著被泄露或被更改的可能性?/p>

在這個(gè)電子商務(wù)業(yè)務(wù)快速興起的時(shí)代，如何保護(hù)數(shù)據(jù)安全使之不被竊取、篡改或破壞等的問(wèn)題越來(lái)越受到人們的重視，而解決這個(gè)問(wèn)題的關(guān)鍵就是數(shù)據(jù)加密技術(shù)。

2 數(shù)據(jù)加密技術(shù)

2.1 數(shù)據(jù)加密技術(shù)

所謂加密，就是一段有意義的文字或數(shù)據(jù)轉(zhuǎn)換成一串雜亂排列的、從字面上理解是沒(méi)有任何意義文字或數(shù)據(jù)的過(guò)程，被變換的信息稱(chēng)之為明文，變化后的信息成之為密文；解密就是加密的逆過(guò)程，就是把“密文”恢復(fù)為“明文”的過(guò)程[1]。

2.2 數(shù)據(jù)加密算法

常見(jiàn)的數(shù)據(jù)加密算法有三種：對(duì)稱(chēng)加密算法、非對(duì)稱(chēng)加密算法和Hash算法。

對(duì)稱(chēng)加密是指加密和解密使用相同密鑰的加密算法。假設(shè)某個(gè)企業(yè)中的兩個(gè)用戶(hù)需要通過(guò)對(duì)稱(chēng)加密方法加密來(lái)交換數(shù)據(jù)，則用戶(hù)最少需要2個(gè)密鑰并交換使用，如果該企業(yè)內(nèi)部有n個(gè)用戶(hù)，則整個(gè)企業(yè)共需要n (n-1)/2個(gè)密鑰，那么密鑰的生成和分發(fā)將成為企業(yè)信息部門(mén)的惡夢(mèng)，對(duì)稱(chēng)加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個(gè)持有密鑰的人都保守秘密是不可能的。典型的對(duì)稱(chēng)加密算法有DES和3DES。

非對(duì)稱(chēng)加密是指加密和解密使用不同密鑰的加密算法，也稱(chēng)為公鑰加密。假設(shè)某個(gè)企業(yè)中的兩個(gè)用戶(hù)要通過(guò)對(duì)稱(chēng)加密算法加密來(lái)交換數(shù)據(jù)，雙方交換公鑰，使用時(shí)一方用對(duì)方的公鑰PK加密，另一方即可用自己的私鑰SK解密。如果企業(yè)中有n個(gè)用戶(hù)，企業(yè)需要生成n對(duì)密鑰，并分發(fā)n個(gè)公鑰。由于公鑰是可以公開(kāi)的，用戶(hù)只要保管好自己的私鑰即可，因此加密密鑰的分發(fā)將變得十分簡(jiǎn)單。同時(shí)，由于每個(gè)用戶(hù)的私鑰是唯一的，其他用戶(hù)除了可以通過(guò)信息發(fā)送者的公鑰來(lái)驗(yàn)證信息的來(lái)源是否真實(shí)，還可以確保發(fā)送者無(wú)法否認(rèn)曾發(fā)送過(guò)該信息。典型的非對(duì)稱(chēng)加密算法有RSA。

Hash算法是一種單向算法，用戶(hù)可以通過(guò)Hash算法對(duì)目標(biāo)信息生成一段特定長(zhǎng)度的唯一Hash值，卻不能通過(guò)這個(gè)Hash值重新獲得目標(biāo)信息。因此Hash算法常用在不可還原的密碼存儲(chǔ)、信息完整性校驗(yàn)等。典型的Hash算法有MD5[2]。

2.3 數(shù)據(jù)加密算法的效能比較

對(duì)稱(chēng)加密算法的優(yōu)點(diǎn)在于加/解密的高速度和使用長(zhǎng)密鑰時(shí)的難破解性，適合于大量數(shù)據(jù)的加密，但對(duì)大型網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，對(duì)稱(chēng)加密所帶來(lái)的密鑰管理問(wèn)題卻非常嚴(yán)重。

非對(duì)稱(chēng)加密算法的保密性比較好，它消除了最終用戶(hù)交換密鑰的需要，但加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，它不適合于對(duì)文件加密而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。

Hash算法主要用于文件完整性校驗(yàn)和數(shù)字簽名。

一般來(lái)說(shuō)，加密密鑰越長(zhǎng)，加密強(qiáng)度就越高，但長(zhǎng)密鑰能夠減慢加/解密的速度，增加了實(shí)現(xiàn)的復(fù)雜性。正是由于數(shù)據(jù)加密技術(shù)在實(shí)際運(yùn)用過(guò)程中存在著加密強(qiáng)度與處理速度之間的矛盾，從而使加密技術(shù)在實(shí)際運(yùn)用中并不能達(dá)到預(yù)期的安全性，所以實(shí)際應(yīng)用過(guò)程中是將幾種加密算法混合使用，取長(zhǎng)補(bǔ)短。

3 數(shù)據(jù)加密技術(shù)在虛擬專(zhuān)用網(wǎng)中的應(yīng)用

隨著Internet和信息技術(shù)的快速發(fā)展,越來(lái)越多的企業(yè)職工需要將便攜式計(jì)算機(jī)隨時(shí)隨地連接到企業(yè)的網(wǎng)絡(luò)，而當(dāng)遠(yuǎn)程用戶(hù)在外網(wǎng)環(huán)境中需要登陸公司或企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)的時(shí)候,采用撥號(hào)方式或者專(zhuān)線(xiàn)方式都會(huì)存在通訊安全性問(wèn)題或者通訊費(fèi)用高的問(wèn)題，應(yīng)用VPN 技術(shù)就可以解決這個(gè)問(wèn)題。

3.1 虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)VPN（Virtual Private Network)就是通過(guò)一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,它綜合了專(zhuān)用網(wǎng)絡(luò)性能的優(yōu)點(diǎn)和公用網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn),提供了一種通過(guò)公用網(wǎng)絡(luò)安全的對(duì)企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的連接方式[3]。

3.2 虛擬專(zhuān)用網(wǎng)中的數(shù)據(jù)加密技術(shù)

VPN系統(tǒng)全部采用CA認(rèn)證體制（采用非對(duì)稱(chēng)密鑰證書(shū)體系），即在企業(yè)信息中心VPN控制平臺(tái)建立統(tǒng)一的認(rèn)證授權(quán)系統(tǒng)，所有企業(yè)客戶(hù)端都有自己的私有證書(shū)、用戶(hù)名及密碼，使接入用戶(hù)與VPN、VPN網(wǎng)關(guān)進(jìn)行雙向身份鑒別，同時(shí)客戶(hù)端還支持雙因素身份認(rèn)證。每次用戶(hù)登錄都將有嚴(yán)格的審計(jì)日志記錄，以便于日后的審核，同時(shí)VPN系統(tǒng)增加了用戶(hù)操作的數(shù)字簽名，即數(shù)據(jù)交易的不可抵賴(lài)性。

由于數(shù)據(jù)全部通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸，所以必須進(jìn)行數(shù)據(jù)加密與數(shù)據(jù)的完整性保護(hù)。VPN一般提供128位以上的對(duì)稱(chēng)加密措施，非對(duì)稱(chēng)密碼算法使用1024位，并采用網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層VPN技術(shù)，全部采用一次一密體制，數(shù)據(jù)安全性極高。同時(shí)VPN采用MD5數(shù)據(jù)加密算法用以保護(hù)數(shù)據(jù)傳輸過(guò)程的完整性。

3.3 虛擬專(zhuān)用網(wǎng)中的安全措施

VPN系統(tǒng)一般建立在網(wǎng)絡(luò)協(xié)議堆棧上的應(yīng)用層，在系統(tǒng)的TDI層和協(xié)議堆棧之間增加安全擴(kuò)展模塊，實(shí)現(xiàn)密鑰管理、協(xié)商、數(shù)據(jù)加密/解密的過(guò)濾驅(qū)動(dòng)程序。數(shù)據(jù)流圖見(jiàn)圖1。通過(guò)這種安全擴(kuò)展方式，不必修改上層的應(yīng)用程序，所有要通過(guò)網(wǎng)絡(luò)收發(fā)的數(shù)據(jù)包都必須經(jīng)過(guò)該安全驅(qū)動(dòng)程序的過(guò)濾。VPN的信息安全措施主要包含下以幾種：

① 基于PKI（公鑰基礎(chǔ)結(jié)構(gòu)）的用戶(hù)授權(quán)體系

PKI是一個(gè)包含數(shù)字證書(shū)、管理機(jī)構(gòu)、證書(shū)管理、目錄服務(wù)的安全系統(tǒng)。PKI技術(shù)采用標(biāo)準(zhǔn)x.509證書(shū)，將用戶(hù)的身份和自己的公共密鑰綁定在一起，通過(guò)PKI技術(shù)和數(shù)字證書(shū)技術(shù)，可以有效的判斷用戶(hù)的身份，同時(shí)降低用戶(hù)在使用基于PKI體系的應(yīng)用安全系統(tǒng)的復(fù)雜性。

② 身份驗(yàn)證和數(shù)據(jù)加密

用戶(hù)通過(guò)VPN客戶(hù)端訪(fǎng)問(wèn)VPN網(wǎng)關(guān)時(shí)，客戶(hù)端首先對(duì)用戶(hù)進(jìn)行雙因子身份驗(yàn)證，即用戶(hù)同時(shí)擁有用戶(hù)數(shù)字證書(shū)和該證書(shū)的使用口令。VPN客戶(hù)端采用基于PKI技術(shù)的數(shù)字證書(shū)技術(shù)，完成VPN網(wǎng)關(guān)服務(wù)器和用戶(hù)身份的雙向驗(yàn)證。驗(yàn)證通過(guò)后，VPN網(wǎng)關(guān)服務(wù)器產(chǎn)生對(duì)稱(chēng)會(huì)話(huà)密鑰，并分發(fā)給用戶(hù)。在用戶(hù)與VPN網(wǎng)關(guān)服務(wù)器的通信過(guò)程中，使用該會(huì)話(huà)密鑰對(duì)信息進(jìn)行加密傳輸。身份驗(yàn)證和保護(hù)會(huì)話(huà)密鑰在傳遞過(guò)程中的安全，主要通過(guò)非對(duì)稱(chēng)加密算法完成，VPN系統(tǒng)使用1024位的RSA算法，具有高度的安全性。

③ 數(shù)據(jù)完整性保護(hù)

完善的VPN系統(tǒng)不但要對(duì)用戶(hù)的身份進(jìn)行認(rèn)證，同時(shí)還要對(duì)系統(tǒng)中傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證，確認(rèn)傳輸過(guò)程中的消息已被全部發(fā)送。VPN系統(tǒng)對(duì)所有傳輸數(shù)據(jù)進(jìn)行Hash摘要算法對(duì)結(jié)果進(jìn)行加密，以實(shí)現(xiàn)數(shù)字簽名，有效地保證了數(shù)據(jù)在傳輸過(guò)程中的完整性，防止被他人篡改。

④ 訪(fǎng)問(wèn)權(quán)限控制

企業(yè)需要利用VPN網(wǎng)絡(luò)組織內(nèi)部運(yùn)營(yíng)流程并與其客戶(hù)及合作伙伴交換重要信息，這就要求企業(yè)VPN系統(tǒng)必須擁有嚴(yán)格的訪(fǎng)問(wèn)控制機(jī)制。VPN技術(shù)采用細(xì)粒度的訪(fǎng)問(wèn)權(quán)限列表模型（ACL），管理員可為每個(gè)VPN用戶(hù)分配不同的訪(fǎng)問(wèn)特權(quán)，ACL以用戶(hù)身份特征為基礎(chǔ)，其管理與VPN系統(tǒng)的技術(shù)維護(hù)無(wú)關(guān)，企業(yè)可以將制定和管理ACL的工作，交由行政部門(mén)執(zhí)行，既方便公司的管理，又可有效防止網(wǎng)絡(luò)維護(hù)人員竊取公司機(jī)密。

4 結(jié)論

通過(guò)對(duì)數(shù)據(jù)加密技術(shù)的分析可知，就目前的數(shù)據(jù)加密技術(shù)來(lái)說(shuō)，破譯并不容易，但數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時(shí)的, 因此我們只有對(duì)數(shù)據(jù)加密新技術(shù)的不斷研究，才能滿(mǎn)足快速增長(zhǎng)的信息安全需求。信息安全問(wèn)題涉及到國(guó)家及社會(huì)安全，全世界都已經(jīng)明確認(rèn)識(shí)到了這一點(diǎn)，因此，發(fā)展信息安全技術(shù)，建立一個(gè)完善的信息安全保障系統(tǒng)是目前計(jì)算機(jī)安全領(lǐng)域的迫切要求。

參考文獻(xiàn)

[1] 趙小林.網(wǎng)絡(luò)安全技術(shù)教程.[M].國(guó)防工業(yè)出版社.2004.

[2] 周黎明.計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù).[J].計(jì)算機(jī)與信息技術(shù).2007.

[3] 高海龍.VPN技術(shù)及其發(fā)展. [J].福建電腦.2008.