付思源
摘要:本文通过对数据加密技术的介绍,分析了数据加密技术在虚拟专用网中的应用,强调了信息加密技术在维护网络安全方面的重要性。
关键字:数据加密;网络安全;VPN技术
1 引言
进入21世纪后,计算机通过Internet把世界联系成一个整体,极大的加速了信息流通的速度和吞吐量,广大的国际互联网用户,无一不感叹计算机和网络技术给人们带来如此巨大的影响。与此同时,网络快速发展给我们带来的负面影响也越来越大,毫不夸张的说,在缺乏数据安全保护的情况下,用户在网络上存储或传输的任何信息,都存在着被泄露或被更改的可能性。
在这个电子商务业务快速兴起的时代,如何保护数据安全使之不被窃取、篡改或破坏等的问题越来越受到人们的重视,而解决这个问题的关键就是数据加密技术。
2 数据加密技术
2.1 数据加密技术
所谓加密,就是一段有意义的文字或数据转换成一串杂乱排列的、从字面上理解是没有任何意义文字或数据的过程,被变换的信息称之为明文,变化后的信息成之为密文;解密就是加密的逆过程,就是把“密文”恢复为“明文”的过程[1]。
2.2 数据加密算法
常见的数据加密算法有三种:对称加密算法、非对称加密算法和Hash算法。
对称加密是指加密和解密使用相同密钥的加密算法。假设某个企业中的两个用户需要通过对称加密方法加密来交换数据,则用户最少需要2个密钥并交换使用,如果该企业内部有n个用户,则整个企业共需要n (n-1)/2个密钥,那么密钥的生成和分发将成为企业信息部门的恶梦,对称加密算法的安全性取决于加密密钥的保存情况,但要求企业中每一个持有密钥的人都保守秘密是不可能的。典型的对称加密算法有DES和3DES。
非对称加密是指加密和解密使用不同密钥的加密算法,也称为公钥加密。假设某个企业中的两个用户要通过对称加密算法加密来交换数据,双方交换公钥,使用时一方用对方的公钥PK加密,另一方即可用自己的私钥SK解密。如果企业中有n个用户,企业需要生成n对密钥,并分发n个公钥。由于公钥是可以公开的,用户只要保管好自己的私钥即可,因此加密密钥的分发将变得十分简单。同时,由于每个用户的私钥是唯一的,其他用户除了可以通过信息发送者的公钥来验证信息的来源是否真实,还可以确保发送者无法否认曾发送过该信息。典型的非对称加密算法有RSA。
Hash算法是一种单向算法,用户可以通过Hash算法对目标信息生成一段特定长度的唯一Hash值,却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。典型的Hash算法有MD5[2]。
2.3 数据加密算法的效能比较
对称加密算法的优点在于加/解密的高速度和使用长密钥时的难破解性,适合于大量数据的加密,但对大型网络系统来说,对称加密所带来的密钥管理问题却非常严重。
非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。
Hash算法主要用于文件完整性校验和数字签名。
一般来说,加密密钥越长,加密强度就越高,但长密钥能够减慢加/解密的速度,增加了实现的复杂性。正是由于数据加密技术在实际运用过程中存在着加密强度与处理速度之间的矛盾,从而使加密技术在实际运用中并不能达到预期的安全性,所以实际应用过程中是将几种加密算法混合使用,取长补短。
3 数据加密技术在虚拟专用网中的应用
随着Internet和信息技术的快速发展,越来越多的企业职工需要将便携式计算机随时随地连接到企业的网络,而当远程用户在外网环境中需要登陆公司或企业内部专用网络的时候,采用拨号方式或者专线方式都会存在通讯安全性问题或者通讯费用高的问题,应用VPN 技术就可以解决这个问题。
3.1 虚拟专用网
虚拟专用网VPN(Virtual Private Network)就是通过一个公共网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它综合了专用网络性能的优点和公用网络结构的优点,提供了一种通过公用网络安全的对企业内部专用网络进行远程访问的连接方式[3]。
3.2 虚拟专用网中的数据加密技术
VPN系统全部采用CA认证体制(采用非对称密钥证书体系),即在企业信息中心VPN控制平台建立统一的认证授权系统,所有企业客户端都有自己的私有证书、用户名及密码,使接入用户与VPN、VPN网关进行双向身份鉴别,同时客户端还支持双因素身份认证。每次用户登录都将有严格的审计日志记录,以便于日后的审核,同时VPN系统增加了用户操作的数字签名,即数据交易的不可抵赖性。
由于数据全部通过互联网进行传输,所以必须进行数据加密与数据的完整性保护。VPN一般提供128位以上的对称加密措施,非对称密码算法使用1024位,并采用网络协议堆栈上的应用层VPN技术,全部采用一次一密体制,数据安全性极高。同时VPN采用MD5数据加密算法用以保护数据传输过程的完整性。
3.3 虚拟专用网中的安全措施
VPN系统一般建立在网络协议堆栈上的应用层,在系统的TDI层和协议堆栈之间增加安全扩展模块,实现密钥管理、协商、数据加密/解密的过滤驱动程序。数据流图见图1。通过这种安全扩展方式,不必修改上层的应用程序,所有要通过网络收发的数据包都必须经过该安全驱动程序的过滤。VPN的信息安全措施主要包含下以几种:
① 基于PKI(公钥基础结构)的用户授权体系
PKI是一个包含数字证书、管理机构、证书管理、目录服务的安全系统。PKI技术采用标准x.509证书,将用户的身份和自己的公共密钥绑定在一起,通过PKI技术和数字证书技术,可以有效的判断用户的身份,同时降低用户在使用基于PKI体系的应用安全系统的复杂性。
② 身份验证和数据加密
用户通过VPN客户端访问VPN网关时,客户端首先对用户进行双因子身份验证,即用户同时拥有用户数字证书和该证书的使用口令。VPN客户端采用基于PKI技术的数字证书技术,完成VPN网关服务器和用户身份的双向验证。验证通过后,VPN网关服务器产生对称会话密钥,并分发给用户。在用户与VPN网关服务器的通信过程中,使用该会话密钥对信息进行加密传输。身份验证和保护会话密钥在传递过程中的安全,主要通过非对称加密算法完成,VPN系统使用1024位的RSA算法,具有高度的安全性。
③ 数据完整性保护
完善的VPN系统不但要对用户的身份进行认证,同时还要对系统中传输的数据进行认证,确认传输过程中的消息已被全部发送。VPN系统对所有传输数据进行Hash摘要算法对结果进行加密,以实现数字签名,有效地保证了数据在传输过程中的完整性,防止被他人篡改。
④ 访问权限控制
企业需要利用VPN网络组织内部运营流程并与其客户及合作伙伴交换重要信息,这就要求企业VPN系统必须拥有严格的访问控制机制。VPN技术采用细粒度的访问权限列表模型(ACL),管理员可为每个VPN用户分配不同的访问特权,ACL以用户身份特征为基础,其管理与VPN系统的技术维护无关,企业可以将制定和管理ACL的工作,交由行政部门执行,既方便公司的管理,又可有效防止网络维护人员窃取公司机密。
4 结论
通过对数据加密技术的分析可知,就目前的数据加密技术来说,破译并不容易,但数据加密技术所讨论的安全性只是暂时的, 因此我们只有对数据加密新技术的不断研究,才能满足快速增长的信息安全需求。信息安全问题涉及到国家及社会安全,全世界都已经明确认识到了这一点,因此,发展信息安全技术,建立一个完善的信息安全保障系统是目前计算机安全领域的迫切要求。
参考文献
[1] 赵小林.网络安全技术教程.[M].国防工业出版社.2004.
[2] 周黎明.计算机网络的加密技术.[J].计算机与信息技术.2007.
[3] 高海龙.VPN技术及其发展. [J].福建电脑.2008.