數據加密技術在虛擬專用網中的應用

付思源

摘要：本文通過對數據加密技術的介紹，分析了數據加密技術在虛擬專用網中的應用，強調了信息加密技術在維護網絡安全方面的重要性。

關鍵字：數據加密；網絡安全；VPN技術

1 引言

進入21世紀后，計算機通過Internet把世界聯系成一個整體，極大的加速了信息流通的速度和吞吐量，廣大的國際互聯網用戶，無一不感嘆計算機和網絡技術給人們帶來如此巨大的影響。與此同時，網絡快速發展給我們帶來的負面影響也越來越大，毫不夸張的說，在缺乏數據安全保護的情況下，用戶在網絡上存儲或傳輸的任何信息，都存在著被泄露或被更改的可能性。

在這個電子商務業務快速興起的時代，如何保護數據安全使之不被竊取、篡改或破壞等的問題越來越受到人們的重視，而解決這個問題的關鍵就是數據加密技術。

2 數據加密技術

2.1 數據加密技術

所謂加密，就是一段有意義的文字或數據轉換成一串雜亂排列的、從字面上理解是沒有任何意義文字或數據的過程，被變換的信息稱之為明文，變化后的信息成之為密文；解密就是加密的逆過程，就是把“密文”恢復為“明文”的過程[1]。

2.2 數據加密算法

常見的數據加密算法有三種：對稱加密算法、非對稱加密算法和Hash算法。

對稱加密是指加密和解密使用相同密鑰的加密算法。假設某個企業中的兩個用戶需要通過對稱加密方法加密來交換數據，則用戶最少需要2個密鑰并交換使用，如果該企業內部有n個用戶，則整個企業共需要n (n-1)/2個密鑰，那么密鑰的生成和分發將成為企業信息部門的惡夢，對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業中每一個持有密鑰的人都保守秘密是不可能的。典型的對稱加密算法有DES和3DES。

非對稱加密是指加密和解密使用不同密鑰的加密算法，也稱為公鑰加密。假設某個企業中的兩個用戶要通過對稱加密算法加密來交換數據，雙方交換公鑰，使用時一方用對方的公鑰PK加密，另一方即可用自己的私鑰SK解密。如果企業中有n個用戶，企業需要生成n對密鑰，并分發n個公鑰。由于公鑰是可以公開的，用戶只要保管好自己的私鑰即可，因此加密密鑰的分發將變得十分簡單。同時，由于每個用戶的私鑰是唯一的，其他用戶除了可以通過信息發送者的公鑰來驗證信息的來源是否真實，還可以確保發送者無法否認曾發送過該信息。典型的非對稱加密算法有RSA。

Hash算法是一種單向算法，用戶可以通過Hash算法對目標信息生成一段特定長度的唯一Hash值，卻不能通過這個Hash值重新獲得目標信息。因此Hash算法常用在不可還原的密碼存儲、信息完整性校驗等。典型的Hash算法有MD5[2]。

2.3 數據加密算法的效能比較

對稱加密算法的優點在于加/解密的高速度和使用長密鑰時的難破解性，適合于大量數據的加密，但對大型網絡系統來說，對稱加密所帶來的密鑰管理問題卻非常嚴重。

非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合于對文件加密而只適用于對少量數據進行加密。

Hash算法主要用于文件完整性校驗和數字簽名。

一般來說，加密密鑰越長，加密強度就越高，但長密鑰能夠減慢加/解密的速度，增加了實現的復雜性。正是由于數據加密技術在實際運用過程中存在著加密強度與處理速度之間的矛盾，從而使加密技術在實際運用中并不能達到預期的安全性，所以實際應用過程中是將幾種加密算法混合使用，取長補短。

3 數據加密技術在虛擬專用網中的應用

隨著Internet和信息技術的快速發展,越來越多的企業職工需要將便攜式計算機隨時隨地連接到企業的網絡，而當遠程用戶在外網環境中需要登陸公司或企業內部專用網絡的時候,采用撥號方式或者專線方式都會存在通訊安全性問題或者通訊費用高的問題，應用VPN 技術就可以解決這個問題。

3.1 虛擬專用網

虛擬專用網VPN（Virtual Private Network)就是通過一個公共網絡建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道,它綜合了專用網絡性能的優點和公用網絡結構的優點,提供了一種通過公用網絡安全的對企業內部專用網絡進行遠程訪問的連接方式[3]。

3.2 虛擬專用網中的數據加密技術

VPN系統全部采用CA認證體制（采用非對稱密鑰證書體系），即在企業信息中心VPN控制平臺建立統一的認證授權系統，所有企業客戶端都有自己的私有證書、用戶名及密碼，使接入用戶與VPN、VPN網關進行雙向身份鑒別，同時客戶端還支持雙因素身份認證。每次用戶登錄都將有嚴格的審計日志記錄，以便于日后的審核，同時VPN系統增加了用戶操作的數字簽名，即數據交易的不可抵賴性。

由于數據全部通過互聯網進行傳輸，所以必須進行數據加密與數據的完整性保護。VPN一般提供128位以上的對稱加密措施，非對稱密碼算法使用1024位，并采用網絡協議堆棧上的應用層VPN技術，全部采用一次一密體制，數據安全性極高。同時VPN采用MD5數據加密算法用以保護數據傳輸過程的完整性。

3.3 虛擬專用網中的安全措施

VPN系統一般建立在網絡協議堆棧上的應用層，在系統的TDI層和協議堆棧之間增加安全擴展模塊，實現密鑰管理、協商、數據加密/解密的過濾驅動程序。數據流圖見圖1。通過這種安全擴展方式，不必修改上層的應用程序，所有要通過網絡收發的數據包都必須經過該安全驅動程序的過濾。VPN的信息安全措施主要包含下以幾種：

① 基于PKI（公鑰基礎結構）的用戶授權體系

PKI是一個包含數字證書、管理機構、證書管理、目錄服務的安全系統。PKI技術采用標準x.509證書，將用戶的身份和自己的公共密鑰綁定在一起，通過PKI技術和數字證書技術，可以有效的判斷用戶的身份，同時降低用戶在使用基于PKI體系的應用安全系統的復雜性。

② 身份驗證和數據加密

用戶通過VPN客戶端訪問VPN網關時，客戶端首先對用戶進行雙因子身份驗證，即用戶同時擁有用戶數字證書和該證書的使用口令。VPN客戶端采用基于PKI技術的數字證書技術，完成VPN網關服務器和用戶身份的雙向驗證。驗證通過后，VPN網關服務器產生對稱會話密鑰，并分發給用戶。在用戶與VPN網關服務器的通信過程中，使用該會話密鑰對信息進行加密傳輸。身份驗證和保護會話密鑰在傳遞過程中的安全，主要通過非對稱加密算法完成，VPN系統使用1024位的RSA算法，具有高度的安全性。

③ 數據完整性保護

完善的VPN系統不但要對用戶的身份進行認證，同時還要對系統中傳輸的數據進行認證，確認傳輸過程中的消息已被全部發送。VPN系統對所有傳輸數據進行Hash摘要算法對結果進行加密，以實現數字簽名，有效地保證了數據在傳輸過程中的完整性，防止被他人篡改。

④ 訪問權限控制

企業需要利用VPN網絡組織內部運營流程并與其客戶及合作伙伴交換重要信息，這就要求企業VPN系統必須擁有嚴格的訪問控制機制。VPN技術采用細粒度的訪問權限列表模型（ACL），管理員可為每個VPN用戶分配不同的訪問特權，ACL以用戶身份特征為基礎，其管理與VPN系統的技術維護無關，企業可以將制定和管理ACL的工作，交由行政部門執行，既方便公司的管理，又可有效防止網絡維護人員竊取公司機密。

4 結論

通過對數據加密技術的分析可知，就目前的數據加密技術來說，破譯并不容易，但數據加密技術所討論的安全性只是暫時的, 因此我們只有對數據加密新技術的不斷研究，才能滿足快速增長的信息安全需求。信息安全問題涉及到國家及社會安全，全世界都已經明確認識到了這一點，因此，發展信息安全技術，建立一個完善的信息安全保障系統是目前計算機安全領域的迫切要求。

參考文獻

[1] 趙小林.網絡安全技術教程.[M].國防工業出版社.2004.

[2] 周黎明.計算機網絡的加密技術.[J].計算機與信息技術.2007.

[3] 高海龍.VPN技術及其發展. [J].福建電腦.2008.