論內外網數據安全傳輸的可行性

摘 要：隨著計算機網絡技術的飛速發展，網絡安全問題也日益凸顯，將保存著企業核心技術資料的服務連接到Internet互聯網中，機密被盜取的風險也越來越高。加之高新技術企業對核心技術資料的保密意識越來越強，越來越多的企業選擇將技術研發部門的網絡與Internet互聯網物理隔絕的形式，單獨組建局域網，以增加數據資料的安全性。但是，這樣會極大的影響到技術研發部門局域網（內網）與公司局域網（外網）間的數據傳輸，從而造成溝通不暢，影響工作效率。怎么能讓內外網之間在保證安全的前提下，進行數據傳輸是解決問題的關鍵。本文通過模擬工作中遇到的場景，從安全和性能上來分析內外網文件安全傳輸的可行性。

關鍵詞：安全傳輸；數據互訪；數據加密

一、引言

目前，大多數企業無法徹底解決內網與外網之間數據的安全傳輸問題，只能將內網與外網隔絕，或者是放開一些限制進行有限的數據傳輸。但是，這種方法安全性與即時性成反比，不能滿足企業的實際需求。以下，本文將從幾個企業日常工作中經常遇到的問題來分析解決辦法。

二、數據安全傳輸的主要技術

（一）數據加密技術

1、數據加密技術的含義

所謂數據加密技術就是使用數字方法來重新組織數據，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。這種技術的目的是對傳輸中的數據流加密，常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端通過專用的加密軟件，采用某種加密技術對所發送文件進行加密，把明文（也即原文）加密成密文（加密后的文件，這些文件內容是一些看不懂的代碼），然后進入TCP/IP數據包封裝穿過互聯網，當這些信息一旦到達目的地，將由收件人運用相應的密鑰進行解密，使密文恢復成為可讀數據明文。

2、常用的數據加密技術

目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密技術就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”，這兩個密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應人的私鑰才能解密，反之亦然。

（二）訪問控制

1、身份驗證

身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術，現在也仍在廣泛應用，它是互聯網信息安全的第一道屏障。

2、存取控制

存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

三、新技術應用分析

（一）問題描述

允許已授權的外網（內網）用戶可以獲取指定的內網（外網）文件，其他未授權的外網（內網）用戶不能夠獲得該文件，且在文件傳輸過程中確保內網環境安全。

內網對網絡安全級別要求較高，且其中文件需要保密，內網的文件只有具有相應權限的外網特定用戶才能讀取，內網的文件傳到外網后，非授權用戶不可獲得；另外，內網無法訪問Internet，抗病毒能力較差，外網染毒文件傳入后，會影響系統安全。

（二）現行技術方案缺陷

目前現行最簡單的技術是內外網使用同一個服務器，為服務器配置一個內網IP和外網IP，但是這樣就相當于降低了內網的安全等級；再則就是內外網分別使用兩個服務器，兩臺服務器數據同步存儲，內網服務器存儲了外網的文件，外網服務器也存儲了內網服務器的文件，這樣就產生了文件安全問題；另外就是所有文件均加密傳輸，這將大大降低效率。

（三）新方案可行性分析

為使內、外網獨立，需各配置一個服務器（分別為SI，SO），若要文件安全的傳給指定用戶，且防止傳輸中局域網截取數據包攻擊，需要對文件進行加密，考慮到快捷性和方便性，加密和傳送密鑰的過程均選取對稱加密方式，因此需要一個服務器作為認證中心CA，CA可以獲取每個用戶的認證密碼。另配置一臺文件服務器SF，作為SI和SO間傳輸文件的橋梁。本文僅討論內網文件傳輸到外網的情況，外網情況與此類似。

在實際的使用過種中，涉及文件傳輸的有兩類，一類是內網用戶主動發送文件，例如即時通；一類是外網用戶請求文件，例如一些圖文檔系統和物料管理系統?，F就兩類情況分別說明：

1、內網用戶主動發送文件

（1）應用場景：內網用戶UI向外網用戶UO發送文件F

（2）流程：

① UI把文件F以及UO的ID發給SI；

② SI判斷UO非本局域網用戶，隨機生成密鑰K，用K加密文件F，得到密文K（F），用自己的密鑰K_SI加密K，得到密文K_SI（K），把K_SI（K）發給CA；

③ CA解密K_SI（K）得到F，用UO的密鑰K_UO加密K得到K_UO（K），發給SI；

④ SI通過SF，SO把文件F的密文K（F）及K_UO（K）發送給UO；

⑤ UO用自己的密鑰K_UO解密K_UO（K）得到密鑰K，用K解密K（F）得到文件F的明文。

2、外網用戶請求獲取文件

（1）應用場景：外網用戶UO得到存放于內網服務器SI上的文件F。

（2）流程：

① UO向SO請求文件F；

② SO判斷文件F不在本機上，把UO及文件名FN通過SF傳給SI；

③ SI判斷UO是否授權用戶，若已授權，隨機生成密鑰K，用K加密文件F，得到密文K（F），用自己的密鑰K_SI加密K，得到密文K_SI（K），把K_SI（K）發給CA；

④ CA解密K_SI（K）得到F，用UO的密鑰K_UO加密K得到K_UO（K），發給SI；

⑤ SI通過SF，SO把文件F的密文K（F）及K_UO（K）發送給UO；

⑥ UO用自己的密鑰K_UO解密K_UO（K）得到密鑰K，用K解密K（F）得到文件F的明文。

3、可行性分析

（1）安全性分析

A、對獲取文件授權的認證：外網服務器SO把文件名FN和用戶名UO傳給內網服務器SI，SI通過訪問數據庫、FN的授權、F創建者的權限、UO的權限等判斷用戶名UO是否有取得文件F的權限。

B、對用戶的認證：SI把用UO密碼加密的K傳給UO，由能否解密得到正確K來認證用戶。從而保證只有被授權的用戶才能得到正確的文件。

C、密鑰的安全性：密鑰K在傳輸過程中始終都是以密文傳輸的，這個以保證SI和UO外的其它用戶是得不到密鑰K的。

D、文件的安全性：文件在整個傳輸過程中都是加密的，且在外網服務器和文件服務器上的存留時間都很短，因此可以確保文件的安全。

E、內網的安全：因為認證中心CA、文件服務器SF的IP地址是固定的，MAC地址也是固定的，故完全可以在內網服務器上通過配置路由器、防火墻來控制對內網的訪問；在文件服務器SF上安裝殺毒防木馬軟件可以使進入內網的文件未被感染。

（2）性能分析

A、使用對稱加密算法分發密鑰、加密文件，相對于用非對稱加密算法來說有很好的效率；僅對跨網傳輸的文件進行加密相對于對所有傳輸的文件進行加密可以節省大量時間。

B、文件僅在本局域網的服務器上存儲相對于各服務器同步存儲所有文件可以節省大量的硬盤空間；使用用戶登錄即時通的登錄密碼作為密鑰的加密密碼，減少了另外存儲密碼的空間，也不需用戶再去記憶多個密碼。

注意事項：

1、存儲用戶密鑰的數據庫應該與存儲其它信息的數據庫分開，并且僅限于CA訪問，以確保用戶密鑰的安全。

2、用戶應該即時更改登錄密碼，并注意保管密碼，確保其安全。

3、各服務器應配置嚴格的防火墻，及時更新殺毒軟件，及時為操作系統打漏洞。

四、結束語

因為涉及到內網與外網兩個網段的數據安全傳輸，其復雜程度較高。在安全傳輸過程中涉及到許多安全技術問題，制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展，同時也促進安全的文件傳輸體系的形成。當然，任何一個安全技術都不會提供永遠和絕對的安全，因為網絡在變化.應用在變化，入侵和破壞的手段也在變化，只有技術的不斷進步才是真正的安全保障。

參考文獻：

[1]《防火墻原理與技術》閻慧 王偉 寧宇鵬

[2]《網絡安全技術與應用》 趙安軍

[3]《信息網絡安全及防范技術探究》 滕萍

作者簡介：臧家琪（1985-），男，漢族，河南鄭州人，現為中鐵工程裝備集團有限公司信息中心副主任。