数据加密技术在虚拟专用网中应用.docVIP

数据加密技术在虚拟专用网中应用 　　摘要：本文通过对数据加密技术的介绍，分析了数据加密技术在虚拟专用网中的应用，强调了信息加密技术在维护网络安全方面的重要性。 　　关键字：数据加密；网络安全；VPN技术 　　 　　1 引言 　　 　　进入21世纪后，计算机通过Internet把世界联系成一个整体，极大的加速了信息流通的速度和吞吐量，广大的国际互联网用户，无一不感叹计算机和网络技术给人们带来如此巨大的影响。与此同时，网络快速发展给我们带来的负面影响也越来越大，毫不夸张的说，在缺乏数据安全保护的情况下，用户在网络上存储或传输的任何信息，都存在着被泄露或被更改的可能性。 　　在这个电子商务业务快速兴起的时代，如何保护数据安全使之不被窃取、篡改或破坏等的问题越来越受到人们的重视，而解决这个问题的关键就是数据加密技术。 　　 　　2 数据加密技术 　　 　　2.1 数据加密技术 　　所谓加密，就是一段有意义的文字或数据转换成一串杂乱排列的、从字面上理解是没有任何意义文字或数据的过程，被变换的信息称之为明文，变化后的信息成之为密文；解密就是加密的逆过程，就是把“密文”恢复为“明文”的过程[1]。 　　2.2 数据加密算法 　　常见的数据加密算法有三种：对称加密算法、非对称加密算法和Hash算法。 　　对称加密是指加密和解密使用相同密钥的加密算法。假设某个企业中的两个用户需要通过对称加密方法加密来交换数据，则用户最少需要2个密钥并交换使用，如果该企业内部有n个用户，则整个企业共需要n (n-1)/2个密钥，那么密钥的生成和分发将成为企业信息部门的恶梦，对称加密算法的安全性取决于加密密钥的保存情况，但要求企业中每一个持有密钥的人都保守秘密是不可能的。典型的对称加密算法有DES和3DES。 　　非对称加密是指加密和解密使用不同密钥的加密算法，也称为公钥加密。假设某个企业中的两个用户要通过对称加密算法加密来交换数据，双方交换公钥，使用时一方用对方的公钥PK加密，另一方即可用自己的私钥SK解密。如果企业中有n个用户，企业需要生成n对密钥，并分发n个公钥。由于公钥是可以公开??，用户只要保管好自己的私钥即可，因此加密密钥的分发将变得十分简单。同时，由于每个用户的私钥是唯一的，其他用户除了可以通过信息发送者的公钥来验证信息的来源是否真实，还可以确保发送者无法否认曾发送过该信息。典型的非对称加密算法有RSA。 　　Hash算法是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一Hash值，却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。典型的Hash算法有MD5[2]。 　　2.3 数据加密算法的效能比较 　　对称加密算法的优点在于加/解密的高速度和使用长密钥时的难破解性，适合于大量数据的加密，但对大型网络系统来说，对称加密所带来的密钥管理问题却非常严重。 　　非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。 　　Hash算法主要用于文件完整性校验和数字签名。 　　一般来说，加密密钥越长，加密强度就越高，但长密钥能够减慢加/解密的速度，增加了实现的复杂性。正是由于数据加密技术在实际运用过程中存在着加密强度与处理速度之间的矛盾，从而使加密技术在实际运用中并不能达到预期的安全性，所以实际应用过程中是将几种加密算法混合使用，取长补短。 　　 　　3 数据加密技术在虚拟专用网中的应用 　　 　　随着Internet和信息技术的快速发展,越来越多的企业职工需要将便携式计算机随时随地连接到企业的网络，而当远程用户在外网环境中需要登陆公司或企业内部专用网络的时候,采用拨号方式或者专线方式都会存在通讯安全性问题或者通讯费用高的问题，应用VPN 技术就可以解决这个问题。 　　3.1 虚拟专用网 　　虚拟专用网VPN（Virtual Private Network)就是通过一个公共网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它综合了专用网络性能的优点和公用网络结构的优点,提供了一种通过公用网络安全的对企业内部专用网络进行远程访问的连接方式[3]。 　　3.2 虚拟专用网中的数据加密技术 　　VPN系统全部采用CA认证体制（采用非对称密钥证书体系），即在企业信息中心VPN控制平台建立统一的认证授权系统，所有企业客户端都有自己的私有证书、用户名及密码，使接入用户与VPN、VPN网关进行双向身份鉴别，同时客户端还支持双因素身份认证。每次用户登录都将有严格的审计日志记录，以便于日后的审核，同时VPN系统增加了用户操作的数字