VPN的安全技术

VaLlev■g [尚斯技术产业发展]VPN的安全技术令狐辉(贵州省桐梓县职业高级中学贵州遵义563200)要: VIPN是一种快速建沙域联接的互联和访间工具，也足-种强化网络安全和管理的工具. VPN建立在用户的物理网络之上融入在用户的网络应用系统之中。是企业网在Internet等公共网络上的延仲，通过私有的通道任公共网络上创建--个安全的私有连接，通过可靠的加索技术方法保证其安全性，并且是作:为一个公共网络的一部存在。 VPN本质 上是一个虚信道，用来连接两个专用网，对传送数据的安全性委求非常高。如何来保iEvpnd在公网中传输的数据安全性，这是一个非常值得我们探讨的问题。关键词:隧道技术; 加密技术:数字证书:数字签名中團分类号: TP393. 08文献标识码: A文章编号: 1671-7597 (2011) 0920038- -01目前VPN主要采用4项技术来保证其安全:隧道技术(Tunneling) .加通信常将自己的密钥公布在网页中，方便其他人用它加密。解密技术(Encryption&Decryption) 、密钥管理技术(Key Management)2)密钥保管量少。网络中的发送方可以共享一个公开密钥，只要解使用者与设备身份认证技术(Authent ication)。密方的密钥保密，数据的安全性就能实现。1隧遣技术3)支持数据签名。非对称加密算法的计算复杂远大于对称加密算隧道技术是类似于点对点连接技术，是在公用网建立一条数据通道法，处理大量数据的耗时过长，一般不适于大文件的加密，更不适用于实(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为时数据的加密。第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PP混合密码体制是用公钥密码体制分配对称密码体制的密钥，数据的收中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠发双方共享这个密钥，然后按照对称密码体制方式进行加密和解密。目前第二层协议进行传输。第二层隧道协议有L2F、PPTP、 L2TP等。 L2TP协议密码体制中多数采用这种体制。是目前IETF的标准，由IETF融 合PPTP与L2F而形成。3密钥管理技术第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不据包依靠第三层协议进行传输。第三层隧道协议有VIP、IPSec等。被窃取。IPSec (IPSecurity) 是由一组RFC文档组成， 定义了一个系统来提供安全密钥管理技术的分类:协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全1)对称密钥管理。对称加密是基于其同保守秘密来实现的。采用对保障。称加密技术的通信双方必须要保证采用的是相同的密钥，要保证彼此密钥2加解密技术的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这加解密技术是数据通信中一项较成熟的技 术，VPN可直接利用现有的样，对称密钥的管理和分发工作将变成-件潜在危险的和繁琐的过程。通数据加密技术。.过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安所谓数据加密(Data Eneryption) 技术是指将一个信息(或称明全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。文，plain text)经过加密钥匙(Encryption key) 及加密函数转换，变数据发送方可以为每次交换的信息( 如每次的EDI交换)生成唯-成无意义的密文(cipher text) ，而接收方则将此密文经过解南函数、把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基该密钥加密的信息( 如EDI交换)一起发送给相应的数据接收方。由于对每次信息交换都对应生成了唯一-把密钥， 因此各贸易方就不再需要对密现代密码体制分为对称密码体制、非对称密码体制和混合密码体制。钥进行维护和担心密钥的泄露或过期。这种方式的另-优点是，即使泄露对称密码体制也称单密钥密码体制，是/ 泛应用的背通的密码体制，了一把密钥也只将影响笔交易，而不会影响到贸易双方之间所有的交易其特点是加密和解密用的密钥是-样的或可相万导出。采用对称密码体制关系。这种方式还提供了贸易伙伴何发布对称密钥的-种安全途径。的加密算法有DES、IDEA和AFS. 在密文传送之前对称密码算法的主要问题2)公开密制管理/数字证书。通信双方之间可以使用数字证书(公开是:在网络通信中，由于加密双方都要使用相同的密钥，因此在发送、接密钥证|5)来交换公开案钥。国际电信联盟(ITU)制定的标准X. 509,对数收之前，必须完成密钥的分发。因而密钥的分发成了对称密码体制中最涉字证书进行了定义该标准等同于国际标准化组织(IS0)与国际电工委员会弱、风险最大的环节，各种基本的手段均很难保障安全、高效地完成密钥( IEC)联合发布的ISO/TEC 9594-8: 195标准。 数字证书通常包含有唯标的分发。在对对称密码算法中，尽管由于密钊强度增强，跟踪找出加密规识证书5所有者的名称、唯标识证书发布者的名称、证书所有者的公开密律破获密钥的机会已大大减小，但密制的分发的安全问题儿乎无法完美解钥、证15发布者的数字签名、证书的有效期及证书的序列号等。证书发布者决。优点是效率高、速度快，适合大址数据加密和实时加密。在应用对称般称为证书5管理机构(CA) ，它是通信各方都信赖的机构。数字证书能够加密算法时，密钥的空间越人，破解难度越人，相对来说越安全，当然这起到标识通信双方的作用，是日前电了商务广泛采用的技术之-●是以降低运行效率为代价的。3)密钥管理相关的标准规范。日前国际有关的标准化机构都着手非对称密码体制又称公钥密码体制(或公开密钥体制)，使用的是不制定关于密钥管理的技术标准规范。IS0与IEC下属的信息技术委员会对称加密。其基本原理是:创建两个密钥，一个作为公钥， 另个作为私(JTC1)已起燕了兰干省钥管理的围际标准规范。该规范主要由三部.钥。私钥由密钳由个人保管，公钥和加密算法可以公开。用公钥加密的数分组成:对称技术的中国煤化工技术的机制:三是采用非据只有私钥才能解开，用私加密的数据也只有公钥才能解开。从其中CN MH G雅草案表决阶段，并格很密钥不可能导出另一个密钥，用明文攻击不能破解出加密密钥。与对称密快成为正式码体制相比，非对称密码体制有以下优点:数字签名:数字签名是公开密钥加密技术的另-类应用。它的主要方1)密钥分发方便，可以公开分配加密密钥。如因特网中的个人安全(下转第71页)SILICON.[商科技产品研发I后■VALLEY型不显得轻浮，我们主要以方形为造型的基本元素:而传统的电话机的交4与现有平板式电话机差异分析互界面近乎与桌面平行，为了方便使用者在坐着打电话时轻松的看到操作为了提高操作的可视性，义为了得到.个简约的界面， 我们应用了现界面，我们将原来的操作界面板改为'i水平面成45度倾角，这样不仅方便有的中板电脑技术，而在当今的通讯界平板技术已经退出了很多手机产了用户，同时打破了方形带给人的沉闷感。1)市场上常有的平板式手机是兼具照相机，手机，个人助理，媒体中播放器，娱乐功能为主的尤线通讯设备。而电子时代固定电话机由于面向人群较广，且固定电话更强调的是通话功能及相关的附加功能，而且固定电话不会受卫星信号质量的影响。2)平板式手机土要产品主要是以EDGE和802.113/g为技术依托，而实待机画而拨号画面快捷选项画面现无线上网的，而在目前全国展开的三网合并工程之下，电f时代固定点话可以仅用根电话线来实现其网络服务。3)众所周知大部分平板式手机是没有操作键盘的，但但由于固定电话将会有老年人，儿童这类消费群体，因此，我们特地设计了五个预留快走键，在较强的使用提示下，让非中高级用户对空白的界面不会感到疑录入画面通话画面个人信息画面4)平板式手机由于电f时代固定电话主要强调的是通话功能，因此图3交互界面其含去了些繁杂的娱乐，摄像等消遭性质的功能。5)平板式手机大多数没有储存卡,这给使用者在存储量过载后是非常苦恼的，而固定电话由于不需要为其体量做过于苛刻的要求因此自然增加了储存卡的插口及相关部件。6)平板式手机的电池-般 不是不可拆卸就是会出现老化，而电子时代固定电话是传统的接电源的设备，其使用周期较长。太繁琐太软最终效果5结语图4造型演化过程当今社会电话机种类层出不群，功能H益强大，但是往往忽略了产品为了保持整体造型与j平板式交H界面的比例为黄金比例，又娄营造与人之间的交流，当人机之间出现了沟通的障碍，各种令人兴奋你的功能种较为舒适的使用方式，我们改传统的听简平放在话机上的模式，将听也只能水久的定格在冗长说明书5上因此，人机交互界面犹如产品的心灵之筒侧放在电话的右边。窗，足够的提示，反映出足够的信息量，这应当是日前电话机设计的- 条路径。图5听简放于右侧作者简介:王向荣 (1990-)， 男，汉族，河北唐山人，中共预备党员，现为南京农￥6 效果图与三视图业大学工学院机械工程系工业设计专业2008级01班学生。(上接第38页)式是:报文的发送方从报文文本中生成.个 128位的散列值(或报文摘制两部分构成。要)。发送方用白己的专用密钥对这个散列值进行加密来形成发送方的数4使用者与设备身份认证技术字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的使用者与设备身份认证技术最常用的是使用者名称与衡码或卡精式认接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值证等方式。.(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进中国煤化工行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方参考文献:.MH.CNMH G的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。IS0/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是[2]黄少年、朱小平主编，《网络系统设计与管理》 ，电子工业出版社.“信息技术安全技术带附件的数字签名方案”，它由概述和基于身份的机[3]萧文龙、林松编著，《计算机网络技术与应用》 ，科学出版社.