VaLlev■g [尚斯技術(shù)產(chǎn)業(yè)發(fā)展]VPN的安全技術(shù)令狐輝(貴州省桐梓縣職業(yè)高級中學(xué)貴州遵義563200)要: VIPN是一種快速建沙域聯(lián)接的互聯(lián)和訪間工具，也足-種強化網(wǎng)絡(luò)安全和管理的工具. VPN建立在用戶的物理網(wǎng)絡(luò)之上融入在用戶的網(wǎng)絡(luò)應(yīng)用系統(tǒng)之中。是企業(yè)網(wǎng)在Internet等公共網(wǎng)絡(luò)上的延仲，通過私有的通道任公共網(wǎng)絡(luò)上創(chuàng)建--個安全的私有連接，通過可靠的加索技術(shù)方法保證其安全性，并且是作:為一個公共網(wǎng)絡(luò)的一部存在。 VPN本質(zhì) 上是一個虛信道，用來連接兩個專用網(wǎng)，對傳送數(shù)據(jù)的安全性委求非常高。如何來保iEvpnd在公網(wǎng)中傳輸?shù)臄?shù)據(jù)安全性，這是一個非常值得我們探討的問題。關(guān)鍵詞:隧道技術(shù); 加密技術(shù):數(shù)字證書:數(shù)字簽名中團分類號: TP393. 08文獻標(biāo)識碼: A文章編號: 1671-7597 (2011) 0920038- -01目前VPN主要采用4項技術(shù)來保證其安全:隧道技術(shù)(Tunneling) .加通信常將自己的密鑰公布在網(wǎng)頁中，方便其他人用它加密。解密技術(shù)(Encryption&Decryption) 、密鑰管理技術(shù)(Key Management)2)密鑰保管量少。網(wǎng)絡(luò)中的發(fā)送方可以共享一個公開密鑰，只要解使用者與設(shè)備身份認證技術(shù)(Authent ication)。密方的密鑰保密，數(shù)據(jù)的安全性就能實現(xiàn)。1隧遣技術(shù)3)支持數(shù)據(jù)簽名。非對稱加密算法的計算復(fù)雜遠大于對稱加密算隧道技術(shù)是類似于點對點連接技術(shù)，是在公用網(wǎng)建立一條數(shù)據(jù)通道法，處理大量數(shù)據(jù)的耗時過長，一般不適于大文件的加密，更不適用于實(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為時數(shù)據(jù)的加密。第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PP混合密碼體制是用公鑰密碼體制分配對稱密碼體制的密鑰，數(shù)據(jù)的收中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠發(fā)雙方共享這個密鑰，然后按照對稱密碼體制方式進行加密和解密。目前第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、 L2TP等。 L2TP協(xié)議密碼體制中多數(shù)采用這種體制。是目前IETF的標(biāo)準(zhǔn)，由IETF融 合PPTP與L2F而形成。3密鑰管理技術(shù)第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VIP、IPSec等。被竊取。IPSec (IPSecurity) 是由一組RFC文檔組成， 定義了一個系統(tǒng)來提供安全密鑰管理技術(shù)的分類:協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全1)對稱密鑰管理。對稱加密是基于其同保守秘密來實現(xiàn)的。采用對保障。稱加密技術(shù)的通信雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰2加解密技術(shù)的交換是安全可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。這加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技 術(shù)，VPN可直接利用現(xiàn)有的樣，對稱密鑰的管理和分發(fā)工作將變成-件潛在危險的和繁瑣的過程。通數(shù)據(jù)加密技術(shù)。.過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安所謂數(shù)據(jù)加密(Data Eneryption) 技術(shù)是指將一個信息(或稱明全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。文，plain text)經(jīng)過加密鑰匙(Encryption key) 及加密函數(shù)轉(zhuǎn)換，變數(shù)據(jù)發(fā)送方可以為每次交換的信息( 如每次的EDI交換)生成唯-成無意義的密文(cipher text) ，而接收方則將此密文經(jīng)過解南函數(shù)、把對稱密鑰并用公開密鑰對該密鑰進行加密，然后再將加密后的密鑰和用解密鑰匙(Decryption key)還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基該密鑰加密的信息( 如EDI交換)一起發(fā)送給相應(yīng)的數(shù)據(jù)接收方。由于對每次信息交換都對應(yīng)生成了唯一-把密鑰， 因此各貿(mào)易方就不再需要對密現(xiàn)代密碼體制分為對稱密碼體制、非對稱密碼體制和混合密碼體制。鑰進行維護和擔(dān)心密鑰的泄露或過期。這種方式的另-優(yōu)點是，即使泄露對稱密碼體制也稱單密鑰密碼體制，是/ 泛應(yīng)用的背通的密碼體制，了一把密鑰也只將影響筆交易，而不會影響到貿(mào)易雙方之間所有的交易其特點是加密和解密用的密鑰是-樣的或可相萬導(dǎo)出。采用對稱密碼體制關(guān)系。這種方式還提供了貿(mào)易伙伴何發(fā)布對稱密鑰的-種安全途徑。的加密算法有DES、IDEA和AFS. 在密文傳送之前對稱密碼算法的主要問題2)公開密制管理/數(shù)字證書。通信雙方之間可以使用數(shù)字證書(公開是:在網(wǎng)絡(luò)通信中，由于加密雙方都要使用相同的密鑰，因此在發(fā)送、接密鑰證|5)來交換公開案鑰。國際電信聯(lián)盟(ITU)制定的標(biāo)準(zhǔn)X. 509,對數(shù)收之前，必須完成密鑰的分發(fā)。因而密鑰的分發(fā)成了對稱密碼體制中最涉字證書進行了定義該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織(IS0)與國際電工委員會弱、風(fēng)險最大的環(huán)節(jié)，各種基本的手段均很難保障安全、高效地完成密鑰( IEC)聯(lián)合發(fā)布的ISO/TEC 9594-8: 195標(biāo)準(zhǔn)。 數(shù)字證書通常包含有唯標(biāo)的分發(fā)。在對對稱密碼算法中，盡管由于密釗強度增強，跟蹤找出加密規(guī)識證書5所有者的名稱、唯標(biāo)識證書發(fā)布者的名稱、證書所有者的公開密律破獲密鑰的機會已大大減小，但密制的分發(fā)的安全問題兒乎無法完美解鑰、證15發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者決。優(yōu)點是效率高、速度快，適合大址數(shù)據(jù)加密和實時加密。在應(yīng)用對稱般稱為證書5管理機構(gòu)(CA) ，它是通信各方都信賴的機構(gòu)。數(shù)字證書能夠加密算法時，密鑰的空間越人，破解難度越人，相對來說越安全，當(dāng)然這起到標(biāo)識通信雙方的作用，是日前電了商務(wù)廣泛采用的技術(shù)之-●是以降低運行效率為代價的。3)密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。日前國際有關(guān)的標(biāo)準(zhǔn)化機構(gòu)都著手非對稱密碼體制又稱公鑰密碼體制(或公開密鑰體制)，使用的是不制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。IS0與IEC下屬的信息技術(shù)委員會對稱加密。其基本原理是:創(chuàng)建兩個密鑰，一個作為公鑰， 另個作為私(JTC1)已起燕了蘭干省鑰管理的圍際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由三部.鑰。私鑰由密鉗由個人保管，公鑰和加密算法可以公開。用公鑰加密的數(shù)分組成:對稱技術(shù)的中國煤化工技術(shù)的機制:三是采用非據(jù)只有私鑰才能解開，用私加密的數(shù)據(jù)也只有公鑰才能解開。從其中CN MH G雅草案表決階段，并格很密鑰不可能導(dǎo)出另一個密鑰，用明文攻擊不能破解出加密密鑰。與對稱密快成為正式碼體制相比，非對稱密碼體制有以下優(yōu)點:數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另-類應(yīng)用。它的主要方1)密鑰分發(fā)方便，可以公開分配加密密鑰。如因特網(wǎng)中的個人安全(下轉(zhuǎn)第71頁)SILICON.[商科技產(chǎn)品研發(fā)I后■VALLEY型不顯得輕浮，我們主要以方形為造型的基本元素:而傳統(tǒng)的電話機的交4與現(xiàn)有平板式電話機差異分析互界面近乎與桌面平行，為了方便使用者在坐著打電話時輕松的看到操作為了提高操作的可視性，義為了得到.個簡約的界面， 我們應(yīng)用了現(xiàn)界面，我們將原來的操作界面板改為'i水平面成45度傾角，這樣不僅方便有的中板電腦技術(shù)，而在當(dāng)今的通訊界平板技術(shù)已經(jīng)退出了很多手機產(chǎn)了用戶，同時打破了方形帶給人的沉悶感。1)市場上常有的平板式手機是兼具照相機，手機，個人助理，媒體中播放器，娛樂功能為主的尤線通訊設(shè)備。而電子時代固定電話機由于面向人群較廣，且固定電話更強調(diào)的是通話功能及相關(guān)的附加功能，而且固定電話不會受衛(wèi)星信號質(zhì)量的影響。2)平板式手機土要產(chǎn)品主要是以EDGE和802.113/g為技術(shù)依托，而實待機畫而撥號畫面快捷選項畫面現(xiàn)無線上網(wǎng)的，而在目前全國展開的三網(wǎng)合并工程之下，電f時代固定點話可以僅用根電話線來實現(xiàn)其網(wǎng)絡(luò)服務(wù)。3)眾所周知大部分平板式手機是沒有操作鍵盤的，但但由于固定電話將會有老年人，兒童這類消費群體，因此，我們特地設(shè)計了五個預(yù)留快走鍵，在較強的使用提示下，讓非中高級用戶對空白的界面不會感到疑錄入畫面通話畫面?zhèn)€人信息畫面4)平板式手機由于電f時代固定電話主要強調(diào)的是通話功能，因此圖3交互界面其含去了些繁雜的娛樂，攝像等消遭性質(zhì)的功能。5)平板式手機大多數(shù)沒有儲存卡,這給使用者在存儲量過載后是非常苦惱的，而固定電話由于不需要為其體量做過于苛刻的要求因此自然增加了儲存卡的插口及相關(guān)部件。6)平板式手機的電池-般 不是不可拆卸就是會出現(xiàn)老化，而電子時代固定電話是傳統(tǒng)的接電源的設(shè)備，其使用周期較長。太繁瑣太軟最終效果5結(jié)語圖4造型演化過程當(dāng)今社會電話機種類層出不群，功能H益強大，但是往往忽略了產(chǎn)品為了保持整體造型與j平板式交H界面的比例為黃金比例，又婁營造與人之間的交流，當(dāng)人機之間出現(xiàn)了溝通的障礙，各種令人興奮你的功能種較為舒適的使用方式，我們改傳統(tǒng)的聽簡平放在話機上的模式，將聽也只能水久的定格在冗長說明書5上因此，人機交互界面猶如產(chǎn)品的心靈之筒側(cè)放在電話的右邊。窗，足夠的提示，反映出足夠的信息量，這應(yīng)當(dāng)是日前電話機設(shè)計的- 條路徑。圖5聽簡放于右側(cè)作者簡介:王向榮 (1990-)， 男，漢族，河北唐山人，中共預(yù)備黨員，現(xiàn)為南京農(nóng)￥6 效果圖與三視圖業(yè)大學(xué)工學(xué)院機械工程系工業(yè)設(shè)計專業(yè)2008級01班學(xué)生。(上接第38頁)式是:報文的發(fā)送方從報文文本中生成.個 128位的散列值(或報文摘制兩部分構(gòu)成。要)。發(fā)送方用白己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)4使用者與設(shè)備身份認證技術(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與衡碼或卡精式認接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值證等方式。.(或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進中國煤化工行解密。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方參考文獻:.MH.CNMH G的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。IS0/IEC JTC1已在起草有關(guān)的國際標(biāo)準(zhǔn)規(guī)范。該標(biāo)準(zhǔn)的初步題目是[2]黃少年、朱小平主編，《網(wǎng)絡(luò)系統(tǒng)設(shè)計與管理》 ，電子工業(yè)出版社.“信息技術(shù)安全技術(shù)帶附件的數(shù)字簽名方案”，它由概述和基于身份的機[3]蕭文龍、林松編著，《計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用》 ，科學(xué)出版社.