基于不對稱加密的網絡信息安全對策研究

陳鴻星 周媛蘭

江西師范大學數學與信息科學學院 江西 330022

0 引言

二十一世紀，隨著全球經濟一體化的加劇，信息技術飛速發(fā)展，信息技術的傳輸途徑已越來越依賴于互聯(lián)網，國家已經發(fā)展到了商業(yè)上網，政府上網，企業(yè)上網，由之而來電子商務、電子政務、網上銀行及網上證券等網上交易業(yè)務飛速發(fā)展。在信息技術迅速發(fā)展的同時，網絡安全問題，也日益受到了人們的重視。其實，我們對之依賴性很強的網絡是非常脆弱的，通過文獻[1]中的詳細分析可看出，若平時忽略網絡安全性，那些問題往往會成為安全漏洞，從而導致意圖不明的侵入。為保證信息傳輸的安全性，加強對網絡安全的防護，針對網絡安全措施中的各種不同的威脅和漏洞進行的探討，就是為了保證網絡信息的保密性、完整性和可用性。

隨著應用程序從C/S 架構向Web 的遷移，我們必須面對一個新的挑戰(zhàn)，就是在不影響終端用戶使用的前提下，實現(xiàn)在任何地方靈活訪問這些應用程序。

1 不對稱加密的安全對策

1.1 不對稱加密

不對稱加密的基本思想就是通過使用兩把完全不同但又完全匹配的一對鑰匙——公鑰和私鑰(一個可以對任何人公開的公鑰和對未經授權的用戶保密的私鑰，公鑰和私鑰都在數學上相關聯(lián))，用公鑰加密的數據只能用私鑰解密，而用私鑰簽名的數據只能用公鑰驗證。公鑰可以提供給任何人，公鑰用于對要發(fā)送到私鑰持有者的數據進行加密，兩個密鑰對于通信會話都是惟一的。

公鑰加密算法也稱為不對稱算法，原因是需要用一個密鑰加密數據，而需要用另一個密鑰來解密數據。

在使用不對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發(fā)信方(加密者)知道收信方的公鑰，只有收信方(解密者)才是惟一知道自己私鑰的人。

不對稱加密的基本原理是，如果發(fā)信方想發(fā)送只有收信方才能解讀的加密信息，發(fā)信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來加密原文，收信方收到加密密文后，使用自己的私鑰才能解密密文。顯然，采用不對稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發(fā)信方，而自己保留私鑰。

由于不對稱算法擁有兩個密鑰，因而特別適用于分布式系統(tǒng)中的數據加密。廣泛應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA。

RSA是不對稱算法中最著名、使用最多的一種，RSA公開密鑰密碼系統(tǒng)是由R.Rivest、A.Shamir和L.Adleman教授于 1977年提出的，算法是基于大數不可能被質因數分解假設的公鑰體系。簡單地說就是找兩個很大的質數，一個對外公開的為“公鑰”，另一個不告訴任何人，稱為“私鑰”。RSA算法是基于大數難于分解的原理，不但可以用于認證，也可以用于密鑰傳輸。利用RSA算法來傳輸密鑰辦法：A產生一個密鑰Key，用B的公鑰加密Key，然后將得到的密文發(fā)送給B，B用自己的私鑰解密收到的密文，就可以得到A的密鑰Key。

以不對稱加密算法為基礎的加密技術應用非常廣泛，下面討論的都屬于此范疇。

1.2 SSL VPN的使用

1.2.1 SSL VPN的原理與連接過程

SSL協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議，處于應用層，SSL用公鑰加密通過SSL連接傳輸的數據來工作，SSL協(xié)議指定了在應用程序協(xié)議(如HTTP、Telnet和FTP等)和 TCP/IP協(xié)議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL 通過加密方式保護在互聯(lián)網上傳輸的數據安全性，它可以自動應用在每一個瀏覽器上，只需要提供一個數字證書給Web 服務器。VPN主要應用于虛擬連接網絡，它可以確保數據的機密性并具有一定的訪問控制功能。VPN是一項非常實用的技術，它可以擴展單位的內部網絡，允許單位的員工、客戶以及合作伙伴利用 Internet訪問企業(yè)網，而成本遠遠低于傳統(tǒng)的專線接入。

SSL VPN是利用SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力的結合，是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能，用瀏覽器連回單位內部SSL VPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執(zhí)行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層(SSL)對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。

SSL VPN原理：遠程的使用者利用瀏覽器連接到 SSL VPN設備，然后透過IP封包轉譯的方式，由SSL VPN設備“模擬”遠程使用者在“內部”進行數據存取，SSL VPN在與內部程序的連接上有不同的方式，所以在規(guī)劃使用的時候，必須要作事前測試，有的是利用Adapter的方式作網絡封包轉譯，有的則是利用Port Forward的方式作介接，所以在使用前必須要作應用程序兼容性測試。

SSL VPN連接建立過程：

客戶端瀏覽器連接到Web服務器，向VPN服務器發(fā)出建立安全連接通道的請求；

VPN服務器接受客戶端請求，發(fā)送VPN服務器證書做為響應，客戶端驗證 VPN服務器證書的有效性，如果驗證通過，則用VPN服務器證書中包含的VPN服務器公鑰加密一個會話密鑰，并將加密后的數據和客戶端用戶證書一起發(fā)送給VPN服務器；

VPN服務器收到客戶端發(fā)來的加密數據后，先驗證客戶端證書的有效性，如果驗證通過，則用其專用的私有密鑰解開加密數據，獲得會話密鑰。然后 VPN服務器用客戶端證書中包含的公鑰加密該會話密鑰，并將加密后的數據發(fā)送給客戶端瀏覽器；

客戶端在收到 VPN服務器發(fā)來的加密數據后，用其專用的私有密鑰解開加密數據，把得到的會話密鑰與原來發(fā)出去的會話密鑰進行對比，如果兩把密鑰一致，說明服務器身份已經通過認證，雙方將使用這把會話密鑰建立安全連接通道。

1.2.2 SSL VPN的優(yōu)勢

SSL VPN的優(yōu)勢來自于HTTP的廣泛應用，常見的使用HTTP 的應用有：SOAP，UDDI等。這類 B/S 架構管理軟件只安裝在服務器端上，用戶界面主要事務邏輯在服務器端完全通過 WWW 瀏覽器實現(xiàn)。極少部分事務邏輯在前端實現(xiàn)，所有的客戶端可以只有瀏覽器。

(1) 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢。正因為SSL 協(xié)議被內置于IE等瀏覽器中，使用SSL 協(xié)議進行認證和數據加密的SSL VPN就可以免于安裝客戶端，有Web瀏覽器的地方就有SSL，所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。通過SSL VPN，客戶端可以在任何時間任何地點對應用資源進行訪問。

SSL VPN的客戶端屬于即插即用的安裝模式，不需要任何附加的客戶端軟件和硬件，即便是瘦客戶端模式，由于是用自動下載的模式，所以對用戶來講仍然是透明的。

(2) 安全性

SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的?？蛻魧Y源的每一次操作都需要經過安全的身份驗證和加密。

對于SSL VPN的聯(lián)機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機的，因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

在遠程主機與SSL VPN 網關之間，采用SSL通訊端口443來作為Web Server對外的數據傳輸通道，因此，不需在防火墻上做任何修改，也不會因為不同應用系統(tǒng)的需求，而來修改防火墻上的設定，如果所有后臺系統(tǒng)都通過SSL VPN的保護，那么在日常辦公中防火墻只開啟一個443端口就可以，從而減少內部網絡受外部黑客攻擊的可能性。

(3) 訪問控制

部署 VPN是為了保護網絡中重要數據的安全，在電子商務和電子政務日益發(fā)展的今天，各種應用日益復雜，需要訪問內部網絡人員的身份也多種多樣，對內網資源的權限也有不同的級別。SSL VPN重點在于保護具體的敏感數據，比如SSL VPN可以根據用戶的不同身份，給予不同的訪問權限。通過配合一定的身份認證，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問的關鍵信息進行數字簽名，以保證每次訪問的不可抵賴性，為事后追蹤提供了依據。

(4) 經濟性

使用SSL VPN具有很好的經濟性，只需要在總部放置一臺硬件設備就可以實現(xiàn)所有用戶的遠程安全訪問接入，就使用成本而言，SSL VPN具有更大的優(yōu)勢，由于這是一個即插即用設備，在部署實施以后，一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。

1.2.3 H3C SSL VPN

H3C SSL VPN系統(tǒng)是一款采用 SSL連接建立的安全VPN系統(tǒng)，為單位移動辦公人員提供了便捷的遠程接入服務，SSL VPN與傳統(tǒng)VPN系統(tǒng)相比，有更好的易用性、無需用戶配置、免客戶端安裝、部署簡單、安全性高、安全控制力度高。極大地方便了單位的移動辦公用戶和網絡管理，目前我們單位就采用了杭州華三通訊技術有限公司開發(fā)的這款H3C SSL VPN系統(tǒng)。

H3C SSL VPN系統(tǒng)功能包括：支持Web頁面的安全訪問(支持JavaScript和實現(xiàn)內部URL到外部URL的改寫，實現(xiàn)http鏈接到https鏈接的轉換)；為用戶提供SSL VPN的Web訪問界面(用戶登錄界面，VPN資源訪問界面，用戶信息管理界面)；為管理員提供SSL VPN的Web管理界面(對VPN用戶的資源權限管理界面，對SSL VPN網關的監(jiān)控頁面)；管理員任務分擔(可以配置單位的Logo、問候語等，提供用戶的主頁模板，并可將管理職責劃分不同角色)等等。我們可以從我們單位這個實例中清晰的看到這些功能的實現(xiàn)。

圖1 H3C SSL VPN用戶訪問界面

使用H3C SSL VPN系統(tǒng)，通過SSL VPN客戶端可以在任何時間任何地點對應用資源進行訪問，但是客戶操作都需要經過安全的身份驗證和加密，文獻[1]中討論的網絡欺騙是不可能發(fā)生的。

2 結論

基于不對稱加密算法，詳細分析了SSL VPN原理與連接過程及優(yōu)勢，并使用了一個實例H3C SSL VPN，從而有效保障了網絡資源的安全性。

[1]陳鴻星,張紅霞,林淑琴.RFC 特征剖析及網絡安全性對策[J].實驗室研究與探索.2008.

[2]William Stallings.Cryptography and Network Security Principles and Practices,Fourth Edition[M].New Jersey:Prentice Hall.2010.

[3]William Stallings.Network Security Essentials:Applications and Standards (4th Edition) [M].Beijing：Tsinghua University Press.2010.

[4]徐恪,吳建平,徐明偉編著.高等計算機網絡——體系結構、協(xié)議機制、算法設計與路由器技術[M].北京:機械工業(yè)出版社.2005.

[5]伍孝金主編.計算機網絡[M].清華大學出版社.2007.

[6]賀思德,申浩如主編.計算機網絡安全與應用[M].科學出版社.2007.

[7]岳建國,楊清永編著.計算機網絡實驗教程[M].西安電子科技大學出版社.2007.

[8]胡道元.網絡安全的挑戰(zhàn)和對策[J].信息網絡安全.2008.

[9]李軍.未來網絡安全技術發(fā)展趨勢[J].網絡安全技術與應用.2007.

[10]鄧向林.加強計算機網絡安全的對策思考[J].科技資訊.2008.