认证加密两招解除VPN安全隐患

文章作者 100test 发表时间 2007:03:14 13:38:48
来源 100Test.Com百考试题网

VPN（Virtual Private Network）虚拟专用网络，是通过在公共的网络环境中建立专用通道进行数据传输的一种技术。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能，在公共网络环境中虚拟通道，可以达到降低成本的目的。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。正是基于这一优势，近几年的VPN应用越来越多。但是，由于VPN是在不安全的Internet中进行通信，而通信的内容可能涉及到企业的机密数据，企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问，因此VPN存在的安全隐患问题就显得非常重要，有没有办法能够解除这个问题，让VPN圆了企业“节约成本”的梦吗？有。

认证技术

认证技术可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是困难的。该特性使得摘要技术在VPN中有两个用途：

1： 验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算，不知道秘密信息将很难伪造一个匹配的摘要，从而保证了接收方可以辨认出伪造或篡改过的报文。

2：用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的。

常用的HASH函数有MD5，SHA-1等。

加密技术简介

在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。在现代密码学中，加密算法被分为对称加密算法和非对称加密算法。