信息交换加密技术分为两类:即对称加密和非对称加密。具体如下:
(1)对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
3.虚拟专用网技术
虚拟专用网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。
虚拟专用网实际上就是将Internet看作一种公有数据网,这种公有网和PSTN网在数据传输上没有本质的区别,从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1)隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
(2)加解密技术
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
(4)使用者与设备身份认证技术
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN整合了范围广泛的用户,从家庭的拨号上网用户到办公室连网的工作站,直到ISP的Web服务器。用户类型、传输方法,以及由VPN使用的服务的混合性,增加了VPN设计的复杂性,同时也增加了网络安全的复杂性。如果能有效地采用VPN技术,是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。