◆孫彩鋒

加解密技術

偽隨機可變密鑰透明加解密技術的應用研究

◆孫彩鋒

（山西大同大學物理與電子科學學院 山西 037009）

科學技術的進步推動了互聯(lián)網(wǎng)技術的迅速更新，使得數(shù)字化文件的應用越來越廣泛，資料的處理基本都利用計算機技術，在這樣的背景之下，人們對隱私數(shù)據(jù)和核心機密數(shù)據(jù)的保護意識也日益增強，信息安全問題成為當下急需解決的問題。本文先是對研究背景和意義進行了概述，接著介紹了偽隨機可變密鑰透明加解密模型，最后對偽隨機可變密鑰透明加解密技術的優(yōu)越性進行了闡述。希望本文的論述能為其他學者對于偽隨機可變密鑰透明加解密技術的應用研究提供有益借鑒。

偽隨機序列；可變密鑰；透明加解密；應用研究

偽隨機可變密鑰透明加解密技術系統(tǒng)，主要就是用來保護企業(yè)或個人的重要加密數(shù)據(jù)的，該系統(tǒng)具有很好的擴展性和可移植性，能夠快速找回丟失的數(shù)據(jù)，同時可以對一些非法侵犯行為起到一定的預防作用，降低了機密文件被竊取的可能性。

1 研究工作的背景與意義

由于數(shù)字時代的到來，網(wǎng)絡技術和計算機技術的應用已經(jīng)普及到了各行各業(yè)，幾乎所有的資料都會通過電腦來進行編輯、修改和查閱，并利用互聯(lián)網(wǎng)技術對其進行傳輸[1]。然而多數(shù)企業(yè)為了數(shù)據(jù)傳輸?shù)谋憷蠖疾患用艿刂苯哟嬖诠灿嬎銠C中，忽略了對信息安全性的管控，極易造成數(shù)據(jù)丟失和信息泄露，給企業(yè)帶來巨大的損失。

1.1 計算機網(wǎng)絡通信安全影響因素

據(jù)有關機構的調(diào)查顯示，目前國內(nèi)多數(shù)公司都是利用Windows操作系統(tǒng)來進行辦公的，絕大多數(shù)的企業(yè)都沒有對電子文件數(shù)據(jù)采取相應的保護措施，造成了多起數(shù)據(jù)泄密事件。所以，保證資料的安全性，防止機密文檔被黑客竊取已經(jīng)成為目前計算機領域的重點研究方向，當今時代對計算機上的資料造成危害的原因主要有以下三個方面：（1）計算機病毒，計算機病毒是造成網(wǎng)絡通信安全隱患的主要因素，病毒會對計算機的正常運行功能進行破壞，使計算機的運行代碼受到影響。同時，病毒還會不斷復制被破壞的代碼，使整個計算機的運行系統(tǒng)陷入癱瘓。例如紅色結束符、熊貓燒香、宏病毒等等都是常見的計算機病毒[2]；（2）網(wǎng)絡漏洞，在網(wǎng)絡運行過程中，一旦出現(xiàn)漏洞，不僅會影響到各類數(shù)據(jù)的傳播速度，還會提升數(shù)據(jù)信息被竊取的概率[3]；（3）黑客攻擊，黑客入侵因素主要指的是非法人員針對計算機進行網(wǎng)絡攻擊，他們會以特有的方式突破防火墻，在竊取計算機內(nèi)部各類信息的同時還會對計算機系統(tǒng)進行破壞。

1.2 實現(xiàn)偽隨機可變密鑰透明加解密技術的重要意義

首先，為了防止機密文件被外部黑客竊取，最直接的防護措施就是對重要保密資料采取加密保護，用另外一種形式將這些資料保存在計算機的磁盤中，只有在需要的時候才需要將其轉(zhuǎn)換成文檔格式，供用戶使用。再者，還有一道保護措施，也就是使用不一樣的密碼來充分保護重要資料的安全性，并且同一份資料在各部門之間每一次進行分發(fā)傳閱時也會采用不同的解密密碼。

因此，不論是Windows系統(tǒng)操作系統(tǒng)，還是ISO操作系統(tǒng)，都迫切需要一項技術，用來確保機密信息的正常傳播，同時該技術還具備可靠、安全、操作簡捷的特點，這也是偽隨機可變密鑰透明加解密技術的意義所在。

2 偽隨機可變密鑰管理模型

偽隨機密鑰的透明加解密系統(tǒng)是一種新型的防火墻系統(tǒng)，可以成功避免由網(wǎng)絡連接、外部連接、存儲硬盤和打印通信創(chuàng)建等而造成的資料丟失。該系統(tǒng)是一個數(shù)據(jù)安全管理的綜合性控制系統(tǒng)，包括了對文檔資料的加密保護、瀏覽限制權限、異常情況監(jiān)控以及機密數(shù)據(jù)備份等功能。偽隨機密鑰的透明加解密系統(tǒng)同時還能實現(xiàn)在不改變儲存文檔原來的文件格式前提下進行密鑰可變式的透明加密保護[4]。

密鑰作為加密解密算法中的可變部分，也是加解密過程中重點管控的對象，在信息時代的背景下對密鑰進行管理的重要意義顯而易見，包括了從密鑰的生成、變更、使用以及銷毀整個階段。

偽隨機可變密鑰管理模型是利用偽隨機序列來控制文件密鑰的變化的，使用者不需要自己設置文檔的加密密鑰，隨機密鑰的生成是由文件的讀取次數(shù)、查閱時間等不確定因素來共同決定的，同時具備均勻分布性和獨立性以及不可預測性，比較容易檢測，并且這些隨機數(shù)列的產(chǎn)生是相互獨立的。

偽隨機序列具有以下兩個特征：（1）種子密鑰只能由內(nèi)網(wǎng)服務器來進行存儲；（2）不可預測性，即無法預測序列中的其他位數(shù)。

3 偽隨機密鑰的透明加解密系統(tǒng)的優(yōu)越性

偽隨機密鑰的透明加解密系統(tǒng)由8個主要的模塊組成，模塊與模塊之間相互獨立，層次分明，各為一體，而又緊密相接，環(huán)環(huán)相扣?，F(xiàn)從這幾個主要模塊入手來分析該系統(tǒng)的優(yōu)越性。

（1）用戶模式加解密模塊

用戶模式加解密模塊主要管理訪問者的身份識別功能，用來驗證用戶是否具有該加密文檔的權限。該系統(tǒng)模塊會為用戶設置兩個層次的加密密碼，只有都通過了驗證，系統(tǒng)服務器才會反饋一個角色識別標識，并對該標識開通加密文件的訪問權限[5]。

（2）角色訪問控制和策略配置模塊

角色訪問控制模塊的首要功能就是對用戶的識別代碼進行管理，包括對識別信息的添加、刪除以及修改等，而策略配置模塊則主要負責將操作進程與之前設置的密碼之間生成一一對應的關系。同時，使用偽隨機可變密鑰管理模型生成的偽隨機序列，保證了密鑰的不確定性和靈活性。

（3）策略驗證與維護模塊

維護模塊是用來解決諸如用戶查詢讀寫、文本內(nèi)容更新等需求的，通常為了保證操作運行的高效性，系統(tǒng)會將文檔的擴展名、進程名稱以鏈接列表的形式記錄下來，以便在運行操作過程中可以直接進行比較。而策略模塊的作用是要來進行策略驗證的，一旦用戶的信息通過了驗證便可以獲得訪問權限。舉個例子來說明，某個員工甲，創(chuàng)建了一個文本文件，同時將文檔以后綴名為.doc的形式保存下來，如果員工乙想要對該文檔進行一系列的操作，就必須先要獲取員工甲，設置的員工信息，才能在系統(tǒng)中通過驗證，否則無法使用該文檔。

（4）密鑰管理模塊

密鑰管理模塊對密鑰安全性和真實性進行負責，主要為系統(tǒng)文件提供“密鑰可變”的加解密密鑰，保證了密鑰的安全性。密鑰的管理包含了密鑰自生成到最終消亡的整個過程的所有安全問題，主要表現(xiàn)在以下幾個階段中：（1）密鑰的生成，對密鑰的生成算法以及影響因素進行管理控制；（2）密鑰的分配，對密鑰的分配方式、分享對象以及分配的途徑進行管理；（3）密鑰的驗證，密鑰在傳輸時本身會攜帶一些檢驗錯誤和糾正錯誤的位數(shù)，對其分享過程進行監(jiān)控；（4）密鑰的更新，如果需要頻繁更改密鑰，可以采用從舊密鑰中生成新密鑰的方式，或者采用單向函數(shù)的方式。

（5）通信模塊

通信模塊用于在應用程序級別創(chuàng)立支持線程，并根據(jù)自動生成的配置關系將數(shù)據(jù)信息發(fā)送到該線程，以完成對消息管理過程。當篩選驅(qū)動程序接收到新的數(shù)據(jù)信息后，就會根據(jù)文檔的擴展名，將反饋信息發(fā)回給用戶，并且將該反饋信息提交給內(nèi)核進行進一步處理。例如，當要加密和保存文檔時，數(shù)據(jù)文檔必須在內(nèi)核中進行加密操作，在確定了文檔的加密需求以及文檔的后綴格式之后，通信模塊就會調(diào)用文件中的加密算法，并將加密過濾完成后的文本信息保存到硬盤中，并將信息反饋給用戶，同樣的道理，對文件進行解密讀取時也是利用內(nèi)核驅(qū)動進行數(shù)據(jù)過濾處理的。

與此同時，通信模塊只有核實了用戶輸入的私人密碼，才會實現(xiàn)對數(shù)據(jù)信息的傳輸功能，所以不管是用戶想要修改密碼，還是添加文檔的訪問權限，都不會造成文檔數(shù)據(jù)的丟失，有效保障了傳遞數(shù)據(jù)的完整性。

（6）加解密模塊

為實現(xiàn)數(shù)據(jù)文檔的安全使用和高效查閱，加解密模塊通常都需要兩個加密模式共同來發(fā)揮作用，即對稱加密（AES）和非對稱加密（RSA）[6]。（1）對于對稱加密算法，主要用于對數(shù)據(jù)文檔本身的資料內(nèi)容進行保護；（2）對于非對稱加密算法，主要是對機密文件的密鑰進行加密，通常需要多層防護，即用戶客戶端的密碼和服務器端的密碼，同時還需要用戶各自的私鑰才能獲取文件的信息，有效保證了數(shù)據(jù)傳輸時的可靠性和穩(wěn)定性。

加解密模塊對文件的加解密處理都是在內(nèi)核中的完成的，首先，通過對文檔的標識（ID）進行加密從而達到對文檔內(nèi)容本身進行保護；再者，讀取文檔時，其實就對該文檔的標識符（ID）進行判斷和辨別，對比文檔ID中對應的信息，從而來確認是否可以對用戶解密文檔內(nèi)容。

（7）雙緩沖維護模塊

通常，透明加解密系統(tǒng)采用雙緩沖維護模塊，不僅可以及時對緩存進行清理，同時還可以避免因使用透明加解密而造成的系統(tǒng)損傷。更重要的是，其不僅可以確保數(shù)據(jù)文檔的保密性，同時還能提高文檔的操作速度，譬如查找、讀寫等。在雙緩沖維護模塊中，系統(tǒng)為文件的緩沖設置了兩個通道，如果是用戶自己對文檔進行查閱等操作，則該模塊就會解密文檔，展示出真正的數(shù)據(jù)資料，而如果是外來者的非法查看，則提供的便是密文信息，有效保護了文檔資料。

（8）文件過濾驅(qū)動模塊

文件過濾驅(qū)動模塊是透明加解密技術中一個必不可少的模塊，通過建立授權過濾列表，需要對數(shù)據(jù)文件的各種處理制定相對應的響應關系，從而使得在對文件進行打開、讀寫等操作時都能順利過渡，實現(xiàn)機密文件的透明加解密。

4 結語

綜上所述，利用偽隨機可變密鑰透明加解密技術對數(shù)據(jù)進行管理保護具備明顯的優(yōu)越性，無論是在具體操作上，還是在實施效果上都十分高效、便捷而且穩(wěn)定。因此，為了保證信息網(wǎng)絡安全，推動網(wǎng)絡時代快速發(fā)展，需要繼續(xù)深入研究偽隨機可變密鑰透明加解密技術。

[1]吳愛萍.虛擬網(wǎng)絡技術在計算機網(wǎng)絡安全中的運用初探[J].計算機產(chǎn)品與流通，2020（02）：47.

[2]唐娟.關于計算機網(wǎng)絡通信安全中數(shù)據(jù)加密技術的運用探析[J].信息通信，2016（4）：186-187.

[3]張偉龍.數(shù)據(jù)加密技術在計算機網(wǎng)絡通信安全中的應用分析[J].科技創(chuàng)新與應用，2015（27）：88-89.

[4]龔利.網(wǎng)絡考試系統(tǒng)中組卷算法比較及應用[J].黃岡職業(yè)技術學院學報，2015，17（03）：94-96.

[5]左曉軍，丁斌，陳澤.透明加解密技術在企業(yè)數(shù)據(jù)保護中的研究與應用[J].河北電力技術，2018，37（03）：26-28+54.

[6]唐彪.偽隨機可變密鑰透明加解密技術研究[D].電子科技大學，2017.