◆陳一霄

基于網(wǎng)絡(luò)安全視域看數(shù)據(jù)加密技術(shù)的應(yīng)用

◆陳一霄

（廈門華廈學(xué)院 福建 361024）

互聯(lián)網(wǎng)技術(shù)正在快速發(fā)展，信息技術(shù)的升級便利了人們的資訊，但也產(chǎn)生了很多的安全問題。在信息數(shù)據(jù)保密性越發(fā)重要的當(dāng)下，網(wǎng)絡(luò)安全是信息技術(shù)長遠發(fā)展的基礎(chǔ)條件。數(shù)據(jù)加密技術(shù)是信息安全技術(shù)中最常見的網(wǎng)絡(luò)保護手段之一，在各個領(lǐng)域中都得到了廣泛運用。本文基于安全視域?qū)用芗夹g(shù)展開分析，探討了加密技術(shù)中存在的不安全因素以及數(shù)據(jù)易被破譯等問題，提出相關(guān)的優(yōu)化建議，以增強數(shù)據(jù)保密性和安全性。

互聯(lián)網(wǎng)；數(shù)據(jù)加密技術(shù)；安全應(yīng)用

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展極大地改變了當(dāng)下的社會形態(tài)，隨著大眾對互聯(lián)網(wǎng)的依賴程度加深，網(wǎng)絡(luò)中的安全問題也越來越得到人們的關(guān)注。當(dāng)前網(wǎng)絡(luò)中主要通過竊取、篡改、傳播等方式造成安全問題，常用的數(shù)據(jù)保護方式是信息加密，但因為網(wǎng)域的復(fù)雜性，加密技術(shù)也存在被破譯的風(fēng)險，所以對于加密技術(shù)而言還需持續(xù)改進，以確保網(wǎng)絡(luò)通信的安全性。

1 加密技術(shù)的類型和缺陷

（1）口令認(rèn)證

傳統(tǒng)的認(rèn)證技術(shù)重點采取基于口令的認(rèn)證策略，其原理是依靠開啟系統(tǒng)的時候用戶進一步輸入ID以及PW，系統(tǒng)把用戶輸入的相關(guān)信息以及用戶信息深入、有效開展對比，進而對用戶的身份進行有效、合理判斷。這類認(rèn)證策略的核心優(yōu)勢就是：系統(tǒng)如Windows NT、UNIX等都提供了對口令認(rèn)證的相關(guān)支持，針對小型系統(tǒng)來講是一種可行以及簡單的策略?？墒且驗橛脩粢话銜x取和自己個人情況相關(guān)的信息作為口令，導(dǎo)致這種技術(shù)的變得非常不安全。借助于明文的方式在網(wǎng)絡(luò)上進一步傳輸口令，導(dǎo)致攻擊人員極易借助于搭線竊聽進一步獲得用戶的相關(guān)口令；此外，攻擊人員也許會憑借系統(tǒng)漏洞對用戶口令文件進行獲得以及破解，就嚴(yán)重影響了整個系統(tǒng)的有效性以及安全性。要想提升這項技術(shù)的安全性，一般借助于密碼算法對口令實施加密保存以及傳輸，并不能有效抵抗假冒攻擊[1]。

（2）物理認(rèn)證

除口令認(rèn)證外，另一種常用的保密方式是物理證件，物理認(rèn)證的媒介包括智能卡以及USB Key等。智能卡進一步具備硬件加密這一功能，具有極高的安全性。智能卡背景下的用戶身份認(rèn)證方式將用戶所擁有以及用戶所知進行了充分聯(lián)系，物理證件里面包含了用戶信息（ID，PW），AS種具有某個由用戶提前選取的隨機數(shù)。用戶對系統(tǒng)相關(guān)資源進行有效訪問的時候，用戶輸入（ID，PW）。系統(tǒng)首先對智能卡的有效性以及合法性進行判斷，接著由智能卡對用戶身份進行有效鑒別，如果用戶的身份合法，然后把智能卡里面的隨機數(shù)發(fā)送至AS開展深入認(rèn)證[2]。

這類認(rèn)證方式不能對數(shù)據(jù)進行讀取以及偽造。如果不具備物理證件，就無法對系統(tǒng)相關(guān)資源進行有效訪問，盡管丟失了物理證件，入侵人員還是需要對用戶口令進行猜測。物理證件進一步提供了硬件保護策略以及加密算法，能夠憑借這些作用進一步提升有效性以及安全性，比如，能夠?qū)⑽锢碜C件有效設(shè)置為某個秘密信息，進而避免信息的不斷泄漏。這種認(rèn)證方式屬于一種雙因子的認(rèn)證方式，盡管物理設(shè)備或者PIN被別人竊取，依舊不能冒充用戶。與口令認(rèn)證策略相比，雙因子認(rèn)證擴增了一個認(rèn)證基本要素，攻擊人員只獲得了用戶的物理設(shè)備或者相關(guān)口令，都不能進一步通過系統(tǒng)的有效認(rèn)證。于是，與基于口令的認(rèn)證策略相比，這種策略的安全性更高，對口令認(rèn)證策略里面的前三個問題進行了有效解決，可是這類方式還是無法對口令猜測的攻擊進行有效抵御。

（3）硬件認(rèn)證

最后一種方式為硬件信息認(rèn)證，此種認(rèn)證仍是以公鑰密碼機制為基礎(chǔ)的。其大致的假定如下：以固定用戶為例，他們所使用的計算機通常是比較固定的，因此，可通過識別此臺計算機，并對當(dāng)時使用這臺機子的用戶進行識別，從而完成對用戶的遠程認(rèn)證操作。值得注意的是在共用計算機里原則上是不允許進行任何涉及個人機密的操作，否則將無法保障信息的安全性。在遠程認(rèn)證中的重難點是如何對計算機的唯一硬件特征予以識別。目前，市面上的網(wǎng)卡均對應(yīng)有一個MAC地址，該地址是全球唯一的，因此，網(wǎng)卡生產(chǎn)廠家需遵守相關(guān)統(tǒng)一要求，為所制造的網(wǎng)卡按統(tǒng)一分配原則對其配備對應(yīng)的MAC地址。同理，關(guān)于硬盤、主板、CPU等其他計算機零部件也有著相關(guān)協(xié)議與規(guī)范。將上述參數(shù)合起來就能獲得一個硬件標(biāo)識號碼，在世界上具有唯一性[3]。但是在該認(rèn)證模式中，用戶需在執(zhí)行認(rèn)證行為前開始認(rèn)證的另一個過程，要求用戶輸入自己的PIN碼，之后認(rèn)證過程才會被啟動。如此就能采用計算機硬件特征值與用戶口令聯(lián)合應(yīng)用于識別環(huán)節(jié)。這種認(rèn)證非?？欤驗椴⑽瓷婕白鲝U列表查詢更新等問題。此外，在確認(rèn)用戶身份的時候安全性也較好，該認(rèn)證系統(tǒng)屬于相對獨立的系統(tǒng)，實現(xiàn)也較為容易，能夠很輕松地與現(xiàn)有網(wǎng)絡(luò)體系相整合，因此，可輕松融入現(xiàn)有的業(yè)務(wù)及網(wǎng)絡(luò)系統(tǒng)中。

2 加密優(yōu)化建議

（1）算法改進

網(wǎng)絡(luò)通信技術(shù)近年來發(fā)展迅速，與此同時，電腦硬件技術(shù)也日益完善，網(wǎng)絡(luò)購物、電子商務(wù)、網(wǎng)上銀行等得到了大量應(yīng)用，讓公眾的生活更加便捷豐富。然而網(wǎng)絡(luò)信息安全問題也尤為突出，除了黑客入侵外，網(wǎng)上數(shù)據(jù)被泄露、篡改、病毒傳播、計算機犯罪等問題也很普遍。從國家安全層面分析，信息安全屬于重要的構(gòu)成要素，事關(guān)國家的整體發(fā)展與長遠利益。密碼技術(shù)屬于信息安全領(lǐng)域中的核心技術(shù)，受到了廣泛的關(guān)注。隨著公眾對網(wǎng)絡(luò)信息安全問題的日益關(guān)注，網(wǎng)絡(luò)安全技術(shù)發(fā)展也有所加快，相關(guān)密碼技術(shù)亦日趨完善。在密碼技術(shù)中核心要素就是密鑰，按照密鑰的不同密碼學(xué)將其分為兩種，包括公開密鑰密碼系統(tǒng)與對稱密鑰密碼系統(tǒng)。

通過分析采用對稱密鑰的密碼系統(tǒng)可知，其加密與解密均運用的是同一密鑰，因此，其加密、解密速度都很迅速，而且密鑰短、破譯難度大。公開密鑰密碼系統(tǒng)具備較高的安全性，且密鑰管理更簡單。不過其不足之處在于密鑰過長，運算速度明顯慢于對稱算法，一對公私鑰通常是同時形成的，這需要的時間是數(shù)分鐘。這對于有大量用戶的系統(tǒng)來說，顯然服務(wù)器的運行速度較低。

通過分析公開密鑰與對稱密鑰二者的密碼算法，綜合考慮二者的優(yōu)缺點，加之現(xiàn)代密碼分析技術(shù)對加密算法提出了更高的要求。加密技術(shù)的優(yōu)化需從EKE（加密的密鑰交換）協(xié)議進行相關(guān)改進與優(yōu)化，在基于橢圓曲線公開密鑰加密算法的基礎(chǔ)上引用AES對稱密鑰加密算法以提高信息的安全性能。由服務(wù)器端負(fù)責(zé)接收用戶的密鑰，而用戶端可給出自身的橢圓曲線密鑰對，從而極大提升了整個系統(tǒng)的運行效率。鑒于通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量極為龐大，在加密處理時選擇AES對稱密碼算法，密碼長度為256bit，此密碼算法中涉及的加密密鑰則是基于橢圓曲線公開密鑰加密算法，密碼長度為2048bit。這不僅能確保數(shù)據(jù)信息的安全性，而且也讓數(shù)據(jù)加密與解密速度明顯提高，從而符合數(shù)據(jù)傳輸?shù)陌踩?、迅速需求?/p>

（2）EKE協(xié)議改進

EKE中文為加密密鑰交換協(xié)議，此協(xié)議的設(shè)計者包括Steve Bellovin和Michael Merrit，同時運用公開與對稱密鑰密碼為互聯(lián)網(wǎng)數(shù)據(jù)安全性提供保障，而且也提供了鑒別服務(wù)。對于加密系統(tǒng)，加密算法和密鑰管理是關(guān)鍵點。密碼算法是規(guī)則和公式，用于指定如何在密文之間進行轉(zhuǎn)換。由于密碼系統(tǒng)的重復(fù)使用，僅使用加密算法不能保證信息的安全性。實際上，加密信息的安全性應(yīng)集中在密鑰的安全性管理上。對于加密和解密算法，密鑰信息的存儲、傳輸和生成特別重要。特別是，當(dāng)多個用戶共享一臺計算機時，如果用戶沒有進行有效的密鑰管理，就無法保證密碼系統(tǒng)安全性。

在此系統(tǒng)中，必須先分發(fā)服務(wù)器公鑰，然后才能與客戶端和服務(wù)器進行正式通信，并由服務(wù)器端應(yīng)用程序主動生成，然后以公共方式分發(fā)給所有用戶。用戶獲取服務(wù)器公鑰，將其存儲在自己的密鑰文件夾中，然后使用設(shè)備完成服務(wù)器并傳輸機密信息。在文件打包模塊對打包文件進行加密之前，將生成一個隨機的256位文件加密密碼，并將文件ID號、文件密碼和相關(guān)信息寫入服務(wù)器的文件信息數(shù)據(jù)庫。服務(wù)器端程序可以有效地維護數(shù)據(jù)庫中的文件信息。如果客戶端上的合法用戶通過驗證，則可以將該用戶的權(quán)限作為查詢文件信息數(shù)據(jù)庫中文件密碼的標(biāo)準(zhǔn)，權(quán)限越高，文件密碼的權(quán)限越高，權(quán)限最高的用戶可以獲得所有文件密碼。為了在此系統(tǒng)上正確解密加密的文件，必須首先在服務(wù)器上生成一個初始密碼和用戶名，并且服務(wù)器端應(yīng)用程序的用戶管理模塊必須實現(xiàn)每個功能，并且用戶管理模塊會將用戶發(fā)送到用戶信息數(shù)據(jù)庫。合法用戶可以向客戶端應(yīng)用程序的服務(wù)器提交密碼更改請求，服務(wù)器在確認(rèn)后在用戶數(shù)據(jù)庫中輸入新的密碼。在解密文件的過程中，用戶向服務(wù)器查詢文件密碼，服務(wù)器可以確定用戶的權(quán)限是否緊隨文件的權(quán)限，并提供文件密碼。通過合法認(rèn)證后，用戶可以使用橢圓曲線加密系統(tǒng)與服務(wù)器通信。服務(wù)器應(yīng)用程序生成并管理服務(wù)器的私鑰和公用密鑰，并從合法用戶那里接受用戶的公用密鑰。它使用用戶的公鑰加密和傳輸信息，并在使用服務(wù)器的私鑰接收信息的過程中解密信息?？蛻舳藨?yīng)用程序管理用戶的公鑰和私鑰，并將用戶的公鑰發(fā)送到服務(wù)器。在發(fā)送和接收信息的過程中，服務(wù)器的公鑰用于加密和解密私鑰。該系統(tǒng)使用ECC公鑰算法來促進服務(wù)器和用戶的雙向身份驗證和數(shù)字簽名。

3 結(jié)語

現(xiàn)階段，計算機技術(shù)發(fā)展迅速，并在數(shù)學(xué)領(lǐng)域取得了突破，在這種情況下，加密算法得到了快速發(fā)展，對數(shù)據(jù)存儲以及安全保密信息傳輸?shù)男枨罅坎粩嘣黾?。在現(xiàn)階段，實際應(yīng)用中仍然主要通過對稱加密技術(shù)來處理大量信息，但是短密鑰難以保證信息的安全性。如何有效地提高加密密鑰的安全性而不影響運算速度是加密算法的主要研究內(nèi)容。加密技術(shù)的優(yōu)化需從算法和EKE協(xié)議展開，只有對這兩部分進行有效強化，就能有效加強互聯(lián)網(wǎng)與通信的保密性與安全性。

[1]駱兵.計算機網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運用分析[J].信息與電腦，2016（9）：193-194.

[2]金銀鵬.淺析計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電腦知識與技術(shù)，2018（3）：33-34.

[3]秦葉威.關(guān)于計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].數(shù)字化用戶，2018，24.