王文博

[摘要]隨著計算機網(wǎng)絡(luò)的普及,大量的客戶數(shù)據(jù)資料都是聚集和存貯在計算機數(shù)據(jù)庫中,并在用復(fù)雜的通訊網(wǎng)連在一起的計算機和終端設(shè)備之間進(jìn)行傳輸。若沒有適當(dāng)?shù)姆雷o(hù)設(shè)施,非常容易造成信息的泄露和資料的被竊。公開密鑰是相對于私密密鑰的密碼技術(shù)體制的一種,計算機網(wǎng)絡(luò)安全的維護(hù)可以通過端-端加密,鏈路-鏈路加密的方式實現(xiàn),而對于其算法,這里主要介紹安全性能較高的AES-Rijndael算法和較有前景的橢圓曲線密碼體制EEC算法。

[關(guān)鍵詞]密碼技術(shù) 公開密鑰 網(wǎng)絡(luò)加密方式 AES-Rijndael算法 EEC算法

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0910058-01

因特網(wǎng)的普及使得網(wǎng)上存取和傳輸信息漸漸成為人們?nèi)粘Ｉ钏?。與此同時,信息的安全性也越來越受到人們重視。數(shù)據(jù)在傳輸過程中的安全性體現(xiàn)得更為重要。密碼技術(shù)在網(wǎng)絡(luò)安全維護(hù)的作用體現(xiàn)在各個方面,這里主要介紹網(wǎng)絡(luò)通信中加密的途徑和加密算法。

一、密碼技術(shù)概述

密碼技術(shù)是研究信息系統(tǒng)安全保密的科學(xué),可以分為兩大類:秘密密鑰密碼體制和公開密鑰密碼體制。公開密鑰(publickcy)密碼體制最主要的特點就是使用不同的密鑰進(jìn)行加密和解密運算,并且解密密鑰不能從加密密鑰變換獲得。公開密鑰密碼體制包括:公開密鑰PK和秘密密鑰SK,PK是公開信息。加密密鑰不能用來解密,即DPK(EPK(X))≠X;用加密密鑰PK對明文X加密后,再用解密密鑰S解密,即可恢復(fù)出明文,或?qū)憺?DSK(EPK(X))=X;從已知的PK實際上不可能推導(dǎo)出SK;在計算機上可以容易地產(chǎn)生成對的PK和SK;加密和解密的運算可以對調(diào),即:EPK(DSK(X))=X?；谶@些特點,它網(wǎng)絡(luò)安全維護(hù)中的作用也就顯得非常強大。

二、網(wǎng)絡(luò)通信中選用的加密方式

(一)端-端加密。端端加密方法是建立在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,這種方法要求傳送的數(shù)據(jù)從源端到目的端一直保持密文狀態(tài)。任何通信鏈路的錯誤不會影響整體數(shù)據(jù)的安全性,如圖1所示:

對于這種方法,密鑰管理比較困難,如果加密在應(yīng)用層或表示層進(jìn)行,那么加密可以不依賴于所用通信網(wǎng)的類型。在端-端加密方式中,只加密數(shù)據(jù)本身信息,不加密路徑控制信息,信息在發(fā)送主機內(nèi)和中間節(jié)點也是加密的,用戶必須找到加密算法。用戶可以選擇加密,也可以決定施加某種加密手段,端-端加密方法將網(wǎng)絡(luò)看作是一種介質(zhì),數(shù)據(jù)能安全地從源端到達(dá)目的端#這種加密在OSI模型的高層進(jìn)行,在源端進(jìn)行數(shù)據(jù)加密,在目的端進(jìn)行解密,而在中間節(jié)點及其鏈路上將一直以密文形式出現(xiàn)。

(二)鏈路-鏈路加密。面向鏈路的加密方法將網(wǎng)絡(luò)看作鏈路連接的節(jié)點集合,每一條鏈路被獨立加密,鏈路-鏈路加密方式為兩個節(jié)點之間通信鏈路中的信息提供安全性,它與這個信息的起始或終結(jié)無關(guān)。如圖2所示,每一個這樣的鏈接相當(dāng)于OSI參考模型,建立在物理層之上。這種類型的加密最容易實現(xiàn)。

因為所有的報文都被加密,黑客攻擊者無法獲得任何關(guān)于報文結(jié)構(gòu)的信息,也無法知道通信者,通信內(nèi)容,通信時間等信息。還可以稱之為信號流安全,這種加密方式中,密鑰管理相對來說是簡單的,只在鏈路的兩站節(jié)點需要一個共用密鑰。加密是在每條通信鏈路上獨立進(jìn)行的,每條鏈路上使用不同的加密密鑰。因此,一條鏈路上的錯誤不會波及其他鏈路,影響其他鏈路上的信息安全,鏈路鏈路信息加密僅限于節(jié)點內(nèi)部,所以要求節(jié)點本身必須安全,另一個較大的問題是維護(hù)節(jié)點安全性的代價。加密對用戶是透明的,通過鏈路發(fā)送的任何信息在發(fā)送前都先被加密,每條鏈路只需要一對密鑰,提供了信號流安全機制。

三、網(wǎng)絡(luò)傳輸安全維護(hù)中兩種性能較高的加密算法

(一)AES-Rijndael算法。Rijndael算法集安全、性能、效率、成本、通用性、可實現(xiàn)性和靈活性于一身。它可以在大型計算機、臺式機甚至智能卡上安全可靠地運行。無論在反饋模式還是在非反饋模式中使用Rijndael,其軟件和硬件對計算環(huán)境的適應(yīng)性強,性能穩(wěn)定,密鑰建立時間優(yōu)良,密鑰靈活性強,存儲需求量低、即使在空間有限的環(huán)境使用也具備良好的性能,同Rijndael在抗能量攻和定時攻擊中易于運行,能實現(xiàn)為一個流密碼、雜湊算法,并能提供輔助密碼服務(wù),此外又不會明顯改變Rijndael的性能。在分組長度和密鑰長度方面,Rijndael也具有一定的靈活性,該算法允許改變?nèi)?shù)。

AES-Rijndael替代算法的安全強度高于或等于3-DES,且有明顯更高的效率。其分組長度至少為128bit,密鑰長度可為128、192、256bit約有3.4×1038、6.2×1057、1.1×1077個可能的密鑰。假如有一臺每秒可試驗255個密鑰(可恢復(fù)256bit DES的一個密鑰)的破譯機,破譯128bit的Rijndael需要1.49×106億年,而宇宙的年齡不過200億年。估計Rijndael至少可以使用20年。

(二)EEC算法。1985年,Neal Koblitz和Victor Miller相互獨立地提出了EEC算法,即橢圓曲線密碼體制。EEC涉及深奧的數(shù)論理論,一般僅用160-200位的密鑰便足以對付各種高保密需要。EEC作為公開密鑰密碼體制中的一種,在堅實的理論基礎(chǔ)上實現(xiàn)高度安全性,具有存貯效率、節(jié)約通信帶寬以及計算效率等多方面的優(yōu)越性,運算非常有前途的密碼體制。

總之,從信息的保密性到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等是網(wǎng)絡(luò)安全的重要方面。雖然密碼技術(shù)和計算機安全是兩個截然不同的主題,但是計算機安全很多方面都依賴于密碼技術(shù),在信息傳輸過程中尤其如此。在常用的網(wǎng)絡(luò)傳輸方式中,AES-Rijndael算法,EEC算法具有很大的優(yōu)勢,在實際中也得到了廣泛的運用。

參考文獻(xiàn):

[1](美)D.E.R.丹寧,密碼學(xué)與數(shù)據(jù)安全[M].北京:科學(xué)出版社,2005:47-48.

[2]王漢強、魏慶福,一種基于Z/nZ上橢圓曲線的公鑰密碼算法[J].通信學(xué)報,2004,8(2):158-162.

[3]王育民、劉建偉,通信網(wǎng)的安全——理論與技術(shù)[M].西安:西安:電子科技大學(xué)出版社,2001:12-18.

[4]楊千里、王育民等,電子商務(wù)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2006:117-119.