◆陳一霄

基于網(wǎng)絡(luò)安全視域看數(shù)據(jù)加密技術(shù)的應(yīng)用

◆陳一霄

（廈門華廈學(xué)院 福建 361024）

互聯(lián)網(wǎng)技術(shù)正在快速發(fā)展，信息技術(shù)的升級(jí)便利了人們的資訊，但也產(chǎn)生了很多的安全問(wèn)題。在信息數(shù)據(jù)保密性越發(fā)重要的當(dāng)下，網(wǎng)絡(luò)安全是信息技術(shù)長(zhǎng)遠(yuǎn)發(fā)展的基礎(chǔ)條件。數(shù)據(jù)加密技術(shù)是信息安全技術(shù)中最常見(jiàn)的網(wǎng)絡(luò)保護(hù)手段之一，在各個(gè)領(lǐng)域中都得到了廣泛運(yùn)用。本文基于安全視域?qū)用芗夹g(shù)展開(kāi)分析，探討了加密技術(shù)中存在的不安全因素以及數(shù)據(jù)易被破譯等問(wèn)題，提出相關(guān)的優(yōu)化建議，以增強(qiáng)數(shù)據(jù)保密性和安全性。

互聯(lián)網(wǎng)；數(shù)據(jù)加密技術(shù)；安全應(yīng)用

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展極大地改變了當(dāng)下的社會(huì)形態(tài)，隨著大眾對(duì)互聯(lián)網(wǎng)的依賴程度加深，網(wǎng)絡(luò)中的安全問(wèn)題也越來(lái)越得到人們的關(guān)注。當(dāng)前網(wǎng)絡(luò)中主要通過(guò)竊取、篡改、傳播等方式造成安全問(wèn)題，常用的數(shù)據(jù)保護(hù)方式是信息加密，但因?yàn)榫W(wǎng)域的復(fù)雜性，加密技術(shù)也存在被破譯的風(fēng)險(xiǎn)，所以對(duì)于加密技術(shù)而言還需持續(xù)改進(jìn)，以確保網(wǎng)絡(luò)通信的安全性。

1 加密技術(shù)的類型和缺陷

（1）口令認(rèn)證

傳統(tǒng)的認(rèn)證技術(shù)重點(diǎn)采取基于口令的認(rèn)證策略，其原理是依靠開(kāi)啟系統(tǒng)的時(shí)候用戶進(jìn)一步輸入ID以及PW，系統(tǒng)把用戶輸入的相關(guān)信息以及用戶信息深入、有效開(kāi)展對(duì)比，進(jìn)而對(duì)用戶的身份進(jìn)行有效、合理判斷。這類認(rèn)證策略的核心優(yōu)勢(shì)就是：系統(tǒng)如Windows NT、UNIX等都提供了對(duì)口令認(rèn)證的相關(guān)支持，針對(duì)小型系統(tǒng)來(lái)講是一種可行以及簡(jiǎn)單的策略?？墒且?yàn)橛脩粢话銜?huì)選取和自己個(gè)人情況相關(guān)的信息作為口令，導(dǎo)致這種技術(shù)的變得非常不安全。借助于明文的方式在網(wǎng)絡(luò)上進(jìn)一步傳輸口令，導(dǎo)致攻擊人員極易借助于搭線竊聽(tīng)進(jìn)一步獲得用戶的相關(guān)口令；此外，攻擊人員也許會(huì)憑借系統(tǒng)漏洞對(duì)用戶口令文件進(jìn)行獲得以及破解，就嚴(yán)重影響了整個(gè)系統(tǒng)的有效性以及安全性。要想提升這項(xiàng)技術(shù)的安全性，一般借助于密碼算法對(duì)口令實(shí)施加密保存以及傳輸，并不能有效抵抗假冒攻擊[1]。

（2）物理認(rèn)證

除口令認(rèn)證外，另一種常用的保密方式是物理證件，物理認(rèn)證的媒介包括智能卡以及USB Key等。智能卡進(jìn)一步具備硬件加密這一功能，具有極高的安全性。智能卡背景下的用戶身份認(rèn)證方式將用戶所擁有以及用戶所知進(jìn)行了充分聯(lián)系，物理證件里面包含了用戶信息（ID，PW），AS種具有某個(gè)由用戶提前選取的隨機(jī)數(shù)。用戶對(duì)系統(tǒng)相關(guān)資源進(jìn)行有效訪問(wèn)的時(shí)候，用戶輸入（ID，PW）。系統(tǒng)首先對(duì)智能卡的有效性以及合法性進(jìn)行判斷，接著由智能卡對(duì)用戶身份進(jìn)行有效鑒別，如果用戶的身份合法，然后把智能卡里面的隨機(jī)數(shù)發(fā)送至AS開(kāi)展深入認(rèn)證[2]。

這類認(rèn)證方式不能對(duì)數(shù)據(jù)進(jìn)行讀取以及偽造。如果不具備物理證件，就無(wú)法對(duì)系統(tǒng)相關(guān)資源進(jìn)行有效訪問(wèn)，盡管丟失了物理證件，入侵人員還是需要對(duì)用戶口令進(jìn)行猜測(cè)。物理證件進(jìn)一步提供了硬件保護(hù)策略以及加密算法，能夠憑借這些作用進(jìn)一步提升有效性以及安全性，比如，能夠?qū)⑽锢碜C件有效設(shè)置為某個(gè)秘密信息，進(jìn)而避免信息的不斷泄漏。這種認(rèn)證方式屬于一種雙因子的認(rèn)證方式，盡管物理設(shè)備或者PIN被別人竊取，依舊不能冒充用戶。與口令認(rèn)證策略相比，雙因子認(rèn)證擴(kuò)增了一個(gè)認(rèn)證基本要素，攻擊人員只獲得了用戶的物理設(shè)備或者相關(guān)口令，都不能進(jìn)一步通過(guò)系統(tǒng)的有效認(rèn)證。于是，與基于口令的認(rèn)證策略相比，這種策略的安全性更高，對(duì)口令認(rèn)證策略里面的前三個(gè)問(wèn)題進(jìn)行了有效解決，可是這類方式還是無(wú)法對(duì)口令猜測(cè)的攻擊進(jìn)行有效抵御。

（3）硬件認(rèn)證

最后一種方式為硬件信息認(rèn)證，此種認(rèn)證仍是以公鑰密碼機(jī)制為基礎(chǔ)的。其大致的假定如下：以固定用戶為例，他們所使用的計(jì)算機(jī)通常是比較固定的，因此，可通過(guò)識(shí)別此臺(tái)計(jì)算機(jī)，并對(duì)當(dāng)時(shí)使用這臺(tái)機(jī)子的用戶進(jìn)行識(shí)別，從而完成對(duì)用戶的遠(yuǎn)程認(rèn)證操作。值得注意的是在共用計(jì)算機(jī)里原則上是不允許進(jìn)行任何涉及個(gè)人機(jī)密的操作，否則將無(wú)法保障信息的安全性。在遠(yuǎn)程認(rèn)證中的重難點(diǎn)是如何對(duì)計(jì)算機(jī)的唯一硬件特征予以識(shí)別。目前，市面上的網(wǎng)卡均對(duì)應(yīng)有一個(gè)MAC地址，該地址是全球唯一的，因此，網(wǎng)卡生產(chǎn)廠家需遵守相關(guān)統(tǒng)一要求，為所制造的網(wǎng)卡按統(tǒng)一分配原則對(duì)其配備對(duì)應(yīng)的MAC地址。同理，關(guān)于硬盤、主板、CPU等其他計(jì)算機(jī)零部件也有著相關(guān)協(xié)議與規(guī)范。將上述參數(shù)合起來(lái)就能獲得一個(gè)硬件標(biāo)識(shí)號(hào)碼，在世界上具有唯一性[3]。但是在該認(rèn)證模式中，用戶需在執(zhí)行認(rèn)證行為前開(kāi)始認(rèn)證的另一個(gè)過(guò)程，要求用戶輸入自己的PIN碼，之后認(rèn)證過(guò)程才會(huì)被啟動(dòng)。如此就能采用計(jì)算機(jī)硬件特征值與用戶口令聯(lián)合應(yīng)用于識(shí)別環(huán)節(jié)。這種認(rèn)證非?？?，因?yàn)椴⑽瓷婕白鲝U列表查詢更新等問(wèn)題。此外，在確認(rèn)用戶身份的時(shí)候安全性也較好，該認(rèn)證系統(tǒng)屬于相對(duì)獨(dú)立的系統(tǒng)，實(shí)現(xiàn)也較為容易，能夠很輕松地與現(xiàn)有網(wǎng)絡(luò)體系相整合，因此，可輕松融入現(xiàn)有的業(yè)務(wù)及網(wǎng)絡(luò)系統(tǒng)中。

2 加密優(yōu)化建議

（1）算法改進(jìn)

網(wǎng)絡(luò)通信技術(shù)近年來(lái)發(fā)展迅速，與此同時(shí)，電腦硬件技術(shù)也日益完善，網(wǎng)絡(luò)購(gòu)物、電子商務(wù)、網(wǎng)上銀行等得到了大量應(yīng)用，讓公眾的生活更加便捷豐富。然而網(wǎng)絡(luò)信息安全問(wèn)題也尤為突出，除了黑客入侵外，網(wǎng)上數(shù)據(jù)被泄露、篡改、病毒傳播、計(jì)算機(jī)犯罪等問(wèn)題也很普遍。從國(guó)家安全層面分析，信息安全屬于重要的構(gòu)成要素，事關(guān)國(guó)家的整體發(fā)展與長(zhǎng)遠(yuǎn)利益。密碼技術(shù)屬于信息安全領(lǐng)域中的核心技術(shù)，受到了廣泛的關(guān)注。隨著公眾對(duì)網(wǎng)絡(luò)信息安全問(wèn)題的日益關(guān)注，網(wǎng)絡(luò)安全技術(shù)發(fā)展也有所加快，相關(guān)密碼技術(shù)亦日趨完善。在密碼技術(shù)中核心要素就是密鑰，按照密鑰的不同密碼學(xué)將其分為兩種，包括公開(kāi)密鑰密碼系統(tǒng)與對(duì)稱密鑰密碼系統(tǒng)。

通過(guò)分析采用對(duì)稱密鑰的密碼系統(tǒng)可知，其加密與解密均運(yùn)用的是同一密鑰，因此，其加密、解密速度都很迅速，而且密鑰短、破譯難度大。公開(kāi)密鑰密碼系統(tǒng)具備較高的安全性，且密鑰管理更簡(jiǎn)單。不過(guò)其不足之處在于密鑰過(guò)長(zhǎng)，運(yùn)算速度明顯慢于對(duì)稱算法，一對(duì)公私鑰通常是同時(shí)形成的，這需要的時(shí)間是數(shù)分鐘。這對(duì)于有大量用戶的系統(tǒng)來(lái)說(shuō)，顯然服務(wù)器的運(yùn)行速度較低。

通過(guò)分析公開(kāi)密鑰與對(duì)稱密鑰二者的密碼算法，綜合考慮二者的優(yōu)缺點(diǎn)，加之現(xiàn)代密碼分析技術(shù)對(duì)加密算法提出了更高的要求。加密技術(shù)的優(yōu)化需從EKE（加密的密鑰交換）協(xié)議進(jìn)行相關(guān)改進(jìn)與優(yōu)化，在基于橢圓曲線公開(kāi)密鑰加密算法的基礎(chǔ)上引用AES對(duì)稱密鑰加密算法以提高信息的安全性能。由服務(wù)器端負(fù)責(zé)接收用戶的密鑰，而用戶端可給出自身的橢圓曲線密鑰對(duì)，從而極大提升了整個(gè)系統(tǒng)的運(yùn)行效率。鑒于通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量極為龐大，在加密處理時(shí)選擇AES對(duì)稱密碼算法，密碼長(zhǎng)度為256bit，此密碼算法中涉及的加密密鑰則是基于橢圓曲線公開(kāi)密鑰加密算法，密碼長(zhǎng)度為2048bit。這不僅能確保數(shù)據(jù)信息的安全性，而且也讓數(shù)據(jù)加密與解密速度明顯提高，從而符合數(shù)據(jù)傳輸?shù)陌踩⒀杆傩枨蟆?/p>

（2）EKE協(xié)議改進(jìn)

EKE中文為加密密鑰交換協(xié)議，此協(xié)議的設(shè)計(jì)者包括Steve Bellovin和Michael Merrit，同時(shí)運(yùn)用公開(kāi)與對(duì)稱密鑰密碼為互聯(lián)網(wǎng)數(shù)據(jù)安全性提供保障，而且也提供了鑒別服務(wù)。對(duì)于加密系統(tǒng)，加密算法和密鑰管理是關(guān)鍵點(diǎn)。密碼算法是規(guī)則和公式，用于指定如何在密文之間進(jìn)行轉(zhuǎn)換。由于密碼系統(tǒng)的重復(fù)使用，僅使用加密算法不能保證信息的安全性。實(shí)際上，加密信息的安全性應(yīng)集中在密鑰的安全性管理上。對(duì)于加密和解密算法，密鑰信息的存儲(chǔ)、傳輸和生成特別重要。特別是，當(dāng)多個(gè)用戶共享一臺(tái)計(jì)算機(jī)時(shí)，如果用戶沒(méi)有進(jìn)行有效的密鑰管理，就無(wú)法保證密碼系統(tǒng)安全性。

在此系統(tǒng)中，必須先分發(fā)服務(wù)器公鑰，然后才能與客戶端和服務(wù)器進(jìn)行正式通信，并由服務(wù)器端應(yīng)用程序主動(dòng)生成，然后以公共方式分發(fā)給所有用戶。用戶獲取服務(wù)器公鑰，將其存儲(chǔ)在自己的密鑰文件夾中，然后使用設(shè)備完成服務(wù)器并傳輸機(jī)密信息。在文件打包模塊對(duì)打包文件進(jìn)行加密之前，將生成一個(gè)隨機(jī)的256位文件加密密碼，并將文件ID號(hào)、文件密碼和相關(guān)信息寫入服務(wù)器的文件信息數(shù)據(jù)庫(kù)。服務(wù)器端程序可以有效地維護(hù)數(shù)據(jù)庫(kù)中的文件信息。如果客戶端上的合法用戶通過(guò)驗(yàn)證，則可以將該用戶的權(quán)限作為查詢文件信息數(shù)據(jù)庫(kù)中文件密碼的標(biāo)準(zhǔn)，權(quán)限越高，文件密碼的權(quán)限越高，權(quán)限最高的用戶可以獲得所有文件密碼。為了在此系統(tǒng)上正確解密加密的文件，必須首先在服務(wù)器上生成一個(gè)初始密碼和用戶名，并且服務(wù)器端應(yīng)用程序的用戶管理模塊必須實(shí)現(xiàn)每個(gè)功能，并且用戶管理模塊會(huì)將用戶發(fā)送到用戶信息數(shù)據(jù)庫(kù)。合法用戶可以向客戶端應(yīng)用程序的服務(wù)器提交密碼更改請(qǐng)求，服務(wù)器在確認(rèn)后在用戶數(shù)據(jù)庫(kù)中輸入新的密碼。在解密文件的過(guò)程中，用戶向服務(wù)器查詢文件密碼，服務(wù)器可以確定用戶的權(quán)限是否緊隨文件的權(quán)限，并提供文件密碼。通過(guò)合法認(rèn)證后，用戶可以使用橢圓曲線加密系統(tǒng)與服務(wù)器通信。服務(wù)器應(yīng)用程序生成并管理服務(wù)器的私鑰和公用密鑰，并從合法用戶那里接受用戶的公用密鑰。它使用用戶的公鑰加密和傳輸信息，并在使用服務(wù)器的私鑰接收信息的過(guò)程中解密信息?？蛻舳藨?yīng)用程序管理用戶的公鑰和私鑰，并將用戶的公鑰發(fā)送到服務(wù)器。在發(fā)送和接收信息的過(guò)程中，服務(wù)器的公鑰用于加密和解密私鑰。該系統(tǒng)使用ECC公鑰算法來(lái)促進(jìn)服務(wù)器和用戶的雙向身份驗(yàn)證和數(shù)字簽名。

3 結(jié)語(yǔ)

現(xiàn)階段，計(jì)算機(jī)技術(shù)發(fā)展迅速，并在數(shù)學(xué)領(lǐng)域取得了突破，在這種情況下，加密算法得到了快速發(fā)展，對(duì)數(shù)據(jù)存儲(chǔ)以及安全保密信息傳輸?shù)男枨罅坎粩嘣黾?。在現(xiàn)階段，實(shí)際應(yīng)用中仍然主要通過(guò)對(duì)稱加密技術(shù)來(lái)處理大量信息，但是短密鑰難以保證信息的安全性。如何有效地提高加密密鑰的安全性而不影響運(yùn)算速度是加密算法的主要研究?jī)?nèi)容。加密技術(shù)的優(yōu)化需從算法和EKE協(xié)議展開(kāi)，只有對(duì)這兩部分進(jìn)行有效強(qiáng)化，就能有效加強(qiáng)互聯(lián)網(wǎng)與通信的保密性與安全性。

[1]駱兵.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦，2016（9）：193-194.

[2]金銀鵬.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電腦知識(shí)與技術(shù)，2018（3）：33-34.

[3]秦葉威.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].數(shù)字化用戶，2018，24.