王紅娟

（河南農(nóng)業(yè)職業(yè)學(xué)院，河南 鄭州 451450）

0 引 言

計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展將人類帶入了信息時代。透明的網(wǎng)絡(luò)傳輸使人們的工作更方便、高效，但同時也帶來了許多信息安全問題。隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，如何保證網(wǎng)絡(luò)信息的安全傳輸已成為亟待解決的問題，而如何保證網(wǎng)絡(luò)信息的安全傳輸又是一個重要課題。通過分析計算機(jī)網(wǎng)絡(luò)安全與密碼技術(shù)，認(rèn)為密碼技術(shù)是信息安全技術(shù)中的一項基本技術(shù)[1]。

1 加密算法

1.1 對稱加密算法

對稱加密算法的加密秘鑰和解密相似，鍵值為單鍵。采用組對稱數(shù)據(jù)進(jìn)行64位加密。它的鍵長度是56位(第八位是奇偶性的)。按鍵數(shù)可以是任意數(shù)量的56位，并且可以隨時更改。DES加密過程如圖1所示，在DES加密過程中，極少有弱密鑰容易被破解，而且可以輕松避免。保密依賴于關(guān)鍵詞。1998年7月，EFF使用了一臺價值250 000美元的計算機(jī)，這臺計算機(jī)可以在56 h里解碼56位密匙。盡管DES加密算法已被破譯，但它仍在使用，如對聊天信息進(jìn)行加密。因為破譯密鑰很費時，所以只要經(jīng)常更換密鑰，就可以保證信息傳輸?shù)陌踩院屯暾訹2]。

圖1 DES加密過程

1.2 公鑰加密算法

公鑰加密也稱為非對稱加密算法。加密的密鑰與解密的密鑰不同，很難從一個密鑰派生出另一個密鑰。迪菲和赫爾曼在1976年提出了密碼學(xué)劃時代的發(fā)展方向，數(shù)學(xué)理論開始影響著網(wǎng)絡(luò)安全的密碼技術(shù)。公鑰加密過程如圖2所示。

圖2 公鑰加密過程

1.3 數(shù)字簽名

電子簽字指的是數(shù)字簽字，它和數(shù)字簽字一樣有效。如圖3所示。數(shù)字簽名始于1976年，簽署電子文件之后即不可否認(rèn)。相對于公開密鑰加密算法，它可以保證網(wǎng)絡(luò)的不可抵賴性，這就需要每一個用戶都能方便地生成自己的簽名，并方便地驗證誰的簽名是正確的，因此必須對發(fā)送方密鑰進(jìn)行保護(hù)[3]。對數(shù)字簽名進(jìn)行仲裁需要可信的第三方，教務(wù)處也是如此，畢業(yè)證書由學(xué)校與用人單位簽字蓋章后生效。RSA、ECC以及ELGmal等是常用的數(shù)字簽名算法[4]。

圖3 數(shù)字簽字過程

2 橢圓曲線

橢圓曲線的一組參數(shù)分別描述了有限域、基點P以及n階橢圓曲線。為了讓ECDLP能夠抵抗所有的已知攻擊，應(yīng)該選擇相應(yīng)參數(shù)，同時在安全和實現(xiàn)性的基礎(chǔ)上還有其他的限制[5]。一般而言，參數(shù)組是由一組用戶共享的，在某些應(yīng)用程序中可以為每個用戶單獨設(shè)置參數(shù)組。無論是質(zhì)域還是二進(jìn)制域T，這些參數(shù)都一樣，它們沒有什么不同[6]。

為了防止對特殊類型橢圓曲線的攻擊，本文隨機(jī)選擇滿足可分量大的E(Fq)橢圓曲線。這保證了橢圓曲線可以隨機(jī)生成，用戶不會通過構(gòu)造具有潛在弱點的曲線來竊取私鑰，但有時隨機(jī)生成這樣的線條要花費很長時間，使用NIST提供的安全橢圓曲線參數(shù)。此外，橢圓曲線密碼系統(tǒng)還采用了大量的乘法、大數(shù)取模、模乘、模加、模逆以及模冪等基本運算。大數(shù)模的乘法屬于整型域運算，大數(shù)模的乘法、加法、模冪屬于有限域運算，而點加和點乘屬于橢圓曲線的點加群上的運算。

根據(jù)上文方法，取適當(dāng)橢圓曲線域參數(shù)，設(shè)橢圓曲線的域參數(shù)T=（P.a.b.G.n.h），點G(x,y)是在橢圓曲線上Ep（a,b）上選一點，G的階為n（n為一個大素數(shù)）。在（1,n-1）間隨機(jī)確定一個整數(shù)Ks，計算Kp=KsG，且Kp為橢圓曲線Ep（a,b）上的一點，由此就確定了密鑰對（Ks,Kp）。其中，Ks為私鑰，Kp為公匙。換而言之，橢圓曲線是一種思想，將這種思想應(yīng)用于密碼系統(tǒng)需定義密算法。橢圓曲線密碼體制基于曲線上點群離散對數(shù)問題，在基礎(chǔ)有限上離散對數(shù)問題的公匙密碼體制中，Gamal和DSA算法是一種成熟的基于有限對數(shù)問題的公鑰密碼體制算法。通過分析ELGamal、DSA算法及橢圓曲線理論，將ELGamal與DSA移植到橢圓曲線上，得到了一個基于ELGamal與DSA算法的加密解密方案[7]。

3 MD5算法

MD5（Message Digest Algorithm 5）由麻省理工學(xué)院Rivest教授對MD4加以改良而設(shè)計形成。其功能是在使用數(shù)字簽名軟件對私有密鑰進(jìn)行簽名之前，將大量信息壓縮成安全格式（任意長度的字節(jié)將被轉(zhuǎn)換成一定長度的大整數(shù)）。因為Rivest最初設(shè)計的主要思想是基于32位處理器的系統(tǒng)結(jié)構(gòu)，所以MD5中的所有動作都是基于32位的。MD5在MD4的基礎(chǔ)上增加了“安全-袋子”的概念。雖然MD5比MD4慢一點，但是更安全。MD5處理512位分組的輸入信息，每組分成16個32位子分組。

算法的輸出由4個32位分組組成，通過對4個32位分組進(jìn)行串聯(lián)可以得到128位散列值。對于MD5算法，首先需要對信息進(jìn)行填寫，使字節(jié)長度對512求余的結(jié)果等于448。因此，信息的字節(jié)長度將擴(kuò)展到n×512+448，即（n×64+56） bit，n是正整數(shù)。填寫方法如下，在信息后填一個1、無數(shù)個0，直到滿足上述條件才可停止用零填充信息。然后，在該結(jié)果后面附加以64位二進(jìn)制表示的填充前信息長度。經(jīng)過這兩個處理步驟，當(dāng)前信息字節(jié)長度為n×512+448+64=（n+1）×512，長度為512的整數(shù)倍，以此滿足后面處理中對信息長度的要求。

在MD5中有4個32位的整型參數(shù)，分別為a=0x01234567、b=0x89abcdef、c=0xfedcba98以及d=0x76543210。在設(shè)定4個連結(jié)變數(shù)時，算法便開始執(zhí)行四輪運算。循環(huán)的次數(shù)是信息中512位信息分組的數(shù)目。將上面4個鏈接變量復(fù)制到另外4個變量中，主循環(huán)有4輪（MD4只有3輪），每輪循環(huán)都很相似。第一輪進(jìn)行16次操作，每次操作對a、b、c以及d中的其中3個作一次非線性函數(shù)運算，然后將所得結(jié)果加上第四個變量，再將所得結(jié)果向右環(huán)移一個不定的數(shù)，并加上a、b、c以及d中的一個[8]。

4 分組密碼連接方式

分組密碼是將消息作為數(shù)據(jù)塊進(jìn)行處理（加密或解密）。一般來說，當(dāng)大多數(shù)消息（如一條消息）長度大于分組密碼長度時，長消息被分成一組連續(xù)的消息，每組密碼每次處理一個。在分組密碼算法的基礎(chǔ)上設(shè)計了多種不同的運算方法。此操作模式提供了一些理想的密文分組功能，如增加分組密碼算法的不確定性（隨機(jī)性）、將明文消息添加到任意長度（因此密文的長度不必與相應(yīng)的明文長度相關(guān)）、錯誤傳播控制以及密鑰流生成密碼流等[9]。常用的模式有電碼本模式（Electronic Codebook Book，ECB）、密碼分組鏈接模式（Cipher Block Chaining，CBC）、計算器模式（Counter，CTR）、密碼反饋模式（Cipher FeedBack，CFB）以及輸出反饋模式（Output Feed Back，OFB）。CBC操作模式是一種通用的數(shù)據(jù)加密分組密碼算法，在該模式下，以n位形式輸出一系列數(shù)據(jù)。區(qū)塊鏈?zhǔn)窍嗷ミB接的，因此每個區(qū)塊不能僅僅依賴于相應(yīng)的原始區(qū)塊，還必須依賴于先前的區(qū)塊[10]。

5 結(jié) 論

本文結(jié)合當(dāng)前先進(jìn)的加密技術(shù)設(shè)計了一套網(wǎng)絡(luò)文件加密系統(tǒng)，為網(wǎng)絡(luò)文件的安全傳輸提供了基本模式和應(yīng)用基礎(chǔ)。由于越來越多地關(guān)注網(wǎng)絡(luò)文件的安全傳輸，可考慮將系統(tǒng)嵌入到Windows操作系統(tǒng)。基于Windows系統(tǒng)，可用Java等語言或適當(dāng)?shù)姆椒ň帉懘a，使系統(tǒng)具有跨平臺性，便于實際應(yīng)用和系統(tǒng)移植。此外，系統(tǒng)認(rèn)證、完整性檢查、加密以及信任信息系統(tǒng)技術(shù)結(jié)合現(xiàn)代防火墻過濾技術(shù)和VPN通信環(huán)境構(gòu)建一個網(wǎng)絡(luò)安全體系，具有對計算機(jī)網(wǎng)絡(luò)中信息的加密、監(jiān)視以及檢測等功能。此外，添加文件下載模塊，以便向用戶提供可直接下載的加密文件，使系統(tǒng)人性化，便于推廣。