密碼技術在計算機網絡安全維護中的運用

王文博

[摘要]隨著計算機網絡的普及,大量的客戶數據資料都是聚集和存貯在計算機數據庫中,并在用復雜的通訊網連在一起的計算機和終端設備之間進行傳輸。若沒有適當的防護設施,非常容易造成信息的泄露和資料的被竊。公開密鑰是相對于私密密鑰的密碼技術體制的一種,計算機網絡安全的維護可以通過端-端加密,鏈路-鏈路加密的方式實現,而對于其算法,這里主要介紹安全性能較高的AES-Rijndael算法和較有前景的橢圓曲線密碼體制EEC算法。

[關鍵詞]密碼技術 公開密鑰 網絡加密方式 AES-Rijndael算法 EEC算法

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0910058-01

因特網的普及使得網上存取和傳輸信息漸漸成為人們日常生活所需。與此同時,信息的安全性也越來越受到人們重視。數據在傳輸過程中的安全性體現得更為重要。密碼技術在網絡安全維護的作用體現在各個方面,這里主要介紹網絡通信中加密的途徑和加密算法。

一、密碼技術概述

密碼技術是研究信息系統安全保密的科學,可以分為兩大類:秘密密鑰密碼體制和公開密鑰密碼體制。公開密鑰(publickcy)密碼體制最主要的特點就是使用不同的密鑰進行加密和解密運算,并且解密密鑰不能從加密密鑰變換獲得。公開密鑰密碼體制包括:公開密鑰PK和秘密密鑰SK,PK是公開信息。加密密鑰不能用來解密,即DPK(EPK(X))≠X;用加密密鑰PK對明文X加密后,再用解密密鑰S解密,即可恢復出明文,或寫為:DSK(EPK(X))=X;從已知的PK實際上不可能推導出SK;在計算機上可以容易地產生成對的PK和SK;加密和解密的運算可以對調,即:EPK(DSK(X))=X。基于這些特點,它網絡安全維護中的作用也就顯得非常強大。

二、網絡通信中選用的加密方式

(一)端-端加密。端端加密方法是建立在OSI參考模型的網絡層和傳輸層,這種方法要求傳送的數據從源端到目的端一直保持密文狀態。任何通信鏈路的錯誤不會影響整體數據的安全性,如圖1所示:

對于這種方法,密鑰管理比較困難,如果加密在應用層或表示層進行,那么加密可以不依賴于所用通信網的類型。在端-端加密方式中,只加密數據本身信息,不加密路徑控制信息,信息在發送主機內和中間節點也是加密的,用戶必須找到加密算法。用戶可以選擇加密,也可以決定施加某種加密手段,端-端加密方法將網絡看作是一種介質,數據能安全地從源端到達目的端#這種加密在OSI模型的高層進行,在源端進行數據加密,在目的端進行解密,而在中間節點及其鏈路上將一直以密文形式出現。

(二)鏈路-鏈路加密。面向鏈路的加密方法將網絡看作鏈路連接的節點集合,每一條鏈路被獨立加密,鏈路-鏈路加密方式為兩個節點之間通信鏈路中的信息提供安全性,它與這個信息的起始或終結無關。如圖2所示,每一個這樣的鏈接相當于OSI參考模型,建立在物理層之上。這種類型的加密最容易實現。

因為所有的報文都被加密,黑客攻擊者無法獲得任何關于報文結構的信息,也無法知道通信者,通信內容,通信時間等信息。還可以稱之為信號流安全,這種加密方式中,密鑰管理相對來說是簡單的,只在鏈路的兩站節點需要一個共用密鑰。加密是在每條通信鏈路上獨立進行的,每條鏈路上使用不同的加密密鑰。因此,一條鏈路上的錯誤不會波及其他鏈路,影響其他鏈路上的信息安全,鏈路鏈路信息加密僅限于節點內部,所以要求節點本身必須安全,另一個較大的問題是維護節點安全性的代價。加密對用戶是透明的,通過鏈路發送的任何信息在發送前都先被加密,每條鏈路只需要一對密鑰,提供了信號流安全機制。

三、網絡傳輸安全維護中兩種性能較高的加密算法

(一)AES-Rijndael算法。Rijndael算法集安全、性能、效率、成本、通用性、可實現性和靈活性于一身。它可以在大型計算機、臺式機甚至智能卡上安全可靠地運行。無論在反饋模式還是在非反饋模式中使用Rijndael,其軟件和硬件對計算環境的適應性強,性能穩定,密鑰建立時間優良,密鑰靈活性強,存儲需求量低、即使在空間有限的環境使用也具備良好的性能,同Rijndael在抗能量攻和定時攻擊中易于運行,能實現為一個流密碼、雜湊算法,并能提供輔助密碼服務,此外又不會明顯改變Rijndael的性能。在分組長度和密鑰長度方面,Rijndael也具有一定的靈活性,該算法允許改變圈數。

AES-Rijndael替代算法的安全強度高于或等于3-DES,且有明顯更高的效率。其分組長度至少為128bit,密鑰長度可為128、192、256bit約有3.4×1038、6.2×1057、1.1×1077個可能的密鑰。假如有一臺每秒可試驗255個密鑰(可恢復256bit DES的一個密鑰)的破譯機,破譯128bit的Rijndael需要1.49×106億年,而宇宙的年齡不過200億年。估計Rijndael至少可以使用20年。

(二)EEC算法。1985年,Neal Koblitz和Victor Miller相互獨立地提出了EEC算法,即橢圓曲線密碼體制。EEC涉及深奧的數論理論,一般僅用160-200位的密鑰便足以對付各種高保密需要。EEC作為公開密鑰密碼體制中的一種,在堅實的理論基礎上實現高度安全性,具有存貯效率、節約通信帶寬以及計算效率等多方面的優越性,運算非常有前途的密碼體制。

總之,從信息的保密性到信息的完整性、信息的可用性、信息的可控性、信息的不可否認性等是網絡安全的重要方面。雖然密碼技術和計算機安全是兩個截然不同的主題,但是計算機安全很多方面都依賴于密碼技術,在信息傳輸過程中尤其如此。在常用的網絡傳輸方式中,AES-Rijndael算法,EEC算法具有很大的優勢,在實際中也得到了廣泛的運用。

參考文獻:

[1](美)D.E.R.丹寧,密碼學與數據安全[M].北京:科學出版社,2005:47-48.

[2]王漢強、魏慶福,一種基于Z/nZ上橢圓曲線的公鑰密碼算法[J].通信學報,2004,8(2):158-162.

[3]王育民、劉建偉,通信網的安全——理論與技術[M].西安:西安:電子科技大學出版社,2001:12-18.

[4]楊千里、王育民等,電子商務技術與應用[M].北京:電子工業出版社,2006:117-119.