網絡加密技術淺探

許紅

（寧陽縣國土資源局，山東 寧陽 271400）

1 加密技術在現實中的重要意義

1.1 加密的概念

數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取的目的。其逆過程為解密，即將該編碼信息轉化為原來數據的過程。

1.2 加密的理由

當今網絡社會選擇加密已是必然，一是我們知道在互聯網上進行文件傳輸、商務往來存在許多不安全因素，特別是對于一些大公司和一些機密文件在網絡上傳輸。這種不安全性是互聯網存在基礎——TCP/IP協議所固有的；另一方面，互聯網給眾多的商家帶來了無限的商機，互聯網把全世界連在了一起，走向互聯網就意味著走向了世界。為了能在安全的基礎上大開這通向世界之門，我們選擇了數據加密和基于加密技術的數字簽名。

1.3 加密在網絡上的作用

加密在網絡上的作用就是防止有用或私有化信息在網絡上被攔截和竊取。一個簡單的例子就是密碼的傳輸，計算機密碼極為重要，許多安全防護體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。通過網絡進行登錄時，所鍵入的密碼以明文的形式被傳輸到服務器，而網絡上的竊聽是一件極為容易的事情，所以黑客很可能會竊取用戶的密碼，后果是極為嚴重的。

如果你公司在進行著某個招標項目的投標工作，工作人員通過電子郵件的方式把他們單位的標書發給招標單位，如果此時有另一位競爭對手從網絡上竊取到你公司的標書，從中知道你公司投標的標的，那后果將是不堪設想的。

這樣的例子實在是太多了，解決上述難題的方案就是加密，加密后的口令即使被黑客獲得也是不可讀的，加密后的標書沒有收件人的私鑰也就無法解開，標書成為一大堆無任何實際意義的亂碼。總之在某種意義上來說加密也成為當今網絡社會進行文件或郵件安全傳輸的時代象征！

1.4 數字簽名技術

數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。應用最多的還是電子郵件，如當用戶收到一封電子郵件時，郵件上面標有發信人的姓名和信箱地址，很多人可能會簡單地認為發信人就是信上說明的那個人，但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下，就要用到加密技術基礎上的數字簽名，用它來確認發信人身份的真實性。

類似數字簽名技術的還有一種身份認證技術，有些站點提供入站FTP和WWW服務，當然用戶通常接觸的這類服務是匿名服務，用戶的權力要受到限制，但也有的這類服務不是匿名的，如某公司為了信息交流提供用戶的合作伙伴非匿名的FTP服務，或開發小組把他們的Web網頁上載到用戶的WWW服務器上，現在的問題就是，用戶如何確定正在訪問用戶的服務器的人就是用戶認為的那個人，身份認證技術就是一個好的解決方案。

2 加密技術的具體操作

2.1 兩種加密方法

加密技術通常分為兩大類:“對稱式”和“非對稱式”。一是對稱式加密，就是加密和解密使用同一個密鑰，通常稱之為“Session Key”這種加密技術目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法。二是非對稱式加密。就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用。

2.2 密鑰的管理

密鑰既然要求保密，這就涉及到管理問題，管理不好，密鑰同樣可能被泄露，并不是有了密鑰就高枕無憂。要管理好密鑰我們要注意以下幾個方面:

一是密鑰的使用要注意時效和次數

一般強調僅將一個對話密鑰用于一條信息中或一次對話中，或者建立一種按時更換密鑰的機制以減小密鑰暴露的可能性。

二是多密鑰的管理

Kerberos提供了一種解決這個較好方案，它是由MIT發明的，使保密密鑰的管理和分發變得十分容易。為能在因特網上提供一個實用的解決方案，Kerberos建立了一個密鑰分發中心（KDC），每個用戶只要知道一個和KDC進行會話的密鑰就可以了，而不需要知道成百上千個不同的密鑰。

2.3 數據加密的標準

最著名的保密密鑰加密算法DES是由IBM公司在70年代發展起來的，于1976年11月被美國政府采用，DES隨后被美國國家標準局和美國國家標準協會承認。DES使用56位密鑰對64位的數據塊進行加密，并對64位的數據塊進行16輪編碼。與每輪編碼時，一個48位的“每輪”密鑰值由56位的完整密鑰得出來。最初，人們要耗資兩千萬美元才能建成一個專門計算機用于DES的解密，而且需要12個小時的破解才能得到結果。當時DES被認為是一種十分強大的加密方法。目前則只需十萬美元左右，用它來保護銀行，顯然是不夠保險了。如果只用它來保護一臺普通服務器，仍是一種好辦法。

另一種非常著名的加密算法就是RSA，RSA是基于大數不可能被質因數分解假設的公鑰體系。簡單地說就是找兩個很大的質數，一個對外公開的為“公鑰”（Prblic key），另一個不告訴任何人，稱為“私鑰”（Private key）。這兩個密鑰是互補的，也就是說用公鑰加密的密文可以用私鑰解密，反過來也一樣。

3 加密技術的應用

加密技術最為廣泛的還是在電子商務和VPN上的應用。

電子商務（E-business）要求顧客可以在網上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進行付款。現在人們開始用RSA的加密技術，提高信用卡交易的安全性，從而使電子商務走向實用成為可能。

SSL3.0用一種電子證書（electric certificate）來實行身份進行驗證后，雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法，在客戶與電子商務的服務器進行溝通的過程中，客戶會產生一個Session Key，然后客戶用服務器端的公鑰將Session Key進行加密，再傳給服務器端，在雙方都知道Session Key后，傳輸的數據都是以Session Key進行加密與解密的，但服務器端發給用戶的公鑰必需先向有關發證機關申請，以得到公證。

基于SSL3.0提供的安全保障，用戶就可以自由訂購商品并且給出信用卡號了，也可以在網上和合作伙伴交流商業信息并且讓供應商把訂單和收貨單從網上發過來，這樣可以節省大量的紙張、電話和傳真費用。

現在，越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構，每一個機構都有自己的局域網，但在當今的網絡社會人們的要求不僅如此，用戶希望將這些LAN連結在一起組成一個廣域網。現在具有加密/解密功能的路由器使人們通過互聯網連接這些局域網成為可能，這就是我們通常所說的虛擬專用網（VPN）。當數據離開發送者所在的局域網時，該數據首先被用戶湍連接到互聯網上的路由器進行硬件加密，數據在互聯網上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數據進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

21世紀人類步入信息社會后，信息這一社會發展的重要戰略資源需要網絡安全技術的有力保障，才能形成社會發展的推動力。在我國加密技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去研究、開發和探索。本文就加密的概念、方法和應用進行了粗淺的分析，以便拋磚引玉，與對加密技術有興趣的同仁共同探討，共同推動我國信息技術事業的高速發展。

[1]胡向東，魏琴芳.應用密碼學教程[M].北京:電子工業出版社，2005-1.

[2]馮登國.國內外密碼學研究現狀及發展趨勢.