基于DES和ECC混合加密算法的數據中心安全管理模式研究

宋嚴

(長春師范學院網絡中心，吉林長春 130032)

基于DES和ECC混合加密算法的數據中心安全管理模式研究

宋嚴

(長春師范學院網絡中心，吉林長春 130032)

目前高校數據中心承載的應用和服務的數量快速增加，對服務器系統的安全穩定性提出了更高的要求，但由于黑客活動加劇，嚴重影響了數據中心的安全。本文主要利用DES和ECC混合加密算法，探討一種數據中心安全管理的新模式。

DES；ECC；數據中心；安全

近幾年來，高校信息化建設快速發展，數字化校園工程、智慧化校園工程不斷普及，虛擬化、高性能計算和云服務等模式不斷涌現并發展成熟，使得高校數據中心承載的應用、服務以及數據量成倍增加，隨之而來的便是對服務器系統的安全穩定性提出了更高的要求。由于目前黑客的技術和手段不斷翻新，從事黑客的人數不斷增加，黑客群體的層次結構也更加廣泛，而從事數據中心服務器管理人員的技術水平和安全意識卻參差不齊，這些因素將導致數據中心服務器安全受到嚴重的威脅，其中服務器系統的管理密碼則是數據中心安全防護的重要環節。

1 破解系統密碼的方式

密碼破解方法有很多種，這里簡單介紹幾種常用的密碼破解方法。（1）窮舉法。針對管理密碼為純數字有很好的破解效果，對于包含字母的密碼不適合這種方式進行破解。窮舉法的原理是逐一嘗試數字密碼的所有排列組合，破解效率較低；（2）黑客字典法。由于一些用戶通常采用某些英文單詞或姓名的縮寫作為密碼或密碼的組成部分，所以就先建立一個包含巨量英語詞匯和短語、短句的可能的密碼詞匯字典，隨后使用破解軟件去逐一嘗試，直到試出正確的密碼。這種破解密碼方法的效率遠高于窮舉法，因此大多數密碼破解軟件都支持這種破解方法；（3）猜測法。依靠的是經驗和目標用戶的熟悉程度，很多人的密碼就是姓名漢語拼音的編寫或生日的簡單組合，這時猜測法擁有很高的效率。猜測法破解密碼的流程和黑客字典法比較類似；（4）網絡監聽。網絡監聽工具是一種監視網絡的狀態、數據流動情況以及網絡上傳輸的信息的管理工具，將網絡接口設置在監聽模式，可以截獲網上傳輸的信息。當登陸網絡主機并取得超級用戶權限后，若要登陸其他主機，使用網絡監聽可以有效地截獲其上傳輸的數據，是網上黑客使用最多的方法。網絡監聽只能連接物理上屬于同一網段的主機或者通過交換設備的端口鏡象功能進行監聽。網絡監聽常常被用來獲取用戶的口令以及重要數據。

2 新型校園數據中心密碼保護體系

上述的破解方法時刻都在威脅著各類應用服務器的安全，并且由于校園數據中心的服務器相對集中，如有一臺服務器的密碼被攻破，會給其他服務器帶來巨大威脅。因此，必須找到一種適合數據中心的密碼保護體系。

經過分析我們發現，黑客在利用窮舉法、黑客字典法以及猜測法獲取密碼都需要相對比較長的時間，如果讓服務器的密碼在比較短的時間內改變，就可以有效地降低上述幾種獲取密碼方法的成功效率，達到保護系統的目的。經過對這幾種密碼獲取手段的分析及總結，我們可以把這個相對較短的時間設置為1小時，也就是說服務器的系統密碼1小時更改一次，在這么短的時間內以目前的計算機運算速度，窮舉法、黑客字典法以及猜測法基本是無法完成密碼的破解的。如果人為地在1小時內就要去更改一次密碼顯然是不可能的，因此需要計算機軟件去完成密碼的修改。為了保障密碼的安全性，產生的密碼應該是按照一定的位數隨機產生的，因此管理員需要通過一種方法去獲取服務器不同時刻的新密碼，以登陸到服務器中進行相關操作。經過仔細研究，可以通過手機短信的方式獲取。管理員把自己的手機號碼綁定在密碼管理軟件中，當管理員給密碼管理軟件連接的SM卡發送請求密碼信息時，密碼管理軟件會返回給管理員手機正確的服務器密碼。在這個過程中，為了能夠較為準確地確定管理員的身份，管理員還需要在發送給密碼管理軟件的信息中寫入服務器的初始密碼或者其他一些信息。

校園數據中心的服務器數量一般都會大于10臺，這樣我們就可以利用集中密碼管理的辦法，把這些應用服務器的密碼更改權限設置在一臺服務器中，通過網絡把這些服務器連接在一起做周期性的密碼分發，這樣可以降低管理成本，提高管理效率。但這種方法會給網絡監聽密碼獲取法帶來機會，如果真出現了某一臺計算機由于其他原因如系統漏洞或軟件漏洞被攻克，那么黑客可以利用這臺服務器做網絡監聽來竊取其他服務器的密碼。因此，我們必須在密碼管理服務器以及各應用服務器間建立起一套完整的加密體系，以保護密碼在傳輸過程中的安全。

在這種密碼保護體系下，一定要利用各種防護手段保障密碼集中管理服務器的安全，如果一旦該服務器出現問題或無法連接其他應用服務器，則各服務器可以利用初始密碼登陸，不會給操作帶來影響。基于這種保護體系，在網絡傳輸過程中如何利用合理的加密方式保護密碼的安全成為該體系的核心問題之一（圖1）。

圖1 校園數據中心密碼保護體系

3 網絡加密的形式

3.1 鏈路加密

鏈路加密是將所要傳輸的數據在物理層之上的數據鏈路層位置進行加密。在傳輸路徑上的各節點機均可看做是接收方，數據在每臺節點機上都要進行解決再加密，直至傳送到目的主機。使用鏈路加密設備能為某鏈路上的報文提供傳送服務。也就是經過節點機的所有網絡數據傳輸均需要加密和解密，每一個經過的節點機都必須有密碼設備，以便進行加、解密報文。如果數據只在一部分鏈路上加密而在其它鏈路上不加密，則等于未加密，仍然是不安全的。

3.2 節點加密

節點加密指每對節點使用相同密鑰，對相鄰兩節點間（包括節點本身）傳輸的報文進行加密保護。盡管節點加密的方式給網絡數據提供較高的傳輸安全性，但在操作方法上和鏈路加密的方法是相似的，兩者均在數據鏈路層上為傳輸的數據提供安全性，都是在中間節點主機處先對數據進行解密，然后再加密。因為需要對所有傳輸的數據進行加密操作，因此整個加密過程對用戶是透明的。不過和鏈路加密不同的是，節點加密方式的數據不可以在網絡節點以明文形式存在，它先是把收到的消息進行解密，然后利用另一個不同的密鑰進行加密，這一操作是在節點主機上的一個安全模塊中。節點加密要求數據的報頭和路由信息以明文形式存在和傳輸，以使中間節點主機能得到處理數據的依據。所以這種方法對于防止攻擊者分析通信業務是危險的。

3.3 端—端加密

端—端加密是將數據從一端傳送到另一端使用的加密方式。數據在發送端被加密，在最終的接收端被解密，中間節點處不以任何明文的形式出現。采用端—端加密方式是在網絡體系結構中的應用層完成的，即在傳輸層之上的高層中完成。在傳輸過程中，除報頭外的報文均以密文的形式存在于全部傳輸過程。只有在發送端和接收端才有加、解密設備，而在中間任何節點報文均不解密，因此，不需要提供密碼設備。與鏈路加密相比，可有效地減少密碼設備的數量。另外，信息是由報頭和報文組成的，報文是要發送的信息，報頭為路由選擇信息。由于在網絡傳輸過程中涉及路由選擇，在鏈路加密時，報文和報頭兩者都要加密。而在端—端加密時，由于通道上的每一個中間節點雖不對報文解密，但為將報文傳送到目的地，必須檢查路由選擇信息，因此，只能加密報文，而無法對報頭加密。這樣就容易被通信分析手段發現，而從中獲取某些敏感信息。

4 利用DES與ECC的混合加密算法完成密碼加密

經過仔細分析，充分考慮到密碼在傳輸過程中的安全性，不易于破解性，并考慮到加密解密校驗的過程盡可能地減少用時，節約服務器資源，因此將采用DES與ECC的混合加密算法來完成對服務器密碼的加密過程，并通過JAVA語句對具體算法進行實現（圖2）。

圖2 數字簽名流程示意圖

4.1 數字簽名生成的Java語句實現

4.2 數字簽名驗證的Java語句實現

4.3 安全性能分析

DES算法綜合運用了置換、代替、代數等多種密碼技術，其設計精巧，密鑰的長度僅56bit，適合軟硬件實現；DES加密速度快，適合加密較長明文。而ECC算法的計算量小并且處理速度快，在一定的相同的計算資源條件下，雖然在RSA中可以通過選取較小的公鑰 (可以小到3)的方法提高公鑰處理速度，即提高加密和簽名驗證的速度，使其在加密和簽名驗證速度上與ECC有可比性。但在私鑰的處理速度上 (解密和簽名)，ECC遠比RSA快得多。在相同條件下，ECC具有更高的加密性能。ECC算法的存儲空間占用小：ECC的密鑰尺寸和系統參數與RSA相比要小得多。160 bit ECC與1024bit RSA具有相同的安全強度，210bit ECC則與2048bit RSA具有相同的安全強度，意味著它所占的存貯空間要小得多。

因此，在校園數據中心新型架構的密碼傳輸加密問題上，我們選擇了利用DES與ECC混合加密的機制，盡可能地保護數據安全，增加黑客破譯時間。由于這種密碼更新的周期為1個小時，因此更能增加傳輸密碼的安全性。目前，該項數據中心密碼安全體系正在研究中，DES與ECC混合加密的機制已經在測試過程中顯示出了良好的安全性能。

5 發展趨勢

目前，校園數據中心的領域內還沒有運用服務器密碼集中管理的模式，雖然該方式屬于探索階段，但從理論上的研究已經相當成熟，正在實際的應用環境中進行測試性研究?？梢哉f，這種模式的前景將是非常廣闊的，不論是在校園或是在其他大型數據中心內，都能夠打破傳統的服務器密碼單一管理模式，為數據中心應用提供集中優勢的非?？煽康拿艽a管理體系保障。

[1]邱崇霞.加密技術在網絡中的應用[J].計算機網絡,2007(8):185.

[2]楊新存.高校數據中心安全分析及解決方案[J].信息科學,2008(15):48.

[3]楊大為.網絡加密技術的應用與部署[J].信息安全與通訊保密,2007(12):120-123.

Research on the DES&ECC-based Mixed Encryption Algorithm for Data Center Security Management Mode

SONG Yan
(Network Center of Changchun Normal University,Changchun 130032,China)

The quantity of application and service which university data center carries is increasing rapidly,and so the higher requirements are put forward for the security and stability of server system.However,for the aggravation of hacker activities,the security of data center is seriously affected.Using DES&ECC-based mixed encryption algorithm,this paper discusses a new mode of safety management for the data center.

DES;ECC;data center;security

TP393

A

1008-178X(2012)09-0021-04

2012-06-15

宋 嚴（1982-），男，吉林磐石人，長春師范學院網絡中心網絡實驗師，從事計算機網絡應用研究。