網絡安全維護中應用加密機的相關技術研究

周海波

摘要：在網絡技術飛速發展的當下，網絡安全問題逐漸成為社會聚焦的熱點問題。為了做好網絡安全維護，應用加密機非常必要。文章以網絡時代為背景，對加密機和網絡安全的現狀進行了分析，并針對網絡安全維護中加密機的應用展開了論述，目的在于全面提高網絡安全性，并為有關人員提供技術參考。

關鍵詞：網絡安全維護；加密機；密鑰管理；資源共享

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2017）10-0180-03

隨著互聯網時代的到來，網絡逐漸成為人們生活、工作不可或缺的一部分，網絡一方面帶來了極大的便利，通過互聯網技術可以實時獲取新聞，了解世界各地發生的事。但是另一方面網絡安全也成為網絡時代值得關注的問題。黑客、網絡病毒等危險因素的存在，對網絡安全造成了極大的威脅。為了做好網絡安全維護工作，加密機的應用非常必要，同時這也是當前網絡維護工作中需要關注的要點。

1 加密機與網絡安全問題

1.1 加密機介紹

加密機是相關部門研發的一種主機加密設備，加密機的使用需要經過國家商用密碼管理部門的鑒定和審批。加密機和主機這兩者之間一般是通過TCP/IP協議實現通信[1]。所以，加密機運行環境非常寬松，不會受到主機操作系統、硬件類型等諸多因素的限制，支持多種操作系統。在計算機網絡通信的環境下，加密機可以對有嚴格保密性能要求的文件實施加密處理，以免重要文件遭到惡意竊取、篡改。

一般加密機的內部構造主要包括以下幾個部分：密鑰管理功能模塊、后臺進程功能模塊、硬件加密功能模塊、監程序功能模塊。一旦接口需要連接，這時加密機便會為前臺運行中提供 API，利用API為有加密需求的系統創建一個加密接口，如此一來便可以在系統運行期間通過加密機對系統進行加密處理。所以，加密機前臺 API基本模式為 C庫形式。加密機算法也非常多元化，比較常見的分別有對稱加密算法、非對稱加密算法等。

加密機的使用也體現了優勢，加密機是一種能夠實現點對點加密的信息技術設備，一般是用于廣域網或城域網兩個節點之間。換而言之，單位A和單位B的網絡要實現連接，但是需要對傳輸內容進行保密，就要在A網絡出口處放置加密機，B出口同樣放置加密機，這樣在這兩個單位之間的信息傳輸。通過加密算法加密后，就脫離了普通的TCP/IP協議包，其他人即使截取也無法看見內容。由此可見，加密機的應用，主要優勢體現在對雙方傳輸內容的保密，極大地保證了連接的安全性，提高數據傳輸的水平。其中一些加密機帶路由功能，有的不帶則需要再加路由器。加密機一般不用于internet，網站中也幾乎用不到，若網站要實現加密遠程登錄，可以直接使用VPN。

1.2 網絡安全問題

如今社會已經正式步入互聯網時代，在全民網絡的大環境下，網絡資源共享成為十分常見的現象，這也就帶來了網絡安全問題。其實網絡安全、資源共享本身比較矛盾，現在的網絡環境處于逐漸開放的狀態下，更多共享信息的出現，勢必會為一些不法分子提供機會[2]。對于當前的網絡安全環境，能夠為網絡安全構成威脅的因素主要體現為以下幾種：其一，網絡黑客，其二，網絡病毒。無論是以上哪一種，都會對網絡安全造成極大的影響，所以必須要對網絡安全維護加強重視。

2 加密機在網絡安全中的應用

2.1 加密機的基礎知識

針對系統內部有使用加密機需求的網絡信息，多數都帶有信息敏感性，類似于銀行交易系統等。針對這一類網站系統均使用加密機對其進行加密處理，但是這一工作帶有一定的繁瑣性，其原因在于為了規避不法分子的攻擊，確保系統安全。針對這一現象，可以使用加密機進行硬件加密，全面規避網絡安全問題[3]。一般加密機都是三層密匙系統，對于存在差異性的密匙有各自的使用限制。

通常加密機密匙體系有三種，即工作密鑰、傳輸主密匙、本地主密匙，所以在使用加密機進行網絡安全維護時，便可以通過這三種體系來實現。其一，工作密鑰。這種密鑰的處理對象是一般數據，例如加密敏感信息報文和MAC校驗等；其二，傳輸主密鑰。該密鑰是兩臺加密設備之間負責更換加密保護工作密鑰的形式；其三，本地主密鑰。本地主密鑰也就是加密機主密鑰，被存儲于加密機內部，負責對存儲于加密機以的所有密鑰以及關鍵數據的密鑰加密密鑰進行保護。

對于加密機主密鑰的生成，硬件加密機要在正式運行之前設置好系統參數，也就是加密機主密鑰灌注。通常硬件級加密機所使用的灌注方式為分段、多人以及手工等形式，完成灌注主密鑰則是通過加密機系統完成合成和儲存[4]。加密機內有密鑰自毀設備，針對一些非法獲取主密鑰的行為會自動開啟自毀裝置，確保主密鑰安全。對于加密機傳輸主密鑰的生成。通過加密機安全系統生成傳輸主密鑰，一般是調用加密機的前臺API，以此生成傳輸主密鑰。

為了對傳輸主密鑰安全進行保證，通常在生成密鑰期間會同時形成3個左右的密鑰分量，再合成這些密鑰分量獲取傳輸主密鑰。為了對這一觀點進行深入了解，下文以 Linux 系統為例，分析加密機傳輸密鑰的生成。

在Linux 系統下，密鑰函數的原型是：

Int HSMAPIGTransKey（ int iKeyLen，intiKerType，char* bCKey，char* bCValue ） ；

需要輸入參數：in t iKeyLen//密鑰字節長度；

in t iKeyType//密鑰類型：0×01；通信主密鑰。

輸出參數：

char* bCKey//LMK 加密的隨機密鑰密文；

char* bCValue//隨機密鑰驗證碼。

函數返回值：

0× 01：//正確返回；

for（i = 0；i

{

ret = HSMAPIGTransKey （iKeyLen，iKeyType，&TransKey

[iKeyLen* i]，check_value} ；

if（ret！ = 0）

{

return ret；

}

}

通過該實例的分析可以確定的是，生成密鑰的流程如下：第一，申請一個隨機工作密鑰，并通過硬件機密機之后生成，以此獲取本地主密鑰加密；第二，完成主密鑰加密，這時申請的工作密鑰也會轉變為能夠傳輸的工作密鑰，利用網絡將工作密鑰發送到收信方計算機端口便可完成密鑰生成。

對于加密機工作密鑰的生成。針對以加密機加密網絡安全的系統，完成傳輸主密鑰生成之后，便要生成工作密鑰[5]。通過工作密鑰完成網絡傳輸報文、敏感數據解密、MAC 校驗等工作。為了對網絡應用安全進行保證，工作密鑰動態要同步進行。利用持續更新、同步工作密鑰的方式對其安全進行保證。真正通訊期間，雙方針對一些敏感信息需要利用工作密鑰進行加密操作，對報文執行MAC加密。而接收報文的人員則要利用工作密鑰，針對已經接收的報文實施MAC校驗，對于其中蘊含的敏感信息實施解密。通過加密機請求生成工作密鑰，并對前臺API函數進行調用，加密機利用加密算法回到指定傳輸主密鑰加密的工作密鑰中，以網絡傳輸的方式傳遞到對方主機中。

2.2 加密機在網絡安全維護中的應用

2.2.1 搭建加密機應用框架

加密機硬件框架主要有硬件加密機、防火墻兩個部分。其中防火墻在其中的作用，是在計算機接受外部訪問期間設置首道安全障礙，為計算機安全進行保證，對設置的防火墻段篩選外部訪問信息，保證信息的安全性，如果經過篩查發現帶有惡意的非法信息，便可以通過防火墻直接將其隔離。通過防火墻之后，信息會受到硬件加密機的解密校驗，以此完成安全性的再次篩選。對于一些比較高端的木馬病毒、專業的黑客攻擊，可以直接將其隔離。搭建這種框架主要作用在于能夠實現系統內部報文的加密和解密，嚴格驗證報文安全性、合法性，如果在其中發現一些非法性質的訪問行為或者敏感信息，可以直接進行隔離處理，以免在網絡傳輸過程中，或者接收信息之后對系統造成竊取和篡改，進而影響數據傳輸安全。在搭建過程中，需要注意兩端密鑰的統一性，也就是在對稱密鑰體系中，需要保證加密、解密兩端密鑰的一致性，一旦其中一端密鑰被更改，另外一端密鑰也需要更改，保證二者的一致性。所以將其中一端密鑰更改，會直接打破整個體系，從而直接阻礙業務的繼續。

2.2.2 加密機相關技術實踐應用

在加密機相關技術中，對稱密鑰、非對稱密鑰加密是多種加密技術中最為常用的技術。其一，對稱密鑰加密算法中的發信方原始數據、加密密鑰一般是利用算法完成操作，使其成為無法識別密文。將密文發送到收信方之后，要利用雙方所共有的算法對其進行解密，使其恢復成為可讀文件。該操作過程中密鑰的需求僅有一個，便是雙方要提前進行核準。其二，非對稱密鑰加密算法。這一算法中便有兩個密鑰，即公共密鑰、私人密鑰。這兩種密鑰性質完全不同，然而卻可以支持互相匹配。利用非對稱密鑰機密算法加密文件時，必須要使用匹配性能好的兩個密鑰，方可進行文件加密以及解密。加密期間一般是使用公共密鑰，而解密則是使用私人密鑰，發信方要知曉接收方的公共密鑰，然而私人密鑰卻只有收信方一方知曉。所以，使用非對稱加密期間，收發雙方正式通信之前，收信一方務必要自身的公共密鑰提前告訴發信一方，將私人密鑰自己保存。

在當前階段的網絡安全維護領域中，非對稱密鑰加密的應用非常普遍，比較常見的有銀行金融系統數字證書，這就是通過公共密鑰以及一個用戶的多個屬性私人密鑰綁定的方式，使所有公共密鑰都有數字證書。這一證書中主要包含用戶的公共密鑰、用戶信息以及數字簽名等內容，用戶可以按照以上所有信息驗證身份。有訪問CA 公共密鑰權限的收信方，都能夠驗證證書，以此明確用戶是否有CA簽名。在這期間不需要訪問機密信息，并且收信方將自己的私人密鑰解密之后，便可以隨意查看個人信息，且保證不會被惡意竊取、篡改。因為這兩種密鑰都是大素數，所以可以保證密鑰的安全性和可靠性。

2.3 應用加密機實現數據保護

在應用加密機進行網絡安全維護過程中，其本身主要面臨下面幾種風險：第一，傳輸數據機密性遭到破壞，攻擊人員利用非法手段獲取了網絡系統信息，或者是破譯了信道數據，使內聯網內容遭到泄露。其二，對傳輸數據的完整性進行了破壞，攻擊人員將網絡系統線路正在傳輸的數據進行了篡改，或者是利用數據傳輸過程中存在的失誤、丟失等問題，破壞了數據完整性。其三，破壞了數據的真實性。攻擊人員利用偽造網絡系統數據的方式實施詐騙。第四，傳輸線路內缺乏高強度的隔離舉措，攻擊人員使用一些公眾網絡的口令破譯方法，進入至網絡系統中，從而破解內部網重要數據。

針對以上風險，可以采用加密機予以解決，使用國家主管部門要求的高強度密碼算法，加密處理數據。但是一些以明文訪問IP加密設備的行為，均會被認為非法訪問遭到拒絕，所以即便攻擊人員使用了非法方式進入內聯網，并且順利接入路由器，也無法對網絡系統進行訪問。除此之外，網絡系統中的IP虛擬專用通道，也只有設置了IP密碼設備才能夠訪問，并且加密通信，而沒有運用加密機的單位則無法和配備了加密機的單位進行互聯。

在使用加密機時，用戶可以自己選擇下面一種方式加密傳輸數據：第一，凈荷加密形式。凈荷加密其實就是通過直接加密數據包內部上層凈荷數據的方式，完成數據的加密傳輸。這種加密方式可以不用修改原數據包頭，其根本特點在于只是對凈荷數據進行加密或解密，完全不用保護、修改數據包頭，保證線路透明，并且不會占用非常多的IP地址。這種加密方式能夠很好地適應 QoS，在數據傳輸方面體現了非常好的優勢。第二，IPsec形式。IPsec有傳輸模式以及隧道模。這兩種傳輸模式的運行原理如下：在IP包包頭和上層數據中間加入IPsec頭，并且對上層數據進行加密處理，在公共網絡中完成數據的傳輸。這種加密方式的特點是對原有IP頭信息進行了保留，也就是所謂的信源/宿地址維持原樣不便，但凡是安全信息均包含在IPsec頭內。傳輸方與接收方按照次序進行全封裝傳輸以及拆封還原。此外，隧道模式的運行原理，則是首先將IP數據包進行完全加密，其次在其中加入IPsec頭以及全新的IP頭，這里運用到的全新IP頭內涵蓋了隧道源/宿地址，一旦在IPsec隧道經過的數據包傳輸到目的網關，也就是隧道另一端之后，通過IPsec頭內部安全信息，針對完成加密的原IP包實施安全處理，并且把已經還原的高層數據，根據原IP頭指定IP地址完成遞交和傳輸，進而實現信源/信宿的安全傳輸，以實現加密機的有效運用。

通過以上分析，可以了解到加密機的基礎知識以及在數據保護等方面的實際應用，需要在使用過程中確保環境的安全性，搭建加密機應用框架，并且應用正確的加密機相關技術，只有如此才能夠保證網絡體驗安全。

3 結語

通過對網絡安全維護中加密機應用的分析可知，在網絡技術不斷發展的當下，安全問題逐漸成為關注的焦點，而加密機的應用，能夠解決黑客、病毒入侵等帶來的安全問題，并且完善網絡系統，為用戶的網絡體驗提供安全保障。當然，加密機的使用依然存在有待完善之處，需要在未來的發展中不斷研究加以優化。

參考文獻

[1]翁永生.加密機在廣東郵政個性化平臺的應用[J].電子技術與軟件工程，2014，（03）：40-42.（2014-03-24）

[2]王志文，丁建鋒，劉文斌. SCA電臺與高保障IP加密機的一體化設計研究[J].信息安全與通信保密，2014，（07）：74-78.

[3]曲英杰，黃東偉.可移動高性能電腦加密機控制模塊設計[J].科技信息，2010，（05）：70+38.

[4]張人上，李雅韻，安俊娥.基于加密機制模式的無線路由器網絡安全設計[J].火力與指揮控制，2016，41（08）：169-173.

[5]蔣溢，劉雨龍，羅宇豪.基于混沌Z-映射的QR碼加密機制[J].計算機工程與設計，2016，37（09）：2361-2365.endprint