數據加密技術在計算機安全中的運用

◆張艷艷 王煥博

（黑龍江工程學院 黑龍江 150001）

數據加密技術劃分為兩種類型，一種是對稱加密技術，另一種則是非對稱加密技術。但無論如何，新的算法和技術手段的應用目的是為了保障數據的安全性和穩定性，通過技術手段將密文轉換為可以理解的明文。

1 數據加密技術原理和技術方法

1.1 數據加密技術原理

將原始且未經過修改的信息稱為明文，將經過信息處理后的信息稱為密文，則從明文到密文的過程就是我們所說的數據加密過程。通常情況下，要達成這一目標需要通過相應算法的支持而完成。反之，從密文到明文的恢復過程就是解密過程，也是需要通過解密算法來實現。發送方將明文轉換為密文發送給接收方，接收方經過解密將密文再轉換為明文，然后將解密后的明文再次加密發回給發送方，以此為基礎形成循環。在加密時我們使用的加密密鑰會在空間內隨機選擇，如果只用一個密鑰，那么這一過程就是使用密鑰的對稱加密技術。無論是哪種類型的加密技術，整個密碼系統的功能和特性都表現得非常顯著，一是具有良好的辨識性，密碼系統除了可以對保密性進行判斷之外，還可以確保接收到的信息合理、合法，從而進行有效的身份識別。此外，這些信息通常是比較完整的，不會被惡意破壞或是篡改。接收方接收消息環節會涉及兩個方面的要求，一是算法要求，二是密鑰要求。加密算法本身是將可以進行調整的明文通過和密鑰的技術處理措施生成外人看不懂的密文，密鑰本質上也可以被認為是算法的一種特殊表現形式，其在程序中被封裝成為類庫之后再被調用。現代社會的數據量龐大，加密過程更加重要，因此，如何建立有效和科學的體系機制來維持計算機信息安全仍然任重道遠。

1.2 數據加密技術方法

由于網絡當中的通信過程比較煩瑣，加密技術應用也比較多，因而通常使用的加密技術方法包括三個方面：

1.2.1 鏈路加密措施

鏈路加密措施即在線加密方法，通過提供一個安全的鏈路來保障節點和節點之間的數據傳輸具備安全性和保密性。因此在進行數據傳輸之前我們會對相應的數據進行加密，然后再進行傳輸，如此反復讓數據達到最終的接收點。在這一過程中涉及大量的鏈路節點傳輸，而數據信息和理由信息都是以密文的形式傳遞，在安全性上更加突出[1]。

1.2.2 節點加密措施

節點加密和鏈路加密在技術原理上比較接近，都是為安全性而采取的技術手段，即在鏈路上對數據安全進行管理。但鏈路加密本身存在著一些缺陷，即中間節點的數據是以明文的形式存在的，這可能會由此泄漏關鍵的信息內容。我們可以考慮使用不同類型的密鑰對其進行加密，不過節點加密環節路由信息是明文，同樣有受到攻擊的風險，采取節點加密措施和鏈路加密措施共同配合的方法也現實存在。

1.2.3 端對端加密措施

這種加密方式從數據源端直到目的端，整個傳輸過程的數據都是以保密狀態存在，以密文的方式進行傳輸，即便路由信息出現變化也不會導致數據被泄漏甚至被破壞。另外，端對端加密措施只是對我數據信息的加密，不是對路徑信息進行加密，與前兩種加密技術相比，成本消耗也比較低，在一些小型個人用戶當中應用得比較廣泛。但無論如何，網絡數據傳輸環節都會有一部分信息未經過處理的現象，因此還需要進行后續的技術處理。

1.2.4 數據簽名

數字簽名的意義在于讓簽名者對電子文件簽名，這樣驗證者便無法對文件進行惡意篡改。信息發送方通過技術處理方式獲得其他人都無法偽造的信息來源之后，可以將固定長度的二進制數作為信息摘要，加密處理完畢后將簽名和文件一起發送。采用單向函數時，給定固定長度的字符串很難尋找到相對明確意義的消息，但是在經過簽名分類之后，接受者可以直接獲取簽名消息而不需要第三方的驗證過程。換言之，現有的顯式數字簽名可以將功能判定為普通簽名和特殊簽名，在安全性上比較突出。

即便在一個群體內部，群體當中的成員也可以以整個群體的名義展開數字簽名，驗證者直接確定簽名者的身份，完成密鑰分配。如果有n 個成員，那么密鑰劃分為n 份，某個私鑰由n 個部門管理，并且可以完成密鑰重構。總而言之，對稱密鑰密碼機制和公開密鑰密碼機制可以詳細地說明安全應用標準，并且可以實現在未來的電子商務、政務工作環節的系統化應用，在價值上非常突出。此外，文件加密系統所用到的算法、鏈接類型等也可以進行針對性探索，實現內容上的優化。

2 加密算法

2.1 DES 算法

DES 算法即數據加密標準，是一種對稱式加密算法，在對明文展開加密管理之前會將所有的明文進行劃分，讓每個組的長度為64位，之后再對每一組的二進制數據進行加密處理，最終得到一組64位長的密文，將每組的密文拼接之后得到最終的密文。這里會涉及幾個方面的內容，一是吹了的數據信息，二是根據算法而挑選的密鑰類型，三是運行階段mode。工作模式為加密狀態時可以利用實現設定的密鑰對明文進行處理，將其生成密文并進行輸出；反之在工作狀態為解密模式時可以對設定好的密鑰進行技術處理，產生正確信息并進行輸出，數據在最終發送之前可以利用DES 算法進行加密，將加密完成的信息傳輸至需要的位置[2]。

2.2 RSA 算法

RSA 算法擁有雙鑰，是典型的非對稱密碼體制。RSA 算法會先生成一個包含公開密鑰和私有密鑰的密鑰對，前者是所有人都可以公開得到的密鑰類型，后者則是私有的，僅僅屬于發布者的密鑰，得到密鑰也無法計算出私鑰，在一定程度上保障了數據的安全性，且RSA密鑰長度一般較長，可靠性良好，將其設置為1024 位較為常見。從技術優勢來看，RSA 算法簡單易操作，不僅可以用于加密，在數字簽名方面也可以發揮穩定的效果，截至目前具有非常穩定的安全性。但是我們要考慮到密鑰長度過長對于文件的影響，因而在一般情況下RSA 會被作為小型文件的加密措施[3]。

2.3 MD5 算法

MD5 算法的作用是為了保障信息和資料的穩定傳送，例如我們生成文檔信息后再生成MD5 數值，如果下載者并不確定文件內容就可以先用MD5 進行驗證，在數值一致時說明文件是安全的。MD5算法具有不可逆性，將字節串轉換為整數之后，即便密文信息和加密算法被公開，也無法將其轉變為原有的數據類型，其對輸入信息的長度也沒有明顯要求，最重要的一點是信息不會被額外竊取。

3 文件加密系統的應用程序設計

3.1 系統整體架構

文件加密系統的服務器以多線程技術進行，這樣一來每個用戶都可以完成解密過程。如果要提升工作效率，可以將系統劃分為不同類型的程序模塊（服務器端管理程序、通信程序、客戶端應用程序）。管理應用程序負責的是用戶數據庫和文件管理等，通信應用程序負責共享數據結構管理，客戶端應用程序完成文件解密等功能。

3.2 管理服務器應用程序

在這一程序當中打包加密模塊作為系統的核心模塊，其主要作用在于利用AES 算法對文件加密操作，然后將文件ID 與密文信息按照一定的順序寫入后讓客戶端下載。AES 加密算法本質上是分組算法，所以在加密環節會以16 字節單分塊加密，系統在加密的同時會使用CBC 分組鏈接模式對字節塊展開處理，加密后的密文分組依賴于所有以前的數據分組，特別是在加密同一個文件之時得到的密文是“無規律”的，破譯難度更大。

在用戶數據管理方面，使用數據庫當中的pUser 表，以此對應系統的用戶編號、用戶名、用戶密碼等。文件信息管理模塊的作用在于維護文件信息數據庫并且將過時的文件信息全部刪除，使用的是服務器數據庫內部pFile 表。更改密碼和公鑰模塊的作用是接收合法用戶的密碼、信息請求，且模塊中實現了改進EXE 協議，目的在于讓客戶端與服務器可以協同工作，在通信環節定義的規則能夠讓雙方按照協議執行不同類型的模塊功能。

3.3 通信服務器應用程序

通信服務器應用程序會負責整個系統的主要功能，包括加密文件密碼的安全傳送功能。客戶端與服務器之間的應用協調工作過程為先接收客戶端請求信息，然后在提取用戶、文件信息時對用戶身份的合法性進行判斷（例如用戶是否有閱讀文件權限）。如果身份合法，滿足條件，則將公鑰加密文件密碼發送給客戶端。通信服務器并不需要操作界面，因此可以直接設計為無界面進程，其只具有判斷合法用戶并發送文件密碼的功能。

3.4 客戶端應用程序

客戶端應用程序實現加密文件的解密、公鑰傳送、密鑰管理等，選擇與服務器相同的TCP/IP 可靠通信，應用程序主界面包含文件解密模塊和信息更改模塊。

3.5 文件加密實現過程

文件加密的實現過程首先要注冊ODBC 數據源，ECC 模塊生成服務器公鑰、私鑰后，用戶數據管理模塊會增加有關系統的用戶信息，打包加密模塊，打包完成之后將加密信息寫入文件信息數據庫內部，之后啟動通信服務器應用程序正式開始網絡通信服務。

客戶端應用程序設置好IP 地址與用戶名稱密碼之后向服務器傳送公鑰，并選擇需要解密的文件。

4 結語

數據加密技術的作用顯著，在數據內容的保密性和安全性方面可以發揮穩定功能。本次研究也對當前的數據加密技術進行了研究分析，然后圍繞不同類型的算法進行了說明。在今后的工作實踐當中，還應對基于算法展開系統的功能和穩定性進行測試，最大化地保障數據傳輸過程時的性能。