數據加密技術在計算機網絡安全管理中的應用

巴音郭楞職業技術學院 金保林

應用數據加密技術的目的是為了保護網絡的信息通信安全，而現代網絡系統的開放性和資源的共享性特征使得計算機網絡安全問題面臨著更加復雜的形勢。高度開放的計算機網絡環境之下，各種非正常運作都會帶來嚴重的安全問題。早在1994年的花旗銀行事件當中就涉及到了計算機網絡安全管理問題，時至今日這項管理工作仍然是核心工作之一。

1 數據加密技術的類別

數據加密的原理是將明文進行加密轉換為密文，然后再對密文進行解密獲得原始明文的過程，借助算法來實現每一步的流程。無論是對稱加密還是非對稱加密方法，密碼系統所具有的完整性和保密性都非常明顯。

1.1 鏈路加密

鏈路加密指的是在線加密措施，其核心內容是提供一個安全而可靠的鏈路，并保障鏈路的節點和節點之間可以進行安全穩定的數據傳輸工作。在數據傳輸節點進行傳輸時，需要對傳輸的數據進行加密處理之后再進行后續解密，才可以完成一個完整的數據純屬過程。再次加密所使用的密鑰并非是當前鏈路之內的內容，而是下一個鏈路當中的內容。在循環之后數據到達接收點，雖然數據在每一個節點都進行了解密，但后續進行的加密處理使得傳輸信息、路由信息都是在密文的支持下完成的傳輸，數據的起點和重點的隱蔽性非常突出。

1.2 節點加密

節點加密和鏈路加密有著相似之處，都是在鏈路上來保障數據安全，也會先對數據進行加密處理。但由于鏈路加密方法當中，中間節點的數據形式也是明文，可能會因此暴露部分信息內容，此時僅僅采用鏈路加密技術，安全性顯得不足。節點加密的特征就是將中間節點進行密鑰加密再進行傳輸。

1.3 端對端加密

在端對端加密方法的應用過程中，從數據的源端到目的端流程中，數據都具有良好的保密性能，始終以密文的方式進行傳輸，即便存在錯誤的路由信息也不會因此而導致數據泄露以至產生更加嚴重的影響，且傳輸過程不會對密文進行解密，單純對數據信息加密而不是對路徑信息加密。相比于前兩種加密方法，端對端加密的成本相對較低，對于個人用戶、小型網絡而言，價值會更加突出。

2 數據加密技術的應用設計

2.1 應用要求

數據的保密性始終是設計中的基本要求，將可讀的文本轉換為不可理解的文本，即便數據在傳輸環節當中被竊取，也不會因此丟失關鍵的信息。盡管會因為網絡延遲或是惡意篡改的方式導致數據丟失，但是數據本身相對完整。

2.2 算法選擇

雖然計算機硬件技術和網絡技術得到了快速發展，但信息的安全性將始終成為人們關注的重點。其中，密碼技術作為信息安全的核心內容，逐漸受到人們的重視，按照密鑰的類型差異可以被劃分為對稱密鑰系統和公開密鑰系統，前者的加密解密速度較快，破譯困難，但安全性依賴于密鑰的保存；后者則基于數學問題展開設計，安全性相對較高，但密鑰太長和運算速度問題使得它在某些大規模系統當中缺乏應用價值。此時，經過改進的加密密鑰交換協議和AES對稱密鑰加密算法可以被作為信息安全設計時的主要算法選擇。除此之外，DES、RSA、MD5也具有各自的優勢。

DES即數據加密標準，其是一種非常經典的對稱加密算法，在對明文進行加密之前會將所有的明文進行分組，再對每一個組的二進制數據進行加密，最終將每一個組的密文進行拼接后得到整個密文。如果工作模式為加密模式，事先設定好的密鑰會對明文進行加密處理生成密文，然后輸出，數據傳輸之前所約定好的雙方按照不同的方式來獲得密鑰之后，在數據發送之前用DES算法來加密，數據接收方再使用相應的密鑰進行解密。

MD5是為了保障信息資料的準確無誤，用于校驗數據的完整性。MD5的特征在于不可逆性，將任意長度的字節串轉換為證書之后，即便有人知道加密后的密文信息，也無法將其轉換為原有的數據信息。其加密、解密算法主要以補位、變換處理為主，首先是對數據長度進行補位和附加，然后將各個參數進行重置、裝入，完成對于數據的變換處理，最后輸出處理后的密文。

而當前廣泛應用的RSA公鑰加密算法是具備雙鑰的非對稱密碼體制，在生成包含公開密鑰和私有密鑰的密鑰對，而其安全性主要體現在對大整數進行因子分解難度過大，不僅在加密方面效果突出，在數字簽名層面同樣可以得到應用，至今為止安全性良好。

不同的加密體制充分利用了不同算法的優勢，在進行應用時要基于網絡安全傳輸和保障的要求進行選擇。

2.3 系統應用方式和環境

目前，計算機網絡當中的計算機之間建立連接采取的是國際標準化組織ISO，并且IOS參考模型當中會定義不同的體系結構。在一個文件加密系統當中，如果發送方要把文件傳輸給其它用戶，那么需要在上層應用程序先完成文件的加密處理之后再將文件以網絡傳輸的方式傳遞給接收方，系統會對用戶和服務器進行指定，得到最有效的保密信息。數據在整個傳輸過程當中都是密態形式，即便是路由器端都無法看到明文。

從應用環境搭建的角度分析，系統在網絡當中的應用環境（廣域網、局域網等）以網絡方式進行連接，每一個應用環境當中都包含了服務器和不同的計算機，每一臺計算機都可以對文件進行保密、解密，其和服務器之間的連接以郵件或是其它類型的傳輸形式來完成。其中，服務器作為核心組成部分，要負責整個環境當中的用戶管理工作，同時還應具備普通用戶機的功能。例如，服務器負責保密通信所需要的私鑰、公鑰文件，并且在用戶機運行之前都應得到管理員的用戶名和密碼。

2.4 通信協議

按照運行階段的不同可以將通信協議劃分為兩種類型，一種是在用戶和服務器進行認證的階段所采取的EKE協議，一般是首次更換公鑰和密碼時間段；二是在身份完成認證之后的階段，此時采用橢圓曲線公鑰體制展開通信，確保雙方的通信在秘密的環境下進行。

基本的EKE協議當中，一個用戶和一個服務器共享一個口令，利用這一口令可以互相進行“身份識別”然后生成一個公共的會話密鑰，利用算法對密鑰進行加密，對方得到消息后進行解密再產生一個隨機會話，將公開密鑰和會話再次加密。在循環過程當中完成協議，就可以用經過處理后的會話密鑰來完成通信過程。即便有信息的竊取者，他們也僅僅能夠了解有加密信息的過程，但并不知道用于加密的內容。該協議的創新點在于雙方的共享口令和對稱算法都需要進行信息確認之后才能完成加密過程，充分利用了對稱加密算法和公開密鑰密碼體系，文件傳輸經過多重加密，安全性更加突出。隨機串的利用也進一步保障系統安全性，口令和協議運行時的傳輸消息也說明口令攻擊理論上是無法進行的。可以看到，無論是服務器端發出的信息、用戶的身份信息都是足夠安全的，這一方案也可以直接針對密文攻擊進行抵抗，采取多層保護措施。即便密鑰信息無意之間被泄露，服務器端由于無法找到對應的Username信息，也會丟棄那些不合法的認證信息。

2.5 加密系統的密鑰管理

加密系統的基本要素是加密算法和密鑰管理，其中不同的公式和法則會規定密文、明文之間的變化方法。密鑰作為控制、解密算法的關鍵信息，在共同計算機應用的前提之下，會采取更加完善的應用方案。在服務器端和客戶端開始通信之前就會完成服務器的公鑰分發過程，公鑰是由應用程序生成，利用其來完成信息保密等操作處理。以AES對稱加密算法為例，在文件打包模塊打包前生成隨機密碼，完成對于數據的查詢和權限評估，其中最高的權限用戶可以獲得所有文件的密碼。如果用戶要解密系統的加密文件，那么服務器要先生成用戶名和密鑰，并且管理模塊還會將合理的權限、信息寫入數據庫當中，合法用戶可以在經過驗證后查詢密碼，確定信息的合法性。

2.6 系統功能設計

在系統的體系設計方面，要綜合考慮到硬件層面的要求，采用基于Internet的服務器客戶結構對關鍵信息進行傳輸控制，整個系統由服務器和客戶機兩個部分組成，每個部分都包含了通信和解密、加密功能，服務器端的應用程序和客戶端的應用程序負責這些操作。其中，服務器端的應用程序作為系統的關鍵組成部分，密鑰管理模塊、加密打包模塊、文件信息綜合管理模塊共同組成系統架構。此外，雙向身份認證模塊還能完成用戶的信息認證。而客戶端應用程序則是系統架構當中完成加密的載體和平臺，即經過身份認證的用戶才能獲取密鑰解密密文，其中客戶端模塊包括文件解密模塊、公鑰私鑰模塊、密碼模塊等。當然在系統功能的設計應用當中，還應考慮到安全要求和數據庫設計要求。例如，數據庫內部人員違規引起信息泄露，或是因為數據庫業務數據建模支持問題等。需注意的是，如果網絡服務器并非是Windows系統，那么可以應用Java等手段編寫代碼來進行實際應用，甚至是完成系統移植。

結語：數據加密技術在現代社會面臨著更高的信息傳輸和數據存儲需求，在現實應用層面還應該思考如何增強密鑰安全性，在保障運算速度的同時設計出更加具備價值的網絡文件加密傳輸系統。在后續的工作實踐環節，還需要更關注系統的跨平臺應用和系統移植要求，將數據加密技術和VPN通信環境、過濾技術等進行結合，形成具有監控管理和檢查等多項功能的網絡安全系統。