數據加密技術在計算機網絡信息安全中的應用研究

閆 軍

(太原旅游職業學院 山西 太原 030032)

0 引言

互聯網時代社會各領域的數據傳輸和信息資源共享都是以計算機網絡為媒介實現的,為社會各領域的高速發展提供了技術支持,但隨之而來的網絡信息安全問題也日益突出。數據本身的價值較高,若相關網站或計算機遭到黑客攻擊,會使網站陷入癱瘓進而造成數據泄露,黑客借此從中非法牟利,使網絡信息安全面臨嚴重威脅,甚至給社會穩定和國家安全帶來不利影響。數據加密技術是通過數據加密鑰匙來實現對數據密函的轉換,并將計算機網絡中的實質性數據轉換為無意義性質的密文,進而達到對數據加密保護的目的。計算機網絡是以數據加密技術為支撐實現對網絡信息安全的建設,為用戶隱私、企業商業信息等的交互提供了保障。

1 計算機網絡信息安全風險因素分析

應用計算機網絡信息安全技術可實時保護系統軟硬件以及相關用戶數據,并確保數據的完整性和隱私性不受破壞,同時為用戶權益和隱私提供安全保障,而計算機網絡也在此基礎上得以廣泛推廣應用,但在實際應用過程中安全風險因素的存在不利于網絡通信安全環境的構建,具體因素如下:

(1)病毒因素。計算機網絡信息安全風險因素中最常見的是病毒因素,大多是瀏覽器軟件存在安全漏洞引發的,在瀏覽網頁時網頁中的木馬沒有徹底清除或網頁自身安全系統缺失等導致病毒的出現。計算機病毒按存在的媒體可分為4種類型,即網絡病毒、文件病毒、引導型病毒和混合型病毒[1]。其中,網絡病毒是通過計算機網絡對網絡中可執行文件進行傳播、感染、破壞;文件病毒的傳播媒體為文件,其可對計算機中的COM、EXE、DOC等文件造成感染;引導型病毒通過潛伏在計算機存儲介質中對啟動扇區(Boot)和硬盤的系統引導扇區(Master Boot Record, MBR)進行傳播感染;混合型病毒是集以上3種病毒為一體的復合病毒,該病毒的算法較為復雜,使用的侵入系統屬于非常規型,同時還對加密和變形算法進行了融合利用。

(2)非法入侵。計算機網絡信息安全中非法入侵帶來的安全風險較高,計算機網絡在運行過程中易發生非法入侵,企業或合法用戶在使用信息時的安全意識不足,導致網絡終端意外入侵信息數據。非法入侵最為常見的是人為因素,或以獲利為目的,或因行業間的惡性競爭,通過非法途徑竊取、篡改用戶賬號密碼,獲取數據信息或技術資料,該行為不僅會給用戶隱私或企業經濟帶來巨大傷害和損失,還會破壞計算機網絡信息的完整性。

(3)其他因素。包括黑客攻擊、網絡系統本身的安全性較低等,黑客攻擊通過尖端技術在網絡正常運行不受影響的情況下獲取口令并截取、破譯計算機網絡信息,再通過篩選獲取重要的機密信息,因此黑客攻擊的主要對象是企業機密或重大社會事件信息。而計算機網絡本身存在的安全漏洞使其安全性和抵抗風險的能力受到了極大的削弱,用戶在正常使用時若無意瀏覽的網站存在安全風險,不法分子利用安全漏洞很容易入侵計算機網絡內部,進而導致信息泄露。

2 常見的數據加密技術

2.1 節點加密技術

計算機網絡技術人員在使用節點加密技術時通常會融入線加密技術,數據信息的傳遞線路可通過加密的方式對其進行有效控制,以確保傳輸過程中數據信息的安全性。節點加密技術與鏈路加密技術兩者的應用原理一致,采用的數據加密方式都是通過鏈路層為數據傳輸的可靠性提供安全保障,節點加密工作是以集成網卡節點安全模塊為依據來完成的,且無須另外配備專門的加密設備,節點中的數據以密文形式呈現。數據信息在傳輸的過程中需要節點加密技術對網絡節點的數據狀態以明文形式體現出來,因此技術人員需要將密文進行解碼,并利用其他密鑰對傳輸數據進行再次加密,以確保數據向指定終端傳輸的安全性。但重復對傳輸的信息進行解密處理使得信息泄露的發生風險大幅增加,且該技術在繁多復雜鏈路中的適用性較低,其在局域網內部、專線接入等的適用性較高[2]。

2.2 鏈路加密技術

網絡數據安全防護工作中鏈路加密的應用頻率比節點加密要高,鏈路加密技術可將網絡傳輸的各個路徑進行詳細劃分,加密處理工作也是根據相關鏈路的數據傳輸開展的,網絡鏈路中數據的傳輸形式為密文,網絡傳輸終端接收到的數據狀態也是密文,大幅增加了黑客通過入侵網絡來竊取數據信息的難度,系統網絡的抵御能力和安全性也更高。該技術的應用較為簡單且易實現,在調制解調器與節點之間安裝上密碼設備即可對加密解密故障進行處理,整個過程無須用戶進行操作,網絡自身即可自行完成。此外,該技術還可填充處理用戶所傳輸的數據,通過改造并處理各路徑、各區段的數據信息來改變數據加密后的數據長度,用戶所傳輸的信息在該技術的幫助下發生黑客、病毒等的攻擊事件得以有效減少,為網絡傳輸過程中數據信息的安全性和可靠性提供了切實保障[3]。但該技術在實際應用過程中也存在著一定的局限性,即網絡傳輸鏈路兩端計算機的網絡環境要保持同步,否則會給加密工作的順利開展造成干擾,同時該技術在重復加密處理信息傳輸鏈路中的數據時需要額外鏈路的支持,使得整個傳輸過程的復雜性和難度有所增加,進而使得網絡信息安全風險的發生概率隨之上升。

2.3 端對端加密技術

作為一種新型的加密技術,端對端加密可對節點、鏈路加密的缺陷進行有效填補,該技術可將數據從起始端到終端的傳輸全過程以密文形式呈現,且只需進行一次加密解密處理即可,無須重復多次處理,即使節點損壞,發生數據泄露的風險也較低,確保了數據信息在網絡傳輸中的可靠性。由數據源點發向網絡以及數據終點接收的數據狀態均為密文形式,解密時使用相應的密鑰即可完成,即時通信等領域對該技術的應用較為普遍,有助于有效規避信息安全事件以及用戶信息通過服務器被泄露等發生的風險[4]。端對端加密技術可應用在不同的層次中,在應用層選擇的加密措施是以用戶需求為依據進行設定的,在傳輸層的安全保護措施也不用另外進行單獨設置。與鏈路加密技術相比,該技術對數據的加密保護面向的是整個計算機網絡系統,而鏈路加密的加密保護只對鏈路有效,后續仍需以端對端加密技術作為主要應用方向。該技術的應用優勢較為顯著,具有維護設計簡單、易實現、可靠性高、成本低等優勢,也不存在網絡同步的問題,任意報文的錯誤傳輸對后續報文的傳輸造成的影響也微乎其微,但技術人員也不可忽視數據報文形式為明文的情況,以防報文信息發生泄露。

3 數據加密方法

3.1 Blowfish加密算法

Blowfish加密算法屬于對稱加密算法的一種,該算法加密64 bit長度字符串的速度極快,同時還可對其加解密,且密鑰長度靈活可變[5]。Blowfish加密算法在加解密數據時的具體應用步驟如下:(1)預處理加密算法密鑰,在設計Blowfish加密算法時,該算法的源密鑰有2個固定的box,即pbox和sbox,且同一套的源密鑰pbox和sbox可同時被多個用戶使用。加密數據信息時用戶需要選擇加密的密鑰key,并與源密鑰pbox和sbox組合在一起生成子密鑰,即key_pbox 和key_sbox。(2)加密數據,key在使用時是可以重復循環的,數據信息通過利用key_pbox 和key_sbox即可完成加密處理。Blowfish加密算法是對稱加密,所以在對數據信息進行解密處理時也要先預處理密鑰,然后生成key_pbox和key_sbox 2種子密鑰,但子密鑰是以反向順序進行加解密的。由于Blowfish加密算法的加密密鑰長度是靈活可變的,用戶在設計密鑰時雖然易操作、易實現,但也給計算機網絡信息埋下了安全隱患。該算法是以密鑰的選擇和保密作為加解密的核心的,因此要對其不斷改進以確保計算機網絡信息的安全性。

3.2 RSA公鑰加密算法

RSA公鑰加密算法屬于非對稱加密算法,該算法在計算機網絡中的應用最成熟也最廣泛,其采用的密碼體制是公開加密密鑰,這種密碼體制所使用的加密算法方式與加解密密鑰完全不同,而且還與數學中的不可逆算法進行了融合,使得加密和解密的算法密鑰均已知的情況下另一種算法密鑰方法也無從推導,且數據傳輸過程中的加密算法密鑰可公開[6]。RSA加密算法的核心是歐拉定理,可假設a和n為2個正整數(1除外)且是互質關系,則n的歐拉函數φ(n)可確保加密和解密的密鑰均不具有可解性。在此基礎上,RSA加密算法即可生成公鑰和私鑰2把密鑰,對數據信息加密時使用的是公鑰,對加密后的數據信息進行解密時使用的是私鑰,所以在該算法中數據信息的傳遞若只有一組密鑰是無法完成的。但隨著人們求質因素能力的提升,公鑰共模的復雜度需不低于600 bit才能夠確保RSA加密算法的安全性,且加解密時的運算代價高,但加解密效率卻不高,相較于對稱性加密算法其效率相差數百倍,使得數據格式標準化的實現受到阻礙。

3.3 混合加密算法

經上述分析得出,加密數據時使用Blowfish加密算法和RSA公鑰加密算法都存在著一定的缺點,因此可將這2種算法相結合,并在對密文進行數字簽名時再與MD5算法結合起來,以此對文件的完整性進行有效檢驗,避免發生數據丟失的風險,進而為加密數據傳輸的安全性以及數據加解密效率的提升提供切實保障。假設A用戶向B用戶傳輸數據信息M,A用戶發送端加密電子文件時需使用Blowfish加密算法來獲取公文密文,再通過公網獲取RSA加密算法的公鑰來加密Blowfish加密算法的密鑰,即可得到Blowfish密鑰的密文,最后公文密文的數字簽名通過MD5算法對數據傳輸的完整性進行驗證,但公文密文已經加密,即便對MD5算法進行暴力破解也無法得到公文明文,所以具有較高的安全性,見圖1。

圖1 使用混合加密算法和MD5算法發送數據流程

4 實驗結果與分析

在計算機網絡的數據信息傳輸中,安全性和數據加解密效率是對加密系統優劣最直接的體現。本文對混合加密技術的有效性進行驗證,并比較分析了3種加密算法的加解密效率和安全性,即混合加密算法、DES加密算法和DH加密算法。

4.1 加解密效率測試

用3種算法分別加解密0.5 G、5 G、10 G和20 G的數據量,通過多次實驗分別得出3種算法平均加解密時間,見表1。DES加密算法與混合加密算法相比,混合加密算法的操作步驟更多、更復雜,且需要RSA公鑰加密算法分配并管理Blowfish加密算法的密鑰,所以其加解密時間也更長,但隨著數據量的不斷增加,混合算法加解密效率逐漸高于DES算法。DH算法和混合加密算法相比,混合算法的加解密效率遠超DH算法,兩者之間相差100倍以上,所以DH算法在加密大數據量文件時不具備適用性。

表1 平均加解密時間統計 單位:s

4.2 數據加密安全性測試

在實際應用中對混合算法的抗破譯效果采用暴力破譯方式對其安全性進行檢驗,使用上述3種算法分別加密大小均為200 K的數據、文本文件、圖片和多媒體視頻,局域網中數據信息的傳遞通過FTP協議實現,數據截取采用的是第三方數據抓包工具Sniffer,然后對其暴力破解[7]。暴力破解數據包時采用的處理器型號為英特爾i7-10700K,并設定為15 min內可重復破譯5次,見表2。表2數據表明,混合算法的數據保密效果優于另外2種算法,從數據加密原理方面來講,混合加密算法中Blowfish加密算法的安全性高于DES加密算法,同時Blowfish加密算法的密鑰需要RSA加密算法的公鑰來管理,其安全性又增加了一層,所以混合加密算法的安全性高于其他2種算法。

表2 暴力破解次數統計 單位:次

5 結語

綜上所述,由于計算機網絡自身的共享性,使其在進行數據傳輸時出現被追蹤和竊取的風險較高,因此加強數據傳輸安全性的重視對計算機網絡信息的安全性有積極作用。本文通過進一步研究對稱數據和非對稱數據加密算法,并將2種算法的優點綜合在一起設計出混合算法,通過上述研究數據得出,混合算法的加解密效率和安全性均有著明顯的優勢,有助于計算機網絡信息安全水平的有效提升。