數據加密技術在計算機網絡通信安全中的應用策略

祖曉明

（大同師范高等專科學校 山西 大同 037039）

0 引言

計算機網絡通信安全首先保障了個人隱私和數據機密性，從而建立用戶的信任；其次維護了商業機密和知識產權的安全性，企業通過采用加密技術、訪問控制和網絡監測等措施，可以保護商業機密免受未授權的訪問和競爭對手的竊取，維護其競爭優勢；最后，計算機網絡通信安全對于國家安全和公共利益也具有重要意義。 現代社會依賴于關鍵基礎設施和公共服務的正常運行，如電力系統、交通網絡和金融系統。 通過加強網絡安全防護、網絡監測和信息共享，可以減輕網絡攻擊可能對國家和公眾利益造成的風險。 本文旨在探討數據加密技術在計算機網絡通信安全中的應用策略，針對網絡通信中的數據保護問題提供解決方案，重點研究不同類型的加密算法和協議，并分析適用場景和效果。

1 數據加密技術分類

1.1 對稱加密與非對稱加密

對稱加密是使用同一把密鑰進行加密和解密的加密方式，由于加密和解密過程中所使用的密鑰是相同的，所以對稱加密速度較快，適用于需要處理大量數據的情況。非對稱加密，也稱為公鑰加密，試圖解決對稱加密中的密鑰管理和分發問題。 非對稱加密使用一對密鑰：公鑰用于加密數據，私鑰用于解密數據。 任何人都可以使用公鑰來加密信息，但只有持有對應私鑰的接收者才能解密信息，信息的發送者和接收者不再需要事先共享密鑰，降低密鑰管理和分發的復雜性。 然而，相比于對稱加密，非對稱加密通常需要更高的計算能力和更長的時間，不適用于需要加密大量數據的情況［1］。

1.2 常見的數據加密算法

高級加密標準（advanced encryption standard，AES）、數據加密標準（data encryption standard，DES）和橢圓曲線密碼學（elliptic curve cryptography，ECC）是信息安全領域常見的數據加密算法。 AES 被設計用來替代較早的DES，AES 使用的密鑰長度更長，可選擇128 位，192 位或256位，因而相比于DES 的破解難度更大。 與此同時，AES 的加密過程更為高效，可以處理大量數據，抵抗已知攻擊，因此在文件和磁盤加密中成為理想選擇。 DES 是最早被廣泛采用的對稱加密算法之一，使用56 位密鑰來加密數據，由于密鑰長度相對較短，隨著計算能力的提升，已不能提供足夠的安全性，但在硬件資源受限且對加密強度要求不高的環境中仍然可行。 ECC 是應用橢圓曲線數學理論的公鑰加密技術，相較于傳統的RSA 加密算法（Rivest-Shamir-Adleman） 和數字簽名算法（ digital signature algorithm，DSA），ECC 提供了更高的安全性和更短的密鑰長度，在提供同等安全性的情況下，ECC 需要的計算資源和存儲空間更少，尤其適合資源受限的環境，如嵌入式系統或移動設備。

1.3 數據完整性和身份驗證

數據完整性是指數據在傳輸或存儲過程中保持原始狀態，沒有被非法修改、刪除或添加。 保證數據完整性的方式包括散列函數或消息認證碼。 散列函數能將任意長度的輸入數據映射到固定長度的輸出，被稱為散列值或摘要。 基于散列函數的基本特性，盡管輸入數據產生微小變動，散列值都會產生不同程度的差異，可以通過比較數據的散列值來檢查數據是否被修改；消息認證碼則是結合密鑰和散列函數的技術，能檢查數據完整性、確認數據來源。基于散列函數和消息認證碼來保證數據完整性的方法如圖1 所示。 身份驗證是確認實體（可以是人、設備或系統）的身份，對于機器或系統來說，身份驗證通過公鑰基礎設施實現，包括數字證書和數字簽名等技術。 數字證書由第三方證書機構簽發，確認公鑰所有者；數字簽名則利用發送者的私鑰對數據進行簽名，接收者通過公鑰驗證簽名從而確認數據的來源［2］。

圖1 通過散列函數和消息認證碼來保證數據完整性示意圖

2 數據加密在網絡通信安全中的應用

2.1 安全套接字層和傳輸層安全協議（SSL／TLS）

安全套接字層（secure socket layer，SSL）和傳輸層安全（transport layer security，TLS）協議是兩種廣泛應用于互聯網的加密協議，為網絡數據通信提供安全保障。 SSL 的提出時間較早，TLS 則是后續版本，逐漸替代SSL 成為當前最常用的協議。 SSL／TLS 協議可以保護數據的機密性和完整性，同時也提供了身份驗證的功能。 在SSL／TLS 協議中，數據加密基于對稱加密技術實現，例如AES 或者ChaCha20 等，可以處理大量數據。 而密鑰的交換則是通過非對稱加密技術實現的，例如RSA 或者橢圓曲線迪菲－赫爾曼臨時密鑰交換（elliptic curve Diffie-Hellman ephemeral，ECDHE）等，保證密鑰的安全傳輸，防止密鑰在傳輸過程中被竊取。 例如，當在瀏覽器中輸入以https 開頭的網址時，瀏覽器會請求服務器通過SSL／TLS 協議建立安全連接。 在此過程中，服務器會向瀏覽器提供其數字證書，由第三方機構（稱為證書頒發機構）簽發，并證明網站身份。 當用戶訪問和使用HTTPS 網站時：首先瀏覽器會請求該網站的SSL 證書，其次驗證證書頒發機構是否有效以及網站是否匹配，最后再確認服務器身份，與服務器協商一組密鑰用于加密后續的通信內容。 即使數據在傳輸過程中被攔截，攻擊者也無法解密數據；由于證書的存在，使用者也可以確認正在連接的服務器是期望連接的服務器，而不是假冒服務器。

2.2 互聯網安全協議（internet protocol security，IPsec）

網絡層安全協議是用于在Internet 協議IP 網絡中保護數據的協議，解決網絡數據在傳輸過程中可能出現的安全問題，包括數據的機密性、數據的完整性以及數據的來源認證。 IPsec 主要包含兩個重要的協議：認證頭和封裝安全載荷（encapsulating security payload，ESP），認證頭協議主要負責提供數據完整性和來源認證，但并不能提供機密性保護。 而封裝安全載荷協議則可以提供數據的機密性、完整性和來源認證，兩種協議可單獨或聯合使用，以適應不同的安全需求。 IPsec 運作過程需要密鑰管理和分配，由互聯網密鑰交換（internet key exchange，IKE）協議完成。 IKE 通過名為迪菲－赫爾曼的密鑰交換技術，可以忽視網絡安全性并進行密鑰交換，IKE 協議會定期更新密鑰，以防止密鑰被破解。 IPsec 靈活性較高，在隧道模式下，IPsec 可以在網絡中的任意兩點（例如兩臺路由器或防火墻）之間提供保護，經過兩點之間的IPsec 隧道的數據都會得到保護。 IPsec 常見的用途是創建虛擬專用網絡（virtual private network，VPN），當公司員工需要從家中或出差地點訪問公司內部的網絡資源時，員工電腦和公司VPN 服務器建立IPsec 隧道，就可以安全訪問公司網絡資源［3－4］。

2.3 安全電子郵件

現代網絡環境中，安全電子郵件通信成為維護個人和企業信息安全的重要方法，現行安全電子郵件的技術標準是安全／多用途互聯網郵件擴展（secure／multipurpose internet mail extensions，S／MIME）和優良保密協議（pretty good privacy，PGP）。 S／MIME 是基于公開密鑰基礎設施（public key infrastructure，PKI）的安全協議，用于提供電子郵件的機密性和數據完整性。 PGP 同樣提供電子郵件的加密和簽名服務，使用“網絡信任模型”完成密鑰管理，用戶可以選擇信任其他用戶的公鑰，建立驗證公鑰身份的信任網絡。

2.4 在線支付和電子商務的安全

在線支付和電子商務的安全依賴于多種技術標準，在線交易應通過安全通信通道進行，如使用SSL 或TLS 協議的超文本傳輸安全協議（hypertext transfer protocol secure，HTTPS）連接，確保用戶與網站服務器之間通道的安全性，防止數據在傳輸過程中被竊取。 此外，為防止信用卡信息泄露，部分在線支付平臺采用代理支付方式，即用戶信用卡信息由支付平臺進行處理，降低商家風險，減少用戶信息在多個地方存儲的可能性。 然而，用戶也需要對個人行為進行審計以保護個人信息安全，應當對訪問的網站進行驗證，確認是否使用HTTPS 連接，避免在公共無線網絡下進行敏感交易，以及定期更改密碼并啟用兩步驗證等。 例如，支付寶是由我國阿里巴巴集團開發的在線支付平臺，廣泛應用于我國電子商務領域。 支付寶的服務器需要使用經過可信證書頒發機構簽發的SSL／TLS 證書。 當用戶連接到服務器時，服務器會提供證書，客戶端可以通過驗證證書的簽名來確認服務器的身份，防止“中間人攻擊”，確保用戶連接到真正的支付寶服務器，而不是偽造的站點［5］。

3 數據加密的挑戰和未來發展

3.1 量子計算對加密技術的威脅

數據加密技術的未來發展可能由量子計算逐步塑造，量子計算利用量子力學的特性，如疊加和糾纏，以在處理大量信息時實現更高的效率，部分應用領域中量子計算的效率超越了傳統計算機。 量子計算對于加密技術帶來的威脅主要表現在對公鑰密碼體系的潛在破壞，現代加密算法，如RSA 和ECC 依賴于大數因子分解或離散對數問題。然而理論上一臺量子計算機能在多項式時間內解決復雜數學問題，意味著現有公鑰密碼體系可能面臨崩潰。 然而，量子密鑰分發利用量子力學的特性提供了在理論上無法破解的加密方法，利用了量子力學的不確定性原理和無法復制原理，直接暴露第三方無法攔截和復制密鑰。 量子系統量子態容易受到外部環境的噪聲和干擾，稱為退相干，導致量子系統與周圍環境相互作用，使得量子態的有用信息喪失。 在量子通信中該現象尤為嚴重，量子信號在傳輸過程中容易與環境相互作用，喪失傳輸的信息。 退相干限制了量子通信的傳輸距離，也給量子信息的存儲和處理帶來了難題。 為突破量子通信距離的限制，科學家們提出了量子中繼和量子糾纏等技術。 量子中繼是通過在通信鏈路中設置中繼節點，用于刷新和傳遞量子信號。 量子糾纏允許量子系統之間進行即時、非本地相互作用的現象，可用來創建復雜量子通信網絡。

3.2 數據加密新技術及趨勢

同態加密技術被視為數據加密領域的一項重大進步。同態加密技術允許在加密狀態下對數據進行加法、乘法等數學運算，通過解密操作獲取最終結果，無須暴露原始數據。 傳統加密系統中需要解密數據，執行計算操作，再重新加密結果。 同態加密技術主要分為部分同態加密和完全同態加密。 部分同態加密允許對加密數據進行特定類型計算，通常是加法或乘法，而不是支持加法和乘法，如基于RSA 的加法同態加密可對兩個加密數值進行加法操作得到加密的和，但不能對乘法進行同樣操作［6］；完全同態加密允許在加密狀態下進行任意計算操作，包括加法和乘法，意味著可以對加密數據執行多個計算步驟，通過解密操作獲取最終結果，而無須知道原始數據，但此技術實現更加復雜，計算成本較高。

3.3 隱私法規對數據加密的影響

隨著全球范圍內對數據隱私保護的關注度日益提升，各類隱私法規的不斷出臺和完善對數據加密技術產生深遠影響。 一方面，隱私法規為數據加密提供廣闊的應用場景和嚴格的規范標準；另一方面，隱私法規提出新技術的研發要求和法律責任。 以歐洲的通用數據保護條例為例，該法規對數據的收集、處理和傳輸等環節提出了嚴格的要求，而數據加密是企業達到要求的有效途徑之一［7］。 然而，隨著隱私法規的增強，對數據加密的安全性和有效性提出更高的要求，需要數據加密技術能夠應對更復雜的安全威脅，如高級持續性威脅等。 隱私法規要求企業在處理個人數據時提供足夠的透明度和可控性，就更需要數據加密技術去支持更細致的權限控制和訪問管理。 更重要的是，隱私法規的執行強化意味著企業需要承擔的責任風險較大，因此，企業需要投入更多人力、財力和時間資源，來保證數據加密技術的更新和維護。 包括跟隨標準的技術迭代和防范新型威脅，還涉及系統兼容性的調整和故障的持續修復，需要專業團隊的支持并有充足預算實現［8－9］。

4 結語

綜上所述，數據加密技術在計算機網絡通信安全中的應用策略是保護敏感數據不被未授權方訪問的重要手段。合理選擇和應用加密算法、密碼管理和安全協議，可以提高通信的安全性，并保護個人隱私和機密信息。 隨著技術的不斷發展，應持續創新改進加密技術，以應對日益復雜的安全威脅，在網絡通信中構建更安全、可靠的環境。