計算機網(wǎng)絡安全中的信息保密技術研究

鄭 亮

（浙江廣播電視集團，杭州 310005）

當下，計算機網(wǎng)絡隨處可見，逐漸滲入到我們生活中，對我們?nèi)粘Ｉ钆c工作影響深刻。

計算機網(wǎng)絡不僅能極大的提高人們對信息處理的效率，還能增強信息傳播的速度，為人們的工作與生活提供了極大的便利。但也因計算機網(wǎng)絡具有開放性的特點，會有信息流失的風險，為人們的切身利益帶來了威脅，從而阻礙了社會健康的發(fā)展。因此加強信息保密技術，使計算機網(wǎng)絡信息安全得到保障，以充分發(fā)揮其優(yōu)勢，推動社會健康向前發(fā)展。

1 信息保密技術的種類

隨著計算機的普及，計算機網(wǎng)絡安全不斷的受到威脅，計算機網(wǎng)絡安全問題也受到了社會的普遍關注。信息加密技術是保障計算機網(wǎng)絡安全的一種安全手段，它可提升信息的安全性、可靠性及穩(wěn)定性。其主要種類包括以下幾點：

（1）信息保密技術的身份認證技術。身份認證技術是網(wǎng)絡上對用戶身份確認的重要手段，它是信息保密技術其中的一種。它是通過對用戶身份的核實，從而判定該用戶對將使用計算機是否有使用的權(quán)限。現(xiàn)如今，隨著身份認證技術的發(fā)展，身份認證除了有常用的指紋、口令的認證方式，還有刷臉認證技術，刷臉認證技術是通過對人臉進行識別的一種技術。在計算機網(wǎng)絡使中，這個用戶身份可以是密碼、指紋、口令，也可以是人臉識別。當用戶需要使用計算機網(wǎng)絡時，必須要輸入自己的身份碼，只有這樣才能使用計算機網(wǎng)絡，身份碼是計算機網(wǎng)絡用戶使用計算機網(wǎng)絡的僅有憑證。所以用戶不僅要牢記自己的身份碼，更要保護好自己的身份碼。

（2）信息保密技術的數(shù)據(jù)加密技術。數(shù)據(jù)加密技術是指在指定的用戶或網(wǎng)絡下，采用加密函數(shù)、加密鑰匙將明文信息轉(zhuǎn)變成毫無意義的密文，從接收方則以解密鑰鑰種解密函數(shù)將明文信息予以破解。它是發(fā)送方和接收方運用一些特殊的信息進行解密。

（3）信息保密技術的密鑰管理技術。所謂密鑰是加密算法，密鑰管理直接影響到網(wǎng)絡數(shù)據(jù)信息的加密安全性，所以黑客竊取的主要對象就是密鑰，通常密鑰存在于儲器、磁卡、磁盤等硬件上。密鑰管理主發(fā)是通過密鑰的保存及更換等環(huán)節(jié)上。密鑰技術包括對稱和非對稱兩種技術，對稱密鑰是指發(fā)送種接收兩端使用相同的密鑰，它的特點是數(shù)據(jù)的解密與加密是一樣的，只要密鑰在雙方都不被泄露，就能保證數(shù)據(jù)的安全，目前對稱加密技術主要運用在電子郵件的的加密過程中，主要的對稱加密技術有DES和AES 等。非對稱密鑰它是由公開密鑰與保密密鑰組成，是指數(shù)據(jù)加密與解密的密鑰是不一樣的。其算法是1ISA 體制，非對稱密鑰較對稱密鑰更具可靠性與穩(wěn)定性。

（4）數(shù)字簽名技術。在現(xiàn)網(wǎng)絡環(huán)境下，經(jīng)常有發(fā)送方與接收方對信息內(nèi)容及有無收到或發(fā)送發(fā)生糾紛。而數(shù)字簽名技術可以有效的解決這些糾紛。數(shù)字簽字技術的主要原理是：作者在簽名進程中使用私有密鑰，接收方或驗證使用公開密鑰進行，一般情來而言，公開密鑰是不能算出私有密鑰的，所發(fā)公開密鑰對私有密鑰的安全不會產(chǎn)生任何影響，所以能解決以上我糾紛。數(shù)字簽名說直白了，就是對需要傳送的數(shù)據(jù)用一個單向函數(shù)進行處理產(chǎn)生中只有制作者才能識別的一段字串，而這個數(shù)字串可以用來證明數(shù)據(jù)的來源并可以核實數(shù)據(jù)是否發(fā)生了變化。在數(shù)據(jù)簽名中，私有密鑰是制作者才知道的私密值，而與它配對的公開密鑰是唯一的，并且存放在數(shù)字證書或公共數(shù)據(jù)中的，要用簽名人的秘密文件，需要相對應的數(shù)字證書驗證。

2 信息保密技術在計算機網(wǎng)絡中的應用

2.1 身份認證技術在電子商務中的應用

眾所周知，電子商務最大的特點是買賣雙方大都不會見而不可以進行各種商務交易活動，所發(fā)電子商務存在著各式各校報的風險尤其是網(wǎng)上支付領域。在諸多風險中，究其原因都是因為登錄密碼或支付密碼泄露所造成的。一此公司和個人因密碼管理不善而受到網(wǎng)絡攻擊。在以往大多數(shù)的用戶都以簡單的數(shù)字、單詞，自己的生日等作為自己的支付密碼。據(jù)統(tǒng)計有85%的用戶在所有的網(wǎng)站上都是用有限的幾個甚至同一個密碼。這就使黑客有機可乘。而網(wǎng)絡身份認證技術可以通過口令、指紋等方式進得對用用戶身份進行認證。從而有效防止密碼被泄漏。身份認證技術中口令技術對電子商務身份認證系統(tǒng)的實現(xiàn)。

2.1.1 動態(tài)口令系統(tǒng)實施步驟

（1）新用戶在注冊會員時，要求動態(tài)口令服務[1]。

（2）新用戶資料被審核通過后，計算機網(wǎng)站可產(chǎn)生兩個隨機的整數(shù)（如18，22）作不密鑰，并且以密鑰KA1和KA2的形式存儲在數(shù)據(jù)庫中的用戶登錄信息表中。

（3）計算機網(wǎng)站可根據(jù)此用戶注冊時所產(chǎn)生的ID 和與其相對應的密鑰KA1 和KA2 生成一個可執(zhí)行的EXE 文件，并且將ID 與密鑰發(fā)送給該用戶。用戶需要輸入正確的ID 和靜態(tài)密碼，才能夠登入網(wǎng)站，此時網(wǎng)站頁面顯示6位數(shù)的挑戰(zhàn)碼，用戶通過客戶端輸入這6位數(shù)的挑戰(zhàn)碼，就能得到8位數(shù)動態(tài)口令。接著輸入正確的動態(tài)口令就可以成功登錄。

2.1.2 對客戶端文件的發(fā)布方式

（1）對于一般小型的或者微利型的電子商務網(wǎng)站，我們可以將身份認證軟件做成插件，用戶在網(wǎng)頁瀏覽時第一次安裝使用該插件后，以后都就可以反復使用。以此種方式生成的動態(tài)口令，它的優(yōu)點是不成本低，不需要購置額外的硬件。但是由于插件中包括了生成動態(tài)口令的密鑰算法，因此此生成的動態(tài)口令機制很容易被黑客通過對軟件的跟蹤及其他方式攻破，所發(fā)安全性比較低。

（2）對于大型電子商務網(wǎng)站及銀行等成本的承受能力大的企業(yè)，這們可發(fā)采用安全性極高的電子令牌來對客戶進行身份認證，由于安全性高所以相應的成本也會相應提高。一個安全性高的令牌而要有電源、通信端口、輸入設備、CPU、存儲設備等，還要考慮互二進制與十進制互換的問題。因為設備是惟一性的，所以成本較高，當然安全性也非常的高。

2.2 數(shù)據(jù)加密技術中嵌入式系統(tǒng)中的應用

對于嵌入式系統(tǒng)而言，數(shù)據(jù)加密技術主要包含了用戶端與遠程控制端兩個端口。遠程控制端不只是上級部門，也有可能是產(chǎn)品各個銷售部門。遠程控制則是采用密鑰加密處理相關文件機密性數(shù)據(jù)，將成為一系列密文數(shù)據(jù)，再以互聯(lián)網(wǎng)為渠道予以傳輸。密文數(shù)據(jù)傳輸?shù)皆O備所需單位，再由工作人員把這些密文數(shù)據(jù)傳輸?shù)角度胧皆O備中，設備再基于預先儲存的密鑰數(shù)據(jù)將各種密文轉(zhuǎn)變?yōu)槟軌驕蚀_識別的數(shù)據(jù)。最終遠程控制端能夠真正控制設備。反過來而言，假設嵌入式設備中各種數(shù)據(jù)傳輸?shù)竭h程控制端，它的事個過程是相同的，只是方向不同而已。

在設備試用實際情況中，遠程控制端是實現(xiàn)密文數(shù)據(jù)產(chǎn)生的端口，“任務類型”定義了密文數(shù)據(jù)的具體功能，在實際操作中操作人只需在操作界面中輸入任務類型、用戶密碼、設備序列號等數(shù)據(jù)，然后點擊“創(chuàng)建文件”，隨之密文數(shù)據(jù)生成，最后將該密文數(shù)據(jù)以文件的方式通過互聯(lián)網(wǎng)傳送給用戶。當用戶接收到該密文數(shù)據(jù)時，再把數(shù)據(jù)輸入到設備，設備按照存儲好的密鑰進行數(shù)據(jù)解密后，判斷用戶密碼與設備是不與設備出廠定義一樣，如一樣就可以執(zhí)行密文數(shù)據(jù)定義的任務。通過以上的方法設備生產(chǎn)商就可以試用狀態(tài)的設備進行遠程控制。

2.3 密鑰管理技術的應用

2.3.1 縱向管理

在縱向管理體系中，上級能夠解密下級加密文件，下級則無法解上級加密文件。對于這些加密文件，一般采取對稱密碼技術。企業(yè)管理層擁有企業(yè)官網(wǎng)賬戶及密鑰，可自由、隨時查看下屬文件。在此管理系統(tǒng)中，高層管理人員是不能直接得知間接下級的密鑰的，只能通過對自己直接的下屬的密鑰的知曉，再利用直接下屬的密鑰得到間接下屬的密鑰，從而解密間接下屬的文件。這樣的方法企業(yè)可以方便的增加或刪除相應的用戶，并且企業(yè)網(wǎng)管修改密鑰和企業(yè)的管理關系也非常方便。

2.3.2 橫向管理

我們設定一個小組專用的密鑰給整個小組專用，組內(nèi)成員使用這個專用密鑰對我們加密的文件進行解密查看。這個方法能夠保證組內(nèi)成員安全高效的查看，當然也有一定的弊端。比如某一個成員它同時參與多個小組的活動，那么他在查看不同文件時就需要不同的密鑰來進行解密與加密。所以對于這樣的成員來講工作繁瑣且工作效率不高。密鑰管理的橫向性也可以按照會議密鑰管理類似的方式來進行。每一次的合作項目就相當于一次會議，具體方式如下：組內(nèi)成員數(shù)量位為A，每位成員的ID 為ID，公鑰為PK1個人私鑰為SK。那么小組成員需要對某一文件進行加密處理，可以這樣設定：隨機選擇一個文件設定秘鑰為K；在數(shù)據(jù)庫中獲取小組內(nèi)成員的ID 和公鑰PK1；然后用PK1為秘鑰對文件加密并得到K1；然后使用所以成員的ID、K1和拉格朗日插值定理構(gòu)建出對應的N-1次多項式，并在所需加密的文件中吧次多項式寫入，實現(xiàn)用文件加密密匙多我們需要的文件進行加密。解密文件時，可以按照自己的ID1取得相應的K 最后使用私鑰SK1對K1進行解密。解密完成后就可以得到文件的密鑰K，使用K 又可以對文件解密。我們的這個操作流程對于不是組內(nèi)成員，想實現(xiàn)解密困難重重，文件的安全性就有保證。這對于會議應用秘鑰的系統(tǒng)化管理過程和文件的下發(fā)保密管理有很好保障性。對于能夠閱覽此文件的人員組成特殊小組；上層管理者需要對文件檢查時直接使用管理者私有秘鑰并在借助系統(tǒng)設定的高級密鑰實現(xiàn)有效管理。高層的管理成員也能對文檔解密而不影響工作。

2.4 電子簽名在網(wǎng)銀的應用

在銀行系統(tǒng)應用中。簽名者用自己的簽名私鑰對信息及證據(jù)進行簽名，因簽名證書和用戶的身份是綁定在一起的。所以可以通過簽名證書來鑒定用戶的簽名。這樣可以實現(xiàn)簽名的真實性、完整性及不可否認性。信息的發(fā)送方可利用信息接受方密鑰來發(fā)送信息，而信息接收方則用自己本身所有私鑰對密鑰進行解密，再利用會話秘鑰解密信息。這樣私密性就得以保證。使用電子簽名的前提是用戶的身份必須是真實可靠的。CFCA 在銀行通過設立RA 機來對用戶的身份進行審核[2]。AR 系統(tǒng)分為兩層結(jié)構(gòu)，在商業(yè)銀行總行設置總部AR，而在支行和分行設置本地AR，銀行通過對用戶的帳戶等信息進行審核，并符合審核的用戶信息安全的傳送到CFCA。對于CFCA 來說，銀行扮演了兩個角色，第一個角色是銀行作為RA，是CFCA 的證書審批機構(gòu)，是CFCA 認證服務的重要環(huán)節(jié)，CFCA 能是CA 系統(tǒng)安全運行的保障，為審核通過的用戶發(fā)放數(shù)字證書；第二個角色，銀行也是數(shù)字證書的使用者（例如操作人員證書及網(wǎng)絡證書等），從這個意義來講，銀行更應保管好自己證書的私鑰。這樣就可以向銀行提供信息不可否認的服務。比如，我國曾經(jīng)有一名銀行客戶，對自己的一筆網(wǎng)銀交易，產(chǎn)生了嚴重性的懷疑，不相信自己有進行過這樣的一筆交易。銀行通過其留下的電子簽名通過有效的技術分析，證明了有此筆交易。《電子簽名法》的實施，可以更好的保護銀行及用戶的權(quán)益。類似糾紛以后完全可以避免[3]。

3 結(jié)束語

相對于傳統(tǒng)單一的信息保密工作，網(wǎng)絡信息保密工作內(nèi)容更具多樣化，保密工作科技化含量更高，所以面對的工作對象更復雜，計算機信息保密技術包括了很多方面的內(nèi)容，如身份認證技術、傳輸加密技術、存儲加密技術、密鑰管理技術、工作人員保密的意識等，這些都是計算機網(wǎng)絡信息安全的保障。