網絡通信安全時代數據加密技術的應用

裴晨思

（河南省兒童醫院信息科，河南 鄭州 450000）

0 引 言

在網絡通信時代，信息安全問題不僅是推動醫療信息化、電子商務、電子政務、互聯網以及物聯網等迅速發展的關鍵所在，而且直接涉及社會公共安全與國家安全，關乎國家的重大利益。因此，積極研究與應用各類網絡通信安全技術，是當今社會與時代發展的迫切需要。目前，網絡通信安全涉及多項技術與知識應用，數據加密技術是其中一個非常重要的組成部分，也是整個網絡通信安全體系的理論基礎與實踐應用基礎。近年來，隨著信息安全問題日益突出，數據加密技術的重要性越發凸顯，并在我國經濟、政治、醫療、衛生和軍事等信息安全領域中有著深入的應用與發展，醫院加強網絡通信安全建設也日趨重要。

1 數據加密技術的概念與原理

1.1 基礎概念

在密碼學中，加密的基本思想是通過各種偽裝的方式來達到信息保密的目的。而數據加密技術起源于密碼學，是指借助各種加密算法，將明文信息（Plaintext）進行函數轉換為密文（Ciphertext）信息，再將密文信息進行網絡傳輸或歸檔存儲，而只有通過特定接受方式才能進行解密還原為明文的技術過程[1]。

1.2 基本原理

當前對網絡通信安全問題的主要解決方案之一，就是采用數據加密技術。根據其基本原理的不同，數據加密技術主要分為以下3類。一是密鑰加密。這種技術使用單一的密鑰加密、解密信息，也可視為傳統密碼技術的演變。二是公鑰加密。這種技術使用2個密鑰，分別用于加密與解密信息。三是單向函數。這種技術是利用數學函數的方式，對明文信息進行加密轉換，并對原始信息進行簽名標記。

綜合而言，數據加密技術的基本原理是利用各種加密算法或加密技術，使明文信息轉化為密文信息的過程，最終再通過解密技術轉化為明文信息。在整個技術應用過程中，即使發生信息泄露或數據被非法截取的事件，非授權者也無法理解密文信息的真正含義，無法對有效密文信息進行偽造篡改，從而達到保證網絡通信安全與通信數據真實性、完整性的目的。

2 數據加密技術的算法應用

數據加密的技術實現過程借助了各種加密算法。而根據各加密算法的技術原理不同，常見的數據加密算法可細分為對稱加密、非對稱加密和混合加密3種[2]。

2.1 對稱加密算法

對稱加密算法常被稱為專用密鑰加密算法，是指網絡通信數據的發送方、接收方都采用同樣的密鑰算法（共享密鑰），對明文信息進行加密轉換與解密運算，如圖1所示。其常見算法類型包括DES分組算法、IDEA分組算法、FEAL分組算法和BLOWFISH序列密碼算法等。

圖1 對稱加密技術的數據傳輸過程圖

對稱加密算法的優點是采用共享密鑰算法，其算法通常較為簡單，對網絡平臺和相關系統的資源占用量較少，對系統性能影響也較小，因此往往適用于大量數據的加密解密工作。其缺點是由于網絡通信數據發送方和接收方都采用了同樣密鑰算法，在網絡條件中存在一定的不安全性，必須保證共享密鑰的安全性[3]。

2.2 非對稱加密算法

非對稱加密算法被稱為公開密鑰加密算法，是指在信息加密過程中采用“公用密鑰”和“私有密鑰”2個密鑰算法，發送方和接收方只有采用相應的公有密鑰和私有密鑰，才能進行加密和解密，從而保證發送方和接收方的真實身份[4]，如圖2所示。其常見算法類型包括RSA公鑰加密算法、HD公鑰加密算法以及ECC曲線加密算法等。

圖2 非對稱加密技術的數據傳輸過程圖

非對稱加密算法的優點是網絡通信的雙方不需要進行密鑰交換，保證了算法的私密性。其缺點是相比對稱加密算法，其數據加密和解密的速度較慢，占用系統資源較多。因此，非對稱加密算法常被用于數據量較小，或必須保證數據完整性、不可否認性的加密服務。

2.3 混合加密算法

混合加密算法，常被稱為電子信封（Envelope）算法，是充分利用對稱加密和非對稱加密2種算法的優點，克服其缺點，以減少對系統資源占用，并解決每次通信傳送需更換密鑰問題所提出的新型加密算法。

在通信數據傳輸過程中，發送方利用該算法自動生成對稱密鑰，而接收方用其密鑰解密得到的對稱密鑰進行密文信息的解讀。這樣就可以保證每次數據傳輸都可以由發送方來選定不同的密鑰，以更好地保障數據通信的安全性，并能有效解決系統運算問題和密鑰分配管理問題。

3 數據加密技術在醫院網絡通信體系中的實踐應用

3.1 醫院網絡通信體系的安全需求

20世紀80年代初，國際標準化組織（ISO）討論并制定了“網絡開放系統互連體系結構模型”。該模型允許開放系統網絡，被看作是在邏輯上由若干順序的層組成的。以醫院的網絡通信體系為例，其ISO體系結構可大致分為4個層級，分別為鏈路層、網絡層、傳輸層和應用層。

因此，保證醫院網絡通信的安全，即是指在醫院網絡體系中的鏈路層、網絡層、傳輸層及應用層均分別采取相應的安全保密措施，來保障其通信的安全與保密性能。由于各層的功能特性和安全特性不同，在各層需要提供不同的安全機制和數據加密服務，所采用的網絡安全措施與保密措施也各不相同。醫院網絡通信體系中各層級的安全服務需求，詳見表1。

表1 網絡通信體系中各層的安全需求

由于醫院網絡通信體系的安全互連是在鏈路層、網絡層、傳輸層及應用層中通過不同協議來實現的，這些協議專門用來保障醫院網絡各個層次的安全。安全協議的建立和完善是網絡通信安全保密體系走上規范化、標準化道路的基本因素。完善的醫院網絡通信安全體系，至少要實現加密機制、驗證機制和完整性保護機制，這便需要在醫院網絡通信體系的各層級中采用相應的數據加密技術。

3.2 數據加密技術在鏈路層中的具體應用

數據加密技術在醫院網絡鏈路層中的應用目的是保證網絡鏈路中傳輸的數據不被非法用戶所偷竊與修改。具體措施是通過設置鏈路數據加密設備，以實現對數據實施加密保護。其主要是對所有用戶數據和通信協議一起加密，用戶數據通過通信線路到達另一節點后解密。

通常，要求在醫院網絡每個節點的標準物理層接口處，均應配置一定數量的鏈路加密設備或鏈路解密設備。

3.3 數據加密技術在網絡層中的具體應用

數據加密技術在醫院網絡層中的應用目的主要是將醫院各系統設備中所發送的數據安全、完整地傳遞給接收方。在醫院通信網絡體系中，由于網絡層位于傳送方到接收方數據傳輸的最底層，其通信的密鑰子網的數量、類型和拓撲結構對于傳輸層來說是隱蔽的。

在實踐應用中，醫院網絡層的數據加密，通常配置一定數量的加密設備位于醫院網絡層發送方與接收方的兩端，并設置合理的加密保護協議，用于明文信息向密文信息的合理轉化。

3.4 數據加密技術在傳輸層中的具體應用

醫院通信網絡體系的傳輸層處于通信子網和資源子網之間，起著承上啟下的作用。數據加密技術在傳輸層中的應用，可以實現進程到進程的安全通信，該層典型的保密協議應用包括SSL（安全套接層協議）和TS（傳輸層安全協議），其提供了客戶機與服務器之間的安全保密、可靠連接，指定了在應用程序協議（如Http、Telnet、NNTP、FTP）和TCPP之間提供數據安全性分層的機制，并為TCPP連接提供了數據加密、服務器認證、消息完整性以及可選的客戶機認證。這種技術實現了基于進程對進程的安全服務和加密傳輸。通常采用公鑰體制身份認證，容易實現且有較高的安全強度。

另外，在實踐應用中，醫院傳輸層可支持對等實體認證服務、訪問控制服務、數據保密服務、數據完整性服務及數據源點認證服務等多種安全保密服務。傳輸層保密機制的優點是與下層的鏈路層和網絡層通信協議無關，只與端系統有關。

3.5 數據加密技術在應用層中的具體應用

應用層是醫院ISO結構模式的最高層，其借助應用實體、應用協議和表示服務交換信息，允許應用程序通過網絡進行互操作。

數據加密技術在醫院應用層中的應用，通常涉及與相應層的軟件相互作用。這些軟件對不同的計算機結構和通信系統是不同的，因而必須針對不同的系統，通過軟件自身或特殊的硬件加密設備進行加密。另外，應用層保密技術的應用，通常通過使用訪問控制鑒別與認證、數據完整性、數據保密性、數據可用性、禁止否認和審計等各種各樣的保密服務來實現。

4 結 論

近年來，由密碼學發展而來的數據加密技術，被廣泛應用于醫療、軍事、政治以及經濟領域，構成了整個網絡通信安全技術體系的理論基礎。特別是隨著計算機及網絡使用的日益深入和廣泛，數據加密技術的重要性越來越突出，將其運用于醫院能有效提升醫院管理水平。在計算機安全系統中，很大一部分依賴于數據加密技術，其基本思想就是偽裝信息，即對數據進行一組可逆的數學變換。因此，加強對數據加密技術的算法、協議及實踐應用的深入研究和分析，能進一步推動我國醫療衛生、電子商務、電子政務迅速發展。對于醫院而言，全面做好數據加密工作，切實保證醫院信息系統安全，確保系統處于安全通暢的運行狀態，可大大提升醫院的管理水平、運營水平。