基于網絡安全視域看數據加密技術的應用

◆陳一霄

基于網絡安全視域看數據加密技術的應用

◆陳一霄

（廈門華廈學院 福建 361024）

互聯網技術正在快速發展，信息技術的升級便利了人們的資訊，但也產生了很多的安全問題。在信息數據保密性越發重要的當下，網絡安全是信息技術長遠發展的基礎條件。數據加密技術是信息安全技術中最常見的網絡保護手段之一，在各個領域中都得到了廣泛運用。本文基于安全視域對加密技術展開分析，探討了加密技術中存在的不安全因素以及數據易被破譯等問題，提出相關的優化建議，以增強數據保密性和安全性。

互聯網；數據加密技術；安全應用

互聯網技術的飛速發展極大地改變了當下的社會形態，隨著大眾對互聯網的依賴程度加深，網絡中的安全問題也越來越得到人們的關注。當前網絡中主要通過竊取、篡改、傳播等方式造成安全問題，常用的數據保護方式是信息加密，但因為網域的復雜性，加密技術也存在被破譯的風險，所以對于加密技術而言還需持續改進，以確保網絡通信的安全性。

1 加密技術的類型和缺陷

（1）口令認證

傳統的認證技術重點采取基于口令的認證策略，其原理是依靠開啟系統的時候用戶進一步輸入ID以及PW，系統把用戶輸入的相關信息以及用戶信息深入、有效開展對比，進而對用戶的身份進行有效、合理判斷。這類認證策略的核心優勢就是：系統如Windows NT、UNIX等都提供了對口令認證的相關支持，針對小型系統來講是一種可行以及簡單的策略?？墒且驗橛脩粢话銜x取和自己個人情況相關的信息作為口令，導致這種技術的變得非常不安全。借助于明文的方式在網絡上進一步傳輸口令，導致攻擊人員極易借助于搭線竊聽進一步獲得用戶的相關口令；此外，攻擊人員也許會憑借系統漏洞對用戶口令文件進行獲得以及破解，就嚴重影響了整個系統的有效性以及安全性。要想提升這項技術的安全性，一般借助于密碼算法對口令實施加密保存以及傳輸，并不能有效抵抗假冒攻擊[1]。

（2）物理認證

除口令認證外，另一種常用的保密方式是物理證件，物理認證的媒介包括智能卡以及USB Key等。智能卡進一步具備硬件加密這一功能，具有極高的安全性。智能卡背景下的用戶身份認證方式將用戶所擁有以及用戶所知進行了充分聯系，物理證件里面包含了用戶信息（ID，PW），AS種具有某個由用戶提前選取的隨機數。用戶對系統相關資源進行有效訪問的時候，用戶輸入（ID，PW）。系統首先對智能卡的有效性以及合法性進行判斷，接著由智能卡對用戶身份進行有效鑒別，如果用戶的身份合法，然后把智能卡里面的隨機數發送至AS開展深入認證[2]。

這類認證方式不能對數據進行讀取以及偽造。如果不具備物理證件，就無法對系統相關資源進行有效訪問，盡管丟失了物理證件，入侵人員還是需要對用戶口令進行猜測。物理證件進一步提供了硬件保護策略以及加密算法，能夠憑借這些作用進一步提升有效性以及安全性，比如，能夠將物理證件有效設置為某個秘密信息，進而避免信息的不斷泄漏。這種認證方式屬于一種雙因子的認證方式，盡管物理設備或者PIN被別人竊取，依舊不能冒充用戶。與口令認證策略相比，雙因子認證擴增了一個認證基本要素，攻擊人員只獲得了用戶的物理設備或者相關口令，都不能進一步通過系統的有效認證。于是，與基于口令的認證策略相比，這種策略的安全性更高，對口令認證策略里面的前三個問題進行了有效解決，可是這類方式還是無法對口令猜測的攻擊進行有效抵御。

（3）硬件認證

最后一種方式為硬件信息認證，此種認證仍是以公鑰密碼機制為基礎的。其大致的假定如下：以固定用戶為例，他們所使用的計算機通常是比較固定的，因此，可通過識別此臺計算機，并對當時使用這臺機子的用戶進行識別，從而完成對用戶的遠程認證操作。值得注意的是在共用計算機里原則上是不允許進行任何涉及個人機密的操作，否則將無法保障信息的安全性。在遠程認證中的重難點是如何對計算機的唯一硬件特征予以識別。目前，市面上的網卡均對應有一個MAC地址，該地址是全球唯一的，因此，網卡生產廠家需遵守相關統一要求，為所制造的網卡按統一分配原則對其配備對應的MAC地址。同理，關于硬盤、主板、CPU等其他計算機零部件也有著相關協議與規范。將上述參數合起來就能獲得一個硬件標識號碼，在世界上具有唯一性[3]。但是在該認證模式中，用戶需在執行認證行為前開始認證的另一個過程，要求用戶輸入自己的PIN碼，之后認證過程才會被啟動。如此就能采用計算機硬件特征值與用戶口令聯合應用于識別環節。這種認證非?？?，因為并未涉及作廢列表查詢更新等問題。此外，在確認用戶身份的時候安全性也較好，該認證系統屬于相對獨立的系統，實現也較為容易，能夠很輕松地與現有網絡體系相整合，因此，可輕松融入現有的業務及網絡系統中。

2 加密優化建議

（1）算法改進

網絡通信技術近年來發展迅速，與此同時，電腦硬件技術也日益完善，網絡購物、電子商務、網上銀行等得到了大量應用，讓公眾的生活更加便捷豐富。然而網絡信息安全問題也尤為突出，除了黑客入侵外，網上數據被泄露、篡改、病毒傳播、計算機犯罪等問題也很普遍。從國家安全層面分析，信息安全屬于重要的構成要素，事關國家的整體發展與長遠利益。密碼技術屬于信息安全領域中的核心技術，受到了廣泛的關注。隨著公眾對網絡信息安全問題的日益關注，網絡安全技術發展也有所加快，相關密碼技術亦日趨完善。在密碼技術中核心要素就是密鑰，按照密鑰的不同密碼學將其分為兩種，包括公開密鑰密碼系統與對稱密鑰密碼系統。

通過分析采用對稱密鑰的密碼系統可知，其加密與解密均運用的是同一密鑰，因此，其加密、解密速度都很迅速，而且密鑰短、破譯難度大。公開密鑰密碼系統具備較高的安全性，且密鑰管理更簡單。不過其不足之處在于密鑰過長，運算速度明顯慢于對稱算法，一對公私鑰通常是同時形成的，這需要的時間是數分鐘。這對于有大量用戶的系統來說，顯然服務器的運行速度較低。

通過分析公開密鑰與對稱密鑰二者的密碼算法，綜合考慮二者的優缺點，加之現代密碼分析技術對加密算法提出了更高的要求。加密技術的優化需從EKE（加密的密鑰交換）協議進行相關改進與優化，在基于橢圓曲線公開密鑰加密算法的基礎上引用AES對稱密鑰加密算法以提高信息的安全性能。由服務器端負責接收用戶的密鑰，而用戶端可給出自身的橢圓曲線密鑰對，從而極大提升了整個系統的運行效率。鑒于通過網絡傳輸的數據量極為龐大，在加密處理時選擇AES對稱密碼算法，密碼長度為256bit，此密碼算法中涉及的加密密鑰則是基于橢圓曲線公開密鑰加密算法，密碼長度為2048bit。這不僅能確保數據信息的安全性，而且也讓數據加密與解密速度明顯提高，從而符合數據傳輸的安全、迅速需求。

（2）EKE協議改進

EKE中文為加密密鑰交換協議，此協議的設計者包括Steve Bellovin和Michael Merrit，同時運用公開與對稱密鑰密碼為互聯網數據安全性提供保障，而且也提供了鑒別服務。對于加密系統，加密算法和密鑰管理是關鍵點。密碼算法是規則和公式，用于指定如何在密文之間進行轉換。由于密碼系統的重復使用，僅使用加密算法不能保證信息的安全性。實際上，加密信息的安全性應集中在密鑰的安全性管理上。對于加密和解密算法，密鑰信息的存儲、傳輸和生成特別重要。特別是，當多個用戶共享一臺計算機時，如果用戶沒有進行有效的密鑰管理，就無法保證密碼系統安全性。

在此系統中，必須先分發服務器公鑰，然后才能與客戶端和服務器進行正式通信，并由服務器端應用程序主動生成，然后以公共方式分發給所有用戶。用戶獲取服務器公鑰，將其存儲在自己的密鑰文件夾中，然后使用設備完成服務器并傳輸機密信息。在文件打包模塊對打包文件進行加密之前，將生成一個隨機的256位文件加密密碼，并將文件ID號、文件密碼和相關信息寫入服務器的文件信息數據庫。服務器端程序可以有效地維護數據庫中的文件信息。如果客戶端上的合法用戶通過驗證，則可以將該用戶的權限作為查詢文件信息數據庫中文件密碼的標準，權限越高，文件密碼的權限越高，權限最高的用戶可以獲得所有文件密碼。為了在此系統上正確解密加密的文件，必須首先在服務器上生成一個初始密碼和用戶名，并且服務器端應用程序的用戶管理模塊必須實現每個功能，并且用戶管理模塊會將用戶發送到用戶信息數據庫。合法用戶可以向客戶端應用程序的服務器提交密碼更改請求，服務器在確認后在用戶數據庫中輸入新的密碼。在解密文件的過程中，用戶向服務器查詢文件密碼，服務器可以確定用戶的權限是否緊隨文件的權限，并提供文件密碼。通過合法認證后，用戶可以使用橢圓曲線加密系統與服務器通信。服務器應用程序生成并管理服務器的私鑰和公用密鑰，并從合法用戶那里接受用戶的公用密鑰。它使用用戶的公鑰加密和傳輸信息，并在使用服務器的私鑰接收信息的過程中解密信息。客戶端應用程序管理用戶的公鑰和私鑰，并將用戶的公鑰發送到服務器。在發送和接收信息的過程中，服務器的公鑰用于加密和解密私鑰。該系統使用ECC公鑰算法來促進服務器和用戶的雙向身份驗證和數字簽名。

3 結語

現階段，計算機技術發展迅速，并在數學領域取得了突破，在這種情況下，加密算法得到了快速發展，對數據存儲以及安全保密信息傳輸的需求量不斷增加。在現階段，實際應用中仍然主要通過對稱加密技術來處理大量信息，但是短密鑰難以保證信息的安全性。如何有效地提高加密密鑰的安全性而不影響運算速度是加密算法的主要研究內容。加密技術的優化需從算法和EKE協議展開，只有對這兩部分進行有效強化，就能有效加強互聯網與通信的保密性與安全性。

[1]駱兵.計算機網絡信息安全中防火墻技術的有效運用分析[J].信息與電腦，2016（9）：193-194.

[2]金銀鵬.淺析計算機網絡安全與防火墻技術[J].電腦知識與技術，2018（3）：33-34.

[3]秦葉威.關于計算機網絡安全中的防火墻技術應用研究[J].數字化用戶，2018，24.