網(wǎng)絡(luò)加密技術(shù)淺探

許紅

（寧陽縣國土資源局，山東 寧陽 271400）

1 加密技術(shù)在現(xiàn)實(shí)中的重要意義

1.1 加密的概念

數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取的目的。其逆過程為解密，即將該編碼信息轉(zhuǎn)化為原來數(shù)據(jù)的過程。

1.2 加密的理由

當(dāng)今網(wǎng)絡(luò)社會(huì)選擇加密已是必然，一是我們知道在互聯(lián)網(wǎng)上進(jìn)行文件傳輸、商務(wù)往來存在許多不安全因素，特別是對于一些大公司和一些機(jī)密文件在網(wǎng)絡(luò)上傳輸。這種不安全性是互聯(lián)網(wǎng)存在基礎(chǔ)——TCP/IP協(xié)議所固有的；另一方面，互聯(lián)網(wǎng)給眾多的商家?guī)砹藷o限的商機(jī)，互聯(lián)網(wǎng)把全世界連在了一起，走向互聯(lián)網(wǎng)就意味著走向了世界。為了能在安全的基礎(chǔ)上大開這通向世界之門，我們選擇了數(shù)據(jù)加密和基于加密技術(shù)的數(shù)字簽名。

1.3 加密在網(wǎng)絡(luò)上的作用

加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。一個(gè)簡單的例子就是密碼的傳輸，計(jì)算機(jī)密碼極為重要，許多安全防護(hù)體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。通過網(wǎng)絡(luò)進(jìn)行登錄時(shí)，所鍵入的密碼以明文的形式被傳輸?shù)椒?wù)器，而網(wǎng)絡(luò)上的竊聽是一件極為容易的事情，所以黑客很可能會(huì)竊取用戶的密碼，后果是極為嚴(yán)重的。

如果你公司在進(jìn)行著某個(gè)招標(biāo)項(xiàng)目的投標(biāo)工作，工作人員通過電子郵件的方式把他們單位的標(biāo)書發(fā)給招標(biāo)單位，如果此時(shí)有另一位競爭對手從網(wǎng)絡(luò)上竊取到你公司的標(biāo)書，從中知道你公司投標(biāo)的標(biāo)的，那后果將是不堪設(shè)想的。

這樣的例子實(shí)在是太多了，解決上述難題的方案就是加密，加密后的口令即使被黑客獲得也是不可讀的，加密后的標(biāo)書沒有收件人的私鑰也就無法解開，標(biāo)書成為一大堆無任何實(shí)際意義的亂碼。總之在某種意義上來說加密也成為當(dāng)今網(wǎng)絡(luò)社會(huì)進(jìn)行文件或郵件安全傳輸?shù)臅r(shí)代象征！

1.4 數(shù)字簽名技術(shù)

數(shù)字簽名就是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實(shí)的。應(yīng)用最多的還是電子郵件，如當(dāng)用戶收到一封電子郵件時(shí)，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會(huì)簡單地認(rèn)為發(fā)信人就是信上說明的那個(gè)人，但實(shí)際上偽造一封電子郵件對于一個(gè)通常人來說是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來確認(rèn)發(fā)信人身份的真實(shí)性。

類似數(shù)字簽名技術(shù)的還有一種身份認(rèn)證技術(shù)，有些站點(diǎn)提供入站FTP和WWW服務(wù)，當(dāng)然用戶通常接觸的這類服務(wù)是匿名服務(wù)，用戶的權(quán)力要受到限制，但也有的這類服務(wù)不是匿名的，如某公司為了信息交流提供用戶的合作伙伴非匿名的FTP服務(wù)，或開發(fā)小組把他們的Web網(wǎng)頁上載到用戶的WWW服務(wù)器上，現(xiàn)在的問題就是，用戶如何確定正在訪問用戶的服務(wù)器的人就是用戶認(rèn)為的那個(gè)人，身份認(rèn)證技術(shù)就是一個(gè)好的解決方案。

2 加密技術(shù)的具體操作

2.1 兩種加密方法

加密技術(shù)通常分為兩大類:“對稱式”和“非對稱式”。一是對稱式加密，就是加密和解密使用同一個(gè)密鑰，通常稱之為“Session Key”這種加密技術(shù)目前被廣泛采用，如美國政府所采用的DES加密標(biāo)準(zhǔn)就是一種典型的“對稱式”加密法。二是非對稱式加密。就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱為“公鑰”和“私鑰”，它們兩個(gè)必需配對使用。

2.2 密鑰的管理

密鑰既然要求保密，這就涉及到管理問題，管理不好，密鑰同樣可能被泄露，并不是有了密鑰就高枕無憂。要管理好密鑰我們要注意以下幾個(gè)方面:

一是密鑰的使用要注意時(shí)效和次數(shù)

一般強(qiáng)調(diào)僅將一個(gè)對話密鑰用于一條信息中或一次對話中，或者建立一種按時(shí)更換密鑰的機(jī)制以減小密鑰暴露的可能性。

二是多密鑰的管理

Kerberos提供了一種解決這個(gè)較好方案，它是由MIT發(fā)明的，使保密密鑰的管理和分發(fā)變得十分容易。為能在因特網(wǎng)上提供一個(gè)實(shí)用的解決方案，Kerberos建立了一個(gè)密鑰分發(fā)中心（KDC），每個(gè)用戶只要知道一個(gè)和KDC進(jìn)行會(huì)話的密鑰就可以了，而不需要知道成百上千個(gè)不同的密鑰。

2.3 數(shù)據(jù)加密的標(biāo)準(zhǔn)

最著名的保密密鑰加密算法DES是由IBM公司在70年代發(fā)展起來的，于1976年11月被美國政府采用，DES隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會(huì)承認(rèn)。DES使用56位密鑰對64位的數(shù)據(jù)塊進(jìn)行加密，并對64位的數(shù)據(jù)塊進(jìn)行16輪編碼。與每輪編碼時(shí)，一個(gè)48位的“每輪”密鑰值由56位的完整密鑰得出來。最初，人們要耗資兩千萬美元才能建成一個(gè)專門計(jì)算機(jī)用于DES的解密，而且需要12個(gè)小時(shí)的破解才能得到結(jié)果。當(dāng)時(shí)DES被認(rèn)為是一種十分強(qiáng)大的加密方法。目前則只需十萬美元左右，用它來保護(hù)銀行，顯然是不夠保險(xiǎn)了。如果只用它來保護(hù)一臺(tái)普通服務(wù)器，仍是一種好辦法。

另一種非常著名的加密算法就是RSA，RSA是基于大數(shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。簡單地說就是找兩個(gè)很大的質(zhì)數(shù)，一個(gè)對外公開的為“公鑰”（Prblic key），另一個(gè)不告訴任何人，稱為“私鑰”（Private key）。這兩個(gè)密鑰是互補(bǔ)的，也就是說用公鑰加密的密文可以用私鑰解密，反過來也一樣。

3 加密技術(shù)的應(yīng)用

加密技術(shù)最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。

電子商務(wù)（E-business）要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng)，不必?fù)?dān)心自己的信用卡會(huì)被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進(jìn)行付款?，F(xiàn)在人們開始用RSA的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>

SSL3.0用一種電子證書（electric certificate）來實(shí)行身份進(jìn)行驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。它同時(shí)使用“對稱”和“非對稱”加密方法，在客戶與電子商務(wù)的服務(wù)器進(jìn)行溝通的過程中，客戶會(huì)產(chǎn)生一個(gè)Session Key，然后客戶用服務(wù)器端的公鑰將Session Key進(jìn)行加密，再傳給服務(wù)器端，在雙方都知道Session Key后，傳輸?shù)臄?shù)據(jù)都是以Session Key進(jìn)行加密與解密的，但服務(wù)器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機(jī)關(guān)申請，以得到公證。

基于SSL3.0提供的安全保障，用戶就可以自由訂購商品并且給出信用卡號了，也可以在網(wǎng)上和合作伙伴交流商業(yè)信息并且讓供應(yīng)商把訂單和收貨單從網(wǎng)上發(fā)過來，這樣可以節(jié)省大量的紙張、電話和傳真費(fèi)用。

現(xiàn)在，越多越多的公司走向國際化，一個(gè)公司可能在多個(gè)國家都有辦事機(jī)構(gòu)，每一個(gè)機(jī)構(gòu)都有自己的局域網(wǎng)，但在當(dāng)今的網(wǎng)絡(luò)社會(huì)人們的要求不僅如此，用戶希望將這些LAN連結(jié)在一起組成一個(gè)廣域網(wǎng)?，F(xiàn)在具有加密/解密功能的路由器使人們通過互聯(lián)網(wǎng)連接這些局域網(wǎng)成為可能，這就是我們通常所說的虛擬專用網(wǎng)（VPN）。當(dāng)數(shù)據(jù)離開發(fā)送者所在的局域網(wǎng)時(shí)，該數(shù)據(jù)首先被用戶湍連接到互聯(lián)網(wǎng)上的路由器進(jìn)行硬件加密，數(shù)據(jù)在互聯(lián)網(wǎng)上是以加密的形式傳送的，當(dāng)達(dá)到目的LAN的路由器時(shí)，該路由器就會(huì)對數(shù)據(jù)進(jìn)行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

21世紀(jì)人類步入信息社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國加密技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索。本文就加密的概念、方法和應(yīng)用進(jìn)行了粗淺的分析，以便拋磚引玉，與對加密技術(shù)有興趣的同仁共同探討，共同推動(dòng)我國信息技術(shù)事業(yè)的高速發(fā)展。

[1]胡向東，魏琴芳.應(yīng)用密碼學(xué)教程[M].北京:電子工業(yè)出版社，2005-1.

[2]馮登國.國內(nèi)外密碼學(xué)研究現(xiàn)狀及發(fā)展趨勢.