計(jì)算機(jī)網(wǎng)絡(luò)安全中的信息保密技術(shù)研究

鄭 亮

（浙江廣播電視集團(tuán)，杭州 310005）

當(dāng)下，計(jì)算機(jī)網(wǎng)絡(luò)隨處可見，逐漸滲入到我們生活中，對我們?nèi)粘Ｉ钆c工作影響深刻。

計(jì)算機(jī)網(wǎng)絡(luò)不僅能極大的提高人們對信息處理的效率，還能增強(qiáng)信息傳播的速度，為人們的工作與生活提供了極大的便利。但也因計(jì)算機(jī)網(wǎng)絡(luò)具有開放性的特點(diǎn)，會(huì)有信息流失的風(fēng)險(xiǎn)，為人們的切身利益帶來了威脅，從而阻礙了社會(huì)健康的發(fā)展。因此加強(qiáng)信息保密技術(shù)，使計(jì)算機(jī)網(wǎng)絡(luò)信息安全得到保障，以充分發(fā)揮其優(yōu)勢，推動(dòng)社會(huì)健康向前發(fā)展。

1 信息保密技術(shù)的種類

隨著計(jì)算機(jī)的普及，計(jì)算機(jī)網(wǎng)絡(luò)安全不斷的受到威脅，計(jì)算機(jī)網(wǎng)絡(luò)安全問題也受到了社會(huì)的普遍關(guān)注。信息加密技術(shù)是保障計(jì)算機(jī)網(wǎng)絡(luò)安全的一種安全手段，它可提升信息的安全性、可靠性及穩(wěn)定性。其主要種類包括以下幾點(diǎn)：

（1）信息保密技術(shù)的身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)是網(wǎng)絡(luò)上對用戶身份確認(rèn)的重要手段，它是信息保密技術(shù)其中的一種。它是通過對用戶身份的核實(shí)，從而判定該用戶對將使用計(jì)算機(jī)是否有使用的權(quán)限。現(xiàn)如今，隨著身份認(rèn)證技術(shù)的發(fā)展，身份認(rèn)證除了有常用的指紋、口令的認(rèn)證方式，還有刷臉認(rèn)證技術(shù)，刷臉認(rèn)證技術(shù)是通過對人臉進(jìn)行識別的一種技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)使中，這個(gè)用戶身份可以是密碼、指紋、口令，也可以是人臉識別。當(dāng)用戶需要使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，必須要輸入自己的身份碼，只有這樣才能使用計(jì)算機(jī)網(wǎng)絡(luò)，身份碼是計(jì)算機(jī)網(wǎng)絡(luò)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的僅有憑證。所以用戶不僅要牢記自己的身份碼，更要保護(hù)好自己的身份碼。

（2）信息保密技術(shù)的數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是指在指定的用戶或網(wǎng)絡(luò)下，采用加密函數(shù)、加密鑰匙將明文信息轉(zhuǎn)變成毫無意義的密文，從接收方則以解密鑰鑰種解密函數(shù)將明文信息予以破解。它是發(fā)送方和接收方運(yùn)用一些特殊的信息進(jìn)行解密。

（3）信息保密技術(shù)的密鑰管理技術(shù)。所謂密鑰是加密算法，密鑰管理直接影響到網(wǎng)絡(luò)數(shù)據(jù)信息的加密安全性，所以黑客竊取的主要對象就是密鑰，通常密鑰存在于儲器、磁卡、磁盤等硬件上。密鑰管理主發(fā)是通過密鑰的保存及更換等環(huán)節(jié)上。密鑰技術(shù)包括對稱和非對稱兩種技術(shù)，對稱密鑰是指發(fā)送種接收兩端使用相同的密鑰，它的特點(diǎn)是數(shù)據(jù)的解密與加密是一樣的，只要密鑰在雙方都不被泄露，就能保證數(shù)據(jù)的安全，目前對稱加密技術(shù)主要運(yùn)用在電子郵件的的加密過程中，主要的對稱加密技術(shù)有DES和AES 等。非對稱密鑰它是由公開密鑰與保密密鑰組成，是指數(shù)據(jù)加密與解密的密鑰是不一樣的。其算法是1ISA 體制，非對稱密鑰較對稱密鑰更具可靠性與穩(wěn)定性。

（4）數(shù)字簽名技術(shù)。在現(xiàn)網(wǎng)絡(luò)環(huán)境下，經(jīng)常有發(fā)送方與接收方對信息內(nèi)容及有無收到或發(fā)送發(fā)生糾紛。而數(shù)字簽名技術(shù)可以有效的解決這些糾紛。數(shù)字簽字技術(shù)的主要原理是：作者在簽名進(jìn)程中使用私有密鑰，接收方或驗(yàn)證使用公開密鑰進(jìn)行，一般情來而言，公開密鑰是不能算出私有密鑰的，所發(fā)公開密鑰對私有密鑰的安全不會(huì)產(chǎn)生任何影響，所以能解決以上我糾紛。數(shù)字簽名說直白了，就是對需要傳送的數(shù)據(jù)用一個(gè)單向函數(shù)進(jìn)行處理產(chǎn)生中只有制作者才能識別的一段字串，而這個(gè)數(shù)字串可以用來證明數(shù)據(jù)的來源并可以核實(shí)數(shù)據(jù)是否發(fā)生了變化。在數(shù)據(jù)簽名中，私有密鑰是制作者才知道的私密值，而與它配對的公開密鑰是唯一的，并且存放在數(shù)字證書或公共數(shù)據(jù)中的，要用簽名人的秘密文件，需要相對應(yīng)的數(shù)字證書驗(yàn)證。

2 信息保密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

2.1 身份認(rèn)證技術(shù)在電子商務(wù)中的應(yīng)用

眾所周知，電子商務(wù)最大的特點(diǎn)是買賣雙方大都不會(huì)見而不可以進(jìn)行各種商務(wù)交易活動(dòng)，所發(fā)電子商務(wù)存在著各式各校報(bào)的風(fēng)險(xiǎn)尤其是網(wǎng)上支付領(lǐng)域。在諸多風(fēng)險(xiǎn)中，究其原因都是因?yàn)榈卿浢艽a或支付密碼泄露所造成的。一此公司和個(gè)人因密碼管理不善而受到網(wǎng)絡(luò)攻擊。在以往大多數(shù)的用戶都以簡單的數(shù)字、單詞，自己的生日等作為自己的支付密碼。據(jù)統(tǒng)計(jì)有85%的用戶在所有的網(wǎng)站上都是用有限的幾個(gè)甚至同一個(gè)密碼。這就使黑客有機(jī)可乘。而網(wǎng)絡(luò)身份認(rèn)證技術(shù)可以通過口令、指紋等方式進(jìn)得對用用戶身份進(jìn)行認(rèn)證。從而有效防止密碼被泄漏。身份認(rèn)證技術(shù)中口令技術(shù)對電子商務(wù)身份認(rèn)證系統(tǒng)的實(shí)現(xiàn)。

2.1.1 動(dòng)態(tài)口令系統(tǒng)實(shí)施步驟

（1）新用戶在注冊會(huì)員時(shí)，要求動(dòng)態(tài)口令服務(wù)[1]。

（2）新用戶資料被審核通過后，計(jì)算機(jī)網(wǎng)站可產(chǎn)生兩個(gè)隨機(jī)的整數(shù)（如18，22）作不密鑰，并且以密鑰KA1和KA2的形式存儲在數(shù)據(jù)庫中的用戶登錄信息表中。

（3）計(jì)算機(jī)網(wǎng)站可根據(jù)此用戶注冊時(shí)所產(chǎn)生的ID 和與其相對應(yīng)的密鑰KA1 和KA2 生成一個(gè)可執(zhí)行的EXE 文件，并且將ID 與密鑰發(fā)送給該用戶。用戶需要輸入正確的ID 和靜態(tài)密碼，才能夠登入網(wǎng)站，此時(shí)網(wǎng)站頁面顯示6位數(shù)的挑戰(zhàn)碼，用戶通過客戶端輸入這6位數(shù)的挑戰(zhàn)碼，就能得到8位數(shù)動(dòng)態(tài)口令。接著輸入正確的動(dòng)態(tài)口令就可以成功登錄。

2.1.2 對客戶端文件的發(fā)布方式

（1）對于一般小型的或者微利型的電子商務(wù)網(wǎng)站，我們可以將身份認(rèn)證軟件做成插件，用戶在網(wǎng)頁瀏覽時(shí)第一次安裝使用該插件后，以后都就可以反復(fù)使用。以此種方式生成的動(dòng)態(tài)口令，它的優(yōu)點(diǎn)是不成本低，不需要購置額外的硬件。但是由于插件中包括了生成動(dòng)態(tài)口令的密鑰算法，因此此生成的動(dòng)態(tài)口令機(jī)制很容易被黑客通過對軟件的跟蹤及其他方式攻破，所發(fā)安全性比較低。

（2）對于大型電子商務(wù)網(wǎng)站及銀行等成本的承受能力大的企業(yè)，這們可發(fā)采用安全性極高的電子令牌來對客戶進(jìn)行身份認(rèn)證，由于安全性高所以相應(yīng)的成本也會(huì)相應(yīng)提高。一個(gè)安全性高的令牌而要有電源、通信端口、輸入設(shè)備、CPU、存儲設(shè)備等，還要考慮互二進(jìn)制與十進(jìn)制互換的問題。因?yàn)樵O(shè)備是惟一性的，所以成本較高，當(dāng)然安全性也非常的高。

2.2 數(shù)據(jù)加密技術(shù)中嵌入式系統(tǒng)中的應(yīng)用

對于嵌入式系統(tǒng)而言，數(shù)據(jù)加密技術(shù)主要包含了用戶端與遠(yuǎn)程控制端兩個(gè)端口。遠(yuǎn)程控制端不只是上級部門，也有可能是產(chǎn)品各個(gè)銷售部門。遠(yuǎn)程控制則是采用密鑰加密處理相關(guān)文件機(jī)密性數(shù)據(jù)，將成為一系列密文數(shù)據(jù)，再以互聯(lián)網(wǎng)為渠道予以傳輸。密文數(shù)據(jù)傳輸?shù)皆O(shè)備所需單位，再由工作人員把這些密文數(shù)據(jù)傳輸?shù)角度胧皆O(shè)備中，設(shè)備再基于預(yù)先儲存的密鑰數(shù)據(jù)將各種密文轉(zhuǎn)變?yōu)槟軌驕?zhǔn)確識別的數(shù)據(jù)。最終遠(yuǎn)程控制端能夠真正控制設(shè)備。反過來而言，假設(shè)嵌入式設(shè)備中各種數(shù)據(jù)傳輸?shù)竭h(yuǎn)程控制端，它的事個(gè)過程是相同的，只是方向不同而已。

在設(shè)備試用實(shí)際情況中，遠(yuǎn)程控制端是實(shí)現(xiàn)密文數(shù)據(jù)產(chǎn)生的端口，“任務(wù)類型”定義了密文數(shù)據(jù)的具體功能，在實(shí)際操作中操作人只需在操作界面中輸入任務(wù)類型、用戶密碼、設(shè)備序列號等數(shù)據(jù)，然后點(diǎn)擊“創(chuàng)建文件”，隨之密文數(shù)據(jù)生成，最后將該密文數(shù)據(jù)以文件的方式通過互聯(lián)網(wǎng)傳送給用戶。當(dāng)用戶接收到該密文數(shù)據(jù)時(shí)，再把數(shù)據(jù)輸入到設(shè)備，設(shè)備按照存儲好的密鑰進(jìn)行數(shù)據(jù)解密后，判斷用戶密碼與設(shè)備是不與設(shè)備出廠定義一樣，如一樣就可以執(zhí)行密文數(shù)據(jù)定義的任務(wù)。通過以上的方法設(shè)備生產(chǎn)商就可以試用狀態(tài)的設(shè)備進(jìn)行遠(yuǎn)程控制。

2.3 密鑰管理技術(shù)的應(yīng)用

2.3.1 縱向管理

在縱向管理體系中，上級能夠解密下級加密文件，下級則無法解上級加密文件。對于這些加密文件，一般采取對稱密碼技術(shù)。企業(yè)管理層擁有企業(yè)官網(wǎng)賬戶及密鑰，可自由、隨時(shí)查看下屬文件。在此管理系統(tǒng)中，高層管理人員是不能直接得知間接下級的密鑰的，只能通過對自己直接的下屬的密鑰的知曉，再利用直接下屬的密鑰得到間接下屬的密鑰，從而解密間接下屬的文件。這樣的方法企業(yè)可以方便的增加或刪除相應(yīng)的用戶，并且企業(yè)網(wǎng)管修改密鑰和企業(yè)的管理關(guān)系也非常方便。

2.3.2 橫向管理

我們設(shè)定一個(gè)小組專用的密鑰給整個(gè)小組專用，組內(nèi)成員使用這個(gè)專用密鑰對我們加密的文件進(jìn)行解密查看。這個(gè)方法能夠保證組內(nèi)成員安全高效的查看，當(dāng)然也有一定的弊端。比如某一個(gè)成員它同時(shí)參與多個(gè)小組的活動(dòng)，那么他在查看不同文件時(shí)就需要不同的密鑰來進(jìn)行解密與加密。所以對于這樣的成員來講工作繁瑣且工作效率不高。密鑰管理的橫向性也可以按照會(huì)議密鑰管理類似的方式來進(jìn)行。每一次的合作項(xiàng)目就相當(dāng)于一次會(huì)議，具體方式如下：組內(nèi)成員數(shù)量位為A，每位成員的ID 為ID，公鑰為PK1個(gè)人私鑰為SK。那么小組成員需要對某一文件進(jìn)行加密處理，可以這樣設(shè)定：隨機(jī)選擇一個(gè)文件設(shè)定秘鑰為K；在數(shù)據(jù)庫中獲取小組內(nèi)成員的ID 和公鑰PK1；然后用PK1為秘鑰對文件加密并得到K1；然后使用所以成員的ID、K1和拉格朗日插值定理構(gòu)建出對應(yīng)的N-1次多項(xiàng)式，并在所需加密的文件中吧次多項(xiàng)式寫入，實(shí)現(xiàn)用文件加密密匙多我們需要的文件進(jìn)行加密。解密文件時(shí)，可以按照自己的ID1取得相應(yīng)的K 最后使用私鑰SK1對K1進(jìn)行解密。解密完成后就可以得到文件的密鑰K，使用K 又可以對文件解密。我們的這個(gè)操作流程對于不是組內(nèi)成員，想實(shí)現(xiàn)解密困難重重，文件的安全性就有保證。這對于會(huì)議應(yīng)用秘鑰的系統(tǒng)化管理過程和文件的下發(fā)保密管理有很好保障性。對于能夠閱覽此文件的人員組成特殊小組；上層管理者需要對文件檢查時(shí)直接使用管理者私有秘鑰并在借助系統(tǒng)設(shè)定的高級密鑰實(shí)現(xiàn)有效管理。高層的管理成員也能對文檔解密而不影響工作。

2.4 電子簽名在網(wǎng)銀的應(yīng)用

在銀行系統(tǒng)應(yīng)用中。簽名者用自己的簽名私鑰對信息及證據(jù)進(jìn)行簽名，因簽名證書和用戶的身份是綁定在一起的。所以可以通過簽名證書來鑒定用戶的簽名。這樣可以實(shí)現(xiàn)簽名的真實(shí)性、完整性及不可否認(rèn)性。信息的發(fā)送方可利用信息接受方密鑰來發(fā)送信息，而信息接收方則用自己本身所有私鑰對密鑰進(jìn)行解密，再利用會(huì)話秘鑰解密信息。這樣私密性就得以保證。使用電子簽名的前提是用戶的身份必須是真實(shí)可靠的。CFCA 在銀行通過設(shè)立RA 機(jī)來對用戶的身份進(jìn)行審核[2]。AR 系統(tǒng)分為兩層結(jié)構(gòu)，在商業(yè)銀行總行設(shè)置總部AR，而在支行和分行設(shè)置本地AR，銀行通過對用戶的帳戶等信息進(jìn)行審核，并符合審核的用戶信息安全的傳送到CFCA。對于CFCA 來說，銀行扮演了兩個(gè)角色，第一個(gè)角色是銀行作為RA，是CFCA 的證書審批機(jī)構(gòu)，是CFCA 認(rèn)證服務(wù)的重要環(huán)節(jié)，CFCA 能是CA 系統(tǒng)安全運(yùn)行的保障，為審核通過的用戶發(fā)放數(shù)字證書；第二個(gè)角色，銀行也是數(shù)字證書的使用者（例如操作人員證書及網(wǎng)絡(luò)證書等），從這個(gè)意義來講，銀行更應(yīng)保管好自己證書的私鑰。這樣就可以向銀行提供信息不可否認(rèn)的服務(wù)。比如，我國曾經(jīng)有一名銀行客戶，對自己的一筆網(wǎng)銀交易，產(chǎn)生了嚴(yán)重性的懷疑，不相信自己有進(jìn)行過這樣的一筆交易。銀行通過其留下的電子簽名通過有效的技術(shù)分析，證明了有此筆交易?！峨娮雍灻ā返膶?shí)施，可以更好的保護(hù)銀行及用戶的權(quán)益。類似糾紛以后完全可以避免[3]。

3 結(jié)束語

相對于傳統(tǒng)單一的信息保密工作，網(wǎng)絡(luò)信息保密工作內(nèi)容更具多樣化，保密工作科技化含量更高，所以面對的工作對象更復(fù)雜，計(jì)算機(jī)信息保密技術(shù)包括了很多方面的內(nèi)容，如身份認(rèn)證技術(shù)、傳輸加密技術(shù)、存儲加密技術(shù)、密鑰管理技術(shù)、工作人員保密的意識等，這些都是計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保障。