偽隨機(jī)可變密鑰透明加解密技術(shù)的應(yīng)用研究

◆孫彩鋒

加解密技術(shù)

偽隨機(jī)可變密鑰透明加解密技術(shù)的應(yīng)用研究

◆孫彩鋒

（山西大同大學(xué)物理與電子科學(xué)學(xué)院 山西 037009）

科學(xué)技術(shù)的進(jìn)步推動(dòng)了互聯(lián)網(wǎng)技術(shù)的迅速更新，使得數(shù)字化文件的應(yīng)用越來越廣泛，資料的處理基本都利用計(jì)算機(jī)技術(shù)，在這樣的背景之下，人們對(duì)隱私數(shù)據(jù)和核心機(jī)密數(shù)據(jù)的保護(hù)意識(shí)也日益增強(qiáng)，信息安全問題成為當(dāng)下急需解決的問題。本文先是對(duì)研究背景和意義進(jìn)行了概述，接著介紹了偽隨機(jī)可變密鑰透明加解密模型，最后對(duì)偽隨機(jī)可變密鑰透明加解密技術(shù)的優(yōu)越性進(jìn)行了闡述。希望本文的論述能為其他學(xué)者對(duì)于偽隨機(jī)可變密鑰透明加解密技術(shù)的應(yīng)用研究提供有益借鑒。

偽隨機(jī)序列；可變密鑰；透明加解密；應(yīng)用研究

偽隨機(jī)可變密鑰透明加解密技術(shù)系統(tǒng)，主要就是用來保護(hù)企業(yè)或個(gè)人的重要加密數(shù)據(jù)的，該系統(tǒng)具有很好的擴(kuò)展性和可移植性，能夠快速找回丟失的數(shù)據(jù)，同時(shí)可以對(duì)一些非法侵犯行為起到一定的預(yù)防作用，降低了機(jī)密文件被竊取的可能性。

1 研究工作的背景與意義

由于數(shù)字時(shí)代的到來，網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的應(yīng)用已經(jīng)普及到了各行各業(yè)，幾乎所有的資料都會(huì)通過電腦來進(jìn)行編輯、修改和查閱，并利用互聯(lián)網(wǎng)技術(shù)對(duì)其進(jìn)行傳輸[1]。然而多數(shù)企業(yè)為了數(shù)據(jù)傳輸?shù)谋憷?，大都不加密地直接存在公共?jì)算機(jī)中，忽略了對(duì)信息安全性的管控，極易造成數(shù)據(jù)丟失和信息泄露，給企業(yè)帶來巨大的損失。

1.1 計(jì)算機(jī)網(wǎng)絡(luò)通信安全影響因素

據(jù)有關(guān)機(jī)構(gòu)的調(diào)查顯示，目前國(guó)內(nèi)多數(shù)公司都是利用Windows操作系統(tǒng)來進(jìn)行辦公的，絕大多數(shù)的企業(yè)都沒有對(duì)電子文件數(shù)據(jù)采取相應(yīng)的保護(hù)措施，造成了多起數(shù)據(jù)泄密事件。所以，保證資料的安全性，防止機(jī)密文檔被黑客竊取已經(jīng)成為目前計(jì)算機(jī)領(lǐng)域的重點(diǎn)研究方向，當(dāng)今時(shí)代對(duì)計(jì)算機(jī)上的資料造成危害的原因主要有以下三個(gè)方面：（1）計(jì)算機(jī)病毒，計(jì)算機(jī)病毒是造成網(wǎng)絡(luò)通信安全隱患的主要因素，病毒會(huì)對(duì)計(jì)算機(jī)的正常運(yùn)行功能進(jìn)行破壞，使計(jì)算機(jī)的運(yùn)行代碼受到影響。同時(shí)，病毒還會(huì)不斷復(fù)制被破壞的代碼，使整個(gè)計(jì)算機(jī)的運(yùn)行系統(tǒng)陷入癱瘓。例如紅色結(jié)束符、熊貓燒香、宏病毒等等都是常見的計(jì)算機(jī)病毒[2]；（2）網(wǎng)絡(luò)漏洞，在網(wǎng)絡(luò)運(yùn)行過程中，一旦出現(xiàn)漏洞，不僅會(huì)影響到各類數(shù)據(jù)的傳播速度，還會(huì)提升數(shù)據(jù)信息被竊取的概率[3]；（3）黑客攻擊，黑客入侵因素主要指的是非法人員針對(duì)計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，他們會(huì)以特有的方式突破防火墻，在竊取計(jì)算機(jī)內(nèi)部各類信息的同時(shí)還會(huì)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

1.2 實(shí)現(xiàn)偽隨機(jī)可變密鑰透明加解密技術(shù)的重要意義

首先，為了防止機(jī)密文件被外部黑客竊取，最直接的防護(hù)措施就是對(duì)重要保密資料采取加密保護(hù)，用另外一種形式將這些資料保存在計(jì)算機(jī)的磁盤中，只有在需要的時(shí)候才需要將其轉(zhuǎn)換成文檔格式，供用戶使用。再者，還有一道保護(hù)措施，也就是使用不一樣的密碼來充分保護(hù)重要資料的安全性，并且同一份資料在各部門之間每一次進(jìn)行分發(fā)傳閱時(shí)也會(huì)采用不同的解密密碼。

因此，不論是Windows系統(tǒng)操作系統(tǒng)，還是ISO操作系統(tǒng)，都迫切需要一項(xiàng)技術(shù)，用來確保機(jī)密信息的正常傳播，同時(shí)該技術(shù)還具備可靠、安全、操作簡(jiǎn)捷的特點(diǎn)，這也是偽隨機(jī)可變密鑰透明加解密技術(shù)的意義所在。

2 偽隨機(jī)可變密鑰管理模型

偽隨機(jī)密鑰的透明加解密系統(tǒng)是一種新型的防火墻系統(tǒng)，可以成功避免由網(wǎng)絡(luò)連接、外部連接、存儲(chǔ)硬盤和打印通信創(chuàng)建等而造成的資料丟失。該系統(tǒng)是一個(gè)數(shù)據(jù)安全管理的綜合性控制系統(tǒng)，包括了對(duì)文檔資料的加密保護(hù)、瀏覽限制權(quán)限、異常情況監(jiān)控以及機(jī)密數(shù)據(jù)備份等功能。偽隨機(jī)密鑰的透明加解密系統(tǒng)同時(shí)還能實(shí)現(xiàn)在不改變儲(chǔ)存文檔原來的文件格式前提下進(jìn)行密鑰可變式的透明加密保護(hù)[4]。

密鑰作為加密解密算法中的可變部分，也是加解密過程中重點(diǎn)管控的對(duì)象，在信息時(shí)代的背景下對(duì)密鑰進(jìn)行管理的重要意義顯而易見，包括了從密鑰的生成、變更、使用以及銷毀整個(gè)階段。

偽隨機(jī)可變密鑰管理模型是利用偽隨機(jī)序列來控制文件密鑰的變化的，使用者不需要自己設(shè)置文檔的加密密鑰，隨機(jī)密鑰的生成是由文件的讀取次數(shù)、查閱時(shí)間等不確定因素來共同決定的，同時(shí)具備均勻分布性和獨(dú)立性以及不可預(yù)測(cè)性，比較容易檢測(cè)，并且這些隨機(jī)數(shù)列的產(chǎn)生是相互獨(dú)立的。

偽隨機(jī)序列具有以下兩個(gè)特征：（1）種子密鑰只能由內(nèi)網(wǎng)服務(wù)器來進(jìn)行存儲(chǔ)；（2）不可預(yù)測(cè)性，即無法預(yù)測(cè)序列中的其他位數(shù)。

3 偽隨機(jī)密鑰的透明加解密系統(tǒng)的優(yōu)越性

偽隨機(jī)密鑰的透明加解密系統(tǒng)由8個(gè)主要的模塊組成，模塊與模塊之間相互獨(dú)立，層次分明，各為一體，而又緊密相接，環(huán)環(huán)相扣?，F(xiàn)從這幾個(gè)主要模塊入手來分析該系統(tǒng)的優(yōu)越性。

（1）用戶模式加解密模塊

用戶模式加解密模塊主要管理訪問者的身份識(shí)別功能，用來驗(yàn)證用戶是否具有該加密文檔的權(quán)限。該系統(tǒng)模塊會(huì)為用戶設(shè)置兩個(gè)層次的加密密碼，只有都通過了驗(yàn)證，系統(tǒng)服務(wù)器才會(huì)反饋一個(gè)角色識(shí)別標(biāo)識(shí)，并對(duì)該標(biāo)識(shí)開通加密文件的訪問權(quán)限[5]。

（2）角色訪問控制和策略配置模塊

角色訪問控制模塊的首要功能就是對(duì)用戶的識(shí)別代碼進(jìn)行管理，包括對(duì)識(shí)別信息的添加、刪除以及修改等，而策略配置模塊則主要負(fù)責(zé)將操作進(jìn)程與之前設(shè)置的密碼之間生成一一對(duì)應(yīng)的關(guān)系。同時(shí)，使用偽隨機(jī)可變密鑰管理模型生成的偽隨機(jī)序列，保證了密鑰的不確定性和靈活性。

（3）策略驗(yàn)證與維護(hù)模塊

維護(hù)模塊是用來解決諸如用戶查詢讀寫、文本內(nèi)容更新等需求的，通常為了保證操作運(yùn)行的高效性，系統(tǒng)會(huì)將文檔的擴(kuò)展名、進(jìn)程名稱以鏈接列表的形式記錄下來，以便在運(yùn)行操作過程中可以直接進(jìn)行比較。而策略模塊的作用是要來進(jìn)行策略驗(yàn)證的，一旦用戶的信息通過了驗(yàn)證便可以獲得訪問權(quán)限。舉個(gè)例子來說明，某個(gè)員工甲，創(chuàng)建了一個(gè)文本文件，同時(shí)將文檔以后綴名為.doc的形式保存下來，如果員工乙想要對(duì)該文檔進(jìn)行一系列的操作，就必須先要獲取員工甲，設(shè)置的員工信息，才能在系統(tǒng)中通過驗(yàn)證，否則無法使用該文檔。

（4）密鑰管理模塊

密鑰管理模塊對(duì)密鑰安全性和真實(shí)性進(jìn)行負(fù)責(zé)，主要為系統(tǒng)文件提供“密鑰可變”的加解密密鑰，保證了密鑰的安全性。密鑰的管理包含了密鑰自生成到最終消亡的整個(gè)過程的所有安全問題，主要表現(xiàn)在以下幾個(gè)階段中：（1）密鑰的生成，對(duì)密鑰的生成算法以及影響因素進(jìn)行管理控制；（2）密鑰的分配，對(duì)密鑰的分配方式、分享對(duì)象以及分配的途徑進(jìn)行管理；（3）密鑰的驗(yàn)證，密鑰在傳輸時(shí)本身會(huì)攜帶一些檢驗(yàn)錯(cuò)誤和糾正錯(cuò)誤的位數(shù)，對(duì)其分享過程進(jìn)行監(jiān)控；（4）密鑰的更新，如果需要頻繁更改密鑰，可以采用從舊密鑰中生成新密鑰的方式，或者采用單向函數(shù)的方式。

（5）通信模塊

通信模塊用于在應(yīng)用程序級(jí)別創(chuàng)立支持線程，并根據(jù)自動(dòng)生成的配置關(guān)系將數(shù)據(jù)信息發(fā)送到該線程，以完成對(duì)消息管理過程。當(dāng)篩選驅(qū)動(dòng)程序接收到新的數(shù)據(jù)信息后，就會(huì)根據(jù)文檔的擴(kuò)展名，將反饋信息發(fā)回給用戶，并且將該反饋信息提交給內(nèi)核進(jìn)行進(jìn)一步處理。例如，當(dāng)要加密和保存文檔時(shí)，數(shù)據(jù)文檔必須在內(nèi)核中進(jìn)行加密操作，在確定了文檔的加密需求以及文檔的后綴格式之后，通信模塊就會(huì)調(diào)用文件中的加密算法，并將加密過濾完成后的文本信息保存到硬盤中，并將信息反饋給用戶，同樣的道理，對(duì)文件進(jìn)行解密讀取時(shí)也是利用內(nèi)核驅(qū)動(dòng)進(jìn)行數(shù)據(jù)過濾處理的。

與此同時(shí)，通信模塊只有核實(shí)了用戶輸入的私人密碼，才會(huì)實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的傳輸功能，所以不管是用戶想要修改密碼，還是添加文檔的訪問權(quán)限，都不會(huì)造成文檔數(shù)據(jù)的丟失，有效保障了傳遞數(shù)據(jù)的完整性。

（6）加解密模塊

為實(shí)現(xiàn)數(shù)據(jù)文檔的安全使用和高效查閱，加解密模塊通常都需要兩個(gè)加密模式共同來發(fā)揮作用，即對(duì)稱加密（AES）和非對(duì)稱加密（RSA）[6]。（1）對(duì)于對(duì)稱加密算法，主要用于對(duì)數(shù)據(jù)文檔本身的資料內(nèi)容進(jìn)行保護(hù)；（2）對(duì)于非對(duì)稱加密算法，主要是對(duì)機(jī)密文件的密鑰進(jìn)行加密，通常需要多層防護(hù)，即用戶客戶端的密碼和服務(wù)器端的密碼，同時(shí)還需要用戶各自的私鑰才能獲取文件的信息，有效保證了數(shù)據(jù)傳輸時(shí)的可靠性和穩(wěn)定性。

加解密模塊對(duì)文件的加解密處理都是在內(nèi)核中的完成的，首先，通過對(duì)文檔的標(biāo)識(shí)（ID）進(jìn)行加密從而達(dá)到對(duì)文檔內(nèi)容本身進(jìn)行保護(hù)；再者，讀取文檔時(shí)，其實(shí)就對(duì)該文檔的標(biāo)識(shí)符（ID）進(jìn)行判斷和辨別，對(duì)比文檔ID中對(duì)應(yīng)的信息，從而來確認(rèn)是否可以對(duì)用戶解密文檔內(nèi)容。

（7）雙緩沖維護(hù)模塊

通常，透明加解密系統(tǒng)采用雙緩沖維護(hù)模塊，不僅可以及時(shí)對(duì)緩存進(jìn)行清理，同時(shí)還可以避免因使用透明加解密而造成的系統(tǒng)損傷。更重要的是，其不僅可以確保數(shù)據(jù)文檔的保密性，同時(shí)還能提高文檔的操作速度，譬如查找、讀寫等。在雙緩沖維護(hù)模塊中，系統(tǒng)為文件的緩沖設(shè)置了兩個(gè)通道，如果是用戶自己對(duì)文檔進(jìn)行查閱等操作，則該模塊就會(huì)解密文檔，展示出真正的數(shù)據(jù)資料，而如果是外來者的非法查看，則提供的便是密文信息，有效保護(hù)了文檔資料。

（8）文件過濾驅(qū)動(dòng)模塊

文件過濾驅(qū)動(dòng)模塊是透明加解密技術(shù)中一個(gè)必不可少的模塊，通過建立授權(quán)過濾列表，需要對(duì)數(shù)據(jù)文件的各種處理制定相對(duì)應(yīng)的響應(yīng)關(guān)系，從而使得在對(duì)文件進(jìn)行打開、讀寫等操作時(shí)都能順利過渡，實(shí)現(xiàn)機(jī)密文件的透明加解密。

4 結(jié)語(yǔ)

綜上所述，利用偽隨機(jī)可變密鑰透明加解密技術(shù)對(duì)數(shù)據(jù)進(jìn)行管理保護(hù)具備明顯的優(yōu)越性，無論是在具體操作上，還是在實(shí)施效果上都十分高效、便捷而且穩(wěn)定。因此，為了保證信息網(wǎng)絡(luò)安全，推動(dòng)網(wǎng)絡(luò)時(shí)代快速發(fā)展，需要繼續(xù)深入研究偽隨機(jī)可變密鑰透明加解密技術(shù)。

[1]吳愛萍.虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用初探[J].計(jì)算機(jī)產(chǎn)品與流通，2020（02）：47.

[2]唐娟.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)通信安全中數(shù)據(jù)加密技術(shù)的運(yùn)用探析[J].信息通信，2016（4）：186-187.

[3]張偉龍.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用分析[J].科技創(chuàng)新與應(yīng)用，2015（27）：88-89.

[4]龔利.網(wǎng)絡(luò)考試系統(tǒng)中組卷算法比較及應(yīng)用[J].黃岡職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015，17（03）：94-96.

[5]左曉軍，丁斌，陳澤.透明加解密技術(shù)在企業(yè)數(shù)據(jù)保護(hù)中的研究與應(yīng)用[J].河北電力技術(shù)，2018，37（03）：26-28+54.

[6]唐彪.偽隨機(jī)可變密鑰透明加解密技術(shù)研究[D].電子科技大學(xué)，2017.