◆王亞濤
數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用探析
◆王亞濤
(福建省漳州臺(tái)商投資區(qū) 福建 363107)
對(duì)重要數(shù)據(jù)進(jìn)行“保密處理”,防止其在傳輸過程中發(fā)生泄露,已經(jīng)成為當(dāng)前構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必須重點(diǎn)考慮的問題。本文介紹了基于計(jì)算機(jī)網(wǎng)絡(luò)安全的數(shù)據(jù)加密技術(shù)模型的構(gòu)建方式,解析了“數(shù)據(jù)加密”的算法實(shí)現(xiàn)思路,圍繞一種相對(duì)完善的數(shù)據(jù)加密保護(hù)傳輸方式,對(duì)該技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的具體應(yīng)用方式進(jìn)行了探討,希望為有需求的人提供參考,達(dá)到保護(hù)信息安全的目的。
數(shù)據(jù)加密技術(shù);計(jì)算機(jī)網(wǎng)絡(luò)安全;保密處理;數(shù)據(jù)加密保護(hù)傳輸
數(shù)據(jù)加密,是指將目標(biāo)信息(或明文)經(jīng)過加密鑰匙及加密函數(shù)的轉(zhuǎn)換,形成一種雜亂、無意義的密文后,向外發(fā)出。接收方收到后,運(yùn)用解密函數(shù)、解密鑰匙,加以還原。上述信息加密、傳輸、解密的過程,即為數(shù)據(jù)加密技術(shù)的實(shí)踐應(yīng)用方式。此種模式的優(yōu)點(diǎn)為,信息在傳遞的過程中,如果被非指定接收方“截獲”,在沒有“密碼”的情況下,破譯難度較大,以此達(dá)到保護(hù)信息安全的目的。
在信息時(shí)代,實(shí)現(xiàn)數(shù)據(jù)加密的過程在本質(zhì)上可以被視為一種“解決問題的思路”;通過構(gòu)建模型的方式,能夠?qū)?shù)據(jù)加密、解密涉及的所有內(nèi)容進(jìn)行全面了解。具體流程為:
(1)信息傳輸?shù)闹黧w——明文,及準(zhǔn)備加密的文本,在框架中用P表示;
(2)密文——對(duì)明文進(jìn)行加密處理,變換為密文,用Y表示;
(3)加密(解密)算法——實(shí)現(xiàn)明文P→密文Y,密文Y→明文P轉(zhuǎn)換的方式,可以是特定的程序變換算法,也可以是數(shù)字函數(shù)運(yùn)算,甚至是設(shè)計(jì)者自行編寫的具備規(guī)律性的特定模式。從原則上來看,加密和解密的過程必須具備互逆性,即“反推加密過程”,實(shí)質(zhì)上是解密。
(4)密鑰,以K表示,是加密及解密算法中的一項(xiàng)關(guān)鍵參數(shù)。簡(jiǎn)言之,密鑰K可以是一個(gè)具體數(shù)值,也可以用一個(gè)特殊的編碼、甚至是具體事物加以指代。其存在的價(jià)值在于,如果加密信息在傳輸過程中出現(xiàn)泄露,非目標(biāo)接收方盡管通過多種方式,成功破譯了加密(解密)算法,在缺少密鑰K的前提下,只能采取“嘗試對(duì)賭(猜)”的方式,以期將密文Y轉(zhuǎn)換為明文P。由此可見,密鑰K是數(shù)據(jù)加密技術(shù)中的關(guān)鍵環(huán)節(jié),也是最后一道“屏障”。
綜上所述,數(shù)據(jù)加密技術(shù)的運(yùn)行框架為:①信息發(fā)送端與信息接收端分別掌控同根同源的加密算法E以及解密算法D;②明文P進(jìn)入發(fā)送端時(shí),已經(jīng)經(jīng)由加密算法E和加密密鑰Ke轉(zhuǎn)換為密文Y;③密文Y經(jīng)由制定的傳輸線路,成功被接收端接收;④接收端通過解密算法D和解密密鑰Kd,實(shí)現(xiàn)對(duì)密文Y的破譯,再次轉(zhuǎn)化為P(為了與初始明文加以區(qū)分,此處的P應(yīng)該為P(D),意為解密后的明文)??傮w而言,數(shù)據(jù)加密系統(tǒng)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建時(shí),重點(diǎn)環(huán)節(jié)在于加密(解密)算法以及密鑰的創(chuàng)設(shè)。
當(dāng)前社會(huì)處于大數(shù)據(jù)分析時(shí)代,任何事物在其面前都“無所遁形”?;诖?,對(duì)數(shù)據(jù)加密技術(shù)的本質(zhì)進(jìn)行分析,得出的結(jié)論為:數(shù)據(jù)加密的具體操作模式盡管多種多樣,但絕大多數(shù)加密、解密的思路并不存在根本性的差異。其中,以加密密鑰Ke和解密密鑰Kd是否具備“對(duì)稱性”,可以進(jìn)行如下分類:
(1)對(duì)稱性加密算法:加密和解密過程使用的密鑰同根同源。從原則上來看,掌握任何一種密鑰,都具備推導(dǎo)出另一密鑰的可能性(但相比之下,掌握Ke后,推導(dǎo)Kd的難度更低;更多時(shí)候,為了進(jìn)一步提升計(jì)算機(jī)網(wǎng)路系統(tǒng)的安全性,獲得Ke后,推導(dǎo)出Kd的難度會(huì)被人為提高)。此種數(shù)據(jù)加密方式極其常見,但只適合信息“一對(duì)一”地傳輸。如果發(fā)送、接受方都能安全、妥善地保存各自的密鑰,則此種方式長(zhǎng)期有效。但面對(duì)網(wǎng)絡(luò)時(shí)代數(shù)量龐大的用戶,兩兩之間全面形成“一對(duì)一”的數(shù)據(jù)加密傳輸,并不具備可行性。
(2)非加密對(duì)稱算法。在對(duì)稱性加密算法的基礎(chǔ)上,一些設(shè)計(jì)人員進(jìn)行了嘗試,人為提升了通過Ke成功推導(dǎo)出Kd的難度。但此種設(shè)計(jì)并沒有改變加密和揭秘過程“同根同源”的設(shè)定,故盡管難度得到了提升,但仍然存在加密信息被成功破譯的可能性。面對(duì)此種情況,設(shè)計(jì)人員對(duì)加密和解密的過程進(jìn)行了分別的設(shè)計(jì),將加密密鑰設(shè)置成公開形式,而掌握不同解密密鑰的用戶,都能夠?qū)用苄畔⑼瓿上鄬?duì)獨(dú)立的破解,進(jìn)而完成信息“一對(duì)多”的安全傳輸。此種模式的優(yōu)點(diǎn)在于,密鑰管理模式相對(duì)簡(jiǎn)單,出現(xiàn)混亂、差錯(cuò)的概率較??;缺點(diǎn)在于,加密過程必須充分考慮與所有用戶持有密鑰之間的“契合度”,導(dǎo)致加密算法的復(fù)雜程度直線上升。
筆者以一種直觀的方式對(duì)上述兩種數(shù)據(jù)加密方式進(jìn)行說明:
(1)對(duì)稱式加密:加密密鑰Ke:x+y=3;解密密鑰Kd:x-y=5,由于解密密鑰Kd原則上只掌握在目標(biāo)接收方手中,故求解二元一次方程組,即為數(shù)據(jù)的解密過程,進(jìn)而得到隱藏在“x”和“y”之中的數(shù)據(jù)信息。其中,“x-y=5”必須具備單一性,即只能由一位用戶持有,如果多個(gè)用戶掌握同一個(gè)解密密鑰Kd,則信息定向傳輸過程必然遭到破壞,安全性無從保障。
基于對(duì)稱性數(shù)據(jù)加密算法與非對(duì)稱性數(shù)據(jù)加密算法各自的優(yōu)缺點(diǎn),目前,很多計(jì)算機(jī)網(wǎng)絡(luò)新的安全協(xié)議在設(shè)定過程中,都同時(shí)應(yīng)用了上述兩種加密技術(shù),其主要思路為:保持原有的加密信息傳輸方式不變,運(yùn)用公開密鑰傳輸技術(shù),完成對(duì)稱密碼的傳遞,最終使用對(duì)稱密鑰技術(shù)對(duì)實(shí)際傳輸?shù)臄?shù)據(jù)進(jìn)行加密和解密。此種模式主要針對(duì)的問題是:①非對(duì)稱加密算法相較于對(duì)稱加密算法的處理速度更慢;②對(duì)稱加密算法的密鑰管理工作量繁重。此種模式的“簡(jiǎn)化原理”為:①信息發(fā)送者隨機(jī)尋找一個(gè)具體的數(shù)字,將之作為對(duì)稱密鑰,完成對(duì)目標(biāo)傳遞信息的數(shù)據(jù)加密;②原有的非對(duì)稱加密公開密鑰掌握在接收方手中,用戶獲得“發(fā)送方將要傳遞信息”這一情況時(shí),運(yùn)用公開密鑰對(duì)該隨機(jī)數(shù)(對(duì)稱密鑰)進(jìn)行二次加密;③接收方收到數(shù)據(jù)信息后,運(yùn)用對(duì)稱式使用密鑰對(duì)該隨機(jī)數(shù)(對(duì)稱密鑰)進(jìn)行解密;之后,運(yùn)用該經(jīng)過解密的對(duì)稱密鑰,對(duì)隱藏在其中的數(shù)據(jù)進(jìn)行解密。此種方式看似復(fù)雜,但實(shí)質(zhì)上是對(duì)目標(biāo)信息、對(duì)稱密鑰進(jìn)行“層級(jí)遞進(jìn)”式的加密,從而達(dá)到管理方便、精確傳遞、確保安全的目的[2]。
基于對(duì)稱式加密與非對(duì)稱式加密相結(jié)合的方式,筆者設(shè)計(jì)了一種集“身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、數(shù)字簽名印證”于一體的,相對(duì)完善的數(shù)據(jù)加密保護(hù)傳輸模式,具體內(nèi)容如下:
(1)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,首先設(shè)置一項(xiàng)“確認(rèn)操作者身份”的程序,旨在確認(rèn)訪問用戶是否具備對(duì)某種資源的訪問和使用權(quán)限。在此過程中,“身份確認(rèn)”防護(hù)程序?qū)?duì)稱式加密和非對(duì)稱式加密的方式融合為一個(gè)整體,對(duì)“對(duì)稱密鑰”進(jìn)行加密之后,發(fā)送給試圖訪問計(jì)算機(jī)安全系統(tǒng)的訪問者。如果該訪問者具備訪問權(quán)限,則其手中必然擁有“公開密鑰”,經(jīng)過對(duì)“對(duì)稱密鑰”的解密后,成功獲得經(jīng)過“二次加密”的訪問權(quán)限驗(yàn)證信息,最終獲得訪問資格。此舉可以使計(jì)算機(jī)和網(wǎng)絡(luò)安全系統(tǒng)整體防范策略得到有效執(zhí)行,及時(shí)發(fā)現(xiàn)攻擊者假冒合法用戶獲得訪問權(quán)限的現(xiàn)象,進(jìn)而保證系統(tǒng)和數(shù)據(jù)的安全。但在一些小范圍的局域網(wǎng)絡(luò)安全系統(tǒng)中,如果系統(tǒng)訪問用戶數(shù)量較少,也可以采用單一的對(duì)稱式或非對(duì)稱式加密算法,完成身份認(rèn)證檢驗(yàn)。
(2)一些木馬病毒會(huì)“潛伏”在通過身份認(rèn)證,進(jìn)入計(jì)算機(jī)安全系統(tǒng)的用戶端,待用戶退出后,對(duì)重要數(shù)據(jù)資料進(jìn)行侵襲和篡改?;诖耍?jì)算機(jī)安全系統(tǒng)還應(yīng)具備保護(hù)數(shù)據(jù)完整性的功能。實(shí)現(xiàn)此項(xiàng)功能,需要使用Hash算法,其原理在于:發(fā)送方將明文轉(zhuǎn)換為密文的同時(shí),進(jìn)行Hash運(yùn)算,將數(shù)據(jù)資料中的內(nèi)容生成一份“摘要”。接收方收到信息之后,將密文轉(zhuǎn)換為明文,解析后同樣進(jìn)行Hash運(yùn)算,生成第二份摘要。通過對(duì)兩份摘要內(nèi)容的對(duì)比,接受方可以判斷數(shù)據(jù)信息是否遭到篡改。
(3)數(shù)字簽名。在公鑰加密的模式下,結(jié)合Hash算法,依托非對(duì)稱式加密的思路加以實(shí)現(xiàn)。此種模式的功能在于,使接收方判斷接受的數(shù)據(jù)信息是否由發(fā)出者本人所發(fā)出。其原理為:在常規(guī)明文轉(zhuǎn)密文的過程中,借助Hash運(yùn)算,生成摘要,此時(shí),發(fā)送方運(yùn)用私有密鑰對(duì)該摘要進(jìn)行數(shù)字簽名,隨摘要一并發(fā)送。接收方接收到信息后,運(yùn)用公共密鑰,提取該簽名。如果信息確實(shí)為發(fā)送方本人所發(fā),則摘要與摘要之間、簽名與簽名之間均會(huì)保持一致[3]。
綜合而言,數(shù)據(jù)加密技術(shù)在一定程度上等同于諜戰(zhàn)片中圍繞“密碼破譯”而展開斗爭(zhēng)的一系列過程。明文信息加密、解密的過程,除了需要應(yīng)對(duì)無孔不入的互聯(lián)網(wǎng)攻擊、信號(hào)異常攔截之外,還需注重對(duì)傳輸、解析速度及質(zhì)量的保證。在理想狀態(tài)下,數(shù)據(jù)加密既需要對(duì)“潛在敵人”造成影響,又能夠避免目標(biāo)接收方在“解密”過程耗費(fèi)過多的時(shí)間,從而實(shí)現(xiàn)信息安全、高質(zhì)量地傳輸。
[1]周海玉.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中數(shù)據(jù)安全加密技術(shù)的應(yīng)用[J].計(jì)算機(jī)產(chǎn)品與流通,2020(11):95.
[2]賴清利.探析計(jì)算機(jī)網(wǎng)絡(luò)通信安全中數(shù)據(jù)加密技術(shù)的應(yīng)用[J].科技視界,2020(26):103-104.
[3]吳長(zhǎng)虹.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)云安全中的應(yīng)用探究[J].湖北開放職業(yè)學(xué)院學(xué)報(bào),2020,33(15):120-121.