基于密碼學的網(wǎng)絡(luò)信息安全應(yīng)用

摘? 要：基于計算機科學迅猛發(fā)展，網(wǎng)絡(luò)信息技術(shù)被廣泛應(yīng)用于人們信息傳遞的大背景，對密碼學的發(fā)展歷程及密碼學的概念作簡要概述，對密碼學的基本要素和主要功能進行說明，研究密碼學中對稱密鑰體制和非對稱密鑰體制的工作原理，聯(lián)系實際闡述基于密碼學的一些網(wǎng)絡(luò)信息安全應(yīng)用，如數(shù)字簽名技術(shù)與數(shù)字證書技術(shù)，以及如何巧妙應(yīng)用密碼學技術(shù)解決實際生活場景下所遇到的一些問題，為推動社會運行效率的提高做出了巨大貢獻。

關(guān)鍵詞：密碼學;對稱密鑰;非對稱密鑰

中圖分類號：TP309? ? ? ? ?文獻標識碼：A文章編號：2096-4706（2022）06-0104-04

Application of Network Information Security Based on Cryptography

LI Hao

（Guangdong Polytechnic of Science and Technology， Zhuhai? 519090， China）

Abstract： Based on background of the rapid development of computer science and network information technology has been widely applied to the peoples information comunication， this paper briefly summarizes the development process of cryptography and the concept of cryptography， explains the basic elements and main functions of cryptography， and studies the working principle of symmetric key system and asymmetric key system in cryptography. Some network information security applications based on cryptography are described with reality， such as digital signature technology and digital certificate technology， as well as how to skillfully use cryptography technology to solve some problems encountered in real life scenarios， it has made a great contribution for promoting the improvement of social operation efficiency.

Keywords： cryptography; symmetric key; asymmetric key

0? 引? 言

在說到密碼學時，一般人都會覺得很高深且神秘，對此產(chǎn)生一種好奇感。密碼學是一門為信息交流提供安全保障的重要學科，從古至今，人類使用過許多不同的加密方式，深刻地影響者人類的信息交流，尤其是在涉密信息交流方面。隨著社會的發(fā)展，加密方式也在與時俱進。當前是互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)已成為信息交流的重要載體，各種網(wǎng)絡(luò)應(yīng)用層出不窮。本文主要講述網(wǎng)絡(luò)信息通信中的密碼學及其應(yīng)用，旨在通過圖文結(jié)合的方式，通俗易懂地說明密碼學原理和實際應(yīng)用，幫助讀者初步認識密碼學科，揭開密碼領(lǐng)域的神秘面紗，培養(yǎng)讀者對密碼學的興趣。

1? 密碼學的發(fā)展簡介

密碼學的發(fā)展歷程可分為三個階段：分別是古典密碼、近代密碼與現(xiàn)代密碼。

1.1? 古典密碼

古典密碼的歷史可以追溯到三千年前的古埃及，現(xiàn)存大英博物館的羅塞塔石碑可以看作其中的早期代表。公元前5世紀，古斯巴達人用一根布帶環(huán)繞在一條棍子上，然后在布帶上寫好明文，脫離了棍子的布帶上看上去只有分散分布的無意義字母，若要讀懂布帶上記錄的信息，則需獲取相同直徑的圓柱形物體，將布帶纏繞回去，沿圓柱形物體的縱向方可看懂布帶上的信息。公元前1世紀出現(xiàn)了著名的凱撒密碼，根據(jù)《高盧戰(zhàn)記》的記載，凱撒在高盧戰(zhàn)爭中使用了一種簡單易行的移位密碼，其方式是將文章中所有的字母，按照特定的替換規(guī)則進行替換，如下圖，上面一行的明文字母替換為下行的字母，從而對明文加密。在凱撒密碼之后還出現(xiàn)了多種密碼算法，包括單表代換、多表代換等，它們都是在凱撒密碼的基礎(chǔ)上進行各種改進得到的。

1.2? 近代密碼

近代密碼時期，出現(xiàn)了無線電密碼技術(shù)，近代密碼主要指的是軍事密碼，也就是在第一次和第二次世界大戰(zhàn)中發(fā)展起來的密碼技術(shù)，其中典型的代表是二戰(zhàn)中德軍所使用的“Enigma”密碼，這種密碼后來被以阿蘭·圖靈為首的一些英國科學家成功破譯。

1.3? 現(xiàn)代密碼

1948年，Shannon發(fā)表了一篇劃時代的文章：《保密系統(tǒng)的通信理論》，標志著密碼科學的建立，也標志著現(xiàn)代密碼技術(shù)研究的開始。1977年美國國家標準局公布實施了數(shù)據(jù)加密標準DES，密碼學歷史上第一次公開了加密算法的細節(jié)，從此這一算法廣泛地應(yīng)用于商用數(shù)據(jù)加密，直到二十多年以后被新的算法所代替。

2? 密碼學的基本概念

2.1? 密碼系統(tǒng)的框架模型

密碼學中，典型的系統(tǒng)框架如圖1所示。Alice是數(shù)據(jù)發(fā)送方，Bob是數(shù)據(jù)接收方，而Trudy則是一名“間諜”，試圖竊取和破譯他們的通信內(nèi)容。因此，數(shù)據(jù)發(fā)送時不能使用大家都能看懂的明文進行傳輸，這時數(shù)據(jù)發(fā)送方就通過某種方法對明文進行加密后傳輸，使得竊取數(shù)據(jù)的人無法看懂，加密后的密文由數(shù)據(jù)接收方進行解密，與解密方法相關(guān)的關(guān)鍵信息稱為密鑰，密鑰只有數(shù)據(jù)接收方擁有。1DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2

2.2? 加密模型的基本要素

一個加密體制由以下五個要素組成：

M：表示明文消息空間，指的是由所有可能的明文組成的有限集合。

C：表示密文消息空間，指的是由所有可能的密文組成的有限集合。

K：表示密鑰空間，指的是由所有可能的密鑰組成的有限集合。

E：指的是加密算法的集合。

D：指的是解密算法的集合。

密鑰空間的大小是加密體制的一個重要參數(shù)。對于一個加密體制，攻擊者攻擊的主要目標是密文對應(yīng)的明文，一般來說有兩個途徑實現(xiàn)這一目標，其一是試圖直接恢復明文，其二是試圖尋找密鑰進而恢復明文，通常來說密鑰空間越大，攻擊者通過第二條途徑實現(xiàn)攻擊的可能性就越小，因此在設(shè)計密碼算法時一般要選擇足夠大的密鑰空間。

2.3? 密碼學的基本功能

2.3.1? 機密性（confidentiality）

保證信息為授權(quán)者使用而不泄漏給未經(jīng)授權(quán)者。通俗地講，就是讓別人“看不到”或“看不懂”信息。

2.3.2? 認證（authentication）

包括身份認證和信息認證。在通信過程中，要確保通信雙方各自的通信對象與預期相符，需要通過身份認證實現(xiàn)。對于信息，要確保是由預期的實體接收或者發(fā)出，這一過程稱為信息認證。

2.3.3? 信息完整性（message integrity）

確保信息的發(fā)送方與接收方的通信信息未被篡改（傳輸途中或者后期），如果發(fā)生篡改一定會被檢測到。

2.3.4? 不可否認性（non-repudiation）

要求無論是發(fā)送方還是接收方都不能抵賴所進行的信息傳輸，發(fā)送方否認不了自身發(fā)出了的信息，接收方否認不了自身接收到了信息。

2.4? 密碼系統(tǒng)安全性評估

2.4.1? 無條件安全性

若攻擊者不能在沒有限制計算能力與時間的基礎(chǔ)上破譯加密算法，那么相應(yīng)的密碼系統(tǒng)被稱為是無條件安全的，這說明該密碼系統(tǒng)在極限狀態(tài)下是安全的。實際上，這種密碼系統(tǒng)需要依賴于密鑰的不斷更換，實現(xiàn)起來難度相當大，并且可用性很差。

2.4.2? 可證明安全性

通過把數(shù)學領(lǐng)域公認的難題（如大整數(shù)素因子分解、計算離散對數(shù)等）“歸約”到密碼系統(tǒng)中，因為這些數(shù)學問題經(jīng)過推敲后被認定為難以解答或者解答的困難程度已知，安全性由此得到證明。此評估模式本身的缺陷是他只闡釋了此密碼系統(tǒng)的安全性與解答數(shù)學問題相關(guān)，并未全面地證明問題本身的安全性。

2.4.3? 計算安全性

若攻擊者破譯加密算法所需的計算能力與計算時間在實際條件下不可用，即攻擊者擁有的資源水平遠不足以完成破譯，則認為相應(yīng)的密碼系統(tǒng)具有計算安全性。除了使用一次性密鑰，理論上還沒有絕對安全的密碼系統(tǒng)。在實際應(yīng)用中，只要能夠證明所采用的密碼系統(tǒng)在計算上是安全的，就有理由相信加密算法是安全的，因為計算安全性可以在有效時間內(nèi)確保所采用算法的安全性。

2.5? 密碼系統(tǒng)的安全性

一個密碼系統(tǒng)的安全性，除了與密碼算法的設(shè)計有關(guān)，還與密碼算法以外的其他因素相關(guān)。一套密碼算法其自身所具備的安全屬性為一個密碼系統(tǒng)安全性提供基本保障，這種基本保障的水平很大程度上取決于密碼算法的設(shè)計水平。事實上，如果攻擊者意在入侵一個密碼系統(tǒng)，社會工程學也可以成為一種手段，攻擊者通過人際交流的方式對密碼系統(tǒng)進行滲透，買通關(guān)鍵管理人員套取系統(tǒng)信息，是不屬于密碼算法范疇內(nèi)的威脅，并且這些行為非常有效、效率極高。因此，一個密碼系統(tǒng)的安全是綜合性的，不僅需要技防，同時還需要人防。

3? 常用的兩種密鑰體制

3.1? 對稱密鑰體制

對稱加密，也稱為私鑰加密。對稱密鑰體制中，信息的發(fā)送方與接收方分別持有加密密鑰和解密密鑰，實際上這兩個密鑰是相同的，并且成對生成僅歸通信雙方所有，持有者可以使用該密鑰進行加密和解密。如圖2所示，Alice和Bob共有一個同樣的密鑰Ks，Alice用密鑰Ks對明文進行加密后傳輸給Bob，而Bob也同樣使用密鑰Ks對密文進行解密。反之，Bob給Alice發(fā)送消息，使用密鑰Ks進行加密，Alice使用密鑰Ks進行解密。需要注意，這一對密鑰只為通信雙方所有，因此，從這種密鑰體制的安全性考慮，對于密鑰的保密有相當高的要求，密鑰一旦暴露出去，會嚴重影響此密鑰體制的安全性。使用較多的對稱加密算法有：數(shù)據(jù)加密算法、高級加密算法、國際數(shù)據(jù)加密算法等。

3.2? 非對稱密鑰體制

非對稱加密體制中有2個密鑰，分別為私有密鑰和公開密鑰。私有密鑰和公開密鑰是兩個完全不同的密鑰。發(fā)送方使用接收方的公開密鑰對信息進行加密，接收方使用私有密鑰對密文進行解密，公開密鑰可以被任何人持有，而私有密鑰只有自己一人所有。如圖3所示，Alice要發(fā)送信息給Bob，可以先用Bob的公開密鑰對明文進行加密，Bob接收到信息后使用自己的私鑰對密文進行解密。這種密鑰體制使用了相當復雜的數(shù)學算法，具有非常高的保密性和安全性，使得采用這種密鑰體制的密碼系統(tǒng)難以被破解。使用較多的非對稱加密算法有：橢圓曲線簽名算法、數(shù)字簽名算法、RSA算法等。

4? 密碼學在網(wǎng)絡(luò)信息安全方面的應(yīng)用

4.1? 數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)，是非對稱密碼算法的一種應(yīng)用。數(shù)字簽名技術(shù)是實現(xiàn)安全電子交易的核心技術(shù)之一，這項技術(shù)具備可驗證性、不可偽造性、不可抵賴性，可以解決以下為題：（1）發(fā)送方否認自己發(fā)過某一報文;（2）接收方偽造一份報文并聲稱來自某發(fā)送方;（3）某個用戶冒充另一個用戶接收或發(fā)送報文;（4）接收方對收到的信息進行篡改。數(shù)字簽名技術(shù)的原理如圖4所示，假如Bob要發(fā)送帶有數(shù)字簽名的報文給Alice，則Bob需要使用自己的私鑰K對報文m進行加密生成K（m），然后Bob將把m和K（m）打包發(fā)送給Alice，Alice接收到消息之后，使用Bob的公鑰K對K（m）進行解密生成m= K（K（m）），若m與m相等，就可判定報文是由Bob發(fā)送過來的，因為只有使用Bob的公鑰進行解密才能得到m。另外還可以證實Bob對報文m進行了簽名，并且簽名的是報文m而不是其他的報文。數(shù)字簽名技術(shù)為計算機網(wǎng)絡(luò)通信的發(fā)展打下了堅實基礎(chǔ)，對于計算機網(wǎng)絡(luò)的安全發(fā)揮著至關(guān)重要的作用，為通信的可靠性提供了強力保障。1DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2

4.2? 數(shù)字證書技術(shù)

數(shù)字證書又稱數(shù)字標識，是非對稱密鑰算法的一種應(yīng)用。數(shù)字證書由可信任的認證中心（Certification Authority-CA）頒發(fā)的一種證書，具有權(quán)威性。認證中心實現(xiàn)特定實體E與其公鑰的綁定。在網(wǎng)絡(luò)中，每個實體E（如PC、路由器等）在認證中心注冊一個公鑰，認證中心創(chuàng)建綁定E及其公鑰的證書，即由認證中心簽名的E的公鑰。如圖5所示，當Alice想要Bob的公鑰時，首先獲取Bob的公鑰證書，然后使用認證中心的公鑰解密Bob的公鑰證書，最后獲得Bob的公鑰。數(shù)字證書之于網(wǎng)絡(luò)世界相當于現(xiàn)實生活中公民的一張身份證，受到公共認可，例如在進行網(wǎng)絡(luò)交易活動時需要使用數(shù)字證書以證實自身身份，它為網(wǎng)絡(luò)用戶在進行網(wǎng)絡(luò)活動方面提供了安全性、唯一性和便利性。在計算機網(wǎng)絡(luò)發(fā)展日益蓬勃的今天，信息化的應(yīng)用日趨多元，移動支付、網(wǎng)絡(luò)購物、云盤等信息系統(tǒng)涉及個人財產(chǎn)和數(shù)據(jù)安全，數(shù)字證書技術(shù)為用戶的網(wǎng)絡(luò)行為提供安全保障，在網(wǎng)絡(luò)信息安全領(lǐng)域發(fā)揮著極為關(guān)鍵的作用。與此同時，許多不懷好意的網(wǎng)站出現(xiàn)在網(wǎng)絡(luò)世界中，例如釣魚網(wǎng)站、惡意網(wǎng)站等，普通網(wǎng)民若不小心，個人的敏感信息就有可能被盜取，造成損失，而數(shù)字證書技術(shù)允許用戶先對網(wǎng)站進行認證，提高信息傳遞環(huán)境的可靠性，這將極大程度地減小或者規(guī)避風險?？梢哉f，數(shù)字證書技術(shù)讓我們不必花大量精力用于判斷對方是否可信，大大降低了我們的社會運行成本。

5? 結(jié)? 論

中國古人一向認為，信息安全關(guān)乎社稷存亡。從古至今，中國一直都在信息保密和安全領(lǐng)域不斷探索和實踐，做出了中國貢獻，數(shù)千年的信息安全實踐，彰顯中國智慧。近年來，中國在量子密碼與量子通信領(lǐng)域取得巨大突破，2016年中國成功發(fā)射世界上第一顆量子通信衛(wèi)星“墨子號”，2019年中國提出制定量子密碼安全國際評估標準，獲得ISO批準。“沒有網(wǎng)絡(luò)安全就沒有國家安全”的論斷，樹立了正確的網(wǎng)絡(luò)安全觀，中國提出的“共同構(gòu)建網(wǎng)絡(luò)空間命運共同體”的主張，逐漸成為全球共識，體現(xiàn)著中國的負責任大國擔當。

參考文獻：

[1] 陳佳康.密碼學算法的優(yōu)化與應(yīng)用 [D].北京：北京郵電大學，2013.

[2] 鄭培凝.身份基密碼學的研究與應(yīng)用 [D].上海：上海交通大學，2011.

[3] 王曉霞.關(guān)于密碼學技術(shù)應(yīng)用于網(wǎng)絡(luò)信息安全的分析 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（2）：17-18.

[4] 張健，任洪娥，陳宇.密碼學及應(yīng)用技術(shù) [M].北京：清華大學出版社，2011：32-35.

[5] 任偉.現(xiàn)代密碼學 [M].北京：北京郵電大學出版社，2011：13-14.

作者簡介：黎浩（1993—），男，漢族，廣東河源人，信息系統(tǒng)管理工程師，畢業(yè)于北京理工大學珠海學院，工學學士，研究方向：通信網(wǎng)絡(luò)規(guī)劃、建設(shè)、維護。

收稿日期：2022-02-161DC8A686-F18D-4E7E-BA67-1E2ED0C3E8F2