计算机网络中数据加密技术应用探讨
2013-04-29左亚
左亚
摘要:在计算机网络的发展过程中,网络安全问题是我们最为关注的问题之一,数据加密技术正是为了满足我们对通信保密性与安全性的需要而产生的,它可以保护我们的数据不会被人非法窍取。
关键词:计算机网络;数据加密技术;网络安全
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2013)08-1784-02
在如今这个信息技术飞速发展的时代,我们交换和传输信息的方式已经发生了重大改变,计算机网络已经成为我们最为依赖和常用的一种有效信息交换和传输工具。但是,由于计算机网络本身存在的一些特性,比如开放性、互联性和连接方式多样性,以及终端颁布的不均匀性,使得很容易出现技术上的漏洞和人为的失误,造成网络安全隐患,这也是当前最令我们关注和担忧的重要问题。我们在使用网络传输数据的过程中,同时也要关注数据的保密与安全,所以,现代数据加密技术应运而生,这种技术是保障我们数据安全的有效措施。
1 数据加密技术概述
在我们使用计算机网络进行工作的时候,无论使用什么样的应用系统,提供什么样的服务,所有的运行的基础都要通过数据的传输才能实现。因此,保障数据的安全传输是保障整个网络安全的核心工作。对数据进行加密的整个过程可以描述如下:首先,对我们传输的数据和文件应用某种算法,使其由明文变为加密过的“密文”,它通常显示为一段不可读的代码。如果我们需要显示出加密过的数据原来的内容,必须要输入之前设定好的密钥,这样,我们就可以保护我们的数据不会被人非法窃取和盗用。
2 数据加密技术及其分类
在我们对数据进行加密之前,我们先要明确我们对网络中的哪些数据进行加密操作。首先,在我们的服务器或者工作终端,以及一些移动存储设备上是否存在需要加密的信息,其次,这些机密信息在我们的服务器或者其他存储设备中一般是什么文件格式,它们保存的具体位置是否确定,再次,在局域网中这些机密数据的传输是否安全,最后,在我们网络通信的过程中是否会浏览到这些机密信息,这样,我们就对数据加密技术的使用范围进行了确定。
在加密目标被确定了之后,我们还要选择加密方案。数据加密过程中涉及到加密密钥和解密密钥,根据加密密钥和解密密钥是否相同,我们可以把加密技术分为常规密钥密码体制和公开密钥密码体制。
2.1 常规密钥密码体制
常规密钥密码体制中,加密密钥和解密密钥是相同的,因此又称为对称密钥体制或单密钥体制。在常规加密的模型中,输入的信息包括明文和密钥,经加密算法操作后将输出密文。这种加密技术计算量小,加密效率高。但是是安全地传输和管理密钥是一个比较困难的工作。
常规密钥密码体制中的典型代表是计算机网络中广泛使用的DES(Digital EncryptionStandard)算法。其保密性主要取决于密钥的保密程度。
2.2 公开密钥密码体制
公开密钥密码体制中,加密密钥和解密密钥是不相同的。其中加密密钥是公开的,在网上公布,称为“公用密钥”;解密密钥是保密的,由接收方妥善保管,称为“私有密钥”。因此这种密钥体制又称为非对称密钥体制或双密钥体制。公开密钥密码体制的密钥分配简单,管理方便。
这种加密技术也可以进行数字签名,可以保证数据完整性和不可否认性。这种情况下,发送方使用自己的私有密钥对数据进行加密,接收方则使用发送方已公开的公用密钥对该“数字签名”施行“解密”。
2.3 密钥管理
2.3.1 密钥管理的基本内容
由于我们采用的是公开的密码算法,所以网络是否安全就决定于密钥的安全保护上。对密钥进行管理包括密钥的产生、分配、注入、验证和使用等环节。为了保证用户之间的秘密通信,每个用户都要保管好自己的秘密密钥。通过公开密钥表格,在向用户发密文时,在表上找到它的公开密钥,然后把明文通过算法变成密文发给用户,接收方只需使用自己的秘密密钥解密即可。当使用常规密钥密码体制时,当一个用户需要和另一个用户通信,他只需向密钥分配中心提出申请,得到一个密钥只用于两个用户之间的通信即可。
2.3.2 密钥分配
在密钥管理中,密钥分配是其中最重要的问题,且必须保证密钥分配的通路绝对安全。
目前,被公认有效并最多采用的是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。
首先,A向KDC申请公开密钥,将信息(A,B)发给KDC。KDC返回给A的信息为(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB称为证明书,分别含有A和B的公开密钥。KDC使用其解密密钥SKAS对CA和CB进行了签名,以防止伪造。时间戳T1和T2的作用是防止重放攻击。
然后,A将证明书CA和CB传送给B。B获得了A的公开密钥PKA,同时也可检验他自己的公开密钥PKB。
3 数据加密技术的网络应用
使用数据加密技术,我们可以在网络中安全的进行数据交换和传输,不会发生数据泄密,或者被别人非法窃听。如今我们常用到的虚拟私用网,以及现代的加密和鉴别技术,都是应用了的数据加密技术的成果。
1) 在身份认证中的应用
在我们常用的Kerberos网络用户认证系统中,它的网络身份认证技术所采用的是对称密钥体制。采用DES算法,通过第三方密钥分配中心(KDC)保存密钥与所有密钥持有者进行通信。除此之外,它所采用的还有一次性口令、数字凭证等其他认证技术。
在这种技术中所生成的数字凭证可以说是一个人的信用卡,由认证机构发放并管理。每张数字凭证的内容都包含持有者的名字、公钥、发行者的数字签名等,其标准在ITU制定的X.509中。
2) 在数字签名中的应用
数字签名是信息接收方判定信息发送方身份的一种手段,它可以防止信息发送方抵赖的已发送的信息。数字签名一旦由发送方发出,发送方事后就无法否认,而接收方也无法伪造或者篡改数字签名中的信息,以及发送方发送出的内容。以上一切都会由可信任的第三方进行最后仲裁。我们常使用的公钥算法,也常常用Hash签名。签名的过程是,首先由发送方(A)使用其私钥加密消息进行签名,然后接收方用 A 的公钥进行解密,从而对 A 的签名进行验证。第三方持有A的私钥,它可以结合数字签名与消息摘要MD,从而确认发送者的信息,并对信息的完整性进行保证。
3) 在PGP加密系统中的应用
PGP(Pretty Good Privacy)即免费保密电子邮件程序,对数据采用IDEA进行加密,对密钥采用RSA进行管理,并进行数字签名,采用 MD5 作为单向散列函数。PGP的独特之处在于,它不设有密钥证书管理机构,它密钥管理中的分发方法是让每个用户产生自己的公钥并自已分发。用户可以创建一个所有PGP的互边组,相互对公钥签名,并自由决定信任谁。
4) 在VPN中的应用
在一些国际化的大公司中,常常会在很多国家和地区分别设立分公司或者销售中心,这些独立的分公司常常都会自己设立局域网(LAN)来进行工作,这时,总公司需要将这些局域网再进行互联,以便组成一个总公司范围内的广域网,方便分公司之前进行联络交流,这样的需求同时也需要使用数据加密技术。
在这种情况下,一般被采用的方案是租用专门的线路来把这些局域网连接起来,这时候,最需要考虑的问题就是网络安全问题。现在的路由器大多都具有加密功能,我们使用路由器连接网络就可以解决这个问题,这样建立起来的通常称为虚拟专用网(VPN)。当在局域网之间传输数据时,路由器会首先对这些数据进行硬件加密,在互联网上传送的是加密过的数据,当数据到达接收端的LAN路由器时,该路由器又会对数据进行解密,最后,接收端LAN中的用户就可以收到解密后真正的数据信息了。
4 结束语
目前,无论是我们使用的网络内部或者是外部,都存在着大量的安全威胁,为了解决这些网络安全问题,人们采取了大量的措施,该文中介绍的数据加密技术就是为了解决这些网络安全问题而产生的,随着数据加密技术的不断发展和人们对其进行的不断的改进,相信未来一定会出现更加完美而安全的数据加密技术。
参考文献:
[1] 余登安.计算机信息网络安全初探[J].电脑知识与技术,2008(11).
[2] 王大康,杜海山.信息安全中的加密与解密技术[J].北京工业大学学报,2006(6).
[3] 戴双玲.信息网络安全体系的探讨[J].新疆石油科技,2008(3).