民航数据网传输加密算法研究
2015-01-01段伟
段 伟
(民航中南空管局通信网络中心 广东 510405)
0 引言
为了满足民航日益增长的航班量需求,就必须全面推进民航航班的统一协同决策,以进一步提高运行效能。然而,随着民航一体化进程不断深入,民航数据网在其中扮演的角色将愈发重要,它承担着全国民航数据信息的传输,可以说是民航新信息时代的生命线,其承载数据的保密性、完整性、不可篡改性更显得尤为重要。为保证数据安全,一般会将防火墙、入侵检测、物理隔离等被动安全措施,结合加密传输、漏洞扫描、安全通道等主动安全措施。其中,对传输数据进行加密是一种最基本也是最有效的数据安全保障技术。
然而,民航数据业务却不仅仅要求高安全性,还必须在实时性方面满足航班运行。因此,民航数据网作为所有业务的基础承载网络,在保证数据传输过程安全的同时,还必须确保其传输的高效性。所以民航数据网传输加密算法就必须同时兼顾数据加密传输的安全和效率。
1 相关的加密算法
1.1 对称加密算法
作为最传统的加密算法,对称加密至今仍由广泛的使用。其主要特点是:收发端在加解密过程中使用完全相同的密钥。对称加密算法加密时将未加密的信息(明文),通过使用一个对称密钥进行加密运算后,得到加密后的信息(密文)。解密过程是与之相反的逆过程,使用同一个对称密钥对密文进行解密运算后得到明文。然而,这种算法机制比较单一,其安全性主要体现在密钥的管理和传递。
对称加密体制主要包括:密钥、加密算法、明文和密文。在对称加密算法中,DES和AES算法使用最为广泛,具有典型的代表性。
1.2 非对称加密算法
非对称密码算法是在试图解决对称密码算法中面临的密钥分发保存问题、无数字签名问题的过程中发展起来的。相对传统的对称加密算法,其主要特点是:在加密和解密过程中使用不同的密钥,加密使用公钥,是公开的,解密使用私钥,是保密的。与传统的对称加密体制相比。公钥密码体制有着本质的不同。传统的对称密码只需要一个密钥,而非对称密码则需要公钥、私钥两个密钥,且通过函数计算得出。
非对称加密体制主要包括:公钥、私钥、加密算法、明文、密文。这种公钥体制的出现在人类信息加密历史中是一个极大的突破。而在公钥体制中,最著名和常用的是RSA算法。
1.3 不可逆加密算法
与对称和非对称加密算法不同,不可逆加密算法并不需要密钥,也不存在所谓的解密。其主要特点是:明文输入后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入同样的明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。简单来说,这种加密算法得出只是明文对应的特征摘要,系统只是再次验证明文输入后的这一过程,只要判断前后两次的特征是否一致,即能确定明文是否正确。
不可逆加密体制主要包括:加密算法、明文和密文。常见的有MD5算法。
2 算法适应性分析
对称加密算法由于用于加解的密钥是相同的,其密钥传输不能得到安全保障,使其整体安全性能较低。但得利于简单的算法,带来加密效能高、计算开销小的优点,使其更适合传输网络加密,但要想构建数据安全性要求较高的民航数据网,还必须辅以更加安全的密钥交换方式作为补充。
从数据传输网角度来看非对称加密算法,由于其用于加密的公钥,与用于解密的私钥并不相同,使得其在安全度上非常适合传输网络。但由于RSA的分组长度太大,使得计算复杂,导致加密解密速度过慢,只适合小容量的数据加密,并不能直接用于数据容量较大、对数据传输效率要求较高的民航数据网。
不可逆加密算法的不可逆性使得其只能作为特征验证、数字签名、指纹等用途,虽然已经广泛应用在计算机系统中的口令加密,也是我们日常接触到最多的加密算法,但由于其不能逆转得出数据明文,显然并不适合作数据网传输加密直接使用,但可以作为数字签名用于补充验证传输前后数据是否被篡改。
3 民航数据网传输加密算法
设计思路是:由于对称加密解密速度快,但密钥安全风险较大,通过采用非对称加密算法针对对称加密的密钥部分进行加密传输。这就将主要数据的加解密过程交给效率高的对称加密算法,而对称加密算法产生的小数据量密钥则通过安全性高但效率低的非对称加密,并辅以不可逆加密算法的数字签名验证,确保民航数据网传输的高效、安全和完整。
具体的过程是:数据明文经DES密钥加密生成基础数据密文;将DES密钥利用RSA公钥加密生成密钥密文;将基础数据密文和密钥密文直接接续形成基础传输数据;再将基础传输数据 MD5得出数字签名;再次接续形成传输数据;经过传输接收方收取后拆分出数字签名和基础传输数据;进行数据传输完整性验证;验证成功后将基础传输数据进一步拆分得到基础数据密文和密钥密文;再利用接收端的RSA私钥将密钥密文解密得到DES密钥;最后用DES密钥解密基础数据密文还原出数据明文。详细过程如图1所示:
图1 民航数据网传输加密算法加解密过程图
4 算法效果分析
在加密性方面,攻击者即便在传输过程中获取到了传输数据,甚至知道了预定义的数字签名、密钥密文长度,成功分离出所破解需要的基础数据密文和密钥密文,因无法取得并不用于传输的RSA私钥而无法解密出DES密钥,使得数据加密无法被破解。数字签名也保障了数据完整不被篡改。
在效能安全方面,算法综合了对称和非对称加密算法的优点,利用对称加密算法的高效性处理大量的传输数据,保证了传输网络的低延时要求,再利用非对称加密算法的不可破解性,弥补了对称加密密钥传输的安全问题,全面实现了民航数据传输网络的高速稳定、可靠安全。
5 结束语
在以效率为基础,使用对称加密算法为数据加密基础的模型中,通过对其密钥进行非对称加密算法改进,很好的克服了对称加密算法加密安全性不足的缺点,还保持了对称加密的高效性,再通过不可逆加密算法补充了数据完整性的验证。这种模型是非常适合民航数据网大数据量的、高安全性要求的网络传输。
[1]蔡皖东.计算机网络技术[M].西安电子科技大学出版社.1999.
[2]朱文余,孙琦.计算机密码应用基础[M].科学出版社.2000.
[3]周溢辉.RSA算法在信息安全中的应用分析[J].科技信息.2008.