网络安全维护中应用加密机的相关技术研究
2017-12-21周海波
周海波
摘要:在网络技术飞速发展的当下,网络安全问题逐渐成为社会聚焦的热点问题。为了做好网络安全维护,应用加密机非常必要。文章以网络时代为背景,对加密机和网络安全的现状进行了分析,并针对网络安全维护中加密机的应用展开了论述,目的在于全面提高网络安全性,并为有关人员提供技术参考。
关键词:网络安全维护;加密机;密钥管理;资源共享
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)10-0180-03
随着互联网时代的到来,网络逐渐成为人们生活、工作不可或缺的一部分,网络一方面带来了极大的便利,通过互联网技术可以实时获取新闻,了解世界各地发生的事。但是另一方面网络安全也成为网络时代值得关注的问题。黑客、网络病毒等危险因素的存在,对网络安全造成了极大的威胁。为了做好网络安全维护工作,加密机的应用非常必要,同时这也是当前网络维护工作中需要关注的要点。
1 加密机与网络安全问题
1.1 加密机介绍
加密机是相关部门研发的一种主机加密设备,加密机的使用需要经过国家商用密码管理部门的鉴定和审批。加密机和主机这两者之间一般是通过TCP/IP协议实现通信[1]。所以,加密机运行环境非常宽松,不会受到主机操作系统、硬件类型等诸多因素的限制,支持多种操作系统。在计算机网络通信的环境下,加密机可以对有严格保密性能要求的文件实施加密处理,以免重要文件遭到恶意窃取、篡改。
一般加密机的内部构造主要包括以下几个部分:密钥管理功能模块、后台进程功能模块、硬件加密功能模块、监程序功能模块。一旦接口需要连接,这时加密机便会为前台运行中提供 API,利用API为有加密需求的系统创建一个加密接口,如此一来便可以在系统运行期间通过加密机对系统进行加密处理。所以,加密机前台 API基本模式为 C库形式。加密机算法也非常多元化,比较常见的分别有对称加密算法、非对称加密算法等。
加密机的使用也体现了优势,加密机是一种能够实现点对点加密的信息技术设备,一般是用于广域网或城域网两个节点之间。换而言之,单位A和单位B的网络要实现连接,但是需要对传输内容进行保密,就要在A网络出口处放置加密机,B出口同样放置加密机,这样在这两个单位之间的信息传输。通过加密算法加密后,就脱离了普通的TCP/IP协议包,其他人即使截取也无法看见内容。由此可见,加密机的应用,主要优势体现在对双方传输内容的保密,极大地保证了连接的安全性,提高数据传输的水平。其中一些加密机带路由功能,有的不带则需要再加路由器。加密机一般不用于internet,网站中也几乎用不到,若网站要实现加密远程登录,可以直接使用VPN。
1.2 网络安全问题
如今社会已经正式步入互联网时代,在全民网络的大环境下,网络资源共享成为十分常见的现象,这也就带来了网络安全问题。其实网络安全、资源共享本身比较矛盾,现在的网络环境处于逐渐开放的状态下,更多共享信息的出现,势必会为一些不法分子提供机会[2]。对于当前的网络安全环境,能够为网络安全构成威胁的因素主要体现为以下几种:其一,网络黑客,其二,网络病毒。无论是以上哪一种,都会对网络安全造成极大的影响,所以必须要对网络安全维护加强重视。
2 加密机在网络安全中的应用
2.1 加密机的基础知识
针对系统内部有使用加密机需求的网络信息,多数都带有信息敏感性,类似于银行交易系统等。针对这一类网站系统均使用加密机对其进行加密处理,但是这一工作带有一定的繁琐性,其原因在于为了规避不法分子的攻击,确保系统安全。针对这一现象,可以使用加密机进行硬件加密,全面规避网络安全问题[3]。一般加密机都是三层密匙系统,对于存在差异性的密匙有各自的使用限制。
通常加密机密匙体系有三种,即工作密钥、传输主密匙、本地主密匙,所以在使用加密机进行网络安全维护时,便可以通过这三种体系来实现。其一,工作密钥。这种密钥的处理对象是一般数据,例如加密敏感信息报文和MAC校验等;其二,传输主密钥。该密钥是两台加密设备之间负责更换加密保护工作密钥的形式;其三,本地主密钥。本地主密钥也就是加密机主密钥,被存储于加密机内部,负责对存储于加密机以的所有密钥以及关键数据的密钥加密密钥进行保护。
对于加密机主密钥的生成,硬件加密机要在正式運行之前设置好系统参数,也就是加密机主密钥灌注。通常硬件级加密机所使用的灌注方式为分段、多人以及手工等形式,完成灌注主密钥则是通过加密机系统完成合成和储存[4]。加密机内有密钥自毁设备,针对一些非法获取主密钥的行为会自动开启自毁装置,确保主密钥安全。对于加密机传输主密钥的生成。通过加密机安全系统生成传输主密钥,一般是调用加密机的前台API,以此生成传输主密钥。
为了对传输主密钥安全进行保证,通常在生成密钥期间会同时形成3个左右的密钥分量,再合成这些密钥分量获取传输主密钥。为了对这一观点进行深入了解,下文以 Linux 系统为例,分析加密机传输密钥的生成。
在Linux 系统下,密钥函数的原型是:
Int HSMAPIGTransKey( int iKeyLen,intiKerType,char* bCKey,char* bCValue ) ;
需要输入参数:in t iKeyLen//密钥字节长度;
in t iKeyType//密钥类型:0×01;通信主密钥。
输出参数:
char* bCKey//LMK 加密的随机密钥密文;
char* bCValue//随机密钥验证码。
函数返回值:
0× 01://正确返回;
for(i = 0;i
{
ret = HSMAPIGTransKey (iKeyLen,iKeyType,&TransKey
[iKeyLen* i],check_value} ;
if(ret! = 0)
{
return ret;
}
}
通过该实例的分析可以确定的是,生成密钥的流程如下:第一,申请一个随机工作密钥,并通过硬件机密机之后生成,以此获取本地主密钥加密;第二,完成主密钥加密,这时申请的工作密钥也会转变为能够传输的工作密钥,利用网络将工作密钥发送到收信方计算机端口便可完成密钥生成。
对于加密机工作密钥的生成。针对以加密机加密网络安全的系统,完成传输主密钥生成之后,便要生成工作密钥[5]。通过工作密钥完成网络传输报文、敏感数据解密、MAC 校验等工作。为了对网络应用安全进行保证,工作密钥动态要同步进行。利用持续更新、同步工作密钥的方式对其安全进行保证。真正通讯期间,双方针对一些敏感信息需要利用工作密钥进行加密操作,对报文执行MAC加密。而接收报文的人员则要利用工作密钥,针对已经接收的报文实施MAC校验,对于其中蕴含的敏感信息实施解密。通过加密机请求生成工作密钥,并对前台API函数进行调用,加密机利用加密算法回到指定传输主密钥加密的工作密钥中,以网络传输的方式传递到对方主机中。
2.2 加密机在网络安全维护中的应用
2.2.1 搭建加密机应用框架
加密机硬件框架主要有硬件加密机、防火墙两个部分。其中防火墙在其中的作用,是在计算机接受外部访问期间设置首道安全障碍,为计算机安全进行保证,对设置的防火墙段筛选外部访问信息,保证信息的安全性,如果经过筛查发现带有恶意的非法信息,便可以通过防火墙直接将其隔离。通过防火墙之后,信息会受到硬件加密机的解密校验,以此完成安全性的再次筛选。对于一些比较高端的木马病毒、专业的黑客攻击,可以直接将其隔离。搭建这种框架主要作用在于能够实现系统内部报文的加密和解密,严格验证报文安全性、合法性,如果在其中发现一些非法性质的访问行为或者敏感信息,可以直接进行隔离处理,以免在网络传输过程中,或者接收信息之后对系统造成窃取和篡改,进而影响数据传输安全。在搭建过程中,需要注意两端密钥的统一性,也就是在对称密钥体系中,需要保证加密、解密两端密钥的一致性,一旦其中一端密钥被更改,另外一端密钥也需要更改,保证二者的一致性。所以将其中一端密钥更改,会直接打破整个体系,从而直接阻碍业务的继续。
2.2.2 加密机相关技术实践应用
在加密机相关技术中,对称密钥、非对称密钥加密是多种加密技术中最为常用的技术。其一,对称密钥加密算法中的发信方原始数据、加密密钥一般是利用算法完成操作,使其成为无法识别密文。将密文发送到收信方之后,要利用双方所共有的算法对其进行解密,使其恢复成为可读文件。该操作过程中密钥的需求仅有一个,便是双方要提前进行核准。其二,非对称密钥加密算法。这一算法中便有两个密钥,即公共密钥、私人密钥。这两种密钥性质完全不同,然而却可以支持互相匹配。利用非對称密钥机密算法加密文件时,必须要使用匹配性能好的两个密钥,方可进行文件加密以及解密。加密期间一般是使用公共密钥,而解密则是使用私人密钥,发信方要知晓接收方的公共密钥,然而私人密钥却只有收信方一方知晓。所以,使用非对称加密期间,收发双方正式通信之前,收信一方务必要自身的公共密钥提前告诉发信一方,将私人密钥自己保存。
在当前阶段的网络安全维护领域中,非对称密钥加密的应用非常普遍,比较常见的有银行金融系统数字证书,这就是通过公共密钥以及一个用户的多个属性私人密钥绑定的方式,使所有公共密钥都有数字证书。这一证书中主要包含用户的公共密钥、用户信息以及数字签名等内容,用户可以按照以上所有信息验证身份。有访问CA 公共密钥权限的收信方,都能够验证证书,以此明确用户是否有CA签名。在这期间不需要访问机密信息,并且收信方将自己的私人密钥解密之后,便可以随意查看个人信息,且保证不会被恶意窃取、篡改。因为这两种密钥都是大素数,所以可以保证密钥的安全性和可靠性。
2.3 应用加密机实现数据保护
在应用加密机进行网络安全维护过程中,其本身主要面临下面几种风险:第一,传输数据机密性遭到破坏,攻击人员利用非法手段获取了网络系统信息,或者是破译了信道数据,使内联网内容遭到泄露。其二,对传输数据的完整性进行了破坏,攻击人员将网络系统线路正在传输的数据进行了篡改,或者是利用数据传输过程中存在的失误、丢失等问题,破坏了数据完整性。其三,破坏了数据的真实性。攻击人员利用伪造网络系统数据的方式实施诈骗。第四,传输线路内缺乏高强度的隔离举措,攻击人员使用一些公众网络的口令破译方法,进入至网络系统中,从而破解内部网重要数据。
针对以上风险,可以采用加密机予以解决,使用国家主管部门要求的高强度密码算法,加密处理数据。但是一些以明文访问IP加密设备的行为,均会被认为非法访问遭到拒绝,所以即便攻击人员使用了非法方式进入内联网,并且顺利接入路由器,也无法对网络系统进行访问。除此之外,网络系统中的IP虚拟专用通道,也只有设置了IP密码设备才能够访问,并且加密通信,而没有运用加密机的单位则无法和配备了加密机的单位进行互联。
在使用加密机时,用户可以自己选择下面一种方式加密传输数据:第一,净荷加密形式。净荷加密其实就是通过直接加密数据包内部上层净荷数据的方式,完成数据的加密传输。这种加密方式可以不用修改原数据包头,其根本特点在于只是对净荷数据进行加密或解密,完全不用保护、修改数据包头,保证线路透明,并且不会占用非常多的IP地址。这种加密方式能够很好地适应 QoS,在数据传输方面体现了非常好的优势。第二,IPsec形式。IPsec有传输模式以及隧道模。这两种传输模式的运行原理如下:在IP包包头和上层数据中间加入IPsec头,并且对上层数据进行加密处理,在公共网络中完成数据的传输。这种加密方式的特点是对原有IP头信息进行了保留,也就是所谓的信源/宿地址维持原样不便,但凡是安全信息均包含在IPsec头内。传输方与接收方按照次序进行全封装传输以及拆封还原。此外,隧道模式的运行原理,则是首先将IP数据包进行完全加密,其次在其中加入IPsec头以及全新的IP头,这里运用到的全新IP头内涵盖了隧道源/宿地址,一旦在IPsec隧道经过的数据包传输到目的网关,也就是隧道另一端之后,通过IPsec头内部安全信息,针对完成加密的原IP包实施安全处理,并且把已经还原的高层数据,根据原IP头指定IP地址完成递交和传输,进而实现信源/信宿的安全传输,以实现加密机的有效运用。
通过以上分析,可以了解到加密机的基础知识以及在数据保护等方面的实际应用,需要在使用过程中确保环境的安全性,搭建加密机应用框架,并且应用正确的加密机相关技术,只有如此才能够保证网络体验安全。
3 结语
通过对网络安全维护中加密机应用的分析可知,在网络技术不断发展的当下,安全问题逐渐成为关注的焦点,而加密机的应用,能够解决黑客、病毒入侵等带来的安全问题,并且完善网络系统,为用户的网络体验提供安全保障。当然,加密机的使用依然存在有待完善之处,需要在未来的发展中不断研究加以优化。
参考文献
[1]翁永生.加密机在广东邮政个性化平台的应用[J].电子技术与软件工程,2014,(03):40-42.(2014-03-24)
[2]王志文,丁建锋,刘文斌. SCA电台与高保障IP加密机的一体化设计研究[J].信息安全与通信保密,2014,(07):74-78.
[3]曲英杰,黄东伟.可移动高性能电脑加密机控制模块设计[J].科技信息,2010,(05):70+38.
[4]张人上,李雅韵,安俊娥.基于加密机制模式的无线路由器网络安全设计[J].火力与指挥控制,2016,41(08):169-173.
[5]蒋溢,刘雨龙,罗宇豪.基于混沌Z-映射的QR码加密机制[J].计算机工程与设计,2016,37(09):2361-2365.endprint