数据加密技术在计算机网络通信安全中的应用策略

2024-03-28祖晓明

信息记录材料 2024年2期

祖晓明

（大同师范高等专科学校山西大同 037039）

0 引言

计算机网络通信安全首先保障了个人隐私和数据机密性，从而建立用户的信任；其次维护了商业机密和知识产权的安全性，企业通过采用加密技术、访问控制和网络监测等措施，可以保护商业机密免受未授权的访问和竞争对手的窃取，维护其竞争优势；最后，计算机网络通信安全对于国家安全和公共利益也具有重要意义。现代社会依赖于关键基础设施和公共服务的正常运行，如电力系统、交通网络和金融系统。通过加强网络安全防护、网络监测和信息共享，可以减轻网络攻击可能对国家和公众利益造成的风险。本文旨在探讨数据加密技术在计算机网络通信安全中的应用策略，针对网络通信中的数据保护问题提供解决方案，重点研究不同类型的加密算法和协议，并分析适用场景和效果。

1 数据加密技术分类

1.1 对称加密与非对称加密

对称加密是使用同一把密钥进行加密和解密的加密方式，由于加密和解密过程中所使用的密钥是相同的，所以对称加密速度较快，适用于需要处理大量数据的情况。非对称加密，也称为公钥加密，试图解决对称加密中的密钥管理和分发问题。非对称加密使用一对密钥：公钥用于加密数据，私钥用于解密数据。任何人都可以使用公钥来加密信息，但只有持有对应私钥的接收者才能解密信息，信息的发送者和接收者不再需要事先共享密钥，降低密钥管理和分发的复杂性。然而，相比于对称加密，非对称加密通常需要更高的计算能力和更长的时间，不适用于需要加密大量数据的情况［1］。

1.2 常见的数据加密算法

高级加密标准（advanced encryption standard，AES）、数据加密标准（data encryption standard，DES）和椭圆曲线密码学（elliptic curve cryptography，ECC）是信息安全领域常见的数据加密算法。 AES 被设计用来替代较早的DES，AES 使用的密钥长度更长，可选择128 位，192 位或256位，因而相比于DES 的破解难度更大。与此同时，AES 的加密过程更为高效，可以处理大量数据，抵抗已知攻击，因此在文件和磁盘加密中成为理想选择。 DES 是最早被广泛采用的对称加密算法之一，使用56 位密钥来加密数据，由于密钥长度相对较短，随着计算能力的提升，已不能提供足够的安全性，但在硬件资源受限且对加密强度要求不高的环境中仍然可行。 ECC 是应用椭圆曲线数学理论的公钥加密技术，相较于传统的RSA 加密算法（Rivest-Shamir-Adleman）和数字签名算法（ digital signature algorithm，DSA），ECC 提供了更高的安全性和更短的密钥长度，在提供同等安全性的情况下，ECC 需要的计算资源和存储空间更少，尤其适合资源受限的环境，如嵌入式系统或移动设备。

1.3 数据完整性和身份验证

数据完整性是指数据在传输或存储过程中保持原始状态，没有被非法修改、删除或添加。保证数据完整性的方式包括散列函数或消息认证码。散列函数能将任意长度的输入数据映射到固定长度的输出，被称为散列值或摘要。基于散列函数的基本特性，尽管输入数据产生微小变动，散列值都会产生不同程度的差异，可以通过比较数据的散列值来检查数据是否被修改；消息认证码则是结合密钥和散列函数的技术，能检查数据完整性、确认数据来源。基于散列函数和消息认证码来保证数据完整性的方法如图1 所示。身份验证是确认实体（可以是人、设备或系统）的身份，对于机器或系统来说，身份验证通过公钥基础设施实现，包括数字证书和数字签名等技术。数字证书由第三方证书机构签发，确认公钥所有者；数字签名则利用发送者的私钥对数据进行签名，接收者通过公钥验证签名从而确认数据的来源［2］。

图1 通过散列函数和消息认证码来保证数据完整性示意图

2 数据加密在网络通信安全中的应用

2.1 安全套接字层和传输层安全协议（SSL／TLS）

安全套接字层（secure socket layer，SSL）和传输层安全（transport layer security，TLS）协议是两种广泛应用于互联网的加密协议，为网络数据通信提供安全保障。 SSL 的提出时间较早，TLS 则是后续版本，逐渐替代SSL 成为当前最常用的协议。 SSL／TLS 协议可以保护数据的机密性和完整性，同时也提供了身份验证的功能。在SSL／TLS 协议中，数据加密基于对称加密技术实现，例如AES 或者ChaCha20 等，可以处理大量数据。而密钥的交换则是通过非对称加密技术实现的，例如RSA 或者椭圆曲线迪菲－赫尔曼临时密钥交换（elliptic curve Diffie-Hellman ephemeral，ECDHE）等，保证密钥的安全传输，防止密钥在传输过程中被窃取。例如，当在浏览器中输入以https 开头的网址时，浏览器会请求服务器通过SSL／TLS 协议建立安全连接。在此过程中，服务器会向浏览器提供其数字证书，由第三方机构（称为证书颁发机构）签发，并证明网站身份。当用户访问和使用HTTPS 网站时：首先浏览器会请求该网站的SSL 证书，其次验证证书颁发机构是否有效以及网站是否匹配，最后再确认服务器身份，与服务器协商一组密钥用于加密后续的通信内容。即使数据在传输过程中被拦截，攻击者也无法解密数据；由于证书的存在，使用者也可以确认正在连接的服务器是期望连接的服务器，而不是假冒服务器。

2.2 互联网安全协议（internet protocol security，IPsec）

网络层安全协议是用于在Internet 协议IP 网络中保护数据的协议，解决网络数据在传输过程中可能出现的安全问题，包括数据的机密性、数据的完整性以及数据的来源认证。 IPsec 主要包含两个重要的协议：认证头和封装安全载荷（encapsulating security payload，ESP），认证头协议主要负责提供数据完整性和来源认证，但并不能提供机密性保护。而封装安全载荷协议则可以提供数据的机密性、完整性和来源认证，两种协议可单独或联合使用，以适应不同的安全需求。 IPsec 运作过程需要密钥管理和分配，由互联网密钥交换（internet key exchange，IKE）协议完成。 IKE 通过名为迪菲－赫尔曼的密钥交换技术，可以忽视网络安全性并进行密钥交换，IKE 协议会定期更新密钥，以防止密钥被破解。 IPsec 灵活性较高，在隧道模式下，IPsec 可以在网络中的任意两点（例如两台路由器或防火墙）之间提供保护，经过两点之间的IPsec 隧道的数据都会得到保护。 IPsec 常见的用途是创建虚拟专用网络（virtual private network，VPN），当公司员工需要从家中或出差地点访问公司内部的网络资源时，员工电脑和公司VPN 服务器建立IPsec 隧道，就可以安全访问公司网络资源［3－4］。

2.3 安全电子邮件

现代网络环境中，安全电子邮件通信成为维护个人和企业信息安全的重要方法，现行安全电子邮件的技术标准是安全／多用途互联网邮件扩展（secure／multipurpose internet mail extensions，S／MIME）和优良保密协议（pretty good privacy，PGP）。 S／MIME 是基于公开密钥基础设施（public key infrastructure，PKI）的安全协议，用于提供电子邮件的机密性和数据完整性。 PGP 同样提供电子邮件的加密和签名服务，使用“网络信任模型”完成密钥管理，用户可以选择信任其他用户的公钥，建立验证公钥身份的信任网络。

2.4 在线支付和电子商务的安全

在线支付和电子商务的安全依赖于多种技术标准，在线交易应通过安全通信通道进行，如使用SSL 或TLS 协议的超文本传输安全协议（hypertext transfer protocol secure，HTTPS）连接，确保用户与网站服务器之间通道的安全性，防止数据在传输过程中被窃取。此外，为防止信用卡信息泄露，部分在线支付平台采用代理支付方式，即用户信用卡信息由支付平台进行处理，降低商家风险，减少用户信息在多个地方存储的可能性。然而，用户也需要对个人行为进行审计以保护个人信息安全，应当对访问的网站进行验证，确认是否使用HTTPS 连接，避免在公共无线网络下进行敏感交易，以及定期更改密码并启用两步验证等。例如，支付宝是由我国阿里巴巴集团开发的在线支付平台，广泛应用于我国电子商务领域。支付宝的服务器需要使用经过可信证书颁发机构签发的SSL／TLS 证书。当用户连接到服务器时，服务器会提供证书，客户端可以通过验证证书的签名来确认服务器的身份，防止“中间人攻击”，确保用户连接到真正的支付宝服务器，而不是伪造的站点［5］。

3 数据加密的挑战和未来发展

3.1 量子计算对加密技术的威胁

数据加密技术的未来发展可能由量子计算逐步塑造，量子计算利用量子力学的特性，如叠加和纠缠，以在处理大量信息时实现更高的效率，部分应用领域中量子计算的效率超越了传统计算机。量子计算对于加密技术带来的威胁主要表现在对公钥密码体系的潜在破坏，现代加密算法，如RSA 和ECC 依赖于大数因子分解或离散对数问题。然而理论上一台量子计算机能在多项式时间内解决复杂数学问题，意味着现有公钥密码体系可能面临崩溃。然而，量子密钥分发利用量子力学的特性提供了在理论上无法破解的加密方法，利用了量子力学的不确定性原理和无法复制原理，直接暴露第三方无法拦截和复制密钥。量子系统量子态容易受到外部环境的噪声和干扰，称为退相干，导致量子系统与周围环境相互作用，使得量子态的有用信息丧失。在量子通信中该现象尤为严重，量子信号在传输过程中容易与环境相互作用，丧失传输的信息。退相干限制了量子通信的传输距离，也给量子信息的存储和处理带来了难题。为突破量子通信距离的限制，科学家们提出了量子中继和量子纠缠等技术。量子中继是通过在通信链路中设置中继节点，用于刷新和传递量子信号。量子纠缠允许量子系统之间进行即时、非本地相互作用的现象，可用来创建复杂量子通信网络。

3.2 数据加密新技术及趋势

同态加密技术被视为数据加密领域的一项重大进步。同态加密技术允许在加密状态下对数据进行加法、乘法等数学运算，通过解密操作获取最终结果，无须暴露原始数据。传统加密系统中需要解密数据，执行计算操作，再重新加密结果。同态加密技术主要分为部分同态加密和完全同态加密。部分同态加密允许对加密数据进行特定类型计算，通常是加法或乘法，而不是支持加法和乘法，如基于RSA 的加法同态加密可对两个加密数值进行加法操作得到加密的和，但不能对乘法进行同样操作［6］；完全同态加密允许在加密状态下进行任意计算操作，包括加法和乘法，意味着可以对加密数据执行多个计算步骤，通过解密操作获取最终结果，而无须知道原始数据，但此技术实现更加复杂，计算成本较高。

3.3 隐私法规对数据加密的影响

随着全球范围内对数据隐私保护的关注度日益提升，各类隐私法规的不断出台和完善对数据加密技术产生深远影响。一方面，隐私法规为数据加密提供广阔的应用场景和严格的规范标准；另一方面，隐私法规提出新技术的研发要求和法律责任。以欧洲的通用数据保护条例为例，该法规对数据的收集、处理和传输等环节提出了严格的要求，而数据加密是企业达到要求的有效途径之一［7］。然而，随着隐私法规的增强，对数据加密的安全性和有效性提出更高的要求，需要数据加密技术能够应对更复杂的安全威胁，如高级持续性威胁等。隐私法规要求企业在处理个人数据时提供足够的透明度和可控性，就更需要数据加密技术去支持更细致的权限控制和访问管理。更重要的是，隐私法规的执行强化意味着企业需要承担的责任风险较大，因此，企业需要投入更多人力、财力和时间资源，来保证数据加密技术的更新和维护。包括跟随标准的技术迭代和防范新型威胁，还涉及系统兼容性的调整和故障的持续修复，需要专业团队的支持并有充足预算实现［8－9］。