加密系統在網絡計費系統中的具體實現

韋　文

摘 要：網絡計費流程改造實際是利用一個網絡通信系統實時傳送計費信息。既然數據是在網絡中傳送，這必然涉及網絡的安全問題，如何加強網絡通信的安全性，鏈路加密、端端加密是最常用且最有效的手段。

關鍵詞：網絡計費；加密；算法

1 網絡計費需要加密安全

網絡計費需要保證信息安全，如何加強密鑰安全是一個重要問題，可以通過改進加密系統以及密鑰的生成來提高RSA系統的安全性。例如可以通過實例將DES加密算法與RSA加密算法的結合，以此來提高通信系統數據傳輸的安全性。一個通信系統結構框圖如圖1所示。

對于局域網通信，可采用以下兩種具體措施進行加密傳輸。這些措施的加、解密功能都可以采用下述算法實現。

1.1 鏈路加密

鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各臺節(jié)點機，信息在每臺節(jié)點機內都要被解密和再加密，依次進行，直至到達目的地。

1.2 端——端加密

端——端加密是為數據從一端傳送到另一端提供的加密方式。數據在發(fā)送端被加密，在最終目的地(接收端)解密，中間節(jié)點處不以明文的形式出現。采用端一端加密是在應用層完成，即傳輸前的高層中完成。除報頭外的的報文均以密文的形式貫穿于全部傳輸過程。只是在發(fā)送端和最終端才有加、解密設備，而在中間任何節(jié)點報文均不解密，因此，不需要有密碼設備。同鏈路加密相比，可減少密碼設備的數量。另一方面，信息是由報頭和報文組成的，報文為要傳送的信息，報頭為路由選擇信息。由于網絡傳輸中要涉及到路由選擇，在鏈路加密時，報文和報頭兩者均須加密。而在端一端加密時，由于通道上的每一個中間節(jié)點雖不對報文解密，但為將報文傳送到目的地，必須檢查路由選擇信息，因此，只能加密報文，而不能對報頭加密。這樣就容易被某些通信分析發(fā)覺，而從中獲取某些敏感信息。

1.3 加密傳輸方式的比較

數據保密變換使數據通信更安全，但不能保證在傳輸過程中絕對不會泄密。因為在傳輸過程中，還有泄密的隱患。采用鏈路加密方式，從起點到終點，要經過許多中間節(jié)點，在每個節(jié)點地均要暴露明文(節(jié)點加密方法除外)，如果鏈路上的某一節(jié)點安全防護比較薄弱，那么按照木桶原理(木桶水量是由最低一塊木板決定)，雖然采取了加密措施，但整個鏈路的安全只相當于最薄弱的節(jié)點處的安全狀況。

采用端一端加密方式，只是發(fā)送方加密報文，接收方解密報文，中間節(jié)點不必加、解密，也就不需要密碼裝置。此外，加密可采用軟件實現，使用起來很方便。在端一端加密方式下，每對用戶之間都存在一條虛擬的保密信道，每對用戶應共享密鑰(傳統密碼保密體制，非公鑰體制下)，所需的密鑰總數等于用戶對的數目。對于幾個用戶，若兩兩通信，共需密鑰n*(n-1)/2 種，每個用戶需(n-1)種。這個數目將隨網上通信用戶的增加而增加。為安全起見，每隔一段時間還要更換密鑰，有時甚至只能使用一次密鑰，密鑰的用量很大。

鏈路加密，每條物理鏈路上，不管用戶多少，可使用一種密鑰。在極限情況下，每個節(jié)點都與另外一個單獨的節(jié)點相連，密鑰的數目也只是n*(n -1)/ 2種。這里n是節(jié)點數而非用戶數，一個節(jié)點一般有多個用戶。從身份認證的角度看，鏈路加密只能認證節(jié)點，而不是用戶。使用節(jié)點A密鑰的報文僅保證它來自節(jié)點A。報文可能來自A的任何用戶，也可能來自另一個路過節(jié)點A的用戶。因此鏈路加密不能提供用戶鑒別。端一端加密對用戶是可見的，可以看到加密后的結果，起點、終點很明確，可以進行用戶認證。

鏈路加密在鏈路兩端都使用加密設備，保障了整個通信鏈路的安全，但需提供多個密鑰，需頻繁地加、解密，在節(jié)點中數據易受到攻擊。端端加密僅在通信線路的兩端加、解密，可有效防止對網絡上鏈路和兩端節(jié)點的攻擊，但由于中間節(jié)點無法讀取報頭，無法為傳輸的數據選擇路由，所以報頭必須以明文形式傳輸，用戶數據可加密傳輸，雖然用戶數據部分安全，但易受到業(yè)務流量分析的攻擊。總之，鏈路加密對用戶來說比較容易，使用的密鑰較少，而端一端加密比較靈活。對鏈路加密中各節(jié)點安全狀況不放心的用戶也可使用端一端加密方式。

2 網絡計費系統流程改造

2.1 網絡計費流程簡介

在網絡企業(yè)中，最終提供到用戶手中的賬單的生成分為兩部分，即原始通話記錄和話單分揀處理。原始通話記錄在交換機中直接生成，不同的交換機生成的原始通話記錄制式不同，原始計費文件格式有相當的差別，有的交換機生成的原始通話記錄文件可直接通過后臺進行閱讀處理，有的則需要進行轉換處理，現在一般采取后一種方式。以德國西門子公司生產的EWSD數字程控交換機為例，交換機所帶的每一用戶的每一次成功通話都要經過摘機一通話一掛機三個步驟，從摘機開始交換機即對其監(jiān)控，通話結束后立即形成一個通話記錄，根據通話的性質存在于不同的文件中，如長話通話通常存在的文件為工A工CAMA。通常來講，這個計費文件的空間應相當大，因為一個交換機通常帶上萬甚至幾十萬個用戶，因此而產生的通話記錄非常多，形成的計費文件也就非常大。通常，每隔一定的時間就要對計費文件進行處理一次，通過光盤(磁盤)將計費文件從交換機中拷貝出來，送交帳務處理中心進行分揀，一個月中取出過多次計費文件就要對其進行復合連接，形成一個完整文件，以保證用戶賬單的連續(xù)性、準確性。經過帳務處理，形成每一用戶的通話賬單。

2.2 網絡計費流程的改造

最初的計費流程存在較多的不安全性，方式比較原始，不能夠適應日益高速發(fā)展的通信業(yè)的要求，大量人為因素存在，計費的及時性、實時性很難保證。在這個環(huán)路中，哪一個環(huán)節(jié)出現問題，帶來的問題可能就是巨大的。為解決這一問題，必須采用實時計費的方式，圖2所描述的即是方法之一。

實時計費主要是利用了計算機網絡對計費數據及時傳送。從EWSD交換機的LAU板上連接125線纜，以雙備份的形式連接到采集器上，采集器的主要作用是采集計費數據，它實際上是一個采集網關，由交換機定時向其傳送計費數據，它在采集計費數據的過程中并不改變文件的性質，更不改變其內容，它實際上起到了一個協議轉換的作用，文件在交換機與采集器之間是通過125協議傳輸，經過采集器的功能轉換，在以后的傳輸過程中是利用TCP.IP協議進行傳輸，它同時還對文件有校驗的功能。采集器與計算機局域網相連，它通過HUB傳到局域網中，由特定的服務器對其內容進行采集。

采用了圖2所示的方式可以實現實時計費功能擴展，但由于計算機通信的相對開放性，這期間必然存在安全隱患。且計算機通信中不可避免地存在數據丟包現象，這必然要影響到計費的準確性。因此必須對兩種計費傳送方式做一個比較，在認為相對安全且條件成熟時方可正式使用。

3 網絡計費流程改造加、解密算法的實現

3.1 通信網中的加密方式使用

由于鏈路加密、端端加密各有自己的優(yōu)缺點，將兩種加密方式結合起來使用可很好地提高網絡的安全性。主機之間用端端加密方式加密數據報中用戶的數據部分，用鏈路加密方式對整個數據報再加密。當數據在網絡中傳遞時，每一節(jié)點都首先使用鏈路加密密鑰去解密數據報以讀取報頭，確定了路由以后，繼續(xù)用下一鏈路加密密鑰去加密，并繼續(xù)在網絡中傳送，直至端節(jié)點。用這種方式在網絡中傳輸數據，除了內部節(jié)點有數據報頭明文出現外，整個網絡中傳送的都是加密的數據，大大提高了網絡的安全性。具體實現方式見圖3，其中圖中兩個黑色小圖標表示端端加密，其它鏈路上的小圖標表示在各段鏈路上實現鏈路加密。

3.2 通信網中的加、解密算法的實現

本通信系統是基于工nternet的客戶/服務器方式建立的。用三重DES算法加密要傳送的明文數據，接受方用同樣的密鑰進行解密，從而獲得明文數據。之所以用三重DES算法是為了增強其加密強度，它的密鑰長度為128-129bit 。 設三重DES的密鑰分別為K₂、K₂，K₂、K₂等信息用RSA算法對其加密和數字簽名及身份認證等運算，身份認證后，將傳送的用戶數據信息進行加密、解密，完成正常的數據通信。

由于對稱密碼算法加、解密速度快，密鑰不便于傳遞，加密強度不高，本系統中傳送的用戶數據信息是實時傳送，恰恰需要高效、快速的加、解密處理。通信系統中常常需要同時傳送多路信息，需要有多個私有密鑰，利用公鑰密碼對其進行密鑰管理、傳遞密鑰及數字簽名等可提高安全性。將二者結合可使用戶數據信息安全高效地加密傳遞。

設傳送的明文數據信息為M，用三重DES算法進行加、解密。發(fā)送方A端(交換機)先用第一個密鑰加密，然后用第二個密鑰解密，最后用第一個密鑰加密。密文數據用C表示，兩個密鑰分別為K₂，K₂，則：

C=Ek，(D，2(E k，(M )))

用RSA算法對系統進行密鑰加密及數字簽名。假設發(fā)送方和接受方分別為A，B，A 的三重DES密鑰分別為K Kz記為MoA 的私人密鑰由自己保管，公開密鑰由B以一定條件從CA處獲得，B的私人密鑰和公開密鑰以同樣方式保管。

加、解密過程和數字簽名過程如下：

(1)A 用私人密鑰對密鑰簽名，記為S，(M )。

(2)A用他從B處獲得的公開密鑰對簽名的信息加密，并且送給Bo，記為ER(Sa(M))。

(3)B用他的私人密鑰解密，DA(Ed(S，(M)))= S，(M )。

(4) B用A的公開密鑰驗證，并恢復出密鑰V}(S，(M )) =M，

至此，三重DES密鑰就可由A安全送至B處，通過解密得到密鑰，并且對A、B雙方進行了數字簽名和身份認證。

參考文獻

[1]盧開澄.計算機密碼學一計算機網絡中的數據保密與安全[M].清華大學出版社，2003.

[2][美]Tom Shaug hnessy Toby J.Telre.Cisco著，孫義等譯.初學者指南[M].機械工業(yè)出版社，2002.