密碼技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的運(yùn)用

王文博

[摘要]隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,大量的客戶數(shù)據(jù)資料都是聚集和存貯在計(jì)算機(jī)數(shù)據(jù)庫(kù)中,并在用復(fù)雜的通訊網(wǎng)連在一起的計(jì)算機(jī)和終端設(shè)備之間進(jìn)行傳輸。若沒(méi)有適當(dāng)?shù)姆雷o(hù)設(shè)施,非常容易造成信息的泄露和資料的被竊。公開(kāi)密鑰是相對(duì)于私密密鑰的密碼技術(shù)體制的一種,計(jì)算機(jī)網(wǎng)絡(luò)安全的維護(hù)可以通過(guò)端-端加密,鏈路-鏈路加密的方式實(shí)現(xiàn),而對(duì)于其算法,這里主要介紹安全性能較高的AES-Rijndael算法和較有前景的橢圓曲線密碼體制EEC算法。

[關(guān)鍵詞]密碼技術(shù) 公開(kāi)密鑰 網(wǎng)絡(luò)加密方式 AES-Rijndael算法 EEC算法

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0910058-01

因特網(wǎng)的普及使得網(wǎng)上存取和傳輸信息漸漸成為人們?nèi)粘Ｉ钏?。與此同時(shí),信息的安全性也越來(lái)越受到人們重視。數(shù)據(jù)在傳輸過(guò)程中的安全性體現(xiàn)得更為重要。密碼技術(shù)在網(wǎng)絡(luò)安全維護(hù)的作用體現(xiàn)在各個(gè)方面,這里主要介紹網(wǎng)絡(luò)通信中加密的途徑和加密算法。

一、密碼技術(shù)概述

密碼技術(shù)是研究信息系統(tǒng)安全保密的科學(xué),可以分為兩大類:秘密密鑰密碼體制和公開(kāi)密鑰密碼體制。公開(kāi)密鑰(publickcy)密碼體制最主要的特點(diǎn)就是使用不同的密鑰進(jìn)行加密和解密運(yùn)算,并且解密密鑰不能從加密密鑰變換獲得。公開(kāi)密鑰密碼體制包括:公開(kāi)密鑰PK和秘密密鑰SK,PK是公開(kāi)信息。加密密鑰不能用來(lái)解密,即DPK(EPK(X))≠X;用加密密鑰PK對(duì)明文X加密后,再用解密密鑰S解密,即可恢復(fù)出明文,或?qū)憺?DSK(EPK(X))=X;從已知的PK實(shí)際上不可能推導(dǎo)出SK;在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK;加密和解密的運(yùn)算可以對(duì)調(diào),即:EPK(DSK(X))=X?；谶@些特點(diǎn),它網(wǎng)絡(luò)安全維護(hù)中的作用也就顯得非常強(qiáng)大。

二、網(wǎng)絡(luò)通信中選用的加密方式

(一)端-端加密。端端加密方法是建立在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,這種方法要求傳送的數(shù)據(jù)從源端到目的端一直保持密文狀態(tài)。任何通信鏈路的錯(cuò)誤不會(huì)影響整體數(shù)據(jù)的安全性,如圖1所示:

對(duì)于這種方法,密鑰管理比較困難,如果加密在應(yīng)用層或表示層進(jìn)行,那么加密可以不依賴于所用通信網(wǎng)的類型。在端-端加密方式中,只加密數(shù)據(jù)本身信息,不加密路徑控制信息,信息在發(fā)送主機(jī)內(nèi)和中間節(jié)點(diǎn)也是加密的,用戶必須找到加密算法。用戶可以選擇加密,也可以決定施加某種加密手段,端-端加密方法將網(wǎng)絡(luò)看作是一種介質(zhì),數(shù)據(jù)能安全地從源端到達(dá)目的端#這種加密在OSI模型的高層進(jìn)行,在源端進(jìn)行數(shù)據(jù)加密,在目的端進(jìn)行解密,而在中間節(jié)點(diǎn)及其鏈路上將一直以密文形式出現(xiàn)。

(二)鏈路-鏈路加密。面向鏈路的加密方法將網(wǎng)絡(luò)看作鏈路連接的節(jié)點(diǎn)集合,每一條鏈路被獨(dú)立加密,鏈路-鏈路加密方式為兩個(gè)節(jié)點(diǎn)之間通信鏈路中的信息提供安全性,它與這個(gè)信息的起始或終結(jié)無(wú)關(guān)。如圖2所示,每一個(gè)這樣的鏈接相當(dāng)于OSI參考模型,建立在物理層之上。這種類型的加密最容易實(shí)現(xiàn)。

因?yàn)樗械膱?bào)文都被加密,黑客攻擊者無(wú)法獲得任何關(guān)于報(bào)文結(jié)構(gòu)的信息,也無(wú)法知道通信者,通信內(nèi)容,通信時(shí)間等信息。還可以稱之為信號(hào)流安全,這種加密方式中,密鑰管理相對(duì)來(lái)說(shuō)是簡(jiǎn)單的,只在鏈路的兩站節(jié)點(diǎn)需要一個(gè)共用密鑰。加密是在每條通信鏈路上獨(dú)立進(jìn)行的,每條鏈路上使用不同的加密密鑰。因此,一條鏈路上的錯(cuò)誤不會(huì)波及其他鏈路,影響其他鏈路上的信息安全,鏈路鏈路信息加密僅限于節(jié)點(diǎn)內(nèi)部,所以要求節(jié)點(diǎn)本身必須安全,另一個(gè)較大的問(wèn)題是維護(hù)節(jié)點(diǎn)安全性的代價(jià)。加密對(duì)用戶是透明的,通過(guò)鏈路發(fā)送的任何信息在發(fā)送前都先被加密,每條鏈路只需要一對(duì)密鑰,提供了信號(hào)流安全機(jī)制。

三、網(wǎng)絡(luò)傳輸安全維護(hù)中兩種性能較高的加密算法

(一)AES-Rijndael算法。Rijndael算法集安全、性能、效率、成本、通用性、可實(shí)現(xiàn)性和靈活性于一身。它可以在大型計(jì)算機(jī)、臺(tái)式機(jī)甚至智能卡上安全可靠地運(yùn)行。無(wú)論在反饋模式還是在非反饋模式中使用Rijndael,其軟件和硬件對(duì)計(jì)算環(huán)境的適應(yīng)性強(qiáng),性能穩(wěn)定,密鑰建立時(shí)間優(yōu)良,密鑰靈活性強(qiáng),存儲(chǔ)需求量低、即使在空間有限的環(huán)境使用也具備良好的性能,同Rijndael在抗能量攻和定時(shí)攻擊中易于運(yùn)行,能實(shí)現(xiàn)為一個(gè)流密碼、雜湊算法,并能提供輔助密碼服務(wù),此外又不會(huì)明顯改變Rijndael的性能。在分組長(zhǎng)度和密鑰長(zhǎng)度方面,Rijndael也具有一定的靈活性,該算法允許改變?nèi)?shù)。

AES-Rijndael替代算法的安全強(qiáng)度高于或等于3-DES,且有明顯更高的效率。其分組長(zhǎng)度至少為128bit,密鑰長(zhǎng)度可為128、192、256bit約有3.4×1038、6.2×1057、1.1×1077個(gè)可能的密鑰。假如有一臺(tái)每秒可試驗(yàn)255個(gè)密鑰(可恢復(fù)256bit DES的一個(gè)密鑰)的破譯機(jī),破譯128bit的Rijndael需要1.49×106億年,而宇宙的年齡不過(guò)200億年。估計(jì)Rijndael至少可以使用20年。

(二)EEC算法。1985年,Neal Koblitz和Victor Miller相互獨(dú)立地提出了EEC算法,即橢圓曲線密碼體制。EEC涉及深?yuàn)W的數(shù)論理論,一般僅用160-200位的密鑰便足以對(duì)付各種高保密需要。EEC作為公開(kāi)密鑰密碼體制中的一種,在堅(jiān)實(shí)的理論基礎(chǔ)上實(shí)現(xiàn)高度安全性,具有存貯效率、節(jié)約通信帶寬以及計(jì)算效率等多方面的優(yōu)越性,運(yùn)算非常有前途的密碼體制。

總之,從信息的保密性到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等是網(wǎng)絡(luò)安全的重要方面。雖然密碼技術(shù)和計(jì)算機(jī)安全是兩個(gè)截然不同的主題,但是計(jì)算機(jī)安全很多方面都依賴于密碼技術(shù),在信息傳輸過(guò)程中尤其如此。在常用的網(wǎng)絡(luò)傳輸方式中,AES-Rijndael算法,EEC算法具有很大的優(yōu)勢(shì),在實(shí)際中也得到了廣泛的運(yùn)用。

參考文獻(xiàn):

[1](美)D.E.R.丹寧,密碼學(xué)與數(shù)據(jù)安全[M].北京:科學(xué)出版社,2005:47-48.

[2]王漢強(qiáng)、魏慶福,一種基于Z/nZ上橢圓曲線的公鑰密碼算法[J].通信學(xué)報(bào),2004,8(2):158-162.

[3]王育民、劉建偉,通信網(wǎng)的安全——理論與技術(shù)[M].西安:西安:電子科技大學(xué)出版社,2001:12-18.

[4]楊千里、王育民等,電子商務(wù)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2006:117-119.