密碼技術(shù)在高校網(wǎng)絡安全中的應用研究

張小林

摘要：隨著信息化社會的發(fā)展，網(wǎng)絡已經(jīng)成為人們不可或缺的生活必需品。網(wǎng)絡用戶日常在網(wǎng)絡上的交流、瀏覽記錄都會被記錄，這些都可能會被非法獲取從而，嚴重地影響了公民的利益和安全。因此，現(xiàn)代密碼學迫切需要找到保護敏感或機密信息的方法。有效的數(shù)據(jù)加密和解密是網(wǎng)絡空間安全的關(guān)鍵。我們需要將信息轉(zhuǎn)換為一種不可讀的格式，以便它可以受到保護，并且只有授權(quán)訪問它的人可以這樣做。校園網(wǎng)作為互聯(lián)網(wǎng)的一部分，由于校園網(wǎng)的獨特屬性，在享受互聯(lián)網(wǎng)提供的服務時更容易受到攻擊。該文從密碼學技術(shù)為契機，介紹了密碼技術(shù)在高校安全建設中的應用。

關(guān)鍵詞： 網(wǎng)絡安全;密碼技術(shù);數(shù)據(jù)庫加密

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）33-0006-03

開放科學（資源服務）標識碼（OSID）：

Research on the Application of Cryptography in Network Security in Universities

ZHANG Xiao-lin

（Information Construction and Management Division， Anqing Normal University， Anqing 246133， China）

Abstract： With the development of information society， network has become an indispensable necessity for people's life. The daily communication and browsing records of network users on the network will be recorded， which may be obtained illegally， which seriously affects the interests and safety of citizens. Therefore， modern cryptography urgently needs to find methods to protect sensitive or confidential information. Effective data encryption and decryption is the key to Cyberspace Security. We need to convert the information into an unreadable format so that it can be protected and only those authorized to access it can do so. As a part of the Internet， campus network is more vulnerable to attack when enjoying the services provided by the Internet due to its unique attributes. This paper introduces the application of cryptography in the security construction of universities.

Key words： network security; cryptography; database encryption

1 背景研究

1.1 密碼學簡介

密碼學是保護計算機通信信息的重要工具。它是一種將數(shù)據(jù)轉(zhuǎn)換成不可讀格式的藝術(shù)，以便只有預期的接收方能夠理解和使用它。同時也是一門將重要的秘密信息隱藏起來以防止未經(jīng)授權(quán)的人侵犯的藝術(shù)和科學。一般來說，密碼學是關(guān)于保護和保護信息不受網(wǎng)絡罪犯或除預期接收者以外的任何人的攻擊。密碼學使人們能夠在互聯(lián)網(wǎng)上進行通信，安全地傳輸關(guān)鍵的機密信息。因此，密碼學允許用戶使用公共或私人媒體，如互聯(lián)網(wǎng)進行網(wǎng)上購物，避免成為罪犯和密碼嗅探器的受害者。密碼學是由加密和解密密鑰發(fā)起的。將純文本編碼并轉(zhuǎn)換為不可讀格式的過程稱為加密;而使用特殊的數(shù)字密鑰對不可讀文本進行解碼并將其轉(zhuǎn)換為可讀信息的過程稱為解密，加密的唯一目的是保護通過公共網(wǎng)絡傳輸?shù)男畔?、電子郵件、信用卡詳細信息和其他個人數(shù)據(jù)。加密和解密過程對于高敏感信息的通信是必不可少的。即使密碼學被用來將信息轉(zhuǎn)換成一種不可讀的格式，我們也不能絕對肯定機密數(shù)據(jù)不會被越來越聰明的網(wǎng)絡罪犯訪問[1]。

1.2 密碼技術(shù)概述

對稱加密技術(shù)[2]，它使用相同的數(shù)字密鑰進行加密和解密。它也被稱為私鑰、個人密鑰、私鑰和共享密鑰。盡管命名鍵并不完全相同，但它們彼此是相關(guān)的。然而，對稱密碼學是一種較弱的信息保護技術(shù)。因為它很容易被破譯，所以很容易受到犯罪分子的攻擊，也很容易被黑客攻擊。不過，如果計劃周密并仔細執(zhí)行，解碼的風險就會降低。密碼學技術(shù)使用不同的數(shù)字密鑰對信息進行加密和解密。在非對稱密碼學中，最終用戶使用一對數(shù)字密鑰。一個數(shù)字密鑰用于加密，另一個密鑰用于解密。這些數(shù)字密鑰稱為公鑰和私鑰。兩個鍵都是不同的。因此，一般的觀點是，非對稱密碼學是相當安全的。非對稱密碼學中使用的一種技術(shù)是將密鑰分配給特定類型的數(shù)據(jù)。非對稱密碼學中另一個有趣的概念是使用由公開密鑰持有者或發(fā)送方分配的隨機數(shù)字密鑰。它也被稱為對數(shù)字密鑰，必須用于加密和解密信息。

公鑰密碼學不同于秘密數(shù)字密鑰密碼學的概念，公開數(shù)字密鑰使用一對數(shù)字密鑰。雙密鑰系統(tǒng)使雙方通信更加安全。在這種類型的密碼學中，每個通信方都有一對密鑰。一個是秘密的，另一個是公開的。公鑰在他們之間共享。發(fā)送信息時，發(fā)送方將使用公鑰加密信息。一旦接收方得到加密的信息，他就使用他的密鑰將信息解密為可讀的形式。這種加密方式不需要任何數(shù)字密鑰，因為它使用一個固定長度的散列值加密成明文。密碼學發(fā)展到現(xiàn)在，已經(jīng)有了許多分支，不僅僅是數(shù)字密鑰這些內(nèi)容。還有很多別的新科技，本文不再贅述，接下來開始講一講密碼學原理和密碼技術(shù)應用的現(xiàn)狀。

哈希鍵的目的是確保原始信息不被篡改。這是單向加密。它使用算法來促進交流。哈希鍵通常提供數(shù)字指紋，以確保文件沒有損壞或感染病毒。哈希鍵還可以幫助計算機管理員加密密碼。

1.3 密碼學原理

機密性：加密是密碼學的重要原理之一。這一原則表明，必須對消息或信息進行加密，使其變得不可讀，以保護個人的隱私。該原理還表明，信息的接收方必須使用特殊的數(shù)字密鑰對接收的信息進行解密。

真實性：密碼學的一個重要原則是識別信息的來源。一旦確定了信息源，就很容易安全地進行通信。身份驗證只能通過提供一個特殊的密鑰交換，由發(fā)送方據(jù)此來證明他/她的身份。

完整性：發(fā)送給接收者的信息的完整性非常重要。這一原則表明，密碼學通過提供代碼和數(shù)字密鑰來確保數(shù)據(jù)的完整性，以確保我們從預期的人那里收到的是真實的。接收方保證在傳輸過程中接收到的信息沒有被修改或泄露。例如，使用加密散列來確保信息的完整性。

不可否認性：這一原則確保信息的發(fā)送者不能否認他/她從未發(fā)送過信息這一事實。該原則使用數(shù)字簽名來防止發(fā)送方否認數(shù)據(jù)的來源[2]。

1.4 應用現(xiàn)狀

加密算法對明文（加密前的原始消息）進行各種替換和轉(zhuǎn)換，并將其轉(zhuǎn)換為密文（加密后的亂碼消息）。許多加密算法在信息安全領域得到了廣泛的應用。密碼學中密鑰的選擇非常重要，它直接關(guān)系到加密算法的安全性。加密算法的強度依賴于密鑰的保密性、密鑰的長度、初始化向量以及它們?nèi)绾我黄鸸ぷ?。非對稱加密技術(shù)的速度大約是對稱加密技術(shù)的1000倍，這使得它在試圖加密大量數(shù)據(jù)時不切實際。另外，為了獲得與對稱加密相同的安全強度，非對稱加密必須使用比對稱加密技術(shù)更強的密鑰。近年來，網(wǎng)上購物、股票交易、網(wǎng)上銀行、電子賬單支付等許多基于互聯(lián)網(wǎng)的應用出現(xiàn)了。這種通過有線或無線公共網(wǎng)絡進行的交易需要端到端的安全連接，應該是保密的，以確保數(shù)據(jù)的身份驗證、可靠性和保密性、完整性和可用性。安全是保護信息和服務免受意外或未經(jīng)授權(quán)的訪問、更改或破壞的機制。網(wǎng)絡安全的基礎是密碼學，這是一種轉(zhuǎn)換信息的科學和藝術(shù)，使其安全且不受攻擊[3]。加密是保證敏感信息安全的主要手段之一。

大多數(shù)人在網(wǎng)絡空間交流或發(fā)送數(shù)據(jù)的風險都是自己承擔的。當我們出于各種目的使用互聯(lián)網(wǎng)時，我們傳輸?shù)氖撬饺诵畔⒑兔孛堋２还芪覀兿矚g與否，網(wǎng)絡空間里的信息都可能會被網(wǎng)絡罪犯竊取。信息安全應該是全世界計算機用戶最關(guān)心的問題?，F(xiàn)代密碼學需要提供保護和數(shù)字密鑰，以確保在網(wǎng)絡空間傳輸?shù)男畔⒈３滞暾桶踩?。加密和解密技術(shù)必須得到改進，以確保對真正的互聯(lián)網(wǎng)用戶提供最高級別的安全。在這個數(shù)字時代，我們面臨的挑戰(zhàn)是如何智勝網(wǎng)絡罪犯，讓發(fā)送者和收件人都能心安理得。我們需要把我們的信息轉(zhuǎn)換成不可讀的形式，這樣我們的數(shù)據(jù)才能得到保護，才能安全到達目的地。今天，在信息化的時代，我們的知識產(chǎn)權(quán)受到損害的風險越來越大，成為欺騙、欺詐和假冒的受害者。因此，我們需要強大的密碼學來保護我們免受這些罪犯的傷害。盡管密碼技術(shù)發(fā)展至今，作用有利有弊，但隨著國家對網(wǎng)絡安全的重視，《數(shù)據(jù)安全法》出臺，更加明確地提出了隨數(shù)據(jù)安全的要求，密碼技術(shù)將在高校的各種應用場景中得到應用和發(fā)展。

2 加密技術(shù)應用于網(wǎng)絡數(shù)據(jù)庫

2.1 學校后臺數(shù)據(jù)庫加密的必要性

高校在擁有高密集度的人群，同時也擁有大量的應用系統(tǒng)，存儲著師生的各類信息，因此高校的信息系統(tǒng)后臺的數(shù)據(jù)必須得到保護，目前僅依賴外圍安全和數(shù)據(jù)庫訪問控制不能提供足夠的安全性。打包數(shù)據(jù)庫加密解決方案已被證明是保護敏感數(shù)據(jù)的最佳替代方案。這是一個特殊而復雜的解決方案領域，如果內(nèi)部資源不具備與IT環(huán)境相關(guān)的加密專業(yè)知識，則應該使用外 部專業(yè)知識來確保卓越的性能。數(shù)據(jù)庫安全是一個廣泛的研究領域，包括諸如統(tǒng)計數(shù)據(jù)庫安全，入侵檢測，以及最近的隱私保護數(shù)據(jù)挖掘，設計既保護個人信息的隱私和所有權(quán)又不妨礙信息流動的信息系統(tǒng)。第一個是要加密或解密的數(shù)據(jù)粒度。字段、行和頁是備選項。該字段是最好的選擇，因為它將最小化加密的字節(jié)數(shù)。然而，正如我們所發(fā)現(xiàn)的，這將需要在關(guān)系數(shù)據(jù)庫或數(shù)據(jù)庫服務器中嵌入加密的方法。第二個維度是加密算法的軟件和硬件實現(xiàn)?；诩用芩惴ㄓ布墝崿F(xiàn)的關(guān)系數(shù)據(jù)庫中的加密需要大量的加密操作啟動成本。每個模型還提供不同的操作性能、調(diào)優(yōu)可能性和加密卸載功能。

2.2 加密技術(shù)及流程

（1）數(shù)據(jù)庫加密

數(shù)據(jù)庫級加密允許信息系統(tǒng)后臺在數(shù)據(jù)寫入和讀取數(shù)據(jù)庫時保護數(shù)據(jù)的安全。這種類型的部署通常在數(shù)據(jù)庫表的列級完成，如果結(jié)合數(shù)據(jù)庫安全和訪問控制，可以防止關(guān)鍵數(shù)據(jù)的竊取。數(shù)據(jù)庫級加密保護DBMS中的數(shù)據(jù)，還可以防止各種威脅，包括存儲介質(zhì)盜竊、眾所周知的存儲攻擊、數(shù)據(jù)庫級攻擊和惡意dba。數(shù)據(jù)庫級加密消除了應用程序級模型中需要的所有應用程序更改，并解決了通過使用存儲過程和觸發(fā)器在DBMS中嵌入業(yè)務邏輯的日益增長的趨勢。加密服務的位置——本地服務、遠程過程服務或網(wǎng)絡附加服務。選擇實現(xiàn)點不僅從集成的角度規(guī)定了需要完成的工作，而且還會顯著影響整個安全模型。數(shù)據(jù)加密越早，環(huán)境就越安全——然而，由于應用程序和數(shù)據(jù)庫環(huán)境中的分布式業(yè)務邏輯，數(shù)據(jù)一進入網(wǎng)絡就進行加密并不總是可行的。存儲級加密使學校后臺能夠在存儲子系統(tǒng)上對數(shù)據(jù)進行加密，可以是在文件級（NAS/DAS）上，也可以是在塊級SAN上。這種類型的加密非常適合加密文件、目錄、存儲塊和磁帶媒體。根據(jù)學校的經(jīng)驗，數(shù)據(jù)庫隱私作為一種基礎設施服務是一種可行的模式，已經(jīng)逐漸成為大多數(shù)應用程序的成功產(chǎn)品。學校后臺首先必須采用只加密敏感字段的方法。其次，該級別的加密必須考慮利用硬件來提高安全性級別，并可能減輕加密過程的負擔，以最大限度地減少對性能的影響。這種類型的加密的主要弱點是它不能防止應用程序級的攻擊，因為加密功能是嚴格在DBMS中實現(xiàn)的[4]。

（2）透明加密技術(shù)

針對數(shù)據(jù)庫系統(tǒng)的安全需求，使用TDE透明加密技術(shù)，利用安全的密鑰管理保證數(shù)據(jù)庫加密密鑰傳輸?shù)陌踩?，在不影響原有?shù)據(jù)庫功能的基礎上實現(xiàn)對校園中敏感和重要數(shù)據(jù)的加密功能。數(shù)據(jù)在落盤時加密，在數(shù)據(jù)庫內(nèi)存中是明文，當攻擊者“拔盤”竊取數(shù)據(jù)，由于數(shù)據(jù)庫文件無法獲得密鑰而只能獲取密文，從而起到保護數(shù)據(jù)庫中數(shù)據(jù)的效果[5]。

2.3 應用場景

數(shù)據(jù)庫系統(tǒng)屬于基礎和支撐軟件，數(shù)據(jù)庫系統(tǒng)已經(jīng)成為信息基礎設施重要組成部分，資源使用者和所有者相分離的云服務提供模式使得數(shù)據(jù)庫系統(tǒng)面臨更加嚴峻安全挑戰(zhàn)。針對數(shù)據(jù)竊取、篡改、泄露等安全威脅，需要通過密碼技術(shù)來保護，實現(xiàn)密文存取、操作和訪問，保證數(shù)據(jù)全生命周期的安全。數(shù)據(jù)庫泄密的數(shù)據(jù)類型一般是結(jié)構(gòu)化數(shù)據(jù)，而結(jié)構(gòu)化數(shù)據(jù)主要通過數(shù)據(jù)庫來保存和接受查詢，因此數(shù)據(jù)庫信息安全問題十分重要。

2.3.1 數(shù)據(jù)庫安全需求

（1）存儲層明文泄露

數(shù)據(jù)的私密性沒有保障。文件采用明文方式存儲在存儲介質(zhì)上，存儲介質(zhì)的運輸、返廠維修、廢棄、丟失、失竊、或使用第三方災備服務商代理數(shù)據(jù)備份業(yè)務等過程，都會有數(shù)據(jù)泄露的風險。

（2）內(nèi)部高權(quán)限人員泄密

運維管理員或開發(fā)人員往往具有最高權(quán)限，可不受控制地訪問數(shù)據(jù)庫上的所有數(shù)據(jù)，一旦內(nèi)部高權(quán)限主動泄密，損失將不可估量。

（3）外部黑客攻擊竊取

防不勝防的黑客攻擊手段，普通的黑客從進入到退出一次數(shù)據(jù)攻擊只需用不到10秒鐘時間就可完成。

（4）數(shù)據(jù)庫業(yè)務的需求

普通數(shù)據(jù)模糊處理，對數(shù)據(jù)庫數(shù)據(jù)檢索、模糊查詢、數(shù)據(jù)恢復等具有致命影響，同時掌握一定規(guī)律即可破解。

（5）算法密鑰的需求

用于強身份認證、數(shù)據(jù)加解密的密碼算法應符合國家密碼管理局等相關(guān)部委制定的政策、法規(guī)，以保證系統(tǒng)服務的安全性。密鑰應存儲在符合國家密碼管理局等相關(guān)部委批準的硬件密碼設備中，保證密鑰的安全。

根據(jù)需求，采用數(shù)據(jù)庫透明加密的方式實現(xiàn)對數(shù)據(jù)的加密保護。數(shù)據(jù)庫加密是以數(shù)據(jù)庫表為單位，加密后寫入的數(shù)據(jù)被加密存儲。利用安全的密鑰管理系統(tǒng)保證數(shù)據(jù)庫加密密鑰傳輸?shù)陌踩诓挥绊懺袛?shù)據(jù)庫功能的基礎上實現(xiàn)對敏感和重要數(shù)據(jù)的加密功能。

主密鑰存儲在數(shù)據(jù)庫外部，如明文文件。表空間密鑰存儲在表空間文件標題中，該標題受主密鑰保護。對于加密表，表空間密鑰由主密鑰加密并存儲在表空間頭中。用戶只需要聲明需要加密那個表。當用戶插入數(shù)據(jù)的時候，數(shù)據(jù)庫透明地加密數(shù)據(jù)然后存儲加密后的數(shù)據(jù)，當用戶讀取數(shù)據(jù)時，數(shù)據(jù)庫自動進行解密。加解密操作對應用程序來說都是透明的，數(shù)據(jù)庫表加密和解密沒有任何額外的編碼及數(shù)據(jù)類型或模式修改[6]。

部署時用戶需要在數(shù)據(jù)中心部署具有密鑰管理的密碼設備來達到保障數(shù)據(jù)安全的目的，通過密鑰管理設備管理主密鑰，第三方安全管理員授權(quán)主密鑰訪問權(quán)限，實現(xiàn)數(shù)據(jù)庫必須使用強身份認證獲取主密鑰，保證主密鑰的安全從而保證表空間密鑰及加密數(shù)據(jù)的安全，因此任何用戶都無法繞過數(shù)據(jù)庫查看加密表空間明文數(shù)據(jù)。

由于使用的數(shù)據(jù)庫使用的是透明加密技術(shù)，它是對落盤存儲的數(shù)據(jù)直接進行加密操作，數(shù)據(jù)是以明文的形式顯示的，所以需要配合完善的訪問控制技術(shù)來對訪問數(shù)據(jù)庫人員的身份權(quán)限作一定的限制，以此來保證數(shù)據(jù)信息的安全。

3 結(jié)束語

在校園網(wǎng)絡和應用系統(tǒng)中，幾乎沒有采取任何安全措施，主機操作系統(tǒng)和應用系統(tǒng)中的安全漏洞也沒有進行任何處理，系統(tǒng)管理中存在很多問題，這些都形成了嚴重的安全問題，從而嚴重威脅到校園網(wǎng)的安全。信息安全是保證校園網(wǎng)運行順暢、功能最大化的必然因素。提供良好的信息化教育環(huán)境是示范性教育工作的有力后盾，信息技術(shù)教育的普及和校園網(wǎng)是信息化環(huán)境的硬件保障。

參考文獻：

[1] 任偉.現(xiàn)代密碼學[M].北京：北京郵電大學出版社，2011.

[2] 陳智敏.RSA公鑰密碼軟件包的實現(xiàn)[D].廣州：廣州大學，2002.

[3] 張健，任洪娥，陳宇.密碼學原理及應用技術(shù)[M].北京：清華大學出版社，2011.

[4] 黃鏑.異構(gòu)數(shù)據(jù)庫的跨庫檢索技術(shù)綜述[J].圖書情報工作，2003，47（6）：94-97，109.

[5] 牛霞紅.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡安全中的應用[J].通信電源技術(shù)，2020，37（6）：186-187，191.

[6] 王磊.高校計算機網(wǎng)絡安全中的數(shù)據(jù)加密技術(shù)研究[J].無線互聯(lián)科技，2020，17（21）：85-86.

【通聯(lián)編輯：代影】