网络通信安全时代数据加密技术的应用

裴晨思

（河南省儿童医院信息科，河南 郑州 450000）

0 引 言

在网络通信时代，信息安全问题不仅是推动医疗信息化、电子商务、电子政务、互联网以及物联网等迅速发展的关键所在，而且直接涉及社会公共安全与国家安全，关乎国家的重大利益。因此，积极研究与应用各类网络通信安全技术，是当今社会与时代发展的迫切需要。目前，网络通信安全涉及多项技术与知识应用，数据加密技术是其中一个非常重要的组成部分，也是整个网络通信安全体系的理论基础与实践应用基础。近年来，随着信息安全问题日益突出，数据加密技术的重要性越发凸显，并在我国经济、政治、医疗、卫生和军事等信息安全领域中有着深入的应用与发展，医院加强网络通信安全建设也日趋重要。

1 数据加密技术的概念与原理

1.1 基础概念

在密码学中，加密的基本思想是通过各种伪装的方式来达到信息保密的目的。而数据加密技术起源于密码学，是指借助各种加密算法，将明文信息（Plaintext）进行函数转换为密文（Ciphertext）信息，再将密文信息进行网络传输或归档存储，而只有通过特定接受方式才能进行解密还原为明文的技术过程[1]。

1.2 基本原理

当前对网络通信安全问题的主要解决方案之一，就是采用数据加密技术。根据其基本原理的不同，数据加密技术主要分为以下3类。一是密钥加密。这种技术使用单一的密钥加密、解密信息，也可视为传统密码技术的演变。二是公钥加密。这种技术使用2个密钥，分别用于加密与解密信息。三是单向函数。这种技术是利用数学函数的方式，对明文信息进行加密转换，并对原始信息进行签名标记。

综合而言，数据加密技术的基本原理是利用各种加密算法或加密技术，使明文信息转化为密文信息的过程，最终再通过解密技术转化为明文信息。在整个技术应用过程中，即使发生信息泄露或数据被非法截取的事件，非授权者也无法理解密文信息的真正含义，无法对有效密文信息进行伪造篡改，从而达到保证网络通信安全与通信数据真实性、完整性的目的。

2 数据加密技术的算法应用

数据加密的技术实现过程借助了各种加密算法。而根据各加密算法的技术原理不同，常见的数据加密算法可细分为对称加密、非对称加密和混合加密3种[2]。

2.1 对称加密算法

对称加密算法常被称为专用密钥加密算法，是指网络通信数据的发送方、接收方都采用同样的密钥算法（共享密钥），对明文信息进行加密转换与解密运算，如图1所示。其常见算法类型包括DES分组算法、IDEA分组算法、FEAL分组算法和BLOWFISH序列密码算法等。

图1 对称加密技术的数据传输过程图

对称加密算法的优点是采用共享密钥算法，其算法通常较为简单，对网络平台和相关系统的资源占用量较少，对系统性能影响也较小，因此往往适用于大量数据的加密解密工作。其缺点是由于网络通信数据发送方和接收方都采用了同样密钥算法，在网络条件中存在一定的不安全性，必须保证共享密钥的安全性[3]。

2.2 非对称加密算法

非对称加密算法被称为公开密钥加密算法，是指在信息加密过程中采用“公用密钥”和“私有密钥”2个密钥算法，发送方和接收方只有采用相应的公有密钥和私有密钥，才能进行加密和解密，从而保证发送方和接收方的真实身份[4]，如图2所示。其常见算法类型包括RSA公钥加密算法、HD公钥加密算法以及ECC曲线加密算法等。

图2 非对称加密技术的数据传输过程图

非对称加密算法的优点是网络通信的双方不需要进行密钥交换，保证了算法的私密性。其缺点是相比对称加密算法，其数据加密和解密的速度较慢，占用系统资源较多。因此，非对称加密算法常被用于数据量较小，或必须保证数据完整性、不可否认性的加密服务。

2.3 混合加密算法

混合加密算法，常被称为电子信封（Envelope）算法，是充分利用对称加密和非对称加密2种算法的优点，克服其缺点，以减少对系统资源占用，并解决每次通信传送需更换密钥问题所提出的新型加密算法。

在通信数据传输过程中，发送方利用该算法自动生成对称密钥，而接收方用其密钥解密得到的对称密钥进行密文信息的解读。这样就可以保证每次数据传输都可以由发送方来选定不同的密钥，以更好地保障数据通信的安全性，并能有效解决系统运算问题和密钥分配管理问题。

3 数据加密技术在医院网络通信体系中的实践应用

3.1 医院网络通信体系的安全需求

20世纪80年代初，国际标准化组织（ISO）讨论并制定了“网络开放系统互连体系结构模型”。该模型允许开放系统网络，被看作是在逻辑上由若干顺序的层组成的。以医院的网络通信体系为例，其ISO体系结构可大致分为4个层级，分别为链路层、网络层、传输层和应用层。

因此，保证医院网络通信的安全，即是指在医院网络体系中的链路层、网络层、传输层及应用层均分别采取相应的安全保密措施，来保障其通信的安全与保密性能。由于各层的功能特性和安全特性不同，在各层需要提供不同的安全机制和数据加密服务，所采用的网络安全措施与保密措施也各不相同。医院网络通信体系中各层级的安全服务需求，详见表1。

表1 网络通信体系中各层的安全需求

由于医院网络通信体系的安全互连是在链路层、网络层、传输层及应用层中通过不同协议来实现的，这些协议专门用来保障医院网络各个层次的安全。安全协议的建立和完善是网络通信安全保密体系走上规范化、标准化道路的基本因素。完善的医院网络通信安全体系，至少要实现加密机制、验证机制和完整性保护机制，这便需要在医院网络通信体系的各层级中采用相应的数据加密技术。

3.2 数据加密技术在链路层中的具体应用

数据加密技术在医院网络链路层中的应用目的是保证网络链路中传输的数据不被非法用户所偷窃与修改。具体措施是通过设置链路数据加密设备，以实现对数据实施加密保护。其主要是对所有用户数据和通信协议一起加密，用户数据通过通信线路到达另一节点后解密。

通常，要求在医院网络每个节点的标准物理层接口处，均应配置一定数量的链路加密设备或链路解密设备。

3.3 数据加密技术在网络层中的具体应用

数据加密技术在医院网络层中的应用目的主要是将医院各系统设备中所发送的数据安全、完整地传递给接收方。在医院通信网络体系中，由于网络层位于传送方到接收方数据传输的最底层，其通信的密钥子网的数量、类型和拓扑结构对于传输层来说是隐蔽的。

在实践应用中，医院网络层的数据加密，通常配置一定数量的加密设备位于医院网络层发送方与接收方的两端，并设置合理的加密保护协议，用于明文信息向密文信息的合理转化。

3.4 数据加密技术在传输层中的具体应用

医院通信网络体系的传输层处于通信子网和资源子网之间，起着承上启下的作用。数据加密技术在传输层中的应用，可以实现进程到进程的安全通信，该层典型的保密协议应用包括SSL（安全套接层协议）和TS（传输层安全协议），其提供了客户机与服务器之间的安全保密、可靠连接，指定了在应用程序协议（如Http、Telnet、NNTP、FTP）和TCPP之间提供数据安全性分层的机制，并为TCPP连接提供了数据加密、服务器认证、消息完整性以及可选的客户机认证。这种技术实现了基于进程对进程的安全服务和加密传输。通常采用公钥体制身份认证，容易实现且有较高的安全强度。

另外，在实践应用中，医院传输层可支持对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务及数据源点认证服务等多种安全保密服务。传输层保密机制的优点是与下层的链路层和网络层通信协议无关，只与端系统有关。

3.5 数据加密技术在应用层中的具体应用

应用层是医院ISO结构模式的最高层，其借助应用实体、应用协议和表示服务交换信息，允许应用程序通过网络进行互操作。

数据加密技术在医院应用层中的应用，通常涉及与相应层的软件相互作用。这些软件对不同的计算机结构和通信系统是不同的，因而必须针对不同的系统，通过软件自身或特殊的硬件加密设备进行加密。另外，应用层保密技术的应用，通常通过使用访问控制鉴别与认证、数据完整性、数据保密性、数据可用性、禁止否认和审计等各种各样的保密服务来实现。

4 结 论

近年来，由密码学发展而来的数据加密技术，被广泛应用于医疗、军事、政治以及经济领域，构成了整个网络通信安全技术体系的理论基础。特别是随着计算机及网络使用的日益深入和广泛，数据加密技术的重要性越来越突出，将其运用于医院能有效提升医院管理水平。在计算机安全系统中，很大一部分依赖于数据加密技术，其基本思想就是伪装信息，即对数据进行一组可逆的数学变换。因此，加强对数据加密技术的算法、协议及实践应用的深入研究和分析，能进一步推动我国医疗卫生、电子商务、电子政务迅速发展。对于医院而言，全面做好数据加密工作，切实保证医院信息系统安全，确保系统处于安全通畅的运行状态，可大大提升医院的管理水平、运营水平。