◆陈一霄
基于网络安全视域看数据加密技术的应用
◆陈一霄
(厦门华厦学院 福建 361024)
互联网技术正在快速发展,信息技术的升级便利了人们的资讯,但也产生了很多的安全问题。在信息数据保密性越发重要的当下,网络安全是信息技术长远发展的基础条件。数据加密技术是信息安全技术中最常见的网络保护手段之一,在各个领域中都得到了广泛运用。本文基于安全视域对加密技术展开分析,探讨了加密技术中存在的不安全因素以及数据易被破译等问题,提出相关的优化建议,以增强数据保密性和安全性。
互联网;数据加密技术;安全应用
互联网技术的飞速发展极大地改变了当下的社会形态,随着大众对互联网的依赖程度加深,网络中的安全问题也越来越得到人们的关注。当前网络中主要通过窃取、篡改、传播等方式造成安全问题,常用的数据保护方式是信息加密,但因为网域的复杂性,加密技术也存在被破译的风险,所以对于加密技术而言还需持续改进,以确保网络通信的安全性。
传统的认证技术重点采取基于口令的认证策略,其原理是依靠开启系统的时候用户进一步输入ID以及PW,系统把用户输入的相关信息以及用户信息深入、有效开展对比,进而对用户的身份进行有效、合理判断。这类认证策略的核心优势就是:系统如Windows NT、UNIX等都提供了对口令认证的相关支持,针对小型系统来讲是一种可行以及简单的策略。可是因为用户一般会选取和自己个人情况相关的信息作为口令,导致这种技术的变得非常不安全。借助于明文的方式在网络上进一步传输口令,导致攻击人员极易借助于搭线窃听进一步获得用户的相关口令;此外,攻击人员也许会凭借系统漏洞对用户口令文件进行获得以及破解,就严重影响了整个系统的有效性以及安全性。要想提升这项技术的安全性,一般借助于密码算法对口令实施加密保存以及传输,并不能有效抵抗假冒攻击[1]。
除口令认证外,另一种常用的保密方式是物理证件,物理认证的媒介包括智能卡以及USB Key等。智能卡进一步具备硬件加密这一功能,具有极高的安全性。智能卡背景下的用户身份认证方式将用户所拥有以及用户所知进行了充分联系,物理证件里面包含了用户信息(ID,PW),AS种具有某个由用户提前选取的随机数。用户对系统相关资源进行有效访问的时候,用户输入(ID,PW)。系统首先对智能卡的有效性以及合法性进行判断,接着由智能卡对用户身份进行有效鉴别,如果用户的身份合法,然后把智能卡里面的随机数发送至AS开展深入认证[2]。
这类认证方式不能对数据进行读取以及伪造。如果不具备物理证件,就无法对系统相关资源进行有效访问,尽管丢失了物理证件,入侵人员还是需要对用户口令进行猜测。物理证件进一步提供了硬件保护策略以及加密算法,能够凭借这些作用进一步提升有效性以及安全性,比如,能够将物理证件有效设置为某个秘密信息,进而避免信息的不断泄漏。这种认证方式属于一种双因子的认证方式,尽管物理设备或者PIN被别人窃取,依旧不能冒充用户。与口令认证策略相比,双因子认证扩增了一个认证基本要素,攻击人员只获得了用户的物理设备或者相关口令,都不能进一步通过系统的有效认证。于是,与基于口令的认证策略相比,这种策略的安全性更高,对口令认证策略里面的前三个问题进行了有效解决,可是这类方式还是无法对口令猜测的攻击进行有效抵御。
最后一种方式为硬件信息认证,此种认证仍是以公钥密码机制为基础的。其大致的假定如下:以固定用户为例,他们所使用的计算机通常是比较固定的,因此,可通过识别此台计算机,并对当时使用这台机子的用户进行识别,从而完成对用户的远程认证操作。值得注意的是在共用计算机里原则上是不允许进行任何涉及个人机密的操作,否则将无法保障信息的安全性。在远程认证中的重难点是如何对计算机的唯一硬件特征予以识别。目前,市面上的网卡均对应有一个MAC地址,该地址是全球唯一的,因此,网卡生产厂家需遵守相关统一要求,为所制造的网卡按统一分配原则对其配备对应的MAC地址。同理,关于硬盘、主板、CPU等其他计算机零部件也有着相关协议与规范。将上述参数合起来就能获得一个硬件标识号码,在世界上具有唯一性[3]。但是在该认证模式中,用户需在执行认证行为前开始认证的另一个过程,要求用户输入自己的PIN码,之后认证过程才会被启动。如此就能采用计算机硬件特征值与用户口令联合应用于识别环节。这种认证非常快,因为并未涉及作废列表查询更新等问题。此外,在确认用户身份的时候安全性也较好,该认证系统属于相对独立的系统,实现也较为容易,能够很轻松地与现有网络体系相整合,因此,可轻松融入现有的业务及网络系统中。
网络通信技术近年来发展迅速,与此同时,电脑硬件技术也日益完善,网络购物、电子商务、网上银行等得到了大量应用,让公众的生活更加便捷丰富。然而网络信息安全问题也尤为突出,除了黑客入侵外,网上数据被泄露、篡改、病毒传播、计算机犯罪等问题也很普遍。从国家安全层面分析,信息安全属于重要的构成要素,事关国家的整体发展与长远利益。密码技术属于信息安全领域中的核心技术,受到了广泛的关注。随着公众对网络信息安全问题的日益关注,网络安全技术发展也有所加快,相关密码技术亦日趋完善。在密码技术中核心要素就是密钥,按照密钥的不同密码学将其分为两种,包括公开密钥密码系统与对称密钥密码系统。
通过分析采用对称密钥的密码系统可知,其加密与解密均运用的是同一密钥,因此,其加密、解密速度都很迅速,而且密钥短、破译难度大。公开密钥密码系统具备较高的安全性,且密钥管理更简单。不过其不足之处在于密钥过长,运算速度明显慢于对称算法,一对公私钥通常是同时形成的,这需要的时间是数分钟。这对于有大量用户的系统来说,显然服务器的运行速度较低。
通过分析公开密钥与对称密钥二者的密码算法,综合考虑二者的优缺点,加之现代密码分析技术对加密算法提出了更高的要求。加密技术的优化需从EKE(加密的密钥交换)协议进行相关改进与优化,在基于椭圆曲线公开密钥加密算法的基础上引用AES对称密钥加密算法以提高信息的安全性能。由服务器端负责接收用户的密钥,而用户端可给出自身的椭圆曲线密钥对,从而极大提升了整个系统的运行效率。鉴于通过网络传输的数据量极为庞大,在加密处理时选择AES对称密码算法,密码长度为256bit,此密码算法中涉及的加密密钥则是基于椭圆曲线公开密钥加密算法,密码长度为2048bit。这不仅能确保数据信息的安全性,而且也让数据加密与解密速度明显提高,从而符合数据传输的安全、迅速需求。
EKE中文为加密密钥交换协议,此协议的设计者包括Steve Bellovin和Michael Merrit,同时运用公开与对称密钥密码为互联网数据安全性提供保障,而且也提供了鉴别服务。对于加密系统,加密算法和密钥管理是关键点。密码算法是规则和公式,用于指定如何在密文之间进行转换。由于密码系统的重复使用,仅使用加密算法不能保证信息的安全性。实际上,加密信息的安全性应集中在密钥的安全性管理上。对于加密和解密算法,密钥信息的存储、传输和生成特别重要。特别是,当多个用户共享一台计算机时,如果用户没有进行有效的密钥管理,就无法保证密码系统安全性。
在此系统中,必须先分发服务器公钥,然后才能与客户端和服务器进行正式通信,并由服务器端应用程序主动生成,然后以公共方式分发给所有用户。用户获取服务器公钥,将其存储在自己的密钥文件夹中,然后使用设备完成服务器并传输机密信息。在文件打包模块对打包文件进行加密之前,将生成一个随机的256位文件加密密码,并将文件ID号、文件密码和相关信息写入服务器的文件信息数据库。服务器端程序可以有效地维护数据库中的文件信息。如果客户端上的合法用户通过验证,则可以将该用户的权限作为查询文件信息数据库中文件密码的标准,权限越高,文件密码的权限越高,权限最高的用户可以获得所有文件密码。为了在此系统上正确解密加密的文件,必须首先在服务器上生成一个初始密码和用户名,并且服务器端应用程序的用户管理模块必须实现每个功能,并且用户管理模块会将用户发送到用户信息数据库。合法用户可以向客户端应用程序的服务器提交密码更改请求,服务器在确认后在用户数据库中输入新的密码。在解密文件的过程中,用户向服务器查询文件密码,服务器可以确定用户的权限是否紧随文件的权限,并提供文件密码。通过合法认证后,用户可以使用椭圆曲线加密系统与服务器通信。服务器应用程序生成并管理服务器的私钥和公用密钥,并从合法用户那里接受用户的公用密钥。它使用用户的公钥加密和传输信息,并在使用服务器的私钥接收信息的过程中解密信息。客户端应用程序管理用户的公钥和私钥,并将用户的公钥发送到服务器。在发送和接收信息的过程中,服务器的公钥用于加密和解密私钥。该系统使用ECC公钥算法来促进服务器和用户的双向身份验证和数字签名。
现阶段,计算机技术发展迅速,并在数学领域取得了突破,在这种情况下,加密算法得到了快速发展,对数据存储以及安全保密信息传输的需求量不断增加。在现阶段,实际应用中仍然主要通过对称加密技术来处理大量信息,但是短密钥难以保证信息的安全性。如何有效地提高加密密钥的安全性而不影响运算速度是加密算法的主要研究内容。加密技术的优化需从算法和EKE协议展开,只有对这两部分进行有效强化,就能有效加强互联网与通信的保密性与安全性。
[1]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑,2016(9):193-194.
[2]金银鹏.浅析计算机网络安全与防火墙技术[J].电脑知识与技术,2018(3):33-34.
[3]秦叶威.关于计算机网络安全中的防火墙技术应用研究[J].数字化用户,2018,24.